JP2011123811A - Authentication system, detection device, terminal and authentication method - Google Patents
Authentication system, detection device, terminal and authentication method Download PDFInfo
- Publication number
- JP2011123811A JP2011123811A JP2009282984A JP2009282984A JP2011123811A JP 2011123811 A JP2011123811 A JP 2011123811A JP 2009282984 A JP2009282984 A JP 2009282984A JP 2009282984 A JP2009282984 A JP 2009282984A JP 2011123811 A JP2011123811 A JP 2011123811A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- authentication
- token acquisition
- token
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ユーザの認証を行う認証システムに関する。 The present invention relates to an authentication system for authenticating a user.
従来、ノートPCや携帯電話機等の端末を用いて社外から社内のシステムに遠隔接続する場合、社内システムの認証サーバは、ユーザ認証を行って利用者の正当性を確認したうえで端末と接続する。この際、認証におけるセキュリティ性を高めるため、複数要素を組み合わせてワンタイムパスワードを生成して認証を行う方式が主流となっている。例えば、RSA SecurIDに代表されるハードトークンを用いる方式では、ハードトークンに示された文字と固定パスワードを組み合わせてワンタイムパスワードを決定し、当該パスワードを用いて認証を行う。しかしながら、この方式では、ハードトークンを紛失した場合、社外から接続できなくなるという問題がある。また、利用者全員にハードトークンを配布するため、各ハードトークンの管理運用に関するコストが増大するという問題がある。 Conventionally, when remotely connecting to an in-house system from outside the company using a terminal such as a notebook PC or a mobile phone, the in-house system authentication server performs user authentication and confirms the validity of the user before connecting to the terminal. . At this time, in order to improve security in authentication, a method of generating a one-time password by combining a plurality of elements and performing authentication has become mainstream. For example, in a method using a hard token typified by RSA SecurID, a one-time password is determined by combining characters shown in the hard token and a fixed password, and authentication is performed using the password. However, this method has a problem that if a hard token is lost, it becomes impossible to connect from outside the company. Further, since hard tokens are distributed to all users, there is a problem that costs related to management operation of each hard token increase.
下記特許文献1には、これらの問題を解決する方法として、端末にソフトウェアトークンをインストールして、端末内に表示されるトークン値と固定パスワードとを組み合わせたワンタイムパスワードを認証サーバに与えて認証を行う認証システムの技術が開示されている。
In
具体的には、ユーザが端末にユーザIDを入力すると、端末は、まず、認証サーバへユーザIDを送信する。認証サーバは、トークンに相当するマトリクス表を生成し、暗号化して端末に返信する。端末は、暗号化されたマトリクス表を復号して表示する。端末を使用するユーザは、予めユーザが規定して認証システムに登録しておいたパターン登録ルールに基づいて、マトリクス表から数字の組み合わせをつくり、端末が、これらの数字をパスワードとして認証サーバへ送信する。認証サーバは、マトリクス表、ユーザID、パターン登録ルールからパスワードを照合して認証を行う。 Specifically, when the user inputs a user ID to the terminal, the terminal first transmits the user ID to the authentication server. The authentication server generates a matrix table corresponding to the token, encrypts it, and returns it to the terminal. The terminal decrypts and displays the encrypted matrix table. The user who uses the terminal creates a combination of numbers from the matrix table based on the pattern registration rules that the user defines and registers in the authentication system in advance, and the terminal sends these numbers to the authentication server as a password. To do. The authentication server performs authentication by verifying the password from the matrix table, the user ID, and the pattern registration rule.
しかしながら、上記従来の認証システムでは、マトリクス表の取得や端末への返信に暗号化が伴うため、1ユーザ分のマトリクス表取得のために多くのトラヒックやCPU負荷を必要とする。そのため、ユーザ数が増大すると通常のWebシステムよりもCPU負荷が増え、マトリクス表取得失敗の発生頻度が増大しやすくなる、という問題があった。また、失敗の発生頻度が増大した場合、認証システムでは、ユーザによるリトライが増加し、マトリクス表取得失敗頻度が連鎖的に高くなると同時に、さらに、強力なDoS攻撃を受けるリスクも想定される、という問題があった。 However, in the above conventional authentication system, encryption is accompanied by acquisition of a matrix table and a reply to the terminal, so that much traffic and CPU load are required for acquiring the matrix table for one user. Therefore, there is a problem that when the number of users increases, the CPU load increases as compared with a normal Web system, and the occurrence frequency of matrix table acquisition failures tends to increase. If the frequency of failures increases, the authentication system will increase the number of retries by the user, the matrix table acquisition failure frequency will increase in a chain, and at the same time, there is a risk of receiving a powerful DoS attack. There was a problem.
本発明は、上記に鑑みてなされたものであって、ソフトウェアトークンを取得する際の失敗頻度を低減することが可能な認証システムを得ることを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to obtain an authentication system capable of reducing the frequency of failure when acquiring a software token.
上述した課題を解決し、目的を達成するために、本発明は、固定のパスワードである第1のパスワードおよび可変のパスワードである第2のパスワードから構成される認証パスワードを用いた認証処理を行う認証システムであって、所定の認証要求およびトークン取得要求を送信する端末と、前記第2のパスワードを求めるための規則をユーザごとに記憶し、受信した認証要求に応じて認証処理を行う認証サーバと、受信したトークン取得要求に応じてトークンを返信するトークン取得サーバと、前記端末と前記トークン取得サーバとの間の通信を中継する検出装置と、を備え、前記検出装置は、前記トークン取得サーバから所定の周期で受信する当該トークン取得サーバの混雑状態に基づいて、前記端末から受信したトークン取得要求をトークン取得サーバへ転送するかどうかを判断する状態検出手段、を備え、前記端末は、前記トークン取得サーバから前記検出装置経由で受信したトークン、および前記規則に基づいて前記第2のパスワードを決定し、前記第1のパスワードおよび当該第2のパスワードから認証パスワードを生成し、前記所定の認証要求として、当該認証パスワードを含む認証要求を前記認証サーバへ送信する、ことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention performs an authentication process using an authentication password composed of a first password that is a fixed password and a second password that is a variable password. An authentication system, a terminal that transmits a predetermined authentication request and a token acquisition request, a rule for obtaining the second password for each user, and an authentication server that performs authentication processing according to the received authentication request And a token acquisition server that returns a token in response to the received token acquisition request, and a detection device that relays communication between the terminal and the token acquisition server, the detection device including the token acquisition server Based on the congestion status of the token acquisition server received at a predetermined period from the token acquisition request received from the terminal. State detection means for determining whether to transfer to the token acquisition server, and the terminal determines the second password based on the token received from the token acquisition server via the detection device and the rule. An authentication password is generated from the first password and the second password, and an authentication request including the authentication password is transmitted to the authentication server as the predetermined authentication request.
本発明によれば、ソフトウェアトークンを取得する際の失敗頻度を低減できる、という効果を奏する。 According to the present invention, there is an effect that the failure frequency when acquiring a software token can be reduced.
以下に、本発明にかかる認証システムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Embodiments of an authentication system according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
実施の形態1.
図1は、本実施の形態の認証システムの構成例を示す図である。認証システムは、ユーザが認証を行うために利用する端末1と、アクセスサーバ3と、認証サーバ4と、トークン取得サーバ6と、検出装置8と、を備え、これらがネットワーク2、5、7、9を介して接続されている。本認証システムでは、一例として、ユーザごとに固定のパスワードと、トークンから求めた時系列的に可変なパスワードと、を組み合わせることにより認証に必要なパスワードを生成する。なお、上記固定の単位としては、ユーザ単位に限定するものではない。
FIG. 1 is a diagram illustrating a configuration example of an authentication system according to the present embodiment. The authentication system includes a
まず、本実施の形態の認証システムで前提となる各構成の認証動作について説明する。端末1は、トークン取得サーバ6へトークンを要求し、取得したトークンを表示するトークン表示部11と、ユーザIDやパスワード等を入力し、認証サーバ4へ認証要求を行うアカウント入力部12と、を備える。アクセスサーバ3は、端末がシステムに接続する際にアクセスする一般的なサーバである。
First, the authentication operation of each component, which is a prerequisite for the authentication system of the present embodiment, will be described. The
認証サーバ4は、端末1のアカウント入力部12に入力したユーザIDと、ユーザがトークン取得サーバ6から参照し取得したトークンを用いてアカウント入力部12に入力されたワンタイムパスワードを認証するための装置である。この認証サーバ4では、ネットワーク2、アクセスサーバ3経由で、ユーザIDおよびワンタイムパスワードをパスワード受信部41で受信すると、トークン取得サーバ6のトークン生成部62からネットワーク5を経て入手したトークンパターンと、予めユーザによりトークン認識部42に登録されたトークン認識規則を用いて照合部43が認証用のパターンを生成し、認証部44においてパターンが正常であるかどうかを判定する。
The authentication server 4 authenticates the one-time password input to the
トークン取得サーバ6は、端末1に表示するトークン値を管理するための装置であり、ユーザがトークンを取得するときは、検出装置8、ネットワーク9を介して取得する。トークン取得サーバ6は、生成したトークの送受信を行うトークン送受信部61と、端末1からの要求(トークン取得リクエスト)に応じてトークンを生成するトークン生成部62と、生成したトークンとユーザごとの対応付けを行うため、端末1からのトークン取得リクエスト受信時、または認証サーバ4からの要求によりトークンを送信する際に、ユーザIDを受信するユーザID受信部63と、自サーバのCPU負荷等の性能を収集する性能収集部64と、を備える。
The token acquisition server 6 is a device for managing token values to be displayed on the
検出装置8は、トークン取得サーバ6との通信が可能なセグメントに設置され、ネットワーク7を介して認証サーバ4との通信が可能である。検出装置8は、インタフェース部81と、状態検出部82と、状態出力部83と、管理テーブル84と、状況診断部85と、を備える。
The detection device 8 is installed in a segment that can communicate with the token acquisition server 6, and can communicate with the authentication server 4 via the network 7. The detection device 8 includes an
インタフェース部81は、ネットワーク9からパケットを受信するたびに、パケットフィルタを起動し、端末1とトークン取得サーバ6との間を流れるトラヒックリストを収集する。収集したトラヒックリストをもとに、端末1とトークン取得サーバ6を結ぶセッション、端末1のIPアドレス、端末1のIPアドレスに関するトラヒック量、アクセス回数に関するエントリを生成し、管理テーブル84を更新する。
Each time the
図2は、状態検出部82の構成例を示す図である。状態検出部82は、端末1からトークン取得サーバ6へのリクエストを受信し、また、トークン取得サーバ6の混雑状態に応じた対応を状態出力部83に出力するパケット処理部821と、トークン取得サーバ6の混雑状態を判定する検出処理部822と、トークン取得サーバ6からトークンを受信するトークン取得部823と、トークン取得サーバ6の混雑状態を管理する混雑状態記憶テーブル824と、トラヒックの異常状態を管理する異常検出テーブル825と、を備える。
FIG. 2 is a diagram illustrating a configuration example of the
状態出力部83は、状態検出部82から通知されるトークン取得サーバ6の混雑状態に関する情報を受信すると、端末1に表示させるための画面を作成し、インタフェース部81、ネットワーク9を介して、端末1にメッセージを送信する。なお、端末1から状態検出部82へのパケット送信、状態出力部83から端末1へのパケット送信はHTTPをはじめとしたTCP/IP通信によって実現可能である。
When the
図3は、管理テーブル84の構成例を示す図である。管理テーブル84は、テーブル841と、テーブル842と、から構成される。テーブル841は、トークン取得サーバ6で確立しているセッションと、トークン取得サーバ6と通信している相手先(端末)のIPアドレスおよびトラヒック量、相手先からのアクセス回数を示すものである。インタフェース部81が、エントリを収集し、テーブル841に反映する。
FIG. 3 is a diagram illustrating a configuration example of the management table 84. The management table 84 includes a table 841 and a table 842. The table 841 shows the session established in the token acquisition server 6, the IP address and traffic volume of the other party (terminal) communicating with the token acquisition server 6, and the number of accesses from the other party. The
テーブル842は、CPU負荷の使用率、およびメモリの使用率を示すものである。検出処理部822が、トークン取得サーバ6の性能収集部64からCPU負荷やメモリ使用率を予め定められた間隔で収集し、テーブル842に反映する。CPU負荷やメモリ使用率の取得に関しては、状態検出部82の検出処理部822が定期的にトークン取得サーバ6の性能収集部64に対してSNMP通信を行い、性能収集部64からのSNMP応答によって取得することで実現される。
The table 842 shows the usage rate of the CPU load and the usage rate of the memory. The
以上の構成および動作を踏まえたうえで、本実施の形態では、検出装置8がトークン取得サーバ6の混雑状況をCPU負荷で判断し、その混雑状況に基づいてユーザに通知する内容を決定する処理について説明する。 Based on the above configuration and operation, in the present embodiment, the detection device 8 determines the congestion status of the token acquisition server 6 based on the CPU load, and determines the content to be notified to the user based on the congestion status. Will be described.
図4は、検出処理部822の検出処理を示すフローチャートである。まず、検出処理部822が、性能収集部64から、トークン取得サーバ6のCPU負荷P1を一定周期で収集する(ステップS1)。CPU負荷P1が閾値F1より大きい場合(ステップS2:Yes)、トークン取得サーバ6が混雑中と判定し、混雑状態記憶テーブル824の混雑状態値を「有り」に更新する(ステップS3)。CPU負荷P1が閾値F1以下の場合(ステップS2:No)、トークン取得サーバ6が混雑していないと判定し、混雑状態記憶テーブル824の混雑状態値を「無し」に更新する(ステップS4)。なお、混雑状態が「有り」から「無し」に、あるいは「無し」から「有り」に変化した場合は、混雑状態変化値を「有り」に変更する。
FIG. 4 is a flowchart showing the detection process of the
つぎに、パケット処理部821で端末1からトークン取得サーバ6へのトークン取得リクエストを受信したときのパケット処理について説明する。図5は、パケット処理部821のパケット処理を示すフローチャートである。パケット処理部821は、トークン取得リクエストを検出すると、トークン取得リクエスト中に書かれた発信IPアドレスを収集する(ステップS11)。そして、混雑状態記憶テーブル824から混雑状態値を読み出し、トークン取得サーバ6の混雑状態値を把握する(ステップS12)。混雑状態記憶テーブル824の混雑状態値が「有り」の場合(ステップS12:Yes)、混雑状態記憶テーブル824の混雑状態(混雑中)とIPアドレスを状態出力部83へ通知する(ステップS13)。この場合、トークン取得サーバ6へトークン取得リクエストを転送しない。一方、混雑状態値が「無し」、すなわち混雑緩和状態の場合(ステップS12:No)、トークン取得サーバ6へトークン取得リクエストを転送し、その応答としてトークン取得サーバ6からトークンを取得する(ステップS14)。そして、混雑状態値変化値が「有り」の場合(ステップS15:Yes)、混雑状態(混雑状態緩和)、IPアドレス、トークンを状態出力部83へ通知する(ステップS16)。混雑状態値変化値が「無し」の場合(ステップS15:No)、IPアドレスとトークンを状態出力部83へ通知する(ステップS17)。なお、状態出力部83へ通知を行う場合に、状態検出部82では、トークンと、当該トークンを取得した端末のIPアドレスおよびユーザIDの対応関係を記憶しているものとする。
Next, packet processing when the packet processing unit 821 receives a token acquisition request from the
パケット処理部821では、混雑状態記憶テーブル824の混雑状態値が「有り」の場合(ステップS12:Yes)、混雑状態記憶テーブル824の混雑状態(混雑中)とIPアドレスを状態出力部83へ通知する(ステップS13)が、この場合、所定の周期でステップS12の処理を行う。これにより、混雑状態が緩和したときに、ステップS12:Noに続く処理を行うことができる。
When the congestion state value in the congestion state storage table 824 is “present” (step S12: Yes), the packet processing unit 821 notifies the
状態出力部83は、状態検出部82のパケット処理部821から通知を受けると、端末1に対する出力処理を実施する。図6は、状態出力部83の出力処理を示すフローチャートである。状態出力部83は、パケット処理部821で決定された内容(ステップS13、S16、S17)を確認する(ステップS21)。
When the
パケット処理部821がステップS13の処理を行った場合(ステップS21:ステップS13)、図7に示す画面111を出力するための情報を作成する(ステップS22)。図7は、トークン表示部に表示される画面111(混雑中)を示す図である。詳細には、ユーザに対してトークン取得サーバ6が混雑していることを示しており、これにより、リトライを控えさせるものである。 When the packet processing unit 821 performs the process of step S13 (step S21: step S13), information for outputting the screen 111 shown in FIG. 7 is created (step S22). FIG. 7 is a diagram illustrating a screen 111 (during congestion) displayed on the token display unit. Specifically, this indicates that the token acquisition server 6 is congested for the user, and this refrains from retrying.
また、パケット処理部821がステップS16の処理を行った場合(ステップS21:ステップS16)、図8に示す画面112を出力するための情報を作成する(ステップS23)。図8は、トークン表示部に表示される画面112(混雑解消直後)を示す図である。詳細には、トークン取得サーバ6から取得したトークン、およびトークン取得サーバ6が混雑状態から解消した直後であるが通常使用が可能であること、をユーザに対して示すものである。 When the packet processing unit 821 performs the process of step S16 (step S21: step S16), information for outputting the screen 112 shown in FIG. 8 is created (step S23). FIG. 8 is a diagram showing a screen 112 (immediately after the congestion is cleared) displayed on the token display unit. Specifically, the token acquired from the token acquisition server 6 and the fact that the token acquisition server 6 can be normally used immediately after the token acquisition server 6 is released from the congested state are shown to the user.
また、パケット処理部821がステップS17の処理を行った場合(ステップS21:ステップS17)、図9に示す画面113を出力するための情報を作成する(ステップS24)。図9は、トークン表示部に表示される画面113(混雑していないとき)を示す図である。詳細には、ユーザに対してトークン取得サーバ6から取得したトークンを示しており、これにより、トークン取得サーバ6が混雑していない状態であることを知らせるものである。 Further, when the packet processing unit 821 performs the process of step S17 (step S21: step S17), information for outputting the screen 113 shown in FIG. 9 is created (step S24). FIG. 9 is a diagram showing a screen 113 (when not crowded) displayed on the token display unit. Specifically, the token acquired from the token acquisition server 6 is shown to the user, thereby notifying that the token acquisition server 6 is not congested.
出力画面の情報を作成後、状態出力部83は、通知されたIPアドレス宛の端末1に対してレスポンスを送信する(ステップS25)。端末1は、状態出力部83からレスポンスを受信すると、画面111、112、113のいずれかをトークン表示部11に表示する。
After creating the output screen information, the
上記各構成による処理をシーケンス図に基づいて説明する。図10は、トークン取得サーバ6が混雑している場合の処理を示すシーケンス図である。端末1がトークン取得リクエストを送信すると(ステップS31)、これを受信した状態検出部82が、図4、5に示すフローチャートの処理に基づいてトークン取得サーバ6が混雑状態であると判断したため、その旨を示す混雑状態値を状態出力部83へ通知する(ステップS32)。状態出力部83は、トークン取得サーバ6が混雑状態であることを示す画面111を作成して端末1へ送信する(ステップS33)。端末1は、トークン表示部11に画面111を表示する。
Processing according to each of the above configurations will be described with reference to a sequence diagram. FIG. 10 is a sequence diagram showing processing when the token acquisition server 6 is congested. When the
図11は、トークン取得サーバ6が混雑解消直後または混雑していない場合の処理を示すシーケンス図である。端末1がトークン取得リクエストを送信すると(ステップS41)、これを受信した状態検出部82が、図4、5に示すフローチャートの処理に基づいてトークン取得サーバ6が混雑状態ではないと判断したため、トークン取得リクエストをトークン取得サーバ6へ送信する(ステップS42)。トークン取得サーバ6は、トークン取得リクエストの応答として、状態検出部82へトークンを送信する(ステップS43)。そして、状態検出部82は、取得したトークンおよびトークン取得サーバ6の混雑状態値を状態出力部83へ出力する(ステップS44)。状態出力部83は、トークン取得サーバ6の混雑状態値に応じた画面(112または113)を作成し、トークンとともに端末1へ送信する(ステップS45)。端末1は、トークン表示部11に、混雑が緩和したときには画面112を、混雑していないときには画面113を表示する。
FIG. 11 is a sequence diagram showing processing when the token acquisition server 6 is immediately after congestion is eliminated or when it is not crowded. When the
端末1を使用中のユーザは、これらの表示を得ることでトークン取得サーバ6の混雑状況を認識することが可能となる。そのため、トークン取得サーバ6が混雑中にはユーザに対してリトライを控えさせることができるため、混雑中のリトライ要求が削減され、リトライに伴う余剰トラヒックを削減することができる。また、他のユーザが同時にトークンを利用できなくなる状態を防ぐ効果を得ることができる。
The user who is using the
以上説明したように、本実施の形態では、ユーザがトークンの取得を要求する場合に、検出装置8が、トークン取得サーバ6のCPU負荷に基づいて混雑状態を確認し、混雑していると判断した場合には、トークン取得サーバ6へトークン取得リクエストを転送せず、端末1(ユーザ)に対して、リトライをしない旨の表示を行い、一方、混雑していないと判断した場合には、トークン取得サーバ6へトークン取得リクエストを転送してトークンの取得処理を行い、取得したトークンを端末1へ転送することとした。これにより、混雑状態のときには、端末1からのリトライ要求が削減されることにより余剰トラヒックが削減され、システム内において、他のユーザがソフトウェアトークンを取得する際の失敗の頻度を低減することができる。
As described above, in the present embodiment, when the user requests token acquisition, the detection device 8 confirms the congestion state based on the CPU load of the token acquisition server 6 and determines that it is congested. In such a case, the token acquisition request is not transferred to the token acquisition server 6 and the terminal 1 (user) is informed that the retry is not performed. The token acquisition request is transferred to the acquisition server 6 to perform token acquisition processing, and the acquired token is transferred to the
実施の形態2.
本実施の形態では、検出装置8が、トークン取得サーバ6の混雑状況を、トークン取得サーバ6で確立されているセッション数を用いて判断する。実施の形態1と異なる部分について説明する。
Embodiment 2. FIG.
In the present embodiment, the detection device 8 determines the congestion status of the token acquisition server 6 using the number of sessions established in the token acquisition server 6. A different part from
セッション数によって混雑状況を判断する場合、検出装置8の検出処理部822は、図12に示す検出処理を実施することで実現することができる。図12は、検出処理部822の検出処理を示すフローチャートである。まず、検出処理部822が、図3に示すテーブル841を用いて、端末1とトークン取得サーバ6との間で確立されている総セッション数P2を収集する(ステップS51)。収集したセッション数P2が予め定められた閾値F2より大きい場合(ステップS52:Yes)、トークン取得サーバ6が混雑中と判定し、混雑状態記憶テーブル824の混雑状態値を「有り」に変更する(ステップS53)。総セッション数P2が閾値F2以下の場合(ステップS52:No)、トークン取得サーバ6が混雑していないと判定し、混雑状態記憶テーブル824の混雑状態値を「無し」に変更する(ステップS54)。なお、混雑状態が「有り」から「無し」に、あるいは「無し」から「有り」に変化した場合は、混雑状態変化値を「有り」に変更する。
When determining the congestion status based on the number of sessions, the
以降、パケット処理部821、状態出力部83、および端末1の処理については実施の形態1と同様である。トークン取得サーバ6が混雑状態の場合には、図10に示す処理を経て、端末1が画面111(図7参照)を表示する。一方、トークン取得サーバ6が混雑していない場合には、図11に示す処理を経て、端末1が画面112(図8参照)または画面113(図9参照)を表示する。
Thereafter, the processing of the packet processing unit 821, the
以上説明したように、本実施の形態では、ユーザがトークンの取得を要求する場合に、検出装置8が、トークン取得サーバ6で確立されているセッション数に基づいて混雑状態を確認することとした。これにより、実施の形態1と同様の効果を得ることができる。
As described above, in the present embodiment, when the user requests token acquisition, the detection device 8 confirms the congestion state based on the number of sessions established in the token acquisition server 6. . Thereby, the effect similar to
実施の形態3.
本実施の形態では、端末1に対する混雑状態の通知を認証サーバ4が実施する。実施の形態1、2と異なる部分について説明する。
Embodiment 3 FIG.
In the present embodiment, the authentication server 4 performs notification of congestion status to the
認証システムでは、検出装置8の状況診断部85が、管理テーブル84の内容が読み出し可能であり、また、トークン取得サーバ6の状態に関して認証サーバ4と通信を行う。状況診断部85は、ネットワーク7を介して認証サーバ4と接続する。
In the authentication system, the
認証サーバ4は、パスワード受信部41において端末1からユーザIDとワンタイムパスワードを受信すると、照合部43が、予めユーザによりトークン認識部42に登録されたトークン認識規則、および、ネットワーク5を経由してトークン取得サーバ6から入手したトークンを用いてワンタイムパスワードを照合し、認証部44において認証を行う。認証部44は、トークン取得サーバ6の混雑状態を踏まえて、認証処理を実施するかどうかを決定する。
When the authentication server 4 receives the user ID and the one-time password from the
つづいて、認証部44の認証処理について説明する。図13は認証部44の認証処理を示すフローチャートである。認証部44は、まず、照合部43からアカウントを入力すると(ステップS61)、状況診断部85に対してトークン取得サーバ6の混雑状態を問い合わせる(ステップS62)。状況診断部85は、認証部44から問い合わせを受けると、混雑状態記憶テーブル824の混雑状態値を読み出し、その結果を認証部44に応答する。認証部44は、状況診断部85からの応答内容を確認し、混雑状態(混雑状態値が「有り」)の場合(ステップS63:Yes)、認証NG応答とサーバ混雑を示す理由を認証応答パケットに入力し、アクセスサーバ3経由で端末1に応答する(ステップS64)。一方、混雑状態でない(混雑状態値が「無し」)場合(ステップS63:No)、パスワードの正当性を判断する処理を行い、パスワードの正当性に従って認証応答を返す(ステップS65)。
Next, the authentication process of the
ソフトウェアトークンを用いた認証をリモートアクセスサービスに適用する場合、アプリケーション同士の連携を容易にするためにトークンを表示する画面と認証画面が異なることがある。このような場合に、認証サーバ4が上記処理を行うことにより、ユーザは認証画面を通じてトークン取得サーバ6の混雑状態を素早く認識することが可能となる。 When authentication using a software token is applied to a remote access service, a screen for displaying a token may be different from an authentication screen in order to facilitate cooperation between applications. In such a case, when the authentication server 4 performs the above process, the user can quickly recognize the congestion state of the token acquisition server 6 through the authentication screen.
以上説明したように、本実施の形態では、認証サーバ4が、ユーザに対してトークン取得サーバ6の混雑状態を通知することとした。これにより、実施の形態1、2と同様の効果を得ることができる。
As described above, in the present embodiment, the authentication server 4 notifies the user of the congestion status of the token acquisition server 6. Thereby, the same effect as
実施の形態4.
本実施の形態では、認証サーバ4の認証部44が行う認証処理において、端末1のIPアドレス情報を加味する。実施の形態3と異なる部分について説明する。
Embodiment 4 FIG.
In the present embodiment, the IP address information of the
例えば、端末1では、既存の認証システムとの連携を優先するため、トークン表示部11とアカウント入力部12が別々のソフトウェアで提供されることがある。この場合、ある端末のトークン表示部11にトークンを表示させ、異なる端末のアカウント入力部12から認証に必要な情報を入力すると、認証サーバ4では、トークンを取得した端末と認証を要求する端末が異なっていても認証処理を行う、というセキュリティ上の問題がある。そのため、本実施の形態では、トークンを取得した端末と認証要求を行った端末が同一の端末の場合に限り認証処理を行う。
For example, in the
認証サーバ4が、パスワード受信部41で端末1からのユーザIDとワンタイムパスワードを受信し、照合部43で照合するまでの処理については実施の形態3と同様である。図14は、認証部44の認証処理を示すフローチャートである。認証部44は、まず、照合部43からアカウントを入力し(ステップS71)、認証リクエストを要求した端末1のIPアドレスYを入手する(ステップS72)。つぎに、認証部44は、ユーザIDを検出装置8の状況診断部85へ転送し、問い合わせを行う。状況診断部85は、認証部44からユーザIDを受信すると、端末へトークンを送信した際に記憶しているトークン、当該端末のユーザID、およびIPアドレスの対応関係に基づいて、当該ユーザIDに関するトークンを取得した端末1のIPアドレスXを入手する。状況診断部85は、問い合わせに対する応答として、入手したIPアドレスXを認証部44へ送信する。
Processing until the authentication server 4 receives the user ID and the one-time password from the
認証部44は、状況診断部85からの応答を受け(ステップS73)、IPアドレスYとIPアドレスXが同一かどうかを確認する(ステップS74)。同一ではない場合(ステップS74:No)、トークンを取得した端末と認証要求した端末が異なる端末であるとして、認証NG応答と不正アクセスを示す理由(エラーメッセージ)を認証応答パケットに入力し、アクセスサーバ3経由で端末1に応答する(ステップS75)。同一の場合(ステップS74:Yes)、トークンを取得した端末と認証要求した端末が同一の端末であるとして、パスワードの正当性を判断する処理を行い、パスワードの正当性に従って認証応答を返す(ステップS76)。
The
以上説明したように、本実施の形態では、トークンを取得した端末と認証を要求した端末が同一の場合に、認証処理を行うこととした。これにより、実施の形態3の効果とともに、さらに、認証システムのセキュリティをより向上させることができる。 As described above, in this embodiment, authentication processing is performed when the terminal that acquired the token and the terminal that requested authentication are the same. Thereby, in addition to the effect of the third embodiment, the security of the authentication system can be further improved.
実施の形態5.
本実施の形態では、検出装置8が、トークン取得サーバ6宛のトラヒック量に基づいて異常状態を検出する。実施の形態1と異なる部分について説明する。
Embodiment 5 FIG.
In the present embodiment, the detection device 8 detects an abnormal state based on the traffic amount addressed to the token acquisition server 6. A different part from
検出装置8では、管理テーブル84のテーブル841(図3参照)からトラヒック量を検出し特定することができる。図15は、検出処理部822の検出処理を示すフローチャートである。検出処理部822は、管理テーブル84のテーブル841における各セッションのトラヒック量Tを収集し、その中で最も多いトラヒック量T1と、発信元の端末のIPアドレスCを特定する(ステップS81)。特定したトラヒック量T1が予め設定された閾値G1より大きい場合(ステップS82:Yes)、異常検出テーブル825の異常状態値を「有り」に変更する(ステップS83)。また、取得した発信元の端末のIPアドレスCを異常検出テーブル825に記憶する(ステップS84)。一方、特定したトラヒック量T1が予め設定された閾値G1以下の場合(ステップS82:No)は処理を終了する。
The detection device 8 can detect and specify the traffic amount from the table 841 (see FIG. 3) of the management table 84. FIG. 15 is a flowchart showing the detection processing of the
検出処理部822が異常を検出した場合(ステップS82:Yes)、以降、図16のフローチャートに基づいて処理を行う。まず、図15のステップS81で検出したIPアドレスCの端末のトラヒック量Qを算出する(ステップS91)。算出したトラヒック量Qが閾値G2より小さい場合(ステップS92:Yes)、つぎに示す処理を行う。
When the
DoS攻撃のトラヒックが一旦小康状態になる可能性もあることから、閾値G2は閾値G1よりも小さな値とし、トラヒック量が閾値G2より小さくなった場合(ステップS92:Yes)、回数Hをインクリメントする(ステップS93)。ただし、再度閾値G1を上回るトラヒック量を検出した場合は、回数Hをゼロにリセットする。そして、回数Hが所定の回数Jに到達した場合(ステップS94:Yes)、すなわち、所定の期間、トラヒック量が閾値G2より小さかった場合、異常検出テーブル825の異常状態変化値を「有り」に更新し、異常検出テーブル825の異常状態値を「無し」に更新する(ステップS95)。なお、算出したトラヒック量Qが閾値G2以上の場合(ステップS92:No)、および回数Hが所定の回数Jに到達しない場合(ステップS94:No)は処理を終了する。検出処理部822は、所定の周期で、図16に示す処理を繰り返し行う。
Since there is a possibility that the traffic of the DoS attack is once in a lull state, the threshold value G2 is set to a value smaller than the threshold value G1, and when the traffic amount becomes smaller than the threshold value G2 (step S92: Yes), the frequency H is incremented. (Step S93). However, if a traffic amount exceeding the threshold value G1 is detected again, the number of times H is reset to zero. When the number of times H reaches the predetermined number of times J (step S94: Yes), that is, when the traffic amount is smaller than the threshold value G2 for a predetermined period, the abnormal state change value of the abnormality detection table 825 is set to “present”. The abnormal state value in the abnormality detection table 825 is updated to “None” (step S95). If the calculated traffic amount Q is greater than or equal to the threshold value G2 (step S92: No), and if the number of times H does not reach the predetermined number of times J (step S94: No), the process is terminated. The
つぎに、パケット処理部821のパケット処理について説明する。図17は、パケット処理部821のパケット処理を示すフローチャートである。まず、パケット処理部821は、端末1からトークン取得リクエストを受信すると(ステップS101)、異常検出テーブル825の異常状態値を確認する(ステップS102)。異常状態値が「有り」の場合(ステップS102:Yes)、さらに、トークン取得リクエストのIPアドレスが図15のステップS81の処理で検出したIPアドレスCと一致するかどうかを確認する(ステップS103)。一致した場合(ステップS103:Yes)、このトークン取得リクエストを送信してきた端末からのトラヒックを遮断する(ステップS104)。一致しなかった場合(ステップS103:No)、異常状態値およびIPアドレスを状態出力部83へ通知する(ステップS105)。なお、異常状態値が「有り」の場合は、トークン取得サーバ6へトークン取得リクエストを転送しない。 Next, packet processing of the packet processing unit 821 will be described. FIG. 17 is a flowchart showing packet processing of the packet processing unit 821. First, when receiving a token acquisition request from the terminal 1 (step S101), the packet processing unit 821 confirms an abnormal state value in the abnormality detection table 825 (step S102). When the abnormal state value is “present” (step S102: Yes), it is further confirmed whether or not the IP address of the token acquisition request matches the IP address C detected in the process of step S81 of FIG. 15 (step S103). . If they match (step S103: Yes), the traffic from the terminal that sent this token acquisition request is blocked (step S104). When they do not match (step S103: No), the abnormal state value and the IP address are notified to the state output unit 83 (step S105). When the abnormal state value is “present”, the token acquisition request is not transferred to the token acquisition server 6.
一方、異常状態値が「無し」の場合(ステップS102:No)、パケット処理部821は、さらに、異常検出テーブル825の異常状態変化値を確認し(ステップS106)、異常状態変化値が「有り」の場合(ステップS106:Yes)、DoS攻撃によって解読パターンが解析されている可能性があることから、異常状態値およびIPアドレスを状態出力部83へ通知する(ステップS107)。この場合、トークン取得サーバ6へトークン取得リクエストを転送しない。なお、一定時間経過後、異常なトラヒックの検出がなければ、異常状態変化値は「無し」に更新する。異常状態変化値が「無し」の場合(ステップS106:No)、トークン取得サーバ6へトークン取得リクエストを転送し、その応答としてトークン取得サーバ6からトークンを取得し(ステップS108)、IPアドレスおよびトークンを状態出力部83へ通知する(ステップS109)。 On the other hand, when the abnormal state value is “none” (step S102: No), the packet processing unit 821 further confirms the abnormal state change value in the abnormality detection table 825 (step S106), and the abnormal state change value is “present”. ”(Step S106: Yes), since there is a possibility that the decryption pattern has been analyzed by the DoS attack, the abnormal state value and the IP address are notified to the state output unit 83 (step S107). In this case, the token acquisition request is not transferred to the token acquisition server 6. If no abnormal traffic is detected after a predetermined time has elapsed, the abnormal state change value is updated to “none”. When the abnormal state change value is “None” (step S106: No), the token acquisition request is transferred to the token acquisition server 6, and a token is acquired from the token acquisition server 6 as a response (step S108). Is notified to the state output unit 83 (step S109).
なお、実施の形態1の場合と同様に、異常状態値が「有り」の場合(ステップS102:Yes)には、所定の周期でステップS102の処理を行う。これにより、異常状態解消時に、ステップS102:Noに続く処理を行うことができる。 As in the case of the first embodiment, when the abnormal state value is “present” (step S102: Yes), the process of step S102 is performed at a predetermined cycle. Thereby, the process following step S102: No can be performed when the abnormal state is resolved.
状態出力部83は、状態検出部82のパケット処理部821から通知を受けると、端末1に対する出力処理を実施する。図18は、状態出力部83の出力処理を示すフローチャートである。状態出力部83は、パケット処理部821で決定された内容(ステップS105、S107、S109)を確認する(ステップS111)。
When the
異常状態を検出した場合(ステップS111:ステップS105)、図19に示す画面114を出力するための情報を作成する(ステップS112)。図19は、トークン表示部に表示される画面114(DoS攻撃を受けた可能性がある場合)を示す図である。ユーザに対して、DoS攻撃を受けた可能性があることを示すものである。この場合、画面114の情報を端末1に送信することで、端末1が登録したパターンの変更を促し、状況診断部85を経て認証サーバ4のトークン認識部42に対して、パターン初期化を行うメッセージを通知する。認証サーバ4は、この通知を受けて、登録されているパターン登録ルールを初期化する。初期化後は、端末1からの新たなパターンが登録されるのを待つ。
When an abnormal state is detected (step S111: step S105), information for outputting the
また、異常状態から回復して間もない場合(ステップS111:ステップS107)、図20に示す画面115を出力するための情報を作成する(ステップS113)。図20は、トークン表示部に表示される画面115(DoS攻撃が収束した場合)を示す図である。ユーザに対して、DoS攻撃が収束したことを示すものである。この場合も、画面115の情報を端末1に送信することで、端末1が登録したパターンの変更を促し、状況診断部85を経て認証サーバ4のトークン認識部42に対して、パターン初期化を行うメッセージを通知する。
If it is not long after recovery from the abnormal state (step S111: step S107), information for outputting the
また、特に異常なトラヒックを検出しなかった場合(ステップS111:ステップS109)、実施の形態1と同様に、図9に示す画面113を出力するための情報を作成する(ステップS114)。 Also, when no abnormal traffic is detected (step S111: step S109), information for outputting the screen 113 shown in FIG. 9 is created (step S114), as in the first embodiment.
出力画面の情報を作成後、状態出力部83は、通知されたIPアドレス宛の端末1に対してレスポンスを送信する(ステップS115)。端末1は、状態出力部83からレスポンスを受信すると、画面114、115、113のいずれかをトークン表示部11に表示する。
After creating the output screen information, the
このように、特に、トークン取得サーバ6がインターネットに接続されている場合に、DoS攻撃を防ぎ、また、DoS攻撃を受けた可能性をユーザに通知することができる。 In this way, particularly when the token acquisition server 6 is connected to the Internet, it is possible to prevent a DoS attack and to notify the user of the possibility of receiving the DoS attack.
以上説明したように、本実施の形態では、状態検出部82が、トークン取得サーバ6宛のトラヒック量に基づいて異常状態を検出し、トークン取得サーバ6がインターネットに接続されている場合に、DoS攻撃を防いでトークンの安全性を確保できることとした。これにより、実施の形態1の効果とともに、さらに、認証システムのセキュリティをより向上させることができる。
As described above, in the present embodiment, when the
なお、各実施の形態の処理を相互に組み合わせることが可能である。例えば、実施の形態5の場合において、認証サーバ4が、実施の形態3、4の認証処理を行うことが可能である。 Note that the processing of each embodiment can be combined with each other. For example, in the case of the fifth embodiment, the authentication server 4 can perform the authentication process of the third and fourth embodiments.
以上のように、本発明にかかる認証システムは、ユーザ認証に有用であり、特に、ソフトウェアトークンを組み合わせたパスワードを用いる認証に適している。 As described above, the authentication system according to the present invention is useful for user authentication, and is particularly suitable for authentication using a password combining software tokens.
1 端末
2、5、7、9 ネットワーク
3 アクセスサーバ
4 認証サーバ
6 トークン取得サーバ
8 検出装置
11 トークン表示部
12 アカウント入力部
41 パスワード受信部
42 トークン認識部
43 照合部
44 認証部
61 トークン送受信部
62 トークン生成部
63 ユーザID受信部
64 性能収集部
81 インタフェース部
82 状態検出部
83 状態出力部
84 管理テーブル
85 状況診断部
821 パケット処理部
822 検出処理部
823 トークン取得部
824 混雑状態記憶テーブル
825 異常検出テーブル
DESCRIPTION OF
Claims (31)
所定の認証要求およびトークン取得要求を送信する端末と、
前記第2のパスワードを求めるための規則をユーザごとに記憶し、受信した認証要求に応じて認証処理を行う認証サーバと、
受信したトークン取得要求に応じてトークンを返信するトークン取得サーバと、
前記端末と前記トークン取得サーバとの間の通信を中継する検出装置と、
を備え、
前記検出装置は、
前記トークン取得サーバから所定の周期で受信する当該トークン取得サーバの混雑状態に基づいて、前記端末から受信したトークン取得要求をトークン取得サーバへ転送するかどうかを判断する状態検出手段、
を備え、
前記端末は、
前記トークン取得サーバから前記検出装置経由で受信したトークン、および前記規則に基づいて前記第2のパスワードを決定し、前記第1のパスワードおよび当該第2のパスワードから認証パスワードを生成し、前記所定の認証要求として、当該認証パスワードを含む認証要求を前記認証サーバへ送信する、
ことを特徴とする認証システム。 An authentication system that performs an authentication process using an authentication password composed of a first password that is a fixed password and a second password that is a variable password,
A terminal that transmits a predetermined authentication request and token acquisition request;
An authentication server for storing a rule for determining the second password for each user and performing an authentication process in response to the received authentication request;
A token acquisition server that returns a token in response to the received token acquisition request;
A detection device that relays communication between the terminal and the token acquisition server;
With
The detection device includes:
State detection means for determining whether to transfer the token acquisition request received from the terminal to the token acquisition server based on the congestion state of the token acquisition server received from the token acquisition server at a predetermined cycle;
With
The terminal
Determining the second password based on the token received from the token acquisition server via the detection device and the rule, and generating an authentication password from the first password and the second password, As an authentication request, an authentication request including the authentication password is transmitted to the authentication server.
An authentication system characterized by that.
前記トークン取得サーバの混雑状態を記憶するための管理テーブル、
を備え、
前記状態検出手段では、
前記端末からトークン取得要求を受信した場合に前記管理テーブルに記憶されたトークン取得サーバの混雑状態を確認し、混雑状態を表す値が所定の閾値よりも大きい場合には、前記トークン取得サーバへトークン取得要求を転送しないと判断しかつ混雑している旨の情報を前記端末へ送信するための処理を行い、一方、混雑状態を表す値が所定の閾値以下の場合には、前記トークン取得サーバへトークン取得要求を転送すると判断し、かつ、トークン取得要求を当該トークン取得サーバへ転送するための処理およびその応答として当該トークン取得サーバから受信したトークンを前記端末へ転送するための処理を行う、
ことを特徴とする請求項1に記載の認証システム。 The detection device further includes:
A management table for storing the congestion status of the token acquisition server;
With
In the state detection means,
When the token acquisition request is received from the terminal, the congestion state of the token acquisition server stored in the management table is confirmed, and if the value indicating the congestion state is larger than a predetermined threshold, the token acquisition server When it is determined that the acquisition request is not transferred and information indicating that the request is congested is transmitted to the terminal, on the other hand, when the value indicating the congestion state is equal to or less than a predetermined threshold, the token acquisition server is processed. Determining that the token acquisition request is to be transferred, and performing processing for transferring the token acquisition request to the token acquisition server and processing for transferring the token received from the token acquisition server as a response to the terminal,
The authentication system according to claim 1, wherein:
ことを特徴とする請求項2に記載の認証システム。 When receiving information indicating that the terminal is congested from the detection device, the terminal displays the content on a screen after transmitting a token acquisition request.
The authentication system according to claim 2, wherein:
前記状態検出手段は、前記トークン取得サーバの混雑状態を表す値が前記所定の閾値以下であればさらに前記状態変化情報を確認し、確認の結果、変化有りのときは、前記トークンとともに混雑状態が緩和した直後である旨を示す情報を送信するための処理を行う、
ことを特徴とする請求項2または3に記載の認証システム。 In the management table, further storing state change information indicating whether the latest congestion state has changed compared to the previously received congestion state,
The state detection means further checks the state change information if the value indicating the congestion state of the token acquisition server is equal to or less than the predetermined threshold, and if the result of the confirmation is that there is a change, the congestion state is indicated together with the token. Perform processing to send information indicating that it has just been relaxed,
The authentication system according to claim 2 or 3, wherein
前記認証サーバからの要求に応じて前記管理テーブルを検索し、取得した情報を前記認証サーバへ返信する状況診断手段、
を備え、
前記認証サーバは、
前記端末から認証要求を受信した場合、前記状況診断手段に対して前記トークン取得サーバの混雑状態の取得要求を送信し、その応答として当該混雑状態を受信し、当該トークン取得サーバの混雑状態を表す値が前記所定の閾値よりも大きい場合には、認証しないことを示す情報とともに混雑している旨の情報を前記端末へ送信する、
ことを特徴とする請求項2、3または4に記載の認証システム。 The detection device further includes:
A status diagnosing means for searching the management table in response to a request from the authentication server and returning the acquired information to the authentication server;
With
The authentication server is
When an authentication request is received from the terminal, a request for acquiring the congestion status of the token acquisition server is transmitted to the status diagnosis unit, the congestion status is received as a response, and the congestion status of the token acquisition server is represented. When the value is larger than the predetermined threshold, the information indicating that the authentication is not performed is transmitted to the terminal together with the information indicating that the authentication is not performed.
The authentication system according to claim 2, 3, or 4.
ことを特徴とする請求項5に記載の認証システム。 When the terminal receives the information indicating that the authentication is not performed and the information indicating that the terminal is congested, the content is displayed on a screen after the authentication request is transmitted.
The authentication system according to claim 5.
前記認証サーバは、
前記端末から認証要求を受信した場合に、前記状況診断手段に対して、当該端末が受信したトークンと同一のトークンを受信している端末のIPアドレスを要求し、その応答として受信したIPアドレスと前記認証要求を送信した端末のIPアドレスとを比較し、比較の結果、IPアドレスが異なる場合には、エラーメッセージを、前記認証要求を送信した端末へ送信する、
ことを特徴とする請求項5または6に記載の認証システム。 When the management table further stores the IP address of the terminal that received the token from the token acquisition server,
The authentication server is
When an authentication request is received from the terminal, the status diagnosis unit is requested to request the IP address of the terminal receiving the same token as the token received by the terminal, and the IP address received as the response It compares the IP address of the terminal that sent the authentication request, and if the IP address is different as a result of the comparison, sends an error message to the terminal that sent the authentication request.
The authentication system according to claim 5 or 6, wherein
前記状態検出手段は、
最大のトラヒック量が第1の閾値よりも大きいときに当該トラヒックの送信元端末が異常状態であるとして記憶し、その後、所定の期間にわたって当該端末からのトラヒック量が第2の閾値(第1の閾値>第2の閾値)よりも小さくなったときに当該異常状態を解除する動作を行う場合において、
所定の端末からトークン取得要求を受信し、かつ異常状態の端末が記録された状態で、当該所定の端末と当該異常状態の端末とが同一の場合には、当該所定の端末のトラヒックを遮断するための処理を行い、
一方、所定の端末からトークン取得要求を受信し、かつ異常状態の端末が記録された状態で、当該所定の端末と当該異常状態の端末とが異なる場合には、異常状態である旨の情報を当該所定の端末へ返信するための処理を行い、
さらに、所定の端末からトークン取得要求を受信し、かつ過去に異常状態であったことを示す記録があった場合には、その旨の情報を当該所定の端末へ返信するための処理を行い、
前記状況診断手段は、前記状態検出手段により異常状態である旨の情報または過去に異常状態であったことを示す旨の情報を送信するための処理が行われた場合、前記認証サーバに対して前記規則を初期化するための情報を送信し、
前記規則を初期化するための情報を受信した認証サーバが、前記規則を初期化し、その旨の情報を前記トークン取得要求送信元の端末に対して送信する、
ことを特徴とする請求項5、6または7に記載の認証システム。 When the traffic amount for each session established by the token acquisition server and the IP address of the transmission source terminal of the traffic and the IP address of the terminal in an abnormal state are further stored in the management table,
The state detection means includes
When the maximum traffic volume is larger than the first threshold value, the traffic transmission source terminal is stored as being in an abnormal state, and then the traffic volume from the terminal is set to the second threshold value (first threshold value over a predetermined period). In the case of performing an operation for canceling the abnormal state when the threshold value> the second threshold value) becomes smaller,
When the token acquisition request is received from the predetermined terminal and the abnormal terminal is recorded and the predetermined terminal and the abnormal terminal are the same, the traffic of the predetermined terminal is blocked. Process for
On the other hand, when the token acquisition request is received from the predetermined terminal and the abnormal terminal is recorded and the predetermined terminal is different from the abnormal terminal, information indicating the abnormal state is displayed. Perform a process to reply to the specified terminal,
Furthermore, when a token acquisition request is received from a predetermined terminal and there is a record indicating that it has been in an abnormal state in the past, a process for returning information to that effect to the predetermined terminal is performed,
When the state diagnosis unit performs processing for transmitting information indicating an abnormal state or information indicating an abnormal state in the past by the state detection unit, Send information to initialize the rules,
The authentication server that has received the information for initializing the rule initializes the rule, and transmits information to that effect to the terminal of the token acquisition request transmission source.
The authentication system according to claim 5, 6, or 7.
ことを特徴とする請求項1〜8のいずれか1つに記載の認証システム。 The state detection means determines the congestion state based on a CPU load of the token acquisition server;
The authentication system according to any one of claims 1 to 8, wherein:
ことを特徴とする請求項1〜8のいずれか1つに記載の認証システム。 The state detection means determines the congestion state based on the number of sessions established by the token acquisition server.
The authentication system according to any one of claims 1 to 8, wherein:
前記トークン取得サーバから所定の周期で受信する当該トークン取得サーバの混雑状態に基づいて、前記端末から受信したトークン取得要求をトークン取得サーバへ転送するかどうかを判断する状態検出手段、
を備えることを特徴とする検出装置。 Authentication using an authentication password composed of a terminal that transmits a predetermined authentication request and token acquisition request, and a first password that is a fixed password and a second password that is a variable password according to the received authentication request An authentication server that performs processing and stores a rule for determining the second password for each user, a token acquisition server that returns a token in response to the received token acquisition request, and the terminal and the token acquisition server A detecting device that relays communication between the detecting device in an authentication system comprising:
State detection means for determining whether to transfer the token acquisition request received from the terminal to the token acquisition server based on the congestion state of the token acquisition server received from the token acquisition server at a predetermined cycle;
A detection apparatus comprising:
前記トークン取得サーバの混雑状態を記憶するための管理テーブル、
を備え、
前記状態検出手段では、
前記端末からトークン取得要求を受信した場合に前記管理テーブルに記憶されたトークン取得サーバの混雑状態を確認し、混雑状態を表す値が所定の閾値よりも大きい場合には、前記トークン取得サーバへトークン取得要求を転送しないと判断しかつ混雑している旨の情報を前記端末へ送信するための処理を行い、一方、混雑状態を表す値が所定の閾値以下の場合には、前記トークン取得サーバへトークン取得要求を転送すると判断し、かつ、トークン取得要求を当該トークン取得サーバへ転送するための処理およびその応答として当該トークン取得サーバから受信したトークンを前記端末へ転送するための処理を行う、
ことを特徴とする請求項11に記載の検出装置。 further,
A management table for storing the congestion status of the token acquisition server;
With
In the state detection means,
When the token acquisition request is received from the terminal, the congestion state of the token acquisition server stored in the management table is confirmed, and if the value indicating the congestion state is larger than a predetermined threshold, the token acquisition server When it is determined that the acquisition request is not transferred and information indicating that the request is congested is transmitted to the terminal, on the other hand, when the value indicating the congestion state is equal to or less than a predetermined threshold, the token acquisition server is processed. Determining that the token acquisition request is to be transferred, and performing processing for transferring the token acquisition request to the token acquisition server and processing for transferring the token received from the token acquisition server as a response to the terminal,
The detection device according to claim 11.
前記状態検出手段は、前記トークン取得サーバの混雑状態を表す値が前記所定の閾値以下であればさらに前記状態変化情報を確認し、確認の結果、変化有りのときは、前記トークンとともに混雑状態が緩和した直後である旨を示す情報を送信するための処理を行う、
ことを特徴とする請求項12に記載の検出装置。 In the management table, further storing state change information indicating whether the latest congestion state has changed compared to the previously received congestion state,
The state detection means further checks the state change information if the value indicating the congestion state of the token acquisition server is equal to or less than the predetermined threshold, and if the result of the confirmation is that there is a change, the congestion state is indicated together with the token. Perform processing to send information indicating that it has just been relaxed,
The detection device according to claim 12.
前記認証サーバからの要求に応じて前記管理テーブルを検索し、取得した情報を前記認証サーバへ返信する状況診断手段、
を備えることを特徴とする請求項12または13に記載の検出装置。 further,
A status diagnosing means for searching the management table in response to a request from the authentication server and returning the acquired information to the authentication server;
The detection device according to claim 12, further comprising:
前記状況診断手段は、前記認証サーバからの要求に応じて、当該認証サーバに対して認証要求を送信した端末が受信したトークンと同一のトークンを受信している端末のIPアドレスを返信する、
ことを特徴とする請求項14に記載の検出装置。 When the management table further stores the IP address of the terminal that received the token from the token acquisition server,
In response to a request from the authentication server, the situation diagnosis unit returns an IP address of a terminal that has received the same token as the token received by the terminal that has transmitted the authentication request to the authentication server.
The detection apparatus according to claim 14.
前記状態検出手段は、
最大のトラヒック量が第1の閾値よりも大きいときに当該トラヒックの送信元端末が異常状態であるとして記憶し、その後、所定の期間にわたって当該端末からのトラヒック量が第2の閾値(第1の閾値>第2の閾値)よりも小さくなったときに当該異常状態を解除する動作を行う場合において、
所定の端末からトークン取得要求を受信し、かつ異常状態の端末が記録された状態で、当該所定の端末と当該異常状態の端末とが同一の場合には、当該所定の端末のトラヒックを遮断するための処理を行い、
一方、所定の端末からトークン取得要求を受信し、かつ異常状態の端末が記録された状態で、当該所定の端末と当該異常状態の端末とが異なる場合には、異常状態である旨の情報を当該所定の端末へ返信するための処理を行い、
さらに、所定の端末からトークン取得要求を受信し、かつ過去に異常状態であったことを示す記録があった場合には、その旨の情報を当該所定の端末に返信するための処理を行い、
前記状況診断手段は、前記状態検出手段により異常状態である旨の情報または過去に異常状態であったことを示す旨の情報を送信するための処理が行われた場合、前記認証サーバに対して前記規則を初期化するための情報を送信する、
ことを特徴とする請求項14または15に記載の検出装置。 When the traffic amount for each session established by the token acquisition server and the IP address of the transmission source terminal of the traffic and the IP address of the terminal in an abnormal state are further stored in the management table,
The state detection means includes
When the maximum traffic volume is larger than the first threshold value, the traffic transmission source terminal is stored as being in an abnormal state, and then the traffic volume from the terminal is set to the second threshold value (first threshold value over a predetermined period). In the case of performing an operation for canceling the abnormal state when the threshold value> the second threshold value) becomes smaller,
When the token acquisition request is received from the predetermined terminal and the abnormal terminal is recorded and the predetermined terminal and the abnormal terminal are the same, the traffic of the predetermined terminal is blocked. Process for
On the other hand, when the token acquisition request is received from the predetermined terminal and the abnormal terminal is recorded and the predetermined terminal is different from the abnormal terminal, information indicating the abnormal state is displayed. Perform a process to reply to the specified terminal,
Furthermore, when a token acquisition request is received from a predetermined terminal and there is a record indicating that it has been in an abnormal state in the past, a process for returning information to that effect to the predetermined terminal is performed,
When the state diagnosis unit performs processing for transmitting information indicating an abnormal state or information indicating an abnormal state in the past by the state detection unit, Sending information to initialize the rules;
The detection apparatus according to claim 14 or 15, wherein
ことを特徴とする請求項11〜16のいずれか1つに記載の検出装置。 The state detection means determines the congestion state based on a CPU load of the token acquisition server;
The detection device according to any one of claims 11 to 16, wherein
ことを特徴とする請求項11〜16のいずれか1つに記載の検出装置。 The state detection means determines the congestion state based on the number of sessions established by the token acquisition server.
The detection device according to any one of claims 11 to 16, wherein
前記検出装置が、前記トークン取得サーバから所定の周期で受信する当該トークン取得サーバの混雑状態に基づいて、前記端末から受信したトークン取得要求をトークン取得サーバへ転送すると判断し、転送したトークン取得要求に対する応答として前記トークン取得サーバから受信したトークンを前記端末へ転送する場合に、
前記トークン取得サーバから前記検出装置経由で受信したトークン、および前記規則に基づいて前記第2のパスワードを決定し、前記第1のパスワードおよび当該第2のパスワードから認証パスワードを生成し、前記所定の認証要求として、当該認証パスワードを含む認証要求を前記認証サーバへ送信する、
ことを特徴とする端末。 Authentication using an authentication password composed of a terminal that transmits a predetermined authentication request and token acquisition request, and a first password that is a fixed password and a second password that is a variable password according to the received authentication request An authentication server that performs processing and stores a rule for determining the second password for each user, a token acquisition server that returns a token in response to the received token acquisition request, and the terminal and the token acquisition server A detection apparatus that relays communication between the terminals in the authentication system,
Based on the congestion state of the token acquisition server received from the token acquisition server at a predetermined cycle, the detection apparatus determines to transfer the token acquisition request received from the terminal to the token acquisition server, and transfers the token acquisition request transferred. When the token received from the token acquisition server as a response to is transferred to the terminal,
Determining the second password based on the token received from the token acquisition server via the detection device and the rule, and generating an authentication password from the first password and the second password, As an authentication request, an authentication request including the authentication password is transmitted to the authentication server.
A terminal characterized by that.
前記検出装置から受信した混雑している旨の情報を、トークン取得要求を送信した後の画面に表示する、
ことを特徴とする請求項19に記載の端末。 When the detection device receives a token acquisition request, the token acquisition server checks the congestion state of the token acquisition server stored in the management table, and when the value indicating the congestion state is larger than a predetermined threshold, the token acquisition server When it is determined that the token acquisition request will not be transferred to
Displaying information on the congestion received from the detection device on the screen after sending the token acquisition request,
The terminal according to claim 19.
前記認証サーバから受信した認証しないことを示す情報および混雑している旨の情報を、認証要求を送信した後の画面に表示する、
ことを特徴とする請求項20に記載の端末。 When the authentication server receives an authentication request, the authentication server confirms the congestion state of the token acquisition server stored in the management table of the detection device, and when the value indicating the congestion state is greater than the predetermined threshold If you send information indicating that it is crowded along with information indicating that you will not be authenticated,
Displaying the information received from the authentication server indicating that authentication is not performed and the information indicating that the authentication server is congested on the screen after transmitting the authentication request;
The terminal according to claim 20, wherein:
前記検出装置が、前記トークン取得サーバから所定の周期で受信する当該トークン取得サーバの混雑状態に基づいて、前記端末から受信したトークン取得要求をトークン取得サーバへ転送するかどうかを判断する判断ステップと、
前記端末が、前記トークン取得サーバから前記検出装置経由で受信したトークン、および前記規則に基づいて前記第2のパスワードを決定し、前記第1のパスワードおよび当該第2のパスワードから認証パスワードを生成する認証パスワード生成ステップと、
前記端末が、前記所定の認証要求として、前記認証パスワードを含む認証要求を前記認証サーバへ送信する認証要求送信ステップと、
を含むことを特徴とする認証方法。 Authentication using an authentication password composed of a terminal that transmits a predetermined authentication request and token acquisition request, and a first password that is a fixed password and a second password that is a variable password according to the received authentication request An authentication server that performs processing and stores a rule for determining the second password for each user, a token acquisition server that returns a token in response to the received token acquisition request, and the terminal and the token acquisition server An authentication method in an authentication system comprising a detection device that relays communication between,
A determination step for determining whether the detection device forwards the token acquisition request received from the terminal to the token acquisition server based on a congestion state of the token acquisition server received from the token acquisition server at a predetermined period; ,
The terminal determines the second password based on the token received from the token acquisition server via the detection device and the rule, and generates an authentication password from the first password and the second password An authentication password generation step;
An authentication request transmission step in which the terminal transmits an authentication request including the authentication password to the authentication server as the predetermined authentication request;
An authentication method comprising:
前記判断ステップでは、前記端末からトークン取得要求を受信した場合に前記管理テーブルに記憶されたトークン取得サーバの混雑状態を確認し、混雑状態を表す値が所定の閾値よりも大きい場合には、前記トークン取得サーバへトークン取得要求を転送しないと判断しかつ混雑している旨の情報を前記端末へ送信し、一方、混雑状態を表す値が所定の閾値以下の場合には、前記トークン取得サーバへトークン取得要求を転送すると判断し、かつ、トークン取得要求を当該トークン取得サーバへ転送するための処理およびその応答として当該トークン取得サーバから受信したトークンを前記端末へ転送する、
ことを特徴とする請求項22に記載の認証方法。 When the detection device comprises a management table for storing the congestion status of the token acquisition server,
In the determination step, when the token acquisition request is received from the terminal, the congestion state of the token acquisition server stored in the management table is confirmed, and when the value indicating the congestion state is larger than a predetermined threshold, When it is determined that the token acquisition request is not transferred to the token acquisition server and information indicating that the request is congested is transmitted to the terminal. On the other hand, when the value indicating the congestion state is equal to or less than a predetermined threshold, the token acquisition server Determining that the token acquisition request is to be transferred, and transferring the token received from the token acquisition server as a response to the process for transferring the token acquisition request to the token acquisition server;
The authentication method according to claim 22.
前記端末が、前記検出装置から混雑している旨の情報を受信した場合に、その内容を、トークン取得要求を送信した後の画面に表示するトークン取得要求画面表示ステップ、
を含むことを特徴とする請求項23に記載の認証方法。 further,
When the terminal receives information indicating that the terminal is crowded, a token acquisition request screen display step for displaying the content on a screen after transmitting the token acquisition request;
The authentication method according to claim 23, further comprising:
前記判断ステップでは、前記トークン取得サーバの混雑状態を表す値が前記所定の閾値以下であればさらに前記状態変化情報を確認し、確認の結果、変化有りのときは、前記トークンとともに混雑状態が緩和した直後である旨を示す情報を送信する、
ことを特徴とする請求項23または24に記載の認証方法。 In the management table, further storing state change information indicating whether the latest congestion state has changed compared to the previously received congestion state,
In the determination step, if the value indicating the congestion state of the token acquisition server is equal to or less than the predetermined threshold, the state change information is further confirmed. If the result of the confirmation is that there is a change, the congestion state is reduced together with the token. Send information indicating that it is immediately after
The authentication method according to claim 23 or 24, wherein:
前記認証サーバが、前記端末から認証要求を受信した場合に、前記検証装置に対して前記トークン取得サーバの混雑状態の取得要求を送信し、その応答として当該混雑状態を受信し、当該トークン取得サーバの混雑状態を表す値が前記所定の閾値よりも大きい場合には、認証しないことを示す情報とともに混雑している旨の情報を前記端末へ送信する混雑状態認証ステップ、
を含むことを特徴とする請求項23、24または25に記載の認証方法。 further,
When the authentication server receives an authentication request from the terminal, the token acquisition server transmits a request for acquiring the congestion state of the token acquisition server to the verification device, and receives the congestion state as a response thereto. A congestion state authentication step of transmitting information indicating that it is congested together with information indicating that no authentication is performed to the terminal when the value indicating the congestion state of
The authentication method according to claim 23, 24, or 25, comprising:
前記端末が、前記認証しないことを示す情報および前記混雑している旨の情報を受信した場合に、その内容を、認証要求を送信した後の画面に表示する認証要求画面表示ステップ、
を含むことを特徴とする請求項26に記載の認証方法。 further,
An authentication request screen display step for displaying the content on the screen after transmitting the authentication request when the terminal receives the information indicating that the terminal is not authenticated and the information indicating that the terminal is congested;
The authentication method according to claim 26, further comprising:
さらに、
前記認証サーバが、前記端末から認証要求を受信した場合に、前記検証装置に対して、当該端末が受信したトークンと同一のトークンを受信している端末のIPアドレスを要求し、その応答として受信したIPアドレスと前記認証要求を送信した端末のIPアドレスとを比較し、比較の結果、IPアドレスが異なる場合には、エラーメッセージを、前記認証要求を送信した端末へ送信するIPアドレス認証ステップ、
を含むことを特徴とする請求項26または27に記載の認証方法。 When the IP address of the terminal that acquired the token from the token acquisition server is further stored in the management table,
further,
When the authentication server receives an authentication request from the terminal, the verification server requests the IP address of the terminal receiving the same token as the token received by the terminal, and receives it as a response An IP address authentication step of transmitting an error message to the terminal that has transmitted the authentication request if the IP address is different as a result of the comparison, and the IP address of the terminal that transmitted the authentication request is compared
The authentication method according to claim 26 or 27, further comprising:
さらに、
前記検証装置が、所定の端末からトークン取得要求を受信し、かつ異常状態の端末が記録された状態で、当該所定の端末と当該異常状態の端末とが同一の場合には、当該所定の端末のトラヒックを遮断する第1の異常状態判断ステップと、
前記検証装置が、所定の端末からトークン取得要求を受信し、かつ異常状態の端末が記録された状態で、当該所定の端末と当該異常状態の端末とが異なる場合には、異常状態である旨の情報を当該所定の端末へ返信する第2の異常状態判断ステップと、
前記検証装置が、所定の端末からトークン取得要求を受信し、かつ過去に異常状態であったことを示す記録があった場合には、その旨の情報を当該所定の端末に返信する第3の異常状態判断ステップと、
前記検証装置が、異常状態である旨の情報または過去に異常状態であったことを示す旨の情報を送信するための処理が行う場合に、前記認証サーバに対して前記規則を初期化するための情報を送信する初期化指示ステップと、
前記規則を初期化するための情報を受信した認証サーバが、前記規則を初期化し、その旨の情報を前記トークン取得要求送信元の端末に対して送信する初期化通知ステップと、
を含むことを特徴とする請求項26、27または28に記載の認証方法。 This is a case where the management table further stores the traffic volume for each session established by the token acquisition server, the IP address of the transmission source terminal of the traffic, and the IP address of the terminal in an abnormal state. And when the maximum traffic volume is larger than the first threshold, the verification device stores the traffic source terminal as being in an abnormal state, and then the traffic volume from the terminal over a predetermined period. In the case of performing an operation of canceling the abnormal state when the value becomes smaller than the second threshold (first threshold> second threshold),
further,
When the verification device receives a token acquisition request from a predetermined terminal and the abnormal terminal is recorded, and the predetermined terminal and the abnormal terminal are the same, the predetermined terminal A first abnormal state determination step for blocking the traffic of
When the verification device receives a token acquisition request from a predetermined terminal and the abnormal terminal is recorded, and the predetermined terminal is different from the abnormal terminal, the verification apparatus is in an abnormal state. A second abnormal state determination step of returning the information to the predetermined terminal;
When the verification device receives a token acquisition request from a predetermined terminal and has a record indicating that it has been in an abnormal state in the past, a third information is sent back to the predetermined terminal. An abnormal state determination step;
In order to initialize the rule to the authentication server when the verification device performs processing for transmitting information indicating an abnormal state or information indicating an abnormal state in the past An initialization instruction step for transmitting the information of
An authentication server that receives the information for initializing the rule, initializes the rule, and transmits an information to that effect to the token acquisition request transmission source terminal; and
The authentication method according to claim 26, 27 or 28, wherein:
ことを特徴とする請求項22〜29のいずれか1つに記載の認証方法。 In the determination step, the congestion state of the token acquisition server is determined based on the CPU load of the token acquisition server.
30. The authentication method according to any one of claims 22 to 29, wherein:
ことを特徴とする請求項22〜29のいずれか1つに記載の認証方法。 In the determination step, the congestion state of the token acquisition server is determined based on the number of sessions established by the token acquisition server.
30. The authentication method according to any one of claims 22 to 29, wherein:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009282984A JP2011123811A (en) | 2009-12-14 | 2009-12-14 | Authentication system, detection device, terminal and authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009282984A JP2011123811A (en) | 2009-12-14 | 2009-12-14 | Authentication system, detection device, terminal and authentication method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011123811A true JP2011123811A (en) | 2011-06-23 |
Family
ID=44287617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009282984A Pending JP2011123811A (en) | 2009-12-14 | 2009-12-14 | Authentication system, detection device, terminal and authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011123811A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9218471B2 (en) | 2011-12-22 | 2015-12-22 | International Business Machines Corporation | Lock function handling for information processing devices |
JP2020071620A (en) * | 2018-10-30 | 2020-05-07 | ウイングアーク1st株式会社 | Authentication system, authentication server and authentication method |
-
2009
- 2009-12-14 JP JP2009282984A patent/JP2011123811A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9218471B2 (en) | 2011-12-22 | 2015-12-22 | International Business Machines Corporation | Lock function handling for information processing devices |
JP2020071620A (en) * | 2018-10-30 | 2020-05-07 | ウイングアーク1st株式会社 | Authentication system, authentication server and authentication method |
JP7100561B2 (en) | 2018-10-30 | 2022-07-13 | ウイングアーク1st株式会社 | Authentication system, authentication server and authentication method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3258374A1 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
JP4302732B2 (en) | Login authentication system for network cameras | |
EP2383954A2 (en) | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information | |
CN110324287A (en) | Access authentication method, device and server | |
JP5987627B2 (en) | Unauthorized access detection method, network monitoring device and program | |
KR20120085821A (en) | Network communication system, server system and terminals | |
JP6572750B2 (en) | Authentication control program, authentication control device, and authentication control method | |
WO2014000303A1 (en) | Method for receiving message, and deep packet inspection device and system | |
JP2008181310A (en) | Authentication server and authentication program | |
JPH11308272A (en) | Packet communication control system and packet communication controller | |
KR101001197B1 (en) | System and method for log-in control | |
JP2008282212A (en) | Authentication device and authentication system | |
JP4466597B2 (en) | Network system, network management apparatus, network management method and program | |
JP2011123811A (en) | Authentication system, detection device, terminal and authentication method | |
KR20170096780A (en) | System and method for interlocking of intrusion information | |
JP4679934B2 (en) | Identification information generation management device, system, and program | |
KR101231966B1 (en) | Server obstacle protecting system and method | |
KR20130055116A (en) | Authentification method and server | |
JP5733387B2 (en) | Management device, management program, and management method | |
JP6813030B2 (en) | Communications system | |
WO2011118237A1 (en) | Authentication device and authentication method | |
JP2016021621A (en) | Communication system and communication method | |
JP2003169050A (en) | Key managing device, key managing method, storage medium using the same, and program | |
KR20060074954A (en) | Authentication method and apparatus for home network service | |
JP2009048648A (en) | Unauthorized access preventing device and unauthorized access preventing program |