[go: up one dir, main page]

JP2012009938A - Information processing device and program - Google Patents

Information processing device and program Download PDF

Info

Publication number
JP2012009938A
JP2012009938A JP2010141667A JP2010141667A JP2012009938A JP 2012009938 A JP2012009938 A JP 2012009938A JP 2010141667 A JP2010141667 A JP 2010141667A JP 2010141667 A JP2010141667 A JP 2010141667A JP 2012009938 A JP2012009938 A JP 2012009938A
Authority
JP
Japan
Prior art keywords
information
processing apparatus
information processing
control unit
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010141667A
Other languages
Japanese (ja)
Inventor
Kazunori Murakami
和則 村上
Takafumi Fukushima
孝文 福島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Tec Corp
Original Assignee
Toshiba Tec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Tec Corp filed Critical Toshiba Tec Corp
Priority to JP2010141667A priority Critical patent/JP2012009938A/en
Publication of JP2012009938A publication Critical patent/JP2012009938A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To improve computer security performing trusted boot.SOLUTION: At a prescribed timing after the start-up (trusted boot) of a self-device, a set of PCR information retained by start-up control means and platform information at a present time point which is obtained by platform information acquisition means is transmitted to a management server having a set of the PCR information and the platform information at a time point in which authenticity is guaranteed, so that a matching decision whether or not both sets match is requested to the management server. In regard to either configuration out of a hardware configuration and a software configuration that is decided to have a mismatch, response information indicating a countermeasure according to the configuration is received from the management server. Based on the response information, the configuration having the mismatch is controlled.

Description

本発明の実施の形態は、情報処理装置及びプログラムに関するものである。   Embodiments described herein relate generally to an information processing apparatus and a program.

従来、コンピュータが有するプラットフォーム(ハードウェア構成及びソフトウェア構成)の信頼性を確保するため、TPM(Trusted Platform Module)と呼ばれるセキュリティチップが用いられている。係るTPMは、コンピュータの起動時に、予め保持しておいた自己の装置のプラットフォームのハッシュ値と、現時点でのプラットフォームのハッシュ値とを比較し、両ハッシュ値が一致した場合にのみ起動を行う“トラステッドブート”という仕組みを実現させる。   Conventionally, a security chip called a TPM (Trusted Platform Module) has been used to ensure the reliability of a platform (hardware configuration and software configuration) of a computer. The TPM compares the hash value of the platform of its own device stored in advance with the hash value of the current platform when the computer is activated, and activates only when both hash values match. A mechanism called “Trusted Boot” is realized.

しかしながら、従来の技術では、コンピュータの起動後において、不正に改変されたプラットフォームのハッシュ値をTPMが保持してしまった場合これを検出することができず、セキュリティ上改善の余地があった。   However, in the conventional technology, if the TPM holds the hash value of the illegally modified platform after the computer is started, this cannot be detected, and there is room for improvement in terms of security.

実施の形態の情報処理装置は、起動制御手段と、プラットフォーム情報取得手段と、送信手段と、受信手段と、制御手段とを備える。起動制御手段は、自己の装置が具備するハードウェア構成及びソフトウェア構成の各要素を一意に特定可能なハッシュ値をPCR情報として予め保持し、自己の装置の起動時に取得した前記各要素ハッシュ値と前記PCR情報とが一致した場合に、自己の装置の起動を許可する。プラットフォーム情報取得手段は、ハードウェア構成及びソフトウェア構成から、当該ハードウェア構成及びソフトウェア構成の各要素を示したプラットフォーム情報を取得する。送信手段は、自己の装置の起動後の所定のタイミングで、起動制御手段が保持するPCR情報と、プラットフォーム情報取得手段が取得した現時点でのプラットフォーム情報との組を、信頼性が確保された時点でのPCR情報とプラットフォーム情報との組を保持する管理サーバに送信し、この両組が一致するか否かの一致判定を管理サーバに要求する。受信手段は、一致判定の結果、不一致となった前記ハードウェア構成及び前記ソフトウェア構成の何れかの要素について、当該要素に応じた対処方法を指示した応答情報を管理サーバから受信する。制御手段は、応答情報に基づいて、不一致となった要素を制御する。   The information processing apparatus according to the embodiment includes activation control means, platform information acquisition means, transmission means, reception means, and control means. The activation control means holds in advance, as PCR information, a hash value that can uniquely identify each element of the hardware configuration and software configuration included in its own device, and each of the element hash values acquired when the own device is activated When the PCR information matches, the activation of its own device is permitted. The platform information acquisition means acquires platform information indicating each element of the hardware configuration and software configuration from the hardware configuration and software configuration. The transmission means is a point in time when reliability is ensured for a set of the PCR information held by the activation control means and the current platform information acquired by the platform information acquisition means at a predetermined timing after the activation of the own device. Is sent to the management server that holds the pair of the PCR information and the platform information, and the management server is requested to determine whether or not the two sets match. The receiving unit receives, from the management server, response information instructing a coping method corresponding to an element of either the hardware configuration or the software configuration that does not match as a result of the matching determination. The control means controls the mismatched elements based on the response information.

図1は、実施形態に係る情報処理システムの構成を模式的に示すブロック図である。FIG. 1 is a block diagram schematically showing the configuration of the information processing system according to the embodiment. 図2は、図1に示した管理テーブルのデータ構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a data configuration of the management table illustrated in FIG. 図3は、PCR情報及びプラットフォーム情報の登録時における情報処理システムの動作を示すフローチャートである。FIG. 3 is a flowchart showing the operation of the information processing system when registering PCR information and platform information. 図4は、図3に示した照合用ハッシュ値登録処理の手順を示すフローチャートである。FIG. 4 is a flowchart showing the procedure of the hash value registration process for verification shown in FIG. 図5は、情報処理装置の起動時における情報処理システムの動作を示すフローチャートである。FIG. 5 is a flowchart showing the operation of the information processing system when the information processing apparatus is activated. 図6は、図5に示した真正性確認処理の手順を示すフローチャートである。FIG. 6 is a flowchart showing a procedure of the authenticity confirmation process shown in FIG. 図7は、情報処理装置のアプリケーション起動時における情報処理システムの動作を示すフローチャートである。FIG. 7 is a flowchart illustrating the operation of the information processing system when the application of the information processing apparatus is activated. 図8は、暗号鍵の再生成時における情報処理装置及びセキュリティデバイスの動作を示すフローチャートである。FIG. 8 is a flowchart showing operations of the information processing apparatus and the security device at the time of regenerating the encryption key.

図1は、本実施形態に係る情報処理システム1の構成を模式的に示すブロック図である。同図に示すように、情報処理システム1は、情報処理装置10と、セキュリティデバイス20と、管理サーバ30とを有している。   FIG. 1 is a block diagram schematically showing the configuration of the information processing system 1 according to this embodiment. As illustrated in FIG. 1, the information processing system 1 includes an information processing apparatus 10, a security device 20, and a management server 30.

情報処理装置10は、PC(Personal Computer)やPOS端末等、真正性の保護対象となる情報処理装置であって、制御部11、BIOS(Basic Input/Output System)12、HDD(Hard Disk Drive)13、USBインタフェース14及びLANインタフェース15等を備えている。   The information processing apparatus 10 is an information processing apparatus targeted for authenticity protection such as a personal computer (PC) or a POS terminal, and includes a control unit 11, a basic input / output system (BIOS) 12, and a hard disk drive (HDD). 13, a USB interface 14, a LAN interface 15, and the like.

制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)及びRAM(Random Access Memory)等で構成され、情報処理装置10の各部の動作を統括的に制御する。   The control unit 11 includes a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), and the like, and comprehensively controls the operation of each unit of the information processing apparatus 10.

具体的に、制御部11は、情報処理装置10の起動時において、BIOS12に記憶されたプログラムを実行することで、情報処理装置10に搭載された各部を動作可能な状態とする。また、制御部11は、BIOS12を実行した後、セキュリティデバイス20から送信されるコマンドに従いHDD13に記憶されたOS131を実行することで、アプリケーション132を実行可能な環境を提供する。   Specifically, when the information processing apparatus 10 is started up, the control unit 11 executes a program stored in the BIOS 12 so that each unit mounted on the information processing apparatus 10 is operable. In addition, after executing the BIOS 12, the control unit 11 executes an OS 131 stored in the HDD 13 in accordance with a command transmitted from the security device 20, thereby providing an environment in which the application 132 can be executed.

また、制御部11は、アプリケーション132の起動に際し、後述するPCR情報を要求するコマンドをセキュリティデバイス20に送信することで、セキュリティデバイス20からPCR情報を取得する。そして、制御部11は、管理サーバ30から受信したPCR情報を、自己の装置を識別する端末識別情報と、プラットフォームを特定する後述するプラットフォーム情報とともに管理サーバ30に送信する。   In addition, when the application 132 is activated, the control unit 11 acquires PCR information from the security device 20 by transmitting a command requesting PCR information, which will be described later, to the security device 20. Then, the control unit 11 transmits the PCR information received from the management server 30 to the management server 30 together with terminal identification information for identifying its own device and platform information to be described later for identifying the platform.

ここで、“端末識別情報”は、情報処理装置10を識別可能な情報であって、例えば、LANインタフェース15に割り当てられたIPアドレスや、ネットワークNでの情報処理装置10のホストネームを用いることができる。また、“プラットフォーム”とは、アプリケーション132の動作環境を提供するための基盤であって、情報処理装置10のハードウェア構成と、BIOS12、OS131及びアプリケーション132等のソフトウェア構成とを組み合わせたものを意味する。   Here, the “terminal identification information” is information that can identify the information processing apparatus 10 and uses, for example, an IP address assigned to the LAN interface 15 or a host name of the information processing apparatus 10 in the network N. Can do. The “platform” is a base for providing the operating environment of the application 132, and means a combination of the hardware configuration of the information processing apparatus 10 and the software configuration of the BIOS 12, the OS 131, the application 132, and the like. To do.

また、制御部11は、端末識別情報、PCR情報及びプラットフォーム情報の送信に伴い、管理サーバ30から送信される応答情報の指示内容に従い、アプリケーション132の起動や情報処理装置10の各部の動作を制御する。また、制御部11は、セキュリティデバイス20から送信される暗号鍵をRAM(図示せず)に保持することで、この暗号鍵を用いて所定のデータ(コマンド、ファイル、フォルダ等)の暗号化/復号化を行う。   The control unit 11 controls the activation of the application 132 and the operation of each unit of the information processing apparatus 10 according to the instruction content of the response information transmitted from the management server 30 with the transmission of the terminal identification information, the PCR information, and the platform information. To do. In addition, the control unit 11 holds an encryption key transmitted from the security device 20 in a RAM (not shown), thereby encrypting / decoding predetermined data (command, file, folder, etc.) using the encryption key. Decrypt.

BIOS12は、情報処理装置10を構成する各部を制御するためのプログラムを記憶している。HDD13は、情報処理装置10の補助記憶装置であって、情報処理装置10の基本ソフトウェアとなるOS131や、所定の業務処理を実現させるためのプログラムであるアプリケーション132を記憶している。なお、HDD13内のデータが、後述する暗号鍵により暗号化されている形態としてもよい。   The BIOS 12 stores a program for controlling each unit constituting the information processing apparatus 10. The HDD 13 is an auxiliary storage device of the information processing apparatus 10 and stores an OS 131 serving as basic software of the information processing apparatus 10 and an application 132 that is a program for realizing predetermined business processing. The data in the HDD 13 may be encrypted with an encryption key to be described later.

USBインタフェース14は、USB機器を着脱自在に接続するためのインタフェースであって、USB機器と制御部11との間の通信を制御する。なお、本実施形態では、USBインタフェース14にセキュリティデバイス20が接続された状態で使用されることを前提としている。   The USB interface 14 is an interface for detachably connecting a USB device, and controls communication between the USB device and the control unit 11. In the present embodiment, it is assumed that the security device 20 is connected to the USB interface 14 for use.

LANインタフェース15は、インターネットやイントラネット等のネットワークNに接続するためのインタフェースであり、ネットワークNに接続された管理サーバ30と制御部11との間の通信を制御する。   The LAN interface 15 is an interface for connecting to a network N such as the Internet or an intranet, and controls communication between the management server 30 connected to the network N and the control unit 11.

セキュリティデバイス20は、情報処理装置10のUSBインタフェース14に接続される耐タンパ性を有した外付けデバイスである。セキュリティデバイス20は、情報処理装置10の起動時にプラットフォームの真正性を確認することで、情報処理装置10のトラステッドブートを実現させる。   The security device 20 is an external device having tamper resistance that is connected to the USB interface 14 of the information processing apparatus 10. The security device 20 realizes the trusted boot of the information processing apparatus 10 by confirming the authenticity of the platform when the information processing apparatus 10 is activated.

図1に示すように、セキュリティデバイス20は、制御部21、TPM22、認証処理部23及びUSBインタフェース24等を備えている。   As shown in FIG. 1, the security device 20 includes a control unit 21, a TPM 22, an authentication processing unit 23, a USB interface 24, and the like.

制御部21は、CPU、ROM及びRAM等により構成され、セキュリティデバイス20の各部の動作を統括的に制御する。具体的に、制御部21は、TPM22及び認証処理部23と協働し、情報処理装置10のプラットフォームの真正性確認に係る各種の処理を実行する。   The control unit 21 includes a CPU, a ROM, a RAM, and the like, and comprehensively controls the operation of each unit of the security device 20. Specifically, the control unit 21 cooperates with the TPM 22 and the authentication processing unit 23 to execute various processes related to the authenticity confirmation of the platform of the information processing apparatus 10.

また、制御部21は、後述するPCR情報を要求するコマンドを情報処理装置10から受け付けると、TPM22と協働することで、後述する記憶領域221に記憶されたPCR情報を読み出し情報処理装置10に送信する。   When the control unit 21 receives a command for requesting PCR information, which will be described later, from the information processing apparatus 10, the control unit 21 cooperates with the TPM 22 to read PCR information stored in the storage area 221, which will be described later, to the information processing apparatus 10. Send.

TPM22は、ハードウェア耐タンパ性をもつセキュリティチップであって、コンピュータプラットフォームの真正性確認に係る各種の機能を有する。   The TPM 22 is a security chip having hardware tamper resistance and has various functions related to authenticity confirmation of the computer platform.

具体的に、TPM22は、情報処理装置10を構成する各機器や当該情報処理装置10に接続された各機器(以下、総称して構成機器という)について、各構成機器を識別可能な製品名や製造番号等の固有情報からハッシュ値を算出する。ここで算出されたハッシュ値は、固有の値となるため現在の構成機器、つまりハードウェア構成を一意に特定することが可能となる。なお、ハッシュ値は、固有情報毎に算出する形態としてもよいし、複数の固有情報から一のハッシュ値を算出する形態としてもよい。また、セキュリティデバイス20自身も情報処理装置10の構成機器となるが、セキュリティデバイス20自身の固有情報を含める形態としてもよいし、含めない形態としてもよい。   Specifically, the TPM 22 has, for each device constituting the information processing device 10 and each device connected to the information processing device 10 (hereinafter collectively referred to as a component device), a product name that can identify each component device, A hash value is calculated from unique information such as a production number. Since the hash value calculated here is a unique value, it is possible to uniquely identify the current component device, that is, the hardware configuration. Note that the hash value may be calculated for each unique information, or one hash value may be calculated from a plurality of unique information. Further, although the security device 20 itself is a component device of the information processing apparatus 10, it may be configured to include unique information of the security device 20 itself or may not include it.

また、TPM22は、情報処理装置10の制御部11がプログラムとして実行するBIOS12、OS131及びアプリケーション132の各々について、そのプログラムのファイルイメージからハッシュ値を算出する。ここで算出されたハッシュ値は、固有の値となるためBIOS12、OS131及びアプリケーション132のそれぞれを一意に特定することが可能となる。   Further, the TPM 22 calculates a hash value for each of the BIOS 12, OS 131, and application 132 executed as a program by the control unit 11 of the information processing apparatus 10 from the file image of the program. Since the calculated hash value is a unique value, each of the BIOS 12, the OS 131, and the application 132 can be uniquely specified.

また、TPM22は、照合用となるハッシュ値の設定時(例えば、情報処理装置10への初回接続時等)において、情報処理装置10のハードウェア構成及びソフトウェア構成について算出した各ハッシュ値を記憶領域221に記憶する。ここで、記憶領域221は、書き換え可能な不揮発性の記憶媒体であって、PCR(Platform Configuration Register)に相当する。以下、記憶領域221に記憶した、ハードウェア構成及びソフトウェア構成(BIOS12、OS131、アプリケーション132)のハッシュ値を総称して“PCR情報”という。   Further, the TPM 22 stores each hash value calculated for the hardware configuration and the software configuration of the information processing apparatus 10 at the time of setting a hash value for verification (for example, when connecting to the information processing apparatus 10 for the first time). It memorize | stores in 221. Here, the storage area 221 is a rewritable nonvolatile storage medium and corresponds to a PCR (Platform Configuration Register). Hereinafter, the hash values of the hardware configuration and the software configuration (BIOS 12, OS 131, application 132) stored in the storage area 221 are collectively referred to as “PCR information”.

また、TPM22は、情報処理装置10とのコマンド授受に必要な暗号鍵を生成する機能を有し、生成した暗号鍵を記憶領域221に記憶する。ここで、暗号鍵は、セキュリティデバイス20と情報処理装置10との間で授受するコマンドや、所定のデータ(ファイル、フォルダ)を暗号化/復号化するためのものである。   Further, the TPM 22 has a function of generating an encryption key necessary for exchanging commands with the information processing apparatus 10, and stores the generated encryption key in the storage area 221. Here, the encryption key is for encrypting / decrypting commands exchanged between the security device 20 and the information processing apparatus 10 and predetermined data (file, folder).

ここで、暗号化対象となるデータは特に問わないものとする。例えば、情報処理装置10とセキュリティデバイス20との間で授受される通信内容や、各種判定処理の判定結果、情報処理装置10の制御部11が行う処理内容等の履歴をログファイルとして記憶領域211や情報処理装置10に出力するよう設定されている場合、このログファイルを暗号化の対象とする形態としてもよい。なお、暗号鍵の暗号方式及び生成方法は特に問わないものとするが、例えば、記憶領域221に記憶されたPCR情報(ハッシュ値)を用いて、暗号鍵を生成する形態としてもよい。   Here, the data to be encrypted is not particularly limited. For example, a history of communication contents exchanged between the information processing apparatus 10 and the security device 20, determination results of various determination processes, processing contents performed by the control unit 11 of the information processing apparatus 10, and the like as a log file is stored in the storage area 211. If the log file is set to be output to the information processing apparatus 10, the log file may be encrypted. The encryption method and generation method of the encryption key are not particularly limited. For example, the encryption key may be generated using the PCR information (hash value) stored in the storage area 221.

情報処理装置10の起動時において、制御部21はTPM22と協働し、情報処理装置10のハードウェア構成及びソフトウェア構成のそれぞれについてハッシュ値を算出すると、記憶領域221に記憶された対応するハッシュ値と比較し、一致するか否かを判定する。ここで、TPM22が全てのハッシュ値について一致を確認すると、制御部21は、記憶領域221に記憶された暗号鍵を情報処理装置10に送信することで、この暗号鍵を情報処理装置10に保持させる。また、TPM22がハッシュ値の不一致を確認すると、制御部21は、プラットフォームが改変されたと判断し、情報処理装置10の起動又は使用を制限するエラー処理を実行する。   When the information processing apparatus 10 is activated, the control unit 21 cooperates with the TPM 22 to calculate a hash value for each of the hardware configuration and the software configuration of the information processing apparatus 10, and the corresponding hash value stored in the storage area 221 is calculated. To determine whether they match. Here, when the TPM 22 confirms that all hash values match, the control unit 21 transmits the encryption key stored in the storage area 221 to the information processing apparatus 10, thereby holding the encryption key in the information processing apparatus 10. Let When the TPM 22 confirms that the hash values do not match, the control unit 21 determines that the platform has been modified, and executes error processing that restricts activation or use of the information processing apparatus 10.

ここで、エラー処理は情報処理装置10の起動や使用を制限するためのものであり、その制限方法は種々の形態が挙げられる。例えば、情報処理装置10の起動処理をロックすることで、情報処理装置10が立ち上がらないよう制御する形態としてもよい。また、情報処理装置10及びTPM22が保持する暗号鍵を消去するよう制御することで、該暗号鍵で暗号化されたデータへのアクセスを制限する形態としてもよい。また、情報処理装置10のHDD13に記憶されたアプリケーション132を削除するよう制御することで、該アプリケーション132の起動や使用を制限する形態としてもよい。   Here, the error processing is for restricting activation and use of the information processing apparatus 10, and there are various forms for the restriction method. For example, the information processing apparatus 10 may be controlled not to start up by locking the activation process of the information processing apparatus 10. Further, it may be configured to restrict access to data encrypted with the encryption key by controlling to delete the encryption key held by the information processing apparatus 10 and the TPM 22. Further, the activation and use of the application 132 may be restricted by controlling the application 132 stored in the HDD 13 of the information processing apparatus 10 to be deleted.

認証処理部23は、制御部21と協働することで、セキュリティデバイス20の操作者が、予め定められた正規の操作者か否かを認証する。具体的に、認証処理部23は、予め登録された正規操作者の認証情報を照合用認証情報として、不揮発性の記憶媒体である記憶領域231に記憶し、次回以降入力される認証情報をこの照合用認証情報と照合することで、正規操作者か否かを判定する。認証情報の不一致により、認証処理部23がセキュリティデバイス20の操作者が正規操作者でないと判定すると、制御部21は上述したエラー処理を実行する。   The authentication processing unit 23 cooperates with the control unit 21 to authenticate whether or not the operator of the security device 20 is a predetermined regular operator. Specifically, the authentication processing unit 23 stores the authentication information of the authorized operator registered in advance as verification authentication information in the storage area 231 that is a non-volatile storage medium, and the authentication information that is input next time is stored in the storage area 231. By comparing with the verification authentication information, it is determined whether or not the user is a regular operator. If the authentication processing unit 23 determines that the operator of the security device 20 is not a regular operator due to the mismatch of the authentication information, the control unit 21 executes the error processing described above.

なお、認証処理部23の認証方式は特に問わず、公知の技術を用いることができる。例えば、図示しないテンキーやキーボードを介して入力されるユーザID及びパスワードの組を、認証情報として用いるパスワード認証方式としてもよい。また、操作者の指紋や顔画像、虹彩等の生体情報の読み取りを行う生体情報読取装置を別途備えることで、この生体情報を認証情報として用いるバイオメトリクス認証方式としてもよい。また、RFIDリーダ装置を別途備え、このRFIDリーダ装置で読み取り可能なRFIDカードを操作者に配布しておくことで、このRFIDカードに記憶された情報を認証情報として用いる方式としてもよい。   Note that the authentication method of the authentication processing unit 23 is not particularly limited, and a known technique can be used. For example, a combination of a user ID and a password input via a numeric keypad or a keyboard (not shown) may be used as a password authentication method using authentication information. Further, a biometric authentication method using biometric information as authentication information may be provided by separately providing a biometric information reader that reads biometric information such as an operator's fingerprint, facial image, and iris. In addition, a method may be used in which information stored in the RFID card is used as authentication information by separately providing an RFID reader device and distributing an RFID card readable by the RFID reader device to the operator.

USBインタフェース24は、情報処理装置10と着脱自在に接続するためのインタフェースであって、情報処理装置10と制御部21との間の通信を制御する。また、USBインタフェース24は、情報処理装置10から供給される電源を、セキュリティデバイス20の各部に供給する。   The USB interface 24 is an interface for detachably connecting to the information processing apparatus 10, and controls communication between the information processing apparatus 10 and the control unit 21. Further, the USB interface 24 supplies power supplied from the information processing apparatus 10 to each unit of the security device 20.

管理サーバ30は、ネットワークNを介して情報処理装置10に接続されるサーバー装置である。図1に示すように、管理サーバ30は、制御部31、HDD32及びLANインタフェース33等を備えている。   The management server 30 is a server device connected to the information processing device 10 via the network N. As shown in FIG. 1, the management server 30 includes a control unit 31, an HDD 32, a LAN interface 33, and the like.

制御部31は、CPU、ROM及びRAM等で構成され、管理サーバ30の各部の動作を統括的に制御する。具体的に、制御部31は、LANインタフェース33を介して、情報処理装置10から、端末識別情報、プラットフォーム情報及びPCR情報を含んだ登録要求を受け付けると、これらの情報を関連付け管理テーブル321に登録する。   The control unit 31 includes a CPU, a ROM, a RAM, and the like, and comprehensively controls the operation of each unit of the management server 30. Specifically, when receiving a registration request including terminal identification information, platform information, and PCR information from the information processing apparatus 10 via the LAN interface 33, the control unit 31 registers these information in the association management table 321. To do.

図2は、管理テーブル321のデータ構成の一例を示す図である。同図に示すように、管理テーブル321は、端末識別情報が登録される領域と、プラットフォーム情報が登録される領域と、PCR情報が登録される領域と、バックアッププログラムが登録される領域とから構成されている。ここで、プラットフォーム情報が登録される領域は、ハードウェア構成となる接続機器の各要素と、ソフトウェア構成となるBIOS、OS及びアプリケーションの各要素とから構成され、各要素に対応する固有情報がそれぞれ登録される。また、プラットフォーム情報の各要素に関連付けて、対応するハッシュ値が登録される。   FIG. 2 is a diagram illustrating an example of the data configuration of the management table 321. As shown in the figure, the management table 321 includes an area in which terminal identification information is registered, an area in which platform information is registered, an area in which PCR information is registered, and an area in which a backup program is registered. Has been. Here, the area where the platform information is registered is composed of each element of the connected device that is the hardware configuration, and each element of the BIOS, OS, and application that is the software configuration, and the unique information corresponding to each element is respectively be registered. A corresponding hash value is registered in association with each element of the platform information.

バックアッププログラムには、プラットフォーム情報に登録されたBIOS、OS及びアプリケーションの要素の固有情報に対応するプログラム本体(以下、バックアッププログラムという)が関連付けて登録(バックアップ)されている。ここで、バックアッププログラムは、その真正性が確認されたものであるとする。なお、バックアッププログラムの登録方法は特に問わないものとする。例えば、BIOS、OS及びアプリケーションの要素の固有情報に基づいて、制御部31が、これらのプログラムを提供する製造メーカ等の信頼性のおけるインターネットサイトからバックアッププログラムを取得し、管理テーブル321に登録する形態としてもよい。   In the backup program, a program main body (hereinafter referred to as a backup program) corresponding to the unique information of the BIOS, OS, and application elements registered in the platform information is registered (backed up) in association with each other. Here, it is assumed that the authenticity of the backup program is confirmed. The method for registering the backup program is not particularly limited. For example, based on the unique information of BIOS, OS, and application elements, the control unit 31 acquires a backup program from a reliable Internet site such as a manufacturer that provides these programs, and registers the backup program in the management table 321. It is good also as a form.

なお、図2では、プラットフォーム情報として、ハードウェア構成及びソフトウェア構成の各要素の固有情報を保持する例を示しているが、これに限らず、他の情報を保持する形態としてもよい。例えば、情報処理装置10において、アプリケーション132の設定に係る設定ファイルや、各種のログファイル等の保護対象とされたデータ(以下、保護データという)をプラットフォーム情報の一要素として保持する形態としてもよい。   Although FIG. 2 shows an example in which the unique information of each element of the hardware configuration and software configuration is held as the platform information, the present invention is not limited to this, and other information may be held. For example, the information processing apparatus 10 may be configured to hold data to be protected (hereinafter referred to as protection data) such as setting files related to the settings of the application 132 and various log files as an element of platform information. .

図1に戻り、制御部31は、情報処理装置10から端末識別情報、プラットフォーム情報及びPCR情報を含んだ真正性の確認要求を受け付けると、この端末識別情報に関連付けられたプラットフォーム情報及びPCR情報を管理テーブル321から読み出す。そして、制御部31は、情報処理装置10から受け付けたプラットフォーム情報及びPCR情報と、管理テーブル321から読み出したハードウェア構成及びソフトウェア構成との対応する各要素について、その固有情報及びハッシュ値の両値を比較し、一致するか否かを判定する。また、情報処理装置10から受け付けたプラットフォーム情報に保護データが含まれる場合には、管理テーブル321に登録された対応する保護データと比較し、一致するか否かを判定する。   Returning to FIG. 1, when the control unit 31 receives an authenticity confirmation request including terminal identification information, platform information, and PCR information from the information processing apparatus 10, the control unit 31 displays the platform information and PCR information associated with the terminal identification information. Read from the management table 321. The control unit 31 then sets both the unique information and the hash value for each element corresponding to the platform information and PCR information received from the information processing apparatus 10 and the hardware configuration and software configuration read from the management table 321. Are compared to determine whether they match. If the platform information received from the information processing apparatus 10 includes protection data, it is compared with the corresponding protection data registered in the management table 321 to determine whether they match.

ここで、制御部31は、情報処理装置10から送信されたハードウェア構成及びソフトウェア構成の全ての要素について、管理テーブル321に登録されたものとの一致を確認、即ちプラットフォームに改変が無いことを確認すると、その旨を指示する応答信号をセキュリティデバイス20に送信する。   Here, the control unit 31 confirms that all the elements of the hardware configuration and the software configuration transmitted from the information processing apparatus 10 match those registered in the management table 321, that is, the platform has not been modified. If confirmed, a response signal indicating that is transmitted to the security device 20.

また、制御部31は、情報処理装置10から送信されたハードウェア構成及びソフトウェア構成のうち何れかの要素について不一致を確認すると、この不一致となった要素について、当該要素に応じた対処方法を指示した応答情報をセキュリティデバイス20に送信する。   Further, when the control unit 31 confirms a mismatch for any element of the hardware configuration and the software configuration transmitted from the information processing apparatus 10, the control unit 31 instructs a countermeasure method according to the element for the mismatched element. The response information is transmitted to the security device 20.

具体的に、制御部31は、ハードウェア構成について不一致を確認した場合、情報処理装置10のハードウェア構成が改変されたと判断する。この場合、制御部31は、ハードウェア構成のうち不一致となった接続機器(例えば、情報処理装置10のUSBインタフェース14に接続されたセキュリティデバイス20以外の外部機器)の使用を禁止することを指示した指示内容を、応答情報としてセキュリティデバイス20に送信する。   Specifically, the control unit 31 determines that the hardware configuration of the information processing apparatus 10 has been changed when confirming a mismatch in the hardware configuration. In this case, the control unit 31 instructs to prohibit the use of a connected device that does not match the hardware configuration (for example, an external device other than the security device 20 connected to the USB interface 14 of the information processing apparatus 10). The designated content is transmitted to the security device 20 as response information.

また、BIOSについて不一致を確認した場合、制御部31は、情報処理装置10のBIOS12が改変されたと判断する。この場合、制御部31は、BIOSに関連付けられたバックアッププログラムとともに、当該バックアッププログラムを用いてBIOS12を復旧することを指示した指示内容を、応答情報として情報処理装置10に送信する。なお、BIOS12の改変により、アプリケーション132の機能が情報処理装置10の正常動作に影響を及ぼす可能性がある場合、このアプリケーション132の機能の一部又は全てを禁止する指示内容を応答情報に含めることが好ましい。   When the mismatch is confirmed for the BIOS, the control unit 31 determines that the BIOS 12 of the information processing apparatus 10 has been altered. In this case, the control unit 31 transmits, together with the backup program associated with the BIOS, the instruction content instructed to restore the BIOS 12 using the backup program to the information processing apparatus 10 as response information. If there is a possibility that the function of the application 132 may affect the normal operation of the information processing apparatus 10 due to the modification of the BIOS 12, the instruction information prohibiting part or all of the function of the application 132 is included in the response information. Is preferred.

また、OSについて不一致を確認した場合、制御部31は、情報処理装置10のOS131が改変されたと判断する。この場合、制御部31は、OSに関連付けられたバックアッププログラムとともに、当該バックアッププログラムを用いてOS131を復旧することを指示した指示内容を、応答情報としてセキュリティデバイス20に送信する。なお、OS131の改変により、アプリケーション132の機能が情報処理装置10の正常動作に影響を及ぼす可能性がある場合、このアプリケーション132の機能の一部又は全てを禁止する指示内容を応答情報に含めることが好ましい。また、HDD13内のデータが暗号鍵により暗号化されている場合、この暗号鍵が盗まれている可能性もあるため、暗号鍵を再生成することを指示した指示内容を応答情報に含めることが好ましい。   In addition, when a mismatch is confirmed for the OS, the control unit 31 determines that the OS 131 of the information processing apparatus 10 has been altered. In this case, the control unit 31 transmits, together with the backup program associated with the OS, instruction content instructed to restore the OS 131 using the backup program to the security device 20 as response information. If there is a possibility that the function of the application 132 affects the normal operation of the information processing apparatus 10 due to the modification of the OS 131, the response information includes an instruction content that prohibits part or all of the function of the application 132. Is preferred. In addition, when the data in the HDD 13 is encrypted with an encryption key, the encryption key may be stolen. Therefore, an instruction content instructing to regenerate the encryption key may be included in the response information. preferable.

また、アプリケーションについて不一致を確認した場合、制御部31は、アプリケーション132が改変されたと判断する。この場合、制御部31は、アプリケーションに関連付けられたバックアッププログラムとともに、当該バックアッププログラムを用いてアプリケーション132を復旧することを指示した指示内容を、応答情報としてセキュリティデバイス20に送信する。また、アプリケーション132の改変により、このアプリケーション132自身の機能が情報処理装置10の正常動作に影響を及ぼす可能性がある場合、このアプリケーション132の機能の一部又は全てを禁止する指示内容を応答情報として送信する形態としてもよい。また、HDD13内のデータが暗号鍵により暗号化されている場合、この暗号鍵が盗まれている可能性もあるため、暗号鍵を再生成することを指示した指示内容を応答情報に含めることが好ましい。   Further, when it is confirmed that the application does not match, the control unit 31 determines that the application 132 has been altered. In this case, the control unit 31 transmits, together with the backup program associated with the application, instruction content instructed to restore the application 132 using the backup program to the security device 20 as response information. In addition, when there is a possibility that the function of the application 132 itself may affect the normal operation of the information processing apparatus 10 due to the modification of the application 132, an instruction content prohibiting a part or all of the function of the application 132 is displayed as response information. It is good also as a form transmitted as. In addition, when the data in the HDD 13 is encrypted with an encryption key, the encryption key may be stolen. Therefore, an instruction content instructing to regenerate the encryption key may be included in the response information. preferable.

なお、保護データについて不一致を確認した場合、制御部31は、情報処理装置10の保護データが改変されたと判断し、管理テーブル321に登録された対応する保護データとともに、この保護データを用いて情報処理装置10内の保護データを復旧(上書き)することを指示した指示内容を、応答情報としてセキュリティデバイス20に送信する。   In addition, when it is confirmed that the protection data does not match, the control unit 31 determines that the protection data of the information processing apparatus 10 has been altered, and uses the protection data together with the corresponding protection data registered in the management table 321. The instruction content instructed to restore (overwrite) the protected data in the processing apparatus 10 is transmitted to the security device 20 as response information.

HDD32は、管理サーバ30の補助記憶装置であって、制御部31が実行するプログラム(OSや各種アプリケーションを含む)や、上述した管理テーブル321を記憶している。   The HDD 32 is an auxiliary storage device of the management server 30 and stores a program (including an OS and various applications) executed by the control unit 31 and the management table 321 described above.

LANインタフェース33は、インターネットやイントラネット等のネットワークNに接続するためのインタフェースであり、ネットワークNに接続された情報処理装置10と制御部31との間の通信を制御する。   The LAN interface 33 is an interface for connecting to a network N such as the Internet or an intranet, and controls communication between the information processing apparatus 10 connected to the network N and the control unit 31.

次に、図3〜図8を参照して、情報処理システム1の動作について説明する。ここで、図3は、PCR情報及びプラットフォーム情報の登録時における情報処理システム1の動作を示すフローチャートである。なお、本処理の前提として、情報処理装置10の電源がオフ状態にあるものとする。また、セキュリティデバイス20及び管理サーバ30は、情報処理装置10に接続されているものとする。   Next, the operation of the information processing system 1 will be described with reference to FIGS. Here, FIG. 3 is a flowchart showing the operation of the information processing system 1 when registering PCR information and platform information. As a premise of this processing, it is assumed that the information processing apparatus 10 is powered off. Further, it is assumed that the security device 20 and the management server 30 are connected to the information processing apparatus 10.

まず、情報処理装置10の電源がオンとされ、この情報処理装置10の各部に電源が供給されると、制御部11は情報処理装置10の起動を開始する(ステップS11)。また、情報処理装置10の電源オンに伴い、USBインタフェース14を通じて供給される電源により、セキュリティデバイス20が起動する(ステップS21)。   First, when the power of the information processing apparatus 10 is turned on and power is supplied to each unit of the information processing apparatus 10, the control unit 11 starts to start the information processing apparatus 10 (step S11). When the information processing apparatus 10 is turned on, the security device 20 is activated by the power supplied through the USB interface 14 (step S21).

セキュリティデバイス20が起動すると、制御部21は、認証処理部23の動作を制御し、情報処理装置10の操作者から入力される認証情報の受付を開始させる。認証処理部23は、認証情報の入力を受け付けると(ステップS22)、記憶領域231に記憶された照合用認証情報と比較し(ステップS23)、両認証情報が一致するか否かを判定する(ステップS24)。ここで、認証処理部23が不一致と判定した場合(ステップS24;No)、制御部21は、正規の操作者以外の者が操作していると判断する。そして、制御部21は、上述したエラー処理を実行した後(ステップS25)、本処理を終了する。   When the security device 20 is activated, the control unit 21 controls the operation of the authentication processing unit 23 and starts accepting authentication information input from the operator of the information processing apparatus 10. Upon receiving the input of authentication information (step S22), the authentication processing unit 23 compares it with the verification authentication information stored in the storage area 231 (step S23), and determines whether or not the two authentication information matches (step S23). Step S24). Here, when the authentication processing unit 23 determines that there is a mismatch (step S24; No), the control unit 21 determines that a person other than the authorized operator is operating. And the control part 21 complete | finishes this process, after performing the error process mentioned above (step S25).

また、ステップS24において、認証処理部23が一致と判定した場合(ステップS24;Yes)、制御部21は、正規の操作者が操作していると判断し、ステップS26の処理に移行する。   In Step S24, when it is determined that the authentication processing unit 23 matches (Step S24; Yes), the control unit 21 determines that an authorized operator is operating, and the process proceeds to Step S26.

一方、情報処理装置10では、制御部11がBIOS12を起動し(ステップS12)、この起動が完了すると情報処理装置10の各部は動作可能な状態となる。これにより、USBインタフェース14とUSBインタフェース24との間の通信が確立する。なお、続くOS131の起動は、セキュリティデバイス20からのコマンドに応じて行うことになるため、制御部11は、OS131の起動を保留する。   On the other hand, in the information processing apparatus 10, the control unit 11 activates the BIOS 12 (step S12), and when this activation is completed, each unit of the information processing apparatus 10 becomes operable. Thereby, communication between the USB interface 14 and the USB interface 24 is established. Since the subsequent activation of the OS 131 is performed in response to a command from the security device 20, the control unit 11 suspends the activation of the OS 131.

セキュリティデバイス20では、制御部21がUSBインタフェース間の通信の確立を検出すると(ステップS26)、TPM22と協働することで照合用ハッシュ値登録処理を実行する(ステップS27)。以下、図4を参照して、ステップS27の照合用ハッシュ値登録処理について説明する。   In the security device 20, when the control unit 21 detects establishment of communication between the USB interfaces (step S26), collation hash value registration processing is executed in cooperation with the TPM 22 (step S27). Hereinafter, the hash value registration process for collation in step S27 will be described with reference to FIG.

図4は、照合用ハッシュ値登録処理の手順を示すフローチャートである。まず、制御部21は、USBインタフェース24を介して、情報処理装置10を構成する各構成機器の固有情報を検出すると(ステップS2711)、この検出結果をTPM22に出力することでハッシュ値を各々算出させる(ステップS2712)。そして、制御部21は、ステップS2712で算出されたハッシュ値を、ハードウェア構成のハッシュ値としてTPM22の記憶領域221に記憶する(ステップS2713)。   FIG. 4 is a flowchart showing the procedure of the hash value registration process for verification. First, when the control unit 21 detects specific information of each component device constituting the information processing apparatus 10 via the USB interface 24 (step S2711), the control unit 21 outputs the detection result to the TPM 22 to calculate each hash value. (Step S2712). Then, the control unit 21 stores the hash value calculated in step S2712 in the storage area 221 of the TPM 22 as a hash value of the hardware configuration (step S2713).

続いて、制御部21は、USBインタフェース24を介して、情報処理装置10が保持するBIOS12のファイルイメージを検出すると(ステップS2714)、この検出結果をTPM22に出力することでハッシュ値を算出させる(ステップS2715)。そして、制御部21は、ステップS2715で算出されたハッシュ値を、BIOS12のハッシュ値としてTPM22の記憶領域221に記憶する(ステップS2716)。   Subsequently, when the control unit 21 detects the file image of the BIOS 12 held by the information processing apparatus 10 via the USB interface 24 (step S2714), the control unit 21 outputs the detection result to the TPM 22 to calculate a hash value ( Step S2715). Then, the control unit 21 stores the hash value calculated in step S2715 in the storage area 221 of the TPM 22 as the hash value of the BIOS 12 (step S2716).

続いて、制御部21は、USBインタフェース24を介して、情報処理装置10のHDD13に記憶されたOS131のファイルイメージを検出すると(ステップS2717)、この検出結果をTPM22に出力することでハッシュ値を算出させる(ステップS2718)。そして、制御部21は、ステップS2718で算出されたハッシュ値を、OS131のハッシュ値としてTPM22の記憶領域221に記憶する(ステップS2719)。   Subsequently, when the control unit 21 detects a file image of the OS 131 stored in the HDD 13 of the information processing apparatus 10 via the USB interface 24 (step S2717), the control unit 21 outputs the detection result to the TPM 22 to obtain the hash value. Calculation is performed (step S2718). Then, the control unit 21 stores the hash value calculated in step S2718 in the storage area 221 of the TPM 22 as the hash value of the OS 131 (step S2719).

続いて、制御部21は、USBインタフェース24を介して、情報処理装置10のHDD13に記憶されたアプリケーション132のファイルイメージを検出すると(ステップS2720)、この検出結果をTPM22に出力することでハッシュ値を算出させる(ステップS2721)。そして、制御部21は、ステップS2721で算出されたハッシュ値を、アプリケーション132のハッシュ値としてTPM22の記憶領域221に記憶する(ステップS2722)。なお、ステップS2716、S2719及びS2722で記憶領域221に記憶された各ハッシュ値は、情報処理装置10のソフトウェア構成を一意に特定するものとなる。   Subsequently, when the control unit 21 detects the file image of the application 132 stored in the HDD 13 of the information processing apparatus 10 via the USB interface 24 (step S2720), the control unit 21 outputs the detection result to the TPM 22 to output a hash value. Is calculated (step S2721). Then, the control unit 21 stores the hash value calculated in step S2721 in the storage area 221 of the TPM 22 as the hash value of the application 132 (step S2722). Each hash value stored in the storage area 221 in steps S2716, S2719, and S2722 uniquely identifies the software configuration of the information processing apparatus 10.

次いで、制御部21はTPM22と協働することで、暗号鍵を生成すると(ステップS2723)、この生成した暗号鍵をTPM22の記憶領域221に記憶し(ステップS2724)、図3のステップS28に移行する。   Next, when the control unit 21 generates an encryption key in cooperation with the TPM 22 (step S2723), the control unit 21 stores the generated encryption key in the storage area 221 of the TPM 22 (step S2724), and proceeds to step S28 in FIG. To do.

図3に戻り、制御部21はTPM22と協働し、記憶領域221に記憶された暗号鍵を読み出すと、USBインタフェース24を介して情報処理装置10に送信する(ステップS28)。一方、情報処理装置10では、制御部11がUSBインタフェース14を介してセキュリティデバイス20から暗号鍵を受け付けると、この暗号鍵をRAMに保持する(ステップS113)。これにより、制御部11は、RAMに保持した暗号鍵を用いることで、この暗号鍵により暗号化されたコマンドや各種データの暗号化/復号化が可能となる。   Returning to FIG. 3, when the control unit 21 cooperates with the TPM 22 and reads the encryption key stored in the storage area 221, the control unit 21 transmits the encryption key to the information processing apparatus 10 via the USB interface 24 (step S28). On the other hand, in the information processing apparatus 10, when the control unit 11 receives an encryption key from the security device 20 via the USB interface 14, the encryption key is held in the RAM (step S113). Thus, the control unit 11 can encrypt / decrypt commands and various data encrypted using the encryption key by using the encryption key stored in the RAM.

また、セキュリティデバイス20では、情報処理装置10に暗号鍵を送信すると、制御部21は、TPM22の記憶領域221に記憶された暗号鍵を用いて、OS131の起動を指示するコマンドを暗号化し、この暗号化済みのコマンドを情報処理装置10へ送信する(ステップS29)。   In the security device 20, when the encryption key is transmitted to the information processing apparatus 10, the control unit 21 encrypts a command instructing activation of the OS 131 using the encryption key stored in the storage area 221 of the TPM 22. The encrypted command is transmitted to the information processing apparatus 10 (step S29).

一方、情報処理装置10では、制御部11がステップS29で送信された暗号化済みのコマンドを受け付けると、RAMに保持した暗号鍵を用いてコマンドを復号する(ステップS14)。次いで、制御部11は、復号したコマンドに従い、HDD13に記憶されたOS131を起動する(ステップS15)。   On the other hand, in the information processing apparatus 10, when the control unit 11 receives the encrypted command transmitted in step S29, the command is decrypted using the encryption key held in the RAM (step S14). Next, the control unit 11 activates the OS 131 stored in the HDD 13 according to the decrypted command (step S15).

また、セキュリティデバイス20では、情報処理装置10のOS131が起動すると、制御部21はTPM22と協働し、記憶領域221に記憶されたハードウェア構成及びソフトウェア構成(BIOS、OS、アプリケーション)の各ハッシュ値をPCR情報として取得する(ステップS30)。次いで、制御部21は、PCR情報を管理サーバ30への送信を指示するコマンドとともに暗号鍵で暗号化し、情報処理装置10へ送信する(ステップS31)。   In the security device 20, when the OS 131 of the information processing apparatus 10 is activated, the control unit 21 cooperates with the TPM 22 and each hash of the hardware configuration and the software configuration (BIOS, OS, application) stored in the storage area 221. A value is acquired as PCR information (step S30). Next, the control unit 21 encrypts the PCR information together with a command for instructing transmission to the management server 30 with the encryption key, and transmits the encrypted information to the information processing apparatus 10 (step S31).

情報処理装置10では、制御部11が、ステップS31で送信されたPCR情報及びコマンドを受け付けると、RAMに保持した暗号鍵を用いて復号する(ステップS16)。次いで、制御部11は、復号したコマンドに従い、自己の装置のハードウェア構成及びソフトウェア構成の各要素が有する固有情報をプラットフォーム情報として取得する(ステップS17)。そして、制御部11は、端末識別情報、PCR情報及びプラットフォーム情報とともに、これらの情報の登録要求を管理サーバ30へ送信する(ステップS18)。なお、ステップS17の処理において、情報処理装置10の保護データをプラットフォーム情報に含める形態としてもよい。   In the information processing apparatus 10, when the control unit 11 receives the PCR information and the command transmitted in step S31, the control unit 11 decrypts the information using the encryption key held in the RAM (step S16). Next, in accordance with the decrypted command, the control unit 11 acquires unique information possessed by each element of the hardware configuration and software configuration of its own device as platform information (step S17). And the control part 11 transmits the registration request of these information to the management server 30 with terminal identification information, PCR information, and platform information (step S18). In the process of step S17, the protection data of the information processing apparatus 10 may be included in the platform information.

一方、管理サーバ30では、制御部31が、情報処理装置10から送信された端末識別情報、PCR情報及びプラットフォーム情報の登録要求を受け付けると、これらの情報を関連付けて管理テーブル321に登録し(ステップS41)、本処理を終了する。   On the other hand, in the management server 30, when the control unit 31 receives a registration request for terminal identification information, PCR information, and platform information transmitted from the information processing apparatus 10, these pieces of information are associated and registered in the management table 321 (Step S 31). S41), this process ends.

上記の処理で管理サーバ30の管理テーブル321に登録されたPCR情報及びプラットフォーム情報は、以下に説明する各処理において、情報処理装置10の信頼性が確保された時点でのPCR情報及びプラットフォーム情報として取り扱われる。   The PCR information and platform information registered in the management table 321 of the management server 30 in the above processing are the PCR information and platform information at the time when the reliability of the information processing apparatus 10 is ensured in each processing described below. Handled.

次に、図5を参照して、情報処理装置10の起動時の動作について説明する。ここで、図5は、情報処理装置10の起動時における情報処理システム1の動作を示すフローチャートである。なお、本処理の前提として、情報処理装置10の電源がオフ状態にあるものとする。また、セキュリティデバイス20は、情報処理装置10に接続されているものとする。   Next, with reference to FIG. 5, the operation at the time of starting the information processing apparatus 10 will be described. Here, FIG. 5 is a flowchart showing the operation of the information processing system 1 when the information processing apparatus 10 is activated. As a premise of this processing, it is assumed that the information processing apparatus 10 is powered off. Further, it is assumed that the security device 20 is connected to the information processing apparatus 10.

ステップS51、S52及びステップS61〜S66は、上述したステップS11、S12及びステップS21〜S28と同様の処理であるため説明を省略する。セキュリティデバイス20では、USBインタフェース間の通信確立を検出すると、制御部21はTPM22と協働し、真正性確認処理を実行する(ステップS67)。以下、図6を参照して、ステップS67の真正性確認処理について説明する。   Steps S51 and S52 and steps S61 to S66 are the same as steps S11, S12 and steps S21 to S28 described above, and thus description thereof is omitted. When the security device 20 detects the establishment of communication between the USB interfaces, the control unit 21 cooperates with the TPM 22 to execute authenticity confirmation processing (step S67). Hereinafter, the authenticity confirmation processing in step S67 will be described with reference to FIG.

図6は、真正性確認処理の手順を示すフローチャートである。まず、制御部21は、USBインタフェース24を介して、情報処理装置10を構成する各構成機器の固有情報を検出すると(ステップS6711)、この検出結果をTPM22に出力することでハッシュ値を各々算出させる(ステップS6712)。   FIG. 6 is a flowchart showing the procedure of authenticity confirmation processing. First, when the control unit 21 detects specific information of each component device constituting the information processing apparatus 10 via the USB interface 24 (step S6711), the control unit 21 outputs the detection result to the TPM 22 to calculate each hash value. (Step S6712).

次いで、制御部21はTPM22と協働し、ステップS6712で算出されたハッシュ値と、記憶領域221に記憶されたハードウェア構成のハッシュ値とを比較し(ステップS6713)、両ハッシュ値が一致するか否かを判定する(ステップS6714)。ここで、両ハッシュ値が不一致と判定すると(ステップS6714;No)、制御部21は、情報処理装置10の構成機器が改変されたと判断する。そして、制御部21は、上述したエラー処理を実行した後(ステップS6727)、本処理を終了する。   Next, the control unit 21 cooperates with the TPM 22 to compare the hash value calculated in step S6712 with the hash value of the hardware configuration stored in the storage area 221 (step S6713), and the two hash values match. It is determined whether or not (step S6714). If it is determined that the two hash values do not match (step S6714; No), the control unit 21 determines that the component device of the information processing apparatus 10 has been altered. And the control part 21 complete | finishes this process, after performing the error process mentioned above (step S6727).

また、ステップS6714において、両ハッシュ値が一致と判定すると(ステップS6714;Yes)、制御部21は、USBインタフェース24を介して、情報処理装置10が保持するBIOS12のファイルイメージを検出する(ステップS6715)。次いで、制御部21は、検出結果をTPM22に出力することでハッシュ値を算出させる(ステップS6716)。   If it is determined in step S6714 that both hash values match (step S6714; Yes), the control unit 21 detects the file image of the BIOS 12 held by the information processing apparatus 10 via the USB interface 24 (step S6715). ). Next, the control unit 21 calculates the hash value by outputting the detection result to the TPM 22 (step S6716).

次いで、制御部21はTPM22と協働し、ステップS6716で算出されたハッシュ値と、記憶領域221に記憶されたBIOS12のハッシュ値とを比較し(ステップS6717)、両ハッシュ値が一致するか否かを判定する(ステップS6718)。ここで、両ハッシュ値が不一致と判定すると(ステップS6718;No)、制御部21は、情報処理装置10のBIOS12が改変されたと判断する。そして、制御部21は、上述したエラー処理を実行した後(ステップS6727)、本処理を終了する。   Next, the control unit 21 cooperates with the TPM 22 to compare the hash value calculated in step S6716 with the hash value of the BIOS 12 stored in the storage area 221 (step S6717), and whether or not both hash values match. Is determined (step S6718). If it is determined that the two hash values do not match (step S6718; No), the control unit 21 determines that the BIOS 12 of the information processing apparatus 10 has been altered. And the control part 21 complete | finishes this process, after performing the error process mentioned above (step S6727).

また、ステップS6718において、両ハッシュ値が一致と判定すると(ステップS6718;Yes)、制御部21は、USBインタフェース24を介して、情報処理装置10のHDD13に記憶されたOS131のファイルイメージを検出する(ステップS6919)。次いで、制御部21は、検出結果をTPM22に出力することでハッシュ値を算出させる(ステップS6720)。   If it is determined in step S6718 that both hash values match (step S6718; Yes), the control unit 21 detects the file image of the OS 131 stored in the HDD 13 of the information processing apparatus 10 via the USB interface 24. (Step S6919). Next, the control unit 21 calculates the hash value by outputting the detection result to the TPM 22 (step S6720).

次いで、制御部21はTPM22と協働し、ステップS6720で算出されたハッシュ値と、記憶領域221に記憶されたOS131のハッシュ値とを比較し(ステップS6721)、両ハッシュ値が一致するか否かを判定する(ステップS6722)。ここで、両ハッシュ値が不一致と判定すると(ステップS6722;No)、制御部21は、情報処理装置10のOS131が改変されたと判断する。そして、制御部21は、上述したエラー処理を実行した後(ステップS6727)、本処理を終了する。   Next, the control unit 21 cooperates with the TPM 22 to compare the hash value calculated in step S6720 with the hash value of the OS 131 stored in the storage area 221 (step S6721), and whether or not both hash values match. Is determined (step S6722). If it is determined that the two hash values do not match (step S6722; No), the control unit 21 determines that the OS 131 of the information processing apparatus 10 has been altered. And the control part 21 complete | finishes this process, after performing the error process mentioned above (step S6727).

また、ステップS6722において、両ハッシュ値が一致と判定すると(ステップS6722;Yes)、制御部21は、USBインタフェース24を介して、情報処理装置10のHDD13に記憶されたアプリケーション132のファイルイメージを検出する(ステップS6723)。次いで、制御部21は、検出結果をTPM22に出力することでハッシュ値を算出させる(ステップS6724)。   If it is determined in step S6722 that both hash values match (step S6722; Yes), the control unit 21 detects the file image of the application 132 stored in the HDD 13 of the information processing apparatus 10 via the USB interface 24. (Step S6723). Next, the control unit 21 calculates the hash value by outputting the detection result to the TPM 22 (step S6724).

次いで、制御部21はTPM22と協働し、ステップS6724で算出されたハッシュ値と、記憶領域221に記憶されたアプリケーション132のハッシュ値とを比較し(ステップS6725)、両ハッシュ値が一致するか否かを判定する(ステップS6726)。ここで、両ハッシュ値が不一致と判定すると(ステップS6726;No)、制御部21は、情報処理装置10のアプリケーション132が改変されたと判断する。そして、制御部21は、上述したエラー処理を実行した後(ステップS6727)、本処理を終了する。また、ステップS6726において、両ハッシュ値が一致と判定すると(ステップS6726;Yes)、図5のステップS68に移行する。   Next, the control unit 21 cooperates with the TPM 22 to compare the hash value calculated in step S6724 with the hash value of the application 132 stored in the storage area 221 (step S6725). It is determined whether or not (step S6726). If it is determined that the two hash values do not match (step S6726; No), the control unit 21 determines that the application 132 of the information processing apparatus 10 has been altered. And the control part 21 complete | finishes this process, after performing the error process mentioned above (step S6727). If it is determined in step S6726 that the two hash values match (step S6726; Yes), the process proceeds to step S68 in FIG.

図5に戻り、制御部21はTPM22と協働し、TPM22の記憶領域221に記憶された暗号鍵を、USBインタフェース24を介して情報処理装置10に送信する(ステップS68)。情報処理装置10では、制御部11がセキュリティデバイス20から暗号鍵を受け付けると、この暗号鍵をRAM(図示せず)に保持する(ステップS53)。   Returning to FIG. 5, the control unit 21 cooperates with the TPM 22 to transmit the encryption key stored in the storage area 221 of the TPM 22 to the information processing apparatus 10 via the USB interface 24 (step S68). In the information processing apparatus 10, when the control unit 11 receives the encryption key from the security device 20, the control unit 11 holds the encryption key in a RAM (not shown) (step S53).

また、セキュリティデバイス20では、情報処理装置10に暗号鍵を送信すると、制御部21は、TPM22の記憶領域221に記憶された暗号鍵を用いて、OS131の起動を指示するコマンドを暗号化し、この暗号化済みのコマンドを情報処理装置10へ送信する(ステップS69)。   In the security device 20, when the encryption key is transmitted to the information processing apparatus 10, the control unit 21 encrypts a command instructing activation of the OS 131 using the encryption key stored in the storage area 221 of the TPM 22. The encrypted command is transmitted to the information processing apparatus 10 (step S69).

一方、情報処理装置10では、制御部11がステップS69で送信された暗号化済みのコマンドを受け付けると、RAMに保持した暗号鍵を用いてコマンドを復号する(ステップS54)。次いで、制御部11は、復号したコマンドに従い、HDD13に記憶されたOS131を起動する(ステップS55)。   On the other hand, in the information processing apparatus 10, when the control unit 11 receives the encrypted command transmitted in step S69, the command is decrypted using the encryption key held in the RAM (step S54). Next, the control unit 11 activates the OS 131 stored in the HDD 13 in accordance with the decrypted command (step S55).

このように、セキュリティデバイス20では、情報処理装置10の起動時に、情報処理装置10が具備するハードウェア構成及びソフトウェア構成の真正性を確認し、この真正性が保持されていると判断した場合のみ、情報処理装置10の起動を許可するよう制御する。これにより、情報処理装置10のプラットフォーム(ハードウェア構成及びソフトウェア構成)が所定の構成から改変されていた場合に、情報処理装置10が不用意に起動してしまうことを防止することができるため、情報処理装置10のセキュリティを向上させることができる。   As described above, the security device 20 checks the authenticity of the hardware configuration and the software configuration included in the information processing apparatus 10 when the information processing apparatus 10 is started up, and only when it is determined that the authenticity is maintained. Then, control is performed to permit activation of the information processing apparatus 10. Thereby, when the platform (hardware configuration and software configuration) of the information processing apparatus 10 is modified from a predetermined configuration, it is possible to prevent the information processing apparatus 10 from being inadvertently activated. The security of the information processing apparatus 10 can be improved.

次に、図7を参照して、情報処理装置10がアプリケーション132を実行する際の情報処理システム1の動作について説明する。図7は、情報処理装置10のアプリケーション起動時における情報処理システム1の動作を示すフローチャートである。なお、本処理の前提として、情報処理装置10及びセキュリティデバイス20は、図5の処理で真正性の確認が正常に終了した状態にあるものとする。   Next, the operation of the information processing system 1 when the information processing apparatus 10 executes the application 132 will be described with reference to FIG. FIG. 7 is a flowchart showing the operation of the information processing system 1 when the application of the information processing apparatus 10 is activated. As a premise of this process, it is assumed that the information processing apparatus 10 and the security device 20 are in a state where the authenticity check has been normally completed in the process of FIG.

まず、情報処理装置10の制御部11は、HDD13に記憶されたアプリケーション132の起動に先立つ起動準備として(ステップS71)、PCR情報を要求するコマンドを暗号鍵で暗号化すると、この暗号化済みのコマンドをセキュリティデバイス20へ送信する(ステップS72)。なお、アプリケーション132の起動は、情報処理装置10の操作者から指示される形態としてもよいし、制御部11が自動で起動する形態としてもよい。   First, when the control unit 11 of the information processing apparatus 10 encrypts a command for requesting PCR information with an encryption key as preparation for activation prior to activation of the application 132 stored in the HDD 13 (step S71), A command is transmitted to the security device 20 (step S72). The activation of the application 132 may be instructed by an operator of the information processing apparatus 10 or may be automatically activated by the control unit 11.

一方、セキュリティデバイス20では、制御部21がTPM22と協働し、ステップS72で情報処理装置10から送信されたコマンドを記憶領域221の暗号鍵で復号すると(ステップS81)、このコマンドの指示内容に従い、記憶領域221に記憶されたハードウェア構成及びソフトウェア構成の各ハッシュ値をPCR情報として読み出す(ステップS82)。次いで、制御部21は、読み出したPCR情報を記憶領域221の暗号鍵で暗号化した後、情報処理装置10へ送信する(ステップS83)。   On the other hand, in the security device 20, when the control unit 21 cooperates with the TPM 22 and decrypts the command transmitted from the information processing apparatus 10 in step S72 with the encryption key of the storage area 221 (step S81), according to the instruction content of this command Then, each hash value of the hardware configuration and software configuration stored in the storage area 221 is read out as PCR information (step S82). Next, the control unit 21 encrypts the read PCR information with the encryption key of the storage area 221 and then transmits it to the information processing apparatus 10 (step S83).

情報処理装置10では、制御部11がRAMに保持した暗号鍵を用いて、ステップS83でセキュリティデバイス20から送信されたPCR情報を復号する(ステップS73)。次いで、制御部11は、自己の装置のハードウェア構成及びソフトウェア構成の各要素が有する固有情報をプラットフォーム情報として取得する(ステップS74)。続いて、制御部11は、端末識別情報と、PCR情報と、プラットフォーム情報とを含んだ真正性の確認要求を管理サーバ30へ送信する(ステップS75)。なお、ステップS74の処理において、情報処理装置10の保護データをプラットフォーム情報に含める形態としてもよい。   In the information processing apparatus 10, the control unit 11 decrypts the PCR information transmitted from the security device 20 in step S83 using the encryption key held in the RAM (step S73). Next, the control unit 11 acquires, as platform information, unique information possessed by each element of the hardware configuration and software configuration of its own device (step S74). Subsequently, the control unit 11 transmits an authenticity confirmation request including the terminal identification information, PCR information, and platform information to the management server 30 (step S75). In the process of step S74, the protection data of the information processing apparatus 10 may be included in the platform information.

一方、管理サーバ30では、制御部31が、情報処理装置10から確認要求を受け付けると、この確認要求に含まれたPCR情報及びプラットフォーム情報と、この確認要求に含まれた端末識別情報に対応する管理テーブル321のPCR情報及びプラットフォーム情報とを比較し(ステップS91)、対応する要素同士が一致するか否かを判定する(ステップS92)。   On the other hand, in the management server 30, when the control unit 31 receives a confirmation request from the information processing apparatus 10, it corresponds to the PCR information and platform information included in the confirmation request and the terminal identification information included in the confirmation request. The PCR information and platform information in the management table 321 are compared (step S91), and it is determined whether or not corresponding elements match (step S92).

ここで、制御部31は、ハードウェア構成及びソフトウェア構成の全ての要素について一致を確認すると(ステップS92;Yes)、情報処理装置10のプラットフォームの真正性が保持されていると判断し、その旨を示した応答情報を情報処理装置10に送信する(ステップS93)。また、ステップS92において、ハードウェア構成及びソフトウェア構成のうち何れかの要素について不一致を確認すると(ステップS92;No)、制御部31は、この不一致となった要素について、当該要素に応じた対象方法を指示した応答情報を、セキュリティデバイス20に送信する(ステップS94)。   Here, when the control unit 31 confirms that all the elements of the hardware configuration and the software configuration match (step S92; Yes), the control unit 31 determines that the authenticity of the platform of the information processing apparatus 10 is maintained, and accordingly. Is sent to the information processing apparatus 10 (step S93). In step S92, when a mismatch is confirmed with respect to any element of the hardware configuration and the software configuration (step S92; No), the control unit 31 selects a target method according to the element for the mismatched element. Is transmitted to the security device 20 (step S94).

情報処理装置10では、管理サーバ30から応答情報を受け付けると、制御部11は、この応答情報が真正性の保持を指示するものか否かを判定する(ステップS76)。ここで、真正性の保持を示すものと判定した場合(ステップS76;Yes)、制御部11は、アプリケーション132を起動し(ステップS77)、本処理を終了する。   In the information processing apparatus 10, when the response information is received from the management server 30, the control unit 11 determines whether or not the response information instructs to maintain authenticity (step S76). If it is determined that the authenticity is maintained (step S76; Yes), the control unit 11 activates the application 132 (step S77) and ends the process.

一方、ステップS76において、応答情報が真正性の保持を指示するもの以外と判定した場合、即ち、プラットフォームの改変が通知された場合には、制御部11は、この応答情報で指示された指示内容に従い、自己の装置を保護するための対応処理を実行する(ステップS78)。   On the other hand, if it is determined in step S76 that the response information is other than an instruction for maintaining the authenticity, that is, if the platform change is notified, the control unit 11 indicates the instruction content instructed by the response information. Accordingly, a corresponding process for protecting the own device is executed (step S78).

ここで、ステップS78の対応処理の内容は、応答情報で指示された指示内容に準じたものとなる。例えば、指示内容が、特定の接続機器の使用を禁止することを指示するものである場合、制御部11は、指定された接続機器を認識しないよう無効化することで、情報処理装置10の操作者が使用できないよう制御する。これにより、不正なデバイスが情報処理装置10に接続された場合であっても、このデバイスの使用を抑制することができるため、情報処理装置10のセキュリティを向上させることができる。   Here, the content of the corresponding process in step S78 is in accordance with the instruction content instructed by the response information. For example, when the instruction content instructs to prohibit the use of a specific connected device, the control unit 11 invalidates the specified connected device so as not to recognize the operation of the information processing apparatus 10. To prevent use by the user. Thereby, even when an unauthorized device is connected to the information processing apparatus 10, the use of this device can be suppressed, so that the security of the information processing apparatus 10 can be improved.

また、指示内容が、特定のプログラム(BIOS12、OS131又はアプリケーション132)の復旧を指示するものである場合、制御部11は、この指示内容とともに受け付けたバックアッププログラムを用いて指定されたプログラムの復旧を行う。ここで、復旧とは、バックアッププログラムの再導入(インストール)や、バックアッププログラムでの上書き等を意味する。   When the instruction content is an instruction to restore a specific program (BIOS 12, OS 131, or application 132), the control unit 11 restores the program specified using the backup program received together with the instruction content. Do. Here, recovery means reintroduction (installation) of the backup program, overwriting with the backup program, or the like.

なお、指示データが、保護データの復旧を指示するものである場合、制御部11は、この指示内容とともに受け付けた保護データを用いて、既存の保護データを上書する。   When the instruction data is an instruction to restore the protection data, the control unit 11 overwrites the existing protection data using the protection data received together with the contents of the instruction.

これにより、プログラムの改竄や不正なプログラムへの置き換えが行われ、このプログラムのハッシュ値がセキュリティデバイス20の記憶領域221に登録されてしまった場合であっても、正規のプログラムに復旧することができるため、不正なプログラムが実行されてしまうことを抑制することができる。なお、この場合、セキュリティデバイス20が保持するソフトウェア構成のハッシュ値も不正なプログラムを特定するものとなっているため、復旧後のプログラムのハッシュ値を記憶領域221に登録することを指示したコマンドを、制御部11がセキュリティデバイス20に送信することが好ましい。   As a result, even if the program is altered or replaced with an illegal program and the hash value of the program is registered in the storage area 221 of the security device 20, the program can be restored to a legitimate program. Therefore, it is possible to prevent an unauthorized program from being executed. In this case, since the hash value of the software configuration held by the security device 20 also identifies an unauthorized program, a command that instructs to register the hash value of the restored program in the storage area 221 is issued. The control unit 11 preferably transmits to the security device 20.

また、指示内容が、アプリケーション132の実行を一部制限又は禁止するものである場合、制御部11は、ステップS71で起動準備を行ったアプリケーション132が有する機能の一部又は全てを無効化するよう制御する。これにより、情報処理装置10の正常動作に影響を及ぼす可能性のある、アプリケーション132の機能の一部又は全てを無効化することができるため、情報処理装置10のセキュリティを向上させることができる。   When the instruction content partially restricts or prohibits the execution of the application 132, the control unit 11 invalidates a part or all of the functions of the application 132 that has been prepared for activation in step S71. Control. Thereby, a part or all of the functions of the application 132 that may affect the normal operation of the information processing apparatus 10 can be invalidated, so that the security of the information processing apparatus 10 can be improved.

また、指示内容が、暗号鍵の再生成を指示したものである場合、制御部11は、暗号鍵の再生成を依頼するコマンドを生成し暗号鍵を用いて暗号化すると、セキュリティデバイス20へ送信する。以下、図8を参照して、暗号鍵の再生成を行う際の情報処理装置10とセキュリティデバイス20の動作について説明する。   If the instruction content is an instruction to regenerate the encryption key, the control unit 11 generates a command for requesting the regeneration of the encryption key and encrypts it using the encryption key, and transmits it to the security device 20. To do. Hereinafter, operations of the information processing apparatus 10 and the security device 20 when regenerating the encryption key will be described with reference to FIG.

図8は、暗号鍵の再生成時における情報処理装置10及びセキュリティデバイス20の動作を示すフローチャートである。まず、情報処理装置10では、制御部11が暗号鍵の再生成を指示する応答情報を受け付けると(ステップS101)、暗号鍵の再生成を要求するコマンドを暗号鍵で暗号化し、セキュリティデバイス20へ送信する(ステップS102)。   FIG. 8 is a flowchart showing operations of the information processing apparatus 10 and the security device 20 at the time of regenerating the encryption key. First, in the information processing apparatus 10, when the control unit 11 receives response information instructing regeneration of the encryption key (step S 101), the command requesting regeneration of the encryption key is encrypted with the encryption key and sent to the security device 20. Transmit (step S102).

一方、セキュリティデバイス20では、ステップS102で送信された暗号化済みのコマンドを受け付けると、制御部21はTPM22と協働し、記憶領域221に記憶された暗号鍵を用いて復号する(ステップS111)。続いて、制御部21は、ステップS111で復号したコマンドの指示内容に従い、以下の処理を実行する。まず、制御部21はTPM22と協働し、記憶領域221に記憶された既存の暗号鍵を用いることで、暗号化対象とされた所定のデータを復号する(ステップS112)。   On the other hand, when the security device 20 receives the encrypted command transmitted in step S102, the control unit 21 cooperates with the TPM 22 to decrypt using the encryption key stored in the storage area 221 (step S111). . Subsequently, the control unit 21 executes the following processing according to the instruction content of the command decoded in step S111. First, the control unit 21 cooperates with the TPM 22 to decrypt predetermined data to be encrypted by using an existing encryption key stored in the storage area 221 (step S112).

次いで、制御部21はTPM22と協働し、新たな暗号鍵を生成すると(ステップS113)、この暗号鍵を記憶領域221に記憶(上書き)する(ステップS114)。続いて、制御部21はTPM22と協働し、記憶領域221に記憶した新たな暗号鍵を用いて、暗号化対象とされた所定のデータを暗号化する(ステップS115)。そして、制御部21は、記憶領域221に記憶した新たな暗号鍵を情報処理装置10に送信し(ステップS116)、処理を終了する。   Next, when the control unit 21 cooperates with the TPM 22 to generate a new encryption key (step S113), the control unit 21 stores (overwrites) this encryption key in the storage area 221 (step S114). Subsequently, the control unit 21 cooperates with the TPM 22 to encrypt predetermined data to be encrypted using the new encryption key stored in the storage area 221 (step S115). And the control part 21 transmits the new encryption key memorize | stored in the memory | storage area | region 221 to the information processing apparatus 10 (step S116), and complete | finishes a process.

情報処理装置10では、セキュリティデバイス20から送信された新たな暗号鍵を受け付けると、制御部11は、この暗号鍵をRAMに保持し(ステップS103)、処理を終了する。   In the information processing apparatus 10, when the new encryption key transmitted from the security device 20 is received, the control unit 11 stores the encryption key in the RAM (step S103) and ends the process.

これにより、制御部11では、新たな暗号鍵を用いてデータの暗号化/復号化を行うことが可能となる。また、既存の暗号鍵で暗号化されていたデータを該暗号鍵で復号した後、新たな暗号鍵で暗号化を行うため、このデータを引き続き利用することができる。なお、セキュリティデバイス20にて暗号鍵の生成を行う前に(ステップS112の前)、認証処理部23にて正規操作者か否か確認を行う処理を含める形態としてもよい。   As a result, the control unit 11 can encrypt / decrypt data using a new encryption key. In addition, since the data encrypted with the existing encryption key is decrypted with the encryption key and then encrypted with the new encryption key, this data can be continuously used. It should be noted that before the encryption key is generated by the security device 20 (before step S112), the authentication processing unit 23 may include a process for confirming whether or not the user is an authorized operator.

図7に戻り、制御部21は、ステップS78の対応処理を実行すると、この対応処理を実行した条件の下で、アプリケーション132を起動し(ステップS79)、本処理を終了する。   Returning to FIG. 7, when the control process of step S78 is executed, the control unit 21 activates the application 132 under the conditions for executing the response process (step S79), and ends the process.

以上のように、本実施形態によれば、情報処理装置10の起動(トラステッドブート
)後の所定のタイミングで、セキュリティデバイス20のPCR情報と情報処理装置10のプラットフォーム情報とを管理サーバ30に送信する。また、管理サーバ30は、情報処理装置10から送信されたPCR情報とプラットフォーム情報との組を、真正性が保証された時点でのPCR情報とプラットフォーム情報との組と比較し、不一致となった前記ハードウェア構成及び前記ソフトウェア構成の何れかの要素について、その対処方法を指示した応答情報を情報処理装置10に送信する。情報処理装置10では、管理サーバ30から提供された応答情報に基づき、情報処理装置10を保護するための制御を不一致となった構成に施す。 As described above, according to the present embodiment, the PCR information of the security device 20 and the platform information of the information processing apparatus 10 are transmitted to the management server 30 at a predetermined timing after the information processing apparatus 10 is activated (trusted boot). To do. In addition, the management server 30 compares the pair of PCR information and platform information transmitted from the information processing apparatus 10 with the pair of PCR information and platform information at the time when the authenticity is guaranteed, and there is a mismatch. Response information indicating a coping method is transmitted to the information processing apparatus 10 for any element of the hardware configuration and the software configuration. In the information processing apparatus 10, based on the response information provided from the management server 30, the control for protecting the information processing apparatus 10 is applied to the configuration that is inconsistent.

これにより、情報処理装置10のプラットフォームが改変され、且つこの改変された状態のハッシュ値が、セキュリティデバイス20のPCR情報として記憶されてしまった場合であっても、管理サーバ30が提供する応答情報に基づいて情報処理装置10を保護することができるため、情報処理装置10のセキュリティを向上させることができる。   Accordingly, even when the platform of the information processing apparatus 10 is modified and the hash value in the modified state is stored as the PCR information of the security device 20, the response information provided by the management server 30 Since the information processing apparatus 10 can be protected based on the information, the security of the information processing apparatus 10 can be improved.

また、本実施形態では、情報処理装置10の起動時において、そのプラットフォームの真正性の確認をセキュリティデバイス20が行うため、情報処理装置10にセキュリティチップ(TPM)が実装されていない場合あっても、セキュリティデバイス20を接続することでトラステッドブートを実現することができる。   In this embodiment, since the security device 20 checks the authenticity of the platform when the information processing apparatus 10 is started up, even if a security chip (TPM) is not mounted on the information processing apparatus 10. The trusted boot can be realized by connecting the security device 20.

以上、本発明の実施形態について説明したが、本発明はこれに限定されるものではなく、本発明の主旨を逸脱しない範囲での種々の変更、置換、追加等が可能である。   The embodiment of the present invention has been described above, but the present invention is not limited to this, and various modifications, substitutions, additions, and the like are possible without departing from the spirit of the present invention.

例えば、上記実施形態では、セキュリティデバイス20において、制御部21とTPM22とが独立的に設けられた例を説明したが、制御部21がTPM22の機能を一体的に有する形態としてもよい。   For example, in the above-described embodiment, an example in which the control unit 21 and the TPM 22 are provided independently in the security device 20 has been described. However, the control unit 21 may integrally have the function of the TPM 22.

また、上記実施形態では、情報処理装置10のセキュリティチップ(TPM22)を、外付けのセキュリティデバイス20に搭載する形態としたが、これに限らず、セキュリティデバイス20の各部を、情報処理装置10自体が搭載する形態としてもよい。なお、この形態の場合、情報処理装置10の制御部11は、セキュリティデバイス20の制御部21と同様の機能を有するものとする。   In the above-described embodiment, the security chip (TPM 22) of the information processing apparatus 10 is mounted on the external security device 20. However, the present invention is not limited to this, and each unit of the security device 20 is not limited to the information processing apparatus 10 itself. May be configured to be mounted. In the case of this configuration, the control unit 11 of the information processing apparatus 10 has the same function as the control unit 21 of the security device 20.

また、上記実施形態では、情報処理装置10の制御部11は、アプリケーション132の実行に際して図7の動作を行う形態としたが、これに限らず、情報処理装置10の起動後の任意のタイミングで行う形態としてもよい。   In the above embodiment, the control unit 11 of the information processing apparatus 10 performs the operation of FIG. 7 when executing the application 132. However, the present invention is not limited to this, and at any timing after the information processing apparatus 10 is activated. It is good also as a form to perform.

1 情報処理システム
10 情報処理装置
11 制御部
12 BIOS
13 HDD
131 OS
132 アプリケーション
14 USBインタフェース
15 LANインタフェース
20 セキュリティデバイス
21 制御部
211 記憶領域
22 TPM
221 記憶領域
23 認証処理部
231 記憶領域
24 USBインタフェース
30 管理サーバ
31 制御部
32 HDD
321 管理テーブル
33 LANインタフェース
N ネットワーク DESCRIPTION OF SYMBOLS 1 Information processing system 10 Information processing apparatus 11 Control part 12 BIOS
13 HDD
131 OS
132 Application 14 USB interface 15 LAN interface 20 Security device 21 Control unit 211 Storage area 22 TPM
221 Storage area 23 Authentication processing unit 231 Storage area 24 USB interface 30 Management server 31 Control unit 32 HDD
321 Management table 33 LAN interface N network

特許第3777170号Patent No. 3777170

Claims (7)

自己の装置が具備するハードウェア構成及びソフトウェア構成の各要素を一意に特定可能なハッシュ値をPCR情報として予め保持し、自己の装置の起動時に取得した前記各要素ハッシュ値と前記PCR情報とが一致した場合に、自己の装置の起動を許可する起動制御手段と、
前記ハードウェア構成及びソフトウェア構成から、当該ハードウェア構成及びソフトウェア構成の各要素を示したプラットフォーム情報を取得するプラットフォーム情報取得手段と、
自己の装置の起動後の所定のタイミングで、前記起動制御手段が保持するPCR情報と、前記プラットフォーム情報取得手段が取得した現時点でのプラットフォーム情報との組を、信頼性が確保された時点での前記PCR情報と前記プラットフォーム情報との組を保持する管理サーバに送信し、この両組が一致するか否かの一致判定を前記管理サーバに要求する送信手段と、
前記一致判定の結果、不一致となった前記ハードウェア構成及び前記ソフトウェア構成の何れかの要素について、当該要素に応じた対処方法を指示した応答情報を前記管理サーバから受信する受信手段と、
前記応答情報に基づいて、前記不一致となった要素を制御する制御手段と、
を備えたことを特徴とする情報処理装置。 A hash value that can uniquely identify each element of the hardware configuration and software configuration of the own device is stored in advance as PCR information, and each of the element hash values and the PCR information acquired at the time of startup of the own device includes An activation control means for permitting activation of its own device if they match,
Platform information acquisition means for acquiring platform information indicating each element of the hardware configuration and software configuration from the hardware configuration and software configuration;
A set of the PCR information held by the activation control unit and the current platform information acquired by the platform information acquisition unit at a predetermined timing after the activation of its own device is obtained when reliability is ensured. A transmission means for transmitting to the management server holding a set of the PCR information and the platform information, and requesting the management server to determine whether or not the two sets match;
As a result of the match determination, for any element of the hardware configuration and the software configuration that have become mismatched, receiving means for receiving response information instructing a coping method according to the element from the management server;
Control means for controlling the mismatched elements based on the response information;
An information processing apparatus comprising: 前記制御手段は、前記応答情報に前記ハードウェア構成に含まれた特定のハードウェアの使用を禁止する指示内容が含まれる場合に、この特定のハードウェアを無効化するよう制御することを特徴とする請求項1に記載の情報処理装置。   The control means controls to invalidate the specific hardware when the response information includes an instruction content prohibiting the use of the specific hardware included in the hardware configuration. The information processing apparatus according to claim 1. 前記制御手段は、前記応答情報に前記ソフトウェア構成に含まれた特定のプログラムの復旧の指示する指示内容が含まれる場合に、この特定のプログラムを復旧することを特徴とする請求項1又は2に記載の情報処理装置。   3. The control unit according to claim 1, wherein the control unit recovers the specific program when the response information includes an instruction content instructing recovery of the specific program included in the software configuration. The information processing apparatus described. 前記制御手段は、前記応答情報に前記ソフトウェア構成に含まれた特定のプログラムの機能の一部又は全てを無効化する指示内容が含まれる場合に、この特定のプログラムの実行に際し、当該プログラムの機能の一部又は全てを無効化することを特徴とする請求項1〜3の何れか一項に記載の情報処理装置。   When the response information includes an instruction content for invalidating a part or all of the function of the specific program included in the software configuration, the function of the program is executed when the specific program is executed. The information processing apparatus according to any one of claims 1 to 3, wherein a part or all of the information is invalidated. 所定のデータを暗号化/復号化する暗号鍵を生成する暗号鍵生成手段を更に備え、
前記制御手段は、前記応答情報に前記暗号鍵を再生成する指示内容が含まれる場合に、前記暗号鍵再生成手段に前記暗号鍵を再生成させることを特徴とする請求項1〜4の何れか一項に記載の情報処理装置。 An encryption key generating means for generating an encryption key for encrypting / decrypting predetermined data;
5. The control unit according to claim 1, wherein the control unit causes the encryption key regeneration unit to regenerate the encryption key when the response information includes an instruction content for regenerating the encryption key. The information processing apparatus according to claim 1. 前記起動制御手段及び前記暗号鍵生成手段は、自己の装置と着脱自在に接続されたセキュリティデバイスに設けられていることを特徴とする請求項5に記載の情報処理装置。   The information processing apparatus according to claim 5, wherein the activation control unit and the encryption key generation unit are provided in a security device that is detachably connected to its own apparatus. コンピュータを、
自己の装置が具備するハードウェア構成及びソフトウェア構成の各要素を一意に特定可能なハッシュ値をPCR情報として予め保持し、自己の装置の起動時に取得した前記ハードウェア構成及びソフトウェア構成のハッシュ値と前記PCR情報とが一致した場合に、自己の装置の起動を許可する起動制御手段と、
前記ハードウェア構成及びソフトウェア構成から、当該前記ハードウェア構成及びソフトウェア構成の各要素を示したプラットフォーム情報を取得するプラットフォーム情報取得手段と、
自己の装置の起動後の所定のタイミングで、前記起動制御手段が保持するPCR情報と、前記プラットフォーム情報取得手段が取得した現時点でのプラットフォーム情報との組を、真正性が保証された時点での前記PCR情報と前記プラットフォーム情報との組を保持する管理サーバに送信し、この両組が一致するか否かの一致判定を前記管理サーバに要求する送信手段と、
前記一致判定の結果、不一致となった前記ハードウェア構成及び前記ソフトウェア構成の何れかの要素について、当該要素に応じた対処方法を指示した応答情報を前記管理サーバから受信する受信手段と、
前記応答情報に基づいて、前記不一致となった要素を制御する制御手段と、
して機能させるためのプログラム。 Computer
A hash value that can uniquely identify each element of the hardware configuration and software configuration of the own device is previously stored as PCR information, and the hash value of the hardware configuration and software configuration acquired when the own device is started up An activation control means for permitting activation of its own device when the PCR information matches,
Platform information acquisition means for acquiring platform information indicating each element of the hardware configuration and software configuration from the hardware configuration and software configuration;
A set of the PCR information held by the activation control unit and the current platform information acquired by the platform information acquisition unit at a predetermined timing after the activation of its own device is obtained when the authenticity is guaranteed. A transmission means for transmitting to the management server holding a set of the PCR information and the platform information, and requesting the management server to determine whether or not the two sets match;
As a result of the match determination, for any element of the hardware configuration and the software configuration that have become mismatched, receiving means for receiving response information instructing a coping method according to the element from the management server;
Control means for controlling the mismatched elements based on the response information;
Program to make it function.
JP2010141667A 2010-06-22 2010-06-22 Information processing device and program Pending JP2012009938A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010141667A JP2012009938A (en) 2010-06-22 2010-06-22 Information processing device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010141667A JP2012009938A (en) 2010-06-22 2010-06-22 Information processing device and program

Publications (1)

Publication Number Publication Date
JP2012009938A true JP2012009938A (en) 2012-01-12

Family

ID=45540022

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010141667A Pending JP2012009938A (en) 2010-06-22 2010-06-22 Information processing device and program

Country Status (1)

Country Link
JP (1) JP2012009938A (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012032925A (en) * 2010-07-29 2012-02-16 Canon Inc Platform integrity verification system
WO2014147710A1 (en) * 2013-03-18 2014-09-25 富士通株式会社 Terminal device, startup control method, and program
JP2014191120A (en) * 2013-03-26 2014-10-06 Fujitsu Fsas Inc Configuration information management device and configuration information management method
JP2014192639A (en) * 2013-03-26 2014-10-06 Fujitsu Fsas Inc Terminal device and determination method
JP2015099480A (en) * 2013-11-19 2015-05-28 東芝テック株式会社 Payment terminal device, update program
JP2016519827A (en) * 2013-04-15 2016-07-07 アマゾン・テクノロジーズ、インコーポレイテッド Host recovery using secure storage
JP2017503289A (en) * 2014-10-31 2017-01-26 小米科技有限責任公司Xiaomi Inc. Terminal verification method, apparatus, program, and recording medium
US10019604B2 (en) 2014-10-31 2018-07-10 Xiaomi Inc. Method and apparatus of verifying terminal and medium
JP2022166687A (en) * 2021-04-21 2022-11-02 キヤノン株式会社 Information processing device, its control method, and program
CN116302070A (en) * 2023-03-31 2023-06-23 联想(北京)有限公司 A state determination method and terminal equipment
JP2023087366A (en) * 2021-12-13 2023-06-23 トヨタ自動車株式会社 Control device, management method
JPWO2023145044A1 (en) * 2022-01-31 2023-08-03

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012032925A (en) * 2010-07-29 2012-02-16 Canon Inc Platform integrity verification system
WO2014147710A1 (en) * 2013-03-18 2014-09-25 富士通株式会社 Terminal device, startup control method, and program
JP6024821B2 (en) * 2013-03-18 2016-11-16 富士通株式会社 Terminal device, activation control method, and program
JP2014191120A (en) * 2013-03-26 2014-10-06 Fujitsu Fsas Inc Configuration information management device and configuration information management method
JP2014192639A (en) * 2013-03-26 2014-10-06 Fujitsu Fsas Inc Terminal device and determination method
JP2016519827A (en) * 2013-04-15 2016-07-07 アマゾン・テクノロジーズ、インコーポレイテッド Host recovery using secure storage
JP2015099480A (en) * 2013-11-19 2015-05-28 東芝テック株式会社 Payment terminal device, update program
US10019604B2 (en) 2014-10-31 2018-07-10 Xiaomi Inc. Method and apparatus of verifying terminal and medium
JP2017503289A (en) * 2014-10-31 2017-01-26 小米科技有限責任公司Xiaomi Inc. Terminal verification method, apparatus, program, and recording medium
JP2022166687A (en) * 2021-04-21 2022-11-02 キヤノン株式会社 Information processing device, its control method, and program
JP7313395B2 (en) 2021-04-21 2023-07-24 キヤノン株式会社 Information processing device, its control method, and program
JP2023087366A (en) * 2021-12-13 2023-06-23 トヨタ自動車株式会社 Control device, management method
JP7707884B2 (en) 2021-12-13 2025-07-15 トヨタ自動車株式会社 Control device and management method
JPWO2023145044A1 (en) * 2022-01-31 2023-08-03
WO2023145044A1 (en) * 2022-01-31 2023-08-03 日本電気株式会社 Device verification system, device verification method, and recording medium
JP7803354B2 (en) 2022-01-31 2026-01-21 日本電気株式会社 Device verification system, device verification method, and program
CN116302070A (en) * 2023-03-31 2023-06-23 联想(北京)有限公司 A state determination method and terminal equipment

Similar Documents

Publication Publication Date Title
JP2012009938A (en) Information processing device and program
CN103886234B (en) A kind of fail-safe computer based on encryption hard disk and data security control method thereof
TWI684890B (en) System and method for computing device with improved firmware service security using credential-derived encryption key
JP4615601B2 (en) Computer security system and computer security method
US9507964B2 (en) Regulating access using information regarding a host machine of a portable storage drive
KR101719381B1 (en) Remote access control of storage devices
US8528062B1 (en) Method and service for securing a system networked to a cloud computing environment from malicious code attacks
CN108256302B (en) Data security access method and device
WO2007112023A2 (en) Secure biometric processing system and method of use
JP2012008641A (en) Security device and information processing device
EP2628133B1 (en) Authenticate a fingerprint image
JP4226556B2 (en) Program execution control device, OS, client terminal, server, program execution control system, program execution control method, program execution control program
US20070226514A1 (en) Secure biometric processing system and method of use
WO2016101559A1 (en) Secure data access method and device, and computer storage medium
JP2008226191A (en) System, method, and program for authenticating information processing terminal
US20220027487A1 (en) System and method for securing and managing data in storage device by using secure terminal
KR20210029967A (en) Management system and method for data security for storage device using security device
US20140156994A1 (en) Information processing apparatus and method for activating computer
JP5049179B2 (en) Information processing terminal device and application program activation authentication method
KR101745390B1 (en) Data leakage prevention apparatus and method thereof
KR102248132B1 (en) Method, apparatus and program of log-in using biometric information
JP6272608B2 (en) License authentication apparatus, license authentication method, and license authentication program
US10565356B2 (en) Method, printing device and system for printing a three dimensional object
KR20140136166A (en) Method and apparatus for preventing of accessing an administartor right
JP2008269523A (en) Information processing device