特許第6069289号(P6069289)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > レノボ・シンガポール・プライベート・リミテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ レノボ・シンガポール・プライベート・リミテッドの特許一覧

特許6069289管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム
<>
  • 特許6069289-管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム 図000002
  • 特許6069289-管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム 図000003
  • 特許6069289-管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム 図000004
  • 特許6069289-管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム 図000005
  • 特許6069289-管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム 図000006
  • 特許6069289-管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム 図000007
  • 特許6069289-管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム 図000008
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6069289
(24)【登録日】2017年1月6日
(45)【発行日】2017年2月1日
(54)【発明の名称】管理者パスワードの認証方法、コンピュータおよびコンピュータ・プログラム
(51)【国際特許分類】
   G06F 21/31 20130101AFI20170123BHJP
   G06F 21/44 20130101ALI20170123BHJP
【FI】
   G06F21/31
   G06F21/44
【請求項の数】17
【全頁数】16
(21)【出願番号】特願2014-238309(P2014-238309)
(22)【出願日】2014年11月26日
(65)【公開番号】特開2016-99906(P2016-99906A)
(43)【公開日】2016年5月30日
【審査請求日】2015年9月17日
(73)【特許権者】
【識別番号】505205731
【氏名又は名称】レノボ・シンガポール・プライベート・リミテッド
(74)【代理人】
【識別番号】100106699
【弁理士】
【氏名又は名称】渡部 弘道
(74)【代理人】
【識別番号】100132595
【弁理士】
【氏名又は名称】袴田 眞志
(72)【発明者】
【氏名】下遠野 享
【審査官】 児玉 崇晶
(56)【参考文献】
【文献】 特開2000−215167(JP,A)
【文献】 特開2013−228835(JP,A)
【文献】 特開2002−041176(JP,A)
【文献】 特開2012−083880(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31
G06F 21/44
(57)【特許請求の範囲】
【請求項1】
管理者パスワードの設定が可能で管理者コンピュータと通信が可能な利用者コンピュータに、
それぞれ前記管理者コンピュータから受け取った管理者を示すニックネームと前記管理者から知られないように前記管理者コンピュータに格納されたクレデンシャルを関連付けて記憶するステップと、
前記管理者パスワードを設定するステップと、
電源の起動時に前記管理者コンピュータから受け取った前記クレデンシャルを認証するステップと、
前記クレデンシャルの認証が成功したときに、次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定し前記管理者コンピュータから受け取った前記管理者パスワードを認証するステップと
を有する処理をさせるためのコンピュータ・プログラム。
【請求項2】
前記記憶するステップが、前記利用者コンピュータに設定する利用者パスワードを要求するステップを含む請求項1に記載のコンピュータ・プログラム。
【請求項3】
前記管理者パスワードが、前記利用者コンピュータのディスク・ドライブに設定するパスワードである請求項1に記載のコンピュータ・プログラム。
【請求項4】
前記記憶するステップが、前記クレデンシャルが前記管理者および前記利用者コンピュータの利用者に知られないように記憶する請求項1に記載のコンピュータ・プログラム。
【請求項5】
前記記憶するステップが、前記利用者コンピュータに前記ニックネームを表示するステップを含む請求項1に記載のコンピュータ・プログラム。
【請求項6】
前記管理者パスワードが設定されていても変更が可能な利用者パスワードを設定するステップを有する請求項1に記載のコンピュータ・プログラム。
【請求項7】
前記管理者コンピュータに入力した認証コードと同じ認証コードを受け取るステップと、
前記認証コードを使って前記管理者コンピュータと相互認証をするステップと、
前記相互認証が成功したときに前記管理者コンピュータとの間で共通鍵を生成するステップと。
共通鍵暗号方式でセキュアな無線通信路を構築するステップと
を有する請求項6に記載のコンピュータ・プログラム。
【請求項8】
請求項1から請求項7のいずれかに記載のコンピュータ・プログラムを記録した記憶装置を有するコンピュータ。
【請求項9】
管理者パスワードの設定が可能で、管理者コンピュータと通信が可能なコンピュータであって、
それぞれ前記管理者コンピュータから受け取った前記管理者コンピュータを示すニックネームと管理者から知られないように前記管理者コンピュータに格納されたクレデンシャルを関連付けて記憶する記憶装置と、
前記管理者パスワードを設定し、電源の起動時に前記管理者コンピュータから受け取った前記クレデンシャルの認証が成功したときに、前記管理者コンピュータから受け取った前記管理者パスワードを認証し次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定するように前記コンピュータを機能させるシステム・ファームウェアと
を有するコンピュータ。
【請求項10】
前記管理者パスワードと前記クレデンシャルを前記管理者コンピュータから受け取るためのアドホック・ネットワークで通信する無線モジュールを有する請求項9に記載のコンピュータ。
【請求項11】
管理者パスワードの設定が可能で管理者コンピュータと通信が可能な利用者コンピュータが、前記管理者パスワードを認証する方法であって、
それぞれ前記管理者コンピュータから受け取った管理者を示すニックネームと前記管理者から知られないように前記管理者コンピュータに格納されたクレデンシャルを関連付けて記憶するステップと、
前記管理者パスワードを設定するステップと、
電源の起動時に前記管理者コンピュータから受け取った前記クレデンシャルを認証するステップと、
前記クレデンシャルの認証が成功したときに、次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定し前記管理者コンピュータから受け取った前記管理者パスワードを認証するステップと
を有する方法。
【請求項12】
ルート管理者コンピュータが生成した管理者パスワードが設定された利用者コンピュータが前記管理者パスワードを認証する方法であって、
それぞれ複数の前記利用者コンピュータを含む複数の利用者コンピュータ群に割り当てられた代理管理者コンピュータが、前記ルート管理者コンピュータから前記管理者パスワードを受け取るステップと、
前記利用者コンピュータが、それぞれ前記代理管理者コンピュータから受け取った代理管理者を示すニックネームと前記代理管理者から知られないように前記代理管理者コンピュータに格納されたクレデンシャルを関連付けて記憶するステップと、
前記利用者コンピュータが、前記代理管理者コンピュータから受け取った前記管理者パスワードを設定するステップと、
前記利用者コンピュータが、電源の起動時に前記代理管理者コンピュータから受け取った前記クレデンシャルを認証するステップと、
前記利用者コンピュータが、前記クレデンシャルの認証が成功したときに次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定し、前記代理管理者コンピュータから受け取った前記管理者パスワードを認証するステップと
を有する方法。
【請求項13】
前記利用者コンピュータは前記クレデンシャルを前記ルート管理者、前記代理管理者および前記利用者コンピュータの利用者に知られないように記憶する請求項12に記載の方法。
【請求項14】
前記代理管理者コンピュータは前記クレデンシャルを前記ルート管理者、前記代理管理者および前記利用者コンピュータの利用者に知られないように記憶する請求項12に記載の方法。
【請求項15】
ルート管理者コンピュータが生成した管理者パスワードが設定された利用者コンピュータが前記管理者パスワードを認証する方法であって、
それぞれ複数の前記利用者コンピュータを含む複数の利用者コンピュータ群に割り当てられた代理管理者コンピュータが、それぞれ前記ルート管理者コンピュータからルート管理者を示すニックネームと前記ルート管理者から知られないように前記ルート管理者コンピュータに格納されたクレデンシャルと前記管理者パスワードを受け取るステップと、
前記利用者コンピュータが、前記代理管理者コンピュータから受け取った前記ニックネームと前記クレデンシャルを関連付けて記憶するステップと、
前記利用者コンピュータが、前記代理管理者コンピュータから受け取った前記管理者パスワードを設定するステップと、
前記利用者コンピュータが、電源の起動時に前記ルート管理者コンピュータから受け取った前記クレデンシャルを認証するステップと、
前記利用者コンピュータが、前記クレデンシャルの認証が成功したときに次回の電源の起動時に前記ニックネームを表示するための認証フラグを設定し、前記ルート管理者コンピュータから受け取った前記管理者パスワードを認証するステップと
を有する方法。
【請求項16】
前記利用者コンピュータは前記クレデンシャルを前記ルート管理者、前記代理管理者および前記利用者コンピュータの利用者に知られないように記憶する請求項15に記載の方法。
【請求項17】
前記代理管理者コンピュータは前記クレデンシャルを前記ルート管理者、前記代理管理者および前記利用者コンピュータの利用者に知られないように記憶する請求項15に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、システム・ファームウェアに設定する管理者パスワードを管理する技術に関する。
【背景技術】
【0002】
企業で使用するパーソナル・コンピュータには、BIOSまたはUEFIのようなシステム・ファームウェアに対して複数のパスワード(ファムウェア・パスワード)を設定することができる。ファームウェア・パスワードには、利用者が設定するパワーオン・パスワード(POP)およびユーザ・ハードディスク・パスワード(UHDP)と、通常はシステムの管理者が設定するスーパーバイザ・パスワード(SVP)およびマスター・ハードディスク・パスワード(MHDP)が存在する。
【0003】
POPが設定されたコンピュータでは、システム・ファームウェアがパワー・オンするたびにユーザにPOPの入力を要求する。SVPとPOPが設定されたコンピュータでは、利用者がPOPを入力してパワー・オンできるが、SVPを知らない限りコンピュータの主要な構成を変更することはできない。ここでパワー・オンとは、電源を起動してからシステム・ファームウェアがPOSTを実行してOSをロードするまでの処理をする状態をいう。
【0004】
特許文献1は、サーバにログインするためのパスワードを忘れたときに、ネットワークを通じてサーバの管理者からパスワードを受け取る発明を開示する。特許文献2は、管理者がPOPやHDPをクライアントに設定する際の管理コストを低減する発明を開示する。管理者はコンピュータをクライアントに渡す際または渡した後にリモートから当該コンピュータをパスワード強制モードに設定する。パスワード強制モードに設定されたコンピュータは起動時にパスワードを設定しない限りOSを起動しない。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−132725公報
【特許文献2】特開2006−18451号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
POPだけを設定したコンピュータでは、利用者がPOPを入力することでパワー・オンできるが、コイン電池を取り外せば何人でもPOPを解除することができる。ただしSVPは、コイン電池を取り外しても解除できない。SVPとPOPを設定したコンピュータでは、利用者はPOPを入力することでパワー・オンでき、管理者はSVPを入力して一時的にPOPを無効にすることでパワー・オンし、さらにPOPの取り消しまたは変更をすることができる。
【0007】
管理者はUHDPとMHDPを設定することができる。ユーザはその後管理者が設定したUHDPを変更することができる。UHDPとMHDPを設定したHDDに対して、ユーザはUHDPを入力することでHDDのすべてのファイルにアクセスすることができ、管理者はMHDPを入力してHDDのすべてのファイルにアクセスすることができる。管理者はMHDPを入力してUHDPの取り消しまたは変更をすることができる。MHDPを設定するときは、運用またはシステムの要求によりSVPも設定することが多い。
【0008】
企業では、社員である利用者に業務用のコンピュータを貸与する。利用者は業務用のコンピュータに対してPOPおよびUHDPを設定してそれぞれのプライバシーとデータのセキュリティを確保している。このときPOPだけを設定している場合はコイン電池の取り外しで解除できるためセキュリティ上問題が残る。また、SVPやMHDPはリカバリーできないため、紛失するとシステム・ボードの交換が必要になったり、HDDが再利用できなくなったりして、HDDのデータは喪失する。また、ユーザが勝手にSVPとMHDPを設定して突然退社したような場合はコンピュータの再利用に支障をきたすことになる。
【0009】
ここで、緊急事態が発生して、利用者が存在しない状況下で管理者が利用者のコンピュータにアクセスしたい場合がある。さらに利用者がPOPまたはUHDPを忘れる場合もある。SVPおよびMHDPを設定すればこのような事態に対処でき、かつセキュリティを向上できるため、多くの企業は業務用のコンピュータにSVPおよびMHDPを設定する。
【0010】
このとき、SVPおよびMHDPが設定されたコンピュータには、利用者が業務範囲で個人的に使用しているにもかかわらず、管理者がいつでもアクセスすることができる。なお、当該コンピュータにインストールされているOS自身もパスワードで利用者を守っているが、それはその利用者が当該OSで通常利用している動作環境を起動できない、すなわち当該OS環境にログインできないように制限しているだけである。例えば別のOSがインストールされたUSBメモリーを当該コンピュータに一時的に装着して起動すれば、個々のファイル別に暗号化されていない限り当該OSの管理下のHDD内にあるファイルデータの中身を簡単に見たり当該USBメモリーに複製したりすることが自由にできてしまう。
【0011】
比較的規模の大きい企業において管理者が組織の一部である場合はともかくとしても、小規模な企業では直属の上司または社長が管理者になることがある。このときSVPおよびMHDPを使った管理者による恣意的なアクセスを抑制しないと利用者は安心してコンピュータを使用することができない。更には、それらのコンピュータの管理総責任者がいたとして、その代理管理責任者である上司による部下のコンピュータへの興味本位な恣意的アクセスが可能な仕組みを内包するパスワード管理方式を、その管理総責任者が自らの責任の下で運用することにはためらいが伴う。つまり管理総責任者にとって利用し難いパスワード管理方式は利便性に欠ける。したがって、利用者が安心してSVPおよびMHDPが設定されたコンピュータを使用できる環境を整える必要がある。
【0012】
そこで本発明の目的は、システム・ファームウェアが設定する管理者パスワードを適切に管理する方法を提供することにある。さらに本発明の目的は、利用者コンピュータに管理者パスワードを設定し易い環境を構築する方法を提供することにある。さらに本発明の目的は、管理者パスワードを設定した利用者コンピュータに対する、管理者の恣意的なアクセスを抑制する方法を提供することにある。さらに本発明の目的は、そのような方法を実現するコンピュータおよびコンピュータ・プログラムを提供することにある。
【課題を解決するための手段】
【0013】
本発明の一の態様は、管理者パスワードの設定が可能で管理者コンピュータと通信が可能な利用者コンピュータにおいて実現する。利用者コンピュータは、管理者コンピュータに関連付けたクレデンシャルを記憶して管理者パスワードを設定する。つぎに、管理者コンピュータから受け取ったクレデンシャルと管理者パスワードを認証する。
【0014】
上記構成の結果、管理者コンピュータが管理者パスワードを使って利用者コンピュータをアンロックする際には、クレデンシャルも認証されることになるため、管理者が恣意的にアンロックすることを抑制することができる。また、利用者は管理者パスワードが設定されても、やむを得ない事情が発生しない限りアンロックされることはないため安心して利用者コンピュータを使用することができる。
【0015】
上記手順は、利用者コンピュータを起動したときに最初に実行するシステム・ファームウェアで実行することができる。管理者パスワードを、利用者コンピュータのディスク・ドライブに設定するパスワードと比べれば、管理者パスワードの喪失によりディスク・ドライブが利用できなくなる事態を防ぐことができる。
【0016】
管理者コンピュータを示すニックネームをクレデンシャルに関連付けて登録し、クレデンシャルの認証が成功したことを示す認証フラグを設定し、起動時に認証フラグの設定を確認したときにニックネームを表示することができる。この場合、複数の管理者コンピュータが同一の管理者パスワードを保有しても、いずれの管理者コンピュータがアンロックしたかを利用者が知ることができる。ここに、ニックネームは、パスワードで保護された管理者コンピュータを使用する管理者を特定できる情報であってもよい。なお、このニックネームの登録時に利用者コンピュータのパスワードを求められるようにすれば、そのパスワードを知る利用者が必ず立ち会う必要があるので、どの管理者コンピュータが自分のコンピュータに将来アンロック操作をするために登録されたのかを確実に知る機会を保証することになる。
【0017】
クレデンシャルを記憶する際に、利用者コンピュータのディスプレイにニックネームを表示すれば、利用者が管理者パスワードを設定する人物とニックネームを関連付けて確認することができる。管理者パスワードは、管理者コンピュータからバックボーン・ネットワークを経由しない無線通信経路で受け取ることができる。バックボーン・ネットワークを経由しないことで、システム・ファームウェアでの無線通信経路の構築が容易になる。このとき管理者コンピュータに入力した認証コードと同じ認証コードを受け取り、認証コードを使って管理者コンピュータと相互認証をし、相互認証が成功したときに管理者コンピュータとの間で共通鍵を生成し、共通鍵暗号方式でセキュアな無線通信路を構築することができる。
【0018】
本発明の他の態様は、利用者コンピュータと通信が可能な管理者コンピュータにおいて実現する。管理者コンピュータに関連付けたクレデンシャルを生成し、利用者コンピュータに管理者パスワードとクレデンシャルを送付して管理者パスワードを設定する。利用者コンピュータの電源が起動したときに利用者コンピュータにクレデンシャルと管理者パスワードを送って認証要求をする。
【0019】
管理者コンピュータは、管理者パスワードをアンロックする際に、自らに関連付けたクレデンシャルの認証も要求されるため、正当な理由がない限り利用者コンピュータをアンロックできなくなる。クレデンシャルを管理者に知られないように管理者コンピュータに記憶しておけば、管理者がアンロックの痕跡を残さないようにクレデンシャルと管理者パスワードを直接利用者コンピュータに入力するような操作を防ぐことができる。
【発明の効果】
【0020】
本発明により、システム・ファームウェアが設定する管理者パスワードを適切に管理する方法を提供することができた。さらに本発明により、利用者コンピュータに管理者パスワードを設定し易い環境を構築する方法を提供することができた。さらに本発明により、管理者パスワードを設定した利用者コンピュータに対する、管理者の恣意的なアクセスを抑制する方法を提供することができた。さらに本発明により、そのような方法を実現するコンピュータおよびコンピュータ・プログラムを提供することができた。
【図面の簡単な説明】
【0021】
図1】ノートPCの主要なハードウェアの構成を説明するための機能ブロック図である。
図2】ノートPCの主要なソフトウェアの構成を説明するための図である。
図3】NVRAMが記憶するデータを説明するための図である。
図4】管理者PCが利用者PCに管理者PWを設定する手順を説明するためのフローチャートである。
図5】管理者PCにより利用者PCをアンロックする手順を説明するためのフローチャートである。
図6】管理者PWを階層的に管理する方法を説明するための図である。
図7】管理者PWを階層的に管理する方法を説明するための図である。
【発明を実施するための形態】
【0022】
[ハードウェアの全体構成]
図1は、管理者PC10Mと利用者PC10Uに適用が可能なノートブック型パーソナル・コンピュータ(ノートPC)10のハードウェアの構成の一例を説明するための概略の機能ブロック図である。本明細書ではノートPC10のハードウェア要素について、管理者PC10Mと利用者PC10Uを区別する必要があるときは参照番号にそれぞれM、Uを付記し、両者を区別する必要がないときは、M、Uを付記しないことにする。
【0023】
図2は、ノートPC10が実行中のソフトウェアの構成を説明するための図である。図2(A)は、管理者PC10Mに対応し、図2(B)は利用者PC10Uに対応する。図3は、NVRAM25が記憶するデータを説明するための図である。図3(A)は管理者PC10Mに対応し、図3(B)は利用者PC10Uに対応する。
【0024】
本発明は、特定のハードウェアおよびオペレーティング・システム(OS)53に依存しないため、ハードウェア要素およびソフトウェア要素について本発明の理解に必要な範囲で説明する。CPUパッケージ11は、CPUコア、GPU、メモリ・コントローラ、PCIeインターフェースおよびPCH(Platform Controller Hub)などがMCM(Multi-Chip Module)で1つのパッケージとして構成されている。
【0025】
CPUパッケージ11には、CPUコアが実行するプログラムを記憶するシステム・メモリ13、アドホック・モードまたはインフラストラクチャ・モードで無線LANのネットワークに接続するための無線モジュール15、OS53やアプリケーション55などのプログラムを格納するHDD17、赤外線通信またはブルー・ツース(登録商標)などの通信をする近距離通信モジュール19、LCD21、UEFIまたはBIOSといったシステム・ファームウェア100を格納するファームウェアROM23、本発明で管理者PCが利用者PCにパスワードを設定するためのさまざまなデータを記憶するNVRAM25およびキーボード27などが接続されている。
【0026】
システム・ファームウェア100は、システムがパワー・オフ状態、ハイバネーション状態またはサスペンド状態からパワー・オン状態にレジュームするときにパワー・オン・リセットされたCPUコアが最初に実行する。CPUコアは、POST(Power On Self Test)を実行したり、ファームウェア・パスワード(POP、SVP、UHDPおよびMHDP)の設定および認証をしたりする。以下においては、POPとUHDPを総称するときは利用者PWといい、SVPとMHDPを総称するときは管理者PWということにする。
【0027】
システム・ファームウェア100は、特別な権限がないと書き換えができないようにファームウェアROM23の書き込み保護がされているブート・ブロックに格納され、CRTM(Core Root of Trust for Measurement)として、プラットフォームの信頼の基礎を構成する。システム・ファームウェア100は、本発明において主たる役割を果たす認証モジュール101を含んでいる。
【0028】
HDD17はブート・イメージを格納するブート・ディスク・ドライブで、システム・ファームウェア100を通じてUHDP、MHDPを設定することができる。UHDP、MHDPはキーボード27からの入力によるほか、本発明によって管理者PC10Mが無線モジュール15Mまたは近距離通信モジュール19Mを通じて入力することができる。なお、本発明はHDD17に代えてSSDに適用することもできる。
【0029】
設定されたMHDP、UHDPは、HDD17のノートPC10のシステムからアクセスできないセキュアな領域に格納される。UHDPだけが設定されたHDD17、およびUHDPとMHDPが設定されたHDD17は、システム・ファームウェア100からUHDPまたはMHDPを受け取らない限り、システムからのアクセスをロックする。
【0030】
本発明が実行されたとき、図3(A)に示すようにNVRAM25Mは、SVP151、MHDP153、クレデンシャル155、およびニックネーム157を記憶し、NVRAM25Uは、クレデンシャル155、ニックネーム157、およびアンロック・フラグ161を記憶する。SVP151、MHDP153をNVRAM25Uに格納しておくことで、従来は管理者の記憶に依存していたり、管理者がメモしていたりしていた管理者PWを、紛失を防ぎかつセキュアに管理することができるようになる。ニックネーム157は、姓名のような管理者を特定するデータを平文で表記したデータである。
【0031】
システム・ファームウェア100は、CPUコアの制御権をOS53に移す際にコントローラをロックして、NVRAM25に対する他のプログラムのアクセスを禁止する。一旦ロックされたコントローラは、CPUパッケージ11をリセットしない限り解除できない。CPUパッケージ11がリセットされると最初にシステム・ファームウェア100が実行されるため、OS53の動作環境下にあるプログラムはNVRAM25にアクセスできないようになっている。
【0032】
図4は、管理者が管理者PC10Mを通じて利用者PC10Uに管理者PWを設定するときの手順を説明するためのフローチャートである。ブロック201から215までは管理者PC10Mの手順を示し、ブロック251から265までは利用者PC10Uの手順を示している。管理者の前には、管理者PC10Mと利用者PC10Uが並んでいる。利用者は、管理者の側にいてもよい。また、利用者PC10Uが複数あっても管理者PC10Mは同じ手順を実行する。
【0033】
ブロック201で管理者PC10MのNVRAM25Mは、管理者がキーボード27Mから入力したSVP151、MHDP153、およびニックネーム157を記憶している。利用者PC10UのNVRAM25Uは、図3(B)のいずれのデータも記憶していない。ブロック251で管理者が認証モジュール101Uに対してPOPとUHDPを設定する。
【0034】
利用者PWは、後に利用者が変更し易いように、利用者の氏名や簡単な文字列などにしておくことができる。本発明はPOPとUHDPに別々に適用することができるが、通常のセキュリティの運用では、MHDPを設定するときはSVPも設定することになっているため、以後、両方の管理者PWが設定されることを前提にして説明する。設定されたPOPは、ファームウェアROM23Uのセキュアな領域に格納され、設定されたUHDPはHDD17Uのセキュアな領域に格納される。
【0035】
ブロック203で管理者PC10Mの電源を起動した管理者が所定のファンクションキーを押下すると、認証モジュール101Mが実行されて、LCD21Mに、利用者PC10Uに対して管理者PWの設定をするための画面を表示する。管理者がキーボード27Mから管理者PWの設定をするための指示をすると、ブロック205で認証モジュール101Mが無線モジュール15Mを動作させて、アドホック・ネットワークを構築するためのビーコンを発信する。
【0036】
これと並行して、ブロック253で利用者PC10Uの電源を起動した管理者が所定のファンクションキーを押下すると、認証モジュール101Uが実行されて、LCD21Uに、利用者PC10Uに対して管理者PWの設定をするための画面を表示する。管理者がキーボード27Uから管理者PWの設定をするための指示をすると、認証モジュール101Uが無線モジュール15Uを動作させる。
【0037】
管理者PC10Mと利用者PC10Uはあらかじめ通信チャネルおよびSSIDを統一し相互間でイーサネット(登録商標)のアドホック・ネットワークを構築できるようにしている。利用者PC10Uが、管理者PC10Mとの間で相互に電波の届く範囲に存在すれば、利用者PC10Uと管理者PC10Mの間にアドホック・ネットワークが構築されて通信できる状態になる。
【0038】
ただし、管理者PC10Mと利用者PC10Uは、インフラストラクチャ・モードのネットワークを通じて通信してもよいし、近距離通信モジュール19M、19Uで直接通信してもよい。アクセス・ポイントおよびバックボーン・ネットワークを経由しないで直接通信するアドホック・モードや、2つの装置間に独立した通信経路を構築する近距離通信モジュール19を利用すると、システム・ファームウェア100が完全なネットワーク・スタックを装備する必要がなくなるため負担を軽減できる。
【0039】
ブロック207、257では、管理者PC10Mと利用者PC10Uが相互認証をする。相互認証は、ブロック209、259で、一例としてDiffie−Hellman(D/H)方式で、管理者PC10Mと利用者PC10Uが共通鍵を生成する際の成りすましによる中間者攻撃(Man-in-the-middle-attack)に対する耐性を高めるために行う。管理者はキーボード27M、27Uから同じ認証コードを入力する。
【0040】
認証モジュール101M、101Uは、チャレンジ・レスポンス方式で相互認証をする。最初に、認証モジュール101Mが認証モジュール101Uに認証要求をし、それに応じて認証モジュール101Uがチャレンジを返送する。認証モジュール101Mは、チャレンジと入力された認証コードから特定のアルゴリズムで作成したレスポンスを認証モジュール101Uに返送する。
【0041】
認証モジュール101Uは、入力された認証コードと先に送ったチャレンジを同じアルゴリズムで作成した値と受け取ったレスポンスを比較して、管理者PC10Mを認証する。つづいて、同じ手順で認証モジュール101Mが利用者PC10Uを認証する。中間者攻撃は、管理者PC10Mと利用者PC10Uを赤外線や有線による直接接続で盗聴の可能性がない通信路を構築する場合を除いて行われる可能性があるため、イーサネット(登録商標)やWiFiで通信する場合は特に行うことが望ましい。
【0042】
相互認証が終了するとブロック209、259で、認証モジュール101M、101UがD/H方式でそれぞれ保持する秘密の値を交換して、独自に共通鍵を生成しそれを電源が停止するまで保持する。共通鍵は、以下の手順において、管理者PC10Mと管理者PC10Uの間に共通鍵暗号方式によるセキュアな通信路を構築するために利用する。ブロック211で認証モジュール101Mが乱数または時刻などの管理者が予測できない文字列で構成したクレデンシャル155を生成する。以後、認証モジュール101Mはクレデンシャル155を利用者PC10Uに送付するとき以外は、取り出せないようにNVRAM25Mに格納する。したがって、NVRAM25Mが記憶するクレデンシャル155は、管理者を含めてだれにも知られることはない。
【0043】
ブロック213で、認証モジュール101Mは、クレデンシャル155とニックネーム157を認証モジュール101Uに送付する。ブロック261で認証モジュール101Uは、受け取ったクレデンシャル155とニックネーム157を関連付けてNVRAM25Uに記憶する。このとき、認証モジュール101Uがニックネーム157をLCD21Uに表示すれば、利用者は管理者に対応するニックネーム157が記憶されたことを確認することができるため、管理者が意図的に他人のニックネームを使ったという心配を払拭することができる。さらに、利用者だけが知る利用者コンピュータのパスワードを求めるようにすれば、ニックネームの登録に利用者が必ず立ち会う必要があるので、利用者が自分のコンピュータに将来アンロック操作をするために登録された管理者PC10Mを確実に知る機会を保証することができる。
【0044】
認証モジュール101Uはクレデンシャル155を、後に説明する管理者PWによるアンロックのとき以外は取り出せないように管理する。したがって、NVRAM25Uに記憶されたクレデンシャル155は、利用者も含めてだれにも知られることはない。ブロック263で認証モジュール101Uは、クレデンシャル155とニックネーム157を記憶したことを条件にして、管理者PWの設定待受状態に移行する。設定待受状態は、利用者PC10Uの電源を起動した直後に所定のファンクションキーを操作してBIOSセットアップのセキュリティ設定画面に入った状態と同じ状態である。認証モジュール101Uは、設定待受状態に移行したことを認証モジュール101Mに通知する。
【0045】
ブロック215で利用者PC10Uが設定待受状態入ったことを認識した認証モジュール101Mは、NVRAM25Mに記憶しておいた管理者PWを認証モジュール101Uに送る。ブロック265で認証モジュール101Uはセットアップ画面に対してキーボード27Uから入力されたときと同じように、システム・ファームウェア101UにSVP151とMHDP153を設定する。
【0046】
SVP151は、認証モジュール101UによってファームウェアROM23Uのセキュアな場所に格納され、MHDP153は、認証モジュール101UによってHDD17Uに送られる。HDD17Uの内部のファームウェアは、MHDP153を内部のセキュアな場所に格納する。管理者は管理者PWと利用者PWが設定された利用者PC10Uを利用者に渡す。ここまでの手順で利用者は管理者の側にいても、管理者PWおよびクレデンシャル155を知ることはできず、利用を開始したあとも知ることはできないが、以後、POPおよびUHDPを変更することはできる。
【0047】
図5は、管理者が管理者PC10Mを通じて利用者PC10Uに管理者PWを入力してアンロックするときの手順を説明するためのフローチャートである。管理者の前には、管理者PC10Mと図4の手順で管理者PWが設定された利用者PC10Uが並んでいる。ブロック301〜307およびブロック351〜357の手順は、図4のブロック203〜209、ブロック253〜257とほぼ同じであるが、ここでは利用者が不在の状態で管理者が、管理者PC10Mを使って利用者PC10Uのアンロックをすることを想定する。
【0048】
ブロック303で管理者PC10Mの電源を起動した管理者が所定のファンクションキーを押下すると、認証モジュール101Mが実行されて、LCD21Mに、利用者PC10Uをアンロックするための画面を表示する。管理者はキーボード27Mから利用者PC10Uをアンロックするための指示をする。また、これと並行して、ブロック353で利用者PC10Uの電源を起動した管理者が所定のファンクションキーを押下すると、認証モジュール101Uが実行されて、LCD21Uに、管理者PWを入力するための画面を表示する。管理者はキーボード27Uから管理者PWの入力をするための指示をする。このとき利用者PC10Uは、管理者にユーザIDの入力を要求することができる。
【0049】
ブロック309で認証モジュール101MはNVRAM25Mが記憶するクレデンシャル155を認証モジュール101Uに送付する。ブロック359で認証モジュール101Uは、NVRAM25Uに記憶しているクレデンシャル155と受け取ったクレデンシャル155を比較して管理者PC10Mを認証する。ブロック361で認証が成功したときはブロック363に移行し、失敗したときはブロック377に移行して手順は終了しアンロックはできない。
【0050】
クレデンシャル155は、管理者PC10Mおよび利用者PC10Uにおいて、管理者および利用者を含めて何人にも知られないように管理されている。したがって、管理者PC10Mは同一の管理者PWを保有する他人のクレデンシャルを取得し、他人に成りすましてクレデンシャルを送ることはできない。また、自らのクレデンシャル155を図5の手順を経ないで直接キーボード27Uから入力して痕跡を残さないでアンロックするようなこともできない。
【0051】
したがって、ブロック305、355で相互認証が成功したことは、ブロック265(図4)で管理者PWを設定した管理者が、正当な手順でクレデンシャル155を送ったことに相当する。特に図6で説明するように同じ管理者PWを複数の代理管理者が保有するような場合でも、認証モジュール101Uは管理者PWを設定した代理管理者以外の代理管理者のクレデンシャルを認証しない。


【0052】
ブロック363で認証モジュール101Uは、NVRAM25Uにアンロック・フラグ161を設定する。クレデンシャル155の認証が成功したことを条件にして、ブロック365で認証モジュール101Uは管理者PWの入力待ち状態に入る。入力待ち状態は、BIOSセットアップ画面において、キーボード27Uから管理者PWが入力できる状態に相当する。認証モジュール101Uは認証モジュール101Mに入力待ち状態に移行したことを通知する。
【0053】
ブロック311で入力待ち状態の通知を受け取った認証モジュール101Mは、NVRM25Mに記憶しておいたSVP151とMHDP153を管理モジュール101Uに送る。ブロック367で認証モジュール101Uは、BIOSセットアップ画面にキーボード27Uから入力されたときと同じように管理者PWを認証する。利用者PWが設定されていても、管理者PWを入力することでパワー・オンおよびHDD17Uにアクセスすることができる。ブロック369でシステム・ファームウェア100UによるPOSTが終了して、HDD17UからOSのロードを開始する。
【0054】
管理者は利用者が不在の状態で所定の作業が終わると利用者PC10Uの電源を停止する。つぎに、ブロック371で利用者が利用者PC10Uの電源を起動してシステム・ファームウェア100Uを実行すると、ブロック373で管理モジュール101UはNVRAM25Uのアンロック・フラグ161を確認する。アンロック・フラグ161の設定がなければブロック377に移行して手順は終了し、通常通りOSのロードが始まる。管理モジュール100Uは、アンロック・フラグ161の設定を確認すると、それを消去すると同時にブロック375でLCD21Uにブロック359で認証したクレデンシャル155に関連付けられたニックネーム157を表示する。
【0055】
管理者は利用者が不在の間に管理者PWを使って利用者PC10Uをアンロックできるが、利用者はその後電源を起動したときに、ニックネームから管理者がアンロックしたことを知ることができる。これは、管理者による恣意的なアンロックを抑制するとともに、緊急時には利用者PWが設定されていても、利用者PC10Uにアクセスできる状態をつくることに相当する。また、利用者が安心できるように管理者PWを設定できる運用環境を構築して利用者による管理者PWの設定を防ぐことに相当する。
【0056】
図4図5の手順は、本発明の実施形態を説明したもので、記載した手順のすべてが本発明の必須の要素ではなく、また、順番も本発明の思想の範囲内において入れ替えることができる。たとえば、ブロック309、311(図5)では、クレデンシャル155が認証されてから管理者PWを送付しているが、クレデンシャル155と管理者PWは同時に送付してもよいし、先に管理者PWを送付してもよい。たとえば、ブロック309で管理者PWを送り、ブロック359で管理者PWを認証し、認証が成功したときにブロック363でアンロック・フラグ161を設定することができる。
【0057】
その後ブロック365で、クレデンシャルの入力待ち状態に入り、ブロック311でクレデンシャル155を送付し、ブロック367でクレデンシャルの認証をすることができる。先に管理者PWを認証する場合は、クレデンシャル155に代えて管理者を識別するユーザIDのような認証の必要がない識別子を利用することもできる。また、管理者PWを保有する人物が単数の場合は、クレデンシャルの認証が行われてアンロックされたことを記録しておけば、ニックネームを登録しないでもアンロックした人物を特定できるため、ニックネームの登録は必須ではなくなる。
【0058】
つぎに図4図5の手順を利用して、管理者PWを階層的に管理する方法を図6図7を参照して説明する。図6においてルート管理者が保有するルート管理者PC400の管理下に、複数の代理管理者がそれぞれ保有する代理管理者PC411〜415が存在し、各代理管理者PC411〜415の管理下に利用者PC群401〜403が存在している。実線は管理者PWの設定ができることを示しており、点線は管理者PWによるアンロックができることを示している。管理者PWは全体を通じて統一している。ただし、本発明は管理者PWが代理管理者ごとに異なるものであってもよい。
【0059】
ルート管理者PC400と各代理管理者PC411〜413との関係および各代理管理者PC411〜415と対応する利用者PC群401〜403の各利用者PCとの関係は、図4図5で説明した管理者PC10Mと利用者PC10Uの関係と同じように理解することができる。各代理管理者PC411〜413は、ルート管理者PC400のクレデンシャルとニックネームを保有する。また、各利用者PC群401〜403の各利用者PCは、対応する各代理管理者PC411〜413のクレデンシャルとニックネームを保有する。
【0060】
この場合、ルート管理者PC400は、代理管理者PC411〜415をアンロックできるが、その後代理管理者が自らの代理管理者PCをブートしたときに、LCDに管理者のニックネームが表示される。各代理管理者PC411〜413は、管理下の利用者PC群401〜403の利用者PCをアンロックできるが、その後利用者が自らの利用者PCをブートしたときに、LCDにアンロックした代理管理者のニックネームが表示される。
【0061】
クレデンシャル155は、ルート管理者、代理管理者、および利用者のいずれも知ることはできない。したがって、たとえば代理管理者PC411は、成りすましにより、正当に保有する管理者PWと不正に取得した代理管理者PC413のクレデンシャル155およびニックネーム157を使って利用者PC群403の利用者PCをアンロックすることはできなくなる。
【0062】
図7は、代理管理者421〜423が管理下の利用者PC群401〜405の各利用者PCに管理者PWの設定をするが、各利用者PCのアンロックはルート管理者PC400だけが行うことを示している。各代理管理者PC421〜425、利用者PC群401〜405の利用者PCは、ルート管理者PC400のクレデンシャルとニックネームを保有している。各代理管理者PC421〜425は、対応する利用者PC群401〜405の利用者PCにルート管理者400のクレデンシャルとニックネームを送付する。
【0063】
ルート管理者PC400はすべての代理管理者PC421〜425、利用者PC群401〜405のすべての利用者PCをアンロックできるが、その後代理管理者421〜425または利用者PC群401〜405の利用者PCがブートしたときに、LCDにアンロックしたルート管理者400のニックネームが表示される。ルート管理者PC400は、管理者PWの設定を代理管理者PC421〜425を通じて行えるため、利用者PCの数が多くなっても手間が省けるとともに、利用者はアンロックできるのがルート管理者だけであるため、安心感を抱くことができる。
【0064】
これまで本発明について図面に示した特定の実施の形態をもって説明してきたが、本発明は図面に示した実施の形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができることはいうまでもないことである。
【符号の説明】
【0065】
10 ノートPC
10M 管理者PC
10U 利用者PC
400 ルート管理者PC
401〜405、 利用者PC群
411〜415、421〜423 代理管理者PC
図1
図2
図3
図4
図5
図6
図7
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.