+

WO1997031317A1 - Procede de gestion des acces a un systeme informatique - Google Patents

Procede de gestion des acces a un systeme informatique Download PDF

Info

Publication number
WO1997031317A1
WO1997031317A1 PCT/JP1996/000424 JP9600424W WO9731317A1 WO 1997031317 A1 WO1997031317 A1 WO 1997031317A1 JP 9600424 W JP9600424 W JP 9600424W WO 9731317 A1 WO9731317 A1 WO 9731317A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
user
information system
access management
management method
Prior art date
Application number
PCT/JP1996/000424
Other languages
English (en)
French (fr)
Inventor
Motohisa Funabashi
Hiroaki Sengoku
Akira Maeda
Kenichi Yoshida
Original Assignee
Hitachi, Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi, Ltd. filed Critical Hitachi, Ltd.
Priority to PCT/JP1996/000424 priority Critical patent/WO1997031317A1/ja
Publication of WO1997031317A1 publication Critical patent/WO1997031317A1/ja

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour

Definitions

  • the present invention relates to an information system that can be used (accessed) by a plurality of users.
  • the present invention relates to a response to an access request from a user, and in particular to an access management method for preventing an unauthorized information system from being used by a user who does not have an access right.
  • a password is given to a user in advance.
  • the user enters a password given at the time of starting access to the information system, and permits use of the information system only when the entered password is recognized as valid. Things. Whether the password is valid is the same as the previously given passcode and the entered passcode, and is the user given the passcode authorized as a user of the information system? It is determined by whether or not.
  • An object of the present invention is to accurately detect and prevent unauthorized access to an information system. It is another object of the present invention to provide an information system access management method adapted to a distributed information system. Furthermore, it is not just to detect unauthorized access, but also malicious It also aims to provide an access control method for information systems that is resistant to attacks on the authentication function of power. Disclosure of the invention
  • the authentication of access to the information system does not depend only on the password. Also, unauthorized access is prevented by performing the authentication work not only once but also during the access (during the session). In addition, we restructured the overall logic so that it could use not only statistical processing and rule-based techniques that were conventionally used to detect fraud, but also better logic.
  • the physiological characteristics of the user and how to operate the information system from the terminal are used as the basic information for authentication, and a predetermined process is performed for the judgment process on the basic information based on the knowledge about the immune action in the biological system.
  • the decision processing function is configured to operate in a distributed and cooperative manner by one or more information processing mechanisms existing in the information system.
  • the manner of operation and physiological characteristics of the user with respect to the information system are information indicating characteristics unique to the user.
  • the operation method may be an operation pattern from the terminal.
  • the operation patterns include the time-series pattern of the keystroke of the terminal key, the time-series pattern of the operation of the mouse and pen, the character conversion pattern such as kana-kanji conversion, file generation driven from the terminal, and file reference / change.
  • There are program operation patterns such as patterns.
  • Physiological features include facial images, audio, and fingerprints.
  • the above-mentioned object can be achieved by continuously determining the validity of the user during the session by using such information as a source.
  • the validity refers to, for example, a match between a registered name of a user registered in advance and a user who has actually accessed. This ongoing determination of justification must be made in a very uncertain environment. Therefore, in the present invention, the management action of the information system is performed in parallel with the judgment, such as actively collecting the characteristics of the user as necessary.
  • a more specific configuration for operating one or more information processing mechanisms existing in the information system in a distributed and cooperative manner is as follows. Information monitored by the decentralized management functions is exchanged with each other, and the grant of access rights is determined in a distributed manner based on the exchanged information.
  • FIG. 1 is a diagram showing a basic configuration of an information system for realizing the present invention.
  • FIG. 2 is a diagram showing a configuration of a distributed computer system to which the present invention has been applied.
  • FIG. 3 is a diagram showing an operation flow of the present invention.
  • FIG. 1 shows a basic configuration of an information system for realizing the present invention.
  • 11 is a user terminal used by the user to access the information system. Although only one 11 is shown here, there is one or more 11.
  • Reference numeral 12 denotes an information processing mechanism in which a user accesses using the user terminal 11 and utilizes the resources.
  • 1 2 has at least one as well as 1 1.
  • 1 3 is a communication network connecting 1 1 and 1 2.
  • Reference numeral 14 denotes a system administrator terminal 14 for an administrator who manages the information system. The system administrator terminal 14 may be configured to be installed as needed.
  • the information processing mechanism 12 allocates system resources according to the request from the user, determines the validity of the user with the process monitor means 12 1 that satisfies the information processing request from the user, and should respond according to the situation. It has a repetitive authentication means 1 2 2 that issues an action.
  • the repetitive authentication means 122 has a user authentication means 123 for judging (authenticating) the validity of the user.
  • the user authentication means 123 determines the validity using the user determination function stored in the storage means 124.
  • the repetitive authentication means 122 also has an action determination means 125 for determining an appropriate action based on the judgment made by the user authentication means 123 and issuing the action.
  • the action determination means 125 determines an action using the action determination rules stored in the storage means 126.
  • the user discriminant function is a function that receives information representing the characteristics of a user as an input and outputs the validity of the user as a numerical value.
  • the information representing the characteristics of the user is a manner of operation or a logical characteristic of the user with respect to the information system. These include those described above.
  • the operation method may be input as time-series information.
  • the action decision rule is a description of an action command to be taken by the system administrator by the repetitive authentication means 122 based on the output of the user discriminant function.
  • the operation of the configuration shown in FIG. 1 is as follows. First, the user inputs his / her password from the user terminal 11 to the information processing mechanism 12 and obtains permission to use the information system. After obtaining the permission, the user requests the information processing mechanism 12 through the user terminal 11 for desired processing. Up to this point, it is the same as the system management process in a conventional information system. However, in parallel with this processing, the user authentication means 1 2 3 sends the user's operation history on the user terminal 11 and the program It monitors at least one of the movement of the ram and a physiological feature measured by a sensor attached to the user terminal 11. Then, it evaluates whether the result monitored using the user discriminant function is that of the user to whom the information system has given the license.
  • continuous monitoring will increase the accuracy of monitoring.
  • continuous monitoring means that monitoring may be performed at predetermined time intervals. Also, a predetermined process may be monitored as a trigger. In addition, monitoring may be continuously performed.
  • the function determining means 125 performs the following processing using the result of the evaluation as input. First, an action to be taken by the information system is determined based on the action determination rules stored in the storage means 122, and the determined content is sent to a predetermined target according to the determined action. For example, when it is doubtful that the user currently using the information system is a legitimate user, a message may be displayed on the user terminal 11 so as to input a keyword again. If the keyword is not input again, the use of the information system may be prohibited.
  • the action determining means performs the following processing.
  • 1 Notify the process monitor and Increase the recording density of user startup of programs and access to files, and restrict these actions.
  • (3) Notify other information processing mechanisms 12 that a user deemed suspicious for personal authentication has entered.
  • Information about the user may also be reported.
  • the information about the user is, for example, information indicating the characteristics of the user, the address of the user terminal 11 used, and the like. ⁇ Notify the system administrator that a suspicious user has entered the personal authentication.
  • information on the user may be reported as in (3).
  • at least one of the processing of 1 to 4 may be performed.
  • the present invention measures information that characterizes the individual in the user's physiological characteristics and actions. This measurement should be made continuously. In addition, these information may be used in combination with the following items.
  • One is to measure when the user operates the user terminal 11 c.
  • it is time-series information on operation input to the user's user terminal 11 or the administrator's system administrator terminal 12 .
  • the keying time-series pattern includes data such as the speed at which the keyboard is hit, input errors, and the frequency of use of each key.
  • the mouse movement time-series pattern includes the speed, direction, and position of the mouse at a predetermined time.
  • the character conversion pattern This includes case conversion of data and conversion (translation) between different languages.
  • a terminal operation pattern is referred to as a terminal operation pattern.
  • cameras and microphones are added to terminals, and video and audio information obtained through these cameras is information that characterizes individuals.
  • Each of the keying time-series patterns and the kana-kanji conversion patterns described above contains individual characteristics.
  • the present invention pays attention to this fact and uses these patterns (information) for authentication diagnosis.
  • the other is an access pattern to a program / file activated by input from the user terminal 11.
  • a series of history information such as program execution, file creation, reference, change, and deletion is also characteristic information that indicates the user's personality. Therefore, this information is also used for the authentication judgment process.
  • program operation pattern such information is referred to as a program operation pattern.
  • the present invention may have a configuration in which such information is distributed to a plurality of packets and transmitted from the user terminal 11 to the information processing mechanism 12. At this time, the feature information of one user may be distributed to a plurality of buckets.
  • a user who uses the information system is a true user (actor). It has an authentication function that checks whether a user is authorized to access the system or a user who has impersonated a true user, and takes appropriate action as a result. In this case, it is more effective to check whether the user is a continuous true user.
  • the present invention employs a configuration in which the information system learns the decision logic from the user's behavior patterns (user's characteristic information) without the system administrator directly modifying the configuration of the authentication decision logic. I do.
  • the correct decision logic detects whether an unauthorized user has entered the information system.
  • the action decision logic is to take prescribed measures for suspected fraudulent users and to take defense measures against information systems.
  • the action decision logic draws conclusions in accordance with the detection content of the authentication decision logic.
  • the living body discriminates between the self and the non-self, and attacks the non-self to eliminate it from the body.
  • This self-discrimination is not innately incorporated as genetic information, but achieves its function by the cognitive cells taking various configurations in a combinatorial manner by trial and error. That is, the ability of the living body to discriminate is acquired through learning.
  • learning is performed in the same manner as in the immune action of a living body. The specific authentication decision logic and learning method are described below.
  • the behavior pattern and physiological characteristics of the user are regarded as antigens in the immune system of the living body.
  • the characteristic information is represented by bi (t) (bi (t): characteristic information representing the behavior pattern indicated by the user i (ie I) at time t, including time-series information).
  • “to” is the time when the operation of the information system starts, and the input here includes information that is input to the information system without the user's awareness.
  • a discriminant function P (b, w) which indicates the likelihood that the feature information currently measured is a true user, and an authentication decision is made using this.
  • the function value of this discriminant function indicates the degree of belonging, but may take two values, the degree of belonging and the degree of non-belonging.
  • b is feature information
  • w is a discrimination parameter.
  • the discrimination parameter w j uniquely identifies the user, and thus corresponds to the antibody of the immune system.
  • the immune system has a kind of learning logic that generates antibodies that react specifically to antigens that have entered the body.
  • the following configuration is adopted to provide the same learning logic.
  • the learning index L (i, P, B) is defined. This is a function for estimating the discrimination parameter wi for the user i based on the accumulation B of the feature information. That is, the discriminant parameter that minimizes the learning index L (i, P, B) is used as the estimated value. In some cases, it may be convenient to estimate the discriminant parameters recursively. For this, the learning index Also needs to be expressed recursively, but this expression takes the form L * (i, wi 0, P, B). In other words, the discrimination parameter wi for the user i is estimated from the initial estimated value wi0.
  • the discrimination parameter wi (t) for identifying the user i at the time t using this index can be expressed as follows.
  • arg min (w) ⁇ means the term that minimizes ⁇ by focusing on the variable w. It is necessary to grasp the degree of progress of the estimation of the discriminant parameter, and this uses a learning index value defined as follows.
  • mi (t) learning index value (2 min (x) ⁇ L (i, P (bi ,, w), bi, GBi '(t) for all i') ⁇ or min (x) ⁇ L * ( i, wiO, P (bi ', w), bi'eBi' (t) for all i ') ⁇
  • the learning method in the present invention in consideration of the above is as follows.
  • the method of learning has the effect of being more compatible with real phenomena than conventional statistical or rule-based methods.
  • the learning index is the square of the output error
  • the backpropagation is based on the logic of parameter estimation using recursive expressions. Can be considered.
  • the discriminant parameter corresponds to the parameter that defines the degree of conformity included in the rule. In this case, learning based on the learning index corresponds to optimizing the fitness parameter, and the index may be the square of the output error.
  • the fuzzy rule base is useful when you have some knowledge about what combination of feature information should be used to authenticate an individual. You. Neural networks, on the other hand, are useful when there is no such foresight.
  • Equations (1) and (1) 'above include a minimization operation, but when selecting various combinations of feature information, it is more effective to use a genetic algorithm including random search as this operation. It is a target. This adoption does not cause any problem, regardless of whether the discriminant function is composed of a neural network or a force S or a fuzzy rule base.
  • the feature information is the information that the information system needs to hold in order to compare it with the input feature information. For this reason, it is essential to compress the data.
  • the certain time may be determined in advance. Also, it may be changed for each user. When changing for each user, it is determined based on the access frequency of each user.
  • the repetitive authentication means 122 constructs an authentication logic from the input feature information. This is called initial learning. This means that the decision parameter is continuously learned from the accumulated data until the learning index value mi (t) reaches a certain threshold value mi0. This process can be expressed as follows.
  • wi (t) arg min (w) ⁇ L (i, P (bi ', w)
  • bi'EBi' (t) for all i ') ⁇ & nd (t) rain (w) ⁇ L ( i, P (bi ,, w)! bi'eBi '(t) for all i') otherwise do nothing (accumulation of data)... (2)
  • the learning index value is set to an appropriate value at the initial time, and learning is repeated until the target index value miO is reached at subsequent times.
  • a recursive learning index may be used.
  • authentication starts (without initial learning if the user accesses the information system for the second time or later).
  • the likelihood that the user called user i is user j is calculated as follows.
  • null null for all i, j... (3)
  • null means that learning of the judgment parameter has not been completed and the judgment is retained.
  • wi (t) arg min (w) ⁇ L * (i, wi (t,), P (bi ', w)! bi'e Bi, (t', t) for all i ') ⁇
  • & mi (t) min (w) ⁇ L * (i, wi (t '), P (bi', w)
  • represents the concentration of the set.
  • a predetermined range R (n) is compared with the discrimination result, and an appropriate action is issued. Specifically, it is as follows. Depending on the situation, an integral evaluation with a forgetting factor for the IF part and a forgetting factor adjustment in an emergency are also performed.
  • Action number 2 n n 1, N... (5)
  • the main action decision rules are as follows.
  • the emergency system is "Inform the system administrator of the information system.” Examples include “restrict the use of system resources desired by the user”, “increase the density of the system use log of the user”, “warn the user”, and “prompt the user for input of characteristic information”.
  • the distributed computer has the configuration shown in Fig. 2.
  • Each repetition authentication means 1 2 2 operates in cooperation with each other.
  • the following operation model is assumed as an information system.
  • (1) There are a plurality of information processing mechanisms 12, and each information processing mechanism is provided with a repetitive authentication means 122 having an authentication function.
  • (2) The user walks across these information processing mechanisms 12.
  • (3) The repetitive authentication means 122 of each information processing mechanism 122 can observe the characteristic information only when the user visits the resource managing the information processing mechanism 122.
  • the following points should be noted in such a distributed computer system.
  • (1) The quality of certification should be improved for the information system as a whole (minimize type 1 and type 2 errors). 2 However, the observation data If all the data is exchanged, the burden on the network will increase.
  • the information processing mechanism 1 or 2 may be stopped for maintenance or may be newly added to the system. However, it is desirable that the quality of authentication performed by each information processing system 12 be as uniform as possible. Or, it is desirable to be gradually homogeneous.
  • Bi! k (t) accumulation of feature information input by user i (iei) to information processing mechanism k (keK) by time t (bi! k (s)! s ⁇ t)
  • the operation on the receiving side is as follows. In other words, if the estimated parameters are received before learning, learning is attempted using this as the initial value. At the end of learning, data is received and additional learning is performed. In addition, it is also possible to receive data when not learning and to try the initial learning together with the data that had been obtained up to that point. Specifically, this procedure is as follows.
  • wi! k '(t) arg min (w) ⁇ L * (i, wi! k (t), P (bi', w)! bi'e Bi '! k' (t) for all i,) ⁇
  • each information processing mechanism 12 of the distributed computer system as shown in FIG. 2 are based on the discrimination parameters acquired by each information processing mechanism 12 by the dispersion emphasis learning logic described above. You can do it. In this case, it may be more appropriate for the information processing mechanisms 12 to issue actions that interfere with each other.
  • a certain information processing mechanism detects the presence of a user with low legitimacy. In such a case, it is more secure to notify other information processing mechanisms than to simply keep the action within the scope of its own information processing mechanism. If such a report is received from another information processing mechanism, the information processing mechanism shall take appropriate measures according to the report. Countermeasures include prohibiting access to the reported user.
  • the action determination rule described in equation (5) is a rule having a discriminant function value with a high learning index value (a criterion is set in advance, and a higher learning index value is used. Are merged to obtain the discrimination result, and this result is linked to an action decision.
  • Figure 3 summarizes the overall operation of the access management described above.
  • the user applies for the use of the information system according to a predetermined procedure.
  • the information processing mechanism 12 learns the user's propensity (information for identifying the user)
  • the information processing mechanism 12 permits use of limited resources of the information processing mechanism 12 itself. For example, use is limited to public resources that have no problem if released to all humans.
  • the information processing mechanism 12 learns the user's propensity, it releases the use of resources. There is also a configuration in which the utilization of this resource is released in multiple stages by the user.
  • the information processing mechanism authenticates the user's legitimacy and limits the scope of releasing resources as necessary. Here, the authentication of the user's validity may be performed continuously. Industrial applicability
  • a person (user) accessing the information system is monitored at the level of its operation characteristics, so that an unauthorized act in the information system can be suppressed. Further, since the access management method of the present invention can be performed in a distributed and cooperative manner, it is very resilient to unauthorized attacks and unexpected partial failures of information systems.
  • the present invention is suitable for stable management of information systems.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Storage Device Security (AREA)

Description

明 細 書 情報システムのアクセス管理方法 技術分野
本発明は、 複数のユーザが利用 (アクセス) 可能な情報システムに係 る。 この情報システムにおいて、 ュ一ザからのアクセス要求への対応、 特にアクセス権限を与えていないュ一ザからの不正な情報システムの利 用を防止するアクセス管理方法に関する。 背景技術
従来の情報システムに対するアクセス管理方法には、 予めユーザにパ スワードを与えておくものがある。 この方法では、 ユーザが情報システ ムへのアクセス開始時に与えられたパスヮードを入力し、 入力されたパ スヮ一ドが正当であることが認められた場合に限って情報システムの利 用を許すものである。 正当なパスワードか否かは、 予め与えられたパス ヮ一ドと入力されたパスヮ一ドが同じであり、 パスヮ一ドを与えられた ュ—ザが、 情報システムの利用者として承認されているか否かで判断さ れる。
上述した従来の技術においては、 一旦情報システムに対する利用を認 めると、 ユーザは認められた範囲で自由に情報システムの資源を利用す ることができる。 また、 ファイル情報を変更することもできる。
このため、 不正行為を働く意志を持った者に情報システムへの利用を 許した場合、 より厳格に管理がなされているシステム資源への新たなァ クセス権利の獲得や、 他のユーザの情報システムの利用を妨害できるな どの問題を含んでいる。 さらに、 情報システムへのアクセス開始時のみ 真のユーザが利用し、 それ以外は他のユーザ (アクセスする権利を有し ない者) が利用できるとの問題もある。
これらの問題は、 以下の①および②により引き起こされる。
①ユーザそれぞれに与えられたパスヮードだけを拠り所にしてユーザの 認証をしている。
②情報システムへのアクセスの認証を、 アクセス開始時にのみ行いそれ 以外は全く行っていない。
これらの問題を角 決するものが、 Teresa F. Lunt著 "A survey of intrusion detection techniques, Computers&Securi ty, 12, p405- 418 (1993) " に記載されている。 これには、 ユーザによって引き起こさ れるプログラムの動作を記録にとり、 この記録に対して統計的手法や ルールべ一ス手法を適用することが記載されている。 この構成により、 情報システムを現在利用しているユーザが真のユーザか否かを判断し、 不正な情報システムの利用 (情報システムへの侵入) を発見する。
しかし、 単にプログラム動作に対して統計的手法やルールベース手法 を適用するのみでは、 十分に不正な情報システムへの侵入を検出するこ とができない。 また、 この技術では不正な情報システムへの侵入が検出 された場合、 情報システムの管理者に通報することしかできない。 通報 するのみでは、 情報システムの管理者へ支援を行うための機能が十分発 揮されているとは言えない。 さらに、 不正な侵入に対する検出は集中的 に構成されており、 情報システムが分散的に構成される今日の情報シス テムの趨勢を反映していない。
本発明では、 情報システムへの不正なアクセスを的確に検出、 防止す ることを目的とする。 また、 分散的に構成された情報システムに適応す る情報システムのアクセス管理方法を提供することも目的とする。 さら に、 単に不正なアクセスを検出することに止まらず、 悪意をもったもの 力^の認証機能への攻撃にも強い情報システムのアクセス管理方法を提 供することも目的とする。 発明の開示
本発明では、 情報システムへのアクセスの認証をパスワードのみに依 存しない構成とした。 また、 認証の作業をただ 1度だけでなく、 ァクセ ス中 (セッション中) に繰り返し行うことにより不正なアクセスを防止 する。 また、 従来不正の検出に用いられていた統計処理やルールベース 技術ばかりでなく、 より優れた論理をも用いることができるよう全体論 理を再構成した。
言い換えれば、 ユーザの生理的特徴や端末からの情報システムに対す る操作の仕方を認証のための基本情報とし、 生体系における免疫作用に 関する知見を背景に基本情報に対する判断処理に所定の処理を導入する。 また、 判断処理機能を情報システム内に存在する 1以上の情報処理機構 に分散協調的に動作させる構成とした。
ユーザの情報システムに対する操作の仕方や生理的特徴は、 ユーザ固 有の特徴を表す情報である。 ここで、 操作の仕方には、 端末からの操作 パターンなどが考えられる。 そして、 操作パターンには、 端末キ一の打 鍵の時系列パターン、 マウス .ペンの操作時系列パターン、 カナ漢字変 換などの文字変換パターン、 端末から駆動されるファイル生成、 フアイ ル参照 ·変更パターンなどのプログラム動作パターンなどがある。 また、 生理的特徴には、 顔映像、 音声、 指紋などがある。
したがって、 これらの情報をよりどころとして、 セッション中に継続 的にユーザの正当性を判断することにより上述した目的を達成できる。 正当性とは、 例えば、 予め登録されたユーザの登録名称と実際にァクセ スしているユーザの合致性などを指す。 この正当性の継続的な判断は、 非常に不確実な環境下で行わざるを得 ない。 したがって、 本発明においては、 必要に応じてユーザの特性を積 極的に採取するなど、 情報システムの管理上のァクションを判断と並行 して行う。
また、 情報システム内に存在する 1以上の情報処理機構に分散協調的 に動作させるためのより具体的な構成は、 以下の通りである。 それぞれ 分散化された管理機能において監視した情報を相互に交換し合い、 交換 された情報に基づいてアクセス権利の付与を分散的に決定する。 図面の簡単な説明
第 1図は、 本発明を実現する情報システムの基本構成を示す図である。 第 2図は、 本発明を適用した分散計算機システムの構成を示す図である。 第 3図は、 本発明の運用フローを示す図である。 発明を実施するための最良の形態
以下、 本発明の一実施例を説明する。
( 1 ) 発明の基本的な構成
第 1図は、 本発明を実現する情報システムの基本構成を示す。 ここで 1 1は、 ユーザが情報システムにアクセスするために用いるユーザ端末 である。 なお、 ここでは 1 1を 1個しか図示しなかったが、 1 1は1個 以上存在する。 1 2は、 ユーザがユーザ端末 1 1を用いてアクセスし、 その資源を活用する情報処理機構である。 1 2も 1 1と同様に 1個以上 存在する。 1 3は、 1 1や 1 2をつなぐ通信ネットワークである。 また、 1 4は情報システムを管理する管理者用のシステム管理者端末 1 4であ る。 システム管理者端末 1 4は、 必要に応じて設置するよう構成しても よい。 情報処理機構 1 2は、 ユーザからの要求に応じてシステム資源を割り 当て、 ュ一ザからの情報処理要求を満たすプロセスモニタ手段 1 2 1と ユーザの正当性を判断し状況に応じてしかるべきアクションを発行する 繰返し認証手段 1 2 2を有する。 ここで、 繰返し認証手段 1 2 2は、 ユーザの正当性を判断 (認証) するユーザ認証手段 1 2 3を有する。 こ こで、 ユーザ認証手段 1 2 3は、 格納手段 1 2 4に格納されたユーザ判 別関数を用いて正当性を判断する。 また、 繰返し認証手段 1 2 2は、 ユーザ認証手段 1 2 3での判断に基づいてしかるべきアクションを決定 し、 発行するアクション決定手段 1 2 5も有する。 ここで、 ァクション 決定手段 1 2 5は、 格納手段 1 2 6に格納されたアクション決定ルール を用いてァクションを決定する。
ここで、 ユーザ判別関数とは、 ユーザの特徴を表す情報を入力として、 そのユーザの正当性を数値として出力する関数である。 ここで、 ユーザ の特徴を表す情報とは、 ユーザの情報システムに対する操作の仕方や生 理的特徴である。 これらについては、 上述したものが含まれる。 また、 操作の仕方は、 時系列情報として入力してもよい。
また、 アクション決定ルールとは、 ユーザ判別関数の出力に基づいて、 繰返し認証手段 1 2 2が、 システム管理者がとるべき行動の命令を記述 したものである。
第 1図に示した構成の動作は、 以下の通りである。 ユーザがユーザ端 末 1 1から情報処理機構 1 2に対して、 まず自分のパスワードを入力し て、 情報システムを利用する許諾を得る。 許諾を得た後、 ユーザは、 ユーザ端末 1 1を通して情報処理機構 1 2に所望の処理を要求する。 こ こまでは、 従来の情報システムにおけるシステム管理のプロセスと同じ である。 ただし、 この処理と並行してユーザ認証手段 1 2 3は、 ユーザ のユーザ端末 1 1での操作履歴、 ユーザによって引き起こされたプログ ラムの動作およびユーザ端末 1 1に装着されたセンサによって測定され る生理的特徴のうち少なくとも 1つを監視する。 そして、 ユーザ判別関 数を用いて監視された結果が、 情報システム側が利用許諾を与えたユー ザのものであるかを評価する。
評価する際は、 利用許諾を与えるユーザのこれらの特徴を記憶してお き、 この記憶内容と監視された結果が同一か否かによつて判断する構成 もとれる。 また、 同一の判断においても幅を持たせ、 ある程度似ていた ら同一と判断する構成もとれる。
さらに、 監視は、 継続的に行うとより監視の精度があがる。 継続的に 監視を行うとは、 所定時間毎に監視してもよい。 また、 所定の処理をト リガ一として監視してもよい。 また、 連続的に監視し続けてもよい。 ァクション決定手段 1 2 5は、 このように評価された結果を入力とし て以下の処理を行う。 まず、 格納手段 1 2 2に格納されたアクション決 定ルールに基づいて、 情報システムがとるべきアクションを決定し、 決 定されたアクションに応じて所定の対象にその決定内容を送付する。 例 えば、 現在情報システムを利用しているユーザが正規のユーザか疑わし い場合は、 再度キーワードを入力するようユーザ端末 1 1に表示するこ とがあげられる。 また、 再度のキ一ワードの入力がない場合は、 情報シ ステムの使用を禁止することもある。
ここで、 このようにして使用を禁止されたユーザの特徴を表す情報を 記憶しておき、 後ほど用いることも考えられる。 つまり、 このように記 憶された情報と監視されたユーザの特徴を表す情報を比較して、 比較結 果に応じて情報システムの使用を直ちに差し止める。
次にアクション決定手段は、 現在ュ一ザ端末 1 1を使用しているユー ザが、 情報システムが本来利用を許しているユーザと異なると判断した 場合は、 以下の処理を行う。 ①プロセスモニタに通報して、 該当する ュ一ザによるプログラムの起動やファイルへのアクセス記録密度を高め たり、 これらの行動を制限する。 ②該当するユーザが利用しているユー ザ端末 1 1に対して、 ユーザの正当性を確認するために指定した行動を とるように要請したり、 情報システム内における行動を制限する警告を 出す。 ③他の情報処理機構 1 2に対して、 個人認証に不審と見られる ユーザが入り込んでいることを通報する。 また、 そのユーザに関する情 報も通報してもよい。 ユーザに関する情報とは、 例えば、 そのユーザの 特徴を表す情報や使用しているュ一ザ端末 1 1のァドレスなどである。 ④システム管理者に対して、 個人認証に不審とみられるユーザが入り込 んでいることを通報する。 また、 ③と同様にユーザに関する情報も通報 してもよい。 ここで、 ①〜④の処理のうち少なくとも 1つをおこなえば よい。
( 2 ) 採集すべき情報
ユーザの正当性を繰返し判断するために、 本発明では、 ユーザの生理 的特徴や行動の中でその個人を特徴づける情報を測定する。 この測定は、 継続的に行うのが望ましい。 また、 これらの情報は、 次にあげるものの みでなく、 組み合わせて使用してもよい。
一つは、 ユーザがユーザ端末 1 1を操作する際に測定するものである c 言い換えると、 ユーザのユーザ端末 1 1や管理者のシステム管理者端末 1 2への操作入力に関する時系列情報である。 キーボードの打鍵時系列 パターン、 マウスの動作時系列パターン、 仮名漢字変換などの文字変換 パターンなどが含まれる。 ここで、 打鍵時系列パターンには、 キーボー ドを打つ速さ、 入力ミス、 各キーの使用頻度などのデータが含まれる。 マウスの動作時系列パターンには、 マウスを動かす速さ、 方向、 所定時 刻の位置などが含まれる。 さらに、 入力ペンを動かす速さ、 方向、 所定 時刻の位置も含まれる。 ここで、 文字変換パターンには、 アルファべッ 卜の大文字小文字変換、 異なる言語間での変換 (翻訳) も含まれる。 以 下、 これらの情報を端末操作パターンと呼ぶ。
また、 端末にカメラやマイクロフォンを付加し、 これらを通じて得ら れる映像情報や音声情報も個人を特徴づける情報である。 このほか、 指 紋を採集すること、 腕時計状の装置によってユーザに固有の血流パター ンなどの生理学的情報をとり、 これを端末に通信する方法もある。
以上述べた打鍵時系列パタ一ンゃ仮名漢字変換パターンなどには、 そ れぞれ個人固有の特徴が含まれている。 本発明では、 このことに着目し て、 これらのパターン (情報) を認証診断に用いるのである。
他の一つは、 ユーザ端末 1 1からの入力によって起動されるプロダラ ムゃファイルへのアクセスパターンである。 このようなプログラムの実 行やファイル生成 ·参照 ·変更 ·消去など一連の履歴情報も、 ユーザの 個性をあらわす特徴的な情報である。 したがって、 これらの情報も認証 判断処理に活用する。 以下、 これらの情報をプログラム動作パターンと 呼ぶ。
これら二つのタイプの情報は、 ユーザ端末 1 1を利用しているユーザ の個性を特徴づけるものである。 さらに、 継続的に測定可能である。 本 発明では、 これらの情報のいずれか、 あるいはその組合わせを個人の認 証に用いる。 ここで、 不正を働く意図をもった者が、 これらの情報を奪 うおそれがある。 これに対して、 本発明では、 これらの情報を複数のパ ケットに分散してユーザ端末 1 1から情報処理機構 1 2へ送る構成を とってもよい。 このとき 1人のュ一ザの特徴情報を複数のバケツ 卜に分 散してもよい。
次に、 具体的な認証判断処理の内容を説明する。
( 3 ) 認証判断論理
本発明では、 情報システムを利用しているユーザが真のユーザ (ァク セスの権限を与えられたュ一ザ) なのか、 真のュ一ザになりすました ユーザなのかを調べ、 この結果しかるべきァクションをとる認証機能を 有する。 この際、 継続的真のュ一ザか否かを調べるとより効果的である。
この認証機能を達成するためには、 以下の事項を考慮する必要がある。 ①情報システムが大きくなればなるほど、 これを利用するユーザは固定 的でなくなる。 頻繁なユーザの参入、 退去が発生する。 ②ュ一ザの情報 システムの情報システムの利用における性癖も時間とともに変化する可 能性が大きい。
このため、 本発明では、 システム管理者が認証判断論理の構成に直接 手を加えることなく、 ユーザの行動パターン ど (ユーザの特徴的な情 報) から情報システムが判断論理を学習する構成を採用する。
^1正判断論理は、 不正なユーザが情報システムの中に入り込んでいる かどうかを検出するものである。 また、 アクション決定論理は、 不正の 疑いのあるユーザに対して所定の処置を加えたり、 情報システムに対す る防御策を講じるものである。 なお、 アクション決定論理は、 認証判断 論理の検出内容に従って結論を出すものである。
これらの論理には、 生体の免疫作用と同様の機能を持たせる。 生体に は、 自己と非自己とを弁別し、 非自己に対しては体内からこれを排除す るための攻擊活動を加える。 この自己弁別は、 遺伝子情報として先天的 に組込まれているのではなく、 認識細胞が組合せ論的に多様な構成を試 行錯誤的にとることによってその作用を達成するようになる。 すなわち、 生体の弁別の能力は、 学習により獲得される。 本発明では、 生体の免疫 作用と同様に学習を行う。 以下に、 具体的な認証判断論理と学習の仕方 を述べる。
本発明では、 ユーザの行動パターンや生理的特徴 (ユーザの特徴的な 情報であり、 以下特徴情報と呼ぶ) を生体の免疫系でいう抗原とみなす。 以下、 特徴情報を bi(t)であらわすことにする (bi(t) :ユーザ i ( i e I ) が時刻 tで示した行動パターンをあらわす特徴情報で、 ここには時 系列情報も含む) 。 また、 説明のための記号として、 ユーザ iが時刻 t までに入力した特徴情報の集積 (集まり) を Bi(t) (= (bi(s) ! se [tO,t] } ) とあらわす。 ここのでの toは、 情報システムの動作開始時 刻である。 なお、 ここでの入力は、 ュ一ザが意識せずに情報システムに 入力される情報も含む。
本発明では、 現在測定している特徴情報が真のユーザである確からし さをあらわす判別関数 P (b, w) を定義し、 これを用いて認証判断を する。 この判別関数の関数値は、 帰属度合を表すものであるが、 帰属度 合と非帰属度合の二つの値をとるものでもよい。 ここに、 bは特徴情報 であり、 wは判別パラメータである。 判別パラメ一タ wは、 w j という 値をとり、 このパラメータを判別関数に適用したとき、 特徴情報 bの ユーザ j への帰属度合が求められる。 すなわち、 pij(t) ( = P(bi(t),wj(t)))によって、 特徴情報 bi(t)が得られたとき、 この特徴情 報の発信者がユーザ jである確からしさをあらわす。 判別パラメータ w jは、 ユーザに固有に識別するものなので、 免疫系の抗体に対応するも のである。
免疫系では、 体内に侵入した抗原に対して特異的に反応する抗体を自 己生成する一種の学習論理が備わっている。 本発明では、 同様の学習論 理を備えるため、 以下の構成とした。
まず、 学習指標 L ( i , P, B) を定義する。 これは、 特徴情報の集 積 Bに基づいてユーザ iに関する判別パラメータ w iを推定するための 関数である。 すなわち、 学習指標 L ( i , P, B) を最小化する判別パ ラメータをもってその推定値とする。 場合によっては、 判別パラメ一タ を再帰的に推定するのが都合の良い場合もある。 このために、 学習指標 も再帰的に表現する必要があるが、 この表現は、 L* ( i , w i 0, P, B) という形をとるものとする。 言い換えれば、 ユーザ iに関する判別 パラメータ w iを初期推定値 w i 0から推定する構成としている。
この指標を用いた、 時刻 tでのユーザ i を識別するための判別パラ メータ wi (t)は以下の通り表すことができる。
wi(t)=arg min(w) {L(i, P(bi'( w), bi'eBi'(t) for all i,) } … (1) wi (t) =arg min( ) {L* (i, wiO, P(bi', w) , bi'eBi'(t) for all i,) }
… (1) , ここで、 arg min(w) {}は、 変数 wに着目して {}内を最小にする項を意 味する。 この判別パラメータの推定の進行度合を把握する必要があるが、 これは次のように定義する学習指標値を用いる。
mi(t) : 学習指標値 (二 min(x) {L(i,P(bi,, w),bi, GBi'(t) for all i')} もしくは、 min(x) {L* (i, wiO, P(bi', w) , bi'eBi'(t) for all i') } ここで、 以上のことを考慮した本発明での学習の仕方は次のようにな る。 この学習の仕方は、 従来の統計的な手法やルールベース手法よりも 実現象への適合性がよいという効果を生む。
もし、 判別関数と して特徴情報を入力として帰属度を出力とする ニューラルネットワークによって構成すると、 学習指標は出力誤差の自 乗値であり、 バックプロパゲーションは再帰型表現によるパラメータ推 定の論理とみなすことができる。 また、 判別関数としてフアジィルール ベースを用いると、 判別パラメータはルールに含まれる適合度を定義す るパラメータが相当する。 この場合、 学習指標に基づいて学習するとは、 適合度パラメータを最適化することに相当し、 この指標としては出力誤 差の自乗値をとればよい。
フアジィルールベースは、 個人の認証をするのにどんな特徴情報を組 み合わせて用いればよいかといつた程度の知識がある場合に好都合であ る。 一方、 ニューラルネッ トワークはこのような先見知識が全くない時 に有用である。
上記の式 (1 ) および (1 ) 'では最小化操作が含まれているが、 種々 の特徴情報の組合せを選ぶ場合には、 この操作としてランダム探索を含 む遺伝的アルゴリズムを採用するとより効果的である。 この採用は、 判 別関数がニューラルネッ トワークにより構成されよう力 S、 フアジィルー ルベースで構成されようが、 特に問題は生じない。
以上、 本発明における認証や学習の基本的な枠組みについて述べた。 次により具体的に認証や学習を行うかについて述べる。
( a ) 特徴情報の蓄積
ユーザの行動パターンを表す特徴情報は、 そのまま蓄積すると遐大な 量になってしまう。 ここでの特徴情報とは、 入力される特徴情報と比較 するために情報システムが保持する必要があるもの。 このため、 デ一タ の圧縮をすることが不可欠である。 また、 認証においてあまり過去の特 徴を利用すると、 もはや実際に出願しないユーザの性癖 (特徴情報) を 考慮することになり好ましくない。 このため、 特徴情報は、 一定時間を 過ぎたものは廃棄するか、 学習に用いないようにする。 一定時間として は、 予め定めておいてもよい。 また、 ユーザ毎に変えてもよい。 ユーザ 毎に変える場合は、 各ユーザのアクセス頻度に基づいて定める。
( b ) 初期学習
ュ一ザが初めて情報システムにアクセスしょうとする際、 繰返し認証 手段 1 2 2は、 入力された特徴情報から認証論理を構築する。 このこと を初期学習と呼ぶ。 これは、 学習指標値 mi (t)があるしきい値 mi 0に到 達するまでは、 集積データから判断パラメータを継続的に学習すること を意味する。 このプロセスを式に表せば次のようになる。
mi (t0) =mit 0 ( = const) tO二初期時刻 for t>tO
if mi (t)≤miO ( = const'<mitO)
then wi (t) =arg min(w) {L(i, P(bi', w) | bi'EBi'(t) for all i')} & nd (t) =rain(w) {L(i,P(bi,, w) ! bi'eBi'(t) for all i') otherwise do nothing (データの蓄積) … (2)
ここでは、 学習指標値を初期時刻には適当な値に設定し、 以降の時刻 で目標とする指標値 miOに到達するまで学習を繰り返す。 式 (2) では、 再帰型の学習指標を用いてもよい。
もし、 ュ一ザが過去に別の情報処理機構において、 繰返し認証手段 1 2 2にアクセスした経験があり、 その判別関数が作られている場合には、 通信ネットワーク 1 3を通して判別関数および判別パラメータを複写し て当該情報処理機構 1 2の繰返し認証手段 1 2 2に登録するする。 この ことにより、 初期学習の手間を省くことができる。
(c) 認証判断
初期学習が終了した時点で、 認証を開始する (ユーザが情報システム にアクセスするのが 2度目以降の場合は初期学習無しに) 。 ユーザ i と 称するユーザがユーザ jである確からしさを次のように算出する。
if mi (z) ^ mio then piju) = P (bi (t) , wj ) ) otherwise pi j )
= null for all i, j … ( 3) ここで、 nullとは判断パラメータの学習が終了しておらず、 判断を保 留することを意味する。
( d) 追加学習
データの集積の要素数が一定値以上であれば、 それまでの判別パラ メータ値を初期値として再度パラメータ推定をする。 推定結果がよけれ ばパラメ一タ値を更新し、 そうでなければそのままとする。 すでに、 判 別パラメータが推定されているのだから、 この場合には、 再帰型の学習 指標を利用する。 これらのプロセスは次のように表現される。
if ョ i such that mi (t) ≤ mio and Φ , { Δ Bi (t', t) ( = Bi(t)/Bi(t'),t'<t)}≥a
then if min(w) {L*(i, wi (t'), P(bi', w) | bi' e厶 Bi' (t', t) for all i')} <mi (f)
then wi (t) =arg min(w) {L*(i, wi (t,), P(bi', w) ! bi'e厶 Bi,(t', t) for all i')}
&mi (t) =min(w) {L*(i, wi (t') , P(bi', w) | bi' e厶 Bi,(1', t) for all i')}
oterwise wi (t) =wi (t') & mi (t)二 mi (t,)
ここで、 Φは集合の濃度を表す。
( e ) ァクション決定
ァクション決定手段 1 25では、 あらかじめ定めた値域 R(n)と判別 結果とを照合し、 しかるべきアクションを発行する。 具体的には、 以下 の通りである。 状況によっては、 I F部分に対して、 忘却係数をいれた 積分的な評価および緊急時における忘却係数調整も行う。
if Upij(t) ! i, jei}, {mi (t) ί iei}} eR (n) then
アクション番号二 n n = 1 , N … (5) 主要なァクション決定ルールには、 次のようなものがある。
(ィ) if 学習が十分に進行しており、 Piiが大、 かつ pij(i≠j)が小 then 正当なュ一ザであり、 そのままアクセス許容
(口) if 学習がやや進行しており、 piiが大、 かつ pij(i≠j)が大 (い ずれかの jが)
then 他のユーザと偽っているユーザの可能性が高く緊急体制 に入る必要あり
緊急体制としては、 「情報システムのシステム管理者に知らせる」 「ユーザが利用を望むシステム資源の利用を制限する」 「当該ユーザの システム利用ログの密度を高める」 「当該ユーザに警告を発する」 「当 該ユーザに特徴情報の入力をうながす」 などがある。
(ハ) if 学習がやや進行しており、 pi iが小、 かつ Pi j (i≠j)が小 then ユーザと認められていない者が情報システムを利用して いる判断し、 緊急体制に入る
並行して、 過去のユーザの判別関数、 判別パラメータを用いて、 ユー ザの特定を試みると同時に、 このュ一ザの特徴情報に対する学習を開始 する。 特に、 情報システムの建設に関わった者が不正行為をする事例が しばしばみられる。 そこで、 情報システムの建設に関与者の判別関数お よび判別パラメータのうち少なくとも一方を情報システムの建設時に学 習し、 情報システムの運用時にも活用できるようにしておく。
これらのアクションルールは、 I F〜 T H E N形式で記述することに より、 内容の分かり易さが増し、 よりきめ細かな情報システムの管理を 支援できる。
( 4 ) 分散強調繰返し認証機能
分散計算機では、 第 2図に示すような構成をとる。 各々の繰返し認証 手段 1 2 2がお互いに連携して動作する。 ここでは、 情報システムとし て次のような動作モデルを想定する。 ①複数の情報処理機構 1 2があり、 それぞれの情報処理機構は認証機能を有する繰返し認証手段 1 2 2を備 える。 ②ュ一ザは、 これら複数の情報処理機構 1 2を渡り歩く。 ③それ ぞれの情報処理機構 1 2の繰返し認証手段 1 2 2は、 ュ一ザがその情報 処理機構 1 2を管理する資源を訪れた時のみ特徴情報を観測できる。 このような分散計算機システムにおいて留意すべき事柄を次にあげる。 ①情報システム全体として、 認証の質をあげるべきである (第 1種、 第 2種の過誤をできるだけ少なくする) 。 ②しかし、 このために観測デ一 タをすべて交換してしていては、 ネッ トワークにかける負担が大きくな る。 したがって、 ネットワークに負荷をできるだけかけないで認証の質 を高く保つ必要がある。 ③情報処理機構 1 2は、 保守を受けるために停 止したり、 新たにシステムに追加されたりする。 しかし、 各情報処理機 構 1 2で行う認証の質は、 できるだけ均質であることが望ましい。 ある いは、 漸次的に同質になるのが望ましい。
これらに事項を考えて、 分散計算機システムでの学習、 認証、 ァク ション決定を構成すると次のようになる。
(a) 分散協調的学習
分散計算機システムにおける認証論理を構成するために、 次の記号を 定義する。
bi ! k(t) :時刻 tに、 ユーザ i(iei)が情報処理機構 k(kGK)に入力し た特徴情報
Bi ! k(t) :時刻 tまでに、 ユーザ i(iei)が情報処理機構 k(keK)に入 力した特徴情報の集積 (bi ! k( s ) ! s≤t)
wi ! k(t) :情報処理機構 k (k eK) が持つュ一ザ i ( i e I ) に対 する学習指標値
さらに、 認証のために情報交換に係わる情報処理機構群 1 2の状態と して次のものを想定する。
送り側の状態 = {初期学習完了、 効果ある追加学習完了)
受け側の状態 = (未学習、 追加学習中)
このような想定下に、 送り側がなすべきを次にように構成する。 初期 学習が完了した時点では、 推定パラメータをブロードキャストし、 未学 習の情報処理機構 1 2を助ける。 効果のある追加学習ができた場合には、 この追加学習に用いたデータが有用であるとしてブロードキャス卜する とう考え方である。 このことを数式で表現すると次のようになる。 初期学習完了
if ゴ i such that mi | k (.t)≤mi ! ko&mi ! k(tノ mi | ko (for any t'<t) then broadcast wi ! k(t) … (6)
効果ある追加学習完了
if ョ i such that mi ! k (t) ≤ mi ! k(t') (for any t' < t) then broadcast { ABi i k (t) | for all i} ·■■ (7)
—方、 受け側の動作は次のようになる。 すなわち、 未学習時に推定パ ラメータを受信した場合には、 これを初期値として学習を試行する。 学 習終了段階では、 データを受信して追加学習する。 このほか、 未学習時 にデータを受信して、 その時点までにもっていたデータと併せて初期学 習を試行することも可能である。 具体的にこの手順をあらわすと次のよ うになる。
未学習
if mi ! k' (t >mi | k'O&wi i k(t) is recieved
then if min(w) {L*(i, wi | k (t), P(bi', w) | bi'^Bi' ! k'(t)for all l ) }≤mi I k'o
then wi ! k'(t) = arg min(w) {L*(i, wi ! k (t) , P (bi', w) ! bi'e Bi'! k'(t) for all i,)}
& mi ! k'(t) =min(w) {L*(i, wi ! k (t) , P(bi', w) | bi'GBi'! k'(t) for all i,)} ··· (8)
追加学習
if mi ! k'(t)≤mi ! k"0&{ABi ! k(t) ! for all i} is recieved then if min(w) {L*(i, wi ! k' (t) , P (bi', w) | bi'G ΔΒϊ'! k'(t)for all i')} <mi I k,(t)
then wi ! k'(t) =arg rain(w) {L*(i, wi | k'(t), P(bi', w) | bi'e 厶 Bi" i k,(t) for all i')} & mi ! k' (t) = min (w) {L* (i , wi ! k' (t) , P (bi', w) ', bi' e Δ Βί " ! k' (t) for al l i,)} … ( 9 )
このように、 分散計算機システムにおいて、 学習論理を分散協調的に 構成することにより、 一つの情報処理機構では、 成し遂げられなかった 精度の高レ、認証論理を構築可能となる。
( b ) 分散協調的認証およびァクション決定
第 2図に示すような分散計算機システムの各々の情報処理機構 1 2で の認証、 アクション決定は、 先に述べた分散強調学習論理によって各情 報処理機構 1 2が獲得した判別パラメータを各々がおこなえばよい。 こ の場合に、 各情報処理機構 1 2が相互に干渉するアクションを発行した 方が適切なことがある。
たとえば、 ある情報処理機構で、 正当性の低いユーザの存在が検出さ れた場合を想定してみる。 このような場合、 単にそのアクションを自己 の情報処理機構の範囲に留めておくよりも、 他の情報処理機構に通報し た方が安全性が高める。 また、 このような報告を他の情報処理機構から 受信した場合は、 自己の情報処理機構に対して報告に応じた対応措置を とる。 対応措置としては、 通報されたユーザに対してはアクセスを禁止 することなどがある。
このため、 分散計算機システムにおいては、 式 (5 ) で述べたァク ション決定ルールとしては、 学習指標値の高い判別関数値を持つもの (予め基準を定めておきそれよりも学習指標値の高いもの) をマージし て判別結果を求め、 この結果をアクション決定に結び付ける、 といった 形のものとする。
たとえば、 他人になりすましたユーザが検出された場合には、 このこ とを他の情報処理機構に伝える。 また、 このような報告が他の情報処理 機構から送られてきた場合には、 自己の判断にこの報告を勘案して、 そ のアクションを決定する。 このようなマージ処理により、 情報システム 全体としてのユーザの挙動の判断、 対応措置を的確に行えるようになる。
( 5 ) アクセス管理の全体動作
以上述べたアクセス管理の全体動作をまとめると第 3図のようになる。 ユーザは、 情報システム利用の申請を所定の手順に従って行う。 情報処 理機構 1 2は、 ユーザの性癖 (ユーザを特定する情報) を学習するまで は、 情報処理機構 1 2自身の持つ資源のうち所定のもの限定して利用を 許諾する。 例えば、 全ての人間に解放しても問題のない公的な資源など のみに限定して利用を許諾する。 情報処理機構 1 2が、 ユーザの性癖を 学習した段階で、 資源の活用を解放する。 この資源の活用もユーザに よって多段階的に解放する構成もある。 また、 資源の解放の他に情報処 理機構は、 ユーザの正当性を認証し、 必要に応じて資源解放の範囲を制 限する。 ここで、 ユーザの正当性の認証は、 継続的行ってもよい。 産業上の利用可能性
本発明によれば、 情報システムにアクセスしている者 (ユーザ) をそ の動作特性のレベルで監視しているので、 情報システムにおける不正な 行為を抑止できる。 さらに、 本発明のアクセス管理方法は、 分散協調的 に行うことができるので、 不正な攻撃や予期しない情報システムの部分 故障に対しても非常に強靭である。
以上の通り、 本発明は、 情報システムの安定的な管理に適したもので ある。

Claims

請 求 の 範 囲
1 . 入力された情報に対して所定の処理を施す複数の情報処理機構と、 前記情報処理機構での処理を実行させるための情報を入力可能な複数の 端末と、 前記情報処理機構および前記端末を結合するネッ トワークから なる情報システムにおいて、
予め前記システムに蓄えられた所定の資源を利用可能な者の個性を表 す特徴情報を記憶しておき、
前記端末を操作している操作者の個性をあらわす特徴情報を反復的に 取り込み、
前記取り込んだ特徴情報および前記記憶された特徴情報から反復的に 前記操作者が利用を望む資源の利用可能な者である確からしさを求め、 求められた確からしさに応じて前記情報システムの動作を変更するこ とを特徴とする情報システムのアクセス管理方法。
2 . 請求の範囲第 1項に記載の情報システムのアクセス管理方法におい て、
前記確からしさは、 前記取り込んだ特徴情報および前記記憶された特 徴情報から判別関数を用いて求めることを特徴とする情報システムのァ クセス管理方法。
3 . 請求の範囲第 2項に記載の情報システムのアクセス管理方法におい 前記判別関数の関数構造を予め定めておき、
前記取り込んだ特徴情報を用いて前記判別関数のパラメータを変更す ることを特徴とする情報システムのアクセス管理方法。
4 . 請求の範囲第 2項または第 3項に記載の情報システムのアクセス管 理方法において、 前記判別関数は、 前記操作者が利用を望む資源の利用可能な者である 確からしさおよび前記操作者が利用を望む資源の利用不可能な者である 確からしさを求めることを特徴とする情報システムのアクセス管理方法。
5 . 請求の範囲第 1項乃至第 4項のいずれかに記載の情報システムのァ クセス管理方法において、
前記各情報処理機構間で前記取り込んだ特徴情報を互いに交換し、 前記確からしさを求める際は、 前記交換された特徴情報も用いること を特徴とする情報システムのアクセス管理方法。
6 . 請求の範囲第 1項乃至第 5項のいずれかに記載の情報システムのァ クセス管理方法において、
前記取り込む特徴情報は、 前記操作者の前記端末への操作入力に関す る時系列情報および前記操作者の操作により引き起こされる前記情報処 理機構に格納された情報の動作の時系列情報のうち少なくとも一方を含 むことを特徴とする情報システムのアクセス管理方法。
7 . 請求の範囲第 1項乃至第 6項に記載の情報システムのアクセス管理 方法において、
前記操作入力の時系列情報として、 予め前記端末に設置したセンサか ら取り込まれる前記操作者の生理的な特徴を含むことを特徴とする情報 システムのアクセス管理方法。
8 . 請求の範囲第 1項乃至第 7項のいずれかに記載の情報システムのァ クセス管理方法において、
1人の操作者に関する前記取り込む特徴情報が複数ある場合は、 前記 複数の特徴情報を 2以上のバケツトとして、 前記ネットワークを通して 前記情報処理機構に送ることを特徴とする情報システムのアクセス管理 方法。
9 . 請求の範囲第 1項乃至第 8項のいずれかに記載の情報: クセス管理方法において、
前記確からしさは、 前記情報処理機構の 1つが求め、
前記求めた情報処理機構は、 他の情報処理機構に求めた結果を前記 ネットワークを通して送ることを特徴とする情報システムのアクセス管 理方法。
1 0 . 請求の範囲第 1項乃至第 9項のいずれかにに記載の情報システム のアクセス管理方法において、
前記特徴情報の取り込みは、 所定時間毎に行うことを特徴とする情報 システムのアクセス管理方法。
1 1 . 請求の範囲第 1項乃至第 1 0項いずれかに記載の情報システムの ァクセス管理方法において、
前記情報システムの動作を変更として、 前記確からしさの程度に応じ て、 前記操作者が望む資源に対する利用に制限をつけることを特徴とす る情報システムのアクセス管理方法。
〗 2 . 入力された情報に対して所定の処理を施す情報システムにおいて、 予め前記システムに蓄えられた所定の資源を利用可能な者の個性を表 す特徴情報を記憶しておき、 - 前記情報システムを操作している操作者の個性をあらわす特徴情報を 反復的に取り込み、
前記取り込んだ特徴情報および前記記憶された特徴情報から反復的に 前記操作者が利用を望む資源の利用可能な者である確からしさを求め、 求められた確からしさに応じて前記情報システムの動作を変更するこ とを特徴とする情報システムのアクセス管理方法。
PCT/JP1996/000424 1996-02-23 1996-02-23 Procede de gestion des acces a un systeme informatique WO1997031317A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP1996/000424 WO1997031317A1 (fr) 1996-02-23 1996-02-23 Procede de gestion des acces a un systeme informatique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP1996/000424 WO1997031317A1 (fr) 1996-02-23 1996-02-23 Procede de gestion des acces a un systeme informatique

Publications (1)

Publication Number Publication Date
WO1997031317A1 true WO1997031317A1 (fr) 1997-08-28

Family

ID=14152957

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP1996/000424 WO1997031317A1 (fr) 1996-02-23 1996-02-23 Procede de gestion des acces a un systeme informatique

Country Status (1)

Country Link
WO (1) WO1997031317A1 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003526851A (ja) * 2000-01-19 2003-09-09 スキーデータ・アクチエンゲゼルシャフト 利用権承認・付与コントロール装置
JP2005012295A (ja) * 2003-06-17 2005-01-13 Aruze Corp 情報管理システム
JP2005020309A (ja) * 2003-06-25 2005-01-20 Aruze Corp 情報管理システム
JP2005020310A (ja) * 2003-06-25 2005-01-20 Aruze Corp 情報管理システム
GB2413425A (en) * 2004-04-23 2005-10-26 Hewlett Packard Development Co Biometric analysis method
JP2006260603A (ja) * 2006-06-14 2006-09-28 Swisscom Mobile Ag 人物を認証する方法、システムおよび装置
US7472282B1 (en) 1998-10-23 2008-12-30 Fujitsu, Ltd. Illegal access discriminating apparatus and method
JP2009080561A (ja) * 2007-09-25 2009-04-16 Sky Kk 外部装置管理システム
JP2010061254A (ja) * 2008-09-02 2010-03-18 Yahoo Japan Corp 行動履歴分析方法、装置及びプログラム
JP2012212300A (ja) * 2011-03-31 2012-11-01 Casio Comput Co Ltd ユーザ識別装置及びプログラム
JP2015228231A (ja) * 2015-07-10 2015-12-17 カシオ計算機株式会社 ユーザ認証装置及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04311266A (ja) * 1991-04-10 1992-11-04 Hitachi Ltd 利用者照合システムおよび病院情報システム
JPH04342055A (ja) * 1991-05-20 1992-11-27 Nec Corp 複数コンピュータシステムの利用者認証方法
JPH05257961A (ja) * 1992-03-16 1993-10-08 Hitachi Ltd セキュリティ保護装置
JPH05274269A (ja) * 1991-11-18 1993-10-22 Internatl Business Mach Corp <Ibm> コンピュータ・システムにおけるアクセスの正当性検証のための方法及びシステム
JPH05324805A (ja) * 1992-05-21 1993-12-10 Omron Corp パターン認識装置及び個人照合装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04311266A (ja) * 1991-04-10 1992-11-04 Hitachi Ltd 利用者照合システムおよび病院情報システム
JPH04342055A (ja) * 1991-05-20 1992-11-27 Nec Corp 複数コンピュータシステムの利用者認証方法
JPH05274269A (ja) * 1991-11-18 1993-10-22 Internatl Business Mach Corp <Ibm> コンピュータ・システムにおけるアクセスの正当性検証のための方法及びシステム
JPH05257961A (ja) * 1992-03-16 1993-10-08 Hitachi Ltd セキュリティ保護装置
JPH05324805A (ja) * 1992-05-21 1993-12-10 Omron Corp パターン認識装置及び個人照合装置

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7472282B1 (en) 1998-10-23 2008-12-30 Fujitsu, Ltd. Illegal access discriminating apparatus and method
JP2003526851A (ja) * 2000-01-19 2003-09-09 スキーデータ・アクチエンゲゼルシャフト 利用権承認・付与コントロール装置
JP2005012295A (ja) * 2003-06-17 2005-01-13 Aruze Corp 情報管理システム
JP2005020309A (ja) * 2003-06-25 2005-01-20 Aruze Corp 情報管理システム
JP2005020310A (ja) * 2003-06-25 2005-01-20 Aruze Corp 情報管理システム
GB2413425A (en) * 2004-04-23 2005-10-26 Hewlett Packard Development Co Biometric analysis method
GB2413425B (en) * 2004-04-23 2008-04-09 Hewlett Packard Development Co Biometric analysis system, methods, apparatus and software using biometric analysis
JP2006260603A (ja) * 2006-06-14 2006-09-28 Swisscom Mobile Ag 人物を認証する方法、システムおよび装置
JP2009080561A (ja) * 2007-09-25 2009-04-16 Sky Kk 外部装置管理システム
JP2010061254A (ja) * 2008-09-02 2010-03-18 Yahoo Japan Corp 行動履歴分析方法、装置及びプログラム
JP2012212300A (ja) * 2011-03-31 2012-11-01 Casio Comput Co Ltd ユーザ識別装置及びプログラム
JP2015228231A (ja) * 2015-07-10 2015-12-17 カシオ計算機株式会社 ユーザ認証装置及びプログラム

Similar Documents

Publication Publication Date Title
US7404086B2 (en) Method and apparatus for biometric authentication
US6167517A (en) Trusted biometric client authentication
EP2069993B1 (en) Security system and method for detecting intrusion in a computerized system
US20210084062A1 (en) Method and Apparatus for Network Fraud Detection and Remediation Through Analytics
US20070241861A1 (en) Methods and systems for secured access to devices and systems
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
Mudholkar et al. Biometrics authentication technique for intrusion detection systems using fingerprint recognition
CN110211267A (zh) 室内开门控制方法、权限的配置方法、装置和存储介质
EP2175426A2 (en) Security system, security method and recording medium storing security program
Dowland et al. Keystroke analysis as a method of advanced user authentication and response
CN112613020A (zh) 一种身份验证方法及装置
JP4120997B2 (ja) 不正アクセス判断装置及び方法
WO1997031317A1 (fr) Procede de gestion des acces a un systeme informatique
CN114374531B (zh) 访问行为控制方法、装置、计算机设备和存储介质
CN118381672A (zh) 基于人工智能的数据安全动态防护方法及系统
CN118349979B (zh) 一种应用于智慧医疗的用户信息安全处理控制系统
CN113923036A (zh) 一种持续免疫安全系统的区块链信息管理方法及装置
CN112615828A (zh) 一种基于云计算网络的知识产权运营系统及智能授权方法
CN112199700A (zh) 一种mes数据系统的安全管理方法及系统
Covington et al. Parameterized authentication
López et al. CGAPP: A continuous group authentication privacy-preserving platform for industrial scene
CN115374411A (zh) 系统访问权限处理方法、装置、计算机设备及存储介质
CN115168830A (zh) 一种检测用户登录环境的登录方法及登录装置
CN113411339A (zh) 基于零因子图序列的密码文件泄露的检测方法
CN118172849B (zh) 一种防止技术开锁的智能锁及防技术开锁方法

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载