説明

情報処理装置および認証回避方法

【課題】認証回避を指定したとき以外の安全性を維持したまま、遠隔操作により認証を行うか否かを指定して起動することが可能な情報処理装置および認証可能方法を提供する。
【解決手段】情報処理装置の入出力を設定するファームウエアを記憶した記憶部と、OSを格納する第1の記憶部と、装置本体のコマンド受信直前の電力状態を記憶する記憶部と、電力状態に応じて認証を行うか否かを示す動作表を記憶する記憶部と、ネットワークを介して送信されるコマンドを受信可能な通信部と、通信部に本体の電力状態に関わらず電力を投入する電力制御部と、を有する情報処理装置において、コマンドにファームウエアまたは第1の記憶部の認証を行うか否かに関する情報が含まれない場合は、電力状態および動作表に基づいて認証または認証回避を行ない、含まれる場合は、コマンドに基づいて認証または認証回避を行う。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置および認証回避方法に関する。
【背景技術】
【0002】
パーソナルコンピュータ(Personal Computer:以下、PCという)では、Basic Input Output System(BIOS)レベルで、BIOSパスワード認証と、ハードディスク(Hard Disk Drive:HDD)パスワード認証が用意されている場合が多い。これらはBIOS Setup画面などから設定可能となっており、BIOS Setupに入ることの可能な権限を持ったユーザが、それぞれのパスワード設定および認証実行または非実行の設定を行うことができる。セキュリティの観点から、これらのパスワードを設定して運用することが企業ポリシーで規定されている場合があり、特にモバイル運用では、認証を行うように推奨される場合が多い。これらのパスワードを指紋認証などの生体認証にて代替する場合もある。
【0003】
ところで、遠隔制御によりPCをメインテナンスするなど、ネットワークなどを介した遠隔操作によりPCを起動することが求められる場合がある。このための仕様として、Wake on LAN(商標:WOL)と呼ばれる、PCを遠隔操作により起動可能な機能が知られている。WOLは、Local Area Network(LAN)など通信デバイス経由で、コンピュータに電力を投入するための機能である。
【0004】
WOLの動作において、操作側は、WOL対象となるコンピュータの通信デバイスに対してマジック・パケットを送出すると、WOL対象コンピュータのネットワーク・アダプタがパケットを受け取り、PCに電力を投入する。Magic Packet方式では、Internet Protocol(IP)ヘッダに続いて、0xffffffffffff(6バイト)と、WOL対象コンピュータのネットワーク・アダプタのMACアドレス(6バイト)が16回連続する102バイトのデータを受け取ると機能する。
【0005】
Integrated Circuit(IC)カードにおいては、取引金額を表すデータの記録要求または更新要求があったときに内部メモリの記録内容を参照して認証を回避したり、特定の条件情報に基づいて認証を行ったりするようにしたものがある。
【0006】
複数の機器が接続された通信ネットワークを管理するシステムであって、メタネットワーク構成手段とネットワーク終端手段とを備えたシステムの例もある。ここで、メタネットワーク構成手段は、メタネットワークを仮想的に実現する手段であり、複数の機器が通信動作を行なうときには、これら複数の機器に対して動的または静的にメタネットワーク上のIPアドレスを割り当てるIPアドレス配布機能を有する。メタネットワーク終端手段は、ネットワーク終端手段IPブリッジ機能を備え、複数の機器をメタネットワークに接続する。このシステムでは、ユーザ側の機器による明示的な認証手続がない場合でも、システム内のデータベースに蓄積された情報を参照することにより、ユーザを特定することができる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2000−29962号公報
【特許文献2】特開2004−356861号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、WOLを利用するには、ユーザがBIOS Setupで認証を省略する設定変更をした上で利用する場合が多い。この設定はBIOS Setupの規定状態として保存され、次回の起動以降の動作に反映される。認証省略には、認証を解除する場合がある。しかし、この場合は通常利用でも認証が実行されないため、セキュリティの点で十分でないという懸念が残る。また、認証解除は、ユーザが行う必要がある。
【0009】
WOLの場合のみ認証を省略する場合もある。この場合には、WOL発生時に、認証のためのパスワードが設定されていないか、パスワードを回避する設定をしていれば、例えばWindows(登録商標)デスクトップ画面まで到達できる。しかし、パスワードを回避する設定を予め設定しておかない場合には、BIOSパスワードやHDDパスワード設定の画面でPCの起動が止まることになり、ユーザがPCに直接パスワードを入力するまで、サービスを受けることができない。
【0010】
また、データの記録、更新等の要求があったときに認証回避や、特定の条件情報による認証を行うICカード、複数の機器が接続されたシステムでは、外部から取得した条件で認証回避を行うわけではない。
【0011】
そこで本発明は、遠隔操作または電力状態に応じて認証回避が指定された場合のみ認証のための設定変更をすることにより、認証を回避させて情報処理装置を起動させることで、認証回避を指定しない場合のセキュリティを維持することが可能な情報処理装置および認証回避方法を提供することを目的とする。
【課題を解決するための手段】
【0012】
ひとつの態様である情報処理装置は、ネットワークに接続された情報処理装置である。この情報処理装置は、本体と、通信部と、電力制御部と、起動部とを有している。通信部は、前記ネットワークを介して送信されるコマンドを受信可能である。電力制御部は、前記情報処理装置への電力供給を制御し、前記通信部には、前記本体の電力状態に関わらず電力を供給する。起動部は、前記ネットワークを介して前記通信部がコマンドを受信すると、前記電力制御部に前記本体への電力投入を行わせる。
【0013】
ここで、前記本体は、第1の制御部、ファームウエア記憶部、第1の記憶部、電力状態記憶部、認証動作記憶部を有している。第1の制御部は、前記情報処理装置における処理を制御する。ファームウエア記憶部は、前記情報処理装置の入出力動作を設定するファームウエアを格納している。第1の記憶部は、前記第1の制御部により制御されて情報を読み書き可能であり、前記情報処理装置のオペレーティングシステムを格納している。電力状態記憶部は、前記通信部により前記コマンドが受信される直前の前記本体の電力状態を記憶する。認証動作記憶部は、前記電力状態に応じて認証または認証回避のいずれを実行するかを表す動作表を記憶する。
【0014】
前記第1の制御部は、前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かに関する情報は含まれないと解析した場合には、前記電力状態および前記動作表に基づいて認証または認証回避のいずれかを行なう。前期第1の制御部は、前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かに関する情報が含まれると解析した場合には、前記コマンドの前記認証を行うか否かに関する情報に基づいて認証または認証回避のいずれかを行うことを特徴としている。
【0015】
別の態様である認証回避方法は、本体と、コマンドを受信する通信部と、電力供給を制御する電力制御部と、前記本体を起動する起動部とを有する情報処理装置にネットワークを介して認証を行うか否かを指定する認証回避方法である。ここで、前記ネットワークを介して送信されるコマンドを前記通信部が受信し、前記本体を前記電力制御部に起動させる。情報処理装置は、前記コマンドを解析し、前記情報処理装置の入出力を設定するファームウエアと、前記情報処理装置のオペレーティングシステムを格納した第1の記憶部との認証を行うか否かを指定する情報が前記コマンドに含まれているか否かを判別する。
【0016】
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かを指定する情報が含まれないと解析された場合には、情報処理装置は、前記本体の、前記コマンドが受信される直前の電力状態および動作表に基づいて、認証または認証回避を行なう。動作表は、前記電力状態に応じて認証を行うか否かを示す。前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かを指定する情報が含まれると解析された場合には、情報処理装置は、前記コマンドの前記認証を行うか否かを指定する情報に基づいて認証または認証回避を行うことを特徴としている。
【発明の効果】
【0017】
遠隔操作または情報処理装置本体の電力状態に応じて認証を行うか否かを選択して起動させることにより、認証回避を指定しない場合の安全性の維持が可能な情報処理装置および認証回避方法を提供することができる。
【図面の簡単な説明】
【0018】
【図1】第1の実施の形態による認証回避システムの構成を示す図である。
【図2】第1の実施の形態によるコマンドの構成を示す図である。
【図3】第1の実施の形態によるパスワード回避指定の構成を示す図である。
【図4】第1の実施の形態による電力ステート記憶部に格納される情報を説明する表である。
【図5】第1の実施の形態によるポリシーテーブルの構成を説明する図である。
【図6】第1の実施の形態による通信部のコマンド受信のための動作を示すフローチャートである。
【図7A】第1の実施の形態による情報処理装置の動作を示すフローチャートである。
【図7B】第1の実施の形態による情報処理装置の動作を示すフローチャートである。
【図8】第2の実施の形態による認証回避システムの構成を示す図である。
【図9A】第2の実施の形態による情報処理装置の動作を示すフローチャートである。
【図9B】第2の実施の形態による情報処理装置の動作を示すフローチャートである。
【発明を実施するための形態】
【0019】
(第1の実施の形態)
以下、図面を参照しながら、第1の実施の形態による認証回避システム1について説明する。図1は、第1の実施の形態による認証回避システム1の構成を示す図、図2は、コマンドの構成を示す図、図3は、パスワード回避指定の構成を示す図である。図1に示すように、認証回避システム1は、管理者端末3と、複数(図示略)の情報処理装置9とが有線または無線によるネットワーク7を介して接続されたシステムである。ネットワーク7は、インターネット、LAN等である。管理者端末3は、例えばパーソナルコンピュータ(PC)等の情報処理装置であり、コマンド発行部5を有する。コマンド発行部5は、不図示の制御部が、コマンド発行のためのプログラムを読み込み実行することにより、任意の時間に、情報処理装置9に行なわせる動作を指定するためのコマンドを発行する。
【0020】
図2に示すように、管理者端末3が発行するコマンド50は、情報処理装置9に与える指定を含む情報であり、起動情報52、タスク情報54、パスワード回避指定60を有している。起動情報52は、情報処理装置9を起動することを表す情報、タスク情報54は、情報処理装置9において、Operating System(OS)が起動された後に行う処理の情報である。パスワード回避指定60は、情報処理装置9における認証を行うか否かの指定を有する情報である。なお、パスワード回避指定60は、コマンド50に含まれない場合もある。
【0021】
図3に示すように、パスワード回避指定60は、情報処理装置9における、BIOS認証指定64、HDD認証指定66、および環境認証指定68を示す情報である。上記各指定において、パスワード(PW)回避(認証回避)の場合には「1」、パスワード実行(認証実行)の場合には「0」を割り当てる。すなわち、例えば、BIOS、HDD、環境の3項目全てについて認証を行なう場合には「000」逆に全て回避の場合には「111」等、3ビットの情報で表される。
【0022】
ここで、BIOS認証とは、BIOSを実行するための例えばパスワードによる認証であり、あらかじめ登録されたパスワードと入力されたパスワードとが一致すると、BIOSが駆動されるように設定された処理である。HDD認証とは、HDDを駆動するためのパスワードによる認証であり、あらかじめ登録されたパスワードと入力されたパスワードとが一致すると、HDDが駆動されるように設定された処理である。
【0023】
環境認証とは、例えば、情報処理装置9が置かれた位置に関する認証である。環境認証の一例として、情報処理装置9を起動許可する位置情報(緯度、経度など)を情報処理装置9に予め保存しておき、毎回、情報処理装置9が起動する際に、例えばBIOSレベルで情報処理装置9の位置情報を取得することが考えられる。このとき、情報処理装置9は、不図示の位置取得手段により取得した位置情報を起動許可された位置情報と比較し、一致した場合には情報処理装置9本体を起動許可する等、次の処理に進むような認証を行う。
【0024】
他の例としては、位置情報として、通信のための基地局の情報、利用可能なアクセスポイントの情報、情報処理装置9の移動履歴、起動を許可する場所での周囲の様子を撮影した画像などを用いることが考えられる。
【0025】
コマンド50は、3rd Generation(3G)、Personal Handy Sysytem(PHS)、LAN、Wireless Fidelity(WiFi)、Worldwide Interoperability(WiMAX)などの通信網を経由して、情報処理装置9の通信部31に通知される。コマンド送信は、Short Message Service(SMS)や、IP網を張った状態でPUSHメッセージを送信する擬似PUSHを利用する。
【0026】
図1に戻って、情報処理装置9は、Central Processing Unit(CPU)11により動作を制御される例えばPC等の情報処理装置である。情報処理装置9は、さらに、HDD13、メモリ28、Power Management Unit(PMU)25、ディスプレイ27、入力装置29、通信部31を有し、互いにシステムバス35により接続されている。
【0027】
CPU11は、HDD13、メモリ28等よりプログラムを読み込み実行することにより、情報処理装置9における処理を行う演算処理装置である。HDD13は、例えば、記憶媒体であるハードディスクとその駆動装置を含む記憶装置であり、CPU11により実行される、例えばOperating System(OS)をはじめとする各種制御プログラムや、取得したデータ等を記憶しておく装置である。CPU11は、HDD13に記録されている所定の制御プログラムを、記録媒体駆動装置を介して読み出して実行することによって、各種の制御処理を行う。
【0028】
メモリ28は、例えばRead Only Memory(ROM)や、Random Access Memory(RAM)等である。メモリ28は、情報処理装置9の動作を制御するプログラムを予め記憶したり、プログラムを実行する際に必要に応じて作業領域として使用したりするための記憶装置である。メモリ28は、BIOS15、コマンド解析プログラム17、認証回避プログラム19等を格納している。
【0029】
BIOS15は、情報処理装置9の入出力を設定するファームウエアである。BIOS15は、コマンド解析プログラム17、認証回避プログラム19を含んでいる。コマンド解析プログラム17は、受信したコマンドを解析するとともに、送信元を検証するためのプログラムである。認証回避プログラム19は、電力ステート記憶部21、ポリシーテーブル23を有している。認証回避プログラム19は、管理者端末3からのコマンド、電力ステート記憶部21、ポリシーテーブル23の内容に応じて、BIOS、HDD、環境の3項目に関する認証または認証回避を行うためのプログラムである。
【0030】
電力ステート記憶部21は、情報処理装置9の通信部31およびPMU25以外の部分(以下、情報処理装置9本体という)の電力状態を格納している。格納される電力状態は、通信部31によりコマンドが受信される直前の電力状態である。ポリシーテーブル23は、電力ステートに応じて認証を行うか否かを示す動作表である。ここで、電力ステート記憶部21およびポリシーテーブル23について説明する。
【0031】
図4は、電力ステート記憶部21に格納される情報を説明する表である。電力ステート記憶部21は、図4に示すように、情報処理装置9が採り得る電力ステートを示す電力状態S0、S3、S4、S5のいずれかを、情報処理装置9の電力ステート70として記憶する。ここで、電力ステートは、Advanced Configuration and Power Interface(ACPI)にて規定されている。規定によれば、電力状態S0は、電源オンの状態、電力状態S3は、スタンバイの状態、電力状態S4は、ハイバネートの状態、電力状態S5は、電源オフの状態を表す。
【0032】
図5は、ポリシーテーブル23の構成を説明する図である。図5に示すように、ポリシーテーブル23は、電力状態S0、S3、S4、S5に応じた認証または認証回避の指定を示す情報である。認証または認証回避は、BIOS認証指定84、HDD認証指定86、および環境認証指定88について、認証回避するか(「1」)、認証を行うか(「0」)により指定される。
【0033】
例えば、電力状態S0の場合、すなわち、情報処理装置9本体が電源オンの場合には、環境認証以外の認証は回避する、と設定されている。また、電力状態S3のときには、BIOS、およびHDDの認証についてはシステム上不要であるので設定されておらず、環境認証は認証回避すると設定されている。電力状態S4、S5の場合、すなわち、情報処理装置9がハイバネートか電源オフの場合には、環境認証以外の認証は回避する、と設定されている。ポリシーテーブル23は、製品出荷時に予め設定する場合、管理者が遠隔操作により設定する場合が想定される。
【0034】
PMU25は、情報処理装置9全体の電力供給を制御する装置であり、情報処理装置9本体がスリープ状態でも動作し、通信部31と図示せぬ電源とを常に接続させ、通信部31に電力を供給するように構成されている。また、PMU25は、通信部31がコマンドを受信すると、情報処理装置9本体に電力を供給する。
【0035】
ディスプレイ27は、情報処理装置9による処理結果を表示する装置である。例えばディスプレイ27は、CPU11により送付される表示データに応じてテキストや画像を表示する。
【0036】
入力装置29は、コンピュータの使用者により操作されると、その操作内容に対応付けられている使用者からの各種情報の入力を取得し、取得した入力情報をCPU11に送付する装置であり、例えばキーボード装置、マウス装置などである。
【0037】
通信部31は、有線または無線により外部との間で行われる各種データの授受の管理を行うインタフェース装置である。通信部13は、情報処理装置9本体がスリープの状態であっても電力が供給されており、コマンドを受け付けられる状態になっている。また、通信部31は、起動部33を有している。起動部33は、コマンドを受信すると、PMU25に通知することにより、情報処理装置9本体を起動する。バス310は、上記各装置等を互いに接続し、データのやり取りを行う通信経路である。上記のような情報処理装置9は、CPU11が、BIOS15、コマンド解析プログラム17、認証回避プログラム19等を読み込み、実行することにより動作する。
【0038】
以下、上記のように構成される第1の実施の形態による認証回避システム1の動作を、図6図7A、図7Bを参照しながら説明する。図6は、通信部31のコマンド受信のための動作を示すフローチャート、図7A、図7Bは、情報処理装置9の動作を示すフローチャートである。
【0039】
図6に示すように、通信部31は、常に管理者端末3からコマンドが送信されるか否かを監視している。すなわち、通信部31は、管理用ポート番号指定で、ネットワーク7にInternet Protocol(IP)接続する(S101)。通信部31は、IPアドレスを管理者端末3に通知する(S102)。さらに、通信部31は、ネットワーク7との接続が切断されたか否か判別し(S103)、接続されている間は(S103:NO)、S103を繰り返し、接続が切断されると(S103:YES)、S101に戻る。このとき、コマンド50は、例えば、疑似プッシュにより、管理者端末3から情報処理装置9の通信部31に送信される。
【0040】
図7Aに示すように、情報処理装置9は、通信部31がコマンドを受信すると(S121)、起動部33は、PMU25に通知し、電源がオンでない場合には(S122:NO)、PMU25を介して情報処理装置9本体に電源を投入する(S123)。その後、CPU11は処理をS124に進める。情報処理装置9本体の電源がオンの場合には(S122:YES)、CPU11は、そのまま処理をS124に進める。
【0041】
CPU11は、BIOS15におかれたコマンド解析プログラム17を読み込み、受信したコマンドを解析する(S124)。CPU11は、コマンドが正しい送信元、すなわちここでは管理者端末3からのコマンドであるか否かを判別する(S125)。このとき、メモリ28等に正しい送信元を示す情報を格納しておくことが好ましい。正しい送信元でないと判断された場合には(S125:NO)、処理は終了される。
【0042】
正しい送信元であると判別された場合には(S125:YES)、CPU11は、コマンドにパスワード回避指定60があるか否かを判別する(S126)。パスワード回避指定60がない場合には(S126:NO)、処理はS129に進む。
【0043】
パスワード回避指定60がある場合には、CPU11は、解析されたパスワード回避指定60を取得する(S127)。CPU11は、認証回避プログラム19を読み込み、取得したパスワード回避指定60に、1つでも「0」があるか否か判別する。すなわち、CPU11は、パスワード回避指定60に指定されている、BIOS認証指定64、HDD認証指定66、または環境認証指定68のうち、1つでも認証を実施する指定があるか否かを判別する(S128)。
【0044】
CPU11は、BIOS認証指定64、HDD認証指定66、または環境認証指定68のうち、一つも認証を実施する指定がないと判別した場合には(S128:NO)、処理をS141に進める。CPU11は、BIOS認証指定64、HDD認証指定66、または環境認証指定68のいずれか一つでも認証実施の指定の場合には(S128:YES)、処理をS135に進め、パスワード回避指定60に応じた認証を行う。
【0045】
S126で、パスワード回避指定60がないと判別された場合には、CPU11は、電力ステート記憶部21から、電力ステートを取得する(S129)。このとき、電力ステートは、通信部31がコマンドを受信する直前の電力ステートとなっている。
【0046】
図7Bに進んで、CPU11は、取得した電力ステートが電力状態S3であるか否か判別する(S130)。電力ステートが電力状態S3の場合には(S130:YES)、CPU11は、ポリシーテーブル23を参照し(S131)、環境認証指定68において、環境認証が指定されているか否かを判別する(S132)。CPU11は、環境認証の実行が指定されていると判別すると(S132:YES)、認証を実施し(S133)、環境認証の実行が指定されていないと判別すると(S132:NO)、認証を回避し、処理をS141に進める。
【0047】
電力ステートが、電力状態S3でない場合には(S130:NO)、CPU11は、ポリシーテーブル23を参照する(S134)。CPU11は、環境認証指定68または環境認証指定88において、環境認証が指定されているか否かを判別する(S135)。CPU11は、環境認証の実行が指定されていると判別すると(S135:YES)、認証を実施し(S136)、処理をS137に進め、環境認証の実行が指定されていないと判別すると(S135:NO)、認証を回避し、処理をS137に進める。ここで、認証のためのパスワード入力は、情報処理装置9側で行うようにしてもよいし、管理者端末3側で行うようにしてもよい。
【0048】
S137において、CPU11は、BIOS認証指定64またはBIOS認証指定84において、BIOS認証が指定されているか否かを判別する。CPU11は、BIOS認証の実行が指定されていると判別すると(S137:YES)、認証を実施し(S138)、処理をS139に進め、BIOS認証の実行が指定されていないと判別すると(S137:NO)、認証を回避し、処理をS139に進める。
【0049】
S139において、CPU11は、HDD認証指定66またはHDD認証指定86において、HDD認証が指定されているか否かを判別する。CPU11は、HDD認証の実行が指定されていると判別すると(S139:YES)、認証を実施し(S140)、処理をS141に進め、HDD認証の実行が指定されていないと判別すると(S139:NO)、認証を回避し、処理をS141に進める。
【0050】
CPU11は、電力ステート記憶部21において、電力ステートを現在の電力ステートに更新し(S141)、OSを起動し、タスク情報54に指定された処理を行う(S142)。なおこの後、次のコマンド50が受信されるまで、情報処理装置9本体の電力ステートが変化する毎に電力ステートは更新されることが好ましい。
【0051】
以上説明したように、第1の実施の形態による認証回避システム1によれば、情報処理装置9において、通信部31が常に電力を供給されており、ネットワーク7を介してコマンドを受信できる状態に設定されている。通信部31は、起動部33を有しており、起動情報52を含むコマンドを受信すると、PMU25を介して情報処理装置9本体を起動する。
【0052】
CPU11はコマンド解析プログラム17を読み込んでコマンドを解析し、パスワード回避指定60がなければ、認証回避プログラム19を読み込み、電力ステートに応じてBIOS認証、HDD認証、環境認証を実行または回避する。パスワード回避指定60がある場合には、CPU11は、その指定に応じて認証を実行または回避する。
【0053】
以上のように、第1の実施の形態による認証回避システム1によれば、情報処理装置9本体が起動されていなくても、管理者端末3からコマンド50を送信することにより、遠隔操作にて認証を行うか否かを指定して起動させることができる。その際、情報処理装置9側では、ポリシーテーブル23により、情報処理装置9の電力ステートに応じて、BIOS認証、HDD認証、環境認証を実行するか回避するかを選択的に指定することができる。さらに、管理者端末3がパスワード回避指定60をコマンドに含めることにより、管理者端末3から認証の実行または回避を選択的に指定することが可能である。
【0054】
これにより、複数の認証手段に対してBIOS Setup設定のマニュアル設定無しで遠隔操作によりパスワード回避指定することにより、一時的に認証回避ができる。よって、遠隔操作による起動および認証制御における安全性の向上が実現できる。このように、認証回避システム1によれば、情報処理装置9の遠隔操作による起動時に、認証の実行または回避を選択的に指定することができる。よって、認証回避を指定しない場合に情報処理装置を安全な状態に保ちつつ、遠隔操作により管理を実施することができる。また、コマンド50にタスク情報54を含ませることにより、遠隔操作による制御により起動した後、所定の処理を実行させることが可能になる。
【0055】
(第2の実施の形態)
次に、図8、図9A、図9Bを参照しながら、第2の実施の形態による認証回避システム200について説明する。第2の実施の形態において、第1の実施の形態と同様の構成及び動作については、重複説明を省略する。
【0056】
図8は、第2の実施の形態による認証回避システム200の構成を示す図である。図8に示すように、認証回避システム200においては、管理者端末3と、情報処理装置210とが、ネットワーク7を介して接続されている。管理者端末3が送信するコマンドは、第1の実施の形態によるコマンド50と同様のものである。
【0057】
情報処理装置210は、CPU11、HDD13、メモリ228、PMU225、ディスプレイ27、入力装置29、通信解析部230を有し、互いにシステムバス35により接続されている。情報処理装置210は、例えばPC等の情報処理装置である。情報処理装置210は、情報処理装置9と比較すると、BIOS15に代えてBIOS215を備え、通信部31に代えて、通信解析部230を備えている。BIOS215は、BIOS15と同様、認証回避プログラム19を有しているが、コマンド解析プログラム17は備えていない。以下、情報処理装置210の、通信解析部230およびPMU225以外の部分を情報処理装置210本体という。
【0058】
通信解析部230は、サブCPU211、記憶部213、通信部231を有しており、互いにシステムバス235により接続されている。記憶部213は、起動プログラム233、コマンド解析プログラム217を有している。
【0059】
第2の実施の形態においては、通信解析部230は、情報処理装置210本体がスリープ状態か否かにかかわらず、PMU225の制御により電力を供給されている。サブCPU211は、記憶部213からプログラムを読み込んで実行することにより、通信解析部230における処理を行う。通信部231は、ネットワーク7を介して配信されるコマンドを受信する。起動プログラム233は、サブCPU211に読み出されることにより実行され、サブCPU211は、PMU225に情報処理装置210本体を起動させる。サブCPU211は、コマンド解析プログラム217を読み込んで実行することにより、通信部231が受信したコマンドを解析する。
【0060】
なお、記憶部213に情報処理装置9本体の電力ステートを格納させておくようにしてもよい。このとき、通信部231がコマンドを受信するとサブCPU211が記憶部213内の電力ステートを確認し、情報処理装置9本体が電源オンの状態でなければ起動する。
【0061】
以上のように構成された認証回避システム200の動作を、図9A、図9Bを参照しながら説明する。通信部231の、管理者端末3からのコマンドを受信するための動作は、図6を参照しながら説明した動作と同様であるので、説明は省略する。
【0062】
図9A、図9Bは、情報処理装置210の動作を示すフローチャートである。図9Aに示すように、情報処理装置210においては、通信部231がコマンドを受信すると(S171)、コマンドを受信したことをサブCPU211が検知する。サブCPU211は、記憶部213におかれたコマンド解析プログラム217を読み込み、実行することにより、受信したコマンドを解析する(S172)。サブCPU211は、コマンドが正しい送信元、すなわちここでは管理者端末3からのコマンドであるか否かを判別する(S173)。正しい送信元でないと判断された場合には(S173:NO)、処理は終了される。
【0063】
S173において、コマンドが正しい送信元からのものであることが確認されると(S173:YES)、サブCPU211は、コマンドがパスワード回避指定60を含んでいるか否か判別する(S174)。パスワード回避指定60が含まれていない場合には、サブCPU211は、処理をS183に進める(S174:NO)。
【0064】
パスワード回避指定60が含まれている場合には、サブCPU211は、パスワード回避指定60を取得する(S175)。すなわち、サブCPU211は、パスワード回避指定60に指定されている、BIOS認証指定64、HDD認証指定66、または環境認証指定68のうち、1つでも認証を実施する指定があるか否かを判別する(S176)。パスワード回避指定60において、BIOS認証指定64、HDD認証指定66および環境認証指定68の全てが認証回避、すなわち「1」の場合には(S176:NO)、サブCPU211は、PMU225により情報処理装置210本体が電源オンか否かを判別する(S177)。
【0065】
情報処理装置210本体の電源がオンである場合には(S177:YES)、サブCPU211は、認証または認証回避に関する処理を終了する。情報処理装置210本体が電源オフである場合には(S177:NO)、サブCPU211は、PMU225に情報処理装置210本体の電源をオンさせ(S178)、処理はS192に進む。
【0066】
サブCPU211は、パスワード回避指定60において、BIOS認証指定64、HDD認証指定66、および環境認証指定68のいずれか一つでも認証の指定がある場合、すなわち一つでも「0」がある場合には(S176:YES)、S179に処理を進める。S179において、サブCPU211は、パスワード回避指定60を参照し、まず、環境認証を実施するか否か環境認証指定68を確認する。
【0067】
サブCPU211は、環境認証の実行が指定されていると判別すると(S179:YES)、認証を実施し(S180)、環境認証の実行が指定されていないと判別すると(S179:NO)、認証を回避し、処理をS181に進める。このとき、通信解析部230に、不図示の環境認証に関するデータを取得する手段を設け、位置情報などを取得することが好ましい。環境認証の際に参照する基準となるデータは、通信解析部230の記憶部213に格納することが好ましい。
【0068】
図9Bに進んで、サブCPU211は、PMU225により、情報処理装置210本体が電源オンの状態であるか判別する(S181)。情報処理装置210本体が電源オンであれば、認証または認証回避に関する処理を終了する(S181:YES)。情報処理装置210本体が、電源オフの状態であれば(S181:NO)、サブCPU211は、PMU225に情報処理装置210本体に電力を投入させ(S182)、S188に処理を進める。
【0069】
S174に戻って、パスワード回避指定60がない場合(S174:NO)、S183において、サブCPU211は、PMU225を介して情報処理装置210本体の電源がオンであるか否かを判別し、電源オンである場合には(S183:YES)、認証または認証回避の処理を終了する。電源がオンでない場合には(S183:NO)、サブCPU211は、PMU225に通知し、情報処理装置210本体に電力を投入させる(S184)。情報処理装置210本体に電力が供給されると、CPU11は、認証回避プログラム19を読み込んで実行することにより電力ステート記憶部21から電力ステートを取得する(S185)。
【0070】
S186において、CPU11は、電力ステートが電力状態S3か否かを判別する。電力ステートが電力状態S3の場合には(S186:YES)、CPU11は、認証を回避し、処理をS192に進める。電力ステートが、電力状態S3でない場合には(S186:NO)、CPU11は、ポリシーテーブル23を参照する(S187)。CPU11は、BIOS認証指定84を参照し、BIOS認証が指定されているか否かを判別する。
【0071】
CPU11は、BIOS認証の実行が指定されていると判別すると(S188:YES)、認証を実施して(S189)処理をS190に進め、BIOS認証の実行が指定されていないと判別すると(S188:NO)、認証を回避して処理をS190に進める。
【0072】
S190において、CPU11は、HDD認証指定86を参照し、HDD認証が指定されているか否かを判別する。CPU11は、HDD認証の実行が指定されていると判別すると(S190:YES)、認証を実施して(S191)処理をS192に進め、HDD認証の実行が指定されていないと判別すると(S190:NO)、認証を回避して処理をS192に進める。
【0073】
CPU11は、電力ステート記憶部21において、電力ステートを現在の電力ステートに更新し(S192)、OSを起動し、タスク情報54に指定された処理を行う(S193)。なお、CPU11は、次のコマンド50を受信するまでは、情報処理装置210本体の電力ステートが変更される毎に、電力ステートを更新するようにすることが好ましい。
【0074】
以上説明したように、第2の実施の形態による認証回避システム200によれば、情報処理装置210において、通信部231を含む通信解析部230が、常に電力を供給されており、ネットワーク7を介してコマンドを受信できる状態に設定されている。通信部231が、コマンドを受信すると、サブCPU211が検知する。
【0075】
サブCPU211は、コマンド解析プログラム217を読み込んで実行することにより受信されたコマンドを解析し、正しい送信元からのコマンドであれば、パスワード回避指定60があるか否かを判別する。サブCPU211は、コマンドにパスワード回避指定60がなければ、PMU225に情報処理装置210本体への電源供給を行なわせ、電力ステートに応じてBIOS認証、HDD認証を実行または回避する。パスワード回避指定60がある場合には、すべて認証回避の場合で情報処理装置210本体が電源オンの状態でない場合には、電源をオンする。電源がオン状態になっている場合には、その状態を維持する。
【0076】
パスワード回避指定60に一つでも認証指定がある場合には、CPU11は、パスワード回避指定60に応じて環境認証の認証動作を行い、BIOS認証、HDD認証を行う。ここで、パスワード回避指定60がない場合には、電力ステートに応じてBIOS認証、HDD認証のみを行うようにしたが、環境認証は、パスワード回避指定60の有無に関わらず実行し、他の認証は電力ステートに応じて行うようにするなど、変形も可能である。
【0077】
以上のような第2の実施の形態による認証回避システム200によれば、第1の実施の形態による認証回避システム1による効果に加え、サブCPU211がコマンドを解釈し、その結果に応じて情報処理装置210に電源を投入することができる。よって、情報処理装置210への電源投入前に、サブCPU211が、コマンドが正しい送信元からか否かを解析することができる。
【0078】
また、通信解析部230のサブCPU211が、パスワード回避指定60があるか否かを判別するので、本体への電力投入前に環境認証を行なうことができる。このように、情報処理装置210本体に電源を入れる動作が不要な場合に電源オンの動作を省略することができ、電力節約が可能であると共に、情報処理装置210本体に電源を投入することによる認証に関する安全性の低下を回避することができる。
【0079】
上記第1、第2の実施の形態において、PMU25、225は、本発明の電力制御部の一例であり、CPU11は、本発明の第1の制御部の一例であり、BIOS15、215は、本発明のファームウエアの一例であり、HDD13は、本発明の第1の記憶部の一例である。また、メモリ28,228は、本発明のファームウエア記憶部、電力状態記憶部、および認証動作記憶部の一例である。
【0080】
なお、本発明は、以上に述べた実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内で種々の構成または実施形態を採ることができる。例えば、コマンドの送信は、情報処理装置9本体、または情報処理装置210本体がスリープ状態でも受信可能であれば、Short Message Service(SMS)等、他の方法により行ってもよい。
【0081】
情報処理装置9または情報処理装置210を駆動するファームウエアについては、BIOSを例にして説明したが、Extesive Firmware Interface(EFI)等他のものでもよい。また、OSを格納する記憶装置については、HDDを例にして説明したが、これに限定されず、他の形態の外部記憶装置でもよい。
【0082】
正しい送信元であるか否かの判断には、例えば、コマンドの内容を暗号化しておき、それが復号化できるか否かを検証する処理や、送信元の認証のための情報をコマンドに含ませる等の処理を含めるようにしてもよい。
【0083】
管理者端末3からのコマンド50にパスワード回避指定60が含まれている場合には、パスワード回避指定60に基づき認証動作をおこなうようにしたが、パスワード回避指定60に、認証を行うか否かの情報のみを含ませるようにし、認証を行う場合には、常に情報処理装置9側で設定されたポリシーテーブル23に従い認証動作をおこなうようにしてもよい。ポリシーテーブル23は、上記の例に限定されず、他のポリシーに基づくものでもよい。さらに、認証はパスワードを用いる方法に限定されず、生体認証など他の方法による方法でもよい。
【0084】
以上の実施形態に関し、さらに以下の付記を開示する。
(付記)
(付記1)
ネットワークに接続された情報処理装置であって、
本体と、
前記ネットワークを介して送信されるコマンドを受信可能な通信部と、
前記情報処理装置への電力供給を制御し、前記通信部には、前記本体の電力状態に関わらず電力を供給する電力制御部と、
前記ネットワークを介して前記通信部がコマンドを受信すると、前記電力制御部に前記本体への電力投入を行わせる起動部と、
を有し、
前記本体は、
前記情報処理装置における処理を制御する第1の制御部と、
前記情報処理装置の入出力動作を設定するファームウエアを格納したファームウエア記憶部と、
前記第1の制御部により制御されて情報を読み書き可能であり、前記情報処理装置のオペレーティングシステムを格納した第1の記憶部と、
前記通信部により前記コマンドが受信される直前の前記本体の電力状態を記憶する電力状態記憶部と、
前記電力状態に応じて認証または認証回避のいずれを実行するかを表す動作表を記憶する認証動作記憶部と、
を備え、
前記第1の制御部は、
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かに関する情報は含まれないと解析した場合には、前記電力状態および前記動作表に基づいて認証または認証回避のいずれかを行ない、
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かに関する情報が含まれると解析した場合には、前記コマンドの前記認証を行うか否かに関する情報に基づいて認証または認証回避のいずれかを行うことを特徴とする情報処理装置。
(付記2)
前記電力制御部により前記本体の電力状態にかかわらず電力を供給される通信解析部、
をさらに有し、
前記通信解析部は、
前記通信解析部における処理を制御する第2の制御部と、
前記起動部としての動作を行なうための起動プログラムが格納される第2の記憶部と、
を備え、
前記第2の制御部は、
前記コマンドを解析し、解析した結果に応じて前記起動プログラムを実行することにより前記電力制御部に前記本体への電力供給を行わせることを特徴とする付記1に記載の情報処理装置。
(付記3)
前記第2の制御部が、前記コマンドに前記情報処理装置が起動される環境に関する認証を行うか否かを指定する情報が含まれると解析した場合には、
前記環境に関する認証または認証回避を行なった後に前記電力制御部に前記本体への電力供給を行わせることを特徴とする付記2に記載の情報処理装置。
(付記4)
前記コマンドの送信元が正しいと判別されると、前記第1の制御部は、前記コマンドを解析した結果に基づく動作を行なうことを特徴とする付記1から付記3のいずれかに記載の情報処理装置。
(付記5)
前記コマンドの送信元は、前記コマンドに含まれる認証情報を解析することにより認証されることを特徴とする付記4に記載の情報処理装置。
(付記6)
前記コマンドの送信元は、暗号化された前記コマンドを復号化できるか否かにより認証されることを特徴とする付記4に記載の情報処理装置。
(付記7)
本体と、コマンドを受信する通信部と、電力供給を制御する電力制御部と、前記本体を起動する起動部とを有する情報処理装置にネットワークを介して認証を行うか否かを指定する認証回避方法であって、
前記ネットワークを介して送信されるコマンドを前記通信部が受信し、
前記本体を前記電力制御部に起動させ、
前記コマンドを解析し、
前記情報処理装置の入出力を設定するファームウエアと、前記情報処理装置のオペレーティングシステムを格納した第1の記憶部との認証を行うか否かを指定する情報が前記コマンドに含まれているか否かを判別し、
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かを指定する情報が含まれないと解析された場合には、前記本体の、前記コマンドが受信される直前の電力状態および前記電力状態に応じて認証を行うか否かを示す動作表に基づいて認証または認証回避を行ない、
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かを指定する情報が含まれると解析された場合には、前記コマンドの前記認証を行うか否かを指定する情報に基づいて認証または認証回避を行うことを特徴とする認証回避方法。
(付記8)
前記本体の電力状態にかかわらず電力を供給されている第2の制御部が前記コマンドを解析し、
解析した結果に応じて前記電力制御部に前記本体への電力供給を行わせる
ことを特徴とする付記7に記載の認証回避方法。
(付記9)
前記コマンドに前記情報処理装置が起動される環境に関する認証を行うか否かを指定する情報が含まれると解析された場合には、
前記環境に関する認証または認証回避後に前記電力制御部に前記本体への電力供給を行わせることを特徴とする付記8に記載の認証回避方法。
(付記10)
さらに、前記コマンドの送信元が正しい送信元か否かを認証し、
前記コマンドの送信元が正しいと判別されると、前記コマンドを解析した結果に基づく処理を行うことを特徴とする付記7から付記9のいずれかに記載の認証回避方法。
(付記11)
前記送信元の認証は、前記コマンドに含まれる認証情報を解析することにより行われることを特徴とする付記10に記載の認証回避方法。
(付記12)
前記送信元認証は、暗号化された前記コマンドを復号化できるか否かにより行われることを特徴とする付記10に記載の認証回避方法。
【符号の説明】
【0085】
1 認証回避システム
3 管理者端末
5 コマンド発行部
7 ネットワーク
9 情報処理装置
11 CPU
13 HDD
15 BIOS
17 コマンド解析プログラム
19 認証回避プログラム
21 電力ステート記憶部
23 ポリシーテーブル
25 PMU
27 ディスプレイ
29 入力装置
31 通信部
33 起動部

【特許請求の範囲】
【請求項1】
ネットワークに接続された情報処理装置であって、
本体と、
前記ネットワークを介して送信されるコマンドを受信可能な通信部と、
前記情報処理装置への電力供給を制御し、前記通信部には、前記本体の電力状態に関わらず電力を供給する電力制御部と、
前記ネットワークを介して前記通信部がコマンドを受信すると、前記電力制御部に前記本体への電力投入を行わせる起動部と、
を有し、
前記本体は、
前記情報処理装置における処理を制御する第1の制御部と、
前記情報処理装置の入出力動作を設定するファームウエアを格納したファームウエア記憶部と、
前記第1の制御部により制御されて情報を読み書き可能であり、前記情報処理装置のオペレーティングシステムを格納した第1の記憶部と、
前記通信部により前記コマンドが受信される直前の前記本体の電力状態を記憶する電力状態記憶部と、
前記電力状態に応じて認証または認証回避のいずれを実行するかを表す動作表を記憶する認証動作記憶部と、
を備え、
前記第1の制御部は、
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かに関する情報は含まれないと解析した場合には、前記電力状態および前記動作表に基づいて認証または認証回避のいずれかを行ない、
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かに関する情報が含まれると解析した場合には、前記コマンドの前記認証を行うか否かに関する情報に基づいて認証または認証回避のいずれかを行うことを特徴とする情報処理装置。
【請求項2】
前記電力制御部により前記本体の電力状態にかかわらず電力を供給される通信解析部、
をさらに有し、
前記通信解析部は、
前記通信解析部における処理を制御する第2の制御部と、
前記起動部としての動作を行なうための起動プログラムが格納される第2の記憶部と、
を備え、
前記第2の制御部は、
前記コマンドを解析し、解析した結果に応じて前記起動プログラムを実行することにより前記電力制御部に前記本体への電力供給を行わせることを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記第2の制御部が、前記コマンドに前記情報処理装置が起動される環境に関する認証を行うか否かを指定する情報が含まれると解析した場合には、
前記環境に関する認証または認証回避を行なった後に前記電力制御部に前記本体への電力供給を行わせることを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記コマンドの送信元が正しいと判別されると、前記第1の制御部は、前記コマンドを解析した結果に基づく動作を行なうことを特徴とする請求項1から請求項3のいずれかに記載の情報処理装置。
【請求項5】
前記コマンドの送信元は、前記コマンドに含まれる認証情報を解析することにより認証されることを特徴とする請求項4に記載の情報処理装置。
【請求項6】
前記コマンドの送信元は、暗号化された前記コマンドを復号化できるか否かにより認証されることを特徴とする請求項4に記載の情報処理装置。
【請求項7】
本体と、コマンドを受信する通信部と、電力供給を制御する電力制御部と、前記本体を起動する起動部とを有する情報処理装置にネットワークを介して認証を行うか否かを指定する認証回避方法であって、
前記ネットワークを介して送信されるコマンドを前記通信部が受信し、
前記本体を前記電力制御部に起動させ、
前記コマンドを解析し、
前記情報処理装置の入出力を設定するファームウエアと、前記情報処理装置のオペレーティングシステムを格納した第1の記憶部との認証を行うか否かを指定する情報が前記コマンドに含まれているか否かを判別し、
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かを指定する情報が含まれないと解析された場合には、前記本体の、前記コマンドが受信される直前の電力状態および前記電力状態に応じて認証を行うか否かを示す動作表に基づいて認証または認証回避を行ない、
前記コマンドに前記ファームウエアまたは前記第1の記憶部の認証を行うか否かを指定する情報が含まれると解析された場合には、前記コマンドの前記認証を行うか否かを指定する情報に基づいて認証または認証回避を行うことを特徴とする認証回避方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7A】
image rotate

【図7B】
image rotate

【図8】
image rotate

【図9A】
image rotate

【図9B】
image rotate


【公開番号】特開2012−212256(P2012−212256A)
【公開日】平成24年11月1日(2012.11.1)
【国際特許分類】
【出願番号】特願2011−76800(P2011−76800)
【出願日】平成23年3月30日(2011.3.30)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】