JP2006185218A - 接続デバイス制限プログラム及び接続デバイス制限装置 - Google Patents

接続デバイス制限プログラム及び接続デバイス制限装置 Download PDF

Info

Publication number
JP2006185218A
JP2006185218A JP2004378611A JP2004378611A JP2006185218A JP 2006185218 A JP2006185218 A JP 2006185218A JP 2004378611 A JP2004378611 A JP 2004378611A JP 2004378611 A JP2004378611 A JP 2004378611A JP 2006185218 A JP2006185218 A JP 2006185218A
Authority
JP
Japan
Prior art keywords
connection
permission list
connection permission
restriction
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004378611A
Other languages
English (en)
Other versions
JP4896397B2 (ja
Inventor
Kazuo Ikemoto
一夫 池本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004378611A priority Critical patent/JP4896397B2/ja
Priority to US11/088,435 priority patent/US7788425B2/en
Publication of JP2006185218A publication Critical patent/JP2006185218A/ja
Priority to US12/845,372 priority patent/US8069281B2/en
Application granted granted Critical
Publication of JP4896397B2 publication Critical patent/JP4896397B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】 不必要な接続デバイスの利用を防止する。
【解決手段】 許可リスト設定手段1cにより、接続を許可する接続デバイスを規定する接続許可リスト1aが設定され、リスト記憶手段1bに格納される。接続制限手段1dでは、接続ポート2a、2b、2cを介して接続デバイスが接続されると、その接続デバイスからデバイス情報を取り出し、デバイス情報と接続許可リスト1aとを照合し、この接続デバイスが接続許可デバイスに相当するがどうかを判定する。そして、接続デバイスが接続許可デバイスに相当する場合は接続を許可し、相当しない場合は接続を禁止する。
【選択図】 図1

Description

本発明は接続デバイス制限プログラム及び接続デバイス制限装置に関し、特にコンピュータに接続して利用される接続デバイスの利用制限を行う接続デバイス制限プログラム及び接続デバイス制限装置に関する。
オフィスや家庭で使用されるコンピュータ、たとえば、パーソナルコンピュータ(以下、PCとする)には、周辺機器や拡張カード(以下、総称してデバイスとする)などが接続された場合に、デバイスドライバの組み込みと設定を自動的に行う機能が組み込まれている。たとえば、キーボードやマウス、外部記憶装置など、さまざまな周辺デバイスと簡単に接続するために、USB(Universal Serial Bus)に代表される接続デバイスが装備されている。
USBデバイスには、PCに接続時、基本ソフトであるOS(Operating System)からの要求に応じてデバイス種別などの情報を送信する機能が組み込まれている。
図11は、従来のUSBデバイスのデバイス情報読み出し手順を示したフローチャートである。USBデバイスが接続ポートに接続されたことがOSに通知されると、OSは、接続されたUSBデバイスのデバイス情報を要求し、ターゲットのUSBデバイス情報を抽出する(ステップS91)。そして、抽出したUSBデバイス情報をOSに返す(ステップS92)。こうして、USBデバイス情報を取得したOSは、接続デバイスのデバイス種類などを認識し、この接続デバイスが利用できるように処理を行う。このような仕組みにより、USBに新たに接続されたデバイスがすぐに利用できるようになっている。
しかしながら、このように周辺デバイスを容易に接続できるようになると、PCからの情報の漏洩、もしくはPCへの不必要な情報の持ち込みが発生するなど、セキュリティ上の問題が生じる。
そこで、周辺デバイスのカテゴリに応じて利用を制限する手法が提案されている。たとえば、「ストレージ」というカテゴリを設定すれば、ストレージ・デバイスを接続して利用することができなくなる。
また、コンピュータに接続端末の製造番号を登録しておき、接続許可を要求している接続端末の製造番号と登録している製造番号を照合し、一致する場合のみ接続を許可する接続照合システムが提案されている(たとえば、特許文献1参照)。
特開2003−6166号公報(段落番号〔0007〕〜〔0019〕、図1)
しかし、従来の接続デバイス制限では、詳細な利用制限を設定することができない、もしくは、煩雑な設定作業が必要になるなど使い勝手が悪く、不必要な接続デバイスの利用を防止できないという問題点があった。
カテゴリで利用制限をかける場合、利用制限の判定処理は、アプリケーションプログラムに近いレベル、すなわち、デバイスに関する情報が抽象化されて細かい個別情報を知ることのできない段階で行なわれるため、個別のデバイスに対する利用制限ができないという問題点がある。たとえば、「ストレージ」というカテゴリで利用制限をかけると、すべてのストレージの接続ができなくなってしまう。また、既存のカテゴリにしか利用制限をかけることができないという問題点もある。
一方、製造番号を照合して接続可否を判断する接続照合システムでは、許可する端末ごとに製造番号をすべて登録しなければならず、システムが大規模になると登録台数も増加し、登録作業が煩雑になるという問題点があり、登録ミスも発生しやすい。さらに、接続可否の判定しか行われず、読み出しは許可するが書き込みは許可しないなど、細かい対応ができない。
このように、従来の接続デバイス制限では、既存のカテゴリごとの利用制限、もしくは、個々のデバイスの接続制限といった対応しかできず、使用者、メーカー、製品、利用する接続デバイス、利用形態、というようなさまざまな設定で利用制限を行うことができなかった。たとえば、「A氏に、X社製のYという製品名のZという個体識別番号を持つUSBメモリのみを利用可能とし、他のUSBメモリ及びUSBデバイスは利用禁止とする」というような運用には適応できなかった。このため、所望の運用ができない場合や、設定漏れやミスなどが発生する可能性が高く、結果として不必要な利用を防止できないというセキュリティ上の問題が生じた。
本発明はこのような点に鑑みてなされたものであり、コンピュータに接続して利用可能な接続デバイスを、デバイス種類や個体指定、ユーザ指定など任意の設定条件で制限することにより、不必要な接続デバイスの利用を防止し、セキュリティを高めることが可能な接続デバイス制限プログラム及び接続デバイス制限装置を提供することを目的とする。
本発明では上記課題を解決するために、図1に示すような処理をコンピュータに実行させるための接続デバイス制限プログラムが提供される。本発明に係る接続デバイス制限プログラムは、接続デバイス制限装置1に適用されてコンピュータを許可リスト設定手段1c及び接続制限手段1dとして機能させ、以下の処理を実行させることができる。
許可リスト設定手段1cは、接続を許可する接続許可デバイスを規定する接続許可リスト1aを設定し、リスト記憶手段1bに保存する。接続制限手段1dは、接続デバイスが接続されると、接続デバイスから接続デバイスに関するデバイス情報を取り出し(ステップS1)、取得したデバイス情報を用いて接続デバイスが接続許可リスト1aに登録された接続許可デバイスに相当するかどうかを照合し(ステップS2)、接続デバイスが接続許可デバイスに相当する場合は接続を許可し、それ以外の場合は接続を禁止する(ステップS3)。
このような接続デバイス制限装置1によれば、許可リスト設定手段1cにより、接続を許可する接続デバイスを規定する接続許可リスト1aが設定され、リスト記憶手段1bに格納される。接続許可リスト1aには、接続デバイスを規定する、たとえば、デバイス種別などの情報が必要に応じて設定される。接続制限手段1dでは、接続ポート2a、2b、2cを介して接続デバイスが接続されると、その接続デバイスからデバイス情報を取り出し、デバイス情報と接続許可リスト1aとを照合し、この接続デバイスが接続許可デバイスに相当するがどうかを判定する。そして、接続デバイスが接続許可デバイスに相当する場合は接続を許可し、相当しない場合は接続を禁止する。
また、上記課題を解決するために、コンピュータに接続して利用される接続デバイスの利用制限を行う接続デバイス制限装置において、接続を許可する接続許可デバイスを規定する情報に基づいて接続許可リストを設定する許可リスト設定手段と、前記接続許可リストを保存するリスト記憶手段と、接続デバイスが接続されると、前記接続デバイスから前記接続デバイスに関するデバイス情報を取得し、前記デバイス情報を用いて前記接続デバイスが前記接続許可リストに登録された前記接続許可デバイスに相当するかどうかを照合し、相当する場合には前記接続デバイスの接続を許可し、それ以外の場合は接続を禁止する接続制限手段と、を有することを特徴とする接続デバイス制限装置、が提供される。
このような接続デバイス制限装置によれば、許可リスト設定手段は、接続を許可する接続許可デバイスを規定する情報に基づいて接続許可リストを設定し、それをリスト記憶手段に格納する。接続制限手段は、接続デバイスが接続されると、接続デバイスから接続デバイスに関するデバイス情報を取り出す。そして、取り出したデバイス情報と接続許可リストを照合し、この接続デバイスが接続許可デバイスに相当するかどうかを判定する。相当すると判定された場合は接続デバイスの接続を許可し、相当しないと判定された場合は接続を禁止する。
本発明では、接続デバイスが接続ポートに接続されると、接続デバイスからデバイス情報を取り出し、この接続デバイスが接続許可リストに規定される接続許可デバイスに相当するかどうかを照合し、接続許可デバイスに相当する場合のみ接続が許可される。接続許可リストには、たとえば、デバイス種類や個体指定、ユーザ指定など接続許可デバイスを特定するための特定事項を必要に応じて任意に設定することができる。このため、管理者は利用者が利用できる接続デバイスを運用状況に合わせて所望の条件で制限することが可能となる。また、接続許可リストに接続を許可するデバイスを規定するために必要な特定事項を設定しておけば、不必要な接続デバイスの利用を防止し、セキュリティを高めることが可能となる。
以下、本発明の実施の形態を図面を参照して説明する。まず、実施の形態に適用される発明の概念について説明し、その後、実施の形態の具体的な内容を説明する。
図1は、実施の形態に適用される発明の概念図である。
本発明に係る接続デバイス制限装置1は、コンピュータ内部のOS/ドライバ3などのソフトウェア群と、周辺機器である接続デバイス(以下、デバイスとする)を接続するための接続ポート2a、2b、2cとの間の情報が流れるルート上に位置し、接続ポート2a、2b、2cを介して接続されるデバイスとOS/ドライバ3との間のデータ交換を制御する。接続デバイス制限装置1は、接続許可デバイス(以下、許可デバイスとする)を規定する接続許可リスト1aを格納するリスト記憶手段1b、接続許可リスト1aを設定する許可リスト設定手段1c、接続制限を行う接続制限手段1d及び接続ポート2a、2b、2cを介したデータ転送を制御するインタフェース1eを有する。
リスト記憶手段1bは、接続許可リスト1aを記憶する記憶手段で、許可リスト設定手段1c及び接続制限手段1dからアクセス可能である。接続許可リスト1aには、接続を許可する許可デバイスを規定する情報、すなわち、許可デバイスを特定するための情報が含まれている。詳細は後述するが、この特定するための情報の情報量は、利用制限の運用に応じて可変とし、許可デバイスを特定するための項目(以下、特定事項とする)の項目数は接続許可対象に応じて決まる。たとえば、特定項目として、ベンダー名、プロダクト名がある場合、特定事項がベンダー名であれば、該当するベンダー名のデバイスの接続が許可され、特定事項がベンダー名とプロダクト名であれば、さらにプロダクト名が一致したものが接続許可される。また、HID(Human Input Device)というようなデバイス種別ごとに接続を許可するような設定も可能とする。
許可リスト設定手段1cは、接続許可リスト1aに登録される情報を取得し、接続許可リスト1aを設定してリスト記憶手段1bに格納する。なお、接続許可リスト1aを作成するため利用者に登録を促す設定アプリケーションは、許可リスト設定手段1c外部に格納しておき、許可リスト設定手段1cでは作成された接続許可リスト1aを入力してリスト記憶手段1bに格納する処理を行うとする構成をとることもできる。
接続制限手段1dは、接続ポート2a、2b、2cにデバイスが接続されたことをインタフェース1eより取得すると、そのデバイスを特定するためのデバイス情報をインタフェース1e経由で取り出す(ステップS1)。そして、取り出したデバイス情報を用いて、接続されたデバイスと接続許可リスト1aの許可デバイスとを照合する(ステップS2)。デバイスが接続許可リスト1aの許可デバイスに相当する場合、このデバイスの接続を許可し、相当しない場合には接続を禁止する(ステップS3)。
インタフェース1eは、接続制限手段1dと接続ポート2a、2b、2cに接続するデバイスとの間のデータ交換を制御する。すなわち、デバイスから取得した情報は接続制限手段1dへ伝え、接続制限手段1dから取得した情報はデバイスに伝達する。
なお、上記の説明の接続デバイス制限装置1の各処理手段は、コンピュータが接続デバイス制限プログラムを実行することにより実現することができる。また、ハードウェアで実現することも、双方を組み合わせて実現することもできる。
以上の構成の接続デバイス制限装置1の動作について説明する。
管理者もしくは利用者は、予め、接続を許可するデバイスを規定する情報を登録しておく。許可リスト設定手段1cは、登録情報に基づき接続許可リスト1aを設定し、リスト記憶手段1bに格納する。接続許可リスト1aには、接続を許可するデバイスを特定する情報、たとえば、メーカー名、プロダクト名、個別のシリアル番号などの他、デバイス種別全体を一括して任意に登録できる。たとえば、「メーカーXの全製品を許可する。」、「メーカーXのうち製品Yを許可する。」、「メーカーXの製品Yのうちシリアル番号Zを許可する。」という指定ができるとする。これにより、特定個体のみを限定して利用を許可することや、個体までは限定しないで利用許可にすることが任意にできる。また、個々のデバイスを指定するのではなく、その種類全体、たとえば、「HIDデバイスは、どのメーカーのものでも許可する。」という指定が可能になる。これにより、個々のHIDデバイスの許可設定を行うことなく、HIDデバイスを一括して利用可能とすることができる。
このように接続許可リスト1aが登録され、リスト記憶手段1bに格納された後、接続ポート2a、2b、2cにデバイスが接続されたことをインタフェース1eが検出し、接続制限手段1dに通知する。接続制限手段1dは、接続されたデバイスのデバイス情報をインタフェース1e経由で取り出し、そのデバイス情報と接続許可リスト1aを照合して、このデバイスの接続を許可できるかどうかを判断する。このデバイスが許可デバイスに相当する場合には接続は許可し、相当しない場合には接続を禁止する。たとえば、接続許可リスト1aに、「メーカーXの全製品を許可する。」という登録があり、接続するデバイスのメーカーがXであった場合、接続を許可する。そして、デバイスが接続されたことをOS/ドライバ3に通知し、以降の利用を可能とする。一方、接続するデバイスのメーカーがX以外であった場合、接続を禁止する。そして、デバイスが接続されたことをOS/ドライバ3に通知しないなどにより、このデバイスが利用できないようにする。
ここで、接続許可リストについて説明する。図2は、接続許可リストの一例を示す構成図である。
図の例の接続許可リストは、接続許可リストに設定されるデバイス数を格納するデバイス数101、各許可デバイスを規定する許可デバイス1(102)から許可デバイスn(103)及び例外を規定する例外情報104の各領域を有する。
デバイス数101には、接続許可リストに登録される許可デバイスの総数が格納される。登録総数がわかることにより、不必要な領域との照合を省くことができ、照合処理が速くなる。
許可デバイス1(102)から許可デバイスn(103)には、許可デバイスを規定する情報がデバイスごとに登録されている。各デバイスに登録される項目には、許可レベルに応じた強度が決められている。強度とは、どの程度、許可デバイスを特定するかを表し、強度が増すほど特定事項の項目数が増え、許可デバイスがより詳細に特定される。また、特定事項には、ベンダーID、プロダクトID、シリアル番号がある。ベンダーIDは、メーカーを識別するため、メーカー固有に割り当てられた番号である。プロダクトIDは、製品を識別するため、製品ごとに割り当てられた番号である。そして、シリアル番号は、個々の製品を特定するため、製品ごとに付与される通し番号である。図の例では、強度が低(=1)の場合、特定事項数が少なく、ベンダーIDのみが指定される。すなわち、「メーカーXの全製品を許可する。」という登録ができる。強度が中(=2)の場合、特定事項数が増え、ベンダーIDとプロダクトIDが指定される。すなわち、「メーカーXのうち製品Yを許可する。」という登録ができる。強度が高(=3)の場合、個々のデバイスを特定し、特定事項としてベンダーIDとプロダクトID及びシリアル番号が指定される。すなわち、「メーカーXの製品Yのうちシリアル番号Zを許可する。」という登録ができる。
例外情報104は、許可デバイスとして個々のデバイスを指定するのではなく、デバイスの種別など、全体の許可もしくは禁止の指示が登録される。図の例では、例外情報として、USBハブデバイスの許可という項目と、HIDデバイスの許可という項目がある。USBハブデバイスの許可という項目では、常に許可が設定される。これは、USBハブにつながるデバイスを制御するために、USBハブは常に許可する必要があることによる。また、HIDデバイスの許可という項目では、すべてのHIDデバイスを許可しない(=0)、もしくは、すべてのHIDデバイスを許可する(=1)のいずれかが選択され、設定される。このように、種別で許可設定を行うことにより、個々の許可デバイスを登録する手間を省くことができる。たとえば、図の例で、利用されるHIDデバイスのメーカーを特定できないが、HIDデバイスなら接続しても支障がないような構成の場合、例外情報104に設定することにより、簡単にすべてのHIDデバイスを利用可能とすることができる。一方、外部に情報を流出したくないような場合、例外情報104において記憶デバイスの接続を禁止しておけば、すべての記憶デバイスの利用が不可能となる。
以上のように、接続許可リストには、個々のデバイスの許可設定も可能であるし、種別全体を一括して許可設定もしくは禁止設定することができる。このように、接続を許可するデバイスを任意のレベルで設定することができるため、利用者もしくは管理者は、コンピュータの用途やシステム構成などに応じて、所望の許可リストを容易に作成することができる。また、接続デバイス制限装置側は、どのような強度レベルであっても同様に処理(登録された許可デバイスの特定事項とデバイスのデバイス情報との照合処理)を行うことが可能である。さらに、デバイスから取り出し可能な情報に基づいて接続許可リストの特定事項を設定すればよいので、従来のデバイスにも対応することができる。
以下、実施の形態を、PCに適用し、USBポートに接続される接続デバイスの接続制限を行う場合を例に図面を参照して詳細に説明する。
図3は、本実施の形態の接続デバイス制限装置が組み込まれるPCのハードウェア構成例を示すブロック図である。
PC10は、CPU(Central Processing Unit)11によって装置全体が制御されている。CPU11には、バス19を介してRAM(Random Access Memory)12、ハードディスクドライブ(HDD:Hard Disk Drive)13、グラフィック処理装置14、入力インタフェース15、通信インタフェース16、USBインタフェース17、IEEE1394インタフェース18が接続されている。
RAM12には、CPU11に実行させるOSのプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM12には、CPU11による処理に必要な各種データが格納される。HDD13には、OSやアプリケーションのプログラムが格納される。グラフィック処理装置14には、モニタ21が接続されており、CPU11からの命令に従って画像をモニタ21の画面に表示させる。入力インタフェース15には、キーボード22aやマウス22bが接続されており、キーボード22aやマウス22bから送られてくる信号を、バス19を介してCPU11に送信する。通信インタフェース16は、ネットワーク23に接続されており、ネットワーク23を介して他装置との間でデータの送受信を行う。USBインタフェース17には、USBポートを介してUSB機器24a、24bが接続されており、USB機器24a、24bから送られてくる信号を、バス19を介してCPU11に送るとともに、CPU11からの命令に従ってUSB機器24a、24bに信号を送信する。USB機器には、たとえば、スキャナなどの入力機器や、プリンタなどの出力機器、外部メモリなど、さまざまな種類がある。なお、キーボード22aやマウス22bもUSBインタフェース17を介して接続することもできる。IEEE1394インタフェース18には、IEEE1394対応機器が接続され、他のインタフェースと同様に、IEEE1394対応機器とCPU11との間のデータ交換を制御する。
このようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。
次に、USBインタフェースについて詳細に説明する。図4は、本実施の形態のUSBインタフェースの構成例を示すブロック図である。図4では、図3に示したPCの他の部分は省略している。
n台のUSBインタフェース17a、・・・、17bは、それぞれPCIバス17cを経由してPC本体に接続する。各USBインタフェース、たとえば、USBインタフェース1(17a)は、USBホストコントローラ1(171a)、ルートハブ172a、USBポート176a、176bを備えており、USBポート176a、176bに接続されたデバイスの情報がルートハブ172a、USBホストコントローラ1(171a)を通過する。さらに、PC本体に設けられたUSBポート176aからハブ177aを経由してUSBポート178a、178bが接続される場合もある。接続デバイス制限装置173aは、接続制限手段1731と接続許可リストを記憶するリスト記憶手段1732及び設定インタフェース1733を有し、このUSBホストコントローラ1(171a)またはルートハブ172a、もしくはその間に設置され、上記ルートを流れる情報を操作してデバイスの利用制限を行う。設定インタフェース1733は、PC内に用意された設定アプリケーションにより作成された接続許可リストを取得し、リスト記憶手段1732に格納する処理を行う。また、接続制限手段1731は、上記ルートを流れる情報を取り出し、リスト記憶手段1732に格納される接続許可リストに基づき、デバイスの接続が許可されれば情報がPCIバス17c経由でPC内部に伝達されるのを許可し、接続が許可されない場合は、情報がPC内部に伝達されるのを禁止する。詳細な処理手順は後述する。
USBインタフェースn(17b)も同様に、USBホストコントローラn(171b)、ルートハブ172b、USBポート176c、176dを備えており、USBホストコントローラn(171b)またはルートハブ172b、もしくはその間に接続デバイス制限装置173bが設けられる。
このように、接続デバイス制限装置をデバイスから情報が流れ込む接続ポートに近い地点に配置し、デバイスの利用制限を行う。
なお、接続デバイス制限装置を各USBポートに設けるとすることもできるが、図4から明らかなように、USBポート数のデバイス接続制限装置を設けるとするとコストが膨大となり、現実的でない。
ここで、USBポートに接続するUSBデバイスから得られる情報について説明する。USBのドライバインタフェースの仕様(OpenUSBDI;Open Universal Serial Bus Driver Interface)では、USBデバイスは、管理エージェントからのUSBデバイスのデバイス情報の要求に対し、デバイスに関する記述で構成されるUSB_DEVICE_DESCRIPTORを送る。
図5は、USB_DEVICE_DESCRIPTORの構成を示している。図は、本実施の形態に係る部分を抜き出して示している。
USB_DEVICE_DESCRIPTORには、ベンダーID201、プロダクトID202、デバイスクラス203、デバイスサブクラス204、シリアル番号インデックス205などのフィールドを有する。ベンダーIDフィールド201には、USBデバイスワーキンググループにより決められたベンダーのIDが設定される。プロダクトIDフィールド202には、同様に製品ごとに決められた製品のIDが設定される。デバイスクラスフィールド203には、同様にして決められたデバイスのクラスコードが設定され、デバイスサブクラスフィールド204には、サブクラスコードが設定される。たとえば、デバイスクラスフィールドの値が9であれば、デバイスはUSBハブである。また、シリアル番号インデックスフィールド205には、ASCIIコードで記述されたシリアル番号の場所を示す情報が設定される。
このように、USBデバイスから得られるデバイスの記述情報(USB_DEVICE_DESCRIPTOR)を用いてUSBデバイスの接続許可リストを設定し、USBデバイスの利用制限を行う。
次に、USBデバイスの利用制限処理について説明する。なお、従来では、USBデバイスが接続ポートに接続されたことがOSに通知されると、OSは、接続されたUSBデバイスの記述情報(USB_DEVICE_DESCRIPTOR)を要求していた。上記の説明では、USBデバイスが接続ポートに接続されると、接続デバイス制限装置に通知され、接続デバイス制限装置が接続許可と判定した場合にOSにデバイスの接続が通知されるとしたが、一旦、OSに対しUSBデバイスの接続を通知し、OSから発行されるUSB_DEVICE_DESCRIPTORの応答を制御することによっても同等の機能が実現する。
以下、OSが発行したUSB_DEVICE_DESCRIPTORの応答を制御して利用制限を行う場合について説明する。なお、接続許可リストは、図2に示した構成とし、強度が増すごとにベンダーID、プロダクトID、シリアル番号と特定事項が増え、例外情報として、USBハブデバイスを常に許可するという設定とすべてのHIDデバイスに対して許可または禁止の設定がされているとする。
図6は、本実施の形態のUSBデバイスの接続制限処理手順を示したフローチャートである。
OSからターゲットのUSB_DEVICE_DESCRIPTORの取り出し要求を受け、処理が開始される。
[ステップS11] 接続ポートに接続されたターゲットのUSBデバイスからUSB_DEVICE_DESCRIPTORを取り出す。USB_DEVICE_DESCRIPTORには、図5に示したような、ターゲットのデバイスのベンダーID、プロダクトID、デバイスクラス、シリアル番号インデックス、他の情報を取り出すポインタ情報などが含まれている。
[ステップS12] まず、例外情報を処理する。ターゲットデバイスがUSBハブであるかどうかを判定する。デバイスクラスフィールドの値が9であれば、デバイスはUSBハブである。図2からUSBハブの場合は、常に許可であるので、処理をステップS18へ進める。
[ステップS13] ターゲットデバイスがUSBハブでない場合、ターゲットデバイスからさらにUSB_CONFIGURATION_DESCRIPTORを取り出す。
[ステップS14] 例外情報としてHIDデバイスを常に有効とする設定で、かつ、ターゲットデバイスはHIDデバイスかどうかを判定する。例外情報が、HIDデバイスを常に許可するという設定であった場合、ターゲットがHIDデバイスであるかどうかを確認する。USB_CONFIGURATION_DESCRIPTOR内のUSB_INTERFACE_DESCRIPTOR内のインタフェースクラスフィールドの値が3であれば、HIDデバイスである。ターゲットがHIDデバイスで、かつ例外情報にHIDデバイスを許可する設定がされていた場合、処理をステップS18へ進める。
[ステップS15] ステップS12からステップS14の例外情報チェックで接続許可とならなかった場合、ターゲットが接続許可リストの許可デバイスと一致するかどうかを照合する。USB_DEVICE_DESCRIPTORのシリアル番号インデックスに基づき、ターゲットのUSB_STRING_DESCRIPTORからシリアル番号を取り出す。ベンダーIDとプロダクトIDは、USB_DEVICE_DESCRIPTORよりすでに得られている。
[ステップS16] ターゲットのベンダーID、プロダクトID及びシリアル番号を接続許可リストに登録された1からnまでの許可デバイスのベンダーID、プロダクトID、シリアル番号と照合する。このとき、登録された強度が1であればベンダーID、2であればベンダーIDとプロダクトID、3であればベンダーID、プロダクトID及びシリアル番号のすべてと照合する。ターゲットが許可デバイスに相当する場合、処理をステップS18へ進める。
[ステップS17] ターゲットは許可デバイスに相当しない場合、OSに対しエラーを返し処理を終了する。これにより、OSはターゲットが正常動作していないとみなし、接続を行わない。すなわち、ターゲットの利用ができない。また、必要に応じて、利用制限がかかっていることをモニタなどに表示するようにしてもよい。
[ステップS18] ターゲットは許可デバイスに相当するので、取り出したUSB_DEVICE_DESCRIPTORをOSに返し処理を終了する。OSは、ターゲット正常とみなし、ターゲットの利用を可能にする。
以上の処理手順が実行されることにより、接続許可リストに基づき、不必要なデバイスの利用が制限される。接続デバイス制限装置は、OSのUSB_DEVICE_DESCRIPTOR要求を監視し、検出したときには、上記手順を実行する。接続時にエラーが検出されると、OSはターゲットの接続を行わないので、以降、ターゲットは利用できなくなる。
このような接続デバイス制限処理によれば、デバイスの利用制限を運用に合わせて任意に設定できるとともに、OS及びターゲットのUSBデバイスの双方の処理を変更する必要がないため、現システムに容易に適用できるという利点がある。
以上、USBポートを介して接続する接続デバイスの接続制限の場合について説明したが、本発明は、IEEE1394ポートなど、その他の接続ポートに接続する接続デバイスの接続制限にも適用することができる。
また、上記の説明では、接続許可リストをPCで共通としたが、PCは利用者ごとにユーザアカウントを設定し、それぞれに利用することができる。そこで、接続許可リストをユーザアカウントごとに設け、デバイスの利用制限を利用者ごとに設定する。
図7は、本実施の形態のユーザアカウントごとに接続許可リストを有する接続デバイス制限装置の構成図である。
接続デバイス制限装置310は、すべての利用者で共通の接続許可リスト311、ユーザごとの接続許可リスト(ユーザ1用)312、接続許可リスト(ユーザ2用)313及び接続制限手段314を有する。図の例では、接続許可リストを設定する許可リスト設定手段350は、接続デバイス制限装置310外に設けられている。さらに、設定ファイル更新判定手段340と、接続許可リスト選択手段320が設けられる。なお、接続許可リスト選択手段320、設定ファイル更新判定手段340及び許可リスト設定手段350は、接続デバイス制限装置310が搭載されるコンピュータが、接続デバイス制限プログラムもしくは関連するインタフェース処理プログラムを実行することにより、その処理機能を実現する。
接続デバイス制限装置310の接続許可リスト311は、全利用者に共通で、ユーザアカウントに関わらず接続制限手段314によって参照される。接続許可リスト(ユーザ1用)312及び接続許可リスト(ユーザ2用)313は、ユーザアカウントごとに選択されて接続制限手段314に参照される。
接続許可リスト選択手段320は、OSのログオン処理330によりログオンされたユーザアカウントを検出し、該当する接続許可リストを選択し、接続制限手段314に通知する。また、OSのログオフでは、選択している接続許可リストを非選択とするように接続制限手段314に指示する。
設定ファイル更新判定手段340は、後述する設定ツールによって接続許可リストが更新されたことを検出すると、これを許可リスト設定手段350に通知する。また、更新の指示は、接続許可リストを更新した管理者からの通知で行うこともできる。
許可リスト設定手段350は、設定ファイルが更新されたことを検出すると、該当する接続許可リストを更新する。
このような接続デバイス制限装置310の動作について説明する。
PC起動時のデフォルトの状態では、接続許可リスト選択手段320は、いずれのユーザ用の接続許可リストも選択しておらず、接続制限手段314は、接続許可リスト(共通用)311を用いてデバイスの接続制限処理を行う。
OSのログオン処理330により、ユーザアカウントが設定されると、接続許可リスト選択手段320を通じて、ログオンされたユーザアカウントに応じてユーザn用の接続許可リスト(ユーザ1用312もしくはユーザ2用313)が選択される。接続制限手段314は、選択された接続許可リスト(ユーザ1用312もしくはユーザ2用313)及び接続許可リスト(共通用)311を用いてデバイスの接続制限処理を行う。
そして、OSのログオフ処理が行われると、接続許可リスト選択手段320を通じて、ログオフされたユーザアカウントに応じてユーザn用の接続許可リスト(ユーザ1用312もしくはユーザ2用313)を非選択にする。接続制限手段314は、接続許可リスト(共通用)311のみを用いてデバイスの接続制限処理を行う。
このように、ログオン及びログオフに応じて、選択する接続許可リストを可変にすることにより、利用者に応じてデバイスの利用制限を行うことが可能となる。
次に、接続許可リストの更新について説明する。
管理者が設定ツールを用いて接続許可リストを設定すると、設定ファイル更新判定手段340は、これを自動検出または管理者側の通知により検出し、許可リストの更新指示を許可リスト設定手段350へ出力する。許可リスト設定手段350は、更新された許可リストを接続デバイス制限装置310の該当するリスト記憶手段に格納する。接続制限手段314は、更新された接続許可リストに従って、デバイスの接続制限処理を行う。
なお、更新された許可リストにおいて、すでに接続が許可されているデバイスについて接続許可が取り消されている場合には、OSを再起動することにより、そのデバイスの接続を禁止する。OSの再起動は、たとえば、許可リスト設定手段350が、OSの再起動が必要であることを検出し、その通知をモニタなどに表示することによって、利用者にOSの再起動を促すことによって行う。
ここで、設定ツールについて、設定ツール画面の一例を用いて説明する。図8は、本実施の形態の設定ツール画面の一例を示した図である。
設定ツール画面401は、更新の対象とする設定ファイル(接続許可リスト)を選択するフィールド402と、対象ユーザを共通とするか特定ユーザとするかを選択するユーザ選択フィールド403を有している。変更を行う管理者は、対象の設定ファイルをと対象ユーザを設定し、設定処理を次へ進める「接続を許可するデバイスの登録」ボタン404を操作する。
対象の設定ファイルと対象ユーザが設定され、「接続を許可するデバイスの登録」ボタン404が操作されると、表示は、接続を許可するデバイスの登録画面に遷移する。
図9は、本実施の形態の接続を許可するデバイスの登録画面の一例を示した図である。
接続を許可するデバイスの登録画面405では、まず、対象のデバイスが属する種別(図の例では、USB、FDD(Floppy(登録商標) Disk Drive)、IEEE1394、シリアル/パラレル)を選択する。以下、USB406を選択した場合で説明する。
USB406を選択すると、例外情報の項目として、「すべて許可する」407と「すべて許可しない」408と、許可デバイスを設定する項目として「指定したデバイスを許可する」409の選択が表示される。「すべて許可する」407が選択されると、すべてのUSBデバイスの接続を許可するように例外情報が設定される。一方、「すべて許可しない」408が選択されると、すべてのUSBデバイスの接続を禁止するように例外情報が設定される。また、「指定したデバイスを許可する」409が選択されると、さらに、指定されているデバイスフィールド410が表示され、選択された設定ファイルに現在設定されているデバイスの一覧が表示される。指定されているデバイスフィールド410を書き換えることによって、許可デバイスの設定が変更される。なお、図の例の「HIDデバイスすべて」という設定がされた場合は、例外情報の設定が行われる。
さらに、USBデバイスを接続許可リストに追加する場合、指定を容易にするため、たとえば、追加USB画面を表示する。図10は、本実施の形態の追加USB画面の一例を示した図である。
追加USB画面411では、デバイスの固有IDを入力して許可デバイスを設定する固有ID設定画面フィールド412の他、種類を指定する種類指定フィールド413、接続中のデバイスから指定する接続中デバイス指定フィールド414を有する。管理者は、最も使いやすいフィールドを用いてデバイスの指定を行う。
以上のように、各デバイスの設定画面では、どの装置を接続許可するかを指定する画面を持つ。指定画面では、デバイスの能力に応じて、最も一意性を確認できる方法を用意する。たとえば、USBの場合には、ベンダーID/プロダクトID/シリアル番号で特定する。また、設定を容易にするため、種類を指定する方法も持つ。たとえば、セキュリティ上心配が低いHIDデバイスなどについては、そのデバイスのカテゴリであればどのようなデバイスであっても接続を許可するような指定を可能とする。加えて、現在接続中のデバイスから指定する方法も持つ。
以上、実施の形態をUSBに適用した場合で説明したが、たとえば、OSにプラグアンドプレイ(以下、PnPとする)の機構が備わっている場合には、コンピュータ起動時及びデバイス装着時のメッセージに介入することでデバイスの利用制限を行うことができる。
以下、Windows2000/XP(登録商標)の場合で説明する。
スタート時もしくはデバイス装着時には、OSのPnPマネージャーによりIRP_MJPNP/IRP_MN_START_DEVICEのリクエストが発行される。各デバイスドライバは、そのリクエストをもとにデバイスの使用を開始させる。そこで、すべてのIRP_MJPNP/IRP_MN_START_DEVICEを受け取れるルート上に接続デバイス制限装置を設ける。
接続デバイス制限装置では、IRP_MJPNP/IRP_MN_START_DEVICEを受け取り、そのデバイスに対してデバイスの一意性を調べることが可能な情報を得る。たとえば、USBの場合には、USB_DEVICE_DESCRIPTORやUSB_CONFIGURATION_DESCRIPTOR、シリアル番号のためのUSB_STRING_DESCRIPTORがこれに相当する。
そして、ターゲットのデバイスから取り出した情報が接続許可リストに含まれているかどうかを照合し、含まれている場合には、これまで通りの処理を行う。すなわち、IRP_MJPNP/IRP_MN_START_DEVICEをそのままOSに返し、介入はしなかったように振舞うことで、そのデバイスの使用を開始する。一方、ターゲットから取り出した情報が接続許可リストに含まれていない場合は、IRP_MJPNP/IRP_MN_START_DEVICEのリクエストを失敗させるように、そのリクエストの戻り値を失敗に設定する。これにより、そのデバイスの使用を開始できず、そのデバイスは利用不可能となる。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、接続デバイス制限装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。
プログラムを流通させる場合には、たとえば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、たとえば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
(付記1) コンピュータに接続して利用される接続デバイスの利用制限を行う接続デバイス制限プログラムにおいて、
コンピュータに、
接続を許可する接続許可デバイスを規定する接続許可リストを設定し、リスト記憶手段に保存するステップと、
前記接続デバイスが接続されると、前記接続デバイスから前記接続デバイスに関するデバイス情報を取得するステップと、
取得した前記デバイス情報を用いて前記接続デバイスが前記接続許可リストに登録された前記接続許可デバイスに相当するかどうかを照合するステップと、
前記接続デバイスが前記接続許可デバイスに相当する場合は接続を許可し、それ以外の場合は接続を禁止するステップと、
を実行させることを特徴とする接続デバイス制限プログラム。
(付記2) コンピュータに、
前記接続許可リストを設定するステップでは、前記接続許可デバイスを特定するための情報量を必要に応じて可変とし、利用者もしくは管理者が所望する接続許可対象に応じて前記接続許可デバイスを特定するための特定事項を任意の項目数設定する、
手順を実行させることを特徴とする付記1記載の接続デバイス制限プログラム。
(付記3) コンピュータに、
前記接続デバイスが前記接続許可デバイスに相当するかどうかを照合するステップでは、前記接続許可デバイスに設定された項目数すべての前記特定事項に前記接続デバイスが一致するかどうかを照合する、
手順を実行させることを特徴とする付記2記載の接続デバイス制御プログラム。
(付記4) コンピュータに、
前記接続デバイスの接続を許可もしくは禁止するステップでは、前記接続デバイスに関する処理を実行する処理部に対し、接続が許可された場合には、前記接続デバイスが接続されたことを通知し、接続が禁止された場合には前記接続デバイスが接続されたことを通知しない、
手順を実行させることを特徴とする付記1記載の接続デバイス制御プログラム。
(付記5) コンピュータに、
前記接続許可リストを設定するステップでは、前記接続許可デバイスを特定するための特定事項として、前記接続許可デバイスの種別を設定し、
前記接続デバイスが前記接続許可デバイスに相当するかどうかを照合するステップでは、前記接続デバイスが前記接続許可リストに設定された前記接続許可デバイスの種別と一致するかどうかを照合する、
手順を実行させることを特徴とする付記1記載の接続デバイス制御プログラム。
(付記6) コンピュータに、
前記接続許可リストを設定するステップでは、さらに、必要に応じて、前記接続許可デバイスの種別に相当する前記接続デバイスの接続をすべて禁止する設定を行い、
前記接続デバイスが前記接続許可デバイスに相当するかどうかを照合するステップでは、前記接続デバイスが前記接続許可リストに設定された前記接続許可デバイスの種別と一致し、接続禁止が設定されていた場合には、該当する前記接続デバイスの接続を禁止する、
手順を実行させることを特徴とする付記5記載の接続デバイス制御プログラム。
(付記7) コンピュータに、
前記接続許可リストを設定するステップでは、前記接続許可デバイスとして設定されるデバイス数を前記接続許可リストに設定し、
前記接続デバイスが前記接続許可デバイスに相当するかどうかを照合するステップでは、前記接続デバイスが前記接続許可デバイスに相当するかどうかを前記接続許可デバイスとして設定されたデバイス数分照合する、
手順を実行させることを特徴とする付記1記載の接続デバイス制御プログラム。
(付記8) コンピュータに、
前記接続許可リストを設定するステップでは、前記接続許可リストを利用者共通もしくは利用者ごとに設定し、
前記接続デバイスが前記接続許可デバイスに相当するかどうかを照合するステップでは、前記利用者に応じて選択される前記接続許可リストを照合に使用する、
手順を実行させることを特徴とする付記1記載の接続デバイス制限プログラム。
(付記9) コンピュータに、
前記接続許可リストを設定するステップでは、前記利用者ごとの前記接続許可リストを前記利用者のユーザアカウントに関連付けて記憶しておき、ログオン時に選択された前記ユーザアカウントに対応する前記接続許可リストを選択し、ログオフ時に選択されていた前記ユーザアカウントに対応する前記接続許可リストを非選択とする、
手順を実行させることを特徴とする付記8記載の接続デバイス制限プログラム。
(付記10) コンピュータに接続して利用される接続デバイスの利用制限を行う接続デバイス制限装置において、
接続を許可する接続許可デバイスを規定する情報に基づいて接続許可リストを設定する許可リスト設定手段と、
前記接続許可リストを保存するリスト記憶手段と、
前記接続デバイスが接続されると、前記接続デバイスから前記接続デバイスに関するデバイス情報を取得し、前記デバイス情報を用いて前記接続デバイスが前記接続許可リストに登録された前記接続許可デバイスに相当するかどうかを照合し、相当する場合には前記接続デバイスの接続を許可し、それ以外の場合は接続を禁止する接続制限手段と、
を有することを特徴とする接続デバイス制限装置。
実施の形態に適用される発明の概念図である。 接続許可リストの一例を示す構成図である。 本実施の形態の接続デバイス制限装置が組み込まれるPCのハードウェア構成例を示すブロック図である。 本実施の形態のUSBインタフェースの構成例を示すブロック図である。 USB_DEVICE_DESCRIPTORの構成を示している。 本実施の形態のUSBデバイスの接続制限処理手順を示したフローチャートである。 本実施の形態のユーザアカウントごとに接続許可リストを有する接続デバイス制限装置の構成図である。 本実施の形態の設定ツール画面の一例を示した図である。 本実施の形態の接続を許可するデバイスの登録画面の一例を示した図である。 本実施の形態の追加USB画面の一例を示した図である。 従来のUSBデバイスのデバイス情報読み出し手順を示したフローチャートである。
符号の説明
1 接続デバイス制限装置
1a 接続許可リスト
1b リスト記憶手段
1c 許可リスト設定手段
1d 接続制限手段
1e インタフェース
2a、2b、2c 接続ポート
3 OS/ドライバ

Claims (5)

  1. コンピュータに接続して利用される接続デバイスの利用制限を行う接続デバイス制限プログラムにおいて、
    コンピュータに、
    接続を許可する接続許可デバイスを規定する接続許可リストを設定し、リスト記憶手段に保存するステップと、
    前記接続デバイスが接続されると、前記接続デバイスから前記接続デバイスに関するデバイス情報を取得するステップと、
    取得した前記デバイス情報を用いて前記接続デバイスが前記接続許可リストに登録された前記接続許可デバイスに相当するかどうかを照合するステップと、
    前記接続デバイスが前記接続許可デバイスに相当する場合は接続を許可し、それ以外の場合は接続を禁止するステップと、
    を実行させることを特徴とする接続デバイス制限プログラム。
  2. コンピュータに、
    前記接続許可リストを設定するステップでは、前記接続許可デバイスを特定するための情報量を必要に応じて可変とし、利用者もしくは管理者が所望する接続許可対象に応じて前記接続許可デバイスを特定するための特定事項を任意の項目数設定する、
    手順を実行させることを特徴とする請求項1記載の接続デバイス制限プログラム。
  3. コンピュータに、
    前記接続許可リストを設定するステップでは、前記接続許可デバイスを特定するための特定事項として、前記接続許可デバイスの種別を設定し、
    前記接続デバイスが前記接続許可デバイスに相当するかどうかを照合するステップでは、前記接続デバイスが前記接続許可リストに設定された前記接続許可デバイスの種別と一致するかどうかを照合する、
    手順を実行させることを特徴とする請求項1記載の接続デバイス制御プログラム。
  4. コンピュータに、
    前記接続許可リストを設定するステップでは、前記接続許可リストを利用者共通もしくは利用者ごとに設定し、
    前記接続デバイスが前記接続許可デバイスに相当するかどうかを照合するステップでは、前記利用者に応じて選択される前記接続許可リストを照合に使用する、
    手順を実行させることを特徴とする請求項1記載の接続デバイス制限プログラム。
  5. コンピュータに接続して利用される接続デバイスの利用制限を行う接続デバイス制限装置において、
    接続を許可する接続許可デバイスを規定する情報に基づいて接続許可リストを設定する許可リスト設定手段と、
    前記接続許可リストを保存するリスト記憶手段と、
    前記接続デバイスが接続されると、前記接続デバイスから前記接続デバイスに関するデバイス情報を取得し、前記デバイス情報を用いて前記接続デバイスが前記接続許可リストに登録された前記接続許可デバイスに相当するかどうかを照合し、相当する場合には前記接続デバイスの接続を許可し、それ以外の場合は接続を禁止する接続制限手段と、
    を有することを特徴とする接続デバイス制限装置。

JP2004378611A 2004-12-28 2004-12-28 プログラム、制限方法及びコンピュータ Expired - Fee Related JP4896397B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004378611A JP4896397B2 (ja) 2004-12-28 2004-12-28 プログラム、制限方法及びコンピュータ
US11/088,435 US7788425B2 (en) 2004-12-28 2005-03-24 Connection device restriction program and device
US12/845,372 US8069281B2 (en) 2004-12-28 2010-07-28 Connection device restriction program and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004378611A JP4896397B2 (ja) 2004-12-28 2004-12-28 プログラム、制限方法及びコンピュータ

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010101526A Division JP5035385B2 (ja) 2010-04-26 2010-04-26 プログラム、制限方法及びコンピュータ

Publications (2)

Publication Number Publication Date
JP2006185218A true JP2006185218A (ja) 2006-07-13
JP4896397B2 JP4896397B2 (ja) 2012-03-14

Family

ID=36613353

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004378611A Expired - Fee Related JP4896397B2 (ja) 2004-12-28 2004-12-28 プログラム、制限方法及びコンピュータ

Country Status (2)

Country Link
US (2) US7788425B2 (ja)
JP (1) JP4896397B2 (ja)

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008176707A (ja) * 2007-01-22 2008-07-31 Tsutomu Matsuda コンピュータの画面監視用usbメモリ
JP2008186392A (ja) * 2007-01-31 2008-08-14 Mitsubishi Electric Corp ソフトウェア自動更新装置及びその装置によって自動更新される端末
JP2009075793A (ja) * 2007-09-20 2009-04-09 Konica Minolta Business Technologies Inc 情報処理装置、認証情報生成装置、記憶媒体、およびプログラム
JP2009175860A (ja) * 2008-01-22 2009-08-06 Canon Inc 画像形成装置及びその制御方法、並びにプログラム及び記憶媒体
JP2009187203A (ja) * 2008-02-05 2009-08-20 I-O Data Device Inc ユーザ認証方法、プログラム、可搬型記憶装置、ユーザ認証装置およびユーザ端末
JP2010067207A (ja) * 2008-09-12 2010-03-25 Seiko Epson Corp データ処理装置
JP2010117940A (ja) * 2008-11-13 2010-05-27 Ricoh Co Ltd 電子計算機、電子計算機の外部ストレージデバイスの認識情報のネットワーク情報共有処理方法、及びコンピュータプログラム
JP2010191717A (ja) * 2009-02-18 2010-09-02 Canon Inc 情報処理装置及び制御方法及びプログラム
JP2010271851A (ja) * 2009-05-20 2010-12-02 Canon Imaging Systems Inc デバイス共有装置、デバイス共有方法およびデバイス共有システム
JP2011008530A (ja) * 2009-06-25 2011-01-13 Fuji Xerox Co Ltd プログラム及び情報処理装置
JP2011183761A (ja) * 2010-03-11 2011-09-22 Seiko Epson Corp 印刷装置、印刷装置の制御方法、印刷装置の制御プログラムおよび制御装置
JP2013242632A (ja) * 2012-05-18 2013-12-05 Ricoh Co Ltd 情報処理装置、情報処理システム、およびプログラム
JP2014509421A (ja) * 2011-02-01 2014-04-17 エムシーシーアイ コーポレイション Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段
JP2014115992A (ja) * 2013-11-21 2014-06-26 Canon Inc 画像形成装置、その制御方法、及びプログラム
JP2014153888A (ja) * 2013-02-07 2014-08-25 Canon Electronics Inc 情報処理装置、外部記憶媒体への書き込みを制限する方法、プログラム及びシステム
JP2015221579A (ja) * 2015-08-24 2015-12-10 シャープ株式会社 画像形成装置
JP2016173857A (ja) * 2016-06-22 2016-09-29 株式会社リコー 機器連携システム、情報処理装置、及び機器連携プログラム
JP2017144742A (ja) * 2017-04-05 2017-08-24 シャープ株式会社 画像形成装置
JP2019105940A (ja) * 2017-12-11 2019-06-27 株式会社コンテック ストレージ制御装置およびストレージ制御方法
US10528504B2 (en) 2018-05-31 2020-01-07 Hitachi, Ltd. Connection device restriction system
JP2020042573A (ja) * 2018-09-11 2020-03-19 キヤノン株式会社 デバイス診断ウェブシステムおよびデバイス診断方法
JP2020057315A (ja) * 2018-10-04 2020-04-09 キヤノン株式会社 情報処理装置、その制御方法及びプログラム
WO2023100559A1 (ja) * 2021-11-30 2023-06-08 日本電気株式会社 接続装置、接続方法および記録媒体

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4896397B2 (ja) * 2004-12-28 2012-03-14 富士通株式会社 プログラム、制限方法及びコンピュータ
US7421625B2 (en) * 2005-05-26 2008-09-02 Microsoft Corporation Indicating data connection and status conditions
US8887295B2 (en) * 2005-06-27 2014-11-11 Safend Ltd. Method and system for enabling enterprises to use detachable memory devices that contain data and executable files in controlled and secure way
CN100337176C (zh) * 2005-08-15 2007-09-12 华为技术有限公司 对数字版权中执行权限进行***限制的方法及装置
KR20080077991A (ko) * 2005-12-19 2008-08-26 마쯔시다덴기산교 가부시키가이샤 콘텐츠 관리 시스템
US8882561B2 (en) 2006-04-07 2014-11-11 Mattel, Inc. Multifunction removable memory device with ornamental housing
US8146163B2 (en) * 2006-11-09 2012-03-27 International Business Machines Corporation Method and system for securing personal computing devices from unauthorized data copying and removal
US7996890B2 (en) 2007-02-27 2011-08-09 Mattel, Inc. System and method for trusted communication
KR101279439B1 (ko) * 2007-07-23 2013-06-26 삼성전자주식회사 무선 usb를 이용하여 적어도 하나 이상의 디바이스들과접속 가능한 호스트 장치 및 상기 호스트 장치의 접속 방법
US8230149B1 (en) * 2007-09-26 2012-07-24 Teradici Corporation Method and apparatus for managing a peripheral port of a computer system
JPWO2009125586A1 (ja) * 2008-04-07 2011-07-28 パナソニック株式会社 デバイス制御方法、デバイス制御プログラムおよびデバイス選択装置
US8341729B2 (en) 2008-06-03 2012-12-25 Ca, Inc. Hardware access and monitoring control
US8930609B2 (en) 2010-08-18 2015-01-06 Intel Corporation Method, apparatus, and system for manageability and secure routing and endpoint access
US9081911B2 (en) 2011-05-31 2015-07-14 Architecture Technology Corporation Mediating communication of a universal serial bus device
US8862803B2 (en) * 2011-05-31 2014-10-14 Architecture Technology Corporation Mediating communciation of a univeral serial bus device
US20130055044A1 (en) * 2011-08-25 2013-02-28 Una Technologies Corporation Method And Apparatus For Restricting The Operation Of USB Devices
JP5221742B2 (ja) * 2011-11-24 2013-06-26 シャープ株式会社 画像形成装置
US9449261B2 (en) 2011-12-01 2016-09-20 Sharp Kabushiki Kaisha Image forming apparatus
EP2602722B1 (en) * 2011-12-07 2020-04-08 VIA Technologies, Inc. USB charging module
EP2602721B1 (en) 2011-12-07 2017-07-12 VIA Technologies, Inc. USB charging module
JP5882768B2 (ja) * 2012-02-03 2016-03-09 キヤノン株式会社 画像処理装置、その制御方法、プログラム
KR101956574B1 (ko) * 2012-02-24 2019-03-11 삼성전자주식회사 휴대용 단말기에서 호스트 디바이스의 운영 체제를 확인하기 위한 장치 및 방법
US8819828B1 (en) * 2012-04-26 2014-08-26 Symantec Corporation Systems and methods for identifying malware threat vectors
US8904079B2 (en) 2012-06-25 2014-12-02 Intel Corporation Tunneling platform management messages through inter-processor interconnects
US9672263B1 (en) * 2014-06-23 2017-06-06 The United States Of America As Represented By The Secretary Of The Navy Reliability engineering data integration
US10102089B2 (en) * 2014-12-17 2018-10-16 Intel Corporation Input/output (I/O) device configuration signature
TWI616774B (zh) * 2016-12-08 2018-03-01 緯創資通股份有限公司 電子裝置及其安全起動方法
US10223178B2 (en) * 2017-01-23 2019-03-05 Wyse Technology L.L.C. Enabling WPD devices to be managed at the capability level
JP6625076B2 (ja) * 2017-01-30 2019-12-25 株式会社日立製作所 Usb中継装置を用いたusb管理システム及びusb管理方法
US10657245B2 (en) * 2017-03-14 2020-05-19 Wyse Technology L.L.C. Dynamically controlling access to devices
DE102019202681A1 (de) * 2018-03-29 2019-10-02 Robert Bosch Gmbh Steuergerät
US10338840B1 (en) 2018-03-29 2019-07-02 Apricorn Portable storage device that is self-convertible from being a removable disk to a fixed disk and from being a fixed disk to a removable disk
CN108632101B (zh) * 2018-05-31 2020-02-14 北京百度网讯科技有限公司 用于更新配置对象的方法和装置、边缘计算设备、介质
US10867608B1 (en) 2019-05-31 2020-12-15 Apple Inc. Multi-user configuration
KR20240049648A (ko) 2019-05-31 2024-04-16 애플 인크. 오디오 미디어 제어를 위한 사용자 인터페이스
US11010121B2 (en) 2019-05-31 2021-05-18 Apple Inc. User interfaces for audio media control
US10608819B1 (en) 2019-09-24 2020-03-31 Apricorn Portable storage device with internal secure controller that performs self-verification and self-generates encryption key(s) without using host or memory controller and that securely sends encryption key(s) via side channel
CN111010354B (zh) * 2019-12-13 2022-03-08 苏州浪潮智能科技有限公司 一种光模块准入判别方法、装置、主干网交换机及介质
US11960615B2 (en) 2021-06-06 2024-04-16 Apple Inc. Methods and user interfaces for voice-based user profile management

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002149623A (ja) * 2000-11-10 2002-05-24 Sanyo Electric Co Ltd マイクロコンピュータ
JP2003092578A (ja) * 2001-09-18 2003-03-28 Fujitsu Ltd 管理装置、処理装置、装置、およびプログラム
JP2003110570A (ja) * 2001-09-28 2003-04-11 Maspro Denkoh Corp 無線中継装置及び双方向catvシステム
JP2003140511A (ja) * 2001-10-30 2003-05-16 Kyocera Mita Corp オプション機器及びその制御システム
JP2003228544A (ja) * 2002-01-30 2003-08-15 Internatl Business Mach Corp <Ibm> コンピュータ装置、コンピュータシステム、デバイスの切り離し方法およびプログラム
JP2003288128A (ja) * 2002-03-28 2003-10-10 Anyone Kk 外部接続デバイスにおけるアプリケーションの適正使用方法及び外部接続デバイス
JP2004078359A (ja) * 2002-08-12 2004-03-11 Niigata Canotec Co Inc ネットワーク装置、及びデバイスの共有方法
US20040098604A1 (en) * 2002-11-06 2004-05-20 Detlev Noldge Access protection system for serial bus systems and method for protecting computers against an unauthorized connection of peripheral devices
JP2004227127A (ja) * 2003-01-21 2004-08-12 Hitachi Ltd 複数の環境情報を持つプログラムおよびこのプログラムを持つ情報処理装置

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4271466A (en) * 1975-02-20 1981-06-02 Panafacom Limited Direct memory access control system with byte/word control of data bus
US5835737A (en) * 1996-05-10 1998-11-10 Apple Computer, Inc. Method and apparatus for arbitrating access to selected computer system devices
JP3008856B2 (ja) 1996-07-16 2000-02-14 日本電気株式会社 ドッキングステーションに於ける接続承認方法
US6505129B2 (en) * 1999-11-02 2003-01-07 Timberco, Inc. Panel tester and grader
TWI233040B (en) * 2000-11-10 2005-05-21 Sanyo Electric Co Microcomputer and controlling method thereof
US6981080B2 (en) * 2001-01-31 2005-12-27 Hewlett-Packard Development Company, L.P. Look-up table based USB identification
EP1248179A1 (en) * 2001-04-03 2002-10-09 Hewlett-Packard Company Selective activation and deactivation of peripheral devices connected to a USB system
JP2003006166A (ja) 2001-06-25 2003-01-10 Dainippon Printing Co Ltd 接続照合システム及び接続照合方法
WO2003038635A1 (en) * 2001-11-01 2003-05-08 Sony Corporation Communication system and method, information processing terminal and method, and information processing apparatus and method
JP2003316712A (ja) * 2002-04-22 2003-11-07 Canon Inc 画像処理装置及び通信制御方法
JP2004104393A (ja) 2002-09-09 2004-04-02 Matsushita Electric Ind Co Ltd 通信アダプタ
JP2004152009A (ja) * 2002-10-30 2004-05-27 Canon Inc 印刷装置、印刷システム、印刷装置の制御方法、及び制御プログラム
JP3826100B2 (ja) * 2002-11-27 2006-09-27 株式会社東芝 通信中継装置、通信システム及び通信制御プログラム
JP2004272341A (ja) * 2003-03-05 2004-09-30 Sony Corp 再生方法および装置、記録方法および装置、プログラム記録媒体およびプログラム、並びに記録媒体
JP4420647B2 (ja) * 2003-04-15 2010-02-24 シャープ株式会社 制御システム
US7302570B2 (en) * 2003-08-19 2007-11-27 International Business Machines Corporation Apparatus, system, and method for authorized remote access to a target system
JP4307964B2 (ja) * 2003-11-26 2009-08-05 株式会社日立製作所 アクセス制限情報設定方法および装置
TW200539641A (en) * 2004-02-19 2005-12-01 Matsushita Electric Ind Co Ltd Connected communication terminal, connecting communication terminal, session management server and trigger server
US7137031B2 (en) * 2004-02-25 2006-11-14 Hitachi, Ltd. Logical unit security for clustered storage area networks
US20050273312A1 (en) * 2004-06-03 2005-12-08 Francisc Sandulescu Distriubte USB KVM switch
US7904712B2 (en) * 2004-08-10 2011-03-08 Cisco Technology, Inc. Service licensing and maintenance for networks
US8065674B2 (en) * 2004-09-01 2011-11-22 Microsoft Corporation Privileged used control of device installation and/or availability
JP4896397B2 (ja) * 2004-12-28 2012-03-14 富士通株式会社 プログラム、制限方法及びコンピュータ
JP4161980B2 (ja) * 2005-05-31 2008-10-08 ブラザー工業株式会社 通信装置、管理システム、情報処理装置、及び、プログラム

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002149623A (ja) * 2000-11-10 2002-05-24 Sanyo Electric Co Ltd マイクロコンピュータ
JP2003092578A (ja) * 2001-09-18 2003-03-28 Fujitsu Ltd 管理装置、処理装置、装置、およびプログラム
JP2003110570A (ja) * 2001-09-28 2003-04-11 Maspro Denkoh Corp 無線中継装置及び双方向catvシステム
JP2003140511A (ja) * 2001-10-30 2003-05-16 Kyocera Mita Corp オプション機器及びその制御システム
JP2003228544A (ja) * 2002-01-30 2003-08-15 Internatl Business Mach Corp <Ibm> コンピュータ装置、コンピュータシステム、デバイスの切り離し方法およびプログラム
JP2003288128A (ja) * 2002-03-28 2003-10-10 Anyone Kk 外部接続デバイスにおけるアプリケーションの適正使用方法及び外部接続デバイス
JP2004078359A (ja) * 2002-08-12 2004-03-11 Niigata Canotec Co Inc ネットワーク装置、及びデバイスの共有方法
US20040098604A1 (en) * 2002-11-06 2004-05-20 Detlev Noldge Access protection system for serial bus systems and method for protecting computers against an unauthorized connection of peripheral devices
JP2004227127A (ja) * 2003-01-21 2004-08-12 Hitachi Ltd 複数の環境情報を持つプログラムおよびこのプログラムを持つ情報処理装置

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008176707A (ja) * 2007-01-22 2008-07-31 Tsutomu Matsuda コンピュータの画面監視用usbメモリ
JP2008186392A (ja) * 2007-01-31 2008-08-14 Mitsubishi Electric Corp ソフトウェア自動更新装置及びその装置によって自動更新される端末
JP2009075793A (ja) * 2007-09-20 2009-04-09 Konica Minolta Business Technologies Inc 情報処理装置、認証情報生成装置、記憶媒体、およびプログラム
JP2009175860A (ja) * 2008-01-22 2009-08-06 Canon Inc 画像形成装置及びその制御方法、並びにプログラム及び記憶媒体
JP2009187203A (ja) * 2008-02-05 2009-08-20 I-O Data Device Inc ユーザ認証方法、プログラム、可搬型記憶装置、ユーザ認証装置およびユーザ端末
JP2010067207A (ja) * 2008-09-12 2010-03-25 Seiko Epson Corp データ処理装置
JP2010117940A (ja) * 2008-11-13 2010-05-27 Ricoh Co Ltd 電子計算機、電子計算機の外部ストレージデバイスの認識情報のネットワーク情報共有処理方法、及びコンピュータプログラム
JP2010191717A (ja) * 2009-02-18 2010-09-02 Canon Inc 情報処理装置及び制御方法及びプログラム
US9158721B2 (en) 2009-02-18 2015-10-13 Canon Kabushiki Kaisha Information processing apparatus, control method, and program
JP2010271851A (ja) * 2009-05-20 2010-12-02 Canon Imaging Systems Inc デバイス共有装置、デバイス共有方法およびデバイス共有システム
JP2011008530A (ja) * 2009-06-25 2011-01-13 Fuji Xerox Co Ltd プログラム及び情報処理装置
JP2011183761A (ja) * 2010-03-11 2011-09-22 Seiko Epson Corp 印刷装置、印刷装置の制御方法、印刷装置の制御プログラムおよび制御装置
JP2014509421A (ja) * 2011-02-01 2014-04-17 エムシーシーアイ コーポレイション Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段
JP2013242632A (ja) * 2012-05-18 2013-12-05 Ricoh Co Ltd 情報処理装置、情報処理システム、およびプログラム
JP2014153888A (ja) * 2013-02-07 2014-08-25 Canon Electronics Inc 情報処理装置、外部記憶媒体への書き込みを制限する方法、プログラム及びシステム
JP2014115992A (ja) * 2013-11-21 2014-06-26 Canon Inc 画像形成装置、その制御方法、及びプログラム
JP2015221579A (ja) * 2015-08-24 2015-12-10 シャープ株式会社 画像形成装置
JP2016173857A (ja) * 2016-06-22 2016-09-29 株式会社リコー 機器連携システム、情報処理装置、及び機器連携プログラム
JP2017144742A (ja) * 2017-04-05 2017-08-24 シャープ株式会社 画像形成装置
JP2019105940A (ja) * 2017-12-11 2019-06-27 株式会社コンテック ストレージ制御装置およびストレージ制御方法
US10528504B2 (en) 2018-05-31 2020-01-07 Hitachi, Ltd. Connection device restriction system
JP2020042573A (ja) * 2018-09-11 2020-03-19 キヤノン株式会社 デバイス診断ウェブシステムおよびデバイス診断方法
US11494279B2 (en) 2018-09-11 2022-11-08 Canon Kabushiki Kaisha Device diagnostic web system, device diagnostic method and program storage medium
JP7224821B2 (ja) 2018-09-11 2023-02-20 キヤノン株式会社 デバイス診断ウェブシステムおよびデバイス診断方法
JP2020057315A (ja) * 2018-10-04 2020-04-09 キヤノン株式会社 情報処理装置、その制御方法及びプログラム
US11055039B2 (en) 2018-10-04 2021-07-06 Canon Kabushiki Kaisha Information processing apparatus, control method therefor and storage medium
JP7080787B2 (ja) 2018-10-04 2022-06-06 キヤノン株式会社 情報処理装置、その制御方法及びプログラム
US11556290B2 (en) 2018-10-04 2023-01-17 Canon Kabushiki Kaisha Information processing apparatus, control method therefor and storage medium
US11972160B2 (en) 2018-10-04 2024-04-30 Canon Kabushiki Kaisha Information processing apparatus, control method therefor and storage medium
WO2023100559A1 (ja) * 2021-11-30 2023-06-08 日本電気株式会社 接続装置、接続方法および記録媒体

Also Published As

Publication number Publication date
US8069281B2 (en) 2011-11-29
JP4896397B2 (ja) 2012-03-14
US7788425B2 (en) 2010-08-31
US20100293306A1 (en) 2010-11-18
US20060143716A1 (en) 2006-06-29

Similar Documents

Publication Publication Date Title
JP4896397B2 (ja) プログラム、制限方法及びコンピュータ
JP3714119B2 (ja) Biosプリブート環境を利用したユーザ認証型ネットワークosブート方法及びシステム
TW299424B (en) Methods and apparatus for booting a computer having a removable media disk drive
US7895367B2 (en) Peripheral control device and method for controlling peripheral device
US6658562B1 (en) Method, system, and program for customizing a basic input/output system (“BIOS”) configuration according to the type of user
US20060070061A1 (en) Allowing multiple decisions to be made by multiple decision makers during software installation
US7657732B2 (en) Apparatus and method for securely and conveniently rebooting a computer system
US7546597B2 (en) Data processing apparatus having function of installing device drivers
US20100169470A1 (en) System and method for operational management of computer system
US20050086447A1 (en) Program and apparatus for blocking information leaks, and storage medium for the program
US20020095487A1 (en) System for registering, locating, and identifying network equipment
JP2000242454A (ja) 画像処理システム及び記録媒体
JP5035385B2 (ja) プログラム、制限方法及びコンピュータ
US20100094979A1 (en) Network System, Server Apparatus, and Printer Driver
CN101163153A (zh) 选择和配置存储区域网络存储和计算设备的方法和***
US20030075599A1 (en) Personal work environment setting method
JP3747973B2 (ja) ユーザーコンピュータシステム
JP2000010773A (ja) プログラム実行管理方法及びプログラム実行管理プログラムを記録した記録媒体
CN1328883C (zh) 信息处理装置、方法及***
JP4683856B2 (ja) 認証プログラムおよび認証サーバ
JP2002118574A (ja) 周辺装置管理装置、周辺装置管理方法、プログラム記録媒体およびプログラム
KR100723650B1 (ko) 마크 데이터의 요청을 위한 도서식별정보의 효율적 입력과이것에 의한 마크 데이터를 효율적으로 확보하는 방법 및이를 위한 시스템
CN1581116B (zh) 把计算机***连接到远程设备的方法及***
JP2000285077A (ja) ユーザ情報管理装置、管理方法、及び記憶媒体
JP2006215665A (ja) データ管理装置、データ管理システム、データ処理装置、データ管理方法、プログラム、及び記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091027

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091228

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100426

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100510

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20100709

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110920

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111221

R150 Certificate of patent or registration of utility model

Ref document number: 4896397

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150106

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees