JP2000132515A - 不正アクセス判断装置及び方法 - Google Patents
不正アクセス判断装置及び方法Info
- Publication number
- JP2000132515A JP2000132515A JP10302008A JP30200898A JP2000132515A JP 2000132515 A JP2000132515 A JP 2000132515A JP 10302008 A JP10302008 A JP 10302008A JP 30200898 A JP30200898 A JP 30200898A JP 2000132515 A JP2000132515 A JP 2000132515A
- Authority
- JP
- Japan
- Prior art keywords
- information
- unauthorized access
- biometric information
- input
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Human Computer Interaction (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
Abstract
請求行なうサービス提供システムに対する正規ユーザに
なりすましたアタッカの不正アクセスを監視判断して支
援する。 【解決手段】サービス提供システム10が利用者端末1
4から受けた認証請求に基づくID情報及び生体情報を
入力して利用情報記憶部22に記憶し、生体情報入力記
憶部18とID情報入力記憶部20のID情報及び生体
情報と利用情報記憶部28に過去に入力されたID情報
及び生体情報とを照合部24と比較部26で比較照合す
る。制御部28は、比較照合の結果に基づいて不正アク
セス者による認証請求を判断してサービス提供システム
10に通知したり、不正アクセス者の身元情報をロギン
グする。
Description
テムに対するアタッカの不正なアクセスを判断する不正
アクセス判断装置及び方法に関し、特に、ID情報に指
紋や虹彩等の生体情報を組み合わせてサービス提供シス
テムに認証請求を行う際のアタッカの不正アクセスを判
断する不正アクセス判断装置及び方法に関する。
り、コンピュータなどの情報機器が通信回線を介して相
互に接続され、利用者は、遠隔地から様々なサービスを
利用できるようになっいる。
ステム利用時、利用者が正規ユーザであるかどうかをパ
スワードを用いて確かめている。また近年では、指紋や
虹彩などの生体情報を用いて、本人確認する技術が確立
しつつあり、本人確認にこれらの生体情報照合を応用す
ることが考えられる。
うなサービス提供システムにあっては、正規のユーザ以
外に、悪意のある者が手軽に遠隔地から各種の情報機器
に不正にアタックできる可能性がある。例えば、遠隔地
から自分のコンピュータを使って自動的にパスワードを
発見するプログラムを作成できるため、犯罪者にとって
も犯罪しやすい環境が整いつつある。
に対する本人確認のため、IDコードに指紋や虹彩など
の生体情報を組み合わせてセキュリティを高めている
が、正規ユーザの生体情報を不正に入手できれば、ID
コードを変えながら生体情報を連続入力するといった手
法でアタックされる可能性がある。
合にも、ますます、犯罪者からのアタックを意識したシ
ステムを構築する必要がある。
を使用したサービス提供システムに対し、正規ユーザに
なりすました不正アクセス者のアタックを監視判断して
システムを支援する不正アクセス判断装置及び方法を提
供することを目的とする。
図である。
提供システム10が利用者端末14から受けた認証請求
に基づくID情報30及び生体情報32を入力して記憶
する記憶部、記憶部に入力されたID情報及び生体情報
と過去に入力されたID情報及び生体情報と比較照合す
る比較照合部、及び比較照合部の出力に基づいて不正ア
クセス者による認証請求を判断してサービス提供システ
ム10に通知する制御部28とを設けたことを特徴とす
る。
生体情報を用いてシステムに対し本人確認のための認証
請求を行った際に、保存している過去に行われた認証要
求のID情報と生体情報と比べ、アタッカによる不正な
アクセスかどうかを推測判断することを基本とする。も
し不正にシステムに侵入しようとしているアタッカから
の攻撃の可能性があると判断した場合には、サービス提
供システムに不正アクセスであることを通知し、サービ
ス提供を拒否させることで侵入を防ぐ。
利用者から受けた認証請求に基づくID情報及び生体情
報を入力して一時記憶する入力記憶部18,20と、図
1(B)のように、過去にサービス提供システムが利用
者から受けた認証請求に基づくID情報及び生体情報を
保存記憶する利用情報記憶部22を備える。
情報や偽造した生体情報を使用し、これにID情報をラ
ンダムに組み合わせて認証請求を次々と発信してシステ
ムに侵入しようとする。このためアタックの形態は、次
の3つに分類できる。
情報を次々と変えてアタックする。
情報を次々と変えてアタックする。
両方を次々と変えてアタックする。
態に対応する不正アクセスの判断ルールとして次のもの
を備える。
部の出力によりID情報が不一致で生体情報が一致して
いる場合に、不正アクセス者による認証請求と判断す
る。これは、アタック形態1であり、アタッカが偽造し
た生体情報や自分の生体情報を使用し、複数利用者のI
D情報に組み合わせて認証請求を行った場合である。例
えば生体情報に指紋を用いている場合には、アタッカ
は、利用者のID番号を入力し、指を指紋スキャナに押
すという動作を繰り返している。
部の出力によりID情報が一致して生体情報が不一致の
場合に、不正アクセス者による認証請求と判断する。こ
れはアタック形態2であり、アタッカが偽造した生体情
報や自分の生体情報を使用し、特定のID情報に組み合
わせて認証請求を行った場合である。例えば生体情報に
指紋を用いている場合には、アタッカは、同一のID番
号を入力し、指を変えながら指紋スキャナに押すという
動作を繰り返している。
部の出力によりID情報が不一致で生体情報が一致する
場合、或いは、ID情報が一致して生体情報が不一致の
場合に、不正アクセス者による認証請求と判断する。こ
れはアタック形態3であり、アタッカが偽造した生体情
報や自分の生体情報を使用し、複数利用者のID情報に
組み合わせて認証請求を行った場合である。例えば生体
情報に指紋を用いている場合には、アタッカは、指を変
えながら指紋スキャナに押すという動作を、利用者のI
D番号を変えながら繰り返している。
たID情報及び生体情報に対応して、送信元となる電話
番号やネットワークアドレス等の端末位置及び入力時刻
を記憶し、制御部は、同一端末から新たに入力したID
情報と、過去の所定時間内に同一端末から入力されたI
D情報と比較した結果が不一致の場合、不正アクセス者
による認証要求と判断する。
て、自動的に大量の認証請求を集中して行うことに着目
したものであり、過去に入力した生体情報との照合を行
わずに不正使用の判断ができる。
ID情報に対し過去のID情報が連番になっているか否
か判定し、連番を判定した際には所定回数目で不正アク
セス者による認証請求と判断する。
ている場合は、一層アタッカからの攻撃の可能性が高
い。アタッカがコンピュータを使って順番に攻撃してい
ることが考えられるからである。したがって、入力され
るIDが連番であるかどうか調べると、アタッカからの
攻撃であることの確信が持て、不正アクセスかどうかの
確からしさが向上する。
生体情報と過去に入力した生体情報が一致した際に、生
体情報が一致しID情報が異なる組合せを検出し、この
組合せ数が所定数に達した時に、不正アクセス者による
認証請求と判断する。
したのではなく、正規の利用者が単にID情報を入力し
間違える場合もある。そこで所定の回数、例えば3回ま
ではID情報を再入力できるようにし、ID情報の入力
し間違いを不正アクセスと誤認することを回避する。
入力したID情報とを比較して一致又は不一致を出力す
るID情報比較部24と、入力した生体情報と過去に入
力した生体情報とを比較し、所定の一致度以上の値が得
られた場合に生体情報の一致を出力し、所定の一致度未
満の値が得られた場合に生体情報の不一致を出力する生
体情報照合部26とで、ID情報と生体情報の比較照合
を個別にできるようにしている。
間を計測する時計部を設け、時計部で計測した時間情報
に基づき、記憶されてから所定時間が経過した過去に入
力したID情報及び生体情報を消去して比較照合の対象
から除外する。
たのではなく、単にID情報を入力し間違える場合、い
つまでもその事実を保存記憶しておくと、正規のユーザ
本人であるにも関わらず、不正アクセスと判定されてア
クセスできない状況が発生し得る。そこで、記憶保存に
時間制限を行って所定時間が経過したら消去し、不正ア
クセスと誤認される状況を回避する。
撃を行うので、保存記憶に時間制限を行ってもアタッカ
の不正アクセスを判断するための保存記憶は十分に得ら
れる。このため正規のユーザが何回もID情報を入力し
間違えても、システムを利用できる。更に、保存記憶の
時間が制限されることで、過去に入力したID情報及び
生体情報の記憶量が制限され、新たに入力したID情報
及び生体情報との照合比較の負担が低減する。
体情報と共に送信元となる電話番号やネットワークアド
レス等の端末位置を記憶し、比較照合部は、入力したI
D情報及び生体情報を、同じ端末位置から過去に入力し
たID情報及び生体情報と比較照合する。
情報を用いて、特定の端末から総当たり攻撃を行ってく
る場合がある。この場合、過去に入力されたID情報及
び生体情報の全てと比較照合することは大きな負担にな
る。そこで、ID情報と生体情報の比較照合を行う端末
を、現在、入力を行っている特定の端末に絞ることで、
比較照合の負担を減らす。
不正アクセス者の情報を記録するログ記録部を設ける。
ログ記録部には、不正アクセス者の生体情報、不正アク
セス者の電話番号もしくはネットワークアドレス等の端
末位置、及び不正アクセスの対象となったID情報の少
なくともいずれかを記録する。
難であることを考えると、用いられた生体情報はアタッ
カのものである確率が高く、これをロギングすることで
犯罪装置の手掛かりとでき、不正アクセス者の特定や証
拠に活用できる。
とで、犯罪捜査の手掛かりとなる他、アタッカからの攻
撃時にログ記録部を参照して端末を積極的に調べること
ができる。更に攻撃対象となったID情報の記録保存に
より、再攻撃に対してのセキュリティ対策に役立てるこ
とができる。
端末アドレス毎に認証請求の回数を記録する認証請求端
末アドレス記録部と、認証請求端末アドレスの参照によ
り所定時間内に所定回数以上の認証請求が行われたこと
を検知し、比較照合部及び制御部を起動して不正アクセ
スを判断させる同一端末アクセス検知部とを設ける。
同一端末からの認証請求の回数を検知した場合にのみ、
ID情報と生体情報の比較照合に基づく不正アクセスの
判断を起動するもので、不正判断の処理負担を減らすこ
とができる。
としては、指紋、声紋、虹彩パターン、網膜血管パター
ン、掌形、耳形、顔、署名等を用いる。これらの生体情
報は人に固有のものと仮定でき、ID情報が異なるのに
も関わらず生体情報が同じであるということは発生しな
いと仮定して不正アクセスを判断する。
請求を判断した際に、サービス提供システム10の管理
者に判断結果を自動通知する。制御部28による管理者
への自動通知は、固定電話、携帯電話、電子メール、専
用通信回線、警告灯などを用いて通知する。
合、その事実をシステム側からシステム管理者側に通知
することで、システム管理者は、常にシステムを監視し
ている必要はなく、管理者側の管理負担が軽減される。
自動通知には広く普及している電話や電子メールを用い
ることで、コストが削減できる。
供するものであり、サービス提供システムが利用者から
受けた認証請求に基づくID情報及び生体情報を入力し
て記憶する記憶過程;入力されたID情報及び生体情報
と過去に入力されたID情報及び生体情報と比較照合す
る比較照合過程;前記比較照合過程の出力に基づいて不
正アクセス者による認証請求を判断して前記サービス提
供システムに通知する判断制御過程;を備える。この不
正アクセス判断方法の詳細は、装置構成と基本的に同じ
になる。
断装置の第1実施形態のブロック図である。
の判断対象となるサービス提供システム10は、例えば
インターネットやイントラネット等のネットワーク12
を介してユーザ端末14からのサービス要求を受け、ユ
ーザが要求したサービスをオンラインで提供している。
ンライン検索機能を備えたデータベースシステム等の適
宜のサービスを提供するシステムであり、例えば百万人
を越える膨大な数の正規ユーザが利用するシステム等で
ある。
ユーザ端末14からのアクセスで利用する場合には、ユ
ーザはサービス提供システム10側に予め登録されたI
D情報30とユーザに固有の生体情報(LB情報)32
を入力し、ユーザ端末14からネットワーク12を経由
してサービス提供システム10に対し正規ユーザである
ことを確認するための認証請求(本人確認の認証請求)
を行う。
体情報32としては指紋を例に説明するが、これ以外に
虹彩、声紋、網膜血管分布、署名等の生体情報を用いる
ことができる。また生体情報の種類は、サービス提供シ
ステム10側に設けられている生体情報照合システムに
よって異なるが、例えば指紋なら指紋画像や指紋画像か
ら抽出された生体キー情報を用いる。
32は、ユーザがサービス提供システム10の利用申込
みを行った際に、サービス提供システム10側に予め登
録されている。このため、ユーザがID情報30と生体
情報32を入力してユーザ端末14からサービス提供シ
ステム10に対し認証請求を行うと、サービス提供シス
テム10側において認証請求のあったID情報30に対
応して予め登録している生体情報32を読み出し、入力
した生体情報32と登録済みの生体情報を照合し、所定
値以上の一致度が得られたときに生体情報は同じもの
(照合一致)とし、認証請求のあったユーザ端末14に
対しサービス提供システム10の利用を許可する。
情報32の組合せを用いたサービス提供システム10に
対し、アタッカによる不正アクセスを判断するため、本
発明の不正アクセス判断システム16が支援装置として
設けられている。不正アクセス判断システム16は、生
体情報入力記憶部18、ID情報入力記憶部20、利用
情報記憶部22、生体情報照合部24、ID情報比較部
26及び制御部28で構成される。
憶部20には、サービス提供システム10に対しユーザ
端末14よりID情報30と生体情報32を使用した認
証請求があった際に、サービス提供システム10に入力
された生体情報32及びID情報30のそれぞれを一時
的に入力記憶する。
ステム10に対するユーザ端末14からの認証請求で過
去に入力されたID情報と生体情報がペアで記憶保存さ
れている。
容である。利用情報記憶部22は、ID情報記憶領域2
2−1と生体情報記憶領域22−2をもち、ID情報と
生体情報をペアにして例えば(ID01,LB01)
(ID05,LB05),・・・のように保存記憶して
いる。利用情報記憶部22の記憶領域は、例えば16進
のアドレス0000〜FFFFで決まるメモリ容量を持
っており、このため最新に入力されたID情報と生体情
報のペアを物理的なメモリ容量で決まる固定数分だけ記
憶することになる。
4は、生体情報入力記憶部18に生体情報の入力記憶が
あったとき、利用情報記憶部22に保存記憶している過
去に入力した生体情報との照合を行う。この生体情報の
照合は、入力した生体情報と過去に入力した生体情報と
の一致度を求め、一致度が所定値以上であれば照合一致
の出力を生じ、一致度が所定値未満であれば照合不一致
の出力を生ずる。
部20にID情報が入力されると、利用情報記憶部22
に保存記憶している過去に入力したID情報との比較を
行い、一致または不一致の比較出力を生ずる。
26による生体情報及びID情報の照合比較の処理は、
サービス提供システム10に対するユーザ端末14から
のID情報と生体情報の入力に基づくことから、同時に
照合比較の処理動作が行われる。
結果とID情報比較部26の比較結果を受け取り、アタ
ッカからの攻撃による不正アクセスかどうかを判断し、
判断結果をサービス提供システム10に通知する。
一致している場合に、不正アクセス者による認証請求と
判断; 判断ルール2 比較照合結果によりID情報が一致して生体情報が不一
致の場合に不正アクセス者による認証請求と判断; 判断ルール3 比較照合結果によりID情報が不一致で生体情報が一致
する場合、あるいはID情報が一致して生体情報が不一
致の場合に、不正アクセス者による認証請求と判断;の
3つが基本的にある。
が判断する不正アクセスとそのときの利用情報記憶部2
2の記憶内容である。図4の不正アクセス25−1は、
アタッカが自分自身の指紋あるいは偽造した指紋による
1つの生体情報LB1を使ってID情報をID1,ID
2,ID3,ID4と変えながらアタックした場合であ
る。具体的には、アタッカは正規ユーザのID番号を入
力し、指を指紋スキャナに押す動作を繰り返している。
カによる不正な認証請求に対し、本発明の不正アクセス
判断システム16の利用情報記憶部22には、不正アク
セス25−1の入力時刻t1〜t4に対応して、入力し
たID情報と生体情報のペア(ID1,LB1)(ID
2,LB1)(ID3,LB1)(ID4,LB1)が
保存記憶される。
1は、時刻t1〜t4のように連続的に行われるが、そ
の間に他の正規ユーザからの認証請求も受け付けること
から、利用情報記憶部22には不正アクセス25−1に
対応した保存記憶が図示のように離散的に行われること
になる。
数のID情報を組み合わせて不正な認証請求を行った場
合、本発明の制御部28にあっては判断ルール1を適用
する。判断ルール1は比較照合結果に基づき、ID情報
が不一致で生体情報が一致している場合に、不正アクセ
ス者による認証請求と判断する。この判断ルール1によ
る図4の不正アクセス25−1に対する判断処理は次の
ようになる。
ペア(ID1,LB1)については、利用情報記憶部2
2の記憶保存ペアとの比較照合を行っても、該当するペ
アがないことからID情報及び生体情報の両方が不一致
となる。
る入力ペア(ID2,LB1)が入力すると、このとき
時刻t1の不正入力したペア(ID1,LB1)は利用
情報記憶部22に既に保存記憶されているため、時刻t
2で入力した不正入力ペアと時刻t1で入力して既に保
存している保存ペアとの比較照合により、ID情報が不
一致で生体情報が一致して判断ルール1の条件が成立す
る。
るペア(ID2,LB1)が入力した時点で、本発明の
制御部28は判断ルール1に従って不正アクセス者によ
る認証請求と判断する。
3,LB1)の入力については、利用情報記憶部22に
時刻t1,t2で保存した2つの保存ペア(ID1,L
B1)(ID2,LB1)との間で、ID情報が不一致
で生体情報が一致する判断ルール1の条件が成立し、2
回分の不正アクセスが判断できる。
(ID4,LB1)の入力については、利用情報記憶部
22の過去に入力した時刻t1〜t3の3つの保存ペア
との間の比較照合で3回分の不正アクセス者による認証
請求が判断される。
ル2が適用される不正アクセスとそのときの利用情報記
憶部22の内容である。判断ルール2は、比較照合結果
によりID情報が一致して生体情報が不一致の場合に不
正アクセス者による認証請求と判断する。
生体情報や自分の生体情報を使用し、特定のID情報に
組み合わせて認証請求を行った場合を想定している。例
えば、図5の不正アクセス25−2のように、アタッカ
が特定のID情報としてID1を使用し、これにアタッ
カが自分の生体情報や偽造した生体情報LB1,LB
2,LB3,LB4を組み合わせて認証請求を行った場
合である。具体的には、アタッカは同一のID番号を入
力し、指を変えながら指紋スキャナを押すというような
動作を繰り返している。
体情報を変えながら認証請求を行う不正アクセス25−
2があると、これに対応して利用情報記憶部22には離
散的に不正アクセスの入力ペアが保存記憶される。
て、判断ルール2による不正アクセスの判断は次のよう
になる。まず最初の時刻t1の不正アクセスのペア(I
D1,LB1)の入力にあっては、利用情報記憶部22
には不正アクセスに対応する保存ペアはないため、ID
情報及び生体情報の両方について比較照合結果が不一致
となり、判断ルール2による不正アクセスは判断できな
い。
るペア(ID1,LB2)が入力すると、このとき利用
情報記憶部22には時刻t1に入力して保存された保存
ペア(ID1,LB1)があるため、両者の比較照合に
よりID情報が一致して生体情報が不一致となる判断ル
ール2の条件が成立し、不正アクセス者による認証請求
と判断する。
ついても、それ以前に不正アクセスによる保存ペアがあ
ることから、同様に判断ルール2に従って不正アクセス
者による認証請求と判断し、時刻t3の場合は不正アク
セスの判断回数が2回分、時刻t4にあっては3回分と
なる。
を判断する判断ルール3の対象となる不正アクセスとそ
のときの利用情報記憶部22の説明図である。判断ルー
ル3は、図4の判断ルール4と図5の判断ルール2が想
定している不正アクセスが混在した場合に対応する。即
ち判断ルール3は、比較照合結果によりID情報が不一
致で生体情報が一致する場合、あるいはID情報が一致
して生体情報が不一致の場合に、不正アクセス者による
認証請求と判断する。
が複数のID情報としてID1,ID2,ID3の例え
ば3つを準備し、更に生体情報として自分の指紋や偽造
した指紋LB1,LB2,LB3の3つを準備し、これ
らを組み合わせたペアを使って時刻t1〜t9のように
認証請求を行うアタックを行った場合である。
証請求の入力ペアがあった場合の判断ルール3による不
正アクセスの判断は、次のようになる。
3のペア(ID1,LB1)(ID2,LB2)(ID
3,LB3)にあっては、それぞれの入力時点での利用
情報記憶部22の保存ペアとの比較ではID情報及び生
体情報の両方について不一致となり、既に説明した判断
ルール1,2はもちろんのこと、この場合の判断ルール
3による不正アクセスも判断できない。
合せのペア(ID1,LB3)を不正アクセスで入力す
ると、このとき利用情報記憶部22に記憶している時刻
t3の保存ペア(ID3,LB3)と時刻t4の入力ペ
ア(ID1,LB3)との間で、既に説明した判断ルー
ル1の「ID情報が不一致で生体情報が一致する」の条
件が成立し、不正アクセス者による認証請求と判断でき
る。
1)と時刻t4の入力ペア(ID1,LB3)との間
で、既に説明した判断ルール2の「ID情報が一致して
生体情報が不一致」とする条件が成立し、同様に不正ア
クセス者による認証請求と判断できる。
アクセス25−3のようなID情報と生体情報の両方を
変えながらアタッカが不正な認証請求を行った場合、あ
る入力時点で判断ルール1と判断ルール2の両方による
不正アクセスの判断結果が同時に得られる。
入力ペアについても同様である。更に時刻t7〜t9の
不正アクセスの入力ペアについては、利用情報記憶部2
2の時刻t1〜t3と時刻t4〜t6の中に2個ずつ同
じID情報と生体情報が存在することから、例えば時刻
t2の不正アクセスによる入力ペア(ID1,LB2)
については、判断ルール1と判断ルール2の各々による
2回分の不正アクセスの判断結果が得られ、このため合
計4つの不正アクセスの判断結果が同時に得られる。こ
の点は時刻t8,t9の不正アクセスの入力ペアについ
ても同様である。
セスに対する判断ルール1〜3の使い方としては、生体
情報が偽造しにくい場合についてはアタッカは同じ生体
情報を使ってID情報を変えてくることから、判断ルー
ル1を使用すればよい。
場合については、ID情報が一致して生体情報が不一致
の場合に不正アクセスと判断する判断ルール2を適用す
ればよい。もちろん最も強力な判断ルールは、ID情報
及び生体情報の両方を変えてくる場合に対応した判断ル
ール3である。
16の第1実施形態における不正アクセス判断処理のフ
ローチャートであり、制御部28の判断ルールとしては
図6に示した判断ルール3を適用している。
ス提供システム10に対するユーザ端末からの認証請求
があると、この認証請求に伴って受信されたID情報と
生体情報がステップS1で取得され、生体情報入力記憶
部18及びID情報入力記憶部20のそれぞれに記憶さ
れる。
情報と利用情報記憶部22に記憶保存している全ての生
体情報を照合する。次にステップS3で、入力記憶した
ID情報と利用情報記憶部22に記憶保存している全て
のID情報を比較する。このステップS2,S3の生体
情報の照合及びID情報の比較による結果は制御部28
に通知され、ステップS4,S5で判断ルール3に従っ
た比較照合結果の判定が行われる。
定であり、生体情報が一致しID情報の異なるものかど
うかチェックする。このステップS4の条件が成立する
と、ステップS6に進み、アタッカからの攻撃と判断し
てサービス提供システム10に通知する。
たID情報が一致し生体情報の異なるものがあるか否か
チェックする。このステップS5の条件が成立すると、
ステップS6に進み、アタッカからの攻撃と判断してサ
ービス提供システム10に通知する。一方、ステップS
4の判断ルール1の条件が成立し且つステップS5で判
断ルール2の条件も成立しなかった場合には、ステップ
S7で正常利用と判断してシステムに通知する。
らアタッカからの攻撃である旨の通知を受けたサービス
提供システム10は、そのとき入力しているID情報と
生体情報と予め登録しているID情報の生体情報との間
で照合一致が万が一得られていたとしても、例えばユー
ザ側に対し通常の認証以外の他のユーザ情報例えば生年
月日等の入力を要求し、不正アクセスに対する防衛措置
をとるようになる。
知された不正アクセスの内容が、例えば図6の不正アク
セス25−3のように明らかにアタッカによる攻撃であ
ることが分かっている場合には、ユーザに対し警告を発
してサービス提供を拒否する。即ちサービス提供システ
ム10は、本発明による不正アクセス判断システム16
から不正アクセス者による認証請求である旨の通知を受
けることで、不正アクセスの内容に対応した適切な防衛
措置を迅速にとることができる。
ップS8にあっては、ステップS1で生体情報入力記憶
部18及びID情報入力記憶部20に一時的に入力記憶
した生体情報とID情報を、利用情報記憶部22に記憶
して保存する。
れば、最も旧い保存ペアを証供してあらみたな入力ペア
を記憶する。
第2実施形態のブロック図である。この第2実施形態に
あっては、図2の不正アクセス判断システム16に更に
ログ記録部34を設けたことを特徴とする。それ以外の
構成は図2の実施形態と同じである。
カからの攻撃による不正アクセスと判断された場合に、
不正アクセス者の身元に関する情報を記録する。ログ記
録部34に記録する情報としては 不正アクセス時の生体情報 不正アクセスの入力時刻 不正アクセスの電話番号もしくはネットワークアドレ
ス 不正アクセスの対象となったID情報 等を記録する。ここで、不正アクセスを行ったユーザ端
末の電話番号もしくはネットワークアドレスは、サービ
ス提供システム10に設けているネットワーク通信部の
例えばプロトコル層から収集することが可能である。
アクセス判断処理のフローチャートである。図9におい
て、ステップS1〜S6の生体情報とID情報の入力記
憶に対する保存情報との比較照合による不正アクセスの
判断は、図7のフローチャートと同じであるが、ステッ
プS6でアタッカからの攻撃と判断してサービス提供シ
ステム10に通知した後にステップS7で不正アクセス
と判断されたとき、入力記憶した生体情報と時間を例え
ばログ記憶部34に記憶している。
は、ログ記録部34に不正アクセスと判断されたときの
生体情報や時刻等を記録してアタッカ自身の身元情報を
残しておくことにより、後の犯罪捜査でアタッカがだれ
であるかを証明すること等が可能となる。
の第3実施形態のブロック図である。この第3実施形態
にあっては、図8の第2実施形態の不正アクセス判断シ
ステム16に、更に時計部36と電子メール発行部38
を設けたことを特徴とし、それ以外の構成は図2の実施
形態と同じである。
日、時、分」を計測して保持し、この時刻情報を利用情
報記憶部22及び制御部28に通知する。制御部28
は、時計部36からの時刻情報に基づいて利用情報記憶
部22の保存内容を制御しており、記憶されてから所定
時間を過ぎたID情報と生体情報の保存ペアを消去す
る。
してから一定時間内の過去に入力したID情報と生体情
報のペアのみが保存記憶されていることとなり、ユーザ
端末14からの認証請求に伴うサービス提供システム1
0からの生体情報及びID情報の入力を受けた際の生体
情報照合部24及びID情報比較部26による過去の保
存情報との照合比較の数を制限でき、不正アクセス判断
システム16における判断処理の負担を軽減することが
できる。
する過去に入力したID情報と生体情報のペアを制限し
ても、通常、アタッカからの攻撃は短時間に連続して行
われることが多いことから、アタッカによる不正アクセ
スを判断する上で支障は起きない。
子メール発行部38を設けたことで、制御部28は、ア
タッカからの攻撃による不正アクセスと判断した場合、
アタッカによる不正アクセスがあった事実を電子メール
発行部38に通知する。
ステム10がアタッカに攻撃された事実を知らせる電子
メールを作成し、メールシステム40に作成した電子メ
ールを投函し、LANやWAN等のネットワークを経由
してシステム管理者端末44に電子メールを送信する。
これによってシステム管理者は、サービス提供システム
10に対しアタッカによる攻撃があったことを直ちに知
ることができる。
提供システム10のログをチェックするなどして常に不
正アクセスに対するシステムの状態を監視する必要がな
くなり、システム管理者の負担を大幅に軽減し、且つア
タッカの攻撃に対しシステム管理者は直ちに適切な対応
策をとることができる。
記憶内容であり、ID情報記憶領域22−1、生体情報
記憶領域22−2に加え、時刻情報記憶領域22−3を
設けており、時刻情報記憶領域22−3には例えばアド
レス「0000h」のように、「年、月、日、時、分」
である9809170935が格納されている。
22にID情報と生体情報のペアと共に記憶された時刻
情報を利用して、記憶から所定時間を過ぎた保存ペアを
消去する記憶制御を行っている。
レス「8000h」に保存記憶が行われたとすると、制
御部28は例えば所定時間T=60分を記憶保存時間と
して設定しており、現在時刻tnより所定時間T=60
分前がアドレス「0001h」の時刻tn−1の記憶内
容であったとすると、それ以前のアドレス「0000
h」の時刻tn−2の記憶内容を消去する。
刻tnからT=60分の間に記憶されたID情報と生体
情報のペアが時刻情報と共に保存されるだけであり、利
用情報記憶部22の保存記憶量を不正アクセスに必要な
適正量に制限し、入力した生体情報とID情報と、利用
情報記憶部22に保存記憶された生体情報とID情報と
の比較照合の処理負担を低減することができる。
不正アクセス判断処理のフローチャートである。図12
において、ステップS1〜ステップS6までの入力記憶
した生体情報とID情報を保存記憶した生体情報とID
情報と比較照合して不正アクセスかどうか判断する処理
は、図9の第2実施形態のフローチャートと同じであ
る。
プS6でサービス提供システム10にアタッカからの攻
撃である旨を通知した場合、ステップS7で制御部28
は電子メール発行部38にアタッカに攻撃された事実を
通知し、システム管理者44に対し電子メールを発行す
る。
8は時計部36から与えられた現在時刻の時刻情報と図
11のように利用情報記憶部22に記憶している時刻情
報を用いて、記憶されてから所定時間が経過した生体情
報とID情報の保存ペアを消去する。
S10で、そのとき生体情報入力記憶部18及びID情
報入力記憶部20に一時的に入力記憶している入力した
ID情報と生体情報のペアを、時計部36から得られて
いる時刻情報と共に利用情報記憶部22に記憶して保存
する。
の第4実施形態のブロック図である。この第4実施形態
にあっては、図10の第3実施形態に対し更に、端末ア
ドレス記憶部48と同一端末アクセス検知部50を設け
ている。また図10の電子メール発行部38に代えて、
アラーム信号発行部54を設けている。それ以外の点は
図10の第3実施形態と同じである。
システム10に対しユーザ端末14よりID情報と生体
情報のペアを使用した認証請求があった際に、認証請求
を行ったユーザ端末14の電話番号やネットワークアド
レスを記憶する。
きの電話番号やネットワークアドレスは、サービス提供
システム10に設けているネットワーク通信部52から
得られる。具体的には、ネットワーク通信部52のプロ
トコル層における受信パラメータとして電話番号やネッ
トワークアドレスを取得することができる。
8の記憶内容を利用情報記憶部22と共に示している。
図14の端末アドレス記憶部48は、図6の不正アクセ
ス25−3のように、アタッカがID情報と生体情報の
両方を変えながら攻撃した場合のアタッカが使用したユ
ーザ端末の端末アドレスを時刻t1〜t5について記憶
したもので、同じ端末アドレスA1が記憶されている。
アクセス25−3の時刻t1〜t6の不正アクセスによ
るID情報と生体情報の入力ペアに対応した保存ペア
が、時刻情報t1〜t5と共に記憶されている。
ス検知部50は、端末アドレス記憶部48を参照し、
「所定時間内に同一端末位置から所定回数以上の認証請
求がある」の条件が成立するか否か検知する。この条件
成立を検知すると、制御部28に対し不正アクセス判断
のための処理要求を行う。
例にとると、同一端末アクセス検知部50は新たな認証
請求の入力時刻から過去所定時間T1、例えばT1=1
5分以内に、同一端末アドレスから所定回数N回以上例
えばN=5回以上の認証請求があったか否かチェックし
ている。
=15分以内に同じ端末アドレスA1より5回の認証請
求があることから、このとき同一端末アクセス検知部5
0は制御部28に対し不正アクセスの判断処理を要求す
る。
4及びID情報比較部26を起動し、時刻t5の入力ペ
ア(ID2,LB2)を、それまでに記憶している保存
ペアと比較照合する。この場合、利用情報記憶部22に
示している時刻t1,t2,t3,t4の保存ペアとの
間で、図6の判断ルールが成立して不正アクセス者によ
る認証請求であることが判断される。
一端末からの認証請求の回数Nを判断するための一定時
間T1は、アタッカによる攻撃が短時間に連続して行わ
れることから、長くても30分から1時間程度の時間で
十分である。
はN=5回を例にとっているが、正規のユーザによるI
D情報の入力ミスによるやり直しを何回許容するかによ
って、不正アクセスの処理要求を行う同一端末アクセス
からのアクセス回数Nを決めればよい。例えば図14の
場合には、N=5回で不正アクセスの判断要求を行って
いることから、4回までは正規ユーザによるID情報の
入力ミスによるやり直しを許容していることになる。
生部54は制御部28で不正アクセス者による認証請求
と判断された場合、アタッカによる攻撃が行われた事実
をシステム管理者に知らせるため、アラーム信号をネッ
トワーク42を経由してシステム管理者端末44に通知
してアラームを出させる。
28で不正アクセス者による認証請求と判断されたとき
の生体情報入力記憶部18及びID情報入力記憶部20
に一時記憶されている生体情報及びID情報の他に、端
末アドレス記憶部48からユーザ端末の電話番号やネッ
トワークアドレスを記録し、更に時計部36からの時刻
情報も記録する。
正アクセス判断処理のフローチャートである。図15に
おいて、ステップS1でサービス提供システム10がユ
ーザ端末14から受信した生体情報とID情報を取得し
て、生体情報入力記憶部18及びID情報入力記憶部2
0にそれぞれ入力記憶し、更に端末アドレス記憶部48
にそのときネットワーク通信部52から得られた例えば
ユーザ端末14のネットワークアドレスを記録する。
知部50が端末アドレス記憶部48を参照し、同一端末
から所定時間内に所定回数以上の利用要求即ち認証請求
があったか否かチェックする。このステップS2の条件
が得られると、ステップS3〜S7,S9のように、図
3の実施形態と同様な不正アクセスの判断処理が行われ
る。
証請求を判断してサービス提供システムにアタッカから
の攻撃を通知した後、ステップS8でアラーム信号発生
部54からシステム管理者44にアラーム信号を発行
し、サービス提供システム10に対しアタッカから攻撃
があったことを知らせる。
2の記憶から一定時間過ぎた保存内容を消去した後、ス
テップS11で、このとき入力記憶した生体情報とID
情報のペアを時刻情報と共に記憶して、このときの認証
請求に伴う一連の処理を終了する。
6の制御部28において、不正アクセスを判断するため
の判断ルール4,5,6を説明する。
ルール4を使用した場合である。判断ルール4は、同一
端末について新たに入力したID情報と過去の所定時間
内に入力したID情報とを比較した結果が不一致の場
合、不正アクセス者による認証請求と判断する。
合を行っていない点である。このように生体情報の照合
を行わずにID情報から不正アクセスを判断すること
で、不正アクセス判断処理の負担を大幅に減らすことが
できる。
アクセス25−1に示したように、特定のユーザ端末か
ら生体情報を変えずにID情報を変えながら連続的に攻
撃するパターンがある。この図4の不正アクセス25−
1のような攻撃パターンについては、生体情報は同じで
あることから、過去に入力した生体情報と比較せず、I
D情報の変化のみを捉えることで、アタッカによる攻撃
と判断することができる。
図13の第4実施形態のように、端末アドレス記憶部4
8に認証請求を行ったユーザ端末の電話番号やネットワ
ークアドレス等が記憶されている場合に有効である。
セス判断処理を説明すると次のようになる。まずステッ
プS1で、サービス提供システム10が受信した生体情
報とID情報を取得して生体情報入力記憶部18及びI
D情報入力記憶部20に記憶し、更にネットワーク通信
部52から端末アドレス例えばネットワークアドレスを
取得して端末アドレス記憶部48に記憶する。
内に送られたID情報同士を照合する。この場合、図1
4のように、端末アドレス記憶部48において、例えば
現在時刻t5を基準に所定時間T=15分前までの同一
端末アドレスA1に対応する利用情報記憶部22のID
情報を参照する。
25−1のようなパターンを想定していることから、同
一端末アドレスA1の所定時間T1で利用情報記憶部2
2から得られるID情報はID1,ID2,ID3,I
D4,・・・というように異なっている。
否かチェックし、不一致であればステップS4に進み、
アタッカからの攻撃と判断してサービス提供システム1
0に通知する。それ以降の処理は図15のステップS
8,9以降と同じである。
制御部28に判断ルール5を適用した場合の不正アクセ
ス判断処理のフローチャートである。
過去のID情報が連番となっているか否か判定し、連番
を判定した際には所定回数まで不正アクセス者による認
証請求と判断する。
過去に入力したID情報を参照して連番となっている場
合には、一層アタッカからの攻撃である可能性が高い。
これはアタッカがコンピュータを使用してID番号を順
番に変えながら攻撃していることが考えられるからであ
る。したがって、判断ルール5によって入力されるID
番号が連番であるかどうかを調べるとアタッカからの攻
撃であることの確信が持て、これによって不正アクセス
かどうかの確からしさが更に向上する。
セス判断処理を説明すると次のようになる。まずステッ
プS1でサービス提供システム10が受信した生体情報
とID情報を取得して入力記憶する。次にステップS2
で、入力記憶したID情報と利用情報記憶部22に保存
記憶している過去に連続入力した所定数のID情報を比
較する。
ックし、連番であれば、ステップS4で不正アクセス者
によるアタッカからの認証請求による攻撃と判断し、サ
ービス提供システム10に通知する。ステップS5以降
は図16と同じである。
28の不正アクセスの判断に適用される判断ルール6を
用いたフローチャートである。
に入力した生体情報が一致した際に、生体情報が一致し
ID情報が異なるそれ以外の組合せを検出し、この組合
せ数が所定数に達したときに不正アクセス者による認証
請求と判断する。
ール1の変形と言える。即ち図4の判断ルール1にあっ
ては、生体情報が一致しID情報が不一致とする条件が
1つでも成立すると不正アクセス者による認証請求と判
断している。これに対し判断ルール6は、判断ルール1
の条件が所定数以上となったときに不正アクセス者によ
る認証請求と判断する。
クセスしようとしたのではなく、正規のユーザが単にI
D情報を入力し間違えた場合に、誤って不正アクセス者
による認証請求と判断してしまうことを回避するためで
ある。
がアタッカによるものではなく正規のユーザがID情報
の入力ミスをして、やり直した場合であるとする。この
場合、例えば不正アクセスと判断するID番号の相違回
数をN回に設定していたとすると、正規ユーザはN+1
回までID情報の入力ミスが許容される。例えば不正ア
クセスと判断するID情報の不一致数をN=3回に設定
していたとすると、正規ユーザはN+1=4回の入力ミ
スが許容できる。
うに、ユーザが4回連続してID情報の入力ミスを行っ
たとすると、これに対応した利用情報記憶部22の保存
記憶からID情報の不一致数は時刻t1では0回、時刻
t2では1回、時刻t3では2回、時刻t4では3回で
あり、この時点まで正規ユーザの入力ミスが許容され
る。 もう1回ID情報の入力を誤ると、そのときの利
用情報記憶部22の保存ID情報に基づく不一致数は4
回となり、この時点で不正アクセス者による認証請求と
判断される。
判断処理を図18のフローチャートについて説明する
と、次のようになる。まずステップS1でサービス提供
システム10が受信したユーザの認証請求に伴う生体情
報とID情報を取得して入力記憶し、ステップS2で、
入力記憶した生体情報と過去の全ての生体情報を照合
し、ステップS3で生体情報が一致しID情報が異なる
ものがあるか否かチェックする。
S4に進み、該当する組合せは予め定めたN個以上か否
かチェックする。N個未満であれば正規ユーザによるI
D情報の間違いによる再入力と判断し、ステップS7で
正常利用と判断してシステムに通知する。
進み、アタッカからの攻撃と判断してサービス提供シス
テムに通知し、更にステップS6でシステム管理者にア
ラーム信号を発行する。ステップS8,S9は図17の
ステップS7,S8と同じである。
正アクセスの判断に判断ルール1〜6を個別に適用する
場合を例にとっているが、これらの判断ルールを適宜に
組み合わせて不正アクセスを判断するようにしてもよ
い。
紋を例にとるものであったが、これ以外の生体情報であ
る声紋、虹彩パターン、網膜血管パターン、掌形、耳
形、顔等の各個人特有の生体情報についても全く同様に
不正アクセスを判断することができる。
い範囲の適宜の変形を全て含む。更にまた本発明は、上
記の実施形態で示した数値による限定は受けない。
ば、サービス提供システムに入力される認証請求のため
の利用者のID番号と生体情報のペアについて、過去に
入力されたID情報と生体情報の保存ペアと比べること
で、アタッカによる不正アクセスの攻撃が行われている
かどうかを推測判断し、アタッカからの攻撃の可能性が
あると判断した場合には、攻撃対象となっているサービ
ス提供システムにアタッカからの攻撃が行われているこ
とを通知して適切な防衛対策をとらせることができる。
正アクセスと判断した際に、アタッカの身元情報をロギ
ングしていくことで、次のアタッカの攻撃に対する対抗
措置や後の犯罪捜査での有効な手掛かりを与えることが
でき、多数のユーザからのアクセスに対しサービスを提
供するシステムのセキュリティを大幅に高めることがで
きる。
て、その制御部は、不正アクセス者による認証請求を判
断した際に、サービス提供システムの管理者に判断結果
を自動通知することを特徴とする。
て、その制御過程は、不正アクセス者による認証請求を
判断した際に、サービス提供システムの管理者に判断結
果を自動通知することを特徴とする。
比較照合して不正アクセスを判断する本発明の第1実施
形態のブロック図
明図
1が適用される不正アクセスと利用情報記憶部の説明図
2が適用される不正アクセスと利用情報記憶部の説明図
3が適用される不正アクセスと利用情報記憶部の説明図
機能を備えた本発明の第2実施形態のブロック図
機能を備えた本発明の第3実施形態のブロック図
ート
3実施形態のブロック図
部の説明図
求があったときに起動する図14の不正アクセス判断処
理のフローチャート
のみにより不正アクセスを判断する判断ルール4が適用
される図14の不正アクセス判断処理のフローチャート
する判断ルール5が適用される図14の不正アクセス判
断処理のフローチャート
正アクセスによる入力を区別する判断ルール6が適用さ
れる図14の不正アクセス判断処理のフローチャート
25)
に対する本人確認のため、IDコードに諮問や虹彩など
の生体情報を組み合わせてセキュリティを高めている
が、正規ユーザの生体情報を不正に入手できれば、ID
コードを変えながら生体情報を連続入力するといった手
法でアタックされる可能性がある。
難であることを考えると、用いられた生体情報はアタッ
カのものである確率が高く、これをロギングすることで
犯罪捜査の手掛かりとでき、不正アクセス者の特定や証
拠に活用できる。
れば、最も旧い保存ペアを証供して新たな入力ペアを記
憶する。
アクセス判断処理のフローチャートである。図9におい
て、ステップS1〜S6の生体情報とID情報の入力記
憶に対する保存情報との比較照合による不正アクセスの
判断は、図7のフローチャートと同じであるが、ステッ
プS6でアタッカからの攻撃と判断してサービス提供シ
ステム10に通知した後にステップS7で不正アクセス
と判断されたとき、入力記憶した生体情報と時間を例え
ばログ記録部34に記憶している。
ステム10がアタッカに攻撃された事実を知らせる電子
メールを作成し、メールシステム40に作成した電子メ
ールを投函し、LANやWAN等のネットワークを経由
してシステム管理者44に電子メールを送信する。これ
によってシステム管理者は、サービス提供システム10
に対しアタッカによる攻撃があったことを直ちに知るこ
とができる。
生部54は制御部28で不正アクセス者による認証請求
と判断された場合、アタッカによる攻撃が行われた事実
をシステム管理者に知らせるため、アラーム信号をネッ
トワーク42を経由してシステム管理者44に通知して
アラームを出させる。
Claims (20)
- 【請求項1】サービス提供システムが利用者から受けた
認証請求に基づくID情報及び生体情報を入力して記憶
する記憶部と、 入力されたID情報及び生体情報と過去に入力されたI
D情報及び生体情報と比較照合する比較照合部と、 前記比較照合部の出力に基づき不正アクセス者による認
証請求を判断して前記サービス提供システムに通知する
制御部と、を設けたことを特徴とする不正アクセス判断
装置。 - 【請求項2】請求項1記載の不正アクセス判断装置に於
いて、前記記憶部は、 サービス提供システムが利用者から受けた認証請求に基
づくID情報及び生体情報を入力して一時記憶する入力
記憶部と、 過去にサービス提供システムが利用者から受けた認証請
求に基づくID情報及び生体情報を保存記憶する利用情
報記憶部と、を備えたことを特徴とする不正アクセス判
断装置。 - 【請求項3】請求項1記載の不正アクセス判断装置に於
いて、前記制御部は、前記比較照合部の出力によりID
情報が不一致で生体情報が一致する場合、或いは、ID
情報が一致して生体情報が不一致の場合に、不正アクセ
ス者による認証請求と判断することを特徴とする不正ア
クセス判断装置。 - 【請求項4】請求項1記載の不正アクセス判断装置に於
いて、 前記記憶部は、過去に入力したID情報及び生体情報に
対応して送信元となる電話番号やネットワークアドレス
等の端末位置及び入力時刻を記憶し、 前記制御部は、前記比較照合部による入力したID情報
と同一端末位置から所定時間内に入力した過去のID情
報と比較結果が不一致の場合、不正アクセス者による認
証請求と判断することを特徴とする不正アクセス判断装
置。 - 【請求項5】請求項1記載の不正アクセス判断装置に於
いて、前記制御部は、入力したID情報に対し過去のI
D情報が連番になっているか否か判定し、連番を判定し
た際には所定回数目で不正アクセス者による認証請求と
判断することを特徴とする不正アクセス判断装置。 - 【請求項6】請求項1記載の不正アクセス判断装置に於
いて、前記制御部は、入力した生体情報と過去に入力し
た生体情報が一致した際に、生体情報が一致しID情報
が異なる組合せを検出し、該組合せ数が所定数に達した
時に、不正アクセス者による認証請求と判断することを
特徴とする不正アクセス判断装置。 - 【請求項7】請求項1記載の不正アクセス判断装置に於
いて、前記比較照合部は、 入力したID情報と過去に入力したID情報とを比較し
て一致又は不一致を出力するID情報比較部と、 入力した生体情報と過去に入力した生体情報とを比較
し、所定の一致度以上の値が得られた場合に生体情報の
一致を出力し、所定の一致度未満の値が得られた場合に
生体情報の不一致を出力する生体情報照合部と、を備え
た特徴とする不正アクセス判断装置。 - 【請求項8】請求項1記載の不正アクセス判断装置に於
いて、更に時間を計測する時計部を設け、前記時計部で
計測した時間情報に基づき、記憶されてから所定時間が
経過した過去に入力したID情報及び生体情報を消去し
て比較照合の対象から除外することを特徴とする不正ア
クセス判断装置。 - 【請求項9】請求項1記載の不正アクセス判断装置に於
いて、 前記記憶部は、過去に入力したID情報及び生体情報と
共に送信元となる電話番号やネットワークアドレス等の
端末位置を記憶し、 前記比較照合部は、入力したID情報及び生体情報を、
同じ端末位置から過去に入力したID情報及び生体情報
と比較照合することを特徴とする不正アクセス判断装
置。 - 【請求項10】請求項1記載の不正アクセス判断装置に
於いて、更に、 端末アドレス毎に認証請求の回数を記録する認証請求端
末アドレス記録部と、 前記認証請求端末アドレスの参照により所定時間内に所
定回数以上の認証請求が行われたことを検知し、前記比
較照合部及び制御部を起動して不正アクセスを判断させ
る同一端末アクセス検知部と、を設けたことを特徴とす
る不正アクセス判断装置。 - 【請求項11】サービス提供システムが利用者から受け
た認証請求に基づくID情報及び生体情報を入力して記
憶する記憶過程と、 入力されたID情報及び生体情報と過去に入力されたI
D情報及び生体情報と比較照合する比較照合過程と、 前記比較照合過程の出力に基づいて不正アクセス者によ
る認証請求を判断して前記サービス提供システムに通知
する制御過程と、を設けたことを特徴とする不正アクセ
ス判断方法。 - 【請求項12】請求項11記載の不正アクセス判断方法
に於いて、前記記憶過程は、 サービス提供システムが利用者から受けた認証請求に基
づくID情報及び生体情報を入力して一時記憶する入力
記憶過程と、 過去にサービス提供システムが利用者から受けた認証請
求に基づくID情報及び生体情報を保存記憶する利用情
報記憶過程と、を備えたことを特徴とする不正アクセス
判断方法。 - 【請求項13】請求項11記載の不正アクセス判断方法
に於いて、前記制御過程は、前記比較照合過程の出力に
よりID情報が不一致で生体情報が一致する場合、或い
は、ID情報が一致して生体情報が不一致の場合に、不
正アクセス者による認証請求と判断することを特徴とす
る不正アクセス判断方法。 - 【請求項14】請求項11記載の不正アクセス判断方法
に於いて、 前記記憶過程は、過去に入力したID情報及び生体情報
に対応して送信元となる電話番号やネットワークアドレ
ス等の端末位置及び入力時刻を記憶し、 前記制御過程は、前記比較照合過程による入力したID
情報と同一端末位置から所定時間内に入力した過去のI
D情報と比較結果が不一致の場合、不正アクセス者によ
る認証請求と判断することを特徴とする不正アクセス判
断方法。 - 【請求項15】請求項11記載の不正アクセス判断方法
に於いて、前記制御過程は、入力したID情報に対し過
去のID情報が連番になっているか否か判定し、連番を
判定した際には所定回数目で不正アクセス者による認証
請求と判断することを特徴とする不正アクセス判断方
法。 - 【請求項16】請求項11記載の不正アクセス判断方法
に於いて、前記制御過程は、入力した生体情報と過去に
入力した生体情報が一致した際に、生体情報が一致しI
D情報が異なる組み合せを検出し、該組み合せ数が所定
数に達した時に、不正アクセス者による認証請求と判断
することを特徴とする不正アクセス判断方法。 - 【請求項17】請求項11記載の不正アクセス判断方法
に於いて、前記比較照合過程は、 入力したID情報と過去に入力したID情報とを比較し
て一致又は不一致を出力するID情報比較過程と、 入力した生体情報と過去に入力した生体情報とを比較
し、所定の一致度以上の値が得られた場合に生体情報の
一致を出力し、所定の一致度未満の値が得られた場合に
生体情報の不一致を出力する生体情報照合過程と、を備
えたことを特徴とする不正アクセス判断方法。 - 【請求項18】請求項11記載の不正アクセス判断方法
に於いて、更に時間を計測する時計過程を設け、前記時
計過程で計測した時間情報に基づき、記憶されてから所
定時間が経過した過去に入力したID情報及び生体情報
を消去して比較照合の対象から除外することを特徴とす
る不正アクセス判断方法。 - 【請求項19】請求項11記載の不正アクセス判断方法
に於いて、 前記記憶過程は、過去に入力したID情報及び生体情報
と共に送信元となる電話番号やネットワークアドレス等
の端末位置を記憶し、 前記比較照合過程は、入力したID情報及び生体情報
を、同じ端末位置から過去に入力したID情報及び生体
情報と比較照合することを特徴とする不正アクセス判断
方法。 - 【請求項20】請求項11記載の不正アクセス判断方法
に於いて、更に、 端末アドレス毎に認証請求の回数を記録する認証請求端
末アドレス記録過程と、 前記認証請求端末アドレスの
参照により所定時間内に所定回数以上の認証請求が行わ
れたことを検知し、前記比較照合過程及び制御過程を起
動して不正アクセスを判断させる同一端末アクセス検知
過程と、を設けたことを特徴とする不正アクセス判断方
法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP30200898A JP4120997B2 (ja) | 1998-10-23 | 1998-10-23 | 不正アクセス判断装置及び方法 |
US09/425,736 US7472282B1 (en) | 1998-10-23 | 1999-10-22 | Illegal access discriminating apparatus and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP30200898A JP4120997B2 (ja) | 1998-10-23 | 1998-10-23 | 不正アクセス判断装置及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2000132515A true JP2000132515A (ja) | 2000-05-12 |
JP4120997B2 JP4120997B2 (ja) | 2008-07-16 |
Family
ID=17903787
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP30200898A Expired - Fee Related JP4120997B2 (ja) | 1998-10-23 | 1998-10-23 | 不正アクセス判断装置及び方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7472282B1 (ja) |
JP (1) | JP4120997B2 (ja) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002163654A (ja) * | 2000-11-29 | 2002-06-07 | Omron Corp | 制御装置 |
JP2002258974A (ja) * | 2001-02-27 | 2002-09-13 | Nec Soft Ltd | 指紋を使用したワンクリック認証方式及び認証方法 |
JP2002297550A (ja) * | 2001-03-30 | 2002-10-11 | Mitsubishi Electric Corp | 個人識別支援システム |
WO2003069492A1 (fr) * | 2002-02-15 | 2003-08-21 | Science Park Corporation | Procede d'authentification individuelle utilisant une caracteristique de saisie sur un appareil de saisie par l'intermediaire d'un reseau, programme associe et support d'enregistrement contenant ce programme |
WO2003069491A1 (fr) * | 2002-02-15 | 2003-08-21 | Science Park Corporation | Procede d'authentification faisant appel a une caracteristique d'entree d'unite d'entree d'ordinateur, son programme et support enregistre de programme associe |
JPWO2002025459A1 (ja) * | 2000-09-20 | 2004-01-29 | ソニー株式会社 | 配信システムおよび配信方法 |
JP2004227589A (ja) * | 2003-01-21 | 2004-08-12 | Samsung Electronics Co Ltd | ユーザ認証方法及び装置 |
JP2005084991A (ja) * | 2003-09-09 | 2005-03-31 | Nec Corp | 端末利用者監視システム |
US7076664B2 (en) | 2000-10-18 | 2006-07-11 | Fujitsu Limited | User confirmation system and method |
US7091826B2 (en) | 2001-03-14 | 2006-08-15 | Fujitsu Limited | User authentication system using biometric information |
JP2007148950A (ja) * | 2005-11-30 | 2007-06-14 | Hitachi Ltd | 情報処理装置 |
JP2007265218A (ja) * | 2006-03-29 | 2007-10-11 | Toshiba Corp | ユーザ監視システム |
JP2010503942A (ja) * | 2006-09-18 | 2010-02-04 | ジョン・フランコ・フランチ | セキュア汎用取引システム |
JP2010157253A (ja) * | 2010-02-08 | 2010-07-15 | Toshiba Corp | 情報処理装置 |
JP2014182552A (ja) * | 2013-03-19 | 2014-09-29 | Fujitsu Ltd | 生体認証装置、生体認証方法及び生体認証用コンピュータプログラム |
JP2015528969A (ja) * | 2012-08-02 | 2015-10-01 | マイクロソフト コーポレーション | 人間対話証明として読み上げる能力を使用すること |
JP2015181051A (ja) * | 2015-06-17 | 2015-10-15 | カシオ計算機株式会社 | 電子機器及びプログラム |
JP2018156287A (ja) * | 2017-03-16 | 2018-10-04 | 富士通フロンテック株式会社 | 自動取引システム、および自動取引方法 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7068999B2 (en) * | 2002-08-02 | 2006-06-27 | Symbol Technologies, Inc. | System and method for detection of a rogue wireless access point in a wireless communication network |
CN1902694B (zh) * | 2004-01-16 | 2010-08-11 | 松下电器产业株式会社 | 用于检测未授权终端的认证服务器、方法和*** |
US9369870B2 (en) | 2013-06-13 | 2016-06-14 | Google Technology Holdings LLC | Method and apparatus for electronic device access |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5229764A (en) * | 1991-06-20 | 1993-07-20 | Matchett Noel D | Continuous biometric authentication matrix |
US5276444A (en) * | 1991-09-23 | 1994-01-04 | At&T Bell Laboratories | Centralized security control system |
JPH06282527A (ja) | 1993-03-29 | 1994-10-07 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
US6230148B1 (en) * | 1994-11-28 | 2001-05-08 | Veristar Corporation | Tokenless biometric electric check transaction |
JP3463399B2 (ja) | 1995-03-13 | 2003-11-05 | 富士通株式会社 | 通信システムおよびアクセス応答装置およびアクセス要求装置 |
WO1997031317A1 (fr) | 1996-02-23 | 1997-08-28 | Hitachi, Ltd. | Procede de gestion des acces a un systeme informatique |
US5715518A (en) * | 1996-03-06 | 1998-02-03 | Cellular Technical Services Company, Inc. | Adaptive waveform matching for use in transmitter identification |
US5892838A (en) * | 1996-06-11 | 1999-04-06 | Minnesota Mining And Manufacturing Company | Biometric recognition using a classification neural network |
US6035403A (en) * | 1996-09-11 | 2000-03-07 | Hush, Inc. | Biometric based method for software distribution |
JP3562923B2 (ja) | 1997-01-31 | 2004-09-08 | 沖電気工業株式会社 | オンラインシステム |
JP3608067B2 (ja) | 1997-03-27 | 2005-01-05 | 沖電気工業株式会社 | 自動取引システム |
US6035406A (en) * | 1997-04-02 | 2000-03-07 | Quintet, Inc. | Plurality-factor security system |
IL122230A (en) * | 1997-11-17 | 2003-12-10 | Milsys Ltd | Biometric system and techniques suitable therefor |
-
1998
- 1998-10-23 JP JP30200898A patent/JP4120997B2/ja not_active Expired - Fee Related
-
1999
- 1999-10-22 US US09/425,736 patent/US7472282B1/en not_active Expired - Fee Related
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8285783B2 (en) | 2000-09-20 | 2012-10-09 | Sony Corporation | Distribution system and distribution method |
JP4867125B2 (ja) * | 2000-09-20 | 2012-02-01 | ソニー株式会社 | 配信システムおよび配信方法 |
JPWO2002025459A1 (ja) * | 2000-09-20 | 2004-01-29 | ソニー株式会社 | 配信システムおよび配信方法 |
US7076664B2 (en) | 2000-10-18 | 2006-07-11 | Fujitsu Limited | User confirmation system and method |
JP4645872B2 (ja) * | 2000-11-29 | 2011-03-09 | オムロン株式会社 | 制御装置および認証方法 |
JP2002163654A (ja) * | 2000-11-29 | 2002-06-07 | Omron Corp | 制御装置 |
JP2002258974A (ja) * | 2001-02-27 | 2002-09-13 | Nec Soft Ltd | 指紋を使用したワンクリック認証方式及び認証方法 |
US7091826B2 (en) | 2001-03-14 | 2006-08-15 | Fujitsu Limited | User authentication system using biometric information |
JP2002297550A (ja) * | 2001-03-30 | 2002-10-11 | Mitsubishi Electric Corp | 個人識別支援システム |
WO2003069491A1 (fr) * | 2002-02-15 | 2003-08-21 | Science Park Corporation | Procede d'authentification faisant appel a une caracteristique d'entree d'unite d'entree d'ordinateur, son programme et support enregistre de programme associe |
US7287273B2 (en) | 2002-02-15 | 2007-10-23 | Science Park Corporation | Individual authentication method using input characteristic of input apparatus by network, program thereof, and recording medium containing the program |
WO2003069492A1 (fr) * | 2002-02-15 | 2003-08-21 | Science Park Corporation | Procede d'authentification individuelle utilisant une caracteristique de saisie sur un appareil de saisie par l'intermediaire d'un reseau, programme associe et support d'enregistrement contenant ce programme |
CN1332331C (zh) * | 2002-02-15 | 2007-08-15 | 科学园株式会社 | 利用计算机输入装置的输入特征的个人认证方法及其电子计算机*** |
JP2004227589A (ja) * | 2003-01-21 | 2004-08-12 | Samsung Electronics Co Ltd | ユーザ認証方法及び装置 |
JP2005084991A (ja) * | 2003-09-09 | 2005-03-31 | Nec Corp | 端末利用者監視システム |
JP2007148950A (ja) * | 2005-11-30 | 2007-06-14 | Hitachi Ltd | 情報処理装置 |
JP2007265218A (ja) * | 2006-03-29 | 2007-10-11 | Toshiba Corp | ユーザ監視システム |
JP2010503942A (ja) * | 2006-09-18 | 2010-02-04 | ジョン・フランコ・フランチ | セキュア汎用取引システム |
JP2010157253A (ja) * | 2010-02-08 | 2010-07-15 | Toshiba Corp | 情報処理装置 |
JP2015528969A (ja) * | 2012-08-02 | 2015-10-01 | マイクロソフト コーポレーション | 人間対話証明として読み上げる能力を使用すること |
US10158633B2 (en) | 2012-08-02 | 2018-12-18 | Microsoft Technology Licensing, Llc | Using the ability to speak as a human interactive proof |
JP2014182552A (ja) * | 2013-03-19 | 2014-09-29 | Fujitsu Ltd | 生体認証装置、生体認証方法及び生体認証用コンピュータプログラム |
JP2015181051A (ja) * | 2015-06-17 | 2015-10-15 | カシオ計算機株式会社 | 電子機器及びプログラム |
JP2018156287A (ja) * | 2017-03-16 | 2018-10-04 | 富士通フロンテック株式会社 | 自動取引システム、および自動取引方法 |
Also Published As
Publication number | Publication date |
---|---|
US7472282B1 (en) | 2008-12-30 |
JP4120997B2 (ja) | 2008-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4120997B2 (ja) | 不正アクセス判断装置及び方法 | |
US7447910B2 (en) | Method, arrangement and secure medium for authentication of a user | |
US6549118B1 (en) | Security apparatus and method | |
US8433921B2 (en) | Object authentication system | |
US6167517A (en) | Trusted biometric client authentication | |
US20070061590A1 (en) | Secure biometric authentication system | |
US20140109203A1 (en) | Multichannel device utilizing a centralized out-of-band authentication system (cobas) | |
CN111903104A (zh) | 用于执行用户认证的方法及*** | |
US10033733B2 (en) | Biometric metadata bureau | |
US10805290B1 (en) | Compliance and audit using biometric tokenization | |
CN112613020A (zh) | 一种身份验证方法及装置 | |
CN111415163A (zh) | 基于区块链的业务处理、验证方法、***及验证节点 | |
US20190132312A1 (en) | Universal Identity Validation System and Method | |
JP2002259345A (ja) | 身体的特徴データの不正使用を防止する認証方法、認証装置、及びプログラム | |
JP3589579B2 (ja) | 生体認証装置及びその処理プログラムを記録した記録媒体 | |
CN107332862A (zh) | 一种身份认证方法、前置机及身份认证*** | |
US10003464B1 (en) | Biometric identification system and associated methods | |
JP2002024183A (ja) | 個人認証システム及び個人認証方法 | |
RU2573235C2 (ru) | Система и способ проверки подлинности идентичности личности, вызывающей данные через компьютерную сеть | |
CN114036482A (zh) | 基于区块链的数据管理方法、电子设备、存储介质 | |
Edwards et al. | FFDA: A novel four-factor distributed authentication mechanism | |
JP3974070B2 (ja) | ユーザ認証装置、端末装置、プログラム及びコンピュータ・システム | |
JP2002304378A (ja) | 個人認証システム | |
Khandre et al. | WAAM web & Android authentication model using improvised user identification and verification technique using biometric and digital certificate | |
US20210303666A1 (en) | Authentication system and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050315 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050509 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050830 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050929 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051027 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20051110 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20060331 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080423 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110509 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120509 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130509 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140509 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |