JP4991406B2 - Information processing apparatus, information processing method, and program - Google Patents
Information processing apparatus, information processing method, and program Download PDFInfo
- Publication number
- JP4991406B2 JP4991406B2 JP2007159229A JP2007159229A JP4991406B2 JP 4991406 B2 JP4991406 B2 JP 4991406B2 JP 2007159229 A JP2007159229 A JP 2007159229A JP 2007159229 A JP2007159229 A JP 2007159229A JP 4991406 B2 JP4991406 B2 JP 4991406B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access request
- predetermined time
- user
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 53
- 238000003672 processing method Methods 0.000 title claims description 10
- 238000000034 method Methods 0.000 claims description 46
- 238000004891 communication Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 description 32
- 230000004044 response Effects 0.000 description 13
- 238000005336 cracking Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Description
この発明は、複写機、印刷機、ファクシミリ装置、複合機、コンピュータを含む情報処理装置と情報処理方法とプログラムに関する。 The present invention relates to an information processing apparatus, an information processing method, and a program including a copying machine, a printing machine, a facsimile machine, a multifunction machine, and a computer.
従来、外部からアクセスを受けた際に利用者の特定が失敗した回数を、アクセスの要求元のアドレス毎に計数し、その計数した回数が所定の条件を満たした要求元からのアクセスに対して応答を返さないようにすることにより、パスワードの漏洩を防止する情報処理装置(例えば、特許文献1参照)があった。
しかしながら、上述のような情報処理装置では、他人のパスワードを解析して探り当てる攻撃であるパスワードのクラックによるパスワード漏洩は防止できるが、大量のデータや不正なパケットを送りつけて情報処理装置のサービスの提供を妨害するDoS攻撃に対処できないという問題があった。
この発明は上記の点に鑑みてなされたものであり、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止することを目的とする。
However, in the information processing apparatus as described above, it is possible to prevent password leakage due to password cracking, which is an attack for analyzing and finding another person's password, but sending a large amount of data or illegal packets to the information processing apparatus service. There was a problem that it was not possible to deal with DoS attacks that hindered provision.
The present invention has been made in view of the above points, and an object of the present invention is to prevent both the leakage of a password and the suspension of services due to unauthorized excessive access.
この発明は上記の目的を達成するため、次の情報処理装置と情報処理方法とプログラムを提供する。
(1)通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手段と、上記認証手段による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手段と、上記判定手段によって判定された利用者からのアクセス要求を拒否するように制御する制御手段を備えた情報処理装置。
(2)上記のような情報処理装置において、上記アクセス要求を拒否する制御では、上記認証手段による認証は行い、その認証結果の如何に関わらず要求された処理を行わないように制御する情報処理装置。
In order to achieve the above object, the present invention provides the following information processing apparatus, information processing method, and program.
(1) An authentication means for receiving an access request from a user and authentication information of the user by communication, and authenticating the user of the access request source based on the received authentication information, and authentication by the authentication means A determination unit that determines, based on the result, a user whose authentication success count is equal to or greater than a threshold value within a predetermined time and a user whose authentication failure count is equal to or greater than a threshold value within a predetermined time; An information processing apparatus comprising control means for controlling to reject an access request from a user determined by.
(2) In the information processing apparatus as described above, in the control for rejecting the access request, the information processing is performed such that authentication by the authentication unit is performed and the requested process is not performed regardless of the authentication result. apparatus.
(3)上記のような情報処理装置において、上記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、上記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する手段を設けた情報処理装置。
(4)上記のような情報処理装置において、上記所定時間又は上記閾値を変更する手段を設けた情報処理装置。
(5)上記のような情報処理装置において、上記成功回数と上記失敗回数とを、上記認証の成功回数に係る所定時間と上記失敗回数に係る所定時間とを、上記認証の成功回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間と上記認証の失敗回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間とを、それぞれ異なる値に設定する手段を設けた情報処理装置。
(3) In the information processing apparatus as described above, even if a predetermined elapsed time has elapsed since the start of refusal of an access request for a user whose successful authentication has exceeded the threshold value within a predetermined time, When there is no authentication success, the access request rejection is canceled, and for a user whose authentication failure count exceeds the threshold value within a predetermined time, a predetermined elapsed time has elapsed since the start of the access request rejection. An information processing apparatus provided with means for canceling rejection of an access request when there is no new authentication failure.
(4) An information processing apparatus provided with means for changing the predetermined time or the threshold value in the information processing apparatus as described above.
(5) In the information processing apparatus as described above, the number of successes and the number of failures are represented by a predetermined time associated with the number of successful authentications and a predetermined time associated with the number of failed operations. Starts refusing access requests for users who have exceeded the threshold within a predetermined time and users whose authentication failure count has exceeded the threshold within the predetermined time. An information processing apparatus provided with means for setting a predetermined elapsed time from a different value.
(6)通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証工程と、上記認証工程による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定工程と、上記判定工程によって判定された利用者からのアクセス要求を拒否するように制御する制御工程とからなる情報処理方法。 (6) An authentication step of receiving an access request from a user and authentication information of the user by communication, and authenticating the user of the access request source based on the received authentication information, and authentication by the authentication step Based on the result, a determination step of determining a user whose authentication success count is equal to or greater than a threshold value within a predetermined time and a user whose authentication failure count is equal to or greater than a threshold value within a predetermined time, and the determination step An information processing method comprising: a control step of controlling to reject an access request from a user determined by.
(7)上記のような情報処理方法において、上記認証の成功回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証成功が無かったときはアクセス要求の拒否を解除し、上記認証の失敗回数が所定時間内に閾値以上になった利用者について、アクセス要求の拒否を開始してから所定経過時間を経過しても新たな認証失敗が無かったときはアクセス要求の拒否を解除する工程を設けた情報処理方法。 (7) In the information processing method as described above, even if a predetermined elapsed time has elapsed since the start of refusal of an access request for a user whose successful authentication has exceeded the threshold value within a predetermined time, When there is no authentication success, the access request rejection is canceled, and for a user whose authentication failure count exceeds the threshold value within a predetermined time, a predetermined elapsed time has elapsed since the start of the access request rejection. An information processing method provided with a step of canceling denial of an access request when there is no new authentication failure.
(8)コンピュータに、通信によって利用者からのアクセス要求とその利用者の認証情報とを受信し、その受信した認証情報に基づいてそのアクセス要求元の利用者を認証する認証手順と、上記認証手順による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手順と、上記判定手順によって判定された利用者からのアクセス要求を拒否するように制御する制御手順とを実行させるためのプログラム。 (8) An authentication procedure for receiving an access request from a user and authentication information of the user by communication and authenticating the access requesting user based on the received authentication information, and the authentication A determination procedure for determining, based on the authentication result of the procedure, a user whose authentication success count is equal to or greater than a threshold value within a predetermined time and a user whose authentication failure count is equal to or greater than a threshold value within a predetermined time; A program for executing a control procedure for controlling to reject an access request from a user determined by the determination procedure.
この発明による情報処理装置と情報処理方法は、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止することができる。
また、この発明によるプログラムは、コンピュータに、パスワードの漏洩と不正な過度のアクセスによるサービスの停止を共に防止できるようにするための機能を実現させることができる。
The information processing apparatus and the information processing method according to the present invention can prevent both a leakage of a password and a service stop due to unauthorized excessive access.
In addition, the program according to the present invention can cause a computer to realize a function for preventing both a leakage of a password and a service stop due to unauthorized excessive access.
以下、この発明を実施するための最良の形態を図面に基づいて具体的に説明する。
〔実施例〕
図1は、この発明の一実施例である情報処理装置を含むネットワークの構成を示すブロック図である。
このネットワークは、有線又は無線による通信で互いにデータのやり取りが可能な情報処理装置1と複数台のホストコンピュータ2〜4とからなる。なお、このネットワークには、その他の情報処理装置とホストコンピュータも多数接続されているが、同図では、その図示を省略している。
Hereinafter, the best mode for carrying out the present invention will be specifically described with reference to the drawings.
〔Example〕
FIG. 1 is a block diagram showing a configuration of a network including an information processing apparatus according to an embodiment of the present invention.
This network includes an
情報処理装置1は、複写機、印刷機、複合機を含む画像処理装置、画像形成装置、パーソナルコンピュータ、ワークステーションを含む各種のコンピュータ、ルータを含むネットワーク機器であり、CPU,ROM及びRAMからなるマイクロコンピュータによって実現される、SNMP処理部10、認証部11、脅威判定部12、管理テーブル記憶部13、アクセス制御部14、ネットワークインタフェース(I/F)部15、無線ローカルエリアネットワークインタフェース(LAN・I/F)部16を含む各機能部を備えている。
ここで、上記ネットワークI/F部、無線LAN・I/F部は、複数個あっても、複数個なくてもよく、同時に作動しても、別々に作動してもよい。
The
Here, the network I / F unit and the wireless LAN / I / F unit may be plural or not plural, and may be operated simultaneously or separately.
SNMP処理部10は、SNMPによって各ホストコンピュータ2〜4の情報を取得する処理を行う。
認証部11は、アクセス制御部14から渡されるパケットに基づいて、そのパケットを送信したアクセス要求元の利用者を認証する処理を行い、その認証結果をアクセス制御部14に返す。
脅威判定部12は、アクセス制御部14から渡される認証結果、パケットに含まれる情報を受け取り、その認証結果と情報に基づいて管理テーブル記憶部13の管理テーブルへの登録と管理テーブルの更新を行い、その更新後の管理テーブルの情報に基づいて、アクセス元のホストコンピュータ毎に、DoS攻撃又はパスワードクラック攻撃の脅威中及び監視中の判定を行い、その判定結果をアクセス制御部14へ返す。
The
Based on the packet passed from the
The
管理テーブル記憶部13は、管理テーブルにアクセス元のホストコンピュータを識別する情報、各ホストコンピュータに対する脅威中の状態又は監視中の状態を示す情報、各ホストコンピュータからの最終のアクセス時刻などの情報を登録する。
アクセス制御部14は、脅威判定部12から返された判定結果に基づいて、ネットワークI/F部15又は無線LAN・I/F部16が受信したパケットを受け付けて応答してアクセス要求を許可するか、パケットを読み捨てて応答せずにアクセス要求を拒否するかを実行する。
ネットワークI/F部15は、有線によって接続されたホストコンピュータ2,3と互いにデータ通信し、各ホストコンピュータ2,3から送信されたパケットをアクセス制御部14へ送る。
無線LAN・I/F部16は、ホストコンピュータ4と互いに無線によってデータ通信し、そのホストコンピュータ4から送信されたパケットをアクセス制御部14へ送る。
The management
The
The network I /
The wireless LAN / I /
ホストコンピュータ2〜4は、同じくCPU,ROM及びRAMからなるマイクロコンピュータを備えており、そのマイクロコンピュータによって実現される各種の機能部を有し、情報処理装置1にアクセスする際、利用者の認証のための情報を含むパケットを送信する。
Each of the
図2は、管理テーブル記憶部13に格納する管理テーブルのうちのDoS管理テーブルに登録されるデータ例を示す説明図である。
DoS管理テーブルは、DoS(サービス拒否)攻撃を管理するテーブルであり、DoS攻撃は、攻撃者が情報処理装置1に対して大量にアクセスすることで、情報処理装置1が正当な利用者にサービスを提供できなくする不正な行為であり、脅威判定部12がこのDoS管理テーブルの情報に基づいてDoS攻撃の脅威中の状態との判定結果をアクセス制御部14へ返すと、アクセス制御部14はそのアクセス元のホストコンピュータからのアクセス要求を拒否する。
FIG. 2 is an explanatory diagram illustrating an example of data registered in the DoS management table among the management tables stored in the management
The DoS management table is a table for managing a DoS (denial of service) attack. The DoS attack is performed by the
このDoS管理テーブルには、ホスト名、状態、カウンタ値、時刻の情報を登録する。
ホスト名は、アクセス要求のあった各ホストコンピュータのホスト名である。
状態は、各ホスト名のホストコンピュータに対する情報処理装置が判定した状態の情報であり、ホストコンピュータからのパケットがDoS攻撃の脅威中と判定した状態にあるか、DoS攻撃の監視中の状態にあるかを示す情報である。
カウンタ値は、各ホストコンピュータについて、DoS攻撃の監視中の状態になってからのアクセス数である。
時刻は、各ホストコンピュータについてDoS攻撃のチェックを開始した監視開始時刻又は各ホストコンピュータに対するDoS攻撃の脅威中の状態の終了時刻を示す脅威終了時刻とを登録する。
In this DoS management table, host name, status, counter value, and time information are registered.
The host name is the host name of each host computer that has made an access request.
The state is information on a state determined by the information processing apparatus for the host computer of each host name, and is in a state in which a packet from the host computer is determined to be in a DoS attack threat or in a state in which a DoS attack is being monitored. It is the information which shows.
The counter value is the number of accesses for each host computer since the DoS attack is being monitored.
As the time, the monitoring start time at which the DoS attack check is started for each host computer or the threat end time indicating the end time of the DoS attack threat for each host computer is registered.
なお、図中の備考欄の情報は、上記監視開始時刻と脅威終了時刻の説明を示すものであり、DoS管理テーブルには登録されない。
また、上記ホスト名に代えて、ホストコンピュータのIPアドレスでもよく、アクセスのあったホストコンピュータを特定できる情報であればどのような情報でもよい。
さらに、このDoS管理テーブルには、DoS攻撃の脅威中でも監視中でもないホストコンピュータについての上記情報は登録せず、管理しない。
Note that the information in the remarks column in the figure indicates the description of the monitoring start time and the threat end time, and is not registered in the DoS management table.
Further, instead of the host name, the IP address of the host computer may be used, and any information may be used as long as the information can identify the host computer that has accessed.
Further, in the DoS management table, the above information about a host computer that is neither threatened nor monitored by a DoS attack is not registered and managed.
図3は、管理テーブル記憶部13に格納する管理テーブルのうちのパスワードクラック管理テーブルに登録されるデータ例を示す説明図である。
パスワードクラック管理テーブルは、パスワードクラック攻撃を管理するテーブルであり、そのパスワードクラック攻撃は、攻撃者がパスワードを知らない機器に対して、大量のパスワードを使って、大量の認証をさせることで、正しいパスワードを知る攻撃であり、脅威判定部12がこのパスワードクラック管理テーブルの情報に基づいてパスワードクラック攻撃の脅威中の判定結果をアクセス制御部14へ返すと、アクセス制御部14はそのアクセス元のホストコンピュータからのアクセス要求を拒否する。
FIG. 3 is an explanatory diagram showing an example of data registered in the password crack management table in the management table stored in the management
The password crack management table is a table that manages password cracking attacks. The password cracking attack is correct by allowing a large number of passwords to be used by an attacker who does not know the password. When the
このように、大量のパスワードを使って認証をする場合は、大量に認証失敗が発生するため、大量の認証失敗が発生したアクセス元からのアクセス要求はパスワードクラック攻撃とみなしてアクセス要求を拒否する。
このパスワードクラック管理テーブルには、DoS管理テーブルと同様に、ホスト名、状態、カウンタ値、時刻の情報を登録する。
In this way, when authentication is performed using a large number of passwords, a large number of authentication failures occur. Therefore, an access request from an access source in which a large number of authentication failures occurred is regarded as a password cracking attack and the access request is rejected. .
Similar to the DoS management table, host name, status, counter value, and time information are registered in this password crack management table.
ホスト名は、アクセス要求のあった各ホストコンピュータのホスト名である。
状態は、各ホスト名のホストコンピュータに対する情報処理装置が判定した状態の情報であり、ホストコンピュータからのアクセス要求がパスワードクラック攻撃の脅威中の状態にあるか、パスワードクラック攻撃の監視中の状態にあるかを示す情報である。
カウンタ値は、各ホストコンピュータについて、パスワードクラック攻撃の監視中の状態になってからのアクセス数である。
時刻は、各ホストコンピュータについてパスワードクラック攻撃のチェックを開始した監視開始時刻又は各ホストコンピュータに対するパスワードクラック攻撃の脅威中の状態の終了時刻を示す脅威終了時刻を登録する。
The host name is the host name of each host computer that has made an access request.
The status is information on the status determined by the information processing device for the host computer of each host name, and the access request from the host computer is in the state of being in the threat of password cracking attack or in the state of being monitored for password cracking attack. It is information indicating whether or not there is.
The counter value is the number of accesses for each host computer since the password cracking attack is being monitored.
As the time, a monitoring start time at which a check for a password crack attack is started for each host computer or a threat end time indicating an end time of a state in the threat of a password crack attack for each host computer is registered.
なお、図中の備考欄の情報は、上記監視開始時刻と脅威終了時刻の説明を示すものであり、パスワードクラック管理テーブルには登録されない。
また、上記ホスト名に代えて、ホストコンピュータのIPアドレスでもよく、アクセスのあったホストコンピュータを特定できる情報であればどのような情報でもよい。
さらに、このパスワードクラック管理テーブルには、パスワードクラック攻撃の脅威中でも監視中でもないホストコンピュータについての上記情報は登録せず、管理しない。
Note that the information in the remarks column in the figure indicates the description of the monitoring start time and the threat end time, and is not registered in the password crack management table.
Further, instead of the host name, the IP address of the host computer may be used, and any information may be used as long as the information can identify the host computer that has accessed.
Further, in the password crack management table, the above information about host computers that are neither threatened nor monitored by password crack attacks is not registered and managed.
上記ホスト名を含むホストコンピュータを特定するためのホスト情報の代わりに、接続されているインタフェース情報にすることもできる。
このようにすれば、ネットワーク全体からのアクセスについて統一的に管理することができる。
Instead of the host information for specifying the host computer including the host name, it is possible to use connected interface information.
In this way, access from the entire network can be managed uniformly.
図4は、脅威判定部12がDoS攻撃とパスワードクラック攻撃の脅威中と監視中の判定をする際に用いる確定回数、監視時間、脅威時間のデフォルト値の一例を示す説明図である。
脅威判定部12は、上記確定回数、監視時間、脅威時間について予め設定されたデフォルト値を、同図に示すようなテーブル形式で保持する。
同図の(a)の確定回数Cdは、DoS攻撃の脅威中と判定する閾値に相当するカウンタ値であり、監視時間Td1は、単位時間当たりの認証の成功回数が上記閾値以上になるか否かを判断するDoS攻撃の監視状態の所定時間であり、脅威時間Td2は、DoS攻撃の脅威中と判定されてからアクセス要求を拒否するロックを続ける所定経過時間である。同図の(a)には、デフォルト値の一例として、確定回数Cd:300回、監視時間Td1:1秒、脅威時間Td2:1分を示している。
FIG. 4 is an explanatory diagram illustrating examples of default values of the number of times of determination, monitoring time, and threat time used when the
The
The number of determinations Cd in (a) in the figure is a counter value corresponding to a threshold value that is determined to be a DoS attack threat, and the monitoring time Td1 indicates whether the number of successful authentications per unit time is equal to or greater than the above threshold value. The threat time Td2 is a predetermined elapsed time in which the lock for rejecting the access request is continued after it is determined that the DoS attack is threatened. (A) of the figure shows, as an example of default values, the number of determinations Cd: 300 times, the monitoring time Td1: 1 second, and the threat time Td2: 1 minute.
また、同図の(b)の確定回数Cpは、パスワードクラック攻撃の脅威中と判定する閾値に相当するカウンタ値であり、監視時間Tp1は、単位時間当たりの認証の失敗回数が上記閾値以上になるか否かを判断するパスワードクラック攻撃の監視状態の所定時間であり、脅威時間Tp2は、パスワードクラック攻撃の脅威中と判定されてからアクセス要求を拒否するロックを続ける所定経過時間である。同図の(b)には、デフォルト値の一例として、確定回数Cp:100回、監視時間Tp1:5秒、脅威時間Tp2:1分を示している。
上記成功回数と上記失敗回数と上記所定時間と上記所定経過時間のデフォルト値は、情報処理装置1の管理者が図示を省略した操作部から直接操作によって、又は外部の機器から遠隔操作によって任意の値に変更することができる。
すなわち、利用者による操作部からの操作入力又は外部の機器からの遠隔操作入力により、上記成功回数と上記失敗回数とを、上記認証の成功回数に係る所定時間と上記失敗回数に係る所定時間とを、上記認証の成功回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間と上記認証の失敗回数が所定時間内に閾値以上になった利用者についてアクセス要求の拒否を開始してからの所定経過時間とを、それぞれ異なる値に設定することができる。
In addition, the number of determinations Cp in (b) of FIG. 6 is a counter value corresponding to a threshold value that is determined to be a threat of password cracking attack, and the monitoring time Tp1 indicates that the number of authentication failures per unit time exceeds the above threshold value. The threat crack time Tp2 is a predetermined elapsed time in which the lock for rejecting the access request is continued after it is determined that the password crack attack is being threatened. (B) of the figure shows, as an example of default values, a fixed number of times Cp: 100 times, a monitoring time Tp1: 5 seconds, and a threat time Tp2: 1 minute.
The default values of the number of successes, the number of failures, the predetermined time, and the predetermined elapsed time can be arbitrarily set by an administrator of the
That is, by the operation input from the operation unit by the user or the remote operation input from an external device, the number of successes and the number of failures are changed to a predetermined time related to the number of successful authentications and a predetermined time related to the number of failures. For a user whose authentication success count exceeds a threshold value within a predetermined time, a predetermined elapsed time since the start of refusal of an access request and a use where the authentication failure count exceeds a threshold value within a predetermined time The predetermined elapsed time from the start of refusal of the access request for the user can be set to a different value.
なお、上記監視時間を無限値にすることで、起動後のすべてのカウント値をとることも可能であり、そのようにすれば、長期にわたって分散して行われる脅威となりうるアクセスを検出することができる。 In addition, by setting the monitoring time to an infinite value, it is possible to take all count values after startup, and in this way, it is possible to detect access that can be a threat that is distributed over a long period of time. it can.
図5は、図1に示す情報処理装置1におけるパケットを受信したときの各部間の処理を示すシーケンス図である。
ステップ(図中「S」で示す)1でネットワークI/F部15又は無線LAN・I/F部16(以下、まとめて「I/F部15,16」という)がネットワークを介していずれかのホストコンピュータからのアクセス要求のパケットを受信すると、ステップ2で、I/F部15,16は、受信したパケットをアクセス制御部14へ送る。
ステップ3で、アクセス制御部14は、パケット内の認証情報(ホスト情報,ユーザID,パスワードを含む各種情報)を認証部11へ送り、ステップ4で、認証部11はアクセス制御部14から受け取った認証情報に基づいてアクセス元のホストコンピュータの認証を行い、ステップ5で認証結果をアクセス制御部14へ送る。この認証処理については、公知なので詳細な説明を省略する。
FIG. 5 is a sequence diagram illustrating processing between the units when the
In step (indicated by “S” in the figure) 1, either the network I /
In
ステップ6で、アクセス制御部14は、認証部11から受け取った認証結果と、パケット内から読み出したホスト情報(ホスト名を含む)を脅威判定部12へ送り、ステップ7で脅威判定部12は、アクセス制御部14から受け取った認証結果とホスト情報とに基づいて、管理テーブル記憶部13の管理テーブル(DoS管理テーブルとパスワードクラック管理テーブル)を更新する指示を出し、ステップ8で管理テーブル記憶部13は脅威判定部12からの指示に基づいて管理テーブルの更新をする。
このように、正常のパケットがきたときにも管理テーブルに登録される。
ステップ9で、脅威判定部12は管理テーブル記憶部13の更新後の管理テーブルを参照し、その内容に基づいて脅威判定し(アクセス元のホストコンピュータに対して脅威中の状態か監視中の状態かを判定する)、ステップ11でその脅威判定結果をアクセス制御部14へ送る。
In
Thus, even when a normal packet comes, it is registered in the management table.
In
ステップ12で、アクセス制御部14は、脅威判定部12から受け取った脅威判定結果に基づいて、脅威中の状態なら、アクセス元のホストコンピュータのアクセス要求を拒否する処理判定をし、監視中の状態なら、アクセス元のホストコンピュータのアクセス要求を許可する処理判定をする。
アクセス制御部14は、アクセス要求を許可する処理判定をした場合、ステップ13でSNMP処理部10へSNMP処理依頼をし、ステップ14でSNMP処理部10は応答パケットを作成し、ステップ15で、アクセス制御部14へ応答パケットを送り、ステップ16で、アクセス制御部14は、I/F部15,16に応答パケットを送ってアクセス元のホストコンピュータへ返送するように指示し、ステップ17で、I/F部15,16は、応答パケットをアクセス元のホストコンピュータへ返送する。このようにして、アクセス元のホストコンピュータのアクセス要求を許可する。
In
When the
一方、ステップ12の処理判定で、アクセス制御部14は、アクセス元のホストコンピュータのアクセス要求を拒否する処理判定をしたら、ステップ18で、受信したパケットを読み捨て、応答パケットを返送しないようにする。
このようにして、アクセス元のホストコンピュータのアクセス要求を拒否する。
On the other hand, if it is determined in
In this way, the access request of the access source host computer is rejected.
図6は、図1に示した情報処理装置1のアクセス制御部14の処理を示すフローチャート図である。
ステップ21で、I/F部からパケットを入力すると、ステップ22で認証部へ認証情報を出力し、認証部から認証結果を入力し、ステップ23で脅威判定部へ認証結果とホスト情報(ホスト名)を出力し、脅威判定部から脅威判定結果を入力する。
ステップ24で脅威判定部から入力した脅威判定結果に基づいて脅威中か否かを判定し、脅威判定結果が監視中の状態なら、監視中と判定し、ステップ25でSNMP処理部へSNMP処理を依頼し、SNMP処理部から応答パケットを入力し、ステップ26でI/F部へ応答パケットを出力して返送するように指示し、この処理を終了する。
FIG. 6 is a flowchart showing processing of the
In
In step 24, it is determined whether or not the threat is in threat based on the threat determination result input from the threat determination unit. If the threat determination result is in the monitoring state, it is determined that monitoring is in progress. In
一方、ステップ24で脅威判定結果が脅威中の状態なら、脅威中と判定し、ステップ27でパケットを読み捨て、応答パケットを返信しないようにし、この処理を終了する。
このようにして、認証部、脅威判定部での処理の結果を元に、脅威中の状態であれば応答パケットを返さないでアクセス要求を拒否する。
このアクセス要求の拒否では、認証部による認証は継続して行うが、その認証結果の如何に関わらず利用者から要求された処理を行わないように制御する。
また、正当なパケットであれば、もちろん応答パケットを返すための処理を実施し、アクセス要求を許可する。
On the other hand, if the threat determination result is in the threat state at step 24, it is determined that the threat is in progress, the packet is discarded in
In this way, the access request is rejected without returning a response packet based on the processing results of the authentication unit and the threat determination unit if the threat is in a state.
In this denial of access request, authentication by the authentication unit is continued, but control is performed so that the processing requested by the user is not performed regardless of the authentication result.
If it is a legitimate packet, of course, processing for returning a response packet is performed, and an access request is permitted.
図7は、図1に示した情報処理装置1の脅威判定部12の処理を示すフローチャート図である。
ステップ31で、アクセス制御部からアクセス元のホストコンピュータについての認証結果とホスト情報を入力すると、ステップ32で管理テーブル記憶部の管理テーブルを更新する。
これにより、DoS管理テーブルとパスワードクラック管理テーブルの監視中であったエントリについて、そのエントリ中の時刻と現在時刻とを比較し、十分に時間が経過して、監視する対象でないエントリ(ホスト名に対応させて状態、カウンタ値、時刻を記憶した一欄の情報)があった場合は、管理テーブルから削除する。
FIG. 7 is a flowchart showing processing of the
When the authentication result and host information for the access source host computer are input from the access control unit in
As a result, for the entry being monitored in the DoS management table and the password crack management table, the time in the entry is compared with the current time. If there is information corresponding to one column storing the status, counter value, and time), the information is deleted from the management table.
ステップ33で、認証結果は成功か失敗かを判断し、成功なら、ステップ34へ進んで、管理テーブル記憶部の更新後のDoS管理テーブルからアクセス元のホスト名に該当するエントリを検索し、ステップ35で該当するエントリが有るか否かを判断し、該当するエントリが有れば、ステップ36でそのエントリ中のカウンタ値cdの値を1増やし、ステップ37でそのカウンタ値cdはDoS攻撃用の確定回数Cd(300回)以上か否かを判断し、カウンタ値cdが確定回数Cd以上なら、ステップ38でエントリ中の状態sdを脅威中に更新し、時刻tdを現在時刻+DoS攻撃用の脅威時間Td2(1分)の時刻に更新し、ステップ40へ進む。
また、ステップ37の判断で、カウンタ値cdが確定回数Cd以上でなければ、そのままステップ40へ進む。
In
If it is determined in
さらに、ステップ35で該当するエントリが無いと判断したら、ステップ39でDoS管理テーブルに新たなエントリとして追加登録し、そのエントリのホスト名にアクセス元のホストコンピュータのホスト名を、状態sdに監視中を、カウンタ値cdに+1を、時刻tdに現在時刻を登録し、ステップ40へ進む。
ステップ40では、当該エントリの状態sdをあらためて参照し、ステップ41へ進む。
If it is determined in step 35 that there is no corresponding entry, it is additionally registered as a new entry in the DoS management table in step 39, and the host name of the access source host computer is monitored in the status sd as the host name of the entry. , +1 is registered in the counter value cd, and the current time is registered in the time td.
In step 40, the state sd of the entry is referred again, and the process proceeds to step 41.
