情報処理端末認証システム及び情報処理端末認証方法,情報処理端末認証用プログラム
【課題】情報処理端末のシステム環境を示す機器構成が正常であるか否かを検証する際に、そのシステム環境の利用権限のある正当なユーザの利益を保護し、不正アクセスによる検証開始を排除する。
【解決手段】SIMのようなモジュール23を搭載した機器2と、TPMのようなセキュリティチップ1を搭載した端末1を連携させてユーザ認証を行うことで情報処理端末1を利用する権限のあるユーザを確実に認証してから機器検証を実施することが可能となり、情報処理端末1のシステム環境を示す機器構成が正常であるか否かをセキュリティチップ12を利用して検証する際に、そのシステム環境の利用権限のあるユーザをその正当性と共に認証することができる。
【解決手段】SIMのようなモジュール23を搭載した機器2と、TPMのようなセキュリティチップ1を搭載した端末1を連携させてユーザ認証を行うことで情報処理端末1を利用する権限のあるユーザを確実に認証してから機器検証を実施することが可能となり、情報処理端末1のシステム環境を示す機器構成が正常であるか否かをセキュリティチップ12を利用して検証する際に、そのシステム環境の利用権限のあるユーザをその正当性と共に認証することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理端末の利用を許可する前に、この情報処理端末の機器構成が正当であるか否かを検証する情報処理端末認証システム及び情報処理端末認証方法,情報処理端末認証用プログラムに関する。
【背景技術】
【0002】
従来、情報処理端末において、記憶されたデータに対する外部からの不正な解析が行われないように様々な防護策を講じられていた。不正なアクセスによる機密データの持ち出しを防ぐための従来方法として、データを暗号化しておき必要に応じてデータを復号するなどのソフトウェアによる防護方法があるが、ソフトウェアは常に改竄の恐れがあり、ソフトウェアで実現される防護策には限界がある。その限界を克服するために、TPM(Trusted Platform Module)と呼ばれるセキュリティチップを情報処理端末に実装する防護策がある。
【0003】
TPMは、情報処理端末内にあって、不正アクセスができない耐タンパ領域をハードウェアで構築する。TPMは、主に、暗号化/復号/署名等に用いる鍵等の秘密情報を保持し暗号化/復号/署名等の処理を実行する機能と、ハードウェア及びソフトウェアの構成が適当であるか、ウイルス定義ファイルの更新や各種ソフトウェアのパッチ適用が正しく行われているかの機器構成情報の正当性を検証する機能とを備えており、情報処理端末のCPUから独立して単体で暗号化・復号、署名の作成・検証、端末の機器構成情報の正当性検証を行うことができる。
【0004】
このようなTPMと呼ばれるセキュリティチップを用いたシステムの従来例が、特許文献1に開示されている。特許文献1に記載された装置は、機器構成情報に基づき情報処理装置の構成が勝手に変更されていないかを検証するようなセキュリティ機能を有したシステムであり、そのセキュリティ機能を無効にした場合でも例外的にOS(Operating System)へのログオンを許可する装置である。また、正当性認証前の端末に対してユーザ側に関する情報を渡すことなく、その端末の正当性を認証する端末正当性保証システムが、特許文献2に開示されている。また、TPM内のレジスタに格納される情報をそれのみでは無意味なものにしておく装置が、特許文献3に開示されている。
【0005】
しかし、これら従来技術は、利用端末内のソフトウェア及びハードウェアが正常であるかの認証をOS起動前に行うが、ユーザ毎の実行環境について機器構成を検証する場合には、不正利用を防ぐために利用端末とユーザとの安全かつ確実な結びつけが必要であるという問題点があった。
【0006】
この問題点に鑑み、利用端末とユーザとの結びつけを行うシステムとして、ユーザのID/パスワード、又は、指紋,静脈パタン,虹彩,顔等の生体情報を保存しておき認証を行うシステムが一般に開示されているが、ID/パスワードを管理することはユーザにとって煩雑で忘却の可能性があるという不都合があり、生体情報は仮に危殆化したときに情報の変更が不可能であるという問題点があった。
【0007】
一方で、利用端末とユーザとの結びつけを行う他のシステムとして、4,5,6に開示されているSIMカードと呼ばれるICカードを用いてユーザを認証するシステムが考えられる。
【0008】
【特許文献1】特開2005‐301564号公報
【特許文献2】特開2005‐293151号公報
【特許文献3】特開2005‐301550号公報
【特許文献4】特開2006‐195728号公報
【特許文献5】特開2004‐355057号公報
【特許文献6】特開2005‐323070号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかしながら、ICカードを用いた認証では、そのユーザ認証処理が信頼できるか否かについては保証できないという問題があった。例えば、ユーザ認証を行うために予め記憶した識別情報を不正に改竄されてしまった場合、正当なICカードを有するユーザが端末を利用できなくなるだけでなく、その改竄された識別情報に一致する情報が記録されたICカードを利用して、不正なアクセスが利用端末に対して可能になってしまう。
【0010】
[目的]
そこで、本発明は、上記従来技術の問題を改善し、情報処理端末のシステム環境を示す機器構成が正常であるか否かを検証する際に、不正アクセスによる検証開始を排除すると共に、そのシステム環境の利用権限を有する正当なユーザの利益を保護することを、その目的とする。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の情報処理端末認証システムは、情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測機能を備えると共に耐タンパ性を有するセキュリティチップと、情報処理端末の正常な状態における機器構成情報を予め記憶する正常情報記憶手段と、セキュリティチップによる計測情報を正常情報記憶手段に記憶された正常情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証手段とを備えた情報処理端末認証システムであり、情報処理端末の利用権限を有するユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段と、このユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールからその認識情報を読み取るユーザ識別モジュール読取手段と、この読み取られた情報をユーザ識別情報記憶手段に記憶された正当な識別情報と照合し一致した場合にユーザの正当性及び利用権限を認証するユーザ認証手段とを備え、ユーザ識別情報記憶手段が、セキュリティチップ内に搭載されて耐タンパ性を有し、ユーザ認証手段は、ユーザを認証した後にセキュリティチップへ機器構成情報計測機能の動作開始を指令することを特徴とする。
【0012】
このような情報処理端末認証システムによれば、SIM(Subscriber Identity Module)のようなユーザ識別モジュールと、TPM(Trusted Platform Module)のようなセキュリティチップとを用いてユーザ認証を行うことで情報処理端末を利用する権限のあるユーザを確実に認証できる。よって、利用端末とユーザとの結びつけを確実に行った上で、端末の機器構成検証を実施することが可能となる。
【0013】
さらに、本発明の情報処理端末認証システムは、情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測機能を備えると共に耐タンパ性を有するセキュリティチップと、情報処理端末の正常な状態における機器構成情報を予め記憶する正常情報記憶手段と、セキュリティチップによる計測情報を正常情報記憶手段に記憶された正常情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証手段とを備えた情報処理端末認証システムであり、情報処理端末の利用権限を有するユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段と、ユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールからその認識情報を読み取るユーザ識別モジュール読取手段と、この読み取られた情報をユーザ識別情報記憶手段に記憶された正当な識別情報と照合し一致した場合にユーザの正当性及び利用権限を認証するユーザ認証手段とを備え、セキュリティチップが、暗号鍵を保持しこの暗号鍵を用いてデータを暗号化又は復号する暗号化処理機能を有し、ユーザ識別記憶部は、セキュリティチップの暗号化処理機能により暗号化された識別情報を記憶し、ユーザ認証手段は、ユーザ識別記憶部に記憶された正当な識別情報をセキュリティチップに復号させて読み取られた情報と照合する機能を有しユーザを認証した後にセキュリティチップへ機器構成情報計測機能の動作開始を指令することを特徴とする。
【0014】
このような情報処理端末認証システムによれば、予め記憶された正当な情報をセキュリティチップが保持する暗号鍵を用いて暗号化しておくことで、信頼性の高いユーザ認証を行うことができる。よって、利用端末とユーザとの結びつけを確実に行った上で、端末の機器構成検証を実施することが可能となる。
【0015】
また、上記の情報処理端末認証システムにおいては、上述した端末構成認証手段により計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示手段を備えてもよい。このようにすると、提示内容を基に、ユーザが必要な改善処置を行うことができる。
【0016】
次に本発明の情報処理端末認証方法は、耐タンパ性を有するセキュリティチップを用いて、情報処理端末の正当性を検証する情報処理端末認証方法であって、情報処理端末の利用権限を有するユーザの認識情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該認識情報を読み取るユーザ識別モジュール読取ステップと、この読み取られた情報をセキュリティチップに管理された正当な識別情報と照合し一致した場合にユーザの正当性及び権限を認証するユーザ認証ステップと、ユーザ認証ステップによりユーザが認証された場合に、セキュリティチップが情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測ステップと、機器構成情報計測ステップによる計測情報を予め記憶された正常な状態における機器構成情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証ステップとを設けたことを特徴とする。
【0017】
また、上記の情報処理端末認証方法において、上述したユーザ認証ステップでは、セキュリティチップの暗号化処理機能により暗号化されて記憶されたユーザの正当な識別情報を復号してユーザ識別モジュール読取ステップで読み取られた情報と照合しユーザの正当性及び権限を検証してもよい。
【0018】
また、上記の情報処理端末認証方法において、上述した端末構成認証ステップにより計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示ステップを設けてもよい。
【0019】
このような情報処理端末方法によれば、上述した情報処理端末システムと同様に、SIMのようなユーザ識別モジュールと、TPMのようなセキュリティチップとを用いてユーザ認証を行うことで情報処理端末を利用する権限のあるユーザを確実に認証できる。よって、利用端末とユーザとの結びつけを確実に行った上で、端末の機器構成検証を実施することが可能となる。
【0020】
次に、本発明の情報処理端末認証用プログラムは、ユーザの実行環境が構築されている情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報の計測情報を耐タンパ性を有するセキュリティチップから入力する計測情報入力処理と、この入力された計測情報を予め記憶された正常な状態における機器構成情報と照合し一致するか否かで当該計測情報の正当性を検証する端末構成認証処理とをコンピュータに実行させる情報処理端末認証用プログラムであり、情報処理端末の利用権限を有するユーザの識別情報を記録し耐タンパ性を有するユーザ識別モジュールから当該識別情報を読み取るユーザ識別モジュール読取処理と、この読取った識別情報をセキュリティチップに管理された正当な識別情報と照合し一致するか否かでユーザの正当性及び権限を検証するユーザ認証処理と、このユーザ認証処理によりユーザが認証された場合にセキュリティチップに対して機器構成情報の計測を指令する計測指令処理とをコンピュータに実行させることを特徴とする。
【0021】
また、上記の情報処理端末認証用プログラムにおいて、上述したユーザ認証処理を、ユーザ識別モジュール読取処理により読み取られた識別情報をセキュリティチップの暗号化処理機能により暗号化された正当な識別情報とそれを復号させて照合し一致するか否かでユーザの正当性及び権限を検証するような内容に特定してもよい。
【0022】
また、上記の情報処理端末認証用プログラムにおいては、上述した端末構成認証処理により計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示処理をコンピュータに実行させてもよい。
【0023】
このような情報処理端末用プログラムによれば、上述した情報処理端末方法と同様に、SIMのようなユーザ識別モジュールと、TPMのようなセキュリティチップとを用いてユーザ認証を行うことで情報処理端末を利用する権限のあるユーザを確実に認証できる。よって、利用端末とユーザとの結びつけを確実に行った上で、端末の機器構成検証を実施することが可能となる。
【発明の効果】
【0024】
本発明は以上のように構成され機能するため、これにより、情報処理端末のシステム環境を示す機器構成が正常であるか否かをセキュリティチップを用いて検証する前に、ICカード等のユーザ識別モジュールとセキュリティチップとの連携によるユーザ認証を実行し、このシステム環境の利用権限のあるユーザをその正当性と共に認証することができる、よって、不正アクセスによる機器検証の開始を排除し、正当なユーザの利益を保護することができる。
【発明を実施するための最良の形態】
【0025】
以下、本発明における一実施形態を、図面を参照して説明する。
【0026】
図1は、本実施形態の情報処理端末認証システムの全体構成を示すブロック図である。図1に示すように、本実施形態は、ユーザの実行環境が構築されている情報処理端末1と、ユーザの識別情報を記録しているユーザ識別モジュール22を装備したユーザ特定機器2と、ユーザ特定機器と接続可能な端末管理サーバ3とから構成されている。
【0027】
図1に示す情報処理端末1は、ユーザ特定機器2に対してデータの送受信を行うユーザ認証用通信手段11と、耐タンパ性を有するセキュリティチップ12と、情報処理端末1の動作を制御する主制御部13と、情報を記憶する情報記憶部14と、ユーザの操作等により情報を入力する入力部15と、提示する情報を図示していない周辺機器へ出力する出力部16とを備えている。
【0028】
主制御部13は、ユーザ特定機器2に装備されたユーザ識別モジュール22に記録された識別情報をユーザ認証用通信手段11を介して読み取り入力するユーザ識別モジュール情報読取手段11として機能する。また、ユーザ認証用通信手段11は、ユーザ特定機器2と通信接続できれば、接触式や、赤外線通信,Bluetooth,Felica等の非接触の近距離無線通信(NFC:Near Field Communication)、RF(Radio Frequency),その他無線通信、または、コネクタ接続等の有線通信のいずれの通信方式を利用してもよい。
【0029】
ここで、主制御部13については、その機能内容をプログラム化してコンピュータに実行させる構成にしてもよい。
【0030】
情報処理端末1に搭載されたセキュリティチップ12は、外部から情報を不正に読み出されない耐タンパ性を有するICチップであり、情報を入出力する入出力部121と、演算処理を行う演算制御部122と、情報を記憶するメモリ123とを備えて構成されている。ここで、耐タンパ性とは、非正規な手段による情報の読み取りを防止する能力であり、耐タンパ性を有するということは、内部構造や記憶データの解析が困難であることを意味する。
【0031】
セキュリティチップ12の演算制御部122は、暗号化/復号/署名等に用いる鍵等の秘密情報をメモリ123に保持させて管理する秘密情報管理機能122aと、暗号化/復号/署名等の処理を実行する暗号処理機能122bと、情報処理端末1内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測及び管理する機器構成情報計測機能122cとを有している。ここで、計測した機器構成情報はセキュリティチップ12内のメモリ123に保持して保護してもよいし、セキュリティチップ12の暗号処理機能122bで暗号化してセキュリティチップ12外の情報記憶部14に記憶してもよい。また、計測した機器構成情報は、演算制御部122の暗号処理機能122bによって署名を付与されて端末管理サーバ3に報告・送信される。
【0032】
ここで、セキュリティチップ12は、TPM(Trusted Platform Module)と呼ばれるICチップと同様に、情報処理端末1の主制御部13から独立して、単体で暗号化・復号、署名の作成・検証、及び端末の機器構成情報の計測・保管を行うことができるような構成である。このようなセキュリティチップ12を情報処理端末1に搭載することで、正規ユーザを装った情報処理端末1内へのアクセスや情報処理端末1上で実行可能な不正ソフトウェア等の情報処理端末1内部からの攻撃に対して防御することができる。
【0033】
そしてさらに、セキュリティチップ12の演算制御部122は、ユーザ特定機器2に装備されたユーザ識別モジュール22から読み取られた識別情報と、メモリ123に予め記憶された正当な識別情報とを照合し一致した場合にユーザの正当性及び利用権限を認証するユーザ認証手段としてのユーザ認証機能122dを有している。このように、セキュリティチップ12がユーザ認証手段としての機能を有していることで、ユーザ認証処理を耐タンパ性を有する領域ででき、より信頼度の高いユーザ認証が可能となる。
【0034】
ここで、本実施形態においては、メモリ123がユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段として機能しているが、これに限らず、正当な識別情報は、セキュリティチップ12によって暗号化されてセキュリティチップ12外の情報記憶部14に記憶されていてもよい。暗号化されて記憶された場合はセキュリティチップ12によって復号されて検証処理を行う。また、正当な識別情報がセキュリティチップ12によって保持又は暗号化され保護されていれば、ユーザ認証機能122dはセキュリティチップ12内の演算制御部122が有する構成でもよいし、セキュリティチップ12外の主制御部13が有する構成でもよい。
【0035】
図1に示すユーザ特定機器2は、情報処理端末1との通信を担う認証用通信手段21と、主制御部22と、耐タンパ性を有するユーザ識別モジュール23と、端末管理サーバ3と通信ネットワーク4を介して通信する通信手段24とを備えている。主制御部22は、情報処理端末1から機器構成の計測情報を認証用通信手段21を介して入力し、端末管理サーバ3へ検証要求と共に送信する端末検証機能22aを備えている。
【0036】
ここで、認証用通信手段21は、接触式や、赤外線通信,Bluetooth,Felica等の近距離無線通信,RF,その他無線通信の非接触式や、コネクタ接続等の有線通信等のいずれの通信方式を利用してもよい。また、この認証用通信手段21については、ユーザ識別モジュール22内に搭載する構成としてもよい。また、本実施形態では、情報処理端末1との通信と端末管理サーバ3との通信とにそれぞれ別の通信手段を設けた構成としているが、情報処理端末1及び端末管理サーバ3との通信を共通の通信手段が行う構成としてもよい。このとき、端末管理サーバ3との通信は、通信ネットワーク4を介さないように構成する。
【0037】
ユーザ識別モジュール22は、耐タンパ性を有しており、ユーザの識別情報を記録していると共に、認証用通信手段21との入出力方式に合わせた入出力インタフェースを有している。このユーザ識別モジュール22は、例えば、ICチップからなるモジュールであり、SIM(Subscriber Identity Module)と呼ばれるICカードや、ICタグのようなモジュールである。ここで、ユーザ特定機器2の利用にあたっては、その利用権限を確認するためパスワードの入力やバイオメトリクス情報の提示等のアクセス制御の仕組みを設けてもよい。
【0038】
図1に示す端末管理サーバ3は、通信手段31と、主制御部32と、ストレージ33とを備えている。主制御部32は、端末管理サーバ3で管理する情報処理端末群の正常な状態の機器構成情報をストレージ33に登録する機器構成情報登録機能32aと、信頼できる相手から機器構成情報の検証要求がなされた場合にその要求に示す内容とストレージ33で保存されている正常な状態の機器構成情報とその他のウイルス定義情報,各種ソフトウェアのパッチ情報などの補足情報とを基に、検証要求がなされた機器構成の検証を行う機器構成情報検証機能32bとを有している。すなわち、主制御部32は、セキュリティチップ12により計測された機器構成情報をストレージ33に記憶された情報と照合し一致した場合に計測情報の正当性を認証する端末構成認証手段としての機能を有している。
【0039】
ここで、主制御部32については、その機能内容をプログラム化してコンピュータに実行させる構成にしてもよい。
【0040】
ストレージ33は、複数の情報処理端末の機器構成情報を保存するリポジトリとして機能し、情報処理端末1の正当な機器構成情報を予め記憶する正常情報記憶手段としての機能を有している。ここで、主制御部32の機器構成情報登録機能32aにおける情報処理端末1の正常な機器構成情報の登録手法は、情報処理端末1から定期的に端末管理サーバ3に通知されるような構成でもよいし、ユーザやサーバ管理者の手動による情報入力を図示していない入力部から入力する構成でもよい。
【0041】
次に、本実施形態のシステムの全体動作を説明する。ここで、情報処理端末認証方法についてもその各工程を示して同時に説明する。
【0042】
図2は、本実施形態の端末認証システムの全体動作を示すシーケンス図である。
【0043】
[手順1]ユーザの認証
ユーザが情報処理端末1を利用する場合、まず、図2のステップS1に示すように、情報処理端末1が、ユーザ特定機器2と接続しているか否かを判定する。接続されていれば、図2のステップS2に示すように、情報処理端末1はユーザ識別モジュール22に格納された識別情報を読み取る(ユーザ認証モジュール読取ステップ)。続いて、図2のステップS3に示すように、情報処理端末1において、ユーザ識別モジュール22から読み取られた識別情報と予めセキュリティチップ12に管理された正当な識別情報とが一致するか否かを検証し(ユーザ認証ステップ)、一致しない場合はその利用者特定モジュール搭載機器2との処理を終了する。このとき、エラー情報をログに出力するか、電子メール等の手段により管理者に通知を行うといった機能を有する構成としてもよい。
【0044】
ここで、ユーザの正当な識別情報は、セキュリティチップ12内のメモリ123に記録されていてもよいし、セキュリティチップ12によって暗号化されてセキュリティチップ12外の情報記憶部14に記憶されていてもよい。暗号化されて記憶された場合はセキュリティチップ12によって復号されて検証処理を行う。また、識別情報の検証処理はセキュリティチップ12内の演算制御部122で実行する構成でもよいし、セキュリティチップ12外の主制御部13で実行する構成としてもよい。
【0045】
[手順2]機器構成の計測
ユーザの識別情報が予め登録されている識別情報と一致した場合、図2のステップS4に示すように、情報処理端末1では、セキュリティチップ12の演算制御部121が、ユーザの実行環境について、ハードウェア/ソフトウェア構成・バージョン等やウイルス定義ファイル、各種ソフトウェアのパッチ適用状況等の機器構成情報を計測し(機器構成情報計測ステップ)、予め管理されている署名鍵(秘密鍵)を用い、乱数を加えるなどして定型フォーマットに加工された機器構成情報に署名を施す。ここで、機器構成情報の計測時には保管してあった前回終了時の計測情報と一致することを検証し、一致しない場合はエラーとする構成としてもよい。機器構成情報の計測情報はセキュリティチップ12のメモリ123内に保持する構成としてもよいし、セキュリティチップ12外の情報記憶部14に暗号化する等の対策を行って保持する構成としてもよい。
【0046】
[手順3]ユーザ特定機器2が機器構成情報を取得
図2のステップS5に示すように、ユーザ特定機器2では、通信手段21が情報処理端末1から署名付きの機器構成情報を受信し取得する。
【0047】
[手順4]ユーザ特定機器2が端末管理サーバ3へ機器構成情報の検証要求
図2のステップS6に示すように、ユーザ特定機器2では、主制御部22が、情報処理端末1から取得した署名付き機器構成情報を端末管理サーバ3に転送し機器構成情報の検証要求を行う。
【0048】
[手順5]端末管理サーバ3による検証
端末管理サーバ3では、ストレージ33で保持されている情報処理端末1の正常な状態の機器構成情報と、ストレージ33に保持されているか又は図示していない別のサーバ等から取得したその他のウイルス定義情報や各種ソフトウェアのパッチ情報などの補足情報とを基に、検証要求がなされた機器構成情報の検証を行う。
【0049】
まずは、図2のステップS7に示すように、検証要求がなされた機器構成情報に付与されている署名の検証を行うことで、情報処理端末1が端末管理サーバ3で管理する端末であることを確認する。このとき、署名が確認されない場合は終了となる。
【0050】
続いて、図2のステップS8に示すように、ハードウェア構成,ソフトウェア構成,ハードウェア/ソフトウェアのバージョン,ウイルス定義ファイルのバージョン,パッチインストール状況等の検証処理を実行する(端末構成認証ステップ)。実行する検証処理の選択では、どの検証を実行するかを定義した検証ポリシを用意して、検証ポリシに従って必要な検証処理を実行する構成としてもよい。
【0051】
[手順6]検証結果をユーザ特定機器2へ通知
検証を行った結果が、情報処理端末1の機器構成が正常でないことを示す場合、終了となる。ここで、検証結果をその内容の如何にかかわらずユーザ特定機器2へ通知する構成としてもよい。検証結果の通知内容は、OK又はNGといった単純なものとしてもよいし、NGの場合には正常でない構成要素とその理由、必要な処置が提示されてもよい。また、検証結果をうけたユーザ特定機器2が検証結果を図示していない画面に表示してもよい。
【0052】
また、検証結果から情報処理端末1は正常ではないが限定的なネットワークへの接続は可能といった場合は、情報処理端末1に対して検証結果を通知し、必要であれば情報処理端末1自身がソフトウェアアップデートやウイルス定義ファイルの更新等の処置を行うような構成でもよい(不当要素提示ステップ)。さらには、必要な更新ソフトウェア等をユーザ特定機器2がダウンロード等の手段で取得し、情報処理端末1へ適用する構成としてもよい。検証結果を受けて必要な処置が必要な場合は適切な対処を行い、対応が完了した場合は再度検証を実施し、ユーザ特定機器2は情報処理端末1におけるユーザの実行環境が正常な状態であることを示す検証結果を取得する。
【0053】
[手順7]ユーザ実行環境の利用許可
情報処理端末1におけるユーザの実行環境が正常な状態であることが認証されると、図2のステップS10に示すように、ユーザ特定機器2は、秘密情報等を情報処理端末1へ通信手段21を介して提供する。この秘密情報には時刻情報や乱数を含む等して一定の値とならない構成としてよい。そして、情報処理端末1はユーザの実行環境を利用可能にする。
【0054】
ここで、本実施形態では、情報処理端末1とユーザ特定機器2と端末管理サーバ3とから構成されているが、これに限らず、ユーザ特定機器2が情報処理端末1内に含まれる又は着脱可能な構成としてもよいし、端末管理サーバ3がユーザ特定機器2内に含まれるような構成としてもよい。
【0055】
以上のように本実施形態によれば、SIMのようなユーザを特定するモジュールを搭載した機器2と、TPMのようなセキュリティチップを搭載した端末1を連携させて認証を行うことで情報処理端末1を利用する権限のあるユーザを確実に認証してから機器検証を実施することが可能なため、情報処理端末1を利用するユーザの実行環境毎に、ハードウェア/ソフトウェアの構成・バージョン等が適当であるか、ウイルス定義ファイルの更新、各種ソフトウェアのパッチ適用が正しく行われているか等を検証可能となる。
【0056】
また、本実施形態は、ユーザ特定モジュール機器2を用いて機器構成の検証が実施可能なように構成されており、ユーザ毎のシステム環境の機器構成が検証された後にユーザの実行環境やネットワーク環境の利用を許可することが可能なため、端末1を利用するユーザ毎の実行環境について、ハードウェア/ソフトウェアの構成・バージョン等が適当であるか、ウイルス定義ファイルの更新、各種ソフトウェアのパッチ適用が正しく行われているか等の実行環境の検証を、検証が行われる前にユーザの実行環境やネットワーク環境を利用することなく実施可能となり、スパイウェア・ウイルス等による被害を防ぐことができる。
【0057】
また、SIMのようなモジュールを搭載した機器2と、TPMのようなセキュリティモジュールを搭載した端末1を連携させてユーザ認証を行っているため、ユーザのID/PW又は生体情報(指紋、静脈パタン、虹彩、顔等)をTPMを用いて保存しておき認証を行うといったシステムと比較して、ID/PWの忘却の恐れを取り去り、生体情報が危殆化した場合の情報の変更不可といった問題点を解決し、確実にユーザを認証することが可能なため、ユーザに負荷を与えずに端末1とユーザの結びつけを安全かつ確実に行うことができる。
【0058】
本実施形態の情報処理端末認証システムは、以上のように構成し動作するため、信頼度の高いユーザ認証及び端末構成認証を実行でき、社内イントラネットや特殊なコミュニティネットワーク、電子商取引等の端末を厳格に管理することが求められている環境に適用できる。また、端末を複数名で共有しなければならない環境で、端末の利用者認証や、利用者毎の実行環境の検証を行うといった用途にも適用可能である。
【図面の簡単な説明】
【0059】
【図1】本発明における一実施形態の情報処理端末認証システムの全体構成を示すブロック図である。
【図2】図1に開示された実施形態の全体の動作を示すシーケンス図である。
【符号の説明】
【0060】
1 情報処理端末
2 ユーザ特定機器
3 端末管理サーバ
4 通信ネットワーク
11 ユーザ認証用通信手段
12 セキュリティチップ
13,22,32 主制御部
14 情報記憶部
15 入力部
16 出力部
21 認証用通信手段
23 ユーザ識別モジュール
24,31 通信手段
33 ストレージ
【技術分野】
【0001】
本発明は、情報処理端末の利用を許可する前に、この情報処理端末の機器構成が正当であるか否かを検証する情報処理端末認証システム及び情報処理端末認証方法,情報処理端末認証用プログラムに関する。
【背景技術】
【0002】
従来、情報処理端末において、記憶されたデータに対する外部からの不正な解析が行われないように様々な防護策を講じられていた。不正なアクセスによる機密データの持ち出しを防ぐための従来方法として、データを暗号化しておき必要に応じてデータを復号するなどのソフトウェアによる防護方法があるが、ソフトウェアは常に改竄の恐れがあり、ソフトウェアで実現される防護策には限界がある。その限界を克服するために、TPM(Trusted Platform Module)と呼ばれるセキュリティチップを情報処理端末に実装する防護策がある。
【0003】
TPMは、情報処理端末内にあって、不正アクセスができない耐タンパ領域をハードウェアで構築する。TPMは、主に、暗号化/復号/署名等に用いる鍵等の秘密情報を保持し暗号化/復号/署名等の処理を実行する機能と、ハードウェア及びソフトウェアの構成が適当であるか、ウイルス定義ファイルの更新や各種ソフトウェアのパッチ適用が正しく行われているかの機器構成情報の正当性を検証する機能とを備えており、情報処理端末のCPUから独立して単体で暗号化・復号、署名の作成・検証、端末の機器構成情報の正当性検証を行うことができる。
【0004】
このようなTPMと呼ばれるセキュリティチップを用いたシステムの従来例が、特許文献1に開示されている。特許文献1に記載された装置は、機器構成情報に基づき情報処理装置の構成が勝手に変更されていないかを検証するようなセキュリティ機能を有したシステムであり、そのセキュリティ機能を無効にした場合でも例外的にOS(Operating System)へのログオンを許可する装置である。また、正当性認証前の端末に対してユーザ側に関する情報を渡すことなく、その端末の正当性を認証する端末正当性保証システムが、特許文献2に開示されている。また、TPM内のレジスタに格納される情報をそれのみでは無意味なものにしておく装置が、特許文献3に開示されている。
【0005】
しかし、これら従来技術は、利用端末内のソフトウェア及びハードウェアが正常であるかの認証をOS起動前に行うが、ユーザ毎の実行環境について機器構成を検証する場合には、不正利用を防ぐために利用端末とユーザとの安全かつ確実な結びつけが必要であるという問題点があった。
【0006】
この問題点に鑑み、利用端末とユーザとの結びつけを行うシステムとして、ユーザのID/パスワード、又は、指紋,静脈パタン,虹彩,顔等の生体情報を保存しておき認証を行うシステムが一般に開示されているが、ID/パスワードを管理することはユーザにとって煩雑で忘却の可能性があるという不都合があり、生体情報は仮に危殆化したときに情報の変更が不可能であるという問題点があった。
【0007】
一方で、利用端末とユーザとの結びつけを行う他のシステムとして、4,5,6に開示されているSIMカードと呼ばれるICカードを用いてユーザを認証するシステムが考えられる。
【0008】
【特許文献1】特開2005‐301564号公報
【特許文献2】特開2005‐293151号公報
【特許文献3】特開2005‐301550号公報
【特許文献4】特開2006‐195728号公報
【特許文献5】特開2004‐355057号公報
【特許文献6】特開2005‐323070号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかしながら、ICカードを用いた認証では、そのユーザ認証処理が信頼できるか否かについては保証できないという問題があった。例えば、ユーザ認証を行うために予め記憶した識別情報を不正に改竄されてしまった場合、正当なICカードを有するユーザが端末を利用できなくなるだけでなく、その改竄された識別情報に一致する情報が記録されたICカードを利用して、不正なアクセスが利用端末に対して可能になってしまう。
【0010】
[目的]
そこで、本発明は、上記従来技術の問題を改善し、情報処理端末のシステム環境を示す機器構成が正常であるか否かを検証する際に、不正アクセスによる検証開始を排除すると共に、そのシステム環境の利用権限を有する正当なユーザの利益を保護することを、その目的とする。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の情報処理端末認証システムは、情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測機能を備えると共に耐タンパ性を有するセキュリティチップと、情報処理端末の正常な状態における機器構成情報を予め記憶する正常情報記憶手段と、セキュリティチップによる計測情報を正常情報記憶手段に記憶された正常情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証手段とを備えた情報処理端末認証システムであり、情報処理端末の利用権限を有するユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段と、このユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールからその認識情報を読み取るユーザ識別モジュール読取手段と、この読み取られた情報をユーザ識別情報記憶手段に記憶された正当な識別情報と照合し一致した場合にユーザの正当性及び利用権限を認証するユーザ認証手段とを備え、ユーザ識別情報記憶手段が、セキュリティチップ内に搭載されて耐タンパ性を有し、ユーザ認証手段は、ユーザを認証した後にセキュリティチップへ機器構成情報計測機能の動作開始を指令することを特徴とする。
【0012】
このような情報処理端末認証システムによれば、SIM(Subscriber Identity Module)のようなユーザ識別モジュールと、TPM(Trusted Platform Module)のようなセキュリティチップとを用いてユーザ認証を行うことで情報処理端末を利用する権限のあるユーザを確実に認証できる。よって、利用端末とユーザとの結びつけを確実に行った上で、端末の機器構成検証を実施することが可能となる。
【0013】
さらに、本発明の情報処理端末認証システムは、情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測機能を備えると共に耐タンパ性を有するセキュリティチップと、情報処理端末の正常な状態における機器構成情報を予め記憶する正常情報記憶手段と、セキュリティチップによる計測情報を正常情報記憶手段に記憶された正常情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証手段とを備えた情報処理端末認証システムであり、情報処理端末の利用権限を有するユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段と、ユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールからその認識情報を読み取るユーザ識別モジュール読取手段と、この読み取られた情報をユーザ識別情報記憶手段に記憶された正当な識別情報と照合し一致した場合にユーザの正当性及び利用権限を認証するユーザ認証手段とを備え、セキュリティチップが、暗号鍵を保持しこの暗号鍵を用いてデータを暗号化又は復号する暗号化処理機能を有し、ユーザ識別記憶部は、セキュリティチップの暗号化処理機能により暗号化された識別情報を記憶し、ユーザ認証手段は、ユーザ識別記憶部に記憶された正当な識別情報をセキュリティチップに復号させて読み取られた情報と照合する機能を有しユーザを認証した後にセキュリティチップへ機器構成情報計測機能の動作開始を指令することを特徴とする。
【0014】
このような情報処理端末認証システムによれば、予め記憶された正当な情報をセキュリティチップが保持する暗号鍵を用いて暗号化しておくことで、信頼性の高いユーザ認証を行うことができる。よって、利用端末とユーザとの結びつけを確実に行った上で、端末の機器構成検証を実施することが可能となる。
【0015】
また、上記の情報処理端末認証システムにおいては、上述した端末構成認証手段により計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示手段を備えてもよい。このようにすると、提示内容を基に、ユーザが必要な改善処置を行うことができる。
【0016】
次に本発明の情報処理端末認証方法は、耐タンパ性を有するセキュリティチップを用いて、情報処理端末の正当性を検証する情報処理端末認証方法であって、情報処理端末の利用権限を有するユーザの認識情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該認識情報を読み取るユーザ識別モジュール読取ステップと、この読み取られた情報をセキュリティチップに管理された正当な識別情報と照合し一致した場合にユーザの正当性及び権限を認証するユーザ認証ステップと、ユーザ認証ステップによりユーザが認証された場合に、セキュリティチップが情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測ステップと、機器構成情報計測ステップによる計測情報を予め記憶された正常な状態における機器構成情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証ステップとを設けたことを特徴とする。
【0017】
また、上記の情報処理端末認証方法において、上述したユーザ認証ステップでは、セキュリティチップの暗号化処理機能により暗号化されて記憶されたユーザの正当な識別情報を復号してユーザ識別モジュール読取ステップで読み取られた情報と照合しユーザの正当性及び権限を検証してもよい。
【0018】
また、上記の情報処理端末認証方法において、上述した端末構成認証ステップにより計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示ステップを設けてもよい。
【0019】
このような情報処理端末方法によれば、上述した情報処理端末システムと同様に、SIMのようなユーザ識別モジュールと、TPMのようなセキュリティチップとを用いてユーザ認証を行うことで情報処理端末を利用する権限のあるユーザを確実に認証できる。よって、利用端末とユーザとの結びつけを確実に行った上で、端末の機器構成検証を実施することが可能となる。
【0020】
次に、本発明の情報処理端末認証用プログラムは、ユーザの実行環境が構築されている情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報の計測情報を耐タンパ性を有するセキュリティチップから入力する計測情報入力処理と、この入力された計測情報を予め記憶された正常な状態における機器構成情報と照合し一致するか否かで当該計測情報の正当性を検証する端末構成認証処理とをコンピュータに実行させる情報処理端末認証用プログラムであり、情報処理端末の利用権限を有するユーザの識別情報を記録し耐タンパ性を有するユーザ識別モジュールから当該識別情報を読み取るユーザ識別モジュール読取処理と、この読取った識別情報をセキュリティチップに管理された正当な識別情報と照合し一致するか否かでユーザの正当性及び権限を検証するユーザ認証処理と、このユーザ認証処理によりユーザが認証された場合にセキュリティチップに対して機器構成情報の計測を指令する計測指令処理とをコンピュータに実行させることを特徴とする。
【0021】
また、上記の情報処理端末認証用プログラムにおいて、上述したユーザ認証処理を、ユーザ識別モジュール読取処理により読み取られた識別情報をセキュリティチップの暗号化処理機能により暗号化された正当な識別情報とそれを復号させて照合し一致するか否かでユーザの正当性及び権限を検証するような内容に特定してもよい。
【0022】
また、上記の情報処理端末認証用プログラムにおいては、上述した端末構成認証処理により計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示処理をコンピュータに実行させてもよい。
【0023】
このような情報処理端末用プログラムによれば、上述した情報処理端末方法と同様に、SIMのようなユーザ識別モジュールと、TPMのようなセキュリティチップとを用いてユーザ認証を行うことで情報処理端末を利用する権限のあるユーザを確実に認証できる。よって、利用端末とユーザとの結びつけを確実に行った上で、端末の機器構成検証を実施することが可能となる。
【発明の効果】
【0024】
本発明は以上のように構成され機能するため、これにより、情報処理端末のシステム環境を示す機器構成が正常であるか否かをセキュリティチップを用いて検証する前に、ICカード等のユーザ識別モジュールとセキュリティチップとの連携によるユーザ認証を実行し、このシステム環境の利用権限のあるユーザをその正当性と共に認証することができる、よって、不正アクセスによる機器検証の開始を排除し、正当なユーザの利益を保護することができる。
【発明を実施するための最良の形態】
【0025】
以下、本発明における一実施形態を、図面を参照して説明する。
【0026】
図1は、本実施形態の情報処理端末認証システムの全体構成を示すブロック図である。図1に示すように、本実施形態は、ユーザの実行環境が構築されている情報処理端末1と、ユーザの識別情報を記録しているユーザ識別モジュール22を装備したユーザ特定機器2と、ユーザ特定機器と接続可能な端末管理サーバ3とから構成されている。
【0027】
図1に示す情報処理端末1は、ユーザ特定機器2に対してデータの送受信を行うユーザ認証用通信手段11と、耐タンパ性を有するセキュリティチップ12と、情報処理端末1の動作を制御する主制御部13と、情報を記憶する情報記憶部14と、ユーザの操作等により情報を入力する入力部15と、提示する情報を図示していない周辺機器へ出力する出力部16とを備えている。
【0028】
主制御部13は、ユーザ特定機器2に装備されたユーザ識別モジュール22に記録された識別情報をユーザ認証用通信手段11を介して読み取り入力するユーザ識別モジュール情報読取手段11として機能する。また、ユーザ認証用通信手段11は、ユーザ特定機器2と通信接続できれば、接触式や、赤外線通信,Bluetooth,Felica等の非接触の近距離無線通信(NFC:Near Field Communication)、RF(Radio Frequency),その他無線通信、または、コネクタ接続等の有線通信のいずれの通信方式を利用してもよい。
【0029】
ここで、主制御部13については、その機能内容をプログラム化してコンピュータに実行させる構成にしてもよい。
【0030】
情報処理端末1に搭載されたセキュリティチップ12は、外部から情報を不正に読み出されない耐タンパ性を有するICチップであり、情報を入出力する入出力部121と、演算処理を行う演算制御部122と、情報を記憶するメモリ123とを備えて構成されている。ここで、耐タンパ性とは、非正規な手段による情報の読み取りを防止する能力であり、耐タンパ性を有するということは、内部構造や記憶データの解析が困難であることを意味する。
【0031】
セキュリティチップ12の演算制御部122は、暗号化/復号/署名等に用いる鍵等の秘密情報をメモリ123に保持させて管理する秘密情報管理機能122aと、暗号化/復号/署名等の処理を実行する暗号処理機能122bと、情報処理端末1内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測及び管理する機器構成情報計測機能122cとを有している。ここで、計測した機器構成情報はセキュリティチップ12内のメモリ123に保持して保護してもよいし、セキュリティチップ12の暗号処理機能122bで暗号化してセキュリティチップ12外の情報記憶部14に記憶してもよい。また、計測した機器構成情報は、演算制御部122の暗号処理機能122bによって署名を付与されて端末管理サーバ3に報告・送信される。
【0032】
ここで、セキュリティチップ12は、TPM(Trusted Platform Module)と呼ばれるICチップと同様に、情報処理端末1の主制御部13から独立して、単体で暗号化・復号、署名の作成・検証、及び端末の機器構成情報の計測・保管を行うことができるような構成である。このようなセキュリティチップ12を情報処理端末1に搭載することで、正規ユーザを装った情報処理端末1内へのアクセスや情報処理端末1上で実行可能な不正ソフトウェア等の情報処理端末1内部からの攻撃に対して防御することができる。
【0033】
そしてさらに、セキュリティチップ12の演算制御部122は、ユーザ特定機器2に装備されたユーザ識別モジュール22から読み取られた識別情報と、メモリ123に予め記憶された正当な識別情報とを照合し一致した場合にユーザの正当性及び利用権限を認証するユーザ認証手段としてのユーザ認証機能122dを有している。このように、セキュリティチップ12がユーザ認証手段としての機能を有していることで、ユーザ認証処理を耐タンパ性を有する領域ででき、より信頼度の高いユーザ認証が可能となる。
【0034】
ここで、本実施形態においては、メモリ123がユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段として機能しているが、これに限らず、正当な識別情報は、セキュリティチップ12によって暗号化されてセキュリティチップ12外の情報記憶部14に記憶されていてもよい。暗号化されて記憶された場合はセキュリティチップ12によって復号されて検証処理を行う。また、正当な識別情報がセキュリティチップ12によって保持又は暗号化され保護されていれば、ユーザ認証機能122dはセキュリティチップ12内の演算制御部122が有する構成でもよいし、セキュリティチップ12外の主制御部13が有する構成でもよい。
【0035】
図1に示すユーザ特定機器2は、情報処理端末1との通信を担う認証用通信手段21と、主制御部22と、耐タンパ性を有するユーザ識別モジュール23と、端末管理サーバ3と通信ネットワーク4を介して通信する通信手段24とを備えている。主制御部22は、情報処理端末1から機器構成の計測情報を認証用通信手段21を介して入力し、端末管理サーバ3へ検証要求と共に送信する端末検証機能22aを備えている。
【0036】
ここで、認証用通信手段21は、接触式や、赤外線通信,Bluetooth,Felica等の近距離無線通信,RF,その他無線通信の非接触式や、コネクタ接続等の有線通信等のいずれの通信方式を利用してもよい。また、この認証用通信手段21については、ユーザ識別モジュール22内に搭載する構成としてもよい。また、本実施形態では、情報処理端末1との通信と端末管理サーバ3との通信とにそれぞれ別の通信手段を設けた構成としているが、情報処理端末1及び端末管理サーバ3との通信を共通の通信手段が行う構成としてもよい。このとき、端末管理サーバ3との通信は、通信ネットワーク4を介さないように構成する。
【0037】
ユーザ識別モジュール22は、耐タンパ性を有しており、ユーザの識別情報を記録していると共に、認証用通信手段21との入出力方式に合わせた入出力インタフェースを有している。このユーザ識別モジュール22は、例えば、ICチップからなるモジュールであり、SIM(Subscriber Identity Module)と呼ばれるICカードや、ICタグのようなモジュールである。ここで、ユーザ特定機器2の利用にあたっては、その利用権限を確認するためパスワードの入力やバイオメトリクス情報の提示等のアクセス制御の仕組みを設けてもよい。
【0038】
図1に示す端末管理サーバ3は、通信手段31と、主制御部32と、ストレージ33とを備えている。主制御部32は、端末管理サーバ3で管理する情報処理端末群の正常な状態の機器構成情報をストレージ33に登録する機器構成情報登録機能32aと、信頼できる相手から機器構成情報の検証要求がなされた場合にその要求に示す内容とストレージ33で保存されている正常な状態の機器構成情報とその他のウイルス定義情報,各種ソフトウェアのパッチ情報などの補足情報とを基に、検証要求がなされた機器構成の検証を行う機器構成情報検証機能32bとを有している。すなわち、主制御部32は、セキュリティチップ12により計測された機器構成情報をストレージ33に記憶された情報と照合し一致した場合に計測情報の正当性を認証する端末構成認証手段としての機能を有している。
【0039】
ここで、主制御部32については、その機能内容をプログラム化してコンピュータに実行させる構成にしてもよい。
【0040】
ストレージ33は、複数の情報処理端末の機器構成情報を保存するリポジトリとして機能し、情報処理端末1の正当な機器構成情報を予め記憶する正常情報記憶手段としての機能を有している。ここで、主制御部32の機器構成情報登録機能32aにおける情報処理端末1の正常な機器構成情報の登録手法は、情報処理端末1から定期的に端末管理サーバ3に通知されるような構成でもよいし、ユーザやサーバ管理者の手動による情報入力を図示していない入力部から入力する構成でもよい。
【0041】
次に、本実施形態のシステムの全体動作を説明する。ここで、情報処理端末認証方法についてもその各工程を示して同時に説明する。
【0042】
図2は、本実施形態の端末認証システムの全体動作を示すシーケンス図である。
【0043】
[手順1]ユーザの認証
ユーザが情報処理端末1を利用する場合、まず、図2のステップS1に示すように、情報処理端末1が、ユーザ特定機器2と接続しているか否かを判定する。接続されていれば、図2のステップS2に示すように、情報処理端末1はユーザ識別モジュール22に格納された識別情報を読み取る(ユーザ認証モジュール読取ステップ)。続いて、図2のステップS3に示すように、情報処理端末1において、ユーザ識別モジュール22から読み取られた識別情報と予めセキュリティチップ12に管理された正当な識別情報とが一致するか否かを検証し(ユーザ認証ステップ)、一致しない場合はその利用者特定モジュール搭載機器2との処理を終了する。このとき、エラー情報をログに出力するか、電子メール等の手段により管理者に通知を行うといった機能を有する構成としてもよい。
【0044】
ここで、ユーザの正当な識別情報は、セキュリティチップ12内のメモリ123に記録されていてもよいし、セキュリティチップ12によって暗号化されてセキュリティチップ12外の情報記憶部14に記憶されていてもよい。暗号化されて記憶された場合はセキュリティチップ12によって復号されて検証処理を行う。また、識別情報の検証処理はセキュリティチップ12内の演算制御部122で実行する構成でもよいし、セキュリティチップ12外の主制御部13で実行する構成としてもよい。
【0045】
[手順2]機器構成の計測
ユーザの識別情報が予め登録されている識別情報と一致した場合、図2のステップS4に示すように、情報処理端末1では、セキュリティチップ12の演算制御部121が、ユーザの実行環境について、ハードウェア/ソフトウェア構成・バージョン等やウイルス定義ファイル、各種ソフトウェアのパッチ適用状況等の機器構成情報を計測し(機器構成情報計測ステップ)、予め管理されている署名鍵(秘密鍵)を用い、乱数を加えるなどして定型フォーマットに加工された機器構成情報に署名を施す。ここで、機器構成情報の計測時には保管してあった前回終了時の計測情報と一致することを検証し、一致しない場合はエラーとする構成としてもよい。機器構成情報の計測情報はセキュリティチップ12のメモリ123内に保持する構成としてもよいし、セキュリティチップ12外の情報記憶部14に暗号化する等の対策を行って保持する構成としてもよい。
【0046】
[手順3]ユーザ特定機器2が機器構成情報を取得
図2のステップS5に示すように、ユーザ特定機器2では、通信手段21が情報処理端末1から署名付きの機器構成情報を受信し取得する。
【0047】
[手順4]ユーザ特定機器2が端末管理サーバ3へ機器構成情報の検証要求
図2のステップS6に示すように、ユーザ特定機器2では、主制御部22が、情報処理端末1から取得した署名付き機器構成情報を端末管理サーバ3に転送し機器構成情報の検証要求を行う。
【0048】
[手順5]端末管理サーバ3による検証
端末管理サーバ3では、ストレージ33で保持されている情報処理端末1の正常な状態の機器構成情報と、ストレージ33に保持されているか又は図示していない別のサーバ等から取得したその他のウイルス定義情報や各種ソフトウェアのパッチ情報などの補足情報とを基に、検証要求がなされた機器構成情報の検証を行う。
【0049】
まずは、図2のステップS7に示すように、検証要求がなされた機器構成情報に付与されている署名の検証を行うことで、情報処理端末1が端末管理サーバ3で管理する端末であることを確認する。このとき、署名が確認されない場合は終了となる。
【0050】
続いて、図2のステップS8に示すように、ハードウェア構成,ソフトウェア構成,ハードウェア/ソフトウェアのバージョン,ウイルス定義ファイルのバージョン,パッチインストール状況等の検証処理を実行する(端末構成認証ステップ)。実行する検証処理の選択では、どの検証を実行するかを定義した検証ポリシを用意して、検証ポリシに従って必要な検証処理を実行する構成としてもよい。
【0051】
[手順6]検証結果をユーザ特定機器2へ通知
検証を行った結果が、情報処理端末1の機器構成が正常でないことを示す場合、終了となる。ここで、検証結果をその内容の如何にかかわらずユーザ特定機器2へ通知する構成としてもよい。検証結果の通知内容は、OK又はNGといった単純なものとしてもよいし、NGの場合には正常でない構成要素とその理由、必要な処置が提示されてもよい。また、検証結果をうけたユーザ特定機器2が検証結果を図示していない画面に表示してもよい。
【0052】
また、検証結果から情報処理端末1は正常ではないが限定的なネットワークへの接続は可能といった場合は、情報処理端末1に対して検証結果を通知し、必要であれば情報処理端末1自身がソフトウェアアップデートやウイルス定義ファイルの更新等の処置を行うような構成でもよい(不当要素提示ステップ)。さらには、必要な更新ソフトウェア等をユーザ特定機器2がダウンロード等の手段で取得し、情報処理端末1へ適用する構成としてもよい。検証結果を受けて必要な処置が必要な場合は適切な対処を行い、対応が完了した場合は再度検証を実施し、ユーザ特定機器2は情報処理端末1におけるユーザの実行環境が正常な状態であることを示す検証結果を取得する。
【0053】
[手順7]ユーザ実行環境の利用許可
情報処理端末1におけるユーザの実行環境が正常な状態であることが認証されると、図2のステップS10に示すように、ユーザ特定機器2は、秘密情報等を情報処理端末1へ通信手段21を介して提供する。この秘密情報には時刻情報や乱数を含む等して一定の値とならない構成としてよい。そして、情報処理端末1はユーザの実行環境を利用可能にする。
【0054】
ここで、本実施形態では、情報処理端末1とユーザ特定機器2と端末管理サーバ3とから構成されているが、これに限らず、ユーザ特定機器2が情報処理端末1内に含まれる又は着脱可能な構成としてもよいし、端末管理サーバ3がユーザ特定機器2内に含まれるような構成としてもよい。
【0055】
以上のように本実施形態によれば、SIMのようなユーザを特定するモジュールを搭載した機器2と、TPMのようなセキュリティチップを搭載した端末1を連携させて認証を行うことで情報処理端末1を利用する権限のあるユーザを確実に認証してから機器検証を実施することが可能なため、情報処理端末1を利用するユーザの実行環境毎に、ハードウェア/ソフトウェアの構成・バージョン等が適当であるか、ウイルス定義ファイルの更新、各種ソフトウェアのパッチ適用が正しく行われているか等を検証可能となる。
【0056】
また、本実施形態は、ユーザ特定モジュール機器2を用いて機器構成の検証が実施可能なように構成されており、ユーザ毎のシステム環境の機器構成が検証された後にユーザの実行環境やネットワーク環境の利用を許可することが可能なため、端末1を利用するユーザ毎の実行環境について、ハードウェア/ソフトウェアの構成・バージョン等が適当であるか、ウイルス定義ファイルの更新、各種ソフトウェアのパッチ適用が正しく行われているか等の実行環境の検証を、検証が行われる前にユーザの実行環境やネットワーク環境を利用することなく実施可能となり、スパイウェア・ウイルス等による被害を防ぐことができる。
【0057】
また、SIMのようなモジュールを搭載した機器2と、TPMのようなセキュリティモジュールを搭載した端末1を連携させてユーザ認証を行っているため、ユーザのID/PW又は生体情報(指紋、静脈パタン、虹彩、顔等)をTPMを用いて保存しておき認証を行うといったシステムと比較して、ID/PWの忘却の恐れを取り去り、生体情報が危殆化した場合の情報の変更不可といった問題点を解決し、確実にユーザを認証することが可能なため、ユーザに負荷を与えずに端末1とユーザの結びつけを安全かつ確実に行うことができる。
【0058】
本実施形態の情報処理端末認証システムは、以上のように構成し動作するため、信頼度の高いユーザ認証及び端末構成認証を実行でき、社内イントラネットや特殊なコミュニティネットワーク、電子商取引等の端末を厳格に管理することが求められている環境に適用できる。また、端末を複数名で共有しなければならない環境で、端末の利用者認証や、利用者毎の実行環境の検証を行うといった用途にも適用可能である。
【図面の簡単な説明】
【0059】
【図1】本発明における一実施形態の情報処理端末認証システムの全体構成を示すブロック図である。
【図2】図1に開示された実施形態の全体の動作を示すシーケンス図である。
【符号の説明】
【0060】
1 情報処理端末
2 ユーザ特定機器
3 端末管理サーバ
4 通信ネットワーク
11 ユーザ認証用通信手段
12 セキュリティチップ
13,22,32 主制御部
14 情報記憶部
15 入力部
16 出力部
21 認証用通信手段
23 ユーザ識別モジュール
24,31 通信手段
33 ストレージ
【特許請求の範囲】
【請求項1】
情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測機能を備えると共に耐タンパ性を有するセキュリティチップと、前記情報処理端末の正常な状態における機器構成情報を予め記憶する正常情報記憶手段と、前記セキュリティチップによる計測情報を前記正常情報記憶手段に記憶された正常情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証手段とを備えた情報処理端末認証システムにおいて、
前記情報処理端末の利用権限を有するユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段と、前記ユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該認識情報を読み取るユーザ識別モジュール読取手段と、この読み取られた情報を前記ユーザ識別情報記憶手段に記憶された正当な識別情報と照合し一致した場合に前記ユーザの正当性及び利用権限を認証するユーザ認証手段とを備え、
前記ユーザ識別情報記憶手段が、前記セキュリティチップ内に搭載されており、前記ユーザ認証手段は、前記ユーザを認証した後に前記セキュリティチップへ前記機器構成情報計測機能の動作開始を指令することを特徴とする情報処理端末認証システム。
【請求項2】
情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測機能を備えると共に耐タンパ性を有するセキュリティチップと、前記情報処理端末の正常な状態における機器構成情報を予め記憶する正常情報記憶手段と、前記セキュリティチップによる計測情報を前記正常情報記憶手段に記憶された正常情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証手段とを備えた情報処理端末認証システムにおいて、
前記情報処理端末の利用権限を有するユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段と、前記ユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該認識情報を読み取るユーザ識別モジュール読取手段と、この読み取られた情報を前記ユーザ識別情報記憶手段に記憶された正当な識別情報と照合し一致した場合に前記ユーザの正当性及び利用権限を認証するユーザ認証手段とを備え、
前記セキュリティチップが、暗号鍵を保持しこの暗号鍵を用いてデータを暗号化又は復号する暗号化処理機能を有し、前記ユーザ識別記憶部は、前記セキュリティチップの暗号化処理機能により暗号化された識別情報を記憶し、前記ユーザ認証手段は、前記ユーザ識別記憶部に記憶された正当な識別情報を前記セキュリティチップに復号させて前記読み取られた情報と照合する機能を有し前記ユーザを認証した後に前記セキュリティチップへ前記機器構成情報計測機能の動作開始を指令することを特徴とする情報処理端末認証システム。
【請求項3】
前記請求項1又は2に記載の情報処理端末認証システムにおいて、
前記端末構成認証手段により前記計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示手段を備えたことを特徴とする情報処理端末認証システム。
【請求項4】
耐タンパ性を有するセキュリティチップを用いて、情報処理端末の正当性を検証する情報処理端末認証方法であって、
前記情報処理端末の利用権限を有するユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該認識情報を読み取るユーザ識別モジュール読取ステップと、
この読み取られた情報を前記セキュリティチップに管理された前記ユーザの正当な識別情報と照合し一致した場合に前記ユーザの正当性及び権限を認証するユーザ認証ステップと、
前記ユーザ認証ステップによりユーザが認証された場合に、前記セキュリティチップが前記情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測ステップと、
前記機器構成情報計測ステップによる計測情報を予め記憶された正当な機器構成情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証ステップとを設けたことを特徴とする情報処理端末認証方法。
【請求項5】
前記請求項4に記載の情報処理端末認証方法において、
前記ユーザ認証ステップでは、前記セキュリティチップの暗号化処理機能により暗号化されて記憶された前記ユーザの正当な識別情報を復号して前記ユーザ識別モジュール読取ステップで読み取られた情報と照合し一致した場合に前記ユーザの正当性及び権限を認証することを特徴とする情報処理端末認証方法。
【請求項6】
前記請求項4又は5に記載の情報処理端末認証方法において、
前記端末構成認証ステップにより前記計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示ステップを設けたことを特徴とする情報処理端末認証方法。
【請求項7】
ユーザの実行環境が構築されている情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報の計測情報を耐タンパ性を有するセキュリティチップから入力する計測情報入力処理と、この入力された計測情報を予め記憶された正当な機器構成情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証処理とをコンピュータに実行させる情報処理端末認証用プログラムにおいて、
前記情報処理端末の利用権限を有するユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該識別情報を読み取るユーザ識別モジュール読取処理と、この読取った識別情報を前記セキュリティチップに管理された前記ユーザの正当な識別情報と照合し一致した場合に前記ユーザの正当性及び権限を認証するユーザ認証処理と、このユーザ認証処理によりユーザが認証された場合に前記セキュリティチップに対して機器構成情報の計測を指令する計測指令処理とを前記コンピュータに実行させることを特徴とする情報処理端末認証用プログラム。
【請求項8】
前記請求項7に記載の情報処理端末認証用プログラムにおいて、
前記ユーザ認証処理を、前記セキュリティチップの暗号化処理機能により予め暗号化されている前記ユーザの正当な識別情報を復号させて前記ユーザ識別モジュール読取処理により読み取られた識別情報と照合し一致する場合に前記ユーザの正当性及び権限を認証するような内容に特定したことを特徴とする情報処理端末認証用プログラム。
【請求項9】
前記請求項7又は8に記載の情報処理端末認証用プログラムにおいて、
前記端末構成認証処理により計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示処理を前記コンピュータに実行させることを特徴とする情報処理端末認証用プログラム。
【請求項1】
情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測機能を備えると共に耐タンパ性を有するセキュリティチップと、前記情報処理端末の正常な状態における機器構成情報を予め記憶する正常情報記憶手段と、前記セキュリティチップによる計測情報を前記正常情報記憶手段に記憶された正常情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証手段とを備えた情報処理端末認証システムにおいて、
前記情報処理端末の利用権限を有するユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段と、前記ユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該認識情報を読み取るユーザ識別モジュール読取手段と、この読み取られた情報を前記ユーザ識別情報記憶手段に記憶された正当な識別情報と照合し一致した場合に前記ユーザの正当性及び利用権限を認証するユーザ認証手段とを備え、
前記ユーザ識別情報記憶手段が、前記セキュリティチップ内に搭載されており、前記ユーザ認証手段は、前記ユーザを認証した後に前記セキュリティチップへ前記機器構成情報計測機能の動作開始を指令することを特徴とする情報処理端末認証システム。
【請求項2】
情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測機能を備えると共に耐タンパ性を有するセキュリティチップと、前記情報処理端末の正常な状態における機器構成情報を予め記憶する正常情報記憶手段と、前記セキュリティチップによる計測情報を前記正常情報記憶手段に記憶された正常情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証手段とを備えた情報処理端末認証システムにおいて、
前記情報処理端末の利用権限を有するユーザの正当な識別情報を予め記憶するユーザ識別情報記憶手段と、前記ユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該認識情報を読み取るユーザ識別モジュール読取手段と、この読み取られた情報を前記ユーザ識別情報記憶手段に記憶された正当な識別情報と照合し一致した場合に前記ユーザの正当性及び利用権限を認証するユーザ認証手段とを備え、
前記セキュリティチップが、暗号鍵を保持しこの暗号鍵を用いてデータを暗号化又は復号する暗号化処理機能を有し、前記ユーザ識別記憶部は、前記セキュリティチップの暗号化処理機能により暗号化された識別情報を記憶し、前記ユーザ認証手段は、前記ユーザ識別記憶部に記憶された正当な識別情報を前記セキュリティチップに復号させて前記読み取られた情報と照合する機能を有し前記ユーザを認証した後に前記セキュリティチップへ前記機器構成情報計測機能の動作開始を指令することを特徴とする情報処理端末認証システム。
【請求項3】
前記請求項1又は2に記載の情報処理端末認証システムにおいて、
前記端末構成認証手段により前記計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示手段を備えたことを特徴とする情報処理端末認証システム。
【請求項4】
耐タンパ性を有するセキュリティチップを用いて、情報処理端末の正当性を検証する情報処理端末認証方法であって、
前記情報処理端末の利用権限を有するユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該認識情報を読み取るユーザ識別モジュール読取ステップと、
この読み取られた情報を前記セキュリティチップに管理された前記ユーザの正当な識別情報と照合し一致した場合に前記ユーザの正当性及び権限を認証するユーザ認証ステップと、
前記ユーザ認証ステップによりユーザが認証された場合に、前記セキュリティチップが前記情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報を計測する機器構成情報計測ステップと、
前記機器構成情報計測ステップによる計測情報を予め記憶された正当な機器構成情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証ステップとを設けたことを特徴とする情報処理端末認証方法。
【請求項5】
前記請求項4に記載の情報処理端末認証方法において、
前記ユーザ認証ステップでは、前記セキュリティチップの暗号化処理機能により暗号化されて記憶された前記ユーザの正当な識別情報を復号して前記ユーザ識別モジュール読取ステップで読み取られた情報と照合し一致した場合に前記ユーザの正当性及び権限を認証することを特徴とする情報処理端末認証方法。
【請求項6】
前記請求項4又は5に記載の情報処理端末認証方法において、
前記端末構成認証ステップにより前記計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示ステップを設けたことを特徴とする情報処理端末認証方法。
【請求項7】
ユーザの実行環境が構築されている情報処理端末内のハードウェア及びソフトウェアの構成を示す機器構成情報の計測情報を耐タンパ性を有するセキュリティチップから入力する計測情報入力処理と、この入力された計測情報を予め記憶された正当な機器構成情報と照合し一致した場合に当該計測情報の正当性を認証する端末構成認証処理とをコンピュータに実行させる情報処理端末認証用プログラムにおいて、
前記情報処理端末の利用権限を有するユーザの識別情報を記録すると共に耐タンパ性を有するユーザ識別モジュールから当該識別情報を読み取るユーザ識別モジュール読取処理と、この読取った識別情報を前記セキュリティチップに管理された前記ユーザの正当な識別情報と照合し一致した場合に前記ユーザの正当性及び権限を認証するユーザ認証処理と、このユーザ認証処理によりユーザが認証された場合に前記セキュリティチップに対して機器構成情報の計測を指令する計測指令処理とを前記コンピュータに実行させることを特徴とする情報処理端末認証用プログラム。
【請求項8】
前記請求項7に記載の情報処理端末認証用プログラムにおいて、
前記ユーザ認証処理を、前記セキュリティチップの暗号化処理機能により予め暗号化されている前記ユーザの正当な識別情報を復号させて前記ユーザ識別モジュール読取処理により読み取られた識別情報と照合し一致する場合に前記ユーザの正当性及び権限を認証するような内容に特定したことを特徴とする情報処理端末認証用プログラム。
【請求項9】
前記請求項7又は8に記載の情報処理端末認証用プログラムにおいて、
前記端末構成認証処理により計測情報の正当性が認証できなかった場合に正常でない機器構成要素を提示する不当要素提示処理を前記コンピュータに実行させることを特徴とする情報処理端末認証用プログラム。
【図1】
【図2】
【図2】
【公開番号】特開2008−226191(P2008−226191A)
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願番号】特願2007−67626(P2007−67626)
【出願日】平成19年3月15日(2007.3.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願日】平成19年3月15日(2007.3.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]