KR20080051673A - 아이피 주소 기반 사용자 인증 시스템 및 방법 - Google Patents

아이피 주소 기반 사용자 인증 시스템 및 방법 Download PDF

Info

Publication number
KR20080051673A
KR20080051673A KR1020060123195A KR20060123195A KR20080051673A KR 20080051673 A KR20080051673 A KR 20080051673A KR 1020060123195 A KR1020060123195 A KR 1020060123195A KR 20060123195 A KR20060123195 A KR 20060123195A KR 20080051673 A KR20080051673 A KR 20080051673A
Authority
KR
South Korea
Prior art keywords
user
authentication
information
address
terminal
Prior art date
Application number
KR1020060123195A
Other languages
English (en)
Inventor
정태우
Original Assignee
정태우
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 정태우 filed Critical 정태우
Priority to KR1020060123195A priority Critical patent/KR20080051673A/ko
Publication of KR20080051673A publication Critical patent/KR20080051673A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2571NAT traversal for identification, e.g. for authentication or billing 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IP 주소 기반 사용자 인증 시스템에 관한 것으로, 특히 네트워크에 접속할 때 상기 네트워크상에서 고유한 IP 주소를 부여받고, 상기 부여된 고유한 IP 주소에 의해 상기 네트워크상에서의 사용자 인증을 수행하는 사용자 단말; 상기 사용자 단말의 IP 주소를 상기 사용자 단말로부터 제공받은 사용자 정보와 매핑하여 저장하고, 상기 기저장된 매핑 정보에 의해 상기 IP 주소에 대한 사용자 인증을 수행하는 인증 기관 서버; 및 상기 사용자 단말의 네트워크를 통한 접속 시, 상기 사용자 단말의 IP 주소를 확인하고, 상기 인증 기관 서버를 통해 상기 확인된 사용자 단말의 IP 주소에 대한 사용자 인증을 수행하는 서비스 사업자 서버를 포함하는 것을 특징으로 한다.
Figure P1020060123195
IP, 인증, 사용자, 로그온, 인증키

Description

아이피 주소 기반 사용자 인증 시스템 및 방법{System and method for authenticating a user based on the internet protocol address}
도 1은 종래 기술에 따른 일반적인 네트워크 인증 절차를 나타낸 흐름도.
도 2는 일반적인 웹 접속 프로그램을 이용한 네트워크 인증 절차를 나타낸 흐름도.
도 3은 본 발명에 따른 IP 인증의 개념 모델을 나타낸 도면.
도 4는 본 발명의 실시 예에 따른 IP 인증 기반의 실명확인 서비스 개념을 나타낸 도면.
도 5는 본 발명의 실시 예에 따른 IP 인증을 통한 통합 인증 서비스 개념을 나타낸 도면.
도 6은 본 발명의 실시 예에 따른 인터넷을 이용한 서비스 이용 방법을 나타낸 도면.
도 7은 본 발명의 실시 예에 따른 보안 암호 식별 파일을 나타낸 도면.
도 8은 본 발명의 실시 예에 따른 사용자 인증 정보 생성 과정을 나타낸 도면.
도 9는 본 발명의 실시 예에 따른 IP 주소 기반 인증의 개념을 나타낸 도면.
도 10은 본 발명의 실시 예에 따른 인증 요청키 생성 및 검증 방법을 나타낸 도면.
도 11은 본 발명의 실시 예에 따른 IP 인증 시스템에 의한 데이터 전송을 나타낸 도면.
도 12는 일반적인 인증 시스템에서 전송되는 데이터의 계층 구조를 나타낸 도면.
도 13은 본 발명의 실시 예에 따른 IP 인증 시스템에서 전송되는 데이터의 계층 구조를 나타낸 도면.
도 14는 본 발명의 실시 예에 따른 IP 인증 시스템에서 해커 침입에 대한 대응 개념을 나타낸 도면.
도 15는 본 발명의 실시 예에 따른 IP 인증 시스템에서 인증 허용 접속 관리를 나타낸 도면.
도 16은 본 발명의 실시 예에 따른 유무선 인터넷 환경에서의 IP 인증 및 부가 서비스 시스템 구성도.
도 17은 본 발명의 실시 예에 따른 IP 주소 기반 사용자 인증을 이용한 SSO에 대한 블록도.
도 18은 본 발명의 실시 예에 따른 통신 서비스 사업자 네트워크에서의 IP 인증과 부가 서비스를 위한 블록도.
도 19는 본 발명의 실시 예에 따른 단말의 IP 인증 시스템의 세부 구성을 나타낸 블록도.
도 20은 본 발명의 실시 예에 따른 사용자 단말의 기능 구성도.
도 21은 본 발명의 실시 예에 따른 인증을 위한 데이터 패킷 구성도.
도 22 및 도 23은 본 발명의 실시 예에 따른 IP 인증 및 서비스 절차를 나타낸 흐름도.
도 24는 본 발명의 실시 예에 따른 단말 인증 에이전트의 설치 및 사용자 인증 정보 등록 절차를 나타낸 흐름도.
도 25는 본 발명의 실시 예에 따른 사용자 인증을 위한 사용자 정보를 등록하는 절차를 나타낸 흐름도.
도 26은 본 발명의 실시 예에 따른 다른 시스템이나 단말을 이용하여 사용자 IP 인증을 받는 절차를 나타낸 흐름도.
도 27 내지 도 29는 본 발명의 실시 예에 따른 IP 인증 서버에서 다양한 부가 서비스 및 지불, 결제 등을 처리하는 절차를 나타낸 흐름도.
도 30은 본 발명의 실시 예에 따른 사용자 단말 인증 에이전트의 구성을 나타낸 도면.
<도면의 주요 부분에 대한 부호의 설명>
400 : 사용자 단말 410 : IP 인증 서버
420 : 서비스 사업자 서버 430 : 랜덤키 서버
440 : 주민번호 인증 데이터베이스 900 : IP 패킷
910 : 데이터 필드 920 : 헤더 필드
921 : 옵션 필드 922 : 송신 주소 필드
923 : 수신 주소 필드 1001 : 사용자 인증 정보
1002 : 단말 정보 1010 : 암호화
1020 : 인증 요청키 1030 : 랜덤 암호화 코드
1040 : 생성된 사용자 식별 코드 1050 : 복호화
1060 : 사용자 식별 코드 1100, 1400, 1500 : 사용자 단말
1110, 1410, 1510 : 서비스 사업자 서버
1120, 1130, 1420, 1520 : 인증 기관
1200, 1300 : 사용자 단말 1210, 1310, 1530 : 인증 기관
1220, 1320 : 인터넷 서버 1330 : 사용자 식별 코드
1540 : 사용자 정보 데이터베이스 1601 : 모바일 인증 단말
1602 : 유선/무선 인증 단말 1603 : 모바일 서비스 코어망
1604 : ISP 서비스 백본망 1605 : IP 에이전트
1606 : 공인 인증 서버 1607 : IP 인증 서버
1608 : 인증 에이전트 1609 : 인터넷 서비스 서버
1610 : IP 인증 기반 서비스 서버 1701 : 서비스 플러그 인
1702 : 사용자 단말 1703, 1705 : 서비스
1704 : 외부 라우터 1707 : IP 인증 서비스 서버
1708 : IP 인증 에이전트 1709 : IP 인증 서버
1801 : 인터넷 서비스 서버 1901 : 사용자 로그인부
1902 : 사용자 인증부 1903 : 사용자 환경 제어부
1904 : 서비스 플러그인 컨테이너 1905 : 시스템 인터페이스
1906 : 입출력 관리부 1907 : 서비스 플러그인
1908 : 단말 인증 에이전트 데이터베이스
1909 : 단말 인증용 디바이스 드라이버
1911 : 접속 관리부 1912 : 프로토콜 릴레이 및 변환부
1913 : 패킷 처리부 1914 : 서비스 관리부
1915 : 사용자 인증 관리부 1916 : 인증 게이트웨이
1921 : 연결 게이트웨이 1922 : 지능형 서비스 엔진
1923 : 서비스 관리부 1924 : 서비스 플러그인 관리부
1925 : 서비스 과금 처리부 1926 : 데이터베이스
1931 : 접속 제어부 1932 : 사용자 프로파일 관리부
1933 : 보안 인증 관리부 1934 : 사용자 단말 인증 모듈 배포부
1935 : 인증 인터페이스 1936 : IP 인증 처리부
1937 : 사용자 인증 관리부 1938 : 데이터베이스
2001 : 단말용 사용자 인터페이스 2002 : 서비스 플러그인
2003 : 서비스 플러그인
2004 : IP 인증 기반 서비스 플러그인 컨테이너
2005 : 커널 모드 시스템 호출용 인터페이스
2006 : 보안 참조 모니터 2007 : 설정 관리자
2008 : 단말 IP 인증 디바이스 드라이버
2009 : 입출력 관리자 2010 : 기타 관리
2111 : 운영 체제 커널 2110 : 인증 헤더
2111 : 옵션 필드 개수 2112 : 사용자 인증 방법
2113 : 사용자 인증 정보 2114 : 보안 암호 패턴
2121 : 단말 종류 2122 : 단말 GUID
2123 : 사용자 위치 2124 : 네트워크 속성
2125, 2126 : 옵션 필드 3001 : 사용자 로그온
3002 : 보안 권한 관리자 3003 : 환경 권한 관리자
3004 : 보안 감시 데이터베이스 3005 : 입출력 관리자
3006 : 오브젝트 관리자 3007 : 드라이버 관리자
3008 : TCP/IP 전송 드라이버
3009 : 단말 인증 에이전트 논리 드라이버
3010 : 단말 인증 에이전트 드라이버
3011 : IP 인증 사용자 데이터베이스
3012 : NDIS 드라이버
본 발명은 네트워크에서의 사용자 인증 방법에 관한 것으로, 보다 상세하게는 IP 주소를 기반으로 하여 사용자를 인증하는 IP 주소 기반 사용자 인증 시스템 및 방법에 관한 것이다.
현대 정보화 사회에서는 각종 정보를 전달하는 매체로서 컴퓨터와 인터넷이 새로운 커뮤니케이션의 필수적인 도구로 등장하였고, 이에 따른 컴퓨터와 인터넷 이용자들은 정보화에 따른 편리함에 상반되는 정보화의 각종 폐해와 역기능 등으로부터 자기보호는 물론 급속한 환경 변화에 따른 발 빠른 적응과 계속적인 새로운 변화를 요구받고 있는 실정이다.
한편, 최근에는 인터넷상에서의 개인 정보 오남용에 의한 보안 사고가 증가하고 있다. 대부분의 인터넷 서비스 시스템에서 개인 정보 식별 수단으로 주민번호를 요구하며, 이를 통한 개인 정보 유출로 인해 부당한 사용자에 의한 개인 정보 침해 및 보안 사고가 빈번히 발생하고 있는 실정이다.
또한, 현재 인터넷상에서 이루어지고 있는 사용자 인증 시스템은 사용자에 대한 인증이 아니라 주민 번호 등을 포함한 개인 정보에 의한 인증이므로 타인의 주민 번호를 이용하여 타인의 행세가 얼마든지 가능하고 이를 통한 피해가 속출되고 있다.
도 1은 종래 기술에 따른 일반적인 네트워크 인증 절차를 나타낸 흐름도이다. 예컨대, MAC(Medium Access Control) 주소 인증과 같은 간단한 절차를 나타낸 것이다. 상기 도 1을 참조하면 사용자 단말에서 단말이 기동하면서 네트워크 접속을 요청(S101)하면 서비스 접속망(즉, 가입자 접속 네트워크)에서는 상기 요청에 대한 응답(S102)을 한다.
상기 사용자 단말은 상기 서비스 접속망에 인증 요청을 하면서 가입자의 접 속 정보를 전송(S103)한다. 상기 전송된 가입자 접속 정보는 AAA(Authentication, Authorization, Accounting) 서버의 인증(S104)을 거쳐 서비스 접속망으로 인증 결과를 응답(S105)하게 된다.
상기 서비스 접속망에서는 상기 인증 결과를 수신하고, 상기 사용자 단말로 인증 결과 응답(S106)을 하게 된다. 이때, 상기 사용자 단말은 상기 서비스 접속망으로 네트워크 연결 요청(S107)을 하게 되며, 상기 연결 요청을 받은 서비스 접속망에서는 연결을 허용하고 요청 결과에 대해 응답(S108)하여, 네트워크 연결 설정(S109)이 이루어진다.
한편, 상기 도 1에서는 가입자 단말의 MAC 주소 등의 가입자 인증 정보를 상기 인증 서버(즉, AAA 서버)에 저장하고 가입자의 접속시 요청하여 인증 여부를 관리하게 된다. 따라서, 이러한 인증의 경우 단말 NIU(Network Interface Unit)의 변경이나 교체시 지속적인 인증 정보에 대한 변경이 요구되며 로그 기록에 대한 관리나 인증이 불가하다.
도 2는 일반적인 웹 접속 프로그램을 이용한 네트워크 인증 절차를 나타낸 흐름도이다. 상기 도 2에서는 현재 ISP(Internet Service Provider)들을 중심으로 적용하고 있는 가입자 아이디와 비밀 번호로 인증을 수행하는 절차를 보여준다.
상기 도 2를 참조하면, 단말은 유무선 접속 네트워크로 네트워크 검색(S201)을 수행하며, 상기 유무선 접속 네트워크에서는 상기 단말로 상기 검색에 대한 응답(S202)을 하게 된다. 그런 다음, 상기 단말은 상기 유무선 접속 네트워크를 통해 인증 서버로 가입자 인증을 위한 인증을 요청(S203, S204)하게 된다. 상기 인증 요 청을 받은 인증 서버에서는 상기 해당 단말로 인증을 위한 정보를 요청(S205)하게 되며, 가입자는 기설정된 가입자 인증 ID와 비밀번호를 입력함으로써 인증 정보 응답(S206)을 하게 된다.
한편, 상기 인증 요청과 인증정보 요청 및 인증 결과 처리를 위하여 단말로부터 받은 인증 요청 정보를 AAA 서버에 질의(S207)하여 인증 정보에 대한 확인 절차를 거치게 된다. 이때, 인증의 결과로 가입자의 과금 정보와 부가 서비스 요청 정보를 확인하여 인증을 거친 후(S208, S209), 상기 단말의 네트워크 연결 요청(S211)시, 상기 연결 요청에 따른 연결 서비스 응답(S212, S213, S214)에 의해 부가 서비스 등의 이차적인 가입자 편의 서비스 등이 가능하게 된다.
현재 제공되고 있는 이러한 여러 방식의 인증 방식은 서비스 단말과 서비스 사업자에 따라 각기 다른 인증 방식이 적용되고 있으며, 이러한 이유로 인증 정보의 처리 및 절차의 통합 문제가 대두되고 있다. 아울러, 지능형 로봇 시스템, 홈 네트워크를 위한 홈서버와의 연동 및 통합 인증, 유비쿼터스, IPv6 및 Mobile IP 환경에서 다른 서비스 사업자 간 이동성 확보 문제와 인증 정보 상호 호환성 확보를 위하여, 보다 안전하면서도 기존 시스템에 독립적인 가입자 인증의 필요성이 대두되고 있는 실정이다.
따라서, 본 발명의 목적은 네트워크상에서 유일한 값을 가지는 IP 주소 정보에 의해 사용자를 인증하는 IP 주소 기반 사용자 인증 시스템 및 방법을 제공함에 있다.
또한, 본 발명의 목적은 네트워크상에서 유일한 값을 가지는 IP 주소 정보에 의해 사용자를 인증하고, 상기 인증을 통해 각종 부가 서비스를 제공하는 IP 주소 기반 사용자 인증 시스템 및 방법을 제공함에 있다.
상기한 목적을 달성하기 위한 시스템은; IP 주소 기반 사용자 인증 시스템에 있어서, 네트워크에 접속할 때 상기 네트워크상에서 고유한 IP 주소를 부여받고, 상기 부여된 고유한 IP 주소에 의해 상기 네트워크상에서의 사용자 인증을 수행하는 사용자 단말; 상기 사용자 단말의 IP 주소를 상기 사용자 단말로부터 제공받은 사용자 정보와 매핑하여 저장하고, 상기 기저장된 매핑 정보에 의해 상기 IP 주소에 대한 사용자 인증을 수행하는 인증 기관 서버; 및 상기 사용자 단말의 네트워크를 통한 접속 시, 상기 사용자 단말의 IP 주소를 확인하고, 상기 인증 기관 서버를 통해 상기 확인된 사용자 단말의 IP 주소에 대한 사용자 인증을 수행하는 서비스 사업자 서버를 포함하는 것을 특징으로 한다.
상기 사용자 정보는, 사용자가 설정한 아이디 및 패스워드 정보인 것을 특징으로 한다.
또한, 상기 사용자 정보는, 윈도우 로그온 정보에 의해 구성되는 SID 정보인 것을 특징으로 하며, 윈도우 시스템에 고유하게 설정되는 GUID 정보를 더 포함하는 것을 특징으로 한다.
한편, 상기 사용자 정보는, 상기 인증 기관 서버로부터 전송된 랜덤 암호화 코드에 의해 암호화되어, 상기 인증 기관 서버로 전송되는 것을 특징으로 한다.
상기한 목적을 달성하기 위한 방법은; IP 주소 기반 사용자 인증 방법에 있어서, 사용자 단말에서 네트워크에 접속할 때 상기 네트워크상에서 고유한 IP 주소를 부여받는 단계; 상기 사용자 단말의 사용자 정보를 암호화하여 인증 기관 서버로 전송하는 단계; 상기 인증 기관 서버에서 상기 사용자 단말로부터 전송된 사용자 정보를 상기 사용자 단말의 IP 주소와 매핑하여 저장하는 단계; 상기 사용자 단말에서 서비스 사업자 서버로 상기 네트워크를 통해 접속할 때, 상기 서비스 사업자 서버에서 상기 사용자 단말의 IP 주소를 확인하고, 상기 인증 기관 서버로 상기 사용자 단말에 대한 인증을 요청하는 단계; 및 상기 인증 기관 서버에서 상기 서비스 사업자 서버의 요청에 따라 기저장된 상기 매핑 정보를 통해 상기 사용자 단말에 대한 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.
상기한 목적을 달성하기 위한 다른 시스템은; IP 주소 기반 사용자 인증 시스템에 있어서, 네트워크에 접속할 때 상기 네트워크상에서 고유한 IP 주소를 부여받고, 상기 부여된 고유한 IP 주소에 의해 상기 네트워크상에서의 사용자 인증을 수행하는 사용자 단말; 백본망에서의 패킷을 검사하여 상기 각 사용자 단말의 인증용 단말 컴포넌트의 설치 유무를 판별하고 설치되지 않은 사용자 단말일 경우 컴포넌트 설치를 유도하는 IP 인증 에이전트; 상기 사용자 단말의 IP 주소를 상기 사용자 단말로부터 제공받은 사용자 정보와 매핑하여 저장하고, 상기 기저장된 매핑 정보에 의해 상기 IP 주소에 대한 사용자 인증을 수행하는 IP 인증 서버; 및 상기 사 용자 단말의 네트워크를 통한 접속 시, 상기 사용자 단말의 IP 주소를 확인하고, 상기 인증 기관 서버를 통해 상기 확인된 사용자 단말의 IP 주소에 대한 사용자 인증을 수행하는 인터넷 서비스 서버를 포함하는 것을 특징으로 한다.
인터넷 환경에서 네트워크에 접속되는 모든 단말은 IP(Internet Protocol) 주소(adress)를 가지게 된다. 상기 단말을 이용하여 인터넷에 접속할 때, 단말 혹은 사용자에 대한 네트워크 자원으로의 접근을 제어하기 위하여서는 사용자와 단말의 인증이 필요하였다.
종래에는 이러한 인증을 위하여 사용자로부터 ID 및 비밀번호를 입력받거나 단말의 MAC 주소 등을 포함한 단말 정보를 통한 인증 방법을 사용하였다. 그러나 이 경우 각기 다른 접근을 할 경우 각기 다른 인증 절차를 거쳐야하므로 인증 정보의 관리와 절차가 복잡하고, 인증 정보 즉 ID 및 비밀번호와 같은 단말의 물리적인 정보는 얼마든지 위변조가 가능하다는 단점이 있었다.
따라서, 본 발명에서는 네트워크상에서 유일한 값을 가지는 IP 주소를 이용하여 인증을 수행하게 된다. 이때, 본 발명에서는 인증을 필요로 하는 단말이 네트워크에 접속할 때, 별도의 인증 서버에 상기 해당 단말의 IP 주소를 사용자 개인 정보와 매핑하여 저장하고, 상기 단말에 대한 모든 인증을 네트워크상에서의 유일한 정보인 상기 IP 주소로 수행하게 된다.
이하, 본 발명을 구체적으로 설명하기 위해 실시 예를 들어 설명하고, 발명에 대한 이해를 돕기 위해 첨부도면을 참조하여 상세하게 설명하기로 한다. 그러나 본 발명에 따른 실시 예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래에서 상술하는 실시 예들에 한정되는 것으로 해석되지 않아야 한다. 본 발명의 실시 예들은 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위해서 제공되는 것이다.
먼저, 도 3 내지 도 15를 참조하여 본 발명에 따른 IP 인증의 개념을 설명하고, 도 16 내지 도 30을 참조하여 상기 본 발명에 따른 IP 인증을 실제 시스템에 적용한 예를 상세히 설명하기로 한다.
도 3은 본 발명에 따른 IP 인증의 개념 모델을 나타낸 도면이다. 상기 도 3을 참조하면, 본 발명에 따른 IP 인증 모델을 항공권 예약 및 철도권 예약과 개념적으로 비교할 수 있다. 먼저, 탑승자가 항공사에 비행기 티켓을 구매하여 좌석을 배정받고 신분확인을 위한 보안 검색을 마친 후 비행기에 탑승하게 된다. 이때, 비행기에 탑승 후 탑승객은 고객의 요구사항이나 좌석에 의해 기내 서비스를 받게 된다.
즉, 여기서 보여지는 바와 같이 사용자가 ISP, 즉 회선 제공 회사로부터 아이피 주소를 할당받아서 할당받은 아이피 주소가 누구인지 그리고 사용자가 맞는지를 확인하여 인터넷을 이용하게 되고 비행기에 탑승시에는 좌석만 확인함으로 사용자 신분의 노출우려가 없어지며 비행기 티켓의 분실의 경우에도 본인이 아니면 비행기에 탈수 없는 것과 같이 본인이 할당받은 아이피가 아니면 인증을 받을 수가 없게 된다.
도 4는 본 발명의 실시 예에 따른 IP 인증 기반의 실명확인 서비스 개념을 나타낸 도면이다. 상기 도 4를 참조하면, 다음과 같은 IP 인증을 위한 사용자 등록 과정(본인 확인)을 거치게 된다.
즉, 제1 단계로서 사용자 본인 확인 서비스를 신청하게 된다. 그런 다음, 제2 단계로서 인증 에이전트 전송 및 사용자 인증 정보 입력을 요청하고, 제3 단계로서 개인 정보 및 인증 등록 키를 전송하게 된다. 제4 단계로서 사용자 개인 정보 실명 확인을 요청하고, 제5 단계로 사용자 본인 확인에 성공하게 된다. 제6 단계로 사용자 인증을 위한 랜덤 암호 패턴 테이블을 생성하고, 랜덤 암호 패턴 테이블을 전송 및 저장하게 된다.
제7 단계로 암호 패턴 테이블을 사용자에게 전송하고, 제8 단계로 상기 암호패턴 테이블을 사용하여 사용자 인증 요청키를 생성한 후 인증을 요청하게 된다. 마지막, 제10 단계로 사용자 식별키 생성 및 등록을 하게 된다.
도 5는 본 발명의 실시 예에 따른 IP 인증을 통한 통합 인증 서비스 개념을 나타낸 도면이다. 상기 도 5를 참조하면, 사용자가 IP 인증 서비스 서버에 회원 가입하게 되면, 상호 간에 형성된 링크를 통해 상기 사용자의 IP 주소가 상기 IP 인증 서비스 서버에 전송된다.
이때, 상기 사용자는 인증 방법을 선택하여 인증하게 되고, 상기 IP 인증 서비스 서버에서는 상기 사용자가 선택한 각종 인증 방법에 따라 사용자 인증을 검증한 후, 웹 서비스를 제공하게 된다.
도 6은 본 발명의 실시 예에 따른 인터넷을 이용한 서비스 이용 방법을 나타낸 도면이다. 상기 도 6을 참조하면, 참조번호 601은 사용자 본인 확인과 보안 식별 암호 파일을 생성하고 사용자의 인증키를 등록하기 위하여 필요한 사용자 정보 입력화면이다.
참조번호 602는 사용자가 입력한 정보를 확인하고 검증하여 보안 식별 암호 파일을 생성하고 사용자가 암호파일 접근을 위한 인증키를 등록하는 과정이다.
참조번호 603을 참조하면 등록이 완료되면 완료 표시가 나타나며 이후 사용자는 언제든지 등록인 인증키를 이용하여 새로운 보안 식별파일을 생성할 수 있다.
도 7은 본 발명의 실시 예에 따른 보안 암호 식별 파일을 나타낸 도면이다.
상기 도 7을 참조하면, 사용자 로그인 정보를 추출하고, 보안 암호 식별 파일의 특정 코드값과 연산하여 사용자 인증 요청키를 생성한다. 상기 생성된 사용자 인증 요청키는 IP 인증 서버로 전송되고, 상기 IP 인증 서버에서는 상기 수신된 사용자 인증 요청키를 해독하여 약속된 사용자 가상 정보를 획득하게 된다.
도 8은 본 발명의 실시 예에 따른 사용자 인증 정보 생성 과정을 나타낸 도면이다. 상기 도 8을 참조하면, 사용자가 본인 확인 후 인증 서버는 인증키를 설정하고 사용자는 인증키를 이용하여 사용자가 인증 요청시마다 새롭게 생성되는 보안암호 식별파일을 생성한다. 보안 암호 식별파일은 요청시마다 임시로 그때그때 생성되고 사용자에게 암호화되어 전송된다. 암호화된 식별파일은 사용자 인증키를 이용하여 해독되고 해독된 테이블의 값을 이용하여 인증요청을 위한 키를 생성하는데 사용된다. 보다 구체적인 설명은 도 10의 설명에서 후술하기로 한다.
도 9는 본 발명의 실시 예에 따른 IP 주소 기반 인증의 개념을 나타낸 도면이다. 상기 도 9를 참조하면, IP 주소는 네트워크상에서 유일한 값을 가지므로 사용자 개인 정보와 매핑하여 IP 정보만으로 사용자 식별이 가능하고 검증 가능하다.
즉, 사용자가 네트워크상에 접속할 때, 소정의 인증 서버에서 해당 접속 IP 주소에 사용자 정보를 매핑하여 저장하게 되면, 네트워크상에서 상기 사용자에 대한 인증을 해당 사용자의 IP 주소만으로도 수행할 수가 있게 된다.
한편, 상기 사용자가 전송하는 IP 패킷의 헤더에는 송신자 주소 및 수신자 주소가 포함된다. 이때, 상기 송신자 주소와 수신자 주소가 중복되면 네트워크 연결이 이루어지지 않게 된다. 만약 인증 수단으로서 사용자 정보만을 이용하면 도용이나 남용 시 검증 수단이 없게 된다.
또한, IP 정보 또는 세션 정보에는 어떠한 사용자 정보도 포함되지 않으므로 사용자 정보가 유출될 염려가 없다. 한편, 하나의 IP를 복수의 사용자가 사용하고 있는 경우에도 세션 정보에 의해 검증이 가능하게 된다.
이와 같이, 사용자가 자신의 인증 정보를 네트워크상에서 유일한 IP 주소와 매핑하여 저장하게 되면, 상기 네트워크상에서의 각종 인증 및 서비스 등을 상기 IP 주소에 의해 수행할 수가 있게 된다.
도 10은 본 발명의 실시 예에 따른 인증 요청키 생성 및 검증 방법을 나타낸 도면이다. 상기 도 10을 참조하면, 사용자 단말에서는 사용자 인증 정보 및/또는 단말 정보를 서버로부터 수신된 랜덤 암호화 코드에 의해 암호화하여 서버로 전송하게 된다. 상기 서버에서는 상기 인증 요청키를 수신하여 복호화하여 사용자 식별 코드를 생성하고, 기저장된 상기 사용자 단말의 사용자 식별 코드와 비교하여 인증을 수행하게 된다.
이때, 상기 사용자 단말이 상기 서버로 랜덤 암호화 코드를 요청할 때, 해당 IP를 가진 사용자 단말로 상기 랜덤 암호화 코드를 제공하게 된다. 따라서, 상기와 같은 인증 과정에서도 보안성을 유지할 수가 있게 된다.
도 11은 본 발명의 실시 예에 따른 IP 인증 시스템에 의한 데이터 전송을 나타낸 도면이다. 상기 도 11을 참조하면, 종래에는 사용자 단말(1100)에서 인증 기관(1120) 또는 서비스 사업자(1110)에게 사용자 식별 코드가 직접적으로 전송됨으로 인해 해킹의 위험에 노출되어 있었다.
그러나 본 발명에 따른 IP 인증에 의하면 랜덤 암호 코드, IP 주소, 인증 요청키 만이 전송되므로 보안에 강점을 가지게 된다.
보다 구체적으로 설명하면, 주민 등록 번호 등에 대한 보안을 위해 주민 등록 번호가 아닌 별도의 사용자 식별 정보를 사용하여 인증할 수 있다. 이때, 종래에는 이러한 인증을 위한 사용자 식별 정보가 사용자 단말(110)에서 서비스 사업자(1110) 또는 인증 기관(1120)으로 직접 전송되었다. 그러나 본 발명에 따른 IP 인증 방법에서는 사용자 식별 정보 등과 같은 사용자 정보가 직접적으로 전송되지 않는데.
즉, 사용자 단말(1100)에서 네트워크에 접속하고 인증 기관(1130)을 통해 인증을 수행하고자 할 때, 상기 인증 기관(1130)에서는 상기 인증을 하고자 요청한 사용자 단말(1100)에 대한 IP 주소를 알고 있으므로, 상기 사용자 단말(1100)에 대한 별도의 정보 없이도 상기 IP 주소를 통해 해당 사용자 단말(1100)로 랜덤 암호 코드를 전송할 수가 있게 된다.
그런 다음, 상기 사용자 단말(1100)에서는 상기 도 10에서 상술한 바와 같이 랜덤 암호 코드로 자신의 사용자 식별 정보(예컨대, 사용자 인증 정보 및/또는 단말 정보 등)를 암호화하여 상기 인증 기관(1130)으로 전송하게 된다. 이때, 상기 인증 기관(1130)에서는 상기 수신된 정보를 복호화하여 사용자 식별 정보를 추출하게 된다. 상기 사용자 식별 정보는 상기 접속을 한 사용자 단말(1100)의 해당 IP 주소와 매핑되어 저장된다.
한편, 상기 사용자 단말(1100)은 소정의 서비스 사업자(1110)에 접속 또는 인증하여 별도의 서비스를 받고자 할 경우, 추가적인 인증 수단이 없이 IP 주소만 가지고도 보안성 있고 정확한 인증을 수행할 수가 있게 된다. 즉, 상기 사용자 단말(1100)에서 상기 서비스 사업자(1110)에 접속할 때, 상기 서비스 사업자(1110)는 상기 사용자 단말(1100)의 접속 IP 주소를 알게 된다. 따라서, 상기 서비스 사업자(1110)는 상기 IP 주소만을 상기 인증 기관(1130)에 조회함으로써 상기 사용자 단말(1100)에 대한 인증을 수행할 수가 있게 된다. 즉, 상기 서비스 사업자(1110)에서 상기 사용자 단말(1100)에 대한 IP 주소를 상기 인증 기관(1130)으로 전송하면, 상기 인증 기관(1130)에서는 상기 서비스 사업자(1110)로 상기 수신된 IP 주소에 대해 매핑된 사용자 식별 정보를 전송하거나, 서비스 가능 또는 인증 여부를 전송하게 된다.
이와 같이, 본 발명에 따른 IP 인증 방법에서는 네트워크상에서 직접적으로 사용자 정보가 전송되지 않기 때문에 보안을 유지할 수 있을 뿐만 아니라, IP 주소만으로도 정확한 사용자 인증이 가능하게 되는 장점이 있다.
도 12는 일반적인 인증 시스템에서의 전송되는 데이터의 계층을 구조를 나타 낸 도면이다. 도 13은 본 발명의 실시 예에 따른 IP 인증 시스템에서의 전송되는 데이터의 계층을 나타낸 도면이다. 상기 도 12 및 도 13을 참조하면, 종래의 인증 방법에서는 인증 정보를 확인할 때, 인터넷 서버(즉, 서비스 사업자 서버)의 응용계층에서 인증 여부를 확인하고 처리하게 되어 응답성과 상호 운용성에 제한을 가졌다. 그러나 본 발명에 따른 IP 인증 수단은 라우터 혹은 스위치에서 리다이렉션(redirection)함으로써 처리가 가능하게 된다.
이에 따라, 인터넷 서비스 사이트에서 인증 속도가 빠르며, 라우터나 스위치레벨에서 인증을 위한 전처리가 가능하게 된다. 또한, 인터넷 서비스의 인증 시스템 구축 비용이 절감되며 인증 시스템의 모듈화 표준화에 통합이 용이하게 된다. 아울러 인터넷 서비스 측면에서 인증 후 사이트 접속이 일어나므로 사용자 맞춤형 서비스가 가능하게 된다. 예컨대, 사용자가 특정 인터넷 사이트에 접속할 때, 접속하는 순간 라우터에서 리다이렉션하여 상기 도 11에서 상술한 바와 같이 접속 IP를 통한 인증이 이루어지기 때문에, 상기 사이트의 첫 메인 페이지를 해당 사용자에 맞는 전용 페이지로 생성하여 제공할 수가 있게 된다.
도 14는 본 발명의 실시 예에 따른 IP 인증 시스템에서 해커 침입에 대한 대응 개념을 나타낸 도면이다.
상기 도 14를 참조하면, 구간 1에서는 해커가 정상 사용자 단말(1400)의 IP로 위장하여 포털 사이트(즉, 서비스 사업자(1410))에 불법 접속할 수가 있다. 이때, 상기 서비스 사업자(1410)는 요청된 IP로 접속 요청 여부를 확인하고 만약 요청하지 않았다면 접속을 차단함으로써 해커 침입을 막을 수 있다.
구간 2에서는 해커가 정상 사용자 단말(1400)의 인증정보 등을 이용하여 인증 기관(1420)으로 인증을 시도할 수 있다. 이때, 사용자 단말(1400)의 인증 정보는 랜덤 암호 코드에 의해 처리되므로 동일한 랜덤 코드가 아니면 인증 코드 생성이 불가능하게 된다.
구간 3에서는 해커가 상기 사용자 단말(1400)의 사용자 식별코드를 이용하여 서비스 접속 시도할 수 있다. 이때, 서비스 사업자(1410)는 정해진 인가된 IP에서 요청되고 보내진 식별 코드만을 처리함으로써 해커의 불법 침입을 막을 수가 있다.
이와 같이, 본 발명에서는 네트워크상에서의 IP를 유일한 인증 수단으로 사용하며, 그에 따라 실질적인 사용자 정보가 네트워크상에서 전송되지 않기 때문에 해커의 침입을 보다 효과적으로 차단할 수가 있게 된다.
도 15는 본 발명의 실시 예에 따른 IP 인증 시스템에서 인증 허용 접속 관리를 나타낸 도면이다. 히스토리 뷰(History View)는 사용자가 자신이 접속한 사이트에 대한 기록을 말한다.
인증 서버는 사용자의 인증 히스토리를 통해 불법 사용자에 대한 식별이 가능하며, 사용자 및 인증 서버는 접속 아이피를 제어하여 스팸 정보 차단 및 제어가 가능하다.(네트워크 계층에서 차단 가능)
또한, 사용자의 접속 사이트 관리를 통한 웜/바이러스 차단이 가능하다.
상기 도 15를 참조하면, 상술한 바와 같이 사용자(1500)가 서비스 사업자(1520)에게 자신의 IP 정보를 전송하여 연결을 요청하면, 서비스 사업자(1520)는 인증 기관(1530)으로 상기 사용자(1500)의 단말로부터 수신된 IP 주소로 사용자 정 보를 요청한다. 이때, 상기 인증 기관(1530)은 상기 서비스 사업자(1520)로부터 IP 주소를 수신하고, 해당 IP 주소에 매핑된 사용자에 대한 인증을 수행한다. 즉, 상기 해당 IP 주소에 매핑된 사용자가 상기 서비스 사업자(1520)에게 접속이 가능한지 여부를 판단하게 된다.
이때, 상기 인증 기관(1530)에서는 상기 서비스 사업자(1520)로부터 수신된 IP 정보를 통해 상기 사용자 단말(1500)에 대한 인증을 수행한다. 상기 인증은 상기 사용자(1520)의 단말이 상기 서비스 사업자(1520)에게 연결 요청할 때 수행될 수도 있으며, 미리 상기 인증 기관(1530)을 통해 인증을 수행한 후 상기 서비스 사업자(1520)에게 접속할 수도 있다.
상기 도 15에 도시된 바에 따라, 상기 인증 기관(1530)에서는 상기 사용자(1500)의 단말로 랜덤 암호화 코드를 전송하고, 상기 사용자(1500)의 단말에서는 상술한 바와 같이 상기 수신된 랜덤 암호화 코드에 의해 암호화하여 상기 인증 기관(1530)에 전송함으로써 인증을 요청하게 된다.
한편, 상기 인증 기관(1530)에서는 상기 사용자(1500) 단말의 인증 요청에 따라 인증을 수행하고, 그 결과로서 상기 서비스 사업자(1520)에게 사용자 식별 코드 또는 성향 정보를 제공하게 된다. 상기 인증 기관(1530)으로부터 사용자 식별 코드 또는 성향 정보를 제공받은 상기 서비스 사업자(1520)는 상기 수신된 정보를 참조하여 상기 해당 사용자(1500) 단말의 연결 차단 여부를 결정하게 된다.
이때, 상기 인증 기관(530)의 데이터베이스(1540)에는 사용자의 고유 정보, 인증시 접속한 IP 및 상태/시간 정보 등이 매핑되어 저장된다. 또한, 상기 사용 자(1500) 단말의 데이터베이스(1510)에는 접속 목록, 접속 시간 등의 로그 기록들이 저장되며, 접속 정책 및 차단 정책 등의 정보가 저장될 수 있다.
이상으로 본 발명에 따른 IP 인증의 개념을 설명하였다.
이하, 도 16 내지 도 30을 참조하여 상기 본 발명에 따른 IP 인증을 실제 시스템에 적용된 예를 상세히 설명하기로 한다.
후술하는 본 발명의 실시 예에서 사용자 단말 인증 에이전트는 사용자의 인증 정보를 생성하고 관리하며 다양한 부가 서비스가 가능하도록 개방형 컴포넌트 구조를 가진다. 또한, IP 인증 에이전트는 인터넷 서비스 백본망 혹은 인터넷 서비스 서버와 연동하여 사용자의 패킷을 검사하고 사용자 단말 인증 에이전트와 통신하여 인증에 필요한 사전 처리 기능을 수행하고 수행된 결과는 IP 인증 서버에 요청하여 사용자별 IP 인증을 한다.
한편, 상기 사용자별 인증된 결과는 사용자 DB와 연동되고 서비스 정책DB와 연동이 가능하도록 하여 다양한 서비스가 IP 인증 기반으로 사용자 단말에 다양한 플러그인 형태로 설치되거나 혹은 IP 인증 인프라 시스템에 통합 제공하도록 제공한다.
이와 같이 인터넷 환경에서 보다 편리하면서 안전한 사용자와 단말의 인증 방법을 통하여 다양한 서비스의 연동과 통합을 위하여 본 발명에서는 단말에서 사용자의 보안 인증을 수행하게 하는 사용자 단말 보안 인증 에이전트와, 사용자와 단말의 IP 인증을 등록하고 관리하는 IP 인증 서버, 사용자 단말과 IP 인증 서버 사이에서 인증을 위한 여러 가지 전처리 절차를 수행하는 IP 인증 에이전트를 필요 로 한다.
상기 사용자 단말 보안 인증 에이전트는 사용자 단말의 로그온 인증을 모니터링하여 사용자가 단말에 성공적으로 하게 되면 사용자 단말 정보(GUID; Globally Unique ID)와 사용자 정보(SID; Security IDs)를 IP 인증 서버로 보내게 된다. 이때 사용자 단말 보안 인증 에이전트와 IP 인증 서버 간에는 보안 암호화 패턴을 이용하여 전송하게 된다.
이때, 상기 IP 인증 서버는 단말의 유일한 정보 테이블과 사용자 정보 테이블을 매핑하여 사용자의 단말과 사용자를 인증하게 되는데 사용자가 다른 단말을 사용하는 경우 사용자 휴대 단말 등을 이용하여 단말의 인증 기능 등이 지원되고 사용자의 단말과 사용자 프로파일에 따른 서비스가 가능하다.
상기 IP 인증 에이전트는 상기 단말과 사용자와 인증 서버 간에 필요한 전처리 절차를 수행하고 필요한 프로토콜의 변환과 릴레이를 수행하게 된다.
이와 같은 절차를 통하여 IP 인증 기반 서비스 서버는 별도의 추가적인 인증 절차의 필요없이 해당 IP 주소로 사용자 혹은 가입자가 설정한 서비스를 제공하게 되므로 보다 편리하고 안전한 서비스가 가능하고 확장성이나 이식성에 있어서 유연성을 확보하게 된다.
인터넷 환경에서 네트워크에 접속되는 모든 단말은 IP 주소를 가지게 된다. 종래에는 단말을 이용하여 인터넷에 접속할 때나 단말이나 사용자의 네트워크 자원에 접근을 제어하기 위하여서는 사용자나 단말의 인증이 필요하였다. 이때, 인증을 위하여 사용자로부터 ID 비밀번호를 입력받거나 단말의 MAC(Medium Access Control) 주소 등을 포함한 단말 정보를 통한 인증 방법을 사용하였다. 그러나 이러한 경우 각기 다른 접근을 할 경우 각기 다른 인증 절차를 거쳐야 하므로, 이로 인한 인증 정보의 관리와 절차가 복잡하고, 인증 정보 즉 ID와 비밀번호와 및 단말의 물리적인 정보는 얼마든지 위변조가 가능하다는 단점이 있었다.
따라서, 본 발명에서는 인터넷 환경에서 편리하면서 안전한 사용자와 단말의 인증 방법을 통하여 다양한 서비스의 연동과 통합을 위하여 단말에서 사용자의 보안 인증을 수행하게 하는 사용자 단말 보안 인증 에이전트와, 사용자와 단말의 IP 인증을 등록하고 관리하는 IP 인증 서버, 사용자 단말과 IP 인증 서버 사이에서 인증을 위한 여러 가지 전처리 절차를 수행하는 IP 인증 에이전트가 구비된다.
상기 사용자 단말 보안 인증 에이전트는 사용자 단말의 로그온 인증을 모니터링하여 사용자가 단말에 성공적으로 하게 되면 사용자 단말 정보(GUID; Globally Unique ID)와 사용자 정보(SID; Security IDs)를 IP 인증 서버로 보내게 된다. 이때 단말 보안 인증 에이전트와 IP 인증 서버 간에는 보안 암호화 패턴을 이용하여 전송하게 된다.
상기 IP 인증 서버는 단말의 유일한 정보 테이블과 사용자 정보 테이블을 맵핑하여 사용자의 단말과 사용자를 인증하게 되는데 사용자가 다른 단말을 사용하는 경우 사용자 휴대 단말 등을 이용하여 단말의 인증 기능 등이 지원되고 사용자의 단말과 사용자 프로파일에 따른 서비스가 가능하다.
상기 IP 인증 에이전트는 위의 단말과 사용자와 인증 서버 간에 필요한 전처리 절차를 수행하고 필요한 프로토콜의 변환과 릴레이를 수행하게 된다.
상기 절차를 통하여 IP 인증 기반 서비스 서버는 별도의 추가적인 인증 절차의 필요없이 해당 IP 주소로 사용자 혹은 가입자가 설정한 서비스를 제공하게 되므로 보다 편리하고 안전한 서비스가 가능하고 확장성이나 이식성에 있어서 유연성을 확보하게 된다.
IP 주소를 통한 인터넷 환경에서 IP 주소에 대하여 가입자와 사용자 및 단말의 인증을 통하여 네트워크상에서의 보안 연결이 구성되고 단말의 IP 주소를 다양한 서비스 접속시에 해당 IP 주소를 확인하여 사용자를 식별함으로써 다양한 서비스와 기능의 제공이 가능하게 된다.
도 16은 본 발명의 실시 예에 따른 유무선 인터넷 환경에서의 IP 인증 및 부가 서비스 시스템 구성도이다.
상기 도 16을 참조하면, 유/무선 인증 단말(1602)은 인터넷 서비스 사업자(Internet Service Provider; 이하, 'ISP'라 한다) 서비스 백본망(1604)을 경유하여 인터넷 망에 접속하게 된다. 무선 혹은 이동통신 네트워크에서는 모바일 인증 단말(1601)을 통하여 이동 통신 사업자의 모바일 서비스 코어망(CN; Core Network)(1603)을 통하여 인터넷망에 접속하게 된다.
이때, 본 발명에 따라 서비스 사업자 기간망에 IP 인증을 위한 IP 인증 에이전트(1605)를 구비할 수 있으며, 상기 도 16에 도시된 에이전트는 이를 나타낸다. 상기 IP 인증 에이전트(1605)는 백본망 혹은 코어망에서의 패킷을 검사하여 상기 각 단말(1601, 1602)에 인증용 단말 컴포넌트의 설치 유무를 판별하고 설치되지 않은 단말일 경우는 컴포넌트 설치를 유도하게 된다. 또한, 사용자 단말(1601, 1602) 로 인증을 위한 인증 정보를 요청하게 되며, 이를 수신한 사용자 단말(1601, 1602)에서는 단말에 저장된 인증 정보와 사용자가 인증한 결과를 분석하여 도 21에서 후술할 데이터 포맷으로 보내게 된다.
상기 IP 인증 에이전트(1605)는 단말(1601, 1602)로부터 받은 인증 정보를 IP 인증 서버(1607)로 전달하게 되고 상기 IP 인증 서버(1607)는 인증 정보를 받아서 인증 절차를 수행하게 된다. 이때 인증을 위하여 외부의 공인 인증 서버(1606)나 내부 사설 인증 서버(미도시)로 사용자 인증을 대행할 수도 있게 된다. 이와 같이 사용자 인증이 완료되면 상기 IP 인증 서버(1607)는 사용자 네트워크에서 요청된 서비스에 대하여 부가서비스 서버, 즉 IP 인증 기반 서비스 서버(1610)로 질의를 하게 된다.
한편, 인증 에이전트(1608)는 가입자 네트워크 백본이나 코어망에 인증용 에이전트가 설치되지 않았을 경우에 보여지는 경우로 그 기능과 역할은 IP 인증 에이전트(1605)와 동일하나 각 인터넷 서비스 서버의 전단계에서 사용자의 패킷을 분석하고 응용 레벨에서의 서비스 리다이렉션(redirection) 기능과 싱글 사인 온(SSO; Single Sing On) 기능을 위한 서비스 로그인을 처리하기 위한 기능이 추가된다.
인터넷 서비스 서버(1609)는 HTTP 기반의 웹 서비스 서버, 전자상거래, 이동/휴대전화용 모바일 서비스 서버 및 클라이언트 서버 기반의 응용 애플리케이션 서버 등을 포함할 수 있다.
도 17은 본 발명의 실시 예에 따른 IP 주소 기반 사용자 인증을 이용한 SSO에 대한 블록도이다. 상기 도 17을 참조하면, IP 주소 기반 단말과 사용자 인증을 위한 접속 네트워크 서비스 제공자인 ISP 사업자 등을 포함하는 통신 사업자 망 내에서 인증을 수행하는 경우를 나타낸 것이다. 인증 및 보안 접속을 위한 단말용 컴포넌트가 설치된 사용자 단말(1702)로부터 서비스 사업자 망에 본 발명에 따른 인증을 위한 IP 인증 에이전트(1708)의 인증을 위한 전처리를 거쳐 IP 인증 서버(1709)에서 사용자 인증을 수행한다.
또한, 상기 인증 결과를 IP 인증 서비스 서버(1707)에서 질의하고 판단하여 사용자 단말(1702)의 서비스 플러그인(Plug-in)(1701), 사용자 단말(1702)과 백본망/코어망 라우터(1706) 사이에서 혹은 외부 라우터(1704)의 중간에 다양한 사용자의 망 접속시 요구되는 서비스를 제공하기 위하여 서비스를 호출하고 사용자의 IP 정보를 서비스 서버에 제공하여 해당 IP 주소의 단말을 사용하는 사용자에게 서비스를 제공한다.
먼저, 상기 IP 인증 에이전트(1708)에서 상기 사용자 단말(1702)로부터 연결요청을 받으면, 상기 IP 인증 에이전트(1708)는 패킷을 검사하여 IP 인증을 받은 단말이고 사용자 인증이 필요한지 또는 IP 인증과 사용자 인증을 모두 필요한 연결 요청인지를 판단한다.
그런 다음, 상기 IP 인증 에이전트(1708)는 인증에 필요한 정보를 사용자 단말(1702)에 요청하게 된다. 이때 상기 사용자 단말(1702)은 본 발명의 실시 예에 따라 IP 인증 에이전트(1708)에서 IP 인증과 사용자 인증을 위하여 상기 사용자 단말(1702)에서 사용하는 로그온(Logon) 기능을 사용할 수 있다. 이에 대한 상세한 설명은 후술하기로 한다.
한편, 상기 IP 인증 에이전트(1708)로부터 인증 요청을 받은 상기 사용자 단말(1702)은 단말의 정보와 사용자의 정보를 IP 인증 에이전트(1708)로 전달하고, 상기 전달되는 정보는 단말의 인증 정보와 사용자 인증 정보를 포함하게 된다. 이때, 상기 단말의 인증정보는 MS 윈도우즈의 경우 GUID(globally unique identifier) 값을 그대로 사용할 수도 있으며 혹은 특정 비트로 해싱하여 사용할 수도 있다. 또한, 사용자 인식과 인증에 요구되는 SID(Security IDs)의 경우도 상기 GUID와 같이 그대로 혹은 특정 비트로 해슁하여 IP 인증 에이전트로 전달하게 된다.
만약, 상기 사용자가 사용자를 인증할 수 없는 손님 계정으로 단말을 사용하는 경우 상기 IP 인증 에이전트(1708)는 사용자 단말에 설치된 인증 컴포넌트를 호출하여 사용자로 하여금 재 로그인하게 하여 사용자의 인증을 위한 처리를 하게 된다. 이때 사용자에 대한 인증이 이루어지지 않을 경우 네트워크상의 연결은 IP 인증 서버(1709)를 통하여 제한된 연결이 이루어지게 된다. 이와 같은 경우에는 IP 인증 서비스에 정의된 정책과 사용자가 지정한 정책 규칙에 의하여 처리되게 된다.
다음으로, 상기 IP 인증 에이전트(1708)가 상기 사용자 단말(1702)로 인증 정보 요청을 하게 될 때에는 응답시에 요구되는 암호화를 위하여 암호화 패턴 키를 전달하게 되고, 상기 사용자 단말(1702)은 받은 암호화 패턴 키를 이용하여 인증 요청 정보를 전달할 수도 있다. 이는 단말과 IP 인증 에이전트(1708) 간의 네트워크상의 신뢰에 따라 가변적으로 구성 운용될 수 있다. 이때, 상기 IP 인증 에이전트(1708)가 사용자 단말로부터 전달받는 데이터의 포맷은 도 21의 설명에서 후술하 기로 한다.
한편, 상기 IP 인증 에이전트(1708)가 상기 사용자 단말(1702)로부터 전달받은 인증 요청 데이터는 데이터의 신뢰성을 검정하고 IP 인증 서버(1709)로 인증을 요청하게 된다. 이때, IP 인증 서버(1709)는 사용자 단말 정보와 사용자 정보를 분석하여 판별하게 되고 전송된 정보가 맞으면 상기 사용자 단말과 사용자 인증정보를 IP 인증 서버(1709)에 등록하고 서비스를 시작하게 된다.
이때, 상기 IP 인증 서버(1709)는 IP 인증 서비스 서버(1707)에 사용자의 서비스를 질의하고 서비스의 기동을 지시하게 된다. 또한, 상기 IP 인증 서비스 서버(1707)는 사용자의 서비스 현황을 검색하여 서비스 기동을 준비하고 결과를 IP 인증 서버(1709)에 통보한다. 그런 다음, 상기 IP 인증 서버(1709)는 단말에 대한 서비스 질의에 대한 결과를 상기 IP 인증 에이전트(1708)에 통보하게 되고, 상기 IP 인증 에이전트(1708)는 사용자 단말의 인증 처리 컴포넌트의 서비스 플러그인을 호출하여 서비스를 시작하게 된다.
IP 인증 서비스 서버(1707)는 사용자 단말(1702)과 백본/코어망에서 필요한 부가 서비스(1703) 혹은 외부 인터넷 망과의 연동에서 다양한 서비스(예컨대, 네트워크 필터링을 통한 유해 사이트 차단 등의 서비스)(1705)를 호출하여 수행하게 된다.
도 18은 본 발명의 실시 예에 따른 통신 서비스 사업자 네트워크에서의 IP 인증과 부가 서비스를 위한 블록도이다. 상기 도 18을 참조하면, IP 주소 사용자 인증을 인터넷 서비스 네트워크 내 혹은 인터넷 망상에서 사용자의 접속 네트워크 요청을 분석하여 인증을 수행할 수 있다.
먼저, 사용자 단말(1702)로부터 목적 대상 사이트로 서비스 요청이 오면 IP 인증 에이전트(1708)가 연결요청에 대하여 인증 정보를 사용자 단말로 질의한다. 사용자 단말(1702)은 사용자의 단말 정보와 사용자 정보 GUID와 SID를 전송하면 IP 인증 에이전트(1708)는 이를 IP 인증 서버(1709)에 전송하게된다. 상기 IP 인증 서버(1709)는 사용자 인증 절차를 수행한 후 사용자의 인터넷 서비스 서버(1801)의 서비스 이용에 대한 정보가 있는지를 확인하고 사용자의 부가 서비스에 대한 가입 여부를 인터넷 서비스 서버(1801)에 질의하여 결과를 수신한다.
그런 다음, 상기 IP 인증 서버(1709)는 상기 IP 인증 에이전트(1708)에게 사용자의 인증 결과를 통보한다. 상기 IP 인증 에이전트(1708)는 사용자에게 인증 결과를 통보하고 인터넷 서비스 서버(1801)에 사용자 정보를 제공한다는 것을 알린다. 상기 IP 인증 에이전트(1708)는 인터넷 서비스 서버(1801)에 사용자 정보를 제공하고 서비스 이용을 위한 사용자 세션 할당을 요청한다. 사용자 세션이 할당되면 상기 IP 인증 서비스 서버(1707)가 사용자에게 제공되는 사용자 기반 부가 서비스와 기타 여러 가지 서비스 제공을 위하여 인터넷 서비스 서버(1801)에 연결하여 요청을 하게 되고, 또한 상기 IP 인증 서비스 서버(1707)는 사용자 단말(1702)과 연동하여 사용자의 인터넷 연결 요청을 대행하여 다양한 부가 서비스가 가능할 수 있도록 한다. 이때, 상기 사용자 단말(1702)의 서비스 요청은 인터넷 서비스 서버(1801)와 통하여 연결되고 처리된다.
도 19는 본 발명의 실시 예에 따른 단말의 IP 인증 시스템의 세부 구성을 나 타낸 블록도이다. 상기 도 19를 참조하면, 본 발명에서 사용되는 단말과 IP 인증을 위한 요소들의 기능 블록도이자 연관도이다. 사용자 단말(1702)로부터 인터넷 혹은 서비스 연결 요청을 받으면 IP 인증 에이전트(1708)의 접속 관리부(1911)에서 연결 요청을 판단한다. 이때, 상기 사용자 단말(1702)이 유선 접속인지 무선 접속인지 판단하고 사용자 단말(1702)의 운영체제를 확인한다. 이를 통하여 IP 인증을 위한 구체적 절차와 방법을 결정하는 전처리 작업을 수행한다. 여기에는 사용자 단말 인증 에이전트의 설치 여부 및 설치 버전 등을 포함한다.
이때, 상기 IP 인증 에이전트가 사용자 단말(1702) 인증 에이전트를 호출하여 인증 정보를 요청하게 되면, 요청받은 사용자 단말(1702)은 사용자 인증부(1902)를 호출하여 현재 로그 온 되어 있는 사용자를 확인한다. 만약 게스트(guest)로 로그인 되어 있으면 사용자 인증부(1902)에서 강제로 사용자 로그온을 로그오프하고 사용자의 로그인부(1901)로 사용자 로그인을 요청하게 된다.
이때, 사용자가 사용자 IP와 비밀번호를 입력하게 되면 사용자 인증부(1902)에서 시스템 인터페이스(1905)를 통하여 처리하게 되는데, 예컨대 마이크로 소프트사의 윈도우즈 운영체제에서는 사용자 인증 처리부에서 사용자 로그인부(1902)를 호출하면 사용자 로그인은 "WINLOGON"을 호출하여 사용자 인증 절차를 수행하게 된다.
상기 WINLOGON은 LPC(Local Procedure Call)로 LSA를 호출하고 LSA(Local Security Authority)는 SRM(Security reference mornitor)을 호출하여 사용자 인증을 거치게 되고 사용자의 시스템 액세스를 제어하게 된다. 그런 다음, 사용자 로그 온의 결과를 확인하여 현재의 로그인 사용자를 확인하고, 사용자 환경 제어부(1903)에서는 사용자 정보와 환경 정보를 관리하는 계층적 데이터베이스인 윈도우즈 레지스트리에 접속하여 사용자 환경정보와 시스템 정보를 추출한다.
이때 마이크로소프트의 윈도우즈 시스템에서 GUID(Globally Unique ID)와 SID(Secure IDs) 값은 일반적으로 레지스트리에 16진수로 저장된다. 단말 인증 드라이버는 운영체제의 커널모드에서의 동작과 운영을 위하여 커널모드 시스템을 호출하고, 상기 커널모드 시스템의 접근을 위하여 사용자 모드에서 서비스 플러그인 컨테이너(1904)와 서비스 플러그인(1907)을 포함하여 사용자 인증과 서비스를 동작하는데 필요한 커널모드 동작을 수행하고 지원하게 된다.
그런 다음, 상기 사용자 로그인부(1902)를 통하여 사용자 인증을 거친 후 레지스트리에서 사용자 시스템의 GUID와 사용자 SID, 그룹 SID 값을 추출한다. 상기 추출된 인증 값은 바이너리(binary) 데이터를 다양한 방법으로 처리하여 입출력 관리부(1906)를 호출하여 IP 인증 에이전트(1708)의 접속 관리부(1911)로 전달하게 된다. 여기서 추출된 바이너리 데이터는 해쉬(hash)를 이용한 특정 비트 길이로 요약하여 전달하는 방법과 이진 데이터를 암호화하여 보내는 방법이 있다.
이때 해쉬와 암호화 방법에 있어서 IP 인증 에이전트(1708)에서는 임의의 보안 종자(Random Security Seed)를 전달하게 되고, 입출력 관리부(1906)에서는 사용자 인증 데이터를 상기 보안 종자를 이용하여 처리하여 IP 인증 에이전트(1708)에 전송하게 된다.
사용자 단말로부터 전송되어 온 인증 요청 데이터는 접속 관리부(1911)에서 수집하여 처리하게 된다. 상기 접속 관리부(1911)는 IP 패킷 레벨에서의 인증 처리와 응용 프로그램 레벨에서의 인증 두 가지 모드를 지원한다. 즉, 패킷 처리부(1913)에서 연결 요청 패킷을 수집하여 패킷 헤더를 검사하고 패킷을 처리하며, 상기 처리된 패킷으로부터 인증 데이터를 추출하여 사용자 인증 관리부(1915)에서 데이터에 대한 검증을 실시한다.
사용자 인증 후 사용자 단말(1702)로부터 전송된 패킷은 다양한 응용 서비스와 다양한 프로토콜을 지원하기 위하여 프로토콜 릴레이 변환부(1912)에서 프로토콜 변환 처리를 수행한다. 사용자 인증 관리부(1915)는 사용자 단말로부터 전송된 사용자 정보를 검증하고 보안 키를 이용하여 확인하며, 상기 확인된 인증 요청 정보를 IP 인증 서버를 호출하여 전달한다. 또한, 인증된 사용자 IP를 관리하며 인증된 사용자의 IP 주소와 세션에 대한 실제적인 담당을 하게 된다.
서비스 관리부(1914)는 사용자가 인증받은 결과를 IP 인증 서버로부터 받아서 단말의 부가서비스 플러그인에 대한 호출이나 서비스를 호출하여 사용자 단말 서비스 여부를 관리하는 기능을 담당한다. 상기 IP 인증 에이전트(1708)는 IP 인증 서버(1709)로부터 인증을 받아서 다양한 서비스와 기능의 통합을 통한 서비스를 제공하게 된다.
이를 위하여 상기 IP 인증 에이전트(1708)는 IP 인증 서버(1709)와 신뢰할만한 보안 연결 채널을 유지한다. 이때, 인증 데이터의 송수신이 가능하며 정형화된 연결 인터페이스가 요구된다. 또한, 인증 게이트웨이(1916)는 IP 인증 서버(1709)와의 연결과 통신을 담당하게 된다. 상기 IP 인증 서버(1709)는 IP 인증 에이전 트(1708)가 전처리(Preprocessing)하여 전달하여 준 인증 데이터를 받아서 사용자와 네트워크 단말에 대한 인증을 수행하고 이를 통하여 다양한 부가 서비스와 사용자 통합 서비스를 제공할 수 있게 된다.
상기 IP 인증 서버(1709)의 접속 제어부(1931)는 IP 인증 에이전트(1708)와 IP 인증 서비스 서버(1707)와의 안전한 채널 설정과 표준의 인터페이스를 담당하게 된다. IP 인증 처리부(1936)는 단말 정보와 사용자 인증 정보를 확인하여 인증을 수행하게 되며 IP 인증은 사용자가 사용하는 단말과 단말의 위치와 사용자에게 허가된 혹은 가입된 부가 서비스의 기동을 위하여 필요한 각종 정보를 확인하고 등록하며, 다른 인증 서버 간의 IP 인증 정보를 동기화하고 모니터링 하는 역할도 담당하게 된다.
사용자 인증 관리부(1937)는 IP 인증 서버(1709)에서 인증된 사용자에 대한 인증 정보 요청에 대하여 응대하고 처리하는 것을 담당하게 된다. 예컨대 SSO(Single Sign-On)의 경우 특정 웹서비스 서버에서 특정 IP로 접속하여 인증을 요청하게 되면 그 인증 요청이 적합한지 사용자에 대한 인증을 허가할 것인지에 대하여 판단하고 처리하는 기능 등을 담당하게 된다. 또한, 사용자에 대한 과금이 발생하였을 경우 이를 관리하고 처리하는 역할을 담당한다. 이때 외부 인터넷 서비스 혹은 인터넷 망 사업자가 제공하는 서비스에 대하여 과금 혹은 과금 대행을 담당하게 된다.
사용자 프로파일 관리부(1932)에서는 사용자가 가입한 내지는 허락한 서비스의 허용과 개인정보 인증에 대한 각종 설정과 규칙 등이 있다. 예컨대 사용자가 가 입한 특정 사이트에 인증 정보 제공을 허락 내지는 불가하기 위한 사용자 판단 정보 및 사용자의 관리자로부터 상속받은 각종 규칙과 정책 등이 포함된다. 이때, 관리자는 가정의 경우를 예를 들어 보면 아버지는 서비스 가입자가 되고 아버지로부터 서비스에 대한 사용을 허여받은 가족은 사용자가 된다. 아버지는 가족에게 특히 미성년인 자녀에게 특정 사이트의 접근을 제한할 수 있으며 이는 아버지의 가입자 권한으로 사용자의 권한을 상속/제한하는 것이 가능함을 의미한다.
이에 대한 사용자별 서비스와 접근허용 및 인증 정보 요청에 대한 수락과 거부에 대하여 사용자 프로파일 관리부(1932)에서 관리되는 규칙을 이용하여 사용자 인증 관리부(1937)와 인터페이싱하여 처리하게 된다. 보안 인증 관리부(1933)는 사용자 인증을 CA 서버를 이용하여 처리하고 IP 인증 에이전트(1708)와의 신뢰된 채널로 사용자 인증 정보를 송수신하는데 있어서 사용되는 보안 암호처리 및 관리를 수행한다.
한편, 사용자가 사용자 단말 모듈이 설치되지 않고 네트워크에 접속하게 되면 IP 인증 에이전트(1708)에서 설치 여부를 판단하고, 설치되지 않았을 경우 IP 인증 에이전트(1708)는 IP 인증을 위한 사용자 단말(1702)로 인증 에이전트를 배포요청하게 된다. 이때, 요청을 받은 사용자 단말 인증 모듈 배포부(1934)에서는 사용자의 단말의 환경(즉 유선 인터넷 접속, 무선 인터넷 접속, 이동통신 인터넷 접속과 단말 정보)을 분석(즉, 운영체제 및 버전 등을 확인)하여 사용자 단말(1702)로 배포하게 된다.
IP 인증 서비스 서버(1707)는 IP 주소 기반 사용자 인증을 받은 사용자에게 다양한 서비스를 연동하여 서비스하는 기능을 담당한다. 즉, 상기 IP 인증 서버(1709)가 사용자 프로파일을 검색하여 사용자 서비스를 추출하고 그 결과를 해당 IP 주소로 요청하면 상기 IP 인증 서비스 서버(1707)는 IP 인증 서버(1709)의 접속 제어부(1931)를 통하여 전달된 IP에 대한 서비스 프로파일 정보를 수신하여 서비스를 개시하게 된다. 이를 위하여 서비스에 필요한 정보는 서비스 데이터베이스(1926)에 저장되고 관리된다.
서비스 관리부(1923)는 IP 인증 서버(1709)로부터 요청된 서비스 정보를 확인하여 서비스에 필요한 정보와 서비스 제공에 필요한 기능을 제공한다. 이때 IP 정보와 서비스 프로파일 정보를 수신하여 서비스에 필요한 기능을 설정하고 처리하여 제공하게 된다. 이때, 서비스 과금 처리부(1925)는 사용자의 서비스로 발생하는 과금을 계산하여 IP 인증 서버(109)로 제공한다.
지능형 서비스 엔진(1922)은 사용자에게 서비스를 제공하는 플랫폼에 해당한다. 서비스 플러그인 관리부(1924)는 사용자 단말(1702)이나 서비스 서버에 원격 설치되어 구동되는 서비스 플러그인에 대한 컨테이너 및 관리 역할이다.
도 20은 본 발명의 실시 예에 따른 사용자 단말의 기능 구성도이다. 상기 도 20에서는, 본 발명의 이해를 돕기 위하여 사용자 단말의 참조 모델로 사용되는 마이크로 소프트사의 원도우즈 운영체제를 설명한다. 이때, 단말의 기능 모듈은 단말의 지원 가능한 규격과 기능에 의해 혹은 사용자의 권한에 따라서 제한되거나 추가될 수 있다.
사용자 단말은 운영체제 커널(2011)을 기반으로 하여 다양한 기능을 담당하 는 관리 모듈로 구성된다. 지역보안 감사 모듈(미도시)은 사용자 로그온시 사용자의 인증절차를 수행하기 위하여 암호화된 사용자 ID와 비밀번호를 기반하여 사용자 인증 절차를 수행하고 인증된 사용자의 접근 권한을 확인하고 관리하기 위하여 보안 참조 모니터(2006)를 호출하게 된다.
상기 보안 참조 모니터(2006)는 입출력 관리자(2009)와 설정 관리자(2007)를 호출하여 사용자 권한에 맞게 단말의 접근과 권한을 허용하게 된다. 상기 입출력 관리자(2009)는 각종 디바이스와 파일 시스템에 접근 및 권한을 관리한다. 설정 관리자(2007)는 사용자 레지스트리(MS 윈도우 기준)를 검색하여 사용자 환경에 필요한 설정을 담당한다. 또한, 시스템의 단말 정보인 GUID(Globally Unique Identifier)와 SID(Security IDs)는 레지스트리에 저장되고 관리된다.
도 21은 본 발명의 실시 예에 따른 인증을 위한 데이터 패킷 구성도이다.
상기 도 21을 참조하면, 사용자 단말의 인증 정보 데이터 포맷이 도시되며, 단말 인증 에이전트에서 생성해 내는 상기 인증 정보는 인증 헤더(2110)와 인증 부속 정보(2120)로 구성된다. 상기 인증 헤더(2110)는 인증 부속 정보(2120)에 다양하고 유연한 정보의 확장성을 보장하기 위하여 옵션 필드들을 가변적으로 둘 수 있도록 하였으며, 이를 인증 헤더에 표기하여 관리하도록 하고 옵션 필드 개수 필드(2111)에 지정할 수 있다.
한편, 사용자 인증 방법 필드(2112)에는 단말 인증 시스템의 인증 결과를 이용하는 방법, 공인 인증서를 이용한 사용자 인증 방법, 사용자의 휴대전화를 이용하여 사용자 인증 방법 등을 표기하도록 하였다. 사용자의 인증 정보 필드(2113)는 사용자를 구분할 수 있는 유일한 식별자를 담는 필드이다.
보안 암호 패턴 필드(2114)는 IP 단말 인증 모듈에서 지정한 보안 채널의 구축을 위하여 보안 암호화를 위한 종자(암호화 SEED 값)을 지정하게 되고, 사용자 인증 단말과 IP 단말 인증 모듈 간에는 약속된 복수의 보안 암호 패턴을 이용하여 사용하게 된다. 이때, 인증은 사용자를 중심으로 다양한 단말과 장소에서 인증을 수행하기 위하여 사용자 중심의 인증을 처리하게 되고, 단말은 부차적인 인증을 위한 데이터로 처리하게 된다.
인증 부속 정보(2120)에서 단말 종류 필드(2121)는 사용자가 사용하게 되는 단말 즉 데스크톱 개인용 컴퓨터, PDA, 휴대전화 등의 정보를 의미하며, 단말 GUID 필드(2122)는 단말의 유일한 정보, 사용자 위치 필드(2123)는 사용자가 단말을 이용하여 접속한 위치에 대한 관리를 위한 필드이다.
상기 사용자 위치 필드(2123)는 동일한 사용자가 인터넷에 접속해 있는 경우 개인용 컴퓨터와 휴대전화를 이용한 인터넷 접속은 가능하지만 동일한 사용자가 각기 다른 ISP(Internet Service Provider)망을 통하여 동시에 다른 지역에서 접속하게 될 때 불법적인 사용자 명의 도용 등으로 간주하여 등록된 사용자의 휴대전화 등을 이용하여 통보하여 접속을 허용할지 말지를 확인하게 하는 부가적인 기능을 제공하며 위치 기반 서비스를 가능하도록 하기 위하여 사용되는 필드이다.
네트워크 속성 필드(2124)는 사용자 단말의 다양한 네트워크 속성에 따른 값을 관리하고 처리하기 위하여 관리하는 필드이다. 옵션 필드(2125, 2126)는 향후 시스템의 확장성과 유연성을 위하여 IP 인증 서버와 사용자 인증 에이전트 간의 규 약을 통하여 확장성 있게 사용하기 위한 예비 필드이다.
도 22 및 도 23은 본 발명의 실시 예에 따른 IP 인증 및 서비스 절차를 나타낸 흐름도이다.
상기 도 22는 본 발명의 처리 순서도이다. 사용자 단말을 기동하여 인터넷 서비스 사업자 망의 집선 장치를 통하여 네트워크 연결을 요청(S2201)하게 되면, 인터넷 서비스 사업자망 내에 있는 IP 인증 에이전트(1708)를 통하여 패킷 필터링을 하고 단말 인증 에이전트의 설치 여부를 판별(S2202)하게 된다.
만약, IP 단말 인증 모듈(즉, 도 19의 1702)이 설치된 단말의 경우 IP 헤더의 옵션 필드를 이용하여 특정 태그 비트를 세팅하게 되므로 그 값을 확인하여 단말 인증 에이전트의 설치 여부를 확인할 수 있다. IPv4의 경우 옵션 필드의 리저브 필드에 값을 태그 하는 방법과 IPv6의 경우 라우팅 헤더에 IP 단말 인증 모듈이 설치된 경우 가장 가까운 서비스망의 특정 라우터를 거치게 하고 그 태그 값을 검사하여 일차적으로 IP 단말 인증 모듈의 설치 유무를 판별하게 된다.
한편, IP 단말 인증 모듈이 설치되었으면 단말 인증 에이전트의 해쉬 코드를 확인하여 업데이트 여부를 확인하고 업데이트가 필요하면 업데이트를 수행한다. 업데이트가 끝나면 IP 인증 서버(1709)는 IP 단말 인증 모듈을 호출하여 사용자 정 정보를 요청하게 된다. 이때, IP 단말 인증 모듈이 설치되지 않은 단말로부터의 연결 요청을 받게 되면 A(S2208)를 호출하여 사용자 단말에 IP 단말 인증 모듈을 설치하고 사용자 인증 정보를 등록하는 절차를 거치게 된다.
그런 다음, IP 인증 에이전트(1708)를 통하여 IP 인증 서버(1709)의 사용자 인증을 위한 인증 정보 전송 요청을 받은 IP 단말 인증 모듈은 단말의 정보와 현재 로그인한 사용자의 ID와 권한을 확인하게 된다. 이때, 단말 정보는 마이크로 소프트사 윈도우의 경우 레지스트리에 저장된 시스템의 GUID(Globally Unigue ID)를 여러 가지 유일한 단말의 정보와 조합하여 이용할 수도 있고 단말의 하드웨어 정보를 수집하여 그 값을 특정 비트로 해슁하여 값을 추출할 수도 있다. 상기 마이크로소프트사의 윈도우에서 사용되는 GUID는 통상적으로 128비트의 숫자로 구성된다. 또한, 사용자 단말 로그인에 따른 사용자 정보와 단말 내에서 보안 및 접근 제어를 위한 자료구조는 Revision Number, Flags, Owner SID(Security IDs), Group SID와 ACL(Access Control List)로 이루어져 있다.
IP 단말 인증 모듈은 단말에서 단말 정보와 사용자 계정 권한 정보를 확인하기 위하여 도 19의 IP 단말 인증 모듈(즉, 사용자 단말(1702))에서 사용자 인증 부(1902)를 호출하게 된다. 상기 사용자 인증부(1902)는 LSA(LOCAL SECURITY AUDITOR)를 호출하고 LSA는 SRM(SECURITY REFERENCE MORNITOR)을 호출(S2203)하여 사용자 권한과 로그인을 확인(S2204)하게 된다.
사용자 로그인 권한을 확인하여 게스트 계정으로 로그인하였거나 권한 없는 사용자가 로그인하였으면 B(S2209)를 호출하여 사용자 인증을 위한 절차를 수행하고 적절한 처리를 하게 된다. 상기 확인 결과, 사용자 로그인이 정상적으로 이루어졌으며 결과 인증 데이터가 정상적으로 생성(S2205) 되었으면, IP 단말 인증 에이전트의 입출력 관리부(1906)를 호출하여 IP 인증 에이전트(1708)로 전송(S2206)하게 된다.
상기 도 21에서 상술한 인증 데이터 포맷으로 전송된 사용자 인증 정보에서 IP 인증 에이전트(1708)는 사용자 정보를 추출하여 IP 인증 서버(1709)로 인증을 요청하게 된다. 그런 다음, IP 인증 에이전트(1708)로부터 인증 요청 정보를 이용하여 정상적인 인증 데이터 패킷인지를 확인하고 정상적인 패킷이면 IP 인증 서버(1709)에서 인증을 위하여 인증 키를 질의한다. 만약 IP 인증 서버(1709)에 사용자 단말로부터 전송돼 인증 데이터와 일치하는 값을 찾을 수 없다면 사용자 및 사용자 단말 등록을 위하여 C(S2210)를 호출하게 되고, 일치하는 값을 찾으면 D(S2211)를 호출하게 된다. A(S2208), B(S2209) 및 C(S2210)의 처리결과 오류가 발생하여 정상적으로 처리되지 못하면 종료된다.
상기 도 23에서 D(S2211)에서 IP 인증 서버(1709)에서 사용자 단말의 인증 키를 찾게 되면 사용자 인증 정보를 등록(S2301)하게 된다. IP 인증 정보(1709)는 사용자 단말이 인터넷 서비스에 연결되면서 할당받은 IP를 IP 인증 서버(1709)에서 관리하는 사용자 정보에 사상하여 관리하게 된다. 그런 다음, IP 주소에 대하여 사용자의 인증이 종료되면, 사용자 IP 인증 서비스 서버(1707)의 데이터베이스(1926)에서 사용자의 서비스 프로파일을 검색하여 사용자 서비스를 위한 설정(S2302)을 하게 된다.
이때 사용자 서비스 프로파일에서 서비스를 검색하게 되면 S2203을 호출하게 되고 사용자 서비스 프로파일이 존재하지 않으면 사용자 연결상태를 모니터링하는 대기 상태(S2207)로 가게 된다. 사용자 서비스 프로파일에서 사용자 가입 서비스가 단말에서 수행되는 서비스인지(S2203) 인터넷 서비스 제공자 백본망과 이동통신시 코어망 기반 제공 서비스 혹은 HTTP를 포함한 유사 인터넷망 상의 서비스 서버와 연동하여 제공되는 서비스(S2205)인지를 판별하여, 사용자 단말로 서비스에 필요한 서비스 프로파일 데이터를 추출하여 전송(S2204)하거나 서비스 서버로 규칙 혹은 정책 프로파일을 통지(S2206)한다.
다음으로, S2207단계에서 사용자 단말의 연결 상태를 모니터링하고 있다가 사용자 혹은 외부로부터 새로운 서비스 요청을 받게 되면 S2209 단계 E를 호출하게 되고 사용자 연결 세션의 유지를 위하여 일정한 규칙과 아이들링(idling) 시간 등을 계산하여 사용자 인증 상태를 체크(S2310)한다. 조건에 들어가면 사용자 인증 연결 상태를 오프(S2312)로 하고 사용자 IP 인증 처리 프로세스를 종료한다. 사용자의 네트워크 연결이 유효하면 사용자의 인증 연결 세션 상태를 계속 유지(S2311)하게 된다.
도 24는 본 발명의 실시 예에 따른 단말 인증 에이전트의 설치 및 사용자 인증 정보 등록 절차를 나타낸 흐름도이다. 상기 도 24를 참조하면, 네트워크에 연결하여 서비스 접속을 하는 단말 인증 에이전트의 설치와 사용자 인증 정보를 등록하는 절차를 보여주는 순서도이다. 도 22의 A(S2208)에서 사용자 단말에 단말 인증 모듈이 설치되지 않았다면 IP 인증 에이전트(1708)가 사용자 단말(1702)의 단말 인증 에이전트의 설치를 위하여 사용자 단말 대상의 환경을 분석(S2401)한다. 이때, 사용자 단말이 유선 혹은 무선 네트워크를 사용하는 네트워크 접속 단말(S2402)인지 이동전화망을 이용한 네트워크 접속(S2405)인지를 먼저 판별한다.
또한, 사용자 단말의 네트워크 접속 운영체제가 마이크로 소프트사의 윈도우 즈인지(S2403). 리눅스(Linux) 혹은 유닉스 계열의 운영 체제인지(S2404)를 판별한다. 그런 다음, 사용자 단말의 환경을 분석하여 사용자 단말에서 실행 가능한 배포에이전트를 전송하고 사용자 단말 환경의 세부적인 호환성을 전처리 작업으로 수행하게 되고 그 결과를 IP 인증 서버(1709)로 전송(S2406)하게 된다.
상기 IP 인증 서버(1709)는 사용자 단말로 배포 버전을 전송하고 사용자 단말 인증 에이전트를 설치(S2407)하고 사용자 단말의 인증 에이전트 설치 결과를 확인하고(S2408) 설치에 성공하였으면 사용자 인증 정보 등록을 수행(S2411)하게 된다.
만약, 설치에 문제가 생겨 실패하였다면 배포 에이전트는 오류 로그를 작성하고 설치 오류단계를 분석하고 설치단계에서 문제인지 등을 확인(S2409)하여 재전송이 필요하면 재전송을 요청하고 설치단계에서 문제가 발생하였다면 다시 재시도를 하는데 사전 배포단계에서 지정한 횟수만큼 설치 시도를 하게 되는데 이때 설치를 위하여 다양한 설치 옵션들을 두어 설치과정을 진행(S2410)하게 되고, 상기 단계에서 문제가 해결되지 못하면 설치는 종료되고 오류에 대한 내용을 IP 인증 에이전트(1708)로 전송하게 된다.
도 25는 본 발명의 실시 예에 따른 사용자 인증을 위한 사용자 정보를 등록하는 절차를 나타낸 흐름도이다. 상기 도 25를 참조하면, 사용자 인증을 위한 사용자 정보를 등록하는 절차도이다. 본 발명에서는 사용자의 정보를 등록하고 등록된 사용자의 정보를 단말의 시스템 인증 정보와 로그인 시의 SID(Security IDs)(마이크로소프트 윈도우즈의 경우일 경우)로 일대일 사상 관계를 생성하여 단말의 GUID(Globally Unique ID)를 사용할 수 있다. 한편, 리눅스나 휴대 전화에서는 단말의 일련 번호를 추출하는 방법 등으로 구현 가능하며, 또한 사용자 SID의 조합으로 사용자 정보를 검색하는 구조로 구성된다.
단말과 사용자 간의 사용이 유일한 휴대 전화 등의 경우는 단말 정보를 사용자 인식 정보로서 이용이 가능하다. 위의 방법으로 사용자 정보를 가상화하는 이유는 ID와 비밀번호의 공중망을 통한 전송은 보안채널을 생성하여 전송한다고 하더라도 안전하지만은 않기 때문에 단말과 지역 인증 결과를 전송하여 IP 인증 서버(1709)에서 단말과 사용자정보의 쌍으로 이루어진 인증 요청 정보를 해석하여 사용자를 검색하고 인증하는 방식을 사용한다.
먼저, 사용자 인증부(1902)를 호출하여(S2501) 현재 로그온되어 있는 계정의 권한을 확인(S250)하고, 관리자 계정의 권한이 아니면 로그오프하고 관리자 계정으로 로그인을 요청(S2503)한다. 그런 다음, 사용자 계정을 단말에 추가할 것인지를 확인(S2504)하게 된다.
다음으로, 사용자에게 시스템의 로그인 인증 방식을 기본 사용자 인증으로 이용할 것인지 확인(S2505)하게 되는데 본 발명에서는 시스템 로그온을 이용한 사용자 인증방식과 공인인증키를 이용한 사용자 인증 방식 그리고 HTTP 등의 표준 인터넷 프로토콜을 이용한 원격 로그인 방식의 인증 방식을 사용자 상황에 맞게 단일 내지는 복수로 선택할 수 있다.
만약, 사용자가 사용자 인증을 공인 인증키 방식을 선택할 경우 단계 S2507에서 공인 인증서 발급여부를 확인하고 사용자가 공인인증서 미발급 상태이면 단계 S2508에서 사용자 공인 인증서를 발급받게 되고 발급받은 공인인증서는 IP 인증 서버에 등록(S2509)하며, 공인인증서 접근을 위한 유일한 사용자 접근 코드를 발급 받게된다.
반면, 사용자가 인터넷 프로토콜을 이용한 원격 로그인 방식의 인증(S2510)을 선택한 경우, IP 인증 서버(1709)에 접속하여 인증을 위한 사용자 ID와 비밀번호를 발급받고 사용자 정보를 등록하게 된다. 사용자 등록을 하기 위하여 시스템 정보를 추출하고 단말과 사용자 관계를 생성하고 권한 코드를 생성(S2511)하게 된다. 상기 단계 S2511이 끝나게 되면 사용자 인증 및 인터넷 연결을 하게 되고 사용자별 규칙 및 프로파일을 생성(S2512)한다.
이때, 사용자의 인증 및 인터넷 서비스를 위한 프로파일 및 규칙정보는 언제든지 사용자 프로파일과 로그정보를 확인하거나 편집할 수 있다. 상기 사용자 프로파일은 단말의 관리자 권한을 가진 사용자가 전체를 편집 수정할 수 있으며 일반 사용자는 사용자의 인터넷 서비스 이용에 대한 SSO(Single Sign-On)등의 프로파일은 편집이 가능하지만 네트워크의 접속이나 인터넷 접속 허용과 불가에 해당하는 규칙들은 편집이나 수정이 불가하다.
사용자 인증 절차가 끝나고 시스템과 사용자의 인증이 끝나게 되면. IP 인증 서버(1709)에 사용자 프로파일을 등록(S2513)하게 되는데 성공하였으면 사용자 단말과 사용자 인증을 완료(S2515)하게 되고, 실패하게 되면 지정한 횟수만큼 시도를 하다가(S2514) 에러 로그를 생성하고 종료한다.
도 26은 본 발명의 실시 예에 따른 다른 시스템이나 단말을 이용하여 사용자 IP 인증을 받는 절차를 나타낸 흐름도이다. 상기 도 26을 참조하면 단말에 정상적으로 로그인하지 못하였거나 IP 인증 서버에 등록되어 있는 사용자가 다른 시스템이나 단말을 이용하여 사용자 IP 인증을 받는 경우에 대한 순서도이다. 사용자가 시스템의 로그인 계정 권한이 없거나 부정확하거나 인터넷 연결에 제한을 받을 경우 S2601 단계에서 네트워크 연결을 초기화하고 사용자 인증부(1902)를 호출하고 시스템 로그온을 호출하여 게스트로 로그인(S2602)한 후, 사용자 인증을 위한 방식을 선택하게 된다. 단계 S2603, S2604 및 S2605는 각각 원격 로그인과 공인 인증 그리고 휴대전화를 통한 사용자 인증을 각각 나타낸 절차이다.
한편, 상기 단계 S2603 및 S2604에서는 사용자 인증에 성공하였으면 메인으로 복귀하고 실패하였으면 사용자 로그인을 오프하고 실행을 종료한다. 단계 S2505에서 휴대전화를 통한 사용자 인증의 경우 사용자 인증부에서 휴대 전화 번호를 입력받고 사용자 인증을 위한 SMS 인증 코드를 생성(S2506)하여 휴대전화로 전송하는 단계(S2507)를 거쳐 사용자를 인증하게 된다. 이러한 경우, 사용자는 사용자의 단말에서는 서비스에 관한 사용자 규칙과 프로파일의 적용을 받으며 시스템 단말의 규칙이나 프로파일의 적용은 배제될 수 있다.
도 27 내지 도 29는 본 발명의 실시 예에 따른 IP 인증 서버에서 다양한 부가 서비스 및 지불, 결제 등을 처리하는 절차를 나타낸 흐름도이다. 상기 도 27을 참조하면, IP 인증 서버(1709)에서 사용자 단말로부터 전송되어온 인증 정보에서 인증을 위한 정보를 추출하는 단계와 인증하는 절차를 보여주는 도면이다. 단계 S2701은 사용자 단말로부터 전송되어온 인증 데이터에서 사용자 정보와 기타 필요 한 정보로 구분하여 추출하는 단계이다. 이를 통하여 단계 S2702에서는 IP 인증 서버(1709)에서 사용자 인증을 위한 방식을 결정하게 되고, 사용자 단말에서 시스템 로그온기반 인증 방식(S2704)인지 공인 인증서 기반 사용자 인증 방식(S2707)인지 휴대전화를 이용한 인증 방식인지(S2711)를 판단한다.
한편, 단계 2704에서는 사용자가 사용자 단말을 이용한 인증인지 별도의 단말을 이용한 사용자로서 원격 인증이 필요한 사용자인지에 대한 판단(S2704)을 하게된다. 단계 S2704에서는 사용자가 원격 로그온 인증 방식을 선택하였다면 사용자 인증을 위한 ID와 인증코드를 입력하고 정보를 확인(S2705)하게 된다. 반면, 사용자가 사용자 시스템 로그인 정보를 이용하여 인증 정보를 전송하였을 경우 IP 인증 서버(1709)는 사용자 정보를 조회하여 처리(S2706)하게 된다.
단계 S2707에서 공인 인증 방식으로 사용자 인증을 할 경우 사용자는 IP 인증 서버(1709)에 저장되어 있는 사용자 ID와 접근 코드를 입력하여 공인 인증서에 접근하고 공인 인증 서버로부터 인증을 받게 된다.
이하, 단계 S2711, S2712, S2713, S2714, S2715는 휴대 전화 번호를 입력받아 이동전화 가입자 실명확인을 거친 후 사용자 인증코드를 단문으로 전송하게 되고 사용자의 인증 코드와 IP 인증 서버가 발급한 인증코드가 같으면 사용자를 인증하여 전화번호로 사용자 검색을 하여 인증하는 방식을 택한다. 이때, 에러가 발생하면 종료한다. 또한, 인증이 완료되면 IP 인증 서버(1709)에 현재 사용자의 상태와 연결 IP 주소를 갱신하고 메인으로 복귀한다.
도 28 및 도 29는 본 발명의 실시 예에 따른 IP 인증 서버에서 다양한 부가 서비스 및 지불, 결제 등을 처리하는 절차를 나타낸 흐름도이다. 상기 도 28 및 29를 참조하면 IP 인증 서버(1709)에서 여러 가지 부가서비스와 지불, 결제 등을 처리하는 단계와 절차를 보여주는 도면이다. 단계 S2802, S2803, S2804, S2805, S2806은 IP 인증 에이전트(1708)로부터 부가서비스 요청을 받게 되면 사용자 서비스 프로파일을 검색하고 사용자 프로파일 데이터베이스에서 추가된 사항을 업데이트하게 되고 사용자 부가서비스를 위한 모듈 업데이트가 필요한지 확인하여 업데이트가 필요하면 업데이트를 수행하고 서비스를 기동하게 된다.
단계 S2808, S2809, S2810, S2811, S2812, S2813은 인터넷에 접속한 인증 사용자가 유료 서비스나 콘텐츠 혹은 기타 다른 서비스를 이용하는 단계에서 인터넷 서비스에서 사용자가 휴대 전화 결제를 선택하게 되면 인터넷 서비스 서버는 사용자 연결 접속 단말의 IP 주소를 확인하여 IP 인증 서버(1709)로 IP 주소를 사용하는 사용자에 대한 지불 요청을 하게 된다. 또한, 상기 IP 인증 서버(1709)는 해당 IP의 현 사용자 휴대 전화를 검색하여 휴대 전화로 지불 요청 코드를 전송하게 되고 휴대 전화의 지불 요청 코드를 확인하여 현재 접속되어 있는 사용자의 단말에 지불 확인 코드를 입력하고 이를 확인하여 이동 통신사에 지불 승인을 요청하고, 승인이 되면 해당 서비스 서버와 사용자에게 결과를 통보하게 된다.
도 29의 단계 S2901, S2902, S2903, S2904는 사용자 단말의 인터넷 서비스 사업자 과금에 통합되어 지불, 결제하는 방식에 대한 단계와 절차이다. 유료 서비스나 기타 지불 결제에 있어서 인터넷 서비스 사업자 과금, 통합, 지불, 결제 방식을 선택하였다면, IP 인증 서버(1709)에서 사용자 지불 결제 정보를 확인하고 인터 넷 서비스 사업자의 통합 과금 한도를 조회하여 요청한 지불 요청이 가능한지 확인하고 이를 위하여 사용자 확인을 요청한다. 만약 사용자 지불 요청 금액이 통합 과금 한도액 이내이면 지불을 승인하고 범위를 벗어나게 되면 오류 메시지를 사용자에게 출력(S2909)하게 된다.
반면, 공인 인증을 이용한 금융 계좌에서의 출금 및 지불 결제이면, 단계 S2905, S2906, S2907, S2908을 거쳐 처리하게 되는데 이를 위하여 먼저 은행이나 신용 카드 회사 등의 금융 회사 뱅킹 서버에 접속하여 사용자 계좌 정보 등을 조회하고 지불을 요청하게 된다.
상기 요청 후, IP 인증 서버(1709)에 저장된 공인 인증서를 이용하여 공인 인증 서버의 인증을 득하고, 금융회사의 지불 승인을 요청한 후, 사용자에게 결과를 통보하고 모든 단계 완료 후, 사용자 연결 모니터링 상태인 메인으로 복귀한다.
도 30은 본 발명의 실시 예에 따른 사용자 단말 인증 에이전트의 구성을 나타낸 도면이다. 상기 도 30을 참조하면은 사용자 단말인증 에이전트의 구성도이다. 사용자 로그온(3001)은 사용자의 시스템 단말의 로그온을 담당하고 마이크로소프트와 리눅스 및 유닉스 등 거의 대부분의 운영 체제는 로그온 기능을 제공한다.
사용자가 로그온하게 되면, 오브젝트 관리자(3002)에서는 사용자의 권한을 검사하고 입출력을 허용 내지는 제한하고 접근을 관리하며 오브젝트를 관리한다. 또한, 환경 설정 관리자(3003)는 사용자 인증 및 관리에 필요한 정보를 담당하게 된다.
사용자의 인증 권한에 따라 단말 인증 에이전트 논리 드라이버와 사용자 DB 에서의 규칙정보를 생성하여 드라이버의 접근 허용과 제한을 통하여 사용자의 다양한 서비스와 인터넷 접근 제한 등의 기능을 부여하고 이는 마이크로소프트를 예를 들면 TCP/IP 전송 드라이버(TCPIP.sys)(3008)와 NDIS 드라이버(NDIS.sys)의 사이에 단말 인증 에이전트 드라이버(3010)를 위치시켜 사용자의 네트워크 접근 및 허용에 있어서 다양한 동작과 처리가 가능하게 된다. 또한, 상기 단말 인증 에이전트 드라이브(3010)는 단말 인증 에이전트 논리 드라이버(3009)와 IP 인증 사용자 DB(3011)의 규칙 및 프로파일을 참조하여 여러 가지 사용자가 원하는 서비스를 제공하게 된다.
한편, 본 발명의 실시 예에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 특허 청구의 범위뿐만 아니라 이 특허 청구의 범위와 균등한 것들에 의해 정해져야 한다.
본 발명에 따르면, 다음과 같은 장점이 있다.
1. 보안성 : 가입자 및 사용자의 인증 정보가 초기 IP 인증을 위하여 설정하는 경우를 제외하고 가입 정보가 전송되지 않으며, 암호화된 가입자 사용자의 식별정보와 단말 정보만으로 인증을 하고, 로컬 시스템 사용자 단말의 인증 기능을 이용하므로 보다 안전한 인증 처리 절차의 수행이 가능해진다.
2. 편리성 : IP 인증 여부만 확인하여 IP 인증 서버와 서비스 서버 간의 인증 절차만 거치게 되므로 사용자에게 복잡한 회원 가입이나 로그온 절차에 대한 요구가 없어지므로 편리하게 인증을 수행할 수 있다.
3. 통합성 : 표준 IPv4, IPv6 네트워크 기반의 연동 및 통합성을 바탕으로 운영되므로 어떤 기존 시스템과도 통합이 가능하다는 장점이 있다.
4. 확장성 : 인터넷 서비스 사업자, 이동 전화 사업자 및 금융 결제원 간의 IP 주소 인증 기반 사용자 인증과 보안성 채널을 확보함으로 사업자 간의 서비스 및 시스템의 확장을 위한 표준화를 통한 확장성을 보장받을 수 있다.
상술한 바와 같이 단말의 종류에 독립적인 IP 주소 기반 사용자 인증을 통하여 사용자 인증 정보를 지불, 결제 및 인터넷 뱅킹에 사용함으로써 보다 안전하고 신뢰성 있는 시스템의 구축이 가능하며 IPv4, IPv6 및 Mobile IP 상에서의 유연한 대처가 가능하다. 또한, 본 발명에 따른 IP 인증을 통하여 불법적인 해킹과 스팸에 대한 모니터링을 통하여 근본적인 대처가 가능하다는 장점이 있다.

Claims (16)

  1. IP 주소 기반 사용자 인증 시스템에 있어서,
    네트워크에 접속할 때 상기 네트워크상에서 고유한 IP 주소를 부여받고, 상기 부여된 고유한 IP 주소에 의해 상기 네트워크상에서의 사용자 인증을 수행하는 사용자 단말;
    상기 사용자 단말의 IP 주소를 상기 사용자 단말로부터 제공받은 사용자 정보와 매핑하여 저장하고, 상기 기저장된 매핑 정보에 의해 상기 IP 주소에 대한 사용자 인증을 수행하는 인증 기관 서버; 및
    상기 사용자 단말의 네트워크를 통한 접속 시, 상기 사용자 단말의 IP 주소를 확인하고, 상기 인증 기관 서버를 통해 상기 확인된 사용자 단말의 IP 주소에 대한 사용자 인증을 수행하는 서비스 사업자 서버를 포함하는 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  2. 제1항에 있어서, 상기 사용자 정보는,
    사용자가 설정한 아이디 및 패스워드 정보인 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  3. 제1항에 있어서, 상기 사용자 정보는,
    윈도우 로그온 정보에 의해 구성되는 SID 정보인 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  4. 제3항에 있어서, 상기 사용자 정보는,
    윈도우 시스템에 고유하게 설정되는 GUID 정보를 더 포함하는 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  5. 제1항에 있어서, 상기 사용자 정보는,
    상기 인증 기관 서버로부터 전송된 랜덤 암호화 코드에 의해 암호화되어, 상기 인증 기관 서버로 전송되는 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  6. IP 주소 기반 사용자 인증 방법에 있어서,
    사용자 단말에서 네트워크에 접속할 때 상기 네트워크상에서 고유한 IP 주소를 부여받는 단계;
    상기 사용자 단말의 사용자 정보를 암호화하여 인증 기관 서버로 전송하는 단계;
    상기 인증 기관 서버에서 상기 사용자 단말로부터 전송된 사용자 정보를 상기 사용자 단말의 IP 주소와 매핑하여 저장하는 단계;
    상기 사용자 단말에서 서비스 사업자 서버로 상기 네트워크를 통해 접속할 때, 상기 서비스 사업자 서버에서 상기 사용자 단말의 IP 주소를 확인하고, 상기 인증 기관 서버로 상기 사용자 단말에 대한 인증을 요청하는 단계; 및
    상기 인증 기관 서버에서 상기 서비스 사업자 서버의 요청에 따라 기저장된 상기 매핑 정보를 통해 상기 사용자 단말에 대한 인증을 수행하는 단계를 포함하는 것을 특징으로 하는 IP 주소 기반 사용자 인증 방법.
  7. 제6항에 있어서, 상기 사용자 정보는,
    사용자가 설정한 아이디 및 패스워드 정보인 것을 특징으로 하는 IP 주소 기반 사용자 인증 방법.
  8. 제6항에 있어서, 상기 사용자 정보는,
    윈도우 로그온 정보에 의해 구성되는 SID 정보인 것을 특징으로 하는 IP 주소 기반 사용자 인증 방법.
  9. 제8항에 있어서, 상기 사용자 정보는,
    윈도우 시스템에 고유하게 설정되는 GUID 정보를 더 포함하는 것을 특징으로 하는 IP 주소 기반 사용자 인증 방법.
  10. 제6항에 있어서, 상기 사용자 정보는,
    상기 인증 기관 서버로부터 전송된 랜덤 암호화 코드에 의해 암호화되어, 상기 인증 기관 서버로 전송되는 것을 특징으로 하는 IP 주소 기반 사용자 인증 방법.
  11. IP 주소 기반 사용자 인증 시스템에 있어서,
    네트워크에 접속할 때 상기 네트워크상에서 고유한 IP 주소를 부여받고, 상기 부여된 고유한 IP 주소에 의해 상기 네트워크상에서의 사용자 인증을 수행하는 사용자 단말;
    백본망에서의 패킷을 검사하여 상기 각 사용자 단말의 인증용 단말 컴포넌트의 설치 유무를 판별하고 설치되지 않은 사용자 단말일 경우 컴포넌트 설치를 유도하는 IP 인증 에이전트;
    상기 사용자 단말의 IP 주소를 상기 사용자 단말로부터 제공받은 사용자 정보와 매핑하여 저장하고, 상기 기저장된 매핑 정보에 의해 상기 IP 주소에 대한 사용자 인증을 수행하는 IP 인증 서버; 및
    상기 사용자 단말의 네트워크를 통한 접속 시, 상기 사용자 단말의 IP 주소를 확인하고, 상기 인증 기관 서버를 통해 상기 확인된 사용자 단말의 IP 주소에 대한 사용자 인증을 수행하는 인터넷 서비스 서버를 포함하는 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  12. 제11항에 있어서, 상기 시스템은,
    가입자 네트워크 백본이나 코어망에 인증용 에이전트가 설치되지 않았을 경우, 상기 각 인터넷 서비스 서버의 전단계에서 사용자의 패킷을 분석하여 처리하 인증 에이전트를 더 포함하는 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  13. 제11항에 있어서, 상기 사용자 정보는,
    사용자가 설정한 아이디 및 패스워드 정보인 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  14. 제11항에 있어서, 상기 사용자 정보는,
    윈도우 로그온 정보에 의해 구성되는 SID 정보인 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  15. 제14항에 있어서, 상기 사용자 정보는,
    윈도우 시스템에 고유하게 설정되는 GUID 정보를 더 포함하는 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
  16. 제11항에 있어서, 상기 사용자 정보는,
    상기 인증 기관 서버로부터 전송된 랜덤 암호화 코드에 의해 암호화되어, 상기 인증 기관 서버로 전송되는 것을 특징으로 하는 IP 주소 기반 사용자 인증 시스템.
KR1020060123195A 2006-12-06 2006-12-06 아이피 주소 기반 사용자 인증 시스템 및 방법 KR20080051673A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060123195A KR20080051673A (ko) 2006-12-06 2006-12-06 아이피 주소 기반 사용자 인증 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060123195A KR20080051673A (ko) 2006-12-06 2006-12-06 아이피 주소 기반 사용자 인증 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20080051673A true KR20080051673A (ko) 2008-06-11

Family

ID=39806632

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060123195A KR20080051673A (ko) 2006-12-06 2006-12-06 아이피 주소 기반 사용자 인증 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20080051673A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741924B (zh) * 2009-12-09 2012-07-25 赛尔网络有限公司 支持IPv4环境下可扩展IPv6接入的业务控制方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741924B (zh) * 2009-12-09 2012-07-25 赛尔网络有限公司 支持IPv4环境下可扩展IPv6接入的业务控制方法

Similar Documents

Publication Publication Date Title
CN112039909B (zh) 基于统一网关的认证鉴权方法、装置、设备及存储介质
US10819697B1 (en) Authenticated name resolution
US11063928B2 (en) System and method for transferring device identifying information
JP4742903B2 (ja) 分散認証システム及び分散認証方法
CN101647254B (zh) 用于为终端设备提供服务的方法和系统
US7010600B1 (en) Method and apparatus for managing network resources for externally authenticated users
JP4071966B2 (ja) 無線ネットワーククライアントに対し認証されたアクセスを提供する有線ネットワークとその方法
US7185360B1 (en) System for distributed network authentication and access control
US8990356B2 (en) Adaptive name resolution
US6691232B1 (en) Security architecture with environment sensitive credential sufficiency evaluation
JP2013509065A (ja) 無線ネットワークへのアクセス権を管理するための装置及び方法
JP2004536359A (ja) ウェブ・サーバに対してユーザを認証するシステムおよび方法
EP1205058A2 (en) Access management system and method
KR20040049272A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
WO2001057626A2 (en) Internet server for client authentification
CN111885604B (zh) 一种基于天地一体化网络的认证鉴权方法、装置及系统
JP4607602B2 (ja) アクセス提供方法
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
CN116668190A (zh) 一种基于浏览器指纹的跨域单点登录方法及系统
KR100651713B1 (ko) 인증정책에 기반한 선택적 인증 시스템 이에 적합한사용자 인증 방법
KR20080051673A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
JP2002342271A (ja) ウェブアクセスにおける重複ログイン監視方法およびシステム
US10560478B1 (en) Using log event messages to identify a user and enforce policies
KR20020003633A (ko) 가입자 아이디 확장 방법 및 이를 이용한 아이디 인증 방법
JP2021165977A (ja) サーバ装置およびネットワークシステム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application