情報処理装置、情報処理システム、情報処理方法及びプログラム
【課題】 ディスク装置に格納された情報を保護する情報処理装置、情報処理システム、情報処理方法及びプログラムを提供する。
【解決手段】 ディスク装置内のブート領域の暗号化及び暗号解除化を行うためのプログラムを格納する記憶手段と、プログラムを動作させる制御手段と、を有し、制御手段は、プログラムを動作させて、ブート領域の暗号化及び暗号解除化を行う。
【解決手段】 ディスク装置内のブート領域の暗号化及び暗号解除化を行うためのプログラムを格納する記憶手段と、プログラムを動作させる制御手段と、を有し、制御手段は、プログラムを動作させて、ブート領域の暗号化及び暗号解除化を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ディスク装置のブート領域に対して暗号化処理を行うBIOS(Basic Input Output System)プログラムによって、ディスク装置に格納された情報を保護する情報処理装置、情報処理システム、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
パーソナルコンピュータ等の情報処理装置のセキュリティに係る従来技術例として、ハードディスクドライブのようなオープンな記録メディアに記録されたコンテンツを不正使用から保護する「コンピュータシステムおよびコンテンツ保護方法」がある(例えば、特許文献1参照)。
また、別の従来技術例として、暗号化または暗号解読プログラムを含んでいるプロセッサに記憶されたデータを保護する「プロセッサ中のデータセキュリティを有するメモリ装置」がある(例えば、特許文献2参照)。
【特許文献1】特開2000−311114号公報
【特許文献2】特開2003−044363号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、上記特許文献1記載の発明は、特定のコンテンツのみを暗号化の対象とした発明であり、また、上記特許2記載の発明は、メモリ上の暗号/復号プログラムのデータを制御する発明であるので、これら従来技術では、ディスク装置のブート領域を暗号化してアクセス制限することによりディスク全体の保護を行うことはできない。
【0004】
ここで、従来のディスク装置内に格納された情報の保護について説明をする。従来、盗難などによって不正に第3者に渡ってしまった情報処理装置のディスク装置内の情報を保護する仕組みとして、ATA(AT Attachment)の仕様でオプショナル機能として定義されているSecurity Featureを用いたHDDパスワード機能があった。また、ディスク装置のデータ保存領域に対して暗号化を施すユーティリティを用いるものが利用されていた。
【0005】
しかしながら、ATAの機能によるHDDパスワード機能は、ATAのオプショナル機能を利用するため、未サポートのディスク装置には利用できない。一方、ユーティリティによるディスク装置のデータ保存領域に対する暗号化は、通常のデータアクセスのときも復号化処理が実行されるため、ディスクアクセスの時間が増加したり、CPUの負荷が増加したりする。
【0006】
本発明の目的は、上記事情に鑑みてなされたものであり、ディスク装置からのOS(Operating System)の起動、及び、OSからのディスク装置アクセスにおいて、ディスク装置のブート領域に対し、情報処理装置本体の固有の情報を付与して暗号化を行うことで、ディスク装置がサポートするATAの機能に依存せず、また、通常データへのアクセスの性能を落とさずに、第3者によって不正にディスク装置が取得された場合でも、ディスクの内容である個人情報や知的財産(IP)を保護することを目的とする。
【課題を解決するための手段】
【0007】
かかる目的を達成するために、請求項1記載の発明は、ブート領域の暗号化及び暗号解除化(復号化)を行うためのプログラムを格納する記憶手段と、プログラムを動作させる制御手段と、を有し、制御手段は、プログラムを動作させて、ブート領域の暗号化及び暗号解除化を行うことを特徴とする。
【0008】
請求項2記載の発明は、請求項1記載の発明において、ブート領域は、情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする。
【0009】
請求項3記載の発明は、請求項1記載の発明において、ブート領域は、情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする。
【0010】
請求項4記載の発明は、請求項1から3のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、ユーザによってブート領域の暗号化の指示を受けた場合、組込装置又は外付け装置からブート領域を読み込み、シグネーチャをチェックし、チェックの結果、所定のシグネーチャではない場合、読み込まれたブート領域を復号化し、ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成し、情報処理装置の識別情報を復号化されたブート領域に付与して暗号化し、暗号化されたブート領域を符号化し、符号化されたブート領域を復号化する際に使用する符号化テーブルを作成し、符号化テーブル及び暗号化キーを記憶手段へ格納し、符号化されたブート領域を、組込装置又は外付け装置に書き戻すことを特徴とする。
【0011】
請求項5載の発明は、請求項1から4のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、情報処理装置の電源が入った場合、各デバイスを初期化し、ブート領域を読み込み、シグネーチャをチェックし、チェックの結果、所定のシグネーチャではない場合、記憶手段に格納されている符号化テーブルを使用して、符号化されたブート領域を復号化し、記憶手段に格納されている暗号化キーを使用して、復号化されたブート領域の暗号化を解除し、暗号化を解除されたブート領域に付与されている識別情報と、当情報処理装置が保持する識別情報とを比較し、比較結果が一致した場合、ブート領域のシグネーチャをチェックし、チェックの結果、所定のシグネーチャであった場合には、情報処理装置のOSを起動することを特徴とする。
【0012】
請求項6記載の発明は、請求項1から5のいずれか1項に記載の発明において、制御手段は、プログラムを制御させることにより、情報処理装置のOSからアクセスの要求があった場合、ブート領域へのアクセスであるかをチェックし、ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出し、BIOS側での処理が終了後、OSに制御を移すことを特徴とする。
【0013】
請求項7記載の発明は、ブート領域の暗号化及び暗号解除化を行うためのプログラムを格納する記憶手段と、プログラムを動作させる制御手段と、を有する情報処理装置と、情報処理装置に接続される機器と、を有する情報処理システムであって、制御手段は、プログラムを動作させて、機器の記憶領域内に確保されたブート領域の暗号化及び暗号解除化を行うことを特徴とする。
【0014】
請求項8記載の発明は、請求項7記載の発明において、機器は、又は、情報処理装置に組み込まれる組込装置、又は、情報処理装置に外付けされる外付け装置のいずれかであることを特徴とする。
【0015】
請求項9記載の発明は、請求項7又は8記載の発明において、制御手段は、プログラムを動作させることにより、ユーザによってブート領域の暗号化の指示を受けた場合、組込装置又は外付け装置からブート領域を読み込み、シグネーチャをチェックし、チェックの結果、所定のシグネーチャではない場合、読み込まれたブート領域を復号化し、ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成し、情報処理装置の識別情報を復号化されたブート領域に付与して暗号化し、暗号化されたブート領域を符号化し、符号化されたブート領域を復号化する際に使用する符号化テーブルを作成し、符号化テーブル及び暗号化キーを記憶手段へ格納し、符号化されたブート領域を、組込装置又は外付け装置に書き戻すことを特徴とする。
【0016】
請求項10記載の発明は、請求項7から9のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、情報処理装置の電源が入った場合、各デバイスを初期化し、ブート領域を読み込み、シグネーチャをチェックし、チェックの結果、所定のシグネーチャではない場合、記憶手段に格納されている符号化テーブルを使用して、符号化されたブート領域を復号化し、記憶手段に格納されている暗号化キーを使用して、復号化されたブート領域の暗号化を解除し、暗号化を解除されたブート領域に付与されている識別情報と、当情報処理装置が保持する識別情報とを比較し、比較結果が一致した場合、ブート領域のシグネーチャをチェックし、チェックの結果、所定のシグネーチャであった場合には、情報処理装置のOSを起動することを特徴とする。
【0017】
請求項11記載の発明は、請求項7から10のいずれか1項に記載の発明において、制御手段は、プログラムを制御させることにより、情報処理装置のOSからアクセスの要求があった場合、ブート領域へのアクセスであるかをチェックし、ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出し、BIOS側での処理が終了後、OSに制御を移すことを特徴とする。
【0018】
請求項12記載の発明は、ブート領域の暗号化及び暗号解除化を行うためのプログラムを格納する記憶手段と、プログラムを動作させる制御手段と、を有する情報処理装置で行われる情報処理方法であって、制御手段は、プログラムを動作させて、ブート領域の暗号化及び暗号解除化を行うことを特徴とする。
【0019】
請求項13記載の発明は、請求項12記載の発明において、ブート領域は、情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする。
【0020】
請求項14記載の発明は、請求項12記載の発明において、ブート領域は、情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする。
【0021】
請求項15記載の発明は、請求項12から14のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、ユーザによってブート領域の暗号化の指示を受けた場合、組込装置又は外付け装置からブート領域を読み込み、シグネーチャをチェックするステップと、チェックの結果、所定のシグネーチャではない場合、読み込まれたブート領域を復号化するステップと、ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成するステップと、情報処理装置の識別情報を復号化されたブート領域に付与するステップし、暗号化するステップと、暗号化されたブート領域を符号化し、符号化されたブート領域を復号化する際に使用する符号化テーブルを作成するステップと、符号化テーブル及び暗号化キーを記憶手段へ格納するステップと、符号化されたブート領域を、組込装置又は外付け装置に書き戻すステップと、を行うことを特徴とする。
【0022】
請求項16記載の発明は、請求項12から15のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、情報処理装置の電源が入った場合、各デバイスを初期化するステップと、ブート領域を読み込み、シグネーチャをチェックするステップと、チェックの結果、所定のシグネーチャではない場合、記憶手段に格納されている符号化テーブルを使用して、符号化されたブート領域を復号化するステップと、記憶手段に格納されている暗号化キーを使用して、復号化されたブート領域の暗号化を解除するステップと、暗号化を解除されたブート領域に付与されている識別情報と、当情報処理装置が保持する識別情報とを比較するステップと、比較結果が一致するステップした場合、ブート領域のシグネーチャをチェックするステップと、チェックの結果、所定のシグネーチャであった場合には、情報処理装置のOSを起動するステップと、を行うことを特徴とする。
【0023】
請求項17記載の発明は、請求項12から16のいずれか1項に記載の発明において、制御手段は、プログラムを制御させることにより、情報処理装置のOSからアクセスの要求があった場合、ブート領域へのアクセスであるかをチェックするステップと、ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出するステップと、BIOS側での処理が終了後、OSに制御を移すステップと、を行うことを特徴とする。
【0024】
請求項18記載の発明は、情報処理装置に、ブート領域の暗号化及び暗号解除化を実行させる。
【0025】
請求項19記載の発明は、請求項18記載の発明において、ブート領域は、情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする。
【0026】
請求項20記載の発明は、請求項18記載の発明において、ブート領域は、情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする。
【0027】
請求項21記載の発明は、請求項18から20のいずれか1項に記載の発明において、情報処理装置に、ユーザによってブート領域の暗号化の指示を受けた場合、組込装置又は外付け装置からブート領域を読み込み、シグネーチャをチェックする処理と、チェックの結果、所定のシグネーチャではない場合、読み込まれたブート領域を復号化する処理と、ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成する処理と、情報処理装置の識別情報を復号化されたブート領域に付与する処理し、暗号化する処理と、暗号化されたブート領域を符号化し、符号化されたブート領域を復号化する際に使用する符号化テーブルを作成する処理と、符号化テーブル及び暗号化キーを記憶する処理と、符号化されたブート領域を、組込装置又は外付け装置に書き戻す処理と、を実行させる。
【0028】
請求項22記載の発明は、請求項18から21のいずれか1項に記載の発明において、情報処理装置に、情報処理装置の電源が入った場合、各デバイスを初期化する処理と、ブート領域を読み込み、シグネーチャをチェックする処理と、チェックの結果、所定のシグネーチャではない場合、予め記憶されている符号化テーブルを使用して、符号化されたブート領域を復号化する処理と、記憶手段に格納されている暗号化キーを使用して、復号化されたブート領域の暗号化を解除する処理と、暗号化を解除されたブート領域に付与されている識別情報と、当情報処理装置が保持する識別情報とを比較する処理と、比較結果が一致する処理した場合、ブート領域のシグネーチャをチェックする処理と、チェックの結果、所定のシグネーチャであった場合には、情報処理装置のOSを起動する処理と、を実行させる。
【0029】
請求項23記載の発明は、請求項18から22のいずれか1項に記載の発明において、情報処理装置に、情報処理装置のOSからアクセスの要求があった場合、ブート領域へのアクセスであるかをチェックする処理と、ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出する処理と、BIOS側での処理が終了後、OSに制御を移す処理と、を実行させる。
【発明の効果】
【0030】
本発明によれば、情報処理装置のディスク装置等に格納された情報を保護することが可能となる。
【発明を実施するための最良の形態】
【0031】
以下、本発明を実施するための最良の形態について添付図面を参照して詳細に説明する。
【0032】
本発明では、ディスク装置のブート領域に情報処理装置本体に個別に割り振られるシリアル番号を含めて暗号化を行い、暗号化されたブート領域に対応した専用BIOSでのみOSの起動を可能とする。
【0033】
ディスク装置のブート領域とは、マスターブートレコードと呼ばれる部分であり、OSの起動コードと、ディスク装置内の区画情報を含む構成情報とが格納されている。このブート領域が正常に読み取れないと、OSがファイルシステムを正常に構築できず、ディスク装置の内容を読み出すことができない。起動後にOSが暗号化されたブート領域にアクセスを行う場合は、専用BIOSと連係動作する専用ドライバを用いる。
【0034】
本発明では、暗号化されたブート領域を持つディスク装置を、他の情報処理装置本体に接続して起動しようとした場合には、ブート領域の暗号化の解除で失敗し、OSを立ち上げることができないようにする。また、本発明は、暗号化されたブート領域を持つディスク装置を、他の情報処理装置本体に接続して、別のディスク装置から立ち上げたOSを用いて、暗号化されたブート領域を持つディスク装置にアクセスした場合、ブート領域にある区画情報を読み取ることができないため正常にディスクを認識することができないようにする。
【0035】
本発明は、オプション機能への対応の有無に関わらず全てのATAのディスク装置で利用することができる。また、ディスク装置の内容全てに対して暗号化を行うわけではないので、ディスク装置に対するアクセス性能を落とすことも無い。
【実施例1】
【0036】
図1は、本実施例の情報処理装置の構成を示すブロック図である。図1に示すように、本実施例の情報処理装置は、一般的なパーソナルコンピュータの構成と同じく、CPU(制御手段)、メモリ制御コントローラ(制御手段)、多機能制御コントローラ(制御手段)、メインメモリ、I/Oデバイスなどを有する。
【0037】
FLASH ROM101は、読み書き可能な不揮発な記憶デバイスであり、BIOS(Basic Input Output System)プログラム102が格納される。このBIOSプログラム102は、ブート領域の暗号化及び復号化(暗号解除化)を行うためのプログラムであり、CPUや多機能制御コントローラといった制御手段によって動作され、情報処理装置の動作を制御する。情報処理装置は、このBIOSプログラム102の制御により以下に説明する処理(図2,図3,図4)を実行する。
【0038】
FLASH ROM101は、BIOSプログラム102の他に、符号化によるサイズ圧縮されたブート領域を復号化するときに利用する符号化テーブル103、暗号化されたブート領域の復号化で利用する暗号化キー104を保持する。
【0039】
ディスク装置105は、一般的なハードディスク装置であり、ディスクの先頭にブート領域(マスターブートレコード)106を持ち、区画(パーティション)に区切られた領域にOSが格納される。このOSは、暗号化されたブート領域のアクセスに対応した専用ドライバ107を有する。なお、ディスク装置105は、情報処理装置に対して外付けするタイプ、又は、情報処理装置内に組み込むタイプのどちらでもよい。
【0040】
不揮発性記憶デバイス108には、情報処理装置固有の情報である識別情報(本実施例ではシリアル番号)が格納される。識別情報は装置本体毎に異なり、装置出荷時に個々の装置に対して設定される。
【0041】
次に、本実施例の情報処理装置のブート時の動作について、図2のフローチャートを参照して説明する。なお、以下の処理はBIOSプログラム102の制御により行われる。
【0042】
情報処理装置の電源が入ると、FLASH ROM101内のBIOSプログラム102が処理実行を開始する。まず、メモリの初期化、CPUの初期設定、搭載デバイスの初期設定を行う(ステップS201)。
【0043】
通常のBIOSによる初期化処理が終わった後、BIOS内のOS起動処理において、ディスク装置の記憶領域の先頭に確保されたブート領域を読み出して(ステップS202)、最後の2バイトをチェックする(ステップS203)。チェックの結果、所定のシグネーチャ文字である場合には(ステップS204/Yes)、暗号化されていないディスク装置として起動処理を行い(ステップS209〜ステップS211)、シグネーチャ文字ではない場合には(ステップS203/No)、読み出したブート領域が暗号化されているものと判断して、そのブート領域の復号化処理を開始する。
【0044】
暗号化されたブート領域は、符号化処理にてデータサイズが圧縮されているので、FLASH ROM102内に格納されている符号化テーブル103の情報を用いて符号化データの復号化処理を行う(ステップS204)。
【0045】
その後、FLASH ROM102内に格納されている暗号化キー104を使って暗号化されたブート領域の暗号化解除処理を行う(ステップS205)。暗号化が解除されたブート領域の後半に結合(付与)されている製品シリアル番号と、不揮発記憶デバイス108内の製品シリアル番号との比較を行う(ステップS206)。比較結果が一致した場合には(ステップS206/Yes)、ブート領域のシグネーチャを確認する(ステップS207)。所定のシグネーチャ文字であった場合には(ステップS207/Yes)、OSの起動処理を実行する(ステップS210)。
【0046】
シリアル番号の確認で比較結果が一致しなかった場合(ステップS206/No)、又は、復号化処理結果の確認のためのシグネーチャのチェックでエラーとなった場合には(ステップS207/No)、POST(Power On Self Test)処理を中断する(ステップS208)。
【0047】
次に、本実施例の情報処理装置におけるOS起動後のブート領域へのアクセスについて、図3のフローチャートを参照して説明する。なお、以下の処理はBIOSプログラム102の制御により行われる。
【0048】
OSから専用ドライバ107に対してディスクアクセスの要求があったときに、ブート領域へのアクセスであるかチェックを行う(ステップS301)。ブート領域へのアクセスでなかった場合は(ステップS301/No)、通常のアクセス処理を行い(ステップS305)、その後OSに制御が移る(ステップS306)。ブート領域へのアクセスであった場合は(ステップS301/Yes)、BIOSのブート領域アクセスサービスコールを呼び出す(ステップS302)。
【0049】
その後、BIOS内のBIOSブート領域アクセス処理に制御が移り(ステップS303)、ブート領域の復号化処理が実行される(ステップS304)。ここではOS起動時と同様の手順でブート領域の復号化が行われ、その後アクセス処理が行われる。
【0050】
BIOS側での処理が終わると、再びBIOSのブート領域アクセスサービスコールの呼び出しに制御が移り(ステップS302)、その後OSに制御が移る(ステップS306)。
【0051】
次に、本実施例の情報処理装置におけるディスク装置のブート領域の暗号化処理について、図4のフローチャートを参照して説明する。なお、以下の処理はBIOSプログラム102の制御により行われる。
【0052】
BIOSのセットアップ画面を介するユーザの入力操作等によって、ディスク装置のブート領域の暗号化の指示を受けると、ディスク装置からブート領域を読み込み(ステップS401)、シグネーチャのチェックを行う(ステップS402)。
【0053】
所定のシグネーチャでなかった場合は(ステップS402/No)、暗号化されたブート領域と判断して、読み込んだブート領域の復号化処理を行う(ステップS403)。その後、セットアップ画面などでユーザ入力によって得た情報などを初期ベクターとして暗号化キーを生成する(ステップS404)。不揮発記憶デバイスから識別情報であるシリアル番号を読み込み(ステップS405)、読み込んだシリアル番号を、復号化したブート領域の後ろに結合(付与)して暗号化を行う(ステップS406)。
【0054】
ブート領域の暗号化が終了すると、次に、この暗号化されたブート領域について、データサイズを圧縮するための符号化を行う(ステップS407)。符号化処理の結果作成される符号化テーブル103をFLASH ROM102へ書き込んで格納し(ステップS408)、また、暗号化キー104をFLASH ROM102へ書き込んで格納した後(ステップS409)、暗号化及び符号化されたブート領域を、ディスク装置が有する記憶領域に書き戻して(ステップS410)、システムの再起動を行う(ステップS411)。
【0055】
以上説明した本実施例によれば、以下の効果を奏する。
第1の効果は、ディスク装置のブート領域は情報処理装置本体内のFLASH ROMや不揮発記憶デバイスにある情報を使って暗号化されているため、他の装置にブート領域を暗号化されたディスク装置を装着しても、ディスク装置の内容を正確に読みとることができない。
第2の効果は、暗号化処理をBIOSやドライバなどソフトウエアだけで行うため、ディスク装置が実装するATAのオプション機能に関係なくセキュリティを実現できることである。
第3の効果は、ブート領域のみの暗号化でディスク装置へのアクセス制限を行うため、ディスク全体を暗号化する方法に比べて、通常処理のディスク装置へのアクセス処理が高速に行われることである。
【実施例2】
【0056】
実施例1では、情報処理装置としてパーソナルコンピュータを対象としたが、ハードディスクと同じ仕組みでアクセスされる他の記憶装置(Compact Flashなど)にも適用可能である。また、パーソナルコンピュータだけでなく、ハードディスクなどを利用する組み込み装置においても使用が可能である。
【0057】
また、実施例1の処理動作だけでなく、必要に応じて他の暗号化、アクセス制限機能と組み合わせることで、より強固なセキュリティを得ることができる。
【0058】
以上、本発明の実施例について説明したが、上記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々の変形が可能である。
【図面の簡単な説明】
【0059】
【図1】本発明の実施例1に係り、情報処理装置の構成を示すブロック図である。
【図2】本発明の実施例1に係り、ブート時の処理を示すフローチャートである。
【図3】本発明の実施例1に係り、OS起動後のブート領域へのアクセス処理を示すフローチャートである。
【図4】本発明の実施例1に係り、ディスク装置のブート領域の暗号化処理を示すフローチャートである。
【符号の説明】
【0060】
101 FLASH ROM(記憶手段の一例)
102 BIOSプログラム
103 符号化テーブル
104 暗号化キー
105 ディスク装置(組込装置、外付け装置、及び機器の一例)
106 ブート領域
107 専用ドライバ
108 不揮発記憶デバイス
【技術分野】
【0001】
本発明は、ディスク装置のブート領域に対して暗号化処理を行うBIOS(Basic Input Output System)プログラムによって、ディスク装置に格納された情報を保護する情報処理装置、情報処理システム、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
パーソナルコンピュータ等の情報処理装置のセキュリティに係る従来技術例として、ハードディスクドライブのようなオープンな記録メディアに記録されたコンテンツを不正使用から保護する「コンピュータシステムおよびコンテンツ保護方法」がある(例えば、特許文献1参照)。
また、別の従来技術例として、暗号化または暗号解読プログラムを含んでいるプロセッサに記憶されたデータを保護する「プロセッサ中のデータセキュリティを有するメモリ装置」がある(例えば、特許文献2参照)。
【特許文献1】特開2000−311114号公報
【特許文献2】特開2003−044363号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、上記特許文献1記載の発明は、特定のコンテンツのみを暗号化の対象とした発明であり、また、上記特許2記載の発明は、メモリ上の暗号/復号プログラムのデータを制御する発明であるので、これら従来技術では、ディスク装置のブート領域を暗号化してアクセス制限することによりディスク全体の保護を行うことはできない。
【0004】
ここで、従来のディスク装置内に格納された情報の保護について説明をする。従来、盗難などによって不正に第3者に渡ってしまった情報処理装置のディスク装置内の情報を保護する仕組みとして、ATA(AT Attachment)の仕様でオプショナル機能として定義されているSecurity Featureを用いたHDDパスワード機能があった。また、ディスク装置のデータ保存領域に対して暗号化を施すユーティリティを用いるものが利用されていた。
【0005】
しかしながら、ATAの機能によるHDDパスワード機能は、ATAのオプショナル機能を利用するため、未サポートのディスク装置には利用できない。一方、ユーティリティによるディスク装置のデータ保存領域に対する暗号化は、通常のデータアクセスのときも復号化処理が実行されるため、ディスクアクセスの時間が増加したり、CPUの負荷が増加したりする。
【0006】
本発明の目的は、上記事情に鑑みてなされたものであり、ディスク装置からのOS(Operating System)の起動、及び、OSからのディスク装置アクセスにおいて、ディスク装置のブート領域に対し、情報処理装置本体の固有の情報を付与して暗号化を行うことで、ディスク装置がサポートするATAの機能に依存せず、また、通常データへのアクセスの性能を落とさずに、第3者によって不正にディスク装置が取得された場合でも、ディスクの内容である個人情報や知的財産(IP)を保護することを目的とする。
【課題を解決するための手段】
【0007】
かかる目的を達成するために、請求項1記載の発明は、ブート領域の暗号化及び暗号解除化(復号化)を行うためのプログラムを格納する記憶手段と、プログラムを動作させる制御手段と、を有し、制御手段は、プログラムを動作させて、ブート領域の暗号化及び暗号解除化を行うことを特徴とする。
【0008】
請求項2記載の発明は、請求項1記載の発明において、ブート領域は、情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする。
【0009】
請求項3記載の発明は、請求項1記載の発明において、ブート領域は、情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする。
【0010】
請求項4記載の発明は、請求項1から3のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、ユーザによってブート領域の暗号化の指示を受けた場合、組込装置又は外付け装置からブート領域を読み込み、シグネーチャをチェックし、チェックの結果、所定のシグネーチャではない場合、読み込まれたブート領域を復号化し、ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成し、情報処理装置の識別情報を復号化されたブート領域に付与して暗号化し、暗号化されたブート領域を符号化し、符号化されたブート領域を復号化する際に使用する符号化テーブルを作成し、符号化テーブル及び暗号化キーを記憶手段へ格納し、符号化されたブート領域を、組込装置又は外付け装置に書き戻すことを特徴とする。
【0011】
請求項5載の発明は、請求項1から4のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、情報処理装置の電源が入った場合、各デバイスを初期化し、ブート領域を読み込み、シグネーチャをチェックし、チェックの結果、所定のシグネーチャではない場合、記憶手段に格納されている符号化テーブルを使用して、符号化されたブート領域を復号化し、記憶手段に格納されている暗号化キーを使用して、復号化されたブート領域の暗号化を解除し、暗号化を解除されたブート領域に付与されている識別情報と、当情報処理装置が保持する識別情報とを比較し、比較結果が一致した場合、ブート領域のシグネーチャをチェックし、チェックの結果、所定のシグネーチャであった場合には、情報処理装置のOSを起動することを特徴とする。
【0012】
請求項6記載の発明は、請求項1から5のいずれか1項に記載の発明において、制御手段は、プログラムを制御させることにより、情報処理装置のOSからアクセスの要求があった場合、ブート領域へのアクセスであるかをチェックし、ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出し、BIOS側での処理が終了後、OSに制御を移すことを特徴とする。
【0013】
請求項7記載の発明は、ブート領域の暗号化及び暗号解除化を行うためのプログラムを格納する記憶手段と、プログラムを動作させる制御手段と、を有する情報処理装置と、情報処理装置に接続される機器と、を有する情報処理システムであって、制御手段は、プログラムを動作させて、機器の記憶領域内に確保されたブート領域の暗号化及び暗号解除化を行うことを特徴とする。
【0014】
請求項8記載の発明は、請求項7記載の発明において、機器は、又は、情報処理装置に組み込まれる組込装置、又は、情報処理装置に外付けされる外付け装置のいずれかであることを特徴とする。
【0015】
請求項9記載の発明は、請求項7又は8記載の発明において、制御手段は、プログラムを動作させることにより、ユーザによってブート領域の暗号化の指示を受けた場合、組込装置又は外付け装置からブート領域を読み込み、シグネーチャをチェックし、チェックの結果、所定のシグネーチャではない場合、読み込まれたブート領域を復号化し、ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成し、情報処理装置の識別情報を復号化されたブート領域に付与して暗号化し、暗号化されたブート領域を符号化し、符号化されたブート領域を復号化する際に使用する符号化テーブルを作成し、符号化テーブル及び暗号化キーを記憶手段へ格納し、符号化されたブート領域を、組込装置又は外付け装置に書き戻すことを特徴とする。
【0016】
請求項10記載の発明は、請求項7から9のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、情報処理装置の電源が入った場合、各デバイスを初期化し、ブート領域を読み込み、シグネーチャをチェックし、チェックの結果、所定のシグネーチャではない場合、記憶手段に格納されている符号化テーブルを使用して、符号化されたブート領域を復号化し、記憶手段に格納されている暗号化キーを使用して、復号化されたブート領域の暗号化を解除し、暗号化を解除されたブート領域に付与されている識別情報と、当情報処理装置が保持する識別情報とを比較し、比較結果が一致した場合、ブート領域のシグネーチャをチェックし、チェックの結果、所定のシグネーチャであった場合には、情報処理装置のOSを起動することを特徴とする。
【0017】
請求項11記載の発明は、請求項7から10のいずれか1項に記載の発明において、制御手段は、プログラムを制御させることにより、情報処理装置のOSからアクセスの要求があった場合、ブート領域へのアクセスであるかをチェックし、ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出し、BIOS側での処理が終了後、OSに制御を移すことを特徴とする。
【0018】
請求項12記載の発明は、ブート領域の暗号化及び暗号解除化を行うためのプログラムを格納する記憶手段と、プログラムを動作させる制御手段と、を有する情報処理装置で行われる情報処理方法であって、制御手段は、プログラムを動作させて、ブート領域の暗号化及び暗号解除化を行うことを特徴とする。
【0019】
請求項13記載の発明は、請求項12記載の発明において、ブート領域は、情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする。
【0020】
請求項14記載の発明は、請求項12記載の発明において、ブート領域は、情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする。
【0021】
請求項15記載の発明は、請求項12から14のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、ユーザによってブート領域の暗号化の指示を受けた場合、組込装置又は外付け装置からブート領域を読み込み、シグネーチャをチェックするステップと、チェックの結果、所定のシグネーチャではない場合、読み込まれたブート領域を復号化するステップと、ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成するステップと、情報処理装置の識別情報を復号化されたブート領域に付与するステップし、暗号化するステップと、暗号化されたブート領域を符号化し、符号化されたブート領域を復号化する際に使用する符号化テーブルを作成するステップと、符号化テーブル及び暗号化キーを記憶手段へ格納するステップと、符号化されたブート領域を、組込装置又は外付け装置に書き戻すステップと、を行うことを特徴とする。
【0022】
請求項16記載の発明は、請求項12から15のいずれか1項に記載の発明において、制御手段は、プログラムを動作させることにより、情報処理装置の電源が入った場合、各デバイスを初期化するステップと、ブート領域を読み込み、シグネーチャをチェックするステップと、チェックの結果、所定のシグネーチャではない場合、記憶手段に格納されている符号化テーブルを使用して、符号化されたブート領域を復号化するステップと、記憶手段に格納されている暗号化キーを使用して、復号化されたブート領域の暗号化を解除するステップと、暗号化を解除されたブート領域に付与されている識別情報と、当情報処理装置が保持する識別情報とを比較するステップと、比較結果が一致するステップした場合、ブート領域のシグネーチャをチェックするステップと、チェックの結果、所定のシグネーチャであった場合には、情報処理装置のOSを起動するステップと、を行うことを特徴とする。
【0023】
請求項17記載の発明は、請求項12から16のいずれか1項に記載の発明において、制御手段は、プログラムを制御させることにより、情報処理装置のOSからアクセスの要求があった場合、ブート領域へのアクセスであるかをチェックするステップと、ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出するステップと、BIOS側での処理が終了後、OSに制御を移すステップと、を行うことを特徴とする。
【0024】
請求項18記載の発明は、情報処理装置に、ブート領域の暗号化及び暗号解除化を実行させる。
【0025】
請求項19記載の発明は、請求項18記載の発明において、ブート領域は、情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする。
【0026】
請求項20記載の発明は、請求項18記載の発明において、ブート領域は、情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする。
【0027】
請求項21記載の発明は、請求項18から20のいずれか1項に記載の発明において、情報処理装置に、ユーザによってブート領域の暗号化の指示を受けた場合、組込装置又は外付け装置からブート領域を読み込み、シグネーチャをチェックする処理と、チェックの結果、所定のシグネーチャではない場合、読み込まれたブート領域を復号化する処理と、ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成する処理と、情報処理装置の識別情報を復号化されたブート領域に付与する処理し、暗号化する処理と、暗号化されたブート領域を符号化し、符号化されたブート領域を復号化する際に使用する符号化テーブルを作成する処理と、符号化テーブル及び暗号化キーを記憶する処理と、符号化されたブート領域を、組込装置又は外付け装置に書き戻す処理と、を実行させる。
【0028】
請求項22記載の発明は、請求項18から21のいずれか1項に記載の発明において、情報処理装置に、情報処理装置の電源が入った場合、各デバイスを初期化する処理と、ブート領域を読み込み、シグネーチャをチェックする処理と、チェックの結果、所定のシグネーチャではない場合、予め記憶されている符号化テーブルを使用して、符号化されたブート領域を復号化する処理と、記憶手段に格納されている暗号化キーを使用して、復号化されたブート領域の暗号化を解除する処理と、暗号化を解除されたブート領域に付与されている識別情報と、当情報処理装置が保持する識別情報とを比較する処理と、比較結果が一致する処理した場合、ブート領域のシグネーチャをチェックする処理と、チェックの結果、所定のシグネーチャであった場合には、情報処理装置のOSを起動する処理と、を実行させる。
【0029】
請求項23記載の発明は、請求項18から22のいずれか1項に記載の発明において、情報処理装置に、情報処理装置のOSからアクセスの要求があった場合、ブート領域へのアクセスであるかをチェックする処理と、ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出する処理と、BIOS側での処理が終了後、OSに制御を移す処理と、を実行させる。
【発明の効果】
【0030】
本発明によれば、情報処理装置のディスク装置等に格納された情報を保護することが可能となる。
【発明を実施するための最良の形態】
【0031】
以下、本発明を実施するための最良の形態について添付図面を参照して詳細に説明する。
【0032】
本発明では、ディスク装置のブート領域に情報処理装置本体に個別に割り振られるシリアル番号を含めて暗号化を行い、暗号化されたブート領域に対応した専用BIOSでのみOSの起動を可能とする。
【0033】
ディスク装置のブート領域とは、マスターブートレコードと呼ばれる部分であり、OSの起動コードと、ディスク装置内の区画情報を含む構成情報とが格納されている。このブート領域が正常に読み取れないと、OSがファイルシステムを正常に構築できず、ディスク装置の内容を読み出すことができない。起動後にOSが暗号化されたブート領域にアクセスを行う場合は、専用BIOSと連係動作する専用ドライバを用いる。
【0034】
本発明では、暗号化されたブート領域を持つディスク装置を、他の情報処理装置本体に接続して起動しようとした場合には、ブート領域の暗号化の解除で失敗し、OSを立ち上げることができないようにする。また、本発明は、暗号化されたブート領域を持つディスク装置を、他の情報処理装置本体に接続して、別のディスク装置から立ち上げたOSを用いて、暗号化されたブート領域を持つディスク装置にアクセスした場合、ブート領域にある区画情報を読み取ることができないため正常にディスクを認識することができないようにする。
【0035】
本発明は、オプション機能への対応の有無に関わらず全てのATAのディスク装置で利用することができる。また、ディスク装置の内容全てに対して暗号化を行うわけではないので、ディスク装置に対するアクセス性能を落とすことも無い。
【実施例1】
【0036】
図1は、本実施例の情報処理装置の構成を示すブロック図である。図1に示すように、本実施例の情報処理装置は、一般的なパーソナルコンピュータの構成と同じく、CPU(制御手段)、メモリ制御コントローラ(制御手段)、多機能制御コントローラ(制御手段)、メインメモリ、I/Oデバイスなどを有する。
【0037】
FLASH ROM101は、読み書き可能な不揮発な記憶デバイスであり、BIOS(Basic Input Output System)プログラム102が格納される。このBIOSプログラム102は、ブート領域の暗号化及び復号化(暗号解除化)を行うためのプログラムであり、CPUや多機能制御コントローラといった制御手段によって動作され、情報処理装置の動作を制御する。情報処理装置は、このBIOSプログラム102の制御により以下に説明する処理(図2,図3,図4)を実行する。
【0038】
FLASH ROM101は、BIOSプログラム102の他に、符号化によるサイズ圧縮されたブート領域を復号化するときに利用する符号化テーブル103、暗号化されたブート領域の復号化で利用する暗号化キー104を保持する。
【0039】
ディスク装置105は、一般的なハードディスク装置であり、ディスクの先頭にブート領域(マスターブートレコード)106を持ち、区画(パーティション)に区切られた領域にOSが格納される。このOSは、暗号化されたブート領域のアクセスに対応した専用ドライバ107を有する。なお、ディスク装置105は、情報処理装置に対して外付けするタイプ、又は、情報処理装置内に組み込むタイプのどちらでもよい。
【0040】
不揮発性記憶デバイス108には、情報処理装置固有の情報である識別情報(本実施例ではシリアル番号)が格納される。識別情報は装置本体毎に異なり、装置出荷時に個々の装置に対して設定される。
【0041】
次に、本実施例の情報処理装置のブート時の動作について、図2のフローチャートを参照して説明する。なお、以下の処理はBIOSプログラム102の制御により行われる。
【0042】
情報処理装置の電源が入ると、FLASH ROM101内のBIOSプログラム102が処理実行を開始する。まず、メモリの初期化、CPUの初期設定、搭載デバイスの初期設定を行う(ステップS201)。
【0043】
通常のBIOSによる初期化処理が終わった後、BIOS内のOS起動処理において、ディスク装置の記憶領域の先頭に確保されたブート領域を読み出して(ステップS202)、最後の2バイトをチェックする(ステップS203)。チェックの結果、所定のシグネーチャ文字である場合には(ステップS204/Yes)、暗号化されていないディスク装置として起動処理を行い(ステップS209〜ステップS211)、シグネーチャ文字ではない場合には(ステップS203/No)、読み出したブート領域が暗号化されているものと判断して、そのブート領域の復号化処理を開始する。
【0044】
暗号化されたブート領域は、符号化処理にてデータサイズが圧縮されているので、FLASH ROM102内に格納されている符号化テーブル103の情報を用いて符号化データの復号化処理を行う(ステップS204)。
【0045】
その後、FLASH ROM102内に格納されている暗号化キー104を使って暗号化されたブート領域の暗号化解除処理を行う(ステップS205)。暗号化が解除されたブート領域の後半に結合(付与)されている製品シリアル番号と、不揮発記憶デバイス108内の製品シリアル番号との比較を行う(ステップS206)。比較結果が一致した場合には(ステップS206/Yes)、ブート領域のシグネーチャを確認する(ステップS207)。所定のシグネーチャ文字であった場合には(ステップS207/Yes)、OSの起動処理を実行する(ステップS210)。
【0046】
シリアル番号の確認で比較結果が一致しなかった場合(ステップS206/No)、又は、復号化処理結果の確認のためのシグネーチャのチェックでエラーとなった場合には(ステップS207/No)、POST(Power On Self Test)処理を中断する(ステップS208)。
【0047】
次に、本実施例の情報処理装置におけるOS起動後のブート領域へのアクセスについて、図3のフローチャートを参照して説明する。なお、以下の処理はBIOSプログラム102の制御により行われる。
【0048】
OSから専用ドライバ107に対してディスクアクセスの要求があったときに、ブート領域へのアクセスであるかチェックを行う(ステップS301)。ブート領域へのアクセスでなかった場合は(ステップS301/No)、通常のアクセス処理を行い(ステップS305)、その後OSに制御が移る(ステップS306)。ブート領域へのアクセスであった場合は(ステップS301/Yes)、BIOSのブート領域アクセスサービスコールを呼び出す(ステップS302)。
【0049】
その後、BIOS内のBIOSブート領域アクセス処理に制御が移り(ステップS303)、ブート領域の復号化処理が実行される(ステップS304)。ここではOS起動時と同様の手順でブート領域の復号化が行われ、その後アクセス処理が行われる。
【0050】
BIOS側での処理が終わると、再びBIOSのブート領域アクセスサービスコールの呼び出しに制御が移り(ステップS302)、その後OSに制御が移る(ステップS306)。
【0051】
次に、本実施例の情報処理装置におけるディスク装置のブート領域の暗号化処理について、図4のフローチャートを参照して説明する。なお、以下の処理はBIOSプログラム102の制御により行われる。
【0052】
BIOSのセットアップ画面を介するユーザの入力操作等によって、ディスク装置のブート領域の暗号化の指示を受けると、ディスク装置からブート領域を読み込み(ステップS401)、シグネーチャのチェックを行う(ステップS402)。
【0053】
所定のシグネーチャでなかった場合は(ステップS402/No)、暗号化されたブート領域と判断して、読み込んだブート領域の復号化処理を行う(ステップS403)。その後、セットアップ画面などでユーザ入力によって得た情報などを初期ベクターとして暗号化キーを生成する(ステップS404)。不揮発記憶デバイスから識別情報であるシリアル番号を読み込み(ステップS405)、読み込んだシリアル番号を、復号化したブート領域の後ろに結合(付与)して暗号化を行う(ステップS406)。
【0054】
ブート領域の暗号化が終了すると、次に、この暗号化されたブート領域について、データサイズを圧縮するための符号化を行う(ステップS407)。符号化処理の結果作成される符号化テーブル103をFLASH ROM102へ書き込んで格納し(ステップS408)、また、暗号化キー104をFLASH ROM102へ書き込んで格納した後(ステップS409)、暗号化及び符号化されたブート領域を、ディスク装置が有する記憶領域に書き戻して(ステップS410)、システムの再起動を行う(ステップS411)。
【0055】
以上説明した本実施例によれば、以下の効果を奏する。
第1の効果は、ディスク装置のブート領域は情報処理装置本体内のFLASH ROMや不揮発記憶デバイスにある情報を使って暗号化されているため、他の装置にブート領域を暗号化されたディスク装置を装着しても、ディスク装置の内容を正確に読みとることができない。
第2の効果は、暗号化処理をBIOSやドライバなどソフトウエアだけで行うため、ディスク装置が実装するATAのオプション機能に関係なくセキュリティを実現できることである。
第3の効果は、ブート領域のみの暗号化でディスク装置へのアクセス制限を行うため、ディスク全体を暗号化する方法に比べて、通常処理のディスク装置へのアクセス処理が高速に行われることである。
【実施例2】
【0056】
実施例1では、情報処理装置としてパーソナルコンピュータを対象としたが、ハードディスクと同じ仕組みでアクセスされる他の記憶装置(Compact Flashなど)にも適用可能である。また、パーソナルコンピュータだけでなく、ハードディスクなどを利用する組み込み装置においても使用が可能である。
【0057】
また、実施例1の処理動作だけでなく、必要に応じて他の暗号化、アクセス制限機能と組み合わせることで、より強固なセキュリティを得ることができる。
【0058】
以上、本発明の実施例について説明したが、上記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々の変形が可能である。
【図面の簡単な説明】
【0059】
【図1】本発明の実施例1に係り、情報処理装置の構成を示すブロック図である。
【図2】本発明の実施例1に係り、ブート時の処理を示すフローチャートである。
【図3】本発明の実施例1に係り、OS起動後のブート領域へのアクセス処理を示すフローチャートである。
【図4】本発明の実施例1に係り、ディスク装置のブート領域の暗号化処理を示すフローチャートである。
【符号の説明】
【0060】
101 FLASH ROM(記憶手段の一例)
102 BIOSプログラム
103 符号化テーブル
104 暗号化キー
105 ディスク装置(組込装置、外付け装置、及び機器の一例)
106 ブート領域
107 専用ドライバ
108 不揮発記憶デバイス
【特許請求の範囲】
【請求項1】
ブート領域の暗号化及び復号化を行うためのプログラムを格納する記憶手段と、
該プログラムを動作させる制御手段と、を有し、
前記制御手段は、該プログラムを動作させて、ブート領域の暗号化及び復号化を行うことを特徴とする情報処理装置。
【請求項2】
前記ブート領域は、前記情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする請求項1記載の情報処理装置。
【請求項3】
前記ブート領域は、前記情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする請求項1記載の情報処理装置。
【請求項4】
前記制御手段は、前記プログラムを動作させることにより、
ユーザによってブート領域の暗号化の指示を受けた場合、前記組込装置又は前記外付け装置からブート領域を読み込み、シグネーチャをチェックし、
前記チェックの結果、所定のシグネーチャではない場合、前記読み込まれたブート領域を復号化し、
前記ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成し、
前記情報処理装置の識別情報を前記復号化されたブート領域に付与して暗号化し、
該暗号化されたブート領域を符号化し、該符号化されたブート領域を復号化する際に使用する符号化テーブルを作成し、
前記符号化テーブル及び前記暗号化キーを前記記憶手段へ格納し、
前記符号化されたブート領域を、前記組込装置又は前記外付け装置に書き戻すことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。
【請求項5】
前記制御手段は、前記プログラムを動作させることにより、
前記情報処理装置の電源が入った場合、各デバイスを初期化し、
ブート領域を読み込み、シグネーチャをチェックし、
該チェックの結果、所定のシグネーチャではない場合、前記記憶手段に格納されている前記符号化テーブルを使用して、前記符号化されたブート領域を復号化し、
前記記憶手段に格納されている前記暗号化キーを使用して、前記復号化されたブート領域の暗号化を解除し、
該暗号化を解除されたブート領域に付与されている識別情報と、当該情報処理装置が保持する識別情報とを比較し、
該比較結果が一致した場合、該ブート領域のシグネーチャをチェックし、
該チェックの結果、所定のシグネーチャであった場合には、前記情報処理装置のOSを起動することを特徴とする請求項1から4のいずれか1項に記載の情報処理装置。
【請求項6】
前記制御手段は、前記プログラムを制御させることにより、
前記情報処理装置のOSからアクセスの要求があった場合、前記ブート領域へのアクセスであるかをチェックし、
前記ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出し、
BIOS側での処理が終了後、前記OSに制御を移すことを特徴とする請求項1から5のいずれか1項に記載の情報処理装置。
【請求項7】
ブート領域の暗号化及び復号化を行うためのプログラムを格納する記憶手段と、該プログラムを動作させる制御手段と、を有する情報処理装置と、前記情報処理装置に接続される機器と、を有する情報処理システムであって、
前記制御手段は、該プログラムを動作させて、前記機器の記憶領域内に確保されたブート領域の暗号化及び復号化を行うことを特徴とする情報処理システム。
【請求項8】
前記機器は、又は、前記情報処理装置に組み込まれる組込装置、又は、前記情報処理装置に外付けされる外付け装置のいずれかであることを特徴とする請求項7記載の情報処理システム。
【請求項9】
前記制御手段は、前記プログラムを動作させることにより、
ユーザによってブート領域の暗号化の指示を受けた場合、前記組込装置又は前記外付け装置からブート領域を読み込み、シグネーチャをチェックし、
前記チェックの結果、所定のシグネーチャではない場合、前記読み込まれたブート領域を復号化し、
前記ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成し、
前記情報処理装置の識別情報を前記復号化されたブート領域に付与して暗号化し、
該暗号化されたブート領域を符号化し、該符号化されたブート領域を復号化する際に使用する符号化テーブルを作成し、
前記符号化テーブル及び前記暗号化キーを前記記憶手段へ格納し、
前記符号化されたブート領域を、前記組込装置又は前記外付け装置に書き戻すことを特徴とする請求項7又は8記載の情報処理システム。
【請求項10】
前記制御手段は、前記プログラムを動作させることにより、
前記情報処理装置の電源が入った場合、各デバイスを初期化し、
ブート領域を読み込み、シグネーチャをチェックし、
該チェックの結果、所定のシグネーチャではない場合、前記記憶手段に格納されている前記符号化テーブルを使用して、前記符号化されたブート領域を復号化し、
前記記憶手段に格納されている前記暗号化キーを使用して、前記復号化されたブート領域の暗号化を解除し、
該暗号化を解除されたブート領域に付与されている識別情報と、当該情報処理装置が保持する識別情報とを比較し、
該比較結果が一致した場合、該ブート領域のシグネーチャをチェックし、
該チェックの結果、所定のシグネーチャであった場合には、前記情報処理装置のOSを起動することを特徴とする請求項7から9のいずれか1項に記載の情報処理システム。
【請求項11】
前記制御手段は、前記プログラムを制御させることにより、
前記情報処理装置のOSからアクセスの要求があった場合、前記ブート領域へのアクセスであるかをチェックし、
前記ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出し、
BIOS側での処理が終了後、前記OSに制御を移すことを特徴とする請求項7から10のいずれか1項に記載の情報処理システム。
【請求項12】
ブート領域の暗号化及び復号化を行うためのプログラムを格納する記憶手段と、
該プログラムを動作させる制御手段と、を有する情報処理装置で行われる情報処理方法であって、
前記制御手段は、該プログラムを動作させて、ブート領域の暗号化及び復号化を行うことを特徴とする情報処理方法。
【請求項13】
前記ブート領域は、前記情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする請求項12記載の情報処理方法。
【請求項14】
前記ブート領域は、前記情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする請求項12記載の情報処理方法。
【請求項15】
前記制御手段は、前記プログラムを動作させることにより、
ユーザによってブート領域の暗号化の指示を受けた場合、前記組込装置又は前記外付け装置からブート領域を読み込み、シグネーチャをチェックするステップと、
前記チェックの結果、所定のシグネーチャではない場合、前記読み込まれたブート領域を復号化するステップと、
前記ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成するステップと、
前記情報処理装置の識別情報を前記復号化されたブート領域に付与するステップし、暗号化するステップと、
該暗号化されたブート領域を符号化し、該符号化されたブート領域を復号化する際に使用する符号化テーブルを作成するステップと、
前記符号化テーブル及び前記暗号化キーを前記記憶手段へ格納するステップと、
前記符号化されたブート領域を、前記組込装置又は前記外付け装置に書き戻すステップと、
を行うことを特徴とする請求項12から14のいずれか1項に記載の情報処理方法。
【請求項16】
前記制御手段は、前記プログラムを動作させることにより、
前記情報処理装置の電源が入った場合、各デバイスを初期化するステップと、
ブート領域を読み込み、シグネーチャをチェックするステップと、
該チェックの結果、所定のシグネーチャではない場合、前記記憶手段に格納されている前記符号化テーブルを使用して、前記符号化されたブート領域を復号化するステップと、
前記記憶手段に格納されている前記暗号化キーを使用して、前記復号化されたブート領域の暗号化を解除するステップと、
該暗号化を解除されたブート領域に付与されている識別情報と、当該情報処理装置が保持する識別情報とを比較するステップと、
該比較結果が一致するステップした場合、該ブート領域のシグネーチャをチェックするステップと、
該チェックの結果、所定のシグネーチャであった場合には、前記情報処理装置のOSを起動するステップと、
を行うことを特徴とする請求項12から15のいずれか1項に記載の情報処理方法。
【請求項17】
前記制御手段は、前記プログラムを制御させることにより、
前記情報処理装置のOSからアクセスの要求があった場合、前記ブート領域へのアクセスであるかをチェックするステップと、
前記ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出するステップと、
BIOS側での処理が終了後、前記OSに制御を移すステップと、
を行うことを特徴とする請求項12から16のいずれか1項に記載の情報処理方法。
【請求項18】
情報処理装置に、
ブート領域の暗号化及び復号化を実行させるプログラム。
【請求項19】
前記ブート領域は、前記情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする請求項18記載のプログラム。
【請求項20】
前記ブート領域は、前記情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする請求項18記載のプログラム。
【請求項21】
前記情報処理装置に、
ユーザによってブート領域の暗号化の指示を受けた場合、前記組込装置又は前記外付け装置からブート領域を読み込み、シグネーチャをチェックする処理と、
前記チェックの結果、所定のシグネーチャではない場合、前記読み込まれたブート領域を復号化する処理と、
前記ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成する処理と、
前記情報処理装置の識別情報を前記復号化されたブート領域に付与する処理し、暗号化する処理と、
該暗号化されたブート領域を符号化し、該符号化されたブート領域を復号化する際に使用する符号化テーブルを作成する処理と、
前記符号化テーブル及び前記暗号化キーを記憶する処理と、
前記符号化されたブート領域を、前記組込装置又は前記外付け装置に書き戻す処理と、
を実行させる請求項18から20のいずれか1項に記載のプログラム。
【請求項22】
前記情報処理装置に、
前記情報処理装置の電源が入った場合、各デバイスを初期化する処理と、
ブート領域を読み込み、シグネーチャをチェックする処理と、
該チェックの結果、所定のシグネーチャではない場合、予め記憶されている前記符号化テーブルを使用して、前記符号化されたブート領域を復号化する処理と、
前記記憶手段に格納されている前記暗号化キーを使用して、前記復号化されたブート領域の暗号化を解除する処理と、
該暗号化を解除されたブート領域に付与されている識別情報と、当該情報処理装置が保持する識別情報とを比較する処理と、
該比較結果が一致する処理した場合、該ブート領域のシグネーチャをチェックする処理と、
該チェックの結果、所定のシグネーチャであった場合には、前記情報処理装置のOSを起動する処理と、
を実行させる請求項18から21のいずれか1項に記載のプログラム。
【請求項23】
前記情報処理装置に、
前記情報処理装置のOSからアクセスの要求があった場合、前記ブート領域へのアクセスであるかをチェックする処理と、
前記ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出する処理と、
BIOS側での処理が終了後、前記OSに制御を移す処理と、
を実行させる請求項18から22のいずれか1項に記載のプログラム。
【請求項1】
ブート領域の暗号化及び復号化を行うためのプログラムを格納する記憶手段と、
該プログラムを動作させる制御手段と、を有し、
前記制御手段は、該プログラムを動作させて、ブート領域の暗号化及び復号化を行うことを特徴とする情報処理装置。
【請求項2】
前記ブート領域は、前記情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする請求項1記載の情報処理装置。
【請求項3】
前記ブート領域は、前記情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする請求項1記載の情報処理装置。
【請求項4】
前記制御手段は、前記プログラムを動作させることにより、
ユーザによってブート領域の暗号化の指示を受けた場合、前記組込装置又は前記外付け装置からブート領域を読み込み、シグネーチャをチェックし、
前記チェックの結果、所定のシグネーチャではない場合、前記読み込まれたブート領域を復号化し、
前記ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成し、
前記情報処理装置の識別情報を前記復号化されたブート領域に付与して暗号化し、
該暗号化されたブート領域を符号化し、該符号化されたブート領域を復号化する際に使用する符号化テーブルを作成し、
前記符号化テーブル及び前記暗号化キーを前記記憶手段へ格納し、
前記符号化されたブート領域を、前記組込装置又は前記外付け装置に書き戻すことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。
【請求項5】
前記制御手段は、前記プログラムを動作させることにより、
前記情報処理装置の電源が入った場合、各デバイスを初期化し、
ブート領域を読み込み、シグネーチャをチェックし、
該チェックの結果、所定のシグネーチャではない場合、前記記憶手段に格納されている前記符号化テーブルを使用して、前記符号化されたブート領域を復号化し、
前記記憶手段に格納されている前記暗号化キーを使用して、前記復号化されたブート領域の暗号化を解除し、
該暗号化を解除されたブート領域に付与されている識別情報と、当該情報処理装置が保持する識別情報とを比較し、
該比較結果が一致した場合、該ブート領域のシグネーチャをチェックし、
該チェックの結果、所定のシグネーチャであった場合には、前記情報処理装置のOSを起動することを特徴とする請求項1から4のいずれか1項に記載の情報処理装置。
【請求項6】
前記制御手段は、前記プログラムを制御させることにより、
前記情報処理装置のOSからアクセスの要求があった場合、前記ブート領域へのアクセスであるかをチェックし、
前記ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出し、
BIOS側での処理が終了後、前記OSに制御を移すことを特徴とする請求項1から5のいずれか1項に記載の情報処理装置。
【請求項7】
ブート領域の暗号化及び復号化を行うためのプログラムを格納する記憶手段と、該プログラムを動作させる制御手段と、を有する情報処理装置と、前記情報処理装置に接続される機器と、を有する情報処理システムであって、
前記制御手段は、該プログラムを動作させて、前記機器の記憶領域内に確保されたブート領域の暗号化及び復号化を行うことを特徴とする情報処理システム。
【請求項8】
前記機器は、又は、前記情報処理装置に組み込まれる組込装置、又は、前記情報処理装置に外付けされる外付け装置のいずれかであることを特徴とする請求項7記載の情報処理システム。
【請求項9】
前記制御手段は、前記プログラムを動作させることにより、
ユーザによってブート領域の暗号化の指示を受けた場合、前記組込装置又は前記外付け装置からブート領域を読み込み、シグネーチャをチェックし、
前記チェックの結果、所定のシグネーチャではない場合、前記読み込まれたブート領域を復号化し、
前記ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成し、
前記情報処理装置の識別情報を前記復号化されたブート領域に付与して暗号化し、
該暗号化されたブート領域を符号化し、該符号化されたブート領域を復号化する際に使用する符号化テーブルを作成し、
前記符号化テーブル及び前記暗号化キーを前記記憶手段へ格納し、
前記符号化されたブート領域を、前記組込装置又は前記外付け装置に書き戻すことを特徴とする請求項7又は8記載の情報処理システム。
【請求項10】
前記制御手段は、前記プログラムを動作させることにより、
前記情報処理装置の電源が入った場合、各デバイスを初期化し、
ブート領域を読み込み、シグネーチャをチェックし、
該チェックの結果、所定のシグネーチャではない場合、前記記憶手段に格納されている前記符号化テーブルを使用して、前記符号化されたブート領域を復号化し、
前記記憶手段に格納されている前記暗号化キーを使用して、前記復号化されたブート領域の暗号化を解除し、
該暗号化を解除されたブート領域に付与されている識別情報と、当該情報処理装置が保持する識別情報とを比較し、
該比較結果が一致した場合、該ブート領域のシグネーチャをチェックし、
該チェックの結果、所定のシグネーチャであった場合には、前記情報処理装置のOSを起動することを特徴とする請求項7から9のいずれか1項に記載の情報処理システム。
【請求項11】
前記制御手段は、前記プログラムを制御させることにより、
前記情報処理装置のOSからアクセスの要求があった場合、前記ブート領域へのアクセスであるかをチェックし、
前記ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出し、
BIOS側での処理が終了後、前記OSに制御を移すことを特徴とする請求項7から10のいずれか1項に記載の情報処理システム。
【請求項12】
ブート領域の暗号化及び復号化を行うためのプログラムを格納する記憶手段と、
該プログラムを動作させる制御手段と、を有する情報処理装置で行われる情報処理方法であって、
前記制御手段は、該プログラムを動作させて、ブート領域の暗号化及び復号化を行うことを特徴とする情報処理方法。
【請求項13】
前記ブート領域は、前記情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする請求項12記載の情報処理方法。
【請求項14】
前記ブート領域は、前記情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする請求項12記載の情報処理方法。
【請求項15】
前記制御手段は、前記プログラムを動作させることにより、
ユーザによってブート領域の暗号化の指示を受けた場合、前記組込装置又は前記外付け装置からブート領域を読み込み、シグネーチャをチェックするステップと、
前記チェックの結果、所定のシグネーチャではない場合、前記読み込まれたブート領域を復号化するステップと、
前記ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成するステップと、
前記情報処理装置の識別情報を前記復号化されたブート領域に付与するステップし、暗号化するステップと、
該暗号化されたブート領域を符号化し、該符号化されたブート領域を復号化する際に使用する符号化テーブルを作成するステップと、
前記符号化テーブル及び前記暗号化キーを前記記憶手段へ格納するステップと、
前記符号化されたブート領域を、前記組込装置又は前記外付け装置に書き戻すステップと、
を行うことを特徴とする請求項12から14のいずれか1項に記載の情報処理方法。
【請求項16】
前記制御手段は、前記プログラムを動作させることにより、
前記情報処理装置の電源が入った場合、各デバイスを初期化するステップと、
ブート領域を読み込み、シグネーチャをチェックするステップと、
該チェックの結果、所定のシグネーチャではない場合、前記記憶手段に格納されている前記符号化テーブルを使用して、前記符号化されたブート領域を復号化するステップと、
前記記憶手段に格納されている前記暗号化キーを使用して、前記復号化されたブート領域の暗号化を解除するステップと、
該暗号化を解除されたブート領域に付与されている識別情報と、当該情報処理装置が保持する識別情報とを比較するステップと、
該比較結果が一致するステップした場合、該ブート領域のシグネーチャをチェックするステップと、
該チェックの結果、所定のシグネーチャであった場合には、前記情報処理装置のOSを起動するステップと、
を行うことを特徴とする請求項12から15のいずれか1項に記載の情報処理方法。
【請求項17】
前記制御手段は、前記プログラムを制御させることにより、
前記情報処理装置のOSからアクセスの要求があった場合、前記ブート領域へのアクセスであるかをチェックするステップと、
前記ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出するステップと、
BIOS側での処理が終了後、前記OSに制御を移すステップと、
を行うことを特徴とする請求項12から16のいずれか1項に記載の情報処理方法。
【請求項18】
情報処理装置に、
ブート領域の暗号化及び復号化を実行させるプログラム。
【請求項19】
前記ブート領域は、前記情報処理装置に組み込まれる組込装置の記憶領域内に確保された領域であることを特徴とする請求項18記載のプログラム。
【請求項20】
前記ブート領域は、前記情報処理装置に外付けされる外付け装置の記憶領域内に確保された領域であることを特徴とする請求項18記載のプログラム。
【請求項21】
前記情報処理装置に、
ユーザによってブート領域の暗号化の指示を受けた場合、前記組込装置又は前記外付け装置からブート領域を読み込み、シグネーチャをチェックする処理と、
前記チェックの結果、所定のシグネーチャではない場合、前記読み込まれたブート領域を復号化する処理と、
前記ユーザによって入力された情報に基づいて、暗号化されたブート領域を復号化する際に使用する暗号化キーを生成する処理と、
前記情報処理装置の識別情報を前記復号化されたブート領域に付与する処理し、暗号化する処理と、
該暗号化されたブート領域を符号化し、該符号化されたブート領域を復号化する際に使用する符号化テーブルを作成する処理と、
前記符号化テーブル及び前記暗号化キーを記憶する処理と、
前記符号化されたブート領域を、前記組込装置又は前記外付け装置に書き戻す処理と、
を実行させる請求項18から20のいずれか1項に記載のプログラム。
【請求項22】
前記情報処理装置に、
前記情報処理装置の電源が入った場合、各デバイスを初期化する処理と、
ブート領域を読み込み、シグネーチャをチェックする処理と、
該チェックの結果、所定のシグネーチャではない場合、予め記憶されている前記符号化テーブルを使用して、前記符号化されたブート領域を復号化する処理と、
前記記憶手段に格納されている前記暗号化キーを使用して、前記復号化されたブート領域の暗号化を解除する処理と、
該暗号化を解除されたブート領域に付与されている識別情報と、当該情報処理装置が保持する識別情報とを比較する処理と、
該比較結果が一致する処理した場合、該ブート領域のシグネーチャをチェックする処理と、
該チェックの結果、所定のシグネーチャであった場合には、前記情報処理装置のOSを起動する処理と、
を実行させる請求項18から21のいずれか1項に記載のプログラム。
【請求項23】
前記情報処理装置に、
前記情報処理装置のOSからアクセスの要求があった場合、前記ブート領域へのアクセスであるかをチェックする処理と、
前記ブート領域へのアクセスである場合は、BIOSのブート領域アクセスサービスコールを呼び出する処理と、
BIOS側での処理が終了後、前記OSに制御を移す処理と、
を実行させる請求項18から22のいずれか1項に記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2006−350596(P2006−350596A)
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願番号】特願2005−174616(P2005−174616)
【出願日】平成17年6月15日(2005.6.15)
【出願人】(390001395)エヌイーシーシステムテクノロジー株式会社 (438)
【Fターム(参考)】
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願日】平成17年6月15日(2005.6.15)
【出願人】(390001395)エヌイーシーシステムテクノロジー株式会社 (438)
【Fターム(参考)】
[ Back to top ]