JP3293760B2 - 改ざん検知機能付きコンピュータシステム - Google Patents
改ざん検知機能付きコンピュータシステムInfo
- Publication number
- JP3293760B2 JP3293760B2 JP13718197A JP13718197A JP3293760B2 JP 3293760 B2 JP3293760 B2 JP 3293760B2 JP 13718197 A JP13718197 A JP 13718197A JP 13718197 A JP13718197 A JP 13718197A JP 3293760 B2 JP3293760 B2 JP 3293760B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- storage information
- falsification
- inspected
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Description
【0001】
【発明の属する技術分野】本発明は、改ざん検知機能付
きコンピュータシステムに関し、特にコンピュータシス
テムの起動時にファイルの改ざんの検知を行なう改ざん
検知機能付きコンピュータシステムに関する。
きコンピュータシステムに関し、特にコンピュータシス
テムの起動時にファイルの改ざんの検知を行なう改ざん
検知機能付きコンピュータシステムに関する。
【0002】
【従来の技術】従来、この種の改ざん検知機能付きコン
ピュータシステムは、例えば第1の例として「インテグ
リティチェック法を中心としたコンピュータウイルス対
策システムの研究報告書」(1996年3月 情報処振
興事業協会発行)に示されるように、コンピュータウイ
ルス(以下単にウイルスと呼ぶ)によるプログラムファ
イルの改ざんを検知するために用いられている。この報
告書に示されているシステムはデジタル署名と呼ばれる
暗号技術を用いてウイルスによるプログラムファイルの
改ざんを検知している。この基本原理を図12を用いて
説明する。
ピュータシステムは、例えば第1の例として「インテグ
リティチェック法を中心としたコンピュータウイルス対
策システムの研究報告書」(1996年3月 情報処振
興事業協会発行)に示されるように、コンピュータウイ
ルス(以下単にウイルスと呼ぶ)によるプログラムファ
イルの改ざんを検知するために用いられている。この報
告書に示されているシステムはデジタル署名と呼ばれる
暗号技術を用いてウイルスによるプログラムファイルの
改ざんを検知している。この基本原理を図12を用いて
説明する。
【0003】改ざんの有無を検査すべきプログラムファ
イルには予めデジタル署名(以下単に署名と呼ぶ)を生
成しておく。これは署名生成プログラムで、まず検査す
べきプログラムファイルをHash関数と呼ばれる関数
で圧縮し、圧縮値を秘密の鍵(以下秘密鍵と呼ぶ)で暗
号化し、その暗号データを署名とする(図12A)。
イルには予めデジタル署名(以下単に署名と呼ぶ)を生
成しておく。これは署名生成プログラムで、まず検査す
べきプログラムファイルをHash関数と呼ばれる関数
で圧縮し、圧縮値を秘密の鍵(以下秘密鍵と呼ぶ)で暗
号化し、その暗号データを署名とする(図12A)。
【0004】検査時には、プログラムファイルを再度H
ash関数で圧縮した値と、署名を公開された鍵(以下
公開鍵と呼ぶ)で復号化した値とを比較する(図12
B)。プログラムが改ざんされていなければこの2つの
値は一致する。一致しなければ何らかの改ざんがあった
と判断できる。
ash関数で圧縮した値と、署名を公開された鍵(以下
公開鍵と呼ぶ)で復号化した値とを比較する(図12
B)。プログラムが改ざんされていなければこの2つの
値は一致する。一致しなければ何らかの改ざんがあった
と判断できる。
【0005】ここで用いる暗号方式は、非対称暗号ある
いは公開鍵暗号と呼ばれるもので、暗号化する鍵と復号
化する鍵が異なり、一方から他方が推測できない性質を
持つものである。プログラムファイルの改ざんを隠蔽す
るために署名を偽造することは秘密鍵を知り得ない限り
不可能である。
いは公開鍵暗号と呼ばれるもので、暗号化する鍵と復号
化する鍵が異なり、一方から他方が推測できない性質を
持つものである。プログラムファイルの改ざんを隠蔽す
るために署名を偽造することは秘密鍵を知り得ない限り
不可能である。
【0006】またHash関数とは入力データを160
ビット程度に圧縮する一方向性関数である。一方向性関
数とは、ある値に変換される元の値を逆算することが計
算量的に不可能な関数を言う。従って改ざんを隠蔽する
ためにHash関数による圧縮値が変らないように改ざ
ん内容を調整する必要があるが、これも不可能である。
ビット程度に圧縮する一方向性関数である。一方向性関
数とは、ある値に変換される元の値を逆算することが計
算量的に不可能な関数を言う。従って改ざんを隠蔽する
ためにHash関数による圧縮値が変らないように改ざ
ん内容を調整する必要があるが、これも不可能である。
【0007】前述の報告書付録5ページには、この従来
技術の試作システム「IPAInCS」の運用上の注意
が記述されている。そこには、OSと署名検証システム
をライトプロテクトを施したFDで保持し、そのFDで
コンピュータを立ち上げてから実行する方法が安全だと
している。これはOSローダやOSファイル、もしくは
署名検証システム自身がウイルスに感染した場合に、署
名検証システムで改ざんの有無を検査をする以前にウイ
ルスが動作してしまうからである。このウイルスがステ
ルス機能を持つものであれば、後から感染(つまり改ざ
ん)されたプログラムファイルを検査しても、改ざんは
隠蔽されて検知できない。ステルス機能が検査のために
プログラムファイルを読み込むのを事前に察知し、改ざ
ん部分を修復した読み込み結果を渡すからである。
技術の試作システム「IPAInCS」の運用上の注意
が記述されている。そこには、OSと署名検証システム
をライトプロテクトを施したFDで保持し、そのFDで
コンピュータを立ち上げてから実行する方法が安全だと
している。これはOSローダやOSファイル、もしくは
署名検証システム自身がウイルスに感染した場合に、署
名検証システムで改ざんの有無を検査をする以前にウイ
ルスが動作してしまうからである。このウイルスがステ
ルス機能を持つものであれば、後から感染(つまり改ざ
ん)されたプログラムファイルを検査しても、改ざんは
隠蔽されて検知できない。ステルス機能が検査のために
プログラムファイルを読み込むのを事前に察知し、改ざ
ん部分を修復した読み込み結果を渡すからである。
【0008】我が国におけるコンピュータウィルス感染
被害の報告の半数以上が、OSローダに感染するブート
セクタ感染ウイルスである現在、前記のような運用方法
をとる必要性は高い。
被害の報告の半数以上が、OSローダに感染するブート
セクタ感染ウイルスである現在、前記のような運用方法
をとる必要性は高い。
【0009】プログラムファイルの改ざんを防止するシ
ステムの例としては、特開平6−230959号公報に
示されるものがある。このシステムでは、専用の拡張ボ
ードを用いて、機能を拡張したBIOSとDOSを動作
させることにより、プログラムファイルが不正に書き換
えられることを防止している。しかしこのシステムは、
万が一プログラムファイルの改ざんがあった後にそれを
検知できる仕組みではなく、本発明とは目的が異なるの
で、本方式の代替の方法となるものではない。しかも、
ウイルスが感染のためにプログラムファイルを改ざんす
るのを監視するものであり、任意のファイル(例えばセ
キュリティの設定や暗号鍵などを格納したデータファイ
ル)の改ざんを防止するものではない。さらに、不正に
はアクセスできないROMとRAMを持つハードウエア
構成を必須とする装置構成上の制約がある。
ステムの例としては、特開平6−230959号公報に
示されるものがある。このシステムでは、専用の拡張ボ
ードを用いて、機能を拡張したBIOSとDOSを動作
させることにより、プログラムファイルが不正に書き換
えられることを防止している。しかしこのシステムは、
万が一プログラムファイルの改ざんがあった後にそれを
検知できる仕組みではなく、本発明とは目的が異なるの
で、本方式の代替の方法となるものではない。しかも、
ウイルスが感染のためにプログラムファイルを改ざんす
るのを監視するものであり、任意のファイル(例えばセ
キュリティの設定や暗号鍵などを格納したデータファイ
ル)の改ざんを防止するものではない。さらに、不正に
はアクセスできないROMとRAMを持つハードウエア
構成を必須とする装置構成上の制約がある。
【0010】
【発明が解決しようとする課題】従来技術の問題点は、
操作性の問題である。
操作性の問題である。
【0011】その理由は、前記従来の技術の第1の例で
示したように、安全に運用するためには、物理的に書き
換え不能な安全な媒体でコンピュータシステムを立ち上
げて検査を実行しなければならない。しかし実際問題と
しては、ほとんどのコンピュータ使用者は通常、OSや
アプリケーションプログラムはハードディスクに保持し
ている。ハードディスクは物理的に書き換え不能な媒体
ではなく、改ざんの危険性が高い。従ってOSと改ざん
検査プログラムの格納されたライトプロテクトを施した
フロッピーディスクで立ち上げ、ハードディスク内のO
SやOSローダを検査した後に、再度ハードディスクで
立ち上げると言った方法を取らざるを得ない。これは使
用者に操作の煩わしさと、余分なシステムの立ち上げ待
ち時間を強いることになる。
示したように、安全に運用するためには、物理的に書き
換え不能な安全な媒体でコンピュータシステムを立ち上
げて検査を実行しなければならない。しかし実際問題と
しては、ほとんどのコンピュータ使用者は通常、OSや
アプリケーションプログラムはハードディスクに保持し
ている。ハードディスクは物理的に書き換え不能な媒体
ではなく、改ざんの危険性が高い。従ってOSと改ざん
検査プログラムの格納されたライトプロテクトを施した
フロッピーディスクで立ち上げ、ハードディスク内のO
SやOSローダを検査した後に、再度ハードディスクで
立ち上げると言った方法を取らざるを得ない。これは使
用者に操作の煩わしさと、余分なシステムの立ち上げ待
ち時間を強いることになる。
【0012】本発明の主たる目的は、使用者にストレス
を感じさせない操作性のもとで、OSローダやOSや他
のコンピュータ起動時に実行されるプログラムの改ざん
の有無を確実に検査することである。
を感じさせない操作性のもとで、OSローダやOSや他
のコンピュータ起動時に実行されるプログラムの改ざん
の有無を確実に検査することである。
【0013】本発明の他の目的は、第1の目的を実現す
るための装置構成を簡素化する点である。
るための装置構成を簡素化する点である。
【0014】本発明の他の目的は、改ざん検知処理の高
速化を図る点である。
速化を図る点である。
【0015】本発明の他の目的は、システム全体の保守
性を向上させる点である。
性を向上させる点である。
【0016】
【課題を解決するための手段】本発明の第1の実施形態
では、ROM1に格納されたブートプログラム2に、補
助記憶装置4に格納された任意個の任意の被検査ファイ
ルの改ざんの有無の検査する機能を持たせる。より具体
的には、補助記憶装置4に格納された第1の保存情報4
1を読み込む保存情報読み込み手段(図1の31)と、
読み込んだ第1の保存情報41の記載内容を元に補助記
憶装置4から任意個の被検査ファイル42を読み込む被
検査ファイル読み込み手段(図1の32)と、ブートプ
ログラム2の内部に持つ第2の保存情報34と読み込ん
だ第1の保存情報41と各被検査ファイル42とから各
被検査ファイル個々の改ざんの有無を検査する改ざん検
知手段(図1の33)とを有する。
では、ROM1に格納されたブートプログラム2に、補
助記憶装置4に格納された任意個の任意の被検査ファイ
ルの改ざんの有無の検査する機能を持たせる。より具体
的には、補助記憶装置4に格納された第1の保存情報4
1を読み込む保存情報読み込み手段(図1の31)と、
読み込んだ第1の保存情報41の記載内容を元に補助記
憶装置4から任意個の被検査ファイル42を読み込む被
検査ファイル読み込み手段(図1の32)と、ブートプ
ログラム2の内部に持つ第2の保存情報34と読み込ん
だ第1の保存情報41と各被検査ファイル42とから各
被検査ファイル個々の改ざんの有無を検査する改ざん検
知手段(図1の33)とを有する。
【0017】本発明の第2の実施形態では、第1の実施
形態で記載した第2の保存情報34を使用者の入力から
取得することを特徴とする。より具体的には、ブートプ
ログラム2が入力装置6から第2の保存情報34を取得
する保存情報取得手段(図5の35)を有する。
形態で記載した第2の保存情報34を使用者の入力から
取得することを特徴とする。より具体的には、ブートプ
ログラム2が入力装置6から第2の保存情報34を取得
する保存情報取得手段(図5の35)を有する。
【0018】本発明の第3の実施形態では、第2の実施
形態において一方向性関数による圧縮値で改ざんの有無
を検査する特徴を持つ。より具体的には、入力装置6か
ら第2の保存情報34を取得する保存情報取得手段(図
5の35)と、被検査ファイル42と第2の保存情報3
4とを一方向性関数で圧縮した圧縮値と予め第1の保存
情報41に保存された圧縮値とを比較して改ざんの有無
を判定する改ざん検知手段(図5の33)とを有する。
形態において一方向性関数による圧縮値で改ざんの有無
を検査する特徴を持つ。より具体的には、入力装置6か
ら第2の保存情報34を取得する保存情報取得手段(図
5の35)と、被検査ファイル42と第2の保存情報3
4とを一方向性関数で圧縮した圧縮値と予め第1の保存
情報41に保存された圧縮値とを比較して改ざんの有無
を判定する改ざん検知手段(図5の33)とを有する。
【0019】本発明の第4の実施形態では、第2の保存
情報34を外部記憶装置7に持つことを特徴とする。よ
り具体的には、ブートプログラム2は外部記憶装置7か
ら第2の保存情報34を取得する第2の保存情報読み込
み手段(図7の36)を有し、外部記憶装置7は第2の
保存情報34の改ざん防止手段(図7の71)を有す
る。
情報34を外部記憶装置7に持つことを特徴とする。よ
り具体的には、ブートプログラム2は外部記憶装置7か
ら第2の保存情報34を取得する第2の保存情報読み込
み手段(図7の36)を有し、外部記憶装置7は第2の
保存情報34の改ざん防止手段(図7の71)を有す
る。
【0020】本発明の第5の実施形態では、第2の保存
情報34を外部コンピュータ8に持ち、改ざん検知に必
要な計算処理を外部コンピュータ8側で行なわせる。よ
り具体的には、外部コンピュータ8は、第2の保存情報
34の改ざん防止手段(図8の81)と、改ざん検知に
必要な計算を行なう改ざん検知計算手段(図8の82)
とを備え、ブートプログラム2は、外部コンピュータ8
との通信手段(図8の37)と、通信手段37を介して
外部コンピュータ8側の改ざん検知計算手段82を使用
して各被検査ファイル個々の改ざんの有無を検査する改
ざん検知手段(図8の33)を有する。
情報34を外部コンピュータ8に持ち、改ざん検知に必
要な計算処理を外部コンピュータ8側で行なわせる。よ
り具体的には、外部コンピュータ8は、第2の保存情報
34の改ざん防止手段(図8の81)と、改ざん検知に
必要な計算を行なう改ざん検知計算手段(図8の82)
とを備え、ブートプログラム2は、外部コンピュータ8
との通信手段(図8の37)と、通信手段37を介して
外部コンピュータ8側の改ざん検知計算手段82を使用
して各被検査ファイル個々の改ざんの有無を検査する改
ざん検知手段(図8の33)を有する。
【0021】本発明の第6の実施形態では、改ざん検知
機能3を改ざん検知プログラム9をライトプロテクト機
能付きの記憶装置91に保持してブート時に実行する。
より具体的には、ブートプログラム2は、改ざん検知プ
ログラム9の実行手段(図9の38)を有する。
機能3を改ざん検知プログラム9をライトプロテクト機
能付きの記憶装置91に保持してブート時に実行する。
より具体的には、ブートプログラム2は、改ざん検知プ
ログラム9の実行手段(図9の38)を有する。
【0022】本発明の第7の実施形態では、改ざん検知
機能3を改ざん検知プログラム9を補助記憶装置4にに
保持してブート時に検査して実行する。より具体的に
は、ブートプログラム2は、一方向性関数を用いて改ざ
ん検知プログラム9の改ざんの有無を検査する改ざん検
知プログラム検査手段(図10の39)と、改ざん検知
プログラム9を実行する改ざん検知プログラム実行手段
(図10の38)とを有する。
機能3を改ざん検知プログラム9を補助記憶装置4にに
保持してブート時に検査して実行する。より具体的に
は、ブートプログラム2は、一方向性関数を用いて改ざ
ん検知プログラム9の改ざんの有無を検査する改ざん検
知プログラム検査手段(図10の39)と、改ざん検知
プログラム9を実行する改ざん検知プログラム実行手段
(図10の38)とを有する。
【0023】本発明の第8の実施形態では、OSローダ
43に改ざん検査機能3を持たせる。より具体的には、
代替OSローダ46が、改ざん検知機能3を備えた改ざ
ん検知プログラム9を前記補助記憶装置4から読み込み
実行する改ざん検知プログラム実行手段(図11の46
1)と、別途保存されたOSローダ43を読み込み実行
するOSローダ実行手段(図11の462)とを有す
る。
43に改ざん検査機能3を持たせる。より具体的には、
代替OSローダ46が、改ざん検知機能3を備えた改ざ
ん検知プログラム9を前記補助記憶装置4から読み込み
実行する改ざん検知プログラム実行手段(図11の46
1)と、別途保存されたOSローダ43を読み込み実行
するOSローダ実行手段(図11の462)とを有す
る。
【0024】
【作用】本発明の第1の実施形態では、保存情報読み込
み手段は、被検査ファイル読み込み手段に対して、被検
査ファイルを読み込むための情報、具体的には補助記憶
装置内に被検査ファイルが格納されている物理的位置の
情報を提供する。また、改ざん検知手段に対しては、被
検査ファイルの改ざんの有無を判定するための情報、具
体的には被検査ファイルに対する署名データなどを提供
する。
み手段は、被検査ファイル読み込み手段に対して、被検
査ファイルを読み込むための情報、具体的には補助記憶
装置内に被検査ファイルが格納されている物理的位置の
情報を提供する。また、改ざん検知手段に対しては、被
検査ファイルの改ざんの有無を判定するための情報、具
体的には被検査ファイルに対する署名データなどを提供
する。
【0025】被検査ファイル読み込み手段は、改ざん検
知手段に対して、現在の被検査ファイルの内容を提供す
る。
知手段に対して、現在の被検査ファイルの内容を提供す
る。
【0026】改ざん検知手段は、提供された被検査ファ
イルの改ざんの有無を判定するための情報と、現在の被
検査ファイルの内容と、ブートプログラム2の内部に持
つ第2の保存情報(具体的には署名検証用の鍵など)か
ら、被検査ファイルの改ざんの有無を検査する。
イルの改ざんの有無を判定するための情報と、現在の被
検査ファイルの内容と、ブートプログラム2の内部に持
つ第2の保存情報(具体的には署名検証用の鍵など)か
ら、被検査ファイルの改ざんの有無を検査する。
【0027】本発明の第2の実施形態と第3の実施形態
では、保存情報取得手段が、改ざん検知手段に、第2の
保存情報を提供する。
では、保存情報取得手段が、改ざん検知手段に、第2の
保存情報を提供する。
【0028】本発明の第4の実施形態では、外部記憶装
置に保存された第2の保存情報は、外部記憶装置の改ざ
ん防止手段で改ざんから守られる。保存情報読み込み手
段は第2の保存情報を外部記憶装置から取得し、改ざん
検知手段に提供する。
置に保存された第2の保存情報は、外部記憶装置の改ざ
ん防止手段で改ざんから守られる。保存情報読み込み手
段は第2の保存情報を外部記憶装置から取得し、改ざん
検知手段に提供する。
【0029】本発明の第5の実施形態では、外部コンピ
ュータに保存された第2の保存情報は、外部外部コンピ
ュータの改ざん防止手段で改ざんから守られる。ブート
プログラムは周辺機器の初期化処理後、改ざん検知手段
で、通信手段を介して外部コンピュータとデータの送受
信を行ない、外部コンピュータ側の改ざん検知計算手段
を利用して、各被検査ファイルの改ざんの有無を検査す
る。
ュータに保存された第2の保存情報は、外部外部コンピ
ュータの改ざん防止手段で改ざんから守られる。ブート
プログラムは周辺機器の初期化処理後、改ざん検知手段
で、通信手段を介して外部コンピュータとデータの送受
信を行ない、外部コンピュータ側の改ざん検知計算手段
を利用して、各被検査ファイルの改ざんの有無を検査す
る。
【0030】本発明の第6の実施形態では、ブートプロ
グラムは周辺機器の初期化処理後、改ざん検知プログラ
ム実行手段で、ライトプロテクト機能付きの記憶装置に
格納された改ざん検知プログラムを実行する。
グラムは周辺機器の初期化処理後、改ざん検知プログラ
ム実行手段で、ライトプロテクト機能付きの記憶装置に
格納された改ざん検知プログラムを実行する。
【0031】本発明の第7の実施形態では、ブートプロ
グラムは周辺機器の初期化処理後、改ざん検知プログラ
ム検査手段で、補助記憶装置4に格納された改ざん検知
プログラムに改ざんがないかチェックする。次いで、改
ざん検知プログラム実行手段で改ざん検知プログラムを
実行する。これで被検査ファイルを検査する。
グラムは周辺機器の初期化処理後、改ざん検知プログラ
ム検査手段で、補助記憶装置4に格納された改ざん検知
プログラムに改ざんがないかチェックする。次いで、改
ざん検知プログラム実行手段で改ざん検知プログラムを
実行する。これで被検査ファイルを検査する。
【0032】本発明の第8の実施形態では、ブートプロ
グラムにより代替OSローダが実行され、代替OSロー
ダはまず、改ざん検知プログラム実行手段で改ざん検査
機能を持った改ざん検知プログラムを実行する。これで
これから起動するOSに必要な被検査ファイルを検証す
る。次いで、代替OSローダ46は、OSローダ実行手
段で、別途保存されたOSローダ43を読み込み実行
し、OSが起動する。
グラムにより代替OSローダが実行され、代替OSロー
ダはまず、改ざん検知プログラム実行手段で改ざん検査
機能を持った改ざん検知プログラムを実行する。これで
これから起動するOSに必要な被検査ファイルを検証す
る。次いで、代替OSローダ46は、OSローダ実行手
段で、別途保存されたOSローダ43を読み込み実行
し、OSが起動する。
【0033】
[1]構成の説明 次に、本発明の実施の形態について図面を参照して詳細
に説明する。
に説明する。
【0034】図1を参照すると、本発明の第1の実施の
形態は、制御部100と、補助記憶装置4とを含む。
形態は、制御部100と、補助記憶装置4とを含む。
【0035】制御部100は、ROM1とRAM102
と、それらに格納されたプログラムを実行するCPU1
01とを含む。
と、それらに格納されたプログラムを実行するCPU1
01とを含む。
【0036】ROM1に格納されたブートプログラム2
は、補助記憶装置4を含む周辺機器の初期設定を行ない
基本入出力システム(以下BIOSと略す)を使用可能
にした後、補助記憶装置4に格納されたOSローダ43
をRAM102に読み込み実行するプログラムである。
本発明は、このブートプログラム2に、改ざん検知機能
3を持たせることを特徴とする。
は、補助記憶装置4を含む周辺機器の初期設定を行ない
基本入出力システム(以下BIOSと略す)を使用可能
にした後、補助記憶装置4に格納されたOSローダ43
をRAM102に読み込み実行するプログラムである。
本発明は、このブートプログラム2に、改ざん検知機能
3を持たせることを特徴とする。
【0037】補助記憶装置4には、OSファイル44
と、OSファイル44をRAM102に読み込み実行す
るためのOSローダ43ととが含まれている。本発明で
は、この補助記憶装置4に任意個の任意のファイルを、
システム立ち上げ時に改ざんの有無を検査する被検査フ
ァイル42として設定でき、その設定内容と、改ざん検
査用の情報、例えばディジタル署名などの情報を第1の
保存情報41に格納していることを特徴としている。
と、OSファイル44をRAM102に読み込み実行す
るためのOSローダ43ととが含まれている。本発明で
は、この補助記憶装置4に任意個の任意のファイルを、
システム立ち上げ時に改ざんの有無を検査する被検査フ
ァイル42として設定でき、その設定内容と、改ざん検
査用の情報、例えばディジタル署名などの情報を第1の
保存情報41に格納していることを特徴としている。
【0038】前述の改ざん検知機能3は、保存情報読み
込み手段31と、被検査ファイル読み込み手段32と、
改ざん検知手段33とを備える。
込み手段31と、被検査ファイル読み込み手段32と、
改ざん検知手段33とを備える。
【0039】保存情報読み込み手段31は、補助記憶装
置4から第1の保存情報41を読み込むものである。こ
の処理を行なう時点、つまりブートプログラム2が起動
する時点は、まだOSの起動前であり、OSを介したフ
ァイルアクセスは使用できない。従ってBIOSの低レ
ベルな関数だけを使って補助記憶装置4をアクセスする
必要がある。例えば、OSがマイクロソフト社製のMS
−DOSであれば、補助記憶装置4のディレクトリデー
タとファイルアロケーションテーブル(以下FATと略
す)を参照して、各ファイルの格納された補助記憶装置
4内での物理的位置の情報を得ることができる。つまり
ディレクトリデータにはファイル名とFATのエントリ
ポイントの対応が記述されており、そのエントリポイン
トから順にFATを辿ることにより、ファイルが格納さ
れた物理的格納位置を知ることができる。従って予め第
1の保存情報41のファイル名を固定しておけば、その
ファイル名から補助記憶装置4内の物理的格納位置を取
得することができ、BIOSを使って読み出せばよい。
他のOSの場合も同様に、そのOSが行なうファイルの
物理的格納位置の取得方法を実行し、BIOSで読み出
せばよい。
置4から第1の保存情報41を読み込むものである。こ
の処理を行なう時点、つまりブートプログラム2が起動
する時点は、まだOSの起動前であり、OSを介したフ
ァイルアクセスは使用できない。従ってBIOSの低レ
ベルな関数だけを使って補助記憶装置4をアクセスする
必要がある。例えば、OSがマイクロソフト社製のMS
−DOSであれば、補助記憶装置4のディレクトリデー
タとファイルアロケーションテーブル(以下FATと略
す)を参照して、各ファイルの格納された補助記憶装置
4内での物理的位置の情報を得ることができる。つまり
ディレクトリデータにはファイル名とFATのエントリ
ポイントの対応が記述されており、そのエントリポイン
トから順にFATを辿ることにより、ファイルが格納さ
れた物理的格納位置を知ることができる。従って予め第
1の保存情報41のファイル名を固定しておけば、その
ファイル名から補助記憶装置4内の物理的格納位置を取
得することができ、BIOSを使って読み出せばよい。
他のOSの場合も同様に、そのOSが行なうファイルの
物理的格納位置の取得方法を実行し、BIOSで読み出
せばよい。
【0040】被検査ファイル読み込み手段32は、読み
込んだ第1の保存情報41から被検査ファイル42の設
定内容を取得し、その被検査ファイル42を補助記憶装
置4から読み込むものである。ここでもBIOSの低レ
ベルな関数だけを使っての記憶装置にアクセスする必要
がある。これも前述の保存情報読み込み手段31と同様
に、使用するOSが行なうのと同じ方法で補助記憶装置
4内の物理的格納位置を取得し、BIOSを使って読み
出せばよい。
込んだ第1の保存情報41から被検査ファイル42の設
定内容を取得し、その被検査ファイル42を補助記憶装
置4から読み込むものである。ここでもBIOSの低レ
ベルな関数だけを使っての記憶装置にアクセスする必要
がある。これも前述の保存情報読み込み手段31と同様
に、使用するOSが行なうのと同じ方法で補助記憶装置
4内の物理的格納位置を取得し、BIOSを使って読み
出せばよい。
【0041】改ざん検知手段33は、補助記憶装置4か
ら読み込んだ各被検査ファイルに対して、第1の保存情
報41から読み取った検査用の情報と、ブートプログラ
ム自身が持つ第2の保存情報34とから、改ざんの有無
を検査する。例えば、第1の保存情報41として、各被
検査ファイルに対するディジタル署名を格納し、第2の
保存情報34として、署名検証用の鍵を格納しておく。
改ざん検知手段33は前記ディジタル署名と前記署名検
証用の鍵とで各被検査ファイルの改ざんの有無を検査す
る。
ら読み込んだ各被検査ファイルに対して、第1の保存情
報41から読み取った検査用の情報と、ブートプログラ
ム自身が持つ第2の保存情報34とから、改ざんの有無
を検査する。例えば、第1の保存情報41として、各被
検査ファイルに対するディジタル署名を格納し、第2の
保存情報34として、署名検証用の鍵を格納しておく。
改ざん検知手段33は前記ディジタル署名と前記署名検
証用の鍵とで各被検査ファイルの改ざんの有無を検査す
る。
【0042】また、この改竄検知機能3で、OSローダ
43の改竄の有無を検証することもできる。OSローダ
は補助記憶装置4のブートセクタと呼ばれる部分に格納
されている。ブートセクタは補助記憶装置の物理的先
頭、もしくは複数のパーティションが切られているとき
は各パーティションの先頭に位置する。第1の保存情報
41のファイル名の格納欄に検査したいブートセクタの
ドライブ名を記述しておけば、その補助記憶装置4内で
の物理的位置は特定できる。更にブートセクタに対する
改ざん検査用のデータ、例えばデジタル署名を格納して
おけば、この改ざん検知手段33で、ブートセクタの改
ざんの有無、つまりはその中に格納されたOSローダ4
3の改ざんの有無を検査できる。厳密にはOSローダ4
3はブートセクタの一部であるので、ブートセクタの改
ざんの有無と、OSローダ43の改ざんの有無は異なる
が、OSローダ43のプログラム部分以外のブートセク
タには記録フォーマットなどの情報が格納されているの
で、ここも含めた改ざんの検査をすれば問題ない。プロ
グラム部分だけに限定させるなら、例えば、第1の保存
情報41に先頭の読み飛ばしバイト数と終端の無視する
バイト数を格納するフィールドを追加すれば、検査すべ
きプログラム部分のみを特定できる。
43の改竄の有無を検証することもできる。OSローダ
は補助記憶装置4のブートセクタと呼ばれる部分に格納
されている。ブートセクタは補助記憶装置の物理的先
頭、もしくは複数のパーティションが切られているとき
は各パーティションの先頭に位置する。第1の保存情報
41のファイル名の格納欄に検査したいブートセクタの
ドライブ名を記述しておけば、その補助記憶装置4内で
の物理的位置は特定できる。更にブートセクタに対する
改ざん検査用のデータ、例えばデジタル署名を格納して
おけば、この改ざん検知手段33で、ブートセクタの改
ざんの有無、つまりはその中に格納されたOSローダ4
3の改ざんの有無を検査できる。厳密にはOSローダ4
3はブートセクタの一部であるので、ブートセクタの改
ざんの有無と、OSローダ43の改ざんの有無は異なる
が、OSローダ43のプログラム部分以外のブートセク
タには記録フォーマットなどの情報が格納されているの
で、ここも含めた改ざんの検査をすれば問題ない。プロ
グラム部分だけに限定させるなら、例えば、第1の保存
情報41に先頭の読み飛ばしバイト数と終端の無視する
バイト数を格納するフィールドを追加すれば、検査すべ
きプログラム部分のみを特定できる。
【0043】改ざん検知機能3でOSファイル44の改
ざんの有無を検証することもできる。 OSファイル4
4とは、ここでは基本となるOSプログラムと、それが
読み込む設定ファイルと、およびOS起動時に実行され
る各種ドライバ類の総称とする。例えばマイクロソフト
社のMS−DOSを例に取ると、基本となるOSプログ
ラムはファイル名が「io.sys」、「msdos.
sys」、「command.com」などのファイル
で、それらが読み込む設定ファイルは「config.
sys」や「autoexec.bat」などのファイ
ルで、ドライバ類は前記設定ファイルに記述されたもの
がOS起動時に実行されメモリ中に常駐する。これらの
ファイル名を予め第1の保存情報41のファイル名の格
納欄に記述し、さらに改ざん検査用のデータ、例えばデ
ジタル署名を記述しておけば、前記改ざん検知手段33
でOSの起動時に実行もしくは参照されるファイルの改
ざんの有無を検査できる。
ざんの有無を検証することもできる。 OSファイル4
4とは、ここでは基本となるOSプログラムと、それが
読み込む設定ファイルと、およびOS起動時に実行され
る各種ドライバ類の総称とする。例えばマイクロソフト
社のMS−DOSを例に取ると、基本となるOSプログ
ラムはファイル名が「io.sys」、「msdos.
sys」、「command.com」などのファイル
で、それらが読み込む設定ファイルは「config.
sys」や「autoexec.bat」などのファイ
ルで、ドライバ類は前記設定ファイルに記述されたもの
がOS起動時に実行されメモリ中に常駐する。これらの
ファイル名を予め第1の保存情報41のファイル名の格
納欄に記述し、さらに改ざん検査用のデータ、例えばデ
ジタル署名を記述しておけば、前記改ざん検知手段33
でOSの起動時に実行もしくは参照されるファイルの改
ざんの有無を検査できる。
【0044】改竄検知機能3で第1の保存情報41自身
の改ざんの有無を検証することもできる。この第1の保
存情報41自身の改ざんの有無を検査する目的は、次の
通りである。例えば、ある被検査ファイル42が改ざん
された際に、その被検査ファイル42に対する記述を第
1の保存情報41から削除してしまい、検査を逃れて改
ざんを隠蔽されることが有り得る。この第1の保存情報
の検証は、この隠ぺいの事実の有無を検出するのに有益
である。具体的な方法としては、例えば図3で示すよう
に第1の保存情報41の末尾に、そこまでの情報に関す
る改ざん検査用保存情報、例えばデジタル署名を付与し
ておき、改ざん検知手段33は、この改ざん検査用保存
情報とブートプログラム2内の第2の保存情報とを用い
て改ざんの有無を検査すればよい。 [2] 動作の説明 次に、図1および図2を参照して、本発明の実施の形態
の動作について説明する。
の改ざんの有無を検証することもできる。この第1の保
存情報41自身の改ざんの有無を検査する目的は、次の
通りである。例えば、ある被検査ファイル42が改ざん
された際に、その被検査ファイル42に対する記述を第
1の保存情報41から削除してしまい、検査を逃れて改
ざんを隠蔽されることが有り得る。この第1の保存情報
の検証は、この隠ぺいの事実の有無を検出するのに有益
である。具体的な方法としては、例えば図3で示すよう
に第1の保存情報41の末尾に、そこまでの情報に関す
る改ざん検査用保存情報、例えばデジタル署名を付与し
ておき、改ざん検知手段33は、この改ざん検査用保存
情報とブートプログラム2内の第2の保存情報とを用い
て改ざんの有無を検査すればよい。 [2] 動作の説明 次に、図1および図2を参照して、本発明の実施の形態
の動作について説明する。
【0045】コンピュータシステムの電源を入れると、
CPU101の実行アドレスはROM1に格納されたブ
ートプログラム2の処理の先頭アドレスにセットされ、
ブートプログラム2の実行が開始される。
CPU101の実行アドレスはROM1に格納されたブ
ートプログラム2の処理の先頭アドレスにセットされ、
ブートプログラム2の実行が開始される。
【0046】図2はブートプログラム2の処理の流れを
示すフローチャートである。ブートプログラム2はまず
周辺機器の初期化の処理を実行する(ステップA1)。
これは、接続された周辺機器のテストや初期設定の実行
と、BIOSの初期設定などを行なうものである。これ
によりBIOSが使用可能になる。ステップA2からス
テップA10までが本発明の特徴となる部分である。
示すフローチャートである。ブートプログラム2はまず
周辺機器の初期化の処理を実行する(ステップA1)。
これは、接続された周辺機器のテストや初期設定の実行
と、BIOSの初期設定などを行なうものである。これ
によりBIOSが使用可能になる。ステップA2からス
テップA10までが本発明の特徴となる部分である。
【0047】まずステップA2で前述の保存情報読み込
み手段31を用いて、第1の保存情報41を読み込む。
み手段31を用いて、第1の保存情報41を読み込む。
【0048】次いでステップA3で第1の保存情報41
自身の改ざんの検査を行なう。これは例えばデジタル署
名を使用する方法であれば、まず図3で示すように第1
の保存情報41の末尾に格納された第1の保存情報41
自身の署名データを除いた部分をHash関数で圧縮す
る。次いで末尾にある第1の保存情報41自身の署名デ
ータを、ブートプログラム2内の第2の保存情報34に
格納された鍵を使って復号する。この圧縮値と復号値と
比較して、一致するか否かで改ざんの有無を検査する。
一致していれば改ざんは無いので、ステップA5に進
み、一致していなければステップA8に進む(ステップ
A4)。
自身の改ざんの検査を行なう。これは例えばデジタル署
名を使用する方法であれば、まず図3で示すように第1
の保存情報41の末尾に格納された第1の保存情報41
自身の署名データを除いた部分をHash関数で圧縮す
る。次いで末尾にある第1の保存情報41自身の署名デ
ータを、ブートプログラム2内の第2の保存情報34に
格納された鍵を使って復号する。この圧縮値と復号値と
比較して、一致するか否かで改ざんの有無を検査する。
一致していれば改ざんは無いので、ステップA5に進
み、一致していなければステップA8に進む(ステップ
A4)。
【0049】ステップA5は、第1の保存情報41に書
かれた被検査ファイル42の数だけ改ざんの有無を検査
したどうかを確認するためのステップである。全部の被
検査ファイル42の検査が終えていない場合、ステップ
A6へと進み、全部の検査が終えてた場合はステップA
11へと進む。
かれた被検査ファイル42の数だけ改ざんの有無を検査
したどうかを確認するためのステップである。全部の被
検査ファイル42の検査が終えていない場合、ステップ
A6へと進み、全部の検査が終えてた場合はステップA
11へと進む。
【0050】ステップA6は前述の被検査ファイル読み
込み手段32を用いて、各被検査ファイル42を読み込
む。
込み手段32を用いて、各被検査ファイル42を読み込
む。
【0051】次いでステップA7で、被検査ファイル4
2の改ざんの検査を行なう。これは例えばデジタル署名
を使用する方法であれば、まず被検査ファイルをHas
h関数で圧縮する。次いで第1の保存情報41に格納さ
れた署名データを、ブートプログラム2内の第2の保存
情報34に格納された鍵を使って復号する。この圧縮値
と復号値と比較して、一致するか否かで改ざんの有無を
検査する。一致していれば改ざんは無いので、ステップ
A5に進み、一致していなければステップA8に進む
(ステップA4)。
2の改ざんの検査を行なう。これは例えばデジタル署名
を使用する方法であれば、まず被検査ファイルをHas
h関数で圧縮する。次いで第1の保存情報41に格納さ
れた署名データを、ブートプログラム2内の第2の保存
情報34に格納された鍵を使って復号する。この圧縮値
と復号値と比較して、一致するか否かで改ざんの有無を
検査する。一致していれば改ざんは無いので、ステップ
A5に進み、一致していなければステップA8に進む
(ステップA4)。
【0052】ステップA4において、改ざんが検知され
た場合には、必要に応じて別途接続された表示装置に表
示し、継続して起動処理を継続するか確認する(ステッ
プA8、ステップA9)。別途接続された入力装置から
継続を指示された場合はステップA5へと進み、中止が
指示された場合はブートプログラムの処理を終了させ、
起動処理を中止する(ステップA10)。
た場合には、必要に応じて別途接続された表示装置に表
示し、継続して起動処理を継続するか確認する(ステッ
プA8、ステップA9)。別途接続された入力装置から
継続を指示された場合はステップA5へと進み、中止が
指示された場合はブートプログラムの処理を終了させ、
起動処理を中止する(ステップA10)。
【0053】ステップA5で全ての被検査ファイルを検
査を終了した場合、ステップA11でOSローダ43の
実行処理を行なう。これは補助記憶装置4のブートセク
タに書かれたOSローダ43をBIOSを使ってRAM
102に読み込み、読み込まれたRAMアドレスにCP
Uの実行アドレスをセットすることにより、OSローダ
43に制御を移す。これでブートプログラムの処理は終
了する。 [3]発明の他の実施形態 次に本発明の第2の実施形態について図4を参照して説
明する。
査を終了した場合、ステップA11でOSローダ43の
実行処理を行なう。これは補助記憶装置4のブートセク
タに書かれたOSローダ43をBIOSを使ってRAM
102に読み込み、読み込まれたRAMアドレスにCP
Uの実行アドレスをセットすることにより、OSローダ
43に制御を移す。これでブートプログラムの処理は終
了する。 [3]発明の他の実施形態 次に本発明の第2の実施形態について図4を参照して説
明する。
【0054】図4は、第2の実施形態における、第1の
保存情報41の構成を示したものである。
保存情報41の構成を示したものである。
【0055】この実施形態では、第1の保存情報41に
各被検査ファイル42を一方向性関数で圧縮した圧縮値
と、第1の保存情報41自身に対するデジタル署名とを
格納しておく。このデジタル署名の検証用の鍵は、第1
の実施形態と同じくブートプログラム2内の第2の保存
情報34に格納しておく。
各被検査ファイル42を一方向性関数で圧縮した圧縮値
と、第1の保存情報41自身に対するデジタル署名とを
格納しておく。このデジタル署名の検証用の鍵は、第1
の実施形態と同じくブートプログラム2内の第2の保存
情報34に格納しておく。
【0056】この実施形態におけるブートプログラム2
の改ざん検知手段33は、第1の実施形態と同じく、ま
ず第1の保存情報41自身に対する署名データで、第1
の保存情報41自身に改ざんが無いことを確認する。次
いで被検査ファイル読み込み手段32で読み込んだ被検
査プログラムを一方向性関数で圧縮し、その圧縮値と第
1の保存情報41に格納された圧縮値とを比較する。被
検査ファイル42に改ざんが無い場合はこの値は一致す
る。被検査ファイル42に改ざんがあった場合、現在の
内容を圧縮した値と保存された圧縮した値は異なるの
で、改ざんを検知できる。
の改ざん検知手段33は、第1の実施形態と同じく、ま
ず第1の保存情報41自身に対する署名データで、第1
の保存情報41自身に改ざんが無いことを確認する。次
いで被検査ファイル読み込み手段32で読み込んだ被検
査プログラムを一方向性関数で圧縮し、その圧縮値と第
1の保存情報41に格納された圧縮値とを比較する。被
検査ファイル42に改ざんが無い場合はこの値は一致す
る。被検査ファイル42に改ざんがあった場合、現在の
内容を圧縮した値と保存された圧縮した値は異なるの
で、改ざんを検知できる。
【0057】上記の圧縮値は使用している一方向性関数
の仕様さえ判れば生成することができる。従って被検査
プログラム42が改ざんされ、その改ざんを隠蔽するた
め、第1の保存情報41内に保存された圧縮値までも、
改ざん結果の圧縮値に書き換えられてしまうこともあり
うる。この場合、前述の圧縮値同士の比較は一致し、検
査をパスされてしまうが、その前に第1の保存情報41
自身の改ざん検査で、改ざんの隠蔽があったことを検知
できる。
の仕様さえ判れば生成することができる。従って被検査
プログラム42が改ざんされ、その改ざんを隠蔽するた
め、第1の保存情報41内に保存された圧縮値までも、
改ざん結果の圧縮値に書き換えられてしまうこともあり
うる。この場合、前述の圧縮値同士の比較は一致し、検
査をパスされてしまうが、その前に第1の保存情報41
自身の改ざん検査で、改ざんの隠蔽があったことを検知
できる。
【0058】この実施形態においては、前述のように第
1の保存情報41自身までもが改ざんされ、被検査ファ
イル42に改ざんが隠蔽された場合に、被検査ファイル
42のいずれかが改ざんされそれが隠蔽されたと検知で
きるものの、被検査ファイル42のどれが改ざんされた
のかの特定がこの方法だけではできないというデメリッ
トはある。ただし署名復号の処理が1回で済むため全て
の被検査ファイル42を検証する処理時間は短時間で済
む。従って処理速度を重視する場合には有用である。
1の保存情報41自身までもが改ざんされ、被検査ファ
イル42に改ざんが隠蔽された場合に、被検査ファイル
42のいずれかが改ざんされそれが隠蔽されたと検知で
きるものの、被検査ファイル42のどれが改ざんされた
のかの特定がこの方法だけではできないというデメリッ
トはある。ただし署名復号の処理が1回で済むため全て
の被検査ファイル42を検証する処理時間は短時間で済
む。従って処理速度を重視する場合には有用である。
【0059】次に本発明の第3の実施形態について図5
を参照して説明する。
を参照して説明する。
【0060】図5は、ブートプログラム2の改ざん検知
機能3の一部として、入力装置6を用いて前述の第2の
保存情報34を使用者の入力操作により取得し、改ざん
検知手段33で用いることを特長としている。
機能3の一部として、入力装置6を用いて前述の第2の
保存情報34を使用者の入力操作により取得し、改ざん
検知手段33で用いることを特長としている。
【0061】ブートプログラム2は、図2のステップA
1の周辺機器の初期化の後で、入力装置6から第2の保
存情報34を取得する。これはステップA1で入力装置
6の初期化とBIOSの初期化が完了しているので、B
IOSを使って入力装置6から入力情報を受け取ればよ
い。
1の周辺機器の初期化の後で、入力装置6から第2の保
存情報34を取得する。これはステップA1で入力装置
6の初期化とBIOSの初期化が完了しているので、B
IOSを使って入力装置6から入力情報を受け取ればよ
い。
【0062】この実施形態は、第2の保存情報34を使
用者の入力操作により取得するため、大きなサイズの情
報を使用できないというデメリットがあるものの、第2
の保存情報34をブートプログラム2の格納されたRO
M1から切り離すことで、情報を更新できるという効果
がある。さらに第2の保存情報34をROM1から切り
離すことにより、改ざんを企てる第3者から秘匿するこ
とができる。その結果次の第4の実施形態が可能にな
る。
用者の入力操作により取得するため、大きなサイズの情
報を使用できないというデメリットがあるものの、第2
の保存情報34をブートプログラム2の格納されたRO
M1から切り離すことで、情報を更新できるという効果
がある。さらに第2の保存情報34をROM1から切り
離すことにより、改ざんを企てる第3者から秘匿するこ
とができる。その結果次の第4の実施形態が可能にな
る。
【0063】次に本発明の第4の実施形態について図6
を参照して説明する。
を参照して説明する。
【0064】図6は、前記第4の実施形態における、第
1の保存情報42の例である。
1の保存情報42の例である。
【0065】この例では、第1の保存情報41に、各被
検査ファイル42と使用者だけが知り得る第2の保存情
報とを連結し、一方向性関数で圧縮した圧縮値を格納す
る。ここでいう連結とは、各被検査ファイル42の末尾
に第2の保存情報を繋げることを言う。連結する以外に
も、2つの情報の排他的論理和(XOR)を取る方法で
も構わない。第1の保存情報41自身も、第2の保存情
報34と連結して一方向性関数で圧縮した圧縮値を、自
分自身の末尾に持たせておく。
検査ファイル42と使用者だけが知り得る第2の保存情
報とを連結し、一方向性関数で圧縮した圧縮値を格納す
る。ここでいう連結とは、各被検査ファイル42の末尾
に第2の保存情報を繋げることを言う。連結する以外に
も、2つの情報の排他的論理和(XOR)を取る方法で
も構わない。第1の保存情報41自身も、第2の保存情
報34と連結して一方向性関数で圧縮した圧縮値を、自
分自身の末尾に持たせておく。
【0066】改ざん検知手段は、検査時に、前記保存情
報取得手段で取得した前記第2の保存情報とを連結し、
圧縮値を計算し、第1の保存情報41に格納された値と
比較することで、前記各被検査ファイルの改ざんの有無
を確認する。第1の保存情報41自身の改ざんの有無も
同様に確認する。
報取得手段で取得した前記第2の保存情報とを連結し、
圧縮値を計算し、第1の保存情報41に格納された値と
比較することで、前記各被検査ファイルの改ざんの有無
を確認する。第1の保存情報41自身の改ざんの有無も
同様に確認する。
【0067】被検査プログラムの改ざんを隠蔽するため
に、この保存情報を偽造することは、使用者だけが知り
得る第2の保存情報を知り得ない限り、一方向性関数の
性質上、計算量的に困難である。
に、この保存情報を偽造することは、使用者だけが知り
得る第2の保存情報を知り得ない限り、一方向性関数の
性質上、計算量的に困難である。
【0068】この実施形態は、前記第3の実施形態の効
果に加え、暗号処理を含まないため処理の高速化と、ブ
ートプログラム2が簡素化できる効果がある。
果に加え、暗号処理を含まないため処理の高速化と、ブ
ートプログラム2が簡素化できる効果がある。
【0069】次に本発明の第5の実施形態について図7
を参照して説明する。
を参照して説明する。
【0070】この実施形態では、第2の保存情報34を
外部記憶装置7に持ち、ブートプログラム2は外部記憶
装置7から第2の保存情報を取得する第2の保存情報読
み込み手段36を備え、なおかつ外部記憶装置7は第2
の保存情報34の改ざん防止手段71を備えることを特
徴としている。
外部記憶装置7に持ち、ブートプログラム2は外部記憶
装置7から第2の保存情報を取得する第2の保存情報読
み込み手段36を備え、なおかつ外部記憶装置7は第2
の保存情報34の改ざん防止手段71を備えることを特
徴としている。
【0071】外部記憶装置7は例えば、フロッピーディ
スクとそのドライブで構成することができる。この場合
は、第2の保存情報読み込み手段36は、BIOSを用
いでドライブをアクセスすることで第2の保存情報34
を取得できる。改ざん防止手段71は、フロッピーディ
スクにライトプロテクトを施せばよい。
スクとそのドライブで構成することができる。この場合
は、第2の保存情報読み込み手段36は、BIOSを用
いでドライブをアクセスすることで第2の保存情報34
を取得できる。改ざん防止手段71は、フロッピーディ
スクにライトプロテクトを施せばよい。
【0072】この実施形態は、第2の保存情報34をブ
ートプログラム2の格納されたROM1から切り離すこ
とで、保存情報の更新が容易にできるという効果があ
る。
ートプログラム2の格納されたROM1から切り離すこ
とで、保存情報の更新が容易にできるという効果があ
る。
【0073】次に本発明の第6の実施形態について図8
を参照して説明する。
を参照して説明する。
【0074】この実施例では、第2の保存情報34を外
部コンピュータ8に持ち、この外部コンピュータは、第
2の保存情報の改ざん防止手段81と、第2の保存情報
を用いて改ざん検知に必要な計算を行なう改ざん検知計
算手段82とを備える。さらにブートプログラム2は、
外部コンピュータ8との通信手段37を備える。そし
て、ブートプログラム2の改ざん検知手段33は、第1
の保存情報41と各被検査ファイル42と、外部コンピ
ュータとの通信手段37を介して外部コンピュータ8側
の改ざん検知計算手段82を使用することとで、各被検
査ファイル42個々の改ざんの有無を検査するものとす
る。
部コンピュータ8に持ち、この外部コンピュータは、第
2の保存情報の改ざん防止手段81と、第2の保存情報
を用いて改ざん検知に必要な計算を行なう改ざん検知計
算手段82とを備える。さらにブートプログラム2は、
外部コンピュータ8との通信手段37を備える。そし
て、ブートプログラム2の改ざん検知手段33は、第1
の保存情報41と各被検査ファイル42と、外部コンピ
ュータとの通信手段37を介して外部コンピュータ8側
の改ざん検知計算手段82を使用することとで、各被検
査ファイル42個々の改ざんの有無を検査するものとす
る。
【0075】この実施形態でいう外部コンピュータ8
は、例えば、公開鍵暗号の計算機能を備えたICカード
とそのリーダ/ライタとで構成できる。
は、例えば、公開鍵暗号の計算機能を備えたICカード
とそのリーダ/ライタとで構成できる。
【0076】公開鍵暗号の計算機能を備えたICカード
としては、CP8トランサック(Transac)社製
のTB98Sなどが知られている。このようなカードを
用いれば、前述の改ざん検知計算手段82として、署名
の復号化処理をブートプログラム2から切り離し、IC
カード側で行なうことができる。この場合ブートプログ
ラム2側の改ざん検知手段33は、被検査ファイル42
の署名をICカードに送り、その復号値を受け取り、そ
の値とブートプログラム2側で圧縮した値とを比較して
改ざんを検査すればよい。
としては、CP8トランサック(Transac)社製
のTB98Sなどが知られている。このようなカードを
用いれば、前述の改ざん検知計算手段82として、署名
の復号化処理をブートプログラム2から切り離し、IC
カード側で行なうことができる。この場合ブートプログ
ラム2側の改ざん検知手段33は、被検査ファイル42
の署名をICカードに送り、その復号値を受け取り、そ
の値とブートプログラム2側で圧縮した値とを比較して
改ざんを検査すればよい。
【0077】外部コンピュータ2にICカードを用いた
場合の第2の保存情報の改ざん防止手段81は、所定の
手続き、例えば使用者のPINコードを照合しない限り
データの更新を許可しない機能で実現できる。この機能
はICカードが一般的に持つ機能である。
場合の第2の保存情報の改ざん防止手段81は、所定の
手続き、例えば使用者のPINコードを照合しない限り
データの更新を許可しない機能で実現できる。この機能
はICカードが一般的に持つ機能である。
【0078】また、外部コンピュータ2にICカードを
用いた場合のブートプログラム2側の通信手段37は、
例えばRS232−Cポートを介して接続されるリーダ
/ライタを使えば、実現できる。これは、ブートプログ
ラム2は最初に周辺機器を初期化する(図2ステップA
1)ので、検査を開始する時点ではRS232−C関連
のBIOSも使用可能であり、これを用いて通信を行な
えばよい。
用いた場合のブートプログラム2側の通信手段37は、
例えばRS232−Cポートを介して接続されるリーダ
/ライタを使えば、実現できる。これは、ブートプログ
ラム2は最初に周辺機器を初期化する(図2ステップA
1)ので、検査を開始する時点ではRS232−C関連
のBIOSも使用可能であり、これを用いて通信を行な
えばよい。
【0079】この実施形態においては、改ざん検知に関
する計算処理の一部をROM1内のブートプログラムか
ら切り離すことで、計算処理の変更やバージョンアップ
などに対応しやすくなる効果がある。
する計算処理の一部をROM1内のブートプログラムか
ら切り離すことで、計算処理の変更やバージョンアップ
などに対応しやすくなる効果がある。
【0080】次に本発明の第7の実施形態について図9
を参照して説明する。
を参照して説明する。
【0081】この実施形態では、改ざん検知機能3を持
つ改ざん検知プログラム9をライトプロテクト機能付き
の記憶装置91に格納する。
つ改ざん検知プログラム9をライトプロテクト機能付き
の記憶装置91に格納する。
【0082】ライトプロテクト機能付きの記憶装置91
は、拡張ボードとそれに搭載された拡張ROMとで構成
することができる。多くの拡張ボードには、そのボード
を扱うためのBIOSが搭載された拡張ROMをボード
上に持つ。これに対応すべく、多くのコンピュータシス
テムのブートプログラムは、BIOSが格納された拡張
ROMが装着されていないか拡張ROM用のアドレス空
間を検索し、見つけた場合はその初期ルーチンを呼び出
す機能を持つ。改ざん検知プログラム9を拡張ボード上
の拡張ROMに格納すれば、前述の初期ルーチンを呼び
出す機能がそのまま、改ざん検知プログラム実行手段3
8となる。
は、拡張ボードとそれに搭載された拡張ROMとで構成
することができる。多くの拡張ボードには、そのボード
を扱うためのBIOSが搭載された拡張ROMをボード
上に持つ。これに対応すべく、多くのコンピュータシス
テムのブートプログラムは、BIOSが格納された拡張
ROMが装着されていないか拡張ROM用のアドレス空
間を検索し、見つけた場合はその初期ルーチンを呼び出
す機能を持つ。改ざん検知プログラム9を拡張ボード上
の拡張ROMに格納すれば、前述の初期ルーチンを呼び
出す機能がそのまま、改ざん検知プログラム実行手段3
8となる。
【0083】ライトプロテクト機能付きの記憶装置91
は、他にフロッピーディスクとそのドライブ装置とでも
構成できる。つまり、ブートプログラム2が記憶装置9
1から改ざん検知プログラム9を読み込む方法は、例え
ば改ざん検知プログラム9を記憶装置91の所定の物理
的位置から始まる物理的連続領域に格納しておき、その
所定の位置からBIOSを使って読み出せばよい。実行
する方法は、ジャンプ命令でCPU100のIPアドレ
スを、RAM102に読み込まれた改ざん検知プログラ
ム9の先頭アドレスに設定すればよい。
は、他にフロッピーディスクとそのドライブ装置とでも
構成できる。つまり、ブートプログラム2が記憶装置9
1から改ざん検知プログラム9を読み込む方法は、例え
ば改ざん検知プログラム9を記憶装置91の所定の物理
的位置から始まる物理的連続領域に格納しておき、その
所定の位置からBIOSを使って読み出せばよい。実行
する方法は、ジャンプ命令でCPU100のIPアドレ
スを、RAM102に読み込まれた改ざん検知プログラ
ム9の先頭アドレスに設定すればよい。
【0084】この実施形態においては、改ざん検知機能
3をROM1内のブートプログラムから切り離すこと
で、検知方法の変更やバージョンアップなどに対応しや
すくなる効果がある。
3をROM1内のブートプログラムから切り離すこと
で、検知方法の変更やバージョンアップなどに対応しや
すくなる効果がある。
【0085】次に本発明の第8の実施形態について図1
0を参照して説明する。
0を参照して説明する。
【0086】この実施形態では、改ざん検知機能3を持
つ改竄検知プログラム9を補助記憶装置4に格納し、R
OM1内のブートプログラム2に、改ざん検知プログラ
ム9を予め一方向性関数で圧縮した改ざん検知プログラ
ム圧縮値391を記録しておく。そしてブート時には、
現在の被検査プログラムの内容を一方向性関数で圧縮し
て値と、保存された改ざん検知プログラム圧縮値391
とを比較して、改ざん検知プログラム9自身の改ざんの
有無を検査する(改ざん検知プログラム検査手段3
9)。改ざん検知プログラム9を読み込む方法は、例え
ば改ざん検知プログラム9を記憶装置91の所定の物理
的位置から始まる物理的連続領域に格納しておき、その
所定の位置からBIOSを使ってRAM102に読み出
せばよい。改ざん検知プログラム実行手段38は、ジャ
ンプ命令でCPU100のIPアドレスを、RAM10
2に読み込まれた改ざん検知プログラム9の先頭アドレ
スに設定すればよい。
つ改竄検知プログラム9を補助記憶装置4に格納し、R
OM1内のブートプログラム2に、改ざん検知プログラ
ム9を予め一方向性関数で圧縮した改ざん検知プログラ
ム圧縮値391を記録しておく。そしてブート時には、
現在の被検査プログラムの内容を一方向性関数で圧縮し
て値と、保存された改ざん検知プログラム圧縮値391
とを比較して、改ざん検知プログラム9自身の改ざんの
有無を検査する(改ざん検知プログラム検査手段3
9)。改ざん検知プログラム9を読み込む方法は、例え
ば改ざん検知プログラム9を記憶装置91の所定の物理
的位置から始まる物理的連続領域に格納しておき、その
所定の位置からBIOSを使ってRAM102に読み出
せばよい。改ざん検知プログラム実行手段38は、ジャ
ンプ命令でCPU100のIPアドレスを、RAM10
2に読み込まれた改ざん検知プログラム9の先頭アドレ
スに設定すればよい。
【0087】この実施形態では、本発明を実施するため
にROM1に格納されたブートプログラム2が新たに備
える機能が、一方向性関数を用いた簡易な改ざん検知プ
ログラム検査手段39と、改ざん検知プログラム9をロ
ードして実行する改ざん検知プログラム実行手段38だ
けであるので、ブートプログラム2のプログラムサイズ
を小さくでき、占有するROM1のメモリ空間を小さく
できる効果がある。
にROM1に格納されたブートプログラム2が新たに備
える機能が、一方向性関数を用いた簡易な改ざん検知プ
ログラム検査手段39と、改ざん検知プログラム9をロ
ードして実行する改ざん検知プログラム実行手段38だ
けであるので、ブートプログラム2のプログラムサイズ
を小さくでき、占有するROM1のメモリ空間を小さく
できる効果がある。
【0088】次に本発明の第9の実施形態について図1
1を参照して説明する。
1を参照して説明する。
【0089】この実施形態では、改ざん検知機能3を備
えた改ざん検知プログラム9を補助記憶装置4から読み
込み実行する改ざん検知プログラム実行手段461と、
補助記憶装置4内のブートセクタ以外の物理的位置に別
途保存されたOSローダ43を読み込み実行するOSロ
ーダ実行手段462とを備えた代替OSローダ46を、
補助記憶装置4のブートセクタに持たせる。
えた改ざん検知プログラム9を補助記憶装置4から読み
込み実行する改ざん検知プログラム実行手段461と、
補助記憶装置4内のブートセクタ以外の物理的位置に別
途保存されたOSローダ43を読み込み実行するOSロ
ーダ実行手段462とを備えた代替OSローダ46を、
補助記憶装置4のブートセクタに持たせる。
【0090】改ざん検知プログラム実行手段461は、
例えば、改ざん検知プログラム9を補助記憶装置4の所
定の物理的位置から始まる物理的連続領域に格納してお
き、その所定の位置からBIOSを使ってRAM102
に読み込み、ジャンプ命令でCPU100のIPアドレ
スを、RAM102に読み込まれた改ざん検知プログラ
ム9の先頭アドレスに設定すればよい。
例えば、改ざん検知プログラム9を補助記憶装置4の所
定の物理的位置から始まる物理的連続領域に格納してお
き、その所定の位置からBIOSを使ってRAM102
に読み込み、ジャンプ命令でCPU100のIPアドレ
スを、RAM102に読み込まれた改ざん検知プログラ
ム9の先頭アドレスに設定すればよい。
【0091】OSローダ実行手段462も同様に構成で
きる。つまり、別途保存したOSローダも補助記憶装置
4の所定の物理的位置から始まる物理的連続領域に格納
しておき、改ざん検知プログラム実行手段461と同様
に読み込み、実行すればよい。
きる。つまり、別途保存したOSローダも補助記憶装置
4の所定の物理的位置から始まる物理的連続領域に格納
しておき、改ざん検知プログラム実行手段461と同様
に読み込み、実行すればよい。
【0092】この実施形態では、補助記憶装置4に複数
のOSをインストールして使い分け使用環境において、
起動するOS、つまりは起動するブートセクタが指定さ
れた後に改ざん検知機能3が動作することを特徴とす
る。これにより起動するOSに必要なファイルだけ、改
ざんの検査をさせることができ、検査処理時間の短縮が
図れる。
のOSをインストールして使い分け使用環境において、
起動するOS、つまりは起動するブートセクタが指定さ
れた後に改ざん検知機能3が動作することを特徴とす
る。これにより起動するOSに必要なファイルだけ、改
ざんの検査をさせることができ、検査処理時間の短縮が
図れる。
【発明の効果】第1の効果は、OSローダやOSが起動
する前に、OSローダやOSファイル、あるいはその他
任意のファイルの改ざんの有無を、確実に、しかも使用
者は意識せずに、検証することができることである。そ
の理由は、上記の検証を行なうのはブートプログラムで
あり、当該コンピュータシステム起動時には確実に実行
されるものであり、しかもROMに格納されているので
これ自身が改ざんされる心配はないためである。
する前に、OSローダやOSファイル、あるいはその他
任意のファイルの改ざんの有無を、確実に、しかも使用
者は意識せずに、検証することができることである。そ
の理由は、上記の検証を行なうのはブートプログラムで
あり、当該コンピュータシステム起動時には確実に実行
されるものであり、しかもROMに格納されているので
これ自身が改ざんされる心配はないためである。
【0093】第2の効果は、ハードウエア構成が簡素に
構成できることである。その理由は、通常システムが持
つブートROMに改ざん検査を行なうソフトモジュール
を追加することと、被検査ファイルを補助記憶装置4の
物理的連続領域に配置し第1の保存情報41を生成する
ユーティリティプログラムを使用するだけで、本発明を
構成することができ、特別なハードウエアの追加を必須
としないためである。
構成できることである。その理由は、通常システムが持
つブートROMに改ざん検査を行なうソフトモジュール
を追加することと、被検査ファイルを補助記憶装置4の
物理的連続領域に配置し第1の保存情報41を生成する
ユーティリティプログラムを使用するだけで、本発明を
構成することができ、特別なハードウエアの追加を必須
としないためである。
【0094】
【図1】本発明の一実施形態の構成を示す図である。
【図2】本発明の動作を説明するためのフローチャート
である。
である。
【図3】第1の保存情報の一例を説明するための図であ
る
る
【図4】第1の保存情報の他の例を説明するための図で
ある。
ある。
【図5】本発明の他の実施の形態の構成を表わす図であ
る。
る。
【図6】第1の保存情報の他の例を説明する図である。
【図7】本発明の他の実施の形態の構成を表わす図であ
る。
る。
【図8】本発明の他の実施の形態の構成を表わす図であ
る。
る。
【図9】本発明の他の実施の形態の構成を表わす図であ
る。
る。
【図10】本発明の他の実施の形態の構成を表わす図で
ある。
ある。
【図11】本発明の他の実施の形態の構成を表わす図で
ある。
ある。
【図12】従来の技術を説明するための図である。
1 ROM 2 ブートプログラム 3 改ざん検知機能 31 保存情報読み込み手段 32 被検査ファイル読み込み手段 33 改ざん検知手段 34 第2の保存情報 35 保存情報入力手段 36 第2の保存情報読み込み手段 37 通信手段 38 改ざん検知プログラム実行手段 39 改ざん検知プログラム検査手段 391 改ざん検知プログラム圧縮値 4 補助記憶装置 41 第1の保存情報 42 被検査ファイル 43 OSローダ 44 OSファイル 45 ブートセクタ 46 代替OSローダ 461 改ざん検知プログラム実行手段 462 OSローダ実行手段 47 改ざん検知プログラム 48 被検査ファイルリスト 6 入力装置 7 外部記憶装置 71 改ざん防止手段 8 外部コンピュータ 81 改ざん防止手段 82 改ざん検知計算手段 9 改ざん検知プログラム 91 ライトプロテクト機能付き記憶装置 100 制御部 101 CPU 102 RAM
Claims (4)
- 【請求項1】 起動するとまずROM内のブートプログ
ラムが起動し、前記ブートプログラムは補助記憶装置内
のOSローダを起動し、前記OSローダは前記補助記憶
装置内のOSを起動するコンピュータシステムにおい
て、前記ブートプログラムが、被検査ファイルに対する
ディジタル署名を保存する第1の保存情報を前記補助記
憶装置から読み込む保存情報読み込み手段と、読み込ん
だ前記第1の保存情報の記載内容を元に前記補助記憶装
置から前記被検査ファイルを読み込む被検査ファイル読
み込み手段と、前記ディジタル署名に対する署名検証用
鍵を保存する第2の保存情報を前記ブートプログラムか
ら読み込み、前記ディジタル署名と前記署名検証用鍵と
から前記被検査ファイルの改ざんの有無を検査する改ざ
ん検知手段と、を備えた改ざん検査機能を持つことを特
徴としたコンピュータシステム。 - 【請求項2】 前記第1の保存情報に前記被検査ファイ
ルを一方向性関数で圧縮した圧縮値と、前記第1の保存
情報に対するデジタル署名とを格納し、前記第2の保存
情報に署名検証用鍵を格納し、前記改ざん検知手段は、
前記デジタル署名と前記署名検証用鍵とで前記第1の保
存情報の改ざんの有無を検査し、前記圧縮値で被検査フ
ァイルの改ざんの有無を検査することを特徴とした請求
項1記載のコンピュータシステム。 - 【請求項3】 起動するとまずROM内のブートプログ
ラムが起動し、前記ブートプログラムは補助記憶装置内
のOSローダを起動し、前記OSローダは前記補助記憶
装置内のOSを起動するコンピュータシステムにおい
て、前記ブートプログラムが、前記補助記憶装置に格納
された第1の保存情報を読み込む保存情報読み込み手段
と、読み込んだ前記第1の保存情報の記載内容を元に前
記補助記憶装置から被検査ファイルを読み込む被検査フ
ァイル読み込み手段と、入力装置から入力された第2の
保存情報を取得する保存情報取得手段と、前記第1の保
存情報に予め含まれている第2の保存情報と前記被検査
ファイルとを連結して一方向性関数で圧縮した圧縮値と
前記保存情報取得手段により取得した第2の保存情報と
前記被検査ファイルとを連結して一方向性関数で圧縮し
た圧縮値とを比較することにより、前記被検査ファイル
の改ざんの有無を検査する改ざん検知手段とを備えた改
ざん検査機能を持つことを特徴としたコンピュータシス
テム。 - 【請求項4】 起動するとまずROM内のブートプログ
ラムが起動し、前記ブートプログラムは補助記憶装置内
のOSローダを起動し、前記OSローダは前記補助記憶
装置内のOSを起動するコンピュータシステムにおい
て、前記ROMは、前記補助記憶装置に記憶されている
前記補助記憶装置に格納された第1の保存情報を読み込
む保存情報読み込み処理と、読み込んだ前記第1の保存
情報の記載内容を元に前記補助記憶装置から被検査ファ
イルを読み込む被検査ファイル読み込み処理と、前記ブ
ートプログラムの内部に持つ第2の保存情報と読み込ん
だ前記第1の保存情報と前記被検査ファイルとから前記
被検査ファイルの改ざんの有無を検査する改ざん検知処
理とを行う改ざん検知プログラムを一方向性関数で圧縮
した第1の圧縮値を予め保存し、前記ブートプログラム
は、前記改ざん検知プログラムを読み込む手段と、読み
込んだ改ざん検知プログラムを一方向性関数で圧縮して
第2の圧縮値を得る手段と、前記第1の圧縮値と前記第
2の圧縮値とを比較することにより前記改ざん検知プロ
グラムの改ざんの有無を検査する改ざん検知プログラム
検査手段と、前記改ざん検知プログラムを実行する実行
手段とを備えることを特徴とするコンピュータシステ
ム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP13718197A JP3293760B2 (ja) | 1997-05-27 | 1997-05-27 | 改ざん検知機能付きコンピュータシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP13718197A JP3293760B2 (ja) | 1997-05-27 | 1997-05-27 | 改ざん検知機能付きコンピュータシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH10333902A JPH10333902A (ja) | 1998-12-18 |
| JP3293760B2 true JP3293760B2 (ja) | 2002-06-17 |
Family
ID=15192709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP13718197A Expired - Fee Related JP3293760B2 (ja) | 1997-05-27 | 1997-05-27 | 改ざん検知機能付きコンピュータシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3293760B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007318731A (ja) * | 2006-04-26 | 2007-12-06 | Ricoh Co Ltd | 複数のモジュール構成情報を管理できる画像形成装置 |
| US8522356B2 (en) | 2010-05-13 | 2013-08-27 | Panasonic Corporation | Information processing apparatus and information processing method |
Families Citing this family (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6988250B1 (en) * | 1999-02-15 | 2006-01-17 | Hewlett-Packard Development Company, L.P. | Trusted computing platform using a trusted device assembly |
| TW479194B (en) * | 1999-06-18 | 2002-03-11 | Phoenix Tech Ltd | Method and apparatus for execution of an application during computer pre-boot operation |
| GB9922665D0 (en) * | 1999-09-25 | 1999-11-24 | Hewlett Packard Co | A method of enforcing trusted functionality in a full function platform |
| AUPQ321699A0 (en) * | 1999-09-30 | 1999-10-28 | Aristocrat Leisure Industries Pty Ltd | Gaming security system |
| JP3761147B2 (ja) * | 2000-06-07 | 2006-03-29 | 日本電信電話株式会社 | 情報表示システム及びゲートウェイ装置 |
| US6986052B1 (en) | 2000-06-30 | 2006-01-10 | Intel Corporation | Method and apparatus for secure execution using a secure memory partition |
| JP4089171B2 (ja) * | 2001-04-24 | 2008-05-28 | 株式会社日立製作所 | 計算機システム |
| WO2002086684A2 (en) | 2001-04-24 | 2002-10-31 | Hewlett-Packard Company | An information security system |
| FI114416B (fi) * | 2001-06-15 | 2004-10-15 | Nokia Corp | Menetelmä elektroniikkalaitteen varmistamiseksi, varmistusjärjestelmä ja elektroniikkalaite |
| CN101079092B (zh) * | 2001-11-26 | 2010-07-28 | 松下电器产业株式会社 | 应用程序认证***的终端及其应用程序的启动方法 |
| AU2002348916A1 (en) * | 2001-11-27 | 2003-06-10 | Koninklijke Philips Electronics N.V. | Conditional access system |
| US7069442B2 (en) | 2002-03-29 | 2006-06-27 | Intel Corporation | System and method for execution of a secured environment initialization instruction |
| US6782477B2 (en) * | 2002-04-16 | 2004-08-24 | Song Computer Entertainment America Inc. | Method and system for using tamperproof hardware to provide copy protection and online security |
| JP4564756B2 (ja) * | 2002-04-18 | 2010-10-20 | アドバンスト・マイクロ・ディバイシズ・インコーポレイテッド | セキュア実行モードで動作し得るプロセッサを含むコンピュータシステムの初期化方法 |
| EP1495394B1 (en) * | 2002-04-18 | 2008-07-23 | Advanced Micro Devices, Inc. | A computer system including a secure execution mode - capable cpu and a security services processor connected via a secure communication path |
| US6920484B2 (en) * | 2002-05-13 | 2005-07-19 | Nvidia Corporation | Method and apparatus for providing an integrated virtual disk subsystem |
| US6907522B2 (en) | 2002-06-07 | 2005-06-14 | Microsoft Corporation | Use of hashing in a secure boot loader |
| EP1387238B1 (en) | 2002-07-30 | 2011-06-15 | Fujitsu Limited | Method and apparatus for reproducing information using a security module |
| GB2392262A (en) | 2002-08-23 | 2004-02-25 | Hewlett Packard Co | A method of controlling the processing of data |
| JP4736370B2 (ja) * | 2004-07-27 | 2011-07-27 | 株式会社日立製作所 | ホスティング環境構築方法および計算機システム |
| US20060048222A1 (en) * | 2004-08-27 | 2006-03-02 | O'connor Clint H | Secure electronic delivery seal for information handling system |
| US20060095964A1 (en) * | 2004-10-29 | 2006-05-04 | Microsoft Corporation | Document stamping antivirus manifest |
| KR100654446B1 (ko) * | 2004-12-09 | 2006-12-06 | 삼성전자주식회사 | 보안 부팅 장치 및 방법 |
| JP4433401B2 (ja) | 2004-12-20 | 2010-03-17 | レノボ シンガポール プライヴェート リミテッド | 情報処理システム、プログラム、及び情報処理方法 |
| JP4698285B2 (ja) | 2005-05-19 | 2011-06-08 | 富士通株式会社 | 情報処理装置、情報処理方法及びコンピュータプログラム |
| US8554686B2 (en) * | 2005-06-30 | 2013-10-08 | Advanced Micro Devices, Inc. | Anti-hack protection to restrict installation of operating systems and other software |
| US8201240B2 (en) * | 2005-09-16 | 2012-06-12 | Nokia Corporation | Simple scalable and configurable secure boot for trusted mobile phones |
| JP4537940B2 (ja) | 2005-11-21 | 2010-09-08 | 株式会社ソニー・コンピュータエンタテインメント | 情報処理装置、及びプログラム実行制御方法 |
| JP2007149003A (ja) * | 2005-11-30 | 2007-06-14 | Olympus Corp | ソフトウェア動作装置 |
| CN100437502C (zh) * | 2005-12-30 | 2008-11-26 | 联想(北京)有限公司 | 基于安全芯片的防病毒方法 |
| JP4769608B2 (ja) | 2006-03-22 | 2011-09-07 | 富士通株式会社 | 起動検証機能を有する情報処理装置 |
| EP2083372A4 (en) * | 2006-10-20 | 2012-02-29 | Panasonic Corp | DEVICE AND METHOD FOR MONITORING FALSIFICATION OF APPLICATION INFORMATION |
| JP4288292B2 (ja) | 2006-10-31 | 2009-07-01 | 株式会社エヌ・ティ・ティ・ドコモ | オペレーティングシステム監視設定情報生成装置及びオペレーティングシステム監視装置 |
| JP4893411B2 (ja) * | 2007-03-28 | 2012-03-07 | カシオ計算機株式会社 | 端末装置及びプログラム |
| JP2009009372A (ja) * | 2007-06-28 | 2009-01-15 | Panasonic Corp | 情報端末、クライアントサーバシステムおよびプログラム |
| JP5085287B2 (ja) * | 2007-11-21 | 2012-11-28 | 株式会社リコー | 情報処理装置、正当性検証方法および正当性検証プログラム |
| JP4993122B2 (ja) * | 2008-01-23 | 2012-08-08 | 大日本印刷株式会社 | プラットフォーム完全性検証システムおよび方法 |
| DE102008011925B4 (de) * | 2008-02-29 | 2018-03-15 | Globalfoundries Inc. | Sicheres Initialisieren von Computersystemen |
| JP2011128659A (ja) * | 2008-03-10 | 2011-06-30 | Nec Corp | Os起動可否判定装置、os起動可否判定システム、os起動可否判定方法およびos起動可否判定プログラム |
| JP5309709B2 (ja) * | 2008-06-16 | 2013-10-09 | 株式会社リコー | ソフトウェア改ざん検知方法及び機器 |
| CN102037473A (zh) * | 2008-06-23 | 2011-04-27 | 松下电器产业株式会社 | 信息处理装置、信息处理方法、实现它们的计算机程序及集成电路 |
| JP5212718B2 (ja) * | 2008-10-30 | 2013-06-19 | 大日本印刷株式会社 | プラットフォームの完全性検証システム及び方法 |
| JP5335625B2 (ja) * | 2009-09-02 | 2013-11-06 | レノボ・シンガポール・プライベート・リミテッド | ブート時間を短縮するコンピュータ・プログラム |
| JP5355351B2 (ja) * | 2009-11-06 | 2013-11-27 | 株式会社日立ソリューションズ | コンピュータ |
| WO2011114621A1 (ja) * | 2010-03-19 | 2011-09-22 | パナソニック株式会社 | プログラム実行装置、情報処理方法、情報処理プログラム、記録媒体及び集積回路 |
| WO2012053053A1 (ja) * | 2010-10-19 | 2012-04-26 | Suginaka Junko | 外部ブートデバイス及びネットワーク通信システム |
| JP5723361B2 (ja) * | 2010-10-28 | 2015-05-27 | パナソニック株式会社 | 改ざん監視システム、保護制御モジュール及び検知モジュール |
| US20120167218A1 (en) * | 2010-12-23 | 2012-06-28 | Rajesh Poornachandran | Signature-independent, system behavior-based malware detection |
| US8560845B2 (en) * | 2011-01-14 | 2013-10-15 | Apple Inc. | System and method for tamper-resistant booting |
| WO2012127522A1 (ja) | 2011-03-18 | 2012-09-27 | 富士通株式会社 | 情報処理装置及び情報処理装置の制御方法 |
| JP2014170255A (ja) * | 2011-06-29 | 2014-09-18 | Panasonic Corp | セキュアブート方法 |
| JP5387724B2 (ja) * | 2012-05-07 | 2014-01-15 | 株式会社リコー | ソフトウェア改ざん検知方法、ソフトウェア改ざん検知プログラム及び機器 |
| JP2015007827A (ja) * | 2013-06-24 | 2015-01-15 | 富士通株式会社 | 通信制御システム、通信端末装置、認証コンピュータ及び通信制御方法 |
| JP6744256B2 (ja) * | 2017-06-12 | 2020-08-19 | 日本電信電話株式会社 | 確認システム、制御装置及び確認方法 |
| JP6953211B2 (ja) * | 2017-07-18 | 2021-10-27 | キヤノン株式会社 | 情報処理装置及び情報処理装置の制御方法 |
| JP6942601B2 (ja) * | 2017-10-18 | 2021-09-29 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
| JP7195796B2 (ja) | 2018-07-23 | 2022-12-26 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及び、プログラム |
-
1997
- 1997-05-27 JP JP13718197A patent/JP3293760B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007318731A (ja) * | 2006-04-26 | 2007-12-06 | Ricoh Co Ltd | 複数のモジュール構成情報を管理できる画像形成装置 |
| US8522356B2 (en) | 2010-05-13 | 2013-08-27 | Panasonic Corporation | Information processing apparatus and information processing method |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH10333902A (ja) | 1998-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3293760B2 (ja) | 改ざん検知機能付きコンピュータシステム | |
| US7937575B2 (en) | Information processing system, program product, and information processing method | |
| JP4855679B2 (ja) | サーバ管理コプロセッササブシステム内部のtcpaによる信頼性の高いプラットフォームモジュール機能のカプセル化 | |
| US6263431B1 (en) | Operating system bootstrap security mechanism | |
| US6032257A (en) | Hardware theft-protection architecture | |
| US7421588B2 (en) | Apparatus, system, and method for sealing a data repository to a trusted computing platform | |
| JP5510550B2 (ja) | ハードウェアトラストアンカー | |
| EP1334419B1 (en) | System and method for verifying the integrity of stored information within an electronic device | |
| JP5512610B2 (ja) | 非ファームウェアエージェントからメモリへのアクセスを許可または阻止する方法、システム、および機械可読記憶媒体 | |
| JP5190800B2 (ja) | プログラムの実行制御システム、実行制御方法、実行制御用コンピュータプログラム | |
| US7380136B2 (en) | Methods and apparatus for secure collection and display of user interface information in a pre-boot environment | |
| JP4116024B2 (ja) | ペリフェラルの使用管理方法、電子システム及びその構成装置 | |
| JP2012520501A (ja) | 周辺デバイスを用いた完全性検証 | |
| US20030110387A1 (en) | Initiating execution of a computer program from an encrypted version of a computer program | |
| JP5191043B2 (ja) | プログラムの不正起動防止システム及び方法 | |
| JP5346608B2 (ja) | 情報処理装置およびファイル検証システム | |
| US20070250918A1 (en) | Authentication System and Security Device | |
| US20090287917A1 (en) | Secure software distribution | |
| JP2001147898A (ja) | 原本性保証電子保存方法、装置及びコンピュータ読み取り可能な記録媒体 | |
| JP4767619B2 (ja) | 外部記憶装置およびsbc制御方法 | |
| CN113761595A (zh) | 一种基于计算机内存取证技术的代码签名验证方法 | |
| WO2008068908A1 (ja) | 情報処理装置および情報管理プログラム | |
| KR101013419B1 (ko) | 시스템 보호 장치 및 방법 | |
| US20040083379A1 (en) | Data processing system and method | |
| JP2002351565A (ja) | 不正使用防止システム、不正使用防止方法及び不正使用防止プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20020305 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |