JP5582909B2 - プラットフォーム完全性検証システム - Google Patents

プラットフォーム完全性検証システム Download PDF

Info

Publication number
JP5582909B2
JP5582909B2 JP2010170473A JP2010170473A JP5582909B2 JP 5582909 B2 JP5582909 B2 JP 5582909B2 JP 2010170473 A JP2010170473 A JP 2010170473A JP 2010170473 A JP2010170473 A JP 2010170473A JP 5582909 B2 JP5582909 B2 JP 5582909B2
Authority
JP
Japan
Prior art keywords
integrity verification
information processing
processing apparatus
measurement
platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010170473A
Other languages
English (en)
Other versions
JP2012032925A (ja
Inventor
康治 菅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2010170473A priority Critical patent/JP5582909B2/ja
Priority to PCT/JP2011/067720 priority patent/WO2012015064A1/en
Priority to US13/810,067 priority patent/US9361449B2/en
Publication of JP2012032925A publication Critical patent/JP2012032925A/ja
Application granted granted Critical
Publication of JP5582909B2 publication Critical patent/JP5582909B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Description

本発明は、システムのプラットフォームを構成する構成要素が改竄されていない信頼できるものであることを確認するためのプラットフォーム完全性検証システムに関する。
近年、コンピュータが社会に浸透し、コンピュータのセキュリティ対策が重要視されている。例えば、コンピュータのセキュリティ対策には、対タンパ性をもつセキュリティチップによりソフトウェアからの不正を防止することで、プラットフォームの安全性を確保する手法がある。
この対タンパ性をもつセキュリティチップによって可能となる技術には、トラステッドブート(Trusted Boot)がある。このトラステッドブートとは、セキュリティチップがソフトウェアからの不正ができないハードウェアであることを利用し、機器のブート時にプラットフォーム構成要素の完全性を検証する技術である。このトラステッドブートの技術を利用した場合には、プラットフォームの改竄を発見することが可能となる。
このトラステッドブートでは、ブートシーケンス中にロードされるコンポーネントを順次計測し、計測値をセキュリティチップ内のレジスタに記録していく。この動作は、CRTM(Core Root of Trust for Measurement)と呼ばれる書き換え不可能な領域(通常はBIOS Boot Blockがこれにあたる)を信頼の起点として開始される。
このトラステッドブートでは、計測処理(取得処理)後、セキュリティチップ内のレジスタに記録された計測値を予め用意しておいた計測値として期待される値と比較する。
このトラステッドブートでは、上述の処理によりBIOS,Boot Loader,OS,アプリケーション等の各種ソースコードや必要なライブラリの完全性を検証することが可能となる。
従来、トラステッドブートの技術では、PCRに計測値を記録する際にランダム値を利用することで、攻撃者が、プラットフォームの攻撃を行うための情報を取得し難くしたものが提案されている(例えば、特許文献1参照)。
特開2005−301550号公報
従来のトラステッドブートにおける完全性検証のための計測は、システムの起動時に実行されていた。
しかし、起動時に多くのアプリケーションが呼び出される機器では、トラステッドブートによる完全性検証のたに多くの回数の計測を実行すると、システムの起動時間が遅延するという問題がある。
本発明の目的は、システムの起動時間の遅延を引き起こすことなく、トラステッドブートによりプラットフォームの完全性検証を行えるようにしたプラットフォーム完全性検証システムを提供することを目的とする。
上記目的を達成するため、本発明にかかるプラットフォーム完全性検証システムは、互いに通信可能な情報処理装置と完全性検証コンピュータとを有するプラットフォーム完全性検証システムにおいて、前記情報処理装置は、前記情報処理装置がシャットダウンする際に、前記情報処理装置が実行する複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段とを有し、前記完全性検証コンピュータは、前記記憶装置に記憶されている前記一意な値を前記情報処理装置との通信により取得して、予め保持する所定の値とプログラムごとに比較する比較手段とを有することを特徴とする。
また、本発明にかかる情報処理装置は、複数のプログラムを実行することが可能な情報処理装置であって、前記情報処理装置がシャットダウンする際に、前記複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段と、前記情報処理装置が起動する際に前記記憶手段に記憶された前記一意な値が正当な値であるか否かを判定する判定手段と、前記判定手段が正当な値でないと判定した場合、前記情報処理装置を起動しないように制御する制御手段と、を有することを特徴とする。
本発明のプラットフォーム完全性検証システム、または情報処理装置では、装置をシャットダウンする際にプログラムの一意な値を取得する。これにより、起動時間の遅延を引き起こすことなくプラットフォームの完全性検証を行うことができるという効果がある。
本発明の実施の形態に係わるプラットフォーム完全性検証システムの概略構成図である。 本発明の実施の形態に係わるプラットフォーム計測装置のシャットダウンに関する手順を示すフローチャートである。 本発明の実施の形態に係わる外部コンピュータによるプラットフォーム計測装置の完全性検証に関する手順を示すフローチャートである。 本発明の実施の形態に係わるプラットフォーム計測装置の計測結果のログの一例を示す説明図である。 本発明の実施の形態に係わるプラットフォーム計測装置による計測実行のスキップの手順を示すフローチャートである。
以下、本発明のプラットフォーム完全性検証システムに係わる実施の形態について図面を参照しながら説明する。
本実施の形態のシステム構成図である図1で、1はプラットフォーム計測装置、2はプラットフォーム計測装置1とネットワークで通信可能に接続されている完全性検証コンピュータ2である。
このプラットフォーム計測装置1は、情報処理装置の一部として構成されている。情報処理装置としては、例えば複写機などの画像処理装置や、パーソナルコンピュータなどの装置でもよい。また、完全性検証コンピュータ2は、例えばパーソナルコンピュータ等で構成されている。なお、プラットフォーム計測装置1と完全性検証コンピュータ2とは、ネットワーク以外のインターフェース(たとえば、USBなど)で接続されていてもよい。
これらのプラットフォーム計測装置1及び完全性検証コンピュータ2は、それぞれMFP(Multi Function Printer)、PC(Personal Computer)等を利用できる。なお、本発明のプラットフォーム完全性検証システムは、これらの装置に限定されるものではない。
このプラットフォーム計測装置1は、ユーザインターフェース3、ハードディスク4、AMT対応チップセット5、装置全体を制御するCPU6、メインメモリ7、フラッシュメモリ8、NIC9等のハードウェアを備える。なお、NIC9は、Network Interface Cardである。
このプラットフォーム計測装置1は、装置のシャットダウンシーケンスのたとえば最後のタイミングにおいて、各々のプラットフォーム構成要素に対して衝突を起こすことがない一意な値を計算して得られる各計測値を求める。さらに、このプラットフォーム計測装置1は、このようにして求めた各計測値を不揮発性計測値領域に記録する。プラットフォーム計測装置1は、計測対象を計測後、計測済リスト(取得済みリスト)に記録する機能と、現在の計測対象が既に計測済みであるかを計測済リスト(取得済みリスト)から判定する機能とを備える。
このように動作する計測手段として構成されたプラットフォーム計測装置1は、完全性検証コンピュータ2とネットワークで接続される。この完全性検証コンピュータ2は、AMT管理アプリケーション20、完全性計測アプリケーション19及び完全性検証リスト18を備える。ここでAMT管理アプリケーション20と完全性計測アプリケーション19は、ソフトウェアで構成されている。完全性検証リスト18は、データで構成されている。
なお、AMT(アクティブ・マネジメント・テクノロジー)は、Intel(登録商標)によって開発されたセキュリティ機能の名称であり、AMT対応のチップセットによって実現される。
専用のAMT管理アプリケーションを利用した場合には、外部のコンピュータからネットワークを介して、AMT機能を搭載したコンピュータ上の不揮発性領域に記憶されている情報の取得が可能となる。この情報の取得動作は、AMT機能搭載コンピュータの電源状態に関わらず行うことが可能である。この専用のAMT管理アプリケーションは、不揮発性計測値領域に記憶されている計測値を、ネットワークを介して取得する不揮発性領域計測値取得手段を構成する。この不揮発性領域計測値取得手段は、完全性検証コンピュータ2が、安全性を確保されている通信経路によって不揮発性計測値記憶領域に記録された計測値を取得可能に構成されている。
プラットフォーム計測装置1のハードディスク4には、OS10、各種アプリケーション11、計測アプリケーション12、計測対象リスト(取得対象リスト)13及び計測済リスト(取得済みリスト)14等が保存されている。
ここで、OS10、各種アプリケーション11及び計測アプリケーション12は、ソフトウェアで構成されている。計測対象リスト(取得対象リスト)13及び計測済リスト(取得済みリスト)14は、データで構成されている。
プラットフォーム計測装置1に設けられたフラッシュメモリ8には、AMT用不揮発性領域15及びBIOS16、Boot Loader17等が保存されている。ここで、AMT用不揮発性領域15は、ハードウェアで構成され、不揮発性計測値記憶領域として構成されている。BIOS16及びBoot Loader17は、ソフトウェアで構成されている。
このプラットフォーム計測装置1に設けられたユーザインターフェース3は、タッチパネル等で構成され、ユーザからの機器の電源ON/OFFやその他、機器の提供するサービスの利用等の要求を受け付ける画面を表示する。
また完全性検証コンピュータ2には、予め完全性検証リスト18が保存されている。この完全性検証リスト18は、プラットフォーム計測装置1内で計測対象となっているBIOS16,Boot Loader17,OS10,各種アプリケーション11などに対する正規の計測結果のリストである。
この完全性検証コンピュータ2では、BIOS16、Boot Loader17、OS10、計測対象リスト13によって指定される各種アプリケーション11(これらを総称してプログラムと称する)の完全性が検証される。すなわち、これらプログラムの各々が改ざんされていないかが検証される。また、本実施形態においてで計測とは、計測対象に対して例えばSHA−1などの所定のハッシュ関数によってハッシュ値を求めることを意味するものとする。
次に、このプラットフォーム完全性検証システムを利用したプラットフォーム計測装置1がシャットダウンされるときのシャットダウン処理の手順について、図2を参照して説明する。
このシャットダウン処理は、ユーザによってユーザインターフェース3から、プラットフォーム計測装置1に対してシャットダウン要求が出されるまで待機する(ステップS1でNO)。
そして、ユーザがシャットダウン要求の指示を入力すると(ステップS1でYES)、CPU6は、通常のシャットダウンシーケンスを開始する。
このプラットフォーム計測装置1では、各種アプリケーション11に含まれる電源の管理アプリケーションが、シャットダウン実行直前までの通常のシャットダウンシーケンスを実行する(ステップS2)。
ここで、通常のシャットダウンシーケンスとは、プラットフォーム計測装置1が自身の電源を切るために必要な一連の処理である。
また、プラットフォーム計測装置1は、シャットダウン要求を、ローカルユーザインターフェースに限らず、リモートユーザインターフェースをユーザが利用して行えるように構成してもよい。ここで、ローカルユーザインターフェースとは、プラットフォーム計測装置1に組み込まれたユーザインターフェースを意味するものとする。また、リモートユーザインターフェースとは、外部PC等から、ネットワークを介してプラットフォーム計測装置1の操作が可能となるインターフェースであり専用のソフトウェア等によって提供されるものを意味するものとする。
次に、計測アプリケーション12は、シャットダウンシーケンスの最後のタイミングにおいて、BIOS16の計測を実行し(ステップS3)、得られたハッシュ値をAMT用不揮発性領域15に記録する(ステップS4)。ここで、シャットダウンシーケンスの最後のタイミングとは、例えば、プラットフォーム計測装置1のシャットダウンのために必要な処理が完了し、電源を切ってもよい状態を意味する。
次に、計測アプリケーション12は、Boot Loader17についての計測を実行し(ステップS5)、計測によって取得したハッシュ値をAMT用不揮発性領域15に記録する(ステップS6)。
次に、計測アプリケーション12は、上述と同様にしてOS10に対しても計測を実行し(ステップS7)、取得したハッシュ値をAMT用不揮発性領域15に記録する(ステップS8)。
次に、計測アプリケーション12は、ハードディスク4内に保存されている計測対象リスト13に記載されている各種アプリケーション11に対しても同様にして順次計測を実行する(ステップS9)。
次に、計測アプリケーション12は、ステップS9で計測し、取得したハッシュ値を、順次AMT用不揮発性領域15に記録する(ステップS10)。このようにして計測アプリケーション12は、計測対象リスト13に記載されている全ての計測対象に対する計測、記録を終える。
次に、計測アプリケーション12は、この計測及び記録処理の終了後に、完全性検証コンピュータ2に対して、プラットフォーム計測装置1がシャットダウンを実行することを通知する(ステップS11)。
次に、計測アプリケーション12は、シャットダウンを実行し(ステップS12)、このシャットダウン処理を終了する。このようにプラットフォーム計測装置1では、シャットダウン処理の中で計測を行う。これにより、装置の起動時に計測を行う必要がなくなるのでプラットフォーム計測装置1の起動時間への影響を与えることなく計測を行うことが可能となる。
完全性検証コンピュータ2は、シャットダウン通知手段としてのプラットフォーム計測装置1による通知を受信後、所定の時間に、あるいは所定の時間経過後に不揮発性計測値記憶領域へアクセスし、完全性検証処理を実行する。
次に、プラットフォーム計測装置1とネットワークで繋がっている外部の完全性検証コンピュータ2によるプラットフォーム計測装置1の完全性検証処理について図3を参照して説明する。
完全性検証コンピュータ2は、プラットフォーム計測装置1からシャットダウン通知を受信した後、所定の時間に、あるいは所定の時間経過後に完全性検証処理を開始する。そして、完全性検証コンピュータ2は、NIC9を通してシャットダウン済プラットフォーム計測装置1内のAMT用不揮発性領域15から、記録済のハッシュ値を取得する(ステップS13)。なお、この記録済のハッシュ値は、図2で説明したステップS4,ステップS6,ステップS8及びステップS10において記録されたものである。
次に、完全性検証コンピュータ内で完全性計測アプリケーション19は、予め保存してある完全性検証リスト18と、取得したハッシュ値とを順次比較して完全性の検証を行う(ステップS14)。完全性検証リスト18は、プラットフォーム計測装置1のBIOS16、Boot Loader17、OS10、各種アプリケーション11のそれぞれについての正しいハッシュ値があらかじめ記憶されている。完全性検証リスト18に記憶されているハッシュ値と、図2のフローチャートで計測した各ハッシュ値との値が一致すれば、プログラムは改ざんされていないということになる。また、一致しない場合は、プログラムのコードが改ざんされている、あるいは破損しているということになる。 すなわち、完全性計測アプリケーション19は、各プラットフォーム構成要素の計測値と、完全性検証コンピュータ内に予め保持されている所定の計測値とを構成要素ごとに比較する計測値外部比較手段を構成する。
完全性計測アプリケーション19は、比較結果が不一致のハッシュ値があった場合(ステップS15でYES)にハッシュ値が不一致の計測対象プログラムを不一致情報として、管理者に通知する(ステップS16)。このとき、完全性計測アプリケーション19は、予め完全性検証コンピュータに設定されたメール等の所定の方法で管理者に通知し、この完全性検証処理を終了する。
なお、完全性計測アプリケーション19は、管理者のコンピュータ等へ通知する代わりにログとして完全性検証コンピュータ2内に保存してもよいし、管理者への通知とログとしての記録の両方を実行してもよい。このログは、図4に例示するものが考えられる。この図4で正解値とは、完全性検証リスト内に保存されている各計測対象に対して期待されるハッシュ値である。
また、計測値外部比較手段としての完全性計測アプリケーション19は、完全性検証のための計測値の比較がなされた結果を管理者等の所定のコンピュータに通知する機能を備えるように構成しても良い。
さらに、計測値外部比較手段としての完全性計測アプリケーション19は、報告先コンピュータが設定されていない場合に、システム起動時に報告先コンピュータの設定をユーザに対して促すように構成しても良い。
完全性計測アプリケーション19は、検証の結果不一致のハッシュ値があった場合(ステップS15でYES)にハッシュ値が不一致の計測対象プログラムがあったことをAMT用不揮発性領域15に書き込むようにしてもよい。プラットフォーム計測装置1が次回に起動する際にまずAMT用不揮発性領域15を参照してハッシュ値が不一致の計測対象プログラムがあるということが書き込まれていることを検知した場合には、起動を中断するようにしてもよい。これにより、プログラムが改ざんされたままの装置を起動することを防止することができる。
また、図3のフローチャートに相当する処理をプラットフォーム計測装置1が実行するようにしてもよい。この場合、プラットフォーム計測装置1が各プログラムについての正当なハッシュ値をあらかじめ記憶しておく。ハッシュ値は、改ざんされないように記憶しておくことが好ましい。たとえば、不図示のROMに記憶しておいてもよいし、AMT対応チップセット5内に保持しておいてもよい。プラットフォーム計測装置1の起動時に、AMT用不揮発性領域15に記憶されたハッシュ値と、あらかじめ記憶された正当なハッシュ値との比較を行い、それらが一致したならばプラットフォーム計測装置1の起動を許可する。一致しないハッシュ値がある場合には、プラットフォーム計測装置1を起動しないようにする。このようにすることで、完全性検証コンピュータ2を設けなくてもプログラムの完全性の検証を行うことが可能になる。
計測アプリケーション12による計測は、前述した図2のステップ(S3,S5,S7,S9)において、計測対象の実行ファイルだけでなく、実行ファイルから利用されるライブラリも計測対象としてもよい。例えば、APL1.exe, APL2.exeという計測対象があり、common_lib.aというライブラリをこれら両方で利用していた場合には、common_lib.aが2回計測されることになる。
また、計測順番は、例えばAPL1.exe, common_lib.a, APL2.exe, common_lib.aとなる。この場合には、ライブラリが計測対象であったとしても、一度計測されていれば計測の実行をスキップしてもよい。これにより、計測に関するパフォーマンスを向上できる。
また、完全性計測アプリケーション19は、検証の結果、全ての計測対象のハッシュ値が一致した場合(ステップS15でNO)に、この完全性検証処理を終了する。
次に、図2に示したステップS3,ステップS5、ステップS7及びステップS9に係わる計測処理(取得処理)の手順について図5のフローチャートを参照して説明する。
この計測処理(取得処理)が開始されると、計測アプリケーション12は、計測対象ファイル(プログラム)の有無を確認する(ステップS51)。そして、計測アプリケーション12は、計測対象ファイルが有ると判定した場合(ステップS51でYES)に、その計測対象がライブラリであるかを確認する(ステップS52)。
計測アプリケーション12は、計測対象がライブラリでないと判定した場合(ステップS52でNO)、つまり実行ファイルである場合に、実行ファイルを計測し、その結果をAMT用記憶領域15に記録する(ステップS53)。
次に、計測アプリケーション12は、計測対象がライブラリであると判定した場合(ステップS52でYES)に、計測済リスト14から対象の計測対象ライブラリを検索する(ステップS54)。さらに、計測アプリケーション12は、計測済リスト内の記述の有無を確認する(ステップS55)。
次に、計測アプリケーション12は、検索の結果、計測済リスト14内に現在の計測対象となるライブラリがないと判定した場合(ステップS55でNO)に、ステップS56へ進む。そして、計測アプリケーション12は、計測対象ライブラリを計測し、その結果をAMT用記憶領域15に記録する(ステップS56)。
次に、計測アプリケーション12は、計測済リスト14に計測したライブラリを追加する(ステップS57)。
また、計測アプリケーション12は、検索の結果、計測済リスト14内に現在の計測対象となるライブラリがあると判定した場合(ステップS55でYES)に、ステップS51へ戻る。
ここで、前述したステップS53の処理を完了した場合及びステップS57の処理を完了した場合も、ステップS51へ戻る。
次に、計測アプリケーション12は、次の計測対象ファイルの有無を確認し、計測対象ファイルが無いと判定した場合(ステップS51でNO)に、この計測処理を終了する。
計測アプリケーション12は、この計測処理の手順に従って計測を実行することにより、プラットフォームの完全性検証に関するパフォーマンスを向上することができる。
また、通常のTPMを利用したトラステッドブートにおいても、上述の手順に従うことにより、起動時間に関するパフォーマンスを向上できる。
以上、本実施形態によれば、装置のシャットダウン時に装置内のプログラムの完全性を検証するための計測を行う。これにより、装置の起動時に計測を行わずに済むので装置の起動にかかる時間が長くなることを防止することができる。
また、計測対象にライブラリが含まれている場合、同じライブラリを複数回計測しないようにすることで計測にかかる時間を短縮することが可能になる。
また、本発明は、以下の処理を実行することによっても実現される。
即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給する。そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。この場合、そのプログラム、及び該プログラムを記憶した記憶媒体は本発明を構成することになる。
1 プラットフォーム計測装置
2 完全性検証コンピュータ
6 CPU

Claims (10)

  1. 互いに通信可能な情報処理装置と完全性検証コンピュータとを有するプラットフォーム完全性検証システムにおいて、
    前記情報処理装置は、
    前記情報処理装置がシャットダウンする際に、前記情報処理装置が実行する複数のプログラムのそれぞれから一意な値を取得する取得手段と、
    前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段とを有し、
    前記完全性検証コンピュータは、
    前記記憶装置に記憶されている前記一意な値を前記情報処理装置との通信により取得して、予め保持する所定の値とプログラムごとに比較する比較手段とを有する、
    ことを特徴とするプラットフォーム完全性検証システム。
  2. 前記比較手段は、前記完全性検証コンピュータが安全性が確保された通信経路によって前記記憶装置に記録された計測値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
  3. 前記情報処理装置は、前記取得手段による取得の対象となるプログラムを予め、少なくとも1つは記録した取得対象リストを有し、
    前記取得手段は前記取得対象リストに記録されたプログラムについて一意な値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
  4. 前記情報処理装置は、前記取得手段による取得処理の終了後に、前記完全性検証コンピュータに前記情報処理装置がシャットダウンすることを通知することを特徴とする請求項1乃至請求項3のいずれか1項に記載のプラットフォーム完全性検証システム。
  5. 前記完全性検証コンピュータは、前記比較手段による比較結果を所定のコンピュータに通知する通知手段を有することを特徴とする、請求項1乃至請求項4のいずれか1項に記載のプラットフォーム完全性検証システム。
  6. 前記記憶装置は、前記情報処理装置がシャットダウンした状態においても前記完全性検証コンピュータからのアクセスにより情報を読み出すことが可能であり、
    前記完全性検証コンピュータは、前記情報処理装置からのシャットダウンの通知を受信した後に、前記記憶装置へアクセスすることを特徴とする請求項4に記載のプラットフォーム完全性検証システム。
  7. 前記比較手段による比較の結果、前記記憶装置から取得した値と前記完全性検証コンピュータがあらかじめ保持する値とが一致しなかった場合、前記完全性検証コンピュータは、一致しなかったことを示す不一致情報を前記記憶装置に書き込み、
    前記情報処理装置は、前記記憶装置に前記不一致情報が記憶されていることを検知した場合、前記情報処理装置の起動を行わないようにすることを特徴とする、請求項6に記載のプラットフォーム完全性検証システム。
  8. 前記取得手段は、一意な値を取得したプログラムを取得済みリストに記録し、前記取得済みリストを参照して一意な値を取得していないプログラムから一意な値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
  9. 前記取得手段は、前記プログラムのハッシュ値を取得することを特徴とする、請求項1乃至7のいずれか1項に記載のプラットフォーム完全性検証システム。
  10. 複数のプログラムを実行することが可能な情報処理装置であって、
    前記情報処理装置がシャットダウンする際に、前記複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段と、
    前記情報処理装置が起動する際に前記記憶手段に記憶された前記一意な値が正当な値であるか否かを判定する判定手段と、
    前記判定手段が正当な値でないと判定した場合、前記情報処理装置を起動しないように制御する制御手段と、
    を有することを特徴とする情報処理装置。
JP2010170473A 2010-07-29 2010-07-29 プラットフォーム完全性検証システム Expired - Fee Related JP5582909B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2010170473A JP5582909B2 (ja) 2010-07-29 2010-07-29 プラットフォーム完全性検証システム
PCT/JP2011/067720 WO2012015064A1 (en) 2010-07-29 2011-07-27 Platform integrity verification system and information processing device
US13/810,067 US9361449B2 (en) 2010-07-29 2011-07-27 Platform integrity verification system and information processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010170473A JP5582909B2 (ja) 2010-07-29 2010-07-29 プラットフォーム完全性検証システム

Publications (2)

Publication Number Publication Date
JP2012032925A JP2012032925A (ja) 2012-02-16
JP5582909B2 true JP5582909B2 (ja) 2014-09-03

Family

ID=45530259

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010170473A Expired - Fee Related JP5582909B2 (ja) 2010-07-29 2010-07-29 プラットフォーム完全性検証システム

Country Status (3)

Country Link
US (1) US9361449B2 (ja)
JP (1) JP5582909B2 (ja)
WO (1) WO2012015064A1 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6402034B2 (ja) 2011-09-13 2018-10-10 フェイスブック,インク. コンピュータ内の情報を安全に保つシステム及び方法
US9477603B2 (en) 2013-09-05 2016-10-25 Facebook, Inc. System and method for partitioning of memory units into non-conflicting sets
JP6244759B2 (ja) * 2013-09-10 2017-12-13 株式会社ソシオネクスト セキュアブート方法、半導体装置、及び、セキュアブートプログラム
US9983894B2 (en) 2013-09-25 2018-05-29 Facebook, Inc. Method and system for providing secure system execution on hardware supporting secure application execution
US10049048B1 (en) 2013-10-01 2018-08-14 Facebook, Inc. Method and system for using processor enclaves and cache partitioning to assist a software cryptoprocessor
US9747450B2 (en) * 2014-02-10 2017-08-29 Facebook, Inc. Attestation using a combined measurement and its constituent measurements
US9734092B2 (en) 2014-03-19 2017-08-15 Facebook, Inc. Secure support for I/O in software cryptoprocessor
US9858421B2 (en) * 2014-07-02 2018-01-02 Dell Products L.P. Systems and methods for detecting hardware tampering of information handling system hardware
MY187539A (en) * 2014-09-22 2021-09-28 Mimos Berhad System and method to provide integrity verification for active management technology (amt) application in a remote platform
WO2016185577A1 (ja) 2015-05-20 2016-11-24 富士通株式会社 プログラム検証方法、検証プログラム、及び情報処理装置
US10346343B2 (en) * 2016-06-24 2019-07-09 Intel Corporation Hardware accelerator for platform firmware integrity check
JP6463435B1 (ja) * 2017-10-04 2019-02-06 三菱電機株式会社 制御装置および制御方法
CN109710315B (zh) 2017-10-25 2022-05-10 阿里巴巴集团控股有限公司 Bios刷写方法及bios镜像文件的处理方法
CN109714303B (zh) 2017-10-25 2022-05-27 阿里巴巴集团控股有限公司 Bios启动方法及数据处理方法
JP6659180B2 (ja) * 2018-04-16 2020-03-04 三菱電機株式会社 制御装置および制御方法
JP6698778B2 (ja) * 2018-10-04 2020-05-27 三菱電機株式会社 制御システム
CN112805703A (zh) 2018-10-12 2021-05-14 三菱电机株式会社 软件验证装置、软件验证方法以及软件验证程序
GB2579056B (en) * 2018-11-16 2021-07-28 Trustonic Ltd Bootloader verification extension method
CN113348110B (zh) * 2019-01-30 2024-03-22 日立安斯泰莫株式会社 电子控制装置、电子控制装置的安全验证方法
AU2019455635B2 (en) * 2019-06-24 2023-04-20 Nippon Telegraph And Telephone Corporation Information processing device, control method, and control program
US11409874B2 (en) * 2019-07-03 2022-08-09 International Business Machines Corporation Coprocessor-accelerated verifiable computing
EP4018349A4 (en) 2019-08-20 2023-04-26 Hewlett-Packard Development Company, L.P. AUTHENTICITY VERIFICATION
CN111291427A (zh) * 2020-02-10 2020-06-16 山东超越数控电子股份有限公司 一种服务器硬盘安全度量方法和装置

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041176A (ja) * 2000-07-07 2002-02-08 Internatl Business Mach Corp <Ibm> コンピュータの管理方法、情報機器、コンピュータおよび記憶媒体
US7191464B2 (en) * 2001-10-16 2007-03-13 Lenovo Pte. Ltd. Method and system for tracking a secure boot in a trusted computing environment
US7475427B2 (en) * 2003-12-12 2009-01-06 International Business Machines Corporation Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network
JP4144880B2 (ja) 2004-04-09 2008-09-03 インターナショナル・ビジネス・マシーンズ・コーポレーション プラットフォーム構成測定装置、プログラム及び方法、プラットフォーム構成認証装置、プログラム及び方法、プラットフォーム構成証明装置、プログラム及び方法、並びに、プラットフォーム構成開示装置、プログラム及び方法
US7627898B2 (en) * 2004-07-23 2009-12-01 Microsoft Corporation Method and system for detecting infection of an operating system
US7389426B2 (en) * 2005-11-29 2008-06-17 Research In Motion Limited Mobile software terminal identifier
US7739738B1 (en) * 2006-03-15 2010-06-15 Symantec Corporation Enabling clean file cache persistence using dual-boot detection
US7774391B1 (en) * 2006-03-30 2010-08-10 Vmware, Inc. Method of universal file access for a heterogeneous computing environment
US7873430B1 (en) * 2006-06-14 2011-01-18 Rockwell Automation Technologies, Inc. System that can schedule operations that are performed on industrial control devices
US20080126779A1 (en) * 2006-09-19 2008-05-29 Ned Smith Methods and apparatus to perform secure boot
JP5085287B2 (ja) 2007-11-21 2012-11-28 株式会社リコー 情報処理装置、正当性検証方法および正当性検証プログラム
EP2339499A4 (en) * 2008-08-22 2012-05-09 Ibm MEMORY DEVICE, INFORMATION PROCESSING DEVICE AND PROGRAM
JP2012009938A (ja) * 2010-06-22 2012-01-12 Toshiba Tec Corp 情報処理装置及びプログラム

Also Published As

Publication number Publication date
US9361449B2 (en) 2016-06-07
WO2012015064A1 (en) 2012-02-02
JP2012032925A (ja) 2012-02-16
US20130125244A1 (en) 2013-05-16

Similar Documents

Publication Publication Date Title
JP5582909B2 (ja) プラットフォーム完全性検証システム
US10740468B2 (en) Multiple roots of trust to verify integrity
US9881162B2 (en) System and method for auto-enrolling option ROMS in a UEFI secure boot database
CN103718165B (zh) Bios闪存攻击保护和通知
US7716494B2 (en) Establishing a trusted platform in a digital processing system
US10733288B2 (en) Verifying controller code and system boot code
US9880908B2 (en) Recovering from compromised system boot code
US11194586B2 (en) Secure boot override in a computing device equipped with unified-extensible firmware interface (UEFI)-compliant firmware
US10346179B2 (en) Information processing apparatus, server apparatus, information processing system, control method, and computer program
CN110263545B (zh) 一种基于Android系统的启动过程完整性度量检测方法
US20090172378A1 (en) Method and system for using a trusted disk drive and alternate master boot record for integrity services during the boot of a computing platform
JP2007257197A (ja) 起動検証機能を有する情報処理装置
US20060085630A1 (en) Enabling attestation during return from S4 state with standard TCG hardware
US10776493B2 (en) Secure management and execution of computing code including firmware
US11422901B2 (en) Operating system repairs via recovery agents
CN104866768A (zh) 自动柜员机操作系统启动控制方法及装置
CN114021106A (zh) 一种可信度量的远程认证方法、装置及系统
CN112835628A (zh) 一种服务器操作系统引导方法、装置、设备及介质
JP5194053B2 (ja) 認証プログラム、プログラムセット、認証方法及び認証装置並びにソフトウェア有効期限変更装置
CN113641463A (zh) 虚拟化系统可信认证方法、系统及计算机可读存储介质
WO2022170966A1 (zh) 在目标平台上启动应用程序的方法及装置
US20200110616A1 (en) Information processing apparatus, method of controlling same, storage medium, and image forming apparatus
JP4583808B2 (ja) プログラム実行制御装置及びプログラム実行制御方法
KR102369874B1 (ko) 무결성 검증 대상 디바이스에 대한 os 및 무결성 정보의 통합 업데이트 방법 및 원격 검증 시스템, os 배포 서버 및 무결성 검증 대상 디바이스
CN117592037A (zh) 控制方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130729

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140617

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140715

R151 Written notification of patent or utility model registration

Ref document number: 5582909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees