JP4736370B2 - ホスティング環境構築方法および計算機システム - Google Patents
ホスティング環境構築方法および計算機システム Download PDFInfo
- Publication number
- JP4736370B2 JP4736370B2 JP2004218044A JP2004218044A JP4736370B2 JP 4736370 B2 JP4736370 B2 JP 4736370B2 JP 2004218044 A JP2004218044 A JP 2004218044A JP 2004218044 A JP2004218044 A JP 2004218044A JP 4736370 B2 JP4736370 B2 JP 4736370B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- boot
- boot image
- management
- computer resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Description
本発明は、データセンターや企業内の計算センターなどで、業務システムのホスティング環境を構築するプロビジョニング技術に属する。
近年、データセンターや企業内の計算センターなどへ業務システムを集中配置し、計算機リソースを有効活用しようとする動きがある。これまでの業務システムは、固定的に計算機リソースを割り付けて構築されることが多かったが、必要な計算機リソース量を必要な期間だけ割り付けて業務システムを構築することで、より少ない計算機リソースで複数の業務システムを効率よく稼働させようとするものである。前記を実現するためには、ある計算機リソース上に任意の業務システムを低コストで構築するための技術が必要となり、例えば、特開2003−216593号公報(特許文献1)のように、多種多量のサーバ(業務システムや業務システムをホスティングする環境)を一括して導入する方法が考えられている。特許文献1によれば、ネットワークブート手段を具備する複数の計算機リソースは、起動時に、業務システム構築に必要なプログラムと設定情報(以降、ブートイメージと呼ぶ)を集中管理サーバ及びストレージサーバから取得する。これにより、複数の計算機リソースへの個々の設定作業を一括して行うことができる。
しかし、上記のような従来技術では、悪意を持って不正なブートイメージを送り込まれた場合に、不正な業務システムやホスティング環境が構築され、セキュリティの観点でデータセンターや企業内の計算センターを守る手段がないという問題がある。例えば、ブートイメージにハッキング用のプログラムが仕込まれていた場合は、企業の存亡に関わる甚大な被害が予想される。この問題を解決する方法としては、例えば、特開2003−122588号公報(特許文献2)があり、ブートイメージ(特許文献2内の記述ではソフトウェア)に電子署名を付与しておき、ブート時(特許文献2内の記述では起動時)に電子署名を検証することで、不正なブートイメージでシステムを起動することを阻止できる。
しかし、特開2003−122588号公報(特許文献2)の方法では、ブートイメージのサイズが大きい場合に、電子署名を検証する処理に時間がかかってしまうという問題がある。電子署名の付与、及び、検証の対象が、ソフトウェアのパッチやデバイスドライバなど、比較的ファイルのサイズが小さいものであれば、電子署名の検証処理時間は十分に無視できると考えられるが、多種多量のサーバ(業務システムや業務システムをホスティングする環境)を一括して導入するといった場面では、その際に用いられるブートイメージはOSやミドルウェアを含んだサイズの大きいものになることがあり、その場合、その電子署名の検証処理の時間は無視できないものとなる。
また、上記場面で、ブートイメージの単位で電子署名技術を使用すると、電子署名の検証処理を省略するか、省略しないかの二者択一の選択しかできず、電子署名の検証は省略したくないが、ブート時間を短縮させたいといったニーズに対応できないという問題がある。
本発明の目的は、計算機リソースに対してネットワークブートなどの技術を使ってブートイメージをロードさせて業務システムやそのホスティング環境を構築する方法において、安全かつ高速にホスティング環境を構築する方法を提供することにある。
本発明は、例えば非対称鍵(公開鍵と秘密鍵)方式のような電子署名及びその検証技術を用いる。まず、計算機リソースのBIOS ROMに公開鍵を格納しておく。そして、この公開鍵に対応する秘密鍵を使ってブートイメージに電子署名を付与しておく。計算機リソースがブート処理を始める直前に、ブートイメージを読み込んで、前述の計算機リソース内の公開鍵を使って電子署名を検証する。検証処理が成功した場合はブート処理を行い、検証処理が失敗した場合はブート処理を行わないようにする。
ブートイメージのサイズが大きい場合には、ブートイメージをサイズの小さな断片に分割し、それぞれの断片に電子署名を付与しておき、ブート処理時にブートイメージの断片の読み込む際に、それぞれの断片に付与された電子署名を検証する。ブート処理の途中で電子署名の検証処理が失敗した断片が存在した場合にはブート処理を中断するようにする。しかし、すべての断片について電子署名の検証処理を行うと検証処理の合計時間が短縮できない場合があるため、断片に重要度情報を付与し、ブート指示時に与えられる重要度指示情報に従って、ある重要度以上の断片のみ電子署名の検証処理を行うようにする。
さらに、複数の計算機リソースに対して同じブートイメージをロードさせてブートさせる場合は、計算機リソース毎に電子署名の検証を行う断片を、例えば重要度情報に従って区別し、同時にブートさせる計算機リソース間で同時並行的に署名検証を行うようにする。
本発明のホスティング環境構築方法では、電子署名が付与されたブートイメージを計算機リソース側で検証しながらロードさせてブートさせる場合に、セキュリティを維持しつつ、より高速にホスティング環境を構築できるようになる。
以下に、本発明の実施の形態を説明する。
以下、本発明によるホスティング環境構築方法の実施例1について図1〜図8を参照して詳細に説明する。以下に説明する本発明の実施例1は、計算機リソースがブート処理を始める直前に、ブートイメージを読み込んで、計算機リソース内の公開鍵を使って電子署名を検証する方法において、ブートイメージのサイズが大きく、電子署名の検証に時間がかかるという問題を解決するために、ブートイメージをいくつかの断片に分割し、それぞれの断片に電子署名を付与しておき、ブート処理の際には断片ごとに署名検証処理を行って、検証が失敗する断片が見つかった時点でブート処理を中断する方法の例である。なお、非対称鍵のペア(公開鍵と秘密鍵のペア)はあらかじめ用意されており、また、公開鍵は計算機リソースのBIOSロム内に、秘密鍵は集中管理サーバに、それぞれ格納されているものとする。
図1は、本発明におけるホスティング環境構築方法を実現する集中管理サーバの構成と機能ブロック、及び、前記集中管理サーバによって制御される計算機リソースの構成と機能ブロック、及び、ブートイメージを格納・管理するブートイメージ管理ストレージの構成と機能ブロックの一例である。
図1において、101は集中管理サーバであり、CPU102、メインメモリ103、NIC(ネットワークインタフェース)104、HBA(ストレージ用ホストバスアダプタ)105、キーボードやモニタなどの入出力装置106、HDD(ハードディスク)107、を備えた計算機である。また、集中管理サーバ101のメインメモリ103には、ブートイメージに対する電子署名を生成するための署名手段108と、ブートイメージと計算機リソースを指定して、ホスティング環境の構築を指示するブート指示手段109が読み込まれており、入出力装置106によって、動作を指示できるようになっている。また、HDD107には、公開鍵に対応する秘密鍵を格納した鍵管理テーブル110と、計算機リソースと公開鍵の対応関係を格納した鍵配置テーブル111と、ブートイメージの断片の格納場所と、そのブートイメージの断片に対してどの秘密鍵で電子署名したかという情報と、そのブートイメージの断片の署名検証処理の優先度情報を格納したブートイメージ管理テーブル112と、が保持されている。
また、121は、ブートイメージを管理するストレージであり、複数のHDDをひとつのボリュームとして扱って入出力の制御を行うコントローラ121と、ストレージを構成するHDD123と、で構成される。また、ブートイメージ管理ストレージ121のHDD123には、ブートイメージ(の断片)124と、そのブートイメージの断片に対する電子署名125と、そのブートイメージの断片の署名検証処理の優先度情報126と、が組になって、複数格納されている。
また、131は、計算機リソースであり、CPU132と、メインメモリ133と、NIC134と、HBA125とBIOSロム136を備える計算機である。BIOSロム136には、システムBIOS137と、ファームウェア138が格納されている。ファームウェアとしては、公開鍵139と、署名検証手段140と、各種ドライバ141(NICドライバ、HBAドライバなど)が格納されている。また、ホスティング環境の構築処理が完了した後には、システムBIOS137のブート処理によって読み込まれたブートデータ142がメインメモリ133に格納される。
また、151はLAN(ローカルエリアネットワーク)であり、集中管理サーバ101と計算機リソース131の間で情報のやり取りを行う際に使用する。集中管理サーバ101と計算機リソース131の間のアクセスはNIC104、NIC134を経由して行われる。
また、161はSAN(ストレージエリアネットワーク)であり、集中管理サーバ101とブートイメージ管理ストレージ121の間、及び、計算機リソース131とブートイメージ管理ストレージ121の間の情報のやり取りを行う際に使用する。集中管理サーバ101とブートイメージ管理ストレージ121の間、及び、計算機リソース131とブートイメージ管理ストレージ121の間のアクセスは、HBA105、HBA125とコントローラ122を経由して行われる。
本実施例では、集中管理サーバ101のブート指示手段109からの指示により、計算機リソース131がブート処理を開始し、指定されたブートイメージを読み込んで起動することで、所望のホスティング環境が構築できるものとしている。
図2は、鍵管理テーブル110の一例である。このテーブルは、計算機リソース131のBIOSロム136に格納された公開鍵に対応した秘密鍵を格納するためのテーブルであり、公開鍵ID201と秘密鍵ID202と秘密鍵203で構成される。
図2の211は、公開鍵ID201が「PKeyID_001」の公開鍵に対応する秘密鍵ID202は「SKeyID_001」であり、秘密鍵203の値が「SKey_001」であることを示している。
図3は、鍵配置テーブル111の一例である。このテーブルは、どの計算機リソース131にどの公開鍵139が格納されているかを保持するテーブルであり、計算機リソースID301と公開鍵ID302で構成される。
図3の311は、計算機リソースID301が「RES_001」の計算機リソース131のBIOSロム136に格納されている公開鍵のIDは「PKeyID_001」であることを示している。
図4は、ブートイメージ管理テーブル112の一例である。このテーブルは、ブートイメージの格納位置とブートイメージに対してどの秘密鍵で電子署名したかという情報、および、電子署名の格納位置と、そのブートイメージの断片毎の署名検証の優先度情報を保持するためのテーブルであり、ブートイメージID401と、ブートイメージ位置402と、秘密鍵ID403と、電子署名位置404と、優先度情報位置405で構成される。
図4の411は、ブートイメージID401が「BOOT_001」のブートイメージは「/BOOT_001/boot」というブートイメージ位置に格納されており、秘密鍵ID403は「SKeyID_001」の秘密鍵で署名されており、その電子署名は「/BOOT_001/signature」という電子署名位置に格納されており、そのブートイメージの断片毎の署名処理の優先度は「/BOOT_001/priority」という優先度情報位置に格納されていることを示している。
図5は、ブートイメージ124と電子署名125と優先度126を格納するブートイメージ管理ストレージ121のディレクトリ構造の一例である。ルートディレクトリ「/」の配下には、ブートイメージID毎のディレクトリがあり、さらにその配下には、ブートイメージ用ディレクトリ511と電子署名用ディレクトリ512と優先度情報用ディレクトリ513がある。511〜513それぞれのディレクトリには、断片化されたブートイメージファイル(521〜523)、断片化されたブートイメージファイルに対する電子署名ファイル(524〜526)、断片化されたブートイメージファイルに対する電子署名検証処理の優先度を保持するファイル(527〜529)が格納されている。優先度の値はそのファイルに格納されている(531〜533)。
図5の例では、ブートイメージIDが「BOOT_001」のブートイメージファイル(断片)は「001.dat」521〜「003.dat」523であり、「001.dat」521に対する電子署名ファイルは「001.sign」524であり、「001.dat」521に対する電子署名検証処理の優先度は「001.info」に格納されており、その値は「1」531であることを表している。
なお、ブートイメージ管理ストレージ121には複数のHDD123が存在するが、コントローラ122によって単一ボリュームに見えるものとする。
図6は、署名手段108の処理の流れを説明するフローチャートである。以下、図6のフローチャートを参照しながら、ブートイメージを断片に分割し、それぞれの断片に電子署名を付与し、電子署名検証処理の優先度を付与する処理の流れを説明する。
まず、集中管理サーバ101の入出力装置106から入力されたブートイメージID401と秘密鍵ID403を取得する(ステップ601)。次に、鍵管理テーブル110を参照し、秘密鍵ID202に対応する秘密鍵203をメモリに読み込む(ステップ602).次に、ブートイメージ管理ストレージ121のブートイメージHDD123からブートイメージ124を読み込み,所定のサイズに分割する(ステップ603)。次に、ステップ603で分割したブートイメージの断片に対する電子署名をそれぞれ作成し,ブートイメージHDD123に格納する(ステップ604)。次に、ステップ603で分割したブートイメージの断片に対して優先度の値をそれぞれ付与し、ブートイメージHDD123に格納する(ステップ605)。なお、優先度の値は、利用者が指定しても良いが、指定されない場合は、例えば「1」〜「3」などのように、ある範囲の値をそれぞれの断片に均等に割り振るのでもよい。本実施例では、優先度「1」が最も優先度の高いものとする。優先度の値は、その断片に含まれるファイルの種類やアクセス頻度、関数の種類や呼び出し回数、またデータの種類やアクセス頻度、等の情報に基づいて設定することも可能である。このような情報に基づいた優先度の指標付けにより、セキュリティレベルを維持しながら、ブートイメージの署名検証を高速化することができる。
図7は、ブート指示手段109とシステムBIOS137と署名検証手段140によって、ブート指示を受けてからホスティング環境ができあがるまでの処理の流れを説明するフローチャートである。以下、図7のフローチャートを参照しながら詳細に説明する。
まず、集中管理サーバ101の入出力装置106から入力されたブートイメージID401と、計算機リソースID301と、電子署名検証処理の優先度と、を取得する(ステップ701)。このとき、複数の計算機リソース131に同一のブートイメージをロードさせてブートさせるよう指示された場合は、複数の計算機リソースIDを取得する。
次に、取得した計算機リソースID301とブートイメージID401と優先度とをテーブルの形で、メインメモリ103に格納する(ステップ702)。
ステップ702によって作成されたブート指示テーブル113の例を図8に示す。このテーブルは、計算機リソースID301とブートイメージID401と優先度指定801とブート成否802で構成される。図8の例では、ステップ701でブートイメージID401が「BOOT_001」のブートイメージを計算機リソースID301が「RES_001」〜「RES_005」の5台にロードさせてブートさせる場合の例で、ブート処理時に署名検証処理を行うブートイメージの断片は「3以下」のものと指定された場合の例である。ステップ702の時点では、ブート成否802は全て空欄となっているものとする。ブート成否802への値の格納はステップ705で行われる(詳細は後述)。
次に、ステップ701で指定された計算機リソースID301に対応する計算機リソース全てに対して、Wake UpパケットをNIC104経由で送信する(ステップ703)。計算機リソース131は、NIC134経由で、ステップ703のWake Upパケットを受信し、システムBIOS137のWake Up On LAN機能でブート処理を開始する(ステップ711)。ここで、複数の計算機リソースが同時並行的にブート処理を開始する。なお、Wake Up On LAN機能とは、ある特定のパケットを受信したときに計算機をアクティブにさせることができる機能であり、広く利用されている技術である。
次に、システムBIOS137は、ファームウェアに格納されたネットワークドライバ141を読み込み、NIC134経由で集中管理サーバ101のメインメモリ103から自分の計算機リソースIDに対応するブートイメージIDを取得し、ブートイメージ管理テーブル112からブートイメージ位置402と電子署名位置404と優先度情報位置405を読み込む(ステップ405).例えば、自分の計算機リソースIDが「RES_001」であった場合、図8の811からブートイメージID401「BOOT_001」を取得し、ブートイメージ管理テーブル112から「BOOT_001」に対応するブートイメージ位置「/BOOT_001/boot」を取得する。電子署名位置404と優先度情報位置405についても、同様に取得する。
次に、HBAドライバ141を読み込み、HBA125経由でブートイメージ管理ストレージ121にアクセスし、ブートイメージの全ての断片を処理していない場合は(条件分岐713)、ブートイメージの断片(521など)と電子署名(524など)と優先度(531など)を読み込む(ステップ714)。
次に、ステップ714で読み込んだ優先度の値と、ステップ702で作成したテーブル(図8)の優先度指定の値を比較し、その断片が電子署名検証処理の対象かどうか判断する(条件分岐715)。条件分岐715で検証処理の対象であると判断された場合は、ステップ721へ進み、そうでない場合は、電子署名検証処理をスキップしてステップ717へ進んでブート処理を行う。
署名検証手段140は、ファームウェア138から公開鍵139を読み込む(ステップ911)。次に、ブートイメージのダイジェスト値を生成する(ステップ722)。次に、ステップ721で読み込んだ公開鍵139を用いて電子署名125を復号化する(ステップ723)。ステップ722で生成したダイジェスト値とステップ723で復号化した値を比較する(ステップ724)。一致した場合は、一致したことをシステムBIOSへ通知し、一致しなかった場合は、一致しなかったことをシステムBIOSへ通知する(ステップ725)。
ステップ716では、ステップ725からの通知を受け取り、署名検証が成功したかどうか判断する。署名検証が成功した場合は、ステップ717へ進み、ブート処理を行う。署名検証が失敗した場合は、ステップ718へ進み、ブートを中断したことをブート指示手段109に通知する。
ステップ714〜ステップ717は、条件分岐713により、ブートイメージの断片を全て処理するまで繰り返され、署名検証対象の断片が全て署名検証に成功した場合は、無事にブート処理が完了したことになる。その場合は、ステップ719で、ブートを完了したことをブート指示手段109に通知する。
ブート指示手段109は、ステップ704によって、システムBIOSからのブート成否を受け取り、ブート中断が通知された場合は、ステップ701で取得した全てのブート対象の計算機リソースに対して、ブート中断指示を送信する。つまり、ブート対象の計算機リソースのうち、一つでも署名検証が失敗した場合は、全ての計算機リソースのブート処理を中止する。
ステップ704によって、ブート完了の通知を受けた場合は、その計算機リソースがブートに成功したことをステップ702で作成したテーブルのブート成否802に書き込む(ステップ705)。図8の例では、これまでに、811、812、814のブートが完了したことを表している。
ステップ702で作成したテーブルのブート成否802が全て「YES」になった時点で、全ての計算機リソースのブート処理が完了したことになるので、ブートが完了した旨を入出力装置106経由でユーザに通知する。
なお、ステップ701において、ユーザが集中管理サーバ101に対して入出力装置106を用いて実行を指示するように説明したが、集中管理サーバ101がスケジュール管理機能を具備している場合には、タイマーによる実行制御を行うのでも良い。
ステップ701で、ブートイメージの各断片に付与された優先度の値が「1」〜「3」であり、ブート処理時に署名検証処理を行うブートイメージの断片は「3以下」のものと指定された場合は、全ての前記断片について、署名検証処理を行うことになる。また、ブート処理時に署名検証処理を行うブートイメージの断片は「1以下」のものと指定された場合は、ブートイメージの各断片に付与された優先度の値が「1」の前記断片についてのみ、署名検証処理を行うことになる。さらに、ブート処理時に署名検証処理を行うブートイメージの断片は「0以下」のものと指定された場合は、署名検証処理は行わないことになる。このように、ブート処理時に署名検証処理を行うブートイメージの断片を優先度という形で指定することで、電子署名の検証を全て省略したくはないが、ブート時間はいくらか短縮させたいといったニーズに対応できるようになる。
また、ステップ701で、集中管理サーバ101の入出力装置106から入力されたブートイメージID401と、計算機リソースID301と、電子署名検証処理の優先度と、を取得するが、複数の計算機リソース131毎に署名検証処理の優先度情報を個別に指示される場合、すなわち、計算機リソースID「RES_001」に対しては優先度「3」、計算機リソースID「RES_002」に対しては優先度「1」、のように、指示される場合がある。この場合は、複数の計算機リソースで同じ断片の電子署名検証処理を重複して行わないことになり、つまり、ある断片の電子署名検証処理は、いずれかの計算機リソースでのみ行われることになる。計算機リソースのブート処理は同時並行的に処理できるので、全体のブート処理時間を短縮することができるようになる。また、各断片の署名検証処理の計算機リソース割り当ては、例えば、優先度「1」の断片が複数あり、かつ検証可能な計算機リソースが複数ある場合は、それぞれの計算機リソースに署名検証の負荷が平準化されるように割り当てて処理し、その後、同様の方法で優先度「2」の断片の署名検証処理をすることができる。
本実施例では、ブートイメージをいくつかの断片に分割し、それぞれの断片に電子署名を付与し、さらに、電子署名を検証する優先度を付与して、ブート指示として優先度を指定することで、電子署名を検証する断片の数を減らす方法を説明した。これは、すべての断片について電子署名の検証を行うと、断片に分割したことによって、分割しない場合よりも時間がかかってしまうという問題に対応するものである。本実施例の方法によれば、例えば、セキュリティ強度を重視する場合は、全ての断片に対して署名検証処理を行うように優先度を指定すればよいし、ブート処理の時間短縮を重視する場合は、優先度の低い断片の署名検証処理は省略されるように、優先度を指定すればよい。セキュリティ強度とブート処理の時間はトレードオフの関係になり、本発明は、利用者の優先度指定によって、その度合いを制御できるようにしている。
図12は、本実施例では、集中管理サーバ101とブートイメージ管理ストレージ121の間、及び、計算機リソース131とブートイメージ管理ストレージ121の間のアクセスは、HBA105、HBA125とコントローラ122を経由して行われるとしたが、HBAを用いずにNICを用いて行う場合の構成を示した図である。図12において、1201はファイルサーバであり、HBA1202とNIC1203を備える計算機である。この構成では、集中管理サーバ101とブートイメージ管理ストレージ121の間のアクセスはNIC104とLAN151とNIC1203とHBA1202とSAN161とコントローラ122とを経由して行われる。また、計算機リソース131とブートイメージ管理ストレージ121の間のアクセスはNIC134とLAN151とNIC1203とHBA1202とSAN161とコントローラ122とを経由して行われる。
本実施例(図1)では、ブートイメージ124と電子署名125と優先度情報126を管理ストレージにて管理し、HBA125経由でブート処理(いわゆるSANブート)を行うように説明したが、図13に示すように、ファイルサーバ1201を用いることで、NIC134経由のブート処理(いわゆるLANブート)を行うこともできる。
以下、本発明によるシステム動的構成変更方法の実施例2について、主に図9〜図11を参照して詳細に説明する。以下に説明する本発明の実施例2は、ホスティング環境を構築する際に、ブート処理の最中に動的に電子署名を付与する方法である。
図9は、実施例2における、ホスティング環境構築方法を実現する集中管理サーバの構成と機能ブロック、及び、前記集中管理サーバによって制御される計算機リソースの構成と機能ブロック、及び、ブートイメージを格納・管理するブートイメージ管理ストレージの構成と機能ブロックの一例である。実施例1の説明で使用した図1との違いは、署名手段901、鍵管理テーブル110、鍵配置テーブル111、ブートイメージ管理テーブル112をブートイメージ管理ストレージ121に備えるようにした(集中管理サーバ101から移動した)点である。なお、鍵管理テーブル110、鍵配置テーブル111、ブートイメージ管理テーブル112の構造及び保持するデータは実施例1と同じである。
図10は、ブート指示手段109とシステムBIOS137と署名検証手段140によって、ブート指示を受けてからホスティング環境ができあがるまでの処理の流れを説明するフローチャートである。実施例1の説明で使用した図7との違いは、ステップ1001とステップ1002とステップ1003である。
実施例1のステップ701では、ブートイメージの断片に対する電子署名位置404を読み込んでいたが、実施例2のステップ1001では、電子署名位置404は読み込まない。また、実施例1のステップ714では、ブートイメージの断片に対する電子署名を読み込んでいたが、実施例2のステップ1002では、電子署名は読み込まない。これらの相違は、実施例2では、ステップ1001の時点では、電子署名はまだ作成されていないためである。
また、実施例2では、ステップ1003が新たに加えられており、ここで、署名手段901に対して電子署名の作成を行う。すなわち、ステップ715で電子署名の検証処理の対象であると判定されたブートイメージの断片についてのみ、その時点で電子署名の付与を署名手段901に依頼することで、予め電子署名を付与する必要もなく、また、必要最小限のコストで、セキュリティを確保できる。
図11は、署名手段901の処理の流れを説明するフローチャートである。以下、図11のフローチャートを参照しながら、ブートイメージの断片に対する電子署名を作成し、呼び出し元に返すまでの処理の流れを説明する。
まず、ブートイメージID401と断片ファイル名(521〜523のいずれか)と計算機リソースID301を呼び出し元から受け取る(ステップ1101)。次に、鍵は一テーブル111を参照し、計算機リソースID301に対応する公開鍵ID302を取得する(ステップ1102)。次に、鍵管理テーブル110を参照し、公開鍵ID302に対応する秘密鍵203を取得する(ステップ1103)。次に、ブートイメージ管理ストレージ121のブートイメージHDD123からブートイメージ124の断片ファイル(521〜523のいずれか指定されたもの)を読み込み,電子署名を作成し,呼び出し元に返す(ステップ1104)。
本実施例は、実施例1のように、ブートイメージの断片に対してあらかじめ電子署名を付与せず、ホスティング環境を構築する際に、その時点で動的に電子署名を付与する方法の例である。実施例1において、計算機リソースが保持する公開鍵が計算機リソース毎に異なる場合には、公開鍵の数だけ、電子署名をあらかじめ付与し、ブートイメージ管理ストレージ121に保持しておかなければならないが、こうすることで、例えば計算機リソースが保持する公開鍵が計算機リソース毎に異なる場合にも容易に対応できる。
なお、集中管理サーバ101とブートイメージ管理ストレージ121の間のアクセスをNIC104、LAN151を経由させて行う場合は、実施例1の図12のように、ファイルサーバ1201を配置すればよい。ファイルサーバ1201を用いることで、実施例1で説明した別形態と同様に、NIC134経由のブート処理(いわゆるLANブート)を行うことができる。
本発明は、データセンターや企業内の計算センターなどにおいて、業務システムを稼働させるためのホスティング環境を安全かつ高速に構築する際に利用できる。
101…集中管理サーバ、121…ブートイメージ管理ストレージ、131…計算機リソース、108…署名手段、109…ブート指示手段、110…鍵管理テーブル、111…鍵配置テーブル、112…ブートイメージ管理テーブル、113…ブート指示テーブル、124…ブートイメージ、125…電子署名、137…システムBIOS、139…公開鍵、140…署名検証手段。
Claims (6)
- 複数の計算機リソースと、前記複数の計算機リソースにローディングさせるブートイメージを格納したブートイメージ管理ストレージと、前記ブートイメージを前記複数の計算機リソースにローディングさせる管理計算機とが互いに通信可能な計算機システムにおいて、前記管理計算機の指示により、前記ブートイメージを、前記複数の計算機リソースにローディングさせてブートさせることにより同一のホスティング環境を前記複数の計算機リソースに構築するホスティング環境構築方法であって、
前記管理計算機は、
予め、前記ブートイメージを複数の断片に分割し、前記計算機リソースに備えられたROM部に記憶された公開鍵に対応する秘密鍵を用いて、前記ブートイメージの断片に対して電子署名を付与してブートイメージ管理ストレージに格納し、
ローディングさせるブートイメージの識別情報とともに、前記複数の計算機リソースにブート指示を送信し、
前記複数の計算機リソースは、
前記管理計算機からの前記ブート指示の受領に応じて、前記識別情報で指定されたブートイメージの断片を順次、前記ブートイメージ格納ストレージから読み込み、
各計算機リソースに備えられた前記ROM部に記憶された公開鍵を用いて、前記ブートイメージの断片に付与されている電子署名の検証処理を実行して前記ブートイメージの断片が有効か無効かを判断し、
前記ブートイメージの断片が無効であった場合には、前記管理計算機に検証処理が失敗したことを通知し、
前記管理計算機は、前記複数の計算機リソースのうちのひとつから前記検証の失敗を受領すると、ブート指示を送信した他の全ての計算機リソースに対してブート中止指示を送
信する
ことを特徴とするホスティング環境構築方法。 - 複数の計算機リソースと、前記複数の計算機リソースにローディングさせるブートイメージを格納したブートイメージ管理ストレージと、前記ブートイメージを前記複数の計算機リソースにローディングさせる管理計算機とが互いに通信可能な計算機システムにおいて、前記管理計算機の指示により、前記ブートイメージを、前記複数の計算機リソースにローディングさせてブートさせることにより同一のホスティング環境を前記複数の計算機リソースに構築するホスティング環境構築方法であって、
前記管理計算機は、
予め、前記ブートイメージを複数の断片に分割してブート管理ストレージに格納し、
ローディングさせるブートイメージの識別情報と共に前記複数の計算機リソースにブート指示を送信し、
前記複数の計算機リソースは、
前記管理計算機からの前記ブート指示の受領に応じて、ローディングするブートイメージの断片に対する電子署名の生成処理を要求するメッセージと、当該計算機リソースの識別子とローディングするブートイメージの断片の識別子をブートイメージ管理ストレージに対して送信し、
前記ブートイメージ管理ストレージは、
前記ブートイメージ管理ストレージが備える鍵管理テーブルから前記計算機リソースの識別子に対応する秘密鍵を特定し、前記秘密鍵を用いて前記ブートイメージの断片の識別子が示すブートイメージの断片に対して電子署名を生成し、受領した前記メッセージの送信元の前記計算機リソースに電子署名を送信し、
前記計算機リソースは、各前記計算機リソースに備えられたROM部に格納された署名検証部によって、受け取った電子署名の検証処理を実行し、
検証処理が失敗した場合には、前記管理計算機に検証処理が失敗したことを通知し、
前記管理計算機は、前記複数の計算機リソースの1つから前記検証処理の失敗を受領すると、ブート指示を送信した他の全ての前記計算機リソースに対してブート中止指示を送信する
ことを特徴とするホスティング環境構築方法。 - 請求項1または2に記載のホスティング環境構築方法であって、
前記ブートイメージ管理ストレージは、更に、分割されたブートイメージの断片毎に優先度情報を有し、
前記管理計算機は、更に電子署名の検証処理の対象とするかどうかの優先度ともに、前記複数の計算機リソースにブート指示を送信し、
前記計算機リソースは、前記ブート指示と共に送信された前記優先度と前記ブートイメージの断片に対応する前記優先度情報との比較に基づいて、電子署名の検証を行うかどうか判断する
ことを特徴とするホスティング環境構築方法。 - 請求項3に記載のホスティング環境構築方法であって、
前記管理計算機は、ブート指示と共に送信する前記優先度を、前記複数の計算機リソース毎に指定する
ことを特徴とするホスティング環境構築方法。 - 複数の計算機リソースと、前記複数の計算機リソースにローディングさせるブートイメージを格納したブートイメージ管理ストレージと、前記ブートイメージを前記複数の計算機リソースにローディングさせる管理計算機とが互いに通信可能な計算機システムにおいて、前記管理計算機の指示により、前記ブートイメージを、前記複数の計算機リソースにローディングさせてブートさせることにより同一のホスティング環境を前記複数の計算機リソースに構築する計算機システムであって、
前記管理計算機は、
予め、前記ブートイメージを複数の断片に分割し、前記計算機リソースに備えられたROM部に記憶された公開鍵に対応する秘密鍵を用いて、前記ブートイメージの断片に対して電子署名を付与してブートイメージ管理ストレージに格納し、
ローディングさせるブートイメージの識別情報とともに、前記複数の計算機リソースにブート指示を送信し、
前記複数の計算機リソースは、
前記管理計算機からの前記ブート指示の受領に応じて、前記識別情報で指定されたブートイメージの断片を順次、前記ブートイメージ格納ストレージから読み込み、
各計算機リソースに備えられた前記ROM部に記憶された公開鍵を用いて、
前記ブートイメージの断片に付与されている電子署名の検証処理を実行して前記ブートイメージの断片が有効か無効かを判断し、
前記ブートイメージの断片が無効であった場合には、前記管理計算機に検証処理が失敗したことを通知し、
前記管理計算機は、前記複数の計算機リソースのうちのひとつから前記検証の失敗を受領すると、ブート指示を送信した他の全ての計算機リソースに対してブート中止指示を送信する
ことを特徴とする計算機システム。 - 複数の計算機リソースと、前記複数の計算機リソースにローディングさせるブートイメージを格納したブートイメージ管理ストレージと、前記ブートイメージを前記複数の計算機リソースにローディングさせる管理計算機とが互いに通信可能な計算機システムにおいて、前記管理計算機の指示により、前記ブートイメージを、前記複数の計算機リソースにローディングさせてブートさせることにより同一のホスティング環境を前記複数の計算機リソースに構築する計算機システムであって、
前記管理計算機は、
予め、前記ブートイメージを複数の断片に分割してブート管理ストレージに格納し、
ローディングさせるブートイメージの識別情報と共に前記複数の計算機リソースにブート指示を送信し、
前記複数の計算機リソースは、
前記管理計算機からの前記ブート指示の受領に応じて、ローディングするブートイメージの断片に対する電子署名の生成処理を要求するメッセージと、当該計算機リソースの識別子とローディングするブートイメージの断片の識別子をブートイメージ管理ストレージに対して送信し、
前記ブートイメージ管理ストレージは、
前記ブートイメージ管理ストレージが備える鍵管理テーブルから前記計算機リソースの識別子に対応する秘密鍵を特定し、前記秘密鍵を用いて前記ブートイメージの断片の識別子が示すブートイメージの断片に対して電子署名を生成し、受領した前記メッセージの送信元の前記計算機リソースに電子署名を送信し、
前記計算機リソースは、各前記計算機リソースに備えられたROM部に格納された署名検証部によって、受け取った電子署名の検証処理を実行し、
検証処理が失敗した場合には、前記管理計算機に検証処理が失敗したことを通知し、
前記管理計算機は、前記複数の計算機リソースの1つから前記検証処理の失敗を受領すると、ブート指示を送信した他の全ての前記計算機リソースに対してブート中止指示を送信する
ことを特徴とする計算機システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004218044A JP4736370B2 (ja) | 2004-07-27 | 2004-07-27 | ホスティング環境構築方法および計算機システム |
| US11/044,956 US7543150B2 (en) | 2004-07-27 | 2005-01-26 | Method and system for setting up hosting environments in safety |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004218044A JP4736370B2 (ja) | 2004-07-27 | 2004-07-27 | ホスティング環境構築方法および計算機システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006039888A JP2006039888A (ja) | 2006-02-09 |
| JP4736370B2 true JP4736370B2 (ja) | 2011-07-27 |
Family
ID=35733766
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004218044A Expired - Fee Related JP4736370B2 (ja) | 2004-07-27 | 2004-07-27 | ホスティング環境構築方法および計算機システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7543150B2 (ja) |
| JP (1) | JP4736370B2 (ja) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7962734B2 (en) | 2006-09-20 | 2011-06-14 | Hewlett-Packard Development Company, L.P. | Method of restarting a computer platform |
| JP4997063B2 (ja) * | 2007-10-29 | 2012-08-08 | 株式会社日立製作所 | 計算機の起動方法及び計算機システム |
| US8811619B2 (en) * | 2008-10-31 | 2014-08-19 | Dell Products, Lp | Encryption key management system and methods thereof |
| JP5477660B2 (ja) * | 2009-01-07 | 2014-04-23 | 日本電気株式会社 | ネットブート型シンクライアントシステム、コンピュータ、シンクライアント実施方法、及びシンクライアント用プログラム |
| US8850173B2 (en) | 2009-04-29 | 2014-09-30 | Hewlett-Packard Development Company, L.P. | BIOS image manager |
| JP5767565B2 (ja) * | 2010-12-14 | 2015-08-19 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ソフトウェア・イメージの管理方法、コンピュータ・プログラム、およびシステム(共有メモリ・ブロックを用いた複数のソフトウェア・イメージの管理) |
| US9064118B1 (en) * | 2012-03-16 | 2015-06-23 | Google Inc. | Indicating whether a system has booted up from an untrusted image |
| JP6040767B2 (ja) * | 2012-12-28 | 2016-12-07 | 富士通株式会社 | 配信システム、配信方法、及びプログラム |
| US9230112B1 (en) | 2013-02-23 | 2016-01-05 | Xilinx, Inc. | Secured booting of a field programmable system-on-chip including authentication of a first stage boot loader to mitigate against differential power analysis |
| US11539399B2 (en) * | 2013-03-04 | 2022-12-27 | Wind River Systems, Inc. | System and method for smart card based hardware root of trust on mobile platforms using near field communications |
| US10205750B2 (en) * | 2013-03-13 | 2019-02-12 | Intel Corporation | Policy-based secure web boot |
| US9165143B1 (en) | 2013-03-15 | 2015-10-20 | Xilinx, Inc. | Image file generation and loading |
| US9336010B2 (en) | 2013-03-15 | 2016-05-10 | Xilinx, Inc. | Multi-boot or fallback boot of a system-on-chip using a file-based boot device |
| JP6212891B2 (ja) * | 2013-03-25 | 2017-10-18 | 日本電気株式会社 | 仮想化システム、仮想サーバ、仮想ディスク配置方法、及び仮想ディスク配置プログラム |
| JP2015022521A (ja) * | 2013-07-19 | 2015-02-02 | スパンション エルエルシー | セキュアブート方法、組み込み機器、セキュアブート装置およびセキュアブートプログラム |
| US9152794B1 (en) * | 2013-09-05 | 2015-10-06 | Xilinx, Inc. | Secure key handling for authentication of software for a system-on-chip |
| US9411688B1 (en) | 2013-12-11 | 2016-08-09 | Xilinx, Inc. | System and method for searching multiple boot devices for boot images |
| FR3019347B1 (fr) * | 2014-03-25 | 2017-07-21 | Oberthur Technologies | Securisation du chargement de donnees dans une memoire non-volatile d'un element securise |
| US9880859B2 (en) * | 2014-03-26 | 2018-01-30 | Intel Corporation | Boot image discovery and delivery |
| WO2016003415A1 (en) * | 2014-06-30 | 2016-01-07 | Hewlett-Packard Development Company, L.P. | Securely sending a complete initialization package |
| CN104486079B (zh) * | 2014-12-02 | 2017-12-22 | 东南大学 | 一种基于公钥的无线图像传感器数据完整性保护方法 |
| US9894061B2 (en) | 2015-10-16 | 2018-02-13 | International Business Machines Corporation | Method for booting and dumping a confidential image on a trusted computer system |
| US10013561B2 (en) * | 2015-10-30 | 2018-07-03 | Ncr Corporation | Dynamic pre-boot storage encryption key |
| JP6736456B2 (ja) | 2016-11-17 | 2020-08-05 | キオクシア株式会社 | 情報処理装置およびプログラム |
| US10540501B2 (en) * | 2017-06-02 | 2020-01-21 | Dell Products, L.P. | Recovering an information handling system from a secure boot authentication failure |
| US10341361B2 (en) * | 2017-06-05 | 2019-07-02 | Hewlett Packard Enterprise Development Lp | Transmitting secure information |
| EP3690836A4 (en) * | 2017-10-16 | 2020-10-14 | Huawei Technologies Co., Ltd. | SAFETY ELEMENT AND ASSOCIATED DEVICE |
| US11574060B2 (en) * | 2019-04-24 | 2023-02-07 | International Business Machines Corporation | Secure initial program load |
| JP7268529B2 (ja) * | 2019-08-07 | 2023-05-08 | 富士電機株式会社 | 電子機器 |
| WO2021113309A1 (en) * | 2019-12-06 | 2021-06-10 | Magic Leap, Inc. | Encoding stereo splash screen in static image |
| US20230049387A1 (en) * | 2021-08-11 | 2023-02-16 | Micron Technology, Inc. | Public Key Storage with Secure Remote Update Capability |
| US20240241958A1 (en) * | 2023-01-18 | 2024-07-18 | Rockwell Collins, Inc. | Method for secure, efficient startup of hyper-converged systems using hybrid centralization |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10327147A (ja) * | 1997-05-21 | 1998-12-08 | Hitachi Ltd | 電子認証公証方法およびシステム |
| JP3293760B2 (ja) * | 1997-05-27 | 2002-06-17 | 株式会社エヌイーシー情報システムズ | 改ざん検知機能付きコンピュータシステム |
| US6463535B1 (en) * | 1998-10-05 | 2002-10-08 | Intel Corporation | System and method for verifying the integrity and authorization of software before execution in a local platform |
| JP3560860B2 (ja) | 1999-07-23 | 2004-09-02 | 株式会社東芝 | 秘密分散システム、装置及び記憶媒体 |
| JP2001223735A (ja) * | 2000-02-09 | 2001-08-17 | Fuji Xerox Co Ltd | データ通信装置及び記録媒体 |
| JP4020567B2 (ja) * | 2000-05-15 | 2007-12-12 | 株式会社コナミデジタルエンタテインメント | ゲーム機およびそのゲーム環境設定ネットワークシステム |
| US6694360B1 (en) * | 2000-06-09 | 2004-02-17 | 3Com Corporation | Multi-mode network interface having loadable software images |
| US7246238B2 (en) * | 2001-01-25 | 2007-07-17 | Schlumberger Omnes, Inc. | System and method for providing integration via a dial-up interface |
| DE10125017A1 (de) * | 2001-05-22 | 2002-12-05 | Siemens Ag | Verfahren zum Erbringen von Diensten in einem Datenübertragungsnetz und zugehörige Komponenten |
| JP2003044288A (ja) * | 2001-08-02 | 2003-02-14 | Casio Comput Co Ltd | 情報処理装置、情報処理システム、及びプログラム |
| JP3863401B2 (ja) | 2001-10-12 | 2006-12-27 | 株式会社東芝 | ソフトウェア処理装置 |
| JP2003216593A (ja) * | 2002-01-17 | 2003-07-31 | Hitachi Ltd | サーバ管理システム |
| CA2380762A1 (en) * | 2002-04-04 | 2003-10-04 | Intrinsyc Software, Inc. | Internet-enabled device provisioning, upgrade and recovery mechanism |
| US7171479B2 (en) * | 2002-04-26 | 2007-01-30 | International Business Machines Corporation | Efficient delivery of boot code images from a network server |
| US7334099B2 (en) * | 2002-06-28 | 2008-02-19 | Microsoft Corporation | Method and system for managing image files |
| US6986033B2 (en) * | 2002-09-10 | 2006-01-10 | Veritas Operating Corporation | System for automated boot from disk image |
| JP4336874B2 (ja) * | 2002-12-10 | 2009-09-30 | 日本電気株式会社 | 構成情報提供システム、構成情報管理サーバ、アクセス認証サーバ、クライアント及びプログラム |
| US20050246529A1 (en) * | 2004-04-30 | 2005-11-03 | Microsoft Corporation | Isolated persistent identity storage for authentication of computing devies |
| US20050283606A1 (en) * | 2004-06-22 | 2005-12-22 | Williams Mitchell A | Selecting a boot image |
-
2004
- 2004-07-27 JP JP2004218044A patent/JP4736370B2/ja not_active Expired - Fee Related
-
2005
- 2005-01-26 US US11/044,956 patent/US7543150B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006039888A (ja) | 2006-02-09 |
| US20060026429A1 (en) | 2006-02-02 |
| US7543150B2 (en) | 2009-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4736370B2 (ja) | ホスティング環境構築方法および計算機システム | |
| EP3376378B1 (en) | Container license management method, and apparatus | |
| TWI380216B (en) | System and method for automated operating system installation | |
| US8909940B2 (en) | Extensible pre-boot authentication | |
| WO2011102087A1 (en) | Information processing device, information processing system, software routine execution method, and remote attestation method | |
| JP5587192B2 (ja) | アプリケーションのリモートオートプロビジョニング及びリモートオートパブリケーション | |
| JP5333579B2 (ja) | 管理サーバ、ブートサーバ、ネットワークブートシステムおよびネットワークブート方法 | |
| JP4850949B2 (ja) | シンクライアント端末装置、その運用プログラム、及び方法、並びにシンクライアントシステム | |
| EP2726979A2 (en) | Component update using management engine | |
| KR20130094317A (ko) | 신뢰성 있는 부트 최적화를 위한 방법 및 장치 | |
| US9690944B2 (en) | System and method updating disk encryption software and performing pre-boot compatibility verification | |
| US10482278B2 (en) | Remote provisioning and authenticated writes to secure storage devices | |
| TW201032134A (en) | System and method for booting a computer system using preboot data | |
| JP2011150499A (ja) | シンクライアントシステム、シンクライアント端末およびシンクライアントプログラム | |
| US8635670B2 (en) | Secure centralized backup using locally derived authentication model | |
| JP2008176749A (ja) | Id貸出装置、id貸出プログラムおよびid貸出方法 | |
| JP2013186793A (ja) | 情報処理装置、イメージファイル作成方法およびプログラム | |
| JP7479517B2 (ja) | 冗長暗号化アルゴリズムに基づいてセキュアブートを実行するための方法およびデバイス | |
| CN110569075B (zh) | 一种多操作***的切换方法 | |
| CN114296873B (zh) | 一种虚拟机镜像保护方法、相关器件、芯片及电子设备 | |
| CN110968852B (zh) | 一种虚拟机密码管理方法、***、设备及计算机存储介质 | |
| CN113742715A (zh) | 基于虚拟机的操作***授权方法、装置、***及计算设备 | |
| WO2010150413A1 (ja) | 計算機システム | |
| JP2011145827A (ja) | 仮想バスシステム、およびデバイス管理方法 | |
| JP2005234864A (ja) | 配信サーバおよびセキュリティポリシ配信サーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060424 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091015 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100126 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100326 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110111 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110303 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110405 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110418 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |