情報処理端末装置及びアプリケーションプログラムの起動認証方法
【課題】信頼性の高い認証を行うと共に、コードを登録していた管理装置の管理コストを低減すること。
【解決手段】TPM13は、暗号鍵や証明書を保護するためのセキュリティチップである。情報処理端末装置1の機種を示す機種コード111は、予め前記マザーボード上のBIOSに、格納アドレスをシャッフルして登録されている。ユーザ個別コードのハッシュ値と前記機種コードのハッシュ値とから成る一時的な装置個別コードを、さらにTPM13を用いて暗号化し、装置個別コード121としてBIOSに格納している。認証時は、装置個別コード121と、管理装置2に登録されている情報処理端末装置1の各々に対応したユーザ個別コードと機種コード111とから生成される装置個別コードとを、情報処理端末装置1において比較照合する。
【解決手段】TPM13は、暗号鍵や証明書を保護するためのセキュリティチップである。情報処理端末装置1の機種を示す機種コード111は、予め前記マザーボード上のBIOSに、格納アドレスをシャッフルして登録されている。ユーザ個別コードのハッシュ値と前記機種コードのハッシュ値とから成る一時的な装置個別コードを、さらにTPM13を用いて暗号化し、装置個別コード121としてBIOSに格納している。認証時は、装置個別コード121と、管理装置2に登録されている情報処理端末装置1の各々に対応したユーザ個別コードと機種コード111とから生成される装置個別コードとを、情報処理端末装置1において比較照合する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アプリケーションプログラムの起動認証を行う情報処理端末装置及びその起動認証方法に関する。
【背景技術】
【0002】
従来、コンピュータシステムの管理システム(オペレーティングシステム等)は、システム上に不正な端末装置が接続されて不正な個々のユーザのアプリケーションプログラム(即ち、不正な個別APL)が起動されることがないように、システムへの接続を要求して来る情報処理端末装置に対しては、ユーザID(識別子)とパスワードとの応答を要求し、これらの情報をチェックすることで不正に接続された端末装置による不正なAPLの起動を防止している(通常の認証手段)。即ち、個別APLは、ユーザ、及びシステム毎に確定されている専用のアプリケーションプログラムであるので、ユーザIDとパスワードとの認証が得られない第三者によって不正に使用されることは、常に防ぐ必要がある。
【0003】
そこで、従来、基本的には、マザーボードに搭載されたTrusted Platform Module(セキュリティチップ、以下、「TPM」と略称する)が、HDD(ハードディスク装置)内の特定のデータの暗号化を行うと共に、システム上の全ての機器の動作を監視している。
【0004】
例えば、正当性を判定すべきプログラムから作成したハッシュコードと、当該プログラムの正当性判断データを複合化して得られるハッシュコードとを照合する手段と、このプログラムが実行される情報処理装置の機体に固有の機体固有データと、当該プログラムの正当性判断データを複合化して得られる機体固有データとを照合する手段と、を備えた情報処理装置が開示されている(例えば、特許文献1参照。)。
【0005】
また、ユーザクライアントにTPMを備え、管理クライアントには、通信ネットワークを介して、同じくユーザクライアントが備えるリモートTPM有効化モジュールにアクセスすることにより、当該クライアントの後続するブート時に、当該TPMを有効にするクライアントTPM有効化モジュールを備えるリモートセキュリティ有効化システムが開示されている(例えば、特許文献2参照。)。
【0006】
また、提示された値を、記憶されている値と比較して正当であるか否かを検証すると共に提示された値が正当である場合に限り、データを解読して読み出すことができるハードウェアセキュリティモジュールを備え、前記検証とデータ読み出しとを、それぞれ実行する命令と、当該解読されたデータ無しでは通常のブート処理を完了できない前記ブート処理の少なくとも一部のための命令と、を備えたコンピュータ可読メディアが開示されている(例えば、特許文献3参照。)。
【0007】
さらに、クライアント側主体でのアクセス制御を可能にすると共に、多様な信頼性レベルに対応したアクセス制御を行えるようにしたアクセス制御システムが開示されている(例えば、特許文献4参照。)。
【特許文献1】特開2005−301968号公報
【特許文献2】特開2006−79617号公報
【特許文献3】特開2006−323814号公報
【特許文献4】特開2006−107182号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、上記背景技術で述べた従来のプログラムの起動認証システム(資源管理システムを含む)にあっては、情報処理端末装置を管理装置に接続する際に管理装置から情報処理端末装置に対してユーザIDとパスワードとを要求する方法の場合、情報処理端末装置側が、当該ユーザIDとパスワードとを知ってさえいれば、どのような機種及びユーザであっても、当該管理装置に接続して、個別APLを起動することが可能となるといった問題点があった。
【0009】
この問題点を解決するために、従来は、情報処理端末装置に固有のコードを暗号化してHDDに格納しておき、管理装置から、入手した情報処理端末装置のコードと比較・認証することによって個別APLの起動を監視する方法が知られていたが、この方法の場合、前記HDDを不正に持ち出されたり、コピーされてしまった場合には、前記の情報処理端末装置に固有のコードを復号化する暗号鍵も知られてしまうことになるため、不正アクセスによる個別APLの起動を抑止する方法としては十分ではなかった。
【0010】
また、他の解決方法として、従来は、MACアドレスや、端末のシリアルNo等のハード固有のIDを認証することにより、不正接続を防止する方法も知られている。しかし、この方法では、接続する端末全てのMACアドレスやシリアルNoを事前にリスト化して管理装置に保管しておく必要があるので、これに必要な記憶装置の容量の関係から、管理装置の管理コストが膨大となり、しかも、情報処理端末装置の故障や増設等のために、前記リストの更新が頻繁になる場合は、管理装置の管理コストが更に高くなるという問題点があった。
【0011】
本発明は、上記従来の問題点に鑑みてなされたものであって、より信頼性の高い認証を行うことができる情報処理端末装置を提供することを目的としている。
【課題を解決するための手段】
【0012】
本発明の情報処理端末装置は、管理装置と複数の情報処理端末装置との間で認証を行うシステムに用いられ、アプリケーションプログラムの起動認証を行う情報処理端末装置であって、マザーボード上に搭載された暗号化及び復号化を行う暗号化・復号化手段と、第1のコードと複数の情報処理端末装置に対して共通に設定される第2のコードとに基づいて生成される第3のコードを、前記暗号化・復号化手段により暗号化した第3のコードと、前記第1のコードを記憶する、マザーボード上に搭載された記憶手段と、前記管理装置との第1段階の認証が完了したとき、前記管理装置から送信されてくる前記第2のコードを受信する受信手段と、前記記憶手段に記憶されている前記第1のコードと、前記管理装置から受信する前記第2のコードに基づいて第4のコードを生成する演算手段と、前記記憶手段に記憶されている暗号化された前記第3のコードを前記暗号化・復号化手段により復号し、復号した前記第3のコードと、前記演算手段により生成される前記第4のコードを照合して両者が一致するか否かを判定する判定手段と、前記判定手段により、復号した前記第3のコードと前記第4のコードが一致すると判定されたとき、前記アプリケーションプログラムの起動を許可する起動許可手段とを備える。
【0013】
この情報処理端末装置によれば、より信頼性の高い認証を行うことができる。
上記の情報処理端末装置において、前記第1のコードは、個々の前記情報処理端末装置に対して固有に、または複数の前記情報処理端末装置に対して共通に設定される機種コードであり、前記第2のコードは、前記複数の情報処理端末装置を使用するユーザ毎に与えられるユーザ個別コードであり、前記第3のコードは、前記機種コードと前記ユーザ個別コードとに基づいて生成される装置個別コードであり、前記第4のコードは、前記機種コードと前記管理装置から受信する前記ユーザ個別コードとに基づいて生成される装置個別コードであり、前記記憶手段は、前記機種コードと暗号化された前記装置個別コードを記憶するBIOSメモリであり、前記演算手段は、前記BIOSメモリに記憶されている前記機種コードと、前記管理装置から受信する前記ユーザ個別コードとに対して所定の演算を施して前記装置個別コードを生成し、前記暗号化・復号化手段は、前記BIOSメモリに、暗号化されて記憶されている前記装置個別コードを復号化し、前記判定手段は、復号された前記装置個別コードと、前記機種コードと前記管理装置から受信した前記ユーザ個別コードに基づいて生成される前記装置個別コードが一致するか否かを判定する。
【0014】
この情報処理端末装置によれば、BIOSメモリに機種コードと暗号化した装置個別コードを記憶しておき、管理装置から受信するユーザ個別コードから得られる装置個別コードと、復号した装置個別コードを照合することで、不正な第三者によるアプリケーションプログラムの起動を防止することができる。
【0015】
例えば、仮にユーザ個別コードを第三者が不正に知り得たとしても、BIOSメモリに記憶されている機種コードを知ることは難しいので、装置個別コードを生成することができず、アプリケーションプログラムが不正に使用されるのを防止できる。
【0016】
上記の情報処理端末装置において、前記暗号化・復号化手段は、前記マザーボードに実装された暗号化及び復号化の機能を有するセキュリティチップである。
上記の情報処理端末装置によれば、暗号化したセキュリティチップと同一のセキュリティチップでなければ正しいコードを復号できないので、認証の信頼性を高めることができる。
【発明の効果】
【0017】
本発明によれば、アプリケーションプログラムの起動認証の信頼性を高めることができる。
【発明を実施するための最良の形態】
【0018】
本発明に係るプログラムの起動認証システムは、情報処理端末装置が外部から不正にネットワークに接続されて個別アプリケーションが起動されてしまうことを防ぐために、BIOSに装置固有情報を予め埋め込んでおき、セキュリティチップで暗号化して当該BIOSに格納しておく手段を有する。
【0019】
APL(個別アプリケーションプログラム)の起動時には、情報処理端末装置の装置固有情報と、BIOSに格納しておいた前記の装置固有情報とを比較し、一致がとれた場合にのみ当該個別APLを実行させることとし、これにより、特定機種の、特定のユーザのみに個別アプリケーションを起動させる管理手段を実現している。
【0020】
以下、本発明のプログラムの起動認証システムの最良の実施形態について、図面を参照して詳細に説明する。
図1は、本発明の実施形態に係るプログラムの起動認証システムの全体構成を示す構成図である。
【0021】
同図において、本実施形態のプログラムの起動認証システムは、情報処理端末装置1と、OS(オペレーティングシステム)及びAPL(アプリケーションプログラム)を含む管理装置2と、インターネット網を含むネットワーク3と、情報処理端末装置1とネットワーク3を接続するLAN(ローカルエリアネットワーク)4及びゲートウェイ装置6と、管理装置2とネットワーク3を接続するLAN5及びゲートウェイ装置7と、を備えて構成される。
【0022】
情報処理端末装置1は、M/B(マザーボード)上に、BIOS−ROM11と、BIOS−RAM12と、CPUが制御するTPM13と、RAM14と、主制御装置として
動作するCPU15(主コンピュータ装置)と、ネットワークアダプタ16と、を備え、さらに、HDD上にインストールされたOS17(オペレーティングシステム)と、LCD(液晶等の表示装置)18と、キーボード19(入力装置)と、を備える。ここで、BIOS−ROM11は機種コード111を格納するための記憶装置であり、BIOS−RAM12は暗号化された装置個別コード121を格納するための記憶装置である。
【0023】
OS17は、処理プログラムの個別APL171(Applet動作) と、制御用プログラムの設定ツール172とをインストールしており、設定ツール172は、コード抽出ツール1721と、HASH(ハッシュコード)作成ツール1722と、消去プログラム1723と、を含んでいる。
【0024】
一方、管理装置2は、オペレーティングシステムのOS21を備える。ここで、OS21は制御対象として処理プログラムのAPL22(アプリケーションプログラム本体:SV)を含んでいる。
【0025】
以下、本実施形態のプログラムの起動認証システムが有する各構成要素について説明する。
設定ツール172のコード抽出ツール1721は、BIOSより、機種コード(第1のコード)及び暗号化された装置個別コード(第3のコード)を抽出(または格納)するためのツールである。
【0026】
設定ツール172のHASH作成ツール1722は、SHA-1等のHASH関数を用いてHASH値(ハッシュコード)を生成するためのツールである。
設定ツール172の消去プログラム1723は、RAM14及び前記HDDの任意のアドレス空間にランダムデータを一度書き込んだ後に消去するためのプログラムである。
【0027】
情報処理端末装置1と管理装置2とは、ネットワーク3、ゲートウェイ装置6,7、及びLAN4,5等の回線を通じて接続されている。
上記の各構成要素の数は任意であり、特に、管理装置2は合計で最低1台有ればよい。個別APL171は必ずしもアプレット動作(Applet動作) である必要はなく、例えば、そのプログラム本体を情報処理端末装置1に保持しておき、起動時のみ管理装置2との認証をとって動作する形態のアプリケーションであってもよい。
【0028】
TPM13は、内部に暗号鍵を保有しており、ハード的に外部に取り出すことが不可能である(よしんば取り出されたとしても利用されることが防げる)。
このTPM13が保有する暗号鍵は各々の情報処理端末装置1に固有のものであり、そのため、他の情報処理端末装置1にTPM13を不正に搭載して使用しても正常に作動することはない。即ち、不正にTPM13を搭載した情報処理端末装置1は使用できなくなる。
【0029】
情報処理端末装置1のハードウェアに固有のコードを、全ての情報処理端末装置分について管理装置2側で管理することは、管理コストの増大を招くため、管理装置2が情報処理端末装置のハードウェアに固有のコードを意識することなく認識できるようにすることがこのましい。このため、情報処理端末装置1に対して機種とユーザ毎に一意に定まるコード(具体的には「装置個別コード」)を設定し、これを情報処理端末装置1側で認証させている。
【0030】
また、「装置個別コード」を、機種とユーザ毎に一意に決めるために、「機種コード(第1のコード)」と「ユーザ個別コード(第2のコード)」とを用意している。「機種コード」は工場出荷時にBIOSに書込み済のコードであり、「ユーザ個別コード」はOS上にて設定するコードである。
【0031】
「機種コード」は、例えば、Aシリーズの端末は「AAAA」のように設定する。勿論、装置毎に全て異なったコードを設定してもかまわない(例えば、「AAAA01」、「AAAA02」・・・など)。
【0032】
これに対し、「ユーザ個別コード」は、ユーザ毎に設定するコードである(例えば、B銀行向けの情報処理端末装置には全て「BBBBB」のように設定する)。
また、「機種コード」の漏洩を防止するために、「機種コード」はBIOS設定画面にて閲覧・変更が不可能としている。また、BIOS内で「機種コード」を示すアドレスは任意にシャッフルされており、たとえBIOS情報がダンプされたとしても「機種コード」を探り当てることを防止している。
【0033】
さらに、「ユーザ個別コード」の漏洩を防止するために、情報処理端末装置からは「ユーザ個別コード」の情報を消去して残しておかないことが好ましい。
このため、暗号化された装置個別コードを生成した後は、「ユーザ個別コード」を書き込んだメモリ及びHDDの内容を消去プログラムを用いて消去している。この消去プログラムは、予めHDD内に格納しておき、対応するメモリ空間にランダムなデータを一度書き込んだ後に消去する構成となっている。
【0034】
なお、「装置個別コード」は、「機種コード」のハッシュ値(以下、「HASH値」と書くこともある)と「ユーザ個別コード」のハッシュ値から形成している。これにより、「装置個別コード」は一意に決まる。また、ハッシュ値を算出するHASH関数は完全一方向関数であるため、「装置個別コード」から元の「機種コード」と「ユーザ個別コード」を割り出すことは不可能である。
【0035】
さらに、「装置個別コード」は、セキュリティチップのTPM(Trusted Platform Module)を用いて暗号化し、BIOS内に保管しておく。また、暗号化後は「装置個別コード」は「ユーザ個別コード」と同様に消去プログラムにより消去する。これにより、よしんばHDDのみが盗まれたとしても、元の「装置個別コード」を解読・使用することは不可能であり、また、BIOSがメモリダンプされても暗号化済のデータであるため解読が非常に困難となる。
【0036】
また、管理装置2側には「ユーザ個別コード」をリスト化して記憶している。情報処理端末装置1は、「ユーザ個別コード」を、管理装置より取得した後、BIOSより取り出した「機種コード」とのHASH値を計算することによって「装置個別コード(第4のコード)」を生成する構成としている。
【0037】
よって、BIOSに保管しておいた暗号化済の「装置個別コード」を復号化し、前記再生成した「装置個別コード」と比較することができる。両者が一致した場合にのみ、個別APLのプログラムを起動させている。
【0038】
以下、本実施形態に係るプログラムの起動認証システムの接続時の処理動作を説明するが、その前に、比較のために、従来のプログラムの起動認証システムの接続時の処理動作を説明する。
【0039】
(従来方法による接続処理)
まず、前提条件として、
(1) 動作を照らし合わせるために、システム構成については、本実施形態に係るプログラムの起動認証システムの構成(図1)と同じとする。
(2) 情報処理端末装置1には、個別乃至はグループ毎に、端末IDとパスワードとが事前に設定されているものとする。
(3) 管理装置2には、端末IDとパスワードとがリスト化されて、HDD内にリストファイルとして保持されているものとする。
【0040】
図2は、従来方法での管理装置2への接続の流れを示すフローチャート図である。以下、図1を参照しながら、図2に示すフローチャート図を使用して、従来方法での管理装置2への接続の流れを説明する。
前記の前提条件が成立するものとして、従来方法での管理装置2への接続処理の流れは、以下に示すとおりとなる。
【0041】
ステップS1では、情報処理端末装置1は、個別APL171を使用するため、管理装置2への端末接続を要求する。
ステップS2では、管理装置2は、情報処理端末装置1からの前記要求に対して、情報処理端末装置1の正当性を認証するために、端末IDと、パスワードとを当該端末装置へ要求する。
【0042】
ステップS3では、情報処理端末装置1では、キーボード19を使用して、端末IDとパスワードとを入力し、管理装置2へと送信する。
ステップS4では、管理装置2は、予めリスト化してHDD内に保持している前記の正規端末の端末IDとパスワードとを、前記受信した端末ID及びパスワードと照合する。
【0043】
ステップS5では、管理装置2は、前記両者の一致がとれた場合、接続許可の電文を当該端末装置へと送信する。さもなくて、前記両者の一致がとれない場合は、エラー電文を当該端末装置へと送信する。
ステップS6では、接続許可の電文を受信した当該端末装置は、管理装置2との接続を確立し、個別APL171のプログラムを起動させる。
【0044】
次に、本実施形態に係るプログラムの起動認証システムの接続処理を含む動作を説明する。最初に、情報処理端末装置1の初期設定時の動作を説明する。
(初期設定時の動作)
図3は、本実施形態に係る情報処理端末装置1の初期設定時における動作の流れを示すフローチャート図である。また、図4は、情報処理端末装置1の初期設定時における情報の流れを示す説明図である。
以下、図4を参照しながら、図3に示すフローチャート図を使用して、情報処理端末装置1の初期設定時における動作を説明する。
【0045】
図4に示すように、情報処理端末装置1の初期設定時(例えば、工場出荷時や、設置場所において現地保守員がシステムを現場調整する時など)には、情報処理端末装置1のBIOSに格納されている機種コード111と、別途に入力されるユーザ個別コードとから、情報処理端末装置1のHDD内に装置個別コードを生成し、暗号化してBIOSに格納する。これにより、情報処理端末装置1は、自己が正当である状態を認識できる機能を獲得する。以下、初期設定時以降の接続の流れを説明する。
【0046】
まず、前提条件として、
(1) 情報処理端末装置1には、工場出荷時等に、情報処理端末装置1の機種を示す機種コードが機種コード111としてBIOSメモリ(BIOS−ROM)に書き込まれているものとする。
(2) BIOS内で機種コード111および装置個別コード(暗号化)121を示すア
ドレスは任意にシャッフルされているものとする。
前記の前提条件が成立するものとして、情報処理端末装置1の初期設定時における処理の流れは、以下のとおりとなる。
【0047】
まず、ステップS11では、情報処理端末装置1は、設定ツール172を起動し、キーボード19より、別途にユーザ個別コードを入力する。入力したユーザ個別コードはRAM14またはHDDの特定のメモリ空間内に一時的に保持する。
【0048】
ステップS12では、情報処理端末装置1は、設定ツール172のコード抽出ツール1721を実行し、BIOSより、機種コード111及び前記ユーザ個別コードを抽出し、RAM14またはHDDのメモリ空間内に一時的に保持する。
【0049】
ステップS13では、情報処理端末装置1は、設定ツール172のHASH作成ツール1722を実行し、BIOSより抽出した機種コード(機種コード111の前身)及び前記ユーザ個別コードのHASH値を算出し、装置個別コード(暗号化)121の前身としてRAM14またはHDDのメモリ空間内に一時的に保持する。
【0050】
ステップS14では、情報処理端末装置1の設定ツール172が、TPM13を用いて、前記の装置個別コード(暗号化)121の前身を暗号化し、コード抽出ツール1721を介してBIOS内の特定のアドレスへ、装置個別コード(暗号化)121として格納する。
【0051】
ステップS15では、情報処理端末装置1は、設定ツール172の消去プログラム1723を実行することで漏洩防止処理を実行する。より具体的には、機種コード111の前身、ユーザ個別コード、及び装置個別コード(暗号化前)を一時的に保持された保持しているメモリ空間(RAM14またはHDD)に、ランダムデータを書き込んだ後に消去する。
【0052】
なお、管理装置2については、前記端末ID、前記パスワード、及び情報処理端末装置1の各々に対応したユーザ個別コードをリスト化して、HDD内にリストファイルとして登録する。
【0053】
次に、本実施形態に係るプログラムの起動認証システムの運用時の処理を説明する。
(運用時の処理)
図5は、本実施形態に係る認証システムによる運用時の処理動作の流れを示すフローチャート図である。また、図6は、本実施形態に係る認証システムによる運用時の情報の流れを示す説明図である。
以下、図6を参照しながら、図4に示すフローチャート図を使用して、本実施形態に係る認証システムによる運用時の処理動作の流れを説明する。
【0054】
まず、前提条件として、
(1) 情報処理端末装置1には、個別乃至はグループ毎に、正規の情報処理端末装置1を示す端末IDと、正規のユーザを示すパスワードとが事前に設定されているものとする。
(2) 管理装置2には、前記端末ID、前記パスワード、及び情報処理端末装置1の各々に対応したユーザ個別コードがリスト化されて、HDD内にリストファイルとして保持されているものとする。
(3) 情報処理端末装置1には、工場出荷時等に、機種コード(機種コード111)と、前記ユーザ個別コードとが、BIOSメモリ(BIOS−ROM)に書き込まれているものとする(前記初期設定時の処理)。
(4) 情報処理端末装置1には、予め、BIOSより、機種コードと前記ユーザ個別コードとが抽出されて、装置個別コードとして両者のHASH値が算出されており、さらにTPM13により暗号化されたものが、HDD内に保存されているものとする(前記初期設定時の処理)。
前記の前提条件が成立するものとして、情報処理端末装置1と管理装置2における運用時の処理動作は、以下のとおりとなる。
【0055】
まず、ステップS21では、情報処理端末装置1は、個別APL171を使用するため、管理装置2に対して、端末接続を要求する。
ステップS22では、管理装置2は、情報処理端末装置1からの前記要求に対して、当該端末装置の正当性を認証するために、端末IDとパスワードとを情報処理端末装置1へ要求する。
【0056】
ステップS23では、情報処理端末装置1は、キーボード19を使用して自己の端末IDとパスワードとを入力し、管理装置2へと送信する。
ステップS24では、管理装置2は、予めリスト化して保持している正規端末装置の端末ID及びパスワードを、この情報処理端末装置1から受信した端末ID及びパスワードと照合し、両者の一致がとれるか否かを検証する。
【0057】
ステップS25では、管理装置2は、前記照合において前記両者の一致がとれた場合は接続を許可する電文と、この情報処理端末装置1に対応するユーザ個別コードとを、この情報処理端末装置1に送信すると共に、情報処理端末装置1に制御を渡し、情報処理端末装置1においてステップS26以下の処理を実行させる。また、もし両者の一致がとれない場合はエラー電文を情報処理端末装置1に送信する。これにより、情報処理端末装置1では、このエラー電文を前記表示装置に表示することになる。
【0058】
ステップS26では、情報処理端末装置1は、受信したユーザ個別コードをRAM14またはHDDのメモリ空間内に一時的に保持する。
ステップS27では、情報処理端末装置1は、設定ツール172のコード抽出ツール1721を実行し、BIOSより、機種コード111を抽出し、RAM14またはHDDのメモリ空間内に一時的に保持する。
【0059】
ステップS28では、情報処理端末装置1は、受信したユーザ個別コードと抽出した機種コードのHASH値を各々算出し、RAM14またはHDDのメモリ空間内に一時的に保持する。
【0060】
ステップS29では、情報処理端末装置1は、予めBIOS内に保存していた装置個別コード(暗号化)121(即ち、TPM13によって暗号化済の装置個別コード)を、コード抽出ツール1721を起動して取り出し、TPM13を用いて復号化する。
【0061】
ステップS30では、情報処理端末装置1は、前記復号化した装置個別コードと、受信したユーザ個別コードより作成した装置個別コードとを比較照合し、両者の一致がとれない場合は、エラー情報を前記表示装置に表示し、さらに、消去プログラム1723を実行して、RAM14またはHDDのメモリ空間を他のジョブに開放する。さもなくて、前記両者の一致がとれた場合はステップS31に進む。
【0062】
ステップS31では、情報処理端末装置1は、管理装置2との接続を確立すると共に、RAM14またはHDDのメモリ空間を他のジョブに開放した後に、個別APL171のプログラムを起動させる。
【0063】
本発明によれば、第三者が不正な情報処理端末装置をネットワークに接続して、管理装置への不正な接続を試みようとしても、この不正な情報処理端末装置は「装置個別コード」を保有していないため、個別APLを起動することが不可能となり、高い信頼性の認証が可能となる効果がある。
【0064】
また、よしんばHDDのみが外部に持ち出されて、他の不正な情報処理端末装置に接続され、管理装置への不正な接続が試みられたとしても、「暗号化された装置個別コード」が無いため、やはり個別APLを起動することが不可能となり、高い信頼性の認証が可能となる効果がある。また、よしんばBIOS(Basic Input/Output System)の中身が吸い出されて他のマザーボードにコピーされたとしても、TPMが無い(若しくは異なっている)ため、「暗号化された装置個別コード」を復号化して使用することが不可能となり、よって、高い信頼性の認証が可能となる効果がある。
【0065】
また、「暗号化された装置個別コード」情報が、よしんば不正ユーザの手に渡ったとしても、この「暗号化された装置個別コード」は、対応する装置のTPM以外では復号化できないため、「装置個別コード」の漏洩を抑止することができる効果がある。
【0066】
また、「暗号化された装置個別コード」情報が、よしんば対応する装置のTPMで復号化されたとしても、この「装置個別コード」から「機種コード」や「ユーザ個別コード」までを探り出すことは、HASH値の有する機能特性から不可能であり、高い信頼性の認証が可能となると共に、他の装置やユーザに影響を及ぼすことを防止することができる。
【0067】
また、よしんばBIOS情報を格納しているCMOSメモリがダンプされ、中身が不正に閲覧されたとしても、「機種コード」はメモリアドレス自体がシャッフルされて格納されているため、ダンプデータから「機種コード」を割り当てることを困難にするという効果がある。
【0068】
また、よしんば「ユーザ個別コード」が不正に知られたとしても、機種が異なる情報処理端末装置にあっては「機種コード」が異なるため、個別APLの起動を不可能にする効果がある。
【0069】
さらに、上記の各効果により、特定機種の、特定ユーザのみが起動できる個別APLを実現することができる効果があり、このような個別APLによって、不正な第三者が管理装置へと接続することを未然に防ぐことが可能となる効果がある。
【0070】
なお、本発明に係るプログラムの起動認証システムの各構成要素の処理の少なくとも一部をコンピュータ制御により実行するものとし、かつ、上記処理を、図3,5のフローチャートで示した手順によりコンピュータに実行せしめるプログラムは、半導体メモリを始め、CD−ROMや磁気テープなどのコンピュータ読み取り可能な記録媒体に格納して配付してもよい。そして、少なくともマイクロコンピュータ,パーソナルコンピュータ,汎用コンピュータを範疇に含むコンピュータが、上記の記録媒体から上記プログラムを読み出して、実行するものとしてもよい。
【図面の簡単な説明】
【0071】
【図1】本発明の実施形態に係るプログラムの起動認証システムの全体構成を示す構成図である。
【図2】従来方法での管理装置2への接続の流れを示すフローチャート図である。
【図3】本実施形態に係る管理装置2への初期設定時における接続動作の流れを示すフローチャート図である。
【図4】情報処理端末装置1の初期設定時における情報の流れを示す説明図である。
【図5】本実施形態に係る認証システムによる運用時の動作の流れを示すフローチャート図である。
【図6】本実施形態に係る認証システムによる運用時の情報の流れを示す説明図である。
【符号の説明】
【0072】
1 情報処理端末装置
2 管理装置
3 ネットワーク
4,5 LAN
6,7 ゲートウェイ装置
11 BIOS−ROM
12 BIOS−RAM
13 TPM
14 RAM
15 CPU
16 ネットワークアダプタ
17 OS(端末装置側)
18 LCD
19 キーボード
21 OS(管理装置側)
22 APL(sv)
171 個別APL(Applet)
【技術分野】
【0001】
本発明は、アプリケーションプログラムの起動認証を行う情報処理端末装置及びその起動認証方法に関する。
【背景技術】
【0002】
従来、コンピュータシステムの管理システム(オペレーティングシステム等)は、システム上に不正な端末装置が接続されて不正な個々のユーザのアプリケーションプログラム(即ち、不正な個別APL)が起動されることがないように、システムへの接続を要求して来る情報処理端末装置に対しては、ユーザID(識別子)とパスワードとの応答を要求し、これらの情報をチェックすることで不正に接続された端末装置による不正なAPLの起動を防止している(通常の認証手段)。即ち、個別APLは、ユーザ、及びシステム毎に確定されている専用のアプリケーションプログラムであるので、ユーザIDとパスワードとの認証が得られない第三者によって不正に使用されることは、常に防ぐ必要がある。
【0003】
そこで、従来、基本的には、マザーボードに搭載されたTrusted Platform Module(セキュリティチップ、以下、「TPM」と略称する)が、HDD(ハードディスク装置)内の特定のデータの暗号化を行うと共に、システム上の全ての機器の動作を監視している。
【0004】
例えば、正当性を判定すべきプログラムから作成したハッシュコードと、当該プログラムの正当性判断データを複合化して得られるハッシュコードとを照合する手段と、このプログラムが実行される情報処理装置の機体に固有の機体固有データと、当該プログラムの正当性判断データを複合化して得られる機体固有データとを照合する手段と、を備えた情報処理装置が開示されている(例えば、特許文献1参照。)。
【0005】
また、ユーザクライアントにTPMを備え、管理クライアントには、通信ネットワークを介して、同じくユーザクライアントが備えるリモートTPM有効化モジュールにアクセスすることにより、当該クライアントの後続するブート時に、当該TPMを有効にするクライアントTPM有効化モジュールを備えるリモートセキュリティ有効化システムが開示されている(例えば、特許文献2参照。)。
【0006】
また、提示された値を、記憶されている値と比較して正当であるか否かを検証すると共に提示された値が正当である場合に限り、データを解読して読み出すことができるハードウェアセキュリティモジュールを備え、前記検証とデータ読み出しとを、それぞれ実行する命令と、当該解読されたデータ無しでは通常のブート処理を完了できない前記ブート処理の少なくとも一部のための命令と、を備えたコンピュータ可読メディアが開示されている(例えば、特許文献3参照。)。
【0007】
さらに、クライアント側主体でのアクセス制御を可能にすると共に、多様な信頼性レベルに対応したアクセス制御を行えるようにしたアクセス制御システムが開示されている(例えば、特許文献4参照。)。
【特許文献1】特開2005−301968号公報
【特許文献2】特開2006−79617号公報
【特許文献3】特開2006−323814号公報
【特許文献4】特開2006−107182号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、上記背景技術で述べた従来のプログラムの起動認証システム(資源管理システムを含む)にあっては、情報処理端末装置を管理装置に接続する際に管理装置から情報処理端末装置に対してユーザIDとパスワードとを要求する方法の場合、情報処理端末装置側が、当該ユーザIDとパスワードとを知ってさえいれば、どのような機種及びユーザであっても、当該管理装置に接続して、個別APLを起動することが可能となるといった問題点があった。
【0009】
この問題点を解決するために、従来は、情報処理端末装置に固有のコードを暗号化してHDDに格納しておき、管理装置から、入手した情報処理端末装置のコードと比較・認証することによって個別APLの起動を監視する方法が知られていたが、この方法の場合、前記HDDを不正に持ち出されたり、コピーされてしまった場合には、前記の情報処理端末装置に固有のコードを復号化する暗号鍵も知られてしまうことになるため、不正アクセスによる個別APLの起動を抑止する方法としては十分ではなかった。
【0010】
また、他の解決方法として、従来は、MACアドレスや、端末のシリアルNo等のハード固有のIDを認証することにより、不正接続を防止する方法も知られている。しかし、この方法では、接続する端末全てのMACアドレスやシリアルNoを事前にリスト化して管理装置に保管しておく必要があるので、これに必要な記憶装置の容量の関係から、管理装置の管理コストが膨大となり、しかも、情報処理端末装置の故障や増設等のために、前記リストの更新が頻繁になる場合は、管理装置の管理コストが更に高くなるという問題点があった。
【0011】
本発明は、上記従来の問題点に鑑みてなされたものであって、より信頼性の高い認証を行うことができる情報処理端末装置を提供することを目的としている。
【課題を解決するための手段】
【0012】
本発明の情報処理端末装置は、管理装置と複数の情報処理端末装置との間で認証を行うシステムに用いられ、アプリケーションプログラムの起動認証を行う情報処理端末装置であって、マザーボード上に搭載された暗号化及び復号化を行う暗号化・復号化手段と、第1のコードと複数の情報処理端末装置に対して共通に設定される第2のコードとに基づいて生成される第3のコードを、前記暗号化・復号化手段により暗号化した第3のコードと、前記第1のコードを記憶する、マザーボード上に搭載された記憶手段と、前記管理装置との第1段階の認証が完了したとき、前記管理装置から送信されてくる前記第2のコードを受信する受信手段と、前記記憶手段に記憶されている前記第1のコードと、前記管理装置から受信する前記第2のコードに基づいて第4のコードを生成する演算手段と、前記記憶手段に記憶されている暗号化された前記第3のコードを前記暗号化・復号化手段により復号し、復号した前記第3のコードと、前記演算手段により生成される前記第4のコードを照合して両者が一致するか否かを判定する判定手段と、前記判定手段により、復号した前記第3のコードと前記第4のコードが一致すると判定されたとき、前記アプリケーションプログラムの起動を許可する起動許可手段とを備える。
【0013】
この情報処理端末装置によれば、より信頼性の高い認証を行うことができる。
上記の情報処理端末装置において、前記第1のコードは、個々の前記情報処理端末装置に対して固有に、または複数の前記情報処理端末装置に対して共通に設定される機種コードであり、前記第2のコードは、前記複数の情報処理端末装置を使用するユーザ毎に与えられるユーザ個別コードであり、前記第3のコードは、前記機種コードと前記ユーザ個別コードとに基づいて生成される装置個別コードであり、前記第4のコードは、前記機種コードと前記管理装置から受信する前記ユーザ個別コードとに基づいて生成される装置個別コードであり、前記記憶手段は、前記機種コードと暗号化された前記装置個別コードを記憶するBIOSメモリであり、前記演算手段は、前記BIOSメモリに記憶されている前記機種コードと、前記管理装置から受信する前記ユーザ個別コードとに対して所定の演算を施して前記装置個別コードを生成し、前記暗号化・復号化手段は、前記BIOSメモリに、暗号化されて記憶されている前記装置個別コードを復号化し、前記判定手段は、復号された前記装置個別コードと、前記機種コードと前記管理装置から受信した前記ユーザ個別コードに基づいて生成される前記装置個別コードが一致するか否かを判定する。
【0014】
この情報処理端末装置によれば、BIOSメモリに機種コードと暗号化した装置個別コードを記憶しておき、管理装置から受信するユーザ個別コードから得られる装置個別コードと、復号した装置個別コードを照合することで、不正な第三者によるアプリケーションプログラムの起動を防止することができる。
【0015】
例えば、仮にユーザ個別コードを第三者が不正に知り得たとしても、BIOSメモリに記憶されている機種コードを知ることは難しいので、装置個別コードを生成することができず、アプリケーションプログラムが不正に使用されるのを防止できる。
【0016】
上記の情報処理端末装置において、前記暗号化・復号化手段は、前記マザーボードに実装された暗号化及び復号化の機能を有するセキュリティチップである。
上記の情報処理端末装置によれば、暗号化したセキュリティチップと同一のセキュリティチップでなければ正しいコードを復号できないので、認証の信頼性を高めることができる。
【発明の効果】
【0017】
本発明によれば、アプリケーションプログラムの起動認証の信頼性を高めることができる。
【発明を実施するための最良の形態】
【0018】
本発明に係るプログラムの起動認証システムは、情報処理端末装置が外部から不正にネットワークに接続されて個別アプリケーションが起動されてしまうことを防ぐために、BIOSに装置固有情報を予め埋め込んでおき、セキュリティチップで暗号化して当該BIOSに格納しておく手段を有する。
【0019】
APL(個別アプリケーションプログラム)の起動時には、情報処理端末装置の装置固有情報と、BIOSに格納しておいた前記の装置固有情報とを比較し、一致がとれた場合にのみ当該個別APLを実行させることとし、これにより、特定機種の、特定のユーザのみに個別アプリケーションを起動させる管理手段を実現している。
【0020】
以下、本発明のプログラムの起動認証システムの最良の実施形態について、図面を参照して詳細に説明する。
図1は、本発明の実施形態に係るプログラムの起動認証システムの全体構成を示す構成図である。
【0021】
同図において、本実施形態のプログラムの起動認証システムは、情報処理端末装置1と、OS(オペレーティングシステム)及びAPL(アプリケーションプログラム)を含む管理装置2と、インターネット網を含むネットワーク3と、情報処理端末装置1とネットワーク3を接続するLAN(ローカルエリアネットワーク)4及びゲートウェイ装置6と、管理装置2とネットワーク3を接続するLAN5及びゲートウェイ装置7と、を備えて構成される。
【0022】
情報処理端末装置1は、M/B(マザーボード)上に、BIOS−ROM11と、BIOS−RAM12と、CPUが制御するTPM13と、RAM14と、主制御装置として
動作するCPU15(主コンピュータ装置)と、ネットワークアダプタ16と、を備え、さらに、HDD上にインストールされたOS17(オペレーティングシステム)と、LCD(液晶等の表示装置)18と、キーボード19(入力装置)と、を備える。ここで、BIOS−ROM11は機種コード111を格納するための記憶装置であり、BIOS−RAM12は暗号化された装置個別コード121を格納するための記憶装置である。
【0023】
OS17は、処理プログラムの個別APL171(Applet動作) と、制御用プログラムの設定ツール172とをインストールしており、設定ツール172は、コード抽出ツール1721と、HASH(ハッシュコード)作成ツール1722と、消去プログラム1723と、を含んでいる。
【0024】
一方、管理装置2は、オペレーティングシステムのOS21を備える。ここで、OS21は制御対象として処理プログラムのAPL22(アプリケーションプログラム本体:SV)を含んでいる。
【0025】
以下、本実施形態のプログラムの起動認証システムが有する各構成要素について説明する。
設定ツール172のコード抽出ツール1721は、BIOSより、機種コード(第1のコード)及び暗号化された装置個別コード(第3のコード)を抽出(または格納)するためのツールである。
【0026】
設定ツール172のHASH作成ツール1722は、SHA-1等のHASH関数を用いてHASH値(ハッシュコード)を生成するためのツールである。
設定ツール172の消去プログラム1723は、RAM14及び前記HDDの任意のアドレス空間にランダムデータを一度書き込んだ後に消去するためのプログラムである。
【0027】
情報処理端末装置1と管理装置2とは、ネットワーク3、ゲートウェイ装置6,7、及びLAN4,5等の回線を通じて接続されている。
上記の各構成要素の数は任意であり、特に、管理装置2は合計で最低1台有ればよい。個別APL171は必ずしもアプレット動作(Applet動作) である必要はなく、例えば、そのプログラム本体を情報処理端末装置1に保持しておき、起動時のみ管理装置2との認証をとって動作する形態のアプリケーションであってもよい。
【0028】
TPM13は、内部に暗号鍵を保有しており、ハード的に外部に取り出すことが不可能である(よしんば取り出されたとしても利用されることが防げる)。
このTPM13が保有する暗号鍵は各々の情報処理端末装置1に固有のものであり、そのため、他の情報処理端末装置1にTPM13を不正に搭載して使用しても正常に作動することはない。即ち、不正にTPM13を搭載した情報処理端末装置1は使用できなくなる。
【0029】
情報処理端末装置1のハードウェアに固有のコードを、全ての情報処理端末装置分について管理装置2側で管理することは、管理コストの増大を招くため、管理装置2が情報処理端末装置のハードウェアに固有のコードを意識することなく認識できるようにすることがこのましい。このため、情報処理端末装置1に対して機種とユーザ毎に一意に定まるコード(具体的には「装置個別コード」)を設定し、これを情報処理端末装置1側で認証させている。
【0030】
また、「装置個別コード」を、機種とユーザ毎に一意に決めるために、「機種コード(第1のコード)」と「ユーザ個別コード(第2のコード)」とを用意している。「機種コード」は工場出荷時にBIOSに書込み済のコードであり、「ユーザ個別コード」はOS上にて設定するコードである。
【0031】
「機種コード」は、例えば、Aシリーズの端末は「AAAA」のように設定する。勿論、装置毎に全て異なったコードを設定してもかまわない(例えば、「AAAA01」、「AAAA02」・・・など)。
【0032】
これに対し、「ユーザ個別コード」は、ユーザ毎に設定するコードである(例えば、B銀行向けの情報処理端末装置には全て「BBBBB」のように設定する)。
また、「機種コード」の漏洩を防止するために、「機種コード」はBIOS設定画面にて閲覧・変更が不可能としている。また、BIOS内で「機種コード」を示すアドレスは任意にシャッフルされており、たとえBIOS情報がダンプされたとしても「機種コード」を探り当てることを防止している。
【0033】
さらに、「ユーザ個別コード」の漏洩を防止するために、情報処理端末装置からは「ユーザ個別コード」の情報を消去して残しておかないことが好ましい。
このため、暗号化された装置個別コードを生成した後は、「ユーザ個別コード」を書き込んだメモリ及びHDDの内容を消去プログラムを用いて消去している。この消去プログラムは、予めHDD内に格納しておき、対応するメモリ空間にランダムなデータを一度書き込んだ後に消去する構成となっている。
【0034】
なお、「装置個別コード」は、「機種コード」のハッシュ値(以下、「HASH値」と書くこともある)と「ユーザ個別コード」のハッシュ値から形成している。これにより、「装置個別コード」は一意に決まる。また、ハッシュ値を算出するHASH関数は完全一方向関数であるため、「装置個別コード」から元の「機種コード」と「ユーザ個別コード」を割り出すことは不可能である。
【0035】
さらに、「装置個別コード」は、セキュリティチップのTPM(Trusted Platform Module)を用いて暗号化し、BIOS内に保管しておく。また、暗号化後は「装置個別コード」は「ユーザ個別コード」と同様に消去プログラムにより消去する。これにより、よしんばHDDのみが盗まれたとしても、元の「装置個別コード」を解読・使用することは不可能であり、また、BIOSがメモリダンプされても暗号化済のデータであるため解読が非常に困難となる。
【0036】
また、管理装置2側には「ユーザ個別コード」をリスト化して記憶している。情報処理端末装置1は、「ユーザ個別コード」を、管理装置より取得した後、BIOSより取り出した「機種コード」とのHASH値を計算することによって「装置個別コード(第4のコード)」を生成する構成としている。
【0037】
よって、BIOSに保管しておいた暗号化済の「装置個別コード」を復号化し、前記再生成した「装置個別コード」と比較することができる。両者が一致した場合にのみ、個別APLのプログラムを起動させている。
【0038】
以下、本実施形態に係るプログラムの起動認証システムの接続時の処理動作を説明するが、その前に、比較のために、従来のプログラムの起動認証システムの接続時の処理動作を説明する。
【0039】
(従来方法による接続処理)
まず、前提条件として、
(1) 動作を照らし合わせるために、システム構成については、本実施形態に係るプログラムの起動認証システムの構成(図1)と同じとする。
(2) 情報処理端末装置1には、個別乃至はグループ毎に、端末IDとパスワードとが事前に設定されているものとする。
(3) 管理装置2には、端末IDとパスワードとがリスト化されて、HDD内にリストファイルとして保持されているものとする。
【0040】
図2は、従来方法での管理装置2への接続の流れを示すフローチャート図である。以下、図1を参照しながら、図2に示すフローチャート図を使用して、従来方法での管理装置2への接続の流れを説明する。
前記の前提条件が成立するものとして、従来方法での管理装置2への接続処理の流れは、以下に示すとおりとなる。
【0041】
ステップS1では、情報処理端末装置1は、個別APL171を使用するため、管理装置2への端末接続を要求する。
ステップS2では、管理装置2は、情報処理端末装置1からの前記要求に対して、情報処理端末装置1の正当性を認証するために、端末IDと、パスワードとを当該端末装置へ要求する。
【0042】
ステップS3では、情報処理端末装置1では、キーボード19を使用して、端末IDとパスワードとを入力し、管理装置2へと送信する。
ステップS4では、管理装置2は、予めリスト化してHDD内に保持している前記の正規端末の端末IDとパスワードとを、前記受信した端末ID及びパスワードと照合する。
【0043】
ステップS5では、管理装置2は、前記両者の一致がとれた場合、接続許可の電文を当該端末装置へと送信する。さもなくて、前記両者の一致がとれない場合は、エラー電文を当該端末装置へと送信する。
ステップS6では、接続許可の電文を受信した当該端末装置は、管理装置2との接続を確立し、個別APL171のプログラムを起動させる。
【0044】
次に、本実施形態に係るプログラムの起動認証システムの接続処理を含む動作を説明する。最初に、情報処理端末装置1の初期設定時の動作を説明する。
(初期設定時の動作)
図3は、本実施形態に係る情報処理端末装置1の初期設定時における動作の流れを示すフローチャート図である。また、図4は、情報処理端末装置1の初期設定時における情報の流れを示す説明図である。
以下、図4を参照しながら、図3に示すフローチャート図を使用して、情報処理端末装置1の初期設定時における動作を説明する。
【0045】
図4に示すように、情報処理端末装置1の初期設定時(例えば、工場出荷時や、設置場所において現地保守員がシステムを現場調整する時など)には、情報処理端末装置1のBIOSに格納されている機種コード111と、別途に入力されるユーザ個別コードとから、情報処理端末装置1のHDD内に装置個別コードを生成し、暗号化してBIOSに格納する。これにより、情報処理端末装置1は、自己が正当である状態を認識できる機能を獲得する。以下、初期設定時以降の接続の流れを説明する。
【0046】
まず、前提条件として、
(1) 情報処理端末装置1には、工場出荷時等に、情報処理端末装置1の機種を示す機種コードが機種コード111としてBIOSメモリ(BIOS−ROM)に書き込まれているものとする。
(2) BIOS内で機種コード111および装置個別コード(暗号化)121を示すア
ドレスは任意にシャッフルされているものとする。
前記の前提条件が成立するものとして、情報処理端末装置1の初期設定時における処理の流れは、以下のとおりとなる。
【0047】
まず、ステップS11では、情報処理端末装置1は、設定ツール172を起動し、キーボード19より、別途にユーザ個別コードを入力する。入力したユーザ個別コードはRAM14またはHDDの特定のメモリ空間内に一時的に保持する。
【0048】
ステップS12では、情報処理端末装置1は、設定ツール172のコード抽出ツール1721を実行し、BIOSより、機種コード111及び前記ユーザ個別コードを抽出し、RAM14またはHDDのメモリ空間内に一時的に保持する。
【0049】
ステップS13では、情報処理端末装置1は、設定ツール172のHASH作成ツール1722を実行し、BIOSより抽出した機種コード(機種コード111の前身)及び前記ユーザ個別コードのHASH値を算出し、装置個別コード(暗号化)121の前身としてRAM14またはHDDのメモリ空間内に一時的に保持する。
【0050】
ステップS14では、情報処理端末装置1の設定ツール172が、TPM13を用いて、前記の装置個別コード(暗号化)121の前身を暗号化し、コード抽出ツール1721を介してBIOS内の特定のアドレスへ、装置個別コード(暗号化)121として格納する。
【0051】
ステップS15では、情報処理端末装置1は、設定ツール172の消去プログラム1723を実行することで漏洩防止処理を実行する。より具体的には、機種コード111の前身、ユーザ個別コード、及び装置個別コード(暗号化前)を一時的に保持された保持しているメモリ空間(RAM14またはHDD)に、ランダムデータを書き込んだ後に消去する。
【0052】
なお、管理装置2については、前記端末ID、前記パスワード、及び情報処理端末装置1の各々に対応したユーザ個別コードをリスト化して、HDD内にリストファイルとして登録する。
【0053】
次に、本実施形態に係るプログラムの起動認証システムの運用時の処理を説明する。
(運用時の処理)
図5は、本実施形態に係る認証システムによる運用時の処理動作の流れを示すフローチャート図である。また、図6は、本実施形態に係る認証システムによる運用時の情報の流れを示す説明図である。
以下、図6を参照しながら、図4に示すフローチャート図を使用して、本実施形態に係る認証システムによる運用時の処理動作の流れを説明する。
【0054】
まず、前提条件として、
(1) 情報処理端末装置1には、個別乃至はグループ毎に、正規の情報処理端末装置1を示す端末IDと、正規のユーザを示すパスワードとが事前に設定されているものとする。
(2) 管理装置2には、前記端末ID、前記パスワード、及び情報処理端末装置1の各々に対応したユーザ個別コードがリスト化されて、HDD内にリストファイルとして保持されているものとする。
(3) 情報処理端末装置1には、工場出荷時等に、機種コード(機種コード111)と、前記ユーザ個別コードとが、BIOSメモリ(BIOS−ROM)に書き込まれているものとする(前記初期設定時の処理)。
(4) 情報処理端末装置1には、予め、BIOSより、機種コードと前記ユーザ個別コードとが抽出されて、装置個別コードとして両者のHASH値が算出されており、さらにTPM13により暗号化されたものが、HDD内に保存されているものとする(前記初期設定時の処理)。
前記の前提条件が成立するものとして、情報処理端末装置1と管理装置2における運用時の処理動作は、以下のとおりとなる。
【0055】
まず、ステップS21では、情報処理端末装置1は、個別APL171を使用するため、管理装置2に対して、端末接続を要求する。
ステップS22では、管理装置2は、情報処理端末装置1からの前記要求に対して、当該端末装置の正当性を認証するために、端末IDとパスワードとを情報処理端末装置1へ要求する。
【0056】
ステップS23では、情報処理端末装置1は、キーボード19を使用して自己の端末IDとパスワードとを入力し、管理装置2へと送信する。
ステップS24では、管理装置2は、予めリスト化して保持している正規端末装置の端末ID及びパスワードを、この情報処理端末装置1から受信した端末ID及びパスワードと照合し、両者の一致がとれるか否かを検証する。
【0057】
ステップS25では、管理装置2は、前記照合において前記両者の一致がとれた場合は接続を許可する電文と、この情報処理端末装置1に対応するユーザ個別コードとを、この情報処理端末装置1に送信すると共に、情報処理端末装置1に制御を渡し、情報処理端末装置1においてステップS26以下の処理を実行させる。また、もし両者の一致がとれない場合はエラー電文を情報処理端末装置1に送信する。これにより、情報処理端末装置1では、このエラー電文を前記表示装置に表示することになる。
【0058】
ステップS26では、情報処理端末装置1は、受信したユーザ個別コードをRAM14またはHDDのメモリ空間内に一時的に保持する。
ステップS27では、情報処理端末装置1は、設定ツール172のコード抽出ツール1721を実行し、BIOSより、機種コード111を抽出し、RAM14またはHDDのメモリ空間内に一時的に保持する。
【0059】
ステップS28では、情報処理端末装置1は、受信したユーザ個別コードと抽出した機種コードのHASH値を各々算出し、RAM14またはHDDのメモリ空間内に一時的に保持する。
【0060】
ステップS29では、情報処理端末装置1は、予めBIOS内に保存していた装置個別コード(暗号化)121(即ち、TPM13によって暗号化済の装置個別コード)を、コード抽出ツール1721を起動して取り出し、TPM13を用いて復号化する。
【0061】
ステップS30では、情報処理端末装置1は、前記復号化した装置個別コードと、受信したユーザ個別コードより作成した装置個別コードとを比較照合し、両者の一致がとれない場合は、エラー情報を前記表示装置に表示し、さらに、消去プログラム1723を実行して、RAM14またはHDDのメモリ空間を他のジョブに開放する。さもなくて、前記両者の一致がとれた場合はステップS31に進む。
【0062】
ステップS31では、情報処理端末装置1は、管理装置2との接続を確立すると共に、RAM14またはHDDのメモリ空間を他のジョブに開放した後に、個別APL171のプログラムを起動させる。
【0063】
本発明によれば、第三者が不正な情報処理端末装置をネットワークに接続して、管理装置への不正な接続を試みようとしても、この不正な情報処理端末装置は「装置個別コード」を保有していないため、個別APLを起動することが不可能となり、高い信頼性の認証が可能となる効果がある。
【0064】
また、よしんばHDDのみが外部に持ち出されて、他の不正な情報処理端末装置に接続され、管理装置への不正な接続が試みられたとしても、「暗号化された装置個別コード」が無いため、やはり個別APLを起動することが不可能となり、高い信頼性の認証が可能となる効果がある。また、よしんばBIOS(Basic Input/Output System)の中身が吸い出されて他のマザーボードにコピーされたとしても、TPMが無い(若しくは異なっている)ため、「暗号化された装置個別コード」を復号化して使用することが不可能となり、よって、高い信頼性の認証が可能となる効果がある。
【0065】
また、「暗号化された装置個別コード」情報が、よしんば不正ユーザの手に渡ったとしても、この「暗号化された装置個別コード」は、対応する装置のTPM以外では復号化できないため、「装置個別コード」の漏洩を抑止することができる効果がある。
【0066】
また、「暗号化された装置個別コード」情報が、よしんば対応する装置のTPMで復号化されたとしても、この「装置個別コード」から「機種コード」や「ユーザ個別コード」までを探り出すことは、HASH値の有する機能特性から不可能であり、高い信頼性の認証が可能となると共に、他の装置やユーザに影響を及ぼすことを防止することができる。
【0067】
また、よしんばBIOS情報を格納しているCMOSメモリがダンプされ、中身が不正に閲覧されたとしても、「機種コード」はメモリアドレス自体がシャッフルされて格納されているため、ダンプデータから「機種コード」を割り当てることを困難にするという効果がある。
【0068】
また、よしんば「ユーザ個別コード」が不正に知られたとしても、機種が異なる情報処理端末装置にあっては「機種コード」が異なるため、個別APLの起動を不可能にする効果がある。
【0069】
さらに、上記の各効果により、特定機種の、特定ユーザのみが起動できる個別APLを実現することができる効果があり、このような個別APLによって、不正な第三者が管理装置へと接続することを未然に防ぐことが可能となる効果がある。
【0070】
なお、本発明に係るプログラムの起動認証システムの各構成要素の処理の少なくとも一部をコンピュータ制御により実行するものとし、かつ、上記処理を、図3,5のフローチャートで示した手順によりコンピュータに実行せしめるプログラムは、半導体メモリを始め、CD−ROMや磁気テープなどのコンピュータ読み取り可能な記録媒体に格納して配付してもよい。そして、少なくともマイクロコンピュータ,パーソナルコンピュータ,汎用コンピュータを範疇に含むコンピュータが、上記の記録媒体から上記プログラムを読み出して、実行するものとしてもよい。
【図面の簡単な説明】
【0071】
【図1】本発明の実施形態に係るプログラムの起動認証システムの全体構成を示す構成図である。
【図2】従来方法での管理装置2への接続の流れを示すフローチャート図である。
【図3】本実施形態に係る管理装置2への初期設定時における接続動作の流れを示すフローチャート図である。
【図4】情報処理端末装置1の初期設定時における情報の流れを示す説明図である。
【図5】本実施形態に係る認証システムによる運用時の動作の流れを示すフローチャート図である。
【図6】本実施形態に係る認証システムによる運用時の情報の流れを示す説明図である。
【符号の説明】
【0072】
1 情報処理端末装置
2 管理装置
3 ネットワーク
4,5 LAN
6,7 ゲートウェイ装置
11 BIOS−ROM
12 BIOS−RAM
13 TPM
14 RAM
15 CPU
16 ネットワークアダプタ
17 OS(端末装置側)
18 LCD
19 キーボード
21 OS(管理装置側)
22 APL(sv)
171 個別APL(Applet)
【特許請求の範囲】
【請求項1】
管理装置と複数の情報処理端末装置との間で認証を行うシステムに用いられ、アプリケーションプログラムの起動認証を行う情報処理端末装置であって、
マザーボード上に搭載された暗号化及び復号化を行う暗号化・復号化手段と、
第1のコードと複数の情報処理端末装置に対して共通に設定される第2のコードとに基づいて生成される第3のコードを、前記暗号化・復号化手段により暗号化した第3のコードと、前記第1のコードを記憶する、マザーボード上に搭載された記憶手段と、
前記管理装置との第1段階の認証が完了したとき、前記管理装置から送信されてくる前記第2のコードを受信する受信手段と、
前記記憶手段に記憶されている前記第1のコードと、前記管理装置から受信する前記第2のコードに基づいて第4のコードを生成する演算手段と、
前記記憶手段に記憶されている暗号化された前記第3のコードを前記暗号化・復号化手段により復号し、復号した前記第3のコードと、前記演算手段により生成される前記第4のコードを照合して両者が一致するか否かを判定する判定手段と、
前記判定手段により、復号した前記第3のコードと前記第4のコードが一致すると判定されたとき、前記アプリケーションプログラムの起動を許可する起動許可手段とを備える情報処理端末装置。
【請求項2】
前記第1のコードは、個々の前記情報処理端末装置に対して固有に、または複数の前記情報処理端末装置に対して共通に設定される機種コードであり、前記第2のコードは、前記複数の情報処理端末装置を使用するユーザ毎に与えられるユーザ個別コードであり、前記第3のコードは、前記機種コードと前記ユーザ個別コードとに基づいて生成される装置個別コードであり、前記第4のコードは、前記機種コードと前記管理装置から受信する前記ユーザ個別コードとに基づいて生成される装置個別コードであり、
前記記憶手段は、前記機種コードと暗号化された前記装置個別コードを記憶するBIOSメモリであり、
前記演算手段は、前記BIOSメモリに記憶されている前記機種コードと、前記管理装置から受信する前記ユーザ個別コードとに対して所定の演算を施して前記装置個別コードを生成し、
前記暗号化・復号化手段は、前記BIOSメモリに、暗号化されて記憶されている前記装置個別コードを復号化し、
前記判定手段は、復号された前記装置個別コードと、前記機種コードと前記管理装置から受信した前記ユーザ個別コードに基づいて生成される前記装置個別コードが一致するか否かを判定する請求項1記載の情報処理端末装置。
【請求項3】
前記暗号化・復号化手段は、前記マザーボードに実装された暗号化及び復号化の機能を有するセキュリティチップである請求項1または2記載の情報処理端末装置。
【請求項4】
管理装置と複数の情報処理端末装置との間で認証を行うシステムのアプリケーションプログラムの起動認証方法であって、
第1のコードと複数の情報処理端末装置に対して共通に設定される第2のコードとに基づいて生成される第3のコードを暗号化した第3のコードと、前記第1のコードを記憶する記憶手段をマザーボード上に有し、
前記管理装置との第1段階の認証が完了したとき、前記管理装置から送信されてくる前記第2のコードを受信し、
前記記憶手段に記憶されている前記第1のコードと、前記管理装置から受信する前記第2のコードに基づいて第4のコード生成し、
前記記憶手段に記憶されている暗号化された前記第3のコードを復号し、復号した前記第3のコードと、前記管理装置から受信する前記第2のコードと前記第1のコードに基づ
いて生成される前記第4のコードを照合して両者が一致するか否かを判定し、
前記第3のコードと前記第4のコードが一致すると判定されたとき、前記アプリケーションプログラムの起動を許可するアプリケーションプログラムの起動認証方法。
【請求項5】
前記第1のコードは、前記情報処理端末装置に対して固有に、または前記複数の情報処理端末装置に対して共通に設定される機種コードであり、前記第2のコードは、前記複数の情報処理端末装置を使用するユーザ毎に与えられるユーザ個別コードであり、前記第3のコードは、前記機種コードと前記ユーザ個別コードとに基づいて生成される装置個別コードであり、前記第4のコードは、前記機種コードと前記管理装置から受信する前記ユーザ個別コードとに基づいて生成される装置個別コードであり、
前記機種コードと暗号化された前記装置個別コードはBIOSメモリに記憶され、
前記BIOSメモリに記憶されている前記機種コードと、前記管理装置から受信する前記ユーザ個別コードとに対して所定の演算を施して前記装置個別コードを生成し、
前記BIOSメモリに、暗号化されて記憶されている前記装置個別コードを復号し、
復号された前記装置個別コードと、前記機種コードと前記管理装置から受信した前記ユーザ個別コードに基づいて生成される前記装置個別コードが一致するか否かを判定し、
前記装置個別コードが一致した場合に、前記アプリケーションプログラムの起動を許可する請求項4記載のアプリケーションプログラムの起動認証方法。
【請求項1】
管理装置と複数の情報処理端末装置との間で認証を行うシステムに用いられ、アプリケーションプログラムの起動認証を行う情報処理端末装置であって、
マザーボード上に搭載された暗号化及び復号化を行う暗号化・復号化手段と、
第1のコードと複数の情報処理端末装置に対して共通に設定される第2のコードとに基づいて生成される第3のコードを、前記暗号化・復号化手段により暗号化した第3のコードと、前記第1のコードを記憶する、マザーボード上に搭載された記憶手段と、
前記管理装置との第1段階の認証が完了したとき、前記管理装置から送信されてくる前記第2のコードを受信する受信手段と、
前記記憶手段に記憶されている前記第1のコードと、前記管理装置から受信する前記第2のコードに基づいて第4のコードを生成する演算手段と、
前記記憶手段に記憶されている暗号化された前記第3のコードを前記暗号化・復号化手段により復号し、復号した前記第3のコードと、前記演算手段により生成される前記第4のコードを照合して両者が一致するか否かを判定する判定手段と、
前記判定手段により、復号した前記第3のコードと前記第4のコードが一致すると判定されたとき、前記アプリケーションプログラムの起動を許可する起動許可手段とを備える情報処理端末装置。
【請求項2】
前記第1のコードは、個々の前記情報処理端末装置に対して固有に、または複数の前記情報処理端末装置に対して共通に設定される機種コードであり、前記第2のコードは、前記複数の情報処理端末装置を使用するユーザ毎に与えられるユーザ個別コードであり、前記第3のコードは、前記機種コードと前記ユーザ個別コードとに基づいて生成される装置個別コードであり、前記第4のコードは、前記機種コードと前記管理装置から受信する前記ユーザ個別コードとに基づいて生成される装置個別コードであり、
前記記憶手段は、前記機種コードと暗号化された前記装置個別コードを記憶するBIOSメモリであり、
前記演算手段は、前記BIOSメモリに記憶されている前記機種コードと、前記管理装置から受信する前記ユーザ個別コードとに対して所定の演算を施して前記装置個別コードを生成し、
前記暗号化・復号化手段は、前記BIOSメモリに、暗号化されて記憶されている前記装置個別コードを復号化し、
前記判定手段は、復号された前記装置個別コードと、前記機種コードと前記管理装置から受信した前記ユーザ個別コードに基づいて生成される前記装置個別コードが一致するか否かを判定する請求項1記載の情報処理端末装置。
【請求項3】
前記暗号化・復号化手段は、前記マザーボードに実装された暗号化及び復号化の機能を有するセキュリティチップである請求項1または2記載の情報処理端末装置。
【請求項4】
管理装置と複数の情報処理端末装置との間で認証を行うシステムのアプリケーションプログラムの起動認証方法であって、
第1のコードと複数の情報処理端末装置に対して共通に設定される第2のコードとに基づいて生成される第3のコードを暗号化した第3のコードと、前記第1のコードを記憶する記憶手段をマザーボード上に有し、
前記管理装置との第1段階の認証が完了したとき、前記管理装置から送信されてくる前記第2のコードを受信し、
前記記憶手段に記憶されている前記第1のコードと、前記管理装置から受信する前記第2のコードに基づいて第4のコード生成し、
前記記憶手段に記憶されている暗号化された前記第3のコードを復号し、復号した前記第3のコードと、前記管理装置から受信する前記第2のコードと前記第1のコードに基づ
いて生成される前記第4のコードを照合して両者が一致するか否かを判定し、
前記第3のコードと前記第4のコードが一致すると判定されたとき、前記アプリケーションプログラムの起動を許可するアプリケーションプログラムの起動認証方法。
【請求項5】
前記第1のコードは、前記情報処理端末装置に対して固有に、または前記複数の情報処理端末装置に対して共通に設定される機種コードであり、前記第2のコードは、前記複数の情報処理端末装置を使用するユーザ毎に与えられるユーザ個別コードであり、前記第3のコードは、前記機種コードと前記ユーザ個別コードとに基づいて生成される装置個別コードであり、前記第4のコードは、前記機種コードと前記管理装置から受信する前記ユーザ個別コードとに基づいて生成される装置個別コードであり、
前記機種コードと暗号化された前記装置個別コードはBIOSメモリに記憶され、
前記BIOSメモリに記憶されている前記機種コードと、前記管理装置から受信する前記ユーザ個別コードとに対して所定の演算を施して前記装置個別コードを生成し、
前記BIOSメモリに、暗号化されて記憶されている前記装置個別コードを復号し、
復号された前記装置個別コードと、前記機種コードと前記管理装置から受信した前記ユーザ個別コードに基づいて生成される前記装置個別コードが一致するか否かを判定し、
前記装置個別コードが一致した場合に、前記アプリケーションプログラムの起動を許可する請求項4記載のアプリケーションプログラムの起動認証方法。
【図2】
【図3】
【図5】
【図1】
【図4】
【図6】
【図3】
【図5】
【図1】
【図4】
【図6】
【公開番号】特開2009−245135(P2009−245135A)
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願番号】特願2008−90502(P2008−90502)
【出願日】平成20年3月31日(2008.3.31)
【出願人】(000237639)富士通フロンテック株式会社 (667)
【Fターム(参考)】
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願日】平成20年3月31日(2008.3.31)
【出願人】(000237639)富士通フロンテック株式会社 (667)
【Fターム(参考)】
[ Back to top ]