JP4575228B2 - Use control method, management method, apparatus, and program of portable storage medium - Google Patents

Use control method, management method, apparatus, and program of portable storage medium Download PDF

Info

Publication number
JP4575228B2
JP4575228B2 JP2005127472A JP2005127472A JP4575228B2 JP 4575228 B2 JP4575228 B2 JP 4575228B2 JP 2005127472 A JP2005127472 A JP 2005127472A JP 2005127472 A JP2005127472 A JP 2005127472A JP 4575228 B2 JP4575228 B2 JP 4575228B2
Authority
JP
Japan
Prior art keywords
information processing
processing apparatus
use permission
storage medium
administrator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005127472A
Other languages
Japanese (ja)
Other versions
JP2006309296A (en
Inventor
康祐 大谷
貴志子 伊藤
栄太郎 笠松
賢治 岡
Original Assignee
レノボ シンガポール プライヴェート リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by レノボ シンガポール プライヴェート リミテッド filed Critical レノボ シンガポール プライヴェート リミテッド
Priority to JP2005127472A priority Critical patent/JP4575228B2/en
Publication of JP2006309296A publication Critical patent/JP2006309296A/en
Application granted granted Critical
Publication of JP4575228B2 publication Critical patent/JP4575228B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、一般的には、情報処理装置の動作制御に関する。より詳細には、本発明は、情報処理装置における持ち運び可能な記憶媒体の使用を制御及び管理する技術に関する。   The present invention generally relates to operation control of an information processing apparatus. More particularly, the present invention relates to a technique for controlling and managing use of a portable storage medium in an information processing apparatus.

近年、様々な企業でコンピュータが使用され、機密情報、個人情報などの重要なデータもコンピュータで管理されるようになってきている。従って、コンピュータには、例えば、データが外部記憶媒体に複写され持ち出されることのないような高いセキュリティが求められる。このような高いセキュリティを確保する方法の1つに、OS(Operating System)が有するセキュリティ機能を利用する方法がある。即ち、OSが管理するユーザの属性毎に、持ち運び可能な記憶媒体又は当該記憶媒体の駆動装置を使用できるかどうかに関し、異なる権限を与えるという方法である。   In recent years, computers have been used in various companies, and important data such as confidential information and personal information has been managed by computers. Therefore, the computer is required to have high security so that, for example, data is not copied to an external storage medium and taken out. One method for ensuring such high security is to use a security function possessed by an OS (Operating System). That is, for each user attribute managed by the OS, a different authority is given regarding whether or not a portable storage medium or a drive device of the storage medium can be used.

また、制御用情報を保存するUSB記憶装置と、情報処理装置に接続して動作させる対象となるUSB周辺装置とを切り替えて情報処理装置のUSBコントローラに接続するUSBバス切替え装置において、USB記憶装置に保存された認証プログラムにより利用者が入力する認証情報を認証することができた場合に、USB周辺装置をUSBコントローラを介して情報処理装置に接続する技術が開示されている(特許文献1)。
特開2003−150285号公報
Also, in a USB bus switching device that switches between a USB storage device that stores control information and a USB peripheral device that is connected to the information processing device and operates, the USB storage device is connected to the USB controller of the information processing device. Discloses a technique for connecting a USB peripheral device to an information processing device via a USB controller when authentication information input by a user can be authenticated by an authentication program stored in the computer (Patent Document 1). .
JP 2003-150285 A

しかし、従来技術では、権限をもつ使用者、あるいは認証情報を知っている使用者は常に持ち運び可能な記憶媒体を使用できてしまう一方で、権限がない使用者、あるいは認証情報を知らない使用者は持ち運び可能な記憶媒体を一切利用できないという課題があった。即ち、従来の技術では、使用者の利便性を考慮して、状況に応じてその使用制限を一時的に解除するなどの柔軟な制御を行うことは出来ないという課題が生じていた。   However, in the prior art, an authorized user or a user who knows authentication information can always use a portable storage medium, while an unauthorized user or a user who does not know authentication information. Had the problem of not being able to use any portable storage media. That is, in the conventional technology, there is a problem that flexible control such as temporarily canceling the use restriction according to the situation cannot be performed in consideration of user convenience.

また、権限をもつ使用者はいつでも持ち運び可能な記憶媒体を使用できるため、企業のセキュリティ等の管理者が、情報処理装置における持ち運び可能な記憶媒体の使用状況を掌握する事ができないという課題もあった。   In addition, since authorized users can use portable storage media at any time, there is a problem that an administrator such as corporate security cannot grasp the usage status of portable storage media in information processing devices. It was.

本発明は、上記の課題を解決するための持ち運び可能な記憶媒体の使用制御方法、管理方法、装置、及びプログラムを提供することを目的とする。   It is an object of the present invention to provide a portable storage medium use control method, management method, apparatus, and program for solving the above-described problems.

上記の課題を解決するために、情報処理装置において、持ち運び可能な記憶媒体の使用を制御する方法が提供される。   In order to solve the above problems, a method for controlling use of a portable storage medium in an information processing apparatus is provided.

情報処理装置は、その起動処理の間に、記憶媒体の使用時間を含む使用許可を確認する。そして、使用許可を有し、かつ現在時刻が使用許可に含まれる使用時間内であることを確認することを条件として、情報処理装置は記憶媒体の使用を可能に設定する。   The information processing apparatus confirms the usage permission including the usage time of the storage medium during the activation process. The information processing apparatus sets the storage medium to be usable on condition that the use permission is confirmed and the current time is within the use time included in the use permission.

好適には、情報処理装置はBIOSを格納した記憶媒体を内蔵し、BIOSが、上記使用許可の有無を確認し、及び条件が満たされる場合に使用を可能に設定する。   Preferably, the information processing apparatus has a built-in storage medium storing the BIOS, and the BIOS confirms whether or not the use is permitted, and sets it to be usable when the condition is satisfied.

好適には、情報処理装置は、情報処理装置の使用者からのリクエストに基づき情報処理装置の管理者から発行された記憶媒体の使用許可を受け取り、認証する。そして、情報処理装置は、認証した使用許可を所定の記憶域、好ましくはBIOSの設定領域、に格納する。使用許可の確認は、この設定領域内に格納された使用許可の情報を起動時に情報処理装置(BIOS)が読取ることにより行われる。   Preferably, the information processing apparatus receives and authenticates use permission of the storage medium issued by the information processing apparatus manager based on a request from the information processing apparatus user. Then, the information processing apparatus stores the authenticated use permission in a predetermined storage area, preferably a BIOS setting area. The use permission is confirmed by the information processing device (BIOS) reading the use permission information stored in the setting area at the time of activation.

好適には、情報処理装置には管理者パスワードが予め設定されているものとする。また、管理者から発行された使用許可は、記憶媒体の使用許可の内容を示す使用許可情報、及び管理者パスワードと使用許可情報から生成された管理者CRCとを含む。そして、上記認証は、管理者からの使用許可に含まれる使用許可情報と情報処理装置に設定された管理者パスワードとから認証CRCを生成し、当該認証CRCと管理者CRCとを比較して一致するかどうかを判断することにより行われる。   Preferably, an administrator password is set in advance in the information processing apparatus. The use permission issued by the administrator includes use permission information indicating the content of use permission of the storage medium, and an administrator CRC generated from the administrator password and the use permission information. Then, the authentication is performed by generating an authentication CRC from the use permission information included in the use permission from the administrator and the administrator password set in the information processing apparatus, and comparing the authentication CRC with the administrator CRC. This is done by determining whether or not to do so.

好適には、使用許可情報は、使用を許可すべき情報処理装置の識別子を含む。そして、上記認証は、更に、情報処理装置の識別子と、使用許可情報に含まれる使用を許可すべき情報処理装置の識別子とを比較して一致するかどうかを判断することにより行われる。   Preferably, the use permission information includes an identifier of an information processing apparatus that should be permitted to use. The authentication is further performed by comparing the identifier of the information processing device and the identifier of the information processing device that should be permitted to be used included in the use permission information to determine whether they match.

また、好適には、使用許可が無いことを確認することを条件として、情報処理装置は、記憶媒体又は記憶媒体の駆動装置をコントロールするコントローラを初期化しないことにより、記憶媒体の使用を不能に設定する。   Preferably, the information processing device disables the use of the storage medium by not initializing a controller that controls the storage medium or the drive device of the storage medium on the condition that it is confirmed that there is no use permission. Set.

また、好適には、情報処理装置には所定の記憶媒体への書込みを禁止するフィルター・ドライバが予めインストールされているものとする。そして、フィルター・ドライバは、使用許可に基づいて所定の記憶媒体への書込みを禁止する。所定の記憶媒体は、データの書込み可能なUSBデバイスを含む。   Preferably, a filter driver that prohibits writing to a predetermined storage medium is installed in advance in the information processing apparatus. Then, the filter driver prohibits writing to a predetermined storage medium based on the use permission. The predetermined storage medium includes a USB device capable of writing data.

好適には、情報処理装置は、使用許可に含まれる使用時間の経過を監視する。そして、監視の結果使用時間が経過していることに応答して、情報処理装置は強制的に記憶媒体の使用を終了させる。   Preferably, the information processing apparatus monitors the passage of usage time included in the usage permission. Then, in response to the fact that the usage time has elapsed as a result of monitoring, the information processing apparatus forcibly ends the use of the storage medium.

また、上述の課題を解決するために、管理者側情報処理装置(第1情報処理装置)において、使用者側情報処理装置(第2情報処理装置)における持ち運び可能な記憶媒体の使用を管理する方法が提供される。   Further, in order to solve the above-described problem, in the administrator-side information processing device (first information processing device), the use of a portable storage medium in the user-side information processing device (second information processing device) is managed. A method is provided.

管理者側情報処理装置は、使用者側情報処理装置の使用者からのリクエストに応じて、使用者側情報処理装置に対して記憶媒体の使用許可を作成し、作成した使用許可を使用者側情報処理装置へ送付する。ここで、使用許可は使用者側情報処理装置における記憶媒体の使用を許可する使用時間を含む。   In response to a request from the user of the user-side information processing apparatus, the administrator-side information processing apparatus creates a use permission for the storage medium for the user-side information processing apparatus, and uses the created use permission for the user side. Send to information processing device. Here, the use permission includes a use time for permitting use of the storage medium in the user side information processing apparatus.

好適には、管理者側情報処理装置は、使用許可の作成及びその送付を記録する。そして、例えば週毎、又は月毎等の一定の間隔で使用許可作成のロギングデータを収集し、収集されたロギングデータに基づき管理レポートを作成する。   Preferably, the manager-side information processing apparatus records the creation of the use permission and its transmission. Then, logging data for use permission creation is collected at regular intervals such as weekly or monthly, and a management report is created based on the collected logging data.

以上、情報処理装置において、持ち運び可能な記憶媒体の使用を制御する方法及び使用制御を管理する方法として本発明を説明したが、本発明は、装置、プログラム、又はプログラム製品として把握することもできる。プログラム製品は、例えば、前述のプログラムを格納した記憶媒体を含めることができる。   As described above, the present invention has been described as a method for controlling use of a portable storage medium and a method for managing use control in an information processing apparatus. However, the present invention can also be grasped as an apparatus, a program, or a program product. . The program product can include, for example, a storage medium storing the above-described program.

上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となり得ることに留意すべきである。   It should be noted that the above summary of the invention does not enumerate all necessary features of the present invention, and that sub-combinations of these features can also be an invention.

本発明によれば、使用者の利便性を考慮して、状況に応じて情報処理装置における持ち運び可能な記録媒体の使用制限を一時的に解除するなどの柔軟な制御を行うことができる。また、企業内のセキュリティ等の管理者が、情報処理装置における持ち運び可能な記録媒体の使用状況を掌握することができる。   According to the present invention, it is possible to perform flexible control such as temporarily canceling the restriction on the use of a portable recording medium in the information processing apparatus according to the situation in consideration of user convenience. In addition, an administrator such as security in the company can grasp the usage status of a portable recording medium in the information processing apparatus.

以下、本発明を実施するための最良の形態を図面に基づいて詳細に説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。   BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the best mode for carrying out the present invention will be described in detail with reference to the drawings. However, the following embodiments do not limit the invention according to the claims, and are described in the embodiments. Not all combinations of features that are present are essential to the solution of the invention.

また、本発明は多くの異なる態様で実施することが可能であり、実施の形態の記載内容に限定して解釈されるべきものではない。また、実施の形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須とは限らないことに留意されたい。実施の形態の説明の全体を通じて同じ要素には同じ番号を付している。   The present invention can be implemented in many different modes and should not be construed as being limited to the description of the embodiment. It should be noted that not all the combinations of features described in the embodiments are essential for the solution of the invention. The same number is attached | subjected to the same element through the whole description of embodiment.

以下の実施の形態では、主に情報処理装置又は方法について説明するが、当業者であれば明らかな通り、本発明はその一部をコンピュータで使用可能なプログラムとして実施することができる。したがって、本発明は、ハードウェアとしての実施形態、ソフトウェアとしての実施形態又はソフトウェアとハードウェアとの組合せの実施形態をとることができる。プログラムは、ハードディスク、DVD−ROM、CD−ROM、光記憶装置又は磁気記憶装置等の任意のコンピュータ可読媒体に記録できる。   In the following embodiments, an information processing apparatus or method will be mainly described. However, as will be apparent to those skilled in the art, a part of the present invention can be implemented as a computer-usable program. Therefore, the present invention can take an embodiment as hardware, an embodiment as software, or an embodiment of a combination of software and hardware. The program can be recorded on any computer-readable medium such as a hard disk, DVD-ROM, CD-ROM, optical storage device, or magnetic storage device.

図1は本実施の形態による使用者側情報処理装置を実現するのに好適な情報処理装置のハードウェア構成の一例を示した図である。図1に示す情報処理装置10において、中央処理装置(CPU)100は、プログラム制御により種々の演算処理を実行し、情報処理装置10全体を制御している。ホストコントローラ102は、CPU100とメインメモリ104等を接続する機能を担うチップである。   FIG. 1 is a diagram showing an example of a hardware configuration of an information processing apparatus suitable for realizing the user side information processing apparatus according to the present embodiment. In the information processing apparatus 10 shown in FIG. 1, a central processing unit (CPU) 100 executes various arithmetic processes by program control and controls the entire information processing apparatus 10. The host controller 102 is a chip having a function of connecting the CPU 100 and the main memory 104 and the like.

メインメモリ104は、CPU100が実行するプログラム又はプログラムが処理するデータの格納領域として利用される書き込み可能メモリである。CPU100が実行するプログラムには、OS、周辺機器類をハードウェア操作するための各種ドライバ、特定業務に向けられたアプリケーションプログラム、後述するフラッシュROM142に格納されたBIOS等のファームウェアが含まれる。   The main memory 104 is a writable memory used as a storage area for a program executed by the CPU 100 or data processed by the program. The programs executed by the CPU 100 include an OS, various drivers for operating hardware of peripheral devices, application programs directed to specific tasks, and firmware such as BIOS stored in a flash ROM 142 described later.

グラフィックコントローラ106は、CPU100からの描画命令を処理し、処理した描画情報をビデオメモリに書き込む。また、グラフィックコントローラ106は、ビデオメモリから描画情報を読み出して、液晶ディスプレイ等の表示装置108に出力する。   The graphic controller 106 processes a drawing command from the CPU 100 and writes the processed drawing information in the video memory. Further, the graphic controller 106 reads out drawing information from the video memory and outputs it to the display device 108 such as a liquid crystal display.

I/Oコントローラ110は、PCIe(PCI Express)バス160、PCIバス162及びLPC(Low Pin Count)バス164を相互に接続するブリッジ機能を備える。また、I/Oコントローラ110は、プログラマブル割り込みコントローラ(PIC)116、DMAコントローラ118、USB(UniversalSerial Bus)コントローラ120、プライマリIDE(Integrated Device Electronics)コントローラ112、及び2ndIDEコントローラ114を備える。   The I / O controller 110 has a bridge function for mutually connecting a PCIe (PCI Express) bus 160, a PCI bus 162, and an LPC (Low Pin Count) bus 164. The I / O controller 110 includes a programmable interrupt controller (PIC) 116, a DMA controller 118, a USB (Universal Serial Bus) controller 120, a primary IDE (Integrated Device Electronics) controller 112, and a 2nd IDE controller 114.

PIC116は、周辺機器からの割り込み要求(IRQ)に応答して、所定のプログラム(割り込みハンドラ)を実行させる。DMAコントローラ118は、FDD等の周機器機とメインメモリ104との間のデータ転送をCPU100の介在なしに実行する。プライマリIDEコントローラ112は、ATA規格に準拠した情報処理装置10に内蔵のプライマリHDD122を接続し制御する。2ndIDEコントローラ114には、2ndHDD126の他、CD−ROMドライブ124がATAPI(AT Attachment Packet Interface)接続されている。なお、CD−ROMドライブ124の代わりに、DVD(Digital Versatile Disc)ドライブのような、他のタイプのIDE装置が接続されても構わない。   The PIC 116 executes a predetermined program (interrupt handler) in response to an interrupt request (IRQ) from a peripheral device. The DMA controller 118 executes data transfer between a peripheral device such as an FDD and the main memory 104 without intervention of the CPU 100. The primary IDE controller 112 connects and controls a built-in primary HDD 122 to the information processing apparatus 10 compliant with the ATA standard. In addition to the 2nd HDD 126, the CD-ROM drive 124 is connected to the 2nd IDE controller 114 by ATAPI (AT Attachment Packet Interface). Instead of the CD-ROM drive 124, another type of IDE device such as a DVD (Digital Versatile Disc) drive may be connected.

USBコントローラ120は、例えば情報処理装置10本体の壁面等に設けられたUSBコネクタを介して、マウス、キーボード、プリンタ等の様々なUSB対応デバイス134を接続し制御する。なお、USB1.1のバージョンアップ版であるUSB2.0では、最高480Mbpsという高いデータ転送がサポートされる。従って、USBコントローラ120がUSB2.0対応である場合、HDD、CD−R、USBメモリ等のストレージ器機をUSB対応デバイス134として接続してもよい。   The USB controller 120 connects and controls various USB-compatible devices 134 such as a mouse, a keyboard, and a printer via a USB connector provided on the wall surface of the information processing apparatus 10 main body, for example. Note that USB 2.0, which is an upgraded version of USB 1.1, supports high data transfer of up to 480 Mbps. Therefore, when the USB controller 120 is compatible with USB 2.0, a storage device such as an HDD, a CD-R, or a USB memory may be connected as the USB compatible device 134.

更に、I/Oコントローラ110には、SMバスを介してEEPROM136が接続される。このEEPROM136は、ユーザによって登録されたパスワードや管理者パスワード、製品シリアル番号等の情報を保持するためのメモリであり、不揮発性で記憶内容を電気的に書き換え可能とされている。   Furthermore, an EEPROM 136 is connected to the I / O controller 110 via an SM bus. The EEPROM 136 is a memory for storing information such as a password registered by the user, an administrator password, and a product serial number, and is nonvolatile and can electrically rewrite the stored contents.

PCIe(PCI Express)バス160には、通信インターフェース128、ドッキングブリッジ130等のPCIeデバイスが接続される。
通信インターフェース128は、ネットワークを介して他の装置と通信する。また、ドッキングブリッジ130は、コンピュータシステム10がノート型PCである場合、機能拡張装置であるドッキングステーション(図示しない)を接続し制御する。また、PCIバス162には、カードバスコントローラ132が接続される。カードバスコントローラ132は、カードバスを介してPCカード(図示しない)を制御する。
A PCIe device such as the communication interface 128 and the docking bridge 130 is connected to the PCIe (PCI Express) bus 160.
The communication interface 128 communicates with other devices via a network. When the computer system 10 is a notebook PC, the docking bridge 130 connects and controls a docking station (not shown) that is a function expansion device. A card bus controller 132 is connected to the PCI bus 162. The card bus controller 132 controls a PC card (not shown) via the card bus.

LPCバス164には、SuperI/Oコントローラ138、フラッシュROM142、CMOS144、KMC/EC146が接続される。SuperI/Oコントローラ138は、パラレルポートを介したパラレルデータの入出力(PIO) 、シリアルポートを介したシリアルデータの入出力(SIO)、FDドライブの駆動を制御するものである。図1では、SuperI/Oコントローラ138にはFDドライブ140が接続されている。   A super I / O controller 138, a flash ROM 142, a CMOS 144, and a KMC / EC 146 are connected to the LPC bus 164. The Super I / O controller 138 controls parallel data input / output (PIO) via the parallel port, serial data input / output (SIO) via the serial port, and driving of the FD drive. In FIG. 1, the FD drive 140 is connected to the Super I / O controller 138.

フラッシュROM142は、一括又はブロック単位でのデータの消去、新たな書き込みを電気的に行えるROMであり、BIOS(Basic Input/Output System:基本入出力システム)を格納している。CMOS(Complementary Metal-Oxide Semiconductor)144は、専用バッテリーにより常時電力が供給されている半導体メモリであり、ユーザによるハードウェアの詳細な設定情報を格納する。KMC(Keyboard Mouse Controller)/EC (Embedded Controller)146のうち、KMCは、キーボード及びマウスを制御するコントローラである。また、ECは、各種のデバイス(周辺装置、センサ、電源回路等)を監視し制御するワンチップ・マイコン(One-chip microcomputer)である。   The flash ROM 142 is a ROM that can electrically erase data and write new data in batch or block units, and stores a BIOS (Basic Input / Output System). A CMOS (Complementary Metal-Oxide Semiconductor) 144 is a semiconductor memory that is always supplied with power by a dedicated battery, and stores detailed hardware setting information by the user. Of the KMC (Keyboard Mouse Controller) / EC (Embedded Controller) 146, the KMC is a controller that controls a keyboard and a mouse. EC is a one-chip microcomputer that monitors and controls various devices (peripheral devices, sensors, power supply circuits, etc.).

