KR102369228B1 - 리스크 기반 인증을 위한 리스크 분석 장치 및 방법 - Google Patents

리스크 기반 인증을 위한 리스크 분석 장치 및 방법 Download PDF

Info

Publication number
KR102369228B1
KR102369228B1 KR1020170064848A KR20170064848A KR102369228B1 KR 102369228 B1 KR102369228 B1 KR 102369228B1 KR 1020170064848 A KR1020170064848 A KR 1020170064848A KR 20170064848 A KR20170064848 A KR 20170064848A KR 102369228 B1 KR102369228 B1 KR 102369228B1
Authority
KR
South Korea
Prior art keywords
authentication
risk
user
risk score
score
Prior art date
Application number
KR1020170064848A
Other languages
English (en)
Other versions
KR20180129194A (ko
Inventor
박현경
서범준
오현민
이지현
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020170064848A priority Critical patent/KR102369228B1/ko
Priority to US15/989,301 priority patent/US11003749B2/en
Priority to CN201810515977.5A priority patent/CN108959933A/zh
Publication of KR20180129194A publication Critical patent/KR20180129194A/ko
Application granted granted Critical
Publication of KR102369228B1 publication Critical patent/KR102369228B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2139Recurrent verification

Abstract

리스크 분석 장치 및 방법이 개시된다. 본 발명의 일 실시예에 따른 리스크 분석 장치는, 인증 시스템에서 클라이언트 장치의 사용자에 대한 인증을 위해 수행된 하나 이상의 인증 절차와 관련된 리스크 팩터(risk factor)들을 수집하는 리스크 팩터 수집부, 상기 하나 이상의 인증 절차가 성공된 경우, 상기 수집된 리스크 팩터들에 기초하여 상기 사용자에 대한 현재 리스크 스코어(risk score)를 산출하고, 상기 사용자에 대한 리스크 스코어 이력 및 상기 현재 리스크 스코어에 기초하여 종합 리스크 스코어를 산출하는 리스크 분석부 및 상기 현재 리스크 스코어 및 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 추가 인증 여부를 판단하고, 상기 추가 인증이 요구되는 경우, 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청하는 추가 인증 요청부를 포함한다.

Description

리스크 기반 인증을 위한 리스크 분석 장치 및 방법{RISK ANALYSIS APPARATUS AND METHOD FOR RISK BASED AUTHENTICATION}
본 발명의 실시예들은 리스크 기반 인증 기술과 관련된다.
최근의 인터넷 환경은 점점 더 교묘해지는 해킹 기술로 인해 단일요소 인증기술로는 다양하고 지능적인 해킹위협에 효과적으로 대응하기 어려워지고 있는 현실이다. 일반적으로 사용자인증을 위해서는 패스워드, SMS인증, 일회용비밀번호, 디지털인증서 등의 다양한 인증기술을 사용하고 있다. 하지만 공격자는 금전적 이득을 취하기 위해 다양한 방법으로 인증정보의 해킹을 시도하고 있어, 단일요소 인증기술만을 적용한 경우 해당 정보 유출에 따른 큰 위험을 초래할 수 있다.
최근에는 이러한 단일요소 인증기술을 보완하기 위한 방법으로 두 개 이상의 단일요소 인증기술을 결합한 다중 요소 인증(multi-factor authentication) 기술, 리스크 기반 인증(risk based authentication)이 주목 받고 있다.
종래 리스크 기반 인증 기술은 인증한 시점에서의 수집 정보와 사용자 패턴을 기반으로 리스크 스코어(risk score)를 산출하므로, 생성된 리스크 스코어는 해당 시점의 상황에 대한 설명만 가능하였다. 그러나, 해당 시점에 동일한 리스크 스코어가 생성 되더라도 과거의 리스크 이력에 따라 위험도가 다를 수 있다.
예를 들어, 사용자 A와 B가 동일한 기기 및 위치 정보 등에 의하여 같은 리스크 스코어를 판정 받았다 하더라도 최근에 A 사용자가 B 사용자에 비해 위험한 행동을 하고 있었으면, 현재 시점에 같은 리스크 스코어가 나온다고 해도 A가 B보다 위험한 인증(해킹 등)일 가능성이 높으므로 더 강화된 인증을 요청해야 한다. 하지만 기존의 기술들은 이와 같은 기존 상황을 고려한 처리가 어렵다.
과거 사용자의 패턴을 변수로 사용하여 리스크 스코어를 생성하는 모델에서도 일부 과거의 패턴이 반영이 되긴 하나 배치 주기 동안의 최신 트렌드가 반영이 늦거나 최근에 위험 패턴이 감지된 이후 처리를 하지 않을 경우, 해당 패턴이 사용자의 패턴으로 학습되어 이후에 반영이 되지 않는 등의 한계를 가지고 있다.
한국등록특허 제10-1635278호 (2016.07.01. 공고)
본 발명의 실시예들은 리스크 기반 인증을 위한 리스크 분석 장치 및 방법을 제공하기 위한 것이다.
본 발명의 일 실시예에 따른 리스크 분석 장치는, 인증 시스템에서 클라이언트 장치의 사용자에 대한 인증을 위해 수행된 하나 이상의 인증 절차와 관련된 리스크 팩터(risk factor)들을 수집하는 리스크 팩터 수집부, 상기 하나 이상의 인증 절차가 성공된 경우, 상기 수집된 리스크 팩터들에 기초하여 상기 사용자에 대한 현재 리스크 스코어(risk score)를 산출하고, 상기 사용자에 대한 리스크 스코어 이력 및 상기 현재 리스크 스코어에 기초하여 종합 리스크 스코어를 산출하는 리스크 분석부 및 상기 현재 리스크 스코어 및 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 추가 인증 여부를 판단하고, 상기 추가 인증이 요구되는 경우, 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청하는 추가 인증 요청부를 포함한다.
상기 리스크 팩터들은, 상기 사용자의 인증 활동과 관련된 데이터, 상기 클라이언트 장치와 관련된 데이터 및 상기 하나 이상의 인증 절차에서 이용된 인증 요소와 관련된 데이터 중 적어도 하나를 포함할 수 있다.
상기 리스크 분석부는, 상기 현재 리스크 스코어 및 상기 리스크 스코어 이력에 포함된 과거 리스크 스코어들에 대한 가중치 합을 이용하여 상기 종합 리스크 스코어를 산출할 수 있다.
상기 리스크 분석부는, 상기 과거 리스크 스코어 이력에 포함된 과거 리스크 스코어들의 변동 패턴과 상기 현재 리스크 스코어를 비교하여 상기 종합 리스크 스코어를 산출할 수 있다.
상기 리스크 분석부는, 소정 기간 내 리스크 스코어가 임계값을 초과한 횟수에 기초하여 상기 종합 리스크 스코어를 산출할 수 있다.
인증 요청부는, 상기 현재 리스크 스코어가 제1 임계값을 초과하거나 상기 종합 리스크 스코어가 제2 임계값을 초과하는 경우 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청할 수 있다.
상기 리스크 분석부는, 상기 사용자에 대해 과거 수행된 인증 절차들과 관련된 리스크 팩터들 및 복수의 사용자에 대해 과거 수행된 인증 절차들과 관련된 리스크 팩터들 중 적어도 하나와 상기 현재 수행된 인증 절차와 관련된 리스크 팩터들을 이용하여 상기 현재 리스크 스코어를 산출할 수 있다.
상기 리스크 분석 장치는, 상기 종합 리스크 스코어 또는 상기 사용자의 인증 이력에 기초하여 상기 사용자에 대한 재인증 시점을 결정하는 인증 간격 결정부를 더 포함할 수 있다.
상기 인증 간격 결정부는, 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 신뢰 값을 산출하고, 상기 산출된 신뢰 값에 기초하여 상기 재인증 시점을 결정할 수 있다.
상기 인증 간격 결정부는, 상기 사용자의 과거 인증 이력에 기초하여 상기 사용자에 대한 인증 실패 확률을 산출하고, 상기 산출된 인증 실패 확률에 기초하여 상기 재인증 시점을 결정할 수 있다.
본 발명의 일 실시예에 따른 리스크 분석 방법은, 인증 시스템에서 클라이언트 장치의 사용자에 대한 인증을 위해 수행된 하나 이상의 인증 절차와 관련된 리스크 팩터(risk factor)들을 수집하는 단계, 상기 하나 이상의 인증 절차가 성공된 경우, 상기 수집된 리스크 팩터들에 기초하여 상기 사용자에 대한 현재 리스크 스코어(risk score)를 산출하는 단계, 상기 사용자에 대한 리스크 스코어 이력 및 상기 현재 리스크 스코어에 기초하여 종합 리스크 스코어를 산출하는 단계 및 상기 현재 리스크 스코어 및 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 추가 인증 여부를 판단하고, 상기 추가 인증이 요구되는 경우, 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청하는 단계를 포함한다.
상기 리스크 팩터들은, 상기 사용자의 인증 활동과 관련된 데이터, 상기 클라이언트 장치와 관련된 데이터 및 상기 하나 이상의 인증 절차에서 이용된 인증 요소와 관련된 데이터 중 적어도 하나를 포함할 수 있다.
상기 종합 리스크 스코어를 산출하는 단계는, 상기 현재 리스크 스코어 및 상기 리스크 스코어 이력에 포함된 과거 리스크 스코어들에 대한 가중치 합을 이용하여 상기 종합 리스크 스코어를 산출할 수 있다.
상기 종합 리스크 스코어를 산출하는 단계는, 상기 과거 리스크 스코어 이력에 포함된 과거 리스크 스코어들의 변동 패턴과 상기 현재 리스크 스코어를 비교하여 상기 종합 리스크 스코어를 산출할 수 있다.
상기 종합 리스크 스코어를 산출하는 단계는, 소정 기간 내 리스크 스코어가 임계값을 초과한 횟수에 기초하여 상기 종합 리스크 스코어를 산출할 수 있다.
상기 추가 인증을 요청하는 단계는, 상기 현재 리스크 스코어가 제1 임계값을 초과하거나 상기 종합 리스크 스코어가 제2 임계값을 초과하는 경우 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청할 수 있다.
상기 현재 리스크 스코어(risk score)를 산출하는 단계는, 상기 사용자에 대해 과거 수행된 인증 절차들과 관련된 리스크 팩터들 및 복수의 사용자에 대해 과거 수행된 인증 절차들과 관련된 리스크 팩터들 중 적어도 하나와 상기 현재 수행된 인증 절차와 관련된 리스크 팩터들을 이용하여 상기 현재 리스크 스코어를 산출할 수 있다.
상기 리스크 분석 방법은, 상기 종합 리스크 스코어 또는 상기 사용자의 인증 이력에 기초하여 상기 사용자에 대한 재인증 시점을 결정하는 단계를 더 포함할 수 있다.
상기 재인증 시점을 결정하는 단계는, 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 신뢰 값을 산출하고, 상기 산출된 신뢰 값에 기초하여 상기 재인증 시점을 결정할 수 있다.
상기 재인증 시점을 결정하는 단계는, 상기 사용자의 과거 인증 이력에 기초하여 상기 사용자에 대한 인증 실패 확률을 산출하고, 상기 산출된 인증 실패 확률에 기초하여 상기 재인증 시점을 결정할 수 있다.
본 발명의 실시예들에 따르면, 사용되는 인증 요소와 인증 방식이 상이한 인증 절차들이 하나의 시스템을 통해 통합 중계되도록 함으로써, 다중 요소 인증을 위한 시스템의 유연성을 향상시킬 수 있다.
또한, 본 발명의 실시예들에 따르면, 상이한 인증 요소를 이용한 복수 인증 절차 수행 시 이전 단계의 인증 절차에서 이용된 인증 요소에 기초하여 액세스 토큰을 발급하고, 이전 인증 절차에서 발급된 액세스 토큰의 유효성에 따라 후속 인증 절차가 수행되도록 함으로써, 제3자에 의한 재전송 공격(replay attack)을 방지하고, 리스크 분석을 통해 강화된 인증이 수행되도록 함으로써 인증 절차의 안전성 및 보안성을 향상시킬 수 있다.
또한, 본 발명의 실시예들에 따르면, 사용자의 리스크 이력을 고려하여 리스크 스코어를 산출하고, 개별 사용자의 특성과 인증 환경을 고려한 적절한 리스크 분석이 이루어지도록 할 수 있다.
또한, 본 발명의 실시예들에 따르면, 서비스 이용을 위해 지속 인증이 요구되는 경우, 사용자의 리스크 이력을 고려하여, 재인증 간격을 유연하게 조정함으로써, 사용자의 편의성을 향상시킬 수 있다.
도 1은 본 발명의 일 실시예에 따른 인증 시스템의 구성도
도 2는 본 발명의 일 실시예에 따른 클라이언트 장치의 구성도
도 3은 본 발명의 일 실시예에 따른 인증 시스템에서 수행되는 사용자 인증 과정의 일 예를 나타낸 흐름도
도 4는 본 발명의 일 실시예에 따른 인증 시스템에서 수행되는 사용자 인증 과정의 다른 예를 나타낸 흐름도
도 5는 본 발명의 일 실시예에 따른 리스크 분석 장치의 구성도
도 6은 리스크 스코어 이력을 나타낸 예시도
도 7은 종합 리스크 스코어의 일 예를 나타낸 도면
도 8은 본 발명의 일 실시예에 따른 리스크 분석 방법의 순서도
도 9는 본 발명의 일 실시예에 따른 지속 인증을 위한 재인증 시점 결정 과정을 나타낸 순서도
도 10은 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 본 발명의 일 실시예에 따른 인증 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 인증 시스템(100)은 예를 들어, 결제 서비스, 뱅킹 서비스, 증권 거래 서비스 등과 같이 서비스 프로바이더(200)에 의해 온라인 상에서 제공되는 응용 서비스를 이용하기 위한 사용자 인증을 수행하기 위한 것으로, 클라이언트 장치(110), 인증 서비스 시스템(120), 복수의 인증 서버(130)를 포함한다.
구체적으로, 본 발명의 일 실시예에 따르면, 인증 시스템(100)은 하나 이상의 인증 절차를 수행하여 사용자 인증을 수행할 수 있다. 이때, 각 인증 절차는 상이한 인증 요소를 이용하여 수행될 수 있으며, 각 인증 절차에서 이용되는 인증 요소에 따라 인증 방식 역시 상이할 수 있다.
구체적으로, 사용자 인증을 위한 각 인증 절차에서 사용될 수 있는 인증 요소는 예를 들어, 지식 기반 인증 요소(예를 들어, 아이디/패스워드, PIN(Personal Identity Number) 등), 소지 기반 인증 요소(예를 들어, OTP(One-Time Password), 스마트 카드, 보안 토큰 등), 특징 기반 인증 요소(예를 들어, 지문, 홍채, 음성 등) 등을 포함할 수 있다.
또한, 각 인증 절차는 예를 들어, FIDO(Fast IDentity Online) 인증 기술 (예를 들어, UAF(Universal Authentication Framework) 프로토콜)에 기반한 인증 방식, SMS 기반 인증 방식, e-mail 기반 인증 방식, 인증서 기반 인증 방식, OTP 기반 인증 방식, 아이디/패스워드 기반 인증 방식 등과 같이 다양한 인증 방식에 의해 수행될 수 있다.
클라이언트 장치(110)는 서비스 프로바이더(200)에 의해 제공되는 응용 서비스 이용을 위해 사용자가 소지한 장치이며, 예를 들어, 데스크탑, 노트북, 태블릿 컴퓨터, 스마트폰, PDA, 스마트 워치 등과 같이 정보 처리 기능, 디스플레이 기능, 데이터 저장 기능, 유/무선 네트워크 기능 및 입출력 인터페이스 장치(예를 들어, 디스플레이, 터치 스크린, 키보드, 마우스, 키 패드, 카메라, 마이크, 스피커 등)를 구비한 다양한 형태의 장치를 포함할 수 있다.
클라이언트 장치(110)는 사용자 인증을 위해 사용자에 의해 선택된 인증 요소에 기반하여 인증 정보를 생성 또는 입력 받고, 생성 또는 입력된 인증 정보를 인증 서비스 시스템(120)을 통해 복수의 인증 서버(130) 중 하나로 전송함으로써 인증 절차를 수행할 수 있다. 이때, 사용자 인증을 위해 상이한 인증 요소에 기반한 하나 이상의 인증 절차가 수행될 수 있으며, 각 인증 절차에서 전송되는 인증 정보는 사용자에 의해 선택된 인증 요소 및 인증 방식에 따라 상이할 수 있다.
구체적으로, 도 2는 본 발명의 일 실시예에 따른 클라이언트 장치(110)의 구성도이다.
도 2를 참조하면, 클라이언트 장치(110)는 서비스 에이전트(111), 인증 클라이언트(112) 및 하나 이상의 인증 장치(113)를 포함할 수 있다.
서비스 에이전트(111)는 서비스 프로바이더(200)의 서비스를 제공하기 위한 매개체이다. 예를 들어, 서비스 에이전트(111)는 클라이언트 장치(110)에서 동작하는 웹 브라우저 또는 서비스 프로바이더(200)에 의해 제공되는 전용 애플리케이션일 수 있다.
서비스 에이전트(111)는 사용자에 의한 인증 요청이 있는 경우, 사용자의 식별 정보 입력, 인증 요소 선택, 인증 정보(예를 들어, OTP, 패스워드 등) 입력 등과 같이 인증 절차 수행을 위해 요구되는 정보를 입력받기 위한 사용자 인터페이스를 제공할 수 있으며, 인증 클라이언트(112)로 사용자에 의해 선택된 인증 요소에 기반한 사용자 인증을 요청할 수 있다.
인증 클라이언트(112)는 서비스 에이전트(111)로부터 사용자 인증 요청이 있는 경우, 복수의 인증 서버(130) 중 하나와 사용자에 의해 선택된 인증 요소에 기반한 인증 절차를 수행하며, 이때, 인증 절차는 인증 서비스 시스템(120)을 통해 중계된다.
예를 들어, 인증 클라이언트(112)는 인증 서비스 시스템(120)를 통해 복수의 인증 서버(130) 중 하나로부터 사용자에 의해 선택된 인증 요소에 기반한 사용자 인증을 위해 사용될 인증 정보를 요청하는 인증 정보 요청이 수신되는 경우, 복수의 인증 장치(113) 중 선택된 인증 요소에 따른 인증 정보를 생성할 수 있는 인증 장치로 인증 정보 생성을 요청할 수 있다. 또한, 인증 클라이언트(112)는 인증 장치에 의해 생성된 인증 정보를 인증 서비스 시스템(120)를 통해 인증 정보 요청을 전송한 인증 서버로 전송할 수 있다.
복수의 인증 장치(113)는 각각 인증 클라이언트의 요청에 따라 인증 정보를 생성하기 위한 것이다. 예를 들어, 복수의 인증 장치(113)는 사용자의 생체 정보를 인식하여 인식된 생체 정보와 사용자에 의해 기 등록된 생체 정보를 비교하여 사용자를 인증한 후, 인증 결과에 따라 인증 정보를 생성하는 생체 인증 장치, OTP 기반 인증을 위해 사용될 OTP를 생성하는 OTP 생성 장치 등을 포함할 수 있다.
한편, 복수의 인증 서버(130)는 각각 인증 서비스 시스템(120)을 통해 클라이언트 장치(110)로부터 수신된 인증 정보를 이용하여 사용자 인증을 수행하기 위한 것으로, 예를 들어, FIDO 인증 기술에 기반한 인증 절차에 따라 사용자 인증을 수행하는 FIDO 인증 서버(130-1), OTP에 기반한 인증 절차에 따라 사용자 인증을 수행하는 OTP 인증 서버(130-2), 아이디/패스워드 기반한 인증 절차에 따라 사용자 인증을 수행하는 패스워드 인증 서버(130-3) 등을 포함할 수 있다. 그러나, 인증 서버(130)는 반드시 도시된 예에 한정되는 것은 아니며, SMS에 기반한 인증 절차, e-mail에 기반한 인증 절차, 인증서에 기반한 인증 절차 등과 같이 다양한 인증 절차를 수행할 수 있는 다양한 종류의 인증 서버들을 포함할 수 있다.
인증 서비스 시스템(120)은 사용자 인증을 위해 클라이언트 장치(110)와 복수의 인증 서버(130) 중 하나 이상의 인증 서버 사이에서 수행되는 하나 이상의 인증 절차를 중계한다.
구체적으로, 인증 서비스 시스템(120)은 사용자 인증을 위한 각 인증 절차에서 클라이언트 장치(110)로부터 사용자에 의해 선택된 인증 요소에 대한 인증 요소 식별 정보 및 해당 인증 요소에 기반하여 생성된 인증 정보를 수신한다. 이때, 인증 요소 식별 정보는 예를 들어, 선택된 인증 요소의 명칭일 수 있으나, 인증 요소의 명칭 외에도 인증 서비스 시스템(120)에서 인증 요소를 식별할 수 있는 다양한 형태의 정보일 수 있다.
한편, 인증 서비스 시스템(120)은 클라이언트 장치(110)로부터 수신된 인증 요소 식별 정보에 기초하여, 사용자에 의해 선택된 인증 요소를 식별하고, 복수의 인증 서버(130) 중 식별된 인증 요소에 기반한 사용자 인증이 가능한 인증 서버로 인증 정보를 전달할 수 있다. 이후, 인증 서비스 시스템(120)은 인증 정보를 전달받은 인증 서버로부터 인증 결과를 수신하여 클라이언트 장치(110)로 전달할 수 있다.
한편, 각 인증 절차에서 이용되는 인증 방식에 따라 인증 서비스 시스템(120)을 통해 중계되는 정보는 인증 정보 및 인증 결과 외에도 추가적인 정보를 포함할 수 있다. 예를 들어, 생체 정보를 인증 요소로 하는 UAF 프로토콜에 따라 클라이언트 장치(110)와 FIDO 인증 서버(130-1) 사이에서 수행되는 인증 절차의 경우, 인증 서비스 시스템(120)은 클라이언트 장치(110)로부터 인증 요소 식별 정보를 포함하는 인증 개시 요청을 수신하여 FIDO 인증 서버(130-1)로 전달하고, FIDO 인증 서버(130-1)로부터 챌린지 값을 포함하는 인증 정보 요청을 수신하여 클라이언트 장치(110)로 전달할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 인증 서비스 시스템(120)은 사용자 인증을 위한 각 인증 절차에서 인증이 성공된 경우, 현재까지 수행된 인증 절차에서 이용된 인증 요소들 각각에 대한 식별 정보를 포함하는 액세스 토큰(access token)을 생성하여 클라이언트 장치(110)로 전송할 수 있다.
예를 들어, 사용자 인증을 위해 두 가지 인증 요소에 기초한 두 번의 인증 절차가 수행되는 것으로 가정하면, 인증 서비스 시스템(120)은 사용자 인증을 위한 첫 번째 인증 절차가 성공된 경우, 해당 인증 절차에서 이용된 인증 요소에 대한 식별 정보를 포함하는 액세스 토큰을 생성하여 클라이언트 장치(110)로 전송할 수 있다.
이후, 인증 서비스 시스템(120)은 클라이언트 장치(110)로부터 액세스 토큰을 수신하여 유효성을 검증하고, 유효한 경우, 두 번째 인증 절차를 중계할 수 있다. 이때, 두 번째 인증 절차가 성공된 경우, 인증 서비스 시스템(120)은 첫 번째 인증 절차에서 이용된 인증 요소 및 두 번째 인증 절차에서 이용된 인증 요소 각각에 대한 식별 정보를 포함하는 액세스 토큰을 생성하여 클라이언트 장치(110)로 전송할 수 있다.
한편, 액세스 토큰은 예를 들어, JSON(JavaScript Object Notation) 포맷에 기초하여 생성될 수 있으며, 상술한 인증 요소에 대한 식별 정보 외에도 액세스 토큰 검증을 위한 서명 값, 토큰 유효 기간 등 다양한 정보들을 포함할 수 있다. 보다, 구체적으로, 인증 서비스 시스템(120)은 예를 들어, JWT(JASON Web Token) 형태의 액세스 토큰을 이용한 OAuth 2.0 인증 방식에 따라 액세스 토큰 생성 및 유효성 검증을 수행할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 인증 서비스 시스템(120)은 사용자 인증을 위한 인증 절차가 모두 성공된 경우, 각 인증 절차와 관련된 리스크 팩터(risk factor)들에 기초하여 리스크 스코어를 산출하고, 산출된 리스크 스코어에 기초하여 추가 인증 요소에 기반한 추가 인증 절차 수행여부를 판단한다.
예를 들어, 사용자 인증을 위해 하나의 인증 요소를 이용한 한 번의 인증 절차가 수행되는 것으로 가정하면, 인증 서비스 시스템(120)은 인증 절차가 성공되는 경우, 해당 인증 절차와 관련된 리스크 팩터(risk factor)들에 기초하여 리스크 스코어를 산출할 수 있다. 이후, 인증 서비스 시스템(120)은 산출된 리스크 스코어가 기 설정된 임계값을 초과하는 경우, 클라이언트 장치(110)로 사용자에 대한 추가 인증을 요청할 수 있다.
다른 예로, 사용자 인증을 위해 두 개의 인증 요소를 이용한 두 번의 인증 절차가 수행되는 것으로 가정하면, 인증 서비스 시스템(120)은 각 인증 절차가 모두 성공된 경우, 각 인증 절차와 관련된 리스크 팩터들에 기초하여 리스크 스코어를 산출할 수 있다. 이후, 인증 서비스 시스템(120)은 산출된 리스크 스코어가 기 설정된 임계값을 초과하는 경우, 클라이언트 장치(110)로 사용자에 대한 추가 인증을 요청할 수 있다.
한편, 클라이언트 장치(110)로 추가 인증 절차 수행 요청이 전달된 경우, 인증 서비스 시스템(120)은 클라이언트 장치(110)로부터 액세스 토큰을 수신하여 유효성을 검증하고, 유효한 경우, 추가 인증 절차를 중계할 수 있다.
도 3은 본 발명의 일 실시예에 따른 인증 시스템(100)에서 수행되는 사용자 인증 과정의 일 예를 나타낸 흐름도이다.
구체적으로, 도 3에 도시된 예에서는 사용자 인증을 위해 사용자의 지문을 이용한 인증 절차 수행 후, 시간 동기화 OTP 인증 방식에 따른 추가 인증 절차가 수행되는 것으로 가정한다.
도 3을 참조하면, 클라이언트 장치(110)는 사용자에 의해 선택된 인증 요소가 사용자의 지문임을 나타내는 인증 요소 식별 정보를 포함하는 인증 개시 요청을 인증 서비스 시스템(120)으로 전송한다(301).
이후, 인증 서비스 시스템(120)은 수신된 인증 개시 요청에 포함된 인증 요소 식별 정보에 기초하여 FIDO 인증 서버(130-1)로 인증 개시 요청을 전달한다(302).
이후, FIDO 인증 서버(130-1)는 인증 개시 요청에 응답하여 인증 정보 요청을 인증 서비스 시스템(120)으로 전송한다(303). 이때, 인증 정보 요청은 예를 들어, FIDO 인증 서버(130-1)의 정책 정보 및 챌린지 값을 포함할 수 있다.
이후, 인증 서비스 시스템(120)은 수신된 인증 정보 요청을 클라이언트 장치(110)로 전달한다(304).
이후, 클라이언트 장치(110)는 사용자의 지문을 인증하고 인증이 성공된 경우, 사용자의 개인 키를 이용하여 챌린지 값에 대한 서명 값을 생성한다(305).
이후, 클라이언트 장치(110)는 생성된 서명 값을 인증 정보로 포함하는 인증 요청을 인증 서비스 시스템(120)으로 전송한다(306).
이후, 인증 서비스 시스템(120)은 수신된 인증 요청을 FIDO 인증 서버(130-1)로 전달한다(307).
이후, FIDO 인증 서버(130-1)는 미리 등록된 사용자의 공개키를 이용하여 서명 값을 검증함으로써 사용자를 인증하고, 인증 결과를 인증 서비스 시스템(120)으로 전송한다(308).
이후, 인증 서비스 시스템(120)은 인증이 성공된 경우, 액세스 토큰을 생성하고, 리스크 스코어를 산출한다(309). 이때, 액세스 토큰은 인증 정보로 지문이 이용되었음을 나타내는 인증 요소 식별 정보를 포함할 수 있다.
한편, 산출된 리스크 스코어가 임계값을 초과하는 경우, 인증 서비스 시스템(120)은 생성된 액세스 토큰과 함께 추가 인증 요청을 클라이언트 장치(110)로 전송한다(310)
이후, 클라이언트 장치(110)는 예를 들어, 시각 정보를 이용하여 OTP를 생성하고(311), 생성된 OTP를 인증 정보로 포함하는 인증 요청 및 액세스 토큰을 인증 서비스 시스템(120)으로 전송한다(312). 이때, 인증 요청은 인증 요소로 OTP가 선택되었음을 식별할 수 있는 인증 요소 식별 정보를 포함할 수 있다.
이후, 인증 서비스 시스템(120)은 수신된 액세스 토큰의 유효성을 검증하고(313), 유효한 경우, 클라이언트 장치(110)로부터 수신된 인증 정보를 포함하는 인증 요청을 OTP 인증 서버(130-2)로 전송한다(314).
이후, OTP 인증 서버(130-2)는 수신된 인증 정보를 검증함으로써 사용자를 인증하고, 인증 결과를 인증 서비스 시스템(120)으로 전송한다(315).
이후, 인증 서비스 시스템(120)은 인증이 성공된 경우, 액세스 토큰을 생성하고, 리스크 스코어를 산출한다(316). 이때, 액세스 토큰은 인증 정보로 지문 및 OTP가 이용되었음을 나타내는 인증 요소 식별 정보를 포함할 수 있다.
이후, 인증 서비스 시스템(120)은 생성된 액세스 토큰을 클라이언트 장치(110)로 전송한다(317).
도 4는 본 발명의 일 실시예에 따른 인증 시스템에서 수행되는 사용자 인증 과정의 다른 예를 나타낸 흐름도이다.
구체적으로, 도 4에 도시된 예에서는 사용자 인증을 위해 사용자의 지문을 이용한 인증 절차 및 시도-응답 OTP 인증 방식에 따른 인증 절차가 순차적으로 수행된 후, PIN을 이용한 추가 인증 절차가 수행되는 것으로 가정한다.
도 4를 참조하면, 클라이언트 장치(110)는 사용자에 의해 선택된 인증 요소가 사용자의 지문임을 나타내는 인증 요소 식별 정보를 포함하는 인증 개시 요청을 인증 서비스 시스템(120)으로 전송한다(401).
이후, 인증 서비스 시스템(120)은 수신된 인증 개시 요청에 포함된 인증 요소 식별 정보에 기초하여 FIDO 인증 서버(130-1)로 인증 개시 요청을 전달한다(402).
이후, FIDO 인증 서버(130-1)는 인증 개시 요청에 응답하여 인증 정보 요청을 인증 서비스 시스템으로 전송한다(403). 이때, 인증 정보 요청은 예를 들어, FIDO 인증 서버(130-1)의 정책 정보 및 챌린지 값을 포함할 수 있다.
이후, 인증 서비스 시스템(120)은 수신된 인증 정보 요청을 클라이언트 장치(110)로 전달한다(404).
이후, 클라이언트 장치(110)는 사용자의 지문을 인증하고 인증이 성공된 경우, 사용자의 개인키를 이용하여 챌린지 값에 대한 서명 값을 생성한다(405).
이후, 클라이언트 장치(110)는 생성된 서명 값을 인증 정보로 포함하는 인증 요청을 인증 서비스 시스템(120)으로 전송한다(406).
이후, 인증 서비스 시스템(120)은 수신된 인증 요청을 FIDO 인증 서버(130-1)로 전달한다(407).
이후, FIDO 인증 서버(130-1)는 미리 등록된 사용자의 공개키를 이용하여 서명 값을 검증함으로써 사용자를 인증하고, 인증 결과를 인증 서비스 시스템(120)으로 전송한다(408).
이후, 인증 서비스 시스템(120)은 인증이 성공된 경우, 액세스 토큰을 생성하고(409), 생성된 액세스 토큰을 클라이언트 장치(110)로 전송한다. 이때, 액세스 토큰은 인증 정보로 지문이 이용되었음을 나타내는 인증 요소 식별 정보를 포함할 수 있다.
이후, 클라이언트 장치(110)는 사용자에 의해 선택된 인증 요소가 OTP임을 나타내는 인증 요소 식별 정보를 포함하는 인증 개시 요청을 410 단계에서 수신된 액세스 토큰과 함께 인증 서비스 시스템(120)으로 전송한다(411).
이후, 인증 서비스 시스템(120)은 액세스 토큰의 유효성을 검증하고, 유효한 경우, 인증 개시 요청에 포함된 인증 요소 식별 정보에 기초하여 OTP 인증 서버(130-2)로 인증 개시 요청을 전달한다(413).
이후, OTP 인증 서버(130-2)는 인증 개시 요청에 응답하여 인증 정보 요청을 인증 서비스 시스템(120)으로 전송한다(414). 이때, 인증 정보 요청은 예를 들어, 임의의 난수 값을 포함할 수 있다.
이후, 인증 서비스 시스템(120)은 수신된 인증 정보 요청을 클라이언트 장치(110)로 전달한다(415).
이후, 클라이언트 장치(110)는 수신된 난수 값을 사용자에게 제공하여 사용자로부터 OTP를 입력받는다(416). 이때, OTP는 예를 들어, 사용자가 별도로 소지한 OTP 생성기에 난수 값을 입력하여 획득한 값일 수 있다.
이후, 클라이언트 장치(110)는 입력된 OTP를 암호화한 후 암호화된 값을 인증 정보로 포함하는 인증 요청을 인증 서비스 시스템(120)으로 전송한다(417).
이후, 인증 서비스 시스템(120)은 수신된 인증 요청을 OTP 인증 서버(130-2)로 전달한다(418).
이후, OTP 인증 서버(130-2)는 수신된 인증 정보를 이용하여 사용자를 인증하고, 인증 결과를 인증 서비스 시스템(120)으로 전송한다(419).
이후, 인증 서비스 시스템(120)은 인증이 성공된 경우, 액세스 토큰을 생성하고, 리스크 스코어를 산출한다(420). 이때, 액세스 토큰은 인증 정보로 지문과 OTP가 이용되었음을 나타내는 인증 요소 식별 정보를 포함할 수 있다.
한편, 산출된 리스크 스코어가 임계값을 초과하는 경우, 인증 서비스 시스템(120)은 생성된 액세스 토큰과 함께 추가 인증 요청을 클라이언트 장치(110)로 전송한다(421)
이후, 클라이언트 장치(110)는 사용자에 의해 선택된 추가 인증 요소가 PIN임을 나타내는 인증 요소 식별 정보를 포함하는 인증 개시 요청을 421 단계에서 수신된 액세스 토큰과 함께 인증 서비스 시스템(120)으로 전송한다(422).
이후, 인증 서비스 시스템(120)은 액세스 토큰의 유효성을 검증하고(423), 유효한 경우, 수신된 인증 개시 요청에 포함된 인증 요소 식별 정보에 기초하여 FIDO 인증 서버(130-1)로 인증 개시 요청을 전달한다(424).
이후, FIDO 인증 서버(130-1)는 인증 개시 요청에 응답하여 인증 정보 요청을 인증 서비스 시스템으로 전송한다(425). 이때, 인증 정보 요청은 예를 들어, FIDO 인증 서버(130-1)의 정책 정보 및 챌린지 값을 포함할 수 있다.
이후, 인증 서비스 시스템(120)은 수신된 인증 정보 요청을 클라이언트 장치(110)로 전달한다(426).
이후, 클라이언트 장치(110)는 사용자로부터 PIN 값을 입력 받아 사용자를 인증하고 인증이 성공된 경우, 사용자의 개인키를 이용하여 챌린지 값에 대한 서명 값을 생성한다(427).
이후, 클라이언트 장치(110)는 생성된 서명 값을 인증 정보로 포함하는 인증 요청을 인증 서비스 시스템(120)으로 전송한다(428).
이후, 인증 서비스 시스템(120)은 수신된 인증 요청을 FIDO 인증 서버(130-1)로 전달한다(429).
이후, FIDO 인증 서버(130-1)는 미리 등록된 사용자의 공개키를 이용하여 서명 값을 검증함으로써 사용자를 인증하고, 인증 결과를 인증 서비스 시스템(120)으로 전송한다(430).
이후, 인증 서비스 시스템(120)은 인증이 성공된 경우, 액세스 토큰을 생성하고, 리스크 스코어를 산출한다(431). 이때, 액세스 토큰은 인증 정보로 지문, OTP 및 PIN이 이용되었음을 나타내는 인증 요소 식별 정보를 포함할 수 있다.
이후, 인증 서비스 시스템(120)은 생성된 액세스 토큰을 클라이언트 장치(110)로 전송한다(432).
도 5는 본 발명의 일 실시예에 따른 리스크 분석 장치의 구성도이다.
도 5에 도시된 리스크 분석 장치(500)는 예를 들어, 도 1에 도시된 인증 서비스 시스템(120)에 포함된 일 구성으로 구현될 수 있다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 리스크 분석 장치(500)는 리스크 팩터 수집부(510), 리스크 분석부(520), 추가 인증 요청부(530) 및 인증 간격 결정부(540)를 포함한다.
리스크 팩터 수집부(510)는 사용자 인증을 위해 인증 시스템(100)에서 수행된 하나 이상의 인증 절차와 관련된 리스크 팩터(risk factor)들을 수집한다. 이때, 리스크 팩터는 예를 들어, 각 인증 절차에서 클라이언트 장치(110)에 의해 수집되어 인증 서비스 시스템(120)으로 전달되거나 인증 서버(130)들로부터 수집될 수 있다.
한편, 리스크 팩터는 사용자 인증 과정에서 획득 가능하며, 사용자의 인증 패턴을 분석하기 위해 활용 가능한 다양한 데이터들을 포함할 수 있다. 예를 들어, 리스크 팩터는 인증 시점, 인증 횟수, 인증 수단, 인증 소요 시간, 인증 위치, 인증 결과, 인증 빈도 및 간격 등과 같이 사용자의 인증 활동과 관련된 데이터들을 포함할 수 있다.
다른 예로, 리스크 팩터는 클라이언트 장치(110)의 식별정보, 위치 정보, 백신 정보, 시스템 리소스, 네트워크 상태 등과 같이 사용자 인증을 위해 이용된 클라이언트 장치(110)와 관련된 데이터들을 포함할 수 있다.
또 다른 예로, 리스크 팩터는 사용자 인증을 위한 인증 절차에서 이용된 인증 요소, 생체 측정 점수 등과 같이 인증 요소와 관련된 데이터들을 포함할 수 있다
리스크 분석부(520)는 사용자에 대한 현재 리스크 스코어와 종합 리스크 스코어를 산출한다.
구체적으로, 리스크 분석부(520)는 리스크 팩터 수집부(510)에서 수집된 리스크 팩터들을 이용하여 사용자에 대한 현재 리스크 스코어를 산출한다.
이때, 본 발명의 일 실시예에 따르면, 리스크 분석부(520)는 현재 리스크 스코어 산출을 위해 사용자에 대해 과거 수행된 각 인증 절차에서 수집된 리스크 팩터(이하, '과거 리스크 팩터')들을 이용하여 기계학습을 통해 학습된 사용자의 인증 패턴과 현재 수집된 리스크 팩터들을 비교하여 현재 리스크 스코어를 산출할 수 있다.
예를 들어, 리스크 분석부(520)는 사용자의 과거 리스크 팩터들을 이용하여 학습된 인증 패턴과 현재 수집된 리스크 팩터를 비교하여 유사도가 낮을수록 현재 리스크 스코어를 상승시킬 수 있다.
보다 구체적인 예로, 리스크 분석부(520)는 과거 리스크 팩터들을 이용하여 학습된 사용자의 주된 인증 시간과 현재 리스크 팩터로 수집된 인증 시점과의 차이가 클수록 현재 리스크 스코어를 상승시킬 수 있다.
다른 예로, 리스크 분석부(520)는 과거 리스크 팩터들을 이용하여 학습된 사용자의 주된 인증 위치와 현재 리스크 팩터로 수집된 인증 위치의 거리 차가 클수록 현재 리스크 스코어를 상승시킬 수 있다.
한편, 본 발명의 다른 실시예에 따르면, 리스크 분석부(520)는 복수의 사용자에 대해 과거 수행된 인증 절차와 관련된 리스크 팩터들을 이용한 학습을 통해 생성된 규칙과 현재 리스크 팩터들을 비교하여 현재 리스크 스코어를 산출할 수 있다.
예를 들어, 리스크 분석부(520)는 현재 리스크 팩터로 수집된 클라이언트 장치(110)의 식별 정보가 블랙리스트로 등재된 장치의 식별 정보와 동일한 경우 현재 리스크 스코어를 상승시킬 수 있다.
다른 예로, 리스크 분석부(520)는 생성된 규칙에 기반하여 현재 리스크 팩터로 수집된 인증 위치 및 인증 시점과 직전에 수행된 사용자 인증 과정에서 리스크 팩터로 수집된 인증 위치 및 인증 시점을 비교하여 두 인증 시점 사이의 인증 위치 변화가 과도한 경우(예를 들어, 서울에서 인증 후 10분 뒤 부산에서 인증을 수행하는 경우) 현재 리스크 스코어를 상승시킬 수 있다.
한편, 리스크 분석부(520)는 현재 리스크 스코어와 사용자에 대해 과거 산출된 리스크 스코어들을 포함하는 리스크 스코어 이력에 기초하여 종합 리스크 스코어를 산출한다.
도 6은 리스크 스코어 이력을 나타낸 예시도이다.
도 6에서, 세 명의 사용자(user 1, user 2, user 3)는 각각 현재 시점(t0)에서 산출된 현재 리스크 스코어가 동일하나, 각 사용자에 대해 과거 산출된 리스크 스코어들은 상이한 패턴을 가지고 있다.
user 1의 경우, 과거 리스크 스코어들 사이의 변동량이 크고 현재 리스크 스코어가 직전에 산출된 리스크 스코어에 비해 급증하였음을 알 수 있다.
user 2의 경우, 과거 산출된 리스크 스코어들이 큰 변동 없이 지속적으로 낮은 값을 유지하였으나, 현재 리스크 스코어가 직전에 산출된 리스크 스코어에 비해 급증하였음을 알 수 있다.
user 3의 경우, 현재 리스크 스코어가 직전에 산출된 리스크 스코어에 비해 낮은 값을 가지고 있으나, 최근 산출된 리스크 스코어들이 지속적으로 높은 값을 가지고 있음을 알 수 있다.
따라서, 도 6에 도시된 예와 같이 각 사용자의 현재 리스크 스코어가 동일하더라도, 사용자마다 리스크 스코어 이력은 상이할 수 있으며, 각 사용자에 대해 산출되는 종합 리스크 스코어 역시 상이한 값으로 산출될 수 있다.
예를 들어, 리스크 분석부(520)는 현재 리스크 스코어와 사용자의 리스크 스코어 이력 중 최근 일정 기간 동안 산출된 과거 리스크 스코어들의 가중치 합을 이용하여 종합 리스크 스코어를 산출할 수 있다. 이때, 리스크 분석부(520)는 예를 들어, 최근 산출된 리스크 스코어일수록 높은 가중치 값을 가지도록 함으로써, 최근 산출된 리스크 스코어 값이 높을수록 높은 종합 리스크 스코어를 가지도록 할 수 있다.
다른 예로, 리스크 분석부(520)는 최근 일정 기간 산출된 과거 리스크 스코어들의 변동 패턴과 현재 리스크 스코어를 비교하여 종합 리스크 스코어를 산출할 수 있다. 구체적인 예로, 리스크 분석부(520)는 최근 일정 기간 산출된 과거 리스크 스코어들이 큰 변화 없이 일정 수준을 유지하고 있는 경우, 과거 리스크 스코어들의 평균 값과 현재 리스크 스코어의 차이가 작아도 높은 종합 리스크 스코어가 산출되도록 할 수 있다. 반면, 리스크 분석부(520)는 최근 일정 기간 산출된 과거 리스크 스코어들이 불규칙하게 변화하는 경우, 과거 리스크 스코어들의 평균 값과 현재 리스크 스코어의 차이가 커야 높은 종합 리스크 스코어가 산출되도록 할 수 있다.
구체적으로, 리스크 분석부(520)는 예를 들어, 아래의 수학식 1을 이용하여, 종합 리스크 스코어를 산출할 수 있다.
[수학식 1]
Figure 112017050115329-pat00001
수학식 1에서, St는 종합 리스크 스코어, Sc는 현재 리스크 스코어, Smean은 최근 일정 기간 산출된 과거 리스크 스코어들의 평균 값, α는 가중치를 나타낸다. 리스크 분석부(520)는 최근 일정 기간 산출된 과거 리스크 스코어들이 큰 변화 없이 일정 수준을 유지하고 있는 경우, 리스크 분석부(520)는 α를 높은 값으로 설정하고, 최근 일정 기간 산출된 과거 리스크 스코어들이 불규칙하게 변화하는 경우 α를 낮은 값으로 설정할 수 있다.
또 다른 예로, 리스크 분석부(520)는 최근 일정 기간 산출된 리스크 스코어들의 임계값 초과 횟수가 높을수록 높은 종합 리스크 스코어를 가지도록 할 수 있다.
한편, 종합 리스크 스코어는 상술한 예 외에도, 현재 리스크 스코어와 리스크 스코어 이력에 따라 개별 사용자의 리스크를 평가할 수 있는 다양한 방식을 이용하여 산출될 수 있다.
추가 인증 요청부(530)는 리스크 분석부(520)에 의해 산출된 현재 리스크 스코어 및 종합 리스크 스코어에 기초하여 사용자에 대한 추가 인증 절차 수행 여부를 판단한다.
구체적으로, 추가 인증 요청부(530)는 현재 리스크 스코어가 제1 임계값을 초과하거나, 현재 리스크 스코어가 제1 임계값을 초과하지 않더라도 종합 리스크 스코어가 제2 임계값을 초과하는 경우, 클라이언트 장치(110)로 사용자에 대한 추가 인증을 요청할 수 있다.
구체적으로, 도 7은 종합 리스크 스코어의 일 예를 나타낸 도면이다.
도 6 및 도 7을 참조하면, 도 6에 도시된 예에서 각 사용자에 대한 현재 리스크 스코어는 모두 제1 임계값(threshold 1)을 초과하지 않았으나, 도 7에 도시된 예에서 user 2 및 user 3에 대한 종합 리스크 스코어가 제2 임계값(thereshold 2)을 초과하였으므로, 추가 인증 요청부(530)는 user 2와 user 3의 클라이언트 장치로 추가 인증을 요청할 수 있다.
인증 간격 결정부(540)는 서비스 프로바이더(200)에 의해 제공되는 응용 서비스가 지속 인증이 요구되는 서비스인 경우, 지속 인증을 위한 재인증 시점을 결정한다.
구체적으로, 본 발명의 일 실시예에 따르면, 인증 간격 결정부(540)는 리스크 분석부(520)에 의해 산출된 종합 리스크 스코어 또는 사용자의 과거 인증 이력에 기초하여 사용자에 대한 신뢰 값를 산출하고, 산출된 신뢰 값에 따라 지속 인증을 위한 재인증 시점을 결정할 수 있다.
구체적으로, 인증 간격 결정부(540)는 사용자에 대한 종합 리스크 스코어가 낮을수록 높은 신뢰 값을 부여할 수 있으며, 신뢰 값에 따라 사용자에 대한 재인증 시점을 증가 또는 감소시킬 수 있다.
예를 들어, 종합 리스크 스코어가 1~0 사이의 값으로 산출되는 경우, 종합 리스크 스코어의 범위에 따라 신뢰 값은 아래의 표 1과 같이 1~5 사이의 값으로 산출될 수 있다.
신뢰 값 종합 리스크 스코어(st) 범위 재인증 시점
1 1≥St>0.8 t0+5α
2 0.8≥St>0.6 t0+4α
3 0.6≥St>0.4 t0+3α
4 0.4≥St>0.2 t0+2α
5 0.2≥St>0 t0
한편, 표 1에서 t0는 현재 인증 성공 시점을 나타내며, α는 미리 설정된 인증 간격을 나타낸다. 즉, α가 예를 들어, 5분으로 설정된 경우, 신뢰 값이 5인 사용자는 현재 인증 성공 시점(t0)으로부터 5분이 도달하기 전에 재인증을 수행하여야 하며, 신뢰 값이 4인 사용자는 현재 인증 성공 시점(t0)으로부터 10분이 도달하기 전에 재인증을 수행하여야 한다.
다른 예로, 인증 간격 결정부(540)는 사용자의 과거 인증 이력에 기초하여 인증 실패 확률을 산출할 수 있으며, 산출된 인증 실패 확률에 따라 재인증 시점을 결정할 수 있다. 이때, 인증 실패 확률은 예를 들어, 사용자의 과거 인증 성공/실패 패턴 분석을 이용하여 산출될 수 있다.
구체적으로, 인증 간격 결정부(540)는 인증 실패 확률이 낮을수록 높은 신뢰 값을 부여할 수 있으며, 신뢰 값에 따라 재인증 시점을 증가 또는 감소시킬 수 있다.
예를 들어, 인증 실패 확률이 1~0 사이의 값으로 산출되는 경우, 인증 실패 확률의 범위에 따라 신뢰 값은 아래의 표 2과 같이 1~5 사이의 값으로 산출될 수 있다.
신뢰 값 인증 실패 확률(p) 범위 재인증 시점
1 1≥p>0.8 t0+5α
2 0.8≥p>0.6 t0+4α
3 0.6≥p>0.4 t0+3α
4 0.4≥p>0.2 t0+2α
5 0.2≥p>0 t0
한편, 상술한 신뢰 값의 범위 및 산출 방식은 예시적인 것이므로, 신뢰 값의 범위 및 산출 방식은 상술한 예와 달리 실시예에 따라 다양하게 변형 가능하다.
한편, 일 실시예에서, 도 5에 도시된 리스크 팩터 수집부(510), 리스크 분석부(520), 추가 인증 요청부(530) 및 인증 간격 결정부(540)는 하나 이상의 프로세서 및 그 프로세서와 연결된 컴퓨터 판독 가능 기록 매체를 포함하는 하나 이상의 컴퓨팅 장치 상에서 구현될 수 있다. 컴퓨터 판독 가능 기록 매체는 프로세서의 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 프로세서와 연결될 수 있다. 컴퓨팅 장치 내의 프로세서는 각 컴퓨팅 장치로 하여금 본 명세서에서 기술되는 예시적인 실시예에 따라 동작하도록 할 수 있다. 예를 들어, 프로세서는 컴퓨터 판독 가능 기록 매체에 저장된 명령어를 실행할 수 있고, 컴퓨터 판독 가능 기록 매체에 저장된 명령어는 프로세서에 의해 실행되는 경우 컴퓨팅 장치로 하여금 본 명세서에 기술되는 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
도 8은 본 발명의 일 실시예에 따른 리스크 분석 방법의 순서도이다.
도 8에 도시된 방법은 예를 들어, 도 5에 도시된 리스크 분석 장치(500)에 의해 수행될 수 있다.
도 8을 참조하면, 리스크 분석 장치(500)는 우선, 클라이언트 장치(110)의 사용자에 대한 인증을 위해 수행된 하나 이상의 인증 절차와 관련된 리스크 팩터들을 수집한다(810).
이후, 리스크 분석 장치(500)는 상기 하나 이상의 인증 절차를 통한 사용자 인증이 성공된 경우(820), 수집된 리스크 팩터들을 이용하여 사용자에 대한 현재 리스크 스코어를 산출한다(830).
이후, 리스크 분석 장치(500)는 현재 리스크 스코어와 과거 산출된 리스크 스코어들을 포함하는 리스크 스코어 이력에 기초하여 사용자에 대한 종합 리스크 스코어를 산출한다(840).
이후, 리스크 분석 장치(500)는 현재 리스크 스코어가 제1 임계값을 초과하였는지 여부를 판단한다(850).
이때, 현재 리스크 스코어가 제1 임계값을 초과한 경우, 리스크 분석 장치(500)는 클라이언트 장치(110)로 사용자에 대한 추가 인증을 요청한다(870).
반면, 현재 리스크 스코어가 제1 임계값을 초과하지 않은 경우, 리스크 분석 장치(500)는 종합 리스크 스코어가 제2 임계값을 초과하였는지 여부를 판단한다(860).
이때, 종합 리스크 스코어가 제2 임계값을 초과한 경우, 리스크 분석 장치(500)는 클라이언트 장치(110)로 추가 인증을 요청한다(870).
한편, 820 단계에서, 사용자 인증이 실패한 경우, 리스크 분석 장치(500)는 클라이언트 장치(110)로 재인증을 요청한다(880).
도 9는 본 발명의 일 실시예에 따른 지속 인증을 위한 재인증 시점 결정 과정을 나타낸 순서도이다.
도 9에 도시된 방법은 예를 들어, 도 5에 도시된 리스크 분석 장치(500)에 의해 수행될 수 있다.
도 9를 참조하면, 리스크 분석 장치(500)는 사용자 인증이 성공된 경우, 종합 리스크 스코어 또는 사용자의 인증 이력에 기초하여 신뢰 값을 산출한다(910).
이후, 리스크 분석 장치(500)는 산출된 신뢰 값에 기초하여 지속 인증을 위한 재인증 시점을 결정한다(920).
이후, 리스크 분석 장치(500)는 사용자가 결정된 재인증 시점 내에 재인증에 성공한 경우(930), 재인증에 실패할 때까지 910 내지 930 단계를 반복 수행한다.
한편, 도 8 및 도 9에 도시된 순서도에서는 상기 방법을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
도 10은 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술된 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.
도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 인증 서비스 시스템(120), 또는 인증 서비스 시스템(120)에 포함되는 하나 이상의 컴포넌트일 수 있다.
컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.
컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100: 인증 시스템
110: 클라이언트 장치
111: 서비스 에이전트
112: 인증 클라이언트
113: 인증 장치
120: 인증 서비스 시스템
130: 인증 서버
130-1: FIDO 인증 서버
130-2: OTP 인증 서버
130-3: 패스워드 인증 서버
200: 서비스 프로바이더
500: 리스크 분석 장치
510: 리스크 팩터 수집부
520: 리스크 분석부
530: 추가 인증 요청부
540: 인증 간격 결정부

Claims (20)

  1. 인증 시스템에서 클라이언트 장치의 사용자에 대한 인증을 위해 수행된 하나 이상의 인증 절차와 관련된 리스크 팩터(risk factor)들을 수집하는 리스크 팩터 수집부;
    상기 하나 이상의 인증 절차가 성공된 경우, 상기 수집된 리스크 팩터들에 기초하여 상기 사용자에 대한 현재 리스크 스코어(risk score)를 산출하고, 상기 사용자에 대한 리스크 스코어 이력 및 상기 현재 리스크 스코어에 기초하여 종합 리스크 스코어를 산출하는 리스크 분석부; 및
    상기 현재 리스크 스코어 및 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 추가 인증 여부를 판단하고, 상기 추가 인증이 요구되는 경우, 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청하는 추가 인증 요청부를 포함하고,
    상기 리스크 분석부는, 상기 현재 리스크 스코어 및 상기 리스크 스코어 이력에 포함된 과거 리스크 스코어들에 대한 가중치 합을 이용하여 상기 종합 리스크 스코어를 산출하되, 상기 과거 리스크 스코어들의 산출된 기간 및 일정 기간 동안 산출된 과거 리스크 스코어들의 변동량 중 하나 이상에 따라 가중치의 값을 다르게 조절하는, 리스크 분석 장치.
  2. 청구항 1에 있어서,
    상기 리스크 팩터들은, 상기 사용자의 인증 활동과 관련된 데이터, 상기 클라이언트 장치와 관련된 데이터 및 상기 하나 이상의 인증 절차에서 이용된 인증 요소와 관련된 데이터 중 적어도 하나를 포함하는 리스크 분석 장치.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 청구항 1에 있어서,
    인증 요청부는, 상기 현재 리스크 스코어가 제1 임계값을 초과하거나 상기 종합 리스크 스코어가 제2 임계값을 초과하는 경우 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청하는 리스크 분석 장치.
  7. 청구항 1에 있어서,
    상기 리스크 분석부는, 상기 사용자에 대해 과거 수행된 인증 절차들과 관련된 리스크 팩터들 및 복수의 사용자에 대해 과거 수행된 인증 절차들과 관련된 리스크 팩터들 중 적어도 하나와 현재 수행된 인증 절차와 관련된 리스크 팩터들을 이용하여 상기 현재 리스크 스코어를 산출하는 리스크 분석 장치.
  8. 청구항 1에 있어서,
    상기 종합 리스크 스코어 또는 상기 사용자의 인증 이력에 기초하여 상기 사용자에 대한 재인증 시점을 결정하는 인증 간격 결정부를 더 포함하는 리스크 분석 장치.
  9. 청구항 8에 있어서,
    상기 인증 간격 결정부는, 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 신뢰 값을 산출하고, 상기 산출된 신뢰 값에 기초하여 상기 재인증 시점을 결정하는 리스크 분석 장치.
  10. 청구항 8에 있어서,
    상기 인증 간격 결정부는, 상기 사용자의 과거 인증 이력에 기초하여 상기 사용자에 대한 인증 실패 확률을 산출하고, 상기 산출된 인증 실패 확률에 기초하여 상기 재인증 시점을 결정하는 리스크 분석 장치.
  11. 인증 시스템에서 클라이언트 장치의 사용자에 대한 인증을 위해 수행된 하나 이상의 인증 절차와 관련된 리스크 팩터(risk factor)들을 수집하는 단계;
    상기 하나 이상의 인증 절차가 성공된 경우, 상기 수집된 리스크 팩터들에 기초하여 상기 사용자에 대한 현재 리스크 스코어(risk score)를 산출하는 단계;
    상기 사용자에 대한 리스크 스코어 이력 및 상기 현재 리스크 스코어에 기초하여 종합 리스크 스코어를 산출하는 단계; 및
    상기 현재 리스크 스코어 및 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 추가 인증 여부를 판단하고, 상기 추가 인증이 요구되는 경우, 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청하는 단계를 포함하고,
    상기 종합 리스크 스코어를 산출하는 단계는, 상기 현재 리스크 스코어 및 상기 리스크 스코어 이력에 포함된 과거 리스크 스코어들에 대한 가중치 합을 이용하여 상기 종합 리스크 스코어를 산출하되, 상기 과거 리스크 스코어들의 산출된 기간 및 일정 기간 동안 산출된 과거 리스크 스코어들의 변동량 중 하나 이상에 따라 가중치의 값을 다르게 조절하는, 리스크 분석 방법.
  12. 청구항 11에 있어서,
    상기 리스크 팩터들은, 상기 사용자의 인증 활동과 관련된 데이터, 상기 클라이언트 장치와 관련된 데이터 및 상기 하나 이상의 인증 절차에서 이용된 인증 요소와 관련된 데이터 중 적어도 하나를 포함하는 리스크 분석 방법.
  13. 삭제
  14. 삭제
  15. 삭제
  16. 청구항 11에 있어서,
    상기 추가 인증을 요청하는 단계는, 상기 현재 리스크 스코어가 제1 임계값을 초과하거나 상기 종합 리스크 스코어가 제2 임계값을 초과하는 경우 상기 클라이언트 장치로 상기 사용자에 대한 추가 인증을 요청하는 리스크 분석 방법.
  17. 청구항 11에 있어서,
    상기 현재 리스크 스코어(risk score)를 산출하는 단계는, 상기 사용자에 대해 과거 수행된 인증 절차들과 관련된 리스크 팩터들 및 복수의 사용자에 대해 과거 수행된 인증 절차들과 관련된 리스크 팩터들 중 적어도 하나와 현재 수행된 인증 절차와 관련된 리스크 팩터들을 이용하여 상기 현재 리스크 스코어를 산출하는 리스크 분석 방법.
  18. 청구항 11에 있어서,
    상기 종합 리스크 스코어 또는 상기 사용자의 인증 이력에 기초하여 상기 사용자에 대한 재인증 시점을 결정하는 단계를 더 포함하는 리스크 분석 방법.
  19. 청구항 18에 있어서,
    상기 재인증 시점을 결정하는 단계는, 상기 종합 리스크 스코어에 기초하여 상기 사용자에 대한 신뢰 값을 산출하고, 상기 산출된 신뢰 값에 기초하여 상기 재인증 시점을 결정하는 리스크 분석 방법.
  20. 청구항 18에 있어서,
    상기 재인증 시점을 결정하는 단계는, 상기 사용자의 과거 인증 이력에 기초하여 상기 사용자에 대한 인증 실패 확률을 산출하고, 상기 산출된 인증 실패 확률에 기초하여 상기 재인증 시점을 결정하는 리스크 분석 방법.
KR1020170064848A 2017-05-25 2017-05-25 리스크 기반 인증을 위한 리스크 분석 장치 및 방법 KR102369228B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020170064848A KR102369228B1 (ko) 2017-05-25 2017-05-25 리스크 기반 인증을 위한 리스크 분석 장치 및 방법
US15/989,301 US11003749B2 (en) 2017-05-25 2018-05-25 Risk analysis apparatus and method for risk based authentication
CN201810515977.5A CN108959933A (zh) 2017-05-25 2018-05-25 用于基于风险的认证的风险分析装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170064848A KR102369228B1 (ko) 2017-05-25 2017-05-25 리스크 기반 인증을 위한 리스크 분석 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20180129194A KR20180129194A (ko) 2018-12-05
KR102369228B1 true KR102369228B1 (ko) 2022-02-28

Family

ID=64401230

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170064848A KR102369228B1 (ko) 2017-05-25 2017-05-25 리스크 기반 인증을 위한 리스크 분석 장치 및 방법

Country Status (3)

Country Link
US (1) US11003749B2 (ko)
KR (1) KR102369228B1 (ko)
CN (1) CN108959933A (ko)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2526501A (en) 2013-03-01 2015-11-25 Redowl Analytics Inc Modeling social behavior
US20140249785A1 (en) 2013-03-01 2014-09-04 RedOwl Analytics, Inc. Modeling social behavior
US20170345000A1 (en) * 2016-05-25 2017-11-30 Mastercard International Incorporated System and methods for enhanced payment authentication using merchant loyalty scheme
US11949700B2 (en) 2017-05-15 2024-04-02 Forcepoint Llc Using content stored in an entity behavior catalog in combination with an entity risk score
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US11888859B2 (en) 2017-05-15 2024-01-30 Forcepoint Llc Associating a security risk persona with a phase of a cyber kill chain
US11632382B2 (en) * 2017-05-15 2023-04-18 Forcepoint Llc Anomaly detection using endpoint counters
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US10999324B2 (en) 2017-08-01 2021-05-04 Forcepoint, LLC Direct-connect web endpoint
US10803178B2 (en) 2017-10-31 2020-10-13 Forcepoint Llc Genericized data model to perform a security analytics operation
US11068896B2 (en) * 2017-11-30 2021-07-20 International Business Machines Corporation Granting requests for authorization using data of devices associated with requestors
US11314787B2 (en) 2018-04-18 2022-04-26 Forcepoint, LLC Temporal resolution of an entity
US10715327B1 (en) * 2018-05-30 2020-07-14 Architecture Technology Corporation Software credential token issuance based on hardware credential token
US11810012B2 (en) 2018-07-12 2023-11-07 Forcepoint Llc Identifying event distributions using interrelated events
US10949428B2 (en) 2018-07-12 2021-03-16 Forcepoint, LLC Constructing event distributions via a streaming scoring operation
US11755584B2 (en) 2018-07-12 2023-09-12 Forcepoint Llc Constructing distributions of interrelated event features
US11436512B2 (en) 2018-07-12 2022-09-06 Forcepoint, LLC Generating extracted features from an event
US11025638B2 (en) 2018-07-19 2021-06-01 Forcepoint, LLC System and method providing security friction for atypical resource access requests
US11017100B2 (en) * 2018-08-03 2021-05-25 Verizon Patent And Licensing Inc. Identity fraud risk engine platform
US11811799B2 (en) 2018-08-31 2023-11-07 Forcepoint Llc Identifying security risks using distributions of characteristic features extracted from a plurality of events
US11025659B2 (en) 2018-10-23 2021-06-01 Forcepoint, LLC Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
US10885186B2 (en) 2018-11-13 2021-01-05 Forcepoint, LLC System and method for operating a protected endpoint device
CN109672675B (zh) * 2018-12-20 2021-06-25 成都三零瑞通移动通信有限公司 一种基于OAuth2.0的密码服务中间件的WEB认证方法
CN109492356A (zh) * 2018-12-28 2019-03-19 深圳竹云科技有限公司 一种基于用户行为风险判断的多级认证方法
CN110619208B (zh) * 2019-09-24 2022-02-01 京东科技控股股份有限公司 用户验证方法、服务器、用户设备和系统
US11570197B2 (en) 2020-01-22 2023-01-31 Forcepoint Llc Human-centric risk modeling framework
US11630901B2 (en) 2020-02-03 2023-04-18 Forcepoint Llc External trigger induced behavioral analyses
US11080109B1 (en) 2020-02-27 2021-08-03 Forcepoint Llc Dynamically reweighting distributions of event observations
US11429697B2 (en) 2020-03-02 2022-08-30 Forcepoint, LLC Eventually consistent entity resolution
US11836265B2 (en) 2020-03-02 2023-12-05 Forcepoint Llc Type-dependent event deduplication
US11080032B1 (en) 2020-03-31 2021-08-03 Forcepoint Llc Containerized infrastructure for deployment of microservices
US11568136B2 (en) 2020-04-15 2023-01-31 Forcepoint Llc Automatically constructing lexicons from unlabeled datasets
US11516206B2 (en) 2020-05-01 2022-11-29 Forcepoint Llc Cybersecurity system having digital certificate reputation system
US11544390B2 (en) 2020-05-05 2023-01-03 Forcepoint Llc Method, system, and apparatus for probabilistic identification of encrypted files
US11895158B2 (en) 2020-05-19 2024-02-06 Forcepoint Llc Cybersecurity system having security policy visualization
US11704387B2 (en) 2020-08-28 2023-07-18 Forcepoint Llc Method and system for fuzzy matching and alias matching for streaming data sets
US11190589B1 (en) 2020-10-27 2021-11-30 Forcepoint, LLC System and method for efficient fingerprinting in cloud multitenant data loss prevention
US11863549B2 (en) 2021-02-08 2024-01-02 Cisco Technology, Inc. Adjusting security policies based on endpoint locations
US11805112B2 (en) * 2021-02-08 2023-10-31 Cisco Technology, Inc. Enhanced multi-factor authentication based on physical and logical proximity to trusted devices and users
US11838275B2 (en) 2021-03-12 2023-12-05 Forcepoint Llc Web endpoint device having automatic switching between proxied and non-proxied communication modes
CN112989333B (zh) * 2021-05-10 2021-08-03 北京安泰伟奥信息技术有限公司 一种安全认证方法及系统
CN113641970B (zh) * 2021-08-16 2022-08-26 深圳竹云科技有限公司 风险检测方法、装置及计算设备
US11546358B1 (en) 2021-10-01 2023-01-03 Netskope, Inc. Authorization token confidence system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010152660A (ja) * 2008-12-25 2010-07-08 Nomura Research Institute Ltd リスクベース認証システムおよび危険度情報取得サーバならびにリスクベース認証方法
WO2016192495A1 (zh) * 2015-05-29 2016-12-08 阿里巴巴集团控股有限公司 账号被盗的风险识别方法、识别装置及防控系统
JP2017507552A (ja) * 2013-12-31 2017-03-16 ヴァスコ データ セキュリティ インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング クライアント側のスコアベース認証を与える方法及び装置
JP2017076170A (ja) * 2015-10-13 2017-04-20 Kddi株式会社 リスク評価装置、リスク評価方法及びリスク評価プログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2606326A1 (en) * 2005-04-29 2006-11-09 Bharosa Inc. System and method for fraud monitoring, detection, and tiered user authentication
US8272033B2 (en) * 2006-12-21 2012-09-18 International Business Machines Corporation User authentication for detecting and controlling fraudulent login behavior
US8635662B2 (en) * 2008-01-31 2014-01-21 Intuit Inc. Dynamic trust model for authenticating a user
US8683597B1 (en) * 2011-12-08 2014-03-25 Amazon Technologies, Inc. Risk-based authentication duration
US10432605B1 (en) * 2012-03-20 2019-10-01 United Services Automobile Association (Usaa) Scalable risk-based authentication methods and systems
US8584219B1 (en) * 2012-11-07 2013-11-12 Fmr Llc Risk adjusted, multifactor authentication
CN103338188B (zh) * 2013-06-08 2016-02-10 北京大学 一种适用于移动云的客户端动态认证方法
US9787723B2 (en) * 2014-07-18 2017-10-10 Ping Identify Corporation Devices and methods for threat-based authentication for access to computing resources
KR101635278B1 (ko) 2014-09-22 2016-07-01 한국과학기술원 동적 상호작용 큐알 코드를 기반으로 한 다중요소 인증 방법 및 시스템
CN105488367B (zh) * 2015-11-19 2019-05-21 李明 一种sam装置的保护方法、后台及系统
US10091230B1 (en) * 2015-12-28 2018-10-02 EMC IP Holding Company LLC Aggregating identity data from multiple sources for user controlled distribution to trusted risk engines
US10846389B2 (en) * 2016-07-22 2020-11-24 Aetna Inc. Incorporating risk-based decision in standard authentication and authorization systems
US10313343B2 (en) * 2016-12-28 2019-06-04 Mcafee, Llc Fabric assisted identity and authentication
US11017100B2 (en) * 2018-08-03 2021-05-25 Verizon Patent And Licensing Inc. Identity fraud risk engine platform

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010152660A (ja) * 2008-12-25 2010-07-08 Nomura Research Institute Ltd リスクベース認証システムおよび危険度情報取得サーバならびにリスクベース認証方法
JP2017507552A (ja) * 2013-12-31 2017-03-16 ヴァスコ データ セキュリティ インターナショナル ゲゼルシャフト ミット ベシュレンクテル ハフツング クライアント側のスコアベース認証を与える方法及び装置
WO2016192495A1 (zh) * 2015-05-29 2016-12-08 阿里巴巴集团控股有限公司 账号被盗的风险识别方法、识别装置及防控系统
JP2017076170A (ja) * 2015-10-13 2017-04-20 Kddi株式会社 リスク評価装置、リスク評価方法及びリスク評価プログラム

Also Published As

Publication number Publication date
US11003749B2 (en) 2021-05-11
US20180341758A1 (en) 2018-11-29
CN108959933A (zh) 2018-12-07
KR20180129194A (ko) 2018-12-05

Similar Documents

Publication Publication Date Title
KR102369228B1 (ko) 리스크 기반 인증을 위한 리스크 분석 장치 및 방법
KR102413638B1 (ko) 인증 서비스 시스템 및 방법
US11341475B2 (en) System and method of notifying mobile devices to complete transactions after additional agent verification
CN106575416B (zh) 用于向装置验证客户端的系统和方法
EP3138265B1 (en) Enhanced security for registration of authentication devices
CN108496329B (zh) 使用设备证实控制对在线资源的访问
US9641521B2 (en) Systems and methods for network connected authentication
US9306754B2 (en) System and method for implementing transaction signing within an authentication framework
KR102439782B1 (ko) 호스팅된 인증 서비스를 구현하기 위한 시스템 및 방법
Ceccarelli et al. Continuous and transparent user identity verification for secure internet services
US20180114226A1 (en) Unified login biometric authentication support
US11792024B2 (en) System and method for efficient challenge-response authentication
US10848309B2 (en) Fido authentication with behavior report to maintain secure data connection
US10437971B2 (en) Secure authentication of a user of a device during a session with a connected server
KR20210116407A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
US11483166B2 (en) Methods and devices for enrolling and authenticating a user with a service
KR102284876B1 (ko) 생체 인식 기반의 통합 인증 시스템 및 방법
US11936649B2 (en) Multi-factor authentication
JP6273240B2 (ja) 継承システム、サーバ装置、端末装置、継承方法及び継承プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant