JP4616352B2 - ユーザ確認装置、方法及びプログラム - Google Patents
ユーザ確認装置、方法及びプログラム Download PDFInfo
- Publication number
- JP4616352B2 JP4616352B2 JP2007543641A JP2007543641A JP4616352B2 JP 4616352 B2 JP4616352 B2 JP 4616352B2 JP 2007543641 A JP2007543641 A JP 2007543641A JP 2007543641 A JP2007543641 A JP 2007543641A JP 4616352 B2 JP4616352 B2 JP 4616352B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- address
- access source
- agent information
- user agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 79
- 238000012790 confirmation Methods 0.000 title claims description 51
- 238000000605 extraction Methods 0.000 claims description 25
- 239000000284 extract Substances 0.000 claims description 6
- 238000010200 validation analysis Methods 0.000 claims 1
- 238000012545 processing Methods 0.000 description 50
- 230000008569 process Effects 0.000 description 40
- 230000005540 biological transmission Effects 0.000 description 18
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000004913 activation Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
【0001】
本発明はユーザ確認装置、方法及びプログラムに係り、特に、端末装置を操作しているユーザが正当なユーザか否かを確認するユーザ確認装置、該ユーザ確認装置に適用可能なユーザ確認方法、及び、コンピュータを前記ユーザ確認装置として機能させるためのユーザ確認プログラムに関する。
【背景技術】
【0002】
予め登録したユーザに対してオンラインで所定のサービスを提供するウェブサイトでは、端末装置を介してウェブサイトにアクセスしてきた利用者にユーザID及びパスワードを入力させ、入力されたユーザIDとパスワードの組合わせが登録されているか否かに基づいて、アクセスしてきた利用者が正当なユーザか否かを確認するユーザ確認方法が採用されることが一般的である。しかし、上記のユーザ確認方法は、仮にユーザIDとパスワードが他者へ漏洩してしまった場合に、ユーザIDとパスワードを知った者が正当なユーザになりすまして不正にアクセスすることが可能になってしまうという欠点がある。
【0003】
上記に関連して特許文献1には、ユーザID及びパスワードに加え、電話交換機から通知された発信者の電話番号が登録ユーザが使用する電話回線の電話番号と一致しているか否かも判定することで、ユーザの認証を行う技術が開示されている。
【0004】
また特許文献2には、サービスの利用を許容するIPアドレス(及びリンク元URL)をID・パスワードと共にデータベースに保存しておき、ID・パスワードによる認証に加え、アクセス元IPアドレスがデータベースに登録されているか否か(及び、アクセス信号中にリンク元URLが存在している場合は、当該リンク元URLがデータベースに登録されているか否か)を判断することで、サービスの利用を許容するか否かを判断する技術が開示されている。
【先行技術文献】
【特許文献】
【特許文献1】
特開平2000−209284号公報
【特許文献2】
特開平2001−325229号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1,2に記載の技術は、電話番号やIPアドレスを利用してアクセス元の端末装置が正当な端末装置か否かを判断することで、アクセス元の端末装置を操作しているユーザが正当なユーザか否か(第三者が正当なユーザになりすましていないか否か)を確認している。しかしながら、特許文献1に記載の技術は、電話番号を用いることで端末装置を一意に特定できるという利点を有しているものの、電話交換機を介してネットワークに接続された端末装置以外には適用できないという問題がある。
【0006】
また、特許文献2に記載の技術で用いられているIPアドレスは、グローバルIPアドレスが固定的に付与された端末装置であれば常に一定であるものの、このような端末装置はごく少数であり、殆どの端末装置は、例えばインターネットへのアクセス時に、インターネット・サービス・プロバイダ(Internet service provider:インターネット接続業者、以下単に「プロバイダ」という)が保有している多数のグローバルIPアドレスの中から任意のIPアドレスが自動的に割り当てされるので、アクセスの都度IPアドレスが相違する。このため、特許文献2に記載の技術のように、IPアドレスが一致しているか否かに基づいてユーザの確認や認証を行った場合、正当なユーザによるアクセスを不正アクセスと誤判断したり、正当でないユーザを正当なユーザと誤判断する恐れがある。
【0007】
また、なりすましを防止してセキュリティ性を向上させる技術として、ユーザIDとパスワードに基づくユーザ認証に先立ち、電子証明書を利用して端末装置の認証を行う技術も知られている。この技術を適用すれば、仮にユーザIDとパスワードが他者へ漏洩してしまったとしても、ユーザIDとパスワードを知った者が正規の電子証明書がインストールされた端末装置を操作しない限りは不正を防止できる。但し、この技術を適用するためには、端末装置に電子証明書をインストールするという煩雑な作業を行う必要があり、ユーザの負担が大きいという問題がある。
【0008】
本発明は上記事実を考慮して成されたもので、ユーザの利便性を損なうことなくユーザ確認の精度を向上させることができるユーザ確認装置、ユーザ確認方法及びユーザ確認プログラムを得ることが目的である。
【課題を解決するための手段】
【0009】
端末装置との通信におけるアプリケーション層のプロトコルとしてHTTP(HyperText Transfer Protocol)を適用した場合、端末装置から受信するパケットにはHTTPヘッダが付加されるが、このHTTPヘッダにはユーザエージェント(User-Agent)情報が含まれている。ユーザエージェント情報は、HTTPプロトコル上でフォーマット等が規定されておらず、任意の文字列を設定可能とされている。例えば端末装置がPC(Personal Computer:パーソナル・コンピュータ)等のコンピュータであり、当該コンピュータからパケットを送信するアプリケーションがブラウザ(browser:閲覧ソフト)である場合、ブラウザのデフォルトの設定では、ユーザエージェント情報として、当該コンピュータ上で動作しているOS(オペレーティング・システム:Operating System)のバージョン等を表す情報と、ブラウザのバージョン等を表す情報を含む情報が設定される。また、コンピュータを操作するユーザによっては、ユーザエージェント情報として所望の文字列が送信されるように、ブラウザ等の設定が予め変更される場合もある。
【0010】
デフォルトの設定のブラウザによって設定されるユーザエージェント情報には、OSやブラウザのバージョン以外に、OSやブラウザにパッチがどこまで当たっているかといった情報も含まれているので、デフォルトの設定のブラウザによってユーザエージェント情報が設定される場合、同一のユーザエージェント情報を送信する端末装置は存在するものの、個々の端末装置が送信するユーザエージェント情報の相違度は高い。また、ユーザエージェント情報は、OSやブラウザに新たなパッチが当てられたり、バージョンアップや入れ替えが行われれば内容が変更されるが、OSやブラウザに新たなパッチを当てられたり、OSやブラウザのバージョンアップや入れ替えが行われて内容が変更される頻度は非常に低いので、個々の端末装置から送信されるユーザエージェント情報はおよそ一定とみなすことができる。また、ユーザエージェント情報として所望の文字列が送信されるようにユーザによって予め設定された場合、個々の端末装置が送信するユーザエージェント情報の相違度は更に高くなる。
【0011】
本願発明者は上記事実に着目し、或るユーザが操作する端末装置から以前に受信したパケットのHTTPヘッダに設定されているユーザエージェント情報を記憶しておき、同一と推定されるユーザが操作する端末装置から受信したパケットのHTTPヘッダに設定されているユーザエージェント情報を、記憶しているユーザエージェント情報と照合することで、今回受信したパケットを送信した端末装置が、以前受信したパケットを送信した端末装置と同一か否かを判定することができ、ユーザ確認の精度を向上させることができることに想到して本発明を成すに至った。
【0012】
上記に基づき請求項1記載の発明に係るユーザ確認装置は、インターネット層のプロトコルとしてIPが適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出する抽出手段と、個々のユーザが操作する端末装置より受信したパケットから前記抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させる情報管理手段と、任意の端末装置より受信したパケットから前記抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断する判断手段と、を含み、前記情報管理手段は、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合された結果、前記判断手段により、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を前記ユーザ識別情報と対応付けて前記記憶手段に追加記憶させ、前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断することを特徴としている。
【0013】
請求項1記載の発明は、インターネット層のプロトコルとしてIP(Internet Protocol)が適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出する抽出手段を備えており、情報管理手段は、個々のユーザが操作する端末装置より受信したパケットから抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させる。なお、ユーザ識別情報としては、例えば端末装置を操作する個々のユーザによって入力されたユーザIDや、このユーザIDから一意に定まる他の識別情報を適用することができる。また、ユーザエージェント情報は記憶手段にそのまま記憶させてもよいが、ハッシュ関数を用いる方法等の公知の暗号化方法を適用して暗号化した後に記憶手段に記憶させるようにした方がセキュリティ上好ましい。
【0014】
また、請求項1記載の発明に係る判断手段は、任意の端末装置より受信したパケットから抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断する。
【0015】
前述のように、個々の端末装置から送信されるユーザエージェント情報はおよそ一定とみなすことができる。アプリケーション層のプロトコルとしてHTTPが適用された場合、端末装置より受信したパケットのHTTPヘッダには必ずユーザエージェント情報が設定されているので、ユーザエージェント情報を利用したユーザ(端末装置)の確認は、電話交換機を介してネットワークに接続された端末装置以外には適用できない特許文献1に記載の技術よりも汎用性が高く、アクセスの都度変化する可能性があるIPアドレスのみを用いる技術よりも確認の精度が高く、端末装置に電子証明書をインストールする等の煩雑な作業も不要である。
【0016】
但し、ブラウザ等のアプリケーションのデフォルトの設定では、OSやブラウザに新たなパッチが当てられたり、バージョンアップや入れ替えが行われた場合、ユーザエージェント情報の内容が変更される。また、ユーザエージェント情報として所望の文字列が送信されるようにユーザによって設定された場合にも、ユーザエージェント情報として送信する文字列がユーザによって変更される可能性もある。一方、個々の端末装置に割り当てされるIPアドレスはアクセスの都度相違する可能性があるものの、個々のプロバイダが端末への割り当て用に保有しているIPアドレス(グローバルIPアドレス)は一定の範囲内でかつ個々のプロバイダ毎に相違しており、個々の端末装置は各々一定のプロバイダを経由してアクセスするので、個々の端末装置がアクセスの都度割り当てされるIPアドレスは常に同一ではないものの、例えば上位数ビットは常に一定等のように一致度が高い。
【0017】
上記に基づき請求項1記載の発明では、端末装置より受信したパケットからユーザエージェント情報に加えてアクセス元IPアドレスも抽出し、抽出したアクセス元IPアドレス及びユーザエージェント情報をユーザ識別情報と対応付けて記憶手段に各々記憶させておき、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断するので、今回パケットを受信した端末装置が、同一のユーザによって過去に使用された端末装置か否かに基づいて、今回パケットを受信した端末装置を操作しているユーザが正当なユーザか否かを判断することができ、ユーザの利便性を損なうことなくユーザ確認の精度を向上させることができる。
【0018】
また、請求項1記載の発明では、個々のユーザが各々不定の端末装置からアクセスすることを許容するために、情報管理手段は、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合された結果、判断手段により、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された場合に、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報をユーザ識別情報と対応付けて記憶手段に追加記憶させ、判断手段は、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断している。
【0019】
請求項1記載の発明では、個々のユーザが過去に使用していない新たな端末装置を介してアクセスしてきた場合、判断手段により、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が、記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と判定され、正当なユーザでないと判断されることになるが、この場合、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が、情報管理手段によってユーザ識別情報と対応付けて記憶手段に追加記憶される。そして判断手段は、端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されている場合に、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断するので、上記の新たな端末装置を介しての次回以降のアクセスでは正当なユーザと判断されることになる。
【0020】
このように、請求項1記載の発明では、個々のユーザが、例えば自宅に設置された端末装置や職場に設置された端末装置等の複数の端末装置のうちの所望の端末装置を用いてアクセスすることも可能となる。なお、個々のユーザが各々不定の端末装置からアクセスすることを許容した場合であっても、個々のユーザが使用する端末装置の数は限られていることが殆どであるので、毎回新たな端末装置を介してアクセスが行われることで、正当なユーザでないと毎回判断されることは極めて稀である。
【0021】
なお、請求項1記載の発明において、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された場合、情報管理手段は、パケット送信元の端末装置を操作しているユーザが、判断手段と異なる方法によって正当なユーザであることが確認されたときにのみ、アクセス元IPアドレス及びユーザエージェント情報を記憶手段に追加記憶させるようにしてもよい。
【0022】
また、請求項1記載の発明において、判断手段は、例えば請求項2に記載したように、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されている場合、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が、記憶手段に記憶されている複数組のアクセス元IPアドレス及びユーザエージェント情報のうちの少なくとも1組のアクセス元IPアドレス及びユーザエージェント情報と各々対応していると判定した場合に、任意の端末装置を操作しているユーザが正当なユーザであると判断するように構成することができる。これにより、正当なユーザが複数台の端末装置を選択的に用いてアクセスを行う等の場合にも、正当なユーザを精度良く判断することができる。
【0023】
また、請求項1記載の発明において、判断手段は、例えば請求項3に記載したように、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されている場合、複数組のアクセス元IPアドレス及びユーザエージェント情報の中に、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報と各々対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が存在していなかった場合に、任意の端末装置を操作しているユーザが正当なユーザでないと判断するように構成することができる。これにより、正当なユーザでない第三者がアクセスしてきた場合にも、過去のアクセスと比較してアクセス元IPアドレス及びユーザエージェント情報の少なくとも一方が各々異なることに基づいて正当なユーザでないと判断することができ、正当なユーザでない第三者を精度良く判断することができる。
【0024】
なお、請求項3記載の発明において、パケット送信元の端末装置を操作しているユーザが正当なユーザであっても、例えば多数台の端末装置の中から毎回異なる端末装置を用いてアクセスしている場合や、一定の端末装置を用いてアクセスしているものの、アクセスに用いている端末装置がノート型PC等の携帯型の端末装置であり、毎回異なるホットスポット(HOTSPOT:公衆無線LANを利用可能な場所)を利用してアクセスしている場合等のように、利用環境が特殊である場合には、記憶手段に記憶されている複数組のアクセス元IPアドレス及びユーザエージェント情報の中に、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報と各々対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が存在していないことで、正当なユーザでないと判断されるという不都合が生ずる。
【0025】
上記を考慮すると、請求項3記載の発明において、例えば請求項4に記載したように、情報管理手段は、判断手段によって正当なユーザでないと判断されたユーザが、判断手段によるユーザ確認と異なる確認方法によって正当なユーザであると判断されたことが通知された場合、所定の識別情報をユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させ、判断手段は、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられて記憶手段に所定の識別情報が記憶されており、かつ、複数組のアクセス元IPアドレス及びユーザエージェント情報の中に、受信したパケットから抽出されたアクセス元IPアドレスと対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が複数存在しているか、又は、受信したパケットから抽出されたユーザエージェント情報と対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が複数存在している場合に、任意の端末装置を操作しているユーザが正当なユーザであると判断するように構成することが好ましい。
【0026】
請求項4記載の発明では、判断手段によって正当なユーザでないと判断されたユーザが、判断手段によるユーザ確認と異なる確認方法によって正当なユーザであると判断されたことが通知された場合、当該ユーザの利用環境が特殊であるとみなして、所定の識別情報をユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させる。そして、記憶手段に所定の識別情報が記憶されているユーザについては、複数組のアクセス元IPアドレス及びユーザエージェント情報の中に、受信したパケットから抽出されたアクセス元IPアドレスと対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が複数存在しているか、又は、受信したパケットから抽出されたユーザエージェント情報と対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が複数存在している場合に、任意の端末装置を操作しているユーザが正当なユーザであると判断している。
【0027】
これにより、例えば正当なユーザが多数台の端末装置の中から毎回異なる端末装置を用いてアクセスしている等の場合には、記憶されている複数組のアクセス元IPアドレス及びユーザエージェント情報の中に、受信したパケットから抽出されたアクセス元IPアドレスと対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が複数存在していることに基づいて、正当なユーザであると判断することができる。また、正当なユーザが携帯型の端末装置を用い、毎回異なるホットスポットを利用してアクセスしている等の場合には、記憶されている複数組のアクセス元IPアドレス及びユーザエージェント情報の中に、受信したパケットから抽出されたユーザエージェント情報と対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が複数存在していることに基づいて、正当なユーザであると判断することができる。従って、請求項4記載の発明によれば、ユーザの利用環境が特殊である場合にもユーザ確認を精度良く行うことができる。
【0028】
また、請求項1記載の発明において、例えば請求項5に記載したように、個々のユーザが使用している電子メールアドレスを個々のユーザのユーザ識別情報と対応付けて各々記憶する電子メールアドレス記憶手段と、判断手段により、任意の端末装置を操作しているユーザが正当なユーザでないと判断された場合に、判断手段と異なる方法によって前記ユーザが正当なユーザか否かを確認するための所定のウェブページへのリンクが付加された電子メールを、前記ユーザのユーザ識別情報と対応付けて電子メールアドレス記憶手段に記憶されている電子メールアドレスへ送信する送信手段と、を更に設けることが好ましい。これにより、判断手段によって正当なユーザでないと判断されたユーザが、判断手段と異なる方法によって正当なユーザか否かの確認を受けるための操作が簡単になり、正当なユーザでないと判断されたユーザの負担を軽減することができる。
【0029】
また、請求項1記載の発明において、情報管理手段を、例えば請求項6に記載したように、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合された結果、判断手段により、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報の何れとも対応していないと判定され、かつ、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報の組の数が所定の上限値に達している場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、記憶手段に記憶されている複数組のアクセス元IPアドレス及びユーザエージェント情報のうち、記憶手段へ記憶させた時期が最も古いアクセス元IPアドレス及びユーザエージェント情報の組に上書きして記憶手段に記憶させるように構成してもよい。
【0030】
これにより、個々のユーザについて、アクセス元IPアドレス及びユーザエージェント情報の組が上限値を越えて記憶手段に記憶されることが防止され、記憶手段の記憶容量を節減できると共に、判断手段が、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報と照合するアクセス元IPアドレス及びユーザエージェント情報の組の数も上限値以下になるので、判断手段に多大な負荷が加わることも防止することができる。
【0031】
なお、請求項6記載の発明において、判断手段により、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報の何れとも対応していないと判定され、かつ、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報の組の数が所定の上限値に達している場合、情報管理手段は、パケット送信元の端末装置を操作しているユーザが、判断手段と異なる方法によって正当なユーザであることが確認されたときにのみ、受信したパケットから抽出された新たなアクセス元IPアドレス及びユーザエージェント情報を記憶手段に上書き記憶させるようにしてもよい。
【0032】
一方、請求項6記載の発明において、判断手段により、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報の何れとも対応していないと判定され、かつ、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報の組の数が所定の上限値に達している場合に、情報管理手段が、新たなアクセス元IPアドレス及びユーザエージェント情報を無条件に(前述のように、判断手段と異なる方法によって正当なユーザであることが確認されたか否かに拘わらず)上書き記憶させた場合、新たなアクセス元IPアドレス及びユーザエージェント情報が不正アクセスに対応する情報であったときには、正当なユーザに対応する情報が上書きされて消去される可能性があるが、この場合、正当なユーザからのアクセスで「正当なユーザでない」と判断されることで、不正アクセスがあったことを検知できるという効果が得られる。
【0033】
また、請求項1記載の発明において、情報管理手段は、例えば請求項7に記載したように、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合された結果、判断手段により、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報のうちアクセス元IPアドレス及びユーザエージェント情報の特定の組に対応していると判定された場合に、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報のうちの少なくともユーザエージェント情報を、アクセス元IPアドレス及びユーザエージェント情報の特定の組に上書きして記憶手段に記憶させることが好ましい。
【0034】
前述のように、ユーザエージェント情報は、ブラウザ等のアプリケーションのデフォルトの設定が用いられている場合は、OSやブラウザに新たなパッチが当てられたりバージョンアップや入れ替えが行われた場合に内容が変更され、所望の文字列がユーザエージェント情報として送信されるようにユーザによって設定されている場合は、ユーザエージェント情報として送信する文字列を変更する操作がユーザによって行われると内容が変更されるが、内容が一旦変更された後は当分の間内容は変更されない。このため、上記のように、受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報のうちの少なくともユーザエージェント情報を、対応していると判断されたアクセス元IPアドレス及びユーザエージェント情報の特定の組に上書きして記憶手段に記憶させることで、少なくともユーザエージェント情報については最新の情報が記憶手段に記憶されることになり、以降のユーザ確認の精度を向上させることができる。なお、請求項7記載の発明において、受信したパケットから抽出されたアクセス元IPアドレスについても、ユーザエージェント情報と共に上書きして記憶させるようにしてもよいことは言うまでもない。
【0038】
請求項8記載の発明に係るユーザ確認装置は、インターネット層のプロトコルとしてIPが適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出する抽出手段と、個々のユーザが操作する端末装置より受信したパケットから前記抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させる情報管理手段と、任意の端末装置より受信したパケットから前記抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断する判断手段と、を含み、前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断することを特徴としている。
【0039】
請求項8記載の発明は、端末装置より受信したパケットからユーザエージェント情報及びアクセス元IPアドレスを各々抽出し、抽出したアクセス元IPアドレス及びユーザエージェント情報をユーザ識別情報と対応付けて記憶手段に各々記憶させておき、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断するので、請求項1に記載の発明と同様に、ユーザの利便性を損なうことなくユーザ確認の精度を向上させることができる。
【0040】
また請求項8記載の発明において、判断手段は、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断するので、正当なユーザが複数台の端末装置を選択的に用いてアクセスを行う等の場合にも、正当なユーザを精度良く判断することができる。
【0041】
請求項9記載の発明に係るユーザ確認方法は、抽出手段が、インターネット層のプロトコルとしてIPが適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出し、情報管理手段が、個々のユーザが操作する端末装置より受信したパケットから前記抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させ、判断手段が、任意の端末装置より受信したパケットから前記抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断すると共に、前記情報管理手段が、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合された結果、前記判断手段により、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を前記ユーザ識別情報と対応付けて前記記憶手段に追加記憶させ、前記判断手段が、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断するので、請求項1記載の発明と同様に、ユーザの利便性を損なうことなくユーザ確認の精度を向上させることができる。
【0042】
請求項10記載の発明に係るユーザ確認プログラムは、記憶手段を備えたコンピュータを、インターネット層のプロトコルとしてIPが適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出する抽出手段、個々のユーザが操作する端末装置より受信したパケットから前記抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させる情報管理手段、及び、任意の端末装置より受信したパケットから前記抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断する判断手段として機能させ、前記情報管理手段は、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合された結果、前記判断手段により、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を前記ユーザ識別情報と対応付けて前記記憶手段に追加記憶させ、前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断することを特徴としている。
【0043】
請求項10記載の発明に係るユーザ確認プログラムは、記憶手段を備えたコンピュータを、上記の抽出手段、情報管理手段及び判断手段として機能させるためのプログラムであるので、コンピュータが請求項10記載の発明に係るユーザ確認プログラムを実行することで、前記コンピュータが請求項1に記載のユーザ確認装置として機能することになり、請求項1記載の発明と同様に、ユーザの利便性を損なうことなくユーザ確認の精度を向上させることができる。
【0044】
以上説明したように本発明は、端末装置より受信したパケットからユーザエージェント情報及びアクセス元IPアドレスを抽出し、抽出したアクセス元IPアドレス及びユーザエージェント情報を個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させ、任意の端末装置より受信したパケットから抽出したアクセス元IPアドレス及びユーザエージェント情報を、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断すると共に、受信したパケットから抽出したアクセス元IPアドレス及びユーザエージェント情報が記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していない場合に、受信したパケットから抽出したアクセス元IPアドレス及びユーザエージェント情報をユーザ識別情報と対応付けて記憶手段に追加記憶させ、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断するので、ユーザの利便性を損なうことなくユーザ確認の精度を向上させることができる、という優れた効果を有する。
【0046】
また本発明は、端末装置より受信したパケットからユーザエージェント情報及びアクセス元IPアドレスを抽出し、抽出したアクセス元IPアドレス及びユーザエージェント情報を個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させ、任意の端末装置より受信したパケットから抽出したアクセス元IPアドレス及びユーザエージェント情報を、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断すると共に、任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、任意の端末装置を操作しているユーザが正当なユーザか否かを判断するので、ユーザの利便性を損なうことなくユーザ確認の精度を向上させることができる、という優れた効果を有する。
【図面の簡単な説明】
【0047】
【図1】本実施形態に係るコンピュータ・システムの概略構成を示すブロック図である。
【図2】クライアント端末からサーバへのHTTPデータの送信において、各レイヤでのヘッダの付加及び除去を説明する概念図である。
【図3】アプリケーション・サーバによって行われるユーザ認証処理の内容を示すフローチャートである。
【図4】使用履歴情報の内容を示す概略図である。
【図5】使用履歴情報に基づく認証OK/NGの判定条件を示す図表である。
【図6】再認証要請メールの一例を示すイメージ図である。
【図7】使用履歴テーブル更新処理の内容を示すフローチャートである。
【図8】確認メールの一例を示すイメージ図である。
【発明を実施するための形態】
【0048】
以下、図面を参照して本発明の実施形態の一例を詳細に説明する。図1には本実施形態に係るコンピュータ・システム10が示されている。本実施形態に係るコンピュータ・システム10は、特定金融機関に設置されたウェブサーバ12を含んで構成されている。ウェブサーバ12は、CPU12A、RAM等から成るメモリ12B、ハードディスクドライブ(HDD)12C、ネットワークインタフェース(I/F)部12Dを備えている。HDD12Cには認証情報データベース(DB)及び使用履歴テーブル(何れも詳細は後述)が記憶されており、本発明に係る記憶手段に対応している。また、HDD12CにはCPU12Aが後述するユーザ認証処理を行うためのユーザ認証プログラムがインストールされている。なお、ユーザ認証プログラムは請求項10に記載のユーザ確認プログラムに対応しており、CPU12Aがユーザ認証プログラムを実行することで、ウェブサーバ12は本発明に係るユーザ確認装置として機能する。
【0049】
また、ウェブサーバ12のネットワークI/F部12Dは、多数台のウェブサーバが通信回線を介して相互に接続されて成るコンピュータ・ネットワーク(インターネット)16に直接接続されており、更に特定金融機関内に設置されたイントラネット(LAN)26にも接続されている。イントラネット26には勘定系システム28が接続されている。インターネット16には、各々PC等から成る多数台のクライアント端末18が接続されている。個々のクライアント端末18にはブラウザがインストールされており、本発明に係る端末装置に対応している。なお、個々のクライアント端末18のインターネット16への接続形態は、符号「18A」を付したクライアント端末のように、インターネット16に直接接続される(詳しくは図示しないプロバイダを介して接続される)場合もあれば、符号「18B」を付したクライアント端末のように、企業内に設置されプロクシサーバ22を介してインターネット16に接続される場合もある。
【0050】
次に本実施形態の作用を説明する。本実施形態に係る特定金融機関は、特定金融機関に口座を開設しているユーザがオンラインで金融取引を行うことを可能とするサービスとして、ウェブサーバ12によって運営されるオンライン金融取引用ウェブサイトを利用してユーザからのオンラインでの金融取引の実行指示を受け付けるオンライン金融取引受付サービスを提供している。このオンライン金融取引受付サービスを利用した金融取引では、ユーザがクライアント端末18を介してオンライン金融取引用ウェブサイトのウェブページを閲覧し、該ウェブページ上で必要な情報を入力することで、ユーザが所望している金融取引の実行を指示するための情報(金融取引指示情報)がクライアント端末18からウェブサーバ12へ送信される。そして、この金融取引指示情報がウェブサーバ12からイントラネット26に接続された勘定系システム28等へ転送されることで、金融取引指示情報に基づいてユーザから指示された金融取引が勘定系システム28等によって実行されるようになっている。
【0051】
オンライン金融取引受付サービスを利用するユーザは、事前に前記サービスの利用を特定金融機関へ申請する。特定金融機関は、ユーザから前記サービスの利用が申請される毎に前記ユーザへユーザID(本発明に係るユーザ識別情報に相当)を付与し、付与したユーザIDを、ユーザが設定したパスワード(本発明に係る認証情報に相当)及びユーザから通知された電子メールアドレス(ユーザが使用している電子メールアドレス)と共に、ウェブサーバ12のHDD12Cに記憶されている認証情報DBに登録する。このように、HDD12Cは請求項5に記載の電子メールアドレス記憶手段に対応している。
【0052】
次に、ユーザがクライアント端末18を介してオンライン金融取引用ウェブサイトへのアクセスを指示した際に、クライアント端末18からウェブサーバ12へ送信されるパケットについて説明する。なお、インターネット16経由でのクライアント端末18とウェブサーバ12との間の通信では、インターネット層のプロトコルとしてIPが適用され、トランスポート層のプロトコルとしてTCP(Transmission Control Protocol)が適用され、アプリケーション層のプロトコルとしてHTTPが適用される。オンライン金融取引用ウェブサイトへのアクセスの指示は、クライアント端末18上でブラウザが起動されている状態で、ユーザがクライアント端末18の入力装置を操作してオンライン金融取引用ウェブサイトのURL(Uniform Resource Locator)を指定する等の操作を行うことによって為される。
【0053】
オンライン金融取引用ウェブサイトへのアクセスが指示されると、アプリケーション層に対応する処理を行うアプリケーション・プログラムであるブラウザは、指定されたURLに対応するウェブページの配信をウェブサーバ12に要求するために必要な情報を設定したHTTPデータを生成すると共に、当該HTTPデータの先頭に、アプリケーション層に対応する情報を設定したHTTPヘッダを付加する(図2参照)。なお、クライアント端末18からウェブサーバ12へ後述する認証要求パケットが送信される場合、HTTPデータには、ユーザがクライアント端末18を介して入力したユーザIDやパスワードを含む情報が設定される。また、HTTPヘッダに設定される情報にはユーザエージェント情報が含まれており、ブラウザのデフォルトの設定では、このユーザエージェント情報として、クライアント端末18上で動作しているOSやブラウザ自身のバージョン、パッチがどこまで当たっているか等を表す情報が設定される。また、ユーザエージェント情報として任意の文字列を固定的に設定するようにブラウザの設定を変更することも可能であり、このような設定変更が行われていた場合、事前に指定された文字列がユーザエージェント情報として設定される。
【0054】
また、クライアント端末18上では、トランスポート層、インターネット層及びネットワークインタフェース層の各レイヤに対応する処理を行う処理モジュールも各々動作しており、図2に示すように、ブラウザによって生成された情報(HTTPヘッダを付加したHTTPデータ)は上位レイヤの処理モジュールから下位レイヤの処理モジュールへ順に引き渡され、各レイヤの処理モジュールは各レイヤに対応する処理を行うと共に、引き渡された情報の先頭に、各レイヤに対応する情報を設定したヘッダを付加する処理を順次行う。これにより、クライアント端末18からは、ネットワークインタフェース層に対応するネットワークヘッダ、インターネット層に対応するIPヘッダ、トランスポート層に対応するTCPヘッダ及びアプリケーション層に対応するHTTPヘッダが各々付加されたHTTPデータがウェブサーバ12へパケットとして送信される。
【0055】
なお、IPヘッダには、インターネット層に対応する処理モジュールにより、インターネット層に対応する情報としてパケットの宛先を示す宛先IPアドレスや送信元IPアドレス(クライアント端末18に付与されたIPアドレス)等の情報が設定され、TCPヘッダには、トランスポート層に対応する処理モジュールにより、トランスポート層に対応する情報としてTCPポート番号等の情報が設定される。
【0056】
また、ウェブサーバ12上でも各レイヤの処理モジュールが各々動作しており、クライアント端末18からのパケットは下位レイヤの処理モジュールから上位レイヤの処理モジュールへ順に引き渡され、各レイヤの処理モジュールは、引き渡されたパケットの先頭に付加されている各レイヤに対応するヘッダを参照し、当該ヘッダに設定されている情報に基づいて各レイヤに対応する処理を行った後に前記ヘッダを除去する処理を順次行う。これにより、ウェブサーバ12上で動作するアプリケーション層の処理モジュール(この処理モジュールには、後述するユーザ認証処理を行う処理モジュールも含まれる)には、先頭にHTTPヘッダのみが付加されたHTTPデータが引き渡される。
【0057】
なお、後述するユーザ認証処理では、ウェブサーバ12がクライアント端末18から受信したパケットのIPヘッダに設定されている送信元IPアドレス(アクセス元IPアドレス)を用いて処理を行うが、ユーザ認証処理を行う処理モジュールがパケットを受け取る時点では既にIPヘッダが除去されているので、そのままでは送信元IPアドレスを検知できない。このため、ウェブサーバ12上で動作するインターネット層の処理モジュールは、クライアント端末18から受信したパケットのIPヘッダに設定されている送信元IPアドレスをHTTPデータに付加する等の処理を行うことで、アプリケーション層の処理モジュール(ユーザ認証処理を行う処理モジュール)へ送信元IPアドレスを伝達する。
【0058】
ウェブサーバ12では、インターネット16経由でクライアント端末18から何らかのパケットを受信した場合、ウェブサーバ12上で動作する所定の処理モジュール(この処理モジュールもアプリケーション層に対応する処理モジュールである)により、HTTPデータに所定の情報が設定されているか否か等に基づいて、クライアント端末18から受信したパケットが認証要求パケットか否かが判定される。
【0059】
オンライン金融取引用ウェブサイトは、リンクによって互いに関連付けられた多数のウェブページの集合体であり、上記ウェブサイトのホームページからリンクを辿っていくことで、ユーザが実行を所望している金融取引の条件を指定して実行を指示することが可能な金融取引実行指示ページが表示されるが、オンライン金融取引用ウェブサイトのホームページには、ユーザIDやパスワードを入力するための入力欄が設けられており、ユーザに対してログイン操作(ユーザIDやパスワードの入力)を促すメッセージも表示されている。そして、ユーザがホームページの対応する入力欄にユーザID及びパスワードを入力して送信を指示すると、ユーザが操作しているクライアント端末18からHTTPデータに所定の情報が設定された認証要求パケットが送信される。
【0060】
所定の処理モジュールは、クライアント端末18から受信したパケットが認証要求パケットでないと判定した場合、受信したパケットに応じた処理、例えばオンライン金融取引用ウェブサイトのホームページのデータを要求元のクライアント端末18へ配信するためのHTTPデータを生成し、生成したHTTPデータにHTTPヘッダを付加する等の処理を行う。このHTTPデータ及びHTTPヘッダは、図2に示すプロセスと逆のプロセスを経てクライアント端末18へパケットとして送信される。これにより、クライアント端末18のディスプレイには、クライアント端末18を介してユーザが配信を要求したウェブページが表示される。
【0061】
一方、クライアント端末18から受信したパケットが認証要求パケットであると判定した場合、所定の処理モジュールはユーザ認証処理を行う処理モジュールを起動する。これにより、CPU12Aによってユーザ認証プログラムが実行され、図3に示すユーザ認証処理が行われる。
【0062】
このユーザ認証処理では、まずステップ30において、受信した認証要求パケットのHTTPデータからユーザID及びパスワードを抽出し、次のステップ32において、ステップ30で抽出したユーザIDとパスワードの組合わせが認証情報DBに登録されているか否を検索する認証処理を行う。ステップ34では、ステップ32の検索によってユーザIDとパスワードの組合わせが認証情報DBから抽出されたか否かに基づいて、ステップ32の認証処理で認証に成功したか否か判定する。判定が否定された場合はステップ74へ移行し、起動元の所定の処理モジュールへ認証失敗を通知してユーザ認証処理を終了する。この場合、所定の処理モジュールにより、認証要求パケット送信元のクライアント端末18のディスプレイに、入力されたユーザID又はパスワードが誤っている旨を通知するメッセージを表示させる等のエラー処理が行われる。
【0063】
一方、ステップ32の認証処理で認証に成功した場合には、ステップ34の判定が肯定されてステップ36へ移行し、受信した認証要求パケットのHTTPデータからアクセス元IPアドレス(送信元IPアドレス)を抽出すると共に、認証要求パケットのHTTPヘッダからユーザエージェント情報を抽出する。なお、このステップ36は本発明に係る抽出手段に対応している。また、次のステップ38では、HDD12Cに記憶されている使用履歴テーブルから、先のステップ30で抽出されたユーザIDに対応する使用履歴情報を抽出し、抽出した使用履歴情報をメモリ12Bに記憶させる。
【0064】
本実施形態に係る使用履歴テーブルは、オンライン金融取引受付サービスの利用を事前に申請しユーザIDが付与されている個々のユーザ(正当なユーザ)について、図4に示すような使用履歴情報を記憶するための領域が各々設けられて構成されており、個々のユーザに対応する使用履歴情報記憶領域には、顧客ID、取引停止フラグ、特殊環境フラグ、照合判定用閾値、インデックスの各情報を設定/登録するための領域が設けられ、更にアクセス元IPアドレス及びユーザエージェント情報を2組登録可能な領域が設けられている。
【0065】
顧客ID領域には顧客マスタに登録されている口座番号からハッシュ関数を用いて生成された顧客IDが事前に登録される。また、取引停止フラグは通常ルートでの認証(アクセス元IPアドレス及びユーザエージェント情報に基づく認証)を停止するか否かを表すフラグであり、取引停止フラグ領域には当初、取引停止フラグの初期値である0(通常ルートでの認証有効を意味する)が設定される。また、特殊環境フラグはユーザの利用環境が特殊か否かを表すフラグであり、特殊環境フラグ領域には当初、特殊環境フラグの初期値である0(通常環境を意味する)が設定される。またインデックスidは、使用履歴情報として登録された2組のアクセス元IPアドレス及びユーザエージェント情報(IP0,UA0及びIP1,UA1)のうちの何れが最新かを表す情報であり、インデックス領域には当初、初期値0(IP0,UA0が最新であることを表す)が設定される。また、個々のアクセス元IPアドレス領域及びユーザエージェント情報領域には初期値として空白(情報無し)が各々設定される。
【0066】
前述のステップ38では、先のステップ30で抽出されたユーザIDをキーに顧客マスタ(図示省略)を検索することで、前記ユーザIDが付与されたユーザが保有している口座の口座番号を抽出し、抽出した口座番号からハッシュ関数を用いて顧客IDを求め、求めた顧客IDをキーにして使用履歴テーブルを検索することで、ユーザIDに対応する使用履歴情報を抽出する。次のステップ40では、抽出した使用履歴情報のうちの取引停止フラグが1か否か判定する。判定が否定された場合はステップ42へ移行し、抽出した使用履歴情報にアクセス元IPアドレス及びユーザエージェント情報が1組以上登録されているか否か判定する。
【0067】
前述のように、使用履歴情報領域のうちのアクセス元IPアドレス領域及びユーザエージェント情報領域には初期値として空白が設定されるが、オンライン金融取引受付サービスの利用を申請したユーザによって、オンライン金融取引用ウェブサイトへのアクセスが1回以上行われると、ステップ36で認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が使用履歴情報として登録される(詳細は後述)。使用履歴情報としてアクセス元IPアドレス及びユーザエージェント情報が既に登録されている場合はステップ42の判定が肯定されてステップ44へ移行し、ステップ36で認証要求パケットから抽出したアクセス元IPアドレス及びユーザエージェント情報を、使用履歴情報として登録されているアクセス元IPアドレス及びユーザエージェント情報と照合する。
【0068】
なお、IPアドレスの照合は以下のようにして行われる。すなわち、IPアドレスは4バイトのデータであるが、本実施形態では、アクセス元IPアドレス領域へのアクセス元IPアドレスの登録に際し、1バイト毎にハッシュ関数を用いてハッシュ値が演算され、4個のハッシュ値がアクセス元IPアドレスとして登録される。このため、ステップ36で抽出したアクセス元IPアドレスについても1バイト毎にハッシュ値を演算し、得られた4個のハッシュ値をアクセス元IPアドレス領域に登録されている4個のハッシュ値と比較し、ハッシュ値単位での一致率を求める。そして、求めた一致率を使用履歴情報として設定されている照合判定用閾値と比較し、一致率が閾値以上の場合は、今回のアクセス元IPアドレスが登録されているIPアドレスと「対応している」と判定し、一致率が閾値未満の場合は、今回のアクセス元IPアドレスが登録されているIPアドレスと「対応していない」と判定する。
【0069】
図1に示すクライアント端末18Aのように、インターネット16に直接接続される形態において、クライアント端末18AのIPアドレス(グローバルIPアドレス)は、プロバイダとの契約により予め固定されている場合と、インターネット16へ接続する度にプロバイダによって不定のIPアドレス(プロバイダが割り当て用に事前に確保している一定範囲内のIPアドレスのうちの何れか)が割り当てされる場合がある。また、図1に示すクライアント端末18Bのように、企業内に設置されプロクシサーバ22を介してインターネット16に接続される接続形態において、例えば前記企業が独自ドメインを取得し、割り当て用に一定範囲内のIPアドレスを事前に確保している場合、クライアント端末18Bから送信されたパケットは、IPヘッダに設定されている送信元IPアドレスが、プロクシサーバ22によって割り当て用に前記企業が事前に確保している一定範囲内のIPアドレスのうちの何れかのIPアドレスで上書きされた後にインターネット16へ送出される。
【0070】
従って、割り当てされるIPアドレスが不定のクライアント端末18であっても、割り当てされるIPアドレスは一定の範囲内に収まっている(上位数バイトは同一である)ので、上記のようにIPアドレスの一致率が閾値以上か否かに基づいて、IPアドレスが対応しているか否かを判定することで、オンライン金融取引用ウェブサイトが以前にアクセスされた際と同一のアクセス元(インターネット16上でのクライアント端末18の所在)からオンライン金融取引用ウェブサイトがアクセスされた場合に、IPアドレスが対応していると判定することができる。
【0071】
なお、ユーザエージェント情報については、今回のユーザエージェント情報が登録されているユーザエージェント情報と同一であれば「対応している」と判定し、今回のユーザエージェント情報が登録されているユーザエージェント情報と同一でなければ「対応していない」と判定する。また、使用履歴情報としてアクセス元IPアドレス及びユーザエージェント情報が2組登録されている場合には、認証要求パケットから抽出したアクセス元IPアドレス及びユーザエージェント情報を、登録されている2組のアクセス元IPアドレス及びユーザエージェント情報と各々照合する。
【0072】
次のステップ46では、ステップ44におけるアクセス元IPアドレス及びユーザエージェント情報の照合結果に基づいて、認証要求パケット送信元のクライアント端末18を操作しているユーザに対する認証が「成功」「条件付き成功」「失敗」の何れかに該当するかを判定し、判定結果に応じて分岐する。上記判定は図5に示す判定表に従って行われる。なお、図5における「○」はステップ44の照合で「対応している」と判定された場合に、「×」は「対応していない」と判定された場合に各々対応している。また、図5における「最新」のアクセス元IPアドレス及びユーザエージェント情報は、使用履歴情報として登録されている2組のアクセス元IPアドレス及びユーザエージェント情報のうち、使用履歴情報のインデックスidが指し示しているアクセス元IPアドレス及びユーザエージェント情報を表し、「以前」のアクセス元IPアドレス及びユーザエージェント情報は、他方のアクセス元IPアドレス及びユーザエージェント情報を表している。また、使用履歴情報として1組のアクセス元IPアドレス及びユーザエージェント情報(「最新」の情報)のみが登録されている場合には、「以前」のアクセス元IPアドレス及びユーザエージェント情報との照合結果が何れも「対応していない」と判定されたものとしてステップ46の判定が行われる。なお、上記のステップ44,46は、後述するステップ64と共に本発明に係る判断手段(詳しくは請求項1〜4,8に記載の判断手段)に対応している。
【0073】
先のステップ44における照合結果が、「認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が、使用履歴情報として登録されている2組のアクセス元IPアドレス及びユーザエージェント情報のうち、少なくとも1組のアクセス元IPアドレス及びユーザエージェント情報と各々対応している」という条件(便宜上、第1の条件と称する)を満たす結果であった場合、今回のアクセスは、同一のユーザが過去にオンライン金融取引用ウェブサイトをアクセスした際と、アクセス元が同一でかつクライアント端末18も同一とみなすことができるので、認証要求パケット送信元のクライアント端末18を操作しているユーザも正当なユーザである可能性が極めて高い。このため、ステップ46では上記場合に、図5に「認証OK」と表記して示すように認証が「成功」と判定する。
【0074】
一方、先のステップ44における照合結果が、「使用履歴情報として登録されているアクセス元IPアドレス及びユーザエージェント情報の組の中に、認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報と各々対応していると判定された組が存在していない」という条件(便宜上、第2の条件と称する)を満たす結果であった場合、今回のアクセスは、同一のユーザが過去にオンライン金融取引用ウェブサイトをアクセスした際と、アクセス元及びクライアント端末18の少なくとも一方が各々相違しているので、認証要求パケット送信元のクライアント端末18を操作しているユーザは正当なユーザでない可能性が高い。
【0075】
但し、多数のユーザの中には、例えばオンライン金融取引用ウェブサイトのアクセスに利用可能なクライアント端末18を多数台保有しており、多数台のクライアント端末18の中から不定のクライアント端末18を介してオンライン金融取引用ウェブサイトにアクセスしたり(この場合、各回のアクセスでユーザエージェント情報が互いに相違する可能性が高い)、ノート型PC等の携帯型のクライアント端末18を用い、毎回異なるホットスポットを利用してオンライン金融取引用ウェブサイトへアクセスする(この場合、各回のアクセスでアクセス元IPアドレスが大きく相違する可能性が高い)等のように、利用環境が特殊なユーザが存在している可能性があり、この種の利用環境が特殊なユーザも上記第2の条件に該当する。
【0076】
このため、ステップ46では、ステップ44における照合結果が「使用履歴情報として登録されている2組のアクセス元IPアドレス及びユーザエージェント情報の両方が、認証要求パケットから抽出されたアクセス元IPアドレスと対応していると判定されるか、又は、認証要求パケットから抽出されたユーザエージェント情報と対応していると判定された」という条件(便宜上、第3の条件と称する)を満たす結果であった場合に、図5に「条件付き認証OK」と表記して示すように、認証を「条件付き成功」と判定し、ステップ44における照合結果が前述の第2の条件を満たしかつ上記の第3の条件を満たさない場合に、図5に「認証NG」と表記して示すように、認証を「失敗」と判定する。
【0077】
ステップ46で認証「成功」と判定された場合はステップ48へ移行し、使用履歴情報の特殊環境フラグが1か否か判定する。判定が否定された場合はステップ52へ移行し、起動元の所定の処理モジュールへ認証成功を通知する。この場合、所定の処理モジュールにより、正当なユーザであることが確認されたユーザに対してのみ配信する所定のウェブページを、認証要求パケット送信元のクライアント端末18へ配信する等の処理が行われる。次のステップ54では、認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が、使用履歴情報として登録されているアクセス元IPアドレス及びユーザエージェント情報のうち、インデックスidが指し示している「最新」のアクセス元IPアドレス及びユーザエージェント情報に各々対応していると判定されたか否か判定する。
【0078】
判定が肯定された場合はステップ60へ移行し、認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、使用履歴情報として登録されている「最新」のアクセス元IPアドレス及びユーザエージェント情報に上書きして登録し、ステップ62へ移行する。また、ステップ54の判定が否定された場合はステップ56へ移行し、認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、使用履歴情報として登録されている「以前」のアクセス元IPアドレス及びユーザエージェント情報(インデックスidが指し示していないアクセス元IPアドレス及びユーザエージェント情報)に上書きして登録する(なお、上書きされるアクセス元IPアドレス及びユーザエージェント情報が「空白」の場合、ステップ56における上書き登録は請求項1に記載の「追加記憶」に相当する)。また、次のステップ58ではインデックスidのビットを反転させることで、ステップ56で上書きして登録したアクセス元IPアドレス及びユーザエージェント情報を「最新」へ変更する。
【0079】
そしてステップ62では、メモリ12B上に記憶している使用履歴情報を使用履歴テーブルに書き戻すことで、使用履歴テーブル上の使用履歴情報を更新し、ユーザ認証処理を終了する。なお、上記のステップ60,56のように、認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、使用履歴情報として登録されているアクセス元IPアドレス及びユーザエージェント情報に上書きして登録することで、同一ユーザについて再度ユーザ認証処理が行われた際の、ステップ44の照合及びステップ46の判定の精度を向上させることができる。なお、上述したステップ54〜ステップ62は本発明に係る情報管理手段(詳しくは請求項7に記載の情報管理手段)に対応している。
【0080】
一方、先のステップ46で認証が「失敗」と判定された場合はステップ68へ移行し、使用履歴情報のうちの取引停止フラグに1を設定する。また、ステップ46で認証が「失敗」と判定された場合にも、認証要求パケット送信元のクライアント端末18を操作しているユーザが正当なユーザである可能性があり、これを考慮して次のステップ70では、ステップ32で抽出したユーザIDと対応付けて認証情報DBに記憶されている電子メールアドレスを読み出し、読み出した電子メールアドレスへ再認証要請メールを送信する。例として図6に示すように、この再認証要請メールには、認証要求パケット送信元のクライアント端末18を操作しているユーザを、通常ルートと異なる認証方法によって正当なユーザか否かを確認するための再認証専用のウェブページへのリンク100が付加されている。なお、ステップ70は請求項5に記載の送信手段に対応している。
【0081】
次のステップ72では起動元の所定の処理モジュールへ認証失敗を通知し、ステップ54へ移行する。これにより、前述のように、認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報の使用履歴情報への上書き登録・使用履歴テーブルへの使用履歴情報の書き戻しが行われてユーザ認証処理を終了する。
【0082】
上記のように、ステップ46で認証が「失敗」と判定されると取引停止フラグに1が設定されるので、同一ユーザに対してユーザ認証処理が再度実行された場合、ステップ40の判定が肯定されてステップ70へ移行することで、通常ルートでの認証(アクセス元IPアドレス及びユーザエージェント情報に基づく認証)は行われず、再認証要請メールが再度送信され(ステップ68)、起動元の所定の処理モジュールへ認証失敗が再度通知される(ステップ72)。従って、ステップ46で認証が「失敗」と判定された前回のユーザ認証処理が、ユーザID及びパスワードを不正に取得した第三者による不正アクセスによって実行されていた場合、その後、正当なユーザがオンライン金融取引用ウェブサイトにアクセスして認証を受けようとしても認証が「失敗」となってしまうことになるが、その代わりに不正アクセスがあったことを検知することができる。
【0083】
また、認証要求パケット送信元のクライアント端末18を操作しているユーザが正当なユーザであるにも拘わらず、前述のようにステップ46で認証が「失敗」と判定された場合、当該ユーザは先のステップ70で送信された再認証要請メールを受信し、受信した再認証要請メールに付加されているリンク100から再認証専用のウェブページにアクセスする操作を行い、クライアント端末18のディスプレイに表示された再認証専用のウェブページを介して所定の再認証手続きを受ける。この再認証手続きで正当なユーザであることが確認された場合、ユーザ認証処理を行う処理モジュールへ再認証成功が通知される。なお、再認証専用のウェブページにアクセスするためには、再認証要請メールを受信できる環境を有している必要があり、再認証専用のウェブページにアクセスして再認証手続きを受ける人は、その時点で正当なユーザである可能性が非常に高いとみなすことができるので、再認証手続きを比較的簡素な手続きとすることでユーザの負担を軽減することが可能である。
【0084】
一方、ユーザ認証処理を行う処理モジュールは、再認証成功が通知されると、図7に示す使用履歴テーブル更新処理を行う。すなわち、上記の再認証通知には、再認証手続きによって正当なユーザであることが確認されたユーザのユーザIDが情報として付加されており、まずステップ80では、正当なユーザであることが確認されたユーザのユーザIDを抽出・取得する。次のステップ82では、ステップ80で取得したユーザIDに対応する使用履歴情報を使用履歴テーブルから抽出し、抽出した使用履歴情報をメモリ12Bに記憶させる。またステップ84では、抽出した使用履歴情報のうち、取引停止フラグを0に戻すと共に、特殊環境フラグに1を設定する。そして、次のステップ86で使用履歴情報を使用履歴テーブルへ書き戻し、使用履歴テーブル更新処理を終了する。上記のように取引停止フラグを0に戻すことで、同一ユーザに対してユーザ認証処理が再度実行された場合に、ステップ40の判定が否定されることで通常ルートでの認証が再開されることになる。なお、ステップ84は請求項4に記載の情報管理手段に対応している。
【0085】
また、先のステップ46で認証が「条件付き成功」と判定された場合はステップ64へ移行し、使用履歴情報のうちの特殊環境フラグが1か否か設定する。認証が「条件付き成功」の場合、先に説明したように、認証要求パケット送信元のクライアント端末18を操作しているユーザは利用環境が特殊なユーザである可能性が高いが、第三者による不正アクセスである可能性も否定できない。このため、本実施形態における「条件付き成功」は、前述の再認証手続きで認証に成功していることを認証成功の条件としており、ステップ64の判定が否定された場合、すなわち再認証成功が通知されていない場合にはステップ68へ移行し、前述の再認証要請メールの送信等の処理を行う。
【0086】
また、ステップ64の判定が肯定された場合、すなわち再認証成功が通知されて使用履歴テーブル更新処理(図7)を行っている場合にはステップ66へ移行し、ステップ32で抽出したユーザIDと対応付けて認証情報DBに記憶されている電子メールアドレスを読み出し、読み出した電子メールアドレスへ例として図8に示すような確認メールを送信する。この確認メールには日時等が記載されており、今回のアクセスが万一不正アクセスであった場合にも、正当なユーザが上記の確認メールを受信・参照することで、不正アクセスがあったことを検知することができる。ステップ66の処理を行うとステップ52へ移行し、起動元の所定の処理モジュールへ認証成功を通知した後に、ステップ54以降で認証要求パケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報の使用履歴情報への上書き登録・使用履歴テーブルへの使用履歴情報の書き戻しを行ってユーザ認証処理を終了する。これにより、使用環境が特殊なユーザであっても、正当なユーザと判定することができる。
【0087】
なお、特殊環境フラグに1が設定されていると、ステップ46の判定で前述の第3の条件を満足すると認証が「成功」と判定されるので、セキュリティ性が若干低下するという欠点がある。このため、ステップ46の判定で第1の条件を満足して認証が「成功」と判定された場合、ステップ48で特殊環境フラグに1が設定されているか否かを判定しており、判定が肯定された場合はステップ50で特殊環境フラグを0に戻した後にステップ52へ移行する。これにより、上記の欠点を解消することができる。
【0088】
最後に、オンライン金融取引受付サービスの利用を申請したユーザが、オンライン金融取引用ウェブサイトへ最初にアクセスした場合について説明する。この場合、使用履歴情報にアクセス元IPアドレス及びユーザエージェント情報が登録されておらず、この状態では通常ルートでの認証が困難であるので、ステップ42の判定が否定されてステップ68へ移行し、前述のように取引停止フラグに1を設定すると共に、再認証要請メールの送信等の処理を行うことで、再認証専用のウェブページを介して所定の再認証手続きを受けさせる。この場合も、ステップ60で使用履歴情報にアクセス元IPアドレス及びユーザエージェント情報が登録されると共に、再認証が成功すれば取引停止フラグが0に戻されるので、次回以降のアクセスでは通常ルートでの認証が行われることになる。
【0089】
なお、上記では個々のユーザについてアクセス元IPアドレス及びユーザエージェント情報を最大2組登録する場合を説明したが、これに限定されるものではなく、アクセス元IPアドレス及びユーザエージェント情報の組の登録数の上限値を3以上としてもよい。この場合、既に登録されているアクセス元IPアドレス及びユーザエージェント情報の組の中に、認証要求パケットから抽出された新たなアクセス元IPアドレス及びユーザエージェント情報と各々対応していると判定された組が存在していなければ、アクセス元IPアドレス及びユーザエージェント情報の組の登録数が上限値に達する迄の間は、新たなアクセス元IPアドレス及びユーザエージェント情報の組を追加登録し、アクセス元IPアドレス及びユーザエージェント情報の登録数が上限値に達した以降は、新たなアクセス元IPアドレス及びユーザエージェント情報の組を、登録した時期が最も古いアクセス元IPアドレス及びユーザエージェント情報の組に上書きして登録するようにすればよい。上記事項は請求項6記載の発明に対応している。
【0090】
また、アクセス元IPアドレス及びユーザエージェント情報の組の登録数に上限を設けなくてもよい。例えば多数台のクライアント端末18又は多数種のアクセス元(例えば多数箇所のホットスポット)を選択的に用いてアクセスを行う等の特殊な利用環境を考慮し、アクセス元IPアドレス及びユーザエージェント情報の組を上限を設けずに登録する(既に登録されているアクセス元IPアドレス及びユーザエージェント情報の組の中に、認証要求パケットから抽出された新たなアクセス元IPアドレス及びユーザエージェント情報と各々対応していると判定された組があれば、新たなアクセス元IPアドレス及びユーザエージェント情報を前記対応していると判定された組に上書きして登録し、それ以外の場合は新たなアクセス元IPアドレス及びユーザエージェント情報を追加登録する)と共に、登録してからの経過期間の長さが閾値を越えるか、又は、新たなアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された回数が閾値を越えたアクセス元IPアドレス及びユーザエージェント情報の組を削除するようにしてもよい。この態様では、使用履歴情報が肥大化する可能性があるという欠点がある一方、利用環境が特殊なユーザであってもステップ46で認証が「成功」と判定することができるので、認証の「条件付き成功」を設ける必要がなくなり、セキュリティ性を更に向上させることができる。
【0091】
また、上記では本発明に係る端末装置として、PC等から成るクライアント端末18を例に説明したが、これに限定されるものではなく、インターネットにアクセスする機能を備えたPDAや携帯電話機等の携帯端末であってもよい。この種の携帯端末は無線通信網に設けられたゲートウェイサーバを介してインターネットに接続されるが、詳しくは、任意のウェブサイトにアクセスするために携帯端末から送信された情報はゲートウェイサーバで一旦受信され、インターネット16経由での通信に適用されるプロトコル(インターネット層のプロトコル:IP、トランスポート層のプロトコル:TCP、アプリケーション層のプロトコル:HTTP)に準拠したパケットへ変換されると共に、無線通信事業者が割り当て用に事前に確保している一定範囲内のIPアドレスのうちの何れかのIPアドレスがIPヘッダに送信元IPアドレスとして設定され、無線通信事業者名や携帯端末の機種、型番、ブラウザのバージョン等を含む情報がユーザエージェント情報としてHTTPヘッダに設定された後にインターネット16へ送出される。なお、無線通信事業者との契約形態によっては、ゲートウェイサーバと特定のウェブサーバとの間が専用線で接続され、特定のウェブサーバ宛のパケットがインターネットを経由せずに専用線経由でゲートウェイサーバから送信される場合もあるが、このような通信形態でもパケットには上記と同様に送信元IPアドレスやユーザエージェント情報が設定される。そして、割り当て用に確保しているIPアドレスの範囲は個々の無線通信事業者毎に相違している。従って、端末装置が携帯端末であったとしても、本発明を適用して携帯端末を操作しているユーザが正当なユーザか否かを確認することは可能である。
【0092】
更に、上記ではオンライン金融取引受付サービスを提供するオンライン金融取引用ウェブサイトにおけるユーザ認証に本発明を適用した態様を説明したが、これに限定されるものではなく、任意のサイトにおけるユーザ認証やユーザ確認に適用可能である。また、上記では、本発明を適用したユーザ認証を、ユーザID及びパスワードを用いたユーザ認証と併用していたが、電子メールアドレス等の簡単なユーザ識別情報を事前に登録したユーザから請求がある毎に、一定の情報を配信する情報発信型サービスを提供するウェブサイトであれば、高精度なユーザ確認(認証)は不要であるので、パスワードに基づくユーザ認証を省略し、ユーザによって入力された電子メールアドレス等のユーザ識別情報に基づいて、本発明を適用したユーザ確認(認証)のみを行うようにしてもよい。
【0093】
また、上記ではアクセス元IPアドレスとユーザエージェント情報を各々用いてユーザ確認(認証)を行う態様を説明したが、これに限定されるものではなく、例えば個々のユーザに対して電子証明書をインストールしたクライアント端末からのアクセスのみを許可しているウェブサイトのように、個々のユーザに対して一定の端末装置からのアクセスのみを許可している場合には、ユーザエージェント情報のみをユーザ識別情報と対応付けて記憶し、ユーザエージェント情報が登録されているユーザエージェント情報と一致しているか否かに基づいてユーザ確認(認証)を行うようにしてもよい。
【符号の説明】
【0094】
10 コンピュータ・システム
12 ウェブサーバ
12C HDD
16 インターネット
18 クライアント端末
Claims (10)
- インターネット層のプロトコルとしてIPが適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出する抽出手段と、
個々のユーザが操作する端末装置より受信したパケットから前記抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させる情報管理手段と、
任意の端末装置より受信したパケットから前記抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断する判断手段と、
を含み、
前記情報管理手段は、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合された結果、前記判断手段により、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を前記ユーザ識別情報と対応付けて前記記憶手段に追加記憶させ、
前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断することを特徴とするユーザ確認装置。 - 前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が、前記記憶手段に記憶されている前記複数組のアクセス元IPアドレス及びユーザエージェント情報のうちの少なくとも1組のアクセス元IPアドレス及びユーザエージェント情報と各々対応していると判定した場合に、前記任意の端末装置を操作しているユーザが正当なユーザであると判断することを特徴とする請求項1記載のユーザ確認装置。
- 前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、前記複数組のアクセス元IPアドレス及びユーザエージェント情報の中に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報と各々対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が存在していなかった場合に、前記任意の端末装置を操作しているユーザが正当なユーザでないと判断することを特徴とする請求項1記載のユーザ確認装置。
- 前記情報管理手段は、前記判断手段によって正当なユーザでないと判断されたユーザが、前記判断手段によるユーザ確認と異なる確認方法によって正当なユーザであると判断されたことが通知された場合、所定の識別情報を前記ユーザのユーザ識別情報と対応付けて前記記憶手段に各々記憶させ、
前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられて前記記憶手段に前記所定の識別情報が記憶されており、かつ、前記複数組のアクセス元IPアドレス及びユーザエージェント情報の中に、前記受信したパケットから抽出されたアクセス元IPアドレスと対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が複数存在しているか、又は、前記受信したパケットから抽出されたユーザエージェント情報と対応していると判定したアクセス元IPアドレス及びユーザエージェント情報の組が複数存在している場合に、前記任意の端末装置を操作しているユーザが正当なユーザであると判断することを特徴とする請求項3記載のユーザ確認装置。 - 前記個々のユーザが使用している電子メールアドレスを前記個々のユーザのユーザ識別情報と対応付けて各々記憶する電子メールアドレス記憶手段と、
前記判断手段により、前記任意の端末装置を操作しているユーザが正当なユーザでないと判断された場合に、前記判断手段と異なる方法によって前記ユーザが正当なユーザか否かを確認するための所定のウェブページへのリンクが付加された電子メールを、前記ユーザのユーザ識別情報と対応付けて前記電子メールアドレス記憶手段に記憶されている電子メールアドレスへ送信する送信手段と、
を更に備えたことを特徴とする請求項1記載のユーザ確認装置。 - 前記情報管理手段は、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合された結果、前記判断手段により、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報の何れとも対応していないと判定され、かつ、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報の組の数が所定の上限値に達している場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記記憶手段に記憶されている複数組のアクセス元IPアドレス及びユーザエージェント情報のうち、前記記憶手段へ記憶させた時期が最も古いアクセス元IPアドレス及びユーザエージェント情報の組に上書きして前記記憶手段に記憶させることを特徴とする請求項1記載のユーザ確認装置。
- 前記情報管理手段は、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合された結果、前記判断手段により、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報のうちアクセス元IPアドレス及びユーザエージェント情報の特定の組に対応していると判定された場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報のうちの少なくともユーザエージェント情報を、前記アクセス元IPアドレス及びユーザエージェント情報の特定の組に上書きして前記記憶手段に記憶させることを特徴とする請求項1記載のユーザ確認装置。
- インターネット層のプロトコルとしてIPが適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出する抽出手段と、
個々のユーザが操作する端末装置より受信したパケットから前記抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させる情報管理手段と、
任意の端末装置より受信したパケットから前記抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断する判断手段と、
を含み、
前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断することを特徴とするユーザ確認装置。 - 抽出手段が、インターネット層のプロトコルとしてIPが適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出し、
情報管理手段が、個々のユーザが操作する端末装置より受信したパケットから前記抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させ、
判断手段が、任意の端末装置より受信したパケットから前記抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断すると共に、
前記情報管理手段が、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合された結果、前記判断手段により、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を前記ユーザ識別情報と対応付けて前記記憶手段に追加記憶させ、
前記判断手段が、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断することを特徴とするユーザ確認方法。 - 記憶手段を備えたコンピュータを、
インターネット層のプロトコルとしてIPが適用され、アプリケーション層のプロトコルとしてHTTPが適用されて端末装置より受信したパケットから、当該パケットのHTTPヘッダに設定されているユーザエージェント情報を抽出すると共に、前記パケットからアクセス元IPアドレスを抽出する抽出手段、
個々のユーザが操作する端末装置より受信したパケットから前記抽出手段によって各々抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記個々のユーザのユーザ識別情報と対応付けて記憶手段に各々記憶させる情報管理手段、
及び、任意の端末装置より受信したパケットから前記抽出手段によって抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けて前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合し、前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応しているか否かを各々判定することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断する判断手段
として機能させ、
前記情報管理手段は、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と照合された結果、前記判断手段により、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に記憶されているアクセス元IPアドレス及びユーザエージェント情報と対応していないと判定された場合に、前記受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を前記ユーザ識別情報と対応付けて前記記憶手段に追加記憶させ、
前記判断手段は、前記任意の端末装置を操作しているユーザのユーザ識別情報と対応付けられたアクセス元IPアドレス及びユーザエージェント情報が前記記憶手段に複数組記憶されている場合、任意の端末装置より受信したパケットから抽出されたアクセス元IPアドレス及びユーザエージェント情報を、前記複数組記憶されているアクセス元IPアドレス及びユーザエージェント情報と各々照合することで、前記任意の端末装置を操作しているユーザが正当なユーザか否かを判断することを特徴とするユーザ確認プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2006/306501 WO2007110951A1 (ja) | 2006-03-29 | 2006-03-29 | ユーザ確認装置、方法及びプログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010212465A Division JP4746709B2 (ja) | 2010-09-22 | 2010-09-22 | ユーザ確認装置、方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2007110951A1 JPWO2007110951A1 (ja) | 2009-08-06 |
JP4616352B2 true JP4616352B2 (ja) | 2011-01-19 |
Family
ID=38540891
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007543641A Active JP4616352B2 (ja) | 2006-03-29 | 2006-03-29 | ユーザ確認装置、方法及びプログラム |
Country Status (5)
Country | Link |
---|---|
US (5) | US8347368B2 (ja) |
EP (3) | EP2413262A1 (ja) |
JP (1) | JP4616352B2 (ja) |
CN (1) | CN101167079B (ja) |
WO (1) | WO2007110951A1 (ja) |
Families Citing this family (59)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7581112B2 (en) * | 2004-12-30 | 2009-08-25 | Ebay, Inc. | Identifying fraudulent activities and the perpetrators thereof |
EP2413262A1 (en) * | 2006-03-29 | 2012-02-01 | The Bank of Tokyo-Mitsubishi UFJ, Ltd. | Apparatus, method, and program for validating user |
US8280982B2 (en) | 2006-05-24 | 2012-10-02 | Time Warner Cable Inc. | Personal content server apparatus and methods |
US9386327B2 (en) | 2006-05-24 | 2016-07-05 | Time Warner Cable Enterprises Llc | Secondary content insertion apparatus and methods |
US8024762B2 (en) | 2006-06-13 | 2011-09-20 | Time Warner Cable Inc. | Methods and apparatus for providing virtual content over a network |
US8650589B2 (en) * | 2007-01-08 | 2014-02-11 | At&T Intellectual Property I, Lp | System for provisioning media services |
US8181206B2 (en) | 2007-02-28 | 2012-05-15 | Time Warner Cable Inc. | Personal content server apparatus and methods |
JP4877145B2 (ja) * | 2007-08-10 | 2012-02-15 | 富士通株式会社 | 通信装置を制御するプログラム及び通信装置 |
KR100944724B1 (ko) * | 2007-08-21 | 2010-03-03 | 엔에이치엔비즈니스플랫폼 주식회사 | Ip 주소를 이용한 사용자 인증 시스템 및 그 방법 |
US9503691B2 (en) | 2008-02-19 | 2016-11-22 | Time Warner Cable Enterprises Llc | Methods and apparatus for enhanced advertising and promotional delivery in a network |
CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
US8699482B2 (en) * | 2008-04-02 | 2014-04-15 | Nec Corporation | Communication system and communication method |
CN101394282A (zh) * | 2008-10-30 | 2009-03-25 | 王昌懿 | 具有身份验证的密码输入方法及系统 |
US20100306821A1 (en) * | 2009-05-29 | 2010-12-02 | Google, Inc. | Account-recovery technique |
JP5372711B2 (ja) * | 2009-11-13 | 2013-12-18 | アラクサラネットワークス株式会社 | 複数認証サーバを有効利用する装置、システム |
US20110184840A1 (en) * | 2010-01-27 | 2011-07-28 | Ebay Inc. | Systems and methods for facilitating account verification over a network |
US9058210B2 (en) * | 2010-03-23 | 2015-06-16 | Ebay Inc. | Weighted request rate limiting for resources |
US20110264530A1 (en) | 2010-04-23 | 2011-10-27 | Bryan Santangelo | Apparatus and methods for dynamic secondary content and data insertion and delivery |
US20120042067A1 (en) * | 2010-08-13 | 2012-02-16 | Neuralitic Systems | Method and system for identifying applications accessing http based content in ip data networks |
WO2012056778A1 (ja) | 2010-10-28 | 2012-05-03 | 株式会社 日立メディコ | 超音波診断装置及び超音波画像表示方法 |
JP5547814B2 (ja) * | 2010-11-08 | 2014-07-16 | 株式会社日立製作所 | 計算機システム、仮想サーバへのボリューム割り当て方法及び計算機読み取り可能な記憶媒体 |
US9143508B2 (en) * | 2010-12-30 | 2015-09-22 | Verizon Patent And Licensing Inc. | Service location based authentication |
JP5870527B2 (ja) * | 2011-07-26 | 2016-03-01 | 株式会社リコー | 出力振り分けシステム、出力振り分け装置、出力先情報提供装置および記録媒体 |
US9331921B2 (en) | 2012-05-17 | 2016-05-03 | Vindico, Llc | Internet connected household identification for online measurement and dynamic content delivery |
US11463403B2 (en) | 2012-05-17 | 2022-10-04 | Viant Technology Llc | Internet connected household identification for online measurement and dynamic content delivery |
CN103685198B (zh) * | 2012-09-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 一种交互用户数据的方法和装置 |
JP6016936B2 (ja) * | 2012-10-29 | 2016-10-26 | 三菱電機株式会社 | 設備管理システム及び設備管理方法 |
US9397950B2 (en) * | 2012-11-01 | 2016-07-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Downlink service path determination for multiple subscription based services in provider edge network |
US20140282786A1 (en) | 2013-03-12 | 2014-09-18 | Time Warner Cable Enterprises Llc | Methods and apparatus for providing and uploading content to personalized network storage |
FR3003976B1 (fr) * | 2013-03-28 | 2016-08-26 | Cie Ind Et Financiere D'ingenierie Ingenico | Procede de delivrance d'une assertion de localisation |
JP6248448B2 (ja) * | 2013-07-24 | 2017-12-20 | 株式会社リコー | 情報処理装置及びそのデータ蓄積制御方法 |
CN103458035A (zh) * | 2013-09-05 | 2013-12-18 | 深圳市共进电子股份有限公司 | 基于web服务器的客户端配置界面实现方法 |
JP6322444B2 (ja) * | 2014-02-28 | 2018-05-09 | ゲヒルン株式会社 | ユーザ認証サーバ、ユーザ認証方法、ユーザ認証サーバ用プログラム |
KR102422372B1 (ko) * | 2014-08-29 | 2022-07-19 | 삼성전자 주식회사 | 생체 정보와 상황 정보를 이용한 인증 방법 및 장치 |
US10122757B1 (en) * | 2014-12-17 | 2018-11-06 | Amazon Technologies, Inc. | Self-learning access control policies |
US10986131B1 (en) | 2014-12-17 | 2021-04-20 | Amazon Technologies, Inc. | Access control policy warnings and suggestions |
CN104519069A (zh) * | 2014-12-27 | 2015-04-15 | 广州华多网络科技有限公司 | 一种拦截资源请求的方法和装置 |
US10043030B1 (en) | 2015-02-05 | 2018-08-07 | Amazon Technologies, Inc. | Large-scale authorization data collection and aggregation |
US9762483B2 (en) | 2015-03-06 | 2017-09-12 | Telefonaktiebolaget Lm Ericsson (Publ) | BNG / subscriber management integrated, FIB based, per subscriber, opt-in opt-out, multi application service chaining solution via subscriber service chaining nexthop and meta IP lookup |
US9148424B1 (en) | 2015-03-13 | 2015-09-29 | Snapchat, Inc. | Systems and methods for IP-based intrusion detection |
US10678883B2 (en) * | 2015-08-27 | 2020-06-09 | J-Data Co., Ltd. | History management method |
EP3142322B1 (en) | 2015-09-10 | 2018-04-25 | Alcatel Lucent | Auto configuration server and method |
US20180316671A1 (en) * | 2016-02-03 | 2018-11-01 | Averon Us, Inc. | Method and apparatus for facilitating authorization of a specified task via multi-stage and multi-level authentication processes utilizing frictionless two-factor authentication |
US20180234418A1 (en) * | 2016-02-03 | 2018-08-16 | Averon Us, Inc. | Method and apparatus for facilitating access to publish or post utilizing frictionless two-factor authentication |
WO2017134632A1 (en) | 2016-02-03 | 2017-08-10 | Averon Us, Inc. | Method and apparatus for facilitating frictionless two-factor authentication |
US20180232514A1 (en) * | 2016-02-03 | 2018-08-16 | Averon Us, Inc. | Method and apparatus for facilitating access to a device utilizing frictionless two-factor authentication |
US20180229689A1 (en) * | 2016-02-03 | 2018-08-16 | Averon Us, Inc. | Method and apparatus for facilitating access to an automobile utilizing frictionless two-factor authentication |
JP2018067043A (ja) * | 2016-10-17 | 2018-04-26 | シャープ株式会社 | 情報処理装置、情報処理システムおよび情報処理方法 |
CN111263345B (zh) * | 2018-11-30 | 2022-11-08 | 中国移动通信集团山东有限公司 | 一种用户终端的识别方法和装置 |
CN110661901B (zh) * | 2019-08-08 | 2022-11-04 | 网宿科技股份有限公司 | 一种ip库的采信方法、整合方法、电子设备和可存储介质 |
US11711310B2 (en) * | 2019-09-18 | 2023-07-25 | Tweenznet Ltd. | System and method for determining a network performance property in at least one network |
US11403849B2 (en) | 2019-09-25 | 2022-08-02 | Charter Communications Operating, Llc | Methods and apparatus for characterization of digital content |
JP7175006B2 (ja) * | 2019-10-04 | 2022-11-18 | 株式会社Flux | 情報処理装置および情報処理方法 |
US11716338B2 (en) | 2019-11-26 | 2023-08-01 | Tweenznet Ltd. | System and method for determining a file-access pattern and detecting ransomware attacks in at least one computer network |
US11539746B2 (en) * | 2020-02-18 | 2022-12-27 | Td Ameritrade Ip Company, Inc. | Methods and systems for browser spoofing mitigation |
CN112121412B (zh) * | 2020-09-15 | 2024-05-17 | 北京智明星通科技股份有限公司 | 一种游戏账号的快速登录方法、系统及游戏设备 |
CN114244566B (zh) * | 2021-11-17 | 2023-12-22 | 广东电网有限责任公司 | 基于ip地址的非法外联检测方法、装置、计算机设备 |
US11936703B2 (en) | 2021-12-09 | 2024-03-19 | Viant Technology Llc | Out-of-home internet connected household identification |
US20240146726A1 (en) * | 2022-10-26 | 2024-05-02 | Whatsapp Llc | Accessing an encrypted platform |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004236105A (ja) * | 2003-01-31 | 2004-08-19 | Matsushita Electric Ind Co Ltd | 画像サーバ |
JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5930479A (en) * | 1996-10-21 | 1999-07-27 | At&T Corp | Communications addressing system |
US6310889B1 (en) * | 1998-03-12 | 2001-10-30 | Nortel Networks Limited | Method of servicing data access requests from users |
JP2000209284A (ja) | 1999-01-18 | 2000-07-28 | Nec Commun Syst Ltd | 認証装置、及び、認証方法 |
US6725381B1 (en) * | 1999-08-31 | 2004-04-20 | Tumbleweed Communications Corp. | Solicited authentication of a specific user |
JP2001325229A (ja) | 2000-05-17 | 2001-11-22 | Daiwa House Ind Co Ltd | インターネットにおける認証システム及びサービスシステム |
AU2001278159A1 (en) * | 2000-08-11 | 2002-02-25 | Incanta, Inc. | Resource distribution in network environment |
JP2002091851A (ja) * | 2000-09-12 | 2002-03-29 | Toshiba Corp | 情報提供方法および中継サーバ装置 |
CN1394044A (zh) * | 2001-06-28 | 2003-01-29 | 杨磊 | 因特网ip-用户身份认证机制(方法) |
US20030033356A1 (en) * | 2001-08-13 | 2003-02-13 | Luu Tran | Extensible client aware detection in a wireless portal system |
WO2003029971A1 (en) | 2001-10-04 | 2003-04-10 | Accretive Technology Group, Inc. | Incentive system for distributing software over a computer network |
NZ532258A (en) * | 2001-10-17 | 2006-04-28 | Npx Technologies Ltd | Verfication of a person identifier received online |
US7624437B1 (en) * | 2002-04-02 | 2009-11-24 | Cisco Technology, Inc. | Methods and apparatus for user authentication and interactive unit authentication |
CN1208927C (zh) * | 2002-06-12 | 2005-06-29 | 华为技术有限公司 | 网络设备中基于代理方式接入网络的控制方法 |
US20040230825A1 (en) * | 2003-05-16 | 2004-11-18 | Shepherd Eric Robert | Secure browser |
US7591017B2 (en) * | 2003-06-24 | 2009-09-15 | Nokia Inc. | Apparatus, and method for implementing remote client integrity verification |
US7472413B1 (en) * | 2003-08-11 | 2008-12-30 | F5 Networks, Inc. | Security for WAP servers |
US7665147B2 (en) * | 2004-02-05 | 2010-02-16 | At&T Mobility Ii Llc | Authentication of HTTP applications |
US7853533B2 (en) * | 2004-03-02 | 2010-12-14 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
GB0410724D0 (en) * | 2004-05-13 | 2004-06-16 | Watkins Daniel R | Authorisation system |
US20060021004A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for externalized HTTP authentication |
US7496750B2 (en) * | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
US7581112B2 (en) * | 2004-12-30 | 2009-08-25 | Ebay, Inc. | Identifying fraudulent activities and the perpetrators thereof |
EP1875653B1 (en) * | 2005-04-29 | 2018-12-12 | Oracle International Corporation | System and method for fraud monitoring, detection, and tiered user authentication |
EP2413262A1 (en) * | 2006-03-29 | 2012-02-01 | The Bank of Tokyo-Mitsubishi UFJ, Ltd. | Apparatus, method, and program for validating user |
US8230490B2 (en) * | 2007-07-31 | 2012-07-24 | Keycorp | System and method for authentication of users in a secure computer system |
JP4877145B2 (ja) * | 2007-08-10 | 2012-02-15 | 富士通株式会社 | 通信装置を制御するプログラム及び通信装置 |
US8849988B2 (en) * | 2008-11-25 | 2014-09-30 | Citrix Systems, Inc. | Systems and methods to monitor an access gateway |
US7941550B1 (en) * | 2009-02-12 | 2011-05-10 | Sprint Communications Company L.P. | Multiple cookie handling |
-
2006
- 2006-03-29 EP EP11186311A patent/EP2413262A1/en not_active Withdrawn
- 2006-03-29 US US11/886,902 patent/US8347368B2/en not_active Expired - Fee Related
- 2006-03-29 EP EP12174044A patent/EP2506184A1/en not_active Withdrawn
- 2006-03-29 EP EP06730449A patent/EP1873673A4/en not_active Withdrawn
- 2006-03-29 WO PCT/JP2006/306501 patent/WO2007110951A1/ja active Application Filing
- 2006-03-29 JP JP2007543641A patent/JP4616352B2/ja active Active
- 2006-03-29 CN CN200680010930.9A patent/CN101167079B/zh not_active Expired - Fee Related
-
2012
- 2012-04-12 US US13/445,678 patent/US20120240207A1/en not_active Abandoned
- 2012-11-16 US US13/679,401 patent/US9021555B2/en active Active
-
2014
- 2014-10-09 US US14/510,427 patent/US20150026789A1/en not_active Abandoned
-
2020
- 2020-03-02 US US16/806,096 patent/US20200204533A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004236105A (ja) * | 2003-01-31 | 2004-08-19 | Matsushita Electric Ind Co Ltd | 画像サーバ |
JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
Also Published As
Publication number | Publication date |
---|---|
EP2506184A1 (en) | 2012-10-03 |
US20090034521A1 (en) | 2009-02-05 |
WO2007110951A1 (ja) | 2007-10-04 |
US20130081107A1 (en) | 2013-03-28 |
EP2413262A1 (en) | 2012-02-01 |
JPWO2007110951A1 (ja) | 2009-08-06 |
US20150026789A1 (en) | 2015-01-22 |
CN101167079B (zh) | 2010-11-17 |
US9021555B2 (en) | 2015-04-28 |
US8347368B2 (en) | 2013-01-01 |
EP1873673A1 (en) | 2008-01-02 |
EP1873673A4 (en) | 2011-05-18 |
CN101167079A (zh) | 2008-04-23 |
US20200204533A1 (en) | 2020-06-25 |
US20120240207A1 (en) | 2012-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4616352B2 (ja) | ユーザ確認装置、方法及びプログラム | |
JP4964338B2 (ja) | ユーザ確認装置、方法及びプログラム | |
US7500099B1 (en) | Method for mitigating web-based “one-click” attacks | |
US7849306B2 (en) | Relay method of encryption communication, gateway server, and program and program memory medium of encryption communication | |
CA2736582C (en) | Authorization of server operations | |
US8578173B2 (en) | Apparatus and method for providing secure communication on a network | |
US20020112162A1 (en) | Authentication and verification of Web page content | |
CN107016074B (zh) | 一种网页加载方法及装置 | |
JP5456842B2 (ja) | ユーザ確認装置、方法及びユーザ認証システム | |
JP2013251000A (ja) | ユーザ確認装置、方法及びプログラム | |
JP7079528B2 (ja) | サービス提供システム及びサービス提供方法 | |
JP2000057097A (ja) | 画像処理装置 | |
JP5216904B2 (ja) | ユーザ確認装置、方法及びプログラム | |
JP3914152B2 (ja) | 認証サーバ、認証システムおよび認証プログラム | |
US20080022004A1 (en) | Method And System For Providing Resources By Using Virtual Path | |
JP4746709B2 (ja) | ユーザ確認装置、方法及びプログラム | |
JP4918170B2 (ja) | ユーザ確認装置、方法及びプログラム | |
JP2000322353A (ja) | 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体 | |
JP4671686B2 (ja) | ネットワークファイルシステム及び認証方法 | |
WO2021240613A1 (ja) | 情報処理システム、情報処理方法及びプログラム | |
JP4545480B2 (ja) | 電子署名生成装置、ウェブサーバ、生体情報認証装置、及びユーザ認証システム | |
JP2002259343A (ja) | クライアント認証とサービス提供の方式及び方法 | |
JP4717356B2 (ja) | 情報処理デバイス及びそれを用いた情報処理方法並びに情報処理プログラム | |
JP2007279775A (ja) | ウェブ・アクセスポイント認証(wapa)が可能なウェブサーバー認証システム | |
JP2005293324A (ja) | Webコンテンツの更新方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A527 Effective date: 20070920 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100108 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100727 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100922 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101019 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101021 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4616352 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131029 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131029 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071128 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S201 | Request for registration of exclusive licence |
Free format text: JAPANESE INTERMEDIATE CODE: R314201 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |