JP6953759B2 - Authentication device, authentication method and program - Google Patents
Authentication device, authentication method and program Download PDFInfo
- Publication number
- JP6953759B2 JP6953759B2 JP2017062870A JP2017062870A JP6953759B2 JP 6953759 B2 JP6953759 B2 JP 6953759B2 JP 2017062870 A JP2017062870 A JP 2017062870A JP 2017062870 A JP2017062870 A JP 2017062870A JP 6953759 B2 JP6953759 B2 JP 6953759B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- priority
- authentication request
- request
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本開示は、認証装置、認証方法およびプログラムに関する。 The present disclosure relates to authentication devices, authentication methods and programs.
インターネットの普及により、地理的な制約を受けずにサービスを提供する計算機システム、例えばサーバ等のリソースを利用できる環境が整いつつある。近年利用が増加しているクラウドサービスも、地理的制約から解放された計算機システムの利用方法の一例と考えられる。 With the spread of the Internet, an environment in which resources such as a computer system that provides services without geographical restrictions, such as a server, can be used is being prepared. Cloud services, which have been increasing in use in recent years, are also considered to be an example of how to use computer systems that are free from geographical restrictions.
しかしながら、地理的制約からの解放により、例えばサーバ等のリソースを容易に使えるようになる一方で、悪意を持った利用者からのサーバに対する不正なアクセスが増加している。 However, while the release from geographical restrictions makes it easier to use resources such as servers, unauthorized access to servers by malicious users is increasing.
この不正なアクセスは、サーバが持つリソース、またはリソースに含まれる機密情報を入手する目的だけでなく、サーバが提供するサービスを妨害する目的で行われることもある。これらの不正アクセスからサーバ等のリソース、機密情報およびサービスを保護するために、認証の重要性が高まっている。 This unauthorized access may be made not only for the purpose of obtaining the resources of the server or the confidential information contained in the resources, but also for the purpose of interfering with the services provided by the server. Authentication is becoming increasingly important to protect resources such as servers, sensitive information and services from these unauthorized accesses.
サーバを保護するには、強固な認証の仕組みが必要となる。しかし、認証の仕組みが強固になればなるほど、認証の仕組みに要するサーバの計算機資源(CPU(Central Processing Unit)やメモリ)も増加する。 A strong authentication mechanism is required to protect the server. However, the stronger the authentication mechanism, the more computer resources (CPU (Central Processing Unit) and memory) of the server required for the authentication mechanism.
さらに、地理的制約からの解放によるサーバの利用者の増加、および、サービスを妨害する意図でのアクセス(DoS(Denial of Services)攻撃)により、認証が行われる回数自体も増加傾向にある。 Furthermore, the number of times authentication itself is increasing due to the increase in server users due to the release from geographical restrictions and access with the intention of interfering with services (DoS (Denial of Services) attack).
これらの背景により、サーバが保有する計算機資源における認証のコストは増加傾向にあり、認証のコストが、サービスを提供するサーバに対して高負荷となる恐れがある。 Due to these backgrounds, the cost of authentication in the computer resources owned by the server tends to increase, and the cost of authentication may put a heavy load on the server that provides the service.
認証の負荷を分散する手段として、例えば、特許文献1には、認証を複数の計算機で分担して行う「スケールアウト」の手法が記載されている。特許文献1に記載の手法においては、認証を要求した利用者が使用するクライアント端末が、認証を行う夫々のサーバの優先度に基づき、夫々のサーバにアクセスすることで、夫々のサーバにおける認証のコストの均等化を行う。
As a means for distributing the load of authentication, for example,
しかしながら、例えば、一台の計算機でサービスを提供することを前提にしたメインフレーム等のサーバにおいて、複数の計算機を使用することができないため、特許文献1に記載の手法を用いることは難しい。
However, for example, it is difficult to use the method described in
本開示は、上記問題を鑑みたものであって、一台の計算機の中で効率良く認証を行う技術を提供する。 In view of the above problems, the present disclosure provides a technique for efficiently performing authentication in one computer.
本開示の一形態に係る認証装置は、サービスの利用に対する認証の要求である認証要求を受け付け、前記認証要求に関連するサービスの優先順位を示す第1の優先度に応じて、前記認証の実行の優先順位を示す第2の優先度を前記認証要求に付与する判定手段と、前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択手段と、選択された認証要求に対し、前記認証を行う認証手段と、を備える。 The authentication device according to one form of the present disclosure accepts an authentication request which is a request for authentication for the use of the service, and executes the authentication according to a first priority indicating the priority of the service related to the authentication request. A determination means for assigning a second priority indicating the priority of the above to the authentication request, a selection means for selecting the authentication request to be authenticated according to the second priority, and the selected authentication. It is provided with an authentication means for performing the authentication in response to the request.
本開示の一形態に係る認証方法は、サービスの利用に対する認証の要求である認証要求を受け付け、前記認証要求に関連するサービスの優先順位を示す第1の優先度に応じて、前記認証の実行順を示す第2の優先度を前記認証要求に付与し、前記第2の優先度に応じて、前記認証の対象となる認証要求を選択し、選択された認証要求に対し、前記認証を行う。 The authentication method according to one form of the present disclosure accepts an authentication request which is a request for authentication for the use of the service, and executes the authentication according to a first priority indicating the priority of the service related to the authentication request. A second priority indicating the order is given to the authentication request, an authentication request to be authenticated is selected according to the second priority, and the authentication is performed for the selected authentication request. ..
本開示の一形態に係るプログラムは、サービスの利用に対する認証の要求である認証要求を受け付け、前記認証要求に関連するサービスの優先順位を示す第1の優先度に応じて、前記認証の実行順を示す第2の優先度を前記認証要求に付与する判定処理と、前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択処理と、選択された認証要求に対し、前記認証を行う認証処理と、をコンピュータに実行させる。 The program according to one form of the present disclosure accepts an authentication request, which is a request for authentication for the use of the service, and executes the authentication in the order of execution of the authentication according to the first priority indicating the priority of the service related to the authentication request. A determination process for assigning a second priority indicating the above to the authentication request, a selection process for selecting an authentication request to be authenticated according to the second priority, and a selection process for the selected authentication request. , The authentication process for performing the authentication, and the computer are made to execute.
本開示によれば、一台の計算機の中で効率良く認証を行うことができる。 According to the present disclosure, authentication can be efficiently performed in one computer.
以下、本開示の実施形態について図面を参照して詳細に説明する。 Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings.
<第1実施形態>
図1は、認証システム1の構成の一例を示す機能ブロック図である。認証システム1は、認証装置10と、サーバ20と、サーバ30と、クライアント端末40と、クライアント端末50とを含む。
<First Embodiment>
FIG. 1 is a functional block diagram showing an example of the configuration of the
サーバ20とサーバ30とは、有線または無線のネットワークを介し、クライアント端末40と、クライアント端末50とにサービスを提供する。サーバ20は、例えば、HTTP(HyperText Transfer Protocol)サーバによって構成される。サーバ30は、例えば、メールサーバによって構成される。つまり、サーバ20はHTTPサービスを提供し、サーバ30はメールサービスを提供する。
The
認証装置10は、クライアント端末40またはクライアント端末50が、サーバ20またはサーバ30から提供されるサービスを利用するための認証を行う装置である。言い換えると、認証装置10は、クライアント端末40と、クライアント端末50とがサーバ20またはサーバ30が提供するサービスを利用する権限を有しているか否か判定する装置である。
The
また例えば、認証装置10は、Linux(登録商標)などで利用されているPAM(Pluggable Authentication Modules)によって実現される。認証装置10は、判定部11と、確認部12と、選択部13と、認証部14と、記憶部15とを備える。
Further, for example, the
(記憶部15)
記憶部15は、優先度が付与された認証要求が格納されている認証要求リスト151と、判定部11が認証要求に対して優先度を付与するために用いる情報が格納されている優先度判定データベース152と、認証待機リスト153と、認証要求量154とを記憶する。認証要求リスト151と、優先度判定データベース152と、認証待機リスト153と、認証要求量154とについては後述する。
(Memory unit 15)
The
(判定部11)
判定部11は、クライアント端末40またはクライアント端末50からサーバ20またはサーバ30が受け取った認証の要求(以降、第1の認証要求と称す)を受け付ける。また、第1の認証要求は、サーバ20またはサーバ30が提供するサービスの利用に対する認証の要求である。
(Judgment unit 11)
The
図2は、判定部11が各サーバから受け付ける第1の認証要求のデータ構造の一例を示す図である。図2に示すテーブルの1つのエントリが、1つの第1の認証要求を示す。第1の認証要求は、認証要求サービス1511と、認証ID(Identifier)1512と、パスワード1513とを含む。
FIG. 2 is a diagram showing an example of the data structure of the first authentication request received from each server by the
認証要求サービス1511は、クライアント端末40またはクライアント端末50が認証要求を送信したサーバ20またはサーバ30が提供するサービスを表す。認証要求サービス1511はサービスを表すサービス名でもよいし、サービスを提供する各サーバのポート番号でもよい。
The
認証ID1512は、各クライアント端末を利用する利用者(以降、クライアントと称する)を識別する識別子である。パスワード1513は、認証部14が行う認証に用いられるパスワードである。認証ID1512およびパスワード1513は、クライアントの特定および正当性を保証するために一般的に用いられる。
The
判定部11は第1の認証要求に受け付けた順序を示す受領番号(順序情報)を付与する。以降、受領番号が付与された(受領番号を含む)第1の認証要求を第2の認証要求と称す。また、判定部11は、第2の認証要求に含まれる情報に応じて、第2の認証要求に優先度を付与するか否か判定する。
The
また判定部11は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度が閾値を超える第2の認証要求を認証待機リスト153に格納する。ここでは、一例として、閾値は優先度の所定の順位を表す数値に対応する。すなわち、認証待機リスト153は、優先度の順位(優先順位)が相対的に高く、判定部11が応答性が求められないサービスに対する認証要求であると判定した認証要求を一時的に格納するリストである。
Further, the
また判定部11は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度が所定の条件を満たす場合、第2の認証要求に優先度を付与する。所定の条件とは、例えば、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度が閾値以下であることである。
これ以降、相対的に高い優先順位の優先度が付与された(優先度を含む)第2の認証要求を第3の認証要求と称する。そして、判定部11は、第3の認証要求を認証要求リスト151に格納する。なお、判定部11が確認部12から第2の認証要求を受け付けた場合の動作については、図6と図8とに示すフローチャートを用いて後述する。
Further, the
Hereinafter, the second authentication request (including the priority) to which the priority of a relatively high priority is given is referred to as a third authentication request. Then, the
図3は、記憶部15に記憶される優先度判定データベース152の一例を示す図である。優先度判定データベース152は、認証要求サービス1511と、優先度1522とを含む。認証要求サービス1511と、優先度1522とは紐づいている。優先度(第1の優先度)1522は、自身に紐づく認証要求サービス1511に対する優先順位を示す。
FIG. 3 is a diagram showing an example of the
具体的に、認証要求サービス1511が「メール」のサービス(メールサービスと呼ぶ)の優先度1522は「1」であり、認証要求サービス1511が「HTTP」のサービス(HTTPサービスと呼ぶ)の優先度1522は「2」である。本開示において、優先度1522の数値が小さいほど、優先順位は高くなるとする。よって、HTTPサービスの優先順位よりメールサービスの優先順位のほうが高くなるとする。
Specifically, the
第1の認証要求に含まれる認証要求サービス1511は、上述したように各サーバが提供するサービスでもある。そのため、判定部11は、第2の認証要求に含まれる認証要求サービス1151に紐づく優先度1522を確認するために、図3に示す優先度判定データベース152を参照する。
The
ここで、図4と図5とを用いて、認証要求リスト151と認証待機リスト153とを説明する。
Here, the
図4は、認証要求リスト151の一例を示す図である。図4に示す認証要求リスト151の1つのエントリが、1つの第3の認証要求を示す。認証要求リスト151には、認証要求サービス1511、認証ID1512、パスワード1513、受領番号1514および優先度1515が夫々関連付けられている。つまり、第3の認証要求は、認証要求サービス1511、認証ID1512、パスワード1513、受領番号1514および優先度1515を含む。優先度(第2の優先度)1515は、認証要求に対して付与された、後述する認証部14が認証を実行する優先順位を示す。
FIG. 4 is a diagram showing an example of the
図4に示す認証要求リスト151において、第3の認証要求に含まれる受領番号1514は、判定部11が認証要求を受け付けた時刻を示すタイムスタンプとなっている。また第1実施形態において、第3の認証要求に含まれる優先度1515は、夫々の第3の認証要求に含まれる認証要求サービス1511に紐づく優先度1522と等しい。そのため、図4に示すように、同一の優先度1515が付与された認証要求が存在する。
In the
認証要求量154は、認証要求リスト151に格納されている認証要求の数を示す。例えば、図4に示す認証要求リスト151の場合、認証要求量154は「3」である。
The
図5は、認証待機リスト153の一例を示す図である。図5に示す認証待機リスト153の1つのエントリが、1つの第2の認証要求を示す。認証待機リスト153には、認証要求サービス1511、認証ID1512、パスワード1513および受領番号1514が関連付けられている。つまり、第2の認証要求は、認証要求サービス1511、認証ID1512、パスワード1513および受領番号1514を含む。
FIG. 5 is a diagram showing an example of the
(選択部13)
選択部13は、認証部14が認証を行う第3の認証要求を選択する。具体的に選択部13は、認証要求リスト151に格納されている第3の認証要求のうち、最も高い優先度を含む第3の認証要求を選択し、選択した第3の認証要求を認証部14に送信する。
(Selection unit 13)
The
(認証部14)
認証部14は、選択部13から送信された第3の認証要求に対し認証を行う。具体的に、認証部14は、一般的な手法を用いて、クライアント端末40と、クライアント端末50とがサーバ20またはサーバ30が提供するサービスを利用する権限を有しているか否か判定する。
(Authentication unit 14)
The
(確認部12)
確認部12は、第2の認証要求を判定部11に送信する。上述したように、認証部14は、第3の認証要求に含まれる優先度1515に応じて認証を行う。第2の認証要求は優先度1515を含まないため、認証部14によって認証されない。そのため、確認部12は、再度判定部11が優先度1515を付与するか否か判定するように、第2の認証要求を判定部11に送信する。
(Confirmation unit 12)
The
図6は、判定部11の動作の一例を示すフローチャートである。判定部11は、認証要求を受け付ける(ステップS401)。具体的に判定部11は、サーバ20またはサーバ30から第1の認証要求を受け付ける、または確認部12から第2の認証要求を受け付ける。
FIG. 6 is a flowchart showing an example of the operation of the
判定部11は、受け付けた認証要求に、受領番号1514が付与されているか否か判定する(ステップS402)。具体的に、判定部11は、受け付けた認証要求が、第1の認証要求または第2の認証要求かを判定する。サーバ20またはサーバ30から受け付けた第1の認証要求は、図2に示すとおり受領番号1514を含まない。一方で、確認部12から受け付けた第2の認証要求は、図5に示すとおり受領番号1514を含む。そのため、第1の認証要求の場合、処理はステップS402にてNOとなり、第2の認証要求の場合、処理はステップS402にてYESとなる。
The
受け付けた認証要求に受領番号1514が付与されている場合(ステップS402にてYES)、すなわち、受け付けた認証要求が第2の認証要求の場合、処理はステップS404に進む。 If the received authentication request is given the receipt number 1514 (YES in step S402), that is, if the received authentication request is the second authentication request, the process proceeds to step S404.
一方で、受け付けた認証要求に受領番号1514が付与されていない場合(ステップS402にてNO)、すなわち、判定部11が受け付けた認証要求が第1の認証要求の場合、処理はステップS403に進む。そして、判定部11は、受け付けた第1の認証要求に受領番号1514を付与する(ステップS403)。ステップS403の処理によって、第1の認証要求は第2の認証要求となる。
On the other hand, if the received authentication request is not given the receipt number 1514 (NO in step S402), that is, if the authentication request received by the
判定部11は、優先度判定データベース152を参照し、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522を確認する(ステップS404)。そして、判定部11は、認証要求量154が閾値以下であるか否か判定する(ステップS405)。
The
認証要求量154が閾値より多い場合(ステップS405にてNO)、判定部11は、ステップS404にて確認した認証要求サービス1511に紐づく優先度1522が閾値以下であるか否か判定する(ステップS409)。
When the
優先度1522が閾値以下である場合(ステップS409にてYES)、または認証要求量154が閾値以下である場合(ステップS405にてYES)、判定部11は、第2の認証要求に、ステップS404で確認した認証要求サービス1511に紐づく優先度1522を、認証要求に対する優先度1515として付与する(ステップS406)。ステップS406の処理によって、第2の認証要求は第3の認証要求となる。判定部11は、認証要求サービス1511に紐づく優先度1522を、認証要求に対する優先度1515として付与する。これにより、認証要求に対する優先度1515を新たに算出し、算出した優先度1515を認証要求に付与する場合に比べ、認証装置10は優先度1515を付与する処理の速度を上げることができる。
When the
そして、判定部11は、第3の認証要求を認証要求リスト151に格納する(ステップS407)。ステップS407の処理によって、認証要求リスト151に格納されている第3の認証要求の数が増えるため、判定部11は、認証要求量154を更新する(ステップS408)。そして、処理は終了する。
Then, the
優先度1522が閾値より大きい場合(ステップS409にてNO)、判定部11は、認証待機の応答をステップS401で受け付けた認証要求を送信した送信元に、返却する(ステップS410)。具体的に、ステップS401で受け付けた認証要求が第1の認証要求の場合、判定部11は、ステップS410において、サーバ20またはサーバ30に、認証待機の応答を返却する。また、ステップS401で受け付けた認証要求が第2の認証要求の場合、判定部11は、ステップS410において、確認部12に認証待機の応答を返却する。その後、判定部11は、第2の認証要求を認証待機リスト153に格納する(ステップS411)。そして、処理は終了する。
When the
図7は、選択部13の動作の一例を示すフローチャートである。選択部13は、以下に示す動作を定期的に行う。選択部13は、認証要求リスト151に第3の認証要求が格納されているか否か判定する(ステップS501)。認証要求リスト151に第3の認証要求が格納されていない場合(ステップS501にてNO)、処理は終了する。
FIG. 7 is a flowchart showing an example of the operation of the
一方で、認証要求リスト151に第3の認証要求が格納されている場合(ステップS501にてYES)、選択部13は、認証要求リスト151に格納されている第3の認証要求のうち、最も高い優先順位に対応する優先度(以下、最も高い優先度と呼ぶ)を含む第3の認証要求を選択する(ステップS502)。
On the other hand, when the third authentication request is stored in the authentication request list 151 (YES in step S501), the
そして、選択部13は、ステップS502にて選択した最も高い優先度を含む第3の認証要求が複数であるか否か判定する(ステップS503)。最も高い優先度を含む第3の認証要求が複数でない場合(ステップS503にてNO)、つまり、最も高い優先度を含む第3の認証要求が1つである場合、処理はステップS505に進む。
Then, the
一方で、最も高い優先度を含む第3の認証要求が複数である場合(ステップS503にてYES)、選択部13は、最も高い優先度を含む複数の第3の認証要求のうち、最も古い受領番号1514を含む第3の認証要求を選択する(ステップS504)。本実施形態において受領番号1514はタイムスタンプであり、同一の番号となることはない。したがって、ステップS504において、最も高い優先度を含む第3の認証要求が複数である場合でも、選択部13はタイムスタンプである受領番号1514を参照することによって、1つの第3の認証要求を選択することができる。そして処理はステップS505に進む。
On the other hand, when there are a plurality of third authentication requests including the highest priority (YES in step S503), the
選択部13は、ステップS502またはステップS504にて選択した1つの第3の認証要求を認証部14に送信する(ステップS505)。その後、処理はステップS501に進む。
The
以上の処理によって、ステップS505にて選択部13から送信された第3の認証要求に対し、認証部14は認証を行う。
Through the above processing, the
例えば判定部11は、定期的に選択部13に図7に示す動作を行うように指示を送信してもよい。そして選択部13は、判定部11からの指示に基づき、図7に示す動作を行ってもよい。また、選択部13が定期的に図7に示す動作を実行してもよい。
For example, the
図8は、確認部12の動作の一例を示すフローチャートである。確認部12は、以下に示す動作を定期的に行う。確認部12は、認証待機リスト153に第2の認証要求が格納されているか否か判定する(ステップS601)。認証待機リスト153に第2の認証要求が格納されていない場合(ステップS601にてNO)、処理は終了する。
FIG. 8 is a flowchart showing an example of the operation of the
一方で、認証待機リスト153に第2の認証要求が格納されている場合(ステップS601にてYES)、確認部12は、記憶部15から認証要求量154を取得する(ステップS602)。そして、確認部12は、認証要求量154が閾値以下であるか否か判定する(ステップS603)。認証要求量154が閾値より多い場合(ステップS603にてNO)、処理は終了する。
On the other hand, when the second authentication request is stored in the authentication waiting list 153 (YES in step S601), the
認証要求量154が閾値以下である場合(ステップS603にてYES)、確認部12は、認証待機リスト153に格納されている第2の認証要求のうち、最も古い受領番号1514を含む第2の認証要求を選択する(ステップS604)。そして、確認部12は、ステップS604にて選択した第2の認証要求を、判定部11に送信する(ステップS605)。そして、処理はステップS601に進む。
When the
なお、ステップS605にて確認部12から送信された第2の認証要求に対し、判定部11は図6に示す処理を行う。
The
第2の認証要求に含まれる認証要求サービス1511に紐づく優先度が閾値を超える第2の認証要求は、優先度1515が付与されることなく、認証待機リスト153に格納される。例えば、大量の認証要求を受け付けた場合、判定部11が受け付けた全ての認証要求に対し優先度1515の付与を行ってから、認証要求を認証要求リスト151と認証待機リスト153とに振り分けると、認証装置10にとって優先度の付与が認証処理の応答性を低下させる場合がある。よって、認証装置10は、認証要求サービス1511に紐づく優先度が閾値を超える第2の認証要求に優先度を付与することなく証待機リスト153に格納することで、例えば、大量の認証要求を受け付けた場合でも、認証処理の応答性を低下させずに優先度の付与を行うことができる。
The second authentication request whose priority associated with the
判定部11は、認証要求量154が閾値以下の場合、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522に関係なく、優先度1515を付与する。例えば、判定部11が第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522が閾値より小さい場合にのみ、第2の認証要求に優先度1515を付与するとする。例えば、すべての第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522が閾値より大きい場合、認証リスト151に第3の認証要求が1つもなくなる可能性がある。よって、判定部11が認証リスト151内の第3の認証要求の数である認証要求量154に応じて、第2の認証要求に優先度1515を付与することで、認証部14は効率よく認証を行うことができる。
When the
認証システム1に含まれるサーバは、1つでもよいし3つ以上でもよい。また、認証システム1に含まれるクライアント端末は、1つでもよいし3つ以上でもよい。また、例えば、サーバ20またはサーバ30は2つ以上のサービスを提供してもよい。
The number of servers included in the
クライアント端末40またはクライアント端末50は、1つまたは2つ以上のサービスを利用してもよい。
The
また、認証装置10は、サービスを提供するサーバ20またはサーバ30に含まれるように構成されていてもよい。
Further, the
第1の認証要求に付与される受領番号1514は、タイムスタンプでなくともよい。判定部11は、第1の認証要求を受け付けた順に1、2、3、…、N(N:自然数)の番号を受領番号1514として付与してもよい。受領番号1514は、判定部11が受け付けた順序がわかるように付与されていればよい。
The
この場合、確認部12はステップS604にて、複数の第2の認証要求のうち、最も値の小さい受領番号1514を含む第2の認証要求を選択すればよい。同様に選択部13は、ステップS504にて、複数の第3の認証要求のうち、最も値の小さい受領番号1514を含む第3の認証要求を選択すればよい。
In this case, in step S604, the
また、ステップS406にて確認した認証要求サービス1511に紐づく優先度1522が閾値より大きい場合、判定部11は、ステップS410の処理ではなく、ステップS411の処理を先に行ってもよい。
Further, when the
また、認証待機の応答をどのように扱うかは、各サーバまたは各クライアント端末側にて判断することができる。たとえば、各サーバは、認証待機の応答を受信した場合、各クライアント端末に対して一定時間待ち合わせる旨を示すメッセージを送信してもよい。そして、クライアント端末は受信した該メッセージを表示してもよい。 Further, how to handle the response of the authentication standby can be determined on each server or each client terminal side. For example, when each server receives an authentication waiting response, it may send a message to each client terminal indicating that it will wait for a certain period of time. Then, the client terminal may display the received message.
また、認証部14は、認証が終了した場合、認証が終了したことを示す通知を、認証要求の要求元に送信してもよい。
Further, when the authentication is completed, the
また、各サーバまたは各クライアント端末は、認証待機の応答を受信した場合、処理を中断(タイムアウト)してもよい。なお、ステップS409の処理は、必要に応じて、任意で実行することが可能である。 Further, each server or each client terminal may suspend (time out) the process when receiving the response of the authentication standby. The process of step S409 can be arbitrarily executed as needed.
このように判定部11が、受け付けた認証要求に受領番号1514を付与し、受け付けた認証要求含まれる認証要求サービス1511に紐づく優先度1522を、該認証要求に対する優先度1515として、該認証要求に付与することで認証要求の認証の優先順位が設定される。これにより、選択部13は、認証の優先順位に基づき、認証部14が認証を行う認証要求を1つずつ選択し、認証部14に送信する。このため、認証部14は選択部13から送信された認証要求に対し、認証を行うことができる。これによって認証装置10は一台の計算機の中で効率良く認証を行うことができる。
In this way, the
(変形例1)
ここで、第1実施形態に適用できる変形例を説明する。第1実施形態においては、判定部11は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522を、認証要求に対する優先度1515として第2の認証要求に付与する。変形例1では、判定部11は、登録パスワードの安全性を評価し、評価した結果を、認証要求に対する優先度付与に用いる。変形例1において、記憶部15は、パスワードの安全性に関する情報を含む安全性リスト155を記憶する。
(Modification example 1)
Here, a modified example applicable to the first embodiment will be described. In the first embodiment, the
図9は、安全性リスト155の一例を示す図である。安全性リスト155は、認証ID1512と、パスワードの安全性に対する評価値であるパスワード評価値1552とを含む。そして、認証ID1512と、パスワード評価値1552とは紐づけられている。
FIG. 9 is a diagram showing an example of the
パスワード評価値1552は、各クライアントによって予め登録されたパスワードである登録パスワードの安全性を判定部11が評価し、評価した結果に基づいて付与された値である。例えば、登録パスワードは、各クライアントが登録パスワードを設定した際に、判定部11によって評価される。なお、判定部11が、登録パスワードの安全性を評価する方法は一般的な方法である。
The
判定部11は、例えば、登録パスワードの文字数と閾値とを比較することによって登録パスワードの安全性を評価してもよい。図9に示す安全性リスト155においては、安全性が高いと評価された登録パスワードほど、小さい値が付与されているとする。
The
変形例1において判定部11は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522の代わりに、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522と、安全性リスト155に格納されている、第2の認証要求に含まれる認証ID1512に紐づくパスワード評価値1552とを用いて、認証要求に対する優先度を付与する。
In the first modification, the
例えば、判定部11は、安全性リスト155を参照する。そして、判定部11は、第2の認証要求に含まれる認証ID1512に紐づくパスワード評価値1552を取得する。その後、判定部11は、認証要求サービス1511に紐づく優先度1522と、認証ID1512に紐づくパスワード評価値1552とを掛け合わせることによって算出した値を認証要求に対する優先度として、第2の認証要求に付与する。なお認証要求に対する優先度は、小さい値となるほど、優先度が高くなるとする。
For example, the
図10は、変形例1における認証要求リスト251の一例を示す図である。認証要求リスト251は、変形例1において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト251は、認証要求サービス1511、認証ID1512、パスワード1513、受領番号1514および認証要求に対する優先度2515を含む。
FIG. 10 is a diagram showing an example of the
優先度2515は、図3に示す優先度判定データベース152に格納されている認証要求サービス1511に紐づく優先度1522と、認証ID1512に紐づくパスワード評価値1552とを掛け合わせた値であり、認証要求に対する優先度を示す。
The
また図9に示す安全性リスト155を参照すると、認証ID1512が「ID1」のパスワード評価値1552は「3」である。また、認証ID1512が「ID3」のパスワード評価値1552は「1」である。
Further, referring to the
図3に示す優先度判定データベース152を参照すると、認証要求サービス1511の「メール」に紐づく優先度1522は「1」である。また、認証要求サービス1511の「HTTP」に紐づく優先度1522は「2」である。よって、認証ID1512が「ID1」の優先度2515は、パスワード評価値1552の「3」と優先度1522の「1」とを掛け合わせることによって算出された「3」である。また、認証ID1512が「ID3」の優先度2515は、パスワード評価値1552の「1」と優先度1522の「2」とを掛け合わせることによって算出された「2」となる。
With reference to the
図9に示すとおり、パスワード評価値1552が「1」である認証ID1512が「ID3」の第3の認証要求は、パスワード評価値1552が「2」である認証ID1512が「ID2」の第3の認証要求よりも高い優先度となっている。選択部13は、第3の認証要求に含まれる優先度2525に応じて、認証部14に第3の認証要求を送信するため、第3の認証要求を受け付けた順序と、認証が行われる順序とが異なることとなる。
As shown in FIG. 9, the third authentication request in which the
パスワードは、複雑性や文字数等に応じて、安全性の高低が変化する。よって、安全性の低いパスワードは、悪意のあるクライアントによる総当たり攻撃であるブルートフォースアタックにより、サービスが不正利用される危険性がある。 The security level of a password changes depending on the complexity and the number of characters. Therefore, a weak password has a risk of unauthorized use of the service by a brute force attack, which is a brute force attack by a malicious client.
このため、登録パスワードの安全性が低い認証要求に対し、低い優先度を付与することで、登録パスワードの安全性が低いクライアントが使用するクライアント端末からの認証要求は優先度が低くなる。これによって、各クライアントが優先的にサービスの提供を受けるために安全性が高い登録パスワードに設定することが期待できる。認証装置10は、各クライアントに安全性の高い登録パスワードにさせることで、悪意のあるクライアントによる総当たり攻撃の回数を低減させ、サービス不正利用の危険性を低減させることが出来る。また、登録パスワードの安全性が高い認証要求に対し、高い優先度を付与することで、安全性の高いパスワードを設定したクライアントが優先的に認証される。例えば、サービス提供者は、クライアントに安全性の高いパスワードを設定するように促すことで、安全性の低いパスワードを設定するクライアントを削減することができる。
Therefore, by giving a low priority to the authentication request with low security of the registered password, the priority of the authentication request from the client terminal used by the client with low security of the registered password is low. As a result, it can be expected that each client will set a highly secure registration password in order to receive the service preferentially. The
(変形例2)
変形例1では、判定部11は、登録パスワードの安全性を評価し、パスワード評価値1552を、認証要求に対する優先度付与に用いた。本変形例においては、判定部11は、第2の認証要求に含まれるパスワード1513(入力されたパスワード)の安全性を評価し、評価した結果と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対し優先度を付与する。ここで、判定部11がパスワード1513を評価し、評価した結果として出力する、パスワードの安全性を評価した値について説明する。
(Modification 2)
In the first modification, the
図11は、パスワード評価リスト111の一例を示す図である。パスワード評価リスト111は、パスワードの安全性1111と、安全値1112とを含む。パスワードの安全性1111と、安全値1112とは紐づけられている。
FIG. 11 is a diagram showing an example of the password evaluation list 111. The password evaluation list 111 includes a
パスワードの安全性1111は、パスワード1513に対する安全性の高低の度合いを示す。安全値1112はパスワード1513に対する安全性の高低の度合いに応じて、パスワードの安全性1111に対して付与された値を示す。
例えば判定部11が第2の認証要求に含まれるパスワード1513の安全性を評価した結果、第2の認証要求に含まれるパスワード1513の安全性が「高」である場合、判定部11は、パスワード評価リスト111からパスワードの安全性1111の「高」に紐づく安全値1112の「1」を取得する。また例えば判定部11が第2の認証要求に含まれるパスワード1513の安全性を評価した結果、第2の認証要求に含まれるパスワードの安全性が「低」である場合、判定部11は、パスワード評価リスト111からパスワードの安全性1111の「低」に紐づく安全値1112の「3」を取得する。判定部11は、図12に示すパスワード評価リスト111をあらかじめ記憶していてもよい。また判定部11は、パスワード1513の複雑性および/または文字数等に応じて、パスワード1513に対する安全性を評価してもよい。
For example, when the
パスワード1513は第1の認証要求に含まれるため、変形例2における記憶部15は、安全性リスト155を記憶しなくともよい。そのかわり判定部11が、第2の認証要求に含まれるパスワード1513の安全性を評価した値と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、認証要求に対する優先度を求める。具体的に図12を用いて、変形例2における判定部11の動作を説明する。
Since the
図12は、変形例2における判定部11の動作の一例を示すフローチャートである。図12に示すステップS701〜ステップS711の処理は、図6に示すステップS401〜ステップS411の処理に対応するため、説明を省略する。本変形例ではステップS706の前に、第2の認証要求に含まれるパスワードを評価する。
FIG. 12 is a flowchart showing an example of the operation of the
優先度1522が閾値以下である場合(ステップS709にてYES)または認証要求量154が閾値以下である場合(ステップS705にてYES)、判定部11は第2の認証要求に含まれるパスワード1513の安全性を評価する(ステップS712)。そして判定部11は、評価したパスワード1513の安全性を用いて、後述するパスワード評価リスト111を参照し、パスワード1513の安全性に紐づく値を取得する(ステップS713)。その後、判定部11は、ステップS713にて取得したパスワード1513の安全性に紐づく値と、認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対する優先度を算出する(ステップS714)。そして、判定部11はステップS714にて算出した優先度を付与する(ステップS706)。なお、判定部11は、ステップS712にて評価したパスワード1513の安全性を、第2の認証要求に付与してもよい。
When the
図13は、変形例2における認証要求リスト351の一例を示す図である。認証要求リスト351は、変形例2において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト351は、認証要求サービス1511、認証ID1512、パスワード1513、パスワードの安全性1111、受領番号1514および認証要求に対する優先度3515を含む。パスワードの安全性1111は、判定部11によって評価されたパスワード1513の安全性である。
FIG. 13 is a diagram showing an example of the
優先度3515は、第2の認証要求に付与された優先度を示す。また、優先度3515は、第2の認証に含まれるパスワード1513(入力されたパスワード)の安全性を評価した値である安全値1112と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを掛け合わせた値である。
図13に示す認証要求リスト351を参照すると、認証ID1512が「ID1」の第3の認証要求のパスワードの安全性1111は「低」である。また、認証ID1512が「ID2」の第3の認証要求のパスワードの安全性1111は「中」である。認証ID1512が「ID3」のパスワードの安全性1111が「高」である。
With reference to the
したがって、認証ID1512が「ID1」の優先度3515は、パスワードの安全性1111の「低」に紐づく安全値1112の「3」と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522の「1」とを掛け合わせた「3」となる。また、認証ID1512が「ID2」の認証要求の優先度3515は、パスワードの安全性1111の「中」に紐づく安全値1112の「2」と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522の「2」とを掛け合わせた「4」となる。そして、認証ID1512が「ID3」の優先度3515は、パスワードの安全性1111の「高」に紐づく安全値1112の「1」と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522の「1」とを掛け合わせて算出された「1」となる。
Therefore, the
認証要求リスト351を参照すると、パスワードの安全性1111が低い認証ID1512が「ID1」の第3の認証要求は、パスワードの安全性1111が高い認証ID1512が「ID2」の第3の認証要求よりも低い優先度となる。これにより、認証要求を受け付けた順序と認証が行われる順序とが異なることとなる。
Referring to the
このため、パスワードの安全性が低い認証要求に対し、低い優先度を付与することで、パスワードの安全性が低いクライアントが使用するクライアント端末からの認証要求は優先度が低くなる。これによって、クライアントが優先的にサービスの提供を受けるために安全性が高いパスワードに設定することが期待できる。認証装置10は、クライアントに安全性の高いパスワードにさせることで、悪意のあるクライアントによる総当たり攻撃の回数を低減させ、サービス不正利用の危険性を低減させることが出来る。また、パスワードの安全性が高い認証要求に対し、高い優先度を付与することで、安全性の高いパスワードを設定したクライアントが優先的に認証される。例えば、サービス提供者は、クライアントに安全性の高いパスワードを設定するように促すことで、安全性の低いパスワードを設定するクライアントを削減することができる。
Therefore, by assigning a low priority to an authentication request with low password security, the priority of the authentication request from the client terminal used by the client with low password security is low. As a result, it can be expected that the client will set a highly secure password in order to receive the service preferentially. The
(変形例3)
変形例2においては、判定部11は、第2の認証要求に含まれるパスワード1513(入力されたパスワード)の安全性を評価し、評価した結果と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを認証要求に対する優先度の付与に用いた。変形例3においては、判定部11は、認証ID1512ごとの認証処理の結果を評価し、評価した結果と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対し優先度を付与する。
(Modification example 3)
In the second modification, the
図14は、変形例3に係る認証装置100の構成の一例を示す機能ブロック図である。認証装置100は、判定部21と、確認部12と、選択部13と、認証部24と、記憶部15とを備える。また認証装置100は、第1実施形態に係る認証装置10と比べて、判定部11に相当する判定部21と認証部14に相当する認証部24とが接続している。また、認証部24と記憶部15とが接続している。また記憶部15は、後述する連続リスト156を記憶する。また、記憶部15は、認証要求リスト151に代わり認証要求リスト451を記憶する。
FIG. 14 is a functional block diagram showing an example of the configuration of the
認証部24は、認証部14の機能を有する。また認証部24は、第3の要求に対する認証処理が連続で成功した回数を認証ID1512ごとにカウントする。また認証部24は、第3の要求に対する認証処理が連続で失敗した回数を認証ID1512ごとにカウントする。そして、認証部24は、認証処理が連続で成功した回数と、認証処理が連続で失敗した回数とを記憶部15に記憶させる。判定部21は判定部11の機能を有する。
The
図15は、連続リスト156の一例を示す図である。連続リスト156は、認証ID1512と、連続成功回数1562と、連続失敗回数1563と、連続評価値1564とを含む。
FIG. 15 is a diagram showing an example of the linked
第3の認証要求に対する認証部14の認証処理が連続で成功した回数を示す連続成功回数1562と、認証要求に対する認証部14の認証処理が連続で失敗した回数を示す連続失敗回数1563と、連続評価値1564とを含む。
The number of
連続成功回数1562は、第3の要求に対する認証処理が連続で成功した回数を示す。連続失敗回数1563は、第3の要求に対する認証処理が連続で失敗した回数を示す。
The number of
連続評価値1564は、連続成功回数1562と連続失敗回数1563とを用いて、判定部11が認証ID1512に紐づくクライアントの信頼度を評価した値である。具体的に、連続評価値1564は、基準値から連続成功回数1562を減算した値に、連続失敗回数1563を加算した値である。なお、図14に示す連続リスト156において、連続成功回数1562と連続失敗回数1563との初期値は「0」とする。また、基準値は「10」とする。
The
連続評価値1564は、値が小さいほど信頼度の高いクライアントとする。そして連続評価値1564の値が小さいほど、判定部11によって、高い優先度が付与される。なお、基準値は「10」でなくともよく、判定部11が優先度1522と連続評価値1564とを掛け合わせて優先度を求められるように、連続評価値1564が負数とならないような値であればよい。
As for the
図16は、変形例3における認証要求リスト451の一例を示す図である。認証要求リスト451は、変形例3において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト451は、認証要求サービス1511、認証ID1512、パスワード1513、受領番号1514および優先度4515を含む。
FIG. 16 is a diagram showing an example of the
優先度4515は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522と、第2の認証要求に含まれる認証ID1512に紐づく連続評価値1564とを掛け合わせた値である。
The
例えば、認証ID1512が「ID1」の場合、優先度4515は、第2の認証要求に含まれる認証要求サービス1511の「メール」に紐づく優先度1522の「1」と、認証ID1512が「ID1」に紐づく連続評価値1564の「12」とを掛け合わせることで算出された「12」となる。
For example, when the
認証要求リスト451を参照すると、認証の失敗が連続している認証ID1512が「ID1」の第3の認証要求は、認証の成功が連続している認証ID1512が「ID3」の第3の認証要求よりも低い優先度4515となる。よって、認証要求を受け付けた順序と認証が行われる順序が異なることとなる。
Referring to the
認証要求は正当な目的で利用される限り、認証が成功する回数が失敗する回数よりも多くなるという特性がある。この特性を利用して、認証が連続して成功した回数と連続して失敗した回数とを記録しておき、成功が続いているクライアントについては信頼度が高いとして、判定部11は高い優先度を付与する。
Authentication requests have the characteristic that, as long as they are used for legitimate purposes, the number of successful authentications is greater than the number of unsuccessful authentications. Utilizing this characteristic, the number of consecutively successful authentications and the number of consecutively unsuccessful authentications are recorded, and the
一方で失敗が続いているクライアントについては、悪意をもったクライアントである危険性があるため、判定部11は、低い優先度を付与する。判定部11は、このように優先度を付与することで、信頼度の高いクライアントからの認証要求の優先順位を高くし、信頼度の低いクライアントからの認証要求の優先順位を低くする。これにより、認証装置100は、不正利用の危険性を低減させることが出来る。
On the other hand, since there is a risk that the client that continues to fail is a malicious client, the
なお、認証部24は、一定期間、特定の認証ID1512を含む第3の認証要求に対し認証処理をしなかった場合、該特定の認証ID1512に紐づく連続成功回数と、連続失敗回数とのカウントをリセットしてもよい。
If the
(変形例4)
変形例4においては、判定部11は、クライアント端末のIP(Internet Protocol)アドレス対する優先度と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対し優先度を付与する。
(Modification example 4)
In the fourth modification, the
変形例4において、判定部11が各サーバから受け付ける第1の認証要求には、認証要求サービス1511と、認証ID1512と、パスワード1513とに加え、クライアント端末のIPアドレスが含まれる。
In the fourth modification, the first authentication request received by the
また、変形例4において、記憶部15は、アドレスリスト157を記憶する。図17は、アドレスリスト157の一例を示す図である。アドレスリスト157には、IPアドレスのネットワークアドレス部1571と、ネットワークアドレス部1571に対する優先順位を示す優先度1572とが紐づいて格納されている。
Further, in the
具体的に、ネットワークアドレス部1571が「a.b.c」となるネットワークは信頼度が低いとして優先度1572を「3」と設定している。また、ネットワークアドレス部1571が「x.y.z」となるネットワークは信頼性が高いとして優先度1572を「1」と設定している。なお、ネットワークアドレス部1571が「a.b.c」と「x.y.z」とのどちらでもないネットワークは、優先度1572を「2」と設定している。つまり、ネットワークの信頼度が高いほど、優先度1572の値は小さくなるとする。
Specifically, the network whose
図18は、変形例4における認証要求リスト551の一例を示す図である。認証要求リスト551は、変形例4において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト551は、認証要求サービス1511、認証ID1512、パスワード1513、クライアント端末のIPアドレス5511と、受領番号1514および認証要求に対する優先度5515を含む。IPアドレス5511は、上述したとおり、変形例4における第1の認証要求に含まれる。つまり第1の認証要求は、認証要求サービス1511、認証ID1512、パスワード1513およびIPアドレス5511を含む。そして、変形例4における第2の認証要求は、上述した第1の認証要求に受領番号1514が付与されたものである。
FIG. 18 is a diagram showing an example of the
優先度5515は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522と、第2の認証要求に含まれるIPアドレス5511のネットワークアドレス部1571に紐づく優先度1572とを掛け合わせた値である。
The
具体的に、認証ID1512が「ID1」のIPアドレス5511は「a.b.c.d」である。図18を参照すると、ネットワークアドレス部「a.b.c」に紐づく優先度1572は「3」である。そのため、認証ID1512が「ID1」の第3の認証要求のIPアドレス「a.b.c.d」に対する優先度1572は「3」となる。
Specifically, the
また、図3に示す優先度判定データベース152を参照すると、メールサービスに紐づく優先度1522は「1」である。よって、ネットワークアドレス部「a.b.c」に紐づく優先度1572は「3」とメールサービスに紐づく優先度1522の「1」とを掛け合わせ算出された「3」が、認証ID1512が「ID1」の第3の認証要求の優先度5515となる。
Further, referring to the
このように信頼度の低いネットワークから接続されている認証ID1512が「ID1」の第3の認証要求は、信頼度の高いネットワークから接続されている認証ID1512が「ID3」の第3の認証要求よりも低い優先度となる。したがって、認証要求を受け付けた順序と認証が行われる順序とが異なることとなる。
In this way, the third authentication request with the
夫々のクライアントがサービスをインターネット経由で利用する場合、認証装置10は、夫々のクライアント端末が持つIPアドレス5511に基づき、夫々のクライアント端末が存在する国または所属するネットワークを識別することができる。よって、認証システム1は、危険性の高い国またはネットワークに属するIPアドレスを持つクライアント端末を特定し、特定したクライアント端末から送信された認証要求に対する優先度を低くすることによって、不正利用の危険性を低減させることが出来る。
When each client uses the service via the Internet, the
(変形例5)
変形例5においては、判定部11は、RTT(Round Trip Time)に関する情報と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対し優先度を付与する。
(Modification 5)
In the fifth modification, the
本変形例において、RTTとは、TCP/IP(Transmission Control Protocol/Internet Protocol)において、ネットワーク通信の接続を確立するための手順であるスリーウェイ・ハンドシェイクに要した時間を示す。 In this modification, RTT indicates the time required for a three-way handshake, which is a procedure for establishing a network communication connection in TCP / IP (Transmission Control Protocol / Internet Protocol).
変形例5において、判定部11が各サーバから受け付ける第1の認証要求には、認証要求サービス1511と、認証ID1512と、パスワード1513とに加え、RTTに関する情報が含まれる。
In the fifth modification, the first authentication request received by the
図19は、変形例5における認証要求リスト651の一例を示す図である。認証要求リスト651は、変形例5において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト651は、認証要求サービス1511、認証ID1512、パスワード1513、RTT6511、受領番号1514および認証要求に対する優先度6515を含む。
FIG. 19 is a diagram showing an example of the
RTT6511は、クライアント端末と、サーバ20またはサーバ30とのネットワーク通信の接続を確立するための手順であるスリーウェイ・ハンドシェイクに要した時間を示す。またRTT6511は、変形例5における第1の認証要求に、RTTに関する情報として含まれる。つまり変形例5における第1の認証要求は、認証要求サービス1511、認証ID1512、パスワード1513およびRTT6511を含む。そして、変形例5における第2の認証要求は、上述した第1の認証要求に受領番号1514が付与されたものである。
The RTT6511 indicates the time required for the three-way handshake, which is a procedure for establishing a network communication connection between the client terminal and the
優先度6515は、第2の認証要求に付与された優先度である。具体的に、優先度6515は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522と、第2の認証要求に含まれるRTT6511の値とを掛け合わせた値である。
例えば、認証ID1512が「ID1」の場合、判定部11は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522の「1」と、第2の認証要求に含まれるRTT6511の値「15」とを掛け合わせて優先度6515を求める。よって、認証ID1512が「ID1」の第3の認証要求に含まれる優先度6515は「15」となる。
For example, when the
また認証ID1512が「ID3」の場合、判定部11は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522の「1」と、第2の認証要求に含まれるRTT6511の値「5」とを掛け合わせて優先度6515を求める。よって、認証ID1512が「ID3」の第3の認証要求に含まれる優先度6515は「5」となる。
When the
このように、RTT6511が「15ms」を含む認証ID1512が「ID1」の第3の認証要求は、RTT6511が「5ms」を含む認証ID1512が「ID3」の第3の認証要求よりも低い優先度となる。よって、認証要求を受け付けた順序と認証が行われる順序が異なることとなる。
As described above, the third authentication request in which the
クライアントがインターネットを介してサーバが提供するサービスを利用する場合、ネットワークの距離に応じて、サービスを提供するサーバとクライアント端末とのネットワーク通信が確立するまでに要する時間(RTT)は変化する。判定部11が、より短いRTTで接続が確立するクライアント端末の認証要求に対し、高い優先度を付与することよって、ネットワークの応答性が、サービスの応答性に反映される。よって変形例5に係る認証システム1によれば、高い応答性をもつネットワークを利用するクライアント端末に対し、高い応答性を持つサービスを提供することができる。
When a client uses a service provided by a server via the Internet, the time (RTT) required for establishing network communication between the server providing the service and the client terminal changes according to the network distance. The responsiveness of the network is reflected in the responsiveness of the service by the
(変形例6)
変形例6においては、判定部11は、パスワード入力のレイテンシと、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対し優先度を付与する。
(Modification 6)
In the sixth modification, the
変形例6において、パスワード入力のレイテンシとは、各サーバが各クライアント端末に対してパスワードの入力を要求してから、実際にクライアント端末から各サーバにパスワードが送信されるまでの時間を示す。判定部11は、各サーバが各クライアント端末にパスワードの入力を要求する際、各サーバが各クライアント端末にパスワードを要求した時刻と、各クライアント端末から各サーバにパスワードが送信された時刻とを測定し、夫々の時刻の差分を求めることによってパスワード入力のレイテンシを取得できる。
In the sixth modification, the password input latency indicates the time from when each server requests each client terminal to input the password until the password is actually transmitted from the client terminal to each server. When each server requests each client terminal to input a password, the
また、変形例6において、判定部11が各サーバから受け付ける第1の認証要求には、認証要求サービス1511と、認証ID1512と、パスワード1513とに加え、上述したパスワード入力のレイテンシが含まれる。
Further, in the modification 6, the first authentication request received from each server by the
図20は、変形例6における認証要求リスト751の一例を示す図である。認証要求リスト751は、変形例6において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト751は、認証要求サービス1511、認証ID1512、パスワード1513、パスワード入力のレイテンシ7511、受領番号1514および優先度7515を含む。パスワード入力のレイテンシ7511は、上述したとおり、変形例6における第1の認証要求に含まれる。つまり第1の認証要求は、認証要求サービス1511、認証ID1512、パスワード1513およびパスワード入力のレイテンシ7511を含む。そして、変形例6における第2の認証要求は、上述した第1の認証要求に受領番号1514が付与されたものである。
FIG. 20 is a diagram showing an example of the
優先度7515は、認証要求に対する優先度を示す。また優先度7515は、認証要求サービス1511に紐づく優先度1522と、パスワード入力のレイテンシ7511の値とを用いてを掛け合わせた値である。
具体的に、認証ID1512が「ID1」の第3の認証要求は、パスワード入力のレイテンシ7511が「150ms」である。また認証ID1512が「ID1」の認証要求サービス1511は、メールサービスのため、サービスに紐づく優先度1522は「1」となる。したがって、認証ID1512が「ID1」の認証要求に対する優先度7515は、パスワード入力のレイテンシ7511の値「150」と認証要求サービス1511に紐づく優先度1522の「1」とを掛け合わせることで算出された「150」となる。
Specifically, in the third authentication request in which the
認証要求リスト751を参照すると、パスワード入力のレイテンシ7511が「150ms」の認証ID1512が「ID1」の第3の認証要求は、パスワード入力のレイテンシ7511が「50ms」の認証ID1512が「ID3」の第3の認証要求よりも低い優先度となっている。よって、認証要求を受け付けた順序と認証が行われる順序とが異なることとなる。
Referring to the
このように、判定部11は、より短時間でパスワード入力がされた認証要求に対し高い優先度7515を付与する。これによって、クライアントは、より短時間でパスワード入力を行うことで、応答性の高いサービスを利用することが可能となる。
In this way, the
(変形例7)
変形例7においては、判定部11は、各クライアント端末が使用しているアプリケーションのバージョンの情報に対する優先度と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対し優先度を付与する。
(Modification 7)
In the
変形例7において、判定部11が各サーバから受け付ける第1の認証要求には、認証要求サービス1511と、認証ID1512と、パスワード1513とに加え、各クライアント端末が使用しているアプリケーションのバージョンの情報が含まれる。
In the
変形例7において、記憶部15は、クライアント端末リスト158を記憶する。図21は、クライアント端末リスト158の一例を示す図である。クライアント端末リスト158は、各クライアント端末が使用しているアプリケーションのバージョンの情報であるクライアント情報1581と、クライアント情報1581に対する優先順位を示す優先度1582とを格納している。クライアント情報1581と、クライアント情報1581に対する優先度1582とは夫々関連付けられている。
In the
具体的に、クライアント情報1581の「Version2」は、優先度1582の「1」が対応付けられ、クライアント情報1581の「Version1」は、優先度1582の「2」が対応付けられている。また、「Version2」および「Version1」以外のクライアント情報1581は、優先度2582の「3」が対応付けられている。なお、クライアント情報1581に対応付けられている優先度1582は、値が小さいほど優先度が高いことを示すとする。
Specifically, the "
図22は、変形例7における認証要求リスト851を示す図である。認証要求リスト851は、変形例7において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト851は、認証要求サービス1511、認証ID1512、パスワード1513、クライアント情報1581、受領番号1514および認証要求に対する優先度8515を含む。クライアント情報1581は、上述したとおり、変形例7における第1の認証要求に含まれる。つまり第1の認証要求は、認証要求サービス1511、認証ID1512、パスワード1513およびクライアント情報1581を含む。そして、変形例7における第2の認証要求は、上述した第1の認証要求に受領番号1514が付与されたものである。
FIG. 22 is a diagram showing an
優先度8515は、認証要求に対する優先度を示す。また、優先度8515は、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522と、第2の認証要求に含まれるクライアント情報1581に対応する優先度1582とを掛け合わせた値である。
具体的に、認証ID1512が「ID1」の認証要求は、クライアント情報1581の「Version1」と、認証要求サービス1511の「メール」とを含む。したがって、認証ID1512が「ID1」の優先度8515は、クライアント情報1581の「Version1」に紐づく優先度1582の「2」と、認証要求サービス1511の「メール」に紐づく優先度1522の「1」とを掛け合わせた「2」となる。また、認証ID1512が「ID3」の認証要求は、クライアント情報1581の「Version2」と、認証要求サービス1511の「メール」とを含む。したがって、認証ID1512が「ID3」の優先度8515は、クライアント情報1581の「Version2」に紐づく優先度1582の「1」と、認証要求サービス1511の「メール」に紐づく優先度1522の「1」とを掛け合わせることによって算出された「1」となる。
Specifically, the authentication request for which the
よって、認証要求リスト851に示すとおり、「Version1」を使用している認証ID1512が「ID1」の第3の認証要求は、「Version2」を使用している認証ID1512が「ID3」の第3の認証要求よりも低い優先度となる。よって、認証要求を受け付けた順序と認証が行われる順序とが異なることとなる。
Therefore, as shown in the
サービスを利用するクライアント端末には様々なアプリケーションやアプリケーションのバージョンが混在することが一般的である。また、様々なアプリケーションやアプリケーションの様々なバージョンによって、応答性やセキュリティの強度は異なる。 It is common for client terminals that use services to have various applications and application versions mixed. Also, different applications and different versions of applications have different responsiveness and security strengths.
例えば、最新のバージョンのアプリケーションを使用しているクライアント端末であれば、高い応答性および/または強固なセキュリティを持つ可能性が高い。よって、判定部11は、より高い応答性および/または強固なセキュリティを持つ可能性の高いバージョンのアプリケーションを使用するクライアント端末からの接続に対し、より高い優先度を付与する。これによって、変形例7に係る認証システム1によれば、高い応答性の維持および不正利用の危険性を低減させることが出来る。
For example, a client terminal using the latest version of an application is likely to have high responsiveness and / or strong security. Therefore, the
(変形例8)
変形例8においては、クライアントのバイオメトリクス情報に応じた情報と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対し優先度を付与する。
(Modification 8)
In the
変形例8において、クライアントのバイオメトリクス情報は、認証ID1512が示すクライアントの行動的特徴の情報を示す。クライアントの行動的特徴の情報とは、例えば、パスワード入力時におけるタイピングの速度またはタイミングである。クライアントが各クライアント端末に対し、パスワードを設定する際、同じパスワードを何回か入力することで、そのパスワード入力時におけるタイピングの速度またはタイミングを定量化することができる。
In the eighth modification, the client biometrics information indicates information on the behavioral characteristics of the client indicated by the
また、変形例8において、判定部11が各クライアント端末から受け付ける第1の認証要求には、認証要求サービス1511と、認証ID1512と、パスワード1513とに加え、パスワード入力時に取得したクライアントのバイオメトリクス情報が含まれる。
Further, in the
変形例8において、記憶部15は、バイオメトリクスリスト159を記憶する。図23は、バイオメトリクスリスト159の一例を示す図である。バイオメトリクスリスト159は、認証ID1512に、予め登録されたバイオメトリクス情報である登録バイオメトリクス情報1592が紐づいている。
In the modified example 8, the
図24は、変形例8における認証要求リスト951の一例を示す図である。認証要求リスト951は、変形例8において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト951は、認証要求サービス1511、認証ID1512、パスワード1513、入力バイオメトリクス情報9511、受領番号1514、類似度9512および認証要求に対する優先度9515を含む。入力バイオメトリクス情報9511は、上述したようにパスワード入力時に取得したクライアントのバイオメトリクス情報を示す。すなわち、変形例8における第1の認証要求は認証要求サービス1511、認証ID1512、パスワード1513および入力バイオメトリクス情報9511を含む。また、変形例8における第2の認証要求は、上述した第1の認証要求に受領番号1514が付与されたものである。
FIG. 24 is a diagram showing an example of the
類似度9512は、入力バイオメトリクス情報9511と登録バイオメトリクス情報1592とが類似している度合いを示す。また、類似度9512は、判定部11によって、認証ID1512ごとに入力バイオメトリクス情報9511と、登録バイオメトリクス情報1592とを照合することによって算出された値である。すなわち、判定部11は、入力バイオメトリクス情報9511と登録バイオメトリクス情報1592とを照合し、類似度9512を認証ID1512ごとに算出する。そして判定部11は、算出した類似度9512を第2の認証要求に付与する。なお、判定部11は、算出した類似度9512を第2の認証要求に付与しなくともよい。なお、変形例8において、類似度9512は値が小さいほど、入力バイオメトリクス情報9511と登録バイオメトリクス情報1592とが類似していることを示すとする。
The
優先度9515は、認証要求に対する優先度を示す。また、優先度9515は、認証要求サービス1511に紐づく優先度1522と、各認証ID1512に紐づく類似度9512とを掛け合わせた値である。
具体的に、認証ID1512が「ID1」に紐づく類似度9512は「3」である。また認証ID1512が「ID1」に紐づく認証要求サービス1511はメールサービスのため、認証要求サービス1511に紐づく優先度1522は「1」となる。したがって、認証ID1512が「ID1」に紐づく優先度9515は、類似度9512の「3」と認証要求サービス1511に紐づく優先度1522の「1」とを掛け合わせた「3」となる。また、認証ID1512が「ID3」に紐づく類似度9512は「1」である。また認証ID1512が「ID3」に紐づく認証要求サービス1511はメールサービスのため、認証要求サービス1511に紐づく優先度1522は「1」となる。したがって、認証ID1512が「ID3」に紐づく優先度9515は、類似度9512の「1」と認証要求サービス1511に紐づく優先度1522の「1」とを掛け合わせた「1」となる。
Specifically, the
認証要求リスト951を参照すると、認証ID1512が「ID1」を含む第3の認証要求は、認証ID1512が「ID3」を含む第3の認証要求よりも低い優先度9515となっている。よって、認証要求の受け付けた順序と認証が行われる順序が異なることとなる。
Referring to the
変形例8に係る認証システム1は、類似度が低い認証要求に対し、優先順位の低い優先度を付与する。これによって、例えば、クライアント本人ではなくクライアントに成りすました他人から不正利用の危険性を低減させることができる。
The
(変形例9)
変形例9においては、クライアント情報1581、パスワードの安全性1111等に応じた重要度と、第2の認証要求に含まれる認証要求サービス1511に紐づく優先度1522とを用いて、第2の認証要求に対し優先度を付与する。
(Modification 9)
In the ninth modification, the second authentication is performed by using the importance according to the
変形例9において、判定部11が各サーバから受け付ける第1の認証要求には、認証要求サービス1511と、認証ID1512と、パスワード1513とに加え、クライアント情報1581が含まれる。また、変形例9における第2の認証要求は、パスワードの安全性1111と受領番号1514とが付与されたものである。
In the ninth modification, the first authentication request received by the
変形例9において、記憶部15は利用情報リスト160を記憶する。図25は、利用情報リスト160の一例を示す図である。利用情報リスト160は、認証要求に対する優先度の付与に利用する情報である利用情報1601と、各利用情報の重要性の高低の度合いを示す重要度1602とが紐づいて格納されている。
In the ninth modification, the
また、重要度1602は、値が小さいほど重要性が高いことを示す。したがって、図25に示す利用情報リスト160を参照すると、変形例9において、クライアント情報1581よりもパスワードの安全性1111の重要性が高いことがわかる。なお、利用情報1601は、パスワード入力のレイテンシ7511、RTT6511等でもよい。
Further, the
また、変形例9において、記憶部15は、優先度リスト161を記憶する。図26は、優先度リスト161の一例を示す図である。優先度リスト161は、認証ID1512、パスワード優先度1612、第1中間値1613、クライアント優先度1614、第2中間値1615および総合優先度1616を含む。認証ID1512と、パスワード優先度1612と、クライアント優先度1614と、総合優先度1616とは紐づいている。第1中間値1613および第2中間値1615については後述する。
Further, in the
パスワード優先度1612は、図12に示すパスワード評価リスト111に基づき、各認証ID1512に紐づく認証要求に含まれるパスワードを判定部11が評価し、評価した結果に対して付与された優先度である。
The
クライアント優先度1614は、図21に示すクライアント端末リスト158に基づき、各認証ID1512に紐づくクライアント端末のクライアント情報1581に対して付与された優先度である。
The
総合優先度1616は、パスワード優先度1612と、クライアント優先度1614との組み合わせに対する優先度を示す。また、総合優先度1616は、パスワード優先度1612とクライアント優先度1614と重要度1602とを掛け合わせた値である。
The
具体的に、認証ID1512が「ID1」の総合優先度1616の求め方について説明する。まず、判定部11は、第2の認証要求に含まれるパスワード1513が「PW1」の安全性を評価し、パスワード優先度1612の「3」を取得する。
Specifically, a method of obtaining the
そして、判定部11は、優先度リスト161を参照し、パスワードの安全性に対する重要度1602の「1」と、パスワード優先度1612の「3」とを掛け合わせ、第1中間値1613の「3」を算出する。
Then, the
また、判定部11は、利用情報リスト160を参照し、第2の認証要求に含まれるクライアント情報1581の「Version1」を用いて、クライアント優先度1614の「2」を取得する。その後、判定部11は、優先度リスト161を参照し、クライアント情報に対する重要度1602が持つ「2」と、クラインと優先度1614の「2」とを掛け合わせ、第2中間値1615「4」を算出する。そして、判定部11は、パスワードの安全性に対する第1中間値1613と、クライアント情報に対する第2中間値1615を掛け合わせ、総合優先度1616の「12」を算出する。その後、優先度判定データベース152から認証ID1512が「ID1」の認証要求サービス1511に紐づく優先度1522の「1」を取得する。そして、判定部11は、総合優先度1616の「12」と優先度1522の「1」とを掛け合わせて、認証要求に対する優先度の「12」を算出する。
Further, the
図27は、変形例9における認証要求リスト1051の一例を示す図である。認証要求リスト1051は、変形例9において認証要求リスト151に代わり記憶部15に記憶されている。認証要求リスト1051は、認証要求サービス1511、認証ID1512、パスワード1513、クライアント情報1581、受領番号1514および認証要求に対する優先度1015を含む。
FIG. 27 is a diagram showing an example of the authentication request list 1051 in the modified example 9. The authentication request list 1051 is stored in the
優先度1015は、上述したように、認証要求サービス1511に紐づく優先度1522と、総合優先度1616とを掛け合わせた値である。
As described above, the
認証要求リスト1051を参照すると、パスワードの安全性が低く、「Version1」のアプリケーションを使用している認証ID1512が「ID1」の優先度1015は、メールサービスに比べ優先度が低いHTTPサービスに対する認証要求である、認証ID1512が「ID2」の優先度1015より低くなる。変形例9に係る認証システム1によれば、判定部11は、複数の利用情報と、利用情報に基づく重要度および優先度に応じて、第2の認証要求に優先度1015を付与することができる。
Referring to the authentication request list 1051, the password security is low, and the
なお、本変形例において、認証要求に対する優先度は、総合優先度1616と認証要求サービス1511に紐づく優先度1522とを用いて決定される。そのため、記憶部15は、総合優先度1616自体を記憶しなくてもよい。本変形例において、記憶部15は、パスワード評価リスト111、優先度判定データベース152、クライアント端末リスト158および利用情報リスト160を記憶すればよい。判定部11は、第1または第2の認証要求を用いて、パスワード評価リスト111、優先度判定データベース152、クライアント端末リスト158および利用情報リスト160に基づき、総合優先度1616を求めればよい。また、第1中間値1613および第2中間値1615とは、優先度リスト161に格納しなくともよい。
In this modification, the priority for the authentication request is determined by using the
<第2実施形態>
図28は第2実施形態に係る認証装置200の構成の一例を示す機能ブロック図である。認証装置200は、判定部201と、選択部203と、認証部204とを備える。第2実施形態に係る認証装置200は、本開示が解決しようとする課題を解決するための基本の構成である。
<Second Embodiment>
FIG. 28 is a functional block diagram showing an example of the configuration of the
判定部201は、判定部11の機能を有する。また判定部201はサービスの利用に対する認証の要求である認証要求を受け付け、受け付けた認証要求に関連するサービスの優先順位を示す第1の優先度に応じて、認証の実行の優先順位を示す第2の優先度を受け付けた認証要求に付与する。
The
選択部203は、選択部13の機能を有する。また選択部203は、第2の優先度に応じて、認証の対象となる認証要求を選択する。認証部204は、認証部14の機能を有する。また認証部204は、選択部203によって選択された認証要求に対し、認証を行う。
The
図29は第2実施形態に係る認証装置200の動作の一例を示すフローチャートである。
FIG. 29 is a flowchart showing an example of the operation of the
判定部201は、サービスの利用に対する認証の要求である認証要求を受け付ける(ステップS801)。そして、判定部201は、受け付けた認証要求に関連するサービスの優先順位を示す第1の優先度に応じて、認証の実行の優先順位を示す第2の優先度を受け付けた認証要求に付与する(ステップS802)。
The
選択部203は、第2の優先度に応じて、認証の対象となる認証要求を選択する(ステップS803)。そして、認証部204は、選択部203によって選択された認証要求に対し、認証を行う(ステップS804)。
The
以上のように、認証装置200は、受け付けた認証要求含まれる認証要求サービスの優先順位を示す第1の優先度に応じて、認証の優先順位を示す第2の優先度を、受け付けた認証要求に付与し、第2の優先度に基づき認証要求を選択し、選択した認証要求に対し認証を行うことで、一台の計算機の中で効率良く認証を行うことができる。
As described above, the
<ハードウェア構成>
本開示の各実施形態において、各装置または各システムの各構成要素は、機能単位のブロックを示している。各装置または各システムの各構成要素の一部又は全部は、例えば図30に示すような情報処理装置900とプログラムとの任意の組み合わせにより実現される。情報処理装置900は、一例として、以下のような構成を含む。
<Hardware configuration>
In each embodiment of the present disclosure, each component of each device or system represents a block of functional units. A part or all of each device or each component of each system is realized by an arbitrary combination of the
・CPU901
・ROM(Read Only Memory)902
・RAM(Random Access Memory)903
・RAM903にロードされるプログラム904
・プログラム904を格納する記憶装置905
・記録媒体906の読み書きを行うドライブ装置907
・通信ネットワーク909と接続する通信インターフェース908
・データの入出力を行う入出力インターフェース910
・各構成要素を接続するバス911
各実施形態における各装置の各構成要素は、これらの機能を実現するプログラム904をCPU901が取得して実行することで実現される。各装置の各構成要素の機能を実現するプログラム904は、例えば、予め記憶装置905やROM902に格納されており、必要に応じてCPU901が読み出す。なお、プログラム904は、通信ネットワーク909を介してCPU901に供給されてもよいし、予め記録媒体906に格納されており、ドライブ装置907が当該プログラムを読み出してCPU901に供給してもよい。
・ CPU901
-ROM (Read Only Memory) 902
-RAM (Random Access Memory) 903
-
A
A
-
-I /
-
Each component of each device in each embodiment is realized by the
各装置の実現方法には、様々な変形例がある。例えば、各装置は、構成要素毎に夫々別個の情報処理装置900とプログラムとの任意の組み合わせにより実現されてもよい。また、各装置またはが備える複数の構成要素が、一つの情報処理装置900とプログラムとの任意の組み合わせにより実現されてもよい。
There are various modifications in the method of realizing each device. For example, each device may be realized by any combination of the
また、各装置の各構成要素の一部又は全部は、その他の汎用または専用の回路、プロセッサ等やこれらの組み合わせによって実現される。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。 Further, a part or all of each component of each device is realized by other general-purpose or dedicated circuits, processors, etc. or a combination thereof. These may be composed of a single chip or may be composed of a plurality of chips connected via a bus.
各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。 A part or all of each component of each device may be realized by a combination of the above-mentioned circuit or the like and a program.
各装置の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアント端末アンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。 When a part or all of each component of each device is realized by a plurality of information processing devices and circuits, the plurality of information processing devices and circuits may be centrally arranged or distributed. May be good. For example, the information processing device, the circuit, and the like may be realized as a form in which each of the client terminal and server system, the cloud computing system, and the like is connected via a communication network.
以上、各実施形態を参照して本開示を説明したが、本開示は上記各実施形態に限定されものではない。本開示の構成や詳細には、本開示のスコープ内で当業者が理解し得る様々な変更をすることができる。 Although the present disclosure has been described above with reference to each embodiment, the present disclosure is not limited to each of the above embodiments. Various changes that can be understood by those skilled in the art can be made to the structure and details of the present disclosure within the scope of the present disclosure.
上記の各実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限定されない。 Some or all of the above embodiments may also be described, but not limited to:
(付記1)
サービスの利用に対する認証の要求である認証要求を受け付け、前記認証要求に関連するサービスの優先順位を示す第1の優先度に応じて、前記認証の実行の優先順位を示す第2の優先度を前記認証要求に付与する判定手段と、
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択手段と、
選択された認証要求に対し、前記認証を行う認証手段と、を備える認証装置。
(Appendix 1)
Accepts an authentication request, which is an authentication request for the use of a service, and sets a second priority, which indicates the priority of execution of the authentication, according to a first priority, which indicates the priority of services related to the authentication request. Judgment means given to the authentication request and
A selection means for selecting an authentication request to be authenticated according to the second priority, and
An authentication device including an authentication means for performing the authentication in response to a selected authentication request.
(付記2)
前記判定手段は、前記第2の優先度が付与された認証要求の数が閾値以下である場合、前記第2の優先度を、前記受け付けた認証要求に付与する付記1に記載の認証装置。
(Appendix 2)
The authentication device according to
(付記3)
前記判定手段は、前記サービスを利用するクライアントごとに予め設定されたパスワードの安全性の度合いと前記第1の優先度とに基づき、前記第2の優先度を算出し、算出した第2の優先度を、前記受け付けた認証要求に付与する付記1または2に記載の認証装置。
(Appendix 3)
The determination means calculates the second priority based on the degree of password security set in advance for each client using the service and the first priority, and the calculated second priority. The authentication device according to
(付記4)
前記判定手段は、前記認証要求に含まれるパスワードの安全性の度合いと前記第1の優先度とに基づき、前記第2の優先度を算出し、算出した第2の優先度を受け付けた認証要求に付与する付記1または2に記載の認証装置。
(Appendix 4)
The determination means calculates the second priority based on the degree of security of the password included in the authentication request and the first priority, and the authentication request accepts the calculated second priority. The authentication device according to
(付記5)
前記認証手段は、前記認証要求の要求元ごとに前記認証が連続して成功した回数を示す連続成功回数と、前記認証が連続して失敗した回数を示す連続失敗回数とをカウントし、
前記判定手段は、前記連続成功回数と前記連続失敗回数と前記第1の優先度とに基づき、前記第2の優先度を算出し、算出した第2の優先度を受け付けた認証要求に付与する付記1または2に記載の認証装置。
(Appendix 5)
The authentication means counts the number of consecutive successes indicating the number of consecutive successes of the authentication and the number of consecutive failures indicating the number of consecutive failures of the authentication for each requester of the authentication request.
The determination means calculates the second priority based on the number of consecutive successes, the number of consecutive failures, and the first priority, and assigns the calculated second priority to the received authentication request. The authentication device according to
(付記6)
前記判定手段は、前記認証要求の要求元が使用するIP(Internet Protocol)アドレスと前記第1の優先度とに基づき前記第2の優先度を算出し、算出した第2の優先度を受け付けた認証要求に付与する付記1または2に記載の認証装置。
(Appendix 6)
The determination means calculates the second priority based on the IP (Internet Protocol) address used by the requester of the authentication request and the first priority, and accepts the calculated second priority. The authentication device according to
(付記7)
前記判定手段は、前記認証要求の要求元と前記認証要求の要求先との間でネットワーク通信が確立するまでに要する時間と前記第1の優先度とに基づき、前記第2の優先度を算出し、算出した第2の優先度を受け付けた認証要求に付与する付記1または2に記載の認証装置。
(Appendix 7)
The determination means calculates the second priority based on the time required for network communication to be established between the request source of the authentication request and the request destination of the authentication request and the first priority. The authentication device according to
(付記8)
前記判定手段は、前記認証要求の要求元が使用するアプリケーションに関する情報と前記第1の優先度とに基づき、前記第2の優先度を算出し、算出した第2の優先度を受け付けた認証要求に付与する付記1または2に記載の認証装置。
(Appendix 8)
The determination means calculates the second priority based on the information about the application used by the requester of the authentication request and the first priority, and the authentication request accepts the calculated second priority. The authentication device according to
(付記9)
前記判定手段は、前記サービスを利用するクライアントの行動的特徴を示すバイオメトリクス情報であって、予め登録されたバイオメトリクス情報と、受け付けた認証要求に含まれるバイオメトリクス情報とを用いて類似度を算出し、算出した類似度と前記第1の優先度とに基づき、前記第2の優先度を算出し、算出した第2の優先度を受け付けた認証要求に付与する付記1または2に記載の認証装置。
(Appendix 9)
The determination means is biometrics information indicating the behavioral characteristics of the client who uses the service, and the similarity is determined by using the biometrics information registered in advance and the biometrics information included in the received authentication request. The second priority is calculated based on the calculated similarity and the first priority, and the calculated second priority is given to the received authentication request according to
(付記10)
前記判定手段は、前記第1の優先度を前記第2の優先度として受け付けた認証要求に付与する付記1または2に記載の認証装置。
(Appendix 10)
The authentication device according to
(付記11)
前記判定手段は、前記第1の優先度が所定の条件を満たす場合、前記第2の優先度を受け付けた認証要求に付与する付記1から10のいずれか1項に記載の認証装置。
(Appendix 11)
The authentication device according to any one of
(付記12)
前記判定手段は、受け付けた順序を示す順序情報を受け付けた認証要求に付与し、
前記選択手段は、最も高い前記第2の優先度が付与された前記認証要求が複数である場合、前記順序情報に応じて、前記認証の対象となる認証要求を選択する付記11に記載の認証装置。
(Appendix 12)
The determination means gives order information indicating the accepted order to the received authentication request.
The authentication according to
(付記13)
前記順序情報が付与された認証要求を記憶する記憶手段と、
前記第2の優先度が付与された認証要求の数が閾値以下である場合、前記記憶手段に記憶された認証要求から、前記順序情報に基づき認証要求を選択し、選択した認証要求を前記判定手段に送信する確認手段と、を備え、
前記判定手段は、前記第1の優先度が前記所定の条件を満たさない場合、受け付けた認証要求を前記記憶手段に記憶させる付記12に記載の認証装置。
(Appendix 13)
A storage means for storing the authentication request to which the order information is given, and
When the number of authentication requests to which the second priority is given is equal to or less than the threshold value, the authentication request is selected from the authentication requests stored in the storage means based on the order information, and the selected authentication request is determined. With a confirmation means to send to the means,
The authentication device according to
(付記14)
サービスの利用に対する認証の要求である認証要求を受け付け、前記認証要求に関連するサービスの優先順位を示す第1の優先度に応じて、前記認証の実行順を示す第2の優先度を前記認証要求に付与し、
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択し、
選択された認証要求に対し、前記認証を行う認証方法。
(Appendix 14)
The authentication request, which is an authentication request for the use of the service, is accepted, and the second priority indicating the execution order of the authentication is set according to the first priority indicating the priority of the service related to the authentication request. Grant to the request
According to the second priority, the authentication request to be authenticated is selected, and the authentication request is selected.
An authentication method that performs the above authentication for the selected authentication request.
(付記15)
サービスの利用に対する認証の要求である認証要求を受け付け、前記認証要求に関連するサービスの優先順位を示す第1の優先度に応じて、前記認証の実行順を示す第2の優先度を前記認証要求に付与する判定処理と、
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択処理と、
選択された認証要求に対し、前記認証を行う認証処理と、をコンピュータに実行させるプログラム。
(Appendix 15)
The authentication request, which is an authentication request for the use of the service, is accepted, and the second priority indicating the execution order of the authentication is set according to the first priority indicating the priority of the service related to the authentication request. Judgment processing given to the request and
A selection process for selecting an authentication request to be authenticated according to the second priority, and
A program that causes a computer to execute the authentication process for performing the authentication in response to the selected authentication request.
1 認証システム
10 認証装置
11 判定部
12 確認部
13 選択部
14 認証部
15 記憶部
20 サーバ
21 判定部
24 認証部
30 サーバ
40 クライアント端末
50 クライアント端末
100 認証装置
111 パスワード評価リスト
151 認証要求リスト
152 優先度判定データベース
153 認証待機リスト
155 安全性リスト
156 連続リスト
157 アドレスリスト
158 クライアント端末リスト
159 バイオメトリクスリスト
160 利用情報リスト
161 優先度リスト
200 認証装置
201 判定部
203 選択部
204 認証部
251 認証要求リスト
351 認証要求リスト
451 認証要求リスト
551 認証要求リスト
651 認証要求リスト
751 認証要求リスト
851 認証要求リスト
900 情報処理装置
901 CPU
902 ROM
903 RAM
904 プログラム
905 記憶装置
906 記録媒体
907 ドライブ装置
908 通信インターフェース
909 通信ネットワーク
910 入出力インターフェース
911 バス
951 認証要求リスト
1051 認証要求リスト
1
902 ROM
903 RAM
904
Claims (10)
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択手段と、
選択された認証要求に対し、前記認証を行う認証手段と、を備える認証装置。 Receiving a request at a authentication request authentication for use of the service, based on the first priority indicating the priority of the service related to the authentication request and the degree of security of the password included in the authentication request, the authentication A determination means for calculating a second priority indicating the priority of execution of the above and assigning the calculated second priority to the authentication request.
A selection means for selecting an authentication request to be authenticated according to the second priority, and
An authentication device including an authentication means for performing the authentication in response to a selected authentication request.
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択手段と、
選択された認証要求に対し、前記認証を行う認証手段と、を備え、
前記認証手段は、前記認証要求の要求元ごとに前記認証が連続して成功した回数を示す連続成功回数と、前記認証が連続して失敗した回数を示す連続失敗回数とをカウントし、
前記判定手段は、前記連続成功回数と前記連続失敗回数と前記第1の優先度とに基づき、前記第2の優先度を算出し、算出した前記第2の優先度を受け付けた認証要求に付与する認証装置。 Accepts an authentication request, which is an authentication request for the use of a service, and sets a second priority, which indicates the priority of execution of the authentication, according to a first priority, which indicates the priority of services related to the authentication request. Judgment means given to the authentication request and
A selection means for selecting an authentication request to be authenticated according to the second priority, and
It is provided with an authentication means for performing the authentication in response to the selected authentication request .
The authentication means counts the number of consecutive successes indicating the number of consecutive successes of the authentication and the number of consecutive failures indicating the number of consecutive failures of the authentication for each requester of the authentication request.
The determination means calculates the second priority based on the number of consecutive successes, the number of consecutive failures, and the first priority, and assigns the calculated second priority to the authentication request that has received the calculated second priority. Authentication device.
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択手段と、
選択された認証要求に対し、前記認証を行う認証手段と、を備える認証装置。 The time required for receiving an authentication request, which is an authentication request for the use of a service, and establishing network communication between the request source of the authentication request and the request destination of the authentication request, and the priority of the service related to the authentication request. A determination means that calculates a second priority that indicates the priority of executing the authentication based on the first priority that indicates the order, and assigns the calculated second priority to the authentication request.
A selection means for selecting an authentication request to be authenticated according to the second priority, and
An authentication device including an authentication means for performing the authentication in response to a selected authentication request.
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択手段と、
選択された認証要求に対し、前記認証を行う認証手段と、を備える認証装置。 Receiving a service request in which authentication requests authentication for access, based on the first priority indicating the priority of the authentication request of the requesting is related to information and the authentication request for an application that uses the service, the authentication A determination means for calculating a second priority indicating the priority of execution of the above and assigning the calculated second priority to the authentication request.
A selection means for selecting an authentication request to be authenticated according to the second priority, and
An authentication device including an authentication means for performing the authentication in response to a selected authentication request.
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択手段と、
選択された認証要求に対し、前記認証を行う認証手段と、を備え、
前記判定手段は、前記サービスを利用するクライアントの行動的特徴を示すバイオメトリクス情報であって、予め登録されたバイオメトリクス情報と、受け付けた認証要求に含まれるバイオメトリクス情報とを用いて類似度を算出し、算出した類似度と前記第1の優先度とに基づき、前記第2の優先度を算出し、算出した前記第2の優先度を受け付けた認証要求に付与する認証装置。 Accepts an authentication request, which is an authentication request for the use of a service, and sets a second priority, which indicates the priority of execution of the authentication, according to a first priority, which indicates the priority of services related to the authentication request. Judgment means given to the authentication request and
A selection means for selecting an authentication request to be authenticated according to the second priority, and
It is provided with an authentication means for performing the authentication in response to the selected authentication request .
The determination means is biometrics information indicating the behavioral characteristics of the client who uses the service, and the similarity is determined by using the biometrics information registered in advance and the biometrics information included in the received authentication request. An authentication device that calculates the second priority based on the calculated similarity and the calculated similarity and gives the calculated second priority to an authentication request that has been accepted.
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択し、
選択された認証要求に対し、前記認証を行う認証方法。 Receiving a request at a authentication request authentication for use of the service, based on the first priority indicating the priority of the service related to the authentication request and the degree of security of the password included in the authentication request, the A second priority indicating the execution order of authentication is calculated, and the calculated second priority is given to the authentication request.
According to the second priority, the authentication request to be authenticated is selected, and the authentication request is selected.
An authentication method that performs the above authentication for the selected authentication request.
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択処理と、
選択された認証要求に対し、前記認証を行う認証処理と、をコンピュータに実行させるプログラム。 Receiving a request at a authentication request authentication for use of the service, based on the first priority indicating the priority of the service related to the authentication request and the degree of security of the password included in the authentication request, the A determination process in which a second priority indicating the execution order of authentication is calculated and the calculated second priority is given to the authentication request.
A selection process for selecting an authentication request to be authenticated according to the second priority, and
A program that causes a computer to execute the authentication process for performing the authentication in response to the selected authentication request.
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択し、
選択された認証要求に対し、前記認証を行う認証方法。 Receiving a service request in which authentication requests authentication for access, based on the first priority indicating the priority of the service related to the authentication request the authentication request information about the requesting application that uses the said A second priority indicating the execution order of authentication is calculated, and the calculated second priority is given to the authentication request.
According to the second priority, the authentication request to be authenticated is selected, and the authentication request is selected.
An authentication method that performs the above authentication for the selected authentication request.
前記第2の優先度に応じて、前記認証の対象となる認証要求を選択する選択処理と、
選択された認証要求に対し、前記認証を行う認証処理と、をコンピュータに実行させるプログラム。 Receiving a service request in which authentication requests authentication for access, based on the first priority indicating the priority of the service related to the authentication request the authentication request information about the requesting application that uses the said A determination process in which a second priority indicating the execution order of authentication is calculated and the calculated second priority is given to the authentication request.
A selection process for selecting an authentication request to be authenticated according to the second priority, and
A program that causes a computer to execute the authentication process for performing the authentication in response to the selected authentication request.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017062870A JP6953759B2 (en) | 2017-03-28 | 2017-03-28 | Authentication device, authentication method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017062870A JP6953759B2 (en) | 2017-03-28 | 2017-03-28 | Authentication device, authentication method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018165894A JP2018165894A (en) | 2018-10-25 |
JP6953759B2 true JP6953759B2 (en) | 2021-10-27 |
Family
ID=63922596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017062870A Active JP6953759B2 (en) | 2017-03-28 | 2017-03-28 | Authentication device, authentication method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6953759B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7222792B2 (en) * | 2019-04-03 | 2023-02-15 | キヤノン株式会社 | Information processing system, information processing device, control method and program for information processing device |
-
2017
- 2017-03-28 JP JP2017062870A patent/JP6953759B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018165894A (en) | 2018-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11711219B1 (en) | PKI-based user authentication for web services using blockchain | |
US9053306B2 (en) | Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium | |
US10122707B2 (en) | User impersonation/delegation in a token-based authentication system | |
CN105007280B (en) | A kind of application login method and device | |
US9923906B2 (en) | System, method and computer program product for access authentication | |
CN108259438B (en) | Authentication method and device based on block chain technology | |
JP6349579B2 (en) | Conditional login promotion | |
US10412020B2 (en) | Background processes in update load balancers of an auto scaling group | |
WO2018145605A1 (en) | Authentication method and server, and access control device | |
US10243945B1 (en) | Managed identity federation | |
US9769153B1 (en) | Validation for requests | |
US10341426B2 (en) | Managing load balancers associated with auto-scaling groups | |
KR960035299A (en) | A method for managing communication between a remote user and an application server, a subject authentication method for a remote user, a network and a program storage device providing a distributed computer environment | |
US9462068B2 (en) | Cross-domain inactivity tracking for integrated web applications | |
US11025425B2 (en) | User security token invalidation | |
US11277404B2 (en) | System and data processing method | |
EP3285456B1 (en) | Information processing apparatus, non-transitory computer-readable storage medium, information processing method, and information processing system | |
US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
CN112181599B (en) | Model training method, device and storage medium | |
US20180241691A1 (en) | Access control for message channels in a messaging system | |
JP6953759B2 (en) | Authentication device, authentication method and program | |
CN108112268B (en) | Managing load balancers associated with auto-extension groups | |
US20180232530A1 (en) | Methods and Systems for a Frictionless Login to a Service | |
CN110869928A (en) | Authentication system and method | |
CN108809927B (en) | Identity authentication method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200217 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201223 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210105 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210301 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210831 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210913 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6953759 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |