JP5584435B2 - Information protection apparatus, computer system, and information protection method - Google Patents
Information protection apparatus, computer system, and information protection method Download PDFInfo
- Publication number
- JP5584435B2 JP5584435B2 JP2009154247A JP2009154247A JP5584435B2 JP 5584435 B2 JP5584435 B2 JP 5584435B2 JP 2009154247 A JP2009154247 A JP 2009154247A JP 2009154247 A JP2009154247 A JP 2009154247A JP 5584435 B2 JP5584435 B2 JP 5584435B2
- Authority
- JP
- Japan
- Prior art keywords
- password
- storage device
- information protection
- key code
- lock
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 44
- 238000001514 detection method Methods 0.000 claims description 47
- 238000004364 calculation method Methods 0.000 claims description 22
- 230000004044 response Effects 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 13
- 238000013500 data storage Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000001994 activation Methods 0.000 description 8
- 230000004913 activation Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、パスワードにより記憶装置へのアクセスを制限する情報保護装置、コンピュータシステムおよび情報保護方法に関する。 The present invention relates to an information protection device, a computer system, and an information protection method for restricting access to a storage device with a password.
近年のコンピュータの普及に伴い、コンピュータが管理する情報が飛躍的に増えており、情報に対するセキュリティ対策も重要視されている。コンピュータが管理する情報に対するセキュリティ対策の1つとして、コンピュータに接続されるハードディスクなどの記憶装置をパスワードにより保護する方法がある。 With the spread of computers in recent years, the information managed by computers has increased dramatically, and security measures for information are also regarded as important. One security measure for information managed by a computer is a method of protecting a storage device such as a hard disk connected to the computer with a password.
たとえば、下記特許文献1に記載の技術では、取り外し可能なハードディスク等が持ち出された場合に、そのハードディスクが他のコンピュータに接続されても情報を読み出せないようにする技術が開示されている。この技術では、コンピュータ経由でユーザの操作によりハードディスクに対して、パスワードを設定する。そして、ハードディスクが、設定されたパスワードと入力されるパスワードとが一致した場合に自身へのアクセス(書き込み,読み出し)を可能とし、一致しない場合には自身へのアクセスを拒否するようにしている。
For example, the technique disclosed in
しかしながら、上記従来の技術では、利用者の操作によりハードディスクに対するパスワードを設定する。そのため、利用者の利便性が低下する、という問題があった。また、利用者が設定したパスワードが、なんらかの方法により知られてしまった場合、ハードディスクに対するアクセスが行われてしまう、という問題があった。 However, in the conventional technique, a password for the hard disk is set by a user operation. Therefore, there is a problem that convenience for the user is lowered. In addition, when the password set by the user is known by some method, there is a problem that the hard disk is accessed.
本発明は、上記に鑑みてなされたものであって、利用者が記憶装置に対するパスワードを意識することなく、記憶装置をパスワードにより保護することができる情報保護装置、コンピュータシステムおよび情報保護方法を得ることを目的とする。 The present invention has been made in view of the above, and obtains an information protection device, a computer system, and an information protection method capable of protecting a storage device with a password without the user being aware of the password for the storage device. For the purpose.
上述した課題を解決し、目的を達成するために、本発明にかかる情報保護装置は、自身への読み書きを禁止するロック状態と自身への読み書きを許可するアンロック状態とを設定可能な記憶装置を備える情報保護装置であって、前記記憶装置がロック状態であるかアンロック状態であるかを前記記憶装置へ問い合わせ、その問い合わせに対する応答に基づいて前記記憶装置がロック状態であるかアンロック状態であるかを検出するロックアンロック検出手段と、情報保護装置ごとの固有の値であるキーコードを記憶するためのキーコード記憶手段と、前記キーコードと所定の算出式とに基づいてパスワードを生成するパスワード生成手段と、ロックアンロック検出手段の検出結果がアンロック状態である場合には、前記パスワードを設定パスワードとして前記記憶装置へ通知し、また、ロックアンロック検出手段の検出結果がロック状態である場合には、前記パスワードを認証用パスワードとして前記記憶装置へ通知するロックアンロック制御手段と、を備え、前記記憶装置は、前記設定パスワードを記憶するためのパスワード記憶手段と、前記ロックアンロック検出手段からロック状態であるか否かの問い合わせがあった場合に、自身がロック状態であるか否かの情報を含む応答を返送し、また、前記パスワード記憶手段から読み出した前記設定パスワードと、前記ロックアンロック制御手段から通知された認証用パスワードが一致した場合に自身のロック状態を解除する管理手段と、を備える、ことを特徴とする。 In order to solve the above-described problems and achieve the object, an information protection device according to the present invention is a storage device capable of setting a locked state in which reading / writing to itself is prohibited and an unlocking state in which reading / writing to itself is allowed An information protection device comprising: an inquiry to the storage device whether the storage device is locked or unlocked; and whether the storage device is locked or unlocked based on a response to the inquiry A lock / unlock detection means for detecting whether the information is a key code storage means for storing a key code that is a unique value for each information protection device, and a password based on the key code and a predetermined calculation formula. If the detection result of the generated password generation means and the lock / unlock detection means is unlocked, the password is set to A lock / unlock control means for notifying the storage device of the password as an authentication password when the detection result of the lock / unlock detection means is locked. The storage device is in a locked state when an inquiry is made from the password storage means for storing the set password and whether the lock / unlock detection means is in a locked state. A response including the above information, and when the set password read from the password storage unit matches the authentication password notified from the lock / unlock control unit, management to release the lock state of itself Means.
つぎの発明にかかる情報保護装置は、前記キーコード記憶手段を不揮発性メモリとすることを特徴とする。 The information protection apparatus according to the next invention is characterized in that the key code storage means is a nonvolatile memory.
つぎの発明にかかる情報保護装置は、前記記憶装置をATA規格に準拠した記憶装置とすることを特徴とする。 The information protection device according to the next invention is characterized in that the storage device is a storage device compliant with the ATA standard.
つぎの発明にかかる情報保護装置は、前記ロックアンロック検出手段は、前記問い合わせをIDENTIFY DEVICEコマンドを用いて行うことを特徴とする。 The information protection apparatus according to the next invention is characterized in that the lock / unlock detection means makes the inquiry using an IDENTIFY DEVICE command.
つぎの発明にかかる情報保護装置は、前記所定の算出式を、キーコードをビット反転させる算出式とすることを特徴とする。 The information protection apparatus according to the next invention is characterized in that the predetermined calculation formula is a calculation formula for bit-inverting the key code.
つぎの発明にかかる情報保護装置は、前記所定の算出式を、ハッシュ関数とすることを特徴とする。 The information protection apparatus according to the next invention is characterized in that the predetermined calculation formula is a hash function.
つぎの発明にかかる情報保護装置は、前記キーコードを情報保護装置が搭載されるコンピュータシステムのシリアル番号とすることを特徴とする。 The information protection apparatus according to the next invention is characterized in that the key code is a serial number of a computer system in which the information protection apparatus is mounted.
つぎの発明にかかるコンピュータシステムは、請求項1〜7のいずれか1つの情報保護装置を備えることを特徴とする。
A computer system according to the next invention includes the information protection device according to any one of
つぎの発明にかかる情報保護方法は、自身への読み書きを禁止するロック状態と自身への読み書きを許可するアンロック状態とを設定可能な記憶装置を備えるコンピュータシステムにおける情報保護方法であって、前記記憶装置がロック状態であるかアンロック状態であるかを前記記憶装置へ問い合わせ、その問い合わせに対する応答に基づいて前記記憶装置がロック状態であるかアンロック状態であるかを検出するロックアンロック検出ステップと、情報保護装置ごとの固有の値であるキーコードを記憶するキーコード記憶ステップと、前記キーコードと所定の算出式とに基づいてパスワードを生成するパスワード生成ステップと、ロックアンロック検出ステップの検出結果がアンロック状態である場合には、前記パスワードを設定パスワードとして前記記憶装置へ通知する設定パスワード通知ステップと、ロックアンロック検出ステップの検出結果がロック状態である場合には、前記パスワードを認証用パスワードとして前記記憶装置へ通知する認証用パスワード通知ステップと、前記記憶装置が、前記設定パスワードを記憶するパスワード記憶ステップと、前記記憶装置が、前記ロックアンロック検出ステップでロック状態であるか否かの問い合わせが実施された場合に、自身がロック状態であるか否かの情報を含む応答を返送するロック状態返送ステップと、前記記憶装置が、前記パスワード記憶ステップで記憶した設定パスワードと、前記認証用パスワード通知ステップで通知された認証用パスワードが一致した場合に自身のロック状態を解除するアンロックステップと、を含む、ことを特徴とする。 An information protection method according to the next invention is an information protection method in a computer system including a storage device capable of setting a locked state that prohibits reading and writing to itself and an unlocked state that allows reading and writing to itself. Lock / unlock detection that inquires to the storage device whether the storage device is locked or unlocked, and detects whether the storage device is locked or unlocked based on a response to the inquiry A key code storage step for storing a key code that is a unique value for each information protection device, a password generation step for generating a password based on the key code and a predetermined calculation formula, and a lock unlock detection step If the detected result is unlocked, the password is set as the set password. A setting password notification step for notifying the storage device as a password, and an authentication password notification step for notifying the storage device of the password as an authentication password if the detection result of the lock / unlock detection step is locked. The storage device stores the set password, and when the storage device is in the locked state in the lock / unlock detection step, an inquiry is made whether the storage device is in the locked state. The lock state return step for returning a response including information on whether or not there is a match, and the set password stored in the password storage step by the storage device matches the authentication password notified in the authentication password notification step. Unlock step to release its own locked state in case Including, characterized in that.
本発明にかかる情報保護装置、コンピュータシステムおよび情報保護方法は、キーコード記憶手段にあらかじめキーコードを格納しておき、記憶装置のロック時に、パスワード生成手段が、格納されているキーコードに基づいて所定の算出式に従ってパスワードを生成して、記憶装置のパスワード記憶手段に格納し、記憶装置へのアクセスを行う際に、パスワード生成手段が、格納されているキーコードに基づいて所定の算出式に従ってパスワードを生成して記憶装置へ渡し、記憶装置のパスワード比較手段がパスワード記憶部に格納されているパスワードと受け取ったパスワードとを比較し、一致した場合に、記憶装置のロックを解除するようにしたので、利用者が周辺機器に対するパスワードを意識することなく、記憶装置をパスワードにより保護することができる、という効果を奏する。 In the information protection device, the computer system, and the information protection method according to the present invention, the key code is stored in advance in the key code storage means, and the password generation means is based on the stored key code when the storage device is locked. A password is generated according to a predetermined calculation formula, stored in the password storage means of the storage device, and when accessing the storage device, the password generation means is in accordance with the predetermined calculation formula based on the stored key code. A password is generated and passed to the storage device, and the password comparison means of the storage device compares the password stored in the password storage unit with the received password, and if the password matches, the storage device is unlocked. Therefore, the user can password the storage device without being aware of the password for the peripheral device. It can be more protection, an effect that.
以下に、本発明にかかる情報保護装置、コンピュータシステムおよび情報保護方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Embodiments of an information protection apparatus, a computer system, and an information protection method according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
図1は、本発明にかかる情報保護装置が搭載されるコンピュータシステムの構成例を示す図である。図1に示すように、本実施例のコンピュータシステムは、制御装置(CPU:Central Processing Unit)1と、表示装置2と、チップセット3と、システムメモリ4と、記憶装置5と、I/O(Input/Output)コントローラHUB6と、不揮発性メモリ7と、キーボードコントローラ8と、キーボード9と、で構成される。
FIG. 1 is a diagram showing a configuration example of a computer system in which an information protection apparatus according to the present invention is installed. As shown in FIG. 1, the computer system of the present embodiment includes a control device (CPU: Central Processing Unit) 1, a display device 2, a chip set 3, a system memory 4, a
制御装置1は、各種演算、制御などを行うコンピュータシステムの中心となる演算手段である。表示装置2は、コンピュータシステムのユーザに通知する情報を画面表示等により表示するための装置である。チップセット3は、制御装置1周辺のメモリインタフェースなどの回路が搭載される制御回路である。システムメモリ4は、制御装置1が動作するために必要な情報などを記憶するためのメモリであり、制御装置1は、チップセット3を経由してシステムメモリ4にアクセスする。
The
記憶装置5は、HDD(Hard Disk Drive:ハードディスク)やSSD(Solid State Drive)などのように、ATA(Advanced Technology Attachment)規格に従った記憶装置である。なお、本実施例ではATA規格に従った記憶装置を前提とするが、これに限らず、ATA規格に従わない記憶装置の場合も、本実施例と同様の動作を実現することで本実施例と同様の効果を得ることができる。I/OコントローラHUB6は、記憶装置5、不揮発性メモリ7、キーボードコントローラ8などのような周辺機器を接続するための回路である。不揮発性メモリ7は、電源の供給がない場合も記憶を保持するメモリである。また、キーボードは、ユーザからの入力を受付けるためのキーボードであり、キーボードコントローラ8は、キーボード9を制御するための制御手段であり、キーボード9から入力された情報をI/OコントローラHUB6およびチップセット3経由で制御装置1へ伝える。
The
なお、図1は、コンピュータシステムの構成の一例であり、これに限らず、制御装置1などの演算手段と、システムメモリ4と、記憶装置5と、不揮発性メモリ7と、を備える構成であれば、どのような構成としてもよい。
FIG. 1 is an example of the configuration of the computer system. The configuration is not limited to this, and the configuration may include a calculation unit such as the
図2は、本実施例の情報保護装置の機能構成例を示す図である。図1に示すように、本実施例の情報保護装置は、制御装置1内のキーコード設定部11、ロック/アンロック検出部12、パスワード生成部13、ロック/アンロック制御部14および起動処理部15と、不揮発メモリ7内のキーコード記憶部71と、記憶装置5内のパスワード記憶部51、パスワード比較部52およびデータ格納部53と、管理部54と、で構成される。
FIG. 2 is a diagram illustrating a functional configuration example of the information protection apparatus according to the present embodiment. As shown in FIG. 1, the information protection device of this embodiment includes a key
図3は、本実施例のパスワード設定処理手順の一例を示すフローチャートである。図4は、本実施例の記憶装置5のロック処理手順の一例を示すフローチャートである。図5は、本実施例の記憶装置5のアンロック処理手順の一例を示すフローチャートである。以下、図2〜図5を用いて、本実施例の動作を説明する。
FIG. 3 is a flowchart illustrating an example of the password setting processing procedure of the present embodiment. FIG. 4 is a flowchart illustrating an example of a lock processing procedure of the
まず、パスワード設定処理について図3を用いて説明する。パスワード設定処理では、本実施例のコンピュータシステムの開発者・製造者やユーザなどの操作者の指示に基づいて、キーコード設定部11が不揮発メモリ7のキーコード記憶部71にユニークなキーコードを設定する(ステップS11)。具体的には、操作者がキーボード9を操作することにより入力されたキーコードをキーボードコントローラ8が、I/OコントローラHUB6,チップセット3経由で制御装置1のキーコード設定部11に渡す。キーコード設定部11は、そのキーコードをチップセット3およびI/OコントローラHUB6経由で揮発性メモリ7のキーコード記憶部71に格納する。
First, the password setting process will be described with reference to FIG. In the password setting process, the key
ステップS11で設定するキーコードは、コンピュータシステムごとにユニークな値とし、たとえば、製造を管理するためのコンピュータごとのシリアルNo.(番号)などを用いる。キーコードは、シリアルNo.に限らず、コンピュータシステムごとにユニークな値であればどのような値を用いてもよい。なお、以上の説明では、製造段階またはユーザによる利用開始時等に、図3のパスワード設定処理を行い所定の入力操作に基づいてキーコードを設定するようにしたが、これに限らず、パスワード設定処理を実施せずに、製造段階やシステム起動時に、別の目的(初期設定等)で設定された情報(機器固有のレジスタの設定値等)を、キーコードとして用いても良い。または、「実装部品にあらかじめ記録されている設定情報」等をキーコードとして用いることもできる。 The key code set in step S11 is a unique value for each computer system. For example, the serial number for each computer for managing manufacturing is set. (Number) is used. The key code is the serial number. Any value may be used as long as it is a unique value for each computer system. In the above description, the password setting process of FIG. 3 is performed and the key code is set based on a predetermined input operation at the manufacturing stage or at the start of use by the user. Information (device-specific register setting values, etc.) set for another purpose (initial setting, etc.) may be used as a key code at the manufacturing stage or system startup without performing the processing. Alternatively, “setting information recorded in advance on a mounted component” or the like can be used as a key code.
つぎに、本実施例の記憶装置5のロック処理について図4を用いて説明する。本実施例の記憶装置5は、データ格納部53に対するアクセスを禁止する状態(ロック状態)とアクセスを許可する状態(アンロック状態)の2つのいずれかを選択して設定できるとする。データ格納部53に対するロックおよびアンロックの方法については、特に制約はなく、通常用いられる方法で実施すればよい。
Next, lock processing of the
本実施例のロック処理は、たとえば、コンピュータシステムに搭載されるBIOS(Basic Input/Output System)の設定画面で、操作者が記憶装置5に対するパスワードを設定する処理(オートパスワードなど)を選択した際に、開始される。なお、BIOSの設定画面を用いる方法に限らず、操作者から記憶装置5のパスワードによるロックを実施する処理の開始の指示を受付けるようにしておき、その指示を受付けた場合に、ロック処理を開始する方法であれば、どのような方法でロック処理を開始してもよい。
The lock process according to the present embodiment is performed when, for example, a process for setting a password for the storage device 5 (such as an auto password) is selected on a setting screen of a BIOS (Basic Input / Output System) installed in a computer system. To be started. Not only the method using the BIOS setting screen, but also an instruction to start the process of locking with the password of the
ロック処理が開始されると、まず、ロック/アンロック検出部12は、I/OコントローラHUB6,チップセット3経由で記憶装置5の管理部54に記憶装置5がロックされているか(現在の状態がロック状態であるかアンロック状態であるか)を問い合わせることにより、記憶装置5の状態を検出する(ステップS21)。具体的には、たとえば、ロック/アンロック検出部12は、ATA規格のIDENTIFY DEVICEコマンドを発行することにより、記憶装置5がロックされているかを問い合わせる。管理部54は、そのIDENTIFY DEVICEコマンドに対して、ロック状態であるかアンロック状態であるかを含む応答を返送する。なお、以下、記憶装置5と制御装置1間のやりとりは、I/OコントローラHUB6およびチップセット3を経由して行われる。
When the lock process is started, the lock /
ロック/アンロック検出部12は、記憶装置5がロックされていないと検出した場合(ステップS21 No)には、チップセット3およびI/OコントローラHUB6経由で不揮発メモリ7からキーコードを読み出す(ステップS22)。そして、パスワード生成部13が、キーコードに基づいて所定の算出式に従い、パスワードを生成する(ステップS23)。
When the lock /
パスワードを生成する際の算出式については、どのような算出式を用いてもよいが、たとえば、キーコードをビット反転させる方法、ハッシュ関数を用いる方法などがある。ビット反転させる方法では、たとえば、24ビット(3Byte)のキーコードを用いるとし、キーコードが“123456(h)”(hは16進数表示を示す)の場合、ビット反転させると“EDCBA9(h)”になるため、“EDCBA9(h)”をパスワードとする。また、ハッシュ関数を用いる場合、ATAの規格では、パスワードは32Byteまで設定可能であるため、ハッシュ関数としてMD4やMD5などを使うことが考えられる。 Any calculation formula may be used as a calculation formula for generating the password. For example, there are a method of bit-inverting the key code, a method using a hash function, and the like. In the method of bit inversion, for example, a 24-bit (3 Byte) key code is used. When the key code is “123456 (h)” (h indicates hexadecimal notation), if the bit is inverted, “EDCBA9 (h) "EDCBA9 (h)" is the password. When using a hash function, the password can be set up to 32 bytes in the ATA standard, so it is conceivable to use MD4 or MD5 as the hash function.
ステップS23の後、ロック/アンロック制御部14は、パスワード生成部13が生成したパスワードを設定パスワードとして記憶装置5のパスワード記憶部51へ格納する(ステップS24)。そして、管理部54は、パスワード記憶部51へ設定パスワードが格納されたことを検出すると、記憶装置5をロックし(データ格納部53へのアクセスを許可しない状態とする:ステップS25)、処理を終了する。
After step S23, the lock / unlock control unit 14 stores the password generated by the
一方、ステップS21で、記憶装置5がロックされていると検出した場合(ステップS21 Yes)は、ロック/アンロック検出部12は、パスワード設定不可(またはパスワードが既に設定されている旨)を示すメッセージを表示するよう表示装置2へ指示し(ステップS26)、処理を終了する。
On the other hand, if it is detected in step S21 that the
つぎに、本実施例のアンロック処理について図5を用いて説明する。アンロック処理は、制御装置1側から記憶装置5へアクセスを行う場合に、アクセスに先立って自動的に開始される。たとえば、コンピュータシステムの電源投入時など記憶装置に記憶されているOSなどのプログラム等を読み出す際に、開始される。ここでは、電源投入時の動作を例に説明する。
Next, the unlocking process of this embodiment will be described with reference to FIG. The unlock process is automatically started prior to the access when the
まず、コンピュータシステムの電源が投入されると(ステップS31)、ロック/アンロック検出部12は、ステップS21と同様に記憶装置5がロックされているか否かを検出し(ステップS32)、ロックされている場合(ステップS32 Yes)は、パスワード生成部13がキーコードを不揮発性メモリ7のキーコード記憶部71から読み出す(ステップS33)。
First, when the computer system is powered on (step S31), the lock /
そして、パスワード生成部13は、ステップS23と同様にキーコードに基づいて所定の算出式に従い、パスワードを生成し(ステップS34)、ロック/アンロック制御部14は、生成したパスワードを認証用パスワードとしてパスワード比較部52へ渡す(ステップS35)。
Then, the
記憶装置5のパスワード比較部52は、パスワード記憶部51からロック時のパスワード(設定パスワード)と、ステップS35で受け取った認証用パスワードと、を比較することにより、ステップS35で受け取ったパスワードが正しいか否かを判定する(ステップS36)。パスワードが正しいと判定した場合(設定パスワードと認証用パスワードが一致する場合:ステップS36 Yes)は、管理部54が、記憶装置5をアンロックし(データ格納部53へのアクセスを可能とし)、アンロックした旨をロック/アンロック検出部12へ通知する(ステップS37)。
The
ロック/アンロック検出部12は、アンロックした旨の通知を受け取とると、起動処理部15に記憶装置5のデータ格納部53に格納されているOSのプログラムを読み出すよう指示し、起動処理部15は、データ格納部53に格納されているOSのプログラムを読み出してOSの起動処理を実施する(ステップS39)。
When the lock /
一方、ステップS36で、パスワードが正しくないと判定した場合(ステップS36 No)は、管理部54は、記憶装置5のロック状態を維持し、ロック状態である旨をロック/アンロック検出部12へ通知する(ステップS38)。ロック/アンロック検出部12は、ロック状態である旨の通知を受け取とると、記憶装置5からのOS起動が不可能であると判断し、OS起動処理を行わない(ステップS40)。
On the other hand, if it is determined in step S36 that the password is not correct (No in step S36), the
なお、以上の説明では、ステップS37,ステップS38で、管理部54が、ロック状態であるかアンロック状態であるかをロック/アンロック検出部12に通知するようにした。すなわち、管理部54のロック状態であるかアンロック状態であるかを問い合わせる機能の部分と上記のロック/アンロック検出部12とをひとつのロック/アンロック検出手段と考えることができる。これに限らず、ロック/アンロック検出部12が、定期的にIDENTIFY DEVICEコマンドなどを送信し、その返送に基づいて記憶装置5のロックの状態を検出し、その検出結果に基づいて起動処理部15への指示を行うようにしてもよい。または、管理部54が、ロック/アンロック検出部12の機能を有することとし、その機能とロック状態であるかアンロック状態であるかを問い合わせる機能と合わせたロックアンロック検出手段の機能を管理部54内に備えることとしてもよい。
In the above description, in steps S37 and S38, the
また、本実施例では、管理部54が、ロック/アンロック検出部12に記憶装置5がロック状態であるかアンロック状態であるかを通知するようにしたが、パスワード比較部52が、ステップS36の判定結果をロック/アンロック制御部14に通知し、ロック/アンロック制御部14が、通知された判定結果が、パスワードが正しいことを示す結果であった場合に、起動処理部6へ記憶装置5のデータ格納部53に格納されているOSのプログラムを読み出すよう指示するようにしてもよい。
In this embodiment, the
また、以上の説明では、OSを起動する場合を例に説明したが、記憶装置5にOSのプログラムでなく他の情報が格納されている場合には、その情報を読み出す際に、ステップS32以降の処理を実施し、ステップS39では、OSの起動処理でなく格納された情報の読み出し処理などを実施するようにすればよい。
In the above description, the case where the OS is started has been described as an example. However, when other information is stored in the
このように、本実施例では、不揮発性メモリ7のキーコード記憶部71にあらかじめキーコードを格納しておき、記憶装置5をロックする際に、パスワード生成部13が、格納されているキーコードに基づいて所定の算出式に従ってパスワードを生成し、記憶装置5のパスワード記憶部51に格納する。そして、記憶装置5へのアクセスを行う際には、パスワード生成部13が、格納されているキーコードに基づいて所定の算出式に従ってパスワードを生成して記憶装置5へ渡し、記憶装置5のパスワード比較部52がパスワード記憶部51に格納されているパスワードと受け取ったパスワードを比較し、一致した場合に、記憶装置5のロックを解除するようにした。そのため、利用者が周辺機器に対するパスワードを意識することなく、記憶装置をパスワードにより保護することができる。
Thus, in this embodiment, when the key code is stored in advance in the key code storage unit 71 of the nonvolatile memory 7 and the
仮に、認証パスワードそのものを不揮発性メモリに記憶しておく方式を採用した場合には、記憶装置5と不揮発性メモリ7の両方を持ち出した場合には、ロック状態を解除することも可能であり、また、認証パスワード自体は素(暗号化等がなされていない)の状態であるため、セキュリティレベルが低い。さらに、この方式の場合、不揮発性メモリ7が故障した場合に、パスワードを失念してしまうと、記憶装置5のロック状態を解除できず,システムを復旧できないといった不都合もある。また、この不都合は、従来の逐次ユーザにパスワード入力を求める方式でも生じる不都合である。これに対し、本実施の形態では、不揮発性メモリ7と記憶装置5が持ち出された場合でも、不揮発性メモリ7に格納されているキーコードのみでは記憶装置5のロックは解除できないため、認証パスワード自体は秘匿された状態を保つことができるので、記憶装置5に対して高いセキュリティを実現することができる。また、パスワードを生成する際に用いる算出式を所定のコンピュータシステム単位で個別の算出式とするなど、算出式を予想しにくくすることで、さらに高いセキュリティを実現することができる。
If the method of storing the authentication password itself in the nonvolatile memory is adopted, the locked state can be released when both the
また、キーコードは、コンピュータシステムに個別の値として、別途管理しておくこととすれば、不揮発性メモリ7に障害が生じた場合等にも、別の不揮発性メモリにキーコードを再設定することで、容易に復旧させることができる。 In addition, if the key code is separately managed as an individual value in the computer system, the key code is reset in another nonvolatile memory even when a failure occurs in the nonvolatile memory 7. Thus, it can be easily restored.
以上のように、本発明にかかる情報保護装置、コンピュータシステムおよび情報保護方法は、パスワードにより記憶装置へのアクセスを制限するコンピュータシステムに有用であり、特に、ユーザの利便性を要求されるコンピュータシステムに適している。 As described above, the information protection device, the computer system, and the information protection method according to the present invention are useful for a computer system that restricts access to a storage device with a password, and in particular, a computer system that requires user convenience. Suitable for
1 制御装置(CPU)
2 表示装置
3 チップセット
4 システムメモリ
5 記憶装置
6 I/OコントローラHUB
7 不揮発性メモリ
8 キーボードコントローラ
9 キーボード
11 キーコード設定部
12 ロック/アンロック検出部
13 パスワード生成部
14 ロック/アンロック制御部
15 起動処理部
51 パスワード記憶部
52 パスワード比較部
53 データ格納部
54 管理部
71 キーコード記憶部
1 Control device (CPU)
2 Display device 3 Chipset 4
7 Nonvolatile Memory 8 Keyboard Controller 9
Claims (8)
電源投入時に、前記制御装置が記憶装置からOSを読み出す前に、前記記憶装置がロック状態であるかアンロック状態であるかを前記コマンドにより前記記憶装置へ問い合わせ、その問い合わせに対する応答に基づいて前記記憶装置がロック状態であるかアンロック状態であるかを検出するロックアンロック検出手段と、
前記情報保護装置毎にそれぞれ固有であり、他の情報保護装置と共用することなく、他の情報保護装置で格納する値と一致することがないように設定された値であって、なおかつ障害発生時用に別途管理され、ユーザ操作によって入力を求めることなく予め固定的な値としてのキーコード、を記憶するための当該情報保護装置内の特定の格納領域に設けられたキーコード記憶手段と、
前記制御装置が、当該情報保護装置内の特定の格納領域に設けられたキーコード記憶手段にアクセスして、前記キーコードを取得し、また、前記キーコード記憶手段を含む情報保護装置の構成要素に障害が発生した場合には、障害発生時用に別途管理されたキーコードを取得して、障害から復旧させた情報保護装置のキーコード記憶手段に再設定し、該再設定されたキーコード記憶手段にアクセスして、前記キーコードを取得し、前記キーコードと所定の算出式とに基づいて情報保護装置ごとにそれぞれ固有のパスワードを生成するパスワード生成手段と、
ロックアンロック検出手段の検出結果がアンロック状態である場合には、前記パスワードを設定パスワードとして前記記憶装置へ通知し、また、ロックアンロック検出手段の検出結果がロック状態である場合には、OS起動前に前記パスワードを認証用パスワードとして前記記憶装置へ通知するロックアンロック制御手段と、を備え、
前記記憶装置は、前記設定パスワードを記憶するためのパスワード記憶手段と、
前記ロックアンロック検出手段から前記コマンドによりロック状態であるか否かの問い合わせがあった場合に、自身がロック状態であるか否かの情報を含む応答を返送し、また、前記パスワード記憶手段から読み出した前記設定パスワードと、前記ロックアンロック制御手段から通知された認証用パスワードが一致した場合に自身のロック状態を解除する管理手段と、を備え、
前記制御装置は、前記記憶装置のロック状態の解除を検出すると、前記記憶装置からOSを読み出してシステムを起動すること、
を特徴とする情報保護装置。 A storage device in which protection information is stored together with the OS and can be set to a locked state in which reading / writing to itself is prohibited and an unlocking state in which reading / writing to itself is allowed, and a control to issue a command to the storage device before the OS is started An information protection device having the device therein,
When the power is turned on, before the control device reads the OS from the storage device, the storage device is inquired by the command whether the storage device is in the locked state or unlocked state, and based on the response to the inquiry, Lock / unlock detection means for detecting whether the storage device is locked or unlocked;
Each information protection device is unique and is not shared with other information protection devices, and is set so that it does not match the value stored in other information protection devices, and a failure has occurred. Key code storage means provided in a specific storage area in the information protection device for storing a key code as a fixed value that is separately managed for time and does not require an input by a user operation in advance ,
The control device obtains the key code by accessing the key code storage means provided in a specific storage area in the information protection device, and the information protection device includes the key code storage means In the event of a failure, a key code separately managed for the time of the failure is obtained, reset in the key code storage means of the information protection device recovered from the failure, and the reset key code Password generating means for accessing the storage means, obtaining the key code, and generating a unique password for each information protection device based on the key code and a predetermined calculation formula;
If the detection result of the lock / unlock detection means is in the unlocked state, the password is notified to the storage device as a set password, and if the detection result of the lock / unlock detection means is in the locked state, Lock and unlock control means for notifying the storage device of the password as an authentication password before starting the OS,
The storage device includes password storage means for storing the setting password;
When the lock / unlock detection means makes an inquiry about whether or not it is locked by the command, it returns a response including information on whether or not it is locked, and from the password storage means A management unit that releases its own lock state when the read setting password matches the authentication password notified from the lock / unlock control unit;
When the control device detects release of the lock state of the storage device, the control device reads the OS from the storage device and starts the system.
An information protection device.
電源投入時に、前記制御装置が記憶装置からOSを読み出す前に、前記記憶装置がロック状態であるかアンロック状態であるかを前記コマンドにより前記記憶装置へ問い合わせ、その問い合わせに対する応答に基づいて前記記憶装置がロック状態であるかアンロック状態であるかを検出するロックアンロック検出ステップと、
情報保護装置毎にそれぞれ固有であり、他の情報保護装置と共用することなく、他の情報保護装置で格納する値と一致することがないように設定された値であって、なおかつ障害発生時用に別途管理され、ユーザ操作によって入力を求めることなく予め固定的な値としてのキーコード、を記憶するための当該情報保護装置内の特定の格納領域に設けられたキーコード記憶手段に、前記キーコードを記憶するキーコード記憶ステップと、
前記制御装置が、当該情報保護装置内の特定の格納領域に設けられたキーコード記憶手段にアクセスして、前記キーコードを取得し、また、前記キーコード記憶手段を含む情報保護装置の構成要素に障害が発生した場合には、前記障害発生時用に別途管理されたキーコードを取得して、障害から復旧させた情報保護装置のキーコード記憶手段に再設定し、該再設定されたキーコード記憶手段にアクセスして、前記キーコードを取得し、前記キーコードと所定の算出式とに基づいて情報保護装置ごとにそれぞれ固有のパスワードを生成するパスワード生成ステップと、
ロックアンロック検出ステップの検出結果がアンロック状態である場合には、前記パスワードを設定パスワードとして前記記憶装置へ通知する設定パスワード通知ステップと、
ロックアンロック検出ステップの検出結果がロック状態である場合には、OS起動前に自動的に前記パスワードを認証用パスワードとして前記記憶装置へ通知する認証用パスワード通知ステップと、
前記記憶装置が、前記設定パスワードを記憶するパスワード記憶ステップと、
前記記憶装置が、前記コマンドにより前記ロックアンロック検出ステップでロック状態であるか否かの問い合わせが実施された場合に、自身がロック状態であるか否かの情報を含む応答を返送するロック状態返送ステップと、
前記記憶装置が、前記パスワード記憶ステップで記憶した設定パスワードと、前記認証用パスワード通知ステップで通知された認証用パスワードが一致した場合に自身のロック状態を解除するアンロックステップと、
前記制御装置が、前記記憶装置のロック状態の解除を検出すると、前記記憶装置からOSを読み出してシステムを起動する起動ステップと、
を含む、
ことを特徴とする情報保護方法。 A storage device in which protection information is stored together with the OS and can be set to a locked state in which reading / writing to itself is prohibited and an unlocking state in which reading / writing to itself is allowed, and a control to issue a command to the storage device before the OS is started An information protection method in a computer system having an apparatus therein,
When the power is turned on, before the control device reads the OS from the storage device, the storage device is inquired by the command whether the storage device is in the locked state or unlocked state, and based on the response to the inquiry, A lock / unlock detection step for detecting whether the storage device is locked or unlocked;
Respectively for each information protection system is unique, without shared with other information protection apparatus, a value set so as not to match the value stored in another information protection apparatus, yet failure In a key code storage means provided in a specific storage area in the information protection device for storing a key code as a fixed value that is separately managed for time and does not require input by a user operation in advance , A key code storing step for storing the key code;
The control device obtains the key code by accessing the key code storage means provided in a specific storage area in the information protection device, and the information protection device includes the key code storage means When a failure occurs, a key code separately managed for the time of the failure is obtained and reset in the key code storage means of the information protection device recovered from the failure, and the reset key A password generating step of accessing a code storage means, acquiring the key code, and generating a unique password for each information protection device based on the key code and a predetermined calculation formula;
When the detection result of the lock unlock detection step is unlocked, a setting password notification step of notifying the storage device of the password as a setting password;
An authentication password notifying step for automatically notifying the storage device of the password as an authentication password before starting the OS when the detection result of the lock / unlock detection step is in a locked state;
A password storage step in which the storage device stores the setting password;
A locked state in which the storage device returns a response including information on whether or not it is in a locked state when an inquiry is made as to whether or not it is locked in the lock / unlock detection step by the command A return step;
The storage device, the unlocking step of releasing its own locked state when the set password stored in the password storing step and the authentication password notified in the authentication password notifying step match;
A startup step of starting the system by reading out the OS from the storage device when the control device detects the release of the locked state of the storage device;
including,
An information protection method characterized by the above.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009154247A JP5584435B2 (en) | 2009-06-29 | 2009-06-29 | Information protection apparatus, computer system, and information protection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009154247A JP5584435B2 (en) | 2009-06-29 | 2009-06-29 | Information protection apparatus, computer system, and information protection method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011008729A JP2011008729A (en) | 2011-01-13 |
JP5584435B2 true JP5584435B2 (en) | 2014-09-03 |
Family
ID=43565259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009154247A Active JP5584435B2 (en) | 2009-06-29 | 2009-06-29 | Information protection apparatus, computer system, and information protection method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5584435B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7059414B2 (en) * | 2021-03-08 | 2022-04-25 | キオクシア株式会社 | Storage device and method |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04287152A (en) * | 1991-03-18 | 1992-10-12 | Nec Corp | Terminal password control system |
JP2005316856A (en) * | 2004-04-30 | 2005-11-10 | Toshiba Corp | Information processor, starting method thereof, and starting program thereof |
JP2006330881A (en) * | 2005-05-24 | 2006-12-07 | Toyo Keiki Co Ltd | Setting method of terminal equipment |
JP4259589B2 (en) * | 2006-05-09 | 2009-04-30 | セイコーエプソン株式会社 | Electronic device, access control method |
JP4247724B2 (en) * | 2006-05-19 | 2009-04-02 | セイコーエプソン株式会社 | Storage driver, electronic device, and access control method |
-
2009
- 2009-06-29 JP JP2009154247A patent/JP5584435B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011008729A (en) | 2011-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5711160B2 (en) | Method and computer for protecting passwords | |
JP3863447B2 (en) | Authentication system, firmware device, electrical device, and authentication method | |
US7971241B2 (en) | Techniques for providing verifiable security in storage devices | |
TWI564747B (en) | Electronic device and secure boot method | |
JP5565040B2 (en) | Storage device, data processing device, registration method, and computer program | |
US8844025B2 (en) | Storage device access authentication upon resuming from a standby mode of a computing device | |
US11120151B1 (en) | Systems and methods for unlocking self-encrypting data storage devices | |
JP5505010B2 (en) | Storage medium adapter and data access disabling method | |
US20100125908A1 (en) | Storage device, information processor, and information processing system | |
JP5895523B2 (en) | Information processing apparatus and data management method | |
US20050081071A1 (en) | Pre-boot security controller | |
US11222144B2 (en) | Self-encrypting storage device and protection method | |
US10678953B1 (en) | Self-contained key management device | |
JP2010020751A (en) | Content protection method, computer system, and storage medium | |
CN110096459B (en) | Data storage device, data processing system, application system and data processing method | |
JP2014174980A (en) | Data storage device and method | |
US10460110B1 (en) | Systems and methods for unlocking self-encrypting data storage devices | |
JP3976638B2 (en) | Electronic device, method for preventing unauthorized use thereof, and program for preventing unauthorized use thereof | |
JP4867927B2 (en) | ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, INFORMATION PROCESSING DEVICE, AND ACCESSED MEDIUM | |
JP4550526B2 (en) | Information processing system, information processing apparatus, registration server, control program, and control method | |
JP5584435B2 (en) | Information protection apparatus, computer system, and information protection method | |
JP2007035136A (en) | External hard disk storing apparatus, control method of external hard disk storing apparatus, and control program of external hard disk storing apparatus | |
JP2015079525A (en) | Adapter for portable storage medium and method for disabling data access | |
JP2006031575A (en) | Hard disk security management system and method therefor | |
JP5767657B2 (en) | Method and computer for protecting data stored in non-volatile memory |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120606 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130702 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130703 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140311 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140509 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140715 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140718 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5584435 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |