专利名称:信息处理装置及起动方法
技术领域:
本发明涉及一种信息处理装置等,其具有安装在信息处理装置内的 独立执行预定的处理的芯片,尤其涉及可以解决信息泄露问题的信息处 理装置及起动方法。
背景技术:
近年来,为了解决存储在信息处理装置中的信息(机密信息和有关 使用者的隐私的信息等)泄露等问题,曾经尝试在信息处理装置中安装 生物认证功能,该功能利用指纹、虹膜、人脸、静脉这些利用者本人的 活体信息来保护存储在信息处理装置中的信息。在这种以往的生物认证
功能中,在信息处理装置接通电源后,起动装配在信息处理装置中的os
(Operating System)和实现生物认证功能的认证程序等的系统,然后获 取来自利用者的活体信息,判定是否允许操作信息处理装置。
另外,在专利文献1中提出一种信息管理装置,其可以灵活且严格 地执行用于执行针对利用者的认证处理的程序及数据的更新。
专利文献1:国际公开第2005/106620号小册子
但是,在上述现有技术中,只有装配在信息处理装置中的系统起动 后,基于本人的活体信息的认证功能(安全功能)才能有效,所以在自 信息处理装置起动后到认证功能有效的期间,存在不能保护存储在信息 处理装置中的信息的问题。
艮口,在电源刚刚接通后的OS等系统起动之前的状态下,任何内部 信息都得不到保护,存在通过外部的OS起动方法(FDD、 CD—ROM等) 的客户OS等的起动,使得信息处理装置内部的信息容易被盗的问题
发明内容
本发明就是为了解决上述现有技术的问题而提出的,其目的在于, 提供一种可以保护存储在信息处理装置中的信息的信息处理装置及起动 方法。
为了解决上述问题并达到目的,本发明提供一种信息处理装置,其 具有安装在信息处理装置内并独立执行预定的处理的芯片,所述信息处 理装置的特征在于,所述芯片具有存储单元,其把允许操作所述信息 处理装置的利用者的活体信息存储为活体认证信息;和活体判定单元, 其在获取了针对所述信息处理装置的起动请求时,获取利用者的活体信 息,基于该活体信息和所述活体认证信息,判定是否允许起动所述信息 处理装置。
并且,本发明的特征在于,在上述发明中,所述存储单元还存储与 所述信息处理装置相关的环境信息,所述芯片还具有环境判定单元,该 环境判定单元在获取了针对所述信息处理装置的起动请求时,根据存储 在所述存储单元中的环境信息判定是否允许起动所述信息处理装置。
并且,本发明的特征在于,在上述发明中,所述信息处理装置具有 对除所述芯片之外的信息处理装置整体进行控制的控制装置,所述芯片 还具有起动控制单元,该起动控制单元根据所述活体判定单元和所述环 境判定单元的判定结果,对所述控制装置的起动进行控制。
并且,本发明的特征在于,在上述发明中,所述芯片还具有环境信 息更新单元,该环境信息更新单元获取与所述信息处理装置相关的环境 信息,更新存储在所述存储单元中的环境信息。
并且,本发明提供一种信息处理装置的起动方法,该信息处理装置 具有安装在信息处理装置内并独立执行预定的处理的芯片,所述起动方 法的特征在于,所述芯片执行以下步骤存储步骤,把允许操作所述信 息处理装置的利用者的活体信息,作为活体认证信息存储在存储单元中; 和活体判定步骤,在获取了针对所述信息处理装置的起动请求时,获取 利用者的活体信息,基于该活体信息和所述活体认证信息,判定是否允 许起动所述信息处理装置。
并且,本发明的特征在于,在上述发明中,在所述存储步骤中,还在存储装置中存储与所述信息处理装置相关的环境信息,在所述芯片内 还执行环境判定步骤,在该环境判定步骤中,在获取了针对所述信息处 理装置的起动请求时,根据存储在所述存储装置中的环境信息判定是否 允许起动所述信息处理装置。
并且,本发明的特征在于,在上述发明中,所述信息处理装置具有 对除所述芯片之外的信息处理装置整体进行控制的控制装置,在所述芯 片内还执行起动控制步骤,在该起动控制步骤中,根据所述活体判定步 骤和所述环境判定步骤的判定结果,对所述控制装置的起动进行控制。
并且,本发明的特征在于,在上述发明中,在所述芯片内还执tr环 境信息更新步骤,在该环境信息更新步骤中,获取与所述信息处理装置 相关的环境信息,更新存储在所述存储装置中的环境信息。
根据本发明,在独立执行预定的处理的芯片中,把允许操作信息处 理装置的利用者的活体信息存储为活体认证信息,在获取了针对信息处 理装置的起动请求时,获取利用者的活体信息,基于该活体信息和活体 认证信息,判定是否允许起动信息处理装置,所以在信息处理装置接通 电源时能够防止信息泄露。
并且,根据本发明,在芯片中还存储与信息处理装置相关的环境信 息,在获取了针对信息处理装置的起动请求时,根据存储在存储单元中 的环境信息判定是否允许起动信息处理装置,所以能够提高信息处理装 置的安全性。
并且,根据本发明,信息处理装置具有对除芯片之外的信息处理装 置整体进行控制的控制装置,芯片根据针对活体信息的判定结果和针对 环境信息的判定结果,对控制装置的起动进行控制,所以在从信息处理 装置接通电源到控制装置起动的期间,能够防止信息被盗。
并且,根据本发明,芯片获取与信息处理装置相关的环境信息,更 新环境信息,所以能够从信息处理装置排除不正当的周边设备和程序等, 可以提高信息处理装置的安全性。
7图1是表示本实施例涉及的信息处理装置的结构的功能方框图。
图2是表示存储在安全存储器中的电子证书的说明图。 图3是表示存储在安全存储器中的活体认证信息的说明图。 图4是表示存储在安全存储器中的装置内部信息的说明图。 图5是表示本实施例涉及的起动处理的流程图。 图6是表示信息处理装置的硬件结构的图。
标号说明
IO总线;11、 130 CPU; 12 ROM; 13 RAM; 14 HDD; 15 HD; 16 FDD;
17 FD; 18显示器;19、 110通信I/F; 20输入键;21、 120活体传感器; 22、 150安全芯片;30网络;IOO信息处理装置;140存储器/寄存器;151 LSI固有密钥存储部;152安全存储器;153通信认证处理部;154监视 处理部;155验证处理部;156活体认证处理部;157装置内部信息认证 处理部;158起动控制处理部;160软件。
具体实施例方式
以下,参照附图具体说明本发明涉及的信息处理装置及起动方法的 优选实施方式。 实施例
首先,说明本实施例的信息处理装置的概况和特征。本实施例的信 息处理装置安装了独立执行预定的处理的安全芯片(例如国际公开 2005/106620号小册子公开的具有活体认证功能的LSI),该安全芯片在信 息处理装置接通电源时,在信息处理装置的CPU等主要LSI或整个系统 起动之前独立起动。
并且,安全芯片从连接外部的活体认证用传感器获取利用者的活体 信息(指纹、虹膜、人脸、静脉等的活体信息),根据所获取的活体信息 和预先存储的利用者的活体信息,判定是否允许起动信息处理装置,在 判定允许起动信息处理装置时,使信息处理装置的CPU等主要LSI或整 个系统起动。
8这样,安全芯片在信息处理装置的CPU等之前起动,判定是否允许 起动信息处理装置,所以能够防止记录在信息处理装置中的信息泄露或 者滥用安全漏洞的信息被盗。
下面,说明本实施例的信息处理装置的结构。图1是表示本实施例 涉及的信息处理装置的结构的功能方框图。如该图所示,该信息处理装
置100构成为具有通信I/F (接口) 110、活体传感器120、 CPU130、存 储器/寄存器40、和安全芯片150。另外,在存储器/寄存器140中存储 有各种软件160。
通信I/F110掌管网络与内部的接口,控制来自外部装置的数据的输 入输出。通信I/F110例如可以采用调制解调器和LAN (Local Area Network)适配器等。另外,虽然没有图示,信息处理装置100通过通信 I/F110,与认证站的终端、由开发各种服务的执行程序和各种数据的提供 商和制造商及制造或销售信息处理装置100的服务商等管理的服务提供 经营商终端等进行数据通信。另外,通信I/F110由安全芯片150控制起 动。
活体传感器120例如可以列举指纹传感器、摄像机和传声器等。指 纹传感器是按照大致50pm间隔检测手指的指纹的凹凸,并转换为电气信 号的装置,关于指纹的读取方式例如可以列举半导体式、光学式、感压 式、感热式等。摄像机是拍摄眼球的虹膜和视网膜的活体传感器。并且, 传声器是检测表示声音的特征的声纹的活体传感器。
CPU130是掌管信息处理装置整体的处理的装置。另外,本实施例的 CPU130在信息处理装置IOO接通电源时不起动,而在安全芯片150允许 起动后起动,并执行各种处理。
存储器/寄存器140是存储在CPU130中使用的各种信息的存储装置。 该存储器/寄存器140只要设在信息处理装置100内,就可以设置在安全 芯片150内部或安全芯片150外部的任何区域。在设于安全芯片150内 部时,可以防止存储器/寄存器140被拆卸和篡改。
安全芯片150安装在信息处理装置100的主板上。安全芯片150是 只提供用于实现安全和隐私的基本功能的芯片。并且,该安全芯片150根据TCG (Trusted Computing Group)的规格书定义。安装在一个信息处 理装置100上的安全芯片150不能安装在其他信息处理装置上,如果从 信息处理装置100上卸下安全芯片150,则该信息处理装置IOO不能起动。 并且,安全芯片150在信息处理装置接通电源时,在信息处理装置的通 信I/F110、 CPU130、存储器/寄存器140等之前起动。
安全芯片150在其内部具有LSI固有密钥存储部151、安全存储器 152、通信认证处理部153、监视处理部154、验证处理部155、活体认证 处理部156、装置内部信息认证处理部157和起动控制处理部158。
LSI固有密钥存储部151是存储安全芯片150固有的加密密钥的存 储部。安全存储器152是存储在安全芯片150中使用的各种信息的存储 部。
在此进行安全存储器152的说明。图2是表示存储在安全存储器152 中的电子证书的说明图,图3是表示存储在安全存储器152中的活体认 证信息的说明图,图4是表示存储在安全存储器152中的装置内部信总 的说明图。
在图2中,电子证书Ca Cz按照每个被证明者存储。所说"被证明 者"指利用电子证书Ca Cz证明的人员,例如可以列举利用者、制造商、 提供商、认证站等。并且,电子证书Ca Cz中包含版本信息、署名算法、 发行者名称、有效期限、公开密钥、其他相关信息。该电子证书Ca Cz 由安全芯片150中包含的装置内部信息认证处理部157利用加密处理等 的安全方法管理。
在图3中,活体认证信息50由利用者名称51、传感器类型信息52 和活体信息53构成。在图3中,作为其一例,把被允许操作信息处理装 置100的利用者"X"通过"指纹传感器"检测的利用者"X"的指纹的图像数 据"Xa"登记为活体信息53。活体认证信息50通过安全芯片150中包含的 装置内部信息认证处理部157被加密后存储。
在图4中,作为装置内部信息(与信息处理装置100相关的环境信 息),存储有周边设备、软件160及安装在各个硬件上的各种执行程序的 名称和版本信息。通信认证处理部153是保证在信息处理装置100外、例如通过网络 连接的服务提供经营商终端和认证站的终端等之间执行的通信的安全性 的处理部。通信认证处理部153具体地讲进行基于利用认证站的电子证 书的本人认证(PKI (Public Key Infrastructure)认证),可以判定与外部 进行通信的人员是否是通过认证站正规登记的人员。
监视处理部154是监视信息处理装置100内的信息的交换的处理部, 验证处理部155是在由通信认证处理部153认证了与外部通信的安全性 时,进行从该外部输入安全芯片150的信息的正当性验证和一致性验证 的处理部。
活体认证处理部156是认证由活体传感器120检测的活体信息与登 记在安全存储器152中的利用者的活体认证信息(参照图3)是否一致的 处理部。在活体认证处理部156中,可以判定操作信息处理装置100的 人员是否是正规的利用者。
并且,活体认证处理部156在接收到针对信息处理装置100的起动 请求时(信息处理装置100被接通电源时),从活体传感器120获取利用 者的活体信息,并与存储在安全存储器152中的活体认证信息比较来判 定是否一致,将判定结果输出给起动控制处理部158。
装置内部信息认证处理部157是认证安全存储器152内的信息(装 置内部信息)的处理部。该装置内部信息被称为环境信息,包括从连接 信息处理装置100的周边设备获取的与周边设备相关的信息(例如设备 名称、版本信息)、与安装在信息处理装置100内部的软件60有关的信 息(例如软件名称、版本信息)、存储在存储器/寄存器140中的各种信息 (例如电子证书)等。
并且,装置内部信息认证处理部157对存储在安全存储器152中的 信息进行机密管理。具体地讲,装置内部信息认证处理部157利用存储 在LSI固有密钥存储部151中的固有的加密密钥将获取到的信息加密, 并存储在安全存储器152中。另一方面,在从其他硬件进行调出时,利 用与加密密钥成对的解码密钥(存储在LSI固有密钥存储部151中)对 被加密的信息进行解码。通过该加密和解码处理,可以在信息处理装置100内部认证没有被篡改的情况。
并且,装置内部信息认证处理部157接收到针对信息处理装置100 的起动请求时(信息处理装置100被接通电源时),获取存储在安全存储 器152中的装置内部信息(与信息处理装置100相关的环境信息),并认 证装置内部信息。即,装置内部信息认证处理部157判定是否在信息处 理装置100上安装了不允许使用的不正当软件、或者在信息处理装置100 上是否连接了不正当的周边设备,将判定结果输出给起动控制处理部 158。另外,装置内部信息认证处理部157预先保存允许使用的软件的信 息和周边设备的信息。
并且,装置内部信息认证处理部157定期(或者在结束信息处理装 置100的处理并停止电源供给之前等)从连接信息处理装置内部的周边 设备,获取与周边设备相关的信息、与安装在信息处理装置100内部的 软件160相关的信息,并更新存储在安全存储器152中的装置内部信息 (与信息处理装置100相关的环境信息)。
起动控制处理部158是从活体认证处理部156和装置内部信息认证 处理部157获取判定结果,并根据所获取的判定结果来控制CPU130的 起动的处理部。具体地讲,该起动控制处理部158在利用者的活体信息 与活体认证信息一致、而且装置内部信息合适的情况下,起动CPU130 和通信I/F110。
下面,说明本实施例的信息处理装置的起动处理。图5是表示本实 施例涉及的起动处理的流程图。如该图所示,在信息处理装置100接通 电源时(步骤SlOl),安全芯片150和活体传感器120起动(步骤S102)。
并且,装置内部信息认证处理部157从安全存储器152获取装置内 部信息(环境信息)(步骤S103),并认证装置内部信息(步骤S104), 将认证结果(装置内部信息是否合适的判定结果)输出给起动控制处理 部158 (步骤S105)。
然后,活体认证处理部156从活体传感器120获取利用者的活体信 息(步骤S106),比较活体信息和活体认证信息并判定是否一致(步骤 S107),将判定结果输出给起动控制处理部158 (步骤S108)。并且,起动控制处理部158根据所获取的判定结果,判定是否起动 CPU130和通信I/F110 (步骤S109),在不起动时(步骤S110:否),直 接结束处理,在起动时(步骤S110:是),起动通信I/F110和CPU130(步 骤S1U)。CPU130在起动后起动信息处理装置100的各种装置和系统(步 骤S112)。
这样,起动控制处理部158根据活体认证处理部156和装置内部信 息认证处理部157的判定结果,控制CPU130的起动,所以能够防止存 储在信息处理装置100中的信息被心存恶意的第三者窃取。
如上所述,本实施例的信息处理装置100具有独立执行预定的处现 的安全芯片150,安全芯片150在信息处理装置IOO接通电源时,先于信 息处理装置100的CPU130等主要LSI或系统整体而独立起动。并且, 安全芯片150从活体传感器120获取利用者的活体信息,根据所获取的 活体信息和预先存储的利用者的活体信息,判定是否允许起动信息处理 装置,在判定允许起动信息处理装置100时,使信息处理装置100的 CPU130等主要LSI或系统整体起动,所以能够防止记录在信息处理装置 中的信息泄露或者滥用安全漏洞的信息被盗。
例如,对于遭遇被盗的信息处理装置,使不能进行FDD、 CD—ROM 等客户OS等的起动,不能从信息处理装置的存储介质窃取信息。并且, 对于利用者,不需要存储烦琐的注册ID/密码的组合,而且不是依赖于 OS等的软件的结构,所以不需要担心OS的安全漏洞等的危险。
下面,说明本实施例示出的信息处理装置100的硬件结构。图6足 表示信息处理装置的硬件结构的图。在图6中,信息处理装置由CPUll、 ROM12、 RAM13、 HDD (硬盘驱动)14、 HD (硬盘)15、 FDD (软盘 驱动)16、 FD (软盘)17、显示器18、通信I/F19、输入键(包括键盘、 鼠标)20、活体传感器21和安全芯片22构成。并且,各个构成部分分 别连接总线10。
在此,CPU11掌管信息处理装置整体的控制。ROM12存储引导程序 等的程序。RAM13被用作CPU11的工作区域。HDD14按照CPU11的控 制来控制对HD15的数据读/写。HD15存储在HDD14的控制下写入的数据。
FDD16按照CPU11的控制来控制对FD17的数据读/写。FD17存储 在FDD16的控制下写入的数据,使信息处理装置读取存储在FD17中的 数据。
并且,作为可以装卸的记录介质,除FD17外,也可以是CD—ROM (CD—R、 CD—RW)、 MO、 DVD (Digital Versatile Disk)、存储卡等。 显示器18显示以光标、图标或工具箱为代表的文件、图像、功能信息等 的数据。该显示器18例如可以采用CRT、 TFT液晶显示器、等离子显示 器等。
通信I/F19对应于图1所示的通信I/F110,其连接因特网等网络30。 输入键20具有用于输入文字、数字、各种指示等的键,并进行数据的输 入。并且,也可以是触摸屏式的输入板或十字键等。
活体传感器21和安全芯片22分别对应于图1所示的活体传感器110 和安全芯片150。并且,在安全芯片22中存储有用于实现图1所示的各 种处理部的各种程序22a,根据该程序执行各种处理。各种处理对应于图 1所示的通信认证处理部153、监视处理部154、验证处理部155、活体 认证处理部156、装置内部信息认证处理部157和起动控制处理部158。 并且,安全芯片150存储有在执行各种处理时使用的各种数据22b (对应 于在实施例中说明的活体认证信息、装置内部信息、LSI固有密钥的信息 等)。
另外,以上说明了本发明的实施例,但本发明除上述实施例之外, 可以在权利要求书记载的技术思想的范围内通过各种不同的实施例实 施。
并且,在本实施例中说明的各种处理中自动进行的处理也可以手动 进行其全部或一部分,或者也可以利用公知的方法自动进行以上说明的 手动进行的处理的全部或一部分。
另外,关于包括在上述文件中和附图中示出的处理步骤、控制步骤、 具体名称、各种数据和参数的信息,除特殊情况之外可以任意变更。
并且,图示的各个装置的各个构成要素是功能上的示意说明,未必
14在物理上一定按照图示构成。即,各个装置的分解/整合的具体形式不限 于图示情况,可以根据各种负荷和使用状况等按照任意单位在功能上或 物理上分解/整合其全部或一部分构成。 产业上的可利用性
如上所述,本发明涉及的信息处理装置及起动方法对存储重要信息 的信息处理装置等比较有用,尤其适合于在起动信息处理装置时消除安 全漏洞并解决信息泄露的问题。
权利要求
1. 一种信息处理装置,其具有安装在信息处理装置内并独立执行预定的处理的芯片,所述信息处理装置的特征在于,所述芯片具有存储单元,其把允许操作所述信息处理装置的利用者的活体信息存储为活体认证信息;和活体判定单元,其在获取了针对所述信息处理装置的起动请求时,获取利用者的活体信息,基于该活体信息和所述活体认证信息,判定是否允许起动所述信息处理装置。
2. 根据权利要求l所述的信息处理装置,其特征在于,所述存储单元还存储与所述信息处理装置相关的环境信息, 所述芯片还具有环境判定单元,该环境判定单元在获取了针对所述信息处理装置的起动请求时,根据存储在所述存储单元中的环境信息判定是否允许起动所述信息处理装置。
3. 根据权利要求1或2所述的信息处理装置,其特征在于, 所述信息处理装置具有对除所述芯片之外的信息处理装置整体进行控制的控制装置,所述芯片还具有起动控制单元,该起动控制单元根据所述活体判定 单元和所述环境判定单元的判定结果,对所述控制装置的起动进行控制。
4. 根据权利要求2所述的信息处理装置,其特征在于,所述芯片还 具有环境信息更新单元,该环境信息更新单元获取与所述信息处理装—覽 相关的环境信息,更新存储在所述存储单元中的环境信息。
5. —种信息处理装置的起动方法,该信息处理装置具有安装在信息 处理装置内并独立执行预定的处理的芯片,所述起动方法的特征在于,所述芯片执行以下步骤-存储步骤,把允许操作所述信息处理装置的利用者的活体信息,作 为活体认证信息存储在存储单元中;和活体判定步骤,在获取了针对所述信息处理装置的起动请求时,获取利用者的活体信息,基于该活体信息和所述活体认证信息,判定是否 允许起动所述信息处理装置。
6. 根据权利要求5所述的起动方法,其特征在于,在所述存储步骤中,还在存储装置中存储与所述信息处理装置相关 的环境信息,在所述芯片内还执行环境判定步骤,在该环境判定步骤中,在获取 了针对所述信息处理装置的起动请求时,根据存储在所述存储装置中的 环境信息判定是否允许起动所述信息处理装置。
7. 根据权利要求5或6所述的起动方法,其特征在于,所述信息处 理装置具有对除所述芯片之外的信息处理装置整体进行控制的控制装 置,在所述芯片内还执行起动控制步骤,在该起动控制步骤中,根据所 述活体判定步骤和所述环境判定步骤的判定结果,对所述控制装覽的起 动进行控制。
8. 根据权利要求6所述的起动方法,其特征在于,在所述芯片内还 执行环境信息更新步骤,在该环境信息更新步骤中,获取与所述信息处 理装置相关的环境信息,更新存储在所述存储装置中的环境信息。
9. 一种信息处理装置的起动程序,该信息处理装置具有安装在信息 处理装置内并独立执行预定的处理的芯片,所述起动程序的特征在于, 所述起动程序使所述芯片执行以下步骤存储步骤,把允许操作所述信息处理装置的利用者的活体信息,作 为活体认证信息存储在存储单元中;和活体判定步骤,在获取了针对所述信息处理装置的起动请求时,获 取利用者的活体信息,基于该活体信息和所述活体认证信息,判定是否 允许起动所述信息处理装置。
10. 根据权利要求9所述的起动程序,其特征在于,在所述存储步 骤中,还在存储装置中存储与所述信息处理装置相关的环境信息,在所述芯片内还执行环境判定步骤,在该环境判定步骤中,在获取 了针对所述信息处理装置的起动请求时,根据存储在所述存储装置中的环境信息判定是否允许起动所述信息处理装置。
11. 根据权利要求9或10所述的起动程序,其特征在于,所述信息 处理装置具有对除所述芯片之外的信息处理装置整体进行控制的控制装在所述芯片内还执行起动控制步骤,在该起动控制步骤中,根据所 述活体判定步骤和所述环境判定步骤的判定结果,对所述控制装置的起 动进行控制。
12. 根据权利要求10所述的起动程序,其特征在于,在所述芯片内 还执行环境信息更新步骤,在该环境信息更新步骤中,获取与所述信息 处理装置相关的环境信息,更新存储在所述存储装置中的环境信息。
全文摘要
本发明提供信息处理装置及起动方法。信息处理装置(100)具有独立执行预定的处理的安全芯片(150),安全芯片(150)在信息处理装置(100)接通电源时,先于信息处理装置(100)的CPU(130)等主要的LSI或系统整体独立起动。并且,安全芯片(150)从活体传感器(120)获取利用者的活体信息,根据所获取的活体信息和预先存储的利用者的活体信息,判定是否允许起动信息处理装置,在判定允许起动信息处理装置(100)时,起动信息处理装置(100)的CPU(130)等主要的LSI或系统整体。
文档编号G06F21/22GK101512541SQ200680055890
公开日2009年8月19日 申请日期2006年9月20日 优先权日2006年9月20日
发明者小谷诚刚, 铃木雅人 申请人:富士通株式会社