WO2012147170A1 - リモート起動装置、方法、およびプログラム - Google Patents

リモート起動装置、方法、およびプログラム Download PDF

Info

Publication number
WO2012147170A1
WO2012147170A1 PCT/JP2011/060192 JP2011060192W WO2012147170A1 WO 2012147170 A1 WO2012147170 A1 WO 2012147170A1 JP 2011060192 W JP2011060192 W JP 2011060192W WO 2012147170 A1 WO2012147170 A1 WO 2012147170A1
Authority
WO
WIPO (PCT)
Prior art keywords
activation
activation policy
terminal
command
unit
Prior art date
Application number
PCT/JP2011/060192
Other languages
English (en)
French (fr)
Inventor
篤志 和田
Original Assignee
富士通株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 富士通株式会社 filed Critical 富士通株式会社
Priority to PCT/JP2011/060192 priority Critical patent/WO2012147170A1/ja
Publication of WO2012147170A1 publication Critical patent/WO2012147170A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4418Suspend and resume; Hibernate and awake

Definitions

  • the present invention relates to an apparatus, a method, and a program that can be remotely activated from a remote management server or the like.
  • WOL Wake On LAN
  • the WOL transmits a Wake on Magic Packet (hereinafter referred to as “magic packet”) in which a MAC (Media Access Control) address of a target device on the network is set on the network.
  • the activation target device detects the magic packet, turns on the power, and starts up. In this way, a plurality of computers on the network can be remotely activated.
  • the problem here is how to start up the computer with the above-mentioned user authentication by WOL. For example, even if an attempt is made to remotely activate a client computer from a server, remote activation may be blocked at the user authentication stage. Even if an attempt is made to start with WOL, it may be necessary for the administrator to perform user authentication by directly operating the computer.
  • a security protection device that notifies permission and restriction of use to an electronic device subject to security protection is provided, and when the permission of use is not notified from the security protection device, the electronic device is not activated by BIOS control
  • BIOS control There is known a technique for providing an electronic device with a startup control function for executing the above.
  • Patent Document 3 a technique for permitting use of a device in a predetermined time zone is known (Patent Document 3).
  • Patent Document 3 there is a problem that a device that has been permitted to be activated and once activated can be operated by a third party, and unauthorized operations cannot be prevented.
  • Patent Document 4 a technique is known in which an application start server manages the time zone of an application that can be executed by the client, and gives the client permission to execute. This technology is limited to a technology that limits the time zone during which the client operates.
  • the present device, method, and program are made in view of the above-described circumstances, in order to reduce the management burden of a management device such as a server and to remotely operate the device while ensuring the security of the device and ensuring the safety of operation.
  • the purpose is to provide the technology.
  • a network-connected apparatus that stores an activation policy storage unit that stores an activation policy of the apparatus, and a reception unit that receives an instruction to shift the apparatus from the network to an operating state.
  • a state collection unit that collects the state of the device, a collation unit that outputs a result of collating the collected state and the activation policy, and receiving the command when the collation result indicates a match.
  • an activation unit that activates the apparatus.
  • the apparatus targeted by the present invention is not limited to a computer.
  • the present invention can be applied to devices connected via a communication network such as a mobile phone, a landline phone, a navigation system mounted on an automobile, a game device, an electronic book, a television, a video recorder, various control devices, and the like.
  • the computer system is not limited to a client computer such as a personal computer or a tablet computer, and includes a server, a gateway, and the like.
  • the first mode is a mode in which the power is turned on from the state in which the power of the device is completely turned off to shift to the operating state.
  • the second mode is an operation state from a so-called standby state (a state where power is supplied to at least the volatile memory) or a hibernation state (a state where the power of the volatile memory is saved in the nonvolatile memory and the power is turned off). It is a mode to shift to. In particular, in the second mode, shifting to the operating state may be referred to as “return” or “startup”.
  • the present invention is not limited to the technology of WOL.
  • the present invention is directed to any technique that can control a device from a remote to an “actuated” state or “deactivated” state. Needless to say, the present invention can also be applied to, for example, remote activation via the Internet.
  • FIG. 1 shows a configuration of a system 100 according to an embodiment of the present invention.
  • a terminal activation server 110 a terminal management server 120, a terminal 131, and a terminal 132 are connected via a LAN 101.
  • the terminal activation server 110 broadcasts a magic packet for activating the terminal 131 via the LAN 101.
  • the reason for broadcasting is that the IP address of the terminal 131 is unknown because the power of the terminal 131 is not turned on.
  • the MAC address that is the physical address of the network adapter of the terminal 131 is included in the WOL packet.
  • 0xfffffffffffffff (6 bytes) and the MAC address (6 bytes) of the network adapter of the target computer of WOL have 102 bytes of data. This magic packet is broadcast by UDP.
  • the terminal management server 120 is a server including a function of distributing the activation policy of each terminal, for example.
  • the terminal activation server 110 and the terminal management server 120 are not necessarily separate servers, and the two functions described above may be implemented in one server. Details of the activation policy will be described later.
  • step 230 a magic packet is received from the terminal activation server. If the magic packet is the MAC address of its own network adapter in step 231, the power is turned on with the input / output device (I / O) disabled. For example, input devices such as a keyboard and a mouse, and various input / output terminals are invalid.
  • step 233 the display is hidden and the BIOS is activated.
  • step 270 when the activation policy is received from the terminal management server, the received activation policy may be stored in the activation policy storage unit (or the stored contents are updated).
  • step 280 terminal information is collected. Here, stored activation policy 270 and terminal state 280 are collated in step 235.
  • the wireless function is not working WOL presupposes the use of a normal wired LAN. Therefore, it is desirable for security to disable the wireless LAN function.
  • Bluetooth-compatible keyboard or mouse is connected.
  • a third party connects to the terminal via WiFi, WiMAX, or the like. Accordingly, the activation condition may be that the wireless function is not activated.
  • the terminal is stationary. Especially in the laptop, the position can be moved.
  • the method of stopping the operation includes turning off the power through the system termination procedure, putting it in a hibernation state, and putting it in a standby state.
  • the system is being updated, it may be assumed that it takes time to stop the operation. Accordingly, by promptly reporting to the terminal activation server in step 303, the operator who has received the report can take an appropriate action.
  • the activation unit 426 may be deactivated so that the terminal is not activated.
  • the information on the verification unit is provided to the activation unit 426, but may be provided to the operation stop unit 424.
  • the operation stopping unit may stop the operation of the terminal based on the information from the verification unit 416.
  • the result of collation by the collation unit may be sent to the activation unit 426 and the operation stop unit 424. If the collation result indicates a match, the activation unit 426 is activated and the activation of the terminal is started. Specifically, activation of the system (OS) is started.
  • OS system
  • information from various sensors illustrated in FIG. 4 such as a lock hole switch, a temperature sensor, a housing cover switch, and an acceleration sensor may be input to the state collection unit 414, and the state of the terminal 400 may always be collected.
  • the communication device 500 may receive the WOL packet, and the communication device 500 may activate the terminal device in cooperation with the BIOS activation unit.
  • the various functional units illustrated in FIG. 4 may be implemented as BIOS extended functions. Alternatively, it may be implemented as a program that starts before and after the OS is started. Various programs shown in FIG. 4 may be virtually realized by executing these programs in the CPU.
  • the activation policy may be different for each terminal.
  • the activation policy may be determined for each department in the company.
  • the activation policy may be varied depending on the environment used. By distributing the activation policy from the terminal management server, the activation policy can be easily changed. Also, by signing the activation policy, it is possible to ensure sufficient security even when the activation policy stored in the terminal is altered.

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

 本装置、方法、およびプログラムは、コンピュータのセキュリティの確保や動作の安全を確保しつつ、サーバなど管理装置の管理負担を軽減させ、リモートからコンピュータを起動させるための技術を提供する。ネットワークから起動指令としてのWake On LAN(WOL)パケットを端末が受信する。端末の状態を収集し、このWOLに応答して、収集された端末の状態と起動ポリシ記憶部に記憶された起動ポリシとを端末自身が照合して起動可否を判断する。この照合した結果が合致していれば、端末を起動する。

Description

リモート起動装置、方法、およびプログラム
 本発明は、遠隔の管理サーバなどからリモート起動が可能な装置、方法、およびプログラムに関する。
 コンピュータをリモート起動する技術としてWake On LAN(以下「WOL」と言う)が知られている。WOLは、LANを用いて、リモートの管理サーバからクライアントを起動し、クライアントのメンテナンスを行う場合などに利用される。WOLは、ネットワーク上の対象機器のMAC(Media Access Control)アドレスを設定したWake on Magic Packet(以下「マジックパケット」と言う)をネットワーク上に送信する。起動対象機器はそのマジックパケットを検出して電源をオンし起動する。このようにして、ネットワーク上の複数台のコンピュータをリモートから起動させることができる。WOLを利用することにより、管理者が社内などに設置された各コンピュータを直接操作する手間を削減することができる。
 一方、各コンピュータは、不正使用を防止するために、起動時の利用者認証(Pre Boot Authentication)等により、コンピュータの起動に制限をかけ、無断使用、盗難、紛失事故に対するセキュリティ確保が施されているものがある。
 ここで問題となるのは、上述の利用者認証が機能しているコンピュータに対してWOLによる起動をどのように行うかである。たとえば、サーバからクライアントのコンピュータをリモートから起動しようとしても、利用者認証の段階で、リモート起動が阻止されてしまうことがある。WOLでの起動を試みても、管理者がコンピュータを直接操作して、利用者認証を行うことが必要となる場合もある。
 このため、WOLによるコンピュータの起動の場合には、利用者認証を迂回(スキップ)する処理が知られている。しかしながら、WOLの際に利用者認証を迂回できるようにした場合には、セキュリティ上の問題が発生する。すなわち、悪意のある第三者がこの起動手順を利用することが予想される。この第三者は、WOLを利用することによって、利用者認証を経ずにコンピュータを起動することが可能となってしまう。
 この問題に対処するため、WOLでの起動中においても認証を行うために、サーバでクライアントのパスワードを管理する技術が知られている(特許文献1)。サーバからクライアントにパスワードを送信し、パスワードによる認証が成功した場合にはクライアントが起動する。しかしながら、この技術において、運用管理などで集中起動を実施する場合には、サーバが認証情報をクライアントの数だけ管理する必要がある。また、パスワードは随時変更される。このため、サーバ側の操作の負担や認証情報の管理負担が大きくなるという問題がある。また、生体認証などが用いられているクライアントの装置に対しては、この技術は適用できない。
 また、ウエイクアップ要求がクライアントで検出されると、クライアントのディスプレイモニタの表示画面をオフにした状態あるいはキーボードおよびマウスによる入力をロックした状態でクライアントの起動を行う技術が知られている(特許文献2)。しかしながら、この技術は、ディスプレイモニタのオフやキーボードおよびマウスのロックに止まるものであり、十分なセキュリティの確保がなされないという問題がある。第三者が故意に外部メモリ(例えばUSBメモリ)を接続し、WOLでの起動時に外部メモリの自動実行プログラムを起動させることも可能である。この場合、ディスプレイ表示や入力機器の操作なしに、ハードディスク内のデータを外部メモリにコピーすることも可能となってしまう場合がある。
 また、WOLで起動されたラップトップコンピュータのシステム(OS)などの更新中に、バッテリが切れてしまい、ハードディスク内のデータの破損を招く場合もあり得る。これはフェールセーフの観点から問題がある。
 また、セキュリティ保護対象の電子機器に対し利用の許可および制限を通知するセキュリティ保護装置を備え、セキュリティ保護装置から利用の許可が通知されていない場合にはBIOSの制御により当該電子機器を起動しない処理を実行する起動制御機能を電子機器に設ける技術が知られている。また、予め定められた時間帯に機器の利用を許可する技術が知られている(特許文献3)。しかしながら、起動が許可され、一旦起動してしまった機器に対しては、第三者による機器の操作が可能であり、不正な操作を防止できないという問題がある。
 また、クライアントが実行できるアプリケーションの時間帯を、アプリケーション起動サーバが管理し、クライアントに実行の許可を与える技術が知られている(特許文献4)。この技術は、クライアントの動作する時間帯を制限する技術に止まるものである。
特開2000-215167号公報 特開平11-345205号公報 特開2003-067338号公報 特開2004-234043号公報
 本装置、方法、およびプログラムは、上記実情に鑑みなされたもので、装置のセキュリティの確保や動作の安全を確保しつつ、サーバなど管理装置の管理負担を軽減させ、リモートから装置を作動させるための技術を提供することを目的とする。
 本装置の一観点によれば、ネットワーク接続された装置であって、当該装置の起動ポリシを記憶する起動ポリシ記憶部と、前記ネットワークから当該装置を作動状態に移行させる指令を受信する受信部と、当該装置の状態を収集する状態収集部と、収集された前記状態と前記起動ポリシとを照合した結果を出力する照合部と、前記照合した結果が合致を示している場合、前記指令を受信した当該装置を起動する起動部と、を有することを特徴とする装置が提供される。
 なお、本発明の一実施形態の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
 開示の装置、方法、およびプログラムは、装置のセキュリティの確保や動作の安全を確保しつつ、サーバなど管理装置の管理負担を軽減させ、リモートから装置を作動させることができるという効果を奏する。
本発明の一実施形態のシステム構成を示す図である。 システムを起動するフローの例を示す図である。 WOLでの起動後における起動ポリシのチェックのフローを示す図である。 端末の機能的構成を示す図である。 端末のハードウエア構成を示す図である。
 以下、図面を参照しながら、本発明の実施形態について説明する。
 なお、本発明が対象とする装置は、コンピュータに限られるものではない。例えば、携帯電話、固定電話、自動車等に搭載されるナビゲーションシステム、ゲーム機器、電子ブック、テレビ、ビデオレコーダ、各種制御機器等、通信ネットワークで接続された機器に適用できる点に留意すべきである。また、コンピュータシステムについても、パーソナルコンピュータ、タブレットコンピュータ等のクライアント用のコンピュータに限られるものではなく、サーバや、ゲートウエイ等を含むものである。
 また、WOLには、幾つかのモードが存在する。第1のモードは、機器の電源が完全にオフの状態から電源オンを行い作動状態に移行するモードである。第2のモードは、いわゆるスタンバイ状態(少なくとも揮発性メモリに電源が供給されている状態)、あるいは休止状態(揮発性メモリの内容を不揮発性メモリに待避して電源をオフする状態)から作動状態に移行するモードである。特に、第二のモードでは、作動状態に移行することを「復帰」または「起動」と呼ぶ場合がある。
 本発明の実施態様は、上記のいずれのモードも対象とする点に留意すべきである。したがって、以下の実施形態の記述においては、「起動」、「電源のオン」、「復帰」などの言葉を用いる場合があるが、これらは「作動」という概念に包含される。そして、「作動」状態以外の状態(例えば「シャットダウン」、「電源オフ」、「休止状態」、「スタンバイ状態」等)は、「作動」が「停止」した状態の概念に包含される。なお、本明細書では、装置が作動を始めることを「起動」の語で代表させて説明する。
 なお、実施形態の説明では、WOLを用いて説明するが、本発明はWOLの技術に限定されるものではない。本発明は、機器をリモート(遠隔)から「作動」状態または「作動を停止」した状態に制御できるあらゆる技術を対象とする。例えば、インターネットを介したリモート起動等にも適用できることは言うまでもない。
 また、本明細書では、ハードディスクのクラッシュ防止や、システムの熱暴走防止など、フェールセーフに係る事項も「セキュリティ」の語で代表させて説明する場合がある。リモートでの端末起動においては、セキュリティに加えて安全対策としてのフェールセーフの観点からの十分な手当も必要である。
 図1は、本発明の一実形態のシステム100の構成を示している。図1のシステム100は、LAN101を介して、端末起動サーバ110、端末管理サーバ120、端末131、および端末132が接続されている。
 図1において、端末起動サーバ110が端末131を起動させる場合の処理の一例を説明する。端末起動サーバ110は、まず、端末131を起動させるためのマジックパケットを、LAN101を介してブロードキャストする。ブロードキャストする理由は、端末131の電源がオンとなっていないために、端末131のIPアドレスが未知だからである。このため、端末131のネットワークアダプタの物理アドレスであるMACアドレスをWOLパケットに含ませる。一般的なマジックパケットでは、IPヘッダに続いて、0xffffffffffff(6バイト)と、WOLの対象のコンピュータのネットワークアダプタのMACアドレス(6バイト)が16回連続する102バイトのデータを持つ。このマジックパケットはUDPブロードキャストされる。
 端末131のネットワークアダプタが、そのネットワークアダプタのMACアドレスを持つマジックパケットを受信すると、自己の端末宛のマジックパケットであることを認識する。その後、一定の条件の下で端末131が作動状態となる。
 なお、端末管理サーバ120は、例えば各端末の起動ポリシの配信を行う機能を含むサーバである。端末起動サーバ110および端末管理サーバ120は、必ずしも別のサーバとする必要はなく、1つのサーバに上述の二つの機能がインプリメントされてもよい。なお、起動ポリシの詳細に関しては後述する。
 図2は、システムを起動するフローの例を示している。この実施例では、電源オフの状態から電源をオンし、システムを起動する例を示している。
 まず、通常の電源ボタン押下を行った場合の処理を説明する。ステップ210で、オペレータが電源ボタンを押下する。ステップ213において電源がオンとなる。その後ステップ215でBIOS(Basic Input Output System)が起動する。ステップ217において利用者の認証が行われる。典型的な認証の方式は、ユーザIDとパスワードによる認証である。この場合、ステップ219において、適切なユーザIDとパスワードが入力されたか否かがチェックされる。認証が失敗すれば(NG)のルートを通って利用者認証のステップ217に戻る。認証が成功すれば(OK)ステップ250で、システム(OS)が起動する。
 次に、本発明の一実施形態における処理を説明する。ステップ230において、端末起動サーバからマジックパケットを受信する。ステップ231において、このマジックパケットが自己のネットワークアダプタのMACアドレスである場合には、入出力装置(I/O)を無効化した状態で電源をオンする。例えば、キーボード、マウス等の入力機器、各種の入出力端子は無効となる。そして、ステップ233で、ディスプレイを非表示にして、BIOSを起動する。ステップ270では、端末管理サーバから起動ポリシが受信された場合には、受信された起動ポリシを起動ポリシ記憶部に記憶(または記憶内容の更新を)してもよい。また、ステップ280では、端末の情報が収集される。ここで、記憶されている起動ポリシ270と端末の状態280が、ステップ235において照合される。この照合によって、端末の状態が起動する条件に合致しているか否かが判断される。ポリシに合致していると判断された場合(Yes)には、ステップ250に移行し、システム(OS)が起動する。これに対して、ポリシに合致していないと判断された場合(No)には、ステップ260において、電源はオフとされ、WOLによるシステムの起動が回避される。なお、ポリシとの合致の結果は、端末起動サーバ110に報告してもよい(236、237)。
 次に、起動ポリシ270について説明する。各端末が保持する起動ポリシとは、端末が起動するための端末の状態に係る条件であって、端末起動サーバからの端末に対する起動指令に対して、端末自身が起動の適否を判断するための条件である。起動ポリシは、1つ以上の要素を含んでおり、端末の使用目的、動作環境、セキュリティレベル、フェールセーフ要求等に基づき、端末に適した要素が決定される。以下、起動ポリシの要素を列挙する。なお、以下の列挙はイグゾースティブな列挙ではない。
(1)外部記憶装置が装着されていないこと
 外部記憶装置(例えばUSBメモリ、外付けハードディスク等)が接続されている場合に、端末は、本来の起動ハードディスクからではなく、外部記憶装置に記憶されたシステム(OS)により起動してしまう場合がある。この場合には、端末は第三者の希望する状態で起動してしまう可能性がある。このような状態を避けるため、外部記憶装置が装着されていないことを起動の条件としてもよい。
(2)入力デバイスが操作されていないこと
 入力デバイス(例えば、キーボード、マウス等)は、第三者に端末を操作されないようロックすることが望ましい。そのようなロック状態を設定してもなお、第三者がワイヤレスマウスを接続している等の場合には、第三者に端末を操作されてしまう場合がある。この条件は、確実に入力デバイスが操作されていないことをチェックするものである。第三者の端末操作を防止するため、入力デバイスが操作されていないことを起動の条件としてもよい。
(3)起動ディスクが予め定められたものであること
 起動ディスクが、本来のものから別のものに差し替えられている場合、本来起動すべきシステム(OS)とは異なるシステム(OS)が起動してしまう場合がある。したがって、例えば、本来のハードディスクと異なるシリアル番号のハードディスクが装着されているか否かをチェックすることは重要である。チェックする対象としては、シリアル番号があるが、ハードディスクを特定する情報であれば他の情報でもよい。したがって、起動ディスクが予め定められたものであることを起動の条件としてもよい。
(4)外部電源が接続されていること
 例えば、一定時間を要するシステムプログラムをアップデートする場合などでは、そのアップデート途中でバッテリ切れなどの電源断によるシステムの異常終了を避けることが必要である。このような異常終了が発生すると、重要なシステムプログラムが正常に動作しなくなったり、記憶装置自体がクラッシュしてしまったりすることもあり得る。このような事態が生じることは、端末システムの安定稼働に支障を来してしまう。したがって、特にラップトップPCなどのバッテリ駆動型の端末に対しては、外部電源が接続されていることを起動の条件として採用してもよい。
(5)表示装置が作動していないこと
 図2の実施形態においては、ステップ233で表示装置を非表示でBIOSを起動している。しかしながら、第三者が外部ディスプレイを装着することも想定される。したがって、標準装備の表示装置や外部ディスプレイが機能していないことを、起動の条件としてもよい。
(6)無線機能が作動していないこと
 WOLは、通常有線LANの使用を前提としている。したがって、無線LANの機能を無効化しておくことが、セキュリティ上望ましい。また、Bluetooth(登録商標)、WiFi(登録商標)、WiMAX(登録商標)への接続機能を標準で装備しているPCも存在する。この場合も、Bluetooth対応のキーボードやマウスが接続されてしまうことが想定される。また、WiFi、WiMAX等を介して、第三者が端末と接続を行うことも想定される。したがって、無線機能が作動していないことを起動の条件としてもよい。
(7)端末が静止していること
 特にラップトップにおいては、位置を移動させることが可能である。ラップトップの移動において、ハードディスクへの過度な衝撃が加わった場合には、ハードディスクのクラッシュや、ソフトウエアのアップデートの失敗やプログラムの破損等を招く場合が想定される。このため、端末が静止していることを条件としてもよい。なお、端末が静止しているか否かは、加速度センサ等を搭載したラップトップにおいて検出することが可能である。
(8)前回の起動指令(ウエイクアップ信号)の受信から予め定められた期間が経過していること
 WOLによって端末をメンテナンスする場合には、休日などの特定の時期に行われることが多い。たとえば、週1回WOLによる起動を行って、メンテナンスを実施するシステムにおいては、WOLによるウエイクアップ信号がその間隔よりも頻繁に受信されている端末は、第三者の不正アクセスがなされた可能性がある。したがって、前回のウエイクアップ信号の受信から予め定められた期間が経過していることを起動の条件としてもよい。
(9)表示画面が閉じられていること
 ラップトップPCでは、表示画面が閉じられていることにより、画面を見ることができなくなると共に、キーボードの操作やパッドへの操作を行うことができない。したがって、画面が開閉するラップトップに対しては、表示画面が閉じられていることを起動の条件としてもよい。なお、表示画面が閉じられていることは、例えばLCDパネルの開閉機構のスイッチで検出することができる。
(10)端末の所在地が予め定められたエリア内であること
 WOLについては、上述のように有線LANでの起動が前提である。しかしながら、無線回線を通じて端末の起動を指示するシステムを構築することも可能である。このような場合には、端末が盗難にあった場合等を考慮して、端末の所在地が予め定められたエリア内であることを起動の条件としてもよい。端末の所在地は、GPSシステムを用いることにより知ることができる。
(11)端末の前に人が存在しないこと
 通常、WOLによる端末のメンテナンスは、就業時間外に行われることが多い。その場合に、端末の前に人が存在することは、作動中に端末を操作される可能性が高い。したがって、端末の前に人が存在しないことを起動の条件としてもよい。端末の前に人が存在しているか否かを検知するためには、例えば搭載されたカメラを用いることができる。あるいは、人間感知センサを用いることもできる。
(12)端末のワイヤロックが接続されていること
 端末は、セキュリティ上ワイヤロックにより持ち出せないようにすることがある。ワイヤロックが外れている場合には、第三者による端末の不正操作が行われた可能性が高い。したがって、端末のワイヤロックが接続されていることを起動の条件としてもよい。なお、ワイヤロックが外れているか否かは、ロック穴スイッチで検出することができる。
(13)キーボードのパームレストに手が置かれていないこと
 特に、ラップトップにおいては、パームレストがキーボードの前部に設けられているものがある。このパームレストに手が置かれている場合には、そのラップトップを操作される可能性が高い。したがって、キーボードのパームレストに手が置かれていないことを起動の条件としてもよい。なお、パームレストの上に手が置かれているか否かを検知するには、例えば重量センサを設けることで対応できる。
(14)端末の筐体が開放された痕跡がないこと
 端末の筐体が開放されている場合には、第三者が端末内部のハードウエアを変更した可能性が高い、例えばハードディスクの追加や差し替えなどが想定される。また、筐体が開放されている場合には、第三者が不用意に内部機器にさわることにより、内部機器の損傷をもたらすこともある。したがって、端末の筐体が開放されているか、またはその痕跡がないことを起動の条件としてもよい。筐体があけられたか否かは、筐体のカバーのスイッチにより検出することができる。
(15)端末の内部または外部の温度が予め定められた温度の範囲内にあること
 例えば、システムソフトのバージョンアップなどにおいては、バージョンアップが確実にされる必要がある。端末の内外の温度が非常に高い場合や非常に低い場合には、端末自体の動作が不安定になる場合がある。特に端末の内部の温度が高い場合には、CPUの熱暴走が懸念される。したがって、端末の内部または外部の温度が予め定められた温度の範囲内にあることを起動の条件としてもよい。
 図3を用いて、一実施形態としてのWOLでの起動後における起動ポリシのチェックを説明する。図3の処理は、図2において、WOLにより起動された端末の起動後のチェックを示す。この動作は、マルチタスクシステムにより、常に動作を続けるが、プロセスの優先度を適切に設定することにより、または、割込をかけて適切なインターバルで、ステップ301が実行されるようにすることにより、CPUの占有率を圧迫しないように設定される。ステップ301において、現在の端末状態が収集される。ステップ302で、端末状態と起動ポリシとを照合する。その結果がYesであれば、ステップ301に戻る。その結果がNoであれば、ステップ303において、その旨を端末起動サーバに報告してもよい。これと同時に、ステップ304において端末の作動を停止させてもよい。そして、端末の停止の結果をステップ305において、端末起動サーバに報告してもよい。
 端末が作動中においても、このように端末状態と起動ポリシとが一致しない場合は、もはや起動ポリシが満足されなくなったことを意味する。この場合、そのまま作動を継続することは、危険である可能性が高いことを意味する。したがって、この場合には、端末の作動を停止させてもよい。
 なお、作動の停止の方法としては、システムの終了手順を踏んで電源をオフにする、休止状態とする、およびスタンバイ状態とすることが含まれる。なお、例えば、システムを更新中の場合には、作動を停止するまでに時間がかかることも想定される。したがって、ステップ303において、速やかに端末起動サーバに報告をすることにより、報告を受けたオペレータが適切な対応を取ることもできる。
 図4は、一実施形態の端末の機能的構成を示している。端末400は、ネットワーク401を介して端末起動サーバ110および端末管理サーバ120に接続されている。
 端末400は、受信部410、起動ポリシ記憶部412、状態収集部414、検証部416、公開キー記憶部418、送信部420、照合部422、作動停止部424、起動部426を有してもよい。
 まず、受信部410は、端末起動サーバ110からWOLパケットを受信する。受信部410は、受信したWOLパケットが、端末400のネットワークアダプタのMACアドレスを示しているかをチェックする。このチェックが肯定的であれば、端末起動サーバ110は、端末400を起動する指令を送っていることが認識される。この認識によって端末の起動のための処理が開始される。
 起動ポリシ記憶部412には、上述した起動ポリシの要素の一つ以上が記憶されている。この起動ポリシは、端末の工場出荷時に記憶されてもよい。あるいは、受信部410によって、ネットワーク401を介して端末管理サーバ120に保存されている起動ポリシ450の配信を受けてもよい。端末管理サーバ120は、端末400に適合した起動ポリシを選択し、秘密キーを用いて署名を付して、端末400に配信してもよい。端末400は、配信された起動ポリシを起動ポリシ記憶部412に記憶する。なお、起動ポリシに署名が付されている場合には、検証部416が、対応する公開キーを用いて、起動ポリシ記憶部に記憶された起動ポリシが改ざんされていないかを検証してもよい。検証結果は、起動部426に送られ、検証が確認されなかった場合には、起動部426を不活性化し、端末が起動されないようにしてもよい。なお、図4では、検証部の情報は起動部426に提供されているが、作動停止部424に提供してもよい。作動停止部は、検証部416からの情報に基づいて、端末の作動を停止させてもよい。
 状態収集部414は、端末の状態を収集する。具体的には、周辺デバイスをチェックして、外部記憶装置が装着されていないか、入力デバイス操作されていないか、起動ディスクが予め定められたものであるか、外部電源が接続されているか、表示装置が作動していないか、無線機能が作動していないか、端末が静止しているか、前回の起動指令の受信が何時であるか、表示画面が閉じられているか、端末の設置場所がどこか、端末の前に人が存在するか、端末のワイヤロックが接続されているか、キーボードのパームレストに手が置かれているか、端末の筐体が開放された痕跡があるか、端末の内部または外部の温度が何度か、などの情報を収集してもよい。
 起動ポリシ記憶部412に記憶された起動ポリシと、状態収集部414の情報とが、照合部に入力される。照合部422は、起動ポリシと、状態収集部414の情報とが合致しているか否かを照合する。照合した結果は、送信部420によってネットワーク401を端末起動サーバに送信してもよい。
 そして、照合部の照合した結果は、起動部426および作動停止部424に送られてもよい。照合した結果が合致を示している場合には、起動部426が活性化され、端末の起動が開始される。具体的には、システム(OS)の起動が開始される。
 なお、起動後、端末400が作動中においても、照合部は継続して照合の処理を継続して実行してもよい。この場合、例えば、AC電源が抜かれる等の事象が発生し、起動ポリシを満たさなくなる場合が想定される。その場合には、照合した結果が合致していないことを示す。この場合には、作動停止部424によって、端末の作動を停止させてもよい。停止をする場合には、端末に障害を与えないよう適切な順序でシステムの作動を停止することが必要である。
 また、状態収集部414には、ロック穴スイッチ、温度センサ、筐体カバースイッチ、加速度センサなど、図4に示す種々のセンサからの情報が入力され、端末400の状態が常に収集されてもよい。
 図5は、端末のハードウエア構成を示している。端末は、通信装置500、BIOS起動部501、CPU502、インターフェース装置503、表示装置504、入出力装置505、記録媒体507を読み書きするドライブ506、動的記憶装置508、メモリ装置509を有し、バス510で接続されている。
 一実施例においては、通信装置500がWOLパケットを受信し、通信装置500がBIOS起動部と連携しながら端末装置を起動させてもよい。すなわち、図4に示した各種機能部は、BIOSの拡張機能としてインプリメントされてもよい。あるいは、OSの起動の前後において起動するプログラムとしてインプリメントされてもよい。これらのプログラムがCPUにおいて実行されることにより、仮想的に図4に示した各種機能部が実現されてもよい。
 また、プログラムに係る本発明は、機械読み取り可能な記録媒体に格納されてもよい。機械読み取り可能な記録媒体には、磁気記録媒体、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録媒体には、HDD、フレキシブルディスク(FD)、磁気テープ(MT)などがある。光ディスクには、DVD(Digital Versatile Disc)、DVD-RAM、CD-ROM(Compact Disc - Read Only Memory)、CD-R(Recordable)/RW(ReWritable)などがある。また、光磁気記録媒体には、MO(Magneto - Optical disk)などがある。
 上述の実施形態は、WOLにおいて、サーバと端末が役割を分担することによって、サーバの管理負担を軽減すると共に、セキュリティを確保し、またフェールセーフを担保することができる。
 なお、起動ポリシは、各端末で異なってもよい。また、たとえば会社内の部署毎に起動ポリシを決定してもよい。あるいは、利用される環境によって起動ポリシを異ならせてもよい。端末管理サーバから起動ポリシを配信することによって、容易に起動ポリシを変更することができる。また、起動ポリシに署名を施すことによって、端末に記憶された起動ポリシが改ざんされた場合にも、十分なセキュリティを確保することが可能である。
 以上、本発明に係る各種の実施形態を説明したが、上述の実施形態の説明は、添付の特許請求の範囲を限定的に解釈するためのものではない点に留意すべきである。また、請求項に係る方法の発明における各ステップは、矛盾のない限り順番を入れ替えてもよい。そして、ステップの順番を入れ替えた場合においても、当然のごとく請求項の技術的範囲に含まれる。
400 端末
401 ネットワーク
410 受信部
412 起動ポリシ記憶部
414 状態収集部
416 検証部
420 送信部
422 照合部
424 作動停止部
426 起動部

Claims (18)

  1.  ネットワーク接続された装置であって、
     当該装置の起動ポリシを記憶する起動ポリシ記憶部と、
     前記ネットワークから当該装置を作動状態に移行させる指令を受信する受信部と、
     当該装置の状態を収集する状態収集部と、
     収集された前記状態と前記起動ポリシとを照合した結果を出力する照合部と、
     前記照合した結果が合致を示している場合、前記指令を受信した当該装置を起動する起動部と、
     を有することを特徴とする装置。
  2.  前記受信部は、さらに、前記ネットワークから前記起動ポリシを受信し前記起動ポリシ記憶部に記憶することを特徴とする請求項1に記載の装置。
  3.  前記照合部は、当該装置が作動している間、前記照合を実行し、
     前記照合した結果が合致を示していないことに応答して、当該装置の作動を停止させる、作動停止部を更に有することを特徴とする請求項1または2に記載の装置。
  4.  前記照合した結果を、前記指令の発信元に送信する送信部、を更に有することを特徴とする請求項1乃至3のうちいずれか1項に記載の装置。
  5.  前記起動ポリシは、前記指令の発信元によって署名されており、
     前記起動ポリシ記憶に記憶された起動ポリシを、前記署名を用いて検証する検証部を更に有し、
     前記起動部は、前記検証部によって起動ポリシが検証されない場合、当該装置を起動させないことを特徴とする請求項1乃至4のうちいずれか1項に記載の装置。
  6.  前記起動ポリシは、
    (1)外部記憶装置が装着されていないこと
    (2)入力デバイスが操作されていないこと
    (3)起動ディスクが予め定められたものであること
    (4)外部電源が接続されていること
    (5)表示装置が作動していないこと
    (6)無線機能が作動していないこと
    (7)当該装置が静止していること
    (8)前回の前記指令の受信から予め定められた期間が経過していること
    (9)表示画面が閉じられていること
    (10)当該装置の所在地が予め定められたエリア内であること
    (11)当該装置の前に人が存在しないこと
    (12)当該装置のワイヤロックが接続されていること
    (13)キーボードのパームレストに手が置かれていないこと
    (14)当該装置の筐体が開放された痕跡がないこと
    (15)当該装置の内部または外部の温度が予め定められた温度の範囲内にあること
     のうち少なくともいずれか一つを含むことを特徴とする請求項1乃至6のうちいずれか1項に記載の装置。
  7.  ネットワークから、ネットワーク接続された装置を作動状態に移行させる指令を受信し、
     前記装置の状態を収集し、
     収集された前記状態と起動ポリシ記憶部に記憶された起動ポリシとを照合した結果を出力し、
     前記照合した結果が合致を示している場合、前記指令を受信した前記装置を起動することを特徴とする方法。
  8.  前記受信する処理は、さらに、前記ネットワークから前記起動ポリシを受信し前記起動ポリシ記憶部に記憶することを特徴とする請求項7に記載の方法。
  9.  前記照合した結果を出力する処理は、当該装置が作動している間、前記照合を実行し、
     前記照合した結果が合致を示していないことに応答して、当該装置の作動を停止させることを特徴とする請求項7または8に記載の方法。
  10.  前記照合した結果を、前記指令の発信元に送信することを特徴とする請求項7乃至9のうちいずれか1項に記載の方法。
  11.  前記起動ポリシは、前記指令の発信元によって署名されており、
     前記起動ポリシ記憶に記憶された起動ポリシを、前記署名を用いて検証し、
     前記起動する処理は、前記検証する処理によって起動ポリシが検証されない場合、前記装置を起動させないことを特徴とする請求項7乃至10のうちいずれか1項に記載の方法。
  12.  前記起動ポリシは、
    (1)外部記憶装置が装着されていないこと
    (2)入力デバイスが操作されていないこと
    (3)起動ディスクが予め定められたものであること
    (4)外部電源が接続されていること
    (5)表示装置が作動していないこと
    (6)無線機能が作動していないこと
    (7)前記装置が静止していること
    (8)前回の前記指令の受信から予め定められた期間が経過していること
    (9)表示画面が閉じられていること
    (10)前記装置の所在地が予め定められたエリア内であること
    (11)前記装置の前に人が存在しないこと
    (12)前記装置のワイヤロックが接続されていること
    (13)キーボードのパームレストに手が置かれていないこと
    (14)前記装置の筐体が開放された痕跡がないこと
    (15)前記装置の内部または外部の温度が予め定められた温度の範囲内にあること
     のうち少なくともいずれか一つを含むことを特徴とする請求項7乃至11のうちいずれか1項に記載の方法。
  13.  ネットワークから、ネットワーク接続された装置を作動状態に移行させる指令を受信し、
     前記装置の状態を収集し、
     収集された前記状態と起動ポリシ記憶部に記憶された起動ポリシとを照合した結果を出力し、
     前記照合した結果が合致を示している場合、前記指令を受信した前記装置を起動する、
     処理をコンピュータに実行させることを特徴とするプログラム。
  14.  前記受信する処理は、さらに、前記ネットワークから前記起動ポリシを受信し前記起動ポリシ記憶部に記憶することを特徴とする請求項13に記載のプログラム。
  15.  前記照合した結果を出力する処理は、当該装置が作動している間、前記照合を実行し、
     前記照合した結果が合致を示していないことに応答して、当該装置の作動を停止させることを特徴とする請求項13または14に記載のプログラム。
  16.  前記照合した結果を、前記指令の発信元に送信することを特徴とする請求項13乃至15のうちいずれか1項に記載のプログラム。
  17.  前記起動ポリシは、前記指令の発信元によって署名されており、
     前記起動ポリシ記憶に記憶された起動ポリシを、前記署名を用いて検証し、
     前記起動する処理は、前記検証する処理によって起動ポリシが検証されない場合、前記装置を起動させないことを特徴とする請求項13乃至16のうちいずれか1項に記載のプログラム。
  18.  前記起動ポリシは、
    (1)外部記憶装置が装着されていないこと
    (2)入力デバイスが操作されていないこと
    (3)起動ディスクが予め定められたものであること
    (4)外部電源が接続されていること
    (5)表示装置が作動していないこと
    (6)無線機能が作動していないこと
    (7)前記装置が静止していること
    (8)前回の前記指令の受信から予め定められた期間が経過していること
    (9)表示画面が閉じられていること
    (10)前記装置の所在地が予め定められたエリア内であること
    (11)前記装置の前に人が存在しないこと
    (12)前記装置のワイヤロックが接続されていること
    (13)キーボードのパームレストに手が置かれていないこと
    (14)前記装置の筐体が開放された痕跡がないこと
    (15)前記装置の内部または外部の温度が予め定められた温度の範囲内にあること
     のうち少なくともいずれか一つを含むことを特徴とする請求項13乃至17のうちいずれか1項に記載のプログラム。
PCT/JP2011/060192 2011-04-26 2011-04-26 リモート起動装置、方法、およびプログラム WO2012147170A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2011/060192 WO2012147170A1 (ja) 2011-04-26 2011-04-26 リモート起動装置、方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2011/060192 WO2012147170A1 (ja) 2011-04-26 2011-04-26 リモート起動装置、方法、およびプログラム

Publications (1)

Publication Number Publication Date
WO2012147170A1 true WO2012147170A1 (ja) 2012-11-01

Family

ID=47071712

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2011/060192 WO2012147170A1 (ja) 2011-04-26 2011-04-26 リモート起動装置、方法、およびプログラム

Country Status (1)

Country Link
WO (1) WO2012147170A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10320577B2 (en) 2014-10-27 2019-06-11 Hewlett-Packard Development Company, L.P. Disregarding input in wake-on-LAN boot

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09185554A (ja) * 1995-12-28 1997-07-15 Matsushita Electric Ind Co Ltd 情報保護装置
JPH11353266A (ja) * 1998-06-10 1999-12-24 Toshiba Corp コンピュータシステムおよび同システムの状態制御方法
JP2000011268A (ja) * 1998-06-16 2000-01-14 Fujitsu Ltd セキュリティ装置
JP2003196162A (ja) * 2001-10-30 2003-07-11 Hewlett Packard Co <Hp> コンピュータセキュリティシステム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09185554A (ja) * 1995-12-28 1997-07-15 Matsushita Electric Ind Co Ltd 情報保護装置
JPH11353266A (ja) * 1998-06-10 1999-12-24 Toshiba Corp コンピュータシステムおよび同システムの状態制御方法
JP2000011268A (ja) * 1998-06-16 2000-01-14 Fujitsu Ltd セキュリティ装置
JP2003196162A (ja) * 2001-10-30 2003-07-11 Hewlett Packard Co <Hp> コンピュータセキュリティシステム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10320577B2 (en) 2014-10-27 2019-06-11 Hewlett-Packard Development Company, L.P. Disregarding input in wake-on-LAN boot

Similar Documents

Publication Publication Date Title
JP5350528B2 (ja) 場所に基づくデータにより更なる安全性をプラットフォームに提供するシステム及び方法
US9507918B2 (en) Always-available embedded theft reaction subsystem
US9558378B2 (en) Always-available embedded theft reaction subsystem
US9507965B2 (en) Always-available embedded theft reaction subsystem
US9552500B2 (en) Always-available embedded theft reaction subsystem
US9454678B2 (en) Always-available embedded theft reaction subsystem
US9619671B2 (en) Always-available embedded theft reaction subsystem
US9092957B2 (en) Always-available embedded theft reaction subsystem
US9734359B2 (en) Always-available embedded theft reaction subsystem
US20130275770A1 (en) Always-available embedded theft reaction subsystem
US20140020123A1 (en) Always-available embedded theft reaction subsystem
US9520048B2 (en) Always-available embedded theft reaction subsystem
US9208359B2 (en) Always-available embedded theft reaction subsystem
US9569642B2 (en) Always-available embedded theft reaction subsystem
WO2012147170A1 (ja) リモート起動装置、方法、およびプログラム
JPH11345205A (ja) コンピュータシステムおよびそのウェイクアップ制御方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11864442

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11864442

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP