JP2007172062A - 情報処理装置およびアクセス制御方法 - Google Patents

情報処理装置およびアクセス制御方法 Download PDF

Info

Publication number
JP2007172062A
JP2007172062A JP2005365079A JP2005365079A JP2007172062A JP 2007172062 A JP2007172062 A JP 2007172062A JP 2005365079 A JP2005365079 A JP 2005365079A JP 2005365079 A JP2005365079 A JP 2005365079A JP 2007172062 A JP2007172062 A JP 2007172062A
Authority
JP
Japan
Prior art keywords
access
information processing
routine
bios
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005365079A
Other languages
English (en)
Inventor
Motoaki Ando
元昭 安藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2005365079A priority Critical patent/JP2007172062A/ja
Publication of JP2007172062A publication Critical patent/JP2007172062A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】情報処理装置を起動する機能とユーザ認証を実行するセキュリティ機能とを保護することが可能な情報処理装置およびアクセス制御方法を実現する。
【解決手段】BIOSは、本コンピュータを起動するブートブロックと、本コンピュータへのユーザ認証機能を有するセキュリティルーチンと、本コンピュータのI/Oデバイスを制御するドライバルーチンとから構成されている。ブートブロックおよびセキュリティルーチンは、フラッシュBIOS−ROM105に格納されている。ドライバルーチンは、HDD106に格納されている。本コンピュータが起動された後、BIOSアクセス禁止部101A,104A,107Aは、フラッシュBIOS−ROM105へのアクセスを禁止する処理を実行する。
【選択図】図2

Description

本発明は、基本入出力プログラムのアクセスを禁止する機能を有する情報処理装置および同装置に適用されるアクセス制御方法に関する。
一般に、パーソナルコンピュータのような情報処理装置においては、基本入出力プログラム(BIOS:Basic Input Output System)が用いられている。この基本入出力プログラムは、コンピュータの電源オンに応じてコンピュータを起動するための起動機能、ユーザ認証を実行するセキュリティ機能、各種I/Oデバイスを制御するためのデバイス制御機能等を有している。
特許文献1には、更新すべきBIOSの内容を、ハードディスク内に設けた専用領域に予め格納しておく技術が開示されている。この技術によって、BIOSが格納されたフラッシュROMの交換等の作業を行うことなく、BIOSの更新を容易に実行することが出来る。
特開平9−319583号公報
ところで、基本入出力プログラムの起動機能およびセキュリティ機能が常に信頼できる機能である為には、この起動機能およびセキュリティ機能が容易に改竄されない仕組みが必要である。しかし単純に基本入出力プログラム全体に保護機能を設けても、基本入出力プログラムを改竄から確実に保護することは困難である。なぜなら、基本入出力プログラムのデバイス制御機能がアクセスされる度に、基本入出力プログラム全体に設けた保護機能を解除する必要があるためである。この場合、基本入出力プログラムの認証機能および起動機能が不正にアクセスされる可能性がある。
本発明は上述の事情を考慮してなされたものであり、情報処理装置を起動する機能とユーザ認証を実行するセキュリティ機能とを保護することが可能な情報処理装置およびアクセス制御方法を提供することを目的とする。
上述の課題を解決するため、本発明は、情報処理装置を起動するための起動ルーチンと、登録パスワードと入力パスワードとの一致の有無に応じてユーザ認証を行うセキュリティルーチンと、各種I/Oデバイスを制御するためのドライバルーチンとを含む基本入出力プログラムを実行する情報処理装置において、プロセッサと、前記起動ルーチンと前記セキュリティルーチンとを格納する不揮発性メモリと、前記ドライバルーチンを格納するディスク記憶装置と、ロック状態及びアンロック状態の一方に設定され、前記ロック状態に設定された場合には前記プロセッサによる前記不揮発性メモリへのアクセスを禁止し、前記アンロック状態に設定された場合には前記プロセッサによる前記不揮発性メモリへのアクセスを許可するアクセス禁止部とを具備することを特徴とする。
本発明によれば、情報処理装置を起動する機能とユーザ認証を実行するセキュリティ機能とを保護することができる。
以下、図面を参照して本発明の実施形態を説明する。
図1には、本発明の一実施形態に係る情報処理装置の構成が示されている。この情報処理装置は、例えば、ノートブック型の携帯型パーソナルコンピュータ10として実現されている。
本コンピュータ10は、本体11とディスプレイユニット12とから構成されている。本体11の上面には、キーボード13、本コンピュータ10を電源オンするためのパワーボタンスイッチ14およびタッチパッド15などが設けられている。本体11の例えば背面には、USB(Universal Serial Bus)規格に対応するUSBデバイスを接続するためのUSBポートおよびPCカード等のカードデバイスを挿入するためのPCカードスロットが設けられている。
ディスプレイユニット12の内面にはLCD(Liquid Crystal Display)17から構成される表示装置が組み込まれており、そのLCD17の表示画面は、ディスプレイユニット12のほぼ中央に位置されている。ディスプレイユニット12は、本体11に支持され、その本体11に対して本体11の上面が露出される開放位置と本体11の上面を覆う閉塞位置との間を回動自在に取り付けられている。
図2には、本コンピュータ10のシステム構成の例が示されている。
本コンピュータ10は、図2に示されているように、CPU(Central Processing Unit)100、ノースブリッジ(NB)101、主メモリ102、VGA(Video Graphics Array)コントローラ103、サウスブリッジ(SB)104、フラッシュBIOS−ROM105、ハードディスクドライブ(HDD)106、エンベデッドコントローラ/キーボードコントローラIC(EC/KBC)107、電源コントローラ108、およびデバイスコントローラ109,111等から構成されている。
さらに、ノースブリッジ(NB)101、サウスブリッジ(SB)104、およびエンベデッドコントローラ/キーボードコントローラIC(EC/KBC)107には、BIOSアクセス禁止部101A,104A,107Aがそれぞれ設けられている。
CPU100は、本コンピュータ10の各コンポーネントの動作を制御するプロセッサであり、ハードディスクドライブ(HDD)106から主メモリ102にロードされる、オペレーティングシステム(OS)、および各種アプリケーションプログラムを実行する。CPU100は、バス1を介してノースブリッジ101に接続されている。このCPU100は、フラッシュBIOS−ROM105に格納された基本入出力プログラム(BIOS:Basic Input Output System)も実行する。BIOSはハードウェア制御のためのプログラムである。フラッシュBIOS−ROM120は電気的に書き換え可能な不揮発性メモリである。
BIOSは、通常、図3に示す一般的なBIOSエリアの例のように、ブートブロック(Boot Block)200、セキュリティルーチン201、およびドライバルーチン202で構成されている。ブートブロック200は、本コンピュータ10の電源オンに応じて、本コンピュータ10を起動するため起動ルーチンであり、本コンピュータ10を起動するための最小限のコンポーネント(CPU100,主メモリ102,VGAコントローラ103,およびデバイスコントローラ109,111等)の初期化および制御を実行するために使用される。セキュリティルーチン201は、本コンピュータ10の電源オンに応じて、ユーザにパスワードの入力を促す画面をLCD17に表示する。このセキュリティルーチン201は、本コンピュータ10に登録されたパスワード情報と画面上で入力されたパスワードとが一致するか否かに応じて、ユーザ認証を行う。パスワードが一致することが判別された場合、セキュリティルーチン201は、本コンピュータ10の使用を許可し、例えばHDD106に格納されたオペレーティングシステムを起動する。パスワードが一致しないことが判別された場合、セキュリティルーチン201は、本コンピュータ10の使用を禁止する。この場合、オペレーティングシステムは起動されない。ドライバルーチン202は、本コンピュータ10が電源オンされた後、本コンピュータ10の各コンポーネントおよび各種I/Oデバイスを制御する。このドライバルーチン202は、オペレーティングシステムが起動された後、本コンピュータ10の制御をオペレーティングシステムに引き渡し、オペレーティングシステムと共同して本コンピュータ10の各コンポーネントおよび本コンピュータ10に設けられた各種I/Oデバイスを制御する処理も実行する。
通常、ブートブロック200およびセキュリティルーチン201は、本コンピュータ10が電源オンされたときにのみアクセス(リードアクセス)される。ドライバルーチン202は、本コンピュータ10が起動された後、つまりオペレーティングシステムが動作している状態でCPU100からアクセス(リードアクセス)される。即ち、本コンピュータ10が起動された後、つまりオペレーティングシステムが起動された後は、通常は、ブートブロック200およびセキュリティルーチン201がCPU100からアクセスされる可能性は極めて低い。図3に示す一般的なBIOSエリアの例においては、ブートブロック200,セキュリティルーチン201,およびドライバルーチン202の全てがフラッシュBIOS−ROMに格納されている。このように、一箇所すべてにBIOSの全ての機能が格納されている場合、たとえフラッシュBIOS−ROMに対するアクセスを禁止する機能を設けても、CPU100からドライバルーチン202へのアクセス要求がある度にアクセス禁止機能を解除しなければならないため、ブートブロック200およびセキュリティルーチン201が不正にアクセスされる可能性がある。
本実施形態においては、図3に示すBIOSエリアの例のように、ブートブロック200およびセキュリティルーチン201は、フラッシュBIOS−ROM105に格納されており、ドライバルーチン202は、フラッシュBIOS−ROM105とは別のディスク記憶装置(例えばHDD106)に格納されている。このため、本コンピュータ10の起動後においては、BIOS更新を行う時等以外は、フラッシュBIOS−ROM105へのアクセスは通常は発生しない。
BIOSアクセス禁止部101A,104A,107Aの各々は、CPU100によるフラッシュBIOS−ROM105へのアクセス(リードアクセス、およびライトアクセス)を禁止するための回路である。具体的には、BIOSアクセス禁止部101A,104A,107Aの各々はロック状態とアンロック状態とを有しており、BIOSによってロック状態に設定された場合には、BIOSアクセス禁止機能が有効となり、CPU100によるフラッシュBIOS−ROM105へのアクセスを禁止する。また、アンロック状態に設定されている場合には、BIOSアクセス禁止部101A,104A,107Aの各々は、CPU100によるフラッシュBIOS−ROM105へのアクセスを許可する。
ロック/アンロックの設定は、BIOSアクセス禁止部101A,104A,107Aそれぞれに設けられたレジスタにフラグをセットすることによって実行される。レジスタにフラグがセットされている場合、BIOSアクセス禁止部101A,104A,107Aは、BIOSアクセス禁止部を実行するロック状態となる。一方、レジスタにフラグがセットされていない場合、BIOSアクセス禁止部101A,104A,107AはBIOSアクセス禁止処理を実行しないアンロック状態となる。例えば、オペレーティングシステム上で実行される、BIOSを更新するための正当な書き換えソフトウェアは、レジスタのフラグをリセットするという手順を実行した後に、フラッシュBIOS−ROM105へのアクセスを実行する。これにより、BIOSアクセス禁止部101A,104A,107Aがロック状態に設定されていても、正当な書き換えソフトウェアは、フラッシュBIOS−ROM105の更新を正常に実行することができる。レジスタのフラグがリセットされない限り、フラッシュBIOS−ROM105をアクセスすることはできない。このため、不正なソフトウェアからフラッシュBIOS−ROM105を保護することができる。
また、ドライバルーチン202のエリアは、コンピュータに搭載された制御デバイスをサポートするためのルーチンの他に、本コンピュータ10の各コンポーネントを制御するための一般処理ルーチンも多数含まれている。このため、ドライバルーチン202のエリアのサイズは、ブートブロック200およびセキュリティルーチン201のエリアのサイズより遥かに大きい。本実施形態においては、フラッシュBIOS−ROM105にドライバルーチン202が格納されないため、フラッシュBIOS−ROM105を小容量のフラッシュメモリで実現でき、コストを削減することができる。
ノースブリッジ101は、CPU100とサウスブリッジ104との間を接続するブリッジデバイスである。ノースブリッジ101は、メモリバス(Memory Bus)2を介して主メモリ102に接続されており、主メモリ102を制御するためのメモリコントローラを有している。ノースブリッジ101は、VGAバス(VGA Bus)3を介してVGAコントローラ103と通信を実行する機能も有している。ノースブリッジ101は、ハブリンク(Hub Link)バス4を介して、サウスブリッジ104に接続されている。ノースブリッジ101は上述のBIOSアクセス禁止部101Aを備えている。このBIOSアクセス禁止部101Aは、ロック状態においては、CPU100から発行される、フラッシュBIOS−ROM105へのアクセス要求に含まれるアドレスを、例えば主メモリ102をアクセスするアドレスに変換する。即ち、CPU100から送信されるフラッシュBIOS−ROM105へのアクセスは、全て主メモリ102に対するアクセスとなる。これによって、フラッシュBIOS−ROM105へのアクセスを禁止することが出来る。BIOSアクセス禁止部101Aは、BIOSアクセス禁止部101A内に設けられたレジスタにフラグがセットされている場合、つまり、BIOSアクセス禁止部101Aがロック状態である場合、上述のアドレス変換によるBIOSアクセス禁止処理を実行する。一方、BIOSアクセス禁止部101A内のレジスタにフラグがセットされていない場合、つまり、BIOSアクセス禁止部101Aがアンロック状態である場合、BIOSアクセス禁止部101Aは、上述のアドレス変換を実行しない。この場合、CPU100から送信されるフラッシュBIOS−ROM105へのアクセス要求は、通常通り、サウスブリッジ(SB)104へ伝達される。
VGAコントローラ103は、本コンピュータ10のディスプレイモニタとして使用されるLCD17を制御する。このVGAコントローラ103は、ビデオメモリ(VRAM)を搭載しており、このビデオメモリに書き込まれた映像データからLCD17に送出すべき表示信号を生成する。
サウスブリッジ104には、LPCバス(Low Pin Count)5およびPCIバス(Peripheral Component Interconnect Bus)8が接続されている。サウスブリッジ104には、バス6を介してフラッシュBIOS−ROM105、およびバス7を介してハードディスクドライブ(HDD)106が接続されている。サウスブリッジ104は、LPCバス5、バス6,7、およびPCIバス8に接続されているコンポーネントを制御する。サウスブリッジ104には上述のBIOSアクセス禁止部104Aが設けられている。このBIOSアクセス禁止部104Aは、BIOSアクセス禁止部104A内に設けられたレジスタにセットされるフラグの有無に従って、サウスブリッジ104とフラッシュBIOS−ROM105との間のバス6を有効(イネーブル)/無効(ディスエーブル)のいずれか一方のステートに設定する。具体的には、BIOSアクセス禁止部104Aは、BIOSアクセス禁止部104A内のレジスタにフラグがセットされている場合、つまり、BIOSアクセス禁止部101Aがロック状態である場合、バス6の使用を禁止して、BIOSアクセス禁止処理を実行する。これによって、CPU100からフラッシュBIOS−ROM105へのアクセスは、全て失敗(アクセスエラー)となり、フラッシュBIOS−ROM105へのアクセスが禁止される。BIOSアクセス禁止部104A内のレジスタにフラグがセットされていない場合、つまり、BIOSアクセス禁止部104Aがアンロック状態である場合、BIOSアクセス禁止部104Aは、バス6を有効(イネーブル)にする。これによって、CPU100からフラッシュBIOS−ROM105へのアクセス要求は、フラッシュBIOS−ROM120に伝達される。
LPCバス5上には、エンベデッドコントローラ/キーボードコントローラIC(EC/KBC)107が接続されている。EC/KBC107は、電力管理のためのエンベデッドコントローラと、キーボード(KB)13およびタッチパッド15を制御するためのキーボードコントローラとが集積化された1チップマイクロコンピュータである。このEC/KBC107は、BIOSアクセス禁止部107Aおよびレジスタ107Bを備えている。
本コンピュータ10が電源オンされた場合、EC/KBC107は、電源コントローラ108内に設けられた電源回路と共同して本コンピュータ10を電源オンする。BIOSアクセス禁止部107Aは、レジスタ107Bにフラグがセットされた場合、フラッシュBIOS−ROM105にリセット信号を送信する。これによって、フラッシュBIOS−ROM105はアクセス要求(リード/ライトコマンド)を受け付けないリセット状態となり、フラッシュBIOS−ROM105へのアクセスが禁止される。
このEC/KBC107は、I2C(Inter-Integrated Circuit)バス9を介して電源コントローラ108に接続されている。電源コントローラ108には電源回路が搭載されており、EC/KBC170は、電源回路と共同して動作することにより、ユーザによるパワーボタンスイッチ14の操作に応じて本コンピュータ10を電源オン/電源オフするための機能を有している。
PCIバス8上には、デバイスコントローラ109,111等が接続されている。デバイスコントローラ109は、例えばUSBデバイス110等のI/Oデバイスを接続するための接続ポート30が接続されており、接続ポート30に接続されたUSBデバイス110を制御するカードコントローラとして機能する。デバイスコントローラ111は、例えばPCカードデバイスのようなI/Oデバイス112が接続されるカードスロットを備えており、カードスロットに挿入されたPCカードデバイスを制御するカードコントローラとして機能する。
また、BIOSアクセス禁止部101A,104A,107Aそれぞれは、上述したように、本コンピュータ10に搭載された既存の制御デバイス(ノースブリッジ101,サウスブリッジ104,およびEC/KBC107等)に設けられている。したがって、BIOSアクセスを禁止するための専用ICを新たに本コンピュータ10に設ける必要がないので、コストの増加を低減することができる。BIOSアクセス禁止部を既存の制御デバイスに設けるだけで、フラッシュBIOS−ROM105へのアクセスを、未然に防止することが出来る。
また、例えば、悪意のあるユーザおよびプログラムによってたとえBIOSアクセス禁止部101Aによって実行されるBIOSアクセス禁止処理が解除されても、フラッシュBIOS−ROM105へのアクセスは、BIOSアクセス禁止部104Aによって禁止される。つまり、本実施形態には、3つのBIOSアクセス禁止部が設けられた例を説明したが、BIOSアクセス禁止部をコンピュータに多く設けることによって、フラッシュBIOS−ROM105をより確実に保護することが出来る。
次に、図4のフローチャートを参照して、本コンピュータ10の電源オンシーケンスの手順の例を説明する。本コンピュータ10が電源オンされたことに応じて、BIOSのブートブロック200は、本コンピュータ10を起動するために、本コンピュータ10の各コンポーネントを初期化する初期化処理を実行する(ステップS101)。もしフラッシュBIOS−ROM105のセキュリティルーチン201のエリアにユーザパスワードが登録されているならば、ステップS101において、セキュリティルーチン201によるユーザ認証処理も実行される。
ブートブロック200の実行後、つまり本コンピュータ10の起動後に、BIOS(ブートブロック200、セキュリティルーチン201、またはドライバルーチン202)は、BIOSアクセス禁止部内のレジスタにフラグをセットし、BIOSアクセス禁止部101A,104A,107Aそれぞれをロック状態に設定する(ステップS102)。この後、BIOSは、オペレーティングシステムを起動する(ステップS103)。
次に、図5のフローチャートを参照して、BIOSアクセス禁止処理の手順の例を説明する。
ノースブリッジ101のBIOSアクセス禁止部101Aは、BIOSアクセス禁止処理がオン状態であるか否か、つまり、BIOSアクセス禁止部101A内のレジスタにフラグがセットされているロック状態であるか否かを判別する(ステップS201)。オン状態であることが判別された場合(ステップS201のYES)、BIOSアクセス禁止部101Aは、フラッシュBIOS−ROM105へのアクセスを禁止する処理、つまり、フラッシュBIOS−ROM105へアクセス要求に含まれるアドレスを主メモリ102のアドレスに変換する(ステップS202)。一方、BIOSアクセス禁止処理がオン状態でないことが判別された場合(ステップS201のNO)、BIOSアクセス禁止部101Aによって実行されるBIOSアクセス禁止処理は、解除される。
サウスブリッジ104のBIOSアクセス禁止部104Aは、BIOSアクセス禁止処理がオン状態であるか否か、つまり、BIOSアクセス禁止部104A内のレジスタにフラグがセットされているロック状態であるか否かを判別する(ステップS203)。オン状態であることが判別された場合(ステップS203のYES)、BIOSアクセス禁止部104Aは、フラッシュBIOS−ROM105へのアクセスを禁止する処理、つまり、バス6を無効にする処理を実行する(ステップS204)。一方、BIOSアクセス禁止部104Aがオン状態でないことが判別された場合(ステップS203のNO)、BIOSアクセス禁止部104Aによって実行されるBIOSアクセス禁止処理は、解除される。即ち、バス6が有効に設定される。
EC/KBC107のBIOSアクセス禁止部107Aは、BIOSアクセス禁止処理がオン状態であるか、つまり、BIOSアクセス禁止部107A内のレジスタ107Bにフラグがセットされているロック状態であるか否かを判別する(ステップS205)。オン状態であることが判別された場合(ステップS205のYES)、BIOSアクセス禁止部107Aは、フラッシュBIOS−ROM105へのアクセスを禁止する処理、つまり、フラッシュBIOS−ROM105にリセット信号を供給する処理を実行する(ステップS206)。一方、BIOSアクセス禁止部107Aがオン状態でないことが判別された場合(ステップS205のNO)、BIOSアクセス禁止部107Aによって実行されるBIOSアクセス禁止処理は、解除される。
このBIOSアクセス禁止処理の手順の例においては、フラッシュBIOS−ROM105を保護するために、3つのBIOSアクセス禁止部101A,104A,107Aを用いたが、例えばEC/KBC107のBIOSアクセス禁止部107AのみによってフラッシュBIOS−ROM105を保護するようにしてもよい。
このように、本実施形態の第1の例においては、BIOSをブートブロック200およびセキュリティルーチン201とドライバルーチン202とに分離して、ブートブロック200およびセキュリティルーチン201のみをフラッシュBIOS−ROM105に格納し、且つフラッシュBIOS−ROM105への不正アクセスを禁止する機能を既存のデバイス内に設けているので、ブートブロック200およびセキュリティルーチン201の改竄を防止する機能を低コストで実現することが可能となる。
次に、図6および図7を参照して本実施形態の第2の例を説明する。図6には、本コンピュータ10のシステム構成の他の例が示されている。図6において、図2と同様の構成部については同一の符号が付されている。
EC/KBC107と電源コントローラ108との間を接続するI2Cバス9には、不揮発性メモリ113が接続されている。この不揮発性メモリ113にはBIOSのセキュリティルーチン201のみが格納されている。本実施形態の第2の例におけるBIOSは、図7に示すように、不揮発性メモリ113にセキュリティルーチン201が格納されており、フラッシュBIOS−ROM105にはブートブロック200が格納されており、HDD106にはドライバルーチン202が格納されている。
EC/KBC107のBIOSアクセス禁止部107Aは、レジスタ107Bにフラグがセットされている場合、フラッシュBIOS−ROM105にリセット信号を送信する機能に加え、I2Cバス9を無効にする機能を実行する。即ち、ブートブロック200が格納されたシステムBIOS−ROM105へのアクセスとセキュリティルーチン201が格納された不揮発性メモリ113へのアクセスの双方が禁止される。このため本実施形態の第2の例においても、ブートブロック200およびセキュリティルーチン201を保護することができる。
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階では、その要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に異なる実施形態に構成要素を適宜組み合わせてもよい。
本発明の一実施形態に係る情報処理装置の外観を示す斜視図。 図1の情報処理装置のシステム構成の第1の例を示すブロック図。 図1の情報処理装置によって実行されるBIOSの構成の第1の例を説明するための図。 図1の情報処理装置によって実行される情報処理装置が起動されるまでの手順の第1の例を説明するためのフローチャート。 図1の情報処理装置によって実行されるBIOSアクセス禁止処理の手順の例を説明するためのフローチャート。 図1の情報処理装置のシステム構成の第2の例を示すブロック図。 図1の情報処理装置によって実行されるBIOSの構成の第2の例を説明するための図。
符号の説明
10…パーソナルコンピュータ、100…CPU、101…ノースブリッジ、101A,104A,107A…BIOSアクセス禁止部、102…主メモリ、103…VGAコントローラ、104…サウスブリッジ、105…フラッシュBIOS−ROM、106…ハードディスクドライブ、107…エンベデッドコントローラ/キーボードコントローラ。

Claims (7)

  1. 情報処理装置を起動するための起動ルーチンと、登録パスワードと入力パスワードとの一致の有無に応じてユーザ認証を行うセキュリティルーチンと、各種I/Oデバイスを制御するためのドライバルーチンとを含む基本入出力プログラムを実行する情報処理装置において、
    プロセッサと、
    前記起動ルーチンと前記セキュリティルーチンとを格納する不揮発性メモリと、
    前記ドライバルーチンを格納するディスク記憶装置と、
    ロック状態及びアンロック状態の一方に設定され、前記ロック状態に設定された場合には前記プロセッサによる前記不揮発性メモリへのアクセスを禁止し、前記アンロック状態に設定された場合には前記プロセッサによる前記不揮発性メモリへのアクセスを許可するアクセス禁止部とを具備することを特徴とする情報処理装置。
  2. 前記アクセス禁止部は、前記プロセッサに接続されたブリッジデバイス内に設けられており、前記ロック状態に設定された場合、前記プロセッサから発行される前記不揮発性メモリへのアクセス要求に含まれるアドレスを前記情報処理装置内の記憶装置にアクセスするアドレスに変換する手段を含むことを特徴とする請求項1記載の情報処理装置。
  3. 前記アクセス禁止部は、前記プロセッサに接続されたブリッジデバイス内に設けられており、前記ロック状態に設定された場合、前記不揮発性メモリと前記ブリッジデバイスとの間を接続するバスの使用を禁止する手段を含むことを特徴とする請求項1記載の情報処理装置。
  4. 前記アクセス禁止部は、前記情報処理装置の電源オンおよび電源オフを制御するコントローラ内に設けられており、前記ロック状態に設定された場合、前記不揮発性メモリにリセット信号を送信する手段を含むことを特徴とする請求項1記載の情報処理装置。
  5. 情報処理装置を起動するための起動ルーチンと、登録パスワードと入力パスワードとの一致の有無に応じてユーザ認証を行うセキュリティルーチンと、各種I/Oデバイスを制御するためのドライバルーチンとを含む基本入出力プログラムを実行する情報処理装置において、
    プロセッサと、
    前記起動ルーチンと前記セキュリティルーチンとを格納する不揮発性メモリと、
    前記ドライバルーチンを格納するディスク記憶装置と、
    前記プロセッサによる前記不揮発性メモリへのアクセスをそれぞれ禁止する複数のアクセス禁止部とを具備し、
    前記複数のアクセス禁止部の各々は、ロック状態及びアンロック状態の一方に設定され、前記ロック状態に設定された場合には前記プロセッサによる前記不揮発性メモリへのアクセスを禁止し、前記アンロック状態に設定された場合には前記プロセッサによる前記不揮発性メモリへのアクセスを許可するように構成されていることを特徴とする情報処理装置。
  6. 情報処理装置を起動するための起動ルーチンと、登録パスワードと入力パスワードとの一致の有無に応じてユーザ認証を行うセキュリティルーチンと、各種I/Oデバイスを制御するためのドライバルーチンとを含む基本入出力プログラムを実行する情報処理装置に適用されるアクセス制御方法であって、
    前記情報処理装置は、プロセッサと、前記起動ルーチンと前記セキュリティルーチンとを格納する不揮発性メモリと、前記ドライバルーチンを格納するディスク記憶装置と、ロック状態及びアンロック状態の一方に設定され、前記ロック状態に設定された場合には前記プロセッサによる前記不揮発性メモリへのアクセスを禁止し、前記アンロック状態に設定された場合には前記プロセッサによる前記不揮発性メモリへのアクセスを許可するアクセス禁止部とを含み、
    前記情報処理装置の起動後に、前記アクセス禁止部を前記ロック状態に設定するステップと、
    前記アクセス禁止部が前記ロック状態に設定されている状態で前記プロセッサによって所定の手続が実行された場合、前記アクセス禁止部を前記アンロック状態に設定するステップとを具備することを特徴とするアクセス制御方法。
  7. 前記アクセス禁止部は、前記情報処理装置の電源オンおよび電源オフを制御するコントローラ内に設けられており、前記ロック状態に設定された場合、前記不揮発性メモリにリセット信号を送信するように構成されていることを特徴とする請求項6記載のアクセス制御方法。
JP2005365079A 2005-12-19 2005-12-19 情報処理装置およびアクセス制御方法 Pending JP2007172062A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005365079A JP2007172062A (ja) 2005-12-19 2005-12-19 情報処理装置およびアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005365079A JP2007172062A (ja) 2005-12-19 2005-12-19 情報処理装置およびアクセス制御方法

Publications (1)

Publication Number Publication Date
JP2007172062A true JP2007172062A (ja) 2007-07-05

Family

ID=38298588

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005365079A Pending JP2007172062A (ja) 2005-12-19 2005-12-19 情報処理装置およびアクセス制御方法

Country Status (1)

Country Link
JP (1) JP2007172062A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8255725B2 (en) 2009-04-28 2012-08-28 Kabushiki Kaisha Toshiba Information processing apparatus and power-saving control method
JP2013537343A (ja) * 2010-09-22 2013-09-30 インテル・コーポレーション プラットフォーム・ファームウェア・アーマリング技術
JP2017518558A (ja) * 2014-04-08 2017-07-06 マイクロン テクノロジー, インク. アクセス保護スキームを確保するための装置及び方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8255725B2 (en) 2009-04-28 2012-08-28 Kabushiki Kaisha Toshiba Information processing apparatus and power-saving control method
JP2013537343A (ja) * 2010-09-22 2013-09-30 インテル・コーポレーション プラットフォーム・ファームウェア・アーマリング技術
JP2015057722A (ja) * 2010-09-22 2015-03-26 インテル・コーポレーション プラットフォーム・ファームウェア・アーマリング技術
JP2017518558A (ja) * 2014-04-08 2017-07-06 マイクロン テクノロジー, インク. アクセス保護スキームを確保するための装置及び方法
US11030122B2 (en) 2014-04-08 2021-06-08 Micron Technology, Inc. Apparatuses and methods for securing an access protection scheme
US11809335B2 (en) 2014-04-08 2023-11-07 Lodestar Licensing Group, Llc Apparatuses and methods for securing an access protection scheme

Similar Documents

Publication Publication Date Title
JP5711160B2 (ja) パスワードを保護する方法およびコンピュータ
JP5519712B2 (ja) コンピュータをブートする方法およびコンピュータ
US7107460B2 (en) Method and system for securing enablement access to a data security device
US6651150B2 (en) Data-processing apparatus and method of controlling the rewriting of a nonvolatile storage device
JP6054908B2 (ja) 変数セットを修復する方法、コンピュータ・プログラムおよびコンピュータ
US9292300B2 (en) Electronic device and secure boot method
JP5565040B2 (ja) 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム
US8086839B2 (en) Authentication for resume boot path
JP5335634B2 (ja) システム管理モードの特権レベルを保護するコンピュータ
US20050132177A1 (en) Detecting modifications made to code placed in memory by the POST BIOS
US10671731B2 (en) Method, apparatus, and medium for using a stored pre-boot authentication password to skip a pre-boot authentication step
JP4956142B2 (ja) 情報処理装置、および日時情報変更方法
JP5689429B2 (ja) 認証装置、および、認証方法
JP2004234331A (ja) 情報処理装置および同装置で使用されるユーザ操作制限方法
JP2005301564A (ja) セキュリティ機能を備えた情報処理装置
JP4189397B2 (ja) 情報処理装置、および認証制御方法
JP4247216B2 (ja) 情報処理装置および認証制御方法
JP2007172062A (ja) 情報処理装置およびアクセス制御方法
JP2008158763A (ja) 情報処理装置およびセキュリティ方法
JP4732269B2 (ja) 情報装置およびそのリモートアクセス方法
JP5367684B2 (ja) セキュリティを強化したコンピュータおよび電源の制御方法
JP7176084B1 (ja) 情報処理装置、及び制御方法
JP5460133B2 (ja) マイクロコントローラ装置
JP4266119B2 (ja) 電子機器
JP4800340B2 (ja) Tcgの仕様に基づくフィジカル・プリゼンスの認証方法およびコンピュータ