JP2013171509A - System, apparatus, and program for preventing unjust authentication - Google Patents
System, apparatus, and program for preventing unjust authentication Download PDFInfo
- Publication number
- JP2013171509A JP2013171509A JP2012036419A JP2012036419A JP2013171509A JP 2013171509 A JP2013171509 A JP 2013171509A JP 2012036419 A JP2012036419 A JP 2012036419A JP 2012036419 A JP2012036419 A JP 2012036419A JP 2013171509 A JP2013171509 A JP 2013171509A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- time
- authentication request
- usage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、不正な認証を行ってしまうことを防止するための、不正認証防止システム、不正認証防止装置及び不正認証防止プログラムに関する。 The present invention relates to an unauthorized authentication prevention system, an unauthorized authentication prevention apparatus, and an unauthorized authentication prevention program for preventing unauthorized authentication.
例えば、クレジットカードの利用時や電子マネーの利用時、ATM(Automatic teller machine)における現金引き出し時等において、ユーザの認証を行うことが一般的に行われている。 For example, when a credit card is used, electronic money is used, or cash is withdrawn in an ATM (Automatic teller machine), user authentication is generally performed.
この場合、ユーザはIDを入力したり、ICカードを挿入するとともに、暗証番号を入力したり、掌をかざす等することにより認証が行われる。 In this case, the user is authenticated by inputting an ID, inserting an IC card, inputting a personal identification number, holding a palm, or the like.
しかしながら、例えば暗証番号は漏洩する可能性が有る。このような不測の事態にも対応できるように、種々の認証を組み合わせることにより、より強固な認証を実現できる。 However, for example, the password may be leaked. A stronger authentication can be realized by combining various authentications so as to cope with such an unexpected situation.
このような認証に関しての技術の一例が特許文献1に記載されている。 An example of such a technique relating to authentication is described in Patent Document 1.
図1を参照して特許文献1に記載の技術について説明する。ここで、図1は、特許文献1の図1に相当する図である。特許文献1に記載の技術では、サービス要求端末装置50が、ユーザから認証要求を受け付ける。そして、サービス要求端末装置50は、認証サーバ30に認証要求を行う。認証サーバ30は、第1の位置として認証要求元のサービス要求端末装置50の位置情報を取得する。併せて、第1の位置を取得した時刻も取得する。また、認証サーバ30は、第2の位置として携帯端末20の位置情報を取得する。併せて、第2の位置を取得した時刻も取得する。
The technique described in Patent Document 1 will be described with reference to FIG. Here, FIG. 1 is a diagram corresponding to FIG. In the technique described in Patent Literature 1, the service request
そして、認証サーバ30は、第2の位置を始点として、第1の位置を終点として、第2の位置を取得した時刻から第1の位置を取得した時刻の時間内に移動できる始点・終点間の移動経路が有るか否かの移動経路探索を行う。そして、図2の上段の表<例1>に表されるように移動経路が発見された場合には正規ユーザが認証要求を行っていると判断し、認証を行う。一方、図2の下段の表<例2>に表されるように移動経路が発見されなかった場合には、非正規ユーザによる認証要求と判断し認証を行わない。
Then, the
上述したように、特許文献1に記載の技術では移動経路が存在しないにも関わらず認証要求が行われた場合は非正規ユーザによるなりすまし等と判断して認証を行わないことにより、より一層セキュリティ性を向上させることができる。 As described above, in the technique described in Patent Document 1, when an authentication request is made even though there is no moving path, it is determined that the impersonation is performed by an unauthorized user and authentication is not performed, thereby further increasing security. Can be improved.
もっとも、特許文献1に記載の技術では、端末の盗難時における否認策が考慮されていない。 However, the technique described in Patent Document 1 does not consider a denial measure when the terminal is stolen.
具体的に言うと、特定の端末の最新の位置の情報を第2の位置として利用しており、この特定の一端末が盗難されることで、他者による認証すなわち不正認証が可能になってしまうという問題点がある。つまり、携帯端末の盗難により最新の位置の情報が更新された場合、盗難者の認証に成功する問題点がある。 Specifically, the information on the latest position of a specific terminal is used as the second position, and this specific one terminal is stolen, thereby enabling authentication by another person, that is, unauthorized authentication. There is a problem that. That is, when the latest location information is updated due to the theft of the mobile terminal, there is a problem that the theft is successfully authenticated.
そこで、本発明は、或る機器が盗難された場合であっても不正な認証を防止することを可能とする、不正認証防止システム、不正認証防止装置及び不正認証防止プログラムを提供することを目的とする。 Accordingly, an object of the present invention is to provide an unauthorized authentication prevention system, an unauthorized authentication prevention device, and an unauthorized authentication prevention program that can prevent unauthorized authentication even when a certain device is stolen. And
本発明の第1の観点によれば、認証受付機器から要求される不正な認証要求を否認する不正認証防止装置であって、利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、前記認証要求を否認する認証否認手段と、を備えることを特徴とする不正認証防止装置が提供される。 According to a first aspect of the present invention, there is provided an unauthorized authentication preventing apparatus for rejecting an unauthorized authentication request requested from an authentication accepting device, wherein user identification information transmitted from a use device, use date and time, use device position Each time an information group including at least one of the information group is received, a means for adding a record including at least a use date and a use device position for each user to the use history information based on the information group, and an authentication request from the authentication receiving device. When received, based on the usage history information, it is determined whether or not the authentication request is made by an authorized user, and it is determined that the authentication request is made by a user other than the authorized user. In such a case, there is provided an unauthorized authentication preventing apparatus comprising an authentication denial means for denying the authentication request.
本発明の第2の観点によれば、ユーザが利用する機器と、該機器と接続された不正認証防止装置とを含む不正認証防止システムであって、前記機器が、当該機器がユーザから利用された際に、該利用をされた利用日時及び当該機器の位置を前記不正認証防止装置に送信する手段を備え、前記不正認証防止装置が上記本発明の第1の観点により提供される不正認証防止装置であることを特徴とする不正認証防止システムが提供される。 According to a second aspect of the present invention, there is provided a fraud prevention system including a device used by a user and a fraud authentication preventing apparatus connected to the device, wherein the device is used by the user. And a means for transmitting the date and time of use and the location of the device to the unauthorized authentication preventing apparatus when the unauthorized authentication preventing apparatus is provided according to the first aspect of the present invention. There is provided an unauthorized authentication preventing system characterized by being an apparatus.
本発明の第3の観点によれば、ユーザが利用する機器と接続されるコンピュータを不正認証防止装置として機能させるための不正認証防止プログラムであって、前記コンピュータを、利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、前記認証要求を否認する認証否認手段と、を備える不正認証防止装置として機能させるための不正認証防止プログラムが提供される。 According to a third aspect of the present invention, there is provided a fraud authentication preventing program for causing a computer connected to a device used by a user to function as a fraud authentication preventing device, wherein the computer is transmitted from the using device. Means for adding a record including at least the use date / time and the use device position for each user to the use history information based on the information group each time an information group including at least the user identification information, use date / time, and use device position is received When the authentication request is received from the authentication receiving device, it is determined whether the authentication request is made by a regular user based on the usage history information, and the authentication request is a user other than the regular user. If it is determined that the authentication request has been made, the unauthorized authentication prevention apparatus includes an authentication denial means for denying the authentication request. Unauthorized authentication prevention program for causing a is provided.
本発明の第4の観点によれば、正当なユーザを装ってその正当なユーザの識別情報を利用するなりすまし検出装置であって、利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、なりすましが行なわれていると判断するなりすまし検出手段と、を備えることを特徴とするなりすまし検出装置が提供される。 According to the fourth aspect of the present invention, a spoofing detection apparatus that pretends to be a legitimate user and uses the legitimate user's identification information, the user identification information transmitted from the user equipment, the user date and time, the user equipment Each time an information group including at least a position is received, a means for adding, to the usage history information, a record including at least a use date and a use device position for each user based on the information group, and an authentication request from the authentication receiving device Is received based on the usage history information, it is determined whether or not the authentication request is made by a regular user, and it is determined that the authentication request is made by a user other than the regular user. In such a case, there is provided a spoofing detection device comprising spoofing detection means for determining that spoofing is being performed.
本発明によれば、或る機器が盗難された場合であっても不正な認証を防止することが可能となる。 According to the present invention, it is possible to prevent unauthorized authentication even when a certain device is stolen.
次に、本発明の実施の形態について図面を参照して詳細に説明する。 Next, embodiments of the present invention will be described in detail with reference to the drawings.
図3を参照すると、本実施形態は管理サーバ100、認証要求サーバ200、ネットワーク300及び機器群400を含む。
Referring to FIG. 3, the present embodiment includes a
管理サーバ100、認証要求サーバ200及び機器群400はネットワーク300を介して相互に接続されている。
The
管理サーバ100は、機器群400に含まれる機器をユーザが利用した際の利用履歴を管理する。また、管理サーバ100は、認証要求サーバ200を介して認証要求があった場合に、この認証要求を履歴として管理する。更に、管理サーバ100は、認証要求サーバ200からの認証要求に対して認証の可否の判断を行う。
The
認証要求サーバ200は、ユーザからの認証要求を受け付け、認証の可否を管理サーバ100に問い合わせる。
The
機器群400にはユーザが利用する多様な機器が含まれている。
The
ネットワーク300は、管理サーバ100、認証要求サーバ200及び機器群400間でデータを送受信するためのネットワークである。データの送受信は任意の通信方式に準拠して行うことが可能である。また、ネットワーク300は有線接続により実現されても良いし、その一部又は全部が無線接続であっても良い。更に、単一の通信方式にのみ準拠していても良いが、複数の通信方式に準拠していても良い。つまり、ネットワーク300が複数のネットワークの集合であっても良い。また、ネットワーク300は本実施形態専用の専用網であってもよいが、その一部又は全部がインターネット等の公衆網であっても良い。
The
続いて、図4を参照して管理サーバ100の構成について説明する。
Next, the configuration of the
図4を参照すると、管理サーバ100は、制御部101、通信部102、履歴データベース103及び移動経路データベース104を含む。
Referring to FIG. 4, the
制御部101は、CPU(Central Processing Unit)等の演算装置を含んでいる。そして、制御部101は、管理サーバ100に組み込まれたプログラムに基づいて演算処理を行うことにより管理サーバ100全体を制御する。
The
通信部102はネットワーク300を介して他の機器とデータの送受信を行う。
The
履歴データベース103は、各ユーザに関しての履歴がテーブルとして記憶されているデータベースである。記憶される履歴としては、システムの何れかの機器を利用した際の利用履歴や、システムの何れかの機器により認証を行った際の認証履歴が挙げられる。これら履歴は、利用や認証が行われた際の日時及び位置等と共に、ユーザ単位で作成され、管理される。
The
ここで、図5を参照して履歴データベース103に格納される情報の一例について説明する。
Here, an example of information stored in the
図5を参照するとユーザの利用履歴情報が、利用日時の古いものから新しいものへと時系列順に格納されている。また、利用日時と共に、利用した機器の位置を表す位置情報(利用機器位置情報)及び利用した機器の名称(利用機器名)がテーブルとされ格納されている。このテーブルはユーザ毎に作成される。但し、ユーザIDのフィールドを追加した1つのテーブルにより全ユーザを管理してもよい。 Referring to FIG. 5, user usage history information is stored in chronological order from the oldest usage date to the newest usage date. In addition to the use date and time, position information (used device position information) indicating the position of the used device and the name of the used device (used device name) are stored as a table. This table is created for each user. However, all users may be managed by one table to which a user ID field is added.
更に、利用履歴情報が作成されているユーザと同一ユーザが或る機器を操作して認証を求めている場合は、認証履歴情報として、この或る機器(以下「認証受付機器」と呼ぶ。)の名称(認証受付機器名)が格納される。また、認証受付機器名と併せて位置情報(認証受付情報位置情報)も格納される。この位置情報について説明する。 Further, when the same user as the user whose usage history information is created operates a certain device to request authentication, this certain device (hereinafter referred to as “authentication accepting device”) is used as the authentication history information. (Name of the device that accepts authentication) is stored. The location information (authentication acceptance information location information) is also stored together with the authentication acceptance device name. This position information will be described.
ここで、利用履歴情報及び認証履歴情報に含まれる「利用機器位置情報」及び「認証受付機器位置情報」とは、ユーザに利用された機器や認証受付機器が設置されている位置を指す情報である。もっとも、ユーザに利用された機器が携帯端末のように移動可能なものであれば、設置されている位置ではなくユーザに利用された時点で存在していた位置を指す情報となる。利用機器位置情報及び認証受付機器位置情報は、機器が設置された段階で管理サーバ100へ登録されるようにしても良いが、各機器が管理サーバ100へデータを送信する際にGPS(Global Positioning System)等の測位機能を利用して位置を測位して通知するようにしても良い。
Here, “use device location information” and “authentication accepting device location information” included in the use history information and authentication history information are information indicating the device used by the user and the location where the authentication accepting device is installed. is there. However, if the device used by the user is movable like a portable terminal, it is information indicating the position that existed when the user used, not the installed position. The used device position information and the authentication-accepting device position information may be registered in the
本実施形態において、ユーザは通常は機器群400に含まれる機器を直接操作して認証を求める。そして、認証要求サーバ200が機器群400に含まれる機器のサーバとして機能する。この場合、ユーザは機器群400に含まれる機器、例えば自宅のパーソナルコンピュータを操作し、ネットワーク300を介して認証要求サーバ200に認証を求める。このような場合、認証要求サーバ200は、ユーザ自宅のパーソナルコンピュータの設置位置を確認する。そして、この場合は認証受付機器の位置情報としてユーザ自宅のパーソナルコンピュータの設置位置が認証受付機器位置情報として履歴データベース103に格納される。更に、ユーザが携帯電話機を操作して、ネットワークを介してサーバに認証を求めるような場合もあり得る。このような場合には携帯電話機が有するGPS等の位置測位機能を利用し、携帯電話機が現在存在する位置を認証受付機器位置情報として履歴データベース103に格納する。
In the present embodiment, the user normally requests authentication by directly operating the devices included in the
一方、本実施形態では、ユーザは、機器群400に含まれる機器を用いて認証要求をするのではなく、認証要求サーバ200そのものを直接操作して認証を求める場合も考えられる。この場合は認証要求サーバ200が認証受付機器の役割も果たすこととなる。よって、認証履歴情報に含まれる「認証受付機器位置情報」として認証要求サーバ200が存在する位置が履歴データベース103に格納される。
On the other hand, in this embodiment, the user may request authentication by directly operating the
なお、利用履歴情報の「利用機器位置情報」及び認証履歴情報の「認証受付機器位置情報」における、位置情報は、緯度や経度によって座標で表されても良く、「○○県××市・・・」というように住所により表されても良く、本実施形態特有の識別符号で表されても良い。また、利用履歴情報の「利用機器名」及び認証履歴情報の「認証受付機器名」は具体的な名称であっても良いが、数字等の組合せにより作成したID番号を割り当てて管理するようにしても良い。 The location information in the “usage device location information” in the usage history information and the “authentication acceptance device location information” in the authentication history information may be expressed in coordinates by latitude and longitude. .. ”May be represented by an address, or may be represented by an identification code unique to the present embodiment. In addition, the “use device name” of the use history information and the “authentication accepting device name” of the authentication history information may be specific names, but an ID number created by a combination of numbers or the like is assigned and managed. May be.
移動経路データベース104には、或る位置から他の位置に移動するための移動経路が記憶されている。また、移動経路データベース104には、この移動経路を通って或る位置から他の位置に移動するために必要な時間が記憶されている。例えば位置Aから位置Bに移動するための移動経路と、その移動経路を経由して移動に必要な時間とが記憶されている。
The
ここで、位置Aから位置Bに移動するための移動経路が複数ある場合は、各移動経路毎に移動するために必要な時間が記憶されていても良いが、複数の移動経路の中で最も移動時間が少ない移動経路についてだけ、移動するために必要な時間が記憶されていても良い。 Here, when there are a plurality of movement paths for moving from the position A to the position B, the time required for movement for each movement path may be stored, but the most of the plurality of movement paths is stored. Only the travel route with a short travel time may store the time required to travel.
また、移動経路に関しては更に詳細な要素も記憶されていてもよい。例えば、或る移動経路が電車を利用するものである場合、一日の始発時刻と終発の時刻を記憶しておき、最終電車が出発した後の時間帯にはこの移動経路を考慮しないようにしても良い。 Further, more detailed elements may be stored regarding the movement route. For example, if a certain travel route uses a train, store the start and end times of the day, and do not consider this travel route in the time zone after the last train departs. May be.
履歴データベース103及び移動経路データベース104は単一の記憶装置により実現することが可能である。もっとも、履歴データベース103及び移動経路データベース104のそれぞれ又は何れかが複数の記憶装置により実現されても良い。また、履歴データベース103及び移動経路データベース104を実現するために管理サーバ100外部に設けられた記憶装置を利用しても良い。
The
更に、移動経路に関しては、移動経路データベース104を参照するようにしても良いが、外部サーバに問い合わせを行い、この問い合わせの返答を利用するようにしても良い。
Further, regarding the movement route, the
続いて、図6を参照して認証要求サーバ200の構成について説明する。
Next, the configuration of the
図6を参照すると、認証要求サーバ200は、制御部201、通信部202、操作受付部203及び要求元記憶部204を含む。
Referring to FIG. 6, the
制御部201は、CPU等の演算装置を含んでいる。そして、制御部201は、認証要求サーバ200に組み込まれたプログラムに基づいて演算処理を行うことにより認証要求サーバ200全体を制御する。
The
通信部202はネットワーク300を介して他の機器とデータの送受信を行う。
The
操作受付部203は、ユーザから認証要求に関する操作を受け付ける機能を有する。操作受付部203は、例えばキーボードや、ディスプレイ上に表示されるソフトウェアキーにより実現され、ユーザを識別するIDや暗証番号等を受け付ける。また、センサとして実現され、掌等を用いた生体認証のためのデータを読み取る。操作受付部203は、認証要求サーバ200が認証受付機器としての役割も果たす際に利用される。
The
要求元記憶部204は、機器群400に含まれる機器が認証受付機器となった場合に用いられる記憶部である。機器群400に含まれる或る機器がユーザからの認証要求を受け付けた場合、この或る機器は、ユーザを特定するための情報、認証要求を受け付けた日時及びこの或る機器の位置情報を認証要求サーバ200に送信する。これらの情報を受信した認証要求サーバ200は要求元記憶部204に、これらの情報を記憶する。その後、認証要求サーバ200は、要求元記憶部204に記憶されている情報を管理サーバ100に送信し、認証の可否を確認する。認証結果は管理サーバ100から認証要求サーバ200に送信され、更に認証結果は認証要求サーバ200からユーザからの認証要求を受け付けた或る機器に送信される。なお、認証結果が管理サーバ100からユーザからの認証要求を受け付けた或る機器へと直接送信されるようにしても良い。
The request
続いて図7を参照して、機器群400に含まれる機器の具体例について説明する。
Next, specific examples of devices included in the
図7を参照すると、本実施形態は、管理サーバ100と、認証要求サーバ200と、ネットワーク300と、機器群400とを含む。
With reference to FIG. 7, the present embodiment includes a
そして、機器群400は、携帯端末基地局410と、携帯端末411とを含む。また、機器群400は、入退場管理装置420と、入退場認証用アイテム421とを含む。更に機器群400は、ネットワーク終端端末430と、据え置き型パーソナルコンピュータ431と、アクセスポイント432と、モバイル型パソコン433とを含む。更に機器群400は、ネットワーク接続型の電話機440を含む。更に機器群400は、レガシー回線交換機450と、レガシー回線接続型の電話機451とを含む。更に機器群400は、個人識別機能を持つサーバ460、監視用カメラ461と、パソコン接続型カメラ462とを含む。
The
これら機器群400の構成要素は、ネットワーク接続型の電話機440のように単一の機器として把握することが一般的なものある。もっとも、入退場管理装置420及び入退場認証用アイテム421の組合せや、携帯端末基地局410及び携帯端末411の組合せのように、それぞれを1つのシステムとして把握することが一般的なものもある。もっとも、本実施形態の説明においては、これら1つのシステムとして把握することが一般的なものも含めて、全てを一律に「機器」と呼ぶこととする。
The components of the
ここで、認証要求サーバ200と、携帯端末411と、入退場管理装置420と、据え置き型パソコン431と、モバイル型パソコン433と、アクセスポイント432と、ネットワーク終端端末430と、ネットワーク接続型の電話機440と、レガシー回線接続型の電話機451と、レガシー回線交換機450と、監視用カメラ461と、パソコン接続型カメラ462と、個人識別機能を持つサーバ460とは、機器を利用したユーザを識別するための情報及び機器の位置の情報を管理サーバ100へ送信する機能を有する。つまり、認証要求サーバ200は、携帯端末411と、入退場管理装置420と、据え置き型パソコン431と、モバイル型パソコン433と、アクセスポイント432と、ネットワーク終端端末430と、ネットワーク接続型の電話機440と、レガシー回線接続型の電話機451と、レガシー回線交換機450と、監視用カメラ461と、パソコン接続型カメラ462と、個人識別機能を持つサーバ460からユーザの識別情報と機器の位置の情報を収集する機能を有する。
Here, the
更に、入退場管理装置420は、ユーザの入退場について管理を行う。ユーザは例えばオフィスに設けられたドアを通過するために入退場認証用アイテム421を入退場管理装置420にかざす。そして、入退場管理装置420は、ユーザが入退場認証用アイテム421を用いて入場又は退場した時刻と、現在ユーザが入場している状態なのか、退場している状態なのか、の管理を行う。これらの情報は、管理サーバ100へ送信される。また、管理サーバ100へは、これらの情報に加えてユーザ識別情報と入退場管理装置420の位置情報が送信される。入退場管理装置420は、例えばオフィスの入り口等に設置され、社員等の入退場を把握する目的で利用される。また、他にも例えば電車の駅改札口に設置され、乗客の入退場を把握する目的で利用される。
Further, the entrance /
なお、入退場管理装置420が、ユーザの通過時刻を把握するだけであり入退場までは把握できない構成であっても良い。この場合は管理サーバ100がユーザの通過時刻を受信し、このユーザの通過時刻に基づいてユーザの入退場を管理する。
The entrance /
個人識別機能を持つサーバ460は、監視用カメラ461と、パソコン接続型カメラ462から画像または動画を取得し、個人を識別する機能を有する。そして、個人識別機能を持つサーバ460は、このようにして識別したユーザを特定する情報と、画像の取得元である監視用カメラ461又はパソコン接続型カメラ462の位置情報を管理サーバ100に送信する。更に、個人識別機能を持つサーバ460は、個人を識別した時刻を利用日時として管理サーバ100に送信する。
The
なお、上述したように機器群400に含まれる機器の各々は、自身を利用したユーザを識別し、ユーザを特定するための情報を管理サーバ100に対して送信する。この際のユーザ識別は、例えばユーザが入力したユーザIDや、ユーザが利用したICカードに記憶されているID番号に基づいて行われる。つまり或るユーザに割当てられているIDを用いて或る機器が利用された場合、この或るユーザを特定するための情報が管理サーバ100に送信される。
As described above, each of the devices included in the
また機器によっては、利用に際して独自の認証を求めない機器も存在するが、認証要求サーバ200及び管理サーバ100とは関連しない独自の認証を行う機器も存在する。後者の場合は、例えばユーザIDを入力した後、正当なパスワードを入力しない限り利用ができない。この場合、正当なパスワードが入力され、実際に機器が利用されたときのみ、ユーザを特定するための情報が管理サーバ100に送信するようにしても良い。更に、機器が生体認証を行う機器であれば、或るユーザの生体認証成功時に、この或るユーザを特定するための情報が管理サーバ100に送信するようにしても良い。
Depending on the device, there are devices that do not require unique authentication when used, but there are devices that perform unique authentication that is not related to the
なお、不正利用者にユーザIDや、パスワードが流出してしまった場合は、不正ユーザが正当なユーザになりすまして機器を不正に利用する場合が考えられる。この場合、不正に利用された機器は、なりすましの事実を認識することはできない。もっとも、本実施形態では、この機器以外の他の機器の利用履歴を参照する。そのため、本実施形態の管理サーバ100は上記なりすましによる不正事実があったことに気付ける場合があり得る。この場合、管理サーバ100は認証要求サーバ200を介した認証を否認することができる。このように或る機器に関してなりすましをされた正当ユーザは、他の機器に関してもユーザIDやパスワード等が流出しているおそれがある。従って認証受付機器に関してもユーザIDやパスワード等が流出しているおそれがある。よって、このようなユーザに関しては認証を否認することが好ましい。つまり、本実施形態では利用履歴の途中段階で、なりすましをされたユーザに関しての認証を否認することができ、より正確な認証を行うことが可能となる。
If a user ID or password is leaked to an unauthorized user, there is a case where the unauthorized user impersonates a legitimate user and illegally uses the device. In this case, an illegally used device cannot recognize the fact of impersonation. However, in the present embodiment, the use history of devices other than this device is referred to. Therefore, the
また、上述したように、1つでも移動経路がない場合には、正当なユーザ以外のユーザが、正当なユーザのユーザ識別情報を利用している可能性があることとなる。したがって、これを利用して、正当なユーザ以外のユーザが、正当なユーザのユーザ識別情報を利用するなりすましを検出することもできる。すなわち、本実施形態は、利用履歴の途中段階で、なりすましをされたユーザに関しての認証を否認するシステムとしてのみならず、なりすましを検出するシステムとして利用することもできる。 In addition, as described above, when there is no movement route, there is a possibility that a user other than the authorized user is using the user identification information of the authorized user. Therefore, by using this, it is possible to detect impersonation in which a user other than a legitimate user uses the user identification information of the legitimate user. That is, this embodiment can be used not only as a system that denies authentication regarding a user who has been impersonated in the middle of the usage history, but also as a system that detects impersonation.
本実施形態では、引用文献1に記載されているような単一の端末を利用する認証ではなく、下記のユーザの利用履歴情報および認証履歴情報を使った認証を行う
・電子カードまたは磁気カードによる個人認証システムの利用履歴情報および認証履歴情報
・生体情報による個人認証システムの利用履歴情報および認証履歴情報
・パスワードなどの認証を用いたシステムの認証履歴情報およびネットワーク終端装置の位置の情報
・個人を特定可能な公的機関のサービス利用履歴情報およびサービスを享受した位置の情報
・街頭やビルなどに設置された監視カメラなどによる個人を特定可能なシステムの利用履歴情報
なお、これらの利用履歴情報および認証履歴情報はあくまで一例に過ぎず、本実施形態ではこれら以外の種々の利用履歴情報および認証履歴情報を用いて認証を行うことが可能である。
In this embodiment, the authentication using the following user usage history information and authentication history information is performed instead of the authentication using a single terminal as described in the cited document 1. Using an electronic card or a magnetic card Use history information and authentication history information of personal authentication system ・ Use history information and authentication history information of personal authentication system based on biometric information ・ System authentication history information using authentication such as password and information of network terminal location ・Information on service usage history of identifiable public institutions and information on the location where the service was enjoyed ・ Usage history information on systems that can identify individuals using surveillance cameras installed on streets and buildings, etc. The authentication history information is merely an example, and in the present embodiment, various other usage history information are used. It is possible to perform authentication by using a fine-authentication history information.
続いて、本実施形態の動作について図8のフローチャートを参照して説明する。 Next, the operation of this embodiment will be described with reference to the flowchart of FIG.
ユーザが機器群400に含まれる何れかの機器を利用した場合又は認証要求サーバ200を介して認証要求がなされた場合、管理サーバ100にはユーザを特定する情報等の情報が送信される(ステップS500)。この、情報を受信した管理サーバ100は、まずこの情報の送信元が管理サーバ100への認証要求であるか否かを判断する(ステップS501)。
When the user uses any device included in the
情報の送信元が認証受付機器では無い場合(ステップS501においてNo)、管理サーバ100は、ユーザ識別情報と共に利用履歴情報の各項目である利用日時、利用機器位置情報、利用機器名を履歴データベース103に保存する(ステップS502)。
When the information transmission source is not the authentication accepting device (No in step S501), the
また、入退場管理装置420のように認証を行うが、この認証は認証サーバ100を利用することなく、独自の認証機能により行われる機器の場合も、ユーザ識別情報と共に利用履歴情報を前記管理サーバ100へ送信する(ステップS502)。
In addition, authentication is performed as in the entrance /
一方、情報の送信元が認証受付機器であった場合は(ステップS501においてYes)、認証要求サーバ200が、ユーザ識別情報と共に認証履歴情報の各項目である認証要求日時、認証受付機器位置情報、認証受付機器名を前記管理サーバ100へ送信する(ステップS503)。
On the other hand, when the information transmission source is the authentication acceptance device (Yes in step S501), the
管理サーバ100は、ステップS503で送信されたユーザを特定する情報に基づいてこのユーザの利用履歴情報を抽出する。そして、利用履歴情報に含まれている各位置間の移動経路探索を行う(ステップS504)。
The
そして、図9に表されているように、利用履歴情報に含まれている各位置の間全て又は一部について移動経路が存在しない場合は(ステップS505においてNo)、管理サーバ100は認証エラーと判断して、認証エラーとの返答を認証要求サーバ200又は認証受付機器に送信する(ステップS507−2、ステップS508)。図9の例では、位置Bと位置Cとの間の移動経路、位置Cと位置Dとの間の移動経路が無いことを示している。これは、例えば、図5に表される例を用いると、位置Bと位置Cとの間を時刻14:00から時刻15:30までの経過時間である1時間30分以内で移動する移動経路は存在しないことを示している。利用履歴情報は、或るユーザUの機器WWが時刻14:00に位置Bに存在し、そのユーザUの機器XXが時刻15:30に位置Cに存在していることを示している。従って、時刻14:00から時刻15:30までの経過時間である1時間30分以内に位置Bから位置Cに移動できる移動経路が存在するならば、「機器WWを時刻14:00に位置Bで利用したユーザと機器XXを時刻15:30に位置Cで利用したユーザが共にユーザUである」ということを否定することはできない。他方、時刻14:00から時刻15:30までの経過時間である1時間30分以内に位置Bから位置Cに移動できる移動経路が存在しないならば、「機器WWを時刻14:00に位置Bで利用したユーザと機器XXを時刻15:30に位置Cで利用したユーザが共にユーザUである」ということを否定することは正しいこととなる。
Then, as illustrated in FIG. 9, when there is no movement route for all or a part between the positions included in the usage history information (No in step S505), the
一方、図10−1に表されているように、利用履歴情報に含まれている各位置の間全てに移動経路が存在する場合(ステップS505においてYes)、管理サーバ100は、認証成功と判断して、認証成功との返答を認証受付機器に送信する(ステップS507−1、ステップS508)。
On the other hand, as illustrated in FIG. 10A, when there is a movement route between all the positions included in the usage history information (Yes in step S505), the
これにより、複数の機器を利用した認証を実現できる。何故ならば、複数機器の利用履歴情報および認証履歴情報からユーザが実際に行動可能な範囲かを検証して認証可否を判断するためである。よって、或る機器が盗難された場合であっても、不正な認証を防止することが可能となる。 Thereby, authentication using a plurality of devices can be realized. This is because the use history information and authentication history information of a plurality of devices are used to verify whether or not the user can actually act and determine whether or not authentication is possible. Therefore, even if a certain device is stolen, unauthorized authentication can be prevented.
なお、上述の説明においては、全ての位置間に関して移動経路が存在するか否かを検索したが、全てではなく、一部のみを確認するようにしても良い。図10−2に表されるように、例えば位置Aと位置Cの間、位置Aと位置Dの間、位置Aと位置Eの間、位置Bと位置Dの間及び位置Cと位置Eの間に関しては移動経路検索を行わないようにしても良い。 In the above description, whether or not there is a moving route is searched for between all positions. However, not all but a part may be confirmed. 10-2, for example, between the position A and the position C, between the position A and the position D, between the position A and the position E, between the position B and the position D, and between the position C and the position E. The travel route search may not be performed for the interval.
また、検索した結果、一部の移動経路が存在しない場合であっても認証成功と判断するようにしても良い。これは、経路データベース104に実際に存在する経路の全てが登録されていない可能性や、機器により測定した位置情報が不正確な場合がある可能性を考慮したものである。もっとも、精度の高い認証を行うという観点からみれば、やはり検索した結果、一部の移動経路が存在しない場合には認証失敗と判断することが好ましい。
In addition, as a result of the search, it may be determined that the authentication is successful even when some of the movement routes do not exist. This takes into consideration the possibility that not all the routes that actually exist in the
認証成功と認証エラーの2つの認証結果だけでなく、認証成功と認証エラーの中間となるような認証結果(例えば、認証一部成功)を送信するようにしても良い。例えば認証が或るサービスの利用を求めるための認証であった場合、認証成功であれば全てのサービスの利用を認め、認証一部成功であれば一部のサービスの利用を認めるようにする。例えば、認証成功であれば、現金の引き出し及び残高照会の双方を認め、認証一部成功であれば残高照会のみを認めるようにする。 In addition to the two authentication results of the authentication success and the authentication error, an authentication result (for example, a partial authentication success) that is intermediate between the authentication success and the authentication error may be transmitted. For example, when the authentication is authentication for requesting the use of a certain service, the use of all services is permitted if the authentication is successful, and the use of some services is permitted if the authentication is partially successful. For example, if authentication is successful, both cash withdrawal and balance inquiry are allowed, and if authentication is partially successful, only balance inquiry is allowed.
続いて、本実施形態の第1の変形例について図11を参照して説明する。本変形例ではステップS505における移動経路の検索に加え、入退場管理装置420が管理する入場履歴と退場履歴を用いて、入退場記録に照らし合わせて認証受付機器が適正であるか否かを判定する。
Then, the 1st modification of this embodiment is demonstrated with reference to FIG. In this modification, in addition to the search for the travel route in step S505, the entrance history and exit history managed by the entrance /
具体的に言うと、本変形例では入退場管理装置420に入場履歴が存在するが、その後の退場履歴が存在しない場合においては、入退場管理装置420の管理区域外の機器を認証受付機器とした認証要求を否認する。
Specifically, in this modification, there is an entry history in the entrance /
例えば、駅舎の入場履歴が存在し、退場履歴が存在しない場合、駅舎外および路線外の機器を認証受付機器とした認証要求が発生した場合は認証を否認する。 For example, if there is an entrance history of a station building and no exit history, or if an authentication request is issued for devices outside the station building and outside the route, the authentication is denied.
一方、入退場管理装置420に最後の退場履歴後の入場履歴が存在しない場合や、入場履歴自体が存在しない場合、入退場管理装置420の管理区域内の機器を認証受付機器とした認証要求を否認する。
On the other hand, if there is no entrance history after the last exit history in the entrance /
例えば、駅舎の入場履歴が存在しない場合、駅舎内および路線内の機器を認証受付機器とした認証要求が発生した場合は認証を否認する。 For example, if there is no entry history of a station building, or if an authentication request is issued with the devices in the station building and in the route as authentication receiving devices, the authentication is denied.
なお、入退場履歴は公共機関だけでなく、家屋やオフィスなどプライベートエリアの入退履歴も対象とする。 Note that the entry / exit history includes not only public institutions, but also private areas such as houses and offices.
図11を参照すると、本変形例ではステップS505においてYesであった場合に、管理サーバ100が、ユーザが利用した入退場管理装置420の利用履歴情報から入退場記録に照らし合わせて認証受付機器が適正であることをステップS506にて検証する。全ての経路が存在し(ステップS505でyes)、且つ、入退場記録が適正であれば(ステップS506でyes)、管理サーバ100は認証成功と判断して、認証成功との返答を認証受付機器に送信する。
Referring to FIG. 11, in the present modification, when the answer is Yes in step S <b> 505, the
他方、全ての経路が存在しても(ステップS505でYes)、入退場記録に照らし合わせて利用履歴情報に含まれる利用日時と利用機器位置情報と利用機器名との組み合わせのうちの少なくとも1つが適正ではない場合には(ステップS506でNo)、管理サーバ100認証エラーと判断して、認証エラーとの返答を認証受付機器に送信する。
On the other hand, even if all the routes exist (Yes in step S505), at least one of the combination of the use date / time, the use device position information, and the use device name included in the use history information in light of the entry / exit record is If it is not appropriate (No in step S506), it is determined that the
次に、本実施形態の第2の変形例について図12を参照して説明する。
本変形例では、管理サーバ100がステップS505において、図9、図10−1及び図10−2で表されているような○×のテーブル(○は移動経路があることを示し、×は移動経路がないことを示す。)を利用し、グループ分けをすることにより判定を行う。具体的には○×のテーブルを利用して、利用機器位置を○でつなげ、×で切ることにより利用機器位置をグループ化する。グループ化の結果、2以上の○連結グループがあることが確認されたら、より信頼度が高いグループを正規ユーザのグループであると判断する。そして、認証受付機器位置情報により示される位置が、正規ユーザグループに含まれる利用履歴の利用機器位置情報により示される位置よりも、正規ユーザグループ以外のグループに含まれる利用履歴の利用機器位置情報により示される位置に近い場合には、認証要求を否認する。
Next, a second modification of the present embodiment will be described with reference to FIG.
In this modified example, the
ここで、どのグループが、より信頼度が高いかグループなのか否かの判定は任意の基準で定めることが可能である。例えば、利用の為には生体認証が必要な機器等の不正利用が困難な機器を利用機器として含むグループをより信頼度が高いグループと判定しても良い。また、グループに含まれる利用機器の数が多いグループをより信頼度が高いグループと判定しても良い。 Here, the determination of which group is more reliable or a group can be determined by an arbitrary criterion. For example, a group including devices that are difficult to be illegally used, such as devices that require biometric authentication for use, may be determined as a group with higher reliability. Further, a group having a large number of used devices included in the group may be determined as a group having higher reliability.
図12に表される例を参照して説明する。ここで、A〜Eは全て或るユーザが利用したと思われる機器である。また、認証受付機器はFであるとし、Fについてはテーブルに含まない。また、機器Aが不正利用が困難な高信頼度の機器であるとする。 This will be described with reference to the example shown in FIG. Here, A to E are all devices that are considered to be used by a certain user. The authentication receiving device is assumed to be F, and F is not included in the table. Further, it is assumed that the device A is a highly reliable device that is difficult to illegally use.
図12に関してグループ化を行うとグループI(A,C,E)とグループII(B,D)の2つのグループとなる。ここで、(A,E)や(C,E)はグループIに包含されるため考慮する必要はない。 When grouping is performed with respect to FIG. 12, two groups of groups I (A, C, E) and II (B, D) are obtained. Here, (A, E) and (C, E) are included in the group I and need not be considered.
そして、グループIと、グループIIの何れが正当なグループであるか判定する。高信頼度の機器を含むグループを正当なグループとするのであれば、機器Aを含むグループIが正当なグループとなる。また、含まれる利用機器の数が多いグループを正当なグループとする場合も、機器数が多いグループIが正当なグループとなる。 Then, it is determined which of Group I and Group II is a valid group. If a group including a highly reliable device is a valid group, the group I including the device A is a valid group. Further, when a group having a large number of included devices is a valid group, a group I having a large number of devices is a valid group.
また、グループIとグループIIのそれぞれについて、「グループに含まれる利用履歴情報の利用機器位置に基づいて求まる位置」を算出する。この位置の算出は、例えば「グループに含まれる利用履歴情報の利用機器位置の平均位置又は加重平均位置」を算出したり、「グループに含まれる利用履歴情報の利用機器位置のうち最も現在に近い利用日時と組になっている利用機器位置」を算出することにより行われる。 In addition, for each of the group I and the group II, “a position obtained based on the use device position of the use history information included in the group” is calculated. This position is calculated by, for example, calculating “an average position or a weighted average position of use device positions of use history information included in a group” or “the closest use device position of use history information included in a group” This is done by calculating the “use device position paired with the use date”.
算出後、認証受付機器Fの位置が、正規ユーザグループであるグループIに含まれる利用履歴情報の利用機器位置に基づいて求まる位置よりも、正規ユーザグループ以外のグループであるグループIIに含まれる利用履歴情報の利用機器位置に基づいて求まる位置に近い場合には、前記認証要求を否認する。これにより、一部利用機器においてなりすまして等の不正利用が行われた場合であっても、正当なユーザに対して認証を行うことが可能となる。 After the calculation, the usage of the authentication acceptance device F is included in the group II that is a group other than the regular user group, rather than the location obtained based on the usage device location of the usage history information included in the group I that is the regular user group. If it is close to the position obtained based on the use position of the history information, the authentication request is denied. As a result, even if unauthorized use such as impersonation is performed in a partly used device, it is possible to authenticate a legitimate user.
続いて、本実施形態の具体的な利用例を説明する。 Next, a specific usage example of the present embodiment will be described.
<具体例1>
前記実施形態に加え、移動経路探索により認証が認証エラー又は認証一部成功となった場合には、第三者がユーザになりすまして認証要求を行なっている可能性がある。そのため、単に認証を否認するだけでなく、なりすまされた可能性のあるユーザに対して登録音声や電子メール等により、第三者により認証要求が実行された可能性が有る旨および認証結果を通知する。
<Specific example 1>
In addition to the above-described embodiment, when an authentication error or partial authentication succeeds due to the travel route search, there is a possibility that a third party impersonates the user and makes an authentication request. For this reason, not only the authentication is denied, but the authentication request may be issued to the user who may have been spoofed by a registered voice or e-mail. Notice.
<具体例2>
前記実施形態例に加え、認証可否条件に、すべてまたは一部期間のシステムの利用履歴情報において特定の機器の利用履歴情報または認証履歴情報が存在することを条件としても良い。
<Specific example 2>
In addition to the above-described embodiment, the authentication availability condition may be that the usage history information or authentication history information of a specific device exists in the usage history information of the system for all or a part of the period.
<具体例3>
前記具体例2の具体例として、全てまたは一部期間のシステムの利用履歴情報において、生体認証など単体で不正認証が困難な個人認証システムの利用履歴情報または認証履歴情報が存在することを条件としても良い。
<Specific example 3>
As a specific example of the specific example 2, the usage history information of the personal authentication system such as biometric authentication that is difficult to authenticate alone or the authentication history information exists in all or part of the system usage history information. Also good.
<具体例4>
前記実施形態に加え、特定の範囲を超えて認証を受ける場合は認証可否条件に、全てまたは一部期間のシステムの利用履歴情報において前記範囲外の特定の機器または特定の装置または特定のシステムにおける利用履歴情報または認証履歴情報が存在することを条件としても良い。
<Specific Example 4>
In addition to the above-described embodiment, in the case of receiving authentication beyond a specific range, in the authentication availability condition, in the usage history information of the system for all or part of the period, in a specific device or a specific device or a specific system outside the range It may be a condition that usage history information or authentication history information exists.
<具体例5>
例えば、前記具体例4の具体例として、監視用カメラ461、パソコン接続型カメラの個人認証システム462の利用履歴情報または認証履歴情報が存在することを条件としても良い。
<Specific Example 5>
For example, the specific example of the specific example 4 may be based on the condition that the usage history information or the authentication history information of the
なお、上記の管理サーバ100、認証要求サーバ200及び機器群400に含まれる各機器は、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。また、上記の管理サーバ100、認証要求サーバ200及び機器群400に含まれる各機器により行なわれる不正認証防止方法も、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。
Note that each device included in the
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 The program may be stored using various types of non-transitory computer readable media and supplied to the computer. Non-transitory computer readable media include various types of tangible storage media. Examples of non-transitory computer readable media include magnetic recording media (for example, flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (for example, magneto-optical disks), CD-ROMs (Read Only Memory), CD- R, CD-R / W, semiconductor memory (for example, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM (random access memory)). The program may also be supplied to the computer by various types of transitory computer readable media. Examples of transitory computer readable media include electrical signals, optical signals, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。 A part or all of the above-described embodiment can be described as in the following supplementary notes, but is not limited thereto.
(付記1) 認証受付機器から要求される不正な認証要求を否認する不正認証防止装置であって、
利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、
前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、前記認証要求を否認する認証否認手段と、
を備えることを特徴とする不正認証防止装置。
(Supplementary note 1) An unauthorized authentication preventing apparatus for rejecting an unauthorized authentication request requested from an authentication receiving device,
Every time a group of information including at least user identification information, usage date and time, and usage device location transmitted from the usage device is received, a record including at least the usage date and time and usage device location for each user, based on the information group, Means to add to usage history information;
When receiving an authentication request from the authentication accepting device, it is determined whether or not the authentication request is made by an authorized user based on the usage history information, and the authentication request is made by a user other than the authorized user. Authentication denial means for denying the authentication request;
An unauthorized authentication preventing apparatus comprising:
(付記2) 付記1に記載の不正認証防止装置であって、
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断の結果に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断することを特徴とする不正認証防止装置。
(Supplementary note 2) The unauthorized authentication preventing apparatus according to supplementary note 1, wherein
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. Based on the result of the route existence determination as to whether or not there is a movement route that enables the use of the device using another record at the use date and time of a certain record, the authentication request is determined to be an authorized user. It is judged whether it is what was made | formed by this, The unauthorized authentication prevention apparatus characterized by the above-mentioned.
(付記3) 付記2に記載の不正認証防止装置であって、
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断を時系列的に隣接するレコード間で行ない、経路存在判断がなされた少なくとも1つのレコード間で前記移動経路が存在しない場合には、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断することを特徴とする不正認証防止装置。
(Supplementary note 3) The unauthorized authentication preventing apparatus according to
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. A route existence judgment as to whether or not there is a moving route that allows the use device of another certain record to be used at the use date and time of a certain record is performed between records adjacent in time series, An apparatus for preventing unauthorized authentication, wherein if there is no movement route between at least one record for which a route existence determination has been made, it is determined that the authentication request is made by a user other than a regular user.
(付記4) 付記2に記載の不正認証防止装置であって、
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断をレコード同士の全ての組み合わせについて行い、経路存在判断がなされた少なくとも1つのレコード間で前記移動経路が存在しない場合には、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断することを特徴とする不正認証防止装置。
(Supplementary note 4) The unauthorized authentication preventing apparatus according to
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. The existence of a route is determined for all combinations of records as to whether or not there is a moving route that can use a device that uses another record at the use date and time of a record. An unauthorized authentication preventing apparatus characterized in that, when there is no movement path between at least one record for which a determination has been made, it is determined that the authentication request is made by a user other than a regular user.
(付記5) 付記2に記載の不正認証防止装置であって、
前記認証否認手段は、
前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断をレコード同士の全ての組み合わせについて行い、
経路存在判断の結果に基づいて、前記利用履歴情報に含まれるレコードを1以上のグループに分け、
最も信頼度が高いグループを正規ユーザのグループであると判断し、
前記認証受付機器の位置が、正規ユーザグループに含まれる利用履歴情報の利用機器位置に基づいて求まる位置よりも、正規ユーザグループ以外のグループに含まれる利用履歴情報の利用機器位置に基づいて求まる位置に近い場合には、前記認証要求を否認することを特徴とする不正認証防止装置。
(Additional remark 5) It is an unauthorized authentication prevention apparatus of
The authentication denial means
Use of a device that uses the record at the use date and time of a record included in the use history information for the user who has made the authentication request, and then use another record included in the use history information The route existence judgment about whether or not there is a moving route that can use the device of another certain record at day and time is performed for all combinations of records,
Based on the result of the route presence determination, the records included in the usage history information are divided into one or more groups,
The most reliable group is determined to be a regular user group,
The position obtained based on the use device position of the use history information included in the group other than the normal user group, rather than the position obtained based on the use device position of the use history information included in the normal user group. If the authentication request is near, the authentication request is rejected.
(付記6) 付記1乃至5の何れか1に記載の不正認証防止装置であって、
前記利用機器として、所定の管理区域内におけるユーザの入退場を管理する入退場管理装置と接続され、
前記入退場管理装置からの通知に基づいて前記管理区域内にユーザが存在すると判断できる日時に、該ユーザが前記管理区域外に存在する機器を利用している場合は前記認証要求を否認することを特徴とする不正認証防止装置。
(Supplementary note 6) The unauthorized authentication preventing apparatus according to any one of supplementary notes 1 to 5,
As the use device, connected to an entrance / exit management device for managing the entrance / exit of the user in a predetermined management area,
Deny the authentication request if the user is using a device that exists outside the management area at a date and time when it can be determined that the user exists in the management area based on a notification from the entrance / exit management device. An unauthorized authentication prevention device characterized by the above.
(付記7) 付記1乃至6の何れか1に記載の不正認証防止装置であって、
前記利用機器として、所定の管理区域内におけるユーザの入退場を管理する入退場管理装置と接続され、
前記入退場管理装置からの通知に基づいて前記管理区域外にユーザが存在すると判断できる日時に、該ユーザが前記管理区域内に存在する機器を利用している場合は前記認証要求を否認することを特徴とする不正認証防止装置。
(Supplementary note 7) The unauthorized authentication preventing apparatus according to any one of supplementary notes 1 to 6,
As the use device, connected to an entrance / exit management device for managing the entrance / exit of the user in a predetermined management area,
Deny the authentication request if the user is using a device that exists in the management area at a date and time when it can be determined that the user exists outside the management area based on a notification from the entrance / exit management device. An unauthorized authentication prevention device characterized by the above.
(付記8) ユーザが利用する機器と、該機器と接続された不正認証防止装置とを含む不正認証防止システムであって、
前記機器が、当該機器がユーザから利用された際に、該利用をされた利用日時及び当該機器の位置を前記不正認証防止装置に送信する手段を備え、
前記不正認証防止装置が付記1乃至7の何れか1に記載の不正認証防止装置であることを特徴とする不正認証防止システム。
(Supplementary Note 8) An unauthorized authentication prevention system including a device used by a user and an unauthorized authentication prevention device connected to the device,
When the device is used by a user, the device includes means for transmitting the use date and time of use and the position of the device to the unauthorized authentication preventing device.
An unauthorized authentication preventing system, wherein the unauthorized authentication preventing apparatus is the unauthorized authentication preventing apparatus according to any one of appendices 1 to 7.
(付記9) ユーザが利用する機器と接続されるコンピュータを不正認証防止装置として機能させるための不正認証防止プログラムであって、
前記コンピュータを、
利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、
前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、前記認証要求を否認する認証否認手段と、
を備える不正認証防止装置として機能させるための不正認証防止プログラム。
(Supplementary note 9) An unauthorized authentication prevention program for causing a computer connected to a device used by a user to function as an unauthorized authentication preventing device,
The computer,
Every time a group of information including at least user identification information, usage date and time, and usage device location transmitted from the usage device is received, a record including at least the usage date and time and usage device location for each user, based on the information group, Means to add to usage history information;
When receiving an authentication request from the authentication accepting device, it is determined whether or not the authentication request is made by an authorized user based on the usage history information, and the authentication request is made by a user other than the authorized user. Authentication denial means for denying the authentication request;
An unauthorized authentication preventing program for causing an unauthorized authentication preventing apparatus to function.
(付記10) 付記9に記載の不正認証防止プログラムであって、
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断の結果に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断することを特徴とする不正認証防止プログラム。
(Supplementary note 10) The unauthorized authentication prevention program according to supplementary note 9,
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. Based on the result of the route existence determination as to whether or not there is a movement route that enables the use of the device using another record at the use date and time of a certain record, the authentication request is determined to be an authorized user. An unauthorized authentication prevention program characterized in that it is determined whether or not it is made by.
(付記11) 付記10に記載の不正認証防止プログラムであって、
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断を時系列的に隣接するレコード間で行ない、経路存在判断がなされた少なくとも1つのレコード間で前記移動経路が存在しない場合には、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断することを特徴とする不正認証防止プログラム。
(Supplementary note 11) The unauthorized authentication prevention program according to supplementary note 10,
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. A route existence judgment as to whether or not there is a moving route that allows the use device of another certain record to be used at the use date and time of a certain record is performed between records adjacent in time series, An unauthorized authentication prevention program characterized by determining that the authentication request is made by a user other than a legitimate user when the movement route does not exist between at least one record for which the route existence is determined.
(付記12) 付記10に記載の不正認証防止プログラムであって、
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断をレコード同士の全ての組み合わせについて行い、経路存在判断がなされた少なくとも1つのレコード間で前記移動経路が存在しない場合には、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断することを特徴とする不正認証防止プログラム。
(Supplementary note 12) The unauthorized authentication prevention program according to supplementary note 10,
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. The existence of a route is determined for all combinations of records as to whether or not there is a moving route that can use a device that uses another record at the use date and time of a record. An unauthorized authentication prevention program characterized by determining that the authentication request is made by a user other than a regular user when the movement route does not exist between at least one record for which the determination has been made.
(付記13) 付記10に記載の不正認証防止プログラムであって、
前記認証否認手段は、
前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断をレコード同士の全ての組み合わせについて行い、
経路存在判断の結果に基づいて、前記利用履歴情報に含まれるレコードを1以上のグループに分け、
最も信頼度が高いグループを正規ユーザのグループであると判断し、
前記認証受付機器の位置が、正規ユーザグループに含まれる利用履歴情報の利用機器位置に基づいて求まる位置よりも、正規ユーザグループ以外のグループに含まれる利用履歴情報の利用機器位置に基づいて求まる位置に近い場合には、前記認証要求を否認することを特徴とする不正認証防止プログラム。
(Supplementary note 13) The unauthorized authentication prevention program according to supplementary note 10,
The authentication denial means
Use of a device that uses the record at the use date and time of a record included in the use history information for the user who has made the authentication request, and then use another record included in the use history information The route existence judgment about whether or not there is a moving route that can use the device of another certain record at day and time is performed for all combinations of records,
Based on the result of the route presence determination, the records included in the usage history information are divided into one or more groups,
The most reliable group is determined to be a regular user group,
The position obtained based on the use device position of the use history information included in the group other than the normal user group, rather than the position obtained based on the use device position of the use history information included in the normal user group. If the authentication request is near, the authentication request is rejected.
(付記14) 付記9乃至13の何れか1に記載の不正認証防止プログラムであって、
前記利用機器として、所定の管理区域内におけるユーザの入退場を管理する入退場管理プログラムと接続され、
前記入退場管理プログラムからの通知に基づいて前記管理区域内にユーザが存在すると判断できる日時に、該ユーザが前記管理区域外に存在する機器を利用している場合は前記認証要求を否認することを特徴とする不正認証防止プログラム。
(Supplementary note 14) The unauthorized authentication prevention program according to any one of supplementary notes 9 to 13,
As the use device, connected to an entrance / exit management program for managing user entrance / exit in a predetermined management area,
Deny the authentication request if the user is using a device outside the management area at a date and time when it can be determined that the user exists in the management area based on a notification from the entrance / exit management program. An unauthorized authentication prevention program characterized by
(付記15) 付記9乃至14の何れか1に記載の不正認証防止プログラムであって、
前記利用機器として、所定の管理区域内におけるユーザの入退場を管理する入退場管理プログラムと接続され、
前記入退場管理プログラムからの通知に基づいて前記管理区域外にユーザが存在すると判断できる日時に、該ユーザが前記管理区域内に存在する機器を利用している場合は前記認証要求を否認することを特徴とする不正認証防止プログラム。
(Supplementary note 15) The unauthorized authentication prevention program according to any one of supplementary notes 9 to 14,
As the use device, connected to an entrance / exit management program for managing user entrance / exit in a predetermined management area,
Deny the authentication request when the user is using a device that exists in the management area at a date and time when it can be determined that the user exists outside the management area based on a notification from the entrance / exit management program. An unauthorized authentication prevention program characterized by
(付記16) 正当なユーザを装ってその正当なユーザの識別情報を利用するなりすまし検出装置であって、
利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、
前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、なりすましが行なわれていると判断するなりすまし検出手段と、
を備えることを特徴とするなりすまし検出装置。
(Supplementary Note 16) A spoofing detection device that pretends to be a legitimate user and uses identification information of the legitimate user,
Every time a group of information including at least user identification information, usage date and time, and usage device location transmitted from the usage device is received, a record including at least the usage date and time and usage device location for each user, based on the information group, Means to add to usage history information;
When receiving an authentication request from the authentication accepting device, it is determined whether or not the authentication request is made by an authorized user based on the usage history information, and the authentication request is made by a user other than the authorized user. Impersonation detection means for determining that impersonation is being performed;
An impersonation detection device comprising:
(付記17) 正当なユーザを装ってその正当なユーザの識別情報を利用するなりすまし検出装置としてコンピュータを機能させるためのなりすまし検出プログラムであって、
前記コンピュータを、
利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、
前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、なりすましが行なわれていると判断するなりすまし検出手段と、
を備えるなりすまし検出装置として機能させるためのなりすまし検出プログラム。
(Supplementary Note 17) A spoofing detection program for causing a computer to function as a spoofing detection device that pretends to be a legitimate user and uses identification information of the legitimate user,
The computer,
Every time a group of information including at least user identification information, usage date and time, and usage device location transmitted from the usage device is received, a record including at least the usage date and time and usage device location for each user, based on the information group, Means to add to usage history information;
When receiving an authentication request from the authentication accepting device, it is determined whether or not the authentication request is made by an authorized user based on the usage history information, and the authentication request is made by a user other than the authorized user. Impersonation detection means for determining that impersonation is being performed;
An impersonation detection program for causing an impersonation detection device to function.
本発明は、認証を行う為の機器やシステムであれば、その機器やシステムの用途を問わず、認証を行う為の任意の機器やシステムに適用可能である。 The present invention is applicable to any device or system for performing authentication regardless of the use of the device or system as long as it is a device or system for performing authentication.
100 管理サーバ
200 認証要求サーバ
300 ネットワーク
400 機器群
410 携帯端末基地局
411 携帯端末
420 入退場管理装置
421 入退場認証用アイテム
430 ネットワーク終端端末
431 据え置き型パソコン
432 アクセスポイント
433 モバイル型パソコン
440 ネットワーク接続型の電話機
450 レガシー回線交換機
451 レガシー回線接続型の電話機
460 個人識別機能を持つサーバ
461 監視用カメラ
462 パソコン接続型カメラ
100
Claims (10)
利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、
前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、前記認証要求を否認する認証否認手段と、
を備えることを特徴とする不正認証防止装置。 An unauthorized authentication prevention device that denies unauthorized authentication requests requested from an authentication receiving device,
Every time a group of information including at least user identification information, usage date and time, and usage device location transmitted from the usage device is received, a record including at least the usage date and time and usage device location for each user, based on the information group, Means to add to usage history information;
When receiving an authentication request from the authentication accepting device, it is determined whether or not the authentication request is made by an authorized user based on the usage history information, and the authentication request is made by a user other than the authorized user. Authentication denial means for denying the authentication request;
An unauthorized authentication preventing apparatus comprising:
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断の結果に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断することを特徴とする不正認証防止装置。 The unauthorized authentication preventing apparatus according to claim 1,
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. Based on the result of the route existence determination as to whether or not there is a movement route that enables the use of the device using another record at the use date and time of a certain record, the authentication request is determined to be an authorized user. It is judged whether it is what was made | formed by this, The unauthorized authentication prevention apparatus characterized by the above-mentioned.
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断を時系列的に隣接するレコード間で行ない、経路存在判断がなされた少なくとも1つのレコード間で前記移動経路が存在しない場合には、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断することを特徴とする不正認証防止装置。 An unauthorized authentication preventing apparatus according to claim 2,
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. A route existence judgment as to whether or not there is a moving route that allows the use device of another certain record to be used at the use date and time of a certain record is performed between records adjacent in time series, An apparatus for preventing unauthorized authentication, wherein if there is no movement route between at least one record for which a route existence determination has been made, it is determined that the authentication request is made by a user other than a regular user.
前記認証否認手段は、前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断をレコード同士の全ての組み合わせについて行い、経路存在判断がなされた少なくとも1つのレコード間で前記移動経路が存在しない場合には、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断することを特徴とする不正認証防止装置。 An unauthorized authentication preventing apparatus according to claim 2,
The authentication denial means uses the use device of the certain record at the use date and time of a certain record included in the use history information for the user who has made the authentication request, and then includes the different information included in the use history information. The existence of a route is determined for all combinations of records as to whether or not there is a moving route that can use a device that uses another record at the use date and time of a record. An unauthorized authentication preventing apparatus characterized in that, when there is no movement path between at least one record for which a determination has been made, it is determined that the authentication request is made by a user other than a regular user.
前記認証否認手段は、
前記認証要求を行ったユーザについての前記利用履歴情報に含まれる或るレコードの利用日時にその或るレコードの利用機器を利用してから、前記利用履歴情報に含まれる別の或るレコードの利用日時にその別の或るレコードの利用機器を利用することを可能とする移動経路が存在するか否かについての経路存在判断をレコード同士の全ての組み合わせについて行い、
経路存在判断の結果に基づいて、前記利用履歴情報に含まれるレコードを1以上のグループに分け、
最も信頼度が高いグループを正規ユーザのグループであると判断し、
前記認証受付機器の位置が、正規ユーザグループに含まれる利用履歴情報の利用機器位置に基づいて求まる位置よりも、正規ユーザグループ以外のグループに含まれる利用履歴情報の利用機器位置に基づいて求まる位置に近い場合には、前記認証要求を否認することを特徴とする不正認証防止装置。 An unauthorized authentication preventing apparatus according to claim 2,
The authentication denial means
Use of a device that uses the record at the use date and time of a record included in the use history information for the user who has made the authentication request, and then use another record included in the use history information The route existence judgment about whether or not there is a moving route that can use the device of another certain record at day and time is performed for all combinations of records,
Based on the result of the route presence determination, the records included in the usage history information are divided into one or more groups,
The most reliable group is determined to be a regular user group,
The position obtained based on the use device position of the use history information included in the group other than the normal user group, rather than the position obtained based on the use device position of the use history information included in the normal user group. If the authentication request is near, the authentication request is rejected.
前記利用機器として、所定の管理区域内におけるユーザの入退場を管理する入退場管理装置と接続され、
前記入退場管理装置からの通知に基づいて前記管理区域内にユーザが存在すると判断できる日時に、該ユーザが前記管理区域外に存在する機器を利用している場合は前記認証要求を否認することを特徴とする不正認証防止装置。 An unauthorized authentication preventing apparatus according to any one of claims 1 to 5,
As the use device, connected to an entrance / exit management device for managing the entrance / exit of the user in a predetermined management area,
Deny the authentication request if the user is using a device that exists outside the management area at a date and time when it can be determined that the user exists in the management area based on a notification from the entrance / exit management device. An unauthorized authentication prevention device characterized by the above.
前記利用機器として、所定の管理区域内におけるユーザの入退場を管理する入退場管理装置と接続され、
前記入退場管理装置からの通知に基づいて前記管理区域外にユーザが存在すると判断できる日時に、該ユーザが前記管理区域内に存在する機器を利用している場合は前記認証要求を否認することを特徴とする不正認証防止装置。 An unauthorized authentication preventing apparatus according to any one of claims 1 to 6,
As the use device, connected to an entrance / exit management device for managing the entrance / exit of the user in a predetermined management area,
Deny the authentication request if the user is using a device that exists in the management area at a date and time when it can be determined that the user exists outside the management area based on a notification from the entrance / exit management device. An unauthorized authentication prevention device characterized by the above.
前記機器が、当該機器がユーザから利用された際に、該利用をされた利用日時及び当該機器の位置を前記不正認証防止装置に送信する手段を備え、
前記不正認証防止装置が請求項1乃至7の何れか1項に記載の不正認証防止装置であることを特徴とする不正認証防止システム。 A fraud authentication preventing system including a device used by a user and a fraud authentication preventing apparatus connected to the device,
When the device is used by a user, the device includes means for transmitting the use date and time of use and the position of the device to the unauthorized authentication preventing device.
An unauthorized authentication prevention system, wherein the unauthorized authentication prevention apparatus is the unauthorized authentication prevention apparatus according to any one of claims 1 to 7.
前記コンピュータを、
利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、
前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、前記認証要求を否認する認証否認手段と、
を備える不正認証防止装置として機能させるための不正認証防止プログラム。 An unauthorized authentication prevention program for causing a computer connected to a device used by a user to function as an unauthorized authentication preventing device,
The computer,
Every time a group of information including at least user identification information, usage date and time, and usage device location transmitted from the usage device is received, a record including at least the usage date and time and usage device location for each user, based on the information group, Means to add to usage history information;
When receiving an authentication request from the authentication accepting device, it is determined whether or not the authentication request is made by an authorized user based on the usage history information, and the authentication request is made by a user other than the authorized user. Authentication denial means for denying the authentication request;
An unauthorized authentication preventing program for causing an unauthorized authentication preventing apparatus to function.
利用機器から送信されてくるユーザ識別情報、利用日時、利用機器位置を少なくとも含む情報群が受信する度に、前記情報群に基づいて、ユーザ毎に利用日時、利用機器位置を少なくとも含むレコードを、利用履歴情報に追加する手段と、
前記認証受付機器から認証要求を受けた時に、前記利用履歴情報に基づいて、前記認証要求が正規ユーザによりなされたものであるのか否かを判断し、前記認証要求が正規ユーザ以外のユーザによりなされたものであると判断された場合には、なりすましが行なわれていると判断するなりすまし検出手段と、
を備えることを特徴とするなりすまし検出装置。 An impersonation detection device that pretends to be a legitimate user and uses identification information of the legitimate user,
Every time a group of information including at least user identification information, usage date and time, and usage device location transmitted from the usage device is received, a record including at least the usage date and time and usage device location for each user, based on the information group, Means to add to usage history information;
When receiving an authentication request from the authentication accepting device, it is determined whether or not the authentication request is made by an authorized user based on the usage history information, and the authentication request is made by a user other than the authorized user. Impersonation detection means for determining that impersonation is being performed;
An impersonation detection device comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012036419A JP5565884B2 (en) | 2012-02-22 | 2012-02-22 | Unauthorized authentication prevention system, unauthorized authentication prevention device, and unauthorized authentication prevention program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012036419A JP5565884B2 (en) | 2012-02-22 | 2012-02-22 | Unauthorized authentication prevention system, unauthorized authentication prevention device, and unauthorized authentication prevention program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013171509A true JP2013171509A (en) | 2013-09-02 |
JP5565884B2 JP5565884B2 (en) | 2014-08-06 |
Family
ID=49265385
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012036419A Expired - Fee Related JP5565884B2 (en) | 2012-02-22 | 2012-02-22 | Unauthorized authentication prevention system, unauthorized authentication prevention device, and unauthorized authentication prevention program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5565884B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015087907A (en) * | 2013-10-30 | 2015-05-07 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Information processing device having function for limiting user operation, method, and program |
JP2015095091A (en) * | 2013-11-12 | 2015-05-18 | 株式会社Nttドコモ | Authentication device, authentication method, and program |
US10289571B2 (en) | 2016-03-18 | 2019-05-14 | Fuji Xerox Co., Ltd. | Authentication apparatus, authentication method, and non-transitory computer readable medium |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001146863A (en) * | 1999-11-22 | 2001-05-29 | Mitsubishi Electric Corp | Entrance and exit control device |
JP2006042023A (en) * | 2004-07-28 | 2006-02-09 | Nec Corp | Method and system for judging clone of portable communication terminal |
JP2006331048A (en) * | 2005-05-26 | 2006-12-07 | Hitachi Business Solution Kk | Personal identification method and system by position information |
JP2007282249A (en) * | 2007-04-12 | 2007-10-25 | Railway Technical Res Inst | Server system |
JP2008134849A (en) * | 2006-11-28 | 2008-06-12 | Navitime Japan Co Ltd | Authentication system using position information, authentication server, and authentication method using position information |
JP2009251656A (en) * | 2008-04-01 | 2009-10-29 | Nec Corp | User authentication system, user authentication method, and program |
-
2012
- 2012-02-22 JP JP2012036419A patent/JP5565884B2/en not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001146863A (en) * | 1999-11-22 | 2001-05-29 | Mitsubishi Electric Corp | Entrance and exit control device |
JP2006042023A (en) * | 2004-07-28 | 2006-02-09 | Nec Corp | Method and system for judging clone of portable communication terminal |
JP2006331048A (en) * | 2005-05-26 | 2006-12-07 | Hitachi Business Solution Kk | Personal identification method and system by position information |
JP2008134849A (en) * | 2006-11-28 | 2008-06-12 | Navitime Japan Co Ltd | Authentication system using position information, authentication server, and authentication method using position information |
JP2007282249A (en) * | 2007-04-12 | 2007-10-25 | Railway Technical Res Inst | Server system |
JP2009251656A (en) * | 2008-04-01 | 2009-10-29 | Nec Corp | User authentication system, user authentication method, and program |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015087907A (en) * | 2013-10-30 | 2015-05-07 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Information processing device having function for limiting user operation, method, and program |
US9479898B2 (en) | 2013-10-30 | 2016-10-25 | International Business Machines Corporation | Limiting user operations |
US10055571B2 (en) | 2013-10-30 | 2018-08-21 | International Business Machines Corporation | Limiting user operations |
JP2015095091A (en) * | 2013-11-12 | 2015-05-18 | 株式会社Nttドコモ | Authentication device, authentication method, and program |
US10289571B2 (en) | 2016-03-18 | 2019-05-14 | Fuji Xerox Co., Ltd. | Authentication apparatus, authentication method, and non-transitory computer readable medium |
US10810140B2 (en) | 2016-03-18 | 2020-10-20 | Fuji Xerox Co., Ltd. | Authentication apparatus, authentication method, and non-transitory computer readable medium |
Also Published As
Publication number | Publication date |
---|---|
JP5565884B2 (en) | 2014-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5164448B2 (en) | Legitimacy authentication system and legitimacy authentication method | |
US9286741B2 (en) | Apparatus and method for access control | |
JP5127429B2 (en) | Admission restriction system and relay device | |
KR101814719B1 (en) | System and method for remote controlling digital door-lock using smartphone | |
JP2006331048A (en) | Personal identification method and system by position information | |
CN101657807A (en) | Be used for dynamically control to the method and system of the visit of network | |
JP5565884B2 (en) | Unauthorized authentication prevention system, unauthorized authentication prevention device, and unauthorized authentication prevention program | |
KR100563544B1 (en) | Method for authenticating a user with one-time password | |
KR20110131654A (en) | System and method for service control | |
KR102001607B1 (en) | Method and system for security service using position information | |
JP2007172039A (en) | Login management system and method using location information of user | |
JP2007079777A (en) | Authentication server, portable terminal, authentication system, authentication method and authentication program | |
JP2016162382A (en) | Entrance and exit management system including function for guiding visitor to visit destination | |
JP2011002918A (en) | Security management system | |
JP2009251656A (en) | User authentication system, user authentication method, and program | |
KR101212510B1 (en) | System and method for service security based on location | |
JP5616920B2 (en) | Management device, management method, and management program | |
JP6611249B2 (en) | Authentication server and authentication server program | |
KR101559203B1 (en) | Biometric information authentication system and method | |
KR20150083178A (en) | Method for Managing Certificate | |
KR101064223B1 (en) | System for issuing a visitation certificate | |
WO2023053362A1 (en) | Authentication terminal, system, control method for authentication terminal, and recording medium | |
KR20140105072A (en) | Apparatus, Server, System, Method, and Recording Medium for M2M-based Unmanned Pawn | |
KR20150085166A (en) | Method for Managing Certificate | |
CN117836767A (en) | Authentication method, authentication device, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130610 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140225 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140421 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140523 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140612 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5565884 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |