JP2014010673A - 電子機器、認証装置、認証方法 - Google Patents

電子機器、認証装置、認証方法 Download PDF

Info

Publication number
JP2014010673A
JP2014010673A JP2012147410A JP2012147410A JP2014010673A JP 2014010673 A JP2014010673 A JP 2014010673A JP 2012147410 A JP2012147410 A JP 2012147410A JP 2012147410 A JP2012147410 A JP 2012147410A JP 2014010673 A JP2014010673 A JP 2014010673A
Authority
JP
Japan
Prior art keywords
authentication
data
schedule
time
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2012147410A
Other languages
English (en)
Inventor
Masayuki Inoue
雅之 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2012147410A priority Critical patent/JP2014010673A/ja
Priority to US13/787,159 priority patent/US20140007226A1/en
Publication of JP2014010673A publication Critical patent/JP2014010673A/ja
Abandoned legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract


【課題】不正な使用を回避することができるようにする。
【解決手段】実施形態によれば、電子機器は、第1記録手段、第2記録手段、入力手段、及び第1認証手段とを有する。第1記録手段は、認証処理のために参照される第1認証データを記録する。第2記録手段は、認証処理を許可する時間を示すスケジュールデータを記録する。入力手段は、第2認証データを入力する。第1認証手段は、前記スケジュールデータが認証処理する時間を示す場合に、前記第2認証データが正当であるか、前記第1認証データをもとに判定する。
【選択図】図1

Description

本発明の実施形態は、使用者を確認するための認証処理をする電子機器、認証装置及び認証方法に関する。
パーソナルコンピュータ等の電子機器には、使用者を確認するための認証処理をする機能が設けられている。例えば、パーソナルコンピュータは、BIOS(Basic Input Output System)パスワードが設定されると、電源投入時にパスワードの入力要求メッセージを表示し、入力されたパスワードに対する認証処理を実行する。パーソナルコンピュータは、正当なパスワードが入力されたことを認証できた場合にシステムを起動する。
さらに、パーソナルコンピュータは、BIOSパスワードの認証時に、USB(Universal Serial Bus)メモリなどの外部デバイスに記録された認証用のデータを入力し、この認証用のデータをもとに認証処理をする代替認証機能を有したものがある。代替認証機能は、外部デバイスをパーソナルコンピュータに装着しておくことで、電源投入時に、毎回、パスワードを入力する必要がなくなるので、ユーザの利便性を図れる。
特開2007−1795号公報
このように、代替認証機能を利用することで、電源投入時に、毎回、パスワードを入力しなくて済む。しかしながら、認証用のデータが記録された外部デバイスをパーソナルコンピュータの所有者以外の他者が入手した場合、パーソナルコンピュータが起動されて、不正に使用される可能性がある。
本発明の目的は、不正な使用を回避することができる電子機器、認証装置及び認証方法を提供することである。
実施形態によれば、電子機器は、第1記録手段、第2記録手段、入力手段、及び第1認証手段とを有する。第1記録手段は、認証処理のために参照される第1認証データを記録する。第2記録手段は、認証処理を許可する時間を示すスケジュールデータを記録する。入力手段は、第2認証データを入力する。第1認証手段は、前記スケジュールデータが認証処理する時間を示す場合に、前記第2認証データが正当であるか、前記第1認証データをもとに判定する。
実施形態におけるパーソナルコンピュータのシステム構成を示すブロック図。 実施形態における代替認証に使用されるUSBメモリの構成を示すブロック図。 実施形態におけるスケジュール設定処理を示す図。 実施形態におけるスケジュール設定画面の一例を示す図。 実施形態におけるスケジュール設定画面の一例を示す図。 実施形態における代替認証スケジュールデータが示すスケジュールの一例を示す図。 実施形態における電源投入時のシステム起動処理について示すフローチャート。 実施形態における代替認証スケジュールデータの更新の一例を示す図。 実施形態におけるOS起動処理について示すフローチャート。 実施形態におけるUSBメモリの構成を示すブロック図。
以下、図面を参照して、実施形態について説明する。
実施形態に係る電子機器は、例えばノートブック型あるいはタブレット型のパーソナルコンピュータ10として実現されるものとする。なお、電子機器は、パーソナルコンピュータ10に限るものではなく、使用者を確認するための認証処理を実行する各種の機器を対象とすることができる。
図1は、実施形態におけるパーソナルコンピュータ10のシステム構成を示している。パーソナルコンピュータ10は、CPU11、メインメモリ13、グラフィクスコントローラ14、システムコントローラ15、ハードディスクドライブ(HDD)16、光ディスクドライブ(ODD)17、BIOS−ROM18、エンベデッドコントローラ/キーボードコントローラ(EC/KBC)19を有している。
CPU11は、パーソナルコンピュータ10の各コンポーネントの動作を制御するプロセッサである。CPU11は、電源投入時にBIOS−ROM18に記録されたBIOS(Basic Input Output System)を実行する。BIOSには、システム起動やBIOSパスワード認証に関係するプログラム(モジュール)が含まれる。また、CPU11は、HDD16からメインメモリ13にロードされる各種プログラム、例えば、オペレーティングシステム(OS)13a及び各種ユーティリティプログラムやアプリケーションプログラムを実行する。
本実施形態におけるOS13aは、予めログインパスワードを設定しておくことで、起動時にパスワードの入力を要求し、入力されたパスワードに対して認証処理をする機能を有する。また、OS13aは、パーソナルコンピュータ10を、休止状態(ハイバネーション)にしたりサスペンドしたりすることにより動作を一時的に停止させることができる。OS13aは、パーソナルコンピュータ10を一時的に停止させた状態から復帰させる際に、起動時と同様にしてパスワードの入力を要求し、入力されたパスワードに対して認証処理をすることができる。
ユーティリティプログラムには、パーソナルコンピュータ10において実行される認証処理を許可する時間を示すスケジュールデータを設定するためのスケジュール設定ユーティリティ13bが含まれる。スケジュール設定ユーティリティ13bは、スケジュール設定処理を実行して、ユーザからの指示に応じてスケジュールデータを作成する。
アプリケーションプログラムには、パーソナルコンピュータ10が単体で実行する各種アプリケーションの他、ネットワークを介して提供される各種サービスを利用するためのアプリケーションを実現する。ネットワークを介して提供される各種サービスには、例えばクラウドサービスなどがある。アプリケーションプログラムは、予めパスワード等の認証データを設定しておくことで、各種アプリケーションを実行する場合に、パスワードを入力して認証処理を実行することができる。
グラフィクスコントローラ14は、パーソナルコンピュータ10のディスプレイモニタとして使用されるLCD23を制御する表示コントローラである。
システムコントローラ15は、PCIバス24に接続されており、PCIバス24上の各デバイスとの通信を実行する。PCIバス24には、例えば通信デバイス25、USB(Universal Serial Bus)コントローラ26が接続される。通信デバイス25は、ネットワーク(有線あるいは無線)を介した外部装置との通信を制御する。USBコントローラ26は、コネクタ40を介して接続されたUSBメモリ41を制御する。本実施形態では、USBメモリ41は、BIOSパスワードの代替認証に使用されるもので、パーソナルコンピュータ10に設定されたBIOSパスワードに対応する、代替認証に使用される代替認証データ41aが記録される。USBメモリ41の詳細については後述する(図2参照)。また、システムコントローラ15は、ハードディスクドライブ(HDD)16及び光ディスクドライブ(ODD)17を制御するためのコントローラを内蔵している。
BIOS−ROM18は、ハードウェア制御のためのシステムプログラムであるBIOSを記録する。CPU11は、起動時に所定の操作(例えば、ファンクションキーの押下)によりBIOSセットアップが要求されると、BIOSセットアップ画面を表示してハードウェア制御のための設定をする。BIOSセットアップでは、BIOSパスワードを設定することができる。BIOSパスワードは、EC/KBC19に接続された秘匿領域として扱われるメモリ36に記録される。
また、BIOS−ROM18には、例えばシステム起動処理モジュール18a、BIOSパスワード認証処理モジュール18b、代替認証スケジュール設定モジュール18c、不正使用通知処理モジュール18d、代替認証スケジュールデータ18e、通知データ18fが含まれる。
システム起動処理モジュール18aは、電源投入時の起動処理を実行するためのもので、各種デバイスの初期化処理などを実行するためのモジュールである。
BIOSパスワード認証処理モジュール18bは、電源投入時のBIOSパスワード認証を実行するためのモジュールである。BIOSパスワード認証処理モジュール18bは、キーボード34の操作により入力されたパスワード、あるいはUSBメモリ41から入力された代替認証データ41aをEC/KBC19に送り、EC/KBC19による認証処理の判定結果を受信する。
代替認証スケジュール設定モジュール18cは、パーソナルコンピュータ10において実行される認証処理を許可する時間を示すスケジュールデータを設定するためのモジュールである。代替認証スケジュール設定モジュール18cは、電源投入時に起動されるBIOSセットアップにおいて、スケジュール設定が指示された場合に、スケジュール設定処理を実行して、ユーザからの指示に応じてスケジュールデータを作成する。
不正使用通知処理モジュール18dは、スケジュールデータが認証処理を許可する時間でない時に起動処理(システム起動、OS起動)が実行された場合など、不正な起動処理が実行された場合に、通知データ18fとして予め設定されている通知先に、例えば電子メールによって通知する通知処理のためのモジュールである。
代替認証スケジュールデータ18eは、認証処理を許可する時間を示すデータであり、スケジュール設定ユーティリティ13bあるいは代替認証スケジュール設定モジュール18cにより作成される。
通知データ18fは、不正使用通知処理モジュール18dによる通知処理において使用される、通知先を示すデータ(例えば、電子メールアドレス)や、通知メッセージを示すデータ(例えば、テキストデータ)が含まれる。通知データ18fは、スケジュール設定ユーティリティ13bあるいは代替認証スケジュール設定モジュール18cにより作成される。
EC/KBC19は、システムコントローラ15と接続されている。EC/KBC19は、パーソナルコンピュータ10の電力管理を実行するための電源管理コントローラ、キーボード34及びタッチパネル35などを制御するキーボードコントローラを内蔵した1チップマイクロコンピュータとして実現されている。また、EC/KBC19は、ユーザによる電源スイッチ33の操作に応じてパーソナルコンピュータ10を電源オン及び電源オフする機能を有している。
また、EC/KBC19には、秘匿領域として扱われるメモリ36が接続されている。EC/KBC19は、BIOSセットアップにより設定されたBIOSパスワード36aをメモリ36に記録する。EC/KBC19は、認証モジュール19aを有している。認証モジュール19aは、入力されたパスワードについての認証要求を受信すると、BIOSパスワード36aを参照して、入力されたパスワードが正当であるかを判定し、判定結果をCPU11に送信する。
電源回路21は、パーソナルコンピュータ10の本体に装着されたバッテリ30からの電力、またはパーソナルコンピュータ10の本体に、コネクタ31を介して外部電源として接続されるACアダプタ32からの電力を用いて、各コンポーネントへ供給すべき電力(動作電源)を生成する。ACアダプタ32が接続されている場合には、電源回路21は、ACアダプタ32からの電力を用いて各コンポーネントへの動作電源を生成すると共に、充電回路(図示せず)によりバッテリ30を充電する。
図2は、本実施形態における代替認証に使用されるUSBメモリ41の構成を示すブロック図である。
図2に示すように、USBメモリ41は、USBコネクタ50、制御部51、フラッシュメモリ52を有している。USBコネクタ50は、パーソナルコンピュータ10に設けられたUSBコネクタとの接続端子として機能する。
制御部51は、USBインタフェース54、MPU55、ROM56、RAM57、メモリインタフェース58を有している。USBインタフェース54は、USBコネクタ50を介して、パーソナルコンピュータ10から送信されるデータやコマンドを受信する。また、USBインタフェース54は、メモリインタフェース58を通じて入力された、フラッシュメモリ52から読み出されたデータを、USBコネクタ50を介してパーソナルコンピュータ10に送信する。フラッシュメモリ52には、例えば代替認証データ41aが記録され、パーソナルコンピュータ10の代替認証処理の際に読み出される。
MPU55は、パーソナルコンピュータ10から受信したコマンドやフラッシュメモリ52から読み出されたデータを、ROM56やRAM57を用いて処理する。ROM56は、MPU55における処理に必要なプログラムやデータを記録する。RAM57は、MPU55の処理における作業領域として使用される。メモリインタフェース58は、フラッシュメモリ52と接続され、MPU55の命令に従って、USBインタフェース54で受信したコマンドやデータをフラッシュメモリ52に転送する。また、メモリインタフェース58は、フラッシュメモリ52から読み出されたデータをUSBインタフェース54へ転送する。
フラッシュメモリ52は、MPU55の制御によりデータが記録される。USBメモリ41がパーソナルコンピュータ10において実行される代替認証の外部デバイス(トークン)として使用される場合、例えばパーソナルコンピュータ10のユーザとは別のシステム管理者等の作業によって代替認証データ41aが予め記録される。代替認証データ41aは、パーソナルコンピュータ10からの要求に応じて読み出される。
なお、前述した説明では、代替認証にUSBメモリ41を使用するとしているが、代替認証データ41aを記録するメモリが実装された他の外部デバイスを用いることも可能である。また、外部デバイスは、代替認証データとして用いるデータを入力する入力モジュール(例えば、指紋などの生体情報を入力する入力モジュール)を設けた構成とすることもできる。
次に、本実施形態におけるパーソナルコンピュータ10の動作について説明する。
本実施形態におけるパーソナルコンピュータ10は、BIOSセットアップにおいてBIOSパスワードを設定しておくことで、電源投入時にBIOSパスワード認証を実行する。パーソナルコンピュータ10は、電源投入時に、代替認証データ41aが予め記録されたUSBメモリ41がコネクタ40に装着されていると、USBメモリ41から代替認証データ41aを読み出して代替認証を実行する。従って、電源投入時にUSBメモリ41を装着しておくことで、BIOSパスワード認証のためにキーボード34を操作してパスワードを入力する必要がなく、ユーザの利便性を高めている。本実施形態におけるパーソナルコンピュータ10は、さらに認証処理を許可する時間を示すスケジュールデータを予め設定しておくことで、認証処理を許可する時間外では代替認証が実行されないようにできる。これにより、USBメモリ41が正当なユーザ以外の他者に渡ったとしても、認証処理を許可する時間外においてパーソナルコンピュータ10が起動されないようにできる。
次に、スケジュールデータを設定するスケジュール設定処理について、図3に示すフローチャートを参照しながら説明する。
本実施形態におけるスケジュール設定処理は、BIOSセットアップの1つの機能として、代替認証スケジュール設定モジュール18cにより実行する第1の設定方法と、スケジュール設定ユーティリティ13bにより実行する第2の設定方法がある。
まず、第1の方法について説明する。
BIOSセットアップにおいてスケジュールデータの設定が指示されると、CPU11は、代替認証スケジュール設定モジュール18cを実行して、スケジュール設定処理を開始する。CPU11は、グラフィクスコントローラ14を通じて、LCD23にスケジュール設定画面を表示させる。CPU11は、スケジュール設定画面を通じて、代替認証許可時間あるいは代替認証禁止可時間の指定を入力する(ステップC2)。
図4は、代替認証スケジュール設定モジュール18cにより表示されるスケジュール設定画面の一例を示す図である。図4に示すスケジュール設定画面では、1週間分の各曜日(月曜日から土曜日)について、24時間(00時〜23時)のスケジュールを指定することができる。スケジュール設定画面では、例えばキーボード34のカーソルキーの操作に応じて、表示位置が移動するカーソル60が表示されている。CPU11は、キーボード34の予め決められたキーが押下されると、カーソル60が表示された位置に「○」マークを表示させる。「○」マークが表示された時間は、BIOSパスワード代替認証許可時間として設定されたことを示す。また、CPU11は、「○」マークが表示されている位置にカーソル60に合わせた状態で、キーボード34の予め決められたキーが押下されると、カーソル60の位置の「○」マークを消去させる。「○」マークが表示されていない時間は、BIOSパスワード代替認証禁止時間として設定されたことを示す。
スケジュール設定画面に表示された「ENTRY」項目の「YES」の位置にカーソル61が移動され、キーボード34の確定キーが押下されると、CPU11は、スケジュールの設定が完了したと判別し(ステップC3、Yes)、スケジュール設定画面における設定内容に応じて代替認証スケジュールデータ18eを生成して、BIOS−ROM18に記録する(ステップC4)。
次に、第2の方法について説明する。なお、第2の方法は、第1の方法と同様にして、図3のフローチャートに示す手順により実行されるものとして詳細な説明を省略する。
図5は、スケジュール設定ユーティリティ13bにより表示されるスケジュール設定画面の一例を示す図である。図5に示すスケジュール設定画面では、1週間分の各曜日(月曜日から土曜日)について、24時間(00時〜23時)のスケジュールを設定することができる。スケジュール設定画面では、スケジュールの設定対象とする日付を入力する日付指定領域62が設けられ、日付指定領域62により指定された日から1週間分のスケジュール指定領域が表示されている。スケジュール設定画面では、例えばタッチパネル35(あるいはマウスなどのポインティングデバイス)の操作に応じて移動するカーソル63が必要されている。
ユーザは、何れかのスケジュール指定領域において、例えばカーソル63をドラッグ操作(所定のキーを押下しながらカーソル63を移動させる操作)をすることで、ドラッグした範囲をBIOSパスワード代替認証許可時間として指定することができる。図5では、ハッチングによって示す範囲がBIOSパスワード代替認証許可時間となり、その他の範囲がBIOSパスワード代替認証禁止時間となる。
OKボタン64がカーソル63の操作によって指定されると、CPU11は、スケジュール設定画面(スケジュール指定領域)で指定された内容に応じて代替認証スケジュールデータ18eを生成して、BIOS−ROM18に記録する。
なお、図5に示すように、BIOSパスワード代替認証許可時間として指定された範囲をグラフィカルに表示するだけでなく、指定された時間を数字によって表示するようにしても良い。
また、図4及び図5に示すスケジュール設定画面では、1週間分のスケジュールを設定できる例を示しているが、特定の日付を指定して、日単位で個別にスケジュールを設定しても良い。また、スケジュール設定画面を通じて設定した代替認証スケジュールデータ18eを継続して使用するか、経過分の代替認証スケジュールデータ18eを無効化するかを設定できるようにしても良い。
さらに、スケジュール設定画面において、不正使用通知処理モジュール18dにより通知処理を実行するか否かを設定できるようにしても良い。通知処理は、例えばBIOSパスワード代替認証禁止時間にパーソナルコンピュータ10のシステム起動処理が実行された場合、あるいはBIOSパスワード代替認証許可時間であっても代替認証に失敗した場合に、通知データ18fとして予め設定されている通知先に、例えば電子メールによって通知する。なお、通知先(電子メールアドレス)やメッセージ(メール内容)についても、スケジュール設定画面においてユーザが任意に設定できるようにしても良い。
なお、スケジュールの無効化の有無や、通知処理の実行の有無を示す設定内容を示すデータは、BIOS−ROM18に記録されるものとする。
図6は、スケジュール設定処理によって設定された代替認証スケジュールデータ18eが示すスケジュールの一例を示す図である。
図6において、「○」によって示す時間がBIOSパスワード代替認証許可時間であり、「×」によって示す時間がBIOSパスワード代替認証禁止時間となる。
例えば、ユーザは、月曜日において、9時から20時までパーソナルコンピュータ10を使用する予定であるため、この時間をBIOSパスワード代替認証許可時間としている。この時間内であれば、代替認証によりシステムを起動することができるため、代替認証(USBメモリ41)を利用することによるユーザの利便性を確保することができる。この時間内では、正当なユーザがパーソナルコンピュータ10を使用しているため、代替認証データ41aが記録されたUSBメモリ41が他者によって取得されたとしても、他者がパーソナルコンピュータ10を不正に利用することは困難である。
一方、BIOSパスワード代替認証禁止時間では、正当なユーザがパーソナルコンピュータ10から離れている可能性が高い。この時間内では、USBメモリ41が他者によって取得されていると、他者がUSBメモリ41を利用してパーソナルコンピュータ10の不正なシステム起動を試みる可能性がある。本実施形態では、代替認証スケジュールデータ18eを予め設定しておくことで、BIOSパスワード代替認証禁止時間では代替認証を無効にして、システム起動させないようにする。
次に、本実施形態における電源投入時のシステム起動処理について、図7に示すフローチャートを参照しながら説明する。
ユーザによる電源スイッチ33への操作により電源投入されると、CPU11は、システム起動処理モジュール18aにより各種デバイスについての初期化処理を実行する(ステップA1)。例えば、初期化処理によって、LCD23、HDD16やODD17などの記録デバイス、PCIバス24を介して接続された通信デバイス25やUSBコントローラ26などのデバイス、キーボード34やタッチパネル35等の入力デバイスを動作可能にする。
初期化処理が終了すると、CPU11は、BIOSパスワード認証処理モジュール18bによるBIOSパスワード認証のための処理を実行する。CPU11は、秘匿領域(メモリ36)にBIOSパスワード36aが記録されているかを判別する。ここで、BIOSパスワード36aが記録されていない場合には(ステップA2、No)、通常の起動処理を実行し、OS13aの起動を開始する(ステップA11)。OS13aの起動処理は、後述する図9に示すフローチャートに従って実行されるものとする。
一方、BIOSパスワード36aが記録されている場合(ステップA2、Yes)、CPU11は、代替認証用の外部デバイスがパーソナルコンピュータ10に装着されているかを判別する。すなわち、CPU11は、USBコントローラ26を通じて、代替認証データ41aが記録されたUSBメモリ41が装着されているかを判別する。
ここでUSBメモリ41が装着されていない場合(ステップA3、No)、CPU11は、通常のBIOSパスワード認証を実行する。すなわち、CPU11は、LCD23にBIOSパスワードの入力を要求する画面を表示し、キーボード34に対するキー操作によりパスワードを入力する(ステップA9)。CPU11は、キーボード34へのキー操作により入力されたパスワードをEC/KBC19に送信して、パスワードの正当性の判定を要求する。
EC/KBC19の認証モジュール19aは、CPU11から受信したパスワードが正当であるか、メモリ36に記録されたBIOSパスワード36aをもとに判定する。EC/KBC19は、認証モジュール19aによる判定結果をCPU11に送信する。
CPU11は、EC/KBC19(認証モジュール19a)によって、入力されたパスワードが正当でないと判定された場合、すなわちパスワード認証が失敗した場合には(ステップA10、No)、システム起動処理を終了して、EC/KBC19に電源オフを指示する(ステップA12)。また、CPU11は、EC/KBC19(認証モジュール19a)によって、入力されたパスワードが正当であると判定された場合、すなわちパスワード認証が成功した場合には(ステップA10、Yes)、OS13aの起動を開始する(ステップA11)。
一方、USBメモリ41が装着されていた場合(ステップA3、Yes)、CPU11は、BIOS−ROM18に記録された代替認証スケジュールデータ18eを取得し、現在がBIOSパスワード代替認証許可時間内であるか判別する。代替認証許可時間内であると判別された場合(ステップA5、Yes)、CPU11は、代替認証処理を実行する(ステップA6)。すなわち、CPU11は、USBコントローラ26を通じて、USBメモリ41に記録された代替認証データ41aを入力し、この代替認証データ41aをEC/KBC19に送信して、パスワードの正当性の判定を要求する。
EC/KBC19の認証モジュール19aは、CPU11から受信した代替認証データ41aが正当であるか、メモリ36に記録されたBIOSパスワード36aをもとに判定する。EC/KBC19は、認証モジュール19aによる判定結果をCPU11に送信する。
CPU11は、EC/KBC19(認証モジュール19a)によって、USBメモリ41から入力された代替認証データ41aが正当であると判定された場合、すなわちパスワード代替認証が成功した場合には(ステップA7、Yes)、OS13aの起動を開始する(ステップA11)。(図7に示すステップA8については後述する)。
一方、現在がBIOSパスワード代替認証禁止時間内であると判別された場合(ステップA5、No)、CPU11は、通常のBIOSパスワード認証を実行する。すなわち、CPU11は、代替認証データ41aが記録されたUSBメモリ41が装着されていたとしても、BIOSパスワード代替認証禁止時間内であれば代替認証を実行しない。従って、USBメモリ41が他者に取得され、このUSBメモリ41を用いてシステム起動処理が試みられたとしても、代替認証によってシステムを起動することができない。
通常のBIOSパスワード認証では、CPU11は、LCD23にBIOSパスワードの入力を要求する画面を表示し、キーボード34に対するキー操作によりパスワードを入力する(ステップA9)。(図7に示すステップA13については後述する)。そして、CPU11は、キー操作により入力されたパスワードによってパスワード認証が成功した場合に(ステップA10、Yes)、OS13aの起動を開始する(ステップA11)。すなわち、BIOSパスワード代替認証禁止時間内では、BIOSパスワードをキー入力できる正当なユーザのみがシステムを起動することができる。
なお、BIOSパスワード代替認証許可時間内であっても、コネクタ40に装着されたUSBメモリ41に他のパーソナルコンピュータに対応する代替認証データ41aが記録されていた場合には代替認証が失敗する(ステップA7、No)。この場合、CPU11は、通常のBIOSパスワード認証を実行する(ステップA9、A10)。
このようにして、本実施形態におけるパーソナルコンピュータ10では、BIOS−ROM18に予め代替認証スケジュールデータ18eを記録しておくことで、代替認証データ41aが記録されたUSBメモリ41が装着されていても、BIOSパスワード代替認証禁止時間内には代替認証を実行しない。従って、USBメモリ41が他者に取得されたとしても、ユーザがパーソナルコンピュータ10の使用を意図していないパスワード代替認証禁止時間では、USBメモリ41を用いた代替認証によってシステム起動することができない。これにより、他者によるパーソナルコンピュータ10の不正な使用を回避することが可能である。
次に、図7に示すステップA8について説明する。
前述したスケジュール設定処理では、経過分の代替認証スケジュールデータ18eを無効化するように設定することができる。CPU11は、代替認証データ41aに対する代替認証を実行した場合、代替認証スケジュール設定モジュール18cによって代替認証スケジュールデータ18eを変更する。すなわち、CPU11は、経過分のスケジュールを無効化する設定がされている場合、USBメモリ41を用いた代替認証が成功すると、BIOS−ROM18に記録された代替認証スケジュールデータ18eを、代替認証を実行した時刻に基づいて更新する(ステップA8)。例えば、代替認証を実行した時刻以前のBIOSパスワード代替認証許可時間を無効(BIOSパスワード代替認証禁止時間)にする。
図8は、代替認証スケジュールデータ18eの更新の一例を示す図である。
ここでは、図6に示すように、1週間分(月曜日〜日曜日)のスケジュールが設定されており、月曜日の12時台に代替認証処理が実行されたものとする。この場合、図8に示すように、BIOSパスワード代替認証許可時間であった月曜日の9時〜12時まで(図8中のハッチングで示す)をBIOSパスワード代替認証禁止時間とするように、代替認証スケジュールデータ18eを更新する。
このようにして、代替認証スケジュールデータ18eをもとに代替認証を実行した場合に、過去分のスケジュールを無効にすることで、古い代替認証スケジュールデータ18eを使用して代替認証処理が制御されないようすることができる。過去分のスケジュールを無効にする場合には、次週分の代替認証スケジュールデータ18eを再設定することになり、ユーザのパーソナルコンピュータ10を使用する予定に合わせた適切なスケジュールにすることができる。このため、USBメモリ41を用いた不正な代替認証をより困難にすることができる。
なお、前述した説明では、代替認証を実行する毎に、代替認証を実行した時刻に基づいて代替認証スケジュールデータ18eを時間単位で更新しているが、例えば分単位、日単位、週単位など、他のタイミングで過去分のスケジュールを無効にするようにしても良い。例えば、火曜日にパーソナルコンピュータ10が代替認証により起動された場合に、月曜日について設定されたスケジュールを無効にする。また、複数週分の代替認証スケジュールデータ18eを設定することができる場合、同様にして1週分単位でスケジュールを無効にする。
次に、図7に示すステップA13について説明する。
前述したスケジュール設定処理では、通知処理を実行するように設定することができる。CPU11は、BIOSパスワード代替認証禁止時間にパーソナルコンピュータ10のシステム起動処理が実行された場合(ステップA5、No)、あるいはBIOSパスワード代替認証許可時間であっても代替認証に失敗した場合(ステップA7、No)に、不正使用通知処理モジュール18dにより通知処理を実行する。
通知処理では、例えば、通知データ18fとして設定された通知先(電子メールアドレス)に対して、予め決められたメッセージの電子メールを、通信デバイス25を通じて送信する。例えば、システム管理者宛の電子メールアドレスを設定しておくことで、パーソナルコンピュータ10に対して不正なシステム起動が試みられたことを、システム管理者に対して速やかに通知することができる。
なお、複数の通知先を設定しておくことで、同時に複数の通知先に電子メールを送信するようにしても良い。また、BIOSパスワード代替認証禁止時間にシステム起動処理が実行された場合と代替認証に失敗した場合とで異なるメッセージが送信されるようにしても良い。
また、前述した通知処理では、システム起動処理の実行時刻やUSBメモリ41を識別するデータなどを、ログとしてBIOS−ROM18に記録するようにしても良い。
次に、本実施形態におけるOS起動処理について、図9に示すフローチャートを参照しながら説明する。
前述した説明では、電源投入時にBIOSパスワード認証をする場合を対象としているが、ここでは、OS起動処理時のログインパスワード認証する場合を対象にする。図9のフローチャートに示す処理は、OS13aに含まれる機能として実行しても良いし、既存のOS13aに追加されるプログラムによって実行しても良い。
なお、図9に示すステップB1〜B12の処理は、認証対象がOS13aにより管理されるログインパスワードとする点が異なるだけで、基本的に図7に示すステップA2〜A13と同様にして実行されるものとして詳細な説明を省略する。
本実施形態におけるOS起動処理では、BIOSパスワードに対する代替認証と同様にして、外部デバイス(USBメモリ41)にログインパスワードに対する代替認証データが記録されるものとする。従って、USBメモリ41には、BIOSパスワードに対する代替認証データ41aと、OS13aのログインパスワードの代替認証用データが記録されるものとする。また、代替認証スケジュールデータ18eは、ログインパスワードの代替認証を実行するか否かを判定する場合にも使用されるものとする。ログインパスワードの代替認証を実行するか否かを判定するために、代替認証スケジュールデータ18eとは別のスケジュールデータを個別に設定しておくようにしても良い。
ログインパスワード認証は、ログインパスワードを予め登録しておくことにより起動時に実行される。OS起動処理は、前述したシステム起動処理に続けて実行される他、ハイバネーションやサスペンドにより動作が一時的に停止された状態から復帰させる際に実行される。
動作が一時的に停止された状態から復帰させる際には、BIOSパスワード認証が実行されないが、OS起動処理において、代替認証スケジュールデータ18eが示す代替認証禁止時間では代替認証が実行されないようにすることができる。このため、ログインパスワード認証用の代替認証データが記録されたUSBメモリ41が他者によって取得されたとしても、動作が一時的に停止された状態にあるパーソナルコンピュータ10が不正に起動されないようにできる。
なお、前述した説明では、OS起動処理時のログインパスワード認証する場合を対象にしているが、アプリケーションプログラムの実行時のパスワード認証を対象とすることもできる。例えば、予めパスワード等の認証データを設定しておくことで、各種アプリケーションを実行する場合(クラウドサービスの利用時など)に、パスワードを入力して認証処理を実行する。この場合、前述と同様にして、外部デバイス(USBメモリ41)を利用したパスワードの代替認証を可能とし、予め設定されたスケジュールデータによって、代替認証許可時間にのみ代替認証が実行されるようにする。これにより、パーソナルコンピュータ10を利用した不正なアプリケーションの実行を回避することが可能となる。
次に、代替認証に利用するUSBメモリ41の変形例について説明する。
前述した説明では、BIOS−ROM18に代替認証スケジュールデータ18eが記録されるとしているが、図2に示すように、代替認証スケジュールデータ18eに代えて、USBメモリ41に代替認証スケジュールデータ41bを記録するようにしても良い。この場合、代替認証スケジュールデータ41bは、USBメモリ41が他者に取得された場合であっても、スケジュールが書き換えられないようなデータ形式になっているものとする。USBメモリ41(MPU55)は、パーソナルコンピュータ10においてスケジュール設定ユーティリティ13bが実行され、代替認証スケジュールデータ41bの変更が指示された場合に、この指示に応じて代替認証スケジュールデータ41bを変更する。
また、図10に示す構成の外部デバイス(USBメモリ68)を利用することができる。図10に示すUSBメモリ68は、USBコネクタ70、制御部71、フラッシュメモリ72、及び入力モジュール73を有している。また、制御部71は、USBインタフェース74、MPU75、ROM76、RAM77、メモリインタフェース78を有している。USBメモリ68は、基本的に、図2に示すUSBメモリ41と同様に構成されているものとして詳細な説明を省略する。
前述した説明では、USBメモリ41に予め代替認証データ41aが記録されているものとしているが、USBメモリ68を用いた場合、入力モジュール73から入力されたデータを代替認証データとして使用する。入力モジュール73は、例えば生体情報を入力するためのセンサである。入力モジュール73は、生体情報として、例えば指紋をスキャンして指紋パターンのデータを入力する。USBメモリ68は、指紋パターンのデータを代替認証データとして、パーソナルコンピュータ10に出力する。
なお、USBメモリ68は、指紋パターン以外の生体情報を入力するようにしても良い。例えば、虹彩パターン、掌紋パターン、静脈パターンなどを入力する入力モジュール73を設けても良い。
また、USBメモリ68は、代替認証用の外部デバイスとして使用するために代替認証データを入力しているが、自らに設けられた機能を起動させるために、入力モジュール73から認証データを入力するようにしても良い。この場合、例えば図10に示すように、フラッシュメモリ72には認証データ72aが記録されているものとする。認証データ72aは、例えば、正当なユーザによって予め入力モジュール73から入力されたデータをもとに生成されているものとする。
また、フラッシュメモリ72には、パーソナルコンピュータ10aにおいて実行されるユーティリティプログラム等によって認証スケジュールデータ72bが記録される。認証スケジュールデータ72bは、前述した代替認証スケジュールデータ18eと同様にして、認証処理許可時間を示すデータであり、USBメモリ68が他者に取得された場合であっても、スケジュールが書き換えられないようなデータ形式になっているものとする。
MPU75は、ROM76に記録された認証プログラム76aを実行することにより、入力モジュール73から入力されたデータに対する認証処理を実行する認証モジュール75aを実現する。
認証モジュール75aは、入力モジュール73によって生体情報等のデータが入力されると、認証スケジュールデータ72bを参照して、現在が認証処理許可時間であるか判別する。認証モジュール75aは、認証処理許可時間でないと判別された場合、入力モジュール73から入力されたデータに対して認証処理を実行しない。このため、USBメモリ68に設けられた機能が実行されない。一方、認証処理許可時間であった場合には、認証モジュール75aは、入力されたデータに対して、認証データ72aをもとに認証処理を実行し、正当なデータであると判定された場合に、USBメモリ68に設けられた機能を起動する。当然ながら認証処理に失敗した場合には、USBメモリ68に設けられた機能を起動しない。
このようにして、認証スケジュールデータ72bが示す認証処理許可時間のみ認証処理を実行するので、USBメモリ68に設けられた機能の利用を制限できる。例えば、認証スケジュールデータ72bを設定するユーティリティプログラムをシステム管理者のみが実行可能であれば、USBメモリ68の正当な使用者であっても、システム管理者が設定した認証処理許可時間内だけでUSBメモリ68を使用できるようになる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
10…パーソナルコンピュータ、11…CPU、18…BIOS−ROM、18b…BIOSパスワード認証処理モジュール、18e…代替認証スケジュールデータ、19…EC/KBC、41…USBメモリ、41a…代替認証データ。

Claims (10)

  1. 第1認証データを記録するための第1記録手段と、
    認証処理する時間を示すスケジュールデータを記録するための第2記録手段と、
    第2認証データを入力する第1入力手段と、
    前記スケジュールデータが認証処理する時間を示す場合に、前記第2認証データが正当であるか、前記第1認証データをもとに判定する第1認証手段と
    を具備する電子機器。
  2. 前記スケジュールデータを示すデータを入力し、前記第2記録手段に記録させるスケジュール設定手段をさらに具備する請求項1記載の電子機器。
  3. 前記第1入力手段は、前記第2認証データを外部デバイスから入力する請求項1記載の電子機器。
  4. 前記第1入力手段は、前記認証処理により前記第2認証データが正当であると判定されなかった場合に第3認証データを入力し、
    前記第1認証手段は、前記第1認証データをもとに、前記第3認証データが正当であるか判定する請求項3記載の電子機器。
  5. 前記第2認証データに対する認証処理をした場合に、前記スケジュールデータを更新する更新手段をさらに具備する請求項1記載の電子機器。
  6. 前記第1認証手段による認証処理の後に第4認証データを入力する第2入力手段と、
    前記スケジュールデータが認証処理する時間を示す場合、前記第4認証データが正当であるか判定する第2認証手段と
    をさらに具備する請求項1記載の電子機器。
  7. 前記スケジュールデータが認証処理する時間を示していない場合、予め決められた通知先に通知する通知手段をさらに具備する請求項1記載の電子機器。
  8. 電子機器と接続するための接続手段と、
    前記電子機器による認証処理に参照される認証データを記録する第1記録手段と、
    前記認証処理する時間を示すスケジュールデータを記録するための第2記録手段と
    を具備する認証装置。
  9. 前記電子機器からの指示に応じて前記スケジュールデータを変更する変更手段をさらに具備する請求項8記載の認証装置。
  10. 第1認証データを記録し、
    認証処理すべき時間を示すスケジュールデータを記録し、
    第2認証データを入力し、
    前記スケジュールデータが認証処理する時間を示す場合に、前記第2認証データが正当であるか、前記第1認証データをもとに判定する認証方法。
JP2012147410A 2012-06-29 2012-06-29 電子機器、認証装置、認証方法 Abandoned JP2014010673A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012147410A JP2014010673A (ja) 2012-06-29 2012-06-29 電子機器、認証装置、認証方法
US13/787,159 US20140007226A1 (en) 2012-06-29 2013-03-06 Electric apparatus, authentication device and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012147410A JP2014010673A (ja) 2012-06-29 2012-06-29 電子機器、認証装置、認証方法

Publications (1)

Publication Number Publication Date
JP2014010673A true JP2014010673A (ja) 2014-01-20

Family

ID=49779759

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012147410A Abandoned JP2014010673A (ja) 2012-06-29 2012-06-29 電子機器、認証装置、認証方法

Country Status (2)

Country Link
US (1) US20140007226A1 (ja)
JP (1) JP2014010673A (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9218508B2 (en) * 2013-09-06 2015-12-22 Getac Technology Corporation Electronic device and protection method thereof
US9811654B2 (en) * 2014-06-11 2017-11-07 Dell Products L.P. Systems and methods for providing authentication using a managed input/output port
CN105450405B (zh) 2014-07-18 2018-10-02 阿里巴巴集团控股有限公司 一种密码设置和认证方法及***
US11269984B2 (en) * 2014-12-09 2022-03-08 Janus Technologies, Inc. Method and apparatus for securing user operation of and access to a computer system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2240881C (en) * 1998-06-17 2007-12-04 Axs Technologies Inc. Shared intelligence automated access control system
JP2003067338A (ja) * 2001-08-27 2003-03-07 Nec Gumma Ltd セキュリティ保護システム、セキュリティ保護方法、及びセキュリティ保護プログラム
US7577995B2 (en) * 2003-09-16 2009-08-18 At&T Intellectual Property I, L.P. Controlling user-access to computer applications
JP2006079194A (ja) * 2004-09-07 2006-03-23 Hitachi Ltd ストレージネットワークシステム
JP4364220B2 (ja) * 2006-06-23 2009-11-11 シャープ株式会社 画像処理システム
US8205092B2 (en) * 2007-06-26 2012-06-19 Novell, Inc. Time-based method for authorizing access to resources
JP5121340B2 (ja) * 2007-07-30 2013-01-16 キヤノン株式会社 印刷装置、印刷制御方法、及びコンピュータプログラム
US8640209B2 (en) * 2010-03-06 2014-01-28 International Business Machines Corporation Authentication information change facility

Also Published As

Publication number Publication date
US20140007226A1 (en) 2014-01-02

Similar Documents

Publication Publication Date Title
Sun et al. TrustOTP: Transforming smartphones into secure one-time password tokens
CN107222485B (zh) 一种授权方法以及相关设备
JP4982825B2 (ja) コンピュータおよび共有パスワードの管理方法
US9769169B2 (en) Secure sensor data transport and processing
JP5981035B2 (ja) ハードウェアによるアクセス保護
KR20180041532A (ko) 전자 장치들 간 연결 방법 및 장치
CN103890716A (zh) 用于访问基本输入/输出***的功能的基于网页的接口
JP2011210129A (ja) 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム
US10089484B2 (en) Method and system for destroying sensitive enterprise data on portable devices
TWI694701B (zh) 基於tee和ree的分離式切換方法及其系統
JP2007336287A (ja) 電子機器および無線接続制御方法
JP2007299034A (ja) 情報処理装置および認証制御方法
KR102337990B1 (ko) 권한 설정 토큰을 이용하는 전자 장치
JP2014010673A (ja) 電子機器、認証装置、認証方法
US11934247B2 (en) Information processing apparatus and information processing method
JP2008065459A (ja) 情報処理装置、周辺装置、およびプログラム
JP2021152975A (ja) 情報処理装置、制御方法、およびプログラム
JP6322976B2 (ja) 情報処理装置及びユーザ認証方法
US20210126909A1 (en) Information Handling Systems And Methods To Manage Tickets Based On User Presence, System State And Ticket Management Policy
JP7090140B2 (ja) 情報処理装置、及びbios管理方法
US9870452B1 (en) Assigning new passcodes to electronic devices
JP2015228098A (ja) Otp生成システム、及び携帯通信端末
JP5365398B2 (ja) セキュリティ管理プログラム管理方法、コンピュータプログラム、及び、情報記録媒体
KR20150110236A (ko) 핸드폰과 연동한 컴퓨터보안 시스템의 운영방법
CN113892064A (zh) 信息提供方法、信息提供***以及服务器

Legal Events

Date Code Title Description
RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20140319

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150324

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20150622