JP3904921B2 - 情報処理装置及びアクセス制御方法 - Google Patents
情報処理装置及びアクセス制御方法 Download PDFInfo
- Publication number
- JP3904921B2 JP3904921B2 JP2001397880A JP2001397880A JP3904921B2 JP 3904921 B2 JP3904921 B2 JP 3904921B2 JP 2001397880 A JP2001397880 A JP 2001397880A JP 2001397880 A JP2001397880 A JP 2001397880A JP 3904921 B2 JP3904921 B2 JP 3904921B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- access source
- file
- source
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は情報処理装置及びアクセス制御方法に係り、特に、アクセス元からの認証情報に基づいてファイルへのアクセスを制御する情報処理装置及びアクセス制御方法に関する。
【0002】
【従来の技術】
図1は通信システムの一例のブロック構成図を示す。
【0003】
通信システム1は、サーバ11がネットワーク12を介してクライアント13に接続されている。ネットワーク12は、例えば、インターネットである。
【0004】
サーバ11は、従来、不正なアクセスを防止するため、クライアント13から供給されたID(identification)及びパスワードを予め登録されたID及びパスワードと比較し、クライアント13から供給されたID及びパスワードと予め登録されたID及びパスワードとが一致していたときに、クライアント13をサーバ11が提供するファイルにアクセス可能としていた。
【0005】
【発明が解決しようとする課題】
しかるに、従来のサーバでは、ID及びパスワードによってのみ、不正アクセスを防止していたため、ID及びパスワードをスキャンしつつ、サーバにアクセスし続けることにより正当なID及びパスワードにヒットし、サーバにアクセス可能となる恐れがあった。
【0006】
本発明は上記の点に鑑みてなされたもので、不正アクセスを効果的に防止できる情報処理装置及びアクセス制御方法を提供することを目的とする。
【0007】
【課題を解決するための手段】
本発明は、アクセス元からルータを介して供給された情報に基づいてファイルへのアクセスを許可する情報処理装置であって、
アクセス元の前記ファイルへのアクセスを許可し、前記アクセス元が不正アクセス元であるときに、前記不正アクセス元が前記ファイルにアクセスしている間に前記ルータで前記情報の中継時に付与された前記ルータのアドレスの履歴を解析することにより前記不正アクセス元をサーチするアクセス制御部とを有することを特徴とする。
【0008】
本発明によれば、不正アクセス元にファイルへのアクセスを許可し、不正アクセス元がファイルにアクセスしている間に、不正アクセス元をサーチすることができる。よって、不正アクセス元を探し出し警告を発することが可能となる。
【0009】
【発明の実施の形態】
図2は本発明の一実施例のシステム構成図を示す。同図中、図1と同一構成部分には同一符号を付し、その説明は省略する。
【0010】
本実施例の通信システム20は、サーバ21及び、ネットワーク12を構成するルータ22の構成が図1に示す従来の通信システム1と相違する。
【0011】
まず、サーバ21について説明する。
【0012】
図3は本発明の一実施例のサーバのブロック構成図を示す。
【0013】
サーバ21は、認証情報ファイル部31、ブロックファイル部32、復旧用ファイル部33、通信制御部34を含む構成とされている。
【0014】
認証情報ファイル部31には、アクセスを許可するためのクライアント13を認証するためのID及びパスワードが記憶されている。ブロックファイル部32には、クライアント13がアクセスしようとするファイルが記憶されている。復旧用ファイル部33には、ブロックファイル部32を復旧するためのファイルが記憶されている。
【0015】
図4は本発明の一実施例の通信制御部のブロック構成図を示す。
【0016】
通信制御部32は、インタフェース41、CPU42、ROM43、RAM44、入出力部45〜47を含む構成とされている。インタフェース41は、ルータ31とのインタフェースをとる。CPU42は、ROM43に予め記憶されたプログラムに基づいて下記に示す接続処理を実行する。RAM44は、CPU42の作業用記憶領域として用いられる。入出力部45は、認証情報ファイル部31とのデータの入出力を制御する。入出力部46は、ブロックファイル部32とのデータの入出力を制御する。入出力部47は、復旧用ファイル部33とのデータの入出力を制御する。
【0017】
通信制御部32は、クライアント13からのアクセスに対して、認証情報ファイル部35に記憶された認証情報に基づいて認証を行い、認証された場合にブロックファイル部33へのアクセスを許可する処理を実行するとともに、不正アクセス元をサーチするための処理、さらに、復旧用ファイル部33によりブロックファイル部32を復旧するための処理を実行する。
【0018】
次に通信制御部34の接続処理を図面を用いて説明する。
【0019】
図5は本発明の一実施例の通信制御部の接続処理のフローチャートを示す。
【0020】
通信制御部32では、ステップS1−1でクライアント13から接続要求があると、ステップS1−2で接続要求があったクライアント13にID及びパスワードを要求する。ステップS1−3でクライアント13からID、パスワードの応答があると、ステップS1−4で認証処理が行われる。認証処理は、クライアント13から供給されたID、パスワードが認証情報ファイル部31に予め登録されたID及びパスワードと一致するか否かを判定し、ID及びパスワードが一致したときにクライアント13を正当なアクセス元であると判定処理を行う。
【0021】
次に、ステップS1−5でクライアント13が正当なアクセス元であると、判定されると、ステップS1−6でブロックファイル部32へのアクセスを許可する。
【0022】
また、ステップS1−5でクライアント13からのID及びパスワードが認証情報ファイル部31に記憶されたID及びパスワードと一致しなかった場合には、ステップS1−7でクライアント13からのID及びパスワードが否認された回数が所定回数か否かを判定する。ステップS1−7で否認回数が所定回数未満であれば、ステップS1−2に戻ってID、パスワードを要求する。
【0023】
また、ステップS1−7でID及びパスワードが所定回数否認された場合には、正当なアクセス元ではないと判定した上で、ステップS1−8でクライアント13をブロックファイル部32へのアクセスを許可し、ステップS1−9でクライアント13を特定するためのサーチする処理を行う。不正にアクセスしたクライアント13側では、ブロックファイル部32へのアクセスが許可されることによりサーバ21への侵入が成功したと思い込み、安心してブロックファイル部32の解析したり、破壊したりする。これにより、クライアント13を特定するためのサーチの時間を稼ぐことができる。
【0024】
クライアント13を特定するためのサーチ処理は、クライアント13からのパケットを参照することにより行う。
【0025】
図6はクライアント13からのパケットのデータ構成図を示す。図6(A)はパケットPのデータ構成、図6(B)はヘッダ部Hのデータ構成を示している。
【0026】
クライアント13からサーバ21に供給されるパケットPは、ヘッダ部H及びデータ部Dから構成される。ヘッダ部Hには、送信元IP(internet protocol)アドレスA1、宛先IPアドレスA2、ルータIPアドレスAr1〜Arnが書き込まれている。送信元IPアドレスA1及び宛先IPアドレスA2は、クライアント13でパケットPを送信するときに書き込まれる。また、ルータIPアドレスAr1〜Arnは、パケットPがルータ22を通過するときに、ルータ22によって書き込まれる。このルータIPアドレスAr1〜Arnを解析することによって、サーバ21でクライアント13を特定できる。
【0027】
ここでルータ22のルーティング処理について詳細に説明する。
【0028】
図7はルータ22のルーティング処理の処理フローチャートを示す。
【0029】
ルータ22は、ステップS2−1でパケットPを受信すると、ステップS2−2でヘッダ部Hの宛先IPアドレスに基づいて接続先IPアドレスを取得する。
また、ルータ22は、ステップS2−3で自己のIPアドレスAriをパケットPのヘッダ部Hに付与する。ルータIPアドレスAr1〜Arnは、パケットPがルータ22を通過する毎に、例えば、ヘッダ部Hのオプション領域に順次に書き込まれる。なお、ルータIPアドレスAr1〜Arnは、データ部Dに書き込むようにしてもよい。あるいは、ルータIPアドレスAr1〜Arnは、データ部Dの後に、書き込むようにしてもよい。
【0030】
ルータ22は、ステップS2−4で自己のIPアドレスが付与されたパケットを接続先IPアドレスに向けて次のルータなどに送信する。ルータ22により上記動作が順次に行われることにより、サーバ21によるクライアント13のサーチが可能となる。
【0031】
以上により、パケットPには、パケットPが通過したルータ22のIPアドレスが順次に書き込まれる。サーバ21は、パケットPに付与されたルータIPアドレスAr1〜Arnを参照することによりクライアント13をサーチできる。
【0032】
図5に戻って説明を続ける。
【0033】
サーバ13は、ステップS1−9でアクセス元がサーチされると、ステップS1−10で不正にアクセスしたクライアント13のブロックファイル部32へのアクセスを禁止する。ステップS1−9でブロックファイル部32へのアクセスが禁止した後、ステップS1−10で復旧用ファイル部33に記憶された復旧用ファイルによりブロックファイル部32を復旧する。
【0034】
これにより、不正にアクセスしたクライアント13によりブロックファイル部32が破壊されても元の状態に復旧できる。
【0035】
本実施例によれば、不正にアクセスしたクライアント13を確実に特定でき、不正アクセス者に警告を行うことができ、よって、不正アクセスを抑止できる。
【0036】
なお、本実施例では、否認回数により不正アクセスであると判断したが、特定のID及びパスワードが入力されたときに、不正アクセスであると判断するようにしてもよい。
【0037】
図8は本発明の一実施例の通信制御部の接続処理の変形例のフローチャートを示す。同図中、図5と同一処理部分には同一符号を付し、その説明は省略する。
【0038】
なお、本変形例では、認証情報ファイル部31にブロックファイル部32へのアクセスを許可する正当なID及びパスワードの他に不正アクセスを判定するためのID及びパスワードが記憶されている。
【0039】
本変形例では、通信制御部34は、まず、ステップS3−1で設定しておいたダミーのID及びパスワードが入力されると、ステップS1−8でダミーファイル部23へのアクセスを許可し、アクセス元をサーチする。なお、ダミーID、パスワードは、一つに限定されるものではなく、複数設定しておいてもよい。
【0040】
本変形例によれば、正当なアクセス者と同様にブロックファイル部32へのアクセスを行うことができる。よって、不正アクセス者は、アクセスする際の真実味が増し、比較的長時間アクセスを続けるため、不正なアクセス者を確実にサーチできる。
【0041】
また、本実施例では、不正なアクセス者に対してブロックアドレス部32へのアクセスを許可したが、ダミーファイルを設けて、ダミーファイルにアクセスさせるようにしてもよい。
【0042】
図9は本発明の他の実施例のサーバのブロック構成図を示す。同図中、図3と同一構成部分には同一符号を付し、その説明は省略する。
【0043】
本実施例のサーバ41は、復旧用ファイル部33に代えて、ダミーファイル部42を設けた構成とされている。また、通信制御部43は、不正なアクセス先からのアクセスがあったときに、ダミーファイル部42にアクセスを許可するように処理を行うようにされている。
【0044】
ダミーファイル部42には、ダミーデータファイルが記憶されている。ダミーデータファイルは、機密事項に見せかけた膨大なデータファイルである。
【0045】
図10は通信制御部43の処理フローチャートを示す。同図中、図5と同一処理部分には同一符号を付し、その説明は省略する。
【0046】
本実施例では、ステップS1−7でID及びパスワードの否認回数が所定回数に達し、不正アクセス元であると判定されると、ステップS4−9でダミーファイル部42へのアクセスを許可し、不正アクセスを行ったクライアント13がダミーファイル部42にアクセスしている間にアクセス元をサーチする。
【0047】
本実施例によれば、不正なクライアント13は、所定回数、アクセスした後にサーバ11にアクセスされるので、正当なファイルにアクセスできたと勘違いするが、実際は、ダミーデータファイルへのアクセスが許可される。
【0048】
ダミーデータファイルは機密事項に見せかけた膨大なデータファイルとされているので、不正なクライアント13はその内容に興味を持つとともに、比較的長時間アクセスを続ける。このため、不正なクライアント13を確実にサーチでき、警告などを発することができる。このとき、不正なクライアント13はダミーファイル部42にアクセスされるので、サーバ41の正当なデータファイルが参照されることがない。
【0049】
なお、本実施例では、所定回数否認されたときに、ダミーデータファイルへのアクセスを許可するようにしたが、ダミーのID、パスワードを設定しておき、ダミーのID、パスワードが入力されたときにダミーファイル部23にアクセスを許可するようにしてもよい。
【0050】
図11は本発明の他の実施例の通信制御部43の変形例の処理フローチャートを示す。同図中、図8と同一処理部分には同一符号を付し、その説明は省略する。
【0051】
本変形例では、ステップS3−1でクライアント13から特定ID及びパスワードが供給されると、不正アクセスが行われていると判定して、ステップS5−1でダミーファイル部42へのアクセスを許可する。不正アクセスしたクライアント13がダミーファイル部42にアクセスしている間にクライアント13を特定するためのサーチを行う。
【0052】
【発明の効果】
上述の如く、本発明によれば、不正アクセス元にファイルへのアクセスを許可し、不正アクセス元がファイルにアクセスしている間に、不正アクセス元をサーチして、サーチが終了した後に不正アクセス元のファイルへのアクセスを禁止した後、復旧用ファイルによりファイルを復旧させることにより、不正なアクセス元に長時間ファイルをアクセスさせることができるため、確実に不正なアクセス元を確実に特定できる等の特長を有する。
【図面の簡単な説明】
【図1】従来の通信システムの一例のシステム構成図である。
【図2】本発明の一実施例のシステム構成図である。
【図3】本発明の一実施例のサーバのブロック構成図である。
【図4】本発明の一実施例の通信制御部のブロック構成図である。
【図5】本発明の一実施例の通信制御部の接続処理のフローチャートである。
【図6】クライアント13からのパケットのデータ構成図である。
【図7】ルータ22のルーティング処理の処理フローチャートである。
【図8】本発明の一実施例の通信制御部の接続処理の変形例のフローチャートである。
【図9】本発明の他の実施例のサーバのブロック構成図である。
【図10】通信制御部43の処理フローチャートである。
【図11】本発明の他の実施例の通信制御部43の変形例の処理フローチャートである。
【符号の説明】
1、20 システム
11、21 サーバ
12 ネットワーク
13 端末装置
31 ルータ
32 通信制御部
33 ブロックファイル部
34 ダミーファイル部
35 認証情報ファイル部
41 インタフェース部
42 CPU
43 ROM
44 RAM
47 入出力部
【発明の属する技術分野】
本発明は情報処理装置及びアクセス制御方法に係り、特に、アクセス元からの認証情報に基づいてファイルへのアクセスを制御する情報処理装置及びアクセス制御方法に関する。
【0002】
【従来の技術】
図1は通信システムの一例のブロック構成図を示す。
【0003】
通信システム1は、サーバ11がネットワーク12を介してクライアント13に接続されている。ネットワーク12は、例えば、インターネットである。
【0004】
サーバ11は、従来、不正なアクセスを防止するため、クライアント13から供給されたID(identification)及びパスワードを予め登録されたID及びパスワードと比較し、クライアント13から供給されたID及びパスワードと予め登録されたID及びパスワードとが一致していたときに、クライアント13をサーバ11が提供するファイルにアクセス可能としていた。
【0005】
【発明が解決しようとする課題】
しかるに、従来のサーバでは、ID及びパスワードによってのみ、不正アクセスを防止していたため、ID及びパスワードをスキャンしつつ、サーバにアクセスし続けることにより正当なID及びパスワードにヒットし、サーバにアクセス可能となる恐れがあった。
【0006】
本発明は上記の点に鑑みてなされたもので、不正アクセスを効果的に防止できる情報処理装置及びアクセス制御方法を提供することを目的とする。
【0007】
【課題を解決するための手段】
本発明は、アクセス元からルータを介して供給された情報に基づいてファイルへのアクセスを許可する情報処理装置であって、
アクセス元の前記ファイルへのアクセスを許可し、前記アクセス元が不正アクセス元であるときに、前記不正アクセス元が前記ファイルにアクセスしている間に前記ルータで前記情報の中継時に付与された前記ルータのアドレスの履歴を解析することにより前記不正アクセス元をサーチするアクセス制御部とを有することを特徴とする。
【0008】
本発明によれば、不正アクセス元にファイルへのアクセスを許可し、不正アクセス元がファイルにアクセスしている間に、不正アクセス元をサーチすることができる。よって、不正アクセス元を探し出し警告を発することが可能となる。
【0009】
【発明の実施の形態】
図2は本発明の一実施例のシステム構成図を示す。同図中、図1と同一構成部分には同一符号を付し、その説明は省略する。
【0010】
本実施例の通信システム20は、サーバ21及び、ネットワーク12を構成するルータ22の構成が図1に示す従来の通信システム1と相違する。
【0011】
まず、サーバ21について説明する。
【0012】
図3は本発明の一実施例のサーバのブロック構成図を示す。
【0013】
サーバ21は、認証情報ファイル部31、ブロックファイル部32、復旧用ファイル部33、通信制御部34を含む構成とされている。
【0014】
認証情報ファイル部31には、アクセスを許可するためのクライアント13を認証するためのID及びパスワードが記憶されている。ブロックファイル部32には、クライアント13がアクセスしようとするファイルが記憶されている。復旧用ファイル部33には、ブロックファイル部32を復旧するためのファイルが記憶されている。
【0015】
図4は本発明の一実施例の通信制御部のブロック構成図を示す。
【0016】
通信制御部32は、インタフェース41、CPU42、ROM43、RAM44、入出力部45〜47を含む構成とされている。インタフェース41は、ルータ31とのインタフェースをとる。CPU42は、ROM43に予め記憶されたプログラムに基づいて下記に示す接続処理を実行する。RAM44は、CPU42の作業用記憶領域として用いられる。入出力部45は、認証情報ファイル部31とのデータの入出力を制御する。入出力部46は、ブロックファイル部32とのデータの入出力を制御する。入出力部47は、復旧用ファイル部33とのデータの入出力を制御する。
【0017】
通信制御部32は、クライアント13からのアクセスに対して、認証情報ファイル部35に記憶された認証情報に基づいて認証を行い、認証された場合にブロックファイル部33へのアクセスを許可する処理を実行するとともに、不正アクセス元をサーチするための処理、さらに、復旧用ファイル部33によりブロックファイル部32を復旧するための処理を実行する。
【0018】
次に通信制御部34の接続処理を図面を用いて説明する。
【0019】
図5は本発明の一実施例の通信制御部の接続処理のフローチャートを示す。
【0020】
通信制御部32では、ステップS1−1でクライアント13から接続要求があると、ステップS1−2で接続要求があったクライアント13にID及びパスワードを要求する。ステップS1−3でクライアント13からID、パスワードの応答があると、ステップS1−4で認証処理が行われる。認証処理は、クライアント13から供給されたID、パスワードが認証情報ファイル部31に予め登録されたID及びパスワードと一致するか否かを判定し、ID及びパスワードが一致したときにクライアント13を正当なアクセス元であると判定処理を行う。
【0021】
次に、ステップS1−5でクライアント13が正当なアクセス元であると、判定されると、ステップS1−6でブロックファイル部32へのアクセスを許可する。
【0022】
また、ステップS1−5でクライアント13からのID及びパスワードが認証情報ファイル部31に記憶されたID及びパスワードと一致しなかった場合には、ステップS1−7でクライアント13からのID及びパスワードが否認された回数が所定回数か否かを判定する。ステップS1−7で否認回数が所定回数未満であれば、ステップS1−2に戻ってID、パスワードを要求する。
【0023】
また、ステップS1−7でID及びパスワードが所定回数否認された場合には、正当なアクセス元ではないと判定した上で、ステップS1−8でクライアント13をブロックファイル部32へのアクセスを許可し、ステップS1−9でクライアント13を特定するためのサーチする処理を行う。不正にアクセスしたクライアント13側では、ブロックファイル部32へのアクセスが許可されることによりサーバ21への侵入が成功したと思い込み、安心してブロックファイル部32の解析したり、破壊したりする。これにより、クライアント13を特定するためのサーチの時間を稼ぐことができる。
【0024】
クライアント13を特定するためのサーチ処理は、クライアント13からのパケットを参照することにより行う。
【0025】
図6はクライアント13からのパケットのデータ構成図を示す。図6(A)はパケットPのデータ構成、図6(B)はヘッダ部Hのデータ構成を示している。
【0026】
クライアント13からサーバ21に供給されるパケットPは、ヘッダ部H及びデータ部Dから構成される。ヘッダ部Hには、送信元IP(internet protocol)アドレスA1、宛先IPアドレスA2、ルータIPアドレスAr1〜Arnが書き込まれている。送信元IPアドレスA1及び宛先IPアドレスA2は、クライアント13でパケットPを送信するときに書き込まれる。また、ルータIPアドレスAr1〜Arnは、パケットPがルータ22を通過するときに、ルータ22によって書き込まれる。このルータIPアドレスAr1〜Arnを解析することによって、サーバ21でクライアント13を特定できる。
【0027】
ここでルータ22のルーティング処理について詳細に説明する。
【0028】
図7はルータ22のルーティング処理の処理フローチャートを示す。
【0029】
ルータ22は、ステップS2−1でパケットPを受信すると、ステップS2−2でヘッダ部Hの宛先IPアドレスに基づいて接続先IPアドレスを取得する。
また、ルータ22は、ステップS2−3で自己のIPアドレスAriをパケットPのヘッダ部Hに付与する。ルータIPアドレスAr1〜Arnは、パケットPがルータ22を通過する毎に、例えば、ヘッダ部Hのオプション領域に順次に書き込まれる。なお、ルータIPアドレスAr1〜Arnは、データ部Dに書き込むようにしてもよい。あるいは、ルータIPアドレスAr1〜Arnは、データ部Dの後に、書き込むようにしてもよい。
【0030】
ルータ22は、ステップS2−4で自己のIPアドレスが付与されたパケットを接続先IPアドレスに向けて次のルータなどに送信する。ルータ22により上記動作が順次に行われることにより、サーバ21によるクライアント13のサーチが可能となる。
【0031】
以上により、パケットPには、パケットPが通過したルータ22のIPアドレスが順次に書き込まれる。サーバ21は、パケットPに付与されたルータIPアドレスAr1〜Arnを参照することによりクライアント13をサーチできる。
【0032】
図5に戻って説明を続ける。
【0033】
サーバ13は、ステップS1−9でアクセス元がサーチされると、ステップS1−10で不正にアクセスしたクライアント13のブロックファイル部32へのアクセスを禁止する。ステップS1−9でブロックファイル部32へのアクセスが禁止した後、ステップS1−10で復旧用ファイル部33に記憶された復旧用ファイルによりブロックファイル部32を復旧する。
【0034】
これにより、不正にアクセスしたクライアント13によりブロックファイル部32が破壊されても元の状態に復旧できる。
【0035】
本実施例によれば、不正にアクセスしたクライアント13を確実に特定でき、不正アクセス者に警告を行うことができ、よって、不正アクセスを抑止できる。
【0036】
なお、本実施例では、否認回数により不正アクセスであると判断したが、特定のID及びパスワードが入力されたときに、不正アクセスであると判断するようにしてもよい。
【0037】
図8は本発明の一実施例の通信制御部の接続処理の変形例のフローチャートを示す。同図中、図5と同一処理部分には同一符号を付し、その説明は省略する。
【0038】
なお、本変形例では、認証情報ファイル部31にブロックファイル部32へのアクセスを許可する正当なID及びパスワードの他に不正アクセスを判定するためのID及びパスワードが記憶されている。
【0039】
本変形例では、通信制御部34は、まず、ステップS3−1で設定しておいたダミーのID及びパスワードが入力されると、ステップS1−8でダミーファイル部23へのアクセスを許可し、アクセス元をサーチする。なお、ダミーID、パスワードは、一つに限定されるものではなく、複数設定しておいてもよい。
【0040】
本変形例によれば、正当なアクセス者と同様にブロックファイル部32へのアクセスを行うことができる。よって、不正アクセス者は、アクセスする際の真実味が増し、比較的長時間アクセスを続けるため、不正なアクセス者を確実にサーチできる。
【0041】
また、本実施例では、不正なアクセス者に対してブロックアドレス部32へのアクセスを許可したが、ダミーファイルを設けて、ダミーファイルにアクセスさせるようにしてもよい。
【0042】
図9は本発明の他の実施例のサーバのブロック構成図を示す。同図中、図3と同一構成部分には同一符号を付し、その説明は省略する。
【0043】
本実施例のサーバ41は、復旧用ファイル部33に代えて、ダミーファイル部42を設けた構成とされている。また、通信制御部43は、不正なアクセス先からのアクセスがあったときに、ダミーファイル部42にアクセスを許可するように処理を行うようにされている。
【0044】
ダミーファイル部42には、ダミーデータファイルが記憶されている。ダミーデータファイルは、機密事項に見せかけた膨大なデータファイルである。
【0045】
図10は通信制御部43の処理フローチャートを示す。同図中、図5と同一処理部分には同一符号を付し、その説明は省略する。
【0046】
本実施例では、ステップS1−7でID及びパスワードの否認回数が所定回数に達し、不正アクセス元であると判定されると、ステップS4−9でダミーファイル部42へのアクセスを許可し、不正アクセスを行ったクライアント13がダミーファイル部42にアクセスしている間にアクセス元をサーチする。
【0047】
本実施例によれば、不正なクライアント13は、所定回数、アクセスした後にサーバ11にアクセスされるので、正当なファイルにアクセスできたと勘違いするが、実際は、ダミーデータファイルへのアクセスが許可される。
【0048】
ダミーデータファイルは機密事項に見せかけた膨大なデータファイルとされているので、不正なクライアント13はその内容に興味を持つとともに、比較的長時間アクセスを続ける。このため、不正なクライアント13を確実にサーチでき、警告などを発することができる。このとき、不正なクライアント13はダミーファイル部42にアクセスされるので、サーバ41の正当なデータファイルが参照されることがない。
【0049】
なお、本実施例では、所定回数否認されたときに、ダミーデータファイルへのアクセスを許可するようにしたが、ダミーのID、パスワードを設定しておき、ダミーのID、パスワードが入力されたときにダミーファイル部23にアクセスを許可するようにしてもよい。
【0050】
図11は本発明の他の実施例の通信制御部43の変形例の処理フローチャートを示す。同図中、図8と同一処理部分には同一符号を付し、その説明は省略する。
【0051】
本変形例では、ステップS3−1でクライアント13から特定ID及びパスワードが供給されると、不正アクセスが行われていると判定して、ステップS5−1でダミーファイル部42へのアクセスを許可する。不正アクセスしたクライアント13がダミーファイル部42にアクセスしている間にクライアント13を特定するためのサーチを行う。
【0052】
【発明の効果】
上述の如く、本発明によれば、不正アクセス元にファイルへのアクセスを許可し、不正アクセス元がファイルにアクセスしている間に、不正アクセス元をサーチして、サーチが終了した後に不正アクセス元のファイルへのアクセスを禁止した後、復旧用ファイルによりファイルを復旧させることにより、不正なアクセス元に長時間ファイルをアクセスさせることができるため、確実に不正なアクセス元を確実に特定できる等の特長を有する。
【図面の簡単な説明】
【図1】従来の通信システムの一例のシステム構成図である。
【図2】本発明の一実施例のシステム構成図である。
【図3】本発明の一実施例のサーバのブロック構成図である。
【図4】本発明の一実施例の通信制御部のブロック構成図である。
【図5】本発明の一実施例の通信制御部の接続処理のフローチャートである。
【図6】クライアント13からのパケットのデータ構成図である。
【図7】ルータ22のルーティング処理の処理フローチャートである。
【図8】本発明の一実施例の通信制御部の接続処理の変形例のフローチャートである。
【図9】本発明の他の実施例のサーバのブロック構成図である。
【図10】通信制御部43の処理フローチャートである。
【図11】本発明の他の実施例の通信制御部43の変形例の処理フローチャートである。
【符号の説明】
1、20 システム
11、21 サーバ
12 ネットワーク
13 端末装置
31 ルータ
32 通信制御部
33 ブロックファイル部
34 ダミーファイル部
35 認証情報ファイル部
41 インタフェース部
42 CPU
43 ROM
44 RAM
47 入出力部
Claims (6)
- アクセス元からルータを介して供給された情報に基づいてファイルへのアクセスを許可する情報処理装置であって、
アクセス元の前記ファイルへのアクセスを許可し、前記アクセス元が不正アクセス元であるか否か判定した結果前記アクセス元が不正アクセス元であるときに、前記不正アクセス元が前記ファイルにアクセスしている間に前記ルータで前記情報の中継時に付与された前記ルータのアドレスの履歴を解析することにより前記不正アクセス元をサーチするアクセス制御部と、
前記ファイルを復旧するための復旧用ファイルとを有し、
前記アクセス制御部は、前記サーチ終了後、前記不正アクセス元の前記ファイルへのアクセスを禁止した後、前記復旧用ファイルにより前記ファイルを復旧させるようになっている、
情報処理装置。 - 前記アクセス制御部は、アクセス元からの認証情報が所定回数否認されたときに、該アクセス元を不正アクセス元であると判定することを特徴とする請求項1記載の情報処理装置。
- 前記アクセス制御部は、アクセス元からの認証情報が予め設定されたダミーの認証情報と一致するときに、前記アクセス元を不正アクセス元であると判定することを特徴とする請求項1記載の情報処理装置。
- アクセス元からルータを中継してアクセス先のファイルにアクセスさせるアクセス制御方法であって、
前記ルータに、前記アクセス元からの情報を中継する際に前記ルータのアドレスを付与させ、
前記アクセス先は、前記アクセス元が不正アクセス元か否かを判定し、
前記アクセス元が該不正アクセス元であると判定されたときに、前記不正アクセス元が前記ファイルにアクセスすることを許可し、
前記不正アクセス元が前記ファイルにアクセスしている間に前記アクセス元からの情報に付与された前記ルータのアドレスを解析することにより前記不正アクセス元をサーチし、
前記サーチ終了後、前記不正アクセス元の前記ファイルへのアクセスを禁止した後、復旧用ファイルにより前記ファイルを復旧させる、
ことを特徴とするアクセス制御方法。 - 前記アクセス元からの認証情報が所定回数否認されたときに、該アクセス元を不正アクセス元であると判定することを特徴とする請求項4記載のアクセス制御方法。
- 前記アクセス元からの認証情報が予め設定されたダミーの認証情報と一致するときに、前記アクセス元を不正アクセス元であると判定することを特徴とする請求項4又は5記載のアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001397880A JP3904921B2 (ja) | 2001-12-27 | 2001-12-27 | 情報処理装置及びアクセス制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001397880A JP3904921B2 (ja) | 2001-12-27 | 2001-12-27 | 情報処理装置及びアクセス制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003198625A JP2003198625A (ja) | 2003-07-11 |
| JP3904921B2 true JP3904921B2 (ja) | 2007-04-11 |
Family
ID=27603519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001397880A Expired - Fee Related JP3904921B2 (ja) | 2001-12-27 | 2001-12-27 | 情報処理装置及びアクセス制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3904921B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1913511B1 (en) * | 2005-08-03 | 2011-02-23 | ST-Ericsson SA | A secure terminal, a routine and a method of protecting a secret key |
| KR101544750B1 (ko) | 2013-02-28 | 2015-08-19 | 동국대학교 산학협력단 | 더미 인증키를 이용한 클라우드 시스템의 보안 장치 및 방법 |
| JP5613855B1 (ja) | 2014-04-23 | 2014-10-29 | 株式会社 ディー・エヌ・エー | ユーザ認証システム |
| JP6270673B2 (ja) * | 2014-09-19 | 2018-01-31 | ヤフー株式会社 | 認証装置、認証方法および認証プログラム |
| JP7034870B2 (ja) * | 2018-09-19 | 2022-03-14 | 株式会社東芝 | 認証装置 |
-
2001
- 2001-12-27 JP JP2001397880A patent/JP3904921B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003198625A (ja) | 2003-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100920871B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| JP5704518B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| AU754810B2 (en) | Method and apparatus for protecting file system based on digital signature certificate | |
| US7234157B2 (en) | Remote authentication caching on a trusted client or gateway system | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| US11425166B2 (en) | Identifier-based application security | |
| JP2006085697A (ja) | 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム | |
| CN113347072B (zh) | Vpn资源访问方法、装置、电子设备和介质 | |
| JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
| CN115333840B (zh) | 资源访问方法、系统、设备及存储介质 | |
| US20060190990A1 (en) | Method and system for controlling access to a service provided through a network | |
| CN113364800A (zh) | 资源访问控制方法、装置、电子设备和介质 | |
| US8272039B2 (en) | Pass-through hijack avoidance technique for cascaded authentication | |
| JP3904921B2 (ja) | 情報処理装置及びアクセス制御方法 | |
| CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
| CN111245774A (zh) | 资源请求处理方法、装置和系统 | |
| JP2001067319A (ja) | Wwwサーバを用いた検索システム | |
| US20230179595A1 (en) | Systems and methods for biometric aided network access control | |
| US11533306B2 (en) | Processes and method for safe of use, monitoring and management of device accounts in terminal manner | |
| JP2001125714A (ja) | キーボード装置およびそれを用いたパスワード認証方法 | |
| JP2002149613A (ja) | インターネット上での本人認証方式および装置 | |
| Purohit et al. | Tracing the root of" rootable" processes | |
| JP2006154987A (ja) | 記憶媒体のアクセス制御方式 | |
| KR101364610B1 (ko) | 웹 스토리지 객체를 이용하는 웹 사이트 접속 인증 방법 및 시스템 | |
| KR101066729B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20040220 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040916 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060509 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060710 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061017 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061215 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070109 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070110 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110119 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |