JP6066877B2 - Authentication server, authentication method, and authentication program - Google Patents

Authentication server, authentication method, and authentication program Download PDF

Info

Publication number
JP6066877B2
JP6066877B2 JP2013200332A JP2013200332A JP6066877B2 JP 6066877 B2 JP6066877 B2 JP 6066877B2 JP 2013200332 A JP2013200332 A JP 2013200332A JP 2013200332 A JP2013200332 A JP 2013200332A JP 6066877 B2 JP6066877 B2 JP 6066877B2
Authority
JP
Japan
Prior art keywords
performance information
risk level
gateway
determination
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013200332A
Other languages
Japanese (ja)
Other versions
JP2015069227A (en
Inventor
雅晴 服部
雅晴 服部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Research Inc
Original Assignee
KDDI Research Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Research Inc filed Critical KDDI Research Inc
Priority to JP2013200332A priority Critical patent/JP6066877B2/en
Publication of JP2015069227A publication Critical patent/JP2015069227A/en
Application granted granted Critical
Publication of JP6066877B2 publication Critical patent/JP6066877B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、リスクベースの認証サーバ、認証方法及び認証プログラムに関する。   The present invention relates to a risk-based authentication server, an authentication method, and an authentication program.

ネットワークに接続されたセンサデバイス等の各種デバイス同士が相互に情報交換を行うM2M(Machine to Machine)と呼ばれる通信形態の利用が進んでいる。M2Mには、デバイス自身が通信モジュールを備えてモバイルネットワークに接続する形態、及び近傍に複数存在するデバイスをゲートウェイで一旦収容してモバイルネットワークに接続する形態がある。
後者の形態では、モバイルネットワークに接続するための通信モジュールを各デバイスが備える必要がないため、デバイスのコストが抑えられる。この場合、デバイスの処理能力又はメモリ容量等が十分でなく、機能が制限されていることもある。 The use of a communication form called M2M (Machine to Machine) in which various devices such as sensor devices connected to a network exchange information with each other is progressing. In M2M, there are a form in which a device itself includes a communication module and connects to a mobile network, and a form in which a plurality of devices in the vicinity are temporarily accommodated in a gateway and connected to the mobile network.
In the latter form, since it is not necessary for each device to have a communication module for connecting to a mobile network, the cost of the device can be reduced. In this case, the processing capacity or memory capacity of the device is not sufficient, and the function may be limited.

また、第三者のなりすましにより、ネットワーク上のリソースが不正利用されることを防ぐためのセキュリティ対策として、危険度をレベル分けして評価するリスクベース認証と呼ばれるユーザ認証が行われている。
例えば、特許文献1では、ユーザ毎の属性又はトランザクションの属性に応じてリスクレベルの評価結果を変化させる技術が提案されている。
また、特許文献2では、インターネット上の危険度の変化に応じてリスクレベルの評価結果を変化させる技術が提案されている。 In addition, as a security measure for preventing unauthorized use of resources on a network due to impersonation by a third party, user authentication called risk-based authentication is performed in which the risk level is evaluated according to a level.
For example, Patent Document 1 proposes a technique for changing a risk level evaluation result according to an attribute for each user or a transaction attribute.
Patent Document 2 proposes a technique for changing a risk level evaluation result in accordance with a change in the degree of danger on the Internet.

特開2010−097467号公報JP 2010-097467 A 特開2010−152660号公報JP 2010-152660 A

しかしながら、前述の技術は、ユーザがPCを利用して、オンラインバンキング等のWebアプリケーションを利用する際に、このWebアプリケーションへのアクセスを制限するものであり、インターネットへのアクセス自体を制限するものではない。   However, the above-described technology restricts access to a web application when a user uses a web application such as online banking using a PC, and does not restrict access to the Internet itself. Absent.

また、M2Mシステムで利用されるデバイスには、メモリ又はCPU等のリソースの限られたものが存在する。このようなデバイスには、認証プロトコル等のセキュリティに関する機能が実装されないため、デバイスの個体識別番号で区別してインターネットへの接続可否が判断される。この場合、なりすましにより不正デバイスがインターネットへ接続することを防ぐことは難しかった。   In addition, devices used in the M2M system have limited resources such as a memory or a CPU. Since such a device is not equipped with a security-related function such as an authentication protocol, it is determined whether or not it is possible to connect to the Internet based on the individual identification number of the device. In this case, it has been difficult to prevent unauthorized devices from connecting to the Internet by spoofing.

本発明は、デバイスのネットワークへの不正接続を防ぐことができる認証サーバ、認証方法及び認証プログラムを提供することを目的とする。   An object of the present invention is to provide an authentication server, an authentication method, and an authentication program that can prevent an unauthorized connection of a device to a network.

本発明に係る認証サーバは、ゲートウェイに収容される複数のデバイスの通信の挙動を示すパフォーマンス情報を、当該ゲートウェイから取得する取得部と、前記パフォーマンス情報を蓄積するデバイス情報記憶部と、前記デバイス情報記憶部に蓄積されたパフォーマンス情報に基づいて、前記デバイスの正常な挙動を示すモデルデータを生成する生成部と、前記モデルデータを記憶する判定モデル記憶部と、前記取得部により新たに取得されたパフォーマンス情報を、前記モデルデータと照合し、当該パフォーマンス情報に対応するデバイスのリスクレベルを判定する判定部と、前記判定部により判定された前記リスクレベルに応じて、前記デバイスによる前記ゲートウェイより外部のネットワークへの接続を管理する管理部と、を備える。   An authentication server according to the present invention includes an acquisition unit that acquires performance information indicating communication behavior of a plurality of devices accommodated in a gateway from the gateway, a device information storage unit that accumulates the performance information, and the device information Based on the performance information accumulated in the storage unit, a generation unit that generates model data indicating normal behavior of the device, a determination model storage unit that stores the model data, and a new acquisition by the acquisition unit The performance information is collated with the model data, and a determination unit that determines a risk level of the device corresponding to the performance information, and according to the risk level determined by the determination unit, external to the gateway by the device And a management unit that manages connection to the network.

前記取得部は、前記デバイスの仕様情報を、更に前記ゲートウェイから取得し、前記デバイス情報記憶部は、前記仕様情報と前記パフォーマンス情報とを対応付けて蓄積し、前記生成部は、前記仕様情報の種類毎に前記モデルデータを生成してもよい。   The acquisition unit further acquires specification information of the device from the gateway, the device information storage unit stores the specification information and the performance information in association with each other, and the generation unit stores the specification information of the specification information. The model data may be generated for each type.

前記判定部は、前記取得部により新たに取得された仕様情報に応じて、前記リスクレベルの判定基準を調整してもよい。   The determination unit may adjust the determination criterion for the risk level according to the specification information newly acquired by the acquisition unit.

前記取得部は、前記判定部により判定された前記リスクレベルに応じて段階的に、前記ゲートウェイから追加のパフォーマンス情報を取得し、前記判定部は、前記追加のパフォーマンス情報に基づいて、前記リスクレベルを調整してもよい。   The acquisition unit acquires additional performance information from the gateway stepwise according to the risk level determined by the determination unit, and the determination unit determines the risk level based on the additional performance information. May be adjusted.

前記管理部は、前記リスクレベルが所定範囲である場合、当該リスクレベルを所定の管理者端末へ通知してもよい。   When the risk level is within a predetermined range, the management unit may notify the risk level to a predetermined administrator terminal.

前記管理部は、前記管理者端末へリスクレベルを通知したことに応じて、当該管理者端末から前記ゲートウェイに対する制御方法の指示データを受信してもよい。   The management unit may receive control method instruction data for the gateway from the administrator terminal in response to notifying the administrator terminal of the risk level.

前記判定部は、所定の時間間隔で前記リスクレベルを判定してもよい。   The determination unit may determine the risk level at predetermined time intervals.

本発明に係る認証方法は、ゲートウェイに収容される複数のデバイスの通信の挙動を示すパフォーマンス情報を、当該ゲートウェイから取得する取得ステップと、前記パフォーマンス情報を蓄積するデバイス情報記憶ステップと、前記蓄積されたパフォーマンス情報に基づいて、前記デバイスの正常な挙動を示すモデルデータを生成する生成ステップと、前記モデルデータを記憶する判定モデル記憶ステップと、新たに取得されたパフォーマンス情報を、前記モデルデータと照合し、当該パフォーマンス情報に対応するデバイスのリスクレベルを判定する判定ステップと、前記リスクレベルに応じて、前記デバイスによる前記ゲートウェイより外部のネットワークへの接続を管理する管理ステップと、をコンピュータが実行する。   The authentication method according to the present invention includes an acquisition step of acquiring performance information indicating communication behavior of a plurality of devices accommodated in a gateway from the gateway, a device information storage step of storing the performance information, and the storage Based on the obtained performance information, a generation step for generating model data indicating a normal behavior of the device, a determination model storage step for storing the model data, and the newly acquired performance information are compared with the model data. Then, the computer executes a determination step of determining a risk level of the device corresponding to the performance information, and a management step of managing connection of the device to the external network from the gateway according to the risk level. .

本発明に係る認証プログラムは、ゲートウェイに収容される複数のデバイスの通信の挙動を示すパフォーマンス情報を、当該ゲートウェイから取得する取得ステップと、前記パフォーマンス情報を蓄積するデバイス情報記憶ステップと、前記蓄積されたパフォーマンス情報に基づいて、前記デバイスの正常な挙動を示すモデルデータを生成する生成ステップと、前記モデルデータを記憶する判定モデル記憶ステップと、新たに取得されたパフォーマンス情報を、前記モデルデータと照合し、当該パフォーマンス情報に対応するデバイスのリスクレベルを判定する判定ステップと、前記リスクレベルに応じて、前記デバイスによる前記ゲートウェイより外部のネットワークへの接続を管理する管理ステップと、をコンピュータに実行させる。   An authentication program according to the present invention includes an acquisition step of acquiring performance information indicating communication behavior of a plurality of devices accommodated in a gateway from the gateway, a device information storage step of storing the performance information, and the storage Based on the obtained performance information, a generation step for generating model data indicating a normal behavior of the device, a determination model storage step for storing the model data, and the newly acquired performance information are compared with the model data. And determining the risk level of the device corresponding to the performance information, and causing the computer to execute a management step of managing connection of the device to the external network from the gateway according to the risk level. .

本発明によれば、デバイスのネットワークへの不正接続を防止できる。   According to the present invention, unauthorized connection of a device to a network can be prevented.

認証システムの機能構成を示すブロック図である。It is a block diagram which shows the function structure of an authentication system. リスクレベルの判定基準を例示する図である。It is a figure which illustrates the criterion of a risk level. リスク学習処理を示すフローチャートである。It is a flowchart which shows a risk learning process. リスク分析処理を示すフローチャートである。It is a flowchart which shows a risk analysis process.

以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る認証サーバ1を含む認証システム100の機能構成を示すブロック図である。
認証システム100は、認証処理を実行する認証サーバ1と、ゲートウェイ2と、センサデバイス3と、管理者端末4とを備える。 Hereinafter, an example of an embodiment of the present invention will be described.
FIG. 1 is a block diagram showing a functional configuration of an authentication system 100 including an authentication server 1 according to the present embodiment.
The authentication system 100 includes an authentication server 1 that executes an authentication process, a gateway 2, a sensor device 3, and an administrator terminal 4.

ゲートウェイ2は、複数のセンサデバイス3を収容する。ゲートウェイ2とセンサデバイス3とは、例えば、ZigBee(登録商標)、WiFi(登録商標)、Bluetooth(登録商標)等、所定の通信プロトコルにより無線又は有線で相互に通信を行う。また、ゲートウェイ2は、3G又は4G等の所定のネットワーク6への接続又は切断を制御し、センサデバイス3を、例えばインターネット上のクラウドデータベース5と接続させる。   The gateway 2 accommodates a plurality of sensor devices 3. For example, the gateway 2 and the sensor device 3 communicate with each other wirelessly or by wire using a predetermined communication protocol such as ZigBee (registered trademark), WiFi (registered trademark), Bluetooth (registered trademark), or the like. The gateway 2 controls connection or disconnection to a predetermined network 6 such as 3G or 4G, and connects the sensor device 3 to, for example, the cloud database 5 on the Internet.

センサデバイス3は、例えば、家屋、店舗、公共施設又は建造物等に設置され、環境情報を取得してクラウドへ送信するデバイスである。センサデバイス3は、例えば、温度計、湿度計、加速度計、火災検知器、人感センサ、カメラ等、既存の様々なセンサを含む。   The sensor device 3 is a device that is installed in, for example, a house, a store, a public facility, or a building, and acquires environmental information and transmits it to the cloud. The sensor device 3 includes various existing sensors such as a thermometer, a hygrometer, an accelerometer, a fire detector, a human sensor, and a camera.

管理者端末4は、センサデバイス3の正規の利用者(管理者)が使用する端末であり、ネットワーク7を介して認証サーバ1と接続される。このネットワーク7は、ゲートウェイ2がクラウドにアクセスするネットワーク6と少なくとも一部が共通であってもよい。   The administrator terminal 4 is a terminal used by an authorized user (administrator) of the sensor device 3 and is connected to the authentication server 1 via the network 7. This network 7 may be at least partially in common with the network 6 through which the gateway 2 accesses the cloud.

認証サーバ1は、制御部10と、記憶部20と、通信部30とを備え、ゲートウェイ2から取得するデータに基づいて、センサデバイス3のリスクレベル認証を行う。   The authentication server 1 includes a control unit 10, a storage unit 20, and a communication unit 30, and performs risk level authentication of the sensor device 3 based on data acquired from the gateway 2.

制御部10は、認証サーバ1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。
また、制御部10が備える各部の機能の詳細は後述する。 The control unit 10 is a part that controls the entire authentication server 1, and implements various functions in the present embodiment by appropriately reading and executing various programs stored in the storage unit 20. The control unit 10 may be a CPU (Central Processing Unit).
Details of the function of each unit included in the control unit 10 will be described later.

記憶部20は、ハードウェア群を認証サーバ1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させる認証プログラム、デバイス情報DB(データベース)21、判定モデルDB22等を記憶する。   The storage unit 20 is a storage area for various programs and various data for causing the hardware group to function as the authentication server 1, and may be a ROM, a RAM, a flash memory, a hard disk (HDD), or the like. Specifically, the storage unit 20 stores an authentication program that causes the control unit 10 to execute each function of the present embodiment, a device information DB (database) 21, a determination model DB 22, and the like.

デバイス情報DB21は、複数のセンサデバイス3の仕様情報と通信の挙動を示すパフォーマンス情報とを対応付けて蓄積する。
仕様情報は、例えば、センサデバイス3の識別子、デバイスクラス、位置情報、CPUの種類、メモリ容量等を含み、デバイスの種類及び性能を示す情報である。
パフォーマンス情報は、例えば、データ量、データ転送間隔、パケットのシーケンス番号、接続要求回数等を含む。 The device information DB 21 accumulates specification information of a plurality of sensor devices 3 and performance information indicating communication behavior in association with each other.
The specification information is information indicating the type and performance of the device, including, for example, the identifier of the sensor device 3, device class, position information, CPU type, memory capacity, and the like.
The performance information includes, for example, a data amount, a data transfer interval, a packet sequence number, the number of connection requests, and the like.

判定モデルDB22は、センサデバイス3の正常な挙動を示すモデルデータを記憶する。このモデルデータと乖離した挙動を示すセンサデバイス3が不正なデバイスとして判定される。   The determination model DB 22 stores model data indicating normal behavior of the sensor device 3. The sensor device 3 that shows a behavior deviating from the model data is determined as an unauthorized device.

通信部30は、認証サーバ1が他の装置と通信する場合のネットワーク・アダプタである。具体的には、通信部30は、所定のネットワーク6を介して、ゲートウェイ2と通信し、デバイス情報の受信及び制御信号の送信を行う。   The communication unit 30 is a network adapter when the authentication server 1 communicates with other devices. Specifically, the communication unit 30 communicates with the gateway 2 via a predetermined network 6 to receive device information and transmit control signals.

次に、制御部10の機能を詳述する。
制御部10は、取得部11と、生成部12と、判定部13と、管理部14とを備える。 Next, the function of the control unit 10 will be described in detail.
The control unit 10 includes an acquisition unit 11, a generation unit 12, a determination unit 13, and a management unit 14.

取得部11は、複数のセンサデバイス3の仕様情報及びパフォーマンス情報を、ゲートウェイ2から取得する。センサデバイス3は、自身に関する仕様情報を保有しており、ゲートウェイ2と接続する際には、この仕様情報をゲートウェイ2と共有する。そして、ゲートウェイ2は、この仕様情報とパフォーマンス情報とを対応付けて、メタデータとして認証サーバ1へ送信する。   The acquisition unit 11 acquires specification information and performance information of the plurality of sensor devices 3 from the gateway 2. The sensor device 3 has specification information about itself, and shares this specification information with the gateway 2 when connecting to the gateway 2. Then, the gateway 2 associates the specification information with the performance information and transmits it as metadata to the authentication server 1.

また、取得部11は、判定部13により判定されたリスクレベルに応じて段階的に、ゲートウェイ2から追加のパフォーマンス情報を取得する。追加のパフォーマンス情報は、例えば通信のログデータ等、通信の内容を示す情報であってよく、リスクレベルをより正確に判定するための情報である。   Further, the acquisition unit 11 acquires additional performance information from the gateway 2 in a stepwise manner according to the risk level determined by the determination unit 13. The additional performance information may be information indicating the content of communication such as communication log data, and is information for more accurately determining the risk level.

生成部12は、デバイス情報DB21に蓄積されたパフォーマンス情報に基づいて、仕様情報の種類毎にセンサデバイス3の正常な挙動を示すモデルデータを生成する。   The generation unit 12 generates model data indicating normal behavior of the sensor device 3 for each type of specification information based on the performance information accumulated in the device information DB 21.

判定部13は、取得部11により新たに取得されたパフォーマンス情報を、判定モデルDB22のモデルデータと照合し、このパフォーマンス情報に対応するセンサデバイス3のリスクレベルを判定する。
このとき、判定部13は、取得部11により新たに取得された仕様情報に応じて、リスクレベルの判定基準を調整する。 The determination unit 13 collates the performance information newly acquired by the acquisition unit 11 with the model data of the determination model DB 22 and determines the risk level of the sensor device 3 corresponding to the performance information.
At this time, the determination unit 13 adjusts the risk level determination criterion according to the specification information newly acquired by the acquisition unit 11.

また、判定部13は、取得部11により追加のパフォーマンス情報を取得した場合、この追加のパフォーマンス情報に基づいて、リスクレベルを調整する。例えば、判定されたリスクレベルが高いほど、判定部は、取得するパフォーマンス情報を増やし、リスクレベルの信頼度を向上させる。
なお、追加の情報に基づくリスクレベル判定は、これら追加の情報を含むモデルデータとの比較に基づいてもよいし、既知の不正情報又は正常情報との比較に基づいてもよい。
また、取得部11がリスクレベル判定のために第1段階で取得するパフォーマンス情報は、モデルデータ生成のために蓄積するパフォーマンス情報よりも少ない種類であってもよい。この場合、リスクレベル判定には、モデルデータの一部のみが参照される。そして、判定部13は、第2段階以降で、残りの種類のパフォーマンス情報を要求する。 Further, when the acquisition unit 11 acquires additional performance information, the determination unit 13 adjusts the risk level based on the additional performance information. For example, as the determined risk level is higher, the determination unit increases the performance information to be acquired and improves the reliability of the risk level.
The risk level determination based on the additional information may be based on comparison with model data including the additional information, or may be based on comparison with known illegal information or normal information.
In addition, the performance information acquired by the acquisition unit 11 in the first stage for risk level determination may be of less types than the performance information accumulated for generating model data. In this case, only part of the model data is referred to for risk level determination. Then, the determination unit 13 requests the remaining types of performance information in the second and subsequent stages.

判定部13は、ゲートウェイ2から連続的に仕様情報及びパフォーマンス情報を取得してもよいが、所定の時間間隔で受信し、デバイス情報の蓄積及びリスクレベル判定を間欠的に行ってもよい。   The determination unit 13 may continuously acquire specification information and performance information from the gateway 2, but may receive device information at predetermined time intervals and intermittently perform device information accumulation and risk level determination.

図2は、本実施形態に係るリスクレベルの判定基準を例示する図である。
判定部13は、パフォーマンス情報をモデルデータと照合し、モデルデータとの乖離度(横軸)に応じて、リスクレベル(例えば、レベル1〜4)を判定する。 FIG. 2 is a diagram exemplifying risk level determination criteria according to the present embodiment.
The determination unit 13 compares the performance information with the model data, and determines a risk level (for example, levels 1 to 4) according to the degree of deviation from the model data (horizontal axis).

また、仕様情報に基づくクラウドへの影響度、すなわち、センサデバイス3の種類及び能力により想定される不正処理のバリエーション及び脅威の度合いに応じて、リスクレベルの判定基準(横軸の閾値)を調整する。具体的には、影響度が大きいほど、リスクレベルが高く判定される。   In addition, the risk level judgment criteria (threshold on the horizontal axis) are adjusted according to the degree of impact on the cloud based on the specification information, that is, the variation of the fraud processing assumed by the type and capability of the sensor device 3 and the degree of threat. To do. Specifically, the higher the influence level, the higher the risk level is determined.

管理部14は、判定部13により判定されたリスクレベルに応じて、センサデバイス3によるネットワーク6への接続を管理する。具体的には、管理部14は、判定されたリスクレベルが所定範囲(例えば、レベル2〜3)である場合、このリスクレベルを管理者端末4へ通知すると共に、リスクレベルに応じてゲートウェイ2を制御し、センサデバイス3のネットワーク6への接続を制限させる。例えば、管理部14は、リスクレベルに応じて、センサデバイス3のネットワーク6への接続を完全に遮断したり、一部の種類のパケットのみを伝送可能にしたりする。このとき、明らかに安全なリスクレベル(例えば、レベル1)の場合、及び明らかに不正接続と判断できるリスクレベル(たとえば、レベル4)の場合には、管理部14は、管理者端末4へ通知することなく、ゲートウェイ2を制御してもよい。
このとき、管理部14は、管理者端末4へリスクレベルを通知したことに応じて、管理者端末4からゲートウェイ2に対する制御方法の指示データを受信してもよい。 The management unit 14 manages connection of the sensor device 3 to the network 6 according to the risk level determined by the determination unit 13. Specifically, when the determined risk level is within a predetermined range (for example, levels 2 to 3), the management unit 14 notifies the administrator terminal 4 of this risk level and determines the gateway 2 according to the risk level. And the connection of the sensor device 3 to the network 6 is restricted. For example, the management unit 14 completely blocks the connection of the sensor device 3 to the network 6 or allows only some types of packets to be transmitted according to the risk level. At this time, in the case of a clearly safe risk level (for example, level 1) and a risk level (for example, level 4) that can be clearly determined as an unauthorized connection, the management unit 14 notifies the administrator terminal 4 You may control the gateway 2 without doing.
At this time, the management unit 14 may receive the control method instruction data for the gateway 2 from the administrator terminal 4 in response to the notification of the risk level to the administrator terminal 4.

図3は、本実施形態に係るリスク学習処理を示すフローチャートである。
ステップS1において、取得部11は、ゲートウェイ2から、センサデバイス3のデバイス情報として、仕様情報及びパフォーマンス情報を取得する。 FIG. 3 is a flowchart showing the risk learning process according to the present embodiment.
In step S <b> 1, the acquisition unit 11 acquires specification information and performance information as device information of the sensor device 3 from the gateway 2.

ステップS2において、取得部11は、ステップS1で取得したデバイス情報を、デバイス情報DB21に記憶する。   In step S2, the acquisition unit 11 stores the device information acquired in step S1 in the device information DB 21.

ステップS3において、生成部12は、モデルデータを生成するタイミング(例えば、所定の時間周期)であるか否かを判定する。この判定がYESの場合、処理はステップS4に移り、判定がNOの場合、処理はステップS1に戻る。   In step S <b> 3, the generation unit 12 determines whether it is time to generate model data (for example, a predetermined time period). If this determination is YES, the process proceeds to step S4, and if the determination is NO, the process returns to step S1.

ステップS4において、生成部12は、デバイス情報DB21から、所定期間に蓄積されたデバイス情報を抽出する。   In step S4, the generation unit 12 extracts device information accumulated in a predetermined period from the device information DB 21.

ステップS5において、生成部12は、ステップS4で抽出したデバイス情報をクラスタリングすることにより、デバイスの種類毎に、1又は複数の代表的なパフォーマンス情報からなるモデルデータを生成する。   In step S5, the generating unit 12 generates model data including one or more representative performance information for each device type by clustering the device information extracted in step S4.

ステップS6において、生成部12は、判定モデルDB22を更新し、ステップS5で生成したモデルデータを記憶する。   In step S6, the generation unit 12 updates the determination model DB 22, and stores the model data generated in step S5.

図4は、本実施形態に係るリスク分析処理を示すフローチャートである。
ステップS11において、取得部11は、ゲートウェイ2から、センサデバイス3のデバイス情報として、仕様情報及びパフォーマンス情報を取得する。 FIG. 4 is a flowchart showing risk analysis processing according to the present embodiment.
In step S <b> 11, the acquisition unit 11 acquires specification information and performance information as device information of the sensor device 3 from the gateway 2.

ステップS12において、判定部13は、ステップS11で取得したデバイス情報を、判定モデルDB22と照合し、リスクレベルを判定する。   In step S12, the determination unit 13 compares the device information acquired in step S11 with the determination model DB 22, and determines the risk level.

ステップS13において、判定部13は、ステップS12で判定したリスクレベルに基づいて、追加のデバイス情報を取得するか否かを判定する。この判定がYESの場合、処理はステップS11に戻り、判定がNOの場合、処理はステップS14に移る。   In step S13, the determination unit 13 determines whether to acquire additional device information based on the risk level determined in step S12. If this determination is YES, the process returns to step S11, and if the determination is NO, the process proceeds to step S14.

ステップS14において、管理部14は、ステップS12で判定したリスクレベルが所定の範囲内(例えば、レベル2又は3)か否かを判定する。この判定がYESの場合、処理はステップS15に移り、判定がNOの場合、処理はステップS18に移る。   In step S14, the management unit 14 determines whether or not the risk level determined in step S12 is within a predetermined range (for example, level 2 or 3). If this determination is YES, the process proceeds to step S15, and if the determination is NO, the process proceeds to step S18.

ステップS15において、管理部14は、ステップS12で判定したリスクレベルを、管理者端末4へ通知する。   In step S15, the management unit 14 notifies the manager terminal 4 of the risk level determined in step S12.

ステップS16において、管理部14は、ステップS15の通知に対する応答として、管理者端末4から制御指示を受けたか否かを判定する。この判定がYESの場合、処理はステップS19に移り、判定がNOの場合、処理はステップS17に移る。   In step S16, the management unit 14 determines whether a control instruction has been received from the administrator terminal 4 as a response to the notification in step S15. If this determination is YES, the process proceeds to step S19, and if the determination is NO, the process proceeds to step S17.

ステップS17において、管理部14は、ステップS15でリスクレベルを通知してから所定時間が経過したか否かを判定する。この判定がYESの場合、処理はステップS18に移り、判定がNOの場合、処理はステップS16に戻る。   In step S17, the management unit 14 determines whether or not a predetermined time has elapsed since the risk level was notified in step S15. If this determination is YES, the process proceeds to step S18, and if the determination is NO, the process returns to step S16.

ステップS18において、管理部14は、ゲートウェイ2に対して、判定したリスクレベルに基づく既定の制御を行い、センサデバイス3のネットワーク6への接続を制限させる。   In step S <b> 18, the management unit 14 performs predetermined control based on the determined risk level for the gateway 2 to restrict connection of the sensor device 3 to the network 6.

ステップS19において、管理部14は、ゲートウェイ2に対して、管理者端末4から指示された制御を行い、センサデバイス3のネットワーク6への接続を制限させる。   In step S <b> 19, the management unit 14 performs control instructed by the administrator terminal 4 to the gateway 2 to restrict connection of the sensor device 3 to the network 6.

なお、本リスク分析処理は、所定の周期で実行されてもよいし、管理者端末4からの指示、又は認証サーバ1への直接指示入力に応じて実行されてもよい。   This risk analysis process may be executed in a predetermined cycle, or may be executed in response to an instruction from the administrator terminal 4 or a direct instruction input to the authentication server 1.

本実施形態によれば、認証サーバ1は、センサデバイス3のパフォーマンス情報の履歴から生成される正常な挙動を示すモデルデータと照合することにより、不正接続のリスクレベルを判定する。これにより、認証サーバ1は、判定したリスクレベルに応じてセンサデバイス3によるネットワーク6への接続を制御できるので、センサデバイス3のネットワーク6への不正接続を防止できる。
この結果、認証サーバ1は、第三者の不正接続によるネットワーク6のタダ乗りのリスク、ネットワーク攻撃の踏み台にされるリスク、ネットワーク6への侵入による情報漏えいのリスク等を低減できる。 According to the present embodiment, the authentication server 1 determines the risk level of unauthorized connection by checking against model data indicating normal behavior generated from the history of performance information of the sensor device 3. Thereby, since the authentication server 1 can control the connection to the network 6 by the sensor device 3 according to the determined risk level, the unauthorized connection of the sensor device 3 to the network 6 can be prevented.
As a result, the authentication server 1 can reduce the risk of getting on the network 6 due to unauthorized connection by a third party, the risk of being used as a stepping stone for network attacks, the risk of information leakage due to intrusion into the network 6, and the like.

また、認証サーバ1は、センサデバイス3の仕様情報を取得し、種類毎にモデルデータを生成するので、判定用のモデルの信頼度が向上し、不正接続検出の精度を向上できる。
さらに、認証サーバ1は、仕様情報に応じてリスクレベルの判定基準を調整するので、センサデバイス3の性能に応じて変化する不正処理のバリエーション及び脅威の度合いに対して、適切にリスクレベルを判定することができる。 Moreover, since the authentication server 1 acquires the specification information of the sensor device 3 and generates model data for each type, the reliability of the determination model is improved, and the accuracy of unauthorized connection detection can be improved.
Furthermore, since the authentication server 1 adjusts the risk level determination criteria according to the specification information, the risk level is appropriately determined with respect to the variation of fraud processing and the degree of threat that change according to the performance of the sensor device 3. can do.

また、認証サーバ1は、判定したリスクレベルに応じて段階的に追加のデバイス情報を取得してリスクレベルを調整するので、リスクレベルが高いほど情報量を増やして、より正確な判定を行うことができる。さらに、認証サーバ1は、通常時又はリスクレベルが低い場合に取得するデバイス情報を低減できるので、通信量及び処理負荷を低減できる。   Moreover, since the authentication server 1 acquires additional device information in steps according to the determined risk level and adjusts the risk level, the amount of information is increased as the risk level is higher, and more accurate determination is performed. Can do. Furthermore, since the authentication server 1 can reduce the device information acquired at the normal time or when the risk level is low, the communication amount and the processing load can be reduced.

また、認証サーバ1は、判定したリスクレベルを管理者端末4へ通知するので、センサデバイス3の正規な利用者は、リスクの発生を迅速に把握でき対処することができる。
さらに、認証サーバ1は、管理者端末4から制御方法の指示データを受信することにより、利用者の判断に基づき、センサデバイス3のネットワーク6への接続に対して適切な制御を行うことができる。 In addition, since the authentication server 1 notifies the administrator terminal 4 of the determined risk level, an authorized user of the sensor device 3 can quickly grasp and deal with the occurrence of the risk.
Furthermore, the authentication server 1 can perform appropriate control on the connection of the sensor device 3 to the network 6 based on the judgment of the user by receiving the control method instruction data from the administrator terminal 4. .

また、認証サーバ1は、所定の時間間隔で間欠的にリスクレベルを判定するので、必要以上に判定処理を繰り返すことを抑制し、通信量及び処理負荷を低減できる。   Moreover, since the authentication server 1 determines the risk level intermittently at a predetermined time interval, it is possible to suppress the determination process from being repeated more than necessary, and to reduce the communication amount and the processing load.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. Further, the effects described in the present embodiment are merely a list of the most preferable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the present embodiment.

認証サーバ1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(認証サーバ1)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。   The authentication method by the authentication server 1 is realized by software. When realized by software, a program constituting the software is installed in the information processing apparatus (authentication server 1). These programs may be recorded on a removable medium such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network.

1 認証サーバ
2 ゲートウェイ
3 センサデバイス
4 管理者端末
5 クラウドデータベース
10 制御部
11 取得部
12 生成部
13 判定部
14 管理部
20 記憶部
21 デバイス情報DB
22 判定モデルDB
30 通信部 DESCRIPTION OF SYMBOLS 1 Authentication server 2 Gateway 3 Sensor device 4 Manager terminal 5 Cloud database 10 Control part 11 Acquisition part 12 Generation part 13 Determination part 14 Management part 20 Storage part 21 Device information DB
22 Judgment model DB
30 Communication Department

Claims (9)

ゲートウェイに収容される複数のデバイスの通信の挙動を示すパフォーマンス情報を、当該ゲートウェイから取得する取得部と、
前記パフォーマンス情報を蓄積するデバイス情報記憶部と、
前記デバイス情報記憶部に蓄積されたパフォーマンス情報に基づいて、前記デバイスの正常な挙動を示すモデルデータを生成する生成部と、
前記モデルデータを記憶する判定モデル記憶部と、
前記取得部により新たに取得されたパフォーマンス情報を、前記モデルデータと照合し、当該パフォーマンス情報に対応するデバイスのリスクレベルを判定する判定部と、
前記判定部により判定された前記リスクレベルに応じて、前記デバイスによる前記ゲートウェイより外部のネットワークへの接続を管理する管理部と、を備える認証サーバ。 An acquisition unit for acquiring performance information indicating communication behavior of a plurality of devices accommodated in the gateway from the gateway;
A device information storage unit for accumulating the performance information;
Based on performance information accumulated in the device information storage unit, a generation unit that generates model data indicating normal behavior of the device;
A determination model storage unit for storing the model data;
The performance information newly acquired by the acquisition unit is compared with the model data, and a determination unit that determines a risk level of a device corresponding to the performance information,
An authentication server comprising: a management unit that manages connection of the device to an external network from the gateway according to the risk level determined by the determination unit. 前記取得部は、前記デバイスの仕様情報を、更に前記ゲートウェイから取得し、
前記デバイス情報記憶部は、前記仕様情報と前記パフォーマンス情報とを対応付けて蓄積し、
前記生成部は、前記仕様情報の種類毎に前記モデルデータを生成する請求項1に記載の認証サーバ。 The acquisition unit further acquires specification information of the device from the gateway,
The device information storage unit stores the specification information and the performance information in association with each other,
The authentication server according to claim 1, wherein the generation unit generates the model data for each type of the specification information. 前記判定部は、前記取得部により新たに取得された仕様情報に応じて、前記リスクレベルの判定基準を調整する請求項2に記載の認証サーバ。   The authentication server according to claim 2, wherein the determination unit adjusts the risk level determination criterion according to the specification information newly acquired by the acquisition unit. 前記取得部は、前記判定部により判定された前記リスクレベルに応じて段階的に、前記ゲートウェイから追加のパフォーマンス情報を取得し、
前記判定部は、前記追加のパフォーマンス情報に基づいて、前記リスクレベルを調整する請求項1から請求項3のいずれかに記載の認証サーバ。 The acquisition unit acquires additional performance information from the gateway stepwise according to the risk level determined by the determination unit,
The authentication server according to claim 1, wherein the determination unit adjusts the risk level based on the additional performance information. 前記管理部は、前記リスクレベルが所定範囲である場合、当該リスクレベルを所定の管理者端末へ通知する請求項1から請求項4のいずれかに記載の認証サーバ。   The authentication server according to claim 1, wherein, when the risk level is within a predetermined range, the management unit notifies the predetermined administrator terminal of the risk level. 前記管理部は、前記管理者端末へリスクレベルを通知したことに応じて、当該管理者端末から前記ゲートウェイに対する制御方法の指示データを受信する請求項5に記載の認証サーバ。   The authentication server according to claim 5, wherein the management unit receives instruction data of a control method for the gateway from the administrator terminal in response to notifying the administrator terminal of the risk level. 前記判定部は、所定の時間間隔で前記リスクレベルを判定する請求項1から請求項6のいずれかに記載の認証サーバ。   The authentication server according to claim 1, wherein the determination unit determines the risk level at predetermined time intervals. ゲートウェイに収容される複数のデバイスの通信の挙動を示すパフォーマンス情報を、当該ゲートウェイから取得する取得ステップと、
前記パフォーマンス情報を蓄積するデバイス情報記憶ステップと、
前記蓄積されたパフォーマンス情報に基づいて、前記デバイスの正常な挙動を示すモデルデータを生成する生成ステップと、
前記モデルデータを記憶する判定モデル記憶ステップと、
新たに取得されたパフォーマンス情報を、前記モデルデータと照合し、当該パフォーマンス情報に対応するデバイスのリスクレベルを判定する判定ステップと、
前記リスクレベルに応じて、前記デバイスによる前記ゲートウェイより外部のネットワークへの接続を管理する管理ステップと、をコンピュータが実行する認証方法。 An acquisition step of acquiring performance information indicating communication behavior of a plurality of devices accommodated in the gateway from the gateway;
A device information storage step for accumulating the performance information;
Generating a model data indicating a normal behavior of the device based on the accumulated performance information;
A determination model storing step for storing the model data;
Newly acquired performance information is compared with the model data, and a determination step of determining a risk level of a device corresponding to the performance information;
An authentication method in which a computer executes a management step of managing connection of the device to an external network from the gateway according to the risk level. ゲートウェイに収容される複数のデバイスの通信の挙動を示すパフォーマンス情報を、当該ゲートウェイから取得する取得ステップと、
前記パフォーマンス情報を蓄積するデバイス情報記憶ステップと、
前記蓄積されたパフォーマンス情報に基づいて、前記デバイスの正常な挙動を示すモデルデータを生成する生成ステップと、
前記モデルデータを記憶する判定モデル記憶ステップと、
新たに取得されたパフォーマンス情報を、前記モデルデータと照合し、当該パフォーマンス情報に対応するデバイスのリスクレベルを判定する判定ステップと、
前記リスクレベルに応じて、前記デバイスによる前記ゲートウェイより外部のネットワークへの接続を管理する管理ステップと、をコンピュータに実行させるための認証プログラム。 An acquisition step of acquiring performance information indicating communication behavior of a plurality of devices accommodated in the gateway from the gateway;
A device information storage step for accumulating the performance information;
Generating a model data indicating a normal behavior of the device based on the accumulated performance information;
A determination model storing step for storing the model data;
Newly acquired performance information is compared with the model data, and a determination step of determining a risk level of a device corresponding to the performance information;
An authentication program for causing a computer to execute a management step of managing connection from the gateway to the external network by the device according to the risk level.
JP2013200332A 2013-09-26 2013-09-26 Authentication server, authentication method, and authentication program Active JP6066877B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013200332A JP6066877B2 (en) 2013-09-26 2013-09-26 Authentication server, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013200332A JP6066877B2 (en) 2013-09-26 2013-09-26 Authentication server, authentication method, and authentication program

Publications (2)

Publication Number Publication Date
JP2015069227A JP2015069227A (en) 2015-04-13
JP6066877B2 true JP6066877B2 (en) 2017-01-25

Family

ID=52835878

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013200332A Active JP6066877B2 (en) 2013-09-26 2013-09-26 Authentication server, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP6066877B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6770454B2 (en) * 2017-02-16 2020-10-14 日本電信電話株式会社 Anomaly detection system and anomaly detection method
JP7006345B2 (en) * 2018-02-09 2022-02-10 富士通株式会社 Communication control method, communication control device and communication control program
JP7127525B2 (en) * 2018-12-19 2022-08-30 日本電信電話株式会社 DETECTION DEVICE, DETECTION METHOD, AND DETECTION PROGRAM

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004193903A (en) * 2002-12-10 2004-07-08 Sumitomo Electric Ind Ltd Vehicle-mounted communication system and repeating device
JP5160911B2 (en) * 2008-01-23 2013-03-13 日本電信電話株式会社 User authentication device, user authentication method, and user authentication program

Also Published As

Publication number Publication date
JP2015069227A (en) 2015-04-13

Similar Documents

Publication Publication Date Title
US9882912B2 (en) System and method for providing authentication service for internet of things security
US10826684B1 (en) System and method of validating Internet of Things (IOT) devices
CN107659543B (en) Protection method for APT (android packet) attack of cloud platform
CN105577608B (en) Network attack behavior detection method and device
ES2808974T3 (en) Procedure for identifying the risk of account theft, identification device and prevention and control system
CN104519032B (en) A kind of security strategy and system of internet account number
CN105100032B (en) A kind of method and device for preventing resource from stealing
ES2854701T3 (en) Computer storage methods and media to divide the security of sessions
WO2016006520A1 (en) Detection device, detection method and detection program
CN110417778B (en) Access request processing method and device
KR20190075861A (en) Detection method, device, server and storage medium of DoS / DDoS attack
RU2017111477A (en) Methods and systems for determining non-standard user activity
CN109167781B (en) Network attack chain identification method and device based on dynamic correlation analysis
WO2014113882A1 (en) Computer system and method for indoor geo-fencing and access control
CN102710770A (en) Identification method for network access equipment and implementation system for identification method
CN106302346A (en) The safety certifying method of API Calls, device, system
US9269259B2 (en) Methods and systems for processing crowd-sensed data
TW201537529A (en) Security system access detection
WO2016184380A1 (en) Processing method and device for network access
CN103607385A (en) Method and apparatus for security detection based on browser
CN109428857B (en) Detection method and device for malicious detection behaviors
KR101750760B1 (en) System and method for anomaly behavior detection of smart home service
CN102684944A (en) Method and device for detecting intrusion
US20150031381A1 (en) Processing communications via a sensor network
WO2020210976A1 (en) System and method for detecting anomaly

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161220

R150 Certificate of patent or registration of utility model

Ref document number: 6066877

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150