JP2018084866A - 情報処理装置、情報処理方法及びプログラム - Google Patents
情報処理装置、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP2018084866A JP2018084866A JP2016225978A JP2016225978A JP2018084866A JP 2018084866 A JP2018084866 A JP 2018084866A JP 2016225978 A JP2016225978 A JP 2016225978A JP 2016225978 A JP2016225978 A JP 2016225978A JP 2018084866 A JP2018084866 A JP 2018084866A
- Authority
- JP
- Japan
- Prior art keywords
- access
- level
- processing means
- information processing
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】セキュア領域内のデータの秘匿性を担保しつつ、非セキュア領域のプログラム開発における制限を緩和することを目的とする。【解決手段】セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサを有し、第2の処理手段は、第1の処理手段に付加されている認証レベルに基づき、第1の処理手段のアクセス領域へのアクセスを制御する。【選択図】図2
Description
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
情報の漏えいや改ざんを防ぐため、計算器リソースの分割や仮想化の技術が普及している。例えば、ARM社のTrustZone(登録商標)に代表される技術では、単一のプロセッサでありながら、計算器リソースをセキュア領域と非セキュア領域とでハードウェアレベルで分離することができる。そして、非セキュア領域内で動作するプログラムはセキュア領域内のデータに直接アクセスできない。そのため、万一、非セキュア領域内でマルウェアが動作し、機密データを盗聴又は改ざんしようとしたとしても、機密データをセキュア領域内に保管しておけば漏えい又は改ざんを防ぐことができる。
また、仮想化技術では、信頼性等を判断できないプログラムをサンドボックスや仮想空間内で実行することで、実際のシステムと分離し、セキュリティを高めている。
また、仮想化技術では、信頼性等を判断できないプログラムをサンドボックスや仮想空間内で実行することで、実際のシステムと分離し、セキュリティを高めている。
従来技術では、非セキュリティ領域のプログラムがセキュリティ領域から得られる情報は限られており、アクセスできるデータも制限されている。したがって、非セキュア領域のプログラムの開発が制限されていた。
本発明は、セキュア領域内のデータの秘匿性を担保しつつ、非セキュア領域のプログラム開発における制限を緩和することを目的とする。
本発明は、セキュア領域内のデータの秘匿性を担保しつつ、非セキュア領域のプログラム開発における制限を緩和することを目的とする。
本発明は、セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサを有し、前記第2の処理手段は、前記第1の処理手段に付加されている認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する。
本発明によれば、セキュア領域内のデータの秘匿性を担保しつつ、非セキュア領域のプログラム開発における制限を緩和することができる。
以下、本発明の実施形態について図面に基づいて説明する。
図1は、情報処理装置10のハードウェア構成の一例を示す図である。
プロセッサ11は、システムバス14に接続された各種デバイスの制御を行う。
ROM12は、BIOSのプログラムやブートプログラムを記憶する。
RAM13は、プロセッサ11の主記憶装置として使用される。
キーボードコントローラ(KBC)15は、マウス等のポインティングデバイス(PD)109や、キーボード(KB)20からの情報等の入力に係る処理を行う。
表示制御部(CRTC)16は、内部にビデオメモリを有し、プロセッサ11からの指示に従ってそのビデオメモリに描画すると共に、ビデオメモリに描画されたイメージデータをビデオ信号としてCRT21に出力する。なお、図1において表示装置としてCRT21を例示しているが、液晶表示装置等、その表示装置の種類は問わない。
ディスクコントローラ(DKC)17は、ハードディスク(HDD)22へのアクセスを行う。
ネットワークインタフェースカード(NIC)18は、ネットワークに接続し、ネットワークを介しての情報通信を行うものである。
なお、HDD22には、OSのプログラムやOS上で動作する各種アプリケーションのプログラム等が格納される。HDD22は、記憶領域の一例である。
上記構成において、情報処理装置10の電源がONになると、プロセッサ11は、ROM12に格納されたブートプログラムに従って、HDD22からOSのプログラムをRAM13に読み込み、処理を実行することによって、各装置の機能を実現する。
情報処理装置10のプロセッサ11がROM12又はHDD22に記憶されているプログラムに基づき処理を実行することによって、後述する図2、図4のプロセッサ11の機能構成及び後述する図3のフローチャートの処理が実現される。また、後述する実施形態2の場合、情報処理装置10のセキュリティデバイス等のCPU又はプロセッサがセキュリティデバイスのメモリ等に記憶されているプログラムに基づき処理を実行することにより、後述する図4のセキュリティデバイス302の機能及び後述する図6のフローチャートの処理が実現される。
プロセッサ11は、システムバス14に接続された各種デバイスの制御を行う。
ROM12は、BIOSのプログラムやブートプログラムを記憶する。
RAM13は、プロセッサ11の主記憶装置として使用される。
キーボードコントローラ(KBC)15は、マウス等のポインティングデバイス(PD)109や、キーボード(KB)20からの情報等の入力に係る処理を行う。
表示制御部(CRTC)16は、内部にビデオメモリを有し、プロセッサ11からの指示に従ってそのビデオメモリに描画すると共に、ビデオメモリに描画されたイメージデータをビデオ信号としてCRT21に出力する。なお、図1において表示装置としてCRT21を例示しているが、液晶表示装置等、その表示装置の種類は問わない。
ディスクコントローラ(DKC)17は、ハードディスク(HDD)22へのアクセスを行う。
ネットワークインタフェースカード(NIC)18は、ネットワークに接続し、ネットワークを介しての情報通信を行うものである。
なお、HDD22には、OSのプログラムやOS上で動作する各種アプリケーションのプログラム等が格納される。HDD22は、記憶領域の一例である。
上記構成において、情報処理装置10の電源がONになると、プロセッサ11は、ROM12に格納されたブートプログラムに従って、HDD22からOSのプログラムをRAM13に読み込み、処理を実行することによって、各装置の機能を実現する。
情報処理装置10のプロセッサ11がROM12又はHDD22に記憶されているプログラムに基づき処理を実行することによって、後述する図2、図4のプロセッサ11の機能構成及び後述する図3のフローチャートの処理が実現される。また、後述する実施形態2の場合、情報処理装置10のセキュリティデバイス等のCPU又はプロセッサがセキュリティデバイスのメモリ等に記憶されているプログラムに基づき処理を実行することにより、後述する図4のセキュリティデバイス302の機能及び後述する図6のフローチャートの処理が実現される。
<実施形態1>
実施形態1の情報処理装置10はセキュア領域に判定モジュールを持たせることにより、アクセス可能なデバイスを制限する方法である。
図2は、実施形態1の情報処理装置10の機能構成の一例を示す図である。
事前認証部100は、事前にプログラムを認証する。事前認証部100は、情報処理装置10とネットワーク等を介して通信可能な他の装置に実装されてもよいが、本実施形態では、情報処理装置10に実装されているものとして説明を行う。なお、工場等で製品プログラム作成時に認証を事前に付加できるようにしてもよい。事前認証部100は、認証レベルを満たすプログラムか否か事前に判定し、判定結果が許可(認証レベルを満たすプログラム)である場合、認証レベル付加情報1012をプログラム1011に付加する機能を有する。認証レベルの申請方法は特に規定しない。認証レベル付加情報1012は、例えば電子証明書等のセキュリティが担保された証明手段を用いるのがよいが、セキュリティが担保されたシステムでは認証レベルのレベル情報のみを付加する等、その他の手段を用いてもよい。
実施形態1の情報処理装置10はセキュア領域に判定モジュールを持たせることにより、アクセス可能なデバイスを制限する方法である。
図2は、実施形態1の情報処理装置10の機能構成の一例を示す図である。
事前認証部100は、事前にプログラムを認証する。事前認証部100は、情報処理装置10とネットワーク等を介して通信可能な他の装置に実装されてもよいが、本実施形態では、情報処理装置10に実装されているものとして説明を行う。なお、工場等で製品プログラム作成時に認証を事前に付加できるようにしてもよい。事前認証部100は、認証レベルを満たすプログラムか否か事前に判定し、判定結果が許可(認証レベルを満たすプログラム)である場合、認証レベル付加情報1012をプログラム1011に付加する機能を有する。認証レベルの申請方法は特に規定しない。認証レベル付加情報1012は、例えば電子証明書等のセキュリティが担保された証明手段を用いるのがよいが、セキュリティが担保されたシステムでは認証レベルのレベル情報のみを付加する等、その他の手段を用いてもよい。
プロセッサ101は、図1のプロセッサ11と同様である。レベル1アクセス領域102は、例えば、図1のRAM13である。レベル1アクセス領域102より低いアクセス許可レベルを持つレベルnアクセス領域103は、例えば、図1のROM12である。ここで、nは、2以上の自然数である。アクセス許可レベルを有さない非セキュアデバイス104は、例えば、図1のHDD22である。なお、アクセス許可レベルは2つ以上に細分化されていてもよく、また、同一アクセス許可レベルを有するデバイスが複数あってもよい。図2はレベルnアクセス領域103を1つ具備する例を示している。プロセッサ101には非セキュア領域とセキュア領域とが存在し、モニタ1013は、セキュア領域で動作する。モニタ1013がセキュア領域内のセキュリティを担保している仕組みである。モニタ1013は、判定モジュール1014を有する。判定モジュール1014によりプログラム1011に関するアプリケーションの領域等の細かなアクセス制御が可能となる。判定モジュール1014は事前認証部100によってプログラムに付加された認証レベル付加情報1012からプログラム(プロセッサ11がプログラムに基づき処理を実行することにより実現されるアプリケーション)がアクセス可能なデバイスの範囲を選択する。判別されたレベルに応じて、プログラムは、アクセス領域にアクセスすることができる。例えば、認証レベルが最も高いレベル1認証を受けたプログラム(プログラムに関するアプリケーション)であれば、レベル1アクセス領域102、アクセス許可レベルが下位のレベルnアクセス領域103、非セキュアデバイス104へのアクセスが許可される。一方、認証レベルがレベルn認証を受けたプログラムは認証レベルよりもアクセス許可レベルの高いレベル1アクセス領域102へのアクセスは禁止され、レベルnアクセス領域103及び非セキュアデバイス104へのみアクセスが許可される。アクセス制御はモニタ1013内の判定モジュール1014にて制御される。判定モジュール1014は、レベルを満たさないプログラムのアクセスは拒否する。より具体的に説明すると、判定モジュール1014は、アプリケーションに関するプログラムに付加されている認証レベルと複数のアクセス領域(102〜104)の各々のアクセスレベルとに基づき、アクセスを制御する。即ち、判定モジュール1014は、アプリケーションに関するプログラムの認証レベルと複数のアクセス領域の各々のアクセスレベルとに基づき、複数のアクセス領域のうち、アプリケーションがアクセス可能なアクセス領域へのアクセスを許可する。レベル1アクセス領域102は、レベル1というアクセスレベルが設定されたアクセス領域の一例である。レベルnアクセス領域103は、レベルnというアクセスレベルが設定されたアクセス領域の一例である。
プロセッサ101の非セキュア領域は、セキュリティを確認していない第1の処理手段を動作させる非セキュア領域の一例である。また、プロセッサ101のセキュア領域は、セキュリティを確認している第2の処理手段を動作させるセキュア領域の一例である。プロセッサ101がプログラム1011に基づき処理を実行することにより実現されるアプリケーション、又はプログラム1011は、第1の処理手段の一例である。また、モニタ1013、又は判定モジュール1014は、第2の処理手段の一例である。
プロセッサ101の非セキュア領域は、セキュリティを確認していない第1の処理手段を動作させる非セキュア領域の一例である。また、プロセッサ101のセキュア領域は、セキュリティを確認している第2の処理手段を動作させるセキュア領域の一例である。プロセッサ101がプログラム1011に基づき処理を実行することにより実現されるアプリケーション、又はプログラム1011は、第1の処理手段の一例である。また、モニタ1013、又は判定モジュール1014は、第2の処理手段の一例である。
図3は、認証レベルの判定処理の一例を示すフローチャートである。
S201において、判定モジュール1014は、認証レベル付加情報1012から事前認証された認証レベルを取得する。例えば電子証明書で認証されている場合、判定モジュール1014は、認証レベルを証明書から取得する。
S202において、判定モジュール1014は、取得した認証レベルが1であるか否かを判定する。判定モジュール1014は、認証レベルが1であると判定した場合(S202においてYes)、S204に進み、認証レベルが1でないと判定した場合(S202においてNo)、S203に進む。
S204において、判定モジュール1014は、レベル1以下のアクセス許可レベルのデバイスへのアクセスを許可する。
S203において、判定モジュール1014は、認証レベルが2であるか否かを判定する。判定モジュール1014は、認証レベルが2であると判定した場合(S203においてYes)、S205に進み、認証レベルが設定されていないと判定した場合(S203においてNo)、S206に進む。
S205において、判定モジュール1014は、レベル2以下のアクセス許可レベルのデバイスへのアクセスを許可する。判定モジュール1014は、認証レベル、アクセス許可レベルが更に複数に細分化されている場合には細分化されている認証レベル、アクセス許可レベルに合わせて、S203、S205等の処理を繰り返す。
S206において、判定モジュール1014は、非セキュアデバイス104のみへのアクセスを許可する。
S207において、判定モジュール1014は、プログラム1011が処理を終了するか否かを判定する。判定モジュール1014は、プログラム1011が処理を終了すると判定すると(S207においてYes)、S201に進み、再度、認証レベルの判定処理を開始する。判定モジュール1014は、プログラム1011が処理を終了しないと判定すると(S207においてNo)、S202に進み、プログラム1011が終了するまでデバイスに対するアクセスが許可される。
S201において、判定モジュール1014は、認証レベル付加情報1012から事前認証された認証レベルを取得する。例えば電子証明書で認証されている場合、判定モジュール1014は、認証レベルを証明書から取得する。
S202において、判定モジュール1014は、取得した認証レベルが1であるか否かを判定する。判定モジュール1014は、認証レベルが1であると判定した場合(S202においてYes)、S204に進み、認証レベルが1でないと判定した場合(S202においてNo)、S203に進む。
S204において、判定モジュール1014は、レベル1以下のアクセス許可レベルのデバイスへのアクセスを許可する。
S203において、判定モジュール1014は、認証レベルが2であるか否かを判定する。判定モジュール1014は、認証レベルが2であると判定した場合(S203においてYes)、S205に進み、認証レベルが設定されていないと判定した場合(S203においてNo)、S206に進む。
S205において、判定モジュール1014は、レベル2以下のアクセス許可レベルのデバイスへのアクセスを許可する。判定モジュール1014は、認証レベル、アクセス許可レベルが更に複数に細分化されている場合には細分化されている認証レベル、アクセス許可レベルに合わせて、S203、S205等の処理を繰り返す。
S206において、判定モジュール1014は、非セキュアデバイス104のみへのアクセスを許可する。
S207において、判定モジュール1014は、プログラム1011が処理を終了するか否かを判定する。判定モジュール1014は、プログラム1011が処理を終了すると判定すると(S207においてYes)、S201に進み、再度、認証レベルの判定処理を開始する。判定モジュール1014は、プログラム1011が処理を終了しないと判定すると(S207においてNo)、S202に進み、プログラム1011が終了するまでデバイスに対するアクセスが許可される。
判定モジュール1014の機能によりアクセスできる情報の範囲をプログラム毎に限定することができ、例えば、画像へのアクセスは許可するが、画像の原本性保証機能へのアクセスは拒否する等、非セキュア領域で実行されているプログラム毎に設定可能である。
<実施形態2>
図4は、実施形態2の情報処理装置10の機能構成の一例を示す図である。
事前認証部300は、事前にプログラムを認証する。事前認証部300は、情報処理装置10とネットワーク等を介して通信可能な他の装置に実装されてもよいが、本実施形態では、情報処理装置10に実装されているものとして説明を行う。事前認証部300は、認証レベルを満たすプログラムか否か事前に判定し、判定結果が許可(認証レベルを満たすプログラム)である場合、認証レベル付加情報3012をプログラム3011に付加する機能を有する。認証レベルの申請方法は特に規定しない。認証レベル付加情報3012は、例えば電子証明書等のセキュリティが担保された証明手段を用いるのがよいが、セキュリティが担保されたシステムでは認証レベルのレベル情報のみを付加する等、その他手段を用いてもよい。
図4は、実施形態2の情報処理装置10の機能構成の一例を示す図である。
事前認証部300は、事前にプログラムを認証する。事前認証部300は、情報処理装置10とネットワーク等を介して通信可能な他の装置に実装されてもよいが、本実施形態では、情報処理装置10に実装されているものとして説明を行う。事前認証部300は、認証レベルを満たすプログラムか否か事前に判定し、判定結果が許可(認証レベルを満たすプログラム)である場合、認証レベル付加情報3012をプログラム3011に付加する機能を有する。認証レベルの申請方法は特に規定しない。認証レベル付加情報3012は、例えば電子証明書等のセキュリティが担保された証明手段を用いるのがよいが、セキュリティが担保されたシステムでは認証レベルのレベル情報のみを付加する等、その他手段を用いてもよい。
プロセッサ301は、図1のプロセッサ11と同様である。セキュリティデバイス302は、レベル1アクセス領域3022、レベル1アクセス領域3022より低いアクセス許可レベルを持つレベルnアクセス領域3023、及びアクセス許可レベルを有さない非セキュアデバイス3024を含む。また、セキュリティデバイス302は、判定モジュール3021を含む。図4において、303は、セキュリティ領域であり、304は、非セキュリティ領域である。セキュリティデバイス302は、例えば、図1のHDD22である。アクセス許可レベルは2つ以上に細分化されていてもよく、また、同一アクセス許可レベルを有するデバイスが複数あってもよい。図4はセキュリティデバイス302が1つ、レベルnアクセス領域3023を1つ有する例を示している。プロセッサ301には非セキュア領域とセキュア領域とが存在し、モニタ3013はセキュア領域で動作する。モニタ3013がセキュア領域内のセキュリティを担保している仕組みである。モニタ3013は、判定モジュール3014と、通知モジュール3015と、を有する。
判定モジュール3014、通知モジュール3015及び判定モジュール3021の組み合わせによりプログラム3011に関するアプリケーションの領域等の細かなアクセス制御が可能となる。判定モジュール3014は、事前認証部300によってプログラムに付加された認証レベル付加情報3012からプログラムがアクセス可能なデバイスの範囲を選択する。通知モジュール3015は、図5に示すプロトコルを用いて判定モジュール3021にプログラムの認証レベルを通知する。プロセッサ301が接続されるバスプロトコルの一例を図5に示す。アドレスチャネル500、502、504、510、512とデータチャネル501、503、511、513とがある。読み書きを通知する信号5001、データを通知する信号5002、及びセキュア領域からのアクセスか非セキュア領域からのアクセスかを通知するNSビット5003の信号が既に存在する。本実施形態では図5に示す信号を用いて、バスプロトコル、プロセッサの修正なくアクセス許可レベルを通知する手法を示す。例えば、通知モジュール3015は、特定アドレスに対して、信号505(読込命令)、506(書込命令)、507(読込命令)を一つのアクセスパターンとして定義する。通知モジュール3015は、パターンを検知した場合、書き込み命令506によって書き込まれるデータ508に通知する認証レベルのレベル情報を重畳する。このような手法の特殊コマンドは既存バスの規格に則ったものであり、本実施形態の機能のためにバスプロトコル拡張なしに容易にアクセス許可レベルの細分化が可能となる。
上述した方法ではデータアクセス毎にアクセスパターン通知のオーバヘッドが発生する。そのため、オーバヘッドを解決するための手段として、通知モジュール3015は、NSビット5003に認証レベルのレベル情報を持たせるようにしてもよい。通知モジュール3015は、通知する認証レベルのレベル情報に合致するパターンをレベル通知信号一覧516より選択する。そして、通知モジュール3015は、選択した信号を同一アドレスチャネル510内においてNSビット5003の信号レベルを変化させることにより通知する。例えば、通知モジュール3015は、認証レベル1を通知する場合にはレベル1通知514信号として、認証レベル2を通知したい場合にはレベル2通知515として通知する。これら判定モジュール3014、通知モジュール3015及び判定モジュール3021の組み合わせの情報処理により、以下のことが可能となる。判別されたレベルに応じて、例えば、一番高いレベル1認証を受けたプログラムに関するアプリケーションであればレベル1アクセス領域3022、アクセス許可レベルが下位のレベルnアクセス領域3023及び非セキュアデバイス3024へアクセス可能である。レベルn認証を受けたプログラムに関するアプリケーションは、認証レベルよりもアクセス許可レベルの高いレベル1アクセス領域3022へのアクセスは禁止され、レベルnアクセス領域3023及び非セキュアデバイス3024へのみアクセスが許可される。アクセス制御はセキュリティデバイス302内の判定モジュール3021にて制御されるものとし、上述のとおりレベルを満たさないプログラムのアクセスは拒否される。
プロセッサ301の非セキュア領域は、セキュリティを確認していない第1の処理手段を動作させる非セキュア領域の一例である。また、プロセッサ301のセキュア領域は、セキュリティを確認している第2の処理手段を動作させるセキュア領域の一例である。プロセッサ301がプログラム3011に基づき処理を実行することにより実現されるアプリケーション、又はプログラム3011は、第1の処理手段の一例である。また、モニタ3013、又は通知モジュール3015は、第2の処理手段の一例である。判定モジュール3021は、制御手段の一例である。レベル1アクセス領域3022は、レベル1というアクセスレベルが設定されたアクセス領域の一例である。レベルnアクセス領域3023は、レベルnというアクセスレベルが設定されたアクセス領域の一例である。
通知モジュール3015を用いることにより、同一スレーブ内に複数のアクセス許可レベルを持たせることができる。通知された認証レベルは判定モジュール3021において図6に示すフローチャートの情報処理により制御される。
プロセッサ301の非セキュア領域は、セキュリティを確認していない第1の処理手段を動作させる非セキュア領域の一例である。また、プロセッサ301のセキュア領域は、セキュリティを確認している第2の処理手段を動作させるセキュア領域の一例である。プロセッサ301がプログラム3011に基づき処理を実行することにより実現されるアプリケーション、又はプログラム3011は、第1の処理手段の一例である。また、モニタ3013、又は通知モジュール3015は、第2の処理手段の一例である。判定モジュール3021は、制御手段の一例である。レベル1アクセス領域3022は、レベル1というアクセスレベルが設定されたアクセス領域の一例である。レベルnアクセス領域3023は、レベルnというアクセスレベルが設定されたアクセス領域の一例である。
通知モジュール3015を用いることにより、同一スレーブ内に複数のアクセス許可レベルを持たせることができる。通知された認証レベルは判定モジュール3021において図6に示すフローチャートの情報処理により制御される。
S400において、判定モジュール3021は、通知モジュール3015からのバスを介したアドレスチャネルのネゴシエーションを検知する。
すると、S401において、判定モジュール3021は、バスのアクセスパターン、又はNSビットのパターンよりプログラム3011の認証レベルを取得する。
S402において、判定モジュール3021は、取得した認証レベルに応じてレベル判定の処理を実施する。
S403において、判定モジュール3021は、取得した認証レベルが1であるか否かを判定する。判定モジュール3021は、認証レベルが1であると判定した場合(S403においてYes)、S404に進み、認証レベルが1でないと判定した場合(S403においてNo)、S405に進む。
S404において、判定モジュール3021は、レベル1以下のアクセス許可レベルのデバイスへのアクセスを許可する。
S405において、判定モジュール3021は、認証レベルが2であるか否かを判定する。判定モジュール3021は、認証レベルが2であると判定した場合(S405においてYes)、S406に進み、認証レベルが設定されていないと判定した場合(S405においてNo)、S407に進む。
S406において、判定モジュール3021は、レベル2以下のアクセス許可レベルのデバイスへのアクセスを許可する。判定モジュール3021は、認証レベル、アクセス許可レベルが更に複数に細分化されている場合には細分化されている認証レベル、アクセス許可レベルに合わせて、S405、S406等の処理を繰り返す。
S407において、判定モジュール3021は、非セキュアデバイス3024のみへのアクセスを許可する。
S408において、判定モジュール3021は、バスプロトコルによるデータチャネルが完了したか否かを判定する。判定モジュール3021は、バスプロトコルによるデータチャネルが完了したと判定すると(S408においてYes)、S400に進み、再度、認証レベルの判定処理を開始する。判定モジュール3021は、バスプロトコルによるデータチャネルが完了していないと判定すると(S408においてNo)、S403に進み、バスプロトコルによるデータチャネルが完了するまでデバイスに対するアクセスが許可される。
すると、S401において、判定モジュール3021は、バスのアクセスパターン、又はNSビットのパターンよりプログラム3011の認証レベルを取得する。
S402において、判定モジュール3021は、取得した認証レベルに応じてレベル判定の処理を実施する。
S403において、判定モジュール3021は、取得した認証レベルが1であるか否かを判定する。判定モジュール3021は、認証レベルが1であると判定した場合(S403においてYes)、S404に進み、認証レベルが1でないと判定した場合(S403においてNo)、S405に進む。
S404において、判定モジュール3021は、レベル1以下のアクセス許可レベルのデバイスへのアクセスを許可する。
S405において、判定モジュール3021は、認証レベルが2であるか否かを判定する。判定モジュール3021は、認証レベルが2であると判定した場合(S405においてYes)、S406に進み、認証レベルが設定されていないと判定した場合(S405においてNo)、S407に進む。
S406において、判定モジュール3021は、レベル2以下のアクセス許可レベルのデバイスへのアクセスを許可する。判定モジュール3021は、認証レベル、アクセス許可レベルが更に複数に細分化されている場合には細分化されている認証レベル、アクセス許可レベルに合わせて、S405、S406等の処理を繰り返す。
S407において、判定モジュール3021は、非セキュアデバイス3024のみへのアクセスを許可する。
S408において、判定モジュール3021は、バスプロトコルによるデータチャネルが完了したか否かを判定する。判定モジュール3021は、バスプロトコルによるデータチャネルが完了したと判定すると(S408においてYes)、S400に進み、再度、認証レベルの判定処理を開始する。判定モジュール3021は、バスプロトコルによるデータチャネルが完了していないと判定すると(S408においてNo)、S403に進み、バスプロトコルによるデータチャネルが完了するまでデバイスに対するアクセスが許可される。
判定モジュール3021の機能により、アクセスできる情報範囲をプログラム毎に限定することができ、例えば、画像へのアクセスは許可するが、画像の原本性保証機能へのアクセスは拒否する等、非セキュア領域で実行されているプログラム毎に設定可能である。
<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
以上、本発明の好ましい実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではない。例えば、判定モジュール1014、3014、通知モジュール3015、判定モジュール3021等はハードウェアとして情報処理装置10に実装してもよい。事前認証部100、300も同様である。
情報処理装置10は、プリンタ、MFP等であってもよい。プリンタ、MFPは、画像処理装置の一例である。
情報処理装置10は、プリンタ、MFP等であってもよい。プリンタ、MFPは、画像処理装置の一例である。
以上、上述した各実施形態の処理によれば、セキュア領域内のデータの秘匿性を担保しつつ、非セキュア領域のプログラム開発における制限を緩和することができる。
10 情報処理装置
11 プロセッサ
11 プロセッサ
Claims (11)
- セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサを有し、
前記第2の処理手段は、前記第1の処理手段に付加されている認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する情報処理装置。 - 異なるアクセスレベルが設定された複数のアクセス領域を更に有し、
前記第2の処理手段は、前記第1の処理手段に付加されている認証レベルと前記複数のアクセス領域の各々のアクセスレベルとに基づき、前記複数のアクセス領域のうち、前記第1の処理手段がアクセス可能なアクセス領域へのアクセスを許可する請求項1記載の情報処理装置。 - セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサと、
異なるアクセスレベルが設定された複数のアクセス領域を有するデバイスと、
を有し、
前記第2の処理手段は、前記第1の処理手段に付加されている認証レベルを前記デバイスに通知し、
前記デバイスは、前記通知された認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する制御手段を有する情報処理装置。 - 前記制御手段は、前記通知された認証レベルと前記複数のアクセス領域の各々のアクセスレベルとに基づき、前記複数のアクセス領域のうち、前記第1の処理手段がアクセス可能なアクセス領域へのアクセスを許可する請求項3記載の情報処理装置。
- 前記プロセッサと前記デバイスとはバスを介して接続されており、
前記第2の処理手段は、前記認証レベルを前記バスのアクセスパターンを用いて前記デバイスに通知する請求項3又は4記載の情報処理装置。 - 前記プロセッサと前記デバイスとはバスを介して接続されており、
前記第2の処理手段は、前記認証レベルをNSビットのパターンを用いて前記デバイスに通知する請求項3又は4記載の情報処理装置。 - 前記第1の処理手段に認証レベルを付加する認証手段を更に有する請求項1乃至6何れか1項記載の情報処理装置。
- 前記情報処理装置は、画像処理装置である請求項1乃至7何れか1項記載の情報処理装置。
- 情報処理装置が実行する情報処理方法であって、
セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサを有し、
前記第2の処理手段が、前記第1の処理手段に付加されている認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する情報処理方法。 - 情報処理装置が実行する情報処理方法であって、
セキュリティを確認していない第1の処理手段を動作させる非セキュア領域とセキュリティを確認している第2の処理手段を動作させるセキュア領域とを有するプロセッサと、
異なるアクセスレベルが設定された複数のアクセス領域を有するデバイスと、
を有し、
前記第2の処理手段が、前記第1の処理手段に付加されている認証レベルを前記デバイスに通知し、
前記デバイスが、前記通知された認証レベルに基づき、前記第1の処理手段のアクセス領域へのアクセスを制御する情報処理方法。 - コンピュータを請求項1乃至8何れか1項記載の情報処理装置の各手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016225978A JP6779758B2 (ja) | 2016-11-21 | 2016-11-21 | 情報処理装置、情報処理方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016225978A JP6779758B2 (ja) | 2016-11-21 | 2016-11-21 | 情報処理装置、情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018084866A true JP2018084866A (ja) | 2018-05-31 |
| JP6779758B2 JP6779758B2 (ja) | 2020-11-04 |
Family
ID=62236719
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016225978A Active JP6779758B2 (ja) | 2016-11-21 | 2016-11-21 | 情報処理装置、情報処理方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6779758B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006022161A1 (ja) * | 2004-08-25 | 2006-03-02 | Nec Corporation | 情報通信装置及びプログラム実行環境制御方法 |
| US20090265756A1 (en) * | 2008-04-18 | 2009-10-22 | Samsung Electronics Co., Ltd. | Safety and management of computing environments that may support unsafe components |
| WO2011086787A1 (ja) * | 2010-01-13 | 2011-07-21 | 日本電気株式会社 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
| JP2014519639A (ja) * | 2011-05-05 | 2014-08-14 | イーベイ インク. | 取引セキュリティー強化のためのシステムおよび方法 |
| JP2014521184A (ja) * | 2011-07-20 | 2014-08-25 | マイクロソフト コーポレーション | 信頼レベルのアクティブ化 |
-
2016
- 2016-11-21 JP JP2016225978A patent/JP6779758B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006022161A1 (ja) * | 2004-08-25 | 2006-03-02 | Nec Corporation | 情報通信装置及びプログラム実行環境制御方法 |
