JP2007164661A - Program, device and method for user authentication - Google Patents

Program, device and method for user authentication Download PDF

Info

Publication number
JP2007164661A
JP2007164661A JP2005362825A JP2005362825A JP2007164661A JP 2007164661 A JP2007164661 A JP 2007164661A JP 2005362825 A JP2005362825 A JP 2005362825A JP 2005362825 A JP2005362825 A JP 2005362825A JP 2007164661 A JP2007164661 A JP 2007164661A
Authority
JP
Japan
Prior art keywords
user
authentication
usage
information
usage trend
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005362825A
Other languages
Japanese (ja)
Inventor
Yutaka Watanabe
豊 渡邉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2005362825A priority Critical patent/JP2007164661A/en
Publication of JP2007164661A publication Critical patent/JP2007164661A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To improve convenience for a user who requests login while assuring security nature. <P>SOLUTION: At a preparation stage, a use tendency information generation processing part 11 collects information regarding user's use situation defined by use situation definition information for a fixed period after user authentication, grasps server use tendency of each user by analyzing the information and generates use tendency information by associating authentication levels with each use situation. To a login request transmitted after termination of preparation, an authentication level determination part 12 compares and collates the user's use situation at the point of receiving the login request with the user's use tendency information to determine an authentication level to the login request. A user authentication execution control part 13 performs the user authentication to the login request according to authentication procedures corresponding to the determined authentication level. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ユーザのサーバコンピュータの利用状況に応じたユーザ認証の提供に関する。   The present invention relates to provision of user authentication in accordance with the usage status of a user's server computer.

従来、ネットワークを介してサーバに接続して運用される各種システムでは、ユーザ認証方法としてユーザIDとパスワードを用いてユーザを認証・承認する方法が一般的であった。しかし、パスワードを用いたユーザ認証方法では、パスワードを記憶しておくことの困難さから、安易なパスワードが設定され、これに伴うパスワードクラック容易化等の問題、更にパスワードの漏洩によるなりすまし等の問題があり、より強固なセキュリティが求められていた。   Conventionally, in various systems operated by connecting to a server via a network, a method of authenticating and approving a user using a user ID and a password is generally used as a user authentication method. However, in the user authentication method using a password, since it is difficult to store the password, an easy password is set, and problems such as easy password cracking associated with this, and further problems such as spoofing due to password leakage There was a need for stronger security.

また、ユーザ認証を必要とするシステムでは、セキュリティの維持・強化を図るために認証手順を複雑化させる方法が考えられていた。しかし、利便性の低下やコストの増大が問題である。例えば、認証の複雑化は、ユーザIDやパスワード以外に、キーワード等の認証情報を要求する、パスワードを複数用意する、などの他の認証情報と組み合わせる方法が一般的であるが、複数の認証情報を常にユーザに入力させることは、システムの利便性の低下を招くことになる。また、指紋や虹彩など個人の身体的特徴を使用したユーザ認証は、個人をより確実に特定することができ、セキュリティの強化の面で効果的であるが、認証機構の導入コストが増大するといった課題がある。IDカードなど秘密情報を用いた認証等その他の認証方法についても機器の導入に伴うコスト増等の問題が発生していた。   Further, in a system that requires user authentication, a method of complicating the authentication procedure has been considered in order to maintain and strengthen security. However, there is a problem of reduced convenience and increased cost. For example, complication of authentication is generally a method of combining authentication information such as requesting authentication information such as keywords in addition to a user ID and password, and preparing other passwords such as a plurality of passwords. If the user is always input, the convenience of the system will be reduced. In addition, user authentication using personal physical features such as fingerprints and irises can identify individuals more reliably and is effective in terms of security enhancement, but the cost of introducing an authentication mechanism increases. There are challenges. Other authentication methods such as authentication using ID information such as ID cards also have problems such as increased costs associated with the introduction of equipment.

このような問題を解決するために、ユーザの利用する端末に依存する固有の情報を用いて認証のセキュリティレベルを向上させる技術がある(例えば、特許文献1〜3)。例えば、ユーザがシステムを利用する際、クライアントとなる端末のMACアドレスやメモリの型番情報など端末固有の情報を認証時に利用する。また、ユーザが通常使用している端末以外からシステムにアクセスしようとする場合の認証手順を複雑化することで、不正なアクセスを試みようとしたユーザを侵入させにくくしたりする。あるいは、ユーザの端末情報を利用してユーザの認証レベルを変化させてセキュリティの強化と利便性の維持を両立させる方法が考えられている。   In order to solve such a problem, there is a technique for improving the security level of authentication using unique information depending on the terminal used by the user (for example, Patent Documents 1 to 3). For example, when a user uses the system, terminal-specific information such as a MAC address of a terminal serving as a client or model number information of a memory is used during authentication. Also, by complicating the authentication procedure when trying to access the system from a terminal other than the terminal that the user normally uses, it is difficult to intrude the user who tries to try unauthorized access. Alternatively, a method has been considered in which the user's terminal information is used to change the user's authentication level to achieve both security enhancement and convenience maintenance.

特開2004−246715号公報JP 2004-246715 A 特開2001−306173号公報JP 2001-306173 A 特開2004−178408号公報JP 2004-178408 A 特開2003−150550号公報JP 2003-150550 A 特開2004−62241号公報Japanese Patent Laid-Open No. 2004-62241

しかしながら、端末固有の情報を認証時に使用することは、通常使用以外の端末からのアクセスや通信機器や端末自体の交換等に伴う端末固有情報が変化した場合の利便性が低下するという問題が発生する。すなわち、Webアプリケーションでは、ブラウザを汎用のクライアントとして使用するため、ユーザは種々の環境からアクセスすることができるが、使用する端末を固定化させてしまっては、このメリットを享受できなくなる。また、端末固有情報の取得元であるネットワークカードやメモリなどの端末構成機器が破損するなどして交換が必要となった場合には、登録されている固有情報を変更する必要がある。多数のユーザが登録されているシステムであれば、この設定情報の変更にかかる管理コストが大きくなる。   However, the use of terminal-specific information at the time of authentication causes a problem that convenience is reduced when the terminal-specific information changes due to access from a terminal other than normal use or exchange of communication equipment or the terminal itself. To do. That is, in the Web application, since the browser is used as a general-purpose client, the user can access from various environments. However, if the terminal to be used is fixed, this advantage cannot be enjoyed. In addition, when the terminal configuration device such as the network card or the memory from which the terminal unique information is acquired needs to be replaced due to damage, the registered unique information needs to be changed. In a system in which a large number of users are registered, the management cost for changing the setting information increases.

本発明は、以上のような課題を解決するためになされたものであり、セキュリティ性を確保しつつログイン要求時におけるユーザ利便性の向上を図ることを目的とする。   The present invention has been made to solve the above-described problems, and an object thereof is to improve user convenience at the time of a login request while ensuring security.

以上のような目的を達成するために、本発明に係るユーザ認証プログラムは、サーバコンピュータの利用を開始する際にユーザ使用のクライアントコンピュータから送られてきたログイン要求に対してユーザ認証を行う機能を有するコンピュータを、各ユーザのサーバコンピュータの利用状況に関する情報を解析することによってサーバコンピュータの利用傾向をユーザ毎に求め、その利用傾向に応じて予め決められた認証レベル基準に従い各利用状況に対する認証レベルをユーザ毎に決定し、各利用状況に認証レベルを対応付けして利用傾向情報をユーザ毎に生成し、利用傾向情報記憶手段に登録する利用傾向情報生成手段、前記利用傾向情報生成手段による利用傾向情報の生成後、ログイン要求が送られてきたときに、前記利用傾向情報記憶手段に記憶された当該ユーザの利用傾向情報に基づいて、当該ユーザ認証を行うための認証レベルを判定する認証レベル判定手段、認証レベル毎に異なる認証手順が設定された認証手順記憶手段から、前記認証レベル判定手段が判定した認証レベルにより特定される認証手順を読み出し、その読み出した認証手順に従いユーザ認証処理を実行するユーザ認証実行手段として機能させるものである。   To achieve the above object, the user authentication program according to the present invention has a function of performing user authentication in response to a login request sent from a client computer used by a user when starting to use a server computer. By analyzing information related to the usage status of the server computer of each user, the usage trend of the server computer is obtained for each user, and the authentication level for each usage status is determined in accordance with an authentication level standard determined in advance according to the usage trend. Is determined for each user, the usage trend information is generated for each user by associating the authentication level with each usage status, and is registered in the usage trend information storage unit. After the trend information is generated, when the login request is sent, the usage trend information From an authentication level determination unit that determines an authentication level for performing the user authentication based on usage trend information of the user stored in the storage unit, an authentication procedure storage unit in which an authentication procedure different for each authentication level is set, An authentication procedure specified by the authentication level determined by the authentication level determination means is read out and functions as a user authentication execution means for executing user authentication processing in accordance with the read authentication procedure.

また、前記利用傾向情報生成手段は、指定された期間内における各ユーザのサーバコンピュータの利用状況に関する情報を解析することによってサーバコンピュータの利用傾向をユーザ毎に求めることを特徴とする。   Further, the usage trend information generation means obtains a usage trend of the server computer for each user by analyzing information related to the usage status of the server computer of each user within a specified period.

また、前記利用傾向情報生成手段は、ユーザが前記サーバコンピュータの利用を開始した時点における当該サーバコンピュータの状況に関する情報又は当該サーバコンピュータの利用に用いたクライアントコンピュータの状況に関する情報の少なくとも一方を、各ユーザのアプリケーションに対する利用状況に関する情報として収集し、解析することを特徴とする。   In addition, the usage trend information generation unit may store at least one of information on the status of the server computer at the time when the user starts using the server computer or information on the status of the client computer used for using the server computer. It is characterized in that it is collected and analyzed as information on the usage status of the user's application.

更に、前記認証レベル判定手段は、利用傾向情報に含まれる複数の情報項目から得られる認証レベルが異なった場合、各情報項目に対して予め設定されたウェイト値に従い重み付け計算を行うことで認証レベルを決定することを特徴とする。   Further, when the authentication level obtained from a plurality of information items included in the usage trend information is different, the authentication level determination means performs a weighting calculation according to a weight value set in advance for each information item. It is characterized by determining.

本発明に係るユーザ認証装置は、サーバコンピュータの利用を開始する際にユーザ使用のクライアントコンピュータから送られてきたログイン要求に対してユーザ認証を行う機能を有するユーザ認証装置において、認証レベル毎に異なる認証手順が設定された認証手順記憶手段と、各ユーザのサーバコンピュータの利用状況に関する情報を解析することによってサーバコンピュータの利用傾向をユーザ毎に求め、その利用傾向に応じて予め決められた認証レベル基準に従い各利用状況に対する認証レベルをユーザ毎に決定し、各利用状況に認証レベルを対応付けして利用傾向情報をユーザ毎に生成し、利用傾向情報記憶手段に登録する利用傾向情報生成手段と、前記利用傾向情報生成手段による利用傾向情報の生成後、ログイン要求が送られてきたときに、前記利用傾向情報記憶手段に記憶された当該ユーザの利用傾向情報に基づいて、当該ユーザ認証を行うための認証レベルを判定する認証レベル判定手段、前記認証レベル判定手段が判定した認証レベルにより特定される認証手順を前記認証手順記憶手段から読み出し、その読み出した認証手順に従いユーザ認証処理を実行するユーザ認証実行手段とを有することを特徴とする。   The user authentication device according to the present invention is different for each authentication level in a user authentication device having a function of performing user authentication in response to a login request sent from a client computer used by a user when starting use of a server computer. The authentication procedure storage means in which the authentication procedure is set, and the usage trend of the server computer are obtained for each user by analyzing the information on the usage status of each user's server computer, and the authentication level predetermined according to the usage trend A usage trend information generating unit that determines an authentication level for each usage status for each user in accordance with a standard, associates an authentication level with each usage status, generates usage trend information for each user, and registers the usage trend information in the usage trend information storage unit; After the usage trend information is generated by the usage trend information generation means, a login request is sent. Authentication level determination means for determining an authentication level for performing the user authentication based on the usage trend information of the user stored in the usage trend information storage means, and the authentication determined by the authentication level determination means User authentication execution means for reading an authentication procedure specified by a level from the authentication procedure storage means and executing user authentication processing in accordance with the read authentication procedure.

本発明に係るユーザ認証方法は、サーバコンピュータの利用を開始する際にユーザ使用のクライアントコンピュータから送られてきたログイン要求に対してユーザ認証を行う機能を有するコンピュータで実施され、各ユーザのサーバコンピュータの利用状況から各ユーザの利用傾向情報を生成する利用傾向情報生成ステップと、利用傾向情報生成後にログイン要求が送られてきたときに、そのログイン要求に対して実施するユーザ認証を決定し、実施するユーザ認証ステップとを含み、前記利用傾向情報生成ステップは、各ユーザのサーバコンピュータの利用状況に関する情報を解析することによってサーバコンピュータの利用傾向をユーザ毎に求め、その利用傾向に応じて予め決められた認証レベル基準に従い各利用状況に対する認証レベルをユーザ毎に決定し、各利用状況に認証レベルを対応付けして利用傾向情報をユーザ毎に生成し、その生成した各ユーザの利用傾向情報を利用傾向情報記憶手段に登録する。また、前記ユーザ認証ステップは、ログイン要求が送られてきたときに、前記利用傾向情報記憶手段に記憶された当該ユーザの利用傾向情報に基づいて、当該ユーザ認証を行うための認証レベルを判定し、認証レベル毎に異なる認証手順が設定された認証手順記憶手段から、判定した認証レベルにより特定される認証手順を読み出し、その読み出した認証手順に従いユーザ認証処理を実行することを特徴とする。   The user authentication method according to the present invention is implemented by a computer having a function of performing user authentication in response to a login request sent from a client computer used by a user when starting use of a server computer. Usage trend information generation step for generating usage trend information of each user from the usage status of the user, and when a login request is sent after the usage trend information is generated, user authentication to be performed for the login request is determined and executed The usage trend information generating step obtains the usage trend of the server computer for each user by analyzing information on the usage status of the server computer of each user, and determines in advance according to the usage trend. The authentication level for each usage status is in accordance with the specified authentication level standard. Was determined for each user, a usage trend information generated for each user by associating the authentication level to each usage, registers the use tendency information of each user thus generated to the use tendency information storage means. Further, the user authentication step determines an authentication level for performing the user authentication based on the usage trend information of the user stored in the usage trend information storage unit when a login request is sent. An authentication procedure specified by the determined authentication level is read from the authentication procedure storage means in which different authentication procedures are set for each authentication level, and user authentication processing is executed according to the read authentication procedure.

本発明によれば、ユーザのサーバコンピュータの利用状況を解析することによってユーザ毎の利用傾向を把握し、その後、ユーザのサーバコンピュータの利用の開始に際し、その時点でのユーザの利用状況に応じてユーザ認証を行う認証手順を動的に決定するようにした。すなわち、ユーザのサーバコンピュータの利用開始時点における当該ユーザの利用状況が当該ユーザの利用傾向からして頻度の高い利用状況であると判断したときには認証手順を簡易化することによってユーザの便宜を図り、その一方、頻度の低い利用状況であると判断したときには認証手順を複雑化することでセキュリティの強化を図ることができるようにしたので、セキュリティ性を確保しつつユーザ認証時におけるユーザ利便性の向上を図ることができる。   According to the present invention, the usage trend of each user is grasped by analyzing the usage status of the user's server computer, and then, according to the usage status of the user at that time, when the user's usage of the server computer is started. The authentication procedure for user authentication is determined dynamically. In other words, when it is determined that the usage status of the user at the start of usage of the user's server computer is a high usage status based on the usage trend of the user, the user's convenience is achieved by simplifying the authentication procedure, On the other hand, when it is judged that the usage situation is infrequent, it is possible to enhance security by complicating the authentication procedure, thus improving user convenience during user authentication while ensuring security. Can be achieved.

以下、図面に基づいて、本発明の好適な実施の形態について説明する。   Hereinafter, preferred embodiments of the present invention will be described with reference to the drawings.

図1は、本実施の形態におけるネットワークシステムの全体構成図である。図1には、ユーザが利用する複数台のクライアントコンピュータ(以下、単に「クライアント」)2と、クライアントユーザがインターネット4を介して利用する複数のWebアプリケーションがインストールされたサーバコンピュータ(以下、単に「サーバ」)6とが示されている。   FIG. 1 is an overall configuration diagram of a network system according to the present embodiment. FIG. 1 shows a plurality of client computers (hereinafter simply “clients”) 2 used by a user and a server computer (hereinafter simply referred to as “clients”) installed with a plurality of Web applications used by the client users via the Internet 4. Server ") 6.

サーバ6は、ユーザにより指定されたWebアプリケーションを実行するアプリケーション実行部8とユーザにWebアプリケーションを実行させる前にユーザ認証を行うユーザ認証処理部10を有している。   The server 6 includes an application execution unit 8 that executes a Web application specified by the user and a user authentication processing unit 10 that performs user authentication before causing the user to execute the Web application.

以上の構成において、ユーザは、サーバ6に搭載されたいずれかのWebアプリケーションを利用したいとき、当該Webアプリケーションとその格納先を示すURLを入力することでログイン要求をサーバ6に発する。ユーザ認証処理部10は、クライアント2からのログイン要求に応じてログインフォームを返信する。ユーザがログインフォームからユーザ名(ユーザID)とパスワードを入力すると、後述する所定の認証手順に従いユーザ認証処理を実行する。アプリケーション実行部8は、ユーザ認証後、ユーザにより指定されたWebアプリケーションを実行する。   In the above configuration, when a user wants to use any of the Web applications installed in the server 6, the user issues a login request to the server 6 by inputting a URL indicating the Web application and its storage location. The user authentication processing unit 10 returns a login form in response to a login request from the client 2. When the user inputs a user name (user ID) and password from the login form, user authentication processing is executed according to a predetermined authentication procedure described later. The application execution unit 8 executes a Web application designated by the user after user authentication.

図2は、図1に示したユーザ認証処理部10のブロック構成図である。ユーザ認証処理部10は、利用傾向情報生成処理部11、認証レベル判定部12及びユーザ認証実行制御部13を有している。また、各種情報の記憶手段として、利用状況定義情報記憶部14、利用状況蓄積部15、利用傾向情報記憶部16及び認証手順定義情報記憶部17を有している。利用傾向情報生成処理部11は、各ユーザのサーバ6の利用状況を収集し、利用状況蓄積部15に記録する。更に、各ユーザの一定期間内におけるサーバ6の利用状況に関する情報を解析することによってサーバ6の利用傾向をユーザ毎に求め、その利用傾向に応じて各利用状況に対する認証レベルをユーザ毎に決定し、各利用状況に認証レベルを対応付けして利用傾向情報をユーザ毎に生成する。そして、生成した利用傾向情報を利用傾向情報記憶部16に登録する。認証レベル判定部12は、ログイン要求が送られてきたときに、そのログイン要求を受信した時点における当該ユーザの利用状況から当該ユーザ認証を行うための認証レベルを判定する。ユーザ認証実行制御部13は、受信したログイン要求に対して、認証レベル判定部12により判定された判定レベルに従った認証手順によりユーザ認証を行う。また、ユーザ認証の実行に加えて、クライアント2との間で情報授受を行うと共に利用傾向情報生成処理部11及び認証レベル判定部12の起動等ユーザ認証に関する動作制御を行う。上記構成要素11〜13における処理機能は、サーバ6と当該処理機能を実現する1乃至複数のユーザ認証プログラムとの協調動作により実現される。   FIG. 2 is a block diagram of the user authentication processing unit 10 shown in FIG. The user authentication processing unit 10 includes a usage trend information generation processing unit 11, an authentication level determination unit 12, and a user authentication execution control unit 13. Further, as various information storage means, a usage status definition information storage unit 14, a usage status storage unit 15, a usage trend information storage unit 16, and an authentication procedure definition information storage unit 17 are provided. The usage trend information generation processing unit 11 collects the usage status of each user's server 6 and records it in the usage status storage unit 15. Furthermore, the usage trend of the server 6 is obtained for each user by analyzing information related to the usage status of the server 6 within a certain period of time for each user, and an authentication level for each usage status is determined for each user according to the usage trend. The usage level information is generated for each user by associating the usage level with each usage status. Then, the generated usage trend information is registered in the usage trend information storage unit 16. When a login request is sent, the authentication level determination unit 12 determines an authentication level for performing the user authentication from the usage status of the user at the time when the login request is received. The user authentication execution control unit 13 performs user authentication with respect to the received login request by an authentication procedure according to the determination level determined by the authentication level determination unit 12. In addition to performing user authentication, information is exchanged with the client 2 and operation control related to user authentication such as activation of the usage trend information generation processing unit 11 and the authentication level determination unit 12 is performed. The processing functions in the constituent elements 11 to 13 are realized by a cooperative operation between the server 6 and one or more user authentication programs that realize the processing functions.

なお、各記憶部14〜17については、動作の説明時に合わせて説明する。各記憶部14〜17は、本実施の形態では、サーバ6に搭載されたHDDなどの外部記憶装置で実現することを想定しているが、必要なデータがコピーされた状態のRAMで実現するようにしてもよい。   The storage units 14 to 17 will be described together with the description of the operation. In the present embodiment, each of the storage units 14 to 17 is assumed to be realized by an external storage device such as an HDD mounted on the server 6, but is realized by a RAM in a state where necessary data is copied. You may do it.

次に、本実施の形態における動作について説明する。本実施の形態では、各ユーザの利用傾向を求め、利用傾向情報記憶部16に設定登録する利用傾向情報を取得するまでの処理と、送られてきたログイン要求に応じて認証手順を決定し、その決定した認証手順に従ってユーザ認証を実行する処理とに大別できる。前者は、事前準備として実施する処理であり、後者は、事前準備完了後に実施する処理に相当するので、最初に、各ユーザの利用状況から利用傾向を求め、利用傾向情報を静止、登録するまでの処理について説明する。   Next, the operation in this embodiment will be described. In the present embodiment, the usage trend of each user is determined, the processing until obtaining usage trend information to be set and registered in the usage trend information storage unit 16, and the authentication procedure is determined according to the login request sent, It can be roughly divided into processing for executing user authentication in accordance with the determined authentication procedure. The former is a process performed as advance preparation, and the latter is equivalent to a process executed after completion of the advance preparation. First, the usage trend is obtained from the usage status of each user, and the usage trend information is statically registered. The process will be described.

本実施の形態では、本実施の形態の特徴的なユーザ認証処理を行う前準備として、一定期間におけるユーザの利用状況を収集することになるが、この処理は、主に利用傾向情報生成処理部11により実施される。本実施の形態では、収集対象とするユーザの利用状況というのがいかなる情報であるかというのを示す利用状況定義情報を予め定義して利用状況定義情報記憶部14に設定登録するように構成した。この利用状況定義情報記憶部14に設定登録される利用状況定義情報を図3に示す。   In this embodiment, as a preparation for performing the characteristic user authentication process of the present embodiment, the user usage status for a certain period is collected. This process is mainly used as a usage trend information generation processing unit. 11 is implemented. In the present embodiment, the usage status definition information indicating what kind of information the usage status of the user to be collected is defined in advance and set and registered in the usage status definition information storage unit 14. . The usage status definition information set and registered in the usage status definition information storage unit 14 is shown in FIG.

図3では、利用状況定義情報を、クライアント側及びサーバ側の各状況に関する情報に分類して示した。クライアント側の状況に関する情報というのは、ユーザが使用するクライアント2の利用環境に関する情報(クライアント環境情報)であり、本実施の形態では、サーバ6へのアクセスに用いるブラウザの名称及びバージョン、言語、クライアント2の固有情報の代表例であるIPアドレスで構成した。一方、サーバ側の状況に関する情報というのは、ユーザにより利用された時点におけるサーバ6の状況に関する情報(システム利用状況情報)であり、本実施の形態では、ログイン要求に応じてユーザ認証した時点の曜日、時刻により特定される利用時間帯(利用時間帯は、24時間を区切って事前に設定している)、ユーザが利用したWebアプリケーションの名称等アプリケーション情報、ユーザがアクセスしたページに関する情報及びコンテンツに関する情報で構成した。   In FIG. 3, the usage status definition information is classified into information on each status on the client side and the server side. The information on the situation on the client side is information on the usage environment of the client 2 used by the user (client environment information). In this embodiment, the name and version of the browser used for accessing the server 6, the language, The IP address is a typical example of client 2 specific information. On the other hand, the information on the server-side status is information on the status of the server 6 at the time of use by the user (system usage status information), and in this embodiment, the information at the time of user authentication in response to the login request. Use time zone specified by the day of the week and time (the use time zone is set in advance by dividing 24 hours), the application information such as the name of the Web application used by the user, information and contents regarding the page accessed by the user Consists of information about.

事前準備段階において、ユーザからのログイン要求に応じてユーザ認証実行制御部13は、通常のユーザ認証処理を行う。利用傾向情報生成処理部11は、ユーザ認証された後、利用状況定義情報記憶部14から利用状況定義情報を読み出し、この利用状況定義情報で定義されている情報項目、具体的にはサーバ6をアクセスしたときに使用されているクライアント2で起動されているブラウザの名称及びバージョンを、言語取得し、通信パケットに含まれているIPアドレスを抽出することによってクライアント環境情報を収集する。また、これと同時にユーザ認証された時点の日時から得られる曜日、利用時間帯、ユーザ要求から特定できるアプリケーション情報、ページ及びコンテンツ情報を取得することによってシステム利用状況情報を収集する。そして、収集した情報を組にして利用状況蓄積部15に記録する。   In the preliminary preparation stage, the user authentication execution control unit 13 performs normal user authentication processing in response to a login request from the user. After the user authentication, the usage trend information generation processing unit 11 reads the usage status definition information from the usage status definition information storage unit 14 and selects the information item defined by the usage status definition information, specifically the server 6. The client environment information is collected by acquiring the language of the name and version of the browser activated on the client 2 being used when accessing and extracting the IP address included in the communication packet. At the same time, system usage status information is collected by acquiring application information, pages, and content information that can be specified from the day of the week, the usage time zone, and the user request obtained from the date and time when user authentication is performed. Then, the collected information is recorded in the usage status storage unit 15 as a set.

そして、例えば1ヶ月など予め決められた一定時間経過後、利用傾向情報生成処理部11は、利用傾向情報の生成を開始する。なお、利用傾向情報生成処理部11は、一定期間のみ情報を収集してもよいし、収集した利用状況に関する情報の中から利用傾向情報の生成のために一定期間に含まれる情報を抽出するようにしてもよい。   Then, for example, after a predetermined time such as one month elapses, the usage trend information generation processing unit 11 starts generating usage trend information. Note that the usage trend information generation processing unit 11 may collect information only for a certain period, or extract information included in the certain period for generating usage trend information from the collected usage status information. It may be.

利用傾向情報生成処理部11が生成する利用傾向情報の内容例を図4及び図5に示す。利用傾向情報のうち、図4はシステム利用状況情報に対応するシステム側(サーバ6側)の利用傾向情報の内容例であり、図5はクライアント環境情報に対応するクライアント2側の利用傾向情報の内容例である。本実施の形態では、認証レベルを4段階に設定しているので、ユーザの利用状況に応じて「曜日」、「利用時間帯」あるいは「ブラウザ名及びバージョン」等の各情報項目に該当する要素をいずれかの認証レベルに割り振って利用傾向情報を生成することになる。ここで、利用傾向情報の生成方法の一例を、図6を用いて説明する。   An example of the contents of the usage trend information generated by the usage trend information generation processing unit 11 is shown in FIGS. Of the usage trend information, FIG. 4 shows an example of the usage trend information on the system side (server 6 side) corresponding to the system usage status information, and FIG. 5 shows the usage trend information on the client 2 side corresponding to the client environment information. It is a content example. In this embodiment, since the authentication level is set in four stages, elements corresponding to information items such as “day of the week”, “usage time zone”, or “browser name and version” according to the usage status of the user Is assigned to any of the authentication levels to generate usage trend information. Here, an example of a method of generating usage trend information will be described with reference to FIG.

図6は、あるユーザにより一定期間内にされたサーバアクセスの回数を曜日毎に集計した結果をグラフ表示したときの図である。本実施の形態では、曜日の利用傾向を求めるためにユーザ利用状況として一定期間内におけるサーバアクセスの回数を解析することにしている。図6に例示したように、一定期間内における月曜日から日曜日までの各アクセス回数が20,12,5,27,30,2,0であったとする。本実施の形態では、認証レベルを4段階としているが、サーバアクセス回数に関しては、0回以上5回未満を認証レベル4、5回以上10回未満を認証レベル3、10回以上17回未満を認証レベル2、そして17回以上を認証レベル1に割り振るという認証レベル基準を予め設定している。従って、アクセス回数が20回の月曜日の認証レベルは1と決まる。そして、アクセス回数が12回の火曜日の認証レベルは2と決まる。その他の曜日も同様にして認証レベルを決めることができる。このようにして、各曜日の認証レベルが決まると、各曜日を認証レベルに対応させて利用傾向情報記憶部16に設定登録する。このように、ユーザの利用状況に応じて各情報目に含まれる要素(曜日の場合は月、火、水、・・・、日)の認証レベルを決定する。   FIG. 6 is a graph when the result of totaling the number of server accesses made by a certain user within a certain period for each day of the week is displayed in a graph. In this embodiment, the number of server accesses within a certain period is analyzed as the user usage status in order to obtain the usage trend of the day of the week. As illustrated in FIG. 6, it is assumed that the number of accesses from Monday to Sunday within a certain period is 20, 12, 5, 27, 30, 2, 0. In this embodiment, the authentication level is set in four stages. Regarding the number of server accesses, the authentication level is 4 times or more and less than 5 times, and the authentication level is 3 or more and less than 10 times. An authentication level standard of assigning authentication level 2 and 17 or more times to authentication level 1 is set in advance. Therefore, the authentication level for Monday with 20 accesses is determined to be 1. Then, the authentication level for Tuesday with 12 accesses is determined to be 2. The authentication level can be similarly determined for other days of the week. When the authentication level for each day of the week is determined in this way, each day of the week is set and registered in the usage trend information storage unit 16 in association with the authentication level. In this way, the authentication level of the elements included in each information item (month, Tuesday, Wednesday,.

なお、以上の説明から明らかなようにユーザの利用頻度が高いほど小さい数値の認証レベルが割り振られることになる。「利用時間帯」や「アプリケーション」、更に「ブラウザ名及びバージョン」等のクライアント環境情報の情報項目についても同様に、利用傾向情報生成処理部11は、利用状況蓄積部15から一定期間内の利用状況に関する情報を読み出し、前述したアクセス回数等読み出した情報の解析を行うことによって当該ユーザの利用傾向を求め、利用傾向情報を生成、登録する。この処理をユーザ毎に行う。   As is clear from the above description, the lower the user usage frequency, the smaller the authentication level is assigned. Similarly, with respect to information items of client environment information such as “usage time zone”, “application”, and “browser name and version”, the usage trend information generation processing unit 11 uses the usage status storage unit 15 within a certain period of time. Information on the situation is read, and the read information such as the number of accesses described above is analyzed to obtain the user's usage trend, and usage trend information is generated and registered. This process is performed for each user.

以上のようにして、本実施の形態の特徴的なユーザ認証処理を実施するための事前準備を行う。   As described above, advance preparations for performing the characteristic user authentication processing of the present embodiment are performed.

続いて、前述した事前準備完了後におけるユーザ認証処理について説明する。   Next, the user authentication process after completion of the above-described advance preparation will be described.

図7は、本実施の形態における認証手順定義情報記憶部17に事前に設定登録された認証手順定義情報の設定例を示した図である。本実施の形態では、ユーザ認証を行うための認証手順を複数用意しておき、その中からユーザからのログイン要求に対して実際に行うユーザ認証のための認証手順を、ログイン要求時における当該ユーザの利用状況に応じて動的に決定することを特徴としている。本実施の形態では、4段階の認証レベルを設定し、各認証レベルに対応させて認証手順を設定する。図8に示した設定例によると、認証手順として、認証レベル1ではパスワードのみによるユーザ認証を行い、認証レベル2ではパスワードとキーワード入力によるユーザ認証を行う。認証レベル3では、更にクライアント証明書の提示によるユーザ認証を行い、認証レベル4では更にユーザ認証処理の実行に制限時間を設定する。   FIG. 7 is a diagram showing a setting example of authentication procedure definition information that is set and registered in advance in the authentication procedure definition information storage unit 17 in the present embodiment. In the present embodiment, a plurality of authentication procedures for user authentication are prepared, and the authentication procedure for user authentication actually performed in response to the login request from the user is determined by the user at the time of the login request. It is characterized in that it is dynamically determined according to the usage situation. In the present embodiment, four levels of authentication are set, and an authentication procedure is set corresponding to each authentication level. According to the setting example shown in FIG. 8, as an authentication procedure, user authentication is performed using only a password at authentication level 1, and user authentication is performed using a password and keyword input at authentication level 2. At authentication level 3, user authentication is further performed by presenting a client certificate, and at authentication level 4, a time limit is set for execution of user authentication processing.

以上の各認証レベルに対する認証手順の設定例から、認証レベルの値が大きくなるほど認証項目数が増え複雑化かつ認証の高度化がされることによりセキュリティレベルが向上(セキュリティが強化)していることが理解できる。   Based on the above authentication procedure setting examples for each authentication level, the security level is improved (security is strengthened) as the authentication level value increases and the number of authentication items increases, making authentication more sophisticated. Can understand.

次に、本実施の形態におけるユーザ認証処理について図8に示したフローチャートを用いて説明する。   Next, user authentication processing in the present embodiment will be described using the flowchart shown in FIG.

ユーザは、Webブラウザ上で所定のURLを入力することでログイン要求をする。ユーザ認証実行制御部13は、クライアントユーザが発信したログイン要求を受信すると、その要求に応じてログインフォームを当該クライアント2へ返信し、クライアント2に画面表示させる(ステップ101)。ユーザが画面表示されたログインフォームからユーザ認証に必要な所定の項目、すなわちユーザ名及びパスワードを入力すると、ユーザ認証実行制御部13は、ユーザにより入力されたユーザ名及びパスワードを受け付ける(ステップ102)。続いて、ユーザ認証実行制御部13は、従前の方法にてユーザ名を図示しない記憶手段に登録されているユーザ認証情報と比較・照合することで登録ユーザか否かを判断した後、現時点におけるログイン要求をしたユーザの利用状況を収集する(ステップ103)。ここで収集する情報は、利用傾向情報との比較・照合のために用いる情報、具体的にはクライアント環境情報及びシステム利用状況情報にてそれぞれ定義された情報項目である。   The user makes a login request by inputting a predetermined URL on the Web browser. Upon receiving the login request sent by the client user, the user authentication execution control unit 13 returns a login form to the client 2 in response to the request and causes the client 2 to display a screen (step 101). When the user inputs a predetermined item necessary for user authentication, that is, a user name and password, from the login form displayed on the screen, the user authentication execution control unit 13 accepts the user name and password input by the user (step 102). . Subsequently, the user authentication execution control unit 13 determines whether or not the user is a registered user by comparing and collating the user name with user authentication information registered in a storage unit (not shown) by a conventional method. The usage status of the user who made the login request is collected (step 103). The information collected here is information items defined for comparison and collation with usage trend information, specifically, client environment information and system usage status information.

続いて、認証レベル判定部12は、ユーザ認証実行制御部13が収集したユーザ利用状況情報を受け取ると、当該ユーザの利用傾向情報を利用傾向情報記憶部16から読み出し、その受け取ったユーザ利用状況情報を、読み出した利用傾向情報と比較・照合し、合致する認証レベルを特定する(ステップ104)。例えば、図4に示した設定例に従うとすると、本日が月曜日であった場合、認証レベルは1と判定される。なお、現時点が月曜日の8:00であった場合、曜日にて判定される認証レベルは1であるが、利用時間帯で判定すると認証レベルは2であり、判定結果が異なってくる。この場合は、何らかの手法によって当該ログイン要求に対して単一の認証レベルを決定しなければならないが、この決定方法については、追って詳述する。   Subsequently, when receiving the user usage status information collected by the user authentication execution control unit 13, the authentication level determination unit 12 reads the usage trend information of the user from the usage trend information storage unit 16, and receives the received user usage status information. Are compared with the read usage trend information to identify a matching authentication level (step 104). For example, if the setting example shown in FIG. 4 is followed, if today is Monday, the authentication level is determined to be 1. Note that if the current time is Monday at 8:00, the authentication level determined at the day of the week is 1, but if determined in the usage time zone, the authentication level is 2, and the determination results are different. In this case, a single authentication level must be determined for the login request by some method, and this determination method will be described in detail later.

認証レベルを決定すると、認証レベル判定部12は、その決定した認証レベルに対応する認証手順を認証手順定義情報記憶部17から読み出し取得する(ステップ105)。この取得した認証手順が当該ログイン要求に対して実行するユーザ認証の実施手順となる。例えば、認証レベルが1であれば、パスワードのみによるユーザ認証を行い、認証レベルが2であれば、パスワード確認後、キーワード入力によるユーザ認証を行う。認証レベル判定部12は、以上のように特定した認証手順をユーザ認証実行制御部13に通知する。   When the authentication level is determined, the authentication level determination unit 12 reads and acquires the authentication procedure corresponding to the determined authentication level from the authentication procedure definition information storage unit 17 (step 105). This acquired authentication procedure is a user authentication execution procedure executed in response to the login request. For example, if the authentication level is 1, user authentication is performed using only a password, and if the authentication level is 2, user authentication is performed using keyword input after password confirmation. The authentication level determination unit 12 notifies the user authentication execution control unit 13 of the authentication procedure specified as described above.

認証レベル判定部12から認証手順の通知を受けると、ユーザ認証実行制御部13は、その認証手順に従ってユーザ認証を実施する(ステップ106)。なお、ユーザ認証実行制御部13は、認証レベル判定部12から認証レベルを受け取り、自ら認証手順定義情報記憶部17にアクセスして認証手順を取得するようにしてもよい。   Upon receiving the notification of the authentication procedure from the authentication level determination unit 12, the user authentication execution control unit 13 performs user authentication according to the authentication procedure (step 106). Note that the user authentication execution control unit 13 may receive the authentication level from the authentication level determination unit 12 and access the authentication procedure definition information storage unit 17 by itself to acquire the authentication procedure.

本実施の形態では、いずれの認証レベルの場合もパスワードによるユーザ認証を行う必要があるので、ステップ102にて取得済みのユーザ名とパスワードを用いてユーザ認証を行う。そして、2以上の認証レベルの場合は、更にキーワード入力用フォームを当該クライアント2へ送信し、ブラウザに画面表示させる。そして、そのキーワード入力用フォームからユーザにより入力されたキーワードを受け付けると、ユーザ認証実行制御部13は、キーワードによるユーザ認証を行う。そして、3以上の認証レベルの場合は、更にクライアント証明書の提示要求を当該クライアント2へ送信する。この提示要求に応じてユーザから送られてきたクライアント証明書を受け付けると、ユーザ認証実行制御部13は、提示されたクライアント証明書によるユーザ認証を行う。そして、認証レベルが4であった場合、ユーザ認証実行制御部13は、特定された認証手順に従ったユーザ認証を開始してから現在に至るまでに要する時間が、予め設定した制限時間(タイムアウト時間)内であるか否かを判定する。つまり、正規なログインユーザであれば、キーワードの入力、クライアント証明書の提示を迅速に行うことができるが、不正ログイン要求者であれば、その入力・提示操作を迅速に行えず必要以上の時間を要してしまう可能性があるため、本実施の形態では、セキュリティ強化の一手法としてタイムアウトを設定することにした。このようにして、ユーザ認証処理を実施した結果、正常に終了すれば、サーバ6へのログインを許可し、一方ユーザを認証できなければログイン要求を拒否することになる。なお、キーボード入力やクライアント証明書に基づく個々のユーザ認証並びに入力エラー等があった場合の対処方法に関しては、従前からある手法を利用することができるので、各手法の詳細についての説明は省略する。   In this embodiment, since it is necessary to perform user authentication using a password at any authentication level, user authentication is performed using the user name and password acquired in step 102. If the authentication level is 2 or higher, a keyword input form is further transmitted to the client 2 and displayed on the browser screen. When a keyword input by the user is received from the keyword input form, the user authentication execution control unit 13 performs user authentication using the keyword. If the authentication level is 3 or higher, a client certificate presentation request is further transmitted to the client 2. When receiving the client certificate sent from the user in response to the presentation request, the user authentication execution control unit 13 performs user authentication using the presented client certificate. When the authentication level is 4, the user authentication execution control unit 13 determines that the time required from the start of user authentication according to the specified authentication procedure to the present time is a preset time limit (timeout). It is determined whether it is within (time). In other words, if you are a legitimate login user, you can quickly enter keywords and present your client certificate, but if you are an unauthorized login requester, you will not be able to perform the input / presentation operation quickly and will take more time than necessary. In this embodiment, a timeout is set as a method for enhancing security. As a result of performing the user authentication process in this way, if the process is completed normally, login to the server 6 is permitted, and if the user cannot be authenticated, the login request is rejected. In addition, as for the coping method when there is an individual user authentication based on keyboard input or client certificate and an input error, etc., a conventional method can be used, so the detailed explanation of each method is omitted. .

ここで、ステップ104において行う認証レベルの決定処理について詳述する。前述したように、ログイン要求を受け付けた時点が月曜日の8:00であった場合、曜日にて判定される認証レベルは1であるが、利用時間帯で判定すると認証レベルは2であり、判定結果が異なってくる。このような場合でも、当該ログイン要求に対して単一の認証レベルを決定しなければならないが、本実施の形態では、重み付けを行うことで認証レベルを決定するようにした。この重み付けを行うパターンについて図9を用いて説明する。   Here, the authentication level determination process performed in step 104 will be described in detail. As described above, if the login request is received at 8:00 on Monday, the authentication level determined at the day of the week is 1, but the authentication level is 2 when determined by the usage time period. The result will be different. Even in such a case, it is necessary to determine a single authentication level for the login request, but in this embodiment, the authentication level is determined by weighting. The pattern which performs this weighting is demonstrated using FIG.

本実施の形態において利用傾向情報を構成する情報は、ユーザが使用するクライアント2に関する情報(クライアント環境情報)とサーバ6に関する情報(システム利用状況情報)とに大別できる。そして、クライアント環境情報は、利用状況定義情報にて定義したようにブラウザの名称及びバージョン、言語、IPアドレス等の情報項目で構成され、システム利用状況情報は、曜日、利用時間帯、アプリケーション情報、ページ情報、コンテンツ情報等の情報項目で構成される。図9(a)は、大別した情報毎に重み付けをした例を示している。つまり、図9(a)に示した設定例によると、クライアント環境情報を構成するブラウザ名、バージョン、言語、IPアドレス共にウェイト値は0.3と設定され、システム利用状況情報を構成する曜日、利用時間帯、アプリケーション情報、ページ情報、コンテンツ情報共にウェイト値は0.7と設定される。また、図9(b)には、クライアント環境情報を構成するブラウザ名、バージョン、言語、IPアドレスに対して個別にウェイト値を設定した例が示されている。また、図9(c)には、システム利用状況情報を構成する曜日、利用時間帯、アプリケーション情報、ページ情報、コンテンツ情報に対して個別にウェイト値を設定した例が示されている。このように、各情報項目に対して予めウェイト値を設定し重み付け計算を行うことで、ログイン要求に対して単一の認証レベルを決定する。そして、単一の認証レベルが決定されると、前述したように認証手順が決定されるので、その認証手順に従い当該ログイン要求に対してユーザ認証処理を行うことになる。   Information constituting the usage trend information in this embodiment can be broadly divided into information related to the client 2 used by the user (client environment information) and information related to the server 6 (system usage status information). The client environment information is composed of information items such as the browser name and version, language, and IP address as defined in the usage status definition information. The system usage status information includes the day of the week, usage time zone, application information, It consists of information items such as page information and content information. FIG. 9A shows an example in which weighting is performed for each broadly classified information. That is, according to the setting example shown in FIG. 9A, the weight value is set to 0.3 for the browser name, version, language, and IP address constituting the client environment information, and the day of the week constituting the system usage information, The weight value is set to 0.7 for the usage time zone, application information, page information, and content information. FIG. 9B shows an example in which weight values are individually set for the browser name, version, language, and IP address constituting the client environment information. FIG. 9C shows an example in which weight values are individually set for the day of the week, the usage time zone, application information, page information, and content information constituting the system usage status information. In this way, a single authentication level is determined for the login request by setting a weight value in advance for each information item and performing weighting calculation. When a single authentication level is determined, an authentication procedure is determined as described above, and user authentication processing is performed for the login request according to the authentication procedure.

本実施の形態では、前述したように、各ユーザのサーバ6の利用状況を蓄積し、その蓄積した情報から一定期間における各ユーザの利用傾向を把握しておき、そして、例えば、あるユーザが習慣的に行っているサーバ6の利用状況に即したログイン要求(例えば、月曜日の10:00のログイン要求)であれば、過去の利用傾向から正規ユーザによるログイン要求の可能性が相対的に高いと判断して、ユーザ認証のセキュリティレベルを下げ、パスワードのみによるユーザ認証とする。一方、当該ユーザが通常行っている利用状況と異なる状況によるログイン要求(例えば、水曜日の1:00のログイン要求)であれば、過去の利用傾向から正規ユーザによるログイン要求の可能性が相対的に低いと判断して、ユーザ認証のセキュリティレベルを上げ、キーボード入力等他の手法によるユーザ認証を付加的に実施する。すなわち、日常的なサーバ利用が要求されたのであれば、セキュリティレベルを下げてユーザ利便性を優先させ、非日常的なサーバ利用が要求されたのであればセキュリティレベルを上げることでユーザ利便性よりセキュリティ強化を優先させるようにした。   In the present embodiment, as described above, the usage status of each user's server 6 is accumulated, and the usage tendency of each user for a certain period is grasped from the accumulated information. If the log-in request is based on the usage status of the server 6 that is regularly performed (for example, a log-in request at 10:00 on Monday), the possibility of a log-in request by a regular user is relatively high due to past usage trends. Judgment is made, the security level of user authentication is lowered, and user authentication is performed only with a password. On the other hand, if the login request is a situation different from the normal usage situation of the user (for example, a login request of 1:00 on Wednesday), the possibility of a login request by a regular user is relatively based on past usage trends. It is judged that the security level is low, and the security level of user authentication is increased, and user authentication by other methods such as keyboard input is additionally performed. That is, if daily server usage is required, the security level is lowered to give priority to user convenience, and if extraordinary server usage is requested, the security level is increased to improve user convenience. Prioritized security enhancement.

本実施の形態によれば、以上のように同一ユーザからのログイン要求であっても、そのログイン要求がされた時点でのユーザ利用状況に応じてパスワードのみによるユーザ認証としたり、あるいは複数の認証方法を組み合わせたり、認証手順を動的に変更することができる。このように、ログイン要求がされた時点の利用状況に応じて適切なセキュリティレベルを選択できるようにしたので、セキュリティ性を確保しつつユーザの利便性の向上を図ることができる。   According to the present embodiment, even when a login request is made from the same user as described above, user authentication based on a user only at the time when the login request is made, or a plurality of authentications. The methods can be combined and the authentication procedure can be changed dynamically. As described above, since an appropriate security level can be selected according to the usage situation at the time when the login request is made, it is possible to improve the convenience of the user while ensuring the security.

ところで、本実施の形態では、利用状況定義情報と認証手順定義情報とを事前に各記憶部14,17に設定登録しておく必要があるが、図2に示した構成に情報管理手段を設けて、各記憶部14,17に記憶された各定義情報の追加、変更、削除等の更新を適宜実施できるように構成してもよい。   By the way, in the present embodiment, it is necessary to set and register the usage status definition information and the authentication procedure definition information in the storage units 14 and 17 in advance, but an information management means is provided in the configuration shown in FIG. In addition, the definition information stored in the storage units 14 and 17 may be appropriately updated such as addition, change, and deletion.

また、利用状況定義情報で定義する各種情報は、本実施の形態において例示した項目に限定されることなく適宜選定することが可能である。例えば、本実施の形態では、ユーザがサーバ6にログインしてサーバ6に搭載されたWebアプリケーションを利用するようシステムを構成したので、システム利用状況情報にはアプリケーション情報を含めるようにしたが、Webアプリケーション以外の資源を利用するよう構成するのであれば、アプリケーションの代わりにその資源に関する情報を情報項目として含めればよい。また、認証手順定義情報で定義する認証レベルは、必ずしも4段階とする必要はなく2段階以上であればよい。また、認証手順に含めるユーザ認証方法もこの例に限定されるものではなく、サーバ6が提供するサービスの種類や情報の秘匿性、利用者となるクライアントユーザの特性等によって適宜組み合わせて設定することができる。   Various information defined by the usage status definition information can be appropriately selected without being limited to the items exemplified in the present embodiment. For example, in the present embodiment, the system is configured such that the user logs in to the server 6 and uses the Web application installed in the server 6, so that the system usage status information includes application information. If it is configured to use a resource other than the application, information relating to the resource may be included as an information item instead of the application. Further, the authentication level defined by the authentication procedure definition information does not necessarily have to be four stages, but may be two or more stages. In addition, the user authentication method included in the authentication procedure is not limited to this example, and may be appropriately combined and set according to the type of service provided by the server 6, the confidentiality of information, the characteristics of the client user serving as the user, and the like. Can do.

なお、本実施の形態では、準備期間内にあったログイン要求に関わる情報を解析対象として利用傾向情報を生成、登録し、その後に送られてきたログイン要求に対して、本実施の形態の特徴的なユーザ認証を行うようにした。ただ、利用傾向情報をいったん生成した後でも適宜更新するようにしてもよい。すなわち、ユーザ認証実行制御部13は、準備期間経過後に送られてきたログイン要求に対しては、前述したユーザ認証処理を実施すると共に、利用傾向情報生成処理部11に、そのログイン要求をユーザの利用状況として利用状況蓄積部15に継続して収集させる。そして、利用傾向情報生成処理部11は、利用傾向情報を生成する一定期間を新しく設定し直して利用傾向情報を再生成したり、あるいは一定期間を延長したりするなどして把握すべきユーザの利用傾向の精度をより向上させる。このように、準備期間経過後に送られてきたログイン要求を参照に利用傾向情報を随時更新するようにしてもよい。   Note that in this embodiment, the usage trend information is generated and registered with the information related to the login request within the preparation period as an analysis target, and the login request sent thereafter is characterized by this embodiment. Added basic user authentication. However, the usage trend information may be updated as appropriate even after it is generated once. That is, the user authentication execution control unit 13 performs the above-described user authentication process for the login request sent after the preparation period has elapsed, and sends the login request to the usage trend information generation processing unit 11. The usage status storage unit 15 continuously collects the usage status. Then, the usage trend information generation processing unit 11 re-generates the usage trend information by newly setting a certain period for generating the usage trend information, or extends the certain period, etc. Improve the accuracy of usage trends. As described above, the usage trend information may be updated as needed with reference to the login request sent after the preparation period has elapsed.

本実施の形態におけるネットワークシステムの全体構成図である。1 is an overall configuration diagram of a network system in the present embodiment. 図1に示したユーザ認証処理部のブロック構成図である。It is a block block diagram of the user authentication process part shown in FIG. 本実施の形態における利用状況定義情報記憶部に設定登録された利用状況定義情報の例を示した図である。It is the figure which showed the example of the usage status definition information set and registered into the usage status definition information storage part in this Embodiment. 本実施の形態における利用傾向情報生成処理部が生成する利用傾向情報に含まれるシステム利用状況情報の設定例を示した図である。It is the figure which showed the example of a setting of the system usage condition information contained in the usage tendency information which the usage trend information generation process part in this Embodiment produces | generates. 本実施の形態における利用傾向情報生成処理部が生成する利用傾向情報に含まれるクライアント環境情報の設定例を示した図である。It is the figure which showed the example of a setting of the client environment information contained in the usage trend information which the usage trend information generation process part in this Embodiment produces | generates. 本実施の形態においてユーザにより一定期間内にされたサーバアクセスの回数を曜日毎に集計した結果をグラフ表示したときの図である。In this Embodiment, it is a figure when the result of having totaled the frequency | count of the server access performed by the user within the fixed period for every day of the week is displayed as a graph. 本実施の形態における認証手順定義情報記憶部に事前に設定登録された認証手順定義情報の設定例を示した図である。It is the figure which showed the example of a setting of the authentication procedure definition information previously set and registered in the authentication procedure definition information storage part in this Embodiment. 本実施の形態におけるユーザ認証処理を示したフローチャートである。It is the flowchart which showed the user authentication process in this Embodiment. 本実施の形態において認証レベルを求める際に用いる利用状況定義情報の各情報項目への重み付けの設定例を示した図である。It is the figure which showed the example of a setting of the weighting to each information item of the utilization condition definition information used when calculating | requiring an authentication level in this Embodiment.

符号の説明Explanation of symbols

2 クライアント、4 インターネット、6 サーバ、8 アプリケーション実行部、10 ユーザ認証処理部、11 利用傾向情報生成処理部、12 認証レベル判定部、13 ユーザ認証実行制御部、14 利用状況定義情報記憶部、15 利用状況蓄積部、16 利用傾向情報記憶部、17 認証手順定義情報記憶部。   2 client, 4 Internet, 6 server, 8 application execution unit, 10 user authentication processing unit, 11 usage trend information generation processing unit, 12 authentication level determination unit, 13 user authentication execution control unit, 14 usage status definition information storage unit, 15 A usage status storage unit; 16 a usage trend information storage unit; and 17 an authentication procedure definition information storage unit.

Claims (6)

サーバコンピュータの利用を開始する際にユーザ使用のクライアントコンピュータから送られてきたログイン要求に対してユーザ認証を行う機能を有するコンピュータを、
各ユーザのサーバコンピュータの利用状況に関する情報を解析することによってサーバコンピュータの利用傾向をユーザ毎に求め、その利用傾向に応じて予め決められた認証レベル基準に従い各利用状況に対する認証レベルをユーザ毎に決定し、各利用状況に認証レベルを対応付けして利用傾向情報をユーザ毎に生成し、利用傾向情報記憶手段に登録する利用傾向情報生成手段、
前記利用傾向情報生成手段による利用傾向情報の生成後、ログイン要求が送られてきたときに、前記利用傾向情報記憶手段に記憶された当該ユーザの利用傾向情報に基づいて、当該ユーザ認証を行うための認証レベルを判定する認証レベル判定手段、
認証レベル毎に異なる認証手順が設定された認証手順記憶手段から、前記認証レベル判定手段が判定した認証レベルにより特定される認証手順を読み出し、その読み出した認証手順に従いユーザ認証処理を実行するユーザ認証実行手段、
として機能させるユーザ認証プログラム。 A computer having a function of performing user authentication in response to a login request sent from a client computer used by a user when starting use of a server computer;
By analyzing information related to the usage status of the server computer of each user, the usage trend of the server computer is obtained for each user, and the authentication level for each usage status is determined for each user in accordance with an authentication level standard determined in accordance with the usage trend. Usage trend information generating means for determining, associating an authentication level with each usage situation, generating usage trend information for each user, and registering in the usage trend information storage means;
In order to perform the user authentication based on the usage trend information of the user stored in the usage trend information storage unit when a login request is sent after the usage trend information is generated by the usage trend information generation unit. Authentication level determination means for determining the authentication level of
User authentication that reads an authentication procedure specified by the authentication level determined by the authentication level determination unit from an authentication procedure storage unit in which a different authentication procedure is set for each authentication level, and executes user authentication processing according to the read authentication procedure Execution means,
User authentication program to function as. 請求項1記載のユーザ認証プログラムにおいて、
前記利用傾向情報生成手段は、指定された期間内における各ユーザのサーバコンピュータの利用状況に関する情報を解析することによってサーバコンピュータの利用傾向をユーザ毎に求めることを特徴とするユーザ認証プログラム。 The user authentication program according to claim 1,
The usage trend information generation means obtains a usage trend of a server computer for each user by analyzing information related to the usage status of the server computer of each user within a specified period. 請求項1または2記載のユーザ認証プログラムにおいて、
前記利用傾向情報生成手段は、ユーザが前記サーバコンピュータの利用を開始した時点における当該サーバコンピュータの状況に関する情報又は当該サーバコンピュータの利用に用いたクライアントコンピュータの状況に関する情報の少なくとも一方を、各ユーザのアプリケーションに対する利用状況に関する情報として収集し、解析することを特徴とするユーザ認証プログラム。 In the user authentication program according to claim 1 or 2,
The usage trend information generating means obtains at least one of the information on the status of the server computer at the time when the user starts using the server computer or the information on the status of the client computer used for using the server computer. A user authentication program that collects and analyzes information about the usage status of an application. 請求項3記載のユーザ認証プログラムにおいて、
前記認証レベル判定手段は、利用傾向情報に含まれる複数の情報項目から得られる認証レベルが異なった場合、各情報項目に対して予め設定されたウェイト値に従い重み付け計算を行うことで認証レベルを決定することを特徴とするユーザ認証プログラム。 In the user authentication program according to claim 3,
When the authentication level obtained from a plurality of information items included in the usage trend information is different, the authentication level determination means determines the authentication level by performing weighting calculation according to a preset weight value for each information item. A user authentication program. サーバコンピュータの利用を開始する際にユーザ使用のクライアントコンピュータから送られてきたログイン要求に対してユーザ認証を行う機能を有するユーザ認証装置において、
認証レベル毎に異なる認証手順が設定された認証手順記憶手段と、
各ユーザのサーバコンピュータの利用状況に関する情報を解析することによってサーバコンピュータの利用傾向をユーザ毎に求め、その利用傾向に応じて予め決められた認証レベル基準に従い各利用状況に対する認証レベルをユーザ毎に決定し、各利用状況に認証レベルを対応付けして利用傾向情報をユーザ毎に生成し、利用傾向情報記憶手段に登録する利用傾向情報生成手段と、
前記利用傾向情報生成手段による利用傾向情報の生成後、ログイン要求が送られてきたときに、前記利用傾向情報記憶手段に記憶された当該ユーザの利用傾向情報に基づいて、当該ユーザ認証を行うための認証レベルを判定する認証レベル判定手段、
前記認証レベル判定手段が判定した認証レベルにより特定される認証手順を前記認証手順記憶手段から読み出し、その読み出した認証手順に従いユーザ認証処理を実行するユーザ認証実行手段と、
を有することを特徴とするユーザ認証装置。 In a user authentication apparatus having a function of performing user authentication in response to a login request sent from a client computer used by a user when starting use of a server computer,
Authentication procedure storage means in which different authentication procedures are set for each authentication level;
By analyzing information related to the usage status of the server computer of each user, the usage trend of the server computer is obtained for each user, and the authentication level for each usage status is determined for each user in accordance with an authentication level standard determined in accordance with the usage trend. Usage trend information generating means for determining, associating each usage situation with an authentication level, generating usage trend information for each user, and registering it in the usage trend information storage means;
In order to perform the user authentication based on the usage trend information of the user stored in the usage trend information storage unit when a login request is sent after the usage trend information is generated by the usage trend information generation unit. Authentication level determination means for determining the authentication level of
User authentication execution means for reading out an authentication procedure specified by the authentication level determined by the authentication level determination means from the authentication procedure storage means, and executing user authentication processing according to the read authentication procedure;
A user authentication device comprising: サーバコンピュータの利用を開始する際にユーザ使用のクライアントコンピュータから送られてきたログイン要求に対してユーザ認証を行う機能を有するコンピュータで実施され、
各ユーザのサーバコンピュータの利用状況から各ユーザの利用傾向情報を生成する利用傾向情報生成ステップと、
利用傾向情報生成後にログイン要求が送られてきたときに、そのログイン要求に対して実施するユーザ認証を決定し、実施するユーザ認証ステップと、
を含み、
前記利用傾向情報生成ステップは、
各ユーザのサーバコンピュータの利用状況に関する情報を解析することによってサーバコンピュータの利用傾向をユーザ毎に求め、
その利用傾向に応じて予め決められた認証レベル基準に従い各利用状況に対する認証レベルをユーザ毎に決定し、
各利用状況に認証レベルを対応付けして利用傾向情報をユーザ毎に生成し、
その生成した各ユーザの利用傾向情報を利用傾向情報記憶手段に登録し、
前記ユーザ認証ステップは、
ログイン要求が送られてきたときに、前記利用傾向情報記憶手段に記憶された当該ユーザの利用傾向情報に基づいて、当該ユーザ認証を行うための認証レベルを判定し、
認証レベル毎に異なる認証手順が設定された認証手順記憶手段から、判定した認証レベルにより特定される認証手順を読み出し、
その読み出した認証手順に従いユーザ認証処理を実行する
ことを特徴とするユーザ認証方法。 Implemented on a computer having a function of performing user authentication in response to a login request sent from a client computer used by a user when starting use of a server computer,
A usage trend information generation step of generating usage trend information of each user from the usage status of each user's server computer;
When a login request is sent after generation of usage trend information, a user authentication step is performed to determine and perform user authentication for the login request;
Including
The usage trend information generation step includes:
By analyzing the information about the usage status of each user's server computer, the usage tendency of the server computer is obtained for each user,
The authentication level for each usage status is determined for each user according to the authentication level standard determined in advance according to the usage trend,
Generate usage trend information for each user by associating the authentication level with each usage status,
Register the generated usage trend information of each user in the usage trend information storage means,
The user authentication step includes:
When a login request is sent, an authentication level for performing the user authentication is determined based on the user usage trend information stored in the usage trend information storage unit,
Read out the authentication procedure specified by the determined authentication level from the authentication procedure storage means in which a different authentication procedure is set for each authentication level,
A user authentication method, wherein user authentication processing is executed in accordance with the read authentication procedure.
JP2005362825A 2005-12-16 2005-12-16 Program, device and method for user authentication Pending JP2007164661A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005362825A JP2007164661A (en) 2005-12-16 2005-12-16 Program, device and method for user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005362825A JP2007164661A (en) 2005-12-16 2005-12-16 Program, device and method for user authentication

Publications (1)

Publication Number Publication Date
JP2007164661A true JP2007164661A (en) 2007-06-28

Family

ID=38247456

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005362825A Pending JP2007164661A (en) 2005-12-16 2005-12-16 Program, device and method for user authentication

Country Status (1)

Country Link
JP (1) JP2007164661A (en)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009020853A (en) * 2007-07-12 2009-01-29 Nhn Corp Security authentication system and method thereof
JP2009080560A (en) * 2007-09-25 2009-04-16 Sky Kk Access authority control system
JP2009140273A (en) * 2007-12-07 2009-06-25 Hitachi Omron Terminal Solutions Corp Financial transaction system in automatic teller machine
WO2009096561A1 (en) * 2008-01-31 2009-08-06 Movida Solutions Inc. System and method for providing mobile service
JP2009199234A (en) * 2008-02-20 2009-09-03 Ricoh Co Ltd Authentication control apparatus, authentication control method and program
WO2009141935A1 (en) * 2008-05-22 2009-11-26 パナソニック株式会社 Security level controller, security level control method and security level control program
JP2009302746A (en) * 2008-06-11 2009-12-24 Hitachi Ltd Distribution system
JP2010283575A (en) * 2009-06-04 2010-12-16 Konica Minolta Business Technologies Inc Program for authentication, device for authentication, and authentication method
JP2011522326A (en) * 2008-05-27 2011-07-28 マイクロソフト コーポレーション Authentication for distributed secure content management systems
JP2012083997A (en) * 2010-10-13 2012-04-26 Hitachi Information & Communication Engineering Ltd Authentication system and determination method for authentication reliability
JP2013114283A (en) * 2011-11-25 2013-06-10 Konica Minolta Medical & Graphic Inc Remote video system
JP2013206292A (en) * 2012-03-29 2013-10-07 Japan Research Institute Ltd Customer terminal for performing authentication processing, authentication method and program for authentication
JP2014089746A (en) * 2013-12-26 2014-05-15 Fujitsu Ltd Information processor, authentication system, authentication method, authentication device, and program
JP2014121095A (en) * 2012-12-14 2014-06-30 Interman Corp Location confirmation recording method
JP2017045328A (en) * 2015-08-27 2017-03-02 Kddi株式会社 Apparatus, method and program for determining authentication system
JP2017125944A (en) * 2016-01-14 2017-07-20 株式会社リコー Information processing apparatus, information processing system, and program
JP2017156979A (en) * 2016-03-02 2017-09-07 株式会社 ゆうちょ銀行 Server, authentication level change method, and program
JP2019023859A (en) * 2017-05-31 2019-02-14 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド Safe self-adaptive authentication system
JP2020107078A (en) * 2018-12-27 2020-07-09 ベーステクノロジー株式会社 Terminal authentication management system and method thereof, and program thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001306173A (en) * 2000-04-17 2001-11-02 Matsushita Electric Ind Co Ltd Information processing unit
JP2002183734A (en) * 2000-12-15 2002-06-28 Toshiba Corp Face authentication device and face authentication method
JP2003196566A (en) * 2001-12-28 2003-07-11 Sony Corp Information processor, method of processing information, recording medium, system for processing authentication, and program
JP2004246715A (en) * 2003-02-14 2004-09-02 Fujitsu Ltd Authentication information processing method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001306173A (en) * 2000-04-17 2001-11-02 Matsushita Electric Ind Co Ltd Information processing unit
JP2002183734A (en) * 2000-12-15 2002-06-28 Toshiba Corp Face authentication device and face authentication method
JP2003196566A (en) * 2001-12-28 2003-07-11 Sony Corp Information processor, method of processing information, recording medium, system for processing authentication, and program
JP2004246715A (en) * 2003-02-14 2004-09-02 Fujitsu Ltd Authentication information processing method

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009020853A (en) * 2007-07-12 2009-01-29 Nhn Corp Security authentication system and method thereof
JP4659806B2 (en) * 2007-07-12 2011-03-30 エヌエイチエヌ ビジネス プラットフォーム コーポレーション Security authentication system and method
JP2009080560A (en) * 2007-09-25 2009-04-16 Sky Kk Access authority control system
JP2009140273A (en) * 2007-12-07 2009-06-25 Hitachi Omron Terminal Solutions Corp Financial transaction system in automatic teller machine
US8447838B2 (en) 2008-01-31 2013-05-21 Bizmobile Inc. System and method for providing mobile service
WO2009096561A1 (en) * 2008-01-31 2009-08-06 Movida Solutions Inc. System and method for providing mobile service
JP5424173B2 (en) * 2008-01-31 2014-02-26 BizMobile株式会社 Mobile service providing system and providing method
JP2009199234A (en) * 2008-02-20 2009-09-03 Ricoh Co Ltd Authentication control apparatus, authentication control method and program
WO2009141935A1 (en) * 2008-05-22 2009-11-26 パナソニック株式会社 Security level controller, security level control method and security level control program
US8910255B2 (en) 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
JP2014041652A (en) * 2008-05-27 2014-03-06 Microsoft Corp Authentication for distributed secure content management system
JP2011522326A (en) * 2008-05-27 2011-07-28 マイクロソフト コーポレーション Authentication for distributed secure content management systems
JP2009302746A (en) * 2008-06-11 2009-12-24 Hitachi Ltd Distribution system
JP4643687B2 (en) * 2008-06-11 2011-03-02 株式会社日立製作所 Distribution system
JP2010283575A (en) * 2009-06-04 2010-12-16 Konica Minolta Business Technologies Inc Program for authentication, device for authentication, and authentication method
JP2012083997A (en) * 2010-10-13 2012-04-26 Hitachi Information & Communication Engineering Ltd Authentication system and determination method for authentication reliability
JP2013114283A (en) * 2011-11-25 2013-06-10 Konica Minolta Medical & Graphic Inc Remote video system
JP2013206292A (en) * 2012-03-29 2013-10-07 Japan Research Institute Ltd Customer terminal for performing authentication processing, authentication method and program for authentication
JP2014121095A (en) * 2012-12-14 2014-06-30 Interman Corp Location confirmation recording method
JP2014089746A (en) * 2013-12-26 2014-05-15 Fujitsu Ltd Information processor, authentication system, authentication method, authentication device, and program
JP2017045328A (en) * 2015-08-27 2017-03-02 Kddi株式会社 Apparatus, method and program for determining authentication system
JP2017125944A (en) * 2016-01-14 2017-07-20 株式会社リコー Information processing apparatus, information processing system, and program
JP2017156979A (en) * 2016-03-02 2017-09-07 株式会社 ゆうちょ銀行 Server, authentication level change method, and program
JP2019023859A (en) * 2017-05-31 2019-02-14 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド Safe self-adaptive authentication system
JP7075819B2 (en) 2017-05-31 2022-05-26 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド Self-adaptive secure authentication system
JP2020107078A (en) * 2018-12-27 2020-07-09 ベーステクノロジー株式会社 Terminal authentication management system and method thereof, and program thereof
JP7239974B2 (en) 2018-12-27 2023-03-15 ベーステクノロジー株式会社 Terminal authentication management system, its method, and its program

Similar Documents

Publication Publication Date Title
JP2007164661A (en) Program, device and method for user authentication
US10515197B2 (en) Monetized online content systems and methods and computer-readable media for processing requests for the same
US11190527B2 (en) Identity verification and login methods, apparatuses, and computer devices
JP4913998B2 (en) Interoperable credential collection and access modularity
AU2012261635B2 (en) Methods and Systems for Increasing the Security of Network- Based Transactions
US6182227B1 (en) Lightweight authentication system and method for validating a server access request
US10652232B2 (en) Adaptive timeouts for security credentials
US8201214B1 (en) Ad-hoc user account creation
US20180196875A1 (en) Determining repeat website users via browser uniqueness tracking
US20130055367A1 (en) Multi-Factor Profile and Security Fingerprint Analysis
US10375177B1 (en) Identity mapping for federated user authentication
CA2743297A1 (en) Multi-level secure collaborative computing environment
US20060026692A1 (en) Network resource access authentication apparatus and method
US9038148B1 (en) Secret variation for network sessions
US20100146606A1 (en) Authentication method and system
EP3830723B1 (en) Increasing security of a password-protected resource based on publicly available data
Bakar et al. Adaptive authentication based on analysis of user behavior
CN112287326B (en) Security authentication method and device, electronic equipment and storage medium
JP2008015733A (en) Log management computer
JP2012118833A (en) Access control method
WO2014043360A1 (en) Multi-factor profile and security fingerprint analysis
RU2723679C1 (en) Method and system for dynamic authentication and user risk assessment
JP6279643B2 (en) Login management system, login management method, and login management program
US8996860B1 (en) Tolerance factor-based secret decay
US20240039912A1 (en) Security monitoring utilizing device signature detection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081120

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110712

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111129