JP2005310069A - Authentication device, method, and program - Google Patents
Authentication device, method, and program Download PDFInfo
- Publication number
- JP2005310069A JP2005310069A JP2004130179A JP2004130179A JP2005310069A JP 2005310069 A JP2005310069 A JP 2005310069A JP 2004130179 A JP2004130179 A JP 2004130179A JP 2004130179 A JP2004130179 A JP 2004130179A JP 2005310069 A JP2005310069 A JP 2005310069A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authentication information
- time
- communication device
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明はユーザを認証するための技術に関する。 The present invention relates to a technique for authenticating a user.
ユーザがコンピュータ或いはネットワークのリソースにアクセスしようとする際には、そのユーザが正当であるか否かを確認する手続きがなされることが多い。この手続きは「ユーザ認証」と呼ばれており、一般的には、ユーザによって入力されたユーザID及びパスワードを事前に登録されている内容と照合し、両者が一致するか否かでユーザの正当性を判断する。以下では、これらユーザID及びパスワードのようなユーザ認証に必要な情報を「認証情報」と総称する。 When a user tries to access a computer or network resource, a procedure for confirming whether the user is valid is often performed. This procedure is called “user authentication”. In general, the user ID and password entered by the user are checked against the pre-registered contents, and the user's legitimacy is determined by whether or not they match. Judging sex. Hereinafter, information necessary for user authentication, such as the user ID and password, is collectively referred to as “authentication information”.
ところが、不特定多数のユーザからのアクセスを許容するインターネットのようなネットワーク環境においては、このような認証手法は必ずしも安全・確実であるとは言えない。なぜなら、悪意のある第3者が、適当に定めた膨大な数の認証情報を用いて何千回何万回ものアクセスを試み、そのアクセスが認められたときの認証情報を特定していくようにすれば、実在する認証情報を大量に盗み出すことができるからである。このような不正行為は「総当たり攻撃」などと呼ばれている。最近ではこの総当たり攻撃によって盗まれた認証情報を用いてあたかも正当なユーザであるかのように振る舞うという、いわゆる「なりすまし」の被害が後を絶たない。 However, in a network environment such as the Internet that allows access from an unspecified number of users, such an authentication method is not necessarily safe and reliable. This is because a malicious third party attempts to access tens of thousands of times using a suitably large number of authentication information and specifies the authentication information when the access is granted. This is because a large amount of real authentication information can be stolen. Such cheating is called “brute force attack”. Recently, there is no end to the so-called “spoofing” damage that behaves as if it is a legitimate user using authentication information stolen by this brute force attack.
このような「なりすまし」の脅威に対し、例えば、1回のユーザ認証プロセスにおいて3回連続して間違った認証情報を入力すると、それ以降の一定期間に限りアクセスを拒否する、といった対策が採られている。しかし、その一定期間が経過した後には、再度同じような不正アクセスを試みることが可能であるから、いずれは認証情報が盗まれてしまう虞がある。もちろん、認証情報が盗まれないことを最重要視するのであれば、3回連続して認証情報が間違っていた場合、正当なユーザからの正式な申し出がない限り、それ以降の一切のアクセスを永久に拒否するようにすればよい。しかし、正当なユーザが自身の認証情報を忘れてしまうケースも少なくないから、必要以上にセキュリティのレベルを高くすると、ユーザにとっては使い勝手が悪くなってしまう。 For such “spoofing” threats, for example, if wrong authentication information is entered three times in a single user authentication process, access is denied for a certain period thereafter. ing. However, since the same unauthorized access can be attempted again after a certain period of time has passed, there is a risk that the authentication information will be stolen. Of course, if the most important thing is that authentication information is not stolen, if the authentication information is wrong three times in a row, all subsequent access will be allowed unless there is a formal offer from a legitimate user. You just have to refuse it forever. However, since there are many cases where a legitimate user forgets his / her authentication information, if the security level is increased more than necessary, the user's usability becomes worse.
また別の対策として、例えば特許文献1には、ユーザ認証を経てアクセスが認められると、直ちにそのアクセスがあった旨を予め登録されているユーザ端末に通知することが提案されている。これにより、もし第3者が不正なアクセスに成功した場合であっても、そのアクセスの事実を直ちに正当なユーザに通知することができる。この特許文献1に記載された技術は、不正アクセスの事実を正当なユーザに通知することによって、そのユーザが適切な対応をとることを期待するものであるが、不正なアクセスそのものを防止することは難しい。なぜなら、ユーザから見れば不正アクセスの事実を通知されたからといって、瞬時にそのアクセスを中断させるとか、不正アクセスを行う第3者の正体を突きとめるための術がないからである。 As another countermeasure, for example, Patent Document 1 proposes that when access is permitted through user authentication, the user terminal registered in advance is notified immediately of the access. Thereby, even if the third party succeeds in unauthorized access, the fact of the access can be immediately notified to a legitimate user. The technology described in Patent Document 1 is intended to notify an authorized user of the fact of unauthorized access, so that the user can take an appropriate action, but prevents unauthorized access itself. Is difficult. This is because, from the viewpoint of the user, there is no way to interrupt the access instantly or to identify the identity of a third party performing unauthorized access just because the fact of unauthorized access is notified.
本発明はこのような事情に鑑みてなされたものであり、その目的は、総当たり攻撃等の不正行為によってパスワード等の認証情報が盗み出されることを極力防止することにある。 The present invention has been made in view of such circumstances, and an object of the present invention is to prevent authentication information such as a password from being stolen as much as possible by an illegal act such as a brute force attack.
上記課題を達成するために、本発明は、各々のユーザ毎に決められた認証情報を記憶する記憶手段と、通信装置に入力された認証情報を該通信装置から受信する受信手段と、前記受信手段により受信された認証情報が前記記憶手段によって記憶されているか否かを判断する認証手段と、前記受信された認証情報が前記記憶手段により記憶されていないと判断された場合には、ある時間が経過するまで待機した後に、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するアクセス制御手段とを備える認証装置を提供する。 In order to achieve the above object, the present invention provides a storage means for storing authentication information determined for each user, a receiving means for receiving authentication information input to the communication apparatus from the communication apparatus, and the reception Authentication means for determining whether or not the authentication information received by the storage means is stored in the storage means, and when it is determined that the received authentication information is not stored in the storage means for a certain period of time. An authentication device is provided comprising access control means for transmitting to the communication device response information indicating that access from the communication device is not permitted after waiting until the time elapses.
この認証装置によれば、認証手段が記憶手段に認証情報が記憶されていないと判断した場合には、アクセス制御手段がある時間が経過するまで待機した後に、通信装置からのアクセスを許可しないことを表す応答情報をその通信装置に送信する。即ち、通信端末に認証情報を入力する者から見れば、認証情報が間違っていて認証に失敗したという事実がある時間だけ待たないと分からないことになる。第3者が例えば総当たり攻撃によって認証情報を盗み出す際には認証エラーを数多く繰り返すはずであるから、認証情報を盗み出すまでに従来に比べて相当多くの時間が必要となる。このように本発明においては、認証エラーの場合の応答に意図的に時間をかけることで、認証情報を盗み出そうとする第3者の行為を抑制する。なお、本発明における「アクセス」とは、情報の要求や取得のほか、FAX指示や印刷指示のような各種指示を含む概念である。 According to this authentication apparatus, when the authentication means determines that the authentication information is not stored in the storage means, the access control means waits for a certain period of time and then does not permit access from the communication apparatus. Is transmitted to the communication device. That is, from the viewpoint of a person who inputs authentication information to the communication terminal, the fact that the authentication information is wrong and the authentication has failed cannot be known without waiting for a certain time. When a third party steals authentication information by, for example, a brute force attack, authentication errors should be repeated many times. Therefore, it takes much more time than before to steal authentication information. Thus, in this invention, the action of the 3rd party who tries to steal authentication information is suppressed by deliberately taking time for the response in the case of an authentication error. Note that “access” in the present invention is a concept including various instructions such as a FAX instruction and a print instruction in addition to requesting and obtaining information.
また、本発明は、各々のユーザ毎に決められた認証情報を記憶する記憶手段と、通信装置に入力された認証情報を該通信装置から受信する受信手段と、前記受信手段により受信された認証情報が前記記憶手段によって記憶されているか否かを判断する認証手段と、前記受信された認証情報が前記記憶手段により記憶されていると判断された場合には、前記通信装置からのアクセスを許可するアクセス許可手段と、前記受信された認証情報が前記記憶手段により記憶されていないと判断された回数を前記ユーザ毎に記憶するエラー回数記憶手段と、前記エラー回数記憶手段によって記憶されている回数に応じて待機時間を決定する待機時間決定手段と、前記受信された認証情報が前記記憶手段により記憶されていないと判断された時からの経過時間を計測する計時手段と、前記認証手段によって前記認証情報が前記記憶手段により記憶されていないと判断された場合には、前記計時手段によって計測される経過時間が前記決定手段によって決定された待機時間を超えるまで待機し、該経過時間が該待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するアクセス拒否手段とを備える認証装置を提供する。 The present invention also provides a storage means for storing authentication information determined for each user, a receiving means for receiving authentication information input to the communication apparatus from the communication apparatus, and an authentication received by the receiving means. An authentication unit that determines whether or not information is stored in the storage unit; and if it is determined that the received authentication information is stored in the storage unit, access from the communication device is permitted. Access permission means, error count storage means for storing for each user the number of times that the received authentication information is determined not to be stored by the storage means, and the number of times stored by the error count storage means A waiting time determining means for determining a waiting time according to the information, and a lapse from a time when it is determined that the received authentication information is not stored in the storage means. A time measuring means for measuring the interval, and when the authentication means determines that the authentication information is not stored in the storage means, the elapsed time measured by the time measuring means is determined by the determining means. An access refusal means for transmitting a response message to the communication device to prompt the user to input the authentication information again to the communication device when the elapsed time exceeds the standby time. An authentication device is provided.
この認証装置によれば、認証手段が記憶手段によって認証情報が記憶されていると判断した場合には、アクセス許可手段が通信装置からのアクセスを許容する一方、認証手段が記憶手段によって認証情報が記憶されていないと判断した場合には、アクセス拒否手段が決められた待機時間が経過するまで待機した後に、認証情報を通信装置に再度入力することをユーザに促すための応答メッセージをその通信装置に送信する。即ち、通信端末に認証情報を入力する者から見れば、認証情報が間違っていて認証に成功した場合にはそのままアクセスが認められる。一方、認証情報が間違っていて認証に失敗した場合にはその認証エラーの事実が待機時間分だけ遅れて分かることになる。よって、正しい認証情報を入力したユーザに対しては特段の不利益を与えない一方で、不正な第3者が総当たり攻撃等によって認証情報を盗み出そうとした場合には、従来に比べて相当多くの時間を要してしまうことになる。このように本発明においては、認証エラーの場合の応答に意図的に時間をかけることで、認証情報を盗み出そうとする第3者の行為を抑制する。 According to this authentication apparatus, when the authentication unit determines that the authentication information is stored in the storage unit, the access permission unit permits access from the communication device, while the authentication unit stores the authentication information in the storage unit. If it is determined that the information is not stored, the communication device displays a response message for prompting the user to input the authentication information again to the communication device after the access refusal means waits until the predetermined waiting time elapses. Send to. That is, from the viewpoint of the person who inputs the authentication information to the communication terminal, if the authentication information is wrong and the authentication is successful, access is permitted as it is. On the other hand, if the authentication information is wrong and the authentication fails, the fact of the authentication error is delayed by the waiting time. Therefore, there is no particular disadvantage for the user who entered correct authentication information, but when an unauthorized third party tries to steal authentication information by a brute force attack, etc. It will take a lot of time. Thus, in this invention, the action of the 3rd party who tries to steal authentication information is suppressed by deliberately taking time for the response in the case of an authentication error.
本発明の好ましい態様においては、前記待機時間決定手段は、前記エラー回数記憶手段によって記憶されている回数に応じて増加するような待機時間を算出することによって該待機時間を決定する。認証に失敗した回数が多いほど不正なアクセスである可能性が高いから、エラー回数記憶手段によって記憶されている回数に応じて待機時間を増加させるようにすれば、認証情報を盗み出そうとする第3者の行為を抑制するには効果的である。 In a preferred aspect of the present invention, the waiting time determining means determines the waiting time by calculating a waiting time that increases according to the number of times stored in the error number storage means. As the number of authentication failures increases, the possibility of unauthorized access increases. Therefore, if the waiting time is increased according to the number of times stored in the error number storage means, the authentication information will be stolen. It is effective in suppressing the actions of third parties.
また、前記待機時間決定手段は、前記エラー回数記憶手段によって記憶されている回数に応じて指数関数的に増加するような待機時間を算出することによって該待機時間を決定するようにしてもよい。このようにすれば、認証情報を盗み出そうとする第3者の行為を抑制する効果が非常に大きくなるので望ましい。 Further, the waiting time determining means may determine the waiting time by calculating a waiting time that increases exponentially according to the number of times stored in the error number storage means. This is desirable because the effect of suppressing the action of a third party trying to steal authentication information becomes very large.
また、前記アクセス拒否手段によって前記経過時間が前記待機時間を超えるまで待機している間に、第2の通信装置に対して、認証エラーに関連する内容のメッセージを送信するエラー通知手段を備えるようにしてもよい。このようにすれば、もし第3者が不正なアクセスを試みようとしていると仮定すると、認証に失敗していることを第2の通信装置のユーザに通知することができる。この通知に応じて、ユーザは待機時間が経過するまでの間に適切な対応を採ることも可能である。なお、前記第2の通信装置がユーザが常に携帯し得る可搬性の通信装置であることが望ましい。 In addition, an error notification unit that transmits a message having a content related to the authentication error to the second communication device while waiting for the elapsed time to exceed the standby time by the access rejection unit. It may be. In this way, if it is assumed that a third party tries to make an unauthorized access, the user of the second communication device can be notified that the authentication has failed. In response to this notification, the user can take an appropriate response until the standby time elapses. It is desirable that the second communication device is a portable communication device that can always be carried by the user.
また、本発明は、認証装置が、通信装置に入力された認証情報を該通信装置から受信するステップと、受信された認証情報が予め記憶されている内容と一致するか否かを判断するステップと、前記認証情報が予め記憶されている内容と一致しないと判断された場合には、ある時間が経過するまで待機するステップと、前記ある時間が経過すると、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するステップと
を備える認証方法を提供する。
In the present invention, the authentication device receives authentication information input to the communication device from the communication device, and determines whether the received authentication information matches the content stored in advance. And when it is determined that the authentication information does not match the content stored in advance, a step of waiting until a certain time elapses and an access from the communication device is not permitted after the certain time elapses An authentication method comprising the step of transmitting response information indicating that to the communication device.
また、本発明は、認証装置が、通信装置に入力された認証情報を該通信装置から受信するステップと、受信された認証情報が予め記憶されている内容と一致するか否かを判断するステップと、前記認証情報が予め記憶されている内容と一致しないと判断された回数に応じて待機時間を決定するステップと、前記認証情報が予め記憶されている内容と一致しないと判断された場合に、経過時間の計測を開始するステップと、計測される前記経過時間が決定された前記待機時間を超えるまで待機するステップと、計測される時間が前記待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するステップとを備える認証方法を提供する。 In the present invention, the authentication device receives authentication information input to the communication device from the communication device, and determines whether the received authentication information matches the content stored in advance. Determining a waiting time according to the number of times that the authentication information is determined not to match the content stored in advance, and when determining that the authentication information does not match the content stored in advance Starting the measurement of elapsed time, waiting until the measured elapsed time exceeds the determined standby time, and when the measured time exceeds the standby time, the authentication information is sent to the communication And transmitting a response message to the communication device to prompt the user to input again to the device.
また、本発明は、コンピュータに、各々のユーザ毎に決められた認証情報を記憶する記憶機能と、通信装置から受信した認証情報が前記記憶機能によって記憶されているか否かを判断する認証機能と、前記認証情報が前記記憶機能により記憶されていないと判断された場合には、ある時間が経過するまで待機した後に、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するための処理を行うアクセス制御機能とを実現させるためのプログラムを提供する。 The present invention also provides a storage function for storing authentication information determined for each user in a computer, and an authentication function for determining whether authentication information received from a communication device is stored by the storage function. When it is determined that the authentication information is not stored by the storage function, after waiting until a certain time elapses, response information indicating that access from the communication device is not permitted is sent to the communication device. A program for realizing an access control function for performing processing for transmission is provided.
また、本発明は、コンピュータに、各々のユーザ毎に決められた認証情報を記憶する記憶機能と、通信装置から受信した認証情報が前記記憶機能によって記憶されているか否かを判断する認証機能と、前記認証情報が前記記憶機能により記憶されていると判断された場合には、前記通信装置からのアクセスを許可するアクセス許可機能と、前記認証情報が前記記憶機能により記憶されていないと判断された回数を前記ユーザ毎に記憶するエラー回数記憶機能と、前記エラー回数記憶機能によって記憶されている回数に応じて待機時間を決定する待機時間決定機能と、前記認証情報が前記記憶機能により記憶されていないと判断された時からの経過時間を計測する計時機能と、前記認証情報が前記記憶機能により記憶されていないと判断された場合には、前記計時機能によって計測される経過時間が前記決定機能によって決定された待機時間を超えるまで待機し、前記経過時間が前記待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するための処理を行うアクセス拒否機能とを実現させるためのプログラムを提供する。 The present invention also provides a storage function for storing authentication information determined for each user in a computer, and an authentication function for determining whether authentication information received from a communication device is stored by the storage function. When it is determined that the authentication information is stored by the storage function, it is determined that an access permission function for permitting access from the communication device and that the authentication information is not stored by the storage function. The number of errors stored for each user, a waiting time determination function for determining a waiting time according to the number of times stored by the error number storage function, and the authentication information are stored by the storage function. A timekeeping function for measuring the elapsed time from the time when it is determined that the authentication information is not determined, and that the authentication information is determined not to be stored by the storage function If the elapsed time exceeds the standby time determined by the determination function, the authentication information is input to the communication device again when the elapsed time exceeds the standby time. There is provided a program for realizing an access denial function for performing a process for transmitting a response message for prompting the user to do so to the communication device.
ユーザを認証するプロセスにおいては、ユーザが入力したユーザID及びパスワード等の認証情報が予め登録しておいたものと一致した場合には(つまり認証成功の場合には)、直ちにアクセスが認められる。一方、予め登録しておいたものと異なる場合には(つまり認証エラーの場合)、直ちにこれらの認証情報を再度入力することを促す旨の応答メッセージがユーザに通知される。本発明の実施形態においては、第3者が総当たり攻撃によって認証情報を盗み出そうとした場合には認証エラーを数多く繰り返すはずであることに着目し、認証エラーの場合の応答処理に敢えて時間をかけることで、認証情報を入力した者に対して認証エラーの事実を知らせるのを意図的に遅くしている。このようにすれば、第3者が正しい認証情報を突きとめるまでに従来よりも相当多くの時間を要してしまうことになるから、認証情報を盗み出そうとする第3者の行為を抑制することが可能となる。 In the process of authenticating a user, if authentication information such as a user ID and a password input by the user matches that registered in advance (that is, if authentication is successful), access is immediately permitted. On the other hand, if it is different from the one registered in advance (that is, in the case of an authentication error), a response message to prompt the user to input again the authentication information is notified. In the embodiment of the present invention, it is noted that when a third party tries to steal authentication information by a brute force attack, the authentication error should be repeated many times. Is intentionally slowed to inform the person who entered the authentication information of the fact of the authentication error. In this way, it takes much more time than before for the third party to find the correct authentication information, so the act of stealing the authentication information is suppressed. It becomes possible to do.
以下、本発明の実施の形態について詳細に説明する。
(1)構成
図1は、本発明の一実施形態に係るシステムの全体構成を示す図である。図1において、移動通信網1とインターネット2との間は図示せぬゲートウェイ装置によって接続されており、これら移動通信網1とインターネット2との間ではゲートウェイ装置を介して双方向のデータ通信が可能になっている。インターネット2には、図示せぬISDN網(Integrated Services Digital Network)やADSL網(Asymmetric Digital Subscriber Line)或いは専用線などを介してWWW(World Wide Web)サーバ装置20が接続されている。WWWサーバ装置20は、HTML(Hypertext Markup Language)で記述されたファイル形式のデータ(以下、HTMLファイルという)を記憶しており、このHTMLファイルをWWWクライアント装置30a,30bからのリクエストに応じて送信するようになっている。
Hereinafter, embodiments of the present invention will be described in detail.
(1) Configuration FIG. 1 is a diagram showing an overall configuration of a system according to an embodiment of the present invention. In FIG. 1, the mobile communication network 1 and the
WWWクライアント装置30a,30bは例えばパーソナルコンピュータ等であり、CPU(Central Processing Unit)やROM(Read Only Memory)、RAM(Random Access Memory)等によって構成される制御部と、HDD(Hard Disk Drive)等の記憶部と、モデムや各種通信装置等の通信部と、液晶ディスプレイ装置等の表示部と、キーボードやマウス等の操作部とを備えている。これらのWWWクライアント装置30a,30bは、図示せぬISDN網やADSL網などを介してインターネット2に接続されている。WWWクライアント装置30a,30bの記憶部にはWWWブラウザプログラムが記憶されている。制御部がこのWWWブラウザプログラムを実行することによって、WWWクライアント装置30a,30bは、WWWサーバ装置20とインターネット2を介してHTTP(Hypertext Transfer Protocol)に従った通信を行い、WWWサーバ装置20によって送信されてくるHTMLファイルを受信すると、その内容を解釈して各種情報を表示部に表示するようになっている。
The
移動通信網1は、図示せぬ基地局や交換局によって構成されており、携帯電話機40に対して移動通信サービスを提供する。携帯電話機40は、例えばPDC(Personal Digital Cellular)方式やIMT−2000(International Mobile Telecommunications-2000)方式のデータ通信が可能な携帯電話機や、PHS(Personal Handyphone System;登録商標)方式のデータ通信が可能な簡易携帯電話機である。携帯電話機40は、CPUやROM、RAM等によって構成される制御部と、EEPROM(Electrically Erasable and Programmable Read Only Memory)等の記憶部と、アンテナや無線通信装置等の通信部と、液晶ディスプレイ装置等の表示部と、複数のキーやジョグダイヤル等の操作部とを備えている。EEPROMにはメーラプログラムが記憶されており、携帯電話機40のCPUはこのメーラプログラムを実行することによって電子メールを送受信することができる。
The mobile communication network 1 is composed of a base station and an exchange station (not shown), and provides mobile communication services to the
図1においては、ユーザAがWWWクライアント装置30a及び携帯電話機40を操作するものとし、ユーザBがWWWクライアント装置30bを操作するものとする。なお、図1においては図面が繁雑になるのを避けるために、WWWサーバ装置、携帯電話機およびWWWクライアント装置をそれぞれ1つ乃至2つしか図示していないが、これらは実際にはもっと多数存在する。
In FIG. 1, it is assumed that the user A operates the
次に、図2に示すブロック図を参照しながら、WWWサーバ装置20の構成について説明する。図2に示すように、WWWサーバ装置20は、制御部201と、通信部202と、不揮発性記憶部203とを備えている。制御部201は、例えばCPUなど演算装置や、ROMやRAMなどの各種メモリを備えている。制御部201の演算装置は、ROM等のメモリや不揮発性記憶部203に記憶されているコンピュータプログラムを読み出して実行することにより、WWWサーバ装置20の各部を制御する。通信部202は、インターネット2に接続するためのモデムや各種通信装置を備えており、制御部201による制御の下でインターネット2を介してデータ通信を行うようになっている。
Next, the configuration of the
不揮発性記憶部203は、例えばハードディスクなどの大容量記憶装置である。この不揮発性記憶部203には、WWWサーバとして機能するための手順が記述されたWWWサーバアプリケーションプログラム203aが記憶されている。WWWサーバアプリケーションプログラム203aには、WWWクライアント装置30a,30bのユーザを認証するための手順が記述されたCGI(Common Gateway interface)プログラムが含まれている。以下ではこのCGIプログラムを「認証CGIプログラム」という。また、不揮発性記憶部203には、WWWクライアント装置30a,30bに提供される多数のHTMLファイル群203cが記憶されている。HTMLファイル群203cに含まれる各々のHTMLファイルはそれぞれハイパーリンクによって階層的に関連づけられており、WWWクライアント装置30a,30bのユーザがこれらHTMLファイルのハイパーリンクを1つずつ辿っていくことによって、WWWクライアント装置30a,30bはWWWサーバ装置20からHTMLファイルを1つずつ取得して表示部に表示することができるようになっている。
The
さらに、不揮発性記憶部203には、制御部201が認証CGIプログラムを実行する際に利用する情報が記述された認証テーブル203bが記憶されている。
ここで、図3は、認証テーブル203bに記述された内容の一例を示す図である。図3に示すように、認証テーブル203bには、「ユーザID」、「パスワード」、「認証エラー回数」、「通知先アドレス」及び「通知方法」の各項目が互いに関連づけられている。これらの項目のうち、「ユーザID」はWWWクライアント装置30a,30bのユーザに対して予め割り当てられた識別子を意味している。「パスワード」はWWWクライアント装置30a,30bのユーザ或いはWWWサーバ装置20の管理者が予め指定したパスワードである。制御部201は、認証テーブル203bに予め記述されている「ユーザID」及び「パスワード」と、ユーザによってWWWクライアント装置30a,30bに入力された「ユーザID」及び「パスワード」とを照合し、両者が一致していれば正当なユーザであると判断するし、一致しなければ正当なユーザではないと判断する。なお、以下の説明においては、必要に応じて、ユーザID及びパスワードを「認証情報」と総称する。
Further, the
Here, FIG. 3 is a diagram illustrating an example of contents described in the authentication table 203b. As shown in FIG. 3, in the authentication table 203b, items of “user ID”, “password”, “number of authentication errors”, “notification destination address”, and “notification method” are associated with each other. Among these items, “user ID” means an identifier assigned in advance to the users of the
WWWクライアント装置30a,30bに入力された認証情報が予め認証テーブル203bに記述された内容と一致しなかった場合には、認証エラーである。よって、WWWサーバ装置20は、WWWクライアント装置30a,30bのユーザに対して認証情報を再入力することを促す応答メッセージをWWWクライアント装置30a,30bに送信する。認証テーブル203bにおける「認証エラー回数」は、連続して認証エラーが発生した累積回数を示している。前述したように、認証エラーの場合にはその応答に意図的に時間をかけるようにしているから、WWWサーバ装置20は、上記応答メッセージをWWWクライアント装置30a,30bに送信する場合、認証エラー回数に応じて決められた待機時間の分だけ待機し、その待機時間が経過してから、応答メッセージを送信するようになっている。
If the authentication information input to the
WWWサーバ装置20は、認証エラー回数が所定回数(例えば3回)以上になると、“認証エラーが何回連続して発生している”といった旨の通知メッセージをユーザが予め指定した通信装置に送信する。認証テーブル203bの「通知先アドレス」は、上記のような通信装置に割り当てられた通信アドレスを意味している。この通知メッセージは、上記の待機時間が経過するまでの待機中にWWWサーバ装置20から上記通信装置に送信されるようになっている。この通知先アドレスとしては、携帯電話機等のユーザが常に携帯し得る可搬性の通信装置の通信アドレスであることが望ましく、例えば図1中の携帯電話機40に割り当てられたメールアドレスや電話番号である。また、「通知方法」は、「通知先アドレス」を宛先とした通知を行う際の通信方法を意味しており、例えば電子メールや電話などである。
When the number of authentication errors reaches a predetermined number (for example, 3 times) or more, the
例えば図3に示す例では、ユーザID「user001」が示すユーザのパスワードは「1111」であり、現時点では認証エラーが2回発生しており、さらにもう1回認証エラーが発生して認証エラー回数が合計3回に到達すると、メールアドレス「tanaka@abc.co.jp」が割り当てられたメールクライアント(ここでは携帯電話機40とする)を宛先とした電子メールがWWWサーバ装置20から携帯電話機40に送信されることが示されている。この通信先アドレスおよび通知方法は、正当なユーザによってWWWサーバ装置20の管理者に予め届け出されたものである。従って、もし第3者が不正なアクセスを試みようとしていると仮定した場合、認証エラーが所定回数以上繰り返されるとその旨を正当なユーザに直ちに通知することができるので、そのユーザはこの通知を受けた後、直ちにWWWサーバ装置20の管理者に連絡する等の何らかの適切な対応を採ることも可能である。
For example, in the example illustrated in FIG. 3, the password of the user indicated by the user ID “user001” is “1111”, an authentication error has occurred twice at this time, and an authentication error has occurred once more. Reaches a total of three times, an e-mail addressed to a mail client (herein referred to as a mobile phone 40) to which a mail address “tanaka@abc.co.jp” is assigned is sent from the
また、このとき、通知メッセージは前述した待機時間が経過するまでの待機中にWWWサーバ装置20から送信されるから、悪意のある第3者が認証の結果が判明するのを待っている間に、正当なユーザに通知メッセージが届くはずである。よって、正当なユーザは時間的な余裕をもって適切な対応をとることができる。なお、図3にも示しているように、通知先アドレスを、ユーザが所持する通信装置の通信アドレスではなくて、WWWサーバ装置20の管理者の通信装置の通信アドレスに設定することもできる。
At this time, since the notification message is transmitted from the
(2)動作
図4は、上述した認証CGIプログラムに記述された手順を示すフローチャートである。図4において、WWWサーバ装置20の制御部201は、認証画面を要求するHTTPリクエストを通信部202が受信したことを検知すると(ステップS1;Yes)、これに応じて、認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出す(ステップS2)。次いで、制御部201は、上記HTMLファイルを含むHTTPレスポンスを生成し、通信部202によって上記HTTPリクエストの送信元のWWWクライアント装置に送信する(ステップS3)。
(2) Operation FIG. 4 is a flowchart showing a procedure described in the above-described authentication CGI program. In FIG. 4, when the
次に、制御部201は、認証情報をCGIパラメータとして含むHTTPリクエストを通信部202が受信したことを検知すると(ステップS4;Yes)、そのHTTPリクエストから認証情報を抽出し、この認証情報(ユーザID及びパスワード)のうちユーザIDをキーとして、受信した認証情報が認証テーブル203bに記憶されているものと一致するか否かを判断する(ステップS5)。これらが一致すれば(ステップS6;Yes)、制御部201は、認証テーブル203bの認証エラー回数を「0」にクリアして、リクエスト送信元のWWWクライアント装置によるアクセスを許可する(ステップS7)。
Next, when the
一方、認証情報が一致しなければ(ステップS6;No)、制御部201は、HTTPリクエストに含まれるユーザIDに対応する認証エラー回数を「1」だけインクリメントする(ステップS8)。そして、制御部201は、認証テーブル203bに記述された認証エラー回数に基づいて待機時間を決定する(ステップS9)。本実施形態では、認証エラー回数をX回としたときの待機時間を5x(秒間)とする。例えば、認証エラー回数が1回の場合には待機時間を51=5秒間とし、2回の場合は待機時間を52=25秒間とし、3回の場合は待機時間を53=125秒間とし、4回の場合には待機時間を54=625秒間・・・とする。このようにして待機時間を決定した後に、制御部201は経過時間のカウントを開始する(ステップS10)。
On the other hand, if the authentication information does not match (step S6; No), the
次いで、制御部201は、認証エラー回数が所定回数(3回)以上であるか否かに基づいて、通知メッセージを送信するか否かを判断する(ステップS11)。即ち、制御部201は、認証エラー回数が3回以上であれば(ステップS11;Yes)、上記の待機時間が経過するまでの待機中に、通知メッセージを認証テーブル203bに記述された通知先アドレスの通信装置に送信する(ステップS12)。この後、制御部201はカウントしている経過時間が待機時間を超えたと判断すると(ステップS13;Yes)、認証情報の再入力を促すメッセージが記述された認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出し(ステップS14)、これを通信部202によってWWWクライアント装置に送信する(ステップS3)。以後、上記と同様の処理を繰り返す。
Next, the
(3)動作例
次に、図5及び図6を参照しながら、具体的な動作例について説明する。
図5に示したシーケンスは、ユーザAがWWWクライアント装置30aを操作し、WWWサーバ装置20に対するアクセスが認められるまでの処理の流れを示している。図5において、まず、ユーザAはWWWクライアント装置30aの操作部を操作してWWWブラウザプログラムを起動させる。次いで、ユーザAがWWWサーバ装置20によって用意されている認証画面のURLを入力或いは選択すると、WWWクライアント装置30aは、そのURLを含むHTTPリクエストr1を送信する。
(3) Operation Example Next, a specific operation example will be described with reference to FIGS. 5 and 6.
The sequence shown in FIG. 5 shows the flow of processing until the user A operates the
WWWサーバ装置20は、上記HTTPリクエストr1を受信すると、図4に示したステップS1→S2→S3という処理を経て、認証画面を表示するためのHTMLファイルを含むHTTPレスポンスr2をWWWクライアント装置30aに送信する。
When the
WWWクライアント装置30aは、HTTPレスポンスr2を受信すると、これに含まれているHTMLファイルの内容を解釈して表示部に認証画面を表示する。この認証画面には、ユーザIDとパスワードを入力するためのテキストボックスが設けられている。ユーザAがこのテキストボックスにユーザID「user001」及びパスワード「1111」を入力し、“送信”を指示する操作を行うと、この操作に応じて、WWWクライアント装置30aは、入力されたユーザID「user001」及びパスワード「1111」をCGIパラメータとして含むHTTPリクエストr3をWWWサーバ装置20に送信する。
When receiving the HTTP response r2, the
WWWサーバ装置20は、このHTTPリクエストr3を受信すると、図4のステップS4→S5→S6→S7の処理を行う。即ち、WWWサーバ装置20は、HTTPリクエストr3からユーザID「user001」及びパスワード「1111」を抽出し、ユーザID「user001」をキーとして認証テーブル203bに記憶された内容と照合する。ここでは図3に示す如くユーザID「user001」及びパスワード「1111」が認証テーブル203bに記述されているので、WWWサーバ装置20は、認証テーブル203bの認証エラー回数をクリアしてから、WWWクライアント装置30aによるアクセスを許可する。アクセスが許可されると、WWWクライアント装置30aは所望のHTMLファイルをWWWサーバ装置20から取得して表示したり、WWWサーバ装置20が提供する各種サービスを受けることができる。
When receiving the HTTP request r3, the
次に、図6に示したシーケンスを参照しながら、ユーザBがWWWクライアント装置30bを操作してWWWサーバ装置20へのアクセスしようとした場合の動作例について説明する。なお、ユーザBは、ユーザAのユーザID「user001」を何らかの手段で既に不正に入手しており、さらに総当たり攻撃によってユーザAのパスワード「1111」を盗みだそうとする悪意のある第3者であると仮定する。
Next, referring to the sequence shown in FIG. 6, an operation example when the user B tries to access the
図6において、まず、ユーザBはWWWクライアント装置30bを操作してWWWブラウザプログラムを起動させる。次いで、ユーザBがWWWサーバ装置20によって用意されている認証画面のURLを入力或いは選択すると、WWWクライアント装置30bは、そのURLを含むHTTPリクエストr11を送信する。
In FIG. 6, first, the user B operates the
WWWサーバ装置20は、HTTPリクエストr11を受信すると、図4に示したステップS1→S2→S3という処理を経て、認証画面を表示するためのHTMLファイルを含むHTTPレスポンスr12をWWWクライアント装置30bに送信する。
Upon receiving the HTTP request r11, the
WWWクライアント装置30bは、HTTPレスポンスr12を受信すると、これに含まれるHTMLファイルの内容を解釈して認証画面を表示部に表示する。ユーザBが認証画面のテキストボックスにユーザID「user001」と、適当に定めたパスワード(例えば「0000」とする)を入力し、“送信”を指示する操作を行うと、この操作に応じて、WWWクライアント装置30bは、入力されたユーザID「user001」及びパスワード「0000」をCGIパラメータとして含むHTTPリクエストr13をWWWサーバ装置20に送信する。
When receiving the HTTP response r12, the
WWWサーバ装置20は、HTTPリクエストr13を受信すると、図4のステップS4→S5→S6→S8の処理を行う。即ち、WWWサーバ装置20は、受信したHTTPリクエストr13からユーザID「user001」及びパスワード「0000」を抽出し、ユーザID「user001」をキーとして認証テーブル203bに記憶された内容と照合する。ここでは図3に示す如くユーザID「user001」に対応するパスワードは「1111」であるので、WWWサーバ装置20はパスワードが一致しないと判断し、ユーザID「user001」の認証エラー回数を「1」だけインクリメントする。
When receiving the HTTP request r13, the
次いで、WWWサーバ装置20は、図4のステップS9→S10→S11→S13→S14→S3の処理を行う。即ち、WWWサーバ装置20は、認証テーブル203bに記述された認証エラー回数「1」に基づいて待機時間51=5秒を算出し、経過時間のカウントを開始する。さらにWWWサーバ装置20は、通知メッセージを送信するか否かを判断する。ここでは、認証エラー回数が1回であり、予め決められた「3回」に到達していないので、WWWサーバ装置20は、通知メッセージを送信する必要はないと判断する。この後、WWWサーバ装置20は、カウントしている経過時間が待機時間5秒を超えたと判断すると、認証情報の再入力を促すメッセージが記述された認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出し、これを含むHTTPレスポンスr14をWWWクライアント装置30bに送信する。
Next, the
WWWクライアント装置30bは、HTTPレスポンスr14を受信すると、これに含まれるHTMLファイルの内容を解釈して認証画面を表示部に表示する。この認証画面には、ユーザIDとパスワードを入力するためのテキストボックスのほか、前回入力されたユーザIDとパスワードが間違っていたのでこれらを再入力することを促すメッセージが記述されている。ユーザBがこのテキストボックスにユーザID「user001」と、次に適当に定めたパスワード「0001」を入力し、“送信”を指示する操作を行うと、この操作に応じて、WWWクライアント装置30bは、入力されたユーザID「user001」及びパスワード「0001」をCGIパラメータとして含むHTTPリクエストr15をWWWサーバ装置20に送信する。
When receiving the HTTP response r14, the
WWWサーバ装置20は、HTTPリクエストr15を受信すると、図4のステップS4→S5→S6→S8の処理を行う。即ち、WWWサーバ装置20は、受信したHTTPリクエストr15からユーザID「user001」及びパスワード「0001」を抽出し、ユーザID「user001」をキーとして認証テーブル203bに記憶された内容と照合する。ここでは図3に示す如くユーザID「user001」に対応するパスワードは「1111」であるので、WWWサーバ装置20はパスワードが間違っていると判断し、ユーザID「user001」の認証エラー回数を「1」だけインクリメントする。この結果、認証エラー回数は図3に示すように「2」回になる。
When receiving the HTTP request r15, the
次いで、WWWサーバ装置20は、図4のステップS9→S10→S11→S13→S14→S3の処理を行う。即ち、WWWサーバ装置20は、認証テーブル203bに記述された認証エラー回数「2」に基づいて待機時間52=25秒を算出し、経過時間のカウントを開始する。さらにWWWサーバ装置20は、通知メッセージを送信するか否かを判断する。ここでは、認証エラー回数が2回であり、予め決められた「3回」に到達していないので、WWWサーバ装置20は、通知メッセージを送信する必要はないと判断する。この後、WWWサーバ装置20は、カウントしている経過時間が待機時間25秒を超えたと判断すると、認証情報の再入力を促すメッセージが記述された認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出し、これを含むHTTPレスポンスr16をWWWクライアント装置30bに送信する。
Next, the
WWWクライアント装置30bは、HTTPレスポンスr16を受信すると、これに含まれるHTMLファイルの内容を解釈して、前述したような認証画面を表示部に再度表示する。ユーザBがこのテキストボックスにユーザID「user001」と、次に適当に定めたパスワード「0002」を入力し、“送信”を指示する操作を行うと、この操作に応じて、WWWクライアント装置30bは、入力されたユーザID「user001」及びパスワード「0002」をCGIパラメータとして含むHTTPリクエストr17をWWWサーバ装置20に送信する。
When the
WWWサーバ装置20は、このHTTPリクエストを受信すると、図4のステップS4→S5→S6→S8の処理を行う。即ち、WWWサーバ装置20は、受信したHTTPリクエストr17からユーザID「user001」及びパスワード「0002」を抽出し、ユーザID「user001」をキーとして認証テーブル203bに記憶された内容と照合する。ここでは図3に示す如くユーザID「user001」に対応するパスワードは「1111」であるので、WWWサーバ装置20はパスワードが間違っていると判断し、ユーザID「user001」の認証エラー回数を「1」だけインクリメントする。この結果、認証エラー回数は「3」回になる。
