KR101256675B1 - 아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한싱글 사인 온 시스템 및 그 서비스 방법 - Google Patents

아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한싱글 사인 온 시스템 및 그 서비스 방법 Download PDF

Info

Publication number
KR101256675B1
KR101256675B1 KR1020060073818A KR20060073818A KR101256675B1 KR 101256675 B1 KR101256675 B1 KR 101256675B1 KR 1020060073818 A KR1020060073818 A KR 1020060073818A KR 20060073818 A KR20060073818 A KR 20060073818A KR 101256675 B1 KR101256675 B1 KR 101256675B1
Authority
KR
South Korea
Prior art keywords
user
status information
service
theft prevention
access status
Prior art date
Application number
KR1020060073818A
Other languages
English (en)
Other versions
KR20080012653A (ko
Inventor
이정환
류구현
송규석
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020060073818A priority Critical patent/KR101256675B1/ko
Publication of KR20080012653A publication Critical patent/KR20080012653A/ko
Application granted granted Critical
Publication of KR101256675B1 publication Critical patent/KR101256675B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Abstract

본 발명은 아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한 싱글사인온(Single Sign-On;이하, SSO라 칭함) 시스템 및 그 서비스 방법에 관한 것으로서, 보다 상세하게는 인터넷 서비스 제공 서버에 의해 제공되는 인터넷 서비스 사용 시에 해당 사용자의 IP(internet protocol)정보 뿐만 아니라 사용자의 네트워크 접속 상황(포트번호, 맥주소, 유/무선 등) 정보를 이용하여 아이디 도용 방지의 효율을 향상시키는 기술을 개시한다. 이를 위해, 본 발명은 ID 도용 확인을 위한 기본 접속상황정보 및 사용자의 현재 접속상황정보를 수집하여 저장하는 데이터베이스와, 상기 사용자의 최초 로그인 시에 상기 데이터베이스에 상기 기본 접속상황정보를 등록한 후, 추후 로그인이 시도되면 입력된 ID에 대한 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하여, 상기 ID의 도용을 검증하는 ID 도용 방지부를 포함하여 구성함을 특징으로 한다.

Description

아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한 싱글 사인 온 시스템 및 그 서비스 방법{SYSTEM FOR PREVENTING ID THEFT, SERVICE METHOD THEREOF, SINGLE SIGN ON SYSTEM USING THE SAME AND SERVICE METHOD THEREOF}
도 1은 본 발명의 실시예에 따른 아이디 도용 방지 시스템의 전체 구성도.
도 2는 본 발명의 실시예에 따른 아이디 도용 방지 서비스 방법을 나타내는 순서도.
도 3은 도 2의 아이디 도용 방지 서비스 가입 및 등록방법을 구체적으로 설명하기 위한 순서도.
도 4는 도 2의 아이디 도용 방지 방법을 구체적으로 설명하기 위한 순서도.
도 5는 본 발명의 다른 실시예에 따른 도 1의 아이디 도용 방지 시스템을 적용한 싱글사인온(Single Sign-On;SSO)시스템의 전체 구성도.
도 6은 본 발명의 다른 실시예에 따른 싱글사인온 서비스 제공 방법을 나타내는 순서도.
< 도면의 주요 부분에 대한 부호의 설명 >
100, 400 : 사용자 200, 500 : 서비스 제공자
300 : ID 도용 방지 시스템 600 : SSO 시스템
310, 620 : ID 도용 방지부 320, 630 : 데이터베이스
610 : SSO부
본 발명은 아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한 싱글사인온(Single Sign-On;이하, SSO라 칭함) 시스템 및 그 서비스 방법에 관한 것으로서, 보다 상세하게는 인터넷 서비스 제공 서버에 의해 제공되는 인터넷 서비스 사용 시에 해당 사용자의 IP(internet protocol)정보 뿐만 아니라 사용자의 네트워크 접속 상황(포트번호, 맥주소, 유/무선 등) 정보를 이용하여 아이디 도용 방지의 효율을 향상시키는 기술이다.
일반적으로 인터넷 서비스 제공자에 의해 제공되는 인터넷 서비스 이용 시 사용자는 아이디와 비밀번호를 통해 인증을 받아 서비스를 제공받는다. 이러한 인터넷 서비스의 증가에 따라 아이디와 비밀번호가 누출되어 타인이 이를 도용하는 사례가 빈번히 발생하고 있으나 가입자 본인은 이에 대해 알 수 있는 경우가 거의 없다. 그에 따라, 악의적 사용자가 누출된 개인정보를 이용하여 여러 서비스 계정을 만드는 등 그 피해 및 위험성이 더 커지고 있다.
이러한 문제점을 해결하기 위해, 종래에 아이디 도용 방지 시스템을 구축하였으나, 종래의 아이디 도용 방지 시스템은 서비스 제공자마다 구축하여 사용함으로써, 그 구축에 따른 인력 및 비용 소모가 큰 문제점이 있었다.
또한, 아이디 도용 방지 시스템을 구축하더라도 사용자의 접속 상황과 상관 없이 무조건적으로 이동 통신 단말기 및 이메일을 통한 추가인증을 요구하게 되어 사용자 편의성을 악화시키는 문제점이 있다.
따라서, 상술된 문제를 해결하기 위한 본 발명의 목적은 사용자의 IP정보 뿐만 아니라 네트워크 접속 상황을 이용하여 아이디 도용을 검증함으로써 아이디 도용 방지 효율을 증대시키는데 있다.
또한, 본 발명의 다른 목적은 사용자가 접속한 현재 접속상황정보가 미리 등록한 사용자의 기본 접속상황과 다른 경우에 한해 추가 비밀번호 인증을 수행함으로써 사용자의 편의성을 증대시키는데 있다.
또한, 본 발명의 다른 목적은 ID 도용 방지 방법을 적용한 싱글사인온(Single Sign-On;SSO) 서비스를 제공하는데 있다.
위와 같은 목적을 달성하기 위한 본 발명의 아이디 도용 방지 시스템은, ID 도용 확인을 위한 기본 접속상황정보 및 사용자의 현재 접속상황정보를 수집하여 저장하는 데이터베이스와, 상기 사용자의 최초 로그인 시에 상기 데이터베이스에 상기 기본 접속상황정보를 등록한 후, 추후 로그인이 시도되면 입력된 ID에 대한 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하여, 상기 ID의 도용을 검증하는 ID 도용 방지부를 포함하여 구성함을 특징으로 한다.
또한, 본 발명에 따른 아이디 도용 방지 서비스 방법은, 서비스 제공자 ID 및 네트워크 서비스 제공자 ID를 생성하고 저장하는 제 1 과정과, 사용자가 최초 로그인하면, 상기 사용자의 기본 접속상황정보를 등록하는 제 2 과정과, 상기 사용자로부터 상기 최초 로그인 이후의 로그인을 위한 아이디 및 비밀번호를 입력받는 경우, 상기 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하는 제 3 과정과, 상기 제 3 과정의 비교결과, 일치하면 상기 사용자에게 해당 인터넷 서비스를 제공하고, 일치하지 않으면 추가 비밀번호 인증을 수행하여 그 인증결과에 따라 해당 인터넷 서비스를 제공하는 제 4 과정을 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 싱글사인온(Single Sign-On;SSO) 시스템은, ID 도용 확인을 위한 기본 접속상황정보, 사용자의 현재 접속상황정보, 및 SSO 크리덴셜(credential) 검증을 위한 사용자정보를 수집하여 저장하는 데이터베이스와, 상기 사용자의 최초 로그인 시에 상기 데이터베이스에 상기 기본 접속상황정보를 등록한 후, 추후 로그인이 시도되면 입력된 ID에 대한 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하여, 상기 ID의 도용을 검증하는 ID 도용 방지부와, 상기 사용자로부터 SSO 서비스 요청 시, 상기 사용자에게 발급된 SSO 크리덴셜을 검증하여 상기 SSO 크리덴셜이 정상적이지 않은 경우 상기 ID 도용 방지부를 통해 ID 검증을 수행한 후 정당한 ID 인 경우 상기 SSO 크리덴셜을 새롭게 발급하여 상기 SSO 서비스를 제공하는 SSO부를 포함하여 구성함을 특징으로 한다.
또한, 본 발명에 따른 싱글사인온(Single Sign-On;SSO) 서비스 방법은, 사용자로부터 SSO(Single Sign On) 서비스 요청을 받으면, 상기 사용자가 SSO 서비스 가입 시 발급받은 SSO 크리덴셜(credential)이 정상적으로 발급된 것인지 검증하는 제 1 과정과, 상기 검증 결과, 정상적이지 않은 경우, 상기 사용자로부터 새로운 SSO 크리덴셜 발급을 위한 아이디 및 비밀번호를 입력받아, 미리 등록해둔 네트워크의 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하는 제 2 과정과, 상기 비교 결과, 일치하지 않는 경우 추가 비밀번호 인증을 수행하여 그 인증결과에 따라 상기 SSO 크리덴셜을 발급하여 상기 SSO 서비스를 제공하는 제 3 과정을 포함하는 것을 특징으로 한다.
이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예를 보다 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 아이디(이하, ID라 칭함) 도용 방지 시스템의 전체 구성도이다.
본 발명의 실시예에 따른 ID 도용 방지 시스템(300)은 인터넷망을 통해 서비스 제공자(200) 및 사용자(100)와 연결되어 ID 도용 방지 서비스를 제공한다.
서비스 제공자(200)는 인터넷망을 통해 사용자(100)에게 인터넷 서비스를 제공하며 예를 들어, 다음(DAUM), 네이버(NAVER) 등의 포털 사이트 등을 통한 인터넷 서비스를 제공한다.
ID 도용 방지 시스템(300)은 ID 도용 방지부(310)와 데이터베이스(320)를 구비한다.
ID 도용 방지부(310)는 인터넷망을 통해 서비스 제공자(200)와 ID 도용 방지 계약을 맺고, 사용자로부터 로그인을 위한 서비스 ID가 입력되면 데이터베이스(320)에 저장된 기본 접속상황정보를 이용하여 ID 도용 여부를 판단한다. 여기서, 기본 접속상황정보는 서비스 제공자 ID, 서비스 ID, 사용자(100)가 등록한 단 말의 맥주소/포트번호를 포함한다.(여기서, 서비스 제공자 ID는 다음(daum) 및 네이버(naver) 등의 서비스 제공자(200)와 ID 도용방지시스템(300)간의 ID 도용 방지 계약시 서비스 제공자(200)에게 주어지는 ID이고, 서비스 ID는 다음(daum) 및 네이버(naver) 등의 서비스 제공자(200)에 의해 제공되는 인터넷 서비스에 사용자(100)가 로그인할때 입력하는 ID로서 사용자별 개인 ID를 의미한다.
이를 위해, ID 도용 방지부(310)는 서비스 제공자(200)와 ID 도용 방지 계약을 수립하고 서비스 제공자 ID를 생성하고, 사용자(100)로부터 ID 도용 방지 서비스 요청이 있는 경우, 사용자(100)가 상기 ID 도용 방지 서비스를 제공하는 네트워크 서비스 가입자인지를 판단하여, 기 가입자인 경우 기존 네트워크 서비스 제공자 ID를 사용하도록 하고 기 가입자가 아닌 경우 네트워크 서비스를 위한 네트워크 서비스 제공자 ID를 생성하여 데이터베이스(320)에 저장시킨다.
또한, ID 도용 방지부(310)는 사용자(100)가 ID 도용 방지 서비스에 가입 후, 최초 로그인 시에 사용자(100)로부터 기본 접속상황정보를 수집하여 저장한 후, 사용자(100)가 추후 로그인하는 경우 등록한 기본 접속상황정보가 현재 접속상황정보와 일치하는 지를 판단하여 ID 도용 여부를 판단한다. 여기서, 기본 접속상황정보와 현재 접속상황정보의 비교 방법은 추후 도 4를 통해 구체적으로 설명하기로 한다.
또한, ID 도용 방지부(310)는 기본 접속상황정보와 현재 접속상황정보의 비교 결과, 일치하면 사용자(100)에게 해당 인터넷 서비스를 제공하고, 일치하지 않으면 사용자(100)에게 추가 비밀번호 인증을 요청하며, 추가 비밀번호의 인증이 성 공하면 해당 접속상황정보를 데이터베이스(320)에 업데이트시키고 해당 인터넷 서비스를 사용자(100)에게 제공하도록 하는 반면에 인증이 실패하면 로그인 실패화면을 사용자(100)에게 제공한다.
한편, 데이터베이스(320)는 ID 도용 확인을 위한 기본 접속상황정보를 저장한다. 여기서, 기본 접속상황정보는 서비스 제공자 ID, 서비스 ID, 네트워크 서비스 제공자 ID, 서비스 ID별 IP 주소, 사용자가 선택한 접속장소 단말의 맥 주소/포트번호 등을 포함한다.
이를 위해, 데이터베이스(320)는 서비스 제공 테이블(미도시), 기본 접속상황정보 테이블(미도시), 및 현재 접속상황정보 테이블(미도시)을 구비한다.
서비스 제공 테이블(미도시)은 서비스 제공자 ID에 해당하는 해당 서비스의 로그인 URL(uniform resource locator)/실패(failure) URL 및 ID 도용 방지 서비스 형태(최종 접속상황과 같은 경우 서비스 사용 허가 여부) 등을 포함한다.
기본 접속상황정보 테이블(미도시)은 네트워크 서비스 제공자 ID(KT_NSP_ID)별 서비스 제공자 ID, 서비스 ID, 사용자가 선택하여 등록한 단말의 맥주소/포트번호(집/사무실/임시) 등을 포함한다. 즉, 기본 접속상황정보 테이블(미도시)은 서비스 제공자 마다 존재하는 서비스 제공자 ID와 서비스 ID를 짝지어 등록하고 해당 서비스 ID에 대한 맥주소/포트번호를 포함한다.
현재 접속상황정보 테이블(미도시)은 사용자가 접속시도 한 경우, 단말/네트워크 자원접속중재 및 제어플랫폼(미도시)으로부터 사용자가 접속시도한 단말의 실제 맥주소/포트번호를 수집하여 저장한다. 즉, 네트워크 서비스 제공자 ID별 실제 맥주소, 실제 포트번호, 초고속 가입자 ID 및 비밀번호, 단말 IP주소 및 타입, 단말 상위장비의 맥주소 및 포트번호 등을 저장한다.
이하, 도 2 내지 도 4를 참조하여, 본 발명의 실시예에 따른 ID 도용 방지 서비스 제공 방법을 설명하기로 한다.
도 2는 본 발명의 실시예에 따른 ID 도용 방지 서비스 제공을 위한 전체적인 순서도이다.
먼저, 서비스 제공자(200)와 ID 도용 방지 시스템(300) 간에 ID 도용 방지 계약을 수립하고, ID 도용 방지 시스템(300)에서 서비스 제공자 ID(service provider ID)를 생성하여 저장한 후 서비스 제공자(200)로 전달한다(S100). 이때, 서비스 제공자(200)와 ID 도용 방지 시스템(300) 간의 계약 수립 시에 ID 도용 방지 서비스 사용을 위한 규약에 동의하고 시스템이 서로 연동 되도록 설정하는 것이 바람직하다.
또한, 계약 수립은 모든 ID에 대해 ID 도용 방지서비스를 제공하는 서비스 제공자(200)와 ID 도용 방지 시스템(300)을 제공하는 네트워크 서비스 제공자(미도시) 간의 계약 형태가 되어 서비스 제공자(200)에 해당하는 모든 실사용자가 사용하게 될 수도 있고, 서비스 제공자(200)와 네트워크 서비스 제공자(미도시) 간에 인터넷 서비스 계약 및 시스템 설정만 하고 실 사용자(100)가 ID 도용 방지 시스템(300)에 직접 가입하는 계약형태로 수립될 수도 있으며, 도 2는 후자에 해당한다.
이어서, ID 도용 방지부(310)는 사용자(100)로부터 ID 도용 방지 가입을 요 청받으면 가입 과정을 수행한 후, 사용자(100)가 최초 로그인을 시도하면 사용자(100)의 서비스 제공자 ID, 서비스 ID, IP(Internet Protocol) 정보를 포함하는 기본 접속상황정보를 데이터베이스(320)에 등록한다(S200).
그 후, ID 도용 방지부(310)는 사용자(100)로부터 인터넷 서비스를 위한 로그인을 위해 ID 및 비밀번호가 입력되면(S300), 미리 등록해둔 기본접속상황을 이용하여 ID 정상여부를 체크하고(S400), 해당 ID가 정당한 ID인 경우 사용자(100)에게 해당 인터넷 서비스를 제공한다(S500).
한편, 상기 과정 S400의 체크 결과 해당 ID가 정당하지 않은 경우 서비스 제공자(200)는 사용자(100)에게 추가 비밀번호를 요청한다(S600). 이때, ID 도용 방지부(310)는 사용자(100)의 IP 정보를 이용하여 이동 통신 단말기 또는 이메일 중 하나를 선택하여 추가 비밀번호를 요청하는 것이 바람직하다.
그 후, ID 도용 방지부(310)는 사용자(310)로부터 추가 비밀번호가 입력되면 추가 비밀번호의 인증을 수행하여(S700), 추가 비밀번호의 인증이 성공하면 해당 인터넷 서비스를 제공하고(S500), 추가 비밀번호의 인증이 실패하면 사용자에게 로그인 실패 화면을 제공한다(S800).
도 3은 도 2의 ID 도용 방지 서비스 가입 및 기본접속상황 등록방법(S100~S200)을 구체적으로 설명하기 위한 순서도이다.
먼저, ID 도용 방지 서비스 제공을 위해 서비스 제공자(200)와 ID 도용 방지부(310) 간에 ID 도용 방지 계약을 수립한다(S101). 계약이 수립되면 ID 도용 방지부(310)는 서비스 제공자 ID를 생성하고(S102), 그 서비스 제공자 ID를 서비스 제 공자(200) 및 데이터베이스(320)로 각각 전송한다(S103, S104). 이때, 데이터베이스(320)는 서비스 제공자 ID를 저장한다.
그 후, 사용자(100)가 서비스 제공자(200)에게 ID 도용 방지 서비스 가입 요청을 하면(S105), 서비스 제공자(200)는 해당 사용자(100)의 서비스 ID와 인터넷 서비스를 요청한 서비스 제공자(200)의 서비스 제공자 ID를 ID 도용 방지부(310)로 전달한다(S106).
그에 따라, ID 도용 방지부(310)는 해당 사용자(100)가 해당 서비스 제공자(200)가 소속된 네트워크 서비스 가입자인지를 판단하고(S107), 사용자가 기존 가입자인 경우 기존 ID를 데이터베이스(320)로 전달하여 저장하는 반면에(S108), 기존 가입자가 아닌 경우 새로운 네트워크 서비스 제공자 ID를 생성하여(S109), 데이터베이스(320)에 전달하여 저장시킨다(S110).
이와같이, 상기 과정 S101~S110을 통해 서비스 제공자(200)와 ID 도용 방지부(310) 간에 ID 도용 방지를 위한 계약을 수립하고 사용자(100)로부터 ID 도용서비스 가입요청을 받아 가입 절차를 수행하며, 서비스 제공자 ID 및 네트워크 서비스 제공자 ID를 생성하여 저장한다.
그 후, 사용자(100)가 해당 서비스 제공자(200)에 대해 최초 로그인을 시도하면(S111), 서비스 제공자(200)는 ID 도용 방지부(310)로 서비스 제공자 ID, 서비스 ID, 및 IP정보를 전달하고(S112), 사용자(100)에게 추가 비밀번호 입력 화면을 제공한다(S113).
이어서, 사용자(100)로부터 추가 비밀번호가 입력되면(S114), ID 도용 방지 부(310)는 추가 비밀번호 인증을 수행하고 그 인증 성공여부를 체크한다(S115). 이때, ID 도용 방지부(310)는 사용자(100)의 IP정보를 이용하여 사용자(100)가 국내에 있는지 해외에 있는지를 판단하고 국내에 있는 경우 이동 통신 단말기 및 개인 이메일로 추가 비밀번호를 송부하고, 해외에 있는 경우 이메일을 통해 추가 비밀번호를 송부한다. 이때, 이동 통신 단말기로 추가 비밀번호를 송부하는 경우 원타임패스워드(ont-time password;OTP)를 생성하여 전송하는 것이 바람직하다.
그 후, ID 도용 방지부(310)는 사용자(100)로부터 전송한 비밀번호와 동일한 번호가 입력되면 해당 사용자(100)가 정당한 것으로 보고 인증을 성공시킨다.
이와같이, 추가 비밀번호의 인증이 성공하면 사용자(100)로부터 기본접속상황으로 등록하기 원하는 단말(집/사무실/임시)을 선택받기 위한 화면을 사용자(100)에게 제공하고(S116), 사용자(100)가 기본 접속상황정보를 등록하기 원하는 단말(집/사무실/임시)을 선택하면(S117), 해당 사용자 단말의 맥(mac)주소/포트(port)번호를 단말/네트워크 자원접속 중재 및 제어 플랫폼(미도시)으로부터 가져와 해당 서비스 제공자 ID 및 서비스 ID와 함께 데이터베이스(320)로 전달하여 저장시킨다(S118).
이와 같이, 본 발명은 상기 과정 S111~S116을 통해 ID 도용 방지를 위한 기본 접속상황정보를 등록한다.
도 4는 도 2의 아이디 도용 방지 방법(S300~S800)을 구체적으로 설명하기 위한 순서도이다.
먼저, 서비스 제공자(200)는 ID 도용 방지 서비스에 가입한 사용자(100)로부 터 서비스 ID 및 비밀번호를 입력받으면(S201), 해당 비밀번호가 맞는지 확인하고(S202), ID 도용 방지부(310)로 해당 서비스 ID의 검증을 요청한다(S203). 이때, 서비스 제공자(200)는 해당 서비스 ID 전송 시에 사용자의 접속정보(IP주소, 서비스 제공자 ID 등)를 함께 전송하되, 해당 정보들이 네트워크상에 노출되지 않도록 해쉬(Hash) 및 암호화 등의 방법 및 프로토콜을 이용하여 전송하는 것이 바람직하다. 또한, 서비스 제공자(200)는 웹 서비스 호출에 있어 URL에 중요 전달값을 표시하는 HTML 태그 중 <FORM>의 겟(GET)방식 대신에 파라미터값을 HTTP 헤더에 포함시켜 전송함으로서 URL로 노출되지 않도록 하는 HTML 태그 중 <FORM>의 포스트(POST) 방식을 사용하여 통신 과정에서 데이터의 노출을 방지하는 것이 바람직하다.
그에 따라, ID 도용 방지부(310)는 서비스 제공자(200)로부터 수신한 서비스 ID 및 접속정보를 해쉬(HASH) 또는 복호화하고, 해당 서비스 ID에 대한 기본 접속상황정보(집/사무실/임시 맥주소 및 포트번호) 및 사용자(100)의 현재 접속상황정보(접속중인 단말의 실제 맥주소,포트번호, 유무선정보 등)를 데이터베이스(320)로부터 수집한다(S204).
그 후, ID 도용 방지부(310)는 수집한 기본 접속상황정보와 현재 접속상황정보를 비교하여 해당 서비스 ID가 정당한 사용자인지를 판단한다. 즉, 미리 등록해둔 기본 접속상황정보가 현재 접속상황정보와 일치하면 정당한 서비스 ID로 판단하고 일치하지 않으면 정당하지 않은 서비스 ID로 판단한다(S205).
예를 들면, 현재 접속 포트정보(current_port)/맥주소(current_mac)가 미리 등록한 집 포트정보(home_port)/집 맥주소(home_mac)가 일치하면 현재 집에서 등록 된 단말로 접속한 것이고 현재 접속 포트정보(current_port)/맥주소(current_mac)가 사무실 포트정보(office_port)/사무실 맥주소(office_mac)와 일치하면 사무실에서 등록된 단말로 접속한 상황으로 판단한다. 또한, 사용자의 편의를 위해 최종 접속한 상황정보와 같은 경우 접속을 허용하도록 설정한다면, 최종 접속한 상황정보를 임시 포트정보(temp_port)/임시 맥주소(temp_mac)로 등록해두고, 현재 접속 포트정보(current_port)/맥주소(current_mac)와 임시 포트정보(temp_port)/임시 맥주소(temp_mac)가 일치하는 경우 서비스를 제공한다.
그 후, ID 도용 방지부(310)는 ID 검증 결과를 서비스 제공자(200)에게 전달하여, 서비스 제공자(200)를 통해 전송받은 ID 검증 결과를 이용하여 해당 인터넷 서비스를 제공하거나 추가 비밀번호 입력화면을 제공하도록 한다(S206).
예를 들면, 현재 접속된 단말의 포트정보(current_port)/맥주소(current_mac)가 미리 등록한 집/사무실/임시 포트정보/맥주소 중 하나와 일치하면 정당한 사용자로 판단하고 서비스 제공자(200)는 해당 사용자(100)에 대하여 서비스를 제공하는 반면에, 현재 접속 포트정보(current_port)는 집/사무실/임시 포트정보와 일치하나 현재 접속 맥주소(current_mac)가 집/사무실/임시 맥주소와 일치하지 않거나, 현재 접속 맥주소(current_mac)는 집/사무실/임시 맥주소와 일치하나 현재 접속 포트정보(current_port)는 집/사무실/임시 포트정보와 일치하지 않은 경우, 해당 사용자가 등록되지 않은 단말로 접속을 시도하는 경우이므로 추가 비밀번호 인증을 요구한다. 다만, 사용자가 무선으로 접속한 경우에는 현재 접속 맥주소와 집/사무실/임시 맥주소를 비교하여 일치하는 경우 로그인 성공화면을 제공하고 포트번호는 비교하지 않아도 된다.
이때, ID 도용 방지부(310)는 사용자(100)의 IP 정보를 이용하여 해당 사용자(100)가 국내에 있는지 해외에 있는지를 판단하고, 국내에 존재하는 경우 이동 통신 단말기의 문자 메시지 등을 통해 원타임 비밀번호(one time password)를 전송하여 동일한 비밀번호를 입력받도록 하고, 해외에 존재하는 경우 미리 설정해둔 2차 비밀번호를 이용하거나 메일을 이용하여 비밀번호를 전송한 후 동일 비밀번호를 입력받도록 한다.
상기와 같은 방법 중 하나를 이용하여 사용자(100)로부터 추가 비밀번호가 입력되면(S207), ID 도용 방지부(310)는 추가 비밀번호에 대한 인증을 수행하고(S208), 그 인증 결과를 서비스 제공자(200)에게 전달한다. 즉, ID 도용 방지부(310)는 인증이 성공한 경우 인증 성공 결과와 해당 서비스의 로그인 성공 URL을 함께 전달하고, 인증이 실패한 경우 인증 실패 결과 및 로그인 실패 URL을 함께 전달한다.
그에 따라, 서비스 제공자(200)는 인증이 성공한 경우 사용자(100)에게 로그인 성공 화면과 함께 서비스를 제공하고, 인증이 실패한 경우 로그인 실패 화면을 제공한다(S209). 이때, 추가 비밀번호 인증에 성공한 경우 해당 현재 접속상황정보를 데이터베이스(320)에 임시 맥주소/포트번호로 업데이트하여 추후의 계속적인 서비스 사용 시 추가 비밀번호 입력을 생략할 수 있도록 하는 것이 바람직하다. 한편, 인증에 실패한 경우, 사용자(100)에게 로그인 실패 화면과 함께 ID 도용 상황에 대한 경고 메시지를 전송하는 것이 바람직하다.
상기와 같은 과정을 수행하기 위해 서비스 제공자(200)는 아이디 도용 방지 서비스 제공을 위한 클라이언트(Client)를 설치하는 것이 바람직하다.
이와같이, 본 발명은 서비스 제공자(200)의 서버마다 ID 도용 방지를 위한 시스템을 구축할 필요 없이 하나의 ID 도용 방지 시스템을 두고 모든 서비스 제공자(200)의 모든 ID에 대하여 네트워크 서비스 제공자(NSP)의 네트워크 상황정보를 이용하여 ID 도용 여부를 판단하고 이를 서비스 제공자(200)에게 알려줌으로써 사용자(100)에 대한 서비스 제공 여부를 결정하도록 한다.
도 5는 본 발명의 다른 실시예에 따른 도 1의 아이디 도용 방지 시스템을 적용한 싱글사인온(Single Sign-On; 이하, SSO라 칭함)시스템의 전체 구성도이다.
본 발명의 다른 실시예에 따른 SSO 시스템(600)은 인터넷 망을 통해 서비스 제공자(500) 및 사용자(400)와 연결되어 SSO 서비스를 제공한다. 여기서, SSO 서비스는 단 한 번의 로그인만으로 기업의 각종 시스템이나 인터넷 서비스에 접속하게 해주는 보안 응용 솔루션으로서, 각각의 시스템마다 인증 절차를 밟지 않고도 1개의 계정만으로 다양한 시스템에 접근할 수 있어 ID 및 비밀번호에 대한 보안 위험 예방과 사용자 편의 증진, 인증 관리 비용의 절감할 수 있다.
서비스 제공자(500)는 도 1의 서비스 제공자(200)와 같은 ID 도용방지를 위한 에이전트뿐만 아니라 SSO 서비스를 위한 SSO 에이전트(agent) 또는 API(application program interface)를 설치한다.
SSO 시스템(600)은 ID 도용 방지 서비스와 SSO 서비스를 함께 제공하며, 이를 위해, SSO 시스템(600)은 SSO부(610), ID 도용 방지부(620), 및 데이터베이스(630) 를 포함하여 구성한다.
여기서, ID 도용 방지부(620)는 도 1의 ID 도용 방지부(310)의 기능과 동일하고, 데이터베이스(630)는 도 1의 데이터베이스(320)와 같이 ID 도용 방지를 위한 사용자정보, 기본 접속상황정보, 현재 접속상황정보 등을 저장할 뿐만 아니라 SSO 서비스를 위한 SSO 크리덴셜 검증을 위한 정보도 포함하는 것이 바람직하다.
SSO부(610)는 데이터베이스(630)의 SSO 크리덴셜 검증을 위한 정보를 이용하여 SSO 크리덴셜이 정당한 것인지를 검증하고, 정당한 경우 사용자(400)에게 SSO 서비스를 제공하고 정당하지 않은 경우 SSO 크리덴셜을 새로이 발급받을 수 있도록 서비스 제공자(500)를 통해 사용자(400)에게 로그인 화면을 제공한다.
또한, SSO부(610)는 사용자(400)가 SSO 서비스에 가입 시에, 사용자(400)에게 서비스 제공자 ID와 인증서 및 쿠키 등과 같은 SSO 크리덴셜(credential)을 발급한다.
그에 따라, SSO부(610)는 사용자(400)로부터 SSO 서비스 요청이 있는 경우, 해당 SSO 크리덴셜 검증을 수행하여 해당 SSO 크리덴셜이 정당한 경우 사용자에게 SSO 서비스 제공을 위한 로그인 화면을 제공하고, 해당 SSO 크리덴셜이 정당하지 않은 경우 정당한 SSO 크리덴셜을 새로 발급받기 위한 과정을 수행한다.
이하, 도 6을 참조하여, 본 발명의 다른 실시예에 따른 SSO 서비스 제공 방법을 구체적으로 설명하기로 한다.
먼저, 사용자(400)가 SSO 서비스를 요청하는 경우(S301), SSO부(610)는 해당 사용자(400)에 대한 SSO 크리덴셜(credential)을 검증을 위한 정보를 데이터베이 스(630)로부터 수집하여(S302), 해당 사용자(400)에 대한 SSO 크리덴셜(credential)이 정상적으로 발급된 것인지를 검증한다(S303). 즉, 해당 사용자(400)가 발급받은 인증서 및 쿠키 등이 SSO 서비스에 가입되어 정상적으로 발급된 것인지를 검증한다. 이때, SSO 크리덴셜(credential)을 검증을 위한 정보는 SSO 서비스 가입정보(SSO 서비스 ID 등) 및 그에 해당하는 SSO 서비스 가입시에 발급받은 SSO 크리덴셜에 대한 정보를 포함한다.
상기 과정 S303의 검증 결과, SSO 크리덴셜이 정상이면 서비스 제공자(500)를 통해 사용자(400)에서 SSO 서비스를 제공하고, SSO 크리덴셜이 정상적이지 않은 경우 해당 사용자(400)에게 새로운 SSO 크리덴셜 발급을 위한 로그인 화면을 제공한다(S304).
그에 따라, 사용자(400)가 아이디 및 비밀번호를 입력하면(S305), 서비스 제공자(500)는 해당 비밀번호가 맞는지 검증하고(S306), ID 도용 방지부(620)로 해당 서비스 ID의 검증을 요청한다(S307). 이때, 서비스 제공자(200)는 해당 서비스 ID 전송 시에 사용자의 접속정보(IP주소, 맥주소, 서비스 제공자 ID, 서비스 ID 등)를 함께 전송하되, 해당 정보들이 네트워크상에 노출되지 않도록 해쉬(Hash) 및 암호화 등의 방법 및 프로토콜을 이용하여 전송하는 것이 바람직하다.
그에 따라, ID 도용 방지부(620)는 서비스 제공자(500)로부터 수신한 서비스 ID 및 접속정보를 해쉬 또는 복호화하고 기본 접속상황정보를 데이터베이스(630)로부터 수집한다(S308). 즉, ID 도용 방지부(620)는 서비스 ID를 이용하여 데이터베이스(630)로부터 해당하는 기본 접속상황정보(집/사무실/임시 맥주소)를 수집하고, IP 주소 정보를 이용하여 데이터베이스(630)로부터 해당하는 IP 주소에 대한 현재의 접속상황정보(실제 포트번호, 실제 맥주소, 및 유/무선 등)를 수집한다.
그 후, ID 도용 방지부(620)는 수집한 기본 접속상황정보와 현재 접속상황정보를 비교하여 해당 서비스 ID가 정당한 사용자인지를 판단한다. 즉, 미리 등록해둔 기본 접속상황정보가 현재 접속상황정보가 일치하면 정당한 서비스 ID로 판단하고 일치하지 않으면 정당하지 않은 서비스 ID로 판단한다(S309).
이어서, ID 도용 방지부(620)는 ID 검증 결과에 따라, 서비스 제공자(500)를 통해 사용자(400)에서 SSO 크리덴셜을 발급하거나 추가 비밀번호 입력화면을 제공한다(S310). 즉, ID가 정당한 경우 SSO 크리덴셜을 발급하여 SSO 서비스를 제공받을 수 있도록 하고, ID가 정당하지 않은 경우 추가적인 비밀번호를 요청한다.
예를 들어, 현재 접속 포트정보(current_port)/맥주소(current_mac)가 미리 등록한 집/사무실/임시 포트정보/맥주소와 일치하면 정당한 사용자로 판단하고 서비스 제공자(500)는 해당 사용자(400)에 대하여 SSO 크리덴셜을 발급하는 반면에, 현재 접속 포트정보(current_port)는 집/사무실/임시 포트정보와 일치하나 현재 접속 맥주소(current_mac)가 집/사무실/임시 맥주소와 일치하지 않거나, 현재 접속 맥주소(current_mac)는 집/사무실/임시 맥주소와 일치하나 현재 접속 포트정보(current_port)는 집/사무실/임시 포트정보와 일치하지 않은 경우, 해당 사용자(400)가 등록되지 않은 단말로 접속을 시도하는 경우이므로 추가 비밀번호 인증을 요구한다.
이때, 추가 비밀번호 인증을 위해, ID 도용 방지부(620)는 사용자(400)의 IP 정보를 이용하여 해당 사용자(400)가 국내에 있는지 해외에 있는지를 판단하여, 국내에 존재하는 경우 이동 통신 단말기의 문자 메시지 등을 통해 원타임 비밀번호(one time password)를 전송하여 동일한 비밀번호를 입력받도록 하고, 해외에 존재하는 경우 미리 설정해둔 2차 비밀번호를 이용하거나 메일을 이용하여 비밀번호를 전송한 후 동일 비밀번호를 입력받도록 한다.
상기와 같은 방법 중 하나를 이용하여 사용자(400)로부터 추가 비밀번호가 입력되면(S311), ID 도용 방지부(620)는 추가 비밀번호에 대한 인증을 수행하고(S312), 그 인증 결과에 따라 서비스 제공자(500)를 통해 SSO 크리덴셜을 발급하거나 로그인 실패 화면을 제공한다(S313).
즉, ID 도용 방지부(620)는 인증이 성공한 경우 인증 성공 결과와 해당 서비스의 URL 정보를 함께 전달하고, 인증이 실패한 경우 인증 실패 결과와 인증실패 로그인 화면 URL을 전달한다.
이때, 기본 접속상황정보와 현재 접속상황정보가 불일치하여 추가적인 비밀번호 인증에 성공하여 로그인을 성공한 경우 해당 접속상황정보를 데이터베이스(630)에 업데이트하여 추후 현재 접속상황정보로 접속을 시도하는 경우에 추가 비밀번호 인증 없이 계속적인 서비스를 제공할 수 있도록 하는 것이 바람직하다. 한편, 인증에 실패한 경우, 사용자(400)에게 로그인 실패 화면과 함께 ID 도용 상황에 대한 경고 메시지를 전송하는 것이 바람직하다.
이때, SSO 서비스는 SSO 시스템(600)이 서비스 제공자(500)와 일괄 계약을 하거나 사용자(400)와 직접 개별적 계약을 수립하여 제공되는 것이 바람직하며, 신규 로 제공하는 서비스에 대해서도 네트워크 서비스 제공자(NSP)에 가입되어 있는 경우 서비스 제공자(500)에 추가로 가입하지 않고 임시 ID를 생성하여 해당 인터넷 서비스를 사용할 수 있도록 하는 것이 바람직하다.
이와같이, 본 발명의 다른 실시예는 도 1 내지 도 4의 ID 도용 방지 방법을 적용하여 SSO 크리덴셜을 검증하고 SSO 크리덴셜이 없거나 검증에 실패한 경우에 한하여 ID 도용 방지 서비스를 통해 SSO 크리덴셜을 발급하도록 하여 SSO 서비스를 제공할 수 있도록 한다.
상술한 바와 같이, 본 발명은 IP주소 뿐만 아니라 사용자의 네트워크 접속 상황(포트번호, 맥주소, 유/무선 등) 정보를 이용하여 사용자 아이디 도용 방지 효율을 향상시키는 효과가 있다.
또한, 본 발명은 사용자가 접속한 현재 접속상황정보가 미리 등록한 사용자의 기본 접속상황과 다른 경우에 한해 추가 비밀번호 인증을 수행함으로써 사용자의 편의성을 증대시키는 효과가 있다.
또한, 본 발명은 사용자의 네트워크 접속 상황(포트번호, 맥주소, 유/무선 등) 정보를 이용하여 ID 도용 방지를 위한 ID 연계성을 확보하여 서비스 제공자마다 하나의 ID를 이용한 싱글사인온(Single Sign-On;SSO) 서비스를 효율적으로 제공할 수 있는 효과가 있다.
아울러 본 발명 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라면 첨부된 특허 청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허 청구범위에 속하는 것으로 보아야 할 것이다.

Claims (38)

  1. ID 도용 확인을 위한 기본 접속상황정보 및 사용자의 현재 접속상황정보를 수집하여 저장하는 데이터베이스; 및
    상기 사용자의 최초 로그인 시에 상기 데이터베이스에 상기 기본 접속상황정보를 등록한 후, 추후 로그인이 시도되면 입력된 ID에 대한 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하여, 상기 ID의 도용을 검증하는 ID 도용 방지부를 포함하며,
    상기 ID 도용 방지부는, 상기 입력된 ID에 대한 기본 접속상황정보와 상기 사용자의 현재 접속상황정보가 일치하면 상기 사용자에게 해당 인터넷 서비스를 제공하고, 일치하지 않으면 추가 비밀번호 인증을 수행하여 그 인증결과에 따라 해당 인터넷 서비스를 제공하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  2. 제 1항에 있어서, 상기 데이터베이스는,
    네트워크 서비스 제공자가 제공하는 단말/네트워크 자원 접속 중재 및 제어 플랫폼으로부터 상기 사용자의 현재 접속상황정보를 수집하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  3. 제 1항에 있어서, 상기 데이터베이스의 기본 접속상황정보는,
    상기 사용자의 서비스 제공자 ID, 서비스 ID, 상기 사용자가 선택한 접속장소별 사용자 단말의 맥 주소 및 포트정보를 포함하여 구성함을 특징으로 하는 아이디 도용 방지 시스템.
  4. 제 3항에 있어서,
    상기 사용자에 의해 상기 기본 접속상황정보 등록 시 상기 ID 및 상기 기본 접속상황정보를 해쉬(Hash) 및 암호화 방법 중 적어도 하나를 이용하여 상기 ID 도용 방지부로 전달하는 서비스 제공자를 더 포함하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  5. 제 4항에 있어서, 상기 ID 도용 방지부는,
    상기 서비스 제공자와 ID 도용 방지 계약을 수립 시에 상기 서비스 제공자 ID를 생성하여 상기 데이터베이스로 전송하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  6. 제 4항에 있어서, 상기 ID 도용 방지부는,
    상기 사용자로부터 ID 도용 방지 서비스 요청이 있는 경우, 상기 사용자가 상기 ID 도용 방지 서비스를 제공하는 네트워크 서비스 가입자인지를 판단하여, 아닌 경우 상기 네트워크 서비스를 위한 상기 네트워크 서비스 제공자 ID를 생성하여 상기 데이터베이스로 전송하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  7. 제 6항에 있어서, 상기 ID 도용 방지부는,
    상기 사용자가 ID 도용 방지 서비스에 가입 후, 최초 로그인 시에 사용자로부터 추가 비밀번호를 요청하여 추가 비밀번호가 인증된 경우, 상기 기본 접속상황정보를 등록하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  8. 삭제
  9. 제 1항에 있어서, 상기 ID 도용 방지부는,
    상기 입력된 아이디에 대한 기본 접속상황정보 중 맥주소 및 포트번호를 상기 사용자가 현재 접속중인 단말의 맥주소 및 포트번호와 비교하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  10. 제 1항에 있어서, 상기 ID 도용 방지부는,
    상기 입력된 아이디에 대한 기본 접속상황정보와 상기 사용자가 현재 접속중인 단말의 접속상황정보가 일치하지 않는 경우, 상기 사용자의 IP 정보를 이용하여 상기 사용자의 현재 위치가 국내인지 국외인지를 판단하고, 이동통신 단말기 또는 이메일 중 적어도 하나를 이용하여 추가 비밀번호를 전송하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  11. 제 10항에 있어서, 상기 ID 도용 방지부는,
    상기 이동 통신 단말기로 추가 비밀번호를 전송하는 경우 원타임 패스워드(one-time password;OTP)를 생성하여 전송하는 것을 특징으로 하는 아이디 도용 방지 시스템.
  12. 서비스 제공자 ID 및 네트워크 서비스 제공자 ID를 생성하고 저장하는 제 1 과정;
    사용자가 최초 로그인하면, 상기 사용자의 기본 접속상황정보를 등록하는 제 2 과정;
    상기 사용자로부터 상기 최초 로그인 이후의 로그인을 위한 아이디 및 비밀번호를 입력받는 경우, 상기 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하는 제 3 과정; 및
    상기 제 3 과정의 비교결과, 일치하면 상기 사용자에게 해당 인터넷 서비스를 제공하고, 일치하지 않으면 추가 비밀번호 인증을 수행하여 그 인증결과에 따라 해당 인터넷 서비스를 제공하는 제 4 과정을 포함하는 것을 특징으로 하는 아이디 도용 방지 서비스 방법.
  13. 제 12항에 있어서, 상기 제 1 과정은,
    상기 인터넷 서비스를 제공하는 서비스 제공자와 ID 도용 방지 계약을 수립하고 상기 서비스 제공자 ID를 생성하여 저장하는 제 1-1과정; 및
    상기 사용자로부터 ID 도용 방지 서비스 가입 요청을 받은 경우, 상기 사용자가 상기 ID 도용 방지 서비스를 제공하는 네트워크 서비스 가입자인지를 판단하여 아닌 경우 상기 네트워크 서비스 제공자 ID를 생성하여 저장하는 제 1-2과정을 포함하는 것을 특징으로 하는 아이디 도용 방지 서비스 방법.
  14. 제 13항에 있어서, 상기 제 2 과정은,
    상기 사용자에게 추가 비밀번호를 전송하고 입력받는 제 2-1과정;
    상기 입력받은 추가 비밀번호가 전송한 추가 비밀번호와 일치하는지 검증하는 제 2-2과정; 및
    일치하는 경우, 상기 기본접속상황정보를 등록하는 제 2-3과정을 포함하는 것을 특징으로 하는 아이디 도용 방지 서비스 방법.
  15. 제 14항에 있어서, 상기 기본 접속상황정보는,
    상기 서비스 제공자 ID, 서비스 ID, 상기 사용자가 선택한 단말의 맥 주소 및 포트정보를 포함하는 것을 특징으로 하는 아이디 도용 방지 서비스 방법.
  16. 제 14항에 있어서, 상기 제 3 과정은,
    상기 사용자로부터 입력받은 비밀번호를 검증하는 제 3-1과정; 및
    상기 기본 접속상황정보 중 단말의 맥주소 및 포트번호를 상기 사용자가 접속한 단말의 맥주소 및 포트번호와 비교하여, 상기 사용자로부터 입력받은 ID를 검 증하는 제 3-2과정을 포함하는 것을 특징으로 하는 아이디 도용 방지 서비스 방법.
  17. 제 16항에 있어서, 상기 제 3-2 과정은,
    상기 사용자의 단말이 무선 단말기인 경우, 상기 기본 접속상황정보 중 단말의 맥주소를 상기 무선 단말기의 맥주소와 비교하여 상기 ID를 검증하는 것을 특징으로 하는 아이디 도용 방지 서비스 방법.
  18. 제 12항에 있어서, 상기 제 4 과정은,
    상기 제 3 과정의 비교 결과, 일치하지 않으면 상기 추가 비밀번호 인증을 수행하는 제 4-1과정;
    상기 추가 비밀번호의 인증이 성공하면, 상기 인터넷 서비스를 제공하고 최종 접속상황정보를 상기 기본 접속상황정보로 업데이트하는 제 4-2과정; 및
    상기 추가 비밀번호의 인증이 실패하면, 로그인 실패 화면을 상기 사용자에게 제공하는 제 4-3과정을 포함하는 것을 특징으로 하는 아이디 도용 방지 서비스 방법.
  19. 제 18항에 있어서, 상기 제 4-1과정은,
    상기 사용자의 IP 정보를 이용하여 상기 사용자의 현재 위치가 국내인지 국외인지를 판단하고, 그 판단 결과에 따라 이동통신 단말기 또는 이메일 중 적어도 하나를 이용하여 상기 추가 비밀번호를 전송하는 것을 특징으로 하는 아이디 도용 방지 서비스 방법.
  20. ID 도용 확인을 위한 기본 접속상황정보, 사용자의 현재 접속상황정보, 및 SSO(Single Sign On) 크리덴셜(credential) 검증을 위한 사용자정보를 수집하여 저장하는 데이터베이스;
    상기 사용자의 최초 로그인 시에 상기 데이터베이스에 상기 기본 접속상황정보를 등록한 후, 추후 로그인이 시도되면 입력된 ID에 대한 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하여, 상기 ID의 도용을 검증하는 ID 도용 방지부; 및
    상기 사용자로부터 SSO 서비스 요청 시, 상기 사용자에게 발급된 SSO 크리덴셜을 검증하여 상기 SSO 크리덴셜이 정상적이지 않은 경우 상기 ID 도용 방지부를 통해 ID 검증을 수행한 후 정당한 ID 인경우 상기 SSO 크리덴셜을 새롭게 발급하여 상기 SSO 서비스를 제공하는 SSO부를 포함하여 구성함을 특징으로 하는 싱글 사인 온 시스템.
  21. 제 20항에 있어서, 상기 데이터베이스는,
    네트워크 서비스 제공자가 제공하는 단말/네트워크 자원 접속 중재 및 제어 플랫폼으로부터 상기 사용자의 현재 접속상황정보를 수집하는 것을 특징으로 하는 싱글 사인 온 시스템.
  22. 제 20항에 있어서, 상기 데이터베이스의 기본 접속상황정보는,
    상기 사용자의 서비스 제공자 ID, 서비스 ID, 상기 사용자가 선택한 접속장소별 사용자 단말의 맥 주소 및 포트정보를 포함하여 구성함을 특징으로 하는 싱글 사인 온 시스템.
  23. 제 22항에 있어서,
    상기 사용자에 의해 상기 기본 접속상황정보 등록 시 상기 ID 및 상기 기본 접속상황정보를 해쉬(Hash) 및 암호화 방법 중 적어도 하나를 이용하여 상기 ID 도용 방지부로 전달하는 서비스 제공자를 더 포함하는 것을 특징으로 하는 싱글 사인 온 시스템.
  24. 제 23항에 있어서, 상기 ID 도용 방지부는,
    상기 서비스 제공자와 ID 도용 방지 계약을 수립 시에 상기 서비스 제공자 ID를 생성하여 상기 데이터베이스로 전송하는 것을 특징으로 하는 싱글 사인 온 시스템.
  25. 제 23항에 있어서, 상기 ID 도용 방지부는,
    상기 사용자로부터 ID 도용 방지 서비스 요청이 있는 경우, 상기 사용자가 상기 ID 도용 방지 서비스를 제공하는 네트워크 서비스 가입자인지를 판단하여, 아닌 경우 상기 네트워크 서비스를 위한 상기 네트워크 서비스 제공자 ID를 생성하여 상기 데이터베이스로 전송하는 것을 특징으로 하는 싱글 사인 온 시스템.
  26. 제 25항에 있어서, 상기 ID 도용 방지부는,
    상기 사용자가 ID 도용 방지 서비스에 가입 후, 최초 로그인 시에 사용자로부터 추가 비밀번호를 요청하여 추가 비밀번호가 인증된 경우, 상기 기본 접속상황정보를 등록하는 것을 특징으로 하는 싱글 사인 온 시스템.
  27. 제 25항에 있어서, 상기 ID 도용 방지부는,
    상기 사용자가 인터넷 서비스를 위한 로그인을 시도하는 경우, 상기 로그인을 위해 입력된 ID에 대한 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하여 일치하면 상기 인터넷 서비스를 상기 사용자에게 제공하고, 일치하지 않은 경우 상기 사용자에게 추가 비밀번호를 요구하여 검증하는 것을 특징으로 하는 싱글 사인 온 시스템.
  28. 제 27항에 있어서, 상기 ID 도용 방지부는,
    상기 입력된 아이디에 대한 기본 접속상황정보 중 맥주소 및 포트번호를 상기 사용자가 현재 접속중인 단말의 맥주소 및 포트번호와 비교하는 것을 특징으로 하는 싱글 사인 온 시스템.
  29. 제 27항에 있어서, 상기 ID 도용 방지부는,
    상기 입력된 아이디에 대한 기본 접속상황정보와 상기 사용자가 현재 접속중인 단말의 접속상황정보가 일치하지 않는 경우, 상기 사용자의 IP 정보를 이용하여 상기 사용자의 현재 위치가 국내인지 국외인지를 판단하고, 이동통신 단말기 또는 이메일 중 적어도 하나를 이용하여 추가 비밀번호를 전송하는 것을 특징으로 하는 싱글 사인 온 시스템.
  30. 제 29항에 있어서, 상기 ID 도용 방지부는,
    상기 이동 통신 단말기로 추가 비밀번호를 전송하는 경우 원타임 패스워드(one-time password;OTP)를 생성하여 전송하는 것을 특징으로 하는 싱글 사인 온 시스템.
  31. 사용자로부터 SSO(Single Sign On) 서비스 요청을 받으면, 상기 사용자가 SSO 서비스 가입 시 발급받은 SSO 크리덴셜(credential)이 정상적으로 발급된 것인지 검증하는 제 1 과정;
    상기 검증 결과, 정상적이지 않은 경우, 상기 사용자로부터 새로운 SSO 크리덴셜 발급을 위한 아이디 및 비밀번호를 입력받아, 미리 등록해둔 네트워크의 기본 접속상황정보와 상기 사용자의 현재 접속상황정보를 비교하는 제 2 과정; 및
    상기 비교 결과, 일치하지 않는 경우 추가 비밀번호 인증을 수행하여 그 인증결과에 따라 상기 SSO 크리덴셜을 발급하여 상기 SSO 서비스를 제공하는 제 3 과정을 포함하는 것을 특징으로 하는 싱글 사인 온 서비스 방법.
  32. 제 31항에 있어서, 상기 제 1 과정 전에,
    서비스 제공자 ID 및 네트워크 서비스 제공자 ID를 생성하고 저장하는 제 4과정;
    상기 사용자가 최초 로그인하면, 상기 사용자의 기본 접속상황정보를 미리 등록하는 제 5과정을 더 포함하는 것을 특징으로 하는 싱글 사인 온 서비스 방법.
  33. 제 32항에 있어서, 상기 제 5 과정은,
    상기 사용자에게 추가 비밀번호를 전송하고 입력받는 제 5-1과정;
    상기 입력받은 추가 비밀번호가 전송한 추가 비밀번호와 일치하는지 검증하는 제 5-2과정; 및
    일치하는 경우, 상기 기본접속상황정보를 등록하는 제 5-3과정을 포함하는 것을 특징으로 하는 싱글 사인 온 서비스 방법.
  34. 제 33항에 있어서, 상기 기본 접속상황정보는,
    상기 서비스 제공자 ID, 서비스 ID, 상기 사용자가 선택한 단말의 맥 주소 및 포트정보를 포함하는 것을 특징으로 하는 싱글 사인 온 서비스 방법.
  35. 제 33항에 있어서, 상기 제 2 과정은,
    상기 사용자로부터 입력받은 비밀번호를 검증하는 제 2-1과정; 및
    상기 기본 접속상황정보 중 단말의 맥주소 및 포트번호를 상기 사용자가 접속한 단말의 맥주소 및 포트번호와 비교하여, 상기 사용자로부터 입력받은 ID를 검증하는 제 2-2과정을 포함하는 것을 특징으로 하는 싱글 사인 온 서비스 방법.
  36. 제 35항에 있어서, 상기 제 2-2 과정은,
    상기 사용자의 단말이 무선 단말기인 경우, 상기 기본 접속상황정보 중 단말의 맥주소를 상기 무선 단말기의 맥주소와 비교하여 상기 ID를 검증하는 것을 특징으로 하는 싱글 사인 온 서비스 방법.
  37. 제 33항에 있어서, 상기 제 3 과정은,
    상기 제 2 과정의 비교 결과, 일치하지 않으면 상기 추가 비밀번호 인증을 수행하는 제 3-1과정;
    상기 추가 비밀번호의 인증이 성공하면, 상기 SSO 크리덴셜을 발급하여 SSO 서비스를 제공하도록 하고 최종 접속상황정보를 상기 기본 접속상황정보로 업데이트하는 제 3-2과정; 및
    상기 추가 비밀번호의 인증이 실패하면, 로그인 실패 화면을 상기 사용자에게 제공하는 제 3-3과정을 포함하는 것을 특징으로 하는 싱글 사인 온 서비스 방법.
  38. 제 37항에 있어서, 상기 제 3-1과정은,
    상기 사용자의 IP 정보를 이용하여 상기 사용자의 현재 위치가 국내인지 국외인지를 판단하고, 그 판단 결과에 따라 이동통신 단말기 또는 이메일 중 적어도 하나를 이용하여 상기 추가 비밀번호를 전송하는 것을 특징으로 하는 싱글 사인 온 서비스 방법.
KR1020060073818A 2006-08-04 2006-08-04 아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한싱글 사인 온 시스템 및 그 서비스 방법 KR101256675B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060073818A KR101256675B1 (ko) 2006-08-04 2006-08-04 아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한싱글 사인 온 시스템 및 그 서비스 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060073818A KR101256675B1 (ko) 2006-08-04 2006-08-04 아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한싱글 사인 온 시스템 및 그 서비스 방법

Publications (2)

Publication Number Publication Date
KR20080012653A KR20080012653A (ko) 2008-02-12
KR101256675B1 true KR101256675B1 (ko) 2013-04-19

Family

ID=39340738

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060073818A KR101256675B1 (ko) 2006-08-04 2006-08-04 아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한싱글 사인 온 시스템 및 그 서비스 방법

Country Status (1)

Country Link
KR (1) KR101256675B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110728779B (zh) * 2019-09-23 2020-11-13 中国地质大学(北京) 一种无线智能电子门牌及其控制系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100320119B1 (ko) 1999-09-30 2002-01-10 김형태 아이디 도용 감지 시스템 및 방법, 그 프로그램 소스를기록한 기록매체
KR20050021614A (ko) * 2003-08-19 2005-03-07 서원호 컴퓨터 접속 정보의 도용방지방법 및 그 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100320119B1 (ko) 1999-09-30 2002-01-10 김형태 아이디 도용 감지 시스템 및 방법, 그 프로그램 소스를기록한 기록매체
KR20050021614A (ko) * 2003-08-19 2005-03-07 서원호 컴퓨터 접속 정보의 도용방지방법 및 그 시스템

Also Published As

Publication number Publication date
KR20080012653A (ko) 2008-02-12

Similar Documents

Publication Publication Date Title
JP4880699B2 (ja) サービスアカウントを保護するための方法、システム、及び装置
RU2509446C2 (ru) Аутентификация у поставщика идентификационной информации
US7958352B2 (en) Method and system for verifying and updating the configuration of an access device during authentication
US8533798B2 (en) Method and system for controlling access to networks
US8332919B2 (en) Distributed authentication system and distributed authentication method
CN105162777B (zh) 一种无线网络登录方法及装置
DK2924944T3 (en) Presence authentication
JP2005339093A (ja) 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体
JP2005527909A (ja) 電子メールアドレスとハードウェア情報とを利用したユーザ認証方法及びシステム
US20130263239A1 (en) Apparatus and method for performing user authentication by proxy in wireless communication system
US20060100888A1 (en) System for managing identification information via internet and method of providing service using the same
US11165768B2 (en) Technique for connecting to a service
CN103023856A (zh) 单点登录的方法、系统和信息处理方法、系统
US10951616B2 (en) Proximity-based device authentication
WO2006065004A1 (en) System and method for performing service logout in single-sign-on service using identity
CN1885768B (zh) 一种环球网认证方法
CN109460647B (zh) 一种多设备安全登录的方法
KR101133167B1 (ko) 보안이 강화된 사용자 인증 처리 방법 및 장치
WO2009153402A1 (en) Method, arrangement and computer program for authentication data management
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
KR101256675B1 (ko) 아이디 도용 방지 시스템, 그 서비스 방법, 그를 적용한싱글 사인 온 시스템 및 그 서비스 방법
JP3914152B2 (ja) 認証サーバ、認証システムおよび認証プログラム
KR20150135171A (ko) 고객 전화번호 입력에 기초한 로그인 처리 시스템 및 그 제어방법
KR20130124447A (ko) 지능형 로그인 인증 시스템 및 그 방법
JP5632429B2 (ja) オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160406

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170405

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 7