ステップ33の判断で、認証結果が失敗なら、ステップ43へ進んで、管理テーブル記憶部の更新後のパスワードクラック管理テーブルからアクセス元のホスト名に該当するエントリを検索し、ステップ44で該当するエントリが有るか否かを判断し、該当するエントリが有れば、ステップ45でそのエントリ中のカウンタ値cpの値を1増やし、ステップ46でそのカウンタ値cpはパスワードクラック攻撃用の確定回数Cp(100回)以上か否かを判断し、カウンタ値cpが確定回数Cp以上なら、ステップ47でエントリ中の状態spを脅威中に更新し、時刻tpを現在時刻+パスワードクラック攻撃用の脅威時間Tp2(1分)の時刻に更新し、ステップ49へ進む。
また、ステップ46の判断で、カウンタ値cpが確定回数Cp以上でなければ、そのままステップ49へ進む。
If it is determined in
If it is determined in
さらに、ステップ44で該当するエントリが無いと判断したら、ステップ48でパスワードクラック管理テーブルに新たなエントリとして追加登録し、そのエントリのホスト名にアクセス元のホストコンピュータのホスト名を、状態spに監視中を、カウンタ値cpに+1を、時刻tpに現在時刻を登録し、ステップ49へ進む。
ステップ49では、当該エントリの状態spをあらためて参照し、ステップ41へ進む。
If it is determined in
In step 49, the state sp of the entry is referred to again, and the process proceeds to step 41.
ステップ41で、当該エントリの状態sdが脅威中か、又は状態spが脅威中かを判断し、状態sdが脅威中、又は状態spが脅威中なら、ステップ42へ進み、状態sdが脅威中ならDoS管理テーブルの当該エントリのホスト名について、状態spが脅威中ならパスワードクラック管理テーブルの当該エントリのホスト名について、それぞれアクセス制御部へ脅威中の脅威判定結果を出力し、この処理を終了する。
また、状態sdも状態spも共に脅威中でなければ(共に監視中ならば)、ステップ50へ進み、状態sdが監視中ならDoS管理テーブルの当該エントリのホスト名について、状態spが監視中ならパスワードクラック管理テーブルの当該エントリのホスト名について、それぞれアクセス制御部へ監視中の脅威判定結果を出力し、この処理を終了する。
In step 41, it is determined whether the state sd of the entry is threatening or the state sp is threatening. If the state sd is threatening or the state sp is threatening, the process proceeds to step 42, and if the state sd is threatening. If the status sp is in threat for the host name of the entry in the DoS management table, the threat determination result in threat is output to the access control unit for the host name of the entry in the password crack management table, and the process is terminated.
If neither state sd nor state sp is in threat (if both are being monitored), the process proceeds to step 50. If state sd is being monitored, if state sp is being monitored for the host name of the entry in the DoS management table. For each host name of the entry in the password crack management table, the threat determination result being monitored is output to the access control unit, and this process ends.
このようにして、認証結果が成功であれば、DoS攻撃に関する処理をし、失敗であれば、パスワードクラック攻撃に関する処理をする。
基本的な処理として、管理テーブルにエントリがなかった場合は、新たにエントリを追加する。管理テーブルにエントリがあった場合は、カウンタ値を追加し、カウンタ値が確定回数以上であれば状態を脅威中に遷移させる。
ここでは、DoS攻撃の状態とパスワードクラック攻撃の状態はそれぞれ独立しているが、最終的には、DoS攻撃とパスワードクラック攻撃のどちらかが脅威中であれば、アクセス制御部14へは、脅威判定結果として脅威中である結果が返却される。
In this way, if the authentication result is successful, a process related to the DoS attack is performed, and if it is unsuccessful, a process related to the password crack attack is performed.
As a basic process, if there is no entry in the management table, a new entry is added. If there is an entry in the management table, a counter value is added, and if the counter value is equal to or greater than the fixed count, the state is changed to threat.
Here, the state of the DoS attack and the state of the password crack attack are independent from each other. However, if either the DoS attack or the password crack attack is in threat, the threat to the
図8は、図7の管理テーブルの更新処理の詳細な処理を示すフローチャート図である。
脅威判定部12は、管理テーブルの更新処理において、ステップ51でDoS管理テーブルの先頭から1エントリを参照し、ステップ52でそのエントリ中の状態sdは監視中か否かを判断し、監視中なら、ステップ53で現在時刻t−エントリ中の時刻td>DoS攻撃用の監視時間Td1か否かを判断し、現在時刻t−時刻td>監視時間Td1でなければ、そのままステップ55へ進み、現在時刻t−時刻td>監視時間Td1なら、ステップ54へ進んで当該エントリをDoS管理テーブルから削除して、ステップ55へ進む。
FIG. 8 is a flowchart showing detailed processing of the management table update processing of FIG.
In the update process of the management table, the
また、ステップ52の判断で、エントリ中の状態sdが監視中でなければ、ステップ56で現在時刻t>エントリ中の時刻tdか否かを判断し、現在時刻t>時刻tdでなければ、そのままステップ55へ進み、現在時刻t>時刻tdなら、ステップ54で当該エントリをDoS管理テーブルから削除して、ステップ55へ進む。
ステップ55では、DoS管理テーブルの全てのエントリについて上述のようなチェックをしたか否かを判断し、チェックしていないエントリが有れば、ステップ51へ戻って上述の処理を繰り返し、DoS管理テーブルの全てのエントリについてチェックを終了したら、ステップ57へ進む。
If it is determined in
In step 55, it is determined whether or not all the entries in the DoS management table have been checked as described above. If there is an entry that has not been checked, the process returns to step 51 and the above processing is repeated. When the check is completed for all the entries, the process proceeds to step 57.
ステップ57でパスワードクラック管理テーブルの先頭から1エントリを参照し、ステップ58でそのエントリ中の状態spは監視中か否かを判断し、監視中なら、ステップ59で現在時刻t−エントリ中の時刻tp>パスワードクラック攻撃用の監視時間Tp1か否かを判断し、現在時刻t−時刻tp>監視時間Tp1でなければ、そのままステップ61へ進み、現在時刻t−時刻tp>監視時間Tp1なら、ステップ60へ進んで当該エントリをパスワードクラック管理テーブルから削除して、ステップ61へ進む。
また、ステップ58の判断で、エントリ中の状態spが監視中でなければ、ステップ62で現在時刻t>エントリ中の時刻tpか否かを判断し、現在時刻t>時刻tpでなければ、そのままステップ61へ進み、現在時刻t>時刻tpなら、ステップ60で当該エントリをパスワードクラック管理テーブルから削除して、ステップ61へ進む。
In step 57, one entry is referenced from the head of the password crack management table. In step 58, it is determined whether or not the status sp in the entry is being monitored. If so, the current time t-the time in the entry is determined in
If it is determined in step 58 that the state sp in the entry is not being monitored, it is determined in step 62 whether or not the current time t> the time tp in the entry. Proceeding to step 61, if current time t> time tp, the entry is deleted from the password crack management table in
ステップ61では、パスワードクラック管理テーブルの全てのエントリについて上述のようなチェックをしたか否かを判断し、チェックしていないエントリが有れば、ステップ57へ戻って上述の処理を繰り返し、パスワードクラック管理テーブルの全てのエントリについてチェックを終了したら、この処理を終了する。
このようにして、DoS管理テーブルとパスワードクラック管理テーブルのすべてのエントリに対して更新処理を実施し、もし、状態が監視中であり、監視を開始してからの時間が監視時間以上経過していた場合と、状態が監視中ではなく、現在時刻が管理テーブルに記録されている時刻を過ぎていた場合には、そのエントリを削除する。
In
In this way, update processing is performed on all entries in the DoS management table and the password crack management table. If the status is being monitored, the time since monitoring has started exceeds the monitoring time. If the status is not being monitored and the current time has passed the time recorded in the management table, the entry is deleted.
図9は、脅威時間と脅威時間の延長の説明図である。
例えば、情報処理装置1がホストコンピュータ2からのアクセス要求に対する処理の場合、1回目のアクセス要求について認証が成功するとDoS攻撃を監視し、監視時間Td1(1秒)の間は状態sdを監視中にし、その監視時間中にアクセス要求と認証成功が300回以上になったとき、状態sdを脅威中に変更してDoS攻撃がされたものとして、そのアクセス要求の時点からパケットを読み捨てて応答をせず、ホストコンピュータ2からのアクセス要求を拒否する。
また、状態sdを脅威中にすると、時刻tdをその時刻から脅威時間Td2を加算した時刻に設定し、その設定した時刻までに新たな認証成功が有る度にその時刻から脅威時間Td2を加算した時刻に設定し直して脅威時間を延長する。
そして、設定した時刻tdになっても新たな認証成功がなければ、状態sdの脅威中を解除し、ホストコンピュータ2からのアクセス要求の拒否を解除する。
FIG. 9 is an explanatory diagram of the threat time and the extension of the threat time.
For example, when the
When the state sd is threatened, the time td is set to the time obtained by adding the threat time Td2 from that time, and the threat time Td2 is added from that time every time there is a new authentication success by the set time. Reset the time to extend the threat time.
If there is no new authentication success at the set time td, the threat in the state sd is canceled and the rejection of the access request from the
次に、ホストコンピュータ2からのアクセス要求について認証が失敗するとパスワードクラック攻撃を監視し、監視時間Tp1(5秒)の間は状態spを監視中にし、その監視時間中にアクセス要求と認証成功が100回以上になったとき、状態spを脅威中に変更してパスワードクラック攻撃がされたものとして、そのアクセス要求の時点からパケットを読み捨てて応答をせず、ホストコンピュータ2からのアクセス要求を拒否する。
また、状態spを脅威中にすると、時刻tpをその時刻から脅威時間Tp2を加算した時刻に設定し、その設定した時刻までに新たな認証失敗が有る度にその時刻から脅威時間Tp2を加算した時刻に設定し直して脅威時間を延長する。
そして、設定した時刻tpになっても新たな認証成功がなければ、状態spの脅威中を解除し、ホストコンピュータ2からのアクセス要求の拒否を解除する。
Next, when authentication fails for the access request from the
When the state sp is threatened, the time tp is set to the time obtained by adding the threat time Tp2 from that time, and the threat time Tp2 is added from that time every time there is a new authentication failure by the set time. Reset the time to extend the threat time.
If there is no new authentication success even at the set time tp, the threat in the state sp is canceled and the rejection of the access request from the
このように、DoS攻撃とパスワードクラック攻撃の状態は独立であり、はじめにDoS攻撃であると判定がされた後に、DoS攻撃の脅威としてアクセスされていても、認証結果が失敗となるパケットであれば認証失敗としてアクセス制御部により処理されるが、認証失敗とパケットを返却する。
しかし、認証失敗が続き、閾値を超えた場合には、当然、脅威であると判定し、パケット処理はされなくなり、認証失敗のパケットを返却しない。
As described above, the DoS attack and the password crack attack are independent from each other, and after being determined to be a DoS attack first, even if accessed as a DoS attack threat, the authentication result is a failed packet. Although it is processed by the access control unit as an authentication failure, an authentication failure and a packet are returned.
However, if the authentication failure continues and the threshold value is exceeded, it is naturally determined that it is a threat, packet processing is not performed, and an authentication failure packet is not returned.
このようにして、情報処理装置へのDoS攻撃とパスワードクラック攻撃の脅威となりうるアクセスを検出し、そのアクセスを安全に拒否することができる。
また、DoS攻撃とパスワードクラック攻撃に対するアクセス要求を拒否するロック機能を、一定期間続いた後に解除し、そのロック機能の有効期間を、DoS攻撃とパスワードクラック攻撃の脅威中について、それぞれ独立して延長できるようにすることにより、DoS攻撃とパスワードクラック攻撃の脅威について必要以上の制限を防ぎ、効率的に脅威を防ぐことができる。
In this way, it is possible to detect an access that can be a threat of a DoS attack and a password crack attack on the information processing apparatus, and to safely deny the access.
In addition, the lock function that rejects access requests for DoS attacks and password crack attacks is released after a certain period of time, and the effective period of the lock functions is extended independently during the DoS attack and password crack attack threats. By making it possible, it is possible to prevent unnecessary restrictions on the threats of DoS attacks and password crack attacks, and to efficiently prevent threats.
上記DoS管理テーブルとパスワードクラック管理テーブルでは、ホスト情報として、ユーザ名の如何にかかわらずホスト名でエントリを管理することにより、ログイン名とパスワードだけではない認証方法の一般的なアクセス方法にも対応することができる。
また、DoS攻撃とパスワードクラック攻撃の脅威中のホストコンピュータからのアクセスを拒否するので、正規の利用者からのアクセスを妨げることなく、脅威のあるアクセスのみを拒否することができる。
この実施形態の情報処理装置は、不特定多数の利用者が利用するネットワークにおいて、正規の利用者が安全に利用するためのセキュリティを向上させることができる。
また、上述の実施形態では、ホストコンピュータ毎に監視、脅威を判定、アクセス要求を拒否する場合について説明したが、ネットワークインタフェース、無線ローカルエリアネットワークインタフェースを含むインタフェース毎に監視、脅威を判定、アクセス要求を拒否するようにしてもよい。その場合、各インタフェースの種類毎に上述と同様にしてDoS管理テーブル、パスワードクラック管理テーブルを設けて管理すると良い。
In the DoS management table and password crack management table, the host information is used to manage entries by host name regardless of the user name, so that it can handle general access methods other than login name and password. can do.
Further, since access from the host computer during the threat of the DoS attack and password crack attack is rejected, only the access with the threat can be rejected without hindering access from the authorized user.
The information processing apparatus of this embodiment can improve security for a regular user to use safely in a network used by an unspecified number of users.
In the above embodiment, monitoring, threat determination, and access request rejection are described for each host computer. However, monitoring, threat determination, and access request are performed for each interface including a network interface and a wireless local area network interface. You may make it refuse. In that case, a DoS management table and a password crack management table may be provided and managed in the same manner as described above for each interface type.
この発明による情報処理装置と情報処理方法は、複写機、印刷機、ファクシミリ装置、複合機、コンピュータを含む装置全般に適用することができる。 The information processing apparatus and information processing method according to the present invention can be applied to all apparatuses including a copying machine, a printing machine, a facsimile machine, a multifunction machine, and a computer.
1:情報処理装置 2〜4:ホストコンピュータ 10:SNMP処理部 11:認証部 12:脅威判定部 13:管理テーブル記憶部 14:アクセス制御部 15:ネットワークI/F部 16:無線LAN・I/F部 1: Information processing device 2-4: Host computer 10: SNMP processing unit 11: Authentication unit 12: Threat determination unit 13: Management table storage unit 14: Access control unit 15: Network I / F unit 16: Wireless LAN / I / Part F
Claims (8)
前記認証手段による認証結果に基づいて、認証の成功回数が所定時間内に閾値以上になった利用者と、認証の失敗回数が所定時間内に閾値以上になった利用者とを判定する判定手段と、
前記判定手段によって判定された利用者からのアクセス要求を拒否するように制御する制御手段とを備えたことを特徴とする情報処理装置。 An authentication means for receiving an access request from a user and authentication information of the user by communication, and authenticating the user of the access request source based on the received authentication information;
Determination means for determining, based on an authentication result by the authentication means, a user whose authentication success count is equal to or greater than a threshold value within a predetermined time and a user whose authentication failure count is equal to or greater than a threshold value within a predetermined time When,
An information processing apparatus comprising: control means for controlling to reject an access request from a user determined by the determination means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007159229A JP4991406B2 (en) | 2007-06-15 | 2007-06-15 | Information processing apparatus, information processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007159229A JP4991406B2 (en) | 2007-06-15 | 2007-06-15 | Information processing apparatus, information processing method, and program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012105628A Division JP5376011B2 (en) | 2012-05-07 | 2012-05-07 | Information processing apparatus, information processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008310677A JP2008310677A (en) | 2008-12-25 |
JP4991406B2 true JP4991406B2 (en) | 2012-08-01 |
Family
ID=40238206
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007159229A Expired - Fee Related JP4991406B2 (en) | 2007-06-15 | 2007-06-15 | Information processing apparatus, information processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4991406B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010218462A (en) * | 2009-03-18 | 2010-09-30 | Ricoh Co Ltd | Information processor, information processing method, and program |
JP6502083B2 (en) * | 2014-12-18 | 2019-04-17 | 株式会社ジャパンネット銀行 | Authentication device, information terminal device, program, and authentication method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006079359A (en) * | 2004-09-09 | 2006-03-23 | Ricoh Co Ltd | Communication device, control method for communication device, program and recording medium |
JP2006228140A (en) * | 2005-02-21 | 2006-08-31 | Fuji Xerox Co Ltd | Information processor |
-
2007
- 2007-06-15 JP JP2007159229A patent/JP4991406B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008310677A (en) | 2008-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
JP6643373B2 (en) | Information processing system, control method and program therefor | |
JP2006127502A (en) | Wireless access point with fingerprint recognition function | |
JP2013122784A (en) | Information processing method, information processor and system | |
EP2239887B1 (en) | User managing method and apparatus | |
JP4511525B2 (en) | Access control system, access control device used therefor, and resource providing device | |
JP4656161B2 (en) | Authentication device, printing device, authentication printing system, authentication data input device and methods thereof | |
WO2009087702A1 (en) | Virtual machine execution program, user authentication program and information processor | |
JP2008500632A (en) | Network system and method for providing an ad hoc access environment | |
JP4115285B2 (en) | Network scanner device | |
JP2003218873A (en) | Communication monitoring apparatus and monitoring method | |
US9954853B2 (en) | Network security | |
US20150328119A1 (en) | Method of treating hair | |
JP5376011B2 (en) | Information processing apparatus, information processing method, and program | |
JP2004246715A (en) | Authentication information processing method | |
US7676668B2 (en) | System and method for monitoring configuration changes in a document processing device | |
JP5471418B2 (en) | Image processing device | |
JP4991406B2 (en) | Information processing apparatus, information processing method, and program | |
WO2013118302A1 (en) | Authentication management system, authentication management method, and authentication management program | |
JP7043480B2 (en) | Information processing system and its control method and program | |
WO2018051236A1 (en) | Protection of authentication tokens | |
JP2006164174A (en) | Information processor, user authentication processing, and access control method | |
JP2006079359A (en) | Communication device, control method for communication device, program and recording medium | |
JP4334605B2 (en) | Unauthorized access prevention device and unauthorized access prevention program | |
JP2006252016A (en) | User authentication system, user authentication server and user authentication program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100222 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120329 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120403 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120507 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4991406 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150511 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |