JP2005310069A - Authentication device, method, and program - Google Patents

Authentication device, method, and program Download PDF

Info

Publication number
JP2005310069A
JP2005310069A JP2004130179A JP2004130179A JP2005310069A JP 2005310069 A JP2005310069 A JP 2005310069A JP 2004130179 A JP2004130179 A JP 2004130179A JP 2004130179 A JP2004130179 A JP 2004130179A JP 2005310069 A JP2005310069 A JP 2005310069A
Authority
JP
Japan
Prior art keywords
authentication
authentication information
time
communication device
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004130179A
Other languages
Japanese (ja)
Inventor
Koshiro Inomata
浩司郎 猪股
Katsuya Mitsutake
克也 光武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2004130179A priority Critical patent/JP2005310069A/en
Publication of JP2005310069A publication Critical patent/JP2005310069A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent stealing of authentication information such as a password by a fraudulent act such as brute force attack. <P>SOLUTION: A WWW server device 20 determines a standby time on the basis of the number of authentication errors. For example, when the number of authentication errors is X, the standby time will be 5<SP>x</SP>(seconds). When the standby time is determined, the WWW server device 20 starts count of elapsed time, and after the standby time has passed, an authentication image plane described with a response message prompting input of the authentication information again is sent to WWW client devices 30a and 30b. By purposely taking time in response processing when there is an authentication error, notification that there is an authentication error is intentionally delayed with respect to a person having input the authentication information. By doing so, since a third party will require a considerably longer time than conventional until the authentication information is found, an act of the third party trying to steal the authentication information can be suppressed. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明はユーザを認証するための技術に関する。   The present invention relates to a technique for authenticating a user.

ユーザがコンピュータ或いはネットワークのリソースにアクセスしようとする際には、そのユーザが正当であるか否かを確認する手続きがなされることが多い。この手続きは「ユーザ認証」と呼ばれており、一般的には、ユーザによって入力されたユーザID及びパスワードを事前に登録されている内容と照合し、両者が一致するか否かでユーザの正当性を判断する。以下では、これらユーザID及びパスワードのようなユーザ認証に必要な情報を「認証情報」と総称する。   When a user tries to access a computer or network resource, a procedure for confirming whether the user is valid is often performed. This procedure is called “user authentication”. In general, the user ID and password entered by the user are checked against the pre-registered contents, and the user's legitimacy is determined by whether or not they match. Judging sex. Hereinafter, information necessary for user authentication, such as the user ID and password, is collectively referred to as “authentication information”.

ところが、不特定多数のユーザからのアクセスを許容するインターネットのようなネットワーク環境においては、このような認証手法は必ずしも安全・確実であるとは言えない。なぜなら、悪意のある第3者が、適当に定めた膨大な数の認証情報を用いて何千回何万回ものアクセスを試み、そのアクセスが認められたときの認証情報を特定していくようにすれば、実在する認証情報を大量に盗み出すことができるからである。このような不正行為は「総当たり攻撃」などと呼ばれている。最近ではこの総当たり攻撃によって盗まれた認証情報を用いてあたかも正当なユーザであるかのように振る舞うという、いわゆる「なりすまし」の被害が後を絶たない。   However, in a network environment such as the Internet that allows access from an unspecified number of users, such an authentication method is not necessarily safe and reliable. This is because a malicious third party attempts to access tens of thousands of times using a suitably large number of authentication information and specifies the authentication information when the access is granted. This is because a large amount of real authentication information can be stolen. Such cheating is called “brute force attack”. Recently, there is no end to the so-called “spoofing” damage that behaves as if it is a legitimate user using authentication information stolen by this brute force attack.

このような「なりすまし」の脅威に対し、例えば、1回のユーザ認証プロセスにおいて3回連続して間違った認証情報を入力すると、それ以降の一定期間に限りアクセスを拒否する、といった対策が採られている。しかし、その一定期間が経過した後には、再度同じような不正アクセスを試みることが可能であるから、いずれは認証情報が盗まれてしまう虞がある。もちろん、認証情報が盗まれないことを最重要視するのであれば、3回連続して認証情報が間違っていた場合、正当なユーザからの正式な申し出がない限り、それ以降の一切のアクセスを永久に拒否するようにすればよい。しかし、正当なユーザが自身の認証情報を忘れてしまうケースも少なくないから、必要以上にセキュリティのレベルを高くすると、ユーザにとっては使い勝手が悪くなってしまう。   For such “spoofing” threats, for example, if wrong authentication information is entered three times in a single user authentication process, access is denied for a certain period thereafter. ing. However, since the same unauthorized access can be attempted again after a certain period of time has passed, there is a risk that the authentication information will be stolen. Of course, if the most important thing is that authentication information is not stolen, if the authentication information is wrong three times in a row, all subsequent access will be allowed unless there is a formal offer from a legitimate user. You just have to refuse it forever. However, since there are many cases where a legitimate user forgets his / her authentication information, if the security level is increased more than necessary, the user's usability becomes worse.

また別の対策として、例えば特許文献1には、ユーザ認証を経てアクセスが認められると、直ちにそのアクセスがあった旨を予め登録されているユーザ端末に通知することが提案されている。これにより、もし第3者が不正なアクセスに成功した場合であっても、そのアクセスの事実を直ちに正当なユーザに通知することができる。この特許文献1に記載された技術は、不正アクセスの事実を正当なユーザに通知することによって、そのユーザが適切な対応をとることを期待するものであるが、不正なアクセスそのものを防止することは難しい。なぜなら、ユーザから見れば不正アクセスの事実を通知されたからといって、瞬時にそのアクセスを中断させるとか、不正アクセスを行う第3者の正体を突きとめるための術がないからである。   As another countermeasure, for example, Patent Document 1 proposes that when access is permitted through user authentication, the user terminal registered in advance is notified immediately of the access. Thereby, even if the third party succeeds in unauthorized access, the fact of the access can be immediately notified to a legitimate user. The technology described in Patent Document 1 is intended to notify an authorized user of the fact of unauthorized access, so that the user can take an appropriate action, but prevents unauthorized access itself. Is difficult. This is because, from the viewpoint of the user, there is no way to interrupt the access instantly or to identify the identity of a third party performing unauthorized access just because the fact of unauthorized access is notified.

特開2002−91917号公報JP 2002-91917 A

本発明はこのような事情に鑑みてなされたものであり、その目的は、総当たり攻撃等の不正行為によってパスワード等の認証情報が盗み出されることを極力防止することにある。   The present invention has been made in view of such circumstances, and an object of the present invention is to prevent authentication information such as a password from being stolen as much as possible by an illegal act such as a brute force attack.

上記課題を達成するために、本発明は、各々のユーザ毎に決められた認証情報を記憶する記憶手段と、通信装置に入力された認証情報を該通信装置から受信する受信手段と、前記受信手段により受信された認証情報が前記記憶手段によって記憶されているか否かを判断する認証手段と、前記受信された認証情報が前記記憶手段により記憶されていないと判断された場合には、ある時間が経過するまで待機した後に、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するアクセス制御手段とを備える認証装置を提供する。   In order to achieve the above object, the present invention provides a storage means for storing authentication information determined for each user, a receiving means for receiving authentication information input to the communication apparatus from the communication apparatus, and the reception Authentication means for determining whether or not the authentication information received by the storage means is stored in the storage means, and when it is determined that the received authentication information is not stored in the storage means for a certain period of time. An authentication device is provided comprising access control means for transmitting to the communication device response information indicating that access from the communication device is not permitted after waiting until the time elapses.

この認証装置によれば、認証手段が記憶手段に認証情報が記憶されていないと判断した場合には、アクセス制御手段がある時間が経過するまで待機した後に、通信装置からのアクセスを許可しないことを表す応答情報をその通信装置に送信する。即ち、通信端末に認証情報を入力する者から見れば、認証情報が間違っていて認証に失敗したという事実がある時間だけ待たないと分からないことになる。第3者が例えば総当たり攻撃によって認証情報を盗み出す際には認証エラーを数多く繰り返すはずであるから、認証情報を盗み出すまでに従来に比べて相当多くの時間が必要となる。このように本発明においては、認証エラーの場合の応答に意図的に時間をかけることで、認証情報を盗み出そうとする第3者の行為を抑制する。なお、本発明における「アクセス」とは、情報の要求や取得のほか、FAX指示や印刷指示のような各種指示を含む概念である。   According to this authentication apparatus, when the authentication means determines that the authentication information is not stored in the storage means, the access control means waits for a certain period of time and then does not permit access from the communication apparatus. Is transmitted to the communication device. That is, from the viewpoint of a person who inputs authentication information to the communication terminal, the fact that the authentication information is wrong and the authentication has failed cannot be known without waiting for a certain time. When a third party steals authentication information by, for example, a brute force attack, authentication errors should be repeated many times. Therefore, it takes much more time than before to steal authentication information. Thus, in this invention, the action of the 3rd party who tries to steal authentication information is suppressed by deliberately taking time for the response in the case of an authentication error. Note that “access” in the present invention is a concept including various instructions such as a FAX instruction and a print instruction in addition to requesting and obtaining information.

また、本発明は、各々のユーザ毎に決められた認証情報を記憶する記憶手段と、通信装置に入力された認証情報を該通信装置から受信する受信手段と、前記受信手段により受信された認証情報が前記記憶手段によって記憶されているか否かを判断する認証手段と、前記受信された認証情報が前記記憶手段により記憶されていると判断された場合には、前記通信装置からのアクセスを許可するアクセス許可手段と、前記受信された認証情報が前記記憶手段により記憶されていないと判断された回数を前記ユーザ毎に記憶するエラー回数記憶手段と、前記エラー回数記憶手段によって記憶されている回数に応じて待機時間を決定する待機時間決定手段と、前記受信された認証情報が前記記憶手段により記憶されていないと判断された時からの経過時間を計測する計時手段と、前記認証手段によって前記認証情報が前記記憶手段により記憶されていないと判断された場合には、前記計時手段によって計測される経過時間が前記決定手段によって決定された待機時間を超えるまで待機し、該経過時間が該待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するアクセス拒否手段とを備える認証装置を提供する。   The present invention also provides a storage means for storing authentication information determined for each user, a receiving means for receiving authentication information input to the communication apparatus from the communication apparatus, and an authentication received by the receiving means. An authentication unit that determines whether or not information is stored in the storage unit; and if it is determined that the received authentication information is stored in the storage unit, access from the communication device is permitted. Access permission means, error count storage means for storing for each user the number of times that the received authentication information is determined not to be stored by the storage means, and the number of times stored by the error count storage means A waiting time determining means for determining a waiting time according to the information, and a lapse from a time when it is determined that the received authentication information is not stored in the storage means. A time measuring means for measuring the interval, and when the authentication means determines that the authentication information is not stored in the storage means, the elapsed time measured by the time measuring means is determined by the determining means. An access refusal means for transmitting a response message to the communication device to prompt the user to input the authentication information again to the communication device when the elapsed time exceeds the standby time. An authentication device is provided.

この認証装置によれば、認証手段が記憶手段によって認証情報が記憶されていると判断した場合には、アクセス許可手段が通信装置からのアクセスを許容する一方、認証手段が記憶手段によって認証情報が記憶されていないと判断した場合には、アクセス拒否手段が決められた待機時間が経過するまで待機した後に、認証情報を通信装置に再度入力することをユーザに促すための応答メッセージをその通信装置に送信する。即ち、通信端末に認証情報を入力する者から見れば、認証情報が間違っていて認証に成功した場合にはそのままアクセスが認められる。一方、認証情報が間違っていて認証に失敗した場合にはその認証エラーの事実が待機時間分だけ遅れて分かることになる。よって、正しい認証情報を入力したユーザに対しては特段の不利益を与えない一方で、不正な第3者が総当たり攻撃等によって認証情報を盗み出そうとした場合には、従来に比べて相当多くの時間を要してしまうことになる。このように本発明においては、認証エラーの場合の応答に意図的に時間をかけることで、認証情報を盗み出そうとする第3者の行為を抑制する。   According to this authentication apparatus, when the authentication unit determines that the authentication information is stored in the storage unit, the access permission unit permits access from the communication device, while the authentication unit stores the authentication information in the storage unit. If it is determined that the information is not stored, the communication device displays a response message for prompting the user to input the authentication information again to the communication device after the access refusal means waits until the predetermined waiting time elapses. Send to. That is, from the viewpoint of the person who inputs the authentication information to the communication terminal, if the authentication information is wrong and the authentication is successful, access is permitted as it is. On the other hand, if the authentication information is wrong and the authentication fails, the fact of the authentication error is delayed by the waiting time. Therefore, there is no particular disadvantage for the user who entered correct authentication information, but when an unauthorized third party tries to steal authentication information by a brute force attack, etc. It will take a lot of time. Thus, in this invention, the action of the 3rd party who tries to steal authentication information is suppressed by deliberately taking time for the response in the case of an authentication error.

本発明の好ましい態様においては、前記待機時間決定手段は、前記エラー回数記憶手段によって記憶されている回数に応じて増加するような待機時間を算出することによって該待機時間を決定する。認証に失敗した回数が多いほど不正なアクセスである可能性が高いから、エラー回数記憶手段によって記憶されている回数に応じて待機時間を増加させるようにすれば、認証情報を盗み出そうとする第3者の行為を抑制するには効果的である。   In a preferred aspect of the present invention, the waiting time determining means determines the waiting time by calculating a waiting time that increases according to the number of times stored in the error number storage means. As the number of authentication failures increases, the possibility of unauthorized access increases. Therefore, if the waiting time is increased according to the number of times stored in the error number storage means, the authentication information will be stolen. It is effective in suppressing the actions of third parties.

また、前記待機時間決定手段は、前記エラー回数記憶手段によって記憶されている回数に応じて指数関数的に増加するような待機時間を算出することによって該待機時間を決定するようにしてもよい。このようにすれば、認証情報を盗み出そうとする第3者の行為を抑制する効果が非常に大きくなるので望ましい。   Further, the waiting time determining means may determine the waiting time by calculating a waiting time that increases exponentially according to the number of times stored in the error number storage means. This is desirable because the effect of suppressing the action of a third party trying to steal authentication information becomes very large.

また、前記アクセス拒否手段によって前記経過時間が前記待機時間を超えるまで待機している間に、第2の通信装置に対して、認証エラーに関連する内容のメッセージを送信するエラー通知手段を備えるようにしてもよい。このようにすれば、もし第3者が不正なアクセスを試みようとしていると仮定すると、認証に失敗していることを第2の通信装置のユーザに通知することができる。この通知に応じて、ユーザは待機時間が経過するまでの間に適切な対応を採ることも可能である。なお、前記第2の通信装置がユーザが常に携帯し得る可搬性の通信装置であることが望ましい。   In addition, an error notification unit that transmits a message having a content related to the authentication error to the second communication device while waiting for the elapsed time to exceed the standby time by the access rejection unit. It may be. In this way, if it is assumed that a third party tries to make an unauthorized access, the user of the second communication device can be notified that the authentication has failed. In response to this notification, the user can take an appropriate response until the standby time elapses. It is desirable that the second communication device is a portable communication device that can always be carried by the user.

また、本発明は、認証装置が、通信装置に入力された認証情報を該通信装置から受信するステップと、受信された認証情報が予め記憶されている内容と一致するか否かを判断するステップと、前記認証情報が予め記憶されている内容と一致しないと判断された場合には、ある時間が経過するまで待機するステップと、前記ある時間が経過すると、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するステップと
を備える認証方法を提供する。 In the present invention, the authentication device receives authentication information input to the communication device from the communication device, and determines whether the received authentication information matches the content stored in advance. And when it is determined that the authentication information does not match the content stored in advance, a step of waiting until a certain time elapses and an access from the communication device is not permitted after the certain time elapses An authentication method comprising the step of transmitting response information indicating that to the communication device.

また、本発明は、認証装置が、通信装置に入力された認証情報を該通信装置から受信するステップと、受信された認証情報が予め記憶されている内容と一致するか否かを判断するステップと、前記認証情報が予め記憶されている内容と一致しないと判断された回数に応じて待機時間を決定するステップと、前記認証情報が予め記憶されている内容と一致しないと判断された場合に、経過時間の計測を開始するステップと、計測される前記経過時間が決定された前記待機時間を超えるまで待機するステップと、計測される時間が前記待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するステップとを備える認証方法を提供する。   In the present invention, the authentication device receives authentication information input to the communication device from the communication device, and determines whether the received authentication information matches the content stored in advance. Determining a waiting time according to the number of times that the authentication information is determined not to match the content stored in advance, and when determining that the authentication information does not match the content stored in advance Starting the measurement of elapsed time, waiting until the measured elapsed time exceeds the determined standby time, and when the measured time exceeds the standby time, the authentication information is sent to the communication And transmitting a response message to the communication device to prompt the user to input again to the device.

また、本発明は、コンピュータに、各々のユーザ毎に決められた認証情報を記憶する記憶機能と、通信装置から受信した認証情報が前記記憶機能によって記憶されているか否かを判断する認証機能と、前記認証情報が前記記憶機能により記憶されていないと判断された場合には、ある時間が経過するまで待機した後に、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するための処理を行うアクセス制御機能とを実現させるためのプログラムを提供する。   The present invention also provides a storage function for storing authentication information determined for each user in a computer, and an authentication function for determining whether authentication information received from a communication device is stored by the storage function. When it is determined that the authentication information is not stored by the storage function, after waiting until a certain time elapses, response information indicating that access from the communication device is not permitted is sent to the communication device. A program for realizing an access control function for performing processing for transmission is provided.

また、本発明は、コンピュータに、各々のユーザ毎に決められた認証情報を記憶する記憶機能と、通信装置から受信した認証情報が前記記憶機能によって記憶されているか否かを判断する認証機能と、前記認証情報が前記記憶機能により記憶されていると判断された場合には、前記通信装置からのアクセスを許可するアクセス許可機能と、前記認証情報が前記記憶機能により記憶されていないと判断された回数を前記ユーザ毎に記憶するエラー回数記憶機能と、前記エラー回数記憶機能によって記憶されている回数に応じて待機時間を決定する待機時間決定機能と、前記認証情報が前記記憶機能により記憶されていないと判断された時からの経過時間を計測する計時機能と、前記認証情報が前記記憶機能により記憶されていないと判断された場合には、前記計時機能によって計測される経過時間が前記決定機能によって決定された待機時間を超えるまで待機し、前記経過時間が前記待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するための処理を行うアクセス拒否機能とを実現させるためのプログラムを提供する。   The present invention also provides a storage function for storing authentication information determined for each user in a computer, and an authentication function for determining whether authentication information received from a communication device is stored by the storage function. When it is determined that the authentication information is stored by the storage function, it is determined that an access permission function for permitting access from the communication device and that the authentication information is not stored by the storage function. The number of errors stored for each user, a waiting time determination function for determining a waiting time according to the number of times stored by the error number storage function, and the authentication information are stored by the storage function. A timekeeping function for measuring the elapsed time from the time when it is determined that the authentication information is not determined, and that the authentication information is determined not to be stored by the storage function If the elapsed time exceeds the standby time determined by the determination function, the authentication information is input to the communication device again when the elapsed time exceeds the standby time. There is provided a program for realizing an access denial function for performing a process for transmitting a response message for prompting the user to do so to the communication device.

ユーザを認証するプロセスにおいては、ユーザが入力したユーザID及びパスワード等の認証情報が予め登録しておいたものと一致した場合には(つまり認証成功の場合には)、直ちにアクセスが認められる。一方、予め登録しておいたものと異なる場合には(つまり認証エラーの場合)、直ちにこれらの認証情報を再度入力することを促す旨の応答メッセージがユーザに通知される。本発明の実施形態においては、第3者が総当たり攻撃によって認証情報を盗み出そうとした場合には認証エラーを数多く繰り返すはずであることに着目し、認証エラーの場合の応答処理に敢えて時間をかけることで、認証情報を入力した者に対して認証エラーの事実を知らせるのを意図的に遅くしている。このようにすれば、第3者が正しい認証情報を突きとめるまでに従来よりも相当多くの時間を要してしまうことになるから、認証情報を盗み出そうとする第3者の行為を抑制することが可能となる。   In the process of authenticating a user, if authentication information such as a user ID and a password input by the user matches that registered in advance (that is, if authentication is successful), access is immediately permitted. On the other hand, if it is different from the one registered in advance (that is, in the case of an authentication error), a response message to prompt the user to input again the authentication information is notified. In the embodiment of the present invention, it is noted that when a third party tries to steal authentication information by a brute force attack, the authentication error should be repeated many times. Is intentionally slowed to inform the person who entered the authentication information of the fact of the authentication error. In this way, it takes much more time than before for the third party to find the correct authentication information, so the act of stealing the authentication information is suppressed. It becomes possible to do.

以下、本発明の実施の形態について詳細に説明する。
(1)構成
図1は、本発明の一実施形態に係るシステムの全体構成を示す図である。図1において、移動通信網1とインターネット2との間は図示せぬゲートウェイ装置によって接続されており、これら移動通信網1とインターネット2との間ではゲートウェイ装置を介して双方向のデータ通信が可能になっている。インターネット2には、図示せぬISDN網(Integrated Services Digital Network)やADSL網(Asymmetric Digital Subscriber Line)或いは専用線などを介してWWW(World Wide Web)サーバ装置20が接続されている。WWWサーバ装置20は、HTML(Hypertext Markup Language)で記述されたファイル形式のデータ(以下、HTMLファイルという)を記憶しており、このHTMLファイルをWWWクライアント装置30a,30bからのリクエストに応じて送信するようになっている。 Hereinafter, embodiments of the present invention will be described in detail.
(1) Configuration FIG. 1 is a diagram showing an overall configuration of a system according to an embodiment of the present invention. In FIG. 1, the mobile communication network 1 and the Internet 2 are connected by a gateway device (not shown), and bidirectional data communication is possible between the mobile communication network 1 and the Internet 2 via the gateway device. It has become. A WWW (World Wide Web) server device 20 is connected to the Internet 2 via an ISDN network (Integrated Services Digital Network), an ADSL network (Asymmetric Digital Subscriber Line), or a dedicated line (not shown). The WWW server device 20 stores data in a file format described in HTML (Hypertext Markup Language) (hereinafter referred to as an HTML file), and transmits this HTML file in response to a request from the WWW client devices 30a and 30b. It is supposed to be.

WWWクライアント装置30a,30bは例えばパーソナルコンピュータ等であり、CPU(Central Processing Unit)やROM(Read Only Memory)、RAM(Random Access Memory)等によって構成される制御部と、HDD(Hard Disk Drive)等の記憶部と、モデムや各種通信装置等の通信部と、液晶ディスプレイ装置等の表示部と、キーボードやマウス等の操作部とを備えている。これらのWWWクライアント装置30a,30bは、図示せぬISDN網やADSL網などを介してインターネット2に接続されている。WWWクライアント装置30a,30bの記憶部にはWWWブラウザプログラムが記憶されている。制御部がこのWWWブラウザプログラムを実行することによって、WWWクライアント装置30a,30bは、WWWサーバ装置20とインターネット2を介してHTTP(Hypertext Transfer Protocol)に従った通信を行い、WWWサーバ装置20によって送信されてくるHTMLファイルを受信すると、その内容を解釈して各種情報を表示部に表示するようになっている。   The WWW client devices 30a and 30b are, for example, personal computers and the like, and include a control unit including a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), an HDD (Hard Disk Drive), and the like. A storage unit, a communication unit such as a modem and various communication devices, a display unit such as a liquid crystal display device, and an operation unit such as a keyboard and a mouse. These WWW client devices 30a and 30b are connected to the Internet 2 via an ISDN network or an ADSL network (not shown). A WWW browser program is stored in the storage units of the WWW client devices 30a and 30b. When the control unit executes the WWW browser program, the WWW client devices 30a and 30b communicate with the WWW server device 20 via the Internet 2 in accordance with HTTP (Hypertext Transfer Protocol) and are transmitted by the WWW server device 20. When the HTML file is received, the contents are interpreted and various information is displayed on the display unit.

移動通信網1は、図示せぬ基地局や交換局によって構成されており、携帯電話機40に対して移動通信サービスを提供する。携帯電話機40は、例えばPDC(Personal Digital Cellular)方式やIMT−2000(International Mobile Telecommunications-2000)方式のデータ通信が可能な携帯電話機や、PHS(Personal Handyphone System;登録商標)方式のデータ通信が可能な簡易携帯電話機である。携帯電話機40は、CPUやROM、RAM等によって構成される制御部と、EEPROM(Electrically Erasable and Programmable Read Only Memory)等の記憶部と、アンテナや無線通信装置等の通信部と、液晶ディスプレイ装置等の表示部と、複数のキーやジョグダイヤル等の操作部とを備えている。EEPROMにはメーラプログラムが記憶されており、携帯電話機40のCPUはこのメーラプログラムを実行することによって電子メールを送受信することができる。   The mobile communication network 1 is composed of a base station and an exchange station (not shown), and provides mobile communication services to the mobile phone 40. The cellular phone 40 is capable of, for example, a cellular phone capable of data communication of PDC (Personal Digital Cellular) method and IMT-2000 (International Mobile Telecommunications-2000) method, and PHS (Personal Handyphone System; registered trademark) method. Simple mobile phone. The mobile phone 40 includes a control unit configured by a CPU, a ROM, a RAM, a storage unit such as an EEPROM (Electrically Erasable and Programmable Read Only Memory), a communication unit such as an antenna and a wireless communication device, a liquid crystal display device, and the like Display section and an operation section such as a plurality of keys and a jog dial. A mailer program is stored in the EEPROM, and the CPU of the mobile phone 40 can send and receive e-mails by executing this mailer program.

図1においては、ユーザAがWWWクライアント装置30a及び携帯電話機40を操作するものとし、ユーザBがWWWクライアント装置30bを操作するものとする。なお、図1においては図面が繁雑になるのを避けるために、WWWサーバ装置、携帯電話機およびWWWクライアント装置をそれぞれ1つ乃至2つしか図示していないが、これらは実際にはもっと多数存在する。   In FIG. 1, it is assumed that the user A operates the WWW client device 30a and the mobile phone 40, and the user B operates the WWW client device 30b. In FIG. 1, only one or two WWW server devices, mobile phones, and WWW client devices are shown in order to avoid the complexity of the drawing, but there are actually many more. .

次に、図2に示すブロック図を参照しながら、WWWサーバ装置20の構成について説明する。図2に示すように、WWWサーバ装置20は、制御部201と、通信部202と、不揮発性記憶部203とを備えている。制御部201は、例えばCPUなど演算装置や、ROMやRAMなどの各種メモリを備えている。制御部201の演算装置は、ROM等のメモリや不揮発性記憶部203に記憶されているコンピュータプログラムを読み出して実行することにより、WWWサーバ装置20の各部を制御する。通信部202は、インターネット2に接続するためのモデムや各種通信装置を備えており、制御部201による制御の下でインターネット2を介してデータ通信を行うようになっている。   Next, the configuration of the WWW server apparatus 20 will be described with reference to the block diagram shown in FIG. As shown in FIG. 2, the WWW server device 20 includes a control unit 201, a communication unit 202, and a nonvolatile storage unit 203. The control unit 201 includes an arithmetic device such as a CPU and various memories such as a ROM and a RAM. The arithmetic unit of the control unit 201 controls each unit of the WWW server device 20 by reading and executing a computer program stored in a memory such as a ROM or the non-volatile storage unit 203. The communication unit 202 includes a modem for connecting to the Internet 2 and various communication devices, and performs data communication via the Internet 2 under the control of the control unit 201.

不揮発性記憶部203は、例えばハードディスクなどの大容量記憶装置である。この不揮発性記憶部203には、WWWサーバとして機能するための手順が記述されたWWWサーバアプリケーションプログラム203aが記憶されている。WWWサーバアプリケーションプログラム203aには、WWWクライアント装置30a,30bのユーザを認証するための手順が記述されたCGI(Common Gateway interface)プログラムが含まれている。以下ではこのCGIプログラムを「認証CGIプログラム」という。また、不揮発性記憶部203には、WWWクライアント装置30a,30bに提供される多数のHTMLファイル群203cが記憶されている。HTMLファイル群203cに含まれる各々のHTMLファイルはそれぞれハイパーリンクによって階層的に関連づけられており、WWWクライアント装置30a,30bのユーザがこれらHTMLファイルのハイパーリンクを1つずつ辿っていくことによって、WWWクライアント装置30a,30bはWWWサーバ装置20からHTMLファイルを1つずつ取得して表示部に表示することができるようになっている。   The nonvolatile storage unit 203 is a mass storage device such as a hard disk. The nonvolatile storage unit 203 stores a WWW server application program 203a in which a procedure for functioning as a WWW server is described. The WWW server application program 203a includes a CGI (Common Gateway interface) program in which a procedure for authenticating the users of the WWW client devices 30a and 30b is described. Hereinafter, this CGI program is referred to as an “authentication CGI program”. The nonvolatile storage unit 203 stores a large number of HTML file groups 203c provided to the WWW client devices 30a and 30b. Each HTML file included in the HTML file group 203c is hierarchically related by a hyperlink, and the users of the WWW client devices 30a and 30b follow the hyperlinks of these HTML files one by one, thereby causing the WWW The client devices 30a and 30b can acquire the HTML files one by one from the WWW server device 20 and display them on the display unit.

さらに、不揮発性記憶部203には、制御部201が認証CGIプログラムを実行する際に利用する情報が記述された認証テーブル203bが記憶されている。
ここで、図3は、認証テーブル203bに記述された内容の一例を示す図である。図3に示すように、認証テーブル203bには、「ユーザID」、「パスワード」、「認証エラー回数」、「通知先アドレス」及び「通知方法」の各項目が互いに関連づけられている。これらの項目のうち、「ユーザID」はWWWクライアント装置30a,30bのユーザに対して予め割り当てられた識別子を意味している。「パスワード」はWWWクライアント装置30a,30bのユーザ或いはWWWサーバ装置20の管理者が予め指定したパスワードである。制御部201は、認証テーブル203bに予め記述されている「ユーザID」及び「パスワード」と、ユーザによってWWWクライアント装置30a,30bに入力された「ユーザID」及び「パスワード」とを照合し、両者が一致していれば正当なユーザであると判断するし、一致しなければ正当なユーザではないと判断する。なお、以下の説明においては、必要に応じて、ユーザID及びパスワードを「認証情報」と総称する。 Further, the non-volatile storage unit 203 stores an authentication table 203b in which information used when the control unit 201 executes the authentication CGI program is described.
Here, FIG. 3 is a diagram illustrating an example of contents described in the authentication table 203b. As shown in FIG. 3, in the authentication table 203b, items of “user ID”, “password”, “number of authentication errors”, “notification destination address”, and “notification method” are associated with each other. Among these items, “user ID” means an identifier assigned in advance to the users of the WWW client devices 30a and 30b. The “password” is a password designated in advance by the user of the WWW client devices 30 a and 30 b or the administrator of the WWW server device 20. The control unit 201 collates “user ID” and “password” described in the authentication table 203b in advance with “user ID” and “password” input to the WWW client devices 30a and 30b by the user, If they match, it is determined that the user is a valid user, and if they do not match, it is determined that the user is not a valid user. In the following description, the user ID and password are collectively referred to as “authentication information” as necessary.

WWWクライアント装置30a,30bに入力された認証情報が予め認証テーブル203bに記述された内容と一致しなかった場合には、認証エラーである。よって、WWWサーバ装置20は、WWWクライアント装置30a,30bのユーザに対して認証情報を再入力することを促す応答メッセージをWWWクライアント装置30a,30bに送信する。認証テーブル203bにおける「認証エラー回数」は、連続して認証エラーが発生した累積回数を示している。前述したように、認証エラーの場合にはその応答に意図的に時間をかけるようにしているから、WWWサーバ装置20は、上記応答メッセージをWWWクライアント装置30a,30bに送信する場合、認証エラー回数に応じて決められた待機時間の分だけ待機し、その待機時間が経過してから、応答メッセージを送信するようになっている。   If the authentication information input to the WWW client devices 30a and 30b does not match the contents described in the authentication table 203b in advance, an authentication error has occurred. Therefore, the WWW server apparatus 20 transmits a response message that prompts the user of the WWW client apparatuses 30a and 30b to re-enter authentication information to the WWW client apparatuses 30a and 30b. “Number of authentication errors” in the authentication table 203b indicates the cumulative number of times authentication errors have occurred continuously. As described above, in the case of an authentication error, the response is intentionally taken so that when the WWW server device 20 transmits the response message to the WWW client devices 30a and 30b, the number of authentication errors The system waits for a waiting time determined according to the request time, and transmits the response message after the waiting time has elapsed.

WWWサーバ装置20は、認証エラー回数が所定回数(例えば3回)以上になると、“認証エラーが何回連続して発生している”といった旨の通知メッセージをユーザが予め指定した通信装置に送信する。認証テーブル203bの「通知先アドレス」は、上記のような通信装置に割り当てられた通信アドレスを意味している。この通知メッセージは、上記の待機時間が経過するまでの待機中にWWWサーバ装置20から上記通信装置に送信されるようになっている。この通知先アドレスとしては、携帯電話機等のユーザが常に携帯し得る可搬性の通信装置の通信アドレスであることが望ましく、例えば図1中の携帯電話機40に割り当てられたメールアドレスや電話番号である。また、「通知方法」は、「通知先アドレス」を宛先とした通知を行う際の通信方法を意味しており、例えば電子メールや電話などである。   When the number of authentication errors reaches a predetermined number (for example, 3 times) or more, the WWW server device 20 transmits a notification message to the effect that “the authentication error has occurred continuously” to the communication device designated in advance by the user. To do. The “notification destination address” in the authentication table 203b means a communication address assigned to the communication device as described above. This notification message is transmitted from the WWW server device 20 to the communication device during standby until the standby time elapses. The notification destination address is preferably a communication address of a portable communication device that a user such as a mobile phone can always carry, such as a mail address or a telephone number assigned to the mobile phone 40 in FIG. . Further, the “notification method” means a communication method when performing notification with the “notification destination address” as a destination, and is, for example, an e-mail or a telephone.

例えば図3に示す例では、ユーザID「user001」が示すユーザのパスワードは「1111」であり、現時点では認証エラーが2回発生しており、さらにもう1回認証エラーが発生して認証エラー回数が合計3回に到達すると、メールアドレス「tanaka@abc.co.jp」が割り当てられたメールクライアント(ここでは携帯電話機40とする)を宛先とした電子メールがWWWサーバ装置20から携帯電話機40に送信されることが示されている。この通信先アドレスおよび通知方法は、正当なユーザによってWWWサーバ装置20の管理者に予め届け出されたものである。従って、もし第3者が不正なアクセスを試みようとしていると仮定した場合、認証エラーが所定回数以上繰り返されるとその旨を正当なユーザに直ちに通知することができるので、そのユーザはこの通知を受けた後、直ちにWWWサーバ装置20の管理者に連絡する等の何らかの適切な対応を採ることも可能である。   For example, in the example illustrated in FIG. 3, the password of the user indicated by the user ID “user001” is “1111”, an authentication error has occurred twice at this time, and an authentication error has occurred once more. Reaches a total of three times, an e-mail addressed to a mail client (herein referred to as a mobile phone 40) to which a mail address “tanaka@abc.co.jp” is assigned is sent from the WWW server device 20 to the mobile phone 40. Shown to be sent. The communication destination address and the notification method are notified in advance to the administrator of the WWW server device 20 by a legitimate user. Therefore, if it is assumed that the third party is trying to make an unauthorized access, if the authentication error is repeated a predetermined number of times or more, it can be immediately notified to the legitimate user. It is also possible to take some appropriate measures such as contacting the administrator of the WWW server device 20 immediately after receiving it.

また、このとき、通知メッセージは前述した待機時間が経過するまでの待機中にWWWサーバ装置20から送信されるから、悪意のある第3者が認証の結果が判明するのを待っている間に、正当なユーザに通知メッセージが届くはずである。よって、正当なユーザは時間的な余裕をもって適切な対応をとることができる。なお、図3にも示しているように、通知先アドレスを、ユーザが所持する通信装置の通信アドレスではなくて、WWWサーバ装置20の管理者の通信装置の通信アドレスに設定することもできる。   At this time, since the notification message is transmitted from the WWW server device 20 during the standby until the above-described standby time elapses, while the malicious third party is waiting for the authentication result to be found, , The notification message should reach the legitimate user. Therefore, a legitimate user can take an appropriate response with a time margin. As shown in FIG. 3, the notification destination address can be set to the communication address of the communication device of the administrator of the WWW server device 20 instead of the communication address of the communication device owned by the user.

(2)動作
図4は、上述した認証CGIプログラムに記述された手順を示すフローチャートである。図4において、WWWサーバ装置20の制御部201は、認証画面を要求するHTTPリクエストを通信部202が受信したことを検知すると(ステップS1;Yes)、これに応じて、認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出す(ステップS2)。次いで、制御部201は、上記HTMLファイルを含むHTTPレスポンスを生成し、通信部202によって上記HTTPリクエストの送信元のWWWクライアント装置に送信する(ステップS3)。 (2) Operation FIG. 4 is a flowchart showing a procedure described in the above-described authentication CGI program. In FIG. 4, when the control unit 201 of the WWW server apparatus 20 detects that the communication unit 202 has received an HTTP request for requesting an authentication screen (step S1; Yes), in order to display the authentication screen accordingly. Are read from the nonvolatile storage unit 203 (step S2). Next, the control unit 201 generates an HTTP response including the HTML file and transmits the HTTP response to the WWW client device that is the transmission source of the HTTP request by the communication unit 202 (step S3).

次に、制御部201は、認証情報をCGIパラメータとして含むHTTPリクエストを通信部202が受信したことを検知すると(ステップS4;Yes)、そのHTTPリクエストから認証情報を抽出し、この認証情報(ユーザID及びパスワード)のうちユーザIDをキーとして、受信した認証情報が認証テーブル203bに記憶されているものと一致するか否かを判断する(ステップS5)。これらが一致すれば(ステップS6;Yes)、制御部201は、認証テーブル203bの認証エラー回数を「0」にクリアして、リクエスト送信元のWWWクライアント装置によるアクセスを許可する(ステップS7)。   Next, when the control unit 201 detects that the communication unit 202 has received an HTTP request including authentication information as a CGI parameter (step S4; Yes), the control unit 201 extracts the authentication information from the HTTP request, and this authentication information (user (ID and password) using the user ID as a key, it is determined whether or not the received authentication information matches that stored in the authentication table 203b (step S5). If they match (step S6; Yes), the control unit 201 clears the number of authentication errors in the authentication table 203b to “0”, and permits access by the WWW client device that sent the request (step S7).

一方、認証情報が一致しなければ(ステップS6;No)、制御部201は、HTTPリクエストに含まれるユーザIDに対応する認証エラー回数を「1」だけインクリメントする(ステップS8)。そして、制御部201は、認証テーブル203bに記述された認証エラー回数に基づいて待機時間を決定する(ステップS9)。本実施形態では、認証エラー回数をX回としたときの待機時間を5x(秒間)とする。例えば、認証エラー回数が1回の場合には待機時間を51=5秒間とし、2回の場合は待機時間を52=25秒間とし、3回の場合は待機時間を53=125秒間とし、4回の場合には待機時間を54=625秒間・・・とする。このようにして待機時間を決定した後に、制御部201は経過時間のカウントを開始する(ステップS10)。 On the other hand, if the authentication information does not match (step S6; No), the control unit 201 increments the number of authentication errors corresponding to the user ID included in the HTTP request by “1” (step S8). Then, the control unit 201 determines a standby time based on the number of authentication errors described in the authentication table 203b (step S9). In the present embodiment, the standby time when the number of authentication errors is X is 5 × (seconds). For example, when the number of authentication errors is 1, the waiting time is 5 1 = 5 seconds, when the number of authentication errors is 2, the waiting time is 5 2 = 25 seconds, and when the number is 3, the waiting time is 5 3 = 125 seconds. In the case of four times, the waiting time is 5 4 = 625 seconds. After determining the standby time in this way, the control unit 201 starts counting elapsed time (step S10).

次いで、制御部201は、認証エラー回数が所定回数(3回)以上であるか否かに基づいて、通知メッセージを送信するか否かを判断する(ステップS11)。即ち、制御部201は、認証エラー回数が3回以上であれば(ステップS11;Yes)、上記の待機時間が経過するまでの待機中に、通知メッセージを認証テーブル203bに記述された通知先アドレスの通信装置に送信する(ステップS12)。この後、制御部201はカウントしている経過時間が待機時間を超えたと判断すると(ステップS13;Yes)、認証情報の再入力を促すメッセージが記述された認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出し(ステップS14)、これを通信部202によってWWWクライアント装置に送信する(ステップS3)。以後、上記と同様の処理を繰り返す。   Next, the control unit 201 determines whether or not to send a notification message based on whether or not the number of authentication errors is a predetermined number (three times) or more (step S11). That is, if the number of authentication errors is 3 or more (step S11; Yes), the control unit 201 sends a notification message to the notification destination address described in the authentication table 203b while waiting until the above-described waiting time elapses. To the communication device (step S12). Thereafter, when the control unit 201 determines that the elapsed time that has been counted exceeds the standby time (step S13; Yes), an HTML file for displaying an authentication screen in which a message that prompts re-input of authentication information is described. The data is read from the nonvolatile storage unit 203 (step S14), and is transmitted to the WWW client device by the communication unit 202 (step S3). Thereafter, the same processing as described above is repeated.

(3)動作例
次に、図5及び図6を参照しながら、具体的な動作例について説明する。
図5に示したシーケンスは、ユーザAがWWWクライアント装置30aを操作し、WWWサーバ装置20に対するアクセスが認められるまでの処理の流れを示している。図5において、まず、ユーザAはWWWクライアント装置30aの操作部を操作してWWWブラウザプログラムを起動させる。次いで、ユーザAがWWWサーバ装置20によって用意されている認証画面のURLを入力或いは選択すると、WWWクライアント装置30aは、そのURLを含むHTTPリクエストr1を送信する。 (3) Operation Example Next, a specific operation example will be described with reference to FIGS. 5 and 6.
The sequence shown in FIG. 5 shows the flow of processing until the user A operates the WWW client device 30a and access to the WWW server device 20 is permitted. In FIG. 5, first, the user A operates the operation unit of the WWW client device 30a to start the WWW browser program. Next, when the user A inputs or selects the URL of the authentication screen prepared by the WWW server device 20, the WWW client device 30a transmits an HTTP request r1 including the URL.

WWWサーバ装置20は、上記HTTPリクエストr1を受信すると、図4に示したステップS1→S2→S3という処理を経て、認証画面を表示するためのHTMLファイルを含むHTTPレスポンスr2をWWWクライアント装置30aに送信する。   When the WWW server apparatus 20 receives the HTTP request r1, the WWW client apparatus 30a sends an HTTP response r2 including an HTML file for displaying an authentication screen through the processing of steps S1 → S2 → S3 shown in FIG. Send.

WWWクライアント装置30aは、HTTPレスポンスr2を受信すると、これに含まれているHTMLファイルの内容を解釈して表示部に認証画面を表示する。この認証画面には、ユーザIDとパスワードを入力するためのテキストボックスが設けられている。ユーザAがこのテキストボックスにユーザID「user001」及びパスワード「1111」を入力し、“送信”を指示する操作を行うと、この操作に応じて、WWWクライアント装置30aは、入力されたユーザID「user001」及びパスワード「1111」をCGIパラメータとして含むHTTPリクエストr3をWWWサーバ装置20に送信する。   When receiving the HTTP response r2, the WWW client device 30a interprets the content of the HTML file included therein and displays an authentication screen on the display unit. This authentication screen is provided with a text box for inputting a user ID and a password. When the user A inputs the user ID “user001” and the password “1111” in this text box and performs an operation of instructing “send”, the WWW client device 30a responds to this operation with the input user ID “ An HTTP request r3 including “user001” and the password “1111” as CGI parameters is transmitted to the WWW server device 20.

WWWサーバ装置20は、このHTTPリクエストr3を受信すると、図4のステップS4→S5→S6→S7の処理を行う。即ち、WWWサーバ装置20は、HTTPリクエストr3からユーザID「user001」及びパスワード「1111」を抽出し、ユーザID「user001」をキーとして認証テーブル203bに記憶された内容と照合する。ここでは図3に示す如くユーザID「user001」及びパスワード「1111」が認証テーブル203bに記述されているので、WWWサーバ装置20は、認証テーブル203bの認証エラー回数をクリアしてから、WWWクライアント装置30aによるアクセスを許可する。アクセスが許可されると、WWWクライアント装置30aは所望のHTMLファイルをWWWサーバ装置20から取得して表示したり、WWWサーバ装置20が提供する各種サービスを受けることができる。   When receiving the HTTP request r3, the WWW server apparatus 20 performs the processing of steps S4 → S5 → S6 → S7 in FIG. That is, the WWW server device 20 extracts the user ID “user001” and the password “1111” from the HTTP request r3, and collates with the contents stored in the authentication table 203b using the user ID “user001” as a key. Here, since the user ID “user001” and the password “1111” are described in the authentication table 203b as shown in FIG. 3, the WWW server apparatus 20 clears the number of authentication errors in the authentication table 203b before the WWW client apparatus. Access by 30a is permitted. When the access is permitted, the WWW client device 30a can acquire and display a desired HTML file from the WWW server device 20 and receive various services provided by the WWW server device 20.

次に、図6に示したシーケンスを参照しながら、ユーザBがWWWクライアント装置30bを操作してWWWサーバ装置20へのアクセスしようとした場合の動作例について説明する。なお、ユーザBは、ユーザAのユーザID「user001」を何らかの手段で既に不正に入手しており、さらに総当たり攻撃によってユーザAのパスワード「1111」を盗みだそうとする悪意のある第3者であると仮定する。   Next, referring to the sequence shown in FIG. 6, an operation example when the user B tries to access the WWW server apparatus 20 by operating the WWW client apparatus 30b will be described. Note that the user B has already obtained the user A's user ID “user001” illegally by some means, and is also a malicious third party who tries to steal the password “1111” of the user A by brute force attack. Assume that

図6において、まず、ユーザBはWWWクライアント装置30bを操作してWWWブラウザプログラムを起動させる。次いで、ユーザBがWWWサーバ装置20によって用意されている認証画面のURLを入力或いは選択すると、WWWクライアント装置30bは、そのURLを含むHTTPリクエストr11を送信する。   In FIG. 6, first, the user B operates the WWW client device 30b to start the WWW browser program. Next, when the user B inputs or selects the URL of the authentication screen prepared by the WWW server device 20, the WWW client device 30b transmits an HTTP request r11 including the URL.

WWWサーバ装置20は、HTTPリクエストr11を受信すると、図4に示したステップS1→S2→S3という処理を経て、認証画面を表示するためのHTMLファイルを含むHTTPレスポンスr12をWWWクライアント装置30bに送信する。   Upon receiving the HTTP request r11, the WWW server device 20 transmits an HTTP response r12 including an HTML file for displaying an authentication screen to the WWW client device 30b through the processing of steps S1 → S2 → S3 shown in FIG. To do.

WWWクライアント装置30bは、HTTPレスポンスr12を受信すると、これに含まれるHTMLファイルの内容を解釈して認証画面を表示部に表示する。ユーザBが認証画面のテキストボックスにユーザID「user001」と、適当に定めたパスワード(例えば「0000」とする)を入力し、“送信”を指示する操作を行うと、この操作に応じて、WWWクライアント装置30bは、入力されたユーザID「user001」及びパスワード「0000」をCGIパラメータとして含むHTTPリクエストr13をWWWサーバ装置20に送信する。   When receiving the HTTP response r12, the WWW client device 30b interprets the content of the HTML file included therein and displays an authentication screen on the display unit. When the user B inputs the user ID “user001” and an appropriately defined password (for example, “0000”) in the text box of the authentication screen and performs an operation of instructing “send”, in response to this operation, The WWW client device 30b transmits an HTTP request r13 including the input user ID “user001” and password “0000” as CGI parameters to the WWW server device 20.

WWWサーバ装置20は、HTTPリクエストr13を受信すると、図4のステップS4→S5→S6→S8の処理を行う。即ち、WWWサーバ装置20は、受信したHTTPリクエストr13からユーザID「user001」及びパスワード「0000」を抽出し、ユーザID「user001」をキーとして認証テーブル203bに記憶された内容と照合する。ここでは図3に示す如くユーザID「user001」に対応するパスワードは「1111」であるので、WWWサーバ装置20はパスワードが一致しないと判断し、ユーザID「user001」の認証エラー回数を「1」だけインクリメントする。   When receiving the HTTP request r13, the WWW server apparatus 20 performs the processes of steps S4 → S5 → S6 → S8 in FIG. That is, the WWW server device 20 extracts the user ID “user001” and the password “0000” from the received HTTP request r13, and collates with the contents stored in the authentication table 203b using the user ID “user001” as a key. Here, as shown in FIG. 3, since the password corresponding to the user ID “user001” is “1111”, the WWW server device 20 determines that the passwords do not match and sets the number of authentication errors of the user ID “user001” to “1”. Increment only.

次いで、WWWサーバ装置20は、図4のステップS9→S10→S11→S13→S14→S3の処理を行う。即ち、WWWサーバ装置20は、認証テーブル203bに記述された認証エラー回数「1」に基づいて待機時間51=5秒を算出し、経過時間のカウントを開始する。さらにWWWサーバ装置20は、通知メッセージを送信するか否かを判断する。ここでは、認証エラー回数が1回であり、予め決められた「3回」に到達していないので、WWWサーバ装置20は、通知メッセージを送信する必要はないと判断する。この後、WWWサーバ装置20は、カウントしている経過時間が待機時間5秒を超えたと判断すると、認証情報の再入力を促すメッセージが記述された認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出し、これを含むHTTPレスポンスr14をWWWクライアント装置30bに送信する。 Next, the WWW server apparatus 20 performs the processes of steps S9 → S10 → S11 → S13 → S14 → S3 in FIG. That is, the WWW server device 20 calculates the standby time 5 1 = 5 seconds based on the number of authentication errors “1” described in the authentication table 203b, and starts counting the elapsed time. Furthermore, the WWW server device 20 determines whether or not to send a notification message. Here, since the number of authentication errors is one and has not reached the predetermined “three times”, the WWW server apparatus 20 determines that there is no need to transmit a notification message. Thereafter, when the WWW server apparatus 20 determines that the elapsed time that has been counted exceeds the waiting time of 5 seconds, the HTML file for displaying an authentication screen in which a message for prompting re-input of authentication information is described in a non-volatile manner It reads out from the storage unit 203 and transmits an HTTP response r14 including this to the WWW client device 30b.

WWWクライアント装置30bは、HTTPレスポンスr14を受信すると、これに含まれるHTMLファイルの内容を解釈して認証画面を表示部に表示する。この認証画面には、ユーザIDとパスワードを入力するためのテキストボックスのほか、前回入力されたユーザIDとパスワードが間違っていたのでこれらを再入力することを促すメッセージが記述されている。ユーザBがこのテキストボックスにユーザID「user001」と、次に適当に定めたパスワード「0001」を入力し、“送信”を指示する操作を行うと、この操作に応じて、WWWクライアント装置30bは、入力されたユーザID「user001」及びパスワード「0001」をCGIパラメータとして含むHTTPリクエストr15をWWWサーバ装置20に送信する。   When receiving the HTTP response r14, the WWW client device 30b interprets the content of the HTML file included therein and displays an authentication screen on the display unit. The authentication screen includes a text box for entering the user ID and password, and a message prompting the user ID and password to be re-entered because the previously entered user ID and password are incorrect. When the user B inputs the user ID “user001” and the next appropriately defined password “0001” in this text box and performs an operation of instructing “send”, the WWW client device 30b responds to this operation. The HTTP request r15 including the input user ID “user001” and the password “0001” as CGI parameters is transmitted to the WWW server apparatus 20.

WWWサーバ装置20は、HTTPリクエストr15を受信すると、図4のステップS4→S5→S6→S8の処理を行う。即ち、WWWサーバ装置20は、受信したHTTPリクエストr15からユーザID「user001」及びパスワード「0001」を抽出し、ユーザID「user001」をキーとして認証テーブル203bに記憶された内容と照合する。ここでは図3に示す如くユーザID「user001」に対応するパスワードは「1111」であるので、WWWサーバ装置20はパスワードが間違っていると判断し、ユーザID「user001」の認証エラー回数を「1」だけインクリメントする。この結果、認証エラー回数は図3に示すように「2」回になる。   When receiving the HTTP request r15, the WWW server apparatus 20 performs the processes of steps S4 → S5 → S6 → S8 in FIG. That is, the WWW server device 20 extracts the user ID “user001” and the password “0001” from the received HTTP request r15, and collates with the contents stored in the authentication table 203b using the user ID “user001” as a key. Here, as shown in FIG. 3, since the password corresponding to the user ID “user001” is “1111”, the WWW server apparatus 20 determines that the password is incorrect, and sets the number of authentication errors of the user ID “user001” to “1”. "Is incremented. As a result, the number of authentication errors is “2” as shown in FIG.

次いで、WWWサーバ装置20は、図4のステップS9→S10→S11→S13→S14→S3の処理を行う。即ち、WWWサーバ装置20は、認証テーブル203bに記述された認証エラー回数「2」に基づいて待機時間52=25秒を算出し、経過時間のカウントを開始する。さらにWWWサーバ装置20は、通知メッセージを送信するか否かを判断する。ここでは、認証エラー回数が2回であり、予め決められた「3回」に到達していないので、WWWサーバ装置20は、通知メッセージを送信する必要はないと判断する。この後、WWWサーバ装置20は、カウントしている経過時間が待機時間25秒を超えたと判断すると、認証情報の再入力を促すメッセージが記述された認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出し、これを含むHTTPレスポンスr16をWWWクライアント装置30bに送信する。 Next, the WWW server apparatus 20 performs the processes of steps S9 → S10 → S11 → S13 → S14 → S3 in FIG. That is, the WWW server apparatus 20 calculates the standby time 5 2 = 25 seconds based on the number of authentication errors “2” described in the authentication table 203b, and starts counting the elapsed time. Furthermore, the WWW server device 20 determines whether or not to send a notification message. Here, the number of authentication errors is 2, and since the predetermined “3 times” has not been reached, the WWW server device 20 determines that it is not necessary to transmit a notification message. After that, if the WWW server device 20 determines that the elapsed time that has been counted exceeds the waiting time of 25 seconds, the HTML file for displaying an authentication screen in which a message prompting re-input of authentication information is described is nonvolatile. It reads out from the storage unit 203, and transmits an HTTP response r16 including this to the WWW client device 30b.

WWWクライアント装置30bは、HTTPレスポンスr16を受信すると、これに含まれるHTMLファイルの内容を解釈して、前述したような認証画面を表示部に再度表示する。ユーザBがこのテキストボックスにユーザID「user001」と、次に適当に定めたパスワード「0002」を入力し、“送信”を指示する操作を行うと、この操作に応じて、WWWクライアント装置30bは、入力されたユーザID「user001」及びパスワード「0002」をCGIパラメータとして含むHTTPリクエストr17をWWWサーバ装置20に送信する。   When the WWW client device 30b receives the HTTP response r16, the WWW client device 30b interprets the content of the HTML file included therein and displays the authentication screen as described above on the display unit again. When the user B inputs the user ID “user001” and the next appropriately defined password “0002” in this text box and performs an operation of instructing “send”, the WWW client device 30b responds to this operation. The HTTP request r17 including the input user ID “user001” and the password “0002” as CGI parameters is transmitted to the WWW server device 20.

WWWサーバ装置20は、このHTTPリクエストを受信すると、図4のステップS4→S5→S6→S8の処理を行う。即ち、WWWサーバ装置20は、受信したHTTPリクエストr17からユーザID「user001」及びパスワード「0002」を抽出し、ユーザID「user001」をキーとして認証テーブル203bに記憶された内容と照合する。ここでは図3に示す如くユーザID「user001」に対応するパスワードは「1111」であるので、WWWサーバ装置20はパスワードが間違っていると判断し、ユーザID「user001」の認証エラー回数を「1」だけインクリメントする。この結果、認証エラー回数は「3」回になる。   When receiving the HTTP request, the WWW server device 20 performs the processes of steps S4 → S5 → S6 → S8 in FIG. That is, the WWW server device 20 extracts the user ID “user001” and the password “0002” from the received HTTP request r17, and collates with the contents stored in the authentication table 203b using the user ID “user001” as a key. Here, as shown in FIG. 3, since the password corresponding to the user ID “user001” is “1111”, the WWW server apparatus 20 determines that the password is incorrect, and sets the number of authentication errors of the user ID “user001” to “1”. "Is incremented. As a result, the number of authentication errors is “3”.

次いで、WWWサーバ装置20は、図4のステップS9→S10→S11→S12→S13→S14→S3の処理を行う。即ち、WWWサーバ装置20、認証テーブル203bに記述された認証エラー回数「3」に基づいて、待機時間53=125秒を算出し、経過時間のカウントを開始する。次に、WWWサーバ装置20は、通知メッセージを送信するか否かを判断する。ここでは、認証エラー回数が3回であり所定回数に到達しているから、WWWサーバ装置20は、通知メッセージを送信する必要があると判断し、認証テーブル203bに記述された通知先アドレス「tanaka@abc.co.jp」を宛先とし、認証エラーが3回連続している旨を記述した電子メールr18を生成して送信する。 Next, the WWW server device 20 performs the processes of steps S9 → S10 → S11 → S12 → S13 → S14 → S3 in FIG. That is, the waiting time 5 3 = 125 seconds is calculated based on the number of authentication errors “3” described in the WWW server device 20 and the authentication table 203b, and the counting of the elapsed time is started. Next, the WWW server apparatus 20 determines whether or not to send a notification message. Here, since the number of authentication errors is three and the predetermined number has been reached, the WWW server device 20 determines that it is necessary to transmit a notification message, and the notification destination address “tanaka” described in the authentication table 203b is determined. @ Abc.co.jp "is generated as an address, and an e-mail r18 describing that authentication errors are continued three times is generated and transmitted.

この電子メールは、ユーザAの携帯電話機40によって受信されるので、ユーザAはこの通知を受けると、WWWサーバ装置20の管理者に連絡する等の何らかの適切な対応を採ればよい。この後、WWWサーバ装置20はカウントしている経過時間が待機時間125秒を超えたと判断すると、認証情報の再入力を促すメッセージが記述された認証画面を表示するためのHTMLファイルを不揮発性記憶部203から読み出し、これを含むHTTPレスポンスr19をWWWクライアント装置30bに送信する。
以下、認証に成功するまで上記と同様の処理が繰り返される。 Since this electronic mail is received by the mobile phone 40 of the user A, the user A may take some appropriate measures such as contacting the administrator of the WWW server device 20 when receiving this notification. Thereafter, if the WWW server device 20 determines that the elapsed time that has been counted exceeds the standby time of 125 seconds, the HTML file for displaying an authentication screen in which a message for prompting re-input of authentication information is stored in a nonvolatile storage. The HTTP response r19 including this is read from the unit 203 and transmitted to the WWW client device 30b.
Thereafter, the same processing as described above is repeated until the authentication is successful.

以上説明した実施形態によれば、認証エラーの場合の応答処理に要する時間を認証エラー回数に応じて指数関数的に意図的に増加させているので、アクセスを試みようとするユーザに対して認証エラーの事実を知らせるのを遅くすることができる。このようにすれば、悪意のある第3者が正しい認証情報を突きとめるまでに従来よりも相当多くの時間を要してしまうことになるから、認証情報を盗み出そうとする第3者の行為を抑制することが可能となる。また、認証エラー回数が所定回数を超えると、正当なユーザや管理者によって予め指定された通信装置に対し、認証エラー回数が所定回数を超えた旨を通知する。従って、もし第3者が不正なアクセスを試みようとしていると仮定した場合、認証エラーが何回か繰り返されると、その旨を正当なユーザに直ちに通知することができる。ユーザは、この通知を受けると、WWWサーバ装置20の管理者に連絡する等の何らかの適切な対応を採ることが可能である。   According to the embodiment described above, the time required for response processing in the case of an authentication error is intentionally increased exponentially according to the number of authentication errors, so that authentication is performed for a user who tries to access. It can be slow to inform the fact of the error. In this way, it takes a considerable amount of time until a malicious third party finds the correct authentication information. Therefore, the third party who tries to steal authentication information is required. It becomes possible to suppress the act. Further, when the number of authentication errors exceeds a predetermined number, a notification is sent to the communication device designated in advance by an authorized user or administrator that the number of authentication errors has exceeded the predetermined number. Therefore, if it is assumed that the third party is trying to make an unauthorized access, if an authentication error is repeated several times, a right user can be notified immediately. Upon receiving this notification, the user can take some appropriate measures such as contacting the administrator of the WWW server device 20.

(4)変形例
本発明は上述した実施形態に限定されず、次のような変形が可能である。
(4−1)変形例1
実施形態においては、待機時間を認証エラー回数に応じて指数関数的に増加するようにして決定していたが、この待機時間はどのようにして決めてもよい。例えば、認証エラー回数をX回とした場合、待機時間=A(任意の定数)×X秒間として、待機時間が認証エラー回数に比例して増加するようにしてもよいし、認証エラー回数が1回の場合は3秒、2回の場合10秒、3回の場合には30秒・・・というように、待機時間が認証エラー回数毎に任意に定めた差分で段階的に増加するようにしてもよい。また、認証エラー回数の大小に関わらず待機時間を一定にしてもよい。なお、認証エラー回数の最大許容回数を例えば10回というように決めておき、10回連続して認証エラーが繰り返されると、それ以降の一定期間はアクセスを拒否したり、或いは、正当なユーザからの正式な申し出がない限り、それ以降の一切のアクセスを永久に拒否するようにしてもよい。 (4) Modifications The present invention is not limited to the above-described embodiments, and the following modifications are possible.
(4-1) Modification 1
In the embodiment, the standby time is determined so as to increase exponentially according to the number of authentication errors, but this standby time may be determined in any way. For example, when the number of authentication errors is X, the standby time may be increased in proportion to the number of authentication errors, with standby time = A (arbitrary constant) × X seconds, or the number of authentication errors is 1. The waiting time is increased stepwise by an arbitrarily determined difference for each number of authentication errors, such as 3 seconds for the second time, 10 seconds for the second time, 30 seconds for the third time, and so on. May be. Further, the waiting time may be fixed regardless of the number of authentication errors. Note that the maximum allowable number of authentication errors is determined to be 10 times, for example. If the authentication error is repeated 10 times in succession, access may be denied for a certain period thereafter, or from a legitimate user. Unless there is an official offer, any subsequent access may be permanently denied.

(4−2)変形例2
ユーザが利用するWWWクライアント端末30a,30bはパーソナルコンピュータに限らず、無線によるデータ通信が可能な携帯電話機やPDAであってもよい。また、WWWサーバ装置20は、実施形態で述べたように単体のサーバ装置によって構成される必要はなく、複数のサーバ装置群によって構成されていてもよい。例えば、認証に関わる機能を担うサーバ装置と、HTMLファイルの提供サービスに関わる機能を担うサーバ装置とを別々に構成し、これらのサーバ装置同士が連携することで上記実施形態のWWWサーバ装置と同等の機能を実現しても良い。 (4-2) Modification 2
The WWW client terminals 30a and 30b used by the user are not limited to personal computers, but may be cellular phones or PDAs capable of wireless data communication. Further, the WWW server device 20 does not need to be configured by a single server device as described in the embodiment, and may be configured by a plurality of server device groups. For example, a server device responsible for a function related to authentication and a server device responsible for a function related to an HTML file providing service are configured separately, and these server devices cooperate with each other to be equivalent to the WWW server device of the above embodiment. The function may be realized.

(4−3)変形例3
実施形態では認証情報としてユーザID及びパスワードを例示したが、認証情報はユーザ認証時にその認証の根拠となる情報であればどのようなものでもよい。また、ユーザID及びパスワードというように2つの情報を組み合わせに限らず、3つ以上であってもよいし、1つのみであってもよい。また、実施形態では、HTMLによって記述されたデータを例示して説明したが、これに限らず、情報の記述言語はどのようなものであってもよく、例えばXHTML(Extensible-HTML)や、HDML(Handheld Device Markup Language)や、WML(Wireless Markup Language)や、XML(Extensible Markup Language)であってもよい。 (4-3) Modification 3
In the embodiment, the user ID and the password are exemplified as the authentication information. However, the authentication information may be any information as long as it is the basis of the authentication at the time of user authentication. Further, the two pieces of information such as the user ID and the password are not limited to a combination, and may be three or more, or only one. In the embodiment, data described in HTML has been described as an example. However, the present invention is not limited thereto, and any description language of information may be used. For example, XHTML (Extensible-HTML), HDML (Handheld Device Markup Language), WML (Wireless Markup Language), or XML (Extensible Markup Language) may be used.

(4−4)変形例4
実施形態では、WWWクライアント端末とWWWサーバ装置による動作例を例示して説明したが、本発明の認証処理はこのような態様に限定されるものではなく、通常のコンピュータの機能を有する装置であればよい。 (4-4) Modification 4
In the embodiment, the operation example by the WWW client terminal and the WWW server apparatus has been described as an example. However, the authentication process of the present invention is not limited to such an aspect, and may be an apparatus having a normal computer function. That's fine.

(4−5)変形例5
また、実施形態においては、ユーザはクライアント装置を操作して認証情報を入力すると説明されたが、本発明はネットワークを介さないコンピュータ単体のアクセス制御に応用することも可能である。これは例えば、ユーザがサーバ装置を操作して認証情報を入力するような態様である。このとき、サーバ装置はクライアント装置ではなく、自機に対して応答を返すようにすればよい。このようにすれば、本発明の認証方法をスタンドアローン型のコンピュータに対しても適用することが可能となる。また、本発明は住居の電子ロック等の認証装置にも適用することができる。 (4-5) Modification 5
In the embodiment, it is described that the user inputs the authentication information by operating the client device. However, the present invention can also be applied to access control of a single computer not via a network. This is, for example, a mode in which the user inputs authentication information by operating the server device. At this time, the server device may return a response to itself rather than the client device. In this way, the authentication method of the present invention can be applied to a stand-alone computer. The present invention can also be applied to an authentication device such as an electronic lock for a residence.

(4−6)変形例6
実施形態においては、認証エラーの通知先として携帯電話機を例示し、通知方法として電子メールと電話を例示したが、これらに限らず、通知先をパーソナルコンピュータや固定電話機或いはポケットベル(登録商標)等のページャ等にしてもよいし、通知方法としてSMS(Short Message Service)等の方法を用いてもよい。 (4-6) Modification 6
In the embodiment, the mobile phone is exemplified as the notification destination of the authentication error, and the e-mail and the telephone are illustrated as the notification method. However, the notification destination is not limited thereto, and the notification destination is a personal computer, a fixed phone, a pager (registered trademark), or the like. Or a notification method such as SMS (Short Message Service) may be used.

(4−7)変形例7
上述したWWWサーバ装置20の制御部201によって実行されるプログラムは、磁気テープ、磁気ディスク、フロッピー(登録商標)ディスク、光記録媒体、光磁気記録媒体、CD(Compact Disk)−ROM、DVD(Digital Versatile Disk)、RAMなどの記録媒体に記録した状態で提供し得る。 (4-7) Modification 7
The programs executed by the control unit 201 of the WWW server device 20 described above are magnetic tape, magnetic disk, floppy (registered trademark) disk, optical recording medium, magneto-optical recording medium, CD (Compact Disk) -ROM, DVD (Digital Versatile Disk) and a recording medium such as a RAM can be provided.

本発明の実施形態に係るシステムの全体構成を示すブロック図である。1 is a block diagram showing an overall configuration of a system according to an embodiment of the present invention. 同実施形態におけるWWWサーバ装置の構成を示すブロック図である。It is a block diagram which shows the structure of the WWW server apparatus in the embodiment. 同実施形態における認証テーブルの内容の一例を示す図である。It is a figure which shows an example of the content of the authentication table in the embodiment. 同実施形態におけるWWWサーバ装置が記憶した認証CGIプログラムに記述された手順を示すフローチャートである。It is a flowchart which shows the procedure described in the authentication CGI program which the WWW server apparatus in the embodiment memorize | stored. 同実施形態におけるシステム全体の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of the whole system in the embodiment. 同実施形態におけるシステム全体の動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of the whole system in the embodiment.

符号の説明Explanation of symbols

1・・・移動通信網、2・・・インターネット、20・・・WWWサーバ装置、201・・・制御部、202・・・通信部、203・・・不揮発性記憶部、30a,30b・・・WWWクライアント装置、40・・・携帯電話機。 DESCRIPTION OF SYMBOLS 1 ... Mobile communication network, 2 ... Internet, 20 ... WWW server apparatus, 201 ... Control part, 202 ... Communication part, 203 ... Nonvolatile memory | storage part, 30a, 30b ... -WWW client device, 40 ... mobile phone.

Claims (10)

各々のユーザ毎に決められた認証情報を記憶する記憶手段と、
通信装置に入力された認証情報を該通信装置から受信する受信手段と、
前記受信手段により受信された認証情報が前記記憶手段によって記憶されているか否かを判断する認証手段と、
前記受信された認証情報が前記記憶手段により記憶されていないと判断された場合には、ある時間が経過するまで待機した後に、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するアクセス制御手段と
を備える認証装置。 Storage means for storing authentication information determined for each user;
Receiving means for receiving authentication information input to the communication device from the communication device;
Authentication means for determining whether the authentication information received by the receiving means is stored by the storage means;
If it is determined that the received authentication information is not stored by the storage unit, response information indicating that access from the communication device is not permitted is displayed after waiting until a certain period of time has elapsed. An authentication device comprising: an access control means for transmitting to the device. 各々のユーザ毎に決められた認証情報を記憶する記憶手段と、
通信装置に入力された認証情報を該通信装置から受信する受信手段と、
前記受信手段により受信された認証情報が前記記憶手段によって記憶されているか否かを判断する認証手段と、
前記受信された認証情報が前記記憶手段により記憶されていると判断された場合には、前記通信装置からのアクセスを許可するアクセス許可手段と、
前記受信された認証情報が前記記憶手段により記憶されていないと判断された回数を前記ユーザ毎に記憶するエラー回数記憶手段と、
前記エラー回数記憶手段によって記憶されている回数に応じて待機時間を決定する待機時間決定手段と、
前記受信された認証情報が前記記憶手段により記憶されていないと判断された時からの経過時間を計測する計時手段と、
前記認証手段によって前記認証情報が前記記憶手段により記憶されていないと判断された場合には、前記計時手段によって計測される経過時間が前記決定手段によって決定された待機時間を超えるまで待機し、該経過時間が該待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するアクセス拒否手段と
を備える認証装置。 Storage means for storing authentication information determined for each user;
Receiving means for receiving authentication information input to the communication device from the communication device;
Authentication means for determining whether the authentication information received by the receiving means is stored by the storage means;
If it is determined that the received authentication information is stored by the storage means, an access permission means for permitting access from the communication device;
Error number storage means for storing, for each user, the number of times that the received authentication information is determined not to be stored by the storage means;
Standby time determining means for determining a standby time according to the number of times stored by the error number storage means;
Time measuring means for measuring an elapsed time from when it is determined that the received authentication information is not stored by the storage means;
If the authentication means determines that the authentication information is not stored in the storage means, the process waits until the elapsed time measured by the time measuring means exceeds the standby time determined by the determination means, An authentication apparatus comprising: an access refusing unit that transmits a response message for prompting the user to input the authentication information to the communication apparatus again when the elapsed time exceeds the standby time. 前記待機時間決定手段は、前記エラー回数記憶手段によって記憶されている回数に応じて増加するような待機時間を算出することによって該待機時間を決定する請求項2記載の認証装置。   The authentication apparatus according to claim 2, wherein the standby time determination unit determines the standby time by calculating a standby time that increases in accordance with the number of times stored in the error count storage unit. 前記待機時間決定手段は、前記エラー回数記憶手段によって記憶されている回数に応じて指数関数的に増加するような待機時間を算出することによって該待機時間を決定する請求項2記載の認証装置。   3. The authentication apparatus according to claim 2, wherein the waiting time determining means determines the waiting time by calculating a waiting time that increases exponentially according to the number of times stored in the error number storage means. 前記アクセス拒否手段によって前記経過時間が前記待機時間を超えるまで待機している間に、第2の通信装置に対して、認証エラーに関連する内容のメッセージを送信するエラー通知手段を備える請求項2記載の認証装置。   3. An error notification unit that transmits a message having a content related to an authentication error to the second communication device while waiting for the elapsed time to exceed the standby time by the access refusal unit. The authentication device described. 前記第2の通信装置が可搬性の通信装置である請求項5記載の認証装置。   The authentication device according to claim 5, wherein the second communication device is a portable communication device. 認証装置が、
通信装置に入力された認証情報を該通信装置から受信するステップと、
受信された認証情報が予め記憶されている内容と一致するか否かを判断するステップと、
前記認証情報が予め記憶されている内容と一致しないと判断された場合には、ある時間が経過するまで待機するステップと、
前記ある時間が経過すると、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するステップと
を備える認証方法。 The authentication device
Receiving authentication information input to the communication device from the communication device;
Determining whether the received authentication information matches the content stored in advance;
If it is determined that the authentication information does not match the content stored in advance, a step of waiting until a certain period of time elapses;
And a step of transmitting response information indicating that access from the communication device is not permitted to the communication device when the certain time has elapsed. 認証装置が、
通信装置に入力された認証情報を該通信装置から受信するステップと、
受信された認証情報が予め記憶されている内容と一致するか否かを判断するステップと、
前記認証情報が予め記憶されている内容と一致しないと判断された回数に応じて待機時間を決定するステップと、
前記認証情報が予め記憶されている内容と一致しないと判断された場合に、経過時間の計測を開始するステップと、
計測される前記経過時間が決定された前記待機時間を超えるまで待機するステップと、
計測される時間が前記待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するステップと
を備える認証方法。 The authentication device
Receiving authentication information input to the communication device from the communication device;
Determining whether the received authentication information matches the content stored in advance;
Determining a waiting time according to the number of times it is determined that the authentication information does not match the content stored in advance;
Starting the measurement of elapsed time when it is determined that the authentication information does not match the content stored in advance;
Waiting until the elapsed time to be measured exceeds the determined waiting time;
And transmitting a response message for prompting the user to input the authentication information to the communication device again when the measured time exceeds the waiting time. コンピュータに、
各々のユーザ毎に決められた認証情報を記憶する記憶機能と、
通信装置から受信した認証情報が前記記憶機能によって記憶されているか否かを判断する認証機能と、
前記認証情報が前記記憶機能により記憶されていないと判断された場合には、ある時間が経過するまで待機した後に、前記通信装置からのアクセスを許可しないことを表す応答情報を該通信装置に送信するための処理を行うアクセス制御機能と
を実現させるためのプログラム。 On the computer,
A storage function for storing authentication information determined for each user;
An authentication function for determining whether authentication information received from a communication device is stored by the storage function;
If it is determined that the authentication information is not stored by the storage function, response information indicating that access from the communication device is not permitted is transmitted to the communication device after waiting for a certain period of time. A program for realizing an access control function that performs processing for コンピュータに、
各々のユーザ毎に決められた認証情報を記憶する記憶機能と、
通信装置から受信した認証情報が前記記憶機能によって記憶されているか否かを判断する認証機能と、
前記認証情報が前記記憶機能により記憶されていると判断された場合には、前記通信装置からのアクセスを許可するアクセス許可機能と、
前記認証情報が前記記憶機能により記憶されていないと判断された回数を前記ユーザ毎に記憶するエラー回数記憶機能と、
前記エラー回数記憶機能によって記憶されている回数に応じて待機時間を決定する待機時間決定機能と、
前記認証情報が前記記憶機能により記憶されていないと判断された時からの経過時間を計測する計時機能と、
前記認証情報が前記記憶機能により記憶されていないと判断された場合には、前記計時機能によって計測される経過時間が前記決定機能によって決定された待機時間を超えるまで待機し、前記経過時間が前記待機時間を超えると、前記認証情報を前記通信装置に再度入力することをユーザに促すための応答メッセージを該通信装置に送信するための処理を行うアクセス拒否機能と
を実現させるためのプログラム。 On the computer,
A storage function for storing authentication information determined for each user;
An authentication function for determining whether authentication information received from a communication device is stored by the storage function;
If it is determined that the authentication information is stored by the storage function, an access permission function for permitting access from the communication device;
An error count storage function for storing, for each user, the number of times that the authentication information is determined not to be stored by the storage function;
A standby time determination function for determining a standby time according to the number of times stored by the error count storage function;
A timekeeping function for measuring an elapsed time since it was determined that the authentication information is not stored by the storage function;
If it is determined that the authentication information is not stored by the storage function, the process waits until the elapsed time measured by the time measurement function exceeds the standby time determined by the determination function, and the elapsed time is A program for realizing an access denial function for performing processing for transmitting a response message to the user to prompt the user to input the authentication information to the communication device again when the waiting time is exceeded.
JP2004130179A 2004-04-26 2004-04-26 Authentication device, method, and program Pending JP2005310069A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004130179A JP2005310069A (en) 2004-04-26 2004-04-26 Authentication device, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004130179A JP2005310069A (en) 2004-04-26 2004-04-26 Authentication device, method, and program

Publications (1)

Publication Number Publication Date
JP2005310069A true JP2005310069A (en) 2005-11-04

Family

ID=35438727

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004130179A Pending JP2005310069A (en) 2004-04-26 2004-04-26 Authentication device, method, and program

Country Status (1)

Country Link
JP (1) JP2005310069A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006185389A (en) * 2004-12-28 2006-07-13 Sony Corp Communication equipment and method, and program
JP2007249589A (en) * 2006-03-15 2007-09-27 Omron Corp Authentication device, authentication method, authentication program and computer-readable recording medium
JP2009037371A (en) * 2007-08-01 2009-02-19 Taito Corp Unauthorized input prevention system
JP2010152506A (en) * 2008-12-24 2010-07-08 Hitachi Omron Terminal Solutions Corp User authentication terminal, authentication system, user authentication method, and user authentication program
JP2013206357A (en) * 2012-03-29 2013-10-07 Toshiba It Service Kk Portable information terminal and authentication program
JP2013229015A (en) * 2012-03-29 2013-11-07 Toshiba It Service Kk Behavior management system and behavior management program

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006185389A (en) * 2004-12-28 2006-07-13 Sony Corp Communication equipment and method, and program
JP2007249589A (en) * 2006-03-15 2007-09-27 Omron Corp Authentication device, authentication method, authentication program and computer-readable recording medium
US8065528B2 (en) 2006-03-15 2011-11-22 Omron Corporation Authentication device, authentication method, authentication program and computer readable recording medium
JP2009037371A (en) * 2007-08-01 2009-02-19 Taito Corp Unauthorized input prevention system
JP2010152506A (en) * 2008-12-24 2010-07-08 Hitachi Omron Terminal Solutions Corp User authentication terminal, authentication system, user authentication method, and user authentication program
JP2013206357A (en) * 2012-03-29 2013-10-07 Toshiba It Service Kk Portable information terminal and authentication program
JP2013229015A (en) * 2012-03-29 2013-11-07 Toshiba It Service Kk Behavior management system and behavior management program

Similar Documents

Publication Publication Date Title
KR101019458B1 (en) Extended one­time password method and apparatus
JP5719871B2 (en) Method and apparatus for preventing phishing attacks
US8707408B2 (en) Secure authentication systems and methods
EP2166697B1 (en) Method and system for authenticating a user by means of a mobile device
US8869238B2 (en) Authentication using a turing test to block automated attacks
US20130139238A1 (en) Method and System For Authenticating User Access To A Restricted Resource Across A Computer Network
US20050021982A1 (en) Hybrid authentication
JP4960738B2 (en) Authentication system, authentication method, and authentication program
US20090216795A1 (en) System and method for detecting and blocking phishing attacks
US20100291899A1 (en) Method and system for delivering a command to a mobile device
JP2004240637A (en) Password authentication system
WO2013043035A1 (en) Method of controlling access to an internet-based application
GB2379040A (en) Controlling user access to a remote service by sending a one-time password to a portable device after normal login
Aravindhan et al. One time password: A survey
US20070056024A1 (en) Method for remote server login
RU2730386C2 (en) Authentication and encryption system and method with interception protection
JP2002251375A (en) User authentication server in communication network, individual authentication method and program
JP2005310069A (en) Authentication device, method, and program
Zhan et al. Authentication using multi-level social networks
Tang et al. Distributed PIN verification scheme for improving security of mobile devices
JP6325654B2 (en) Network service providing apparatus, network service providing method, and program
JP2004240806A (en) Individual authentication system using portable telephone connectable to internet, and method therefor
KR20130055116A (en) Authentification method and server
KR101212510B1 (en) System and method for service security based on location
JP7403430B2 (en) Authentication device, authentication method and authentication program