アクセス制御システム、アクセス制御方法、情報処理装置、及び被アクセス媒体
【課題】ユーザによるパスワード入力を不要とし、情報処理装置と被アクセス媒体(外部デバイス)との組により一意に定まるパスワードにより、当該情報処理装置と外部デバイスとが接続された場合のみにアクセス可能とすることができること。
【解決手段】情報処理装置1は、外部デバイス2を識別するシリアル番号121と、情報処理装置1を識別するシリアル番号131とを用いてパスワードを生成するパスワード生成手段14と、当該パスワードを外部デバイス2に対して入力するパスワード入力手段15を有する。外部デバイス2は、入力されたパスワードをパスワード記憶部23に格納するパスワード設定手段22と、アクセス認証する場合に、入力されたパスワードと、パスワード記憶部23に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段24とを有する。
【解決手段】情報処理装置1は、外部デバイス2を識別するシリアル番号121と、情報処理装置1を識別するシリアル番号131とを用いてパスワードを生成するパスワード生成手段14と、当該パスワードを外部デバイス2に対して入力するパスワード入力手段15を有する。外部デバイス2は、入力されたパスワードをパスワード記憶部23に格納するパスワード設定手段22と、アクセス認証する場合に、入力されたパスワードと、パスワード記憶部23に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段24とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御システム、アクセス制御方法、情報処理装置、及び被アクセス媒体に関し、特に情報処理装置から当該情報処理装置に接続される被アクセス媒体である外部デバイスへのアクセス制御をパスワードにより行うアクセス制御システム、及びアクセス制御方法、また、アクセス制御を行うための情報処理装置、及び被アクセス媒体に関する。
【背景技術】
【0002】
近年、外付けの記憶装置等のデバイスの小型化、軽量化に伴い、記憶装置に格納されたデータである機密情報の不正な持ち出しが社会問題となっている。そのため、機密情報が格納されたデバイスについて、アクセス制限をかける技術の必要性が高まっている。そこで、一定の条件の下、アクセス制限を解除して所望の動作を得られる仕組みとして、以下に挙げる特許文献1、特許文献2、及び特許文献3がある。
【0003】
特許文献1は、コンピュータソフトウェアの違法使用防止方法である。特許文献1では、コンピュータソフトウェアのインストールを開始すると、インストール先のハードウェアは、コンピュータソフトウェアが記録された記録媒体の製品シリアル番号と、当該ハードウェアのボリュームシリアル番号とが読み込まれ、これらの製品シリアル番号とボリュームシリアル番号をユーザへ告知する。同時に、当該ハードウェアは、これらの番号から暗号化した不告知パスワードを生成する。そして、ユーザが告知されたボリュームシリアル番号と製品シリアル番号とを管理センターへ通知すると、管理センターは、これらの情報に基づき、前記ハードウェアと同様の方法で暗号化された返送パスワードが生成してユーザへ返送する。そして、ユーザが当該返送パスワードを当該ハードウェアへ入力する。このとき、当該ハードウェアは、入力された返送パスワードと、ハードウェア内において生成された不告知パスワードの一致を判定すると、コンピュータソフトウェアのインストールを許可する。これにより、コンピュータソフトウェアの違法使用を防ぐことができる。
【0004】
また、特許文献2は、外部記憶媒体内のプログラムによる認証に基づきOS(Operating System)を起動し、ハードディスク内の情報の保護を可能とするOS起動方法である。特許文献2では、電源が投入されたと判断した場合に記憶手段に格納されているBIOS(Basic Input/Output System)を起動して起動可能なブートデバイスを検索し、外部記憶媒体に格納されているブートOSを起動し、入力手段から入力された入力パスワードに外部記憶媒体に一意な情報を連結しハッシュ値に変換して起動すべきハードディスクのロック解除パスワードを生成し、起動するハードディスクがセキュリティ設定済みであると判断した場合にロック解除パスワードでハードディスクのロック状態を解除し、ハードディスクがセキュリティ設定済みではないと判断した場合にハードディスクのセキュリティを設定し、ロック状態が解除されたハードディスクのMBR(Master Boot Record)を起動し、OSのブートローダーを起動し、OSを起動する。
【0005】
また、特許文献3は、接続したホストシステムからのアクセスを簡単に行えないようにして、記録データの盗難を防止することができる磁気ディスク装置及び記録データ盗用防止方法である。特許文献3にかかる磁気ディスク装置のマイクロプロセッサは、ホストシステムから送られてくるパスワードをEEPROM(Electrically Erasable and Programmable Read Only Memory)に書き込んで設定する。その後、電源オン時に、ホストシステムからEEPROMに設定した前記パスワードと同一のパスワードが入力されない限り、ホストシステムからの磁気ディスクに対するアクセスコマンドを実行しないようにするものである。そのため、磁気ディスクの記録データの盗用を防止することができる。
【特許文献1】国際公開第00/043867号パンフレット
【特許文献2】特開2007−066123号公報
【特許文献3】特開平07−044330号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
特許文献1では、ユーザによるパスワード発行依頼処理、管理センターのパスワード発行、及び返送処理、並びにユーザによるパスワード入力処理が必要となる。さらに、特許文献1の前提として、パスワードの管理を行う管理センターの存在が前提となる。当該管理センターでは、パスワード発行時に、当該製品シリアル番号に対してすでに発行されたボリュームシリアル番号であるか、又は、パスワード発行数が所定数(ライセンス数)以上である場合には、発行を拒否するなどの管理を行う必要がある。そのため、パスワードの管理体制が複雑になり、パスワードの発行手続きが煩雑であるという問題がある。
【0007】
また、特許文献2では、パスワードの入力を受け付ける入力手段があるため、ユーザによる入力処理が必要となる。そのため、ユーザ自身によるパスワードの入力、管理が必要となり煩雑であるという問題がある。また、特許文献3では、格納されるパスワードの生成の仕方について具体的に開示されていない。
【0008】
本発明は、このような問題点を解決するためになされたものであり、ユーザによるパスワード管理、パスワード入力を不要とし、情報処理装置と被アクセス媒体との組により一意に定まるパスワードにより、情報処理装置と被アクセス媒体とが接続された場合のみにアクセス可能とすることができるアクセス制御システム、アクセス制御方法、情報処理装置、及び被アクセス媒体を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明にかかるアクセス制御システムは、情報処理装置から当該情報処理装置に接続される被アクセス媒体(例えば、図1の外部デバイス2)へのアクセス制御をパスワードにより行うアクセス制御システムである。前記情報処理装置は、前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いてパスワードを生成するパスワード生成手段と、前記パスワード生成手段により生成されたパスワードを前記被アクセス媒体に対して入力するパスワード入力手段を有する。前記被アクセス媒体は、前記パスワード入力手段によって入力されたパスワードをパスワード記憶部に格納するパスワード設定手段と、アクセス認証する場合に前記パスワード入力手段により入力されたパスワードと、前記パスワード記憶部に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段とを有する。
【0010】
本発明にかかるアクセス制御方法は、情報処理装置から当該情報処理装置に接続される被アクセス媒体(例えば、図1の外部デバイス2)へのアクセス制御をパスワードにより行うアクセス制御方法である。前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いて認証用のパスワードを生成する認証パスワード生成ステップと、前記認証パスワード生成ステップにより生成されたパスワードを前記被アクセス媒体に対して入力する認証パスワード入力ステップと、前記認証パスワード入力ステップにより入力されたパスワードと、前記被アクセス媒体に予め設定されたパスワードに基づいてアクセス認証を実行するアクセス認証ステップと、を備える。
【0011】
本発明にかかる情報処理装置は、パスワードによりアクセス制御を行う被アクセス媒体(例えば、図1の外部デバイス2)と接続される情報処理装置である。前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いてパスワードを生成するパスワード生成手段と、前記パスワード生成手段により生成されたパスワードを前記被アクセス媒体に対して入力するパスワード入力手段を有するものである。
【0012】
本発明にかかる被アクセス媒体(例えば、図1の外部デバイス2)は、接続される情報処理装置からのアクセス制御をパスワードにより行う被アクセス媒体である。前記情報処理装置から入力される、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いて生成されたパスワードをパスワード記憶部に格納するパスワード設定手段と、アクセス認証する場合に前記情報処理装置から入力されるパスワードと、前記パスワード記憶部に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段とを有するものである。
【発明の効果】
【0013】
本発明により、ユーザによるパスワード管理、パスワード入力を不要とし、情報処理装置と被アクセス媒体との組により一意に定まるパスワードにより、情報処理装置と被アクセス媒体とが接続された場合のみにアクセス可能とすることができるアクセス制御システム、アクセス制御方法、情報処理装置、及び被アクセス媒体を提供することができる。
【発明を実施するための最良の形態】
【0014】
以下では、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略する。
【0015】
図1は、本発明の各実施例にかかるアクセス制御システムの共通した全体構成を示すブロック図である。図1のアクセス制御システム100は、情報処理装置1と、外部デバイス2とを備える。
【0016】
情報処理装置1は、汎用的なコンピュータシステムであり、図示しない構成として、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、及び不揮発性記憶装置を備える。情報処理装置1は、CPUがRAM、ROM,又は不揮発性記憶装置に格納されたOS(Operating System)、及びアクセス制御プログラムを読み込み、実行することで、外部デバイス2へアクセス制限のためのパスワード設定、及びアクセス制限の解除等の処理を行うものである。そして、図1に示すように、情報処理装置1は、外部デバイス識別情報取得手段11と、外部デバイス識別情報記憶部12と、情報処理装置識別情報記憶部13と、パスワード生成手段14と、パスワード入力手段15とを備える。
【0017】
外部デバイス識別情報取得手段11は、外部デバイス2から外部デバイス2を識別する外部デバイス識別情報の取得を行い、当該外部デバイス識別情報を外部デバイス識別情報記憶部12に格納する。その際、外部デバイス識別情報取得手段11は、外部デバイス2へ外部デバイス識別情報を含むデバイス情報の要求を行い、外部デバイス2から返信されるデバイス情報を取得する。また、外部デバイス識別情報取得手段11は、取得したデバイス情報から外部デバイス識別情報を抽出する。ここで、デバイス情報には、外部デバイス2に固有の識別情報であるシリアル番号、製造番号、製品の型番、及び、製造元の識別情報であるベンダー名、又はベンダーコード等が含まれ、外部デバイス識別情報は、これらのいずれかであるものとする。
【0018】
外部デバイス識別情報記憶部12は、外部デバイス識別情報であるシリアル番号121を記憶する。ここでは、シリアル番号121は、外部デバイス2に固有の識別情報であるものとする。尚、シリアル番号121は、外部デバイス2の製造番号であってもよい。
【0019】
情報処理装置識別情報記憶部13は、情報処理装置1を識別する情報処理装置識別情報であるシリアル番号131を記憶する。ここでは、シリアル番号131は、情報処理装置1の固有の識別情報であり、例えば、情報処理装置の構成部品であるマザーボード上のEEPROM等の不揮発性メモリに記憶されたシリアル番号や、製造番号等である。又は、シリアル番号131は、例えば、バッテリバックアップされた揮発性メモリ等に記憶されたものであってもよい。尚、シリアル番号131は、後述するパスワード生成手段14により読み出される以前に情報処理装置識別情報記憶部13に格納されているものとする。例えば、情報処理装置1の初期設定時に格納される、又は、設定変更時に更新されればよい。
【0020】
パスワード生成手段14は、シリアル番号121とシリアル番号131とからパスワードを生成する。このとき、パスワード生成手段14は、外部デバイス識別情報記憶部12からシリアル番号121を読み出し、情報処理装置識別情報記憶部13からシリアル番号131を読み出す。
【0021】
また、パスワード入力手段15は、パスワード生成手段14により生成されたパスワードを外部デバイス2への各種要求の際に含めるパスワードとして用いる。ここで、外部デバイス2への各種要求とは、例えば、外部デバイス2のアクセス制限を行うためのパスワード設定の要求、外部デバイス2のアクセス制限を解除するためのアクセス制限解除の要求、その他、パスワードの変更、削除等である。
【0022】
尚、外部デバイス識別情報記憶部12、及び情報処理装置識別情報記憶部13は、ハードディスクドライブ、フラッシュメモリ等の不揮発性の記憶装置でもよいし、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置であってもよい。また、情報処理装置識別情報記憶部13は、ROMであってもよい。
【0023】
外部デバイス2は、情報処理装置1等の汎用的なコンピュータシステムに接続可能なインタフェースを持つ、周辺機器である。外部デバイス2は、例えば、USB(Universal Serial Bus)、SCSI(Small Computer System Interface)、又は、ATA(AT Attachment)等のHDD(Hard Disk Drive)のインタフェースの規格を備えた、ハードディスクドライブ、フラッシュメモリ等の不揮発性の記憶装置である。また、外部デバイス2は、図示しない構成として、接続される情報処理装置1からの各種要求を受け付けるインタフェースを備える。そして、図1に示すように、外部デバイス2は、外部デバイス識別情報記憶部21と、パスワード設定手段22と、パスワード記憶部23と、アクセス認証手段24とを備える。
【0024】
外部デバイス識別情報記憶部21は、外部デバイス2を識別する外部デバイス識別情報であるシリアル番号211を記憶する。ここでは、シリアル番号211は、外部デバイス2に固有の識別情報であり、上述したシリアル番号121と同等のものである。また、外部デバイス識別情報記憶部21は、シリアル番号211の他に、上述した外部デバイス2のデバイス情報を記憶していてもよい。尚、外部デバイス識別情報記憶部21は、ROMであってもよい。尚、シリアル番号211は、本発明で使用される際には、予め外部デバイス識別情報記憶部21に格納されているものとする。例えば、外部デバイス2の製造元により格納されていればよい。
【0025】
パスワード設定手段22は、情報処理装置1からのパスワード設定の要求に基づき、当該要求に含まれるパスワードを抽出し、パスワード記憶部23に格納する。
【0026】
パスワード記憶部23は、パスワード設定手段22から格納されるパスワード231を記憶する。尚、パスワード記憶部23は、不揮発性の記憶装置であればよい。
【0027】
アクセス認証手段24は、情報処理装置1からのアクセス制限解除の要求に基づき、アクセス認証を行い、アクセス認証がされた場合、外部デバイス2のアクセス制限を解除する。例えば、外部デバイス2がアクセス制限されている場合に、アクセス認証手段24は、当該要求に含まれるパスワードを抽出し、当該パスワードとパスワード記憶部23に格納されたパスワードとを比較し、一致する場合、外部デバイス2のアクセス制限を解除する。
【0028】
尚、パスワード生成手段14におけるパスワードを生成するアルゴリズムは、任意のものを用いて構わない。例えば、シリアル番号121とシリアル番号131とを種として擬似乱数関数に入力し、パスワードを生成すればよい。また、アクセス認証手段24におけるアクセス認証については、パスワードの一致以外の方法であっても構わない。その他、パスワード生成手段14、及びアクセス認証手段24の各機能については、公知技術としてよく知られているものであるから、ここでは詳細な説明を省略する。
【0029】
また、外部デバイス2におけるパスワードによるアクセス制限、及び解除の仕組みは、公知技術としてよく知られているものであるから、ここでは詳細な説明を省略する。
【0030】
以上のように、アクセス制御システム100は、情報処理装置1から外部デバイス2へアクセス制限を行うためのパスワード設定、及びアクセス制限解除を行うことで、外部デバイス2のアクセス制御を行うものである。
【0031】
パスワード設定では、まず、外部デバイス2は、情報処理装置1に接続される。そして、ユーザからのパスワード設定指示に基づき、情報処理装置1の外部デバイス識別情報取得手段11は、外部デバイス2の外部デバイス識別情報記憶部21に格納されたシリアル番号211を取得し、外部デバイス識別情報記憶部12にシリアル番号121として格納する。次に、パスワード生成手段14は、シリアル番号121とシリアル番号131によりパスワードを生成する。そして、外部デバイス2のパスワード設定手段22は、パスワード入力手段15から入力された当該パスワードをパスワード231としてパスワード記憶部23に格納する。この後、外部デバイス2は、情報処理装置1から取り外されることで、アクセス制限状態となる。そのため、以降、外部デバイス2が他の情報処理装置に接続されたとしても、他の情報処理装置からは、外部デバイス2にアクセスすることができない。
【0032】
また、アクセス制限解除では、まず、アクセス制限状態、つまり、外部デバイス2のパスワード記憶部23にパスワード231が格納された状態で、情報処理装置1に接続される。次に、パスワード生成手段14は、シリアル番号121とシリアル番号131によりパスワードを生成する。そして、外部デバイス2のアクセス認証手段24は、パスワード入力手段15から入力された当該パスワードと、パスワード231とからアクセス認証を行い、一致するため、外部デバイス2のアクセス解除を行う。これにより、情報処理装置1は、外部デバイス2にアクセスすることができる。
【0033】
このように、アクセス制御システム100により、情報処理装置1と外部デバイス2の間で一意なパスワードを生成することができる。また、生成されたパスワードは、情報処理装置1には、格納されず、パスワード自体を直接保持する必要がない。また、外部デバイス2は、パスワード設定後は、アクセス制限がかかるため、パスワード記憶部23に格納されたパスワード231を読み出すのは、困難である。そのため、パスワード管理をより安全にすることができる。さらに、アクセス制御システム100では、生成された一意なパスワードを安全に管理することができるため、ユーザは、パスワード入力、及び管理を行う必要がなくなる。
【0034】
<実施例1>
本実施の形態にかかるアクセス制御システムの実施例1として、以下に処理例を挙げる。本発明の実施例1では、図1の全体構成を備えるものである。図2は、本発明の実施例1にかかるアクセス制御システムのパスワード設定処理を示すフローチャート図である。ここでは、外部デバイス2のパスワード記憶部23にパスワードが格納されていない、つまり、アクセス制限がされていないものとする。
【0035】
まず、情報処理装置1は、外部デバイス2へデバイス情報の要求を行う(S101)。具体的には、情報処理装置1の外部デバイス識別情報取得手段11は、外部デバイス2へデバイス情報の要求を送信する。次に、外部デバイス2は、情報処理装置1へデバイス情報の応答を行う(S102)。具体的には、外部デバイス2は、外部デバイス識別情報取得手段11からのデバイス情報の要求を受信し、外部デバイス識別情報記憶部21に格納されたシリアル番号211を含むデバイス情報を読み出し、当該デバイス情報を応答として情報処理装置1へ送信する。
【0036】
続いて、情報処理装置1は、外部デバイス識別情報を格納する(S103)。具体的には、外部デバイス識別情報取得手段11は、外部デバイス2からのデバイス情報の応答を受信し、当該デバイス情報からシリアル番号211(シリアル番号121)を抽出し、外部デバイス識別情報記憶部12へ格納する。ここで、シリアル番号121は、シリアル番号211と同一のデータ内容であり、情報処理装置1内における外部デバイス2のシリアル番号を指す。
【0037】
そして、情報処理装置1は、情報処理装置識別情報記憶部13からシリアル番号131を読み出す(S104)。また、情報処理装置1は、外部デバイス識別情報記憶部12からシリアル番号121を読み出す(S105)。尚、ステップS104は、この位置で行われる必要はなく、ステップS101の前、つまり、パスワード設定処理の開始時からステップS106の間に実行されればよい。
【0038】
その後、情報処理装置1は、パスワードの生成を行う(S106)。具体的には、情報処理装置1のパスワード生成手段14は、ステップS104、及びS105により読み出されたシリアル番号131、及びシリアル番号121を用いて、パスワードを生成する。
【0039】
そして、情報処理装置1は、外部デバイス2へパスワード設定の要求を行う(S107)。具体的には、情報処理装置1のパスワード入力手段15は、ステップS106で生成されたパスワードを含めたパスワード設定の要求を外部デバイス2へ送信する。
【0040】
その後、外部デバイス2は、パスワードを格納する(S108)。具体的には、外部デバイス2は、パスワード入力手段15からのパスワード設定の要求を受信し、パスワード設定手段22により、当該要求からパスワードを抽出し、パスワード231としてパスワード記憶部23に格納する。
【0041】
以後、外部デバイス2は、情報処理装置1から取り外されることで電源が落とされ、次回、接続可能な情報処理装置に接続された後に、電源が入り、起動された時点で、パスワード記憶部23にパスワード231が存在するため、アクセス制限状態となる。尚、アクセス制限状態になる仕組みはこれに限定されない。例えば、外部デバイス2が取り外されなくとも、情報処理装置1自体の再起動、又は、外部デバイス2のリセットでアクセス制限状態となるようにすることができる。
【0042】
次に、アクセス解除処理について説明する。図3は、本発明の実施例1にかかるアクセス制御システムのアクセス解除処理を示すフローチャート図である。ここでは、図2のアクセス設定処理後であるものとする。すなわち、外部デバイス2のパスワード記憶部23にパスワード231が格納されている、つまり、アクセス制限がされているものとする。また、情報処理装置1の外部デバイス識別情報記憶部12にシリアル番号211と同一の内容であるシリアル番号121が格納されているものとする。その状態で、情報処理装置1に外部デバイス2が接続され、情報処理装置1が外部デバイス2のアクセス制限の解除を行うものとする。尚、外部デバイス2は、任意の情報処理装置に接続されたとき、パスワード設定がされていた場合には、接続された情報処理装置に対して、アクセス制限解除のためのパスワードの要求をするようにしてもよい。
【0043】
まず、情報処理装置1は、情報処理装置識別情報記憶部13からシリアル番号131を読み出す(S201)。また、情報処理装置1は、外部デバイス識別情報記憶部12からシリアル番号121を読み出す(S202)。尚、ステップS201、及びS202の順番は、逆であっても構わない。続いて、情報処理装置1は、パスワードの生成を行う(S203)。具体的には、ステップS106と同様のため、説明を省略する。
【0044】
そして、情報処理装置1は、外部デバイス2へアクセス制限解除の要求を行う(S204)。具体的には、情報処理装置1のパスワード入力手段15は、ステップS203で生成されたパスワードを含めたアクセス制限解除の要求を外部デバイス2へ送信する。
【0045】
その後、外部デバイス2は、アクセス認証を行う(S205)。具体的には、外部デバイス2は、パスワード入力手段15からのアクセス制限解除の要求を受信し、アクセス認証手段24により、図4に示すアクセス認証処理を行う。
【0046】
図4は、本発明の実施例1にかかるアクセス制御システムのアクセス認証処理を示すフローチャート図である。まず、アクセス認証手段24は、アクセス制限解除の要求からステップS203により生成されたパスワード(パスワードA)を抽出する(S251)。次に、アクセス認証手段24は、パスワード記憶部23からパスワード231(パスワードB)を読み出す(S252)。
【0047】
その後、アクセス認証手段24は、パスワードAと、パスワードBとが一致するか否かを判定する(S253)。パスワードAと、パスワードBとが一致すると判定された場合、アクセス認証手段24は、外部デバイス2のアクセス制限を解除する(S254)。パスワードAと、パスワードBとが一致しないと判定された場合、アクセス認証手段24は、アクセス認証処理を終了する。
【0048】
ここでは、図2のパスワード設定処理でパスワード記憶部23に格納されたパスワード231(パスワードB)と、図3のアクセス認証処理で情報処理装置1から入力されたパスワードAとは、共に、シリアル番号121とシリアル番号131とから生成されたパスワードであるため、一致する。そのため、外部デバイス2は、情報処理装置1に接続された場合においてのみ、アクセス制限が解除され、使用可能となる。
【0049】
このように、本実施例1では、情報処理装置1に格納された外部デバイス2のシリアル番号を元にパスワードを生成するため、情報処理装置1に外部デバイス2以外のアクセス制限状態の外部デバイスが接続された場合、情報処理装置1は、当該外部デバイスのアクセス制限を解除することはできない。そのため、例えば、外部デバイス2にOSが格納されており、情報処理装置1は、外部デバイス2が接続されることで、外部デバイス2に格納されたOSを起動して、使用されるとする。この場合、情報処理装置1に外部デバイス2以外の外部デバイスが接続されたとき、情報処理装置1は、当該外部デバイスのアクセス制限を解除することができないため、当該外部デバイスにOSが格納されていても、そのOSを起動することができず、情報処理装置1は使用されない。
【0050】
<実施例2>
続いて、本実施の形態にかかるアクセス制御システムの実施例2を以下に例示する。本発明の実施例2では、実施例1に比べ、パスワード設定処理、及びアクセス認証処理に関わらず、都度、外部デバイス2から外部デバイス識別情報を取得するものである。そのため、外部デバイス識別情報を保持しておく必要がなくなり、パスワードをより安全に管理することができる。さらに、1台の情報処理装置に対して、複数台の外部デバイスを使い分けることができる。
【0051】
図5は、本発明の実施例2にかかるアクセス制御システム101の全体構成を示すブロック図である。アクセス制御システム101は、図1のアクセス制御システム100との違いとして、外部デバイス識別情報取得手段11が外部デバイス識別情報取得手段31に、パスワード生成手段14がパスワード生成手段34に置き換わったものである。また、図1の外部デバイス識別情報記憶部12は、説明上不要なため、図5の情報処理装置3には、図示を省略している。但し、情報処理装置3は、外部デバイス識別情報記憶部12を備えていても良い。尚、その他の構成については、図1と同様のため、説明を省略する。以下では、図1との違いについてのみ説明する。
【0052】
外部デバイス識別情報取得手段31は、外部デバイス識別情報取得手段11と同様に、外部デバイス2から外部デバイス識別情報の取得を行う。そして、取得された外部デバイス識別情報は、外部デバイス識別情報記憶部12からの読み出しに代えて、直接、パスワード生成手段34に使用される。また、外部デバイス識別情報取得手段31は、パスワード設定処理、及びアクセス認証処理の両方において、実行される。
【0053】
パスワード生成手段34は、外部デバイス識別情報取得手段31により取得された外部デバイス識別情報と、シリアル番号131とからパスワードを生成する。
【0054】
図6は、本発明の実施例2にかかるアクセス制御システムのパスワード設定処理を示すフローチャート図である。ここでは、外部デバイス2のパスワード記憶部23にパスワードが格納されていない、つまり、アクセス制限がされていないものとする。また、以下では、図2と同様の処理については、詳細な説明を省略する。
【0055】
まず、情報処理装置3は、ステップS101と同様に、外部デバイス2へデバイス情報の要求を行う(S301)。次に、外部デバイス2は、ステップS102と同様に、情報処理装置3へデバイス情報の応答を行う(S302)。
【0056】
そして、情報処理装置3は、デバイス情報から外部デバイス識別情報を抽出する(S303)。具体的には、外部デバイス識別情報取得手段31は、外部デバイス2からのデバイス情報の応答を受信し、当該デバイス情報からシリアル番号211を抽出する。
【0057】
続いて、情報処理装置3は、ステップS104と同様に、情報処理装置識別情報記憶部13からシリアル番号131を読み出す(S304)。
【0058】
その後、情報処理装置3は、パスワードの生成を行う(S305)。具体的には、情報処理装置3のパスワード生成手段34は、ステップS303により抽出された外部デバイス識別情報、及びS304により読み出されたシリアル番号131を用いて、パスワードを生成する。
【0059】
そして、情報処理装置3は、ステップS107と同様に、外部デバイス2へパスワード設定の要求を行う(S306)。その後、外部デバイス2は、ステップS108と同様に、パスワードを格納する(S307)。
【0060】
次に、アクセス解除処理について説明する。図7は、本発明の実施例2にかかるアクセス制御システムのアクセス解除処理を示すフローチャート図である。ここでは、図6のアクセス設定処理後であるものとする。すなわち、外部デバイス2のパスワード記憶部23にパスワード231が格納されている、つまり、アクセス制限がされているものとする。また、以下では、図3、又は図6と同様の処理については、詳細な説明を省略する。
【0061】
まず、情報処理装置3は、ステップS301乃至S305の処理と同様に、外部デバイス2の外部デバイス識別情報と、シリアル番号131を用いて、パスワードを生成する(ステップS401乃至S405)。続いて、情報処理装置3は、ステップS204と同様に、外部デバイス2へアクセス制限解除の要求を行う(S406)。
【0062】
その後、外部デバイス2は、ステップS205と同様に、アクセス認証を行う(S407)。尚、ステップS407のアクセス認証処理の詳細は、図4と同様のため、説明を省略する。
【0063】
ここでは、図6のパスワード設定処理でパスワード記憶部23に格納されたパスワード231(パスワードB)と、図7のアクセス認証処理で、再度、外部デバイス2から取得された外部デバイス識別情報に基づき生成されたパスワードAとは、共に、シリアル番号211とシリアル番号131とから生成されたパスワードであるため、一致する。そのため、外部デバイス2は、情報処理装置3に接続された場合においてのみ、アクセス制限が解除され、使用可能となる。
【0064】
これにより、情報処理装置3は、内部に外部デバイス2の外部デバイス識別情報を保持する必要がなくなり、読み取られる恐れがなくなる。そのため、パスワードの解読の可能性を下げ、より安全にパスワードを管理することができる。
【0065】
さらに、情報処理装置3は、唯一の外部デバイスのみ接続できるのではなく、予めパスワード設定がされた複数の外部デバイスと接続し、それぞれに対してアクセス制限を解除することができる。
【0066】
尚、外部デバイス識別情報取得手段31は、外部デバイス識別情報取得手段11と同様に、外部デバイス識別情報記憶部12に格納し、パスワード生成手段34は、パスワード生成手段14と同様に、シリアル番号121を外部デバイス識別情報記憶部12から読み出しても構わない。その場合、パスワード生成手段14は、パスワード生成後、外部デバイス識別情報記憶部12からシリアル番号121を削除するようにすればよい。つまり、本発明の実施例2では、都度、外部デバイス識別情報取得手段31により、外部デバイス2の外部デバイス識別情報を取得するようにすればよい。
【0067】
<実施例3>
続いて、本実施の形態にかかるアクセス制御システムの実施例3を以下に例示する。本発明の実施例3では、実施例1に比べ、情報処理装置において、複数の外部デバイス識別情報を保持し、指定された外部デバイス識別情報から、アクセス制限解除のためのパスワードを生成することで、1台の情報処理装置に対して、複数台の外部デバイスを使い分けることができるものである。
【0068】
図8は、本発明の実施例3にかかるアクセス制御システム102の全体構成を示すブロック図である。以下では、図1との違いについてのみ説明し、図1と同様のその他の構成については、説明を省略する。アクセス制御システム102は、情報処理装置4と、外部デバイス2a、外部デバイス2b、…、外部デバイス2nとを備える。尚、外部デバイスの台数は、複数であればよい。
【0069】
情報処理装置4は、図1の情報処理装置1との違いとして、外部デバイス識別情報取得手段11が外部デバイス識別情報取得手段41に、外部デバイス識別情報記憶部12が外部デバイス識別情報記憶部42に、パスワード生成手段14がパスワード生成手段44に置き換わったものである。
【0070】
外部デバイス識別情報取得手段41は、外部デバイス2a、2b、…、2nのいずれかから外部デバイス識別情報の取得を行い、当該外部デバイス識別情報を外部デバイス識別情報記憶部42に格納する。この時、外部デバイス識別情報取得手段41は、同じ外部デバイス識別情報でなければ、それぞれの外部デバイス識別情報を外部デバイス識別情報記憶部42に格納する。
【0071】
外部デバイス識別情報記憶部42は、複数の外部デバイス識別情報を記憶する。具体的には、外部デバイス識別情報記憶部42は、外部デバイス2a、2b、…、2nのそれぞれに対応した外部デバイス識別情報である、シリアル番号421a、シリアル番号421b、…、シリアル番号421nを記憶する。
【0072】
パスワード生成手段44は、外部デバイス識別情報記憶部42内でユーザから指定されたシリアル番号と、シリアル番号131とからパスワードを生成する。
【0073】
外部デバイス2a、2b、…、2nは、それぞれ、外部デバイス2と同機能の外部デバイスである。例えば、外部デバイス2aは、外部デバイス識別情報記憶部21aに自身の外部デバイス識別情報であるシリアル番号211aを記憶する。同様に、外部デバイス2bは、外部デバイス識別情報記憶部21bに自身の外部デバイス識別情報であるシリアル番号211bを記憶し、外部デバイス2nは、外部デバイス識別情報記憶部21nに自身の外部デバイス識別情報であるシリアル番号211nを記憶する。また、ここでは、シリアル番号211a、シリアル番号211b、…、シリアル番号211nとシリアル番号421a、シリアル番号421b、…、シリアル番号421nとがそれぞれ対応するものとする。尚、その他の構成については、図1の外部デバイス2と同様のため、図示、及び説明を省略する。
【0074】
アクセス制御システム102により、情報処理装置4は、複数の外部デバイス識別情報を記憶できるため、予め、複数の外部デバイス2a、2b、…、2nについて、それぞれと一意なパスワードを生成し、設定することができる。そのため、例えば、情報処理装置4に外部デバイス2aが接続された場合、ユーザは、シリアル番号421aを指定することで、パスワード生成手段44は、シリアル番号421aとシリアル番号131とを用いてパスワードを生成することができ、外部デバイス2aのアクセス制限を解除することができる。
【0075】
以上のことから、本発明の実施例3では、1台の情報処理装置に対して、複数台の外部デバイスを使い分けることができる。
【0076】
<実施例4>
続いて、本実施の形態にかかるアクセス制御システムの実施例4を以下に例示する。本発明の実施例4では、実施例1に比べ、外部デバイスにおいて、複数のパスワードを保持し、いずれかのパスワードに一致する場合、アクセス制限を解除するものである。これにより、1台の外部デバイスに対して、複数台の情報処理装置を使い分けることができる。
【0077】
図9は、本発明の実施例4にかかるアクセス制御システム103の全体構成を示すブロック図である。以下では、図1との違いについてのみ説明し、図1と同様のその他の構成については、説明を省略する。アクセス制御システム103は、情報処理装置1a、情報処理装置1b、…、情報処理装置1nと、外部デバイス5とを備える。尚、情報処理装置の台数は、複数であればよい。
【0078】
情報処理装置1a、1b、…、1nは、それぞれ、情報処理装置1と同機能の情報処理装置である。例えば、情報処理装置1aは、情報処理装置識別情報記憶部13aに、自身の情報処理装置識別情報であるシリアル番号131aを記憶する。同様に、情報処理装置1bは、情報処理装置識別情報記憶部13bに、自身の情報処理装置識別情報であるシリアル番号131bを記憶し、情報処理装置1nは、情報処理装置識別情報記憶部13nに、自身の情報処理装置識別情報であるシリアル番号131nを記憶する。尚、その他の構成については、図1の情報処理装置1と同様のため、図示、及び説明を省略する。
【0079】
外部デバイス5は、図1の外部デバイス2との違いとして、パスワード設定手段22がパスワード設定手段52に、パスワード記憶部23がパスワード記憶部53に、アクセス認証手段24がアクセス認証手段54に置き換わったものである。
【0080】
パスワード設定手段52は、接続された情報処理装置1a、1b、…、1nのいずれかからパスワード設定の要求に基づき、当該要求に含まれるパスワードを抽出し、パスワード記憶部53に格納する。この時、パスワード設定手段52は、それぞれの情報処理装置のパスワードをパスワード記憶部53に格納する。
【0081】
パスワード記憶部53は、複数のパスワードを記憶する。具体的には、パスワード記憶部53は、情報処理装置1a、1b、…、1nのそれぞれに対応したパスワードである、パスワード531a、パスワード531b、…、パスワード531nを記憶する。尚、パスワード記憶部53は、不揮発性の記憶装置であればよい。
【0082】
アクセス認証手段54は、接続された情報処理装置1からのアクセス制限解除の要求に基づき、アクセス認証を行い、アクセス認証がされた場合、外部デバイス2のアクセス制限を解除する。
【0083】
また、ここでは、パスワード531aは、シリアル番号211とシリアル番号131aとを用いて生成されたパスワードであるとする。同様に、パスワード531bは、シリアル番号211とシリアル番号131bとを用いて生成され、パスワード531nは、シリアル番号211とシリアル番号131nとを用いて生成されたパスワードであるとする。
【0084】
アクセス認証手段24は、接続された情報処理装置からのアクセス制限解除の要求に基づき、アクセス認証を行い、アクセス認証がされた場合、外部デバイス5のアクセス制限を解除する。このとき、アクセス認証手段24は、当該アクセス制限解除の要求から抽出されたパスワードが、パスワード記憶部53に格納されたパスワード531a、531b、…、531nのいずれかと一致した場合に、アクセス制限を解除する。例えば、外部デバイス5がアクセス制限されており、情報処理装置1aに接続されている場合、アクセス認証手段54は、当該要求に含まれるパスワードを抽出し、当該パスワードとパスワード記憶部53に格納されたパスワード531aとを比較し、一致するため、外部デバイス5のアクセス制限を解除することができる。
【0085】
以上のことから、本発明の実施例4では、1台の外部デバイスに対して、複数台の情報処理装置を使い分けることができる。
【0086】
<その他の実施例>
尚、本発明の実施例1乃至4では、外部デバイス識別情報として、当該外部デバイスに固有の識別情報であるシリアル番号としたが、これに限定されない。例えば、外部デバイス識別情報を製品の型番とすることで、本発明の実施例1においても、同じ型番を持つ外部デバイスであれば、複数のものを使い分けることができる。さらに、外部デバイス識別情報をベンダーコードとすることで、同一ベンダーにより製造された複数の外部デバイスを使い分けることができる。
【0087】
尚、本発明の実施例1乃至4における外部デバイス2は、記憶装置に限定されない。例えば、外部デバイス2は、電子認証に用いる電子鍵等の持ち主により持ち運び可能なものであってもよい。また、本発明の実施形態にかかる被アクセス媒体は、情報処理装置に内部に接続される内蔵HDD等であってもよい。
【0088】
尚、本発明の実施の形態にかかる情報処理装置1は、OSの代わりにBIOSを読み込む際に、外部デバイス2へアクセス制限のためのパスワード設定、及びアクセス制限の解除等の処理を行うようにしてもよい。すなわち、情報処理装置1は、OSの起動前にアクセス制御を行うようにしてもよい。これにより、例えば、外部デバイス2内にOSが格納される場合にもアクセス制御を行うことができる。
【0089】
さらに、本発明は上述した実施の形態のみに限定されるものではなく、既に述べた本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
【図面の簡単な説明】
【0090】
【図1】本発明の各実施例にかかるアクセス制御システムの共通した全体構成を示すブロック図である。
【図2】本発明の実施例1にかかるアクセス制御システムのパスワード設定処理を示すフローチャート図である。
【図3】本発明の実施例1にかかるアクセス制御システムのアクセス解除処理を示すフローチャート図である。
【図4】本発明の実施例1にかかるアクセス制御システムのアクセス認証処理を示すフローチャート図である。
【図5】本発明の実施例2にかかるアクセス制御システムの全体構成を示すブロック図である。
【図6】本発明の実施例2にかかるアクセス制御システムのパスワード設定処理を示すフローチャート図である。
【図7】本発明の実施例2にかかるアクセス制御システムのアクセス解除処理を示すフローチャート図である。
【図8】本発明の実施例3にかかるアクセス制御システムの全体構成を示すブロック図である。
【図9】本発明の実施例4にかかるアクセス制御システムの全体構成を示すブロック図である。
【符号の説明】
【0091】
100 アクセス制御システム
1 情報処理装置
11 外部デバイス識別情報取得手段
12 外部デバイス識別情報記憶部
121 シリアル番号
13 情報処理装置識別情報記憶部
131 シリアル番号
14 パスワード生成手段
15 パスワード入力手段
2 外部デバイス
21 外部デバイス識別情報記憶部
211 シリアル番号
22 パスワード設定手段
23 パスワード記憶部
231 パスワード
24 アクセス認証手段
101 アクセス制御システム
3 情報処理装置
31 外部デバイス識別情報取得手段
34 パスワード生成手段
102 アクセス制御システム
4 情報処理装置
41 外部デバイス識別情報取得手段
42 外部デバイス識別情報記憶部
421a シリアル番号
421b シリアル番号
421n シリアル番号
44 パスワード生成手段
2a 外部デバイス
21a 外部デバイス識別情報記憶部
211a シリアル番号
2b 外部デバイス
21b 外部デバイス識別情報記憶部
211b シリアル番号
2n 外部デバイス
21n 外部デバイス識別情報記憶部
211n シリアル番号
103 アクセス制御システム
1a 情報処理装置
13a 情報処理装置識別情報記憶部
131a シリアル番号
1b 情報処理装置
13b 情報処理装置識別情報記憶部
131b シリアル番号
1n 情報処理装置
13n 情報処理装置識別情報記憶部
131n シリアル番号
5 外部デバイス
52 パスワード設定手段
53 パスワード記憶部
531a パスワード
531b パスワード
531n パスワード
54 アクセス認証手段
【技術分野】
【0001】
本発明は、アクセス制御システム、アクセス制御方法、情報処理装置、及び被アクセス媒体に関し、特に情報処理装置から当該情報処理装置に接続される被アクセス媒体である外部デバイスへのアクセス制御をパスワードにより行うアクセス制御システム、及びアクセス制御方法、また、アクセス制御を行うための情報処理装置、及び被アクセス媒体に関する。
【背景技術】
【0002】
近年、外付けの記憶装置等のデバイスの小型化、軽量化に伴い、記憶装置に格納されたデータである機密情報の不正な持ち出しが社会問題となっている。そのため、機密情報が格納されたデバイスについて、アクセス制限をかける技術の必要性が高まっている。そこで、一定の条件の下、アクセス制限を解除して所望の動作を得られる仕組みとして、以下に挙げる特許文献1、特許文献2、及び特許文献3がある。
【0003】
特許文献1は、コンピュータソフトウェアの違法使用防止方法である。特許文献1では、コンピュータソフトウェアのインストールを開始すると、インストール先のハードウェアは、コンピュータソフトウェアが記録された記録媒体の製品シリアル番号と、当該ハードウェアのボリュームシリアル番号とが読み込まれ、これらの製品シリアル番号とボリュームシリアル番号をユーザへ告知する。同時に、当該ハードウェアは、これらの番号から暗号化した不告知パスワードを生成する。そして、ユーザが告知されたボリュームシリアル番号と製品シリアル番号とを管理センターへ通知すると、管理センターは、これらの情報に基づき、前記ハードウェアと同様の方法で暗号化された返送パスワードが生成してユーザへ返送する。そして、ユーザが当該返送パスワードを当該ハードウェアへ入力する。このとき、当該ハードウェアは、入力された返送パスワードと、ハードウェア内において生成された不告知パスワードの一致を判定すると、コンピュータソフトウェアのインストールを許可する。これにより、コンピュータソフトウェアの違法使用を防ぐことができる。
【0004】
また、特許文献2は、外部記憶媒体内のプログラムによる認証に基づきOS(Operating System)を起動し、ハードディスク内の情報の保護を可能とするOS起動方法である。特許文献2では、電源が投入されたと判断した場合に記憶手段に格納されているBIOS(Basic Input/Output System)を起動して起動可能なブートデバイスを検索し、外部記憶媒体に格納されているブートOSを起動し、入力手段から入力された入力パスワードに外部記憶媒体に一意な情報を連結しハッシュ値に変換して起動すべきハードディスクのロック解除パスワードを生成し、起動するハードディスクがセキュリティ設定済みであると判断した場合にロック解除パスワードでハードディスクのロック状態を解除し、ハードディスクがセキュリティ設定済みではないと判断した場合にハードディスクのセキュリティを設定し、ロック状態が解除されたハードディスクのMBR(Master Boot Record)を起動し、OSのブートローダーを起動し、OSを起動する。
【0005】
また、特許文献3は、接続したホストシステムからのアクセスを簡単に行えないようにして、記録データの盗難を防止することができる磁気ディスク装置及び記録データ盗用防止方法である。特許文献3にかかる磁気ディスク装置のマイクロプロセッサは、ホストシステムから送られてくるパスワードをEEPROM(Electrically Erasable and Programmable Read Only Memory)に書き込んで設定する。その後、電源オン時に、ホストシステムからEEPROMに設定した前記パスワードと同一のパスワードが入力されない限り、ホストシステムからの磁気ディスクに対するアクセスコマンドを実行しないようにするものである。そのため、磁気ディスクの記録データの盗用を防止することができる。
【特許文献1】国際公開第00/043867号パンフレット
【特許文献2】特開2007−066123号公報
【特許文献3】特開平07−044330号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
特許文献1では、ユーザによるパスワード発行依頼処理、管理センターのパスワード発行、及び返送処理、並びにユーザによるパスワード入力処理が必要となる。さらに、特許文献1の前提として、パスワードの管理を行う管理センターの存在が前提となる。当該管理センターでは、パスワード発行時に、当該製品シリアル番号に対してすでに発行されたボリュームシリアル番号であるか、又は、パスワード発行数が所定数(ライセンス数)以上である場合には、発行を拒否するなどの管理を行う必要がある。そのため、パスワードの管理体制が複雑になり、パスワードの発行手続きが煩雑であるという問題がある。
【0007】
また、特許文献2では、パスワードの入力を受け付ける入力手段があるため、ユーザによる入力処理が必要となる。そのため、ユーザ自身によるパスワードの入力、管理が必要となり煩雑であるという問題がある。また、特許文献3では、格納されるパスワードの生成の仕方について具体的に開示されていない。
【0008】
本発明は、このような問題点を解決するためになされたものであり、ユーザによるパスワード管理、パスワード入力を不要とし、情報処理装置と被アクセス媒体との組により一意に定まるパスワードにより、情報処理装置と被アクセス媒体とが接続された場合のみにアクセス可能とすることができるアクセス制御システム、アクセス制御方法、情報処理装置、及び被アクセス媒体を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明にかかるアクセス制御システムは、情報処理装置から当該情報処理装置に接続される被アクセス媒体(例えば、図1の外部デバイス2)へのアクセス制御をパスワードにより行うアクセス制御システムである。前記情報処理装置は、前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いてパスワードを生成するパスワード生成手段と、前記パスワード生成手段により生成されたパスワードを前記被アクセス媒体に対して入力するパスワード入力手段を有する。前記被アクセス媒体は、前記パスワード入力手段によって入力されたパスワードをパスワード記憶部に格納するパスワード設定手段と、アクセス認証する場合に前記パスワード入力手段により入力されたパスワードと、前記パスワード記憶部に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段とを有する。
【0010】
本発明にかかるアクセス制御方法は、情報処理装置から当該情報処理装置に接続される被アクセス媒体(例えば、図1の外部デバイス2)へのアクセス制御をパスワードにより行うアクセス制御方法である。前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いて認証用のパスワードを生成する認証パスワード生成ステップと、前記認証パスワード生成ステップにより生成されたパスワードを前記被アクセス媒体に対して入力する認証パスワード入力ステップと、前記認証パスワード入力ステップにより入力されたパスワードと、前記被アクセス媒体に予め設定されたパスワードに基づいてアクセス認証を実行するアクセス認証ステップと、を備える。
【0011】
本発明にかかる情報処理装置は、パスワードによりアクセス制御を行う被アクセス媒体(例えば、図1の外部デバイス2)と接続される情報処理装置である。前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いてパスワードを生成するパスワード生成手段と、前記パスワード生成手段により生成されたパスワードを前記被アクセス媒体に対して入力するパスワード入力手段を有するものである。
【0012】
本発明にかかる被アクセス媒体(例えば、図1の外部デバイス2)は、接続される情報処理装置からのアクセス制御をパスワードにより行う被アクセス媒体である。前記情報処理装置から入力される、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いて生成されたパスワードをパスワード記憶部に格納するパスワード設定手段と、アクセス認証する場合に前記情報処理装置から入力されるパスワードと、前記パスワード記憶部に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段とを有するものである。
【発明の効果】
【0013】
本発明により、ユーザによるパスワード管理、パスワード入力を不要とし、情報処理装置と被アクセス媒体との組により一意に定まるパスワードにより、情報処理装置と被アクセス媒体とが接続された場合のみにアクセス可能とすることができるアクセス制御システム、アクセス制御方法、情報処理装置、及び被アクセス媒体を提供することができる。
【発明を実施するための最良の形態】
【0014】
以下では、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略する。
【0015】
図1は、本発明の各実施例にかかるアクセス制御システムの共通した全体構成を示すブロック図である。図1のアクセス制御システム100は、情報処理装置1と、外部デバイス2とを備える。
【0016】
情報処理装置1は、汎用的なコンピュータシステムであり、図示しない構成として、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、及び不揮発性記憶装置を備える。情報処理装置1は、CPUがRAM、ROM,又は不揮発性記憶装置に格納されたOS(Operating System)、及びアクセス制御プログラムを読み込み、実行することで、外部デバイス2へアクセス制限のためのパスワード設定、及びアクセス制限の解除等の処理を行うものである。そして、図1に示すように、情報処理装置1は、外部デバイス識別情報取得手段11と、外部デバイス識別情報記憶部12と、情報処理装置識別情報記憶部13と、パスワード生成手段14と、パスワード入力手段15とを備える。
【0017】
外部デバイス識別情報取得手段11は、外部デバイス2から外部デバイス2を識別する外部デバイス識別情報の取得を行い、当該外部デバイス識別情報を外部デバイス識別情報記憶部12に格納する。その際、外部デバイス識別情報取得手段11は、外部デバイス2へ外部デバイス識別情報を含むデバイス情報の要求を行い、外部デバイス2から返信されるデバイス情報を取得する。また、外部デバイス識別情報取得手段11は、取得したデバイス情報から外部デバイス識別情報を抽出する。ここで、デバイス情報には、外部デバイス2に固有の識別情報であるシリアル番号、製造番号、製品の型番、及び、製造元の識別情報であるベンダー名、又はベンダーコード等が含まれ、外部デバイス識別情報は、これらのいずれかであるものとする。
【0018】
外部デバイス識別情報記憶部12は、外部デバイス識別情報であるシリアル番号121を記憶する。ここでは、シリアル番号121は、外部デバイス2に固有の識別情報であるものとする。尚、シリアル番号121は、外部デバイス2の製造番号であってもよい。
【0019】
情報処理装置識別情報記憶部13は、情報処理装置1を識別する情報処理装置識別情報であるシリアル番号131を記憶する。ここでは、シリアル番号131は、情報処理装置1の固有の識別情報であり、例えば、情報処理装置の構成部品であるマザーボード上のEEPROM等の不揮発性メモリに記憶されたシリアル番号や、製造番号等である。又は、シリアル番号131は、例えば、バッテリバックアップされた揮発性メモリ等に記憶されたものであってもよい。尚、シリアル番号131は、後述するパスワード生成手段14により読み出される以前に情報処理装置識別情報記憶部13に格納されているものとする。例えば、情報処理装置1の初期設定時に格納される、又は、設定変更時に更新されればよい。
【0020】
パスワード生成手段14は、シリアル番号121とシリアル番号131とからパスワードを生成する。このとき、パスワード生成手段14は、外部デバイス識別情報記憶部12からシリアル番号121を読み出し、情報処理装置識別情報記憶部13からシリアル番号131を読み出す。
【0021】
また、パスワード入力手段15は、パスワード生成手段14により生成されたパスワードを外部デバイス2への各種要求の際に含めるパスワードとして用いる。ここで、外部デバイス2への各種要求とは、例えば、外部デバイス2のアクセス制限を行うためのパスワード設定の要求、外部デバイス2のアクセス制限を解除するためのアクセス制限解除の要求、その他、パスワードの変更、削除等である。
【0022】
尚、外部デバイス識別情報記憶部12、及び情報処理装置識別情報記憶部13は、ハードディスクドライブ、フラッシュメモリ等の不揮発性の記憶装置でもよいし、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置であってもよい。また、情報処理装置識別情報記憶部13は、ROMであってもよい。
【0023】
外部デバイス2は、情報処理装置1等の汎用的なコンピュータシステムに接続可能なインタフェースを持つ、周辺機器である。外部デバイス2は、例えば、USB(Universal Serial Bus)、SCSI(Small Computer System Interface)、又は、ATA(AT Attachment)等のHDD(Hard Disk Drive)のインタフェースの規格を備えた、ハードディスクドライブ、フラッシュメモリ等の不揮発性の記憶装置である。また、外部デバイス2は、図示しない構成として、接続される情報処理装置1からの各種要求を受け付けるインタフェースを備える。そして、図1に示すように、外部デバイス2は、外部デバイス識別情報記憶部21と、パスワード設定手段22と、パスワード記憶部23と、アクセス認証手段24とを備える。
【0024】
外部デバイス識別情報記憶部21は、外部デバイス2を識別する外部デバイス識別情報であるシリアル番号211を記憶する。ここでは、シリアル番号211は、外部デバイス2に固有の識別情報であり、上述したシリアル番号121と同等のものである。また、外部デバイス識別情報記憶部21は、シリアル番号211の他に、上述した外部デバイス2のデバイス情報を記憶していてもよい。尚、外部デバイス識別情報記憶部21は、ROMであってもよい。尚、シリアル番号211は、本発明で使用される際には、予め外部デバイス識別情報記憶部21に格納されているものとする。例えば、外部デバイス2の製造元により格納されていればよい。
【0025】
パスワード設定手段22は、情報処理装置1からのパスワード設定の要求に基づき、当該要求に含まれるパスワードを抽出し、パスワード記憶部23に格納する。
【0026】
パスワード記憶部23は、パスワード設定手段22から格納されるパスワード231を記憶する。尚、パスワード記憶部23は、不揮発性の記憶装置であればよい。
【0027】
アクセス認証手段24は、情報処理装置1からのアクセス制限解除の要求に基づき、アクセス認証を行い、アクセス認証がされた場合、外部デバイス2のアクセス制限を解除する。例えば、外部デバイス2がアクセス制限されている場合に、アクセス認証手段24は、当該要求に含まれるパスワードを抽出し、当該パスワードとパスワード記憶部23に格納されたパスワードとを比較し、一致する場合、外部デバイス2のアクセス制限を解除する。
【0028】
尚、パスワード生成手段14におけるパスワードを生成するアルゴリズムは、任意のものを用いて構わない。例えば、シリアル番号121とシリアル番号131とを種として擬似乱数関数に入力し、パスワードを生成すればよい。また、アクセス認証手段24におけるアクセス認証については、パスワードの一致以外の方法であっても構わない。その他、パスワード生成手段14、及びアクセス認証手段24の各機能については、公知技術としてよく知られているものであるから、ここでは詳細な説明を省略する。
【0029】
また、外部デバイス2におけるパスワードによるアクセス制限、及び解除の仕組みは、公知技術としてよく知られているものであるから、ここでは詳細な説明を省略する。
【0030】
以上のように、アクセス制御システム100は、情報処理装置1から外部デバイス2へアクセス制限を行うためのパスワード設定、及びアクセス制限解除を行うことで、外部デバイス2のアクセス制御を行うものである。
【0031】
パスワード設定では、まず、外部デバイス2は、情報処理装置1に接続される。そして、ユーザからのパスワード設定指示に基づき、情報処理装置1の外部デバイス識別情報取得手段11は、外部デバイス2の外部デバイス識別情報記憶部21に格納されたシリアル番号211を取得し、外部デバイス識別情報記憶部12にシリアル番号121として格納する。次に、パスワード生成手段14は、シリアル番号121とシリアル番号131によりパスワードを生成する。そして、外部デバイス2のパスワード設定手段22は、パスワード入力手段15から入力された当該パスワードをパスワード231としてパスワード記憶部23に格納する。この後、外部デバイス2は、情報処理装置1から取り外されることで、アクセス制限状態となる。そのため、以降、外部デバイス2が他の情報処理装置に接続されたとしても、他の情報処理装置からは、外部デバイス2にアクセスすることができない。
【0032】
また、アクセス制限解除では、まず、アクセス制限状態、つまり、外部デバイス2のパスワード記憶部23にパスワード231が格納された状態で、情報処理装置1に接続される。次に、パスワード生成手段14は、シリアル番号121とシリアル番号131によりパスワードを生成する。そして、外部デバイス2のアクセス認証手段24は、パスワード入力手段15から入力された当該パスワードと、パスワード231とからアクセス認証を行い、一致するため、外部デバイス2のアクセス解除を行う。これにより、情報処理装置1は、外部デバイス2にアクセスすることができる。
【0033】
このように、アクセス制御システム100により、情報処理装置1と外部デバイス2の間で一意なパスワードを生成することができる。また、生成されたパスワードは、情報処理装置1には、格納されず、パスワード自体を直接保持する必要がない。また、外部デバイス2は、パスワード設定後は、アクセス制限がかかるため、パスワード記憶部23に格納されたパスワード231を読み出すのは、困難である。そのため、パスワード管理をより安全にすることができる。さらに、アクセス制御システム100では、生成された一意なパスワードを安全に管理することができるため、ユーザは、パスワード入力、及び管理を行う必要がなくなる。
【0034】
<実施例1>
本実施の形態にかかるアクセス制御システムの実施例1として、以下に処理例を挙げる。本発明の実施例1では、図1の全体構成を備えるものである。図2は、本発明の実施例1にかかるアクセス制御システムのパスワード設定処理を示すフローチャート図である。ここでは、外部デバイス2のパスワード記憶部23にパスワードが格納されていない、つまり、アクセス制限がされていないものとする。
【0035】
まず、情報処理装置1は、外部デバイス2へデバイス情報の要求を行う(S101)。具体的には、情報処理装置1の外部デバイス識別情報取得手段11は、外部デバイス2へデバイス情報の要求を送信する。次に、外部デバイス2は、情報処理装置1へデバイス情報の応答を行う(S102)。具体的には、外部デバイス2は、外部デバイス識別情報取得手段11からのデバイス情報の要求を受信し、外部デバイス識別情報記憶部21に格納されたシリアル番号211を含むデバイス情報を読み出し、当該デバイス情報を応答として情報処理装置1へ送信する。
【0036】
続いて、情報処理装置1は、外部デバイス識別情報を格納する(S103)。具体的には、外部デバイス識別情報取得手段11は、外部デバイス2からのデバイス情報の応答を受信し、当該デバイス情報からシリアル番号211(シリアル番号121)を抽出し、外部デバイス識別情報記憶部12へ格納する。ここで、シリアル番号121は、シリアル番号211と同一のデータ内容であり、情報処理装置1内における外部デバイス2のシリアル番号を指す。
【0037】
そして、情報処理装置1は、情報処理装置識別情報記憶部13からシリアル番号131を読み出す(S104)。また、情報処理装置1は、外部デバイス識別情報記憶部12からシリアル番号121を読み出す(S105)。尚、ステップS104は、この位置で行われる必要はなく、ステップS101の前、つまり、パスワード設定処理の開始時からステップS106の間に実行されればよい。
【0038】
その後、情報処理装置1は、パスワードの生成を行う(S106)。具体的には、情報処理装置1のパスワード生成手段14は、ステップS104、及びS105により読み出されたシリアル番号131、及びシリアル番号121を用いて、パスワードを生成する。
【0039】
そして、情報処理装置1は、外部デバイス2へパスワード設定の要求を行う(S107)。具体的には、情報処理装置1のパスワード入力手段15は、ステップS106で生成されたパスワードを含めたパスワード設定の要求を外部デバイス2へ送信する。
【0040】
その後、外部デバイス2は、パスワードを格納する(S108)。具体的には、外部デバイス2は、パスワード入力手段15からのパスワード設定の要求を受信し、パスワード設定手段22により、当該要求からパスワードを抽出し、パスワード231としてパスワード記憶部23に格納する。
【0041】
以後、外部デバイス2は、情報処理装置1から取り外されることで電源が落とされ、次回、接続可能な情報処理装置に接続された後に、電源が入り、起動された時点で、パスワード記憶部23にパスワード231が存在するため、アクセス制限状態となる。尚、アクセス制限状態になる仕組みはこれに限定されない。例えば、外部デバイス2が取り外されなくとも、情報処理装置1自体の再起動、又は、外部デバイス2のリセットでアクセス制限状態となるようにすることができる。
【0042】
次に、アクセス解除処理について説明する。図3は、本発明の実施例1にかかるアクセス制御システムのアクセス解除処理を示すフローチャート図である。ここでは、図2のアクセス設定処理後であるものとする。すなわち、外部デバイス2のパスワード記憶部23にパスワード231が格納されている、つまり、アクセス制限がされているものとする。また、情報処理装置1の外部デバイス識別情報記憶部12にシリアル番号211と同一の内容であるシリアル番号121が格納されているものとする。その状態で、情報処理装置1に外部デバイス2が接続され、情報処理装置1が外部デバイス2のアクセス制限の解除を行うものとする。尚、外部デバイス2は、任意の情報処理装置に接続されたとき、パスワード設定がされていた場合には、接続された情報処理装置に対して、アクセス制限解除のためのパスワードの要求をするようにしてもよい。
【0043】
まず、情報処理装置1は、情報処理装置識別情報記憶部13からシリアル番号131を読み出す(S201)。また、情報処理装置1は、外部デバイス識別情報記憶部12からシリアル番号121を読み出す(S202)。尚、ステップS201、及びS202の順番は、逆であっても構わない。続いて、情報処理装置1は、パスワードの生成を行う(S203)。具体的には、ステップS106と同様のため、説明を省略する。
【0044】
そして、情報処理装置1は、外部デバイス2へアクセス制限解除の要求を行う(S204)。具体的には、情報処理装置1のパスワード入力手段15は、ステップS203で生成されたパスワードを含めたアクセス制限解除の要求を外部デバイス2へ送信する。
【0045】
その後、外部デバイス2は、アクセス認証を行う(S205)。具体的には、外部デバイス2は、パスワード入力手段15からのアクセス制限解除の要求を受信し、アクセス認証手段24により、図4に示すアクセス認証処理を行う。
【0046】
図4は、本発明の実施例1にかかるアクセス制御システムのアクセス認証処理を示すフローチャート図である。まず、アクセス認証手段24は、アクセス制限解除の要求からステップS203により生成されたパスワード(パスワードA)を抽出する(S251)。次に、アクセス認証手段24は、パスワード記憶部23からパスワード231(パスワードB)を読み出す(S252)。
【0047】
その後、アクセス認証手段24は、パスワードAと、パスワードBとが一致するか否かを判定する(S253)。パスワードAと、パスワードBとが一致すると判定された場合、アクセス認証手段24は、外部デバイス2のアクセス制限を解除する(S254)。パスワードAと、パスワードBとが一致しないと判定された場合、アクセス認証手段24は、アクセス認証処理を終了する。
【0048】
ここでは、図2のパスワード設定処理でパスワード記憶部23に格納されたパスワード231(パスワードB)と、図3のアクセス認証処理で情報処理装置1から入力されたパスワードAとは、共に、シリアル番号121とシリアル番号131とから生成されたパスワードであるため、一致する。そのため、外部デバイス2は、情報処理装置1に接続された場合においてのみ、アクセス制限が解除され、使用可能となる。
【0049】
このように、本実施例1では、情報処理装置1に格納された外部デバイス2のシリアル番号を元にパスワードを生成するため、情報処理装置1に外部デバイス2以外のアクセス制限状態の外部デバイスが接続された場合、情報処理装置1は、当該外部デバイスのアクセス制限を解除することはできない。そのため、例えば、外部デバイス2にOSが格納されており、情報処理装置1は、外部デバイス2が接続されることで、外部デバイス2に格納されたOSを起動して、使用されるとする。この場合、情報処理装置1に外部デバイス2以外の外部デバイスが接続されたとき、情報処理装置1は、当該外部デバイスのアクセス制限を解除することができないため、当該外部デバイスにOSが格納されていても、そのOSを起動することができず、情報処理装置1は使用されない。
【0050】
<実施例2>
続いて、本実施の形態にかかるアクセス制御システムの実施例2を以下に例示する。本発明の実施例2では、実施例1に比べ、パスワード設定処理、及びアクセス認証処理に関わらず、都度、外部デバイス2から外部デバイス識別情報を取得するものである。そのため、外部デバイス識別情報を保持しておく必要がなくなり、パスワードをより安全に管理することができる。さらに、1台の情報処理装置に対して、複数台の外部デバイスを使い分けることができる。
【0051】
図5は、本発明の実施例2にかかるアクセス制御システム101の全体構成を示すブロック図である。アクセス制御システム101は、図1のアクセス制御システム100との違いとして、外部デバイス識別情報取得手段11が外部デバイス識別情報取得手段31に、パスワード生成手段14がパスワード生成手段34に置き換わったものである。また、図1の外部デバイス識別情報記憶部12は、説明上不要なため、図5の情報処理装置3には、図示を省略している。但し、情報処理装置3は、外部デバイス識別情報記憶部12を備えていても良い。尚、その他の構成については、図1と同様のため、説明を省略する。以下では、図1との違いについてのみ説明する。
【0052】
外部デバイス識別情報取得手段31は、外部デバイス識別情報取得手段11と同様に、外部デバイス2から外部デバイス識別情報の取得を行う。そして、取得された外部デバイス識別情報は、外部デバイス識別情報記憶部12からの読み出しに代えて、直接、パスワード生成手段34に使用される。また、外部デバイス識別情報取得手段31は、パスワード設定処理、及びアクセス認証処理の両方において、実行される。
【0053】
パスワード生成手段34は、外部デバイス識別情報取得手段31により取得された外部デバイス識別情報と、シリアル番号131とからパスワードを生成する。
【0054】
図6は、本発明の実施例2にかかるアクセス制御システムのパスワード設定処理を示すフローチャート図である。ここでは、外部デバイス2のパスワード記憶部23にパスワードが格納されていない、つまり、アクセス制限がされていないものとする。また、以下では、図2と同様の処理については、詳細な説明を省略する。
【0055】
まず、情報処理装置3は、ステップS101と同様に、外部デバイス2へデバイス情報の要求を行う(S301)。次に、外部デバイス2は、ステップS102と同様に、情報処理装置3へデバイス情報の応答を行う(S302)。
【0056】
そして、情報処理装置3は、デバイス情報から外部デバイス識別情報を抽出する(S303)。具体的には、外部デバイス識別情報取得手段31は、外部デバイス2からのデバイス情報の応答を受信し、当該デバイス情報からシリアル番号211を抽出する。
【0057】
続いて、情報処理装置3は、ステップS104と同様に、情報処理装置識別情報記憶部13からシリアル番号131を読み出す(S304)。
【0058】
その後、情報処理装置3は、パスワードの生成を行う(S305)。具体的には、情報処理装置3のパスワード生成手段34は、ステップS303により抽出された外部デバイス識別情報、及びS304により読み出されたシリアル番号131を用いて、パスワードを生成する。
【0059】
そして、情報処理装置3は、ステップS107と同様に、外部デバイス2へパスワード設定の要求を行う(S306)。その後、外部デバイス2は、ステップS108と同様に、パスワードを格納する(S307)。
【0060】
次に、アクセス解除処理について説明する。図7は、本発明の実施例2にかかるアクセス制御システムのアクセス解除処理を示すフローチャート図である。ここでは、図6のアクセス設定処理後であるものとする。すなわち、外部デバイス2のパスワード記憶部23にパスワード231が格納されている、つまり、アクセス制限がされているものとする。また、以下では、図3、又は図6と同様の処理については、詳細な説明を省略する。
【0061】
まず、情報処理装置3は、ステップS301乃至S305の処理と同様に、外部デバイス2の外部デバイス識別情報と、シリアル番号131を用いて、パスワードを生成する(ステップS401乃至S405)。続いて、情報処理装置3は、ステップS204と同様に、外部デバイス2へアクセス制限解除の要求を行う(S406)。
【0062】
その後、外部デバイス2は、ステップS205と同様に、アクセス認証を行う(S407)。尚、ステップS407のアクセス認証処理の詳細は、図4と同様のため、説明を省略する。
【0063】
ここでは、図6のパスワード設定処理でパスワード記憶部23に格納されたパスワード231(パスワードB)と、図7のアクセス認証処理で、再度、外部デバイス2から取得された外部デバイス識別情報に基づき生成されたパスワードAとは、共に、シリアル番号211とシリアル番号131とから生成されたパスワードであるため、一致する。そのため、外部デバイス2は、情報処理装置3に接続された場合においてのみ、アクセス制限が解除され、使用可能となる。
【0064】
これにより、情報処理装置3は、内部に外部デバイス2の外部デバイス識別情報を保持する必要がなくなり、読み取られる恐れがなくなる。そのため、パスワードの解読の可能性を下げ、より安全にパスワードを管理することができる。
【0065】
さらに、情報処理装置3は、唯一の外部デバイスのみ接続できるのではなく、予めパスワード設定がされた複数の外部デバイスと接続し、それぞれに対してアクセス制限を解除することができる。
【0066】
尚、外部デバイス識別情報取得手段31は、外部デバイス識別情報取得手段11と同様に、外部デバイス識別情報記憶部12に格納し、パスワード生成手段34は、パスワード生成手段14と同様に、シリアル番号121を外部デバイス識別情報記憶部12から読み出しても構わない。その場合、パスワード生成手段14は、パスワード生成後、外部デバイス識別情報記憶部12からシリアル番号121を削除するようにすればよい。つまり、本発明の実施例2では、都度、外部デバイス識別情報取得手段31により、外部デバイス2の外部デバイス識別情報を取得するようにすればよい。
【0067】
<実施例3>
続いて、本実施の形態にかかるアクセス制御システムの実施例3を以下に例示する。本発明の実施例3では、実施例1に比べ、情報処理装置において、複数の外部デバイス識別情報を保持し、指定された外部デバイス識別情報から、アクセス制限解除のためのパスワードを生成することで、1台の情報処理装置に対して、複数台の外部デバイスを使い分けることができるものである。
【0068】
図8は、本発明の実施例3にかかるアクセス制御システム102の全体構成を示すブロック図である。以下では、図1との違いについてのみ説明し、図1と同様のその他の構成については、説明を省略する。アクセス制御システム102は、情報処理装置4と、外部デバイス2a、外部デバイス2b、…、外部デバイス2nとを備える。尚、外部デバイスの台数は、複数であればよい。
【0069】
情報処理装置4は、図1の情報処理装置1との違いとして、外部デバイス識別情報取得手段11が外部デバイス識別情報取得手段41に、外部デバイス識別情報記憶部12が外部デバイス識別情報記憶部42に、パスワード生成手段14がパスワード生成手段44に置き換わったものである。
【0070】
外部デバイス識別情報取得手段41は、外部デバイス2a、2b、…、2nのいずれかから外部デバイス識別情報の取得を行い、当該外部デバイス識別情報を外部デバイス識別情報記憶部42に格納する。この時、外部デバイス識別情報取得手段41は、同じ外部デバイス識別情報でなければ、それぞれの外部デバイス識別情報を外部デバイス識別情報記憶部42に格納する。
【0071】
外部デバイス識別情報記憶部42は、複数の外部デバイス識別情報を記憶する。具体的には、外部デバイス識別情報記憶部42は、外部デバイス2a、2b、…、2nのそれぞれに対応した外部デバイス識別情報である、シリアル番号421a、シリアル番号421b、…、シリアル番号421nを記憶する。
【0072】
パスワード生成手段44は、外部デバイス識別情報記憶部42内でユーザから指定されたシリアル番号と、シリアル番号131とからパスワードを生成する。
【0073】
外部デバイス2a、2b、…、2nは、それぞれ、外部デバイス2と同機能の外部デバイスである。例えば、外部デバイス2aは、外部デバイス識別情報記憶部21aに自身の外部デバイス識別情報であるシリアル番号211aを記憶する。同様に、外部デバイス2bは、外部デバイス識別情報記憶部21bに自身の外部デバイス識別情報であるシリアル番号211bを記憶し、外部デバイス2nは、外部デバイス識別情報記憶部21nに自身の外部デバイス識別情報であるシリアル番号211nを記憶する。また、ここでは、シリアル番号211a、シリアル番号211b、…、シリアル番号211nとシリアル番号421a、シリアル番号421b、…、シリアル番号421nとがそれぞれ対応するものとする。尚、その他の構成については、図1の外部デバイス2と同様のため、図示、及び説明を省略する。
【0074】
アクセス制御システム102により、情報処理装置4は、複数の外部デバイス識別情報を記憶できるため、予め、複数の外部デバイス2a、2b、…、2nについて、それぞれと一意なパスワードを生成し、設定することができる。そのため、例えば、情報処理装置4に外部デバイス2aが接続された場合、ユーザは、シリアル番号421aを指定することで、パスワード生成手段44は、シリアル番号421aとシリアル番号131とを用いてパスワードを生成することができ、外部デバイス2aのアクセス制限を解除することができる。
【0075】
以上のことから、本発明の実施例3では、1台の情報処理装置に対して、複数台の外部デバイスを使い分けることができる。
【0076】
<実施例4>
続いて、本実施の形態にかかるアクセス制御システムの実施例4を以下に例示する。本発明の実施例4では、実施例1に比べ、外部デバイスにおいて、複数のパスワードを保持し、いずれかのパスワードに一致する場合、アクセス制限を解除するものである。これにより、1台の外部デバイスに対して、複数台の情報処理装置を使い分けることができる。
【0077】
図9は、本発明の実施例4にかかるアクセス制御システム103の全体構成を示すブロック図である。以下では、図1との違いについてのみ説明し、図1と同様のその他の構成については、説明を省略する。アクセス制御システム103は、情報処理装置1a、情報処理装置1b、…、情報処理装置1nと、外部デバイス5とを備える。尚、情報処理装置の台数は、複数であればよい。
【0078】
情報処理装置1a、1b、…、1nは、それぞれ、情報処理装置1と同機能の情報処理装置である。例えば、情報処理装置1aは、情報処理装置識別情報記憶部13aに、自身の情報処理装置識別情報であるシリアル番号131aを記憶する。同様に、情報処理装置1bは、情報処理装置識別情報記憶部13bに、自身の情報処理装置識別情報であるシリアル番号131bを記憶し、情報処理装置1nは、情報処理装置識別情報記憶部13nに、自身の情報処理装置識別情報であるシリアル番号131nを記憶する。尚、その他の構成については、図1の情報処理装置1と同様のため、図示、及び説明を省略する。
【0079】
外部デバイス5は、図1の外部デバイス2との違いとして、パスワード設定手段22がパスワード設定手段52に、パスワード記憶部23がパスワード記憶部53に、アクセス認証手段24がアクセス認証手段54に置き換わったものである。
【0080】
パスワード設定手段52は、接続された情報処理装置1a、1b、…、1nのいずれかからパスワード設定の要求に基づき、当該要求に含まれるパスワードを抽出し、パスワード記憶部53に格納する。この時、パスワード設定手段52は、それぞれの情報処理装置のパスワードをパスワード記憶部53に格納する。
【0081】
パスワード記憶部53は、複数のパスワードを記憶する。具体的には、パスワード記憶部53は、情報処理装置1a、1b、…、1nのそれぞれに対応したパスワードである、パスワード531a、パスワード531b、…、パスワード531nを記憶する。尚、パスワード記憶部53は、不揮発性の記憶装置であればよい。
【0082】
アクセス認証手段54は、接続された情報処理装置1からのアクセス制限解除の要求に基づき、アクセス認証を行い、アクセス認証がされた場合、外部デバイス2のアクセス制限を解除する。
【0083】
また、ここでは、パスワード531aは、シリアル番号211とシリアル番号131aとを用いて生成されたパスワードであるとする。同様に、パスワード531bは、シリアル番号211とシリアル番号131bとを用いて生成され、パスワード531nは、シリアル番号211とシリアル番号131nとを用いて生成されたパスワードであるとする。
【0084】
アクセス認証手段24は、接続された情報処理装置からのアクセス制限解除の要求に基づき、アクセス認証を行い、アクセス認証がされた場合、外部デバイス5のアクセス制限を解除する。このとき、アクセス認証手段24は、当該アクセス制限解除の要求から抽出されたパスワードが、パスワード記憶部53に格納されたパスワード531a、531b、…、531nのいずれかと一致した場合に、アクセス制限を解除する。例えば、外部デバイス5がアクセス制限されており、情報処理装置1aに接続されている場合、アクセス認証手段54は、当該要求に含まれるパスワードを抽出し、当該パスワードとパスワード記憶部53に格納されたパスワード531aとを比較し、一致するため、外部デバイス5のアクセス制限を解除することができる。
【0085】
以上のことから、本発明の実施例4では、1台の外部デバイスに対して、複数台の情報処理装置を使い分けることができる。
【0086】
<その他の実施例>
尚、本発明の実施例1乃至4では、外部デバイス識別情報として、当該外部デバイスに固有の識別情報であるシリアル番号としたが、これに限定されない。例えば、外部デバイス識別情報を製品の型番とすることで、本発明の実施例1においても、同じ型番を持つ外部デバイスであれば、複数のものを使い分けることができる。さらに、外部デバイス識別情報をベンダーコードとすることで、同一ベンダーにより製造された複数の外部デバイスを使い分けることができる。
【0087】
尚、本発明の実施例1乃至4における外部デバイス2は、記憶装置に限定されない。例えば、外部デバイス2は、電子認証に用いる電子鍵等の持ち主により持ち運び可能なものであってもよい。また、本発明の実施形態にかかる被アクセス媒体は、情報処理装置に内部に接続される内蔵HDD等であってもよい。
【0088】
尚、本発明の実施の形態にかかる情報処理装置1は、OSの代わりにBIOSを読み込む際に、外部デバイス2へアクセス制限のためのパスワード設定、及びアクセス制限の解除等の処理を行うようにしてもよい。すなわち、情報処理装置1は、OSの起動前にアクセス制御を行うようにしてもよい。これにより、例えば、外部デバイス2内にOSが格納される場合にもアクセス制御を行うことができる。
【0089】
さらに、本発明は上述した実施の形態のみに限定されるものではなく、既に述べた本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
【図面の簡単な説明】
【0090】
【図1】本発明の各実施例にかかるアクセス制御システムの共通した全体構成を示すブロック図である。
【図2】本発明の実施例1にかかるアクセス制御システムのパスワード設定処理を示すフローチャート図である。
【図3】本発明の実施例1にかかるアクセス制御システムのアクセス解除処理を示すフローチャート図である。
【図4】本発明の実施例1にかかるアクセス制御システムのアクセス認証処理を示すフローチャート図である。
【図5】本発明の実施例2にかかるアクセス制御システムの全体構成を示すブロック図である。
【図6】本発明の実施例2にかかるアクセス制御システムのパスワード設定処理を示すフローチャート図である。
【図7】本発明の実施例2にかかるアクセス制御システムのアクセス解除処理を示すフローチャート図である。
【図8】本発明の実施例3にかかるアクセス制御システムの全体構成を示すブロック図である。
【図9】本発明の実施例4にかかるアクセス制御システムの全体構成を示すブロック図である。
【符号の説明】
【0091】
100 アクセス制御システム
1 情報処理装置
11 外部デバイス識別情報取得手段
12 外部デバイス識別情報記憶部
121 シリアル番号
13 情報処理装置識別情報記憶部
131 シリアル番号
14 パスワード生成手段
15 パスワード入力手段
2 外部デバイス
21 外部デバイス識別情報記憶部
211 シリアル番号
22 パスワード設定手段
23 パスワード記憶部
231 パスワード
24 アクセス認証手段
101 アクセス制御システム
3 情報処理装置
31 外部デバイス識別情報取得手段
34 パスワード生成手段
102 アクセス制御システム
4 情報処理装置
41 外部デバイス識別情報取得手段
42 外部デバイス識別情報記憶部
421a シリアル番号
421b シリアル番号
421n シリアル番号
44 パスワード生成手段
2a 外部デバイス
21a 外部デバイス識別情報記憶部
211a シリアル番号
2b 外部デバイス
21b 外部デバイス識別情報記憶部
211b シリアル番号
2n 外部デバイス
21n 外部デバイス識別情報記憶部
211n シリアル番号
103 アクセス制御システム
1a 情報処理装置
13a 情報処理装置識別情報記憶部
131a シリアル番号
1b 情報処理装置
13b 情報処理装置識別情報記憶部
131b シリアル番号
1n 情報処理装置
13n 情報処理装置識別情報記憶部
131n シリアル番号
5 外部デバイス
52 パスワード設定手段
53 パスワード記憶部
531a パスワード
531b パスワード
531n パスワード
54 アクセス認証手段
【特許請求の範囲】
【請求項1】
情報処理装置から当該情報処理装置に接続される被アクセス媒体へのアクセス制御をパスワードにより行うアクセス制御システムであって、
前記情報処理装置は、
前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いてパスワードを生成するパスワード生成手段と、
前記パスワード生成手段により生成されたパスワードを前記被アクセス媒体に対して入力するパスワード入力手段を有し、
前記被アクセス媒体は、
前記パスワード入力手段によって入力されたパスワードをパスワード記憶部に格納するパスワード設定手段と、
アクセス認証する場合に前記パスワード入力手段により入力されたパスワードと、前記パスワード記憶部に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段とを有するアクセス制御システム。
【請求項2】
前記情報処理装置は、前記被アクセス媒体識別情報を前記被アクセス媒体から取得し、被アクセス媒体識別情報記憶部に格納する被アクセス媒体識別情報取得手段をさらに備えたことを特徴とする請求項1に記載のアクセス制御システム。
【請求項3】
前記被アクセス媒体識別情報取得手段は、パスワードを設定する場合に、前記被アクセス媒体から被アクセス媒体識別情報を取得し、
前記パスワード生成手段は、アクセス認証する場合に、前記被アクセス媒体識別情報記憶部に格納された被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いてパスワードを生成することを特徴とする請求項2に記載のアクセス制御システム。
【請求項4】
前記情報処理装置は、アクセス認証する場合に、前記被アクセス媒体から前記被アクセス媒体識別情報を取得して前記パスワード生成手段によりパスワード生成を実行することを特徴とする請求項1に記載のアクセス制御システム。
【請求項5】
前記被アクセス媒体識別情報記憶部には、複数の前記被アクセス媒体識別情報が格納され、
前記パスワード生成手段は、アクセス認証する場合に、前記被アクセス媒体識別情報記憶部に格納された複数の被アクセス媒体識別情報の内、指定された被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いてパスワードを生成することを特徴とする請求項2又は3に記載のアクセス制御システム。
【請求項6】
前記パスワード記憶部には、複数のパスワードが格納されることを特徴とする、請求項1乃至4のいずれか1項に記載のアクセス制御システム。
【請求項7】
前記被アクセス媒体識別情報は、前記被アクセス媒体を一意に識別する固有情報であることを特徴とする、請求項1乃至6のいずれか1項に記載のアクセス制御システム。
【請求項8】
前記被アクセス媒体識別情報は、複数の前記被アクセス媒体に共通する識別情報であることを特徴とする、請求項1乃至6のいずれか1項に記載のアクセス制御システム。
【請求項9】
情報処理装置から当該情報処理装置に接続される被アクセス媒体へのアクセス制御をパスワードにより行うアクセス制御方法であって、
前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いて認証用のパスワードを生成する認証パスワード生成ステップと、
前記認証パスワード生成ステップにより生成されたパスワードを前記被アクセス媒体に対して入力する認証パスワード入力ステップと、
前記認証パスワード入力ステップにより入力されたパスワードと、前記被アクセス媒体に予め設定されたパスワードに基づいてアクセス認証を実行するアクセス認証ステップと、を備えるアクセス制御方法。
【請求項10】
前記被アクセス媒体から前記被アクセス媒体識別情報を取得する被アクセス媒体識別情報取得ステップと、
前記被アクセス媒体識別情報取得ステップにより取得された前記被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いて設定用のパスワードを生成する設定パスワード生成ステップと、
前記設定パスワード生成ステップにより生成されたパスワードを前記被アクセス媒体に対して入力する設定パスワード入力ステップと、
前記設定パスワード入力ステップによって入力されたパスワードを設定するパスワード設定ステップと、をさらに備える請求項9に記載のアクセス制御方法。
【請求項11】
前記認証パスワード生成ステップは、前記被アクセス媒体識別情報取得ステップにより取得された前記被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いて認証用のパスワードを生成することを特徴とする請求項10に記載のアクセス制御方法。
【請求項12】
前記被アクセス媒体から前記被アクセス媒体識別情報を取得する被アクセス媒体識別情報取得ステップをさらに備え、
前記認証パスワード生成ステップは、前記被アクセス媒体識別情報取得ステップの後に、前記被アクセス媒体識別情報取得ステップにより取得された前記被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いて認証用のパスワードを生成することを特徴とする請求項9に記載のアクセス制御方法。
【請求項13】
パスワードによりアクセス制御を行う被アクセス媒体と接続される情報処理装置であって、
前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いてパスワードを生成するパスワード生成手段と、
前記パスワード生成手段により生成されたパスワードを前記被アクセス媒体に対して入力するパスワード入力手段を有する、情報処理装置。
【請求項14】
前記被アクセス媒体識別情報を記憶する被アクセス媒体識別情報記憶部と、
前記被アクセス媒体識別情報を前記被アクセス媒体から取得し、前記被アクセス媒体識別情報記憶部に格納する被アクセス媒体識別情報取得手段とをさらに備えたことを特徴とする請求項13に記載の情報処理装置。
【請求項15】
前記被アクセス媒体識別情報取得手段は、パスワードを設定する場合に、前記被アクセス媒体から被アクセス媒体識別情報を取得し、
前記パスワード生成手段は、アクセス認証する場合に、前記被アクセス媒体識別情報記憶部に格納された被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いてパスワードを生成することを特徴とする請求項14に記載の情報処理装置。
【請求項16】
アクセス認証する場合に、前記被アクセス媒体から前記被アクセス媒体識別情報を取得して前記パスワード生成手段によりパスワード生成を実行することを特徴とする請求項13に記載の情報処理装置。
【請求項17】
前記被アクセス媒体識別情報記憶部には、複数の前記被アクセス媒体識別情報が格納され、
前記パスワード生成手段は、アクセス認証する場合に、前記被アクセス媒体識別情報記憶部に格納された複数の被アクセス媒体識別情報の内、指定された被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いてパスワードを生成することを特徴とする請求項14又は15に記載の情報処理装置。
【請求項18】
接続される情報処理装置からのアクセス制御をパスワードにより行う被アクセス媒体であって、
前記情報処理装置から入力される、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いて生成されたパスワードをパスワード記憶部に格納するパスワード設定手段と、
アクセス認証する場合に前記情報処理装置から入力されるパスワードと、前記パスワード記憶部に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段とを有する被アクセス媒体。
【請求項19】
前記パスワード記憶部には、複数のパスワードが格納されることを特徴とする、請求項18に記載の被アクセス媒体。
【請求項1】
情報処理装置から当該情報処理装置に接続される被アクセス媒体へのアクセス制御をパスワードにより行うアクセス制御システムであって、
前記情報処理装置は、
前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いてパスワードを生成するパスワード生成手段と、
前記パスワード生成手段により生成されたパスワードを前記被アクセス媒体に対して入力するパスワード入力手段を有し、
前記被アクセス媒体は、
前記パスワード入力手段によって入力されたパスワードをパスワード記憶部に格納するパスワード設定手段と、
アクセス認証する場合に前記パスワード入力手段により入力されたパスワードと、前記パスワード記憶部に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段とを有するアクセス制御システム。
【請求項2】
前記情報処理装置は、前記被アクセス媒体識別情報を前記被アクセス媒体から取得し、被アクセス媒体識別情報記憶部に格納する被アクセス媒体識別情報取得手段をさらに備えたことを特徴とする請求項1に記載のアクセス制御システム。
【請求項3】
前記被アクセス媒体識別情報取得手段は、パスワードを設定する場合に、前記被アクセス媒体から被アクセス媒体識別情報を取得し、
前記パスワード生成手段は、アクセス認証する場合に、前記被アクセス媒体識別情報記憶部に格納された被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いてパスワードを生成することを特徴とする請求項2に記載のアクセス制御システム。
【請求項4】
前記情報処理装置は、アクセス認証する場合に、前記被アクセス媒体から前記被アクセス媒体識別情報を取得して前記パスワード生成手段によりパスワード生成を実行することを特徴とする請求項1に記載のアクセス制御システム。
【請求項5】
前記被アクセス媒体識別情報記憶部には、複数の前記被アクセス媒体識別情報が格納され、
前記パスワード生成手段は、アクセス認証する場合に、前記被アクセス媒体識別情報記憶部に格納された複数の被アクセス媒体識別情報の内、指定された被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いてパスワードを生成することを特徴とする請求項2又は3に記載のアクセス制御システム。
【請求項6】
前記パスワード記憶部には、複数のパスワードが格納されることを特徴とする、請求項1乃至4のいずれか1項に記載のアクセス制御システム。
【請求項7】
前記被アクセス媒体識別情報は、前記被アクセス媒体を一意に識別する固有情報であることを特徴とする、請求項1乃至6のいずれか1項に記載のアクセス制御システム。
【請求項8】
前記被アクセス媒体識別情報は、複数の前記被アクセス媒体に共通する識別情報であることを特徴とする、請求項1乃至6のいずれか1項に記載のアクセス制御システム。
【請求項9】
情報処理装置から当該情報処理装置に接続される被アクセス媒体へのアクセス制御をパスワードにより行うアクセス制御方法であって、
前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いて認証用のパスワードを生成する認証パスワード生成ステップと、
前記認証パスワード生成ステップにより生成されたパスワードを前記被アクセス媒体に対して入力する認証パスワード入力ステップと、
前記認証パスワード入力ステップにより入力されたパスワードと、前記被アクセス媒体に予め設定されたパスワードに基づいてアクセス認証を実行するアクセス認証ステップと、を備えるアクセス制御方法。
【請求項10】
前記被アクセス媒体から前記被アクセス媒体識別情報を取得する被アクセス媒体識別情報取得ステップと、
前記被アクセス媒体識別情報取得ステップにより取得された前記被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いて設定用のパスワードを生成する設定パスワード生成ステップと、
前記設定パスワード生成ステップにより生成されたパスワードを前記被アクセス媒体に対して入力する設定パスワード入力ステップと、
前記設定パスワード入力ステップによって入力されたパスワードを設定するパスワード設定ステップと、をさらに備える請求項9に記載のアクセス制御方法。
【請求項11】
前記認証パスワード生成ステップは、前記被アクセス媒体識別情報取得ステップにより取得された前記被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いて認証用のパスワードを生成することを特徴とする請求項10に記載のアクセス制御方法。
【請求項12】
前記被アクセス媒体から前記被アクセス媒体識別情報を取得する被アクセス媒体識別情報取得ステップをさらに備え、
前記認証パスワード生成ステップは、前記被アクセス媒体識別情報取得ステップの後に、前記被アクセス媒体識別情報取得ステップにより取得された前記被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いて認証用のパスワードを生成することを特徴とする請求項9に記載のアクセス制御方法。
【請求項13】
パスワードによりアクセス制御を行う被アクセス媒体と接続される情報処理装置であって、
前記被アクセス媒体から取得された、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いてパスワードを生成するパスワード生成手段と、
前記パスワード生成手段により生成されたパスワードを前記被アクセス媒体に対して入力するパスワード入力手段を有する、情報処理装置。
【請求項14】
前記被アクセス媒体識別情報を記憶する被アクセス媒体識別情報記憶部と、
前記被アクセス媒体識別情報を前記被アクセス媒体から取得し、前記被アクセス媒体識別情報記憶部に格納する被アクセス媒体識別情報取得手段とをさらに備えたことを特徴とする請求項13に記載の情報処理装置。
【請求項15】
前記被アクセス媒体識別情報取得手段は、パスワードを設定する場合に、前記被アクセス媒体から被アクセス媒体識別情報を取得し、
前記パスワード生成手段は、アクセス認証する場合に、前記被アクセス媒体識別情報記憶部に格納された被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いてパスワードを生成することを特徴とする請求項14に記載の情報処理装置。
【請求項16】
アクセス認証する場合に、前記被アクセス媒体から前記被アクセス媒体識別情報を取得して前記パスワード生成手段によりパスワード生成を実行することを特徴とする請求項13に記載の情報処理装置。
【請求項17】
前記被アクセス媒体識別情報記憶部には、複数の前記被アクセス媒体識別情報が格納され、
前記パスワード生成手段は、アクセス認証する場合に、前記被アクセス媒体識別情報記憶部に格納された複数の被アクセス媒体識別情報の内、指定された被アクセス媒体識別情報と、前記情報処理装置識別情報とを用いてパスワードを生成することを特徴とする請求項14又は15に記載の情報処理装置。
【請求項18】
接続される情報処理装置からのアクセス制御をパスワードにより行う被アクセス媒体であって、
前記情報処理装置から入力される、当該被アクセス媒体を識別する被アクセス媒体識別情報と、当該情報処理装置を識別する情報処理装置識別情報とを用いて生成されたパスワードをパスワード記憶部に格納するパスワード設定手段と、
アクセス認証する場合に前記情報処理装置から入力されるパスワードと、前記パスワード記憶部に格納されたパスワードに基づいてアクセス認証を実行するアクセス認証手段とを有する被アクセス媒体。
【請求項19】
前記パスワード記憶部には、複数のパスワードが格納されることを特徴とする、請求項18に記載の被アクセス媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2009−187445(P2009−187445A)
【公開日】平成21年8月20日(2009.8.20)
【国際特許分類】
【出願番号】特願2008−28883(P2008−28883)
【出願日】平成20年2月8日(2008.2.8)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年8月20日(2009.8.20)
【国際特許分類】
【出願日】平成20年2月8日(2008.2.8)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]