JP6653029B1 - 情報処理システム、情報処理装置、及び情報処理方法 - Google Patents

情報処理システム、情報処理装置、及び情報処理方法 Download PDF

Info

Publication number
JP6653029B1
JP6653029B1 JP2019004588A JP2019004588A JP6653029B1 JP 6653029 B1 JP6653029 B1 JP 6653029B1 JP 2019004588 A JP2019004588 A JP 2019004588A JP 2019004588 A JP2019004588 A JP 2019004588A JP 6653029 B1 JP6653029 B1 JP 6653029B1
Authority
JP
Japan
Prior art keywords
information
information processing
public key
key
management server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019004588A
Other languages
English (en)
Other versions
JP2020113928A (ja
Inventor
西山 勝
勝 西山
拓水 今井
拓水 今井
康祐 大谷
康祐 大谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Priority to JP2019004588A priority Critical patent/JP6653029B1/ja
Application granted granted Critical
Publication of JP6653029B1 publication Critical patent/JP6653029B1/ja
Publication of JP2020113928A publication Critical patent/JP2020113928A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】セキュリティを向上する。【解決手段】情報処理システムは、情報処理装置と、管理サーバとを備え、情報処理装置は、公開鍵暗号の公開鍵及び秘密鍵を生成する鍵生成処理と、秘密鍵に基づいて、公開鍵暗号により認証情報を生成する認証情報生成処理とを実行するセキュリティモジュールと、セキュリティモジュールに鍵生成処理を実行させ、生成された公開鍵と、自装置を識別する装置識別情報と対応付けて製品登録サーバに登録させるために少なくとも公開鍵を自装置の外部に送信する初期設定処理部と、セキュリティモジュールに認証情報生成処理を実行させ、生成された認証情報と、装置識別情報とを管理サーバに送信し、管理サーバが、製品登録サーバに登録されている装置識別情報に対応する公開鍵に基づいて認証情報が正当であると認証した場合に、アプリケーションの実行を許可するアプリケーション管理部とを備える。【選択図】図2

Description

本発明は、情報処理システム、情報処理装置、及び情報処理方法に関する。
近年、ネットワークに接続可能な情報処理装置を用いて、ネットワークを利用した会議システムなどの情報処理システムが普及している。また、情報処理システムにおいて、TPM(Trusted Platform Module)を利用してセキュリティを高める技術が知られている。
特開2006−92533号公報
しかしながら、上述した情報処理システムでは、ネットワークを経由して、例えば、情報処理装置の成りすましや乗っ取りなどが行われる可能性があり、よりセキュリティが高く安全なシステムが求められている。
本発明は、上記問題を解決すべくなされたもので、その目的は、セキュリティを向上させることができる情報処理システム、情報処理装置、及び情報処理方法を提供することにある。
上記問題を解決するために、本発明の一態様は、情報処理装置と、前記情報処理装置とネットワークを経由して接続可能な管理サーバとを備え、前記情報処理装置は、公開鍵暗号の公開鍵及び秘密鍵を生成し、生成した前記公開鍵及び前記秘密鍵を内蔵する不揮発性記憶部に記憶する鍵生成処理と、前記秘密鍵に基づいて、前記公開鍵暗号により認証情報を生成する認証情報生成処理とを実行するセキュリティモジュールと、前記セキュリティモジュールに前記鍵生成処理を実行させ、生成された前記公開鍵と、自装置を識別する装置識別情報と対応付けて製品登録サーバに登録させるために少なくとも前記公開鍵を自装置の外部に送信する初期設定処理部と、前記セキュリティモジュールに前記認証情報生成処理を実行させ、生成された前記認証情報と、前記装置識別情報とを前記管理サーバに送信し、前記管理サーバが、前記装置識別情報に対応する前記公開鍵に基づいて前記認証情報が正当であると認証した場合に、アプリケーションの実行を許可するアプリケーション管理部と、オペレーティングシステムを起動し、外部との入出力を制御する基本入出力システムとを備え、前記管理サーバは、前記情報処理装置から前記認証情報と、前記装置識別情報とを受信した場合に、前記製品登録サーバに登録されている前記装置識別情報に対応する前記公開鍵に基づいて、前記公開鍵暗号により前記認証情報を認証する認証処理部を備え、前記初期設定処理部は、前記基本入出力システムの設定を変更するための変更認可情報の初期値を、前記基本入出力システムに登録し、前記基本入出力システムは、前記管理サーバから取得した前記変更認可情報が、前記登録されている変更認可情報と一致する場合に、前記変更認可情報の変更を含む前記基本入出力システムの設定の変更を許可し、前記管理サーバは、前記基本入出力システムに、前記変更認可情報の初期値を利用者に指定された前記変更認可情報に変更させる処理を実行させ、前記情報処理装置は、前記変更認可情報の初期値が利用者に指定された前記変更認可情報に変更されるまで、少なくとも前記ネットワークとの接続機能を含む前記情報処理装置の一部機能を停止する低消費電力モードへの移行を禁止する情報処理システムである。
また、本発明の一態様は、上記の情報処理システムにおいて、前記情報処理装置は、数を生成する乱数生成部とを備え、前記基本入出力システムは、前記オペレーティングシステムを起動するごとに、前記セキュリティモジュールが前記鍵生成処理の実行を認可するための鍵生成認可情報を、前記乱数生成部が生成する前記乱数に基づいて変更するようにしてもよい。
また、本発明の一態様は、上記の情報処理システムにおいて、前記管理サーバは、前記利用者の要求に応じて、前記基本入出力システムに、外部との入出力の許可又は禁止の設定を変更させるようにしてもよい。
また、本発明の一態様は、上記の情報処理システムにおいて、前記アプリケーション管理部は、自装置が起動するごとに、前記装置識別情報とを前記管理サーバに送信し、前記管理サーバが、前記認証情報が正当であると認証した場合に、アプリケーションの実行を許可するようにしてもよい。
また、本発明の一態様は、上記の情報処理システムにおいて、前記セキュリティモジュールは、TPM(Trusted Platform Module)であってもよい。
また、本発明の一態様は、公開鍵暗号の公開鍵及び秘密鍵を生成し、生成した前記公開鍵及び前記秘密鍵を内蔵する不揮発性記憶部に記憶する鍵生成処理と、前記秘密鍵に基づいて、前記公開鍵暗号により認証情報を生成する認証情報生成処理とを実行するセキュリティモジュールと、前記セキュリティモジュールに前記鍵生成処理を実行させ、生成された前記公開鍵と、自装置を識別する装置識別情報と対応付けて製品登録サーバに登録させるために少なくとも前記公開鍵を自装置の外部に送信する初期設定処理部と、前記セキュリティモジュールに前記認証情報生成処理を実行させ、生成された前記認証情報と、前記装置識別情報とを、前記自装置とネットワークを経由して接続可能な管理サーバに送信し、前記管理サーバが、前記製品登録サーバに登録されている前記装置識別情報に対応する前記公開鍵に基づいて前記認証情報が正当であると認証した場合に、アプリケーションの実行を許可するアプリケーション管理部とを備える情報処理装置である。
また、本発明の一態様は、公開鍵暗号の公開鍵及び秘密鍵を生成し、生成した前記公開鍵及び前記秘密鍵を内蔵する不揮発性記憶部に記憶する鍵生成処理と、前記秘密鍵に基づいて、前記公開鍵暗号により認証情報を生成する認証情報生成処理とを実行するセキュリティモジュールと、乱数を生成する乱数生成部と、オペレーティングシステムを起動し、外部との入出力を制御するとともに、前記オペレーティングシステムを起動するごとに、前記セキュリティモジュールが前記鍵生成処理の実行を認可するための鍵生成認可情報を、前記乱数生成部が生成する前記乱数に基づいて変更する基本入出力システムとを備える情報処理装置である。
また、本発明の一態様は、公開鍵暗号の公開鍵及び秘密鍵を生成し、生成した前記公開鍵及び前記秘密鍵を内蔵する不揮発性記憶部に記憶する鍵生成処理と、前記秘密鍵に基づいて、前記公開鍵暗号により認証情報を生成する認証情報生成処理とを実行するセキュリティモジュールと、オペレーティングシステムを起動し、外部との入出力を制御する基本入出力システムとを有する情報処理装置と、前記情報処理装置とネットワークを経由して接続可能な管理サーバとを備える情報処理システムの情報処理方法であって、前記情報処理装置が、前記セキュリティモジュールに前記鍵生成処理を実行させ、生成された前記公開鍵と、自装置を識別する装置識別情報と対応付けて製品登録サーバに登録させるために少なくとも前記公開鍵を自装置の外部に送信する初期設定処理ステップと、前記情報処理装置が、前記セキュリティモジュールに前記認証情報生成処理を実行させ、生成された前記認証情報と、前記装置識別情報とを前記管理サーバに送信する認証情報送信ステップと、前記管理サーバが、前記情報処理装置から前記認証情報と、前記装置識別情報とを受信した場合に、前記製品登録サーバに登録されている前記装置識別情報に対応する前記公開鍵に基づいて、前記公開鍵暗号により前記認証情報を認証する認証処理ステップと、前記情報処理装置が、前記認証処理ステップによって、前記装置識別情報に対応する前記公開鍵に基づいて前記認証情報が正当であると認証された場合に、アプリケーションの実行を許可するアプリケーション管理ステップとを含み、前記初期設定処理ステップにおいて、前記情報処理装置が、前記基本入出力システムの設定を変更するための変更認可情報の初期値を、前記基本入出力システムに登録し、前記基本入出力システムが、前記管理サーバから取得した前記変更認可情報が、前記登録されている変更認可情報と一致する場合に、前記変更認可情報の変更を含む前記基本入出力システムの設定の変更を許可し、前記管理サーバが、前記基本入出力システムに、前記変更認可情報の初期値を利用者に指定された前記変更認可情報に変更させる処理を実行させ、前記情報処理装置が、前記変更認可情報の初期値が利用者に指定された前記変更認可情報に変更されるまで、少なくとも前記ネットワークとの接続機能を含む前記情報処理装置の一部機能を停止する低消費電力モードへの移行を禁止する情報処理方法である。
本発明の上記態様によれば、セキュリティを向上させることができる。
本実施形態による情報処理システムの主要なハードウェア構成の一例を示す図である。 本実施形態による情報処理システムの機能構成の一例を示すブロック図である。 本実施形態における製品情報記憶部のデータ例を示す図である。 本実施形態におけるTPMの階層構造の一例を示す図である。 本実施形態による情報処理システムの製造工程の処理の一例を示す図である。 本実施形態による情報処理装置の鍵生成処理の一例を示すフローチャートである。 本実施形態における製品出荷時のTPMの状態例を示す図である。 本実施形態による情報処理システムのアプリケーション実行処理の一例を示す図である。 本実施形態による情報処理システムの設定変更処理の一例を示す図である。
以下、本発明の一実施形態による情報処理システム、情報処理装置、及び制御方法について図面を参照して説明する。
図1は、本実施形態による情報処理システム1の主要なハードウェア構成の一例を示す図である。また、図2は、本実施形態による情報処理システム1の機能構成の一例を示すブロック図である。
図1及び図2に示すように、情報処理システム1は、情報処理装置100と、製品登録サーバ200と、管理サーバ300と、管理者端末400と、製造サーバ600とを備える。
情報処理装置100と、製品登録サーバ200と、管理サーバ300と、管理者端末400と、製造サーバ600とは、それぞれネットワークNW1に接続可能に構成されており、それぞれは、ネットワークNW1を経由して接続し、互いに通信可能である。
なお、本実施形態では、情報処理システム1の一例として、ネットワークNW1を利用して会議を行う会議システムについて説明する。図1及ぶ図2には、ネットワークNW1には、1台の情報処理装置100が接続されている例を記載しているが、複数の情報処理装置100が接続可能である。
情報処理装置100は、例えば、ネットワークNW1を利用した会議システムに使用する会議装置である。図1に示すように、情報処理装置100は、主要なハードウェア構成として、CPU11と、メインメモリ12と、チップセット21と、BIOSメモリ22と、SSD23と、USBコネクタ24と、オーディオシステム25と、マイク26と、スピーカ27と、ビデオシステム28と、ビデオ入出力部29と、WLANカード30と、EC31と、スイッチ部32と、電源回路33と、TPM40とを備える。
CPU(Central Processing Unit)11は、プログラム制御により種々の演算処理を実行し、情報処理装置100全体を制御している。
メインメモリ12は、CPU11の実行プログラムの読み込み領域として、又は、実行プログラムの処理データを書き込む作業領域として利用される書き込み可能メモリである。メインメモリ12は、例えば、複数個のDRAM(Dynamic Random Access Memory)チップで構成される。この実行プログラムには、OS(オペレーティングシステム)、周辺機器類をハードウェア操作するための各種ドライバ、各種サービス/ユーティリティ、アプリケーションプログラム(以下、アプリケーションという)等が含まれる。
チップセット21は、USB(Universal Serial Bus)、シリアルATA(AT Attachment)、SPI(Serial Peripheral Interface)バス、PCI(Peripheral Component Interconnect)バス、PCI−Expressバス、及びLPC(Low Pin Count)バスなどのコントローラを備えており複数のデバイスが接続される。図1では、デバイスの例示として、BIOSメモリ22と、SSD23と、USBコネクタ24と、オーディオシステム25と、ビデオシステム28と、WLANカード30と、EC31と、TPM40とが、チップセット21に接続されている。
BIOS(Basic Input Output System:基本入出力システム)メモリ22は、例えば、EEPROM(Electrically Erasable Programmable Read Only Memory)やフラッシュROMなどの電気的に書き換え可能な不揮発性メモリで構成される。BIOSメモリ22は、BIOS、及びEC31などを制御するためのシステムファームウェアなどを記憶する。
SSD(Solid State Drive)23は、OS、各種ドライバ、各種サービス/ユーティリティ、アプリケーション、及び各種データを記憶する。SSD23は、例えば、OSとして、例えば、Windows10(Windowsは登録商標)等を記憶する。
USBコネクタ24は、USBを利用した周辺機器類を接続するためのコネクタである。USBコネクタ24に接続される周辺機器は、例えば、キーボード、マウス、USBカメラなどである。
オーディオシステム25は、音データの記録、再生、出力を行う。オーディオシステム25は、例えば、接続されたマイク26から音データを取得し、接続されたスピーカ27から音データを出力する。
ビデオシステム28は、画像表示に関連する機能を実現するためのシステムであり、ビデオコントローラを含んでいる。このビデオコントローラは、CPU11からの描画命令を処理し、処理した描画情報をビデオメモリに書き込むとともに、ビデオメモリからこの描画情報を読み出して、ビデオ入出力部29を介して、表示データとして出力する。また、ビデオシステム28は、ビデオ入出力部29を介して、外部からの表示データを取得する。
ビデオ入出力部29は、例えば、HDMI(High-Definition Multimedia Interface、HDMIは登録商標)などの外部入力用、及び外部出力用の表示ポートである、ビデオ入出力部29は、外部から表示データを取得する場合、及び、外部モニタなどに表示データを表示させる場合に利用される。
WLAN(Wireless Local Area Network)カード30は、ワイヤレス(無線)LANにより、ネットワークNW1に接続して、データ通信を行う。WLANカード30は、例えば、ネットワークNW1を経由して各種装置(例えば、管理サーバ300、製造サーバ600など)とデータ通信を行う。
EC(エンベデッドコントローラ)31は、情報処理装置100のシステム状態に関わらず、各種デバイス(周辺装置やセンサ等)を監視し制御するワンチップマイコン(One-Chip Microcomputer)である。また、EC31は、電源回路33を制御する電源管理機能を有している。なお、EC31は、不図示のCPU、ROM、RAMなどで構成されるとともに、複数チャネルのA/D入力端子、D/A出力端子、タイマ、及びデジタル入出力端子を備えている。EC31には、それらの入出力端子を介して、例えば、スイッチ部32、及び電源回路33などが接続されており、EC31は、これらの動作を制御する。
スイッチ部32は、例えば、電源スイッチ、リセットスイッチなどの各種制御スイッチである。
電源回路33は、例えば、DC/DCコンバータ、充放電ユニット、電池ユニット、AC/DCアダプタなどを含んでおり、AC/DCアダプタ、又は電池ユニットから供給される直流電圧を、情報処理装置100を動作させるために必要な複数の電圧に変換する。また、電源回路33は、EC31からの制御に基づいて、情報処理装置100の各部に電力を供給する。また、電源回路33は、例えば、スリープモードなどのパワーダウンモード(低消費電力モード)の際に、モードに応じて、部分的に電力の供給を停止する。
TPM40(セキュリティモジュールの一例)は、情報処理装置100を安全に管理するための耐タンパ性を有するセキュリティチップである。TPM40は、例えば、暗号処理のための鍵生成や、認証情報の生成などのセキュリティに関する各種処理を実行する。なお、TPM40の詳細については、後述する。
次に、図2を参照して、情報処理装置100の機能構成について説明する。
図2に示すように、情報処理装置100は、TPM40と、BIOS52と、乱数生成部53と、初期設定処理部54と、アプリケーション管理部55と、製品番号記憶部56とを備える。また、TPM40は、制御部50と、不揮発性記憶部51とを備える。
なお、図2に示す情報処理装置100の各機能構成は、上述した図1に示す情報処理装置100のハードウェア構成により実現される。
TPM40は、例えば、公開鍵暗号のパブリックキー(公開鍵)及びプライベートキー(秘密鍵)を生成し、生成したパブリックキー及びプライベートキーを内蔵する不揮発性記憶部51に記憶する鍵生成処理と、プライベートキーに基づいて、公開鍵暗号により認証情報を生成する認証情報生成処理とを実行する。公開鍵暗号は、例えば、RSA暗号や楕円曲線暗号などの暗号アルゴリズムであり、認証情報の生成には、例えば、ECDSA(Elliptic Curve Digital Signature Algorithm)を用いる。
制御部50は、例えば、不図示のCPUにより実現されるプロセッサであり、TPM40を統括的に制御する。制御部50は、例えば、鍵生成処理部501と、認証情報生成処理部502とを備える。
鍵生成処理部501は、公開鍵暗号のパブリックキー及びプライベートキーを生成し、生成したパブリックキー及びプライベートキーを不揮発性記憶部51に記憶させる。鍵生成処理部501は、例えば、上述したECDSA用のパブリックキー及びプライベートキーを生成する。
認証情報生成処理部502は、鍵生成処理部501が生成したプライベートキーに基づいて、公開鍵暗号により認証情報を生成する。ここで、認証情報は、例えば、ECDSAによるデジタル署名である。認証情報生成処理部502は、例えば、デジタル署名を生成するメッセージをハッシュ関数によりハッシュ値を生成し、当該ハッシュ値と、不揮発性記憶部51が記憶するプライベートキーとから、公開鍵暗号(例えば、楕円曲線暗号)によりデジタル署名を生成する。
不揮発性記憶部51は、TPM40に内蔵されている記憶部であり、例えば、EEPROMやフラッシュROMなどの電気的に書き換え可能な不揮発性メモリで構成される。不揮発性記憶部51は、例えば、上述したパブリックキー及びプライベートキーなどの暗号鍵、TPM40の各種機能の許可を得るための認可情報(例えば、AuthValueなど)、及び暗号鍵などの各種情報にアクセスするためのハンドル情報、等を記憶する。
BIOS52(基本入出力システムの一例)は、例えば、BIOSメモリ22に記憶されているプログラムをメインメモリ12に読み込み、CPU11が実行することにより実現される。BIOS52は、OSを起動するとともに、情報処理装置100の外部との入出力を制御する。BIOS52は、例えば、設定変更の要求に応じて、情報処理装置100の外部との入出力の設定を変更する。また、BIOSメモリ22に、例えば、入出力の設定変更などの変更を認可(許可)するBIOSパスワード(変更認可情報)を登録しており、BIOS52は、入力されたBIOSパスワードが、登録されているBIOSパスワードと一致する場合に、BIOSパスワードを含むBIOS52の各種設定の変更を許可する。
また、BIOS52は、BIOSパスワードの初期値が利用者に指定されたBIOSパスワードに変更されるまで、少なくともネットワークNW1との接続機能を含む情報処理装置100の一部機能を停止する低消費電力モード(例えば、スリープモード)への移行を禁止する。
また、BIOS52は、例えば、OSを起動するごとに、TPM40が鍵生成処理の実行を認可するための鍵生成認可情報(例えば、PlatformAuth)を、乱数生成部53が生成する乱数に基づいて変更する。なお、鍵生成認可情報(例えば、PlatformAuthなど)の詳細については後述する。
乱数生成部53は、乱数を生成する。乱数生成部53が生成した乱数は、例えば、セキュリティに関連する処理などの各種処理に利用される。
製品番号記憶部56は、製品製造時にユニークに設定された情報処理装置100の製品番号を記憶する。製品番号には、例えば、製品型名と、シリアル番号とが含まれる。なお、製品番号は、情報処理装置100を識別する識別情報の一例である。
初期設定処理部54は、TPM40に鍵生成処理を実行させ、生成されたパブリックキーと、自装置(情報処理装置100)を識別する装置識別情報(例えば、製品番号)と対応付けて製品登録サーバ200に登録させるために少なくともパブリックキーを自装置の外部に送信する。なお、初期設定処理部54は、情報処理装置100の製造工程において使用され、製造工程において、情報処理装置100は、例えば、ネットワークNW1を経由して、製造サーバ600に接続される。初期設定処理部54は、TPM40の鍵生成処理部501によって生成されたパブリックキーを取得し、当該パブリックキーを製造サーバ600に送信する。
また、初期設定処理部54は、BIOS52の設定を変更するためのBIOSパスワードの初期値を、BIOS52に登録する。初期設定処理部54は、例えば、製造サーバ600から取得したBIOSパスワードの初期値を、BIOS52に登録する。
また、初期設定処理部54は、製造サーバ600によって付与された製品番号を製造サーバ600から取得し、取得した製品番号を製品番号記憶部56に記憶させる。
また、初期設定処理部54は、情報処理装置100を修理により、内蔵する一部のユニット交換を行った場合に、ネットワークNW1を経由して、製品登録サーバ200と接続し、製品番号を更新処理を実行する。初期設定処理部54は、製品登録サーバ200から新たに付与された製品番号を製品番号記憶部56に記憶させるとともに、例えば、パブリックキーを製品登録サーバ200に送信して、パブリックキーと製品番号とを対応付けて製品登録サーバ200に再登録させる。
アプリケーション管理部55は、TPM40に認証情報生成処理を実行させ、生成された認証情報(例えば、デジタル署名)と、製品番号とを管理サーバ300に送信する。アプリケーション管理部55は、例えば、デジタル署名を生成するメッセージをTPM40に出力し、TPM40の認証情報生成処理部502に上述した認証情報生成処理を実行させ、認証情報生成処理部502が生成したデジタル署名を取得する。アプリケーション管理部55は、TPM40から取得したデジタル署名及び生成元のメッセージからなる署名情報と、製品番号記憶部56が記憶する製品番号とを含む情報(認証要求)を、管理サーバ300に送信する。アプリケーション管理部55は、自装置(情報処理装置100)が起動するごとに、署名情報と製品番号とを含む情報(認証要求)を管理サーバ300に送信する。
また、アプリケーション管理部55は、管理サーバ300が、製品番号に対応するパブリックキーに基づいてデジタル署名が正当であると認証した場合に、アプリケーションの実行を許可する。ここで、アプリケーションは、例えば、Skype(登録商標)などの会議システムに利用するアプリケーションプログラムである。アプリケーション管理部55は、例えば、管理サーバ300からデジタル署名の認証結果に基づく応答を受信し、認証結果において、デジタル署名が正当であると認証された場合に、アプリケーションの実行を許可する。
なお、デジタル署名の認証結果に基づく応答は、認証結果に基づいてアプリケーションの実行の許可を指示する許可指示情報であってもよいし、認証結果を含む情報であってもよい。認証結果に基づく応答が認証結果を含む情報である場合には、アプリケーション管理部55は、認証結果に基づいて、デジタル署名が正当であるか否かを判定する。
また、アプリケーション管理部55は、情報処理装置100の通常使用時において使用され、通常使用時において、情報処理装置100は、例えば、ネットワークNW1を経由して、管理サーバ300に接続される。
製造サーバ600は、情報処理装置100の出荷前の製造工程において、情報処理装置100に接続されるサーバ装置である。製造サーバ600は、例えば、情報処理装置100に対して製品番号を付与し、当該製品番号を情報処理装置100に送信させる。製造サーバ600は、製品番号として、情報処理装置100ごとに異なる番号を付与する。
また、製造サーバ600は、情報処理装置100に対してBIOSパスワードの初期値を生成し、当該初期値を情報処理装置100に送信する。製造サーバ600は、例えば、公開されていない予め定められた所定の生成アルゴリズムであって、情報処理装置100に対して一意に設定可能な所定の生成アルゴリズムにより、BIOSパスワードの初期値を生成する。
また、製造サーバ600は、TPM40の鍵生成処理部501が生成したパブリックキーを情報処理装置100から取得し、当該パブリックキーと、情報処理装置100に対応する製品番号とを含む製品情報を製品登録サーバ200に送信し、パブリックキーと製品番号とを対応付けて製品登録サーバ200に登録させる。
製品登録サーバ200は、製品番号とパブリックキーとを含む製品情報を登録するサーバ装置である。製品登録サーバ200は、製品情報記憶部210を備え、製品番号とパブリックキーとを対応付けて、製品情報記憶部210に記憶させる。
製品情報記憶部210は、情報処理装置100の製品情報を登録するデータベースである。ここで、図3を参照して、製品情報記憶部210のデータ例について説明する。
図3は、本実施形態における製品情報記憶部210のデータ例を示す図である。
図3に示すように、製品情報記憶部210は、「製品型名」と、「シリアル番号」と、「パブリックキー」とを対応付けて記憶する。ここで、「製品型名」及び「シリアル番号」は、製品番号であり、情報処理装置100を識別する装置識別情報の一例である。また、「パブリックキー」は、情報処理装置100のTPMが生成した公開鍵暗号のパブリックキーを示している。
例えば、図3に示す例では、「製品型名」が“XXXX”及び「シリアル番号」が“SN00000001”である情報処理装置100の「パブリックキー」が“XXXXXXXXXXXX”であることを示している。
図2の説明に戻り、管理サーバ300は、情報処理装置100とネットワークNW1を経由して接続可能なサーバ装置であり、情報処理装置100の各種管理処理を実行する。管理サーバ300は、例えば、管理者による情報処理装置100を管理するためのウェブサイトサービスを提供するウェブサーバである。
また、管理サーバ300は、認証処理部310と、管理処理部320と、利用者情報記憶部330とを備える。
利用者情報記憶部330は、管理サーバ300を利用するためのログイン情報(利用者ID及びログインパスワード)などを記憶する。
認証処理部310は、情報処理装置100から署名情報と製品番号とを受信した場合に、製品登録サーバ200に登録されている装置識別情報に対応するパブリックキーに基づいて、公開鍵暗号により認証情報を認証する。認証処理部310は、例えば、署名情報と製品番号とを含む情報(認証要求)を受信した場合に、受信した製品番号に対応するパブリックキーを製品登録サーバ200の製品情報記憶部210から取得する。
認証処理部310は、製品登録サーバ200から取得したパブリックキーと、情報処理装置100から受信した署名情報(メッセージ及びデジタル署名)とをから署名情報を認証する。認証処理部310は、例えば、ECDSAを用いてデジタル署名が正当であるか否かの認証を行う。
認証処理部310は、デジタル署名の認証結果に基づく応答を、製品番号に対応する情報処理装置100に送信する。
管理処理部320は、上述した管理者が情報処理装置100を管理するためのウェブサイトサービスを提供する。管理処理部320は、例えば、利用者情報記憶部330が記憶するログイン情報(利用者ID及びログインパスワード)に基づいて、ログイン処理を実行する。
また、管理処理部320は、提供するウェブサイトサービスにおいて、後述する管理者端末400からの要求に応じて、情報処理装置100のBIOS52に、BIOSパスワードの初期値を管理者(利用者)に指定されたBIOSパスワードに変更させる処理を実行させる。
また、管理サーバ300は、提供するウェブサイトサービスにおいて、管理者の要求に応じて、情報処理装置100のBIOS52に、外部との入出力の許可又は禁止の設定を変更させる。ここで、外部との入出力とは、例えば、情報処理装置100のUSBコネクタ24、及びビデオ入出力部29などであり、管理サーバ300は、情報処理装置100に、管理者の要求に応じたこれらの入出力の使用の許可又は使用の禁止させる要求を、情報処理装置100に送信する。
管理者端末400は、例えば、情報処理システム1の管理者が使用する端末装置である。管理者端末400は、ネットワークNW1を経由して、管理サーバ300と接続し、管理サーバ300が提供するウェブサイトサービスを利用するための各種情報の受け付け及び管理コンソール画面の表示、等を実行する。管理者端末400は、端末制御部410と、入力部420と、表示部430とを備える。
端末制御部410は、例えば、CPUを含むプロセッサであり、統括的に管理者端末400を制御する。端末制御部410は、ネットワークNW1を経由して管理サーバ300と接続し、例えば、情報処理装置100の設定変更などの各種処理を実行する。
入力部420は、例えば、キーボード、ポインティング・デバイス、タッチパッドなどの入力デバイスであり、管理者が入力する各種情報を受け付け、端末制御部410に出力する。
表示部430は、例えば、液晶ディスプレイなどの表示装置であり、各種情報を表示する。表示部430は、例えば、管理コンソール画面などを表示する。
次に、図4を参照して、TPM40の階層構造について説明する。
図4は、本実施形態におけるTPM40の階層構造の一例を示す図である。
TPM40は、図4に示すように、3階層からなるプラットフォーム階層を有している。プラットフォーム階層は、上位階層から順に、プライマリシードH0、プライマリキーH1(親キー階層)、及びチャイルドキーH2(子キー階層)とを有する。なお、図4に示す例は、情報処理装置100を使用する段階におけるTPMの状態を示している。
プラットフォーム階層の最上層であるプライマリシードH0は、プライマリキーH1の暗号キー(親プライベートキーKY11及び親パブリックキーKY12)を生成するための種(シード)を記憶する階層である。プライマリシードH0には、認可情報としてPlatformAuth(AV0)を有している。PlatformAuth(AV0)は、下位階層であるプライマリキーH1の暗号キー生成、及び変更を認可(許可)するための認可情報であり、鍵生成認可情報の一例である。PlatformAuth(AV0)は、OSを起動するごとに、BIOS52によって、乱数に基づいて値が変更される。BIOS52は、例えば、乱数生成部53が生成した乱数を、毎回、PlatformAuth(AV0)にセットして、当該乱数を破棄して、下位階層であるプライマリキーH1の暗号キー生成、及び変更を実行不可能にする。なお、PlatformAuth(AV0)は、プライマリシードH0の情報として、不揮発性記憶部51に記憶される。
プライマリキーH1は、親キーの階層であり、AuthValue(AV1)、親プライベートキーKY11、及び親パブリックキーKY12を有している。AuthValue(AV1)は、下位階層であるチャイルドキーH2の暗号キー生成、及び変更を認可(許可)するための認可情報であり、鍵生成認可情報の一例である。AuthValue(AV1)は、製造工程において、初期設定処理部54によって、乱数に基づいて値が変更される。初期設定処理部54は、例えば、乱数生成部53が生成した乱数を、AuthValue(AV1)にセットして、当該乱数を破棄して、下位階層であるチャイルドキーH2の暗号キー生成、及び変更を実行不可能にする。
親プライベートキーKY11及び親パブリックキーKY12は、TPM40の鍵生成処理部501によって生成された、親キーの階層用の公開鍵暗号の暗号キーである。AuthValue(AV1)と、親プライベートキーKY11及び親パブリックキーKY12と、親プライベートキーKY11及び親パブリックキーKY12にアクセスするためのハンドル情報は、プライマリキーH1の情報として、不揮発性記憶部51に記憶される。
チャイルドキーH2は、子キーの階層であり、AuthValue(AV2)、プライベートキーKY21、及びパブリックキーKY22を有している。AuthValue(AV2)は、プライベートキーKY21、及びパブリックキーKY22を使用した各種処理を実行するための認可情報である。AuthValue(AV2)は、製造工程において、初期設定処理部54によって、Null(0値)がセットされている。初期設定処理部54は、AuthValue(AV2)を未設定(Null)にして、例えば、プライベートキーKY21によるデジタル署名の生成処理の実行を可能にする。
プライベートキーKY21及びパブリックキーKY22は、TPM40の鍵生成処理部501によって生成された、子キーの階層用の公開鍵暗号の暗号キーである。AuthValue(AV2)と、プライベートキーKY21及びパブリックキーKY22と、プライベートキーKY21及びパブリックキーKY22にアクセスするためのハンドル情報は、チャイルドキーH2の情報として、不揮発性記憶部51に記憶される。
次に、図面を参照して、本実施形態による情報処理システム1の動作について説明する。
図5は、本実施形態による情報処理システム1の製造工程の処理の一例を示す図である。
図5に示すように、製造工程において、まず、製造サーバ600は、情報処理装置100に、製品番号、及びBIOSパスワードの初期値を送信する(ステップS101)。製造サーバ600は、情報処理装置100に対して製品番号(製品型名及びシリアル番号)を付与するとともに、BIOSパスワードの初期値を生成し、製品番号(製品型名及びシリアル番号)、及びBIOSパスワードの初期値を、情報処理装置100に送信する。
次に、情報処理装置100は、BIOSパスワードを設定する(ステップS102)。情報処理装置100の初期設定処理部54は、製造サーバ600から取得したBIOSパスワードの初期値を、BIOS52に登録する。
次に、情報処理装置100は、製品番号を記憶する(ステップS103)。すなわち、初期設定処理部54は、製造サーバ600から取得した製品番号製品型名及びシリアル番号)を製品番号記憶部56に記憶させる。
次に、情報処理装置100は、鍵生成処理を実行する(ステップS104)。初期設定処理部54は、TPM40の初期設定を行うとともに、TPM40の鍵生成処理部501に、公開鍵暗号のパブリックキー及びプライベートキーを生成させる。ここでのパブリックキー及びプライベートキーは、上述した図4に示すパブリックキーKY22及びプライベートキーKY21に対応する。なお、初期設定処理部54による鍵生成処理の詳細については、図6を参照して後述する。
次に、情報処理装置100は、パブリックキーを製造サーバ600に送信する(ステップS105)。初期設定処理部54は、TPM40により生成したパブリックキーを、製品登録サーバ200に登録させるために、製造サーバ600に送信する。
次に、製造サーバ600は、パブリックキーと製品番号(製品型名及びシリアル番号)とを、製品登録サーバ200に送信する(ステップS106)。、すなわち、製造サーバ600は、情報処理装置100から受信したパブリックキーと、情報処理装置100に付与した製品番号(製品型名及びシリアル番号)とを対応付けて、製品登録サーバ200に送信する。
次に、製品登録サーバ200は、パブリックキー、製品型名、及びシリアル番号を登録する(ステップS107)。製品登録サーバ200は、上述した図3に示すように、受信したパブリックキー、製品型名、及びシリアル番号を対応付けて、製品情報記憶部210に記憶させる。
次に、製品登録サーバ200は、パブリックキーの登録が完了したことを示す完了応答を製造サーバ600に送信する(ステップS108)。これにより、製品登録サーバ200は、情報処理システム1の製造工程における処理を終了する。
次に、図6を参照して、上述した図5のステップS104の鍵生成処理の詳細について説明する。
図6は、本実施形態による情報処理装置100の鍵生成処理の一例を示すフローチャートである。なお、TPM40において、PlatformAuth及びAuthValueの初期値は、Nullであるものとする。
図6に示すように、情報処理装置100は、まず、プライマリキーH1の暗号キーを生成する(ステップS201)。情報処理装置100の初期設定処理部54は、TPM40の鍵生成処理部501に、プライマリキーH1の暗号キー(親プライベートキーKY11及び親パブリックキーKY12)を生成させる。鍵生成処理部501は、生成した親プライベートキーKY11及び親パブリックキーKY12と、当該暗号キーのハンドル情報を、不揮発性記憶部51に記憶させる。
次に、初期設定処理部54は、プライマリキーH1のAuthValue(AV1)に乱数を設定する(ステップS202)。初期設定処理部54は、乱数生成部53が生成した乱数を、TPM40に出力し、TPM40の制御部50に、当該乱数を、AuthValue(AV1)として、不揮発性記憶部51に記憶させる。
次に、初期設定処理部54は、チャイルドキーH2の暗号キーを生成する(ステップS203)。すなわち、初期設定処理部54は、TPM40の鍵生成処理部501に、チャイルドキーH2の暗号キー(プライベートキーKY21及びパブリックキーKY22)を生成させる。鍵生成処理部501は、生成したプライベートキーKY21及びパブリックキーKY22と、当該暗号キーのハンドル情報を、不揮発性記憶部51に記憶させる。
次に、初期設定処理部54は、TPM40からパブリックキーを取得する(ステップS204)。すなわち、初期設定処理部54は、TPM40からチャイルドキーH2のパブリックキーKY22を取得する。
次に、初期設定処理部54は、プライマリキーH1のAuthValue(AV1)を破棄する(ステップS205)。すなわち、初期設定処理部54は、AuthValue(AV1)に設定した乱数を、情報処理装置100の内部で保持せずに破棄する。これにより、プライマリキーH1のAuthValue(AV1)は、値の照合が不可能な状態になる。ステップS205の処理後に、初期設定処理部54は、鍵生成処理を終了する。
また、図7は、本実施形態における製品出荷時のTPM40の状態例を示す図である。
この図に示すTPM40の状態は、上述した図5及び図6の処理を実行した後の状態である。
図7に示す状態では、プライマリシードH0のPlatformAuth(AV0)が未設定であるため、Nullになっている。
次に、図8を参照して、本実施形態による情報処理装置100の出荷後の処理について説明する。
図8は、本実施形態による情報処理システム1のアプリケーション実行処理の一例を示す図である。
図8に示すように、情報処理装置100は、まず、PlatformAuth(AV0)を乱数により変更する(ステップS301)。すなわち、スイッチ部32の電源スイッチが押下されると、情報処理装置100のBIOS52が起動し、乱数生成部53が生成した乱数を取得する。BIOS52は、取得した乱数を、PlatformAuth(AV0)に設定して、TPM40を上述した図4の状態にする。
なお、BIOS52は、PlatformAuth(AV0)に設定した乱数を、情報処理装置100の内部で保持せずに破棄するため、PlatformAuth(AV0)は、値の照合が不可能な状態になる。これにより、情報処理装置100は、チャイルドキーH2を含むプライマリキーH1以下の階層における暗号キーの生成及び変更が不可能になる。
次に、情報処理装置100は、OSを起動する(ステップS302)。BIOS52は、例えば、Windows10(Windowsは登録商標)を起動させる。
次に、情報処理装置100は、署名情報を生成する(ステップS303)。すなわち、情報処理装置100のアプリケーション管理部55は、例えば、乱数などで生成したメッセージのデジタル署名(認証情報)を、プライベートキーにより、TPM40に生成させる。
例えば、アプリケーション管理部55は、TPM40からプライベートキーのハンドル情報を取得し、当該ハンドル情報を利用して、TPM40にプライベートキーによるデジタル署名の生成を依頼する。なお、アプリケーション管理部55は、チャイルドキーH2のAuthValueの値(Null)及びハンドル情報とともに、メッセージのハッシュ値を、TPM40に送信する。また、アプリケーション管理部55は、TPM40から生成されたデジタル署名を取得する。
次に、情報処理装置100は、ログイン情報と、署名情報と、製品番号(製品型名及びシリアル番号)とを管理サーバ300に送信する(ステップS304)。アプリケーション管理部55は、例えば、SDD23などに予め記憶されているログイン情報(例えば、利用者ID及びログインパスワード)を取得するとともに、製品番号記憶部56から製品番号(製品型名及びシリアル番号)を取得する。アプリケーション管理部55は、ログイン情報と、署名情報と、製品番号とを管理サーバ300に送信する。ここで、署名情報には、メッセージとデジタル署名とが含まれる。
次に、管理サーバ300は、製品登録サーバ200に、製品番号(製品型名及びシリアル番号)を送信する(ステップS305)。管理サーバ300の管理処理部320は、まず、情報処理装置100から受信したログイン情報と、利用者情報記憶部330が記憶するログイン情報とが一致するか否かを判定する。管理サーバ300の認証処理部310は、ログイン情報が一致する場合に、受信した製品番号(製品型名及びシリアル番号)を製品登録サーバ200に送信して、製品番号に対応するパブリックキーを要求する。
次に、製品登録サーバ200は、パブリックキーを管理サーバ300に送信する(ステップS306)。製品登録サーバ200は、管理サーバ300から受信した製品番号(製品型名及びシリアル番号)に対応するパブリックキーを製品情報記憶部210から取得し、当該パブリックキーを管理サーバ300に送信する。
次に、管理サーバ300は、認証処理を実行する(ステップS307)。認証処理部310は、製品登録サーバ200から取得したパブリックキーを用いて、情報処理装置100から受信した署名情報の認証を行う。
次に、認証処理部310は、認証結果を情報処理装置100に送信する(ステップS308)。
次に、情報処理装置100のアプリケーション管理部55は、署名情報が正当であったか否かを判定する(ステップS309)。アプリケーション管理部55は、管理サーバ300から受信した認証結果に基づいて、署名情報が正当であったか否かを判定する。アプリケーション管理部55は、署名情報が正当である場合(ステップS309:YES)に、処理をステップS310に進め、アプリケーションの実行を許可する。ここで、アプリケーションは、例えば、Skype(登録商標)などである。
また、アプリケーション管理部55は、署名情報が正当でない場合(ステップS309:NO)に、アプリケーションの実行を不可として、アプリケーションを実行させない。
なお、上述した図8に示す一例では、情報処理装置100が、認証結果に基づいて、署名情報が正当であったか否かを判定しているが、管理サーバ300が、認証結果に基づいて、署名情報が正当であったか否かを判定し、署名情報が正当である場合に、アプリケーションの実行を許可する指示を情報処理装置100に送信するようにしてもよい。
次に、図9を参照して、情報処理装置100の設定変更処理について説明する。
図9は、本実施形態による情報処理システム1の設定変更処理の一例を示す図である。
図9に示すように、まず、管理者端末400は、管理サーバ300に接続要求を送信する(ステップS401)。管理者端末400の端末制御部410は、ウェブサイトの閲覧ソフトを動作させて、例えば、管理サーバ300のウェブサイトのURL(Uniform Resource Locator)を、管理者から入力部420を介して受け付けて、管理サーバ300に接続要求を送信する。
次に、管理サーバ300は、ログイン画面を管理者端末400に送信する(ステップS402)。すなわち、管理サーバ300の管理処理部320は、ログイン画面を管理者端末400に送信する。
次に、管理者端末400の端末制御部410は、管理サーバ300から受信したログイン画面を表示部430に表示させる(ステップS403)。
次に、管理者端末400は、ログイン情報を管理サーバ300に送信する(ステップS404)。端末制御部410は、管理者から入力部420を介してログイン情報(利用者ID及びログインパスワード)を受け付ける。端末制御部410は、入力部420が受け付けたログイン情報(利用者ID及びログインパスワード)を管理サーバ300に送信する。
次に、管理サーバ300は、管理コンソール画面を管理者端末400に送信する(ステップS405)。管理処理部320は、管理者端末400から受信したログイン情報と、利用者情報記憶部330が記憶するログイン情報とが一致するか否かを判定する。管理処理部320は、ログイン情報が一致する場合に、管理コンソール画面を管理者端末400に送信する。
次に、管理者端末400の端末制御部410は、管理サーバ300から受信した管理コンソール画面を表示部430に表示させる(ステップS406)。
次に、管理者端末400は、BIOSパスワードの変更値を取得する(ステップS407)。端末制御部410は、管理者から入力部420を介してBIOSパスワードの変更値を受け付ける。
次に、管理者端末400の端末制御部410は、BIOSパスワードの変更要求を管理サーバ300に送信する(ステップS408)。
次に、管理サーバ300の管理処理部320は、BIOSパスワードの変更要求を情報処理装置100に送信する(ステップS409)。なお、BIOSパスワードの変更要求には、BIOSパスワードの初期値と、BIOSパスワードの変更値とが含まれる。
次に、情報処理装置100は、BIOSパスワードを変更する(ステップS410)。例えば、情報処理装置100のBIOS52は、管理サーバ300から取得したBIOSパスワードが、登録されているBIOSパスワードと一致する場合に、変更認可情報の変更を含むBIOS52の設定の変更を許可する。情報処理装置100の初期設定処理部54は、BIOS52にBIOSパスワードの初期値の照合を実行させた後に、BIOSパスワードの変更値を供給して、BIOSパスワードを変更する。
次に、情報処理装置100は、スリープモードを許可する(ステップS411)。情報処理装置100のBIOS52は、BIOSパスワードの初期値が変更されたことで、情報処理装置100のスリープモードへの移行を許可する。なお、BIOS52は、BIOSパスワードの初期値が変更されるまでの間、スリープモードへの移行を禁止する。
次に、情報処理装置100は、BIOSパスワードの変更要求に対する完了応答を管理サーバ300に送信する(ステップS412)。
また、管理サーバ300は、BIOSパスワードの変更要求に対する完了応答を管理者端末400に送信する(ステップS413)。
次に、情報処理装置100の設定変更を行う場合には、管理者端末400は、管理コンソール画面において、設定変更の指示を取得する(ステップS414)。端末制御部410は、管理者から入力部420を介して設定変更の指示を受け付ける。ここで、設定変更には、情報処理装置100の外部との入出力の許可又は禁止の設定変更が含まれる。
次に、管理者端末400の端末制御部410は、設定変更要求を管理サーバ300に送信する(ステップS415)。なお、設定変更要求には、BIOSパスワードが含まれるもとのする。
次に、管理サーバ300の管理処理部320は、設定変更要求を情報処理装置100に送信する(ステップS416)。
次に、情報処理装置100は、設定変更要求に応じて、情報処理装置100の設定変更を実行する(ステップS417)。例えば、BIOS52は、管理サーバ300から取得したBIOSパスワードが、登録されているBIOSパスワードと一致する場合に、BIOS52の設定変更を許可する。初期設定処理部54は、BIOS52にBIOSパスワードの照合を実行させた後に、BIOS52の設定を変更する。
次に、情報処理装置100は、設定変更要求に対する完了応答を管理サーバ300に送信する(ステップS418)。
また、管理サーバ300は、設定変更要求に対する完了応答を管理者端末400に送信する(ステップS419)。
以上説明したように、本実施形態による情報処理システム1は、情報処理装置100と、情報処理装置100とネットワークNW1を経由して接続可能な管理サーバ300とを備える。情報処理装置100は、TPM40(セキュリティモジュール)と、初期設定処理部54と、アプリケーション管理部55とを備える。TPM40は、公開鍵暗号のパブリックキー(公開鍵)及びプライベートキー(秘密鍵)を生成し、生成したパブリックキー及びプライベートキーを内蔵する不揮発性記憶部51に記憶する鍵生成処理と、プライベートキーに基づいて、公開鍵暗号により認証情報(例えば、デジタル署名)を生成する認証情報生成処理とを実行する。初期設定処理部54は、TPM40に鍵生成処理を実行させ、生成されたパブリックキーと、自装置を識別する装置識別情報(例えば、製品番号)と対応付けて製品登録サーバ200(製品情報記憶部210)に登録させるために少なくともパブリックキーを自装置の外部に送信する。アプリケーション管理部55は、TPM40に認証情報生成処理を実行させ、生成された認証情報と、装置識別情報とを管理サーバ300に送信し、管理サーバ300が、装置識別情報に対応するパブリックキーに基づいて認証情報が正当であると認証した場合に、アプリケーションの実行を許可する。また、管理サーバ300は、情報処理装置100から認証情報と、装置識別情報とを受信した場合に、製品登録サーバ200(製品情報記憶部210)に登録されている装置識別情報(例えば、製品番号)に対応するパブリックキーに基づいて、公開鍵暗号により認証情報を認証する認証処理部310を備える。
これにより、本実施形態による情報処理システム1では、TPM40が生成したパブリックキー(公開鍵)及びプライベートキー(秘密鍵)により管理サーバ300との間で認証を行うことで、製品登録サーバ200(製品情報記憶部210)に登録されている正当な情報処理装置100が、アプリケーションの実行を許可される。すなわち、本実施形態による情報処理システム1では、認証処理で正当性が確認された情報処理装置100のみ使用可能せあり、例えば、情報処理装置100の成りすましを低減することができる。よって、本実施形態による情報処理システム1は、セキュリティを向上させることができ、より安全なシステムを提供することができる。
また、本実施形態では、情報処理装置100は、オペレーティングシステム(OS)を起動し、外部との入出力を制御するBIOS52(基本入出力システム)と、乱数を生成する乱数生成部53とを備える。BIOS52は、OSを起動するごとに、TPM40が鍵生成処理の実行を認可するための鍵生成認可情報(例えば、PlatformAuth)を、乱数生成部53が生成する乱数に基づいて変更する。
これにより、本実施形態による情報処理システム1では、OSを起動するごとに毎回、鍵生成認可情報(例えば、PlatformAuth)を乱数に基づいて変更するため、鍵生成認可情報(例えば、PlatformAuth)を特定される可能性を大幅に低減することができる。このことから、本実施形態による情報処理システム1では、情報処理装置100が内蔵するTPM40のパブリックキーとプライベートキーとの生成及び変更が不可能になるため、例えば、情報処理装置100の改ざんや乗っ取りを低減することができる。よって、本実施形態による情報処理システム1は、さらにセキュリティを向上させることができる。
また、本実施形態では、初期設定処理部54は、BIOS52の設定を変更するための変更認可情報(例えば、BIOSパスワード)の初期値を、BIOS52に登録する。BIOS52は、管理サーバ300から取得した変更認可情報(例えば、BIOSパスワード)が、登録されている変更認可情報と一致する場合に、変更認可情報の変更を含むBIOS52の設定の変更を許可する。管理サーバ300は、BIOS52に、変更認可情報の初期値を利用者に指定された変更認可情報に変更させる処理を実行させる。情報処理装置100は、変更認可情報の初期値が利用者に指定された変更認可情報に変更されるまで、少なくともネットワークNW1との接続機能を含む情報処理装置100の一部機能を停止する低消費電力モード(例えば、スリープモード)への移行を禁止する。
これにより、本実施形態による情報処理システム1では、情報処理装置100が、変更認可情報(例えば、BIOSパスワード)の変更が完了するまで、低消費電力モード(例えば、スリープモード)に移行しない。そのため、本実施形態による情報処理システム1では、例えば、低消費電力モード(例えば、スリープモード)に移行したために、変更認可情報(例えば、BIOSパスワード)を変更できないということがなく、確実に変更認可情報(例えば、BIOSパスワード)を変更することができる。
また、本実施形態では、管理サーバ300は、利用者(管理者)の要求に応じて、BIOS52に、外部との入出力の許可又は禁止の設定を変更させる。ここで、外部との入出力とは、例えば、情報処理装置100のUSBコネクタ24、及びビデオ入出力部29などである。
これにより、本実施形態による情報処理システム1では、例えば、情報処理装置100にキーボードやマウスの接続を禁止したり、表示データのビデオ入出力部29なからの入力を禁止したりすることができ、用途に応じて、機能の一部を制限することができる。
また、本実施形態では、アプリケーション管理部55は、自装置(情報処理装置100)が起動するごとに、装置識別情報とを管理サーバ300に送信し、管理サーバ300が、認証情報が正当であると認証した場合に、アプリケーションの実行を許可する。
これにより、本実施形態による情報処理システム1は、情報処理装置100が起動するごとに、認証処理を実行して、アプリケーションの実行を制限するため、さらにセキュリティを向上させることができる。
また、本実施形態では、セキュリティモジュールは、TPM(Trusted Platform Module)である。TPMは、耐タンパ性を有し、安全性が担保されているため、本実施形態による情報処理システム1は、TPM40を用いることにより、さらにセキュリティを向上させることができる。
また、本実施形態による情報処理装置100は、上述した、TPM40(セキュリティモジュール)と、初期設定処理部54と、アプリケーション管理部55とを備える。
これにより、本実施形態による情報処理装置100は、上述した情報処理システム1と同様の効果を奏し、セキュリティを向上させることができる。
また、本実施形態による情報処理装置100は、TPM40(セキュリティモジュール)と、乱数を生成する乱数生成部53と、BIOS52(基本入出力システム)とを備える。TPM40は、公開鍵暗号のパブリックキー及びプライベートキーを生成し、生成したパブリックキー及びプライベートキーを内蔵する不揮発性記憶部51に記憶する鍵生成処理と、プライベートキーに基づいて、公開鍵暗号により認証情報を生成する認証情報生成処理とを実行する。BIOS52は、OSを起動し、外部との入出力を制御するとともに、OSを起動するごとに、TPM40が鍵生成処理の実行を認可するための鍵生成認可情報(例えば、PlatformAuth)を、乱数生成部53が生成する乱数に基づいて変更する。
これにより、本実施形態による情報処理装置100は、OSを起動するごとに毎回、鍵生成認可情報(例えば、PlatformAuth)を乱数に基づいて変更するため、鍵生成認可情報(例えば、PlatformAuth)を特定される可能性を大幅に低減することができる。よって、本実施形態による情報処理装置100は、例えば、情報処理装置100の改ざんや乗っ取りを低減することができ、セキュリティを向上させることができる。
また、本実施形態による情報処理方法は、公開鍵暗号のパブリックキー及びプライベートキーを生成し、生成したパブリックキー及びプライベートキーを内蔵する不揮発性記憶部51に記憶する鍵生成処理と、プライベートキーに基づいて、公開鍵暗号により認証情報を生成する認証情報生成処理とを実行するTPM40を有する情報処理装置100と、情報処理装置100とネットワークNW1を経由して接続可能な管理サーバ300とを備える情報処理システム1の情報処理方法である。情報処理方法は、初期設定処理ステップと、認証情報送信ステップと、認証処理ステップと、アプリケーション管理ステップとを含む。初期設定処理ステップにおいて、情報処理装置100が、TPM40に鍵生成処理を実行させ、生成されたパブリックキーと、自装置を識別する装置識別情報(例えば、製品番号)と対応付けて製品登録サーバ200に登録させるために少なくともパブリックキーを自装置の外部に送信する。認証情報送信ステップにおいて、情報処理装置100が、TPM40に認証情報生成処理を実行させ、生成された認証情報と、装置識別情報とを管理サーバ300に送信する。認証処理ステップにおいて、管理サーバ300が、情報処理装置100から認証情報と、装置識別情報とを受信した場合に、製品登録サーバ200に登録されている装置識別情報に対応するパブリックキーに基づいて、公開鍵暗号により認証情報を認証する。アプリケーション管理ステップにおいて、情報処理装置100が、認証処理ステップによって、装置識別情報に対応するパブリックキーに基づいて認証情報が正当であると認証された場合に、アプリケーションの実行を許可する。
これにより、本実施形態による情報処理方法は、上述した本実施形態による情報処理システム1と同様の効果を奏し、セキュリティを向上させることができる。
なお、本発明は、上記の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で変更可能である。
例えば、上記の実施形態において、情報処理装置100の一例として、会議装置である例を説明し、情報処理システム1の一例として、会議システムである例を説明したが、これに限定されるものではない。情報処理装置100は、セキュリティモジュールを有する情報処理装置であれば、他の装置であってもよく、例えば、IoT(Internet of Things)機器などであってもよい。また、情報処理システム1は、会議システム以外の他のシステムであってもよい。
また、上記の実施形態において、情報処理装置100の初期設定処理部54は、生成したパブリックキーを製造サーバ600を経由して製品登録サーバ200に登録する例を説明したが、これに限定されるものではなく、パブリックキーを製品登録サーバ200に直接送信して登録するようにしてもよい。また、この場合、初期設定処理部54は、パブリックキーと装置識別情報とを対応付けて製品登録サーバ200に送信する。
また、上記の実施形態において、製品登録サーバ200と管理サーバ300とは、異なるサーバ装置である例を説明したが、製品登録サーバ200と管理サーバ300とを1つのサーバ装置で構成してもよいし、管理サーバ300の機能の一部を製品登録サーバ200が備えるようにしてもよい。
また、上記の実施形態において、情報処理装置100のOSが、Windows10(Windowsは登録商標)である例を説明したが、他のOSであってもよい。
また、上記の実施形態において、装置識別情報の一例として、製品型名とシリアル番号を含む製品番号を提供する例を説明したが、これに限定されるものではなく、一意(ユニーク)に情報処理装置100を特定できる情報であれば、他の情報であってもよい。
なお、上述した情報処理システム1が備える各構成は、内部に、コンピュータシステムを有している。そして、上述した情報処理システム1が備える各構成の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述した情報処理システム1が備える各構成における処理を行ってもよい。ここで、「記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行する」とは、コンピュータシステムにプログラムをインストールすることを含む。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。
また、記録媒体には、当該プログラムを配信するために配信サーバからアクセス可能な内部又は外部に設けられた記録媒体も含まれる。なお、プログラムを複数に分割し、それぞれ異なるタイミングでダウンロードした後に情報処理システム1が備える各構成で合体される構成や、分割されたプログラムのそれぞれを配信する配信サーバが異なっていてもよい。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、上述した機能の一部又は全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。上述した各機能は個別にプロセッサ化してもよいし、一部、又は全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、又は汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。
1 情報処理システム
11 CPU
12 メインメモリ
21 チップセット
22 BIOSメモリ
23 SSD
24 USBコネクタ
25 オーディオシステム
26 マイク
27 スピーカ
28 ビデオシステム
29 ビデオ入出力部
30 WLANカード
31 EC
32 スイッチ部
33 電源回路
40 TPM
50 制御部
51 不揮発性記憶部
52 BIOS
53 乱数生成部
54 初期設定処理部
55 アプリケーション管理部
56 製品番号記憶部
100 情報処理装置
200 製品登録サーバ
210 製品情報記憶部
300 管理サーバ
310 認証処理部
320 管理処理部
330 利用者情報記憶部
400 管理者端末
410 端末制御部
420 入力部
430 表示部
501 鍵生成処理部
502 認証情報生成処理部
600 製造サーバ

Claims (6)

  1. 情報処理装置と、前記情報処理装置とネットワークを経由して接続可能な管理サーバとを備え、
    前記情報処理装置は、
    公開鍵暗号の公開鍵及び秘密鍵を生成し、生成した前記公開鍵及び前記秘密鍵を内蔵する不揮発性記憶部に記憶する鍵生成処理と、前記秘密鍵に基づいて、前記公開鍵暗号により認証情報を生成する認証情報生成処理とを実行するセキュリティモジュールと、
    前記セキュリティモジュールに前記鍵生成処理を実行させ、生成された前記公開鍵と、自装置を識別する装置識別情報と対応付けて製品登録サーバに登録させるために少なくとも前記公開鍵を自装置の外部に送信する初期設定処理部と、
    前記セキュリティモジュールに前記認証情報生成処理を実行させ、生成された前記認証情報と、前記装置識別情報とを前記管理サーバに送信し、前記管理サーバが、前記装置識別情報に対応する前記公開鍵に基づいて前記認証情報が正当であると認証した場合に、アプリケーションの実行を許可するアプリケーション管理部と
    オペレーティングシステムを起動し、外部との入出力を制御する基本入出力システムと
    を備え、
    前記管理サーバは、
    前記情報処理装置から前記認証情報と、前記装置識別情報とを受信した場合に、前記製品登録サーバに登録されている前記装置識別情報に対応する前記公開鍵に基づいて、前記公開鍵暗号により前記認証情報を認証する認証処理部を備え
    前記初期設定処理部は、前記基本入出力システムの設定を変更するための変更認可情報の初期値を、前記基本入出力システムに登録し、
    前記基本入出力システムは、前記管理サーバから取得した前記変更認可情報が、前記登録されている変更認可情報と一致する場合に、前記変更認可情報の変更を含む前記基本入出力システムの設定の変更を許可し、
    前記管理サーバは、前記基本入出力システムに、前記変更認可情報の初期値を利用者に指定された前記変更認可情報に変更させる処理を実行させ、
    前記情報処理装置は、前記変更認可情報の初期値が利用者に指定された前記変更認可情報に変更されるまで、少なくとも前記ネットワークとの接続機能を含む前記情報処理装置の一部機能を停止する低消費電力モードへの移行を禁止する
    情報処理システム。
  2. 記情報処理装置は、
    乱数を生成する乱数生成部と
    を備え、
    前記基本入出力システムは、前記オペレーティングシステムを起動するごとに、前記セキュリティモジュールが前記鍵生成処理の実行を認可するための鍵生成認可情報を、前記乱数生成部が生成する前記乱数に基づいて変更する
    請求項1に記載の情報処理システム。
  3. 前記管理サーバは、前記利用者の要求に応じて、前記基本入出力システムに、外部との入出力の許可又は禁止の設定を変更させる
    請求項1又は請求項2に記載の情報処理システム。
  4. 前記アプリケーション管理部は、自装置が起動するごとに、前記装置識別情報とを前記管理サーバに送信し、前記管理サーバが、前記認証情報が正当であると認証した場合に、アプリケーションの実行を許可する
    請求項1から請求項のいずれか一項に記載の情報処理システム。
  5. 前記セキュリティモジュールは、TPM(Trusted Platform Module)である請求項1から請求項のいずれか一項に記載の情報処理システム。
  6. 公開鍵暗号の公開鍵及び秘密鍵を生成し、生成した前記公開鍵及び前記秘密鍵を内蔵する不揮発性記憶部に記憶する鍵生成処理と、前記秘密鍵に基づいて、前記公開鍵暗号により認証情報を生成する認証情報生成処理とを実行するセキュリティモジュールと、オペレーティングシステムを起動し、外部との入出力を制御する基本入出力システムとを有する情報処理装置と、前記情報処理装置とネットワークを経由して接続可能な管理サーバとを備える情報処理システムの情報処理方法であって、
    前記情報処理装置が、前記セキュリティモジュールに前記鍵生成処理を実行させ、生成された前記公開鍵と、自装置を識別する装置識別情報と対応付けて製品登録サーバに登録させるために少なくとも前記公開鍵を自装置の外部に送信する初期設定処理ステップと、
    前記情報処理装置が、前記セキュリティモジュールに前記認証情報生成処理を実行させ、生成された前記認証情報と、前記装置識別情報とを前記管理サーバに送信する認証情報送信ステップと、
    前記管理サーバが、前記情報処理装置から前記認証情報と、前記装置識別情報とを受信した場合に、前記製品登録サーバに登録されている前記装置識別情報に対応する前記公開鍵に基づいて、前記公開鍵暗号により前記認証情報を認証する認証処理ステップと、
    前記情報処理装置が、前記認証処理ステップによって、前記装置識別情報に対応する前記公開鍵に基づいて前記認証情報が正当であると認証された場合に、アプリケーションの実行を許可するアプリケーション管理ステップと
    を含み、
    前記初期設定処理ステップにおいて、前記情報処理装置が、前記基本入出力システムの設定を変更するための変更認可情報の初期値を、前記基本入出力システムに登録し、
    前記基本入出力システムが、前記管理サーバから取得した前記変更認可情報が、前記登録されている変更認可情報と一致する場合に、前記変更認可情報の変更を含む前記基本入出力システムの設定の変更を許可し、
    前記管理サーバが、前記基本入出力システムに、前記変更認可情報の初期値を利用者に指定された前記変更認可情報に変更させる処理を実行させ、
    前記情報処理装置が、前記変更認可情報の初期値が利用者に指定された前記変更認可情報に変更されるまで、少なくとも前記ネットワークとの接続機能を含む前記情報処理装置の一部機能を停止する低消費電力モードへの移行を禁止する
    報処理方法。
JP2019004588A 2019-01-15 2019-01-15 情報処理システム、情報処理装置、及び情報処理方法 Active JP6653029B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019004588A JP6653029B1 (ja) 2019-01-15 2019-01-15 情報処理システム、情報処理装置、及び情報処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019004588A JP6653029B1 (ja) 2019-01-15 2019-01-15 情報処理システム、情報処理装置、及び情報処理方法

Publications (2)

Publication Number Publication Date
JP6653029B1 true JP6653029B1 (ja) 2020-02-26
JP2020113928A JP2020113928A (ja) 2020-07-27

Family

ID=69624494

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019004588A Active JP6653029B1 (ja) 2019-01-15 2019-01-15 情報処理システム、情報処理装置、及び情報処理方法

Country Status (1)

Country Link
JP (1) JP6653029B1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021206289A1 (ko) * 2020-04-08 2021-10-14 오스티븐상근 유저 인증방법, 장치 및 프로그램

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023195620A1 (ko) * 2022-04-06 2023-10-12 삼성전자주식회사 바이오스의 패스워드 초기화를 위한 전자 장치들의 동작 방법 및 그 전자 장치들

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7711942B2 (en) * 2004-09-23 2010-05-04 Hewlett-Packard Development Company, L.P. Computer security system and method
WO2007094035A1 (ja) * 2006-02-13 2007-08-23 Seiko Instruments Inc. 検証サーバ機器
JP2008005042A (ja) * 2006-06-20 2008-01-10 Nec Corp 携帯端末の個人データ利用システム,携帯端末,携帯端末の個人データ利用方法およびプログラム
JP4279856B2 (ja) * 2006-07-18 2009-06-17 レノボ・シンガポール・プライベート・リミテッド 情報の転送方法、およびコンピュータ
CN107292176B (zh) * 2016-04-05 2021-01-15 联想企业解决方案(新加坡)有限公司 用于访问计算设备的可信平台模块的方法和系统
US10541816B2 (en) * 2016-06-01 2020-01-21 International Business Machines Corporation Controlling execution of software by combining secure boot and trusted boot features

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021206289A1 (ko) * 2020-04-08 2021-10-14 오스티븐상근 유저 인증방법, 장치 및 프로그램

Also Published As

Publication number Publication date
JP2020113928A (ja) 2020-07-27

Similar Documents

Publication Publication Date Title
US8909940B2 (en) Extensible pre-boot authentication
US8732484B2 (en) Information processing apparatus, software updating method, and image processing apparatus
JP4926636B2 (ja) 情報処理システムおよび端末
TWI568235B (zh) 安全私密位置技術
US11082214B2 (en) Key generation apparatus and key update method
JP5402498B2 (ja) 情報記憶装置、情報記憶プログラム、そのプログラムを記録した記録媒体及び情報記憶方法
JP2004021755A (ja) 記憶装置
CN110730159B (zh) 一种基于TrustZone的安全和可信混合系统启动方法
US20140237262A1 (en) System and method for establishing perpetual trust among platform domains
JP2017033537A (ja) 外部不揮発性メモリに間接アクセスするセキュリティデバイス
JP6653029B1 (ja) 情報処理システム、情報処理装置、及び情報処理方法
US20230237193A1 (en) Security processor configured to authenticate user and authorize user for user data and computing system including the same
JP2018117185A (ja) 情報処理装置、情報処理方法
JP5134338B2 (ja) 認証装置及び制御方法
CN114296873B (zh) 一种虚拟机镜像保护方法、相关器件、芯片及电子设备
US20220182248A1 (en) Secure startup method, controller, and control system
CN113366461B (zh) 使用非对称密码访问固件设置
JP6654714B1 (ja) 情報処理装置、及びセットアップ方法
US20190273609A1 (en) Mutually authenticated adaptive management interfaces for interaction with sensitive infrastructure
JP2009289242A (ja) 認証システム、情報処理装置、記憶装置、認証方法及びそのプログラム
US20230179418A1 (en) Storage controller and method of operating electronic system
WO2023116239A1 (zh) 权限确定方法、装置、计算机设备和计算机可读存储介质
JP5290863B2 (ja) ターミナルサーバ、シンクライアントシステム、及びコンピュータ資源割り当て方法
EP3836482A1 (en) Authentication authorization system, information processing device, device, authentication authorization method, and program
JP7457777B1 (ja) 情報処理システム、及びbios更新方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190912

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200114

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200124

R150 Certificate of patent or registration of utility model

Ref document number: 6653029

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250