JPH06332859A - User authentication method - Google Patents
User authentication methodInfo
- Publication number
- JPH06332859A JPH06332859A JP5120166A JP12016693A JPH06332859A JP H06332859 A JPH06332859 A JP H06332859A JP 5120166 A JP5120166 A JP 5120166A JP 12016693 A JP12016693 A JP 12016693A JP H06332859 A JPH06332859 A JP H06332859A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication code
- host
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
【0001】[0001]
【産業上の利用分野】本発明は、ユーザ認証方法に係
り、特に、ホストシステム、サーバに通信回線、LAN
等を用いて複数の端末装置を接続する情報処理システム
において、第3者による不正な情報へのアクセスを検出
可能とするユーザ認証方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a user authentication method, and more particularly to a host system, a server, a communication line, and a LAN.
The present invention relates to a user authentication method capable of detecting an unauthorized access to information by a third party in an information processing system in which a plurality of terminal devices are connected using the above.
【0002】[0002]
【従来の技術】従来、通信回線やLAN等を用いてホス
ト、サーバと端末装置を接続する情報処理システムにお
けるユーザ認証のための第1の方法として、利用できる
端末装置が制限されている場合においては、端末装置内
に実装されているハードウェアが自識別情報(自ID)
をホストまたはサーバに送出し、端末装置がアクセスを
許可されていることが認められた場合、実際にユーザが
特定の識別情報(パスワード)を投入し、パスワードの
妥当性をセンタ或いはサーバで確認後、ホスト或いは、
サーバ等の利用を許可するユーザ認証方法が行われてい
る。2. Description of the Related Art Conventionally, as a first method for user authentication in an information processing system for connecting a terminal device to a host and a server using a communication line, a LAN, etc., when available terminal devices are limited. Is the self-identification information (self ID) of the hardware installed in the terminal device.
Is sent to the host or server, and if it is recognized that the terminal device is allowed to access, the user actually inputs specific identification information (password) and confirms the validity of the password at the center or server. , Host or
There is a user authentication method that permits the use of servers and the like.
【0003】また、従来のユーザ認証の第2の方法とし
ては、最近の傾向として、利用できる端末を制限しない
自由なアクセス、即ち、任意のワークステーション(W
S)、パーソナルコンピュータ(PC)からのホスト、
或いはサーバへのアクセスを可能とする情報処理システ
ムが一般的である。このシステムは、自IDをユーザが
手入力等で行うのが普通である。As a second conventional method of user authentication, as a recent tendency, free access without limiting available terminals, that is, an arbitrary workstation (W
S), a host from a personal computer (PC),
Alternatively, an information processing system that allows access to a server is common. In this system, the user usually inputs his own ID manually.
【0004】また、パスワード等の破壊に気がつかない
場合、本当のユーザがパスワードを変更するまで情報の
盗難が継続することになる。If the password or the like is not noticed to be destroyed, the theft of information will continue until the real user changes the password.
【0005】このような場合、システム設計者はセキュ
リティの確保の観点から、上記情報の盗難の継続を防ぐ
ために、例えば、1か月単位で強制的にパスワードの変
更を義務付けているのが一般的である。この結果、情報
が際限なく盗難される状況を回避している。In such a case, from the viewpoint of ensuring security, the system designer generally obliges the password to be forcibly changed on a monthly basis, for example, in order to prevent the information from being stolen. Is. As a result, information is prevented from being stolen indefinitely.
【0006】また、従来のユーザ認証の第3の方法とし
て、最近の情報処理システムにおいては、ユーザの認証
を行う方法として、特殊な暗号化装置を各ユーザに配布
し、当該ユーザがホストあるいはサーバへの接続のため
に自IDを送信すると、ホスト又はサーバが特殊なコー
ドを端末装置に送信する。端末装置は、送信されたコー
ドを暗号化装置に入力し、その結果をパスワードとして
センタ或いはサーバに送信することで、ユーザの認証を
行うシステムがある。Further, as a third conventional method of user authentication, in a recent information processing system, as a method of authenticating a user, a special encryption device is distributed to each user, and the user is a host or a server. The host or server sends a special code to the terminal device when sending its own ID for connection to. There is a system in which a terminal device inputs a transmitted code into an encryption device and transmits the result as a password to a center or a server to authenticate a user.
【0007】さらに、別の情報処理システムでは、暗号
化装置の代わりにICカード等の入力装置を設置し、各
ユーザに配布したICカード等を利用し、ユーザの自I
D投入やパスワード投入をICカード入力装置にICカ
ードを挿入することで代行し、ユーザ認証を行ってい
る。Further, in another information processing system, an input device such as an IC card is installed in place of the encryption device, and the IC card distributed to each user is used so that the user's own I
By inserting the IC card into the IC card input device, the D input and the password input are performed for the user authentication.
【0008】このような、何等かのハードウェア的な装
置を併用するユーザ認証方式は、ハードウェアの盗難が
明示的に認識できる(単なるパスワードであれば盗み見
されたことが明示的には判断できないが、ハードウェア
の盗難は次のアクセス要求時に必ず盗難が判明する)点
を利用して、情報の盗難の継続性を回避可能としてい
る。[0008] In such a user authentication method that also uses some kind of hardware device, it is possible to explicitly recognize the theft of the hardware (if a simple password, it cannot be explicitly determined that the device has been stolen. However, it is possible to avoid continuity of information theft by utilizing the point that the theft of hardware is always found when the next access request is made).
【0009】さらに、ICカード内にパスワードを記憶
することでパスワードのユーザ管理を不要にでき、パス
ワード盗難が発生しなくなり、セキュリティ強化ができ
る等の利点も存在する。Further, by storing the password in the IC card, it is possible to eliminate the need for user management of the password, prevent the password from being stolen, and strengthen the security.
【0010】このように従来の情報処理システムでは、
許可されたユーザの認証方式として、ユーザのID情報
とそれに伴うパスワードを利用している。As described above, in the conventional information processing system,
As the authorized user authentication method, the user's ID information and the accompanying password are used.
【0011】[0011]
【発明が解決しようとする課題】しかしながら、上記従
来のユーザ認証方式において、自IDやパスワードを用
いる方法では、一旦誰かに自ID、パスワードが盗まれ
たり、漏洩した場合、その盗まれたID、パスワードを
利用した第3者がホスト或いはサーバへ不当に侵入して
情報を入手したり、破壊する危険(セキュリティの破
壊)が発生する。さらに、パスワード等の破壊に気付か
ずセキュリティの破壊がある場合は、真のユーザがパス
ワードを変更するまで情報の盗難が続く。However, in the above-mentioned conventional user authentication method, in the method of using the self ID and the password, if the self ID and the password are stolen or leaked to someone, the stolen ID, There is a risk that a third party using the password may intrude into the host or server improperly to obtain or destroy information (destruction of security). Further, if the password or the like is not noticed and the security is destroyed, the information is stolen until the true user changes the password.
【0012】上記パスワードによるユーザ認証方式で
は、継続的な情報の盗難を防ぐためには、システム側で
規定したルールをユーザが尊重し、自主的、定期的にパ
スワードを変更しない限り達成できない。The above user authentication method using a password cannot be achieved unless the user respects the rules defined by the system and voluntarily and regularly changes the password in order to prevent theft of information.
【0013】また、暗号化装置やICカードを用いてユ
ーザの認証を行う方法では、ハードウェアに対する追加
投資が必要であったり、利用できるパーソナルコンピュ
ータやワークステーションが制限される等の欠点があ
る。Further, the method of authenticating a user using an encryption device or an IC card has drawbacks such as additional investment in hardware and limitation of usable personal computers and workstations.
【0014】このように、ユーザ認証においては、ユー
ザを認証する為に用いるパスワードの漏洩、或いは暗号
化装置の盗難による第3者の不当なホストあるいはサー
バ内の情報へのアクセスが発生する可能性がある。この
ため、いかにして、第3者による不当なホスト或いはサ
ーバへのアクセスを速やかに検出し、継続的な情報の盗
難、破壊を防ぎ、被害を小さくするかが重要である。As described above, in the user authentication, there is a possibility that the password used for authenticating the user is leaked or the information in the host or the server is improperly accessed by the third party due to the theft of the encryption device. There is. Therefore, it is important to promptly detect an unauthorized access to a host or a server by a third party, prevent continuous theft and destruction of information, and reduce damage.
【0015】本発明は上記の点に鑑みなされたもので、
上記従来の問題点を解決し、端末装置側に特別なハード
ウェアを追加することなしに、ホスト或いはサーバが許
可されていない不当なユーザにアクセスされたことを検
出する機能を付加し、継続的に情報の盗難を防止できる
ユーザ認証方法を提供することを目的とする。The present invention has been made in view of the above points,
To solve the above conventional problems, a function to detect that a host or server is accessed by an unauthorized user without adding special hardware to the terminal device side is added, It is an object of the present invention to provide a user authentication method capable of preventing information theft.
【0016】[0016]
【課題を解決するための手段】図1は本発明の原理を説
明するための図である。FIG. 1 is a diagram for explaining the principle of the present invention.
【0017】本発明は、ホスト或いはサーバと複数の端
末装置から構成される情報処理システムの端末装置から
受信したデータに基づいてユーザを認識するユーザ認証
方法において、ホスト或いはサーバは、接続しているユ
ーザが次にシステムをアクセスした時に投入すべき認証
コードを生成し(ステップ100)、生成された認証コ
ードを端末装置に送出する(ステップ101)と共に、
認証コードを保持し(ステップ102)、認証コードを
受信したユーザは、受信した認証コードを保持し(ステ
ップ103)、ホスト或いはサーバとの接続を切断後
(ステップ104)、次にユーザからホスト或いはサー
バに接続要求を行い(ステップ105)、保持していた
認証コードをホスト或いはサーバに送信し(ステップ1
06)、接続要求を受信したホスト或いはサーバは、ユ
ーザから受信した認証コードをホスト或いはサーバに保
持している認証コードを比較し(ステップ107)、ユ
ーザから受信した認証コードが、保持している認証コー
ドと異なる場合は、第3者によるシステム侵入が発生し
ていると判断し(ステップ108)、ユーザから受信し
た認証コードが、保持している認証コードと一致した場
合には第3者によるシステム侵入が発生していないと判
断する(ステップ109)。The present invention is a user authentication method for recognizing a user based on data received from a terminal device of an information processing system including a host or server and a plurality of terminal devices. In the user authentication method, the host or server is connected. An authentication code to be input when the user next accesses the system is generated (step 100), and the generated authentication code is sent to the terminal device (step 101).
The user holding the authentication code (step 102) and receiving the authentication code holds the received authentication code (step 103), disconnects the connection with the host or the server (step 104), and then the user sends the host or the host. A connection request is made to the server (step 105), and the held authentication code is transmitted to the host or server (step 1).
06), the host or server receiving the connection request compares the authentication code received from the user with the authentication code held in the host or server (step 107), and the authentication code received from the user holds it. If it is different from the authentication code, it is determined that a system intrusion by a third party has occurred (step 108), and if the authentication code received from the user matches the held authentication code, it is determined by a third party. It is determined that no system intrusion has occurred (step 109).
【0018】[0018]
【作用】本発明は、ホスト或いはサーバと複数の端末装
置から構成される情報システムにおいて、端末装置を利
用するユーザ対応にホスト或いはサーバ内で、各ユーザ
が次に接続要求する際に投入すべき認証コードを生成
し、その認証コードをユーザが使用する端末装置に送信
すると共に、ホスト或いはサーバ内に確保しておき、次
回のユーザからのアクセス時にユーザが投入した認証コ
ードと確保している認証コードの一致を判断することに
より、真のユーザからのアクセスか、第3者によるシス
テムの侵入かを判定する。これにより、第3者によるシ
ステムへの侵入と判断された場合にはそのアクセスを拒
否し、真のユーザからのアクセスであって、システムへ
の侵入が発生していない場合には、次回のアクセス要求
時に使用する認証コードを生成し、ユーザに送信すると
共に、当該ユーザに対してシステムへのアクセスを許可
する。According to the present invention, in an information system composed of a host or server and a plurality of terminal devices, each user should put in the next connection request in the host or server corresponding to the user who uses the terminal device. An authentication code is generated, the authentication code is sent to the terminal device used by the user, and is also secured in the host or server, and the authentication code entered by the user at the next access from the user and the secured authentication. By judging whether the codes match, it is judged whether the access is from a true user or the system has been intruded by a third party. As a result, if it is determined that a third party has invaded the system, the access is denied, and if it is an access from a true user and no intrusion to the system has occurred, the next access is made. Generates an authentication code to be used at the time of request, sends it to the user, and permits the user to access the system.
【0019】従って、同一のユーザが連続して、ホスト
或いはサーバへのアクセスを行わない限り、認証コード
の不一致が発生し、ホストあるいはサーバが自主的に不
要なシステムへのアクセスを検出するため、第3者によ
る継続的な情報の盗難、破壊が防止できる。Therefore, unless the same user continuously accesses the host or the server, the authentication code mismatch occurs, and the host or the server voluntarily detects the access to the unnecessary system. Continuous theft and destruction of information by a third party can be prevented.
【0020】[0020]
【実施例】以下、図面と共に本発明の実施例を説明す
る。Embodiments of the present invention will be described below with reference to the drawings.
【0021】図2は、本発明の一実施例の情報システム
の構成例を示す。本実施例では、ホスト及びサーバの機
能は同一であるので、以下、ホストと端末装置が接続さ
れているものとして説明する。FIG. 2 shows an example of the configuration of an information system according to an embodiment of the present invention. In the present embodiment, the functions of the host and the server are the same, so the following description will be made assuming that the host and the terminal device are connected.
【0022】同図において、複数の端末装置101〜1
0nがLAN110を介してサーバ11、ゲートウェイ
112に接続される。ゲートウェイ112は回線系を経
由してホスト113に接続している。端末装置101〜
10nは、LAN110を介してサーバ111の接続、
或いはゲートウェイ112を経由してホスト113に接
続可能な構成であることを示す。In the figure, a plurality of terminal devices 101 to 1
0n is connected to the server 11 and the gateway 112 via the LAN 110. The gateway 112 is connected to the host 113 via a line system. Terminal device 101-
10n is the connection of the server 111 via the LAN 110,
Alternatively, it indicates that the host 113 can be connected via the gateway 112.
【0023】図3は本発明の一実施例のホストのユーザ
認証機能の構成を示す。FIG. 3 shows the configuration of the user authentication function of the host according to an embodiment of the present invention.
【0024】ホストは、ユーザ情報保持テーブル20
1、ユーザID保持部202、ユーザ認証コード保持部
207、認証処理部208、ステータス報告部212に
より構成される。The host has a user information holding table 20.
1, a user ID holding unit 202, a user authentication code holding unit 207, an authentication processing unit 208, and a status reporting unit 212.
【0025】ユーザ情報保持テーブル201は、パスワ
ード保持部203、認証コード保持部204、有効期限
保持部205及び異常ステータス保持部206から構成
される。The user information holding table 201 comprises a password holding unit 203, an authentication code holding unit 204, an expiration date holding unit 205, and an abnormal status holding unit 206.
【0026】ユーザ識別情報保持テーブル201のパス
ワード保持部203は、ユーザのパスワードを記憶し、
認証コード保持部204は、前回のアクセス時にユーザ
に送信した認証コードを保持し、有効期限保持部205
は、前回のアクセスからの経過時間に応じて今回のアク
セスを許可するか否かの判断を行うための情報を保持
し、異常ステータス保持部206は、何等かの理由で前
回のユーザからのアクセス要求を拒否した場合の理由を
保持する。The password holding unit 203 of the user identification information holding table 201 stores the user password,
The authentication code storage unit 204 stores the authentication code transmitted to the user at the time of the previous access, and the expiration date storage unit 205.
Holds information for determining whether or not to permit this access according to the elapsed time from the previous access, and the abnormal status holding unit 206 causes the access from the previous user for some reason. Holds the reason for rejecting the request.
【0027】ホスト113におけるユーザ認証処理は、
このユーザ識別情報保持テーブル201を中心に実施す
る。ユーザ識別情報保持テーブル201は、ユーザが端
末装置より投入したユーザIDを保持するユーザID保
持部202により特定ユーザ情報のテーブルが選択可能
である。User authentication processing in the host 113 is as follows.
This user identification information holding table 201 is mainly implemented. As the user identification information holding table 201, a table of specific user information can be selected by the user ID holding unit 202 holding the user ID input by the user from the terminal device.
【0028】例えば、ユーザが端末装置よりユーザID
“AAA”を入力した場合に、ユーザID保持部202
は、“AAA”を保持し、その“AAA”に該当するユ
ーザ識別情報保持テーブル201のパスワード保持部2
03を検索する。For example, if the user has a user ID from the terminal device
When “AAA” is input, the user ID holding unit 202
Holds “AAA”, and the password holding unit 2 of the user identification information holding table 201 corresponding to the “AAA”.
Search for 03.
【0029】さらに、ユーザ認証処理を行う認証処理部
208は、新認証コード生成部209、有効期限設定部
210及び異常ステータス生成部211より構成され
る。Further, the authentication processing section 208 for performing the user authentication processing is composed of a new authentication code generating section 209, an expiration date setting section 210 and an abnormal status generating section 211.
【0030】新認証コード生成部209は、認証処理2
08のユーザ認証実行により、正しいユーザと認識され
た場合に、次回のアクセスのための新認証コードを生成
し、ユーザ識別情報保持テーブル201の認証コード保
持部204に送出すると共に、ステータス報告部212
にも転送する。The new authentication code generation unit 209 uses the authentication process 2
When a correct user is recognized by executing the user authentication of 08, a new authentication code for the next access is generated and sent to the authentication code holding unit 204 of the user identification information holding table 201 and the status reporting unit 212.
Forward it to.
【0031】有効期限設定部210は、次回のアクセス
までの有効期限を設定し、ユーザ識別情報保持テーブル
201の有効期限保持部205に転送する。The expiration date setting unit 210 sets an expiration date until the next access, and transfers it to the expiration date holding unit 205 of the user identification information holding table 201.
【0032】異常ステータス生成部211は、認証処理
部208のユーザ認証実行により異常を検出した場合の
異常コードを生成し、ユーザ識別情報テーブル201の
異常ステータス保持部206に送出すると共に、ステー
タス報告部212にも転送する。The abnormal status generation unit 211 generates an abnormal code when an abnormality is detected by executing the user authentication of the authentication processing unit 208, sends it to the abnormal status holding unit 206 of the user identification information table 201, and the status reporting unit. Also forward to 212.
【0033】ステータス報告部212は、認証処理部2
08の異常ステータス生成部211からの認証異常コー
ドや、正しいユーザとして認証された場合、新認証コー
ド生成部209で生成された認証コード等のユーザ認証
結果をユーザの端末へ出力する。The status reporting unit 212 is the authentication processing unit 2
When the user has been authenticated as a correct user, the authentication error code from the abnormal status generation unit 211 of 08 or the authentication code generated by the new authentication code generation unit 209 is output to the user terminal.
【0034】上記の構成のホストのユーザ認証の具体的
動作を第1段階及び第2段階のユーザ認証に分けて以下
に説明する。The specific operation of the user authentication of the host having the above-mentioned structure will be described below by dividing it into the user authentication of the first step and the second step.
【0035】以下に示す第1段階とは、ユーザからのユ
ーザIDとパスワードによりホスト側で保持している内
容と比較して、真のユーザであるかを判断するステップ
であり、このステップにおいて真のユーザであると判断
された場合のみ第2段階の処理を行うことができる。The first step shown below is a step of judging whether or not the user is a true user by comparing the contents held on the host side with the user ID and password from the user, and in this step, The second-stage processing can be performed only when the user is determined to be the user.
【0036】第2段階は、第1の段階で保持されている
認証コード保持部と再度ユーザから入力されたユーザ認
証コードが一致するか、有効期限が過ぎていないかをチ
ェックするステップである。The second step is a step of checking whether the authentication code holding section held in the first step matches the user authentication code input by the user again or whether the expiration date has passed.
【0037】(1)第1段階のユーザ認証 図4は本発明の一実施例の第1段階のユーザ認証を説明
するためのシーケンスチャートである。(1) First Stage User Authentication FIG. 4 is a sequence chart for explaining the first stage user authentication of an embodiment of the present invention.
【0038】ステップ1)端末装置101を利用するユ
ーザがホスト113への接続要求を開始するためにLA
N113、ゲートウェイ112を経由して通信パスを確
立する。Step 1) A user who uses the terminal device 101 initiates a LA to initiate a connection request to the host 113.
A communication path is established via N113 and the gateway 112.
【0039】ステップ2)パスの確立要求を検出したホ
スト113は、端末装置101にユーザIDとパスワー
ドの入力を要求する。Step 2) The host 113, which has detected the path establishment request, requests the terminal device 101 to input the user ID and password.
【0040】ステップ3)ユーザより入力されたユーザ
IDをユーザID保持部202に保持する。Step 3) The user ID input by the user is held in the user ID holding unit 202.
【0041】ステップ4)ユーザID保持部202から
指定されたユーザ識別情報保持テーブル201を検索
し、入力されたパスワードとパスワード保持部203に
保持しているパスワードを比較する。Step 4) The designated user identification information holding table 201 is searched from the user ID holding unit 202, and the entered password is compared with the password held in the password holding unit 203.
【0042】ステップ5)ユーザID、及びパスワード
が一致しない場合、規定の回数の再試行を行う。規定回
数内でユーザID及びパスワードが一致し、正しく確認
できた場合は、ユーザ識別情報保持テーブル201の認
証コード保持部204からユーザ認証コードを端末装置
に送出し、端末装置は受信したユーザ認証コードを保持
する。第2段階のユーザ認証の処理に移行する。Step 5) If the user ID and password do not match, retry is performed a prescribed number of times. If the user ID and the password match within the prescribed number of times and the user can confirm them correctly, the authentication code holding unit 204 of the user identification information holding table 201 sends the user authentication code to the terminal device, and the terminal device receives the received user authentication code. Hold. The process proceeds to the second stage user authentication process.
【0043】ステップ6)ステップ4において、ユーザ
ID及びパスワードの確認に失敗した場合において、ユ
ーザが特定できた場合はパスワード不一致を示すコード
を異常ステータス保持部206に記録し、端末101と
の通信パスを切断し、処理を終了する。Step 6) In step 4, if the user ID and password cannot be confirmed and the user can be identified, a code indicating the password mismatch is recorded in the abnormal status holding unit 206, and the communication path with the terminal 101 is passed. To disconnect the process.
【0044】ステップ7)ユーザが特定できない場合
は、単に端末101との通信パスを切断し、処理を終了
する。Step 7) If the user cannot be specified, the communication path with the terminal 101 is simply cut off and the process is terminated.
【0045】(2) 第2段階のユーザ認証 図5は本発明の一実施例の第2段階のユーザ認証を説明
するためのシーケンスチャートである。(2) Second Stage User Authentication FIG. 5 is a sequence chart for explaining the second stage user authentication of an embodiment of the present invention.
【0046】ステップ10)ホストは端末装置101に
対してユーザ認証コードの投入を要求し、投入されたユ
ーザ認証コードをユーザ認証コード保持部207に保持
する。Step 10) The host requests the terminal device 101 to input the user authentication code, and holds the input user authentication code in the user authentication code holding unit 207.
【0047】ステップ11)ユーザ識別情報保持テーブ
ル201内の情報に基づいて認証処理部208は以下の
認証処理を行う。Step 11) The authentication processing unit 208 performs the following authentication processing based on the information in the user identification information holding table 201.
【0048】異常ステータス保持部206内に異常に
関する履歴(異常ステータス)が存在する場合には、レ
ベル2の異常ステータスを生成する。If there is a history of abnormalities (abnormal status) in the abnormal status holding unit 206, a level 2 abnormal status is generated.
【0049】ユーザが投入した内容が保持されている
ユーザ認証コード保持部207の認証コードとユーザ識
別情報保持テーブル201の認証コード保持部204の
内容は一致しているが、有効期限保持部205の有効期
限を越えている場合には、レベル1の異常ステータスを
生成する。The contents of the authentication code holding unit 207 holding the contents entered by the user and the contents of the authentication code holding unit 204 of the user identification information holding table 201 match, but the contents of the expiration date holding unit 205 If the expiration date has passed, a level 1 abnormal status is generated.
【0050】規定回数再試行しても、ユーザ認証コー
ド保持部207と認証コード保持部204の内容が一致
しない場合には、レベル2の異常ステータスを生成す
る。If the contents of the user authentication code holding unit 207 and the authentication code holding unit 204 do not match even after retrying the specified number of times, a level 2 abnormal status is generated.
【0051】ユーザ認証コード保持部207とユーザ
識別情報保持テーブル201の認証コード保持部204
の内容が一致し、有効期限内であり、異常ステータス2
06も存在しない場合には、認識処理結果を正常とす
る。The user authentication code holding unit 207 and the authentication code holding unit 204 of the user identification information holding table 201.
Contents match, it is within the expiration date, and abnormal status 2
If 06 does not exist, the recognition processing result is normal.
【0052】ステップ12)認証処理部208の認証処
理結果に応じて以下の処理を行う。Step 12) The following processing is performed according to the authentication processing result of the authentication processing unit 208.
【0053】正常終了が報告された場合(ユーザ識別
情報保持テーブル201の認証コード保持部204とユ
ーザ認証コード保持部207の内容(入力されたユーザ
認証コード)が一致し、有効期限内である場合)には、
新認証コード生成部209及び有効期限設定部210
は、新認証コードと、新たな有効期限を生成する。When normal termination is reported (when the contents of the authentication code holding unit 204 of the user identification information holding table 201 and the user authentication code holding unit 207 (input user authentication code) match and the validity period is not reached) ) Has
New authentication code generation unit 209 and expiration date setting unit 210
Generates a new authentication code and a new expiration date.
【0054】本実施例では新認証コード生成部209
は、認識処理部208で正常と判断した時刻を1/10
0秒単位で取り出し、新認証コードとして生成し、ユー
ザ識別情報保持テーブル201の認証コード保持部20
4の内容を更新する。さらに、新認証コード生成部20
9は、生成された新たな認証コードをステータス報告部
212に通知する。In this embodiment, the new authentication code generation unit 209
Is 1/10 the time when the recognition processing unit 208 determines that it is normal.
The authentication code holding unit 20 of the user identification information holding table 201 is taken out in units of 0 seconds to generate a new authentication code
Update the contents of 4. Furthermore, the new authentication code generator 20
9 notifies the status report unit 212 of the generated new authentication code.
【0055】有効期限設定部210は有効期限を当日
から30日間とし、30日後の年月日を計算し、有効期
限保持部205の内容を更新する。The expiration date setting unit 210 sets the expiration date to 30 days from the current day, calculates the date after 30 days, and updates the contents of the expiration date holding unit 205.
【0056】レベル1の異常ステータスが報告された
場合、異常ステータス生成部211は、異常ステータス
保持部206の内容にレベル1のエラーコードを設定す
ると共にステータス報告部212に有効期限が過ぎてい
ることを通知する。When the abnormal status of level 1 is reported, the abnormal status generation unit 211 sets the error code of level 1 in the contents of the abnormal status holding unit 206 and the expiration date has passed to the status reporting unit 212. To notify.
【0057】レベル2の異常ステータスが報告された
場合、ホストは情報処理システムに対し第3者からの不
要な侵入が発生していると判断し、異常ステータス生成
部211は当該ユーザの使用禁止を示すコードを生成
し、ユーザ識別情報保持テーブル201の異常ステータ
ス保持部206に設定すると共に、ホスト113はシス
テム管理者にシステム侵入を報告する。また、ステータ
ス報告部212に、当該ユーザが不正利用によりシステ
ムから閉塞されたことを示す情報を報告する。ステップ
13)ステータス報告部212は、ステップ12の情報
に応じて端末装置101にメッセージを送出する。When a level 2 abnormal status is reported, the host judges that an unnecessary intrusion from a third party has occurred in the information processing system, and the abnormal status generation unit 211 prohibits the use of the user. The code shown is generated and set in the abnormal status holding unit 206 of the user identification information holding table 201, and the host 113 reports the system intrusion to the system administrator. In addition, the status reporting unit 212 reports information indicating that the user has been blocked from the system by unauthorized use. (Step 13) The status reporting unit 212 sends a message to the terminal device 101 according to the information in step 12.
【0058】なお、有効期限が経過した報告(レベル1
の異常ステータス)を受けたユーザは、電話等の別手段
で、ホスト113のシステム管理者に有効期限の更新を
依頼し、再度アクセス要求を行う。It should be noted that the report that the expiration date has passed (level 1
The user who has received the abnormal status (1) requests the system administrator of the host 113 to update the expiration date by another means such as a telephone, and makes an access request again.
【0059】ユーザ閉塞の報告を受けたユーザは、情報
処理システムへの第3者の侵入状況を調査後、再度、ユ
ーザ登録をシステム管理者に依頼する。The user who receives the report of the user blockage investigates the intrusion situation of the third party into the information processing system, and thereafter requests the system administrator to register the user again.
【0060】上記実施例のように、第1段階でユーザに
パスワードとユーザIDを入力させ、ホスト側に保持し
ている内容との合致を求め、合致している場合にはユー
ザに対しての認証コードを生成し、ユーザの次回のアク
セスに備えて認証コードをユーザに通知すると共に、保
持しておき、第2段階で、ユーザからアクセス要求があ
った場合に、ユーザから入力された認証コードと予めホ
スト側に保持している認証コードの合致を求め、合致し
ている場合にはアクセスを許可する。As in the above embodiment, in the first step, the user is prompted to enter the password and user ID, and the host side is requested to match the contents held therein. An authentication code is generated, the authentication code is notified to the user in preparation for the next access of the user, and the user holds the authentication code. In the second step, when the user requests access, the authentication code input by the user Then, a request is made to match the authentication code held in advance on the host side, and if it matches, access is permitted.
【0061】また、認証コードが合致している場合で
も、その認証コードの有効期限が切れている場合には、
エラーとし、ユーザにアクセスを許可しない。ホスト1
13は、その旨をユーザに通知し、ユーザからホスト側
に当該認証コードの有効期限の更新を要求することがで
きる。Even if the authentication codes match, if the authentication code has expired,
An error occurs and access is not granted to the user. Host 1
The user can notify the user of this fact and request the host side to update the expiration date of the authentication code.
【0062】さらに、第3者による不正使用があり、そ
のユーザが特定できた場合には、異常ステータス保持部
206にそのアクセスの履歴を保持しておくため、再度
不正使用者がアクセス要求があってもアクセスを許可し
ない。Further, if there is an unauthorized use by a third party and the user can be identified, the abnormal status holding unit 206 holds the access history, so that the unauthorized user may make an access request again. But do not allow access.
【0063】[0063]
【発明の効果】上述のように、本発明によれば、2段階
のユーザ認証を行うことにより、不当な手段でパスワー
ドを知り得た第3者と、本来認められているユーザが交
互のホストへアクセスする状況が発生すると、ホスト側
で設定するユーザ認証コードの連続性が失われ、情報処
理システムへの侵入がホスト側で必ず検出でき、継続的
な情報の盗難や、破壊を防ぐことができる。As described above, according to the present invention, by performing the two-step user authentication, the third person who knows the password by an improper means and the host in which the originally authorized user is alternated. When a situation occurs in which the host is accessed, the continuity of the user authentication code set on the host side is lost, and intrusion into the information processing system can always be detected on the host side, preventing continuous theft or destruction of information. it can.
【0064】また、システムに対する侵入をホスト側が
検出するため、セキュリティ確保に対する認識の低いユ
ーザ(パスワード等を厳密に管理しないで漏洩の危険性
が大きいユーザ)が存在しても情報処理システムに対す
る侵入を検出可能であり、情報盗難等の被害を最小限に
抑えることが可能である。Further, since the host side detects an intrusion into the system, even if there is a user who has a low awareness of security assurance (a user who is at a high risk of leakage without strictly managing passwords and the like), an intrusion into the information processing system is possible. It can be detected, and damage such as information theft can be minimized.
【0065】さらに、本ユーザ認証方式は特別なハード
ウェアを端末装置側に必要としないため、ハードウェア
の追加投資等が不要で経済的である。Furthermore, since the user authentication method does not require any special hardware on the terminal device side, it is economical because additional investment of hardware is unnecessary.
【0066】なお、図1では業務終了時に時間に投入す
べき認証コードを生成し、端末装置へ送出する例を示し
たが、この契機は例えば、認証コードが正しいと判定さ
れた直後等どのタイミングであってもよい。Although FIG. 1 shows an example in which the authentication code to be input at the end of the work is generated and sent to the terminal device, the timing is, for example, immediately after the authentication code is determined to be correct. May be
【図1】本発明の原理を説明するための図である。FIG. 1 is a diagram for explaining the principle of the present invention.
【図2】本発明の一実施例の情報システムの構成例を示
す図である。FIG. 2 is a diagram showing a configuration example of an information system according to an embodiment of the present invention.
【図3】本発明の一実施例のホストのユーザ認証の機能
の構成図である。FIG. 3 is a configuration diagram of a host user authentication function according to an embodiment of the present invention.
【図4】本発明の一実施例の第1段階のユーザ認証を説
明するためのシーケンスチャートである。FIG. 4 is a sequence chart for explaining the first step of user authentication according to an embodiment of the present invention.
【図5】本発明の一実施例の第2段階のユーザ認証を説
明するためのシーケンスチャートである。FIG. 5 is a sequence chart for explaining the second step of user authentication according to an embodiment of the present invention.
101〜10n 端末装置 110 LAN 111 サーバ 112 ゲートウェイ 113 ホスト 201 ユーザ識別情報保持テーブル 202 ユーザID保持部 203 パスワード保持部 204 認証コード保持部 205 有効期限保持部 206 異常ステータス保持部 207 ユーザ認証コード保持部 208 認証処理部 209 新認証コード生成部 210 有効期限設定部 211 異常ステータス生成部 212 ステータス報告部 101 to 10n Terminal device 110 LAN 111 Server 112 Gateway 113 Host 201 User identification information holding table 202 User ID holding unit 203 Password holding unit 204 Authentication code holding unit 205 Expiration date holding unit 206 Abnormal status holding unit 207 User authentication code holding unit 208 Authentication processing unit 209 New authentication code generation unit 210 Expiration date setting unit 211 Abnormal status generation unit 212 Status reporting unit
Claims (1)
ら構成される情報処理システムの該端末装置から受信し
たデータに基づいてユーザを認識するユーザ認証方法に
おいて、 ホスト或いはサーバは、 接続しているユーザが次にシステムをアクセスした時に
投入すべき認証コードを生成し、 該生成された認証コードを該端末装置に送出すると共
に、該認証コードを保持し、 該認証コードを受信したユーザは、 該受信した認証コードを保持し、 該ホスト或いは該サーバとの接続を切断後、次に該ユー
ザから該ホスト或いは該サーバに接続要求を行い、 保持していた該認証コードをホスト或いはサーバに送信
し、 該接続要求を受信した該ホスト或いはサーバは、 該ユーザから受信した認証コードを該ホスト或いはサー
バに保持している認証コードを比較し、 該ユーザから受信した該認証コードが、保持している認
証コードと異なる場合は、第3者によるシステム侵入が
発生していると判断し、 該ユーザから受信した該認証コードが、保持している認
証コードと一致した場合には第3者によるシステム侵入
が発生していないと判断することを特徴とするユーザ認
証方法。1. In a user authentication method for recognizing a user based on data received from the terminal device of an information processing system including a host or server and a plurality of terminal devices, the host or server is a connected user. Generates an authentication code to be input next time the user accesses the system, sends the generated authentication code to the terminal device, holds the authentication code, and the user who receives the authentication code receives the received authentication code. Holding the authentication code, disconnecting the connection with the host or the server, then requesting the connection from the user to the host or the server, and transmitting the held authentication code to the host or the server. The host or server receiving the connection request receives the authentication code received from the user from the authentication code holding in the host or server. If the authentication code received from the user is different from the stored authentication code, it is determined that a system intrusion by a third party has occurred, and the authentication code received from the user However, it is determined that a system intrusion by a third party has not occurred when the stored authentication code matches the stored authentication code.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5120166A JPH06332859A (en) | 1993-05-21 | 1993-05-21 | User authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5120166A JPH06332859A (en) | 1993-05-21 | 1993-05-21 | User authentication method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH06332859A true JPH06332859A (en) | 1994-12-02 |
Family
ID=14779583
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5120166A Pending JPH06332859A (en) | 1993-05-21 | 1993-05-21 | User authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06332859A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08249253A (en) * | 1995-03-13 | 1996-09-27 | Fujitsu Ltd | Communication system, access responder and access requesting device |
| JPH08292929A (en) * | 1995-03-06 | 1996-11-05 | Internatl Business Mach Corp <Ibm> | Method for management of communication between remote user and application server |
| JP2003519413A (en) * | 1998-08-20 | 2003-06-17 | コモド リサーチ ラボ リミテッド | Improvements in electronic security devices and related improvements |
| JP2008219927A (en) * | 1995-01-30 | 2008-09-18 | Telemac Corp | Mobile telephone with built-in charge accounting function |
| JP2012502338A (en) * | 2008-09-09 | 2012-01-26 | シュパルカ・アードリアン | Server system and method for providing at least one service |
-
1993
- 1993-05-21 JP JP5120166A patent/JPH06332859A/en active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008219927A (en) * | 1995-01-30 | 2008-09-18 | Telemac Corp | Mobile telephone with built-in charge accounting function |
| JPH08292929A (en) * | 1995-03-06 | 1996-11-05 | Internatl Business Mach Corp <Ibm> | Method for management of communication between remote user and application server |
| JPH08249253A (en) * | 1995-03-13 | 1996-09-27 | Fujitsu Ltd | Communication system, access responder and access requesting device |
| JP2003519413A (en) * | 1998-08-20 | 2003-06-17 | コモド リサーチ ラボ リミテッド | Improvements in electronic security devices and related improvements |
| JP2012502338A (en) * | 2008-09-09 | 2012-01-26 | シュパルカ・アードリアン | Server system and method for providing at least one service |
| US9178872B2 (en) | 2008-09-09 | 2015-11-03 | Adrian Spalka | Server system and method for providing at least one service based on authentication dependent on personal identification data and computer specific identification data |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6167517A (en) | Trusted biometric client authentication | |
| US6751733B1 (en) | Remote authentication system | |
| JP2828218B2 (en) | Method and system for changing an authorized password or key in a distributed communication network | |
| US7802307B2 (en) | Systems and methods for communication protection | |
| US7581113B2 (en) | System and method for generating and authenticating a computer password | |
| US5491752A (en) | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens | |
| US7600128B2 (en) | Two-factor computer password client device, system, and method | |
| US20070209081A1 (en) | Methods, systems, and computer program products for providing a client device with temporary access to a service during authentication of the client device | |
| US20020095573A1 (en) | Method and apparatus for authenticated dial-up access to command controllable equipment | |
| US9118665B2 (en) | Authentication system and method | |
| US20010044896A1 (en) | Authentication technique for electronic transactions | |
| US20070220271A1 (en) | Online creation and delivery of cryptographically verifiable one-time password tokens | |
| US20080010673A1 (en) | System, apparatus, and method for user authentication | |
| WO1996041446A1 (en) | System for detecting unauthorized account access | |
| US20050120248A1 (en) | Internet protocol telephony security architecture | |
| US6981145B1 (en) | Device and process for remote authentication of a user | |
| JP2001175599A (en) | Authentication system | |
| KR20060027347A (en) | Method and apparatus for authenticating a password | |
| JP2002229951A (en) | Person identification system | |
| JPH06332859A (en) | User authentication method | |
| EP1320975B1 (en) | Internet protocol telephony security architecture | |
| JPH10257047A (en) | Authentication system and public key management system | |
| CN112055008A (en) | Identity authentication method and device, computer equipment and storage medium | |
| JPH11289328A (en) | Recognition management device | |
| JP2001175600A (en) | Method and device for reporting illegal access |