When receiving the HTTP request, the
次いで、WWWサーバ装置20は、図4のステップS9→S10→S11→S12→S13→S14→S3の処理を行う。即ち、WWWサーバ装置20、認証テーブル203bに記述された認証エラー回数「3」に基づいて、待機時間53=125秒を算出し、経過時間のカウントを開始する。次に、WWWサーバ装置20は、通知メッセージを送信するか否かを判断する。ここでは、認証エラー回数が3回であり所定回数に到達しているから、WWWサーバ装置20は、通知メッセージを送信する必要があると判断し、認証テーブル203bに記述された通知先アドレス「tanaka@abc.co.jp」を宛先とし、認証エラーが3回連続している旨を記述した電子メールr18を生成して送信する。
Next, the
この電子メールは、ユーザAの携帯電話機40によって受信されるので、ユーザAはこの通知を受けると、WWWサーバ装置20の管理者に連絡する等の何らかの適切な対応を採ればよい。この後、WWWサーバ装置20はカウントしている経過時間が待機時間125秒を超えたと判断すると、認証情報の再入力を促すメッセージが記述された認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出し、これを含むHTTPレスポンスr19をWWWクライアント装置30bに送信する。
以下、認証に成功するまで上記と同様の処理が繰り返される。
Since this electronic mail is received by the
Thereafter, the same processing as described above is repeated until the authentication is successful.
以上説明した実施形態によれば、認証エラーの場合の応答処理に要する時間を認証エラー回数に応じて指数関数的に意図的に増加させているので、アクセスを試みようとするユーザに対して認証エラーの事実を知らせるのを遅くすることができる。このようにすれば、悪意のある第3者が正しい認証情報を突きとめるまでに従来よりも相当多くの時間を要してしまうことになるから、認証情報を盗み出そうとする第3者の行為を抑制することが可能となる。また、認証エラー回数が所定回数を超えると、正当なユーザや管理者によって予め指定された通信装置に対し、認証エラー回数が所定回数を超えた旨を通知する。従って、もし第3者が不正なアクセスを試みようとしていると仮定した場合、認証エラーが何回か繰り返されると、その旨を正当なユーザに直ちに通知することができる。ユーザは、この通知を受けると、WWWサーバ装置20の管理者に連絡する等の何らかの適切な対応を採ることが可能である。
According to the embodiment described above, the time required for response processing in the case of an authentication error is intentionally increased exponentially according to the number of authentication errors, so that authentication is performed for a user who tries to access. It can be slow to inform the fact of the error. In this way, it takes a considerable amount of time until a malicious third party finds the correct authentication information. Therefore, the third party who tries to steal authentication information is required. It becomes possible to suppress the act. Further, when the number of authentication errors exceeds a predetermined number, a notification is sent to the communication device designated in advance by an authorized user or administrator that the number of authentication errors has exceeded the predetermined number. Therefore, if it is assumed that the third party is trying to make an unauthorized access, if an authentication error is repeated several times, a right user can be notified immediately. Upon receiving this notification, the user can take some appropriate measures such as contacting the administrator of the
(4)変形例
本発明は上述した実施形態に限定されず、次のような変形が可能である。
(4−1)変形例1
実施形態においては、待機時間を認証エラー回数に応じて指数関数的に増加するようにして決定していたが、この待機時間はどのようにして決めてもよい。例えば、認証エラー回数をX回とした場合、待機時間=A(任意の定数)×X秒間として、待機時間が認証エラー回数に比例して増加するようにしてもよいし、認証エラー回数が1回の場合は3秒、2回の場合10秒、3回の場合には30秒・・・というように、待機時間が認証エラー回数毎に任意に定めた差分で段階的に増加するようにしてもよい。また、認証エラー回数の大小に関わらず待機時間を一定にしてもよい。なお、認証エラー回数の最大許容回数を例えば10回というように決めておき、10回連続して認証エラーが繰り返されると、それ以降の一定期間はアクセスを拒否したり、或いは、正当なユーザからの正式な申し出がない限り、それ以降の一切のアクセスを永久に拒否するようにしてもよい。
(4) Modifications The present invention is not limited to the above-described embodiments, and the following modifications are possible.
(4-1) Modification 1
In the embodiment, the standby time is determined so as to increase exponentially according to the number of authentication errors, but this standby time may be determined in any way. For example, when the number of authentication errors is X, the standby time may be increased in proportion to the number of authentication errors, with standby time = A (arbitrary constant) × X seconds, or the number of authentication errors is 1. The waiting time is increased stepwise by an arbitrarily determined difference for each number of authentication errors, such as 3 seconds for the second time, 10 seconds for the second time, 30 seconds for the third time, and so on. May be. Further, the waiting time may be fixed regardless of the number of authentication errors. Note that the maximum allowable number of authentication errors is determined to be 10 times, for example. If the authentication error is repeated 10 times in succession, access may be denied for a certain period thereafter, or from a legitimate user. Unless there is an official offer, any subsequent access may be permanently denied.
(4−2)変形例2
ユーザが利用するWWWクライアント端末30a,30bはパーソナルコンピュータに限らず、無線によるデータ通信が可能な携帯電話機やPDAであってもよい。また、WWWサーバ装置20は、実施形態で述べたように単体のサーバ装置によって構成される必要はなく、複数のサーバ装置群によって構成されていてもよい。例えば、認証に関わる機能を担うサーバ装置と、HTMLファイルの提供サービスに関わる機能を担うサーバ装置とを別々に構成し、これらのサーバ装置同士が連携することで上記実施形態のWWWサーバ装置と同等の機能を実現しても良い。
(4-2)
The
(4−3)変形例3
実施形態では認証情報としてユーザID及びパスワードを例示したが、認証情報はユーザ認証時にその認証の根拠となる情報であればどのようなものでもよい。また、ユーザID及びパスワードというように2つの情報を組み合わせに限らず、3つ以上であってもよいし、1つのみであってもよい。また、実施形態では、HTMLによって記述されたデータを例示して説明したが、これに限らず、情報の記述言語はどのようなものであってもよく、例えばXHTML(Extensible-HTML)や、HDML(Handheld Device Markup Language)や、WML(Wireless Markup Language)や、XML(Extensible Markup Language)であってもよい。
(4-3) Modification 3
In the embodiment, the user ID and the password are exemplified as the authentication information. However, the authentication information may be any information as long as it is the basis of the authentication at the time of user authentication. Further, the two pieces of information such as the user ID and the password are not limited to a combination, and may be three or more, or only one. In the embodiment, data described in HTML has been described as an example. However, the present invention is not limited thereto, and any description language of information may be used. For example, XHTML (Extensible-HTML), HDML (Handheld Device Markup Language), WML (Wireless Markup Language), or XML (Extensible Markup Language) may be used.
(4−4)変形例4
実施形態では、WWWクライアント端末とWWWサーバ装置による動作例を例示して説明したが、本発明の認証処理はこのような態様に限定されるものではなく、通常のコンピュータの機能を有する装置であればよい。
(4-4) Modification 4
In the embodiment, the operation example by the WWW client terminal and the WWW server apparatus has been described as an example. However, the authentication process of the present invention is not limited to such an aspect, and may be an apparatus having a normal computer function. That's fine.
(4−5)変形例5
また、実施形態においては、ユーザはクライアント装置を操作して認証情報を入力すると説明されたが、本発明はネットワークを介さないコンピュータ単体のアクセス制御に応用することも可能である。これは例えば、ユーザがサーバ装置を操作して認証情報を入力するような態様である。このとき、サーバ装置はクライアント装置ではなく、自機に対して応答を返すようにすればよい。このようにすれば、本発明の認証方法をスタンドアローン型のコンピュータに対しても適用することが可能となる。また、本発明は住居の電子ロック等の認証装置にも適用することができる。
(4-5) Modification 5
In the embodiment, it is described that the user inputs the authentication information by operating the client device. However, the present invention can also be applied to access control of a single computer not via a network. This is, for example, a mode in which the user inputs authentication information by operating the server device. At this time, the server device may return a response to itself rather than the client device. In this way, the authentication method of the present invention can be applied to a stand-alone computer. The present invention can also be applied to an authentication device such as an electronic lock for a residence.
(4−6)変形例6
実施形態においては、認証エラーの通知先として携帯電話機を例示し、通知方法として電子メールと電話を例示したが、これらに限らず、通知先をパーソナルコンピュータや固定電話機或いはポケットベル(登録商標)等のページャ等にしてもよいし、通知方法としてSMS(Short Message Service)等の方法を用いてもよい。
(4-6) Modification 6
In the embodiment, the mobile phone is exemplified as the notification destination of the authentication error, and the e-mail and the telephone are illustrated as the notification method. However, the notification destination is not limited thereto, and the notification destination is a personal computer, a fixed phone, a pager (registered trademark), or the like. Or a notification method such as SMS (Short Message Service) may be used.
(4−7)変形例7
上述したWWWサーバ装置20の制御部201によって実行されるプログラムは、磁気テープ、磁気ディスク、フロッピー(登録商標)ディスク、光記録媒体、光磁気記録媒体、CD(Compact Disk)−ROM、DVD(Digital Versatile Disk)、RAMなどの記録媒体に記録した状態で提供し得る。
(4-7) Modification 7
The programs executed by the
1・・・移動通信網、2・・・インターネット、20・・・WWWサーバ装置、201・・・制御部、202・・・通信部、203・・・不揮発性記憶部、30a,30b・・・WWWクライアント装置、40・・・携帯電話機。 DESCRIPTION OF SYMBOLS 1 ... Mobile communication network, 2 ... Internet, 20 ... WWW server apparatus, 201 ... Control part, 202 ... Communication part, 203 ... Nonvolatile memory | storage part, 30a, 30b ... -WWW client device, 40 ... mobile phone.
Claims (10)
通信装置に入力された認証情報を該通信装置から受信する受信手段と、
前記受信手段により受信された認証情報が前記記憶手段によって記憶されているか否かを判断する認証手段と、
前記受信された認証情報が前記記憶手段により記憶されていないと判断された場合には、ある時間が経過するまで待機した後に、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するアクセス制御手段と
を備える認証装置。 Storage means for storing authentication information determined for each user;
Receiving means for receiving authentication information input to the communication device from the communication device;
Authentication means for determining whether the authentication information received by the receiving means is stored by the storage means;
If it is determined that the received authentication information is not stored by the storage unit, response information indicating that access from the communication device is not permitted is displayed after waiting until a certain period of time has elapsed. An authentication device comprising: an access control means for transmitting to the device.
通信装置に入力された認証情報を該通信装置から受信する受信手段と、
前記受信手段により受信された認証情報が前記記憶手段によって記憶されているか否かを判断する認証手段と、
前記受信された認証情報が前記記憶手段により記憶されていると判断された場合には、前記通信装置からのアクセスを許可するアクセス許可手段と、
前記受信された認証情報が前記記憶手段により記憶されていないと判断された回数を前記ユーザ毎に記憶するエラー回数記憶手段と、
前記エラー回数記憶手段によって記憶されている回数に応じて待機時間を決定する待機時間決定手段と、
前記受信された認証情報が前記記憶手段により記憶されていないと判断された時からの経過時間を計測する計時手段と、
前記認証手段によって前記認証情報が前記記憶手段により記憶されていないと判断された場合には、前記計時手段によって計測される経過時間が前記決定手段によって決定された待機時間を超えるまで待機し、該経過時間が該待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するアクセス拒否手段と
を備える認証装置。 Storage means for storing authentication information determined for each user;
Receiving means for receiving authentication information input to the communication device from the communication device;
Authentication means for determining whether the authentication information received by the receiving means is stored by the storage means;
If it is determined that the received authentication information is stored by the storage means, an access permission means for permitting access from the communication device;
Error number storage means for storing, for each user, the number of times that the received authentication information is determined not to be stored by the storage means;
Standby time determining means for determining a standby time according to the number of times stored by the error number storage means;
Time measuring means for measuring an elapsed time from when it is determined that the received authentication information is not stored by the storage means;
If the authentication means determines that the authentication information is not stored in the storage means, the process waits until the elapsed time measured by the time measuring means exceeds the standby time determined by the determination means, An authentication apparatus comprising: an access refusing unit that transmits a response message for prompting the user to input the authentication information to the communication apparatus again when the elapsed time exceeds the standby time.
通信装置に入力された認証情報を該通信装置から受信するステップと、
受信された認証情報が予め記憶されている内容と一致するか否かを判断するステップと、
前記認証情報が予め記憶されている内容と一致しないと判断された場合には、ある時間が経過するまで待機するステップと、
前記ある時間が経過すると、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するステップと
を備える認証方法。 The authentication device
Receiving authentication information input to the communication device from the communication device;
Determining whether the received authentication information matches the content stored in advance;
If it is determined that the authentication information does not match the content stored in advance, a step of waiting until a certain period of time elapses;
And a step of transmitting response information indicating that access from the communication device is not permitted to the communication device when the certain time has elapsed.
通信装置に入力された認証情報を該通信装置から受信するステップと、
受信された認証情報が予め記憶されている内容と一致するか否かを判断するステップと、
前記認証情報が予め記憶されている内容と一致しないと判断された回数に応じて待機時間を決定するステップと、
前記認証情報が予め記憶されている内容と一致しないと判断された場合に、経過時間の計測を開始するステップと、
計測される前記経過時間が決定された前記待機時間を超えるまで待機するステップと、
計測される時間が前記待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するステップと
を備える認証方法。 The authentication device
Receiving authentication information input to the communication device from the communication device;
Determining whether the received authentication information matches the content stored in advance;
Determining a waiting time according to the number of times it is determined that the authentication information does not match the content stored in advance;
Starting the measurement of elapsed time when it is determined that the authentication information does not match the content stored in advance;
Waiting until the elapsed time to be measured exceeds the determined waiting time;
And transmitting a response message for prompting the user to input the authentication information to the communication device again when the measured time exceeds the waiting time.
各々のユーザ毎に決められた認証情報を記憶する記憶機能と、
通信装置から受信した認証情報が前記記憶機能によって記憶されているか否かを判断する認証機能と、
前記認証情報が前記記憶機能により記憶されていないと判断された場合には、ある時間が経過するまで待機した後に、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するための処理を行うアクセス制御機能と
を実現させるためのプログラム。 On the computer,
A storage function for storing authentication information determined for each user;
An authentication function for determining whether authentication information received from a communication device is stored by the storage function;
If it is determined that the authentication information is not stored by the storage function, response information indicating that access from the communication device is not permitted is transmitted to the communication device after waiting for a certain period of time. A program for realizing an access control function that performs processing for
各々のユーザ毎に決められた認証情報を記憶する記憶機能と、
通信装置から受信した認証情報が前記記憶機能によって記憶されているか否かを判断する認証機能と、
前記認証情報が前記記憶機能により記憶されていると判断された場合には、前記通信装置からのアクセスを許可するアクセス許可機能と、
前記認証情報が前記記憶機能により記憶されていないと判断された回数を前記ユーザ毎に記憶するエラー回数記憶機能と、
前記エラー回数記憶機能によって記憶されている回数に応じて待機時間を決定する待機時間決定機能と、
前記認証情報が前記記憶機能により記憶されていないと判断された時からの経過時間を計測する計時機能と、
前記認証情報が前記記憶機能により記憶されていないと判断された場合には、前記計時機能によって計測される経過時間が前記決定機能によって決定された待機時間を超えるまで待機し、前記経過時間が前記待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するための処理を行うアクセス拒否機能と
を実現させるためのプログラム。 On the computer,
A storage function for storing authentication information determined for each user;
An authentication function for determining whether authentication information received from a communication device is stored by the storage function;
If it is determined that the authentication information is stored by the storage function, an access permission function for permitting access from the communication device;
An error count storage function for storing, for each user, the number of times that the authentication information is determined not to be stored by the storage function;
A standby time determination function for determining a standby time according to the number of times stored by the error count storage function;
A timekeeping function for measuring an elapsed time since it was determined that the authentication information is not stored by the storage function;
If it is determined that the authentication information is not stored by the storage function, the process waits until the elapsed time measured by the time measurement function exceeds the standby time determined by the determination function, and the elapsed time is A program for realizing an access denial function for performing processing for transmitting a response message to the user to prompt the user to input the authentication information to the communication device again when the waiting time is exceeded.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004130179A JP2005310069A (en) | 2004-04-26 | 2004-04-26 | Authentication device, method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004130179A JP2005310069A (en) | 2004-04-26 | 2004-04-26 | Authentication device, method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005310069A true JP2005310069A (en) | 2005-11-04 |
Family
ID=35438727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004130179A Pending JP2005310069A (en) | 2004-04-26 | 2004-04-26 | Authentication device, method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005310069A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006185389A (en) * | 2004-12-28 | 2006-07-13 | Sony Corp | Communication equipment and method, and program |
JP2007249589A (en) * | 2006-03-15 | 2007-09-27 | Omron Corp | Authentication device, authentication method, authentication program and computer-readable recording medium |
JP2009037371A (en) * | 2007-08-01 | 2009-02-19 | Taito Corp | Unauthorized input prevention system |
JP2010152506A (en) * | 2008-12-24 | 2010-07-08 | Hitachi Omron Terminal Solutions Corp | User authentication terminal, authentication system, user authentication method, and user authentication program |
JP2013206357A (en) * | 2012-03-29 | 2013-10-07 | Toshiba It Service Kk | Portable information terminal and authentication program |
JP2013229015A (en) * | 2012-03-29 | 2013-11-07 | Toshiba It Service Kk | Behavior management system and behavior management program |
-
2004
- 2004-04-26 JP JP2004130179A patent/JP2005310069A/en active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006185389A (en) * | 2004-12-28 | 2006-07-13 | Sony Corp | Communication equipment and method, and program |
JP2007249589A (en) * | 2006-03-15 | 2007-09-27 | Omron Corp | Authentication device, authentication method, authentication program and computer-readable recording medium |
US8065528B2 (en) | 2006-03-15 | 2011-11-22 | Omron Corporation | Authentication device, authentication method, authentication program and computer readable recording medium |
JP2009037371A (en) * | 2007-08-01 | 2009-02-19 | Taito Corp | Unauthorized input prevention system |
JP2010152506A (en) * | 2008-12-24 | 2010-07-08 | Hitachi Omron Terminal Solutions Corp | User authentication terminal, authentication system, user authentication method, and user authentication program |
JP2013206357A (en) * | 2012-03-29 | 2013-10-07 | Toshiba It Service Kk | Portable information terminal and authentication program |
JP2013229015A (en) * | 2012-03-29 | 2013-11-07 | Toshiba It Service Kk | Behavior management system and behavior management program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101019458B1 (en) | Extended onetime password method and apparatus | |
JP5719871B2 (en) | Method and apparatus for preventing phishing attacks | |
US8707408B2 (en) | Secure authentication systems and methods | |
EP2166697B1 (en) | Method and system for authenticating a user by means of a mobile device | |
US8869238B2 (en) | Authentication using a turing test to block automated attacks | |
US20130139238A1 (en) | Method and System For Authenticating User Access To A Restricted Resource Across A Computer Network | |
US20050021982A1 (en) | Hybrid authentication | |
JP4960738B2 (en) | Authentication system, authentication method, and authentication program | |
US20090216795A1 (en) | System and method for detecting and blocking phishing attacks | |
US20100291899A1 (en) | Method and system for delivering a command to a mobile device | |
JP2004240637A (en) | Password authentication system | |
WO2013043035A1 (en) | Method of controlling access to an internet-based application | |
GB2379040A (en) | Controlling user access to a remote service by sending a one-time password to a portable device after normal login | |
Aravindhan et al. | One time password: A survey | |
US20070056024A1 (en) | Method for remote server login | |
RU2730386C2 (en) | Authentication and encryption system and method with interception protection | |
JP2002251375A (en) | User authentication server in communication network, individual authentication method and program | |
JP2005310069A (en) | Authentication device, method, and program | |
Zhan et al. | Authentication using multi-level social networks | |
Tang et al. | Distributed PIN verification scheme for improving security of mobile devices | |
JP6325654B2 (en) | Network service providing apparatus, network service providing method, and program | |
JP2004240806A (en) | Individual authentication system using portable telephone connectable to internet, and method therefor | |
KR20130055116A (en) | Authentification method and server | |
KR101212510B1 (en) | System and method for service security based on location | |
JP7403430B2 (en) | Authentication device, authentication method and authentication program |