JP2007115127A - Security management system - Google Patents
Security management system Download PDFInfo
- Publication number
- JP2007115127A JP2007115127A JP2005307465A JP2005307465A JP2007115127A JP 2007115127 A JP2007115127 A JP 2007115127A JP 2005307465 A JP2005307465 A JP 2005307465A JP 2005307465 A JP2005307465 A JP 2005307465A JP 2007115127 A JP2007115127 A JP 2007115127A
- Authority
- JP
- Japan
- Prior art keywords
- information
- authentication
- processing terminal
- user
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、複数の情報処理端末のネットワーク通信のセキュリティを管理するシステムに関する。 The present invention relates to a system for managing network communication security of a plurality of information processing terminals.
IDおよびパスワードにより、インターネット等のネットワーク経由でコンピュータにアクセスしてくるユーザが登録済みであるか否か(本人であるか否か)を確認する手法が知られている(例えば、非特許文献1参照)
しかし、IDやパスワードが盗用された場合、いわゆる「なりすまし」による不正行為のおそれがある。 However, if an ID or password is stolen, there is a risk of fraud by so-called “spoofing”.
そこで、本発明は、このようななりすましによる不正行為をより確実に防止する観点から、ネットワーク通信におけるセキュリティを適切に管理しうるシステムを提供することを解決課題とする。 Accordingly, an object of the present invention is to provide a system capable of appropriately managing security in network communication from the viewpoint of more surely preventing an illegal act caused by such impersonation.
前記課題を解決するための本発明のセキュリティ管理システムは、複数の情報処理端末のネットワーク通信のセキュリティを管理するシステムであって、第1情報処理端末とのネットワーク通信の要求時に第2情報処理端末から送信された、ユーザに予め割り振られた認証情報をネットワーク経由で受信し、該認証情報と一致する認証情報が第1記憶手段により記憶されているか否かを判定する第1認証処理手段と、第2情報処理端末に搭載されている位置測定システムによって測定された、所定時刻におけるユーザの位置に応じた位置情報の送信を第2情報処理端末にネットワーク経由で要求し、この要求に応じて第2情報処理端末から送信された位置情報をネットワーク経由で受信し、該認証情報または該認証情報および所定時刻に対応付けられている許容範囲情報を第2記憶手段から読み出し、該位置情報に応じた該所定時刻におけるユーザの位置が、該許容範囲情報に応じた許容範囲に含まれるか否かを判定する第2認証処理手段と、第1および第2認証処理手段による判定結果に応じて第2情報処理端末の第1情報処理端末とのネットワーク通信を許容または禁止する通信制御処理手段とを備えていることを特徴とする。 The security management system of the present invention for solving the above-mentioned problem is a system for managing the security of network communication of a plurality of information processing terminals, and the second information processing terminal when requesting network communication with the first information processing terminal First authentication processing means for receiving authentication information allocated in advance to the user transmitted from the network and determining whether or not authentication information matching the authentication information is stored in the first storage means; The second information processing terminal is requested to transmit the position information according to the position of the user at a predetermined time measured by the position measurement system mounted on the second information processing terminal via the network. 2 Receives location information transmitted from the information processing terminal via the network and corresponds to the authentication information or the authentication information and a predetermined time. The second allowable range information is read out from the second storage means, and a second determination is made as to whether or not the position of the user at the predetermined time according to the position information is included in the allowable range according to the allowable range information. Authentication processing means, and communication control processing means for permitting or prohibiting network communication of the second information processing terminal with the first information processing terminal according to the determination results of the first and second authentication processing means. Features.
本発明のセキュリティ管理システムによれば、第1情報処理端末とのネットワーク通信要求時に第2情報処理端末から送信された認証情報に一致する認証情報が第1記憶手段により記憶されているか否かを判定する「第1認証処理」が実行される。また、第2情報処理端末から送信された位置情報に応じた所定時刻におけるユーザの位置が、当該認証情報、または認証情報および所定時刻に対応付けられて第2記憶手段により記憶されている許容範囲情報に応じた許容範囲に含まれるか否かを判定する「第2認証処理」が実行される。そして、第1認証処理において肯定的な判定結果(=第2情報処理端末から送信された認証情報に一致する認証情報が第1記憶手段により記憶されているとの判定結果)が得られ、かつ、第2認証処理において肯定的な判定結果(=所定時刻におけるユーザの位置が許容範囲に含まれているとの判定結果)が得られたとき、第2情報処理端末の第1情報処理端末とのネットワーク通信が許容される。したがって、認証情報(例えば、ユーザにより情報処理端末に入力されるIDやパスワード)が第三者により知られるところとなっても、この第三者の所定時刻における位置が許容範囲外にあれば、第2認証処理において否定的な判定結果が得られ、第1情報処理端末と第2情報処理端末とのネットワーク通信が禁止される。このようにユーザの認証情報および所定時刻における位置情報を利用した2段階の認証により、ネットワーク通信における第三者のなりすましによる不正行為がより確実に防止されうる。 According to the security management system of the present invention, whether or not authentication information matching the authentication information transmitted from the second information processing terminal when the network communication request with the first information processing terminal is requested is stored in the first storage means. The “first authentication process” for determination is executed. Further, the user's position at a predetermined time corresponding to the position information transmitted from the second information processing terminal is stored in the second storage means in association with the authentication information or the authentication information and the predetermined time. A “second authentication process” is performed to determine whether or not the allowable range corresponding to the information is included. In the first authentication process, a positive determination result (= determination result that authentication information matching the authentication information transmitted from the second information processing terminal is stored in the first storage means) is obtained, and When a positive determination result (= determination result that the user's position at a predetermined time is included in the allowable range) is obtained in the second authentication process, the first information processing terminal of the second information processing terminal Network communication is allowed. Therefore, even if the authentication information (for example, the ID or password input to the information processing terminal by the user) is known by a third party, if the position of the third party at a predetermined time is outside the allowable range, A negative determination result is obtained in the second authentication process, and network communication between the first information processing terminal and the second information processing terminal is prohibited. As described above, the two-step authentication using the user authentication information and the position information at a predetermined time can more reliably prevent an illegal act by impersonation of a third party in network communication.
本発明のセキュリティ管理システムの実施形態について図面を用いて説明する。 An embodiment of a security management system of the present invention will be described with reference to the drawings.
図1は本発明のセキュリティ管理システムの構成例示図であり、図2および図3は本発明のセキュリティ管理システムの機能例示図である。 FIG. 1 is a configuration example diagram of the security management system of the present invention, and FIGS. 2 and 3 are function example diagrams of the security management system of the present invention.
本発明の図1に示されているセキュリティ管理システムは、サーバ(第1情報処理端末)100に対するクライアント(第2情報処理端末)200のインターネット等のネットワークを介した通信(アクセス)の可否を判定してこの通信を制御するものであり、当該サーバ100のハードウェア資源によって構成されている。
The security management system shown in FIG. 1 of the present invention determines whether or not communication (access) via a network such as the Internet of a client (second information processing terminal) 200 with respect to a server (first information processing terminal) 100 is possible. Thus, this communication is controlled, and is configured by hardware resources of the
セキュリティ管理システムは、第1記憶手段101と、第2記憶手段102と、第1認証処理手段110と、第2認証処理手段120と、通信制御処理手段130とを備えている。各記憶手段は、メモリやハードディスク等の記憶装置により構成されている。各処理手段は、CPU、ROM(EEPROM)、RAM等のメモリ、信号入出力回路等のコンピュータのハードウェア資源と、当該コンピュータに入力に応じた一定の演算結果を出力させるためのソフトウェアとにより構成されている。
The security management system includes a
第1認証処理手段110は、サーバ100とのネットワーク通信の要求時にクライアント200から送信された、ユーザに予め割り振られたIDおよびパスワード(認証情報)をネットワーク経由で受信する。そして、第1認証処理手段110は、受信したIDおよびパスワードと一致するIDおよびパスワードが第1記憶手段101により記憶されているか否かを判定する。
The first
第2認証処理手段120は、第1認証処理手段110による判定結果が肯定的なものであった場合、クライアント200に位置情報の送信をネットワーク経由で要求する。また、第2認証処理手段120は、この要求に応じてクライアント200から送信された位置情報をネットワーク経由で受信する。そして、第2認証処理手段120は、ID(もしくはパスワード)および所定時刻に対応付けられている許容範囲情報を第2記憶手段102から読み出し、位置情報に応じた所定時刻におけるユーザの位置が、許容範囲情報に応じた許容範囲に含まれるか否かを判定する。
If the determination result by the first
通信制御処理手段130は、第2認証処理手段120による判定結果に応じてクライアント200のサーバ100へのアクセスを許容または禁止する。
The communication
クライアント200は、キーボードやマウスポインティング装置等の情報入力装置や、画像表示装置、メモリやハードディスク等の記憶装置202、ユーザ(正確にはクライアント200)の位置を測定する位置測定システム(GPS、必要に応じて補助的に高度計により構成されている。)210とを備えている。位置測定システム210により測定された位置(x,y,z)に応じた位置情報f(x,y,z)が、測定時刻とともに記憶装置202により記憶保持される。
The
前記構成のセキュリティ管理システムの機能について図2および図3を用いて説明する。 Functions of the security management system having the above-described configuration will be described with reference to FIGS.
ユーザがクライアント200においてブラウザを起動させ、希望のWebサイトを閲覧するために、このWebサイトが置かれているサーバ100にアクセスを要求する(図2/矢印(1))。
A user activates a browser on the
これに応じて、第1認証処理手段110が「第1認証処理」を実行する(図2/S110)。 In response to this, the first authentication processing means 110 executes “first authentication processing” (FIG. 2 / S110).
具体的には、まず、第1認証処理手段110がIDおよびパスワードの送信を、ネットワークを介してクライアント200に要求する(図2/S112,矢印(2))。これにより、クライアント200の画像表示装置にユーザに予め割り振られているIDおよびパスワードの入力画面が表示される。ユーザがクライアント200のキーボードやポインティング装置等の情報入力装置の操作を通じてクライアント200にIDおよびパスワードを入力すると、このIDおよびパスワードがクライアント200からサーバ100に送信される(図2/矢印(3))。そして、第1認証処理手段110が、クライアント200から送信されたIDおよびパスワードの組み合わせと一致するIDおよびパスワードの組み合わせが第1記憶手段101により記憶されているか否かを判定する(図2/S114)。
Specifically, first, the first
第1認証処理手段110による判定結果が肯定的なものであった場合(図2/S114‥YES)、第2認証処理手段120が「第2認証処理」を実行する(図2/S120)。
If the determination result by the first
具体的には、まず、第2認証処理手段120が所定時刻tにおける位置情報f(x(t),y(t),z(t))の送信を、ネットワークを介してクライアント200に要求する(図2/S122,矢印(4))。複数の所定時刻における複数の位置情報の送信が要求されてもよい。これにより、位置測定システム210により測定された所定時刻tにおけるユーザの位置(x(t),y(t),z(t))に応じた位置情報fが記憶装置202から読み出され、この位置情報fがクライアント200からサーバ100に送信される(図2/矢印(5))。第2認証処理手段120は、IDおよび所定時刻tに対応する許容範囲情報を第2記憶手段102から読み出す。そして、第2認証処理手段120が、クライアント200から送信された位置情報fに応じた所定時刻tにおける位置(x(t),y(t),z(t))が、第2記憶手段102から読み出した許容範囲情報に応じた許容範囲Dに含まれているか否かを判定する(図2/S124)。許容範囲Dはx方向およびy方向には広い(例えばオフィスビルの1フロア全部をカバーする)が、z方向には狭い(例えばオフィスビルの1フロアに限定される)というように指向性を有していてもよい。また、許容範囲Dは複数の範囲に別れていてもよい。
Specifically, first, the second
一方、第1認証処理手段110による判定結果が否定的なものであった場合(図2/S114‥NO)、通信制御処理手段130がクライアント200によるサーバ100へのアクセスを禁止する(図2/S134,破線(2))。これにより、クライアント200の画像表示装置には、アクセスが禁止された旨のメッセージが表示される。
On the other hand, when the determination result by the first
第2認証処理手段120による判定結果に応じて通信制御処理手段130が「通信制御処理」を実行する(図2/S130)。 The communication control processing means 130 executes “communication control processing” in accordance with the determination result by the second authentication processing means 120 (S130 in FIG. 2).
具体的には、第2認証処理手段120による判定結果が肯定的なものであった場合(図2/S124‥YES)、通信制御処理手段130がクライアント200によるサーバ100へのアクセスを許可する(図2/S132,破線(1))。これにより、クライアント200の画像表示装置には、ユーザが希望したWebサイト(Webページ)が表示される。
Specifically, when the determination result by the second
一方、第2認証処理手段120による判定結果が否定的なものであった場合(図2/S124‥NO)、通信制御処理手段130がクライアント200によるサーバ100へのアクセスを禁止する(図2/S134,破線(2))。これにより、クライアント200の画像表示装置には、アクセスが禁止された旨のメッセージが表示される。
On the other hand, when the determination result by the second
本発明のセキュリティ管理システムによれば、クライアント200から送信されたIDおよびパスワードの組合せと一致する組合せが、第1記憶手段102により記憶されているか否かを判定する「第1認証処理」が実行される(図2/S110)。また、第1判定処理において肯定的な判定結果が得られた場合(図2/S114‥YES)、所定時刻tにおけるユーザの位置(x(t),y(t),z(t))が、許容範囲情報により表される許容範囲Dに含まれるか否かを判定する「第2認証処理」が実行される(図2/S120)。これにより、ユーザのIDおよびパスワードが第三者により知られるところとなっても、所定時刻tにおける第三者の位置が許容範囲Dの外にあれば、ネットワーク通信が禁止される。
According to the security management system of the present invention, the “first authentication process” for determining whether or not the combination that matches the combination of the ID and password transmitted from the
たとえば、図3に示されているように所定時刻tにおける測定位置(x(t),y(t),z(t))がIDおよび所定時刻tに応じた許容範囲(斜線部分)D(t)に含まれる場合、クライアント200のサーバ100へのアクセスが許容される(図2/S132,破線(1))。その一方、図3に示されているように所定時刻tにおける測定位置(x’(t),y’(t),z’(t))がIDおよび所定時刻tにおける許容範囲D(t)の外にある場合、クライアント200のサーバ100へのアクセスが禁止される(図2/S134,破線(2))。
For example, as shown in FIG. 3, the measurement position (x (t), y (t), z (t)) at a predetermined time t is an ID and an allowable range (shaded portion) D (corresponding to the predetermined time t). If it is included in t), the
このようにユーザのIDおよびパスワード(認証情報)および所定時刻における位置情報を利用した2段階の認証により、ネットワーク通信における(悪意ある)第三者のなりすましによる不正行為がより確実に防止されうる。 As described above, the two-step authentication using the user ID and password (authentication information) and the position information at a predetermined time can more reliably prevent an illegal act due to (malicious) third party impersonation in network communication.
なお、前記実施形態ではセキュリティ管理システムがサーバ100のハードウェア資源により構成されていたが、他の実施形態としてセキュリティ管理システムがサーバ(第1情報処理端末)100とは別のサーバのハードウェア資源や、ルータなど、第1および第2情報処理端末を接続するネットワーク上の経路に設置されている通信用機器によって構成されてもよい。
In the above embodiment, the security management system is configured by the hardware resources of the
また、前記実施形態では第1認証処理における判定結果が肯定的であることを要件として第2認証処理が実行されたが、他の実施形態としてこれとは逆に第2認証処理における判定結果が肯定的であることを要件として第1認証処理が実行されてもよく、また、第1および第2認証処理が別個独立に実行されてもよい。 Moreover, in the said embodiment, although the 2nd authentication process was performed on condition that the determination result in a 1st authentication process is affirmation, the determination result in a 2nd authentication process is contrary to this as other embodiment. The first authentication process may be executed on the condition that it is affirmative, and the first and second authentication processes may be executed independently.
100‥サーバ(セキュリティ管理システム、第1情報処理端末)、101‥第1記憶手段、102‥第2記憶手段、110‥第1認定処理システム、120‥第2認定処理手段、130‥通信制御処理手段、200‥クライアント(第2情報処理端末)、202‥記憶装置、210‥位置測定システム
DESCRIPTION OF
Claims (1)
第1情報処理端末とのネットワーク通信の要求時に第2情報処理端末から送信された、ユーザに予め割り振られた認証情報をネットワーク経由で受信し、該認証情報と一致する認証情報が第1記憶手段により記憶されているか否かを判定する第1認証処理手段と、
第2情報処理端末に搭載されている位置測定システムによって測定された、所定時刻におけるユーザの位置に応じた位置情報の送信を第2情報処理端末にネットワーク経由で要求し、この要求に応じて第2情報処理端末から送信された位置情報をネットワーク経由で受信し、該認証情報または該認証情報および所定時刻に対応付けられている許容範囲情報を第2記憶手段から読み出し、該位置情報に応じた該所定時刻におけるユーザの位置が、該許容範囲情報に応じた許容範囲に含まれるか否かを判定する第2認証処理手段と、
第1および第2認証処理手段による判定結果に応じて第2情報処理端末の第1情報処理端末とのネットワーク通信を許容または禁止する通信制御処理手段とを備えていることを特徴とするセキュリティ管理システム。 A system for managing network communication security of a plurality of information processing terminals,
Authentication information allocated in advance to the user, transmitted from the second information processing terminal at the time of requesting network communication with the first information processing terminal, is received via the network, and authentication information matching the authentication information is stored in the first storage means. A first authentication processing means for determining whether or not the information is stored by:
The second information processing terminal is requested to transmit the position information according to the position of the user at a predetermined time measured by the position measurement system mounted on the second information processing terminal via the network. (2) The location information transmitted from the information processing terminal is received via the network, and the authentication information or the tolerance information associated with the authentication information and a predetermined time is read from the second storage means, and the location information is Second authentication processing means for determining whether the position of the user at the predetermined time is included in an allowable range according to the allowable range information;
Security management comprising: communication control processing means for permitting or prohibiting network communication of the second information processing terminal with the first information processing terminal according to the determination results by the first and second authentication processing means. system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005307465A JP2007115127A (en) | 2005-10-21 | 2005-10-21 | Security management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005307465A JP2007115127A (en) | 2005-10-21 | 2005-10-21 | Security management system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007115127A true JP2007115127A (en) | 2007-05-10 |
Family
ID=38097223
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005307465A Withdrawn JP2007115127A (en) | 2005-10-21 | 2005-10-21 | Security management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007115127A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013223266A (en) * | 2012-04-13 | 2013-10-28 | Mitsubishi Electric Corp | Electric power system monitoring control system |
JP2018027700A (en) * | 2017-09-25 | 2018-02-22 | キヤノンマーケティングジャパン株式会社 | Image forming apparatus, control method thereof, and program |
-
2005
- 2005-10-21 JP JP2005307465A patent/JP2007115127A/en not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013223266A (en) * | 2012-04-13 | 2013-10-28 | Mitsubishi Electric Corp | Electric power system monitoring control system |
JP2018027700A (en) * | 2017-09-25 | 2018-02-22 | キヤノンマーケティングジャパン株式会社 | Image forming apparatus, control method thereof, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11818253B2 (en) | Trustworthy data exchange using distributed databases | |
JP6880691B2 (en) | Positionable electronic lock control methods, programs and systems | |
US9553858B2 (en) | Hardware-based credential distribution | |
CN101356773B (en) | Ad-hoc creation of group based on contextual information | |
US20150154389A1 (en) | System and method for managing application program access to a protected resource residing on a mobile device | |
TWI513266B (en) | System and method for location-based authentication | |
US20190098058A1 (en) | Control apparatus and control method for enforcing security policies | |
US11611551B2 (en) | Authenticate a first device based on a push message to a second device | |
US20200218830A1 (en) | Method and server for certifying an electronic document | |
US10318725B2 (en) | Systems and methods to enable automatic password management in a proximity based authentication | |
JP2024027133A (en) | Program, information processing device, method | |
JP2007115127A (en) | Security management system | |
US20160269420A1 (en) | Apparatus for verifying safety of resource, server thereof, and method thereof | |
JPWO2020031429A1 (en) | Terminal devices, authentication servers, terminal device control methods, and programs | |
JP2006270646A (en) | Electronic certificate management apparatus | |
JP6197014B2 (en) | Approval control method, approval control system and approval control program for remote operation | |
KR20140023085A (en) | A method for user authentication, a authentication server and a user authentication system | |
WO2016179860A1 (en) | Method and apparatus for protecting position information in multi-operating system terminal, and terminal | |
JP5244551B2 (en) | Information acquisition mediation program, operating system, information acquisition mediation method | |
US20230224309A1 (en) | Method and system for digital identity and transaction verification | |
KR101355862B1 (en) | Application system, authentication system, and mobile payment method using authentication information | |
JP2024024656A (en) | Program, information processing device, method | |
KR101572565B1 (en) | Method for providing active service control, active service control system, and client system thereof | |
JP2008310409A (en) | Information processing system, authentication device, and program | |
KR20190093773A (en) | Method for street parking, apparatus and system for executing the method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090106 |