JP4975779B2 - ユーザアクセスマネージャとのインターフェースを行う機構 - Google Patents

ユーザアクセスマネージャとのインターフェースを行う機構 Download PDF

Info

Publication number
JP4975779B2
JP4975779B2 JP2009126764A JP2009126764A JP4975779B2 JP 4975779 B2 JP4975779 B2 JP 4975779B2 JP 2009126764 A JP2009126764 A JP 2009126764A JP 2009126764 A JP2009126764 A JP 2009126764A JP 4975779 B2 JP4975779 B2 JP 4975779B2
Authority
JP
Japan
Prior art keywords
user
credential
description architecture
final
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009126764A
Other languages
English (en)
Other versions
JP2009301543A (ja
Inventor
ランドール・エス.・スプリングフィールド
ジョセフ・エム.・ペニシ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Publication of JP2009301543A publication Critical patent/JP2009301543A/ja
Application granted granted Critical
Publication of JP4975779B2 publication Critical patent/JP4975779B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)

Description

本発明は、コンピュータシステムのユーザアクセスを管理する方法および機構に関し、特に、ユーザアクセスマネージャとのインターフェースを行う機構に関する。
従来、コンピュータシステムのセキュリティ問題は、異なるユーザが同じシステムを通常使用する場合に、システムの様々な部分への当該異なるユーザによるアクセスを管理する課題まで拡大している。たとえば、小規模のビジネス設定において、システムのある部分についてサポートスタッフへのアクセスを禁止し、所有者のみがアクセスできるようにしなければいけないこともある。
かかる課題は、オペレーティングシステムレベル、たとえば、小規模のビジネスサーバを使用する場合について長い間取り組まれてきた。ビジネスに関わる各個人はユーザ名とパスワードを有し、それによって1つ以上の所定のユーザ名によりシステムの多くの部分へさらにアクセスすることが可能になる。しかしながら、単一のマシン(たとえば、サーバなどの外部エンティティへの接続に関わらず単一のデスクトップやラップトップコンピュータ)のレベルでそのようなアクセスを管理することは長い間実現していなかった。
最近、しかしながら、インテルが、マシンで動作するオペレーティングシステムに関わらず、ユーザ毎にマシンのアクセスを制御するように構成されている「DANBURY」アーキテクチャを開発した。このアクセスはBIOSレベルで制御され、したがって本質的にマシンに配線(Hard−Wired)によって組み込まれている。
このアーキテクチャの1つの利点として、現在理解しているところでは、従来のfull disk encryption(FDE)を超える特長のレベルにある。特に、従来のFDEは単にディスク上で動作するものであったので、ディスク(たとえば、ケーブルを介して)へ送るデータが暗号化されていないこともあるが、「DANBURY」はコンピュータマザーボード上に暗号化エンジンを配置するので、ディスクへ送るデータは既に暗号化されている。
A Method of Secure Managed Secure Client PC、」IP.com Prior Art Database(www.ip.com)、IP.com number IPCOM000138248D
また、テキストベースのパスワードをユーザが入力することで、そのアーキテクチャが、(表面上は所定の基準や設定に基づいて)各ユーザのアクセス対象を制御することができるようになる。しかしながら、そのアーキテクチャは、テキストベースのアクセスのみを許可するようにかなり限定されているように思われる。
これは、テキストベースのアクセスが必ずしも、システムへの唯一の所望のアクセスモードを表すものでない場合に問題になる。これはまた、たとえば、本質的にユーザアクセスを制御するように構成されたアーキテクチャ(「DANBURY」または他のアーキテクチャ)ならどれでも、それに直面したときに更に大きな問題になるものであり、システムは、そのようなアクセスの影響について厳しく限定され得る。たとえば、システムをテキストベースのアクセスのみに制限することで、設計されていたはずの自由度と汎用性をシステムから大きく奪うことになっている。
したがって、そのような課題に取り組むことに関して、強い必要性が認識される。
本発明の少なくとも現在の好ましい一実施形態によると、広く検討しているのは、テキストベースのアクセス以外のアクセスで「DANBURY」などのアーキテクチャを使用することができる機構である。特に本明細書で検討しているのは、バイオメトリック識別子などの代わりのユーザ識別子を、たとえば「DANBURY」などのユーザ記述アーキテクチャで使用できるようにする機構である。
特に広い意味で、本明細書で検討しているのは、ユーザ識別子を受け付けて、次いで中間のユーザ記述アーキテクチャ(すなわち、特定ユーザについて、暗号化されたデータやコンピュータの部分へのアクセスを許可するように構成されたアーキテクチャ)に連絡し、ユーザ記述アーキテクチャが、それがどういうアーキテクチャであれ、データやコンピュータの部分をロック解除するタスクを実行できるようにする機構である。したがって、ユーザ記述アーキテクチャは、本発明の少なくとも1つの実施形態による機構が、適切に仲介して「ブラックボックス(Black Box)」にその所定の動作を実行させるように構成された「ブラックボックス」と考えることができる。本発明の現在の少なくとも1つの好ましい実施形態によれば、「ブラックボックス」を適切に起動させるための1つ以上の好適なクレデンシャルが提供される。
要するに、本発明の一態様は、ユーザ識別入力を受け付けるステップと、ユーザ識別入力を受け付けた場合に、復号鍵を開放するステップと、前記復号鍵を、ユーザのシステムアクセスを管理するアーキテクチャに入力するためのクレデンシャルに変換するステップと、を備える方法である。
本発明の他の態様は、主メモリと、当該主メモリにアクセス可能に構成されており、ユーザ識別入力を受け付け、ユーザ識別入力に応じて復号鍵を開放するBIOSと、前記復号鍵を、ユーザのシステムアクセスを管理するアーキテクチャに入力するためのクレデンシャルに変換するコンバータと、を備える装置である。
本発明のさらに他の態様は、コンピュータが実行可能なプログラムであって、ユーザ識別入力を受け付けるステップと、ユーザ識別入力を受け付けた場合に、復号鍵を開放するステップと、前記復号鍵を、ユーザのシステムアクセスを管理するアーキテクチャに入力するためのクレデンシャルに変換するステップと、をコンピュータに実行させるプログラムである。
追加要素を備えたコンピュータシステムを示す概略図である。 ユーザログインを受け付け、それにより「ブラックボックス」アーキテクチャを動作させる3つの機構を示す概略図である。
本発明を他の更なる特長や利点とともによりよく理解するために、添付の図面と併せて以下の説明を参照することとする。
本発明の構成要素は、本明細書の図面に一般に示してあるが、様々な構成で広く多様に配置し設計してもよいことは容易に理解できる。したがって、本発明の装置、システムおよび方法の実施形態についての以下のより詳細な説明は、図1および図2に示すように、特許請求の範囲に示す本発明の範囲を限定するものではなく、単に本発明の選択した実施形態を示すものである。
本明細書を通じて「1つの実施形態」や「一実施形態」(など)との言及は、その実施形態と併せて説明する特定の特長、構成または特徴が、本発明の少なくとも1つの実施形態に含まれることを意味するものである。したがって、本明細書の様々な箇所に現れる「1つの実施形態において」や「一実施形態において」の句は必ずしも全てが同じ実施形態を示すものではない。
さらに、説明する特長、構成または特徴は1つ以上の実施形態において適切に組み合わせることができる。以下の説明では、本発明の実施形態を完全に理解してもらうために、たとえば、プログラミング、ソフトウェアモジュール、ユーザ選択、ネットワークトランザクション、データベースクエリ、データベース構造、ハードウェアモジュール、ハードウェア回路、ハードウェアチップ等、多くの特定の細目を挙げている。しかしながら、当業者は、特定の細目の1つ以上が無くても、または他の方法、部品、材料でも本発明を実現できることは理解できる。他の例では、周知の構造、材料または動作を詳細に示さず、本発明の態様を曖昧にすることを避けている。
本発明の図示した実施形態は、図面を参照することによりよく理解できる。また、全体を通して、同じ箇所には同じ参照番号または符号を用いて示している。以下の説明は例に過ぎず、本明細書の特許請求の範囲に示す本発明と矛盾無く装置、システムおよび方法についての選択した実施形態を単に示すものである。
図1は、コンピュータシステム12を説明する一実施形態のブロック図を示す。図1に示した実施形態は、たとえば、ノースキャロライナ州モリスビルのLenovo(アメリカ合衆国)が販売しているパーソナルコンピュータのThinkPad(登録商標)の1つなど、ノートブック型のコンピュータシステムとすることもできる。しかしながら、以下の説明より明らかであるが、本発明はどのデータ処理システムにも適用することができる。本明細書においてノートブック型コンピュータを、代わりに、「ノートブック」、「ラップトップ」、「ラップトップコンピュータ」または「モバイルコンピュータ」と呼ぶが、これらの用語は基本的に互換性があるものであると理解すべきである。
図1に示すように、コンピュータシステム12は、少なくとも1つのシステムプロセッサ42を備え、システムプロセッサ42には、ROM(リードオンリーメモリ)40とシステムメモリ46がプロセッサバス44を介して接続されている。システムプロセッサ42は、AMD Corporationが製造するAMD(登録商標)プロセッサやIntel Corporationが製造するプロセッサの1つを備えることができ、電源を入れるとROM40に保存されているブートコード41を実行し、その後システムメモリ46に保存されているオペレーティングシステムやアプリケーションソフトウェアに基づきデータを処理する汎用のプロセッサである。システムプロセッサ42は、プロセッサバス44とホストブリッジ48を介してPCI(Peripheral Component Interconnect)ローカルバス50に接続されている。
PCIローカルバス50は、アダプタやブリッジを含む複数のデバイスの接続をサポートするためのものである。これらのデバイスにおいて、ネットワークアダプタ66はコンピュータシステム12をLANに接続させるものであり、グラフィックアダプタ68はコンピュータシステム12をディスプレイ69に接続させるためのものである。PCIローカルバス50上の通信は、ローカルPCIコントローラ52が制御しており、このローカルPCIコントローラ52は、不揮発性ランダムアクセスメモリ(NVRAM)56にメモリバス54を介して接続されている。ローカルPCIコントローラ52は第2のホストブリッジ60を介して更なるバスやデバイスに接続することができる。
コンピュータシステム12には、さらに、ISA(業界標準アーキテクチャ)バス62が含まれ、ISAバス62は、ISAブリッジ64を介してPCIローカルバスに接続されている。ISAバス62には、入出力(I/O)コントローラ70が接続されており、入出力(I/O)コントローラ70は、コンピュータシステム12と付属の周辺デバイス、たとえばキーボードやマウスなどとの間の通信を制御している。さらに、I/Oコントローラ70は、シリアルポート、そしてパラレルポートを介してコンピュータシステム12の外部通信もサポートしている。ディスクコントローラ72は、ディスクドライブ200と通信している。もちろん、システム12は様々なチップセットや別のバス構造、他のあらゆる適切や代替部品を備えて、上述と同程度または類似の機能を提供できるものでもよいことを理解されたい。
符号86は、BIOS(ベーシック入出力システム)を示しており、本発明の現在の好ましい実施形態の少なくとも1つのBIOS86の機能は、以下の説明からよりよく理解される。
従来公知のように、BIOS86に関連付けられるのは、メモリ86a(たとえば、フラッシュメモリ)であり、本発明の少なくとも1つの好ましい実施形態において、さらに、ログインマネージャ86bという態様のソフトウェア論理アーキテクチャである。ログインマネージャ86bは、好ましくは、1つ以上のタイプのユーザログインを処理するものであり、その詳細は後述でより理解される。また、好ましくは、BIOS86は、バイオメトリック入力86cという媒体の態様のソフトウェア論理アーキテクチャが関連付けられる。バイオメトリック入力86cもまた後述でより理解されるが、それには、説明のための非限定的な例として、指紋読取装置を含めることができる(指紋読取装置自体は、たとえば、取り付けられた別の部品によって、またはマシンの包括システム12との動作や機能上の通信によって読取装置86cに提供された指紋画像を処理するソフトウェアである)。同じく図示しているのが、「ブラックボックス」同期ボールト(”BLACK BOX”SYNC VAULT)92である。「ブラックボックス」同期ボールト92は「DANBURY」などのユーザ記述アーキテクチャとのインターフェースを行うために構成され、同期ボールトの説明は後述でより理解される。好ましくは、同期ボールト92は、直接、機能的にBIOS86に組み込まれており、たとえば、BIOSメモリ86aにあるか、BIOSメモリ86aに機能的に連結されている。
上述のとおり、本発明の現在の少なくとも1つの実施形態において、広く本明細書で検討されているのが、テキストベースのアクセス以外に「DANBURY」などのアーキテクチャを使用できるようにするための機構である。特に、本明細書で検討しているのは、「DANBURY」などのユーザ記述アーキテクチャにおいて、バイオメトリック識別子などの別のユーザ識別子の使用を可能にする機構である。
特に広い意味において、本明細書で検討しているのは、ユーザの識別子を受け付け、次いで中間ユーザ記述アーキテクチャ(すなわち、特定ユーザについて、暗号化されたデータやコンピュータの部分へのアクセスを許可するように構成されたアーキテクチャ)に連絡し、ユーザ記述アーキテクチャが、それがどういうアーキテクチャであれ、データやコンピュータの部分をロック解除するタスクを実行できるようにするための仕組みである。したがって、ユーザ記述アーキテクチャは、本発明における少なくとも1つの実施形態による機構が、「ブラックボックス」を起動してその所定の動作を実行するように適切にインターフェィスを行うように構成された「ブラックボックス」と考えることができる。本発明の現在の少なくとも1つの好ましい実施形態によると、「ブラックボックス」を適切に動作させる1つ以上の適当なクレデンシャル(credential:証明)が提供される。
現在検討しているように、「ブラックボックス」をロック解除するための機構を少なくとも3つ使用することができる。第1の機構では、バイオメトリックまたは他の非テキストベースのユーザ識別子が入力となり、結果として、「ブラックボックス」を起動して、該当のユーザにとって所定の基準に応じてコンピュータ部分やデータを復号化するようにクレデンシャルが「ブラックボックス」に提供される。第2の機構では、以下詳述する方法でCMPパスワード(centralized managed password)を使用する。最後に、第3の機構では、ユーザが、従来のパスワード入力の方法と表面的に同じように(少なくともユーザに見えるように)実際にパスワードを入力するが、以下でより理解されるように、直接「同期ボールト(sync Vault)」に入力され、ユーザ記述アーキテクチャ「ブラックボックス」を起動させるようにする。ここで提示したこれら3つの機構は、説明のための非限定的な例であり、個々にまたは組み合わせてシステムで実現することができる。
図2は、例示を目的として、上記3つの機構を全て備えた構成を概略的に示す図である。2つの異なるブラックボックス同期ボールト、すなわち、指紋同期ボールト92aとCMP同期ボールト92bが示されている。同期ボールト92a、92bはそれぞれ、システムへのユーザアクセスとブラックボックス(たとえば、「DANBURY」)との間の中間リンクとして機能するものであり、ユーザのデータやシステムの他の箇所へのアクセス管理するように構成されている。例として、CMP同期ボールト92bは、ユーザパスワード入力205aまたはCMP入力205bの両方または何れかを(両方ともログインマネージャ86bを介して)受け付けるために構成されているように示されている。しかし、いずれの入力モードも独立してそれぞれ専用の同期ボールトに入力することにしてもよい。さらに、システムは、ブラックボックスインターフェースのための同期ボールト(たとえば、指紋、ユーザパスワード、またはCMP同期ボールト)を含むことができ、または、2つ以上の同期ボールトを含むことができ、それぞれが1つ以上のユーザ入力(たとえば、指紋、ユーザパスワード、またはCMP同期ボールト)を処理するように構成することができることを理解すべきである。さらに、指紋を処理するための機構として、代わりに他のタイプのユーザベースのバイオメトリック入力(たとえば、虹彩読取装置、音声認識、顔認識)を処理するように構成することができることを理解すべきである。スマートカードリーダを使用してユーザを認証することもできる。したがって、本明細書で広く検討しているのは、本発明の少なくとも1つの実施形態に基づいて、非常に多様に考えられる生体または非生体的なユーザ入力方法であり、本明細書で具体的に取り組んでいるものに限定されるものではないことを理解すべきである。
図2の左側を参照して、バイオメトリック(生体)ユーザ入力に関して最初に説明する。再び、指紋認証を説明のために限定的に非説明的な例として使用するが、無論、本質的にはどの適切なバイオメトリック入力も使用可能であることを理解すべきである。
指紋読取装置86c(図1のバイオメトリック入力86cの例)は、好ましくは、ユーザの指紋画像に関連するデータを受け付ける。モジュール202(好ましくは、BIOS86と連結される。図1参照)は、好ましくは、次に、指紋画像とユーザを照合し(一致するユーザがいると仮定する)、ブラックボックス同期ボールト92aをロック解除するための「最初のクレデンシャル」(initial credential)を示す「ロック解除指紋鍵」を解放する。特に、所定のユーザに解放されたその鍵は、ユーザに所定のレベルまたは程度のシステムへのアクセスを与えるためのクレデンシャルとなる。このクレデンシャルは、ブラックボックスアーキテクチャ(たとえば、「DANBURY」)が最終的にシステムアクセスを与えるための実際のタスクを実行することができるように同期ボールト92aで処理される。このクレデンシャルは、ユーザがアクセスをあらかじめ許可されたシステムの部分を復号化する最終目的を果たす復号鍵と考えることができる一方、同期ボールト92bは、本質的に、所定のタスクを実行するブラックボックスアーキテクチャを起動するインターフェースつまり「go−between」となり、それ以外の場合、ブラックボックスアーキテクチャに関連する専用のテキストベースのパスワードでのみ達成できることになる。換言すると、そのクレデンシャルが示すその復号鍵は実際に、ユーザが同期ボールト92aを復号化するのに使用され、次いで、ブラックボックスアーキテクチャを起動して専用の復号化タスクを実行することができるようにする。本発明の実施形態によると非常に広範囲の指紋読取装置を使用することができるが、図示した例では、カリフォルニア州エメリーヴィルのUPEK.Inc.製造の指紋読取装置を含むものとすることができる(www.touchchip.com参照)。
図2は、好ましくは同期ボールト92aが、ユーザの指紋鍵を受け付け、ついでこれらを使用して所定のユーザに関する好適な最終クレデンシャルを解放するためのルックアップスキームを備える例を概略的に示す。この最終的なクレデンシャルは、ブラックボックスアーキテクチャに、対象となるユーザのため、復号化されたシステムの領域を通知する役割を果たす。より端的に言えば、その最終クレデンシャルは、本質的にはブラックボックスアーキテクチャが通常使用するパスワード(または他のユーザ識別)スキームならどれでも同等であるとしてブラックボックスアーキテクチャにより受け付けられる。言い換えれば、同期ボールト92aは、本質的に対象となるシステム特有のユーザ固有識別の1つのタイプを受け付け、それを、それ自体ユーザにシステムの所定の箇所へのアクセスを許可する「門番」であるブラックボックスアーキテクチャ特有のユーザ固有識別の他のタイプに変換する変換モジュールとして機能する。
図2の左側の例に示すように、好ましくは同期ボールト92aのルックアップスキームが、以下(示されているように)の動作を行うようにする。
−ユーザ1、2、…Nの指紋インジケータ(識別子)を受け付け、
−ブラックボックスアーキテクチャに関連付けられた予め設定されたユーザIDを参照し、
−共通フラグを出力し、
−「ロック解除鍵Blob」を出力する。
本質的に、所定のユーザに対するロック解除鍵Blobは、ブラックボックスアーキテクチャがその専用のタスクを適切にユーザのために実行するのに十分な「最終クレデンシャル」となる。また、この「最終クレデンシャル」は本質的には、パスワードまたは通常ブラックボックスアーキテクチャが使用する他のユーザ識別子と同等と考えることができる。
好ましくは、共有フラグを、たとえば2人以上のユーザ(または、1人のユーザの2本以上の指)をボールト92aへの共通入力として予定している場合にはインジケータとして使用することもできる。したがって、好ましくは、その共有フラグは、BIOS86にそれ自体をシステムへのユニバーサルな共通の入力(または、鍵)として使用するように警告してもよい。
図2の右側の図については、(上述の通り)CMPログインとユーザパスワードベースのログイン(それぞれ、205bおよび205a)を伝達する。それらはいずれかが、または組み合わせて少なくともログインマネージャ86bの一部をなすことができる。図から分かるように、好ましくはこれらは、実質的に指紋(または他のバイオメトリック)ログイン/識別機構と同様に機能する。図示するように、ユーザパスワードログイン205aは、通常システムにアクセスするのに十分であるが、CMPログイン205bを最初にユーザが使用することにしてもよい。後者については、ユーザは、「中央位置(centralized location)」からパスワードや鍵を解放するのに最終的な効果を有する自分用のユニバーサルパスワードを入力することができ、そのパスワードや鍵は、ユーザが特定のシステムやシステムの一部にアクセスすることができるように適したものとすることができる。換言すれば、システムや異なるシステムの一部へアクセスするためのパスワードや鍵を多数使用するよりも、CMPでは、ユーザにとってのユニバーサルパスワードと考え得るものを使用することができ、このユニバーサルパスワードによってロック解除、暗号化、またはユーザがアクセスを試みている特定のシステム、またはシステムの一部へのアクセスを許可するのに必要とされる、パスワード、鍵、または他の復号化要素等を解放することができる。上記「中央位置」はサーバとすることができ、ローカル位置(ユーザがログインした場所)はサーバのクライアントとすることができる。したがって、CPMによってサーバは、サーバのクライアントへのアクセスを制御することができるようになり、たとえば、(必要に応じて)クライアントへのアクセスを無効にすることも簡単になる。CMPログインについて有用な背景情報は文献{「A Method of Secure Managed Secure Client PC、」IP.com Prior Art Database(www.ip.com)、IP.com number IPCOM000138248D}で知ることができる。この文献は、その全てが参照により本明細書に組み込みこまれる(援用される)。
ユーザパスワードベースのログイン205aについては、好ましくは、共通の方法について(異なるユーザ間で)ローカルにブラックボックスの復号鍵を解放させることができるものであり、好ましくは、また他のBIOSに関連するパスワードの解放を許可することもできる。CMPログイン機構(205a)との比較として、ユーザパスワードベースのログイン205aは、本質的には完全にローカルまたは「クライアント」レベルで動作するのに対して、CMPログイン205bは、中央または「サーバ」位置と協働してローカルまたは「クライアント」位置で動作するものであると理解されるべきである。
指紋/バイオメトリックのケースと同様に、好ましくはモジュール206(好ましくはBIOS86と関連付けられており、図1参照)は、次いで、ユーザのパスワードまたはCMPをユーザと照合し(一致するユーザがいると仮定して)、ユーザロック解除鍵またはシステムロック解除鍵をそれぞれ解放する。ユーザロック解除鍵またはシステムロック解除鍵は、CMPブラックボックス同期ボールト92bを解除するための「最初のクレデンシャル」を表す(ユーザパスワードの入力とCPMの使用を、共通により大きなCMPモジュールで管理することができ、したがって、同じブラックボックスの同期ボールトを使用することができる程度)。これらの鍵は上述の「ロック解除指紋鍵」と同じであり、同様に機能する。したがって、「ロック解除指紋鍵」に関する先の説明が基本的に、ここでも同様に関連することになる。
指紋同期ボールト92aとともに、好ましくは、CMP同期ボールト92bはまた、復号鍵(モジュール206からのシステムまたはユーザロック解除鍵)を受け付けて、次いで、これらを使用して好適な最終クレデンシャルを所定のユーザに関連して開放するようにするためのルックアップスキームを備えることができる。これにより、(再び)、最終クレデンシャルは、ブラックボックスアーキテクチャに、対象となるユーザのため、復号化できるシステムの領域を通知する役割を果たす。ここでは、次いで、好ましくは同期ボールト92bのルックアップスキームが以下(示されているように)の動作を行うようにする。
−ユーザ1、…Nの「CMPログイン識別子」(すなわち、特定のユーザパスワードまたはユーザの「ユニバーサル」CMPパスワード)を受け付け、
−ブラックボックスアーキテクチャに関連付けられた予め設定されたユーザIDをルックアップし、
−「暗号鍵Blob」を出力する。
ここで、所定のユーザに対する暗号鍵Blobは、ブラックボックスアーキテクチャがその専用のタスクを適切にユーザのために実行するのに十分な「最終クレデンシャル」となる。また、この「最終クレデンシャル」は本質的には、パスワードまたは通常ブラックボックスアーキテクチャが使用する他のユーザ識別子と同等と考えることができる。
本発明の現在の少なくとも1つの好ましい実施形態にしたがって、さらなる説明と解明によって、「ユーザログイン」と「CMPログイン」は本質的に、CMPモジュールが提供することができる2つの異なる方法と考えられる。本質的に、CMPは、サーバレベルでパスワードを生成し、起動前にこれらのパスワードを解除するための異なるログイン方法を提供する総合アーキテクチャと考えることができる。しかしながら、(指紋/バイオメトリックアクセスのように)「ユーザログイン」がローカルレベルで行われる一方、「CMPログイン」は実際にローカルでリモートサーバへログインする。CMPログインは、また、ユーザが、実際にブラックボックスシステムへのアクセスに使用されるクレデンシャルを知ることなくシステムを利用することができるようにする。このことは、必要に応じてそのようなユーザのアクセス権を無効にすることが簡単であり、そして、そのようなユーザは、CMPログインの外側のそのシステムにアクセスする方法を知る状況にはなく、それ故、そのシステムから望ましくないまたは権限が与えられていないユーザを締め出すことが非常に簡単になる。CMP側では、また「スマートカード」のユーザアクセスをサポートすることができ、これにより、スマートカードは、それ自体が「ブラックボックス」クレデンシャルをロック解除する鍵を解放できる、パスワードまたは他の復号化要素を解放するのに使用される。
本発明は、現在の少なくとも1つの好ましい実施形態において、適当なソフトウェアプログラムを実行する少なくとも1つの汎用コンピュータにおいて実現することができる部品を含むことを理解されたい。また、これらは少なくとも1つの集積回路または少なくとも1つの集積回路の一部で実現することができるものである。したがって、本発明はハードウェア、ソフトウェア、またはその組み合わせにおいて実現できることを理解されたい。
本明細書で述べる例外を除いて、本明細書で言及し引用した全ての特許、特許出願、特許公報および他の文献(ウェブ上に公開された文献を含めて)は、完全に本明細書で説明したものとして、参照により全てが本明細書に組み込まれる(援用される)。
本発明の具体的な実施形態を本明細書にて添付の図面を参照して説明してきたが、本発明はこれに限られず、本発明の範囲または精神を逸脱することなく当業者が様々な他の変形や修正を行うことができることを理解されたい。
12 コンピュータシステム
40 リードオンリーメモリ
41 ブートコード
42 システムプロセッサ
44 プロセッサバス
46 システムメモリ
48、60 ホストブリッジ
50 PCIローカルバス
52 ローカルPCIコントローラ
54 メモリバス
56 NVRAM(不揮発性ランダムアクセスメモリ)
62 ISAバス
64 ISAブリッジ
66 ネットワークアダプタ
68 グラフィックアダプタ
69 ディスプレイ
70 入出力(I/O)コントローラ
72 ディスクコントローラ
86 BIOS(ベーシック入出力システム)
86a メモリ
86b ログインマネージャ
86c バイオメトリック入力
92 「ブラックボックス」同期ボールト(”BLACK BOX” SYNC VAULT)
92a 指紋同期ボールト(FINGERPRINT Black Box Sync Vault)
92b CMP同期ボールト(CMP Black Box Sync Vault)
200 ディスクドライブ
202、206 モジュール
205a ユーザパスワード
206b CMP入力

Claims (22)

  1. データ処理システムで実行される方法であって、
    ユーザ入力デバイスが、ユーザベースのアクセスを管理するユーザ記述アーキテクチャによって使用される形式とは異なる形式のユーザ識別入力を受け付けるステップと、
    前記ユーザ識別入力を受け付けると、前記受け付けたユーザ識別入力に対応する最初のクレデンシャルを解放するステップと、
    前記ユーザ記述アーキテクチャから分離して構成されたコンバータが、前記最初のクレデンシャルを、前記ユーザ記述アーキテクチャによって使用される形式と同じ形式の最終クレデンシャルに変換するステップと、
    前記コンバータが、前記最終クレデンシャルを前記ユーザ記述アーキテクチャに提供するステップと、
    を含み、
    前記ユーザ記述アーキテクチャは、前記最終クレデンシャルを受け付けると、前記データ処理システムの少なくとも1つの部分へのアクセスを許可することを特徴とする方法。
  2. 前記解放するステップは、ユーザ固有の復号鍵を解放するステップを含む、請求項1に記載の方法。
  3. 前記変換するステップは、前記最初のクレデンシャルに基づいてルックアップを実行して前記最終クレデンシャルを生成するステップを含む、請求項1又は請求項2に記載の方法。
  4. 前記最終クレデンシャルは、前記ユーザ記述アーキテクチャによって使用される形式と同じ形式のパスワードを含む、請求項1〜請求項3のいずれか1つに記載の方法。
  5. 前記受け付けるステップは、バイオメトリックユーザ識別入力を受け付けるステップを含む、請求項1〜請求項4のいずれか1つに記載の方法。
  6. 前記受け付けるステップは、ユーザの指紋入力を受け付けるステップを含む、請求項5に記載の方法。
  7. 前記受け付けるステップは、リモートログインのための、ユーザのパスワード入力を受け付けるステップを含む、請求項1〜請求項4のいずれか1つに記載の方法。
  8. 前記受け付けるステップは、ローカルパスワード入力を受け付けるステップを含み、前記ローカルパスワード入力はリモートサーバから解放されるユーザ関連のクレデンシャルを含む、請求項7に記載の方法。
  9. 前記ユーザ記述アーキテクチャは、前記最終クレデンシャルを受け付けると、アクセス許可タスクを実行するステップを含む、請求項1〜請求項8のいずれか1つに記載の方法。
  10. 前記ユーザ記述アーキテクチャは、前記最終クレデンシャルを受け付けると、少なくともデータ処理システムの少なくとも一部についてユーザベースの復号化をトリガーするステップを含む、請求項9に記載の方法。
  11. 前記ユーザ記述アーキテクチャは、BIOSレベルでユーザベースのアクセスを管理する、請求項10に記載の方法。
  12. 主メモリと、
    前記主メモリにアクセス可能に構成されており、ユーザ入力デバイスで受け付けたユーザ識別入力を受け付けると、前記ユーザ識別入力に対応する最初のクレデンシャルを解放するBIOSと、
    前記ユーザ識別入力は、ユーザベースのアクセスを管理するユーザ記述アーキテクチャによって使用される形式とは異なる形式であり、
    前記ユーザ記述アーキテクチャから分離して構成されており、前記最初のクレデンシャルを、前記ユーザ記述アーキテクチャによって使用される形式と同じ形式の最終クレデンシャルに変換するコンバータと、
    前記最終クレデンシャルの受け付けると、前記データ処理システムの少なくとも一部についてアクセスを許可する前記ユーザ記述アーキテクチャと、
    を備えたことを特徴とする装置。
  13. 前記BIOSは、ユーザ固有の復号鍵を解放する、請求項12に記載の装置。
  14. 前記コンバータは、前記最初のクレデンシャルに基づいてルックアップを実行して、前記最終クレデンシャルを生成する、請求項12又は請求項13に記載の装置。
  15. 前記最初のクレデンシャルは、前記ユーザ記述アーキテクチャが認識可能なパスワードを含む、請求項12〜請求項14のいずれか1つに記載の装置。
  16. 前記BIOSは、ユーザの指紋に関する入力を受け付ける、請求項12に記載の装置。
  17. 前記BIOSは、ユーザのパスワード入力を受け付ける、請求項12に記載の装置。
  18. 前記BIOSは、ローカルパスワード入力を受け付け、前記ローカルパスワード入力は、リモートサーバから解放されるユーザ関連のパスワードを含む、請求項17に記載の装置。
  19. 前記ユーザ記述アーキテクチャは、前記最終クレデンシャルの受け取ると、アクセス許可タスクを実行する、請求項12〜請求項18のいずれか1つに記載の装置。
  20. 前記ユーザ記述アーキテクチャは、前記最終クレデンシャルを受け付けると、少なくとも前記データ処理システムの一部についてユーザベースの復号化をトリガーするステップを含む、請求項19に記載の装置。
  21. 前記ユーザ記述アーキテクチャは、BIOSレベルでユーザのシステムアクセスを管理する、請求項20に記載の装置。
  22. データ処理システムで実行されるプログラムであって、
    ユーザ入力デバイスが、ユーザベースのアクセスを管理するユーザ記述アーキテクチャによって使用される形式とは異なる形式のユーザ識別入力を受け付けるステップと、
    前記ユーザ識別入力を受け付けると、前記受け付けたユーザ識別入力に対応する最初のクレデンシャルを解放するステップと、
    前記ユーザ記述アーキテクチャから分離して構成されたコンバータが、前記最初のクレデンシャルを、前記ユーザ記述アーキテクチャによって使用される形式と同じ形式の最終クレデンシャルに変換するステップと、
    前記コンバータが、前記最終クレデンシャルを前記ユーザ記述アーキテクチャに提供するステップと、
    をコンピュータに実行させ、
    前記ユーザ記述アーキテクチャは、前記最終クレデンシャルを受け付けると、前記データ処理システムの少なくとも1つの部分へのアクセスを許可することを特徴とするコンピュータが実行可能なプログラム。
JP2009126764A 2008-06-17 2009-05-26 ユーザアクセスマネージャとのインターフェースを行う機構 Expired - Fee Related JP4975779B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/140,784 2008-06-17
US12/140,784 US8132019B2 (en) 2008-06-17 2008-06-17 Arrangements for interfacing with a user access manager

Publications (2)

Publication Number Publication Date
JP2009301543A JP2009301543A (ja) 2009-12-24
JP4975779B2 true JP4975779B2 (ja) 2012-07-11

Family

ID=40834241

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009126764A Expired - Fee Related JP4975779B2 (ja) 2008-06-17 2009-05-26 ユーザアクセスマネージャとのインターフェースを行う機構

Country Status (5)

Country Link
US (1) US8132019B2 (ja)
JP (1) JP4975779B2 (ja)
CN (1) CN101609491B (ja)
DE (1) DE102009025017B4 (ja)
GB (1) GB2460924B (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756667B2 (en) * 2008-12-22 2014-06-17 Lenovo (Singapore) Pte. Ltd. Management of hardware passwords
US8583911B1 (en) 2010-12-29 2013-11-12 Amazon Technologies, Inc. Network application encryption with server-side key management
US9094379B1 (en) 2010-12-29 2015-07-28 Amazon Technologies, Inc. Transparent client-side cryptography for network applications
US8538020B1 (en) * 2010-12-29 2013-09-17 Amazon Technologies, Inc. Hybrid client-server cryptography for network applications
US8918862B2 (en) * 2011-08-31 2014-12-23 International Business Machines Corporation Managing access to storage media
US9563773B2 (en) * 2014-02-26 2017-02-07 Dell Products L.P. Systems and methods for securing BIOS variables
CN105550626B (zh) * 2015-07-08 2019-03-22 宇龙计算机通信科技(深圳)有限公司 一种虹膜识别方法及装置

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07134696A (ja) * 1993-11-10 1995-05-23 Hitachi Ltd 機密保護機能切り替え方式
US6557104B2 (en) * 1997-05-02 2003-04-29 Phoenix Technologies Ltd. Method and apparatus for secure processing of cryptographic keys
US6055592A (en) 1998-02-09 2000-04-25 Motorola, Inc. Smart card authentication system comprising means for converting user identification and digital signature to pointing device position data and vice versa using lut
US6317829B1 (en) * 1998-06-19 2001-11-13 Entrust Technologies Limited Public key cryptography based security system to facilitate secure roaming of users
JP2000047971A (ja) * 1998-07-30 2000-02-18 Mitsubishi Electric Corp ユーザ認証機能付サーバクライアントシステム装置及びユーザ認証方法及びユーザ認証機能付サーバ及びコンピュータ読み取り可能な記録媒体
JP4395263B2 (ja) 1998-10-14 2010-01-06 シーメンス アクチエンゲゼルシヤフト 人物の生物測定学的な識別装置および方法
EP1959369A1 (en) 1999-12-10 2008-08-20 Fujitsu Limited User verification system, and portable electronic device with user verification function utilising biometric information
US7716484B1 (en) * 2000-03-10 2010-05-11 Rsa Security Inc. System and method for increasing the security of encrypted secrets and authentication
US6834112B1 (en) * 2000-04-21 2004-12-21 Intel Corporation Secure distribution of private keys to multiple clients
JP4785283B2 (ja) * 2000-07-31 2011-10-05 キヤノン株式会社 サーバコンピュータ、制御方法及びプログラム
US7117376B2 (en) * 2000-12-28 2006-10-03 Intel Corporation Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations
US20020129285A1 (en) 2001-03-08 2002-09-12 Masateru Kuwata Biometric authenticated VLAN
US6986047B2 (en) * 2001-05-10 2006-01-10 International Business Machines Corporation Method and apparatus for serving content from a semi-trusted server
EP1293857A1 (en) * 2001-09-17 2003-03-19 Caplin Systems Limited Server access control
US8117450B2 (en) * 2001-10-11 2012-02-14 Hewlett-Packard Development Company, L.P. System and method for secure data transmission
WO2003044744A2 (en) 2001-11-23 2003-05-30 Koninklijke Kpn N.V. Security method and system
US20030163575A1 (en) * 2002-02-27 2003-08-28 Perkins Gregory Eugene Resource location and access
AU2002953325A0 (en) * 2002-12-13 2003-01-09 Executive Computing Holdings Pty Ltd Means for providing protection for digital assets
US7562214B2 (en) * 2003-03-31 2009-07-14 International Business Machines Corporation Data processing systems
CN1234081C (zh) * 2003-09-25 2005-12-28 联想(北京)有限公司 利用bios通过身份认证实现安全访问硬盘的方法
US7376968B2 (en) * 2003-11-20 2008-05-20 Microsoft Corporation BIOS integrated encryption
US20060080819A1 (en) * 2004-09-14 2006-04-20 Mcallister Clarke W Systems and methods for deployment and recycling of RFID tags, wireless sensors, and the containers attached thereto
US7711942B2 (en) * 2004-09-23 2010-05-04 Hewlett-Packard Development Company, L.P. Computer security system and method
TWI249314B (en) * 2004-10-15 2006-02-11 Ind Tech Res Inst Biometrics-based cryptographic key generation system and method
US7428642B2 (en) * 2004-10-15 2008-09-23 Hitachi, Ltd. Method and apparatus for data storage
US20070022479A1 (en) * 2005-07-21 2007-01-25 Somsubhra Sikdar Network interface and firewall device
US20060229911A1 (en) * 2005-02-11 2006-10-12 Medcommons, Inc. Personal control of healthcare information and related systems, methods, and devices
US7831833B2 (en) * 2005-04-22 2010-11-09 Citrix Systems, Inc. System and method for key recovery
WO2007006005A2 (en) * 2005-07-06 2007-01-11 Kestrel Wireless Inc. Device and method for authenticating and securing transactions using rf communication
JP4793628B2 (ja) 2005-09-01 2011-10-12 横河電機株式会社 Os起動方法及びこれを用いた装置
US7861078B2 (en) * 2005-10-14 2010-12-28 Juniper Networks, Inc. Password-authenticated asymmetric key exchange
US20070101156A1 (en) * 2005-10-31 2007-05-03 Manuel Novoa Methods and systems for associating an embedded security chip with a computer
US8087075B2 (en) * 2006-02-13 2011-12-27 Quest Software, Inc. Disconnected credential validation using pre-fetched service tickets
US7818255B2 (en) * 2006-06-02 2010-10-19 Microsoft Corporation Logon and machine unlock integration
US7886355B2 (en) * 2006-06-30 2011-02-08 Motorola Mobility, Inc. Subsidy lock enabled handset device with asymmetric verification unlocking control and method thereof
US8190916B1 (en) * 2006-07-27 2012-05-29 Hewlett-Packard Development Company, L.P. Methods and systems for modifying an integrity measurement based on user authentication
US7900252B2 (en) * 2006-08-28 2011-03-01 Lenovo (Singapore) Pte. Ltd. Method and apparatus for managing shared passwords on a multi-user computer
US8065509B2 (en) * 2006-09-26 2011-11-22 Hewlett-Packard Development Company, L.P. Persistent security system and method
US9391997B2 (en) * 2007-08-23 2016-07-12 Intel Deutschland Gmbh Message processing apparatus, wireless device and method of storing a message in a wireless device
US20090080660A1 (en) * 2007-09-20 2009-03-26 Shih Mo Processorless media access control architecture for wireless communication

Also Published As

Publication number Publication date
GB0908612D0 (en) 2009-06-24
GB2460924B (en) 2011-02-02
DE102009025017B4 (de) 2020-02-06
DE102009025017A1 (de) 2009-12-24
CN101609491A (zh) 2009-12-23
US8132019B2 (en) 2012-03-06
CN101609491B (zh) 2013-10-23
US20090313478A1 (en) 2009-12-17
JP2009301543A (ja) 2009-12-24
GB2460924A (en) 2009-12-23

Similar Documents

Publication Publication Date Title
US10164969B2 (en) Computer security system and method
JP4975779B2 (ja) ユーザアクセスマネージャとのインターフェースを行う機構
JP4982825B2 (ja) コンピュータおよび共有パスワードの管理方法
US8756667B2 (en) Management of hardware passwords
US7841000B2 (en) Authentication password storage method and generation method, user authentication method, and computer
US9507964B2 (en) Regulating access using information regarding a host machine of a portable storage drive
US7861015B2 (en) USB apparatus and control method therein
EP2486505B1 (en) Method and apparatus for using cryptographic mechanisms to provide access to a portable device using integrated authentication using another portable device.
US20160191512A1 (en) Predictive user authentication
KR20080101799A (ko) 외부 장치에 보안을 제공하기 위한 시스템과 방법
EP3127275A1 (en) Method and system for secure authentication
JP2008250874A (ja) 情報処理装置および方法、プログラム、並びに情報処理システム
US20080010453A1 (en) Method and apparatus for one time password access to portable credential entry and memory storage devices
US10037418B2 (en) Pre-boot authentication credential sharing system
CN100418033C (zh) 一种底层身份认证的计算机系统和方法
US8667577B2 (en) Remote registration of biometric data into a computer
JP4724107B2 (ja) リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
TWI770411B (zh) 基於臨時密碼之韌體存取權技術
US11575664B2 (en) Information handling systems and methods to manage tickets based on user presence, system state and ticket management policy
JP2008181440A (ja) コンピュータ・システムおよびユーザの認証方法
JP6069289B2 (ja) 管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム
JP2007058340A (ja) 認証システム及び認証方法並びにプログラム
KR200433767Y1 (ko) 전자장치

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110920

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120410

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120411

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees