WO1992009946A1

WO1992009946A1 - Security system

Info

Publication number: WO1992009946A1
Application number: PCT/JP1991/001631
Authority: WO
Inventors: Makoto Morikawa; Junji Tsuchiya; Minoru Nishino
Original assignee: Seiko Epson Corporation
Priority date: 1990-11-29
Filing date: 1991-11-25
Publication date: 1992-06-11

Description

明細書

セキュリティシステム

技術分野

本発明は、パーソナルコンピュータ（以下、「パソコン」という。）などの情報処理装置のセキュリティシステムに関する。

背景技術

情報処理装置のセキュリティシステムとしては、パスヮードを用いて利用資格があるかの確認を行うものがある。

このようなセキュリティシステムの動作は次の適りである。まず、利用者が情報処理装置のシステム電源を投入すると、ディスプレイ装置にユーザ I Dとパスワードとの入力を要求するプロンプトが現れる。この要求に合わせて、利用者が正しいユーザ I Dとパスヮードを入力すると、ユーザ I Dに対応したぺスヮ一ドデータが読み出される。そして、入力したパスヮ一ドとこのパスワードデータとが比較されて、これらが一致すればディスプレイ装置に使用許可のプロンプ卜力《現れて、利用者の使用が可能になる。また、入力したパスワードがこのパスヮ一ドデ一夕と一致しなければ、ディスプレイ装置にパスヮードが誤りである旨の眷告メッセージが出力される。そして、ディスプレイ装置にユーザ I Dとパスヮ一ドの入力を要求するプロンプトが現れて、利用者はユーザ I Dの入力から処理をやり直す。

上述した情報処理装置のセキュリティシステムは、以下に示す 3つの問題点を有する。

第 1に、パスワードは入力する文字列の長さや文字の組台せによって、入力する手間と不法な侵入者に対する安全性が変わってくる。文字列が十分に長い場合あるいは文字の組合せが複雑な場合は不法な侵入者に対する安全性が向上するが、利用者がパスワードを入力する手間が余分にかかり問題である。ここで、文字列が短い場合あるいは文字の組み合わせが極めて単純な場合は、利用者のパスヮードの入力が容易になる力不法な侵入者による危険性が大きくなり問題である。第 2に、従来の情報処理装置では間違ったパスヮードを入力した場台には何回でも、パスワードの入力を繰り返すことができた。これでは、パスワードを知らない悪意を持った第三者が適当なパスヮードを繰り返し入力することによって、偶然正しいパスワードを入力してしまう危険性がある。さらに、パスワードを知つている特定の者が情報処理装置を使用できるのはもちろんのこと、パスワードを知らない者に対しても、一定の制限の下（機密デ一夕にアクセスしない範囲内）で情報処理装置の使用を許可したい場合がある。

第 3に、従来のパソコンはサイズが大きく重量もあったので、事務所に泥棒などが侵入しても滅多に持ち去られることはなかった。しかし、最近のパソコンは小型 ·軽量化されて容易に持ち運びができるようになり、泥棒などの侵入者に持ち去られる危険性が增大した。また、パソコン本体は重くて持ち運びができない場合でも、パソコンに接続された外部ハードディスク装置を取り外して持ち去られる危険性があった。このようにパソコンや外部ハードディスク装置が侵入者に持ち去られると、パソコンに内蔵されたハードディスク装置や外部ハードディスク装置の機密データが読み出され、大事な顧客の名簿や新製品の内部資料などが外部に漏れてじまう恐れがあつた。

発明の開示

そこで本発明は、利用者によるパスワードの入力が容易にでき、同時に不法な侵入者に対する安全性が高いセキュリティシステムを提供することを第 1の目的とする。

また、不法な侵入者に対する安全性が高いセキュリティシステムを提供することを第 2の目的とする。さらに、ハードディスク装置の機密データが読み出されない情報処理装置のセキュティシステム'を提供することを第 3の目的とする。

上述した第 1の目的を達成するために、第 1の発明に係る情報処理装置のセキュリティシステムは、パスヮ一ドデ一夕が利用者単位に格納されたパスヮ一ド管理手段と、曜日情報または Zおよび時刻情報が得られる時間監視手段と、特定の利用者のパスヮ一ドデータの中から前記時間監視手段から得られる曜日情報または Zおよび時刻情報に対応したパスヮードデータを読み込んで、このパスヮードデータとその利用者が入力するパスヮードとを比較することによって、その利用者の使用の許否を決定するセキュリティ制御手段とから構成される。

この場合、セキュリティ制御手段は予め設定された所定の期間を使用可能時間帯と使用禁止時間帯とに分けて、時間監視手段から得られる曜日情報または時刻情報からどちらの時間帯かを判定し、使用可能時間帯ではパスヮ一ド管理手段から特定の利用者のパスヮードデータを読み込んで、このパスヮ一ドとその利用者が入力するパスヮードとを比較することによって、その利用者の使用の許否を決定し、使用禁止時間帯ではシステム電源を切断してもよい。

さらに、パスヮード管理手段は時間帯ごとに難易度の異なる複数のパスヮードデータが利用者単位で格納してもよく、セキュリティ制御手段は予め設定された所定の期間を複数の時間帯に分けて、時間監視手段から得られる曜日情報または時刻情報からどの時間帯かを判定し、パスヮード管理手段から判定した時間帯に対応したパスヮ一ドデータを読み込み、このパスヮードデータとその利用者が入力するパスヮ一ドとを比較することによって、その利用者の使用の許否を決定してもよい。

また、上述した第 2の目的を達成するために、第 2の発明に係る情報処理装置のセキュリティシステムは、利用者ごとのパスワードデータが格納されたパスヮ一ド管理手段と、ディレクトリ情報に基づいてアクセスされる複数のファィルが格納された第 1領域と、このディレクトリ情報が格納された第 2領域と、予備の領域として確保された第 3領域とを備えた外部記億手段と、パスヮード管理手段から特定の利用者のパスヮードデータを読み出して、このパスヮードデ一夕とその利用者が入力するパスヮ一ドが一致した場合に、その利用者の使用を許可し、パスヮードデータと入力されたパスヮ一ドが一致しなかった場合に、外部記憶手段の第 2領域に格納されたディレクトリ情報を第 3領域に移動させるセキユリティ制御手段とから搆成される。

さらに、上述した第 3の目的を達成するために、第 3の発明に係る情報処理装置のセキュリティシステムは、外部要因による異常状態を検出する検出手段と、検出手段での異常状態の検出によって補助記憶装置に格納されたデータの読み出しを禁止する禁止手段と、セーフティスィツチを投入することによって禁止手段でのデータの読み出し禁止処理を無効とする無効手段とが備えられている。

第 1の発明に係る情報処理装置のセキュリティシステムによれば、曜日情報または Zおよび時刻情報に対応した特定利用者のパスヮードデータと、その利用者が入力したパスワードとが比較されることにより、パスワードの一致、不一致が決定されるが、曜日情報または Zおよび時刻情報により正しいパスヮードが変化するので、情報処理装置の安全性は向上する。

また、所定の期間を使用可能な時間蒂と使用禁止時間帯に分けて管理する場合、時間監視手段から得られる曜日情報または時刻情報が使用時間蒂内にあるか、否かにより、正しいパスワードが変化するので、情報処理装置の安全性は向上する。さらに、所定の期間を複数の時間帯に分けて、時間帯によってパスワードの難易度を変える場合、例えば危険度に応じてパスヮ一ドの難易度を変えることにより、情報処理装置の安全性は向上する。

また、第 2の発明の情報処理装置のセキュリティシステムによれば、パスヮード管理手段から特定の利用者のパスヮ一ドデータが読み出され、その利用者の入力操作によってパスヮードが与えられると、このパスヮードと読み出されたパスワードデータの比較が行われる。これらのデータが一致しなかった場合には、セキユリティ制御手段からの指令によって、外部記億手段の第 2領域に格納されたディレクトリ情報が第 3領域に移動する。このディレクトリ情報の移動によって、外部記億手段の第 1領域に格納されたすベてのファイルへのアクセスが行えないようになる。

さらに、第 3の発明の情報処理装置のセキュリティシステムによれば、外部要因による異常状態が発生すると、補助記憶装置に格納されたデータの読み出しができなくなるが、この異常状態が予期されていた場合には読み出し可能にするとができる。

図面の簡単な説明

図 1は第 1発明の一実施例を示す回路図、図 2は第 1発明の実施例の動作を示す流れ図、図 3は第 1発明の実施例の動作を示す流れ図、図 4は第 1発明の実施例の動作を示す流れ図、図 5は第 2発明の一実施例を示す回路図、図 6は第 2発明の実施例の動作を示す流れ図、図 7は第 2発明の実施例の動作を示す流れ図、図 8は第 3発明の一実施例を示す回路図、図 9は第 3発明の一実施例を示す回路図、図 1 0は第 3発明の一実施例を示す回路図、図 1 1は第 3発明の一実施例を示す構成図、図 1 2はハードディスク装置の回路図である。

発明を実施するための最良の形態

以下、添付図面の図 1〜図 4を用いて、第 1の発明の一実施例であるパソコンのセキュリティシステムについて説明する。

図 1は、その第 1実施例であるパソコンのセキュリティシステムの回路図である。第 1実施例は、パソコンの使用の許否を決定するセキュリティ制御手段 1 0 と、パスヮードデータが格納されたパスヮード管理手段であるバックアップ S R A M 2 0と、曜日情報と時刻情報が出力される時間監視手段であるリアルタイムクロック 3 0と、画像データ等が格納された V R A M 4 0と、入出力手段 5 0とから構成されている。セキュリティ制御手段 1 0には各記憶装置および入出力手段 5 0に指令を出す C P U 1 1およびバスヮ一ド制御プログラムの格納された R O M 1 2が備えられている。また、入出力手段 5 0には利用者がパスワードを入力するキーボード装置 5 1とキーボードインタフェース 5 2およびパスヮードの入力プロンプトが表示されるディスプレイ装置 5 3とディスプレイコントローラ 5 4が備えられている。

次に、第 1実施例の動作を図 1および図 2を用いて説明する。まず、システム電源が投入されると（ステップ 1 0 1 ) 、セキュリティ制御手段 1 0より指令が出て、リアルタイムクロック 3 0が正常に動作しているか判定する（ステップ 1 0 2 ) 。リアルタイムクロック 3 0が正常に動作していない場合には、リアルタィムクロック 3 0のエラー処理として、例えば、エラーメッセージをディスプレィ装置 5 3に表示した上でシステム電源を切断する（ステップ 1 0 3 ) 。リアルタイムクロック 3 0が正常に動作している場合には、セキュリティ制御手段 1 0 の指令によりユーザ I Dの入力を促すプロンブトがディスプレイ装置 5 3に表示される。利用者が予め登録したユーザ I Dを入力すると、セキュリティ制御手段 1 0の指令でリアルタイムクロック 3 0から曜日情報が読み出される（ステップ 1 0 4 ) 。バックアップ S R A M 2 0には各ユーザ I Dに対応した一週間分の異なるパスワードデータが格納されている。そこで、読み出ざれた曜日情報を基にしてバックアップ S R A M 2 0からその曜日のパスヮ一ドデータの読み出しを行う（ステップ 1 0 5 ) 。この読み出しでは、まずセキュリティ制御手段 1 0の指令によりパスヮードの入力を促すプロンプ卜がディスプレイ装置 5 3に表示される（ステップ 1 0 6 ) 。利用者は予め登録した一週間分の異なるパスワードの中から、今日の曜日に対応したパスワードを入力する。そして、このパスワードとステップ 1 0 5で読み出したパスヮ一ドデータとが一致しているか調べる（ステップ 1 0 7 ) —致していない場合には、ステップ 1◦ 6のパスヮ一ドの入力状態に処理を戻す。一致している場合には、利用者が正当な資格者であると判断され、パソコンが使用可能の状態になる（ステップ 1 0 8 )

この第 1実施例の特徵は、 1つのユーザ I Dに対して、曜日に対応したパスヮ一ドをいくつも登録できることである。この具体的なパスヮードの登録例を次に挙げる。

まず第 1の例として、各曜日ごとに異なる 7種類のパスワードを登録する。この場合には、利用者は毎日異なったパスワードを入力しなければならない。なお、各曜日の各時間帯ごとに異なるパスワードを登録してもよい。例えば、営業時間内と営業時間外の 2つの時間蒂を設定した場合には 1 4種類のパスヮ一ドを登録しておく。

第 2の例として、会社の出勤日と休日で異なったパスワードを登録する。この場合、出勤日のパスヮ一ドの後に文字列を付け足して休日のパスヮードとする方法と、出勤日と休日で全く異なるパスヮードとする方法がある。

第 3の例として、休日のパスヮードに出勤日のパスヮードと別のパスヮ一ドの 2種類のパスワードを登録する。即ち、利用者は休日の場合には出勤日のパスヮ一ドを入力した後に、もう一つ別のパスヮードを入力しなければならない。

次に、第 2実施例の動作を図 1、図 3を用いて説明する。まず、システム電源が投入されると（ステップ 2 0 1 ) 、セキュリティ制御手段 1◦より指令が出て、リアルタイムクロック 3 0が正常に動作しているか判定する（ステップ 2 0 2 ) _β リアルタイムクロック 3 0が正常に動作していない場合には、リアルタイムクロック 3 0のエラー処理として、例えば、エラーメッセージをディスプレイ装置 5 3に表示した上でシステム電源を切断する（ステップ 2 0 3 ) 。リアルタイムクロック 3 0が正常に動作している場合には、セキュリティ制御手段 1 0の指令でリアルタイムクロック 3 0から時刻情報が読み出される（ステップ 2◦ 4 ) 。次に、予め格納された使用可能時間帯の情報をバックアップ S R A Mから読み出して、時刻情報による現在の時刻が使用可能時間帯かを調べる（ステップ 2 0 5 ) _β 使用可能時間帯外であれば、パソコンが使用できない時間蒂である旨のメッセージをディスプレイ装置 5 3に表示して（ステップ 2 0 6 ) 、パソコンのシステム電源を切断する（ステップ 2◦ 7 ) 。使用可能時間帯内であれば、セキュリティ制御手段 1 0の指令によりユーザ I Dの入力を促すプロンプトがディスプレイ装置 5 3に表示される。利用者が予め登録したユーザ I Dを入力すると、バックァップ S R A M 2 0からそのユーザ I Dに対応したパスヮードデータの読み出しが行われる（ステップ 2 0 8 ) 。この読み出しでは、まずセキュリティ制御手段 1 0の指令によりパスヮードの入力を促すプロンプ卜がディスプレイ装置 5 3に表示される（ステップ 2 0 9 ) 。利用者がパスワードを入力すると、このパスヮードとステップ 2 0 8で読み出したパスヮードデ一夕とが一致しているかを調べられ（ステップ 2 1 0 ) 、一致していない場合には、ステップ 2 0 9のパスワードの入力状態に処理が戻る。一致している場合には、利用者が正当な資格者であると判断され、パソコンが使用可能の状態になる（ステップ 2 1 1 ) 。

つぎに、第 3実施例の動作を図 1、図 4を用いて説明する。この実施例では、 1曰を就業時間帯と就業外時間蒂の 2つに分けて、時間帯によって難易度の異なるパスワードを用いたセキュリティが行われるのである。したがって、就業時間内では難易度の低いパスヮ一ドを用いることによって、簡易にパソコンを使用することができ、就業時間外（夜間や休日）では難易度の高いパスワードを用いることによって、外部からのパソコンへの不法な侵入を阻止することができる。具体的に説明すると、図 4のステップ 3 0 4までは前述した実施例と処理は同じである。ステップ 3 0 5で就業時間帯を調べて、就業時間内の場合はステップ 3 0 9で、就業時間帯外の場合はステップ 3 0 6で、それぞれバックアップ S R A M 2 0からそのユーザ I Dに対応したパスヮ一ドデータが読み出される。そして、ステップ: 0 9では難易度の低いパスヮードデータが読み出されて、利用者が入力したパスワードと一致しているか調べられる（ステップ 3 1 0、ステップ 3 1 1 ) また、ステップ 3 0 6では難易度の高いパスワードデータが読み出されて、利用者が入力したパスワードと—致しているか調べられる（ステップ 3 0 7、ステツプ 3 0 8 ) 。一致している場合には利用者が正当な資格者であると判断され、パソコンが使用可能の状態になる（ステップ 3 1 2 ) 。

この第 3実施例では、就業時間帯と就業外時間帯とで難易度の異なったパスヮードを使用している。この他にも次のような例がある。まず、就業時間帯のパスヮ一ドの後に文字列を付け足して就業外時間帯のパスヮードとする例である。この例では就業外時間帯のパスワードが長い文字列となり、難易度が高くなる。次に、就業外時間帯のパスヮードとして就業時間帯のパスヮードと別のパスヮードとの 2種類のパスワードを登録する例である。即ち、利用者は就業外時間帯の場合は、就業時間帯のパスヮードを入力した後に、もう一つ別のパスワードを入力しなければならない。

以下、添付図面の図 5〜図 7を用いて、第 2の発明の一実施例であるパソコンのセキュリティシステムについて説明する。

図 5は、第 2の発明に係る第 1実施例であるパソコンのセキュリティシステムの回路図である。本実施例は、パソコンの使用の許否を決定するセキュリティ制御手段 1 0と、各種のアプリケーションプログラムが入った R A M 6 0と、パスワードデータが格納されたパスヮード管理手段であるバックアップ S R A M 2 0 と、画像データ等が格納された VR AM40と、複数のファイルが格納された外部記惊手段 70と,、入出力手段 50とから構成されている。セキュリティ制御手段 10には各記憶装置および入出力手段 50に指令を出す C P U 1 1および制御プログラムの格納された ROM 12が備えられている。また、外部記憶手段 70 には複数のファイルが格納された大容量のハードディスク装置 71と、ハードデイスクコントローラ（HDC) 72、および複数のファイルが格納された小容量のフロッピィディスク装置 73と、フロッピィディスクコントローラ（FDC) 74が備えられている。さらに、入出力手段 5◦には利用者がパスワードを入力するキーボード装置 51、とキーボードインタフェース 52およびパスヮードの入力プロンプトが表示されるディスプレイ装置 53と、ディスプレイコントローラ 54が備えられている。なお、パスワード管理手段にはバックアップ SRAM の代わりに E E PROMまたは ROMを用いても良い。

次に本実施例の動作を図 5および図 6を用いて説明する。まず、システム電源が投入されるど（ステップ 401) 、セキュリティ制御手段 1◦の指令によりュ一ザ I Dの入力を促すプロンプトがディスプレイ装置 53に表示される。利用者が予め登録したユーザ I Dを入力すると、バックアップ S R A M 2◦からこのュ一ザ I Dに対応したパスワードデータが読み出される（ステップ 402) 。次に、セキュリティ制御手段 10の指令によりパスヮードの入力を促すプロンプトがデイスプレイ装置 53に表示される。利用者は予め登録したパスヮ一ドを入力する

(ステップ 403) 0 そして、このパスヮードとステップ 402で読み出したパスワードデータとが一致しているか調べる（ステップ 404) 。一致していない場合には、ハードディスク装置 71の第 2領域であるディレクトリ領域からディレクトリ情報をリザーブエリアに退避する（ステップ 405) 。このリザーブェリアは予備の領域として確保されたハードディスク装置 71の第 3領域である。ディレクトリ情報の退避後に、ディレクトリ領域破壊フラグに "1" をセッ卜する（ステップ 406) 。このディレクトリ領域破壊フラグは、例えばバックアツプ S RAM20に置かれて、ディレクトリ領域のディレクトリ情報の状態を記録したフラグである。つまり、ディレクトリ領域破壊フラグに "0" がセットされているときは、ディレクトリ情報が存在している状態を示し、ディレクトリ領域破壊フラグに " 1 " がセッ卜されているときは、ディレクトリ情報が消去された状態を示している。次に、ディレクトリ領域のディレクトリ情報を消去する（ステツプ 4 0 7 ) o ハードディスク装置 7 1の第 1領域に格納されたファイルは、ディレクトリ情報を基にアクセスされるので、ディレクトリ情報の削除によって、以後ファイルへのアクセスができなくなる。このような処理によって、ノ、。ソコンはハ一ドディスク装置 7 1が使用できない状態でエラー起動される（ステップ 4 0 8 ) 。以後、利用者はハードディスク装置 7 1のファイルアクセスを除いて、パソコンが使用できる。また、ステップ 4 0 4で、ノヽ。スヮ一ドとパスワードデータが一致した場合には、ディレクトリ領域破壊フラグに " 0 " がセッ卜されているか調べる（ステップ 4 0 9 ) 0 ディレク卜リ領域破壌フラグが " 0 " でないときは、リザーブエリアに退避されたディレクトリ情報を復元して（ステップ 4 1 0 ) 、ディレクトリ領域破壊フラグを " 0 " にクリアする（ステップ 4 1 1 ) o このように復元したディレクトリ情報を基にして、以後はハ一ドディスク装置 7 1のファイルがアクセスできるようになる。そして、パソコンは正常起動され (ステップ 4 1 2 ) 、利用者はハ一ドディスク装置 7 1も含めて、パソコンが使用できる。

本実施例の特徵として、パスヮ一ドを知らない利用者でも一定の制限の下でパソコンが使用できることが挙げられる。つまり、本実施例のパソコンは、ハードディスク装置 7 1に格納された機密データについては特定の者しかアクセスできない。しかし、それ以外の基本的な機能については誰でも使用できるように工夫されている。この特徵によって、一台のパソコン上に特定の利用者の利用環境とそれ以外の利用者の利用環境がそれぞれ異なったサ一ビスレベルで提供されるのである。このような機能は、パソコンの有効利用の面からも望ましい。

次に、第 2の発明の第 2実施例の動作を図 5および図 7を用いて説明する。まず、システム電源が投入されると（ステップ 5 0 1 ) 、セキュリティ制御手段 1 0の指令によりユーザ I Dの入力を促すプロンプトがディスプレイ装置 5 3に表示される。利用者が予め登録したユーザ I Dを入力すると、バックアップ S R A M 2 0からこのユーザ I Dに対応したパスヮードデ一夕が読み出される（ステツプ 5 0 2 ) 。次にセキュリティ制御手段 1 0の指令によりパスヮードの入力を iS すプロンプトがディスプレイ装置 5 3に表示される。利用者は予め登録したパスヮードを入力する（ステップ 5 0 3 ) 0 そして、このパスヮードとステップ 5 0 2で読み出したパスヮードデータとが一致しているか調べる（ステップ 5 0 4 ) 。 —致していない場合には、ダミ一プログラムとして例えばプロックゲームが起動される（ステップ 5 0 5 ) 。このゲームプログラムの実行時間がカウントされ (ステップ 5 0 6 ) 、所定の時間内に解除用のキーをキ一ボード 6 1から打鍵してゲームプログラムを中止すると（ステップ 5 0 7 ) 、ステップ 5 0 3のパスヮ —ド入力から再実行される。正当な利用者がオペレーションを誤って、違うパスヮ一ドを入力した場合であれば、ダミ一プログラムが起動されることを知っているので、所定の時間内に解除用のキーを打鍵することができる。解除用のキーは、利用者間で取り決められたキーボード装置 5 1の特定のキーである。これが、禾リ用者でない不法な第三者が違うパスヮードを入力した場合だと、このゲームプログラムの突然の起動に、戸惑っている間に、所定の時間が経過してしまい、ドディスク装置 7 1に格納されたすベてのファイルが消去されてしまう（ステツプ 5 0 7 ) 。この処理によって、たとえ第三者がその後に正しいパスワードを入力してパソコンが使用できたとしても、ドディスク装置 7 1に格納されていたファイルにアクセスすることは絶対にできない。また、ステップ 5 0 4で、スワードとパスヮードデータが一致した場合には、正常に起動され（ステップ 5 0 9 ) 、以後の利用者はパソコンを使用することができる。

なお、この第 2実施例ではドディスク装置 7 1に格納されたすベてのファィルを消去している力《、第 1の実施例のようにファイルは消去せずに、ディレクトリ情報をリザ一ブェリァに退避させて、正当な利用者の再起動を可能にすることもできる。

また、本実施例ではハ一ドディスク装置 7 1に格納されたファイルに対してセキュリティ対策を施したが、フロッピィディスク装置 7 3に格納されたファイルについても同様にセキュリティ対策を施すことができる。

以下、添付図面の図 8〜図 1 2を用いて、第 3発明の一実施例であるパソコンについて説明する。図 8は、本発明の実施例の回路図である。本実施例のバソコン 1には、 C P U 1 1の指令で動作するハードディスクコントローラ（以下 H D Cという） 7 2と、内蔵型のハードディスク装置 9 0と、 H D C 7 2とハードデイスク装置 9 0とを接続する接銃ケーブル 8 0と、電源装置 1 2 0とが備えられている。接銃ケーブル 8 0には、 H D C 7 2側に接続されたケーブル 8 1およびコネクタ 8 2と、ハードディスク装置 9 0側に接続されたケーブル 8 3およびコネクタ 8 4とが備えられている。また、ケーブル 8 1の一部にはループ線 8 5が備えられている。さらに、ハードディスク装置 9 0には、制御装置 9 1と、制御装置 9 1と信号線 9 2で接続された検出端子 9 3と、検出端子 9 3の電圧を電源電圧であるハイレベルの電圧に吊り上げる抵抗 9 4と、基準電圧である口一レべルの電圧が与えられる接地端子 9 5と、データの消去等を行わないための解除信号を制御装置 9 1に与えるセキュリティ解除スィッチ 9 6と、制御装置 9 1からの指令でデータの書き込み♦読み出しを行う動作部 1 0 0と、制御装置 9 1と動作部 1 0 0に電力を供給するバックアップ用電源装置 1 1 0が備えられている。動作部 1 0 0には、データの格納された磁気ディスク 1 0 1と、磁気ディスク 1 0 1を回転させるスピンドルモータ 1 0 2と、スピンドルモータ 1 0 2を制御するスピンドルモータドライ回路 1 0 3が備えられており、磁気ディスク 1 0 1 上を移動してデータの書き込み '読み出しを行う磁気へッド 1 0 4と、この磁気へッド 1 0 4に書き込みあるいは読み出しの指令を与えるリードライ卜回路 1 0 5と、磁気へッド 1 0 4を所望の磁気ディスク 1 0 1上に移動させるへッド移動モータ 1 0 6と、この移動を制御するへッド移動モータ駆動回路 1 0 7が備えられている。また、バックアップ電源装置 1 1◦には内蔵電池 1 1 1と、この内蔵電池 1 1 1と電源装置 1 2 0とを切り替える切り替え装置 1 1 2が備えられている。

次に、本実施例の動作について説明する。検出端子 9 3には、ケーブル 8 3と信号線 9 2がそれぞれ接続されている。コネクタ 8 2とコネクタ 8 4とが接続された状態では、検出端子 9 3と接地端子 9 5とはループ線 8 5を介して電気的に接続されている。したがって検出端子 9 3に与えられたハイレベルの電圧によつて検出端子 9 3 *接地端子 9 5間に電流が流れて、検出端子 9 3の電位は低下する。この検出端子 9 3での電位の低下によって、信号線 9 2を通して制御装置 9 1にはローレベルの信号が与えられる。次にパソコン 1からハードディスク装置 9◦を取り外すために接铳ケーブル 8 0のコネクタ 8 2とコネクタ 8 4との接銃を解除すると、検出端子 9 3と接地端子 9 5とは電気的に切り離される。この拔態では、検出端子 9 3からケーブル 8 3には電流が流れないので、検出端子 9 3 に与えられたハイレベルの電圧が信号線 9 2を通して制御装置 9 1に印加される c 制御装置 9 1では、信号線 9 2から与えられる電圧信号が口一レベルからハイレベルに変化するのを検出して、動作部 1 0 0の各回路に磁気ディスク 1◦ 1に格納されたすべてのデータを消去するように指令を与える。ここで、パソコンの主電源が切断されていて電源装置 1 2 0からの電力がハードディスク装置 9 0に与えられない場合でも、バックアップ電源装置 1 1 0の切り替え装置 1 1 2によつて内蔵電池 1 1 1に切り替わるので、動作部 1 0 0には内蔵電池 1 1 1から電力が供給され確実にデータが消去できる。

なお、修理などでパソコン 1からハードディスク装置 9◦を取り外す必要がある場合には、セキュリティ解除スィツチ 9 6を投入して磁気ディスク 1 0 1のデ —夕の消去を防止する必要がある。このセキュリティ解除スィッチ 9 6が投入されると制御装置 9 1に解除信号が入り、制御装置 9 1からのデータ消去の指令を無効にするのである。

次に、本発明の別の実施例を図 9の回路図を参照して説明する。本実施例の搆成と上述した実施例の構成とで異なるのは、検出端子 9 3から延びた信号線 8 6 が直接外部端子 1 3 0に接続されていることである。この外部端子 1 3 0には口ックチヱーン 1 3 1の一端が接続されており、ロックチェーン 1 3 1の他端は接地された机 7 2の脚に縛り付けられている。本実施例の動作として、ロックチューン 1 3 1が机 1 3 2の脚に縛り付けられた状態では、ハイレベルの電圧が与えられた検出端子 9 3から信号線 8 6とロックチューン 1 3 1とに電流が流れる。したがって、検出端子 9 3に接続された信号線 9 2にはほとんど電流が流れず、信号線 9 2に接続された制御装置 9 1には口一レベルの電圧信号が与えられる。次にパソコンを持ち去るために、ロックチヱ一ン 1 3 1が切断されると、信号線 8 6およびロックチェーン 1 3 1には電流が流れなくなる。この状態では、検岀端子 9 3に与えられたハイレベルの信号が信号線 9 2を通して制御装置 9 1に茚加される。制御装置 9 1では、信号線 9 2から与えられる電圧信号がローレベルからハイレベルに変化するのを検出して、動作部 1 0 0の各回路に磁気ディスク 1 0 1に格納されたすベてのデータを消去するように指令を与える。

次に本発明の別の実施例を図 1 0の回路図を参照して説明する。本実施例の構成と図 8で説明した実施例の構成とで異なるのは、 C P U 1 1からの指令を受ける検出手段 1 4 0と、この検出手段 1 4 0に接続されたマイクロスィツチ 1 4 1 およびセーフティキー 1 4 2が備えられていることである。このマイクロスイツチ 1 4 1とセーフティキー 1 4 2の構成図は図 1 1 ( a ) 、（b ) に図示されている。図 1 1 ( a ) はパソコンの筐体 1 5 1にカバー 1 0 2が装着され、ネジ 1 0 3で固定された状態を示す断面図である。このようにカバー 1 0 2が装着された状態では、筐体 1 5 1に固定されたマイクロスィツチ 1 4 1は投入状態を保持する。本実施例の動作として、図 1 1 ( a ) のように筐体のカバー 1 5 1が固定されている状態では、マイクロスィッチ 1 4 1は投入状態なので検出手段 1 4 0 にはハイレベルの信号が与えられる。検出手段 1 4 0では、この信号に対応させてローレベルの信号を制御装置 9 1に与える。次に筐体からネジ 1◦ 3が外されて、カバー 1 5 1が取り外されると、マイクロスィッチ 1 4 1が切断状態になる。この状態では検出手段 1 4 0にはローレベルの信号が与えられる。検出手段 1 4 0では、この信号に対応させてハイレベルの信号を制御装置 9 1に与える。制御装置 9 1では、電圧信号がローレベルからハイレベルに変化するのを検出して、動作部 1 0 0の各回路に磁気ディスク 1◦ 1に格納されたすベてのデータを消去するように指令する。この指令によって磁気ディスク 1 0 1上のすべてのデータが消去される.。次に、図 1 1 ( b ) に示すセーフティキー 1 4 2について説明する。セーフティキー 1 4 2は専用のキーを揷入して回すことによって、ロック状態とアンロック状態の 2種類の状態に切り替えることができる。口ック状態は、上述したように筐体 1 5 1からカバー 1 5 2を取り外したときにデータが消去される状態である。これに対してアンロック状態は、筐体 1 5 1からカバ一 1 5 2 を取り外してもデータが消去されない状態である。したがって、修理などにより利用者が筐体 1 5 1からカバー 1 5 2を取り外す必要がある場合には、セーフティキ一 1 4 2をアン口ック状態にしてから、カバー 1 5 2の取り外しを行えば、磁気ディスク 1 0 1に格納されたデータが消去されることはない。以上の実施例の特徴は次の通りである。まず、悪意を持った第三者がコネクタを外したり、ロツ,クチェーン 1 3 1を切断したり、筐体のカバー 1 5 2を取り外したりすることによって異常事態が発生すると、制御装置 9 1に与えられる検出信号がローレベルからハイレベルに変化する。制御装置 9 1はこの電圧変化を検出して、動作部 1 0 0にデータを消去するように指令を出す。この指令を受けた動作部 1 0 0が磁気ディスク 1◦ 1に格納されたすベてのデータの消去を行うのである。また、このデータ消去処理は、電源装置 1 2 0から電力が供給されない場合には、内蔵電池 1 1 1の電力が供給される。この切り替えによって、確実にすべてのデータが消去される。

ところで、以上の実施例では、異常事態の発生に対して、磁気ディスク 1 0 1 に格納されたデータを消去して機密データ漏洩の防止を図った。データ漏洩を防止するには、この方法の他にも、大電流を流して磁気へッド 1 0 4を焼き切りデータアクセスできなくする方法がある。このデータ漏洩防止方法を施したドディスク装置 Γ 7 0の回路図を図 1 2に示す。図 8から図 1◦までのハードディスク装置 9 0との違いは、磁気へッド 1 0 4に専用コイル 1 7 1が巻き付けられ、この専用コイル 1 7 1とバックアップ電源装置 1 1 0とが接続されていることである。そして、異常事態が発生すると制御装置 9 1からの指令により専用コイル 1 7 1に大電流が流れるのである。この大電流によって、磁気ヘッド 1 0 4が焼き切れて、以降のデータアクセスが不可能となる。産業上の利用可能性

第 1発明の情報処理装置のセキュリティシステムであれば、曜日ごとにパスヮードが異なるので、間違ってある曜日のパスワードが漏洩した場合でも、その曜日以外の第三者の情報処理装置へのアクセスを阻止することができる。

第 2発明の情報処理装置のセキュリティシステムであれば、第三者が誤ったパスヮードを入力して情報処理装置を使用した場合には、ハードディスク装置に格納されたファイルはアクセスできない。したがって、ハードディスク装置に格納された機密性のある情報を確実に保護することができる。

第 3発明の情 f ^理装置のセキュリティシステムであれば、不法な侵入者が情

Claims

^理装置に接続された補助記憶装置を接続ケーブルを切断して外部に持ち出しても、接続ケーブルを切断して時点で、補助記憶装置に格納されたデータがすべて消去される。した力《つて、機密デ一タカ《外部に漏れることはない。 WO 92/09946 PCT/JP91/01631 1 7 請求の範囲

1 . パスヮードデータが利用者単位に格納されたパスヮード管理手段と、曜日情報または/および時刻情報が得られる時間監視手段と、特定の利用者のパスヮードデータの中から前記時間監視手段から得られる曜日情報またはおよび時刻情報に対応したパスヮードデータを読み込んで、このパスヮードデータとその利用者が入力するパスヮードとを比較することによって、その利用者の使用の許否を決定するセキュリティ制御手段とから構成される情報処理装置のセキュリティシステム。

2. 前記セキュリティ制御手段は、予め設定された所定の期間を使用可能時間帯と使用禁止時間帯とに分けて、前記時間監視手段から得られる曜日情報または Zおよび時刻情報からどちらの時間帯かを判定し、使用可能時間帯ではパスヮ -ド管理手段から特定の利用者のパスヮ一ドデータを読み込んで、このバスヮードデータとその利用者が入力するパスヮードとを比較することによって、その利用者の使用の許否を決定し、使用禁止時間帯ではシステム電源を切断する請求項 1記載のセキュリティシステム。

3. 前記使用可能時間帯と前記使用禁止時間帯とが周期的に繰り返される請求項 2記載の情報処理装置のセキュリティシステム。

4. 前記パスヮード管理手段は、時間帯ごとに難易度の異なる複数のパスヮ一ドデータが利用者単位で格納されており、

前記セキュリティ制御手段は、予め設定された所定の期間を複数の時間帯に分けて、前記時間監視手段から得られる曜日情報またはおよび時刻情報からどの時間帯かを判定し、前記パスヮード管理手段から判定した時間帯に対応したパスヮードデータを読み込み、このパスヮードデータとその利用者が入力するパスヮ一ドとを比較することによって、その利用者の使用の許否を決定する請求項 1記載のセキュリティシステム。

5. 前記複数の時間帯が周期的に繰り返される請求項 4記載の情報処理装置のセキュリティシステム。

6. 利用者ごとのパスヮ一ドデータが格納されたパスヮ一ド管理手段と、ディレクトリ情報に基づいてアクセスされる複数のファイルが格納された第 1領域と、このディレクトリ情報が格納された第 2領域と、予備の領域として確保された第 3領域とを備えた外部記憶手段と、前記パスヮード管理手段から特定の利用者のパスヮ一ドデータを読み出して、このパスヮードデータとその利用者が入力するパスワードが一致した場合に、その利用者の使用を許可し、パスワードデ一夕と入力されたパスヮ一ドが一致しなかった場合に、前記外部記億手段の第 2領域に格納されたディレクトリ情報を第 3領域に移動させるセキュリティ制御手段とから構成される情報処理装置のセキュリティシステム。

7. セキュリティ制御手段では、パスワードデータと入力されたパスワードデータと入力されたパスワードが一致しなかった場合、ディレクトリ情報を第 3 領域に移動させた後に、利用者の使用を許可する請求項 6記載の情報処理装置のセキュリティシステム。

8. 前記セキュリティ制御手段では、パスワードデータと特定の利用者が入力するパスヮードが一致し、かつ既にディレク卜リ情報が前記外部記億手段の第 3領域に移動していた場合、，ディレクトリ情報を第 3領域から第 2領域に移動させた後に、利用者の使用を許可する請求項 6記載の情報処理装置のセキュリティシステム。

9. 前記セキュリティ制御手段では、パスワードデータと特定の利用者が入力するパスヮ一ドとが一致しなかった場合にダミ一プログラムを実行させて、一定時間が経過するまでに利用者がこのダミープログラムの実行を中止した場合に、パスヮードの入力処理から手続きをやり直し、ダミ一プログラムの実行を中止しなかった場合に、前記外部記憶手段の第 1領域のすべてのファイルを消去する請求項 8記載の情報処理装置のセキュリティシステム。

1 0. 外部要因による異常状態を検出する検出手段と、前記検出手段での異常状態の検出によって補助記憶装置に格納されたデータの読み出しを禁止する禁止手段と、セーフティスィツチを投入することによって Ιΐί記禁止手段でのデータの読み出し禁止処理を無効とする無効手段とが備えられている情報処理装置のセキユリティシステム。

1 1 . 前記検出手段では、補助記憶装置と補助記憶装置コント π—ラとの接 WO 92/09946 PCT/JP91/01631

19

統ケーブルの切断を検出する請求項 1 0記載の情報処理装置のセキュリティシステム。

1 2. 前記検出手段では、持ち出せないように取り付けられたロックチェ一ンの切断を検出する請求項 1 0記載の情報処理装置のセキュリティシステム。

1 3. 前記検出手段では、筐体のカバーの取り外しを検出する請求項 1 0記載の情報処理装置のセキュリティシステム。

1 4 . 前記禁止手段では、前記補助記憶装置に格納されたデータを消去する請求項 1 0記載の情報処理装置のセキュリティシステム。

1 5. 前記禁止手段では、前記補助記憶装置の読み書き用へッドを焼き切る請求項 1 0記載の情報処理装置のセキュリティシステム。

1 6. 前記接铳ケーブルには、取り外された際に検出信号が印加される検出部を備えたコネクタが介在している請求項 1 1記載の情報処理装置のセキュリティシステム。

1 7 . 前記ロックチューンの一端は前記補助記憶装置の検出端子に接続され、他端は接地された固定物に槃がれている請求項 1 2記載の情報処理装置のセキュリティシステム。

1 8. 前記検出手段には、筐体のカバーの取り外しを検出する検出スィッチと、前記検出スィツチの作動を無効にするセーフティギ一とが備えられている請求項 1 3記載の情報処理装置のセキュリティシステム。

1 9 . 前記補助記憶装置には、回転するディスク上を読み書き用へッドが移動してディスクに格納されたデータの書き込み ·読み出しを行う動作部と、前記接続ケーブルを通して検出信号が印加される検出端子と、前記検出端子からの検出信号に基づいて前記ディスクに格納されたデータを消去するように前記動作部に指令を与える前記検出端子に接統された制御装置と、外部電源または内蔵電池の電力を前記動作部と前記制御装置に供耠するバックアップ用電源装置とが備えられている請求項 1 4記載の情報処理装置のセキュリティシステム。

2 0 . 前記補助記憶装置には、回転するディスク上を読み書き用へッドが移動してディスクに格納されたデータの書き込み ·読み出しを行う動作部と、前記接铳ケーブルを通して検出信号が印加される検出端子と、前記読み書き用へッドに巻き付けた専用コイルと、前記検出端子より与えられる検出信号に基づいて前記専用コィルに電流を流して前記読み書き用へッドを焼き切るように前記動作部に指令を与える前記検出端子に接続された制御装置と、外部電源または内蔵電池の電力を前記動作部と前記制御装置と前記専用コィルに供耠するバックァップ用電源装置とが備えられている請求項 1 5記載の情報処理装置のセキュリティシステム。