JP5191043B2 - プログラムの不正起動防止システム及び方法 - Google Patents
プログラムの不正起動防止システム及び方法 Download PDFInfo
- Publication number
- JP5191043B2 JP5191043B2 JP2008110270A JP2008110270A JP5191043B2 JP 5191043 B2 JP5191043 B2 JP 5191043B2 JP 2008110270 A JP2008110270 A JP 2008110270A JP 2008110270 A JP2008110270 A JP 2008110270A JP 5191043 B2 JP5191043 B2 JP 5191043B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- tpm
- log
- signature
- auxiliary device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
Dig−Forceは、PC操作に関する情報をログデータとして確実に収集する機能と、操作者が行うログデータの改竄であっても検知する機能を有する。
Dig−Forceは、図7に示すように、セキュリティデバイス1、ロガープログラム2、ログストレージプログラム3の3つのサブシステムから構成されている。セキュリティデバイス1は耐タンパ領域1Aを持ち、そこに、署名用の秘密鍵、そして最終署名履歴である連鎖用データを保存し、改竄を防止する。このために、後述するヒステリシス署名の署名演算を行う。ロガープログラム2は操作者の証拠となる操作情報をデジタルデータ化し、それをログデータとしてログストレージプログラムに転送する。セキュリティデバイス1と連携しPCロック機能を持つ。すなわち、セキュリティデバイス1の装着時のみPCが動作可能となっている。ログストレージプログラム3は、蓄積されたログデータにセキュリティデバイス1と通信してヒステリシス署名を行い、ログファイル4に書き込む。
Dig−Forceの処理フローには、導入フェーズ、運用フェーズ、検証フェーズの3つのフェーズが存在する。ここには、システムに関わる登場人物として初期設定を行う管理者、PCの操作者、PCに蓄積されたログの検証を行う検証者の3者が存在する。
ヒステリシス署名は、非特許文献3に記載されているように、通常の電子署名に直前の署名データを引き継いで署名を行う、署名間に連鎖構造を持たせた電子署名である。このようなヒステリシス署名を用いることにより、署名履歴に依存関係が存在することになる。そこで、データを改竄するためにはそれに対応する署名だけでなく前後にある全ての署名データを改竄する必要があるが、そのような改竄は困難であり、そのため安全性が高い。
Dig−Forceが目的とする機能を実現し、安全を確保するための前提条件は以下の通りである。
本実施の形態のプログラムの不正起動防止システムは、改竄が困難な、より信頼性のある監視プログラムにてプログラム起動を監視し、正しいプログラムのみを起動させるシステムである。ここで信頼性のある監視プログラムは、技術的に改竄が困難であり、かつ、他のプログラムよりも先に起動するプログラムである必要がある。そして、正しいプログラムのみが起動できる環境を構築するためには、この信頼性のある監視プログラムが、他のプログラムの起動を制御する必要がある。
信頼性のある監視プログラムは、PCのオペレーションシステム(OS)であるMicrosoft Windows(登録商標) XP(商品名)の環境下で実現している。図8に示すように、Microsoft Windows(登録商標) XPでは、ハードウェアからアプリケーションまで複数の階層が存在している。信頼性のある監視プログラムの実現方式として以下の3つがある。尚、同社のWindows(登録商標) Vista (商品名)でも同様である。
TPMはソフトウェアからの不正が困難な耐タンパの記憶領域をハードウェア上に持つことができるICチップである。PCではマザーボード上に搭載されている。これは、TCG(Trusted Computing Group)が技術仕様の策定を行っており、RSA鍵の生成・保管、RSA演算、ハッシュ演算、プラットフォーム状態情報(ソフトウェアの計測値)の保持、不揮発性メモリ(NVメモリ)及び揮発性メモリなどの機能が搭載されている。
本実施の形態のプログラムの不正起動防止システムであるDig−Force2のシステム構成について説明する。本実施の形態のシステムでは、セキュリティデバイスにTPM14を用いている。このTPM14を用いたDig−Force2のシステム10は、図1に示すように、5つの構成要素を備えている。すなわち、ロガープログラムを実行するロガープログラム実行部11、ログストレージプログラムを実行するログストレージプログラム実行部12、補助デバイス13、セキュリティデバイスとしてのTPM14、そして監視プログラムとしてAIPHookプログラムを実行する監視プログラム実行部15を備えている。尚、これらはPC17上でソフトウェアの制御の下で実行されるものであるが、ここでは各プログラムによる処理ごとに実行部として示している。
本実施の形態のプログラムの不正起動防止システムであるDig−Force2システムは、下記の条件下で動作させるものとする。
Dig−Force2の処理フローは、導入フェーズPH11、運用フェーズPH12、検証フェーズPH13に分かれる。それらの処理を順に説明を行う。
監視プログラムに用いているAPIHookプログラムで他のプログラムの起動を制御する機能について実験を行った。APIHookプログラムは、オリジナルのAPIを、新たに作成した別のAPIに置き換える技術である。この技術を応用し、オリジナルAPIの処理を変更することで、プログラムの動作を変更させることができる(非特許文献6)。
TPMを用いる方式の有用性を確認するために、a)TPMの署名演算パフォーマンス、b)TPMのNV利用について、実験を行った。
11 ロガープログラム実行部
12 ログストレージプログラム実行部
13 補助デバイス
14 TPM
15 監視プログラム実行部
16 ログファイル
17 パーソナルコンピュータ(PC)
Claims (5)
- 耐タンパ不揮発性記憶領域(NV領域)を持つセキュリティチップであるTPMと、
ログファイルを保存するログファイル登録部と、
操作者の証拠となる操作情報をデジタルデータ化してログデータを作成するロガープログラムを実行するロガープログラム実行部と、
前記ロガープログラム実行部の作成したログデータに時刻情報を付加しフォーマット化し、該フォーマット化したログデータに対して前記TPMと連携してヒステリシス署名を施した上で前記ログファイル登録部にログファイルとして保存し、かつ、書き込み、最終署名履歴となる連鎖用データのみ前記TPMのNV領域に保存するログストレージプログラムを実行するログストレージプログラム実行部と、
実行を許容するプログラム群の各々のプログラムのリストであるホワイトリストと前記各々のプログラムの電子署名であるハッシュ値を保持し、かつ個人特定用のIDならびにその個人特定用のIDの電子署名を保持する補助デバイスと、
(i)APIHookのようなアプリケーションとOSとの間の通信に割り込むフッキングプログラムを当該システムの起動時に起動し、(ii)前記補助デバイスから前記個人特定用のIDとその電子署名を読み込み、その電子署名を検証し、(iii)前記フッキングプログラムにより、当該システム内の他のプログラムが起動する前に当該他のプログラムのハッシュ値を計算し、前記ホワイトリストの電子署名と比較して一致していた場合にのみ当該他のプログラムを起動し、(iv)前記補助デバイスの装着時で、かつ、当該補助デバイス内の個人特定用のIDの電子署名の検証に成功したときにのみ操作者に当該システムの操作を可能にする監視プログラム実行部とを備えたことを特徴とするプログラムの不正起動防止システム。 - 前記監視プログラム実行部は、前記フッキングプログラムにより、ヒューマンマシンインタフェースのプロセスを終了させる操作を制限することを特徴とする請求項1に記載のプログラムの不正起動防止システム。
- 前記監視プログラム実行部は、前記フッキングプログラムにより、前記ロガープログラムとログストレージプログラムのプロセスを監視し、不正に終了された場合には再度これらのロガープログラムとログストレージプログラムを起動することを特徴とする請求項1又は2に記載のプログラムの不正起動防止システム。
- 前記フォーマット化したログデータにヒステリシス署名を施す際に、前記TPMのNV領域に保存されている暗号鍵を用いて当該TPMの内部で署名演算を行い、当該TPMのNV領域に連鎖用データを格納することを特徴とする請求項1〜3のいずれかに記載のプログラムの不正起動防止システム。
- (1)コンピュータのOSが起動した直後に監視プログラムを起動し、
(2)前記監視プログラムにて、補助デバイスの装着を監視し、補助デバイスが装着されていない場合は当該コンピュータをロックし、前記補助デバイスが装着されている場合には、前記補助デバイスから個人特定用のIDとそのIDの電子署名を読み込み、検証を行い、当該検証が成功した場合にのみコンピュータの動作を許容し、
(3)前記監視プログラムにて、当該コンピュータに装着された前記補助デバイスからホワイトリスト及びホワイトリストの電子署名を読み込み、当該監視プログラムにセットされた公開鍵でホワイトリストの電子署名の検証を行い、
(4)前記監視プログラムにて、ロガープログラムとログストレージプログラムとのハッシュ値を計算し、前記補助デバイスに登録されているホワイトリストと比較して一致した場合には前記ロガープログラムとログストレージプログラムの起動を許容し、前記ホワイトリストと比較して一致しない場合には前記ロガープログラムとログストレージプログラムの起動を停止することを特徴とするプログラムの不正起動防止方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008110270A JP5191043B2 (ja) | 2008-04-21 | 2008-04-21 | プログラムの不正起動防止システム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008110270A JP5191043B2 (ja) | 2008-04-21 | 2008-04-21 | プログラムの不正起動防止システム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009259160A JP2009259160A (ja) | 2009-11-05 |
JP5191043B2 true JP5191043B2 (ja) | 2013-04-24 |
Family
ID=41386478
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008110270A Expired - Fee Related JP5191043B2 (ja) | 2008-04-21 | 2008-04-21 | プログラムの不正起動防止システム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5191043B2 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5455029B2 (ja) * | 2009-11-24 | 2014-03-26 | 沖電気工業株式会社 | 自動取引装置およびそれを用いた自動取引システム |
US8925101B2 (en) * | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
JP5572573B2 (ja) * | 2011-03-07 | 2014-08-13 | Kddi株式会社 | 携帯端末、プログラム、および通信システム |
JP5630910B2 (ja) * | 2011-09-30 | 2014-11-26 | 株式会社野村総合研究所 | モバイル端末のプログラム起動保全システム |
US9767280B2 (en) | 2012-10-09 | 2017-09-19 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
JP6165469B2 (ja) * | 2013-03-01 | 2017-07-19 | キヤノン電子株式会社 | 情報処理装置およびその制御方法、並びに、情報処理システム |
US10241847B2 (en) * | 2016-07-19 | 2019-03-26 | 2236008 Ontario Inc. | Anomaly detection using sequences of system calls |
CN108337228B (zh) | 2017-01-13 | 2020-11-10 | 株式会社自动网络技术研究所 | 车载装置、中继装置以及介质 |
JP6728113B2 (ja) * | 2017-08-22 | 2020-07-22 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
JP6829168B2 (ja) | 2017-09-04 | 2021-02-10 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
JP6914899B2 (ja) | 2018-09-18 | 2021-08-04 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
JP7321795B2 (ja) * | 2019-06-27 | 2023-08-07 | キヤノン株式会社 | 情報処理装置、情報処理方法およびプログラム |
JP7289739B2 (ja) * | 2019-06-27 | 2023-06-12 | キヤノン株式会社 | 情報処理装置、情報処理方法およびプログラム |
JP7074805B2 (ja) * | 2020-07-01 | 2022-05-24 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
-
2008
- 2008-04-21 JP JP2008110270A patent/JP5191043B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009259160A (ja) | 2009-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5191043B2 (ja) | プログラムの不正起動防止システム及び方法 | |
US11176255B2 (en) | Securely booting a service processor and monitoring service processor integrity | |
US11503030B2 (en) | Service processor and system with secure booting and monitoring of service processor integrity | |
KR101158184B1 (ko) | 클라이언트 플랫폼들 상의 콘텐츠 보호 | |
US8122256B2 (en) | Secure bytecode instrumentation facility | |
EP2583410B1 (en) | Single-use authentication methods for accessing encrypted data | |
Parno et al. | Bootstrapping trust in commodity computers | |
US8549313B2 (en) | Method and system for integrated securing and managing of virtual machines and virtual appliances | |
US20050060568A1 (en) | Controlling access to data | |
GB2404536A (en) | Protection of data using software wrappers | |
TW201500960A (zh) | 在配有適用統一可延伸韌體介面(uefi)之韌體之計算裝置中的安全性變數變化檢測技術 | |
JP2003345654A (ja) | データ保護システム | |
US20080178257A1 (en) | Method for integrity metrics management | |
CN114651253A (zh) | 用于策略强制实施的虚拟环境类型验证 | |
JP2022553061A (ja) | ランサムウェア防止 | |
JP2013164732A (ja) | 情報処理装置 | |
Frazelle | Securing the Boot Process: The hardware root of trust | |
Frazelle | Securing the boot process | |
Safford et al. | A trusted linux client (tlc) | |
EP3812939B1 (en) | Information processing device, verification method and verification program | |
Safford et al. | Trusted computing and open source | |
Dasgupta et al. | Techniques for validation and controlled execution of processes, codes and data: A survey | |
Fujita et al. | Using boot control to preserve the integrity of evidence | |
Dasgupta et al. | TECHNIQUES FOR VALIDATION AND CONTROLLED EXECUTION OF PROCESSES, CODES AND DATA | |
Ashino et al. | Implementing Boot Control for Windows Vista |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110418 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120919 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120925 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121122 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20121127 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20121127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130115 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130128 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5191043 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160208 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |