プラットフォーム完全性検証システム
【課題】システムの起動時間の遅延を引き起こすことなく、トラステッドブートによりプラットフォームの完全性検証を行えるようにしたプラットフォーム完全性検証システムを提供する。
【解決手段】プラットフォーム計測装置1は、次回起動時のためのプラットフォームの完全性検証をシャットダウンシーケンスの最後のタイミングで計測を実行し、その結果をシステムの電源状態に関わらず外部のコンピュータから取得可能な不揮発性記憶領域に記録する。その後、完全性検証コンピュータ2は、不揮発性領域に記憶された計測値を、ネットワークを介して取得し、取得した計測値と、予め用意した期待される計測値との比較を行うことで完全性を検証する。プラットフォーム計測装置1は、起動時に、完全性が検証されたものの結果を所定のコンピュータに通知する。
【解決手段】プラットフォーム計測装置1は、次回起動時のためのプラットフォームの完全性検証をシャットダウンシーケンスの最後のタイミングで計測を実行し、その結果をシステムの電源状態に関わらず外部のコンピュータから取得可能な不揮発性記憶領域に記録する。その後、完全性検証コンピュータ2は、不揮発性領域に記憶された計測値を、ネットワークを介して取得し、取得した計測値と、予め用意した期待される計測値との比較を行うことで完全性を検証する。プラットフォーム計測装置1は、起動時に、完全性が検証されたものの結果を所定のコンピュータに通知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、システムのプラットフォームを構成する構成要素が改竄されていない信頼できるものであることを確認するためのプラットフォーム完全性検証システムに関する。
【背景技術】
【0002】
近年、コンピュータが社会に浸透し、コンピュータのセキュリティ対策が重要視されている。例えば、コンピュータのセキュリティ対策には、対タンパ性をもつセキュリティチップによりソフトウェアからの不正を防止することで、プラットフォームの安全性を確保する手法がある。
【0003】
この対タンパ性をもつセキュリティチップによって可能となる技術には、トラステッドブート(Trusted Boot)がある。このトラステッドブートとは、セキュリティチップがソフトウェアからの不正ができないハードウェアであることを利用し、機器のブート時にプラットフォーム構成要素の完全性を検証する技術である。このトラステッドブートの技術を利用した場合には、プラットフォームの改竄を発見することが可能となる。
【0004】
このトラステッドブートでは、ブートシーケンス中にロードされるコンポーネントを順次計測し、計測値をセキュリティチップ内のレジスタに記録していく。この動作は、CRTM(Core Root of Trust for Measurement)と呼ばれる書き換え不可能な領域(通常はBIOS Boot Blockがこれにあたる)を信頼の起点として開始される。
【0005】
このトラステッドブートでは、計測処理(取得処理)後、セキュリティチップ内のレジスタに記録された計測値を予め用意しておいた計測値として期待される値と比較する。
【0006】
このトラステッドブートでは、上述の処理によりBIOS,Boot Loader,OS,アプリケーション等の各種ソースコードや必要なライブラリの完全性を検証することが可能となる。
【0007】
従来、トラステッドブートの技術では、PCRに計測値を記録する際にランダム値を利用することで、攻撃者が、プラットフォームの攻撃を行うための情報を取得し難くしたものが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2005−301550号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来のトラステッドブートにおける完全性検証のための計測は、システムの起動時に実行されていた。
【0010】
しかし、起動時に多くのアプリケーションが呼び出される機器では、トラステッドブートによる完全性検証のたに多くの回数の計測を実行すると、システムの起動時間が遅延するという問題がある。
【0011】
本発明の目的は、システムの起動時間の遅延を引き起こすことなく、トラステッドブートによりプラットフォームの完全性検証を行えるようにしたプラットフォーム完全性検証システムを提供することを目的とする。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明にかかるプラットフォーム完全性検証システムは、互いに通信可能な情報処理装置と完全性検証コンピュータとを有するプラットフォーム完全性検証システムにおいて、前記情報処理装置は、前記情報処理装置がシャットダウンする際に、前記情報処理装置が実行する複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段とを有し、前記完全性検証コンピュータは、前記記憶装置に記憶されている前記一意な値を前記情報処理装置との通信により取得して、予め保持する所定の値とプログラムごとに比較する比較手段とを有することを特徴とする。
【0013】
また、本発明にかかる情報処理装置は、複数のプログラムを実行することが可能な情報処理装置であって、前記情報処理装置がシャットダウンする際に、前記複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段と、前記情報処理装置が起動する際に前記記憶手段に記憶された前記一意な値が正当な値であるか否かを判定する判定手段と、前記判定手段が正当な値でないと判定した場合、前記情報処理装置を起動しないように制御する制御手段と、を有することを特徴とする。
【発明の効果】
【0014】
本発明のプラットフォーム完全性検証システム、または情報処理装置では、装置をシャットダウンする際にプログラムの一意な値を取得する。これにより、起動時間の遅延を引き起こすことなくプラットフォームの完全性検証を行うことができるという効果がある。
【図面の簡単な説明】
【0015】
【図1】本発明の実施の形態に係わるプラットフォーム完全性検証システムの概略構成図である。
【図2】本発明の実施の形態に係わるプラットフォーム計測装置のシャットダウンに関する手順を示すフローチャートである。
【図3】本発明の実施の形態に係わる外部コンピュータによるプラットフォーム計測装置の完全性検証に関する手順を示すフローチャートである。
【図4】本発明の実施の形態に係わるプラットフォーム計測装置の計測結果のログの一例を示す説明図である。
【図5】本発明の実施の形態に係わるプラットフォーム計測装置による計測実行のスキップの手順を示すフローチャートである。
【発明を実施するための形態】
【0016】
以下、本発明のプラットフォーム完全性検証システムに係わる実施の形態について図面を参照しながら説明する。
【0017】
本実施の形態のシステム構成図である図1で、1はプラットフォーム計測装置、2はプラットフォーム計測装置1とネットワークで通信可能に接続されている完全性検証コンピュータ2である。
【0018】
このプラットフォーム計測装置1は、情報処理装置の一部として構成されている。情報処理装置としては、例えば複写機などの画像処理装置や、パーソナルコンピュータなどの装置でもよい。また、完全性検証コンピュータ2は、例えばパーソナルコンピュータ等で構成されている。なお、プラットフォーム計測装置1と完全性検証コンピュータ2とは、ネットワーク以外のインターフェース(たとえば、USBなど)で接続されていてもよい。
【0019】
これらのプラットフォーム計測装置1及び完全性検証コンピュータ2は、それぞれMFP(Multi Function Printer)、PC(Personal Computer)等を利用できる。なお、本発明のプラットフォーム完全性検証システムは、これらの装置に限定されるものではない。
【0020】
このプラットフォーム計測装置1は、ユーザインターフェース3、ハードディスク4、AMT対応チップセット5、装置全体を制御するCPU6、メインメモリ7、フラッシュメモリ8、NIC9等のハードウェアを備える。なお、NIC9は、Network Interface Cardである。
【0021】
このプラットフォーム計測装置1は、装置のシャットダウンシーケンスのたとえば最後のタイミングにおいて、各々のプラットフォーム構成要素に対して衝突を起こすことがない一意な値を計算して得られる各計測値を求める。さらに、このプラットフォーム計測装置1は、このようにして求めた各計測値を不揮発性計測値領域に記録する。プラットフォーム計測装置1は、計測対象を計測後、計測済リスト(取得済みリスト)に記録する機能と、現在の計測対象が既に計測済みであるかを計測済リスト(取得済みリスト)から判定する機能とを備える。
【0022】
このように動作する計測手段として構成されたプラットフォーム計測装置1は、完全性検証コンピュータ2とネットワークで接続される。この完全性検証コンピュータ2は、AMT管理アプリケーション20、完全性計測アプリケーション19及び完全性検証リスト18を備える。ここでAMT管理アプリケーション20と完全性計測アプリケーション19は、ソフトウェアで構成されている。完全性検証リスト18は、データで構成されている。
【0023】
なお、AMT(アクティブ・マネジメント・テクノロジー)は、Intel(登録商標)によって開発されたセキュリティ機能の名称であり、AMT対応のチップセットによって実現される。
【0024】
専用のAMT管理アプリケーションを利用した場合には、外部のコンピュータからネットワークを介して、AMT機能を搭載したコンピュータ上の不揮発性領域に記憶されている情報の取得が可能となる。この情報の取得動作は、AMT機能搭載コンピュータの電源状態に関わらず行うことが可能である。この専用のAMT管理アプリケーションは、不揮発性計測値領域に記憶されている計測値を、ネットワークを介して取得する不揮発性領域計測値取得手段を構成する。この不揮発性領域計測値取得手段は、完全性検証コンピュータ2が、安全性を確保されている通信経路によって不揮発性計測値記憶領域に記録された計測値を取得可能に構成されている。
【0025】
プラットフォーム計測装置1のハードディスク4には、OS10、各種アプリケーション11、計測アプリケーション12、計測対象リスト(取得対象リスト)13及び計測済リスト(取得済みリスト)14等が保存されている。
【0026】
ここで、OS10、各種アプリケーション11及び計測アプリケーション12は、ソフトウェアで構成されている。計測対象リスト(取得対象リスト)13及び計測済リスト(取得済みリスト)14は、データで構成されている。
【0027】
プラットフォーム計測装置1に設けられたフラッシュメモリ8には、AMT用不揮発性領域15及びBIOS16、Boot Loader17等が保存されている。ここで、AMT用不揮発性領域15は、ハードウェアで構成され、不揮発性計測値記憶領域として構成されている。BIOS16及びBoot Loader17は、ソフトウェアで構成されている。
【0028】
このプラットフォーム計測装置1に設けられたユーザインターフェース3は、タッチパネル等で構成され、ユーザからの機器の電源ON/OFFやその他、機器の提供するサービスの利用等の要求を受け付ける画面を表示する。
【0029】
また完全性検証コンピュータ2には、予め完全性検証リスト18が保存されている。この完全性検証リスト18は、プラットフォーム計測装置1内で計測対象となっているBIOS16,Boot Loader17,OS10,各種アプリケーション11などに対する正規の計測結果のリストである。
【0030】
この完全性検証コンピュータ2では、BIOS16、Boot Loader17、OS10、計測対象リスト13によって指定される各種アプリケーション11(これらを総称してプログラムと称する)の完全性が検証される。すなわち、これらプログラムの各々が改ざんされていないかが検証される。また、本実施形態においてで計測とは、計測対象に対して例えばSHA−1などの所定のハッシュ関数によってハッシュ値を求めることを意味するものとする。
【0031】
次に、このプラットフォーム完全性検証システムを利用したプラットフォーム計測装置1がシャットダウンされるときのシャットダウン処理の手順について、図2を参照して説明する。
【0032】
このシャットダウン処理は、ユーザによってユーザインターフェース3から、プラットフォーム計測装置1に対してシャットダウン要求が出されるまで待機する(ステップS1でNO)。
【0033】
そして、ユーザがシャットダウン要求の指示を入力すると(ステップS1でYES)、CPU6は、通常のシャットダウンシーケンスを開始する。
【0034】
このプラットフォーム計測装置1では、各種アプリケーション11に含まれる電源の管理アプリケーションが、シャットダウン実行直前までの通常のシャットダウンシーケンスを実行する(ステップS2)。
【0035】
ここで、通常のシャットダウンシーケンスとは、プラットフォーム計測装置1が自身の電源を切るために必要な一連の処理である。
【0036】
また、プラットフォーム計測装置1は、シャットダウン要求を、ローカルユーザインターフェースに限らず、リモートユーザインターフェースをユーザが利用して行えるように構成してもよい。ここで、ローカルユーザインターフェースとは、プラットフォーム計測装置1に組み込まれたユーザインターフェースを意味するものとする。また、リモートユーザインターフェースとは、外部PC等から、ネットワークを介してプラットフォーム計測装置1の操作が可能となるインターフェースであり専用のソフトウェア等によって提供されるものを意味するものとする。
【0037】
次に、計測アプリケーション12は、シャットダウンシーケンスの最後のタイミングにおいて、BIOS16の計測を実行し(ステップS3)、得られたハッシュ値をAMT用不揮発性領域15に記録する(ステップS4)。ここで、シャットダウンシーケンスの最後のタイミングとは、例えば、プラットフォーム計測装置1のシャットダウンのために必要な処理が完了し、電源を切ってもよい状態を意味する。
【0038】
次に、計測アプリケーション12は、Boot Loader17についての計測を実行し(ステップS5)、計測によって取得したハッシュ値をAMT用不揮発性領域15に記録する(ステップS6)。
【0039】
次に、計測アプリケーション12は、上述と同様にしてOS10に対しても計測を実行し(ステップS7)、取得したハッシュ値をAMT用不揮発性領域15に記録する(ステップS8)。
【0040】
次に、計測アプリケーション12は、ハードディスク4内に保存されている計測対象リスト13に記載されている各種アプリケーション11に対しても同様にして順次計測を実行する(ステップS9)。
【0041】
次に、計測アプリケーション12は、ステップS9で計測し、取得したハッシュ値を、順次AMT用不揮発性領域15に記録する(ステップS10)。このようにして計測アプリケーション12は、計測対象リスト13に記載されている全ての計測対象に対する計測、記録を終える。
【0042】
次に、計測アプリケーション12は、この計測及び記録処理の終了後に、完全性検証コンピュータ2に対して、プラットフォーム計測装置1がシャットダウンを実行することを通知する(ステップS11)。
【0043】
次に、計測アプリケーション12は、シャットダウンを実行し(ステップS12)、このシャットダウン処理を終了する。このようにプラットフォーム計測装置1では、シャットダウン処理の中で計測を行う。これにより、装置の起動時に計測を行う必要がなくなるのでプラットフォーム計測装置1の起動時間への影響を与えることなく計測を行うことが可能となる。
【0044】
完全性検証コンピュータ2は、シャットダウン通知手段としてのプラットフォーム計測装置1による通知を受信後、所定の時間に、あるいは所定の時間経過後に不揮発性計測値記憶領域へアクセスし、完全性検証処理を実行する。
【0045】
次に、プラットフォーム計測装置1とネットワークで繋がっている外部の完全性検証コンピュータ2によるプラットフォーム計測装置1の完全性検証処理について図3を参照して説明する。
【0046】
完全性検証コンピュータ2は、プラットフォーム計測装置1からシャットダウン通知を受信した後、所定の時間に、あるいは所定の時間経過後に完全性検証処理を開始する。そして、完全性検証コンピュータ2は、NIC9を通してシャットダウン済プラットフォーム計測装置1内のAMT用不揮発性領域15から、記録済のハッシュ値を取得する(ステップS13)。なお、この記録済のハッシュ値は、図2で説明したステップS4,ステップS6,ステップS8及びステップS10において記録されたものである。
【0047】
次に、完全性検証コンピュータ内で完全性計測アプリケーション19は、予め保存してある完全性検証リスト18と、取得したハッシュ値とを順次比較して完全性の検証を行う(ステップS14)。完全性検証リスト18は、プラットフォーム計測装置1のBIOS16、Boot Loader17、OS10、各種アプリケーション11のそれぞれについての正しいハッシュ値があらかじめ記憶されている。完全性検証リスト18に記憶されているハッシュ値と、図2のフローチャートで計測した各ハッシュ値との値が一致すれば、プログラムは改ざんされていないということになる。また、一致しない場合は、プログラムのコードが改ざんされている、あるいは破損しているということになる。 すなわち、完全性計測アプリケーション19は、各プラットフォーム構成要素の計測値と、完全性検証コンピュータ内に予め保持されている所定の計測値とを構成要素ごとに比較する計測値外部比較手段を構成する。
【0048】
完全性計測アプリケーション19は、比較結果が不一致のハッシュ値があった場合(ステップS15でYES)にハッシュ値が不一致の計測対象プログラムを不一致情報として、管理者に通知する(ステップS16)。このとき、完全性計測アプリケーション19は、予め完全性検証コンピュータに設定されたメール等の所定の方法で管理者に通知し、この完全性検証処理を終了する。
【0049】
なお、完全性計測アプリケーション19は、管理者のコンピュータ等へ通知する代わりにログとして完全性検証コンピュータ2内に保存してもよいし、管理者への通知とログとしての記録の両方を実行してもよい。このログは、図4に例示するものが考えられる。この図4で正解値とは、完全性検証リスト内に保存されている各計測対象に対して期待されるハッシュ値である。
【0050】
また、計測値外部比較手段としての完全性計測アプリケーション19は、完全性検証のための計測値の比較がなされた結果を管理者等の所定のコンピュータに通知する機能を備えるように構成しても良い。
【0051】
さらに、計測値外部比較手段としての完全性計測アプリケーション19は、報告先コンピュータが設定されていない場合に、システム起動時に報告先コンピュータの設定をユーザに対して促すように構成しても良い。
【0052】
完全性計測アプリケーション19は、検証の結果不一致のハッシュ値があった場合(ステップS15でYES)にハッシュ値が不一致の計測対象プログラムがあったことをAMT用不揮発性領域15に書き込むようにしてもよい。プラットフォーム計測装置1が次回に起動する際にまずAMT用不揮発性領域15を参照してハッシュ値が不一致の計測対象プログラムがあるということが書き込まれていることを検知した場合には、起動を中断するようにしてもよい。これにより、プログラムが改ざんされたままの装置を起動することを防止することができる。
【0053】
また、図3のフローチャートに相当する処理をプラットフォーム計測装置1が実行するようにしてもよい。この場合、プラットフォーム計測装置1が各プログラムについての正当なハッシュ値をあらかじめ記憶しておく。ハッシュ値は、改ざんされないように記憶しておくことが好ましい。たとえば、不図示のROMに記憶しておいてもよいし、AMT対応チップセット5内に保持しておいてもよい。プラットフォーム計測装置1の起動時に、AMT用不揮発性領域15に記憶されたハッシュ値と、あらかじめ記憶された正当なハッシュ値との比較を行い、それらが一致したならばプラットフォーム計測装置1の起動を許可する。一致しないハッシュ値がある場合には、プラットフォーム計測装置1を起動しないようにする。このようにすることで、完全性検証コンピュータ2を設けなくてもプログラムの完全性の検証を行うことが可能になる。
【0054】
計測アプリケーション12による計測は、前述した図2のステップ(S3,S5,S7,S9)において、計測対象の実行ファイルだけでなく、実行ファイルから利用されるライブラリも計測対象としてもよい。例えば、APL1.exe, APL2.exeという計測対象があり、common_lib.aというライブラリをこれら両方で利用していた場合には、common_lib.aが2回計測されることになる。
【0055】
また、計測順番は、例えばAPL1.exe, common_lib.a, APL2.exe, common_lib.aとなる。この場合には、ライブラリが計測対象であったとしても、一度計測されていれば計測の実行をスキップしてもよい。これにより、計測に関するパフォーマンスを向上できる。
【0056】
また、完全性計測アプリケーション19は、検証の結果、全ての計測対象のハッシュ値が一致した場合(ステップS15でNO)に、この完全性検証処理を終了する。
【0057】
次に、図2に示したステップS3,ステップS5、ステップS7及びステップS9に係わる計測処理(取得処理)の手順について図5のフローチャートを参照して説明する。
【0058】
この計測処理(取得処理)が開始されると、計測アプリケーション12は、計測対象ファイル(プログラム)の有無を確認する(ステップS51)。そして、計測アプリケーション12は、計測対象ファイルが有ると判定した場合(ステップS51でYES)に、その計測対象がライブラリであるかを確認する(ステップS52)。
【0059】
計測アプリケーション12は、計測対象がライブラリでないと判定した場合(ステップS52でNO)、つまり実行ファイルである場合に、実行ファイルを計測し、その結果をAMT用記憶領域15に記録する(ステップS53)。
【0060】
次に、計測アプリケーション12は、計測対象がライブラリであると判定した場合(ステップS52でYES)に、計測済リスト14から対象の計測対象ライブラリを検索する(ステップS54)。さらに、計測アプリケーション12は、計測済リスト内の記述の有無を確認する(ステップS55)。
【0061】
次に、計測アプリケーション12は、検索の結果、計測済リスト14内に現在の計測対象となるライブラリがないと判定した場合(ステップS55でNO)に、ステップS56へ進む。そして、計測アプリケーション12は、計測対象ライブラリを計測し、その結果をAMT用記憶領域15に記録する(ステップS56)。
【0062】
次に、計測アプリケーション12は、計測済リスト14に計測したライブラリを追加する(ステップS57)。
【0063】
また、計測アプリケーション12は、検索の結果、計測済リスト14内に現在の計測対象となるライブラリがあると判定した場合(ステップS55でYES)に、ステップS51へ戻る。
【0064】
ここで、前述したステップS53の処理を完了した場合及びステップS57の処理を完了した場合も、ステップS51へ戻る。
【0065】
次に、計測アプリケーション12は、次の計測対象ファイルの有無を確認し、計測対象ファイルが無いと判定した場合(ステップS51でNO)に、この計測処理を終了する。
【0066】
計測アプリケーション12は、この計測処理の手順に従って計測を実行することにより、プラットフォームの完全性検証に関するパフォーマンスを向上することができる。
【0067】
また、通常のTPMを利用したトラステッドブートにおいても、上述の手順に従うことにより、起動時間に関するパフォーマンスを向上できる。
【0068】
以上、本実施形態によれば、装置のシャットダウン時に装置内のプログラムの完全性を検証するための計測を行う。これにより、装置の起動時に計測を行わずに済むので装置の起動にかかる時間が長くなることを防止することができる。
【0069】
また、計測対象にライブラリが含まれている場合、同じライブラリを複数回計測しないようにすることで計測にかかる時間を短縮することが可能になる。
【0070】
また、本発明は、以下の処理を実行することによっても実現される。
【0071】
即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給する。そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。この場合、そのプログラム、及び該プログラムを記憶した記憶媒体は本発明を構成することになる。
【符号の説明】
【0072】
1 プラットフォーム計測装置
2 完全性検証コンピュータ
6 CPU
【技術分野】
【0001】
本発明は、システムのプラットフォームを構成する構成要素が改竄されていない信頼できるものであることを確認するためのプラットフォーム完全性検証システムに関する。
【背景技術】
【0002】
近年、コンピュータが社会に浸透し、コンピュータのセキュリティ対策が重要視されている。例えば、コンピュータのセキュリティ対策には、対タンパ性をもつセキュリティチップによりソフトウェアからの不正を防止することで、プラットフォームの安全性を確保する手法がある。
【0003】
この対タンパ性をもつセキュリティチップによって可能となる技術には、トラステッドブート(Trusted Boot)がある。このトラステッドブートとは、セキュリティチップがソフトウェアからの不正ができないハードウェアであることを利用し、機器のブート時にプラットフォーム構成要素の完全性を検証する技術である。このトラステッドブートの技術を利用した場合には、プラットフォームの改竄を発見することが可能となる。
【0004】
このトラステッドブートでは、ブートシーケンス中にロードされるコンポーネントを順次計測し、計測値をセキュリティチップ内のレジスタに記録していく。この動作は、CRTM(Core Root of Trust for Measurement)と呼ばれる書き換え不可能な領域(通常はBIOS Boot Blockがこれにあたる)を信頼の起点として開始される。
【0005】
このトラステッドブートでは、計測処理(取得処理)後、セキュリティチップ内のレジスタに記録された計測値を予め用意しておいた計測値として期待される値と比較する。
【0006】
このトラステッドブートでは、上述の処理によりBIOS,Boot Loader,OS,アプリケーション等の各種ソースコードや必要なライブラリの完全性を検証することが可能となる。
【0007】
従来、トラステッドブートの技術では、PCRに計測値を記録する際にランダム値を利用することで、攻撃者が、プラットフォームの攻撃を行うための情報を取得し難くしたものが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2005−301550号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来のトラステッドブートにおける完全性検証のための計測は、システムの起動時に実行されていた。
【0010】
しかし、起動時に多くのアプリケーションが呼び出される機器では、トラステッドブートによる完全性検証のたに多くの回数の計測を実行すると、システムの起動時間が遅延するという問題がある。
【0011】
本発明の目的は、システムの起動時間の遅延を引き起こすことなく、トラステッドブートによりプラットフォームの完全性検証を行えるようにしたプラットフォーム完全性検証システムを提供することを目的とする。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明にかかるプラットフォーム完全性検証システムは、互いに通信可能な情報処理装置と完全性検証コンピュータとを有するプラットフォーム完全性検証システムにおいて、前記情報処理装置は、前記情報処理装置がシャットダウンする際に、前記情報処理装置が実行する複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段とを有し、前記完全性検証コンピュータは、前記記憶装置に記憶されている前記一意な値を前記情報処理装置との通信により取得して、予め保持する所定の値とプログラムごとに比較する比較手段とを有することを特徴とする。
【0013】
また、本発明にかかる情報処理装置は、複数のプログラムを実行することが可能な情報処理装置であって、前記情報処理装置がシャットダウンする際に、前記複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段と、前記情報処理装置が起動する際に前記記憶手段に記憶された前記一意な値が正当な値であるか否かを判定する判定手段と、前記判定手段が正当な値でないと判定した場合、前記情報処理装置を起動しないように制御する制御手段と、を有することを特徴とする。
【発明の効果】
【0014】
本発明のプラットフォーム完全性検証システム、または情報処理装置では、装置をシャットダウンする際にプログラムの一意な値を取得する。これにより、起動時間の遅延を引き起こすことなくプラットフォームの完全性検証を行うことができるという効果がある。
【図面の簡単な説明】
【0015】
【図1】本発明の実施の形態に係わるプラットフォーム完全性検証システムの概略構成図である。
【図2】本発明の実施の形態に係わるプラットフォーム計測装置のシャットダウンに関する手順を示すフローチャートである。
【図3】本発明の実施の形態に係わる外部コンピュータによるプラットフォーム計測装置の完全性検証に関する手順を示すフローチャートである。
【図4】本発明の実施の形態に係わるプラットフォーム計測装置の計測結果のログの一例を示す説明図である。
【図5】本発明の実施の形態に係わるプラットフォーム計測装置による計測実行のスキップの手順を示すフローチャートである。
【発明を実施するための形態】
【0016】
以下、本発明のプラットフォーム完全性検証システムに係わる実施の形態について図面を参照しながら説明する。
【0017】
本実施の形態のシステム構成図である図1で、1はプラットフォーム計測装置、2はプラットフォーム計測装置1とネットワークで通信可能に接続されている完全性検証コンピュータ2である。
【0018】
このプラットフォーム計測装置1は、情報処理装置の一部として構成されている。情報処理装置としては、例えば複写機などの画像処理装置や、パーソナルコンピュータなどの装置でもよい。また、完全性検証コンピュータ2は、例えばパーソナルコンピュータ等で構成されている。なお、プラットフォーム計測装置1と完全性検証コンピュータ2とは、ネットワーク以外のインターフェース(たとえば、USBなど)で接続されていてもよい。
【0019】
これらのプラットフォーム計測装置1及び完全性検証コンピュータ2は、それぞれMFP(Multi Function Printer)、PC(Personal Computer)等を利用できる。なお、本発明のプラットフォーム完全性検証システムは、これらの装置に限定されるものではない。
【0020】
このプラットフォーム計測装置1は、ユーザインターフェース3、ハードディスク4、AMT対応チップセット5、装置全体を制御するCPU6、メインメモリ7、フラッシュメモリ8、NIC9等のハードウェアを備える。なお、NIC9は、Network Interface Cardである。
【0021】
このプラットフォーム計測装置1は、装置のシャットダウンシーケンスのたとえば最後のタイミングにおいて、各々のプラットフォーム構成要素に対して衝突を起こすことがない一意な値を計算して得られる各計測値を求める。さらに、このプラットフォーム計測装置1は、このようにして求めた各計測値を不揮発性計測値領域に記録する。プラットフォーム計測装置1は、計測対象を計測後、計測済リスト(取得済みリスト)に記録する機能と、現在の計測対象が既に計測済みであるかを計測済リスト(取得済みリスト)から判定する機能とを備える。
【0022】
このように動作する計測手段として構成されたプラットフォーム計測装置1は、完全性検証コンピュータ2とネットワークで接続される。この完全性検証コンピュータ2は、AMT管理アプリケーション20、完全性計測アプリケーション19及び完全性検証リスト18を備える。ここでAMT管理アプリケーション20と完全性計測アプリケーション19は、ソフトウェアで構成されている。完全性検証リスト18は、データで構成されている。
【0023】
なお、AMT(アクティブ・マネジメント・テクノロジー)は、Intel(登録商標)によって開発されたセキュリティ機能の名称であり、AMT対応のチップセットによって実現される。
【0024】
専用のAMT管理アプリケーションを利用した場合には、外部のコンピュータからネットワークを介して、AMT機能を搭載したコンピュータ上の不揮発性領域に記憶されている情報の取得が可能となる。この情報の取得動作は、AMT機能搭載コンピュータの電源状態に関わらず行うことが可能である。この専用のAMT管理アプリケーションは、不揮発性計測値領域に記憶されている計測値を、ネットワークを介して取得する不揮発性領域計測値取得手段を構成する。この不揮発性領域計測値取得手段は、完全性検証コンピュータ2が、安全性を確保されている通信経路によって不揮発性計測値記憶領域に記録された計測値を取得可能に構成されている。
【0025】
プラットフォーム計測装置1のハードディスク4には、OS10、各種アプリケーション11、計測アプリケーション12、計測対象リスト(取得対象リスト)13及び計測済リスト(取得済みリスト)14等が保存されている。
【0026】
ここで、OS10、各種アプリケーション11及び計測アプリケーション12は、ソフトウェアで構成されている。計測対象リスト(取得対象リスト)13及び計測済リスト(取得済みリスト)14は、データで構成されている。
【0027】
プラットフォーム計測装置1に設けられたフラッシュメモリ8には、AMT用不揮発性領域15及びBIOS16、Boot Loader17等が保存されている。ここで、AMT用不揮発性領域15は、ハードウェアで構成され、不揮発性計測値記憶領域として構成されている。BIOS16及びBoot Loader17は、ソフトウェアで構成されている。
【0028】
このプラットフォーム計測装置1に設けられたユーザインターフェース3は、タッチパネル等で構成され、ユーザからの機器の電源ON/OFFやその他、機器の提供するサービスの利用等の要求を受け付ける画面を表示する。
【0029】
また完全性検証コンピュータ2には、予め完全性検証リスト18が保存されている。この完全性検証リスト18は、プラットフォーム計測装置1内で計測対象となっているBIOS16,Boot Loader17,OS10,各種アプリケーション11などに対する正規の計測結果のリストである。
【0030】
この完全性検証コンピュータ2では、BIOS16、Boot Loader17、OS10、計測対象リスト13によって指定される各種アプリケーション11(これらを総称してプログラムと称する)の完全性が検証される。すなわち、これらプログラムの各々が改ざんされていないかが検証される。また、本実施形態においてで計測とは、計測対象に対して例えばSHA−1などの所定のハッシュ関数によってハッシュ値を求めることを意味するものとする。
【0031】
次に、このプラットフォーム完全性検証システムを利用したプラットフォーム計測装置1がシャットダウンされるときのシャットダウン処理の手順について、図2を参照して説明する。
【0032】
このシャットダウン処理は、ユーザによってユーザインターフェース3から、プラットフォーム計測装置1に対してシャットダウン要求が出されるまで待機する(ステップS1でNO)。
【0033】
そして、ユーザがシャットダウン要求の指示を入力すると(ステップS1でYES)、CPU6は、通常のシャットダウンシーケンスを開始する。
【0034】
このプラットフォーム計測装置1では、各種アプリケーション11に含まれる電源の管理アプリケーションが、シャットダウン実行直前までの通常のシャットダウンシーケンスを実行する(ステップS2)。
【0035】
ここで、通常のシャットダウンシーケンスとは、プラットフォーム計測装置1が自身の電源を切るために必要な一連の処理である。
【0036】
また、プラットフォーム計測装置1は、シャットダウン要求を、ローカルユーザインターフェースに限らず、リモートユーザインターフェースをユーザが利用して行えるように構成してもよい。ここで、ローカルユーザインターフェースとは、プラットフォーム計測装置1に組み込まれたユーザインターフェースを意味するものとする。また、リモートユーザインターフェースとは、外部PC等から、ネットワークを介してプラットフォーム計測装置1の操作が可能となるインターフェースであり専用のソフトウェア等によって提供されるものを意味するものとする。
【0037】
次に、計測アプリケーション12は、シャットダウンシーケンスの最後のタイミングにおいて、BIOS16の計測を実行し(ステップS3)、得られたハッシュ値をAMT用不揮発性領域15に記録する(ステップS4)。ここで、シャットダウンシーケンスの最後のタイミングとは、例えば、プラットフォーム計測装置1のシャットダウンのために必要な処理が完了し、電源を切ってもよい状態を意味する。
【0038】
次に、計測アプリケーション12は、Boot Loader17についての計測を実行し(ステップS5)、計測によって取得したハッシュ値をAMT用不揮発性領域15に記録する(ステップS6)。
【0039】
次に、計測アプリケーション12は、上述と同様にしてOS10に対しても計測を実行し(ステップS7)、取得したハッシュ値をAMT用不揮発性領域15に記録する(ステップS8)。
【0040】
次に、計測アプリケーション12は、ハードディスク4内に保存されている計測対象リスト13に記載されている各種アプリケーション11に対しても同様にして順次計測を実行する(ステップS9)。
【0041】
次に、計測アプリケーション12は、ステップS9で計測し、取得したハッシュ値を、順次AMT用不揮発性領域15に記録する(ステップS10)。このようにして計測アプリケーション12は、計測対象リスト13に記載されている全ての計測対象に対する計測、記録を終える。
【0042】
次に、計測アプリケーション12は、この計測及び記録処理の終了後に、完全性検証コンピュータ2に対して、プラットフォーム計測装置1がシャットダウンを実行することを通知する(ステップS11)。
【0043】
次に、計測アプリケーション12は、シャットダウンを実行し(ステップS12)、このシャットダウン処理を終了する。このようにプラットフォーム計測装置1では、シャットダウン処理の中で計測を行う。これにより、装置の起動時に計測を行う必要がなくなるのでプラットフォーム計測装置1の起動時間への影響を与えることなく計測を行うことが可能となる。
【0044】
完全性検証コンピュータ2は、シャットダウン通知手段としてのプラットフォーム計測装置1による通知を受信後、所定の時間に、あるいは所定の時間経過後に不揮発性計測値記憶領域へアクセスし、完全性検証処理を実行する。
【0045】
次に、プラットフォーム計測装置1とネットワークで繋がっている外部の完全性検証コンピュータ2によるプラットフォーム計測装置1の完全性検証処理について図3を参照して説明する。
【0046】
完全性検証コンピュータ2は、プラットフォーム計測装置1からシャットダウン通知を受信した後、所定の時間に、あるいは所定の時間経過後に完全性検証処理を開始する。そして、完全性検証コンピュータ2は、NIC9を通してシャットダウン済プラットフォーム計測装置1内のAMT用不揮発性領域15から、記録済のハッシュ値を取得する(ステップS13)。なお、この記録済のハッシュ値は、図2で説明したステップS4,ステップS6,ステップS8及びステップS10において記録されたものである。
【0047】
次に、完全性検証コンピュータ内で完全性計測アプリケーション19は、予め保存してある完全性検証リスト18と、取得したハッシュ値とを順次比較して完全性の検証を行う(ステップS14)。完全性検証リスト18は、プラットフォーム計測装置1のBIOS16、Boot Loader17、OS10、各種アプリケーション11のそれぞれについての正しいハッシュ値があらかじめ記憶されている。完全性検証リスト18に記憶されているハッシュ値と、図2のフローチャートで計測した各ハッシュ値との値が一致すれば、プログラムは改ざんされていないということになる。また、一致しない場合は、プログラムのコードが改ざんされている、あるいは破損しているということになる。 すなわち、完全性計測アプリケーション19は、各プラットフォーム構成要素の計測値と、完全性検証コンピュータ内に予め保持されている所定の計測値とを構成要素ごとに比較する計測値外部比較手段を構成する。
【0048】
完全性計測アプリケーション19は、比較結果が不一致のハッシュ値があった場合(ステップS15でYES)にハッシュ値が不一致の計測対象プログラムを不一致情報として、管理者に通知する(ステップS16)。このとき、完全性計測アプリケーション19は、予め完全性検証コンピュータに設定されたメール等の所定の方法で管理者に通知し、この完全性検証処理を終了する。
【0049】
なお、完全性計測アプリケーション19は、管理者のコンピュータ等へ通知する代わりにログとして完全性検証コンピュータ2内に保存してもよいし、管理者への通知とログとしての記録の両方を実行してもよい。このログは、図4に例示するものが考えられる。この図4で正解値とは、完全性検証リスト内に保存されている各計測対象に対して期待されるハッシュ値である。
【0050】
また、計測値外部比較手段としての完全性計測アプリケーション19は、完全性検証のための計測値の比較がなされた結果を管理者等の所定のコンピュータに通知する機能を備えるように構成しても良い。
【0051】
さらに、計測値外部比較手段としての完全性計測アプリケーション19は、報告先コンピュータが設定されていない場合に、システム起動時に報告先コンピュータの設定をユーザに対して促すように構成しても良い。
【0052】
完全性計測アプリケーション19は、検証の結果不一致のハッシュ値があった場合(ステップS15でYES)にハッシュ値が不一致の計測対象プログラムがあったことをAMT用不揮発性領域15に書き込むようにしてもよい。プラットフォーム計測装置1が次回に起動する際にまずAMT用不揮発性領域15を参照してハッシュ値が不一致の計測対象プログラムがあるということが書き込まれていることを検知した場合には、起動を中断するようにしてもよい。これにより、プログラムが改ざんされたままの装置を起動することを防止することができる。
【0053】
また、図3のフローチャートに相当する処理をプラットフォーム計測装置1が実行するようにしてもよい。この場合、プラットフォーム計測装置1が各プログラムについての正当なハッシュ値をあらかじめ記憶しておく。ハッシュ値は、改ざんされないように記憶しておくことが好ましい。たとえば、不図示のROMに記憶しておいてもよいし、AMT対応チップセット5内に保持しておいてもよい。プラットフォーム計測装置1の起動時に、AMT用不揮発性領域15に記憶されたハッシュ値と、あらかじめ記憶された正当なハッシュ値との比較を行い、それらが一致したならばプラットフォーム計測装置1の起動を許可する。一致しないハッシュ値がある場合には、プラットフォーム計測装置1を起動しないようにする。このようにすることで、完全性検証コンピュータ2を設けなくてもプログラムの完全性の検証を行うことが可能になる。
【0054】
計測アプリケーション12による計測は、前述した図2のステップ(S3,S5,S7,S9)において、計測対象の実行ファイルだけでなく、実行ファイルから利用されるライブラリも計測対象としてもよい。例えば、APL1.exe, APL2.exeという計測対象があり、common_lib.aというライブラリをこれら両方で利用していた場合には、common_lib.aが2回計測されることになる。
【0055】
また、計測順番は、例えばAPL1.exe, common_lib.a, APL2.exe, common_lib.aとなる。この場合には、ライブラリが計測対象であったとしても、一度計測されていれば計測の実行をスキップしてもよい。これにより、計測に関するパフォーマンスを向上できる。
【0056】
また、完全性計測アプリケーション19は、検証の結果、全ての計測対象のハッシュ値が一致した場合(ステップS15でNO)に、この完全性検証処理を終了する。
【0057】
次に、図2に示したステップS3,ステップS5、ステップS7及びステップS9に係わる計測処理(取得処理)の手順について図5のフローチャートを参照して説明する。
【0058】
この計測処理(取得処理)が開始されると、計測アプリケーション12は、計測対象ファイル(プログラム)の有無を確認する(ステップS51)。そして、計測アプリケーション12は、計測対象ファイルが有ると判定した場合(ステップS51でYES)に、その計測対象がライブラリであるかを確認する(ステップS52)。
【0059】
計測アプリケーション12は、計測対象がライブラリでないと判定した場合(ステップS52でNO)、つまり実行ファイルである場合に、実行ファイルを計測し、その結果をAMT用記憶領域15に記録する(ステップS53)。
【0060】
次に、計測アプリケーション12は、計測対象がライブラリであると判定した場合(ステップS52でYES)に、計測済リスト14から対象の計測対象ライブラリを検索する(ステップS54)。さらに、計測アプリケーション12は、計測済リスト内の記述の有無を確認する(ステップS55)。
【0061】
次に、計測アプリケーション12は、検索の結果、計測済リスト14内に現在の計測対象となるライブラリがないと判定した場合(ステップS55でNO)に、ステップS56へ進む。そして、計測アプリケーション12は、計測対象ライブラリを計測し、その結果をAMT用記憶領域15に記録する(ステップS56)。
【0062】
次に、計測アプリケーション12は、計測済リスト14に計測したライブラリを追加する(ステップS57)。
【0063】
また、計測アプリケーション12は、検索の結果、計測済リスト14内に現在の計測対象となるライブラリがあると判定した場合(ステップS55でYES)に、ステップS51へ戻る。
【0064】
ここで、前述したステップS53の処理を完了した場合及びステップS57の処理を完了した場合も、ステップS51へ戻る。
【0065】
次に、計測アプリケーション12は、次の計測対象ファイルの有無を確認し、計測対象ファイルが無いと判定した場合(ステップS51でNO)に、この計測処理を終了する。
【0066】
計測アプリケーション12は、この計測処理の手順に従って計測を実行することにより、プラットフォームの完全性検証に関するパフォーマンスを向上することができる。
【0067】
また、通常のTPMを利用したトラステッドブートにおいても、上述の手順に従うことにより、起動時間に関するパフォーマンスを向上できる。
【0068】
以上、本実施形態によれば、装置のシャットダウン時に装置内のプログラムの完全性を検証するための計測を行う。これにより、装置の起動時に計測を行わずに済むので装置の起動にかかる時間が長くなることを防止することができる。
【0069】
また、計測対象にライブラリが含まれている場合、同じライブラリを複数回計測しないようにすることで計測にかかる時間を短縮することが可能になる。
【0070】
また、本発明は、以下の処理を実行することによっても実現される。
【0071】
即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給する。そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。この場合、そのプログラム、及び該プログラムを記憶した記憶媒体は本発明を構成することになる。
【符号の説明】
【0072】
1 プラットフォーム計測装置
2 完全性検証コンピュータ
6 CPU
【特許請求の範囲】
【請求項1】
互いに通信可能な情報処理装置と完全性検証コンピュータとを有するプラットフォーム完全性検証システムにおいて、
前記情報処理装置は、
前記情報処理装置がシャットダウンする際に、前記情報処理装置が実行する複数のプログラムのそれぞれから一意な値を取得する取得手段と、
前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段とを有し、
前記完全性検証コンピュータは、
前記記憶装置に記憶されている前記一意な値を前記情報処理装置との通信により取得して、予め保持する所定の値とプログラムごとに比較する比較手段とを有する、
ことを特徴とするプラットフォーム完全性検証システム。
【請求項2】
前記比較手段は、前記完全性検証コンピュータが安全性が確保された通信経路によって前記記憶装置に記録された計測値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
【請求項3】
前記情報処理装置は、前記取得手段による取得の対象となるプログラムを予め、少なくとも1つは記録した取得対象リストを有し、
前記取得手段は前記取得対象リストに記録されたプログラムについて一意な値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
【請求項4】
前記情報処理装置は、前記取得手段による取得処理の終了後に、前記完全性検証コンピュータに前記情報処理装置がシャットダウンすることを通知することを特徴とする請求項1乃至請求項3のいずれか1項に記載のプラットフォーム完全性検証システム。
【請求項5】
前記完全性検証コンピュータは、前記比較手段による比較結果を所定のコンピュータに通知する通知手段を有することを特徴とする、請求項1乃至請求項4のいずれか1項に記載のプラットフォーム完全性検証システム。
【請求項6】
前記記憶装置は、前記情報処理装置がシャットダウンした状態においても前記完全性検証コンピュータからのアクセスにより情報を読み出すことが可能であり、
前記完全性検証コンピュータは、前記情報処理装置からのシャットダウンの通知を受信した後に、前記記憶装置へアクセスすることを特徴とする請求項4に記載のプラットフォーム完全性検証システム。
【請求項7】
前記比較手段による比較の結果、前記記憶装置から取得した値と前記完全性検証コンピュータがあらかじめ保持する値とが一致しなかった場合、前記完全性検証コンピュータは、一致しなかったことを示す不一致情報を前記記憶装置に書き込み、
前記情報処理装置は、前記記憶装置に前記不一致情報が記憶されていることを検知した場合、前記情報処理装置の起動を行わないようにすることを特徴とする、請求項6に記載のプラットフォーム完全性検証システム。
【請求項8】
前記取得手段は、一意な値を取得したプログラムを取得済みリストに記録し、前記取得済みリストを参照して一意な値を取得していないプログラムから一意な値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
【請求項9】
前記取得手段は、前記プログラムのハッシュ値を取得することを特徴とする、請求項1乃至7のいずれか1項に記載のプラットフォーム完全性検証システム。
【請求項10】
複数のプログラムを実行することが可能な情報処理装置であって、
前記情報処理装置がシャットダウンする際に、前記複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段と、
前記情報処理装置が起動する際に前記記憶手段に記憶された前記一意な値が正当な値であるか否かを判定する判定手段と、
前記判定手段が正当な値でないと判定した場合、前記情報処理装置を起動しないように制御する制御手段と、
を有することを特徴とする情報処理装置。
【請求項1】
互いに通信可能な情報処理装置と完全性検証コンピュータとを有するプラットフォーム完全性検証システムにおいて、
前記情報処理装置は、
前記情報処理装置がシャットダウンする際に、前記情報処理装置が実行する複数のプログラムのそれぞれから一意な値を取得する取得手段と、
前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段とを有し、
前記完全性検証コンピュータは、
前記記憶装置に記憶されている前記一意な値を前記情報処理装置との通信により取得して、予め保持する所定の値とプログラムごとに比較する比較手段とを有する、
ことを特徴とするプラットフォーム完全性検証システム。
【請求項2】
前記比較手段は、前記完全性検証コンピュータが安全性が確保された通信経路によって前記記憶装置に記録された計測値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
【請求項3】
前記情報処理装置は、前記取得手段による取得の対象となるプログラムを予め、少なくとも1つは記録した取得対象リストを有し、
前記取得手段は前記取得対象リストに記録されたプログラムについて一意な値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
【請求項4】
前記情報処理装置は、前記取得手段による取得処理の終了後に、前記完全性検証コンピュータに前記情報処理装置がシャットダウンすることを通知することを特徴とする請求項1乃至請求項3のいずれか1項に記載のプラットフォーム完全性検証システム。
【請求項5】
前記完全性検証コンピュータは、前記比較手段による比較結果を所定のコンピュータに通知する通知手段を有することを特徴とする、請求項1乃至請求項4のいずれか1項に記載のプラットフォーム完全性検証システム。
【請求項6】
前記記憶装置は、前記情報処理装置がシャットダウンした状態においても前記完全性検証コンピュータからのアクセスにより情報を読み出すことが可能であり、
前記完全性検証コンピュータは、前記情報処理装置からのシャットダウンの通知を受信した後に、前記記憶装置へアクセスすることを特徴とする請求項4に記載のプラットフォーム完全性検証システム。
【請求項7】
前記比較手段による比較の結果、前記記憶装置から取得した値と前記完全性検証コンピュータがあらかじめ保持する値とが一致しなかった場合、前記完全性検証コンピュータは、一致しなかったことを示す不一致情報を前記記憶装置に書き込み、
前記情報処理装置は、前記記憶装置に前記不一致情報が記憶されていることを検知した場合、前記情報処理装置の起動を行わないようにすることを特徴とする、請求項6に記載のプラットフォーム完全性検証システム。
【請求項8】
前記取得手段は、一意な値を取得したプログラムを取得済みリストに記録し、前記取得済みリストを参照して一意な値を取得していないプログラムから一意な値を取得することを特徴とする請求項1に記載のプラットフォーム完全性検証システム。
【請求項9】
前記取得手段は、前記プログラムのハッシュ値を取得することを特徴とする、請求項1乃至7のいずれか1項に記載のプラットフォーム完全性検証システム。
【請求項10】
複数のプログラムを実行することが可能な情報処理装置であって、
前記情報処理装置がシャットダウンする際に、前記複数のプログラムのそれぞれから一意な値を取得する取得手段と、前記取得手段が取得した前記一意な値を記憶装置に記憶する記憶手段と、
前記情報処理装置が起動する際に前記記憶手段に記憶された前記一意な値が正当な値であるか否かを判定する判定手段と、
前記判定手段が正当な値でないと判定した場合、前記情報処理装置を起動しないように制御する制御手段と、
を有することを特徴とする情報処理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−32925(P2012−32925A)
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願番号】特願2010−170473(P2010−170473)
【出願日】平成22年7月29日(2010.7.29)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願日】平成22年7月29日(2010.7.29)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]