JP2004046532A - 情報処理装置、情報処理方法および記録媒体 - Google Patents
情報処理装置、情報処理方法および記録媒体 Download PDFInfo
- Publication number
- JP2004046532A JP2004046532A JP2002203025A JP2002203025A JP2004046532A JP 2004046532 A JP2004046532 A JP 2004046532A JP 2002203025 A JP2002203025 A JP 2002203025A JP 2002203025 A JP2002203025 A JP 2002203025A JP 2004046532 A JP2004046532 A JP 2004046532A
- Authority
- JP
- Japan
- Prior art keywords
- data
- access
- information processing
- output
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】知識型ユーザ認証手段に対する攻撃耐性を高め、バイオメトリックス認証手段に対する判定誤りの損失を小さくできる情報処理装置を提供する。
【解決手段】ユーザからのアクセスによってデータ出力部5からデータを出力する情報処理装置において、アクセスの正当性を判断する判断手段としての認証部4と制御部3を有し、前記判断手段の判断結果に基づき、出力データ内容を決定する。
【選択図】 図1
【解決手段】ユーザからのアクセスによってデータ出力部5からデータを出力する情報処理装置において、アクセスの正当性を判断する判断手段としての認証部4と制御部3を有し、前記判断手段の判断結果に基づき、出力データ内容を決定する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、正当でないアクセスに対して、本物とは別のデータを出力する情報処理装置に関するものである。
【0002】
【従来の技術】
出力するデータが機密であるような、セキュリティを求められる情報処理装置には通常、アクセスの正当性を判定する機能が備わっている。この機能は、アクセスユーザの認証手段で実現される。ユーザ認証手段には、パスワードのような知識有無を利用するもの、IDカードのような所有有無を利用するもの、指紋認識など身体特徴を利用するものがある。
【0003】
パスワードのような知識型ユーザ認証では、人間の記憶限界から、知識集合を有限化せざるを得ない(例えば0〜9の数字を4桁に限定)。これによって、知識集合の総当り攻撃が可能となってしまう(4桁数字なら1万回のアクセスで必ず正解に到達する)。
【0004】
従来、この攻撃に対し所定回数アクセス失敗があると、不正アクセス攻撃されていると判定し、それ以後アクセスを拒否したり、管理部署へ通知したり、時間かせぎをしたりしていた。例えば、特開平11−143834号公報、特開2001−282739号公報は、所定回数アクセス失敗で、ログインが成功したかに見せかけることで、時間稼ぎをするものである。
【0005】
不正アクセスと判定する別の方法として、トラップパスワードの設定がある。これは、特開平10−124457号公報のように、本物のパスワードとは別に、あらかじめ登録した特別なパスワード(ユーザの誕生日、社員番号などから類推されるもの、現在無効な過去のパスワードなど)を、不正ユーザが入力すると、直ちに不正アクセスと判定するものである。
【0006】
【発明が解決しようとする課題】
知識型ユーザ認証で不正アクセスと判定するのを、アクセス失敗複数回としていたのは、正当なユーザがパスワードを何回か誤っても、不正と誤判定しないためである。これによって逆に、不正ユーザにとっては、パスワード検証が、所定回数まで容易に行える結果を生んでいた。
【0007】
例えば、4桁数字のパスワードで10回失敗を不正と判定するシステムは、1回の攻撃で10種のパスワードが検証されるので、わずか千回の攻撃で必ず正解に到達されてしまう。従来方法(図4)への攻撃(図5)をフローチャートで表せば、非常に容易な判断S5で、何種類もパスワードが検証されてしまう。
【0008】
このように、従来の判定及びそれに伴う対応方法には、情報処理装置側の攻撃耐性を低くすると言う問題点があった。トラップパスワードも、正解パスワード以外の一部分でしかなく、トラップでも正解でもない、残り多くのパスワードについては、アクセス失敗複数回で、不正と判定することになり、上記問題点が解決されているわけではない。
【0009】
また、指紋識別のようなバイオメトリックス認証は、その判定結果に不確かさを伴うものの、グレー判定をせず強制的に白黒判定を行い、その結果に従いアクセス許可/拒否を決定していた(特開2001−155150号公報)。このため、判定誤りによって、正当ユーザに対するアクセス拒否、不正ユーザに対するアクセス許可と言った、大きな損失が発生する問題があった。
【0010】
本発明は上記欠点に鑑み、知識型ユーザ認証手段に対する攻撃耐性を高め、バイオメトリックス認証手段に対する判定誤りの損失を小さくできる情報処理装置を提供することを目的とする。
【0011】
【課題を解決するための手段】
上記目的を達成するために、請求項1記載の発明は、ユーザからのアクセスによってデータ出力部からデータを出力する情報処理装置において、アクセスの正当性を判断する判断手段としての認証部と制御部を有し、前記判断手段の判断結果に基づき、出力データ内容を決定する情報処理装置を最も主要な特徴とする。
【0012】
請求項2記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、前記判断手段が正当とする判断を示したアクセスに対し出力するデータとは類似だが別のデータである請求項1記載の情報処理装置を主要な特徴とする。
【0013】
請求項3記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスのたびに、毎回異なるデータを出力する請求項1記載の情報処理装置を主要な特徴とする。
【0014】
請求項4記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、利用の際、異常な動作を引き起こすデータである請求項1記載の情報処理装置を主要な特徴とする。
【0015】
請求項5記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、前記判断手段が正当とする判断を示したアクセスに対し出力するデータを正当度合いに応じて加工したデータである請求項1記載の情報処理装置を主要な特徴とする。
【0016】
請求項6記載の発明は、前記データ出力部が出力するデータは、ビットマップ画像データである請求項2記載の情報処理装置を主要な特徴とする。
【0017】
請求項7記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、このデータを、正当なユーザのみが知りうる手段によって、前記判断手段が正当とする判断を示したアクセスに対し出力するデータに変換可能である請求項2または5記載の情報処理装置を主要な特徴とする。
【0018】
請求項8記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータと、前記判断手段が正当とする判断を示したアクセスに対し出力するデータとの差異部分を示すことで、前記判断手段の判断結果を変更可能とした請求項2または5記載の情報処理装置を主要な特徴とする。
【0019】
請求項9記載の発明は、ユーザからのアクセスによってデータ出力部からデータを出力する情報処理方法において、アクセスの正当性を判断し、その判断結果に基づき、出力データ内容を決定する情報処理方法を最も主要な特徴とする。
【0020】
請求項10記載の発明は、コンピュータで読み取り可能な記録媒体であって、請求項9記載の情報処理方法を、コンピュータで実行するためのプログラムを記録した記録媒体を最も主要な特徴とする。
【0021】
【発明の実施の形態】
以下、図面により本発明の実施の形態を詳細に説明する。図1は本発明の実施の形態に係る情報処理装置のブロック構成図である。データ記憶部1は、データを記憶保存するブロックである。データ名入力部2は、記憶したデータの中で、出力対象とするデータ部分の指定を受け付けるブロックである。例えばデータをファイルと言う概念で分類している場合、どのファイルを出力対象とするかを受け付ける。また各ファイルごとに、どのユーザに出力を許可するかを示すテーブルが制御部3にある。
【0022】
認証部4は、データ出力要求を出したユーザが、本人に相違ないか否かを判定するブロックである。パスワード認証であれば、ユーザ名とパスワードを受け、これが事前登録されたものと同じであるかで、個人認証判定を行う。制御部3は、認証部4で本人に相違ないと判定され、前述のテーブルで、そのユーザが出力許可されたユーザであることが確認されて初めて、正当なアクセスであるとの判断を下す。正当なアクセスに対し、データ名入力部2で指定したファイルを、データ記憶部1から取り出し、データ出力部5へと送る。データ出力部5は、このデータを装置外部へ送出する。
【0023】
認証部で本人に相違ないと判定されなかったとき、または前述のテーブルで、そのユーザが出力許可されたユーザでなかったときは、正当なアクセスではない、との判断を下す。この場合、出力指定された本物のデータとは別のデータを出力する。正当/不正の判断結果は返さず、全アクセスに対して、何らかのデータを出力するので、不正ユーザは、受け取ったデータを使って、アクセスの成功/失敗の判定処理をしなければならない。アクセスの結果(成功/失敗)を情報処理装置が答えていた従来法より、攻撃の効率が低下、すなわち情報処理装置の攻撃耐性が向上する。また仮に正当ユーザを不正と誤判定しても、本物データを知っている正当ユーザなら、誤判定をすぐ知覚できるので、副作用もない。
【0024】
本発明方法の制御フローチャート(S1〜S7)を図2に、これに攻撃を加える不正ユーザのフローチャート(S1〜S6)を図3にそれぞれ示す。従来の攻撃フロー(図5)では、非常に容易な判断S5で、何種類もパスワードの検証が可能であったのに対し、本発明の攻撃フロー(図3)では、比較的困難な判断S6で、パスワード検証を行わなければならない。
【0025】
また、バイオメトリックス認証などで、本人に相違ないとも相違あるとも言えないグレー判定となり、そのユーザが出力許可されたユーザであったときは、グレーなアクセスである、との判断を下し、出力指定された本物のデータを加工したデータを出力する。仮に正当ユーザをグレーと誤判定しても、ある程度本物のデータに近いデータを出力するので、まったくデータを出力しない従来法より、損害が小さい。逆に不正ユーザをグレーと誤判定しても、ある程度本物のデータとは異なるデータを出力するので、本物のデータを出力してしまう従来法より、損害が小さい。このように、アクセスの正当性判断誤りの損失を小さくできる。
【0026】
正当なアクセスではない、との判断時、出力するデータを、指定された本物のデータと類似したものとすれば、さらに攻撃耐性が向上する。例えば、種類(プログラムコード、テキストコード、イメージデータなど)が同じで、統計的性質(事象の単独や連接の確率分布など)も類似しているデータを出力する。不正ユーザは、これらの属性に関し、本物データがどのような値を取るかを予め推定し、この推定との照合でアクセスの成功/失敗判定処理を行なうが、常に本物と類似したデータ出力ならば、この判定処理を無効化させることができる。場合によっては、不正ユーザをニセのデータで欺き、攻撃を停止させる可能性すら生まれる。このような点で情報処理装置の攻撃耐性が向上する。
【0027】
データ種類の中でも、イメージデータは、他のデータに比べ、推定との照合に手間がかかる。データが本来文字列であっても、コードデータでなくビットマップイメージデータで扱えば、データ量は増大してしまうものの、攻撃耐性が向上する効果が得られる。
【0028】
本発明の処理方式は、ある面、従来からある暗号処理と似ている。ユーザ固有の情報(暗号の場合「鍵」)を入力し、それに対し何らかのデータ(暗号の場合「復号文」)を出力する点では同一だからである。しかし、正当でない情報「鍵」に対する出力「復号文」が、正しいものとは通常かなり異なる暗号に対し、本発明では常に類似している点が異なっている。アクセスの成功/失敗判定処理が、困難である点で、本発明の処理方式の方が、暗号処理より高い攻撃耐性を有していると言える。
【0029】
情報処理装置が、本発明の処理でなく、従来通りの(正当なアクセスに対してのみデータを出力し、不正なアクセスにはデータを出力しない)処理を行う装置であると考える不正ユーザには、1つの本物データについて1つの類似データがあればよい。類似データを得た時点で、不正ユーザは攻撃が成功した思い込み、攻撃を停止する可能性が高いからである。しかし、情報処理装置が、本発明の処理を行うことを知っている不正ユーザには、1つの本物データについて複数の類似データを準備する必要がある。そうしないと、異なる検証パスワードに対し同じデータが出力されることとなり、同じデータが出力されている限りアクセスが失敗していると容易に判断できるようになってしまうからである。
【0030】
よって正当と言う判断でなかったアクセスのたびに、毎回異なるデータを出力する必要がある。ただし同じパスワードのアクセスには毎回同じデータを出力する。複数の類似データは、パスワードを引数としたある関数処理を本物データに施すことで求める。例えば、データの機密部分に、(類似データ)=(本物データ)+1234+(パスワード)と言う関数処理を行う。「売上高は2580円です」と言うデータに適当なパスワード=9876を入れると、「売上高は3690円です」と言う類似データが得られる。正解のパスワード=8766を入れると、「売上高は2580円です」と言う本物データが得られる。
【0031】
正当なアクセスではない、との判断時、出力するデータを、利用の際異常な動作を引き起こすデータとすれば、さらに攻撃耐性が向上する。例えば、本物データがテキストコードデータなら、未定義のコードや不正なエスケープシーケンスコードなどを含ませておくことで、不正ユーザがこれを利用(アクセスの成功/失敗判定処理)する際、その表示を乱すことができる。また「コンピュータ・ウィルス」のように不正ユーザのシステム側に混乱を来すようなデータであってもよい。
【0032】
バイオメトリックス認証などで、グレー判断時、本物データを加工したものを最低1種類出力する(請求項1)より、そのグレー度合いに応じて複数種類出力した方がより判断誤りの損失を小さくできる。より白に近いグレー判断にはより本物に近いデータを、より黒に近いグレー判断にはより本物と異なるデータを出力する。加工方法には、削除、重合、変質などがある。「削除」は、黒判断に近づくにつれ、本物データからの削除部分を徐々に増やす方法である。
【0033】
例えば「売上高は2580円です」と言うデータを「売上高は円です」に加工する。「重合」は、本物データへの追加部分を徐々に増やす方法である。追加するデータは、正当性が不完全な状態で出力された旨を示す情報であったり、機密部分を改変した情報である。例えば「売上高は2580円です」を「売上高は2580円4980円です」に加工する。「変質」は、イメージデータが対象で、フィルタ処理やノイズ付加処理などで黒判断に近づくにつれ、イメージを認識しづらくする加工方法である。
【0034】
類似データもしくは、加工したデータから直接、本物のデータを復元することができれば、正当ユーザに対する認証判断誤りの損失をさらに小さくできる。当然、この復元手段は正当なユーザのみが知りうるものでなければならない。上述の例で、「売上高は3690円です」と言う類似データから本物データへの復元も、関数さえ知っていれば可能であるし、「売上高は2580円4980円です」と言う加工データから本物データへの復元も、前者の数字が本物、と言う知識さえあれば可能である。
【0035】
類似データもしくは、加工したデータから間接的にでも本物データを得ることができれば、同様の効果が得られる。ここで間接的とは、本物データとの差異部分を情報処理装置に示すことで、認証判断結果をより白に近いものに変更し、本物データを得ることを意味している。例えば、「売上高は円です。経常利益は円です。」と言う類似/加工データから、後者の1文が追加された文であることを情報処理装置に示すことで、次回は「売上高は2580円です」と言う本物データが得られる。
【0036】
以上、出力の形態は電子データのみで説明したが、表示手段や印字手段を持った情報処理装置であれば、ソフト/ハードコピー出力であってもよい。
【0037】
【発明の効果】
以上説明したように、請求項1の情報処理装置においては、不正と判断したアクセスに対しても何らかのデータを出力するので、不正ユーザは、受け取ったデータを使ってアクセスの成功/失敗の判定処理をせねばならず、攻撃効率が低下、すなわち情報処理装置の攻撃耐性が向上する。また、グレーと判断したアクセスに対しては、本物のデータを変化させ出力するので、判断誤りの損失を小さくできる。
【0038】
請求項2の情報処理装置においては、不正と判断したアクセスに対して、本物のデータと類似したデータを出力するので、不正ユーザが行うアクセスの成功/失敗判定処理がより困難さを増し、攻撃効率が低下、すなわち情報処理装置の攻撃耐性が向上する。
【0039】
請求項3の情報処理装置においては、不正と判断したアクセスのたびに、毎回異なるデータを出力するので、不正ユーザによる連続アクセスに対しても攻撃耐性が向上する。
【0040】
請求項4の情報処理装置においては、不正と判断したアクセスに対して、利用の際異常な動作を引き起こすデータを出力するので、不正ユーザが行うアクセスの成功/失敗判定処理をより混乱させ、攻撃効率が低下、すなわち情報処理装置の攻撃耐性が向上する。
【0041】
請求項5の情報処理装置においては、不正またはグレーと判断したアクセスに対して、本物のデータをそのグレー度合いに応じて加工したデータを出力するので、判断誤りの損失をさらに小さくできる。
【0042】
請求項6の情報処理装置においては、扱うデータをビットマップデータとしているので、不正ユーザが行うアクセスの成功/失敗判定処理がより困難さを増し、攻撃効率が低下、すなわち情報処理装置の攻撃耐性が向上する。
【0043】
請求項7の情報処理装置においては、加工されたデータを、正当なユーザのみが知りうる手段によって、本物のデータに復元可能なものにしているので、正当ユーザに対し認証判断誤りが発生しても、正当ユーザは常に本物のデータを得ることができ、判断誤りの損失を小さくできる。
【0044】
請求項8の情報処理装置においては、ユーザが情報処理装置に、加工された出力済みデータのどの部分が加工されたかを指示し、これが当っていれば前回の認証判断を正当という判断に変更しているので、正当ユーザに対し認証判断誤りが発生しても、正当ユーザは常に本物のデータを得ることができ、判断誤りの損失を小さくできる。
【0045】
また請求項9記載の発明によれば。上記の効果が得られる情報処理方法を提供することができる。さらに請求項10記載の発明によれば、上記の処理プログラムが格納された記録媒体を提供することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係る情報処理装置のブロック構成図である。
【図2】本発明の制御フローチャートの例を示す図である。
【図3】本発明の攻撃フローチャートの例を示す図である。
【図4】従来例の制御フローチャートの例を示す図である。
【図5】従来例の攻撃フローチャートの例を示す図である。
【符号の説明】
1 データ記憶部
2 データ名入力部
3 制御部
4 認証部
5 データ出力部
【発明の属する技術分野】
本発明は、正当でないアクセスに対して、本物とは別のデータを出力する情報処理装置に関するものである。
【0002】
【従来の技術】
出力するデータが機密であるような、セキュリティを求められる情報処理装置には通常、アクセスの正当性を判定する機能が備わっている。この機能は、アクセスユーザの認証手段で実現される。ユーザ認証手段には、パスワードのような知識有無を利用するもの、IDカードのような所有有無を利用するもの、指紋認識など身体特徴を利用するものがある。
【0003】
パスワードのような知識型ユーザ認証では、人間の記憶限界から、知識集合を有限化せざるを得ない(例えば0〜9の数字を4桁に限定)。これによって、知識集合の総当り攻撃が可能となってしまう(4桁数字なら1万回のアクセスで必ず正解に到達する)。
【0004】
従来、この攻撃に対し所定回数アクセス失敗があると、不正アクセス攻撃されていると判定し、それ以後アクセスを拒否したり、管理部署へ通知したり、時間かせぎをしたりしていた。例えば、特開平11−143834号公報、特開2001−282739号公報は、所定回数アクセス失敗で、ログインが成功したかに見せかけることで、時間稼ぎをするものである。
【0005】
不正アクセスと判定する別の方法として、トラップパスワードの設定がある。これは、特開平10−124457号公報のように、本物のパスワードとは別に、あらかじめ登録した特別なパスワード(ユーザの誕生日、社員番号などから類推されるもの、現在無効な過去のパスワードなど)を、不正ユーザが入力すると、直ちに不正アクセスと判定するものである。
【0006】
【発明が解決しようとする課題】
知識型ユーザ認証で不正アクセスと判定するのを、アクセス失敗複数回としていたのは、正当なユーザがパスワードを何回か誤っても、不正と誤判定しないためである。これによって逆に、不正ユーザにとっては、パスワード検証が、所定回数まで容易に行える結果を生んでいた。
【0007】
例えば、4桁数字のパスワードで10回失敗を不正と判定するシステムは、1回の攻撃で10種のパスワードが検証されるので、わずか千回の攻撃で必ず正解に到達されてしまう。従来方法(図4)への攻撃(図5)をフローチャートで表せば、非常に容易な判断S5で、何種類もパスワードが検証されてしまう。
【0008】
このように、従来の判定及びそれに伴う対応方法には、情報処理装置側の攻撃耐性を低くすると言う問題点があった。トラップパスワードも、正解パスワード以外の一部分でしかなく、トラップでも正解でもない、残り多くのパスワードについては、アクセス失敗複数回で、不正と判定することになり、上記問題点が解決されているわけではない。
【0009】
また、指紋識別のようなバイオメトリックス認証は、その判定結果に不確かさを伴うものの、グレー判定をせず強制的に白黒判定を行い、その結果に従いアクセス許可/拒否を決定していた(特開2001−155150号公報)。このため、判定誤りによって、正当ユーザに対するアクセス拒否、不正ユーザに対するアクセス許可と言った、大きな損失が発生する問題があった。
【0010】
本発明は上記欠点に鑑み、知識型ユーザ認証手段に対する攻撃耐性を高め、バイオメトリックス認証手段に対する判定誤りの損失を小さくできる情報処理装置を提供することを目的とする。
【0011】
【課題を解決するための手段】
上記目的を達成するために、請求項1記載の発明は、ユーザからのアクセスによってデータ出力部からデータを出力する情報処理装置において、アクセスの正当性を判断する判断手段としての認証部と制御部を有し、前記判断手段の判断結果に基づき、出力データ内容を決定する情報処理装置を最も主要な特徴とする。
【0012】
請求項2記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、前記判断手段が正当とする判断を示したアクセスに対し出力するデータとは類似だが別のデータである請求項1記載の情報処理装置を主要な特徴とする。
【0013】
請求項3記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスのたびに、毎回異なるデータを出力する請求項1記載の情報処理装置を主要な特徴とする。
【0014】
請求項4記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、利用の際、異常な動作を引き起こすデータである請求項1記載の情報処理装置を主要な特徴とする。
【0015】
請求項5記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、前記判断手段が正当とする判断を示したアクセスに対し出力するデータを正当度合いに応じて加工したデータである請求項1記載の情報処理装置を主要な特徴とする。
【0016】
請求項6記載の発明は、前記データ出力部が出力するデータは、ビットマップ画像データである請求項2記載の情報処理装置を主要な特徴とする。
【0017】
請求項7記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、このデータを、正当なユーザのみが知りうる手段によって、前記判断手段が正当とする判断を示したアクセスに対し出力するデータに変換可能である請求項2または5記載の情報処理装置を主要な特徴とする。
【0018】
請求項8記載の発明は、前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータと、前記判断手段が正当とする判断を示したアクセスに対し出力するデータとの差異部分を示すことで、前記判断手段の判断結果を変更可能とした請求項2または5記載の情報処理装置を主要な特徴とする。
【0019】
請求項9記載の発明は、ユーザからのアクセスによってデータ出力部からデータを出力する情報処理方法において、アクセスの正当性を判断し、その判断結果に基づき、出力データ内容を決定する情報処理方法を最も主要な特徴とする。
【0020】
請求項10記載の発明は、コンピュータで読み取り可能な記録媒体であって、請求項9記載の情報処理方法を、コンピュータで実行するためのプログラムを記録した記録媒体を最も主要な特徴とする。
【0021】
【発明の実施の形態】
以下、図面により本発明の実施の形態を詳細に説明する。図1は本発明の実施の形態に係る情報処理装置のブロック構成図である。データ記憶部1は、データを記憶保存するブロックである。データ名入力部2は、記憶したデータの中で、出力対象とするデータ部分の指定を受け付けるブロックである。例えばデータをファイルと言う概念で分類している場合、どのファイルを出力対象とするかを受け付ける。また各ファイルごとに、どのユーザに出力を許可するかを示すテーブルが制御部3にある。
【0022】
認証部4は、データ出力要求を出したユーザが、本人に相違ないか否かを判定するブロックである。パスワード認証であれば、ユーザ名とパスワードを受け、これが事前登録されたものと同じであるかで、個人認証判定を行う。制御部3は、認証部4で本人に相違ないと判定され、前述のテーブルで、そのユーザが出力許可されたユーザであることが確認されて初めて、正当なアクセスであるとの判断を下す。正当なアクセスに対し、データ名入力部2で指定したファイルを、データ記憶部1から取り出し、データ出力部5へと送る。データ出力部5は、このデータを装置外部へ送出する。
【0023】
認証部で本人に相違ないと判定されなかったとき、または前述のテーブルで、そのユーザが出力許可されたユーザでなかったときは、正当なアクセスではない、との判断を下す。この場合、出力指定された本物のデータとは別のデータを出力する。正当/不正の判断結果は返さず、全アクセスに対して、何らかのデータを出力するので、不正ユーザは、受け取ったデータを使って、アクセスの成功/失敗の判定処理をしなければならない。アクセスの結果(成功/失敗)を情報処理装置が答えていた従来法より、攻撃の効率が低下、すなわち情報処理装置の攻撃耐性が向上する。また仮に正当ユーザを不正と誤判定しても、本物データを知っている正当ユーザなら、誤判定をすぐ知覚できるので、副作用もない。
【0024】
本発明方法の制御フローチャート(S1〜S7)を図2に、これに攻撃を加える不正ユーザのフローチャート(S1〜S6)を図3にそれぞれ示す。従来の攻撃フロー(図5)では、非常に容易な判断S5で、何種類もパスワードの検証が可能であったのに対し、本発明の攻撃フロー(図3)では、比較的困難な判断S6で、パスワード検証を行わなければならない。
【0025】
また、バイオメトリックス認証などで、本人に相違ないとも相違あるとも言えないグレー判定となり、そのユーザが出力許可されたユーザであったときは、グレーなアクセスである、との判断を下し、出力指定された本物のデータを加工したデータを出力する。仮に正当ユーザをグレーと誤判定しても、ある程度本物のデータに近いデータを出力するので、まったくデータを出力しない従来法より、損害が小さい。逆に不正ユーザをグレーと誤判定しても、ある程度本物のデータとは異なるデータを出力するので、本物のデータを出力してしまう従来法より、損害が小さい。このように、アクセスの正当性判断誤りの損失を小さくできる。
【0026】
正当なアクセスではない、との判断時、出力するデータを、指定された本物のデータと類似したものとすれば、さらに攻撃耐性が向上する。例えば、種類(プログラムコード、テキストコード、イメージデータなど)が同じで、統計的性質(事象の単独や連接の確率分布など)も類似しているデータを出力する。不正ユーザは、これらの属性に関し、本物データがどのような値を取るかを予め推定し、この推定との照合でアクセスの成功/失敗判定処理を行なうが、常に本物と類似したデータ出力ならば、この判定処理を無効化させることができる。場合によっては、不正ユーザをニセのデータで欺き、攻撃を停止させる可能性すら生まれる。このような点で情報処理装置の攻撃耐性が向上する。
【0027】
データ種類の中でも、イメージデータは、他のデータに比べ、推定との照合に手間がかかる。データが本来文字列であっても、コードデータでなくビットマップイメージデータで扱えば、データ量は増大してしまうものの、攻撃耐性が向上する効果が得られる。
【0028】
本発明の処理方式は、ある面、従来からある暗号処理と似ている。ユーザ固有の情報(暗号の場合「鍵」)を入力し、それに対し何らかのデータ(暗号の場合「復号文」)を出力する点では同一だからである。しかし、正当でない情報「鍵」に対する出力「復号文」が、正しいものとは通常かなり異なる暗号に対し、本発明では常に類似している点が異なっている。アクセスの成功/失敗判定処理が、困難である点で、本発明の処理方式の方が、暗号処理より高い攻撃耐性を有していると言える。
【0029】
情報処理装置が、本発明の処理でなく、従来通りの(正当なアクセスに対してのみデータを出力し、不正なアクセスにはデータを出力しない)処理を行う装置であると考える不正ユーザには、1つの本物データについて1つの類似データがあればよい。類似データを得た時点で、不正ユーザは攻撃が成功した思い込み、攻撃を停止する可能性が高いからである。しかし、情報処理装置が、本発明の処理を行うことを知っている不正ユーザには、1つの本物データについて複数の類似データを準備する必要がある。そうしないと、異なる検証パスワードに対し同じデータが出力されることとなり、同じデータが出力されている限りアクセスが失敗していると容易に判断できるようになってしまうからである。
【0030】
よって正当と言う判断でなかったアクセスのたびに、毎回異なるデータを出力する必要がある。ただし同じパスワードのアクセスには毎回同じデータを出力する。複数の類似データは、パスワードを引数としたある関数処理を本物データに施すことで求める。例えば、データの機密部分に、(類似データ)=(本物データ)+1234+(パスワード)と言う関数処理を行う。「売上高は2580円です」と言うデータに適当なパスワード=9876を入れると、「売上高は3690円です」と言う類似データが得られる。正解のパスワード=8766を入れると、「売上高は2580円です」と言う本物データが得られる。
【0031】
正当なアクセスではない、との判断時、出力するデータを、利用の際異常な動作を引き起こすデータとすれば、さらに攻撃耐性が向上する。例えば、本物データがテキストコードデータなら、未定義のコードや不正なエスケープシーケンスコードなどを含ませておくことで、不正ユーザがこれを利用(アクセスの成功/失敗判定処理)する際、その表示を乱すことができる。また「コンピュータ・ウィルス」のように不正ユーザのシステム側に混乱を来すようなデータであってもよい。
【0032】
バイオメトリックス認証などで、グレー判断時、本物データを加工したものを最低1種類出力する(請求項1)より、そのグレー度合いに応じて複数種類出力した方がより判断誤りの損失を小さくできる。より白に近いグレー判断にはより本物に近いデータを、より黒に近いグレー判断にはより本物と異なるデータを出力する。加工方法には、削除、重合、変質などがある。「削除」は、黒判断に近づくにつれ、本物データからの削除部分を徐々に増やす方法である。
【0033】
例えば「売上高は2580円です」と言うデータを「売上高は円です」に加工する。「重合」は、本物データへの追加部分を徐々に増やす方法である。追加するデータは、正当性が不完全な状態で出力された旨を示す情報であったり、機密部分を改変した情報である。例えば「売上高は2580円です」を「売上高は2580円4980円です」に加工する。「変質」は、イメージデータが対象で、フィルタ処理やノイズ付加処理などで黒判断に近づくにつれ、イメージを認識しづらくする加工方法である。
【0034】
類似データもしくは、加工したデータから直接、本物のデータを復元することができれば、正当ユーザに対する認証判断誤りの損失をさらに小さくできる。当然、この復元手段は正当なユーザのみが知りうるものでなければならない。上述の例で、「売上高は3690円です」と言う類似データから本物データへの復元も、関数さえ知っていれば可能であるし、「売上高は2580円4980円です」と言う加工データから本物データへの復元も、前者の数字が本物、と言う知識さえあれば可能である。
【0035】
類似データもしくは、加工したデータから間接的にでも本物データを得ることができれば、同様の効果が得られる。ここで間接的とは、本物データとの差異部分を情報処理装置に示すことで、認証判断結果をより白に近いものに変更し、本物データを得ることを意味している。例えば、「売上高は円です。経常利益は円です。」と言う類似/加工データから、後者の1文が追加された文であることを情報処理装置に示すことで、次回は「売上高は2580円です」と言う本物データが得られる。
【0036】
以上、出力の形態は電子データのみで説明したが、表示手段や印字手段を持った情報処理装置であれば、ソフト/ハードコピー出力であってもよい。
【0037】
【発明の効果】
以上説明したように、請求項1の情報処理装置においては、不正と判断したアクセスに対しても何らかのデータを出力するので、不正ユーザは、受け取ったデータを使ってアクセスの成功/失敗の判定処理をせねばならず、攻撃効率が低下、すなわち情報処理装置の攻撃耐性が向上する。また、グレーと判断したアクセスに対しては、本物のデータを変化させ出力するので、判断誤りの損失を小さくできる。
【0038】
請求項2の情報処理装置においては、不正と判断したアクセスに対して、本物のデータと類似したデータを出力するので、不正ユーザが行うアクセスの成功/失敗判定処理がより困難さを増し、攻撃効率が低下、すなわち情報処理装置の攻撃耐性が向上する。
【0039】
請求項3の情報処理装置においては、不正と判断したアクセスのたびに、毎回異なるデータを出力するので、不正ユーザによる連続アクセスに対しても攻撃耐性が向上する。
【0040】
請求項4の情報処理装置においては、不正と判断したアクセスに対して、利用の際異常な動作を引き起こすデータを出力するので、不正ユーザが行うアクセスの成功/失敗判定処理をより混乱させ、攻撃効率が低下、すなわち情報処理装置の攻撃耐性が向上する。
【0041】
請求項5の情報処理装置においては、不正またはグレーと判断したアクセスに対して、本物のデータをそのグレー度合いに応じて加工したデータを出力するので、判断誤りの損失をさらに小さくできる。
【0042】
請求項6の情報処理装置においては、扱うデータをビットマップデータとしているので、不正ユーザが行うアクセスの成功/失敗判定処理がより困難さを増し、攻撃効率が低下、すなわち情報処理装置の攻撃耐性が向上する。
【0043】
請求項7の情報処理装置においては、加工されたデータを、正当なユーザのみが知りうる手段によって、本物のデータに復元可能なものにしているので、正当ユーザに対し認証判断誤りが発生しても、正当ユーザは常に本物のデータを得ることができ、判断誤りの損失を小さくできる。
【0044】
請求項8の情報処理装置においては、ユーザが情報処理装置に、加工された出力済みデータのどの部分が加工されたかを指示し、これが当っていれば前回の認証判断を正当という判断に変更しているので、正当ユーザに対し認証判断誤りが発生しても、正当ユーザは常に本物のデータを得ることができ、判断誤りの損失を小さくできる。
【0045】
また請求項9記載の発明によれば。上記の効果が得られる情報処理方法を提供することができる。さらに請求項10記載の発明によれば、上記の処理プログラムが格納された記録媒体を提供することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係る情報処理装置のブロック構成図である。
【図2】本発明の制御フローチャートの例を示す図である。
【図3】本発明の攻撃フローチャートの例を示す図である。
【図4】従来例の制御フローチャートの例を示す図である。
【図5】従来例の攻撃フローチャートの例を示す図である。
【符号の説明】
1 データ記憶部
2 データ名入力部
3 制御部
4 認証部
5 データ出力部
Claims (10)
- ユーザからのアクセスによってデータ出力部からデータを出力する情報処理装置において、アクセスの正当性を判断する判断手段としての認証部と制御部を有し、前記判断手段の判断結果に基づき、出力データ内容を決定することを特徴とする情報処理装置。
- 前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、前記判断手段が正当とする判断を示したアクセスに対し出力するデータとは類似だが別のデータであることを特徴とする請求項1記載の情報処理装置。
- 前記判断手段が正当とする判断を示さなかったアクセスのたびに、毎回異なるデータを出力することを特徴とする請求項1記載の情報処理装置。
- 前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、利用の際、異常な動作を引き起こすデータであることを特徴とする請求項1記載の情報処理装置。
- 前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、前記判断手段が正当とする判断を示したアクセスに対し出力するデータを正当度合いに応じて加工したデータであることを特徴とする請求項1記載の情報処理装置。
- 前記データ出力部が出力するデータは、ビットマップ画像データであることを特徴とする請求項2記載の情報処理装置。
- 前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータは、このデータを、正当なユーザのみが知りうる手段によって、前記判断手段が正当とする判断を示したアクセスに対し出力するデータに変換可能であることを特徴とする請求項2または5記載の情報処理装置。
- 前記判断手段が正当とする判断を示さなかったアクセスに対し出力するデータと、前記判断手段が正当とする判断を示したアクセスに対し出力するデータとの差異部分を示すことで、前記判断手段の判断結果を変更可能としたことを特徴とする請求項2または5記載の情報処理装置。
- ユーザからのアクセスによってデータ出力部からデータを出力する情報処理方法において、アクセスの正当性を判断し、その判断結果に基づき、出力データ内容を決定することを特徴とする情報処理方法。
- コンピュータで読み取り可能な記録媒体であって、請求項9記載の情報処理方法を、コンピュータで実行するためのプログラムを記録したことを特徴とする記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002203025A JP2004046532A (ja) | 2002-07-11 | 2002-07-11 | 情報処理装置、情報処理方法および記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002203025A JP2004046532A (ja) | 2002-07-11 | 2002-07-11 | 情報処理装置、情報処理方法および記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004046532A true JP2004046532A (ja) | 2004-02-12 |
Family
ID=31709037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002203025A Pending JP2004046532A (ja) | 2002-07-11 | 2002-07-11 | 情報処理装置、情報処理方法および記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004046532A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009504061A (ja) * | 2005-08-03 | 2009-01-29 | エヌエックスピー ビー ヴィ | 秘密鍵を保護する、セキュア端末、ルーチン、および方法 |
-
2002
- 2002-07-11 JP JP2002203025A patent/JP2004046532A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009504061A (ja) * | 2005-08-03 | 2009-01-29 | エヌエックスピー ビー ヴィ | 秘密鍵を保護する、セキュア端末、ルーチン、および方法 |
| US8689338B2 (en) | 2005-08-03 | 2014-04-01 | St-Ericsson Sa | Secure terminal, a routine and a method of protecting a secret key |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6401206B1 (en) | Method and apparatus for binding electronic impressions made by digital identities to documents | |
| US7526654B2 (en) | Method and system for detecting a secure state of a computer system | |
| AU716912B2 (en) | Electronic copy protection mechanism | |
| Ratha et al. | An analysis of minutiae matching strength | |
| JP6482535B2 (ja) | デバイス証明を伴う生体認証に関するシステム及び方法 | |
| US7174463B2 (en) | Method and system for preboot user authentication | |
| US6167518A (en) | Digital signature providing non-repudiation based on biological indicia | |
| US8417960B2 (en) | Method for generating an encryption key using biometrics authentication and restoring the encryption key and personal authentication system | |
| JP3748155B2 (ja) | 改ざん防止/検出機能を有するファイル管理システム | |
| US9401059B2 (en) | System and method for secure voting | |
| US7096365B1 (en) | Digital signature | |
| US20050114705A1 (en) | Method and system for discriminating a human action from a computerized action | |
| US8631486B1 (en) | Adaptive identity classification | |
| JPH08171535A (ja) | コンピュータ・データの機密保護方法 | |
| KR20020047131A (ko) | 데이터 보호 방법 | |
| WO2011074955A1 (en) | System and method for verifying the identity of an individual by employing biometric data features associated with the individual as well as a computer program product for performing said method | |
| JP2006311529A (ja) | 認証システムおよびその認証方法、認証サーバおよびその認証方法、記録媒体、プログラム | |
| EP1160648A2 (en) | Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium | |
| US20040260968A1 (en) | Server with file verification | |
| JPH10260939A (ja) | コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム | |
| WO2006093238A1 (ja) | 認証補助装置、認証主装置、集積回路及び認証方法 | |
| WO2000041103A1 (en) | Method and system for discriminating a human action from a computerized action | |
| CN111949952A (zh) | 验证码请求处理方法及计算机可读存储介质 | |
| JP2004046532A (ja) | 情報処理装置、情報処理方法および記録媒体 | |
| JP4760124B2 (ja) | 認証装置、登録装置、登録方法及び認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050301 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20050404 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080729 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080929 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090403 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100105 |