JP4575228B2 - Use control method, management method, apparatus, and program of portable storage medium - Google Patents
Use control method, management method, apparatus, and program of portable storage medium Download PDFInfo
- Publication number
- JP4575228B2 JP4575228B2 JP2005127472A JP2005127472A JP4575228B2 JP 4575228 B2 JP4575228 B2 JP 4575228B2 JP 2005127472 A JP2005127472 A JP 2005127472A JP 2005127472 A JP2005127472 A JP 2005127472A JP 4575228 B2 JP4575228 B2 JP 4575228B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- processing apparatus
- use permission
- storage medium
- administrator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、一般的には、情報処理装置の動作制御に関する。より詳細には、本発明は、情報処理装置における持ち運び可能な記憶媒体の使用を制御及び管理する技術に関する。 The present invention generally relates to operation control of an information processing apparatus. More particularly, the present invention relates to a technique for controlling and managing use of a portable storage medium in an information processing apparatus.
近年、様々な企業でコンピュータが使用され、機密情報、個人情報などの重要なデータもコンピュータで管理されるようになってきている。従って、コンピュータには、例えば、データが外部記憶媒体に複写され持ち出されることのないような高いセキュリティが求められる。このような高いセキュリティを確保する方法の1つに、OS(Operating System)が有するセキュリティ機能を利用する方法がある。即ち、OSが管理するユーザの属性毎に、持ち運び可能な記憶媒体又は当該記憶媒体の駆動装置を使用できるかどうかに関し、異なる権限を与えるという方法である。 In recent years, computers have been used in various companies, and important data such as confidential information and personal information has been managed by computers. Therefore, the computer is required to have high security so that, for example, data is not copied to an external storage medium and taken out. One method for ensuring such high security is to use a security function possessed by an OS (Operating System). That is, for each user attribute managed by the OS, a different authority is given regarding whether or not a portable storage medium or a drive device of the storage medium can be used.
また、制御用情報を保存するUSB記憶装置と、情報処理装置に接続して動作させる対象となるUSB周辺装置とを切り替えて情報処理装置のUSBコントローラに接続するUSBバス切替え装置において、USB記憶装置に保存された認証プログラムにより利用者が入力する認証情報を認証することができた場合に、USB周辺装置をUSBコントローラを介して情報処理装置に接続する技術が開示されている(特許文献1)。
しかし、従来技術では、権限をもつ使用者、あるいは認証情報を知っている使用者は常に持ち運び可能な記憶媒体を使用できてしまう一方で、権限がない使用者、あるいは認証情報を知らない使用者は持ち運び可能な記憶媒体を一切利用できないという課題があった。即ち、従来の技術では、使用者の利便性を考慮して、状況に応じてその使用制限を一時的に解除するなどの柔軟な制御を行うことは出来ないという課題が生じていた。 However, in the prior art, an authorized user or a user who knows authentication information can always use a portable storage medium, while an unauthorized user or a user who does not know authentication information. Had the problem of not being able to use any portable storage media. That is, in the conventional technology, there is a problem that flexible control such as temporarily canceling the use restriction according to the situation cannot be performed in consideration of user convenience.
また、権限をもつ使用者はいつでも持ち運び可能な記憶媒体を使用できるため、企業のセキュリティ等の管理者が、情報処理装置における持ち運び可能な記憶媒体の使用状況を掌握する事ができないという課題もあった。 In addition, since authorized users can use portable storage media at any time, there is a problem that an administrator such as corporate security cannot grasp the usage status of portable storage media in information processing devices. It was.
本発明は、上記の課題を解決するための持ち運び可能な記憶媒体の使用制御方法、管理方法、装置、及びプログラムを提供することを目的とする。 It is an object of the present invention to provide a portable storage medium use control method, management method, apparatus, and program for solving the above-described problems.
上記の課題を解決するために、情報処理装置において、持ち運び可能な記憶媒体の使用を制御する方法が提供される。 In order to solve the above problems, a method for controlling use of a portable storage medium in an information processing apparatus is provided.
情報処理装置は、その起動処理の間に、記憶媒体の使用時間を含む使用許可を確認する。そして、使用許可を有し、かつ現在時刻が使用許可に含まれる使用時間内であることを確認することを条件として、情報処理装置は記憶媒体の使用を可能に設定する。 The information processing apparatus confirms the usage permission including the usage time of the storage medium during the activation process. The information processing apparatus sets the storage medium to be usable on condition that the use permission is confirmed and the current time is within the use time included in the use permission.
好適には、情報処理装置はBIOSを格納した記憶媒体を内蔵し、BIOSが、上記使用許可の有無を確認し、及び条件が満たされる場合に使用を可能に設定する。 Preferably, the information processing apparatus has a built-in storage medium storing the BIOS, and the BIOS confirms whether or not the use is permitted, and sets it to be usable when the condition is satisfied.
好適には、情報処理装置は、情報処理装置の使用者からのリクエストに基づき情報処理装置の管理者から発行された記憶媒体の使用許可を受け取り、認証する。そして、情報処理装置は、認証した使用許可を所定の記憶域、好ましくはBIOSの設定領域、に格納する。使用許可の確認は、この設定領域内に格納された使用許可の情報を起動時に情報処理装置(BIOS)が読取ることにより行われる。 Preferably, the information processing apparatus receives and authenticates use permission of the storage medium issued by the information processing apparatus manager based on a request from the information processing apparatus user. Then, the information processing apparatus stores the authenticated use permission in a predetermined storage area, preferably a BIOS setting area. The use permission is confirmed by the information processing device (BIOS) reading the use permission information stored in the setting area at the time of activation.
好適には、情報処理装置には管理者パスワードが予め設定されているものとする。また、管理者から発行された使用許可は、記憶媒体の使用許可の内容を示す使用許可情報、及び管理者パスワードと使用許可情報から生成された管理者CRCとを含む。そして、上記認証は、管理者からの使用許可に含まれる使用許可情報と情報処理装置に設定された管理者パスワードとから認証CRCを生成し、当該認証CRCと管理者CRCとを比較して一致するかどうかを判断することにより行われる。 Preferably, an administrator password is set in advance in the information processing apparatus. The use permission issued by the administrator includes use permission information indicating the content of use permission of the storage medium, and an administrator CRC generated from the administrator password and the use permission information. Then, the authentication is performed by generating an authentication CRC from the use permission information included in the use permission from the administrator and the administrator password set in the information processing apparatus, and comparing the authentication CRC with the administrator CRC. This is done by determining whether or not to do so.
好適には、使用許可情報は、使用を許可すべき情報処理装置の識別子を含む。そして、上記認証は、更に、情報処理装置の識別子と、使用許可情報に含まれる使用を許可すべき情報処理装置の識別子とを比較して一致するかどうかを判断することにより行われる。 Preferably, the use permission information includes an identifier of an information processing apparatus that should be permitted to use. The authentication is further performed by comparing the identifier of the information processing device and the identifier of the information processing device that should be permitted to be used included in the use permission information to determine whether they match.
また、好適には、使用許可が無いことを確認することを条件として、情報処理装置は、記憶媒体又は記憶媒体の駆動装置をコントロールするコントローラを初期化しないことにより、記憶媒体の使用を不能に設定する。 Preferably, the information processing device disables the use of the storage medium by not initializing a controller that controls the storage medium or the drive device of the storage medium on the condition that it is confirmed that there is no use permission. Set.
また、好適には、情報処理装置には所定の記憶媒体への書込みを禁止するフィルター・ドライバが予めインストールされているものとする。そして、フィルター・ドライバは、使用許可に基づいて所定の記憶媒体への書込みを禁止する。所定の記憶媒体は、データの書込み可能なUSBデバイスを含む。 Preferably, a filter driver that prohibits writing to a predetermined storage medium is installed in advance in the information processing apparatus. Then, the filter driver prohibits writing to a predetermined storage medium based on the use permission. The predetermined storage medium includes a USB device capable of writing data.
好適には、情報処理装置は、使用許可に含まれる使用時間の経過を監視する。そして、監視の結果使用時間が経過していることに応答して、情報処理装置は強制的に記憶媒体の使用を終了させる。 Preferably, the information processing apparatus monitors the passage of usage time included in the usage permission. Then, in response to the fact that the usage time has elapsed as a result of monitoring, the information processing apparatus forcibly ends the use of the storage medium.
また、上述の課題を解決するために、管理者側情報処理装置(第1情報処理装置)において、使用者側情報処理装置(第2情報処理装置)における持ち運び可能な記憶媒体の使用を管理する方法が提供される。 Further, in order to solve the above-described problem, in the administrator-side information processing device (first information processing device), the use of a portable storage medium in the user-side information processing device (second information processing device) is managed. A method is provided.
管理者側情報処理装置は、使用者側情報処理装置の使用者からのリクエストに応じて、使用者側情報処理装置に対して記憶媒体の使用許可を作成し、作成した使用許可を使用者側情報処理装置へ送付する。ここで、使用許可は使用者側情報処理装置における記憶媒体の使用を許可する使用時間を含む。 In response to a request from the user of the user-side information processing apparatus, the administrator-side information processing apparatus creates a use permission for the storage medium for the user-side information processing apparatus, and uses the created use permission for the user side. Send to information processing device. Here, the use permission includes a use time for permitting use of the storage medium in the user side information processing apparatus.
好適には、管理者側情報処理装置は、使用許可の作成及びその送付を記録する。そして、例えば週毎、又は月毎等の一定の間隔で使用許可作成のロギングデータを収集し、収集されたロギングデータに基づき管理レポートを作成する。 Preferably, the manager-side information processing apparatus records the creation of the use permission and its transmission. Then, logging data for use permission creation is collected at regular intervals such as weekly or monthly, and a management report is created based on the collected logging data.
以上、情報処理装置において、持ち運び可能な記憶媒体の使用を制御する方法及び使用制御を管理する方法として本発明を説明したが、本発明は、装置、プログラム、又はプログラム製品として把握することもできる。プログラム製品は、例えば、前述のプログラムを格納した記憶媒体を含めることができる。 As described above, the present invention has been described as a method for controlling use of a portable storage medium and a method for managing use control in an information processing apparatus. However, the present invention can also be grasped as an apparatus, a program, or a program product. . The program product can include, for example, a storage medium storing the above-described program.
上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となり得ることに留意すべきである。 It should be noted that the above summary of the invention does not enumerate all necessary features of the present invention, and that sub-combinations of these features can also be an invention.
本発明によれば、使用者の利便性を考慮して、状況に応じて情報処理装置における持ち運び可能な記録媒体の使用制限を一時的に解除するなどの柔軟な制御を行うことができる。また、企業内のセキュリティ等の管理者が、情報処理装置における持ち運び可能な記録媒体の使用状況を掌握することができる。 According to the present invention, it is possible to perform flexible control such as temporarily canceling the restriction on the use of a portable recording medium in the information processing apparatus according to the situation in consideration of user convenience. In addition, an administrator such as security in the company can grasp the usage status of a portable recording medium in the information processing apparatus.
以下、本発明を実施するための最良の形態を図面に基づいて詳細に説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the best mode for carrying out the present invention will be described in detail with reference to the drawings. However, the following embodiments do not limit the invention according to the claims, and are described in the embodiments. Not all combinations of features that are present are essential to the solution of the invention.
また、本発明は多くの異なる態様で実施することが可能であり、実施の形態の記載内容に限定して解釈されるべきものではない。また、実施の形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須とは限らないことに留意されたい。実施の形態の説明の全体を通じて同じ要素には同じ番号を付している。 The present invention can be implemented in many different modes and should not be construed as being limited to the description of the embodiment. It should be noted that not all the combinations of features described in the embodiments are essential for the solution of the invention. The same number is attached | subjected to the same element through the whole description of embodiment.
以下の実施の形態では、主に情報処理装置又は方法について説明するが、当業者であれば明らかな通り、本発明はその一部をコンピュータで使用可能なプログラムとして実施することができる。したがって、本発明は、ハードウェアとしての実施形態、ソフトウェアとしての実施形態又はソフトウェアとハードウェアとの組合せの実施形態をとることができる。プログラムは、ハードディスク、DVD−ROM、CD−ROM、光記憶装置又は磁気記憶装置等の任意のコンピュータ可読媒体に記録できる。 In the following embodiments, an information processing apparatus or method will be mainly described. However, as will be apparent to those skilled in the art, a part of the present invention can be implemented as a computer-usable program. Therefore, the present invention can take an embodiment as hardware, an embodiment as software, or an embodiment of a combination of software and hardware. The program can be recorded on any computer-readable medium such as a hard disk, DVD-ROM, CD-ROM, optical storage device, or magnetic storage device.
図1は本実施の形態による使用者側情報処理装置を実現するのに好適な情報処理装置のハードウェア構成の一例を示した図である。図1に示す情報処理装置10において、中央処理装置(CPU)100は、プログラム制御により種々の演算処理を実行し、情報処理装置10全体を制御している。ホストコントローラ102は、CPU100とメインメモリ104等を接続する機能を担うチップである。
FIG. 1 is a diagram showing an example of a hardware configuration of an information processing apparatus suitable for realizing the user side information processing apparatus according to the present embodiment. In the
メインメモリ104は、CPU100が実行するプログラム又はプログラムが処理するデータの格納領域として利用される書き込み可能メモリである。CPU100が実行するプログラムには、OS、周辺機器類をハードウェア操作するための各種ドライバ、特定業務に向けられたアプリケーションプログラム、後述するフラッシュROM142に格納されたBIOS等のファームウェアが含まれる。
The
グラフィックコントローラ106は、CPU100からの描画命令を処理し、処理した描画情報をビデオメモリに書き込む。また、グラフィックコントローラ106は、ビデオメモリから描画情報を読み出して、液晶ディスプレイ等の表示装置108に出力する。
The
I/Oコントローラ110は、PCIe(PCI Express)バス160、PCIバス162及びLPC(Low Pin Count)バス164を相互に接続するブリッジ機能を備える。また、I/Oコントローラ110は、プログラマブル割り込みコントローラ(PIC)116、DMAコントローラ118、USB(UniversalSerial Bus)コントローラ120、プライマリIDE(Integrated Device Electronics)コントローラ112、及び2ndIDEコントローラ114を備える。
The I /
PIC116は、周辺機器からの割り込み要求(IRQ)に応答して、所定のプログラム(割り込みハンドラ)を実行させる。DMAコントローラ118は、FDD等の周機器機とメインメモリ104との間のデータ転送をCPU100の介在なしに実行する。プライマリIDEコントローラ112は、ATA規格に準拠した情報処理装置10に内蔵のプライマリHDD122を接続し制御する。2ndIDEコントローラ114には、2ndHDD126の他、CD−ROMドライブ124がATAPI(AT Attachment Packet Interface)接続されている。なお、CD−ROMドライブ124の代わりに、DVD(Digital Versatile Disc)ドライブのような、他のタイプのIDE装置が接続されても構わない。
The
USBコントローラ120は、例えば情報処理装置10本体の壁面等に設けられたUSBコネクタを介して、マウス、キーボード、プリンタ等の様々なUSB対応デバイス134を接続し制御する。なお、USB1.1のバージョンアップ版であるUSB2.0では、最高480Mbpsという高いデータ転送がサポートされる。従って、USBコントローラ120がUSB2.0対応である場合、HDD、CD−R、USBメモリ等のストレージ器機をUSB対応デバイス134として接続してもよい。
The
更に、I/Oコントローラ110には、SMバスを介してEEPROM136が接続される。このEEPROM136は、ユーザによって登録されたパスワードや管理者パスワード、製品シリアル番号等の情報を保持するためのメモリであり、不揮発性で記憶内容を電気的に書き換え可能とされている。
Furthermore, an
PCIe(PCI Express)バス160には、通信インターフェース128、ドッキングブリッジ130等のPCIeデバイスが接続される。
通信インターフェース128は、ネットワークを介して他の装置と通信する。また、ドッキングブリッジ130は、コンピュータシステム10がノート型PCである場合、機能拡張装置であるドッキングステーション(図示しない)を接続し制御する。また、PCIバス162には、カードバスコントローラ132が接続される。カードバスコントローラ132は、カードバスを介してPCカード(図示しない)を制御する。
A PCIe device such as the
The
LPCバス164には、SuperI/Oコントローラ138、フラッシュROM142、CMOS144、KMC/EC146が接続される。SuperI/Oコントローラ138は、パラレルポートを介したパラレルデータの入出力(PIO) 、シリアルポートを介したシリアルデータの入出力(SIO)、FDドライブの駆動を制御するものである。図1では、SuperI/Oコントローラ138にはFDドライブ140が接続されている。
A super I /
フラッシュROM142は、一括又はブロック単位でのデータの消去、新たな書き込みを電気的に行えるROMであり、BIOS(Basic Input/Output System:基本入出力システム)を格納している。CMOS(Complementary Metal-Oxide Semiconductor)144は、専用バッテリーにより常時電力が供給されている半導体メモリであり、ユーザによるハードウェアの詳細な設定情報を格納する。KMC(Keyboard Mouse Controller)/EC (Embedded Controller)146のうち、KMCは、キーボード及びマウスを制御するコントローラである。また、ECは、各種のデバイス(周辺装置、センサ、電源回路等)を監視し制御するワンチップ・マイコン(One-chip microcomputer)である。
The
以上、使用者側情報処理装置を実現するのに好適な情報処理装置10のハードウェア構成について説明したが、これらの構成要素は例示であり、そのすべての構成要素が本発明の必須構成要素となるわけではない。また、管理者側情報処理装置を実現するのに好適な情報処理装置のハードウェア構成は、上述のハードウェア構成と基本的に同じであるため説明を省略する。このように、使用者側情報処理装置及び管理者側情報処理装置を実現するのに好適な情報処理装置は、メインフレーム、ワークステーション、通常のパーソナルコンピュータ等の情報処理装置によって実現されることが容易に理解されるであろう。
The hardware configuration of the
以下、本実施の形態の構成について、(1)使用者側情報処理装置における前提となる設定、(2)管理者側情報処理装置(使用許可の作成)、(3)使用者側情報処理装置、(4)管理者側情報処理装置(管理レポートの作成)の順で詳細に説明する。 Hereinafter, with regard to the configuration of the present embodiment, (1) setting that is a premise in the user side information processing device, (2) administrator side information processing device (use permission creation), (3) user side information processing device (4) Details will be described in the order of the information processing apparatus on the administrator side (creation of a management report).
(1)使用者側情報処理装置における前提となる設定
使用者側情報処理装置は、前提として、システム設定のために必要な管理者パスワードを保持するものとする。また、当該管理者用パスワードによって保護されているシステム設定として、使用者側情報処理装置は、持ち運び可能な記憶媒体又は当該記憶媒体の駆動装置(本明細書では以下総称して単に「記憶媒体」と呼ぶ)の使用の可/不可を設定する機能を有するものとする。管理者は、使用者に使用させる情報処理装置に対し、管理者パスワードを使用して、予め当該情報処理装置に接続して使用可能な全ての記憶媒体の使用を不能に設定するものとする。
(1) Setting as a premise in the user side information processing apparatus As a premise, the user side information processing apparatus holds an administrator password necessary for system setting. In addition, as a system setting protected by the administrator password, the user-side information processing device may be a portable storage medium or a drive device for the storage medium (hereinafter collectively referred to simply as “storage medium” in this specification). It is assumed that it has a function to set whether to use or not. It is assumed that the administrator sets the information processing apparatus to be used by the user to disable the use of all storage media that can be connected to the information processing apparatus in advance using the administrator password.
(2)管理者側情報処理装置(使用許可の作成)
上述のように、記憶媒体の使用を不能に設定された情報処理装置の使用者は、例えば、新しいアプリケーションのインストール、仕事に必要なファイルやデータの読み込み、又はハードディスクのバックアップ作業等のために記憶媒体の使用を希望する。このような場合、本発明に実施の形態では、企業の従業員である使用者は、企業又は企業からコンピュータ全般の保守管理を委託されている業者等の管理者に記憶媒体の使用許可を求める。使用許可の依頼は、管理者が使用者を確認できればどのような手段を用いて行ってもよく、例えば、電子メールや電話などの手段が挙げられる。
(2) Administrator-side information processing device (creation of use permission)
As described above, a user of an information processing apparatus that has been disabled from using a storage medium stores data for installation of a new application, reading of files and data necessary for work, or hard disk backup work, for example. I would like to use the media. In such a case, in the embodiment of the present invention, the user who is an employee of the company requests the use of the storage medium from the company or an administrator such as a company entrusted with maintenance management of the computer in general from the company. . The request for use permission may be made using any means as long as the administrator can confirm the user, and examples thereof include means such as e-mail and telephone.
図2は、管理者側情報処理装置20の機能ブロックを示す。なお、図2及び図6の各機能ブロック図に示す各要素は、図1に例示したハードウェア構成を有する情報処理装置10おいて、プライマリHDD122又はフラッシュROM142に格納されたコンピュータ・プログラムをメインメモリ104にロードした上でCPU100に読み込ませることによって、ハードウェア資源とソフトウェアを協働させることで実現することができる。管理者側情報処理装置20は、照合部200、記録部202、使用許可作成部204、収集部206及び管理レポート作成部208を含む。なお、収集部206及び管理レポート作成部208については、(4)管理者側情報処理装置(管理レポートの作成)において説明する。
FIG. 2 shows functional blocks of the administrator-side information processing device 20. 2 and FIG. 6 are the elements of the computer program stored in the
照合部200は、使用許可を求める使用者を、使用者から得られる使用者情報を管理者側情報処理装置のハードディスク122に格納された使用者情報と照合することにより確認し、結果を表示装置108の表示画面に表示する。使用者情報は、一例として、従業員の氏名、所属、連絡先、社員番号等の識別番号とすることができ、図3に示すような形式の使用者情報テーブル300に登録される。本実施の形態では、使用者情報テーブル300や後述する依頼情報テーブル400は管理者側情報処理装置20のハードディスク122に格納されるが、格納場所はこれに制限されず、例えばネットワークを介して接続された外部のデータベースに格納してもよい。なお、図3に示すように、上記使用者情報は、更に、使用者側情報処理装置の資産識別番号325、シリアル番号330、及び使用者側情報処理装置に設定されている管理者パスワード335に対応付けてテーブルに格納されてもよい。
The
ここで、資産識別番号325とは、企業の管理者が使用者側情報処理装置に割当てた識別番号であり、使用者が複数の情報処理装置を使用する場合に、使用許可の発行を希望する情報処理装置を使用者および管理者が識別するために使用され得る。また、シリアル番号330とは、情報処理装置の製造者が使用者側情報処理装置に割当てた固有識別番号であり、詳細は後述するが、使用を許可すべき使用者側情報処理装置により使用許可が受け取られたことを認証するために使用され得る。更に、管理者パスワード335は、これについても詳細は後述するが、使用者が発行する使用許可を使用者側情報処理装置において認証するために使用され得る。 Here, the asset identification number 325 is an identification number assigned to the information processing apparatus on the user side by the manager of the company. When the user uses a plurality of information processing apparatuses, the user desires to issue a use permission. The information processing apparatus can be used to identify a user and an administrator. The serial number 330 is a unique identification number assigned to the user-side information processing device by the manufacturer of the information processing device. The details will be described later, but use is permitted by the user-side information processing device that should be permitted to use. Can be used to authenticate that has been received. Further, the administrator password 335, which will be described in detail later, can be used for authenticating the use permission issued by the user in the user side information processing apparatus.
記録部202は、管理者がキーボード等の入力デバイス148を用いて入力した記憶媒体の使用許可依頼内容をハードディスク122に格納する。照合部200により使用者が照合されると、管理者は、使用許可の発行を希望する情報処理装置の資産識別番号、使用を希望する記憶媒体の種類、使用希望時間、使用目的を使用者に尋ねる。管理者は、使用許可依頼内容から使用者に記憶媒体の使用を許可できると判断した場合、使用許可依頼内容を管理者側情報処理装置20に入力する。管理者から入力されたデータは、一例として図4に示すような形式の依頼情報テーブル400に登録され、ハードディスク122に格納される。なお、使用希望時間は、3時間というような使用を希望する期間や2005年5月1日午後1時というような使用が許可される最後の日時等、どのような形式をとってもよい。
The
使用許可作成部204は、使用者情報テーブル300及び依頼情報テーブル400から、発行すべき使用許可を作成する。具体的には、依頼情報テーブル400から未処理の使用許可依頼を検索し、その対象記録媒体415、使用時間420、資産識別番号410を取り出す。次に、資産識別番号325を検索キーとして使用者情報テーブル300を検索し、資産識別番号410と同じ資産識別番号325をもつ使用者情報から、連絡先320、シリアル番号330、管理者パスワード335を取り出す。そして、使用許可作成部204は、シリアル番号330、対象記録媒体415、使用時間420を用いて使用許可情報520を作成する。また、使用許可作成部204は、作成した使用許可情報520に管理者パスワード335を追加したデータからCRCを計算する。そして、これを管理者CRC525として使用許可情報520に付加することにより図5に示す使用許可500を作成する。作成された使用許可500は、連絡先320に示される宛先に基づき、通信インターフェース128からネットワークを介して使用者側情報処理装置へ送付される。また、使用許可作成部204は使用許可の作成を記録部202に通知し、記録部202は上述した依頼情報テーブル400にアクセスし、使用許可作成日430を登録する。
The use
(3)使用者側情報処理装置
図6は、使用者側情報処理装置30の機能ブロックを示す。使用者側情報処理装置30は、呼出部612、フィルタリング部616、強制終了部602、認証部632、応答部638、監視部639、割込み発生部650、確認部642、第1の設定部である初期化部644、及び第2の設定部である初期化禁止部646を含む。ここで、呼出部612はOS上で動作するアプリケーションプログラムである専用ツール610によって提供される機能である。また、フィルタリング部616は、所定の記憶媒体への書込みを禁止するフィルター・ドライバ614により提供される機能である。本実施の形態では、フィルター・ドライバ614はOS600に組み込まれるものとして記載するが、OS600とドライバの間のレイヤーに配置させてもよい。また、強制終了部602はOS600によって提供される機能である。認証部632、応答部638、及び監視部639は、BIOS620の一部であるSMI(System Management Interrupt)ハンドラ630によって提供される機能である。認証部632は、更に、生成部634及び比較部636を含む。割込み発生部650、確認部642、初期化部644、及び初期化禁止部646はBIOS620によって提供される機能である。確認部642、初期化部644、及び初期化禁止部646は、BIOS拡張部640として使用者情報処理装置30の起動処理の間に実行される。
(3) User Side Information Processing Device FIG. 6 shows functional blocks of the user side
呼出部612は、ユーザによる入力デバイス148の操作に従い専用ツール610が起動されると、通信インターフェース128により受信された使用許可500を読み込み、SMIハンドラ630を呼び出して使用許可500を渡す。SMIハンドラ630の認証部632は、使用許可500の内容を示す使用許可情報520と管理者CRC525とを含む使用許可500を相互認証する。
When the
具体的には、認証部632の生成部634が、EEPROM136に格納された管理者パスワードを使用許可情報520に追加してCRCを計算することにより、認証CRCを生成する。認証部632の比較部636は、生成部634により生成された認証CRCと使用許可に含まれる管理者CRC525とを比較する。これにより使用者側情報処理装置30は、使用許可500が確かに管理者から発行されたものであることを確認できる。また、上述のように使用許可情報520は、シリアル番号505、対象記憶媒体510、使用時間515を含む。比較部636は、EEPROM136に格納された使用者情報処理装置30のシリアル番号と、使用許可情報520に含まれるシリアル番号505とを比較する。これにより、管理者は、使用を許可すべき使用者側情報処理装置により使用許可500が使用されることを確実にできる。相互認証が成功した場合、比較部636は、BIOS620のみがアクセス可能な記憶領域であるEEPROM136の所定の記憶域に使用許可情報520を格納する。これに代えて、比較部636は対象記憶媒体510、使用時間515のみをEEPROM136に格納してもよい。
Specifically, the
確認部642は、BIOS620の起動処理の間にBIOS拡張部640が呼び出されると、EEPROM136に使用許可情報520が格納されているかどうか確認する。使用許可情報520が格納されている場合、確認部642は更に、使用許可情報520に含まれる使用時間515と現在時刻とを比較し、現在時刻が、使用時間515が示す時間内であることを確認する。
The
初期化部644は、確認部642から確認の成功を示す通知と対象記憶媒体510とを受け取ったことに応答して、対象記憶媒体510により示される記憶媒体の初期化を行うことにより記憶媒体の使用を可能に設定する。なお、初期化処理は、コンピュータの起動時にBIOS620が通常行う初期化処理と同じであり、当業者に既知であることから説明を省略する。
In response to receiving the notification indicating the confirmation success and the target storage medium 510 from the
一方、初期化禁止部646は、確認部642から確認の失敗を示す通知を受け取ったことに応答して、全ての記憶媒体の初期化を禁止することにより記憶媒体の使用を不能に設定する。図1に示す情報処理装置10の例を用いて具体的に説明すると、初期化の対象又は初期化禁止の対象となるのは、2ndIDEコントローラ114、ドッキングブリッジ130、カードバスコントローラ132、USBコントローラ120、SuperI/Oコントローラ138である。また、初期化禁止部646は、初期化を禁止するだけでなく、上記コントローラについて電力供給をストップすることにより記憶媒体の使用不能の設定を確実にすることができる。
On the other hand, in response to receiving the notification indicating the failure of confirmation from the
初期化禁止部646による処理に代えて、使用者側情報処理装置30に所定の記憶媒体への書込みを禁止するフィルター・ドライバ614が予めインストールされている場合には、フィルター・ドライバ614により所定の記憶媒体の使用を不能にしてもよい。即ち、応答部638は、フィルタリング部616からの定期的な問合せに応答してEEPROM136にアクセスし、フィルタリング部616に使用許可情報520を返す。フィルタリング部616は、応答部から受け取った使用許可500に基づいて所定の記憶媒体への書込みを禁止する。上述した確認部642による記憶媒体の使用不能の設定は、BIOS620の拡張であるBIOS拡張部640により実行されるため、セキュリティ面で好ましい。一方、フィルター・ドライバ614により記憶媒体の使用を不能にする場合には、記憶媒体の読み取りを許可しつつ、書き込みだけを禁止できるため、より柔軟な記憶媒体の制御が可能となる。特に、フィルター・ドライバとしてUSBデバイスに対する書き込みを禁止するフィルター・ドライバがインストールされる場合は、USBコントローラ120は通常通り初期化できるため、USB対応のマウスやキーボードなどの使用に支障がなく好ましい。なお、フィルター・ドライバは一例としてプライマリHDD122に格納できる。
In place of the processing by the
割込みを発生部650は、一定の周期(例えば、1分毎)にセットされたタイマーから通知を受けてSMI割込みを発生させる。監視部639は、割込みを発生部650からの割込みに応答して、現在時刻とEEPROM136に格納された使用時間515とを比較し、現在時刻が記憶媒体の使用が許可された時間内であるかどうかを監視する。時間内でない場合、監視部639は、使用が許可された時間の経過を示す信号を生成する。
The interrupt generation unit 650 receives a notification from a timer set at a constant period (for example, every minute) and generates an SMI interrupt. In response to the interrupt from the generation unit 650, the
強制終了部602は、使用が許可された時間の経過を示す信号に応答して、強制的に対象記憶媒体510により示される記憶媒体の使用を終了させる。具体的には、強制終了部602は、強制的に使用者側情報処理装置30をシャットダウン又は再起動させる。これにより情報処理装置をシャットダウンさせることなく使い続ける使用者に対しても、本発明は有効に機能する。なお、監視部639は、使用が許可された時間の経過を示す信号に代えて、システムが高温状態である旨の信号を擬似的に生成することにより、OSの強制シャットダウン機能を強制終了部602として利用することができる。
The forcible end unit 602 forcibly terminates the use of the storage medium indicated by the target storage medium 510 in response to a signal indicating the passage of time permitted for use. Specifically, the forcible end unit 602 forcibly shuts down or restarts the user side
(4)管理者側情報処理装置(管理レポートの作成)
収集部206は、使用許可作成部204による使用許可作成のロギングデータを収集する。本実施の形態では、収集部206は、記録部202により記録された依頼情報テーブル400にアクセスし、資産識別番号410が同じ登録データのセットを収集する。
(4) Administrator-side information processing device (creation of management reports)
The
管理レポート作成部208は、収集されたロギングデータに基づき管理レポートを作成する。本実施の形態では、管理レポート作成部208は、使用者情報テーブル300にアクセスし、資産識別番号325を検索キーとして、ロギングデータに示される資産識別番号410と同じ資産識別番号325をもつ、社員番号305、氏名310等の使用者情報を取り出す。そして、管理レポート作成部208は、使用者情報と収集部206により収集された登録データのセットとから管理レポートを作成する。管理レポートの作成は、週毎でも月毎でもよく、また、使用許可作成状況をまとめる管理レポートは、使用許可を発行した使用者毎又は資産管理番号毎にまとめて作成してもよい。
The management
次に、上述した機能ブロックについて、(1)使用者側情報処理装置における前提となる設定、(2)管理者側情報処理装置(使用許可の作成)、(3)使用者側情報処理装置、(4)管理者側情報処理装置(管理レポートの作成)の順でその動作を説明する。説明するにあたり、図7乃至図12のフローチャートを参照する。 Next, with respect to the above-described functional blocks, (1) setting that is a premise in the user side information processing apparatus, (2) administrator side information processing apparatus (creation of use permission), (3) user side information processing apparatus, (4) The operation will be described in the order of the administrator-side information processing device (management report creation). In the description, reference is made to the flowcharts of FIGS.
(1)使用者側情報処理装置における前提となる設定
図7を参照して、管理者が、使用者に使用させる情報処理装置に対し、管理者パスワードを使用して当該情報処理装置に接続して使用可能な全ての記憶媒体の使用を不能に設定する動作について説明する。
(1) Prerequisite settings in the information processing apparatus on the user side Referring to FIG. 7, the administrator connects the information processing apparatus to be used by the user to the information processing apparatus using the administrator password. The operation for setting the use of all the usable storage media to be disabled will be described.
管理者による使用者側情報処理装置30のパワーオンにより処理は開始する。ステップ10において、使用者側情報処理装置30(BIOS)は、管理者によりBIOS設定用ボタンが押下げられたかどうか判断する。ボタンが押下げられなかった場合(S10:NO)、使用者側情報処理装置30(BIOS)は起動処理を続ける。一方、ボタンが押下げられた場合(S10:YES)、使用者側情報処理装置30(BIOS)は、使用者側情報処理装置30に管理者パスワードが設定されているかどうか、EEPROM136にアクセスすることにより判断する(S20)。管理者パスワードが設定されている場合(S20:YES)、使用者側情報処理装置30(BIOS)は、表示装置108の表示画面にプロンプトを表示して管理者パスワードの入力を要求する(S30)。
The process starts when the administrator powers on the
入力された管理者パスワードが使用者側情報処理装置30に設定されている管理者パスワードと一致する場合(S40:YES)、又はステップ20でNOの場合、使用者側情報処理装置30(BIOS)は、管理者が記憶媒体の使用禁止の設定を選択したかどうか判断する(S50)。使用禁止の設定が選択された場合(S50:YES)、当該設定をEEPROM136に格納する(S60)。ステップ60の後、又はステップ40、ステップ50においてNOの場合、使用者側情報処理装置30(BIOS)は再起動処理を行う。
When the input administrator password matches the administrator password set in the user-side information processing device 30 (S40: YES), or NO in step 20, the user-side information processing device 30 (BIOS). Determines whether the administrator has selected the setting to prohibit the use of the storage medium (S50). When the use prohibition setting is selected (S50: YES), the setting is stored in the EEPROM 136 (S60). After
(2)管理者側情報処理装置(使用許可の作成)
図8を参照して、使用許可の作成に関して管理者側情報処理装置の動作を説明する。記憶媒体の使用許可の発行を求める使用者から得られた使用者情報が、キーボード等の入力デバイス148を用いて管理者により管理者側情報処理装置20へ入力されると処理が開始する。
(2) Administrator-side information processing device (creation of use permission)
With reference to FIG. 8, the operation of the information processing apparatus on the manager side regarding the creation of the use permission will be described. The process starts when user information obtained from a user who requests issuance of use permission for a storage medium is input to the administrator-side information processing apparatus 20 by an administrator using an
ステップ100において、照合部200は、入力された使用者情報を照合するために、管理者側情報処理装置20のハードディスク122に格納された使用者情報テーブル300にアクセスする。そして、照合部200は照合の結果を表示装置108の表示画面に表示する。
In
照合に成功しない場合(S110:NO)、処理は終了する。一方、照合に成功すると(S110:YES)、記録部202は、キーボード等の入力デバイス148を用いて管理者により入力される使用許可依頼内容を依頼情報テーブル400に登録し、ハードディスク122に格納する(S120)。
If the verification is not successful (S110: NO), the process ends. On the other hand, if the collation is successful (S110: YES), the
次に、ステップ130において、使用許可作成部204は、依頼情報テーブル400及び使用者情報テーブル300にアクセスし、使用許可情報520及び管理者CRC525を含む使用許可500を作成する。その後、使用許可作成部204は、ネットワークを介して、作成した使用許可500を使用者側情報処理装置30へ送付する(S140)。この際、使用許可作成部204は記録部202に使用許可の作成を通知する。
Next, in
ステップ150において、記録部202は、使用許可作成部204からの通知に応答して、依頼情報テーブル400にアクセスし、該当する登録データに対し使用許可作成日を登録して使用許可作成の記録をとる。そして処理は終了する。
In
(3)使用者側情報処理装置
図9を参照して、管理者から発行された使用許可500に基づく記憶媒体の使用の可/不可の設定に関して使用者側情報処理装置30の動作を説明する。
(3) User-side Information Processing Device With reference to FIG. 9, the operation of the user-side
ステップ200において、使用者側情報処理装置30の通信インターフェース128は、ネットワークを介して管理者が送付した使用許可500を受信する。その後、使用者による入力デバイス148の操作に従い専用ツール610が起動される。専用ツール610は、受信された使用許可500を読み込み、SMIハンドラ630を呼び出して認証部632に使用許可500を渡す。
In
ステップ210において、認証部632の比較部636は、EEPROM136に格納された使用者側情報処理装置30のシリアル番号と、使用許可500に含まれるシリアル番号505とを比較し、一致するかどうか判断する(S210)。一致する場合(S210:YES)、ステップ220において、認証部632の生成部634は、EEPROM136に格納された管理者パスワードを使用許可500に含まれる使用許可情報520に追加してCRCを計算することにより、認証CRCを生成する。
In
比較部636は、生成部634により生成された認証CRCと使用許可500に含まれる管理者CRC525とを比較し、一致するかどうか判断する(S230)。一致する場合(S230:YES)、比較部636は、使用許可情報520をEEPROM136の所定の記憶域に格納する(S240)。その後、管理者の入力デバイスの操作により、又は自動で、使用者側情報処理装置30は再起動する(S250)。一方、ステップ210又はステップ230でNOの場合、処理は終了する。
The
BIOS620はその後起動処理を開始し、ステップ260において、確認部642は、EEPROM136からデータを読出し、ステップ270において、使用許可情報520の有無を確認する。使用許可情報520が有る場合、確認部642は更に、現在時刻が使用許可情報520に含まれる使用時間515内であるかどうか判断する。
The
確認に成功した場合(S270:YES)、ステップ280において、初期化部644は、対象記憶媒体510と一緒に確認部642から確認の成功を示す通知を受けることに応答して、対象記憶媒体510により示される記憶媒体の初期化を行うことにより対象記憶媒体510を使用可能に設定する。
If the confirmation is successful (S270: YES), in
確認に失敗した場合(S270:NO)、ステップ300において、初期化禁止部646は、使用者側情報処理装置30に接続して使用可能な全ての記憶媒体に対し初期化を禁止し及び/又は電力の供給をストップすることにより記憶媒体の使用を不能にする設定をする。
If the confirmation fails (S270: NO), in
一方、初期化後のステップ290においては、対象記憶媒体510により示される記憶媒体を除く残りの記憶媒体に対し、ステップ300に関して説明した使用不能の設定を行う。そして、ステップ290又はステップ300の後、使用者用情報処理装置30は起動され、処理は終了する。
On the other hand, in step 290 after initialization, the unusable setting described with respect to step 300 is performed for the remaining storage media excluding the storage medium indicated by the target storage medium 510. After step 290 or step 300, the user
図10を参照して、初期化禁止部646により記憶媒体の使用を不能に設定する処理に代えて、所定の記憶媒体への書込みを禁止するフィルター・ドライバ614により記憶媒体の使用を不能にする処理を説明する。なお、ある記憶媒体に対しては初期化禁止部646により使用を不能に設定し、またある記憶媒体に対してはフィルター・ドライバ614により使用を不能にするようにしてもよい。ここでは、使用者側情報処理装置30にUSBデバイスへの書込みを禁止するフィルター・ドライバが予めインストールされているものとして処理を説明する。
Referring to FIG. 10, in place of the process of setting the use of the storage medium to be disabled by the
フィルター・ドライバ614により記憶媒体の使用を不能にする処理は、OS600が立ち上がった後に開始する。ステップ305において、フィルタリング部616は、応答部638に対し使用許可の問合せを行う。応答部638は、フィルタリング部616からの問合せに応答してEEPROM136にアクセスする(S310)。ステップ315において、応答部638はEEPROM136からデータを読み出し、使用許可情報520がある場合は使用許可情報520をフィルタリング部616へ返す。ない場合はない旨の応答をフィルタリング部616へ返す。
The process of disabling the use of the storage medium by the
ステップ320において、フィルタリング部616は、応答部からの使用許可情報520に含まれる対象記憶媒体510が所定のUSBデバイスを示すかどうか判断する。所定のUSBデバイスを示す場合(S320:YES)、フィルタリング部616は、所定のUSBデバイスへの書込み要求を全てブロックすることにより、所定のUSBデバイスへの書込みを禁止する(S325)。ステップ325の後、又は対象記憶媒体510が所定のUSBデバイスを示さない場合あるいは応答部638から使用許可情報520を受け取らなかった場合(S320:NO)、処理はステップ305へ戻る。上述したステップ305からステップ320/325までの一連のステップはフィルター・ドライバ614により定期的に繰り返される。
In
図11を参照して、管理者により使用が許可された時間を経過して記憶媒体が使用される場合の使用者側情報処理装置30の動作を説明する。
With reference to FIG. 11, an operation of the user side
ステップ350において、割り込み発生部650は、一定の周期にセットされたタイマーから通知を受け、SMI割り込みを発生させる。ステップ360において、監視部639は、SMI割込みに応答して、使用者側情報処理装置30の現在時刻がEEPROM136に格納された使用時間515が示す時間内であるかどうか判断する。 使用時間が経過している場合(S360:YES)、監視部639は使用時間の経過を示す信号を生成する(S370)。使用時間が経過していない場合(S360:NO)、処理はステップ350に戻る。
In step 350, the interrupt generation unit 650 receives a notification from a timer set at a certain period and generates an SMI interrupt. In
ステップ380において、強制終了部602は、使用時間の経過を示す信号に応答して、強制的に対象記憶媒体510により示される記憶媒体の使用を終了させる。具体的には、使用者側情報処理装置30を強制的にシャットダウンまたは再起動させる。従って、次に使用者側情報処理装置30が起動する際には、確認部642により現在時刻が使用許可情報520に含まれる使用時間515内でないと判断されるため、対象記憶媒体510の初期化が禁止され、その使用が不能となる。そしてステップ380の後処理は終了する。
In step 380, the forcible end unit 602 forcibly ends the use of the storage medium indicated by the target storage medium 510 in response to the signal indicating that the usage time has elapsed. Specifically, the user side
(4)管理者側情報処理装置(管理レポートの作成)
図12を参照して、管理レポートの作成に関して管理者側情報処理装置20の動作を説明する。
(4) Administrator-side information processing device (creation of management reports)
With reference to FIG. 12, the operation of the administrator-side information processing apparatus 20 regarding the creation of the management report will be described.
ステップ430において、収集部206は、使用許可作成部204による使用許可作成のロギングデータを収集する。具体的には記録部202により管理される依頼情報テーブル400にアクセスし、資産識別番号410が同じ登録データのセットを収集する。
In step 430, the
次に、ステップ440において、管理レポート作成部208は、収集部206により収集されたロギングデータに基づき、使用許可の発行状況を示す管理レポートを作成する。そして処理は終了する。
Next, in step 440, the management
以上、本発明の実施の形態を用いて説明したが、本発明の技術範囲は上記実施の形態に記載の範囲には限定されない。例えば、本発明の実施の形態におけるSMIハンドラによる使用許可の認証は、BIOSの起動処理の間に行うこともできる。また、本発明の実施の形態における強制終了部によるシステムの強制終了に代えて、使用が許可された時間を経過して記憶媒体が使用されている旨をネットワークを介して自動的に管理者へ報告する構成を設けてもよい。更に、使用許可の発行は必ずしもネットワークを介する必要はなく、使用許可をフレキシブルディスク等の記憶メディアに格納して使用者へ渡してもよい。但し、この場合、使用者側情報処理装置においてFDDの使用は予め許可されていることが前提となる。上記の実施の形態に、そのような種々の変更又は改良を加えることが可能であることが当業者に明らかである。従って、そのような変更又は改良を加えた形態も当然に本発明の技術的範囲に含まれる。 As mentioned above, although demonstrated using embodiment of this invention, the technical scope of this invention is not limited to the range as described in the said embodiment. For example, the use permission authentication by the SMI handler in the embodiment of the present invention may be performed during the BIOS activation process. Further, instead of forcibly terminating the system by the forcible termination unit in the embodiment of the present invention, the administrator is automatically notified via the network that the storage medium has been used after the permitted time has elapsed. A configuration for reporting may be provided. Furthermore, the use permission is not necessarily issued via the network, and the use permission may be stored in a storage medium such as a flexible disk and passed to the user. However, in this case, it is assumed that the use of FDD is permitted in advance in the user side information processing apparatus. It will be apparent to those skilled in the art that various modifications and improvements can be made to the above embodiment. Accordingly, it is a matter of course that embodiments with such changes or improvements are also included in the technical scope of the present invention.
Claims (16)
管理者側情報処理装置から使用時間と対象記憶媒体に関する情報を含む使用許可情報と、該使用許可情報と管理者パスワードを利用して作成した管理者側の認証データを含む使用許可を通信インターフェースを通じて受け取るステップと、
前記使用許可情報と前記保有している管理者パスワードを利用して作成した使用者側の認証データと前記管理者側の認証データとを比較するステップと、
前記比較するステップで前記管理者側の認証データと前記使用者側の認証データが一致したことを条件として再起動処理の間に前記情報処理装置に前記使用許可情報が存在することを確認するステップと、
前記使用許可情報の存在を確認することを条件にして再起動処理の間に前記情報処理装置の現在時刻が前記使用時間内であることが確認できた対象記憶媒体だけが使用可能になるように前記対象記憶媒体に関する情報が示すコントローラを初期化するステップと
を含む処理を実行させるコンピュータ・プログラム。 An information processing device that has a plurality of controllers that control the connection of portable storage media and that has an administrator password.
Use permission information including use time information and information on the target storage medium from the administrator side information processing apparatus, and use permission including authentication data on the administrator side created using the use permission information and the administrator password, through a communication interface. Receiving, and
Comparing the authentication data on the user side with the authentication data on the user side created using the use permission information and the administrator password that is held;
Confirming that the use permission information exists in the information processing apparatus during a restart process on the condition that the authentication data on the administrator side and the authentication data on the user side match in the comparing step When,
Only the target storage medium for which it is confirmed that the current time of the information processing apparatus is within the use time during the restart process on the condition that the presence of the use permission information is confirmed can be used. A computer program that executes a process including a step of initializing a controller indicated by information on the target storage medium.
前記BIOSが、前記比較するステップ、前記確認するステップ、および前記初期化するステップを前記情報処理装置に実行させる請求項1に記載のコンピュータ・プログラム。 The information processing apparatus has a built-in storage medium storing BIOS,
The computer program according to claim 1, wherein the BIOS causes the information processing apparatus to execute the comparing step, the checking step, and the initialization step.
前記使用者側の認証データが、前記保有していた管理者パスワードを前記使用許可情報に追加してCRC計算をすることにより生成した使用者CRCである請求項1に記載のコンピュータ・プログラム。 The administrator-side authentication data is an administrator CRC generated by performing CRC calculation by adding the administrator password to the use permission information,
The computer program according to claim 1, wherein the user-side authentication data is a user CRC generated by performing CRC calculation by adding the held administrator password to the use permission information.
前記比較するステップは、前記情報処理装置が保有する前記情報処理装置の識別子と、前記使用許可情報に含まれる前記使用を許可すべき情報処理装置の識別子とを比較するステップを含む請求項3に記載のコンピュータ・プログラム。 The use permission information includes an identifier of the information processing apparatus that should be permitted to use,
The step of comparing includes a step of comparing an identifier of the information processing apparatus held by the information processing apparatus with an identifier of the information processing apparatus to be permitted for use included in the use permission information. The computer program described.
前記フィルター・ドライバは、前記使用許可に基づいて前記所定の記憶媒体への書込みを禁止する処理を前記情報処理装置に実行させる請求項1に記載のコンピュータ・プログラム。 The information processing apparatus is preinstalled with a filter driver that prohibits writing to a predetermined storage medium,
The computer program according to claim 1, wherein the filter driver causes the information processing apparatus to execute a process for prohibiting writing to the predetermined storage medium based on the use permission.
前記使用時間が経過していることに応答して、強制的に前記情報処理装置をシャットダウンまたは再起動して前記記憶媒体の使用を終了させるステップを含む請求項1に記載のコンピュータ・プログラム。 Monitoring whether the current time is within the usage time included in the usage authorization while the operating system is running;
The computer program product according to claim 1, further comprising a step of forcibly shutting down or restarting the information processing apparatus and terminating the use of the storage medium in response to the use time having elapsed.
持ち運び可能な記憶媒体の接続を制御する複数のコントローラと、
管理者側情報処理装置から使用時間と対象記憶媒体に関する情報を含む使用許可情報と、該使用許可情報と管理者パスワードを利用して作成した管理者側の認証データを含む使用許可を通信インターフェースを通じて受け取る呼び出し部と、
前記使用許可情報と前記保有している管理者パスワードを利用して作成した使用者側の認証データと前記管理者側の認証データとを比較する比較部と、
前記管理者側の認証データと前記使用者側の認証データが一致したときに前記使用許可情報が格納されていることを再起動処理の間に確認する確認部と、
前記使用許可情報の格納を確認することを条件にして再起動処理の間に前記情報処理装置の現在時刻が前記使用時間内であることが確認できた対象記憶媒体だけが使用可能になるように前記対象記憶媒体に関する情報が示すコントローラを初期化する初期化部と
を有する情報処理装置。 An information processing apparatus having an administrator password,
A plurality of controllers for controlling the connection of portable storage media;
Use permission information including use time information and information on the target storage medium from the administrator side information processing apparatus, and use permission including authentication data on the administrator side created using the use permission information and the administrator password, through a communication interface. A caller to receive,
A comparison unit for comparing the authentication data on the user side with the authentication data on the user side created using the use permission information and the administrator password that is held;
A confirmation unit for confirming during the restart process that the use permission information is stored when the authentication data on the administrator side matches the authentication data on the user side;
Only the target storage medium for which it is confirmed that the current time of the information processing device is within the usage time during the restart process on the condition that the storage of the usage permission information is confirmed can be used. And an initialization unit that initializes a controller indicated by information on the target storage medium.
前記使用者側の認証データが、前記保有していた管理者パスワードを前記使用許可情報に追加してCRC計算をすることにより生成した使用者CRCである請求項10に記載の情報処理装置。 The administrator-side authentication data is an administrator CRC generated by performing CRC calculation by adding the administrator password to the use permission information,
The information processing apparatus according to claim 10, wherein the user-side authentication data is a user CRC generated by performing CRC calculation by adding the held administrator password to the use permission information.
前記比較部は、前記情報処理装置に格納された前記情報処理装置の識別子と、前記使用許可情報に含まれる前記使用を許可すべき情報処理装置の識別子とを比較する請求項10に記載の情報処理装置。 The use permission information includes an identifier of the information processing apparatus that should be permitted to use,
The information according to claim 10, wherein the comparison unit compares the identifier of the information processing device stored in the information processing device with the identifier of the information processing device that should be permitted to be used included in the use permission information. Processing equipment.
前記フィルター・ドライバは、前記使用許可に基づいて前記所定の記憶媒体への書込みを禁止する処理を前記情報処理装置に実行させる請求項10に記載の情報処理装置。 The information processing apparatus has a built-in storage medium for storing a filter driver that prohibits writing to a predetermined storage medium,
The information processing apparatus according to claim 10, wherein the filter driver causes the information processing apparatus to execute a process of prohibiting writing to the predetermined storage medium based on the use permission.
前記使用時間の経過を示す信号に応答して、強制的に前記情報処理装置をシャットダウンまたは再起動して前記記憶媒体の使用を終了させる強制終了部を含む請求項10に記載の情報処理装置。 A monitoring unit that monitors whether the current time is within the usage time included in the use permission while the operating system is operating, and generates a signal indicating the passage of the usage time;
The information processing apparatus according to claim 10, further comprising: a forcible end unit that forcibly shuts down or restarts the information processing apparatus to end use of the storage medium in response to a signal indicating that the usage time has elapsed.
管理者側情報処理装置から使用時間と対象記憶媒体に関する情報を含む使用許可情報と、該使用許可情報と管理者パスワードを利用して作成した管理者側の認証データを含む使用許可を通信インターフェースを通じて受け取るステップと、
前記使用許可情報と前記保有している管理者パスワードを利用して作成した使用者側の認証データと前記管理者側の認証データとを比較部が比較するステップと、
前記比較するステップで前記管理者側の認証データと前記使用者側の認証データが一致したことを条件として再起動処理の間に前記情報処理装置に前記使用許可情報が存在することを確認部が確認するステップと、
前記使用許可情報が存在することを条件にして再起動処理の間に前記情報処理装置の現在時刻が前記使用時間内であることが確認できた対象記憶媒体だけが使用可能になるように前記対象記憶媒体に関する情報が示すコントローラを初期化部が初期化するステップと
を含む方法。 An information processing apparatus comprising a plurality of controllers for controlling connection of a portable storage medium and having an administrator password for controlling the controller,
Use permission information including use time information and information on the target storage medium from the information processing apparatus on the administrator side, and use permission including authentication data on the administrator side created using the use permission information and the administrator password through the communication interface Receiving, and
A comparison unit comparing the authentication data on the user side and the authentication data on the administrator side created using the use permission information and the administrator password held by the administrator;
The confirmation unit confirms that the use permission information exists in the information processing apparatus during a restart process on the condition that the authentication data on the administrator side matches the authentication data on the user side in the comparing step. Steps to check,
The target is set so that only the target storage medium that can be confirmed that the current time of the information processing apparatus is within the use time during the restart process is provided on the condition that the use permission information exists. Initializing the controller indicated by the information about the storage medium.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005127472A JP4575228B2 (en) | 2005-04-26 | 2005-04-26 | Use control method, management method, apparatus, and program of portable storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005127472A JP4575228B2 (en) | 2005-04-26 | 2005-04-26 | Use control method, management method, apparatus, and program of portable storage medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006309296A JP2006309296A (en) | 2006-11-09 |
JP4575228B2 true JP4575228B2 (en) | 2010-11-04 |
Family
ID=37476155
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005127472A Expired - Fee Related JP4575228B2 (en) | 2005-04-26 | 2005-04-26 | Use control method, management method, apparatus, and program of portable storage medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4575228B2 (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100879807B1 (en) * | 2006-12-11 | 2009-01-22 | 소프트캠프(주) | Control system to control the document being taken out |
JP5052878B2 (en) * | 2006-12-12 | 2012-10-17 | 株式会社バッファロー | Storage device and user authentication method |
JP4295331B2 (en) | 2007-04-26 | 2009-07-15 | レノボ・シンガポール・プライベート・リミテッド | Security setting method for storage device and computer. |
US20120023598A1 (en) * | 2009-03-31 | 2012-01-26 | Hewlett-Packard Development Company, L.P. | Bios usb write prevent |
JP2010278652A (en) * | 2009-05-27 | 2010-12-09 | Toshiba Tec Corp | Password input device |
JP6351061B2 (en) * | 2014-02-25 | 2018-07-04 | 日本電気株式会社 | Management system, management method, program, and user terminal |
JP2015164053A (en) * | 2015-04-15 | 2015-09-10 | 住友電工システムソリューション株式会社 | Device use control method, device use control apparatus, device use control system and program |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003067338A (en) * | 2001-08-27 | 2003-03-07 | Nec Gumma Ltd | Security protection system, security protection method and security protection program |
JP2003233538A (en) * | 2002-02-13 | 2003-08-22 | Matsushita Electric Ind Co Ltd | Information recording/reproduction device and security management method |
WO2003078768A1 (en) * | 2002-03-19 | 2003-09-25 | Matsushita Electric Industrial Co., Ltd. | Use limit system |
-
2005
- 2005-04-26 JP JP2005127472A patent/JP4575228B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003067338A (en) * | 2001-08-27 | 2003-03-07 | Nec Gumma Ltd | Security protection system, security protection method and security protection program |
JP2003233538A (en) * | 2002-02-13 | 2003-08-22 | Matsushita Electric Ind Co Ltd | Information recording/reproduction device and security management method |
WO2003078768A1 (en) * | 2002-03-19 | 2003-09-25 | Matsushita Electric Industrial Co., Ltd. | Use limit system |
Also Published As
Publication number | Publication date |
---|---|
JP2006309296A (en) | 2006-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5565040B2 (en) | Storage device, data processing device, registration method, and computer program | |
CN106855814B (en) | System and method for managing BIOS settings | |
JP4575228B2 (en) | Use control method, management method, apparatus, and program of portable storage medium | |
AU2010340222B2 (en) | Protected device management | |
JP4982825B2 (en) | Computer and shared password management methods | |
US8756390B2 (en) | Methods and apparatuses for protecting data on mass storage devices | |
US20090046858A1 (en) | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key | |
CN101675417B (en) | The system and method for anti-tamper control | |
EP2135186B1 (en) | System and method for providing a secure computing environment | |
WO2005101205A1 (en) | Computer system | |
JP2006521602A (en) | Security system and method | |
TWI712889B (en) | Memory device and program | |
US10742412B2 (en) | Separate cryptographic keys for multiple modes | |
EP1953668A2 (en) | System and method of data encryption and data access of a set of storage devices via a hardware key | |
KR102195344B1 (en) | Security system and method for computer using usb storage medium | |
JP2017528816A (en) | System and method for improved security for a processor in a portable computing device (PCD) | |
WO2021169106A1 (en) | Trusted startup method and apparatus, electronic device and readable storage medium | |
JP2005316856A (en) | Information processor, starting method thereof, and starting program thereof | |
JP3834241B2 (en) | Software recording unit separation type information processing apparatus and software management method | |
JP2011233087A (en) | Storage, control method and computer program | |
US6948075B2 (en) | Computer controlling method, information apparatus, computer, and storage medium | |
JP4314311B2 (en) | Information processing apparatus and information processing system | |
JP2010146401A (en) | Control assistance system, information processing apparatus and computer program | |
JP2008269210A (en) | Removable memory unit and computer device | |
JP4388040B2 (en) | Unauthorized connection prevention system, unauthorized connection prevention method, user terminal, and program for user terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20061129 |
|
A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20061219 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20090717 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090806 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090903 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091117 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20091228 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100119 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20091228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100817 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100819 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4575228 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |