KR20130103537A - 사용자 계정 회복 - Google Patents

사용자 계정 회복 Download PDF

Info

Publication number
KR20130103537A
KR20130103537A KR1020137010771A KR20137010771A KR20130103537A KR 20130103537 A KR20130103537 A KR 20130103537A KR 1020137010771 A KR1020137010771 A KR 1020137010771A KR 20137010771 A KR20137010771 A KR 20137010771A KR 20130103537 A KR20130103537 A KR 20130103537A
Authority
KR
South Korea
Prior art keywords
user
account
account recovery
service provider
token
Prior art date
Application number
KR1020137010771A
Other languages
English (en)
Other versions
KR101451359B1 (ko
Inventor
유레이 첸
진 리우
사오준 순
Original Assignee
노키아 지멘스 네트웍스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 지멘스 네트웍스 오와이 filed Critical 노키아 지멘스 네트웍스 오와이
Publication of KR20130103537A publication Critical patent/KR20130103537A/ko
Application granted granted Critical
Publication of KR101451359B1 publication Critical patent/KR101451359B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2131Lost password, e.g. recovery of lost or forgotten passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

사용자 계정 회복 방법이 설명된다. 방법은, 아이덴티티 관리 시스템(IDM)과 서비스 제공자 둘 다에 계정 회복 토큰을 저장하는 단계를 포함한다. 사용자가 계정에 액세스할 수 없다는 표시에 응답하여, 계정 회복 토큰에 대한 요청이 관련 서비스 제공자에 의해 IDM으로 송신된다. 사용자의 아이덴티티 확인시, IDM은 계정 회복 토큰을 검색하고 그리고 토큰을 서비스 제공자에게 회신한다. 서비스 제공자는, 계정 회복 프로세스(상기 프로세스는 예컨대, 사용자가 계정에 대한 새로운 패스워드를 제공하는 것을 촉진시키는 것을 포함할 수 있음)를 개시하기 위해, IDM으로부터 수신된 토큰을 하나 또는 그 초과의 지역적으로 저장된 토큰들과 비교한다.

Description

사용자 계정 회복{USER ACCOUNT RECOVERY}
본 발명은 사용자 계정 회복으로 지향된다. 특히, 본 발명은 사용자 계정 회복을 돕기 위한 아이덴티티 관리 시스템(IDM)의 사용으로 지향된다.
단순하고 편리한 인증(authentication) 방법으로서, 사용자명과 패스워드 쌍이 온라인 서비스 제공자(SP)들 사이에서 가장 널리 사용되는 인증 접근이다. 단일 사용자가 상이한 서비스 제공자들 사이에서 수십 또는 심지어 수백의 사용자 계정들을 소유하는 것이 전적으로 가능하다. (사용자명과 패스워드 쌍들과 같은) 상이한 인증 요건들의 개수가 증가하므로, (예컨대 사용자가 자신의 패스워드 또는 심지어 자신의 사용자명을 잊음으로 인해) 특정한 서비스 제공자에 대한 액세스 장애들의 가능성이 상당히 증가한다.
많은 서비스 제공자들은, 사용자들이 사용자명들 및/또는 패스워드들과 같은 크리덴셜(credential) 정보를 검색하는 것을 가능케 하기 위한 메커니즘들을 제공한다. 사용자들이 사용자 계정 정보를 검색하는 것을 가능케 하기 위한 다수의 기존 방법들이 아래에 논의된다.
제1 방법에서, 사용자는 유효한 e-메일 계정을 서비스 제공자에 등록한다. 사용자가 패스워드를 회복시키려고 노력할 때, 사용자가 자신의 패스워드를 리셋하는 것을 가능케 하는 e-메일이 상기 e-메일 계정에 송신된다. 이 접근의 문제점은, 사용자가 자신의 e-메일 계정의 세부사항들을 서비스 제공자에게 노출시켜야 하고, 사용자가 그렇게 하길 원하지 않을 수 있다는 것이다. 또한, 사용자의 e-메일 계정/패스워드가 또한 잊어버려질 수 있다. 또한, 그러한 어레인지먼트의 잠재적 위험은, 허가받지 않은 제3자가 사용자의 e-메일 계정으로의 액세스를 획득한다면, 상기 제3자가 사용자의 온라인 서비스 제공자 계정들 중 하나 또는 그 초과로의 액세스를 획득할 수 있다는 것이다. 최악의 경우 시나리오에서, 사용자는 관련된 계정들의 제어 전부를 잃을 수 있다.
제2 방법에서, 핸드폰 번호를 서비스 제공자에 등록할 것을 사용자가 요청받아, 패스워드 회복의 경우, 새로운 일회용 검증(validation) 스트링 또는 일시적 패스워드가 사용자의 핸드폰에 송신될 수 있고 그리고 온라인 서비스 제공자가 송신된 스트링 또는 패스워드를 입력하도록 사용자에게 지시할 수 있다. 이 방법은 사용자의 핸드폰 번호의 사용을 요구하고, 이는 위에서 지칭된 e-메일 계정 세부사항들에서와 같이, 사용자가 핸드폰 번호를 제공하길 원하지 않을 수 있다. 또한, 그러한 솔루션은, (메시지들을 사용자에 송신할 때) 서비스 제공자에 의해 비용들이 발생되는 것을 야기시키고, 이는, 사용자 또는 서비스 제공자가 그러한 솔루션을 채택하는 것을 막을 수 있다. 또한, 그러한 어레인지먼트는 국제 온라인 서비스 제공자들에 적절하지 않을 수 있는데, 그 이유는 서비스 제공자가 상이한 국가 오퍼레이터들에 대해 상이한 SMS 어댑터들을 셋업할 필요가 있을 수 있기 때문이다.
제3 방법에서, 사용자가 답변들과 함께 질문들의 세트를 등록한다. 사용자는, 자신의 패스워드를 회복시키기 위하여, 질문들에 응답하도록 요청받을 수 있다. 사용자는 이들 종류들의 개인 세부사항들을 신뢰할 수 없는(untrusted) 온라인 서비스 제공자에게 제공하는데 주저할 수 있다. 또한, 그러한 질문들에 대한 답변들은 종종, 사용자와 친숙한 다른 사람들에 의해 추측되기에 쉽다. 또한, 사용자는 질문들 중 몇몇에 대한 답변을 잊을 수 있고, 이는 합법적(legitimate) 사용자가 계정에 액세스하는 것이 차단되는 것을 야기시킬 수 있다.
제4 방법에서, 사용자는 자신의 실제 주민번호(citizen number) 또는 ID 카드 번호, 생년월일 등을 등록하도록 요청받는다. 패스워드 회복시, 이들 종류들의 질문들은 문제가 된다.
그러한 어레인지먼트에서, 사용자들은, 사생활 우려들로 인해, 거짓 세부사항들을 종종 등록한다. 패스워드 회복 프로세스가 사용될 때, 사용자는 통상적으로 이들 거짓 세부사항들을 잊었고 그리고 그래서 계정 회복 프로세스를 진행시킬 수 없다.
본 발명은 위에서 개요된 문제점들 중 적어도 몇몇을 다루기를 추구한다.
본 발명은 (사용자 계정을 회복시키기 위한 방법과 같은) 방법을 제공하고, 상기 방법은, (통상적으로, 계정 회복을 추구하는 사용자로부터) 서비스 제공자에서, 계정 회복 요청을 수신하는 단계; 제1 계정 회복 토큰에 대한 요청을 아이덴티티 관리 시스템에 송신하는 단계; 상기 아이덴티티 관리 시스템으로부터 제1 계정 회복 토큰을 수신하는 단계; 수신된 제1 계정 회복 토큰을, 서비스 제공자가 액세스하는 하나 또는 그 초과의 제2 계정 회복 토큰들(통상적으로, 서비스 제공자에 저장되거나 또는 서비스 제공자가 액세스하는 데이터베이스 내에 저장됨)과 비교하는 단계; 및 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 하나가 상기 제1 계정 회복 토큰과 매칭되는 경우, 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 상기 하나와 연관된 사용자 계정을 회복시키는 단계를 포함한다.
또한, 본 발명은 장치(예컨대, 서비스 제공자 또는 서버)를 제공하고, 상기 장치는, 계정 회복 요청을 수신하도록 구성된 제1 입력부; 제1 계정 회복 토큰에 대한 요청을 아이덴티티 관리 시스템에 송신하도록 구성된 제1 출력부(사용자 계정은 상기 요청 내에서 식별될 수 있거나 또는 식별되지 않을 수 있음); 상기 아이덴티티 관리 시스템으로부터 제1 계정 회복 토큰을 수신하도록 구성된 제2 입력부; 상기 제1 계정 회복 토큰을, 서비스 제공자가 액세스하는 하나 또는 그 초과의 제2 계정 회복 토큰들과 비교하도록 구성된 제1 프로세서(또는 몇몇의 다른 비교 수단 또는 비교기)(그들 제2 계정 회복 토큰들은 통상적으로 서비스 제공자에 저장되거나 또는 서비스 제공자가 액세스하는 데이터베이스 내에 저장됨); 및 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 하나가 상기 제1 계정 회복 토큰과 매칭되는 경우, 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 상기 하나와 연관된 사용자 계정을 회복시키도록 구성된 제2 프로세서(상기 제2 프로세서는 제1 프로세서와 동일할 수 있음)를 포함한다. 상기 장치는, 사용자가 IDM을 식별하는 것을 촉진시키거나 그리고/또는 사용자가 사용자에 대한 크리덴셜을 리셋하는 것을 촉진시키도록 구성된 사용자 인터페이스를 포함할 수 있다.
따라서, 본 발명은 계정 회복 메커니즘을 제공하고, 여기서 많은 종래기술 어레인지먼트들과 비교될 때 사용자의 사생활이 증대된다.
예컨대, 사용자는 e-메일 계정 세부사항들, 핸드폰 번호, 생년월일, 공통 질문에 대한 답변들 등과 같은 사생활 정보를 서비스 제공자에게 제공할 필요가 없다.
본 발명의 하나의 형태에서, 본 발명은 OAuth 프로토콜을 이용하는 것에 따라 구현된다. 그러나, 이는 본 발명의 형태들 전부에 필수적이지 않다.
사용자 계정을 회복시키는 것은 많은 상이한 형태들을 취할 수 있다. 예로서, 사용자 계정을 회복시키는 것은, 사용자가 사용자 계정에 대한 크리덴셜을 리셋하는 것을 촉진시키는 것을 포함할 수 있다. 본 발명의 몇몇의 형태들에서, 사용자 계정을 회복시키는 것은, 사용자 계정에 대한 적어도 몇몇의 크리덴셜들을 사용자에게 통보하는 것을 포함할 수 있다. 예로서, 사용자는, 사용자명을 통보받을 수 있고, 패스워드를 리셋하도록 촉진될 수 있다. 본 발명의 대안적인 형태에서, 사용자 계정을 회복시키는 것은, 사용자 계정에 대한 리셋된 사용자 크리덴셜(예컨대, 리셋된 패스워드)을 상기 사용자에게 송신하는 것을 포함할 수 있다.
계정 회복 요청은 사용자 계정을 식별할 수 있다. 그러나, 이는, 본 발명의 형태들 전부에 필수적이지 않다. 예컨대, 사용자는 자신의 계정에 대해 어떠한 크리덴셜들 정보도 제공할 수 없을 수 있다. 그러한 시나리오에서, (아이덴티티 관리 시스템에 의해 결정된 바와 같은) 사용자의 아이덴티티는, 계정을 식별하기 위해 상기 아이덴티티 관리 시스템이 사용한 것이 전부일 수 있다.
본 발명은, 사용자가 아이덴티티 관리 시스템을 식별하는 것을 촉진시키는 것을 포함할 수 있다. 예컨대, 사용자는, 예컨대 드롭-다운 목록으로부터 많은 가능한 IDM들 중 하나를 선택함으로써 또는 사용자의 선호되는 IDM에 대해 URL을 제공함으로써 아이덴티티 관리 시스템을 식별하도록 촉진될 수 있다.
본 발명의 몇몇의 형태들에서, 계정 회복 요청이 사용자에 의해 개시된다. 또한, 제1 계정 회복 토큰에 대한 상기 요청은 상기 사용자를 식별할 수 있다. 대안적으로 또는 부가하여, 제1 계정 회복 토큰에 대한 요청은 사용자를 통해 아이덴티티 관리 시스템에 송신될 수 있다.
제1 계정 회복 토큰에 대한 요청은 관련 아이덴티티 관리 시스템에 직접적으로 송신될 수 있거나, 또는 계정 회복 요청을 개시한 사용자를 통해 (예컨대, 리디렉션을 이용하여) 송신될 수 있다.
제1 계정 회복 토큰은 계정 셋업 프로시저의 일부로서 생성될 수 있다. 제2 계정 회복 토큰은 단순히 제1 계정 회복 토큰의 복사본(copy)일 수 있다.
또한, 본 발명은 (계정 회복 토큰을 획득하기 위한 방법과 같은) 방법을 제공하고, 상기 방법은, 아이덴티티 관리 시스템에서, 사용자와 연관된 제1 계정 회복 토큰에 대한 요청을 수신하는 단계; 사용자를 인증하는 단계; 사용자의 아이덴티티에 기초하여 그리고 제1 계정 회복 토큰을 요청하는 서비스 제공자의 아이덴티티에 기초하여, 상기 제1 계정 회복 토큰을 검색하는 단계; 및 상기 요청에 응답하여, 검색된 제1 계정 회복 토큰을 송신하는 단계를 포함한다.
본 발명은 (아이덴티티 관리 시스템과 같은) 장치를 더 제공하고, 상기 장치는, 사용자와 연관된 제1 계정 회복 토큰에 대한 요청을 수신하도록 구성된 제1 입력부; 상기 사용자를 인증하도록 구성된 제1 프로세서; 사용자의 아이덴티티에 기초하여 그리고 상기 제1 계정 회복 토큰을 요구하는 서비스 제공자의 아이덴티티에 기초하여 제1 계정 회복 토큰을 검색하도록 구성된 제2 프로세서(상기 제2 프로세서는 제1 프로세서와 동일할 수 있음)(제1 계정 회복 토큰은 통상적으로 아이덴티티 관리 시스템 또는 아이덴티티 관리 시스템이 액세스하는 데이터베이스에 저장됨); 및 상기 요청에 응답하여, 상기 검색된 제1 계정 회복 토큰을 송신하도록 구성된 제1 출력부를 포함한다.
제1 계정 회복 토큰에 대한 요청은 서비스 제공자로부터 사용자를 통해 리디렉션을 이용하여 아이덴티티 관리 시스템으로 송신될 수 있다. 이 실시예에서, 사용자는 아이덴티티 관리 시스템에 수신되는 요청의 소스인 것에 의해 식별될 수 있다; 요청 자체는 사용자의 아이덴티티를 제공하지 않을 수 있다.
제1 계정 회복 토큰은 계정 셋업 프로시저의 일부로서 생성될 수 있다. 제2 계정 회복 토큰은 단순히 제1 계정 회복 토큰의 복사본일 수 있다.
제1 계정 회복 토큰에 대한 요청은 (사용자명과 같은) 적어도 몇몇의 계정 정보를 포함할 수 있지만, 이는 필수적이지 않다.
본 발명의 몇몇의 형태들에서, 제1 계정 회복 토큰에 대한 요청은 상기 사용자를 식별한다. 대안적으로 또는 부가하여, 제1 계정 회복 토큰에 대한 요청은 서비스 제공자를 식별할 수 있다. 요청은 서비스 제공자로부터 IDM으로 직접적으로 송신될 수 있다(이로써, 서비스 제공자가 단순하게 식별되게 된다). 그러한 시나리오에서, 요청은 사용자를 명시적으로 식별할 수 있다.
본 발명은 사용자 계정 회복 방법을 제공한다. 방법은, 아이덴티티 관리 시스템(IDM) 및 서비스 제공자 둘 다에 계정 회복 토큰을 저장하는 단계를 포함한다. 사용자가 계정에 액세스할 수 없다는 표시에 응답하여, 계정 회복 토큰에 대한 요청이 관련 서비스 제공자에 의해 IDM에 송신된다. 사용자의 아이덴티티를 확인(confirm)시, IDM은 계정 회복 토큰을 검색하고 그리고 토큰을 서비스 제공자에게 회신한다. 서비스 제공자는, IDM으로부터 수신된 토큰을, 지역적으로 저장된 토큰과 비교하여, 계정 회복 프로세스(상기 프로세스는, 예컨대 사용자가 계정에 대한 새로운 패스워드를 제공하는 것을 촉진시키는 것을 포함할 수 있음)를 개시한다.
본 발명은, 서비스 제공자 및 아이덴티티 관리 시스템을 포함하는 시스템을 더 제공하고, 여기서 상기 서비스 제공자는, 계정 회복 요청을 수신하도록 구성된 제1 입력부; 제1 계정 회복 토큰에 대한 요청을 아이덴티티 관리 시스템에 송신하도록 구성된 제1 출력부(사용자 계정은 상기 요청 내에서 식별될 수 있거나 또는 식별되지 않을 수 있음); 상기 아이덴티티 관리 시스템으로부터 제1 계정 회복 토큰을 수신하도록 구성된 제2 입력부; 상기 제1 계정 회복 토큰을, 서비스 제공자가 액세스하는 하나 또는 그 초과의 제2 계정 회복 토큰들과 비교하도록 구성된 제1 프로세서(또는 몇몇의 다른 비교 수단 또는 비교기)(상기 제2 계정 회복 토큰들은 통상적으로 서비스 제공자에 저장되거나 또는 서비스 제공자가 액세스하는 데이터베이스 내에 저장됨); 및 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 하나가 상기 제1 계정 회복 토큰과 매칭되는 경우, 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 상기 하나와 연관된 사용자 계정을 회복시키도록 구성된 제2 프로세서(상기 제2 프로세서는 제1 프로세서와 동일할 수 있음)를 포함하고, 그리고 상기 아이덴티티 관리 시스템은, 사용자와 연관된 제1 계정 회복 토큰에 대한 요청을 서비스 제공자로부터 수신하도록 구성된 제1 입력부; 상기 사용자를 인증하도록 구성된 제1 프로세서; 사용자의 아이덴티티에 기초하여 그리고 상기 제1 계정 회복 토큰을 요구하는 서비스 제공자의 아이덴티티에 기초하여 제1 계정 회복 토큰을 검색하도록 구성된 제2 프로세서(상기 제2 프로세서는 제1 프로세서와 동일할 수 있음)(제1 계정 회복 토큰은 통상적으로 IDM 또는 IDM이 액세스하는 데이터베이스에 저장됨); 및 상기 요청에 응답하여, 상기 검색된 제1 계정 회복 토큰을 상기 서비스 제공자에게 송신하도록 구성된 제1 출력부를 포함한다.
또한, 본 발명은 컴퓨터 프로그램을 제공하고, 상기 컴퓨터 프로그램은, 서비스 제공자에서, 계정 회복 요청을 수신하기 위한 코드(또는 몇몇의 다른 수단); 제1 계정 회복 토큰에 대한 요청을 아이덴티티 관리 시스템에 송신하기 위한 코드(또는 몇몇의 다른 수단); 상기 아이덴티티 관리 시스템으로부터 제1 계정 회복 토큰을 수신하기 위한 코드(또는 몇몇의 다른 수단); 수신된 제1 계정 회복 토큰을, 서비스 제공자가 액세스하는 하나 또는 그 초과의 제2 계정 회복 토큰들(상기 제2 계정 회복 토큰들은 통상적으로, 서비스 제공자에 저장되거나 또는 서비스 제공자가 액세스하는 데이터베이스 내에 저장됨)과 비교하기 위한 코드(또는 몇몇의 다른 수단); 및 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 하나가 상기 제1 계정 회복 토큰과 매칭되는 경우, 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 상기 하나와 연관된 사용자 계정을 회복시키기 위한 코드(또는 몇몇의 다른 수단)를 포함한다. 컴퓨터 프로그램은, 컴퓨터와 함께 사용하기 위해 그 내부에 구현된 컴퓨터 프로그램 코드를 가지는 컴퓨터-판독가능 매체를 포함한 컴퓨터 프로그램 물건일 수 있다.
본 발명은 컴퓨터 프로그램을 또 추가로 제공하고, 상기 컴퓨터 프로그램은, 아이덴티티 관리 시스템에서, 사용자와 연관된 제1 계정 회복 토큰에 대한 요청을 수신하기 위한 코드(또는 몇몇의 다른 수단); 사용자를 인증하기 위한 코드(또는 몇몇의 다른 수단); 사용자의 아이덴티티에 기초하여 그리고 상기 제1 계정 회복 토큰을 요청하는 서비스 제공자의 아이덴티티에 기초하여, 상기 제1 계정 회복 토큰을 검색하기 위한 코드(또는 몇몇의 다른 수단); 및 상기 요청에 응답하여, 상기 검색된 제1 계정 회복 토큰을 송신하기 위한 코드(또는 몇몇의 다른 수단)를 포함한다. 컴퓨터 프로그램은, 컴퓨터와 함께 사용하기 위해 그 내부에 구현된 컴퓨터 프로그램 코드를 가지는 컴퓨터-판독가능 매체를 포함한 컴퓨터 프로그램 물건일 수 있다.
본 발명의 예시적 실시예들이 단지 예로서 아래에 넘버링된 개략적인 도면들을 참조하여 아래에서 설명된다.
도 1은 본 발명이 사용될 수 있는 시스템의 블록도이다.
도 2는 본 발명의 양상에 따른 예시적 등록 프로세스의 메시지 시퀀스를 도시한다.
도 3은 본 발명의 양상에 따른 예시적 등록 프로세스의 메시지 시퀀스를 도시한다.
도 4는 본 발명의 양상에 따른 예시적 회복 프로세스의 메시지 시퀀스를 도시한다.
도 5는 본 발명의 양상에 따른 예시적 회복 프로세스의 메시지 시퀀스를 도시한다.
도 6은 본 발명의 양상에 따른 예시적 등록 프로세스의 메시지 시퀀스를 도시한다.
도 7은 본 발명의 양상에 따른 예시적 회복 프로세스의 메시지 시퀀스를 도시한다.
도 8은 본 발명의 양상에 따른 서비스 제공자의 블록도이다.
도 9는 본 발명의 양상에 따른 아이덴티티 관리 시스템의 블록도이다.
도 1은 본 발명이 사용될 수 있는, 참조 부호 1로 일반적으로 표시된 블록도이다.
시스템(1)은 사용자(2), 서비스 제공자(4) 그리고 아이덴티티 관리 시스템(IDM)(6)을 포함한다. 사용자(2)는 서비스 제공자(4) 및 IDM(6) 둘 다와 양방향 통신한다.
서비스 제공자(4)는 IDM(6)과 양방향 통신한다.
서비스 제공자(4)로의 액세스를 획득하기 위하여, 사용자(2)는 사용자 크리덴셜들을 제공하도록 요구받는다. 그러한 사용자 크리덴셜들은 사용자명과 패스워드 쌍의 형태를 취할 수 있지만, 많은 대안적인 적절한 사용자 크리덴셜들이 기술분야의 당업자들에게 명백할 것이다.
사용자(2)가 서비스 제공자(4)에 액세스하는데 요구되는 사용자 크리덴셜들을 잊을 경우, 아래에서 상세히 설명되는 바와 같이, 사용자는 IDM(6)을 사용하여, 서비스 제공자로의 액세스를 획득할 수 있다.
본 발명의 계정 회복 프로세스는 두 개의 단계들: 등록 그리고 회복을 포함한다.
등록 단계는, 사용자(2)가 서비스 제공자(4)에 로그인되거나 또는 다른 방식으로 서비스 제공자에 등록될 때 발생한다. 예시적 등록 프로세스는 아래의 단계들을 포함한다:
1. 서비스 제공자(4)로부터의 요청에 응답하여, IDM(6)이 회복 토큰을 생성한다. 회복 토큰은 고유하고, 그리고 서비스 제공자(4) 및 IDM(6)에만 알려져 있다. IDM(6)은, (서비스 제공자에 대한 URL과 같은) 서비스 제공자에 대한 아이덴티티와 함께, 회복 토큰을 저장한다.
2. 서비스 제공자(4)는 IDM(6)으로부터 회복 토큰을 수신하고, 그리고 사용자의 크리덴셜들(예컨대, 사용자에 대한 사용자명-패스워드 쌍)과 함께, 회복 토큰을 저장한다.
회복 프로세스는 아래의 단계들을 포함한다:
1. 사용자(2)는, 서비스 제공자에서 계정을 회복시킬 것을 서비스 제공자(4)에게 요청한다.
2. 서비스 제공자(4)는 (통상적으로, 사용자(2)로부터) 관련 IDM(즉, IDM(6))의 세부사항들을 획득하고, 상기 관련 IDM으로부터 회복 토큰이 획득될 수 있다.
3. 서비스 제공자(4)는 회복 토큰을 제공할 것을 IDM(6)에게 요청한다.
4. IDM(6)은 사용자(2)를 인증한다.
5. IDM(6)은 서비스 제공자(4)로부터의 요청에 응답하여 회복 토큰을 제공한다. 회복 토큰은, 사용자(2)(위의 단계 3에서 식별됨) 및 서비스 제공자(4)(본래 요청은 위의 단계 2에서 상기 서비스 제공자(4)로부터 IDM(6)에서 수신되었음)의 아이덴티티에 기초하여, IDM에 저장된 회복 토큰들 전부로부터 선택된다.
6. 서비스 제공자(4)는, IDM(6)에 의해 제공된 회복 토큰을, 서비스 제공자에 지역적으로 저장된 하나 또는 그 초과의 회복 토큰들과 비교하고, 그리고 매칭이 발견되면, 관련 계정으로의 액세스가 사용자(2)에게 주어진다(즉, 상기 계정이 "회복"된다).
예로서, 도 2는 본 발명의 양상에 따른 예시적 등록 프로세스의 메시지 시퀀스 ― 일반적으로, 참조 부호 10으로 표시됨 ― 를 도시한다. 메시지 시퀀스(10)는, 사용자(2)가 서비스 제공자(4)에 있는 사용자 계정에 로그인하는 단계 12에서 시작한다. 다음으로, 서비스 제공자는, 계정 회복 토큰을 요청하는 요청(14)을 IDM(6)에 송신한다. 요청(14)에 응답하여, IDM은 사용자(2)와 접촉하고 그리고 사용자를 인증한다(단계 16). 사용자 인증 단계(16)는, 사용자명-패스워드 쌍의 제공, SIM 데이터의 사용, 또는 생체인증(biometric) 데이터의 사용과 같은 많은 상이한 형태들을 취할 수 있다.
일단 IDM(6)이 사용자(2)를 인증했다면, IDM은 회복 토큰을 생성하고 저장한다(단계 18에서). 그런 다음, IDM(6)은 회복 토큰을 서비스 제공자(4)에 메시지(20)로 송신하고, 상기 메시지는 본래 요청(14)에 응답하여 송신된다.
알고리즘(10) 내에 포함된 요청(14)은, IDM(6)이 사용자(2)를 인증할 수 있도록, 상기 사용자(2)를 식별할 필요가 있다. 사용자 세부사항들은 예컨대 단순히 메시지(14) 내에 포함될 수 있다. 도 3은 참조 부호 40으로 일반적으로 표시된 메시지 시퀀스를 도시하고, 여기서, 사용자(2)의 식별은, 리디렉션을 이용하여 달성된다.
메시지 시퀀스(40)는, 사용자(2)가 서비스 제공자(4)에 있는 사용자 계정에 로그인하는 단계 42에서 시작된다(이 단계는 위에 설명된 단계 12와 유사하다). 다음으로, 서비스 제공자는, 계정 회복 토큰을 요청하는 요청(14)을 IDM(6)에 송신한다. 요청(44)은 사용자(2)를 통해 리디렉션을 이용하여 송신된다. 따라서, 요청(44)은 사용자(2)로부터 IDM(6)에서 수신된다. 그러므로, 사용자를 식별하기 위해 메시지의 소스(사용자(2))가 사용될 수 있다.
요청(44)에 응답하여, IDM(6)은 사용자(2)와 접촉하고 그리고 사용자를 인증한다(단계 46 ― 상기 단계는, 위에 설명된 단계 16과 유사함 ―).
일단 IDM(6)이 사용자(2)를 인증했다면, IDM은 회복 토큰을 생성하고 저장한다(단계 48에서). 그런 다음, IDM(6)은 회복 토큰을 서비스 제공자(4)에 메시지(50)로 송신하고, 상기 메시지는 본래 요청(44)에 응답하여 송신된다. 메시지(50)는 사용자(2)를 통해 리디렉션을 이용하여 서비스 제공자(4)에 송신된다.
위에 설명된 바와 같이, 본 발명의 사용자 크리덴셜들 회복 프로세스는 두 개의 단계들: (위에 설명된 바와 같은) 등록 그리고 회복을 포함한다. 회복 프로세스는, 사용자가 자신이 요구받은 로그인 정보를 제공할 수 없음을 서비스 제공자에게 표시할 때 발생한다. 예컨대, 사용자는 사용자명을 제공할 수 있지만(이로써, 문제의 사용자 계정이 식별됨), 요구받은 패스워드를 제공할 수 없다(그래서, 요구받은 사용자 크리덴셜들이 제공되지 않음). 대안적으로, 사용자는 어떠한 크리덴셜들도 제공할 수 없을 수 있다(예컨대, 사용자명/패스워드 쌍 중 사용자명과 패스워드 둘 다가 잊어질 수 있음).
위에서 논의된 바와 같이, 회복 프로세스는, 서비스 제공자(4)가 관련 계정 회복 토큰을 제공할 것을 IDM(6)에게 요청하는 것을 포함한다. IDM(6)은 사용자를 인증한 이후에 회복 토큰을 제공한다. IDM으로부터 수신된 토큰이 서비스 제공자에 지역적으로 저장된 계정 회복 토큰과 매칭된다고 가정하면, 서비스 제공자는 계정으로의 액세스를 사용자에게 제공한다.
예로서, 도 4는 본 발명의 양상에 따른 예시적 회복 프로세스의 메시지 시퀀스 ― 일반적으로, 참조 부호 60으로 표시됨 ― 를 도시한다.
메시지 시퀀스(60)는, 사용자가 계정 회복 요청을 서비스 제공자(4)에 송신하는 단계 62에서 시작한다. 서비스 제공자(4)는, 예컨대 "계정 회복"으로 명명된, 그래픽 사용자 인터페이스의 일부로서 선택가능 링크 또는 이 목적을 위한 유사한 무엇을 제공할 수 있다.
요청(62)에 응답하여, 서비스 제공자(4)는 계정 회복 토큰 요청(64)을 IDM(6)에 송신한다. 그렇게 하기 위하여, 서비스 제공자는 IDM(6)과 어떻게 접촉할지를 알아야 한다. IDM에 대한 식별 세부사항들은 사용자(2)에 의해, 예컨대 요청(62) 내에 포함된 URL의 형태로 제공될 수 있다. 대안적으로, 요청(62)에 응답하여, 서비스 제공자(4)는, 어느 IDM을 사용할지를 사용자(2)가 표시하는 것을 촉진시킬 수 있다. 본 발명의 하나의 형태에서, 서비스 제공자(4)는 가능한 IDM들의 목록을 제공할 수 있고, 사용자(2)는 상기 목록으로부터 원하는 IDM을 선택하도록 요구받는다.
계정 회복 토큰 요청(64)의 수신시, IDM(6)은 사용자를 인증한다(단계 66). 일단 사용자가 인증되면, IDM(6)은 회복 토큰을 검색하고 그리고 회복 토큰을 서비스 제공자에게 메시지(68)로 회신한다. 회복 토큰은 사용자(2) 및 서비스 제공자(4)에 대해 고유하다. 요청(64)이 서비스 제공자로부터 수신되므로, IDM은 서비스 제공자를 쉽게 식별할 수 있다. 추가로, 사용자(2)는 알고리즘(60)의 단계 66에서 인증되었고 그리고 그러므로 또한 알려져 있다. 따라서, 정확한 계정 회복 토큰이 IDM(6)에 의해 쉽게 검색될 수 있다.
IDM(6)으로부터 회복 토큰의 수신시, 사용자 계정을 식별하기 위하여, 서비스 제공자(4)는 상기 토큰을 서비스 제공자에 저장된 하나 또는 그 초과의 토큰들과 비교한다. 본 발명의 몇몇의 형태들에서, 특정한 IDM에 대해, 회복 토큰이 사용자(2) 및 서비스 제공자(4)에 대해 고유하다는 것에 기초하여, 서비스 제공자(4)는 IDM(6)의 아이덴티티, 그리고 IDM(6)으로부터 수신된 회복 토큰을 사용하여, 사용자 계정을 식별할 수 있다.
일단 사용자 계정이 서비스 제공자(4)에 의해 식별되었다면, 사용자 계정은 "회복"될 수 있다. 사용자 계정의 회복은, 상기 계정에 대한 사용자명 및 패스워드를 사용자에게 제공하는 것 또는 사용자가 사용자명/패스워드 쌍 중 패스워드를 변경시키는 것을 촉진시키는 것과 같이 많은 형태들을 취할 수 있다. 일단 사용자에게 계정으로의 액세스가 제공되었다면, 계정 회복 프로세스는 완료된다.
알고리즘(60) 내에 포함된 요청(64)은, IDM(6)이 사용자(2)를 인증할 수 있도록, 상기 사용자(2)를 식별할 필요가 있다. 사용자 세부사항들은 예컨대 단순히 메시지(64) 내에 포함될 수 있다. 도 5는 참조 부호 80으로 일반적으로 표시된 메시지 시퀀스를 도시하고, 여기서 사용자(2)의 식별은, 리디렉션을 이용하여 달성된다. 그러므로, 알고리즘(80)은 도 3을 참조하여 위에서 설명된 알고리즘(40)과 몇몇의 유사점들을 갖는다.
메시지 시퀀스(80)는, 사용자(2)가 계정 회복 요청을 서비스 제공자(4)에 송신하는 단계 82에서 시작한다. 요청(82)은 위에서 설명된 요청(62)과 유사하다. 요청(82)에 응답하여, 서비스 제공자는 계정 회복 토큰 요청(84)(요청(64)과 유사함)을 IDM(6)에 송신한다. 요청(84)은 사용자(2)를 통해 리디렉션을 이용하여 송신된다. 따라서, 요청(84)은 사용자(2)로부터 IDM에서 수신된다. 그러므로, 사용자를 식별하기 위해 요청의 소스(사용자(2))가 사용될 수 있다.
요청(84)에 응답하여, IDM은 사용자(2)와 접촉하고 그리고 사용자를 인증한다(단계 86 ― 상기 단계는 위에서 설명된 단계 66과 유사함 ―).
일단 IDM(6)이 사용자(2)를 인증했다면, IDM은 회복 토큰을 검색하고 그리고 회복 토큰을 서비스 제공자에게 메시지(88)(위에서 설명된 메시지(68)와 유사함)로 회신한다. 메시지(88)는 사용자를 통해 리디렉션을 이용하여 서비스 제공자에 송신된다.
IDM(6)이 정확한 회복 토큰을 검색하도록 하기 위하여, 요청(84)은 서비스 제공자(4)를 식별해야 한다. 물론, 이는 쉽게 달성되는데, 그 이유는 요청(84)이 서비스 제공자(4)에 의해 송신되고 그리고 그러므로 서비스 제공자가 요구받은 식별 정보를 (요구받은 포맷으로) 요청(84) 내에 포함시킬 수 있기 때문이다.
알고리즘(60)에서와 같이, IDM(6)으로부터의 회복 토큰의 수신시, 서비스 제공자(4)는 상기 토큰을, 서비스 제공자에 저장된 하나 또는 그 초과의 계정 회복 토큰들과 비교하고, 그리고 매칭 토큰들이 발견되는 경우, 서비스 제공자는 매칭된 토큰에 대응하는 사용자 계정으로의 액세스를 사용자(2)에게 승인한다. 예컨대, 토큰들이 매칭되면, 서비스 제공자(4)는, 계정 회복 토큰에 대응하는 사용자 계정에 대한 사용자명/패스워드 쌍 중 패스워드를 사용자가 변경시키는 것을 촉진하는 메시지(90)를 송신할 수 있다.
도 6은 참조 부호 100으로 일반적으로 표시된 메시지 시퀀스이고, 상기 메시지 시퀀스는 메시지 회복 토큰을 생성하기 위한 알고리즘의 예시적 구현을 도시한다. 메시지 시퀀스(100)는, 특히 계정 회복 토큰에 대한 요청이 서비스 제공자(4)로부터 사용자(2)를 통해 IDM(6)에 송신된다는 점에서, 도 3을 참조하여 위에서 설명된 메시지 시퀀스(4)와 유사하다.
메시지 시퀀스(100)는 잘-알려진 OAuth 프로토콜의 사용에서 메시지 시퀀스(40)와 상이하다. OAuth 프로토콜은, 사용자들로 하여금, (사용자명/패스워드 정보와 같은) 액세스 허가들을 공유하지 않고, 특정한 서비스 제공자에 저장된 데이터로의 액세스를 제3자들에게 제공하도록 한다.
아래에서 상세하게 설명되는 바와 같이, 서비스 제공자(4)는 IDM(6)으로부터 계정 회복 토큰을 요청하고 그리고 획득한다. 메시지 시퀀스(100)는 OAuth 프로시저에 따르고, 그래서 서비스 제공자(4)는 IDM(6)으로부터 요청 토큰을 초기에 획득한다. 요청 토큰은 (사용자에 의해) 허가되고, 그리고 서비스 제공자는 허가된 요청 토큰을 액세스 토큰과 교환한다. 계정 회복 토큰을 획득하기 위해, 액세스 토큰이 사용된다.
메시지 시퀀스(100)는, 사용자(2)가 계정 회복 토큰에 대한 요청을 서비스 제공자(4)에 송신하는 단계(102)에서 시작한다. 요청(102)은 위에서 설명된 요청들(12 및 42)과 유사하다.
요청(102)에 응답하여, 서비스 제공자는 IDM(6)으로부터 요청 토큰을 찾는다. (앞에서와 같이, IDM(6)은 몇몇의 방식으로, 예컨대 적절한 IDM에 대한 URL을 제공할 것을 사용자(2)에게 요청함으로써 식별되어야 한다.) 요청 토큰은 서비스 제공자(4)로부터 IDM(6)으로 송신되는 메시지(104)로 요청된다. 요청 토큰은 IDM에 의해 서비스 제공자로 메시지(106)로 제공된다.
OAuth 프로토콜에 따라, 요청 토큰은 사용자 특정이 아니고, 그리고 IDM(6)에 있는 사용자 정보에 액세스할 권한(authority)을 서비스 제공자(4)에게 제공하지 않는다. 그렇게 하기 위하여, 요청 토큰은 사용자에 의해 허가되어야 한다.
다음으로, 메시지 시퀀스(100)의 단계(108)에서, 서비스 제공자(4)는, IDM(6)으로부터 회복 토큰을 획득하기 위해 사용자로부터 허락(permission)을 찾는다. 요청(108)은, 사용자(2)를 통해 리디렉션을 이용하여 IDM(6)에 송신된다. 메시지(018)에 응답하여, IDM은 메시지 시퀀스(100)의 단계(110)에서 사용자를 인증한다. 이 단계에서, 사용자는 또한, 회복 토큰을 획득하기 위해 서비스 제공자(4)에 의해 만들어진 요청을 허가하도록 요청받는다.
허가 단계(110)가 성공적이라고 가정하면, IDM(6)은 허가된 요청 토큰을 서비스 제공자(4)에게 회신한다. 허가된 요청 토큰은, IDM(6)으로부터 사용자(2)를 통해 리디렉션을 이용하여 메시지(112)로 서비스 제공자(4)에 송신된다.
OAuth 프로토콜에 따라, 서비스 제공자는, IDM(6)에 저장된 데이터로의 액세스가 승인될 수 있기 전에, 상기 허가된 요청 토큰을 액세스 토큰과 교환하도록 요구받는다. 따라서, 서비스 제공자(4)는, 상기 허가된 요청 토큰을 액세스 토큰과 교환하기 위한 요청(114)을 IDM(6)에 송신한다. 액세스 토큰이 메시지(116)로 서비스 제공자(4)에 회신된다.
이제, 서비스 제공자는 원하는 계정 회복 토큰을 요청할 수 있고 그리고 요청(118)시 그렇게 하며, 상기 요청은 액세스 토큰을 포함한다. 다음으로, IDM(6)은 (회복 토큰이 사전에 생성되지 않았음을 가정하면) 단계(120)에서 계정 회복 토큰을 생성하고, 그리고 회복 토큰을 서비스 제공자(4)에게 메시지(122)로 회신한다.
도 7은 참조 부호 130으로 일반적으로 표시된 메시지 시퀀스이고, 상기 메시지 시퀀스는 (위에서 설명된 메시지 시퀀스(100)를 이용하여 생성된 계정 회복 토큰과 같은) 계정 회복 토큰을 검색하기 위한 알고리즘의 예시적 구현을 도시한다. 메시지 시퀀스(130)는, 특히 계정 회복 토큰에 대한 요청이 서비스 제공자(4)로부터 사용자(2)를 통해 IDM(6)에 송신된다는 점에서, 도 5를 참조하여 위에서 설명된 메시지 시퀀스(80)와 유사하다. 메시지 시퀀스(130)는 OAuth 프로토콜의 사용에서 메시지 시퀀스(80)와 상이하다.
메시지 시퀀스(130)는, 사용자(2)가 계정 회복 요청을 서비스 제공자(4)에 송신하는 단계(132)에서 시작한다. 요청(132)은 위에서 설명된 요청들(62 및 82)과 유사하다. 요청(132)에 응답하여, 서비스 제공자(4)는, 요청 토큰에 대한 요청(134)을 송신함으로써 IDM(6)으로부터 요청 토큰을 찾는다. IDM(6)은 요청 토큰을 메시지(136)로 정식으로(duly) 회신한다. OAuth 프로토콜에 따라, 요청 토큰은 사용자 특정이 아니고, 그리고 IDM(6)에 있는 사용자 정보에 액세스하기 위한 권한을 서비스 제공자(4)에게 제공하지 않는다. 그렇게 하기 위하여, 요청 토큰은 사용자에 의해 허가되어야 한다.
요청 토큰의 수신시, 서비스 제공자(4)는 (요청들(64 및 84)과 유사한) 계정 회복 토큰 요청(138)을 IDM(6)에 송신한다. 요청(138)은 사용자(2)를 통해 리디렉션을 사용하여 송신된다. 메시지(138)에 응답하여, IDM은 메시지 시퀀스(130)의 단계(140)에서 사용자를 인증한다. 이 단계에서, 사용자는 또한, 회복 토큰을 획득하기 위해 서비스 제공자(4)에 의해 만들어진 요청을 허가하도록 요청받는다.
허가 단계(140)가 성공적이라고 가정하면, IDM(6)은 허가된 요청 토큰을 서비스 제공자(4)에 회신한다. 허가된 요청 토큰은 IDM(6)으로부터 사용자(2)를 통해 리디렉션을 이용하여 메시지(142)로 서비스 제공자(4)에 송신된다.
OAuth 프로토콜에 따라, 서비스 제공자는, IDM(6)에 저장된 데이터로의 액세스가 승인될 수 있기 전에, 상기 허가된 요청 토큰을 액세스 토큰과 교환하도록 요구받는다. 따라서, 서비스 제공자는, 상기 허가된 요청 토큰을 액세스 토큰과 교환하기 위한 요청(114)을 IDM에 송신한다. 액세스 토큰이 메시지(146)로 서비스 제공자(4)에 회신된다.
이제, 서비스 제공자(4)는 원하는 계정 회복 토큰을 요청할 수 있고 그리고 IDM(6)에 송신되는 요청(148)으로 그렇게 한다. 다음으로, IDM은 요청된 계정 회복 토큰을 검색하고(단계(150)), 그리고 회복 토큰을 서비스 제공자에게 (위에서 설명된 메시지들(68 및 88)과 유사한) 메시지(152)로 회신한다. 메시지(152)는 서비스 제공자에 송신된다.
IDM(6)으로부터 회복 토큰의 수신시, 서비스 제공자(4)는 상기 토큰을 서비스 제공자에 저장된 하나 또는 그 초과의 토큰들과 비교하고(단계(154)), 그리고 매칭 토큰들이 발견된다면 관련 서비스/사용자 계정으로의 액세스를 사용자(2)에게 승인한다. 예컨대, 토큰들이 매칭된다면, 서비스 제공자(4)는, 사용자가 사용자명/패스워드 쌍 중 패스워드를 변경시키는 것을 촉진시키는 메시지(156)를 송신할 수 있다.
본 발명의 다수의 예시적 실시예들이 설명되었다. 위에서 설명된 바와 같은 본 발명은 위에서 설명된 종래 기술 어레인지먼트들 중 적어도 몇몇에 비해 다수의 장점들을 제공한다.
본 발명은 계정 회복 메커니즘을 제공하고, 여기서 많은 종래 기술 어레인지먼트들과 비교될 때, 사용자의 사생활이 증대된다. 예컨대, 사용자는 e-메일 계정 세부사항들, 핸드폰 번호, 생년월일, 공통 질문에 대한 답변들 등과 같은 사생활 정보를 서비스 제공자에 제공할 필요가 없다.
IDM(6)은 서비스 제공자(4)에서 사용되는 어떠한 사용자 아이덴티티 정보도 알 필요가 없다.
사용자(2)는 서비스 제공자(4)에 있는 자신의 계정을 회복시키기 위해 아무것도 기억할 필요가 없다. 예컨대, 요구된 사용자 크리덴셜들이 사용자명과 패스워드 쌍인 경우, 사용자명과 패스워드 둘 다를 잊은 사용자가 계정을 회복시킬 수 있다.
심지어 해커가 사용자 크리덴셜들을 리셋했더라도, 상기 해커에 의해 액세스된 사용자 계정이 회복될 수 있다.
상기 솔루션은, 많은 방식들로, e-메일 계정 또는 핸드폰 번호와 같은 사용자 크리덴셜들을 사전에 지정된 계정에 제공하는 것에 의존하는 기존 솔루션들보다 더욱 안전하다.
본 발명은 저비용의 효과적인 솔루션을 제공한다. 예컨대, 부가적인 SMS 통신 수수료들이 요구되지 않는다.
도 8은, 본 발명의 몇몇의 실시예들에서 사용될 수 있는 예시적 서비스 제공자(160)의 단순화된 블록도이다. 서비스 제공자(160)는 프로세서(162) 및 메모리(164)를 포함한다. 프로세서(162)는 서비스 제공자(160)의 기능들을 제어한다. 프로세서(162)는 마이크로프로세서, 신호 프로세서 또는 별도의 컴포넌트들 및 연관된 소프트웨어를 이용하여 통상적으로 구현된다. 메모리(164)는 서비스 제공자(160)의 동작에 요구되는 다양한 소프트웨어 및 데이터를 저장할 수 있다. 메모리는 프로세서 안에 포함될 수 있거나, 또는 도 8에 도시된 바와 같이 별도로 제공될 수 있다.
도 9는, 본 발명의 몇몇의 실시예들에서 사용될 수 있는 예시적 아이덴티티 관리 시스템(170)의 단순화된 블록도이다. 아이덴티티 관리 시스템(170)은 프로세서(172) 및 메모리(174)를 포함한다. 프로세서(172)는 아이덴티티 관리 시스템(170)의 기능들을 제어한다. 프로세서(172)는 마이크로프로세서, 신호 프로세서 또는 별도의 컴포넌트들 및 연관된 소프트웨어를 이용하여 통상적으로 구현된다. 메모리(174)는 아이덴티티 관리 시스템(170)의 동작에 요구되는 다양한 소프트웨어 및 데이터를 저장할 수 있다. 메모리는 프로세서 안에 포함될 수 있거나, 또는 도 9에 도시된 바와 같이 별도로 제공될 수 있다.
서비스 제공자(160)는 제1 입력부(165), 제1 출력부(166), 제2 출력부(167) 및 제2 입력부(168)를 포함한다. 아이덴티티 관리 시스템(170)은 제1 입력부(175), 제1 출력부(176), 제2 출력부(177) 및 제2 입력부(178)를 포함한다.
사용시, 서비스 제공자(160)의 제1 입력부(165) 및 제1 출력부(166)가 사용자(2)와 통신하기 위해, 예컨대 로그인 크리덴셜들을 수신하거나 또는 사용자로부터 계정 회복을 위한 요청을 수신하기 위해 사용된다.
서비스 제공자의 제2 출력부(167) 및 제2 입력부(168)는 아이덴티티 관리 시스템(170)과 통신하기 위해 사용되고, 그리고 아이덴티티 관리 시스템(170)의 제1 입력부(175) 및 제1 출력부(176)는 서비스 제공자(160)와 통신하기 위해 사용된다. 따라서, 서비스 제공자(160)와 아이덴티티 관리 시스템(170)은, 도 2 내지 도 7을 참조하여 위에서 설명된 알고리즘들에 의해 요구되는 대로 통신할 수 있다.
아이덴티티 관리 시스템(170)의 제2 출력부(177) 및 제2 입력부(178)는 사용자(2)와 통신하기 위해 사용된다. 이는, 예컨대, 서비스 제공자(160) 및 아이덴티티 관리 시스템(170)이 사용자(2)를 통해 리디렉션을 이용하여 통신하는 것을 가능케 하기 위해 요구될 수 있다.
위에서 설명된 실시예들은, 회복 토큰이 IDM(6)에 의해 생성되고 IDM으로부터 서비스 제공자(4)로 송신되는 것을 도시한다. 이는, 본 발명의 형태들 전부에 필수적이지 않다. 예컨대, 회복 토큰은 서비스 제공자(4)에 의해 생성될 수 있고 그리고 서비스 제공자로부터 IDM(6)으로 송신될 수 있다.
위에서 설명된 본 발명의 실시예들은 제한적인 것이 아니라 예시적이다. 위의 디바이스들 및 방법들이 본 발명의 일반적인 범위로부터 벗어남 없이 다수의 수정들을 포함할 수 있음이 기술분야의 당업자에게 명백할 것이다. 그러한 수정들 전부가 첨부된 청구항들의 사상 및 범위 내에 속하므로, 그러한 수정들 전부를 본 발명의 범위 내에 포함시키는 것이 의도된다.

Claims (15)

  1. 서비스 제공자에서, 계정 회복 요청을 수신하는 단계;
    제1 계정 회복 토큰에 대한 요청을 아이덴티티 관리 시스템에 송신하는 단계;
    상기 아이덴티티 관리 시스템으로부터 상기 제1 계정 회복 토큰을 수신하는 단계;
    수신된 제1 계정 회복 토큰을, 상기 서비스 제공자가 액세스하는 하나 또는 그 초과의 제2 계정 회복 토큰들과 비교하는 단계; 및
    상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 하나가 상기 제1 계정 회복 토큰과 매칭되는 경우, 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 상기 하나와 연관된 사용자 계정을 회복시키는 단계
    를 포함하는,
    방법.
  2. 제 1 항에 있어서,
    상기 사용자 계정을 회복시키는 단계는, 사용자가 사용자 계정에 대한 크리덴셜을 리셋하는 것을 촉진시키는 단계를 포함하는,
    방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    사용자 계정을 회복시키는 단계는, 사용자 계정에 대한 적어도 몇몇의 크리덴셜들을 사용자에게 통보하는 단계를 포함하는,
    방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    사용자가 상기 아이덴티티 관리 시스템을 식별하는 것을 촉진시키는 단계
    를 더 포함하는,
    방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 계정 회복 요청은 사용자에 의해 개시되는,
    방법.
  6. 제 5 항에 있어서,
    제1 계정 회복 토큰에 대한 요청은 상기 사용자를 식별하는,
    방법.
  7. 제 5 항 또는 제 6 항에 있어서,
    제1 계정 회복 토큰에 대한 요청은 상기 사용자를 통해 상기 아이덴티티 관리 시스템으로 송신되는,
    방법.
  8. 아이덴티티 관리 시스템에서, 사용자와 연관된 제1 계정 회복 토큰에 대한 요청을 수신하는 단계;
    상기 사용자를 인증하는 단계;
    상기 사용자의 아이덴티티에 기초하여 그리고 상기 제1 계정 회복 토큰을 요청하는 서비스 제공자의 아이덴티티에 기초하여, 상기 제1 계정 회복 토큰을 검색하는 단계; 및
    상기 요청에 응답하여, 검색된 제1 계정 회복 토큰을 송신하는 단계
    를 포함하는,
    방법.
  9. 제 8 항에 있어서,
    제1 계정 회복 토큰에 대한 요청은 상기 사용자를 식별하는,
    방법.
  10. 제 8 항 또는 제 9 항에 있어서,
    제1 계정 회복 토큰에 대한 요청은 서비스 제공자로부터 상기 사용자를 통해 리디렉션을 이용하여 상기 아이덴티티 관리 시스템으로 송신되는,
    방법.
  11. 제 1 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 제1 계정 회복 토큰은 계정 셋업 프로시저의 일부로서 생성되는,
    방법.
  12. 계정 회복 요청을 수신하도록 구성된 제1 입력부;
    제1 계정 회복 토큰에 대한 요청을 아이덴티티 관리 시스템에 송신하도록 구성된 제1 출력부;
    상기 아이덴티티 관리 시스템으로부터 상기 제1 계정 회복 토큰을 수신하도록 구성된 제2 입력부;
    상기 제1 계정 회복 토큰을, 서비스 제공자가 액세스하는 하나 또는 그 초과의 제2 계정 회복 토큰들과 비교하도록 구성된 제1 프로세서; 및
    상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 하나가 상기 제1 계정 회복 토큰과 매칭되는 경우, 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 상기 하나와 연관된 사용자 계정을 회복시키도록 구성된 제2 프로세서
    를 포함하는,
    장치.
  13. 사용자와 연관된 제1 계정 회복 토큰에 대한 요청을 수신하도록 구성된 제1 입력부;
    상기 사용자를 인증하도록 구성된 제1 프로세서;
    상기 사용자의 아이덴티티에 기초하여 그리고 상기 제1 계정 회복 토큰을 요구하는 서비스 제공자의 아이덴티티에 기초하여 상기 제1 계정 회복 토큰을 검색하도록 구성된 제2 프로세서; 및
    상기 요청에 응답하여, 검색된 제1 계정 회복 토큰을 송신하도록 구성된 제1 출력부
    를 포함하는,
    장치.
  14. 서비스 제공자에서, 계정 회복 요청을 수신하기 위한 수단;
    제1 계정 회복 토큰에 대한 요청을 아이덴티티 관리 시스템에 송신하기 위한 수단;
    상기 아이덴티티 관리 시스템으로부터 상기 제1 계정 회복 토큰을 수신하기 위한 수단;
    수신된 제1 계정 회복 토큰을, 상기 서비스 제공자가 액세스하는 하나 또는 그 초과의 제2 계정 회복 토큰들과 비교하기 위한 수단; 및
    상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 하나가 상기 제1 계정 회복 토큰과 매칭되는 경우, 상기 하나 또는 그 초과의 제2 계정 회복 토큰들 중 상기 하나와 연관된 사용자 계정을 회복시키기 위한 수단
    을 포함하는,
    컴퓨터 프로그램 물건.
  15. 아이덴티티 관리 시스템에서, 사용자와 연관된 제1 계정 회복 토큰에 대한 요청을 수신하기 위한 수단;
    상기 사용자를 인증하기 위한 수단;
    상기 사용자의 아이덴티티에 기초하여 그리고 상기 제1 계정 회복 토큰을 요청하는 서비스 제공자의 아이덴티티에 기초하여, 상기 제1 계정 회복 토큰을 검색하기 위한 수단; 및
    상기 요청에 응답하여, 검색된 제1 계정 회복 토큰을 송신하기 위한 수단
    을 포함하는,
    컴퓨터 프로그램 물건.
KR1020137010771A 2010-09-27 2010-09-27 사용자 계정 회복 KR101451359B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2010/001505 WO2012040869A1 (en) 2010-09-27 2010-09-27 User account recovery

Publications (2)

Publication Number Publication Date
KR20130103537A true KR20130103537A (ko) 2013-09-23
KR101451359B1 KR101451359B1 (ko) 2014-10-15

Family

ID=45891774

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137010771A KR101451359B1 (ko) 2010-09-27 2010-09-27 사용자 계정 회복

Country Status (8)

Country Link
US (1) US20140053251A1 (ko)
EP (1) EP2622889A4 (ko)
JP (1) JP5571854B2 (ko)
KR (1) KR101451359B1 (ko)
CN (1) CN103119975B (ko)
BR (1) BR112013007246B1 (ko)
SG (1) SG189085A1 (ko)
WO (1) WO2012040869A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2643955B1 (en) * 2010-11-24 2016-08-10 Telefónica, S.A. Methods for authorizing access to protected content
US9246894B2 (en) 2012-10-30 2016-01-26 Microsoft Technology Licensing, Llc. Communicating state information to legacy clients using legacy protocols
US20150348182A1 (en) * 2014-05-28 2015-12-03 Bank Of America Corporation Preprovision onboarding process
CN105376192B (zh) 2014-07-02 2019-09-17 阿里巴巴集团控股有限公司 登录账号的提示方法和提示装置
US10061914B2 (en) * 2014-11-14 2018-08-28 Mcafee, Llc Account recovery protocol
CN105827572B (zh) * 2015-01-06 2019-05-14 中国移动通信集团浙江有限公司 一种继承用户账号业务内容的方法和装置
JP5956623B1 (ja) * 2015-01-30 2016-07-27 株式会社Pfu システム
US10498738B2 (en) 2015-06-07 2019-12-03 Apple Inc. Account access recovery system, method and apparatus
US10362007B2 (en) * 2015-11-12 2019-07-23 Facebook, Inc. Systems and methods for user account recovery
CN109644126B (zh) 2016-09-30 2022-05-13 英特尔公司 用于异构型网络中的多个设备认证的技术
US11003760B2 (en) 2019-01-30 2021-05-11 Rsa Security Llc User account recovery techniques using secret sharing scheme with trusted referee
US10880331B2 (en) * 2019-11-15 2020-12-29 Cheman Shaik Defeating solution to phishing attacks through counter challenge authentication
US11411964B1 (en) * 2022-04-19 2022-08-09 Traceless.Io Security systems and methods for identity verification and secure data transfer

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003003321A2 (en) * 2001-06-26 2003-01-09 Enterprises Solutions, Inc. Transaction verification system and method
US7353536B1 (en) * 2003-09-23 2008-04-01 At&T Delaware Intellectual Property, Inc Methods of resetting passwords in network service systems including user redirection and related systems and computer-program products
JP2005100255A (ja) * 2003-09-26 2005-04-14 Hitachi Software Eng Co Ltd パスワード変更方法
KR20060078768A (ko) * 2004-12-31 2006-07-05 주식회사 케이티 사용자 개인키의 분산 등록을 이용한 키 복구 시스템 및그 방법
US7610491B1 (en) * 2005-03-31 2009-10-27 Google Inc. Account recovery key
US8255981B2 (en) * 2005-12-21 2012-08-28 At&T Intellectual Property I, L.P. System and method of authentication
EP1811421A1 (en) * 2005-12-29 2007-07-25 AXSionics AG Security token and method for authentication of a user with the security token
JP4022781B1 (ja) * 2007-01-22 2007-12-19 有限会社プロテクス パスワード管理装置、マルチログインシステム、Webサービスシステム、及びこれらの方法
US8832453B2 (en) * 2007-02-28 2014-09-09 Red Hat, Inc. Token recycling
US8474022B2 (en) 2007-06-15 2013-06-25 Microsoft Corporation Self-service credential management
JP2009054054A (ja) * 2007-08-28 2009-03-12 Mekiki:Kk 共通属性情報検索装置、共通属性情報検索方法、及び共通属性情報検索プログラム
US20090217368A1 (en) * 2008-02-27 2009-08-27 Novell, Inc. System and method for secure account reset utilizing information cards
CN101252435B (zh) * 2008-03-27 2010-06-09 上海柯斯软件有限公司 智能卡上实现动态密码生成和判断的方法
JP4972028B2 (ja) * 2008-04-24 2012-07-11 株式会社日立製作所 コンテンツ転送システムとその方法、並びにホームサーバ
KR101190060B1 (ko) * 2008-12-12 2012-10-11 한국전자통신연구원 아이덴티티 데이터 관리 장치 및 방법

Also Published As

Publication number Publication date
US20140053251A1 (en) 2014-02-20
CN103119975A (zh) 2013-05-22
BR112013007246B1 (pt) 2021-11-30
CN103119975B (zh) 2015-12-09
JP2013541908A (ja) 2013-11-14
KR101451359B1 (ko) 2014-10-15
EP2622889A1 (en) 2013-08-07
BR112013007246A2 (pt) 2016-06-14
JP5571854B2 (ja) 2014-08-13
SG189085A1 (en) 2013-05-31
WO2012040869A1 (en) 2012-04-05
EP2622889A4 (en) 2014-12-24
AU2010361584A1 (en) 2013-03-21

Similar Documents

Publication Publication Date Title
KR101451359B1 (ko) 사용자 계정 회복
US10313881B2 (en) System and method of authentication by leveraging mobile devices for expediting user login and registration processes online
JP6586446B2 (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
ES2955941T3 (es) Autenticación específica de petición para acceder a recursos de servicio web
CN109005155B (zh) 身份认证方法及装置
EP2893484B1 (en) Method and system for verifying an access request
US10445487B2 (en) Methods and apparatus for authentication of joint account login
US20160337351A1 (en) Authentication system
GB2547472A (en) Method and system for authentication
CN114662079A (zh) 用于从多个装置访问数据的方法和系统
KR102482104B1 (ko) 식별 및/또는 인증 시스템 및 방법
WO2019226115A1 (en) Method and apparatus for user authentication
US20210234850A1 (en) System and method for accessing encrypted data remotely
US20110289567A1 (en) Service access control
CN113826095A (zh) 单击登录过程
KR20220167366A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
CN113726797B (zh) 一种安全登录方法、系统及账号管理装置
US20140250499A1 (en) Password based security method, systems and devices
US9413533B1 (en) System and method for authorizing a new authenticator
KR102313868B1 (ko) Otp를 이용한 상호 인증 방법 및 시스템
KR102016976B1 (ko) 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템
KR101705293B1 (ko) 비밀스런 인증데이터 관리가 필요 없는 인증시스템 및 방법
WO2020101668A1 (en) Secure linking of device to cloud storage
AU2010361584B2 (en) User account recovery
CN114500074B (zh) 单点系统安全访问方法、装置及相关设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee