Nothing Special   »   [go: up one dir, main page]

JP4555002B2 - User authentication system, login request determination apparatus and method - Google Patents

User authentication system, login request determination apparatus and method Download PDF

Info

Publication number
JP4555002B2
JP4555002B2 JP2004182426A JP2004182426A JP4555002B2 JP 4555002 B2 JP4555002 B2 JP 4555002B2 JP 2004182426 A JP2004182426 A JP 2004182426A JP 2004182426 A JP2004182426 A JP 2004182426A JP 4555002 B2 JP4555002 B2 JP 4555002B2
Authority
JP
Japan
Prior art keywords
determination
login request
password
user
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004182426A
Other languages
Japanese (ja)
Other versions
JP2006004333A (en
Inventor
竜実 真下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2004182426A priority Critical patent/JP4555002B2/en
Publication of JP2006004333A publication Critical patent/JP2006004333A/en
Application granted granted Critical
Publication of JP4555002B2 publication Critical patent/JP4555002B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、不正アクセスを検出するための技術に関し、特に、パスワード認証によるログイン許否の判定を行うシステムにおける不正なログイン要求を検出するための技術に関する。   The present invention relates to a technique for detecting unauthorized access, and more particularly, to a technique for detecting an unauthorized login request in a system that determines whether login is permitted or not by password authentication.

ネットワーク技術の発展に伴って、ネットワークを利用したコンピュータシステムが広く利用されるようになっている。そして、コンピュータシステムにログインする際のユーザ認証手段としては、パスワード認証が広く用いられている。パスワード認証は、高価な設備を必要としない簡便な認証方法であるが、パスワードの流出などにより容易に破られ得る。   With the development of network technology, computer systems using networks have been widely used. Password authentication is widely used as a user authentication means when logging in to a computer system. Password authentication is a simple authentication method that does not require expensive equipment, but can be easily broken due to the outflow of passwords.

そこで、パスワード認証の安全性を高めるための対策として、一定期間経過するとパスワードを強制的に変更させたり、所定回数連続してパスワード入力に失敗すると、それ以降のログインを拒否したりすることが行われている(例えば特許文献1)。   Therefore, as measures to improve the security of password authentication, the password may be forcibly changed after a certain period of time, or if the password input fails for a predetermined number of times, subsequent logins will be refused. (For example, Patent Document 1).

特開2001−318891号公報JP 2001-318891 A

しかし、従来の安全性を高める対策では、正規のユーザに対するログイン要求を拒否してしまうこともしばしば起こる。つまり、一人のユーザが管理しなければならないパスワードが多数あったり、一つのシステムのパスワードが頻繁に変更されたりするので、パスワードを忘れてしまったりするからである。この結果、正規ユーザでもパスワードの入力ミスをすることもあり、拒否されるケースのすべてが不正な目的のアクセスであるとは限らない。また、正規ユーザであるにもかかわらず、しばしば拒否されると使い勝手がよくない。   However, the conventional measures for improving the safety often reject the login request for the legitimate user. That is, there are many passwords that must be managed by one user, and the password of one system is frequently changed, so the password is forgotten. As a result, even a legitimate user may make a mistake in entering a password, and not all cases that are rejected are unauthorized access. Moreover, even if it is a regular user, if it is often rejected, it is not convenient.

本発明の目的は、正規ユーザの使い勝手を低下させず、不正アクセスを容易に発見することである。   An object of the present invention is to easily find unauthorized access without deteriorating the usability of authorized users.

本発明の他の目的は、正規ユーザの使い勝手を低下させず、不正アクセスを拒否することである。   Another object of the present invention is to deny unauthorized access without deteriorating the usability of authorized users.

本発明の一つの実施態様に従うパスワードを用いたユーザ認証のためのシステムは、ユーザが入力したパスワードを含む認証要求を受け付ける手段と、前記認証要求に対し、パスワードに関するルールを含む、複数のルールのうちのいずれか一つ以上を適用する手段と、前記ルールの適用結果に応じて前記ユーザの認証の正否を判定する認証手段と、前記ユーザ認証の結果が否定的であるとき、前記ルールの適用結果に応じた第1のアクションを実行し、前記ユーザに対してパスワードの再入力を促す認証後処理手段と、を備える。   A system for user authentication using a password according to an embodiment of the present invention includes: a unit for receiving an authentication request including a password input by a user; and a plurality of rules including a rule regarding a password for the authentication request. Means for applying any one or more of the above, authentication means for determining whether the user authentication is correct according to the result of application of the rule, and application of the rule when the result of the user authentication is negative A post-authentication processing unit that executes a first action according to a result and prompts the user to re-enter a password.

好適な実施形態では、前記複数のルールは、それぞれ、判定条件と前記判定条件に合致する場合の評価値を決定する第2のアクションとを含む。そして、前記認証手段は、前記評価値に基づいて認証の正否を判定するようにしてもよい。   In a preferred embodiment, each of the plurality of rules includes a determination condition and a second action for determining an evaluation value when the determination condition is met. And the said authentication means may determine the right or wrong of authentication based on the said evaluation value.

好適な実施形態では、前記認証後処理手段は、前記ユーザ認証の結果が否定的であるとき、前記ルールを適用して決定された前記評価値が所定値以上であれば、前記認証要求が不正なものであることを報知するようにしてもよい。   In a preferred embodiment, the post-authentication processing means, when the result of the user authentication is negative, if the evaluation value determined by applying the rule is not less than a predetermined value, the authentication request is invalid. You may make it alert | report that it is a thing.

本発明の一つの実施態様に従う不正アクセスの検出を行うログイン要求判定装置は、ユーザが入力したユーザIDおよびパスワードを含むログイン要求を受け付ける手段と、複数のユーザIDのそれぞれについて、各ユーザ自身が定義した、前記ログイン要求を判定するためのユーザID別の複数の判定条件と、前記複数の判定条件のそれぞれに対応づけられたプラスまたはマイナスのポイントとを記憶する手段と、前記ユーザID別の累積ポイント数を保持する手段と、前記受付手段が前記ログイン要求を受け付けるごとに、前記記憶手段を参照して、前記受け付けたログイン要求に含まれるログイン要求ユーザIDに対応する前記複数の判定条件に合致するかを判定する手段と、前記判定の結果、いずれか一以上の判定条件に合致したとき、前記合致した判定条件に対応づけられているプラスまたはマイナスのポイントを、前記保持手段の前記ログイン要求ユーザIDの累積ポイント数に加算または減算するポイント累積手段と、前記ログイン要求ユーザIDの累積ポイント数が(1)第1の値以下であるときは、前記受け付けたログイン要求を許可し、2)前記第1の値より大きく第2の値以下であるときは、前記受け付けたログイン要求を拒否し、
(3)前記第2の値より大きいときは、前記受け付けたログイン要求を拒否し、かつ、不正アクセスを受けていることを示す情報を出力するログイン判定手段と、を備える。
According to one embodiment of the present invention, a login request determination device for detecting unauthorized access includes means for receiving a login request including a user ID and a password input by the user, and each user defines a plurality of user IDs. Means for storing a plurality of determination conditions for each user ID for determining the login request, plus or minus points associated with each of the plurality of determination conditions, and accumulation for each user ID Each time the log-in request is accepted by the means for holding the number of points, and each time the log-in request is accepted, the storage means is referred to and the plurality of determination conditions corresponding to the log-in request user ID included in the accepted log-in request are met. Means for determining whether or not, and as a result of the determination, one or more determination conditions are met A point accumulating unit for adding or subtracting a plus or minus point associated with the matched determination condition to the accumulated point number of the login request user ID of the holding unit; and an accumulated point of the login request user ID When the number is (1) less than or equal to the first value, the accepted login request is allowed, and when the number is greater than the first value and less than or equal to the second value, the accepted login request is rejected. And
(3) login determination means for rejecting the accepted login request and outputting information indicating that unauthorized access has been received when the value is greater than the second value.

好適な実施形態では、前記複数の判定条件のそれぞれに対応づけられているポイントは、それぞれの判定条件に合致するログイン要求が不正アクセスである可能性の高さに応じて定まっていてもよい。   In a preferred embodiment, the points associated with each of the plurality of determination conditions may be determined according to the high possibility that a login request that matches each determination condition is unauthorized access.

好適な実施形態では、前記複数の判定条件の一つは、前記受け付けたログイン要求に含まれるパスワードが、ログインが許可される正規のパスワードと合致するかどうかの判定である。そして、前記ポイント累積手段は、前記受け付けたログイン要求に含まれるパスワードが、前記正規のパスワードに合致するときは、前記ログイン要求ユーザIDの累積ポイント数を第1の値以下に設定するようにしてもよい。   In a preferred embodiment, one of the plurality of determination conditions is a determination as to whether or not a password included in the accepted login request matches a regular password that allows login. The point accumulation means sets the accumulated point number of the login request user ID to a first value or less when the password included in the received login request matches the regular password. Also good.

好適な実施形態では、前記複数の判定条件の一つは、前記受け付けたログイン要求に含まれるパスワードが、累積ポイントをリセットするためにユーザID別に予め定められているリセットパスワードと合致するかどうかの判定であり、さらに前記ポイント累積手段は、前記受け付けたログイン要求に含まれるパスワードが、前記累積ポイントリセットパスワードに合致するときは、前記ログイン要求ユーザIDの累積ポイント数を第2の値以下に設定するようにしてもよい。   In a preferred embodiment, one of the plurality of determination conditions is whether or not the password included in the accepted login request matches a reset password predetermined for each user ID for resetting the accumulated points. Further, the point accumulating means sets the accumulated point number of the login request user ID to a second value or less when the password included in the accepted login request matches the accumulated point reset password. You may make it do.

好適な実施形態では、前記複数の判定条件の一つ以上は、過去に拒否されたログイン要求の内容と判定対象のログイン要求の内容とを対比する対比判定条件であってもよい。   In a preferred embodiment, one or more of the plurality of determination conditions may be a comparison determination condition for comparing the content of a login request rejected in the past with the content of a login request to be determined.

好適な実施形態では、前記対比判定条件は、前記過去に拒否されたログイン要求の受付または拒否時刻からの経過時間、または、前記過去に拒否されたログイン要求に含まれていたパスワードと、前記判定対象のログイン要求に含まれているパスワードとの共通性に関する対比であってもよい。   In a preferred embodiment, the comparison determination condition includes an elapsed time from the reception or rejection time of the login request rejected in the past, or a password included in the login request rejected in the past, and the determination. It may be a comparison regarding the commonality with the password included in the target login request.

本発明の一つの実施態様に従うパスワードを用いたユーザ認証のためのシステムは、ユーザが入力したパスワードを含む認証要求を受け付ける手段と、認証の認否に関するステータスを保持する手段と、不正パスワードを記憶する手段と、前記受付手段が受け付けた認証要求に含まれるパスワードが、前記記憶手段に記憶されている不正パスワードと一致するときは、前記ステータスを認証拒否に設定する手段と、前記ステータスが認証拒否であるときは、前記受付手段が受け付けた認証要求を常に拒否する認証手段と、を備える。   A system for user authentication using a password according to one embodiment of the present invention stores an authentication request including a password input by a user, a means for holding a status regarding whether authentication is accepted, and an unauthorized password. And when the password included in the authentication request received by the receiving means matches the illegal password stored in the storage means, the status is set to authentication rejected, and the status is authentication rejected. In some cases, an authentication unit that always rejects an authentication request received by the receiving unit.

好適な実施形態では、前記ユーザが前記不正パスワードを登録するための画面を提供する手段をさらに備えていてもよい。   In a preferred embodiment, the apparatus may further comprise means for providing a screen for the user to register the unauthorized password.

以下、本発明の一実施形態に係るユーザ認証を行うネットワークシステムついて、図面を用いて説明する。本実施形態では、ユーザ認証をログイン要求の許否判定に適用した場合について説明する。   Hereinafter, a network system for performing user authentication according to an embodiment of the present invention will be described with reference to the drawings. In the present embodiment, a case where user authentication is applied to log-in request permission / rejection determination will be described.

図1は、本実施形態に係るネットワークシステムの全体構成を示す。本システムは、ユーザ認証を行う認証サーバ1と、所定のサービスを提供するアプリケーションサーバ2と、システムの監視を行う管理者向けの監視端末3と、本システムのユーザが利用する複数のクライアント4とを備える。そして、認証サーバ1およびアプリケーションサーバ2は、ファイヤーウォールなどのアクセス規制装置5を介してネットワーク9に対して接続されている。   FIG. 1 shows the overall configuration of a network system according to this embodiment. The system includes an authentication server 1 that performs user authentication, an application server 2 that provides a predetermined service, a monitoring terminal 3 for an administrator that monitors the system, and a plurality of clients 4 that are used by users of the system. Is provided. The authentication server 1 and the application server 2 are connected to the network 9 via an access restriction device 5 such as a firewall.

クライアント4からアクセス規制装置5を介して認証サーバ1へログイン要求が送信されると、認証サーバ1はユーザ認証として、ログインを許可するかどうかの判定を行う。そして、ユーザ認証が成功してログインが許可されたユーザに対して、アクセス規制装置5がアプリケーションサーバ2へのアクセスを許可する。これにより、ユーザは、クライアント4を介してアプリケーションサーバ2による所定のサービス提供を受けることができる。一方、ユーザ認証に失敗し、ログインが許可されなかったユーザの場合、アクセス規制装置5によるアクセスの規制を受けて、アプリケーションサーバ2へアクセスすることはできない。   When a login request is transmitted from the client 4 to the authentication server 1 via the access restriction device 5, the authentication server 1 determines whether or not to permit login as user authentication. And the access control apparatus 5 permits the access to the application server 2 with respect to the user in whom user authentication was successful and login was permitted. Accordingly, the user can receive a predetermined service provided by the application server 2 via the client 4. On the other hand, in the case of a user who fails user authentication and login is not permitted, access to the application server 2 cannot be performed due to access restriction by the access restriction device 5.

さらに、本実施形態では、認証サーバ1は、正規のユーザではない者による不正なアクセス、例えば、ログインしようとして仕掛けてくる攻撃に対して、ログインを許可しないとともに不正なアクセスであることを検出し、監視端末3へ通知するなどの警報を出力する。以下、本実施形態に係る認証サーバ1を中心に、詳細な構成および動作について説明する。   Further, in the present embodiment, the authentication server 1 detects unauthorized access by a person who is not a legitimate user, for example, an unauthorized access, for example, an attack that attempts to log in, and that the access is unauthorized. An alarm such as notification to the monitoring terminal 3 is output. Hereinafter, a detailed configuration and operation will be described focusing on the authentication server 1 according to the present embodiment.

図2は、認証サーバ1の詳細な構成を示す図である。認証サーバ1は、ネットワーク9に対するデータ入出力を行うネットワークインタフェース部11と、プロセッサ12と、記憶装置15とを備えたコンピュータシステムにより構成される。   FIG. 2 is a diagram showing a detailed configuration of the authentication server 1. The authentication server 1 is configured by a computer system including a network interface unit 11 that performs data input / output with respect to the network 9, a processor 12, and a storage device 15.

ネットワークインタフェース部11は、ネットワーク9を介したデータの送受信を制御する。例えば、ネットワークインタフェース部11は、所定のハードウェアおよびそのハードウェア上で動作する所定のソフトウェアによって構成されていて、ネットワーク9を介してクライアント4から送信されてきたログイン要求等を受信する。また、ネットワークインタフェース部11は、後述するログイン要求判定部14によるログイン判定の結果等を、ネットワーク9を介してクライアント4へ送信する。ここで、ログイン要求50は、例えば、図3(a)に示すように、入力ID51及び入力パスワード52を少なくとも含む。入力ID51は、図3(b)に示すようなログイン画面100に対してユーザIDとして入力された文字、記号、符号および数字などの列であり、入力パスワード52は、パスワードとして入力された文字、記号、符号および数字などの列である。   The network interface unit 11 controls transmission / reception of data via the network 9. For example, the network interface unit 11 is configured by predetermined hardware and predetermined software that operates on the hardware, and receives a login request or the like transmitted from the client 4 via the network 9. Further, the network interface unit 11 transmits a result of login determination by a login request determination unit 14 described later to the client 4 via the network 9. Here, the login request 50 includes at least an input ID 51 and an input password 52 as shown in FIG. The input ID 51 is a string of characters, symbols, symbols, numbers, and the like input as a user ID on the login screen 100 as shown in FIG. 3B, and the input password 52 is a character input as a password, A sequence of symbols, signs and numbers.

プロセッサ12が所定のプログラムを実行すると、テーブル登録処理部13と、ログイン要求判定部14とが実現される。テーブル登録処理部13およびログイン要求判定部14は、以下に説明するような処理を実行する。   When the processor 12 executes a predetermined program, a table registration processing unit 13 and a login request determination unit 14 are realized. The table registration processing unit 13 and the login request determination unit 14 perform processing as described below.

記憶装置15には、ユーザID別のログイン管理情報16が記憶されている。ログイン管理情報16は、ログイン要求に対するログイン判定のときの用いるルールに関するルールテーブル161と、複数のパスワードを記憶したパスワードテーブル162と、累積ポイント数を保持したカウンタ163と、ログイン要求判定処理のログ165とを有する。ルールテーブル161およびパスワードテーブル162の内容は、テーブル登録処理部13が実行する処理(後述する)によって、各ユーザ自身がそれぞれ登録することができる。   The storage device 15 stores login management information 16 for each user ID. The login management information 16 includes a rule table 161 relating to rules used for login determination in response to a login request, a password table 162 that stores a plurality of passwords, a counter 163 that stores the cumulative number of points, and a log 165 of login request determination processing. And have. The contents of the rule table 161 and the password table 162 can be registered by each user by a process (described later) executed by the table registration processing unit 13.

ルールテーブル161の一例を図4に示す。ルールテーブル161は、同図に示すように、判定条件の適用順位161aと、1以上の判定条件161bと、それぞれの判定条件161bが満たされる場合に実行すべき処理を示すアクション161cとが対応づけられている。ログイン要求判定部14は、クライアント4から送信されたログイン要求50をネットワークインタフェース部11を介して受信すると、ログイン要求50に含まれる入力ID51に対応するルールテーブル161について、適用順位161aに従って、判定条件161bを順次適用し、合致する判定条件161bに対応するアクション161cを実行する。   An example of the rule table 161 is shown in FIG. In the rule table 161, as shown in the figure, the judgment condition application order 161a, one or more judgment conditions 161b, and an action 161c indicating processing to be executed when each judgment condition 161b is satisfied are associated with each other. It has been. When the login request determination unit 14 receives the login request 50 transmitted from the client 4 via the network interface unit 11, the login request determination unit 14 determines the determination condition for the rule table 161 corresponding to the input ID 51 included in the login request 50 according to the application order 161 a. 161b is sequentially applied, and an action 161c corresponding to the matching determination condition 161b is executed.

判定条件161bは、クライアント4から送信されたログイン要求50を判定するための判定条件が定義されている。判定条件161bの例としては、ログイン要求50の入力パスワード52とパスワードテーブル162に登録されているパスワードとの比較、入力パスワード52の長さの判定、入力パスワード52に含まれる文字等の種別の判定、入力パスワード52と前回拒否されたログイン要求の入力パスワードとの共通性についての比較、前回の拒否されたログイン要求を拒否した時または受信した時からの経過時間、および累積ポイント数と所定の閾値との比較などがある。   The determination condition 161 b defines a determination condition for determining the login request 50 transmitted from the client 4. As an example of the determination condition 161b, the input password 52 of the login request 50 and the password registered in the password table 162 are compared, the length of the input password 52 is determined, and the type of the character included in the input password 52 is determined. , Comparison of commonality between the input password 52 and the input password of the previously rejected login request, the time elapsed since the previous rejected login request was rejected or received, and the cumulative number of points and a predetermined threshold And comparisons.

アクション161cは、それぞれの対応する判定条件161bで定義されている条件に合致するときに、ログイン要求判定部14が実行する処理が定義されている。アクション161cの例としては、カウンタ163に蓄積されている累積ポイントへのポイントの加算または減算、および条件判定の続行または終了などを設定することができる。条件判定の続行とは、次の判定順位161aの判定条件161bについて判定を継続することである。条件判定の終了とは、すべての判定条件161bについて判定を行っていなくても、その時点で終了することである。   The action 161c defines a process to be executed by the login request determination unit 14 when the conditions defined in the corresponding determination conditions 161b are met. As an example of the action 161c, it is possible to set addition or subtraction of points to / from the accumulated points accumulated in the counter 163, continuation or termination of condition determination, and the like. The continuation of the condition determination is to continue the determination with respect to the determination condition 161b of the next determination order 161a. The end of the condition determination is to end at that point even if the determination is not performed for all the determination conditions 161b.

なお、実装上は、ルールテーブル161は各判定条件161bおよびアクション161cは、それぞれの内容を示すスクリプト(ルールスクリプト)に変換された後、適用順序161aの順に保存される形式でもよい。この場合、ログイン要求判定部14は、入力パスワード52などの必要なパラメータを取得し、適用順序161aの順にこれらのルールスクリプトを実行すればよい。   In terms of implementation, the rule table 161 may be stored in the order of application order 161a after each determination condition 161b and action 161c are converted into scripts (rule scripts) indicating the respective contents. In this case, the login request determination unit 14 may acquire necessary parameters such as the input password 52 and execute these rule scripts in the order of application order 161a.

カウンタ163には、ログイン判定の結果に伴うポイントが累積された累積ポイント数が記憶されている。例えば、上述のように、ログイン判定において受信したログイン要求に合致する判定条件161bに対応するアクション161cに定義されている加算すべきポイント(プラスポイント)または減算すべきポイント数(マイナスポイント)が累積ポイント数に累積される。このポイントは、各判定条件161bに合致するログイン要求が不正アクセスである危険性を示す評価値であり、不正アクセスの可能性の高さに応じて定められている。例えば、合致すれば不正アクセスであるおそれが高いと判断される判定条件161bほどプラスの高ポイントが付与されている。また、正規ユーザでも犯してしまいそうな軽度のミスと判断される判定条件161bほどプラスの低ポイントが付与されている。なお、累積ポイント数の初期値は、例えば、後述するログイン許可閾値であってもよいし、ログイン許可閾値と後述する中間閾値との間の所定値であってもよい。   The counter 163 stores the accumulated number of points accumulated according to the result of the login determination. For example, as described above, the points to be added (plus points) or the number of points to be subtracted (minus points) defined in the action 161c corresponding to the determination condition 161b that matches the login request received in the login determination are accumulated. Accumulated in points. This point is an evaluation value indicating the risk that the login request that matches each determination condition 161b is unauthorized access, and is determined according to the possibility of unauthorized access. For example, a higher positive point is given to the determination condition 161b that is judged to have a high possibility of unauthorized access if they match. Further, a positive low point is given to the determination condition 161b that is determined to be a minor mistake that is likely to be committed even by a regular user. Note that the initial value of the cumulative number of points may be, for example, a login permission threshold described later, or a predetermined value between the login permission threshold and an intermediate threshold described later.

ログイン要求判定部14は、カウンタ163の累積ポイント数に基づいて、ログインを許可するかの判定を行う。例えば、累積ポイントが所定のログイン許可閾値以下であるときにログインを許可し、それ以上のときにログインを拒否する。また、累積ポイントがログイン許可閾値よりも大きい不正判定閾値以上であるときは、ログインを拒否すると共に不正アクセスである可能性が高いことを報知するための所定の出力を行ってもよい。   The login request determination unit 14 determines whether login is permitted based on the accumulated number of points in the counter 163. For example, log-in is permitted when the accumulated point is equal to or less than a predetermined log-in permission threshold, and log-in is denied when the accumulated point is higher. Further, when the accumulated point is equal to or greater than the fraud determination threshold value that is larger than the login permission threshold value, a predetermined output for notifying login and notifying that there is a high possibility of unauthorized access may be performed.

パスワードテーブル162の一例を図5に示す。パスワードテーブル162は、データ項目として、同図に示すように、正規パスワード162aと、不正パスワード162bと、リセットパスワード162cと、過去パスワード162dとを含む。それぞれのパスワード162a〜dには、1つまたは複数のパスワードを設定することができる。   An example of the password table 162 is shown in FIG. As shown in the figure, the password table 162 includes a regular password 162a, an unauthorized password 162b, a reset password 162c, and a past password 162d as data items. One or more passwords can be set for each password 162a-d.

正規パスワード162aは、入力パスワード52がこれに合致する場合にログインが許可される、正規のパスワードである。正規パスワード162aに関して、例えば、入力パスワード52が正規パスワード162aの一つに合致し、かつ、累積ポイント数が所定の中間閾値以下であるという判定条件1611を定義し、これに対して、累積ポイント数をログイン許可閾値に更新して、判定を終了するというアクション1612を定義してもよい。ここで、中間閾値は、ログイン許可閾値以上であって不正判定閾値以下である。この場合、ログイン要求判定部14は、累積ポイント数が中間閾値を越えていると、入力パスワード52が正規パスワードと一致してもログインを許可しない。従って、累積ポイント数が中間閾値を越えているときは、ユーザは後述するリセットパスワードを入力して累積ポイント数を中間閾値以下にする必要がある。   The regular password 162a is a regular password that allows login when the input password 52 matches the regular password 162a. For the regular password 162a, for example, a determination condition 1611 is defined that the input password 52 matches one of the regular passwords 162a and the accumulated point number is equal to or less than a predetermined intermediate threshold value. May be defined as an action 1612 for updating the login permission threshold and ending the determination. Here, the intermediate threshold is not less than the login permission threshold and not more than the fraud determination threshold. In this case, when the accumulated point number exceeds the intermediate threshold value, the login request determination unit 14 does not permit login even if the input password 52 matches the regular password. Therefore, when the accumulated point number exceeds the intermediate threshold value, the user needs to input a reset password described later to make the accumulated point number equal to or less than the intermediate threshold value.

不正パスワード162bは、不正アクセスを検出するためのパスワードである。不正パスワード162bに関して、例えば、入力パスワード52が不正パスワード162bに合致するという判定条件1613を定義し、これに対して、累積ポイント数に不正判定閾値を越えるポイントを加算して判定を終了するというアクション1614を定義してもよい。この場合、入力パスワード52が不正パスワード162bに合致するときは、そのログイン要求は不正アクセスとみなされ、以後、入力パスワード52が正規パスワード162aと一致したときでもログインは許可されない。ログインが許可されるためには、以下の累積ポイントのリセットが必要である。   The unauthorized password 162b is a password for detecting unauthorized access. For the illegal password 162b, for example, a determination condition 1613 that the input password 52 matches the illegal password 162b is defined, and in contrast to this, an action of adding a point exceeding the illegal determination threshold to the accumulated point number and ending the determination 1614 may be defined. In this case, when the input password 52 matches the unauthorized password 162b, the login request is regarded as unauthorized access, and thereafter, even when the input password 52 matches the regular password 162a, login is not permitted. In order to allow login, the following accumulated points must be reset.

リセットパスワード162cは、カウンタ163に保持されている累積ポイント数をクリアまたは中間閾値以下の所定値に設定するためのパスワードである。リセットパスワード162cに関して、例えば、入力パスワード52がリセットパスワード162cに合致するという判定条件1615を定義し、これに対して、累積ポイント数を中間閾値以下の値に更新し、判定を終了するというアクション1616を定義してもよい。これにより、累積ポイント数が不正判定閾値を越えていた場合でも、リセットパスワードが入力されると累積ポイント数が中間閾値以下に下げることができる。この結果、次に正規パスワード162aを含むログイン要求50を受ければログインが許可される。   The reset password 162c is a password for clearing or setting the accumulated point number held in the counter 163 to a predetermined value equal to or less than the intermediate threshold value. With regard to the reset password 162c, for example, a determination condition 1615 that the input password 52 matches the reset password 162c is defined, and on the other hand, the cumulative point number is updated to a value equal to or less than the intermediate threshold value, and the determination is finished May be defined. As a result, even if the accumulated point number exceeds the fraud determination threshold value, the accumulated point number can be lowered to the intermediate threshold value or less when the reset password is input. As a result, if the login request 50 including the regular password 162a is received next, login is permitted.

なお、ログイン要求判定部14は、累積ポイント数の累積度合いをクライアント4のユーザに対して知らせるようにしてもよい。例えば、クライアント4の画面に、累積ポイント数が上昇していることを直接的に明示する表示をさせることもできるし、間接的に知らせる表示をさせることもできる。間接的な表示とは、例えば、正規ユーザであれば知っている規則に従った隠れた表示であってもよい。すなわち、ログイン画面100に特定の記号などを表示したり、表示画面全体の中でのログイン画面100の表示位置を所定の位置へ移動したり、ログイン画面100を特定の色で表示したり、など種々可能である。   Note that the login request determination unit 14 may notify the user of the client 4 of the cumulative degree of accumulated points. For example, it is possible to display on the screen of the client 4 to directly indicate that the cumulative number of points has increased, or to display indirectly. The indirect display may be, for example, a hidden display according to a rule known to a regular user. That is, a specific symbol or the like is displayed on the login screen 100, the display position of the login screen 100 in the entire display screen is moved to a predetermined position, the login screen 100 is displayed in a specific color, etc. Various possibilities are possible.

過去パスワード162dは、過去に利用されたパスワード(ワンタイムパスワードを含む)である。例えば、入力パスワード52が過去パスワードと合致するという判定条件に対して、所定ポイントを累積ポイント数に加算し、判定終了というアクションを定義してもよい。   The past password 162d is a password (including a one-time password) used in the past. For example, for the determination condition that the input password 52 matches the past password, an action to end the determination by adding a predetermined point to the cumulative number of points may be defined.

ログ165には、受信したログイン要求およびそのログイン要求に対する判定結果などが蓄積されている。例えば、ログ165には、図6に示すように、入力パスワード、ログイン判定の結果、ログイン要求を受け付けた日時などの項目が含まれる。そして、ログイン要求判定部14が、各ログイン要求50に対する判定結果をログ165に蓄積する。判定条件161において、過去の拒否されたログイン要求に関する情報、および過去の入力パスワードなどを利用するときは、ログ165が参照される。   The log 165 stores the received login request and the determination result for the login request. For example, as illustrated in FIG. 6, the log 165 includes items such as an input password, a result of login determination, and a date and time when a login request is received. Then, the login request determination unit 14 accumulates the determination result for each login request 50 in the log 165. The log 165 is referred to when the information regarding the past rejected login request and the past input password are used in the determination condition 161.

なお、上述のログイン許可閾値、中間閾値、および不正判定閾値は、全ユーザIDに共通でもよいし、ユーザIDごとに異なる値でもよい。さらに、不正アクセスを受ける頻度に応じて動的に変動させてもよい。   Note that the above-described login permission threshold, intermediate threshold, and fraud determination threshold may be common to all user IDs or may be different for each user ID. Further, it may be dynamically changed according to the frequency of receiving unauthorized access.

ログイン要求判定部14は、受信したログイン要求50に対して、上述のようなログイン管理情報16に基づくログイン判定を行う。ログイン判定の結果、ログインの許可または不許可を、ログイン要求50の送信元のクライアント4へ、ネットワークインタフェース部11を介して送信する。また、ログイン要求50に含まれる入力ID51の累積ポイント数が不正判定閾値を越えているときは、不正アクセスによる攻撃を受けている危険度が高まっていることを示すアラートを監視端末3へ送信する。   The login request determination unit 14 performs login determination based on the login management information 16 as described above for the received login request 50. As a result of the login determination, whether the login is permitted or not is transmitted to the client 4 that is the transmission source of the login request 50 via the network interface unit 11. When the accumulated point number of the input ID 51 included in the login request 50 exceeds the fraud determination threshold, an alert indicating that the risk of being attacked by unauthorized access is increasing is sent to the monitoring terminal 3. .

また、ログイン要求判定部14は、入力ID51と異なるユーザIDのルールテーブル161を参照し、判定条件161bに合致するかどうかの判定を行ってもよい。特に、パスワード照合に関する判定条件161bについて判定を行ってもよい。これにより、ログイン要求50に含まれる入力パスワード52と合致するパスワードを使用しているユーザを検出できる。他人のユーザIDに対する攻撃に使用されるパスワードを使用することは、一般的には危険なものと考えられる。そこで、このようなケースを抽出して、それぞれのユーザへ個別にパスワード変更の推奨を通知するようにしてもよい。   Further, the login request determination unit 14 may determine whether or not the determination condition 161b is met with reference to the rule table 161 of a user ID different from the input ID 51. In particular, the determination may be made for the determination condition 161b related to password verification. Thereby, it is possible to detect a user who uses a password that matches the input password 52 included in the login request 50. It is generally considered dangerous to use a password used for an attack against another person's user ID. Therefore, such a case may be extracted and a password change recommendation may be individually notified to each user.

次に、ルールテーブル161およびパスワードテーブル162の登録のための処理について説明する。各ユーザが、本システムにログインしているときに、以下に説明する手順により、自らのルールテーブル161およびパスワードテーブル162の内容を登録することができる。   Next, processing for registering the rule table 161 and the password table 162 will be described. When each user is logged in to the present system, the contents of their own rule table 161 and password table 162 can be registered according to the procedure described below.

テーブル登録処理部13は、クライアント4からの要求に応じて、図7(a)に例示するようなルール登録画面200を表示するためのデータを、ネットワークインタフェース部11を介してクライアント4へ送信する。ルール登録画面200は、適用順位210に応じた判定条件の入力領域220と、アクション入力領域230とを有する。判定条件入力領域220およびアクション入力領域230に入力する判定条件およびアクションは、それぞれ、予め用意されている候補の中から選択することができるようにしてもよい。クライアント4においてルール登録画面200が表示されているときに、ユーザが判定条件入力領域220およびアクション入力領域230に対してそれぞれ所定の入力を実行する。それぞれの入力領域220,230に判定条件またはアクションが入力された後に、適用順位210を変更したいときには、ユーザは変更したい領域を選択して、所望の適用順位210へドラッグアンドドロップすることにより変更させることもできる。   In response to a request from the client 4, the table registration processing unit 13 transmits data for displaying the rule registration screen 200 illustrated in FIG. 7A to the client 4 via the network interface unit 11. . The rule registration screen 200 includes a determination condition input area 220 corresponding to the application order 210 and an action input area 230. The determination condition and action input to the determination condition input area 220 and the action input area 230 may be selected from candidates prepared in advance. When the rule registration screen 200 is displayed on the client 4, the user performs predetermined inputs to the determination condition input area 220 and the action input area 230. When the application order 210 is to be changed after the determination condition or action is input to each of the input areas 220 and 230, the user selects the area to be changed and drags and drops it to the desired application order 210. You can also

別のルール登録画面250の例として、例えば図7(b)に示すように、入力領域260に対して、判定条件およびアクションを一体的に定義したルールスクリプトを記述可能なものでもよい。この場合、ユーザが自由にスクリプトを記述することにより、判定条件およびアクションを自由に定義できる。   As an example of another rule registration screen 250, for example, as shown in FIG. 7B, a rule script that integrally defines determination conditions and actions may be described in the input area 260. In this case, determination conditions and actions can be freely defined by the user freely writing a script.

各クライアント4で、これらのルール画面200,250に対してそれぞれ入力された情報は認証サーバ1へ送信される。認証サーバ1では、テーブル登録処理部13がユーザIDに対応するログイン管理情報16のルールテーブル161に登録する。このとき、テーブル登録処理部13は、ルール登録画面200で選択された判定条件およびアクションを、ルールスクリプトに変換してからルールテーブル161に登録してもよい。   Information input to each rule screen 200 and 250 in each client 4 is transmitted to the authentication server 1. In the authentication server 1, the table registration processing unit 13 registers in the rule table 161 of the login management information 16 corresponding to the user ID. At this time, the table registration processing unit 13 may convert the determination condition and action selected on the rule registration screen 200 into a rule script and then register them in the rule table 161.

また、テーブル登録処理部13は、クライアント4からの要求に応じて、図8に例示するようなパスワード登録画面300を表示するためのデータを、ネットワークインタフェース部11を介してクライアント4に送信する。   Further, the table registration processing unit 13 transmits data for displaying the password registration screen 300 as illustrated in FIG. 8 to the client 4 via the network interface unit 11 in response to a request from the client 4.

パスワード登録画面300は、正規パスワード、不正パスワード、およびリセットパスワードのそれぞれを入力するための領域310、320、330を有する。各領域310、320、330には複数のパスワードを入力することもできる。クライアント4においてパスワード登録画面300が表示されているときに、ユーザがそれぞれの領域に自らが定めたパスワードを入力する。不正パスワードとしては、例えば、ユーザ本人は決して利用しないパスワードであって、他人が推測しやすいものを設定すると好適である。例えば、あるユーザが自分の生年月日や社員番号などをパスワードに使わないことを決めたようなときに、これらを自分の不正パスワードとして設定すれば、不正アクセスを検出できる可能性が高まる。つまり、ユーザがいくつかのパスワードを試す際でも、自ら設定した不正パスワードについては覚えている可能性が高い。このため、正規ユーザによるアクセスを不正と判定する可能性は低いと考えられる。従って、不正パスワードが入力されたことを検知したときは、そのアクセスが不正アクセスである可能性がかなり高いと考えられるので、このときはシステムを防衛するための所定のアクション(例えば、当該ユーザIDの無効化、監視端末への通報など)を実行するように定めておくことができる。さらに、上記のようなシステム防衛のための所定のアクションが実行されることが定着すると、そのシステムに対する不正アクセスの試み自体が抑制される効果も期待できる。   The password registration screen 300 includes areas 310, 320, and 330 for inputting a regular password, an illegal password, and a reset password. A plurality of passwords can be entered in each of the areas 310, 320, and 330. When the password registration screen 300 is displayed on the client 4, the user inputs his / her own password in each area. As the illegal password, for example, it is preferable to set a password that is never used by the user and can be easily guessed by others. For example, when a user decides not to use his / her date of birth or employee number as a password, setting these as his / her unauthorized password increases the possibility of detecting unauthorized access. In other words, even when a user tries several passwords, there is a high possibility that he / she remembers an illegal password set by himself / herself. For this reason, it is considered that there is a low possibility that access by a regular user is determined to be unauthorized. Therefore, when it is detected that an illegal password has been input, it is highly likely that the access is an unauthorized access. At this time, a predetermined action for protecting the system (for example, the user ID) Invalidation, notification to the monitoring terminal, etc.). Furthermore, if the execution of the predetermined action for system defense as described above is established, it is also possible to expect an effect of suppressing the unauthorized access attempt to the system itself.

各クライアント4で、パスワード登録画面300に対してそれぞれ入力された情報は認証サーバ1へ送信される。認証サーバ1では、テーブル登録処理部13がユーザIDに対応するログイン管理情報16のパスワードテーブル162に登録する。   Information input to the password registration screen 300 in each client 4 is transmitted to the authentication server 1. In the authentication server 1, the table registration processing unit 13 registers in the password table 162 of the login management information 16 corresponding to the user ID.

次に、図9に示すフローチャートに従って、ログイン要求判定処理の処理手順を説明する。   Next, the processing procedure of the login request determination process will be described according to the flowchart shown in FIG.

認証サーバ1は、クライアント4でログイン画面100に対してユーザが入力したユーザIDおよびパスワードに基づいて生成されたログイン要求50を受け付ける(S11)。   The authentication server 1 receives the login request 50 generated based on the user ID and password input by the user on the login screen 100 on the client 4 (S11).

ログイン要求判定部14は、受け付けたログイン要求50に含まれている入力ID51に対応するログイン管理情報16のルールテーブル161を参照して、判定順序161aに従って、ログイン要求50が判定条件161bに合致するかどうかの判定を行う。そして、判定条件161bに合致したときは、それに対応するアクション161cを実行する(S12)。このとき、アクション161cにポイントの加算または減算が定義されているときは、その定義に従ってカウンタ163の累積ポイント数を加減算する。ここで、ログイン要求判定部14は、アクション161cを実行する際に、そのアクション161cに「判定終了」が含まれているかをチェックする(S13)。そして、判定終了が含まれていないときは(S13:No)、ステップS12に戻り、判定順序161aに従ってさらに判定を継続する。判定終了が含まれているときは(S13:Yes)、ログイン要求判定部14はカウンタ163を参照して、累積ポイント数がログイン許可閾値(ここでは0)以下であるかどうかをチェックする(S14)。累積ポイント数が0であるときは(S14:Yes)、ログイン要求判定部14はクライアント4に対してログインを許可を通知する(S20)。この結果、ログインが許可されたユーザは、アプリケーションサーバ2へアクセスして、所定のサービスの提供を受けることができる。   The login request determination unit 14 refers to the rule table 161 of the login management information 16 corresponding to the input ID 51 included in the received login request 50, and the login request 50 matches the determination condition 161b according to the determination order 161a. Judge whether or not. When the determination condition 161b is met, an action 161c corresponding to the determination condition 161b is executed (S12). At this time, when the addition or subtraction of points is defined in the action 161c, the cumulative point number of the counter 163 is added or subtracted according to the definition. Here, when executing the action 161c, the login request determination unit 14 checks whether or not “end of determination” is included in the action 161c (S13). If the determination end is not included (S13: No), the process returns to step S12, and the determination is further continued according to the determination order 161a. When the determination end is included (S13: Yes), the login request determination unit 14 refers to the counter 163 and checks whether the accumulated point number is equal to or less than the login permission threshold (here, 0) (S14). ). When the accumulated number of points is 0 (S14: Yes), the login request determination unit 14 notifies the client 4 of permission to log in (S20). As a result, a user who is permitted to log in can access the application server 2 and receive provision of a predetermined service.

また、累積ポイント数が0でないときは(S14:No)、累積ポイント数が不正判定閾値(ここでは100)以上であるかをチェックする(S15)。そして、累積ポイント数が100以上であるときは(S15:Yes)、ログイン要求判定部14はクライアント4に対してログイン不許可を通知すると共に、監視端末3に対して不正アクセスの検出を通知するためのアラートを発信する(S30)。   If the accumulated point number is not 0 (S14: No), it is checked whether the accumulated point number is equal to or greater than the fraud determination threshold (100 in this case) (S15). When the accumulated number of points is 100 or more (S15: Yes), the login request determination unit 14 notifies the client 4 that login is not permitted and also notifies the monitoring terminal 3 that unauthorized access has been detected. An alert is sent (S30).

さらに、累積ポイント数が100以上でないときは(S15:No)、入力ID51と異なるユーザIDのログイン管理情報16について以下の判定を行う。すなわち、入力ID51と異なるユーザIDを一つ選択する(S16)。そして、選択されたユーザIDのルールテーブル161を参照して、ログイン要求50と合致するルールがあるか判定する。そして、合致するルールがあれば、選択されたユーザIDのログイン管理情報16のログ165に、その旨を示す情報を格納する(S17)。ステップS16,S17の処理を、全ユーザIDに対して実行し(S18)、終了後、ログイン要求判定部14はクライアント4へログイン不許可を通知する(S20)。   Further, when the accumulated point number is not 100 or more (S15: No), the following determination is performed for the login management information 16 having a user ID different from the input ID 51. That is, one user ID different from the input ID 51 is selected (S16). Then, it is determined whether there is a rule that matches the login request 50 with reference to the rule table 161 of the selected user ID. If there is a matching rule, information indicating that is stored in the log 165 of the login management information 16 of the selected user ID (S17). The processes of steps S16 and S17 are executed for all user IDs (S18), and after the completion, the login request determination unit 14 notifies the client 4 that login is not permitted (S20).

上記のログイン判定処理により、ユーザが定義したルールに従ったログイン判定を行うことができる。また、不正らしいアクセスを受けて累積ポイント数が上昇するにつれて、危険度の高まりを検知することができる。さらに、危険度が高まると、正規パスワードが入力されてもそのユーザIDに対するログインを拒否するようになる。   By the login determination process described above, it is possible to perform login determination according to a rule defined by the user. In addition, as the cumulative number of points increases due to unauthorized access, an increase in the degree of risk can be detected. Furthermore, if the degree of risk increases, even if a regular password is entered, login for that user ID is refused.

なお、上記実施形態における累積ポイント数の代わりに、ログインを許可するか禁止するかを示すステータスを保持するようにしてもよい。この場合、ステータスの初期値を「ログイン許可」とし、不正パスワードのログイン要求を受けると、このステータスを「ログイン拒否」に変更し、リセットパスワードのログイン要求を受けると「ログイン許可」に戻すようにする。そして、正規パスワードのログイン要求を受けたときに、ステータスが「ログイン許可」であればログインが許可され、ステータスが「ログイン拒否」であればログインが拒否されるようにしてもよい。   Note that a status indicating whether login is permitted or prohibited may be held instead of the cumulative number of points in the above embodiment. In this case, the initial value of the status is set to “Login Permission”, and when an unauthorized password login request is received, this status is changed to “Login Denied”, and when a reset password login request is received, it is returned to “Login Permission”. To do. When the login request for the regular password is received, the login may be permitted if the status is “login permitted”, and the login may be rejected if the status is “login denied”.

上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。   The above-described embodiments of the present invention are examples for explaining the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.

例えば、上記実施形態では、不正アクセスである危険性をポイントとして数値化して表現しているが、必ずしもこれに限定されない。例えば、不正アクセスである危険性を示す複数のレベルで表してもよい。この場合、累積ポイント数の加減算の代わりに、適当なルールに基づいてレベルを上下させてもよい。   For example, in the above embodiment, the risk of unauthorized access is expressed as a numerical value with the risk as a point, but the present invention is not necessarily limited to this. For example, it may be expressed by a plurality of levels indicating the risk of unauthorized access. In this case, instead of adding or subtracting the accumulated points, the level may be raised or lowered based on an appropriate rule.

また、上記実施形態ではユーザ認証の一例としてログイン要求の判定に適用した場合を説明しているが、本発明のユーザ認証はこれに限定されない。例えば、建物などへの入場規制のための本人確認などのパスワードを用いたユーザ認証一般に適用可能である。   Moreover, although the said embodiment demonstrated the case where it applied to determination of a login request | requirement as an example of user authentication, the user authentication of this invention is not limited to this. For example, the present invention can be applied to general user authentication using a password for identity verification for admission control to a building or the like.

本発明の一実施形態に係るネットワークシステムの全体構成図である。1 is an overall configuration diagram of a network system according to an embodiment of the present invention.

認証サーバ1の詳細な構成を示す図である。It is a figure which shows the detailed structure of the authentication server 1. FIG.

ログイン要求についての説明図である。It is explanatory drawing about a login request | requirement.

ルールテーブルの一例を示す図である。It is a figure which shows an example of a rule table.

パスワードテーブルの一例を示す図である。It is a figure which shows an example of a password table.

ログの一例を示す図である。It is a figure which shows an example of a log.

ルール登録画面の例を示す図である。It is a figure which shows the example of a rule registration screen.

パスワード登録画面の一例を示す図である。It is a figure which shows an example of a password registration screen.

ログイン要求判定処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of a login request determination process.

符号の説明Explanation of symbols

1…認証サーバ、2…アプリケーションサーバ、3…監視端末、4…クライアント、13…テーブル登録処理部、14…ログイン要求判定部、15…記憶装置、16…ログイン管理情報、161…ルールテーブル、162…パスワードテーブル。 DESCRIPTION OF SYMBOLS 1 ... Authentication server, 2 ... Application server, 3 ... Monitoring terminal, 4 ... Client, 13 ... Table registration process part, 14 ... Login request determination part, 15 ... Memory | storage device, 16 ... Login management information, 161 ... Rule table, 162 … Password table.

Claims (4)

不正アクセスの検出を行うログイン要求判定装置であって、
ユーザが入力したユーザIDおよびパスワードを含むログイン要求を受け付ける手段と、
複数のユーザIDのそれぞれについて、各ユーザ自身が定義した、前記ログイン要求を判定するためのユーザID別の複数の判定条件と、前記複数の判定条件のそれぞれに対応づけられたプラスまたはマイナスのポイントとを記憶する手段と、
前記ユーザID別の累積ポイント数を保持する手段と、
前記受付手段が前記ログイン要求を受け付けるごとに、前記記憶手段を参照して、前記受け付けたログイン要求に含まれるログイン要求ユーザIDに対応する前記複数の判定条件に合致するかを判定する手段と、
前記判定の結果、いずれか一以上の判定条件に合致したとき、前記合致した判定条件に対応づけられているプラスまたはマイナスのポイントを、前記保持手段の前記ログイン要求ユーザIDの累積ポイント数に加算または減算するポイント累積手段と、
前記ログイン要求ユーザIDの累積ポイント数が
(1)第1の値以下であるときは、前記受け付けたログイン要求を許可し、
(2)前記第1の値より大きく第2の値以下であるときは、前記受け付けたログイン要求を拒否し、
(3)前記第2の値より大きいときは、前記受け付けたログイン要求を拒否し、かつ、不正アクセスを受けていることを示す情報を出力する
ログイン判定手段と、を備え
前記複数の判定条件の一つは、前記受け付けたログイン要求に含まれるパスワードが、累積ポイントをリセットするためにユーザID別に予め定められているリセットパスワードと合致するかどうかの判定であり、
前記ポイント累積手段は、前記受け付けたログイン要求に含まれるパスワードが、前記累積ポイントリセットパスワードに合致するときは、前記ログイン要求ユーザIDの累積ポイント数を前記第2の値以下に設定するログイン要求判定装置。
A login request determination device that detects unauthorized access,
Means for accepting a login request including a user ID and password entered by the user;
For each of a plurality of user IDs, each user himself / herself defines a plurality of determination conditions for each user ID for determining the login request, and positive or negative points associated with each of the plurality of determination conditions Means for storing
Means for holding a cumulative number of points for each user ID;
Means for referring to the storage means each time the accepting means accepts the log-in request, and determining whether or not the plurality of judgment conditions corresponding to the log-in request user ID included in the accepted log-in request are met;
As a result of the determination, when any one or more determination conditions are met, a plus or minus point associated with the matched determination condition is added to the accumulated point number of the login request user ID of the holding means. Or a point accumulating means to subtract,
When the accumulated point number of the login request user ID is (1) less than or equal to the first value, the accepted login request is permitted,
(2) When the value is greater than the first value and less than or equal to the second value, the accepted login request is rejected,
(3) login determination means for rejecting the accepted login request and outputting information indicating that unauthorized access has been received when greater than the second value ;
One of the plurality of determination conditions is a determination of whether or not the password included in the accepted login request matches a reset password that is predetermined for each user ID in order to reset the accumulated points,
The point accumulating means, when a password included in the accepted log-in request matches the accumulative point reset password, a log-in request determination for setting a cumulative point number of the log-in request user ID to be equal to or less than the second value. apparatus.
前記複数の判定条件のそれぞれに対応づけられているポイントは、それぞれの判定条件に合致するログイン要求が不正アクセスである可能性の高さに応じて定まっている請求項記載のログイン要求判定装置。 The login request determination device according to claim 1, wherein the point associated with each of the plurality of determination conditions is determined according to a possibility that a login request that matches each determination condition is unauthorized access. . 前記複数の判定条件の一つは、前記受け付けたログイン要求に含まれるパスワードが、ログインが許可される正規のパスワードと合致するかどうかの判定であり、
前記ポイント累積手段は、前記受け付けたログイン要求に含まれるパスワードが、前記正規のパスワードに合致するときは、前記ログイン要求ユーザIDの累積ポイント数を第1の値以下に設定する請求項またはに記載のログイン要求判定装置。
One of the plurality of determination conditions is a determination as to whether or not a password included in the accepted login request matches a regular password that allows login,
Said point accumulating means, the password contained in the login request received is, when matching the password of the legitimate claim 1 or 2 to set the accumulated number of points of the login request user ID below a first value The login request determination device described in 1.
前記複数の判定条件の一つ以上は、過去に拒否されたログイン要求の受付または拒否時刻からの経過時間、または、前記過去に拒否されたログイン要求に含まれていたパスワードと、前記判定対象のログイン要求に含まれているパスワードとを対比する対比判定条件である請求項またはに記載のログイン要求判定装置。
One or more of the plurality of determination conditions include acceptance of a login request rejected in the past or an elapsed time from a rejection time, or a password included in the login request rejected in the past, and the determination target login request determination apparatus according to claim 1 or 2 is a comparison determination condition for comparing the password included in the login request.
JP2004182426A 2004-06-21 2004-06-21 User authentication system, login request determination apparatus and method Expired - Fee Related JP4555002B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004182426A JP4555002B2 (en) 2004-06-21 2004-06-21 User authentication system, login request determination apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004182426A JP4555002B2 (en) 2004-06-21 2004-06-21 User authentication system, login request determination apparatus and method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010145601A Division JP4685191B2 (en) 2010-06-25 2010-06-25 User authentication system, login request determination apparatus and method

Publications (2)

Publication Number Publication Date
JP2006004333A JP2006004333A (en) 2006-01-05
JP4555002B2 true JP4555002B2 (en) 2010-09-29

Family

ID=35772663

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004182426A Expired - Fee Related JP4555002B2 (en) 2004-06-21 2004-06-21 User authentication system, login request determination apparatus and method

Country Status (1)

Country Link
JP (1) JP4555002B2 (en)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
JP4848796B2 (en) * 2006-02-28 2011-12-28 株式会社日立製作所 Form output device and form output method
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
JP4967428B2 (en) * 2006-04-10 2012-07-04 株式会社日立製作所 Information processing system with authentication function
JP2008246130A (en) * 2007-03-30 2008-10-16 Sansei R & D:Kk Game machine
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
EP2386973A1 (en) 2010-05-11 2011-11-16 Thomson Licensing Methods, devices and computer program supports for password generation and verification
JP2012037948A (en) * 2010-08-04 2012-02-23 Hitachi Ltd Method for changing device setting
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
KR101366664B1 (en) 2012-03-22 2014-02-25 (주)네오위즈게임즈 Method and server for authenticatiing user in onlie game
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
JP6002609B2 (en) * 2013-03-19 2016-10-05 株式会社エヌ・ティ・ティ・データ Information terminal, control method, control program
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
JP5708842B2 (en) * 2014-02-18 2015-04-30 キヤノンマーケティングジャパン株式会社 Information processing system, information processing apparatus, control method thereof, and program
JP6027577B2 (en) * 2014-07-23 2016-11-16 株式会社三井住友銀行 Authentication system, authentication method, and program
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10124457A (en) * 1996-10-25 1998-05-15 Hitachi Ltd Method for certifying user
JP2000259276A (en) * 1999-03-11 2000-09-22 Matsushita Electric Ind Co Ltd Password controller

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10124457A (en) * 1996-10-25 1998-05-15 Hitachi Ltd Method for certifying user
JP2000259276A (en) * 1999-03-11 2000-09-22 Matsushita Electric Ind Co Ltd Password controller

Also Published As

Publication number Publication date
JP2006004333A (en) 2006-01-05

Similar Documents

Publication Publication Date Title
JP4555002B2 (en) User authentication system, login request determination apparatus and method
US8856892B2 (en) Interactive authentication
US9722996B1 (en) Partial password-based authentication using per-request risk scores
US9092606B2 (en) Biometric sensor for human presence detection and associated methods
US9390249B2 (en) System and method for improving security of user account access
US8549314B2 (en) Password generation methods and systems
US11048792B2 (en) Risk based brute-force attack prevention
KR102024142B1 (en) A access control system for detecting and controlling abnormal users by users’ pattern of server access
US20070022299A1 (en) Password authentication device, recording medium which records an authentication program, and authentication method
US9747429B2 (en) Personal familiarity authentication
US11477190B2 (en) Dynamic user ID
US8452980B1 (en) Defeating real-time trojan login attack with delayed interaction with fraudster
US10110578B1 (en) Source-inclusive credential verification
JP2015207241A (en) user authentication system
EP3874716B1 (en) Detecting and responding to attempts to gain unauthorized access to user accounts in an online system
JP2000132515A (en) Device and method for judging wrong access
JP2012234235A (en) Biometric authentication system and biometric authentication method
JP4685191B2 (en) User authentication system, login request determination apparatus and method
WO2017068714A1 (en) Illegal communication control apparatus and method
RU2303811C1 (en) Remote user authentication method and the system for realization of the method
JP2002073198A (en) Device and method for authentication
WO2022045873A1 (en) System and method for adaptive authentication
JP5688127B2 (en) Transfer processing system and method by action pattern authentication
JP6611249B2 (en) Authentication server and authentication server program
KR102483979B1 (en) System and method for automatic connecting to server through facial recognition

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070313

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100625

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100713

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100715

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130723

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4555002

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140723

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees