明 細 書
情報処理装置および起動方法
技術分野
[0001] 本発明は、情報処理装置内に実装され、所定の処理を独立して実行するチップを 備えた情報処理装置等に関し、特に情報漏洩の問題を解消することができる情報処 理装置および起動方法に関するものである。
背景技術
[0002] 近年、情報処理装置に記憶された情報 (機密情報や利用者のプライバシーに関わ る情報等)の漏洩などの問題を解消するために、指紋、虹彩、顔貌、静脈といった利 用者本人の生体情報を利用して情報処理装置に記憶された情報を保護するバイオ メトリック認証機能を情報処理装置に搭載する試みがなされている。かかる従来のバ ィォメトリック認証機能では、情報処理装置に電源が投入された後、情報処理装置に 組み込まれた OS (Operating System)やバイオメトリック認証機能を実現させる認証 プログラム等のシステムが起動した後に、利用者力 の生体情報を取得して、情報処 理装置の操作を許可するか否かを判定して 、る。
[0003] なお、特許文献 1では、利用者に対する認証処理を実行するためのプログラムおよ びデータの更新を柔軟かつ厳粛に実行可能とする情報管理装置が提案されている
[0004] 特許文献 1:国際公開第 2005Z106620号パンフレット
発明の開示
発明が解決しょうとする課題
[0005] し力しながら、上述した従来の技術では、情報処理装置に組み込まれたシステムが 起動した後にはじめて本人の生体情報による認証機能 (セキュリティ機能)が有効と なるため、情報処理装置が起動してから認証機能が有効となる間に、情報処理装置 に記憶された情報を保護することができな 、と 、う問題があった。
[0006] つまり、電源投入直後の OS等のシステム起動前の状態では、何ら内部の情報は保 護されることはなぐ外部の OS起動方法 (FDD、 CD—ROM等)からのゲスト OS等
の起動により、簡単に情報処理装置内部の情報が盗難にあう問題があった。
[0007] この発明は、上述した従来技術による問題点を解消するためになされたものであり 、情報処理装置に記憶された情報を保護することができる情報処理装置および起動 方法を提供することを目的とする。
課題を解決するための手段
[0008] 上述した課題を解決し、目的を達成するため、本発明は、情報処理装置内に実装 され、所定の処理を独立して実行するチップを備えた情報処理装置であって、前記 チップは、前記情報処理装置の操作を許可された利用者の生体情報を生体認証情 報として記憶する記憶手段と、前記情報処理装置に対する起動要求を取得した場合 に、利用者の生体情報を取得し、当該生体情報および前記生体認証情報を基にし て前記情報処理装置の起動を許可するか否かを判定する生体判定手段と、を備え たことを特徴とする。
[0009] また、本発明は、上記発明において、前記記憶手段は、前記情報処理装置に係る 環境の情報を更に記憶し、前記チップは、前記情報処理装置に対する起動要求を 取得した場合に、前記記憶手段に記憶された環境の情報に基づ!、て前記情報処理 装置の起動を許可するか否かを判定する環境判定手段を更に備えたことを特徴とす る。
[0010] また、本発明は、上記発明において、前記情報処理装置は、前記チップを除いた 情報処理装置全体を制御する制御装置を備え、前記チップは、前記生体判定手段 および前記環境判定手段の判定結果に基づ!/、て、前記制御装置の起動を制御する 起動制御手段を更に備えたことを特徴とする。
[0011] また、本発明は、上記発明において、前記チップは、前記情報処理装置に係る環 境の情報を取得し、前記記憶手段に記憶された環境の情報を更新する環境情報更 新手段を更に備えたことを特徴とする。
[0012] また、本発明は、情報処理装置内に実装され、所定の処理を独立して実行するチ ップを備えた情報処理装置の起動方法であって、前記チップは、前記情報処理装置 の操作を許可された利用者の生体情報を生体認証情報として記憶装置に記憶する 記憶工程と、前記情報処理装置に対する起動要求を取得した場合に、利用者の生
体情報を取得し、当該生体情報および前記生体認証情報を基にして前記情報処理 装置の起動を許可するか否かを判定する生体判定工程と、を含んだことを特徴とす る。
[0013] また、本発明は、上記発明において、前記記憶工程は、前記情報処理装置に係る 環境の情報を更に記憶装置に記憶し、前記チップ内で、前記情報処理装置に対す る起動要求を取得した場合に、前記記憶装置に記憶された環境の情報に基づ 、て 前記情報処理装置の起動を許可するか否かを判定する環境判定工程を更に含んだ ことを特徴とする。
[0014] また、本発明は、上記発明において、前記情報処理装置は、前記チップを除いた 情報処理装置全体を制御する制御装置を備え、前記チップ内で、前記生体判定ェ 程および前記環境判定工程の判定結果に基づ!/、て、前記制御装置の起動を制御 する起動制御工程を更に含んだことを特徴とする。
[0015] また、本発明は、上記発明において、前記チップ内で、前記情報処理装置に係る 環境の情報を取得し、前記記憶装置に記憶された環境の情報を更新する環境情報 更新工程を更に含んだことを特徴とする。
発明の効果
[0016] 本発明によれば、所定の処理を独立して実行するチップにお!ヽて、情報処理装置 の操作を許可された利用者の生体情報を生体認証情報として記憶し、情報処理装 置に対する起動要求を取得した場合に、利用者の生体情報を取得し、生体情報およ び生体認証情報を基にして情報処理装置の起動を許可する力否かを判定するので 、情報処理装置の電源投入時にかかる情報漏洩を防ぐことができる。
[0017] また、本発明によれば、チップに情報処理装置に係る環境の情報を更に記憶し、 情報処理装置に対する起動要求を取得した場合に、記憶手段に記憶された環境の 情報に基づいて情報処理装置の起動を許可するか否かを判定するので情報処理装 置の安全性を向上させることができる。
[0018] また、本発明によれば、情報処理装置は、チップを除!、た情報処理装置全体を制 御する制御装置を備え、チップは、生体情報に対する判定結果および環境の情報に 対する判定結果に基づいて、制御装置の起動を制御するので、情報処理装置に電
源が投入されて力 制御装置が起動するまでの間に情報が盗まれることを防止する ことができる。
〇
[0019] また、本発明によれば、チップは、情報処理装置に係る環境の情報を取得し、環境 の情報を更新するので、不正な周辺機器およびプログラム等を情報処理装置から排 除し、情報処理装置の安全性を向上させることができる。
図面の簡単な説明
[0020] [図 1]図 1は、本実施例に力かる情報処理装置の構成を示す機能ブロック図である。
[図 2]図 2は、セキュアメモリに記憶された電子証明書を示す説明図である。
[図 3]図 3は、セキュアメモリに記憶された生体認証情報を示す説明図である。
[図 4]図 4は、セキュアメモリに記憶された装置内情報を示す説明図である。
[図 5]図 5は、本実施例に力かる起動処理を示すフローチャートである。
[図 6]図 6は、情報処理装置のハードウ ア構成を示す図である。
符号の説明
ノ ス
11, 130 CPU
12 ROM
13 RAM
14 HDD
15 HD
16 FDD
17 FD
18 ディスプレイ
19, no 通信 IZF
20 入力キー
21, 120 生体センサ
22, 150 セキュリティチップ
30 ネットワーク
100 情報処理装置
140 メモリ zストレージ
151 LSI固有鍵記憶部
152 セキュアメモリ
153 通信認証処理部
154 監視処理部
155 検証処理部
156 生体認証処理部
157 装置内情報認証処理部
158 起動制御処理部
160 ソフトウェア
発明を実施するための最良の形態
[0022] 以下に添付図面を参照して、この発明に係る情報処理装置および起動方法の好 適な実施の形態を詳細に説明する。
実施例
[0023] まず、本実施例に力かる情報処理装置の概要および特徴について説明する。本実 施例に力かる情報処理装置は、所定の処理を独立して実行するセキュリティチップ( 例えば、国際公開 2005Z106620号パンフレットに開示されているような生体認証 機能を有する LSI)を実装し、このセキュリティチップが、情報処理装置への電源投入 時に、情報処理装置の CPU等の主要な LSIまたはシステム全体の起動に先立って 単独で起動する。
[0024] そして、セキュリティチップは、外部に接続された生体認証用のセンサから利用者の 生体情報 (指紋、虹彩、顔貌、静脈などの生体情報)を取得し、取得した生体情報と 、予め記憶して!/、た利用者の生体情報とを基にして情報処理装置の起動を許可する か否かを判定し、情報処理装置の起動を許可すると判定した場合に、情報処理装置 の CPU等の主要な LSIまたはシステム全体を起動させる。
[0025] このように、セキュリティチップが情報処理装置の CPU等に先立って起動し、情報 処理装置の起動を許可するか否かを判定するので、情報処理装置に記録された情 報の漏洩あるいはセキュリティホールを悪用した情報の盗難が防止できる。
[0026] つぎに、本実施例に力かる情報処理装置の構成について説明する。図 1は、本実 施例に力かる情報処理装置の構成を示す機能ブロック図である。同図に示すように、 この情報処理装置 100は、通信 IZF (インターフェース) 110と、生体センサ 120と、 CPU130と、メモリ Zストレージ 140と、セキュリティチップ 150とを備えて構成される 。なお、メモリ Zストレージ 140には、各種ソフトウェア 160が記憶されている。
[0027] 通信 IZF110は、ネットワークと内部とのインターフェースを司り、外部装置からの データの入出力を制御する。通信 IZF110には、例えば、モデムや LAN (Local Ar ea Network)アダプタなどを採用することができる。なお、図示しないが、情報処理装 置 100は、通信 IZF110を介して、認証局の端末や、様々なサービスに力かる実行 プログラムや各種データを開発するベンダーやメーカー、情報処理装置 100を製造 または販売する業者などが管理するサービス提供事業者端末などとデータ通信を行 う。なお、通信 IZF110は、セキュリティチップ 150によって起動を制御される。
[0028] 生体センサ 120は、例えば、指紋センサ、カメラおよびマイクなどが挙げられる。指 紋センサは、およそ 50 m間隔で指の指紋の凹凸を検出して電気信号に変換する 装置であり、指紋の読取方式としては、たとえば、半導体式、光学式、感圧式、感熱 式などが挙げられる。カメラは、眼球の虹彩や網膜を撮影する生体センサである。ま た、マイクは声の特徴をあらわす声紋を検出する生体センサである。
[0029] CPU130は、情報処理装置全体の処理をつかさどる装置である。なお、本実施例 にかかる CPU130は、情報処理装置 100に対する電源投入時には起動せず、セキ ユリティチップ 150に起動を許可された後に起動し、各種処理を実行する。
[0030] メモリ Zストレージ 140は、 CPU130において利用される種々の情報を記憶する記 憶装置である。このメモリ Zストレージ 140は、情報処理装置 100内であれば、セキュ リティチップ 150内またはセキュリティチップ 150外のいずれの領域に設けられてもよ い。セキュリティチップ 150内に設けられる場合は、メモリ Zストレージ 140の取り外し や改竄を防止することができる。
[0031] セキュリティチップ 150は、情報処理装置 100のメインボードに実装される。セキユリ ティチップ 150は、セキュリティやプライバシーを実現するための基本機能のみを提 供するチップである。また、このセキュリティチップ 150は、 TCG (Trusted Computing
Group)の仕様書によって定義されている。一の情報処理装置 100に実装されたセ キユリティチップ 150は、他の情報処理装置に実装できないようになっており、情報処 理装置 100からセキュリティチップ 150を取り外すと、当該情報処理装置 100は起動 することができなくなる。また、セキュリティチップ 150は、情報処理装置に電源が投 入された場合に、情報処理装置の通信 I/F110、 CPU130、メモリ Zストレージ 140 などに先立って起動する。
[0032] セキュリティチップ 150は、その内部に、 LSI固有鍵記憶部 151と、セキュアメモリ 1 52と、通信認証処理部 153と、監視処理部 154と、検証処理部 155と、生体認証処 理部 156と、装置内情報認証処理部 157と、起動制御処理部 158とを備える。
[0033] LSI固有鍵記憶部 151は、セキュリティチップ 150固有の暗号鍵を記憶する記憶部 である。セキュアメモリ 152は、セキュリティチップ 150において用いられる種々の情 報を記憶する記憶部である。
[0034] ここで、セキュアメモリ 152の説明を行う。図 2は、セキュアメモリ 152に記憶された電 子証明書を示す説明図であり、図 3は、セキュアメモリ 152に記憶された生体認証情 報を示す説明図であり、図 4は、セキュアメモリ 152に記憶された装置内情報を示す 説明図である。
[0035] 図 2において、電子証明書 Ca〜Czは、被証明者ごとに記憶されている。「被証明 者」とは、電子証明書 Ca〜Czによって証明された者、例えば、利用者、メーカー、ベ ンダ一、認証局などが挙げられる。また、電子証明書 Ca〜Czには、バージョン情報、 署名アルゴリズム、発行者名、有効期限、公開鍵、その他の関連情報が含まれてい る。この電子証明書 Ca〜Czは、セキュリティチップ 150に含まれる装置内情報認証 処理部 157によって暗号処理等のセキュアな方法によって管理されている。
[0036] 図 3において、生体認証情報 50は、利用者名 51、センサ種情報 52、生体情報 53 によって構成される。図 3では、その一例として、情報処理装置 100の操作を許可さ れた利用者「X」力 「指紋センサ」によって検出された利用者「X」の指紋の画像デー タ「Xa」を、生体情報 53として登録している。生体認証情報 50は、セキュリティチップ 150に含まれる装置内情報認証処理部 157によって暗号ィ匕され記憶されている。
[0037] 図 4において、装置内情報 (情報処理装置 100に係る環境情報)として、周辺機器
、ソフトウェア 160、および各ハードウェアにインストールされた各種実行プログラムの 名称およびバージョン情報が記憶されている。
[0038] 通信認証処理部 153は、情報処理装置 100外、たとえば、ネットワークを介して接 続されたサービス提供事業者端末や、認証局の端末等との間で実行される通信の安 全性を保証する処理部である。通信認証処理部 153は、具体的には、認証局を利用 した電子証明書による本人認証(PKI (Public Key Infrastructure)認証)を行うこと により、外部と通信を行う者力 認証局によって正規に登録された者である力否かを 半 U定することができる。
[0039] 監視処理部 154は、情報処理装置 100内の情報の受け渡しを監視する処理部で あり、検証処理部 155は、通信認証処理部 153によって外部との通信の安全性が認 証された場合に、当該外部からセキュリティチップ 150に入力されてくる情報の正当 性の検証や一致検証を行う処理部である。
[0040] 生体認証処理部 156は、生体センサ 120によって検出された生体情報とセキュアメ モリ 152に登録された利用者の生体認証情報(図 3参照)とが一致する力否かを認証 する処理部である。生体認証処理部 156では、情報処理装置 100を操作するものが 正規の利用者である力否かを判定することができる。
[0041] また、生体認証処理部 156は、情報処理装置 100に対する起動要求を受け付けた 場合 (電源が情報処理装置 100に投入された場合)、利用者の生体情報を生体セン サ 120から取得し、セキュアメモリ 152に記憶された生体認証情報と比較して、一致 する力否かを判定し、判定結果を起動制御処理部 158に出力する。
[0042] 装置内情報認証処理部 157は、セキュアメモリ 152内の情報 (装置内情報)を認証 する処理部である。この装置内情報は、環境情報と呼ばれ、情報処理装置 100に接 続された周辺機器カゝら取得した周辺機器に関する情報 (たとえば、機器名、バージョ ン情報)や、情報処理装置 100内にインストールされているソフトウェア 60に関する情 報 (たとえば、ソフトウェア名、バージョン情報)、メモリ Zストレージ 140に記憶されて いる各種情報 (たとえば、電子証明書)などを含む。
[0043] また、装置内情報認証処理部 157は、セキュアメモリ 152に記憶されている情報を 機密管理する。具体的には、装置内情報認証処理部 157が取得した情報を、 LSI固
有鍵記憶部 151に記憶された固有の暗号鍵で暗号化して、セキュアメモリ 152に記 憶する。一方、他のハードウェア力もの呼び出しがあった場合、暗号鍵と対になる復 号鍵 (LSI固有鍵記憶部 151に記憶されて ヽる)で、暗号化されて!/ヽた情報を復号す る。この暗号ィ匕および復号ィ匕処理により、情報処理装置 100内において改竄されて Vヽな 、ことを認証することができる。
[0044] また、装置内情報認証処理部 157は、情報処理装置 100に対する起動要求を受け 付けた場合 (電源が情報処理装置 100に投入された場合)、セキュアメモリ 152に記 憶された装置内情報 (情報処理装置 100に係る環境の情報)を取得し、装置内情報 を認証する。すなわち、装置内情報認証処理部 157は、情報処理装置 100に使用を 許可して!/ヽな 、不正なソフトウェアがインストールされて 、る力否力、あるいは不正な 周辺機器が情報処理装置 100に接続されている力否かを判定し、判定結果を起動 制御処理部 158に出力する。なお、装置内情報認証処理部 157は、使用を許可す るソフトウェアの情報および周辺機器の情報を予め保持しているものとする。
[0045] また、装置内情報認証処理部 157は、情報処理装置内に接続された周辺機器から 周辺機器に関する情報、情報処理装置 100内にインストールされているソフトウェア 1 60に関する情報を定期的 (あるいは、情報処理装置 100の処理を終了して電源供給 を中止する直前など)に取得し、セキュアメモリ 152に記憶された装置内情報 (情報処 理装置 100の環境に係る情報)を更新する。
[0046] 起動制御処理部 158は、生体認証処理部 156および装置内情報認証処理部 157 から判定結果を取得し、取得した判定結果に基づ 、て CPU130の起動を制御する 処理部である。具体的に、この起動制御処理部 158は、利用者の生体情報が生体 認証情報と合致し、かつ、装置内情報が適切である場合に、 CPU130および通信 I ZF110を起動させる。
[0047] つぎに、本実施例に力かる情報処理装置の起動処理について説明する。図 5は、 本実施例に力かる起動処理を示すフローチャートである。同図に示すように、情報処 理装置 100に電源が入力された場合に (ステップ S 101)、セキュリティチップ 150お よび生体センサ 120が起動する(ステップ S 102)。
[0048] そして、装置内情報認証処理部 157は、セキュアメモリ 152から装置内情報 (環境
情報)を取得し (ステップ S103)、装置内情報を認証し (ステップ S104)、認証結果( 装置内情報が適切か否かの判定結果)を起動制御処理部 158に出力する (ステップ S105)。
[0049] 続いて、生体認証処理部 156が生体センサ 120から利用者の生体情報を取得し( ステップ S106)、生体情報と生体認証情報と比較して合致するか否かを判定し (ステ ップ S 107)、判定結果を起動制御処理部 158に出力する (ステップ S 108)。
[0050] そして、起動制御処理部 158は、取得した判定結果に基づいて CPU130および通 信 IZF110を起動させる力否かを判定し (ステップ S 109)、起動させない場合には( ステップ Sl lO, No)、そのまま処理を終了し、起動させる場合には (ステップ S 110, Yes)、通信 IZF110および CPU130を起動させる(ステップ S111)。 CPU130は、 起動後に情報処理装置 100の各種装置およびシステムを起動させる (ステップ S 112
) o
[0051] このように、起動制御処理部 158が、生体認証処理部 156および装置内情報認証 処理部 157の判定結果に基づいて、 CPU130の起動を制御するので、情報処理装 置 100に記憶された情報が悪意のある第三者によって盗まれることを防止することが できる。
[0052] 上述してきたように、本実施例に力かる情報処理装置 100は、所定の処理を独立し て実行するセキュリティチップ 150を備え、セキュリティチップ 150は、情報処理装置 1 00への電源投入時に、情報処理装置 100の CPU130などの主要な LSI又はシステ ム全体に先立って単独で起動する。そして、セキュリティチップ 150は、生体センサ 1 20から利用者の生体情報を取得し、取得した生体情報と、予め記憶していた利用者 の生体情報とを基にして情報処理装置の起動を許可する力否かを判定し、情報処理 装置 100の起動を許可すると判定した場合に、情報処理装置 100の CPU 130等の 主要な LSIまたはシステム全体を起動させるので、情報処理装置に記録された情報 の漏洩あるいはセキュリティホールを悪用した情報の盗難が防止できる。
[0053] 例えば、盗難にあった情報処理装置に対し、 FDD, CD—ROM等ゲスト OS等の 起動を行い、情報処理装置の記憶媒体からの情報の盗用が行えなくなる。また、利 用者にとっては、煩わ 、ログイン ID/パスワードの組み合わせを記憶する必要はな
ぐまた OS等のソフトウェアに依存するしくみではないため、 OSのセキュリティホール 等の危殆化を心配する必要がなくなる。
[0054] つぎに、本実施例において示した情報処理装置 100のハードウェア構成について 説明する。図 6は、情報処理装置のハードウェア構成を示す図である。図 6において 、情報処理装置は、 CPU11と、 ROM12と、 RAM13と、 HDD (ノヽードディスクドライ ブ) 14と、 HD (ノヽードディスク) 15と、 FDD (フレキシブルディスクドライブ) 16と、 FD (フレキシブルディスク) 17と、ディスプレイ 18と、通信 IZF19と、入力キー(キーボー ド、マウスを含む) 20と、生体センサ 21と、セキュリティチップ 22とから構成される。ま た、各構成部はバス 10にそれぞれ接続されている。
[0055] ここで、 CPU11は、情報処理装置全体の制御を司る。 ROM12は、ブートプロダラ ムなどのプログラムを記憶している。 RAM13は、 CPU11のワークエリアとして使用さ れる。 HDD14は、 CPU11の制御にしたがって HD15に対するデータのリード Zライ トを制御する。 HD15は、 HDD14の制御で書き込まれたデータを記憶する。
[0056] FDD16は、 CPU11の制御にしたがって FD17に対するデータのリード Zライトを 制御する。 FD17は、 FDD16の制御で書き込まれたデータを記憶したり、 FD17に 記憶されたデータを情報処理装置に読み取らせたりする。
[0057] また、着脱可能な記録媒体として、 FD17のほ力、 CD-ROM (CD-R, CD-R W)、 MO、 DVD (Digital Versatile Disk)、メモリーカードなどであってもよい。ディ スプレイ 18は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機 能情報等のデータを表示する。このディスプレイ 18は、たとえば、 CRT, TFT液晶デ イスプレイ、プラズマディスプレイなどを採用することができる。
[0058] 通信 IZF19は、図 1に示した通信 IZF110に対応し、インターネットなどのネットヮ ーク 30に接続されている。入力キー 20は、文字、数字、各種指示などの入力のため のキーを備え、データの入力を行う。また、タツチパネル式の入力パッドやテンキーな どであってもよい。
[0059] 生体センサ 21およびセキュリティチップ 22は、図 1に示した生体センサ 110および セキュリティチップ 150にそれぞれ対応する。また、セキュリティチップ 22には図 1〖こ 示した各種処理部を実現するための各種プログラム 22aが記憶されており、力かるプ
ログラム力 各種プロセスが実行される。各種プロセスは、図 1に示した、通信認証処 理部 153、監視処理部 154、検証処理部 155、生体認証処理部 156、装置内情報 認証処理部 157、起動制御処理部 158に対応する。また、セキュリティチップ 150は 、各種プロセスを実行する上で利用される各種データ 22b (実施例において説明した 生体認証情報、装置内情報、 LSI固有鍵の情報などに対応する)が記憶されている
[0060] さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以 外にも、特許請求の範囲に記載した技術的思想の範囲内において種々の異なる実 施例にて実施されてもよいものである。
[0061] また、本実施例において説明した各処理のうち、自動的におこなわれるものとして 説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的に おこなわれるものとして説明した処理の全部または一部を公知の方法で自動的にお こなうことちでさる。
[0062] この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種の データやパラメータを含む情報については、特記する場合を除いて任意に変更する ことができる。
[0063] また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に 図示のように構成されていることを要しない。すなわち、各装置の分散'統合の具体 的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況な どに応じて、任意の単位で機能的または物理的に分散 ·統合して構成することができ る。
産業上の利用可能性
[0064] 以上のように、本発明にかかる情報処理装置および起動方法は、重要な情報を記 憶する情報処理装置などに有用であり、特に、情報処理装置の起動時にかかるセキ ユリティホールを無くし情報漏洩の問題を解消する場合に適している。