| US20090265756A1 (en) * | 2008-04-18 | 2009-10-22 | Samsung Electronics Co., Ltd. | Safety and management of computing environments that may support unsafe components |
| WO2011086787A1 (ja) * | 2010-01-13 | 2011-07-21 | 日本電気株式会社 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
| JP2014519639A (ja) * | 2011-05-05 | 2014-08-14 | イーベイ インク. | 取引セキュリティー強化のためのシステムおよび方法 |
| JP2014521184A (ja) * | 2011-07-20 | 2014-08-25 | マイクロソフト コーポレーション | 信頼レベルのアクティブ化 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6779758B2 (ja) | 2020-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3284003B1 (en) | Paravirtualized security threat protection of a computer-driven system with networked devices | |
| US9607177B2 (en) | Method for securing content in dynamically allocated memory using different domain-specific keys | |
| JP6397500B2 (ja) | 仮想マシン・マネージャーによって支援される選択的コード完全性強制 | |
| US8505084B2 (en) | Data access programming model for occasionally connected applications | |
| US9141810B2 (en) | Architecture for virtual security module | |
| EP4064089A1 (en) | Management of authenticated variables | |
| US9172724B1 (en) | Licensing and authentication with virtual desktop manager | |
| US20190384923A1 (en) | Mechanism to enable secure memory sharing between enclaves and i/o adapters | |
| US10395028B2 (en) | Virtualization based intra-block workload isolation | |
| US20090307451A1 (en) | Dynamic logical unit number creation and protection for a transient storage device | |
| US20230129610A1 (en) | Multiple physical request interfaces for security processors | |
| Yu et al. | Enhancing security of Hadoop in a public cloud | |
| US20230267232A1 (en) | System and method for protecting browser data | |
| JP6779758B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| CN112241309B (zh) | 一种数据安全方法、装置、cpu、芯片及计算机设备 | |
| CN114840862A (zh) | 计算设备、物理输入设备、物理输出设备及数据传输方法 | |
| Huber | System Architectures for Data Confidentiality and Frameworks for Main Memory Extraction | |
| US20070168299A1 (en) | Method and system for protection and security of IO devices using credentials | |
| CN117827475A (zh) | 用于进程间通信的方法、装置、电子设备和介质 | |
| KR20140033565A (ko) | 공유 가능한 보안공간 제공시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200827 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200915 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201014 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6779758 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |