[go: up one dir, main page]

JP6361368B2 - Authentication apparatus and program - Google Patents

Authentication apparatus and program Download PDF

Info

Publication number
JP6361368B2
JP6361368B2 JP2014167850A JP2014167850A JP6361368B2 JP 6361368 B2 JP6361368 B2 JP 6361368B2 JP 2014167850 A JP2014167850 A JP 2014167850A JP 2014167850 A JP2014167850 A JP 2014167850A JP 6361368 B2 JP6361368 B2 JP 6361368B2
Authority
JP
Japan
Prior art keywords
authentication
authentication request
unauthorized
target range
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014167850A
Other languages
Japanese (ja)
Other versions
JP2016045589A (en
Inventor
健一郎 木子
健一郎 木子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2014167850A priority Critical patent/JP6361368B2/en
Publication of JP2016045589A publication Critical patent/JP2016045589A/en
Application granted granted Critical
Publication of JP6361368B2 publication Critical patent/JP6361368B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、認証装置及びプログラムに関する。   The present invention relates to an authentication device and a program.

通信ネットワーク経由で利用者にサービスを提供する場合などにおいて、利用者が利用する携帯端末、パーソナルコンピュータなどの端末装置からその利用者を認証するための認証情報を受け付けて、利用者を認証することがある。一般的に認証情報としてパスワード等の利用者固有の情報を入力させることで安全性を保っている。このようなシステムにおいて、第三者が他人の認証情報を入手して不正に認証を受けようとしたり、推測の認証情報を繰り返し入力して認証を受けようと試みたりすることがある。   When providing a service to a user via a communication network, accepting authentication information for authenticating the user from a terminal device such as a portable terminal or a personal computer used by the user, and authenticating the user There is. Generally, security is maintained by inputting user-specific information such as a password as authentication information. In such a system, there are cases where a third party obtains authentication information of another person and tries to authenticate illegally, or repeatedly attempts to receive authentication by repeatedly inputting estimated authentication information.

前者に対する防止策としては、特許文献1に記載の発明のように、同一のユーザIDによるアクセスにおいて、サーバへの最新のアクセス位置と、2番目に新しいアクセス位置との距離と時間との関係から不正ログインを判定する技術がある。後者に対する防止策としては、特定の利用者について所定回数、連続して誤った認証情報が入力されるなど、不自然な認証要求があった場合に、当該利用者に対する認証を一時的に制限する機能が知られている。   As a preventive measure against the former, as in the invention described in Patent Document 1, in the access by the same user ID, the relationship between the latest access position to the server and the distance between the second new access position and the time is used. There is a technique for determining unauthorized login. As a preventive measure against the latter, if there is an unnatural authentication request, such as when wrong authentication information is input continuously for a specific user a predetermined number of times, authentication for that user is temporarily restricted. The function is known.

特開2012−212354号公報JP 2012-212354 A

本発明の目的の一つは、不正な認証要求を受けた際に認証の制限を実施する場合において、認証を制限する範囲を限られた範囲に抑制する認証装置を提供することにある。   One of the objects of the present invention is to provide an authentication apparatus that restricts the range of limiting authentication to a limited range when limiting authentication when receiving an unauthorized authentication request.

請求項1に記載の発明は、認証装置であって、端末装置に入力された利用者であることを認証するための認証情報と、当該端末装置の位置を示す位置情報と、を含む認証要求を受け付ける受付部と、前記受付部が前記認証要求を受け付けた場合に、当該認証要求に含まれる認証情報を用いて利用者の認証を行う認証処理部と、前記認証の失敗により不正な認証要求が行われたと判定される場合に、当該不正な認証要求に含まれる位置情報を基準として制限対象範囲を設定する範囲設定部と、前記不正な認証要求が行われた後に前記受付部が新たな認証要求を受け付けた際に、当該新たな認証要求に含まれる位置情報の示す位置が前記制限対象範囲内にある場合、当該新たな認証要求に対する認証を制限する認証制限部と、を含むこととしたものである。   The invention described in claim 1 is an authentication device, and includes an authentication request for authenticating that the user is input to the terminal device, and location information indicating the location of the terminal device. An authentication processing unit that authenticates a user using authentication information included in the authentication request when the reception unit receives the authentication request, and an unauthorized authentication request due to the authentication failure. A range setting unit that sets a restriction target range with reference to position information included in the unauthorized authentication request, and the reception unit receives a new request after the unauthorized authentication request is made. An authentication restricting unit that restricts authentication for the new authentication request when the position indicated by the position information included in the new authentication request is within the restriction target range when the authentication request is received. Did It is.

請求項2に記載の発明は、請求項1に記載の認証装置であって、前記認証処理部は、前記制限対象範囲が設定された状態で前記受付部が新たな認証要求を受け付けた際に、当該新たな認証要求に含まれる位置情報の示す位置が前記制限対象範囲の外にある場合、当該新たな認証要求に対する認証を行う、こととしたものである。   The invention according to claim 2 is the authentication apparatus according to claim 1, wherein the authentication processing unit receives a new authentication request when the receiving unit receives a new authentication request in a state where the restriction target range is set. When the position indicated by the position information included in the new authentication request is outside the restriction target range, authentication for the new authentication request is performed.

請求項3に記載の発明は、請求項1または2に記載の認証装置であって、前記範囲設定部は、前記不正な認証要求が行われた後、時間が経過するに従って、前記制限対象範囲の大きさを拡大させる、こととしたものである。   A third aspect of the present invention is the authentication apparatus according to the first or second aspect, wherein the range setting unit is configured to limit the range to be restricted as time passes after the unauthorized authentication request is made. The size of the is to be expanded.

請求項4に記載の発明は、請求項1から3のいずれか一項に記載の認証装置であって、前記範囲設定部は、前記制限対象範囲が設定された状態で前記受付部が新たな認証要求を受け付けた際に、当該新たな認証要求が、前記不正な認証要求を行った端末装置によって行われたと判定される場合、当該新たな認証要求に含まれる位置情報を基準として制限対象範囲を再設定する、こととしたものである。 Invention of Claim 4 is an authentication apparatus as described in any one of Claim 1 to 3, Comprising: The said range setting part is the said receiving part new in the state in which the said restriction | limiting object range was set. When it is determined that the new authentication request is made by the terminal device that made the unauthorized authentication request when the authentication request is received, the restriction target range based on the position information included in the new authentication request Is to reset.

請求項5に記載の発明は、プログラムであって、端末装置に入力された利用者であることを認証するための認証情報と、当該端末装置の位置を示す位置情報と、を含む認証要求を受け付ける受付手段、前記受付部が前記認証要求を受け付けた場合に、当該認証要求に含まれる認証情報を用いて利用者の認証を行う認証処理手段、前記認証の失敗により不正な認証要求が行われたと判定される場合に、当該不正な認証要求に含まれる位置情報を基準として制限対象範囲を設定する範囲設定手段、前記不正な認証要求が行われた後に前記受付手段が新たな認証要求を受け付けた際に、当該新たな認証要求に含まれる位置情報の示す位置が前記制限対象範囲内にある場合、当該新たな認証要求に対する認証を制限する認証制限手段、としてコンピュータを機能させることとしたものである。 The invention according to claim 5 is a program, and includes an authentication request including authentication information for authenticating that the user is input to the terminal device, and position information indicating the position of the terminal device. An accepting means for accepting, an authentication processing means for authenticating a user using authentication information included in the authentication request when the accepting part accepts the authentication request, and an unauthorized authentication request is made due to the authentication failure. A range setting means for setting a restriction target range based on position information included in the unauthorized authentication request, and the accepting means accepts a new authentication request after the unauthorized authentication request is made. When the position indicated by the position information included in the new authentication request is within the restriction target range, the computer is used as an authentication restricting means for restricting authentication for the new authentication request. In which it was decided to function data.

請求項1、2及び5に記載の発明によれば、不正な認証要求を受けた際に認証の制限を実施する場合において、認証を制限する範囲を限られた範囲に抑制することができる。   According to the first, second, and fifth aspects of the present invention, when restricting authentication when an unauthorized authentication request is received, the range for limiting authentication can be suppressed to a limited range.

請求項3に記載の発明によれば、第三者が不正な認証要求を行った後に移動する場合に、その移動を考慮して認証を制限する範囲を決定できる。   According to the third aspect of the present invention, when a third party moves after making an unauthorized authentication request, it is possible to determine a range for limiting authentication in consideration of the movement.

請求項4に記載の発明によれば、第三者が移動しながら不正な認証要求を行う場合にも効果的に制限対象範囲を限られた範囲に抑制することができる。   According to the fourth aspect of the present invention, even when a third party makes an unauthorized authentication request while moving, the restriction target range can be effectively suppressed to a limited range.

本発明の実施形態に係る認証システムの全体構成の一例を示す図である。It is a figure which shows an example of the whole structure of the authentication system which concerns on embodiment of this invention. 本実施形態に係る認証装置の制御部で実行される機能の一例を示す機能ブロック図である。It is a functional block diagram which shows an example of the function performed by the control part of the authentication apparatus which concerns on this embodiment. 制限対象範囲の一例を示す図である。It is a figure which shows an example of a restriction | limiting object range. 本実施形態に係る認証装置が実行する認証処理の流れの一例を示すフロー図である。It is a flowchart which shows an example of the flow of the authentication process which the authentication apparatus which concerns on this embodiment performs. 利用者情報の一例を示す図である。It is a figure which shows an example of user information. 制限対象範囲設定処理の一例を示すフロー図である。It is a flowchart which shows an example of a restriction | limiting object range setting process. 制限対象範囲情報の一例を示す図である。It is a figure which shows an example of restriction | limiting object range information.

以下、本発明の実施の形態について、図面を参照しながら説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本発明の実施形態に係る認証装置を含んだ認証システムの全体構成の一例を示す図である。認証システムは、認証装置10と、端末装置20と、を含んで構成される。図1に示すように、認証装置10は、無線通信網などの通信手段を介して端末装置20とデータ通信可能に接続されている。   FIG. 1 is a diagram illustrating an example of the overall configuration of an authentication system including an authentication apparatus according to an embodiment of the present invention. The authentication system includes an authentication device 10 and a terminal device 20. As shown in FIG. 1, the authentication device 10 is connected to a terminal device 20 through a communication means such as a wireless communication network so that data communication is possible.

認証装置10は、例えばサーバコンピュータ等であって、図1に示すように、制御部11と、記憶部12と、通信部13と、を含んで構成される。認証装置10は、利用者による認証要求を端末装置20から受け付けて、当該利用者の認証処理を実行する。   The authentication device 10 is, for example, a server computer, and includes a control unit 11, a storage unit 12, and a communication unit 13, as shown in FIG. The authentication device 10 receives an authentication request from a user from the terminal device 20 and executes an authentication process for the user.

制御部11は、例えばCPU等であって、記憶部12に記憶されているプログラムに従って各種の情報処理を実行する。本実施形態において制御部11が実行する処理の具体例については後述する。   The control unit 11 is, for example, a CPU, and executes various types of information processing according to programs stored in the storage unit 12. A specific example of processing executed by the control unit 11 in this embodiment will be described later.

記憶部12は、例えばRAMやROM等のメモリ素子、ハードディスクなどを含んで構成される。記憶部12は、制御部11によって実行されるプログラムや、各種のデータを保持する。また、記憶部12は、制御部11のワークメモリとしても動作する。   The storage unit 12 includes a memory element such as a RAM and a ROM, a hard disk, and the like. The storage unit 12 holds programs executed by the control unit 11 and various data. The storage unit 12 also operates as a work memory for the control unit 11.

通信部13は、例えばLANカード等のネットワークインタフェースであって、無線通信網などの通信手段を介して、認証装置10及び端末装置20との間で情報の送受信を行う。   The communication unit 13 is a network interface such as a LAN card, for example, and transmits / receives information to / from the authentication device 10 and the terminal device 20 via communication means such as a wireless communication network.

端末装置20は、例えば、パーソナルコンピュータ、タブレット、携帯端末、複合機等のコンピュータであり、端末装置20にインストールされるプログラムに従って動作するCPU等のプログラム制御デバイスである制御部、ROMやRAM等の記憶素子やハードディスクドライブなどである記憶部、認証装置10との間で有線又は無線によりデータの送受信を行う、ネットワークボードや無線LANモジュールなどである通信部、ディスプレイ、マウス、キーボードなどを含んでいる。   The terminal device 20 is, for example, a computer such as a personal computer, a tablet, a portable terminal, or a multifunction device, and is a control unit that is a program control device such as a CPU that operates according to a program installed in the terminal device 20, a ROM, a RAM, or the like. It includes a storage unit such as a storage element and a hard disk drive, a communication unit such as a network board and a wireless LAN module, a display, a mouse, a keyboard, and the like that transmits and receives data to and from the authentication device 10 by wire or wireless. .

本実施形態では、通信ネットワーク経由でサービスを受けようとする利用者が入力した認証情報を端末装置20が認証装置10へ送信する。そして、認証装置10は、端末装置20から受け付けた認証情報を用いて利用者の認証を行う。認証装置10による認証が失敗する場合は、利用者による認証情報の入力間違い、機器異常等が考えられるが、第三者が推測の認証情報を入力して不正に認証を受けようと試みている場合もある。そこで、認証装置10は、第三者が推測の認証情報を繰り返し入力して認証を受ける不正行為を防止するために、ある利用者を対象として所定回数、連続して誤った認証情報が入力されるなどの不自然な認証要求があった場合に、当該利用者に対する認証を一時的に制限する機能を備えている。   In the present embodiment, the terminal device 20 transmits authentication information input by a user who wants to receive a service via a communication network to the authentication device 10. Then, the authentication device 10 authenticates the user using the authentication information received from the terminal device 20. If authentication by the authentication device 10 fails, there may be an error in the input of authentication information by the user, a device abnormality, etc., but a third party attempts to authenticate by entering the guessed authentication information. In some cases. Therefore, in order to prevent an unauthorized act in which a third party repeatedly inputs guessed authentication information and receives authentication, the authentication device 10 receives erroneous authentication information continuously for a certain number of times. If there is an unnatural authentication request such as a user authentication, it has a function to temporarily limit authentication for the user.

ところが、認証を一時的に制限する機能を用いて、第三者が正規の利用者に成り代わって故意に誤った認証情報の入力を繰り返すことで、正規の利用者が認証を受けるのを妨害する、という不正行為も生じている。このような不正行為が行われると、正規の利用者も認証を受けることができなくなってしまい、正規の利用者にとって不都合である。そこで、本実施形態に係る認証装置10は、不自然な認証要求の対象とされた利用者に対する認証を一時的に制限する際に、制限する範囲を限られた範囲に抑制する構成を採用している。   However, using a function that temporarily limits authentication, a third party impersonates a legitimate user and intentionally repeats incorrect authentication information input, thereby preventing legitimate users from receiving authentication. There is also an illegal act of doing. If such an illegal act is performed, the authorized user cannot be authenticated, which is inconvenient for the authorized user. Therefore, the authentication device 10 according to the present embodiment employs a configuration that restricts the range to be limited to a limited range when temporarily limiting authentication for a user who is an object of an unnatural authentication request. ing.

以下、認証装置10が実現する機能の具体例について、説明する。図2は、本実施形態に係る認証装置10が実現する機能の一例を示す機能ブロック図である。図2に示すように、本実施形態に係る認証装置10は、機能的には、例えば、認証要求受付部101、認証処理部102、不正認証判定部103、制限対象範囲設定部104、認証制限部105、利用者情報記憶部106、及び制限対象範囲情報記憶部107を含んで構成されている。これらの機能のうち、認証要求受付部101、認証処理部102、不正認証判定部103、制限対象範囲設定部104、及び認証制限部105は、記憶部12に記憶されたプログラムを制御部11が実行することにより実現されている。このプログラムは、例えば、光ディスク、磁気ディスク、磁気テープ、光磁気ディスク、フラッシュメモリ等のコンピュータ可読な情報記憶媒体を介して、あるいは、インターネットなどの通信手段を介して認証装置10に供給される。また、利用者情報記憶部106、及び制限対象範囲情報記憶部107は、記憶部12によって実現される。   Hereinafter, specific examples of functions realized by the authentication device 10 will be described. FIG. 2 is a functional block diagram illustrating an example of functions realized by the authentication device 10 according to the present embodiment. As illustrated in FIG. 2, the authentication apparatus 10 according to the present embodiment functionally includes, for example, an authentication request reception unit 101, an authentication processing unit 102, an unauthorized authentication determination unit 103, a restriction target range setting unit 104, and an authentication restriction. Unit 105, user information storage unit 106, and restriction target range information storage unit 107. Among these functions, the authentication request accepting unit 101, the authentication processing unit 102, the fraud authentication determining unit 103, the restriction target range setting unit 104, and the authentication restriction unit 105 are configured so that the control unit 11 stores the programs stored in the storage unit 12. It is realized by executing. This program is supplied to the authentication device 10 via a computer-readable information storage medium such as an optical disk, a magnetic disk, a magnetic tape, a magneto-optical disk, or a flash memory, or via communication means such as the Internet. The user information storage unit 106 and the restriction target range information storage unit 107 are realized by the storage unit 12.

認証要求受付部101は、認証の対象として認証装置10に予め登録されている利用者について、認証要求を端末装置20から受け付ける。ここで、認証要求には、認証の対象となる利用者を識別する利用者識別情報(利用者ID)、当該利用者を認証するための認証情報、端末装置20の位置情報、端末装置20を識別するための端末識別情報等が含まれる。認証情報は、認証の対象となる利用者に固有の情報であり、認証要求を行った者(以下、要求者という)が利用者識別情報によって識別される利用者本人であることを認証装置10が認証するために、認証要求を行う際に要求者によって端末装置20に入力される。認証情報は、例えば、文字列によって構成されるパスワードや、顔、指紋、静脈等の生体の特徴を示す情報であってよい。なお、端末装置20は、要求者が入力した認証情報をそのまま認証装置10に送信してもよいが、ハッシュ関数などを用いて変換してから認証装置10に送信してもよい。位置情報は、認証要求が行われた時点における端末装置20の所在位置を示す情報である。例えば端末装置20が複合機などの据置型の装置(すなわち、悪意ある人物が当該装置の設置場所を移動させることが困難と想定される装置)の場合、位置情報は、当該端末装置20の管理者によって設定場所として予め登録された住所等の情報であってよい。また、端末装置20が持ち運び可能な携帯型の装置の場合、端末装置20は、自身の現在位置を特定する位置特定手段を備えており、当該位置特定手段によって特定される現在位置の情報を位置情報として認証要求に含めるものとする。この場合の位置特定手段は、例えばGPS(Global Positioning System)衛星と通信して現在地の緯度及び経度を特定するGPSモジュールや、所在地の判明している無線LANの基地局との通信結果を用いて現在地を推定する手段など、公知のものであってよい。   The authentication request receiving unit 101 receives an authentication request from the terminal device 20 for a user registered in the authentication device 10 as an authentication target. Here, the authentication request includes user identification information (user ID) for identifying a user to be authenticated, authentication information for authenticating the user, position information of the terminal device 20, and the terminal device 20. Terminal identification information for identification is included. The authentication information is information unique to the user to be authenticated, and the authentication apparatus 10 indicates that the person who made the authentication request (hereinafter referred to as the requester) is the user identified by the user identification information. Is input to the terminal device 20 by the requester when making an authentication request. The authentication information may be, for example, a password composed of a character string, or information indicating biometric features such as a face, a fingerprint, and a vein. The terminal device 20 may transmit the authentication information input by the requester to the authentication device 10 as it is, or may convert the authentication information using a hash function or the like and then transmit the authentication information to the authentication device 10. The location information is information indicating the location of the terminal device 20 at the time when the authentication request is made. For example, when the terminal device 20 is a stationary device such as a multifunction peripheral (that is, a device in which it is difficult for a malicious person to move the installation location of the device), the position information is managed by the terminal device 20. It may be information such as an address registered in advance as a setting place by a person. In the case where the terminal device 20 is a portable device that can be carried, the terminal device 20 includes position specifying means for specifying its own current position, and information on the current position specified by the position specifying means is used as position information. It shall be included in the authentication request as information. In this case, the position specifying means uses, for example, a GPS module that communicates with a GPS (Global Positioning System) satellite to specify the latitude and longitude of the current location, or a communication result with a wireless LAN base station whose location is known. Any known means such as a means for estimating the current location may be used.

認証処理部102は、認証要求受付部101が受け付けた認証要求に含まれる認証情報を用いて利用者の認証を行う。認証方法としては、利用者情報記憶部106に予め、利用者の正しい認証情報を記憶しておき、認証要求受付部101が受け付けた認証情報と、利用者情報記憶部106に記憶されている正しい認証情報と、を比較する方法がある。そして、認証処理部102は、認証要求受付部101が受け付けた認証情報と、利用者情報記憶部106に記憶されている正しい認証情報と、が一致または類似度が高い場合に認証を成功とし、認証要求受付部101が受け付けた認証情報と、利用者情報記憶部106に記憶されている正しい認証情報と、が不一致または類似度が低い場合に認証を失敗とする。そして、認証処理部102による認証の結果は、利用者毎に認証要求を受け付けた時刻と対応付けられて利用者情報記憶部106に記憶されることとする。   The authentication processing unit 102 authenticates the user using the authentication information included in the authentication request received by the authentication request receiving unit 101. As an authentication method, correct user authentication information is stored in advance in the user information storage unit 106, and the authentication information received by the authentication request reception unit 101 and the correct information stored in the user information storage unit 106 are stored. There is a method for comparing authentication information. The authentication processing unit 102 determines that the authentication is successful when the authentication information received by the authentication request receiving unit 101 and the correct authentication information stored in the user information storage unit 106 match or have a high degree of similarity. If the authentication information received by the authentication request receiving unit 101 does not match the correct authentication information stored in the user information storage unit 106 or the similarity is low, the authentication is failed. The result of authentication by the authentication processing unit 102 is stored in the user information storage unit 106 in association with the time at which the authentication request is received for each user.

不正認証判定部103は、認証処理部102の認証の結果より不正な認証要求が行われたか否かを判定する。ここで、不正な認証要求とは、第三者が推測の認証情報を入力して不正に認証を受けようと試みている場合や、第三者が正規な利用者に成り代わって故意に誤った認証情報を入力している場合など、利用者本人以外の第三者によるものと推定される認証要求である。具体的に、不正認証判定部103は、利用者情報記憶部106に記憶される利用者毎の認証の結果が予め定められた判定条件を満たす場合に、当該利用者についての認証要求を不正な認証要求であると判定する。この判定条件は、原則として認証に失敗した場合に当該認証要求を不正な認証要求であると判定する条件である。具体的に、例えば不正認証判定部103は、1回でも認証が失敗した場合に当該認証要求を不正な認証要求と判定してもよい。あるいは、同一の利用者について所定回数(例えば、5回)、連続して認証が失敗となった場合に、不正な認証要求があったと判定してもよい。また、不正認証判定部103は、1回認証が失敗した場合であって、認証要求受付部101が受け付けた認証情報と正しい認証情報との類似度が所定値以下となる場合に、当該認証要求を不正な認証要求と判定してもよい。また、所定時間内(例えば、1分間)で所定回数、連続して認証が失敗となった場合に当該認証要求を不正な認証要求と判定してもよい。   The unauthorized authentication determination unit 103 determines whether an unauthorized authentication request has been made based on the authentication result of the authentication processing unit 102. Here, an unauthorized authentication request refers to a case where a third party attempts to authenticate by entering guessed authentication information, or that a third party impersonates a legitimate user. This is an authentication request that is presumed to be from a third party other than the user himself / herself, such as when authentication information is entered. Specifically, the unauthorized authentication determination unit 103 determines that an authentication request for the user is unauthorized when the result of authentication for each user stored in the user information storage unit 106 satisfies a predetermined determination condition. It is determined that the request is an authentication request. This determination condition is a condition for determining that the authentication request is an unauthorized authentication request in principle when authentication fails. Specifically, for example, the unauthorized authentication determination unit 103 may determine that the authentication request is an unauthorized authentication request when the authentication fails even once. Alternatively, it may be determined that there is an unauthorized authentication request when authentication fails continuously for the same user a predetermined number of times (for example, 5 times). Further, the fraud authentication determination unit 103 determines that the authentication request is issued when the authentication fails once and the similarity between the authentication information received by the authentication request receiving unit 101 and the correct authentication information is equal to or less than a predetermined value. May be determined as an unauthorized authentication request. Further, when the authentication fails continuously for a predetermined number of times within a predetermined time (for example, one minute), the authentication request may be determined as an unauthorized authentication request.

ただし、正規の利用者が認証情報の入力を間違えた結果として、上記に例示した認証結果に関する判定条件が満たされてしまう場合もある。そこで、不正認証判定部103は、認証処理部102が認証に失敗して上記判定条件が満たされたと判定した場合に、その認証要求が第三者からの不正行為によるものなのか、正規の利用者の入力間違いによるものなのか、をさらに判定することとしてもよい。そして、正規の利用者の入力間違いであると判定された場合には、当該認証要求は不正な認証要求ではないと判定する。例えば不正認証判定部103は、利用者の認証に成功したときに、その認証要求に含まれる位置情報を記憶しておき、認証に失敗した際には、当該失敗した認証要求に含まれる位置情報と、前回認証に成功したときの位置情報との近さにより、当該失敗した認証要求が第三者の不正行為によるものか否かを判別する。具体的には、失敗した認証要求に含まれる位置情報が示す位置と、前回成功した認証要求に含まれる位置情報が示す位置との間の距離が所定値より小さい場合には、失敗した認証要求が正規の利用者によるものであって、不正な認証要求ではないと判定する。一方、失敗した認証要求に含まれる位置情報が示す位置と、前回成功した認証要求に含まれる位置情報が示す位置との間の距離が所定値以上となる場合には、当該認証要求が第三者による不正な認証要求であると判定する。通常、一人の利用者がそれまで認証要求を行っていた場所から極端に離れた場所から認証要求を行い、しかもそのときたまたま認証情報の入力を間違えてしまう可能性は低いと考えられるからである。また、不正認証判定部103は、認証情報がパスワード等の文字列である場合に、認証が失敗したときに入力された文字列と、正しいパスワードの文字列との差異により、当該失敗した認証要求が不正な認証要求か否かを判別してもよい。具体的には、認証が失敗したときに入力された文字列と、正しいパスワードの文字列と、の差異が一部であり、かつ、キーボードの近傍の文字と打ち間違えている場合に、当該認証要求は不正な認証要求ではないと判定する。また、入力された文字列が、辞書攻撃、総当たり攻撃のような規則的な打ち間違えである場合は、当該認証要求は不正な認証要求であると判定してもよい。   However, there are cases where the determination conditions related to the authentication result exemplified above are satisfied as a result of a mistaken input of authentication information by a legitimate user. Therefore, when the authentication processing unit 102 determines that the above-described determination condition is satisfied because the authentication processing unit 102 has failed authentication, the fraud authentication determination unit 103 determines whether the authentication request is due to fraud from a third party. It may be further determined whether the error is due to an input error by the person. If it is determined that the input is incorrect by the authorized user, it is determined that the authentication request is not an unauthorized authentication request. For example, the unauthorized authentication determination unit 103 stores the location information included in the authentication request when the user authentication is successful, and if the authentication fails, the location information included in the failed authentication request. And the proximity of the location information at the time of successful previous authentication, it is determined whether or not the failed authentication request is due to a third party fraud. Specifically, when the distance between the position indicated by the position information included in the failed authentication request and the position indicated by the position information included in the previous successful authentication request is smaller than a predetermined value, the failed authentication request Is determined by a legitimate user and not an unauthorized authentication request. On the other hand, when the distance between the position indicated by the position information included in the failed authentication request and the position indicated by the position information included in the previous successful authentication request is greater than or equal to a predetermined value, the authentication request is third. It is determined that the request is an unauthorized authentication request. This is because it is unlikely that a single user will make an authentication request from a location that is extremely far away from where the authentication request was made, and that the authentication information may be accidentally entered by mistake. . In addition, when the authentication information is a character string such as a password, the unauthorized authentication determination unit 103 determines that the authentication request has failed due to a difference between the character string input when the authentication has failed and the character string of the correct password. It may be determined whether or not is an unauthorized authentication request. Specifically, if the difference between the character string entered when authentication failed and the correct password character string are part of the character string and are mistaken for characters near the keyboard, the authentication It is determined that the request is not an unauthorized authentication request. When the input character string is a regular mistake such as a dictionary attack or a brute force attack, the authentication request may be determined to be an unauthorized authentication request.

制限対象範囲設定部104は、要求者からの認証要求が不正な認証要求であると不正認証判定部103が判定した場合、認証要求受付部101が受け付けた認証要求に含まれる位置情報を基準として制限対象範囲を設定する。制限対象範囲は、不正な認証要求の対象となった利用者と同じ利用者を対象とする新たな認証要求を受け付けた場合に、認証処理部102による当該利用者に対する認証を制限する対象となる地理的範囲である。具体例として、制限対象範囲設定部104は、不正な認証要求に含まれる位置情報が示す位置(以下、基準位置Oという)を中心として、半径が予め定められた長さRkmの円形状の領域を制限対象範囲とする。   When the fraud authentication determination unit 103 determines that the authentication request from the requester is an unauthorized authentication request, the restriction target range setting unit 104 uses the position information included in the authentication request received by the authentication request reception unit 101 as a reference. Set the restriction target range. The restriction target range is a target to restrict authentication to the user by the authentication processing unit 102 when a new authentication request for the same user as the user who has been the target of the unauthorized authentication request is received. Geographic range. As a specific example, the restriction target range setting unit 104 has a circular area having a predetermined radius Rkm centered on a position indicated by position information included in an unauthorized authentication request (hereinafter referred to as a reference position O). Is the scope of restriction.

制限対象範囲設定部104は、不正な認証要求が行われた後、時間が経過するに従って制限対象範囲の大きさを徐々に拡大させてもよい。これは、不正な認証要求を行った要求者(以下、不正者という)が、基準位置Oから場所を移動して新たな認証要求を行う可能性を考慮した場合、不正な認証要求の後、時間が経過すればするほど不正者が移動可能な範囲が広がるからである。例えば制限対象範囲設定部104は、新たな認証要求を受け付けた時刻t2と、制限対象範囲設定の契機となった不正な認証要求を受け付けた時刻t1と、の差に応じた大きさで制限対象範囲を設定する。より具体的に、制限対象範囲設定部104は、基準位置Oを中心として半径Rkmの円形状の制限対象範囲を設定する場合に、RをR=V×Hで算出した値とする。ここでVは人の歩行速度に相当する値であって、Hは新たな認証要求を受け付けた時刻t2と不正な認証要求を受け付けた時刻t1と、の差(すなわち、不正な認証要求から新たな認証要求までの経過時間)を示している。この例では、制限対象範囲設定部104は、不正な認証要求が受け付けられた後、新たな認証要求が受け付けられるたびに、その時刻t2と不正な認証要求を受け付けた時刻t1とを用いて制限対象範囲を設定することになる。また、制限対象範囲設定部104は、不正な認証要求を受け付けた時刻t1に一度制限対象範囲を設定した後、予め定められた時間(例えば1時間)が経過するごとに、その時点に応じた新たな大きさの制限対象範囲を再設定することとしてもよい。この例では、一定時間が経過するごとに、それまでよりも大きな制限対象範囲が設定されることになる。なお、制限対象範囲の形状は円形状に限定されず、新たな認証要求を受け付けた時点までに不正者が移動可能な範囲であればどのような形状であってもよい。このようにして設定された制限対象範囲に関する情報は、不正な認証要求を受け付けた時刻t1、及び不正な認証要求の対象とされた利用者の情報と関連付けられて制限対象範囲情報記憶部107に保存されることとする。   The restriction target range setting unit 104 may gradually increase the size of the restriction target range as time passes after an unauthorized authentication request is made. In consideration of the possibility that a requester who has made an unauthorized authentication request (hereinafter referred to as an unauthorized person) moves from the reference position O and makes a new authentication request, This is because the range over which an unauthorized person can move increases as time passes. For example, the restriction target range setting unit 104 sets the restriction target in a size corresponding to the difference between the time t2 when a new authentication request is received and the time t1 when an unauthorized authentication request is received as a trigger for setting the restriction target range. Set the range. More specifically, when the restriction target range setting unit 104 sets a circular restriction target range having a radius Rkm with the reference position O as the center, R is set to a value calculated by R = V × H. Here, V is a value corresponding to the walking speed of a person, and H is a difference between a time t2 when a new authentication request is received and a time t1 when an unauthorized authentication request is received (that is, a new value from an unauthorized authentication request). Elapsed time until a new authentication request). In this example, after the unauthorized authentication request is accepted, the restriction target range setting unit 104 uses the time t2 and the time t1 when the unauthorized authentication request is accepted to limit each time a new authentication request is accepted. The target range will be set. In addition, the restriction target range setting unit 104 sets the restriction target range once at the time t1 when an unauthorized authentication request is received, and then responds to a predetermined time (for example, one hour) every time. It is good also as resetting the restriction target range of a new size. In this example, every time a certain time elapses, a larger restriction target range is set than before. The shape of the restriction target range is not limited to a circular shape, and may be any shape as long as an unauthorized person can move by the time when a new authentication request is received. The information on the restriction target range set in this way is stored in the restriction target range information storage unit 107 in association with the time t1 when the unauthorized authentication request is received and the information of the user who is the target of the unauthorized authentication request. It will be preserved.

また、制限対象範囲設定部104は、基準位置Oがどこかに応じて、制限対象範囲の大きさや形状を変化させてもよい。例えば基準位置Oが駅の近くであれば、制限対象範囲として、基準位置Oを中心として不正者が所定時間の間に徒歩で移動可能な範囲に加えて、不正者が公共交通機関を利用して所定時間の間に移動可能な範囲を設定する。具体的には、不正者が電車を利用して移動することを想定して、線路に沿った範囲を制限対象範囲としてもよいし、不正者がバスを利用して移動することを想定して、不正な認証要求であると判定された認証要求に含まれる位置情報が示す位置を中心とした、バスが所定時間の間に移動可能な範囲を制限対象範囲としてもよい。これは、不正者が公共交通機関を利用して移動する可能性があるため、公共交通機関を利用して所定時間の間に移動する可能性のある範囲を制限対象範囲とするためである。   Further, the restriction target range setting unit 104 may change the size or shape of the restriction target range depending on where the reference position O is. For example, if the reference position O is near the station, the unauthorized person can use public transportation in addition to the range where the unauthorized person can move on foot within a predetermined time as the restriction target range. And set a range that can be moved during a predetermined time. Specifically, assuming that an unauthorized person moves using a train, the range along the track may be a restricted area, or an unauthorized person moves using a bus. A range in which the bus can move during a predetermined time centered on the position indicated by the position information included in the authentication request determined to be an unauthorized authentication request may be set as the restriction target range. This is because an unauthorized person may move using public transportation, so that a range that may move during a predetermined time using public transportation is set as a restriction target range.

さらに、制限対象範囲設定部104は、不正な認証要求を受け付けた時刻に応じて制限対象範囲の大きさや形状を変化させてもよい。例えば、不正な認証要求を受け付けた時刻が夜間帯(例えば、0時〜5時)であれば、公共交通機関を利用しての長距離移動は困難であるとして、公共交通機関を利用することを考慮しない制限対象範囲が設定されてよい。   Furthermore, the restriction target range setting unit 104 may change the size or shape of the restriction target range according to the time when an unauthorized authentication request is received. For example, if the time when an unauthorized authentication request is received is at night (for example, 0:00 to 5:00), long-distance travel using public transportation is difficult, and public transportation is used. A restriction target range that does not take into account may be set.

認証制限部105は、不正な認証要求が行われた後に、不正な認証要求の対象となった利用者を対象とする新たな認証要求があった場合に、制限対象範囲と当該新たな認証要求を行った要求者の位置とに応じて、選択的に認証を制限する。具体的に認証制限部105は、新たな認証要求に含まれる位置情報の示す位置が、制限対象範囲設定部104が設定した制限対象範囲内にある場合に、当該新たな認証要求に対する認証処理部102による認証を制限する。つまり、不正な認証要求が行われた基準位置Oに近い場所から送信される新たな認証要求は不正者による認証要求の可能性が高いと想定されるため、認証制限部105は、その新たな認証要求に対する認証を制限する。一方で、不正な認証要求の対象となった利用者を対象とする新たな認証要求があった場合に、当該認証要求に含まれる位置情報の示す位置が、制限対象範囲設定部104が設定した制限対象範囲の外にある場合には、認証制限部105は認証を制限せず、認証処理部102が当該新たな認証要求に対する認証を行う。これは、制限対象範囲より外にある端末装置20から認証要求を行う要求者は、少なくとも認証制限の契機となる不正な認証要求を行った不正者とは別人の可能性が高いと想定されるためである。   When there is a new authentication request for a user who has been the target of an unauthorized authentication request after an unauthorized authentication request has been made, the authentication restriction unit 105 and the new authentication request The authentication is selectively limited according to the position of the requester who performed the authentication. Specifically, when the position indicated by the position information included in the new authentication request is within the restriction target range set by the restriction target range setting unit 104, the authentication restriction unit 105 authenticates the new authentication request. The authentication by 102 is restricted. That is, since it is assumed that a new authentication request transmitted from a location close to the reference position O where an unauthorized authentication request has been made is likely to be an authentication request by an unauthorized person, the authentication restriction unit 105 may Restrict authentication to authentication requests. On the other hand, when there is a new authentication request for a user who has been subject to an unauthorized authentication request, the restriction target range setting unit 104 sets the position indicated by the position information included in the authentication request. If it is outside the restriction target range, the authentication restriction unit 105 does not restrict authentication, and the authentication processing unit 102 performs authentication for the new authentication request. This is presumed that the requester who makes an authentication request from the terminal device 20 outside the restriction target range is likely to be a different person from at least the unauthorized person who made an unauthorized authentication request that triggers the authentication restriction. Because.

図3は、本実施形態における制限対象範囲の一例を示す図である。図3において、制限対象範囲300は、不正な認証要求を受け付けた時刻から1時間経過するまでの間に適用される制限対象範囲を示しており、制限対象範囲400は、不正な認証要求を受け付けた時刻からの経過時間が1時間から2時間までの間に適用される制限対象範囲を示している。なお、これらの制限対象範囲300及び400は、いずれも基準位置Oを中心とした円形の範囲となっている。この例において、認証要求受付部101が、不正な認証要求を受け付けた時刻から30分経過した時点において、端末装置20−2から新たな認証要求を受け付けた場合は、図中端末装置20−2は制限対象範囲300内に位置しているので、認証制限部105が当該新たな認証要求に対する認証を制限する。一方、同じ時刻に認証要求受付部101が端末装置20−1から新たな認証要求を受け付けた場合は、端末装置20−1は制限対象範囲300より外に位置しているので、この認証要求は制限されず、認証処理部102が当該新たな認証要求に対する認証を実行する。しかしながら、不正な認証要求を受け付けた時刻から1時間半が経過した後に、認証要求受付部101が同じ端末装置20−1から新たな認証要求を受け付けた場合は、端末装置20−1は制限対象範囲400内に位置しているので、認証制限部105が当該新たな認証要求に対する認証を制限することとなる。   FIG. 3 is a diagram illustrating an example of the restriction target range in the present embodiment. In FIG. 3, a restriction target range 300 indicates a restriction target range that is applied until one hour has passed since the time when an unauthorized authentication request was received, and the restriction target range 400 accepts an unauthorized authentication request. The range to be limited that is applied during the elapsed time from 1 hour to 2 hours is shown. Note that the restriction target ranges 300 and 400 are both circular ranges with the reference position O as the center. In this example, when the authentication request receiving unit 101 receives a new authentication request from the terminal device 20-2 when 30 minutes have elapsed from the time when the unauthorized authentication request was received, the terminal device 20-2 in the figure. Is located within the restriction target range 300, the authentication restriction unit 105 restricts authentication for the new authentication request. On the other hand, if the authentication request accepting unit 101 accepts a new authentication request from the terminal device 20-1 at the same time, the terminal device 20-1 is located outside the restriction target range 300. Without being restricted, the authentication processing unit 102 executes authentication for the new authentication request. However, when one and a half hours have passed since the time when the unauthorized authentication request was received, if the authentication request receiving unit 101 receives a new authentication request from the same terminal device 20-1, the terminal device 20-1 is subject to restriction. Since it is located within the range 400, the authentication restriction unit 105 restricts authentication for the new authentication request.

このように、不正な認証要求が行われた後に、不正な認証要求の対象となった利用者を対象とする新たな認証要求が行われた場合に、制限対象範囲と当該新たな認証要求を行った要求者の位置とに応じて選択的に認証を制限することで、認証を制限する範囲を限られた範囲に抑制することができる。   In this way, when a new authentication request is made for a user who has been subject to an unauthorized authentication request after an unauthorized authentication request has been made, the restricted scope and the new authentication request are displayed. By restricting the authentication selectively according to the position of the requester who has performed, the range of limiting the authentication can be suppressed to a limited range.

本実施形態に係る認証装置10が実行する認証処理の流れの一例を図4に例示するフロー図を参照して説明する。   An example of the flow of authentication processing executed by the authentication device 10 according to this embodiment will be described with reference to the flowchart illustrated in FIG.

ここでは、認証情報としてパスワードを用いることとし、利用者ID毎にパスワードが関連付けられた利用者情報が予め利用者情報記憶部106に記憶されていることとする。図5は、利用者情報の一例を示す図である。図5に示すように、利用者情報は、正規の利用者を示す識別情報である利用者ID、利用者IDに対応して予め登録されているパスワード、認証要求受付部101が認証要求を受け付けた時刻を示す認証要求受付時刻、認証要求受付部101が受け付けた認証要求に含まれる位置情報、認証処理部102による認証の結果を示す認証結果、及び不正認証判定部103による判定の結果を示す不正認証判定フラグを関連付ける情報である。なお、利用者IDおよびパスワードと、認証要求受付時刻、位置情報、認証結果、および判定結果は、ここでは同じテーブルで管理されているが、別のテーブルで管理されてもよいのはもちろんである。   Here, it is assumed that a password is used as authentication information, and user information associated with a password for each user ID is stored in the user information storage unit 106 in advance. FIG. 5 is a diagram illustrating an example of user information. As shown in FIG. 5, the user information includes a user ID that is identification information indicating a legitimate user, a password registered in advance corresponding to the user ID, and the authentication request receiving unit 101 receives the authentication request. The authentication request reception time indicating the authentication time, the location information included in the authentication request received by the authentication request reception unit 101, the authentication result indicating the authentication result by the authentication processing unit 102, and the determination result by the unauthorized authentication determination unit 103 This is information that associates the fraud authentication determination flag. The user ID and password, authentication request reception time, location information, authentication result, and determination result are managed in the same table here, but may be managed in another table. .

まず、認証要求受付部101が、端末装置20から認証要求を受け付ける(S1)。そして、利用者情報記憶部106に記憶されている利用者情報が参照され、受け付けた認証要求に含まれる利用者IDに対して不正な認証要求がされているか否かが判断される(S2)。つまり、図5に示す利用者情報のうち、受け付けた認証要求に含まれる利用者IDの不正認証判定フラグが、不正な認証要求が行われた状態であることを示す値になっているか否かが判断される。   First, the authentication request receiving unit 101 receives an authentication request from the terminal device 20 (S1). Then, the user information stored in the user information storage unit 106 is referred to, and it is determined whether or not an unauthorized authentication request is made for the user ID included in the received authentication request (S2). . That is, whether or not the unauthorized authentication determination flag of the user ID included in the received authentication request is a value indicating that an unauthorized authentication request has been made in the user information shown in FIG. Is judged.

処理S2の判断の結果、受け付けた認証要求に含まれる利用者IDにより不正な認証要求がされていないと判断された場合は(S2:N)、認証処理部102が、認証要求受付部101が受け付けた認証要求に含まれる認証情報を用いて利用者の認証を行う(S3)。ここでは、認証要求受付部101が受け付けた認証要求に含まれる利用者ID及びパスワードの組み合わせが、利用者情報記憶部106に記憶されている利用者情報に含まれる利用者ID及びパスワードの組み合わせと一致するかを判断し、一致する場合に認証を成功、一致しない場合に認証を失敗とする。   As a result of the determination in step S2, if it is determined that an unauthorized authentication request is not made based on the user ID included in the received authentication request (S2: N), the authentication processing unit 102 determines that the authentication request reception unit 101 User authentication is performed using authentication information included in the received authentication request (S3). Here, the combination of the user ID and password included in the authentication request received by the authentication request receiving unit 101 is the combination of the user ID and password included in the user information stored in the user information storage unit 106. It is judged whether or not they match, and if they match, authentication succeeds, and if they do not match, authentication fails.

処理S3の結果、認証が失敗した場合は(S3:N)、利用者情報記憶部106に記憶されている利用者情報に対して、認証の結果と、認証要求受付部101が認証要求を受け付けた時刻と、認証要求受付部101が受け付けた認証要求に含まれる位置情報とが関連付けて記憶される。そして、不正認証判定部103が利用者情報を参照して認証要求受付部101が受け付けた認証要求が不正な認証要求であるか否かを判定する(S4)。ここで、不正認証判定部103は、図5に示す利用者情報の認証結果から認証を失敗した回数を算出する。そして、不正認証判定部103は、認証を失敗した回数が所定数以上となる場合に認証要求受付部101が受け付けた認証要求を不正な認証要求であると判定する。   If the authentication fails as a result of the processing S3 (S3: N), the authentication result and the authentication request receiving unit 101 receive the authentication request for the user information stored in the user information storage unit 106. And the location information included in the authentication request received by the authentication request receiving unit 101 are stored in association with each other. Then, the unauthorized authentication determination unit 103 refers to the user information and determines whether or not the authentication request received by the authentication request receiving unit 101 is an unauthorized authentication request (S4). Here, the fraud authentication determination unit 103 calculates the number of authentication failures from the authentication result of the user information shown in FIG. Then, the unauthorized authentication determination unit 103 determines that the authentication request received by the authentication request receiving unit 101 is an unauthorized authentication request when the number of failed authentications is a predetermined number or more.

そして、不正認証判定部103が、認証要求受付部101が受け付けた認証要求が不正な認証要求であると判定した場合は(S4:Y)、利用者情報記憶部106に記憶されている利用者情報に含まれる、不正な認証要求を行った利用者IDに対応する不正認証判定フラグに、不正な認証要求が行われた状態であることを示す値(ここでは“○”)が記憶される(S5)。   If the unauthorized authentication determination unit 103 determines that the authentication request received by the authentication request receiving unit 101 is an unauthorized authentication request (S4: Y), the user stored in the user information storage unit 106 is stored. A value (here, “◯”) indicating that an unauthorized authentication request has been made is stored in the unauthorized authentication determination flag corresponding to the user ID that made the unauthorized authentication request included in the information. (S5).

処理S4の結果、不正認証判定部103が、認証要求受付部101が受け付けた認証要求が不正な認証要求でないと判定した場合(S4:N)、または、処理S5において利用者情報記憶部106に不正な認証要求を行ったことを示す情報が記憶されると、認証要求に対する結果が端末装置20に出力される(S9)。ここで、処理S4において、不正認証判定部103が、認証要求受付部101が受け付けた認証要求が不正な認証要求であると判定した場合、不正な認証要求でないと判定した場合、いずれにおいても端末装置20に出力される結果は、同様に認証が失敗した旨を示すものとする。つまり、認証要求受付部101が受け付けた認証要求が不正な認証要求と判定されたとしても、不正な認証要求と判定されたことを利用者には知らせないこととする。   As a result of processing S4, when the unauthorized authentication determining unit 103 determines that the authentication request received by the authentication request receiving unit 101 is not an unauthorized authentication request (S4: N), or in the user information storage unit 106 in process S5. When information indicating that an unauthorized authentication request has been made is stored, a result for the authentication request is output to the terminal device 20 (S9). Here, in step S4, if the unauthorized authentication determination unit 103 determines that the authentication request received by the authentication request reception unit 101 is an unauthorized authentication request, or determines that the authentication request is not an unauthorized authentication request, the terminal Similarly, the result output to the device 20 indicates that the authentication has failed. That is, even if the authentication request received by the authentication request receiving unit 101 is determined to be an unauthorized authentication request, the user is not notified that the authentication request is determined to be an unauthorized authentication request.

また、処理S3の結果、認証が成功した場合(S3:Y)は、認証要求の結果として、認証が成功した旨を示す情報が端末装置20に出力される(S9)。   If the authentication is successful as a result of the processing S3 (S3: Y), information indicating that the authentication is successful is output to the terminal device 20 as a result of the authentication request (S9).

また、処理S2の結果、受け付けた認証要求に含まれる利用者IDについて不正な認証要求がされていると判断された場合は(S2:Y)、制限対象範囲設定部104が制限対象範囲を設定する(S6)。制限対象範囲設定部104による制限対象範囲設定処理については、図6のフロー図を用いて説明する。   If it is determined in step S2 that an unauthorized authentication request has been made for the user ID included in the received authentication request (S2: Y), the restriction target range setting unit 104 sets the restriction target range. (S6). The restriction target range setting process by the restriction target range setting unit 104 will be described with reference to the flowchart of FIG.

[制限対象範囲設定処理]
図6に示すように、まず、利用者情報記憶部106に記憶されている利用者情報から、処理S1にて認証要求受付部101が認証要求を受け付けた認証要求受付時刻の情報が取得される(S21)。そして、利用者情報記憶部106に記憶されている利用者情報から、不正な認証要求であると判定された認証要求に含まれる位置情報、当該認証要求を受け付けた時刻の情報が取得される(S22)。 [Restricted range setting process]
As shown in FIG. 6, first, information on the authentication request reception time at which the authentication request reception unit 101 received the authentication request in step S1 is acquired from the user information stored in the user information storage unit 106. (S21). And from the user information memorize | stored in the user information memory | storage part 106, the positional information contained in the authentication request determined to be an unauthorized authentication request and the information of the time at which the authentication request was received are acquired ( S22).

そして、制限対象範囲設定部104が、不正な認証要求に含まれる位置情報の示す位置を基準位置Oとして、制限対象範囲を設定し(S23)、リターンする。なお、ここでは制限対象範囲設定部104は、不正な認証要求を受け付けた時刻と、処理S1にて認証要求受付部101が認証要求を受け付けた時刻と、の差に応じて制限対象範囲を設定するものとしている。そして、処理S23にて設定された制限対象範囲の情報と、不正な認証要求を受け付けた時刻と、不正な認証要求であると判定された認証要求に含まれる利用者IDとが関連付けられた、図7に例示する制限対象範囲情報が制限対象範囲情報記憶部107に記憶される。図7に例示する制限対象範囲の情報は、中心地点と半径とで円形状の制限対象範囲を示すこととしているが、この例に限定されず、種々の範囲を示す情報であってよい。   Then, the restriction target range setting unit 104 sets the restriction target range with the position indicated by the position information included in the unauthorized authentication request as the reference position O (S23), and returns. Here, the restriction target range setting unit 104 sets the restriction target range according to the difference between the time when the unauthorized authentication request is received and the time when the authentication request receiving unit 101 receives the authentication request in step S1. I am going to do it. Then, the information on the restriction target range set in the process S23, the time when the unauthorized authentication request was accepted, and the user ID included in the authentication request determined to be an unauthorized authentication request are associated with each other. The restriction target range information illustrated in FIG. 7 is stored in the restriction target range information storage unit 107. The information on the restriction target range illustrated in FIG. 7 indicates the circular restriction target range at the center point and the radius, but is not limited to this example, and may be information indicating various ranges.

そして、処理S6にて制限対象範囲が設定されると、処理S1で受け付けた認証要求に含まれる位置情報が示す位置が、制限対象範囲情報が示す制限対象範囲内にあるか否かが判断される(S7)。   When the restriction target range is set in process S6, it is determined whether or not the position indicated by the position information included in the authentication request received in process S1 is within the restriction target range indicated by the restriction target range information. (S7).

処理S7の判断の結果、処理S1で受け付けた認証要求に含まれる位置情報が示す位置が、制限対象範囲情報が示す制限対象範囲内にあると判断された場合は、認証制限部105が、処理S1で受け付けた認証要求に対する認証を制限する(S8)。つまり、制限対象範囲内に位置する要求者からの認証要求に対しては、その要求者が不正者であっても、正規の利用者であっても、認証が制限されることとなる。   As a result of the determination in step S7, when it is determined that the position indicated by the position information included in the authentication request received in step S1 is within the restriction target range indicated by the restriction target range information, the authentication restriction unit 105 performs processing. Authentication for the authentication request accepted in S1 is restricted (S8). That is, for an authentication request from a requester located within the restriction target range, authentication is restricted regardless of whether the requester is an unauthorized person or a legitimate user.

そして、認証要求の結果として、認証が失敗した旨を示す情報が端末装置20へ出力される(S11)。ここでは、処理S8で認証制限部105が認証を制限したとしても、認証が制限されていることを要求者には知らせないこととする。   As a result of the authentication request, information indicating that the authentication has failed is output to the terminal device 20 (S11). Here, even if the authentication restriction unit 105 restricts authentication in the process S8, the requester is not notified that the authentication is restricted.

また、処理S7の判断の結果、処理S1で受け付けた認証要求に含まれる位置情報が示す位置が、制限対象範囲情報が示す制限対象範囲内にないと判断された場合は、処理S3以降の処理が実行される。つまり、制限対象範囲外に位置する要求者からの認証要求に対しては、認証処理部102による認証が実行される。   As a result of the determination in step S7, if it is determined that the position indicated by the position information included in the authentication request received in step S1 is not within the restriction target range indicated by the restriction target range information, the processes after step S3 Is executed. That is, the authentication processing unit 102 performs authentication for an authentication request from a requester located outside the restriction target range.

なお、本発明は上述の実施形態に限定されるものではない。   In addition, this invention is not limited to the above-mentioned embodiment.

例えば、制限対象範囲が設定された後、不正な認証要求であると判定された認証要求を送信した端末装置20と同じ端末装置20から、新たな認証要求を受け付けた場合に、制限対象範囲設定部104が、当該新たな認証要求に含まれる位置情報の示す位置を基準として制限対象範囲を再設定してもよい。具体的には、認証要求受付部101は、認証要求として、認証情報、位置情報の他に端末識別情報を受け付けることとする。そして、不正な認証要求であると判定された認証要求に含まれる端末識別情報を利用者情報記憶部106の利用者情報に含めて記憶する。そして、認証要求受付部101が新たな認証要求を受け付けると、新たな認証要求に含まれる端末識別情報と、利用者情報に含まれる不正な認証要求を行った端末装置20の端末識別情報と、が一致するか否かが判断され、一致する場合に制限対象範囲設定部104が制限対象範囲を再設定する。このとき、既に設定されている制限対象範囲は削除してもよいし、残したままとしてもよい。これにより、不正者が利用している端末装置20の最新の位置を基準として制限対象範囲が設定することができ、制限対象範囲を効果的に抑制することができる。   For example, when a new authentication request is received from the same terminal device 20 as the terminal device 20 that has transmitted the authentication request determined to be an unauthorized authentication request after the restriction target range is set, the restriction target range setting is performed. The unit 104 may reset the restriction target range based on the position indicated by the position information included in the new authentication request. Specifically, the authentication request receiving unit 101 receives terminal identification information in addition to authentication information and position information as an authentication request. Then, the terminal identification information included in the authentication request determined to be an unauthorized authentication request is included in the user information of the user information storage unit 106 and stored. Then, when the authentication request receiving unit 101 receives a new authentication request, the terminal identification information included in the new authentication request, the terminal identification information of the terminal device 20 that has made an unauthorized authentication request included in the user information, and Are matched, and if they match, the restriction target range setting unit 104 resets the restriction target range. At this time, the restriction target range that has already been set may be deleted or may remain. Thereby, the restriction target range can be set based on the latest position of the terminal device 20 used by the unauthorized person, and the restriction target range can be effectively suppressed.

また、処理S4にて不正な認証要求であると判定される利用者IDが複数存在する場合は、制限対象範囲も不正な認証要求であると判定される利用者IDに応じて複数設定されることとする。   In addition, when there are a plurality of user IDs determined to be unauthorized authentication requests in the process S4, a plurality of restriction target ranges are also set according to the user IDs determined to be unauthorized authentication requests. I will do it.

また、利用者情報として、利用者IDとパスワードとの組み合わせの他に、パスワードよりセキュリティ性の高い認証情報(例えば、正規の利用者しか知らない第2暗証、秘密のキーワードなど)が利用者IDに関連付けられていてもよい。そして、制限対象範囲が設定されている利用者IDに対して第2暗証等による認証が成功した場合に、当該利用者IDに対して設定されている制限対象範囲が解除されることとしてもよい。   As user information, in addition to a combination of a user ID and a password, authentication information with higher security than a password (for example, a second password known only by a legitimate user, a secret keyword, etc.) is used. May be associated. Then, when the authentication by the second password or the like succeeds for the user ID for which the restriction target range is set, the restriction target range set for the user ID may be canceled. .

また、制限対象範囲設定部104が制限対象範囲を設定すると、不正な認証要求を行った端末装置20の位置情報、及び制限対象範囲の情報を、認証装置10から正規の利用者へメールで通知してもよい。また、制限対象範囲設定部104が制限対象範囲を再設定する場合もその都度、不正な認証要求を行った端末装置20の位置情報、及び制限対象範囲の情報を、認証装置10から正規の利用者へメールで通知してもよい。これにより、正規の利用者は、不正者が存在すること、認証制限される範囲を認識することができる。   Further, when the restriction target range setting unit 104 sets the restriction target range, the authenticating device 10 notifies the authorized user by e-mail of the location information of the terminal device 20 that has made an unauthorized authentication request and the information on the restriction target range. May be. In addition, each time the restriction target range setting unit 104 resets the restriction target range, the authentication apparatus 10 properly uses the location information of the terminal device 20 that has made an unauthorized authentication request and the information on the restriction target range. The person may be notified by e-mail. As a result, a legitimate user can recognize the presence of an unauthorized person and the range where authentication is restricted.

10 認証装置、11 制御部、12 記憶部、13 通信部、20 端末装置、101 認証要求受付部、102 認証処理部、103 不正認証判定部、104 制限対象範囲設定部、105 認証制限部、106 利用者情報記憶部、107 制限対象範囲情報記憶部、300,400 制限対象範囲。   DESCRIPTION OF SYMBOLS 10 Authentication apparatus, 11 Control part, 12 Storage part, 13 Communication part, 20 Terminal apparatus, 101 Authentication request reception part, 102 Authentication processing part, 103 Unauthorized authentication determination part, 104 Restriction range setting part, 105 Authentication restriction part, 106 User information storage unit, 107 Restriction target range information storage unit, 300,400 Restriction target range.

Claims (5)

端末装置に入力された利用者であることを認証するための認証情報と、当該端末装置の位置を示す位置情報と、を含む認証要求を受け付ける受付部と、
前記受付部が前記認証要求を受け付けた場合に、当該認証要求に含まれる認証情報を用いて利用者の認証を行う認証処理部と、
前記認証の失敗により不正な認証要求が行われたと判定される場合に、当該不正な認証要求に含まれる位置情報を基準として制限対象範囲を設定する範囲設定部と、
前記不正な認証要求が行われた後に前記受付部が新たな認証要求を受け付けた際に、当該新たな認証要求に含まれる位置情報の示す位置が前記制限対象範囲内にある場合、当該新たな認証要求に対する認証を制限する認証制限部と、
を含むことを特徴とする認証装置。 A receiving unit that receives an authentication request including authentication information for authenticating that the user is input to the terminal device, and position information indicating the position of the terminal device;
An authentication processing unit for authenticating a user using authentication information included in the authentication request when the receiving unit receives the authentication request;
A range setting unit that sets a range to be restricted with reference to position information included in the unauthorized authentication request when it is determined that an unauthorized authentication request has been made due to the authentication failure;
When the reception unit receives a new authentication request after the unauthorized authentication request is made, and the position indicated by the position information included in the new authentication request is within the restriction target range, the new An authentication restriction unit that restricts authentication for an authentication request;
An authentication device comprising: 前記認証処理部は、前記制限対象範囲が設定された状態で前記受付部が新たな認証要求を受け付けた際に、当該新たな認証要求に含まれる位置情報の示す位置が前記制限対象範囲の外にある場合、当該新たな認証要求に対する認証を行う、
ことを特徴とする請求項1に記載の認証装置。 When the accepting unit accepts a new authentication request in a state where the restriction target range is set, the authentication processing unit determines that the position indicated by the position information included in the new authentication request is outside the restriction target range. If so, perform authentication for the new authentication request.
The authentication apparatus according to claim 1. 前記範囲設定部は、前記不正な認証要求が行われた後、時間が経過するに従って、前記制限対象範囲の大きさを拡大させる、
ことを特徴とする請求項1または2に記載の認証装置。 The range setting unit expands the size of the restriction target range as time passes after the unauthorized authentication request is made.
The authentication device according to claim 1, wherein the authentication device is an authentication device. 前記範囲設定部は、前記制限対象範囲が設定された状態で前記受付部が新たな認証要求を受け付けた際に、当該新たな認証要求が、前記不正な認証要求を行った端末装置によって行われたと判定される場合、当該新たな認証要求に含まれる位置情報を基準として制限対象範囲を再設定する、
ことを特徴とする請求項1から3のいずれか一項に記載の認証装置。 When the accepting unit accepts a new authentication request in a state where the restriction target range is set, the new authentication request is made by the terminal device that has made the unauthorized authentication request. If it is determined that the restriction target range is reset based on the position information included in the new authentication request,
The authentication device according to any one of claims 1 to 3, wherein 端末装置に入力された利用者であることを認証するための認証情報と、当該端末装置の位置を示す位置情報と、を含む認証要求を受け付ける受付手段、
前記受付部が前記認証要求を受け付けた場合に、当該認証要求に含まれる認証情報を用いて利用者の認証を行う認証処理手段、
前記認証の失敗により不正な認証要求が行われたと判定される場合に、当該不正な認証要求に含まれる位置情報を基準として制限対象範囲を設定する範囲設定手段、
前記不正な認証要求が行われた後に前記受付手段が新たな認証要求を受け付けた際に、当該新たな認証要求に含まれる位置情報の示す位置が前記制限対象範囲内にある場合、当該新たな認証要求に対する認証を制限する認証制限手段、
としてコンピュータを機能させるためのプログラム。 Accepting means for accepting an authentication request including authentication information for authenticating that the user is input to the terminal device and position information indicating the position of the terminal device;
An authentication processing means for authenticating a user using authentication information included in the authentication request when the receiving unit receives the authentication request;
A range setting means for setting a restriction target range based on position information included in the unauthorized authentication request when it is determined that an unauthorized authentication request has been made due to the authentication failure;
When the accepting unit accepts a new authentication request after the unauthorized authentication request is made, if the position indicated by the position information included in the new authentication request is within the restriction target range, the new Authentication restriction means for restricting authentication for authentication requests,
As a program to make the computer function as.
JP2014167850A 2014-08-20 2014-08-20 Authentication apparatus and program Active JP6361368B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014167850A JP6361368B2 (en) 2014-08-20 2014-08-20 Authentication apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014167850A JP6361368B2 (en) 2014-08-20 2014-08-20 Authentication apparatus and program

Publications (2)

Publication Number Publication Date
JP2016045589A JP2016045589A (en) 2016-04-04
JP6361368B2 true JP6361368B2 (en) 2018-07-25

Family

ID=55636132

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014167850A Active JP6361368B2 (en) 2014-08-20 2014-08-20 Authentication apparatus and program

Country Status (1)

Country Link
JP (1) JP6361368B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018107668A (en) * 2016-12-27 2018-07-05 本田技研工業株式会社 AUTHENTICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002064861A (en) * 2000-08-14 2002-02-28 Pioneer Electronic Corp User authentication system
JP2004118456A (en) * 2002-09-25 2004-04-15 Japan Science & Technology Corp Mobile terminal authentication system using location information
JP2009020868A (en) * 2007-06-11 2009-01-29 Ricoh Co Ltd Authentication apparatus, authentication method, and program
JP2011145906A (en) * 2010-01-15 2011-07-28 Hitachi Omron Terminal Solutions Corp Transaction processing device and transaction processing method
JP5465097B2 (en) * 2010-06-14 2014-04-09 日本電信電話株式会社 Unauthorized use determination system, unauthorized use determination method, service providing server, and program

Also Published As

Publication number Publication date
JP2016045589A (en) 2016-04-04

Similar Documents

Publication Publication Date Title
US11270532B2 (en) Lock control device, information processing method, program, and communication terminal
US9537661B2 (en) Password-less authentication service
US9305298B2 (en) System and method for location-based authentication
US9325687B2 (en) Remote authentication using mobile single sign on credentials
US8863243B1 (en) Location-based access control for portable electronic device
CN105306204B (en) Security verification method, device and system
TWI513266B (en) System and method for location-based authentication
US20140282992A1 (en) Systems and methods for securing the boot process of a device using credentials stored on an authentication token
US20160105290A1 (en) Universal anonymous cross-site authentication
JP6039029B1 (en) Selection device, selection method, selection program, and authentication processing system
EP3815413B1 (en) User authentication using a companion device
JP5823651B1 (en) Authentication system, authentication method, and authentication program
US20220116390A1 (en) Secure two-way authentication using encoded mobile image
JP2006331048A (en) Personal identification method and system by position information
CN106534102A (en) Device access method and device and electronic device
US9906516B2 (en) Security system for preventing further access to a service after initial access to the service has been permitted
US20170187700A1 (en) Pregenerated two-factor authentication tokens
JP2018147327A (en) Generating device, generating method, and generating program
JP6361368B2 (en) Authentication apparatus and program
JP6077077B1 (en) Authentication apparatus, authentication method, and authentication program
KR101473576B1 (en) Method for Offline Login based on SW Token and Mobile Device using the same
JP6916762B2 (en) Method determination device, method determination method and method determination program
JP2012141870A (en) Authentication system, authentication method, and program
Yamaguchi et al. Enhancing account recovery with location-based dynamic questions
KR101594315B1 (en) Method and server for providing service using third party authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180327

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180529

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180611

R150 Certificate of patent or registration of utility model

Ref document number: 6361368

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350