JP2004246553A - Management device, management system, management method, and management program - Google Patents
Management device, management system, management method, and management program Download PDFInfo
- Publication number
- JP2004246553A JP2004246553A JP2003034811A JP2003034811A JP2004246553A JP 2004246553 A JP2004246553 A JP 2004246553A JP 2003034811 A JP2003034811 A JP 2003034811A JP 2003034811 A JP2003034811 A JP 2003034811A JP 2004246553 A JP2004246553 A JP 2004246553A
- Authority
- JP
- Japan
- Prior art keywords
- user
- exit
- entry
- history information
- electronic device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】情報への不正アクセスを検出することを目的とする。
【解決手段】ICカードリーダライタ2、指紋認証装置4等の機器によって記録される入退場履歴情報または入退室履歴情報と、建屋9内または居室10内の一般用計算機6への計算機履歴情報とに基づいてネットワーク8に接続された管理用計算機1が、一般用計算機6にアクセスする者が正当者か否かを判定する。管理用計算機1の判定部100は、入退場履歴記憶部3または入退室履歴記憶部5の少なくともいずれかを参照し、一般用計算機6へアクセスしようとしている者の入退場または入退室履歴情報が入退場履歴記憶部3または入退室履歴記憶部5にない場合には、一般用計算機6へのアクセスを禁止する。
【選択図】 図1An object is to detect unauthorized access to information.
Kind Code: A1 Abstract: Entry / exit history information or entry / exit history information recorded by devices such as an IC card reader / writer, a fingerprint authentication device, and computer history information to a general-purpose computer in a building or a living room. The management computer 1 connected to the network 8 determines whether or not the person accessing the general-purpose computer 6 is a valid person based on. The determination unit 100 of the management computer 1 refers to at least one of the entry / exit history storage unit 3 and the entry / exit history storage unit 5 and determines whether the entry / exit or entry / exit history information of the person trying to access the general use computer 6 is present. If the entry / exit history storage unit 3 or the entry / exit history storage unit 5 does not exist, access to the general-purpose computer 6 is prohibited.
[Selection diagram] Fig. 1
Description
【0001】
【発明の属する技術分野】
この発明は、計算機へのアクセス制御及び不正アクセスが行われた場合の管理に関するものである。
【0002】
【従来の技術】
計算機へのアクセスの制御及び解析、管理を行っている従来のシステムについて説明する。
従来のシステムは、管理用計算機、建屋、建屋への入退場を制御する機器、建屋への入退場の履歴を記録する入退場履歴記憶部、居室、居室への入退室を制御する機器、居室への入退室の履歴を記録する入退室履歴記憶部、一般用計算機、一般用計算機へのアクセスの履歴を記録する計算機履歴記憶部から構成される。管理用計算機と一般用計算機、建屋への入退場を制御する機器、居室への入退室を制御する機器とは、ネットワークにより接続されている。
【0003】
次に動作について説明する。
建屋への入退場を制御する機器は建屋に入ろうとする者に対してその可否を判断し、その結果を入退場履歴記憶部に記憶する。
次に居室の出入り口にある入退室を制御する機器は、居室に入ろうとする者に対してその入室の可否を判断し、その結果を入退室履歴記憶部に記憶する。
そして、一般用計算機がアクセスされた場合には、そのアクセスの履歴を計算機履歴記憶部に記録する。
【0004】
入退場履歴記憶部、入退室履歴記憶部、計算機履歴記憶部に記録された各履歴は、各記憶部に記録されると同時に、または、定期的に、または管理用計算機からの命令により、管理用計算機に送信される。
【0005】
上述した従来のシステムでは、建屋への入退場や居室への入退室の物理的なセキュリティと、計算機上又はその計算機とネットワーク接続された計算機上の情報へのアクセス制御という情報セキュリティとが別々に管理されていた。
【0006】
【特許文献1】
特開2002−41469号公報
【0007】
【発明が解決しようとする課題】
上述のように、従来のシステムでは、単純に、各記憶部から管理用計算機に履歴が送信され、別々に管理されているので、当該建屋または居室に入退場または入退室できる正当権限者に隠れてついていって、入退場または入退室を行った者により、一般用計算機に不正アクセスが行われてしまう危険があった。
このように、一般用計算機に不正アクセスが行われた場合に、建屋や居室に入った不正者が一般用計算機にアクセスしている事実を検出できなかったり、不正アクセスを行った不正者が誰なのか特定できなかったり、不正者を特定できたとしても上記各記憶部に記憶された履歴を人間がチェックすることにより不正者を特定するため、不正者の特定に時間がかかるという問題点があった。
【0008】
この発明は、電子機器への不正アクセスを検出することを目的とする。
【0009】
【課題を解決するための手段】
この発明に係る管理機器は、電子機器が内部に配置されている構造物の出入口から入退場したユーザの入退場履歴情報を記憶する入退場履歴記憶部と、
上記構造物の内部に配置されている電子機器へアクセスしたユーザのアクセス履歴情報を記憶する電子機器履歴記憶部と、
上記電子機器をアクセスしたユーザが正当なユーザであるかの問い合わせを上記電子機器から受信する受信部と、
上記電子機器履歴記憶部が記憶したアクセス履歴情報のうち、上記受信部が受信した問い合わせに対応するアクセス履歴情報と上記入退場履歴記憶部が記憶した入退場履歴情報とに基づいて上記電子機器をアクセスしたユーザが不正者か否かを判定する判定部とを備える。
【0010】
【発明の実施の形態】
実施の形態1.
本実施の形態の管理システムでは、建屋への入退場や居室への入退室の物理的なセキュリティと、計算機上またはその計算機とネットワーク接続された計算機上の情報へのアクセス制御という情報セキュリティとを統合する。このように統合することにより、本実施の形態の管理システムでは、計算機またはその計算機とネットワーク接続された計算機上の情報へ不正にアクセスが行われた場合に、迅速にその不正アクセス者を特定し、正規に入退場または入退室した者であって、かつ、計算機またはその計算機とネットワーク接続された計算機上の情報へのアクセス権限を持った者のみに情報のアクセスを許可する。
【0011】
以下、実施の形態1について説明する。
図1は、この発明の実施の形態1に係るシステム構成図である。
本システムは、管理用計算機1と、建屋9への入退場を制御する機器であるICカードリーダライタ2と、ICカードリーダライタ2が制御するユーザの入退場のログ(入退場履歴情報)を記憶した入退場履歴記憶部3と、居室10への入退室を制御する機器である指紋認証装置4と、指紋認証装置4が制御するユーザの入退室のログ(入退室履歴情報)を記憶した入退室履歴記憶部5と、一般用計算機6と、一般用計算機6にアクセスするユーザのアクセスログ(アクセス履歴情報)を記憶した計算機履歴記憶部7とから構成される。管理用計算機1は、ネットワーク8を介してICカードリーダライタ2と指紋認証装置4と一般用計算機6と接続される。ネットワーク8には、無線ネットワーク、有線ネットワーク、インターネットVPNなどを使用することができる。
【0012】
本システムでは、建屋9を仕切った居室10内に一般用計算機6が配置されている。建屋9は、構造物の一例であり、居室10は、構造物(建屋9)を仕切った複数の居室のうちの1つの居室を示している。一般用計算機6は、ユーザが情報をアクセスするために使用される電子機器の一例である。
【0013】
一般用計算機6を利用したいユーザは、建屋9の出入口から内部に入るために、ユーザの持つICカードをICカードリーダライタ2に差し込む。
ICカードリーダライタ2は、建屋9に入ろうとする者に対して入場の可否を判断し、その結果を入退場履歴記憶部3に記録する。具体的には、まず、ICカードリーダライタ2は、差し込まれたICカードに記憶されたユーザ登録情報を読み込む。ICカードには、予めユーザ登録情報として、例えば、ユーザIDとICカード番号が登録されている。ICカードには、その他、ICカードを利用できる有効期限などの情報を登録していてもよい。
ICカードリーダライタ2は、読み込んだユーザ登録情報からユーザが建屋9に入場可能な者であると認証した場合、ユーザに入場を許可するとともに、このユーザの入場の履歴を入退場履歴情報として入退場履歴記憶部3に記憶する。入退場履歴記憶部3に記憶される入退場履歴情報の一例としては、建屋9に入退場したユーザを識別する入退場ユーザ識別情報(ユーザID)や、建屋9に入退場した入退場時刻、イベントの種類(入場、退場など)が挙げられる。
【0014】
ICカードリーダライタ2は、磁気ストライプカード等の接触型カードや無線通信可能な非接触型カード、無線タグなどに記憶された情報を読み込み、または、書き込みするリーダライタの一例である。
ICカードリーダライタ2は、他の認証装置に置き換えることができる。たとえば、眼球内に入る光の量を調節する虹彩や指の皮膚の隆起線である指紋や手のひらの皮膚の隆起線である掌紋等の人間の各部の特徴部分を個人の識別情報として用いて認証する生体認証装置に置き換えることができる。
このように、本システムでは、ICカードリーダライタ2のような入退場用物理的セキュリティ機器によって、建屋9へ人間が入退場する際のセキュリティを物理的に管理している。
【0015】
次に、ユーザは、居室10の出入口から内部に入るために、ユーザの指を指紋認証装置4に当てる。
居室10の出入り口には、入退室を制御する機器である指紋認証装置4が設置され、指紋認証装置4は、居室10に入ろうとする者に対してその入室の可否を判断し、その結果を入退室履歴記憶部5に記録する。すなわち、指紋認証装置4は、ユーザの指紋からユーザが居室10に入室可能な者であるかを判断する。指紋認証装置4には、予めユーザ登録情報として、ユーザIDとユーザIDに対応する指紋が登録されている。
指紋認証装置4は、ユーザの指紋からからユーザが居室10に入室可能な者であると認証した場合、ユーザに入室を許可するとともに、このユーザの入室の履歴を入退室履歴情報として入退室履歴記憶部5に記憶する。入退室履歴記憶部5に記憶される入退室履歴情報の一例としては、居室10に入退室したユーザを識別する入退室ユーザ識別情報(ユーザID)や、居室10に入退室した入退室時刻、イベントの種類(入室、退室など)が挙げられる。
【0016】
なお、指紋認証装置4は、他の認証装置に置き換えて使用することができる。たとえば、指紋認証装置4は、虹彩や指紋や掌紋等から個人を認証する生体認証装置に置き換えることができる。また、指紋認証装置4は、ICカードリーダライタやその他のリーダライタに置き換えることができる。
このように、本システムでは、指紋認証装置4のような入退室用物理的セキュリティ機器によって、建屋9を仕切ったいずれかの居室10へ人間が入退室する際のセキュリティを物理的に管理している。
【0017】
次に、ユーザは、一般用計算機6を使用して情報へのアクセスを実行するために、一般用計算機6へログインする。すなわち、ユーザは、一般用計算機6へ自己のユーザID及びパスワードを入力する。ただし、一般用計算機6が生体認証やカードによる認証を要求している場合には、ユーザは要求されている方法によって自己の識別情報を与える。
上記ログインにより一般用計算機6がアクセスされた場合には、一般用計算機6はそのアクセスの履歴を計算機履歴記憶部7に記録する。すなわち、一般用計算機6は、ログイン時にユーザID及びパスワードの入力があった場合、一般用計算機6にアクセスしたユーザを識別するユーザID(アクセスユーザ識別情報)とユーザがアクセスしたアクセス時刻とをユーザのアクセス履歴情報として計算機履歴記憶部7に記憶する。
また、一般用計算機6はユーザから予め定められた一定のファイルの起動命令を受けた場合、ユーザID、パスワードの入力を要求する場合には、ログイン時と同様に、入力されたユーザID及びアクセス時刻をユーザのアクセス履歴情報として計算機履歴記憶部7に記憶する。
なお、計算機履歴記憶部7は、建屋9の内部に配置されている一般用計算機6へアクセスしたユーザのアクセス履歴情報を記憶する電子機器履歴記憶部の一例である。
【0018】
次に、一般用計算機6は、一般用計算機6をアクセスしたユーザが正当ユーザであるかを、ネットワーク8で接続された管理用計算機1に問い合せる。
【0019】
入退場履歴記憶部3、入退室履歴記憶部5、計算機履歴記憶部7に記録された各履歴は、各記憶部に記録されると同時に、または、定期的に、または管理用計算機1からの命令により、管理用計算機1に送信される。
【0020】
一般用計算機6からの問い合わせに対し、管理用計算機1は、ネットワーク8で接続された一般用計算機6をアクセスした者の中に不正者がいないかを判定する。
管理用計算機1は、一般用計算機6にアクセスした不正者の判定を行うことによって、建屋9の内部の居室10内に配置されている一般用計算機6に記憶された情報のセキュリティを守る管理機器の一例である。
管理用計算機1は、計算機履歴記憶部7に記憶されたアクセス履歴情報と入退場履歴記憶部3が記憶した入退場履歴情報と入退室履歴記憶部5が記憶した入退室履歴情報とに基づいて一般用計算機6をアクセスしたユーザが不正者か否かを判定する。判定方法の詳細については後述する。
【0021】
図2は、管理用計算機1の内部構成を示す図である。
管理用計算機1は、各機器からの信号を受信する受信部121と、各機器へ信号を送信する送信部120と、一般用計算機6をアクセスしたユーザが不正者か否かを判定する判定部100と、入退場履歴記憶部3や入退室履歴記憶部5や計算機履歴記憶部7などに記憶された履歴を検索する検索部110と、一般用計算機6をアクセスしたユーザが不正者であると判定された場合に何らかの警告を発する警告部140と、所定の履歴情報などを表示する表示部130とから構成される。
また、管理用計算機1と一般用計算機6とで管理システム800が構成される。
【0022】
検索部110が検索する情報は、入退場履歴記憶部3や入退室履歴記憶部5や計算機履歴記憶部7に記憶された各種の履歴情報の他、入退場履歴記憶部3と入退室履歴記憶部5の履歴情報を併合した併合履歴情報を記憶した併合履歴記憶部15であってもよい。
【0023】
次に、管理用計算機1の行う動作について説明する。
一般用計算機6がログインされる時、または、一般用計算機6上のある情報にアクセスが行われる時、図3に示す処理が行われる。
図3のS1の処理において、一般用計算機6は、ユーザにユーザの識別情報の入力を求める。ここでは、一般用計算機6は、ユーザの識別情報としてユーザIDとパスワードとをユーザに求めることとする。また、一般用計算機6は、ユーザからのアクセスを受けると、アクセスユーザ識別情報とともに一般用計算機6をアクセスしたユーザが正当ユーザであるかの問い合わせを管理用計算機1に行い、管理用計算機1の受信部121はこれを受信する。
ここで、アクセスユーザ識別情報とは、一般用計算機6にアクセスしたユーザの識別情報であり、一例としてはユーザIDが挙げられる。また、アクセスユーザ識別情報は、計算機履歴記憶部7に記憶されたアクセス履歴情報に含まれる情報である。
また、一般用計算機6がユーザからのアクセスを受けるとは、一般用計算機6がログインされようとしていること、または、一般用計算機6を使用して、任意の記憶領域に記憶された、ある情報にアクセスがされようとしていることをいう。
【0024】
次に、S2の判断において、管理用計算機1の受信部121は、入退場のログである入退場履歴情報または入退室のログである入退室履歴情報を既に受信しているかどうかを調べる。受信済であればS4の判断に進む。そうでなければS3の処理に進む。
【0025】
S3の処理において、管理用計算機1の受信部121は、入退場履歴記憶部3に記憶された入退場履歴情報か、または、入退室履歴記憶部5に記憶された入退室履歴情報かの少なくともいずれかを取得する。そして、S4の判断に進む。
ここで、前述したように、入退場履歴記憶部3に記憶された入退場履歴情報には、建屋9に入退場したユーザを識別する入退場ユーザ識別情報とユーザが入退場した入退場時刻が含まれる。入退場履歴情報には、これらの情報とともに各履歴のイベントの種類を記憶していてもよい。イベントの種類とは、たとえば、建屋9への入場や退場、居室10への入室や退室、一般用計算機6のログインやログアウト、各種ファイルの起動等をいう。
入退場履歴記憶部3に記憶された入退場履歴情報は、建屋9に入場したユーザと建屋9を退場したユーザとを比較して、建屋9から退場したユーザ以外のユーザ、すなわち、建屋9内に居るユーザの識別情報のみをそのユーザの入場時刻とともに記憶し、入場したがその後に退場してしまったユーザの履歴は消去してもよい。
【0026】
同様に、入退室履歴記憶部5に記憶された入退室履歴情報には、居室10に入退室したユーザを識別する入退室ユーザ識別情報とユーザが入退室した入退室時刻が含まれる。入退室履歴情報には、これらの情報とともに各履歴のイベントの種類を記憶していてもよい。
入退室履歴記憶部5に記憶された入退室履歴情報は、居室10に入室したユーザと居室10を退室したユーザとを比較して、居室10から退室したユーザ以外のユーザ、すなわち、居室10内に居るユーザの識別情報のみをそのユーザの入場時刻とともに記憶し、入場したがその後に退場してしまったユーザの履歴は消去してもよい。
【0027】
S4の判断において、管理用計算機1の検索部110は、入退場履歴情報または入退室履歴情報の少なくともいずれかの中から所定のユーザ識別情報(入退場ユーザ識別情報、入退室ユーザ識別情報)を選択する。
管理用計算機1の判定部100は、受信部121が受信した問い合わせに対応するアクセス履歴情報と入退場履歴記憶部3が記憶した入退場履歴情報または入退室履歴記憶部5が記憶した入退室履歴情報とから検索部110によって選択された上記ユーザ識別情報に基づいて一般用計算機6をアクセスしたユーザが正当入場者か否かを判定する。
【0028】
検索部110が選択した所定の入退場ユーザ識別情報または入退室ユーザ識別情報の中に一般用計算機6をアクセスしたユーザのアクセスユーザ識別情報と合致する情報がある場合、判定部100は処理を正常終了する。
一方、検索部110が選択した所定の入退場ユーザ識別情報または入退室ユーザ識別情報の中に一般用計算機6をアクセスしたユーザのアクセスユーザ識別情報と合致する情報がない場合、判定部100は処理を異常終了する。
【0029】
正常終了した場合は、送信部120は一般用計算機6をアクセスしたユーザが正当入場者であることを一般用計算機6に通知する。
一般用計算機6は、これを受けて、ユーザがログイン又は、ある情報にアクセスした時に入力したユーザID及びパスワードが予め登録されたユーザID及びパスワードであるかを照合し、照合の結果、正当なユーザID及びパスワードである(正当アクセス者である)と判断した場合には、ユーザにログイン又は、情報へのアクセスを許可する。一方、一般用計算機6は、不当なユーザID及びパスワードである(正当アクセス者でない)と判断した場合には、ユーザへログイン又は、情報へのアクセスの拒否を通知する。
異常終了した場合は、送信部120は一般用計算機6をアクセスしたユーザが不正入場者であることを一般用計算機6に通知し、一般用計算機6は、これを受けて、前記ユーザのログインを拒否し、または前記情報へのユーザのアクセスを拒絶する。
このように、管理用計算機1が一般用計算機6からの問合せを受け、ユーザの入退場又は入退室に関する情報からユーザが正当入場者か不当入場者かを判断し、一般用計算機6が管理用計算機1の上記判断とともに、ユーザIDとパスワードによってユーザが正当アクセス者か不当アクセス者かを自ら判断し、前記2つの判断を総合して一般用計算機6は、最終的にユーザを正当者か不当者かのいずれかとして判断を下す。
よって、管理用計算機1には、ユーザIDとパスワードの照合処理及び照合の結果、ユーザが正当アクセス者であるかの判断処理を行わせないため、本実施の形態の発明では、認証処理が集中し、システムのウイークポイントとなる可能性の高い管理用計算機1に認証処理を集中せず、管理用計算機1と一般用計算機6とで、認証処理を分散させることで迅速な認証処理を可能とするシステムを構築できる。
特に、一般用計算機6は、ユーザにログイン時だけでなく、情報へのアクセス時にもユーザID等の入力を要求し、セキュリティの強度を高めることのできる本システムでは、上記処理の分散は、システムの運用上、メリットが大きい。
【0030】
警告部140は、たとえば、音を発したり、管理用計算機1のディスプレイに警告を表示するなどして、不正者の侵入を警告する。
判定部100が一般用計算機6へアクセスしたユーザを不正者と判定して異常終了した場合、警告部140が、このように、所定の警告を発することによって、一般用計算機6の情報を管理するセキュリティ管理者や建屋9に在中する警備員などは不正者の侵入を察知できるため、不正者に対する迅速な対応が可能となる。
また、判定部100が一般用計算機6へアクセスしたユーザを不正者と判定して異常終了した場合、表示部130が不正者の履歴に関する一定の範囲の入退場履歴情報または入退室履歴情報またはアクセス履歴情報を赤字で表示することにより不正者の侵入を警告するようにしてもよい。
【0031】
次に、上記判定部100の不正者判定方法の詳細を説明する。
まず、入退場履歴記憶部3に記憶された入退場履歴情報と、一般用計算機6からの問い合わせに係る、計算機履歴記憶部7に記憶されたユーザのアクセス履歴情報とから不正者か否かを判定する判定方法について説明する。
【0032】
図4は、検索部110が検索する検索データ11を示した図である。図の左側は入退場履歴情報12を示し、図の右側はアクセス履歴情報13を示す。
図に示すように、入退場履歴記憶部3に記憶された入退場履歴情報12には、ユーザが入退場した入退場時刻70と入退場ユーザ識別情報であるユーザID72とイベント74とが記憶されている。また、計算機履歴記憶部7に記憶されたアクセス履歴情報13には、ユーザが一般用計算機6をアクセスしたアクセス時刻71とアクセスユーザ識別情報であるユーザID73とイベント75とが記憶されている。
【0033】
まず、検索部110は、所定の時間として検索を開始する入退場時刻T(0)及び検索を終了する入退場時刻T(E)を設定する。この時刻はユーザが指定する、あるいは、問い合わせに係るアクセス時刻71からあらかじめ一定時間前または一定時間後とする。
検索部110は、計算機履歴記憶部7が記憶したアクセス時刻71のうち、一般用計算機6からの問い合わせに対応するユーザID73のアクセス時刻71を基準として所定の時間内に含まれる入退場時刻70を持つイベント74を入退場履歴記憶部3から検索して選択する。
たとえば、一般用計算機6からの問い合わせに対応するユーザID73がA9999の場合、アクセス時刻71はT(XN)である。このアクセス時刻T(XN)を基準として所定の時間内に含まれる入退場時刻70を持つイベント74を検索して選択する。
ここで、所定の時間を24時間とし、入退場時刻T(0)及び入退場時刻T(E)がアクセス時刻T(XN)から24時間以内の時刻と仮定する。このように仮定すると検索部110は、入退場履歴情報12から入退場時刻T(0)のイベントP(EO)〜入退場時刻T(E)のイベントP(EY)を選択する。
【0034】
判定部100は、検索部110が検索した結果、選択した入退場履歴情報12に含まれる入退場ユーザ識別情報(ユーザID72)と問い合わせに対応するアクセスユーザ識別情報(ユーザID73)とを比較して一般用計算機6へアクセスしたユーザが不正者か否かを判定する。図4では、ユーザID73がA9999であり、選択された入退場ユーザIDの中にA9999のユーザID72は存在しないので、判定部100は、一般用計算機6にアクセスしたユーザを建屋9に入場も退場もしていない不正者であると判定する。
【0035】
次に、一般用計算機6からの問い合わせに対応するユーザID73がA2880である場合についての判定について説明する。
ユーザID73がA2880である場合のアクセス時刻71はT(XX)である。検索部110は、このアクセス時刻T(XX)を基準として所定の時間内に含まれる入退場時刻70を持つイベント74を検索して選択する。ここでは、仮に、検索部110が、入退場履歴情報12から入退場時刻T(0)のイベントP(EO)〜入退場時刻T(E)のイベントP(EY)を選択したとする。
【0036】
判定部100は、検索部110が検索した結果、選択した入退場履歴情報12に含まれる入退場ユーザ識別情報(ユーザID72)と問い合わせに対応するアクセスユーザ識別情報(ユーザID73)とを比較して一般用計算機6へアクセスしたユーザが不正者か否かを判定する。図4では、ユーザID73がA2880であり、選択されたユーザID72の中にA2880のIDが存在する。判定部100は、A2880のユーザID72をもつイベントP(EO)の種類が「入場」であり、入退場時刻T(O)がアクセス時刻T(XX)よりも早い時刻であることを確認する。判定部100は、上記確認を行ってから一般用計算機6にアクセスしたユーザを建屋9に入場した正当者であると判定する。
【0037】
次に、一般用計算機6からの問い合わせに対応するユーザID73がA2320である場合についての判定について説明する。
ユーザID73がA2320である場合のアクセス時刻71はT(X1)である。検索部110は、このアクセス時刻T(X1)を基準として所定の時間内に含まれる入退場時刻70を持つ入退場履歴情報12を検索して選択する。ここでは、仮に、検索部110が、入退場履歴情報12から入退場時刻T(0)のイベントP(EO)〜入退場時刻T(E)のイベントP(EY)を選択したとする。
【0038】
判定部100は、検索部110が検索した結果、選択した入退場履歴情報12に含まれる入退場ユーザ識別情報(ユーザID72)と問い合わせに対応するアクセスユーザ識別情報(ユーザID73)とを比較して一般用計算機6へアクセスしたユーザが不正者か否かを判定する。図4では、ユーザID73がA2320であり、選択されたユーザID72の中にA2320のIDが存在する。判定部100は、A2320のユーザID72をもつ入退場時刻T(XN)及び入退場時刻T(E)がいずれもアクセス時刻T(X1)より遅いことを確認する。判定部100は、上記確認から一般用計算機6にアクセスしたユーザを建屋9に入場する前に一般用計算機6をアクセスしたユーザ、すなわち、不正者であると判定する。
【0039】
図4の左側に示した入退場履歴情報は、入退室履歴記憶部5に記憶された入退室履歴情報に置き換え、入退室履歴情報を検索データとして上述した判定を行ってもよい。
また、入退場履歴記憶部3に記憶された入退場履歴情報と入退室履歴記憶部5に記憶された入退室履歴情報とを併合した情報を検索データとして用いてもよい。すなわち、図4の左側に示した検索データとしては、入退場履歴記憶部3に記憶された入退場履歴情報と入退室履歴記憶部5に記憶された入退室履歴情報との少なくともいずれかを用いることができる。
【0040】
なお、入退場履歴記憶部3が、建屋9内に居るユーザの識別情報(ユーザID72)をそのユーザの入場時刻とともに記憶し、建屋9から退場してしまったユーザの履歴情報を入退場履歴情報12から随時消去する場合には、判定部100は、問い合わせに対応するアクセスユーザ識別情報(ユーザID73)と入退場履歴情報12に含まれる入退場ユーザ識別情報(ユーザID72)とを比較して、一致するユーザIDがない場合には、一般用計算機6へアクセスしたユーザが不正者であると判定する。この場合には、建屋9から退場してしまったユーザの履歴情報を入退場履歴情報12から随時消去する。従って、検索するデータ量を少なくすることができ、処理スピードを向上させることができる。
【0041】
以上のように、建屋9への入退場または居室10への入退室を制御する機器(ICカードリーダライタ2、指紋認証装置4)と、前記機器によって記録される前記入退場または前記入退室のログ(入退場履歴記憶部3に記憶された入退場履歴情報または入退室履歴記憶部5に記憶された入退室履歴情報)と、前記建屋9内または前記居室10内の一般用計算機6と、前記一般用計算機6が記録する前記一般用計算機6へのアクセスのログ(計算機履歴記憶部7に記憶された計算機履歴情報)と、前記入退場または前記入退室のログ(入退場履歴情報または入退室履歴情報)と前記一般用計算機6へのアクセスのログ(計算機履歴情報)とを通信するネットワーク8と、前記ネットワーク8に接続された管理用計算機1から構成され、前記一般用計算機6にアクセスしようとする者がいる時に、前記管理用計算機1は、前記入退場または前記入退室のログ(入退場履歴情報または入退室履歴情報)を参照し、前記一般用計算機6へアクセスしようとしている者のデータが前記入退場または前記入退室のログ(入退場履歴情報または入退室履歴情報)にない場合には、前記一般用計算機6へのアクセスを禁止することができるという効果がある。
【0042】
また、入退場履歴記憶部3が、入退場履歴情報として構造物(建屋9)に入退場したユーザを識別する入退場ユーザ識別情報(ユーザID72)を記憶し、電子機器履歴記憶部(計算機履歴記憶部7)が、アクセス履歴情報として電子機器(一般用計算機6)へアクセスしたユーザを識別するアクセスユーザ識別情報(ユーザID73)を記憶し、管理機器(管理用計算機1)の判定部100が、電子機器履歴記憶部(計算機履歴記憶部7)によって記憶されたアクセスユーザ識別情報(ユーザID73)のうち、受信部121が受信した問い合わせに対応するアクセスユーザ識別情報(ユーザID73)と入退場履歴記憶部3が記憶した入退場ユーザ識別情報(ユーザID72)とを比較することによって、電子機器(一般用計算機6)へアクセスしたユーザが不正者か否かを判定することができる。
【0043】
さらに、入退場履歴記憶部3が、入退場履歴情報として入退場ユーザ識別情報(ユーザID72)とともにユーザが入退場した入退場時刻70を記憶し、電子機器履歴記憶部(計算機履歴記憶部7)が、アクセス履歴情報としてアクセスユーザ識別情報(ユーザID73)とともにユーザがアクセスしたアクセス時刻71を記憶し、管理機器(管理用計算機1)の検索部110が、電子機器履歴記憶部(計算機履歴記憶部7)が記憶したアクセス時刻71のうち、受信部121が受信した問い合わせに対応するアクセス時刻71を基準として所定の時間内に含まれる入退場時刻70を持つ入退場履歴情報を入退場履歴記憶部3から検索して選択し、判定部100が、検索部110が検索した結果、選択した入退場履歴情報に含まれる入退場ユーザ識別情報(ユーザID72)と受信部121が受信した問い合わせに対応するアクセスユーザ識別情報(ユーザID73)とを比較することで、電子機器(一般用計算機6)へアクセスしたユーザが不正者か否かを判定することができる。
【0044】
さらに、入退室履歴記憶部5が、構造物(建屋9)を仕切った複数の居室の少なくともいずれかの居室10の出入口から入退室したユーザの入退室履歴情報を記憶し、判定部100は、入退場履歴記憶部3が記憶した入退場履歴情報と入退室履歴記憶部5が記憶した入退室履歴情報との少なくともいずれかと受信部121が受信した問い合わせに対応するアクセス履歴情報とに基づいて電子機器(一般用計算機6)をアクセスしたユーザが不正者か否かを判定することができる。
【0045】
次に、表示部130による履歴情報の表示方法について説明する。
表示部130は、図4に示した検索データ11を管理用計算機1の表示画面等に詳細に描画する。
図4において、上述したように、左側は入退場または入退室のイベントの少なくともいずれかを時系列に表示したもの、右側は一般用計算機6へのアクセスのイベントを時系列に表示したもので、時刻T(XN)において、入退場または入退室のイベントP(EN)と一般用計算機6上のイベントC(EN)とが同時に起きた場合の例を示している。
【0046】
一般用計算機6に不正アクセスが行われた場合に、図4に示すように、管理用計算機1の表示部130は、入退場のログである入退場履歴情報または入退室のログである入退室履歴情報の少なくともいずれかと、一般用計算機6へのアクセスのログであるアクセス履歴情報とを時系列に並列表示する。
【0047】
次に表示部130が履歴表示のために行う処理について説明する。
図5のS10の処理によって、イベント表示の開始時刻T(O)及びT(E)が設定される。この時刻は、ユーザが指定する、あるいは、中心となる時刻からあらかじめ一定時間前または一定時間後とする。
表示部130は、入退場履歴情報または入退室履歴情報の少なくともいずれかと、一般用計算機6へのアクセスの履歴情報の各々から、入退場時刻T(O)〜入退場時刻T(E)間のイベント(入退場時刻T(O)のイベントと入退場時刻T(E)のイベントを含む。)を抽出する。抽出されたイベントを時刻順に整列する。入退場または入退室のイベント74をP(TX1)、P(TX2)、・・・・、P(TXN)とし、一般用計算機6へのアクセスのイベント75をC(TY1)、C(TY2)、・・・・、C(TYM)とする。ここで、TX1、TX2、・・・、TXN及びTY1、TY2、・・・、TYMは各イベントの時刻である。
【0048】
図5のS11の処理では、変数iと変数jに初期値1を各々入力する。
S12の処理では、TXiの値をTXに代入する。
S13の処理では、TYiの値をTYに代入する。
S14の処理では、TXとTYとを比較する。
比較の結果、TXがTYより小さい場合には、P(TX)のイベントはC(TY)のイベントより早く行われたイベントであるため、P(TX)のイベントをC(TY)のイベントより上になるように表示し(S16)、iに1を加算する(S19)。そして、iがN以下の場合、S12の処理に戻り(S22)、iがNより大きい場合、図6に示す処理を行う。すなわち、C(TY)を表示し(S24)、jを1加算し(S25)、jがMより大きい場合、処理を終了し、jがM以下の場合、S13の処理に戻る(S26)。
【0049】
一方、比較の結果、TXとTYとが等しい場合には(S15)、P(TX)のイベントはC(TY)のイベントと同時に行われたイベントであるため、P(TX)のイベントとC(TY)のイベントとが同じ垂直位置になるように表示し(S17)、iとjとに各々1を加算し(S20)、iがN以下の場合、S12の処理に戻り(S30)、iがNより大きい場合、S23の処理を行う。
一方、比較の結果、TXがTYより大きい場合には(S15)、P(TX)のイベントはC(TY)のイベントとより遅く行われたイベントであるため、P(TX)のイベントをC(TY)のイベントより下になるように表示し(S18)、jに1を加算する(S21)。jがM以下の場合、S13の処理に戻る(S23)。jがMより大きい場合、処理を終了する。
【0050】
以上のように、本実施の形態では、前記一般用計算機6への不正アクセスが行われた場合に、前記入退場または前記入退室のログ(入退場履歴情報または入退室履歴情報)の内容、または一般用計算機6のログ(計算機履歴情報)の内容の項目を、管理用計算機1上で検索することができる。
【0051】
また、判定部100が電子機器(一般用計算機6)へアクセスしたユーザを不正者と判定した場合に、表示部130は、電子機器履歴記憶部(計算機履歴記憶部7)が記憶した不正者のアクセス時刻を基準として所定のアクセス時刻を持つアクセス履歴情報を電子機器履歴記憶部(計算機履歴記憶部7)から選択するとともに不正者のアクセス時刻を基準として所定の入退場時刻を持つ入退場履歴情報を入退場履歴記憶部3から選択し、選択したアクセス履歴情報と入退場履歴情報とを表示することによって、管理用計算機1を操作するシステム管理者に不正者の履歴に関する情報を知らせることができる。
よって、一般用計算機6への不正アクセスが行われた場合に、前記入退場または前記入退室のログ(入退場履歴情報または入退室履歴情報)の内容と、一般用計算機6のログ(計算機履歴情報)の内容とを表示し、特に、同一時刻に発生したイベントは、管理用計算機1の表示部130上に並列表示することで、不正アクセスの状況を、視覚的な表示によって管理者に提供することができる。
【0052】
また、検索部110は、所定のアクセス時刻を持つアクセス履歴情報と所定のアクセス時刻を持つ入退場履歴情報とを検索して複数選択し、表示部130は、検索部110が検索した結果選択した複数のアクセス履歴情報と複数の入退場履歴情報とを並列して表示するかまたは複数のアクセス履歴情報と複数の入退場履歴情報とを併合して表示するかのいずれかにより表示することによって、管理用計算機1の管理者が見やすく、管理しやすい履歴情報を提供できる。すなわち、一般用計算機6への不正アクセスが行われた場合に、前記入退場または前記入退室のログ(入退場履歴情報または入退室履歴情報)の内容と、一般用計算機6のログ(計算機履歴情報)の内容とを合成し、どちらかに発生したイベントを、時刻順に管理用計算機1の表示部130上に表示することによって、さらに、管理者に見やすい履歴情報を提供できる。
【0053】
以上の説明から本実施の形態の発明は、不正に建屋9や居室10に侵入した不正者が一般用計算機6にアクセスしていることを検出することができる。
【0054】
また、一般用計算機6への不正アクセスが行われた場合に、その不正アクセスを行った不正者の特定を支援することができる。
【0055】
また、以上の管理システムを構築することによって、建屋9または居室10への不正侵入者の計算機への不正アクセスを抑止し、不正アクセスを減少させることができる。
【0056】
さらに、一般用計算機6を使用してファイルやデータベースをアクセスするためにアプリケーションを起動した時に、アクセス者にユーザIDやパスワードを入力させることによって、ファイルやデータベースにアクセスした履歴もログイン履歴などと同様に計算機履歴記憶部7に記憶される。よって、どんなデータを誰がアクセスしたかを計算機履歴情報によって知ることができるため、ログインが正当権利者によって行われ、その後に、正当権利者が席をはずしたすきに、不正者による不正アクセスが行われた場合においても、ファイルアクセス時のユーザID等の履歴情報により、アクセス者が不正者であると特定することができる。また、この場合、どの情報が不正者に入手されたかも特定できる。
【0057】
さらに、複数人がユーザIDとパスワードを共通にしていた場合に、入場、退場、入室、退室の時刻を入退場または入退室のユーザ識別情報とともに入退場履歴記憶部3または入退室履歴記憶部5のいずれかに記憶させ、アクセスの時刻をアクセスユーザ識別情報とともに計算機履歴記憶部7に記憶させておくことで、入場や退場の時刻から、ユーザIDとパスワードを共通にしていた複数人のうち、いずれかが不正者であったとしても、上記記憶部に記憶された履歴情報を用いて、複数人の内から不正者を特定することができる。
【0058】
図7は管理用計算機1のコンピュータ基本構成図である。
図7において、プログラムを実行するCPU40は、バス38を介してモニタ41、キーボード42、マウス43、通信ポート44、磁気ディスク装置46等と接続されている。
磁気ディスク装置46には、OS47、プログラム群49、ファイル群50が記憶されている。
たとえば、管理用計算機1の判定部100が行う動作をプログラムにより制御する場合には、判定部100の動作を実行するプログラムがプログラム群49に記憶され、CPU40、OS47を使用して実行されることによって、一般用計算機6のアクセス者が不正者か否かを判定することができる。
上記各実施の形態では、管理用計算機1は、通信ポート44の機能を使用して、ネットワーク8を経由して一般用計算機6等と通信を行う。
【0059】
以上に記載した「登録する」、「記憶する」、「表示する」という用語は、記録媒体に保存することを意味する。
【0060】
すべての実施の形態では、各構成要素の各動作はお互いに関連しており、各構成要素の動作は、上記に示された動作の関連を考慮しながら、一連の動作として置き換えることができる。そして、このように置き換えることにより、方法の発明の実施形態とすることができる。
また、上記各構成要素の動作を、各構成要素の処理と置き換えることにより、プログラムの実施の形態とすることができる。
また、プログラムを、プログラムを記録したコンピュータ読み取り可能な記録媒体に記憶させることで、プログラムに記録したコンピュータ読み取り可能な記録媒体の実施の形態とすることができる。
【0061】
プログラムの実施の形態及びプログラムに記録したコンピュータ読み取り可能な記録媒体の実施の形態は、すべてコンピュータで動作可能なプログラムにより構成することができる。
プログラムの実施の形態およびプログラムを記録したコンピュータ読み取り可能な記録媒体の実施の形態における各処理はプログラムで実行されるが、このプログラムは、記録装置に記録されていて、記録装置から中央処理装置(CPU)に読み込まれ、中央処理装置によって、各フローチャートが実行されることになる。
また、各実施の形態のソフトウェアやプログラムは、ROM(READ ONLY MEMORY)に記憶されたファームウェアで実現されていても構わない。あるいは、ソフトウェアとファームウェアとハードウェアとの組み合わせで前述したプログラムの各機能を実現しても構わない。
【0062】
【発明の効果】
電子機器への不正アクセスを検出することができる。
【図面の簡単な説明】
【図1】実施の形態1および実施の形態2のシステム構成図。
【図2】管理用計算機の内部構成図。
【図3】ユーザが不正者か否かを判定するフローチャート。
【図4】検索データを示す図。
【図5】検索データの表示方法を決定するフローチャート。
【図6】図5の処理に続く処理を示すフローチャート。
【図7】管理用計算機のコンピュータ基本構成図である。
【符号の説明】
1 管理用計算機、2 ICカードリーダライタ、3 入退場履歴記憶部、4指紋認証装置、5 入退室履歴記憶部、6 一般用計算機、7 計算機履歴記憶部、8 ネットワーク、9 建屋、10 居室、11 検索データ、12 入退場履歴情報、13 アクセス履歴情報、15 併合履歴記憶部、38 バス、40 CPU、41 モニタ、42 キーボード、43 マウス、44 通信ポート、46 磁気ディスク装置、47 OS、49 プログラム群、50 ファイル群、70 入退場時刻、71 アクセス時刻、72,73 ユーザID、74,75 イベント、100 判定部、110 検索部、120 送信部、121 受信部、130 表示部、140 警告部。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to access control to a computer and management when unauthorized access is performed.
[0002]
[Prior art]
A conventional system that controls, analyzes, and manages access to a computer will be described.
The conventional system includes a management computer, a building, a device for controlling entry to and exit from the building, an entry / exit history storage unit for recording a history of entry to and exit from the building, a room, a device for controlling entry to and exit from a room, and a room. An entry / exit history storage unit that records the entry / exit history of the computer, a general-purpose computer, and a computer history storage unit that records the access history to the general-purpose computer. The management computer and the general-purpose computer, equipment for controlling entrance to and exit from the building, and equipment for controlling entry to and exit from the living room are connected by a network.
[0003]
Next, the operation will be described.
The device that controls entrance to and exit from the building judges whether or not to enter the building, and stores the result in the entry / exit history storage unit.
Next, the device for controlling entry / exit at the entrance of the room determines whether or not a person trying to enter the room can enter the room, and stores the result in the entry / exit history storage unit.
Then, when the general-purpose computer is accessed, the access history is recorded in the computer history storage unit.
[0004]
The histories recorded in the entry / exit history storage unit, the entry / exit history storage unit, and the computer history storage unit are managed in the respective storage units at the same time, or periodically, or by an instruction from the management computer. Is sent to the computer.
[0005]
In the conventional system described above, the physical security of entering / leaving a building or entering / leaving a living room and the information security of controlling access to information on a computer or on a computer connected to the computer via a network are separately provided. Was managed.
[0006]
[Patent Document 1]
JP-A-2002-41469
[0007]
[Problems to be solved by the invention]
As described above, in the conventional system, the history is simply transmitted from each storage unit to the management computer and managed separately, so that it is hidden by the authorized person who can enter or exit the building or the room or enter or exit the building or living room. As a result, there was a risk that a person who entered or exited the room could gain unauthorized access to the general-purpose computer.
In this way, when unauthorized access to a general-purpose computer is performed, it is not possible to detect the fact that an unauthorized person who has entered a building or living room is accessing the general-purpose computer, or who has performed unauthorized access. However, even if it is not possible to identify the wrong person, or even if the wrong person can be identified, it takes time to identify the wrong person because the person checks the history stored in each of the storage units to identify the wrong person. there were.
[0008]
An object of the present invention is to detect unauthorized access to an electronic device.
[0009]
[Means for Solving the Problems]
A management device according to the present invention includes an entry / exit history storage unit that stores entry / exit history information of a user who has entered / exited from an entrance / exit of a structure in which an electronic device is disposed,
An electronic device history storage unit that stores access history information of a user who has accessed the electronic device arranged inside the structure,
A receiving unit that receives an inquiry from the electronic device whether the user who accessed the electronic device is a valid user,
Of the access history information stored in the electronic device history storage unit, the electronic device based on the access history information corresponding to the inquiry received by the receiving unit and the entrance and exit history information stored in the entrance and exit history storage unit A determining unit that determines whether the accessed user is an unauthorized person.
[0010]
BEST MODE FOR CARRYING OUT THE INVENTION
In the management system of the present embodiment, the physical security of entering / leaving a building or entering / leaving a room and the information security of controlling access to information on a computer or on a computer connected to the computer via a network are defined. Integrate. By performing such integration, the management system according to the present embodiment can quickly identify an unauthorized accessor when unauthorized access is made to a computer or information on a computer connected to the computer via a network. Only authorized persons who have entered or exited the room and who have access to information on the computer or on a computer connected to the computer via a network are permitted to access the information.
[0011]
Hereinafter,
FIG. 1 is a system configuration diagram according to
This system stores a
[0012]
In the present system, a general-
[0013]
A user who wants to use the general-
The IC card reader /
When the IC card reader /
[0014]
The IC card reader /
The IC card reader /
As described above, in the present system, the security when a person enters and exits the building 9 is physically managed by the physical security device for entrance and exit such as the IC card reader /
[0015]
Next, the user touches the finger of the user to the
At the entrance of the living room 10, a
When the
[0016]
Note that the
As described above, in the present system, the security when a person enters or leaves one of the rooms 10 that has partitioned the building 9 is physically managed by the physical security device for entering and leaving the room such as the
[0017]
Next, the user logs in to the general-
When the general-
When the general-
Note that the computer history storage unit 7 is an example of an electronic device history storage unit that stores access history information of a user who has accessed the general-
[0018]
Next, the general-
[0019]
The histories recorded in the entry / exit
[0020]
In response to an inquiry from the general-
The
The
[0021]
FIG. 2 is a diagram showing an internal configuration of the
The
The
[0022]
The information searched by the
[0023]
Next, an operation performed by the
When the general-
In the process of S1 in FIG. 3, the general-
Here, the access user identification information is identification information of a user who has accessed the general-
The
[0024]
Next, in the determination of S2, the receiving
[0025]
In the process of S3, the receiving
Here, as described above, the entry / exit history information stored in the entry / exit
The entry / exit history information stored in the entry / exit
[0026]
Similarly, the entry / exit history information stored in the entry / exit history storage unit 5 includes entry / exit user identification information for identifying a user who has entered / exited the room 10 and entry / exit times at which the user entered / exited the room. The entry / exit history information may store the type of event of each history together with such information.
The entry / exit history information stored in the entry / exit history storage unit 5 compares a user who has entered the room 10 with a user who has exited the room 10, and a user other than the user who has exited the room 10, that is, May be stored together with the entry time of the user, and the history of the user who has entered but has subsequently exited may be deleted.
[0027]
In the determination of S4, the
The
[0028]
If the predetermined entry / exit user identification information or the entry / exit user identification information selected by the
On the other hand, when the predetermined entry / exit user identification information or the entry / exit user identification information selected by the
[0029]
In the case of normal termination, the
In response to this, the general-
In the case of abnormal termination, the
As described above, the
Therefore, since the
In particular, the general-
[0030]
The
When the
When the
[0031]
Next, details of a method for determining an unauthorized person by the
First, the entry / exit history information stored in the entry / exit
[0032]
FIG. 4 is a diagram illustrating search data 11 searched by the
As shown in the figure, the entry / exit history information 12 stored in the entry / exit
[0033]
First, the
The
For example, when the user ID 73 corresponding to the inquiry from the general-
Here, it is assumed that the predetermined time is 24 hours, and the entrance / exit time T (0) and the entrance / exit time T (E) are times within 24 hours from the access time T (XN). Assuming this, the
[0034]
The
[0035]
Next, the determination in the case where the user ID 73 corresponding to the inquiry from the general-
When the user ID 73 is A2880, the access time 71 is T (XX). The
[0036]
The
[0037]
Next, the determination when the user ID 73 corresponding to the inquiry from the general-
When the user ID 73 is A2320, the access time 71 is T (X1). The
[0038]
The
[0039]
The entry / exit history information shown on the left side of FIG. 4 may be replaced with the entry / exit history information stored in the entry / exit history storage unit 5, and the above-described determination may be performed using the entry / exit history information as search data.
Alternatively, information obtained by combining the entry / exit history information stored in the entry / exit
[0040]
The entry / exit
[0041]
As described above, the devices (the IC card reader /
[0042]
The entry / exit
[0043]
Further, the entry / exit
[0044]
Further, the entry / exit history storage unit 5 stores entry / exit history information of a user who has entered / exited from the entrance / exit of at least one of the plurality of rooms 10 that partitioned the structure (the building 9). Electronically based on at least one of the entry / exit history information stored in the entry / exit
[0045]
Next, a method of displaying the history information on the
The
In FIG. 4, as described above, the left side shows at least one of the entry and exit events and the entry and exit events in chronological order, and the right side shows the access events to the general-
[0046]
When unauthorized access is performed to the general-
[0047]
Next, a process performed by the
The start times T (O) and T (E) of the event display are set by the processing of S10 in FIG. This time is specified by the user or a predetermined time before or after a predetermined time from the center time.
The
[0048]
In the process of S11 in FIG. 5, the
In the process of S12, the value of TXi is substituted for TX.
In the process of S13, the value of TYi is substituted for TY.
In the process of S14, TX and TY are compared.
As a result of the comparison, if TX is smaller than TY, the P (TX) event is performed earlier than the C (TY) event. It is displayed so as to be on the top (S16), and 1 is added to i (S19). When i is equal to or less than N, the process returns to S12 (S22), and when i is greater than N, the process shown in FIG. 6 is performed. That is, C (TY) is displayed (S24), j is incremented by 1 (S25), and if j is greater than M, the process is terminated. If j is less than M, the process returns to S13 (S26).
[0049]
On the other hand, if TX and TY are equal as a result of the comparison (S15), the P (TX) event is an event that was performed simultaneously with the C (TY) event. The event of (TY) is displayed so as to be at the same vertical position (S17), and 1 is added to i and j (S20). If i is N or less, the process returns to S12 (S30). If i is greater than N, the process of S23 is performed.
On the other hand, as a result of the comparison, if TX is larger than TY (S15), the event of P (TX) is the event of C (TY) and the event performed later. It is displayed so as to be below the event of (TY) (S18), and 1 is added to j (S21). If j is equal to or less than M, the process returns to S13 (S23). If j is greater than M, the process ends.
[0050]
As described above, in the present embodiment, when unauthorized access to the general-
[0051]
When the
Therefore, when unauthorized access to the general-
[0052]
The
[0053]
From the above description, the invention of the present embodiment can detect that an unauthorized person who has illegally entered the building 9 or the living room 10 is accessing the general-
[0054]
Further, when unauthorized access to the general-
[0055]
Further, by constructing the above management system, unauthorized access to the computer by an unauthorized intruder to the building 9 or the living room 10 can be suppressed, and the unauthorized access can be reduced.
[0056]
Furthermore, when an application is started to access a file or a database using the general-
[0057]
Furthermore, when a plurality of persons share the same user ID and password, the entry / exit, entry / exit times are recorded together with the entry / exit or entry / exit user identification information together with the entry / exit
[0058]
FIG. 7 is a basic configuration diagram of a computer of the
7, a
The
For example, when the operation performed by the
In each of the above embodiments, the
[0059]
The terms “register”, “store”, and “display” described above mean that the information is stored in a recording medium.
[0060]
In all embodiments, each operation of each component is related to each other, and the operation of each component can be replaced as a series of operations while taking into account the relation of the operations described above. Then, by substituting in this way, an embodiment of the method invention can be obtained.
Further, by replacing the operation of each of the above components with the processing of each of the components, an embodiment of a program can be realized.
In addition, by storing the program on a computer-readable recording medium on which the program is recorded, an embodiment of a computer-readable recording medium on which the program is recorded can be provided.
[0061]
The embodiment of the program and the embodiment of the computer-readable recording medium recorded in the program can all be configured by a computer-operable program.
Each process in the embodiment of the program and the embodiment of the computer-readable recording medium on which the program is recorded is executed by the program, and the program is recorded in the recording device, and is transmitted from the recording device to the central processing unit ( CPU) and each flowchart is executed by the central processing unit.
Also, the software and programs of each embodiment may be implemented by firmware stored in a ROM (READ ONLY MEMORY). Alternatively, each function of the above-described program may be realized by a combination of software, firmware, and hardware.
[0062]
【The invention's effect】
Unauthorized access to the electronic device can be detected.
[Brief description of the drawings]
FIG. 1 is a system configuration diagram of a first embodiment and a second embodiment.
FIG. 2 is an internal configuration diagram of a management computer.
FIG. 3 is a flowchart for determining whether a user is a fraudulent person.
FIG. 4 is a diagram showing search data.
FIG. 5 is a flowchart for determining a display method of search data.
FIG. 6 is a flowchart showing processing subsequent to the processing in FIG. 5;
FIG. 7 is a computer basic configuration diagram of a management computer.
[Explanation of symbols]
1 management computer, 2 IC card reader / writer, 3 entry / exit history storage unit, 4 fingerprint authentication device, 5 entry / exit history storage unit, 6 general computer, 7 computer history storage unit, 8 network, 9 building, 10 living room, 11 search data, 12 entry / exit history information, 13 access history information, 15 merged history storage unit, 38 bus, 40 CPU, 41 monitor, 42 keyboard, 43 mouse, 44 communication port, 46 magnetic disk device, 47 OS, 49 program Group, 50 file group, 70 entry / exit time, 71 access time, 72, 73 user ID, 74, 75 event, 100 judgment unit, 110 search unit, 120 transmission unit, 121 reception unit, 130 display unit, 140 warning unit.
Claims (11)
上記構造物の内部に配置されている電子機器へアクセスしたユーザのアクセス履歴情報を記憶する電子機器履歴記憶部と、
上記電子機器をアクセスしたユーザが正当なユーザであるかの問い合わせを上記電子機器から受信する受信部と、
上記電子機器履歴記憶部が記憶したアクセス履歴情報のうち、上記受信部が受信した問い合わせに対応するアクセス履歴情報と上記入退場履歴記憶部が記憶した入退場履歴情報とに基づいて上記電子機器をアクセスしたユーザが不正者か否かを判定する判定部とを備える管理機器。An entry / exit history storage unit that stores entry / exit history information of a user who has entered / exited from an entrance / exit of a structure in which the electronic device is disposed,
An electronic device history storage unit that stores access history information of a user who has accessed the electronic device arranged inside the structure,
A receiving unit that receives an inquiry from the electronic device whether the user who accessed the electronic device is a valid user,
Of the access history information stored in the electronic device history storage unit, the electronic device based on the access history information corresponding to the inquiry received by the receiving unit and the entrance and exit history information stored in the entrance and exit history storage unit A management unit comprising: a determination unit configured to determine whether an accessed user is an unauthorized person.
上記電子機器履歴記憶部は、上記アクセス履歴情報として電子機器へアクセスしたユーザを識別するアクセスユーザ識別情報を記憶し、
上記判定部は、上記電子機器履歴記憶部が記憶したアクセスユーザ識別情報のうち、上記受信部が受信した問い合わせに対応するアクセスユーザ識別情報と上記入退場履歴記憶部が記憶した入退場ユーザ識別情報とを比較して上記電子機器へアクセスしたユーザが不正者か否かを判定する請求項1に記載された管理機器。The entry / exit history storage unit stores entry / exit user identification information for identifying a user who has entered / exited the structure as the entry / exit history information,
The electronic device history storage unit stores access user identification information for identifying a user who has accessed the electronic device as the access history information,
The determination unit includes, among the access user identification information stored in the electronic device history storage unit, access user identification information corresponding to the inquiry received by the reception unit and entry / exit user identification information stored in the entry / exit history storage unit. 2. The management apparatus according to claim 1, wherein the management apparatus determines whether the user who has accessed the electronic apparatus is an unauthorized person by comparing
上記電子機器履歴記憶部は、上記アクセス履歴情報としてアクセスユーザ識別情報とともにユーザがアクセスしたアクセス時刻を記憶し、
上記管理機器は、さらに、
上記電子機器履歴記憶部が記憶したアクセス時刻のうち、上記受信部が受信した問い合わせに対応するアクセス時刻を基準として所定の時間内に含まれる入退場時刻を持つ入退場履歴情報を上記入退場履歴記憶部から検索して選択する検索部を備え、
上記判定部は、上記検索部が検索した結果選択した入退場履歴情報に含まれる入退場ユーザ識別情報と上記受信部が受信した問い合わせに対応するアクセスユーザ識別情報とを比較して上記電子機器へアクセスしたユーザが不正者か否かを判定する請求項2に記載された管理機器。The entry / exit history storage unit stores entry / exit time at which the user entered / exited together with the entry / exit user identification information as the entry / exit history information,
The electronic device history storage unit stores, as the access history information, the access time at which the user accessed the access user identification information,
The management device further includes:
Among the access times stored by the electronic device history storage unit, the entry / exit history information having the entry / exit time included within a predetermined time based on the access time corresponding to the inquiry received by the receiving unit is referred to as the entry / exit history. A search unit for searching and selecting from the storage unit is provided,
The determination unit compares the entry / exit user identification information included in the entry / exit history information selected as a result of the search performed by the search unit with the access user identification information corresponding to the inquiry received by the reception unit, and sends the information to the electronic device. 3. The management device according to claim 2, wherein it is determined whether the accessed user is an unauthorized person.
構造物を仕切った複数の居室の少なくともいずれかの居室の出入口から入退室したユーザの入退室履歴情報を記憶する入退室履歴記憶部を備え、
上記判定部は、上記入退場履歴記憶部が記憶した入退場履歴情報と上記入退室履歴記憶部が記憶した入退室履歴情報との少なくともいずれかと上記受信部が受信した問い合わせに対応するアクセス履歴情報とに基づいて上記電子機器をアクセスしたユーザが不正者か否かを判定する請求項3に記載された管理機器。The management device further includes:
An entry / exit history storage unit that stores entry / exit history information of a user who has entered / exited from the entrance / exit of at least one of the plurality of rooms that partitioned the structure,
The determination unit is at least one of the entry / exit history information stored by the entry / exit history storage unit and the entry / exit history information stored by the entry / exit history storage unit, and access history information corresponding to the inquiry received by the reception unit. 4. The management device according to claim 3, wherein it is determined whether the user who has accessed the electronic device is an unauthorized person based on the above.
上記判定部が上記電子機器へアクセスしたユーザを不正者と判定した場合に、上記電子機器履歴記憶部が記憶した不正者のアクセス時刻を基準として所定のアクセス時刻を持つアクセス履歴情報を上記電子機器履歴記憶部から選択するとともに所定のアクセス時刻を持つ入退場履歴情報を上記入退場履歴記憶部から選択し、選択したアクセス履歴情報と入退場履歴情報とを表示する表示部を備える請求項3に記載された管理機器。The management device further includes:
When the determination unit determines that the user who has accessed the electronic device is a fraudulent person, the electronic device history storage unit stores access history information having a predetermined access time based on the access time of the fraudulent person stored in the electronic device. 4. The display device according to claim 3, further comprising a display unit that selects from the history storage unit and entry / exit history information having a predetermined access time from the entrance / exit history storage unit, and displays the selected access history information and entry / exit history information. Management equipment described.
上記表示部は、上記検索部が検索した結果選択した複数のアクセス履歴情報と複数の入退場履歴情報とを並列して表示するかまたは複数のアクセス履歴情報と複数の入退場履歴情報とを併合して表示するかのいずれかにより表示する請求項5に記載された管理機器。The search unit searches for access history information having a predetermined access time and entry / exit history information having a predetermined access time, and selects a plurality thereof.
The display unit displays a plurality of access history information and a plurality of entrance / exit history information selected as a result of the search performed by the search unit in parallel, or combines a plurality of access history information and a plurality of entrance / exit history information. The management device according to claim 5, wherein the management device displays the information by any one of:
上記判定部が上記電子機器へアクセスしたユーザを不正者と判定した場合に、所定の警告を発する警告部を備える請求項1に記載された管理機器。The management device further includes:
The management device according to claim 1, further comprising a warning unit that issues a predetermined warning when the determination unit determines that the user who has accessed the electronic device is an unauthorized person.
上記判定部は、上記電子機器履歴記憶部が記憶したアクセス履歴情報と上記入退場履歴記憶部が記憶した入退場履歴情報とに基づいて上記電子へのログイン後、任意の情報をアクセスしてきたユーザが不正者か否かを判定する請求項1に記載された管理機器。The electronic device history storage unit, after logging in to the electronic device, stores user access history information input by the user when accessing any information,
The determination unit is a user who accesses arbitrary information after logging in to the electronic device based on the access history information stored in the electronic device history storage unit and the entry / exit history information stored in the entry / exit history storage unit. 2. The management device according to claim 1, wherein it is determined whether or not is a fraudulent person.
上記構造物の内部に配置されている電子機器へアクセスしたユーザのアクセス履歴情報を記憶する電子機器履歴記憶部と、
上記電子機器をアクセスしたユーザが正当なユーザであるかの問い合わせを上記電子機器から受信する受信部と、
上記電子機器履歴記憶部が記憶したアクセス履歴情報のうち、上記受信部が受信した問い合わせに対応するアクセス履歴情報と上記入退場履歴記憶部が記憶した入退場履歴情報とに基づいて上記電子機器をアクセスしたユーザが正当に構造物に入場した正当入場者か否かを判定する判定部とを備える管理機器と、
上記判定部によってユーザが正当入場者であると判定された場合には、さらに、電子機器履歴記憶部が記憶したアクセス履歴情報に基づいてユーザが正当に電子機器をアクセスした正当アクセス者であるかを判断し、ユーザが正当アクセス者であると判断した場合にはユーザに自機へのアクセスを許可する電子機器とを備えた管理システム。An entry / exit history storage unit that stores entry / exit history information of a user who has entered / exited from an entrance / exit of a structure in which the electronic device is disposed,
An electronic device history storage unit that stores access history information of a user who has accessed the electronic device arranged inside the structure,
A receiving unit that receives an inquiry from the electronic device whether the user who accessed the electronic device is a valid user,
Of the access history information stored in the electronic device history storage unit, the electronic device based on the access history information corresponding to the inquiry received by the receiving unit and the entrance and exit history information stored in the entrance and exit history storage unit A management device including a determination unit that determines whether the accessed user is a valid visitor who has properly entered the structure,
If the determination unit determines that the user is a valid visitor, further, the user is a valid accessor who has properly accessed the electronic device based on the access history information stored in the electronic device history storage unit. And an electronic device for permitting the user to access the apparatus when the user is determined to be a valid accessor.
上記構造物の内部に配置されている電子機器へアクセスしたユーザのアクセス履歴情報を記憶し、
上記電子機器をアクセスしたユーザが正当なユーザであるかの問い合わせを上記電子機器から受信し、
上記記憶したアクセス履歴情報のうち、上記受信した問い合わせに対応するアクセス履歴情報と上記記憶した入退場履歴情報とに基づいて上記電子機器をアクセスしたユーザが不正者か否かを判定する管理方法。The electronic device stores entry / exit history information of a user who has entered / exited from an entrance / exit of a structure disposed therein,
Store the access history information of the user who has accessed the electronic device arranged inside the structure,
Inquiry from the electronic device whether the user who accessed the electronic device is a valid user,
A management method for determining whether a user who has accessed the electronic device is an unauthorized person based on the access history information corresponding to the received inquiry and the stored entrance / exit history information among the stored access history information.
上記構造物の内部に配置されている電子機器へアクセスしたユーザのアクセス履歴情報を記憶する処理と、
上記電子機器をアクセスしたユーザが正当なユーザであるかの問い合わせを上記電子機器から受信する処理と、
上記記憶したアクセス履歴情報のうち、上記受信した問い合わせに対応するアクセス履歴情報と上記記憶した入退場履歴情報とに基づいて上記電子機器をアクセスしたユーザが不正者か否かを判定する処理とをコンピュータに実行させる管理プログラム。A process of storing entry / exit history information of a user who has entered / exited from an entrance / exit of a structure in which the electronic device is arranged;
A process of storing access history information of a user who has accessed an electronic device arranged inside the structure,
A process of receiving from the electronic device an inquiry as to whether the user who has accessed the electronic device is a valid user,
A process of determining whether or not the user who has accessed the electronic device is an unauthorized person based on the access history information corresponding to the received inquiry and the stored entrance / exit history information among the stored access history information. Management program to be executed by the computer.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003034811A JP2004246553A (en) | 2003-02-13 | 2003-02-13 | Management device, management system, management method, and management program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003034811A JP2004246553A (en) | 2003-02-13 | 2003-02-13 | Management device, management system, management method, and management program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004246553A true JP2004246553A (en) | 2004-09-02 |
Family
ID=33020398
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003034811A Pending JP2004246553A (en) | 2003-02-13 | 2003-02-13 | Management device, management system, management method, and management program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004246553A (en) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006163715A (en) * | 2004-12-06 | 2006-06-22 | Shimizu Corp | User authentication system |
JP2006343886A (en) * | 2005-06-07 | 2006-12-21 | Matsushita Electric Works Ltd | Network management system |
JP2007102382A (en) * | 2005-09-30 | 2007-04-19 | Fuji Xerox Co Ltd | Access management system and its control method |
JP2007132049A (en) * | 2005-11-09 | 2007-05-31 | Hitachi Ltd | Security system, control method, and server |
JP2008176493A (en) * | 2007-01-17 | 2008-07-31 | Dainippon Printing Co Ltd | Device access management system |
WO2009008074A1 (en) | 2007-07-11 | 2009-01-15 | Fujitsu Limited | User authentication device, user authentication method, and user authentication program |
JP2009514100A (en) * | 2005-10-26 | 2009-04-02 | シスコ テクノロジー インコーポレイテッド | Access control system and access management method |
JP2009251656A (en) * | 2008-04-01 | 2009-10-29 | Nec Corp | User authentication system, user authentication method, and program |
JP2015185095A (en) * | 2014-03-26 | 2015-10-22 | セコム株式会社 | Entry management system and authentication tool |
JP2015185091A (en) * | 2014-03-26 | 2015-10-22 | セコム株式会社 | Admission management system and authenticator |
CN115442327A (en) * | 2022-08-05 | 2022-12-06 | 深圳市酷开软件技术有限公司 | Method and device for identifying device type, electronic device and storage medium |
-
2003
- 2003-02-13 JP JP2003034811A patent/JP2004246553A/en active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006163715A (en) * | 2004-12-06 | 2006-06-22 | Shimizu Corp | User authentication system |
JP2006343886A (en) * | 2005-06-07 | 2006-12-21 | Matsushita Electric Works Ltd | Network management system |
JP2007102382A (en) * | 2005-09-30 | 2007-04-19 | Fuji Xerox Co Ltd | Access management system and its control method |
US8639624B2 (en) | 2005-09-30 | 2014-01-28 | Fuji Xerox Co., Ltd. | Entrance management system, control method thereof, information storage medium, authentication server, gate apparatus, and storage medium storing program |
JP2009514100A (en) * | 2005-10-26 | 2009-04-02 | シスコ テクノロジー インコーポレイテッド | Access control system and access management method |
JP2007132049A (en) * | 2005-11-09 | 2007-05-31 | Hitachi Ltd | Security system, control method, and server |
JP2008176493A (en) * | 2007-01-17 | 2008-07-31 | Dainippon Printing Co Ltd | Device access management system |
WO2009008074A1 (en) | 2007-07-11 | 2009-01-15 | Fujitsu Limited | User authentication device, user authentication method, and user authentication program |
JP2009251656A (en) * | 2008-04-01 | 2009-10-29 | Nec Corp | User authentication system, user authentication method, and program |
JP2015185095A (en) * | 2014-03-26 | 2015-10-22 | セコム株式会社 | Entry management system and authentication tool |
JP2015185091A (en) * | 2014-03-26 | 2015-10-22 | セコム株式会社 | Admission management system and authenticator |
CN115442327A (en) * | 2022-08-05 | 2022-12-06 | 深圳市酷开软件技术有限公司 | Method and device for identifying device type, electronic device and storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2960052T3 (en) | System and method for adaptively determining an optimal authentication scheme | |
US8336096B2 (en) | Access control apparatus, image display apparatus, and program thereof | |
JP6382903B2 (en) | System and method for user access of distribution unit | |
CN101064045B (en) | Biometric authentication devices and computer products | |
US7475812B1 (en) | Security system for access control using smart cards | |
CN101689235B (en) | User authentication device, user authentication method | |
US7984064B2 (en) | Methods and apparatus for managing user access to a computing environment | |
US20100186083A1 (en) | Apparatus and method for authenticating user | |
US20090172812A1 (en) | Two factor token identification | |
US20100085152A1 (en) | Authentication method | |
WO1998030017A2 (en) | Continuous video monitoring using face recognition for access control | |
JP2008140024A (en) | Entry management system and entry management method | |
JP2010092172A (en) | Security system, program and method | |
JP7166061B2 (en) | Face authentication system, face authentication server and face authentication method | |
JP3797523B2 (en) | Fingerprint personal authentication system | |
US20060072793A1 (en) | Security alarm notification using iris detection systems | |
JP2002041469A (en) | System and method for managing electronic equipment | |
JP2004246553A (en) | Management device, management system, management method, and management program | |
JP2004302875A (en) | Access control system, access control server, and access control method | |
JP2010090677A (en) | Entrance and exit area collation system, entrance and exit area collation method, and program therefor | |
JP2001014276A (en) | Personal authentication system and method therefor | |
KR101395675B1 (en) | Access control system and method | |
JP2018055250A (en) | Entrance/exit management system | |
KR101926709B1 (en) | Control apparatus for biometric and method thereof | |
JP2006163715A (en) | User authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040519 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041026 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050310 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050322 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050421 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050817 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060207 |