JP2009048635A - Ipアドレスを用いるユーザ認証システム及びその方法 - Google Patents

Ipアドレスを用いるユーザ認証システム及びその方法 Download PDF

Info

Publication number
JP2009048635A
JP2009048635A JP2008208467A JP2008208467A JP2009048635A JP 2009048635 A JP2009048635 A JP 2009048635A JP 2008208467 A JP2008208467 A JP 2008208467A JP 2008208467 A JP2008208467 A JP 2008208467A JP 2009048635 A JP2009048635 A JP 2009048635A
Authority
JP
Japan
Prior art keywords
address
valid
user
user authentication
check
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008208467A
Other languages
English (en)
Other versions
JP4891299B2 (ja
Inventor
Jinkaku Choi
仁 赫 崔
Youngsik Jung
榮 植 鄭
Minchol Song
ミン チョル ソン
Jongwon Paek
宗 原 白
Ka Lee
夏 李
Jungyun Son
丁 允 孫
Hyoungjun Lee
亨 浚 李
Sungho Lee
誠 鎬 李
Sanghun Jeon
相 勳 全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NHN Corp
Original Assignee
NHN Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NHN Corp filed Critical NHN Corp
Publication of JP2009048635A publication Critical patent/JP2009048635A/ja
Application granted granted Critical
Publication of JP4891299B2 publication Critical patent/JP4891299B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Abstract

【課題】IPアドレスチェックを利用するユーザ認証システム及びその方法を提供する。
【解決手段】本発明は、ユーザのアクセスログ記録から有効IPアドレスリストを構築し、前記有効IPアドレスリストをセッションクッキーに含めて、動的にIPアドレスが変わる環境でも円滑なウェブサービス提供とユーザ認証を行う。また、本発明は、IPアドレスが変更された場合、重要ウェブサービスの利用において、再ログインを要請し、前記再ログインの結果によって、有効IPアドレスリストを更新することにより適応的にユーザ認証を行うことになる。また、本発明は、前記有効IPアドレスリストの利用及び保安レベルの選択を提供することにより、ユーザに、より便宜を図る。
【選択図】図2

Description

本発明は、IPアドレスチェックによるユーザ認証システム及びその方法に関する。特に、本発明は、ユーザのログイン及びウェブサービスの要請に対し、IPアドレスチェックを利用することにより、不正ユーザのアカウント盗用を防止すると共に、保安レベルを選択的に提供するシステム及びその方法に関する
現在、オンライン上では、様々なウェブサービスがユーザのために提供されている。前記ウェブサービスは、ログインというユーザ認証の段階を通して、会員を識別及び認証し、前記会員の権限に適合した様々なウェブサービスを提供する。
このようなユーザ認証は、ニュースポータルサービス、イメールサービス、コミュニティサービス、ブログサービスなどのような様々なウェブサービスを提供するために用いられる。
ウェブサービスの提供業者も、多くのユーザを会員として確保し、前記会員の権限に適合した様々なウェブサービスを提供している。しかし、円滑なウェブサービスを提供するためには、前記会員に権限が付与されることと共に、前記会員に対するプライバシーと保安が保証されるべきである。
すなわち、ウェブサービスを提供するにおいて、ユーザ認証に成功した場合は、特定セッションの間は、会員が自分の権限を利用するのに不便さがなければならないが、前記ユーザ認証が要求されるウェブサービスに対するアクセスにおいて保安が維持される必要がある。
図1は、従来のユーザ認証システムの概要を示す図である。
従来のユーザ認証システムは、クライアント10、ログインサーバ20、サービスウェブサーバ30を含む。従来のユーザ認証システムは、セッションクッキーを用いることにより、ユーザのセッションを維持し、ウェブサービスを提供する。
まず、クライアント10は、ウェブブラウザーのログインのページを用いて、ID及びパスワードを入力し、前記ID及びパスワードをログインサーバ20に伝送する(S1)。
ログインサーバ20は、ユーザ認証を行うサーバで、前記ID及びパスワードが、ユーザ情報データベース(図示せず)に予め登録されているID及びパスワードと一致する場合は、ログインを許容し、セッション維持のためのセッションクッキーをクライアント10に伝送する(S2)
クッキーは、サーバが、クライアントのウェブブラウザーに送ってから、サーバの追加の要請があった場合に、再びサーバに送られる文字列の情報で、あるユーザが特定ウェブサイトにアクセスし、どのような情報を見たのかなどの情報が記録されることができる。
前記セッションクッキーは、通常、ユーザID、イメール、名前、生年月日、性別、実名如何などの様々な個人情報を含んでいる。
クライアント10が、ログインを行った後に、サービスウェブサーバ30の特定URLに対応するウェブサービスを利用しようとする場合には、該当URLと前記セッションクッキーを伝送する(S3)。
サービスウェブサーバ30は、前記URLの受信に応答して、前記セッションクッキーがまだ有効な状態であるかを確認した後(例えば、タイムアウトをチェックする)、まだ有効な状態である場合には、前記URLに対応するウェブサービスを提供し、タイムアウトの場合には、アクセスの拒否またはタイムアウトの状態を通報する(S4、S5)。
上述したように、従来の技術は、ユーザ認証が有効な状態であるかをチェックするにおいて、セッションクッキーを利用する。しかし、前記セッションクッキーは、ハッカーなどの不正ユーザにより奪取される可能性がある。
例えば、ハッカーは、悪性プログラムを用いて、クライアントのPCから転送されるパケットを横取りして前記セッションクッキーを奪取することができる。上述したようにパケットを横取りする行為をスニフィングと称する。
通常、クッキーの文字列は暗号化されているため、セッションクッキーが奪取されても、ID及びパスワードを知ることは容易ではないが、一旦奪取されたセッションクッキーは、不正ユーザが特定のウェブサービスを利用及びアクセスするのに用いられることができる。
従って、従来のユーザ認証システムは、このようなセッションクッキーの奪取に対し保安上の問題点が存在する。
一方、このような問題点を解決するために、一部のウェブサービスでは、定められたIPアドレスから伝送されたセッションクッキーのみをユーザ認証に利用する場合もある。
しかし、実際に1つのウェブサービスを利用するユーザのうち、IPアドレスが変わるユーザ数の比率は5%以上である。このようにIPアドレスが変わる例示として、家、会社、ネットカフェなど、ユーザが利用するクライアントの位置が変更される場合、動的IP割当を利用する無線LANを用いる場合、会社内の私設網のNAT(Network Address Translation)装備を利用する場合がある。
従って、ユビキタス環境とネットワークの移動性が発展すれば発展するほど、単に指定されたIPアドレスを用いるユーザ認証は、反って、ユーザが円滑なウェブサービスを利用するのに障害になる問題点がある。
従って、上述した問題点を解決するために、ユーザ認証における保安と共に、円滑なウェブサービスを提供する、進歩したユーザ認証システム及び方法が切実に要求される。
上述した従来技術の問題点を解決するために、本発明の一実施の形態による目的は、セッションクッキーが奪取された場合でも、ウェブサービスの保安を維持することができるユーザ認証システム及びその方法を提供することにある。
また、本発明の一実施の形態による他の目的は、保安レベルによってIPアドレスチェックを選択的に設定することができる、ユーザ認証システム及びその方法を提供することにある。
また、本発明の一実施の形態による更に他の目的は、動的にIPアドレスが変わる環境にいるユーザに対しても円滑なウェブサービスを提供するユーザ認証システム及びその方法を提供することにある。
本発明の第1の側面によるユーザ認証システムは、ユーザのID及びパスワードを用いてログインを行うログインサーバと、ログインを行ったクライアントのIPアドレスを含むアクセスログ記録を格納するログDBと、前記ログDBに記録されたIPアドレスから同一ユーザのIPアドレスのグループである第1有効IPアドレスリストを抽出する共用パターン生成部と、前記共用パターン生成部から抽出された前記第1有効IPアドレスリストを格納する共用パターンDBと、前記第1有効IPアドレスリストを含むセッションクッキーを生成することにより、前記第1有効IPアドレスリストに含まれているIPアドレスを有するクライアントから受信されたURLに対応するウェブサービスを提供するように許容するIPアドレスチェック認証モジュールとを含む。
ここで、前記IPアドレスチェック認証モジュールは、前記クライアントのIPアドレスが変更された場合、前記変更されたIPアドレスを臨時IPアドレスとして前記セッションクッキーに追加し、再ログインを要請して前記再ログインに成功した場合、前記臨時IPアドレスを第2有効IPアドレスリストに追加する。
本発明の第2の側面によるユーザ認証方法は、a)アクセスログ記録から抽出された同一ユーザのIPアドレスグループである有効IPアドレスリストをユーザ認証に用いるか否かに関する選択を提供するステップと、b)前記有効IPアドレスリストを用いる場合、ユーザIDと前記有効IPアドレスリストを含むセッションクッキーを生成するステップと、c)前記生成されたセッションクッキーを用いて、前記有効IPアドレスリスト内のIPアドレスを有するクライアントからのウェブサービスの要請を許容するステップとを含む。
ここで、ユーザ認証方法は、b−1)前記有効IPアドレスリストのIPアドレスの上位3つのオクテット値を指定する第1クラスと、4つのオクテット値を指定する第2クラスのうち1つの利用の選択を提供するステップと、b−2)前記セッションクッキーに前記第1クラスまたは第2クラスの利用を識別するデータを追加するステップとを更に含むことができる。
また、本発明の第3の側面によるユーザ認証方法は、クライアントからURL及びセッションクッキーを受信するステップと、前記セッションクッキーに基づいて、前記クライアントのIPアドレスが変更されたか否かを判断するステップと、前記IPアドレスが変更された場合には、前記変更されたIPアドレスを臨時IPアドレスにしてセッションクッキーを再設定するステップと、前記URLが、前記臨時IPアドレスに対して、ウェブサービスの提供が制限されるIPアドレスチェックが必要なURLであるか否かを判断するステップと、前記URLが、前記IPアドレスチェックが必要なURLである場合、前記クライアントに再ログインを要請するステップと、前記再ログインに成功した場合、前記臨時IPアドレスを同一ユーザが利用可能な有効IPアドレスリストに追加するステップとを含む。
また、本発明の第4の側面によるデータ構造が記録されたコンピュータ読み取り可能な記録媒体は、アクセスログ記録のIPアドレスから抽出された同一ユーザと判断されるIPアドレスグループの上位3つのオクテット値が記録された第1クラスの第1有効IPアドレスリストと、アクセスログ記録のIPアドレスから抽出された同一ユーザと判断されるIPアドレスグループの4つのオクテット値が記録された第2クラスの第1有効IPアドレスリストと、特定のユーザID毎に再ログインに成功したIPアドレスグループの上位3つのオクテット値が記録された第1クラスの第2有効IPアドレスリストと、特定のユーザID毎に再ログインに成功したIPアドレスグループの4つのオクテット値が記録された第2クラスの第2有効IPアドレスリストとを含む。
上述した本発明の一実施の形態によれば、セッションクッキーが奪取された場合でも、前記有効IPアドレスリストを用いることにより、認証済のユーザのみがウェブサービスの提供を受けることができる。
また、前記有効IPアドレスリストは、IPアドレスが動的に変わる環境でも、ユーザの活動とアクセスの履歴によって適応的に更新され、ユーザにおける煩わしさを除き、円滑なウェブサービスを提供する。
また、保安レベル別にIPアドレスチェックのオプションの選択を提供することにより、ユーザが所望する保安レベルでウェブサービスの利用を提供する。
また、予め定められた特定のURLに対しIPアドレスチェックを行うことにより、ウェブサービスサーバの過負荷を防止し、ユーザにとっては、煩わしさがない円滑なウェブサービスの提供が可能である。
以下、添付の図面を参照して、本発明が属する技術分野において通常の知識を有する者が容易に実施することができるように本発明の実施の形態を詳細に説明する。本発明は、様々な相異する形態で実現することができ、ここで説明する実施の形態に限定されない。図面においては、本発明を明確に説明するために、説明と関係ない部分は省略し、明細書全体にわたって類似する部分に対しては類似の図面符号を付する。
明細書全体にわたって、ある部分が他の部分と「連結」されているとしたとき、これは「直接的に連結」されている場合だけでなく、その中間に他の素子を挟んで「電気的に連結」されている場合も含む。また、ある部分がある構成要素を「含む」としたとき、これは、特別に反対する記載がない限り、他の構成要素を除外するのではなく、他の構成要素を更に含むことができることを意味する。
図2は、本発明の一実施の形態によるユーザ認証システムの構成を示すブロック図である。
ユーザ認証システム100は、ログインサーバ110、IPアドレスチェック認証モジュール120、共用パターン生成部130、ログDB140、共用パターンDB150、個人パターンDB160を含む。
ログインサーバ110は、クライアントからID及びパスワードを受信し、ユーザログインを行う。前記ログインが成功的に行われた場合には、セッションクッキーが発行され、今後ログインに成功したユーザの権限を持って利用することができるウェブサービスを提供することができるように支援する。一方、本発明の実施の形態では、前記セッションクッキーは、IPアドレスを含んでいる。前記IPアドレスは、属性によって、有効IPアドレスと臨時IPアドレスに区分される。前記有効IPアドレスと臨時IPアドレスの詳細な処理は後述する。
IPアドレスチェック認証モジュール120は、要請されたウェブサービスに対応するURLと共に伝送されたセッションクッキーに対するIPアドレスチェックを行い、セッションクッキーを再設定する。IPアドレスチェック認証モジュール120は、最初ログインしたクライアントのIPアドレスと、セッションクッキーを伝送したクライアントのIPアドレスが相異する場合、変更されたIPアドレスを臨時IPアドレスとして設定し、セッションクッキーを再設定する。また、前記変更されたIPアドレスが既にパターン化された有効IPアドレスに該当するかを確認する。前記IPアドレスのチェックは、予め定められたURLのうちいずれか1つに対応するウェブサービスを要請する場合に行われることができる。また、IPアドレスチェック認証モジュール120は、ユーザが選択または設定した保安レベルに基づいて、前記IPアドレスのチェックを行うこともできる。
ログDB140は、アクセスまたはログイン−ログアウトによって生成されるアクセスログ記録を格納する。前記アクセスログ記録は、特定のユーザのIDに対応するクライアントのIPアドレスがマッチングされて格納される。
共用パターン生成部130は、ログDB140に記録されているIPアドレスに基づいて、同一ユーザのIPアドレスパターンを生成する。実際に、NAT装備を利用する私設網では、動的にIPアドレスが変化するため、特定のIPアドレスの対またはグループ内でのIPアドレスの変更は、正当なログインと推定されることができる。
前記同一ユーザのIPアドレスパターンは、有効IPアドレスリストとして共用パターンDB150に格納される。前記有効IPアドレスリスト内で発生したIPアドレスの変更は、有効なものと取扱って、別途の処理(例えば、再ログインの要請)を省略することができる。
個人パターンDB160は、ユーザの行為に基づいて、有効IPアドレスリストを生成し格納する。例えば、IPアドレスチェック認証モジュール120がクライアントに再ログインを要請したとき、再ログインに成功した場合には、臨時IPアドレス(ログイン以後に変更されたIPアドレス)が有効IPアドレスリストに追加され、個人パターンDBに格納される。
すなわち、共用パターンDB150は、全ユーザを対象に収集されたアクセスログ記録に基づいて生成された有効IPアドレスリストを格納し、個人パターンDB160は、個別ユーザの特定の行為によって生成された有効IPアドレスリストを格納する。
共用パターンDB150及び個人パターンDB160は、物理的に統合された装置に実現されても関係なく、前記有効IPアドレスリストは、設定によってIPアドレスのうち上位3つのオクテット値のみを指定する第1クラス(例えば、211.203.5)と、IPアドレスの4つのオクテット値を全て利用する第2クラス(例えば、192.211.2.33)を選択的に用いることができる。
以下、本発明のユーザ認証システムのそれぞれの構成要素の動作について更に詳細に説明する。
図3は、本発明の一実施の形態によるユーザ認証システムにおいて有効IPアドレスリストを生成する動作を示す図である。
同一ユーザIDにより、クライアント11及びクライアント12によってログインが行われ、それぞれのアクセスログ記録は、ログDB140に格納される。上述したように、前記アクセスログ記録は、ログイン時のIPアドレスを含んでいる。ここで、クライアント11及びクライアント12は、互いに異なるIPアドレスを有するクライアントである。
共用パターン生成部130は、ログDB140に記録されているアクセスログ記録に基づいて、有効IPアドレスリストを生成する。例えば、同一ユーザのログインに用いられるクライアントのIPアドレス、または同一NAT装備によって用いられるIPアドレスが、前記有効IPアドレスリストに含まれることができる。
前記有効IPアドレスリストは、共用パターンDB150に格納され、後にIPアドレスチェックが選択された場合に、前記リスト内でのIPアドレスの変更は、有効な変更として取り扱われることができる。
上述した構成により、NAT装備を用いることにより、随時、IPアドレスが変えられる環境でも、IPアドレスの変更をパターン化し、別途の処理手続なく、ユーザ認証に保安性を確保することができる。
上述したログ分析は、予め定められた頻度に基づいて、有効IPアドレスリストを生成することができ、一定の周期(例えば、6ケ月)の単位で更新して、共用パターンDB150を構築及び更新することができる。
図4は、本発明の一実施の形態によるユーザ認証システムにおいて臨時IPアドレスを処理する動作を示す図である。
例えば、クライアント11がログインを行い、セッションを維持した状態で、クライアント12を通して特定のURLに対応するウェブサービスの要請が発生することができる。ここで、クライアント11及びクライアント12は、互いに異なるIPアドレスを有するクライアントである。
IPアドレスチェック認証モジュール120は、クライアント12からURLと共に伝送されたセッションクッキーに含まれているIPアドレスと、クライアント12の現在のIPアドレスとが相異する場合、または個人パターンDB160に格納されている有効IPアドレスリストにクライアント12の現在のIPアドレスがない場合には、クライアント12の現在のIPアドレスを臨時IPアドレスとして設定し、セッションクッキーに追加する。図4では、有効IPアドレスリストのチェックを、個人パターンDB160を参照して行うものとして示されているが、共用パターンDB150の有効IPアドレスリストを参照して行うことも可能である。
IPアドレスチェック認証モジュール120は、伝送されたURLの属性によって2種類の動作を行うことができる。
伝送されたURLのウェブサービスが、IPアドレスチェックが不要な場合には、通常のウェブサービスを提供するために、URLに対応するウェブサービスへのアクセス及び利用を許容する。ここで、前記臨時IPアドレスが追加され、再設定されたセッションクッキーも共にクライアント12に伝送される。
しかし、伝送されたURLのウェブサービスが、IPアドレスチェックが不要な場合には、IPアドレスチェックの結果をログインサーバ110に転送する。IPアドレスチェックが必要なURLは、例えば、メール、メッセージ、ブログの秘密文などの閲覧または主要掲示物の作成サービスのためのURLである。
IPアドレスのチェックが必要な場合には、ログインサーバ110は、別途のログインのポップアップウィンドウを出して、クライアント12に再ログインを要請する。クライアント12が再ログインを成功的に行った場合には、ログインサーバ110は、前記臨時IPアドレスを個人パターンDB160の有効IPアドレスリストに格納する。
以後、クライアント12のIPアドレスは、有効IPアドレスリストに含まれるため、IPアドレスチェック認証モジュール120は、クライアント12にウェブサービスを提供することを許容(許可)する。
図示されていないが、クライアント12が再ログインに失敗した場合には、要請したウェブサービスへのアクセス及び利用は拒否される。
図3及び図4に示す構成によって、本発明の一実施の形態によるユーザ認証システムは、奪取されたセッションクッキーを用いる不正ユーザのウェブサービスの利用を遮断すると共に、IPアドレスが変更される環境においても、正当なユーザにウェブサービスを適応的に提供することができるようになる。
図5は、本発明の一実施の形態における個人パターンDBと共用パターンDBのデータ構造を示す図である。
個人パターンDB160では、IPアドレスチェックのためのログインに成功した場合、臨時IPアドレスを有効IPアドレスとして格納する。格納されたデータの構造は、ユーザIDf11、第1クラス有効IPアドレスf12、最近リフレッシュ時間f13を含む。また、前記データ構造は、ユーザIDf21、第2クラス有効IPアドレスf22、最近リフレッシュ時間f23を含む。
IPアドレスのためのデータf12及びf22は、複数のIPアドレスを含むことができる。第1クラスの有効IPアドレスf12は、IPアドレスの4つのオクテットのうち上位3つのオクテット値のみによって表現される。すなわち、IPアドレスに対して上位3つのオクテット値のみをチェックし、上位3つのオクテット値が同一である場合には、有効IPアドレスとして取扱う。一方、第2クラスの有効IPアドレスf22は、4つのオクテット値を全てチェックし、4つのオクテット値が有効IPアドレスと同一であるときのみ、IPアドレスチェックを行わない。従って、第2クラスのIPアドレスをチェックするためのデータ構造が、第1クラスの有効IPアドレスをチェックするためのデータ構造より、保安レベルが高いことを確認することができる。
最近リフレッシュ時間f13、f23は、最近、有効IPアドレスリストがリフレッシュされた時間を記録する。前記リフレッシュ時間に基づいて、臨時IPアドレスが有効IPアドレスに転換されることが制限され得る。
共用パターンDB150は、ウェブサーバにアクセスしたログ記録に基づいて、IPアドレス対またはIPアドレスグループを抽出し、有効IPアドレスリストを格納する。前記有効IPアドレスリストは、大体、同一NAT装備のIPアドレスリストに該当することができる。格納されたデータ構造は、第1クラスの有効IPアドレスf31、f32、頻度f33を含む。また、格納されたデータ構造は、第2クラスの有効IPアドレスf41、f42、頻度f43を含む。
データf31、f32は、対をなす有効IPアドレスであり、それぞれIPアドレスの上位3つのオクテットを格納する。データf41、f42は、対をなす有効IPアドレスで、それぞれIPアドレスの4つのオクテットを格納する。上述したように、2つのデータ構造は、実質的に同一であるが、第2クラスの有効IPアドレスリストを構築したデータ構造が更に高い保安レベルを提供する。
頻度f33、f43は、有効IPアドレスリストにリストアップできるIPアドレス対の発生頻度を意味する。前記頻度の具体的な値は、運営者によって選択されることができる。
図6は、本発明の一実施の形態によるユーザ認証設定方法を示すフローチャートである。
ステップS110で、ユーザ認証システムは、IPアドレスチェックのオプションを設定する。前記IPアドレスチェックのオプションは、クライアントからの選択に応答して設定されることができる。好ましくは、ユーザのログインウィンドウに前記オプションを選択することができるようにして、ユーザに、ログインと共に、前記IPアドレスチェックのオプションを設定させる。
ここで、前記IPアドレスチェックのオプションは、保安レベルの順に、(1)IPアドレスチェックを使用しない場合、(2)第1クラスの有効IPアドレスリストを利用する場合、(3)第2クラスの有効IPアドレスリストを利用する場合、及び(4)単一IPアドレスのみを利用する場合を含み、ユーザは、自分が所望する保安レベルによって前記IPアドレスチェックのオプションのうちいずれか1つを選択する。
ステップS120では、IPアドレスチェックが用いられるか否かを判断する。IPアドレスチェックを使用しない場合は、前記IPアドレスチェックのオプションの識別子と共にログインIDを含む第1セッションクッキーが生成される(S121)。
IPアドレスチェックが用いられる場合は、有効IPアドレスリストが用いられるか否かを判断する(S130)。有効IPアドレスリストが使用されない場合には、現在ログインされたIPアドレスと、予め定められた単一IPアドレスとを比較した結果値を含む第4セッションクッキーが生成される(S131)。ここで、有効IPアドレスリストは、アクセスログ記録における同一ユーザのIPアドレスのグループを含む。また、前記有効IPアドレスリストは、IPアドレスの変更によって再ログインが要請され、前記再ログインに成功した場合、前記変更されたIPアドレスが追加されたIPアドレスのリストである。
有効IPアドレスリストを利用するように設定された場合には、第1クラス有効IPアドレスリストと第2クラス有効IPアドレスリストのうち、どちらを選択するかを判断する(S140)。
第1クラスが選択される場合には、第1クラスの有効IPアドレスリストを呼出し(S150)、前記有効IPアドレスを含めた第2セッションクッキーを生成する(S160)。
第2クラスが選択される場合には、第2クラスの有効IPアドレスリストを呼出し(S170)、前記有効IPアドレスを含めた第3セッションクッキーを生成する(S180)。
本発明の実施の形態によるセッションクッキーは以下のような情報を含むことができる。
第1セッションクッキー=[セッションIP Checkのオプション]、[ユーザID]
第2セッションクッキー=[セッションIP Checkのオプション]、[第1クラスの有効IPアドレス]、[第1クラスの臨時IPアドレス]、[ユーザID]
第3セッションクッキー=[セッションIP Checkのオプション]、[第2クラスの有効IPアドレス]、[第2クラスの臨時IPアドレス]、[ユーザID]
第4セッションクッキー=[セッションIP Checkのオプション]、[ユーザID]
上述したようにそれぞれのIPアドレスチェックのオプションに対応するセッションクッキーを生成することにより、ユーザが所望する保安レベルのIPアドレスチェックのオプションによるユーザ認証を提供することができる。
図7は、本発明の実施の形態によるユーザ認証及び有効IPアドレスリストを更新する方法を示すフローチャートである。
図7に示す実施の形態は、有効IPアドレスリストを利用する場合に、前記有効IPアドレスリストを更新する構成に関するものである。従って、図7に係る実施の形態で言及されるセッションクッキーは、図6の第2セッションクッキーまたは第3セッションクッキーのうちの1つになり得る。
ユーザ認証システムは、クライアントから要請されたウェブサービスに対応するURL及びセッションクッキーを受信する(S210)。上述したように、セッションクッキーには、有効IPアドレスが含まれている。
ステップS220では、IPアドレスが変更されたか否かを判断する。前記IPアドレスの変更は、URLを転送したクライアントの現在のIPアドレスと、最初ログイン時に記録された有効IPアドレスとが相異する場合に該当する。前記IPアドレスの変更如何は、予め設定されたIPアドレスチェックのオプションによって、上位3つのオクテットのみを比較して判断することができる。
IPアドレスが変更されない場合には、URLに対応するウェブサービスを提供する(S280、S281)。
一方、IPアドレスが変更された場合には、変更されたIPアドレスを臨時IPアドレスとして追加したセッションクッキーを再設定する(S230)。
ステップS240では、要請されたウェブサービスのURLが、IPアドレスチェックが必要なURLであるか否かを判断する。前記IPアドレスチェックが必要なURLは、予め定められたURLのうちの1つになり得る。例えば、メール、メッセージ、ブログの秘密文などの閲覧または主要掲示物の作成サービスのためのURLになり得る。
IPアドレスチェックが不要なURLの場合には、特別な制限なく、ウェブサービスを提供する(S280)。しかし、セッションクッキーには、臨時IPアドレスが追加された状態であり、後に同じセッションクッキーを用いて、IPアドレスチェックが必要なウェブサービスのURLを転送する場合には、ステップS240の判断を行うことになるであろう。
一方、IPアドレスチェックが必要な場合には、再ログインの要請を行う(S250)。すなわち、クライアントは、ログイン以降に新しいIPアドレスに変更されており、前記新しいIPアドレスは、まだ制約的であるURLのウェブサービスへのアクセスが許容される臨時IPアドレスである。前記臨時IPアドレスが有効IPアドレスに転換されるためには、再ログインの過程が必要である。前記再ログインの要請を行うために、別途のログインのポップアップウィンドウを提供することが好ましい。
ステップS260では、再ログインが成功的に行われたか否かを判断する。再ログインに失敗した場合には、要請されたウェブサービスの提供は拒否される(S290)。
再ログインが成功的に行われた場合には、臨時IPアドレスは、有効IPアドレスリストに格納される(S270)。後に、ユーザがログイン中に前記格納された臨時IPアドレスに変更されても、前記ユーザとのセッションは、有効なものと認められることになる。
再ログインが成功的に行われた後は、ユーザが転送したURLに対応するウェブサービスが提供される(S281)。
ここで、ユーザ認証システムは、IPアドレスチェックが必要なURLを以下のような構文(syntax)を使用して区分することにより、選択的なIPアドレスチェックを提供する。
*IPアドレスチェックURL:IP Check_URL url1、url2、url3、..
*IPアドレスチェックリターンURL:IP Check_ReturnURL url
*IPアドレスチェックテストURL:IP Check_TestURL url
ここで、IPアドレスチェックURLは、IPアドレスチェックが設定された場合、IPアドレスチェックが必要なURLを意味する。
IPアドレスチェックリターンURLは、IPアドレスチェックを通過することができなかった場合、リダイレクトされるURLを意味する。
IPアドレスチェックテストURLは、IPアドレスチェックをテストするURLを意味する。前記IPアドレスチェックテストURLは、IPアドレスチェックURLでのIPアドレスチェックの結果をクライアントに転送する役割を行う。
図8は、本発明の一実施の形態によるIPアドレスチェックを利用するログイン窓を示す図である。
本発明の実施の形態によるログイン窓は、「IP保安設定」というボタンが存在する。前記IP保安設定のボタンを用いて、ユーザは、IPアドレスチェックのオプションを選択することができる。
上述したように、IP保安設定は大きく、IPアドレス情報を使用する場合と、使用しない場合に分けられる。
IPアドレス情報を使用しない場合には、通常のログインのようなユーザ認証を行う。この場合は、本発明の実施の形態のうち最も低い保安レベルに該当する。
IPアドレス情報を使用する場合には、保安レベルによって複数のオプションが存在する。
例えば、「Smart IP Check Level1」は、上述した有効IPアドレスリストを使用し、第1クラス(上位3つのケオクテット)の比較を行う保安レベルである。
「Smart IP Check Level2」は、有効IPアドレスリストを使用し、第2クラス(4つのケオクテット)の比較を行う保安レベルである。
「Exact IP比較」は、有効IPアドレスリストを使用せず、単一IPアドレスに対してのみログインを許容する保安レベルである。
ユーザは、このようなログインのボックスのIPアドレスチェックのオプションを用いて、自分が所望する保安レベルを選択することにより、クッキーの奪取などによるハッキングを防止すると共に、円滑なウェブサービスの提供を受けることができる。
詳細なIPアドレスチェックのオプションの例示は、下の表1のようにまとめられる。
Figure 2009048635
ログインIP⇒ログインIPアドレス
セッションクッキーの有効IPアドレスリストとして使用⇒前記IPアドレスリストをセッションクッキーの有効IPアドレスリストとして使用
ウェブ要請⇒ウェブサービスの要請
エントピア⇒(削除)
図9は、本発明の一実施の形態による再ログイン要請窓を示す図である。
上述したように、IPアドレスチェックが必要なウェブサービスを要請する場合、臨時IPアドレスと有効IPアドレスが相異する場合には、図9のようなログインウィンドウが提供され、ログインに成功した場合に限ってウェブサービスへのアクセス及び利用が可能である。
再ログイン要請窓は、ログインのためのID及びパスワードを入力する入力ボックスと共に、IPアドレスチェックを継続して使用するか否かを選択することができるチェックボックスが存在する。例えば、窓の中央部の「IPアドレスチェック」を解除した後、ログインに成功したユーザは、IPアドレスが変更されても、図9のような再ログインのウィンドウが出ない。
これはユーザが、現在継続的なIPアドレスの変更が予想される場合には、再ログインの煩わしさを回避するために、IPアドレスチェックのオプションを解除させるためである。
上述した本発明の実施の形態により、ユーザ認証システムは、クッキーの奪取によるハッキングから正当なユーザを保護すると共に、通常発生する正当なIPアドレスの変更に対して適応的に対処することができる。
また、ユーザは自分に適合した様々な保安レベルの設定が可能であるため、自分のIPアドレスの環境に適合した保安レベルを選択することができる。
更に、ウェブサービスに対応するURLに対し選別的にIPアドレスチェックを行うことにより、IPアドレスチェックによって発生する過負荷を防止すると共に、保安性のあるユーザ認証を十分に提供することができる。
本発明は、コンピュータによって実行されるプログラムモジュールのようなコンピュータにより実行可能な命令語を含む記録媒体の形態で実現されることができる。コンピュータ読取可能な媒体は、コンピュータによってアクセスできる任意の媒体であり、揮発性及び非揮発性媒体、分離型及び非分離型媒体を全て含む。また、コンピュータ読取可能な媒体は、コンピュータ格納媒体及び通信媒体を全て含むことができる。コンピュータ格納媒体は、コンピュータ読取可能な命令語、データ構造、プログラムモジュール又はその他のデータのような情報の格納のための任意の方法又は技術で実現された揮発性及び非揮発性、分離型及び非分離型媒体を全て含む。通信媒体は、典型的にコンピュータ読取可能な命令語、データ構造、プログラムモジュール、又は搬送波のような変調されたデータ信号のその他のデータ、又はその他の転送メカニズムを含み、任意の情報伝達媒体を含む。
以上、本発明の詳細な説明では具体的な実施の形態について説明したが、本発明の要旨から逸脱しない範囲内で様々に変形できる。よって、本発明の権利範囲は、上述の実施の形態に限定されるものではなく、特許請求の範囲の記載及びこれと均等なものに基づいて定められるべきである。
従来のユーザ認証システムの概要を示す図である。 本発明の一実施の形態に係るユーザ認証システムの構成を示すブロック図である。 本発明の一実施の形態に係るユーザ認証システムで有効IPアドレスリストを生成する動作を示す図である。 本発明の一実施の形態に係るユーザ認証システムで臨時IPアドレスを処理する動作を示す図である。 本発明の一実施の形態における個人パターンDBと共用パターンDBのデータ構造を示す図である。 本発明の一実施の形態に係るユーザ認証設定方法を示すフローチャートである。 本発明の一実施の形態に係るユーザ認証及び有効IPアドレスリストを更新する方法を示すフローチャートである。 本発明の一実施の形態に係るIPアドレスチェックを利用するログイン窓を示す図である。 本発明の一実施の形態に係る再ログイン要請窓を示す図である。
符号の説明
100 ユーザ認証システム
110 ログインサーバ
120 IPアドレスチェック認証モジュール
130 共用パターン生成部
140 ログDB
150 共用パターンDB
160 個人パターンDB

Claims (19)

  1. IPアドレスチェックを利用するユーザ認証システムであって、
    ユーザのID及びパスワードを用いてログインを行うログインサーバと、
    ログインを行ったクライアントのIPアドレスを含むアクセスログ記録を格納するログDBと、
    前記ログDBに記録されたIPアドレスから同一ユーザのIPアドレスのグループである第1有効IPアドレスリストを抽出する共用パターン生成部と、
    前記共用パターン生成部から抽出された前記第1有効IPアドレスリストを格納する共用パターンDBと、
    前記第1有効IPアドレスリストを含むセッションクッキーを生成することにより、前記第1有効IPアドレスリストに含まれているIPアドレスを有するクライアントから受信されたURLに対応するウェブサービスを提供するように許容するIPアドレスチェック認証モジュールと、
    を含むことを特徴とするユーザ認証システム。
  2. 前記IPアドレスチェック認証モジュールは、前記クライアントのIPアドレスが変更された場合、前記変更されたIPアドレスを臨時IPアドレスとして前記セッションクッキーに追加し、再ログインを要請して前記再ログインに成功した場合、前記臨時IPアドレスを第2有効IPアドレスリストに追加することを特徴とする請求項1に記載のユーザ認証システム。
  3. 前記再ログイン要請は、IPアドレスチェックが必要なURLに対応するウェブサービスの要請があった場合に活性化することを特徴とする請求項2に記載のユーザ認証システム。
  4. 前記第2有効IPアドレスを格納する個人パターンDBを更に含み、
    前記IPアドレスチェック認証モジュールは、前記第2有効IPアドレスリストに含まれているIPアドレスを有するクライアントから受信されたURLに対応するウェブサービスを提供するように許容することを特徴とする請求項2に記載のユーザ認証システム。
  5. 前記IPアドレスチェックが必要なURLは、メール、メッセージ、秘密文の閲覧及び掲示物の作成のうち少なくとも1つのウェブサービスのためのURLであることを特徴とする請求項3に記載のユーザ認証システム。
  6. 前記第1有効IPアドレスリスト及び第2有効IPアドレスリストの各IPアドレスは、IPアドレス値のうち上位3つのオクテット値を指定する第1クラス、または4つのオクテット値を指定する第2クラスのうち1つの形態であることを特徴とする請求項4に記載のユーザ認証システム。
  7. 前記第1クラスまたは第2クラスの選択は、ログインに成功したユーザのIPアドレスチェックのオプションの選択により決定されることを特徴とする請求項6に記載のユーザ認証システム。
  8. 前記セッションクッキーは、前記IPアドレスチェックのオプション値、ユーザID及び第1クラスの第1有効IPアドレスリスト及び第2有効IPアドレスリストを含むことを特徴とする請求項7に記載のユーザ認証システム。
  9. 前記セッションクッキーは、前記IPアドレスチェックのオプション値、ユーザID及び第2クラスの第1有効IPアドレスリスト及び第2有効IPアドレスリストを含むことを特徴とする請求項7に記載のユーザ認証システム。
  10. IPアドレスチェックを利用するユーザ認証方法であって、
    a)アクセスログ記録から生成された同一ユーザの有効IPアドレスリストをユーザ認証に用いるか否かをユーザが選択するようにするステップと、
    b)前記有効IPアドレスリストの利用が選択された場合、ユーザIDと前記有効IPアドレスリストを含むセッションクッキーを生成するステップと、
    c)前記生成されたセッションクッキーを用いて、前記有効IPアドレスリスト内のIPアドレスを有するクライアントからのウェブサービスの要請を許容するステップと、
    を含むことを特徴とするユーザ認証方法。
  11. b−1)前記有効IPアドレスリストのIPアドレスの上位3つのオクテット値を指定する第1クラスと、4つのオクテット値を指定する第2クラスのうち1つの利用の選択を提供するステップと、
    b−2)前記セッションクッキーに前記第1クラスまたは第2クラスの利用を識別するデータを追加するステップと、を更に含むことを特徴とする請求項10に記載のユーザ認証方法。
  12. e)前記有効IPアドレスリストを利用しない場合、前記IPアドレスのチェックを使用しないか、単一IPアドレスのチェックを使用するかに関する選択を提供するステップと、
    f)前記IPアドレスのチェックを使用しない場合には、ユーザIDを含むセッションクッキーを生成するステップと、
    g)前記単一IPアドレスのチェックを使用する場合には、ユーザID及び前記単一IPアドレスを含むセッションクッキーを生成するステップと、
    を更に含むことを特徴とする請求項11に記載のユーザ認証方法。
  13. IPアドレスチェックを利用するユーザ認証方法であって、
    クライアントからURL及びセッションクッキーを受信するステップと、
    前記セッションクッキーに基づいて、前記クライアントのIPアドレスが変更されたか否かを判断するステップと、
    前記IPアドレスが変更された場合には、前記変更されたIPアドレスを臨時IPアドレスにしてセッションクッキーを再設定するステップと、
    前記URLが、前記臨時IPアドレスに対して、ウェブサービスの提供が制限されるIPアドレスチェックが必要なURLであるか否かを判断するステップと、
    前記URLが、前記IPアドレスチェックが必要なURLである場合、前記クライアントに再ログインを要請するステップと、
    前記再ログインに成功した場合、前記臨時IPアドレスを同一ユーザが利用可能な有効IPアドレスリストに追加するステップと、
    を含むことを特徴とするユーザ認証方法。
  14. 前記セッションクッキーは、前記有効IPアドレスリストを含むことを特徴とする請求項13に記載のユーザ認証方法。
  15. 前記有効IPアドレスリストは、アクセスログ記録から抽出された同一ユーザのIPアドレスグループを含むことを特徴とする請求項14に記載のユーザ認証方法。
  16. 前記有効IPアドレスリストは、IPアドレス値のうち上位3つのオクテット値のみを利用することを特徴とする請求項15に記載のユーザ認証方法。
  17. 前記再ログイン要請時に前記IPアドレスチェックを中止するか否かに関する選択を提供するステップを更に含むことを特徴とする請求項15に記載のユーザ認証方法。
  18. 保安レベル別にIPアドレスチェックを用いてユーザ認証を行うための、データ構造が記録されたコンピュータ読み取り可能な記録媒体であって、
    アクセスログ記録のIPアドレスから抽出された同一ユーザと判断されるIPアドレスグループの上位3つのオクテット値が記録された第1クラスの第1有効IPアドレスリストと、
    アクセスログ記録のIPアドレスから抽出された同一ユーザと判断されるIPアドレスグループの4つのオクテット値が記録された第2クラスの第1有効IPアドレスリストと、
    特定のユーザID毎に再ログインに成功したIPアドレスグループの上位3つのオクテット値が記録された第1クラスの第2有効IPアドレスリストと、
    特定のユーザID毎に再ログインに成功したIPアドレスグループの4つのオクテット値が記録された第2クラスの第2有効IPアドレスリストと
    を含むデータ構造が記録されることを特徴とするコンピュータ読み取り可能な記録媒体。
  19. 前記第1クラスの第1有効IPアドレスリスト及び第1クラスの第2有効IPアドレスリストは、第2クラスの第1有効IPアドレスリスト及び第2クラスの第2有効IPアドレスリストより低い保安レベルに用いられることを特徴とする請求項18に記載のコンピュータ読み取り可能な記録媒体。
JP2008208467A 2007-08-21 2008-08-13 Ipアドレスを用いるユーザ認証システム及びその方法 Active JP4891299B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20070083881A KR100944724B1 (ko) 2007-08-21 2007-08-21 Ip 주소를 이용한 사용자 인증 시스템 및 그 방법
KR10-2007-0083881 2007-08-21

Publications (2)

Publication Number Publication Date
JP2009048635A true JP2009048635A (ja) 2009-03-05
JP4891299B2 JP4891299B2 (ja) 2012-03-07

Family

ID=40383402

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008208467A Active JP4891299B2 (ja) 2007-08-21 2008-08-13 Ipアドレスを用いるユーザ認証システム及びその方法

Country Status (4)

Country Link
US (1) US8474030B2 (ja)
JP (1) JP4891299B2 (ja)
KR (1) KR100944724B1 (ja)
CN (1) CN101374047B (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012191270A (ja) * 2011-03-08 2012-10-04 Kddi Corp 認証システム、端末装置、認証サーバ、およびプログラム
JP2013522786A (ja) * 2010-03-22 2013-06-13 トムソン ライセンシング 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
JP2016219972A (ja) * 2015-05-19 2016-12-22 株式会社Nttドコモ 無線通信システム

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7747733B2 (en) 2004-10-25 2010-06-29 Electro Industries/Gauge Tech Power meter having multiple ethernet ports
CN101515932B (zh) * 2009-03-23 2013-06-05 中兴通讯股份有限公司 一种安全的Web service访问方法和系统
JP4811486B2 (ja) * 2009-03-26 2011-11-09 ブラザー工業株式会社 プログラム、情報処理システムおよび情報処理装置
KR101530095B1 (ko) * 2009-04-16 2015-06-19 네이버 주식회사 슬라이딩 윈도우를 이용한 클라이언트 인증 방법 및 시스템
CN101582766A (zh) * 2009-05-18 2009-11-18 李丽平 一种基于位置关联问题挑战的账号口令保护系统和方法
KR101206095B1 (ko) * 2010-11-30 2012-11-28 엘에스산전 주식회사 보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법
JP5280488B2 (ja) * 2011-05-24 2013-09-04 シャープ株式会社 アカウント管理装置、画像処理システム、画像処理方法、プログラムおよび記録媒体
US9398048B2 (en) * 2011-05-26 2016-07-19 Skype Authenticating an application to access a communication system
US10275840B2 (en) 2011-10-04 2019-04-30 Electro Industries/Gauge Tech Systems and methods for collecting, analyzing, billing, and reporting data from intelligent electronic devices
US10771532B2 (en) 2011-10-04 2020-09-08 Electro Industries/Gauge Tech Intelligent electronic devices, systems and methods for communicating messages over a network
US20150286394A1 (en) * 2011-10-04 2015-10-08 Electro Industries/Gauge Tech Dynamic webpage interface for an intelligent electronic device
US10303860B2 (en) 2011-10-04 2019-05-28 Electro Industries/Gauge Tech Security through layers in an intelligent electronic device
US10862784B2 (en) 2011-10-04 2020-12-08 Electro Industries/Gauge Tech Systems and methods for processing meter information in a network of intelligent electronic devices
US9118619B2 (en) * 2011-11-07 2015-08-25 Qualcomm Incorported Prevention of cross site request forgery attacks by conditional use cookies
CN102546640B (zh) * 2012-01-13 2017-03-01 百度在线网络技术(北京)有限公司 单账号多设备登录时的信息流通方法及服务器
CN103375875B (zh) * 2012-04-24 2015-08-26 珠海格力电器股份有限公司 系统日志记录方法及装置
US8949952B2 (en) * 2012-04-25 2015-02-03 Cisco Technology, Inc. Multi-stack subscriber sign on
US8959650B1 (en) * 2012-06-29 2015-02-17 Emc Corporation Validating association of client devices with sessions
CN103699546B (zh) * 2012-09-28 2016-12-21 秒针信息技术有限公司 一种生成网吧ip数据库的方法及装置
GB2510120A (en) * 2013-01-24 2014-07-30 Ibm User authentication based on dynamically selected service authentication levels
US11816465B2 (en) 2013-03-15 2023-11-14 Ei Electronics Llc Devices, systems and methods for tracking and upgrading firmware in intelligent electronic devices
US9729642B2 (en) * 2013-05-24 2017-08-08 International Business Machines Corporation Sharing web application sessions across multiple devices
MY175911A (en) * 2013-06-20 2020-07-15 Entrust Datacard Denmark As Method and system protecting against identity theft or replication abuse
KR101596097B1 (ko) 2013-10-30 2016-02-19 삼성에스디에스 주식회사 가상화 환경에서 사용자 인증을 수행하는 모바일 장치 및 모바일 장치에서의 사용자 인증 방법
CN103795577A (zh) * 2014-03-03 2014-05-14 网神信息技术(北京)股份有限公司 日志服务器处理日志的方法和装置
US11734396B2 (en) 2014-06-17 2023-08-22 El Electronics Llc Security through layers in an intelligent electronic device
US9467456B2 (en) 2014-08-29 2016-10-11 Dell Software Inc. Single login authentication for users with multiple IPv4/IPv6 addresses
CN104468553B (zh) * 2014-11-28 2019-01-15 北京奇安信科技有限公司 一种公共账号登录的方法、装置及系统
CN104410650A (zh) * 2014-12-24 2015-03-11 四川金网通电子科技有限公司 基于Session和Cookie验证用户的方法
KR101674566B1 (ko) * 2015-01-22 2016-11-09 주식회사 엔씨소프트 온라인 서비스에서의 계정 보호 방법 및 그 시스템
US10958435B2 (en) 2015-12-21 2021-03-23 Electro Industries/ Gauge Tech Providing security in an intelligent electronic device
CN107026918B (zh) * 2016-01-29 2020-06-09 中国移动通信集团广东有限公司 基于动态主机配置协议的web认证计费方法及系统
US10430263B2 (en) 2016-02-01 2019-10-01 Electro Industries/Gauge Tech Devices, systems and methods for validating and upgrading firmware in intelligent electronic devices
US11102207B2 (en) * 2017-11-21 2021-08-24 T-Mobile Usa, Inc. Adaptive greylist processing
US11606372B2 (en) 2017-12-19 2023-03-14 T-Mobile Usa, Inc. Mitigating against malicious login attempts
US11734704B2 (en) 2018-02-17 2023-08-22 Ei Electronics Llc Devices, systems and methods for the collection of meter data in a common, globally accessible, group of servers, to provide simpler configuration, collection, viewing, and analysis of the meter data
US11754997B2 (en) 2018-02-17 2023-09-12 Ei Electronics Llc Devices, systems and methods for predicting future consumption values of load(s) in power distribution systems
US11686594B2 (en) 2018-02-17 2023-06-27 Ei Electronics Llc Devices, systems and methods for a cloud-based meter management system
US10819750B1 (en) * 2018-04-27 2020-10-27 Amazon Technologies, Inc. Multi-tenant authentication and permissions framework
CN108449367B (zh) * 2018-06-25 2021-03-30 北京京东尚科信息技术有限公司 管理用户登录安全性的方法、装置、电子设备及可读介质
AU2019352918A1 (en) * 2018-10-05 2021-05-13 Mastercard Technologies Canada ULC Server-side persistent device identification for fraud prevention systems
CN110287165A (zh) * 2019-05-09 2019-09-27 北京极数云舟科技有限公司 数据库装置、数据库中间层装置及运行该数据库的方法
US11863589B2 (en) 2019-06-07 2024-01-02 Ei Electronics Llc Enterprise security in meters
CN111314917B (zh) * 2020-02-22 2023-06-23 深圳市天和通信有限公司 一种控制无线终端接入的方法及无线接入点

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060101114A1 (en) * 1998-11-30 2006-05-11 Ravi Sandhu System and apparatus for storage and transfer of secure data on Web

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6772139B1 (en) * 1998-10-05 2004-08-03 Smith, Iii Julius O. Method and apparatus for facilitating use of hypertext links on the world wide web
US8239445B1 (en) * 2000-04-25 2012-08-07 International Business Machines Corporation URL-based sticky routing tokens using a server-side cookie jar
US7941669B2 (en) * 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
US7185364B2 (en) * 2001-03-21 2007-02-27 Oracle International Corporation Access system interface
KR20030016073A (ko) * 2001-08-20 2003-02-26 엘지전자 주식회사 웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템
JP2003069604A (ja) 2001-08-23 2003-03-07 Nifty Corp 動的アドレス割当方法,動的アドレス割当装置及び動的アドレス割当プログラム
US7917941B2 (en) * 2003-09-22 2011-03-29 International Business Machines Corporation System and method for providing physical web security using IP addresses
JP2005149239A (ja) 2003-11-17 2005-06-09 Nec Corp ユーザ認証システム
US8069117B1 (en) * 2004-05-28 2011-11-29 Adobe Systems Incorporated Ad hoc access rights in restricted-access electronic space
US8068414B2 (en) * 2004-08-09 2011-11-29 Cisco Technology, Inc. Arrangement for tracking IP address usage based on authenticated link identifier
JP4340241B2 (ja) 2005-01-20 2009-10-07 富士通株式会社 利用者認証プログラム、利用者認証方法、利用者認証装置および利用者認証システム
US20070136573A1 (en) * 2005-12-05 2007-06-14 Joseph Steinberg System and method of using two or more multi-factor authentication mechanisms to authenticate online parties
US20070169165A1 (en) * 2005-12-22 2007-07-19 Crull Robert W Social network-enabled interactive media player
EP1873673A4 (en) * 2006-03-29 2011-05-18 Bank Of Tokyo Mitsubishi Ufj USER VERIFICATION DEVICE, METHOD, AND PROGRAM

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060101114A1 (en) * 1998-11-30 2006-05-11 Ravi Sandhu System and apparatus for storage and transfer of secure data on Web

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013522786A (ja) * 2010-03-22 2013-06-13 トムソン ライセンシング 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
JP2012191270A (ja) * 2011-03-08 2012-10-04 Kddi Corp 認証システム、端末装置、認証サーバ、およびプログラム
JP2016219972A (ja) * 2015-05-19 2016-12-22 株式会社Nttドコモ 無線通信システム

Also Published As

Publication number Publication date
KR20090019443A (ko) 2009-02-25
JP4891299B2 (ja) 2012-03-07
KR100944724B1 (ko) 2010-03-03
CN101374047A (zh) 2009-02-25
CN101374047B (zh) 2011-12-14
US20090055912A1 (en) 2009-02-26
US8474030B2 (en) 2013-06-25

Similar Documents

Publication Publication Date Title
JP4891299B2 (ja) Ipアドレスを用いるユーザ認証システム及びその方法
US7089246B1 (en) Overriding content ratings and restricting access to requested resources
US9692747B2 (en) Authenticating linked accounts
US7636777B1 (en) Restricting access to requested resources
JP4186987B2 (ja) データベースアクセス制御方法、データベースアクセス制御装置、データベースアクセス制御のためのプログラム、および該プログラムを記録した記録媒体
EP2156402B1 (en) Integrating security by obscurity with access control lists
EP2856702B1 (en) Policy service authorization and authentication
US5889958A (en) Network access control system and process
WO2010111914A1 (zh) 一种网络权限管理方法、装置和系统
CN101331731A (zh) 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品
US9059987B1 (en) Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network
CN115378610A (zh) 基于位置访问受控访问资源
JP3961112B2 (ja) パケット通信制御システム及びパケット通信制御装置
US20060190990A1 (en) Method and system for controlling access to a service provided through a network
Jammalamadaka et al. Delegate: A proxy based architecture for secure website access from an untrusted machine
US20210112060A1 (en) Method and Apparatus to Control and Monitor Access to Web Domains using Networked Devices
Grzonkowski et al. D-FOAF-Security Aspects in Distributed User Management System
JP2006235743A (ja) アクセス制御装置、アクセス制御方法およびプログラム
Li et al. Horcrux: A password manager for paranoids
JP2002342143A (ja) アクセス制御システム及びその処理プログラムと記録媒体
US7043554B2 (en) Networker server, method for controlling transmission of a hypertext and recording medium storing a hypertext
Uda Vulnerable web server protection by hash based url transformation
Baihan Role-based Access Control Solution for GraphQL-based Fast Healthcare Interoperability Resources Health Application Programming Interface
JP2019012545A (ja) ルータ装置及びルータ装置のフィルタリング方法
Peiris et al. How to cheat at designing security for a Windows server 2003 network

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20091016

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20091029

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20091106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111122

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111215

R150 Certificate of patent or registration of utility model

Ref document number: 4891299

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141222

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250