JP5160911B2 - User authentication device, user authentication method, and user authentication program - Google Patents
User authentication device, user authentication method, and user authentication program Download PDFInfo
- Publication number
- JP5160911B2 JP5160911B2 JP2008013120A JP2008013120A JP5160911B2 JP 5160911 B2 JP5160911 B2 JP 5160911B2 JP 2008013120 A JP2008013120 A JP 2008013120A JP 2008013120 A JP2008013120 A JP 2008013120A JP 5160911 B2 JP5160911 B2 JP 5160911B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- characteristic information
- behavior characteristic
- probability
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
この発明は、回線接続された端末を操作してアクセスしてきた利用者について本人であるか否かの確率を推定する本人認証装置、本人認証方法および本人認証プログラムに関する。 The present invention relates to a personal authentication device, a personal authentication method, and a personal authentication program for estimating the probability of whether or not a user who has accessed by operating a terminal connected to a line is the user.
従来より、例えば、回線接続された端末を操作する利用者がWebブラウザを介して会員制のホームページにログインしてサービスを受ける際に、利用者からIDおよびパスワードを受け付けて認証する個人認証システムが長らく運用されてきたが、パスワードは第三者による詐取が容易であるため、不正行為者によるなりすましリスクが高かった。そのような背景から、従来型のIDおよびパスワードによる認証方式に加え、複数の有効な認証方式を組み合わせたマルチファクタ認証が提案されている。 2. Description of the Related Art Conventionally, for example, when a user who operates a terminal connected to a line logs in to a membership home page via a Web browser and receives a service, a personal authentication system that accepts an ID and a password from the user and authenticates the user is provided. Although it has been used for a long time, passwords are easy to be fraudulent by third parties, so there is a high risk of impersonation by fraudsters. Against this background, multi-factor authentication that combines a plurality of effective authentication methods in addition to conventional ID and password authentication methods has been proposed.
現在、サービス提供者が利用者を認証する方式としては、暗証番号やパスワードといった本人が知っている知識を用いる方式と、生体情報や行動的特徴といった本人自身に備わっている特徴を用いる方式と、ICカードやハードウェアトークン(秘密情報が格納されたトークン)といった本人が所有する持ち物を用いる方式とが知られており、これらの3方式を組み合わせて認証することが望ましいとされている。 Currently, the service provider authenticates the user using a method that uses knowledge that the user knows such as a personal identification number and a password, and a method that uses the characteristics of the person himself such as biometric information and behavioral characteristics, Methods using personal belongings such as IC cards and hardware tokens (tokens storing confidential information) are known, and it is desirable to authenticate by combining these three methods.
しかしながら、生体情報などを用いる方式では、本人性を確認する手段としては強力であるものの、他人誤認や本人排除を防ぐために複雑な処理および専用装置が必要となり、この専用装置が非常に高価である場合もあるので、サービス提供者が導入することは容易ではない。また、利用者(エンドユーザ)においても専用装置をセットアップする手間などが発生するので、導入は容易でない。同様に、ハードウェアトークンなどを用いる方式では、トークンを読み取る装置などを予め利用者に配布する必要があり、初期導入コストが高くなる傾向がある。 However, although the method using biometric information is powerful as a means for confirming the identity, complicated processing and a dedicated device are required to prevent misidentification and exclusion of others, and this dedicated device is very expensive. In some cases, it is not easy for service providers to introduce. In addition, since the user (end user) needs to set up a dedicated device, the introduction is not easy. Similarly, in a method using a hardware token or the like, it is necessary to distribute a device or the like that reads the token to the user in advance, and the initial introduction cost tends to increase.
このようなことから、新たな装置の導入や配布が不要な認証方式として、既存のデバイス(利用者が操作する端末)から取得可能な複数の属性情報を用いてデバイスを判定する方式が提案されており、さらには、デバイスの属性情報だけでなく、接続元のネットワーク情報やアクセス時間帯などのアクセス情報を取得し、ユーザの断片的な行動パターンを分析してモデル化することで本人かどうかを判定するリスクベース認証方式も知られるに至っている。 For this reason, as an authentication method that does not require the introduction or distribution of a new device, a method for determining a device using a plurality of attribute information that can be acquired from an existing device (terminal operated by a user) has been proposed. In addition to device attribute information, access information such as connection source network information and access time zone is acquired, and whether or not the user is identified by analyzing and modeling user fragmentary behavior patterns Risk-based authentication methods for determining the risk are also known.
このリスクベース認証方式は、ログイン時のアクセスログなどからユーザの行動パターンを分析し、それに基づいて各トランザクションのリスク値を算出し、サービス提供者のポリシーに基づいたリスクレベルに応じて認証方式や認証強度を制御できることが特徴である。また、リスクベース認証ソリューションとしては、日本ベリサイン社のオンライン詐欺検知システムなどが知られており、リスクレベルの算出に用いる個々のファクタ(例えば、IPアドレス、ブラウザ情報、デバイス情報など)に対して、ポリシーやルールを定義し、閾値を設定した上でリスク値を算出する(例えば、非特許文献1および2参照)。
This risk-based authentication method analyzes the user's behavior pattern from the access log at the time of login, etc., calculates the risk value of each transaction based on it, and determines the authentication method and the risk level based on the risk level based on the policy of the service provider. The authentication strength can be controlled. As a risk-based authentication solution, VeriSign Japan's online fraud detection system is known, and for each factor used for calculating the risk level (for example, IP address, browser information, device information, etc.) A risk value is calculated after defining a policy or rule and setting a threshold (see, for example, Non-Patent
しかしながら、上記した従来の技術のうち、デバイスの属性情報のみを判定要素として本人認証を行う方式では、デバイスの盗難紛失リスクがあるので、第三者によるなりすましを完全に防止することはできないという課題がある。 However, among the conventional techniques described above, the method of performing personal authentication using only device attribute information as a determination element has a risk of device theft and loss, so that impersonation by a third party cannot be completely prevented. There is.
つまり、正規ユーザが所有する端末およびIDを用いて、正規ユーザ以外の人物が認証を依頼してきたような場合や、正規ユーザが利用するネットワークや回線を介して、かつ、正規ユーザが所有する端末およびIDを用いて、正規ユーザ以外の人物が認証を依頼してきたような場合(正規ユーザ以外の人物が悪意を持っているか否かは関係なく、例えば、家族で端末を共有し、IDを使い回しているような場合)、利用するネットワークが頻繁に変動する正規ユーザについて、その正規ユーザが所有する端末およびIDを用いて、正規ユーザ以外の人物が認証を依頼してきたような場合には、第三者によるなりすましを完全に防止することはできない。 In other words, when a person other than a regular user requests authentication using a terminal and ID owned by a regular user, or through a network or line used by a regular user and a terminal owned by a regular user And a person other than a regular user who requests authentication (regardless of whether or not a person other than a regular user has malicious intent, for example, a family share a terminal and use an ID In the case of a regular user whose network to be used frequently fluctuates, when a person other than the regular user requests authentication using a terminal and ID owned by the regular user, Spoofing by a third party cannot be completely prevented.
また、上記した従来の技術のうち、複数の判定要素を用いて本人認証を行う方式(マルチファクタ認証方式)では、個々の判定要素間の依存関係を考慮することや、正規ユーザである確率がどの程度であるかを判定することができないという課題がある。 In addition, among the above-described conventional techniques, in a method of performing personal authentication using a plurality of determination elements (multi-factor authentication method), the dependency between individual determination elements is considered, and the probability of being a regular user is high. There is a problem that it is not possible to determine how much.
つまり、マルチファクタ認証方式においては、複数の判定要素の論理積を取って最終的にOKまたはNGの判定を下すか、または、個々の判定要素ごとにポリシーを定め、定量化が可能な判定要素については閾値を設けるなどして総合的な判定を行う処理が必要になる。しかし、前者の判定処理では、正規ユーザである確率がどの程度であるかなど、リスクレベルを把握することは困難であり、サービス内容に応じて本人確認を強化するといった細やかな制御ができない。一方、後者の判定処理では、リスクレベルを表現することはできるが、個々の判定要素間の依存関係を考慮した精度の高い判定はできない。 In other words, in the multi-factor authentication method, a decision element that can be quantified by taking a logical product of a plurality of decision elements and finally making an OK or NG decision, or defining a policy for each decision element Needs to be comprehensively determined by setting a threshold. However, in the former determination process, it is difficult to grasp the risk level, such as the probability of being a regular user, and detailed control such as strengthening identity verification according to the service content is not possible. On the other hand, in the latter determination process, the risk level can be expressed, but the determination with high accuracy in consideration of the dependency relationship between the individual determination elements cannot be performed.
さらに、上記した従来の技術のうち、リスクベース認証ソリューションでは、サービス内容に適合した本人認証を容易に実現することや、精度の高い本人認証を行うことができないという課題がある。 Furthermore, among the above-described conventional techniques, the risk-based authentication solution has a problem that it is not possible to easily realize personal authentication suitable for the service content or to perform high-precision personal authentication.
つまり、リスクベース認証ソリューションでは、リスク値を算出するためのルールについて、サービスプロバイダなどの事業主体が柔軟に設定できるというメリットがある反面、そのサービス内容にチューニングされた設定やノウハウがなければ最適化の作業は容易でなく、サービス内容に適合した本人認証を必ずしも容易に実現することはできない。また、リスクベース認証ソリューションでは、判定のためのファクタ(例えば、IPアドレス、ブラウザ情報、デバイス情報など)は断片的に得られるものであり、個人の特徴を表すような連続的な情報を取得しているわけではないので、例えば、毎回異なる回線や端末からアクセスすることが多い高リスクの正規ユーザについて、本人でないと判定するおそれがあり、精度の高い本人認証はできない。 In other words, the risk-based authentication solution has the merit that business providers such as service providers can flexibly set rules for calculating risk values, but it is optimized if there is no tuned setting or know-how in the service content This is not easy, and it is not always possible to easily realize identity authentication adapted to the service content. In risk-based authentication solutions, factors for determination (eg, IP address, browser information, device information, etc.) are obtained in pieces, and continuous information representing individual characteristics is acquired. Therefore, for example, a high-risk regular user who is often accessed from a different line or terminal each time may be determined not to be a person, and high-precision personal authentication cannot be performed.
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、判定要素間の依存関係を加味した定量的な確率値として判定すること、サービスに適合した本人認証を容易かつ精度良く実現することが可能な本人認証装置、本人認証方法および本人認証プログラムを提供することを目的とする。 Therefore, the present invention has been made to solve the above-described problems of the prior art, and can be determined as a quantitative probability value taking into account the dependency relationship between the determination elements, and personal authentication suitable for the service can be easily performed. It is another object of the present invention to provide a personal authentication device, a personal authentication method, and a personal authentication program that can be realized with high accuracy.
上述した課題を解決し、目的を達成するため、本発明は、回線接続された端末を操作してアクセスしてきた利用者について本人であるか否かの確率を推定する本人認証装置であって、前記回線接続された端末から、当該端末を操作する利用者の行動特性情報を取得する行動特性情報取得手段と、前記行動特性情報取得手段によって取得された行動特性情報と、現にアクセスしてきた利用者の確率モデルとを用いて、利用者が本人である確率を示す確率値を算出する確率値算出手段と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention is a personal authentication device that estimates the probability of being a user for a user who has accessed by operating a line-connected terminal, The behavior characteristic information acquisition means for acquiring the behavior characteristic information of the user who operates the terminal from the terminal connected to the line, the behavior characteristic information acquired by the behavior characteristic information acquisition means, and the user who has actually accessed And a probability value calculating means for calculating a probability value indicating the probability that the user is the person using the probability model.
また、本発明は、上記の発明において、前記行動特性情報取得手段は、行動特性情報として、各利用者が操作している端末に対する利用者の操作に係る慣習的な特徴を示す慣習情報を取得することを特徴とする。 Also, in the present invention according to the above invention, the behavior characteristic information acquisition unit acquires, as behavior characteristic information, custom information indicating customary characteristics related to a user's operation on a terminal operated by each user. It is characterized by doing.
また、本発明は、上記の発明において、前記行動特性情報取得手段は、行動特性情報として、各利用者が操作している端末の属性を示す端末情報を取得することを特徴とする。 Moreover, the present invention is characterized in that, in the above-mentioned invention, the behavior characteristic information acquisition means acquires terminal information indicating an attribute of a terminal operated by each user as the behavior characteristic information.
また、本発明は、上記の発明において、前記行動特性情報取得手段は、行動特性情報として、各利用者が操作している端末が接続されている回線の属性を示す回線情報を取得することを特徴とする。 Further, the present invention is the above invention, wherein the behavior characteristic information acquisition unit acquires, as behavior characteristic information, line information indicating an attribute of a line to which a terminal operated by each user is connected. Features.
また、本発明は、上記の発明において、行動特性情報取得手段によって取得された行動特性情報を利用者ごとに記憶する行動特性情報記憶手段と、前記行動特性情報記憶手段によって記憶された行動特性情報から、各利用者の確率モデルを生成する確率モデル生成手段と、をさらに備えたことを特徴とする。 Further, according to the present invention, in the above invention, behavior characteristic information storage means for storing the behavior characteristic information acquired by the behavior characteristic information acquisition means for each user, and behavior characteristic information stored by the behavior characteristic information storage means And a probability model generating means for generating a probability model for each user.
また、本発明は、上記の発明において、前記確率値算出手段によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを認証する認証手段をさらに備えたことを特徴とする。 Further, the present invention is the above invention, further comprising authentication means for authenticating whether or not the user who has actually accessed is the user based on the probability value calculated by the probability value calculation means. Features.
また、本発明は、上記の発明において、前記認証手段は、前記確率値算出手段によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを認証した結果、現にアクセスしてきた利用者が本人でないと認証した場合には、他の認証方法を用いて、再度認証を行うことを特徴とする。 Further, according to the present invention, in the above invention, as a result of authenticating whether or not the user who has actually accessed is the user based on the probability value calculated by the probability value calculating means, When the user who has accessed is authenticated as not being the user, the authentication is performed again using another authentication method.
また、本発明は、回線接続された端末を操作してアクセスしてきた利用者について本人であるか否かの確率を推定する本人認証方法であって、前記回線接続された端末から、当該端末を操作する利用者の行動特性情報を取得する行動特性情報取得工程と、前記行動特性情報取得工程によって取得された行動特性情報と、現にアクセスしてきた利用者の確率モデルとを用いて、利用者が本人である確率を示す確率値を算出する確率値算出工程と、を含んだことを特徴とする。 The present invention is also a personal authentication method for estimating a probability of whether or not a user who has been accessed by operating a line-connected terminal is a user, wherein the terminal is connected to the line-connected terminal. Using the behavior characteristic information acquisition step for acquiring the behavior characteristic information of the user to be operated, the behavior characteristic information acquired by the behavior characteristic information acquisition step, and the probability model of the user who has actually accessed the user, And a probability value calculating step of calculating a probability value indicating the probability of identity.
また、本発明は、上記の発明において、前記行動特性情報取得工程は、行動特性情報として、各利用者が操作している端末に対する利用者の操作に係る慣習的な特徴を示す慣習情報を取得することを特徴とする。 Further, in the present invention according to the above invention, the behavior characteristic information acquisition step acquires, as behavior characteristic information, custom information indicating customary characteristics related to a user's operation on a terminal operated by each user. It is characterized by doing.
また、本発明は、上記の発明において、前記行動特性情報取得工程は、行動特性情報として、各利用者が操作している端末の属性を示す端末情報を取得することを特徴とする。 Moreover, the present invention is characterized in that, in the above-mentioned invention, the behavior characteristic information acquisition step acquires terminal information indicating an attribute of a terminal operated by each user as the behavior characteristic information.
また、本発明は、上記の発明において、前記行動特性情報取得工程は、行動特性情報として、各利用者が操作している端末が接続されている回線の属性を示す回線情報を取得することを特徴とする。 The present invention, in the above invention, the behavioral characteristic information acquisition step, as the action characteristic information, to acquire the line information indicating the attributes of the line terminals each user is operating is connected Features.
また、本発明は、上記の発明において、前記行動特性情報取得工程によって取得された行動特性情報を利用者ごとに所定の記憶部に記憶する行動特性情報記憶工程と、前記行動特性情報記憶工程によって記憶された行動特性情報から、各利用者の確率モデルを生成する確率モデル生成工程と、をさらに含んだことを特徴とする。 Further, according to the present invention, in the above invention, the behavior characteristic information storage step of storing the behavior characteristic information acquired by the behavior characteristic information acquisition step in a predetermined storage unit for each user, and the behavior characteristic information storage step And a probability model generation step of generating a probability model of each user from the stored behavior characteristic information.
また、本発明は、上記の発明において、前記確率値算出工程によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを認証する認証工程をさらに含んだことを特徴とする。 Further, the present invention, in the above invention, further includes an authentication step of authenticating whether or not the user who has actually accessed is the user based on the probability value calculated by the probability value calculation step. Features.
また、本発明は、上記の発明において、前記認証工程は、前記確率値算出工程によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを認証した結果、現にアクセスしてきた利用者が本人でないと認証した場合には、他の認証方法を用いて、再度認証を行うことを特徴とする。 Further, in the present invention according to the above invention, as a result of authenticating whether or not the user who has actually accessed is the user based on the probability value calculated by the probability value calculating step, When the user who has accessed is authenticated as not being the user, the authentication is performed again using another authentication method.
また、本発明は、回線接続された端末を操作してアクセスしてきた利用者について本人であるか否かの確率を推定する本人認証方法をコンピュータに実行させる本人認証プログラムであって、前記回線接続された端末から、当該端末を操作する利用者の行動特性情報を取得する行動特性情報取得手順と、前記行動特性情報取得手順によって取得された行動特性情報と、現にアクセスしてきた利用者の確率モデルとを用いて、利用者が本人である確率を示す確率値を算出する確率値算出手順と、をコンピュータに実行させることを特徴とする。 Further, the present invention is a personal authentication program for causing a computer to execute a personal authentication method for estimating a probability of whether or not a user who has accessed by operating a terminal connected to the line is a user. The behavior characteristic information acquisition procedure for acquiring the behavior characteristic information of the user who operates the terminal, the behavior characteristic information acquired by the behavior characteristic information acquisition procedure, and the probability model of the user who has actually accessed And a probability value calculation procedure for calculating a probability value indicating the probability that the user is the user.
また、本発明は、上記の発明において、前記行動特性情報取得手順は、行動特性情報として、各利用者が操作している端末に対する利用者の操作に係る慣習的な特徴を示す慣習情報を取得することを特徴とする。 Further, in the present invention according to the above invention, the behavior characteristic information acquisition procedure acquires, as behavior characteristic information, custom information indicating customary characteristics related to a user's operation on a terminal operated by each user. It is characterized by doing.
また、本発明は、上記の発明において、前記行動特性情報取得手順は、行動特性情報として、各利用者が操作している端末の属性を示す端末情報を取得することを特徴とする。 Moreover, the present invention is characterized in that, in the above-mentioned invention, the behavior characteristic information acquisition procedure acquires terminal information indicating an attribute of a terminal operated by each user as the behavior characteristic information.
また、本発明は、上記の発明において、前記行動特性情報取得手順は、行動特性情報として、各利用者が操作している端末が接続されている回線の属性を示す回線情報を取得することを特徴とする。 Also, in the present invention according to the above invention, the behavior characteristic information acquisition procedure acquires, as behavior characteristic information, line information indicating an attribute of a line to which a terminal operated by each user is connected. Features.
また、本発明は、上記の発明において、前記行動特性情報取得手順によって取得された行動特性情報を利用者ごとに所定の記憶部に記憶する行動特性情報記憶手順と、前記行動特性情報記憶手順によって記憶された行動特性情報から、各利用者の確率モデルを生成する確率モデル生成手順と、をさらにコンピュータに実行させることを特徴とする。 Further, according to the present invention, in the above invention, the behavior characteristic information storage procedure for storing the behavior characteristic information acquired by the behavior characteristic information acquisition procedure in a predetermined storage unit for each user, and the behavior characteristic information storage procedure A probability model generation procedure for generating a probability model for each user from the stored behavior characteristic information is further caused to be executed by a computer.
また、本発明は、上記の発明において、前記確率値算出手順によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを認証する認証手順をさらにコンピュータに実行させることを特徴とする。 Further, according to the present invention, in the above invention, the computer further executes an authentication procedure for authenticating whether or not the user who has actually accessed is the person himself / herself based on the probability value calculated by the probability value calculation procedure. It is characterized by that.
本発明は、上記の発明において、前記認証手順は、前記確率値算出手順によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを認証した結果、現にアクセスしてきた利用者が本人でないと認証した場合には、他の認証方法を用いて、再度認証を行うことを特徴とする。 According to the present invention, in the above invention, the authentication procedure is based on the probability value calculated by the probability value calculation procedure. When authenticating that the user is not the user, the authentication is performed again using another authentication method.
本発明によれば、回線接続された端末を操作してアクセスしてきた利用者について本人であるか否かの確率を推定し、回線接続された端末から、端末を操作する利用者の行動特性情報を取得し、取得された行動特性情報と、現にアクセスしてきた利用者の確率モデルとを用いて、利用者が本人である確率を示す確率値を算出するので、定量的な確率値として判定すること、サービスに適合した本人認証を容易かつ精度良く実現することが可能な本人認証装置、本人認証方法および本人認証プログラムを提供することが可能である。 According to the present invention, the probability of whether or not a user who has been accessed by operating a line-connected terminal is the user is estimated, and the behavior characteristic information of the user who operates the terminal from the line-connected terminal Since the probability value indicating the probability that the user is the user is calculated using the acquired behavior characteristic information and the probability model of the user who has actually accessed, it is determined as a quantitative probability value. In addition, it is possible to provide a personal authentication device, a personal authentication method, and a personal authentication program capable of easily and accurately realizing personal authentication suitable for the service.
本発明によれば、行動特性情報として、各利用者が操作している端末に対する利用者の操作に係る慣習的な特徴を示す慣習情報を取得するので、利用者の行動的特徴を表す慣習情報から、端末情報を詐取、模倣または再現された場合のなりすましリスクを低減することができる。 According to the present invention, as behavior characteristic information, the custom information indicating the custom characteristics related to the user's operation on the terminal operated by each user is acquired, so the custom information indicating the behavior characteristics of the user Therefore, the risk of impersonation when the terminal information is fraudulent, imitated or reproduced can be reduced.
本発明によれば、行動特性情報として、各利用者が操作している端末の属性を示す端末情報を取得するので、利用者端末の情報から、前回アクセス時の端末と同じ端末を用いているか否かの判定ができる。 According to the present invention, terminal information indicating the attributes of the terminal operated by each user is acquired as the behavior characteristic information, so whether the same terminal as the terminal at the previous access is used from the information of the user terminal. It can be determined whether or not.
本発明によれば、行動特性情報として、各利用者が操作している端末が接続されている回線の属性を示す回線情報を取得するので、利用者端末に接続された回線情報から、端末情報を詐取、模倣または再現された場合のなりすましリスクを低減することができる。 According to the present invention, the line information indicating the attribute of the line to which the terminal operated by each user is connected is acquired as the behavior characteristic information. Therefore, the terminal information is obtained from the line information connected to the user terminal. It is possible to reduce the risk of impersonation when fraudulent, imitated or reproduced.
本発明によれば、取得された行動特性情報を利用者ごとに記憶し、記憶された行動特性情報から、各利用者の確率モデルを生成するので、過去のアクセス情報から個人の行動に最適化された本人判定用のモデルデータを動的に作成することが可能である。 According to the present invention, the acquired behavior characteristic information is stored for each user, and the probability model of each user is generated from the stored behavior characteristic information, so that it is optimized for individual behavior from past access information It is possible to dynamically create model data for personal identification.
本発明によれば、算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを認証するので、他人が行った不正なアクセスを検知し、端末情報を詐取、模倣または再現された場合のなりすましリスクを低減することができる。 According to the present invention, based on the calculated probability value, it is authenticated whether or not the user who has actually accessed is the person himself / herself. Therefore, the unauthorized access made by another person is detected, and the terminal information is fraudulent and imitated. Or the risk of impersonation when it is reproduced can be reduced.
本発明によれば、算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを認証した結果、現にアクセスしてきた利用者が本人でないと認証した場合には、他の認証方法を用いて、再度認証を行うので、本人が行った正当なアクセスが、算出された確率値に基づいて不正なアクセスであると判定された場合でも、再度認証の機会を与えることが可能である。 According to the present invention, based on the calculated probability value, as a result of authenticating whether or not the user who has actually accessed is the principal, if the user who has actually accessed is not the principal, Since the authentication is performed again using the authentication method, even if it is determined that the legitimate access made by the person is unauthorized access based on the calculated probability value, the opportunity for authentication can be given again. Is possible.
以下に添付図面を参照して、この発明に係る本人認証装置、本人認証方法および本人認証プログラムの実施例を詳細に説明する。 Exemplary embodiments of a personal authentication device, a personal authentication method, and a personal authentication program according to the present invention will be described below in detail with reference to the accompanying drawings.
[1:本人認証装置の構成]
実施例に係る本人認証装置の構成を説明する。図1は、実施例に係る本人認証装置の構成を示すブロック図である。本人認証装置10は、回線接続された利用者端末40を操作してアクセスしてきた利用者について本人認証を行う装置であり、同図に示すように、行動特性情報抽出部30と、制御部31a、事前判定処理部31b、確率モデル生成部31cおよび確率推論部31dからなる認証処理部31と、ルール定義部21およびユーザ情報部22からなる記憶部20とを備える。
[1: Configuration of personal authentication device]
A configuration of the personal authentication apparatus according to the embodiment will be described. FIG. 1 is a block diagram illustrating the configuration of the personal authentication device according to the embodiment. The
なお、利用者端末40は、例えば、パーソナルコンピュータや、家庭用ゲーム機、インターネットTV、情報家電、PDA、あるいは携帯電話やPHSの如き移動体通信端末であり、少なくともネットワークに接続するための通信部と、利用者から各種の操作入力(例えば、ログインIDやログインパスワードなど)を受け付ける入力部とを備える。
Note that the
本人認証装置10の各部のうち、記憶部20は、認証処理部31による各種処理に必要なデータおよびプログラムを格納し、ルール定義部21およびユーザ情報部22からなるが、特に本発明に密接に関連するものとして、ユーザ情報部22を備える。
Among the units of the
ルール定義部21は、後述する事前判定処理部31bによる判定処理に用いるルールを記憶する。具体的に例を挙げれば、短時間の間に物理的に離れた場所からの同一ユーザIDによるアクセスや、人間的に不可能な短時間の間の連続アクセスなど、明らかに不正アクセスと判断される行為を判定するスクリプト記述を記憶する。
The
ユーザ情報部22は、アクセスしてきた利用者の情報を記憶する。具体的には、ユーザ情報部22は、図2に例示するように、アクセス履歴情報の他に、回線接続された利用者端末40から、後述する認証処理部31によって、利用者の特別な操作を伴わずに取得された当該利用者端末40を操作する利用者の行動特性情報であって、各利用者が操作している利用者端末40の属性を示す端末情報、該利用者端末40が接続されている回線の属性を示す回線情報、該利用者端末40に対する利用者の操作に係る慣習的な特徴を示す慣習情報をそれぞれアクセスログとして記憶する。
The
ユーザ情報部22は、「アクセス履歴情報」としては、例えば、利用者端末40において利用者が操作入力した情報である本人識別IDもしくはログインID、ログインパスワードなどを記憶する。
As the “access history information”, the
また、ユーザ情報部22は、「端末情報」としては、例えば、利用者端末40において稼働しているOSやブラウザを特定するOS情報、ブラウザ種別情報、ブラウザバージョン情報、ブラウザ設定情報(言語設定など)や、利用者端末40に搭載されているCPUを特定するCPU情報、利用者端末40のスクリーンを特定するスクリーン解像度、利用者端末40に設定されているシステム言語情報などを記憶する。
Further, the
また、ユーザ情報部22は、「回線情報」としては、例えば、アクセス元のIPアドレス情報、アクセス元の回線が契約している回線事業者もしくはプロバイダによって一意に付与されている回線識別情報、その回線事業者もしくはプロバイダを特定するプロバイダ情報(IPアドレス情報から導き出される情報)、アクセス元の地理的情報(IPアドレス情報から導き出せる情報)などを記憶する。
In addition, the
また、ユーザ情報部22は、「慣習情報」としては、例えば、アクセス年月日、アクセス時間帯等を含む時間情報、IDやパスワード入力時のキーボードの平均打鍵速度や隣接打鍵間速度、マウス操作の軌跡情報等を記憶する。 The “custom information” includes, for example, time information including an access date, an access time zone, an average keystroke speed of a keyboard when inputting an ID or a password, an adjacent keystroke speed, mouse operation, etc. The trajectory information and the like are stored.
行動特性抽出部30は、回線接続された端末から、当該端末を操作する利用者の行動特性情報をアクセスログとして取得する。具体的には、行動特性抽出部30は、利用者端末からネットワークを介して行動特性情報を取得し、取得された行動特性情報をユーザ情報記憶部22に記憶させる。なお、これらの行動特性情報は、HTTPヘッダ、Webページに組み込まれたJava(登録商標)Script、Flash、ActiveX等から取得可能であるが、取得方法はこれらに限定されるものではない。
The behavior characteristic extraction unit 30 acquires, as an access log, behavior characteristic information of a user who operates the terminal from a terminal connected to the line. Specifically, the behavior characteristic extraction unit 30 acquires behavior characteristic information from the user terminal via the network, and stores the acquired behavior characteristic information in the user
制御部31aは、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、主に、行動特性抽出部30、事前判定処理部31b、確率モデル生成部31cおよび確率推論部31dとの間で、データの送受信を行う。
The
事前判定処理部31bは、端末からのアクセスがあった場合に、当該アクセスが不正アクセスであるかを事前に判定する処理を実施するようにしてもよい。具体的には、事前判定処理部31bは、端末からのアクセスがあった場合に、ルール定義部21に記憶されたルールに基づいて、端末からのアクセスが不正なアクセスであるかを事前に判定し、アクセスが不正であると判定した場合には、ログイン処理を中止するようにしてもよい。一方、事前判定処理部31bは、アクセスが不正なアクセスでないと判定した場合には、その旨を制御部31aに通知する。
When there is an access from a terminal, the prior determination processing unit 31b may perform a process of determining in advance whether the access is unauthorized access. Specifically, when there is an access from a terminal, the prior determination processing unit 31b determines in advance whether the access from the terminal is an unauthorized access based on the rules stored in the
ここで、不正なアクセスであると判定する具体的な例としては、短時間の間に物理的に離れた場所からの同一ユーザIDによるアクセスや、物理的に不可能な短時間の間の連続アクセスなど、明らかに不正アクセスと判断される行為を不正なアクセスとして判定する。 Here, specific examples of determining unauthorized access include access by the same user ID from a physically distant place in a short time, or continuous for a short time that is physically impossible. Actions that are clearly judged as unauthorized access, such as access, are determined as unauthorized access.
認証処理部31は、行動特性情報抽出部30から抽出された行動特性情報に基づいて、事前判定処理部31bにおいて不正アクセスか否かを判定した結果を制御部31aが受け取り、不正アクセスでない場合は、確率推論部31dにおいて、既に確率モデル生成部31cにおいて生成された確率モデルに基づいて、現にアクセスしてきた利用者が本人であるかを示す本人推定値を算出する。さらに、算出された本人推定値を制御部31aが受け取り、算出された本人推定値が閾値以上であるか判定する。その結果、制御部31aが算出された推定値が閾値以上であると判定した場合には、正規利用者と判定し、利用者がサービスを受けるためのシステムにログインすることが出来るように制御し、確率モデル生成部31cが確率モデルとしての条件付確率表を更新する。
In the
確率モデル生成部31cは、行動特性情報抽出部30から抽出された行動特性情報が蓄積されているユーザ情報部22のアクセス情報に基づいて、個人の行動に最適化された本人判定用のモデルデータを動的に作成し、また確率モデルを更新する機能を持つ。
The probabilistic model generation unit 31c is model data for identity determination optimized for individual behavior based on the access information of the
また、制御部31aが算出された推定値が閾値以上でないと判定した場合には、再度本人確認を行うための追加認証を実施する。その結果、制御部31aが正当性を確認できた場合には、利用者がサービスを受けるためのシステムにログインすることが出来るように制御し、確率モデルを更新する。一方、追加認証の結果、正当性を確認できなかった場合には、ログイン処理を中止する。なお、追加認証の例としては、携帯電話や電子メールなどの他の通信経路により再度本人確認を行う方法があるが、追加認証の方式および閾値の基準をサービス事業者のポリシーに応じて柔軟に変更することができる。
In addition, when the
確率推論部31dでは、確率推論手法を用いて本人であるか否かの確率を推定する。確率推論手法の代表的な手法としては、多変量解析手法であるクラスタ分析や判別分析、また共分散構造分析、決定木、ニューラルネットワーク、ベイジアンネットワークなどが知られており、いずれかの方法で実施可能である。以下では、ベイジアンネットワークを用いた実施例を示すが、これに限定されるものではない。
The
ここで、確率推論部31dの確率モデルとしての条件付確率表の生成処理について図3および図4を用いて説明する。図3に示すように、確率推論部31dでは、認証要素の依存関係を定義した確率ネットワークモデルとしてのベイジアンネットワークモデルが定義されている。このベイジアンネットワークモデルは、各認証要素を表わすノードと、認証要素間の依存関係を規定するリンクによって表現することができる。
Here, processing for generating a conditional probability table as a probability model of the
このようなベイジアンネットワークモデルを用いて、確率推論部31dは、既に蓄積されている過去の行動特性情報(アクセスデータ)をユーザ情報部22から読み出し、ベイジアンネットワークモデルに則って、図4に例示するような条件付確率表を作成する。例えば、図4の例では、回線識別ID=N1、OS情報=S1でアクセスされた場合には、正規ユーザである確率が「0.95」(95パーセント)であり、回線識別ID=N1、OS情報=S2でアクセスされた場合には、正規ユーザである確率が「0.85」(85パーセント)となる。
Using such a Bayesian network model, the
つまり、図3および図4の例を用いて本人推定値計算処理を説明すると、確率推論部31dは、ベイジアンネットワークを構成する各ノードに対して、ユーザXの行動特性情報Y(回線識別ID=N1、OS情報=S1)が入力されたときの確率変動を計算し、本人判定を行うノードXの事後確率値「0.95」を返す。この値は本人らしさを表す本人推定値となる。
That is, when the person estimation value calculation process is described using the examples of FIGS. 3 and 4, the
ここで、図5を用いて、本人確率値の算出例を詳細に説明する。なお、図5では簡略に記されているが、「a1」が本人を示し、「a2」が他人を示し、「b」および「c」は、所定の行動特性情報を示すこととする。 Here, a calculation example of the principal probability value will be described in detail with reference to FIG. Although briefly described in FIG. 5, “a1” indicates the person, “a2” indicates the other person, and “b” and “c” indicate predetermined behavior characteristic information.
図5の上段に示すように、確率推論部31dは、ユーザ情報部22が保持するアクセスログとしての行動特性情報を確率ネットワークモデルに対して入力することで、各認証要素の観測値の出現頻度から確率を計算する。確率推論部31dは、その計算された確率を条件付確率表として保持する。このとき、各データの依存関係に基づいて条件付確率表が更新され、条件付確率が更新される。また、アクセスログ全体に対する「a1」の割合と「a2」の割合とをターゲット生起確率として算出する。
As shown in the upper part of FIG. 5, the
そして、確率推論部31dは、図5の下段に示すように、利用者からアクセスがあった場合に、本人確率値を算出する。つまり、図5の例では、確率推論部31dは、入力値として行動特性情報「b1」、「c2」が与えられた場合には、条件付確率表に対応するa1の条件付確率「0.048」と、a2の条件付確率「0.096」とを読み出す。そして、これらの値から本人である確率が33.3パーセント(=0.048/(0.048+0.096))となる。
Then, as shown in the lower part of FIG. 5, the
なお、この本人認証装置10は、既知のパーソナルコンピュータ、ワークステーションまたはPDAなどの情報処理装置に、上記した行動特性抽出部30、制御部31a、事前判定処理部31b、確率モデル生成部31cおよび確率推論部31dの各機能を搭載することによって実現することもできる。
The
[2:本人認証装置による処理]
次に、図6を用いて、本人認証装置による処理を説明する。図6は、本人認証処理の流れを示すフローチャートである。同図に示すように、本人認証装置10の行動特性抽出部30は、端末からのアクセスがあった場合に、利用者端末からネットワークを介して行動特性情報を取得する(ステップS101)。
[2: Processing by personal authentication device]
Next, processing by the personal authentication device will be described with reference to FIG. FIG. 6 is a flowchart showing the flow of the personal authentication process. As shown in the figure, the behavior characteristic extraction unit 30 of the
そして、事前判定処理部31bは、ルール定義部21に記憶されたルールに基づいて、端末からのアクセスが不正なアクセスであるかを事前に判定し(ステップS102)、アクセスが不正であると判定した場合には(ステップS102肯定)、ログイン処理を中止する(ステップS109)。一方、事前判定処理部31bがアクセスが不正なアクセスでないと判定した場合には(ステップS102否定)、確率推論部31dは、本人推定値を算出する(ステップS103)。そして、制御部31aが算出された推定値が閾値以上であるか判定する(ステップS104)。
Then, the advance determination processing unit 31b determines in advance whether the access from the terminal is an unauthorized access based on the rules stored in the rule definition unit 21 (step S102), and determines that the access is unauthorized. If so (Yes at Step S102), the login process is stopped (Step S109). On the other hand, when the prior determination processing unit 31b determines that the access is not unauthorized access (No at Step S102), the
その結果、制御部31aは、算出された推定値が閾値以上であると判定した場合には(ステップS104肯定)、正規利用者と判定し(ステップS105)、利用者がサービスを受けるためのシステムにログインすることが出来るように制御する。そして、確率モデル生成部31cは、確率モデル(つまり、条件付確率表)を更新する(ステップS106)。
As a result, when it is determined that the calculated estimated value is equal to or greater than the threshold value (Yes at Step S104), the
また、制御部31aは、算出された推定値が閾値以上でないと判定した場合には(ステップS104否定)、再度本人確認を行うための追加認証を実施する(ステップS107)。その結果、制御部31aは、正当性を確認できた場合には(ステップS108肯定)、利用者がサービスを受けるためのシステムにログインすることが出来るように制御し、確率モデルを更新する(ステップS106)。一方、制御部31aは、追加認証の結果、正当性を確認できなかった場合には(ステップS108否定)、ログイン処理を中止する(ステップS109)。
If it is determined that the calculated estimated value is not equal to or greater than the threshold value (No at Step S104), the
[3:実施例の効果]
上述してきたように、本人認証装置は、回線接続された端末を操作してアクセスしてきた利用者について本人であるか否かの確率を推定し、回線接続された端末から、端末を操作する利用者の行動特性情報を取得し、取得された行動特性情報と、現にアクセスしてきた利用者の確率モデルとを用いて、利用者が本人である確率を示す確率値を算出するので、定量的な確率値として判定すること、サービスに適合した本人認証を容易かつ精度良く実現することが可能な本人認証装置、本人認証方法および本人認証プログラムを提供することが可能である。
[3: Effect of the embodiment]
As described above, the identity authentication device estimates the probability of whether or not the user who accesses the terminal connected by operating the line-connected terminal and operates the terminal from the terminal connected to the line. User behavior characteristic information is obtained, and the probability value indicating the probability that the user is the user is calculated using the obtained behavior characteristic information and the probability model of the user who has actually accessed. It is possible to provide a personal authentication device, a personal authentication method, and a personal authentication program that can be determined as a probability value and that can easily and accurately realize personal authentication suitable for the service.
また、本人認証装置は、利用者端末の情報と利用者端末に接続された回線情報に加え、利用者の行動的特徴を表す慣習情報も取得することで、端末情報を詐取、模倣または再現された場合のなりすましリスクを低減することができる。 In addition to the user terminal information and the line information connected to the user terminal, the personal authentication device also obtains custom information representing the behavioral characteristics of the user, so that the terminal information can be fraudulent, imitated or reproduced. The spoofing risk can be reduced.
また、本人認証装置は、行動特性情報は特別なユーザアクションを伴わずに利用者端末から収集できる認証情報を用いるため、新たな装置の初期導入コストや配布コストを抑え、かつユーザへの過度な負担をかけずに高い操作性を提供できる。 In addition, since the personal authentication device uses authentication information that can be collected from the user terminal without special user action as the behavior characteristic information, the initial introduction cost and the distribution cost of the new device are suppressed, and the user is excessively charged. High operability can be provided without burden.
また、本人認証装置は、取得された行動特性情報を利用者ごとに記憶し、記憶された行動特性情報から、各利用者の確率モデルを生成するので、過去のアクセス情報から個人の行動に最適化された本人判定用のモデルデータを動的に作成することが可能である。 Also, the personal authentication device stores the acquired behavior characteristic information for each user, and generates a probability model for each user from the stored behavior characteristic information, so it is optimal for individual behavior from past access information It is possible to dynamically create a model data for personal identification.
また、本人認証装置は、認証の本人判定ロジックとして、ベイジアンネットワークなど確率推論技術を応用することにより、各ファクタの依存関係を確率的に表現することができ、個々のファクタに対して閾値やポリシーを設定することなく、動的なリスク値の算出が可能となる。 Also, the identity authentication device can probabilistically express the dependency of each factor by applying probabilistic reasoning technology such as Bayesian network as the identity determination logic for authentication. It is possible to dynamically calculate the risk value without setting.
[4:他の実施例]
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では本発明に含まれる他の実施例を説明する。
[4: Other embodiments]
Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. Therefore, another embodiment included in the present invention will be described below.
(1)実サービスへの導入例
例えば、本発明では、実サービスへの導入例として、図7に示すように、サービス提供装置としての銀行が提供するインターネットバンキングなどの認証システムやクレジットカードを利用する決済システムでの不正利用検知への応用などが考えられる。
(1) Example of introduction to actual service For example, in the present invention, as an example of introduction to an actual service, as shown in FIG. 7, an authentication system such as Internet banking provided by a bank as a service providing apparatus or a credit card is used. Application to fraudulent use detection in a payment system is possible.
また、図7に示すように、本人認証装置がサービス提供装置と一対一の関係で接続されて、本人認証処理を行っても良いし、一対複数または複数対複数で接続されて、本人認証処理を行っても良い。この場合には、共通する利用者に関するユーザ情報を共有して、本人認証処理を行っても良い。 In addition, as shown in FIG. 7, the personal authentication device may be connected to the service providing device in a one-to-one relationship to perform the personal authentication processing, or the personal authentication processing may be performed in a one-to-multiple or multiple-to-multiple connection. May be performed. In this case, user authentication processing may be performed by sharing user information regarding common users.
(2)システム構成等
また、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(2) System configuration, etc. In addition, the processing procedures, control procedures, specific names, information including various data and parameters shown in the above documents and drawings may be arbitrarily changed unless otherwise specified. it can.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
なお、本実施例で説明した本人認証方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。 The personal authentication method described in the present embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program can be distributed via a network such as the Internet. The program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD and being read from the recording medium by the computer.
以上のように、本発明に係る本人認証装置、本人認証方法および本人認証プログラムは、回線接続された端末を操作してアクセスしてきた利用者について本人であるか否かの確率を推定するのに有用であり、特に、判定要素間の依存関係を加味した定量的な確率値として判定すること、サービスに適合した本人認証を容易かつ精度良く実現することに適する。 As described above, the user authentication apparatus, the user authentication method, and the user authentication program according to the present invention estimate the probability of being a user of a user who has accessed by operating a line-connected terminal. It is useful, and is particularly suitable for determining as a quantitative probability value taking into account the dependency between the determination elements, and for easily and accurately realizing personal authentication suitable for the service.
10 本人認証装置
20 記憶部
21 ルール定義部
22 ユーザ情報部
30 行動特性情報抽出部
31 認証処理部
31a 制御部
31b 事前判定処理部
31c 確率モデル作成部
31d 確率推論部
40 利用者端末
DESCRIPTION OF
Claims (21)
前記回線接続された端末から、当該端末を操作する利用者の第1の行動特性情報および第2の行動特性情報を取得する行動特性情報取得手段と、
現にアクセスしてきた利用者について、前記行動特性情報取得手段によって取得された第1の行動特性情報及び第2の行動特性情報と、当該利用者が本人である場合に前記第1の行動特性情報が発生する条件付確率と当該利用者が本人である場合に前記第2の行動特性情報が発生する条件付確率とを組み合わせた確率モデルとを用いて、当該利用者が本人である確率を示す確率値を算出する確率値算出手段と、
前記確率値算出手段によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを推定する推定手段と、
前記推定手段によって現にアクセスしてきた利用者が本人であると推定された場合に、前記確率モデルを更新する確率モデル更新手段と、
を備えたことを特徴とする本人認証装置。 A user authentication device that estimates a probability of whether or not a user who has accessed a terminal connected to a line by accessing the line is connected.
Behavior characteristic information acquisition means for acquiring first behavior characteristic information and second behavior characteristic information of a user who operates the terminal from the line-connected terminal;
For the user who has actually accessed , the first behavior characteristic information and the second behavior characteristic information acquired by the behavior characteristic information acquisition means, and the first behavior characteristic information when the user is the user Probability that indicates the probability that the user is the principal using a probability model that combines the conditional probability that occurs and the conditional probability that the second behavior characteristic information occurs when the user is the principal A probability value calculating means for calculating a value;
Based on the probability value calculated by the probability value calculating means, estimating means for estimating whether or not the user who has actually accessed is the person,
Probability model update means for updating the probability model when it is estimated that the user who has actually accessed by the estimation means is the person himself,
A personal authentication device comprising:
前記行動特性情報記憶手段によって記憶された第1の行動特性情報および第2の行動特性情報から、各利用者の確率モデルを生成する確率モデル生成手段と、
をさらに備えたことを特徴とする請求項1〜4のいずれか一つに記載の本人認証装置。 Behavior characteristic information storage means for storing the first behavior characteristic information and the second behavior characteristic information acquired by the behavior characteristic information acquisition means for each user;
Probability model generation means for generating a probability model for each user from the first behavior characteristic information and the second behavior characteristic information stored by the behavior characteristic information storage means;
The personal authentication device according to claim 1, further comprising:
前記回線接続された端末から、当該端末を操作する利用者の第1の行動特性情報および第2の行動特性情報を取得する行動特性情報取得工程と、
現にアクセスしてきた利用者について、前記行動特性情報取得工程によって取得された第1の行動特性情報及び第2の行動特性情報と、当該利用者が本人である場合に前記第1の行動特性情報が発生する条件付確率と当該利用者が本人である場合に前記第2の行動特性情報が発生する条件付確率とを組み合わせた確率モデルとを用いて、当該利用者が本人である確率を示す確率値を算出する確率値算出工程と、
前記確率値算出工程によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを推定する推定工程と、
前記推定工程によって現にアクセスしてきた利用者が本人であると推定された場合に、前記確率モデルを更新する確率モデル更新工程と、
を含んだことを特徴とする本人認証方法。 A user authentication method for estimating a probability of whether or not a user who has accessed by operating a terminal connected to a line is an identity,
A behavior characteristic information acquisition step of acquiring first behavior characteristic information and second behavior characteristic information of a user who operates the terminal from the terminal connected to the line;
For the user who has actually accessed , the first behavior characteristic information and the second behavior characteristic information acquired by the behavior characteristic information acquisition step, and the first behavior characteristic information when the user is the user Probability that indicates the probability that the user is the principal using a probability model that combines the conditional probability that occurs and the conditional probability that the second behavior characteristic information occurs when the user is the principal A probability value calculating step of calculating a value;
Based on the probability value calculated by the probability value calculation step, an estimation step for estimating whether or not the user who has actually accessed is the user,
A probability model update step of updating the probability model when it is estimated that the user who has actually accessed by the estimation step is the user,
A personal authentication method characterized by including
前記行動特性情報記憶工程によって記憶された第1の行動特性情報および第2の行動特性情報から、各利用者の確率モデルを生成する確率モデル生成工程と、
をさらに含んだことを特徴とする請求項8〜11のいずれか一つに記載の本人認証方法。 A behavior characteristic information storage step of storing the first behavior characteristic information and the second behavior characteristic information acquired by the behavior characteristic information acquisition step in a predetermined storage unit for each user;
A probability model generation step of generating a probability model of each user from the first behavior characteristic information and the second behavior characteristic information stored in the behavior characteristic information storage step;
The personal authentication method according to claim 8, further comprising:
前記回線接続された端末から、当該端末を操作する利用者の第1の行動特性情報および第2の行動特性情報を取得する行動特性情報取得手順と、
現にアクセスしてきた利用者について、前記行動特性情報取得手順によって取得された第1の行動特性情報及び第2の行動特性情報と、当該利用者が本人である場合に前記第1の行動特性情報が発生する条件付確率と当該利用者が本人である場合に前記第2の行動特性情報が発生する条件付確率とを組み合わせた確率モデルとを用いて、当該利用者が本人である確率を示す確率値を算出する確率値算出手順と、
前記確率値算出手順によって算出された確率値に基づいて、現にアクセスしてきた利用者が本人であるか否かを推定する推定手順と、
前記推定手順によって現にアクセスしてきた利用者が本人であると推定された場合に、前記確率モデルを更新する確率モデル更新手順と、
をコンピュータに実行させることを特徴とする本人認証プログラム。 A personal authentication program for causing a computer to execute a personal authentication method for estimating a probability of whether or not a user who has been accessed by operating a terminal connected to a line is,
Behavior characteristic information acquisition procedure for acquiring first behavior characteristic information and second behavior characteristic information of a user who operates the terminal from the line-connected terminal;
For the user who has actually accessed , the first behavior characteristic information and the second behavior characteristic information acquired by the behavior characteristic information acquisition procedure, and the first behavior characteristic information when the user is the user Probability that indicates the probability that the user is the principal using a probability model that combines the conditional probability that occurs and the conditional probability that the second behavior characteristic information occurs when the user is the principal A probability value calculation procedure for calculating a value;
Based on the probability value calculated by the probability value calculation procedure, an estimation procedure for estimating whether or not the user who has actually accessed is the user,
Probability model update procedure for updating the probability model when it is estimated that the user who has actually accessed by the estimation procedure is the user,
A personal authentication program characterized by causing a computer to execute.
前記行動特性情報記憶手順によって記憶された第1の行動特性情報および第2の行動特性情報から、各利用者の確率モデルを生成する確率モデル生成手順と、
をさらにコンピュータに実行させることを特徴とする請求項15〜18のいずれか一つに記載の本人認証プログラム。 A behavior characteristic information storage procedure for storing the first behavior characteristic information and the second behavior characteristic information acquired by the behavior characteristic information acquisition procedure in a predetermined storage unit for each user;
A probability model generation procedure for generating a probability model of each user from the first behavior characteristic information and the second behavior characteristic information stored by the behavior characteristic information storage procedure;
The personal authentication program according to claim 15, further causing a computer to execute.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008013120A JP5160911B2 (en) | 2008-01-23 | 2008-01-23 | User authentication device, user authentication method, and user authentication program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008013120A JP5160911B2 (en) | 2008-01-23 | 2008-01-23 | User authentication device, user authentication method, and user authentication program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009175984A JP2009175984A (en) | 2009-08-06 |
| JP5160911B2 true JP5160911B2 (en) | 2013-03-13 |
Family
ID=41031014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008013120A Expired - Fee Related JP5160911B2 (en) | 2008-01-23 | 2008-01-23 | User authentication device, user authentication method, and user authentication program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5160911B2 (en) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9412123B2 (en) | 2003-07-01 | 2016-08-09 | The 41St Parameter, Inc. | Keystroke analysis |
| US10999298B2 (en) | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
| US8938671B2 (en) | 2005-12-16 | 2015-01-20 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
| US11301585B2 (en) | 2005-12-16 | 2022-04-12 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
| US8151327B2 (en) | 2006-03-31 | 2012-04-03 | The 41St Parameter, Inc. | Systems and methods for detection of session tampering and fraud prevention |
| US9112850B1 (en) | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
| CA2675664A1 (en) * | 2009-08-28 | 2009-11-05 | Ibm Canada Limited - Ibm Canada Limitee | Escalation of user identity and validation requirements to counter a threat |
| JP5782783B2 (en) * | 2011-03-31 | 2015-09-24 | カシオ計算機株式会社 | Touch processing apparatus and program |
| US10754913B2 (en) | 2011-11-15 | 2020-08-25 | Tapad, Inc. | System and method for analyzing user device information |
| US9633201B1 (en) | 2012-03-01 | 2017-04-25 | The 41St Parameter, Inc. | Methods and systems for fraud containment |
| US9521551B2 (en) | 2012-03-22 | 2016-12-13 | The 41St Parameter, Inc. | Methods and systems for persistent cross-application mobile device identification |
| EP2880619A1 (en) | 2012-08-02 | 2015-06-10 | The 41st Parameter, Inc. | Systems and methods for accessing records via derivative locators |
| WO2014078569A1 (en) | 2012-11-14 | 2014-05-22 | The 41St Parameter, Inc. | Systems and methods of global identification |
| JP2014123309A (en) * | 2012-12-21 | 2014-07-03 | Fujitsu Ltd | Program, method, and information processor |
| WO2014132431A1 (en) * | 2013-03-01 | 2014-09-04 | 株式会社日立製作所 | Method for detecting unfair use and device for detecting unfair use |
| US10902327B1 (en) | 2013-08-30 | 2021-01-26 | The 41St Parameter, Inc. | System and method for device identification and uniqueness |
| JP6066877B2 (en) * | 2013-09-26 | 2017-01-25 | 株式会社Kddi総合研究所 | Authentication server, authentication method, and authentication program |
| JP2015176365A (en) | 2014-03-14 | 2015-10-05 | 富士通株式会社 | Message transmission device, message reception device, message transmission program, message reception program, and message check method |
| US10091312B1 (en) | 2014-10-14 | 2018-10-02 | The 41St Parameter, Inc. | Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups |
| JP6361512B2 (en) | 2015-01-08 | 2018-07-25 | 富士通株式会社 | User determination apparatus, method, and program |
| JP6565194B2 (en) * | 2015-01-15 | 2019-08-28 | 富士通株式会社 | Terminal determination apparatus, method, and program |
| JP6570079B2 (en) | 2015-01-19 | 2019-09-04 | 日本電気株式会社 | Authentication apparatus, method, system and program, and server apparatus |
| JP6135715B2 (en) * | 2015-07-10 | 2017-05-31 | カシオ計算機株式会社 | User authentication apparatus and program |
| JP6555983B2 (en) * | 2015-08-27 | 2019-08-07 | Kddi株式会社 | Apparatus, method, and program for determining authentication method |
| JP6279643B2 (en) * | 2016-03-28 | 2018-02-14 | 株式会社 みずほ銀行 | Login management system, login management method, and login management program |
| JP6347557B2 (en) * | 2016-05-03 | 2018-06-27 | 株式会社カウリス | Service providing system, service providing method, verification device, verification method, and computer program |
| JP6599282B2 (en) * | 2016-05-19 | 2019-10-30 | 日本電信電話株式会社 | Learning data generation device for risk determination model, learning data generation method for risk determination model, program |
| JP6399064B2 (en) * | 2016-09-07 | 2018-10-03 | トヨタ自動車株式会社 | User specific system |
| JP6792517B2 (en) * | 2017-06-05 | 2020-11-25 | 日本電信電話株式会社 | Authentication device and authentication method |
| JP6647258B2 (en) * | 2017-09-11 | 2020-02-14 | Capy株式会社 | User authentication method, evaluation device, program, and user authentication system |
| CN107623696B (en) * | 2017-09-30 | 2020-11-24 | 北京梆梆安全科技有限公司 | User identity verification method and device based on user behavior characteristics |
| JP6506384B2 (en) * | 2017-12-27 | 2019-04-24 | 株式会社カウリス | Service providing system, service providing method, verification apparatus, verification method, and computer program |
| JP6514383B1 (en) * | 2018-03-19 | 2019-05-15 | ヤフー株式会社 | Judgment apparatus, judgment method, and program |
| CN108446546A (en) * | 2018-03-20 | 2018-08-24 | 深信服科技股份有限公司 | Abnormal access detection method, device, equipment and computer readable storage medium |
| JP7003361B2 (en) * | 2018-04-17 | 2022-01-20 | 株式会社Nttドコモ | Authentication device |
| CN108875327A (en) | 2018-05-28 | 2018-11-23 | 阿里巴巴集团控股有限公司 | One seed nucleus body method and apparatus |
| JP6916762B2 (en) * | 2018-06-21 | 2021-08-11 | Kddi株式会社 | Method determination device, method determination method and method determination program |
| JP6952074B2 (en) * | 2019-03-29 | 2021-10-20 | 株式会社ジェーシービー | Information processing equipment, information processing methods and programs |
| JP7240240B2 (en) * | 2019-04-24 | 2023-03-15 | ヤフー株式会社 | Information processing device, information processing method, and program |
| WO2021038952A1 (en) * | 2019-08-26 | 2021-03-04 | 株式会社Nttドコモ | Authorization device |
| JP7027647B2 (en) * | 2019-11-08 | 2022-03-02 | Egセキュアソリューションズ株式会社 | Programs, information processing equipment and information processing methods |
| JP6860156B1 (en) * | 2020-07-30 | 2021-04-14 | かっこ株式会社 | Fraud detection systems, fraud detection methods, and programs |
| EP4006760B1 (en) | 2020-09-29 | 2023-06-28 | Rakuten Group, Inc. | Anomaly determination system, anomaly determination method, and program |
| US20220210151A1 (en) * | 2020-12-30 | 2022-06-30 | Mastercard Technologies Canada ULC | Systems and methods for passive multi-factor authentication of device users |
| JP7406037B1 (en) * | 2023-09-01 | 2023-12-26 | PayPay株式会社 | Service provision equipment, service provision method, and program |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1470549B1 (en) * | 2001-12-12 | 2019-04-10 | Nuance Communications, Inc. | Method and system for non-intrusive speaker verification using behavior models |
| JP4350985B2 (en) * | 2003-07-04 | 2009-10-28 | 株式会社富士通エフサス | Device usage management system |
| JP3833652B2 (en) * | 2003-12-17 | 2006-10-18 | 株式会社エヌ・エス・アイ | Network system, server device, and authentication method |
| JP2007220075A (en) * | 2006-01-19 | 2007-08-30 | Toshiba Corp | Personal authentication device, positional information transmission device, personal authentication system, personal authentication method, and personal authentication program |
-
2008
- 2008-01-23 JP JP2008013120A patent/JP5160911B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009175984A (en) | 2009-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5160911B2 (en) | User authentication device, user authentication method, and user authentication program | |
| KR102369228B1 (en) | Risk analysis apparatus and method for risk based authentication | |
| KR102413638B1 (en) | System and method for authentication service | |
| US10965668B2 (en) | Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification | |
| CN106797371B (en) | Method and system for user authentication | |
| EP3123692B1 (en) | Techniques to operate a service with machine generated authentication tokens | |
| CN108804906B (en) | System and method for application login | |
| CA2641995C (en) | System and method for network-based fraud and authentication services | |
| Ceccarelli et al. | Continuous and transparent user identity verification for secure internet services | |
| US9160726B1 (en) | Authentication system with selective authentication method based on risk reasoning | |
| JP6113678B2 (en) | Authentication apparatus, authentication system, and authentication method | |
| EP3005215B1 (en) | Passive security of applications | |
| US20070157156A1 (en) | Information models and the application life cycle | |
| US10721079B2 (en) | Detection of anomalous key material | |
| CN106453205B (en) | identity verification method and device | |
| US10142308B1 (en) | User authentication | |
| US11714886B2 (en) | Modifying application function based on login attempt confidence score | |
| JP6438534B2 (en) | System and method for performing secure online banking transactions | |
| US9660981B2 (en) | Strong authentication method | |
| Bakar et al. | Adaptive authentication based on analysis of user behavior | |
| Olanrewaju et al. | A frictionless and secure user authentication in web-based premium applications | |
| US20230006844A1 (en) | Dynamic value appended to cookie data for fraud detection and step-up authentication | |
| JP2007272600A (en) | Personal authentication method, system and program associated with environment authentication | |
| CN109583177B (en) | System and method for identifying new devices during user interaction with banking services | |
| RU2303811C1 (en) | Remote user authentication method and the system for realization of the method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100108 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120727 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120731 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120928 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121211 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121213 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151221 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |