JP2017511921A - 生産コンピュータシステムをブートする方法 - Google Patents

生産コンピュータシステムをブートする方法 Download PDF

Info

Publication number
JP2017511921A
JP2017511921A JP2016551860A JP2016551860A JP2017511921A JP 2017511921 A JP2017511921 A JP 2017511921A JP 2016551860 A JP2016551860 A JP 2016551860A JP 2016551860 A JP2016551860 A JP 2016551860A JP 2017511921 A JP2017511921 A JP 2017511921A
Authority
JP
Japan
Prior art keywords
computer system
production
key
production computer
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016551860A
Other languages
English (en)
Other versions
JP6300942B2 (ja
Inventor
クラエス,ハインツ−ヨーゼフ
Original Assignee
フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー
フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー, フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー filed Critical フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー
Publication of JP2017511921A publication Critical patent/JP2017511921A/ja
Application granted granted Critical
Publication of JP6300942B2 publication Critical patent/JP6300942B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

本発明は、生産コンピュータシステム(1)をブートする方法に関する。この方法は、生産コンピュータシステム(1)のシステムデータに関する情報を収集するステップと、生産コンピュータシステム(1)のシステムデータに関する情報をキーコンピュータシステム(2)に送信するステップと、収集された情報を、キーコンピュータシステム(2)内に記憶された比較情報と比較するステップと、比較が成功である場合、キーコンピュータシステム(2)から生産コンピュータシステム(1)に、生産コンピュータシステム(1)内の暗号化されたファイルシステムデータを解読するためのパスフレーズを送信するステップと、パスフレーズを用いて、暗号化されたファイルシステムデータを解読するステップと、解読されたファイルシステムデータをロードし、生産コンピュータシステム(1)をブートするステップと、を含む。

Description

本発明は、生産コンピュータシステムをブートする方法に関する。
暗号化されたファイルシステムを有する生産コンピュータシステムをブート(ブーティング、さらに:「ブート処理」)するために、ブート処理の起動において、いわゆるパスフレーズ(さらに、パスワード、コードワード、キーワード、ソリューションワード、又は合い言葉といわれる)が必要とされる。上記パスフレーズは、生産コンピュータシステム内の暗号化ファイルシステムを暗号化し又は解読することに使用されるキーであり、したがって、生産コンピュータシステムは、解読されたファイルシステムを用いてブート処理を実行することができる。
上記の目的で、従来のソリューションにおいて、パスフレーズは、平文において利用可能である(例えば、生産コンピュータシステムにおいて、承認されたユーザによって入力される)必要があり、しかし、承認されていない第三者に対しても、可能性として生産コンピュータシステムのシステム管理者に対しても、可視であってはならない。ちょうど同様に、ブート処理に使用されるプログラムも、管理者(又は、他の承認されていない第三者)によって操作可能であるべきではない。
従来技術から知られるソリューションは、実際のブート処理の前にユーザがパスフレーズを(例えば、コンソール上で)直接入力することを提供する。具体的にサーバの場合、例えば、実際のブート処理の前に、暗号化されたファイルシステム上のいわゆるセキュアシェル(SSH)デーモンを始動させることが一般的である。管理者は、上記デーモンにログインしてパスフレーズを入力し、それから、このパスフレーズはファイルシステムを解読することに使用される。
既知のソリューションの欠点は、パスフレーズを入力することに対して人間が必要とされることである。例えば、上記人間が、生産コンピュータシステムのファイルシステムに対するアクセスを得るために承認されていない仕方でパスフレーズを使用する、承認されていない第三者又は犯罪者であるおそれがある。
しかしながら、代替的なソリューションに従いシステムにパスフレーズを保存することは、それぞれ、さらなるセキュリティギャップであり、暗号化の意味に疑問を一般的に与える。
いわゆる「トラステッドプラットフォームソリューション(Trusted Platform Solution)」(TPM)を使用することもまた、生産コンピュータシステムのセキュアなブートのためのさらなるソリューションではない。TPMは、限られた程度でのみ違ったコンピュータシステムによってサポートされ、このタイプのソリューションのセキュリティに関して、一般的な不信があるからである。
ゆえに、本発明の目的は、上記タイプのセキュリティ関連の制限を受け入れる必要なしに、生産コンピュータシステムをブートすることを可能にすることである。
上記目的は、請求項1に記載の生産コンピュータシステムをブートする方法により達成される。
上記方法は、下記のステップを含む:
− キーコンピュータシステムと生産コンピュータシステムとの間の接続を確立するステップと、
− 生産コンピュータシステムのシステムデータに関する情報を収集するステップと、
− 生産コンピュータシステムのシステムデータに関する上記情報をキーコンピュータシステムに送信するステップと、
− 収集された情報を、キーコンピュータシステムに保存された比較情報と比較するステップと、
− 比較が成功である場合、キーコンピュータシステムから生産コンピュータシステムに、生産コンピュータシステム内の媒体上の暗号化されたファイルシステムを解読するためのパスフレーズを送信するステップと、
− パスフレーズを用いて媒体上の暗号化されたファイルシステムデータを解読するステップと、
− 解読されたファイルシステムデータをロードし、生産コンピュータシステムをブートするステップ。
本明細書に説明される方法の文脈において、用語「生産コンピュータシステム(production computer system)」は、データ処理のためにセットアップされた(すなわち、「生産的」である)コンピュータシステムに関する。ここで、生産コンピュータシステムは、デスクトップPC、例えば、コンピュータワークステーション、サーバ若しくはサーバシステム、又は任意の他タイプの既知のコンピュータアーキテクチャであり得る。
本方法は、生産コンピュータシステムのブートが所望され又は必要とされるとき、開始される。方法は、具体的に、ローカルのコンピュータネットワーク(例えば、会社のネットワーク)内で、可能性として適用される。すなわち、生産コンピュータシステムとキーコンピュータシステムとは、ネットワーク内で互いを見つけ、互いに通信する能力がある必要がある。それぞれのコンピュータシステムは、ネットワークの外部からアドレス指定されることはできず、このことは、パスフレーズの自動化された交換が可能でない理由である。すなわち、生産コンピュータシステムが物理的及び/又は論理的にローカルのコンピュータネットワークから除去されているとき、生産コンピュータシステムは、本方法に従ってキーコンピュータシステムを用いてブートされることができない。こうして、本方法は、2つのコンピュータシステム間におけるローカルのアドレス可能性及び通信に制限され得る。
有利には、生産コンピュータシステムのシステムデータに関する情報には、
− 利用可能なハードウェアに関する情報、
− アプリケーションプログラムのチェックサム及び/又はファイルサイズ、
− オペレーティングシステムコアのチェックサム及び/又はファイルサイズ、
− 完全なファイル、又は大量のコアイメージ(mass core images)
のうち少なくとも1つが含まれる。
生産コンピュータシステムのシステムデータに関する情報を収集する方法ステップは、生産コンピュータシステムがその現在の形態において(すなわち、選択された又はすべてのハードウェア及びソフトウェアコンポーネントについての現在のシステムステートで)信頼できるかどうか、及び/又はキーコンピュータシステムに知られているかどうかに関しての検証に役立つ。結果として、生産コンピュータシステムに対する操作が検出され、あるいはなおさら困難にされることができる(さらに、そうあるべきである)。有利には、収集された情報は、ブート処理において要求され、関与し、かつ/あるいは検出された生産コンピュータシステムのシステムデータ、例えば、ブートカーネル又はオペレーティングシステムコアのシステムデータを示す。こうして、ブート処理に関与するコンポーネントの操作とパスフレーズを用いた暗号化されたファイルシステムの解読とが検出され、あるいはなおさら困難にされることができ、したがって、操作されたコンポーネントによるパスフレーズの承認されていないフィッシングが防止されることができる。
UNIX(登録商標)ベースのシステムにおいて、上述された情報を収集することは、“dmidecode”、“disk dump”(dd)等を介して果たされ得る。情報は、キーコンピュータシステム内の比較情報に対して比較されることができる。こうして、ブートされるべきシステムのハードウェアコンポーネントとソフトウェアコンポーネントとの疑似の指紋(足跡)が、生成される。結果として、この段階の間に生産コンピュータシステム上で利用可能なすべてのプログラムの又はすべてのプログラムデータのシステムステートの全体的イメージが検出可能であり、これにより、説明される方法に従った比較のための、綿密なメッシュの(close-mesh)比較情報の生成が可能にされる。
上述された情報に対して代替として又は追加で、プログラム若しくはファイルシステム全体、又はプログラム若しくはファイルシステムに関するさらなる情報を、それぞれ、検出し、送信することがさらに想像できる。このことは、生産コンピュータシステムの操作をさらに複雑化する。
生産コンピュータシステムのシステムデータに関する収集された情報は、さらに、キーコンピュータシステムに記憶された比較情報に対して比較されることになる。この検証が肯定的である場合、キーコンピュータシステムから生産コンピュータシステムへのパスフレーズの自動化された転送が果たされる。すでに上記で説明されたとおり、パスフレーズは、生産コンピュータシステム内のファイルシステムデータを暗号化し又は解読することに使用されるキーである。大抵、上記の目的に対して、対称暗号法が使用される。
上記処理の間、ファイルシステムデータは、最初、いわゆるマスタキーで暗号化される。マスタキーは、パスフレーズから生成され、あるいはそれ自体がパスフレーズにより形成され、あるいはパスフレーズとは別個のキーであり、それ自体がパスフレーズを用いて暗号化される。その後、ファイルシステムデータは、上記マスタキーを用いて再度暗号化されることができる。
本明細書に説明される方法に従い、ファイルシステムデータは、生産コンピュータシステムをブートすることに(すなわち、ブート処理のために)必要とされるデータを少なくとも含む。こうしたデータは、例えば、オペレーティングシステムデータ、プログラムデータ、ユーザデータ(例えば、ログイン情報)等であり得る。暗号化された形態において、ファイルシステムデータは、成功するブート処理を起動することができる方法で処理を実行することができない限りにおいて、価値がない(不成功である)。ファイルシステムデータは、解読された形態において(平文において)のみ成功裏にロードされ、実行されることができ、したがって、生産コンピュータシステムはブートされることができる。
説明される方法において、「解読すること」は、生産コンピュータシステムの1つ以上のコンポーネント(例えば、オペレーティングシステムコンポーネント、オペレーティングシステムコア、又はブートカーネル)が、上記コンポーネントに対して送信されたパスフレーズを用いて、及び、適用可能である場合、パスフレーズによりそれ自体が暗号化され得るマスタキーを用いて、媒体に記憶されるファイルシステムデータを読み出し及び/又は書き込むことができる(ゆえに、例えば、システムをブートすることが可能であり得る)ことを意味する。
送信されたパスフレーズを用いての生産コンピュータシステム内の暗号化されたファイルシステムデータの解読なしでは、生産コンピュータシステムをブートすることは、結果としてブロックされる。承認されていない第三者が生産コンピュータシステムとあり得る機密データとにアクセスすることは、不可能である。
上記方法の一般的利点は、生産コンピュータシステムが管理者又は別の人間によるさらなる干渉なしにブートする能力があることである。むしろ、パスフレーズを知っている、生産コンピュータシステムに対するアクセスを有する人間は、必要とされない。対照的に、パスフレーズは、有利には、上記方法の過程全体の間、生産コンピュータシステムへのアクセスを有する人間に対して(及び、可能性として、キーコンピュータシステムへのアクセスを有する人間に対して)知られないままである。こうして、セキュリティ関連のパスフレーズが承認された人によって誤使用されず、犯罪者により盗まれず、あるいは承認された人から承認されていない人に引き渡されないことが確保されることができる。それにもかかわらず、キーコンピュータシステムから生産コンピュータシステムへのパスフレーズの自動化された送信を介した、生産コンピュータシステムの自動化されたブートが可能である。
生産コンピュータシステムのシステムデータに関する情報とキーコンピュータシステムに記憶された比較情報との比較は、上記方法を成功裏に実行するためのセキュリティバリアを提示する。実際、生産コンピュータシステム上の操作されたブートカーネル又はオペレーティングシステムコアを介して上記セキュリティバリアを免れるための、生産コンピュータシステム上で収集されるシステムデータに関する情報の操作が、一般に可能である。それにもかかわらず、上記方法のこうした操作は、生産コンピュータシステム内のオペレーティングシステムコアに対する実質的なモディフィケーションを必要とし、ゆえに、ブート処理の操作を複雑化する。
キーコンピュータシステムからセキュリティ関連パスフレーズを取得するために、承認されていない第三者(例えば、ハッカー)によって、生産コンピュータシステムであるように装う第三者コンピュータシステムに対して生産コンピュータシステムのシステムデータに関する情報を(操作的に)取り出すこともまた、実質的な、手の込んだ操作を必要とし、該操作は、可能性として、予測的な仕方において設計され得る。こうした(例えば、生産コンピュータシステムのシャットダウンの前の、ルーチンのセキュリティスクリプトによる)攻撃の後の、生産コンピュータシステムのシステムステートに対するごくわずかな変更さえ、生産コンピュータシステムの変更されたシステムステートにつながり、該ステートは、比較情報としてキーコンピュータシステムでログに記録される。それから、第三者コンピュータシステム上に操作的な仕方において事前に取り出されたシステムデータとの比較は失敗することになり、したがって、キーコンピュータシステムは、犯罪的第三者コンピュータシステムに対するパスフレーズの送信を禁止する。
例えば、生産コンピュータシステムにおける物理的操作もまた、複雑化され又は防止され、さらに、生産コンピュータシステムにおける機械的に有効な封印(sealings)によって目立たせることができる。
有利には、本明細書に説明されるタイプの方法において、生産コンピュータシステムは、キーコンピュータシステムの生産コンピュータシステムに対するアクセスを許可して接続を確立する最小限のシステムを起動する。この最小システムは、生産コンピュータシステムにアクセスするためのいくつかのタイプのプラットフォームを表す。ゆえに、最小システムは、例えて言うと、生産コンピュータシステムの「空き空間への入り口ドア」である。例えば、SSHデーモンが最小システム上で実行され得る。
例えば、最小システムは、生産コンピュータシステム内のハードドライブの解読されていないパーティションから起動されることができる。しかしながら、セキュリティに関して代替として又は追加で、最小システムが読取専用媒体(USB記憶装置又はコンパクトディスクドライブなどの読取専用媒体)に記憶されることがさらに想像できる。ここで、生産コンピュータシステムは、例えば、セキュリティ保護された部屋又はラック内に位置し得る。それから、1人の人間によるシステムへの直接アクセスは不可能である(複数の目の原理(multi-eye principle))。ちょうど同様に、最小システムをブートする読取専用媒体が登録されたBIOS(ブート装置)が、有利にはアクセス不可能であり、あるいは書込み保護される。例えば、最小システムは、例えば、“initrd”又は“initramfs”であり得る。
有利には、生産コンピュータシステムの最小システムにおけるキーコンピュータシステムの認証及び/又は承認が促され、これにおいて、キーコンピュータシステムと生産コンピュータシステムとの間の接続は、生産コンピュータシステムの最小システムにおけるキーコンピュータシステムの認証及び/又は承認が成功であるときのみ確立される。
ここで、「認証」は、キーコンピュータシステムがそれ自体、識別され、検証されることができることを意味する。「承認」は、信頼できるシステムを構成するキーコンピュータシステムが接続を確立することを許可されることを意味する。
キーコンピュータシステムの認証及び/又は承認は、例えば、生産コンピュータシステム内にキーコンピュータシステムのクレデンシャル又は他の識別パラメータ(例えば、IPアドレス、ネットワーク名等)を記憶することによって果たされることができる。ゆえに、生産コンピュータシステムへのアクセスは、キーコンピュータシステムに対してのみ許可される。(承認されていない第三者コンピュータシステムの)他の攻撃試行は、成功しないことになる。
好ましくは、本方法に従い、生産コンピュータシステムは、下記の手段(measures)、すなわち、
− 生産コンピュータシステムからキーコンピュータシステムに、指定されたシーケンスのパッケージデータを送ることであって、パッケージデータは、生産コンピュータシステムの識別を含む、こと
− 送られるパッケージデータを、キーコンピュータシステム内の所定のシーケンスとの適合性について検証すること
によって、キーコンピュータシステムに対してブートする用意のできたことを通信する。
上記の手段は、例えば、ノックデーモンを用いたいわゆるポートノッキングによって果たされ得る。このことは、本明細書に説明されるタイプの方法と関連するキーコンピュータシステムのすべてのネットワークポートが閉じられることを可能にし、したがって、キーコンピュータシステムのネットワークポートにおいて実行されるプログラム(これは、ネットワークを介して外部的に攻撃可能であることになる)が必要とされないという利点を提供する。
しかしならが、別法として又は追加的に、上記の手段には、あるIPアドレス又はあるネットワーク名からのパッケージの交換が含まれることがさらに想像できる。生産コンピュータシステムの識別のための上記の手段が、生産コンピュータシステムに対してフルアクセスを有する人間によって操作され、あるいは第三のコンピュータシステムに送信されるとしても、キーコンピュータシステムは、操作された第三のコンピュータシステムのシステムデータに関する情報についての不成功の比較に起因して、これが承認された(すなわち、信頼できる)生産コンピュータシステムでないことを検出することができる。こうして、キーコンピュータシステムは、操作された識別の、装われた生産コンピュータシステムによって一般にアドレス指定される可能性があり、しかし、パスフレーズ(例えば、ハッカーによって釣られる(fished)可能性がある)は、キーコンピュータシステムから第三のコンピュータシステムに送られないことになる。
有利には、ブートの用意は、生産コンピュータシステムがブートすることを意図することを、キーコンピュータシステムが検出することができるように示される。さらに、キーコンピュータシステムは、該キーコンピュータシステムがパスフレーズを送るか否かを決めることができる。例えば、生産コンピュータシステムがセキュリティ的に重大な失敗ステートにある場合(このことは、送られるパッケージデータを用いて符号化(エンコード)されることができる)、及び、ブートすることが当を得ておらず、あるいは禁止されている場合に、パスフレーズは送られないことになる。
説明される方法に従い、キーコンピュータシステムは、有利には、少なくとも1つの指定されたプログラムを生産コンピュータシステムに送信し、生産コンピュータシステム内で上記プログラムを実行し、生産コンピュータシステムのシステムデータに関する情報は、プログラムを用いて収集され、キーコンピュータシステムに送られる。
有利には、プログラムはキーコンピュータシステム内の読取専用媒体上に記憶され、操作されることができない。有利には、プログラムは生産コンピュータシステムに対して静的に結合され、ゆえに送信される。生産コンピュータシステムに対する送信の後、プログラムは、静的に結合された(ローカルの)仕方において実行される。このことは、例えばいわゆる「共有ライブラリ」を介した上記プログラムの実行の操作と、ゆえに、ネットワークを介した外部からの実行プログラムによる生産コンピュータシステムにおける操作とを防止する。有利には、プログラムは、生産コンピュータシステム上でちょうど同様に読取専用媒体内に記憶される。好ましくは、このことは、複数の目の原理によって果たされ得る。代替として又は追加で、対応するハードウェアに対する物理アクセス保護(例えば、封印等)が提供されてもよい。このことは、プログラムの若しくはハードウェアの操作、又はハードウェアの交換さえ防止する。
説明される方法内のプログラムの送信に対する代替として、それぞれのプログラムが、生産コンピュータシステム上に事前に記憶されることがさらに可能である。この場合、プログラムは、さらに有利には、読取専用媒体上に記憶される。このこともまた、複数の目の原理によって果たされ得る。代替として又は追加で、それぞれのハードウェアに対する物理アクセス保護(例えば、封印)が、ここで、それぞれの利点と共に同様に提供されてもよい。
有利には、説明されるタイプの方法において、パスフレーズは、少なくとも方法を実行する間、生産コンピュータシステム内に、暗号化された形式においても平文としても、永続的にも回復可能にも記憶されない。本明細書に説明される方法の間、パスフレーズは、ファイルシステムを解読するための、又は別個のマスタキーを解読する(次いで、マスタキーは、ファイルシステムデータを解読することに使用される)ためのキーとして、単に(いったん)使用され、生産システム内のいかなる場所にも永続的に記憶されない。好ましくは、パスフレーズのハッシュ値さえ、生産コンピュータシステム内に収集され及び/又は記憶されることがない。このことは、暗号化されたファイルシステムデータの解読の後、及び生産コンピュータシステムをブートした後、パスフレーズが外部の攻撃によって釣られること、又はユーザにとって可視であり若しくは再現可能であることを防止することになる。
好ましくは、説明されるタイプの方法において、パスフレーズは、キーコンピュータシステムに自動的に収集される。このことは、準備されたスキーム(例えば、ルックアップテーブル、所定の基準等)に従って果たされ得るが、しかし、別法として及び/又は追加的に、さらに(確率過程を用いて)偶然性によって(aleatorily)もあり得る。生成されたパスフレーズを複数回、又はただ1回のみ(すなわち、単一のブート処理に対して)使用することが可能である。生産コンピュータシステムを確立するときに1回だけパスフレーズを生成して、ファイルシステムデータ(又は、適切な場合、追加のマスタキー)を暗号化し、それから、任意のブート処理において安全な仕方においてキーコンピュータシステム内にパスフレーズを記憶して、上記で説明された方法を使用し、パスフレーズと適切である場合にマスタキーとを用いてファイルシステムデータを解読することができることが想像できる。代替として、任意の新しいブート処理において、又は指定された回数において、各々の場合に新しいパスフレーズでファイルシステムデータ(又は、適切な場合、追加のマスタキー)を暗号化し、これらを1つ又は複数の後続のブート処理において相応に解読することがさらに想像できる。
さらに、非対称暗号法(秘密/公開鍵)を用いて、生成されたパスフレーズをいったん再度公開鍵を用いて暗号化し、これを生産コンピュータシステムに送信し、これをそこで秘密鍵を用いて解読することが想像できる。適用可能な場合、複数の公開鍵を使用して1つの単一パスフレーズを暗号化し、これを複数の生産コンピュータシステムに送って、説明される方法に従ってこれらシステムをブートすることがさらに想像できる。
好ましくは、本明細書に説明される方法において、生産コンピュータシステムに対する第1のユーザグループのユーザのアクセスが、上記システムをブートした後、提供される。しかし、第1のユーザグループのユーザのキーコンピュータシステムに対するアクセスは、少なくとも指定された動作ステートにおいて防止される。
第1のユーザグループのユーザは、自身では、必要とされるパスフレーズの知識の欠如に起因して、生産コンピュータシステムのブートを開始することができない。説明される方法は、この目的で必要とされる。ブートした後にのみ、生産コンピュータシステムに対する第1のユーザグループのアクセス権(適用可能である場合、ローカル)が提供され得る。上記の意味におけるキーコンピュータシステムの指定された動作ステートは、本方法を実行するためであり、本方法を実行する間である。すなわち、第1のユーザグループ(例えば、生産コンピュータシステムの管理者)は、上記方法を実行するためのパスフレーズを生成し又は指定するためにキーコンピュータシステムにアクセスすることを、少なくとも禁止される。しかしながら、キーコンピュータシステムに対する第1のユーザグループのアクセスは、キーコンピュータシステムをセットアップし及び確立した後、永続的に禁止されてもよい。例えば、キーコンピュータシステムのすべてのネットワークポートが、ネットワークを介したアクセスを防止するために閉じられてもよく、したがって、キーコンピュータシステムは、攻撃される可能性のあるプログラムを実行しない。
代替として又は追加で、本明細書に説明されるタイプの方法において、キーコンピュータシステムに対する第2のユーザグループのユーザのアクセスが提供され、これにおいて、生産コンピュータシステムに対する第2のユーザグループのユーザのアクセスは、生産コンピュータシステムの少なくとも指定された動作ステートにおいて防止される。
ちょうど同様に、生産コンピュータシステムの指定された動作ステートは、本方法を実行するためであり、本方法を実行する間である。すなわち、第2のユーザグループ(例えば、キーコンピュータシステムを管理し及び/又は監視するセキュリティ委員会)は、ブートしている間、操作的な仕方において生産コンピュータシステムにアクセスすることを許されない。しかしながら、生産コンピュータシステムに対する第2のユーザグループのアクセスは、生産コンピュータシステムをセットアップし又は確立した後、永続的に禁止されてもよい。例えば、生産コンピュータシステムのすべてのネットワークポートが、上記システムのブートの後、ネットワークを介したアクセスを防止するために閉じられることができ、したがって、生産コンピュータシステムは、攻撃される可能性のあるいかなるプログラムも実行しない。
さらなる有利な実施形態が、下記の図の説明において開示される。
本発明は、複数の図面を用いて説明される。
生産コンピュータシステムの自動化されたブートの方法を実行するための、生産コンピュータシステムとキーコンピュータシステムとの配置の概略図である。 生産コンピュータシステムの自動化されたブートの方法の概略フローチャートである。 生産コンピュータシステムの自動化されたブートの方法の概略フローチャートである。 生産コンピュータシステムの自動化されたブートの方法の概略フローチャートである。
図1は、生産コンピュータシステム1とキーコンピュータシステム2との配置の全体像の例示を示している。一方又は双方のコンピュータシステムが、例えば、サーバであり得る。有利には、双方のコンピュータシステム1及び2は、ローカルのコンピュータネットワーク内にセットアップされ、したがって、双方のコンピュータシステム1及び2は、互いをアドレス指定し(addressing)、互いに通信することができる。双方向のデータ接続が、上記の目的で、双方のコンピュータシステム1及び2の間で提供される。
生産コンピュータシステム1とキーコンピュータシステム2との双方は、各々、(概略的に例示された)CPU3及び4、すなわち、データ処理のための1つ又は複数のプロセッサコアをそれぞれ含む。さらに、コンピュータシステム1及び2の双方は、各々、例示的な仕方において、少なくとも1つの記憶媒体5及び6をそれぞれ含み、上記媒体上に、データが記憶されることができる。図示されるコンピュータアーキテクチャは、単に例示である。図示される構成に対する代替として、記憶媒体5及び/又は6をストレージネットワーク(いわゆる、ストレージエリアネットワーク、SAN)内に編成することがさらに想像でき、したがって、これら媒体は、コンピュータシステム1及び/又は2の外部に配置され、しかしSANに関与する。
好ましくは、生産コンピュータシステム1は、主として、適用可能である場合、あるユーザデータを処理し及び記憶するように、及び上記データを他の生産コンピュータシステム(図示されていない)に送信するようにセットアップされ得る。ゆえに、生産コンピュータシステム1は、例えば、データベースサーバ、オンラインサービスサーバ等として、動作を供給する。
キーコンピュータシステム2は、上位の維持及び/又はセキュリティタスクに役立ち、とりわけ、生産コンピュータシステム1の制御された自動化されたブートをトリガするようにセットアップされる。
下記において、複数の方法ステップS1乃至S14の概略的過程が、図1を用いて、図2A乃至2Cと関連して例示される。
図2AによるステップS1において、生産コンピュータシステム1は、メインの動作ステートへと実際にブートする前のステートにある。ここで、生産コンピュータシステム1は、全体的にスイッチオフ(ハードオフ)されていてもよく、あるいは、エネルギー節約モード(ソフトオフ)であってもよく、生産コンピュータシステム1のすべての又は選択された動作コンポーネント又はコンポーネントが、それぞれ、スイッチオフされている(例えば、CPU3、記憶媒体5、ワーキングメモリ(図示されていない)等)。
上記ステートにおいて、生産コンピュータシステム1はブートされることになる。この目的で、生産コンピュータシステムは最小システム7を起動し、最小システム7は、生産コンピュータシステム1に対するネットワークを介したアドレス可能性(addressability)又はアクセス可能性(accessibility)を可能にする。例えば、最小システム7は、記憶媒体5の(例えば、ハードドライブのパーティションの)暗号化されていないセクタを用いて起動されることができる。例えば、最小システム7はSSHデーモンを含み、SSHデーモンは、生産コンピュータシステム1に対する外部のアドレス可能性及びアクセス可能性を可能にする。こうして、最小システム7は、生産コンピュータシステム1に対するアクセスのためのプラットフォームを形成する。それにもかかわらず、上記ステートにおける上記アクセスは、最小システム7を用いたアクセスを許可する記憶媒体5の暗号化されていないデータ又はセクタに専ら限定される。
具体的に、上記ステートにおいて、暗号化されたファイルシステムに対するアクセスは許可されず、システムは、暗号化された仕方において記憶媒体5に記憶されている。しかしながら、このファイルシステムは、生産コンピュータシステム1をブートすることに必要とされる。
図2AによるステップS2において、生産コンピュータシステム1がキーコンピュータシステム2に対してブートの用意(readiness)を成功裏に示しているか、すなわち、生産コンピュータシステム1がブートすることを意図することをキーコンピュータシステム2に対して通信しているかが確認される。例えば、生産コンピュータシステム1のブートに対する用意は、後者で、生産コンピュータシステム1がキーコンピュータシステム2に指定されたシーケンスのパッケージデータを送る点で示されることができ、これにより、生産コンピュータシステム1がブートすることを意図することが示される。例えば、このことは、生産コンピュータシステム1の側でキーコンピュータシステム2におけるノックデーモンを介してポートノッキング処理が実行される点で果たされ得る。ここで、すべてのネットワークポートがコンピュータシステム2において閉じられることができることは有利であり、したがって、攻撃可能であり得る外部のアクセスのための実行プログラムが必要とされない。
代替として又は追加で、生産コンピュータシステム1は、例えば、指定された識別パラメータ(例えば、IPアドレス、ネットワーク名等)さえ、キーコンピュータシステム2と交換することができ、これにより、ブートに関してそれぞれの用意のできたことが示される。
ブートの用意が成功裏に示されなかった場合、本方法は停止される。そうでない場合、本方法は、図1又は図2AによるステップS3に進む。
このさらなるステップS3において、次に、キーコンピュータシステム2が、生産コンピュータシステム1の最小システム7に対する接続を開始する。この目的で、最初、SSHデーモンにおけるキーコンピュータシステム2の認証及び/又は承認が、最小システム7内で果たされる。この目的で、例えば、クレデンシャルが検証されてもよく、あるいは別法として又は追加的に、キーコンピュータシステム2のさらなる識別パラメータが要求されてもよい。
ステップS4において、生産コンピュータシステム1におけるキーコンピュータシステム2の承認が成功裏に検証された場合、ステップS5において、生産コンピュータシステム1とキーコンピュータシステム2とにおける接続が、例えば最小システム7のSSHデーモンにおいてSSHを介して、確立される。そうでない場合、図2AによるステップS3におけるキーコンピュータシステム2の承認についての新たな検証が果たされるか、あるいは、代替として、本方法が停止されるかのいずれかである。場合により、それぞれの失敗した試行がログに記録され、あるいは通知されてもよい。このことは、本方法のセキュリティについて決定的であり得る。
図2AによるステップS5において接続を成功裏に確立した後、キーコンピュータシステム2は、生産コンピュータシステム1の最小システム7と通信し、データを交換することができる。
図1及び図2BによるステップS6において、キーコンピュータシステム2は、生産コンピュータシステム1に対してさらなるブート処理のために少なくとも1つのプログラムを送信する。このことは、図1において、キーコンピュータシステム2から生産コンピュータシステム1に複数のプログラムスクリプトを送ることによって概略的に例示されている。
ステップS7において、ステップS6でキーコンピュータシステム2から生産コンピュータシステム1に送信された上記少なくとも1つのプログラムが、静的に結合される(ローカルの)仕方において生産コンピュータシステム1内の最小システム7に組み込まれ、生産コンピュータシステム1上で実行される。このことは、図1において、生産コンピュータシステム1内に概略的に例示されている。例えば、プログラムは、Unixベースのシステムにおける“dmidecode”及び/又は“disk dump”(dd)であり得る。
ステップS7において、生産コンピュータシステム1のシステムデータに関する情報が、今や生産コンピュータシステム1内で実行されている上記プログラムを用いて収集される。この目的で、プログラムが、生産コンピュータシステム1のすべてのハードウェア又はソフトウェアコンポーネントの足跡を検出し、別法として又は追加的に、生産コンピュータシステム1内の個々又はすべてのプログラムデータのチェックサム及び/又はデータサイズを決定することができる。こうして、生産コンピュータシステム1内の現在存在するシステムステートの全体的イメージが検出され、対応する情報が収集される。
ステップS8において、情報が完全に検出されたとの決定が行われる場合、ステップS9において、この情報はキーコンピュータシステム2に送信される。そうでない場合、ステップS7(生産コンピュータシステム1内の情報を収集すること)がさらに実行される。図2Bに例示される過程に対する代替として、情報は、キーコンピュータシステム2に送信される前、最初、全体的に検出される必要はない。適用可能である場合、情報が部分的に検出され(ステップS7を参照)、それから、キーコンピュータシステム2に送信され、そこで検証され(ステップS9及びS10を参照)、それから、適用可能である場合、さらなる部分が検出され(ステップS7を参照)、送信され、検証される(ステップS9及びS10を参照)こと等が想像できる。
ステップS9は、図1において、生産コンピュータシステム1のシステムステートに関する情報がキーコンピュータシステム2の方向においてキーコンピュータシステム2に対して送信される点で概略的に例示されている。
さらに、ステップS10は、収集された情報の、事前に記憶された比較情報との比較であり、比較情報は、例えば、キーコンピュータシステム2内の記憶媒体6上に記憶される。このことは、図1において、コンピュータシステム2内の収集された情報が、記憶された比較情報と比較される点で(星印を参照)、概略的に図示されている。上記比較は、生産コンピュータシステム1がその現在の形態において(すなわち、検出されたシステムステートにおいて)信頼できるか、及び/又はキーコンピュータシステム2に知られているかどうかを決定する。このことは、生産コンピュータシステム1内の記憶媒体5上の暗号化されたファイルシステムを解読するセキュリティ関連のパスフレーズを釣るために生産コンピュータシステム1が承認されていない第三者により操作されたことを抑制する(suppress)。
なぜならば、生産コンピュータシステム1の(例えば、マルウェア、トロイ、キーロガー、フィッシング攻撃等による)操作は、収集された情報(図2BによるステップS7乃至S9を参照)がキーコンピュータシステム2内の事前に決定された比較情報にマッチしないことになるような方法で、生産コンピュータシステム1のシステムステートを変更することになるからである。
上記の比較が否定的である場合(図2BのステップS11を参照)、生産コンピュータシステム1はキーコンピュータシステム2にとってもはや信頼できず、したがって本方法は停止される。ゆえに、暗号化されたファイルシステムを用いて生産コンピュータシステム1をブートすることは、もはや不可能である。生産コンピュータシステム1を操作した可能性のある承認されていない第三者、又は第三者コンピュータシステムを用いて信頼できるソースを装うことを試みる承認されていない第三者は、生産コンピュータシステム1と、可能性として記憶媒体5上に記憶された機密コンテンツとに対して、アクセスを有さない。
しかしながら、ステップS11における比較が肯定的である場合、このことは、図1及び図2CによるステップS12において変更される。ステップS12において、キーコンピュータシステム2から生産コンピュータシステム1へのパスフレーズの自動化された転送が果たされる。このことは、図1において、ステップS12において「キー」がキーコンピュータシステム2から生産コンピュータシステム1に送信される点で概略的に例示されている。
パスフレーズは、生産コンピュータシステム1内の記憶媒体5上の暗号化ファイルシステムを暗号化し又は解読するマスタキーであり得る。ここで、パスフレーズは、非対称暗号法(秘密/公開鍵)によって再度いったん暗号化されてもよく、これにおいて、パスフレーズは、生産コンピュータシステム1の側の秘密鍵によってそれぞれ解読され、それから、ファイルシステムを解読するための平文におけるマスタキーとして利用可能になる。
代替として又は追加で、マスタキーがパスフレーズから生成され、あるいはパスフレーズとは別個のキーであり、それ自体、パスフレーズ用いて暗号化され又は解読されることがさらに想像できる。ここで、パスフレーズを用いて暗号化され又は解読されたマスタキーは、それ自体、ファイルシステムを解読し又は暗号化することに役立つ。
最後、ステップS13において、生産コンピュータシステム1の記憶媒体5上の暗号化されたファイルシステムデータの解読が果たされる。このことは、図1において、「キー」が生産コンピュータシステム1内の(少なくとも部分的に)暗号化された記憶媒体5と一緒にもたらされる点で、概略的に例示されている。生産コンピュータシステム1をブートするために、ファイルシステムデータは平文において必要とされる。例えば、ファイルシステムデータは、生産コンピュータシステム1内のオペレーティングシステムのプログラムデータであり得る。ファイルシステム全体か、又は処理(例えば、ブートすること)に必要とされる部分だけかのいずれかを解読することが想像できる。後者の場合、データシステムは、その全体として暗号化されはしない。パスフレーズは、対応するツールを介して、生産コンピュータシステム1の少なくとも1つの解読エンティティに対して転送される。それから、要件に依存して、上記エンティティは記憶媒体5の部分を(可能性として、上記で説明されたとおり追加のマスタキーを用いて)解読する。
送信されたパスフレーズを用いて、暗号化されたファイルシステムを解読した後、ファイルシステムデータは図2CによるステップS14において最終的にロードされることができ、生産コンピュータシステム1がブートされることができる。例えば、オペレーティングシステムがこの目的でフルにロードされ得る。
その後、本方法は終了する。
本明細書に説明される方法は、生産コンピュータシステム1がキーコンピュータシステム2の制御下で自動化された仕方においてブートされることができる利点を提供し、これにおいて、暗号化されたファイルシステムは、自動化された仕方においてキーコンピュータシステム2から生産コンピュータシステム1に送信されるパスフレーズを用いて解読されることができる。生産コンピュータシステム1の側において、パスフレーズの知識において生産コンピュータシステムにおけるブート処理をトリガする人間(例えば、管理者)は、必要とされない。このことは、セキュリティ的に重大な(security-critical)パスフレーズが承認されていない第三者に対して送信され、あるいはこうした第三者により盗まれはしないという利点を提供する。
パスフレーズは、キーコンピュータシステム2を用いて、キーコンピュータシステム2に対するアクセスを有するユーザグループによって設定されることができる。しかしながら、パスフレーズが、キーコンピュータシステム2内で指定された処理を用いて自動化された仕方において生成されることがさらに想像できる。このことは、(生産コンピュータシステム1についてもキーコンピュータシステム2についても)ユーザのいずれも、収集され及び送信されたパスフレーズを知らないという利点を提供し得る。このことは、セキュリティ手段をさらに増大させ得る。
有利には、単に第1のユーザグループの承認されたユーザは生産コンピュータシステム1に対するアクセスを有し、しかしキーコンピュータシステム2に対するアクセスを有さない。さらに、第2のユーザグループの承認されたユーザはキーコンピュータシステム2に対するアクセスを有し、しかし生産コンピュータシステム1に対するアクセスを有さない。それぞれのコンピュータシステム1又は2に対するネットワークを介したアクセスは、例えば、コンピュータシステム1及び2それぞれのすべてのネットワークポートが全体的に閉じられ、したがってアクセスがネットワークを介して不可能である点で、指定された状況において制限され得る。
図1によるすべてのコンポーネントは、明りょうさのために単に概略的に例示されている。すべての用語は単に例示である。生産コンピュータシステム1とキーコンピュータシステム2との例示されたコンピュータアーキテクチャは単に例示である。図2A乃至2Cに例示された方法手順は単に例示であり、本出願の中心思想により許されるかぎり、当業者によって調整され又はモディファイされることが可能である。
1 生産コンピュータシステム
2 キーコンピュータシステム
3、4 CPU
5、6 記憶媒体
7 最小システム
S1乃至S14 方法ステップ

Claims (10)

  1. 生産コンピュータシステムをブートする方法であって、下記のステップ、すなわち、
    − キーコンピュータシステムと前記生産コンピュータシステムとの間の接続を確立するステップと、
    − 前記生産コンピュータシステムのシステムデータに関する情報を収集するステップと、
    − 前記生産コンピュータシステムのシステムデータに関する情報を前記キーコンピュータシステムに送信するステップと、
    − 前記の収集された情報を、前記キーコンピュータシステムに記憶された比較情報と比較するステップと、
    − 前記比較が成功である場合、前記キーコンピュータシステムから前記生産コンピュータシステムに、前記生産コンピュータシステム内の媒体上の暗号化されたファイルシステムデータの解読のためのパスフレーズの自動化された送信をするステップと、
    − 前記パスフレーズを用いて前記媒体上の暗号化されたファイルシステムデータを解読するステップと、
    − 前記の解読されたファイルシステムデータをロードし、前記生産コンピュータシステムをブートするステップと、
    を含む方法。
  2. 前記システムデータに関する情報は、
    − 利用可能なハードウェアに関する情報、
    − アプリケーションプログラムのチェックサム及び/又はファイルサイズ、
    − オペレーティングシステムコアのチェックサム及び/又はファイルサイズ、
    − 完全なファイル、又は大量のコアイメージ、
    のうち少なくとも1つを含む、請求項1に記載の方法。
  3. 前記生産コンピュータシステムは、前記接続を確立するために前記生産コンピュータシステムに対する前記キーコンピュータシステムのアクセスを許可する最小システムを起動する、請求項1又は2に記載の方法。
  4. 前記キーコンピュータシステムの認証及び/又は承認が、前記生産コンピュータシステムの前記最小システムにおいて要求され、前記キーコンピュータシステムと前記生産コンピュータシステムとの間の前記接続は、前記生産コンピュータシステムの前記最小システムにおける前記キーコンピュータシステムの認証及び/又は承認が成功である場合にのみ確立される、請求項3に記載の方法。
  5. 前記生産コンピュータシステムは、下記の手段、すなわち、
    − 前記生産コンピュータシステムから前記キーコンピュータシステムに、指定されたシーケンスのパッケージデータを送ることであって、前記パッケージデータは前記生産コンピュータシステムの識別を含む、こと、
    − 前記の送られるパッケージデータを、前記キーコンピュータシステム内の所定のシーケンスとの適合性について検証すること、
    によって、ブートの用意を前記キーコンピュータシステムに通信する、請求項1乃至4のうちいずれか1項に記載の方法。
  6. 前記キーコンピュータシステムは、少なくとも1つの指定されたプログラムを前記生産コンピュータシステムに送信し、前記生産コンピュータシステム内で前記プログラムを実行し、前記生産コンピュータシステムのシステムデータに関する情報は、前記プログラムを用いて収集され、前記キーコンピュータシステムに送信される、請求項1乃至5のうちいずれか1項に記載の方法。
  7. 前記パスフレーズは、少なくとも当該方法の実行の間、解読された形式においても平文においても、前記生産コンピュータシステム内に永続的に回復可能にも記憶されない、請求項1乃至6のうちいずれか1項に記載の方法。
  8. 前記パスフレーズは、前記キーコンピュータシステム内で自動的に収集される、請求項1乃至7のうちいずれか1項に記載の方法。
  9. 前記生産コンピュータシステムに対する第1のユーザグループのユーザのアクセスは、前記生産コンピュータシステムのブートの後に提供され、しかし、前記第1のユーザグループのユーザの前記キーコンピュータシステムに対するアクセスは、前記キーコンピュータシステムの少なくとも指定された動作ステートにおいて防止される、請求項1乃至8のうちいずれか1項に記載の方法。
  10. 前記キーコンピュータシステムに対する第2のユーザグループのユーザのアクセスが提供され、しかし、前記第2のユーザグループのユーザの前記生産コンピュータシステムに対するアクセスは、前記生産コンピュータシステムの少なくとも指定された動作ステートにおいて防止される、請求項9に記載の方法。
JP2016551860A 2014-02-13 2015-01-27 生産コンピュータシステムをブートする方法 Expired - Fee Related JP6300942B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102014101836.2A DE102014101836A1 (de) 2014-02-13 2014-02-13 Verfahren zum Hochfahren eines Produktions-Computersystems
DE102014101836.2 2014-02-13
PCT/EP2015/051603 WO2015121061A1 (de) 2014-02-13 2015-01-27 Verfahren zum hochfahren eines produktions-computersystems

Publications (2)

Publication Number Publication Date
JP2017511921A true JP2017511921A (ja) 2017-04-27
JP6300942B2 JP6300942B2 (ja) 2018-03-28

Family

ID=52450086

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016551860A Expired - Fee Related JP6300942B2 (ja) 2014-02-13 2015-01-27 生産コンピュータシステムをブートする方法

Country Status (5)

Country Link
US (1) US10114654B2 (ja)
EP (1) EP3105899B1 (ja)
JP (1) JP6300942B2 (ja)
DE (1) DE102014101836A1 (ja)
WO (1) WO2015121061A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102107277B1 (ko) * 2016-08-08 2020-05-06 (주)나무소프트 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
CN115357295B (zh) * 2022-10-21 2023-03-31 荣耀终端有限公司 系统回退方法、设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006179007A (ja) * 2004-12-22 2006-07-06 Sap Ag セキュリティで保護されたライセンス管理
JP2009129061A (ja) * 2007-11-21 2009-06-11 Ricoh Co Ltd 情報処理装置、正当性検証方法および正当性検証プログラム
JP2011003020A (ja) * 2009-06-18 2011-01-06 Toyota Infotechnology Center Co Ltd コンピューターシステムおよびプログラム起動方法
JP2011258199A (ja) * 2010-06-03 2011-12-22 Intel Corp Tpmアクセスを仮想化するシステム、方法および装置
JP2012008641A (ja) * 2010-06-22 2012-01-12 Toshiba Tec Corp セキュリティデバイス及び情報処理装置
JP2013175112A (ja) * 2012-02-27 2013-09-05 Hitachi Ltd 認証装置、および、認証方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8140824B2 (en) 2002-11-21 2012-03-20 International Business Machines Corporation Secure code authentication
JP4489030B2 (ja) * 2005-02-07 2010-06-23 株式会社ソニー・コンピュータエンタテインメント プロセッサ内にセキュアな起動シーケンスを提供する方法および装置
US8856512B2 (en) * 2008-12-30 2014-10-07 Intel Corporation Method and system for enterprise network single-sign-on by a manageability engine
US9544137B1 (en) * 2010-12-29 2017-01-10 Amazon Technologies, Inc. Encrypted boot volume access in resource-on-demand environments

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006179007A (ja) * 2004-12-22 2006-07-06 Sap Ag セキュリティで保護されたライセンス管理
JP2009129061A (ja) * 2007-11-21 2009-06-11 Ricoh Co Ltd 情報処理装置、正当性検証方法および正当性検証プログラム
JP2011003020A (ja) * 2009-06-18 2011-01-06 Toyota Infotechnology Center Co Ltd コンピューターシステムおよびプログラム起動方法
JP2011258199A (ja) * 2010-06-03 2011-12-22 Intel Corp Tpmアクセスを仮想化するシステム、方法および装置
JP2012008641A (ja) * 2010-06-22 2012-01-12 Toshiba Tec Corp セキュリティデバイス及び情報処理装置
JP2013175112A (ja) * 2012-02-27 2013-09-05 Hitachi Ltd 認証装置、および、認証方法

Also Published As

Publication number Publication date
WO2015121061A1 (de) 2015-08-20
EP3105899B1 (de) 2018-06-06
US20170060597A1 (en) 2017-03-02
JP6300942B2 (ja) 2018-03-28
EP3105899A1 (de) 2016-12-21
DE102014101836A1 (de) 2015-08-13
US10114654B2 (en) 2018-10-30

Similar Documents

Publication Publication Date Title
RU2756048C2 (ru) Адресация доверенной среды исполнения с использованием ключа шифрования
JP5635539B2 (ja) リモートプリブート認証
EP2913956B1 (en) Management control method and device for virtual machines
US10530576B2 (en) System and method for computing device with improved firmware service security using credential-derived encryption key
US7318235B2 (en) Attestation using both fixed token and portable token
RU2756040C2 (ru) Адресация доверенной среды исполнения с использованием ключа подписи
US9507964B2 (en) Regulating access using information regarding a host machine of a portable storage drive
EP1953669A2 (en) System and method of storage device data encryption and data access via a hardware key
CN101441601B (zh) 一种硬盘ata指令的加密传输的方法及系统
US11055414B2 (en) Method for a secured start-up of a computer system, and configuration comprising a computer system and an external storage medium connected to the computer system
JP2012530967A (ja) 記憶装置のリモートアクセス制御
KR20080071528A (ko) 저장 장치 데이터 암호화와 데이터 액세스를 위한 방법 및시스템
US20040117318A1 (en) Portable token controlling trusted environment launch
US9529733B1 (en) Systems and methods for securely accessing encrypted data stores
US20170012945A1 (en) System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading
US11755499B2 (en) Locally-stored remote block data integrity
US11501005B2 (en) Security system for using shared computational facilities
JP6300942B2 (ja) 生産コンピュータシステムをブートする方法
KR101445708B1 (ko) 보안 시스템, 이를 위한 단말기 및 보안 방법
Kim et al. Security analysis and bypass user authentication bound to device of windows hello in the wild
KR20220042042A (ko) 원격 업무 환경 제공 장치 및 방법
US11991150B2 (en) Apparatus and method for providing remote work environment
KR20100031408A (ko) 네크워크 시스템에서 가상화 및 신뢰 플랫폼 모듈을 이용한데이터 보안 처리 방법 및 기록매체
JP2006092081A (ja) 不特定者または多数者が利用するパソコンの安全な起動利用方法及びそのような利用を実現する記録媒体
KR20160067547A (ko) 개선된 mtm의 세션 및 키 관리 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170926

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171017

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180227

R150 Certificate of patent or registration of utility model

Ref document number: 6300942

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees