情報処理装置
【課題】 アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることのできる情報処理装置を提供する。
【解決手段】 アプリケーション5の起動要求が行われると(S11)、フィルタドライバ3は、この要求を横取りし、組合せ情報に基づいて、適切なアプリケーションとファイルとの組合せであるかを検証する(S12)。ここで、適切な組合せであると検証されると、ミドルウェア4に対して認証処理要求が行われ(S13)、ミドルウェア4は、アプリケーション認証処理を行う(S14)。ミドルウェア4は、認証結果をフィルタドライバ3に通知し(S15)、その通知が認証成功である場合に、カーネル2にアプリケーション5を起動させる(S16)。
【解決手段】 アプリケーション5の起動要求が行われると(S11)、フィルタドライバ3は、この要求を横取りし、組合せ情報に基づいて、適切なアプリケーションとファイルとの組合せであるかを検証する(S12)。ここで、適切な組合せであると検証されると、ミドルウェア4に対して認証処理要求が行われ(S13)、ミドルウェア4は、アプリケーション認証処理を行う(S14)。ミドルウェア4は、認証結果をフィルタドライバ3に通知し(S15)、その通知が認証成功である場合に、カーネル2にアプリケーション5を起動させる(S16)。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることのできる情報処理装置に関する。
【背景技術】
【0002】
近年、ウイルスに感染されたソフトウェアやスパイウェア等によって、機密性の高いファイル(機密ファイル等)に対する不正なアクセスを許してしまう状況が発生している。例えば、スパイウェア等では、ユーザが知らないうちに装置内に入り込み、読み出した機密ファイルを他の装置等に配布してしまったり、機密ファイルの中身を改変してしまうことがなされてしまう。
また、正当なアプリケーションのプラグインによって、機密ファイルへのアクセスにパスワード保護がなされている場合であっても、不正なアプリケーションから機密ファイルにアクセスすることで、パスワード保護を解除してしまう、といった例も存在する。
この他にも、アプリケーション自体(実行ファイル)がバイナリエディタ等によって改ざんされた場合に、顧客情報等の機密ファイルへの不正なアクセスが行われてしまっている。例えば、顧客情報を管理するアプリケーションには、通常、ID情報や鍵情報等が含まれているが、これらが改ざんされてしまうと、不正なIDを使用したユーザのログオン等を許してしまうことになる。また、実行ファイル(例えば、EXEファイルやDLLファイル等)が改ざんされ、ユーザ認証の機能自体が止められてしまうと、同様に、不正なユーザのログイン等を許してしまう。
【0003】
このような悪意のある脅威が存在するだけでなく、悪意を持たないユーザによる脅威も存在する。
例えば、ウイルス対策ソフト等のウイルス定義ファイルでも対応できない未知のワームやウィルスに気づかないうちに感染してしまった場合には、上記と同様に不正なアクセスを許してしまうことになる。特に近年では、ワーム、ウイルス、スパイウェアが拡散するスピードが速くなっており、ウイルス定義ファイルやパッチが提供される前に、問題が発生してしまっているケースが頻発している。
【0004】
このような不正アクセスを防止するためには、「アプリケーション認証」を行うことが必要であると考えられている。そのため、これまでも、アプリケーションを認証することで、改ざんがなされていないことを証明する等の取り組みがなされていた。
具体的には、認証モジュールの耐タンパ領域を用いて、ダウンロードされたアプリケーションの認証を行い、出所の確認や改ざんが行われていないかどうかの確認を行うアプリケーション認証システムの技術も開示されている(例えば、特許文献1参照)。
【特許文献1】特開2003−223235 (第7−30頁、第1図)
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記のような、従来のアプリケーション認証システムは、端末の他に外部の認証モジュールが必要となっている。そのため、端末単独でアプリケーションを認証することができなかった。
また、認証されたアプリケーションが、全てのローカルリソースに対してアクセス可能となってしまうという問題もあった。例えば、本来、アプリケーションAによってだけアクセスが行われるべきファイルに、他のアプリケーションBからのアクセスを許してしまうことになる。
このため、アプリケーションを認証するだけでは、不十分であり、アプリケーションとファイル(ファイルの種類)との正当な組合せに限り、アクセスを認める技術が必要とされていた。
【0006】
本発明は、上記実状に鑑みてなされたもので、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることのできる情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明の第1の観点に係る情報処理装置は、
オペレーティングシステム上にて所定のアプリケーションを起動可能な情報処理装置であって、
アプリケーションの起動要求を受け付ける起動要求受付手段と、
前記起動要求受付手段が受け付けた起動要求に応答して、当該アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する組合せ検証手段と、
前記組合せ検証手段により組合せの妥当性が検証されると、アプリケーションの認証を行うアプリケーション認証手段と、
前記アプリケーション認証手段によりアプリケーションが認証されると、対象ファイルのアクセスを許可すると共に、当該アプリケーションの起動をカーネルに指示する起動指示手段と、
を備えることを特徴とする。
【0008】
この発明によれば、起動要求受付手段は、アプリケーションの起動要求を受け付ける。また、組合せ検証手段は、起動要求受付手段が受け付けた起動要求に応答して、当該アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する。アプリケーション認証手段は、組合せ検証手段により組合せの妥当性が検証されると、アプリケーションの認証を行う。そして、起動指示手段は、アプリケーション認証手段によりアプリケーションが認証されると、対象ファイルのアクセスを許可すると共に、当該アプリケーションの起動をカーネルに指示する。
この様な構成の情報処理装置は、装置単独で、アプリケーション認証を可能とし、また、正当なアプリケーションだけが、対象ファイルに正当にアクセスすることを許すことになる。
この結果、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることができる。
【0009】
上記の情報処理装置は、アプリケーションとファイルの種類との組合せを規定する暗号化された組合せ情報を取得する暗号化情報取得手段と、
前記暗号化情報取得手段が取得した暗号化された組合せ情報を復号化する組合せ情報復号化手段と、を更に備え、
前記組合せ検証手段は、前記組合せ情報復号化手段により復号化された組合せ情報に基づいて、アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証してもよい。
【0010】
前記アプリケーション認証手段は、ハッシュ演算及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証してもよい。
【0011】
前記アプリケーション認証手段は、ミドルウェアにて実装され、
前記ミドルウェアは、オペレーティングシステムが起動される際に、所定の署名用鍵により、自身の認証が行われるようにしてもよい。
【0012】
上記の情報処理装置は、少なくとも、暗号用鍵、ハッシュ演算ロジック、及び、署名用鍵を格納するTPMと、
前記TPMを使用した処理を行うミドルウェアと、
ファイルシステムへのアクセスを中継するフィルタドライバと、を更に備え、
前記アプリケーション認証手段は、前記ミドルウェアにて実装され、
前記ミドルウェアは、オペレーティングシステムが起動される際に、前記TPMに格納された署名用鍵により、自身の認証が行われ、
前記組合せ検証手段は、前記フィルタドライバにて実装され、
前記フィルタドライバは、前記ミドルウェア自身の認証がなされた際に、許可する組合せ情報を設定し、当該設定した組合せ情報に基づいて、組合せの妥当性を検証し、
自身の認証が行われた前記ミドルウェアは、前記TPMに格納されたハッシュ演算ロジック及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証してもよい。
【発明の効果】
【0013】
本発明によれば、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることができる。
【発明を実施するための最良の形態】
【0014】
本発明の実施の形態にかかる情報処理装置について、以下、図面を参照して説明する。なお、情報処理装置は、一例として、チップ化されたTPM(Trusted Platform Module)を備えたパーソナルコンピュータやサーバ装置等からなり、所定のオペレーティングシステム(OS)上にて、所定のアプリケーションを実行(起動)可能であるものとする。
【0015】
図1は、この発明の実施の形態に適用される情報処理装置の機能構成の一例を示す模式図である。
図示するように、この情報処理装置10は、起動要求受付部11と、組合せ検証部12と、アプリケーション認証部13と、起動指示部14とを含んで構成される。
【0016】
起動要求受付部11は、アプリケーションの起動要求を受け付ける。例えば、情報処理装置10にインストールされている任意のアプリケーションがユーザの操作により選択されると、起動要求受付部11は、そのアプリケーションの起動要求を受け付ける。
【0017】
組合せ検証部12は、起動要求受付部11が受け付けた起動要求に応答して、アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する。例えば、組合せ検証部12は、アプリケーションとファイルの種類との組合せを規定する組合せ情報を取得し、この組合せ情報に基づいて、アプリケーションとアクセス対象となるファイルとの組合せの妥当性を検証する。
なお、この組合せ情報は、秘匿性や安全性を高める必要があるため、暗号化されていることが望ましい。そのため、組合せ検証部12は、後述するように、TPMに格納された暗号用鍵を使用して、暗号化された組合せ情報を復号化する。
【0018】
アプリケーション認証部13は、組合せ検証部12により組合せの妥当性が検証されると、アプリケーションの認証を行う。例えば、アプリケーション認証部13は、後述するように、TPMに格納されたハッシュ演算及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証する。
【0019】
起動指示部14は、アプリケーション認証部13によりアプリケーションが認証されると、対象ファイルのアクセスを許可すると共に、そのアプリケーションの起動をカーネルに指示する。
【0020】
すなわち、上述した構成の情報処理装置10は、図2に示すように、アプリケーション認証を行う。
つまり、アプリケーションAPから起動要求がさなれると、ファイルとアプリケーションとの組合せを検証する。その際、TPMに格納されている暗号用鍵K1により復号化した組合せ情報CIを使用して、ファイルとアプリケーションとの組合せの妥当性を検証する。
そして、組合せの妥当性が検証されると、アプリケーションの実行ファイル(EXEファイルやDLLファイル等)を認証する。その際、TPMに格納されているハッシュ演算HA及び署名用鍵(署名検証用鍵)K2により、アプリケーションが認証される。
最後に、アプリケーションが認証されると、対象となるファイルFへのファイルアクセスが可能となる。
【0021】
このように、情報処理装置10は、装置単独で、アプリケーション認証を可能とし、また、正当なアプリケーションだけが、対象ファイルに正当にアクセスすることを許すことができる。
【0022】
次に、図3等を参照して、本発明の情報処理装置について、より具体的に説明する。図3は、情報処理装置10における具体的な実装状態を説明するための模式図である。
図示するように、情報処理装置10には、TPM1と、カーネル2と、フィルタドライバ3と、ミドルウェア4と、アプリケーション5とが、実装(適宜インストール等)されている。なお、情報処理装置10には、この他にも、CPU(Central Processing Unit)、メモリ(ROMやRAM)、ハードディスク、及び、各種コントローラ等も備えている。
【0023】
TPM1は、鍵の格納や暗号演算等を行うハードウェアである。例えば、暗号用鍵、署名用鍵等をハードウェアで制御、保存するマイクロコントローラであり、チップ化されて、実装される。
【0024】
カーネル2は、特権モードで動作するOSプログラムであり、例えば、フィルタドライバ3等からの起動指示を受け、メモリ等のハードウェアにアプリケーションを展開し、起動処理等の制御を行う。
【0025】
フィルタドライバ3は、より詳細には、ファイルシステムフィルタドライバであり、要求がターゲットに届く前にその要求を途中で受信し、機能追加や動作変更を行う。例えば、フィルタドライバ3には、組合せ情報を設定できるようになっており、アプリケーションの起動要求がなされると、設定された組合せ情報に基づいて、アプリケーションと対象となるファイル(ファイル種類)との妥当性を検証する。なお、初期状態では、全てのアプリケーションの起動を認めない情報(禁止型組合せ情報)が設定されている。
【0026】
ミドルウェア4は、オペレーティングシステムよりも高度で具体的な機能を提供するソフトウェアであり、例えば、TPM1を用いて認証や暗号化等を行う。
【0027】
アプリケーション5は、オペレーティングシステム上にて実行されるアプリケーションソフトウェアであり、例えば、ワープロ(ワードプロセッサ)や表計算ソフト等のソフトウェアからなる。
なお、アプリケーション5は、ミドルウェア4と共に、ユーザモード(非特権モード)にて実行される。
【0028】
このような構成において、ミドルウェア4自身が改ざんされるおそれもある。そのため、ミドルウェア4自身の認証も行う必要がある。このミドルウェア4の認証について、図4を参照して説明する。
なお、このミドルウェア認証は、オペレーティングシステムの起動時に行われる。
【0029】
まず、ミドルウェア4が起動要求を行う(S1)。そして、ミドルウェア4自身の改ざんも防止しなければならないため、ミドルウェア4自身の認証を行う(S2)。
この際、ミドルウェア4の認証には、TPM1に格納された署名用鍵が使用される。なお、ミドルウェア4の改ざんが検出されると、ミドルウェア4の起動を停止させ、フィルタドライバ3では、初期状態となる禁止型組合せ情報のままとなるため、全てのアプリケーションの起動要求を禁止する。つまり、その後に、アプリケーション5の起動要求がなされても、その起動要求は受け付けられないことになる。
【0030】
ミドルウェア4が認証されると、組合せ情報を復号化する(S3)。つまり、TPM1に格納された暗号用鍵が用いられて、組合せ情報が復号化される。この組合せ情報は、特定のアプリケーションとファイル(ファイルの種類)との組合せであれば起動を許可する旨の情報である。
そして、復号化した組合せ情報をフィルタドライバ3に設定する(S4)。つまり、禁止型組合せ情報を、許可型組合せ情報に置き換える。
【0031】
このように、オペレーティングシステムの起動時に、ミドルウェア4が認証され、そして、フィルタドライバ3に、組合せ情報が設定される。
【0032】
次に、アプリケーション5の認証について、図5を参照して説明する。なお、上述したミドルウェア認証が、既に行われているものとする。
【0033】
まず、アプリケーション5の起動要求が行われる(S11)。つまり、ワープロや表計算のソフトウェアが、特定の拡張子であるファイルの起動要求を行う。なお、単独で起動するアプリケーション(例えば、スケジュール管理ソフトウェアや企業内ソフトウェア等)の場合には、組合せ情報において、対応するファイルがない旨(対象ファイル名なし)が設定されている。
【0034】
フィルタドライバ3は、この要求を横取りし(先に受信し)、設定された組合せ情報に基づいて、適切なアプリケーションとファイル(ファイルの種類)との組合せであるかを、検証する(S12)。つまり、許可された組合せにてアプリケーション5が起動されているかが検証される。
ここで、適切な組合せであると検証されると、ミドルウェア4に対して認証処理要求を行う(S13)。つまり、アプリケーション認証を依頼する。
なお、検証により、不適切な組合せであると判別されると、カーネル2に対してエラー結果を返すことになる。つまり、アプリケーション5の起動要求は、エラーとなる。
【0035】
フィルタドライバ3から認証処理が要求されると、ミドルウェア4は、アプリケーション認証処理を行う(S14)。つまり、ミドルウェア4は、TPM1のハッシュ演算機能や署名用鍵を用いて、アプリケーション(EXEファイルやDLLファイル等)を認証する。
そして、ミドルウェア4は、認証結果をフィルタドライバ3に通知する(S15)。例えば、認証が成功した場合に、成功フラグを通知し、一方、認証が失敗した場合に、失敗フラグを通知する。
【0036】
最後に、フィルタドライバ3は、認証が成功した旨の通知に応答して、カーネル2にアプリケーション5を起動させる(S16)。すなわち、認証されたアプリケーション5をカーネル2にて起動させる。この際、アプリケーション5からは、対象となるファイルにアクセス可能となっている。
【0037】
このように、本実施の形態に係る情報処理装置10によれば、他にサーバや外部装置等を利用することなく、単体で、アプリケーション認証を行うことができる。その際、不適切な組みあわせによるファイル起動を防止し、また、アプリケーションの改ざん等も検出できる。
【0038】
また、オペレーティングシステム(ミドルウェア)自体が信頼できないという前提でも、より適切にアプリケーション認証を行うことができる。つまり、ミドルウェア自身の認証も行い、そして、ミドルウェアが認証された場合にだけ、組合せ情報が設定される。そして、その状態で、アプリケーション認証を適切に行うことができる。
その際、組合せ情報が改ざんされるおそれもあるため、組合せ情報を暗号化している。また、ミドルウェア自身が認証されなかった場合に、組合せ情報が設定されず、全てのアプリケーションが実行不可状態となるため、ミドルウェアの改ざんに対する防御も有効となり、不正なアクセスを防止できる。
【0039】
更に、主流となるオペレーティングシステムのアーキテクチャを想定し、アプリケーション認証等にて利用される鍵を、TPMのようなハードウェア耐タンパデバイスに格納し、フィルタドライバと組み合わせることで、鍵の流出等も防止でき、セキュリティ性をより向上させることができる。
【0040】
この結果、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることができる。
【0041】
上記の実施の形態では、パーソナルコンピュータやサーバ装置等を一例として情報処理装置を説明したが、他の装置にも適宜適用可能である。例えば、携帯端末(携帯電話やPDA等)等にも適宜適用可能である。
【0042】
以上説明したように、本発明によれば、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることができる。
【図面の簡単な説明】
【0043】
【図1】本発明の実施の形態に係る情報処理装置の機能構成の一例を示す模式図である。
【図2】アプリケーション認証の概略を説明するための模式図である。
【図3】情報処理装置の具体的な実装状態を説明するための模式図である。
【図4】ミドルウェアの認証について説明するための模式図である。
【図5】アプリケーションの認証について説明するための模式図である。
【符号の説明】
【0044】
1 TPM
2 カーネル
3 フィルタドライバ
4 ミドルウェア
5 アプリケーション
10 情報処理装置
11 起動要求受付部
12 組合せ検証部
13 アプリケーション認証部
14 起動指示部
【技術分野】
【0001】
この発明は、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることのできる情報処理装置に関する。
【背景技術】
【0002】
近年、ウイルスに感染されたソフトウェアやスパイウェア等によって、機密性の高いファイル(機密ファイル等)に対する不正なアクセスを許してしまう状況が発生している。例えば、スパイウェア等では、ユーザが知らないうちに装置内に入り込み、読み出した機密ファイルを他の装置等に配布してしまったり、機密ファイルの中身を改変してしまうことがなされてしまう。
また、正当なアプリケーションのプラグインによって、機密ファイルへのアクセスにパスワード保護がなされている場合であっても、不正なアプリケーションから機密ファイルにアクセスすることで、パスワード保護を解除してしまう、といった例も存在する。
この他にも、アプリケーション自体(実行ファイル)がバイナリエディタ等によって改ざんされた場合に、顧客情報等の機密ファイルへの不正なアクセスが行われてしまっている。例えば、顧客情報を管理するアプリケーションには、通常、ID情報や鍵情報等が含まれているが、これらが改ざんされてしまうと、不正なIDを使用したユーザのログオン等を許してしまうことになる。また、実行ファイル(例えば、EXEファイルやDLLファイル等)が改ざんされ、ユーザ認証の機能自体が止められてしまうと、同様に、不正なユーザのログイン等を許してしまう。
【0003】
このような悪意のある脅威が存在するだけでなく、悪意を持たないユーザによる脅威も存在する。
例えば、ウイルス対策ソフト等のウイルス定義ファイルでも対応できない未知のワームやウィルスに気づかないうちに感染してしまった場合には、上記と同様に不正なアクセスを許してしまうことになる。特に近年では、ワーム、ウイルス、スパイウェアが拡散するスピードが速くなっており、ウイルス定義ファイルやパッチが提供される前に、問題が発生してしまっているケースが頻発している。
【0004】
このような不正アクセスを防止するためには、「アプリケーション認証」を行うことが必要であると考えられている。そのため、これまでも、アプリケーションを認証することで、改ざんがなされていないことを証明する等の取り組みがなされていた。
具体的には、認証モジュールの耐タンパ領域を用いて、ダウンロードされたアプリケーションの認証を行い、出所の確認や改ざんが行われていないかどうかの確認を行うアプリケーション認証システムの技術も開示されている(例えば、特許文献1参照)。
【特許文献1】特開2003−223235 (第7−30頁、第1図)
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記のような、従来のアプリケーション認証システムは、端末の他に外部の認証モジュールが必要となっている。そのため、端末単独でアプリケーションを認証することができなかった。
また、認証されたアプリケーションが、全てのローカルリソースに対してアクセス可能となってしまうという問題もあった。例えば、本来、アプリケーションAによってだけアクセスが行われるべきファイルに、他のアプリケーションBからのアクセスを許してしまうことになる。
このため、アプリケーションを認証するだけでは、不十分であり、アプリケーションとファイル(ファイルの種類)との正当な組合せに限り、アクセスを認める技術が必要とされていた。
【0006】
本発明は、上記実状に鑑みてなされたもので、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることのできる情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明の第1の観点に係る情報処理装置は、
オペレーティングシステム上にて所定のアプリケーションを起動可能な情報処理装置であって、
アプリケーションの起動要求を受け付ける起動要求受付手段と、
前記起動要求受付手段が受け付けた起動要求に応答して、当該アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する組合せ検証手段と、
前記組合せ検証手段により組合せの妥当性が検証されると、アプリケーションの認証を行うアプリケーション認証手段と、
前記アプリケーション認証手段によりアプリケーションが認証されると、対象ファイルのアクセスを許可すると共に、当該アプリケーションの起動をカーネルに指示する起動指示手段と、
を備えることを特徴とする。
【0008】
この発明によれば、起動要求受付手段は、アプリケーションの起動要求を受け付ける。また、組合せ検証手段は、起動要求受付手段が受け付けた起動要求に応答して、当該アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する。アプリケーション認証手段は、組合せ検証手段により組合せの妥当性が検証されると、アプリケーションの認証を行う。そして、起動指示手段は、アプリケーション認証手段によりアプリケーションが認証されると、対象ファイルのアクセスを許可すると共に、当該アプリケーションの起動をカーネルに指示する。
この様な構成の情報処理装置は、装置単独で、アプリケーション認証を可能とし、また、正当なアプリケーションだけが、対象ファイルに正当にアクセスすることを許すことになる。
この結果、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることができる。
【0009】
上記の情報処理装置は、アプリケーションとファイルの種類との組合せを規定する暗号化された組合せ情報を取得する暗号化情報取得手段と、
前記暗号化情報取得手段が取得した暗号化された組合せ情報を復号化する組合せ情報復号化手段と、を更に備え、
前記組合せ検証手段は、前記組合せ情報復号化手段により復号化された組合せ情報に基づいて、アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証してもよい。
【0010】
前記アプリケーション認証手段は、ハッシュ演算及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証してもよい。
【0011】
前記アプリケーション認証手段は、ミドルウェアにて実装され、
前記ミドルウェアは、オペレーティングシステムが起動される際に、所定の署名用鍵により、自身の認証が行われるようにしてもよい。
【0012】
上記の情報処理装置は、少なくとも、暗号用鍵、ハッシュ演算ロジック、及び、署名用鍵を格納するTPMと、
前記TPMを使用した処理を行うミドルウェアと、
ファイルシステムへのアクセスを中継するフィルタドライバと、を更に備え、
前記アプリケーション認証手段は、前記ミドルウェアにて実装され、
前記ミドルウェアは、オペレーティングシステムが起動される際に、前記TPMに格納された署名用鍵により、自身の認証が行われ、
前記組合せ検証手段は、前記フィルタドライバにて実装され、
前記フィルタドライバは、前記ミドルウェア自身の認証がなされた際に、許可する組合せ情報を設定し、当該設定した組合せ情報に基づいて、組合せの妥当性を検証し、
自身の認証が行われた前記ミドルウェアは、前記TPMに格納されたハッシュ演算ロジック及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証してもよい。
【発明の効果】
【0013】
本発明によれば、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることができる。
【発明を実施するための最良の形態】
【0014】
本発明の実施の形態にかかる情報処理装置について、以下、図面を参照して説明する。なお、情報処理装置は、一例として、チップ化されたTPM(Trusted Platform Module)を備えたパーソナルコンピュータやサーバ装置等からなり、所定のオペレーティングシステム(OS)上にて、所定のアプリケーションを実行(起動)可能であるものとする。
【0015】
図1は、この発明の実施の形態に適用される情報処理装置の機能構成の一例を示す模式図である。
図示するように、この情報処理装置10は、起動要求受付部11と、組合せ検証部12と、アプリケーション認証部13と、起動指示部14とを含んで構成される。
【0016】
起動要求受付部11は、アプリケーションの起動要求を受け付ける。例えば、情報処理装置10にインストールされている任意のアプリケーションがユーザの操作により選択されると、起動要求受付部11は、そのアプリケーションの起動要求を受け付ける。
【0017】
組合せ検証部12は、起動要求受付部11が受け付けた起動要求に応答して、アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する。例えば、組合せ検証部12は、アプリケーションとファイルの種類との組合せを規定する組合せ情報を取得し、この組合せ情報に基づいて、アプリケーションとアクセス対象となるファイルとの組合せの妥当性を検証する。
なお、この組合せ情報は、秘匿性や安全性を高める必要があるため、暗号化されていることが望ましい。そのため、組合せ検証部12は、後述するように、TPMに格納された暗号用鍵を使用して、暗号化された組合せ情報を復号化する。
【0018】
アプリケーション認証部13は、組合せ検証部12により組合せの妥当性が検証されると、アプリケーションの認証を行う。例えば、アプリケーション認証部13は、後述するように、TPMに格納されたハッシュ演算及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証する。
【0019】
起動指示部14は、アプリケーション認証部13によりアプリケーションが認証されると、対象ファイルのアクセスを許可すると共に、そのアプリケーションの起動をカーネルに指示する。
【0020】
すなわち、上述した構成の情報処理装置10は、図2に示すように、アプリケーション認証を行う。
つまり、アプリケーションAPから起動要求がさなれると、ファイルとアプリケーションとの組合せを検証する。その際、TPMに格納されている暗号用鍵K1により復号化した組合せ情報CIを使用して、ファイルとアプリケーションとの組合せの妥当性を検証する。
そして、組合せの妥当性が検証されると、アプリケーションの実行ファイル(EXEファイルやDLLファイル等)を認証する。その際、TPMに格納されているハッシュ演算HA及び署名用鍵(署名検証用鍵)K2により、アプリケーションが認証される。
最後に、アプリケーションが認証されると、対象となるファイルFへのファイルアクセスが可能となる。
【0021】
このように、情報処理装置10は、装置単独で、アプリケーション認証を可能とし、また、正当なアプリケーションだけが、対象ファイルに正当にアクセスすることを許すことができる。
【0022】
次に、図3等を参照して、本発明の情報処理装置について、より具体的に説明する。図3は、情報処理装置10における具体的な実装状態を説明するための模式図である。
図示するように、情報処理装置10には、TPM1と、カーネル2と、フィルタドライバ3と、ミドルウェア4と、アプリケーション5とが、実装(適宜インストール等)されている。なお、情報処理装置10には、この他にも、CPU(Central Processing Unit)、メモリ(ROMやRAM)、ハードディスク、及び、各種コントローラ等も備えている。
【0023】
TPM1は、鍵の格納や暗号演算等を行うハードウェアである。例えば、暗号用鍵、署名用鍵等をハードウェアで制御、保存するマイクロコントローラであり、チップ化されて、実装される。
【0024】
カーネル2は、特権モードで動作するOSプログラムであり、例えば、フィルタドライバ3等からの起動指示を受け、メモリ等のハードウェアにアプリケーションを展開し、起動処理等の制御を行う。
【0025】
フィルタドライバ3は、より詳細には、ファイルシステムフィルタドライバであり、要求がターゲットに届く前にその要求を途中で受信し、機能追加や動作変更を行う。例えば、フィルタドライバ3には、組合せ情報を設定できるようになっており、アプリケーションの起動要求がなされると、設定された組合せ情報に基づいて、アプリケーションと対象となるファイル(ファイル種類)との妥当性を検証する。なお、初期状態では、全てのアプリケーションの起動を認めない情報(禁止型組合せ情報)が設定されている。
【0026】
ミドルウェア4は、オペレーティングシステムよりも高度で具体的な機能を提供するソフトウェアであり、例えば、TPM1を用いて認証や暗号化等を行う。
【0027】
アプリケーション5は、オペレーティングシステム上にて実行されるアプリケーションソフトウェアであり、例えば、ワープロ(ワードプロセッサ)や表計算ソフト等のソフトウェアからなる。
なお、アプリケーション5は、ミドルウェア4と共に、ユーザモード(非特権モード)にて実行される。
【0028】
このような構成において、ミドルウェア4自身が改ざんされるおそれもある。そのため、ミドルウェア4自身の認証も行う必要がある。このミドルウェア4の認証について、図4を参照して説明する。
なお、このミドルウェア認証は、オペレーティングシステムの起動時に行われる。
【0029】
まず、ミドルウェア4が起動要求を行う(S1)。そして、ミドルウェア4自身の改ざんも防止しなければならないため、ミドルウェア4自身の認証を行う(S2)。
この際、ミドルウェア4の認証には、TPM1に格納された署名用鍵が使用される。なお、ミドルウェア4の改ざんが検出されると、ミドルウェア4の起動を停止させ、フィルタドライバ3では、初期状態となる禁止型組合せ情報のままとなるため、全てのアプリケーションの起動要求を禁止する。つまり、その後に、アプリケーション5の起動要求がなされても、その起動要求は受け付けられないことになる。
【0030】
ミドルウェア4が認証されると、組合せ情報を復号化する(S3)。つまり、TPM1に格納された暗号用鍵が用いられて、組合せ情報が復号化される。この組合せ情報は、特定のアプリケーションとファイル(ファイルの種類)との組合せであれば起動を許可する旨の情報である。
そして、復号化した組合せ情報をフィルタドライバ3に設定する(S4)。つまり、禁止型組合せ情報を、許可型組合せ情報に置き換える。
【0031】
このように、オペレーティングシステムの起動時に、ミドルウェア4が認証され、そして、フィルタドライバ3に、組合せ情報が設定される。
【0032】
次に、アプリケーション5の認証について、図5を参照して説明する。なお、上述したミドルウェア認証が、既に行われているものとする。
【0033】
まず、アプリケーション5の起動要求が行われる(S11)。つまり、ワープロや表計算のソフトウェアが、特定の拡張子であるファイルの起動要求を行う。なお、単独で起動するアプリケーション(例えば、スケジュール管理ソフトウェアや企業内ソフトウェア等)の場合には、組合せ情報において、対応するファイルがない旨(対象ファイル名なし)が設定されている。
【0034】
フィルタドライバ3は、この要求を横取りし(先に受信し)、設定された組合せ情報に基づいて、適切なアプリケーションとファイル(ファイルの種類)との組合せであるかを、検証する(S12)。つまり、許可された組合せにてアプリケーション5が起動されているかが検証される。
ここで、適切な組合せであると検証されると、ミドルウェア4に対して認証処理要求を行う(S13)。つまり、アプリケーション認証を依頼する。
なお、検証により、不適切な組合せであると判別されると、カーネル2に対してエラー結果を返すことになる。つまり、アプリケーション5の起動要求は、エラーとなる。
【0035】
フィルタドライバ3から認証処理が要求されると、ミドルウェア4は、アプリケーション認証処理を行う(S14)。つまり、ミドルウェア4は、TPM1のハッシュ演算機能や署名用鍵を用いて、アプリケーション(EXEファイルやDLLファイル等)を認証する。
そして、ミドルウェア4は、認証結果をフィルタドライバ3に通知する(S15)。例えば、認証が成功した場合に、成功フラグを通知し、一方、認証が失敗した場合に、失敗フラグを通知する。
【0036】
最後に、フィルタドライバ3は、認証が成功した旨の通知に応答して、カーネル2にアプリケーション5を起動させる(S16)。すなわち、認証されたアプリケーション5をカーネル2にて起動させる。この際、アプリケーション5からは、対象となるファイルにアクセス可能となっている。
【0037】
このように、本実施の形態に係る情報処理装置10によれば、他にサーバや外部装置等を利用することなく、単体で、アプリケーション認証を行うことができる。その際、不適切な組みあわせによるファイル起動を防止し、また、アプリケーションの改ざん等も検出できる。
【0038】
また、オペレーティングシステム(ミドルウェア)自体が信頼できないという前提でも、より適切にアプリケーション認証を行うことができる。つまり、ミドルウェア自身の認証も行い、そして、ミドルウェアが認証された場合にだけ、組合せ情報が設定される。そして、その状態で、アプリケーション認証を適切に行うことができる。
その際、組合せ情報が改ざんされるおそれもあるため、組合せ情報を暗号化している。また、ミドルウェア自身が認証されなかった場合に、組合せ情報が設定されず、全てのアプリケーションが実行不可状態となるため、ミドルウェアの改ざんに対する防御も有効となり、不正なアクセスを防止できる。
【0039】
更に、主流となるオペレーティングシステムのアーキテクチャを想定し、アプリケーション認証等にて利用される鍵を、TPMのようなハードウェア耐タンパデバイスに格納し、フィルタドライバと組み合わせることで、鍵の流出等も防止でき、セキュリティ性をより向上させることができる。
【0040】
この結果、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることができる。
【0041】
上記の実施の形態では、パーソナルコンピュータやサーバ装置等を一例として情報処理装置を説明したが、他の装置にも適宜適用可能である。例えば、携帯端末(携帯電話やPDA等)等にも適宜適用可能である。
【0042】
以上説明したように、本発明によれば、アプリケーションをより確実に認証すると共に、アクセス対象となるファイルの安全性も高めることができる。
【図面の簡単な説明】
【0043】
【図1】本発明の実施の形態に係る情報処理装置の機能構成の一例を示す模式図である。
【図2】アプリケーション認証の概略を説明するための模式図である。
【図3】情報処理装置の具体的な実装状態を説明するための模式図である。
【図4】ミドルウェアの認証について説明するための模式図である。
【図5】アプリケーションの認証について説明するための模式図である。
【符号の説明】
【0044】
1 TPM
2 カーネル
3 フィルタドライバ
4 ミドルウェア
5 アプリケーション
10 情報処理装置
11 起動要求受付部
12 組合せ検証部
13 アプリケーション認証部
14 起動指示部
【特許請求の範囲】
【請求項1】
オペレーティングシステム上にて所定のアプリケーションを起動可能な情報処理装置であって、
アプリケーションの起動要求を受け付ける起動要求受付手段と、
前記起動要求受付手段が受け付けた起動要求に応答して、当該アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する組合せ検証手段と、
前記組合せ検証手段により組合せの妥当性が検証されると、アプリケーションの認証を行うアプリケーション認証手段と、
前記アプリケーション認証手段によりアプリケーションが認証されると、対象ファイルのアクセスを許可すると共に、当該アプリケーションの起動をカーネルに指示する起動指示手段と、
を備えることを特徴とする情報処理装置。
【請求項2】
アプリケーションとファイルの種類との組合せを規定する暗号化された組合せ情報を取得する暗号化情報取得手段と、
前記暗号化情報取得手段が取得した暗号化された組合せ情報を復号化する組合せ情報復号化手段と、を更に備え、
前記組合せ検証手段は、前記組合せ情報復号化手段により復号化された組合せ情報に基づいて、アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する、
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記アプリケーション認証手段は、ハッシュ演算及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証する、
ことを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
前記アプリケーション認証手段は、ミドルウェアにて実装され、
前記ミドルウェアは、オペレーティングシステムが起動される際に、所定の署名用鍵により、自身の認証が行われる、
ことを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
【請求項5】
少なくとも、暗号用鍵、ハッシュ演算ロジック、及び、署名用鍵を格納するTPM(Trusted Platform Module)と、
前記TPMを使用した処理を行うミドルウェアと、
ファイルシステムへのアクセスを中継するフィルタドライバと、を更に備え、
前記アプリケーション認証手段は、前記ミドルウェアにて実装され、
前記ミドルウェアは、オペレーティングシステムが起動される際に、前記TPMに格納された署名用鍵により、自身の認証が行われ、
前記組合せ検証手段は、前記フィルタドライバにて実装され、
前記フィルタドライバは、前記ミドルウェア自身の認証がなされた際に、許可する組合せ情報を設定し、当該設定した組合せ情報に基づいて、組合せの妥当性を検証し、
自身の認証が行われた前記ミドルウェアは、前記TPMに格納されたハッシュ演算ロジック及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証する、
ことを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
【請求項1】
オペレーティングシステム上にて所定のアプリケーションを起動可能な情報処理装置であって、
アプリケーションの起動要求を受け付ける起動要求受付手段と、
前記起動要求受付手段が受け付けた起動要求に応答して、当該アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する組合せ検証手段と、
前記組合せ検証手段により組合せの妥当性が検証されると、アプリケーションの認証を行うアプリケーション認証手段と、
前記アプリケーション認証手段によりアプリケーションが認証されると、対象ファイルのアクセスを許可すると共に、当該アプリケーションの起動をカーネルに指示する起動指示手段と、
を備えることを特徴とする情報処理装置。
【請求項2】
アプリケーションとファイルの種類との組合せを規定する暗号化された組合せ情報を取得する暗号化情報取得手段と、
前記暗号化情報取得手段が取得した暗号化された組合せ情報を復号化する組合せ情報復号化手段と、を更に備え、
前記組合せ検証手段は、前記組合せ情報復号化手段により復号化された組合せ情報に基づいて、アプリケーションとアクセス対象となるファイルの種類との組合せの妥当性を検証する、
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記アプリケーション認証手段は、ハッシュ演算及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証する、
ことを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
前記アプリケーション認証手段は、ミドルウェアにて実装され、
前記ミドルウェアは、オペレーティングシステムが起動される際に、所定の署名用鍵により、自身の認証が行われる、
ことを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
【請求項5】
少なくとも、暗号用鍵、ハッシュ演算ロジック、及び、署名用鍵を格納するTPM(Trusted Platform Module)と、
前記TPMを使用した処理を行うミドルウェアと、
ファイルシステムへのアクセスを中継するフィルタドライバと、を更に備え、
前記アプリケーション認証手段は、前記ミドルウェアにて実装され、
前記ミドルウェアは、オペレーティングシステムが起動される際に、前記TPMに格納された署名用鍵により、自身の認証が行われ、
前記組合せ検証手段は、前記フィルタドライバにて実装され、
前記フィルタドライバは、前記ミドルウェア自身の認証がなされた際に、許可する組合せ情報を設定し、当該設定した組合せ情報に基づいて、組合せの妥当性を検証し、
自身の認証が行われた前記ミドルウェアは、前記TPMに格納されたハッシュ演算ロジック及び署名用鍵を用いて改ざんの有無を検出し、改ざんがなされていないアプリケーションだけを認証する、
ことを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2007−52618(P2007−52618A)
【公開日】平成19年3月1日(2007.3.1)
【国際特許分類】
【出願番号】特願2005−237034(P2005−237034)
【出願日】平成17年8月18日(2005.8.18)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成19年3月1日(2007.3.1)
【国際特許分類】
【出願日】平成17年8月18日(2005.8.18)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]