OS起動可否判定装置、OS起動可否判定システム、OS起動可否判定方法およびOS起動可否判定プログラム
【課題】アプリケーション情報の漏洩を防止できるとともに、アプリケーションを記憶する装置に正しく接続できない場合にもOSの起動を阻止することができるようにする。
【解決手段】 外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得手段と、アプリケーション取得手段が外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段とを備える。
【解決手段】 外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得手段と、アプリケーション取得手段が外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、OSの起動の可否を判定するOS起動可否判定装置、OS起動可否判定システム、OS起動可否判定方法およびOS起動可否判定プログラムに関する。
【背景技術】
【0002】
屋外に設置された機器は、盗難、改造、解析等の攻撃を受ける危険があるため、施錠等により厳重に保護する等の対策が取られている。しかし、機器が攻撃を受けることにより、機器が盗難にあって別の場所で使用される可能性や、内部のアプリケーションの情報が解析される可能性や、改ざんされたアプリケーションを実行される可能性がある。
【0003】
これに対して、アプリケーションの改ざんを検出した時に機器の起動を阻止する技術が、特許文献1に記載されている。特許文献1に記載されているシステムは、起動時に被検査ファイルリストを読み込み、正しいアプリケーションの情報と実際のアプリケーションの情報とを比較することで、被検査ファイルリストに記載されたアプリケーションの完全性を検証している。そして、検査の結果、ファイルの改竄が無い場合にはOSを起動している。これにより、OSの起動前にファイルの改竄を検査することが可能となる。
【0004】
【特許文献1】特開平10−333902号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、特許文献1に記載された方式は、1つの装置で構成され、装置で使う情報が全て同一の装置内に保管されているため、機器が盗難にあって別の場所で使用される危険や、機器の内部が解析され、機器内で使用されているアプリケーション等の情報が漏洩する危険がある。また、アプリケーションを記憶する装置が別の装置である場合は考慮されていない。そのため、アプリケーションを記憶する装置に正しく接続できない場合については考慮されていない。さらに、被検査ファイルリストや正しいアプリケーションの情報を、書き換え不能な領域に保存しているため、ファイルの更新が困難である。
【0006】
そこで、本発明は、アプリケーション情報の漏洩を防止できるとともに、アプリケーションを記憶する装置に正しく接続できない場合にもOSの起動を阻止することができるOS起動可否判定装置、OS起動可否判定システム、OS起動可否判定方法およびOS起動可否判定プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明によるOS起動可否判定装置は、外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得手段と、アプリケーション取得手段が取得したアプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段とを備えたことを特徴とする。
【0008】
本発明によるOS起動可否判定システムは、アプリケーションを記憶する外部装置と、外部装置が記憶するアプリケーションの正常性に応じてOSを起動するOS起動可否判定装置とを備え、OS起動可否判定装置は、外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得手段と、アプリケーション取得手段が取得したアプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段とを備えたことを特徴とする。
【0009】
本発明によるOS起動可否判定方法は、外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得ステップと、アプリケーション取得ステップで取得したアプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定ステップと、測定ステップで測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合ステップと、照合ステップで照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動ステップとを含むことを特徴とする。
【0010】
本発明によるOS起動可否判定プログラムは、コンピュータに、外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得処理と、アプリケーション取得処理で取得したアプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定処理と、測定処理で測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合処理と、照合処理で照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動処理とを実行させることを特徴とする。
【0011】
本発明によるOS起動可否判定システムの好ましい一態様は、例えば、起動時に、装置で使用するアプリケーションを起動時に外部装置より取得し、取得したアプリケーションの完全性を検証する装置を備え、OSを起動する前にアプリケーションの完全性を検証し、アプリケーションの改ざんや破損を確認した場合にはOSを起動しない動作をすることを特徴とする。このような構成を採用することにより、本発明の目的を達成することができる。
【発明の効果】
【0012】
本発明によれば、アプリケーション情報の漏洩を防止できるとともに、アプリケーションを記憶する装置に正しく接続できない場合にもOSの起動を阻止することができる。
【発明を実施するための最良の形態】
【0013】
まず、本発明の概要について図面を参照して説明する。図1は、本発明によるOS起動可否判定装置の最小の構成例を示すブロック図である。図1に例示するOS起動可否判定装置1は、アプリケーション取得手段105と、測定手段121と、照合手段122と、OS起動手段103とを備える。
【0014】
アプリケーション取得手段105は、外部装置が記憶するアプリケーションを外部装置から取得する。
【0015】
測定手段121は、アプリケーション取得手段105が外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する。
【0016】
照合手段122は、測定手段121が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する。
【0017】
OS起動手段103は、照合手段122が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動する。
【0018】
図1に示すように構成すれば、アプリケーション情報の漏洩を防止できるとともに、アプリケーションを記憶する装置に正しく接続できない場合にもOSの起動を阻止することができる。
【0019】
実施形態1.
以下、本発明の第1の実施形態を図面を参照して説明する。図2は、第1の実施形態のOS起動可否判定システムの構成例を示すブロック図である。図2に示すOS起動可否判定システムは、装置(OS起動可否判定装置)1と、装置(外部装置)2とを備える。装置1と装置2とは、例えば、ネットワークを介して通信可能に接続されている。
【0020】
装置2は、装置1の外部に設置される外部装置であって、記憶部(図示せず。)にアプリケーション部21を記憶する。アプリケーション部21は、装置1に搭載されるCPUが実行するアプリケーションソフトウェアで実現される。
【0021】
装置1は、BIOS部10と、記憶装置11と、検証装置12と、揮発性記憶装置13とを含む。
【0022】
BIOS部10は、装置2からアプリケーション部21を受信し、検証装置12がアプリケーション部21を検証した結果に応じて、後述するOS部111を起動する。BIOS部10は、例えば、アプリケーション部21を記憶する装置2に正しく接続できなかった場合や、装置2以外の外部装置に接続した場合には、OS部111を起動しない。BIOS部10は、検証要求手段101と、OS起動判定手段102と、OS起動手段103と、通信手段104とを有する。
【0023】
検証要求手段101は、電源による起動時に検証装置12に検証要求を出力する。例えば、検証要求手段101は、BIOS部10が起動し、アプリケーション部21を記憶する装置2に正しく接続してアプリケーション部21を正常に受信した場合に、アプリケーション部21の検証を要求する検証要求を検証装置12に送信する。
【0024】
OS起動判定手段102は、OS部111の起動の可否を決定する。すなわち、OS起動判定手段102は、検証装置12がアプリケーション部21を検証した結果に基づいて、アプリケーション部21が正常であるか否かを判断する。
【0025】
OS起動手段103は、OS部111を起動する。例えば、OS起動手段103は、OS起動判定手段102がアプリケーション部21が正常であると判断した場合に、OS部111を起動する。
【0026】
通信手段104は、装置2との通信を行う。例えば、装置1は、装置2から通信手段104を介してアプリケーション部21を受信する。
【0027】
記憶装置11は、OS部111と、アプリケーションリスト112と、アプリケーション検証用の参照値113とを記憶する。
【0028】
OS部111は、装置1に搭載されるCPU(図示せず。)が実行する基本ソフトウェアで実現され、アプリケーション部21を実行する。
【0029】
アプリケーションリスト112は、装置1が使用するアプリケーション(アプリケーション部21)を示す情報である。
【0030】
アプリケーション検証用の参照値113は、検証装置12がアプリケーション部21を検証する時に用いる値である。アプリケーション検証用の参照値113は、装置1の管理者が正常であると判断する状態のアプリケーションの固有の値である。すなわち、アプリケーション検証用の参照値113は、アプリケーション部21が正常であるか否かを判断するための情報であって、正常なアプリケーション21を示す情報である。アプリケーション検証用の参照値113は、例えば、正常なアプリケーションが取りうる値の範囲や、閾値等で実現される。
【0031】
検証装置12は、測定手段121と、照合手段122とを含み、アプリケーション部21が正常であるか否かを検証する。
【0032】
測定手段121は、アプリケーションやOSのようなソフトウェアのイメージやハッシュ値、CRC等のソフトウェアの破損を調べるための値等の、ソフトウェア固有の値を測定する。例えば、測定手段121は、アプリケーション部21の正常性を示す固有の値を測定する。以下、「アプリケーション部21の正常性を示す固有の値」を「アプリケーション部21の固有の値」と表記し、「アプリケーション部21の正常性を示す固有の値を測定する」ことを「アプリケーション部21の正常性を測定する」と表記する場合がある。
【0033】
照合手段122は、測定手段121が測定したアプリケーション部21の正常性と、記憶装置11が記憶するアプリケーション検証用の参照値113(正常なアプリケーションの正常性)とを照合する。
【0034】
揮発性記憶装置13は、電源の供給が絶たれると保存されている情報が消去される記憶装置である。揮発性記憶装置13は、装置2から受信したアプリケーション部21を記憶する。
【0035】
次に、図2および図3を参照して第1の実施形態の動作について説明する。図3は、第1の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【0036】
まず、装置1の電源が入れられると、BIOS部10が起動する(ステップS101)。
【0037】
次に、BIOS部10は、装置1が使用するアプリケーションのリスト112を取得する(ステップS102)。BIOS部10は、アプリケーションリスト112に記載されている情報が示すアプリケーション部21を装置2に要求し(ステップS103)、要求したアプリケーション部21を装置2から取得(受信)して揮発性記憶装置13に保存する(ステップS104)。
【0038】
なお、BIOS部10は、アプリケーション部21を記憶する装置2に正しく接続できなかった場合や、装置2以外の外部装置に接続した場合には、例えば、OS部111を起動せずに装置1の電源を切断する。
【0039】
次に、BIOS部10は、アプリケーション部21を記憶する装置2に正しく接続してアプリケーション部21を正常に受信した場合に、取得したアプリケーション部21の検証を要求する検証要求を、検証装置12に送信する(ステップS105)。
【0040】
次に、検証装置12は、アプリケーション部21の固有の値を測定し(ステップS106)、記憶装置11からアプリケーション検証用の参照値113を取得する(ステップS107)。検証装置12は、アプリケーション部21の固有の値と、アプリケーション検証用の参照値113とを照合する(ステップS108)。
【0041】
次に、検証装置12は、照合結果をBIOS部10に送信する(ステップS109)。BIOS部10は、照合結果に基づいて、アプリケーション部21が正常であるか否かを判断する(ステップS110)。アプリケーション部21が正常でないと判断した場合(NO)、BIOS部10は、装置1の電源を切断する(ステップS111)。
【0042】
アプリケーション部21が正常であると判断した場合(YES)、BIOS部10は、記憶装置11のOS部111を起動する(ステップS112)。
【0043】
次に、OS部111は、アプリケーション部21を起動し、アプリケーション部21はアプリケーションを実行する(ステップS113)。
【0044】
以上に説明したように、第1の実施形態によれば、OS部を起動する前に、装置が使用するアプリケーションを外部装置から受信し、アプリケーションの改ざんの有無を検証するというように構成されている。そのため、アプリケーションを取得できない場合や、改ざんされたアプリケーションを実行しようとした場合だけでなく、装置が使用するアプリケーションを記憶する正しい外部装置に接続されなかった場合や、取得したアプリケーションが正しい状態になかった場合に、OSの起動を阻止し、OSが起動されることによって受ける攻撃を防止することができる。
【0045】
また、揮発性記憶装置上にアプリケーションを展開して使用するため、機器(装置)が盗難されたとしても、装置1の電源が切れればアプリケーションの情報は消去されるため、アプリケーションの情報が装置の外に漏れることを防止することができる。
【0046】
また、アプリケーション情報を外部装置が記憶することから、装置の内部情報が解析された場合にも、アプリケーション情報の漏洩を防止することができる。
【0047】
実施形態2.
次に、本発明の第2の実施形態を図面を参照して説明する。図4は、第2の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【0048】
図4を参照すると、第2の実施形態における記憶装置11は、図2に示す第1の実施形態における記憶装置11には設けられていないOS検証用の参照値114を記憶する。OS検証用の参照値114は、装置1の管理者が正常であると判断する状態にあるOSの固有の値である。
【0049】
次に、図4および図5を参照して第2の実施形態の動作について説明する。図5は、第2の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【0050】
まず、装置1の電源が入れられると、BIOS部10が起動する(ステップS201)。
【0051】
次に、BIOS部10は、装置1が使用するアプリケーションのリスト112を取得する(ステップS202)。BIOS部10は、アプリケーションリスト112に記載されている情報が示すアプリケーション部21を装置2に要求し(ステップS203)、要求したアプリケーション部21を装置2から受信して揮発性記憶装置13に保存する(ステップS204)。
【0052】
次に、BIOS部10は、アプリケーション部21およびOS部111の検証を要求する検証要求を、検証装置12に送信する(ステップS205)。
【0053】
次に、検証装置12は、アプリケーション部21の固有の値を測定し(ステップS206)、記憶装置11からアプリケーション検証用の参照値113を取得する(ステップS207)。検証装置12は、アプリケーション部21の固有の値と、アプリケーション検証用の参照値113とを照合する(ステップS208)。
【0054】
検証装置12は、照合結果に基づいて、アプリケーション部21が正常であるか否かを判断する(ステップS209)。検証装置12は、アプリケーション部21が正常でないと判断した場合(NO)、BIOS部10にNG(異常)を示す情報を送信し、BIOS部10は、装置1の電源を切断する(ステップS210)。
【0055】
検証結果(照合結果)により、アプリケーション部21が正常であると判断した場合(YES)、検証装置12は、OS部111の固有の値を測定し(ステップS211)、記憶装置11からOS検証用の参照値114を取得する(ステップS212)。検証装置12は、OS部111の固有の値と、OS検証用の参照値114とを照合する(ステップS213)。
【0056】
次に、検証装置12は、検証結果(照合結果)をBIOS部10に送信する(ステップS214)。BIOS部10は、照合結果に基づいて、OS部111が正常であるか否かを判断する(ステップS215)。BIOS部10は、OS部111が正常でないと判断した場合(NO)、装置1の電源を切断する(ステップS216)。
【0057】
検証結果(照合結果)により、OS部111が正常であると判断した場合(YES)、BIOS部10は、記憶装置11のOS部111を起動する(ステップS217)。
【0058】
次に、OS部111は、アプリケーション部21を起動し、アプリケーション部21はアプリケーションを実行する(ステップS218)。
【0059】
以上に説明したように、第2の実施形態によれば、アプリケーションが改ざんされていた場合に加えて、OS部が改ざんされていた場合にOSの起動を阻止することができる。アプリケーション部の検証と比較してOS部の検証には時間がかかるため、アプリケーション部の検証をOS部の検証より先に行うことで、OS部またはアプリケーション部の改ざん時に効率的にOSの起動を阻止することができる。これは、アプリケーションが改ざんされていた場合は、時間のかかるOS部の検証をせずに、アプリケーション部の検証で装置の起動の可否を判断できるためである。一方、OSが改ざんされていた場合は、アプリケーション部の検証時間は無駄になるが、アプリケーション部の検証時間は十分小さいため、影響が少ない。
【0060】
実施形態3.
次に、本発明の第3の実施形態を図面を参照して説明する。図6は、第3の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【0061】
図6を参照すると、第3の実施形態における装置1は、内部に、図4に示す第2の実施形態における装置1には設けられていないセキュリティチップ14を備える。
【0062】
第3の実施形態では、アプリケーションリスト112と、アプリケーション検証用の参照値113と、OS検証用の参照値114とは、公開鍵を用いて暗号化されている。セキュリティチップ14は、暗号化されたアプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114を復号するための秘密鍵を記憶する。
【0063】
また、第3の実施形態における装置2は、更新情報を記憶している。更新情報は、例えば、アプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114が更新されているか否かを示す情報である。装置2は、アプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114が更新されている場合、更新されていることを示す更新情報を記憶するとともに、更新後のアプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114を記憶する。装置2が記憶する更新後のアプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114は、例えば、あらかじめ公開鍵を用いて暗号化されている。
【0064】
次に、図6及び図7を参照して第3の実施形態の動作について説明する。図7は、第3の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【0065】
まず、装置1の電源が入れられると、BIOS部10が起動する(ステップS301)。
【0066】
次に、BIOS部10は、装置2から更新情報を取得(受信)し(ステップS302)、アプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114の更新の有無を調べる(ステップS303)。
【0067】
更新がある場合(YES)、BIOS部10は、アプリケーションリスト112やアプリケーション検証用の参照値113等の各種情報を更新する(ステップS304)。例えば、BIOS部10は、暗号化された更新後の情報を装置2から受信し、記憶装置11に記憶させる。
【0068】
次に、BIOS部10は、装置1が使用するアプリケーションのリスト112を取得し、セキュリティチップ14内の秘密鍵を用いて復号する(ステップS305)。次に、BIOS部10は、アプリケーションリスト112に記載されている情報が示すアプリケーション部21を装置2に要求し(ステップS306)、要求したアプリケーション部21を装置2から受信して揮発性記憶装置13に保存する(ステップS307)。
【0069】
次に、BIOS部10は、検証装置12に、アプリケーション部21およびOS部111の検証を要求する検証要求を送信する(ステップS308)。
【0070】
次に、検証装置12は、アプリケーション部21の固有の値を測定し(ステップS309)、記憶装置11からアプリケーション検証用の参照値113を取得して、セキュリティチップ14内の鍵を用いて復号する(ステップS310)。検証装置12は、アプリケーション部21の固有の値と、復号したアプリケーション検証用の参照値113とを照合する(ステップS311)。
【0071】
検証装置12は、照合結果に基づいて、アプリケーション部21が正常であるか否かを判断する(ステップS312)。検証装置12は、アプリケーション部21が正常でないと判断した場合(NO)、BIOS部10にNG(異常)を示す情報を送信し、BIOS部10は、装置1の電源を切断する(ステップS313)。
【0072】
検証結果(照合結果)により、アプリケーション部21が正常であると判断した場合(YES)、検証装置12は、OS部111の固有の値を測定し(ステップS314)、記憶装置11からOS検証用の参照値114を取得して、セキュリティチップ14内の鍵で復号する(ステップS315)。検証装置12は、OS部111の固有の値と、復号したOS検証用の参照値114とを照合する(ステップS316)。
【0073】
次に、検証装置12は、検証結果(照合結果)をBIOS部10に送信する(ステップS317)。BIOS部10は、照合結果に基づいて、OS部111が正常であるか否かを判断する(ステップS318)。BIOS部10はOS部111が正常でないと判断した場合(NO)、装置1の電源を切断する(ステップS319)。
【0074】
検証結果(照合結果)により、OS部111が正常であると判断した場合(YES)、BIOS部10は、記憶装置11のOS部111を起動する(ステップS320)。
【0075】
次に、OS部111は、アプリケーション部21を起動し、アプリケーション部21はアプリケーションを実行する(ステップS321)。
【0076】
第3の実施形態によれば、第1の形態や第2の形態に加えて、アプリケーションやOSを検証する際の参照情報を暗号化して保護するため、装置内の情報が漏洩、改ざんされることを阻止することができる。また、特許文献1に記されている方法では、アプリケーションやOSを検証する際の参照情報を更新するには、装置1のROMを書き換えるなど、直接変更する必要があったが、第3の実施形態においては、例えば、セキュリティチップの管理者が装置2から装置1にアクセスし、装置1のセキュリティチップ内の鍵を使用することで、装置1で使用するアプリケーションの情報を遠隔操作により更新することができる。
【0077】
なお、上記に示した実施形態では、以下の(1)〜(X)に示すような特徴的構成を備えたOS起動可否判定装置が示されている。
【0078】
(1)外部装置(例えば、装置2で実現される)が記憶するアプリケーション(例えば、アプリケーション部21で実現される)を外部装置から取得するアプリケーション取得手段(例えば、アプリケーション取得手段105、BIOS部10で実現される)と、アプリケーション取得手段が外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段(例えば、測定手段121で実現される)と、測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段(例えば、照合手段122で実現される)と、照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段(例えば、OS起動手段103で実現される)とを備えたことを特徴とするOS起動可否判定装置(例えば、装置1で実現される)。
【0079】
(2)測定手段は、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定し、照合手段は、測定手段が測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合し、OS起動手段は、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動するOS起動可否判定装置。そのように構成されたOS起動可否判定装置は、アプリケーションが改ざんされていた場合に加えて、OS部が改ざんされていた場合にもOSの起動を阻止することができる。
【0080】
(3)装置で動作させるアプリケーションを示す情報と、予め記憶する正常なアプリケーションを示す情報と、予め記憶する正常なOSを示す情報とを暗号鍵を用いて暗号化し、暗号鍵に対応する復号鍵を記憶するセキュリティチップ(例えば、セキュリティチップ14で実現される)を備えたOS起動可否判定装置。そのように構成されたOS起動可否判定装置は、装置内の情報が漏洩、改ざんされることを阻止することができる。
【0081】
(4)測定手段は、アプリケーションおよびOSの正常性を判断するために、ソフトウェアイメージまたはそのハッシュ値を測定するOS起動可否判定装置。
【0082】
(5)測定手段は、アプリケーションおよびOSの正常性を判断するために、ソフトウェアの破損を調べるための値を測定するOS起動可否判定装置。
【産業上の利用可能性】
【0083】
本発明は、屋外機器や組込機器といった起動するアプリケーションがある程度固定されている機器の情報を保護する用途に効果的に適用できる。
【図面の簡単な説明】
【0084】
【図1】本発明によるOS起動可否判定装置の最小の構成例を示すブロック図である。
【図2】第1の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【図3】第1の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【図4】第2の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【図5】第2の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【図6】第3の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【図7】第3の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【符号の説明】
【0085】
1 OS起動可否判定装置
103 OS起動手段
105 アプリケーション取得手段
121 測定手段
122 照合手段
【技術分野】
【0001】
本発明は、OSの起動の可否を判定するOS起動可否判定装置、OS起動可否判定システム、OS起動可否判定方法およびOS起動可否判定プログラムに関する。
【背景技術】
【0002】
屋外に設置された機器は、盗難、改造、解析等の攻撃を受ける危険があるため、施錠等により厳重に保護する等の対策が取られている。しかし、機器が攻撃を受けることにより、機器が盗難にあって別の場所で使用される可能性や、内部のアプリケーションの情報が解析される可能性や、改ざんされたアプリケーションを実行される可能性がある。
【0003】
これに対して、アプリケーションの改ざんを検出した時に機器の起動を阻止する技術が、特許文献1に記載されている。特許文献1に記載されているシステムは、起動時に被検査ファイルリストを読み込み、正しいアプリケーションの情報と実際のアプリケーションの情報とを比較することで、被検査ファイルリストに記載されたアプリケーションの完全性を検証している。そして、検査の結果、ファイルの改竄が無い場合にはOSを起動している。これにより、OSの起動前にファイルの改竄を検査することが可能となる。
【0004】
【特許文献1】特開平10−333902号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、特許文献1に記載された方式は、1つの装置で構成され、装置で使う情報が全て同一の装置内に保管されているため、機器が盗難にあって別の場所で使用される危険や、機器の内部が解析され、機器内で使用されているアプリケーション等の情報が漏洩する危険がある。また、アプリケーションを記憶する装置が別の装置である場合は考慮されていない。そのため、アプリケーションを記憶する装置に正しく接続できない場合については考慮されていない。さらに、被検査ファイルリストや正しいアプリケーションの情報を、書き換え不能な領域に保存しているため、ファイルの更新が困難である。
【0006】
そこで、本発明は、アプリケーション情報の漏洩を防止できるとともに、アプリケーションを記憶する装置に正しく接続できない場合にもOSの起動を阻止することができるOS起動可否判定装置、OS起動可否判定システム、OS起動可否判定方法およびOS起動可否判定プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明によるOS起動可否判定装置は、外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得手段と、アプリケーション取得手段が取得したアプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段とを備えたことを特徴とする。
【0008】
本発明によるOS起動可否判定システムは、アプリケーションを記憶する外部装置と、外部装置が記憶するアプリケーションの正常性に応じてOSを起動するOS起動可否判定装置とを備え、OS起動可否判定装置は、外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得手段と、アプリケーション取得手段が取得したアプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段とを備えたことを特徴とする。
【0009】
本発明によるOS起動可否判定方法は、外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得ステップと、アプリケーション取得ステップで取得したアプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定ステップと、測定ステップで測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合ステップと、照合ステップで照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動ステップとを含むことを特徴とする。
【0010】
本発明によるOS起動可否判定プログラムは、コンピュータに、外部装置が記憶するアプリケーションを外部装置から取得するアプリケーション取得処理と、アプリケーション取得処理で取得したアプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定処理と、測定処理で測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合処理と、照合処理で照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動処理とを実行させることを特徴とする。
【0011】
本発明によるOS起動可否判定システムの好ましい一態様は、例えば、起動時に、装置で使用するアプリケーションを起動時に外部装置より取得し、取得したアプリケーションの完全性を検証する装置を備え、OSを起動する前にアプリケーションの完全性を検証し、アプリケーションの改ざんや破損を確認した場合にはOSを起動しない動作をすることを特徴とする。このような構成を採用することにより、本発明の目的を達成することができる。
【発明の効果】
【0012】
本発明によれば、アプリケーション情報の漏洩を防止できるとともに、アプリケーションを記憶する装置に正しく接続できない場合にもOSの起動を阻止することができる。
【発明を実施するための最良の形態】
【0013】
まず、本発明の概要について図面を参照して説明する。図1は、本発明によるOS起動可否判定装置の最小の構成例を示すブロック図である。図1に例示するOS起動可否判定装置1は、アプリケーション取得手段105と、測定手段121と、照合手段122と、OS起動手段103とを備える。
【0014】
アプリケーション取得手段105は、外部装置が記憶するアプリケーションを外部装置から取得する。
【0015】
測定手段121は、アプリケーション取得手段105が外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する。
【0016】
照合手段122は、測定手段121が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する。
【0017】
OS起動手段103は、照合手段122が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動する。
【0018】
図1に示すように構成すれば、アプリケーション情報の漏洩を防止できるとともに、アプリケーションを記憶する装置に正しく接続できない場合にもOSの起動を阻止することができる。
【0019】
実施形態1.
以下、本発明の第1の実施形態を図面を参照して説明する。図2は、第1の実施形態のOS起動可否判定システムの構成例を示すブロック図である。図2に示すOS起動可否判定システムは、装置(OS起動可否判定装置)1と、装置(外部装置)2とを備える。装置1と装置2とは、例えば、ネットワークを介して通信可能に接続されている。
【0020】
装置2は、装置1の外部に設置される外部装置であって、記憶部(図示せず。)にアプリケーション部21を記憶する。アプリケーション部21は、装置1に搭載されるCPUが実行するアプリケーションソフトウェアで実現される。
【0021】
装置1は、BIOS部10と、記憶装置11と、検証装置12と、揮発性記憶装置13とを含む。
【0022】
BIOS部10は、装置2からアプリケーション部21を受信し、検証装置12がアプリケーション部21を検証した結果に応じて、後述するOS部111を起動する。BIOS部10は、例えば、アプリケーション部21を記憶する装置2に正しく接続できなかった場合や、装置2以外の外部装置に接続した場合には、OS部111を起動しない。BIOS部10は、検証要求手段101と、OS起動判定手段102と、OS起動手段103と、通信手段104とを有する。
【0023】
検証要求手段101は、電源による起動時に検証装置12に検証要求を出力する。例えば、検証要求手段101は、BIOS部10が起動し、アプリケーション部21を記憶する装置2に正しく接続してアプリケーション部21を正常に受信した場合に、アプリケーション部21の検証を要求する検証要求を検証装置12に送信する。
【0024】
OS起動判定手段102は、OS部111の起動の可否を決定する。すなわち、OS起動判定手段102は、検証装置12がアプリケーション部21を検証した結果に基づいて、アプリケーション部21が正常であるか否かを判断する。
【0025】
OS起動手段103は、OS部111を起動する。例えば、OS起動手段103は、OS起動判定手段102がアプリケーション部21が正常であると判断した場合に、OS部111を起動する。
【0026】
通信手段104は、装置2との通信を行う。例えば、装置1は、装置2から通信手段104を介してアプリケーション部21を受信する。
【0027】
記憶装置11は、OS部111と、アプリケーションリスト112と、アプリケーション検証用の参照値113とを記憶する。
【0028】
OS部111は、装置1に搭載されるCPU(図示せず。)が実行する基本ソフトウェアで実現され、アプリケーション部21を実行する。
【0029】
アプリケーションリスト112は、装置1が使用するアプリケーション(アプリケーション部21)を示す情報である。
【0030】
アプリケーション検証用の参照値113は、検証装置12がアプリケーション部21を検証する時に用いる値である。アプリケーション検証用の参照値113は、装置1の管理者が正常であると判断する状態のアプリケーションの固有の値である。すなわち、アプリケーション検証用の参照値113は、アプリケーション部21が正常であるか否かを判断するための情報であって、正常なアプリケーション21を示す情報である。アプリケーション検証用の参照値113は、例えば、正常なアプリケーションが取りうる値の範囲や、閾値等で実現される。
【0031】
検証装置12は、測定手段121と、照合手段122とを含み、アプリケーション部21が正常であるか否かを検証する。
【0032】
測定手段121は、アプリケーションやOSのようなソフトウェアのイメージやハッシュ値、CRC等のソフトウェアの破損を調べるための値等の、ソフトウェア固有の値を測定する。例えば、測定手段121は、アプリケーション部21の正常性を示す固有の値を測定する。以下、「アプリケーション部21の正常性を示す固有の値」を「アプリケーション部21の固有の値」と表記し、「アプリケーション部21の正常性を示す固有の値を測定する」ことを「アプリケーション部21の正常性を測定する」と表記する場合がある。
【0033】
照合手段122は、測定手段121が測定したアプリケーション部21の正常性と、記憶装置11が記憶するアプリケーション検証用の参照値113(正常なアプリケーションの正常性)とを照合する。
【0034】
揮発性記憶装置13は、電源の供給が絶たれると保存されている情報が消去される記憶装置である。揮発性記憶装置13は、装置2から受信したアプリケーション部21を記憶する。
【0035】
次に、図2および図3を参照して第1の実施形態の動作について説明する。図3は、第1の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【0036】
まず、装置1の電源が入れられると、BIOS部10が起動する(ステップS101)。
【0037】
次に、BIOS部10は、装置1が使用するアプリケーションのリスト112を取得する(ステップS102)。BIOS部10は、アプリケーションリスト112に記載されている情報が示すアプリケーション部21を装置2に要求し(ステップS103)、要求したアプリケーション部21を装置2から取得(受信)して揮発性記憶装置13に保存する(ステップS104)。
【0038】
なお、BIOS部10は、アプリケーション部21を記憶する装置2に正しく接続できなかった場合や、装置2以外の外部装置に接続した場合には、例えば、OS部111を起動せずに装置1の電源を切断する。
【0039】
次に、BIOS部10は、アプリケーション部21を記憶する装置2に正しく接続してアプリケーション部21を正常に受信した場合に、取得したアプリケーション部21の検証を要求する検証要求を、検証装置12に送信する(ステップS105)。
【0040】
次に、検証装置12は、アプリケーション部21の固有の値を測定し(ステップS106)、記憶装置11からアプリケーション検証用の参照値113を取得する(ステップS107)。検証装置12は、アプリケーション部21の固有の値と、アプリケーション検証用の参照値113とを照合する(ステップS108)。
【0041】
次に、検証装置12は、照合結果をBIOS部10に送信する(ステップS109)。BIOS部10は、照合結果に基づいて、アプリケーション部21が正常であるか否かを判断する(ステップS110)。アプリケーション部21が正常でないと判断した場合(NO)、BIOS部10は、装置1の電源を切断する(ステップS111)。
【0042】
アプリケーション部21が正常であると判断した場合(YES)、BIOS部10は、記憶装置11のOS部111を起動する(ステップS112)。
【0043】
次に、OS部111は、アプリケーション部21を起動し、アプリケーション部21はアプリケーションを実行する(ステップS113)。
【0044】
以上に説明したように、第1の実施形態によれば、OS部を起動する前に、装置が使用するアプリケーションを外部装置から受信し、アプリケーションの改ざんの有無を検証するというように構成されている。そのため、アプリケーションを取得できない場合や、改ざんされたアプリケーションを実行しようとした場合だけでなく、装置が使用するアプリケーションを記憶する正しい外部装置に接続されなかった場合や、取得したアプリケーションが正しい状態になかった場合に、OSの起動を阻止し、OSが起動されることによって受ける攻撃を防止することができる。
【0045】
また、揮発性記憶装置上にアプリケーションを展開して使用するため、機器(装置)が盗難されたとしても、装置1の電源が切れればアプリケーションの情報は消去されるため、アプリケーションの情報が装置の外に漏れることを防止することができる。
【0046】
また、アプリケーション情報を外部装置が記憶することから、装置の内部情報が解析された場合にも、アプリケーション情報の漏洩を防止することができる。
【0047】
実施形態2.
次に、本発明の第2の実施形態を図面を参照して説明する。図4は、第2の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【0048】
図4を参照すると、第2の実施形態における記憶装置11は、図2に示す第1の実施形態における記憶装置11には設けられていないOS検証用の参照値114を記憶する。OS検証用の参照値114は、装置1の管理者が正常であると判断する状態にあるOSの固有の値である。
【0049】
次に、図4および図5を参照して第2の実施形態の動作について説明する。図5は、第2の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【0050】
まず、装置1の電源が入れられると、BIOS部10が起動する(ステップS201)。
【0051】
次に、BIOS部10は、装置1が使用するアプリケーションのリスト112を取得する(ステップS202)。BIOS部10は、アプリケーションリスト112に記載されている情報が示すアプリケーション部21を装置2に要求し(ステップS203)、要求したアプリケーション部21を装置2から受信して揮発性記憶装置13に保存する(ステップS204)。
【0052】
次に、BIOS部10は、アプリケーション部21およびOS部111の検証を要求する検証要求を、検証装置12に送信する(ステップS205)。
【0053】
次に、検証装置12は、アプリケーション部21の固有の値を測定し(ステップS206)、記憶装置11からアプリケーション検証用の参照値113を取得する(ステップS207)。検証装置12は、アプリケーション部21の固有の値と、アプリケーション検証用の参照値113とを照合する(ステップS208)。
【0054】
検証装置12は、照合結果に基づいて、アプリケーション部21が正常であるか否かを判断する(ステップS209)。検証装置12は、アプリケーション部21が正常でないと判断した場合(NO)、BIOS部10にNG(異常)を示す情報を送信し、BIOS部10は、装置1の電源を切断する(ステップS210)。
【0055】
検証結果(照合結果)により、アプリケーション部21が正常であると判断した場合(YES)、検証装置12は、OS部111の固有の値を測定し(ステップS211)、記憶装置11からOS検証用の参照値114を取得する(ステップS212)。検証装置12は、OS部111の固有の値と、OS検証用の参照値114とを照合する(ステップS213)。
【0056】
次に、検証装置12は、検証結果(照合結果)をBIOS部10に送信する(ステップS214)。BIOS部10は、照合結果に基づいて、OS部111が正常であるか否かを判断する(ステップS215)。BIOS部10は、OS部111が正常でないと判断した場合(NO)、装置1の電源を切断する(ステップS216)。
【0057】
検証結果(照合結果)により、OS部111が正常であると判断した場合(YES)、BIOS部10は、記憶装置11のOS部111を起動する(ステップS217)。
【0058】
次に、OS部111は、アプリケーション部21を起動し、アプリケーション部21はアプリケーションを実行する(ステップS218)。
【0059】
以上に説明したように、第2の実施形態によれば、アプリケーションが改ざんされていた場合に加えて、OS部が改ざんされていた場合にOSの起動を阻止することができる。アプリケーション部の検証と比較してOS部の検証には時間がかかるため、アプリケーション部の検証をOS部の検証より先に行うことで、OS部またはアプリケーション部の改ざん時に効率的にOSの起動を阻止することができる。これは、アプリケーションが改ざんされていた場合は、時間のかかるOS部の検証をせずに、アプリケーション部の検証で装置の起動の可否を判断できるためである。一方、OSが改ざんされていた場合は、アプリケーション部の検証時間は無駄になるが、アプリケーション部の検証時間は十分小さいため、影響が少ない。
【0060】
実施形態3.
次に、本発明の第3の実施形態を図面を参照して説明する。図6は、第3の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【0061】
図6を参照すると、第3の実施形態における装置1は、内部に、図4に示す第2の実施形態における装置1には設けられていないセキュリティチップ14を備える。
【0062】
第3の実施形態では、アプリケーションリスト112と、アプリケーション検証用の参照値113と、OS検証用の参照値114とは、公開鍵を用いて暗号化されている。セキュリティチップ14は、暗号化されたアプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114を復号するための秘密鍵を記憶する。
【0063】
また、第3の実施形態における装置2は、更新情報を記憶している。更新情報は、例えば、アプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114が更新されているか否かを示す情報である。装置2は、アプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114が更新されている場合、更新されていることを示す更新情報を記憶するとともに、更新後のアプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114を記憶する。装置2が記憶する更新後のアプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114は、例えば、あらかじめ公開鍵を用いて暗号化されている。
【0064】
次に、図6及び図7を参照して第3の実施形態の動作について説明する。図7は、第3の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【0065】
まず、装置1の電源が入れられると、BIOS部10が起動する(ステップS301)。
【0066】
次に、BIOS部10は、装置2から更新情報を取得(受信)し(ステップS302)、アプリケーションリスト112、アプリケーション検証用の参照値113およびOS検証用の参照値114の更新の有無を調べる(ステップS303)。
【0067】
更新がある場合(YES)、BIOS部10は、アプリケーションリスト112やアプリケーション検証用の参照値113等の各種情報を更新する(ステップS304)。例えば、BIOS部10は、暗号化された更新後の情報を装置2から受信し、記憶装置11に記憶させる。
【0068】
次に、BIOS部10は、装置1が使用するアプリケーションのリスト112を取得し、セキュリティチップ14内の秘密鍵を用いて復号する(ステップS305)。次に、BIOS部10は、アプリケーションリスト112に記載されている情報が示すアプリケーション部21を装置2に要求し(ステップS306)、要求したアプリケーション部21を装置2から受信して揮発性記憶装置13に保存する(ステップS307)。
【0069】
次に、BIOS部10は、検証装置12に、アプリケーション部21およびOS部111の検証を要求する検証要求を送信する(ステップS308)。
【0070】
次に、検証装置12は、アプリケーション部21の固有の値を測定し(ステップS309)、記憶装置11からアプリケーション検証用の参照値113を取得して、セキュリティチップ14内の鍵を用いて復号する(ステップS310)。検証装置12は、アプリケーション部21の固有の値と、復号したアプリケーション検証用の参照値113とを照合する(ステップS311)。
【0071】
検証装置12は、照合結果に基づいて、アプリケーション部21が正常であるか否かを判断する(ステップS312)。検証装置12は、アプリケーション部21が正常でないと判断した場合(NO)、BIOS部10にNG(異常)を示す情報を送信し、BIOS部10は、装置1の電源を切断する(ステップS313)。
【0072】
検証結果(照合結果)により、アプリケーション部21が正常であると判断した場合(YES)、検証装置12は、OS部111の固有の値を測定し(ステップS314)、記憶装置11からOS検証用の参照値114を取得して、セキュリティチップ14内の鍵で復号する(ステップS315)。検証装置12は、OS部111の固有の値と、復号したOS検証用の参照値114とを照合する(ステップS316)。
【0073】
次に、検証装置12は、検証結果(照合結果)をBIOS部10に送信する(ステップS317)。BIOS部10は、照合結果に基づいて、OS部111が正常であるか否かを判断する(ステップS318)。BIOS部10はOS部111が正常でないと判断した場合(NO)、装置1の電源を切断する(ステップS319)。
【0074】
検証結果(照合結果)により、OS部111が正常であると判断した場合(YES)、BIOS部10は、記憶装置11のOS部111を起動する(ステップS320)。
【0075】
次に、OS部111は、アプリケーション部21を起動し、アプリケーション部21はアプリケーションを実行する(ステップS321)。
【0076】
第3の実施形態によれば、第1の形態や第2の形態に加えて、アプリケーションやOSを検証する際の参照情報を暗号化して保護するため、装置内の情報が漏洩、改ざんされることを阻止することができる。また、特許文献1に記されている方法では、アプリケーションやOSを検証する際の参照情報を更新するには、装置1のROMを書き換えるなど、直接変更する必要があったが、第3の実施形態においては、例えば、セキュリティチップの管理者が装置2から装置1にアクセスし、装置1のセキュリティチップ内の鍵を使用することで、装置1で使用するアプリケーションの情報を遠隔操作により更新することができる。
【0077】
なお、上記に示した実施形態では、以下の(1)〜(X)に示すような特徴的構成を備えたOS起動可否判定装置が示されている。
【0078】
(1)外部装置(例えば、装置2で実現される)が記憶するアプリケーション(例えば、アプリケーション部21で実現される)を外部装置から取得するアプリケーション取得手段(例えば、アプリケーション取得手段105、BIOS部10で実現される)と、アプリケーション取得手段が外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段(例えば、測定手段121で実現される)と、測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段(例えば、照合手段122で実現される)と、照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段(例えば、OS起動手段103で実現される)とを備えたことを特徴とするOS起動可否判定装置(例えば、装置1で実現される)。
【0079】
(2)測定手段は、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定し、照合手段は、測定手段が測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合し、OS起動手段は、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動するOS起動可否判定装置。そのように構成されたOS起動可否判定装置は、アプリケーションが改ざんされていた場合に加えて、OS部が改ざんされていた場合にもOSの起動を阻止することができる。
【0080】
(3)装置で動作させるアプリケーションを示す情報と、予め記憶する正常なアプリケーションを示す情報と、予め記憶する正常なOSを示す情報とを暗号鍵を用いて暗号化し、暗号鍵に対応する復号鍵を記憶するセキュリティチップ(例えば、セキュリティチップ14で実現される)を備えたOS起動可否判定装置。そのように構成されたOS起動可否判定装置は、装置内の情報が漏洩、改ざんされることを阻止することができる。
【0081】
(4)測定手段は、アプリケーションおよびOSの正常性を判断するために、ソフトウェアイメージまたはそのハッシュ値を測定するOS起動可否判定装置。
【0082】
(5)測定手段は、アプリケーションおよびOSの正常性を判断するために、ソフトウェアの破損を調べるための値を測定するOS起動可否判定装置。
【産業上の利用可能性】
【0083】
本発明は、屋外機器や組込機器といった起動するアプリケーションがある程度固定されている機器の情報を保護する用途に効果的に適用できる。
【図面の簡単な説明】
【0084】
【図1】本発明によるOS起動可否判定装置の最小の構成例を示すブロック図である。
【図2】第1の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【図3】第1の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【図4】第2の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【図5】第2の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【図6】第3の実施形態のOS起動可否判定システムの構成例を示すブロック図である。
【図7】第3の実施形態におけるOS起動可否判定システムの動作を示すフローチャートである。
【符号の説明】
【0085】
1 OS起動可否判定装置
103 OS起動手段
105 アプリケーション取得手段
121 測定手段
122 照合手段
【特許請求の範囲】
【請求項1】
外部装置が記憶するアプリケーションを前記外部装置から取得するアプリケーション取得手段と、
前記アプリケーション取得手段が前記外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、
前記測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、
前記照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段と
を備えたことを特徴とするOS起動可否判定装置。
【請求項2】
測定手段は、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定し、
照合手段は、前記測定手段が測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合し、
OS起動手段は、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動する
請求項1記載のOS起動可否判定装置。
【請求項3】
装置で動作させるアプリケーションを示す情報と、予め記憶する正常なアプリケーションを示す情報と、予め記憶する正常なOSを示す情報とを暗号鍵を用いて暗号化し、暗号鍵に対応する復号鍵を記憶するセキュリティチップを備えた
請求項1または請求項2記載のOS起動可否判定装置。
【請求項4】
測定手段は、アプリケーションおよびOSの正常性を判断するために、ソフトウェアイメージまたはそのハッシュ値を測定する
請求項1から請求項3のうちのいずれか1項に記載のOS起動可否判定装置。
【請求項5】
測定手段は、アプリケーションおよびOSの正常性を判断するために、ソフトウェアの破損を調べるための値を測定する
請求項1から請求項3のうちのいずれか1項に記載のOS起動可否判定装置。
【請求項6】
アプリケーションを記憶する外部装置と、
前記外部装置が記憶するアプリケーションの正常性に応じてOSを起動するOS起動可否判定装置とを備え、
前記OS起動可否判定装置は、
前記外部装置が記憶するアプリケーションを前記外部装置から取得するアプリケーション取得手段と、
前記アプリケーション取得手段が前記外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、
前記測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、
前記照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段と
を備えたことを特徴とするOS起動可否判定システム。
【請求項7】
測定手段は、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定し、
照合手段は、前記測定手段が測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合し、
OS起動手段は、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動する
請求項6記載のOS起動可否判定システム。
【請求項8】
外部装置が記憶するアプリケーションを前記外部装置から取得するアプリケーション取得ステップと、
前記アプリケーション取得ステップで前記外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定ステップと、
前記測定ステップで測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合ステップと、
前記照合ステップで照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動ステップと
を含むことを特徴とするOS起動可否判定方法。
【請求項9】
測定ステップで、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定し、
照合ステップで、前記測定ステップで測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合し、
OS起動ステップで、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動する
請求項8記載のOS起動可否判定方法。
【請求項10】
コンピュータに、
外部装置が記憶するアプリケーションを前記外部装置から取得するアプリケーション取得処理と、
前記アプリケーション取得処理で前記外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定処理と、
前記測定処理で測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合処理と、
前記照合処理で照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動処理と
を実行させるためのOS起動可否判定プログラム。
【請求項11】
コンピュータに、
測定処理で、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定する処理を実行させ、
照合処理で、前記測定処理で測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合する処理を実行させ、
OS起動処理で、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動するする処理を実行させる
請求項10記載のOS起動可否判定プログラム。
【請求項1】
外部装置が記憶するアプリケーションを前記外部装置から取得するアプリケーション取得手段と、
前記アプリケーション取得手段が前記外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、
前記測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、
前記照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段と
を備えたことを特徴とするOS起動可否判定装置。
【請求項2】
測定手段は、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定し、
照合手段は、前記測定手段が測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合し、
OS起動手段は、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動する
請求項1記載のOS起動可否判定装置。
【請求項3】
装置で動作させるアプリケーションを示す情報と、予め記憶する正常なアプリケーションを示す情報と、予め記憶する正常なOSを示す情報とを暗号鍵を用いて暗号化し、暗号鍵に対応する復号鍵を記憶するセキュリティチップを備えた
請求項1または請求項2記載のOS起動可否判定装置。
【請求項4】
測定手段は、アプリケーションおよびOSの正常性を判断するために、ソフトウェアイメージまたはそのハッシュ値を測定する
請求項1から請求項3のうちのいずれか1項に記載のOS起動可否判定装置。
【請求項5】
測定手段は、アプリケーションおよびOSの正常性を判断するために、ソフトウェアの破損を調べるための値を測定する
請求項1から請求項3のうちのいずれか1項に記載のOS起動可否判定装置。
【請求項6】
アプリケーションを記憶する外部装置と、
前記外部装置が記憶するアプリケーションの正常性に応じてOSを起動するOS起動可否判定装置とを備え、
前記OS起動可否判定装置は、
前記外部装置が記憶するアプリケーションを前記外部装置から取得するアプリケーション取得手段と、
前記アプリケーション取得手段が前記外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定手段と、
前記測定手段が測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合手段と、
前記照合手段が照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動手段と
を備えたことを特徴とするOS起動可否判定システム。
【請求項7】
測定手段は、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定し、
照合手段は、前記測定手段が測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合し、
OS起動手段は、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動する
請求項6記載のOS起動可否判定システム。
【請求項8】
外部装置が記憶するアプリケーションを前記外部装置から取得するアプリケーション取得ステップと、
前記アプリケーション取得ステップで前記外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定ステップと、
前記測定ステップで測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合ステップと、
前記照合ステップで照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動ステップと
を含むことを特徴とするOS起動可否判定方法。
【請求項9】
測定ステップで、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定し、
照合ステップで、前記測定ステップで測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合し、
OS起動ステップで、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動する
請求項8記載のOS起動可否判定方法。
【請求項10】
コンピュータに、
外部装置が記憶するアプリケーションを前記外部装置から取得するアプリケーション取得処理と、
前記アプリケーション取得処理で前記外部装置に正常に接続してアプリケーションを取得した場合に、当該アプリケーションを動作させるOSを起動する前に、当該アプリケーションの正常性を測定する測定処理と、
前記測定処理で測定したアプリケーションの正常性と、予め記憶する正常なアプリケーションを示す情報とを照合する照合処理と、
前記照合処理で照合した結果に基づいてアプリケーションが正常であると判断した場合に、OSを起動するOS起動処理と
を実行させるためのOS起動可否判定プログラム。
【請求項11】
コンピュータに、
測定処理で、アプリケーションを動作させるOSを起動する前に、当該OSの正常性を測定する処理を実行させ、
照合処理で、前記測定処理で測定したOSの正常性と、予め記憶する正常なOSを示す情報とを照合する処理を実行させ、
OS起動処理で、アプリケーションが正常であると判断し、OSが正常であると判断した場合に、OSを起動するする処理を実行させる
請求項10記載のOS起動可否判定プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−128659(P2011−128659A)
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願番号】特願2008−59571(P2008−59571)
【出願日】平成20年3月10日(2008.3.10)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願日】平成20年3月10日(2008.3.10)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]