KR20090019443A - Ip 주소를 이용한 사용자 인증 시스템 및 그 방법 - Google Patents

Ip 주소를 이용한 사용자 인증 시스템 및 그 방법 Download PDF

Info

Publication number
KR20090019443A
KR20090019443A KR20070083881A KR20070083881A KR20090019443A KR 20090019443 A KR20090019443 A KR 20090019443A KR 20070083881 A KR20070083881 A KR 20070083881A KR 20070083881 A KR20070083881 A KR 20070083881A KR 20090019443 A KR20090019443 A KR 20090019443A
Authority
KR
South Korea
Prior art keywords
address
valid
list
user
addresses
Prior art date
Application number
KR20070083881A
Other languages
English (en)
Other versions
KR100944724B1 (ko
Inventor
최인혁
정영식
송민철
백종원
이하늘
손정윤
이형준
이성호
전상훈
Original Assignee
엔에이치엔(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엔에이치엔(주) filed Critical 엔에이치엔(주)
Priority to KR20070083881A priority Critical patent/KR100944724B1/ko
Priority to JP2008208467A priority patent/JP4891299B2/ja
Priority to CN2008101462888A priority patent/CN101374047B/zh
Priority to US12/195,010 priority patent/US8474030B2/en
Publication of KR20090019443A publication Critical patent/KR20090019443A/ko
Application granted granted Critical
Publication of KR100944724B1 publication Critical patent/KR100944724B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 IP 주소 체크를 이용한 사용자 인증 시스템 및 그 방법에 관한 것이다.
본 발명은 사용자의 액세스 로그 기록으로부터 유효 IP 주소 리스트를 구축하고, 상기 유효 IP 주소 리스트를 세션 쿠키에 포함시켜, 동적으로 IP 주소가 바뀌는 환경에서도 원활한 웹 서비스 제공과 사용자 인증을 수행한다. 또한, 본 발명은 IP 주소가 변경된 경우 중요 URL 이용에 있어서, 재 로그인을 요청하고, 상기 재 로그인 결과에 따라 유효 IP 주소 리스트를 갱신하여 적응적으로 사용자 인증을 수행하게 된다. 또한, 상기 유효 IP 주소 리스트의 이용 및 보안 레벨의 선택을 제공함으로써 높은 사용자 편의를 제공한다.
로그인, 사용자 인증, 세션 쿠키, IP 주소

Description

IP 주소를 이용한 사용자 인증 시스템 및 그 방법{user authentication system using IP address and method thereof}
본 발명은 IP 주소 체크를 통한 사용자 인증 시스템 및 그 방법에 관한 것이다. 더욱 구체적으로, 본 발명은 로그인 및 URL 요청에 있어 IP 주소 체크를 이용하여 불법 사용자의 계정 도용 방지와 더불어 선택적인 보안 레벨을 제공하는 시스템 및 그 방법에 관한 것이다.
현재 온라인 상에서는 다양한 웹 서비스가 사용자들을 위해 제공되고 있다. 상기 웹 서비스는 로그인 이라는 사용자 인증 단계를 통해, 회원을 식별 및 인증하고, 상기 회원의 권한에 적합한 다양한 웹 서비스의 접근 및 이용과 컨텐츠의 생성을 제공한다.
이러한 사용자 인증을 통한 다양한 웹 서비스는 뉴스 포털 서비스, 이메일 서비스, 커뮤니티 서비스, 블로그 서비스 등에서 이용되고 있으며, 개인 사용자는 다양한 웹 서비스를 온라인을 통해 이용하고 있다.
웹 서비스 제공업체 역시 많은 수의 사용자를 회원으로 확보하고, 상기 회원의 권한에 적합한 다양한 웹 서비스를 제공하고 있다. 그러나, 원활한 웹 서비스 를 제공하기 위해서는 상기 회원의 권한을 원활하게 제공하여야 하는 반면, 상기 회원들에 대한 프라이버시와 보안 역시 유지되어야 한다.
즉, 웹 서비스를 제공함에 있어 사용자 인증이 성공한 경우에는 특정 세션 동안은 회원에 대한 권한을 이용하는데 불편함이 없어야 하지만, 상기 사용자 인증이 요구되는 웹 서비스에 대한 접근에 있어 보안이 유지되어야 한다.
도 1은 종래의 사용자 인증 시스템의 개요를 도시한 도면이다.
종래의 사용자 인증 시스템은 클라이언트(10), 로그인 서버(20), 서비스 웹 서버(30)을 포함한다. 종래의 사용자 인증 시스템은 세션 쿠키를 이용하여 사용자의 세션을 유지하며, 웹 서비스를 제공한다.
우선 클라이언트(10)는 웹 브라우저의 로그인 페이지를 이용하여 ID 및 비밀 번호를 입력하여, 로그인 서버(20)으로 전송한다(S1).
로그인 서버(20)는 사용자 인증을 수행하는 서버로서, 상기 ID 및 비밀 번호가 사용자 정보 데이터베이스(도시 생략)에 미리 등록된 ID 및 비밀 번호와 일치하는 경우에는 로그인을 허용하며, 세션 유지를 위한 세션 쿠키(session cookie)를 클라이언트(10)으로 전송한다(S2)
상기 쿠키(cookie)는 서버가 클라이언트의 웹 브라우저에 보내어 저장했다가, 서버의 추가적인 요청이 있는 경우에 다시 서버로 보내주는 문자열 정보로서, 어떤 사용자가 특정 웹 사이트에 접속하여 어떤 정보를 보았는지 등의 정보를 기록할 수 있다.
상기 세션 쿠키는 통상적으로 사용자 ID, E-mail, 이름, 생년 월일, 성별, 실명 여부 등의 다양한 개인 정보를 포함하고 있다.
클라이언트(10)가 로그인 후에 서비스 웹 서버(30)의 특정 URL을 이용하고자 하는 경우에는 해당 URL과 상기 세션 쿠키를 전송한다(S3).
서비스 웹 서버(30)는 상기 URL 요청에 응답하여, 상기 세션 쿠키가 아직 유효한 상태인지 확인한 후(예를 들어, 타임 아웃을 체크), 아직 유효한 상태인 경우에는 상기 URL에 대응하는 웹 데이터를 제공하고, 만약 타임 아웃된 경우에는 접근 거부 또는 타임 아웃 상태를 통보한다(S4, S5).
전술한 바와 같이, 종래 기술은 사용자 인증이 유효한 상태인지를 체크하는데 있어, 세션 쿠키를 이용한다. 그러나, 상기 세션 쿠키는 해커 등의 불법 사용자에 의해 탈취될 가능성이 있다.
예를 들어, 해커는 악성 프로그램을 이용하여 클라이언트 PC에 저장된 쿠키를 탈취할 수 있으며, 클라이언트 PC로부터 전송되는 패킷을 가로채어 상기 쿠키를 탈취할 수 있다. 전술한 바와 같이 패킷을 가로채는 행위를 스니핑(sniffing)이라고 부른다.
통상적으로 쿠키의 문자열은 암호화되어 있으므로, 쿠키를 탈취한다 하여도 ID 및 비밀번호를 알아내는 것은 용이하지는 않지만, 일단 탈취된 세션 쿠키는 불법 사용자가 특정 웹 서비스를 이용 및 접근하는데 이용될 수 있다.
따라서, 종래의 사용자 인증 시스템은 이러한 쿠키의 탈취에 대해 보안상의 문제점이 존재한다.
한편, 이러한 문제점을 해결하기 위하여, 일부 웹 서비스에서는 정해진 IP 주소에서만 전송된 세션 쿠키만을 사용자 인증에 이용하는 경우도 있다.
그러나, 실제로 하나의 웹 서비스를 이용하는 사용자 중에서 IP 주소가 바뀌는 비율은 5% 이상이다. 이렇듯 IP 주소가 바뀌는 예시로서, 집, 회사, PC 방 등 사용자가 이용하는 클라이언트의 위치가 변경되는 경우, 동적 IP 할당을 이용하는 무선랜을 사용하는 경우, 회사내의 사설망의 NAT(Network Address Translation) 장비를 이용하는 경우가 될 수 있다.
따라서, 유비쿼터스 환경과 네트워크의 휴대성이 발전할수록, 단지 지정된 IP 주소를 이용한 사용자 인증은 오히려 사용자가 원활한 웹 서비스를 이용하는데 장애가 되는 문제점이 있다.
따라서, 전술한 문제점을 해결하기 위하여, 사용자 인증에 있어서의 보안과 더불어 원활한 웹 서비스를 제공하는 진보된 사용자 인증 시스템 및 방법이 절실히 요구된다.
본 발명의 일부 실시예들은 세션 쿠키가 탈취된 경우에도 웹 서비스의 보안을 유지할 수 있는 사용자 인증 시스템 및 그 방법을 제공한다.
또한, 본 발명의 일부 실시예들은 보안 레벨 별로 IP 주소 체크를 선택하여, 사용자 인증을 제공하는 시스템 및 그 방법을 제공한다.
또한, 본 발명은 동적인 IP 주소 환경에 있는 사용자에 대해서도 원활한 웹 서비스를 제공하는 사용자 인증 시스템 및 그 방법을 제공한다.
상술한 기술적 과제를 해결하기 위한 수단으로서, 본 발명의 일 측면에 따른 사용자 인증 시스템은, 사용자의 ID 및 비밀 번호를 이용하여 로그인을 수행하는 로그인 서버; 로그인한 클라이언트의 IP 주소를 포함하는 액세스 로그 기록을 저장하는 로그 DB; 상기 로그 DB에 기록된 IP 주소들로부터 동일 사용자의 IP 주소의 그룹인 제 1 유효 IP 주소 리스트를 추출하는 공용 패턴 생성부; 상기 공용 패턴 생성부로부터 추출된 제 1 유효 IP 주소 리스트를 저장하는 공용 패턴 DB; 및 상기 제 1 유효 IP 주소 리스트를 포함한 세션 쿠키를 생성하여, 상기 제 1 유효 IP 주소 리스트에 포함된 IP 주소를 가진 클라이언트로부터의 URL 요청에 대해서 해당 URL을 제공하도록 허용하는 IP 주소 체크 인증 모듈을 포함한다.
여기서, 상기 IP 주소 체크 인증 모듈은, 클라이언트의 IP 주소가 변경된 경 우, 상기 변경된 IP 주소를 임시 IP 주소로서 상기 세션 쿠키에 추가하고, 재 로그인을 요청하여 상기 재 로그인에 성공한 경우 상기 임시 IP 주소를 제 2 유효 IP 주소 리스트에 추가한다.
또한, 본 발명의 다른 측면에 따른 사용자 인증 방법은, a) 액세스 로그 기록으로부터 추출된 동일 사용자의 IP 주소 그룹인 유효 IP 주소 리스트를 사용자 인증에 이용할 것인지에 관한 선택을 제공하는 단계; b) 상기 유효 IP 주소 리스트를 이용하는 경우, 사용자 ID와 상기 유효 IP 주소 리스트를 포함하는 세션 쿠키를 생성하는 단계; 및 c) 상기 생성된 세션 쿠키를 이용하여 상기 유효 IP 주소 리스트 내의 IP 주소로부터의 URL 요청을 허용하는 단계를 포함한다.
여기서, 상기 사용자 인증 방법은, b-1) 상기 유효 IP 주소 리스트의 IP 주소의 상위 세 개의 옥텟값을 지정한 제1 클래스와 네 개의 옥텟값을 지정한 제2 클래스 중 하나의 이용의 선택을 제공하는 단계; 및 b-2) 상기 세션 쿠키에 상기 제1 클래스 및 제2 클래스의 이용을 식별하는 데이터를 추가하는 단계를 더 포함할 수 있다.
또한, 본 발명의 또 다른 측면에 따른 사용자 인증 방법은, 클라이언트로부터 URL 요청 및 세션 쿠키를 수신하는 단계; 상기 세션 쿠키에 기초하여 상기 클라이언트의 IP 주소가 변경되었는지 판단하는 단계; 상기 IP 주소가 변경된 경우에는 상기 변경된 IP 주소를 임시 IP 주소로 하여 세션 쿠키를 재설정하는 단계; 상기 요청된 URL이 상기 임시 IP 주소에 대해 제공이 제한되는 IP 주소 체크 필요 URL인지 판단하는 단계; 상기 임시 IP 주소로부터 요청된 URL이 상기 IP 주소 체크 필요 URL인 경우에, 상기 클라이언트에게 재 로그인을 요청하는 단계; 및 상기 재 로그인이 성공한 경우 상기 임시 IP 주소를 동일 사용자가 이용 가능한 유효 IP 주소 리스트에 추가하는 단계를 포함한다.
또한, 본 발명의 또 다른 측면에 따른 데이터 구조가 기록된 기록 매체에서 상기 데이터 구조는 액세스 로그 기록의 IP 주소들로부터 추출된 동일 사용자로 판단되는 IP 주소 그룹의 상위 3개의 옥텟값이 기록된 제1클래스의 제1 유효 IP 주소 리스트; 액세스 로그 기록의 IP 주소들로부터 추출된 동일 사용자로 판단되는 IP 주소 그룹의 4개의 옥텟값이 기록된 제2 클래스의 제1 유효 IP 주소 리스트; 특정 사용자 ID 마다 재 로그인에 성공한 IP 주소 그룹의 상위 3개의 옥텟값이 기록된 제1 클래스의 제2 유효 IP 주소 리스트 및 특정 사용자 ID 마다 재 로그인에 성공한 IP 주소 그룹의 4개의 옥텟값이 기록된 제2 클래스의 제2 유효 IP 주소 리스트를 포함한다.
전술한 본 발명의 과제 해결 수단 중 하나에 의하면, 세션 쿠키가 탈취된 경우에도 상기 유효 IP 주소 리스트를 이용하여 인증된 사용자 만이 웹 서비스를 제공받을 수 있다.
또한, 상기 유효 IP 주소 리스트는 IP 주소가 동적으로 변경되는 환경에서도 사용자의 활동과 접속 이력에 따라 적응적으로 갱신되어, 사용자에게 번거로움을 제거하고 원활한 웹 서비스를 제공한다.
또한, 보안 레벨 별로 IP 체크 옵션 선택을 제공하여 사용자가 원하는 보안 레벨 환경에서 웹 서비스의 이용을 제공한다.
또한, 미리 정해진 특정 URL에 대해 IP 주소 체크를 수행함으로써, 웹 서비스 서버의 과부하를 방지하고 번거로움 없는 원활한 웹 서비스 제공이 가능하다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 2는 본 발명의 일 실시예에 따른 사용자 인증 시스템의 구성을 도시한 블록도이다.
사용자 인증 시스템(100)은 로그인 서버(110), IP 주소 체크 모듈(120), 공용 패턴 생성부(130), 로그 DB(140), 공용 패턴 DB(150), 개인 패턴 DB(160)을 포 함한다.
로그인 서버(110)는, 클라이언트로부터 ID 및 패스워드를 수신하여 사용자 로그인을 수행한다. 상기 로그인이 성공적으로 수행된 경우에는 세션 쿠키를 발행하여, 향후 로그인을 성공한 사용자의 권한을 가지고 이용할 수 있는 웹 서비스를 제공할 수 있게 지원한다. 한편, 본 발명의 실시예에서는 상기 세션 쿠키는 IP 주소를 포함하고 있다. 상기 IP 주소는 속성에 따라, 유효 IP 주소와 임시 IP 주소로 구분된다. 상기 유효 IP 주소와 임시 IP 주소의 구체적인 처리는 후술한다.
IP 주소 체크 모듈(120)은 웹 서비스를 위한 URL 요청과 함께 전송된 세션 쿠키에 대한 IP 주소의 체크를 수행하고, 세션 쿠키를 재설정한다. IP 주소 체크 모듈(120)은 최초 로그인한 사용자의 IP 주소와 전송된 세션 쿠키를 전송한 클라이언트의 IP 주소가 변경된 경우에 변경된 IP 주소를 임시 IP 주소로 설정하여 세션 쿠키를 재설정한다. 또한, 상기 변경된 IP 주소가 이미 패턴화된 유효 IP 주소에 해당하는지를 확인한다. 상기 IP 주소의 체크는 미리 정해진 URL 중 어느 하나를 요청하는 경우에 수행될 수 있다. 또한, IP 주소 체크 모듈(120)은 사용자가 선택 또는 설정한 보안 레벨에 기초하여 상기 IP 주소 변경 체크를 수행할 수도 있다.
로그 DB(140)는 액세스 또는 로그인-로그아웃에 의해 생성된 액세스 로그 기록을 저장한다. 상기 액세스 로그 기록은 특정 사용자의 ID에 대응하는 클라이언트의 IP 주소가 매칭되어 저장된다.
공용 패턴 생성부(130)는 로그 DB(140)에 기록된 IP 주소들을 기초로 하여, 동일 사용자의 IP 주소 패턴을 생성한다. 실제적으로, NAT 장비를 이용하는 사설 망에서는 동적으로 IP 주소가 변화되므로, 특정 IP 주소의 쌍 또는 그룹 내에서의 IP 변경은 정당한 로그인으로 추정될 수 있다.
상기 동일 사용자의 IP 주소 패턴은 유효 IP 주소 리스트로서 공용 패턴 DB(150)에 저장된다. 상기 유효 IP 주소 리스트 내에서 발생한 사용자에 대해 IP 주소 변경은 유효한 것으로 취급하여 별도의 처리(예를 들어, 재 로그인 요청)를 생략할 수 있도록 설정될 수 있다.
개인 패턴 DB(160)는 사용자 행위에 기초하여 유효 IP 주소가 된 유효 IP 주소 리스트를 저장한다. 예를 들어, IP 주소 체크 모듈(120)이 클라이언트에게 재 로그인을 요청하였을 때, 재 로그인이 성공한 경우에는 임시 IP 주소(로그인 이후 변경된 IP 주소)가 유효 IP 주소 리스트로 전환되어 개인 패턴 DB에 저장된다.
바꾸어 말하면, 공용 패턴 DB(150)는 전체 사용자를 대상으로 수집된 액세스 로그 기록을 기초로 하여 생성된 유효 IP 주소 리스트를 저장하며, 개인 패턴 DB(160)는 개별 사용자의 특정한 행위에 의해 생성된 유효 IP 주소 리스트를 저장한다.
공용 패턴 DB(150) 및 개인 패턴 DB(160)는 물리적으로 통합된 장치에 구현되어도 무관하며, 상기 유효 IP 주소 리스트는 설정에 따라 IP 주소 중 상위 3개의 옥텟값만을 지정한 제1클래스(예를 들어, 211.203.5)와 IP 주소의 4개의 옥텟값을 모두 이용하는 제2클래스(예를 들어, 192.211.2.33)를 선택적으로 사용할 수 있다.
이하, 본 발명의 사용자 인증 시스템의 각각의 구성요소의 동작에 대해서 더욱 구체적으로 설명한다.
도 3은 본 발명의 일 실시예에 따른 사용자 인증 시스템에서 유효 IP 주소 리스트를 생성하는 동작을 도시한 도면이다.
동일 사용자 ID에 의해 클라이언트(11) 및 클라이언트(12)에 의해 로그인이 수행되고 각각의 액세스 로그 기록은 로그 DB(140)에 저장된다. 전술한 바와 같이 상기 액세스 로그 기록은 로그인 시에 IP 주소를 포함하고 있다. 여기서, 클라이언트(11) 및 클라이언트(12)는 상이한 IP 주소를 가진 클라이언트들이다.
공용 패턴 생성부(130)는 로그 DB(140)에 기록된 액세스 로그 기록을 기초로 하여 유효 IP 주소 리스트를 생성시킬 수 있는 IP 그룹을 추출한다. 예를 들어, 동일 사용자의 로그인에 사용된 클라이언트의 IP 주소 또는 동일 NAT 장비에 의해 사용되는 IP 주소의 조합이 해당될 수 있다.
상기 유효 IP 주소 리스트는 공용 패턴 DB(150)에 저장되고 추후에 IP 주소 체크를 사용하는 경우에, 상기 리스트 내에서의 IP 주소 변경은 유효한 변경으로 취급할 수 있다.
전술한 구성을 통해, NAT 장비를 사용함에 의해 수시로 IP 주소가 바뀔 수 있는 환경에서도, IP 주소의 변경을 패턴화하여 별도의 처리 절차 없이 사용자 인증에 보안성을 확보할 수 있다.
전술한 로그 분석은 일정한 빈도로 IP 그룹을 추출할 수 있으며, 일정한 주기(예를 들어, 6개월)단위로 갱신하여 공용 패턴 DB(150)를 구축 및 갱신할 수 있다.
도 4는 본 발명의 일 실시예에 따른 사용자 인증 시스템에서 임시 IP 주소를 처리하는 동작을 도시한 도면이다.
예를 들어, 클라이언트(11)가 로그인을 수행하여 세션을 유지한 상태에서, 클라이언트(12)를 통해 URL 호출이 발생할 수 있다. 여기서, 클라이언트(11) 및 클라이언트(12)는 상이한 IP 주소를 가진 클라이언트들이다.
IP 주소 체크 모듈(120)은 클라이언트(12)의 URL 호출시 함께 전송된 세션 쿠키에 포함된 IP 주소와 클라이언트(12)의 IP 주소가 상이한 경우 또는 개인 패턴 DB(160)에 저장된 유효 IP 주소 리스트에 클라이언트(12)의 IP 주소가 없는 경우에는 클라이언트(12)의 IP 주소를 임시 IP 주소로 설정하여 세션 쿠키에 추가한다. 도 4에서는 유효 IP 주소 리스트의 체크를 개인 패턴 DB(160)를 참조하여 수행하는 것으로 도시되어 있으나, 공용 패턴 DB(150)의 유효 IP 주소 리스트를 참조하여 수행하는 것 역시 가능하다.
IP 주소 체크 모듈(120)은 호출이 요청된 URL의 속성에 따라 두 가지 동작을 수행할 수 있다. 만약, 호출이 요청된 URL이 IP 주소의 체크가 필요 없는 경우에는 통상의 웹 서비스를 제공하기 위하여 URL의 접근 및 이용을 허용한다. 여기서, 상기 임시 IP 주소가 추가되어 재설정된 세션 쿠키도 함께 클라이언트(12)에 전송된다.
그러나, 요청된 URL이 IP 주소의 체크가 필요한 경우에는 IP 주소 체크 결과를 로그인 서버(110)에 전송한다. IP 주소의 체크가 필요한 URL은, 예를 들어, 메일, 쪽지, 블로그 비밀 글 등의 열람 또는 주요 게시물의 작성 서비스를 위한 URL이다.
만약 IP 주소의 체크가 필요한 경우에는, 로그인 서버(110)은 별도의 로그인 팝업 창을 띄워 클라이언트(12)에 재 로그인을 요청한다. 클라이언트(12)가 재 로그인을 성공적으로 수행한 경우에는 로그인 서버(110)는 상기 임시 IP 주소를 개인 패턴 DB(160)의 유효 IP 주소 리스트에 저장한다.
이후, 클라이언트(12)의 IP 주소는 유효 IP 주소 리스트에 포함되므로, IP 주소 체크 모듈(120)는 클라이언트(12)로 웹 서비스를 제공하는 것을 허용한다.
도시는 생략되었지만, 클라이언트(12)가 재 로그인에 실패한 경우에는 요청한 URL의 접근 및 이용은 거부된다.
도 3 및 도 4에 도시된 구성을 통하여, 본 발명의 일 실시예에 따른 사용자 인증 시스템은, 탈취된 세션 쿠키를 사용하는 불법 사용자의 웹 서비스 이용을 차단하면서도, IP 주소가 변경되는 환경에서도 정당한 사용자에 대한 웹 서비스 이용을 적응적으로 제공할 수 있게 된다.
도 5는 본 발명의 일 실시예에서의 개인 패턴 DB와 공용 패턴 DB의 데이터 구조를 도시한 도면이다.
개인 패턴 DB(160)는 IP 주소 체크를 위한 로그인이 성공한 경우에 임시 IP 주소가 유효 IP 주소로서 저장한다. 저장된 데이터의 구조는 사용자 ID(f11), 제1 클래스 IP 주소(f12), 최근 리프레쉬 시간(f13)를 포함한다. 또한, 상기 데이터 구조는 사용자 ID(f21), 제2 클래스 IP 주소(f22), 최근 리프레쉬 시간(f23)을 포함한다.
IP 주소에 해당하는 데이터 f12 및 f22는 복수개의 IP 주소가 기록될 수 있 다. 제1 클래스의 IP 주소(f12)는, IP 주소의 4개의 옥텟 중 상위 3개의 옥텟값만을 지정한다. 즉, IP 주소에 대해 상위 3개의 옥텟값만을 체크하고, 상위 3개의 옥텟값이 같은 경우에는 유효 IP 주소로서 취급한다. 한편, 제2 클래스의 IP 주소의 4개의 옥텟값을 모두 체크하고, 4개의 옥텟값이 유효 IP 주소와 동일하여야만 IP 주소 체크를 수행하지 않는다. 따라서, 제2 클래스의 IP 주소를 체크하기 위한 데이터 구조가 제1 클래스의 IP 주소를 체크하기 위한 데이터 구조보다 보안 레벨이 높은 것을 확인할 수 있다.
최근 리프레쉬 시간(f23)은 가장 최근에 유효 IP 주소 리스트가 리프레쉬된 시간을 기록하고, 상기 리프레쉬 시간에 기초하여 임시 IP 주소가 유효 IP 주소로 전환되는 것에 제한을 줄 수 있다.
공용 패턴 DB(150)는 웹 서버에 액세스한 로그 기록을 바탕으로 하여 IP 주소 쌍 또는 IP 주소 그룹을 추출하여, 유효 IP 주소 리스트를 저장한다. 상기 유효 IP 주소 리스트는 대개 동일 NAT 장비의 IP 주소 리스트에 해당할 수 있다. 저장된 데이터 구조는 제1 클래스 IP 주소(f31, f32), 빈도(f33)를 포함한다. 또한, 저장된 데이터 구조는 제2 클래스 IP 주소(f41,f42), 빈도(f43)를 포함한다.
데이터 f31, f32는 쌍을 이룬 유효 IP 주소이며, 각각 IP 주소 상위 3개의 옥텟을 저장한다. 데이터 f42, f43는 쌍을 이룬 유효 IP 주소이며, 각각 IP 주소의 4개의 옥텟을 저장한다. 전술한 바와 같이, 두 개의 데이터 구조는 실질적으로 동일하지만, 제2 클래스의 유효 IP 주소 리스트를 구축한 데이터 구조가 더 높은 보안 레벨을 제공한다.
빈도(f33, f43)은 IP 주소 쌍이 발생하여 유효 IP 주소 리스트가 리스트 업 되는 빈도를 의미한다. 상기 빈도의 구체적인 값은 운영자에 의해 선택될 수 있다.
도 6은 본 발명의 일 실시예에 따른 사용자 인증 설정 방법을 도시한 흐름도이다.
단계(S110)에서 사용자 인증 시스템은 IP 주소 체크 옵션을 설정한다. 상기 IP 주소 체크 옵션은 사용자 인증 시스템이 미리 정해 두고, 클라이언트의 선택에 의해 설정에 응답하여 설정될 수 있다. 바람직하게, 사용자의 로그인 창에 상기 옵션을 선택할 수 있게 하여, 로그인과 함께 상기 IP 주소 체크 옵션을 설정하게 된다.
여기서, 상기 IP 주소 체크 옵션은, 보안 레벨 순으로 IP 주소 체크를 사용하지 않는 경우, 제1 클래스의 유효 IP 주소 리스트를 이용하는 경우, 제2 클래스의 유효 IP 주소 리스트를 이용하는 경우, 단일 IP 주소만을 이용하는 경우를 포함하고, 사용자는 자신이 원하는 보안 레벨에 따라 상기 IP 주소 체크 옵션 중 하나를 선택한다.
단계(S120)는 상기 설정이 IP 주소 체크를 사용하는지를 판단한다. IP 주소 체크를 사용하지 않는 경우에는 상기 IP 주소 체크 옵션의 식별자와 함께 로그인 ID를 포함한 제 1 세션 쿠키가 생성된다(S121).
IP 주소 체크를 사용하는 경우에는 유효 IP 주소 리스트를 사용하는 지를 판단한다(S130). 만약 유효 IP 주소 리스트를 사용하지 않는 경우에는, 현재 로그인 된 IP 주소와 미리 정해진 단일 IP 주소를 비교한 결과 값을 포함한 제 4 세션 쿠키가 생성된다(S131). 여기서, 유효 IP 주소 리스트는 액세스 로그 기록으로부터 동일 사용자의 IP 주소의 그룹 또는 IP 변경 시 재 로그인이 성공한 경우 상기 변경된 IP 주소가 추가된 IP 주소의 리스트이다.
유효 IP 주소 리스트를 이용하는 경우에는, 제1 클래스와 제2 클래스 유효 IP 주소 리스트 중 어느 것을 선택할 것인지를 판단한다(S140)
제1 클래스가 선택된 경우에는 제1 클래스의 유효 IP 주소 리스트를 호출하여(S150), 상기 유효 IP 주소를 포함시킨 제 2 세션 쿠키를 생성한다(S160).
제2 클래스가 선택된 경우에는 제2 클래스의 유효 IP 주소 리스트를 호출하여(S170), 상기 유효 IP 주소를 포함시킨 제 3 세션 쿠키를 생성한다(S180).
본 발명의 실시예에 다른 세션 쿠키는 이하와 같은 정보를 포함할 수 있다.
제 1 세션 쿠키 = [세션 IP Check 옵션],[사용자 아이디]
제 2 세션 쿠키 = [세션 IP Check 옵션], [제1 클래스의 유효 IP 주소], [제1 클래스의 임시 IP 주소], [사용자 아이디]
제 3 세션 쿠키 = [세션 IP Check 옵션], [제2 클래스의 유효 IP 주소], [제2 클래스의 임시 IP 주소], [사용자 아이디]
제 4 세션 쿠키 = [세션 IP Check 옵션], [사용자 아이디]
전술한 바와 같이 각각의 IP 주소 체크 옵션에 대응하는 세션 쿠키를 생성함으로써, 사용자가 원하는 보안 레벨의 IP 주소 체크 옵션에 따른 사용자 인증을 제공할 수 있다.
도 7은 본 발명의 실시예에 따른 사용자 인증 및 유효 IP 주소 리스트를 갱신하는 방법을 도시한 흐름도이다.
도 7에 도시된 실시예는 유효 IP 주소 리스트를 이용하는 경우에, 상기 유효 IP 주소 리스트를 갱신하는 구성에 관한 것이다. 따라서, 도 7과 관련된 실시예에서 언급되는 세션 쿠키는 도 6의 제2 세션 쿠키 또는 제3 세션 쿠키 중 하나가 될 수 있다.
사용자 인증 시스템은, 클라이언트로부터 URL 요청 및 세션 쿠키를 수신한다(S210). 전술한 바와 같이, 세션 쿠키에는 유효 IP 주소가 포함되어 있다.
단계(S220)에서는 IP 주소가 변경되었는지를 판단한다. 상기 IP 주소의 변경은 URL을 요청한 클라이언트의 IP 주소와 최초 로그인시에 기록된 유효 IP 주소가 서로 달라진 경우에 해당한다. 상기 IP 주소의 변경은 미리 설정된 IP 주소 체크 옵션에 따라 상위 3개의 옥텟만 비교하여 변경 여부를 판단할 수도 있다.
IP 주소가 변경되지 않은 경우에는 통상의 세션 중 URL 호출과 같이, URL을 제공한다(S280, S281)
한편, IP 주소가 변경된 경우에는 변경된 IP 주소를 임시 IP 주소로서 추가한 세션 쿠키를 재설정한다(S230).
단계(S240)에서는 요청된 URL이 IP 주소 체크가 필요한 URL인지를 판단한다. 상기 IP 주소 체크가 필요한 URL은 미리 정해진 URL 중 하나가 될 수 있다. 예를 들어, 메일, 쪽지, 블로그 비밀 글 등의 열람 또는 주요 게시물의 작성 서비스를 위한 URL이 될 수 있다.
IP 주소 체크가 필요하지 않는 URL의 경우에는 특별한 제한 없이 URL을 제공한다(S280). 그러나, 세션 쿠키에는 임시 IP 주소가 추가된 상태이며, 추후 동일한 세션 쿠키를 이용하여 IP 주소 체크가 필요한 URL을 호출한 경우에는 단계(S240)의 판단을 수행하게 될 것이다.
한편, IP 주소 체크가 필요한 경우에는 재 로그인 요청을 수행한다(S250). 즉, 클라이언트는 로그인 이후에 새로운 IP 주소로 변경되었으며, 상기 새로운 IP 주소는 아직 제한적인 URL에만 접근이 허용되는 임시 IP 주소인 것이다. 상기 임시 IP 주소가 유효 IP 주소로 전환되기 위해서는 재 로그인 과정이 필요하다. 상기 재 로그인 요청은 별도의 로그인 팝업 창을 제공하는 것이 바람직하다.
단계(S260)에서는 재 로그인이 성공적으로 수행되었는지를 판단한다. 만약, 재 로그인이 실패한 경우에는 요청된 URL의 제공은 거부된다(S290).
재 로그인이 성공적으로 수행된 경우에는 임시 IP 주소는 유효 IP 주소 리스트에 저장된다(S270). 유효 IP 주소 리스트에 저장된 임시 IP 주소는 이후 사용자가 로그인 중 해당 IP 주소로 변경되어도 유효한 세션으로 인정받게 된다.
재 로그인이 성공적으로 수행된 후에는 사용자가 요청한 URL이 웹 서비스의 하나로서 제공된다(S281).
여기서, 사용자 인증 시스템은, IP 주소 체크가 필요한 URL에 대해 이하와 같은 구문(syntax)를 사용하여 구분함으로써, 선택적인 IP 주소 체크를 제공한다.
* IP 주소 체크 URL: IPCheck_URL url1, url2, url3, ..
* IP 주소 체크 리턴 URL: IPCheck_ReturnURL url
* IP 주소 체크 테스트 URL: IPCheck_TestURL url
여기서, IP 주소 체크 URL은 IP 주소 체크가 설정된 경우, IP 주소 체크가 수행되는 URL을 의미한다.
IP 주소 체크 리턴 URL은 IP 주소 체크를 통과하지 못했을 경우 리다이렉트 되는 URL을 의미한다.
IP 주소 체크 테스트 URL은 IP 주소 체크를 테스트하는 URL을 의미한다. 상기 IP 주소 체크 테스트 URL은 IP 주소 체크 URL의 요청 시에 IP 주소 체크를 수행하고, 결과를 클라이언트로 전송하는 역할을 수행하다.
도 8은 본 발명의 일 실시예에 따른 IP 주소 체크를 이용한 로그인 화면을 도시한 도면이다.
본 발명의 실시예에 따른 로그인 박스는 “IP 보안 설정”이라는 탭이 존재한다. 상기 IP 보안 설정 탭을 이용하여 사용자는 IP 주소 체크 옵션을 선택할 수 있다.
전술한 바와 같이, IP 보안 설정은 크게 IP 주소 정보를 사용하는 경우와 사용하지 않는 경우로 나뉜다.
IP 주소 정보를 사용하지 않는 경우에는 통상의 로그인과 같은 사용자 인증을 수행한다. 이 경우는 본 발명의 실시예 중 가장 낮은 보안 레벨에 해당한다.
IP 주소 정보를 사용하는 경우에는, 보안 레벨에 따라 복수의 옵션이 존재한다.
예를 들어, “Smart IP Check Level 1”은 전술한 유효 IP 주소 리스트를 사 용하되, 제1 클래스(상위 3개 옥텟)의 비교를 수행하는 보안 레벨이다.
“Smart IP Check Level 2”는 유효 IP 주소 리스트를 사용하되, 제2 클래스(4개 옥텟)의 비교를 수행하는 보안 레벨이다.
“Exact IP 비교”는 유효 IP 주소 리스트를 사용하지 않고, 단일 IP 주소에 대해서만 로그인을 허용하는 보안 레벨이다.
사용자는 이러한 로그인 박스의 IP 주소 체크 옵션을 이용하여 자신이 원하는 보안 레벨을 선택함으로써, 쿠키 탈취 등에 의한 해킹을 방지하면서도 원활한 웹 서비스를 제공받을 수 있다.
구체적인 IP 주소 체크 옵션의 예시는 이하 표 1과 같이 정리될 수 있다.
Figure 112007060307580-PAT00001
도 9는 본 발명의 일 실시예에 따른 재 로그인 요청 박스를 도시한 도면이다.
전술한 바와 같이, IP 주소 체크가 필요한 URL을 요청한 경우, 임시 IP 주소와 유효 IP 주소가 상이한 경우에는 도 9와 같은 로그인 창이 제공되고, 로그인이 성공한 경우에 한해서 URL의 접근 및 이용이 가능하다.
재 로그인 요청 박스는 로그인을 위한 ID 및 비밀 번호를 입력하는 슬롯과 더불어, IP 주소 체크를 계속 사용할 것인지를 체크할 수 있는 탭이 존재한다. 예를 들어, 박스 중앙 부의 “IP 주소 체크”를 해제한 후 로그인에 성공한 사용자는 IP 주소가 변경되어도 도 9와 같은 재 로그인 창이 뜨지 않는다.
이는 사용자가 현재 계속적인 IP 주소의 변경이 예상되는 경우에는 재 로그인의 번거로움을 피하기 위하여, IP 주소 체크 옵션을 해제 시키기 위함이다.
전술한 본 발명의 실시예에 의해, 사용자 인증 시스템은 쿠키 탈취에 의한 해킹으로부터 정당한 사용자를 보호하면서도, 통상적으로 발생하는 정당한 IP 주소 변경에 대해 적응적으로 대처할 수 있다.
또한, 사용자는 자신이 적합한 다양한 보안 레벨의 설정이 가능하므로, 자신의 IP 주소 환경에 적합한 보안 레벨을 선택하여 제공할 수 있다.
더불어, 웹 서비스에 제공되는 URL에 대해 선별적으로 IP 주소 체크를 수행함으로써, IP 주소 체크에 의해 발생하는 과부하를 방지하면서도 보안성 있는 사용자 인증을 충분히 제공할 수 있다.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
도 1은 종래의 사용자 인증 시스템의 개요를 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 사용자 인증 시스템의 구성을 도시한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 사용자 인증 시스템에서 유효 IP 주소 리스트를 생성하는 동작을 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 사용자 인증 시스템에서 임시 IP 주소를 처리하는 동작을 도시한 도면이다.
도 5는 본 발명의 일 실시예에서의 개인 패턴 DB와 공용 패턴 DB의 데이터 구조를 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 사용자 인증 설정 방법을 도시한 흐름도이다.
도 7은 본 발명의 실시예에 따른 사용자 인증 및 유효 IP 주소 리스트를 갱신하는 방법을 도시한 흐름도이다.
도 8은 본 발명의 일 실시예에 따른 IP 주소 체크를 이용한 로그인 화면을 도시한 도면이다.
도 9는 본 발명의 일 실시예에 따른 재 로그인 요청 박스를 도시한 도면이다.

Claims (19)

  1. IP 주소 체크를 이용한 사용자 인증 시스템에 있어서,
    사용자의 ID 및 비밀 번호를 이용하여 로그인을 수행하는 로그인 서버;
    로그인한 클라이언트의 IP 주소를 포함하는 액세스 로그 기록을 저장하는 로그 DB;
    상기 로그 DB에 기록된 IP 주소들로부터 동일 사용자의 IP 주소의 그룹인 제 1 유효 IP 주소 리스트를 추출하는 공용 패턴 생성부;
    상기 공용 패턴 생성부로부터 추출된 제 1 유효 IP 주소 리스트를 저장하는 공용 패턴 DB; 및
    상기 제 1 유효 IP 주소 리스트를 포함한 세션 쿠키를 생성하여, 상기 제 1 유효 IP 주소 리스트에 포함된 IP 주소를 가진 클라이언트로부터의 URL 요청에 대해서 해당 URL을 제공하도록 허용하는 IP 주소 체크 인증 모듈
    을 포함하는 사용자 인증 시스템.
  2. 제1항에 있어서,
    상기 IP 주소 체크 인증 모듈은, 클라이언트의 IP 주소가 변경된 경우, 상기 변경된 IP 주소를 임시 IP 주소로서 상기 세션 쿠키에 추가하고, 재 로그인을 요청하여 상기 재 로그인에 성공한 경우 상기 임시 IP 주소를 제 2 유효 IP 주소 리스트에 추가하는 것인 사용자 인증 시스템.
  3. 제2항에 있어서, 상기 재 로그인 요청은, 미리 정해진 IP 체크가 필요한 URL에 대한 요청이 있는 경우에 활성화되는 것인 사용자 인증 시스템.
  4. 제2항에 있어서, 상기 제 2 유효 IP 주소를 저장하는 개인 패턴 DB를 더 포함하고,
    상기 IP 주소 체크 모듈은 상기 제 2 유효 IP 주소 리스트에 포함된 IP 주소를 가진 클라이언트로부터의 URL 요청에 대해서도 해당 URL을 제공하도록 허용하는 것인 사용자 인증 시스템.
  5. 제3항에 있어서, 상기 미리 정해진 IP 체크 URL은 메일, 쪽지, 비밀 글 열람, 및 게시물 작성 URL 중 적어도 하나인 것인 사용자 인증 시스템.
  6. 제4항에 있어서, 상기 제 1 유효 IP 주소 리스트 및 제 2 유효 IP 주소 리스트는, IP 주소값 중 상위 3개의 옥텟값을 지정한 제 1 클래스 또는 4개의 옥텟값을 지정한 제 2 클래스 중 하나의 형태로 이용되는 것인 사용자 인증 시스템.
  7. 제6항에 있어서, 상기 제 1 클래스 또는 제 2 클래스의 이용은 로그인에 성공한 사용자의 IP 체크 옵션 선택에 의해 결정되는 것인 사용자 인증 시스템.
  8. 제6항에 있어서, 상기 세션 쿠키는, 상기 IP 체크 옵션 값, 사용자 ID 및 제 1 클래스의 제 1 및 제 2 유효 IP 주소 리스트를 포함하는 것인 사용자 인증 시스템.
  9. 제6항에 있어서, 상기 세션 쿠키는, 상기 IP 체크 옵션 값, 사용자 ID 및 제 2 클래스의 제 1 및 제 2 유효 IP 주소 리스트를 포함하는 것인 사용자 인증 시스템.
  10. IP 주소 체크를 이용한 사용자 인증 방법에 있어서,
    a) 액세스 로그 기록으로부터 추출된 동일 사용자의 IP 주소 그룹인 유효 IP 주소 리스트를 사용자 인증에 이용할 것인지에 관한 선택을 제공하는 단계;
    b) 상기 유효 IP 주소 리스트를 이용하는 경우, 사용자 ID와 상기 유효 IP 주소 리스트를 포함하는 세션 쿠키를 생성하는 단계; 및
    c) 상기 생성된 세션 쿠키를 이용하여 상기 유효 IP 주소 리스트 내의 IP 주소로부터의 URL 요청을 허용하는 단계
    를 포함하는 사용자 인증 방법.
  11. 제10항에 있어서,
    b-1) 상기 유효 IP 주소 리스트의 IP 주소의 상위 세 개의 옥텟값을 지정한 제1 클래스와 네 개의 옥텟값을 지정한 제2 클래스 중 하나의 이용의 선택을 제공 하는 단계; 및
    b-2) 상기 세션 쿠키에 상기 제1 클래스 및 제2 클래스의 이용을 식별하는 데이터를 추가하는 단계를 더 포함하는 것인 사용자 인증 방법.
  12. 제11항에 있어서,
    e) 상기 유효 IP 주소 리스트를 이용하지 않는 경우, 상기 IP 주소의 체크를 사용하지 않을 것인지, 단일 IP 주소의 체크를 사용할 것인지에 관한 선택을 제공하는 단계;
    f) 상기 IP 주소의 체크를 사용하지 않는 경우에는 사용자 ID를 포함하는 세션 쿠키를 생성하는 단계; 및
    g) 상기 단일 IP 주소의 체크를 사용하는 경우에는 사용자 ID 및 상기 단일 IP 주소를 포함하는 세션 쿠키를 생성하는 단계
    를 더 포함하는 것인 사용자 인증 방법.
  13. IP 주소 체크를 이용한 사용자 인증 방법에 있어서,
    클라이언트로부터 URL 요청 및 세션 쿠키를 수신하는 단계;
    상기 세션 쿠키에 기초하여 상기 클라이언트의 IP 주소가 변경되었는지 판단하는 단계;
    상기 IP 주소가 변경된 경우에는 상기 변경된 IP 주소를 임시 IP 주소로 하여 세션 쿠키를 재설정하는 단계;
    상기 요청된 URL이 상기 임시 IP 주소에 대해 제공이 제한되는 IP 주소 체크 필요 URL인지 판단하는 단계;
    상기 임시 IP 주소로부터 요청된 URL이 상기 IP 주소 체크 필요 URL인 경우에, 상기 클라이언트에게 재 로그인을 요청하는 단계; 및
    상기 재 로그인이 성공한 경우 상기 임시 IP 주소를 동일 사용자가 이용 가능한 유효 IP 주소 리스트에 추가하는 단계
    를 포함하는 사용자 인증 방법.
  14. 제13항에 있어서,
    상기 세션 쿠키는, 상기 유효 IP 주소 리스트를 포함하는 것인 사용자 인증 방법.
  15. 제14항에 있어서, 상기 유효 IP 주소 리스트는 액세스 로그 기록으로부터 추출된 동일 사용자의 IP 주소 그룹을 포함하는 것인 사용자 인증 방법.
  16. 제15항에 있어서,
    상기 유효 IP 주소 리스트는 IP 주소값중 상위 3개의 옥텟값만을 이용하는 것인 사용자 인증 방법.
  17. 제15항에 있어서,
    상기 재 로그인 요청시에 상기 IP 주소 체크를 중지할 것인지에 관한 선택을 제공하는 단계를 더 포함하는 사용자 인증 방법.
  18. 보안 레벨 별 IP 주소 체크를 이용하여 사용자 인증 수행하기 위한 데이터 구조가 기록된 컴퓨터가 읽기 가능한 기록 매체에 있어서,
    액세스 로그 기록의 IP 주소들로부터 추출된 동일 사용자로 판단되는 IP 주소 그룹의 상위 3개의 옥텟값이 기록된 제1 클래스의 제1 유효 IP 주소 리스트;
    액세스 로그 기록의 IP 주소들로부터 추출된 동일 사용자로 판단되는 IP 주소 그룹의 4개의 옥텟값이 기록된 제2 클래스의 제1 유효 IP 주소 리스트;
    특정 사용자 ID 마다 재 로그인에 성공한 IP 주소 그룹의 상위 3개의 옥텟값이 기록된 제1 클래스의 제2 유효 IP 주소 리스트 및
    특정 사용자 ID 마다 재 로그인에 성공한 IP 주소 그룹의 4개의 옥텟값이 기록된 제2 클래스의 제2 유효 IP 주소 리스트
    를 포함하는 데이터 구조가 기록된 컴퓨터가 읽기 가능한 기록 매체.
  19. 제18항에 있어서,
    상기 제1클래스의 제1 유효 IP 주소 리스트 및 제1 클래스의 제2 유효 IP 주소 리스트는, 제2 클래스의 제1 유효 IP 주소 리스트 및 제2 클래스의 제2 유효 IP 주소 리스트 낮은 보안 레벨에 이용되는 것인 컴퓨터가 읽기 가능한 기록 매체.
KR20070083881A 2007-08-21 2007-08-21 Ip 주소를 이용한 사용자 인증 시스템 및 그 방법 KR100944724B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR20070083881A KR100944724B1 (ko) 2007-08-21 2007-08-21 Ip 주소를 이용한 사용자 인증 시스템 및 그 방법
JP2008208467A JP4891299B2 (ja) 2007-08-21 2008-08-13 Ipアドレスを用いるユーザ認証システム及びその方法
CN2008101462888A CN101374047B (zh) 2007-08-21 2008-08-14 利用ip地址的用户认证系统及其方法
US12/195,010 US8474030B2 (en) 2007-08-21 2008-08-20 User authentication system using IP address and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20070083881A KR100944724B1 (ko) 2007-08-21 2007-08-21 Ip 주소를 이용한 사용자 인증 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20090019443A true KR20090019443A (ko) 2009-02-25
KR100944724B1 KR100944724B1 (ko) 2010-03-03

Family

ID=40383402

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20070083881A KR100944724B1 (ko) 2007-08-21 2007-08-21 Ip 주소를 이용한 사용자 인증 시스템 및 그 방법

Country Status (4)

Country Link
US (1) US8474030B2 (ko)
JP (1) JP4891299B2 (ko)
KR (1) KR100944724B1 (ko)
CN (1) CN101374047B (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150049546A (ko) 2013-10-30 2015-05-08 삼성에스디에스 주식회사 가상화 환경에서 사용자 인증을 수행하는 모바일 장치 및 모바일 장치에서의 사용자 인증 방법
KR101530095B1 (ko) * 2009-04-16 2015-06-19 네이버 주식회사 슬라이딩 윈도우를 이용한 클라이언트 인증 방법 및 시스템
KR20160090526A (ko) * 2015-01-22 2016-08-01 주식회사 엔씨소프트 온라인 서비스에서의 계정 보호 방법 및 그 시스템
CN111314917A (zh) * 2020-02-22 2020-06-19 深圳市天和通信有限公司 一种控制无线终端接入的方法及无线接入点

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7747733B2 (en) 2004-10-25 2010-06-29 Electro Industries/Gauge Tech Power meter having multiple ethernet ports
CN101515932B (zh) * 2009-03-23 2013-06-05 中兴通讯股份有限公司 一种安全的Web service访问方法和系统
JP4811486B2 (ja) * 2009-03-26 2011-11-09 ブラザー工業株式会社 プログラム、情報処理システムおよび情報処理装置
CN101582766A (zh) * 2009-05-18 2009-11-18 李丽平 一种基于位置关联问题挑战的账号口令保护系统和方法
EP2369808A1 (en) * 2010-03-22 2011-09-28 Thomson Telecom Belgium Method of securing access to data or a service that is accessible via a device implementing the method and corresponding device
KR101206095B1 (ko) 2010-11-30 2012-11-28 엘에스산전 주식회사 보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법
JP5613596B2 (ja) * 2011-03-08 2014-10-29 Kddi株式会社 認証システム、端末装置、認証サーバ、およびプログラム
JP5280488B2 (ja) * 2011-05-24 2013-09-04 シャープ株式会社 アカウント管理装置、画像処理システム、画像処理方法、プログラムおよび記録媒体
US9398048B2 (en) * 2011-05-26 2016-07-19 Skype Authenticating an application to access a communication system
US10862784B2 (en) 2011-10-04 2020-12-08 Electro Industries/Gauge Tech Systems and methods for processing meter information in a network of intelligent electronic devices
US10303860B2 (en) 2011-10-04 2019-05-28 Electro Industries/Gauge Tech Security through layers in an intelligent electronic device
US20150286394A1 (en) * 2011-10-04 2015-10-08 Electro Industries/Gauge Tech Dynamic webpage interface for an intelligent electronic device
US10771532B2 (en) 2011-10-04 2020-09-08 Electro Industries/Gauge Tech Intelligent electronic devices, systems and methods for communicating messages over a network
US10275840B2 (en) 2011-10-04 2019-04-30 Electro Industries/Gauge Tech Systems and methods for collecting, analyzing, billing, and reporting data from intelligent electronic devices
US9118619B2 (en) * 2011-11-07 2015-08-25 Qualcomm Incorported Prevention of cross site request forgery attacks by conditional use cookies
CN102546640B (zh) * 2012-01-13 2017-03-01 百度在线网络技术(北京)有限公司 单账号多设备登录时的信息流通方法及服务器
CN103375875B (zh) * 2012-04-24 2015-08-26 珠海格力电器股份有限公司 系统日志记录方法及装置
US8949952B2 (en) * 2012-04-25 2015-02-03 Cisco Technology, Inc. Multi-stack subscriber sign on
US8959650B1 (en) * 2012-06-29 2015-02-17 Emc Corporation Validating association of client devices with sessions
CN103699546B (zh) * 2012-09-28 2016-12-21 秒针信息技术有限公司 一种生成网吧ip数据库的方法及装置
GB2510120A (en) * 2013-01-24 2014-07-30 Ibm User authentication based on dynamically selected service authentication levels
US11816465B2 (en) 2013-03-15 2023-11-14 Ei Electronics Llc Devices, systems and methods for tracking and upgrading firmware in intelligent electronic devices
US9729642B2 (en) * 2013-05-24 2017-08-08 International Business Machines Corporation Sharing web application sessions across multiple devices
SG11201510229QA (en) * 2013-06-20 2016-01-28 Sms Passcode As Method and system protecting against identity theft or replication abuse
CN103795577A (zh) * 2014-03-03 2014-05-14 网神信息技术(北京)股份有限公司 日志服务器处理日志的方法和装置
US11734396B2 (en) 2014-06-17 2023-08-22 El Electronics Llc Security through layers in an intelligent electronic device
US9467456B2 (en) 2014-08-29 2016-10-11 Dell Software Inc. Single login authentication for users with multiple IPv4/IPv6 addresses
CN104468553B (zh) * 2014-11-28 2019-01-15 北京奇安信科技有限公司 一种公共账号登录的方法、装置及系统
CN104410650A (zh) * 2014-12-24 2015-03-11 四川金网通电子科技有限公司 基于Session和Cookie验证用户的方法
JP6450257B2 (ja) * 2015-05-19 2019-01-09 株式会社Nttドコモ 無線通信システム
US10958435B2 (en) 2015-12-21 2021-03-23 Electro Industries/ Gauge Tech Providing security in an intelligent electronic device
CN107026918B (zh) * 2016-01-29 2020-06-09 中国移动通信集团广东有限公司 基于动态主机配置协议的web认证计费方法及系统
US10430263B2 (en) 2016-02-01 2019-10-01 Electro Industries/Gauge Tech Devices, systems and methods for validating and upgrading firmware in intelligent electronic devices
US11102207B2 (en) * 2017-11-21 2021-08-24 T-Mobile Usa, Inc. Adaptive greylist processing
US11606372B2 (en) 2017-12-19 2023-03-14 T-Mobile Usa, Inc. Mitigating against malicious login attempts
US11754997B2 (en) 2018-02-17 2023-09-12 Ei Electronics Llc Devices, systems and methods for predicting future consumption values of load(s) in power distribution systems
US11734704B2 (en) 2018-02-17 2023-08-22 Ei Electronics Llc Devices, systems and methods for the collection of meter data in a common, globally accessible, group of servers, to provide simpler configuration, collection, viewing, and analysis of the meter data
US11686594B2 (en) 2018-02-17 2023-06-27 Ei Electronics Llc Devices, systems and methods for a cloud-based meter management system
US10819750B1 (en) * 2018-04-27 2020-10-27 Amazon Technologies, Inc. Multi-tenant authentication and permissions framework
CN108449367B (zh) * 2018-06-25 2021-03-30 北京京东尚科信息技术有限公司 管理用户登录安全性的方法、装置、电子设备及可读介质
US11388160B2 (en) 2018-10-05 2022-07-12 Mastercard Technologies Canada ULC Account recommendation based on server-side, persistent device identification
CN110287165A (zh) * 2019-05-09 2019-09-27 北京极数云舟科技有限公司 数据库装置、数据库中间层装置及运行该数据库的方法
US11863589B2 (en) 2019-06-07 2024-01-02 Ei Electronics Llc Enterprise security in meters

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6772139B1 (en) * 1998-10-05 2004-08-03 Smith, Iii Julius O. Method and apparatus for facilitating use of hypertext links on the world wide web
US6985953B1 (en) * 1998-11-30 2006-01-10 George Mason University System and apparatus for storage and transfer of secure data on web
US8239445B1 (en) * 2000-04-25 2012-08-07 International Business Machines Corporation URL-based sticky routing tokens using a server-side cookie jar
US7941669B2 (en) * 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
US7185364B2 (en) * 2001-03-21 2007-02-27 Oracle International Corporation Access system interface
KR20030016073A (ko) * 2001-08-20 2003-02-26 엘지전자 주식회사 웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템
JP2003069604A (ja) 2001-08-23 2003-03-07 Nifty Corp 動的アドレス割当方法,動的アドレス割当装置及び動的アドレス割当プログラム
US7917941B2 (en) * 2003-09-22 2011-03-29 International Business Machines Corporation System and method for providing physical web security using IP addresses
JP2005149239A (ja) 2003-11-17 2005-06-09 Nec Corp ユーザ認証システム
US8069117B1 (en) * 2004-05-28 2011-11-29 Adobe Systems Incorporated Ad hoc access rights in restricted-access electronic space
US8068414B2 (en) * 2004-08-09 2011-11-29 Cisco Technology, Inc. Arrangement for tracking IP address usage based on authenticated link identifier
JP4340241B2 (ja) 2005-01-20 2009-10-07 富士通株式会社 利用者認証プログラム、利用者認証方法、利用者認証装置および利用者認証システム
US20070136573A1 (en) * 2005-12-05 2007-06-14 Joseph Steinberg System and method of using two or more multi-factor authentication mechanisms to authenticate online parties
EP2541430A2 (en) * 2005-12-22 2013-01-02 Catalog.Com, Inc. Social network-enabled interactive media player
US8347368B2 (en) * 2006-03-29 2013-01-01 The Bank Of Tokyo-Mitsubishi Ufj, Ltd. Apparatus, method, and program for validating user

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101530095B1 (ko) * 2009-04-16 2015-06-19 네이버 주식회사 슬라이딩 윈도우를 이용한 클라이언트 인증 방법 및 시스템
KR20150049546A (ko) 2013-10-30 2015-05-08 삼성에스디에스 주식회사 가상화 환경에서 사용자 인증을 수행하는 모바일 장치 및 모바일 장치에서의 사용자 인증 방법
KR20160090526A (ko) * 2015-01-22 2016-08-01 주식회사 엔씨소프트 온라인 서비스에서의 계정 보호 방법 및 그 시스템
CN111314917A (zh) * 2020-02-22 2020-06-19 深圳市天和通信有限公司 一种控制无线终端接入的方法及无线接入点

Also Published As

Publication number Publication date
JP4891299B2 (ja) 2012-03-07
KR100944724B1 (ko) 2010-03-03
US20090055912A1 (en) 2009-02-26
US8474030B2 (en) 2013-06-25
CN101374047B (zh) 2011-12-14
CN101374047A (zh) 2009-02-25
JP2009048635A (ja) 2009-03-05

Similar Documents

Publication Publication Date Title
KR100944724B1 (ko) Ip 주소를 이용한 사용자 인증 시스템 및 그 방법
AU2019206006B2 (en) System and method for biometric protocol standards
US6199113B1 (en) Apparatus and method for providing trusted network security
EP2410452B1 (en) Protection against malware on web resources
AU2001280975B2 (en) Systems and methods for authenticating a user to a web server
EP2338262B1 (en) Service provider access
US20140089661A1 (en) System and method for securing network traffic
US8578453B2 (en) System and method for providing customized response messages based on requested website
US11330005B2 (en) Privileged account breach detections based on behavioral access patterns
US20020120853A1 (en) Scripted distributed denial-of-service (DDoS) attack discrimination using turing tests
CN101331731A (zh) 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品
US9059987B1 (en) Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network
JP2010525471A (ja) 段階的認証システム
US20210112060A1 (en) Method and Apparatus to Control and Monitor Access to Web Domains using Networked Devices
US20060190990A1 (en) Method and system for controlling access to a service provided through a network
JP3961112B2 (ja) パケット通信制御システム及びパケット通信制御装置
JP2009003559A (ja) シングルサインオンサーバ用コンピュータシステム及びプログラム
Jammalamadaka et al. Delegate: A proxy based architecture for secure website access from an untrusted machine
JP7221235B2 (ja) サーバ装置およびネットワークシステム
Uda Vulnerable web server protection by hash based url transformation
JP5863398B2 (ja) サーバ装置及びサーバ装置の制御方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131231

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20141230

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20151223

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170124

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180108

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190107

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 11