アクセス制御システム及びこれを用いた情報処理システム
【課題】 安全性、かつ、利便性の高いアクセス制御システムを提供すること。
【解決手段】 アクセス対象装置2に対するユーザのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するアクセス制御システム1であって、ユーザから認証に用いる特徴データを取得する特徴データ取得手段11と、特徴データからユーザを認証する基準となるユーザ認証データが予め記憶されたユーザ認証データ記憶手段15と、この記憶されたユーザ認証データと取得した特徴データとを比較してユーザであることの認証確率を算出するユーザ認証手段12,13と、認証確率に応じて許可されるアクセス権が予め設定されたアクセス基準データを記憶するアクセス基準データ記憶手段16と、この記憶されたアクセス基準データに基づいて算出されたユーザの認証確率に対応するアクセス権を判定するアクセス権判定手段14と、を備えた。
【解決手段】 アクセス対象装置2に対するユーザのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するアクセス制御システム1であって、ユーザから認証に用いる特徴データを取得する特徴データ取得手段11と、特徴データからユーザを認証する基準となるユーザ認証データが予め記憶されたユーザ認証データ記憶手段15と、この記憶されたユーザ認証データと取得した特徴データとを比較してユーザであることの認証確率を算出するユーザ認証手段12,13と、認証確率に応じて許可されるアクセス権が予め設定されたアクセス基準データを記憶するアクセス基準データ記憶手段16と、この記憶されたアクセス基準データに基づいて算出されたユーザの認証確率に対応するアクセス権を判定するアクセス権判定手段14と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御システムにかかり、特に、ユーザの認証確率に応じて多段階のアクセス許可制御を行うアクセス制御システムに関する。また、このアクセス制御システムを用いた情報処理システムに関する。
【背景技術】
【0002】
従来より、所定の装置に対するユーザのアクセスを許可するため、コンピュータにて自動的にユーザを認証する種々の方法が考えられている。その基本的な技術としては、磁気カード等の所定のユーザ情報が記憶された所持品を所有しているか否かに加え、このユーザ情報に対応する暗証番号などの情報が入力されたか否かを判断することによって行われている。しかし、このようなユーザ認証方法では、他人がカードを拾うなど取得し、さらに、暗証番号を推測できた場合には、他人による不正な認証が行われ、なりすましによってデータの盗難、改ざん、破壊などの問題が生じ、セキュリティが低下する、という問題があった。
【0003】
このため、上記不都合を改善するために、近年では、ユーザの指紋など固有の身体的特徴であるバイオメトリクスデータを用いて認証を行う方法が実用化までされている。かかる技術については、例えば、特許文献1に開示されている。しかし、バイオメトリクスを用いた認証方法では、認証に用いるデータがユーザの身体的特徴であるため、計測及び認証誤差が生じ、認証の結果、正当なユーザであることを保証することは困難である。つまり、あくまで本人である可能性が高い、と判断するのみであり、例えば、似たような顔を有する他のユーザを誤って本人であると認識することも起こりうる。
【0004】
そして、このような問題点を有している従来の認証システムにおいて、さらに、一度の認証において操作可能な範囲内のすべての操作を全面的に許可する、というアクセス権の付与を行っている。つまり、図15(a)に示すように、本人である可能性が「ω」より高い場合には、当該利用者を正当なユーザであると判断し、その後もアクセスを許可してしまっている。このようなシステムにおいてセキュリティの強化を図る場合には、閾値ωの値を高くすることが考えられるが、かかる値が高すぎると本人拒否率が高くなり、利便性が損なわれかねない。逆に、閾値ωが低すぎると本人拒否率は減少するが、同時に他人を誤認識する確率が高くなり、安全性の問題が生じうる。
【0005】
そして、上述した問題点を解決するためのアクセス制御を行う認証システムとして、ユーザ本人である確率(本人度)を継続的に算出し、所定の閾値以上である場合にはアクセス権を与え、一方、低い場合には、アクセスを許可しないか、あるいは、一度許可したアクセス権を剥奪する、というシステムが特許文献2に開示されている。そのアクセス許可の一例を、図15(b)に示す。この文献に開示されている技術では、継続した認証の結果、本人確率が閾値ωよりも高いときにだけアクセス権を与えている。
【0006】
【特許文献1】特開2001−167053号公報
【特許文献2】高井秀樹・佐藤究・宮崎正俊:「ユーザモデルを利用した継続的認証システム」,信学技報,Vol97,No.626p.37-42(1998)
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、上記従来例においても、誤って一度アクセス権が付与され、後に誤認識であると判断されてアクセス権が剥奪されたとしても、短い時間のアクセス許可中にデータの盗難等が生じている可能性があり、依然として安全性の確保を図ることができない。
【0008】
このため、本発明では、上記従来例の有する不都合を改善し、特に、安全性、かつ、利便性の高いアクセス制御システムを提供すること、をその目的とする。
【課題を解決するための手段】
【0009】
そこで、本発明の一形態であるアクセス制御システムは、
アクセス対象装置に対するユーザのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するアクセス制御システムであって、
ユーザから認証に用いる特徴データを取得する特徴データ取得手段と、
特徴データからユーザを認証する基準となるユーザ認証データが予め記憶されたユーザ認証データ記憶手段と、
この記憶されたユーザ認証データと取得した特徴データとを比較してユーザであることの認証確率を算出するユーザ認証手段と、
認証確率に応じて許可されるアクセス権が予め設定されたアクセス基準データを記憶するアクセス基準データ記憶手段と、
この記憶されたアクセス基準データに基づいて算出されたユーザの認証確率に対応するアクセス権を判定するアクセス権判定手段と、
を備えたことを特徴としている。
【0010】
そして、本発明では、さらに、上記アクセス制御システムと、当該アクセス制御システムに接続されたアクセス対象装置と、を備えた情報処理システムをも提供しており、
アクセス対象装置が、ユーザから特徴データを取得してアクセス制御装置に転送する特徴データ転送手段と、ユーザからアクセス要求情報を受け付けてアクセス制御システムに転送するアクセス要求受付手段と、を備え、
アクセス制御システムが有するアクセス権判定手段は、アクセス対象装置から送信されたユーザからのアクセス要求情報に対応したアクセス権を許可可能か否かを判定して判定結果をアクセス対象装置に返送する、
ことを特徴としている。
【0011】
上記発明によると、まず、アクセス対象装置に対してアクセスを希望するユーザの特徴データがアクセス制御システムにて取得され、この取得された特徴データと予め記憶されているユーザ認証データとが比較されて、ユーザ認証が実行される。そして、この認証処理によってユーザの認証確率が算出され、当該認証確率に応じて許可される予め設定されているアクセス権が判定される。このとき、アクセス対象装置にユーザからアクセス要求があったときには、かかるアクセス権を許可できるか否かがアクセス制御装置にて判定されて、アクセス対象装置に通知される。その後は、アクセス権の判定結果に応じたユーザによるアクセス対象装置に対するアクセスが実行される。従って、ユーザの認証確率に応じたアクセス権を付与しているため、一度の誤認識によって他人に誤ってアクセス権を付与してしまうことを抑制することができ、安全性の向上を図ることができる。また、本人に対する認証精度が低い場合であっても相当するアクセス権が付与されるため、ユーザ本人の利便性の向上を図ることができる。なお、本発明におけるアクセス権とは、アクセス対象装置に対して許可されるユーザによる操作内容を含む。
【0012】
また、アクセス基準データは、ユーザに許可されるアクセス権が認証確率に応じて段階的に設定されたデータであり、特に、認証確率が高いほど多くのアクセス権が許可されるよう設定されたデータである、ことを特徴としている。さらには、アクセス基準データは、認証確率が高いほどユーザにとって重要度の高いアクセス権が許可されるよう設定されたデータである、ことを特徴としている。これにより、他人を誤認識することによって、当該他人に誤って多くのアクセス権や重要度の高いアクセス権が付与されることを抑制でき、安全性の向上を図ることができる。
【0013】
また、ユーザ認証手段は、ユーザ認証データ記憶手段に記憶されたユーザ認証データと特徴データ取得手段にて取得した特徴データとを比較してユーザの認証を行う認証手段と、この認証結果に基づいてユーザであることの認証確率を算出する確率算出手段と、を備えたことを特徴としている。このとき、確率算出手段は、算出した認証確率を記憶すると共に、この記憶された認証確率と認証手段による認証結果とに基づいて新たな認証確率を算出する、ことを特徴としている。具体的には、確率算出手段は、認証手段による認証結果に応じて記憶された認証確率を加減することによって新たな認証確率を算出する。さらに詳述すると、認証手段は、ユーザであるか否かを判断すると共に、確率算出手段は、認証手段による認証結果が、ユーザであるとの判断である場合に記憶された認証確率に所定の値を加算し、ユーザでないとの判断である場合に前記された認証確率から所定の値を減算する、ことによって新たな認証確率を算出する。
【0014】
これにより、ユーザの認証確率が常に変化するため、段階的にアクセス権が変化しうる。従って、他人によるアクセス時に誤認識によって突然認証確率が高くなることが防止され、相当のアクセス権が付与されることが抑制され、安全性の確保を図ることができる。また、本人であるにも関わらず誤認識が生じたとしても、突然アクセス権が切れるわけでないため、利便性も維持される。
【0015】
また、本発明の他の形態であるアクセス制御用プログラムは、アクセス対象装置に対するユーザからのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するコンピュータに、
ユーザから認証に用いる特徴データを取得する特徴データ取得手段と、
取得した特徴データと、ユーザ認証データ記憶手段に予め記憶された特徴データからユーザを認証する基準となるユーザ認証データと、を比較してユーザであることの認証確率を算出するユーザ認証手段と、
アクセス基準データ記憶手段に記憶された認証確率に応じて許可されるアクセス権が予め設定されたアクセス基準データに基づいて算出されたユーザの認証確率に対応するアクセス権を判定するアクセス権判定手段と、
を実現することを特徴としている。
【0016】
さらに、本発明の他の形態であるアクセス制御方法は、
コンピュータを用いて、アクセス対象装置に対するユーザからのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するアクセス制御方法であって、
コンピュータが、
ユーザから認証に用いる特徴データを取得し、
この取得した特徴データと、ユーザ認証データ記憶手段に予め記憶された特徴データからユーザを認証する基準となるユーザ認証データと、を比較してユーザであることの認証確率を算出し、
アクセス基準データ記憶手段に記憶された認証確率に応じて許可されるアクセス権が予め設定されたアクセス基準データに基づいて算出されたユーザの認証確率に対応するアクセス権を判定する、
ことを特徴としている。
【0017】
上記構成のプログラム、方法であっても、上述したアクセス制御システムと同様に作用するため、上基本発明の目的を達成することができる。
【発明の効果】
【0018】
本発明は、以上のように構成され機能するので、これによると、ユーザの認証確率に応じたアクセス権を付与しているため、一度の誤認識によって他人に誤って所定のアクセス権を付与してしまうことを抑制することができ、安全性の向上を図ることができると共に、また、本人に対する認証精度が低い場合であっても相当するアクセス権が付与されるため、ユーザ本人の利便性の向上を図ることができる、という従来にない優れた効果を有する。
【発明を実施するための最良の形態】
【0019】
本発明は、アクセス対象装置に対するユーザのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するアクセス制御システムに特徴を有する。なお、上記アクセス対象装置は、例えば、ユーザがログインするワークステーションや、銀行のATMなどが挙げられる。
【0020】
以下、実施例1にて、アクセス権の判定を行うアクセス制御システムである認証サーバの具体的な構成及び作用を説明し、実施例2乃至4では、アクセス対象装置の具体例を挙げて、当該アクセス対象装置に対するアクセス制御について詳述する。
【実施例1】
【0021】
本発明の第1の実施例を、図1乃至図8を参照して説明する。図1乃至図6は、本発明の構成を示す図であり、図7乃至図8は、本発明の動作を示す図である。以下、上述したアクセス制御システムを認証サーバ1とし、アクセス対象装置を操作端末2とし、これらが接続された情報処理システムについて説明する。
【0022】
[構成]
図1に示すように、認証サーバ1にはネットワークNを介して複数の操作端末2が接続されている。そして、それぞれの操作端末2に対してアクセスすることを希望するユーザUに対して、アクセスの許可/不許可を認証サーバ1が判定する。以下、認証サーバ1、操作端末2について詳述する。
【0023】
<操作端末>
操作端末2は、ユーザがアクセスして操作する対象となるシステムであって、他の実施例にて説明するように、例えば、銀行のATMである。なお、本実施例では、当該ATMを含めた一般的な装置であるとして説明する。その構成を図2に示す。
【0024】
この図に示すように、操作端末2は、CPUなどの演算装置2Aを備えており、当該演算装置2Aに所定のプログラムが組み込まれることで、ユーザデータ入力受付処理部21と、処理要求受付処理部22と、実行処理部23と、が構築されている。また、この操作端末2には、図示していないが、ユーザを認識するための特徴となる特徴データを取得するための特徴値取得装置を備えている。また、ユーザによって操作されて所定の情報を入力するための入力装置も備えられている。以下、各構成について詳述する。
【0025】
まず、特徴値取得装置は、例えば、指紋読取装置や顔画像撮影装置(カメラ)、さらには、音声取込装置など、ユーザの身体的特徴が表されたデータ、いわゆるバイオメトリクスデータを取得するものである。そして、この特徴値取得装置にて取得された特徴データは、ユーザデータ入力受付処理部21に受信され、認証サーバ1に転送される。なお、この特徴値取得装置は、キーボードであって、ユーザによるキー入力時のリズム(癖)を取得してもよい。また、上記入力装置は、キーボードなど文字や数字などを入力するためのものである。
【0026】
ユーザデータ入力受付処理部21(特徴データ転送手段)は、入力装置を介してユーザにて入力された当該ユーザを識別するIDとパスワードとを受け付けて、認証サーバ1Aに通知する。また、特徴値取得装置を介してユーザの顔画像情報などを常時取得し、認証サーバ1の入力受付処理部11(後述する)に転送する。
【0027】
また、処理要求受付処理部22(アクセス要求受付手段)は、入力装置からユーザUによる所定のアクセス要求を示すアクセス要求情報の入力を受け付けて、これを認証サーバ1のアクセス権判定処理部14(後述する)に通知する。このとき、アクセス要求は、例えば、ユーザUが希望する操作内容を表す情報である。
【0028】
さらに、実行処理部23は、認証サーバ1のアクセス権判定処理部14から、ユーザに許可されたアクセス権の判定結果を表す情報を受信する。そして、判定結果に基づいてユーザに対して許可されたアクセス権の範囲内で、所定の処理を実行し、ユーザに対してサービスを提供する。
【0029】
<認証サーバ>
次に、認証サーバ1について説明する。図2に示すように、認証サーバ1は、CPUなどの演算装置1Aと、ハードディスク駆動装置などの記憶装置1Bと、を備えた一般的なサーバコンピュータであり、図1に示すようにネットワークNを介して操作端末2に接続されている。なお、ネットワークNは、公衆インターネット網やLANネットワーク網であってもよく、また、操作端末2と直接ケーブルにて接続されていてもよい。さらには、認証サーバ1と操作端末2とが一体的に構成されていてもよい。
【0030】
そして、認証サーバ1の演算装置1Aには、アクセス制御用プログラムが組み込まれることにより、入力受付処理部11と、認証処理部12と、確率算出処理部13と、アクセス権判定処理部14と、が構築されている。また、記憶装置1Bには、ユーザ認証データ記憶部15と、アクセス基準データ記憶部16と、が形成されている。以下、各処理部11〜14、及び、各記憶部15,16について詳述する。
【0031】
まず、ユーザ認証データ記憶部15(ユーザ認証データ記憶手段)には、予め登録されたユーザ固有のIDとパスワードとが記憶されている。また、これらに関連付けられて、予めユーザから取得した当該ユーザの特徴データであって、後に取得したユーザの特徴データから当該ユーザを認証するための基準となるユーザ認証データが記憶されている。つまり、上述したように、操作端末2に対してアクセスを希望するユーザから取得した顔画像データなどの特徴データと比較して、ユーザ本人であるかどうかを判定するための基準となるユーザ認証データが、事前にユーザ本人から取得されて記憶されている。従って、必ずしもユーザの顔画像データなどの生データが記憶されている必要はなく、判定に必要なパラメータのみが記憶されていてもよい。なお、このユーザ認証データとして、ユーザUから認証用に取り込んだ特徴データが蓄積されてもよい。
【0032】
また、アクセス基準データ記憶部16(アクセス基準データ記憶手段)には、ユーザUの認証確率に対応する確信度と、各アクセス権と、の対応関係を表す予めユーザにて設定されたアクセス権表が記憶されている。このアクセス権表の一例を図3に示す。この図に示すアクセス権表は、ユーザを認証したときの確率をレベル表示した確信度(Level(m))を横軸にとり、また、アクセス状況が異なる複数のアクセス権をランク付けして表したリスクランク(Rank(m))を縦軸にとっている。
【0033】
上記「確信度」とは、後述するように、取得したユーザの特徴データに基づいて認証した結果に基づいて算出されるユーザ本人であることの確率を表す値を、所定区間に区分けしてレベル表示した値である。この確信度の算定例を図4(a)に示す。この図において、縦軸には後述するように継続して行われる認証に応じて変化するユーザ本人の認証確率(0≦r≦1.0)を示しており、これを任意に区分け(r1,・・・,rm)したときの各区間を符号S0,S1,・・・,Smにて表している。そして、このSmの値が、図3に示す横軸の確信度(Level(m))の値に対応することとなる。すなわち、認証確率rが算出されると、これに対応する確信度Smが決定され、図3に示すLevel(m)が決定される。そして、かかる確信度を決定する基準となる確信度表が、各ユーザ毎に設定されていて、アクセス基準データ記憶部16に記憶されている。なお、図4においては、認証確率が高いほど確信度が高くなるよう設定されている。
【0034】
また、上記「リスクランク」とは、操作端末2に対してアクセス可能なユーザによる全てのアクセス権を、各アクセス権毎に分割して、その重要度に応じてランク付けして表した値である。その一例を図5(a)に示す。この図では、アクセス対象となる操作端末全体のシステム資源をXとし、そのうち、ユーザUがアクセス可能なシステム資源、すなわち、ユーザUによる全てのアクセス権をVにて表す。そして、このユーザの全てのアクセス権Vのうち、各アクセス権をW1,W2,・・・,Wmとして分割設定する。そして、これらの各アクセス権には順序関係が存在し、これをリスクランク(Rank(m))として表す。このリスクランクの順序は、ユーザにとって重要度の高い順、すなわち、他人に不正アクセスされることにより受ける被害の大きさに対応して設定されており、例えば、最も被害の小さいアクセス権のリスクランクを1、最も被害の大きなものをリスクランクをmとして設定している。そして、ユーザUによるアクセス要求に対して、当該アクセス要求のリスクランクを決定する基準となるリスクランク権表(例えば、実施例2にて説明する図10を参照)が、各ユーザ毎に設定されていて、アクセス基準データ記憶部16に記憶されている。
【0035】
このように確信度とリスクランクが設定された図3に示すアクセス権表では、確信度の各レベルに対応して許可可能なアクセス権が、段階的に設定されている。このとき、図3の例では、確信度のレベルが高くなるにつれて許可されるアクセス権のリスクランクも高くなり、かつ、それ以下のリスクランクのアクセス権も全て許可されるよう設定されている。つまり、ユーザの認証確率が高くなればなるほど、より重要な内容のアクセスが許可されることとなる。ここで、図3に示すアクセス権表では、横軸に確信度のレベルを表示しているが、認証確率の値をそのまま横軸にとってもよい。これに伴い、認証確率の値に応じて許可可能なアクセス権自体を縦軸に表示してもよい。
【0036】
そして、このようにアクセス権表が設定されていることにより、後述するように、ユーザの認証確率が変動することで、これに伴い当該ユーザに許可されるアクセス権も変動することとなる。その一例を図6(a)に示す。この図は、時間(t)毎の確信度(s)に応じて変化するアクセス権(φ)(リスクランク)の変化の様子を示す図である。この図の網掛け部分が所定のアクセス権が許可されている状態を示しており、時間に応じてアクセス権の内容(W1等)、つまり、リスクランクが変化している。
【0037】
この図に示されているように、確信度に応じて段階的にアクセス権も変化しているため、他人によってアクセスされた際に、誤認識によって突然認証確率が高くならず、相当のアクセス権が付与されることが抑制され、安全性の確保を図ることができる。また、本人であるにも関わらず誤認識が生じたとしても、突然アクセス権が切れるわけでなく、利便性も確保されうる。
【0038】
ここで、上述した「確信度」は、認証確率(r)に応じてユーザが任意に設定することが可能である。例えば、図4(b)に示すように、認証確率(r)の値に対して等間隔に確信度のレベルを割り当ててもよく、図4(c)に示すように、不均等に割り当ててもよい。なお、図4(c)に示すように、確信度の上位レベルにおける認証確率の値の幅を狭くすることで、誤認識における不正アクセスが生じる可能性を低くすることができる。例えば、図4(c)のように確信度を設定したときのアクセス権の変化の様子を図6(c)、(d)に示す。
【0039】
また、アクセス権の「リスクランク」もユーザが任意に設定することができ、当該アクセス権の集合も任意に区分けすることができる。例えば、図5(b)に示すように、各リスクランクのアクセス権の集合を均等に分割してもよく、図5(c)に示すように、より上位のアクセスランクに多くのアクセス権を含め、下位のアクセスランクの部分集合を小さくすることで、不正アクセスされた場合の被害を小さくすることができる。そのときのアクセス権の変化の様子を図6(b)、(d)に示す。
【0040】
次に、上述した各処理部11〜14について説明する。まず、入力受付処理部11(特徴データ取得手段)は、操作端末2のユーザデータ入力受付処理部21にて転送されたユーザUのID及びパスワードを受け付けて、ユーザ認証データ記憶部15に記憶されている予め登録されているID及びパスワードと照合をして、認証対象となるユーザUを特定する。また、常時転送されてくるユーザUの特徴データを受け付けて、認証処理部12に渡す。このとき、受け付けた特徴データを、ユーザ認証データ記憶部15にユーザ認証データとして蓄積してもよい。
【0041】
認証処理部12(認証手段、ユーザ認証手段)は、ユーザ認証データ記憶部15に記憶されている認証対象となっているユーザUの認証の際の基準となるユーザ認証データと、受け付けた特徴データと、を比較して、同一人物であるか否かの認証を行う。このときの認証アルゴリズムは既存の手法を用いて行われる。そして、その判断結果を確率算出処理部13に通知する。
【0042】
確率算出処理部13(確率算出手段、ユーザ認証手段)は、認証処理による判断結果に基づいて認証確率の算出を行う。その算出は、認証確率Rt=Rt−1+α(t)にて表される。すなわち、直前の認証確率Rt−1に、今回の認証判断結果に応じた値α(t)が加減され、新たな認証確率Rtが算出される。具体的には、認証処理部12にてユーザ本人であると判断された場合には、これまでの認証確率Rt−1にα(t)が加算され、認証確率が増加する。一方、認証処理部12にてユーザ本人でないと判断された場合には、これまでの認証確率Rt−1にα(t)が減算され、認証確率が減少する。
【0043】
アクセス権判定処理部14(アクセス権判定手段)は、まず、操作端末2の処理要求受付処理部22からアクセス要求を受け付けると、リスクランク表をアクセス基準データ記憶部16から読み出して、受け付けたアクセス要求にかかるアクセス権のリスクランクを決定する。また、認証対象となっているユーザUの確信度表をアクセス基準データ記憶部16から読み出して、算出した認証確率の値に対応した確信度の決定を行うと共に、アクセス基準データ記憶部16からアクセス権表を読み出して参照し、上記確信度に対応するアクセス権を判定する。すなわち、上記アクセス要求されたアクセス権のリスクランクが、算出された確信度について許可されているか否かを判定する。そして、その判定結果を操作端末2の実行処理部23に通知する。
【0044】
[動作]
次に、本発明の動作を、図7乃至図8のフローチャートを参照して説明する。かかる図においては、主に、認証サーバ1の動作を説明する。
【0045】
まず、ユーザUは操作端末2に対して、自身のID(識別情報)とパスワードを入力すると、当該操作端末2から認証サーバ1に通知される。そして、認証サーバ1の入力受付処理部11は、ID及びパスワードを受け付けて(ステップS1)、ユーザ認証データ記憶部15に記憶されている予め登録されているID及びパスワードと照合する(ステップS2,S3)。このとき、ID及びパスワードが一致しない場合には(ステップS3にて否定判断)、操作端末2に対する何らアクセス権を有さず、ログイン不可が認証サーバ1から操作端末2に通知される(ステップS4)。そして、操作端末2からもユーザに対してログイン不可通知が出力され、処理が終了する。
【0046】
一方、ID及びパスワードが一致した場合には(ステップS3にて肯定判断)、認証サーバ1は操作端末2からユーザUにて入力されるアクセス要求の受け付けを待つと共に(ステップS5)、操作端末2に対してユーザUの特徴データを取得するよう指示する(ステップS6)。つまり、これらの処理が並列に実行される。まず、ステップ6の方に進むと、操作端末2では特徴値取得装置にて顔画像などの特徴データの取得を開始し、取得した特徴データを認証サーバ1に転送する。そして、認証サーバ1では、転送された特徴データを取り込み(ステップS6)、ユーザ認証データ記憶部15から上記ID及びパスワードにて特定されるユーザUのユーザ認証データを読み出して比較する(ステップS7)。そして、取り込んだ特徴データを有するユーザUが、ユーザ認証データが登録されているユーザと同一人物であるか否かの認証を行う(ステップS8)。例えば、特徴値が一致する、あるいは、所定の閾値内に収まる、などの条件を満たすことにより、本人であると判断する。
【0047】
そして、上記認証の判断結果が、本人であるとの判断である場合には(ステップS8にて肯定判断)、本人確率が上昇するようα(t)を正の値(例えば、5%)にセットする(ステップS9)。一方、本人でないとの判断である場合には(ステップS8にて否定判断)、本人確率が下降するようα(t)を負の値(例えば、−5%)にセットする(ステップS10)。そして、上記設定されたα(t)と、直前に算出された認証確率Rt−1の値とに基づいて、現在の認証確率Rt(Rt=Rt−1+α(t))を算出する(ステップS11)。このとき、初回の算出時には、Rt−1の初期値が「0」であるので、本人である場合であっても、認証確率Rt=5(%)などと算出される。そして、連続して操作端末2にて取り込まれて転送されてくる特徴データに基づいて認証処理を繰り返し実行されている(ステップS6〜ステップS11)。従って、認証確率Rtは、常時変化しており、例えば、本人が認証されていれば、ステップS8にてユーザU本人であるとの判断が繰り返しなされ、認証確率の値は徐々に高くなる。
【0048】
一方、上述したように認証処理が繰り返し行われている間に、操作端末2に対してユーザUからアクセス要求が入力されると、認証サーバ1のアクセス権判定処理部14にて受信される(ステップS5にて肯定判断後、図8の符号Aに進む)。このとき、アクセス要求と共に、ユーザUのIDなども受信される。すると、アクセス権判定処理部14では、アクセス基準データ記憶部16からアクセス要求してきたユーザUのリスクランク表、確信度表、アクセス権表などのアクセス基準データが読み出される(ステップS21)。そして、受け付けたアクセス要求の内容であるアクセス権が、いかなるリスクランクであるか、ということをリスクランク表を参照して決定する(ステップS22)。
【0049】
続いて、常時算出され更新されているユーザUの現在の認証確率Rtを抽出する(ステップS23、図7の符号B参照)。そして、抽出した認証確率の値に対応した確信度を、確信度表を参照して決定する(ステップS24)。その後、アクセス権表を参照して、決定した確信度に対応するアクセス権を判定し、上記アクセス要求にかかるアクセス権のリスクランクとの比較を行う(ステップS25)。
【0050】
そして、アクセス要求にかかるアクセス権があると判断されると(ステップS26)、処理を実行するよう操作端末2の実行処理部23に通知され(ステップS27)、操作端末2では、アクセス要求にかかるアクセス権がユーザUに許可され、当該ユーザUによる処理が実行される。そして、認証サーバ1では、引き続き(ステップS29にて否定判断、ステップS30にて否定判断)、ユーザUの認証確率の算出(ステップS6〜S11)と、当該算出され変動する認証確率(符号B参照)を用いてアクセス権を有するか否かの判定が実行される(ステップS23〜S30)。その間、操作端末2を操作するユーザUが何者かに入れ替わるなど、不正が生じると、認証確率が下降するため、確信度のレベルが下がり、これに伴い許可されるアクセス権のリスクランクも低下する。従って、ユーザUが要求しているアクセス権を得ることができないと判断されることとなる(ステップS26にて否定判断)。すると、現在のユーザにて操作端末2に対する処理が中止されるようアクセス権なしの旨が操作端末2に通知される(ステップS28)。これを受けて、操作端末2では、ユーザからのアクセスが拒否される。
【0051】
なお、上記処理中に、ユーザUから別の処理要求がなされると(ステップS30にて肯定判断後、図7の符号Cに進む)、新たに受け付けたアクセス要求に対するアクセス権の有無が、上述した手順により判定される(ステップS5にて肯定判断後、図8の符号Aに進む)。
【0052】
このようにすることにより、常にユーザの認証確率が算出され、変化するため、段階的にアクセス権が変化しうる。従って、仮に他人がアクセスして誤認識した場合であっても、突然認証確率が高くならず、リスクレベルの高いアクセス権が付与されることが抑制され、安全性の確保を図ることができる。一方、本人であるにも関わらず誤認識が生じたとしても、突然アクセス権が切れるわけでないため、利便性も維持される。
【実施例2】
【0053】
次に、本発明の第2の実施例を、図9乃至図10を参照して説明する。図9は、本実施例におけるシステム構成を示す図であり、図10は、リスクランク表の一例を示す図である。
【0054】
本実施例は、上記実施例1にて説明した情報処理システムの具体例であって、ユーザUがアクセスを希望するアクセス対象装置がワークステーションなどの所定のコンピュータである。特に、本実施例では、ユーザUがTELNETクライアントである操作端末200を用いてTELNETサーバ201にアクセスするTELNETシステムに利用した場合を示す。このため、上記実施例1にて説明した操作端末2には、ユーザが操作する操作端末200自身とTELNETサーバ201とが対応することとなる。
【0055】
図9に示すように、本実施例における上記認証サーバ1は、操作端末200とTELNETサーバ201の間にネットワークNを介して配置されている。そして、ユーザUが操作端末200を介してTELNETサーバ201に対するアクセス要求した場合に、ユーザUの特徴データを取得して認証確率を算出し、これに応じてアクセス権を許可し、操作端末200とTELNETサーバ201との間に、許可されたアクセス権に応じたTELNET接続を開く、というものである。このように、基本的な動作は、上述したとおりである。
【0056】
ここで、本実施例においてユーザUを認証するための特徴データは、上述したように操作端末200から取得する操作者であるユーザUの顔画像などでもよいが、例えば、ユーザUのキー入力動作であるキー入力リズムを用いてもよい。この場合には、操作端末200ではキー入力リズムを常に取得して特徴データとして認証サーバ1に送信する。そして、これに伴い、認証サーバ1には予めユーザUのキー入力リズムがユーザ認証データとして、ユーザ認証データ記憶部15に登録されている。これに基づいて、ユーザ認証を行い、認証確率を算出する。
【0057】
そして、本実施例におけるリスクランク表は、例えば、図10に示すように構成されている。TELNETサーバ201に対するアクセス権とは、TELNETサーバ201に対して許可されるユーザUによる操作内容であり、例えば、サーバ201を操作するための「コマンド(操作命令)」と、アクセスする「システムリソース(フォルダやファイルなど)」と、により構成されている。そして、本実施例におけるユーザUにおいては、コマンド(命令)のリスクランクは図10(a)の表のように、システムのリスクランクは図10(b)の表ように、それぞれ予めユーザUにて設定され、リスクランク表としてアクセス基準データ記憶部16に登録されている。また、これらを合成したコマンドとシステムリソースとからなるアクセス権に対するリスクランク表が、図10(c)のように設定されており、かかる表もアクセス基準データ記憶部16に記憶されている。従って、認証サーバ1は、ユーザUからアクセス要求があると、要求にかかるコマンドとシステムリソースとを特定して、それぞれのリスクランク表から各リスクランクを特定し、これらリスクランクから合成リスクランク表を用いて最終的なリスクランクを特定する。例えば、コマンド「rm」、システムリソース「〜/file.c」が要求された場合には、コマンドのリスクランクが「IV」、システムリソースのリスクランクが「II」となるため、合成リスクランクは「III」となる。同様に、コマンド「more」、システムリソース「/etc/passwd」が要求された場合には、コマンドのリスクランクが「II」、システムリソースのリスクランクが「IV」となるため、合成リスクランクは「IV」となる。
【0058】
また、図示しないが、リスクランクと認証確率(確信度)との関係を表したアクセス権表も別途アクセス基準データ記憶部16に記憶されている。このようにすることで、算出された現在のユーザUの認証確率(確信度)に応じて、上記リスクランクに相当するアクセス権が許可されるか否かが判断される。そして、許可されたアクセス権に基づいて、TELNETサーバ201に対する操作が、ユーザUにて実行されることとなる。
【実施例3】
【0059】
次に、本発明の第3の実施例を、図11乃至図12を参照して説明する。図11は、本実施例におけるリスクランク表の例を示す図であり、図12は、アクセス権表の例を示す図である。
【0060】
本実施例は、上記実施例1にて説明した情報処理システムの具体例であって、操作端末2が銀行に設置されたATMであり、これに認証サーバ1が接続されている。そして、ATMに対してユーザUがアクセス要求を行った際に、かかるアクセスを許可するか否かを認証サーバ1が判定し、許可されたアクセス権に応じてATMに対してユーザUが操作できる、というものである。このように、基本的な動作は、上述したとおりである。なお、ユーザUを認証するための特徴データは、ATMに設置されたカメラから取得したユーザUの顔画像を用いるとよい。
【0061】
そして、アクセス対象装置がATMであることから、本実施例におけるリスクランク表は、例えば、図11に示すように構成されている。つまり、本実施例におけるアクセス権とは、ATMに対して許可されるユーザUによる操作内容であり、例えば、「口座に対する操作内容」と、「上限金額」と、により構成されている。そして、これらの組み合わせによるアクセス要求のリスクランクは、図11の表のように、ユーザUにて予め設定されていて、リスクランク表としてアクセス基準データ記憶部16に登録されている。具体的には、口座に対する操作内容は、「振込み」<「残高照会」<「引き出し」の順で危険であると考えられるため、かかる順序と、それぞれの操作に対する上限金額に応じてリスクランクが設定されている。従って、例えば、「10000円あるいは100000円を引き出す」というアクセス要求は、リスクランクが最高(Rank4)に設定されている。
【0062】
また、本実施例におけるアクセス権表の例を、図12(a),(b)にそれぞれ示す。なお、この図においては、確信度を認証確率のまま変換せずに横軸に用いている。図12(a)の例では、ユーザUが安全性を重視してアクセス権表を設定した場合の例である。かかる場合には、例えば、Rank3といった1000円の引き出し操作であっても、認証確率が0.8以上に上がってからでないと許可されないこととなる。一方、図12(b)の例では、ユーザUが利便性を重視してアクセス権表を設定した場合の例であり、かかる場合には、認証確率が0.3以上になれば1000円の引き出し操作が許可されうる。例えば、毎日小額の金額を引き出す場合には、かかる設定を行っておくと、認証で引っかかることが抑制される。
【実施例4】
【0063】
次に、本発明の第4の実施例を、図13乃至図14を参照して説明する。図13は、本実施例におけるシステム構成を示す図であり、図14は、リスクランク表の一例を示す図である。
【0064】
本実施例は、上記実施例1にて説明した情報処理システムの具体例であって、ユーザUがアクセスを希望するアクセス対象装置が、ユーザUにネットワークを介して遠隔にて会議を行うための遠隔会議管理サーバ100及びこのサーバ100に接続されたユーザが実際に操作するユーザ端末400である。なお、本実施例においては、遠隔会議管理サーバ100自体に、認証サーバ1が有する機能が組み込まれていることとする。
【0065】
ユーザ端末400には、会議資料として提供された共有資料などを蓄積する共有資料記憶装置401、会議の内容となる音声情報が出力されるスピーカ402、会議に参加するユーザU自身の顔画像などを取り込むカメラ403、ユーザUからの発言など音声を取り込むマイク404、さらには、図示しないがキーボードやマウスなどが装備されている。そして、ディスプレイには、提供される資料411や、会議に参加する者や会議の議長の顔画像など動画情報412,413などが表示される。
【0066】
そして、ユーザ端末400からは、ユーザUが遠隔会議にログインする際にIDとパスワードが入力され、遠隔会議管理サーバ100に実装された認証サーバ1の機能に送信される。また、ユーザUを認証するための特徴データである顔画像データも常時送信される。さらには、会議への参加に伴う発言や資料、書き込み内容などが、種々の入力手段から入力されて遠隔会議管理サーバ100に送信される。
【0067】
また、遠隔会議管理サーバ100は、実装されている認証サーバ1の機能により、ユーザU認証を行って認証確率を算出すると共に、ユーザUの会議参加によるアクセス要求を認識し、認証確率に応じて所定のアクセス権を有するか否かを判定する。そして、その判定結果に応じて、ユーザによる所定の操作(アクセス権)を許可する。このように、基本的な動作は、上述したとおりである。
【0068】
そして、本実施例におけるリスクランク表は、例えば、図14に示すように構成されている。このとき、遠隔会議管理サーバ100に対するアクセス権とは、会議参加に伴って当該サーバ100に対して許可されるユーザUによる操作内容である。例えば、会議への参加に伴う発言や資料提示、共有資料上への書き込みなどの入力操作があり、それぞれの入力操作に応じたリスクランクが図14の上段に示すようにユーザUにて設定されている。また、会議にて情報の提供を受ける動画像や音声さらには共有資料の出力操作があり、それぞれの出力操作に応じたリスクランクが図14の下段に示すようにユーザUにて設定されている。そして、このようなリスクランク表が、アクセス基準データ記憶部16に登録されている。かかるリスクランク表と、算出された現在のユーザUの認証確率(確信度)に応じて、上記リスクランクに相当するアクセス権が許可される。
【0069】
これにより、他人があるユーザUになりすまして遠隔会議に参加し、誤って認証された場合であっても、認証確率が高くなることはないため、重要な資料が提示されるなど、リスクランクが高い操作が抑制さえるため、重要なデータの流出などを有効に抑制することができる。
【0070】
なお、上記では、遠隔会議に利用する場合を説明したが、遠隔システムを用いた大学などにおける授業やゼミに利用してもよい。
【産業上の利用可能性】
【0071】
本発明であるアクセス制御システムは、ユーザ認証を必要とするシステムに利用することができ、産業上の利用可能性を有する。
【図面の簡単な説明】
【0072】
【図1】実施例1における全体構成を示すブロック図である。
【図2】実施例1における詳細な構成を示す機能ブロック図である。
【図3】アクセス権表の一例を示す説明図である。
【図4】図4は、確信度の説明図であり、図4(a)は、認証確率と確信度との対応関係を示す図である。図4(b)、(c)は、確信度の設定例を示す図である。
【図5】図5は、アクセス権の説明図であり、図5(a)は、アクセス権のリスクランクの設定例を示す図である。図5(b)、(c)は、アクセス権のリスクランクの他の設定例を示す図である。
【図6】図6(a)〜(d)は、それぞれ許可されるアクセス権の変化を示す図である。
【図7】実施例1における動作を示すフローチャートである。
【図8】実施例1における動作を示すフローチャートである。
【図9】実施例2における構成を示すブロック図である。
【図10】図10は、実施例2において用いられるデータの説明図であり、図10(a)はコマンドのリスクランク表を、図10(b)はシステムリソースのリスクランク表を、図10(c)は合成したリスクランク表を示す。
【図11】実施例3において用いられるリスクランク表の説明図である。
【図12】図12(a),(b)は、それぞれ実施例3において用いられるアクセス権表の説明図である。
【図13】実施例4における構成を示すブロック図である。
【図14】実施例4において用いられるリスクランク表の説明図である。
【図15】図15(a),(b)は、それぞれ従来例における認証確率とアクセス権の変化の様子を示す図である。
【符号の説明】
【0073】
1 認証サーバ(アクセス制御システム)
2 操作端末(アクセス対象装置)
11 入力受付処理部(特徴データ取得手段)
12 認証処理部(認証手段、ユーザ認証手段)
13 確率算出処理部(確率算出手段、ユーザ認証手段)
14 アクセス権算出処理部(アクセス権判定手段)
15 ユーザ認証データ記憶部(ユーザ認証データ記憶手段)
16 アクセス基準データ記憶部(アクセス基準データ記憶手段)
21 ユーザデータ受付処理部(特徴データ転送手段)
22 処理要求受付処理部(アクセス要求受付手段)
23 実行処理部
N ネットワーク
U ユーザ
【技術分野】
【0001】
本発明は、アクセス制御システムにかかり、特に、ユーザの認証確率に応じて多段階のアクセス許可制御を行うアクセス制御システムに関する。また、このアクセス制御システムを用いた情報処理システムに関する。
【背景技術】
【0002】
従来より、所定の装置に対するユーザのアクセスを許可するため、コンピュータにて自動的にユーザを認証する種々の方法が考えられている。その基本的な技術としては、磁気カード等の所定のユーザ情報が記憶された所持品を所有しているか否かに加え、このユーザ情報に対応する暗証番号などの情報が入力されたか否かを判断することによって行われている。しかし、このようなユーザ認証方法では、他人がカードを拾うなど取得し、さらに、暗証番号を推測できた場合には、他人による不正な認証が行われ、なりすましによってデータの盗難、改ざん、破壊などの問題が生じ、セキュリティが低下する、という問題があった。
【0003】
このため、上記不都合を改善するために、近年では、ユーザの指紋など固有の身体的特徴であるバイオメトリクスデータを用いて認証を行う方法が実用化までされている。かかる技術については、例えば、特許文献1に開示されている。しかし、バイオメトリクスを用いた認証方法では、認証に用いるデータがユーザの身体的特徴であるため、計測及び認証誤差が生じ、認証の結果、正当なユーザであることを保証することは困難である。つまり、あくまで本人である可能性が高い、と判断するのみであり、例えば、似たような顔を有する他のユーザを誤って本人であると認識することも起こりうる。
【0004】
そして、このような問題点を有している従来の認証システムにおいて、さらに、一度の認証において操作可能な範囲内のすべての操作を全面的に許可する、というアクセス権の付与を行っている。つまり、図15(a)に示すように、本人である可能性が「ω」より高い場合には、当該利用者を正当なユーザであると判断し、その後もアクセスを許可してしまっている。このようなシステムにおいてセキュリティの強化を図る場合には、閾値ωの値を高くすることが考えられるが、かかる値が高すぎると本人拒否率が高くなり、利便性が損なわれかねない。逆に、閾値ωが低すぎると本人拒否率は減少するが、同時に他人を誤認識する確率が高くなり、安全性の問題が生じうる。
【0005】
そして、上述した問題点を解決するためのアクセス制御を行う認証システムとして、ユーザ本人である確率(本人度)を継続的に算出し、所定の閾値以上である場合にはアクセス権を与え、一方、低い場合には、アクセスを許可しないか、あるいは、一度許可したアクセス権を剥奪する、というシステムが特許文献2に開示されている。そのアクセス許可の一例を、図15(b)に示す。この文献に開示されている技術では、継続した認証の結果、本人確率が閾値ωよりも高いときにだけアクセス権を与えている。
【0006】
【特許文献1】特開2001−167053号公報
【特許文献2】高井秀樹・佐藤究・宮崎正俊:「ユーザモデルを利用した継続的認証システム」,信学技報,Vol97,No.626p.37-42(1998)
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、上記従来例においても、誤って一度アクセス権が付与され、後に誤認識であると判断されてアクセス権が剥奪されたとしても、短い時間のアクセス許可中にデータの盗難等が生じている可能性があり、依然として安全性の確保を図ることができない。
【0008】
このため、本発明では、上記従来例の有する不都合を改善し、特に、安全性、かつ、利便性の高いアクセス制御システムを提供すること、をその目的とする。
【課題を解決するための手段】
【0009】
そこで、本発明の一形態であるアクセス制御システムは、
アクセス対象装置に対するユーザのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するアクセス制御システムであって、
ユーザから認証に用いる特徴データを取得する特徴データ取得手段と、
特徴データからユーザを認証する基準となるユーザ認証データが予め記憶されたユーザ認証データ記憶手段と、
この記憶されたユーザ認証データと取得した特徴データとを比較してユーザであることの認証確率を算出するユーザ認証手段と、
認証確率に応じて許可されるアクセス権が予め設定されたアクセス基準データを記憶するアクセス基準データ記憶手段と、
この記憶されたアクセス基準データに基づいて算出されたユーザの認証確率に対応するアクセス権を判定するアクセス権判定手段と、
を備えたことを特徴としている。
【0010】
そして、本発明では、さらに、上記アクセス制御システムと、当該アクセス制御システムに接続されたアクセス対象装置と、を備えた情報処理システムをも提供しており、
アクセス対象装置が、ユーザから特徴データを取得してアクセス制御装置に転送する特徴データ転送手段と、ユーザからアクセス要求情報を受け付けてアクセス制御システムに転送するアクセス要求受付手段と、を備え、
アクセス制御システムが有するアクセス権判定手段は、アクセス対象装置から送信されたユーザからのアクセス要求情報に対応したアクセス権を許可可能か否かを判定して判定結果をアクセス対象装置に返送する、
ことを特徴としている。
【0011】
上記発明によると、まず、アクセス対象装置に対してアクセスを希望するユーザの特徴データがアクセス制御システムにて取得され、この取得された特徴データと予め記憶されているユーザ認証データとが比較されて、ユーザ認証が実行される。そして、この認証処理によってユーザの認証確率が算出され、当該認証確率に応じて許可される予め設定されているアクセス権が判定される。このとき、アクセス対象装置にユーザからアクセス要求があったときには、かかるアクセス権を許可できるか否かがアクセス制御装置にて判定されて、アクセス対象装置に通知される。その後は、アクセス権の判定結果に応じたユーザによるアクセス対象装置に対するアクセスが実行される。従って、ユーザの認証確率に応じたアクセス権を付与しているため、一度の誤認識によって他人に誤ってアクセス権を付与してしまうことを抑制することができ、安全性の向上を図ることができる。また、本人に対する認証精度が低い場合であっても相当するアクセス権が付与されるため、ユーザ本人の利便性の向上を図ることができる。なお、本発明におけるアクセス権とは、アクセス対象装置に対して許可されるユーザによる操作内容を含む。
【0012】
また、アクセス基準データは、ユーザに許可されるアクセス権が認証確率に応じて段階的に設定されたデータであり、特に、認証確率が高いほど多くのアクセス権が許可されるよう設定されたデータである、ことを特徴としている。さらには、アクセス基準データは、認証確率が高いほどユーザにとって重要度の高いアクセス権が許可されるよう設定されたデータである、ことを特徴としている。これにより、他人を誤認識することによって、当該他人に誤って多くのアクセス権や重要度の高いアクセス権が付与されることを抑制でき、安全性の向上を図ることができる。
【0013】
また、ユーザ認証手段は、ユーザ認証データ記憶手段に記憶されたユーザ認証データと特徴データ取得手段にて取得した特徴データとを比較してユーザの認証を行う認証手段と、この認証結果に基づいてユーザであることの認証確率を算出する確率算出手段と、を備えたことを特徴としている。このとき、確率算出手段は、算出した認証確率を記憶すると共に、この記憶された認証確率と認証手段による認証結果とに基づいて新たな認証確率を算出する、ことを特徴としている。具体的には、確率算出手段は、認証手段による認証結果に応じて記憶された認証確率を加減することによって新たな認証確率を算出する。さらに詳述すると、認証手段は、ユーザであるか否かを判断すると共に、確率算出手段は、認証手段による認証結果が、ユーザであるとの判断である場合に記憶された認証確率に所定の値を加算し、ユーザでないとの判断である場合に前記された認証確率から所定の値を減算する、ことによって新たな認証確率を算出する。
【0014】
これにより、ユーザの認証確率が常に変化するため、段階的にアクセス権が変化しうる。従って、他人によるアクセス時に誤認識によって突然認証確率が高くなることが防止され、相当のアクセス権が付与されることが抑制され、安全性の確保を図ることができる。また、本人であるにも関わらず誤認識が生じたとしても、突然アクセス権が切れるわけでないため、利便性も維持される。
【0015】
また、本発明の他の形態であるアクセス制御用プログラムは、アクセス対象装置に対するユーザからのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するコンピュータに、
ユーザから認証に用いる特徴データを取得する特徴データ取得手段と、
取得した特徴データと、ユーザ認証データ記憶手段に予め記憶された特徴データからユーザを認証する基準となるユーザ認証データと、を比較してユーザであることの認証確率を算出するユーザ認証手段と、
アクセス基準データ記憶手段に記憶された認証確率に応じて許可されるアクセス権が予め設定されたアクセス基準データに基づいて算出されたユーザの認証確率に対応するアクセス権を判定するアクセス権判定手段と、
を実現することを特徴としている。
【0016】
さらに、本発明の他の形態であるアクセス制御方法は、
コンピュータを用いて、アクセス対象装置に対するユーザからのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するアクセス制御方法であって、
コンピュータが、
ユーザから認証に用いる特徴データを取得し、
この取得した特徴データと、ユーザ認証データ記憶手段に予め記憶された特徴データからユーザを認証する基準となるユーザ認証データと、を比較してユーザであることの認証確率を算出し、
アクセス基準データ記憶手段に記憶された認証確率に応じて許可されるアクセス権が予め設定されたアクセス基準データに基づいて算出されたユーザの認証確率に対応するアクセス権を判定する、
ことを特徴としている。
【0017】
上記構成のプログラム、方法であっても、上述したアクセス制御システムと同様に作用するため、上基本発明の目的を達成することができる。
【発明の効果】
【0018】
本発明は、以上のように構成され機能するので、これによると、ユーザの認証確率に応じたアクセス権を付与しているため、一度の誤認識によって他人に誤って所定のアクセス権を付与してしまうことを抑制することができ、安全性の向上を図ることができると共に、また、本人に対する認証精度が低い場合であっても相当するアクセス権が付与されるため、ユーザ本人の利便性の向上を図ることができる、という従来にない優れた効果を有する。
【発明を実施するための最良の形態】
【0019】
本発明は、アクセス対象装置に対するユーザのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権をユーザに許可するか否かを判定するアクセス制御システムに特徴を有する。なお、上記アクセス対象装置は、例えば、ユーザがログインするワークステーションや、銀行のATMなどが挙げられる。
【0020】
以下、実施例1にて、アクセス権の判定を行うアクセス制御システムである認証サーバの具体的な構成及び作用を説明し、実施例2乃至4では、アクセス対象装置の具体例を挙げて、当該アクセス対象装置に対するアクセス制御について詳述する。
【実施例1】
【0021】
本発明の第1の実施例を、図1乃至図8を参照して説明する。図1乃至図6は、本発明の構成を示す図であり、図7乃至図8は、本発明の動作を示す図である。以下、上述したアクセス制御システムを認証サーバ1とし、アクセス対象装置を操作端末2とし、これらが接続された情報処理システムについて説明する。
【0022】
[構成]
図1に示すように、認証サーバ1にはネットワークNを介して複数の操作端末2が接続されている。そして、それぞれの操作端末2に対してアクセスすることを希望するユーザUに対して、アクセスの許可/不許可を認証サーバ1が判定する。以下、認証サーバ1、操作端末2について詳述する。
【0023】
<操作端末>
操作端末2は、ユーザがアクセスして操作する対象となるシステムであって、他の実施例にて説明するように、例えば、銀行のATMである。なお、本実施例では、当該ATMを含めた一般的な装置であるとして説明する。その構成を図2に示す。
【0024】
この図に示すように、操作端末2は、CPUなどの演算装置2Aを備えており、当該演算装置2Aに所定のプログラムが組み込まれることで、ユーザデータ入力受付処理部21と、処理要求受付処理部22と、実行処理部23と、が構築されている。また、この操作端末2には、図示していないが、ユーザを認識するための特徴となる特徴データを取得するための特徴値取得装置を備えている。また、ユーザによって操作されて所定の情報を入力するための入力装置も備えられている。以下、各構成について詳述する。
【0025】
まず、特徴値取得装置は、例えば、指紋読取装置や顔画像撮影装置(カメラ)、さらには、音声取込装置など、ユーザの身体的特徴が表されたデータ、いわゆるバイオメトリクスデータを取得するものである。そして、この特徴値取得装置にて取得された特徴データは、ユーザデータ入力受付処理部21に受信され、認証サーバ1に転送される。なお、この特徴値取得装置は、キーボードであって、ユーザによるキー入力時のリズム(癖)を取得してもよい。また、上記入力装置は、キーボードなど文字や数字などを入力するためのものである。
【0026】
ユーザデータ入力受付処理部21(特徴データ転送手段)は、入力装置を介してユーザにて入力された当該ユーザを識別するIDとパスワードとを受け付けて、認証サーバ1Aに通知する。また、特徴値取得装置を介してユーザの顔画像情報などを常時取得し、認証サーバ1の入力受付処理部11(後述する)に転送する。
【0027】
また、処理要求受付処理部22(アクセス要求受付手段)は、入力装置からユーザUによる所定のアクセス要求を示すアクセス要求情報の入力を受け付けて、これを認証サーバ1のアクセス権判定処理部14(後述する)に通知する。このとき、アクセス要求は、例えば、ユーザUが希望する操作内容を表す情報である。
【0028】
さらに、実行処理部23は、認証サーバ1のアクセス権判定処理部14から、ユーザに許可されたアクセス権の判定結果を表す情報を受信する。そして、判定結果に基づいてユーザに対して許可されたアクセス権の範囲内で、所定の処理を実行し、ユーザに対してサービスを提供する。
【0029】
<認証サーバ>
次に、認証サーバ1について説明する。図2に示すように、認証サーバ1は、CPUなどの演算装置1Aと、ハードディスク駆動装置などの記憶装置1Bと、を備えた一般的なサーバコンピュータであり、図1に示すようにネットワークNを介して操作端末2に接続されている。なお、ネットワークNは、公衆インターネット網やLANネットワーク網であってもよく、また、操作端末2と直接ケーブルにて接続されていてもよい。さらには、認証サーバ1と操作端末2とが一体的に構成されていてもよい。
【0030】
そして、認証サーバ1の演算装置1Aには、アクセス制御用プログラムが組み込まれることにより、入力受付処理部11と、認証処理部12と、確率算出処理部13と、アクセス権判定処理部14と、が構築されている。また、記憶装置1Bには、ユーザ認証データ記憶部15と、アクセス基準データ記憶部16と、が形成されている。以下、各処理部11〜14、及び、各記憶部15,16について詳述する。
【0031】
まず、ユーザ認証データ記憶部15(ユーザ認証データ記憶手段)には、予め登録されたユーザ固有のIDとパスワードとが記憶されている。また、これらに関連付けられて、予めユーザから取得した当該ユーザの特徴データであって、後に取得したユーザの特徴データから当該ユーザを認証するための基準となるユーザ認証データが記憶されている。つまり、上述したように、操作端末2に対してアクセスを希望するユーザから取得した顔画像データなどの特徴データと比較して、ユーザ本人であるかどうかを判定するための基準となるユーザ認証データが、事前にユーザ本人から取得されて記憶されている。従って、必ずしもユーザの顔画像データなどの生データが記憶されている必要はなく、判定に必要なパラメータのみが記憶されていてもよい。なお、このユーザ認証データとして、ユーザUから認証用に取り込んだ特徴データが蓄積されてもよい。
【0032】
また、アクセス基準データ記憶部16(アクセス基準データ記憶手段)には、ユーザUの認証確率に対応する確信度と、各アクセス権と、の対応関係を表す予めユーザにて設定されたアクセス権表が記憶されている。このアクセス権表の一例を図3に示す。この図に示すアクセス権表は、ユーザを認証したときの確率をレベル表示した確信度(Level(m))を横軸にとり、また、アクセス状況が異なる複数のアクセス権をランク付けして表したリスクランク(Rank(m))を縦軸にとっている。
【0033】
上記「確信度」とは、後述するように、取得したユーザの特徴データに基づいて認証した結果に基づいて算出されるユーザ本人であることの確率を表す値を、所定区間に区分けしてレベル表示した値である。この確信度の算定例を図4(a)に示す。この図において、縦軸には後述するように継続して行われる認証に応じて変化するユーザ本人の認証確率(0≦r≦1.0)を示しており、これを任意に区分け(r1,・・・,rm)したときの各区間を符号S0,S1,・・・,Smにて表している。そして、このSmの値が、図3に示す横軸の確信度(Level(m))の値に対応することとなる。すなわち、認証確率rが算出されると、これに対応する確信度Smが決定され、図3に示すLevel(m)が決定される。そして、かかる確信度を決定する基準となる確信度表が、各ユーザ毎に設定されていて、アクセス基準データ記憶部16に記憶されている。なお、図4においては、認証確率が高いほど確信度が高くなるよう設定されている。
【0034】
また、上記「リスクランク」とは、操作端末2に対してアクセス可能なユーザによる全てのアクセス権を、各アクセス権毎に分割して、その重要度に応じてランク付けして表した値である。その一例を図5(a)に示す。この図では、アクセス対象となる操作端末全体のシステム資源をXとし、そのうち、ユーザUがアクセス可能なシステム資源、すなわち、ユーザUによる全てのアクセス権をVにて表す。そして、このユーザの全てのアクセス権Vのうち、各アクセス権をW1,W2,・・・,Wmとして分割設定する。そして、これらの各アクセス権には順序関係が存在し、これをリスクランク(Rank(m))として表す。このリスクランクの順序は、ユーザにとって重要度の高い順、すなわち、他人に不正アクセスされることにより受ける被害の大きさに対応して設定されており、例えば、最も被害の小さいアクセス権のリスクランクを1、最も被害の大きなものをリスクランクをmとして設定している。そして、ユーザUによるアクセス要求に対して、当該アクセス要求のリスクランクを決定する基準となるリスクランク権表(例えば、実施例2にて説明する図10を参照)が、各ユーザ毎に設定されていて、アクセス基準データ記憶部16に記憶されている。
【0035】
このように確信度とリスクランクが設定された図3に示すアクセス権表では、確信度の各レベルに対応して許可可能なアクセス権が、段階的に設定されている。このとき、図3の例では、確信度のレベルが高くなるにつれて許可されるアクセス権のリスクランクも高くなり、かつ、それ以下のリスクランクのアクセス権も全て許可されるよう設定されている。つまり、ユーザの認証確率が高くなればなるほど、より重要な内容のアクセスが許可されることとなる。ここで、図3に示すアクセス権表では、横軸に確信度のレベルを表示しているが、認証確率の値をそのまま横軸にとってもよい。これに伴い、認証確率の値に応じて許可可能なアクセス権自体を縦軸に表示してもよい。
【0036】
そして、このようにアクセス権表が設定されていることにより、後述するように、ユーザの認証確率が変動することで、これに伴い当該ユーザに許可されるアクセス権も変動することとなる。その一例を図6(a)に示す。この図は、時間(t)毎の確信度(s)に応じて変化するアクセス権(φ)(リスクランク)の変化の様子を示す図である。この図の網掛け部分が所定のアクセス権が許可されている状態を示しており、時間に応じてアクセス権の内容(W1等)、つまり、リスクランクが変化している。
【0037】
この図に示されているように、確信度に応じて段階的にアクセス権も変化しているため、他人によってアクセスされた際に、誤認識によって突然認証確率が高くならず、相当のアクセス権が付与されることが抑制され、安全性の確保を図ることができる。また、本人であるにも関わらず誤認識が生じたとしても、突然アクセス権が切れるわけでなく、利便性も確保されうる。
【0038】
ここで、上述した「確信度」は、認証確率(r)に応じてユーザが任意に設定することが可能である。例えば、図4(b)に示すように、認証確率(r)の値に対して等間隔に確信度のレベルを割り当ててもよく、図4(c)に示すように、不均等に割り当ててもよい。なお、図4(c)に示すように、確信度の上位レベルにおける認証確率の値の幅を狭くすることで、誤認識における不正アクセスが生じる可能性を低くすることができる。例えば、図4(c)のように確信度を設定したときのアクセス権の変化の様子を図6(c)、(d)に示す。
【0039】
また、アクセス権の「リスクランク」もユーザが任意に設定することができ、当該アクセス権の集合も任意に区分けすることができる。例えば、図5(b)に示すように、各リスクランクのアクセス権の集合を均等に分割してもよく、図5(c)に示すように、より上位のアクセスランクに多くのアクセス権を含め、下位のアクセスランクの部分集合を小さくすることで、不正アクセスされた場合の被害を小さくすることができる。そのときのアクセス権の変化の様子を図6(b)、(d)に示す。
【0040】
次に、上述した各処理部11〜14について説明する。まず、入力受付処理部11(特徴データ取得手段)は、操作端末2のユーザデータ入力受付処理部21にて転送されたユーザUのID及びパスワードを受け付けて、ユーザ認証データ記憶部15に記憶されている予め登録されているID及びパスワードと照合をして、認証対象となるユーザUを特定する。また、常時転送されてくるユーザUの特徴データを受け付けて、認証処理部12に渡す。このとき、受け付けた特徴データを、ユーザ認証データ記憶部15にユーザ認証データとして蓄積してもよい。
【0041】
認証処理部12(認証手段、ユーザ認証手段)は、ユーザ認証データ記憶部15に記憶されている認証対象となっているユーザUの認証の際の基準となるユーザ認証データと、受け付けた特徴データと、を比較して、同一人物であるか否かの認証を行う。このときの認証アルゴリズムは既存の手法を用いて行われる。そして、その判断結果を確率算出処理部13に通知する。
【0042】
確率算出処理部13(確率算出手段、ユーザ認証手段)は、認証処理による判断結果に基づいて認証確率の算出を行う。その算出は、認証確率Rt=Rt−1+α(t)にて表される。すなわち、直前の認証確率Rt−1に、今回の認証判断結果に応じた値α(t)が加減され、新たな認証確率Rtが算出される。具体的には、認証処理部12にてユーザ本人であると判断された場合には、これまでの認証確率Rt−1にα(t)が加算され、認証確率が増加する。一方、認証処理部12にてユーザ本人でないと判断された場合には、これまでの認証確率Rt−1にα(t)が減算され、認証確率が減少する。
【0043】
アクセス権判定処理部14(アクセス権判定手段)は、まず、操作端末2の処理要求受付処理部22からアクセス要求を受け付けると、リスクランク表をアクセス基準データ記憶部16から読み出して、受け付けたアクセス要求にかかるアクセス権のリスクランクを決定する。また、認証対象となっているユーザUの確信度表をアクセス基準データ記憶部16から読み出して、算出した認証確率の値に対応した確信度の決定を行うと共に、アクセス基準データ記憶部16からアクセス権表を読み出して参照し、上記確信度に対応するアクセス権を判定する。すなわち、上記アクセス要求されたアクセス権のリスクランクが、算出された確信度について許可されているか否かを判定する。そして、その判定結果を操作端末2の実行処理部23に通知する。
【0044】
[動作]
次に、本発明の動作を、図7乃至図8のフローチャートを参照して説明する。かかる図においては、主に、認証サーバ1の動作を説明する。
【0045】
まず、ユーザUは操作端末2に対して、自身のID(識別情報)とパスワードを入力すると、当該操作端末2から認証サーバ1に通知される。そして、認証サーバ1の入力受付処理部11は、ID及びパスワードを受け付けて(ステップS1)、ユーザ認証データ記憶部15に記憶されている予め登録されているID及びパスワードと照合する(ステップS2,S3)。このとき、ID及びパスワードが一致しない場合には(ステップS3にて否定判断)、操作端末2に対する何らアクセス権を有さず、ログイン不可が認証サーバ1から操作端末2に通知される(ステップS4)。そして、操作端末2からもユーザに対してログイン不可通知が出力され、処理が終了する。
【0046】
一方、ID及びパスワードが一致した場合には(ステップS3にて肯定判断)、認証サーバ1は操作端末2からユーザUにて入力されるアクセス要求の受け付けを待つと共に(ステップS5)、操作端末2に対してユーザUの特徴データを取得するよう指示する(ステップS6)。つまり、これらの処理が並列に実行される。まず、ステップ6の方に進むと、操作端末2では特徴値取得装置にて顔画像などの特徴データの取得を開始し、取得した特徴データを認証サーバ1に転送する。そして、認証サーバ1では、転送された特徴データを取り込み(ステップS6)、ユーザ認証データ記憶部15から上記ID及びパスワードにて特定されるユーザUのユーザ認証データを読み出して比較する(ステップS7)。そして、取り込んだ特徴データを有するユーザUが、ユーザ認証データが登録されているユーザと同一人物であるか否かの認証を行う(ステップS8)。例えば、特徴値が一致する、あるいは、所定の閾値内に収まる、などの条件を満たすことにより、本人であると判断する。
【0047】
そして、上記認証の判断結果が、本人であるとの判断である場合には(ステップS8にて肯定判断)、本人確率が上昇するようα(t)を正の値(例えば、5%)にセットする(ステップS9)。一方、本人でないとの判断である場合には(ステップS8にて否定判断)、本人確率が下降するようα(t)を負の値(例えば、−5%)にセットする(ステップS10)。そして、上記設定されたα(t)と、直前に算出された認証確率Rt−1の値とに基づいて、現在の認証確率Rt(Rt=Rt−1+α(t))を算出する(ステップS11)。このとき、初回の算出時には、Rt−1の初期値が「0」であるので、本人である場合であっても、認証確率Rt=5(%)などと算出される。そして、連続して操作端末2にて取り込まれて転送されてくる特徴データに基づいて認証処理を繰り返し実行されている(ステップS6〜ステップS11)。従って、認証確率Rtは、常時変化しており、例えば、本人が認証されていれば、ステップS8にてユーザU本人であるとの判断が繰り返しなされ、認証確率の値は徐々に高くなる。
【0048】
一方、上述したように認証処理が繰り返し行われている間に、操作端末2に対してユーザUからアクセス要求が入力されると、認証サーバ1のアクセス権判定処理部14にて受信される(ステップS5にて肯定判断後、図8の符号Aに進む)。このとき、アクセス要求と共に、ユーザUのIDなども受信される。すると、アクセス権判定処理部14では、アクセス基準データ記憶部16からアクセス要求してきたユーザUのリスクランク表、確信度表、アクセス権表などのアクセス基準データが読み出される(ステップS21)。そして、受け付けたアクセス要求の内容であるアクセス権が、いかなるリスクランクであるか、ということをリスクランク表を参照して決定する(ステップS22)。
【0049】
続いて、常時算出され更新されているユーザUの現在の認証確率Rtを抽出する(ステップS23、図7の符号B参照)。そして、抽出した認証確率の値に対応した確信度を、確信度表を参照して決定する(ステップS24)。その後、アクセス権表を参照して、決定した確信度に対応するアクセス権を判定し、上記アクセス要求にかかるアクセス権のリスクランクとの比較を行う(ステップS25)。
【0050】
そして、アクセス要求にかかるアクセス権があると判断されると(ステップS26)、処理を実行するよう操作端末2の実行処理部23に通知され(ステップS27)、操作端末2では、アクセス要求にかかるアクセス権がユーザUに許可され、当該ユーザUによる処理が実行される。そして、認証サーバ1では、引き続き(ステップS29にて否定判断、ステップS30にて否定判断)、ユーザUの認証確率の算出(ステップS6〜S11)と、当該算出され変動する認証確率(符号B参照)を用いてアクセス権を有するか否かの判定が実行される(ステップS23〜S30)。その間、操作端末2を操作するユーザUが何者かに入れ替わるなど、不正が生じると、認証確率が下降するため、確信度のレベルが下がり、これに伴い許可されるアクセス権のリスクランクも低下する。従って、ユーザUが要求しているアクセス権を得ることができないと判断されることとなる(ステップS26にて否定判断)。すると、現在のユーザにて操作端末2に対する処理が中止されるようアクセス権なしの旨が操作端末2に通知される(ステップS28)。これを受けて、操作端末2では、ユーザからのアクセスが拒否される。
【0051】
なお、上記処理中に、ユーザUから別の処理要求がなされると(ステップS30にて肯定判断後、図7の符号Cに進む)、新たに受け付けたアクセス要求に対するアクセス権の有無が、上述した手順により判定される(ステップS5にて肯定判断後、図8の符号Aに進む)。
【0052】
このようにすることにより、常にユーザの認証確率が算出され、変化するため、段階的にアクセス権が変化しうる。従って、仮に他人がアクセスして誤認識した場合であっても、突然認証確率が高くならず、リスクレベルの高いアクセス権が付与されることが抑制され、安全性の確保を図ることができる。一方、本人であるにも関わらず誤認識が生じたとしても、突然アクセス権が切れるわけでないため、利便性も維持される。
【実施例2】
【0053】
次に、本発明の第2の実施例を、図9乃至図10を参照して説明する。図9は、本実施例におけるシステム構成を示す図であり、図10は、リスクランク表の一例を示す図である。
【0054】
本実施例は、上記実施例1にて説明した情報処理システムの具体例であって、ユーザUがアクセスを希望するアクセス対象装置がワークステーションなどの所定のコンピュータである。特に、本実施例では、ユーザUがTELNETクライアントである操作端末200を用いてTELNETサーバ201にアクセスするTELNETシステムに利用した場合を示す。このため、上記実施例1にて説明した操作端末2には、ユーザが操作する操作端末200自身とTELNETサーバ201とが対応することとなる。
【0055】
図9に示すように、本実施例における上記認証サーバ1は、操作端末200とTELNETサーバ201の間にネットワークNを介して配置されている。そして、ユーザUが操作端末200を介してTELNETサーバ201に対するアクセス要求した場合に、ユーザUの特徴データを取得して認証確率を算出し、これに応じてアクセス権を許可し、操作端末200とTELNETサーバ201との間に、許可されたアクセス権に応じたTELNET接続を開く、というものである。このように、基本的な動作は、上述したとおりである。
【0056】
ここで、本実施例においてユーザUを認証するための特徴データは、上述したように操作端末200から取得する操作者であるユーザUの顔画像などでもよいが、例えば、ユーザUのキー入力動作であるキー入力リズムを用いてもよい。この場合には、操作端末200ではキー入力リズムを常に取得して特徴データとして認証サーバ1に送信する。そして、これに伴い、認証サーバ1には予めユーザUのキー入力リズムがユーザ認証データとして、ユーザ認証データ記憶部15に登録されている。これに基づいて、ユーザ認証を行い、認証確率を算出する。
【0057】
そして、本実施例におけるリスクランク表は、例えば、図10に示すように構成されている。TELNETサーバ201に対するアクセス権とは、TELNETサーバ201に対して許可されるユーザUによる操作内容であり、例えば、サーバ201を操作するための「コマンド(操作命令)」と、アクセスする「システムリソース(フォルダやファイルなど)」と、により構成されている。そして、本実施例におけるユーザUにおいては、コマンド(命令)のリスクランクは図10(a)の表のように、システムのリスクランクは図10(b)の表ように、それぞれ予めユーザUにて設定され、リスクランク表としてアクセス基準データ記憶部16に登録されている。また、これらを合成したコマンドとシステムリソースとからなるアクセス権に対するリスクランク表が、図10(c)のように設定されており、かかる表もアクセス基準データ記憶部16に記憶されている。従って、認証サーバ1は、ユーザUからアクセス要求があると、要求にかかるコマンドとシステムリソースとを特定して、それぞれのリスクランク表から各リスクランクを特定し、これらリスクランクから合成リスクランク表を用いて最終的なリスクランクを特定する。例えば、コマンド「rm」、システムリソース「〜/file.c」が要求された場合には、コマンドのリスクランクが「IV」、システムリソースのリスクランクが「II」となるため、合成リスクランクは「III」となる。同様に、コマンド「more」、システムリソース「/etc/passwd」が要求された場合には、コマンドのリスクランクが「II」、システムリソースのリスクランクが「IV」となるため、合成リスクランクは「IV」となる。
【0058】
また、図示しないが、リスクランクと認証確率(確信度)との関係を表したアクセス権表も別途アクセス基準データ記憶部16に記憶されている。このようにすることで、算出された現在のユーザUの認証確率(確信度)に応じて、上記リスクランクに相当するアクセス権が許可されるか否かが判断される。そして、許可されたアクセス権に基づいて、TELNETサーバ201に対する操作が、ユーザUにて実行されることとなる。
【実施例3】
【0059】
次に、本発明の第3の実施例を、図11乃至図12を参照して説明する。図11は、本実施例におけるリスクランク表の例を示す図であり、図12は、アクセス権表の例を示す図である。
【0060】
本実施例は、上記実施例1にて説明した情報処理システムの具体例であって、操作端末2が銀行に設置されたATMであり、これに認証サーバ1が接続されている。そして、ATMに対してユーザUがアクセス要求を行った際に、かかるアクセスを許可するか否かを認証サーバ1が判定し、許可されたアクセス権に応じてATMに対してユーザUが操作できる、というものである。このように、基本的な動作は、上述したとおりである。なお、ユーザUを認証するための特徴データは、ATMに設置されたカメラから取得したユーザUの顔画像を用いるとよい。
【0061】
そして、アクセス対象装置がATMであることから、本実施例におけるリスクランク表は、例えば、図11に示すように構成されている。つまり、本実施例におけるアクセス権とは、ATMに対して許可されるユーザUによる操作内容であり、例えば、「口座に対する操作内容」と、「上限金額」と、により構成されている。そして、これらの組み合わせによるアクセス要求のリスクランクは、図11の表のように、ユーザUにて予め設定されていて、リスクランク表としてアクセス基準データ記憶部16に登録されている。具体的には、口座に対する操作内容は、「振込み」<「残高照会」<「引き出し」の順で危険であると考えられるため、かかる順序と、それぞれの操作に対する上限金額に応じてリスクランクが設定されている。従って、例えば、「10000円あるいは100000円を引き出す」というアクセス要求は、リスクランクが最高(Rank4)に設定されている。
【0062】
また、本実施例におけるアクセス権表の例を、図12(a),(b)にそれぞれ示す。なお、この図においては、確信度を認証確率のまま変換せずに横軸に用いている。図12(a)の例では、ユーザUが安全性を重視してアクセス権表を設定した場合の例である。かかる場合には、例えば、Rank3といった1000円の引き出し操作であっても、認証確率が0.8以上に上がってからでないと許可されないこととなる。一方、図12(b)の例では、ユーザUが利便性を重視してアクセス権表を設定した場合の例であり、かかる場合には、認証確率が0.3以上になれば1000円の引き出し操作が許可されうる。例えば、毎日小額の金額を引き出す場合には、かかる設定を行っておくと、認証で引っかかることが抑制される。
【実施例4】
【0063】
次に、本発明の第4の実施例を、図13乃至図14を参照して説明する。図13は、本実施例におけるシステム構成を示す図であり、図14は、リスクランク表の一例を示す図である。
【0064】
本実施例は、上記実施例1にて説明した情報処理システムの具体例であって、ユーザUがアクセスを希望するアクセス対象装置が、ユーザUにネットワークを介して遠隔にて会議を行うための遠隔会議管理サーバ100及びこのサーバ100に接続されたユーザが実際に操作するユーザ端末400である。なお、本実施例においては、遠隔会議管理サーバ100自体に、認証サーバ1が有する機能が組み込まれていることとする。
【0065】
ユーザ端末400には、会議資料として提供された共有資料などを蓄積する共有資料記憶装置401、会議の内容となる音声情報が出力されるスピーカ402、会議に参加するユーザU自身の顔画像などを取り込むカメラ403、ユーザUからの発言など音声を取り込むマイク404、さらには、図示しないがキーボードやマウスなどが装備されている。そして、ディスプレイには、提供される資料411や、会議に参加する者や会議の議長の顔画像など動画情報412,413などが表示される。
【0066】
そして、ユーザ端末400からは、ユーザUが遠隔会議にログインする際にIDとパスワードが入力され、遠隔会議管理サーバ100に実装された認証サーバ1の機能に送信される。また、ユーザUを認証するための特徴データである顔画像データも常時送信される。さらには、会議への参加に伴う発言や資料、書き込み内容などが、種々の入力手段から入力されて遠隔会議管理サーバ100に送信される。
【0067】
また、遠隔会議管理サーバ100は、実装されている認証サーバ1の機能により、ユーザU認証を行って認証確率を算出すると共に、ユーザUの会議参加によるアクセス要求を認識し、認証確率に応じて所定のアクセス権を有するか否かを判定する。そして、その判定結果に応じて、ユーザによる所定の操作(アクセス権)を許可する。このように、基本的な動作は、上述したとおりである。
【0068】
そして、本実施例におけるリスクランク表は、例えば、図14に示すように構成されている。このとき、遠隔会議管理サーバ100に対するアクセス権とは、会議参加に伴って当該サーバ100に対して許可されるユーザUによる操作内容である。例えば、会議への参加に伴う発言や資料提示、共有資料上への書き込みなどの入力操作があり、それぞれの入力操作に応じたリスクランクが図14の上段に示すようにユーザUにて設定されている。また、会議にて情報の提供を受ける動画像や音声さらには共有資料の出力操作があり、それぞれの出力操作に応じたリスクランクが図14の下段に示すようにユーザUにて設定されている。そして、このようなリスクランク表が、アクセス基準データ記憶部16に登録されている。かかるリスクランク表と、算出された現在のユーザUの認証確率(確信度)に応じて、上記リスクランクに相当するアクセス権が許可される。
【0069】
これにより、他人があるユーザUになりすまして遠隔会議に参加し、誤って認証された場合であっても、認証確率が高くなることはないため、重要な資料が提示されるなど、リスクランクが高い操作が抑制さえるため、重要なデータの流出などを有効に抑制することができる。
【0070】
なお、上記では、遠隔会議に利用する場合を説明したが、遠隔システムを用いた大学などにおける授業やゼミに利用してもよい。
【産業上の利用可能性】
【0071】
本発明であるアクセス制御システムは、ユーザ認証を必要とするシステムに利用することができ、産業上の利用可能性を有する。
【図面の簡単な説明】
【0072】
【図1】実施例1における全体構成を示すブロック図である。
【図2】実施例1における詳細な構成を示す機能ブロック図である。
【図3】アクセス権表の一例を示す説明図である。
【図4】図4は、確信度の説明図であり、図4(a)は、認証確率と確信度との対応関係を示す図である。図4(b)、(c)は、確信度の設定例を示す図である。
【図5】図5は、アクセス権の説明図であり、図5(a)は、アクセス権のリスクランクの設定例を示す図である。図5(b)、(c)は、アクセス権のリスクランクの他の設定例を示す図である。
【図6】図6(a)〜(d)は、それぞれ許可されるアクセス権の変化を示す図である。
【図7】実施例1における動作を示すフローチャートである。
【図8】実施例1における動作を示すフローチャートである。
【図9】実施例2における構成を示すブロック図である。
【図10】図10は、実施例2において用いられるデータの説明図であり、図10(a)はコマンドのリスクランク表を、図10(b)はシステムリソースのリスクランク表を、図10(c)は合成したリスクランク表を示す。
【図11】実施例3において用いられるリスクランク表の説明図である。
【図12】図12(a),(b)は、それぞれ実施例3において用いられるアクセス権表の説明図である。
【図13】実施例4における構成を示すブロック図である。
【図14】実施例4において用いられるリスクランク表の説明図である。
【図15】図15(a),(b)は、それぞれ従来例における認証確率とアクセス権の変化の様子を示す図である。
【符号の説明】
【0073】
1 認証サーバ(アクセス制御システム)
2 操作端末(アクセス対象装置)
11 入力受付処理部(特徴データ取得手段)
12 認証処理部(認証手段、ユーザ認証手段)
13 確率算出処理部(確率算出手段、ユーザ認証手段)
14 アクセス権算出処理部(アクセス権判定手段)
15 ユーザ認証データ記憶部(ユーザ認証データ記憶手段)
16 アクセス基準データ記憶部(アクセス基準データ記憶手段)
21 ユーザデータ受付処理部(特徴データ転送手段)
22 処理要求受付処理部(アクセス要求受付手段)
23 実行処理部
N ネットワーク
U ユーザ
【特許請求の範囲】
【請求項1】
アクセス対象装置に対するユーザのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権を前記ユーザに許可するか否かを判定するアクセス制御システムであって、
前記ユーザから認証に用いる特徴データを取得する特徴データ取得手段と、
前記特徴データから前記ユーザを認証する基準となるユーザ認証データが予め記憶されたユーザ認証データ記憶手段と、
この記憶された前記ユーザ認証データと前記取得した特徴データとを比較してユーザであることの認証確率を算出するユーザ認証手段と、
前記認証確率に応じて許可される前記アクセス権が予め設定されたアクセス基準データを記憶するアクセス基準データ記憶手段と、
この記憶された前記アクセス基準データに基づいて前記算出されたユーザの認証確率に対応する前記アクセス権を判定するアクセス権判定手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項2】
前記アクセス基準データは、前記ユーザに許可される前記アクセス権が前記認証確率に応じて段階的に設定されたデータである、ことを特徴とする請求項1記載のアクセス制御システム。
【請求項3】
前記アクセス基準データは、前記認証確率が高いほど多くの前記アクセス権が許可されるよう設定されたデータである、ことを特徴とする請求項2記載のアクセス制御システム。
【請求項4】
前記アクセス基準データは、前記認証確率が高いほど前記ユーザにとって重要度の高いアクセス権が許可されるよう設定されたデータである、ことを特徴とする請求項2又は3記載のアクセス制御システム。
【請求項5】
前記アクセス権は、前記アクセス対象装置に対して許可される前記ユーザによる操作内容である、ことを特徴とする請求項1,2,3又は4記載のアクセス制御システム。
【請求項6】
前記ユーザ認証手段は、前記ユーザ認証データ記憶手段に記憶された前記ユーザ認証データと前記特徴データ取得手段にて取得した特徴データとを比較してユーザの認証を行う認証手段と、この認証結果に基づいてユーザであることの認証確率を算出する確率算出手段と、を備えたことを特徴とする請求項1,2,3,4又は5記載のアクセス制御システム。
【請求項7】
前記確率算出手段は、前記算出した認証確率を記憶すると共に、この記憶された認証確率と前記認証手段による認証結果とに基づいて新たな認証確率を算出する、
ことを特徴とする請求項6記載のアクセス制御システム。
【請求項8】
前記確率算出手段は、前記認証手段による認証結果に応じて前記記憶された認証確率を加減することによって前記新たな認証確率を算出する、ことを特徴とする請求項7記載のアクセス制御システム。
【請求項9】
前記認証手段は、ユーザであるか否かを判断すると共に、
前記確率算出手段は、前記認証手段による認証結果が、ユーザであるとの判断である場合に前記記憶された認証確率に所定の値を加算し、ユーザでないとの判断である場合に前記された認証確率から所定の値を減算する、ことによって前記新たな認証確率を算出する、
ことを特徴とする請求項8記載のアクセス制御システム。
【請求項10】
前記請求項1乃至9のいずれかに記載のアクセス制御システムと、当該アクセス制御システムに接続された前記アクセス対象装置と、を備えた情報処理システムであって、
前記アクセス対象装置が、前記ユーザから前記特徴データを取得して前記アクセス制御装置に転送する特徴データ転送手段と、前記ユーザからアクセス要求情報を受け付けて前記アクセス制御システムに転送するアクセス要求受付手段と、を備え、
前記アクセス制御システムが有する前記アクセス権判定手段は、前記アクセス対象装置から送信された前記ユーザからのアクセス要求情報に対応した前記アクセス権を許可可能か否かを判定して判定結果を前記アクセス対象装置に返送する、
ことを特徴とする情報処理システム。
【請求項11】
アクセス対象装置に対するユーザからのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権を前記ユーザに許可するか否かを判定するコンピュータに、
前記ユーザから認証に用いる特徴データを取得する特徴データ取得手段と、
前記取得した特徴データと、ユーザ認証データ記憶手段に予め記憶された前記特徴データから前記ユーザを認証する基準となるユーザ認証データと、を比較してユーザであることの認証確率を算出するユーザ認証手段と、
アクセス基準データ記憶手段に記憶された前記認証確率に応じて許可される前記アクセス権が予め設定されたアクセス基準データに基づいて前記算出されたユーザの認証確率に対応する前記アクセス権を判定するアクセス権判定手段と、
を実現するためのアクセス制御用プログラム。
【請求項12】
コンピュータを用いて、アクセス対象装置に対するユーザからのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権を前記ユーザに許可するか否かを判定するアクセス制御方法であって、
前記コンピュータが、
前記ユーザから認証に用いる特徴データを取得し、
この取得した特徴データと、ユーザ認証データ記憶手段に予め記憶された前記特徴データから前記ユーザを認証する基準となるユーザ認証データと、を比較してユーザであることの認証確率を算出し、
アクセス基準データ記憶手段に記憶された前記認証確率に応じて許可される前記アクセス権が予め設定されたアクセス基準データに基づいて前記算出されたユーザの認証確率に対応する前記アクセス権を判定する、
ことを特徴とするアクセス制御方法。
【請求項1】
アクセス対象装置に対するユーザのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権を前記ユーザに許可するか否かを判定するアクセス制御システムであって、
前記ユーザから認証に用いる特徴データを取得する特徴データ取得手段と、
前記特徴データから前記ユーザを認証する基準となるユーザ認証データが予め記憶されたユーザ認証データ記憶手段と、
この記憶された前記ユーザ認証データと前記取得した特徴データとを比較してユーザであることの認証確率を算出するユーザ認証手段と、
前記認証確率に応じて許可される前記アクセス権が予め設定されたアクセス基準データを記憶するアクセス基準データ記憶手段と、
この記憶された前記アクセス基準データに基づいて前記算出されたユーザの認証確率に対応する前記アクセス権を判定するアクセス権判定手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項2】
前記アクセス基準データは、前記ユーザに許可される前記アクセス権が前記認証確率に応じて段階的に設定されたデータである、ことを特徴とする請求項1記載のアクセス制御システム。
【請求項3】
前記アクセス基準データは、前記認証確率が高いほど多くの前記アクセス権が許可されるよう設定されたデータである、ことを特徴とする請求項2記載のアクセス制御システム。
【請求項4】
前記アクセス基準データは、前記認証確率が高いほど前記ユーザにとって重要度の高いアクセス権が許可されるよう設定されたデータである、ことを特徴とする請求項2又は3記載のアクセス制御システム。
【請求項5】
前記アクセス権は、前記アクセス対象装置に対して許可される前記ユーザによる操作内容である、ことを特徴とする請求項1,2,3又は4記載のアクセス制御システム。
【請求項6】
前記ユーザ認証手段は、前記ユーザ認証データ記憶手段に記憶された前記ユーザ認証データと前記特徴データ取得手段にて取得した特徴データとを比較してユーザの認証を行う認証手段と、この認証結果に基づいてユーザであることの認証確率を算出する確率算出手段と、を備えたことを特徴とする請求項1,2,3,4又は5記載のアクセス制御システム。
【請求項7】
前記確率算出手段は、前記算出した認証確率を記憶すると共に、この記憶された認証確率と前記認証手段による認証結果とに基づいて新たな認証確率を算出する、
ことを特徴とする請求項6記載のアクセス制御システム。
【請求項8】
前記確率算出手段は、前記認証手段による認証結果に応じて前記記憶された認証確率を加減することによって前記新たな認証確率を算出する、ことを特徴とする請求項7記載のアクセス制御システム。
【請求項9】
前記認証手段は、ユーザであるか否かを判断すると共に、
前記確率算出手段は、前記認証手段による認証結果が、ユーザであるとの判断である場合に前記記憶された認証確率に所定の値を加算し、ユーザでないとの判断である場合に前記された認証確率から所定の値を減算する、ことによって前記新たな認証確率を算出する、
ことを特徴とする請求項8記載のアクセス制御システム。
【請求項10】
前記請求項1乃至9のいずれかに記載のアクセス制御システムと、当該アクセス制御システムに接続された前記アクセス対象装置と、を備えた情報処理システムであって、
前記アクセス対象装置が、前記ユーザから前記特徴データを取得して前記アクセス制御装置に転送する特徴データ転送手段と、前記ユーザからアクセス要求情報を受け付けて前記アクセス制御システムに転送するアクセス要求受付手段と、を備え、
前記アクセス制御システムが有する前記アクセス権判定手段は、前記アクセス対象装置から送信された前記ユーザからのアクセス要求情報に対応した前記アクセス権を許可可能か否かを判定して判定結果を前記アクセス対象装置に返送する、
ことを特徴とする情報処理システム。
【請求項11】
アクセス対象装置に対するユーザからのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権を前記ユーザに許可するか否かを判定するコンピュータに、
前記ユーザから認証に用いる特徴データを取得する特徴データ取得手段と、
前記取得した特徴データと、ユーザ認証データ記憶手段に予め記憶された前記特徴データから前記ユーザを認証する基準となるユーザ認証データと、を比較してユーザであることの認証確率を算出するユーザ認証手段と、
アクセス基準データ記憶手段に記憶された前記認証確率に応じて許可される前記アクセス権が予め設定されたアクセス基準データに基づいて前記算出されたユーザの認証確率に対応する前記アクセス権を判定するアクセス権判定手段と、
を実現するためのアクセス制御用プログラム。
【請求項12】
コンピュータを用いて、アクセス対象装置に対するユーザからのアクセス状態が異なる複数のアクセス権のうち、所定のアクセス権を前記ユーザに許可するか否かを判定するアクセス制御方法であって、
前記コンピュータが、
前記ユーザから認証に用いる特徴データを取得し、
この取得した特徴データと、ユーザ認証データ記憶手段に予め記憶された前記特徴データから前記ユーザを認証する基準となるユーザ認証データと、を比較してユーザであることの認証確率を算出し、
アクセス基準データ記憶手段に記憶された前記認証確率に応じて許可される前記アクセス権が予め設定されたアクセス基準データに基づいて前記算出されたユーザの認証確率に対応する前記アクセス権を判定する、
ことを特徴とするアクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2006−260461(P2006−260461A)
【公開日】平成18年9月28日(2006.9.28)
【国際特許分類】
【出願番号】特願2005−80339(P2005−80339)
【出願日】平成17年3月18日(2005.3.18)
【出願人】(801000027)学校法人明治大学 (161)
【Fターム(参考)】
【公開日】平成18年9月28日(2006.9.28)
【国際特許分類】
【出願日】平成17年3月18日(2005.3.18)
【出願人】(801000027)学校法人明治大学 (161)
【Fターム(参考)】
[ Back to top ]