JP2003198625A - Information processing apparatus and method for controlling accessing - Google Patents
Information processing apparatus and method for controlling accessingInfo
- Publication number
- JP2003198625A JP2003198625A JP2001397880A JP2001397880A JP2003198625A JP 2003198625 A JP2003198625 A JP 2003198625A JP 2001397880 A JP2001397880 A JP 2001397880A JP 2001397880 A JP2001397880 A JP 2001397880A JP 2003198625 A JP2003198625 A JP 2003198625A
- Authority
- JP
- Japan
- Prior art keywords
- access
- file
- access source
- source
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は情報処理装置及びア
クセス制御方法に係り、特に、アクセス元からの認証情
報に基づいてファイルへのアクセスを制御する情報処理
装置及びアクセス制御方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an information processing apparatus and an access control method, and more particularly to an information processing apparatus and an access control method for controlling access to a file based on authentication information from an access source.
【0002】[0002]
【従来の技術】図1は通信システムの一例のブロック構
成図を示す。2. Description of the Related Art FIG. 1 is a block diagram showing an example of a communication system.
【0003】通信システム1は、サーバ11がネットワ
ーク12を介してクライアント13に接続されている。
ネットワーク12は、例えば、インターネットである。In the communication system 1, a server 11 is connected to a client 13 via a network 12.
The network 12 is, for example, the Internet.
【0004】サーバ11は、従来、不正なアクセスを防
止するため、クライアント13から供給されたID(id
entification)及びパスワードを予め登録されたID及
びパスワードと比較し、クライアント13から供給され
たID及びパスワードと予め登録されたID及びパスワ
ードとが一致していたときに、クライアント13をサー
バ11が提供するファイルにアクセス可能としていた。Conventionally, the server 11 has an ID (id supplied from the client 13 in order to prevent unauthorized access.
entification) and password are compared with a pre-registered ID and password, and when the ID and password supplied from the client 13 match the pre-registered ID and password, the server 11 provides the client 13 The file was accessible.
【0005】[0005]
【発明が解決しようとする課題】しかるに、従来のサー
バでは、ID及びパスワードによってのみ、不正アクセ
スを防止していたため、ID及びパスワードをスキャン
しつつ、サーバにアクセスし続けることにより正当なI
D及びパスワードにヒットし、サーバにアクセス可能と
なる恐れがあった。However, in the conventional server, the unauthorized access is prevented only by the ID and the password. Therefore, by scanning the ID and the password and continuing to access the server, the valid I
There was a risk that the server could be accessed by hitting D and the password.
【0006】本発明は上記の点に鑑みてなされたもの
で、不正アクセスを効果的に防止できる情報処理装置及
びアクセス制御方法を提供することを目的とする。The present invention has been made in view of the above points, and an object thereof is to provide an information processing apparatus and an access control method capable of effectively preventing unauthorized access.
【0007】[0007]
【課題を解決するための手段】本発明は、アクセス元か
らルータを介して供給された情報に基づいてファイルへ
のアクセスを許可する情報処理装置であって、アクセス
元の前記ファイルへのアクセスを許可し、前記アクセス
元が不正アクセス元であるときに、前記不正アクセス元
が前記ファイルにアクセスしている間に前記ルータで前
記情報の中継時に付与された前記ルータのアドレスの履
歴を解析することにより前記不正アクセス元をサーチす
るアクセス制御部とを有することを特徴とする。SUMMARY OF THE INVENTION The present invention is an information processing apparatus which permits access to a file based on information supplied from an access source via a router, the access source accessing the file. Permitting, and when the access source is an unauthorized access source, analyzing the history of the address of the router given when the router relays the information while the unauthorized access source is accessing the file. And an access control unit that searches for the unauthorized access source.
【0008】本発明によれば、不正アクセス元にファイ
ルへのアクセスを許可し、不正アクセス元がファイルに
アクセスしている間に、不正アクセス元をサーチするこ
とができる。よって、不正アクセス元を探し出し警告を
発することが可能となる。According to the present invention, it is possible to allow an unauthorized access source to access a file and search for the unauthorized access source while the unauthorized access source is accessing the file. Therefore, it becomes possible to find an unauthorized access source and issue a warning.
【0009】[0009]
【発明の実施の形態】図2は本発明の一実施例のシステ
ム構成図を示す。同図中、図1と同一構成部分には同一
符号を付し、その説明は省略する。DESCRIPTION OF THE PREFERRED EMBODIMENTS FIG. 2 shows a system configuration diagram of an embodiment of the present invention. In the figure, the same components as those in FIG. 1 are designated by the same reference numerals, and the description thereof will be omitted.
【0010】本実施例の通信システム20は、サーバ2
1及び、ネットワーク12を構成するルータ22の構成
が図1に示す従来の通信システム1と相違する。The communication system 20 of this embodiment includes a server 2
1 and the configuration of the router 22 forming the network 12 are different from those of the conventional communication system 1 shown in FIG.
【0011】まず、サーバ21について説明する。First, the server 21 will be described.
【0012】図3は本発明の一実施例のサーバのブロッ
ク構成図を示す。FIG. 3 is a block diagram of a server according to an embodiment of the present invention.
【0013】サーバ21は、認証情報ファイル部31、
ブロックファイル部32、復旧用ファイル部33、通信
制御部34を含む構成とされている。The server 21 includes an authentication information file section 31,
The block file unit 32, the recovery file unit 33, and the communication control unit 34 are included.
【0014】認証情報ファイル部31には、アクセスを
許可するためのクライアント13を認証するためのID
及びパスワードが記憶されている。ブロックファイル部
32には、クライアント13がアクセスしようとするフ
ァイルが記憶されている。復旧用ファイル部33には、
ブロックファイル部32を復旧するためのファイルが記
憶されている。The authentication information file section 31 has an ID for authenticating the client 13 for permitting access.
And the password is stored. The block file unit 32 stores a file that the client 13 tries to access. In the recovery file section 33,
A file for restoring the block file section 32 is stored.
【0015】図4は本発明の一実施例の通信制御部のブ
ロック構成図を示す。FIG. 4 is a block diagram of a communication control unit according to an embodiment of the present invention.
【0016】通信制御部32は、インタフェース41、
CPU42、ROM43、RAM44、入出力部45〜
47を含む構成とされている。インタフェース41は、
ルータ31とのインタフェースをとる。CPU42は、
ROM43に予め記憶されたプログラムに基づいて下記
に示す接続処理を実行する。RAM44は、CPU42
の作業用記憶領域として用いられる。入出力部45は、
認証情報ファイル部31とのデータの入出力を制御す
る。入出力部46は、ブロックファイル部32とのデー
タの入出力を制御する。入出力部47は、復旧用ファイ
ル部33とのデータの入出力を制御する。The communication controller 32 includes an interface 41,
CPU 42, ROM 43, RAM 44, input / output unit 45 to
It is configured to include 47. The interface 41 is
It interfaces with the router 31. CPU 42
The connection process shown below is executed based on the program stored in the ROM 43 in advance. The RAM 44 is the CPU 42
Is used as a work storage area. The input / output unit 45 is
It controls the input and output of data with the authentication information file unit 31. The input / output unit 46 controls input / output of data with the block file unit 32. The input / output unit 47 controls input / output of data with the recovery file unit 33.
【0017】通信制御部32は、クライアント13から
のアクセスに対して、認証情報ファイル部35に記憶さ
れた認証情報に基づいて認証を行い、認証された場合に
ブロックファイル部33へのアクセスを許可する処理を
実行するとともに、不正アクセス元をサーチするための
処理、さらに、復旧用ファイル部33によりブロックフ
ァイル部32を復旧するための処理を実行する。The communication control unit 32 authenticates the access from the client 13 based on the authentication information stored in the authentication information file unit 35, and when authenticated, permits the access to the block file unit 33. In addition to executing the processing, the processing for searching the unauthorized access source and the processing for restoring the block file portion 32 by the restoration file portion 33 are executed.
【0018】次に通信制御部34の接続処理を図面を用
いて説明する。Next, the connection processing of the communication control unit 34 will be described with reference to the drawings.
【0019】図5は本発明の一実施例の通信制御部の接
続処理のフローチャートを示す。FIG. 5 shows a flowchart of the connection processing of the communication control unit according to the embodiment of the present invention.
【0020】通信制御部32では、ステップS1−1で
クライアント13から接続要求があると、ステップS1
−2で接続要求があったクライアント13にID及びパ
スワードを要求する。ステップS1−3でクライアント
13からID、パスワードの応答があると、ステップS
1−4で認証処理が行われる。認証処理は、クライアン
ト13から供給されたID、パスワードが認証情報ファ
イル部31に予め登録されたID及びパスワードと一致
するか否かを判定し、ID及びパスワードが一致したと
きにクライアント13を正当なアクセス元であると判定
処理を行う。In step S1-1, the communication controller 32 receives a connection request from the client 13 and then proceeds to step S1.
At -2, the ID and password are requested to the client 13 that has received the connection request. When there is a response of the ID and password from the client 13 in step S1-3, step S1
Authentication processing is performed at 1-4. The authentication process determines whether the ID and password supplied from the client 13 match the ID and password registered in advance in the authentication information file unit 31, and when the ID and password match, the client 13 is authenticated. The determination process is performed as the access source.
【0021】次に、ステップS1−5でクライアント1
3が正当なアクセス元であると、判定されると、ステッ
プS1−6でブロックファイル部32へのアクセスを許
可する。Next, in step S1-5, the client 1
If it is determined that 3 is a valid access source, access to the block file unit 32 is permitted in step S1-6.
【0022】また、ステップS1−5でクライアント1
3からのID及びパスワードが認証情報ファイル部31
に記憶されたID及びパスワードと一致しなかった場合
には、ステップS1−7でクライアント13からのID
及びパスワードが否認された回数が所定回数か否かを判
定する。ステップS1−7で否認回数が所定回数未満で
あれば、ステップS1−2に戻ってID、パスワードを
要求する。In step S1-5, the client 1
ID and password from 3 is the authentication information file part 31
If it does not match the ID and password stored in, the ID from the client 13 in step S1-7.
Also, it is determined whether the number of times the password is rejected is a predetermined number of times. If the denial count is less than the predetermined count in step S1-7, the process returns to step S1-2 to request the ID and password.
【0023】また、ステップS1−7でID及びパスワ
ードが所定回数否認された場合には、正当なアクセス元
ではないと判定した上で、ステップS1−8でクライア
ント13をブロックファイル部32へのアクセスを許可
し、ステップS1−9でクライアント13を特定するた
めのサーチする処理を行う。不正にアクセスしたクライ
アント13側では、ブロックファイル部32へのアクセ
スが許可されることによりサーバ21への侵入が成功し
たと思い込み、安心してブロックファイル部32の解析
したり、破壊したりする。これにより、クライアント1
3を特定するためのサーチの時間を稼ぐことができる。When the ID and password are denied a predetermined number of times in step S1-7, it is determined that the access source is not a valid access source, and then the client 13 accesses the block file section 32 in step S1-8. Is permitted, and a search process for identifying the client 13 is performed in step S1-9. On the side of the client 13 who has illegally accessed, the client believes that the access to the block file unit 32 has been permitted and that the intrusion into the server 21 has succeeded, so that the block file unit 32 can be analyzed or destroyed without worry. This allows the client 1
It is possible to earn time for the search for specifying the number 3.
【0024】クライアント13を特定するためのサーチ
処理は、クライアント13からのパケットを参照するこ
とにより行う。The search process for identifying the client 13 is performed by referring to the packet from the client 13.
【0025】図6はクライアント13からのパケットの
データ構成図を示す。図6(A)はパケットPのデータ
構成、図6(B)はヘッダ部Hのデータ構成を示してい
る。FIG. 6 shows the data structure of a packet from the client 13. 6A shows the data structure of the packet P, and FIG. 6B shows the data structure of the header portion H.
【0026】クライアント13からサーバ21に供給さ
れるパケットPは、ヘッダ部H及びデータ部Dから構成
される。ヘッダ部Hには、送信元IP(internet proto
col)アドレスA1、宛先IPアドレスA2、ルータIP
アドレスAr1〜Arnが書き込まれている。送信元IPア
ドレスA1及び宛先IPアドレスA2は、クライアント1
3でパケットPを送信するときに書き込まれる。また、
ルータIPアドレスAr1〜Arnは、パケットPがルータ
22を通過するときに、ルータ22によって書き込まれ
る。このルータIPアドレスAr1〜Arnを解析すること
によって、サーバ21でクライアント13を特定でき
る。The packet P supplied from the client 13 to the server 21 comprises a header part H and a data part D. In the header part H, the transmission source IP (internet proto
col) address A1, destination IP address A2, router IP
Addresses Ar1 to Arn are written. The source IP address A1 and the destination IP address A2 are the client 1
It is written when the packet P is transmitted in 3. Also,
The router IP addresses Ar1 to Arn are written by the router 22 when the packet P passes through the router 22. The client 13 can be specified by the server 21 by analyzing the router IP addresses Ar1 to Arn.
【0027】ここでルータ22のルーティング処理につ
いて詳細に説明する。Here, the routing processing of the router 22 will be described in detail.
【0028】図7はルータ22のルーティング処理の処
理フローチャートを示す。FIG. 7 shows a processing flowchart of the routing processing of the router 22.
【0029】ルータ22は、ステップS2−1でパケッ
トPを受信すると、ステップS2−2でヘッダ部Hの宛
先IPアドレスに基づいて接続先IPアドレスを取得す
る。また、ルータ22は、ステップS2−3で自己のI
PアドレスAriをパケットPのヘッダ部Hに付与する。
ルータIPアドレスAr1〜Arnは、パケットPがルータ
22を通過する毎に、例えば、ヘッダ部Hのオプション
領域に順次に書き込まれる。なお、ルータIPアドレス
Ar1〜Arnは、データ部Dに書き込むようにしてもよ
い。あるいは、ルータIPアドレスAr1〜Arnは、デー
タ部Dの後に、書き込むようにしてもよい。Upon receiving the packet P in step S2-1, the router 22 acquires the connection destination IP address based on the destination IP address of the header portion H in step S2-2. In addition, the router 22 determines its own I in step S2-3.
The P address Ari is added to the header portion H of the packet P.
Each time the packet P passes through the router 22, the router IP addresses Ar1 to Arn are sequentially written in the option area of the header H, for example. The router IP addresses Ar1 to Arn may be written in the data section D. Alternatively, the router IP addresses Ar1 to Arn may be written after the data section D.
【0030】ルータ22は、ステップS2−4で自己の
IPアドレスが付与されたパケットを接続先IPアドレ
スに向けて次のルータなどに送信する。ルータ22によ
り上記動作が順次に行われることにより、サーバ21に
よるクライアント13のサーチが可能となる。The router 22 sends the packet to which the own IP address is added in step S2-4 to the next router or the like toward the connection destination IP address. By sequentially performing the above operation by the router 22, the server 21 can search for the client 13.
【0031】以上により、パケットPには、パケットP
が通過したルータ22のIPアドレスが順次に書き込ま
れる。サーバ21は、パケットPに付与されたルータI
PアドレスAr1〜Arnを参照することによりクライアン
ト13をサーチできる。From the above, the packet P is
The IP addresses of the routers 22 that have passed are sequentially written. The server 21 uses the router I assigned to the packet P.
The client 13 can be searched by referring to the P addresses Ar1 to Arn.
【0032】図5に戻って説明を続ける。Returning to FIG. 5, the description will be continued.
【0033】サーバ13は、ステップS1−9でアクセ
ス元がサーチされると、ステップS1−10で不正にア
クセスしたクライアント13のブロックファイル部32
へのアクセスを禁止する。ステップS1−9でブロック
ファイル部32へのアクセスが禁止した後、ステップS
1−10で復旧用ファイル部33に記憶された復旧用フ
ァイルによりブロックファイル部32を復旧する。When the access source is searched for in step S1-9, the server 13 determines the block file section 32 of the client 13 that has illegally accessed in step S1-10.
Access to. After the access to the block file section 32 is prohibited in step S1-9, step S1
In 1-10, the block file section 32 is restored by the restoration file stored in the restoration file section 33.
【0034】これにより、不正にアクセスしたクライア
ント13によりブロックファイル部32が破壊されても
元の状態に復旧できる。As a result, the original state can be restored even if the block file section 32 is destroyed by the client 13 who has been illegally accessed.
【0035】本実施例によれば、不正にアクセスしたク
ライアント13を確実に特定でき、不正アクセス者に警
告を行うことができ、よって、不正アクセスを抑止でき
る。According to the present embodiment, it is possible to reliably identify the client 13 who has made an unauthorized access and issue a warning to the unauthorized access person, and thus prevent the unauthorized access.
【0036】なお、本実施例では、否認回数により不正
アクセスであると判断したが、特定のID及びパスワー
ドが入力されたときに、不正アクセスであると判断する
ようにしてもよい。In the present embodiment, it is determined that the access is unauthorized based on the number of denials. However, it may be determined that the access is unauthorized when a specific ID and password are input.
【0037】図8は本発明の一実施例の通信制御部の接
続処理の変形例のフローチャートを示す。同図中、図5
と同一処理部分には同一符号を付し、その説明は省略す
る。FIG. 8 shows a flowchart of a modification of the connection processing of the communication control unit according to the embodiment of the present invention. In FIG.
The same processing parts as those of the above are denoted by the same reference numerals, and the description thereof will be omitted.
【0038】なお、本変形例では、認証情報ファイル部
31にブロックファイル部32へのアクセスを許可する
正当なID及びパスワードの他に不正アクセスを判定す
るためのID及びパスワードが記憶されている。In this modification, the authentication information file section 31 stores an ID and password for judging unauthorized access in addition to a valid ID and password for permitting access to the block file section 32.
【0039】本変形例では、通信制御部34は、まず、
ステップS3−1で設定しておいたダミーのID及びパ
スワードが入力されると、ステップS1−8でダミーフ
ァイル部23へのアクセスを許可し、アクセス元をサー
チする。なお、ダミーID、パスワードは、一つに限定
されるものではなく、複数設定しておいてもよい。In this modification, the communication controller 34 first
When the dummy ID and password set in step S3-1 are input, access to the dummy file unit 23 is permitted in step S1-8, and the access source is searched. The dummy ID and password are not limited to one, and a plurality of dummy IDs and passwords may be set.
【0040】本変形例によれば、正当なアクセス者と同
様にブロックファイル部32へのアクセスを行うことが
できる。よって、不正アクセス者は、アクセスする際の
真実味が増し、比較的長時間アクセスを続けるため、不
正なアクセス者を確実にサーチできる。According to this modification, the block file section 32 can be accessed in the same manner as an authorized access person. Therefore, the unauthorized access person has a greater sense of truth when accessing and continues to access for a relatively long time, so that the unauthorized access person can be surely searched.
【0041】また、本実施例では、不正なアクセス者に
対してブロックアドレス部32へのアクセスを許可した
が、ダミーファイルを設けて、ダミーファイルにアクセ
スさせるようにしてもよい。Further, in the present embodiment, the unauthorized access person is permitted to access the block address section 32. However, a dummy file may be provided and the dummy file may be accessed.
【0042】図9は本発明の他の実施例のサーバのブロ
ック構成図を示す。同図中、図3と同一構成部分には同
一符号を付し、その説明は省略する。FIG. 9 shows a block diagram of a server according to another embodiment of the present invention. In the figure, the same components as those of FIG. 3 are designated by the same reference numerals, and the description thereof will be omitted.
【0043】本実施例のサーバ41は、復旧用ファイル
部33に代えて、ダミーファイル部42を設けた構成と
されている。また、通信制御部43は、不正なアクセス
先からのアクセスがあったときに、ダミーファイル部4
2にアクセスを許可するように処理を行うようにされて
いる。The server 41 of this embodiment has a dummy file section 42 in place of the recovery file section 33. In addition, the communication control unit 43, when there is an access from an unauthorized access destination, the dummy file unit 4
The processing is performed so as to allow the access to No. 2.
【0044】ダミーファイル部42には、ダミーデータ
ファイルが記憶されている。ダミーデータファイルは、
機密事項に見せかけた膨大なデータファイルである。A dummy data file is stored in the dummy file section 42. The dummy data file is
It is a huge data file that looks like a secret.
【0045】図10は通信制御部43の処理フローチャ
ートを示す。同図中、図5と同一処理部分には同一符号
を付し、その説明は省略する。FIG. 10 shows a processing flowchart of the communication control unit 43. In the figure, the same parts as those of FIG. 5 are designated by the same reference numerals, and the description thereof will be omitted.
【0046】本実施例では、ステップS1−7でID及
びパスワードの否認回数が所定回数に達し、不正アクセ
ス元であると判定されると、ステップS4−9でダミー
ファイル部42へのアクセスを許可し、不正アクセスを
行ったクライアント13がダミーファイル部42にアク
セスしている間にアクセス元をサーチする。In the present embodiment, when the number of times of denial of the ID and password reaches a predetermined number in step S1-7 and it is determined that the access source is an unauthorized access source, access to the dummy file section 42 is permitted in step S4-9. Then, the access source is searched while the client 13 that has made an unauthorized access is accessing the dummy file portion 42.
【0047】本実施例によれば、不正なクライアント1
3は、所定回数、アクセスした後にサーバ11にアクセ
スされるので、正当なファイルにアクセスできたと勘違
いするが、実際は、ダミーデータファイルへのアクセス
が許可される。According to this embodiment, the unauthorized client 1
In No. 3, since the server 11 is accessed after being accessed a predetermined number of times, it is mistaken that the legitimate file could be accessed, but in reality, access to the dummy data file is permitted.
【0048】ダミーデータファイルは機密事項に見せか
けた膨大なデータファイルとされているので、不正なク
ライアント13はその内容に興味を持つとともに、比較
的長時間アクセスを続ける。このため、不正なクライア
ント13を確実にサーチでき、警告などを発することが
できる。このとき、不正なクライアント13はダミーフ
ァイル部42にアクセスされるので、サーバ41の正当
なデータファイルが参照されることがない。Since the dummy data file is a huge data file that looks like a confidential matter, the unauthorized client 13 is interested in the contents and keeps accessing it for a relatively long time. Therefore, the unauthorized client 13 can be reliably searched for, and a warning or the like can be issued. At this time, the unauthorized client 13 is accessed by the dummy file section 42, so that the authorized data file of the server 41 is not referred to.
【0049】なお、本実施例では、所定回数否認された
ときに、ダミーデータファイルへのアクセスを許可する
ようにしたが、ダミーのID、パスワードを設定してお
き、ダミーのID、パスワードが入力されたときにダミ
ーファイル部23にアクセスを許可するようにしてもよ
い。In the present embodiment, the access to the dummy data file is permitted when the data is denied a predetermined number of times. However, the dummy ID and password are set and the dummy ID and password are input. Alternatively, the dummy file unit 23 may be permitted to be accessed.
【0050】図11は本発明の他の実施例の通信制御部
43の変形例の処理フローチャートを示す。同図中、図
8と同一処理部分には同一符号を付し、その説明は省略
する。FIG. 11 shows a processing flowchart of a modification of the communication control unit 43 according to another embodiment of the present invention. In the figure, the same parts as those in FIG. 8 are designated by the same reference numerals, and the description thereof will be omitted.
【0051】本変形例では、ステップS3−1でクライ
アント13から特定ID及びパスワードが供給される
と、不正アクセスが行われていると判定して、ステップ
S5−1でダミーファイル部42へのアクセスを許可す
る。不正アクセスしたクライアント13がダミーファイ
ル部42にアクセスしている間にクライアント13を特
定するためのサーチを行う。In this modification, when the client 13 supplies the specific ID and password in step S3-1, it is determined that an unauthorized access is made, and in step S5-1, the dummy file unit 42 is accessed. Allow A search for identifying the client 13 is performed while the unauthorized client 13 is accessing the dummy file section 42.
【0052】[0052]
【発明の効果】上述の如く、本発明によれば、不正アク
セス元にファイルへのアクセスを許可し、不正アクセス
元がファイルにアクセスしている間に、不正アクセス元
をサーチして、サーチが終了した後に不正アクセス元の
ファイルへのアクセスを禁止した後、復旧用ファイルに
よりファイルを復旧させることにより、不正なアクセス
元に長時間ファイルをアクセスさせることができるた
め、確実に不正なアクセス元を確実に特定できる等の特
長を有する。As described above, according to the present invention, the unauthorized access source is permitted to access the file, and while the unauthorized access source is accessing the file, the unauthorized access source is searched and the search is performed. After prohibiting access to the unauthorized access source file after completion, by restoring the file with the recovery file, it is possible to make the unauthorized access source access the file for a long time. It has features such as reliable identification.
【図1】従来の通信システムの一例のシステム構成図で
ある。FIG. 1 is a system configuration diagram of an example of a conventional communication system.
【図2】本発明の一実施例のシステム構成図である。FIG. 2 is a system configuration diagram of an embodiment of the present invention.
【図3】本発明の一実施例のサーバのブロック構成図で
ある。FIG. 3 is a block configuration diagram of a server according to an embodiment of the present invention.
【図4】本発明の一実施例の通信制御部のブロック構成
図である。FIG. 4 is a block configuration diagram of a communication control unit according to an embodiment of the present invention.
【図5】本発明の一実施例の通信制御部の接続処理のフ
ローチャートである。FIG. 5 is a flowchart of connection processing of a communication control unit according to an embodiment of the present invention.
【図6】クライアント13からのパケットのデータ構成
図である。FIG. 6 is a data configuration diagram of a packet from the client 13.
【図7】ルータ22のルーティング処理の処理フローチ
ャートである。FIG. 7 is a processing flowchart of routing processing of the router 22.
【図8】本発明の一実施例の通信制御部の接続処理の変
形例のフローチャートである。FIG. 8 is a flowchart of a modified example of the connection processing of the communication control unit according to the embodiment of the present invention.
【図9】本発明の他の実施例のサーバのブロック構成図
である。FIG. 9 is a block configuration diagram of a server according to another embodiment of the present invention.
【図10】通信制御部43の処理フローチャートであ
る。FIG. 10 is a processing flowchart of a communication control unit 43.
【図11】本発明の他の実施例の通信制御部43の変形
例の処理フローチャートである。FIG. 11 is a processing flowchart of a modified example of the communication control unit 43 according to another embodiment of the present invention.
1、20 システム 11、21 サーバ 12 ネットワーク 13 端末装置 31 ルータ 32 通信制御部 33 ブロックファイル部 34 ダミーファイル部 35 認証情報ファイル部 41 インタフェース部 42 CPU 43 ROM 44 RAM 47 入出力部 1, 20 system 11, 21 server 12 networks 13 Terminal 31 router 32 Communication control unit 33 Block file section 34 Dummy file section 35 Authentication information file section 41 Interface part 42 CPU 43 ROM 44 RAM 47 Input / output section
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B017 AA03 BA05 BB11 CA16 5B085 AC14 AE02 AE03 BA06 BG07 5B089 GB02 HB02 KA17 KB06 KB13 KC42 MC04 5K030 GA15 HD03 LC13 LD20 ─────────────────────────────────────────────────── ─── Continued front page F-term (reference) 5B017 AA03 BA05 BB11 CA16 5B085 AC14 AE02 AE03 BA06 BG07 5B089 GB02 HB02 KA17 KB06 KB13 KC42 MC04 5K030 GA15 HD03 LC13 LD20
Claims (11)
た情報に基づいてファイルへのアクセスを許可する情報
処理装置であって、 アクセス元の前記ファイルへのアクセスを許可し、前記
アクセス元が不正アクセス元であるときに、前記不正ア
クセス元が前記ファイルにアクセスしている間に前記ル
ータで前記情報の中継時に付与された前記ルータのアド
レスの履歴を解析することにより前記不正アクセス元を
サーチするアクセス制御部とを有することを特徴とする
情報処理装置。1. An information processing apparatus for permitting access to a file based on information supplied from an access source via a router, the access source permitting access to the file, wherein the access source is illegal. When the access source is an access source, the unauthorized access source is searched by analyzing the history of the address of the router given when the router relays the information while the unauthorized access source is accessing the file. An information processing device, comprising: an access control unit.
ファイルを有し、 前記アクセス制御部は、前記サーチ終了後、前記不正ア
クセス元の前記ファイルへのアクセスを禁止した後、前
記復旧用ファイルにより前記ファイルを復旧させること
を特徴とする請求項1記載の情報処理装置。2. A recovery file for recovering the file is provided, wherein the access control unit prohibits access to the file of the unauthorized access source after completion of the search, and then uses the recovery file. The information processing apparatus according to claim 1, wherein the file is restored.
の認証情報が所定回数否認されたときに数に、該アクセ
ス元を不正アクセス先であると判定することを特徴とす
る請求項1記載の情報処理装置。3. The access control unit according to claim 1, wherein when the authentication information from the access source is denied a predetermined number of times, the access control unit determines that the access source is an unauthorized access destination. Information processing equipment.
の認証情報が予め設定されたダミーの認証情報と一致す
るときに、前記アクセス元を不正アクセス元であると判
定することを特徴とする請求項1記載の情報処理装置。4. The access control unit determines that the access source is an unauthorized access source when the authentication information from the access source matches the preset dummy authentication information. The information processing device according to item 1.
が前記不正アクセス元であると判定したときに、前記不
正アクセス元を前記ダミーファイルにアクセスさせるこ
とを特徴とする請求項1乃至4のいずれか一項記載の情
報処理装置。5. The access control unit causes the unauthorized access source to access the dummy file when the access source is determined to be the unauthorized access source. The information processing device according to claim 1.
を中継する情報処理装置であって、 前記アクセス元からの情報を中継する際に自装置のアド
レスを付与するアドレス付与手段を有することを特徴と
する情報処理装置。6. An information processing device for relaying information from an access source to an access destination, comprising address assigning means for assigning an address of the device itself when relaying information from the access source. Information processing device.
ス先のファイルにアクセスさせるアクセス制御方法であ
って、 前記ルータに、前記アクセス元からの情報を中継する際
に前記ルータのアドレスを付与させ、 前記アクセス先は、前記アクセス元が不正アクセス元か
否かを判定し、 前記アクセス元が該不正アクセス元であると判定された
ときに、前記不正アクセス元が前記ファイルにアクセス
することを許可し、 前記不正アクセス元が前記ファイルにアクセスしている
間に前記アクセス元からの情報に付与された前記ルータ
のアドレスを解析することにより前記不正アクセス元を
サーチすることを特徴とするアクセス制御方法。7. An access control method for relaying a file from an access source through a router to access an access destination file, wherein the router is given an address of the router when relaying information from the access source, The access destination determines whether the access source is an unauthorized access source and, when the access source is determined to be the unauthorized access source, permits the unauthorized access source to access the file. The access control method is characterized in that while the unauthorized access source is accessing the file, the unauthorized access source is searched by analyzing the address of the router added to the information from the access source.
の前記ファイルへのアクセスを禁止した後、復旧用ファ
イルにより前記ファイルを復旧させることを特徴とする
請求項7記載のアクセス制御方法。8. The access control method according to claim 7, wherein after the search is completed, the access to the file by the unauthorized access source is prohibited, and then the file is restored by a restoration file.
数否認されたときに数に、該アクセス元を不正アクセス
先であると判定することを特徴とする請求項7又は8記
載のアクセス制御方法。9. The access control method according to claim 7, wherein when the authentication information from the access source is denied a predetermined number of times, the access source is determined to be an unauthorized access destination. .
設定されたダミーの認証情報と一致するときに、前記ア
クセス元を不正アクセス元であると判定することを特徴
とする請求項7又は8記載のアクセス制御方法。10. The access source is determined to be an unauthorized access source when the authentication information from the access source matches a dummy authentication information set in advance. Access control method.
であると判定したときに、前記不正アクセス元を前記ダ
ミーファイルにアクセスさせることを特徴とする請求項
7乃至10のいずれか一項記載のアクセス制御方法。11. The access according to claim 7, wherein when the access source is determined to be the unauthorized access source, the unauthorized access source is made to access the dummy file. Control method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001397880A JP3904921B2 (en) | 2001-12-27 | 2001-12-27 | Information processing apparatus and access control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001397880A JP3904921B2 (en) | 2001-12-27 | 2001-12-27 | Information processing apparatus and access control method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003198625A true JP2003198625A (en) | 2003-07-11 |
| JP3904921B2 JP3904921B2 (en) | 2007-04-11 |
Family
ID=27603519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001397880A Expired - Fee Related JP3904921B2 (en) | 2001-12-27 | 2001-12-27 | Information processing apparatus and access control method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3904921B2 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009504061A (en) * | 2005-08-03 | 2009-01-29 | エヌエックスピー ビー ヴィ | Secure terminal, routine, and method for protecting a private key |
| JP5613855B1 (en) * | 2014-04-23 | 2014-10-29 | 株式会社 ディー・エヌ・エー | User authentication system |
| KR101544750B1 (en) | 2013-02-28 | 2015-08-19 | 동국대학교 산학협력단 | Apparatus and method for secure cloud system using dummy authentification key |
| JP2016062394A (en) * | 2014-09-19 | 2016-04-25 | ヤフー株式会社 | Authentication device, authentication method, and authentication program |
| JP2020046989A (en) * | 2018-09-19 | 2020-03-26 | 株式会社東芝 | Authentication apparatus |
-
2001
- 2001-12-27 JP JP2001397880A patent/JP3904921B2/en not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009504061A (en) * | 2005-08-03 | 2009-01-29 | エヌエックスピー ビー ヴィ | Secure terminal, routine, and method for protecting a private key |
| US8689338B2 (en) | 2005-08-03 | 2014-04-01 | St-Ericsson Sa | Secure terminal, a routine and a method of protecting a secret key |
| KR101544750B1 (en) | 2013-02-28 | 2015-08-19 | 동국대학교 산학협력단 | Apparatus and method for secure cloud system using dummy authentification key |
| JP5613855B1 (en) * | 2014-04-23 | 2014-10-29 | 株式会社 ディー・エヌ・エー | User authentication system |
| US9439070B2 (en) | 2014-04-23 | 2016-09-06 | DeNA Co., Ltd. | User authentication system |
| JP2016062394A (en) * | 2014-09-19 | 2016-04-25 | ヤフー株式会社 | Authentication device, authentication method, and authentication program |
| JP2020046989A (en) * | 2018-09-19 | 2020-03-26 | 株式会社東芝 | Authentication apparatus |
| JP7034870B2 (en) | 2018-09-19 | 2022-03-14 | 株式会社東芝 | Authentication device |
| US11290275B2 (en) | 2018-09-19 | 2022-03-29 | Kabushiki Kaisha Toshiba | Authentication apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3904921B2 (en) | 2007-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6510523B1 (en) | Method and system for providing limited access privileges with an untrusted terminal | |
| US7234157B2 (en) | Remote authentication caching on a trusted client or gateway system | |
| JP5704518B2 (en) | Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program | |
| KR100920871B1 (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
| US8484710B2 (en) | System and method for securely sending a network one-time-password utilizing a mobile computing device | |
| CN110971569A (en) | Network access authority management method and device and computing equipment | |
| JPH09128337A (en) | Method and apparatus for protection of masquerade attack in computer network | |
| JP2006085697A (en) | Method and system for controlling access privilege for trusted network node | |
| CN113347072B (en) | VPN resource access method, device, electronic equipment and medium | |
| JP5722778B2 (en) | Server system and method for providing at least one service | |
| CN113364800A (en) | Resource access control method, device, electronic equipment and medium | |
| JP2009003559A (en) | Computer system for single sign-on server, and program | |
| CN112804222B (en) | Data transmission method, device, equipment and storage medium based on cloud deployment | |
| CN112929388B (en) | Network identity cross-device application rapid authentication method and system, and user agent device | |
| JPH09266475A (en) | Address information management equipment and network system | |
| US20050044405A1 (en) | System and method of securing a computer from unauthorized access | |
| JP2003198625A (en) | Information processing apparatus and method for controlling accessing | |
| CN115913676B (en) | Access control method and device for cloud native application, electronic equipment and storage medium | |
| CN106412904B (en) | Method and system for preventing counterfeit user authentication authority | |
| US20220239645A1 (en) | Method of separating and authenticating terminal equipment | |
| JP2004070814A (en) | Server security management method, device and program | |
| JP7510340B2 (en) | Authentication device, authentication method, and authentication program | |
| JP2007287097A (en) | Access control system and method therefor | |
| CN113297629B (en) | Authentication method, device, system, electronic equipment and storage medium | |
| JP7221235B2 (en) | Server equipment and network system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20040220 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040916 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060509 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060710 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061017 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061215 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070109 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070110 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110119 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |