説明

装置状態を確認する方法

【課題】
本発明は、装置が信頼され得るものであることを装置のウォークアップユーザのために確認する方法及び装置を提供することを目的とする。
【解決手段】
ウォークアップユーザは、装置が依然として、該装置が以前に動作していたのと同一の状態(“従前状態”)で動作していることを確認し得る。装置の従前状態は、装置が信頼できるものであることが保証された先行する如何なる装置状態であってもよい。この従前状態は、例えば、装置が管理者によって配備又は設定されたときの状態に相当する。従前状態は装置のセキュリティ状態又は動作状態としてもよい。ウォークアップユーザは、装置により提供される物理的なインターフェースを介して、あるいは装置に動作的に接続される可搬式装置を用いて、装置状態を確認し得る。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、装置状態を確認することに関する。
【背景技術】
【0002】
個々の装置が信頼できるものであるかどうかを人が知ることは望ましいことである。例えば、多機能周辺機器を使用する前、その多機能周辺機器のセキュリティが危険にさらされているかどうかをユーザが知ることは有利である。
【0003】
一般的に、装置との信頼関係を築くため、ユーザは自身が既に信頼しているコンピュータを使用する。例えば、或るサーバを信頼してよいかどうかを決定することを望むユーザは、信頼できるとして既に認められた自身のデスクトップコンピュータを使用し得る。このデスクトップコンピュータは、サーバと通信し、そのサーバが信頼し得るものであるかどうかを決定するために暗号処理を用い、その後、その結果をデスクトップコンピュータのユーザに報告し得る。残念ながら、信頼関係を築くためのこのような処理は、暗号処理に必要とされる計算を実行する助けとなる別の装置にユーザがアクセスできないときには用いられることができない。
【0004】
この問題は、例えば、ユーザが多機能周辺機器を使用するために多機能周辺機器に歩み寄るときなど、装置を使用しようと装置に歩み寄るユーザ(“ウォークアップ(walk-up)ユーザ”)によって経験され得る。ウォークアップユーザは、その装置に動作的に接続されたデスクトップコンピュータを携帯していないので、該ユーザはこの手法を用いて多機能周辺機器が信頼され得るものであるかどうかを確認することができない。
【0005】
この節で説明された手法は更に追求され得る手法であり、以前に考え出されたり追求され尽くしたりした手法では必ずしもない。故に、特に示されない限り、この節で説明された何れの手法も、単にこの節に含まれているという理由により、従来技術であると見なされるべきではない。
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明は、装置が信頼され得るものであることをユーザのために確認する技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明に係る技術は、装置を使用する目的で該装置に歩み寄るユーザ(“ウォークアップユーザ”)によって使用され得るものである。本発明の実施形態は、装置が依然として、以前に動作していた時と同じ状態(“従前状態”)で動作しているかをウォークアップユーザが確認するために使用され得る。装置の従前状態は、装置が信頼できるものであると保証された先行する如何なる装置状態であってもよい。例えば、従前状態は装置が管理者によって最初に配備された時、又は最後に設定された時の装置状態に相当していてもよい。斯くして、装置が依然として従前状態で動作していることを確保する機構を設けることにより、ウォークアップユーザは装置が予想通りに動作していることを信頼し得る。
【発明を実施するための最良の形態】
【0008】
本発明の実施形態は添付図面に、限定としてではなく例として示される。図面において、似通った参照符号は同様の要素を参照するものとする。
【0009】
以下の記載においては、説明目的で、ここに記載される本発明の実施形態の完全な理解を提供するために数多くの詳細事項が説明される。しかしながら、明らかなように、本発明はこれらの具体的な詳細事項を用いずに実施されてもよい。また、ここに記載される本発明をいたずらに不明瞭にしないよう、周知の構造及び装置はブロック図の形態で示すこととする。
【0010】
図1は本発明の一実施形態のブロック図である。図1に示された実施形態によれば、ユーザ10(以下、“ウォークアップユーザ10”)は装置100に該装置100を使用するために歩み寄り得る。装置100を使用するのに先立って、本発明の実施形態は、装置100の現在の状態が該装置100の従前状態と同一であることを確認することにより、ウォークアップユーザ10が装置100と信頼関係を構築することを可能にする。装置の従前状態は、装置100が信頼できるものであると保証された、装置の如何なる先行状態であってもよい。例えば、従前状態は装置100が管理者によって最初に配備された時、又は最後に設定された時の装置100の状態に相当していてもよい。
【0011】
装置100は2つ以上の状態で動作することが可能な如何なる機械にも相当し得る。例えば、装置100の例示的で非限定的な例には、コンピュータ、多機能周辺機器、プリンタ、ファクシミリ装置、コピー機、自動販売機、キオスク端末、及び電話が含まれる。ここでは、“状態”とは装置100が取り得る任意の状態を呼ぶものであり、これらに限られないが、装置100のセキュリティ状態(すなわち、セキュリティ設定)、及び装置100の動作状態が含まれる。
【0012】
一実施形態において、装置100が信頼できる状態にあることがウォークアップユーザ10に知られているとき、ウォークアップユーザは装置100にユーザ入力を提示し、それに応じて装置100からの応答を受け取り得る。その後、ウォークアップユーザ10は、装置100が依然として同一の信頼できる状態にあることを確認したいときはいつでも、装置100に同一のユーザ入力を提示して装置100から新たな応答を受け取ることができる。装置100により生成される各々の応答は、少なくとも部分的に、該応答が生成された時点での装置100の状態に基づく。ユーザは装置100からの新しい方の応答を、装置100から受け取った以前の応答と比較して、装置100の状態が該装置100の従前状態、すなわち、装置100の信頼できる状態から変わったかどうかを決定し得る。新しい方の応答が装置100からの以前の応答と同一でない場合、ウォークアップユーザ10は装置100が信頼できる状態にないかもしれないことを知らされ得る。
【0013】
本発明の更なる実施形態について更に詳細に説明する。
【0014】
先ず、装置状態を検証することについて説明する。図2は、本発明の一実施形態により実行される機能ステップを例示するフローチャートである。段階210にて、要求者が装置100にユーザ入力(ここでは“第1のユーザ入力”と呼ばれる)を提示する。要求者は、装置100の近くに物理的に立ち、装置100が信頼され得るかものであるどうかを確認することを望む任意の人物である。例えば、段階210の要求者は図1に描かれたウォークアップユーザ10であり得る。
【0015】
要求者は装置100に、該装置100により提供される物理的なインターフェースを用いて第1のユーザ入力を提示し得る。例えば、装置100は要求者が該装置100にデータを提供することを可能にするキーパッド、タッチ画面、又はグラフィカルユーザインターフェースを露わにしていてもよい。
【0016】
段階210での第1のユーザ入力は、装置100が信頼できる状態にあることが要求者に知られているときに、装置100に提示され得る。例えば、装置100は最初に配備された後に、あるいは管理者により設定された後に信頼できる状態にある。
【0017】
第1のユーザ入力はユーザが装置100に提示し得る如何なる種類の入力に相当していてもよい。段階210での第1のユーザ入力の非限定的且つ例示的な例には、単語、短いフレーズ、英数字列、任意の組み合わせの文字及び/又は数字、生体データ、声紋、及びバーコードが含まれる。
【0018】
一実施形態において、段階210での第1のユーザ入力はチャレンジコードと呼ばれ得る。このチャレンジコードは要求者の創意の産物である一組の入力に相当し得る。一実施形態において、要求者は特定のチャレンジコードを選択してもよい。何故なら、そのようなチャレンジコードは要求者にとって覚えやすいからである。段階210の実行後、処理は段階220へと進む。
【0019】
段階220にて、装置100は受け取った第1のユーザ入力と所定のアルゴリズムとに基づいて応答(ここでは“第1の応答”と呼ばれる)を生成する。
【0020】
一実施形態において、段階220の実行を支援するために装置100によってハードウェア・セキュリティ・モジュール(HSM)110が使用され得る。HSM110は、ここでは、(a)信頼できることが知られている従前状態で装置100が動作しているかを確認し、(b)装置100が信頼できることが知られている従前状態で動作している場合に装置100が特定のアルゴリズムにアクセスすることを可能にするために使用され得るハードウェア及びソフトウェアの組み合わせに相当する。HSM110は、信頼できることが知られている従前状態を確認する情報を格納し得る。
【0021】
装置100が従前状態で動作していることをHSM110が無事に確認すると、HSM110は特定のアルゴリズム(“HSMアルゴリズム”)を装置100に利用可能にする。そして、装置100は第1のユーザ入力及びHSMアルゴリズムに基づいて第1の応答を生成する。逆に、装置100が従前状態で動作していることをHSM110が無事に確認できない場合、装置100は第1のユーザ入力及びHSMアルゴリズムに基づいて第1の応答を生成することができず、代わりに、他の機構を用いて第1の応答を生成する。例えば、第1の応答は第1のユーザ入力と同じにされてもよく、あるいはHSMアルゴリズムとは異なる別のアルゴリズムを用いて第1のユーザ入力に基づいて生成されてもよい。
【0022】
ハードウェア・セキュリティ・モジュールは数多くの様々な製造者によって製造されている。具体的なハードウェア・セキュリティ・モジュールの一例は、トラステド・プラットフォーム・モジュール(TPM)である。TPMの最新仕様はCG仕様アーキテクチャオーバービュー、第1.2版というタイトルが付けられている。この仕様は、本出願時点で“www.trustedcomputinggroup.org”であるトラステド・コンピューティング・グループ(TCG)のウェブサイトにて公開されている。
【0023】
TPMは装置100に組み込まれ得る内蔵ロジックを有するハードウェア部品である。HSM110がTPMである一実施形態においては、装置100の電源が入れられると、TPMは装置に信頼できる起動サイクルを実行させる。この信頼できる起動サイクル中、TPMは装置100に該TPMに内蔵されたロジックに基づく一連のテストを実行させる。この一連のテストは、装置100の如何なる状況もその時点で、TPMの内蔵ロジックに記憶された期待される状態に一致することを検証し得る。例えば、この一連のテストは装置100のセキュリティ状態又は動作状態が、TPMの内蔵ロジックに記憶された期待される状態に一致することを検証し得る。
【0024】
一実施形態において、この信頼できる起動サイクル中にTPMによって実行される一連のテストの全てが合格である場合、TPMは装置100がTPMに格納されたアルゴリズムにアクセスすることを可能にする。一実施形態において、このアルゴリズムは装置100がデータを暗号化するために使用し得る秘密鍵に相当する。一例として、この信頼できる起動サイクル中にTPMによって実行される一連のテストの全てが合格である場合、装置100は秘密鍵にアクセスすることができ、一方、この信頼できる起動サイクル中にTPMによって実行される一連のテストの何れかが失敗した場合には、装置100は秘密鍵へのアクセスを有しない。
【0025】
一実施形態において、HSM110がTPMであり、且つ上記の信頼できる起動サイクル中にTPMによって実行される一連のテストの全てが合格である場合、装置100は、段階210にて受け取った第1のユーザデータをTPMにより利用可能にされた秘密鍵を用いて暗号化することによって第1の応答を生成してもよい。一方、HSM110がTPMであり、且つ上記の信頼できる起動サイクル中にTPMによって実行される一連のテストの1つが失敗した場合、装置100は、TPMにより利用可能にされた秘密鍵を必要としない何らかの方法で第1の応答を生成してもよい。例えば、異なる暗号化機構が用いられてもよいし、第1の応答が第1のユーザ入力の非暗号版に一致していてもよい。
【0026】
装置100が第1の応答を生成した後、処理は段階230へと進む。
【0027】
段階230にて、装置100は第1の応答を要求者に与える。一実施形態において、装置100は、要求者が第1のユーザ入力を装置100に提示するために介したのと同一のインターフェースを介して、第1の応答を要求者に与える。例えば、装置100により提供されたグラフィカルユーザインターフェースを介して要求者が装置100に第1のユーザ入力を提示した場合、装置100は段階230にて該グラフィカルユーザインターフェースを用いて第1の応答を要求者に表示する。
【0028】
要求者が段階230にて第1の応答を受け取った後、幾らか後の時点で、要求者は装置100を使用することを望むことがある。実際に、段階230の実行後、十分な時間が経過していると、要求者は装置100が信頼できる状態に残されたままであることを確信できない。従って、要求者は装置100が依然として従前の信頼できる状態で動作していることを確認したいと望み得る。結果として、装置100が依然として従前の信頼できる状態で動作していることを確認するため、ユーザは段階240を実行し得る。
【0029】
段階240にて、要求者はもう一組のユーザ入力(ここでは“第2のユーザ入力”と呼ばれる)を装置100に提示する。要求者が第1のユーザ入力を装置100に提示することに関して上述された何れかの方法で、要求者は第2のユーザ入力を装置100に提示し得る。
【0030】
第2のユーザ入力の値は第1のユーザ入力と同一であるべきである。言い換えると、要求者が段階210で第1のユーザ入力としてどのような入力を装置100に提示していようと、段階240にて、要求者はそれを第2のユーザ入力として装置100に提示すべきである。要求者が第1のユーザ入力を考え出したのであるから、要求者は第1のユーザ入力を覚えているはずである。結果として、要求者は第1のユーザ入力を容易に思い出し、段階240にて、同一の入力を第2のユーザ入力として装置100に提示することができるはずである。段階240の実行後、処理は段階250へと進む。
【0031】
段階250にて、装置100は第2のユーザ入力と上記アルゴリズムとに基づいて、新たな応答(ここでは“第2の応答”と呼ばれる)を生成する。一実施形態において、装置100は、該装置100が段階220にて第1の応答を生成したのと同一の方法で第2の応答を生成する。第1のユーザ入力と第2のユーザ入力との値は同一であるので、装置100の現時点での状態が装置100の従前状態から変化していない場合、第2の応答は第1の応答と同一になる。しかしながら、装置100の現時点での状態が装置100の従前状態から変化している場合には、第1のユーザ入力と第2のユーザ入力との値が同一であっても、第2の応答は第1の応答と同一にはならない。装置100によって第2の応答が生成された後、処理は段階260へと進む。
【0032】
段階260にて、装置100は第2の応答を要求者に与える。一実施形態において、装置100は段階260にて、該装置100が段階230にて第1の応答を要求者に与えたのと同一の方法で、第2の応答を要求者に与える。段階260の実行後、処理は段階270へと進む。
【0033】
段階270にて、要求者は装置100の現在の状態が装置100の従前状態から変化したかどうかを決定する。要求者は、該要求者により受け取られたばかりの第2の応答を、装置100が信頼できる状態にあることが知られている時に装置100から受け取られた第1の応答と比較することによって、段階270を実行してもよい。第2の応答が第1の応答と等しい場合、要求者は、装置100の現在の状態が、装置100が信頼できる状態にあることが知られている時の装置100の従前状態から変化していないことを知らされる。また一方、第2の応答が第1の応答と等しくない場合には、要求者は、装置100の現在の状態が、装置100が信頼できる状態にあることが知られている時の装置100の従前状態から変化していることを知らされる。
【0034】
装置100の現在の状態が、装置100が信頼できる状態にあることが知られている時の装置100の従前状態から変化していないことが要求者に知らされると、要求者は装置100が信頼され得るものであるとの確信をもって装置100を使用し得る。しかしながら、装置100の現在の状態が、装置100が信頼できる状態にあることが知られている時の装置100の従前状態から変化していることが要求者に知らされるときには、要求者はとりわけ、(a)装置100の現在の状態が、装置100が信頼できる状態にあることが知られている時の装置100の従前状態から変化していることを知りながらも、リスクを負って装置100を使用する、(b)別の装置を使用する、且つ/或いは(c)装置100の現在の状態が、装置100が信頼できる状態にあることが知られている時の装置100の従前状態から変化していることを管理者に通知する。装置100により提供されるインターフェースは、要求者が管理者に、装置100の現在の状態が、装置100が信頼できる状態にあることが知られている時の装置100の従前状態から変化していることを報告することを可能にしてもよい。例えば、要求者がインターフェースの制御を設定する場合、要求者は装置100に、装置100の現在の状態が、装置100が信頼できる状態にあることが知られている時の装置100の従前状態から変化していることを管理者に通知するために、管理者への電子通信(例えば、電子メール、ポケベル、ファクシミリ、又は録音された電話メッセージ等)を送信させてもよい。
【0035】
続いて、装置状態を検証するために可搬式装置を使用するシステムについて説明する。一実施形態において、ウォークアップユーザは、装置100が信頼され得るものであるかどうかを決定する上で助けとなる可搬式装置を携えていてもよい。図3は、本発明のこのような一実施形態のブロック図である。図3のウォークアップユーザ20は可搬式装置120を携帯している。可搬式装置120は、(a)装置100(以降及び図3において、可搬式装置120と区別するために“被検証装置”と呼ばれる)と交信可能で、且つ(b)ウォークアップユーザ20に携帯されることが可能な任意の機械に相当する。例えば、可搬式装置120は、携帯電話、携帯情報端末(PDA)、又は例えばブルートゥース部品若しくはUSBポートインターフェース等の装置100とのデータ交換機構とフラッシュメモリとを含む装置に相当し得る。
【0036】
図3の被検証装置100は2つ以上の状態で動作することが可能な如何なる機械にも相当し得る。例えば、被検証装置100の例示的で非限定的な例には、コンピュータ、多機能周辺機器、プリンタ、ファクシミリ装置、コピー機、自動販売機、キオスク端末、及び電話が含まれる。
【0037】
図4は、可搬式装置120を用いる本発明の一実施形態により実行される機能ステップを例示するフローチャートである。段階410にて、可搬式装置120はチャレンジコードを生成する。チャレンジコードはユーザが装置100に提示し得る如何なる種類の入力に相当していてもよい。段階410でのチャレンジコード入力の非限定的且つ例示的な例には、単語、短いフレーズ、英数字列、任意の組み合わせの文字及び/又は数字、生体データ、声紋、及びバーコードが含まれる。一実施形態において、可搬式装置120はウォークアップユーザからの如何なる助け、入力又は介在を用いることなくチャレンジコードを生成してもよい。可搬式装置120がチャレンジコードを生成した後、処理は段階420へと進む。
【0038】
段階420にて、可搬式装置120は被検証装置100にチャレンジコードを送信する。可搬式装置120は、データを送信するための任意の手段を用いて、被検証装置100にチャレンジコードを送信し得る。一実施形態において、可搬式装置120は被検証装置100に無線ネットワーク上でチャレンジコードを送信してもよい。他の一実施形態においては、ウォークアップユーザ20がUSBポートを用いて可搬式装置120を被検証装置100に物理的に接続し、その後、可搬式装置120が被検証装置100に該USBポートを介してチャレンジコードを送信してもよい。可搬式装置120が被検証装置100にチャレンジコードを送信した後、処理は段階430へと進む。
【0039】
段階430にて、被検証装置100は応答を生成する。被検証装置100は段階430にて、被検証装置100上のHSM110を用いて応答を生成し得る。
【0040】
被検証装置100が従前状態で動作していることをHSM110が無事に確認すると、HSM110は所定のアルゴリズム(“HSMアルゴリズム”)を装置100に利用可能にする。そして、装置100はチャレンジコード及びHSMアルゴリズムに基づいて応答を生成する。逆に、装置100が従前状態で動作していることをHSM110が無事に確認できない場合、装置100はチャレンジコード及びHSMアルゴリズムに基づいて応答を生成することができず、代わりに、他の機構を用いて応答を生成する。例えば、応答はチャレンジコードと同じにされてもよく、あるいはHSMアルゴリズムとは異なる別のアルゴリズムを用いて、チャレンジコードに基づいて生成されてもよい。
【0041】
一実施形態において、応答はチャレンジコードの暗号版であってもよい。例えば、HSMアルゴリズムは秘密鍵に相当する。例示のため、一実施形態において、HSM110がTPMであり、且つ信頼できる起動サイクル中にTPMによって実行される一連のテストの全てが合格である場合、被検証装置100は、段階420にて受信されたチャレンジコードをTPMにより利用可能にされた秘密鍵を用いて暗号化することによって応答を生成してもよい。一方、HSM110がTPMであり、且つ信頼できる起動サイクル中にTPMによって実行される一連のテストの1つが失敗した場合、被検証装置100は、TPMにより利用可能にされた秘密鍵を必要としない何らかの方法で応答を生成してもよい。例えば、異なる暗号化機構が用いられてもよいし、応答がチャレンジコードの非暗号版に一致していてもよい。被検証装置100が応答を生成した後、処理は段階440へと進む。
【0042】
段階440にて、被検証装置100は先行段階にて生成された応答を可搬式装置120に送信する。被検証装置100は、可搬式装置120が段階420にて被検証装置100にチャレンジコードを伝達したのと同一の方法で、可搬式装置120に応答を送信してもよい。被検証装置100が可搬式装置120に応答を送信した後、処理は段階450へと進む。
【0043】
段階450にて、可搬式装置120は、被検証装置100が信頼できる状態にあることが知られた被検証装置100の従前状態から状態変化をしているかどうかを決定するために、上記の応答を処理する。一実施形態において、可搬式装置120は、段階440にて受信された応答がチャレンジコードとHSMにより提供されたHSMアルゴリズムとに基づいて生成されたものであるかを決定することによって、被検証装置100が状態変化をしているかどうかを決定してもよい。上記の応答がチャレンジコードとHSMアルゴリズムとに基づいて生成されたものである場合、被検証装置100は信頼できる状態にあることが知られた被検証装置100の従前状態から状態変化をしていないことになる。逆に、上記の応答がチャレンジコードとHSMアルゴリズムとに基づいて生成されたものでない場合、被検証装置100は信頼できる状態にあることが知られた被検証装置100の従前状態から状態変化をしていることになる。
【0044】
一実施形態において、可搬式装置120は段階450にて、応答がチャレンジコードの暗号版であるかどうかを決定するために応答を解読することによって応答を処理してもよい。一実施形態において、可搬式装置120は被検証装置100に関連付けられた公開鍵を用いて応答を解読してもよい。一実施形態においては、被検証装置100の管理者が被検証装置100に関連付けられた公開鍵を可搬式装置120に格納してもよい。他の例では、ウォークアップユーザ20がネットワーク位置に連絡を取ることにより、被検証装置100に関連付けられた公開鍵を取得してもよく、例えば、被検証装置100が、該被検証装置100の公開鍵を取得する方法についての情報を要求者に提供してもよい。故に、一実施形態においては段階450にて、可搬式装置120は解読された応答がチャレンジコードに等しいかどうかを決定するために、被検証装置100に関連付けられた公開鍵を用いて応答を解読することを試みてもよい。解読された応答がチャレンジコードに等しい場合、可搬式装置120は、この応答はHSMアルゴリズム(この場合、被検証装置100に関連付けられた秘密鍵)に基づいて生成されたものであり、故に、被検証装置100は信頼できる状態にあることが知られた被検証装置100の従前状態から状態変化をしていないと結論付け得る。逆に、解読された応答がチャレンジコードに等しくない場合、可搬式装置120は、この応答はHSMアルゴリズム(この場合、被検証装置100に関連付けられた秘密鍵)に基づいて生成されたものではなく、故に、被検証装置100は信頼できる状態にあることが知られた被検証装置100の従前状態から状態変化をしていると結論付け得る。
【0045】
一実施形態において、可搬式装置120は、被検証装置100が信頼できる状態にあることが知られた被検証装置100の従前状態から状態変化をしているかどうかの決定について、ウォークアップユーザ20に通知してもよい。例えば、可搬式装置120は、被検証装置100が信頼できる状態にあることが知られた被検証装置100の従前状態から状態変化をしていることを指し示す特定の色の光を表示してもよく、また可搬式装置120は、被検証装置100が信頼できる状態にあることが知られた被検証装置100の従前状態から状態変化をしていないことを指し示す別の色を表示してもよい。他の一例として、可搬式装置120は、例えばグラフィカルユーザインターフェースを介する方法、又は可聴音を再生することによる方法など、他の方法でユーザに通知してもよい。
【0046】
一実施形態において、可搬式装置120は、信頼できる状態にあることが知られた被検証装置100の従前状態からの状態変化があったか否かをウォークアップユーザに通知してもよい。他の一実施形態においては、状態変化があった場合、可搬式装置120は信頼できる状態にあることが知られた被検証装置100の従前状態から何が変化したかを正確にウォークアップユーザに通知してもよい。例えば、可搬式装置120は被検証装置100の現在の状態と従前状態との間の違いは何であるかに関する情報を表示してもよい。この一実施形態においては、被検証装置100は可搬式装置120に、被検証装置100の現在の状態と従前状態との間の違いは何であるかに関する情報を提供する。
【0047】
被検証装置100の現在の状態が、該装置100が信頼できる状態にあることが知られている時の該装置100の従前状態から変化していないことがウォークアップユーザ20に知らされると、ウォークアップユーザ20は被検証装置100が信頼され得るものであるとの確信をもって該装置100を使用し得る。しかしながら、被検証装置100の現在の状態が、該装置100が信頼できる状態にあることが知られている時の該装置100の従前状態から変化していることがウォークアップユーザ20に知らされるときには、ウォークアップユーザ20はとりわけ、(a)被検証装置100の現在の状態が、該装置100が信頼できる状態にあることが知られている時の該装置100の従前状態から変化していることを知りながらも、リスクを負って該装置100を使用する、(b)別の装置を使用する、且つ/或いは(c)被検証装置100の現在の状態が、該装置100が信頼できる状態にあることが知られている時の該装置100の従前状態から変化していることを管理者に通知する。被検証装置100により提供されるインターフェースは、ウォークアップユーザ20が管理者に、被検証装置100の現在の状態が、該装置100が信頼できる状態にあることが知られている時の該装置100の従前状態から変化していることを報告することを可能にしてもよい。例えば、ウォークアップユーザ20がインターフェースの制御を設定する場合、ウォークアップユーザ20は被検証装置100に、該装置100の現在の状態が、該装置100が信頼できる状態にあることが知られている時の該装置100の従前状態から変化していることを管理者に通知するために、管理者への電子通信(例えば、電子メール、ポケベル、ファクシミリ、又は録音された電話メッセージ等)を送信させてもよい。
【0048】
続いて、本発明の実施形態の例示的な用途について説明する。一実施形態において、多機能周辺機器のセキュリティ状態が、信頼できる状態であるとユーザに知られた従前状態と同一の状態にあることがユーザのために確認され得る。斯くして、多機能周辺機器のセキュリティ設定に、信頼できるものであるとユーザに知られた従前状態からの何らかの変化が生じた場合、そのセキュリティ状態の変化はユーザによって検出され得る。例えば、多機能周辺機器上で起動する認証プロセスに変化が生じた場合、又は多機能周辺機器上で起動するファイヤウォールに変化が生じた場合、この変化はユーザによって検出され得る。
【0049】
他の一実施形態においては、プリンタの動作状態が、信頼できる状態であるとユーザに知られた従前状態と同一の状態にあることがユーザのために確認され得る。斯くして、プリンタの動作状態に、信頼できるものであるとユーザに知られた従前状態からの何らかの変化が為された場合、ユーザはその動作状態の変化を検出し得る。例えば、プリンタにインク切れ又は用紙切れが生じている場合、又はプリンタによりサポートされる機能が正しく動作していない場合、この動作状態の変化はユーザによって検出され得る。
【0050】
他の一実施形態においては、自動販売機の動作状態が、信頼できる状態であるとユーザに知られた従前状態と同一の状態にあることがユーザのために確認され得る。斯くして、自動販売機の動作状態に、信頼できるものであるとユーザに知られた従前状態からの何らかの変化が生じた場合、その動作状態の変化はユーザによって検出され得る。例えば、自動販売機において該自動販売機が販売する品目に売り切れが生じている場合、又は自動販売機が正しく動作していない場合、この動作状態の変化はユーザによって検出され得る。図4に示された実施形態において、可搬式装置120が自動販売機のHSM110によって用いられるアルゴリズム(例えば、その自動販売機に関連付けられた公開鍵など)をその時点で有していない場合、可搬式装置120はそのアルゴリズムを取得するために無線ネットワークに連絡を取ることによりそのアルゴリズムを取得することができてもよい。
【0051】
この節に記載された例示的な実施形態は、本発明の全ての実施形態を完全に列挙することを意図したものではない。何故なら、本出願の発明者は装置100が広範囲の機械を対象とすることを満足させているからである。また、装置100の如何なる状態も本発明の実施形態を用いて確認され得ることが意図される。何故なら、状態は装置100のセキュリティ状態又は動作状態に限定される必要はないからである。
【0052】
続いて、実装機構について説明する。一実施形態において、1つ以上の可搬式装置120及び装置100がコンピュータシステム上に、あるいはコンピュータシステムを用いて実装され得る。図5は、本発明の一実施形態が実施され得るコンピュータシステム500を例示するブロック図である。コンピュータシステム500は、情報を伝達するためのバス502又はその他の通信機構、及び情報を処理するためにバス502に結合されたプロセッサ504を含んでいる。コンピュータシステム500はまた、情報及びプロセッサ504によって実行される命令を格納するためにバス502に結合された、例えばランダムアクセスメモリ(RAM)又はその他のダイナミック型記憶装置などの、主メモリ506を含んでいる。主メモリ506はまた、プロセッサ504により実行されるべき命令の実行時に、一時的な変数又はその他の中間情報を格納するために用いられてもよい。コンピュータシステム500は更に、プロセッサ504用の静的な情報及び命令を格納するためにバス502に結合された読み出し専用メモリ(ROM)508又はその他のスタティック型記憶装置を含んでいる。例えば磁気ディスク若しくは光ディスク等の記憶装置510が設けられ、情報及び命令を格納するためにバス502に結合されている。
【0053】
コンピュータシステム500は、コンピュータユーザに情報を表示するための例えば陰極線管(CRT)等の表示装置512にバス502を介して結合されていてもよい。また、情報及びコマンド選択をプロセッサ504に伝達するために、英数字及びその他のキーを含む入力装置514がバス502に結合されている。他の種類のユーザ入力装置は、方向情報及びコマンド選択をプロセッサ504に伝達し、カーソル動作をディスプレー512上で制御する、例えばマウス、トラックボール、又はカーソル方向キー等のカーソル制御装置516である。この入力装置は、典型的に、平面内での位置を装置が特定することを可能にする第1軸(例えば、x)及び第2軸(例えば、y)という2つの軸における2つの自由度を有している。
【0054】
本発明は、ここで説明された技術を実施するためのコンピュータシステム500の使用に関する。本発明の一実施形態に従って、上記の技術は、主メモリ506に格納された1つ以上の命令から成る1つ以上の命令シーケンスを有するプログラムを実行するプロセッサ504に応答して、コンピュータシステム500によって実行される。この命令は、例えば記憶装置510等の別の機械可読媒体から主メモリ506に読み込まれてもよい。主メモリ506に格納された命令シーケンスの起動により、プロセッサ504は上述の処理段階を実行させられる。代わりの実施形態においては、本発明を実施するためのソフトウェア命令に換えて、あるいは組み合わせて、ハード・ワイヤード回路が用いられてもよい。故に、本発明はハードウェア回路とソフトウェアとの如何なる特定の組み合わせにも限定されるものではない。
【0055】
用語“機械可読媒体”は、ここでは、機械を特定の方法で動作させるデータを提供することに関与する如何なる媒体をも指すものである。コンピュータシステム500を用いて実現される一実施形態においては、例えば、実行のためにプロセッサ504に命令を提供することに際して、様々な機械可読媒体が含まれる。このような媒体は、これらに限られないが、不揮発性媒体、揮発性媒体、及び伝送媒体を含む多くの形態を取り得る。不揮発性媒体は、例えば、記憶媒体510等の光ディスク若しくは磁気ディスクを含む。揮発性媒体は例えば主メモリ506等のダイナミック型メモリを含む。伝送媒体は、バス502を含む配線を含め、同軸ケーブル、銅配線、及び光ファイバを含む。伝送媒体はまた、例えば電波及び赤外線データ通信において発生されるような音響波又は光波の形態を取り得る。全てのこのような媒体は、媒体により担持される命令が、命令を機械に読み込む物理的機構によって検出されることを可能にするように実現可能でなければならない。
【0056】
機械可読媒体の一般的な形態には、例えば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ若しくはその他の何らかの磁気媒体、CD−ROM、その他の何らかの光学媒体、パンチカード、紙テープ、穴のパターンを有するその他の何らかの物理媒体、RAM、PROM、EPROM、フラッシュEPROM、その他の何らかのメモリチップ若しくはカートリッジ、後述されるような搬送波、又はコンピュータが読み取り可能なその他の何らかの媒体が含まれる。
【0057】
1つ以上の命令から成る1つ以上の命令シーケンスを有するプログラムを実行のためにプロセッサ504に運ぶことにおいて、様々な形態の機械可読媒体が含まれ得る。例えば、命令は当初、遠隔コンピュータの磁気ディスクに担持されていてもよい。遠隔コンピュータは命令を自身のダイナミック型メモリにロードし、モデムを用いて電話回線上でその命令を送信することができる。コンピュータシステム500にローカルなモデムは電話回線上でデータを受信し、赤外線送信機を用いてそのデータを赤外線信号に変換することができる。赤外線検出器は赤外線信号にて搬送されるデータを受信することが可能であり、適切な回路はデータをバス502上に置くことが可能である。バス502はデータを主メモリ506へと運び、プロセッサ504は主メモリ506から命令を取り出して実行する。主メモリ506により受け取られた命令は、必要に応じて、プロセッサ504による実行の前又は後の何れかにおいて記憶装置510に格納されてもよい。
【0058】
コンピュータシステム500はまた、バス502に結合された通信インターフェース518を含んでいる。通信インターフェース518は、ローカルネットワーク522に接続されたネットワークリンク520に結合しており、双方向データ通信を提供する。例えば、通信インターフェース518は、対応する種類の電話回線へのデータ通信接続を提供する総合デジタルサービス網(ISDN)カード又はモデムであってもよい。他の一例として、通信インターフェース518は、互換性のあるLANへのデータ通信接続を提供するローカル・エリア・ネットワーク(LAN)カードであってもよい。無線リンクも実装されてもよい。このような如何なる実装においても、通信インターフェース518は、様々な種類の情報を表すデジタルデータストリームを運ぶ電気信号、電磁気信号、又は光信号を送受信する。
【0059】
ネットワークリンク520は、典型的に、1つ以上のネットワークを介して他のデータ装置とのデータ通信を提供する。例えば、ネットワークリンク520はローカルネットワーク522を介して、ホストコンピュータ524、又はインターネット・サービス・プロバイダ(ISP)526により稼働されるデータ機器への接続を提供し得る。代わって、ISP526は、今や“インターネット”528と広く呼ばれている世界規模のパケットデータ通信網を介してデータ通信サービスを提供する。ローカルネットワーク522及びインターネット528は何れも、デジタルデータストリームを運ぶ電気信号、電磁気信号、又は光信号を使用する。コンピュータシステム500に対して行き来するデジタルデータを運ぶ、様々なネットワークを介する信号、及び通信インターフェース518を介するネットワークリンク520上の信号は、情報を輸送する搬送波の典型的な形態である。
【0060】
コンピュータシステム500は、ネットワーク(群)、ネットワークリンク520及び通信インターフェース518を介して、メッセージを送信し、プログラムコードを含め、データを受信することができる。インターネットの例においては、サーバ530は、インターネット528、ISP526、ローカルネットワーク522及び通信インターフェース518を介して、アプリケーションプログラムの要求コードを送信してもよい。
【0061】
受信されたコードは、受信された時にプロセッサ504によって実行されてもよく、且つ/或いは、後の実行のために記憶装置510又はその他の不揮発性記憶媒体に格納されてもよい。斯くして、コンピュータシステム500はアプリケーションコードを搬送波の形態で取得してもよい。
【0062】
以上の記載において、本発明の実施形態は実施ごとに変更され得る数多くの具体的詳細事項を参照しながら説明されてきた。故に、何が本発明であるか、及び何が出願人によって発明であると意図されるかを唯一、且つ専ら指し示す物は、後の補正を含め、添付の特許請求の範囲である。請求項に含まれる用語に関して明細書にて明確に説明された如何なる定義も、請求項にて使用されるそのような用語の意味を規定するものである。従って、請求項に明示的に列挙されていない如何なる限定、要素、特性、特徴、効果又は寄与も、請求項の範囲を如何様にも限定すべきではない。本明細書及び図面は、従って、限定的なものではなく例示的なものと見なされるべきである。
【図面の簡単な説明】
【0063】
【図1】本発明の一実施形態を示すブロック図である。
【図2】本発明の一実施形態により実行される機能ステップを例示するフローチャートである。
【図3】本発明の一実施形態を示すブロック図である。
【図4】可搬式装置を用いる本発明の一実施形態により実行される機能ステップを例示するフローチャートである。
【図5】本発明の一実施形態が実施され得るコンピュータシステムを例示するブロック図である。
【符号の説明】
【0064】
10、20 … 要求者(ウォークアップユーザ)
100 … 被検証装置
110 … ハードウェア・セキュリティ・モジュール
120 … 可搬式装置
502 … バス
504 … プロセッサ
506 … 主メモリ
508 … ROM
510 … 記憶装置
512 … 表示装置
514 … 入力装置
516 … カーソル制御
518 … 通信インターフェース
520 … ネットワークリンク
522 … ローカルネットワーク
524 … ホスト
526 … インターネット・サービス・プロバイダ
528 … インターネット
530 … サーバ

【特許請求の範囲】
【請求項1】
所定の状態を検証されることが可能な装置であって、
要求者から第1のユーザ入力を受け取ることに応答して、該第1のユーザ入力に基づき、所定のアルゴリズムを用いて第1の応答を生成する第1の生成手段と、
前記第1のユーザ入力後に、前記要求者から前記第1のユーザ入力と等しい第2のユーザ入力を受け取ることに応答して、当該装置の現在の状態が当該装置の従前状態から変化しているかを検証する検証手段と、
前記現在の状態が前記従前状態から変化していない場合、前記アルゴリズムを用いて前記第1の応答と等しい第2の応答を生成する第2の生成手段と、
を備える装置。
【請求項2】
前記要求者が前記第2のユーザ入力を提示するための物理的インターフェースを更に備える請求項1に記載の装置。
【請求項3】
前記現在の状態はセキュリティ状態に相当する、請求項1に記載の装置。
【請求項4】
前記現在の状態は動作状態に相当する、請求項1に記載の装置。
【請求項5】
コンピュータ、多機能周辺機器、プリンタ、ファクシミリ装置、コピー機、自動販売機、キオスク端末、及び電話の内の1つに相当する請求項1に記載の装置。
【請求項6】
所定の状態を検証されることが可能な装置であって、
可搬式装置からユーザ入力を受け取ることに応答して、当該装置の現在の状態が当該装置の従前状態から変化しているかを検証する検証手段と、
前記現在の状態が前記従前状態から変化していない場合、所定のアルゴリズムを用いて応答を生成する生成手段と、
前記可搬式装置に前記応答を与える提供手段であり、前記可搬式装置は前記応答に基づいて、前記現在の状態が前記従前状態から変化しているかを決定するように構成されている、提供手段と、
を備える装置。
【請求項7】
前記応答は前記ユーザ入力の暗号版である、請求項6に記載の装置。
【請求項8】
前記可搬式装置は、前記現在の状態が前記従前状態から変化しているかを視覚的に表示する表示手段を更に有する、請求項6に記載の装置。
【請求項9】
前記現在の状態はセキュリティ状態に相当する、請求項6に記載の装置。
【請求項10】
前記現在の状態は動作状態に相当する、請求項6に記載の装置。
【請求項11】
前記第1の装置は、多機能周辺機器、プリンタ、ファクシミリ装置、コピー機、自動販売機、キオスク端末、及び電話の内の1つに相当する、請求項6に記載の装置。
【請求項12】
1つ以上のプロセッサによって実行されるときに、
装置が、要求者から第1のユーザ入力を受け取ることに応答して、該第1のユーザ入力に基づき、所定のアルゴリズムを用いて第1の応答を生成する第1の生成段階と、
前記第1のユーザ入力後に、前記装置が、前記要求者から前記第1のユーザ入力と等しい第2のユーザ入力を受け取ることに応答して、該装置の現在の状態が該装置の従前状態から変化しているかを検証する検証段階と、
前記現在の状態が前記従前状態から変化していない場合、前記装置が前記アルゴリズムを用いて前記第1の応答と等しい第2の応答を生成する第2の生成段階と、
を行わせる1つ以上の命令シーケンスを有するプログラム。
【請求項13】
前記第2のユーザ入力は、前記装置により提供される物理的インターフェースによって前記装置に提示される、請求項12に記載のプログラム。
【請求項14】
前記現在の状態はセキュリティ状態に相当する、請求項12に記載のプログラム。
【請求項15】
前記現在の状態は動作状態に相当する、請求項12に記載のプログラム。
【請求項16】
前記装置は、コンピュータ、多機能周辺機器、プリンタ、ファクシミリ装置、コピー機、自動販売機、キオスク端末、及び電話の内の1つに相当する、請求項12に記載のプログラム。
【請求項17】
1つ以上のプロセッサによって実行されるときに、
第1の装置が、可搬式装置からユーザ入力を受け取ることに応答して、該第1の装置の現在の状態が該第1の装置の従前状態から変化しているかを検証する検証段階と、
前記現在の状態が前記従前状態から変化していない場合、前記第1の装置が所定のアルゴリズムを用いて応答を生成する生成段階と、
前記第1の装置が前記可搬式装置に前記応答を与える提供段階であり、前記可搬式装置は前記応答に基づいて、前記現在の状態が前記従前状態から変化しているかを決定するように構成されている、提供段階;
を行わせる1つ以上の命令シーケンスを有するプログラム。
【請求項18】
前記応答は前記ユーザ入力の暗号版である、請求項17に記載のプログラム。
【請求項19】
前記可搬式装置は、前記現在の状態が前記従前状態から変化しているかを視覚的に表示するように構成されている、請求項17に記載のプログラム。
【請求項20】
前記現在の状態はセキュリティ状態に相当する、請求項17に記載のプログラム。
【請求項21】
前記現在の状態は動作状態に相当する、請求項17に記載のプログラム。
【請求項22】
前記第1の装置は、多機能周辺機器、プリンタ、ファクシミリ装置、コピー機、自動販売機、キオスク端末、及び電話の内の1つに相当する、請求項17に記載のプログラム。
【請求項23】
第1の装置と可搬式装置とを有するシステムであって、
前記第1の装置は、
前記可搬式装置からユーザ入力を受け取ることに応答して、該第1の装置の現在の状態が該第1の装置の従前状態から変化しているかを検証する検証手段と、
前記現在の状態が前記従前状態から変化していない場合、所定のアルゴリズムを用いて応答を生成する生成手段と、
前記可搬式装置に前記応答を与える提供手段と、
を備え、
前記可搬式装置は、
前記第1の装置にユーザ入力を与える提供手段と、
前記応答に基づいて、前記現在の状態が前記従前状態から変化しているかを決定する決定手段と、
を備える、システム。
【請求項24】
1つ以上のプロセッサによって実行されるときに、
可搬式装置が第1の装置にユーザ入力を与える第1の提供段階と、
前記第1の装置が、前記ユーザ入力を受け取ることに応答して、該第1の装置の現在の状態が該第1の装置の従前状態から変化しているかを検証する検証段階と、
前記現在の状態が前記従前状態から変化していない場合、前記第1の装置が所定のアルゴリズムを用いて応答を生成する生成段階と、
前記第1の装置が前記可搬式装置に前記応答を与える第2の提供段階と、
前記可搬式装置が、前記応答に基づいて、前記現在の状態が前記従前状態から変化しているかを決定する決定段階と、
を行わせる1つ以上の命令シーケンスを有するプログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate


【公開番号】特開2008−117370(P2008−117370A)
【公開日】平成20年5月22日(2008.5.22)
【国際特許分類】
【出願番号】特願2007−226492(P2007−226492)
【出願日】平成19年8月31日(2007.8.31)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】