以上、使用者側情報処理装置を実現するのに好適な情報処理装置10のハードウェア構成について説明したが、これらの構成要素は例示であり、そのすべての構成要素が本発明の必須構成要素となるわけではない。また、管理者側情報処理装置を実現するのに好適な情報処理装置のハードウェア構成は、上述のハードウェア構成と基本的に同じであるため説明を省略する。このように、使用者側情報処理装置及び管理者側情報処理装置を実現するのに好適な情報処理装置は、メインフレーム、ワークステーション、通常のパーソナルコンピュータ等の情報処理装置によって実現されることが容易に理解されるであろう。   The hardware configuration of the information processing apparatus 10 suitable for realizing the user-side information processing apparatus has been described above. However, these constituent elements are examples, and all the constituent elements are essential constituent elements of the present invention. It doesn't mean. Further, the hardware configuration of the information processing apparatus suitable for realizing the administrator-side information processing apparatus is basically the same as the above-described hardware configuration, and thus description thereof is omitted. As described above, an information processing apparatus suitable for realizing the user-side information processing apparatus and the administrator-side information processing apparatus can be realized by an information processing apparatus such as a mainframe, a workstation, or a normal personal computer. It will be easily understood.

以下、本実施の形態の構成について、(1)使用者側情報処理装置における前提となる設定、(2)管理者側情報処理装置(使用許可の作成)、(3)使用者側情報処理装置、(4)管理者側情報処理装置(管理レポートの作成)の順で詳細に説明する。   Hereinafter, with regard to the configuration of the present embodiment, (1) setting that is a premise in the user side information processing device, (2) administrator side information processing device (use permission creation), (3) user side information processing device (4) Details will be described in the order of the information processing apparatus on the administrator side (creation of a management report).

(1)使用者側情報処理装置における前提となる設定
使用者側情報処理装置は、前提として、システム設定のために必要な管理者パスワードを保持するものとする。また、当該管理者用パスワードによって保護されているシステム設定として、使用者側情報処理装置は、持ち運び可能な記憶媒体又は当該記憶媒体の駆動装置(本明細書では以下総称して単に「記憶媒体」と呼ぶ)の使用の可/不可を設定する機能を有するものとする。管理者は、使用者に使用させる情報処理装置に対し、管理者パスワードを使用して、予め当該情報処理装置に接続して使用可能な全ての記憶媒体の使用を不能に設定するものとする。
(1) Setting as a premise in the user side information processing apparatus As a premise, the user side information processing apparatus holds an administrator password necessary for system setting. In addition, as a system setting protected by the administrator password, the user-side information processing device may be a portable storage medium or a drive device for the storage medium (hereinafter collectively referred to simply as “storage medium” in this specification). It is assumed that it has a function to set whether to use or not. It is assumed that the administrator sets the information processing apparatus to be used by the user to disable the use of all storage media that can be connected to the information processing apparatus in advance using the administrator password.

(2)管理者側情報処理装置(使用許可の作成)
上述のように、記憶媒体の使用を不能に設定された情報処理装置の使用者は、例えば、新しいアプリケーションのインストール、仕事に必要なファイルやデータの読み込み、又はハードディスクのバックアップ作業等のために記憶媒体の使用を希望する。このような場合、本発明に実施の形態では、企業の従業員である使用者は、企業又は企業からコンピュータ全般の保守管理を委託されている業者等の管理者に記憶媒体の使用許可を求める。使用許可の依頼は、管理者が使用者を確認できればどのような手段を用いて行ってもよく、例えば、電子メールや電話などの手段が挙げられる。
(2) Administrator-side information processing device (creation of use permission)
As described above, a user of an information processing apparatus that has been disabled from using a storage medium stores data for installation of a new application, reading of files and data necessary for work, or hard disk backup work, for example. I would like to use the media. In such a case, in the embodiment of the present invention, the user who is an employee of the company requests the use of the storage medium from the company or an administrator such as a company entrusted with maintenance management of the computer in general from the company. . The request for use permission may be made using any means as long as the administrator can confirm the user, and examples thereof include means such as e-mail and telephone.

図2は、管理者側情報処理装置20の機能ブロックを示す。なお、図2及び図6の各機能ブロック図に示す各要素は、図1に例示したハードウェア構成を有する情報処理装置10おいて、プライマリHDD122又はフラッシュROM142に格納されたコンピュータ・プログラムをメインメモリ104にロードした上でCPU100に読み込ませることによって、ハードウェア資源とソフトウェアを協働させることで実現することができる。管理者側情報処理装置20は、照合部200、記録部202、使用許可作成部204、収集部206及び管理レポート作成部208を含む。なお、収集部206及び管理レポート作成部208については、(4)管理者側情報処理装置(管理レポートの作成)において説明する。   FIG. 2 shows functional blocks of the administrator-side information processing device 20. 2 and FIG. 6 are the elements of the computer program stored in the primary HDD 122 or the flash ROM 142 in the main memory in the information processing apparatus 10 having the hardware configuration illustrated in FIG. This can be realized by causing hardware resources and software to cooperate with each other by loading them into the CPU 104 and reading them into the CPU 100. The administrator-side information processing device 20 includes a collation unit 200, a recording unit 202, a use permission creation unit 204, a collection unit 206, and a management report creation unit 208. The collection unit 206 and the management report creation unit 208 will be described in (4) Administrator-side information processing device (management report creation).

照合部200は、使用許可を求める使用者を、使用者から得られる使用者情報を管理者側情報処理装置のハードディスク122に格納された使用者情報と照合することにより確認し、結果を表示装置108の表示画面に表示する。使用者情報は、一例として、従業員の氏名、所属、連絡先、社員番号等の識別番号とすることができ、図3に示すような形式の使用者情報テーブル300に登録される。本実施の形態では、使用者情報テーブル300や後述する依頼情報テーブル400は管理者側情報処理装置20のハードディスク122に格納されるが、格納場所はこれに制限されず、例えばネットワークを介して接続された外部のデータベースに格納してもよい。なお、図3に示すように、上記使用者情報は、更に、使用者側情報処理装置の資産識別番号325、シリアル番号330、及び使用者側情報処理装置に設定されている管理者パスワード335に対応付けてテーブルに格納されてもよい。   The collation unit 200 confirms the user who requests the use permission by collating the user information obtained from the user with the user information stored in the hard disk 122 of the administrator-side information processing apparatus, and displays the result. 108 is displayed on the display screen. As an example, the user information may be an identification number such as an employee's name, affiliation, contact information, employee number, and the like, and is registered in the user information table 300 having the format shown in FIG. In the present embodiment, the user information table 300 and the request information table 400 described later are stored in the hard disk 122 of the administrator-side information processing apparatus 20, but the storage location is not limited to this, and is connected via a network, for example. Stored in an external database. As shown in FIG. 3, the user information is further stored in the asset identification number 325, serial number 330 of the user side information processing apparatus, and the administrator password 335 set in the user side information processing apparatus. They may be stored in the table in association with each other.

ここで、資産識別番号325とは、企業の管理者が使用者側情報処理装置に割当てた識別番号であり、使用者が複数の情報処理装置を使用する場合に、使用許可の発行を希望する情報処理装置を使用者および管理者が識別するために使用され得る。また、シリアル番号330とは、情報処理装置の製造者が使用者側情報処理装置に割当てた固有識別番号であり、詳細は後述するが、使用を許可すべき使用者側情報処理装置により使用許可が受け取られたことを認証するために使用され得る。更に、管理者パスワード335は、これについても詳細は後述するが、使用者が発行する使用許可を使用者側情報処理装置において認証するために使用され得る。   Here, the asset identification number 325 is an identification number assigned to the information processing apparatus on the user side by the manager of the company. When the user uses a plurality of information processing apparatuses, the user desires to issue a use permission. The information processing apparatus can be used to identify a user and an administrator. The serial number 330 is a unique identification number assigned to the user-side information processing device by the manufacturer of the information processing device. The details will be described later, but use is permitted by the user-side information processing device that should be permitted to use. Can be used to authenticate that has been received. Further, the administrator password 335, which will be described in detail later, can be used for authenticating the use permission issued by the user in the user side information processing apparatus.

記録部202は、管理者がキーボード等の入力デバイス148を用いて入力した記憶媒体の使用許可依頼内容をハードディスク122に格納する。照合部200により使用者が照合されると、管理者は、使用許可の発行を希望する情報処理装置の資産識別番号、使用を希望する記憶媒体の種類、使用希望時間、使用目的を使用者に尋ねる。管理者は、使用許可依頼内容から使用者に記憶媒体の使用を許可できると判断した場合、使用許可依頼内容を管理者側情報処理装置20に入力する。管理者から入力されたデータは、一例として図4に示すような形式の依頼情報テーブル400に登録され、ハードディスク122に格納される。なお、使用希望時間は、3時間というような使用を希望する期間や2005年5月1日午後1時というような使用が許可される最後の日時等、どのような形式をとってもよい。   The recording unit 202 stores, in the hard disk 122, the use permission request for the storage medium input by the administrator using the input device 148 such as a keyboard. When the collation unit 200 collates the user, the administrator gives the user the asset identification number of the information processing apparatus for which issuance of use permission, the type of storage medium desired to be used, the desired use time, and the purpose of use. ask. When the administrator determines from the use permission request content that the user can be permitted to use the storage medium, the administrator inputs the use permission request content to the administrator side information processing apparatus 20. The data input from the administrator is registered in the request information table 400 in the format shown in FIG. 4 as an example, and stored in the hard disk 122. It should be noted that the desired use time may take any form such as a period in which the use is desired, such as 3 hours, or the last date / time when use is permitted, such as 1 pm on May 1, 2005.

使用許可作成部204は、使用者情報テーブル300及び依頼情報テーブル400から、発行すべき使用許可を作成する。具体的には、依頼情報テーブル400から未処理の使用許可依頼を検索し、その対象記録媒体415、使用時間420、資産識別番号410を取り出す。次に、資産識別番号325を検索キーとして使用者情報テーブル300を検索し、資産識別番号410と同じ資産識別番号325をもつ使用者情報から、連絡先320、シリアル番号330、管理者パスワード335を取り出す。そして、使用許可作成部204は、シリアル番号330、対象記録媒体415、使用時間420を用いて使用許可情報520を作成する。また、使用許可作成部204は、作成した使用許可情報520に管理者パスワード335を追加したデータからCRCを計算する。そして、これを管理者CRC525として使用許可情報520に付加することにより図5に示す使用許可500を作成する。作成された使用許可500は、連絡先320に示される宛先に基づき、通信インターフェース128からネットワークを介して使用者側情報処理装置へ送付される。また、使用許可作成部204は使用許可の作成を記録部202に通知し、記録部202は上述した依頼情報テーブル400にアクセスし、使用許可作成日430を登録する。   The use permission creating unit 204 creates a use permission to be issued from the user information table 300 and the request information table 400. Specifically, an unprocessed use permission request is searched from the request information table 400, and the target recording medium 415, use time 420, and asset identification number 410 are extracted. Next, the user information table 300 is searched using the asset identification number 325 as a search key. From the user information having the same asset identification number 325 as the asset identification number 410, the contact address 320, serial number 330, and administrator password 335 are obtained. Take out. Then, the use permission creating unit 204 creates the use permission information 520 using the serial number 330, the target recording medium 415, and the use time 420. In addition, the use permission creation unit 204 calculates a CRC from data obtained by adding the administrator password 335 to the created use permission information 520. Then, by adding this to the use permission information 520 as the administrator CRC 525, the use permission 500 shown in FIG. 5 is created. The created use permission 500 is sent from the communication interface 128 to the user side information processing apparatus via the network based on the destination indicated by the contact 320. Further, the use permission creating unit 204 notifies the recording unit 202 of the creation of the use permission, and the recording unit 202 accesses the request information table 400 described above and registers the use permission creation date 430.

(3)使用者側情報処理装置
図6は、使用者側情報処理装置30の機能ブロックを示す。使用者側情報処理装置30は、呼出部612、フィルタリング部616、強制終了部602、認証部632、応答部638、監視部639、割込み発生部650、確認部642、第1の設定部である初期化部644、及び第2の設定部である初期化禁止部646を含む。ここで、呼出部612はOS上で動作するアプリケーションプログラムである専用ツール610によって提供される機能である。また、フィルタリング部616は、所定の記憶媒体への書込みを禁止するフィルター・ドライバ614により提供される機能である。本実施の形態では、フィルター・ドライバ614はOS600に組み込まれるものとして記載するが、OS600とドライバの間のレイヤーに配置させてもよい。また、強制終了部602はOS600によって提供される機能である。認証部632、応答部638、及び監視部639は、BIOS620の一部であるSMI(System Management Interrupt)ハンドラ630によって提供される機能である。認証部632は、更に、生成部634及び比較部636を含む。割込み発生部650、確認部642、初期化部644、及び初期化禁止部646はBIOS620によって提供される機能である。確認部642、初期化部644、及び初期化禁止部646は、BIOS拡張部640として使用者情報処理装置30の起動処理の間に実行される。
(3) User Side Information Processing Device FIG. 6 shows functional blocks of the user side information processing device 30. The user-side information processing device 30 includes a calling unit 612, a filtering unit 616, a forced termination unit 602, an authentication unit 632, a response unit 638, a monitoring unit 639, an interrupt generation unit 650, a confirmation unit 642, and a first setting unit. An initialization unit 644 and an initialization prohibition unit 646 that is a second setting unit are included. Here, the calling unit 612 is a function provided by a dedicated tool 610 that is an application program that runs on the OS. The filtering unit 616 is a function provided by a filter driver 614 that prohibits writing to a predetermined storage medium. Although the filter driver 614 is described as being incorporated in the OS 600 in this embodiment, it may be arranged in a layer between the OS 600 and the driver. The forced termination unit 602 is a function provided by the OS 600. The authentication unit 632, the response unit 638, and the monitoring unit 639 are functions provided by an SMI (System Management Interrupt) handler 630 that is a part of the BIOS 620. Authentication unit 632 further includes a generation unit 634 and a comparison unit 636. The interrupt generation unit 650, the confirmation unit 642, the initialization unit 644, and the initialization prohibition unit 646 are functions provided by the BIOS 620. The confirmation unit 642, the initialization unit 644, and the initialization prohibition unit 646 are executed as the BIOS expansion unit 640 during the activation process of the user information processing apparatus 30.

呼出部612は、ユーザによる入力デバイス148の操作に従い専用ツール610が起動されると、通信インターフェース128により受信された使用許可500を読み込み、SMIハンドラ630を呼び出して使用許可500を渡す。SMIハンドラ630の認証部632は、使用許可500の内容を示す使用許可情報520と管理者CRC525とを含む使用許可500を相互認証する。   When the dedicated tool 610 is activated in accordance with the operation of the input device 148 by the user, the calling unit 612 reads the usage permission 500 received by the communication interface 128, calls the SMI handler 630, and passes the usage permission 500. The authentication unit 632 of the SMI handler 630 mutually authenticates the use permission 500 including the use permission information 520 indicating the contents of the use permission 500 and the administrator CRC 525.

具体的には、認証部632の生成部634が、EEPROM136に格納された管理者パスワードを使用許可情報520に追加してCRCを計算することにより、認証CRCを生成する。認証部632の比較部636は、生成部634により生成された認証CRCと使用許可に含まれる管理者CRC525とを比較する。これにより使用者側情報処理装置30は、使用許可500が確かに管理者から発行されたものであることを確認できる。また、上述のように使用許可情報520は、シリアル番号505、対象記憶媒体510、使用時間515を含む。比較部636は、EEPROM136に格納された使用者情報処理装置30のシリアル番号と、使用許可情報520に含まれるシリアル番号505とを比較する。これにより、管理者は、使用を許可すべき使用者側情報処理装置により使用許可500が使用されることを確実にできる。相互認証が成功した場合、比較部636は、BIOS620のみがアクセス可能な記憶領域であるEEPROM136の所定の記憶域に使用許可情報520を格納する。これに代えて、比較部636は対象記憶媒体510、使用時間515のみをEEPROM136に格納してもよい。   Specifically, the generation unit 634 of the authentication unit 632 generates an authentication CRC by adding the administrator password stored in the EEPROM 136 to the use permission information 520 and calculating the CRC. The comparison unit 636 of the authentication unit 632 compares the authentication CRC generated by the generation unit 634 with the administrator CRC 525 included in the use permission. As a result, the user-side information processing apparatus 30 can confirm that the usage permission 500 has been issued by the administrator. Further, as described above, the use permission information 520 includes the serial number 505, the target storage medium 510, and the use time 515. The comparison unit 636 compares the serial number of the user information processing apparatus 30 stored in the EEPROM 136 with the serial number 505 included in the use permission information 520. Thereby, the administrator can ensure that the use permission 500 is used by the user side information processing apparatus that should be permitted to use. When the mutual authentication is successful, the comparison unit 636 stores the use permission information 520 in a predetermined storage area of the EEPROM 136 that is a storage area accessible only by the BIOS 620. Instead, the comparison unit 636 may store only the target storage medium 510 and the usage time 515 in the EEPROM 136.

確認部642は、BIOS620の起動処理の間にBIOS拡張部640が呼び出されると、EEPROM136に使用許可情報520が格納されているかどうか確認する。使用許可情報520が格納されている場合、確認部642は更に、使用許可情報520に含まれる使用時間515と現在時刻とを比較し、現在時刻が、使用時間515が示す時間内であることを確認する。   The confirmation unit 642 confirms whether or not the usage permission information 520 is stored in the EEPROM 136 when the BIOS expansion unit 640 is called during the BIOS 620 activation process. When the usage permission information 520 is stored, the confirmation unit 642 further compares the usage time 515 included in the usage permission information 520 with the current time, and determines that the current time is within the time indicated by the usage time 515. Check.

初期化部644は、確認部642から確認の成功を示す通知と対象記憶媒体510とを受け取ったことに応答して、対象記憶媒体510により示される記憶媒体の初期化を行うことにより記憶媒体の使用を可能に設定する。なお、初期化処理は、コンピュータの起動時にBIOS620が通常行う初期化処理と同じであり、当業者に既知であることから説明を省略する。   In response to receiving the notification indicating the confirmation success and the target storage medium 510 from the confirmation unit 642, the initialization unit 644 initializes the storage medium indicated by the target storage medium 510 to thereby store the storage medium. Enable use. The initialization process is the same as the initialization process normally performed by the BIOS 620 when the computer is started, and will not be described because it is known to those skilled in the art.

一方、初期化禁止部646は、確認部642から確認の失敗を示す通知を受け取ったことに応答して、全ての記憶媒体の初期化を禁止することにより記憶媒体の使用を不能に設定する。図1に示す情報処理装置10の例を用いて具体的に説明すると、初期化の対象又は初期化禁止の対象となるのは、2ndIDEコントローラ114、ドッキングブリッジ130、カードバスコントローラ132、USBコントローラ120、SuperI/Oコントローラ138である。また、初期化禁止部646は、初期化を禁止するだけでなく、上記コントローラについて電力供給をストップすることにより記憶媒体の使用不能の設定を確実にすることができる。   On the other hand, in response to receiving the notification indicating the failure of confirmation from the confirmation unit 642, the initialization prohibition unit 646 prohibits initialization of all storage media, thereby disabling the use of the storage medium. Specifically, using the example of the information processing apparatus 10 shown in FIG. 1, the 2nd IDE controller 114, the docking bridge 130, the card bus controller 132, and the USB controller 120 are objects to be initialized or prohibited from being initialized. Super I / O controller 138. In addition, the initialization prohibition unit 646 not only prohibits initialization, but also ensures that the storage medium cannot be used by stopping power supply to the controller.

初期化禁止部646による処理に代えて、使用者側情報処理装置30に所定の記憶媒体への書込みを禁止するフィルター・ドライバ614が予めインストールされている場合には、フィルター・ドライバ614により所定の記憶媒体の使用を不能にしてもよい。即ち、応答部638は、フィルタリング部616からの定期的な問合せに応答してEEPROM136にアクセスし、フィルタリング部616に使用許可情報520を返す。フィルタリング部616は、応答部から受け取った使用許可500に基づいて所定の記憶媒体への書込みを禁止する。上述した確認部642による記憶媒体の使用不能の設定は、BIOS620の拡張であるBIOS拡張部640により実行されるため、セキュリティ面で好ましい。一方、フィルター・ドライバ614により記憶媒体の使用を不能にする場合には、記憶媒体の読み取りを許可しつつ、書き込みだけを禁止できるため、より柔軟な記憶媒体の制御が可能となる。特に、フィルター・ドライバとしてUSBデバイスに対する書き込みを禁止するフィルター・ドライバがインストールされる場合は、USBコントローラ120は通常通り初期化できるため、USB対応のマウスやキーボードなどの使用に支障がなく好ましい。なお、フィルター・ドライバは一例としてプライマリHDD122に格納できる。   In place of the processing by the initialization prohibition unit 646, when the filter driver 614 that prohibits writing to a predetermined storage medium is installed in the user-side information processing apparatus 30 in advance, the filter driver 614 The use of the storage medium may be disabled. That is, the response unit 638 accesses the EEPROM 136 in response to the periodic inquiry from the filtering unit 616 and returns the use permission information 520 to the filtering unit 616. The filtering unit 616 prohibits writing to a predetermined storage medium based on the use permission 500 received from the response unit. The above-described setting that the storage unit cannot be used by the confirmation unit 642 is executed by the BIOS expansion unit 640 that is an expansion of the BIOS 620, which is preferable in terms of security. On the other hand, when the use of the storage medium is disabled by the filter driver 614, only the writing can be prohibited while the reading of the storage medium is permitted, so that the storage medium can be controlled more flexibly. In particular, when a filter driver that prohibits writing to a USB device is installed as a filter driver, the USB controller 120 can be initialized as usual, which is preferable because there is no problem in using a USB-compatible mouse or keyboard. The filter driver can be stored in the primary HDD 122 as an example.

割込みを発生部650は、一定の周期(例えば、1分毎)にセットされたタイマーから通知を受けてSMI割込みを発生させる。監視部639は、割込みを発生部650からの割込みに応答して、現在時刻とEEPROM136に格納された使用時間515とを比較し、現在時刻が記憶媒体の使用が許可された時間内であるかどうかを監視する。時間内でない場合、監視部639は、使用が許可された時間の経過を示す信号を生成する。   The interrupt generation unit 650 receives a notification from a timer set at a constant period (for example, every minute) and generates an SMI interrupt. In response to the interrupt from the generation unit 650, the monitoring unit 639 compares the current time with the usage time 515 stored in the EEPROM 136, and determines whether the current time is within the time when the use of the storage medium is permitted. Monitor whether. If it is not within the time, the monitoring unit 639 generates a signal indicating the passage of time permitted for use.

強制終了部602は、使用が許可された時間の経過を示す信号に応答して、強制的に対象記憶媒体510により示される記憶媒体の使用を終了させる。具体的には、強制終了部602は、強制的に使用者側情報処理装置30をシャットダウン又は再起動させる。これにより情報処理装置をシャットダウンさせることなく使い続ける使用者に対しても、本発明は有効に機能する。なお、監視部639は、使用が許可された時間の経過を示す信号に代えて、システムが高温状態である旨の信号を擬似的に生成することにより、OSの強制シャットダウン機能を強制終了部602として利用することができる。   The forcible end unit 602 forcibly terminates the use of the storage medium indicated by the target storage medium 510 in response to a signal indicating the passage of time permitted for use. Specifically, the forcible end unit 602 forcibly shuts down or restarts the user side information processing apparatus 30. Thus, the present invention functions effectively even for a user who keeps using the information processing apparatus without shutting down. Note that the monitoring unit 639 artificially generates a signal indicating that the system is in a high temperature state instead of a signal indicating the passage of time that the use is permitted, thereby forcing the OS forced shutdown function 602. Can be used as

(4)管理者側情報処理装置(管理レポートの作成)
収集部206は、使用許可作成部204による使用許可作成のロギングデータを収集する。本実施の形態では、収集部206は、記録部202により記録された依頼情報テーブル400にアクセスし、資産識別番号410が同じ登録データのセットを収集する。
(4) Administrator-side information processing device (creation of management reports)
The collection unit 206 collects the logging data for use permission creation by the use permission creation unit 204. In the present embodiment, the collection unit 206 accesses the request information table 400 recorded by the recording unit 202 and collects a set of registered data having the same asset identification number 410.

管理レポート作成部208は、収集されたロギングデータに基づき管理レポートを作成する。本実施の形態では、管理レポート作成部208は、使用者情報テーブル300にアクセスし、資産識別番号325を検索キーとして、ロギングデータに示される資産識別番号410と同じ資産識別番号325をもつ、社員番号305、氏名310等の使用者情報を取り出す。そして、管理レポート作成部208は、使用者情報と収集部206により収集された登録データのセットとから管理レポートを作成する。管理レポートの作成は、週毎でも月毎でもよく、また、使用許可作成状況をまとめる管理レポートは、使用許可を発行した使用者毎又は資産管理番号毎にまとめて作成してもよい。   The management report creation unit 208 creates a management report based on the collected logging data. In the present embodiment, the management report creation unit 208 accesses the user information table 300 and uses the asset identification number 325 as a search key and has the same asset identification number 325 as the asset identification number 410 indicated in the logging data. User information such as number 305 and name 310 is extracted. Then, the management report creation unit 208 creates a management report from the user information and the registered data set collected by the collection unit 206. The management report may be created every week or every month, and the management report that summarizes the use permission creation status may be created for each user who has issued a use permission or for each asset management number.

次に、上述した機能ブロックについて、(1)使用者側情報処理装置における前提となる設定、(2)管理者側情報処理装置(使用許可の作成)、(3)使用者側情報処理装置、(4)管理者側情報処理装置(管理レポートの作成)の順でその動作を説明する。説明するにあたり、図7乃至図12のフローチャートを参照する。   Next, with respect to the above-described functional blocks, (1) setting that is a premise in the user side information processing apparatus, (2) administrator side information processing apparatus (creation of use permission), (3) user side information processing apparatus, (4) The operation will be described in the order of the administrator-side information processing device (management report creation). In the description, reference is made to the flowcharts of FIGS.

(1)使用者側情報処理装置における前提となる設定
図7を参照して、管理者が、使用者に使用させる情報処理装置に対し、管理者パスワードを使用して当該情報処理装置に接続して使用可能な全ての記憶媒体の使用を不能に設定する動作について説明する。
(1) Prerequisite settings in the information processing apparatus on the user side Referring to FIG. 7, the administrator connects the information processing apparatus to be used by the user to the information processing apparatus using the administrator password. The operation for setting the use of all the usable storage media to be disabled will be described.

管理者による使用者側情報処理装置30のパワーオンにより処理は開始する。ステップ10において、使用者側情報処理装置30(BIOS)は、管理者によりBIOS設定用ボタンが押下げられたかどうか判断する。ボタンが押下げられなかった場合(S10:NO)、使用者側情報処理装置30(BIOS)は起動処理を続ける。一方、ボタンが押下げられた場合(S10:YES)、使用者側情報処理装置30(BIOS)は、使用者側情報処理装置30に管理者パスワードが設定されているかどうか、EEPROM136にアクセスすることにより判断する(S20)。管理者パスワードが設定されている場合(S20:YES)、使用者側情報処理装置30(BIOS)は、表示装置108の表示画面にプロンプトを表示して管理者パスワードの入力を要求する(S30)。   The process starts when the administrator powers on the information processing apparatus 30 on the user side. In step 10, the user side information processing apparatus 30 (BIOS) determines whether or not the BIOS setting button has been pressed by the administrator. When the button is not pressed (S10: NO), the user side information processing device 30 (BIOS) continues the activation process. On the other hand, when the button is pressed (S10: YES), the user side information processing device 30 (BIOS) accesses the EEPROM 136 to determine whether or not the administrator password is set in the user side information processing device 30. (S20). When the administrator password is set (S20: YES), the user side information processing device 30 (BIOS) displays a prompt on the display screen of the display device 108 and requests input of the administrator password (S30). .

入力された管理者パスワードが使用者側情報処理装置30に設定されている管理者パスワードと一致する場合(S40:YES)、又はステップ20でNOの場合、使用者側情報処理装置30(BIOS)は、管理者が記憶媒体の使用禁止の設定を選択したかどうか判断する(S50)。使用禁止の設定が選択された場合(S50:YES)、当該設定をEEPROM136に格納する(S60)。ステップ60の後、又はステップ40、ステップ50においてNOの場合、使用者側情報処理装置30(BIOS)は再起動処理を行う。   When the input administrator password matches the administrator password set in the user-side information processing device 30 (S40: YES), or NO in step 20, the user-side information processing device 30 (BIOS). Determines whether the administrator has selected the setting to prohibit the use of the storage medium (S50). When the use prohibition setting is selected (S50: YES), the setting is stored in the EEPROM 136 (S60). After step 60, or if NO in steps 40 and 50, the user side information processing device 30 (BIOS) performs a restart process.

(2)管理者側情報処理装置(使用許可の作成)
図8を参照して、使用許可の作成に関して管理者側情報処理装置の動作を説明する。記憶媒体の使用許可の発行を求める使用者から得られた使用者情報が、キーボード等の入力デバイス148を用いて管理者により管理者側情報処理装置20へ入力されると処理が開始する。
(2) Administrator-side information processing device (creation of use permission)
With reference to FIG. 8, the operation of the information processing apparatus on the manager side regarding the creation of the use permission will be described. The process starts when user information obtained from a user who requests issuance of use permission for a storage medium is input to the administrator-side information processing apparatus 20 by an administrator using an input device 148 such as a keyboard.

ステップ100において、照合部200は、入力された使用者情報を照合するために、管理者側情報処理装置20のハードディスク122に格納された使用者情報テーブル300にアクセスする。そして、照合部200は照合の結果を表示装置108の表示画面に表示する。   In step 100, the collation unit 200 accesses the user information table 300 stored in the hard disk 122 of the administrator side information processing apparatus 20 in order to collate the input user information. Then, the collation unit 200 displays the collation result on the display screen of the display device 108.

照合に成功しない場合(S110:NO)、処理は終了する。一方、照合に成功すると(S110:YES)、記録部202は、キーボード等の入力デバイス148を用いて管理者により入力される使用許可依頼内容を依頼情報テーブル400に登録し、ハードディスク122に格納する(S120)。   If the verification is not successful (S110: NO), the process ends. On the other hand, if the collation is successful (S110: YES), the recording unit 202 registers the use permission request content input by the administrator using the input device 148 such as a keyboard in the request information table 400 and stores it in the hard disk 122. (S120).

次に、ステップ130において、使用許可作成部204は、依頼情報テーブル400及び使用者情報テーブル300にアクセスし、使用許可情報520及び管理者CRC525を含む使用許可500を作成する。その後、使用許可作成部204は、ネットワークを介して、作成した使用許可500を使用者側情報処理装置30へ送付する(S140)。この際、使用許可作成部204は記録部202に使用許可の作成を通知する。   Next, in step 130, the use permission creating unit 204 accesses the request information table 400 and the user information table 300, and creates a use permission 500 including the use permission information 520 and the administrator CRC 525. Thereafter, the use permission creating unit 204 sends the created use permission 500 to the user side information processing apparatus 30 via the network (S140). At this time, the use permission creation unit 204 notifies the recording unit 202 of creation of the use permission.

ステップ150において、記録部202は、使用許可作成部204からの通知に応答して、依頼情報テーブル400にアクセスし、該当する登録データに対し使用許可作成日を登録して使用許可作成の記録をとる。そして処理は終了する。   In step 150, the recording unit 202 accesses the request information table 400 in response to the notification from the use permission creation unit 204, registers the use permission creation date for the corresponding registration data, and records the use permission creation. Take. Then, the process ends.

(3)使用者側情報処理装置
図9を参照して、管理者から発行された使用許可500に基づく記憶媒体の使用の可/不可の設定に関して使用者側情報処理装置30の動作を説明する。
(3) User-side Information Processing Device With reference to FIG. 9, the operation of the user-side information processing device 30 will be described regarding the setting of whether or not the storage medium can be used based on the use permission 500 issued by the administrator. .

ステップ200において、使用者側情報処理装置30の通信インターフェース128は、ネットワークを介して管理者が送付した使用許可500を受信する。その後、使用者による入力デバイス148の操作に従い専用ツール610が起動される。専用ツール610は、受信された使用許可500を読み込み、SMIハンドラ630を呼び出して認証部632に使用許可500を渡す。   In step 200, the communication interface 128 of the user side information processing apparatus 30 receives the use permission 500 sent by the administrator via the network. Thereafter, the dedicated tool 610 is activated in accordance with the operation of the input device 148 by the user. The dedicated tool 610 reads the received use permission 500, calls the SMI handler 630, and passes the use permission 500 to the authentication unit 632.

ステップ210において、認証部632の比較部636は、EEPROM136に格納された使用者側情報処理装置30のシリアル番号と、使用許可500に含まれるシリアル番号505とを比較し、一致するかどうか判断する(S210)。一致する場合(S210:YES)、ステップ220において、認証部632の生成部634は、EEPROM136に格納された管理者パスワードを使用許可500に含まれる使用許可情報520に追加してCRCを計算することにより、認証CRCを生成する。   In step 210, the comparison unit 636 of the authentication unit 632 compares the serial number of the user side information processing apparatus 30 stored in the EEPROM 136 with the serial number 505 included in the use permission 500 and determines whether or not they match. (S210). If they match (S210: YES), in step 220, the generation unit 634 of the authentication unit 632 adds the administrator password stored in the EEPROM 136 to the use permission information 520 included in the use permission 500 and calculates the CRC. To generate an authentication CRC.

比較部636は、生成部634により生成された認証CRCと使用許可500に含まれる管理者CRC525とを比較し、一致するかどうか判断する(S230)。一致する場合(S230:YES)、比較部636は、使用許可情報520をEEPROM136の所定の記憶域に格納する(S240)。その後、管理者の入力デバイスの操作により、又は自動で、使用者側情報処理装置30は再起動する(S250)。一方、ステップ210又はステップ230でNOの場合、処理は終了する。   The comparison unit 636 compares the authentication CRC generated by the generation unit 634 with the administrator CRC 525 included in the use permission 500, and determines whether they match (S230). If they match (S230: YES), the comparison unit 636 stores the use permission information 520 in a predetermined storage area of the EEPROM 136 (S240). Thereafter, the user-side information processing apparatus 30 is restarted by an operation of the administrator's input device or automatically (S250). On the other hand, if NO at step 210 or step 230, the process ends.

BIOS620はその後起動処理を開始し、ステップ260において、確認部642は、EEPROM136からデータを読出し、ステップ270において、使用許可情報520の有無を確認する。使用許可情報520が有る場合、確認部642は更に、現在時刻が使用許可情報520に含まれる使用時間515内であるかどうか判断する。   The BIOS 620 then starts the activation process. In step 260, the confirmation unit 642 reads data from the EEPROM 136, and in step 270 confirms the presence / absence of the usage permission information 520. When the usage permission information 520 is present, the confirmation unit 642 further determines whether or not the current time is within the usage time 515 included in the usage permission information 520.

確認に成功した場合(S270:YES)、ステップ280において、初期化部644は、対象記憶媒体510と一緒に確認部642から確認の成功を示す通知を受けることに応答して、対象記憶媒体510により示される記憶媒体の初期化を行うことにより対象記憶媒体510を使用可能に設定する。   If the confirmation is successful (S270: YES), in step 280, the initialization unit 644 responds to receiving a notification indicating the confirmation success from the confirmation unit 642 together with the target storage medium 510, in response to the target storage medium 510. The target storage medium 510 is set to be usable by initializing the storage medium indicated by.

確認に失敗した場合(S270:NO)、ステップ300において、初期化禁止部646は、使用者側情報処理装置30に接続して使用可能な全ての記憶媒体に対し初期化を禁止し及び/又は電力の供給をストップすることにより記憶媒体の使用を不能にする設定をする。   If the confirmation fails (S270: NO), in step 300, the initialization prohibition unit 646 prohibits initialization for all the storage media that can be connected to the user-side information processing apparatus 30 and / or used. Setting to disable the use of the storage medium by stopping the power supply.

一方、初期化後のステップ290においては、対象記憶媒体510により示される記憶媒体を除く残りの記憶媒体に対し、ステップ300に関して説明した使用不能の設定を行う。そして、ステップ290又はステップ300の後、使用者用情報処理装置30は起動され、処理は終了する。   On the other hand, in step 290 after initialization, the unusable setting described with respect to step 300 is performed for the remaining storage media excluding the storage medium indicated by the target storage medium 510. After step 290 or step 300, the user information processing apparatus 30 is activated and the process ends.

図10を参照して、初期化禁止部646により記憶媒体の使用を不能に設定する処理に代えて、所定の記憶媒体への書込みを禁止するフィルター・ドライバ614により記憶媒体の使用を不能にする処理を説明する。なお、ある記憶媒体に対しては初期化禁止部646により使用を不能に設定し、またある記憶媒体に対してはフィルター・ドライバ614により使用を不能にするようにしてもよい。ここでは、使用者側情報処理装置30にUSBデバイスへの書込みを禁止するフィルター・ドライバが予めインストールされているものとして処理を説明する。   Referring to FIG. 10, in place of the process of setting the use of the storage medium to be disabled by the initialization prohibition unit 646, the use of the storage medium is disabled by the filter driver 614 that prohibits writing to a predetermined storage medium. Processing will be described. Note that the use of a certain storage medium may be disabled by the initialization prohibition unit 646, and the use of a certain storage medium may be disabled by the filter driver 614. Here, the processing will be described on the assumption that a filter driver that prohibits writing to the USB device is installed in the user-side information processing apparatus 30 in advance.

フィルター・ドライバ614により記憶媒体の使用を不能にする処理は、OS600が立ち上がった後に開始する。ステップ305において、フィルタリング部616は、応答部638に対し使用許可の問合せを行う。応答部638は、フィルタリング部616からの問合せに応答してEEPROM136にアクセスする(S310)。ステップ315において、応答部638はEEPROM136からデータを読み出し、使用許可情報520がある場合は使用許可情報520をフィルタリング部616へ返す。ない場合はない旨の応答をフィルタリング部616へ返す。   The process of disabling the use of the storage medium by the filter driver 614 starts after the OS 600 has started up. In step 305, the filtering unit 616 makes a use permission inquiry to the response unit 638. The response unit 638 accesses the EEPROM 136 in response to the inquiry from the filtering unit 616 (S310). In step 315, the response unit 638 reads data from the EEPROM 136, and if there is use permission information 520, returns the use permission information 520 to the filtering unit 616. If not, a response indicating that there is no response is returned to the filtering unit 616.

ステップ320において、フィルタリング部616は、応答部からの使用許可情報520に含まれる対象記憶媒体510が所定のUSBデバイスを示すかどうか判断する。所定のUSBデバイスを示す場合(S320:YES)、フィルタリング部616は、所定のUSBデバイスへの書込み要求を全てブロックすることにより、所定のUSBデバイスへの書込みを禁止する(S325)。ステップ325の後、又は対象記憶媒体510が所定のUSBデバイスを示さない場合あるいは応答部638から使用許可情報520を受け取らなかった場合(S320:NO)、処理はステップ305へ戻る。上述したステップ305からステップ320/325までの一連のステップはフィルター・ドライバ614により定期的に繰り返される。   In step 320, the filtering unit 616 determines whether the target storage medium 510 included in the use permission information 520 from the response unit indicates a predetermined USB device. When indicating a predetermined USB device (S320: YES), the filtering unit 616 inhibits writing to the predetermined USB device by blocking all write requests to the predetermined USB device (S325). After step 325 or when the target storage medium 510 does not indicate a predetermined USB device or when the use permission information 520 is not received from the response unit 638 (S320: NO), the process returns to step 305. The series of steps from step 305 to step 320/325 described above is periodically repeated by the filter driver 614.

図11を参照して、管理者により使用が許可された時間を経過して記憶媒体が使用される場合の使用者側情報処理装置30の動作を説明する。   With reference to FIG. 11, an operation of the user side information processing apparatus 30 when the storage medium is used after the time permitted for use by the administrator has elapsed will be described.

ステップ350において、割り込み発生部650は、一定の周期にセットされたタイマーから通知を受け、SMI割り込みを発生させる。ステップ360において、監視部639は、SMI割込みに応答して、使用者側情報処理装置30の現在時刻がEEPROM136に格納された使用時間515が示す時間内であるかどうか判断する。 使用時間が経過している場合(S360:YES)、監視部639は使用時間の経過を示す信号を生成する(S370)。使用時間が経過していない場合(S360:NO)、処理はステップ350に戻る。   In step 350, the interrupt generation unit 650 receives a notification from a timer set at a certain period and generates an SMI interrupt. In step 360, in response to the SMI interrupt, the monitoring unit 639 determines whether the current time of the user side information processing apparatus 30 is within the time indicated by the usage time 515 stored in the EEPROM 136. When the usage time has elapsed (S360: YES), the monitoring unit 639 generates a signal indicating the elapsed usage time (S370). If the usage time has not elapsed (S360: NO), the process returns to step 350.

ステップ380において、強制終了部602は、使用時間の経過を示す信号に応答して、強制的に対象記憶媒体510により示される記憶媒体の使用を終了させる。具体的には、使用者側情報処理装置30を強制的にシャットダウンまたは再起動させる。従って、次に使用者側情報処理装置30が起動する際には、確認部642により現在時刻が使用許可情報520に含まれる使用時間515内でないと判断されるため、対象記憶媒体510の初期化が禁止され、その使用が不能となる。そしてステップ380の後処理は終了する。   In step 380, the forcible end unit 602 forcibly ends the use of the storage medium indicated by the target storage medium 510 in response to the signal indicating that the usage time has elapsed. Specifically, the user side information processing apparatus 30 is forcibly shut down or restarted. Accordingly, when the user side information processing apparatus 30 is activated next time, the confirmation unit 642 determines that the current time is not within the use time 515 included in the use permission information 520, and therefore the initialization of the target storage medium 510 is performed. Is prohibited and cannot be used. Then, the post-processing of step 380 ends.

(4)管理者側情報処理装置(管理レポートの作成)
図12を参照して、管理レポートの作成に関して管理者側情報処理装置20の動作を説明する。
(4) Administrator-side information processing device (creation of management reports)
With reference to FIG. 12, the operation of the administrator-side information processing apparatus 20 regarding the creation of the management report will be described.

ステップ430において、収集部206は、使用許可作成部204による使用許可作成のロギングデータを収集する。具体的には記録部202により管理される依頼情報テーブル400にアクセスし、資産識別番号410が同じ登録データのセットを収集する。   In step 430, the collection unit 206 collects logging data for use permission creation by the use permission creation unit 204. Specifically, the request information table 400 managed by the recording unit 202 is accessed, and a set of registered data having the same asset identification number 410 is collected.

次に、ステップ440において、管理レポート作成部208は、収集部206により収集されたロギングデータに基づき、使用許可の発行状況を示す管理レポートを作成する。そして処理は終了する。   Next, in step 440, the management report creation unit 208 creates a management report indicating the usage permission issuance status based on the logging data collected by the collection unit 206. Then, the process ends.

以上、本発明の実施の形態を用いて説明したが、本発明の技術範囲は上記実施の形態に記載の範囲には限定されない。例えば、本発明の実施の形態におけるSMIハンドラによる使用許可の認証は、BIOSの起動処理の間に行うこともできる。また、本発明の実施の形態における強制終了部によるシステムの強制終了に代えて、使用が許可された時間を経過して記憶媒体が使用されている旨をネットワークを介して自動的に管理者へ報告する構成を設けてもよい。更に、使用許可の発行は必ずしもネットワークを介する必要はなく、使用許可をフレキシブルディスク等の記憶メディアに格納して使用者へ渡してもよい。但し、この場合、使用者側情報処理装置においてFDDの使用は予め許可されていることが前提となる。上記の実施の形態に、そのような種々の変更又は改良を加えることが可能であることが当業者に明らかである。従って、そのような変更又は改良を加えた形態も当然に本発明の技術的範囲に含まれる。   As mentioned above, although demonstrated using embodiment of this invention, the technical scope of this invention is not limited to the range as described in the said embodiment. For example, the use permission authentication by the SMI handler in the embodiment of the present invention may be performed during the BIOS activation process. Further, instead of forcibly terminating the system by the forcible termination unit in the embodiment of the present invention, the administrator is automatically notified via the network that the storage medium has been used after the permitted time has elapsed. A configuration for reporting may be provided. Furthermore, the use permission is not necessarily issued via the network, and the use permission may be stored in a storage medium such as a flexible disk and passed to the user. However, in this case, it is assumed that the use of FDD is permitted in advance in the user side information processing apparatus. It will be apparent to those skilled in the art that various modifications and improvements can be made to the above embodiment. Accordingly, it is a matter of course that embodiments with such changes or improvements are also included in the technical scope of the present invention.

本発明の実施の形態による管理者側情報処理装置又は使用者側情報処理装置を実現するのに好適なコンピュータのハードウェア構成の一例を示した図である。It is the figure which showed an example of the hardware constitutions of the computer suitable for implement | achieving the administrator side information processing apparatus or user side information processing apparatus by embodiment of this invention. 本発明の実施の形態による管理者側情報処理装置の機能ブロック図である。It is a functional block diagram of the administrator side information processing apparatus by embodiment of this invention. 使用者に関する情報を格納する使用者情報テーブルの一例である。It is an example of the user information table which stores the information regarding a user. 使用者からの依頼内容を格納する依頼情報テーブルの一例である。It is an example of the request information table which stores the request content from a user. 本発明の実施の形態による、管理者が使用者のリクエストに応じて発行する使用許可の一例を示す図である。It is a figure which shows an example of the use permission which an administrator issues according to a user's request by embodiment of this invention. 本発明の実施の形態による使用者側情報処理装置の機能ブロック図である。It is a functional block diagram of the user side information processing apparatus by embodiment of this invention. 本発明の実施の形態の使用者側情報処理装置における、事前の記憶媒体使用禁止設定処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the prior storage medium use prohibition setting process in the user side information processing apparatus of embodiment of this invention. 本発明の実施の形態の管理者側情報処理装置における、使用許可作成処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a use permission creation process in the manager side information processing apparatus of embodiment of this invention. 本発明の実施の形態の使用者側情報処理装置における、使用許可に基づく記憶媒体使用の可/不可設定処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the storage medium use permission / inhibition setting process based on use permission in the user side information processing apparatus of embodiment of this invention. 本発明の実施の形態の使用者側情報処理装置における、フィルター・ドライバーによる記憶媒体使用の不能処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the non-usable process of a storage medium by a filter driver in the user side information processing apparatus of embodiment of this invention. 本発明の実施の形態の使用者側情報処理装置における、使用許可時間監視処理の流れを示したフローチャートである。It is the flowchart which showed the flow of the use permission time monitoring process in the user side information processing apparatus of embodiment of this invention. 本発明の実施の形態の管理側情報処理装置における、管理レポート作成処理の流れを示したフローチャートである。It is the flowchart which showed the flow of the management report preparation process in the management side information processing apparatus of embodiment of this invention.

Claims (16)

持ち運び可能な記憶媒体の接続を制御する複数のコントローラを備え、管理者パスワードを保有する情報処理装置に、
管理者側情報処理装置から使用時間と対象記憶媒体に関する情報を含む使用許可情報と、該使用許可情報と管理者パスワードを利用して作成した管理者側の認証データを含む使用許可を通信インターフェースを通じて受け取るステップと、
前記使用許可情報と前記保有している管理者パスワードを利用して作成した使用者側の認証データと前記管理者側の認証データとを比較するステップと、
前記比較するステップで前記管理者側の認証データと前記使用者側の認証データが一致したことを条件として再起動処理の間に前記情報処理装置に前記使用許可情報が存在することを確認するステップと、
前記使用許可情報の存在を確認することを条件にして再起動処理の間に前記情報処理装置の現在時刻が前記使用時間内であることが確認できた対象記憶媒体だけが使用可能になるように前記対象記憶媒体に関する情報が示すコントローラを初期化するステップと
を含む処理を実行させるコンピュータ・プログラム。
An information processing device that has a plurality of controllers that control the connection of portable storage media and that has an administrator password.
Use permission information including use time information and information on the target storage medium from the administrator side information processing apparatus, and use permission including authentication data on the administrator side created using the use permission information and the administrator password, through a communication interface. Receiving, and
Comparing the authentication data on the user side with the authentication data on the user side created using the use permission information and the administrator password that is held;
Confirming that the use permission information exists in the information processing apparatus during a restart process on the condition that the authentication data on the administrator side and the authentication data on the user side match in the comparing step When,
Only the target storage medium for which it is confirmed that the current time of the information processing apparatus is within the use time during the restart process on the condition that the presence of the use permission information is confirmed can be used. A computer program that executes a process including a step of initializing a controller indicated by information on the target storage medium.
前記情報処理装置はBIOSを格納した記憶媒体を内蔵し、
前記BIOSが、前記比較するステップ、前記確認するステップ、および前記初期化するステップを前記情報処理装置に実行させる請求項1に記載のコンピュータ・プログラム。
The information processing apparatus has a built-in storage medium storing BIOS,
The computer program according to claim 1, wherein the BIOS causes the information processing apparatus to execute the comparing step, the checking step, and the initialization step.
前記管理者側の認証データが、前記管理者パスワードを前記使用許可情報に追加してCRC計算をすることにより生成した管理者CRCであり、
前記使用者側の認証データが、前記保有していた管理者パスワードを前記使用許可情報に追加してCRC計算をすることにより生成した使用者CRCである請求項1に記載のコンピュータ・プログラム。
The administrator-side authentication data is an administrator CRC generated by performing CRC calculation by adding the administrator password to the use permission information,
The computer program according to claim 1, wherein the user-side authentication data is a user CRC generated by performing CRC calculation by adding the held administrator password to the use permission information.
前記使用許可情報は使用を許可すべき前記情報処理装置の識別子を含み、
前記比較するステップは、前記情報処理装置が保有する前記情報処理装置の識別子と、前記使用許可情報に含まれる前記使用を許可すべき情報処理装置の識別子とを比較するステップを含む請求項3に記載のコンピュータ・プログラム。
The use permission information includes an identifier of the information processing apparatus that should be permitted to use,
The step of comparing includes a step of comparing an identifier of the information processing apparatus held by the information processing apparatus with an identifier of the information processing apparatus to be permitted for use included in the use permission information. The computer program described.
前記初期化するステップが、前記対象記憶媒体が示すコントローラ以外のコントローラの使用を禁止する処理を行うステップを含む請求項1に記載のコンピュータ・プログラム。   The computer program according to claim 1, wherein the initializing step includes a step of performing processing for prohibiting use of a controller other than the controller indicated by the target storage medium. 前記確認するステップにおいて前記使用許可情報の存在の確認に失敗することを条件にして、すべての前記コントローラの使用を禁止する処理を行うステップを含む請求項1に記載のコンピュータ・プログラム。   The computer program according to claim 1, further comprising a step of performing a process of prohibiting use of all the controllers on the condition that the confirmation of the presence of the use permission information fails in the confirmation step. 前記情報処理装置には所定の記憶媒体への書込みを禁止するフィルター・ドライバが予めインストールされており、
前記フィルター・ドライバは、前記使用許可に基づいて前記所定の記憶媒体への書込みを禁止する処理を前記情報処理装置に実行させる請求項1に記載のコンピュータ・プログラム。
The information processing apparatus is preinstalled with a filter driver that prohibits writing to a predetermined storage medium,
The computer program according to claim 1, wherein the filter driver causes the information processing apparatus to execute a process for prohibiting writing to the predetermined storage medium based on the use permission.
前記所定の記憶媒体はデータの書込み可能なUSBデバイスである請求項7に記載のコンピュータ・プログラム。   The computer program according to claim 7, wherein the predetermined storage medium is a USB device capable of writing data. オペレーティング・システムが動作している間に現在時刻が前記使用許可に含まれる使用時間内であるかどうかを監視するステップと、
前記使用時間が経過していることに応答して、強制的に前記情報処理装置をシャットダウンまたは再起動して前記記憶媒体の使用を終了させるステップを含む請求項1に記載のコンピュータ・プログラム。
Monitoring whether the current time is within the usage time included in the usage authorization while the operating system is running;
The computer program product according to claim 1, further comprising a step of forcibly shutting down or restarting the information processing apparatus and terminating the use of the storage medium in response to the use time having elapsed.
管理者パスワードを保有する情報処理装置であって、
持ち運び可能な記憶媒体の接続を制御する複数のコントローラと、
管理者側情報処理装置から使用時間と対象記憶媒体に関する情報を含む使用許可情報と、該使用許可情報と管理者パスワードを利用して作成した管理者側の認証データを含む使用許可を通信インターフェースを通じて受け取る呼び出し部と、
前記使用許可情報と前記保有している管理者パスワードを利用して作成した使用者側の認証データと前記管理者側の認証データとを比較する比較部と、
前記管理者側の認証データと前記使用者側の認証データが一致したときに前記使用許可情報が格納されていることを再起動処理の間に確認する確認部と、
前記使用許可情報の格納を確認することを条件にして再起動処理の間に前記情報処理装置の現在時刻が前記使用時間内であることが確認できた対象記憶媒体だけが使用可能になるように前記対象記憶媒体に関する情報が示すコントローラを初期化する初期化部と
を有する情報処理装置。
An information processing apparatus having an administrator password,
A plurality of controllers for controlling the connection of portable storage media;
Use permission information including use time information and information on the target storage medium from the administrator side information processing apparatus, and use permission including authentication data on the administrator side created using the use permission information and the administrator password, through a communication interface. A caller to receive,
A comparison unit for comparing the authentication data on the user side with the authentication data on the user side created using the use permission information and the administrator password that is held;
A confirmation unit for confirming during the restart process that the use permission information is stored when the authentication data on the administrator side matches the authentication data on the user side;
Only the target storage medium for which it is confirmed that the current time of the information processing device is within the usage time during the restart process on the condition that the storage of the usage permission information is confirmed can be used. And an initialization unit that initializes a controller indicated by information on the target storage medium.
前記管理者側の認証データが、前記管理者パスワードを前記使用許可情報に追加してCRC計算をすることにより生成した管理者CRCであり、
前記使用者側の認証データが、前記保有していた管理者パスワードを前記使用許可情報に追加してCRC計算をすることにより生成した使用者CRCである請求項10に記載の情報処理装置。
The administrator-side authentication data is an administrator CRC generated by performing CRC calculation by adding the administrator password to the use permission information,
The information processing apparatus according to claim 10, wherein the user-side authentication data is a user CRC generated by performing CRC calculation by adding the held administrator password to the use permission information.
前記使用許可情報は、使用を許可すべき前記情報処理装置の識別子を含み、
前記比較部は、前記情報処理装置に格納された前記情報処理装置の識別子と、前記使用許可情報に含まれる前記使用を許可すべき情報処理装置の識別子とを比較する請求項10に記載の情報処理装置。
The use permission information includes an identifier of the information processing apparatus that should be permitted to use,
The information according to claim 10, wherein the comparison unit compares the identifier of the information processing device stored in the information processing device with the identifier of the information processing device that should be permitted to be used included in the use permission information. Processing equipment.
前記確認部が前記使用許可情報の存在の確認に失敗することを条件にして、すべてのコントローラの使用を禁止する初期化禁止部を含む請求項10に記載の情報処理装置。   The information processing apparatus according to claim 10, further comprising an initialization prohibition unit that prohibits use of all controllers on condition that the confirmation unit fails to confirm the presence of the use permission information. 前記情報処理装置は、所定の記憶媒体に対する書き込みを禁止するフィルター・ドライバを格納する記憶媒体を内蔵し、
前記フィルター・ドライバは、前記使用許可に基づいて前記所定の記憶媒体への書込みを禁止する処理を前記情報処理装置に実行させる請求項10に記載の情報処理装置。
The information processing apparatus has a built-in storage medium for storing a filter driver that prohibits writing to a predetermined storage medium,
The information processing apparatus according to claim 10, wherein the filter driver causes the information processing apparatus to execute a process of prohibiting writing to the predetermined storage medium based on the use permission.
オペレーティング・システムが動作している間に現在時刻が前記使用許可に含まれる使用時間内であるかどうかを監視して使用時間の経過を示す信号を生成する監視部と、
前記使用時間の経過を示す信号に応答して、強制的に前記情報処理装置をシャットダウンまたは再起動して前記記憶媒体の使用を終了させる強制終了部を含む請求項10に記載の情報処理装置。
A monitoring unit that monitors whether the current time is within the usage time included in the use permission while the operating system is operating, and generates a signal indicating the passage of the usage time;
The information processing apparatus according to claim 10, further comprising: a forcible end unit that forcibly shuts down or restarts the information processing apparatus to end use of the storage medium in response to a signal indicating that the usage time has elapsed.
持ち運び可能な記憶媒体の接続を制御する複数のコントローラを備え、管理者パスワードを保有する情報処理装置が前記コントローラを制御する方法であって、
管理者側情報処理装置から使用時間と対象記憶媒体に関する情報を含む使用許可情報と、該使用許可情報と管理者パスワードを利用して作成した管理者側の認証データを含む使用許可を通信インターフェースを通じて受け取るステップと、
前記使用許可情報と前記保有している管理者パスワードを利用して作成した使用者側の認証データと前記管理者側の認証データとを比較部が比較するステップと、
前記比較するステップで前記管理者側の認証データと前記使用者側の認証データが一致したことを条件として再起動処理の間に前記情報処理装置に前記使用許可情報が存在することを確認部が確認するステップと、
前記使用許可情報が存在することを条件にして再起動処理の間に前記情報処理装置の現在時刻が前記使用時間内であることが確認できた対象記憶媒体だけが使用可能になるように前記対象記憶媒体に関する情報が示すコントローラを初期化部が初期化するステップと
を含む方法。
An information processing apparatus comprising a plurality of controllers for controlling connection of a portable storage medium and having an administrator password for controlling the controller,
Use permission information including use time information and information on the target storage medium from the information processing apparatus on the administrator side, and use permission including authentication data on the administrator side created using the use permission information and the administrator password through the communication interface Receiving, and
A comparison unit comparing the authentication data on the user side and the authentication data on the administrator side created using the use permission information and the administrator password held by the administrator;
The confirmation unit confirms that the use permission information exists in the information processing apparatus during a restart process on the condition that the authentication data on the administrator side matches the authentication data on the user side in the comparing step. Steps to check,
The target is set so that only the target storage medium that can be confirmed that the current time of the information processing apparatus is within the use time during the restart process is provided on the condition that the use permission information exists. Initializing the controller indicated by the information about the storage medium.
JP2005127472A 2005-04-26 2005-04-26 Use control method, management method, apparatus, and program of portable storage medium Expired - Fee Related JP4575228B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005127472A JP4575228B2 (en) 2005-04-26 2005-04-26 Use control method, management method, apparatus, and program of portable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005127472A JP4575228B2 (en) 2005-04-26 2005-04-26 Use control method, management method, apparatus, and program of portable storage medium

Publications (2)

Publication Number Publication Date
JP2006309296A JP2006309296A (en) 2006-11-09
JP4575228B2 true JP4575228B2 (en) 2010-11-04

Family

ID=37476155

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005127472A Expired - Fee Related JP4575228B2 (en) 2005-04-26 2005-04-26 Use control method, management method, apparatus, and program of portable storage medium

Country Status (1)

Country Link
JP (1) JP4575228B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100879807B1 (en) * 2006-12-11 2009-01-22 소프트캠프(주) Control system to control the document being taken out
JP5052878B2 (en) * 2006-12-12 2012-10-17 株式会社バッファロー Storage device and user authentication method
JP4295331B2 (en) 2007-04-26 2009-07-15 レノボ・シンガポール・プライベート・リミテッド Security setting method for storage device and computer.
US20120023598A1 (en) * 2009-03-31 2012-01-26 Hewlett-Packard Development Company, L.P. Bios usb write prevent
JP2010278652A (en) * 2009-05-27 2010-12-09 Toshiba Tec Corp Password input device
JP6351061B2 (en) * 2014-02-25 2018-07-04 日本電気株式会社 Management system, management method, program, and user terminal
JP2015164053A (en) * 2015-04-15 2015-09-10 住友電工システムソリューション株式会社 Device use control method, device use control apparatus, device use control system and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003067338A (en) * 2001-08-27 2003-03-07 Nec Gumma Ltd Security protection system, security protection method and security protection program
JP2003233538A (en) * 2002-02-13 2003-08-22 Matsushita Electric Ind Co Ltd Information recording/reproduction device and security management method
WO2003078768A1 (en) * 2002-03-19 2003-09-25 Matsushita Electric Industrial Co., Ltd. Use limit system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003067338A (en) * 2001-08-27 2003-03-07 Nec Gumma Ltd Security protection system, security protection method and security protection program
JP2003233538A (en) * 2002-02-13 2003-08-22 Matsushita Electric Ind Co Ltd Information recording/reproduction device and security management method
WO2003078768A1 (en) * 2002-03-19 2003-09-25 Matsushita Electric Industrial Co., Ltd. Use limit system

Also Published As

Publication number Publication date
JP2006309296A (en) 2006-11-09

Similar Documents

Publication Publication Date Title
JP5565040B2 (en) Storage device, data processing device, registration method, and computer program
CN106855814B (en) System and method for managing BIOS settings
JP4575228B2 (en) Use control method, management method, apparatus, and program of portable storage medium
AU2010340222B2 (en) Protected device management
JP4982825B2 (en) Computer and shared password management methods
US8756390B2 (en) Methods and apparatuses for protecting data on mass storage devices
US20090046858A1 (en) System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key
CN101675417B (en) The system and method for anti-tamper control
EP2135186B1 (en) System and method for providing a secure computing environment
WO2005101205A1 (en) Computer system
JP2006521602A (en) Security system and method
TWI712889B (en) Memory device and program
US10742412B2 (en) Separate cryptographic keys for multiple modes
EP1953668A2 (en) System and method of data encryption and data access of a set of storage devices via a hardware key
KR102195344B1 (en) Security system and method for computer using usb storage medium
JP2017528816A (en) System and method for improved security for a processor in a portable computing device (PCD)
WO2021169106A1 (en) Trusted startup method and apparatus, electronic device and readable storage medium
JP2005316856A (en) Information processor, starting method thereof, and starting program thereof
JP3834241B2 (en) Software recording unit separation type information processing apparatus and software management method
JP2011233087A (en) Storage, control method and computer program
US6948075B2 (en) Computer controlling method, information apparatus, computer, and storage medium
JP4314311B2 (en) Information processing apparatus and information processing system
JP2010146401A (en) Control assistance system, information processing apparatus and computer program
JP2008269210A (en) Removable memory unit and computer device
JP4388040B2 (en) Unauthorized connection prevention system, unauthorized connection prevention method, user terminal, and program for user terminal

Legal Events

Date Code Title Description
A625 Written request for application examination (by other person)

Free format text: JAPANESE INTERMEDIATE CODE: A625

Effective date: 20061129

A625 Written request for application examination (by other person)

Free format text: JAPANESE INTERMEDIATE CODE: A625

Effective date: 20061219

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20090717

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090806

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091117

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20091228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20091228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100817

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100819

R150 Certificate of patent or registration of utility model

Ref document number: 4575228

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130827

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130827

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees