JP4800340B2 - Tcgの仕様に基づくフィジカル・プリゼンスの認証方法およびコンピュータ - Google Patents
Tcgの仕様に基づくフィジカル・プリゼンスの認証方法およびコンピュータ Download PDFInfo
- Publication number
- JP4800340B2 JP4800340B2 JP2008068862A JP2008068862A JP4800340B2 JP 4800340 B2 JP4800340 B2 JP 4800340B2 JP 2008068862 A JP2008068862 A JP 2008068862A JP 2008068862 A JP2008068862 A JP 2008068862A JP 4800340 B2 JP4800340 B2 JP 4800340B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- authentication
- security chip
- biometric
- biometric authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
図1は、ノートPC10の主要なハードウエアの構成を示す概略ブロック図である。CPU11は、ノートPC10の中枢機能を担う演算処理装置で、オペレーティング・システム(OS)、BIOS、デバイス・ドライバ、あるいはアプリケーション・プログラムなどを実行する。CPU11は、ノース・ブリッジ13およびノース・ブリッジ13にさまざまなバスを経由して接続された各デバイスを制御する。ノース・ブリッジ13は、メイン・メモリ15、ビデオ・コントローラ17およびサウス・ブリッジ21に接続され、メイン・メモリ15へのアクセス動作を制御するためのメモリ・コントローラ機能や、CPU11と他のデバイスとの間のデータ転送速度の差を吸収するためのデータ・バッファ機能などを含む。
図2は、セキュリティ・チップ26の構成を示すブロック図である。セキュリティ・チップ26の構成は、非特許文献1〜3に記載のとおり周知である。セキュリティ・チップ26は、ノートPC10のマザー・ボードにハンダで接続され他のコンピュータに移設できないようになっている。また、たとえセキュリティ・チップ26を他のコンピュータに移設したとしても当該コンピュータは動作しないようになっている。
図3は、指紋認証モジュール41の構成を示すブロック図である。特徴抽出部83は、指紋センサー42から受け取った指紋画像を芯線化して特徴点を抽出し、さらに抽出した特徴点の相関関係を数値化して照合指紋データを作成する。テンプレート格納部87は、あらかじめ登録する真正なユーザの照合指紋データをテンプレートとして格納する。照合部85は、認証のために指紋センサー42が生成した照合指紋データとテンプレートを比較し、一致点が所定のスコアを越えた場合に認証が成功したと判定する。
図4は、BIOS_ROM27の構成を示す図である。BIOS_ROM27は、不揮発性で記憶内容の電気的な書き替えが可能なメモリであり、書き換えに伴うリスクを軽減するためにブート・ブロック方式を採用している。ブート・ブロック27aは、書き込み保護がされている記憶領域でここに格納されたプログラム(コードまたはインストラクションともいう。)はTPMの仕様書に規定するCRTMとして扱われ特別な権限がないと書き換えができないようになっている。
図5は、セキュアNVRAM43の構成を示す図である。セキュアNVRAM43は、OSの環境下ではアクセスが制約された不揮発性のメモリである。セキュアNVRAM43は、フィジカル・オーナーシップ・プリゼンスの認証をユーザが有効になるように設定したことを示すPOP認証有効フラグ151、パワー・オン・パスワード153、およびスーパーバイザ・パスワード155を格納する。POP認証有効フラグ151は、ノートPC10が起動された以降の初期段階でBIOS_ROM27のシステム・ブロック27bに格納されたパスワード認証コード131により、ユーザが本発明にかかるフィジカル・オーナーシップ・プリゼンスの認証をするか、あるいは従来どおりのフィジカル・プリゼンスの認証をするかの選択結果に基づいて設定される。
図6は、フィジカル・プリゼンスの認証に関連するハードウエアおよびソフトウエアの構成を示す機能ブロック図である。起動ボタン101は、ノートPC10の筐体に物理的に一体になるように取り付けられており、ノートPC10を物理的に支配しているユーザだけが押下することができる。起動ボタン101が押下することで、パワー・コントローラ31に起動信号を送ることができる。パワー・コントローラ31は起動ボタン101からライン102を通じて起動信号を受け取ったときにDC/DCコンバータ33を制御して所定のシーケンスでノートPC10の各デバイスに電源を供給しS0ステートに移行させる。
図7はノートPC10におけるパワー・オンに対するパワー・ステートの遷移方法と関連動作を説明する図である。図7は、S1ステート〜S5ステートのいずれかからS0ステートに遷移場合を示している。起動ボタン101の押下はいずれのパワー・ステートからも実行できる。WOLでは、S5ステートからの遷移以外の場合に実行できる。キーボート47のファンクション・キー(Fnキー)の押下では、S4ステートまたはS5ステートからの遷移以外の場合に実行できる。
つぎに図8〜図10を参照して、フィジカル・プリゼンスの認証方法について説明する。図8〜10は、図1〜図6に示したソフトウエアおよびハードウエアに基づく認証の手順を示すフローチャートである。図8は、ハードウエア環境下での指紋認証の手順を示し、図9は、CRTM認証コード121によるフィジカル・プリゼンスおよびフィジカル・オーナーシップ・プリゼンスの認証の手順を示し、図10は、パスワード認証コード131によるシングル・サイン・オンの認証の手順を示す。
41…指紋認証モジュール
101…起動ボタン
103、105、107…制御端子付きスイッチ
109…発光ダイオード
111、113、115…ステータス・レジスタ
Claims (20)
- TCGの仕様に適合したコンピュータであって、
セキュリティ・チップと、
前記コンピュータに取り付けられた起動ボタンと、
CRTM認証コードを格納する第1の不揮発性メモリと、
前記CRTM認証コードを実行するプロセッサと、
前記コンピュータのACPIで定義されたパワー・ステートを記憶する第1のステータス・レジスタと、
前記コンピュータに取り付けられた生体認証ユニットとを有し、
前記プロセッサは前記起動ボタンが押下されてオペレーティング・システムが実行される前に前記CRTM認証コードを実行して、前記第1のステータス・レジスタを参照して前記コンピュータがコールド・スタートしたことを確認し、かつ、前記生体認証ユニットが生体認証を成功したときにプラットフォームにユーザが存在することを示すフィジカル・プリゼンスを肯定するコマンドを前記セキュリティ・チップに送る
コンピュータ。 - 前記生体認証ユニットと前記セキュリティ・チップがそれぞれバインディング・データを格納し、
前記プロセッサは、前記セキュリティ・チップが前記生体認証ユニットを認証するために前記生体認証ユニットから前記バインディング・データを前記セキュリティ・チップに送る請求項1に記載のコンピュータ。 - 前記生体認証ユニットと前記セキュリティ・チップがそれぞれ指紋オーナーシップ・キーを格納し、
前記プロセッサは、前記生体認証ユニットが前記セキュリティ・チップを認証するために前記生体認証ユニットから受け取った前記バインディング・データが有効なときに前記セキュリティ・チップが格納する前記指紋オーナーシップ・キーを前記生体認証ユニットに送る請求項2に記載のコンピュータ。 - 前記起動ボタンが押下されて前記コンピュータがコールド・スタートしたときにPPビットを設定するハードウエア論理回路を有し、該ハードウエア論理回路は前記PPビットが設定される際に前記生体認証ユニットに生体認証を開始させる請求項1から請求項3のいずれかに記載のコンピュータ。
- 前記ハードウエア論理回路は、前記PPビットが設定される際に生体情報を入力するための発光ダイオードによるプロンプトをユーザに提示する請求項4に記載のコンピュータ。
- 前記ハードウエア論理回路は、前記生体認証ユニットが前記生体認証を失敗したことを発光ダイオードによりユーザに提示する請求項5に記載のコンピュータ。
- 前記ハードウエア論理回路は、前記起動ボタンが押下されて前記コンピュータがコールド・スタートしかつ前記生体認証ユニットと前記セキュリティ・チップとの間で相互認証が成功したときにPOPビットを設定し、前記プロセッサは前記POPビットが設定されたときに前記セキュリティ・チップに前記フィジカル・プリゼンスを肯定するコマンドを送る請求項4から請求項6のいずれかに記載のコンピュータ。
- 前記プロセッサは前記PPビットおよび前記POPビットのいずれも設定されないと判断したときに前記セキュリティ・チップに前記フィジカル・プリゼンスを否定するコマンドを送る請求項7に記載のコンピュータ。
- 前記プロセッサは前記第1の不揮発性メモリに格納されたパスワード認証コードを実行して、前記POPビットが設定されたときにユーザが行う複数の個別認証をユーザの介在なしで1度に行うシングル・サイン・オンを実行する請求項8に記載のコンピュータ。
- 前記第1の不揮発性メモリがブート・ブロックとシステム・ブロックで構成され、前記CRTM認証コードが前記ブート・ブロックに格納されている請求項9に記載のコンピュータ。
- 前記パスワード認証コードが前記システム・ブロックに格納されている請求項10に記載のコンピュータ。
- 前記プロセッサは、前記オペレーティング・システムのブートが始まる前に前記生体認証ユニットの認証結果をクリアする請求項1から請求項11のいずれかに記載のコンピュータ。
- 生体認証ユニットと起動ボタンとTCGの仕様に適合したセキュリティ・チップとを備えるコンピュータにおいて、前記コンピュータを制御するプロセッサがCRTM認証コードを実行してプラットフォームにユーザが存在することを示すフィジカル・プリゼンスの認証をする方法であって、
前記起動ボタンの押下により前記コンピュータがコールド・スタートしたか否かを判断するステップと、
前記生体認証ユニットが生体認証を行うステップと、
前記起動ボタンの押下により前記コンピュータがコールド・スタートしかつ前記生体認証ユニットが前記生体認証を成功したときに前記セキュリティ・チップに前記フィジカル・プリゼンスを肯定するコマンドを送るステップと
を有する認証方法。 - 前記生体認証ユニットおよび前記セキュリティ・チップがそれぞれ格納するバインディング・データと指紋オーナーシップ・キーを利用して前記生体認証ユニットと前記セキュリティ・チップとの間で相互認証をするステップを有する請求項13に記載の認証方法。
- 前記コンピュータのハードウエア論理回路が前記起動ボタンの押下により前記コンピュータがコールド・スタートしたことを認識したときにユーザが前記生体認証ユニットに入力するためのプロンプトを表示するステップを有する請求項13または請求項14に記載の認証方法。
- 前記生体認証を行うステップが完了したことを認識して前記ハードウエア論理回路が前記生体認証ユニットの動作を停止するステップを有する請求項15に記載の認証方法。
- オーナーとして生体情報が登録されたユーザがプラットフォームに存在することを示すフィジカル・オーナーシップ・プリゼンスの認証を有効または無効に設定するステップと、
前記フィジカル・オーナーシップ・プリゼンスの認証が無効に設定されているときに前記起動ボタンの押下により前記コンピュータがコールド・スタートしたか否かを判断するステップと、
前記コールド・スタートしたと判断したときに前記セキュリティ・チップにフィジカル・プリゼンスが肯定されることを示すコマンドを送るステップと
を有する請求項13から請求項16のいずれかに記載の認証方法。 - 起動ボタンが押下されて前記コンピュータがコールド・スタートしかつ前記生体認証ユニットが前記生体認証を成功したときにパワー・オン・パスワード、スーパーバイザ・パスワード、およびハードディスク・パスワードに対するシングル・サイン・オンを実行するステップを有する請求項13ないし請求項17のいずれかに記載の認証方法。
- 前記コンピュータがウォーム・スタートしたかまたは前記生体認証ユニットが前記生体認証を失敗したときに、オペレーティング・システムがブートする前に前記セキュリティ・チップに前記フィジカル・プリゼンスを否定するコマンドを送るステップを有する請求項13から請求項18のいずれかに記載の認証方法。
- TCGの仕様に適合したセキュリティ・チップと生体認証ユニットと起動ボタンとを備えるコンピュータに、
前記起動ボタンの押下により前記コンピュータがコールド・スタートしたか否かを判断する機能と、
前記生体認証ユニットに生体認証をさせる機能と、
前記起動ボタンの押下により前記コンピュータがコールド・スタートしかつ前記生体認証ユニットが前記生体認証を成功したときにプラットフォームにユーザが存在することを示すフィジカル・プリゼンスを肯定するコマンドを前記セキュリティ・チップに送る機能と
を実現させるCRTMを構成するコンピュータ・プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008068862A JP4800340B2 (ja) | 2008-03-18 | 2008-03-18 | Tcgの仕様に基づくフィジカル・プリゼンスの認証方法およびコンピュータ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008068862A JP4800340B2 (ja) | 2008-03-18 | 2008-03-18 | Tcgの仕様に基づくフィジカル・プリゼンスの認証方法およびコンピュータ |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009223729A JP2009223729A (ja) | 2009-10-01 |
JP4800340B2 true JP4800340B2 (ja) | 2011-10-26 |
Family
ID=41240414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008068862A Active JP4800340B2 (ja) | 2008-03-18 | 2008-03-18 | Tcgの仕様に基づくフィジカル・プリゼンスの認証方法およびコンピュータ |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4800340B2 (ja) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002183076A (ja) * | 2000-12-11 | 2002-06-28 | Toshiba Corp | 情報処理装置及び情報処理装置の起動方法 |
TWI319147B (en) * | 2003-04-10 | 2010-01-01 | Lenovo Singapore Pte Ltd | Apparatus, motherboard, method and computer-readable storage medium recording instructions capable of determinging physical presence in a trusted platform in a computer system |
JP4769608B2 (ja) * | 2006-03-22 | 2011-09-07 | 富士通株式会社 | 起動検証機能を有する情報処理装置 |
JP2007289457A (ja) * | 2006-04-26 | 2007-11-08 | Matsushita Electric Ind Co Ltd | 指紋認証装置および指紋認証方法 |
-
2008
- 2008-03-18 JP JP2008068862A patent/JP4800340B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2009223729A (ja) | 2009-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4933519B2 (ja) | 生体認証装置を備えるコンピュータ | |
JP5476363B2 (ja) | 生体認証装置を利用したコンピュータの起動方法およびコンピュータ | |
US10762216B2 (en) | Anti-theft in firmware | |
JP5519712B2 (ja) | コンピュータをブートする方法およびコンピュータ | |
US7900252B2 (en) | Method and apparatus for managing shared passwords on a multi-user computer | |
JP4709992B2 (ja) | 認証パスワードの格納方法、生成方法、ユーザの認証方法、およびコンピュータ | |
US7917741B2 (en) | Enhancing security of a system via access by an embedded controller to a secure storage device | |
KR101736397B1 (ko) | 호스트 중앙 프로세싱 유닛 및 호스트 운영 시스템에 의한 제어 및 간섭으로부터 분리된 사용자 승인 및 프레젠스 검출 | |
JP2008171389A (ja) | ドメイン・ログオンの方法、およびコンピュータ | |
JP2007299034A (ja) | 情報処理装置および認証制御方法 | |
JP4189397B2 (ja) | 情報処理装置、および認証制御方法 | |
JP2005301564A (ja) | セキュリティ機能を備えた情報処理装置 | |
US10599848B1 (en) | Use of security key to enable firmware features | |
JP4724107B2 (ja) | リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ | |
JP4247216B2 (ja) | 情報処理装置および認証制御方法 | |
KR20120062969A (ko) | 데스크탑 가상화를 위한 보안 장치 및 방법 | |
JP4800340B2 (ja) | Tcgの仕様に基づくフィジカル・プリゼンスの認証方法およびコンピュータ | |
CN105446751B (zh) | 一种信息处理方法及电子设备 | |
JP2008158763A (ja) | 情報処理装置およびセキュリティ方法 | |
JP2007172062A (ja) | 情報処理装置およびアクセス制御方法 | |
JP5367684B2 (ja) | セキュリティを強化したコンピュータおよび電源の制御方法 | |
KR101249176B1 (ko) | 컴퓨터 시스템의 보안 설정 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110517 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110703 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110802 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110803 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140812 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4800340 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140812 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |