WO2004072855A1 - Security management system - Google Patents

Security management system Download PDF

Info

Publication number
WO2004072855A1
WO2004072855A1 PCT/JP2003/001441 JP0301441W WO2004072855A1 WO 2004072855 A1 WO2004072855 A1 WO 2004072855A1 JP 0301441 W JP0301441 W JP 0301441W WO 2004072855 A1 WO2004072855 A1 WO 2004072855A1
Authority
WO
WIPO (PCT)
Prior art keywords
security
information
authentication
designated
protected
Prior art date
Application number
PCT/JP2003/001441
Other languages
French (fr)
Japanese (ja)
Inventor
Haruhisa Sakuma
Original Assignee
Fujitsu Limited
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Limited filed Critical Fujitsu Limited
Priority to PCT/JP2003/001441 priority Critical patent/WO2004072855A1/en
Publication of WO2004072855A1 publication Critical patent/WO2004072855A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Definitions

  • the present invention relates to a technique for ensuring security, such as preventing unauthorized use of a computer and protecting confidential data in the computer.
  • the protection may be released by repeatedly trying to enter the password.
  • the present invention has been made in view of the above circumstances, and has as its object to provide a security management technique that improves security by using a plurality of computers as conditions for canceling protection and using authentication performed by the plurality of computers as conditions for canceling protection. . Disclosure of the invention
  • the present invention adopts the following configuration in order to solve the above problems.
  • a security information registration unit for registering, as security information, information on a plurality of devices designated in advance for security release;
  • a protection target registration unit for registering a device to be protected
  • An acquisition unit that acquires information on the plurality of designated devices
  • An authentication unit that determines whether to perform authentication based on the information acquired by the acquisition unit and the security information registered in the security registration unit;
  • a security function unit that restricts use of the device to be protected when the authentication unit does not obtain authentication, and enables use of the device to be protected when the authentication is obtained.
  • the security information registration unit registers a designated device required for security release as security information
  • the acquisition unit acquires the presence or absence of the specified device
  • the authentication unit determines the authentication based on the presence / absence of the designated device acquired by the acquisition unit and the designated device registered as the security information, and the designated device exists. In such a case, authentication may be performed, and if the designated device does not exist, authentication may not be performed.
  • the security management system is a device to which the designated device can be connected via a network
  • the security information registration unit registers identification information of the designated device that is unique in the network as security information
  • the acquisition unit may acquire the identification information from a designated device existing on a network.
  • the security management system may be configured such that a BIOS (Basic Input Output System) of the security management system registers the security information in the security information registration unit and a protection target in the protection target registration unit during setup. good.
  • BIOS Basic Input Output System
  • the BIOS of the security management system may restrict use of a device to be protected by the security function unit before an operating system is started.
  • the security management system includes a BIOS of the management system, the operation system, and an interface for transmitting and receiving the protection target information and the security information so that the operation system can register the protection target and perform the security information.
  • security management program of the present invention comprises:
  • It is operated on a computer that has a security information registration unit that registers, as security information, information on a plurality of devices specified in advance to release security, and a protection target registration unit that registers devices to be protected.
  • the security management program is characterized in that the security information registration unit In the case where a designated device required for security release is registered as security information, in the step of acquiring information on the designated device, the presence or absence of the designated device is obtained,
  • the authentication is determined based on the presence / absence of the designated device and the designated device registered as the security information. If the designated device is present, the authentication is performed. However, if the specified device does not exist, authentication may be performed.
  • the security management program is a device to which the designated device can be connected via a network
  • the security information registration unit registers identification information of the designated device that is unique in the network as security information
  • the identification information may be acquired from a designated device existing on a network.
  • the BIOS of the computer may register the security information in the security information registration unit and register a protection target in the protection target registration unit at the time of setup.
  • the security management program may be configured such that the BIOS of the computer restricts use of the device to be protected before the operating system is activated.
  • the device to be protected may be the security system itself, a device configuring the security system, or a device usable from the security system.
  • the security management system includes a security information registration unit that registers information on a plurality of devices designated in advance for security release as security information, and a protection target registration unit that registers devices to be protected.
  • the security management method includes: when the security information registration unit has registered a designated device required for security release as security information,
  • the authentication is determined based on the presence / absence of the designated device and the designated device registered as the security information. If the designated device is present, the authentication is performed. However, if the specified device does not exist, authentication may be performed.
  • the security management method wherein the designated device is a device connectable via a network
  • the security information registration unit registers identification information of the designated device that is unique in the network as security information
  • the identification information may be acquired from a designated device existing on a network.
  • the security information may be registered in the security information registration unit and a protection target may be registered in the protection target registration unit at the time of setting up the BIOS in the computer.
  • the security management method may limit the use of the device to be protected before starting the BIOS operating system of the computer.
  • the security management method may be configured such that the device to be protected is the security system.
  • the system itself, a device that constitutes the security system, or a device that can be used from the security system.
  • FIG. 1 is a schematic configuration diagram of an embodiment according to the present invention.
  • FIG. 2 is a block diagram of the security system according to the first embodiment.
  • FIG. 3 illustrates the security management procedure
  • Figure 4 is an illustration of the BIOS setup screen
  • Figure 5 is an illustration of the BIOS setup screen
  • Figure 6 is an illustration of the BIOS setup screen
  • Figure 7 is an illustration of the BIOS setup screen
  • Figure 8 is an illustration of the BIOS setup screen
  • FIG. 9 is a schematic configuration diagram of Embodiment 2 according to the present invention.
  • FIG. 1 is a schematic diagram of Embodiment 1 according to the present invention.
  • the security management system of the present embodiment connects four computers (corresponding to designated devices) A to D specified in advance to release security by a LAN (local area network), and connects these pre-registered computers. It exchanges security information with each other and manages security so that the devices (hardware resources) to be protected can be used only when all registered computers are started up correctly.
  • FIG. 2 is a configuration example of the computers A to D.
  • each of the computers A to D has a display controller that controls a display such as a CRT and a liquid crystal display, a keyboard controller that controls a keyboard and a mouse, and a communication controller that controls communication with other computers.
  • LAN controller as part, FLASH Memoir storing BIOS, hard disk storing OS application software, hard disk controller controlling the hard disk, controlling input / output by serial port and parallel port (printer terminal), etc. It has an I / O controller, a CMOS RAM that stores BIOS setting information, a CPU (central processing unit) that performs arithmetic processing, a main storage device, and a system controller that controls each unit based on the arithmetic processing of the CPU. .
  • the BIOS of each of the computers A to D includes a security management program that causes the computers to execute a security management method.
  • a security management program that causes the computers to execute a security management method.
  • When setting up the BIOS enter the security information required for authentication and the protection target, and register them in CMOS RAM (corresponding to the security information registration unit and protection target registration unit).
  • an acquisition unit In each of the computers A to D, an acquisition unit, an authentication unit, and a security function unit are realized by executing processing by a CPU or a system controller in accordance with the BIOS.
  • the function of the acquisition unit is to acquire information on the plurality of computers. For example, information such as whether or not the computer exists on the network, identification information of the computer (such as a MAC address or CPU number) and a password that are unique in the network is obtained.
  • the function of the authentication unit is to perform authentication based on the information acquired by the acquisition unit and the security information registered in the security registration unit. For example, the obtaining unit obtains identification information of a computer existing on the network, and the authentication unit determines whether or not to perform authentication based on the identification information and the security information, and is registered in the security information registration unit. If the computer exists, the authentication is performed. If the computer registered in the security information registration section does not exist, the authentication is not performed. In the present embodiment, the presence or absence of this computer is determined based on whether or not a combination of a MAC address and a password can be correctly obtained from each computer.
  • the security function unit if authentication is not obtained by the authentication unit, The use of the device to be protected is restricted, and when the authentication is obtained, the device to be protected can be used.
  • Table 1 shows an example of a data area for storing security information described later.
  • CMOS RAM complementary metal-oxide-semiconductor
  • Flash Memory CMOS RAM or Flash Memory
  • This “security function state” stores the setting state of whether to use or not use the security function realized by this system.
  • “Participant number of personal computers” stores the number of devices required to release the security function.
  • “Number of hardware resources” stores the number of hardware resources to be protected.
  • “Hardware resource information” stores information on hardware that imposes restrictions on access. Here, as an example, it is assumed that access to the hard disk 1, the hard disk 2, the CD-ROM, and the floppy disk is restricted.
  • the device to be protected can be arbitrarily selected, and in addition to the example here, may be a partial area of a hard disk, an input / output port (such as a printer terminal or a USB port), or the computer itself.
  • “Security Information 1” to “Security Information n” are required to release the security function. The necessary attribute information unique to each device is stored. Here, the MAC address of each device and the password of the user are used for this.
  • Figure 3 shows the process of releasing the security function.
  • the computer A executes the BIOS and performs a self-diagnosis test to check whether each hardware is operating normally (step S1).
  • computer A After confirming that there is no problem in the self-diagnosis test, computer A reads “security function status” from the non-volatile storage medium and checks whether to use the security function before starting the OS (step S2). ). If the security function is not used here, normal OS startup processing is performed.
  • the computer A When security is used, the computer A prompts the user to enter a password (S3), and determines whether a correct password has been entered (S4).
  • the computer A reads the “number of participating personal computers” from the non-volatile storage medium and checks the number of devices that need to be confirmed (the number of repetitions of steps S5 to S8). If this is N, the security information 1 to security information N are read from the non-volatile storage medium in accordance with this, and the individual security release conditions from device 1 to device N (computers B to D in this example) are determined. Check whether it is established. Here, the computer A checks whether or not the registered MAC address exists on the LAN by using the function of the obtaining unit (S5).
  • Computer A determines whether or not the MAC address acquired in the above step matches the one registered in the CMOS RAM by using the function of the authentication unit (S6). If they match, the computer A sends a signal requesting a password to the computers B to D with the matching MAC address by the function of the acquisition unit, and in response, sends the password returned from the computers B to D in response. Receive (acquire). At this time, if the same authentication is performed on the other computers B to D, the computer A sends its own password to each of the computers B to D in response to the signal requesting the password from each of the computers B to D. Send (S7). Then, the computer A determines whether or not the combination of the password and the MAC address obtained in the above step matches the one registered in the CMOS RAM by the function of the authentication unit (S8).
  • Step S. 10-S12 Computer A invalidates the hardware resource subject to access protection by the function of the security function unit (Step S). 10-S12). That is, the “number of hardware resources” is read from the non-volatile storage medium, and the number of hardware resources requiring access protection (the number of repetitions of steps S10 and S11) is checked. Assuming that this is N, according to this, from Bit O to Bit (N-1) of the "Hardware Resource Information" are read from the non-volatile storage medium, and the hardware resource corresponding to each Bit is protected. Check whether it is (step S10). Then, the hardware resources that need to be protected are invalidated (step S11), and then OS is started if possible.
  • hard disk 2 becomes inaccessible after startup.
  • the protection target is the computer A itself
  • all hardware resources are invalidated and the entire computer A becomes unusable. That is, in this case, the OS is not started.
  • the power supply of the computer A may be turned off immediately in step S11. Note that it is not necessary that all devices connected to the network be configured to participate in security release. For example, only the members of mandatory members who need to be authenticated for contract reasons participate in the security release, and the other devices may simply be connected to the network. Even with such a configuration, access to hardware resources is protected until authentication is completed.
  • FIGS. 4 to 8 show examples in the case where the BIOS setup program is executed.
  • This setup program is started by pressing a specific key such as the F2 key during the self-diagnosis test. “Lock by multiple devices” in Fig. 4 is for setting the “security function status”. Move the cursor to this item and press the space key to switch between [ON] and [OFF].
  • “Number of devices” in Fig. 4 is used to set “Number of participating personal computers”. Position the cursor on this item and enter the desired number in numerical values. “Registration of device information” is for setting attribute information unique to each device required for security release.
  • Figure 5 shows a state in which nothing is set in the initial state, and all items are set to [Unset].
  • MAC address of device n (where n is a value from 1 to the number of participating personal computers) sets the MAC address of each device. If you move the cursor to this item and press the Enter key, a screen like the one shown in Fig. 6 below appears, where you enter the 6-byte MAC address in hexadecimal. The results of these settings are stored in the “MAC address” field of “Security information n”.
  • FIG. 8 shows a state in which information of all computers is set. However, for security reasons, the registered content is not displayed directly, but only that it is set.
  • Tables 2, 3, and 4 show examples of software interfaces prepared by BIOS programs. [Table 2]
  • WORD FAR (* entryPoint) (function, status); / * For 1 6bit Real Mode * /
  • WORD FAR (* entryPoint) (function, status); / * For 1 6bit Real Mode * /
  • WORD FAR (* entryPoint) (function, n) / * For 16bit Real Mode * / WORD (* entryPoint) (function, n); / * For 32bit Protected Mode ⁇ /
  • WORD FAR (* entryPoint) (function, mac_address, password); / * For 16bit Real Mode ⁇ /
  • WORD (* entryPoint) (function, mac_address, password); / * For 32bit Protected Mode * /
  • WORD FAR (* entryPoint) (function, mac_address, password); / * For 16bit Real Mode * /
  • WORD (* entryPoint) (function, mac_address, password); / * For 32bit Protected Mode * /
  • WORD FAR (* entryPoint) (function, information); / * For 16bit Real Mode * / WORD (* entryPoint) (function, information); / * For 32bit Protected
  • WORD FAR (* entryPoint) (function, information); / * For 16bit Real Mode * / WORD (* entryPoint) (function, information); / * For 32bit Protected
  • the BIOS program prepares a data structure with a specific signature in the System BIOS area, and includes 16bit Real Mode and 32bit Protected in the data structure.
  • the Entry Point is disclosed to the application program by embedding the entry address for each interface of Mode.
  • the application program can easily find the Entry Point by scanning the System BIOS area and searching for the signature determined uniquely for this interface.
  • the application program can execute each function by calling the found Entry Point with the same calling interface as the C language shown in Tables 2, 3, and 4.
  • Each interface has a function to return the current setting and a function to change the setting.
  • the BIOS program returns or changes the contents of various data areas in the nonvolatile storage medium shown in Table 1 for each function.
  • FIG. 9 is a schematic diagram of Embodiment 2 according to the present invention.
  • security information is exchanged between an authentication server and each computer (security management system). Since the configuration of each computer is the same as that of the above-described computer, the description thereof will be omitted, and different configurations will be described.
  • the authentication server S is a general computer, and has a function of transmitting security information to the other computers A and B only when the use of the device to be protected is permitted. For example, when a pre-registered MAC address and password are received from the computers A and B at a specific time or a statement, the security information (the MAC address and password of the server S) is transmitted.
  • Computer A has registered the MAC address and password of server S in CMOS RAM.
  • the authentication server S is started independently before the other computers A and B are authenticated.
  • the computer A prompts the user to enter a password, and when the correct password is entered, acquires the authentication server S security information and compares it with the registration information in the CMOS RAM. And authenticate. If this authentication is obtained, OS is started, and if not, the device to be protected is invalidated and OS is started.
  • Computer B authenticates with server S separately from computer A.
  • security management is performed so that a device to be protected cannot be used unless the server S exists on the network and is not normally activated.
  • the server s can perform security management so that the users of the computers A and B do not use the device to be protected outside the working hours.
  • the present invention is not limited to this, and any device capable of performing authentication as described above and restricting use of a protection target can be used.
  • the present invention can be similarly realized with a mobile phone, a game machine, a copying machine, a fax, and the like.
  • a mobile phone is used as a device for releasing security, and the mobile phone itself is subject to access protection.
  • network-based games have applications such as realizing startup control such that a child can start a game only after the authentication of a specific registered member, for example, a parent, has been confirmed. It is possible.
  • a plurality of computers are set as conditions for releasing protection, and the fact that authentication has been performed by these computers is set as a condition for releasing protection.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

A security management system for improving safety under the condition of security cease that a plurality of computers are present. The security management system comprises a security information registering section for registering security information on computers, a security object registering section for registering a device to be secured, an acquiring section for acquiring security information from the computers, an authorizing section for granting authorization after comparing security information acquired by the acquiring section with security information registered in the security registering section, and a security function section for limiting the use of the device if the authorizing section does not grant authorization and permitting the use of the device if authorization is granted.

Description

明細書  Specification
セキュリティ管理システム Security management system
技術分野 . Technical field .
本発明は、 コンピュータの不正使用の防止ゃコンピュータ内の機密データを保 護する等といったセキュリティを確保する技術に関する。 背景技術  The present invention relates to a technique for ensuring security, such as preventing unauthorized use of a computer and protecting confidential data in the computer. Background art
従来、 企業や家庭などに配備されている情報機器、 例えばパーソナルコンビュ ータゃワークステーションなどにおいて、 他人に見られたくない情報や不正使用 されては困るアプリケーション等が存在する場合、 その情報機器の管理者 (ユー ザ) が暗証番号やパスワード等を設定し、 情報機器の起動時に該パスワード等の 入力を求めるようにしてセキュリティを確保することが一般的に行なわれている, このようにセキュリティを確保する技術の応用例として、 例えば、 オフィスに 配備されているパーソナルコンピュータの管理者がパスヮードによりそのパーソ ナルコンピュータにセキュリティロックを施した上でオフィスを離れて遠隔地に いる際、 その管理者の同僚や部下あるいは上司が、 その情報機器に内蔵されてい るフアイルゃプログラムにアクセスしなければならない必要が生じた場合、 この 管理者が遠隔地からセキュリティロックを解除できるようにしたシステムが提案 されている (特許文献 1参照) 。  Conventionally, in the case of information devices that are deployed in companies and homes, such as personal computers and workstations, if there is information that you do not want to be seen by others or applications that cannot be used illegally, etc. It is common practice for an administrator (user) to set a security code, password, etc., and to require the input of the password, etc., when the information device is started, thereby ensuring security. As an application example of the secured technology, for example, when an administrator of a personal computer deployed in an office places a security lock on the personal computer with a password and leaves the office and is in a remote location, the administrator of the personal computer Your colleagues, subordinates, or supervisors can use the information If you must have to access the Ya program has occurred, the system which the administrator has to be released the security lock remotely has been proposed (see Patent Document 1).
また、 近年では、 指紋等のバイオメ トリックスを用いた認証や、 スマートカー ド (登録商標) を用いた認証が知られている。  In recent years, authentication using a biometric such as a fingerprint and authentication using a smart card (registered trademark) are known.
[特許文献 1 ]  [Patent Document 1]
特開 2 0 0 1— 2 8 2 6 2 5号公報 (段落番号 0 0 3 0〜 0 0 3 5 ) 上述のようなシステムでは、 誰かが正しいパスヮードを入力すれば口ックが解 除される。 即ちセキュリティのレベルは、 そのパスワードを管理する一人の人間 に委ねられている。 前記スマートカード (登録商標) や指紋等を利用することで セキュリティレベルを高めることができるが、 一人の人間に委ねられていること に変わりは無い。 しかし、 非常に重要なデータや、 データの性質によっては、 セキュリティレべ ルを一人の人間に委ねるのは望ましくない。 In the system described above, if someone enters a correct password, the lock is released. You. That is, the level of security is left to one person managing the password. The use of smart cards (registered trademark), fingerprints, and the like can increase the security level, but it is still left to one person. However, depending on the very important data and the nature of the data, it is not desirable to delegate the security level to one person.
また、 当該コンピュータが盗難にあった場合、 パスワードの入力を繰返し試行 することによつて保護が解除されてしまう可能性がある。  Also, if the computer is stolen, the protection may be released by repeatedly trying to enter the password.
本発明は、 上記事情に鑑み、 複数のコンピュータを保護解除の条件とし、 また、 これら複数のコンピュータによって認証されたことを保護解除の条件として安全 性を向上させるセキュリティ管理技術の提供を目的とする。 発明の開示  The present invention has been made in view of the above circumstances, and has as its object to provide a security management technique that improves security by using a plurality of computers as conditions for canceling protection and using authentication performed by the plurality of computers as conditions for canceling protection. . Disclosure of the invention
本発明は前記課題を解決するために、 以下の構成を採用する。  The present invention adopts the following configuration in order to solve the above problems.
即ち本発明のセキュリティ管理システムは、  That is, the security management system of the present invention
セキュリティ解除のために予め指定した複数の装置に係る情報をセキュリティ 情報として登録するセキュリティ情報登録部と、  A security information registration unit for registering, as security information, information on a plurality of devices designated in advance for security release;
保護対象の装置を登録する保護対象登録部と、  A protection target registration unit for registering a device to be protected;
前記複数の指定装置の情報を取得する取得部と、  An acquisition unit that acquires information on the plurality of designated devices;
前記取得部で取得した情報と前記セキュリティ登録部に登録したセキュリティ 情報とに基づいて認証するか否かを判断する認証部と、  An authentication unit that determines whether to perform authentication based on the information acquired by the acquisition unit and the security information registered in the security registration unit;
前記認証部で認証が得られなかった場合に前記保護対象の装置の使用を制限し、 該認証が得られた場合に該保護対象の装置の使用を可能とするセキュリティ機能 部と、 を備える。  A security function unit that restricts use of the device to be protected when the authentication unit does not obtain authentication, and enables use of the device to be protected when the authentication is obtained.
前記セキュリティ管理システムは、 前記セキュリティ情報登録部がセキユリテ ィ解除に必要な指定装置をセキュリティ情報として登録し、  In the security management system, the security information registration unit registers a designated device required for security release as security information,
前記取得部が前記指定装置の存在の有無を取得し、  The acquisition unit acquires the presence or absence of the specified device,
前記認証部が、 前記取得部で取得した前記指定装置の存在の有無と、 前記セキ ユリティ情報として登録されている指定装置とに基づいて認証の判断を行い、 前 記指定装置が存在している場合には認証し、 前記指定装置が存在しない場合には 認証しない構成としても良い。  The authentication unit determines the authentication based on the presence / absence of the designated device acquired by the acquisition unit and the designated device registered as the security information, and the designated device exists. In such a case, authentication may be performed, and if the designated device does not exist, authentication may not be performed.
前記セキュリティ管理システムは、 前記指定装置がネットワークを介して接続 可能な装置であり、 前記セキュリティ情報登録部が、 前記ネットワーク内で一意となる前記指定装 置の識別情報をセキュリティ情報として登録し、 The security management system is a device to which the designated device can be connected via a network, The security information registration unit registers identification information of the designated device that is unique in the network as security information,
前記取得部がネットワーク上に存在する指定装置から前記識別情報を取得して も良い。  The acquisition unit may acquire the identification information from a designated device existing on a network.
前記セキュリティ管理システムは、 前記セキュリティ管理システムの B I O S (Basic Input Output System)が、 セットアップ時に、 前記セキュリティ情報登 録部へ前記セキュリティ情報を登録し、 前記保護対象登録部へ保護対象を登録し ても良い。  The security management system may be configured such that a BIOS (Basic Input Output System) of the security management system registers the security information in the security information registration unit and a protection target in the protection target registration unit during setup. good.
前記セキュリティ管理システムは、 前記セキュリティ管理システムの B I O S が、 オペレーティングシステムの起動前に、 前記セキュリティ機能部によって保 護対象の装置の使用を制限しても良い。  In the security management system, the BIOS of the security management system may restrict use of a device to be protected by the security function unit before an operating system is started.
前記セキュリティ管理システムは、 前記保護対象の登録及び前記セキュリティ 情報をオペレーションシステムが行えるように、 前記管理システムの B I O Sカ、 前記オペレーションシステムと、 前記保護対象の情報及びセキュリティ情報の授 受を行うインタフェースを具備する請求項 1に記載のセキュリティ管理システム。 前記セキュリティ管理システムは、 前記保護対象の装置が、 前記セキュリティ システム自体、 前記セキュリティシステムを構成する装置、 又は前記セキユリテ ィシステムから使用可能な装置であっても良い。  The security management system includes a BIOS of the management system, the operation system, and an interface for transmitting and receiving the protection target information and the security information so that the operation system can register the protection target and perform the security information. The security management system according to claim 1, comprising: In the security management system, the device to be protected may be the security system itself, a device configuring the security system, or a device usable from the security system.
また、 本発明のセキュリティ管理プログラムは、  Further, the security management program of the present invention comprises:
セキュリティ解除のために予め指定した複数の装置に係る情報をセキュリティ 情報として登録するセキュリティ情報登録部と、 保護対象の装置を登録する保護 対象登録部とを備えたコンピュータにて運用され、  It is operated on a computer that has a security information registration unit that registers, as security information, information on a plurality of devices specified in advance to release security, and a protection target registration unit that registers devices to be protected.
前記複数の指定装置の情報を取得するステツプと、  Obtaining information on the plurality of designated devices;
前記取得情報と俞記セキュリティ登録部に登録したセキュリティ情報とに基づ いて認証するか否かを判断するステップと、  Determining whether to perform authentication based on the acquired information and the security information registered in the security registration unit;
前記で認証が得られなかった場合に前記保護対象の装置の使用を制限し、 該認 証が得られた場合に該保護対象の装置の使用を可能とするステップと、  Restricting the use of the protected device when the authentication is not obtained, and enabling the use of the protected device when the authentication is obtained;
をコンピュータに実行させる。  On a computer.
前記セキュリティ管理プログラムは、 前記セキュリティ情報登録部がセキュリ ティ解除に必要な指定装置をセキュリティ情報として登録している場合に、 前記指定装置の情報を取得するステップにて、 前記指定装置の存在の有無を取 得し、 The security management program is characterized in that the security information registration unit In the case where a designated device required for security release is registered as security information, in the step of acquiring information on the designated device, the presence or absence of the designated device is obtained,
前記認証を行うステップにて、 前記指定装置の存在の有無と、 前記セキユリテ ィ情報として登録されている指定装置とに基づいて認証の判断を行い、 前記指定 装置が存在している場合には認証し、 前記指定装置が存在しない場合には認証し ても良い。  In the step of performing the authentication, the authentication is determined based on the presence / absence of the designated device and the designated device registered as the security information. If the designated device is present, the authentication is performed. However, if the specified device does not exist, authentication may be performed.
前記セキュリティ管理プログラムは、 前記指定装置がネットワークを介して接 続可能な装置であり、  The security management program is a device to which the designated device can be connected via a network,
前記セキュリティ情報登録部が、 前記ネットワーク内で一意となる前記指定装 置の識別情報をセキュリティ情報として登録している場合に、  When the security information registration unit registers identification information of the designated device that is unique in the network as security information,
前記指定装置の情報を取得するステップにて、 ネットワーク上に存在する指定 装置から前記識別情報を取得しても良い。  In the step of acquiring information on the designated device, the identification information may be acquired from a designated device existing on a network.
前記セキュリティ管理プログラムは、 前記コンピュータの B I O Sが、 セット アップ時に、 前記セキュリティ情報登録部へ前記セキュリティ情報を登録し、 前 記保護対象登録部へ保護対象を登録しても良い。  In the security management program, the BIOS of the computer may register the security information in the security information registration unit and register a protection target in the protection target registration unit at the time of setup.
前記セキュリティ管理プログラムは、 前記コンピュータの B I O Sが、 ォペレ 一ティングシステムの起動前に、 前記保護対象の装置の使用を制限しても良い。 前記セキュリティ管理プログラムは、 前記保護対象の装置が、 前記セキユリテ ィシステム自体、 前記セキュリティシステムを構成する装置、 又は前記セキユリ ティシステムから使用可能な装置であっても良い。  The security management program may be configured such that the BIOS of the computer restricts use of the device to be protected before the operating system is activated. In the security management program, the device to be protected may be the security system itself, a device configuring the security system, or a device usable from the security system.
更に、 本発明のセキュリティ管理方法は、  Furthermore, the security management method of the present invention
セキュリティ解除のために予め指定した複数の指定装置の情報を取得するステ ップと、  A step of acquiring information of a plurality of designated devices specified in advance for security release;
前記複数の指定装置の情報に基づいて認証するか否かを判断するステップと、 前記で認証が得られなかった場合に保護対象の装置の使用を制限し、 該認証が 得られた場合に該保護対象の装置の使用を可能とするステップと、  Judging whether or not to authenticate based on the information of the plurality of designated devices; and restricting the use of the device to be protected when the authentication is not obtained, and when the authentication is obtained, Enabling the use of the device to be protected;
を情報処理装置が実行する。  Is executed by the information processing apparatus.
また、 本発明のセキュリティ管理方法は、 セキュリティ解除のために予め指定した複数の装置に係る情報をセキュリティ 情報として登録するセキュリティ情報登録部と、 保護対象の装置を登録する保護 対象登録部とを備えたセキュリティ管理システムにて実行され、 Also, the security management method of the present invention The security management system includes a security information registration unit that registers information on a plurality of devices designated in advance for security release as security information, and a protection target registration unit that registers devices to be protected.
前記複数の指定装置の情報を取得するステツプと、  Obtaining information on the plurality of designated devices;
前記取得情報と前記セキュリティ登録部に登録したセキュリティ情報とに基づ Vヽて認証するか否かを判断するステップと、  Determining whether to perform authentication based on the obtained information and the security information registered in the security registration unit;
前記で認証が得られなかった場合に前記保護対象の装置の使用を制限し、 該認 証が得られた場合に該保護対象の装置の使用を可能とするステップと、  Restricting the use of the protected device when the authentication is not obtained, and enabling the use of the protected device when the authentication is obtained;
を含む。  including.
前記セキュリティ管理方法は、 前記セキュリティ情報登録部がセキュリティ解 除に必要な指定装置をセキュリティ情報として登録している場合に、  The security management method includes: when the security information registration unit has registered a designated device required for security release as security information,
前記指定装置の情報を取得するステップにて、 前記指定装置の存在の有無を取 得し、  In the step of obtaining information on the designated device, acquiring the presence or absence of the designated device,
前記認証を行うステップにて、 前記指定装置の存在の有無と、 前記セキユリテ ィ情報として登録されている指定装置とに基づいて認証の判断を行い、 前記指定 装置が存在している場合には認証し、 前記指定装置が存在しない場合には認証し ても良い。  In the step of performing the authentication, the authentication is determined based on the presence / absence of the designated device and the designated device registered as the security information. If the designated device is present, the authentication is performed. However, if the specified device does not exist, authentication may be performed.
前記セキュリティ管理方法は、 前記指定装置がネットワークを介して接続可能 な装置であり、  The security management method, wherein the designated device is a device connectable via a network,
前記セキュリティ情報登録部が、 前記ネットワーク内で一意となる前記指定装 置の識別情報をセキュリティ情報として登録している場合に、  When the security information registration unit registers identification information of the designated device that is unique in the network as security information,
前記指定装置の情報を取得するステップにて、 ネットワーク上に存在する指定 装置から前記識別情報を取得しても良い。  In the step of acquiring information on the designated device, the identification information may be acquired from a designated device existing on a network.
前記セキュリティ管理方法は、 前記コンピュータの B I O S力 S、 セットアップ 時に、 前記セキュリティ情報登録部へ前記セキュリティ情報を登録し、 前記保護 対象登録部へ保護対象を登録しても良い。  In the security management method, the security information may be registered in the security information registration unit and a protection target may be registered in the protection target registration unit at the time of setting up the BIOS in the computer.
前記セキュリティ管理方法は、 前記コンピュータの B I O S力 オペレーティ ングシステムの起動前に、 前記保護対象の装置の使用を制限しても良い。  The security management method may limit the use of the device to be protected before starting the BIOS operating system of the computer.
前記セキュリティ管理方法は、 前記保護対象の装置が、 前記セキュリティシス テム自体、 前記セキュリティシステムを構成する装置、 又は前記セキュリティシ ステムから使用可能な装置であっても良い。 図面の簡単な説明 The security management method may be configured such that the device to be protected is the security system. The system itself, a device that constitutes the security system, or a device that can be used from the security system. BRIEF DESCRIPTION OF THE FIGURES
図 1は、 本発明に係る実施形態の概略構成図  FIG. 1 is a schematic configuration diagram of an embodiment according to the present invention.
図 2は、 実施形態 1のセキュリティシステムのブロック図  FIG. 2 is a block diagram of the security system according to the first embodiment.
図 3は、 セキュリティ管理手順の説明図  Figure 3 illustrates the security management procedure.
図 4は、 B I O Sセットアップ画面の説明図  Figure 4 is an illustration of the BIOS setup screen
図 5は、 B I O Sセットアップ画面の説明図  Figure 5 is an illustration of the BIOS setup screen
図 6は、 B I O Sセットアップ画面の説明図  Figure 6 is an illustration of the BIOS setup screen
図 7は、 B I O Sセットアップ画面の説明図  Figure 7 is an illustration of the BIOS setup screen
図 8は、 B I O Sセットアップ画面の説明図  Figure 8 is an illustration of the BIOS setup screen
図 9は、 本発明に係る実施形態 2の概略構成図 発明を実施するための最良の形態  FIG. 9 is a schematic configuration diagram of Embodiment 2 according to the present invention.
以下、 図面を参照して本発明の実施形態を説明する。 実施形態の構成は例示で あり、 本発明は実施形態の構成に限定されない。  Hereinafter, embodiments of the present invention will be described with reference to the drawings. The configuration of the embodiment is an exemplification, and the present invention is not limited to the configuration of the embodiment.
《実施形態 1》  << Embodiment 1 >>
図 1は、 本発明に係る実施形態 1の概略図である。  FIG. 1 is a schematic diagram of Embodiment 1 according to the present invention.
本実施形態のセキュリティ管理システムは、 セキュリティ解除のために予め指 定した 4台のコンピュータ (指定装置に相当) A〜Dを L A N (local area network)で接続して、 これら予め登録したコンピュータ間で相互にセキュリティ 情報の授受を行い、 登録した全てのコンピュータが正しく起動された場合にのみ、 保護対象の装置 (ハードウェア資源) を利用可能とするようにセキュリティ管理 を行うものである。  The security management system of the present embodiment connects four computers (corresponding to designated devices) A to D specified in advance to release security by a LAN (local area network), and connects these pre-registered computers. It exchanges security information with each other and manages security so that the devices (hardware resources) to be protected can be used only when all registered computers are started up correctly.
図 2は、 前記コンピュータ A~ Dの構成例である。  FIG. 2 is a configuration example of the computers A to D.
同図に示すように、 各コンピュータ A〜Dは、 C R Tや液晶ディスプレイ等の ディスプレイを制御するディスプレイコントローラや、 キーボードゃマウスを制 御するキーボードコントローラ、 他のコンピュータとの通信を制御する通信制御 部としての L A Nコントローラ、 B I O Sを記憶した FLASH Memoir、 O Sゃァ プリケーシヨンソフト等を記憶するハードディスク、 該ハードディスクを制御す るハードディスクコントローラ、 シリアルポートやパラレルポート (プリンタ端 子) 等による入出力を制御する I / Oコントローラ、 B I O Sの設定情報を記憶 する CMOS RAM, 演算処理を行なう C P U (central processing unit) 、 主記憶 装置、 C P Uの演算処理に基づいて前記各部を制御するシステムコントローラを 有している。 As shown in the figure, each of the computers A to D has a display controller that controls a display such as a CRT and a liquid crystal display, a keyboard controller that controls a keyboard and a mouse, and a communication controller that controls communication with other computers. LAN controller as part, FLASH Memoir storing BIOS, hard disk storing OS application software, hard disk controller controlling the hard disk, controlling input / output by serial port and parallel port (printer terminal), etc. It has an I / O controller, a CMOS RAM that stores BIOS setting information, a CPU (central processing unit) that performs arithmetic processing, a main storage device, and a system controller that controls each unit based on the arithmetic processing of the CPU. .
本実施形態では、 各コンピュータ A〜Dの B I O Sが該コンピュータにセキュ リティ管理方法を実行させるセキュリティ管理プログラムを含んでいる。 なお、 この B I O Sのセットアップ時に、 認証に必要なセキュリティ情報と、 保護対象 を入力し、 CMOS RAM (セキュリティ情報登録部及び保護対象登録部に相当) に登 録する。  In the present embodiment, the BIOS of each of the computers A to D includes a security management program that causes the computers to execute a security management method. When setting up the BIOS, enter the security information required for authentication and the protection target, and register them in CMOS RAM (corresponding to the security information registration unit and protection target registration unit).
各コンピュータ A〜Dは、 この B I O Sに従って C P Uやシステムコントロー ラなどが処理を実行することにより、 取得部や、 認証部、 セキュリティ機能部を 実現している。  In each of the computers A to D, an acquisition unit, an authentication unit, and a security function unit are realized by executing processing by a CPU or a system controller in accordance with the BIOS.
該取得部の機能としては、 前記複数のコンピュータの情報を取得する。 例えば、 該コンピュータがネットワーク上に存在するか否かや、 ネットワーク内で一意と なる該コンピュータの識別情報 (MA Cアドレスや C P U番号等) 、 パスワード 等の情報を取得する。  The function of the acquisition unit is to acquire information on the plurality of computers. For example, information such as whether or not the computer exists on the network, identification information of the computer (such as a MAC address or CPU number) and a password that are unique in the network is obtained.
また、 認証部の機能としては、 前記取得部で取得した情報と前記セキュリティ 登録部に登録したセキュリティ情報とに基づいて認証を行う。 例えば前記取得部 がネットワーク上に存在するコンピュータの識別情報を取得し、 認証部がこの識 別情報とセキュリティ情報とに基づいて認証するか否かを判断し、 セキュリティ 情報登録部に登録されているコンピュータが存在している場合には認証し、 セキ ユリティ情報登録部に登録されているコンピュータが存在していなければ認証し ない。 なお、 本実施形態では、 このコンピュータの存在を有無を各コンピュータ から MA Cァドレスとパスヮードの組み合わせを正しく取得できるか否かで判断 している。  The function of the authentication unit is to perform authentication based on the information acquired by the acquisition unit and the security information registered in the security registration unit. For example, the obtaining unit obtains identification information of a computer existing on the network, and the authentication unit determines whether or not to perform authentication based on the identification information and the security information, and is registered in the security information registration unit. If the computer exists, the authentication is performed. If the computer registered in the security information registration section does not exist, the authentication is not performed. In the present embodiment, the presence or absence of this computer is determined based on whether or not a combination of a MAC address and a password can be correctly obtained from each computer.
セキュリティ機能部としては、 前記認証部で認証が得られなかつた場合に前記 保護対象の装置の使用を制限し、 該認証が得られた場合に該保護対象の装置の使 用を可能とする。 As the security function unit, if authentication is not obtained by the authentication unit, The use of the device to be protected is restricted, and when the authentication is obtained, the device to be protected can be used.
表 1は、 後述するセキュリティ情報を記憶するデータ領域の例を表している。  Table 1 shows an example of a data area for storing security information described later.
【表 1】 【table 1】
Figure imgf000009_0001
Figure imgf000009_0001
これらの情報は、 不揮発性記憶媒体(CMOS RAMや Flash Memory)内に記憶され る。  Such information is stored in a non-volatile storage medium (CMOS RAM or Flash Memory).
この 「セキュリティ機能状態」 は、 本システムで実現されるセキュリティ機能 を使用するか使用しないかの設定状態を保存する。 「参加パーソナルコンビユー タ数」 は、 セキュリティ機能の解除に必要となる装置の数を保存する。 「ハード ウェア資源数」 は、 保護対象となるハードウ ア資源の数を保存する。 「ハード ウェア資源情報」 は、 アクセスに制限を課するハードウェアの情報を保存する。 ここでは、 一例として、 ハードディスク 1、 ハードディスク 2 、 C D - R OM, フロッピーディスクへのアクセスを制限するものとした。 なお、 保護対象の装置 は任意に選択でき、 ここでの例のほか、 ハードディスクの一部の領域や入出力ポ ート (プリンタ端子や U S Bポート等) 、 コンピュータ自体としても良い。 「セ キユリティ情報 1」 ~ 「セキュリティ情報 n」 は、 セキュリティ機能の解除に必 要となる各装置固有の属性情報を保存する。 ここでは、 各装置の MACアドレス と使用者のパスヮードをこれに使用するものとした。 This “security function state” stores the setting state of whether to use or not use the security function realized by this system. “Participant number of personal computers” stores the number of devices required to release the security function. “Number of hardware resources” stores the number of hardware resources to be protected. “Hardware resource information” stores information on hardware that imposes restrictions on access. Here, as an example, it is assumed that access to the hard disk 1, the hard disk 2, the CD-ROM, and the floppy disk is restricted. The device to be protected can be arbitrarily selected, and in addition to the example here, may be a partial area of a hard disk, an input / output port (such as a printer terminal or a USB port), or the computer itself. “Security Information 1” to “Security Information n” are required to release the security function. The necessary attribute information unique to each device is stored. Here, the MAC address of each device and the password of the user are used for this.
〈セキュリティ解除手順〉  <Security release procedure>
図 3は、 セキュリティ機能の解除の処理を示したものである。 コンピュータ A は、 電源が投入されると、 B I OSを実行し、 各ハードウェアが正常に動作して いるか否かをチェックする自己診断テス トを実施する (ステップ S 1) 。  Figure 3 shows the process of releasing the security function. When the computer A is turned on, the computer A executes the BIOS and performs a self-diagnosis test to check whether each hardware is operating normally (step S1).
コンピュータ Aは、 自己診断テス トで問題がないことを確認すると、 OS起動 に先立ち、 不揮発性記憶媒体から 「セキュリティ機能状態」 を読み出し、 セキュ リティ機能を使用するかどうかをチェックする (ステップ S 2) 。 ここでセキュ リティ機能を使用しない場合には、 通常の O S起動処理を行う。  After confirming that there is no problem in the self-diagnosis test, computer A reads “security function status” from the non-volatile storage medium and checks whether to use the security function before starting the OS (step S2). ). If the security function is not used here, normal OS startup processing is performed.
また、 セキュリティを使用する場合、 該コンピュータ Aはユーザにパスワード の入力を促し (S 3) 、 正しいパスワードが入力されたか否かを判定する (S 4) 。  When security is used, the computer A prompts the user to enter a password (S3), and determines whether a correct password has been entered (S4).
正しいパスヮードが入力された場合には、 相互にセキュリティ情報のチェック を行う。 先ずコンピュータ Aは、 不揮発性記憶媒体から 「参加パーソナルコンビ ユータ数」 を読み出し、 確認が必要な装置の数 (ステップ S 5〜S 8の繰り返し 数) をチェックする。 これを Nとすると、 これに従って 「セキュリティ情報 1」 から 「セキュリティ情報 N」 までを不揮発性記憶媒体から読み出し、 装置 1から 装置 N (本例ではコンピュータ B〜D) までの個々のセキュリティ解除条件が成 立しているかどうかをチェックする。 ここでコンピュータ Aは、 取得部の機能に より、 登録した MACアドレスが LAN上に存在するか否かを確認する (S 5) 。 コンピュータ Aは、 認証部の機能により、 前記ステップで取得した MACアド レスが CMOS RAMに登録されているものと一致するか否かを判定する (S 6) 。 一致した場合、 コンピュータ Aは、 取得部の機能により、 この一致した MAC アドレスのコンピュータ B〜D宛てに、 パスワードを要求する信号を送り、 これ に応じて当該コンピュータ B〜Dから返信されたパスワードを受信 (取得) する。 このとき、 他のコンピュータ B~Dで同様の認証が行われている場合、 コンビュ ータ Aは各コンピュータ B〜Dからのパスワードを要求する信号に応じて自己の パスワードを各コンピュータ B~Dへ送信する (S 7) 。 そしてコンピュータ Aは、 認証部の機能により、 前記ステップで取得したパス ワードと MA Cアドレスの組み合わせが CMOS RAM に登録されているものと一致 するか否かを判定する (S 8 ) 。 If the correct password is entered, the security information is mutually checked. First, the computer A reads the “number of participating personal computers” from the non-volatile storage medium and checks the number of devices that need to be confirmed (the number of repetitions of steps S5 to S8). If this is N, the security information 1 to security information N are read from the non-volatile storage medium in accordance with this, and the individual security release conditions from device 1 to device N (computers B to D in this example) are determined. Check whether it is established. Here, the computer A checks whether or not the registered MAC address exists on the LAN by using the function of the obtaining unit (S5). Computer A determines whether or not the MAC address acquired in the above step matches the one registered in the CMOS RAM by using the function of the authentication unit (S6). If they match, the computer A sends a signal requesting a password to the computers B to D with the matching MAC address by the function of the acquisition unit, and in response, sends the password returned from the computers B to D in response. Receive (acquire). At this time, if the same authentication is performed on the other computers B to D, the computer A sends its own password to each of the computers B to D in response to the signal requesting the password from each of the computers B to D. Send (S7). Then, the computer A determines whether or not the combination of the password and the MAC address obtained in the above step matches the one registered in the CMOS RAM by the function of the authentication unit (S8).
そして N台のコンピュータ B〜Dについて前記処理 (S 5〜S 8 ) を繰返し、 全てのコンピュータについてセキュリティ解除の条件が成立していれば O S起動 処理に進む (S 9 ) 。  Then, the above processing (S5 to S8) is repeated for the N computers B to D, and if the security release condition is satisfied for all the computers, the process proceeds to the OS startup processing (S9).
なお、 前記ステップ 4, 6 , 8でセキュリティ解除の条件が成立していなけれ ば、 コンピュータ Aは、 セキュリティ機能部の機能により、 アクセス保護の対象 となっているハードウェア資源を無効化する (ステップ S 1 0〜S 1 2 ) 。 即ち 不揮発性記憶媒体から 「ハードウェア資源数」 を読み出し、 アクセス保護が必要 なハードウェア資源の数 (ステップ S 1 0, S 1 1の繰り返し数) をチェックす る。 これを Nとすると、 これに従って 「ハードウェア資源情報」 の B i t Oから B i t (N— 1 ) までを不揮発性記憶媒体から読み出し、 各々の B i tに対応す るハードウェア資源を保護するかどうかをチェックする (ステップ S 1 0 ) 。 そ して保護する必要のあるハードウェア資源を無効化し (ステップ S 1 1 ) 、 その 後可能であれば O Sを起動する。 例えば、 ハードディスク 2が保護対象となって いる場合なら、 起動後にハードディスク 2がアクセス不可となる。 また、 保護对 象がコンピュータ A自体である場合、 全てのハードウエア資源を無効化してコン ピュータ A全体が使用不可となる。 即ち、 この場合には O Sの起動を行わない。 なお、 このコンピュータ A自体を保護すると判定した場合 (S 1 0 ) には、 ステ ップ S 1 1で直ちにコンピュータ Aの電源を O F Fにしても良い。 なお、 ネッ トワークに接続された全ての装置が、 セキュリティ解除に参加しなければならな いような構成である必要はない。 例えば、 契約上の理由などで認証が必要な参加 必須メンバーの装置だけがセキュリティ解除に参加し、 他の装置は、 単にネット ワークに接続されているだけでもよい。 このような構成でも、 認証が済むまでは ハードウエア資源へのアクセスは保護される。  If the security release condition is not satisfied in Steps 4, 6, and 8, Computer A invalidates the hardware resource subject to access protection by the function of the security function unit (Step S). 10-S12). That is, the “number of hardware resources” is read from the non-volatile storage medium, and the number of hardware resources requiring access protection (the number of repetitions of steps S10 and S11) is checked. Assuming that this is N, according to this, from Bit O to Bit (N-1) of the "Hardware Resource Information" are read from the non-volatile storage medium, and the hardware resource corresponding to each Bit is protected. Check whether it is (step S10). Then, the hardware resources that need to be protected are invalidated (step S11), and then OS is started if possible. For example, if hard disk 2 is protected, hard disk 2 becomes inaccessible after startup. When the protection target is the computer A itself, all hardware resources are invalidated and the entire computer A becomes unusable. That is, in this case, the OS is not started. If it is determined that the computer A itself is to be protected (S10), the power supply of the computer A may be turned off immediately in step S11. Note that it is not necessary that all devices connected to the network be configured to participate in security release. For example, only the members of mandatory members who need to be authenticated for contract reasons participate in the security release, and the other devices may simply be connected to the network. Even with such a configuration, access to hardware resources is protected until authentication is completed.
図 4〜図 8は、 B I O Sセットアッププログラムを実行させた場合の例である。 本セットアッププログラムは、 自己診断テスト中に例えば F 2キーなどの特定キ 一を押すことにより起動される。 図 4の 「複数装置によるロック」 は、 「セキュリティ機能状態」 を設定するた めのものである。 この項目にカーソルを位置付け、 スペースキーを押すことによ り、 [使用する] 、 [使用しない] を切り替える。 FIGS. 4 to 8 show examples in the case where the BIOS setup program is executed. This setup program is started by pressing a specific key such as the F2 key during the self-diagnosis test. “Lock by multiple devices” in Fig. 4 is for setting the “security function status”. Move the cursor to this item and press the space key to switch between [ON] and [OFF].
同じく図 4の 「装置台数」 は、 「参加パーソナルコンピュータ数」 を設定する ためのものである。 この項目にカーソルを位置付け、 希望の台数を数値で入力す る。 「装置情報の登録」 は、 セキュリティ解除に必要な各装置固有の属性情報を 設定するためのものである。  Similarly, “Number of devices” in Fig. 4 is used to set “Number of participating personal computers”. Position the cursor on this item and enter the desired number in numerical values. “Registration of device information” is for setting attribute information unique to each device required for security release.
「アクセス保護の設定」 以下にある 4つの項目は、 「ハードウェア資源情報」 を設定するためのものである。 これらの項目も、 スペースキーを押すことにより [保護する] 、 [保護しない] を切り替える。 「装置情報の登録」 にカーソルを 移動し E n t e rキーを押すと、 次の図 5の設定画面が現れ、 詳細はこの画面で 設定する。  "Setting of access protection" The following four items are for setting "Hardware resource information". Pressing the space key also switches between [Protect] and [No] for these items. Move the cursor to "Register device information" and press the Enter key, and the following setting screen shown in Fig. 5 appears. The details are set on this screen.
図 5は、 初期状態で何も設定されていない状態を示しており、 全ての項目が [未設定] となっている。 「装置 nの MA Cアドレス」 (ここで、 nは、 1から 「参加パーソナルコンピュータ数」 までの値をとる) は、 各装置の MA Cァドレ スを設定する。 この項目にカーソルを移動し E n t e rキーを押すと、 次の図 6 のような画面が現れ、 ここで 6パイトの MA Cァドレスを 1 6進数で入力する。 これらの設定結果は、 「セキュリティ情報 n」 の 「MA Cア ドレス」 フィール ドに保存する。  Figure 5 shows a state in which nothing is set in the initial state, and all items are set to [Unset]. “MAC address of device n” (where n is a value from 1 to the number of participating personal computers) sets the MAC address of each device. If you move the cursor to this item and press the Enter key, a screen like the one shown in Fig. 6 below appears, where you enter the 6-byte MAC address in hexadecimal. The results of these settings are stored in the “MAC address” field of “Security information n”.
「装置 nのパスワード」 (ここでも、 nは、 1から 「参加パーソナルコンビュ ータ数」 までの値をとる) は、 各装置におけるパスワードを設定する。 この項目 にカーソルを移動し E n t e rキーを押すと、 次の図 7のような画面が現れ、 こ こで 8文字のパスワードを入力する。 この設定結果は、 「セキュリティ情報 n」 の 「パスワード」 フィールドに保存する。  "Password for device n" (again, n takes a value from 1 to "number of participating personal computers") sets the password for each device. When you move the cursor to this item and press the Enter key, a screen like the one shown in Figure 7 below appears, where you can enter an 8-character password. The result of this setting is stored in the "Password" field of "Security information n".
図 8は、 全てのコンピュータの情報が設定された状態を示す。 但しセキユリテ ィ上の理由により、 登録内容を直接表示せず、 単に [設定済] であることだけを 表示している。  FIG. 8 shows a state in which information of all computers is set. However, for security reasons, the registered content is not displayed directly, but only that it is set.
表 2, 3, 4は、 B I O Sプログラムの用意するソフトウェアインタフェース の例である。 一【表 2】 Tables 2, 3, and 4 show examples of software interfaces prepared by BIOS programs. [Table 2]
Get Security Status  Get Security Status
機能: 複数装置によるセキュリティの設定状態を取得する Function: Get security setting status of multiple devices
WORD FAR (*entryPoint)(function, status); /* For 1 6bit Real Mode */ WORD FAR (* entryPoint) (function, status); / * For 1 6bit Real Mode * /
WORD (*entryPoint)(function, status); /* For 32bit ProtectedWORD (* entryPoint) (function, status); / * For 32bit Protected
Mode */ Mode * /
WORD function; /* 0x0000 */  WORD function; / * 0x0000 * /
WORD *status;  WORD * status;
♦status: 0:複数装置によるセキュリティを使用しない ♦ status: 0: Do not use security with multiple devices
1:複数装置によるセキュリティを使用する  1: Use security with multiple devices
Set Security status Set Security status
機能: 複数装置【こよるセキュリティを設定する Function: Set multiple devices
WORD FAR (*entryPoint)(function, status); /* For 1 6bit Real Mode */ WORD FAR (* entryPoint) (function, status); / * For 1 6bit Real Mode * /
WORD (*entryPoint)(function, status); /* For 32bit ProtectedWORD (* entryPoint) (function, status); / * For 32bit Protected
Mode */ Mode * /
WORD function; /* 0x0001 */  WORD function; / * 0x0001 * /
WORD status; status: 0:複数装置によるセキュリティを使用しない  WORD status; status: 0: Do not use multi-device security
1 :複数装置によるセキュリティを使用する  1: Use security with multiple devices
Get Number of Macn es Get Number of Macnes
機能: 設定されている装置台数を取得する Function: Gets the number of set devices
WORD FAR (*entryPoint)(function, n); /* For 16bit Real Mode */ WORD FAR (* entryPoint) (function, n); / * For 16bit Real Mode * /
WORD (*entryPoint)(function, n); /* For 32bit ProtectedWORD (* entryPoint) (function, n); / * For 32bit Protected
Mode */ Mode * /
WORD function; /* 0x0002 */  WORD function; / * 0x0002 * /
WORD *n;  WORD * n;
*n: 装置台数 ― 【表 3】 * n: Number of devices ― [Table 3]
Set Number of Machines  Set Number of Machines
機能: 装置台数を設定する Function: Set the number of devices
WORD FAR (*entryPoint)(function, n) /* For 16bit Real Mode */ WORD (*entryPoint)(function, n); /* For 32bit Protected Mode 氺 /  WORD FAR (* entryPoint) (function, n) / * For 16bit Real Mode * / WORD (* entryPoint) (function, n); / * For 32bit Protected Mode 氺 /
WORD function; /* 0x0003 */ WORD function; / * 0x0003 * /
WORD n; n: 装置台数 WORD n; n: Number of devices
Get Machine Information Get Machine Information
機能: 登録されている装置情報を返す Function: Returns registered device information
WORD FAR (*entryPoint)(function, mac_address, password); /* For 16bit Real Mode 氺 /  WORD FAR (* entryPoint) (function, mac_address, password); / * For 16bit Real Mode 氺 /
WORD (*entryPoint)(function, mac_address, password); /* For 32bit Protected Mode */  WORD (* entryPoint) (function, mac_address, password); / * For 32bit Protected Mode * /
WORD function; /* 0x0004 */  WORD function; / * 0x0004 * /
WORD i;  WORD i;
WORD *mac一 address;  WORD * mac one address;
char *password; i: 装置識別番号 (1 ~n) char * password; i: Device identification number (1 to n)
*mac_address: 装置 iの MAGアドレス (未設定なら全て 0)  * mac_address: MAG address of device i (all 0 if not set)
♦password: 装置 iのパスワード (未設定なら Null String) ♦ password: Password for device i (null string if not set)
Set Machine information Set Machine information
機能: 装置情報を登録する  Function: Register device information
WORD FAR (*entryPoint)(function, mac_address, password); /* For 16bit Real Mode */  WORD FAR (* entryPoint) (function, mac_address, password); / * For 16bit Real Mode * /
WORD (*entryPoint)(function, mac_address, password); /* For 32bit Protected Mode */  WORD (* entryPoint) (function, mac_address, password); / * For 32bit Protected Mode * /
WORD function; /* 0x0005 */  WORD function; / * 0x0005 * /
WORD i;  WORD i;
WORD 氺 mac— address;  WORD 氺 mac—address;
char *password; i: 装置識別番号 (1〜n)  char * password; i: Device identification number (1 to n)
*mac_address: 装置 iの MAGアドレス (全て 0なら設定をクリア)  * mac_address: MAG address of device i (if all 0, clear the setting)
*password: 装置 iのパスワード(Null Stringなら設定をクリア) 【表 4】 * password: Password for device i (if null string, clear settings) [Table 4]
Get Device Information Get Device Information
機能: アクセス保護の対象となるデバイス情報を取得する Function: Get device information for access protection
WORD FAR (*entryPoint)(function, information); /* For 16bit Real Mode */ WORD (*entryPoint)(function, information); /* For 32bit ProtectedWORD FAR (* entryPoint) (function, information); / * For 16bit Real Mode * / WORD (* entryPoint) (function, information); / * For 32bit Protected
Mode */ Mode * /
WORD function; /* 0x0006氺 /  WORD function; / * 0x0006 氺 /
WORD information; information: Bit 0 - 0: ハードディスク 1を保護しない, 1: 保護する  WORD information; information: Bit 0-0: Do not protect hard disk 1, 1: Protect
Bit 1 - 0: ハードディスク 2を保護しない, 1: 保護する  Bit 1-0: Do not protect hard disk 2, 1: Protect
Bit 2 - 0: CD-ROMを保護しなしゝ, 1: 保護する  Bit 2-0: No protection for CD-ROM ゝ, 1: Protection
Bit 3 - 0: フロッピーディスクを保護しない, 1: 保護する  Bit 3-0: Do not protect floppy disk, 1: Protect
Bit 4~15— リザーブ  Bit 4 ~ 15—Reserved
Set Device Inrormation Set Device Inrormation
機能: アクセス保護の対象となるデバイス情報を設定する Function: Set device information subject to access protection
WORD FAR (*entryPoint)(function, information); /* For 16bit Real Mode */ WORD (*entryPoint)(function, information); /* For 32bit ProtectedWORD FAR (* entryPoint) (function, information); / * For 16bit Real Mode * / WORD (* entryPoint) (function, information); / * For 32bit Protected
Mode */ Mode * /
WORD function; /* 0x0007 */  WORD function; / * 0x0007 * /
WORD information; information: Bit 0 - 0: ハードディスク 1を保護しない, 1: 保護する  WORD information; information: Bit 0-0: Do not protect hard disk 1, 1: Protect
Bit 1 - 0: ハードディスク 2を保護しない, 1: 保護する  Bit 1-0: Do not protect hard disk 2, 1: Protect
Bit 2 - 0: CD-ROMを保護しない, 1: 保護する  Bit 2-0: Do not protect CD-ROM, 1: Protect
Bit 3 - 0: フロッピーディスクを保護しない, 1: 保護する  Bit 3-0: Do not protect floppy disk, 1: Protect
Bit 4〜15 - リザーブ  Bit 4-15-Reserve
B I O Sプログラムは、 System BIOS領域内に特定の Signatureを持ったデー タ構造を用意し、 そのデータ構造中に 16bit Real Modeおよび 32bit Protected Mode の各ィンタフェース用のェントリアドレスを埋め込むことによってアプリ ケーシヨンプログラムに Entry Pointを公開する。 The BIOS program prepares a data structure with a specific signature in the System BIOS area, and includes 16bit Real Mode and 32bit Protected in the data structure. The Entry Point is disclosed to the application program by embedding the entry address for each interface of Mode.
アプリケーションプログラムは、 System BIOS 領域内をスキャンし、 本インタ フェース固有に決められた Signatureを検索することで、 容易に Entry Pointを 知ることができる。 アプリケーションプログラムは、 見つけた Entry Pointを、 表 2, 3, 4に示した C言語と同じ呼び出しインタフェースでコールすることに より、 各ファンクションを実行することができる。 各インタフェースには、 現状 設定を返すファンクションと設定を変更するファンクションを用意する。 B I O Sプログラムは、 各ファンクションに対し、 表 1に示した不揮発性記憶媒体内の 各種データ領域の内容を返す、 あるいは、 変更する処理を行う。  The application program can easily find the Entry Point by scanning the System BIOS area and searching for the signature determined uniquely for this interface. The application program can execute each function by calling the found Entry Point with the same calling interface as the C language shown in Tables 2, 3, and 4. Each interface has a function to return the current setting and a function to change the setting. The BIOS program returns or changes the contents of various data areas in the nonvolatile storage medium shown in Table 1 for each function.
以上のように本実施形態によれば、 非常に機密性の高いデータへのアクセスを、 特定の人間が全員揃わない限り許可しない、 といったアクセス制御を実現できる。 また、 複数のパーソナルコンピュータがセキュリティ解除に必要となるため、 盗難に対するセキュリティが強化される。  As described above, according to the present embodiment, it is possible to realize an access control in which access to extremely confidential data is not permitted unless all specific persons are present. Also, since multiple personal computers are required to release security, security against theft is enhanced.
さらに、 複数のパーソナルコンピュータが起動、 認証されていない状態では、 複数のパーソナルコンピュータを攻撃しなければならないため、 組合せ効果によ り、 繰り返し試行による攻撃からの強度が増す。  In addition, when multiple personal computers are not activated and not authenticated, multiple personal computers must be attacked. The combined effect increases the strength of repeated attacks.
《実施形態 2》  << Embodiment 2 >>
図 9は、 本発明に係る実施形態 2の概略図である。 本実施形態では、 認証用の サーバと各コンピュータ (セキュリティ管理システム) とでセキュリティ情報の 授受を行うようにしたものである。 なお、 各コンピュータの構成は前述のコンビ ユータと同一であるので、 再度の説明を省略し、 異なる構成について説明する。 認証サーバ Sは、 一般的なコンピュータであり、 保護対象の装置の使用を許可 する場合にのみ他のコンピュータ A, Bにセキュリティ情報を送信する機能を有 している。 例えば特定の時間や曰付に該コンピュータ A, Bから予め登録した M A Cアドレスとパスワードを受信した場合に、 セキュリティ情報 (サーバ Sの M A Cアドレスやパスワード) を送信する。  FIG. 9 is a schematic diagram of Embodiment 2 according to the present invention. In this embodiment, security information is exchanged between an authentication server and each computer (security management system). Since the configuration of each computer is the same as that of the above-described computer, the description thereof will be omitted, and different configurations will be described. The authentication server S is a general computer, and has a function of transmitting security information to the other computers A and B only when the use of the device to be protected is permitted. For example, when a pre-registered MAC address and password are received from the computers A and B at a specific time or a statement, the security information (the MAC address and password of the server S) is transmitted.
コンピュータ Aは、 サーバ Sの MA Cアドレスとパスワードを CMOS RAM に登 録している。 前記認証サーバ Sは、 他のコンピュータ A, Bの認証に先立って独立に起動さ せておく。 Computer A has registered the MAC address and password of server S in CMOS RAM. The authentication server S is started independently before the other computers A and B are authenticated.
コンピュータ Aは、 前記実施形態と同様に起動時に B I O Sをすると、 ユーザ にパスワードの入力を促し、 正しいパスワードが入力されると、 認証サーバ Sセ キユリティ情報を取得し、 CMOS RAM 内の登録情報と比較して認証を行う。 そし てこの認証が得られれば O Sを起動し、 得られなければ保護対象の装置を無効化 して O Sを起動する。  When the BIOS is started at the time of booting in the same manner as the above embodiment, the computer A prompts the user to enter a password, and when the correct password is entered, acquires the authentication server S security information and compares it with the registration information in the CMOS RAM. And authenticate. If this authentication is obtained, OS is started, and if not, the device to be protected is invalidated and OS is started.
また、 コンピュータ Bは、 コンピュータ Aとは別にサーバ Sとの間で認証を行 Ό。  Computer B authenticates with server S separately from computer A.
このように本実施形態では、 ネットワーク上にサーバ Sが存在し、 正常に起動 している状態でなければ、 保護対象の装置を利用できないようにセキュリティ管 理を行っている。  As described above, in the present embodiment, security management is performed so that a device to be protected cannot be used unless the server S exists on the network and is not normally activated.
従って本実施形態によれば、 ネットワークから切り離すと、 保護対象の装置を 利用できないため、 盗難に対するセキュリティが強化される。  Therefore, according to this embodiment, if the device to be protected cannot be used when disconnected from the network, security against theft is enhanced.
また、 例えばサーバ sが勤務時間内だけセキュリティ情報を送信することで、 コンピュータ A, Bのユーザが勤務時間外に保護対象の装置を利用しないように、 セキュリティ管理を行うことができる。 産業上の利用可能性  Further, for example, by transmitting the security information only during the working hours, the server s can perform security management so that the users of the computers A and B do not use the device to be protected outside the working hours. Industrial applicability
上記の実施形態では、 主にオフィスでのパーソナルコンピュータを想定した実 施形態を示したが、 本発明はこれに限らず上記の如く認証を行って保護対象の使 用を制限できる装置であれば、 携帯電話やゲーム機、 複写機、 F A X等でも同様 に実現可能である。 例えば、 携帯電話をセキュリティ解除のための装置として利 用したり、 携帯電話自体をアクセス保護の対象とする等である。  In the above-described embodiment, an embodiment mainly assuming a personal computer in an office has been described. However, the present invention is not limited to this, and any device capable of performing authentication as described above and restricting use of a protection target can be used. However, the present invention can be similarly realized with a mobile phone, a game machine, a copying machine, a fax, and the like. For example, a mobile phone is used as a device for releasing security, and the mobile phone itself is subject to access protection.
また、 ゲーム機では、 ネットワーク対戦型のゲームで、 予め登録された特定の メンバー、 例えば、 親の認証が確認されて初めて、 子供がゲームを開始できると いった起動制御を実現する、 といった応用が可能である。  In game consoles, network-based games have applications such as realizing startup control such that a child can start a game only after the authentication of a specific registered member, for example, a parent, has been confirmed. It is possible.
以上説明したように本発明によれば、 複数のコンピュータを保護解除の条件と し、 また、 これら複数のコンピュータによって認証されたことを保護解除の条件 として安全性を向上させるセキュリティ管理システム、 セキュリティ管理プログ ラム及ぴセキュリティ管理方法を提供できる。 As described above, according to the present invention, a plurality of computers are set as conditions for releasing protection, and the fact that authentication has been performed by these computers is set as a condition for releasing protection. As a result, it is possible to provide a security management system, security management program and security management method that improve safety.

Claims

請求の範囲 The scope of the claims
1 . セキュリティ解除のために予め指定した複数の装置に係る情報をセキュリテ ィ情報として登録するセキュリティ情報登録部と、  1. A security information registration unit for registering, as security information, information on a plurality of devices designated in advance for releasing security.
保護対象の装置を登録する保護対象登録部と、  A protection target registration unit for registering a device to be protected;
前記複数の指定装置の情報を取得する取得部と、  An acquisition unit that acquires information on the plurality of designated devices;
前記取得部で取得した情報と前記セキュリティ登録部に登録したセキュリティ 情報とに基づいて認証するか否かを判断する認証部と、  An authentication unit that determines whether to perform authentication based on the information acquired by the acquisition unit and the security information registered in the security registration unit;
前記認証部で認証が得られなかった場合に前記保護対象の装置の使用を制限し 該認証が得られた場合に該保護対象の装置の使用を可能とするセキュリティ機能 部と、  A security function unit that restricts use of the device to be protected when authentication is not obtained by the authentication unit and enables use of the device to be protected when the authentication is obtained;
を備えたセキュリティ管理システム。  Security management system with.
2 . 前記セキュリティ情報登録部がセキュリティ解除に必要な指定装置をセキュ リティ情報として登録し、 2. The security information registration unit registers the designated device required for security release as security information,
前記取得部が前記指定装置の存在の有無を取得し、  The acquisition unit acquires the presence or absence of the specified device,
前記認証部が、 前記取得部で取得した前記指定装置の存在の有無と、 前記セキ ユリティ情報として登録されている指定装置とに基づいて認証の判断を行い、 前 記指定装置が存在している場合には認証し、 前記指定装置が存在しない場合には 認証しない請求項 1に記載のセキュリティ管理システム。  The authentication unit determines the authentication based on the presence / absence of the designated device acquired by the acquisition unit and the designated device registered as the security information, and the designated device exists. 2. The security management system according to claim 1, wherein authentication is performed in a case, and authentication is not performed in a case where the designated device does not exist.
3 . 前記指定装置がネットワークを介して接続可能な装置であり、  3. The designated device is a device connectable via a network,
前記セキュリティ情報登録部が、 前記ネットワーク内で一意となる前記指定装 置の識別情報をセキュリティ情報として登録し、  The security information registration unit registers identification information of the designated device that is unique in the network as security information,
前曾己取得部がネットワーク上に存在する指定装置から前記識別情報を取得する 請求項 2に記載のセキュリティ管理システム。  3. The security management system according to claim 2, wherein the former so-called acquisition unit acquires the identification information from a designated device existing on the network.
4 . 前記セキュリティ管理システムの B I O Sが、 セットアップ時に、 前記セキ ュリティ情報登録部へ前記セキュリティ情報を登録し、 前記保護対象登録部へ保 護対象を登録する請求項 1に記載のセキュリティ管理システム。  4. The security management system according to claim 1, wherein the BIOS of the security management system registers the security information in the security information registration unit and registers a protection target in the protection target registration unit during setup.
5 . 前記セキュリティ管理システムの; B I O Sが、 オペレーティングシステムの 起動前に、 前記セキユリティ機能部によつて保護対象の装置の使用を制限する請 求項 1に記載のセキュリティ管理システム。 5. The security management system according to claim 1, wherein the BIOS of the security management system restricts the use of the device to be protected by the security function unit before the operating system is started.
6 . 前記保護対象の登録及び前記セキュリティ情報をオペレーションシステムが 行えるように、 前記管理システムの B I O Sが、 前記オペレーションシステムと. 前記保護対象の情報及びセキュリティ情報の授受を行うインタフェースを具備す る請求項 1に記載のセキュリティ管理システム。 6. The BIOS of the management system includes an interface for exchanging the protection target information and the security information with the operation system so that the operation system can perform the registration of the protection target and the security information. The security management system according to 1.
7 . 前記保護対象の装置が、 前記セキュリティシステム自体、 前記セキュリティ システムを構成する装置、 又は前記セキユリティシステムから使用可能な装置で ある請求項 1に記載のセキュリティ管理システム。  7. The security management system according to claim 1, wherein the device to be protected is the security system itself, a device configuring the security system, or a device usable from the security system.
8 . セキュリティ解除のために予め指定した複数の装置に係る情報をセキユリテ ィ情報として登録するセキュリティ情報登録部と、 保護対象の装置を登録する保 護対象登録部とを備えたコンピュータにて運用されるセキュリティ管理プロダラ ムであって、  8. It is operated by a computer that has a security information registration unit that registers information on multiple devices specified in advance to release security as security information, and a protection target registration unit that registers devices to be protected. Security management program,
前記複数の指定装置の情報を取得するステップと、  Acquiring information on the plurality of designated devices;
前記取得情報と前記セキュリティ登録部に登録したセキユリティ情報とに基づ Vヽて認証するか否かを判断するステップと、  Determining whether to perform authentication based on the obtained information and the security information registered in the security registration unit;
前記で認証が得られなかつた場合に前記保護対象の装置の使用を制限し、 該認 証が得られた場合に該保護対象の装置の使用を可能とするステップと、  Limiting the use of the protected device if the authentication has not been obtained, and enabling the use of the protected device if the authentication has been obtained;
を前記コンピュータに実行させるセキュリティ管理プログラム。  A security management program for causing the computer to execute.
9 . 前記セキュリティ情報登録部がセキュリティ解除に必要な指定装置をセキュ リティ情報として登録している場合に、  9. When the security information registration unit registers the designated device required for security release as security information,
前記指定装置の情報を取得するステップにて、 前記指定装置の存在の有無を取 得し、  In the step of obtaining information on the designated device, acquiring the presence or absence of the designated device,
前記認証を行うステップにて、 前記指定装置の存在の有無と、 前記セキユリテ ィ情報として登録されている指定装置とに基づいて認証の判断を行い、 前記指定 装置が存在している場合には認証し、 前記指定装置が存在しない場合には認証し ない請求項 8に記載のセキュリティ管理プログラム。  In the step of performing the authentication, the authentication is determined based on the presence / absence of the designated device and the designated device registered as the security information. If the designated device is present, the authentication is performed. 9. The security management program according to claim 8, wherein authentication is not performed if the designated device does not exist.
1 0 . 前記指定装置がネットワークを介して接続可能な装置であり、  10. The designated device is a device connectable via a network,
前記セキュリティ情報登録部が、 前記ネットワーク内で一意となる前記指定装 置の識別情報をセキュリティ情報として登録している場合に、  When the security information registration unit registers identification information of the designated device that is unique in the network as security information,
前記指定装置の情報を取得するステップにて、 ネットワーク上に存在する指定 装置から前記識別情報を取得する請求項 9に記載のセキュリティ管理プログラム。In the step of obtaining the information of the designated device, the designation existing on the network 10. The security management program according to claim 9, wherein the identification information is acquired from a device.
1 1 . 前記コンピュータの B I O Sが、 セットアップ時に、 前記セキュリティ情 報登録部へ前記セキュリティ情報を登録し、 前記保護対象登録部へ保護対象を登 録する請求項 8に記載のセキュリティ管理プログラム。 11. The security management program according to claim 8, wherein the BIOS of the computer registers the security information in the security information registration unit and registers a protection target in the protection target registration unit during setup.
1 2 . 前記コンピュータの B I O Sが、 オペレーティングシステムの起動前に、 前記保護対象の装置の使用を制限する請求項 8に記載のセキュリティ管理プログ ラム。  12. The security management program according to claim 8, wherein the BIOS of the computer restricts use of the device to be protected before starting an operating system.
1 3 . 前記保護対象の装置が、 前記セキュリティシステム自体、 前記セキユリテ ィシステムを構成する装置、 又は前記セキュリティシステムから使用可能な装置 である請求項 8に記載のセキュリティ管理プログラム。  13. The security management program according to claim 8, wherein the device to be protected is the security system itself, a device configuring the security system, or a device usable from the security system.
1 4 . セキュリティ解除のために予め指定した複数の指定装置の情報を取得する ステップと、  1 4. obtaining information of a plurality of designated devices designated in advance for security release;
前記複数の指定装置の情報に基づいて認証するか否かを判断するステップと、 前記で認証が得られなかった場合に保護対象の装置の使用を制限し、 該認証が 得られた場合に該保護対象の装置の使用を可能とするステップと、  Judging whether or not to authenticate based on the information of the plurality of designated devices; and restricting the use of the device to be protected when the authentication is not obtained, and when the authentication is obtained, Enabling the use of the device to be protected;
を情報処理装置が実行するセキュリティ管理方法。  Security management method in which the information processing apparatus executes the above.
1 5 . セキュリティ解除のために予め指定した複数の装置に係る情報をセキユリ ティ情報として登録するセキュリティ情報登録部と、 保護対象の装置を登録する 保護対象登録部とを備えたセキュリティ管理システムにて実行するセキュリティ 管理方法であって、  1 5. A security management system that includes a security information registration unit that registers information on multiple devices specified in advance for security release as security information, and a protection target registration unit that registers devices to be protected. The security management method to be performed,
前記複数の指定装置の情報を取得するステツプと、  Obtaining information on the plurality of designated devices;
前記取得情報と前記セキユリティ登録部に登録したセキュリティ情報とに基づ レ、て認証するか否かを判断するステップと、  Determining whether to perform authentication based on the obtained information and the security information registered in the security registration unit;
前記で認証が得られなかつた場合に前記保護対象の装置の使用を制限し、 該認 証が得られた場合に該保護対象の装置の使用を可能とするステップと、  Limiting the use of the protected device if the authentication has not been obtained, and enabling the use of the protected device if the authentication has been obtained;
を含むセキユリティ管理方法。  Security management methods, including:
1 6 . 前記セキュリティ情報登録部がセキュリティ解除に必要な指定装置をセキ ユリティ情報として登録している場合に、  1 6. When the security information registration unit registers the designated device required for security release as security information,
前記指定装置の情報を取得するステップにて、 前記指定装置の存在の有無を取 得し、 In the step of acquiring information on the designated device, the presence or absence of the designated device is determined. Gain
前記認証を行うステップにて、 前記指定装置の存在の有無と、 前記セキユリテ ィ情報として登録されている指定装置とに基づいて認証の判断を行い、 前記指定 装置が存在している場合には認証し、 前記指定装置が存在しない場合には認証し ない請求項 1 5に記載のセキュリティ管理方法。  In the step of performing the authentication, the authentication is determined based on the presence / absence of the designated device and the designated device registered as the security information. If the designated device is present, the authentication is performed. 16. The security management method according to claim 15, wherein authentication is not performed if the designated device does not exist.
1 7 . 前記指定装置がネットワークを介して接続可能な装置であり、  1 7. The designated device is a device connectable via a network,
前記セキュリティ情報登録部が、 前記ネットワーク内で一意となる前記指定装 置の識別情報をセキュリティ情報として登録している場合に、  When the security information registration unit registers identification information of the designated device that is unique in the network as security information,
前記指定装置の情報を取得するステップにて、 ネットワーク上に存在する指定 装置から前記識別情報を取得する請求項 1 6に記載のセキュリティ管理方法。  17. The security management method according to claim 16, wherein in the step of acquiring the information on the designated device, the identification information is acquired from a designated device existing on a network.
1 8 . 前記コンピュータの B I O Sが、 セットアップ時に、 前記セキュリティ情 報登録部へ前記セキュリティ情報を登録し、 前記保護対象登録部へ保護対象を登 録する請求項 1 5に記載のセキュリティ管理方法。  18. The security management method according to claim 15, wherein the BIOS of the computer registers the security information in the security information registration unit and registers a protection target in the protection target registration unit during setup.
1 9 . 前記コンピュータの B I O Sが、 オペレーティングシステムの起動前に、 前記保護対象の装置の使用を制限する請求項 1 5に記載のセキュリティ管理方法。  19. The security management method according to claim 15, wherein the BIOS of the computer restricts use of the device to be protected before starting an operating system.
2 0 . 前記保護対象の装置が、 前記セキュリティシステム自体、 前記セキユリテ ィシステムを構成する装置、 又は前記セキュリティシステムから使用可能な装置 である請求項 1 5に記載のセキュリティ管理方法。 20. The security management method according to claim 15, wherein the device to be protected is the security system itself, a device constituting the security system, or a device usable from the security system.
PCT/JP2003/001441 2003-02-12 2003-02-12 Security management system WO2004072855A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2003/001441 WO2004072855A1 (en) 2003-02-12 2003-02-12 Security management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2003/001441 WO2004072855A1 (en) 2003-02-12 2003-02-12 Security management system

Publications (1)

Publication Number Publication Date
WO2004072855A1 true WO2004072855A1 (en) 2004-08-26

Family

ID=32866101

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2003/001441 WO2004072855A1 (en) 2003-02-12 2003-02-12 Security management system

Country Status (1)

Country Link
WO (1) WO2004072855A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08328683A (en) * 1995-06-06 1996-12-13 Toshiba Corp Computer system and method for displaying its message
JPH1011398A (en) * 1996-06-20 1998-01-16 Sakura Ginkou:Kk Information processing system and recognition processing method
JP2001216046A (en) * 1999-12-06 2001-08-10 Avaya Technology Corp Device security mechanism based on registered password
JP2001331801A (en) * 2000-03-15 2001-11-30 Cai Kk Device and method for personal identification and recording medium

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08328683A (en) * 1995-06-06 1996-12-13 Toshiba Corp Computer system and method for displaying its message
JPH1011398A (en) * 1996-06-20 1998-01-16 Sakura Ginkou:Kk Information processing system and recognition processing method
JP2001216046A (en) * 1999-12-06 2001-08-10 Avaya Technology Corp Device security mechanism based on registered password
JP2001331801A (en) * 2000-03-15 2001-11-30 Cai Kk Device and method for personal identification and recording medium

Similar Documents

Publication Publication Date Title
JP4086313B2 (en) Computer control method and computer control system using externally connected device
JP5154436B2 (en) Wireless authentication
JP4701615B2 (en) Information storage device
KR100464755B1 (en) User authentication method using user&#39;s e-mail address and hardware information
US20090161922A1 (en) Security technique for controlling access to a network by a wireless device
JP2003524252A (en) Controlling access to resources by programs using digital signatures
JP5210966B2 (en) Biometric authentication device and biometric authentication method
JP6376154B2 (en) Image processing system, information processing apparatus, image processing apparatus, and program
US20140173714A1 (en) Information processing apparatus, and lock execution method
JP2011128771A (en) Information processing apparatus, information processing method and information processing program
JP2004123330A (en) Security management system for elevator and server used for the same and elevator control device
JP2007265219A (en) Biometrics system
JP2005216260A (en) Information processing apparatus, authentication apparatus, authentication system, control program and computer readable recording medium with the control program recorded thereon
JP4900152B2 (en) Information processing device
JP2001282625A (en) Security management system and security management program storage medium
WO2004072855A1 (en) Security management system
KR101348196B1 (en) Computer security device linked with mobile phone
JP4358830B2 (en) Computer control method and computer control system using externally connected device
JP6941132B2 (en) Input information management system
JP5163413B2 (en) Unlocking system, client terminal, and unlocking program
KR20080049973A (en) Computer security and use control system linked to mobile phone and its method
JP6237870B2 (en) Information processing device, terminal device, and program
KR20080067448A (en) Method for security of computer using mobile communication terminal
JP2007172176A (en) Authentication device
JP3761648B2 (en) Computer system

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP