專利名稱::利用ip地址的用戶認(rèn)證系統(tǒng)及其方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及對(duì)于用戶的登錄及網(wǎng)絡(luò)服務(wù)請(qǐng)求利用IP地址確認(rèn),防止非法用戶盜用帳號(hào)的同時(shí)選擇性地提供安全級(jí)的系統(tǒng)及其方法。
背景技術(shù):
:現(xiàn)在,在線上為用戶提供多種網(wǎng)絡(luò)服務(wù)。上述網(wǎng)絡(luò)服務(wù)通過所謂登錄的用戶認(rèn)證步驟識(shí)別及認(rèn)證會(huì)員,提供適合上述會(huì)員的權(quán)限的多種網(wǎng)絡(luò)服務(wù)。這種用戶認(rèn)證用于提供新聞門戶服務(wù)、電子郵件服務(wù)、社區(qū)服務(wù)、日志服務(wù)等的多種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)服務(wù)提供企業(yè)作為會(huì)員也確保很多數(shù)量的用戶,提供適合上述會(huì)員的權(quán)限的多種網(wǎng)絡(luò)服務(wù)。但是,為了提供靈活的網(wǎng)絡(luò)服務(wù),對(duì)上述會(huì)員賦予權(quán)限的同時(shí),需要保障對(duì)上述會(huì)員的保密性和安全。艮口,在提供網(wǎng)絡(luò)服務(wù)時(shí)用戶認(rèn)證成功的情況下,在特定對(duì)話期間會(huì)員使用自己的權(quán)限應(yīng)沒有不便,但是接近上述用戶認(rèn)證的網(wǎng)絡(luò)服務(wù)要求時(shí)還需要維持安全。圖1是表示現(xiàn)有的用戶認(rèn)證系統(tǒng)的概要圖?,F(xiàn)有的用戶認(rèn)證系統(tǒng)包括客戶機(jī)IO、登錄服務(wù)器20、服務(wù)網(wǎng)絡(luò)服務(wù)器30。過去的用戶認(rèn)證系統(tǒng)利用對(duì)話Cookie維持用戶的對(duì)話,提供網(wǎng)絡(luò)服務(wù)。首先,客戶機(jī)IO利用網(wǎng)絡(luò)瀏覽器的登錄頁面輸入ID及密碼,向登錄服務(wù)器20傳送上述ID及密碼(Sl)。登錄服務(wù)器20是執(zhí)行用戶認(rèn)證的服務(wù)器,當(dāng)上述ID及密碼與預(yù)先登記在用戶信息數(shù)據(jù)庫(省略圖示)中的ID及密碼一致時(shí)允許登錄,向客戶機(jī)10傳送用于維持對(duì)話的對(duì)話Cookie(S2)。Cookie是由服務(wù)器送到客戶機(jī)的網(wǎng)絡(luò)瀏覽器并在服務(wù)器有追加請(qǐng)求時(shí)重新送到服務(wù)器的文字列信息,可以記錄某個(gè)用戶連接到特定網(wǎng)站而瀏覽了某個(gè)信息等的信息。上述對(duì)話Cookie通常包含用戶ID、E-mail、姓名、出生年月日、性別、實(shí)名與否等多樣的個(gè)人信息??蛻魴C(jī)10登錄之后想要利用與服務(wù)網(wǎng)絡(luò)服務(wù)器30的特定URL對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)時(shí)傳送該URL和上述對(duì)話Cookie(S3)。服務(wù)網(wǎng)絡(luò)服務(wù)器30響應(yīng)于上述URL接收,確認(rèn)上述對(duì)話Cookie是否為仍然有效的狀態(tài)之后(例如確認(rèn)超時(shí)),在是仍然有效的狀態(tài)時(shí),提供對(duì)應(yīng)于上述URL的網(wǎng)絡(luò)服務(wù),若超時(shí)的情況下,拒絕接近或通知超時(shí)狀態(tài)(S4、S5)。如上所述,現(xiàn)有技術(shù)在確認(rèn)用戶認(rèn)證是否為有效狀態(tài)時(shí)利用對(duì)話Cookie。但是,上述對(duì)話Cookie有可能被黑客等的非法用戶奪取。例如,黑客利用惡性程序,攔截從客戶機(jī)PC傳送的數(shù)據(jù)包來奪取上述對(duì)話Cookie。如上所述,攔截?cái)?shù)據(jù)包的行為被稱為竊取(Sniffing)。通常,Cookie的文字列被加密,所以對(duì)話Cookie被奪取也不容易得知ID及密碼,但是暫時(shí)被奪取的對(duì)話Cookie可以用于非法用戶利用及接近特定網(wǎng)絡(luò)服務(wù)。因此,現(xiàn)有的用戶認(rèn)證系統(tǒng)對(duì)這種對(duì)話Cookie的奪取存在安全上的問題。另一方面,為了解決這種問題,在一部分網(wǎng)絡(luò)服務(wù)中有時(shí)僅將從預(yù)定的IP地址傳送的對(duì)話Cookie用于用戶認(rèn)證。但是,實(shí)際上在利用一個(gè)網(wǎng)絡(luò)服務(wù)的用戶中變更IP地址的用戶數(shù)量的比例僅為5%以上。這樣,作為IP地址變更的例子有如下情況從家、公司、網(wǎng)吧等用戶利用的客戶機(jī)的位置變更的情況,利用動(dòng)態(tài)IP分配的無線LAN的情況,利用公司內(nèi)的設(shè)施網(wǎng)的NAT(NetworkAddressTranslation:網(wǎng)絡(luò)地址轉(zhuǎn)換)設(shè)備的情況。因此,隨著無處不在的環(huán)境和網(wǎng)絡(luò)移動(dòng)性發(fā)展,存在僅利用指定的IP地址的用戶認(rèn)證反而成為用戶利用靈活的網(wǎng)絡(luò)服務(wù)的障礙的問題。因此,為了解決上述問題,要求在用戶認(rèn)證時(shí)同時(shí)提供安全和靈活的網(wǎng)絡(luò)服務(wù)的進(jìn)步的用戶認(rèn)證系統(tǒng)及方法。
發(fā)明內(nèi)容本發(fā)明的一部分實(shí)施例提供在對(duì)話Cookie被奪取的情況下也能夠維持網(wǎng)絡(luò)服務(wù)的安全的用戶認(rèn)證系統(tǒng)及其方法。另外本發(fā)明的一部分實(shí)施例提供可基于安全級(jí)選擇性地設(shè)定IP地址確認(rèn)的用戶認(rèn)證系統(tǒng)及其方法。另外,本發(fā)明提供一種用戶認(rèn)證系統(tǒng)及其方法,對(duì)處于IP地址動(dòng)態(tài)變化的環(huán)境中的用戶也提供靈活的網(wǎng)絡(luò)服務(wù)。作為解決上述技術(shù)課題的手段,基于本發(fā)明的一個(gè)側(cè)面的用戶認(rèn)證系統(tǒng)包括登錄服務(wù)器,利用用戶的ID及密碼進(jìn)行登錄;日志數(shù)據(jù)庫,存儲(chǔ)包含登錄的客戶機(jī)的IP地址的訪問日志記錄;公用模式生成模塊,從記錄在上述日志數(shù)據(jù)庫中的多個(gè)IP地址中提取同一用戶的IP地址組即第一有效IP地址列表;公用模式數(shù)據(jù)庫,存儲(chǔ)從上述公用模式生成模塊提取出的上述第一有效IP地址列表;及IP地址確認(rèn)認(rèn)證模塊,通過生成包含上述第一有效IP地址列表的對(duì)話Cookie,允許提供與從具有第一有效IP地址列表中包含的IP地址的客戶機(jī)接收的URL對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)。這里,在上述客戶機(jī)的IP地址變更時(shí),上述IP地址確認(rèn)認(rèn)證模塊將上述變更的IP地址作為臨時(shí)IP地址追加在上述對(duì)話Cookie中,請(qǐng)求重新登錄而上述重新登錄成功時(shí),將上述臨時(shí)IP地址追加在第二有效IP地址列表中。此外,基于本發(fā)明的另一側(cè)面的用戶認(rèn)證方法包括a)提供關(guān)于是否將從訪問日志記錄提取出的同一用戶的IP地址組即有效IP地址列表用于用戶認(rèn)證的選擇的步驟;b)利用上述有效IP地址列表時(shí),生成包含用戶ID和上述有效IP地址列表的對(duì)話Cookie的步驟;c)利用上述生成的對(duì)話Cookie,允許來自具有上述有效IP地址列表內(nèi)的IP地址的客戶機(jī)的網(wǎng)絡(luò)服務(wù)請(qǐng)求的步驟。這里,用戶認(rèn)證方法還包括b-1)提供指定上述有效IP地址列表的IP地址的上位3個(gè)八位字節(jié)值的第一級(jí)和指定4個(gè)八位字節(jié)值的第二級(jí)中的一個(gè)利用選擇的步驟;及b-2)在上述對(duì)話Cookie中追加對(duì)上述第一級(jí)或第二級(jí)的利用進(jìn)行識(shí)別的數(shù)據(jù)的步驟。此外,基于本發(fā)明的再一側(cè)面的用戶認(rèn)證方法包括從客戶機(jī)接收URL及對(duì)話Cookie的步驟;基于上述對(duì)話Cookie判斷上述客戶機(jī)的IP地址是否變更的步驟;在上述IP地址變更時(shí),將上述變更的IP地址作為臨時(shí)IP地址而重新設(shè)定對(duì)話Cookie的步驟;判斷上述URL是否為對(duì)上述臨時(shí)IP地址限制的網(wǎng)絡(luò)服務(wù)而提供的、需要IP地址確認(rèn)的URL的步驟;上述URL是需要上述IP地址確認(rèn)的URL時(shí),對(duì)上述客戶機(jī)請(qǐng)求重新登錄的步驟;以及上述重新登錄成功時(shí),將上述臨時(shí)IP地址追加在同一用戶可利用的有效IP地址列表中的步驟。另外,基于本發(fā)明的另一側(cè)面的記錄有數(shù)據(jù)結(jié)構(gòu)的記錄介質(zhì),上述數(shù)據(jù)結(jié)構(gòu)包括記錄有從訪問日志記錄的多個(gè)IP地址中提取出的,被判斷為同一用戶的IP地址組的上位3個(gè)八位字節(jié)值的,第一級(jí)的第一有效IP地址列表;記錄有從訪問日志記錄的多個(gè)IP地址中提取出的,被判斷為同一用戶的IP地址組的4個(gè)八位字節(jié)值的,第二級(jí)的第一有效IP地址列表;按每個(gè)特定用戶ID記錄重新登錄成功的IP地址組的上位3個(gè)八位字節(jié)值的第一級(jí)的第二有效IP地址列表;以及按每個(gè)特定用戶ID記錄重新登錄成功的IP地址組的4個(gè)八位字節(jié)值的第二級(jí)的第二有效IP地址列表。根據(jù)上述的本發(fā)明的課題解決手段中的一個(gè),即使在對(duì)話Cookie被奪取的情況下,也只有利用上述有效IP地址列表認(rèn)證的用戶才能夠接收網(wǎng)絡(luò)服務(wù)。此外,在IP地址動(dòng)態(tài)變化的環(huán)境下,上述有效IP地址列表也基于用戶的活動(dòng)和連接履歷來適應(yīng)性地更新,從而消除繁瑣性并對(duì)用戶提供靈活的網(wǎng)絡(luò)服務(wù)。此外,按安全級(jí)提供IP地址確認(rèn)選項(xiàng)選擇,從而在用戶希望的安全級(jí)下提供網(wǎng)絡(luò)服務(wù)的利用。此外,對(duì)預(yù)定的特定URL執(zhí)行IP地址確認(rèn),從而防止網(wǎng)絡(luò)服務(wù)服務(wù)器的過負(fù)荷,可提供對(duì)用戶來說沒有繁瑣性的靈活的網(wǎng)絡(luò)服務(wù)。圖1是表示現(xiàn)有的用戶認(rèn)證系統(tǒng)的概要圖。圖2是表示基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證系統(tǒng)的結(jié)構(gòu)框圖。圖3是表示在基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證系統(tǒng)中生成有效IP地址列表的動(dòng)作圖。圖4是表示在基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證系統(tǒng)中處理臨時(shí)IP地址的動(dòng)作圖。圖5是表示本發(fā)明的一個(gè)實(shí)施例的個(gè)人模式DB和公用模式DB的數(shù)據(jù)結(jié)構(gòu)圖。圖6是表示基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證設(shè)定方法的流程圖。圖7是表示基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證及更新有效IP地址列表的方法的流程圖。圖8是表示基于本發(fā)明的一個(gè)實(shí)施例的利用IP地址確認(rèn)的登錄窗口圖。圖9是表示基于本發(fā)明的一個(gè)實(shí)施例的重新登錄請(qǐng)求窗口圖。具體實(shí)施例方式以下參照附圖詳細(xì)說明本發(fā)明的實(shí)施例,以便本發(fā)明所屬
技術(shù)領(lǐng)域:
的普通技術(shù)人員能夠容易實(shí)施。但是,本發(fā)明可以體現(xiàn)為各種不同的形態(tài),不限于這里說明的實(shí)施例。并且,為了在附圖中明確說明本發(fā)明,省略了與說明無關(guān)的部分,在整個(gè)說明書中對(duì)類似的部分附加了類似的附圖標(biāo)號(hào)。在整個(gè)說明書中,假設(shè)某個(gè)部分與其它部分"連接"時(shí),這不僅包括"直接連接"的情況,還包括在其中間隔著其它元件而"電連接"的情況。此外,當(dāng)某個(gè)部分"包含"某個(gè)構(gòu)成因素時(shí),在沒有特別相反的記載的情況下,不是排除另一個(gè)構(gòu)成因素,而是表示還可以包含其它構(gòu)成因素。圖2是表示基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證系統(tǒng)的結(jié)構(gòu)框圖。用戶認(rèn)證系統(tǒng)100包括登錄服務(wù)器110、IP地址確認(rèn)認(rèn)證模塊120、公用模式生成模塊130、日志DB(數(shù)據(jù)庫)140、公用模式DB150、個(gè)人模式DB160。登錄服務(wù)器IIO從客戶機(jī)接收ID及密碼進(jìn)行用戶登錄。在成功進(jìn)行上述登錄時(shí)發(fā)行對(duì)話Cookie并進(jìn)行支援,以便以后能夠用登錄成功的用戶的權(quán)限使用網(wǎng)絡(luò)服務(wù)。另一方面,在本發(fā)明的實(shí)施例中,上述對(duì)話Cookie包含IP地址。上述IP地址根據(jù)屬性分為有效IP地址和臨時(shí)IP地址。上述有效IP地址和臨時(shí)IP地址的具體處理后面敘述。IP地址確認(rèn)認(rèn)證模塊120確認(rèn)關(guān)于與對(duì)應(yīng)于請(qǐng)求的網(wǎng)絡(luò)服務(wù)的URL同時(shí)傳送的對(duì)話Cookie的IP地址,重新設(shè)定對(duì)話Cookie。在最初登錄的客戶機(jī)的IP地址和傳送對(duì)話Cookie的客戶機(jī)的IP地址不同時(shí),IP地址確認(rèn)認(rèn)證模塊120將變更的IP地址設(shè)定為臨時(shí)IP地址重新設(shè)定對(duì)話Cookie。并且,確認(rèn)上述變更的IP地址是否相當(dāng)于已模式化的有效IP地址。上述IP地址的確認(rèn)在請(qǐng)求與預(yù)定的URL中的某一個(gè)對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)的情況下執(zhí)行。此外,IP地址確認(rèn)認(rèn)證模塊120可以基于由用戶選擇或設(shè)定的安全級(jí)來執(zhí)行上述IP地址的確認(rèn)。登錄DB140存儲(chǔ)通過訪問或登錄一注銷生成的訪問日志記錄。上述訪問日志為記錄與特定用戶IP地址匹配的對(duì)應(yīng)的客戶機(jī)IP地址而存儲(chǔ)。公用模式生成模塊130基于記錄在登錄DB140的多個(gè)IP地址生成同一用戶的IP地址模式。實(shí)際上,在利用NAT設(shè)備的設(shè)施網(wǎng)中IP地址是動(dòng)態(tài)變化的,特定IP地址對(duì)或組內(nèi)的IP地址變更可以推測(cè)為正當(dāng)?shù)牡卿?。上述同一用戶的IP地址模式是有效IP地址列表,存儲(chǔ)在公用模式DB150中。在上述有效IP地址列表內(nèi)產(chǎn)生的IP地址變更被視為有效,可以省略另外的處理(例如請(qǐng)求重新登錄)。個(gè)人模式DB160基于用戶行為生成并存儲(chǔ)成為有效IP地址的有效IP地址列表。例如,IP地址確認(rèn)認(rèn)證模塊120向客戶機(jī)請(qǐng)求重新登錄時(shí),在重新登錄成功時(shí),臨時(shí)IP地址(登錄之后變更的IP地址)追加到有效IP地址列表而存儲(chǔ)在個(gè)人模式DB中。換言之,公用模式DB150存儲(chǔ)基于以全體用戶為對(duì)象收集的訪問日志記錄生成的有效IP地址列表,個(gè)人模式DB160存儲(chǔ)通過個(gè)別用戶的特定行為生成的有效IP地址列表。公用模式DB150及個(gè)人模式DB160體現(xiàn)為物理上整合的裝置也無妨,上述有效IP地址列表可以根據(jù)設(shè)定選擇性地使用指定IP地址中的上位3個(gè)八位字節(jié)值的第一級(jí)(例如211.203.5)和使用IP地址的4個(gè)八位字節(jié)值的全部的第二級(jí)(例如,192.211.2.33)。以下,對(duì)本發(fā)明的用戶認(rèn)證系統(tǒng)的各構(gòu)成因素的動(dòng)作更具體地進(jìn)行說明。圖3是表示基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證系統(tǒng)中生成有效IP地址列表的動(dòng)作圖。利用同一用戶ID通過客戶機(jī)11及客戶機(jī)12進(jìn)行登錄,各訪問日志記錄存儲(chǔ)在日志DB140中。如上所述,上述訪問日志記錄包括登錄時(shí)的IP地址。這里,客戶機(jī)11及客戶機(jī)12是具有不同的IP地址的客戶機(jī)。公用模式生成模塊130基于記錄在日志DB140中的訪問日志記錄,生成有效IP地址列表。例如,用于同一用戶登錄的客戶機(jī)的多個(gè)IP地址或由同一NAT設(shè)備使用的多個(gè)IP地址可以包含在上述有效IP地址列表中。上述有效IP地址列表存儲(chǔ)在公用模式DB150中,接著選擇IP地址確認(rèn)時(shí),在上述列表內(nèi)的IP地址變更可以視為有效的變更。通過上述構(gòu)成,在因使用NAT設(shè)備而隨時(shí)變更IP地址的環(huán)境中,也可以將IP地址的變更模式化,不進(jìn)行另外的處理程序就能夠確保用戶認(rèn)證的安全性。上述的日志分析可以基于預(yù)定的頻度生成有效IP地址列表,以一定周期(例如6個(gè)月)單位更新,從而可以構(gòu)筑及更新公用模式DB150。圖4是表示在基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證系統(tǒng)中處理臨時(shí)IP地址的動(dòng)作圖。例如,在客戶機(jī)11執(zhí)行登錄而維持對(duì)話的狀態(tài)下,通過客戶機(jī)12可以產(chǎn)生與特定URL對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)請(qǐng)求。這里,客戶機(jī)11及客戶機(jī)12是具有不同的IP地址的客戶機(jī)。在從客戶機(jī)12與URL—起傳送的對(duì)話Cookie中包含的IP地址和客戶機(jī)12的當(dāng)前IP地址不同的情況下,或者存儲(chǔ)在個(gè)人模式DB160中的有效IP地址列表中沒有客戶機(jī)12的當(dāng)前IP地址的情況下,IP地址確認(rèn)認(rèn)證模塊120將客戶機(jī)12的當(dāng)前IP地址設(shè)定為臨時(shí)IP地址追加在對(duì)話Cookie中。在圖4中示出參照個(gè)人模式DB160來執(zhí)行有效IP地址列表的確認(rèn),但是也可以參照公用模式DB150的有效IP地址列表來執(zhí)行。IP地址確認(rèn)認(rèn)證模塊120可以根據(jù)傳送的URL的屬性來執(zhí)行兩個(gè)動(dòng)作。如果傳送的URL的網(wǎng)絡(luò)服務(wù)不需要IP地址確認(rèn)時(shí),為了提供通常的網(wǎng)絡(luò)服務(wù),允許接近及利用對(duì)應(yīng)于URL的網(wǎng)絡(luò)服務(wù)。這里,追加上述臨時(shí)IP地址,重新設(shè)定的對(duì)話Cookie也一起傳送到客戶機(jī)12。但是,傳送的URL的網(wǎng)絡(luò)服務(wù)需要IP地址確認(rèn)時(shí),向登錄服務(wù)器IIO傳送IP地址確認(rèn)結(jié)果。需要IP地址確認(rèn)的URL例如是用于郵件、紙條、日志悄悄話等的閱覽或者主要帖子的制作服務(wù)的URL。如果需要IP地址的確認(rèn)的情況下,登錄服務(wù)器110示出另外的登錄彈出窗口,對(duì)客戶機(jī)12請(qǐng)求重新登錄??蛻魴C(jī)12成功進(jìn)行重新登錄時(shí),登錄服務(wù)器110將上述IP地址存儲(chǔ)在個(gè)人模式DB160的有效IP地址列表中。以后,客戶機(jī)12的IP地址包含在有效IP地址列表中,所以IP地址確認(rèn)認(rèn)證模塊120允許向客戶機(jī)12提供網(wǎng)絡(luò)服務(wù)。雖然省略圖示,客戶機(jī)12的重新登錄失敗的情況下,拒絕接近及利用請(qǐng)求的網(wǎng)絡(luò)服務(wù)。通過圖3及圖4所示的構(gòu)成,基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證系統(tǒng),截止使用奪取的對(duì)話Cookie的非法用戶利用網(wǎng)絡(luò)服務(wù)的同時(shí),在IP地址變更的環(huán)境下也可以向正當(dāng)?shù)挠脩暨m應(yīng)性地提供網(wǎng)絡(luò)服務(wù)。圖5是表示本發(fā)明的一個(gè)實(shí)施例的個(gè)人模式DB和公用模式DB的數(shù)據(jù)結(jié)構(gòu)圖。在為IP地址確認(rèn)的登錄成功時(shí),個(gè)人模式DB160將臨時(shí)IP地址作為有效IP地址存儲(chǔ)。所存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)包括用戶IDfll、第一級(jí)IP有效地址fl2、最近恢復(fù)時(shí)間fl3。并且,上述數(shù)據(jù)結(jié)構(gòu)包括用戶IDf21、第二級(jí)有效IP地址f22、最近恢復(fù)時(shí)間f23。用于IP地址的數(shù)據(jù)f12及f22可以包括多個(gè)IP地址。第一級(jí)有效IP地址f12僅通過IP地址的4個(gè)八位字節(jié)中的上位3個(gè)八位字節(jié)值表現(xiàn)。即,對(duì)IP地址僅確認(rèn)上位3個(gè)八位字節(jié)值,在上位3個(gè)八位字節(jié)值相同的情況下視為有效IP地址。另一方面,確認(rèn)第二級(jí)有效IP地址f22確認(rèn)4個(gè)八位字節(jié)值的全部,僅在4個(gè)八位字節(jié)值與有效IP地址相同時(shí),不執(zhí)行IP地址確認(rèn)。因此,可知用于確認(rèn)第二級(jí)的有效IP地址的數(shù)據(jù)結(jié)構(gòu)的安全級(jí)高于確認(rèn)第一級(jí)的有效IP地址用的數(shù)據(jù)結(jié)構(gòu)。最近恢復(fù)時(shí)間f23記錄最近有效IP地址列表恢復(fù)的時(shí)間。基于上述恢復(fù)時(shí)間,可以限制臨時(shí)IP地址被轉(zhuǎn)換為有效IP地址。公用模式DB150以訪問網(wǎng)絡(luò)服務(wù)器的日志記錄為背景提取IP地址對(duì)或IP地址組,存儲(chǔ)有效IP地址列表。上述有效IP地址列表可大致相當(dāng)于同一NAT設(shè)備的IP地址列表。所存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)包括第一級(jí)有效IP地址f31、G2、和頻度f33。并且,所存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)包括第二級(jí)有效IP地址f41、f42、頻度f43。數(shù)據(jù)f31、f32是成對(duì)的有效IP地址,分別存儲(chǔ)IP地址上位3個(gè)八位字節(jié)。數(shù)據(jù)f41、f42是成對(duì)的有效IP地址,分別存儲(chǔ)IP地址的4個(gè)八位字節(jié)。如上所述,兩個(gè)數(shù)據(jù)結(jié)構(gòu)實(shí)質(zhì)上相同,但是構(gòu)筑第二級(jí)的有效IP地址列表的數(shù)據(jù)結(jié)構(gòu)提供更高的安全級(jí)。頻度f33、f43表示可列入IP地址列表的IP地址對(duì)的發(fā)生頻度。上述頻度的具體值可以由運(yùn)營(yíng)者選擇。圖6是表示基于本發(fā)明的一個(gè)實(shí)施例的用戶認(rèn)證設(shè)定方法的流程圖。在步驟SllO,用戶認(rèn)證系統(tǒng)設(shè)定IP地址確認(rèn)選項(xiàng)。上述IP地址確認(rèn)選項(xiàng)可以響應(yīng)于來自客戶機(jī)的選擇設(shè)定。優(yōu)選地,設(shè)為可以在用戶的登錄窗口選擇上述選項(xiàng),以便用戶在登錄的同時(shí)設(shè)定上述IP地址確認(rèn)選項(xiàng)。這里,上述IP地址確認(rèn)選項(xiàng)按照安全級(jí)順序包括(1)不使用IP地址確認(rèn)的情況、(2)利用第一級(jí)的有效IP地址列表的情況、(3)利用第二級(jí)的有效IP地址列表的情況、以及(4)僅利用單一IP地址的情況,用戶根據(jù)自己希望的安全級(jí)選擇上述IP地址確認(rèn)選項(xiàng)中的一個(gè)。步驟S120判斷是否使用IP地址確認(rèn)。在不使用IP地址確認(rèn)時(shí),與上述IP地址確認(rèn)選項(xiàng)的識(shí)別符一起生成包含登錄ID的第一對(duì)話Cookie在使用IP地址確認(rèn)時(shí),判斷是否使用有效IP地址列表S130。如果不使用有效IP地址列表時(shí),生成包含對(duì)當(dāng)前已登錄的IP地址和預(yù)定的單一IP地址進(jìn)行比較的結(jié)果值的第四對(duì)話CookieS131。這里,有效IP地址列表包含訪問日志中的同一用戶的IP地址組。并且,上述有效IP地址列表因IP地址變更而被請(qǐng)求重新登錄,是在上述重新登錄成功時(shí)追加了上述變更的IP地址的IP地址列表。在設(shè)定為可利用IP地址列表的情況下,判斷選擇第一級(jí)有效IP地址列表和第二有效IP地址列表中的哪一個(gè)S140。在選擇了第一級(jí)的情況下,調(diào)出第一級(jí)的有效IP地址列表S150,生成包含上述有效IP地址的第二對(duì)話CookieS160。在選擇了第二級(jí)的情況下,調(diào)出第二級(jí)的有效IP地址列表S170,生成包含上述有效IP地址的第三對(duì)話CookieS180。基于本發(fā)明的實(shí)施例的對(duì)話Cookie可以包含如下的信息。第一對(duì)話Cookie二[對(duì)話IPCheck選項(xiàng)],[用戶ID]第二對(duì)話Cookie-[對(duì)話IPCheck選項(xiàng)],[第一級(jí)的有效IP地址],[第一級(jí)的臨時(shí)IP地址],[用戶ID]第三對(duì)話Cookie二[對(duì)話IPCheck選項(xiàng)],[第二級(jí)的有效IP地址],[第二級(jí)的臨時(shí)IP地址],[用戶ID]第四對(duì)話Cookie二[對(duì)話IPCheck選項(xiàng)],[用戶ID]如上所述,生成對(duì)應(yīng)于各IP地址確認(rèn)選項(xiàng)的對(duì)話Cookie,從而可以提供基于用戶希望的安全級(jí)的IP地址確認(rèn)選項(xiàng)的用戶認(rèn)證。圖7是表示基于本發(fā)明的實(shí)施例的用戶認(rèn)證及更新有效IP地址列表的方法的流程圖。圖7所示的實(shí)施例涉及在利用有效IP地址列表的情況下更新上述有效IP地址列表的構(gòu)成。因此,在與圖7有關(guān)的實(shí)施例中提及的對(duì)話Cookie可以是圖6的第二對(duì)話Cookie或第三對(duì)話Cookie中的一個(gè)。用戶認(rèn)證系統(tǒng)從客戶機(jī)接收與請(qǐng)求的網(wǎng)絡(luò)服務(wù)對(duì)應(yīng)的URL及對(duì)話CookieS210。如上所述,對(duì)話Cookie中含有有效IP地址。在步驟S220中判斷IP地址是否變更。上述IP地址的變更相當(dāng)于傳送URL的客戶機(jī)的當(dāng)前IP地址和最初登錄時(shí)記錄的有效IP地址不同的情況。上述IP地址的變更與否可以根據(jù)預(yù)定的IP地址確認(rèn)選項(xiàng)僅比較上位3個(gè)八位字節(jié)值來判斷。在IP地址未變更的情況下提供與URL對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)S280、S281。另一方面,在IP地址變更的情況下將變更的IP地址作為臨時(shí)IP地址重新設(shè)定追加的對(duì)話CookieS230。在步驟S240判斷所請(qǐng)求的網(wǎng)絡(luò)服務(wù)的URL是否為需要IP地址確認(rèn)的URL。需要上述IP地址確認(rèn)的URL可以是預(yù)定的URL中的一個(gè)。例如,可以是用于郵件、紙條、日志悄悄話等的閱讀、或者用于主要帖子的制作服務(wù)的URL。在不需要IP地址確認(rèn)的URL的情況下,沒有特別地限制提供網(wǎng)絡(luò)服務(wù)S280。但是,在對(duì)話Cookie上已追加臨時(shí)IP地址的狀態(tài)、且之后利用相同的對(duì)話Cookie傳送需要IP地址確認(rèn)的網(wǎng)絡(luò)服務(wù)的URL時(shí),執(zhí)行步驟S240的判斷。另一方面,需要IP地址確認(rèn)時(shí)執(zhí)行重新登錄請(qǐng)求S250。g卩,客戶機(jī)在登錄之后變更為新的IP地址,上述新的IP地址是仍然允許接近限制性的URL的網(wǎng)絡(luò)服務(wù)的臨時(shí)IP地址。上述臨時(shí)IP地址為了轉(zhuǎn)換為有效IP地址,需要重新登錄過程。優(yōu)選地,為了進(jìn)行上述重新登錄請(qǐng)求而提供另外的登錄彈出窗口。在步驟S260判斷重新登錄是否成功執(zhí)行。如果重新登錄失敗,拒絕提供請(qǐng)求的網(wǎng)絡(luò)服務(wù)S290。在成功執(zhí)行重新登錄的情況下,臨時(shí)IP地址存儲(chǔ)在有效IP地址列表S270。然后,用戶在登錄中變更為上述存儲(chǔ)的臨時(shí)IP地址,與上述用戶的對(duì)話也被認(rèn)定為有效。在成功執(zhí)行重新登錄之后,提供與用戶傳送的URL對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)S281。這里,用戶認(rèn)證系統(tǒng)使用以下的語法(syntax)來區(qū)分需要IP地址確認(rèn)的URL,從而提供選擇性的IP地址確認(rèn)。"P地址確認(rèn)URL:IPCheck—URLurll,url2,url3,...*IP地址確認(rèn)返回URL:IPCheck—ReturnURLurl承IP地址確認(rèn)測(cè)試URL:IPCheck—TestURLurl這里,IP地址確認(rèn)URL表示在設(shè)定IP地址確認(rèn)的情況下需要IP地址確認(rèn)的URL。IP地址確認(rèn)返回URL表示在未通過IP地址確認(rèn)的情況下被轉(zhuǎn)換(redirect)的URL。IP地址確認(rèn)測(cè)試URL表示測(cè)試IP地址確認(rèn)的URL。上述IP地址確認(rèn)測(cè)試URL執(zhí)行向客戶機(jī)傳送IP地址確認(rèn)URL中的IP地址確認(rèn)結(jié)果的功能。圖8是表示基于本發(fā)明的一個(gè)實(shí)施例的利用IP地址確認(rèn)的登錄窗口圖。基于本發(fā)明的實(shí)施例的登錄窗口存在所謂"IP安全設(shè)定"的按鈕。用戶可以利用上述IP安全設(shè)定按鈕設(shè)定IP地址確認(rèn)選項(xiàng)。如上所述,IP安全設(shè)定粗分為使用IP地址信息的情況和不使用IP地址信息的情況。在不使用IP地址信息的情況下執(zhí)行通常的登錄那樣的用戶認(rèn)證。這種情況相當(dāng)于本發(fā)明的實(shí)施例中的最低安全級(jí)。在使用IP地址信息的情況下,根據(jù)安全級(jí)存在多個(gè)選項(xiàng)。例如,"SmartIPCheckLevell"是使用上述的有效IP地址列表、且執(zhí)行第一級(jí)(上位3個(gè)八位字節(jié))的比較的安全級(jí)。"SmartIPCheckLevel2"是使用有效IP地址列表、且執(zhí)行第二級(jí)(4個(gè)八位字節(jié))的比較的安全級(jí)。"ExactIP比較"是不使用有效IP地址列表、且僅對(duì)單一IP地址允許登錄的安全級(jí)。用戶利用這種登錄框的IP地址確認(rèn)選項(xiàng)選擇自己希望的安全級(jí),從而防止基于Cookie奪取等的黑客,而且可以接收靈活的網(wǎng)絡(luò)服務(wù)。具體的IP地址確認(rèn)選項(xiàng)的例示可以如下表1所示的整理。_<table>tableseeoriginaldocumentpage17</column></row><table><table>tableseeoriginaldocumentpage18</column></row><table>登錄IP二〉登錄IP地址用作對(duì)話Cookie的有效IP地址列表=>將上述IP地址列表用作對(duì)話Cookie的有效IP地址列表網(wǎng)絡(luò)請(qǐng)求=>網(wǎng)絡(luò)服務(wù)請(qǐng)求Entopia二〉(刪除)圖9是表示基于本發(fā)明的一個(gè)實(shí)施例的重新登錄請(qǐng)求窗口圖。如上所述,請(qǐng)求需要IP地址確認(rèn)的網(wǎng)絡(luò)服務(wù)的情況下,臨時(shí)IP地址和有效IP地址不同時(shí),提供如圖9所示的登錄窗口,僅在登錄成功時(shí)可以接近及利用網(wǎng)絡(luò)服務(wù)。重新登錄請(qǐng)求窗口同時(shí)存在輸入用于登錄的ID及密碼的輸入框和可選擇是否繼續(xù)使用IP地址確認(rèn)的確認(rèn)框。例如,解除窗口中央的"IP地址確認(rèn)之后"成功登錄的用戶,即使IP地址變更也不出現(xiàn)如圖9的重新登錄窗口。其目的在于,用戶在預(yù)想到當(dāng)前持續(xù)性的IP地址的變更的情況下,為了避免重新登錄的繁瑣,解除IP地址確認(rèn)選項(xiàng)。通過上述的本發(fā)明的實(shí)施例,用戶認(rèn)證系統(tǒng)在基于Cookie奪取的黑客中保護(hù)正當(dāng)?shù)挠脩?,并且也能夠適應(yīng)性地處置通常發(fā)生的正當(dāng)?shù)腎P地址變更。并且,用戶可以設(shè)定適合自己的多種安全級(jí),可以選擇適合自己的IP地址環(huán)境的安全級(jí)。并且,對(duì)與網(wǎng)絡(luò)服務(wù)對(duì)應(yīng)的URL選擇性地執(zhí)行IP地址確認(rèn),從而防止由IP地址確認(rèn)產(chǎn)生的過負(fù)荷的同時(shí),可以充分提供具有安全性的用戶認(rèn)證。本發(fā)明的一個(gè)實(shí)施例可以體現(xiàn)為包含通過計(jì)算機(jī)執(zhí)行的程序模塊那樣的、可由計(jì)算機(jī)執(zhí)行的命令語言的記錄介質(zhì)的形態(tài)。計(jì)算機(jī)可讀取的介質(zhì)可以是由計(jì)算機(jī)存取的任一可用介質(zhì),包括所有易失性及非易失性介質(zhì)、分離型及非分離型介質(zhì)。并且,計(jì)算機(jī)可讀取介質(zhì)可以包括所有計(jì)算機(jī)存儲(chǔ)介質(zhì)及通信介質(zhì)。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括所有計(jì)算機(jī)可讀命令語言、數(shù)據(jù)結(jié)構(gòu)、程序模塊、或者體現(xiàn)為用于存儲(chǔ)其它數(shù)據(jù)那樣的信息的任意方法或技術(shù)的所有易失性、非易失性、分離型、非分離型介質(zhì)。通信介質(zhì)典型地包括計(jì)算機(jī)可讀命令語言、數(shù)據(jù)結(jié)構(gòu)、程序模塊或如傳送波那樣被調(diào)制的數(shù)據(jù)信號(hào)的其它數(shù)據(jù)、或其它傳送手段,包括任意的信息傳輸介質(zhì)。上述本發(fā)明的說明是為了例示,應(yīng)當(dāng)可以理解本發(fā)明所屬
技術(shù)領(lǐng)域:
的普通技術(shù)人員在不變更本發(fā)明的技術(shù)思想或必要特征的情況下,能夠容易地變形為其它具體形態(tài)。因此,應(yīng)當(dāng)理解以上記載的實(shí)施例在各方面是例示性的,而不是限定性的。例如,說明為單一型的各構(gòu)成因素可分散實(shí)施,同樣地說明為分散的構(gòu)成要素也可以實(shí)施為結(jié)合的方式。本發(fā)明的范圍不是由上述的詳細(xì)說明示出,而是后述的權(quán)利要求書示出,權(quán)利要求書的意義、范圍、以及由其等同概念導(dǎo)出的所有變形或變形的形態(tài)應(yīng)解釋為包含在本發(fā)明的范圍內(nèi)。權(quán)利要求1.一種用戶認(rèn)證系統(tǒng),利用了IP地址確認(rèn),其特征在于,包括登錄服務(wù)器,利用用戶的ID及密碼進(jìn)行登錄;日志數(shù)據(jù)庫,存儲(chǔ)包含登錄的客戶機(jī)的IP地址的訪問日志記錄;公用模式生成模塊,從記錄在上述日志數(shù)據(jù)庫中的多個(gè)IP地址中提取同一用戶的IP地址組即第一有效IP地址列表;公用模式數(shù)據(jù)庫,存儲(chǔ)從上述公用模式生成模塊提取出的上述第一有效IP地址列表;以及IP地址確認(rèn)認(rèn)證模塊,通過生成包含上述第一有效IP地址列表的對(duì)話Cookie,允許提供與從具有第一有效IP地址列表中包含的IP地址的客戶機(jī)接收的URL對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)。2、如權(quán)利要求1所述的用戶認(rèn)證系統(tǒng),其特征在于,在上述客戶機(jī)的IP地址變更時(shí),上述IP地址確認(rèn)認(rèn)證模塊將上述變更的IP地址作為臨時(shí)IP地址追加在上述對(duì)話Cookie中,請(qǐng)求重新登錄而當(dāng)上述重新登錄成功時(shí),將上述臨時(shí)IP地址追加在第二有效IP地址列表中。3、如權(quán)利要求2所述的用戶認(rèn)證系統(tǒng),其特征在于,當(dāng)存在與需要IP地址確認(rèn)的URL對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)請(qǐng)求時(shí),上述重新登錄的請(qǐng)求被激活。4、如權(quán)利要求2所述的用戶認(rèn)證系統(tǒng),其特征在于,還包括存儲(chǔ)上述第二有效IP地址的個(gè)人模式DB,上述IP地址確認(rèn)認(rèn)證模塊允許提供與從具有上述第二有效IP地址列表中包含的IP地址的客戶機(jī)接收的URL對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)。5、如權(quán)利要求3所述的用戶認(rèn)證系統(tǒng),其特征在于,上述需要IP地址確認(rèn)的URL是用于閱讀郵件、紙條、悄悄話、以及制作帖子中的至少一種網(wǎng)絡(luò)服務(wù)的URL。6、如權(quán)利要求4所述的用戶認(rèn)證系統(tǒng),其特征在于,上述第一有效IP地址列表及第二有效IP地址列表的各IP地址是指定IP地址值中的上位3個(gè)八位字節(jié)值的第一級(jí)、或指定4個(gè)八位字節(jié)值的第二級(jí)中的一種形態(tài)。7、如權(quán)利要求6所述的用戶認(rèn)證系統(tǒng),其特征在于,上述第一級(jí)或第二級(jí)的選擇基于成功登錄的用戶IP地址確認(rèn)選項(xiàng)的選擇來決定。8、如權(quán)利要求6所述的用戶認(rèn)證系統(tǒng),其特征在于,上述對(duì)話Cookie包括上述IP地址確認(rèn)選項(xiàng)值、用戶ID、以及第一級(jí)的第一有效IP地址列表和第二有效IP地址列表。9、如權(quán)利要求6所述的用戶認(rèn)證系統(tǒng),其特征在于,上述對(duì)話Cookie包括上述IP地址確認(rèn)選項(xiàng)值、用戶ID、以及第二級(jí)的第一有效IP地址列表和第二有效IP地址列表。10、一種用戶認(rèn)證方法,利用了IP地址確認(rèn),其特征在于,包括a)提供關(guān)于是否將由訪問日志記錄生成的同一用戶的有效IP地址列表用于用戶認(rèn)證的選擇的步驟;b)利用上述有效IP地址列表時(shí),生成包含用戶ID和上述有效IP地址列表的對(duì)話Cookie的步驟;以及c)利用上述生成的對(duì)話Cookie,允許來自具有上述有效IP地址列表內(nèi)的IP地址的客戶機(jī)的網(wǎng)絡(luò)服務(wù)請(qǐng)求的步驟。11、如權(quán)利要求10所述的用戶認(rèn)證方法,其特征在于,還包括b-1)提供指定上述有效IP地址列表的IP地址的上位3個(gè)八位字節(jié)值的第一級(jí)和指定4個(gè)八位字節(jié)值的第二級(jí)中的一個(gè)利用選擇的步驟;及b-2)在上述對(duì)話Cookie中追加對(duì)上述第一級(jí)或第二級(jí)的利用進(jìn)行識(shí)別的數(shù)據(jù)的步驟。12、如權(quán)利要求ll所述的用戶認(rèn)證方法,其特征在于,還包括e)在不利用上述有效IP地址列表時(shí),提供關(guān)于不使用上述IP地址的確認(rèn)或者使用單一IP地址確認(rèn)的選擇的步驟;f)在不使用上述IP地址的確認(rèn)時(shí),生成包含用戶ID的對(duì)話Cookie的步驟;g)在使用上述單一IP地址確認(rèn)時(shí),生成包含用戶ID及上述單一IP地址的對(duì)話Cookie的步驟。13、一種用戶認(rèn)證方法,利用了IP地址確認(rèn),其特征在于,包括從客戶機(jī)接收URL及對(duì)話Cookie的步驟;基于上述對(duì)話Cookie判斷上述客戶機(jī)的IP地址是否變更的步驟;在上述IP地址變更時(shí),將上述變更的IP地址作為臨時(shí)IP地址而重新設(shè)定對(duì)話Cookie的步驟;判斷上述URL是否為對(duì)上述臨時(shí)IP地址限制網(wǎng)絡(luò)服務(wù)的提供的、需要IP地址確認(rèn)的URL的步驟;上述URL是需要上述IP地址確認(rèn)的URL時(shí),對(duì)上述客戶機(jī)請(qǐng)求重新登錄的步驟;以及上述重新登錄成功時(shí),將上述臨時(shí)IP地址追加在同一用戶可利用的有效IP地址列表中的步驟。14、如權(quán)利要求13所述的用戶認(rèn)證方法,其特征在于,上述對(duì)話Cookie包含上述有效IP地址列表。15、如權(quán)利要求14所述的用戶認(rèn)證方法,其特征在于,上述有效IP地址列表包含從訪問日志記錄中提取出的同一用戶的IP地址組。16、如權(quán)利要求15所述的用戶認(rèn)證方法,其特征在于,上述有效IP地址列表僅利用IP地址值中的上位3個(gè)八位字節(jié)值。17、如權(quán)利要求15所述的用戶認(rèn)證方法,其特征在于,在上述重新登錄請(qǐng)求時(shí)提供關(guān)于中止上述IP地址確認(rèn)的選擇。18、一種計(jì)算機(jī)可讀取記錄介質(zhì),記錄有利用基于安全級(jí)的IP地址確認(rèn)用于進(jìn)行用戶認(rèn)證的數(shù)據(jù)結(jié)構(gòu),該數(shù)據(jù)結(jié)構(gòu)包括記錄有從訪問日志記錄的多個(gè)IP地址中提取出的被判斷為同一用戶的IP地址組的上位3個(gè)八位字節(jié)值的第一級(jí)的第一有效IP地址列表;記錄有從訪問日志記錄的多個(gè)IP地址中提取出的被判斷為同一用戶的IP地址組的4個(gè)八位字節(jié)值的第二級(jí)的第一有效IP地址列表;按每個(gè)特定用戶ID記錄重新登錄成功的IP地址組的上位3個(gè)八位字節(jié)值的第一級(jí)的第二有效IP地址列表;以及按每個(gè)特定用戶ID記錄重新登錄成功的IP地址組的4個(gè)八位字節(jié)值的第二級(jí)的第二有效IP地址列表。19、如權(quán)利要求18所述的計(jì)算機(jī)可讀取記錄介質(zhì),其特征在于,上述第一級(jí)的第一有效IP地址列表及第一級(jí)的第二有效IP地址列表利用在低于第二級(jí)的第一有效IP地址列表及第二級(jí)的第二有效IP地址列表的安全級(jí)。全文摘要本發(fā)明涉及利用IP地址確認(rèn)的用戶認(rèn)證系統(tǒng)及其方法。本發(fā)明由用戶的訪問日志記錄構(gòu)筑有效IP地址列表,將上述有效IP地址列表包含在對(duì)話Cookie中,在IP地址動(dòng)態(tài)變化的環(huán)境下,也能夠執(zhí)行靈活的網(wǎng)絡(luò)服務(wù)提供和用戶認(rèn)證。并且,本發(fā)明在IP地址變更時(shí)的重要網(wǎng)絡(luò)服務(wù)中,請(qǐng)求重新登錄,根據(jù)上述重新登錄結(jié)果來更新有效IP地址列表,從而適應(yīng)性地執(zhí)行用戶認(rèn)證。此外,本發(fā)明提供上述有效IP地址列表的利用及安全級(jí)的選擇,從而提供較高的用戶便利性。文檔編號(hào)H04L9/32GK101374047SQ200810146288公開日2009年2月25日申請(qǐng)日期2008年8月14日優(yōu)先權(quán)日2007年8月21日發(fā)明者全相勛,孫丁允,宋旼哲,崔仁赫,夏李,李亨浚,李誠(chéng)鎬,白宗原,鄭榮植申請(qǐng)人:Nhn公司