專利名稱：：利用ip地址的用戶認證系統(tǒng)及其方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及對于用戶的登錄及網(wǎng)絡(luò)服務(wù)請求利用IP地址確認，防止非法用戶盜用帳號的同時選擇性地提供安全級的系統(tǒng)及其方法。
背景技術(shù)：
：現(xiàn)在，在線上為用戶提供多種網(wǎng)絡(luò)服務(wù)。上述網(wǎng)絡(luò)服務(wù)通過所謂登錄的用戶認證步驟識別及認證會員，提供適合上述會員的權(quán)限的多種網(wǎng)絡(luò)服務(wù)。這種用戶認證用于提供新聞門戶服務(wù)、電子郵件服務(wù)、社區(qū)服務(wù)、日志服務(wù)等的多種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)服務(wù)提供企業(yè)作為會員也確保很多數(shù)量的用戶，提供適合上述會員的權(quán)限的多種網(wǎng)絡(luò)服務(wù)。但是，為了提供靈活的網(wǎng)絡(luò)服務(wù)，對上述會員賦予權(quán)限的同時，需要保障對上述會員的保密性和安全。艮口，在提供網(wǎng)絡(luò)服務(wù)時用戶認證成功的情況下，在特定對話期間會員使用自己的權(quán)限應(yīng)沒有不便，但是接近上述用戶認證的網(wǎng)絡(luò)服務(wù)要求時還需要維持安全。圖1是表示現(xiàn)有的用戶認證系統(tǒng)的概要圖?，F(xiàn)有的用戶認證系統(tǒng)包括客戶機IO、登錄服務(wù)器20、服務(wù)網(wǎng)絡(luò)服務(wù)器30。過去的用戶認證系統(tǒng)利用對話Cookie維持用戶的對話，提供網(wǎng)絡(luò)服務(wù)。首先，客戶機IO利用網(wǎng)絡(luò)瀏覽器的登錄頁面輸入ID及密碼，向登錄服務(wù)器20傳送上述ID及密碼(Sl)。登錄服務(wù)器20是執(zhí)行用戶認證的服務(wù)器，當(dāng)上述ID及密碼與預(yù)先登記在用戶信息數(shù)據(jù)庫(省略圖示)中的ID及密碼一致時允許登錄，向客戶機10傳送用于維持對話的對話Cookie(S2)。Cookie是由服務(wù)器送到客戶機的網(wǎng)絡(luò)瀏覽器并在服務(wù)器有追加請求時重新送到服務(wù)器的文字列信息，可以記錄某個用戶連接到特定網(wǎng)站而瀏覽了某個信息等的信息。上述對話Cookie通常包含用戶ID、E-mail、姓名、出生年月日、性別、實名與否等多樣的個人信息。客戶機10登錄之后想要利用與服務(wù)網(wǎng)絡(luò)服務(wù)器30的特定URL對應(yīng)的網(wǎng)絡(luò)服務(wù)時傳送該URL和上述對話Cookie(S3)。服務(wù)網(wǎng)絡(luò)服務(wù)器30響應(yīng)于上述URL接收，確認上述對話Cookie是否為仍然有效的狀態(tài)之后(例如確認超時)，在是仍然有效的狀態(tài)時，提供對應(yīng)于上述URL的網(wǎng)絡(luò)服務(wù)，若超時的情況下，拒絕接近或通知超時狀態(tài)(S4、S5)。如上所述，現(xiàn)有技術(shù)在確認用戶認證是否為有效狀態(tài)時利用對話Cookie。但是，上述對話Cookie有可能被黑客等的非法用戶奪取。例如，黑客利用惡性程序，攔截從客戶機PC傳送的數(shù)據(jù)包來奪取上述對話Cookie。如上所述，攔截數(shù)據(jù)包的行為被稱為竊取(Sniffing)。通常，Cookie的文字列被加密，所以對話Cookie被奪取也不容易得知ID及密碼，但是暫時被奪取的對話Cookie可以用于非法用戶利用及接近特定網(wǎng)絡(luò)服務(wù)。因此，現(xiàn)有的用戶認證系統(tǒng)對這種對話Cookie的奪取存在安全上的問題。另一方面，為了解決這種問題，在一部分網(wǎng)絡(luò)服務(wù)中有時僅將從預(yù)定的IP地址傳送的對話Cookie用于用戶認證。但是，實際上在利用一個網(wǎng)絡(luò)服務(wù)的用戶中變更IP地址的用戶數(shù)量的比例僅為5%以上。這樣，作為IP地址變更的例子有如下情況從家、公司、網(wǎng)吧等用戶利用的客戶機的位置變更的情況，利用動態(tài)IP分配的無線LAN的情況，利用公司內(nèi)的設(shè)施網(wǎng)的NAT(NetworkAddressTranslation:網(wǎng)絡(luò)地址轉(zhuǎn)換)設(shè)備的情況。因此，隨著無處不在的環(huán)境和網(wǎng)絡(luò)移動性發(fā)展，存在僅利用指定的IP地址的用戶認證反而成為用戶利用靈活的網(wǎng)絡(luò)服務(wù)的障礙的問題。因此，為了解決上述問題，要求在用戶認證時同時提供安全和靈活的網(wǎng)絡(luò)服務(wù)的進步的用戶認證系統(tǒng)及方法。
發(fā)明內(nèi)容本發(fā)明的一部分實施例提供在對話Cookie被奪取的情況下也能夠維持網(wǎng)絡(luò)服務(wù)的安全的用戶認證系統(tǒng)及其方法。另外本發(fā)明的一部分實施例提供可基于安全級選擇性地設(shè)定IP地址確認的用戶認證系統(tǒng)及其方法。另外，本發(fā)明提供一種用戶認證系統(tǒng)及其方法，對處于IP地址動態(tài)變化的環(huán)境中的用戶也提供靈活的網(wǎng)絡(luò)服務(wù)。作為解決上述技術(shù)課題的手段，基于本發(fā)明的一個側(cè)面的用戶認證系統(tǒng)包括登錄服務(wù)器，利用用戶的ID及密碼進行登錄；日志數(shù)據(jù)庫，存儲包含登錄的客戶機的IP地址的訪問日志記錄；公用模式生成模塊，從記錄在上述日志數(shù)據(jù)庫中的多個IP地址中提取同一用戶的IP地址組即第一有效IP地址列表；公用模式數(shù)據(jù)庫，存儲從上述公用模式生成模塊提取出的上述第一有效IP地址列表；及IP地址確認認證模塊，通過生成包含上述第一有效IP地址列表的對話Cookie,允許提供與從具有第一有效IP地址列表中包含的IP地址的客戶機接收的URL對應(yīng)的網(wǎng)絡(luò)服務(wù)。這里，在上述客戶機的IP地址變更時，上述IP地址確認認證模塊將上述變更的IP地址作為臨時IP地址追加在上述對話Cookie中，請求重新登錄而上述重新登錄成功時，將上述臨時IP地址追加在第二有效IP地址列表中。此外，基于本發(fā)明的另一側(cè)面的用戶認證方法包括a)提供關(guān)于是否將從訪問日志記錄提取出的同一用戶的IP地址組即有效IP地址列表用于用戶認證的選擇的步驟；b)利用上述有效IP地址列表時，生成包含用戶ID和上述有效IP地址列表的對話Cookie的步驟；c)利用上述生成的對話Cookie,允許來自具有上述有效IP地址列表內(nèi)的IP地址的客戶機的網(wǎng)絡(luò)服務(wù)請求的步驟。這里，用戶認證方法還包括b-1)提供指定上述有效IP地址列表的IP地址的上位3個八位字節(jié)值的第一級和指定4個八位字節(jié)值的第二級中的一個利用選擇的步驟；及b-2)在上述對話Cookie中追加對上述第一級或第二級的利用進行識別的數(shù)據(jù)的步驟。此外，基于本發(fā)明的再一側(cè)面的用戶認證方法包括從客戶機接收URL及對話Cookie的步驟；基于上述對話Cookie判斷上述客戶機的IP地址是否變更的步驟；在上述IP地址變更時，將上述變更的IP地址作為臨時IP地址而重新設(shè)定對話Cookie的步驟；判斷上述URL是否為對上述臨時IP地址限制的網(wǎng)絡(luò)服務(wù)而提供的、需要IP地址確認的URL的步驟；上述URL是需要上述IP地址確認的URL時，對上述客戶機請求重新登錄的步驟；以及上述重新登錄成功時，將上述臨時IP地址追加在同一用戶可利用的有效IP地址列表中的步驟。另外，基于本發(fā)明的另一側(cè)面的記錄有數(shù)據(jù)結(jié)構(gòu)的記錄介質(zhì)，上述數(shù)據(jù)結(jié)構(gòu)包括記錄有從訪問日志記錄的多個IP地址中提取出的，被判斷為同一用戶的IP地址組的上位3個八位字節(jié)值的，第一級的第一有效IP地址列表;記錄有從訪問日志記錄的多個IP地址中提取出的，被判斷為同一用戶的IP地址組的4個八位字節(jié)值的，第二級的第一有效IP地址列表；按每個特定用戶ID記錄重新登錄成功的IP地址組的上位3個八位字節(jié)值的第一級的第二有效IP地址列表；以及按每個特定用戶ID記錄重新登錄成功的IP地址組的4個八位字節(jié)值的第二級的第二有效IP地址列表。根據(jù)上述的本發(fā)明的課題解決手段中的一個，即使在對話Cookie被奪取的情況下，也只有利用上述有效IP地址列表認證的用戶才能夠接收網(wǎng)絡(luò)服務(wù)。此外，在IP地址動態(tài)變化的環(huán)境下，上述有效IP地址列表也基于用戶的活動和連接履歷來適應(yīng)性地更新，從而消除繁瑣性并對用戶提供靈活的網(wǎng)絡(luò)服務(wù)。此外，按安全級提供IP地址確認選項選擇，從而在用戶希望的安全級下提供網(wǎng)絡(luò)服務(wù)的利用。此外，對預(yù)定的特定URL執(zhí)行IP地址確認，從而防止網(wǎng)絡(luò)服務(wù)服務(wù)器的過負荷，可提供對用戶來說沒有繁瑣性的靈活的網(wǎng)絡(luò)服務(wù)。圖1是表示現(xiàn)有的用戶認證系統(tǒng)的概要圖。圖2是表示基于本發(fā)明的一個實施例的用戶認證系統(tǒng)的結(jié)構(gòu)框圖。圖3是表示在基于本發(fā)明的一個實施例的用戶認證系統(tǒng)中生成有效IP地址列表的動作圖。圖4是表示在基于本發(fā)明的一個實施例的用戶認證系統(tǒng)中處理臨時IP地址的動作圖。圖5是表示本發(fā)明的一個實施例的個人模式DB和公用模式DB的數(shù)據(jù)結(jié)構(gòu)圖。圖6是表示基于本發(fā)明的一個實施例的用戶認證設(shè)定方法的流程圖。圖7是表示基于本發(fā)明的一個實施例的用戶認證及更新有效IP地址列表的方法的流程圖。圖8是表示基于本發(fā)明的一個實施例的利用IP地址確認的登錄窗口圖。圖9是表示基于本發(fā)明的一個實施例的重新登錄請求窗口圖。具體實施例方式以下參照附圖詳細說明本發(fā)明的實施例，以便本發(fā)明所屬
技術(shù)領(lǐng)域：
的普通技術(shù)人員能夠容易實施。但是，本發(fā)明可以體現(xiàn)為各種不同的形態(tài)，不限于這里說明的實施例。并且，為了在附圖中明確說明本發(fā)明，省略了與說明無關(guān)的部分，在整個說明書中對類似的部分附加了類似的附圖標號。在整個說明書中，假設(shè)某個部分與其它部分"連接"時，這不僅包括"直接連接"的情況，還包括在其中間隔著其它元件而"電連接"的情況。此外，當(dāng)某個部分"包含"某個構(gòu)成因素時，在沒有特別相反的記載的情況下，不是排除另一個構(gòu)成因素，而是表示還可以包含其它構(gòu)成因素。圖2是表示基于本發(fā)明的一個實施例的用戶認證系統(tǒng)的結(jié)構(gòu)框圖。用戶認證系統(tǒng)100包括登錄服務(wù)器110、IP地址確認認證模塊120、公用模式生成模塊130、日志DB(數(shù)據(jù)庫)140、公用模式DB150、個人模式DB160。登錄服務(wù)器IIO從客戶機接收ID及密碼進行用戶登錄。在成功進行上述登錄時發(fā)行對話Cookie并進行支援，以便以后能夠用登錄成功的用戶的權(quán)限使用網(wǎng)絡(luò)服務(wù)。另一方面，在本發(fā)明的實施例中，上述對話Cookie包含IP地址。上述IP地址根據(jù)屬性分為有效IP地址和臨時IP地址。上述有效IP地址和臨時IP地址的具體處理后面敘述。IP地址確認認證模塊120確認關(guān)于與對應(yīng)于請求的網(wǎng)絡(luò)服務(wù)的URL同時傳送的對話Cookie的IP地址，重新設(shè)定對話Cookie。在最初登錄的客戶機的IP地址和傳送對話Cookie的客戶機的IP地址不同時，IP地址確認認證模塊120將變更的IP地址設(shè)定為臨時IP地址重新設(shè)定對話Cookie。并且，確認上述變更的IP地址是否相當(dāng)于已模式化的有效IP地址。上述IP地址的確認在請求與預(yù)定的URL中的某一個對應(yīng)的網(wǎng)絡(luò)服務(wù)的情況下執(zhí)行。此外，IP地址確認認證模塊120可以基于由用戶選擇或設(shè)定的安全級來執(zhí)行上述IP地址的確認。登錄DB140存儲通過訪問或登錄一注銷生成的訪問日志記錄。上述訪問日志為記錄與特定用戶IP地址匹配的對應(yīng)的客戶機IP地址而存儲。公用模式生成模塊130基于記錄在登錄DB140的多個IP地址生成同一用戶的IP地址模式。實際上，在利用NAT設(shè)備的設(shè)施網(wǎng)中IP地址是動態(tài)變化的，特定IP地址對或組內(nèi)的IP地址變更可以推測為正當(dāng)?shù)牡卿?。上述同一用戶的IP地址模式是有效IP地址列表，存儲在公用模式DB150中。在上述有效IP地址列表內(nèi)產(chǎn)生的IP地址變更被視為有效，可以省略另外的處理(例如請求重新登錄)。個人模式DB160基于用戶行為生成并存儲成為有效IP地址的有效IP地址列表。例如，IP地址確認認證模塊120向客戶機請求重新登錄時，在重新登錄成功時，臨時IP地址(登錄之后變更的IP地址)追加到有效IP地址列表而存儲在個人模式DB中。換言之，公用模式DB150存儲基于以全體用戶為對象收集的訪問日志記錄生成的有效IP地址列表，個人模式DB160存儲通過個別用戶的特定行為生成的有效IP地址列表。公用模式DB150及個人模式DB160體現(xiàn)為物理上整合的裝置也無妨，上述有效IP地址列表可以根據(jù)設(shè)定選擇性地使用指定IP地址中的上位3個八位字節(jié)值的第一級(例如211.203.5)和使用IP地址的4個八位字節(jié)值的全部的第二級(例如，192.211.2.33)。以下，對本發(fā)明的用戶認證系統(tǒng)的各構(gòu)成因素的動作更具體地進行說明。圖3是表示基于本發(fā)明的一個實施例的用戶認證系統(tǒng)中生成有效IP地址列表的動作圖。利用同一用戶ID通過客戶機11及客戶機12進行登錄，各訪問日志記錄存儲在日志DB140中。如上所述，上述訪問日志記錄包括登錄時的IP地址。這里，客戶機11及客戶機12是具有不同的IP地址的客戶機。公用模式生成模塊130基于記錄在日志DB140中的訪問日志記錄，生成有效IP地址列表。例如，用于同一用戶登錄的客戶機的多個IP地址或由同一NAT設(shè)備使用的多個IP地址可以包含在上述有效IP地址列表中。上述有效IP地址列表存儲在公用模式DB150中，接著選擇IP地址確認時，在上述列表內(nèi)的IP地址變更可以視為有效的變更。通過上述構(gòu)成，在因使用NAT設(shè)備而隨時變更IP地址的環(huán)境中，也可以將IP地址的變更模式化，不進行另外的處理程序就能夠確保用戶認證的安全性。上述的日志分析可以基于預(yù)定的頻度生成有效IP地址列表，以一定周期(例如6個月)單位更新，從而可以構(gòu)筑及更新公用模式DB150。圖4是表示在基于本發(fā)明的一個實施例的用戶認證系統(tǒng)中處理臨時IP地址的動作圖。例如，在客戶機11執(zhí)行登錄而維持對話的狀態(tài)下，通過客戶機12可以產(chǎn)生與特定URL對應(yīng)的網(wǎng)絡(luò)服務(wù)請求。這里，客戶機11及客戶機12是具有不同的IP地址的客戶機。在從客戶機12與URL—起傳送的對話Cookie中包含的IP地址和客戶機12的當(dāng)前IP地址不同的情況下，或者存儲在個人模式DB160中的有效IP地址列表中沒有客戶機12的當(dāng)前IP地址的情況下，IP地址確認認證模塊120將客戶機12的當(dāng)前IP地址設(shè)定為臨時IP地址追加在對話Cookie中。在圖4中示出參照個人模式DB160來執(zhí)行有效IP地址列表的確認，但是也可以參照公用模式DB150的有效IP地址列表來執(zhí)行。IP地址確認認證模塊120可以根據(jù)傳送的URL的屬性來執(zhí)行兩個動作。如果傳送的URL的網(wǎng)絡(luò)服務(wù)不需要IP地址確認時，為了提供通常的網(wǎng)絡(luò)服務(wù)，允許接近及利用對應(yīng)于URL的網(wǎng)絡(luò)服務(wù)。這里，追加上述臨時IP地址，重新設(shè)定的對話Cookie也一起傳送到客戶機12。但是，傳送的URL的網(wǎng)絡(luò)服務(wù)需要IP地址確認時，向登錄服務(wù)器IIO傳送IP地址確認結(jié)果。需要IP地址確認的URL例如是用于郵件、紙條、日志悄悄話等的閱覽或者主要帖子的制作服務(wù)的URL。如果需要IP地址的確認的情況下，登錄服務(wù)器110示出另外的登錄彈出窗口，對客戶機12請求重新登錄?？蛻魴C12成功進行重新登錄時，登錄服務(wù)器110將上述IP地址存儲在個人模式DB160的有效IP地址列表中。以后，客戶機12的IP地址包含在有效IP地址列表中，所以IP地址確認認證模塊120允許向客戶機12提供網(wǎng)絡(luò)服務(wù)。雖然省略圖示，客戶機12的重新登錄失敗的情況下，拒絕接近及利用請求的網(wǎng)絡(luò)服務(wù)。通過圖3及圖4所示的構(gòu)成，基于本發(fā)明的一個實施例的用戶認證系統(tǒng)，截止使用奪取的對話Cookie的非法用戶利用網(wǎng)絡(luò)服務(wù)的同時，在IP地址變更的環(huán)境下也可以向正當(dāng)?shù)挠脩暨m應(yīng)性地提供網(wǎng)絡(luò)服務(wù)。圖5是表示本發(fā)明的一個實施例的個人模式DB和公用模式DB的數(shù)據(jù)結(jié)構(gòu)圖。在為IP地址確認的登錄成功時，個人模式DB160將臨時IP地址作為有效IP地址存儲。所存儲的數(shù)據(jù)結(jié)構(gòu)包括用戶IDfll、第一級IP有效地址fl2、最近恢復(fù)時間fl3。并且，上述數(shù)據(jù)結(jié)構(gòu)包括用戶IDf21、第二級有效IP地址f22、最近恢復(fù)時間f23。用于IP地址的數(shù)據(jù)f12及f22可以包括多個IP地址。第一級有效IP地址f12僅通過IP地址的4個八位字節(jié)中的上位3個八位字節(jié)值表現(xiàn)。即，對IP地址僅確認上位3個八位字節(jié)值，在上位3個八位字節(jié)值相同的情況下視為有效IP地址。另一方面，確認第二級有效IP地址f22確認4個八位字節(jié)值的全部，僅在4個八位字節(jié)值與有效IP地址相同時，不執(zhí)行IP地址確認。因此，可知用于確認第二級的有效IP地址的數(shù)據(jù)結(jié)構(gòu)的安全級高于確認第一級的有效IP地址用的數(shù)據(jù)結(jié)構(gòu)。最近恢復(fù)時間f23記錄最近有效IP地址列表恢復(fù)的時間?；谏鲜龌謴?fù)時間，可以限制臨時IP地址被轉(zhuǎn)換為有效IP地址。公用模式DB150以訪問網(wǎng)絡(luò)服務(wù)器的日志記錄為背景提取IP地址對或IP地址組，存儲有效IP地址列表。上述有效IP地址列表可大致相當(dāng)于同一NAT設(shè)備的IP地址列表。所存儲的數(shù)據(jù)結(jié)構(gòu)包括第一級有效IP地址f31、G2、和頻度f33。并且，所存儲的數(shù)據(jù)結(jié)構(gòu)包括第二級有效IP地址f41、f42、頻度f43。數(shù)據(jù)f31、f32是成對的有效IP地址，分別存儲IP地址上位3個八位字節(jié)。數(shù)據(jù)f41、f42是成對的有效IP地址，分別存儲IP地址的4個八位字節(jié)。如上所述，兩個數(shù)據(jù)結(jié)構(gòu)實質(zhì)上相同，但是構(gòu)筑第二級的有效IP地址列表的數(shù)據(jù)結(jié)構(gòu)提供更高的安全級。頻度f33、f43表示可列入IP地址列表的IP地址對的發(fā)生頻度。上述頻度的具體值可以由運營者選擇。圖6是表示基于本發(fā)明的一個實施例的用戶認證設(shè)定方法的流程圖。在步驟SllO，用戶認證系統(tǒng)設(shè)定IP地址確認選項。上述IP地址確認選項可以響應(yīng)于來自客戶機的選擇設(shè)定。優(yōu)選地，設(shè)為可以在用戶的登錄窗口選擇上述選項，以便用戶在登錄的同時設(shè)定上述IP地址確認選項。這里，上述IP地址確認選項按照安全級順序包括(1)不使用IP地址確認的情況、(2)利用第一級的有效IP地址列表的情況、(3)利用第二級的有效IP地址列表的情況、以及(4)僅利用單一IP地址的情況，用戶根據(jù)自己希望的安全級選擇上述IP地址確認選項中的一個。步驟S120判斷是否使用IP地址確認。在不使用IP地址確認時，與上述IP地址確認選項的識別符一起生成包含登錄ID的第一對話Cookie在使用IP地址確認時，判斷是否使用有效IP地址列表S130。如果不使用有效IP地址列表時，生成包含對當(dāng)前已登錄的IP地址和預(yù)定的單一IP地址進行比較的結(jié)果值的第四對話CookieS131。這里，有效IP地址列表包含訪問日志中的同一用戶的IP地址組。并且，上述有效IP地址列表因IP地址變更而被請求重新登錄，是在上述重新登錄成功時追加了上述變更的IP地址的IP地址列表。在設(shè)定為可利用IP地址列表的情況下，判斷選擇第一級有效IP地址列表和第二有效IP地址列表中的哪一個S140。在選擇了第一級的情況下，調(diào)出第一級的有效IP地址列表S150，生成包含上述有效IP地址的第二對話CookieS160。在選擇了第二級的情況下，調(diào)出第二級的有效IP地址列表S170，生成包含上述有效IP地址的第三對話CookieS180?；诒景l(fā)明的實施例的對話Cookie可以包含如下的信息。第一對話Cookie二[對話IPCheck選項]，[用戶ID]第二對話Cookie-[對話IPCheck選項]，[第一級的有效IP地址]，[第一級的臨時IP地址]，[用戶ID]第三對話Cookie二[對話IPCheck選項]，[第二級的有效IP地址]，[第二級的臨時IP地址]，[用戶ID]第四對話Cookie二[對話IPCheck選項]，[用戶ID]如上所述，生成對應(yīng)于各IP地址確認選項的對話Cookie,從而可以提供基于用戶希望的安全級的IP地址確認選項的用戶認證。圖7是表示基于本發(fā)明的實施例的用戶認證及更新有效IP地址列表的方法的流程圖。圖7所示的實施例涉及在利用有效IP地址列表的情況下更新上述有效IP地址列表的構(gòu)成。因此，在與圖7有關(guān)的實施例中提及的對話Cookie可以是圖6的第二對話Cookie或第三對話Cookie中的一個。用戶認證系統(tǒng)從客戶機接收與請求的網(wǎng)絡(luò)服務(wù)對應(yīng)的URL及對話CookieS210。如上所述，對話Cookie中含有有效IP地址。在步驟S220中判斷IP地址是否變更。上述IP地址的變更相當(dāng)于傳送URL的客戶機的當(dāng)前IP地址和最初登錄時記錄的有效IP地址不同的情況。上述IP地址的變更與否可以根據(jù)預(yù)定的IP地址確認選項僅比較上位3個八位字節(jié)值來判斷。在IP地址未變更的情況下提供與URL對應(yīng)的網(wǎng)絡(luò)服務(wù)S280、S281。另一方面，在IP地址變更的情況下將變更的IP地址作為臨時IP地址重新設(shè)定追加的對話CookieS230。在步驟S240判斷所請求的網(wǎng)絡(luò)服務(wù)的URL是否為需要IP地址確認的URL。需要上述IP地址確認的URL可以是預(yù)定的URL中的一個。例如，可以是用于郵件、紙條、日志悄悄話等的閱讀、或者用于主要帖子的制作服務(wù)的URL。在不需要IP地址確認的URL的情況下，沒有特別地限制提供網(wǎng)絡(luò)服務(wù)S280。但是，在對話Cookie上已追加臨時IP地址的狀態(tài)、且之后利用相同的對話Cookie傳送需要IP地址確認的網(wǎng)絡(luò)服務(wù)的URL時，執(zhí)行步驟S240的判斷。另一方面，需要IP地址確認時執(zhí)行重新登錄請求S250。g卩，客戶機在登錄之后變更為新的IP地址，上述新的IP地址是仍然允許接近限制性的URL的網(wǎng)絡(luò)服務(wù)的臨時IP地址。上述臨時IP地址為了轉(zhuǎn)換為有效IP地址，需要重新登錄過程。優(yōu)選地，為了進行上述重新登錄請求而提供另外的登錄彈出窗口。在步驟S260判斷重新登錄是否成功執(zhí)行。如果重新登錄失敗，拒絕提供請求的網(wǎng)絡(luò)服務(wù)S290。在成功執(zhí)行重新登錄的情況下，臨時IP地址存儲在有效IP地址列表S270。然后，用戶在登錄中變更為上述存儲的臨時IP地址，與上述用戶的對話也被認定為有效。在成功執(zhí)行重新登錄之后，提供與用戶傳送的URL對應(yīng)的網(wǎng)絡(luò)服務(wù)S281。這里，用戶認證系統(tǒng)使用以下的語法(syntax)來區(qū)分需要IP地址確認的URL，從而提供選擇性的IP地址確認。"P地址確認URL:IPCheck—URLurll，url2，url3，...*IP地址確認返回URL:IPCheck—ReturnURLurl承IP地址確認測試URL:IPCheck—TestURLurl這里，IP地址確認URL表示在設(shè)定IP地址確認的情況下需要IP地址確認的URL。IP地址確認返回URL表示在未通過IP地址確認的情況下被轉(zhuǎn)換(redirect)的URL。IP地址確認測試URL表示測試IP地址確認的URL。上述IP地址確認測試URL執(zhí)行向客戶機傳送IP地址確認URL中的IP地址確認結(jié)果的功能。圖8是表示基于本發(fā)明的一個實施例的利用IP地址確認的登錄窗口圖。基于本發(fā)明的實施例的登錄窗口存在所謂"IP安全設(shè)定"的按鈕。用戶可以利用上述IP安全設(shè)定按鈕設(shè)定IP地址確認選項。如上所述，IP安全設(shè)定粗分為使用IP地址信息的情況和不使用IP地址信息的情況。在不使用IP地址信息的情況下執(zhí)行通常的登錄那樣的用戶認證。這種情況相當(dāng)于本發(fā)明的實施例中的最低安全級。在使用IP地址信息的情況下，根據(jù)安全級存在多個選項。例如，"SmartIPCheckLevell"是使用上述的有效IP地址列表、且執(zhí)行第一級(上位3個八位字節(jié))的比較的安全級。"SmartIPCheckLevel2"是使用有效IP地址列表、且執(zhí)行第二級(4個八位字節(jié))的比較的安全級。"ExactIP比較"是不使用有效IP地址列表、且僅對單一IP地址允許登錄的安全級。用戶利用這種登錄框的IP地址確認選項選擇自己希望的安全級，從而防止基于Cookie奪取等的黑客，而且可以接收靈活的網(wǎng)絡(luò)服務(wù)。具體的IP地址確認選項的例示可以如下表1所示的整理。_<table>tableseeoriginaldocumentpage17</column></row><table><table>tableseeoriginaldocumentpage18</column></row><table>登錄IP二〉登錄IP地址用作對話Cookie的有效IP地址列表=>將上述IP地址列表用作對話Cookie的有效IP地址列表網(wǎng)絡(luò)請求=>網(wǎng)絡(luò)服務(wù)請求Entopia二〉(刪除)圖9是表示基于本發(fā)明的一個實施例的重新登錄請求窗口圖。如上所述，請求需要IP地址確認的網(wǎng)絡(luò)服務(wù)的情況下，臨時IP地址和有效IP地址不同時，提供如圖9所示的登錄窗口，僅在登錄成功時可以接近及利用網(wǎng)絡(luò)服務(wù)。重新登錄請求窗口同時存在輸入用于登錄的ID及密碼的輸入框和可選擇是否繼續(xù)使用IP地址確認的確認框。例如，解除窗口中央的"IP地址確認之后"成功登錄的用戶，即使IP地址變更也不出現(xiàn)如圖9的重新登錄窗口。其目的在于，用戶在預(yù)想到當(dāng)前持續(xù)性的IP地址的變更的情況下，為了避免重新登錄的繁瑣，解除IP地址確認選項。通過上述的本發(fā)明的實施例，用戶認證系統(tǒng)在基于Cookie奪取的黑客中保護正當(dāng)?shù)挠脩?，并且也能夠適應(yīng)性地處置通常發(fā)生的正當(dāng)?shù)腎P地址變更。并且，用戶可以設(shè)定適合自己的多種安全級，可以選擇適合自己的IP地址環(huán)境的安全級。并且，對與網(wǎng)絡(luò)服務(wù)對應(yīng)的URL選擇性地執(zhí)行IP地址確認，從而防止由IP地址確認產(chǎn)生的過負荷的同時，可以充分提供具有安全性的用戶認證。本發(fā)明的一個實施例可以體現(xiàn)為包含通過計算機執(zhí)行的程序模塊那樣的、可由計算機執(zhí)行的命令語言的記錄介質(zhì)的形態(tài)。計算機可讀取的介質(zhì)可以是由計算機存取的任一可用介質(zhì)，包括所有易失性及非易失性介質(zhì)、分離型及非分離型介質(zhì)。并且，計算機可讀取介質(zhì)可以包括所有計算機存儲介質(zhì)及通信介質(zhì)。計算機存儲介質(zhì)包括所有計算機可讀命令語言、數(shù)據(jù)結(jié)構(gòu)、程序模塊、或者體現(xiàn)為用于存儲其它數(shù)據(jù)那樣的信息的任意方法或技術(shù)的所有易失性、非易失性、分離型、非分離型介質(zhì)。通信介質(zhì)典型地包括計算機可讀命令語言、數(shù)據(jù)結(jié)構(gòu)、程序模塊或如傳送波那樣被調(diào)制的數(shù)據(jù)信號的其它數(shù)據(jù)、或其它傳送手段，包括任意的信息傳輸介質(zhì)。上述本發(fā)明的說明是為了例示，應(yīng)當(dāng)可以理解本發(fā)明所屬
技術(shù)領(lǐng)域：
的普通技術(shù)人員在不變更本發(fā)明的技術(shù)思想或必要特征的情況下，能夠容易地變形為其它具體形態(tài)。因此，應(yīng)當(dāng)理解以上記載的實施例在各方面是例示性的，而不是限定性的。例如，說明為單一型的各構(gòu)成因素可分散實施，同樣地說明為分散的構(gòu)成要素也可以實施為結(jié)合的方式。本發(fā)明的范圍不是由上述的詳細說明示出，而是后述的權(quán)利要求書示出，權(quán)利要求書的意義、范圍、以及由其等同概念導(dǎo)出的所有變形或變形的形態(tài)應(yīng)解釋為包含在本發(fā)明的范圍內(nèi)。權(quán)利要求1.一種用戶認證系統(tǒng)，利用了IP地址確認，其特征在于，包括登錄服務(wù)器，利用用戶的ID及密碼進行登錄；日志數(shù)據(jù)庫，存儲包含登錄的客戶機的IP地址的訪問日志記錄；公用模式生成模塊，從記錄在上述日志數(shù)據(jù)庫中的多個IP地址中提取同一用戶的IP地址組即第一有效IP地址列表；公用模式數(shù)據(jù)庫，存儲從上述公用模式生成模塊提取出的上述第一有效IP地址列表；以及IP地址確認認證模塊，通過生成包含上述第一有效IP地址列表的對話Cookie，允許提供與從具有第一有效IP地址列表中包含的IP地址的客戶機接收的URL對應(yīng)的網(wǎng)絡(luò)服務(wù)。2、如權(quán)利要求1所述的用戶認證系統(tǒng)，其特征在于，在上述客戶機的IP地址變更時，上述IP地址確認認證模塊將上述變更的IP地址作為臨時IP地址追加在上述對話Cookie中，請求重新登錄而當(dāng)上述重新登錄成功時，將上述臨時IP地址追加在第二有效IP地址列表中。3、如權(quán)利要求2所述的用戶認證系統(tǒng)，其特征在于，當(dāng)存在與需要IP地址確認的URL對應(yīng)的網(wǎng)絡(luò)服務(wù)請求時，上述重新登錄的請求被激活。4、如權(quán)利要求2所述的用戶認證系統(tǒng)，其特征在于，還包括存儲上述第二有效IP地址的個人模式DB，上述IP地址確認認證模塊允許提供與從具有上述第二有效IP地址列表中包含的IP地址的客戶機接收的URL對應(yīng)的網(wǎng)絡(luò)服務(wù)。5、如權(quán)利要求3所述的用戶認證系統(tǒng)，其特征在于，上述需要IP地址確認的URL是用于閱讀郵件、紙條、悄悄話、以及制作帖子中的至少一種網(wǎng)絡(luò)服務(wù)的URL。6、如權(quán)利要求4所述的用戶認證系統(tǒng)，其特征在于，上述第一有效IP地址列表及第二有效IP地址列表的各IP地址是指定IP地址值中的上位3個八位字節(jié)值的第一級、或指定4個八位字節(jié)值的第二級中的一種形態(tài)。7、如權(quán)利要求6所述的用戶認證系統(tǒng)，其特征在于，上述第一級或第二級的選擇基于成功登錄的用戶IP地址確認選項的選擇來決定。8、如權(quán)利要求6所述的用戶認證系統(tǒng)，其特征在于，上述對話Cookie包括上述IP地址確認選項值、用戶ID、以及第一級的第一有效IP地址列表和第二有效IP地址列表。9、如權(quán)利要求6所述的用戶認證系統(tǒng)，其特征在于，上述對話Cookie包括上述IP地址確認選項值、用戶ID、以及第二級的第一有效IP地址列表和第二有效IP地址列表。10、一種用戶認證方法，利用了IP地址確認，其特征在于，包括a)提供關(guān)于是否將由訪問日志記錄生成的同一用戶的有效IP地址列表用于用戶認證的選擇的步驟；b)利用上述有效IP地址列表時，生成包含用戶ID和上述有效IP地址列表的對話Cookie的步驟；以及c)利用上述生成的對話Cookie,允許來自具有上述有效IP地址列表內(nèi)的IP地址的客戶機的網(wǎng)絡(luò)服務(wù)請求的步驟。11、如權(quán)利要求10所述的用戶認證方法，其特征在于，還包括b-1)提供指定上述有效IP地址列表的IP地址的上位3個八位字節(jié)值的第一級和指定4個八位字節(jié)值的第二級中的一個利用選擇的步驟；及b-2)在上述對話Cookie中追加對上述第一級或第二級的利用進行識別的數(shù)據(jù)的步驟。12、如權(quán)利要求ll所述的用戶認證方法，其特征在于，還包括e)在不利用上述有效IP地址列表時，提供關(guān)于不使用上述IP地址的確認或者使用單一IP地址確認的選擇的步驟；f)在不使用上述IP地址的確認時，生成包含用戶ID的對話Cookie的步驟；g)在使用上述單一IP地址確認時，生成包含用戶ID及上述單一IP地址的對話Cookie的步驟。13、一種用戶認證方法，利用了IP地址確認，其特征在于，包括從客戶機接收URL及對話Cookie的步驟；基于上述對話Cookie判斷上述客戶機的IP地址是否變更的步驟；在上述IP地址變更時，將上述變更的IP地址作為臨時IP地址而重新設(shè)定對話Cookie的步驟；判斷上述URL是否為對上述臨時IP地址限制網(wǎng)絡(luò)服務(wù)的提供的、需要IP地址確認的URL的步驟；上述URL是需要上述IP地址確認的URL時，對上述客戶機請求重新登錄的步驟；以及上述重新登錄成功時，將上述臨時IP地址追加在同一用戶可利用的有效IP地址列表中的步驟。14、如權(quán)利要求13所述的用戶認證方法，其特征在于，上述對話Cookie包含上述有效IP地址列表。15、如權(quán)利要求14所述的用戶認證方法，其特征在于，上述有效IP地址列表包含從訪問日志記錄中提取出的同一用戶的IP地址組。16、如權(quán)利要求15所述的用戶認證方法，其特征在于，上述有效IP地址列表僅利用IP地址值中的上位3個八位字節(jié)值。17、如權(quán)利要求15所述的用戶認證方法，其特征在于，在上述重新登錄請求時提供關(guān)于中止上述IP地址確認的選擇。18、一種計算機可讀取記錄介質(zhì)，記錄有利用基于安全級的IP地址確認用于進行用戶認證的數(shù)據(jù)結(jié)構(gòu)，該數(shù)據(jù)結(jié)構(gòu)包括記錄有從訪問日志記錄的多個IP地址中提取出的被判斷為同一用戶的IP地址組的上位3個八位字節(jié)值的第一級的第一有效IP地址列表；記錄有從訪問日志記錄的多個IP地址中提取出的被判斷為同一用戶的IP地址組的4個八位字節(jié)值的第二級的第一有效IP地址列表；按每個特定用戶ID記錄重新登錄成功的IP地址組的上位3個八位字節(jié)值的第一級的第二有效IP地址列表；以及按每個特定用戶ID記錄重新登錄成功的IP地址組的4個八位字節(jié)值的第二級的第二有效IP地址列表。19、如權(quán)利要求18所述的計算機可讀取記錄介質(zhì)，其特征在于，上述第一級的第一有效IP地址列表及第一級的第二有效IP地址列表利用在低于第二級的第一有效IP地址列表及第二級的第二有效IP地址列表的安全級。全文摘要本發(fā)明涉及利用IP地址確認的用戶認證系統(tǒng)及其方法。本發(fā)明由用戶的訪問日志記錄構(gòu)筑有效IP地址列表，將上述有效IP地址列表包含在對話Cookie中，在IP地址動態(tài)變化的環(huán)境下，也能夠執(zhí)行靈活的網(wǎng)絡(luò)服務(wù)提供和用戶認證。并且，本發(fā)明在IP地址變更時的重要網(wǎng)絡(luò)服務(wù)中，請求重新登錄，根據(jù)上述重新登錄結(jié)果來更新有效IP地址列表，從而適應(yīng)性地執(zhí)行用戶認證。此外，本發(fā)明提供上述有效IP地址列表的利用及安全級的選擇，從而提供較高的用戶便利性。文檔編號H04L9/32GK101374047SQ200810146288公開日2009年2月25日申請日期2008年8月14日優(yōu)先權(quán)日2007年8月21日發(fā)明者全相勛,孫丁允,宋旼哲,崔仁赫,夏李,李亨浚,李誠鎬,白宗原,鄭榮植申請人:Nhn公司