JP6069289B2 - Administrator password authentication method, computer, and computer program - Google Patents
Administrator password authentication method, computer, and computer program Download PDFInfo
- Publication number
- JP6069289B2 JP6069289B2 JP2014238309A JP2014238309A JP6069289B2 JP 6069289 B2 JP6069289 B2 JP 6069289B2 JP 2014238309 A JP2014238309 A JP 2014238309A JP 2014238309 A JP2014238309 A JP 2014238309A JP 6069289 B2 JP6069289 B2 JP 6069289B2
- Authority
- JP
- Japan
- Prior art keywords
- administrator
- computer
- user
- password
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 50
- 238000004590 computer program Methods 0.000 title claims description 11
- 238000004891 communication Methods 0.000 claims description 15
- 230000004913 activation Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000006266 hibernation Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、システム・ファームウェアに設定する管理者パスワードを管理する技術に関する。 The present invention relates to a technique for managing an administrator password set in system firmware.
企業で使用するパーソナル・コンピュータには、BIOSまたはUEFIのようなシステム・ファームウェアに対して複数のパスワード(ファムウェア・パスワード)を設定することができる。ファームウェア・パスワードには、利用者が設定するパワーオン・パスワード(POP)およびユーザ・ハードディスク・パスワード(UHDP)と、通常はシステムの管理者が設定するスーパーバイザ・パスワード(SVP)およびマスター・ハードディスク・パスワード(MHDP)が存在する。 In a personal computer used in a company, a plurality of passwords (firmware passwords) can be set for system firmware such as BIOS or UEFI. Firmware passwords include power-on password (POP) and user hard disk password (UHDP) set by the user, and supervisor password (SVP) and master hard disk password normally set by the system administrator. (MHDP) exists.
POPが設定されたコンピュータでは、システム・ファームウェアがパワー・オンするたびにユーザにPOPの入力を要求する。SVPとPOPが設定されたコンピュータでは、利用者がPOPを入力してパワー・オンできるが、SVPを知らない限りコンピュータの主要な構成を変更することはできない。ここでパワー・オンとは、電源を起動してからシステム・ファームウェアがPOSTを実行してOSをロードするまでの処理をする状態をいう。 In the computer in which the POP is set, the user is requested to input the POP every time the system firmware is powered on. In a computer in which SVP and POP are set, the user can input the POP and power on, but the main configuration of the computer cannot be changed without knowing the SVP. Here, “power-on” refers to a state in which processing is performed from when the power supply is activated until the system firmware executes POST and loads the OS.
特許文献1は、サーバにログインするためのパスワードを忘れたときに、ネットワークを通じてサーバの管理者からパスワードを受け取る発明を開示する。特許文献2は、管理者がPOPやHDPをクライアントに設定する際の管理コストを低減する発明を開示する。管理者はコンピュータをクライアントに渡す際または渡した後にリモートから当該コンピュータをパスワード強制モードに設定する。パスワード強制モードに設定されたコンピュータは起動時にパスワードを設定しない限りOSを起動しない。 Patent Document 1 discloses an invention for receiving a password from an administrator of a server through a network when the password for logging in to the server is forgotten. Patent Document 2 discloses an invention that reduces management costs when an administrator sets POP or HDP as a client. The administrator remotely sets the computer to the password forced mode when or after the computer is transferred to the client. A computer set in the password forced mode does not start the OS unless a password is set at the time of startup.
POPだけを設定したコンピュータでは、利用者がPOPを入力することでパワー・オンできるが、コイン電池を取り外せば何人でもPOPを解除することができる。ただしSVPは、コイン電池を取り外しても解除できない。SVPとPOPを設定したコンピュータでは、利用者はPOPを入力することでパワー・オンでき、管理者はSVPを入力して一時的にPOPを無効にすることでパワー・オンし、さらにPOPの取り消しまたは変更をすることができる。 In a computer in which only the POP is set, the user can turn on the power by inputting the POP, but any number of people can cancel the POP by removing the coin battery. However, SVP cannot be released even if the coin battery is removed. On computers with SVP and POP settings, the user can turn on the power by entering the POP, the administrator can turn on the power by temporarily disabling the POP by entering the SVP, and cancel the POP. Or you can make changes.
管理者はUHDPとMHDPを設定することができる。ユーザはその後管理者が設定したUHDPを変更することができる。UHDPとMHDPを設定したHDDに対して、ユーザはUHDPを入力することでHDDのすべてのファイルにアクセスすることができ、管理者はMHDPを入力してHDDのすべてのファイルにアクセスすることができる。管理者はMHDPを入力してUHDPの取り消しまたは変更をすることができる。MHDPを設定するときは、運用またはシステムの要求によりSVPも設定することが多い。 The administrator can set UHDP and MHDP. The user can then change the UHDP set by the administrator. The user can access all files on the HDD by inputting UHDP to the HDD set with UHDP and MHDP, and the administrator can access all files on the HDD by inputting MHDP. . The administrator can enter MHDP to cancel or change UHDP. When setting MHDP, SVP is often set according to operation or system request.
企業では、社員である利用者に業務用のコンピュータを貸与する。利用者は業務用のコンピュータに対してPOPおよびUHDPを設定してそれぞれのプライバシーとデータのセキュリティを確保している。このときPOPだけを設定している場合はコイン電池の取り外しで解除できるためセキュリティ上問題が残る。また、SVPやMHDPはリカバリーできないため、紛失するとシステム・ボードの交換が必要になったり、HDDが再利用できなくなったりして、HDDのデータは喪失する。また、ユーザが勝手にSVPとMHDPを設定して突然退社したような場合はコンピュータの再利用に支障をきたすことになる。 Companies lend business computers to users who are employees. Users set POP and UHDP for business computers to ensure their privacy and data security. At this time, if only POP is set, it can be released by removing the coin battery, so that a security problem remains. Since SVP and MHDP cannot be recovered, if they are lost, the system board must be replaced or the HDD cannot be reused, and the HDD data is lost. In addition, when the user sets SVP and MHDP without permission and suddenly leaves the office, the computer reuse is hindered.
ここで、緊急事態が発生して、利用者が存在しない状況下で管理者が利用者のコンピュータにアクセスしたい場合がある。さらに利用者がPOPまたはUHDPを忘れる場合もある。SVPおよびMHDPを設定すればこのような事態に対処でき、かつセキュリティを向上できるため、多くの企業は業務用のコンピュータにSVPおよびMHDPを設定する。 Here, there is a case where an administrator wants to access the user's computer in the situation where an emergency occurs and the user does not exist. Furthermore, the user may forget the POP or UHDP. If SVP and MHDP are set, such a situation can be coped with and security can be improved. Therefore, many companies set SVP and MHDP in business computers.
このとき、SVPおよびMHDPが設定されたコンピュータには、利用者が業務範囲で個人的に使用しているにもかかわらず、管理者がいつでもアクセスすることができる。なお、当該コンピュータにインストールされているOS自身もパスワードで利用者を守っているが、それはその利用者が当該OSで通常利用している動作環境を起動できない、すなわち当該OS環境にログインできないように制限しているだけである。例えば別のOSがインストールされたUSBメモリーを当該コンピュータに一時的に装着して起動すれば、個々のファイル別に暗号化されていない限り当該OSの管理下のHDD内にあるファイルデータの中身を簡単に見たり当該USBメモリーに複製したりすることが自由にできてしまう。 At this time, the administrator can always access the computer in which the SVP and MHDP are set, even though the user is using the computer personally in the business scope. Note that the OS installed on the computer itself also protects the user with a password, but this prevents the user from starting the operating environment normally used by the OS, that is, to log in to the OS environment. It is only limiting. For example, if a USB memory on which another OS is installed is temporarily attached to the computer and started up, the contents of the file data in the HDD under the management of the OS can be simplified unless it is encrypted for each individual file. It can be freely viewed or copied to the USB memory.
比較的規模の大きい企業において管理者が組織の一部である場合はともかくとしても、小規模な企業では直属の上司または社長が管理者になることがある。このときSVPおよびMHDPを使った管理者による恣意的なアクセスを抑制しないと利用者は安心してコンピュータを使用することができない。更には、それらのコンピュータの管理総責任者がいたとして、その代理管理責任者である上司による部下のコンピュータへの興味本位な恣意的アクセスが可能な仕組みを内包するパスワード管理方式を、その管理総責任者が自らの責任の下で運用することにはためらいが伴う。つまり管理総責任者にとって利用し難いパスワード管理方式は利便性に欠ける。したがって、利用者が安心してSVPおよびMHDPが設定されたコンピュータを使用できる環境を整える必要がある。 Even if the manager is part of an organization in a relatively large company, the direct supervisor or president may be the manager in a small company. At this time, unless an arbitrary access by an administrator using SVP and MHDP is suppressed, the user cannot use the computer with peace of mind. Furthermore, assuming that there is a general manager of those computers, a password management system that includes a mechanism that allows the supervisor, who is the proxy manager, to have arbitrary and arbitrary access to the subordinate's computers, is managed by the general manager. It is hesitating for the person in charge to operate under his / her own responsibility. In other words, the password management method that is difficult for the general manager to manage is not convenient. Therefore, it is necessary to prepare an environment in which a user can use a computer in which SVP and MHDP are set with peace of mind.
そこで本発明の目的は、システム・ファームウェアが設定する管理者パスワードを適切に管理する方法を提供することにある。さらに本発明の目的は、利用者コンピュータに管理者パスワードを設定し易い環境を構築する方法を提供することにある。さらに本発明の目的は、管理者パスワードを設定した利用者コンピュータに対する、管理者の恣意的なアクセスを抑制する方法を提供することにある。さらに本発明の目的は、そのような方法を実現するコンピュータおよびコンピュータ・プログラムを提供することにある。 Therefore, an object of the present invention is to provide a method for appropriately managing an administrator password set by the system firmware. A further object of the present invention is to provide a method for constructing an environment in which an administrator password can be easily set on a user computer. It is another object of the present invention to provide a method for suppressing an administrator's arbitrary access to a user computer for which an administrator password is set. A further object of the present invention is to provide a computer and a computer program for realizing such a method.
本発明の一の態様は、管理者パスワードの設定が可能で管理者コンピュータと通信が可能な利用者コンピュータにおいて実現する。利用者コンピュータは、管理者コンピュータに関連付けたクレデンシャルを記憶して管理者パスワードを設定する。つぎに、管理者コンピュータから受け取ったクレデンシャルと管理者パスワードを認証する。 One aspect of the present invention is realized in a user computer that can set an administrator password and can communicate with the administrator computer. The user computer stores the credentials associated with the administrator computer and sets the administrator password. Next, the credentials received from the administrator computer and the administrator password are authenticated.
上記構成の結果、管理者コンピュータが管理者パスワードを使って利用者コンピュータをアンロックする際には、クレデンシャルも認証されることになるため、管理者が恣意的にアンロックすることを抑制することができる。また、利用者は管理者パスワードが設定されても、やむを得ない事情が発生しない限りアンロックされることはないため安心して利用者コンピュータを使用することができる。 As a result of the above configuration, when the administrator computer unlocks the user computer using the administrator password, the credentials are also authenticated, so that the administrator is prevented from arbitrarily unlocking. Can do. Even if an administrator password is set, the user can use the user computer with peace of mind because the user password is not unlocked unless unavoidable circumstances occur.
上記手順は、利用者コンピュータを起動したときに最初に実行するシステム・ファームウェアで実行することができる。管理者パスワードを、利用者コンピュータのディスク・ドライブに設定するパスワードと比べれば、管理者パスワードの喪失によりディスク・ドライブが利用できなくなる事態を防ぐことができる。 The above procedure can be executed with the system firmware that is executed first when the user computer is started. Comparing the administrator password with the password set in the disk drive of the user computer can prevent a situation in which the disk drive cannot be used due to the loss of the administrator password.
管理者コンピュータを示すニックネームをクレデンシャルに関連付けて登録し、クレデンシャルの認証が成功したことを示す認証フラグを設定し、起動時に認証フラグの設定を確認したときにニックネームを表示することができる。この場合、複数の管理者コンピュータが同一の管理者パスワードを保有しても、いずれの管理者コンピュータがアンロックしたかを利用者が知ることができる。ここに、ニックネームは、パスワードで保護された管理者コンピュータを使用する管理者を特定できる情報であってもよい。なお、このニックネームの登録時に利用者コンピュータのパスワードを求められるようにすれば、そのパスワードを知る利用者が必ず立ち会う必要があるので、どの管理者コンピュータが自分のコンピュータに将来アンロック操作をするために登録されたのかを確実に知る機会を保証することになる。 A nickname indicating the administrator computer is registered in association with the credential, an authentication flag indicating that the authentication of the credential is successful is set, and the nickname can be displayed when the setting of the authentication flag is confirmed at the time of activation. In this case, even if a plurality of administrator computers have the same administrator password, the user can know which administrator computer has been unlocked. Here, the nickname may be information that can identify an administrator who uses an administrator computer protected by a password. If the password of the user computer is required when registering this nickname, a user who knows the password must be present, so which administrator computer will unlock the computer in the future. Will ensure you have the opportunity to know for sure.
クレデンシャルを記憶する際に、利用者コンピュータのディスプレイにニックネームを表示すれば、利用者が管理者パスワードを設定する人物とニックネームを関連付けて確認することができる。管理者パスワードは、管理者コンピュータからバックボーン・ネットワークを経由しない無線通信経路で受け取ることができる。バックボーン・ネットワークを経由しないことで、システム・ファームウェアでの無線通信経路の構築が容易になる。このとき管理者コンピュータに入力した認証コードと同じ認証コードを受け取り、認証コードを使って管理者コンピュータと相互認証をし、相互認証が成功したときに管理者コンピュータとの間で共通鍵を生成し、共通鍵暗号方式でセキュアな無線通信路を構築することができる。 When storing the credentials, if the nickname is displayed on the display of the user computer, the user can confirm the person who sets the administrator password in association with the nickname. The administrator password can be received from the administrator computer via a wireless communication path that does not go through the backbone network. By not going through the backbone network, it is easy to build a wireless communication path with system firmware. At this time, the authentication code same as the authentication code entered on the administrator computer is received, and the authentication code is used to perform mutual authentication with the administrator computer. Thus, a secure wireless communication path can be constructed using a common key cryptosystem.
本発明の他の態様は、利用者コンピュータと通信が可能な管理者コンピュータにおいて実現する。管理者コンピュータに関連付けたクレデンシャルを生成し、利用者コンピュータに管理者パスワードとクレデンシャルを送付して管理者パスワードを設定する。利用者コンピュータの電源が起動したときに利用者コンピュータにクレデンシャルと管理者パスワードを送って認証要求をする。 Another aspect of the present invention is implemented in an administrator computer that can communicate with a user computer. Generate credentials associated with the administrator computer, send the administrator password and credentials to the user computer, and set the administrator password. When the user computer is powered on, it sends a credential and an administrator password to the user computer to request authentication.
管理者コンピュータは、管理者パスワードをアンロックする際に、自らに関連付けたクレデンシャルの認証も要求されるため、正当な理由がない限り利用者コンピュータをアンロックできなくなる。クレデンシャルを管理者に知られないように管理者コンピュータに記憶しておけば、管理者がアンロックの痕跡を残さないようにクレデンシャルと管理者パスワードを直接利用者コンピュータに入力するような操作を防ぐことができる。 When the administrator computer unlocks the administrator password, authentication of the credential associated with the administrator computer is also required, so that the user computer cannot be unlocked unless there is a valid reason. If you store the credentials on the administrator computer so that the administrator does not know them, you can prevent the administrator from entering the credentials and administrator password directly on the user computer so that there is no trace of unlocking. be able to.
本発明により、システム・ファームウェアが設定する管理者パスワードを適切に管理する方法を提供することができた。さらに本発明により、利用者コンピュータに管理者パスワードを設定し易い環境を構築する方法を提供することができた。さらに本発明により、管理者パスワードを設定した利用者コンピュータに対する、管理者の恣意的なアクセスを抑制する方法を提供することができた。さらに本発明により、そのような方法を実現するコンピュータおよびコンピュータ・プログラムを提供することができた。 According to the present invention, it is possible to provide a method for appropriately managing the administrator password set by the system firmware. Furthermore, according to the present invention, a method for constructing an environment in which an administrator password can be easily set in a user computer can be provided. Furthermore, according to the present invention, it is possible to provide a method for suppressing an administrator's arbitrary access to a user computer for which an administrator password is set. Furthermore, according to the present invention, it is possible to provide a computer and a computer program for realizing such a method.
[ハードウェアの全体構成]
図1は、管理者PC10Mと利用者PC10Uに適用が可能なノートブック型パーソナル・コンピュータ(ノートPC)10のハードウェアの構成の一例を説明するための概略の機能ブロック図である。本明細書ではノートPC10のハードウェア要素について、管理者PC10Mと利用者PC10Uを区別する必要があるときは参照番号にそれぞれM、Uを付記し、両者を区別する必要がないときは、M、Uを付記しないことにする。
[Overall hardware configuration]
FIG. 1 is a schematic functional block diagram for explaining an example of a hardware configuration of a notebook personal computer (notebook PC) 10 applicable to the
図2は、ノートPC10が実行中のソフトウェアの構成を説明するための図である。図2(A)は、管理者PC10Mに対応し、図2(B)は利用者PC10Uに対応する。図3は、NVRAM25が記憶するデータを説明するための図である。図3(A)は管理者PC10Mに対応し、図3(B)は利用者PC10Uに対応する。
FIG. 2 is a diagram for explaining the configuration of software being executed by the notebook PC 10. 2A corresponds to the
本発明は、特定のハードウェアおよびオペレーティング・システム(OS)53に依存しないため、ハードウェア要素およびソフトウェア要素について本発明の理解に必要な範囲で説明する。CPUパッケージ11は、CPUコア、GPU、メモリ・コントローラ、PCIeインターフェースおよびPCH(Platform Controller Hub)などがMCM(Multi-Chip Module)で1つのパッケージとして構成されている。 Since the present invention does not depend on any specific hardware and operating system (OS) 53, the hardware and software elements will be described to the extent necessary to understand the present invention. The CPU package 11 includes a CPU core, a GPU, a memory controller, a PCIe interface, a PCH (Platform Controller Hub), and the like as a single package using an MCM (Multi-Chip Module).
CPUパッケージ11には、CPUコアが実行するプログラムを記憶するシステム・メモリ13、アドホック・モードまたはインフラストラクチャ・モードで無線LANのネットワークに接続するための無線モジュール15、OS53やアプリケーション55などのプログラムを格納するHDD17、赤外線通信またはブルー・ツース(登録商標)などの通信をする近距離通信モジュール19、LCD21、UEFIまたはBIOSといったシステム・ファームウェア100を格納するファームウェアROM23、本発明で管理者PCが利用者PCにパスワードを設定するためのさまざまなデータを記憶するNVRAM25およびキーボード27などが接続されている。
The CPU package 11 includes programs such as a system memory 13 for storing a program executed by the CPU core, a wireless module 15 for connecting to a wireless LAN network in an ad hoc mode or an infrastructure mode, an OS 53, and an application 55. HDD 17 for storing, near field communication module 19 for performing communication such as infrared communication or blue tooth (registered trademark), firmware ROM 23 for storing
システム・ファームウェア100は、システムがパワー・オフ状態、ハイバネーション状態またはサスペンド状態からパワー・オン状態にレジュームするときにパワー・オン・リセットされたCPUコアが最初に実行する。CPUコアは、POST(Power On Self Test)を実行したり、ファームウェア・パスワード(POP、SVP、UHDPおよびMHDP)の設定および認証をしたりする。以下においては、POPとUHDPを総称するときは利用者PWといい、SVPとMHDPを総称するときは管理者PWということにする。
The
システム・ファームウェア100は、特別な権限がないと書き換えができないようにファームウェアROM23の書き込み保護がされているブート・ブロックに格納され、CRTM(Core Root of Trust for Measurement)として、プラットフォームの信頼の基礎を構成する。システム・ファームウェア100は、本発明において主たる役割を果たす認証モジュール101を含んでいる。
The
HDD17はブート・イメージを格納するブート・ディスク・ドライブで、システム・ファームウェア100を通じてUHDP、MHDPを設定することができる。UHDP、MHDPはキーボード27からの入力によるほか、本発明によって管理者PC10Mが無線モジュール15Mまたは近距離通信モジュール19Mを通じて入力することができる。なお、本発明はHDD17に代えてSSDに適用することもできる。
The HDD 17 is a boot disk drive that stores a boot image, and UHDP and MHDP can be set through the
設定されたMHDP、UHDPは、HDD17のノートPC10のシステムからアクセスできないセキュアな領域に格納される。UHDPだけが設定されたHDD17、およびUHDPとMHDPが設定されたHDD17は、システム・ファームウェア100からUHDPまたはMHDPを受け取らない限り、システムからのアクセスをロックする。
The set MHDP and UHDP are stored in a secure area that cannot be accessed from the system of the notebook PC 10 of the HDD 17. The HDD 17 in which only UHDP is set, and the HDD 17 in which UHDP and MHDP are set lock access from the system unless UHDP or MHDP is received from the
本発明が実行されたとき、図3(A)に示すようにNVRAM25Mは、SVP151、MHDP153、クレデンシャル155、およびニックネーム157を記憶し、NVRAM25Uは、クレデンシャル155、ニックネーム157、およびアンロック・フラグ161を記憶する。SVP151、MHDP153をNVRAM25Uに格納しておくことで、従来は管理者の記憶に依存していたり、管理者がメモしていたりしていた管理者PWを、紛失を防ぎかつセキュアに管理することができるようになる。ニックネーム157は、姓名のような管理者を特定するデータを平文で表記したデータである。
When the present invention is implemented,
システム・ファームウェア100は、CPUコアの制御権をOS53に移す際にコントローラをロックして、NVRAM25に対する他のプログラムのアクセスを禁止する。一旦ロックされたコントローラは、CPUパッケージ11をリセットしない限り解除できない。CPUパッケージ11がリセットされると最初にシステム・ファームウェア100が実行されるため、OS53の動作環境下にあるプログラムはNVRAM25にアクセスできないようになっている。
The
図4は、管理者が管理者PC10Mを通じて利用者PC10Uに管理者PWを設定するときの手順を説明するためのフローチャートである。ブロック201から215までは管理者PC10Mの手順を示し、ブロック251から265までは利用者PC10Uの手順を示している。管理者の前には、管理者PC10Mと利用者PC10Uが並んでいる。利用者は、管理者の側にいてもよい。また、利用者PC10Uが複数あっても管理者PC10Mは同じ手順を実行する。
FIG. 4 is a flowchart for explaining a procedure when the administrator sets the administrator PW in the user PC 10U through the
ブロック201で管理者PC10MのNVRAM25Mは、管理者がキーボード27Mから入力したSVP151、MHDP153、およびニックネーム157を記憶している。利用者PC10UのNVRAM25Uは、図3(B)のいずれのデータも記憶していない。ブロック251で管理者が認証モジュール101Uに対してPOPとUHDPを設定する。
In
利用者PWは、後に利用者が変更し易いように、利用者の氏名や簡単な文字列などにしておくことができる。本発明はPOPとUHDPに別々に適用することができるが、通常のセキュリティの運用では、MHDPを設定するときはSVPも設定することになっているため、以後、両方の管理者PWが設定されることを前提にして説明する。設定されたPOPは、ファームウェアROM23Uのセキュアな領域に格納され、設定されたUHDPはHDD17Uのセキュアな領域に格納される。 The user PW can set the user's name or simple character string so that the user can easily change it later. The present invention can be applied separately to POP and UHDP. However, in normal security operation, when setting MHDP, SVP is also set. Therefore, both administrator PWs are set thereafter. It is assumed that The set POP is stored in a secure area of the firmware ROM 23U, and the set UHDP is stored in a secure area of the HDD 17U.
ブロック203で管理者PC10Mの電源を起動した管理者が所定のファンクションキーを押下すると、認証モジュール101Mが実行されて、LCD21Mに、利用者PC10Uに対して管理者PWの設定をするための画面を表示する。管理者がキーボード27Mから管理者PWの設定をするための指示をすると、ブロック205で認証モジュール101Mが無線モジュール15Mを動作させて、アドホック・ネットワークを構築するためのビーコンを発信する。
When the administrator who activated the power supply of the
これと並行して、ブロック253で利用者PC10Uの電源を起動した管理者が所定のファンクションキーを押下すると、認証モジュール101Uが実行されて、LCD21Uに、利用者PC10Uに対して管理者PWの設定をするための画面を表示する。管理者がキーボード27Uから管理者PWの設定をするための指示をすると、認証モジュール101Uが無線モジュール15Uを動作させる。
In parallel with this, when the administrator who activated the power of the user PC 10U in
管理者PC10Mと利用者PC10Uはあらかじめ通信チャネルおよびSSIDを統一し相互間でイーサネット(登録商標)のアドホック・ネットワークを構築できるようにしている。利用者PC10Uが、管理者PC10Mとの間で相互に電波の届く範囲に存在すれば、利用者PC10Uと管理者PC10Mの間にアドホック・ネットワークが構築されて通信できる状態になる。
The
ただし、管理者PC10Mと利用者PC10Uは、インフラストラクチャ・モードのネットワークを通じて通信してもよいし、近距離通信モジュール19M、19Uで直接通信してもよい。アクセス・ポイントおよびバックボーン・ネットワークを経由しないで直接通信するアドホック・モードや、2つの装置間に独立した通信経路を構築する近距離通信モジュール19を利用すると、システム・ファームウェア100が完全なネットワーク・スタックを装備する必要がなくなるため負担を軽減できる。
However, the
ブロック207、257では、管理者PC10Mと利用者PC10Uが相互認証をする。相互認証は、ブロック209、259で、一例としてDiffie−Hellman(D/H)方式で、管理者PC10Mと利用者PC10Uが共通鍵を生成する際の成りすましによる中間者攻撃(Man-in-the-middle-attack)に対する耐性を高めるために行う。管理者はキーボード27M、27Uから同じ認証コードを入力する。
In blocks 207 and 257, the
認証モジュール101M、101Uは、チャレンジ・レスポンス方式で相互認証をする。最初に、認証モジュール101Mが認証モジュール101Uに認証要求をし、それに応じて認証モジュール101Uがチャレンジを返送する。認証モジュール101Mは、チャレンジと入力された認証コードから特定のアルゴリズムで作成したレスポンスを認証モジュール101Uに返送する。
The
認証モジュール101Uは、入力された認証コードと先に送ったチャレンジを同じアルゴリズムで作成した値と受け取ったレスポンスを比較して、管理者PC10Mを認証する。つづいて、同じ手順で認証モジュール101Mが利用者PC10Uを認証する。中間者攻撃は、管理者PC10Mと利用者PC10Uを赤外線や有線による直接接続で盗聴の可能性がない通信路を構築する場合を除いて行われる可能性があるため、イーサネット(登録商標)やWiFiで通信する場合は特に行うことが望ましい。
The
相互認証が終了するとブロック209、259で、認証モジュール101M、101UがD/H方式でそれぞれ保持する秘密の値を交換して、独自に共通鍵を生成しそれを電源が停止するまで保持する。共通鍵は、以下の手順において、管理者PC10Mと管理者PC10Uの間に共通鍵暗号方式によるセキュアな通信路を構築するために利用する。ブロック211で認証モジュール101Mが乱数または時刻などの管理者が予測できない文字列で構成したクレデンシャル155を生成する。以後、認証モジュール101Mはクレデンシャル155を利用者PC10Uに送付するとき以外は、取り出せないようにNVRAM25Mに格納する。したがって、NVRAM25Mが記憶するクレデンシャル155は、管理者を含めてだれにも知られることはない。
When the mutual authentication is completed, in
ブロック213で、認証モジュール101Mは、クレデンシャル155とニックネーム157を認証モジュール101Uに送付する。ブロック261で認証モジュール101Uは、受け取ったクレデンシャル155とニックネーム157を関連付けてNVRAM25Uに記憶する。このとき、認証モジュール101Uがニックネーム157をLCD21Uに表示すれば、利用者は管理者に対応するニックネーム157が記憶されたことを確認することができるため、管理者が意図的に他人のニックネームを使ったという心配を払拭することができる。さらに、利用者だけが知る利用者コンピュータのパスワードを求めるようにすれば、ニックネームの登録に利用者が必ず立ち会う必要があるので、利用者が自分のコンピュータに将来アンロック操作をするために登録された管理者PC10Mを確実に知る機会を保証することができる。
In block 213, the
認証モジュール101Uはクレデンシャル155を、後に説明する管理者PWによるアンロックのとき以外は取り出せないように管理する。したがって、NVRAM25Uに記憶されたクレデンシャル155は、利用者も含めてだれにも知られることはない。ブロック263で認証モジュール101Uは、クレデンシャル155とニックネーム157を記憶したことを条件にして、管理者PWの設定待受状態に移行する。設定待受状態は、利用者PC10Uの電源を起動した直後に所定のファンクションキーを操作してBIOSセットアップのセキュリティ設定画面に入った状態と同じ状態である。認証モジュール101Uは、設定待受状態に移行したことを認証モジュール101Mに通知する。
The
ブロック215で利用者PC10Uが設定待受状態入ったことを認識した認証モジュール101Mは、NVRAM25Mに記憶しておいた管理者PWを認証モジュール101Uに送る。ブロック265で認証モジュール101Uはセットアップ画面に対してキーボード27Uから入力されたときと同じように、システム・ファームウェア101UにSVP151とMHDP153を設定する。
Recognizing that the user PC 10U has entered the setting standby state in
SVP151は、認証モジュール101UによってファームウェアROM23Uのセキュアな場所に格納され、MHDP153は、認証モジュール101UによってHDD17Uに送られる。HDD17Uの内部のファームウェアは、MHDP153を内部のセキュアな場所に格納する。管理者は管理者PWと利用者PWが設定された利用者PC10Uを利用者に渡す。ここまでの手順で利用者は管理者の側にいても、管理者PWおよびクレデンシャル155を知ることはできず、利用を開始したあとも知ることはできないが、以後、POPおよびUHDPを変更することはできる。
The
図5は、管理者が管理者PC10Mを通じて利用者PC10Uに管理者PWを入力してアンロックするときの手順を説明するためのフローチャートである。管理者の前には、管理者PC10Mと図4の手順で管理者PWが設定された利用者PC10Uが並んでいる。ブロック301〜307およびブロック351〜357の手順は、図4のブロック203〜209、ブロック253〜257とほぼ同じであるが、ここでは利用者が不在の状態で管理者が、管理者PC10Mを使って利用者PC10Uのアンロックをすることを想定する。
FIG. 5 is a flowchart for explaining a procedure when the administrator inputs the administrator PW to the user PC 10U through the
ブロック303で管理者PC10Mの電源を起動した管理者が所定のファンクションキーを押下すると、認証モジュール101Mが実行されて、LCD21Mに、利用者PC10Uをアンロックするための画面を表示する。管理者はキーボード27Mから利用者PC10Uをアンロックするための指示をする。また、これと並行して、ブロック353で利用者PC10Uの電源を起動した管理者が所定のファンクションキーを押下すると、認証モジュール101Uが実行されて、LCD21Uに、管理者PWを入力するための画面を表示する。管理者はキーボード27Uから管理者PWの入力をするための指示をする。このとき利用者PC10Uは、管理者にユーザIDの入力を要求することができる。
When the administrator who activated the power supply of the
ブロック309で認証モジュール101MはNVRAM25Mが記憶するクレデンシャル155を認証モジュール101Uに送付する。ブロック359で認証モジュール101Uは、NVRAM25Uに記憶しているクレデンシャル155と受け取ったクレデンシャル155を比較して管理者PC10Mを認証する。ブロック361で認証が成功したときはブロック363に移行し、失敗したときはブロック377に移行して手順は終了しアンロックはできない。
In
クレデンシャル155は、管理者PC10Mおよび利用者PC10Uにおいて、管理者および利用者を含めて何人にも知られないように管理されている。したがって、管理者PC10Mは同一の管理者PWを保有する他人のクレデンシャルを取得し、他人に成りすましてクレデンシャルを送ることはできない。また、自らのクレデンシャル155を図5の手順を経ないで直接キーボード27Uから入力して痕跡を残さないでアンロックするようなこともできない。
The
したがって、ブロック305、355で相互認証が成功したことは、ブロック265(図4)で管理者PWを設定した管理者が、正当な手順でクレデンシャル155を送ったことに相当する。特に図6で説明するように同じ管理者PWを複数の代理管理者が保有するような場合でも、認証モジュール101Uは管理者PWを設定した代理管理者以外の代理管理者のクレデンシャルを認証しない。
Therefore, the success of mutual authentication in
ブロック363で認証モジュール101Uは、NVRAM25Uにアンロック・フラグ161を設定する。クレデンシャル155の認証が成功したことを条件にして、ブロック365で認証モジュール101Uは管理者PWの入力待ち状態に入る。入力待ち状態は、BIOSセットアップ画面において、キーボード27Uから管理者PWが入力できる状態に相当する。認証モジュール101Uは認証モジュール101Mに入力待ち状態に移行したことを通知する。
In
ブロック311で入力待ち状態の通知を受け取った認証モジュール101Mは、NVRM25Mに記憶しておいたSVP151とMHDP153を管理モジュール101Uに送る。ブロック367で認証モジュール101Uは、BIOSセットアップ画面にキーボード27Uから入力されたときと同じように管理者PWを認証する。利用者PWが設定されていても、管理者PWを入力することでパワー・オンおよびHDD17Uにアクセスすることができる。ブロック369でシステム・ファームウェア100UによるPOSTが終了して、HDD17UからOSのロードを開始する。
The
管理者は利用者が不在の状態で所定の作業が終わると利用者PC10Uの電源を停止する。つぎに、ブロック371で利用者が利用者PC10Uの電源を起動してシステム・ファームウェア100Uを実行すると、ブロック373で管理モジュール101UはNVRAM25Uのアンロック・フラグ161を確認する。アンロック・フラグ161の設定がなければブロック377に移行して手順は終了し、通常通りOSのロードが始まる。管理モジュール100Uは、アンロック・フラグ161の設定を確認すると、それを消去すると同時にブロック375でLCD21Uにブロック359で認証したクレデンシャル155に関連付けられたニックネーム157を表示する。
The administrator stops the power supply of the user PC 10U when the predetermined work is completed in the absence of the user. Next, when the user activates the power source of the user PC 10U and executes the
管理者は利用者が不在の間に管理者PWを使って利用者PC10Uをアンロックできるが、利用者はその後電源を起動したときに、ニックネームから管理者がアンロックしたことを知ることができる。これは、管理者による恣意的なアンロックを抑制するとともに、緊急時には利用者PWが設定されていても、利用者PC10Uにアクセスできる状態をつくることに相当する。また、利用者が安心できるように管理者PWを設定できる運用環境を構築して利用者による管理者PWの設定を防ぐことに相当する。 The administrator can unlock the user PC 10U using the administrator PW while the user is absent, but the user can know from the nickname that the administrator has unlocked when the power is subsequently turned on. . This is equivalent to suppressing an arbitrary unlocking by the administrator and creating a state where the user PC 10U can be accessed even if the user PW is set in an emergency. This also corresponds to preventing the setting of the administrator PW by the user by constructing an operating environment in which the administrator PW can be set so that the user can feel at ease.
図4、図5の手順は、本発明の実施形態を説明したもので、記載した手順のすべてが本発明の必須の要素ではなく、また、順番も本発明の思想の範囲内において入れ替えることができる。たとえば、ブロック309、311(図5)では、クレデンシャル155が認証されてから管理者PWを送付しているが、クレデンシャル155と管理者PWは同時に送付してもよいし、先に管理者PWを送付してもよい。たとえば、ブロック309で管理者PWを送り、ブロック359で管理者PWを認証し、認証が成功したときにブロック363でアンロック・フラグ161を設定することができる。
The procedures in FIGS. 4 and 5 describe the embodiment of the present invention. All the described procedures are not essential elements of the present invention, and the order may be changed within the scope of the idea of the present invention. it can. For example, in
その後ブロック365で、クレデンシャルの入力待ち状態に入り、ブロック311でクレデンシャル155を送付し、ブロック367でクレデンシャルの認証をすることができる。先に管理者PWを認証する場合は、クレデンシャル155に代えて管理者を識別するユーザIDのような認証の必要がない識別子を利用することもできる。また、管理者PWを保有する人物が単数の場合は、クレデンシャルの認証が行われてアンロックされたことを記録しておけば、ニックネームを登録しないでもアンロックした人物を特定できるため、ニックネームの登録は必須ではなくなる。
つぎに図4、図5の手順を利用して、管理者PWを階層的に管理する方法を図6、図7を参照して説明する。図6においてルート管理者が保有するルート管理者PC400の管理下に、複数の代理管理者がそれぞれ保有する代理管理者PC411〜415が存在し、各代理管理者PC411〜415の管理下に利用者PC群401〜403が存在している。実線は管理者PWの設定ができることを示しており、点線は管理者PWによるアンロックができることを示している。管理者PWは全体を通じて統一している。ただし、本発明は管理者PWが代理管理者ごとに異なるものであってもよい。
Next, a method of hierarchically managing the managers PW using the procedures in FIGS. 4 and 5 will be described with reference to FIGS. In FIG. 6, there are proxy administrator PCs 411 to 415 owned by a plurality of proxy managers under the management of the
ルート管理者PC400と各代理管理者PC411〜413との関係および各代理管理者PC411〜415と対応する利用者PC群401〜403の各利用者PCとの関係は、図4、図5で説明した管理者PC10Mと利用者PC10Uの関係と同じように理解することができる。各代理管理者PC411〜413は、ルート管理者PC400のクレデンシャルとニックネームを保有する。また、各利用者PC群401〜403の各利用者PCは、対応する各代理管理者PC411〜413のクレデンシャルとニックネームを保有する。
The relationship between the
この場合、ルート管理者PC400は、代理管理者PC411〜415をアンロックできるが、その後代理管理者が自らの代理管理者PCをブートしたときに、LCDに管理者のニックネームが表示される。各代理管理者PC411〜413は、管理下の利用者PC群401〜403の利用者PCをアンロックできるが、その後利用者が自らの利用者PCをブートしたときに、LCDにアンロックした代理管理者のニックネームが表示される。
In this case, the
クレデンシャル155は、ルート管理者、代理管理者、および利用者のいずれも知ることはできない。したがって、たとえば代理管理者PC411は、成りすましにより、正当に保有する管理者PWと不正に取得した代理管理者PC413のクレデンシャル155およびニックネーム157を使って利用者PC群403の利用者PCをアンロックすることはできなくなる。
The
図7は、代理管理者421〜423が管理下の利用者PC群401〜405の各利用者PCに管理者PWの設定をするが、各利用者PCのアンロックはルート管理者PC400だけが行うことを示している。各代理管理者PC421〜425、利用者PC群401〜405の利用者PCは、ルート管理者PC400のクレデンシャルとニックネームを保有している。各代理管理者PC421〜425は、対応する利用者PC群401〜405の利用者PCにルート管理者400のクレデンシャルとニックネームを送付する。
In FIG. 7, the
ルート管理者PC400はすべての代理管理者PC421〜425、利用者PC群401〜405のすべての利用者PCをアンロックできるが、その後代理管理者421〜425または利用者PC群401〜405の利用者PCがブートしたときに、LCDにアンロックしたルート管理者400のニックネームが表示される。ルート管理者PC400は、管理者PWの設定を代理管理者PC421〜425を通じて行えるため、利用者PCの数が多くなっても手間が省けるとともに、利用者はアンロックできるのがルート管理者だけであるため、安心感を抱くことができる。
The
これまで本発明について図面に示した特定の実施の形態をもって説明してきたが、本発明は図面に示した実施の形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができることはいうまでもないことである。 Although the present invention has been described with the specific embodiments shown in the drawings, the present invention is not limited to the embodiments shown in the drawings, and is known so far as long as the effects of the present invention are achieved. It goes without saying that any configuration can be adopted.
10 ノートPC
10M 管理者PC
10U 利用者PC
400 ルート管理者PC
401〜405、 利用者PC群
411〜415、421〜423 代理管理者PC
10 Notebook PC
10M administrator PC
10U user PC
400 Route administrator PC
401-405, user PC group 411-415, 421-423 proxy administrator PC
Claims (17)
それぞれ前記管理者コンピュータから受け取った管理者を示すニックネームと前記管理者から知られないように前記管理者コンピュータに格納されたクレデンシャルを関連付けて記憶するステップと、
前記管理者パスワードを設定するステップと、
電源の起動時に前記管理者コンピュータから受け取った前記クレデンシャルを認証するステップと、
前記クレデンシャルの認証が成功したときに、次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定し前記管理者コンピュータから受け取った前記管理者パスワードを認証するステップと
を有する処理をさせるためのコンピュータ・プログラム。 On the user computer that can set the administrator password and can communicate with the administrator computer,
Storing a nickname indicating an administrator received from the administrator computer and a credential stored in the administrator computer so as not to be known from the administrator;
Setting the administrator password;
Authenticating the credentials received from the administrator computer at power-up ;
A step of setting an authentication flag for displaying the nickname when the power supply is next activated and authenticating the administrator password received from the administrator computer when authentication of the credential is successful. Computer program.
前記認証コードを使って前記管理者コンピュータと相互認証をするステップと、
前記相互認証が成功したときに前記管理者コンピュータとの間で共通鍵を生成するステップと。
共通鍵暗号方式でセキュアな無線通信路を構築するステップと
を有する請求項6に記載のコンピュータ・プログラム。 Receiving the same authentication code as the authentication code entered in the administrator computer;
Performing mutual authentication with the administrator computer using the authentication code;
Generating a common key with the administrator computer when the mutual authentication is successful;
The computer program according to claim 6, further comprising a step of constructing a secure wireless communication path using a common key cryptosystem.
それぞれ前記管理者コンピュータから受け取った前記管理者コンピュータを示すニックネームと管理者から知られないように前記管理者コンピュータに格納されたクレデンシャルを関連付けて記憶する記憶装置と、
前記管理者パスワードを設定し、電源の起動時に前記管理者コンピュータから受け取った前記クレデンシャルの認証が成功したときに、前記管理者コンピュータから受け取った前記管理者パスワードを認証し次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定するように前記コンピュータを機能させるシステム・ファームウェアと
を有するコンピュータ。 An administrator password can be set and the computer can communicate with the administrator computer.
A storage device that associates and stores a nickname indicating the administrator computer received from the administrator computer and a credential stored in the administrator computer so as not to be known from the administrator ;
The administrator password is set, and when the authentication of the credential received from the administrator computer at the time of power activation is successful, the administrator password received from the administrator computer is authenticated, and at the next power activation A computer having system firmware that causes the computer to function to set an authentication flag for displaying a nickname .
それぞれ前記管理者コンピュータから受け取った管理者を示すニックネームと前記管理者から知られないように前記管理者コンピュータに格納されたクレデンシャルを関連付けて記憶するステップと、Storing a nickname indicating an administrator received from the administrator computer and a credential stored in the administrator computer so as not to be known from the administrator;
前記管理者パスワードを設定するステップと、 Setting the administrator password;
電源の起動時に前記管理者コンピュータから受け取った前記クレデンシャルを認証するステップと、Authenticating the credentials received from the administrator computer at power-up;
前記クレデンシャルの認証が成功したときに、次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定し前記管理者コンピュータから受け取った前記管理者パスワードを認証するステップと Authenticating the administrator password received from the administrator computer by setting an authentication flag for displaying the nickname at the next power-up when the credential authentication is successful; and
を有する方法。Having a method.
それぞれ複数の前記利用者コンピュータを含む複数の利用者コンピュータ群に割り当てられた代理管理者コンピュータが、前記ルート管理者コンピュータから前記管理者パスワードを受け取るステップと、
前記利用者コンピュータが、それぞれ前記代理管理者コンピュータから受け取った代理管理者を示すニックネームと前記代理管理者から知られないように前記代理管理者コンピュータに格納されたクレデンシャルを関連付けて記憶するステップと、
前記利用者コンピュータが、前記代理管理者コンピュータから受け取った前記管理者パスワードを設定するステップと、
前記利用者コンピュータが、電源の起動時に前記代理管理者コンピュータから受け取った前記クレデンシャルを認証するステップと、
前記利用者コンピュータが、前記クレデンシャルの認証が成功したときに次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定し、前記代理管理者コンピュータから受け取った前記管理者パスワードを認証するステップと
を有する方法。 A method in which a user computer set with an administrator password generated by a root administrator computer authenticates the administrator password ,
A proxy administrator computer assigned to a plurality of user computer groups each including a plurality of user computers receives the administrator password from the root administrator computer; and
The user computer stores the nickname indicating the proxy administrator received from the proxy administrator computer in association with the credential stored in the proxy administrator computer so as not to be known from the proxy administrator;
The user computer setting the administrator password received from the proxy administrator computer ;
The user computer authenticating the credentials received from the proxy administrator computer at power-up;
The user computer sets an authentication flag for displaying the nickname at the next power-up when the authentication of the credential is successful, and authenticates the administrator password received from the proxy administrator computer And a method comprising:
それぞれ複数の前記利用者コンピュータを含む複数の利用者コンピュータ群に割り当てられた代理管理者コンピュータが、それぞれ前記ルート管理者コンピュータからルート管理者を示すニックネームと前記ルート管理者から知られないように前記ルート管理者コンピュータに格納されたクレデンシャルと前記管理者パスワードを受け取るステップと、
前記利用者コンピュータが、前記代理管理者コンピュータから受け取った前記ニックネームと前記クレデンシャルを関連付けて記憶するステップと、
前記利用者コンピュータが、前記代理管理者コンピュータから受け取った前記管理者パスワードを設定するステップと、
前記利用者コンピュータが、電源の起動時に前記ルート管理者コンピュータから受け取った前記クレデンシャルを認証するステップと、
前記利用者コンピュータが、前記クレデンシャルの認証が成功したときに次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定し、前記ルート管理者コンピュータから受け取った前記管理者パスワードを認証するステップと
を有する方法。 A method in which a user computer set with an administrator password generated by a root administrator computer authenticates the administrator password ,
The proxy administrator computer assigned to a plurality of user computer groups each including a plurality of user computers is nickname indicating a root administrator from the root administrator computer and is not known from the root administrator. Receiving credentials stored on a root administrator computer and the administrator password;
The user computer storing the nickname and the credential received from the proxy administrator computer in association with each other;
The user computer setting the administrator password received from the proxy administrator computer ;
The user computer authenticating the credentials received from the root administrator computer at power up ; and
The user computer sets an authentication flag for displaying the nickname at the next power-up when the authentication of the credential is successful, and authenticates the administrator password received from the root administrator computer And a method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014238309A JP6069289B2 (en) | 2014-11-26 | 2014-11-26 | Administrator password authentication method, computer, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014238309A JP6069289B2 (en) | 2014-11-26 | 2014-11-26 | Administrator password authentication method, computer, and computer program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016099906A JP2016099906A (en) | 2016-05-30 |
JP6069289B2 true JP6069289B2 (en) | 2017-02-01 |
Family
ID=56077241
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014238309A Active JP6069289B2 (en) | 2014-11-26 | 2014-11-26 | Administrator password authentication method, computer, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6069289B2 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000215167A (en) * | 1999-01-26 | 2000-08-04 | Toshiba Corp | Computer system and remote control method of same system |
JP2002041176A (en) * | 2000-07-07 | 2002-02-08 | Internatl Business Mach Corp <Ibm> | Computer management method, information equipment, computer and storage medium |
JP5574905B2 (en) * | 2010-10-08 | 2014-08-20 | 株式会社野村総合研究所 | Module distribution system |
JP5715592B2 (en) * | 2012-04-25 | 2015-05-07 | レノボ・シンガポール・プライベート・リミテッド | Method for controlling access to disk drive and computer system |
-
2014
- 2014-11-26 JP JP2014238309A patent/JP6069289B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016099906A (en) | 2016-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11258605B2 (en) | Out-of-band remote authentication | |
US10868815B2 (en) | Leveraging flexible distributed tokens in an access control system | |
US8795388B2 (en) | Method, apparatus and system for remote management of mobile devices | |
US9507964B2 (en) | Regulating access using information regarding a host machine of a portable storage drive | |
JP4397883B2 (en) | Information processing system, management server, and terminal | |
JP4926636B2 (en) | Information processing system and terminal | |
TWI494785B (en) | System and method for providing a system management command | |
US10216937B2 (en) | Secure BIOS password method in server computer | |
JP2017517823A (en) | Techniques for operating services with machine-generated authentication tokens | |
CN101771689A (en) | Method and system for enterprise network single-sign-on by a manageability engine | |
US10037418B2 (en) | Pre-boot authentication credential sharing system | |
TW201939338A (en) | Hardware security | |
US20200134149A1 (en) | Login mechanism for operating system | |
JP4975779B2 (en) | Mechanism for interfacing with the user access manager | |
US11258607B2 (en) | Cryptographic access to bios | |
JP5560011B2 (en) | Remote access control method and remote access control system | |
TWI770411B (en) | Firmware access based on temporary passwords | |
JP5154646B2 (en) | System and method for unauthorized use prevention control | |
JP6069289B2 (en) | Administrator password authentication method, computer, and computer program | |
KR20190061606A (en) | Method and system for protecting personal information infringement using division of authentication process and biometrics authentication | |
WO2019088975A1 (en) | Regulating access | |
US20140289519A1 (en) | Entities with biometrically derived keys | |
KR20210016987A (en) | Controlling method and apparatus of rental based safe keeping system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160916 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161004 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161030 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161226 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6069289 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |