CN101167079A - 用户确认装置、方法和程序 - Google Patents
用户确认装置、方法和程序 Download PDFInfo
- Publication number
- CN101167079A CN101167079A CNA2006800109309A CN200680010930A CN101167079A CN 101167079 A CN101167079 A CN 101167079A CN A2006800109309 A CNA2006800109309 A CN A2006800109309A CN 200680010930 A CN200680010930 A CN 200680010930A CN 101167079 A CN101167079 A CN 101167079A
- Authority
- CN
- China
- Prior art keywords
- user
- information
- address
- user agent
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
本发明提供用户确认装置、方法和程序。使用户确认的精度提高而不会损害用户的便利性。从终端接收验证请求分组,在基于用户ID和密码的验证成功时(34为肯定),根据分组从HTTP报头中提取用户代理(UA)信息,同时也提取访问源IP地址(36),将其与最多登记有2组的从过去从同一用户接收到的验证请求分组中提取的IP地址和UA信息的使用历史信息进行对照,而进行用户验证(38,44,46)。如果在使用历史信息中登记有与提取的新的IP地址和UA信息分别对应的IP地址和UA信息的组则判断为验证成功,将新的IP地址和UA信息覆盖写到使用历史信息上而进行登记(52,54,60,62)。
Description
技术领域
本发明涉及用户确认装置、方法和程序,特别涉及能够确认操作终端装置的用户是否为合法用户的用户确认装置、能够适用于该用户确认装置的用户确认方法以及用于使计算机作为上述用户确认装置发挥功能的用户确认程序。
背景技术
在以在线方式向预先登记的用户提供规定的服务的网站中,通常采用如下的用户确认方法:让经由终端装置访问网站的使用者输入用户ID和密码,根据所输入的用户ID和密码的组合是否被登记,来确认访问的使用者是否为合法用户。但是,上述的用户确认方法存在如下问题,即在假设用户ID和密码被泄漏给他人的情况下,则导致获悉用户ID和密码的人冒充合法用户,而能够进行非法访问。
在与此相关的专利文献1中,公开了这样的技术:除了用户ID和密码以外,还判断由电话交换机通知的发信者的电话号码与登记用户使用的电话线路的电话号码是否一致,从而进行用户验证。
另外,在专利文献2中公开了以下技术:预先将允许使用服务的IP地址(以及链接源URL)与ID/密码一起保存于数据库中,除了基于ID/密码进行验证外,还判断访问源IP地址是否登记于数据库中(以及,在访问信号中存在链接源URL的情况下,判断该链接源URL是否登记于数据库中),从而判断是否允许使用服务。
专利文献1:日本特开平2000-209284号公报
专利文献2:日本特开平2001-325229号公报
专利文献1、2所公开的技术利用电话号码和IP地址,来判断访问源终端装置是否为合法的终端装置,从而确认操作访问源终端装置的用户是否为合法用户(是否第三者冒充合法用户)。但是,专利文献1公开的技术,虽然具有能够利用电话号码唯一确定终端装置的优点,但是也具有仅适用于经由电话交换机连接到网络的终端装置的缺点。
另外,在专利文献2公开的技术中所使用的IP地址,在被固定赋予了全球IP地址的终端装置中始终保持固定,而这样的终端装置仅为极少数,大部分的终端装置例如在访问互联网时,从互联网服务提供商(Internet service provider:互联网连接经营者,以下简称为“提供商”)保有的多个全球IP地址中,自动分配任意的IP地址,从而在每次访问时IP地址都不相同。因此,如专利文献2公开的技术那样,根据IP地址是否一致来进行用户的确认或验证,则可能导致将合法用户的访问误判为非法访问,或者将非法用户误判为合法用户。
另外,作为防止冒充而提高安全性的技术,例如已知有在根据用户ID和密码进行用户验证之前,先利用电子证书进行终端装置的验证的技术。如果采用这种技术,则即使用户ID和密码泄漏给别人,只要知道用户ID和密码的人不操作安装有正规电子证书的终端装置,也能够防止非法使用。但是,为了应用该技术而需要对终端装置进行安装电子证书的烦琐操作,会导致用户负担增大。
发明内容
本发明针对上述问题而实施,目的是提供能够在不损害用户便利性的情况下提高用户确认的精度的用户确认装置、用户确认方法和用户确认程序。
当使用HTTP(Hyper Text Transfer Protocol)作为在与终端装置之间进行通信的应用层协议时,从终端装置接收的分组中附加有HTTP报头,在该HTTP报头中含有用户代理(User-Agent)信息。用户代理信息在HTTP协议中没有规定格式等,可以设定为任意的字符串。例如终端装置为PC(Personal Computer:个人电脑)等计算机,从该计算机发送分组的应用程序为浏览器(browser:浏览软件)时,在浏览器的缺省设定中,作为用户代理信息,可以设定包含如下信息的信息:表示该计算机中工作的OS(操作系统:Operating System)的版本等的信息,以及表示浏览器的版本等的信息。另外,有时也通过操作计算机的用户预先变更浏览器等的设定,以便发送所期望的字符串作为用户代理信息。
在通过缺省设定的浏览器而设定的用户代理信息中,除了OS和浏览器的版本以外,也包含是否对OS和浏览器在某处打了补丁的信息,因此在通过缺省设定的浏览器来设定用户代理信息的情况下,虽然存在发送相同用户代理信息的终端装置,但各个终端装置发送的用户代理信息的差异性大。另外,如果对OS和浏览器打了新的补丁,或者进行版本升级或替换,则用户代理信息的内容变更,但是由于对OS和浏览器打新的补丁,或者进行OS和浏览器的版本升级或替换而变更内容的频度非常低,因此可以视为从各个终端装置发送的用户代理信息基本保持固定。另外,在通过用户预先设定为发送所期望的字符串作为用户代理信息的情况下,各个终端装置发送的用户代理信息的差异性更大。
本案发明者针对上述情况,预先存储在以前从某个用户操作的终端装置接收的分组的HTTP报头中设定的用户代理信息,将在从推定为同一用户操作的终端装置接收的分组的HTTP报头中设定的用户代理信息,和存储的用户代理信息进行对照,从而能够判断发送本次接收到的分组的终端装置是否与发送以前接收到的分组的终端装置相同,并且能够提高用户确认的精度,实现本发明。
如上所述,本发明之一的用户确认装置构成为包括:提取单元,其从使用HTTP作为应用层的协议的、自终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息;信息管理单元,其使通过所述提取单元从自各个用户操作的终端装置接收到的分组中分别提取的用户代理信息,与所述各个用户的用户识别信息对应起来分别存储于存储单元中;以及判断单元,其将通过所述提取单元从自任意终端装置接收到的分组中提取的用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的用户代理信息进行对照,从而判断操作所述任意终端装置的用户是否为合法用户。
本发明之一的用户确认装置具有提取单元,其从使用HTTP作为应用层的协议的、自终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息,信息管理单元使通过提取单元从自各个用户操作的终端装置接收到的分组中分别提取的用户代理信息,与各个用户的用户识别信息对应起来分别存储于存储单元中。另外,作为用户识别信息,可以使用例如通过操作终端装置的各个用户输入的用户ID,或者根据该用户ID唯一确定的其它识别信息。另外,虽然用户代理信息可以直接存储于存储单元中,但是从安全性角度考虑,优选在通过使用散列函数的方法等公知的加密方法进行加密后存储于存储单元中。
本发明之一的用户确认装置的判断单元将通过提取单元从自任意终端装置接收到的分组中提取的用户代理信息,和与操作任意终端装置的用户的用户识别信息对应起来存储于存储单元中的用户代理信息进行对照,从而判断操作任意终端装置的用户是否为合法用户。如前所述,由于从各个终端装置发送的用户代理信息可以视为基本固定,因此如上所述,将从接收到的分组中提取的用户代理信息,和与操作任意终端装置的用户的用户识别信息对应起来存储于存储单元中的用户代理信息进行对照,从而判断本次接收到分组的终端装置是否为同一用户过去使用的终端装置,并且根据该判断,而能够判断操作本次接收到分组的终端装置的用户是否为合法用户。
在使用HTTP作为应用层协议的情况下,由于必定在从终端装置接收的分组的HTTP报头中设定了用户代理信息,因此利用用户代理信息的用户(终端装置)的确认,与专利文献1公开的仅适用于经由电话交换机连接到网络的终端装置的技术相比,通用性高,并且与使用每次访问时都很有可能变化的IP地址的技术相比,确认的精度高,而且不需要在终端装置中安装电子证书等烦琐的作业。因此,本发明之一能够在不损害用户便利性的情况下提高用户确认的精度。
另外,在本发明之一中,在使用IP(Internet Protocol)作为与终端装置进行的通信的互联网层协议的情况下,例如优选如本发明之二那样,构成为提取单元从接收到的分组中也提取访问源IP地址,信息管理单元使通过提取单元从自各个用户操作的终端装置接收到的分组中分别提取出的访问源IP地址和用户代理信息,与各个用户的用户识别信息对应起来分别存储于存储单元中,判断单元判断从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,是否和与操作任意终端装置的用户的用户识别信息对应起来存储于存储单元中的访问源IP地址和用户代理信息相对应,从而判断操作任意终端装置的用户是否为合法用户。
如前所述,虽然从各个终端装置发送的用户代理信息可以视为基本固定,但在浏览器等应用程序的缺省设定中,如果对OS或浏览器打了新的补丁,或者进行版本升级或替换,则用户代理信息的内容变更。另外,在通过用户设定为发送所期望的字符串作为用户代理信息的情况下,也存在通过用户来变更作为用户代理信息而发送的字符串的可能性。另一方面,存在分配给各个终端装置的IP地址在每次访问时都不同的可能性,各个提供商用于向终端分配而保有的IP地址(全球IP地址)在固定的范围内并且各个提供商都不同,由于各个终端装置分别经由固定的提供商进行访问,因此各个终端装置在每次访问时所分配的IP地址虽然总是不同,但例如高位的几个比特总是固定等的一致度较高。
在本发明之二中,如上所述,除了用户代理信息以外,还从自终端装置接收到的分组中提取访问源IP地址,预先使提取出的访问源IP地址和用户代理信息与用户识别信息对应起来分别存储于存储单元中,分别判定从自任意终端装置接收到的分组中提取出的访问源IP地址和用户代理信息,是否和与操作任意终端装置的用户的用户识别信息对应起来存储于存储单元中的访问源IP地址和用户代理信息相对应,从而判断操作任意终端装置的用户是否为合法用户,因此能够进一步提高用户确认的精度。
另外,例如在对预先登记的各个用户,根据来自该各个用户的请求,提供发布一定信息的服务(称为信息发布型服务)时,在确认请求信息发布的用户是否为合法用户(预先登记的用户)时,在使用本发明的用户确认装置等的情况下,虽然对用户确认装置的用户确认精度的要求水准比较低,但是例如在根据来自各个用户的指示来进行存款余额查询、存取额查询、帐户存入、转帐等金融交易等而对各个用户提供不同的服务的情况下,对基于本发明的用户确认装置的用户确认,也要求非常高的精度。
对此进行考虑,在本发明之一或二中,可以例如像本发明之三那样构成为,存储单元将针对每个用户预先设定的密码与每个用户的用户识别信息对应起来存储,判断单元在由操作任意终端装置的用户输入的用户识别信息和密码的组合已被存储在了存储单元中的情况下,根据由提取单元提取的信息来进行所述判断(判断操作任意终端装置的用户是否为合法用户)。在本发明之三中,除了根据用户识别信息和密码的组合进行以往用户的确认(验证)以外,还根据用户代理信息(以及访问源IP地址)进行用户确认,因此能够进一步提高用户确认的精度,并且即使在非法取得了合法用户的用户识别信息和密码的第三者冒充合法用户进行非法访问的情况下,也能够检测出该情况并防止。
另外,分配给终端装置的IP地址可能在每次访问时都不同,考虑到在该情况下每次访问时的IP地址的一致度高,在本发明之二中,判断单元优选例如像本发明之四那样,构成为针对从接收到的分组中提取的访问源IP地址,判定其与在存储单元中存储的访问源IP地址之间的规定比特单位的一致率是否在阈值以上,从而判定从接收到的分组中提取的访问源IP地址是否与在存储单元中存储的访问源IP地址对应,并针对从接收到的分组中提取的用户代理信息,判定其是否与在存储单元中存储的用户代理信息相同,从而判定从接收到的分组中提取的用户代理信息是否与在存储单元中存储的用户代理信息对应。由此,能够准确地判定从接收到的分组中提取的访问源IP地址和用户代理信息,是否与在存储单元中存储的访问源IP地址和用户代理信息对应。
并且,在本发明之一或二中,虽然可以在将来自各个用户的访问限制为仅是来自各固定的终端装置的访问的情况下,针对各个用户使用户代理信息(以及访问源IP地址)逐个地存储于存储单元中,但是在本发明之二中,优选构成为,在允许各个用户分别从不固定的终端装置进行访问的情况下,例如像本发明之五那样,在从接收到的分组中提取的访问源IP地址和用户代理信息与存储在存储单元中的访问源IP地址和用户代理信息的对照结果为,通过判断单元判定为从接收到的分组中提取的访问源IP地址和用户代理信息与存储在存储单元中的访问源IP地址和用户代理信息不对应的情况下,信息管理单元使从接收到的分组中提取的访问源IP地址和用户代理信息与用户识别信息对应起来追加存储于存储单元中,判断单元在与操作任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息在存储单元中存储有多组的情况下,将从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,分别与存储有多组的访问源IP地址和用户代理信息进行对照,从而判断操作任意终端装置的用户是否为合法用户。
在本发明之五中,在经由各个用户过去未曾使用过的新的终端装置进行访问的情况下,通过判断单元对从接收到的分组中提取的访问源IP地址和用户代理信息与存储在存储单元中的访问源IP地址和用户代理信息进行判定,而判断为不是合法用户,此时,将从接收到的分组中提取的访问源IP地址和用户代理信息通过信息管理单元而与用户识别信息对应起来追加存储于存储单元中。并且在存储单元中存储有多组与操作终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,判断单元将从自任意的终端装置接收到的分组中提取的访问源IP地址和用户代理信息,分别与存储有多组的访问源IP地址和用户代理信息进行对照,从而判断操作任意终端装置的用户是否为合法用户,因此在经由上述新的终端装置的下次开始的访问中判断为合法用户。
这样,根据本发明之五,各个用户能够使用例如设置于自家的终端装置或者设置于单位的终端装置等多个终端装置中的期望的终端装置来进行访问。另外,即使在允许各个用户分别从不固定的终端装置来进行访问的情况下,大体上各个用户使用的终端装置的数量是有限的,因此由于每次经由新的终端装置进行访问,从而每次判断为不是合法用户的情况极少。
另外,在本发明之五中,在判定为从接收到的分组中提取的访问源IP地址和用户代理信息与存储在存储单元中的访问源IP地址和用户代理信息不对应的情况下,信息管理单元也可以仅在通过与判断单元不同的方法确认了操作分组发送源的终端装置的用户为合法用户时,使访问源IP地址和用户代理信息追加存储于存储单元中。
另外,在本发明之五中,判断单元可以构成为,例如像本发明之六那样,当在存储单元中存储有多组与操作任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,如果判定为从接收到的分组中提取的访问源IP地址和用户代理信息与存储在存储单元中的多组的访问源IP地址和用户代理信息中的至少1组访问源IP地址和用户代理信息分别对应,则能够判断为操作任意终端装置的用户为合法用户。由此,即使在合法用户选择性地使用多台终端装置进行访问等情况下,也能够高精度地判断合法用户。
另外,在本发明之五中,判断单元可以构成为像例如本发明之七那样,当在存储单元中存储有多组与操作任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,如果在多组的访问源IP地址和用户代理信息中不存在被判定为与从接收到的分组中提取的访问源IP地址和用户代理信息分别对应的访问源IP地址和用户代理信息的组,则能够判断为操作任意终端装置的用户不是合法用户。由此,即使在非合法用户的第三者进行了访问的情况下,通过与过去的访问进行比较并根据访问源IP地址和用户代理信息的至少一方分别不同的情况而能够判断为不是合法的用户,能高精度地判断不是合法用户的第三者。
另外,在本发明之七中,即使操作分组发送源的终端装置的用户为合法用户,在例如每次从很多台终端装置中都使用不同的终端装置进行访问的情况,或者虽然使用固定的终端装置进行访问,但在访问中使用的终端装置为笔记本型PC等携带型终端装置,每次都利用不同的热区(HOTSPOT:能够利用公共无线LAN的场所)进行访问等使用环境特殊的情况下,在存储于存储单元的多组的访问源IP地址和用户代理信息中,不存在被判定为与从接收到的分组中提取的访问源IP地址和用户代理信息分别对应的访问源IP地址和用户代理信息的组,从而发生判断为不是合法用户的不良情形。
考虑到上述问题,在本发明之七中可以构成为,例如像本发明之八那样,在通知了通过判断单元判断为不是合法用户的用户通过与基于判断单元的用户确认不同的确认方法被判断为合法用户的情况时,信息管理单元使规定的识别信息与用户的用户识别信息分别对应起来存储于存储单元中,如果与操作任意终端装置的用户的用户识别信息对应起来而在存储单元中存储了规定的识别信息,并且,在多组的访问源IP地址和用户代理信息中,存在多组被判定为与从接收到的分组中提取的访问源IP地址对应的访问源IP地址和用户代理信息的组,或者存在多组被判定为与从接收到的分组中提取的用户代理信息对应的访问源IP地址和用户代理信息的组时,判断单元能够判断操作任意终端装置的用户为合法用户。
在本发明之八中,在通知了通过判断单元判断为不是合法用户的用户通过与基于判断单元的用户确认不同的确认方法被判断为合法用户的情况时,认为该用户的使用环境特殊,使规定的识别信息与用户的用户识别信息对应起来分别存储于存储单元中。另外,对于在存储单元中存储有规定的识别信息的用户,如果在多组的访问源IP地址和用户代理信息中存在多组被判定为与从接收到的分组中提取的访问源IP地址对应的访问源IP地址和用户代理信息的组,或者,存在多组被判定为与从接收到的分组中提取的用户代理信息对应的访问源IP地址和用户代理信息的组,则判断为操作任意终端装置的用户为合法用户。
由此,例如在合法用户从许多台终端装置中每次使用不同的终端装置进行访问等情况下,根据在所存储的多组的访问源IP地址和用户代理信息中存在多组被判定为与从接收到的分组中提取的访问源IP地址对应的访问源IP地址和用户代理信息的组的情况,能够判断为是合法用户。另外,在合法用户使用携带型终端装置并且每次使用不同的热区进行访问等情况下,根据在所存储的多组的访问源IP地址和用户代理信息中存在多组被判定为与从接收到的分组中提取的用户代理信息对应的访问源IP地址和用户代理信息的组的情况,能够判断为是合法用户。因此,根据本发明之八,在用户的使用环境特殊的情况下也能够高精度地进行用户确认。
另外,在本发明之一或之二中,优选例如像本发明之九那样,还设置有:将各个用户使用的电子邮件地址与各个用户的用户识别信息对应起来分别存储的电子邮件地址存储单元;以及在通过判断单元判断为操作任意终端装置的用户不是合法用户的情况下,将附加了到规定网页的链接的电子邮件,发送给与所述用户的用户识别信息对应起来存储于电子邮件地址存储单元中的电子邮件地址的发送单元,其中所述规定网页用于通过与判断单元不同的方法来确认所述用户是否为合法用户。由此,通过判断单元判断为不是合法用户的用户用于接受通过与判断单元不同的方法来进行是否为合法用户的确认的操作变得简单,能够减轻判断为不是合法用户的用户的负担。
另外,在本发明之五中,也可以使信息管理单元构成为,例如像本发明之十那样,在从接收到的分组中提取的访问源IP地址和用户代理信息与在存储单元中存储有多组的访问源IP地址和用户代理信息分别进行对照的结果,通过判断单元判定为从接收到的分组中提取的访问源IP地址和用户代理信息与在存储单元中存储有多组的访问源IP地址和用户代理信息都不对应,并且,与操作任意终端装置的用户的用户代理信息对应起来存储于存储单元中的访问源IP地址和用户代理信息的组数达到了规定的上限值的情况下,所述信息管理单元使从所述接收到的分组中提取的访问源IP地址和用户代理信息覆盖写到存储于存储单元中的多组的访问源IP地址和用户代理信息中的存储到存储单元中的时间最早的访问源IP地址和用户代理信息的组上,而存储于存储单元中。
由此,能够针对各个用户防止访问源IP地址和用户代理信息的组超过上限值而存储到存储单元中的情况,并且在节约存储单元的存储容量的同时,由于通过判断单元与从接收到的分组中提取的访问源IP地址和用户代理信息进行对照的访问源IP地址和用户代理信息的组数也在上限值以下,所以也能够防止对判断单元施加过大的负荷。
另外,在本发明之十中,在通过判断单元判定为从接收到的分组中提取的访问源IP地址和用户代理信息与在存储单元中存储有多组的访问源IP地址和用户代理信息都不对应,并且与操作任意终端装置的用户的用户识别信息对应起来存储于存储单元中的访问源IP地址和用户代理信息的组数达到了规定的上限值的情况下,信息管理单元仅在操作分组发送源的终端装置的用户通过与判断单元不同的方法被确认为是合法用户时,使从接收到的分组中提取的新的访问源IP地址和用户代理信息覆盖存储到存储单元中。
另一方面,在本发明之十中,在通过判断单元判定为从接收到的分组中提取的访问源IP地址和用户代理信息与在存储单元中存储有多组的访问源IP地址和用户代理信息都不对应,并且与操作任意终端装置的用户的用户识别信息对应起来存储于存储单元中的访问源IP地址和用户代理信息的组数达到了规定的上限值的情况下,如果信息管理单元无条件地(无论是否如前所述通过不同于判断单元的方法确认为是合法用户)使新的访问源IP地址和用户代理信息覆盖存储,当新的访问源IP地址和用户代理信息是与非法访问对应的信息时,虽然有可能覆盖擦去与合法用户对应的信息,但是这种情况下,由于在来自合法用户的访问中判断为“不是合法用户”,从而具有能够检测出存在非法访问的情况的效果。
另外,在本发明之五中,信息管理单元优选构成为,例如像本发明之十一那样,在从接收到的分组中提取的访问源IP地址和用户代理信息与在存储单元中存储有多组的访问源IP地址和用户代理信息分别对照的结果,通过判断单元判定为从接收到的分组中提取的访问源IP地址和用户代理信息与在存储单元中存储有多组的访问源IP地址和用户代理信息中的访问源IP地址和用户代理信息的特定组对应的情况下,所述信息管理单元使从接收到的分组中提取的访问源IP地址和用户代理信息中的至少用户代理信息覆盖写入到访问源IP地址和用户代理信息的特定组上而存储到存储单元中。
如前所述,用户代理信息在用于浏览器等应用程序的缺省设定时,在对OS或浏览器打了新的补丁或者进行版本升级或替换时,用户代理信息的内容被变更,在由用户设定为将期望的字符串作为用户代理信息来发送的情况下,通过用户对作为用户代理信息发送的字符串进行变更的操作则能够变更内容,但是内容一旦变更后则在此后一定期间内无法变更内容。因此,如上所述,通过使从接收到的分组中提取的访问源IP地址和用户代理信息中的至少用户代理信息,覆盖写到被判断为对应的访问源IP地址和用户代理信息的特定组上而存储到存储单元中,从而至少用户代理信息的最新信息被存储于存储单元中,能够提高以后的用户确认的精度。另外,在本发明之十一中,对于从接收到的分组中提取的访问源IP地址,当然也可以与用户代理信息一起覆盖存储。
本发明之十二的用户确认方法,提取在使用HTTP作为应用层的协议、从由各个用户操作的终端装置接收到的分组的HTTP报头中设定的用户代理信息,使提取的用户代理信息与所述各个用户的用户识别信息对应起来分别存储于存储单元中,并且提取在使用HTTP作为应用层的协议、从任意终端装置接收到的分组的HTTP报头中设定的用户代理信息,并通过将提取的用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的用户代理信息进行对照,判断操作所述任意终端装置的用户是否为合法用户,从而能够与本发明之一同样地使用户确认的精度提高而不损害用户的便利性。
本发明之十三的用户确认程序使具有存储单元的计算机作为以下单元发挥功能,即:从使用HTTP作为应用层的协议的、从终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息的提取单元;使由所述提取单元从自各个用户操作的终端装置接收到的分组中分别提取的用户代理信息,与所述各个用户的用户代理信息对应起来分别存储于所述存储单元中的信息管理单元;以及将由所述提取单元从自任意终端装置接收到的分组中提取的用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的用户代理信息进行对照,从而判断操作所述任意终端装置的用户是否为合法用户的判断单元。
本发明之十三的用户确认程序,使具有存储单元的计算机作为上述提取单元、信息管理单元和判断单元发挥功能,因此通过由计算机执行本发明之十三的用户确认程序,能够使所述计算机作为本发明之一所述的用户确认装置发挥作用,并且与本发明之一同样地,能够使用户确认的精度提高而不损害用户的便利性。
如上所述,本发明预先使从使用HTTP作为应用层的协议的从各个用户操作的终端装置接收到的分组的HTTP报头中提取的用户代理信息分别与各个用户的用户识别信息对应起来存储于存储单元中,并且将从自任意终端装置接收到的分组的HTTP报头中提取的用户代理信息,和与操作任意终端装置的用户的用户识别信息对应起来存储的用户代理信息进行对照,来判断操作任意终端装置的用户是否为合法用户,从而具有能够使用户确认的精度提高而不损害用户的便利性的良好效果。
附图说明
图1是表示本实施方式的计算机系统的概略结构的框图。
图2是说明在从客户终端向服务器发送HTTP数据时各层中的报头的附加和去除的概念图。
图3是表示通过应用程序/服务器执行的用户验证处理的内容的流程图。
图4是表示使用历史信息的内容的概略图。
图5是表示基于使用历史信息的验证成功/失败的判定条件的图表。
图6是表示再验证请求邮件的一个例子的图像。
图7是表示使用历史表更新处理的内容的流程图。
图8是表示确认邮件的一个例子的图像。
标号说明
10计算机/系统;12网页服务器;12C HDD;16英特网;18客户终端。
具体实施方式
下面参照附图对本发明实施方式的一个例子进行详细说明。图1表示本实施方式的计算机/系统10。本实施方式的计算机/系统10构成为包含在特定金融机构内设置的网页服务器12。网页服务器12具有CPU12A、由RAM等构成的存储器12B、硬盘驱动器(HDD)12C、网络接口(I/F)部12D。在HDD 12C中存储有验证信息数据库(DB)和使用历史表(都将在后详述),与本发明的存储单元对应。另外,HDD 12C中安装有CPU 12A执行后述的用户验证处理用的用户验证程序。并且,用户验证程序与本发明之十三所述的用户确认程序对应,通过CPU 12A执行用户验证程序,从而使网页服务器12作为本发明的用户确认装置发挥功能。
另外,网页服务器12的网络I/F部12D与多台网页服务器经由通信线路彼此连接而成的计算机/网络(互联网)16直接连接,进而也与在特定金融机构内设置的内部网(LAN)26连接。内部网26上连接着结算类系统28。互联网16上连接着分别由PC等构成的多台客户终端18。在各个客户终端18中安装有浏览器,与本发明的终端装置对应。另外,各个客户终端18与互联网16的连接方式,有时如标记了标号“18A”的客户终端那样,与互联网16直接连接(具体而言是经由未图示的提供商连接),有时还如标记了标号“18B”的客户终端那样,设置在企业内而经由代理服务器22连接到互联网16。
下面对本实施方式的作用进行说明。本实施方式涉及的特定金融机构,提供在线金融交易受理服务,即利用通过网页服务器12运营的在线金融交易用网站,受理来自用户的在线的金融交易的执行指示,作为在特定金融机构开设账户的用户能够在线进行金融交易的服务。在使用该在线金融交易受理服务的金融交易中,用户经由客户终端18浏览在线金融交易网站的网页,在该网页上输入必要的信息,从而能够从客户终端18向网页服务器12发送用于指示执行用户所需的金融交易的信息(金融交易指示信息)。然后,通过将该金融交易指示信息从网页服务器12向与内部网26连接的结算类系统28等传送,从而能够基于金融交易指示信息,通过结算类系统28等来执行由用户指示的金融交易。
使用在线金融交易受理服务的用户事先向特定金融机构申请使用所述服务。特定金融机构在每次用户申请使用所述服务时向所述用户赋予用户ID(相当于本发明中的用户识别信息),并且将赋予的用户ID与用户设定的密码(相当于本发明中的验证信息)和由用户通知的电子邮件地址(用户使用的电子邮件地址)一起,登记到存储于网页服务器12的HDD 12C中的验证信息DB中。这样,HDD 12C与本发明之三所述的存储单元和本发明之九所述的电子邮件地址存储单元对应。
下面对在用户经由客户终端18指示对在线金融交易用网站进行访问时从客户终端18向网页服务器12发送的分组进行说明。另外,在经由互联网16的客户终端18和网页服务器12之间的通信中,使用IP作为互联网层的协议,使用TCP(Transmission Control Protocol)作为传输层的协议,使用HTTP作为应用层的协议。在客户终端18中起动了浏览器的状态下,通过用户操作客户终端18的输入装置来进行指定在线金融交易用网站的URL(Uniform Resource Locator,统一资源定位符)等的操作,从而进行访问在线金融交易用网站的指示。
当指示了对在线金融交易用网站的访问后,进行与应用层对应的处理的应用程序、即浏览器,为了向网页服务器12请求与所指定的URL对应的网页的发布而生成设定了必要信息的HTTP数据,并且在该HTTP数据的开头附加设定了与应用层对应的信息的HTTP报头(参照图2)。另外,在从客户终端18向网页服务器12发送后述的验证请求分组时,在HTTP数据中设定包含用户经由客户终端18输入的用户ID和密码的信息。另外,在设定于HTTP报头中的信息中含有用户代理信息,在浏览器的缺省设定中,作为该用户代理信息,设定表示在客户终端18中工作的OS或浏览器自身的版本以及补丁打到了何处等的信息。另外,作为用户代理信息也可以变更浏览器的设定以便固定地设定任意的字符串,在进行了这种设定变更的情况下,将事先指定的字符串设定为用户代理信息。
另外,在客户终端18中,进行与传输层、互联网层和网络接口层各层对应的处理的模块也分别工作,如图2所示,由浏览器生成的信息(附加了HTTP报头的HTTP数据)从上位层的处理模块按顺序交接给下位层的处理模块,各层的处理模块进行与各层对应的处理,并且依次进行对交接的信息的开头附加设定了与各层对应的信息的报头的处理。由此,从客户终端18向网页服务器12发送分别附加了与网络接口层对应的网络报头、与互联网层对应的IP报头、与传输层对应的TCP报头和与应用层对应的HTTP报头的HTTP数据作为分组。
另外,通过与互联网层对应的处理模块,在IP报头中设定表示分组的目的地的目的地IP地址或发送源IP地址(赋予给客户终端18的IP地址)等信息作为与互联网层对应的信息,通过与传输层对应的处理模块,在TCP报头中设定TCP端口号等信息作为与传输层对应的信息。
另外,在网页服务器12中各层的处理模块也分别工作,来自客户终端18的分组从下位层的处理模块被顺序交接给上位层的处理模块,各层的处理模块参照在交接的分组的开头所附加的与各层对应的报头,并在基于该报头中所设定的信息进行与各层对应得处理之后依次进行去除所述报头的处理。由此,能够将开头仅附加了HTTP报头的HTTP数据交接给在网页服务器12中工作的应用层的处理模块(该处理模块中也包括进行后述的用户验证处理的处理模块)。
另外,在后述的用户验证处理中,网页服务器12使用在从客户终端18接收的分组的IP报头中设定的发送源IP地址(访问源IP地址)来进行处理,但是由于在进行用户验证处理的处理模块接收分组的时刻已经去除了IP报头,因此不能够直接检测出发送源IP地址。因此,在网页服务器12中工作的互联网层的处理模块进行将从客户终端18接收的分组的IP报头中所设定的发送源IP地址附加到HTTP数据中等处理,从而向应用层的处理模块(进行用户验证处理的处理模块)传递发送源IP地址。
在网页服务器12中,在经由互联网16从客户终端18接收到了某个分组的情况下,由在网页服务器12中工作的规定的处理模块(该处理模块也是与应用层对应的处理模块)基于是否在HTTP数据中设定了规定的信息等情况,来判断从客户终端18接收到的分组是否为验证请求分组。
在线金融交易用网站是通过链接而被彼此关联的许多个网页的集合体,通过从上述网站的主页进行寻找链接,用户指定希望执行的金融交易的条件,显示能够指示执行的金融交易执行指示页,但在线金融交易用网站的主页中设置有用于输入用户ID和密码的输入框,还显示向用户提示登录操作(用户ID和密码的输入)的消息。然后,如果用户在主页的对应的输入框中输入用户ID和密码并指示发送,则能够从用户操作的客户终端18发送在HTTP数据中设定了规定的信息的验证请求分组。
规定的处理模块在判断为从客户终端18接收的分组不是验证请求分组时,进行与接收到的分组对应的处理,例如生成用于将在线金融交易用网站的主页的数据向请求源的客户终端18发布的HTTP数据,并且在生成的HTTP数据中附加HTTP报头等处理。该HTTP数据和HTTP报头经由与图2所示的步骤相反的步骤,作为分组被发送给客户终端18。由此,能够在客户终端18的显示器上显示用户经由客户终端18进行了发布请求的网页。
另一方面,在判断为从客户终端18接收的分组是验证请求分组的情况下,规定的处理模块起动进行用户验证处理的处理模块。由此,通过CPU 12A执行用户验证程序,进行图3所示的用户验证处理。
在该用户验证处理中,首先在步骤30中,从接收的验证请求分组的HTTP数据中提取用户ID和密码,在下一步骤32中,进行检索在步骤30中提取的用户ID和密码的组合是否已登记于验证信息DB中的验证处理。在步骤34中,基于通过步骤32的检索是否从验证信息DB中提取了用户ID和密码的组合,判定在步骤32的验证处理中验证是否成功。判定为否定时转入步骤74,向起动源的规定的处理模块通知验证失败,结束用户验证处理。此时,通过规定的处理模块,进行在验证请求分组发送源的客户终端18的显示器上显示用于通知输入的用户ID或者密码错误的意思的消息等错误处理。
另一方面,当在步骤32的验证处理中验证成功时(相当于本发明之三所述“用户识别信息和密码的组合已存储于存储单元中的情况”),步骤34的判定为肯定而转入步骤36,从接收到的验证请求分组的HTTP数据中提取访问源IP地址(发送源IP地址),并且从验证请求分组的HTTP报头中提取用户代理信息。另外,该步骤36与本发明的提取单元(具体而言是本发明之二所述提取单元)对应。另外,在下一步骤38中,从存储于HDD 12C中的使用历史表中,提取与在此前的步骤30中提取的用户ID对应的使用历史信息,并且将提取的使用历史信息存储于存储器12B中。
本实施方式的使用历史表构成为针对事先申请使用在线金融交易受理服务而被赋予用户ID的各个用户(合法用户),分别设置有用于存储图4所示那样的使用历史信息的区域,在与各个用户对应的使用历史信息存储区域中,设置有用于设定/登记顾客ID、交易停止标志、特殊环境标志、对照判定用阈值、索引等各信息,进而设置有能够登记2组访问源IP地址和用户代理信息的区域。
在顾客ID区域中,事先登记根据登记于顾客主数据库(master)中的帐户号码使用散列函数而生成的顾客ID。另外,交易停止标志是表示是否停止通常规则下的验证(基于访问源IP地址和用户代理信息的验证)的标志,在交易停止标志区域中,最初设定交易停止标志的初始值0(意味着通常规则下的验证有效)。另外,特殊环境标志是表示用户的使用环境是否特殊的标志,在特殊环境标志区域中,最初设定特殊环境标志的初始值0(意味着通常环境)。而索引id是表示作为使用历史信息而登记的2组的访问源IP地址和用户代理信息(IP0,UA0和IP1,UA1)中的任一个是否为最新的信息,在索引区域中最初设定初始值0(表示IP0,UA0为最新的情况)。另外,各个访问源IP地址区域和用户代理信息区域中分别设定空白(没有信息)作为初始值。
在上述的步骤38中,通过以在此前的步骤30中提取的用户ID为关键字来检索顾客主数据库(省略图示),从而提取被赋予了所述用户ID的用户所保有的帐户的帐户号码,根据提取的帐户号码使用散列函数求出顾客ID,并且以求出的顾客ID为关键字来检索使用历史表,从而提取与用户ID对应的使用历史信息。在下一步骤40中,判定提取的使用历史信息中的交易停止标志是否为1。当判定为否定时转入步骤42,判定在提取的使用历史信息中是否登记有1组以上的访问源IP地址和用户代理信息。
如前所述,在使用历史信息区域中的访问源IP地址区域和用户代理信息区域中设定为空白作为初始值,但是当申请了使用在线金融交易受理服务的用户对在线金融交易用网站进行了1次以上的访问时,将在步骤36中从验证请求分组中提取的访问源IP地址和用户代理信息登记为使用历史信息(后面详述)。在作为使用历史信息已经登记了访问源IP地址和用户代理信息的情况下,步骤42的判定为肯定而转入步骤44,将在步骤36中从验证请求分组中提取的访问源IP地址和用户代理信息,与作为使用历史信息而登记的访问源IP地址和用户代理信息进行对照。
另外,IP地址的对照如下进行。即,虽然IP地址是4字节的数据,但是在本实施方式中,当向访问源IP地址区域中登记访问源IP地址时,按照每1字节使用散列函数来计算散列值,将4个散列值登记为访问源IP地址。因此,对于在步骤36中提取的访问源IP地址也按照每1字节来计算散列值,并将所得到的4个散列值与登记在访问源IP地址区域中的4个散列值进行比较,求出以散列值为单位的一致率。然后,将求出的一致率与设定为使用历史信息的对照判定用阈值进行比较,当一致率为阈值以上时判定为本次的访问源IP地址与已登记的IP地址“对应”,当一致率小于阈值时则判定为本次的访问源IP地址与已登记的IP地址“不对应”。
如图1所示的客户终端18A那样,在与互联网16直接连接的方式中,客户终端18A的IP地址(全球IP地址)存在如下的情况:即通过与提供商之间的合同预先固定的情况,和在每次连接到互联网16时由提供商分配不固定的IP地址(提供商为了分配用而事先确保的一定范围内的IP地址中的任一个)的情况。另外,在如图1所示的客户终端18B那样,设置在企业内而经由代理服务器22与互联网16连接的连接方式中,例如在所述企业取得独有域(domain),为了分配用而事先确保一定范围内的IP地址的情况下,当在所述企业通过代理服务器22为了分配用而事先确保的一定范围内的IP地址中的任一个IP地址上覆盖写入了设定于IP报头中的发送源IP地址后,向互联网16送出从客户终端18B发送的分组。
因此,即使是所分配的IP地址不固定的客户终端18,由于所分配的IP地址收敛于一定的范围内(高位几个字节相同),因此如上所述基于IP地址的一致率是否为阈值以上,来判定IP地址是否对应,从而当从与以前访问在线金融交易用网站时相同的访问源(互联网16上的客户终端18的位置)访问了在线金融交易用网站时,能够判定为IP地址对应。
另外,关于用户代理信息,如果本次的用户代理信息与登记的用户代理信息相同则判定为“对应”,如果本次的用户代理信息与登记的用户代理信息不同则判定为“不对应”。通过访问源IP地址和用户代理信息的对照进行上述判定的情况与本发明之四的记载对应。另外,在登记了2组访问源IP地址和用户代理信息作为使用历史信息的情况下,将从验证请求分组中提取的访问源IP地址和用户代理信息,与所登记的2组访问源IP地址和用户代理信息分别进行对照。
在下一步骤46中,基于步骤44中的访问源IP地址和用户代理信息的对照结果,判定对操作验证请求分组发送源的客户终端18的用户的验证属于“成功”“带条件的成功”“失败”中的哪一项,并基于判定结果而分支。依照图5所示的判定表进行上述判定。另外,图5中,“○”对应于在步骤44的对照中判定为“对应”的情况,“×”对应于判定为“不对应”的情况。另外,图5中“最新”的访问源IP地址和用户代理信息表示作为使用历史信息所登记的2组访问源IP地址和用户代理信息中、使用历史信息的索引id所指示的访问源IP地址和用户代理信息,“以前”的访问源IP地址和用户代理信息表示另一组的访问源IP地址和用户代理信息。另外,在仅登记了1组的访问源IP地址和用户代理信息(“最新”的信息)作为使用历史信息的情况下,与“以前”的访问源IP地址和用户代理信息的对照结果都被判定为“不对应”,进行步骤46的判定。另外,上述步骤44、46与后述的步骤64一起对应于本发明的判断单元(具体而言是本发明之二至之八所述的判断单元)。
在前面的步骤44中的对照结果为满足条件“从验证请求分组中提取的访问源IP地址和用户代理信息,与作为使用历史信息所登记的2组访问源IP地址和用户代理信息中的至少一组访问源IP地址和用户代理信息分别对应”(为了方便起见将该条件也称为第一条件)的情况下,本次的访问可以看作与同一用户过去访问在线金融交易用网站时的访问源相同且客户终端18也相同,因此操作验证请求分组发送源的客户终端18的用户也为合法用户的可能性极高。因此,在步骤46中在上述情况下,如图5中标记为“验证成功”所示的那样判定为验证“成功”。
另一方面,在前面的步骤44中的对照结果为满足条件“在作为使用历史信息所登记的访问源IP地址和用户代理信息的组中,不存在被判定为与从验证请求分组中提取的访问源IP地址和用户代理信息分别对应的组”(为了方便起见该条件也称为第二条件)的情况下,本次的访问与同一用户过去访问在线金融交易用网站时的访问源和客户终端18的至少一方不同,因此操作验证请求分组发送源的客户终端18的用户不是合法用户的可能性高。
但是多数用户例如保有许多台能够用于访问在线金融交易用网站的客户终端18,可以从许多台客户终端18中经由不固定的客户终端18访问在线金融交易用网站(此时各次访问中用户代理信息彼此不同的可能性高),或者使用笔记本型PC等便携式客户终端18,每次利用不同的热区(hot spot)访问在线金融交易用网站(此时各次访问中访问源IP地址有很大不同的可能性高)等,具有存在使用环境特殊的用户的可能性,而这种使用环境特殊的用户也相应于上述第二条件。
因此,在步骤46中,当步骤44中的对照结果为满足条件“作为使用历史信息所登记的2组访问源IP地址和用户代理信息双方,被判定为与从验证请求分组中提取的访问源IP地址对应,或者被判定为与从验证请求分组中提取的用户代理信息对应”(为方便起见,该条件也称为第三条件)时,如图5中标记为“带条件的验证成功”所示,判定为验证“带条件的成功”,当步骤44中的对照结果满足上述第二条件且不满足上述第三条件时,如图5中标记为“验证失败”所示,判定为验证“失败”。
在步骤46中判定为验证“成功”时转入步骤48,判定使用历史信息的特殊环境标志是否为1。当判定为否定时转入步骤52,向起动源的规定的处理模块通知验证成功。此时,通过规定的处理模块,进行将仅对确认为合法用户的用户发布的规定网页向验证请求分组发送源的客户终端18发布等处理。在下一步骤54中,判定从验证请求分组中提取的访问源IP地址和用户代理信息,是否被判定为与作为使用历史信息所登记的访问源IP地址和用户代理信息中的、索引id所指示的“最新”的访问源IP地址和用户代理信息分别对应。
当判定为肯定时转入步骤60,将从验证请求分组中提取的访问源IP地址和用户代理信息,覆盖写到作为使用历史信息所登记的“最新”的访问源IP地址和用户代理信息上而进行登记,转入步骤62。另外,当步骤54的判定为否定时则转入步骤56,将从验证请求分组中提取的访问源IP地址和用户代理信息,覆盖写到作为使用历史信息所登记的“以前”的访问源IP地址和用户代理信息(索引id未指示的访问源IP地址和用户代理信息)上而进行登记(另外,在被写入覆盖的访问源IP地址和用户代理信息为“空白”时,步骤56中的覆盖写入登记相当于本发明之五所述的“追加存储”)。另外,在下一步骤58中使索引id的比特反转,从而将在步骤56中覆盖写入而登记的访问源IP地址和用户代理信息变更为“最新”。
然后在步骤62中,将存储于存储器12B中的使用历史信息写回到使用历史表中,从而更新使用历史表中的使用历史信息,结束用户验证处理。另外,如上述步骤60、56那样,将从验证请求分组中提取的访问源IP地址和用户代理信息,覆盖写到作为使用历史信息所登记的访问源IP地址和用户代理信息上而进行登记,从而能够提高在对同一用户再次进行用户验证处理时的步骤44的对照和步骤46的判定的精度。另外,上述步骤54~步骤62与本发明的信息管理单元(具体而言是本发明之二、之五、之十一所述的信息管理单元)对应。
另一方面,当在前面的步骤46判定为验证“失败”时转入步骤68,对使用历史信息中的交易停止标志设定1。另外,当在步骤46中判定为验证“失败”时,也存在操作验证请求分组发送源的客户终端18的用户为合法用户的可能性,考虑到这一点而在下一步骤70中,读出与在步骤32中提取的用户ID对应起来存储于验证信息DB中的电子邮件地址,向读出的电子邮件地址发送再验证请求邮件。作为例子如图6所示,在该再验证请求邮件中,附加了到用于通过与通常规则不同的验证方法来确认操作验证请求分组发送源的客户终端18的用户是否为合法用户的再验证专用的网页的链接100。另外,步骤70与本发明之九所述的发送单元对应。
在下一步骤72中,向起动源的规定的处理模块通知验证失败,转入步骤54。由此,如前所述,将从验证请求分组中提取的访问源IP地址和用户代理信息覆盖写到使用历史信息中而进行登记/将使用历史信息写回到使用历史表中,结束用户验证处理。
如上所述,在步骤46中判定为验证“失败”时,则对交易停止标志设定1,因此在对同一用户再次进行用户验证处理时,步骤40的判定为肯定而转入步骤70,从而不进行通常规则下的验证(基于访问源IP地址和用户代理信息的验证),再次发送再验证请求邮件(步骤68),再次向起动源的规定的处理模块通知验证失败(步骤72)。因此,在由于非法取得了用户ID和密码的第三者通过非法访问,而进行了在步骤46中判定为验证“失败”的前次的用户验证处理的情况下,导致此后即使合法用户想要访问在线金融交易用网站接受验证也会验证“失败”,但是另一方面能够检测出存在非法访问的情况。
另外,不论操作验证请求分组发送源的客户终端18的用户是否为合法用户,如前所述在步骤46中判定为验证“失败”的情况下,该用户接收在前面的步骤70中发送的再验证请求邮件,从在接收的再验证请求邮件中附加的链接100来进行访问再验证专用网页的操作,经由在客户终端18的显示器上显示的再验证专用的网页来接受规定的再验证手续。当在该再验证手续中确认为是合法用户时,向进行用户验证处理的处理模块通知再验证成功。另外,为了访问再验证专用的网页,需要具有能够接收再验证请求邮件的环境,可以视为访问再验证专用的网页而接受再验证手续的人,在该时刻为合法用户的可能性非常高,因此能够使再验证手续成为比较简单的手续,从而能够减轻用户的负担。
另一方面,当进行用户验证处理的处理模块被通知了再验证成功时,进行图7所示的使用历史表更新处理。即,在上述再验证通知中,通过再验证手续被确认为是合法用户的用户的用户ID作为信息被附加,首先在步骤80中,提取/获得确认为合法用户的用户的用户ID。在下一步骤82中,从使用历史表中提取与在步骤80中获取的用户ID对应的使用历史信息,并将提取的使用历史信息存储于存储器12B中。并且在步骤84中,使提取的使用历史信息中的交易停止标志恢复为0,并且对特殊环境标志设定1。然后,在下一步骤86中将使用历史信息写回使用历史表,结束使用历史表更新处理。如上所述使交易停止标志恢复为0,从而在对同一用户再次进行用户验证处理时,由于步骤40的判定为否定从而再次开始通常规则下的验证。另外,步骤84与本发明之八所述的信息管理单元对应。
另外,当在前面的步骤46中判定为验证“带条件的成功”时转入步骤64,设定使用历史信息中的特殊环境标志是否为1。当验证“带条件的成功”时,如前所述,操作验证请求分组发送源的客户终端18的用户为使用环境特殊的用户的可能性高,但是不能否定是第三者的非法访问的可能性。因此,本实施方式中的“带条件的成功”将通过上述的再验证手续验证成功作为验证成功的条件,当步骤64的判定为否定时,即没有通知再验证成功时,转入步骤68进行上述的再验证请求邮件的发送等处理。
另外,当步骤64的判定为肯定时,即通知了再验证成功并进行了使用历史表更新处理(图7)时,转入步骤66,读出与在步骤32中提取的用户ID对应起来存储于验证信息DB中的电子邮件地址,向读出的电子邮件地址发送例如图8所示的确认邮件。该确认邮件中记载有日期时间等,在万一本次访问为非法访问的情况下,通过由合法用户接收/参照上述确认邮件,也能够检测出是非法访问的情况。进行步骤66的处理后转入步骤52,向起动源的规定的处理模块通知了验证成功后,在步骤54及步骤54之后将从验证请求分组中提取的访问源IP地址和用户代理信息覆盖写到使用历史信息上而进行登记/将使用历史信息写回到使用历史表中,结束用户验证处理。由此,即使是使用环境特殊的用户,也能够判定为是合法用户。
另外,在对特殊环境标志设定1后,在步骤46的判定中如果满足上述的第三条件则判定为验证“成功”,因此存在安全性稍低的缺点。为此,当在步骤46的判定中满足第一条件而判定为验证“成功”时,在步骤48中判定是否对特殊环境标志设定了1,当判定为肯定时在步骤50中使特殊环境标志恢复为0,然后转入步骤52。从而能够克服上述缺点。
最后,对申请使用在线金融交易受理服务的用户最初访问在线金融交易用网站的情况进行说明。此时,在使用历史信息中没有登记访问源IP地址和用户代理信息,在该状态下难以进行通常规则下的验证,因此步骤42的判定为否定而转入步骤68,如前所述对交易停止标志设定1,并且进行再验证请求邮件的发送等处理,从而使得经由再验证专用的网页接受规定的再验证手续。此时,也在步骤60中将访问源IP地址和用户代理信息登记到使用历史信息中,并且如果再验证成功则将交易停止标志恢复为0,因此能够在本次以后的访问中进行通常规则下的验证。
另外,虽然以上就针对各个用户最多登记2组的访问源IP地址和用户代理信息的情况进行了说明,但是不限于此,也可以使访问源IP地址和用户代理信息的组的登记数的上限值为3以上。此时,如果在已经登记的访问源IP地址和用户代理信息的组中,不存在被判定为与从验证请求分组中提取的新的访问源IP地址和用户代理信息分别对应的组,则在访问源IP地址和用户代理信息的组的登记数达到上限值以前,追加登记新的访问源IP地址和用户代理信息的组,当访问源IP地址和用户代理信息的登记数达到上限值后,只要将新的访问源IP地址和用户代理信息的组覆盖写入而登记到登记时间最早的访问源IP地址和用户代理信息的组上即可。上述事项与本发明之十对应。
另外,也可以不对访问源IP地址和用户代理信息的组的登记数设定上限。例如考虑选择性地使用多台客户终端18或者多种访问源(例如多个位置的热区)进行访问等特殊的使用环境,不对访问源IP地址和用户代理信息的组的登记数设定上限来进行登记(在已经登记的访问源IP地址和用户代理信息的组中,如果存在被判定为与从验证请求分组中提取的新的访问源IP地址和用户代理信息分别对应的组,则将新的访问源IP地址和用户代理信息覆盖写入而登记到上述被判定为对应的组上,除此之外的情况下则追加登记新的访问源IP地址和用户代理信息),并且,也可以删除从登记之后经过的期间长度超过阈值,或者被判定为与新的访问源IP地址和用户代理信息不对应的次数超过阈值的访问源IP地址和用户代理信息的组。在该方式中,虽然具有可能使使用历史信息海量化的缺点,但是另一方面,即使对于使用环境特殊的用户也能够在步骤46中判定为验证“成功”,因此不需要设置验证的“带条件的成功”,从而能够进一步提高安全性。
另外,以上作为本发明涉及的终端装置,以由PC等构成的客户终端18为例进行了说明,但是不限于此,也可以是具有访问互联网功能的PDA或移动电话机等便携终端。这种便携终端可以经由设置于无线通信网中的网关服务器而与互联网连接,具体而言,为了访问任意的网站,一旦通过网关服务器接收了从便携终端发送的信息,就将其转换为基于在经由互联网16的通信中使用的协议(互联网层的协议:IP;传输层的协议:TCP;应用层的协议:HTTP)的分组,并且将无线通信经营者为了分配而事先确保的一定范围内的IP地址中的某个IP地址在IP报头中设定为发送源IP地址,将含有无线通信经营者名称或便携终端的机型、型号、浏览器的版本等的信息作为用户代理信息设定于HTTP报头中后向互联网16送出。另外,根据与无线通信经营者之间的合同方式,虽然有些情况下网关服务器与特定的网页服务器之间可以通过专用线连接,以特定的网页服务器为目的地的分组不经由互联网而通过专用线从网关服务器发送,但在这种通信方式中也与上述同样在分组中设定发送源IP地址和用户代理信息。另外,为了分配用而确保的IP地址范围根据每个无线通信经营者而不同。因此,即使终端装置为便携终端,使用本发明也能够确认操作便携终端的用户是否为合法用户。
另外,以上对于在提供在线金融交易受理服务的在线金融交易用网站上的用户验证中使用本发明的方式进行了说明,但是不限于此,也可以使用于任意网站中的用户验证或用户确认。另外,以上将使用本发明的用户验证与使用了用户ID和密码的用户验证并用,但是在每次有来自事先登记了电子邮件地址等简单的用户识别信息的用户的请求时,如果是提供发布一定信息的信息发送型服务的网站,则由于不需要高精度的用户确认(验证),因此可以省略基于密码的用户验证,基于由用户输入的电子邮件地址等用户信息,仅进行使用本发明的用户确认(验证)。
另外,以上对分别使用访问源IP地址和用户代理信息进行用户确认(验证)的方式进行了说明,但是不限于此,也可以如对各个用户仅许可来自安装有电子证书的客户终端的访问的网站那样,对各个用户仅许可来自固定终端装置的访问的情况下,可以仅将用户代理信息与用户识别信息对应起来存储,并且基于用户代理信息是否与已登记的用户代理信息一致,来进行用户确认(验证)。
权利要求书(按照条约第19条的修改)
1. (删除)
2. (删除)
3. (删除)
4. (修改后)一种用户确认装置,该用户确认装置包括:
提取单元,其从使用IP作为互联网层的协议且使用HTTP作为应用层的协议的、从终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息,并且从所述分组中提取访问源IP地址;
信息管理单元,其使通过所述提取单元从自各个用户操作的终端装置接收到的分组中分别提取的访问源IP地址和用户代理信息,与所述各个用户的用户识别信息对应起来分别存储于存储单元中;以及
判断单元,其将通过所述提取单元从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的访问源IP地址和用户代理信息进行对照,并分别判定是否与存储于所述存储单元中的访问源IP地址和用户代理信息对应,从而判断操作所述任意终端装置的用户是否为合法用户,
所述判断单元针对从所述接收到的分组中提取的访问源IP地址,判定其与存储在所述存储单元中的访问源IP地址之间的规定比特单位的一致率是否在阈值以上,从而判定从所述接收到的分组中提取的访问源IP地址是否与存储在所述存储单元中的访问源IP地址对应,并针对从所述接收到的分组中提取的用户代理信息,判定其是否与存储在所述存储单元中的用户代理信息相同,从而判定从所述接收到的分组中提取的用户代理信息是否与存储在所述存储单元中的用户代理信息对应。
5. (修改后)一种用户确认装置,该用户确认装置包括:
提取单元,其从使用IP作为互联网层的协议且使用HTTP作为应用层的协议的、从终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息,并且从所述分组中提取访问源IP地址;
信息管理单元,其使通过所述提取单元从自各个用户操作的终端装置接收到的分组中分别提取的访问源IP地址和用户代理信息,与所述各个用户的用户识别信息对应起来分别存储于存储单元中;以及
判断单元,其将通过所述提取单元从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的访问源IP地址和用户代理信息进行对照,并分别判定是否与存储于所述存储单元中的访问源IP地址和用户代理信息对应,从而判断操作所述任意终端装置的用户是否为合法用户,
在从所述接收到的分组中提取的访问源IP地址和用户代理信息与存储在所述存储单元中的访问源IP地址和用户代理信息的对照结果为,通过所述判断单元判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与存储在所述存储单元中的访问源IP地址和用户代理信息不对应的情况下,所述信息管理单元使从所述接收到的分组中提取的访问源IP地址和用户代理信息与所述用户识别信息对应起来追加存储于所述存储单元中,
当在所述存储单元中存储有多组与操作所述任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,所述判断单元将从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,分别与所述存储有多组的访问源IP地址和用户代理信息进行对照,从而判断操作所述任意终端装置的用户是否为合法用户。
6. 根据权利要求5所述的用户确认装置,其特征在于,
当在所述存储单元中存储有多组与操作所述任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,如果判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与存储在所述存储单元中的所述多组的访问源IP地址和用户代理信息中的至少1组访问源IP地址和用户代理信息分别对应,则所述判断单元判断为操作所述任意终端装置的用户为合法用户。
7. 根据权利要求5所述的用户确认装置,其特征在于,
当在所述存储单元中存储有多组与操作所述任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,如果在所述多组的访问源IP地址和用户代理信息中不存在被判定为与从所述接收到的分组中提取的访问源IP地址和用户代理信息分别对应的访问源IP地址和用户代理信息的组,则所述判断单元判断为操作所述任意终端装置的用户不是合法用户。
8. 根据权利要求7所述的用户确认装置,其特征在于,
当通知了通过所述判断单元判断为不是合法用户的用户通过与基于所述判断单元的用户确认不同的确认方法被判断为合法用户的情况时,所述信息管理单元使规定的识别信息与所述用户的用户识别信息分别对应起来存储于所述存储单元中,
如果与操作所述任意终端装置的用户的用户识别信息对应起来在所述存储单元中存储了所述规定的识别信息,并且,在所述多组的访问源IP地址和用户代理信息中,存在多组被判定为与从所述接收到的分组中提取的访问源IP地址对应的访问源IP地址和用户代理信息的组,或者存在多组被判定为与从所述接收到的分组中提取的用户代理信息对应的访问源IP地址和用户代理信息的组,则所述判断单元判断为操作所述任意终端装置的用户是合法用户。
9. (修改后)根据权利要求5所述的用户确认装置,其特征在于,该用户确认装置还具有:
电子邮件地址存储单元,其将所述各个用户使用的电子邮件地址与所述各个用户的用户识别信息对应起来分别存储;
发送单元,在通过所述判断单元判断为操作所述任意终端装置的用户不是合法用户的情况下,该发送单元将附加了到规定网页的链接的电子邮件,发送给与所述用户的用户识别信息对应起来存储于所述电子邮件地址存储单元中的电子邮件地址,其中所述规定网页用于通过与所述判断单元不同的方法来确认所述用户是否为合法用户。
10. 根据权利要求5所述的用户确认装置,其特征在于,
在从所述接收到的分组中提取的访问源IP地址和用户代理信息与在所述存储单元中存储有多组的访问源IP地址和用户代理信息分别进行对照的结果为,通过所述判断单元判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与在所述存储单元中存储有多组的访问源IP地址和用户代理信息都不对应,并且,与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的访问源IP地址和用户代理信息的组数达到了规定的上限值的情况下,所述信息管理单元使从所述接收到的分组中提取的访问源IP地址和用户代理信息覆盖写到存储于所述存储单元中的多组访问源IP地址和用户代理信息中的、存储到所述存储单元中的时间最早的访问源IP地址和用户代理信息的组上,来存储于所述存储单元中。
11. 根据权利要求5所述的用户确认装置,其特征在于,
在从所述接收到的分组中提取的访问源IP地址和用户代理信息与在所述存储单元中存储有多组的访问源IP地址和用户代理信息分别对照的结果为,通过所述判断单元判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与在所述存储单元中存储有多组的访问源IP地址和用户代理信息中的访问源IP地址和用户代理信息的特定组对应的情况下,所述信息管理单元使从所述接收到的分组中提取的访问源IP地址和用户代理信息中的至少用户代理信息覆盖写入到所述访问源IP地址和用户代理信息的特定组上,来存储到所述存储单元中。
12. (修改后)一种用户确认方法,
从使用IP作为互联网层的协议且使用HTTP作为应用层的协议的、从各个用户操作的终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息,并且从所述分组中提取访问源IP地址,使提取出的访问源IP地址和用户代理信息,与所述各个用户的用户识别信息对应起来分别存储于存储单元中,
从使用IP作为互联网层的协议且使用HTTP作为应用层的协议的、从任意终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息,并且从所述分组中提取访问源IP地址,将提取出的访问源IP地址和用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的访问源IP地址和用户代理信息进行对照,并分别判定是否与存储于所述存储单元中的访问源IP地址和用户代理信息对应,从而判断操作所述任意终端装置的用户是否为合法用户,
并且,在从自所述任意终端装置接收到的分组中提取出的访问源IP地址和用户代理信息与存储于所述存储单元中的访问源IP地址和用户代理信息进行对照的结果为,判定为从自所述任意终端装置接收到的分组中提取出的访问源IP地址和用户代理信息与存储于所述存储单元中的访问源IP地址和用户代理信息不对应的情况下,使从自所述任意终端装置接收到的分组中提取出的访问源IP地址和用户代理信息,与所述用户识别信息对应起来追加存储于所述存储单元中,
当在所述存储单元中存储有多组与操作所述任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息时,将从自所述任意终端装置接收到的分组中提取出的访问源IP地址和用户代理信息,与所述存储有多组的访问源IP地址和用户代理信息分别进行对照,从而判断操作所述任意终端装置的用户是否为合法用户。
13. (修改后)一种用户确认程序,该程序使具有存储单元的计算机作为以下单元发挥功能:
提取单元,其从使用IP作为互联网层的协议且使用HTTP作为应用层的协议的、从终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息,并且从所述分组中提取访问源IP地址;
信息管理单元,其使通过所述提取单元从自各个用户操作的终端装置接收到的分组中分别提取的访问源IP地址和用户代理信息,与所述各个用户的用户识别信息对应起来分别存储于存储单元中;以及
判断单元,其将通过所述提取单元从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的访问源IP地址和用户代理信息进行对照,并分别判定是否与存储于所述存储单元中的访问源IP地址和用户代理信息对应,从而判断操作所述任意终端装置的用户是否为合法用户,
在从所述接收到的分组中提取的访问源IP地址和用户代理信息与存储在所述存储单元中的访问源IP地址和用户代理信息的对照结果为,通过所述判断单元判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与存储在所述存储单元中的访问源IP地址和用户代理信息不对应的情况下,所述信息管理单元使从所述接收到的分组中提取的访问源IP地址和用户代理信息与所述用户识别信息对应起来追加存储于所述存储单元中,
所述判断单元在与操作所述任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息在所述存储单元中存储有多组的情况下,将从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,分别与所述存储有多组的访问源IP地址和用户代理信息进行对照,从而判断操作所述任意终端装置的用户是否为合法用户。
Claims (13)
1.一种用户确认装置,该用户确认装置包括:
提取单元,其从使用HTTP作为应用层的协议的、从终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息;
信息管理单元,其使通过所述提取单元从自各个用户操作的终端装置接收到的分组中分别提取的用户代理信息,与所述各个用户的用户识别信息对应起来分别存储于存储单元中;以及
判断单元,其将通过所述提取单元从自任意终端装置接收到的分组中提取的用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的用户代理信息进行对照,从而判断操作所述任意终端装置的用户是否为合法用户。
2.根据权利要求1所述的用户确认装置,其特征在于,
使用IP作为与终端装置间的通信中的互联网层的协议,
所述提取单元从接收到的分组中还提取访问源IP地址,
所述信息管理单元使通过所述提取单元从自各个用户操作的终端装置接收到的分组中分别提取出的访问源IP地址和用户代理信息,与所述各个用户的用户识别信息对应起来分别存储于所述存储单元中,
所述判断单元分别判断从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,是否和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的访问源IP地址和用户代理信息对应,从而判断操作所述任意终端装置的用户是否为合法用户。
3.根据权利要求1或2所述的用户确认装置,其特征在于,
所述存储单元将针对各个用户中的每一个用户预先设定的密码与各个用户的用户识别信息对应起来进行存储,
所述判断单元在由操作所述任意终端装置的用户输入的用户识别信息和密码的组合已被存储于所述存储单元中的情况下,基于由所述提取单元提取的信息来进行所述判断。
4.根据权利要求2所述的用户确认装置,其特征在于,
所述判断单元针对从所述接收到的分组中提取的访问源IP地址,判定其与存储在所述存储单元中的访问源IP地址之间的规定比特单位的一致率是否在阈值以上,从而判定从所述接收到的分组中提取的访问源IP地址是否与存储在所述存储单元中的访问源IP地址对应,并针对从所述接收到的分组中提取的用户代理信息,判定其是否与存储在所述存储单元中的用户代理信息相同,从而判定从所述接收到的分组中提取的用户代理信息是否与存储在所述存储单元中的用户代理信息对应。
5.根据权利要求2所述的用户确认装置,其特征在于,
在从所述接收到的分组中提取的访问源IP地址和用户代理信息与存储在所述存储单元中的访问源IP地址和用户代理信息的对照结果为,通过所述判断单元判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与存储在所述存储单元中的访问源IP地址和用户代理信息不对应的情况下,所述信息管理单元使从所述接收到的分组中提取的访问源IP地址和用户代理信息与所述用户识别信息对应起来追加存储于所述存储单元中,
当在所述存储单元中存储有多组与操作所述任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,所述判断单元将从自任意终端装置接收到的分组中提取的访问源IP地址和用户代理信息,分别与所述存储有多组的访问源IP地址和用户代理信息进行对照,从而判断操作所述任意终端装置的用户是否为合法用户。
6.根据权利要求5所述的用户确认装置,其特征在于,
当在所述存储单元中存储有多组与操作所述任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,如果判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与存储在所述存储单元中的所述多组的访问源IP地址和用户代理信息中的至少1组访问源IP地址和用户代理信息分别对应,则所述判断单元判断为操作所述任意终端装置的用户为合法用户。
7.根据权利要求5所述的用户确认装置,其特征在于,
当在所述存储单元中存储有多组与操作所述任意终端装置的用户的用户识别信息对应的访问源IP地址和用户代理信息的情况下,如果在所述多组的访问源IP地址和用户代理信息中不存在被判定为与从所述接收到的分组中提取的访问源IP地址和用户代理信息分别对应的访问源IP地址和用户代理信息的组,则所述判断单元判断为操作所述任意终端装置的用户不是合法用户。
8.根据权利要求7所述的用户确认装置,其特征在于,
当通知了通过所述判断单元判断为不是合法用户的用户通过与基于所述判断单元的用户确认不同的确认方法被判断为合法用户的情况时,所述信息管理单元使规定的识别信息与所述用户的用户识别信息分别对应起来存储于所述存储单元中,
如果与操作所述任意终端装置的用户的用户识别信息对应起来在所述存储单元中存储了所述规定的识别信息,并且,在所述多组的访问源IP地址和用户代理信息中,存在多组被判定为与从所述接收到的分组中提取的访问源IP地址对应的访问源IP地址和用户代理信息的组,或者存在多组被判定为与从所述接收到的分组中提取的用户代理信息对应的访问源IP地址和用户代理信息的组,则所述判断单元判断为操作所述任意终端装置的用户是合法用户。
9.根据权利要求1或2所述的用户确认装置,其特征在于,所述用户确认装置还具有:
电子邮件地址存储单元,其将所述各个用户使用的电子邮件地址与所述各个用户的用户识别信息对应起来分别存储;以及
发送单元,在通过所述判断单元判断为操作所述任意终端装置的用户不是合法用户的情况下,该发送单元将附加了到规定网页的链接的电子邮件,发送给与所述用户的用户识别信息对应起来存储于所述电子邮件地址存储单元中的电子邮件地址,其中所述规定网页用于通过与所述判断单元不同的方法来确认所述用户是否为合法用户。
10.根据权利要求5所述的用户确认装置,其特征在于,
在从所述接收到的分组中提取的访问源IP地址和用户代理信息与在所述存储单元中存储有多组的访问源IP地址和用户代理信息分别进行对照的结果为,通过所述判断单元判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与在所述存储单元中存储有多组的访问源IP地址和用户代理信息都不对应,并且,与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的访问源IP地址和用户代理信息的组数达到了规定的上限值的情况下,所述信息管理单元使从所述接收到的分组中提取的访问源IP地址和用户代理信息覆盖写到存储于所述存储单元中的多组访问源IP地址和用户代理信息中的、存储到所述存储单元中的时间最早的访问源IP地址和用户代理信息的组上,来存储于所述存储单元中。
11.根据权利要求5所述的用户确认装置,其特征在于,
在从所述接收到的分组中提取的访问源IP地址和用户代理信息与在所述存储单元中存储有多组的访问源IP地址和用户代理信息分别对照的结果为,通过所述判断单元判定为从所述接收到的分组中提取的访问源IP地址和用户代理信息与在所述存储单元中存储有多组的访问源IP地址和用户代理信息中的访问源IP地址和用户代理信息的特定组对应的情况下,所述信息管理单元使从所述接收到的分组中提取的访问源IP地址和用户代理信息中的至少用户代理信息覆盖写入到所述访问源IP地址和用户代理信息的特定组上,来存储到所述存储单元中。
12.一种用户确认方法,
提取在使用HTTP作为应用层的协议的、从由各个用户操作的终端装置接收到的分组的HTTP报头中设定的用户代理信息,使提取的用户代理信息与所述各个用户的用户识别信息对应起来分别存储于存储单元中,
提取在使用HTTP作为应用层的协议的、从任意终端装置接收到的分组的HTTP报头中设定的用户代理信息,通过将提取的用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的用户代理信息进行对照,判断操作所述任意终端装置的用户是否为合法用户。
13.一种用户确认程序,使具有存储单元的计算机作为以下单元发挥功能:
提取单元,其从使用HTTP作为应用层的协议的、从终端装置接收到的分组中,提取在该分组的HTTP报头中设定的用户代理信息;
信息管理单元,其使通过所述提取单元从自各个用户操作的终端装置接收到的分组中分别提取的用户代理信息,与所述各个用户的用户识别信息对应起来分别存储于所述存储单元中;以及
判断单元,其将通过所述提取单元从自任意终端装置接收到的分组中提取的用户代理信息,和与操作所述任意终端装置的用户的用户识别信息对应起来存储于所述存储单元中的用户代理信息进行对照,从而判断操作所述任意终端装置的用户是否为合法用户。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2006/306501 WO2007110951A1 (ja) | 2006-03-29 | 2006-03-29 | ユーザ確認装置、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101167079A true CN101167079A (zh) | 2008-04-23 |
| CN101167079B CN101167079B (zh) | 2010-11-17 |
Family
ID=38540891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680010930.9A Expired - Fee Related CN101167079B (zh) | 2006-03-29 | 2006-03-29 | 用户确认装置和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (5) | US8347368B2 (zh) |
| EP (3) | EP2506184A1 (zh) |
| JP (1) | JP4616352B2 (zh) |
| CN (1) | CN101167079B (zh) |
| WO (1) | WO2007110951A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394282A (zh) * | 2008-10-30 | 2009-03-25 | 王昌懿 | 具有身份验证的密码输入方法及系统 |
| CN104756126A (zh) * | 2012-10-29 | 2015-07-01 | 三菱电机株式会社 | 设备管理装置、设备管理系统以及程序 |
| CN112121412A (zh) * | 2020-09-15 | 2020-12-25 | 北京智明星通科技股份有限公司 | 一种游戏账号的快速登录方法、系统及游戏设备 |
| CN114244566A (zh) * | 2021-11-17 | 2022-03-25 | 广东电网有限责任公司 | 基于ip地址的非法外联检测方法、装置、计算机设备 |
Families Citing this family (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7581112B2 (en) * | 2004-12-30 | 2009-08-25 | Ebay, Inc. | Identifying fraudulent activities and the perpetrators thereof |
| EP2506184A1 (en) * | 2006-03-29 | 2012-10-03 | The Bank of Tokyo-Mitsubishi UFJ, Ltd. | Apparatus, method, and program for validating user |
| US9386327B2 (en) | 2006-05-24 | 2016-07-05 | Time Warner Cable Enterprises Llc | Secondary content insertion apparatus and methods |
| US8280982B2 (en) | 2006-05-24 | 2012-10-02 | Time Warner Cable Inc. | Personal content server apparatus and methods |
| US8024762B2 (en) | 2006-06-13 | 2011-09-20 | Time Warner Cable Inc. | Methods and apparatus for providing virtual content over a network |
| US8650589B2 (en) * | 2007-01-08 | 2014-02-11 | At&T Intellectual Property I, Lp | System for provisioning media services |
| US8181206B2 (en) | 2007-02-28 | 2012-05-15 | Time Warner Cable Inc. | Personal content server apparatus and methods |
| JP4877145B2 (ja) * | 2007-08-10 | 2012-02-15 | 富士通株式会社 | 通信装置を制御するプログラム及び通信装置 |
| KR100944724B1 (ko) * | 2007-08-21 | 2010-03-03 | 엔에이치엔비즈니스플랫폼 주식회사 | Ip 주소를 이용한 사용자 인증 시스템 및 그 방법 |
| US9503691B2 (en) | 2008-02-19 | 2016-11-22 | Time Warner Cable Enterprises Llc | Methods and apparatus for enhanced advertising and promotional delivery in a network |
| CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
| EP2264992A4 (en) * | 2008-04-02 | 2014-07-30 | Nec Corp | COMMUNICATION SYSTEM AND COMMUNICATION METHOD |
| US20100306821A1 (en) * | 2009-05-29 | 2010-12-02 | Google, Inc. | Account-recovery technique |
| JP5372711B2 (ja) * | 2009-11-13 | 2013-12-18 | アラクサラネットワークス株式会社 | 複数認証サーバを有効利用する装置、システム |
| US20110184840A1 (en) * | 2010-01-27 | 2011-07-28 | Ebay Inc. | Systems and methods for facilitating account verification over a network |
| US9058210B2 (en) * | 2010-03-23 | 2015-06-16 | Ebay Inc. | Weighted request rate limiting for resources |
| US20110264530A1 (en) | 2010-04-23 | 2011-10-27 | Bryan Santangelo | Apparatus and methods for dynamic secondary content and data insertion and delivery |
| US20120042067A1 (en) * | 2010-08-13 | 2012-02-16 | Neuralitic Systems | Method and system for identifying applications accessing http based content in ip data networks |
| EP2633819A1 (en) | 2010-10-28 | 2013-09-04 | Hitachi Medical Corporation | Ultrasound diagnostic apparatus and ultrasound image display method |
| JP5547814B2 (ja) * | 2010-11-08 | 2014-07-16 | 株式会社日立製作所 | 計算機システム、仮想サーバへのボリューム割り当て方法及び計算機読み取り可能な記憶媒体 |
| US9143508B2 (en) * | 2010-12-30 | 2015-09-22 | Verizon Patent And Licensing Inc. | Service location based authentication |
| JP5870527B2 (ja) | 2011-07-26 | 2016-03-01 | 株式会社リコー | 出力振り分けシステム、出力振り分け装置、出力先情報提供装置および記録媒体 |
| WO2013173561A2 (en) * | 2012-05-17 | 2013-11-21 | Specific Media Llc | Internet connected household identification for online measurement & dynamic content delivery |
| US11463403B2 (en) | 2012-05-17 | 2022-10-04 | Viant Technology Llc | Internet connected household identification for online measurement and dynamic content delivery |
| CN103685198B (zh) * | 2012-09-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 一种交互用户数据的方法和装置 |
| US9397950B2 (en) * | 2012-11-01 | 2016-07-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Downlink service path determination for multiple subscription based services in provider edge network |
| US20140282786A1 (en) | 2013-03-12 | 2014-09-18 | Time Warner Cable Enterprises Llc | Methods and apparatus for providing and uploading content to personalized network storage |
| FR3003976B1 (fr) * | 2013-03-28 | 2016-08-26 | Cie Ind Et Financiere D'ingenierie Ingenico | Procede de delivrance d'une assertion de localisation |
| JP6248448B2 (ja) * | 2013-07-24 | 2017-12-20 | 株式会社リコー | 情報処理装置及びそのデータ蓄積制御方法 |
| CN103458035A (zh) * | 2013-09-05 | 2013-12-18 | 深圳市共进电子股份有限公司 | 基于web服务器的客户端配置界面实现方法 |
| JP6322444B2 (ja) * | 2014-02-28 | 2018-05-09 | ゲヒルン株式会社 | ユーザ認証サーバ、ユーザ認証方法、ユーザ認証サーバ用プログラム |
| KR102422372B1 (ko) * | 2014-08-29 | 2022-07-19 | 삼성전자 주식회사 | 생체 정보와 상황 정보를 이용한 인증 방법 및 장치 |
| US10986131B1 (en) | 2014-12-17 | 2021-04-20 | Amazon Technologies, Inc. | Access control policy warnings and suggestions |
| US10122757B1 (en) * | 2014-12-17 | 2018-11-06 | Amazon Technologies, Inc. | Self-learning access control policies |
| CN104519069A (zh) * | 2014-12-27 | 2015-04-15 | 广州华多网络科技有限公司 | 一种拦截资源请求的方法和装置 |
| US10043030B1 (en) | 2015-02-05 | 2018-08-07 | Amazon Technologies, Inc. | Large-scale authorization data collection and aggregation |
| US9762483B2 (en) | 2015-03-06 | 2017-09-12 | Telefonaktiebolaget Lm Ericsson (Publ) | BNG / subscriber management integrated, FIB based, per subscriber, opt-in opt-out, multi application service chaining solution via subscriber service chaining nexthop and meta IP lookup |
| US9148424B1 (en) * | 2015-03-13 | 2015-09-29 | Snapchat, Inc. | Systems and methods for IP-based intrusion detection |
| CN107851290B (zh) * | 2015-08-27 | 2021-12-07 | J-Data株式会社 | 历史管理方法 |
| EP3142322B1 (en) | 2015-09-10 | 2018-04-25 | Alcatel Lucent | Auto configuration server and method |
| WO2017134632A1 (en) | 2016-02-03 | 2017-08-10 | Averon Us, Inc. | Method and apparatus for facilitating frictionless two-factor authentication |
| US20180316671A1 (en) * | 2016-02-03 | 2018-11-01 | Averon Us, Inc. | Method and apparatus for facilitating authorization of a specified task via multi-stage and multi-level authentication processes utilizing frictionless two-factor authentication |
| US20180234418A1 (en) * | 2016-02-03 | 2018-08-16 | Averon Us, Inc. | Method and apparatus for facilitating access to publish or post utilizing frictionless two-factor authentication |
| US20180229689A1 (en) * | 2016-02-03 | 2018-08-16 | Averon Us, Inc. | Method and apparatus for facilitating access to an automobile utilizing frictionless two-factor authentication |
| US20180232514A1 (en) * | 2016-02-03 | 2018-08-16 | Averon Us, Inc. | Method and apparatus for facilitating access to a device utilizing frictionless two-factor authentication |
| JP2018067043A (ja) * | 2016-10-17 | 2018-04-26 | シャープ株式会社 | 情報処理装置、情報処理システムおよび情報処理方法 |
| CN111263345B (zh) * | 2018-11-30 | 2022-11-08 | 中国移动通信集团山东有限公司 | 一种用户终端的识别方法和装置 |
| CN110661901B (zh) * | 2019-08-08 | 2022-11-04 | 网宿科技股份有限公司 | 一种ip库的采信方法、整合方法、电子设备和可存储介质 |
| US11711310B2 (en) * | 2019-09-18 | 2023-07-25 | Tweenznet Ltd. | System and method for determining a network performance property in at least one network |
| US11403849B2 (en) | 2019-09-25 | 2022-08-02 | Charter Communications Operating, Llc | Methods and apparatus for characterization of digital content |
| JP7175006B2 (ja) * | 2019-10-04 | 2022-11-18 | 株式会社Flux | 情報処理装置および情報処理方法 |
| US11716338B2 (en) | 2019-11-26 | 2023-08-01 | Tweenznet Ltd. | System and method for determining a file-access pattern and detecting ransomware attacks in at least one computer network |
| US11539746B2 (en) * | 2020-02-18 | 2022-12-27 | Td Ameritrade Ip Company, Inc. | Methods and systems for browser spoofing mitigation |
| US11936703B2 (en) | 2021-12-09 | 2024-03-19 | Viant Technology Llc | Out-of-home internet connected household identification |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5930479A (en) * | 1996-10-21 | 1999-07-27 | At&T Corp | Communications addressing system |
| US6310889B1 (en) * | 1998-03-12 | 2001-10-30 | Nortel Networks Limited | Method of servicing data access requests from users |
| JP2000209284A (ja) | 1999-01-18 | 2000-07-28 | Nec Commun Syst Ltd | 認証装置、及び、認証方法 |
| US6725381B1 (en) * | 1999-08-31 | 2004-04-20 | Tumbleweed Communications Corp. | Solicited authentication of a specific user |
| JP2001325229A (ja) | 2000-05-17 | 2001-11-22 | Daiwa House Ind Co Ltd | インターネットにおける認証システム及びサービスシステム |
| US20020083178A1 (en) * | 2000-08-11 | 2002-06-27 | Brothers John David West | Resource distribution in network environment |
| JP2002091851A (ja) * | 2000-09-12 | 2002-03-29 | Toshiba Corp | 情報提供方法および中継サーバ装置 |
| CN1394044A (zh) * | 2001-06-28 | 2003-01-29 | 杨磊 | 因特网ip-用户身份认证机制(方法) |
| US20030033356A1 (en) * | 2001-08-13 | 2003-02-13 | Luu Tran | Extensible client aware detection in a wireless portal system |
| US20030084439A1 (en) | 2001-10-04 | 2003-05-01 | Ross Perkins | Incentive system for distributing software over a computer network |
| IL161437A0 (en) | 2001-10-17 | 2004-09-27 | Npx Technologies Ltd | Verification of a person identifier received online |
| US7624437B1 (en) * | 2002-04-02 | 2009-11-24 | Cisco Technology, Inc. | Methods and apparatus for user authentication and interactive unit authentication |
| CN1208927C (zh) * | 2002-06-12 | 2005-06-29 | 华为技术有限公司 | 网络设备中基于代理方式接入网络的控制方法 |
| JP4423859B2 (ja) * | 2003-01-31 | 2010-03-03 | パナソニック株式会社 | 画像サーバ |
| US20040230825A1 (en) * | 2003-05-16 | 2004-11-18 | Shepherd Eric Robert | Secure browser |
| US7591017B2 (en) * | 2003-06-24 | 2009-09-15 | Nokia Inc. | Apparatus, and method for implementing remote client integrity verification |
| JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
| US7472413B1 (en) * | 2003-08-11 | 2008-12-30 | F5 Networks, Inc. | Security for WAP servers |
| US7665147B2 (en) * | 2004-02-05 | 2010-02-16 | At&T Mobility Ii Llc | Authentication of HTTP applications |
| US7853533B2 (en) * | 2004-03-02 | 2010-12-14 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
| GB0410724D0 (en) * | 2004-05-13 | 2004-06-16 | Watkins Daniel R | Authorisation system |
| US20060021004A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for externalized HTTP authentication |
| US7496750B2 (en) * | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
| US7581112B2 (en) * | 2004-12-30 | 2009-08-25 | Ebay, Inc. | Identifying fraudulent activities and the perpetrators thereof |
| JP4954979B2 (ja) * | 2005-04-29 | 2012-06-20 | オラクル・インターナショナル・コーポレイション | 詐欺監視、検出、および階層状ユーザ認証のためのシステムおよび方法 |
| EP2506184A1 (en) * | 2006-03-29 | 2012-10-03 | The Bank of Tokyo-Mitsubishi UFJ, Ltd. | Apparatus, method, and program for validating user |
| US8230490B2 (en) * | 2007-07-31 | 2012-07-24 | Keycorp | System and method for authentication of users in a secure computer system |
| JP4877145B2 (ja) * | 2007-08-10 | 2012-02-15 | 富士通株式会社 | 通信装置を制御するプログラム及び通信装置 |
| US8849988B2 (en) * | 2008-11-25 | 2014-09-30 | Citrix Systems, Inc. | Systems and methods to monitor an access gateway |
| US7941550B1 (en) * | 2009-02-12 | 2011-05-10 | Sprint Communications Company L.P. | Multiple cookie handling |
-
2006
- 2006-03-29 EP EP12174044A patent/EP2506184A1/en not_active Withdrawn
- 2006-03-29 WO PCT/JP2006/306501 patent/WO2007110951A1/ja active Application Filing
- 2006-03-29 EP EP11186311A patent/EP2413262A1/en not_active Withdrawn
- 2006-03-29 US US11/886,902 patent/US8347368B2/en not_active Expired - Fee Related
- 2006-03-29 CN CN200680010930.9A patent/CN101167079B/zh not_active Expired - Fee Related
- 2006-03-29 EP EP06730449A patent/EP1873673A4/en not_active Withdrawn
- 2006-03-29 JP JP2007543641A patent/JP4616352B2/ja active Active
-
2012
- 2012-04-12 US US13/445,678 patent/US20120240207A1/en not_active Abandoned
- 2012-11-16 US US13/679,401 patent/US9021555B2/en active Active
-
2014
- 2014-10-09 US US14/510,427 patent/US20150026789A1/en not_active Abandoned
-
2020
- 2020-03-02 US US16/806,096 patent/US20200204533A1/en not_active Abandoned
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394282A (zh) * | 2008-10-30 | 2009-03-25 | 王昌懿 | 具有身份验证的密码输入方法及系统 |
| CN104756126A (zh) * | 2012-10-29 | 2015-07-01 | 三菱电机株式会社 | 设备管理装置、设备管理系统以及程序 |
| CN104756126B (zh) * | 2012-10-29 | 2018-09-07 | 三菱电机株式会社 | 设备管理装置、设备管理系统以及设备管理方法 |
| CN112121412A (zh) * | 2020-09-15 | 2020-12-25 | 北京智明星通科技股份有限公司 | 一种游戏账号的快速登录方法、系统及游戏设备 |
| CN114244566A (zh) * | 2021-11-17 | 2022-03-25 | 广东电网有限责任公司 | 基于ip地址的非法外联检测方法、装置、计算机设备 |
| CN114244566B (zh) * | 2021-11-17 | 2023-12-22 | 广东电网有限责任公司 | 基于ip地址的非法外联检测方法、装置、计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2007110951A1 (ja) | 2009-08-06 |
| EP1873673A1 (en) | 2008-01-02 |
| US20200204533A1 (en) | 2020-06-25 |
| JP4616352B2 (ja) | 2011-01-19 |
| EP2413262A1 (en) | 2012-02-01 |
| EP1873673A4 (en) | 2011-05-18 |
| CN101167079B (zh) | 2010-11-17 |
| US20120240207A1 (en) | 2012-09-20 |
| US20150026789A1 (en) | 2015-01-22 |
| US8347368B2 (en) | 2013-01-01 |
| US20090034521A1 (en) | 2009-02-05 |
| US9021555B2 (en) | 2015-04-28 |
| US20130081107A1 (en) | 2013-03-28 |
| WO2007110951A1 (ja) | 2007-10-04 |
| EP2506184A1 (en) | 2012-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101167079B (zh) | 用户确认装置和方法 | |
| US7016877B1 (en) | Consumer-controlled limited and constrained access to a centrally stored information account | |
| EP2240899B1 (en) | Systems and methods for delegating access to online accounts | |
| CN107395779B (zh) | 域事件的验证 | |
| US20090172795A1 (en) | Secure single-sign-on portal system | |
| JP2011100489A (ja) | ユーザ確認装置、方法及びプログラム | |
| CN103500313A (zh) | 防止真实客户信息被恶意泄漏的系统和方法 | |
| CN105391689A (zh) | 网络钓鱼通知服务 | |
| CN102469074A (zh) | 一种网站的访问方法和系统 | |
| CN112118269A (zh) | 一种身份认证方法、系统、计算设备及可读存储介质 | |
| US8656468B2 (en) | Method and system for validating authenticity of identity claims | |
| JP5456842B2 (ja) | ユーザ確認装置、方法及びユーザ認証システム | |
| CN100469003C (zh) | 一种数据处理系统及其方法 | |
| CN106878252A (zh) | 建立免密登录关系的方法、清除账号的方法及其装置 | |
| JP4214280B2 (ja) | ソフトウエア管理システム,管理サーバおよび管理プログラム | |
| JP2013251000A (ja) | ユーザ確認装置、方法及びプログラム | |
| US9112924B2 (en) | Methods and apparatus for remote data transfer | |
| US20100125738A1 (en) | Systems and methods for transferring information | |
| US20010011354A1 (en) | Information provision control system, information provision control method and recording medium thereof | |
| JP5216904B2 (ja) | ユーザ確認装置、方法及びプログラム | |
| CN107817994A (zh) | 移动终端网络应用程序的运行方法 | |
| JP4746709B2 (ja) | ユーザ確認装置、方法及びプログラム | |
| JP2009145969A (ja) | 設定情報設定システムおよび設定情報設定方法 | |
| JP4918170B2 (ja) | ユーザ確認装置、方法及びプログラム | |
| US8156228B1 (en) | Method and apparatus to enable confidential browser referrals |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101117 Termination date: 20160329 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |