JP2015072527A - Information processing system, information processing device and method of controlling the same, and program - Google Patents

Information processing system, information processing device and method of controlling the same, and program Download PDF

Info

Publication number
JP2015072527A
JP2015072527A JP2013206805A JP2013206805A JP2015072527A JP 2015072527 A JP2015072527 A JP 2015072527A JP 2013206805 A JP2013206805 A JP 2013206805A JP 2013206805 A JP2013206805 A JP 2013206805A JP 2015072527 A JP2015072527 A JP 2015072527A
Authority
JP
Japan
Prior art keywords
authentication
user
failed
time
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013206805A
Other languages
Japanese (ja)
Inventor
将太 清水
Shota Shimizu
将太 清水
土樋 直基
Naomoto Doi
直基 土樋
安川 朱里
Shuri Yasukawa
朱里 安川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2013206805A priority Critical patent/JP2015072527A/en
Publication of JP2015072527A publication Critical patent/JP2015072527A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To solve a problem that a user is inadvertently locked out of an information processing system with a frequency of authentication procedures which the user himself/herself has really done fewer than a predetermined frequency of the authentication procedures to lock out the user.SOLUTION: An information processing device and a method of controlling the same, are provided with a lock out function for rejecting a user authentication procedure performed by the user when a frequency of failures of the user authentication exceeds a predetermined frequency. In the case of the failure in the user authentication, when a time interval between date of the last failure in user authentication and date of a current failure in user authentication is equal to or larger than a predetermined time period, the failure is counted as a frequency of failure in the user authentication. When the time interval is less than the predetermined time period, the failure is not counted as a frequency of failure in the user authentication.

Description

本発明は、情報処理システム、情報処理装置、その制御方法、及びプログラムに関する。   The present invention relates to an information processing system, an information processing apparatus, a control method thereof, and a program.

ユーザの認証を行うシステム(以下、認証システム)では、悪意のあるユーザが、不正利用を目的としてユーザID、パスワードを推測しながら何度も認証を試みることによる攻撃を受ける場合がある。このような不正利用を回避するための機能としてロックアウト機能がある。このようなロックアウト機能によって、悪意のあるユーザが、ユーザIDに対応するパスワードを探索する回数が制限されることになり、認証システムが不正利用される危険性を低下させることができる。   In a system for authenticating a user (hereinafter referred to as an authentication system), a malicious user may be attacked by repeatedly attempting authentication while guessing a user ID and password for the purpose of unauthorized use. There is a lockout function as a function for avoiding such unauthorized use. Such a lockout function limits the number of times that a malicious user searches for a password corresponding to the user ID, thereby reducing the risk of unauthorized use of the authentication system.

しかし認証の方法によっては、ユーザが行ったつもりである認証の回数よりも少ない回数でロックアウトしてしまう場合がある。その場合とは、ユーザがクライアントソフトウェア(以下、クライアント)を使ってネットワークを経由し、サーバによる認証を行う場合などである。クライアントによっては、認証に失敗した場合に、同一のユーザID、パスワードを再度送信して認証を再度試みるリトライ処理を行うものがある。これはユーザが入力したユーザIDやパスワードが、ネットワーク環境の何らかのトラブルによって、正しく送信されなかった場合に備えて行われる処理である。この処理は、正しいユーザID、パスワードが入力されたにも拘らず認証に失敗した場合に、ユーザに再度認証処理を要求することをなくし、利便性の向上を図るために必要な処理である。   However, depending on the authentication method, the user may be locked out with a number of times smaller than the number of times the user intends to perform the authentication. In this case, the user performs authentication by a server via a network using client software (hereinafter referred to as a client). Some clients perform a retry process in which, when authentication fails, the same user ID and password are transmitted again and authentication is attempted again. This is a process performed in preparation for a case where the user ID or password input by the user is not correctly transmitted due to some trouble in the network environment. This process is necessary for improving convenience by eliminating the need for the user to perform the authentication process again when the authentication fails despite the input of the correct user ID and password.

しかしながら、このリトライ処理は、ユーザが誤ったパスワードを入力した場合でも実行されるため、実際にユーザが認証を行ったつもりである回数よりも少ない回数でロックアウト機能が働くことになる。一般的に、このようなロックアウトを解除するには、予め設定された時間だけ待機するか、サーバの管理者にロックアウトを解除してもらう必要があり、パスワードを間違って入力した善意のユーザにとっては使い勝手の悪いものとなる。   However, since this retry process is executed even when the user inputs an incorrect password, the lockout function is activated less than the number of times the user intends to authenticate. Generally, in order to release such a lockout, it is necessary to wait for a preset time or have the server administrator release the lockout. For us, it will be inconvenient.

このような課題を解決するために特許文献1には、ロックアウト状態にあるときに、認証に成功する正しいユーザ情報が送られてくると、設定された時間の待機や管理者による解除を必要とせずに、自動的にロックアウトを解除する方法が記載されている。これは、ユーザIDに対して正しいパスワードが入力されて認証に成功した場合に、クライアントにワンタイム情報を送付し、クライアントからサーバに対してワンタイム情報が返送された場合にロックアウトを解除するといった方法である。この方法を用いれば、ロックアウトによる利便性の低下を軽減することができる。   In order to solve such a problem, Patent Document 1 requires waiting for a set time and release by an administrator when correct user information that is successfully authenticated is sent in the lockout state. Instead, it describes a method of automatically releasing the lockout. This is to send the one-time information to the client when the correct password is entered for the user ID and the authentication is successful, and to release the lockout when the one-time information is returned from the client to the server. It is a method. If this method is used, it is possible to reduce a decrease in convenience due to lockout.

特許第4894241号公報Japanese Patent No. 4894241

従来の技術は、クライアントとサーバの双方に対応が必要であり、クライアントがワンタイム情報を取り扱えない場合はロックアウトを解除することができないという課題がある。また、従来の技術は、一旦、ロックアウトしてしまった後に容易にロックアウトを解除するための手段であって、クライアントの処理によって、ユーザが行ったつもりである認証回数よりも少ない回数でロックアウトをしてしまうという課題は解決できていない。   The conventional technique needs to support both the client and the server, and there is a problem that the lockout cannot be released when the client cannot handle the one-time information. In addition, the conventional technique is a means for easily releasing the lockout once it has been locked out, and is locked by a number of times less than the number of authentications the user intends to perform by the client process. The problem of going out has not been solved.

本発明の目的は、上記従来技術の問題点を解決することにある。   An object of the present invention is to solve the above-mentioned problems of the prior art.

本発明の特徴は、ユーザが行ったつもりである認証回数よりも少ない回数でロックアウトをしてしまうという事態の発生を防止する技術を提供することにある。   A feature of the present invention is to provide a technique for preventing the occurrence of a situation in which lockout is performed less than the number of authentications that the user intends to perform.

上記目的を達成するために本発明の一態様に係る情報処理装置は以下のような構成を備える。即ち、
ユーザの認証を行う認証手段と、
前記認証手段によりユーザの認証に失敗した回数が所定回数以上になると、当該ユーザによる認証を拒否するロックアウト手段と、
前記認証手段によりユーザの認証に失敗した場合、直前に前記ユーザの認証に失敗した日時と、今回、前記認証手段により前記ユーザの認証に失敗した日時との時間間隔が所定時間以上であれば、前記ユーザの認証に失敗した回数としてカウントし、前記時間間隔が前記所定時間未満であれば、前記ユーザの認証に失敗した回数としてカウントしないように制御する制御手段と、を有することを特徴とする。 In order to achieve the above object, an information processing apparatus according to an aspect of the present invention has the following arrangement. That is,
An authentication means for authenticating the user;
Lockout means for rejecting authentication by the user when the number of failed user authentications by the authentication means exceeds a predetermined number of times;
If the authentication unit fails to authenticate the user, and if the time interval between the date and time the user authentication failed immediately before and the date and time the user failed to authenticate the user is a predetermined time or more, Control means for counting the number of times that the user authentication has failed and controlling so as not to count the number of times the user has failed if the time interval is less than the predetermined time. .

本発明によれば、ユーザが行ったつもりである認証回数よりも少ない回数でロックアウトをしてしまうという事態の発生を防止できるという効果がある。   According to the present invention, there is an effect that it is possible to prevent the occurrence of a situation where lockout is performed with a number of times smaller than the number of authentications that the user intends to perform.

本発明の実施形態に係る情報処理システムを構成するサーバとPCのハードウェア構成を説明するブロック図。The block diagram explaining the hardware constitutions of the server and PC which comprise the information processing system which concerns on embodiment of this invention. 実施形態に係る情報処理システムにおけるPCとサーバのロックアウトの制御に関連する機能の概略構成を示すブロック図。The block diagram which shows schematic structure of the function relevant to control of lockout of PC and a server in the information processing system which concerns on embodiment. 本実施形態に係る情報処理システムにおいて、ユーザが誤ったパスワードを入力して認証を行った場合の処理の流れを説明するシーケンス図。In the information processing system which concerns on this embodiment, the sequence diagram explaining the flow of a process when a user inputs an incorrect password and authenticates. 実施形態に係るサーバのロックアウト判定部によって実行される処理を説明するフローチャート。The flowchart explaining the process performed by the lockout determination part of the server which concerns on embodiment. 実施形態に係るロックアウトテーブルの一例を示す図。The figure which shows an example of the lockout table which concerns on embodiment. 実施形態に係る認証失敗テーブルの内容例を示す図。The figure which shows the example of the content of the authentication failure table concerning embodiment. 実施形態において、認証失敗許容時間を設定する設定画面の一例を示す図。The figure which shows an example of the setting screen which sets authentication failure tolerance time in embodiment. 実施形態に係るプロトコルテーブルの内容例を示す図。The figure which shows the example of the content of the protocol table which concerns on embodiment.

以下、添付図面を参照して本発明の実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る本発明を限定するものでなく、また本実施形態で説明されている特徴の組み合わせの全てが本発明の解決手段に必須のものとは限らない。   Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. The following embodiments do not limit the present invention according to the claims, and all combinations of features described in the embodiments are not necessarily essential to the solution means of the present invention. .

図1は、本発明の実施形態に係る情報処理システムを構成するサーバとPC(クライアント)のハードウェア構成を説明するブロック図である。   FIG. 1 is a block diagram illustrating a hardware configuration of a server and a PC (client) that configure an information processing system according to an embodiment of the present invention.

実施形態に係る情報処理システムは、情報処理装置の一例であるパーソナルコンピュータ(PC)101とサーバ108、これらを互いに接続するネットワーク107を備える。尚、この情報処理システムを構成する機器は、図1に示す構成に限定されるものではなく、図示の機器以外に複数の機器がネットワーク107に接続されていてもよい。   The information processing system according to the embodiment includes a personal computer (PC) 101 that is an example of an information processing apparatus, a server 108, and a network 107 that connects these to each other. Note that the devices configuring the information processing system are not limited to the configuration illustrated in FIG. 1, and a plurality of devices other than the illustrated devices may be connected to the network 107.

PC101において、ネットワーク通信部102は、ネットワーク107を介して外部機器と通信を行う。CPU103は、記憶装置106にインストールされているOSやプログラムをRAM104に展開し、それらを実行することによりPC101の各種制御を実行する。RAM104は、CPU104が実行するプログラムコードや各種情報を一時的に記憶する。記憶装置106は、プログラムコードやデータ等を記憶する記憶装置で、例えばハードディスクドライブ(HDD)やメモリカード等である。入力部105は、ユーザによるPC101への入力を受け付ける入力部である。この入力部105は、キーやポインティングデバイス等を備える操作部及び表示部を有している。   In the PC 101, the network communication unit 102 communicates with an external device via the network 107. The CPU 103 executes various controls of the PC 101 by expanding the OS and programs installed in the storage device 106 in the RAM 104 and executing them. The RAM 104 temporarily stores program codes executed by the CPU 104 and various information. The storage device 106 is a storage device that stores program codes, data, and the like, and is, for example, a hard disk drive (HDD) or a memory card. The input unit 105 is an input unit that receives input from the user to the PC 101. The input unit 105 includes an operation unit and a display unit that include keys, a pointing device, and the like.

尚、サーバ108の構成も同様に、ネットワーク通信部111は、ネットワーク107を介して外部機器と通信を行う。CPU109は、記憶装置112にインストールされているOSやプログラムをRAM110に展開し、それらを実行することによりサーバ108の各種制御を実行する。RAM110は、CPU109が実行するプログラムコードや各種情報を一時的に記憶する。記憶装置112は、プログラムコードやデータ等を記憶する記憶装置で、例えばハードディスクドライブ(HDD)やメモリカード等である。   Similarly, the configuration of the server 108 is such that the network communication unit 111 communicates with an external device via the network 107. The CPU 109 executes various controls of the server 108 by expanding the OS and programs installed in the storage device 112 in the RAM 110 and executing them. The RAM 110 temporarily stores program codes executed by the CPU 109 and various information. The storage device 112 is a storage device that stores program codes, data, and the like, and is, for example, a hard disk drive (HDD) or a memory card.

図2は、実施形態に係る情報処理システムにおけるPC101とサーバ108のロックアウト制御に関連する機能の概略構成を示すブロック図である。尚、本実施形態では、図示の機能がソフトウェアで構成されており、PC101のCPU103やサーバ108のCPU109がこのソフトウェアを実行することによって実現されるものとして説明するが、これら機能はハードウェアにより実現されてもよい。   FIG. 2 is a block diagram illustrating a schematic configuration of functions related to lockout control of the PC 101 and the server 108 in the information processing system according to the embodiment. In the present embodiment, the illustrated function is configured by software, and it is assumed that the CPU 103 of the PC 101 and the CPU 109 of the server 108 execute the software. However, these functions are realized by hardware. May be.

ロックアウトとは、特定のユーザIDに対して不正なパスワードが入力された回数を記録しておき、その回数が予め設定された閾値(所定回数)を超えると、例え正しいパスワードが入力されても、一定時間、そのユーザの認証を拒否する機能である。   Lockout records the number of times an illegal password is entered for a specific user ID. If the number exceeds a preset threshold (predetermined number), even if the correct password is entered This is a function for rejecting the user's authentication for a certain period of time.

SMBクライアント部201は、PC101からネットワーク通信部102、ネットワーク107を介して、サーバ108とSMB通信を行う。SMBは、Server Message Blockの略称で、ファイル共有などに用いられる通信プロトコルの一種である。SMBクライアント部201は、入力部105を用いたユーザの操作に応じて、ネットワーク通信部102、ネットワーク107を介してサーバ108と通信を行う。この通信の内容は、SMB通信のネゴシエーション、認証情報の送受信、ファイルやフォルダ操作を行うためのSMBのコマンドの送受信等である。   The SMB client unit 201 performs SMB communication with the server 108 via the network communication unit 102 and the network 107 from the PC 101. SMB is an abbreviation for Server Message Block and is a type of communication protocol used for file sharing and the like. The SMB client unit 201 communicates with the server 108 via the network communication unit 102 and the network 107 in response to a user operation using the input unit 105. The contents of this communication include negotiation of SMB communication, transmission / reception of authentication information, transmission / reception of SMB commands for performing file and folder operations, and the like.

次にサーバ108の機能について説明する。   Next, the function of the server 108 will be described.

SMB認証部202は、SMB通信の際にユーザの認証を行う。SMB処理部203は、PC101のSMBクライアント部201からネットワーク通信部111に送られてきたSMB通信に関する情報の処理を行う。ロックアウト判定部204は、SMB通信の認証の際に、認証に失敗した回数のカウントやロックアウトに関する判定を行う。   The SMB authentication unit 202 authenticates a user during SMB communication. The SMB processing unit 203 processes information related to SMB communication sent from the SMB client unit 201 of the PC 101 to the network communication unit 111. The lockout determination unit 204 performs determination regarding the count of the number of failed authentications and a lockout during the authentication of SMB communication.

図3は、本実施形態に係る情報処理システムにおいて、ユーザが誤ったパスワードを入力して認証を行った場合の処理の流れを説明するシーケンス図である。尚、本実施形態では、以下に示すデータがサーバ108の記憶装置112に記憶されているものとして説明する。またサーバ108のIPアドレスが「192.168.1.1」であり、ユーザIDとして「Username」、パスワードとして「Pass」がサーバ108の記憶装置112に記憶されているものとする。またロックアウトする認証失敗の回数の閾値は「3」、ロックアウト後に再度認証を受付けるまでの時間(以下、ロックアウト時間)は「30分」に設定されているものとする。   FIG. 3 is a sequence diagram illustrating a processing flow when the user performs authentication by inputting an incorrect password in the information processing system according to the present embodiment. In the present embodiment, the following data will be described as being stored in the storage device 112 of the server 108. It is assumed that the IP address of the server 108 is “192.168.1.1”, “Username” is stored as the user ID, and “Pass” is stored as the password in the storage device 112 of the server 108. Further, it is assumed that the threshold for the number of authentication failures to be locked out is set to “3”, and the time until the authentication is accepted again after the lockout (hereinafter, lockout time) is set to “30 minutes”.

PC101で、ユーザが入力部105で入力することによって起動したSMBクライアント部201は、ユーザに入力部105を介して、通信先であるサーバ108のIPアドレス、ユーザID、パスワードの入力要求を表示する。   The SMB client unit 201 that is activated when the user inputs with the input unit 105 on the PC 101 displays a request for input of the IP address, user ID, and password of the server 108 that is a communication destination via the input unit 105 to the user. .

まず301で、ユーザによって入力部105にIPアドレス「192.168.1.1」、ユーザID「Username」、間違ったパスワード「Password」が入力されて、通信開始が指示される。これによりSMBクライアント部201は、その入力された内容をRAM104に記憶する。そして302で、SMBクライアント部201は、ネットワーク通信部102、ネットワーク107を介して、RAM104に記憶したIPアドレスを持つサーバ108へSMBのサポートの有無や認証の有無などを問い合わせるネゴシエーションを行う。   First, at 301, the user inputs an IP address “192.168.1.1.1”, a user ID “Username”, and an incorrect password “Password” to the input unit 105 to instruct the start of communication. As a result, the SMB client unit 201 stores the input content in the RAM 104. In step 302, the SMB client unit 201 negotiates via the network communication unit 102 and the network 107 with the server 108 having the IP address stored in the RAM 104 as to whether or not there is support for SMB or authentication.

サーバ108のSMB処理部203は、ネットワーク通信部111を介してこのネゴシエーションを受け取ると、303で、PC101のネットワーク通信部102へSMB通信がサポートしている範囲や認証が必要である旨を示すサポート情報を送信する。これによりPC101のネットワーク通信部102は、このサポート情報を受け取り、SMBクライアント部201は、そのサポート情報をRAM104に記憶する。   When the SMB processing unit 203 of the server 108 receives this negotiation via the network communication unit 111, the support indicating that the range supported by the SMB communication or authentication is required is sent to the network communication unit 102 of the PC 101 in 303. Send information. As a result, the network communication unit 102 of the PC 101 receives this support information, and the SMB client unit 201 stores the support information in the RAM 104.

次に304で、SMBクライアント部201は、そのサポート情報に基づいて認証情報が必要であると判断する。そして、RAM104に記憶したユーザID「Username」、パスワード「Password」を、ネットワーク通信部102を介してサーバ108のネットワーク通信部111に送信する。   Next, in 304, the SMB client unit 201 determines that authentication information is necessary based on the support information. Then, the user ID “Username” and the password “Password” stored in the RAM 104 are transmitted to the network communication unit 111 of the server 108 via the network communication unit 102.

次に305で、サーバ108のSMB処理部203は、ネットワーク通信部111を介してユーザID、パスワードを受信すると、その受信したユーザID「Username」、パスワード「Password」をRAM110に保存する。またこのとき、認証に用いたプロトコルとして「SMB」を保存する。更にユーザID、パスワードを保存した日時(以下、認証日時)をRAM110に保存する。   In step 305, when the SMB processing unit 203 of the server 108 receives the user ID and password via the network communication unit 111, the SMB processing unit 203 stores the received user ID “Username” and password “Password” in the RAM 110. At this time, “SMB” is stored as the protocol used for authentication. Further, the date and time when the user ID and password are saved (hereinafter referred to as authentication date and time) is saved in the RAM 110.

その後、SMB処理部203は、ロックアウト判定部204にロックアウト判定を指示する。ロックアウト判定部204は、SMB認証部202にロックアウト判定結果を通知する。ここで既に3回以上認証に失敗している場合は、ロックアウト判定部204からSMB認証部202にロックアウト判定結果としてロックアウトが通知される。ここでは、3回以上認証に失敗していないためロックアウト判定部204からのロックアウトが通知されない。SMB認証部202は、PC101から受信してRAM110に記憶したユーザIDとパスワードに一致するユーザIDとパスワードが記憶装置112に記憶されているか否か、即ち、認証に成功したかどうか判定する。この判定後、SMB認証部202は、その判定結果をロックアウト判定部204とSMB処理部203に通知する。   Thereafter, the SMB processing unit 203 instructs the lockout determination unit 204 to perform lockout determination. The lockout determination unit 204 notifies the SMB authentication unit 202 of the lockout determination result. If the authentication has already failed three or more times, the lockout determination unit 204 notifies the SMB authentication unit 202 of the lockout as a lockout determination result. Here, since the authentication has not failed three times or more, the lockout from the lockout determination unit 204 is not notified. The SMB authentication unit 202 determines whether or not the user ID and password matching the user ID and password received from the PC 101 and stored in the RAM 110 are stored in the storage device 112, that is, whether or not the authentication is successful. After this determination, the SMB authentication unit 202 notifies the lockout determination unit 204 and the SMB processing unit 203 of the determination result.

本実施形態では、301で間違ったパスワードが入力されているため、RAM110と記憶装置112のそれぞれに記憶されたユーザIDとパスワードが一致しないためNGである旨が通知される。このNGがロックアウト判定部204に通知された場合の処理については後述する。   In the present embodiment, since an incorrect password is input in 301, the user ID and password stored in the RAM 110 and the storage device 112 do not match, so that it is NG is notified. Processing when this NG is notified to the lockout determination unit 204 will be described later.

SMB処理部203は、SMB認証部位202からユーザの認証がNGである旨が通知されると、306で、サーバ108のネットワーク通信部111を介してPC101のネットワーク通信部102へ認証結果(NG)を送信する。   When the SMB processing unit 203 is notified that the user authentication is NG from the SMB authentication part 202, the authentication result (NG) is sent to the network communication unit 102 of the PC 101 via the network communication unit 111 of the server 108 in 306. Send.

次の307〜309の処理は、ネットワーク通信部102がNGを受信したときにSMBクライアント部201によって実行されるリトライ処理であって、前述の304〜306と同等の処理であるため、その説明を省略する。このリトライ処理の結果、PC101のネットワーク通信部102がNGである旨を受信すると、SMBクライアント部201は、310で、入力部105にNGである表示してユーザに通知する。   The following processes 307 to 309 are retry processes executed by the SMB client unit 201 when the network communication unit 102 receives NG, and are the same processes as the above-described 304 to 306. Omitted. As a result of the retry processing, when the network communication unit 102 of the PC 101 receives NG, the SMB client unit 201 displays 310 as NG on the input unit 105 and notifies the user at 310.

従来技術では、サーバがユーザが入力したデータに基づく最初の認証か、認証に失敗した後のリトライ処理による認証であるかを区別できないため、図3の305と308で、ロックアウト判定の回数が2つカウントされていた。   In the prior art, since the server cannot distinguish between the first authentication based on the data input by the user and the authentication by the retry process after the authentication failure, the number of lockout determinations is 305 and 308 in FIG. Two were counted.

これに対して実施形態では、ロックアウト判定部204による、305,308の処理によって、ユーザが入力したデータに基づく最初の認証か、認証に失敗した後のPCによるリトライ処理による認証であるかを区別して、認証に失敗した回数をカウントする。   On the other hand, in the embodiment, whether the authentication is the first authentication based on the data input by the user or the authentication by the retry process by the PC after the authentication fails by the processing of 305 and 308 by the lockout determination unit 204. Count the number of authentication failures.

次に図4及び図5を参照して、本実施形態に係るロックアウト判定部204の処理について説明する。   Next, processing of the lockout determination unit 204 according to the present embodiment will be described with reference to FIGS.

図4は、実施形態に係るサーバ108のロックアウト判定部204によって実行される処理を説明するフローチャートである。尚、図4のフローチャートは、CPU109がRAM110に展開されたプログラムを実行することにより達成される。   FIG. 4 is a flowchart illustrating processing executed by the lockout determination unit 204 of the server 108 according to the embodiment. Note that the flowchart of FIG. 4 is achieved by the CPU 109 executing a program loaded in the RAM 110.

図5(A)〜(C)は、実施形態に係るサーバ108のロックアウト判定部204によって記憶装置112に保存される、ユーザIDごとの認証の失敗回数や最終認証の失敗日時のデータを記憶するロックアウトテーブルの一例を示す図である。   5A to 5C store data on the number of authentication failures and the date and time of failure of final authentication, which are stored in the storage device 112 by the lockout determination unit 204 of the server 108 according to the embodiment. It is a figure which shows an example of the lockout table to be performed.

図5(A)は、既にユーザID「Username」のユーザが1回、ユーザID「shimizu」のユーザが3回認証に失敗している場合のロックアウトテーブルの内容を示している。   FIG. 5A shows the content of the lockout table when the user ID “Username” has already failed authentication once and the user ID “shimizu” has failed authentication three times.

ここでは、図3で説明したように、PC101で、ユーザID「Username」、パスワード「Password」が入力されたときに、ロックアウトテーブルが図5(A)に示す状態とする。また図3の304の処理で、RAM110に保存された認証日時が「2012/1/1の14:30:01」である場合に、305で実行される処理について説明する。   Here, as described with reference to FIG. 3, when the user ID “Username” and the password “Password” are input on the PC 101, the lockout table is in the state shown in FIG. In the process 304 in FIG. 3, the process executed in 305 when the authentication date and time saved in the RAM 110 is “2012/1/1 14:30:01” will be described.

ロックアウト判定部204は、SMB処理部203からロックアウト判定指示を受けると、S401に進む。S401でロックアウト判定部204は、図5(A)のロックアウトテーブルに基づき、RAM110に保存されたユーザIDの認証の失敗回数が閾値(「3」)を超えている(所定回数以上)か否かを判定する。ロックアウト判定部204は、RAM110に保存されたユーザID「Username」の認証の失敗回数は図5(A)より「1」であるため、記憶装置112に保存された閾値の「3」を超えていないと判定してS405に遷移する。一方、認証の失敗回数が閾値を超えている場合はS402に遷移する。   When receiving the lockout determination instruction from the SMB processing unit 203, the lockout determination unit 204 proceeds to S401. In S401, the lockout determination unit 204 determines whether the number of user ID authentication failures stored in the RAM 110 exceeds the threshold (“3”) (a predetermined number of times or more) based on the lockout table of FIG. Determine whether or not. The lockout determination unit 204 exceeds the threshold value “3” stored in the storage device 112 because the number of authentication failures of the user ID “Username” stored in the RAM 110 is “1” from FIG. If it is not determined, the process proceeds to S405. On the other hand, if the number of authentication failures exceeds the threshold, the process proceeds to S402.

S402でロックアウト判定部204は、RAM110に保存された認証日時と、ロックアウトテーブルに保存された最終認証失敗日時とに基づいて、記憶装置112に保存されたロックアウト時間内であるか否か判定する。このロックアウト時間とは、ロックアウト判定部204が認証をロックアウトすべきと判定してロックアウト機能をオンにしている時間である。従って、この時間内であれば、正しいユーザの認証情報が入力されても、SMB認証部202が、そのユーザを認証することはない。よって、S402でロックアウト時間内であると判定した場合はS403に進み、ロックアウト判定部204は、SMB認証部202に認証がロックアウトされている旨を通知して。この処理を終了する。ここでSMB認証部202がロックアウト判定部204からロックアウトの通知を受け取った後の処理は、図3の306で説明した通り、サーバ108のネットワーク通信部111を介してPC101のネットワーク通信部102へNGである旨を送信する。   In S402, the lockout determination unit 204 determines whether or not it is within the lockout time stored in the storage device 112 based on the authentication date and time stored in the RAM 110 and the last authentication failure date and time stored in the lockout table. judge. The lockout time is a time during which the lockout determination unit 204 determines that the authentication should be locked out and turns on the lockout function. Accordingly, within this time, even if correct user authentication information is input, the SMB authentication unit 202 does not authenticate the user. Therefore, if it is determined in S402 that it is within the lockout time, the process proceeds to S403, and the lockout determination unit 204 notifies the SMB authentication unit 202 that the authentication is locked out. This process ends. Here, the processing after the SMB authentication unit 202 receives the lockout notification from the lockout determination unit 204 is the same as described in 306 of FIG. 3, the network communication unit 102 of the PC 101 via the network communication unit 111 of the server 108. To NG.

一方、S402でロックアウト判定部204がロックアウト時間外であると判定した場合は処理をS404に進める。S404で、ロックアウト判定部204は、RAM110に記憶されたユーザIDと一致する、ロックアウトテーブル中のユーザIDの認証の失敗回数を「0」にしてS405に遷移する。S405でロックアウト判定部204は、SMB認証部202にユーザの認証を指示する。そしてS406に進みロックアウト判定部204は、SMB認証部202からの通知に基づいてユーザの認証に失敗したか否かを判定する。ここでは、図3の304,305で説明したように、ユーザの認証に失敗したと判定されるとS407に遷移する。一方、S406でユーザの認証に成功したと判定された場合はS413に遷移する。S413でロックアウト判定部204は、RAM110に記憶されたユーザIDと一致する、ロックアウトテーブル(図5)のユーザIDの認証失敗回数を「0」にして、この処理を終了する。   On the other hand, if the lockout determination unit 204 determines in S402 that it is outside the lockout time, the process proceeds to S404. In S <b> 404, the lockout determination unit 204 sets the number of user ID authentication failures in the lockout table that match the user ID stored in the RAM 110 to “0”, and proceeds to S <b> 405. In S405, the lockout determination unit 204 instructs the SMB authentication unit 202 to authenticate the user. In step S406, the lockout determination unit 204 determines whether the user authentication has failed based on the notification from the SMB authentication unit 202. Here, as described in 304 and 305 in FIG. 3, if it is determined that the user authentication has failed, the process proceeds to S407. On the other hand, if it is determined in S406 that the user authentication is successful, the process proceeds to S413. In S413, the lockout determination unit 204 sets the number of authentication failures of the user ID in the lockout table (FIG. 5) that matches the user ID stored in the RAM 110 to “0”, and ends this process.

S406でユーザの認証に失敗したときはS407に進みロックアウト判定部204は、RAM110に保存された、認証に失敗したユーザIDとパスワードと同一のユーザID、パスワードが、既に認証失敗テーブルに記憶されているか否かを判定する。S407で認証失敗テーブル(図6)に記憶されていないと判定するとS412に進み、ロックアウト判定部204は、RAM110に保存された、認証に失敗したユーザIDとパスワード、及びその認証失敗日時を認証失敗テーブルに登録してS410に進む。   If the user authentication fails in S406, the process proceeds to S407, and the lockout determination unit 204 stores the user ID and password that are stored in the RAM 110 and are the same as the user ID and password that have failed in authentication, in the authentication failure table. It is determined whether or not. If it is determined in S407 that it is not stored in the authentication failure table (FIG. 6), the process proceeds to S412 and the lockout determination unit 204 authenticates the user ID and password that failed in authentication and the authentication failure date and time stored in the RAM 110. Register in the failure table and proceed to S410.

一方、S407で、認証に失敗したユーザIDとパスワードと同一のユーザID、パスワードが認証失敗テーブルに記憶されている場合、ロックアウト判定部204の処理はS408に遷移する。   On the other hand, if the user ID and password identical to the user ID and password that failed authentication are stored in the authentication failure table in S407, the process of the lockout determination unit 204 transitions to S408.

図6は、実施形態に係るサーバ108の記憶装置112に保存される、ユーザIDごとの認証失敗時のパスワードと最終認証の失敗日時のデータを模式的に表現した認証失敗テーブルの内容例を示す図である。   FIG. 6 shows an example of the contents of an authentication failure table that is schematically stored in the storage device 112 of the server 108 according to the embodiment, and represents the data for the authentication failure for each user ID and the data of the last authentication failure date and time. FIG.

例えば、図6(A)において、ユーザID「Username」でパスワード「321」が入力されて、最後に認証に失敗した日時が「2012/1/1 9:30:00」であることが登録されている。図3の305の処理では、サーバ108の記憶装置112に、図6(A)に示す認証失敗テーブルが記憶されているものとして説明する。図3の305の処理では、ロックアウト判定部204は、RAM110に記憶されたユーザID「Username」、パスワード「Password」と、記憶装置112に記憶されている認証失敗テーブル(図6(A))とを比較する。この場合は、ユーザID「Username」とパスワード「Password」の組が記憶されていないため、認証失敗テーブルに記憶されていないと判定してS407からS412に遷移する。S412でロックアウト判定部204は、RAM110に保存されたユーザID、パスワード、認証日時を記憶装置112の認証失敗テーブルに保存してS410に遷移する。S412の処理により、図6(A)の認証失敗テーブルは、図6(B)に示すような認証失敗テーブルに更新される。よって図3の308の処理では、図6(B)に示す認証失敗テーブルが利用されることになる。   For example, in FIG. 6A, the password “321” is input with the user ID “Username”, and it is registered that the date and time of the last authentication failure is “2012/1/1 9:30:00”. ing. In the processing of 305 in FIG. 3, description will be made assuming that the authentication failure table shown in FIG. 6A is stored in the storage device 112 of the server 108. In the process of 305 in FIG. 3, the lockout determination unit 204 stores the user ID “Username” and password “Password” stored in the RAM 110 and the authentication failure table stored in the storage device 112 (FIG. 6A). And compare. In this case, since the set of the user ID “Username” and the password “Password” is not stored, it is determined that they are not stored in the authentication failure table, and the process proceeds from S407 to S412. In S412, the lockout determination unit 204 stores the user ID, password, and authentication date / time stored in the RAM 110 in the authentication failure table of the storage device 112, and proceeds to S410. By the process of S412, the authentication failure table in FIG. 6A is updated to an authentication failure table as shown in FIG. 6B. Therefore, in the process of 308 in FIG. 3, the authentication failure table shown in FIG. 6B is used.

一方、S407で、ロックアウト判定部204によって、認証失敗テーブルにRAM110と同一のユーザID、パスワードが記憶されていると判定された場合はS408に遷移する。S408でロックアウト判定部204は、RAM110に記憶されたユーザIDとパスワードの認証日時と、記憶装置112の認証失敗テーブルに記憶している、そのユーザIDとパスワードと一致する行の最終認証失敗日時とを比較する。即ち、そのユーザIDによる直前のユーザ認証と、今回の、そのユーザIDによるユーザ認証との時間間隔を求める。この結果、最終認証失敗日時から、RAM110に記憶されたユーザIDとパスワードの認証日時までの時間間隔が、予め設定された認証失敗許容時間を超えている場合は所定時間以上が経過していると判定する。この場合は、PC101によるリトライではないと判定し、ロックアウト判定部204の処理はS409に遷移する。即ち、S409でロックアウト判定部204は、RAM110に記憶されたユーザIDと一致する、ロックアウトテーブルの最終認証失敗日時を更新する。そしてS410に進みロックアウト判定部204は、RAM110に記憶されたユーザIDと一致する、ロックアウトテーブルのユーザIDの認証失敗回数に1を加算する。そして、この処理を終了する。   On the other hand, if the lockout determination unit 204 determines in S407 that the same user ID and password as those in the RAM 110 are stored in the authentication failure table, the process proceeds to S408. In step S <b> 408, the lockout determination unit 204 determines the authentication date / time of the user ID and password stored in the RAM 110 and the last authentication failure date / time of the row that matches the user ID / password stored in the authentication failure table of the storage device 112. And compare. That is, the time interval between the previous user authentication based on the user ID and the current user authentication based on the user ID is obtained. As a result, when the time interval from the last authentication failure date and time to the user ID and password authentication date and time stored in the RAM 110 exceeds the preset authentication failure allowable time, a predetermined time or more has passed. judge. In this case, it is determined that the retry is not performed by the PC 101, and the process of the lockout determination unit 204 transitions to S409. That is, in S409, the lockout determination unit 204 updates the last authentication failure date and time in the lockout table that matches the user ID stored in the RAM 110. In step S410, the lockout determination unit 204 adds 1 to the number of authentication failures of the user ID in the lockout table that matches the user ID stored in the RAM 110. Then, this process ends.

一方、S408で所定時間が経過していない(所定時間未満)と判定した場合は、PC101による自動的なリトライであると判定してS411に遷移する。この場合は、対応する認証失敗の日時を更新するが、認証失敗の回数としてカウントせずに、この処理を終了する。   On the other hand, if it is determined in S408 that the predetermined time has not elapsed (less than the predetermined time), it is determined that the automatic retry is performed by the PC 101, and the process proceeds to S411. In this case, the date and time of the corresponding authentication failure is updated, but this processing is terminated without counting as the number of authentication failures.

図7は、実施形態において、認証失敗許容時間を設定する設定画面の一例を示す図である。   FIG. 7 is a diagram illustrating an example of a setting screen for setting the allowable authentication failure time in the embodiment.

図7では、認証失敗許容時間として2秒が設定されている例を示している。この場合は、同一のユーザIDとパスワードを使用したユーザの認証が、以前認証に失敗してから2秒以内に再度入力されると、その認証失敗は、認証失敗回数としてカウントされないことを示している。図7において、時間設定欄701に、所望する時間(秒)を入力して「OK」ボタン702を指示することにより、所望の認証失敗許容時間を設定することができる。こうして設定された認証失敗許容時間は、記憶装置112に記憶される。尚、この認証失敗許容時間は、ユーザによる認証の失敗と、PC101によるリトライ処理による認証の失敗とを識別するために利用される時間である。このため、適切に設定されなかった場合は、悪意のあるユーザによる認証のリトライを際限なく許可することになるため、注意が必要である。   FIG. 7 shows an example in which 2 seconds is set as the authentication failure allowable time. In this case, if authentication of a user using the same user ID and password is entered again within 2 seconds after the previous authentication failure, the authentication failure is not counted as the number of authentication failures. Yes. In FIG. 7, a desired authentication failure allowable time can be set by inputting a desired time (second) in the time setting field 701 and instructing an “OK” button 702. The authentication failure allowable time set in this way is stored in the storage device 112. Note that the allowable authentication failure time is a time used to identify an authentication failure by the user and an authentication failure by the retry processing by the PC 101. For this reason, if it is not set appropriately, it is necessary to be careful because it will allow an unlimited number of authentication retries by malicious users.

このように、前回、ユーザの認証に失敗してから、次にそのユーザの認証がなされて認証に失敗するまでの認証許容時間を設定し、その認証許容時間内であれば認証の失敗として計数しないことにより、PCによる認証リトライのエラーの計数を回避できる。一般には、ユーザが手動で認証のリトライを行う場合は、そのリトライ時間間隔は少なくとも数秒を要する。これに対して、コンピュータによる自動の認証リトライでは、そのリトライ時間間隔は1秒を超えることはないと思われる。従って図7のような画面で、その時間間隔を設定することにより、ユーザによる手動の認証リトライと、PCによる認証のリトライとを区別できる。   In this way, the authentication allowable time from the previous user authentication failure to the next user authentication until the authentication failure is set, and if it is within the authentication allowable time, it is counted as an authentication failure. By not doing so, it is possible to avoid counting of authentication retry errors by the PC. In general, when a user manually performs authentication retry, the retry time interval requires at least several seconds. On the other hand, in the automatic authentication retry by the computer, it seems that the retry time interval does not exceed 1 second. Therefore, by setting the time interval on the screen as shown in FIG. 7, it is possible to distinguish between a manual authentication retry by the user and an authentication retry by the PC.

図8は、図4のS410で、認証プロトコルごとの認証の失敗回数をカウントする際、予め定義されているプロトコルテーブルの内容例を示す図である。   FIG. 8 is a diagram showing an example of the contents of a predefined protocol table when counting the number of authentication failures for each authentication protocol in S410 of FIG.

図8では、「SMB」による認証の失敗時は、S410の処理で認証の失敗回数として「1」が加算される。一方、「Local」による認証の失敗時は、S410の処理で認証の失敗回数として「0.5」が加算されることを示している。尚、「Local」は、サーバ108の入力部(不図示)を用いたサーバ108への認証を示す。図3の305の処理では、RAM110に保存された認証プロトコル「SMB」から認証失敗回数の加算される数として「1」を取得し、図5(A)から図5(B)のように、記憶装置112に記憶されたロックアウトテーブルを更新する。図5(B)では、前回、ユーザID「Username」で「2012/1/1 14:20」で認証に失敗してから10分後(2秒以上後)に、同じユーザIDで認証に失敗している。従って、この場合は、ユーザID「Username」に対応する最終認証失敗時間は「2012/1/1 14:30」となり、認証失敗回数は「3」に更新されている。   In FIG. 8, when authentication by “SMB” fails, “1” is added as the number of authentication failures in the process of S410. On the other hand, when authentication fails due to “Local”, “0.5” is added as the number of authentication failures in the process of S410. “Local” indicates authentication to the server 108 using an input unit (not shown) of the server 108. In the process of 305 in FIG. 3, “1” is acquired from the authentication protocol “SMB” stored in the RAM 110 as the number to which the number of authentication failures is added, and as shown in FIGS. 5A to 5B, The lockout table stored in the storage device 112 is updated. In FIG. 5B, authentication failed with the same user ID 10 minutes after the failure of authentication with “2012/1/1 14:20” with the user ID “Username” last time (more than 2 seconds). doing. Therefore, in this case, the last authentication failure time corresponding to the user ID “Username” is “2012/1/1 14:30”, and the number of authentication failures is updated to “3”.

また図4のS411ではロックアウト判定部204は、図6(A)の認証失敗テーブルの中でRAM110に保存されたユーザID、パスワードと一致する行の最終認証失敗日時を更新し、処理を終了する。ここでは図3で説明したように、ユーザID「Username」、パスワード「Password」が入力されるため、図6(B)のように、ユーザID「Username」、パスワード「Password」と最終認証失敗日時が認証失敗テーブルに追加される。   In S411 of FIG. 4, the lockout determination unit 204 updates the last authentication failure date and time of the line that matches the user ID and password stored in the RAM 110 in the authentication failure table of FIG. To do. Here, since the user ID “Username” and the password “Password” are input as described with reference to FIG. 3, the user ID “Username”, the password “Password”, and the last authentication failure date and time as shown in FIG. Is added to the authentication failure table.

例えば、図3の307の処理で、サーバ108のRAM110に保存された認証日時が「2012/1/1 14:30:01」であると仮定したとき、図3の308で実行される処理について説明する。この際、利用されるロックアウトテーブルは、図3の305の処理によって更新されて図5(B)のごとくであるとする。このときの認証失敗テーブルは、図6(B)に示される。図3の308における図4のS401,S405の処理は、図3の305の場合と同様であるため、その説明を省略する。   For example, assuming that the authentication date and time stored in the RAM 110 of the server 108 is “2012/1/1 14:30:01” in the process 307 of FIG. 3, the process executed in 308 of FIG. explain. At this time, it is assumed that the lockout table to be used is updated by the processing of 305 in FIG. 3 and is as shown in FIG. The authentication failure table at this time is shown in FIG. The processing in S401 and S405 in FIG. 4 in 308 in FIG. 3 is the same as that in 305 in FIG.

図4のS407でロックアウト判定部204は、RAM110に記憶されたユーザIDとパスワードが図5のロックアウトテーブルに保存されているため、同一のユーザIDとパスワードが、既に記憶されていると判定してS408に遷移する。S408でロックアウト判定部204は、RAM110に保存されたユーザIDとパスワードを用いて、図6(B)の認証失敗テーブルから最終認証失敗日時「2012/1/1 14:30:00」を取得する。次にロックアウト判定部204は、記憶装置112から取得した認証失敗許容時間「2」(秒)と最終認証失敗日時から、現在の認証日時が「2012/1/1 14:30:02」より前であれば、S408で一定時間が経過していないと判定する。ここでは、RAM110に保存された認証日時が「2012/1/1 14:30:01」であるため、ロックアウト判定部204は、一定時間が経過していないと判定してS411に遷移する。S411でロックアウト判定部204は、RAM110に保存されたユーザID「Username」、パスワード「Password」と一致する、認証失敗テーブルの行の最終認証失敗日時を「2012/1/1 14:30:01」に更新する。S411の処理では図6(B)から図6(C)に示すように認証失敗テーブルが更新される。そして、この場合は、図5(B)に示すロックアウトテーブルは、図5(C)に示すように更新される。即ち、ユーザID「Username」の最終認証失敗日時が「2012/1/1 14:31」に更新されているが、認証失敗回数は図5(B)と同様に「2」のままである。   In S407 of FIG. 4, the lockout determination unit 204 determines that the same user ID and password are already stored because the user ID and password stored in the RAM 110 are stored in the lockout table of FIG. Then, the process proceeds to S408. In S <b> 408, the lockout determination unit 204 obtains the last authentication failure date “2012/1/1 14:30: 00” from the authentication failure table of FIG. 6B using the user ID and password stored in the RAM 110. To do. Next, the lockout determination unit 204 determines that the current authentication date / time is “2012/1/1 14:30:02” from the authentication failure allowable time “2” (seconds) acquired from the storage device 112 and the last authentication failure date / time. If it is before, it is determined in S408 that the predetermined time has not elapsed. Here, since the authentication date and time stored in the RAM 110 is “2012/1/1 14:30:01”, the lockout determination unit 204 determines that the predetermined time has not elapsed and shifts to S411. In S411, the lockout determination unit 204 sets the last authentication failure date and time of the row of the authentication failure table that matches the user ID “Username” and the password “Password” stored in the RAM 110 to “2012/1/1 14:30:01”. Update to In the process of S411, the authentication failure table is updated as shown in FIGS. 6B to 6C. In this case, the lockout table shown in FIG. 5B is updated as shown in FIG. That is, the last authentication failure date and time of the user ID “Username” is updated to “2012/1/1 14:31”, but the number of authentication failures remains “2” as in FIG. 5B.

以上説明したように本実施形態によれば、一定時間内の同一ユーザID、同一パスワードによる認証失敗は、ロックアウトの認証失敗の回数としてカウントしない。これにより、クライアントPCによって行われるリトライ処理による認証失敗と、ユーザによる認証処理による認証の失敗回数とを区別できる。こうしてユーザが実際にユーザの認証を行って失敗した回数と、ロックアウト用にカウントされた回数とが一致するため、ユーザが予期しないロックアウトを防ぐことができる。   As described above, according to the present embodiment, authentication failures due to the same user ID and the same password within a certain time are not counted as the number of lockout authentication failures. Thereby, the authentication failure by the retry process performed by the client PC can be distinguished from the number of authentication failures by the user authentication process. In this way, since the number of times the user actually failed to authenticate the user and the number of times counted for lockout match, it is possible to prevent the user from unexpected lockout.

また、ユーザによる認証失敗の回数をカウントする際、ユーザが入力したパスワードが一致したかどうかまで確認するため、ロックアウト機能が担っているパスワードを探索する攻撃に対するセキュリティを低下させることなく、その利便性を向上できる。   In addition, when counting the number of authentication failures by the user, it is checked whether the password entered by the user matches, so that the security against attacks that search for the password carried by the lockout function is reduced without reducing the convenience. Can be improved.

また、機器が複数の認証手段を有している状態で、従来技術を用いてロックアウトを行おうとすると、各認証手段ごとにロックアウトする認証失敗回数を適切に設定する必要があり、管理者の設定の手間がかかるという課題があった。リトライ処理が行われる認証手段と、リトライ処理が行われない認証手段で、ロックアウトするまでの認証失敗回数を同じにすると、前者の認証手段のみすぐにロックアウトしてしまい、ユーザの利便性が損なわれるためである。   In addition, if the device has a plurality of authentication means and attempts to perform lockout using the conventional technique, it is necessary to appropriately set the number of authentication failures to be locked out for each authentication means. There was a problem that it took time to set up. If the number of authentication failures until the lockout is made the same between the authentication means that performs the retry process and the authentication means that does not perform the retry process, only the former authentication means is immediately locked out, which increases the convenience of the user. It is because it is damaged.

これに対して実施形態では、リトライ処理における認証の失敗回数はカウントされないため、認証手段によらず、ロックアウトするまでの認証の失敗回数を同じに設定できるため、管理者の設定の手間を軽減することができる。   On the other hand, in the embodiment, since the number of authentication failures in the retry process is not counted, the number of authentication failures until the lockout can be set to the same regardless of the authentication means, so that the setting time of the administrator is reduced. can do.

尚、本実施形態ではネットワークを介して認証を行うプロトコルの一例として、SMBを用いて説明したが、そのほかのプロトコルであってもよい。   In the present embodiment, the SMB is used as an example of a protocol for performing authentication via a network, but other protocols may be used.

また実施形態では、サーバとクライアントPCというように別々の機器の間でネットワークを介して認証を行う場合について説明したが、単一の機器で認証を行うような構成であってもよい。   In the embodiment, the case where authentication is performed via a network between different devices such as a server and a client PC has been described. However, a configuration in which authentication is performed by a single device may be used.

また実施形態では、図5のロックアウトテーブルと図6の認証失敗テーブルは別々のものとして説明したが、単一のDBなどで管理してもよい。   In the embodiment, the lockout table in FIG. 5 and the authentication failure table in FIG. 6 have been described as separate, but may be managed by a single DB or the like.

また実施形態では、図8のようなプロトコルテーブルによって、認証プロトコルに応じて認証の失敗回数の加算数を変更するような例について説明したが、全ての認証プロトコルで同一の加算値を設定してもよい。   In the embodiment, the example in which the addition number of the number of authentication failures is changed according to the authentication protocol using the protocol table as shown in FIG. 8 is described. However, the same addition value is set for all the authentication protocols. Also good.

以上説明したように本実施形態によれば、クライアントで特別な対応をすることなく、サーバの対応だけで、クライアントの処理に起因した、ユーザの予期しないロックアウトを防ぐことができる。   As described above, according to the present embodiment, it is possible to prevent a user's unexpected lockout due to processing of the client only by handling the server without performing any special handling at the client.

また、クライアントによって行われるリトライ処理による認証の失敗回数が、ロックアウト機能を実行するか否かの判断残量となる回数としてカウントされない。このため、ロックアウトするまでの認証失敗の回数が、ユーザが行った認証の失敗回数と一致し、ユーザが予期しないロックアウトを防ぐことができる。   In addition, the number of authentication failures due to retry processing performed by the client is not counted as the number of remaining determinations as to whether or not to execute the lockout function. For this reason, the number of authentication failures until lockout coincides with the number of authentication failures performed by the user, and lockout unexpected by the user can be prevented.

また、ユーザによる認証の失敗回数をカウントする場合、ユーザのユーザID,ユーザが入力したパスワードの組で失敗回数を確認するため、ロックアウト機能が意図しているパスワードを探索する攻撃に対するセキュリティを維持できる。   In addition, when counting the number of authentication failures by the user, the security against attacks that search for the password intended by the lockout function is maintained in order to check the number of failures by the combination of the user ID of the user and the password entered by the user. it can.

(その他の実施形態)
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。 (Other embodiments)
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, etc.) of the system or apparatus reads the program. It is a process to be executed.

Claims (10)

ユーザの認証を行う認証手段と、
前記認証手段によりユーザの認証に失敗した回数が所定回数以上になると、当該ユーザによる認証を拒否するロックアウト手段と、
前記認証手段によりユーザの認証に失敗した場合、直前に前記ユーザの認証に失敗した日時と、今回、前記認証手段により前記ユーザの認証に失敗した日時との時間間隔が所定時間以上であれば、前記ユーザの認証に失敗した回数としてカウントし、前記時間間隔が前記所定時間未満であれば、前記ユーザの認証に失敗した回数としてカウントしないように制御する制御手段と、
を有することを特徴とする情報処理装置。 An authentication means for authenticating the user;
Lockout means for rejecting authentication by the user when the number of failed user authentications by the authentication means exceeds a predetermined number of times;
If the authentication unit fails to authenticate the user, and if the time interval between the date and time the user authentication failed immediately before and the date and time the user failed to authenticate the user is a predetermined time or more, Control means for counting as the number of times the user authentication has failed, and so as not to count as the number of times the user authentication has failed if the time interval is less than the predetermined time;
An information processing apparatus comprising: 前記所定時間をユーザに設定させる設定手段を更に有することを特徴とする請求項1に記載の情報処理装置。   The information processing apparatus according to claim 1, further comprising setting means for allowing the user to set the predetermined time. 前記認証手段によりユーザの認証に失敗した回数をカウントするカウント手段を更に有し、
前記カウント手段は、前記認証手段により前記ユーザの認証を行うために入力されたユーザID及びパスワードの組に対応つけて、前記ユーザの認証に失敗した回数をカウントすることを特徴とする請求項1又は2に記載の情報処理装置。 Further comprising a counting means for counting the number of times the user authentication failed by the authentication means,
2. The counting means counts the number of times the user authentication has failed in association with a set of user ID and password input to authenticate the user by the authentication means. Or the information processing apparatus of 2. 前記所定時間は、ユーザの操作による認証のリトライと、コンピュータにより自動的に実行される認証のリトライとを識別できる時間間隔であることを特徴とする請求項1に記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the predetermined time is a time interval in which authentication retry by an operation of a user and authentication retry automatically executed by a computer can be identified. 複数の前記認証手段を更に有し、前記カウント手段は、前記複数の認証手段のそれぞれに対応するユーザの認証に失敗した回数をカウントすることを特徴とする請求項3に記載の情報処理装置。   The information processing apparatus according to claim 3, further comprising a plurality of authentication units, wherein the counting unit counts the number of times the user authentication corresponding to each of the plurality of authentication units has failed. 前記制御手段は、入力されたユーザIDとパスワードの組に対応つけて、前記認証手段によりユーザの認証に失敗した日時を記憶する記憶手段を有することを特徴とする請求項1乃至5のいずれか1項に記載の情報処理装置。   6. The storage device according to claim 1, wherein the control unit includes a storage unit that stores the date and time when the authentication unit fails to authenticate the user in association with the input user ID and password pair. The information processing apparatus according to item 1. サーバとクライアントを含む情報処理システムであって、
前記サーバは、
前記クライアントからの認証情報に応じてユーザの認証を行う認証手段と、
前記認証手段による認証結果を前記クライアントに通知する通知手段と、
前記認証手段によりユーザの認証に失敗した回数が所定回数以上になると、当該ユーザによる認証を拒否するロックアウト手段と、
前記認証手段によりユーザの認証に失敗した場合、直前に前記ユーザの認証に失敗した日時と、今回、前記認証手段により前記ユーザの認証に失敗した日時との時間間隔が所定時間以上であれば、前記ユーザの認証に失敗した回数としてカウントし、前記時間間隔が前記所定時間未満であれば、前記ユーザの認証に失敗した回数としてカウントしないように制御する制御手段と、を有し、
前記クライアントは、
前記通知手段により通知された前記認証結果がNGである場合に、前記サーバに前記認証情報を送信するリトライ手段を有することを特徴とする情報処理システム。 An information processing system including a server and a client,
The server
Authentication means for authenticating a user in accordance with authentication information from the client;
Notification means for notifying the client of an authentication result by the authentication means;
Lockout means for rejecting authentication by the user when the number of failed user authentications by the authentication means exceeds a predetermined number of times;
If the authentication unit fails to authenticate the user, and if the time interval between the date and time the user authentication failed immediately before and the date and time the user failed to authenticate the user is a predetermined time or more, A control unit that counts as the number of times that the user authentication has failed, and controls so as not to count as the number of times that the user authentication has failed if the time interval is less than the predetermined time;
The client
An information processing system comprising: a retry unit that transmits the authentication information to the server when the authentication result notified by the notification unit is NG. 前記制御手段は、前記クライアントとの認証プロトコルに応じて、前記ユーザの認証に失敗した回数をカウントする場合の加算値を変更することを特徴とする請求項7に記載の情報処理システム。   The information processing system according to claim 7, wherein the control unit changes an addition value when counting the number of times the user authentication has failed according to an authentication protocol with the client. 情報処理装置を制御する制御方法であって、
認証手段が、ユーザの認証を行う認証工程と、
ロックアウト手段が、前記認証工程でユーザの認証に失敗した回数が所定回数以上になると、当該ユーザによる認証を拒否するロックアウト工程と、
制御手段が、前記認証工程によりユーザの認証に失敗した場合、直前に前記ユーザの認証に失敗した日時と、今回、前記認証工程により前記ユーザの認証に失敗した日時との時間間隔が所定時間以上であれば、前記ユーザの認証に失敗した回数としてカウントし、前記時間間隔が前記所定時間未満であれば、前記ユーザの認証に失敗した回数としてカウントしないように制御する制御工程と、
を有することを特徴とする情報処理装置の制御方法。 A control method for controlling an information processing apparatus,
An authentication step in which the authentication means authenticates the user;
When the number of times that the lockout means fails to authenticate the user in the authentication step is a predetermined number or more, a lockout step of rejecting authentication by the user,
When the control unit fails to authenticate the user by the authentication step, the time interval between the date and time when the user authentication failed immediately before and the date and time when the user authentication failed by the authentication step is a predetermined time or more. If so, a control step of counting as the number of times the user authentication has failed, and controlling so as not to count as the number of times the user authentication has failed if the time interval is less than the predetermined time;
A method for controlling an information processing apparatus, comprising: コンピュータを、請求項1乃至6のいずれか1項に記載の情報処理装置として機能させるためのプログラム。   The program for functioning a computer as an information processing apparatus of any one of Claims 1 thru | or 6.
JP2013206805A 2013-10-01 2013-10-01 Information processing system, information processing device and method of controlling the same, and program Pending JP2015072527A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013206805A JP2015072527A (en) 2013-10-01 2013-10-01 Information processing system, information processing device and method of controlling the same, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013206805A JP2015072527A (en) 2013-10-01 2013-10-01 Information processing system, information processing device and method of controlling the same, and program

Publications (1)

Publication Number Publication Date
JP2015072527A true JP2015072527A (en) 2015-04-16

Family

ID=53014867

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013206805A Pending JP2015072527A (en) 2013-10-01 2013-10-01 Information processing system, information processing device and method of controlling the same, and program

Country Status (1)

Country Link
JP (1) JP2015072527A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018180911A (en) * 2017-04-12 2018-11-15 富士通株式会社 Authentication device, authentication program, and authentication method
CN113297927A (en) * 2021-05-07 2021-08-24 深圳市艾美视科技有限公司 Face recognition system for bank escort handover

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018180911A (en) * 2017-04-12 2018-11-15 富士通株式会社 Authentication device, authentication program, and authentication method
CN113297927A (en) * 2021-05-07 2021-08-24 深圳市艾美视科技有限公司 Face recognition system for bank escort handover

Similar Documents

Publication Publication Date Title
US10277577B2 (en) Password-less authentication system and method
US11271923B2 (en) Information processing apparatus, authorization system, and verification method
EP2314090B1 (en) Portable device association
JP5090116B2 (en) Prevent blocking of network traffic during port-based authentication
US8561157B2 (en) Method, system, and computer-readable storage medium for establishing a login session
JP6376869B2 (en) Data synchronization system, control method thereof, authorization server, and program thereof
JP2006079617A (en) System and method for enabling remote security
WO2019134234A1 (en) Rooting-prevention log-in method, device, terminal apparatus, and storage medium
US11336781B2 (en) Communication system including information processing apparatus and image processing apparatus, and information processing apparatus thereof, and storage medium that allow displaying of information associated with verified user authentication information
US9661000B2 (en) Communication apparatus, communication system, method of controlling communication apparatus, and storage medium
US10318725B2 (en) Systems and methods to enable automatic password management in a proximity based authentication
JP2011081762A (en) Device setting apparatus and device resetting method in device setting apparatus
US10764068B2 (en) Computer system employing challenge/response protocol with detection of non-unique incorrect responses
US9323911B1 (en) Verifying requests to remove applications from a device
US20130288661A1 (en) Remote operation system, relay apparatus, mobile communication apparatus, in-terminal server control method, and relay processing method
JP2015072527A (en) Information processing system, information processing device and method of controlling the same, and program
JP6066586B2 (en) Information processing system, control method thereof, and program thereof
KR101553482B1 (en) Authentication System For Password And Method
WO2016206090A1 (en) Two-factor authentication method, device and apparatus
JP5591144B2 (en) Power system protection control system, protection control device and connection terminal thereof
US20150281043A1 (en) Image communication apparatus, control method for the same, and computer-readable storage medium
US11792651B2 (en) Authentication-based communication link with a peripheral device
US20200387600A1 (en) Attack defense method and apparatus for terminal, terminal, and cloud server
US11212178B2 (en) Control system, electronic device, and control method
WO2015182308A1 (en) Information processing terminal, information processing system, and information processing method