ホーム > 特許ランキング > キヤノン電子株式会社
知財求人 - 知財ポータルサイト「IP Force」
特開2023-172558認証処理装置、認証処理方法、情報処理装置、情報処理装置の制御方法、プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023172558
(43)【公開日】2023-12-06
(54)【発明の名称】認証処理装置、認証処理方法、情報処理装置、情報処理装置の制御方法、プログラム
(51)【国際特許分類】
G06F 21/31 20130101AFI20231129BHJP
【FI】
G06F21/31 360
【審査請求】未請求
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2022084460
(22)【出願日】2022-05-24
(71)【出願人】
【識別番号】000104652
【氏名又は名称】キヤノン電子株式会社
(72)【発明者】
【氏名】飯野 清春
(57)【要約】 (修正有)
【課題】認証した後であっても、より強固な認証を行う認証処理装置、認証処理方法、サーバ装置、サーバ装置の制御方法及びプログラムを提供する。
【解決手段】情報処理装置100、サーバ装置300及び管理者用情報処理装置400がネットワーク200を介して通信可能に接続されている認証処理装置(情報処理システム)は、認証処理装置の操作情報を取得する操作情報取得部と、操作情報取得部が取得した操作情報の操作パターンを分析する操作パターン分析部と、操作パターン分析部が分析した操作パターンに基づいて、認証処理装置の処理の開始を許可する識別符号照合部と、識別符号照合部が許可した後に、操作情報取得部が分析した操作パターンに基づいて、認証処理装置の操作を制御する操作制御部と、を備える。
【選択図】図1
【解決手段】情報処理装置100、サーバ装置300及び管理者用情報処理装置400がネットワーク200を介して通信可能に接続されている認証処理装置(情報処理システム)は、認証処理装置の操作情報を取得する操作情報取得部と、操作情報取得部が取得した操作情報の操作パターンを分析する操作パターン分析部と、操作パターン分析部が分析した操作パターンに基づいて、認証処理装置の処理の開始を許可する識別符号照合部と、識別符号照合部が許可した後に、操作情報取得部が分析した操作パターンに基づいて、認証処理装置の操作を制御する操作制御部と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
認証処理装置であって、
前記認証処理装置の操作情報を取得する取得手段と、
前記取得手段にて取得した操作情報の操作パターンを分析する分析手段と、
前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の処理の開始を許可する許可手段と、
前記許可手段にて許可された後に、前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の操作を制御する制御手段と
を備えることを特徴とする認証処理装置。
前記認証処理装置の操作情報を取得する取得手段と、
前記取得手段にて取得した操作情報の操作パターンを分析する分析手段と、
前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の処理の開始を許可する許可手段と、
前記許可手段にて許可された後に、前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の操作を制御する制御手段と
を備えることを特徴とする認証処理装置。
【請求項2】
前記操作情報は、キーボード操作、マウス操作のいずれか、またはそれらの組み合わせを含むことを特徴とする請求項1に記載の認証処理装置。
【請求項3】
前記操作情報は、キーの種類、キーを押している時間、キーを連続して押す際の時間の間隔、キーを同時に押す際の組み合わせパターン、ポインターの移動の軌跡、ポインターの移動時間、マウスボタンを押している時間、連続してマウスボタンを押す際の時間の間隔、ホイール操作を行っている時間、および連続してホイール操作を行う際の時間の間隔のいずれか、またはそれらの組み合わせを含むことを特徴とする請求項1に記載の認証処理装置。
【請求項4】
更に、
前記操作パターンが閾値内か否かを判定する判定手段を
備え、
前記許可手段は、前記判定手段にて閾値内であると判定された場合、前記認証処理装置の処理の開始を許可し、前記制御手段は、前記判定手段にて閾値内でないと判定された場合、前記認証処理装置の操作を制御することを特徴とする請求項1乃至3のいずれか1項に記載の認証処理装置。
前記操作パターンが閾値内か否かを判定する判定手段を
備え、
前記許可手段は、前記判定手段にて閾値内であると判定された場合、前記認証処理装置の処理の開始を許可し、前記制御手段は、前記判定手段にて閾値内でないと判定された場合、前記認証処理装置の操作を制御することを特徴とする請求項1乃至3のいずれか1項に記載の認証処理装置。
【請求項5】
更に、
前記制御手段の結果に基づいて、アラートを表示する表示手段を備えることを特徴とする請求項1に記載の認証処理装置。
前記制御手段の結果に基づいて、アラートを表示する表示手段を備えることを特徴とする請求項1に記載の認証処理装置。
【請求項6】
情報処理装置と、前記情報処理装置とネットワークを介して接続されたサーバ装置とを備えた認証処理装置であって、
前記サーバ装置は、
前記情報処理装置から送信された操作情報の操作パターンを分析する分析手段
を備え、
前記情報処理装置は、
前記情報処理装置の操作情報を取得する取得手段と、
前記操作情報を前記サーバ装置に送信する送信手段と、
前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の処理の開始を許可する許可手段と、
前記許可手段にて許可された後に、前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の操作を制御する制御手段と
を備えることを特徴とする認証処理装置。
前記サーバ装置は、
前記情報処理装置から送信された操作情報の操作パターンを分析する分析手段
を備え、
前記情報処理装置は、
前記情報処理装置の操作情報を取得する取得手段と、
前記操作情報を前記サーバ装置に送信する送信手段と、
前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の処理の開始を許可する許可手段と、
前記許可手段にて許可された後に、前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の操作を制御する制御手段と
を備えることを特徴とする認証処理装置。
【請求項7】
前記認証処理装置が行う認証処理方法であって、
前記認証処理装置の操作情報を取得する取得工程と、
前記取得工程にて取得した操作情報の操作パターンを分析する分析工程と、
前記分析工程にて分析された操作パターンに基づいて、前記認証処理装置の処理の開始を許可する許可工程と、
前記許可工程にて許可された後に、前記分析工程にて分析された操作パターンに基づいて、前記認証処理装置の操作を制御する制御工程と
を備えることを特徴とする認証処理方法。
前記認証処理装置の操作情報を取得する取得工程と、
前記取得工程にて取得した操作情報の操作パターンを分析する分析工程と、
前記分析工程にて分析された操作パターンに基づいて、前記認証処理装置の処理の開始を許可する許可工程と、
前記許可工程にて許可された後に、前記分析工程にて分析された操作パターンに基づいて、前記認証処理装置の操作を制御する制御工程と
を備えることを特徴とする認証処理方法。
【請求項8】
情報処理装置であって、
前記情報処理装置の操作情報を取得する取得手段と、
前記操作情報に基づいて分析された操作パターンに基づいて、前記情報処理装置の処理の開始を許可する許可手段と、
前記許可手段にて許可された後に、前記分析された操作パターンに基づいて、前記情報処理装置の操作を制御する制御手段と
を備えることを特徴とする情報処理装置。
前記情報処理装置の操作情報を取得する取得手段と、
前記操作情報に基づいて分析された操作パターンに基づいて、前記情報処理装置の処理の開始を許可する許可手段と、
前記許可手段にて許可された後に、前記分析された操作パターンに基づいて、前記情報処理装置の操作を制御する制御手段と
を備えることを特徴とする情報処理装置。
【請求項9】
情報処理装置の制御方法であって、
前記情報処理装置の操作情報を取得する取得工程と、
前記操作情報の操作パターンが分析された操作パターンに基づいて、前記情報処理装置の処理の開始を許可する許可工程と、
前記許可手段にて許可された後に、前記分析された操作パターンに基づいて、前記情報処理装置の操作を制御する制御工程と
を備えることを特徴とする情報処理装置の制御方法。
前記情報処理装置の操作情報を取得する取得工程と、
前記操作情報の操作パターンが分析された操作パターンに基づいて、前記情報処理装置の処理の開始を許可する許可工程と、
前記許可手段にて許可された後に、前記分析された操作パターンに基づいて、前記情報処理装置の操作を制御する制御工程と
を備えることを特徴とする情報処理装置の制御方法。
【請求項10】
コンピュータを、請求項1に記載の認証処理装置が有する各手段として機能させるためのコンピュータプログラム。
【請求項11】
コンピュータを、請求項8に記載の情報処理装置が有する各手段として機能させるためのコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証処理装置、認証処理方法、サーバ装置、サーバ装置の制御方法、プログラムに関する。
【背景技術】
【0002】
パーソナルコンピュータは、その情報通信技術の進展により、企業や一般家庭など幅広い層に普及が進み、特に企業にとっては効率性や利便性から無くてはならないツールとなっている。他方で、急激な通信技術の進展に伴い、重要な情報を狙った不正アクセスなどの悪意を持った攻撃も増えてきており、機密情報が漏洩しうることが問題となっている。このような問題に対し、ユーザの本人認証を確実なものにするために、特許文献1は、パスワード認証の後に、ユーザの操作履歴によってユーザの認証を行う構成を開示している。また、非特許文献1は、識別符号を用いた認証を行う際のキーストロークのパターンで認証を行う構成を開示している。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2013-012043号公報
【非特許文献1】品質工学,2013,21巻,3号,p.42-p.50
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1では、明らかに異常な操作が行われた場合にはその操作を防げるが、正規ユーザが行う通常操作の中に機密情報を扱う操作があった場合には、その操作を防ぐことができない。また、非特許文献1のでは、キーストロークのパターンを用いた認証は突破が非常に困難なものになっているが、すでに認証済みの認証処理装置を脅威から防ぐことはできない。そこで、本発明は、認証処理装置にて認証された後であっても、より強固な認証を行うことを目的とする。
【課題を解決するための手段】
【0005】
本発明の目的を達成するために、例えば、本発明の認証処理装置は以下の構成を備える。すなわち、認証処理装置であって、
前記認証処理装置の操作情報を取得する取得手段と、
前記取得手段にて取得した操作情報の操作パターンを分析する分析手段と、
前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の処理の開始を許可する許可手段と、
前記許可手段にて許可された後に、前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の操作を制御する制御手段と
を備える。
前記認証処理装置の操作情報を取得する取得手段と、
前記取得手段にて取得した操作情報の操作パターンを分析する分析手段と、
前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の処理の開始を許可する許可手段と、
前記許可手段にて許可された後に、前記分析手段にて分析された操作パターンに基づいて、前記認証処理装置の操作を制御する制御手段と
を備える。
【発明の効果】
【0006】
本発明によれば、認証処理装置にて認証された後であっても、より強固な認証を行うことが可能となる。
【図面の簡単な説明】
【0007】
【図1】本発明に係る情報処理システムの構成例を示す図。
【図2】本発明に係る認証処理の一例を示すフローチャート。
【図3】本発明に係る認証処理後のユーザ操作の制御処理の一例を示すフローチャート。
【図4】本発明に係る操作パターン分析処理の一例を示すフローチャート。
【図5】本発明に係るアラート送信処理の一例を示すフローチャート。
【図6】本発明に係るアラート表示処理の一例を示すフローチャート。
【図7】本発明に係る情報処理装置テーブルの一例を示す図。
【図8】本発明に係るユーザテーブルの一例を示す図。
【図9】本発明に係る操作履歴テーブルの一例を示す図。
【図10】本発明に係るパターンテーブルの一例を示す図。
【図11】本発明に係る閾値テーブルの一例を示す図。
【図12】本発明に係る操作情報の一例を示す図。
【図13】本発明に係る操作情報の一例を示す図。
【図14】本発明に係る端末装置のハードウェア構成の例を示す図。
【図15】本発明に係る認証処理装置の構成例を示す図。
【発明を実施するための形態】
【0008】
以下、添付図面を参照して本発明の実施形態を詳細に説明する。なお、以下の実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態で説明されている特徴の組み合わせの全てが発明に必須のものとは限らない。実施形態で説明されている複数の特徴のうち二つ以上の特徴が任意に組み合わされてもよい。また、同一若しくは同様の構成には同一の参照番号を付し、重複した説明は省略する。
【0009】
<第1実施形態>
[情報処理システム]
図1は、本実施形態に係る情報処理システム(認証処理装置)の構成例を示す図である。図1が示すように、本実施形態に係る情報処理システムは、クライアントとして動作する端末装置(以下、情報処理装置と呼ぶ)100、サーバとして動作する端末装置(以下、サーバ装置と呼ぶ)300、管理者用のクライアントとして動作する端末装置(以下、管理者用情報処理装置と呼ぶ)400を含む。
[情報処理システム]
図1は、本実施形態に係る情報処理システム(認証処理装置)の構成例を示す図である。図1が示すように、本実施形態に係る情報処理システムは、クライアントとして動作する端末装置(以下、情報処理装置と呼ぶ)100、サーバとして動作する端末装置(以下、サーバ装置と呼ぶ)300、管理者用のクライアントとして動作する端末装置(以下、管理者用情報処理装置と呼ぶ)400を含む。
【0010】
各端末装置は、パーソナルコンピュータ、携帯情報端末などの様々な情報処理及び情報の送受信が可能な情報処理装置であり、本実施形態ではそれぞれパーソナルコンピュータにより実現するものとして説明する。情報処理装置100、サーバ装置300および管理者用情報処理装置400は、ネットワーク200を介して通信可能に接続されている。なお、サーバ装置300の機能が管理者用情報処理装置400に組み込まれてもよい。これにより、単一のサーバによってサーバ装置300と管理者用情報処理装置400とを実現できる。また、情報処理装置100は複数配置されてもよい。
【0011】
情報処理装置100は、操作情報取得部101、識別符号照合部102、基準パターン取得部103、操作パターン照合部104、認証部105、操作制御部106、アラート要求送信部107を含んで構成される。
【0012】
操作情報取得部101は、後述する操作部(例えば、キーボードやマウスなど)から入力された操作(例えば、キータイプやクリックなど)を示す操作情報(例えば、図12、図13)を取得して、識別符号照合部102、操作パターン照合部104へ送信する。また、取得した操作情報を後述するサーバ装置300のデータベース301に送信する。
【0013】
図12はキーボード操作に関する操作情報の一例、図13はマウス操作に関する操作情報の一例を示している。図12、図13は操作情報の一例であって、操作情報は、キーの種類、キーを押している時間、キーを連続して押す際の時間の間隔、キーを同時に押す際の組み合わせパターン、ポインターの移動の軌跡、ポインターの移動時間、マウスボタンを押している時間、連続してマウスボタンを押す際の時間の間隔、ホイール操作を行っている時間、連続してホイール操作を行う際の時間の間隔などでもよい。
【0014】
識別符号照合部102は、情報処理装置100の処理の開始を許可する(ログオン)ために操作部から入力された識別符号(例えば、パスワード)と、予め登録されている識別符号とを照合し、照合した結果を認証部105に送信する。
【0015】
基準パターン取得部103は、後述するサーバ装置300のデータベース301から対象の操作パターンを取得して、操作パターン照合部104へ送信する。
【0016】
操作パターン照合部104は、基準パターン取得部103より取得した操作パターンと、操作情報取得部101が取得した操作パターンとを照合した結果を認証部105に送信する。
【0017】
認証部105は、識別符号照合部102と、操作パターン照合部104から送られてきた結果に基づいて情報処理装置100へのログオンを許可する/ユーザの操作を許可する/操作制御部106に制御指示を送信する/アラート要求送信部107にアラート要求を行うなどを実行する。
【0018】
操作制御部106は、認証部105から制御指示を受信すると、現在情報処理装置で行われている処理を中止し、操作の制御を行う。アラート要求送信部107は、認証部105からアラート要求を受信すると、サーバ装置300にアラートの要求を行う。
【0019】
管理者用情報処理装置400は、アラート受信部401と、アラート表示部402を含んで構成される。アラート受信部401は、サーバ装置300から送信されたアラートの情報を取得し、アラート表示部402に送信する。アラート表示部402では、アラート受信部401から送信されたアラート情報を基に、後述する表示部にアラートを表示する。
【0020】
なお、 管理者用情報処理装置400は、この構成に限定されず、情報処理装置100の各機能を有していてもよい。操作情報取得部101、識別符号照合部102、基準パターン取得部103、操作パターン照合部104、認証部105、操作制御部106、アラート要求送信部107の全部、または一部を有していてもよい。
【0021】
サーバ装置300は、情報処理装置100と管理者用情報処理装置400の動作を管理する管理装置として動作する。情報処理装置100または管理者用情報処理装置400が有する構成要素と同一名称の構成要素は、上述した情報処理装置100または管理者用情報処理装置400の構成要素と同等の機能を有する。
【0022】
サーバ装置300の後述するHDDにはデータベース301が格納されている。詳しくは後述するが、データベース301には、情報処理装置テーブル(図7)、ユーザテーブル(図8)、操作履歴テーブル(図9)、パターンテーブル(図10)、閾値テーブル(図11)などが格納されている。
【0023】
サーバ装置300は、操作パターン分析部302、アラート要求受信部303、管理者検索部304、アラート送信部305を含んで構成される。
【0024】
操作パターン分析302は、所定量以上の後述する操作履歴情報がデータベース301に蓄積されていた場合、操作パターンの分析を行い、その結果をデータベース301に登録する。
【0025】
アラート要求受信部303は、情報処理装置100からアラート要求を受信すると、管理者検索部304とアラート送信部305に、アラート要求のあったユーザの情報を送信する。
【0026】
管理者検索部304は、アラート要求受信部303から送信されたユーザの情報を基に、対象の管理者を検出してアラート送信部305へ送信する。アラート送信部305は、管理者検索部304から送信された管理者の管理者用情報処理装置400に、アラート要求受信部303から受信したユーザの情報を送信する。
【0027】
[ハードウェア構成]
図14は、本実施形態に係る端末装置のハードウェア構成の例を示す図である。本実施形態に係る情報処理装置100、サーバ装置300および管理者用情報処理装置400に適用可能な端末装置1400のハードウェア構成の例を示す。なお、ここでは同じ構成の端末装置1400を用いるものとして説明するが、各情報処理装置100、サーバ装置300および管理者用情報処理装置400はそれぞれ異なるハードウェア構成を備えていてもよい。
図14は、本実施形態に係る端末装置のハードウェア構成の例を示す図である。本実施形態に係る情報処理装置100、サーバ装置300および管理者用情報処理装置400に適用可能な端末装置1400のハードウェア構成の例を示す。なお、ここでは同じ構成の端末装置1400を用いるものとして説明するが、各情報処理装置100、サーバ装置300および管理者用情報処理装置400はそれぞれ異なるハードウェア構成を備えていてもよい。
【0028】
端末装置1400は、CPU(Central Processing Unit)1402、ROM(Read Only Memory)1403、RAM(Random Access Memory)1404、外部記憶装置1405、操作部1406、通信部1407、および表示部1408を含んで構成される。各部位は、内部バス1401を介して互いに通信可能に接続される。CPU1402は、端末装置1400全体の制御を司り、外部記憶装置1405等に格納されたプログラムを読み出して実行することにより、後述するような各種処理を実現する。ROM1403は、不揮発性の記憶部である。RAM1404は、揮発性の記憶部であり、プログラムの実行に伴うワークエリアとしても用いられる。外部記憶装置1405は、不揮発性の記憶部であり、OS(Operating System)やプログラム、各種データが格納される。操作部1406は、ユーザからの操作を受け付けるためのインターフェースであり、例えば、マウスやキーボードなどが挙げられる。通信部1407は、外部装置との通信を行うための部位である。表示部1408は、各種情報を表示するための部位である。
【0029】
なお、以下の説明では、情報処理装置100、サーバ装置300、管理者用情報処理装置400がパーソナルコンピュータであることを前提にしているが、本発明は、そのような形態に限定されない。すなわち、情報処理装置100、サーバ装置300、管理者用情報処理装置400が一般のパーソナルコンピュータと同等以上、若しくはそれに準ずる演算処理能力を有する機器であるならばその種類、機種は限定されるものではない。
【0030】
[ユーザ認証処理]
図2は、情報処理装置100において実行される、情報処理装置100にログオンするための認証処理を示すフローチャートである。
図2は、情報処理装置100において実行される、情報処理装置100にログオンするための認証処理を示すフローチャートである。
【0031】
S201にて、ユーザがログオンするために操作部1406から識別符号を入力すると、操作情報取得部101は、入力された識別符号と、入力時の操作情報(例えば、図12、図13)を取得する。ここで操作情報とは、識別符号の入力速度、間隔、キーを同時に押す際の組み合わせパターン、マウスの移動やクリックの速度などのユーザの操作パターンを一意に識別することが可能な値である。
【0032】
S202にて、識別符号照合部102は、取得した自身の情報処理装置100の情報を基に、情報処理装置テーブル(図7)を参照して、そこに登録されている識別符号と、入力された識別符号とを比較し、正しい識別符号であるか否かを判定する。情報処理装置100の情報とは、情報処理装置名、IPアドレス、ユーザIDなどの情報処理装置100を一意に識別することが可能な値である。図7は、情報処理装置テーブルの一例を示す図である。情報処理装置テーブルには、情報処理装置名、IPアドレス、ユーザIDなどの情報処理装置100を一意に識別できる情報と、情報処理装置100にログオンするための識別符号が記録されている。
【0033】
入力された識別符号が正しくないと判定された場合(S202のNO)、S208にて、アラート要求送信部107は、サーバ装置300にアラート要求の送信を行い、処理を終了する。
【0034】
入力された識別符号が正しいと判定された場合(S202のYES)、S203にて、基準パターン取得部103は、取得した自身の情報処理装置100の情報を基に、パターンテーブル(図10)を参照し、自身の基準操作パターンが存在するか否かを判定する。図10は、パターンテーブルの一例を示す図である。パターンテーブルには、ユーザIDに関連付けて、種別(KeyDown、mouseClickなど)、マウスの移動やクリックの速度等の基準値など、基準操作パターンが記録されている。基準操作パターンとは、ユーザのキータイプの速度や間隔、キーを同時に押す際の組み合わせパターン、マウスの移動やクリックの速度などの基準値など、ユーザの操作パターンを一意に識別するパターンである。
【0035】
自身の基準操作パターンが存在しないと判定された場合(S203のNo)、S206に進み、操作情報取得部101は、S201にて取得された操作情報を操作履歴テーブル(図9)に追加する。図9は、操作履歴テーブルの一例を示す図である。操作履歴テーブルには、ユーザIDに関連付けて、日時、種別(KeyDownなど)、マウスの移動やクリックの速度等の値が記録されている。
【0036】
自身の基準操作パターンが存在すると判定された場合(S203のYES)、S204にて、基準パターン取得部103は、パターンテーブル(図10)から、情報処理装置100の情報(ユーザIDなど)に対応する基準操作パターンを取得する。
【0037】
S205にて、操作パターン照合部104は、閾値テーブル(図11)を参照して、S201にて取得した操作パターンと、S204にて取得した基準操作パターンとを比較し、S201にて取得した取得操作パターンが、基準操作パターンの閾値内であるか否かを判定する。
【0038】
S201にて取得した操作パターンが閾値外であると判定された場合(S205のNO)、S208にて、アラート要求送信部107は、サーバ装置300にアラート要求の送信を行い、処理を終了する。
【0039】
S201にて取得した操作パターンが閾値内であると判定された場合(S205のYES)、S206にて、操作情報取得部101は、操作情報を操作履歴テーブル(図9)に追加する。
【0040】
S207にて、認証部105は、情報処理装置100の処理の開始の許可(ログオン)を行い、処理を終了する。
【0041】
【0042】
S301にて、操作情報取得部101は、所定量分の操作情報を取得する。ここで操作情報とは、キータイプの速度や間隔、キーを同時に押す際の組み合わせパターン、マウスの移動やクリックの速度などのユーザを一意に識別することが可能な値である。
【0043】
【0044】
S301にて取得した操作パターンが閾値外と判定された場合(S205のNO)、S306にて、操作制御部106は、情報処理装置100の操作制御を行う。操作制御とは、不正が検知された旨のメッセージを表示・外部記憶装置(例えば、USBやCD-Rなど)の利用禁止処理・ネットワーク接続の制限・情報処理装置100からのログオフ・情報処理装置100のシャットダウン、など非正規ユーザと判断されたユーザの操作を制限するものである。
【0045】
【0046】
[操作パターン分析処理]
図4は、サーバ装置300において所定量の操作情報毎に実行される、操作パターンの分析処理を示すフローチャートである。
図4は、サーバ装置300において所定量の操作情報毎に実行される、操作パターンの分析処理を示すフローチャートである。
【0047】
S401にて、操作パターン分析部302は、操作履歴テーブル(図9)に、ユーザ毎の操作履歴が、所定量以上蓄積されているか否かを判定する。ユーザ毎の操作履歴が所定量未満と判定された場合(S401のNO)は、何も行わずに処理を終了する。
【0048】
ユーザ毎の操作履歴が所定量以上と判定された場合(S401のYES)、S402にて、操作パターン分析部302は、操作履歴テーブル(図9)から、ユーザ毎の操作履歴情報を取得する。
【0049】
操作履歴とは、キータイプの速度や間隔、キーを同時に押す際の組み合わせパターン、マウスの移動やクリックの速度などユーザの操作パターンを一意に識別することが可能な値である。
【0050】
S403にて、操作パターン分析部302は、取得したユーザ毎の操作パターン分析を行う。例えば、ユーザAは、キーを押している時間は0.2ms、マウスボタンを押している時間は2.1msという操作パターンであると分析する。
【0051】
S404にて、S403にて分析した結果を、操作パターンとしてパターンテーブル(図10)に追加して、処理を終了する。
【0052】
[アラート送信処理]
図5は、サーバ装置300において実行される、アラートの送信処理を示すフローチャートである。
図5は、サーバ装置300において実行される、アラートの送信処理を示すフローチャートである。
【0053】
S501にて、アラート要求受信部303は、情報処理装置100から送られてきたアラート要求から、ユーザ情報を取得する。ここでユーザ情報とは、ユーザID・ユーザ名などユーザを一意に識別することが可能な値である。
【0054】
S502にて、管理者検索部304は、S501にて取得したユーザ情報を基に、ユーザテーブル(図8)を参照して、アラート送信先の管理者用情報処理装置400を検出する。図8は、ユーザテーブルの一例を示す図である。ユーザテーブルには、ユーザID(ユーザ情報)に関連付けて、ユーザ名、アラート送信先の管理者用情報処理装置名などが記録されている。
【0055】
S503にて、アラート送信部305は、S502で検出された管理者用情報処理装置400に、取得したユーザ情報を基に作成したアラート情報(アラートの発生したユーザID、アラート文など)を送信する。
【0056】
[アラート表示処理]
図6は、管理者用情報処理装置400において実行される、アラートの表示処理を示すフローチャートである。
図6は、管理者用情報処理装置400において実行される、アラートの表示処理を示すフローチャートである。
【0057】
S601にて、アラート受信部401は、送られてきたアラート情報を受信する。ここでアラート情報とは、アラートの発生したユーザID、アラート文などである。
【0058】
S602にて、アラート表示部402は、受信したアラート情報を基に、表示部1408にアラートを出力する。なお、アラート処理は一例であり、メール、ショートメッセージ等で管理者に通知してもよい。
【0059】
以上、本実施形態では、キーストロークの操作パターンを用いた情報処理装置の処理の開始を許可した後に、キーストロークの操作パターンを用いた情報処理装置の操作の制御を行う。これにより、情報処理装置にて認証された後であっても、より強固な認証を行うことが可能となる。
【0060】
<第2実施形態>
本実施形態では、情報処理装置100、サーバ装置300、管理者用情報処理装置400を1つの装置内にまとめたものを認証処理装置とする。即ち、第1実施形態では、認証処理を実施するためには、ネットワーク200を介して、情報処理装置100、サーバ装置300、管理者用情報処理装置400の間でデータ通信を行っていた。本実施形態では、これらの装置をまとめた1つの認証処理装置を動作させることで、認証処理を実行する。
本実施形態では、情報処理装置100、サーバ装置300、管理者用情報処理装置400を1つの装置内にまとめたものを認証処理装置とする。即ち、第1実施形態では、認証処理を実施するためには、ネットワーク200を介して、情報処理装置100、サーバ装置300、管理者用情報処理装置400の間でデータ通信を行っていた。本実施形態では、これらの装置をまとめた1つの認証処理装置を動作させることで、認証処理を実行する。
【0061】
図15は、本実施形態に係る認証処理装置の機能構成例を示すブロック図である。即ち、図1に示した情報処理装置100が有する各部と、サーバ装置300が有する各部と、管理者用情報処理装置400とが、1つの装置(認証処理装置)1500内に納められている。また、この認証処理装置1500についても、図14に示した構成例を有するコンピュータを適用することができる。
【0062】
即ち、本実施形態に係る認証処理装置1500の動作については、第1実施形態で説明した一連の処理において、通信処理がないだけで、それぞれの装置が行っているものとして第1実施形態で説明した各処理を認証処理装置1500が行うことになる。
【0063】
<その他の実施形態>
本発明は上述の実施形態の1以上の機能を実現するプログラムをネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は上述の実施形態の1以上の機能を実現するプログラムをネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】