JP4555002B2 - User authentication system, login request determination apparatus and method - Google Patents
User authentication system, login request determination apparatus and method Download PDFInfo
- Publication number
- JP4555002B2 JP4555002B2 JP2004182426A JP2004182426A JP4555002B2 JP 4555002 B2 JP4555002 B2 JP 4555002B2 JP 2004182426 A JP2004182426 A JP 2004182426A JP 2004182426 A JP2004182426 A JP 2004182426A JP 4555002 B2 JP4555002 B2 JP 4555002B2
- Authority
- JP
- Japan
- Prior art keywords
- determination
- login request
- password
- user
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、不正アクセスを検出するための技術に関し、特に、パスワード認証によるログイン許否の判定を行うシステムにおける不正なログイン要求を検出するための技術に関する。 The present invention relates to a technique for detecting unauthorized access, and more particularly, to a technique for detecting an unauthorized login request in a system that determines whether login is permitted or not by password authentication.
ネットワーク技術の発展に伴って、ネットワークを利用したコンピュータシステムが広く利用されるようになっている。そして、コンピュータシステムにログインする際のユーザ認証手段としては、パスワード認証が広く用いられている。パスワード認証は、高価な設備を必要としない簡便な認証方法であるが、パスワードの流出などにより容易に破られ得る。 With the development of network technology, computer systems using networks have been widely used. Password authentication is widely used as a user authentication means when logging in to a computer system. Password authentication is a simple authentication method that does not require expensive equipment, but can be easily broken due to the outflow of passwords.
そこで、パスワード認証の安全性を高めるための対策として、一定期間経過するとパスワードを強制的に変更させたり、所定回数連続してパスワード入力に失敗すると、それ以降のログインを拒否したりすることが行われている(例えば特許文献1)。 Therefore, as measures to improve the security of password authentication, the password may be forcibly changed after a certain period of time, or if the password input fails for a predetermined number of times, subsequent logins will be refused. (For example, Patent Document 1).
しかし、従来の安全性を高める対策では、正規のユーザに対するログイン要求を拒否してしまうこともしばしば起こる。つまり、一人のユーザが管理しなければならないパスワードが多数あったり、一つのシステムのパスワードが頻繁に変更されたりするので、パスワードを忘れてしまったりするからである。この結果、正規ユーザでもパスワードの入力ミスをすることもあり、拒否されるケースのすべてが不正な目的のアクセスであるとは限らない。また、正規ユーザであるにもかかわらず、しばしば拒否されると使い勝手がよくない。 However, the conventional measures for improving the safety often reject the login request for the legitimate user. That is, there are many passwords that must be managed by one user, and the password of one system is frequently changed, so the password is forgotten. As a result, even a legitimate user may make a mistake in entering a password, and not all cases that are rejected are unauthorized access. Moreover, even if it is a regular user, if it is often rejected, it is not convenient.
本発明の目的は、正規ユーザの使い勝手を低下させず、不正アクセスを容易に発見することである。 An object of the present invention is to easily find unauthorized access without deteriorating the usability of authorized users.
本発明の他の目的は、正規ユーザの使い勝手を低下させず、不正アクセスを拒否することである。 Another object of the present invention is to deny unauthorized access without deteriorating the usability of authorized users.
本発明の一つの実施態様に従うパスワードを用いたユーザ認証のためのシステムは、ユーザが入力したパスワードを含む認証要求を受け付ける手段と、前記認証要求に対し、パスワードに関するルールを含む、複数のルールのうちのいずれか一つ以上を適用する手段と、前記ルールの適用結果に応じて前記ユーザの認証の正否を判定する認証手段と、前記ユーザ認証の結果が否定的であるとき、前記ルールの適用結果に応じた第1のアクションを実行し、前記ユーザに対してパスワードの再入力を促す認証後処理手段と、を備える。 A system for user authentication using a password according to an embodiment of the present invention includes: a unit for receiving an authentication request including a password input by a user; and a plurality of rules including a rule regarding a password for the authentication request. Means for applying any one or more of the above, authentication means for determining whether the user authentication is correct according to the result of application of the rule, and application of the rule when the result of the user authentication is negative A post-authentication processing unit that executes a first action according to a result and prompts the user to re-enter a password.
好適な実施形態では、前記複数のルールは、それぞれ、判定条件と前記判定条件に合致する場合の評価値を決定する第2のアクションとを含む。そして、前記認証手段は、前記評価値に基づいて認証の正否を判定するようにしてもよい。 In a preferred embodiment, each of the plurality of rules includes a determination condition and a second action for determining an evaluation value when the determination condition is met. And the said authentication means may determine the right or wrong of authentication based on the said evaluation value.
好適な実施形態では、前記認証後処理手段は、前記ユーザ認証の結果が否定的であるとき、前記ルールを適用して決定された前記評価値が所定値以上であれば、前記認証要求が不正なものであることを報知するようにしてもよい。 In a preferred embodiment, the post-authentication processing means, when the result of the user authentication is negative, if the evaluation value determined by applying the rule is not less than a predetermined value, the authentication request is invalid. You may make it alert | report that it is a thing.
本発明の一つの実施態様に従う不正アクセスの検出を行うログイン要求判定装置は、ユーザが入力したユーザIDおよびパスワードを含むログイン要求を受け付ける手段と、複数のユーザIDのそれぞれについて、各ユーザ自身が定義した、前記ログイン要求を判定するためのユーザID別の複数の判定条件と、前記複数の判定条件のそれぞれに対応づけられたプラスまたはマイナスのポイントとを記憶する手段と、前記ユーザID別の累積ポイント数を保持する手段と、前記受付手段が前記ログイン要求を受け付けるごとに、前記記憶手段を参照して、前記受け付けたログイン要求に含まれるログイン要求ユーザIDに対応する前記複数の判定条件に合致するかを判定する手段と、前記判定の結果、いずれか一以上の判定条件に合致したとき、前記合致した判定条件に対応づけられているプラスまたはマイナスのポイントを、前記保持手段の前記ログイン要求ユーザIDの累積ポイント数に加算または減算するポイント累積手段と、前記ログイン要求ユーザIDの累積ポイント数が(1)第1の値以下であるときは、前記受け付けたログイン要求を許可し、2)前記第1の値より大きく第2の値以下であるときは、前記受け付けたログイン要求を拒否し、
(3)前記第2の値より大きいときは、前記受け付けたログイン要求を拒否し、かつ、不正アクセスを受けていることを示す情報を出力するログイン判定手段と、を備える。
According to one embodiment of the present invention, a login request determination device for detecting unauthorized access includes means for receiving a login request including a user ID and a password input by the user, and each user defines a plurality of user IDs. Means for storing a plurality of determination conditions for each user ID for determining the login request, plus or minus points associated with each of the plurality of determination conditions, and accumulation for each user ID Each time the log-in request is accepted by the means for holding the number of points, and each time the log-in request is accepted, the storage means is referred to and the plurality of determination conditions corresponding to the log-in request user ID included in the accepted log-in request are met. Means for determining whether or not, and as a result of the determination, one or more determination conditions are met A point accumulating unit for adding or subtracting a plus or minus point associated with the matched determination condition to the accumulated point number of the login request user ID of the holding unit; and an accumulated point of the login request user ID When the number is (1) less than or equal to the first value, the accepted login request is allowed, and when the number is greater than the first value and less than or equal to the second value, the accepted login request is rejected. And
(3) login determination means for rejecting the accepted login request and outputting information indicating that unauthorized access has been received when the value is greater than the second value.
好適な実施形態では、前記複数の判定条件のそれぞれに対応づけられているポイントは、それぞれの判定条件に合致するログイン要求が不正アクセスである可能性の高さに応じて定まっていてもよい。 In a preferred embodiment, the points associated with each of the plurality of determination conditions may be determined according to the high possibility that a login request that matches each determination condition is unauthorized access.
好適な実施形態では、前記複数の判定条件の一つは、前記受け付けたログイン要求に含まれるパスワードが、ログインが許可される正規のパスワードと合致するかどうかの判定である。そして、前記ポイント累積手段は、前記受け付けたログイン要求に含まれるパスワードが、前記正規のパスワードに合致するときは、前記ログイン要求ユーザIDの累積ポイント数を第1の値以下に設定するようにしてもよい。 In a preferred embodiment, one of the plurality of determination conditions is a determination as to whether or not a password included in the accepted login request matches a regular password that allows login. The point accumulation means sets the accumulated point number of the login request user ID to a first value or less when the password included in the received login request matches the regular password. Also good.
好適な実施形態では、前記複数の判定条件の一つは、前記受け付けたログイン要求に含まれるパスワードが、累積ポイントをリセットするためにユーザID別に予め定められているリセットパスワードと合致するかどうかの判定であり、さらに前記ポイント累積手段は、前記受け付けたログイン要求に含まれるパスワードが、前記累積ポイントリセットパスワードに合致するときは、前記ログイン要求ユーザIDの累積ポイント数を第2の値以下に設定するようにしてもよい。 In a preferred embodiment, one of the plurality of determination conditions is whether or not the password included in the accepted login request matches a reset password predetermined for each user ID for resetting the accumulated points. Further, the point accumulating means sets the accumulated point number of the login request user ID to a second value or less when the password included in the accepted login request matches the accumulated point reset password. You may make it do.
好適な実施形態では、前記複数の判定条件の一つ以上は、過去に拒否されたログイン要求の内容と判定対象のログイン要求の内容とを対比する対比判定条件であってもよい。 In a preferred embodiment, one or more of the plurality of determination conditions may be a comparison determination condition for comparing the content of a login request rejected in the past with the content of a login request to be determined.
好適な実施形態では、前記対比判定条件は、前記過去に拒否されたログイン要求の受付または拒否時刻からの経過時間、または、前記過去に拒否されたログイン要求に含まれていたパスワードと、前記判定対象のログイン要求に含まれているパスワードとの共通性に関する対比であってもよい。 In a preferred embodiment, the comparison determination condition includes an elapsed time from the reception or rejection time of the login request rejected in the past, or a password included in the login request rejected in the past, and the determination. It may be a comparison regarding the commonality with the password included in the target login request.
本発明の一つの実施態様に従うパスワードを用いたユーザ認証のためのシステムは、ユーザが入力したパスワードを含む認証要求を受け付ける手段と、認証の認否に関するステータスを保持する手段と、不正パスワードを記憶する手段と、前記受付手段が受け付けた認証要求に含まれるパスワードが、前記記憶手段に記憶されている不正パスワードと一致するときは、前記ステータスを認証拒否に設定する手段と、前記ステータスが認証拒否であるときは、前記受付手段が受け付けた認証要求を常に拒否する認証手段と、を備える。 A system for user authentication using a password according to one embodiment of the present invention stores an authentication request including a password input by a user, a means for holding a status regarding whether authentication is accepted, and an unauthorized password. And when the password included in the authentication request received by the receiving means matches the illegal password stored in the storage means, the status is set to authentication rejected, and the status is authentication rejected. In some cases, an authentication unit that always rejects an authentication request received by the receiving unit.
好適な実施形態では、前記ユーザが前記不正パスワードを登録するための画面を提供する手段をさらに備えていてもよい。 In a preferred embodiment, the apparatus may further comprise means for providing a screen for the user to register the unauthorized password.
以下、本発明の一実施形態に係るユーザ認証を行うネットワークシステムついて、図面を用いて説明する。本実施形態では、ユーザ認証をログイン要求の許否判定に適用した場合について説明する。 Hereinafter, a network system for performing user authentication according to an embodiment of the present invention will be described with reference to the drawings. In the present embodiment, a case where user authentication is applied to log-in request permission / rejection determination will be described.
図1は、本実施形態に係るネットワークシステムの全体構成を示す。本システムは、ユーザ認証を行う認証サーバ1と、所定のサービスを提供するアプリケーションサーバ2と、システムの監視を行う管理者向けの監視端末3と、本システムのユーザが利用する複数のクライアント4とを備える。そして、認証サーバ1およびアプリケーションサーバ2は、ファイヤーウォールなどのアクセス規制装置5を介してネットワーク9に対して接続されている。
FIG. 1 shows the overall configuration of a network system according to this embodiment. The system includes an
クライアント4からアクセス規制装置5を介して認証サーバ1へログイン要求が送信されると、認証サーバ1はユーザ認証として、ログインを許可するかどうかの判定を行う。そして、ユーザ認証が成功してログインが許可されたユーザに対して、アクセス規制装置5がアプリケーションサーバ2へのアクセスを許可する。これにより、ユーザは、クライアント4を介してアプリケーションサーバ2による所定のサービス提供を受けることができる。一方、ユーザ認証に失敗し、ログインが許可されなかったユーザの場合、アクセス規制装置5によるアクセスの規制を受けて、アプリケーションサーバ2へアクセスすることはできない。
When a login request is transmitted from the
さらに、本実施形態では、認証サーバ1は、正規のユーザではない者による不正なアクセス、例えば、ログインしようとして仕掛けてくる攻撃に対して、ログインを許可しないとともに不正なアクセスであることを検出し、監視端末3へ通知するなどの警報を出力する。以下、本実施形態に係る認証サーバ1を中心に、詳細な構成および動作について説明する。
Further, in the present embodiment, the
図2は、認証サーバ1の詳細な構成を示す図である。認証サーバ1は、ネットワーク9に対するデータ入出力を行うネットワークインタフェース部11と、プロセッサ12と、記憶装置15とを備えたコンピュータシステムにより構成される。
FIG. 2 is a diagram showing a detailed configuration of the
ネットワークインタフェース部11は、ネットワーク9を介したデータの送受信を制御する。例えば、ネットワークインタフェース部11は、所定のハードウェアおよびそのハードウェア上で動作する所定のソフトウェアによって構成されていて、ネットワーク9を介してクライアント4から送信されてきたログイン要求等を受信する。また、ネットワークインタフェース部11は、後述するログイン要求判定部14によるログイン判定の結果等を、ネットワーク9を介してクライアント4へ送信する。ここで、ログイン要求50は、例えば、図3(a)に示すように、入力ID51及び入力パスワード52を少なくとも含む。入力ID51は、図3(b)に示すようなログイン画面100に対してユーザIDとして入力された文字、記号、符号および数字などの列であり、入力パスワード52は、パスワードとして入力された文字、記号、符号および数字などの列である。
The
プロセッサ12が所定のプログラムを実行すると、テーブル登録処理部13と、ログイン要求判定部14とが実現される。テーブル登録処理部13およびログイン要求判定部14は、以下に説明するような処理を実行する。
When the
記憶装置15には、ユーザID別のログイン管理情報16が記憶されている。ログイン管理情報16は、ログイン要求に対するログイン判定のときの用いるルールに関するルールテーブル161と、複数のパスワードを記憶したパスワードテーブル162と、累積ポイント数を保持したカウンタ163と、ログイン要求判定処理のログ165とを有する。ルールテーブル161およびパスワードテーブル162の内容は、テーブル登録処理部13が実行する処理(後述する)によって、各ユーザ自身がそれぞれ登録することができる。
The
ルールテーブル161の一例を図4に示す。ルールテーブル161は、同図に示すように、判定条件の適用順位161aと、1以上の判定条件161bと、それぞれの判定条件161bが満たされる場合に実行すべき処理を示すアクション161cとが対応づけられている。ログイン要求判定部14は、クライアント4から送信されたログイン要求50をネットワークインタフェース部11を介して受信すると、ログイン要求50に含まれる入力ID51に対応するルールテーブル161について、適用順位161aに従って、判定条件161bを順次適用し、合致する判定条件161bに対応するアクション161cを実行する。
An example of the rule table 161 is shown in FIG. In the rule table 161, as shown in the figure, the judgment
判定条件161bは、クライアント4から送信されたログイン要求50を判定するための判定条件が定義されている。判定条件161bの例としては、ログイン要求50の入力パスワード52とパスワードテーブル162に登録されているパスワードとの比較、入力パスワード52の長さの判定、入力パスワード52に含まれる文字等の種別の判定、入力パスワード52と前回拒否されたログイン要求の入力パスワードとの共通性についての比較、前回の拒否されたログイン要求を拒否した時または受信した時からの経過時間、および累積ポイント数と所定の閾値との比較などがある。
The
アクション161cは、それぞれの対応する判定条件161bで定義されている条件に合致するときに、ログイン要求判定部14が実行する処理が定義されている。アクション161cの例としては、カウンタ163に蓄積されている累積ポイントへのポイントの加算または減算、および条件判定の続行または終了などを設定することができる。条件判定の続行とは、次の判定順位161aの判定条件161bについて判定を継続することである。条件判定の終了とは、すべての判定条件161bについて判定を行っていなくても、その時点で終了することである。
The
なお、実装上は、ルールテーブル161は各判定条件161bおよびアクション161cは、それぞれの内容を示すスクリプト(ルールスクリプト)に変換された後、適用順序161aの順に保存される形式でもよい。この場合、ログイン要求判定部14は、入力パスワード52などの必要なパラメータを取得し、適用順序161aの順にこれらのルールスクリプトを実行すればよい。
In terms of implementation, the rule table 161 may be stored in the order of
カウンタ163には、ログイン判定の結果に伴うポイントが累積された累積ポイント数が記憶されている。例えば、上述のように、ログイン判定において受信したログイン要求に合致する判定条件161bに対応するアクション161cに定義されている加算すべきポイント(プラスポイント)または減算すべきポイント数(マイナスポイント)が累積ポイント数に累積される。このポイントは、各判定条件161bに合致するログイン要求が不正アクセスである危険性を示す評価値であり、不正アクセスの可能性の高さに応じて定められている。例えば、合致すれば不正アクセスであるおそれが高いと判断される判定条件161bほどプラスの高ポイントが付与されている。また、正規ユーザでも犯してしまいそうな軽度のミスと判断される判定条件161bほどプラスの低ポイントが付与されている。なお、累積ポイント数の初期値は、例えば、後述するログイン許可閾値であってもよいし、ログイン許可閾値と後述する中間閾値との間の所定値であってもよい。
The
ログイン要求判定部14は、カウンタ163の累積ポイント数に基づいて、ログインを許可するかの判定を行う。例えば、累積ポイントが所定のログイン許可閾値以下であるときにログインを許可し、それ以上のときにログインを拒否する。また、累積ポイントがログイン許可閾値よりも大きい不正判定閾値以上であるときは、ログインを拒否すると共に不正アクセスである可能性が高いことを報知するための所定の出力を行ってもよい。
The login
パスワードテーブル162の一例を図5に示す。パスワードテーブル162は、データ項目として、同図に示すように、正規パスワード162aと、不正パスワード162bと、リセットパスワード162cと、過去パスワード162dとを含む。それぞれのパスワード162a〜dには、1つまたは複数のパスワードを設定することができる。
An example of the password table 162 is shown in FIG. As shown in the figure, the password table 162 includes a
正規パスワード162aは、入力パスワード52がこれに合致する場合にログインが許可される、正規のパスワードである。正規パスワード162aに関して、例えば、入力パスワード52が正規パスワード162aの一つに合致し、かつ、累積ポイント数が所定の中間閾値以下であるという判定条件1611を定義し、これに対して、累積ポイント数をログイン許可閾値に更新して、判定を終了するというアクション1612を定義してもよい。ここで、中間閾値は、ログイン許可閾値以上であって不正判定閾値以下である。この場合、ログイン要求判定部14は、累積ポイント数が中間閾値を越えていると、入力パスワード52が正規パスワードと一致してもログインを許可しない。従って、累積ポイント数が中間閾値を越えているときは、ユーザは後述するリセットパスワードを入力して累積ポイント数を中間閾値以下にする必要がある。
The
不正パスワード162bは、不正アクセスを検出するためのパスワードである。不正パスワード162bに関して、例えば、入力パスワード52が不正パスワード162bに合致するという判定条件1613を定義し、これに対して、累積ポイント数に不正判定閾値を越えるポイントを加算して判定を終了するというアクション1614を定義してもよい。この場合、入力パスワード52が不正パスワード162bに合致するときは、そのログイン要求は不正アクセスとみなされ、以後、入力パスワード52が正規パスワード162aと一致したときでもログインは許可されない。ログインが許可されるためには、以下の累積ポイントのリセットが必要である。
The
リセットパスワード162cは、カウンタ163に保持されている累積ポイント数をクリアまたは中間閾値以下の所定値に設定するためのパスワードである。リセットパスワード162cに関して、例えば、入力パスワード52がリセットパスワード162cに合致するという判定条件1615を定義し、これに対して、累積ポイント数を中間閾値以下の値に更新し、判定を終了するというアクション1616を定義してもよい。これにより、累積ポイント数が不正判定閾値を越えていた場合でも、リセットパスワードが入力されると累積ポイント数が中間閾値以下に下げることができる。この結果、次に正規パスワード162aを含むログイン要求50を受ければログインが許可される。
The
なお、ログイン要求判定部14は、累積ポイント数の累積度合いをクライアント4のユーザに対して知らせるようにしてもよい。例えば、クライアント4の画面に、累積ポイント数が上昇していることを直接的に明示する表示をさせることもできるし、間接的に知らせる表示をさせることもできる。間接的な表示とは、例えば、正規ユーザであれば知っている規則に従った隠れた表示であってもよい。すなわち、ログイン画面100に特定の記号などを表示したり、表示画面全体の中でのログイン画面100の表示位置を所定の位置へ移動したり、ログイン画面100を特定の色で表示したり、など種々可能である。
Note that the login
過去パスワード162dは、過去に利用されたパスワード(ワンタイムパスワードを含む)である。例えば、入力パスワード52が過去パスワードと合致するという判定条件に対して、所定ポイントを累積ポイント数に加算し、判定終了というアクションを定義してもよい。
The
ログ165には、受信したログイン要求およびそのログイン要求に対する判定結果などが蓄積されている。例えば、ログ165には、図6に示すように、入力パスワード、ログイン判定の結果、ログイン要求を受け付けた日時などの項目が含まれる。そして、ログイン要求判定部14が、各ログイン要求50に対する判定結果をログ165に蓄積する。判定条件161において、過去の拒否されたログイン要求に関する情報、および過去の入力パスワードなどを利用するときは、ログ165が参照される。
The
なお、上述のログイン許可閾値、中間閾値、および不正判定閾値は、全ユーザIDに共通でもよいし、ユーザIDごとに異なる値でもよい。さらに、不正アクセスを受ける頻度に応じて動的に変動させてもよい。 Note that the above-described login permission threshold, intermediate threshold, and fraud determination threshold may be common to all user IDs or may be different for each user ID. Further, it may be dynamically changed according to the frequency of receiving unauthorized access.
ログイン要求判定部14は、受信したログイン要求50に対して、上述のようなログイン管理情報16に基づくログイン判定を行う。ログイン判定の結果、ログインの許可または不許可を、ログイン要求50の送信元のクライアント4へ、ネットワークインタフェース部11を介して送信する。また、ログイン要求50に含まれる入力ID51の累積ポイント数が不正判定閾値を越えているときは、不正アクセスによる攻撃を受けている危険度が高まっていることを示すアラートを監視端末3へ送信する。
The login
また、ログイン要求判定部14は、入力ID51と異なるユーザIDのルールテーブル161を参照し、判定条件161bに合致するかどうかの判定を行ってもよい。特に、パスワード照合に関する判定条件161bについて判定を行ってもよい。これにより、ログイン要求50に含まれる入力パスワード52と合致するパスワードを使用しているユーザを検出できる。他人のユーザIDに対する攻撃に使用されるパスワードを使用することは、一般的には危険なものと考えられる。そこで、このようなケースを抽出して、それぞれのユーザへ個別にパスワード変更の推奨を通知するようにしてもよい。
Further, the login
次に、ルールテーブル161およびパスワードテーブル162の登録のための処理について説明する。各ユーザが、本システムにログインしているときに、以下に説明する手順により、自らのルールテーブル161およびパスワードテーブル162の内容を登録することができる。 Next, processing for registering the rule table 161 and the password table 162 will be described. When each user is logged in to the present system, the contents of their own rule table 161 and password table 162 can be registered according to the procedure described below.
テーブル登録処理部13は、クライアント4からの要求に応じて、図7(a)に例示するようなルール登録画面200を表示するためのデータを、ネットワークインタフェース部11を介してクライアント4へ送信する。ルール登録画面200は、適用順位210に応じた判定条件の入力領域220と、アクション入力領域230とを有する。判定条件入力領域220およびアクション入力領域230に入力する判定条件およびアクションは、それぞれ、予め用意されている候補の中から選択することができるようにしてもよい。クライアント4においてルール登録画面200が表示されているときに、ユーザが判定条件入力領域220およびアクション入力領域230に対してそれぞれ所定の入力を実行する。それぞれの入力領域220,230に判定条件またはアクションが入力された後に、適用順位210を変更したいときには、ユーザは変更したい領域を選択して、所望の適用順位210へドラッグアンドドロップすることにより変更させることもできる。
In response to a request from the
別のルール登録画面250の例として、例えば図7(b)に示すように、入力領域260に対して、判定条件およびアクションを一体的に定義したルールスクリプトを記述可能なものでもよい。この場合、ユーザが自由にスクリプトを記述することにより、判定条件およびアクションを自由に定義できる。
As an example of another
各クライアント4で、これらのルール画面200,250に対してそれぞれ入力された情報は認証サーバ1へ送信される。認証サーバ1では、テーブル登録処理部13がユーザIDに対応するログイン管理情報16のルールテーブル161に登録する。このとき、テーブル登録処理部13は、ルール登録画面200で選択された判定条件およびアクションを、ルールスクリプトに変換してからルールテーブル161に登録してもよい。
Information input to each
また、テーブル登録処理部13は、クライアント4からの要求に応じて、図8に例示するようなパスワード登録画面300を表示するためのデータを、ネットワークインタフェース部11を介してクライアント4に送信する。
Further, the table
パスワード登録画面300は、正規パスワード、不正パスワード、およびリセットパスワードのそれぞれを入力するための領域310、320、330を有する。各領域310、320、330には複数のパスワードを入力することもできる。クライアント4においてパスワード登録画面300が表示されているときに、ユーザがそれぞれの領域に自らが定めたパスワードを入力する。不正パスワードとしては、例えば、ユーザ本人は決して利用しないパスワードであって、他人が推測しやすいものを設定すると好適である。例えば、あるユーザが自分の生年月日や社員番号などをパスワードに使わないことを決めたようなときに、これらを自分の不正パスワードとして設定すれば、不正アクセスを検出できる可能性が高まる。つまり、ユーザがいくつかのパスワードを試す際でも、自ら設定した不正パスワードについては覚えている可能性が高い。このため、正規ユーザによるアクセスを不正と判定する可能性は低いと考えられる。従って、不正パスワードが入力されたことを検知したときは、そのアクセスが不正アクセスである可能性がかなり高いと考えられるので、このときはシステムを防衛するための所定のアクション(例えば、当該ユーザIDの無効化、監視端末への通報など)を実行するように定めておくことができる。さらに、上記のようなシステム防衛のための所定のアクションが実行されることが定着すると、そのシステムに対する不正アクセスの試み自体が抑制される効果も期待できる。
The
各クライアント4で、パスワード登録画面300に対してそれぞれ入力された情報は認証サーバ1へ送信される。認証サーバ1では、テーブル登録処理部13がユーザIDに対応するログイン管理情報16のパスワードテーブル162に登録する。
Information input to the
次に、図9に示すフローチャートに従って、ログイン要求判定処理の処理手順を説明する。 Next, the processing procedure of the login request determination process will be described according to the flowchart shown in FIG.
認証サーバ1は、クライアント4でログイン画面100に対してユーザが入力したユーザIDおよびパスワードに基づいて生成されたログイン要求50を受け付ける(S11)。
The
ログイン要求判定部14は、受け付けたログイン要求50に含まれている入力ID51に対応するログイン管理情報16のルールテーブル161を参照して、判定順序161aに従って、ログイン要求50が判定条件161bに合致するかどうかの判定を行う。そして、判定条件161bに合致したときは、それに対応するアクション161cを実行する(S12)。このとき、アクション161cにポイントの加算または減算が定義されているときは、その定義に従ってカウンタ163の累積ポイント数を加減算する。ここで、ログイン要求判定部14は、アクション161cを実行する際に、そのアクション161cに「判定終了」が含まれているかをチェックする(S13)。そして、判定終了が含まれていないときは(S13:No)、ステップS12に戻り、判定順序161aに従ってさらに判定を継続する。判定終了が含まれているときは(S13:Yes)、ログイン要求判定部14はカウンタ163を参照して、累積ポイント数がログイン許可閾値(ここでは0)以下であるかどうかをチェックする(S14)。累積ポイント数が0であるときは(S14:Yes)、ログイン要求判定部14はクライアント4に対してログインを許可を通知する(S20)。この結果、ログインが許可されたユーザは、アプリケーションサーバ2へアクセスして、所定のサービスの提供を受けることができる。
The login
また、累積ポイント数が0でないときは(S14:No)、累積ポイント数が不正判定閾値(ここでは100)以上であるかをチェックする(S15)。そして、累積ポイント数が100以上であるときは(S15:Yes)、ログイン要求判定部14はクライアント4に対してログイン不許可を通知すると共に、監視端末3に対して不正アクセスの検出を通知するためのアラートを発信する(S30)。
If the accumulated point number is not 0 (S14: No), it is checked whether the accumulated point number is equal to or greater than the fraud determination threshold (100 in this case) (S15). When the accumulated number of points is 100 or more (S15: Yes), the login
さらに、累積ポイント数が100以上でないときは(S15:No)、入力ID51と異なるユーザIDのログイン管理情報16について以下の判定を行う。すなわち、入力ID51と異なるユーザIDを一つ選択する(S16)。そして、選択されたユーザIDのルールテーブル161を参照して、ログイン要求50と合致するルールがあるか判定する。そして、合致するルールがあれば、選択されたユーザIDのログイン管理情報16のログ165に、その旨を示す情報を格納する(S17)。ステップS16,S17の処理を、全ユーザIDに対して実行し(S18)、終了後、ログイン要求判定部14はクライアント4へログイン不許可を通知する(S20)。
Further, when the accumulated point number is not 100 or more (S15: No), the following determination is performed for the
上記のログイン判定処理により、ユーザが定義したルールに従ったログイン判定を行うことができる。また、不正らしいアクセスを受けて累積ポイント数が上昇するにつれて、危険度の高まりを検知することができる。さらに、危険度が高まると、正規パスワードが入力されてもそのユーザIDに対するログインを拒否するようになる。 By the login determination process described above, it is possible to perform login determination according to a rule defined by the user. In addition, as the cumulative number of points increases due to unauthorized access, an increase in the degree of risk can be detected. Furthermore, if the degree of risk increases, even if a regular password is entered, login for that user ID is refused.
なお、上記実施形態における累積ポイント数の代わりに、ログインを許可するか禁止するかを示すステータスを保持するようにしてもよい。この場合、ステータスの初期値を「ログイン許可」とし、不正パスワードのログイン要求を受けると、このステータスを「ログイン拒否」に変更し、リセットパスワードのログイン要求を受けると「ログイン許可」に戻すようにする。そして、正規パスワードのログイン要求を受けたときに、ステータスが「ログイン許可」であればログインが許可され、ステータスが「ログイン拒否」であればログインが拒否されるようにしてもよい。 Note that a status indicating whether login is permitted or prohibited may be held instead of the cumulative number of points in the above embodiment. In this case, the initial value of the status is set to “Login Permission”, and when an unauthorized password login request is received, this status is changed to “Login Denied”, and when a reset password login request is received, it is returned to “Login Permission”. To do. When the login request for the regular password is received, the login may be permitted if the status is “login permitted”, and the login may be rejected if the status is “login denied”.
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。 The above-described embodiments of the present invention are examples for explaining the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.
例えば、上記実施形態では、不正アクセスである危険性をポイントとして数値化して表現しているが、必ずしもこれに限定されない。例えば、不正アクセスである危険性を示す複数のレベルで表してもよい。この場合、累積ポイント数の加減算の代わりに、適当なルールに基づいてレベルを上下させてもよい。 For example, in the above embodiment, the risk of unauthorized access is expressed as a numerical value with the risk as a point, but the present invention is not necessarily limited to this. For example, it may be expressed by a plurality of levels indicating the risk of unauthorized access. In this case, instead of adding or subtracting the accumulated points, the level may be raised or lowered based on an appropriate rule.
また、上記実施形態ではユーザ認証の一例としてログイン要求の判定に適用した場合を説明しているが、本発明のユーザ認証はこれに限定されない。例えば、建物などへの入場規制のための本人確認などのパスワードを用いたユーザ認証一般に適用可能である。 Moreover, although the said embodiment demonstrated the case where it applied to determination of a login request | requirement as an example of user authentication, the user authentication of this invention is not limited to this. For example, the present invention can be applied to general user authentication using a password for identity verification for admission control to a building or the like.
1…認証サーバ、2…アプリケーションサーバ、3…監視端末、4…クライアント、13…テーブル登録処理部、14…ログイン要求判定部、15…記憶装置、16…ログイン管理情報、161…ルールテーブル、162…パスワードテーブル。
DESCRIPTION OF
Claims (4)
ユーザが入力したユーザIDおよびパスワードを含むログイン要求を受け付ける手段と、
複数のユーザIDのそれぞれについて、各ユーザ自身が定義した、前記ログイン要求を判定するためのユーザID別の複数の判定条件と、前記複数の判定条件のそれぞれに対応づけられたプラスまたはマイナスのポイントとを記憶する手段と、
前記ユーザID別の累積ポイント数を保持する手段と、
前記受付手段が前記ログイン要求を受け付けるごとに、前記記憶手段を参照して、前記受け付けたログイン要求に含まれるログイン要求ユーザIDに対応する前記複数の判定条件に合致するかを判定する手段と、
前記判定の結果、いずれか一以上の判定条件に合致したとき、前記合致した判定条件に対応づけられているプラスまたはマイナスのポイントを、前記保持手段の前記ログイン要求ユーザIDの累積ポイント数に加算または減算するポイント累積手段と、
前記ログイン要求ユーザIDの累積ポイント数が
(1)第1の値以下であるときは、前記受け付けたログイン要求を許可し、
(2)前記第1の値より大きく第2の値以下であるときは、前記受け付けたログイン要求を拒否し、
(3)前記第2の値より大きいときは、前記受け付けたログイン要求を拒否し、かつ、不正アクセスを受けていることを示す情報を出力する
ログイン判定手段と、を備え、
前記複数の判定条件の一つは、前記受け付けたログイン要求に含まれるパスワードが、累積ポイントをリセットするためにユーザID別に予め定められているリセットパスワードと合致するかどうかの判定であり、
前記ポイント累積手段は、前記受け付けたログイン要求に含まれるパスワードが、前記累積ポイントリセットパスワードに合致するときは、前記ログイン要求ユーザIDの累積ポイント数を前記第2の値以下に設定するログイン要求判定装置。 A login request determination device that detects unauthorized access,
Means for accepting a login request including a user ID and password entered by the user;
For each of a plurality of user IDs, each user himself / herself defines a plurality of determination conditions for each user ID for determining the login request, and positive or negative points associated with each of the plurality of determination conditions Means for storing
Means for holding a cumulative number of points for each user ID;
Means for referring to the storage means each time the accepting means accepts the log-in request, and determining whether or not the plurality of judgment conditions corresponding to the log-in request user ID included in the accepted log-in request are met;
As a result of the determination, when any one or more determination conditions are met, a plus or minus point associated with the matched determination condition is added to the accumulated point number of the login request user ID of the holding means. Or a point accumulating means to subtract,
When the accumulated point number of the login request user ID is (1) less than or equal to the first value, the accepted login request is permitted,
(2) When the value is greater than the first value and less than or equal to the second value, the accepted login request is rejected,
(3) login determination means for rejecting the accepted login request and outputting information indicating that unauthorized access has been received when greater than the second value ;
One of the plurality of determination conditions is a determination of whether or not the password included in the accepted login request matches a reset password that is predetermined for each user ID in order to reset the accumulated points,
The point accumulating means, when a password included in the accepted log-in request matches the accumulative point reset password, a log-in request determination for setting a cumulative point number of the log-in request user ID to be equal to or less than the second value. apparatus.
前記ポイント累積手段は、前記受け付けたログイン要求に含まれるパスワードが、前記正規のパスワードに合致するときは、前記ログイン要求ユーザIDの累積ポイント数を第1の値以下に設定する請求項1または2に記載のログイン要求判定装置。 One of the plurality of determination conditions is a determination as to whether or not a password included in the accepted login request matches a regular password that allows login,
Said point accumulating means, the password contained in the login request received is, when matching the password of the legitimate claim 1 or 2 to set the accumulated number of points of the login request user ID below a first value The login request determination device described in 1.
One or more of the plurality of determination conditions include acceptance of a login request rejected in the past or an elapsed time from a rejection time, or a password included in the login request rejected in the past, and the determination target login request determination apparatus according to claim 1 or 2 is a comparison determination condition for comparing the password included in the login request.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004182426A JP4555002B2 (en) | 2004-06-21 | 2004-06-21 | User authentication system, login request determination apparatus and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004182426A JP4555002B2 (en) | 2004-06-21 | 2004-06-21 | User authentication system, login request determination apparatus and method |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010145601A Division JP4685191B2 (en) | 2010-06-25 | 2010-06-25 | User authentication system, login request determination apparatus and method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006004333A JP2006004333A (en) | 2006-01-05 |
JP4555002B2 true JP4555002B2 (en) | 2010-09-29 |
Family
ID=35772663
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004182426A Expired - Fee Related JP4555002B2 (en) | 2004-06-21 | 2004-06-21 | User authentication system, login request determination apparatus and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4555002B2 (en) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9412123B2 (en) | 2003-07-01 | 2016-08-09 | The 41St Parameter, Inc. | Keystroke analysis |
US10999298B2 (en) | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
US8938671B2 (en) | 2005-12-16 | 2015-01-20 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US11301585B2 (en) | 2005-12-16 | 2022-04-12 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
JP4848796B2 (en) * | 2006-02-28 | 2011-12-28 | 株式会社日立製作所 | Form output device and form output method |
US8151327B2 (en) | 2006-03-31 | 2012-04-03 | The 41St Parameter, Inc. | Systems and methods for detection of session tampering and fraud prevention |
JP4967428B2 (en) * | 2006-04-10 | 2012-07-04 | 株式会社日立製作所 | Information processing system with authentication function |
JP2008246130A (en) * | 2007-03-30 | 2008-10-16 | Sansei R & D:Kk | Game machine |
US9112850B1 (en) | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
EP2386973A1 (en) | 2010-05-11 | 2011-11-16 | Thomson Licensing | Methods, devices and computer program supports for password generation and verification |
JP2012037948A (en) * | 2010-08-04 | 2012-02-23 | Hitachi Ltd | Method for changing device setting |
US10754913B2 (en) | 2011-11-15 | 2020-08-25 | Tapad, Inc. | System and method for analyzing user device information |
US9633201B1 (en) | 2012-03-01 | 2017-04-25 | The 41St Parameter, Inc. | Methods and systems for fraud containment |
US9521551B2 (en) | 2012-03-22 | 2016-12-13 | The 41St Parameter, Inc. | Methods and systems for persistent cross-application mobile device identification |
KR101366664B1 (en) | 2012-03-22 | 2014-02-25 | (주)네오위즈게임즈 | Method and server for authenticatiing user in onlie game |
EP2880619A1 (en) | 2012-08-02 | 2015-06-10 | The 41st Parameter, Inc. | Systems and methods for accessing records via derivative locators |
WO2014078569A1 (en) | 2012-11-14 | 2014-05-22 | The 41St Parameter, Inc. | Systems and methods of global identification |
JP6002609B2 (en) * | 2013-03-19 | 2016-10-05 | 株式会社エヌ・ティ・ティ・データ | Information terminal, control method, control program |
US10902327B1 (en) | 2013-08-30 | 2021-01-26 | The 41St Parameter, Inc. | System and method for device identification and uniqueness |
JP5708842B2 (en) * | 2014-02-18 | 2015-04-30 | キヤノンマーケティングジャパン株式会社 | Information processing system, information processing apparatus, control method thereof, and program |
JP6027577B2 (en) * | 2014-07-23 | 2016-11-16 | 株式会社三井住友銀行 | Authentication system, authentication method, and program |
US10091312B1 (en) | 2014-10-14 | 2018-10-02 | The 41St Parameter, Inc. | Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10124457A (en) * | 1996-10-25 | 1998-05-15 | Hitachi Ltd | Method for certifying user |
JP2000259276A (en) * | 1999-03-11 | 2000-09-22 | Matsushita Electric Ind Co Ltd | Password controller |
-
2004
- 2004-06-21 JP JP2004182426A patent/JP4555002B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10124457A (en) * | 1996-10-25 | 1998-05-15 | Hitachi Ltd | Method for certifying user |
JP2000259276A (en) * | 1999-03-11 | 2000-09-22 | Matsushita Electric Ind Co Ltd | Password controller |
Also Published As
Publication number | Publication date |
---|---|
JP2006004333A (en) | 2006-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4555002B2 (en) | User authentication system, login request determination apparatus and method | |
US8856892B2 (en) | Interactive authentication | |
US9722996B1 (en) | Partial password-based authentication using per-request risk scores | |
US9092606B2 (en) | Biometric sensor for human presence detection and associated methods | |
US9390249B2 (en) | System and method for improving security of user account access | |
US8549314B2 (en) | Password generation methods and systems | |
US11048792B2 (en) | Risk based brute-force attack prevention | |
KR102024142B1 (en) | A access control system for detecting and controlling abnormal users by users’ pattern of server access | |
US20070022299A1 (en) | Password authentication device, recording medium which records an authentication program, and authentication method | |
US9747429B2 (en) | Personal familiarity authentication | |
US11477190B2 (en) | Dynamic user ID | |
US8452980B1 (en) | Defeating real-time trojan login attack with delayed interaction with fraudster | |
US10110578B1 (en) | Source-inclusive credential verification | |
JP2015207241A (en) | user authentication system | |
EP3874716B1 (en) | Detecting and responding to attempts to gain unauthorized access to user accounts in an online system | |
JP2000132515A (en) | Device and method for judging wrong access | |
JP2012234235A (en) | Biometric authentication system and biometric authentication method | |
JP4685191B2 (en) | User authentication system, login request determination apparatus and method | |
WO2017068714A1 (en) | Illegal communication control apparatus and method | |
RU2303811C1 (en) | Remote user authentication method and the system for realization of the method | |
JP2002073198A (en) | Device and method for authentication | |
WO2022045873A1 (en) | System and method for adaptive authentication | |
JP5688127B2 (en) | Transfer processing system and method by action pattern authentication | |
JP6611249B2 (en) | Authentication server and authentication server program | |
KR102483979B1 (en) | System and method for automatic connecting to server through facial recognition |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070313 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20070313 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100427 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100625 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100713 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100715 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130723 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4555002 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140723 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |