KR101451683B1 - System for controlling access to the epcis service - Google Patents

System for controlling access to the epcis service Download PDF

Info

Publication number
KR101451683B1
KR101451683B1 KR1020130059716A KR20130059716A KR101451683B1 KR 101451683 B1 KR101451683 B1 KR 101451683B1 KR 1020130059716 A KR1020130059716 A KR 1020130059716A KR 20130059716 A KR20130059716 A KR 20130059716A KR 101451683 B1 KR101451683 B1 KR 101451683B1
Authority
KR
South Korea
Prior art keywords
access
information
epcis
access permission
policy information
Prior art date
Application number
KR1020130059716A
Other languages
Korean (ko)
Inventor
김창현
이은미
이두원
하병용
박재용
하요나
박성욱
박용진
Original Assignee
엘지히다찌 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지히다찌 주식회사 filed Critical 엘지히다찌 주식회사
Priority to KR1020130059716A priority Critical patent/KR101451683B1/en
Application granted granted Critical
Publication of KR101451683B1 publication Critical patent/KR101451683B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Abstract

The present invention relates to an electronic product code information service (EPCIS) system and, more specifically, to an EPCIS access control system and a computer readable recording medium read by a computer in which data for realizing the EPCIS access control system is stored. The system comprises: an access allowance policy information management module to store access allowance policy information including an access allowance level for each client and a life cycle in a data storage by receiving the access allowance policy information from a manager. and to manage the stored access allowance policy information according to a manager command; an information search module to search the access allowance policy information stored in the data storage; a capture interface control module to load the access allowance policy information through the information search module and to generate a capture interface which is suitable for the life cycle defined in advance by referring to the loaded information; and an access effectiveness determination module to determine the access effectiveness by comparing the access allowance level for the corresponding client when the EPCIS event message is received through the generated capture interface and to selectively store EPCIS events according to the result.

Description

EPCIS 접근제어 시스템 및 그 시스템을 구현하기 위한 데이터가 저장되어 컴퓨터에 의해 판독 가능한 기록매체{SYSTEM FOR CONTROLLING ACCESS TO THE EPCIS SERVICE}TECHNICAL FIELD [0001] The present invention relates to an EPCIS access control system and a recording medium that stores data for implementing the system and is readable by a computer.

본 발명은 EPCIS(Electronic Product Code Information Service) 시스템에 관한 것으로, 특히 EPCIS 접근제어 시스템 및 그 시스템을 구현하기 위한 데이터가 저장되어 컴퓨터에 의해 판독 가능한 기록매체에 관한 것이다.The present invention relates to an EPCIS (Electronic Product Code Information Service) system, and more particularly to an EPCIS access control system and a recording medium in which data for implementing the system is stored and readable by a computer.

EPCIS(Electronic Product Code Information Service)는 거래 파트너 간에 발생하는 객체 또는 트랜잭션의 데이터를 얻기 위해 정보를 공유하여 활용하는 것을 목적으로 하여 제안된 RFID 기술의 표준 중 하나이다. EPC(Electronic Product Code)는 각종 상품과 같은 개별 객체에 고유 번호를 부여하기 때문에 개별 객체를 선택하고 저장하는데 유용한바, 이와 같이 개별 객체를 선택하고 저장하는 과정에서 발생한 데이터를 EPCIS에 저장하고 공유함으로써 실시간으로 데이터를 조회할 수 있다. 또한 EPCIS는 EPCglobal에서 표준으로 정의하고 있어서 그 질의 인터페이스가 동일하기 때문에 이를 통해 공급사슬에서 거래 파트너와 효과적으로 정보를 교환할 수 있다.EPCIS (Electronic Product Code Information Service) is one of the standard of RFID technology proposed for sharing information for obtaining object or transaction data between trading partners. EPC (Electronic Product Code) is useful for selecting and storing individual objects because it assigns unique numbers to individual objects such as various products. By storing and sharing data generated in the process of selecting and storing individual objects as described above in EPCIS Data can be viewed in real time. In addition, EPCIS is defined as a standard in EPCglobal, so that its query interface is the same so that it can exchange information effectively with trading partners in the supply chain.

한편, EPCIS 표준에는 이벤트와 마스터 데이터 규격 및 데이터 접근(입력과 질의)에 대한 인터페이스의 표준이 정의되어 있다. 이러한 EPCIS 표준에서 정의하는 이벤트 데이터는 실제 환경에서 발생하는 행위의 정보, 즉 무엇을, 어디서, 언제 그리고 왜 라고 하는 4가지 차원의 항목을 정보로서 포함하고 있다. 반면, 마스터 데이터는 상기한 이벤트 정보의 각 항목에 나타나는 내용에 대한 메타 데이터 성격의 설명 정보를 표현한다.On the other hand, the EPCIS standard defines the standard of interfaces for event and master data specifications and data access (input and query). The event data defined in the EPCIS standard includes information of an action occurring in a real environment, namely, what, where, when, and why. On the other hand, the master data expresses descriptive information of the nature of the metadata about the contents appearing in each item of the event information.

다음으로 EPCIS 표준에서 정의하는 데이터 접근에 대한 인터페이스는 크게 2가지 부분으로 이루어져 있는데, 하나는 외부로부터 EPCIS 이벤트 데이터를 수신하여 저장하는 EPCIS 캡쳐 인터페이스 부분이고, 다른 하나는 외부로부터의 검색 요청을 분석하여 저장된 EPCIS 이벤트 데이터를 질의한 후에 사용자가 원하는 리포트 형식으로 만들어 제공하는 EPCIS 쿼리 인터페이스(EPCIS Query Interface) 부분이다. 이 중에서 EPCIS 캡쳐 인터페이스에서는 클라이언트(Capturing Application)가전송한 EPCIS 이벤트를 저장하는 기능을 제공하며, EPCIS 쿼리 인터페이스는 주요한 2가지 기능인 폴(Poll:동기식 질의 요청) 기능과 서브스크라이브(Subscribe:비동기식 질의요청) 기능을 제공한다.Next, the interface for data access defined in the EPCIS standard is composed of two parts. One part is the EPCIS capture interface part that receives and stores the EPCIS event data from the outside, and the other is the part for analyzing the search request from the outside EPCIS Query Interface (EPCIS Query Interface) part that provides saved EPCIS event data by querying and providing it to the user in a desired report format. Among them, the EPCIS capture interface provides a function to store the EPCIS events transmitted by the client (capturing application). The EPCIS query interface has two main functions: Poll (synchronous query request) function and Subscribe (asynchronous query request) Function.

상술한 바와 같은 EPCIS 표준에서는 이벤트의 데이터 규격 및 입출력에 대한 인터페이스만 정의하고 있을 뿐만 아니라, EPCIS 서비스와 클라이언트 간의 보안에 대한 정의 역시 물리적인 네트워크 또는 보안 프로토콜만을 대상으로 하고 있기 때문에, 강화된 보안을 적용하기 위해서는 추가적인 비용이 불가결하게 투입되어야 한다. 더욱이 물리적인 보안 서버 및 네트워크의 보안이 해제된다면 EPCIS 자체의 보안 적용이 없어 외부 공격에 쉽게 노출되는 위험성을 안고 있다.In the EPCIS standard as described above, not only the interface for the event data specification and the input / output but also the definition of the security between the EPCIS service and the client are also targeted only to the physical network or the security protocol, In order to be applied, additional costs must be incurred. Moreover, if the security of the physical security server and the network is released, there is a risk that the EPCIS is not exposed to external attacks because it is not applied to the security of the EPCIS itself.

이에 본 발명은 상술한 바와 같은 보안상의 취약성을 극복하기 위해 창안된 것으로서, 소프트웨어적으로 EPCIS 서버의 보안이 가능하게 하여 하드웨어 보안의 종속성을 제거할 수 있는 EPCIS 접근제어 시스템 및 그 시스템을 구현하기 위한 데이터가 저장되어 컴퓨터에 의해 판독 가능한 기록매체를 제공함에 있다.Accordingly, the present invention is conceived to overcome the above-described security vulnerabilities, and it is an object of the present invention to provide an EPCIS access control system capable of securing the security of the EPCIS server by software, There is provided a recording medium in which data is stored and read by a computer.

더 나아가 본 발명의 또 다른 목적은 EPCIS 서버의 안정적인 운영이 가능함은 물론 EPCIS 서버의 유동적인 캡쳐 인터페이스 서비스를 제공하여 서비스의 보안성을 높일 수 있는 EPCIS 접근제어 시스템 및 그 시스템을 구현하기 위한 데이터가 저장되어 컴퓨터에 의해 판독 가능한 기록매체를 제공함에 있다.It is still another object of the present invention to provide an EPCIS access control system capable of stable operation of an EPCIS server and providing a flexible capture interface service of an EPCIS server to enhance service security and data for implementing the system And a recording medium that is stored and readable by a computer.

상기 목적을 달성하기 위한 본 발명의 실시예에 따른 EPCIS 접근제어 시스템은 컴퓨터 처리장치에서 실행 가능한 시스템으로서,In order to achieve the above object, an EPCIS access control system according to an embodiment of the present invention is a system executable in a computer processing apparatus,

적어도 각 클라이언트에 대한 접근허용레벨 및 라이프 사이클을 포함하는 접근허용정책정보를 관리자로부터 입력받아 데이터 저장소에 저장하고, 저장된 접근허용정책정보를 관리자 명령에 따라 관리하기 위한 접근허용정책정보 관리모듈과;An access permission policy information management module for receiving access permission policy information including at least an access permission level and a life cycle for each client from a manager and storing the access permission policy information in a data repository and managing stored access permission policy information according to an administrator command;

상기 데이터 저장소에 저장된 접근허용정책정보를 조회하기 위한 정보조회모듈과;An information inquiry module for inquiring access permission policy information stored in the data repository;

상기 정보조회모듈을 통해 상기 접근허용정책정보를 로딩하고, 로딩된 정보를 참조하여 미리 정의된 라이프 사이클에 맞는 캡쳐 인터페이스를 생성하기 위한 캡쳐 인터페이스 제어모듈과;A capture interface control module for loading the access permission policy information through the information inquiry module and generating a capture interface according to a predefined life cycle by referring to the loaded information;

생성된 캡쳐 인터페이스를 통해 EPCIS 이벤트 메시지가 수신되면 해당 클라이언트에 대한 접근허용레벨을 비교하여 접근 유효성을 판단하고 그 결과에 따라 EPCIS 이벤트를 선택 저장하기 위한 접근 유효성 판단모듈;을 포함함을 특징으로 한다.And an access validity determination module for comparing the access permission level with the client when the EPCIS event message is received through the generated capture interface to determine the access validity and selectively storing the EPCIS event according to the access validity level .

더 나아가 상기 시스템의 캡쳐 인터페이스 제어모듈은 상기 생성된 캡쳐 인터페이스를 미리 정의된 라이프 사이클에 맞춰 삭제함을 특징으로 하며,Further, the capture interface control module of the system deletes the generated capture interface according to a predefined life cycle,

상기 접근허용정책정보 관리모듈은 적어도 캡쳐 인터페이스의 서비스 시작과 종료일을 정의한 라이프 사이클 정보, 필터링레벨 정보, 클라이언트에게 발급되는 인증토큰 정보를 포함하는 접근허용정책정보를 입력받아 저장하거나,Wherein the access permission policy information management module receives and stores at least access permission policy information including lifecycle information defining a service start and end date of the capture interface, filtering level information, and authentication token information issued to the client,

상기 접근허용정책정보로서 클라이언트의 접근허용 IP정보, 접근 URL 정보, 기업코드정보, 거점코드정보, 인식지점코드정보를 추가적으로 더 입력받아 저장함을 특징으로 한다.The access permission policy information further stores the access permission IP information, the access URL information, the enterprise code information, the base point code information, and the recognition point code information of the client.

이러한 EPCIS 접근제어 시스템에서 상기 접근 유효성 판단모듈은,In the EPCIS access control system,

EPCIS 이벤트 메시지가 수신되면 해당 클라이언트에 대한 필터링레벨을 참조하여 접근 유효성을 판단하되, 상기 필터링레벨에 따라 http 프로토콜의 헤더에서 토큰 추출하거나 요청 클라이언트의 IP를 추출하거나 EPCIS 이벤트에서 거점코드값 혹은 인식지점코드값을 추출한 후, 그 추출된 값과 해당 클라이언트에 대해 미리 정의된 동일 속성의 접근허용레벨을 비교하여 접근 유효성 판단함을 특징으로 한다.When the EPCIS event message is received, the access validity is determined by referring to the filtering level of the corresponding client. The access validity is determined by extracting a token from the header of the http protocol or extracting the IP of the requesting client according to the filtering level, Extracts a code value, compares the extracted value with the access permission level of the same property defined in advance for the client, and determines the access validity.

상술한 EPCIS 접근제어 시스템은 컴퓨터 처리장치에 의해 실행되는 컴퓨터 프로그램 로직의 형태로 구현 가능하다. 이러한 컴퓨터 프로그램 로직은 시스템, 소스 코드, 컴퓨터 실행 가능한 코드 및 여러 가지 중간 형태(예를 들면, 어셈블러, 컴파일러, 링커 또는 로케이터로 생성되는 형태 등)를 포함하여 다양한 형태로 구현될 수 있으나 이에 제한되지 않는다. 이에 본 발명의 실시예에 따른 EPCIS 접근제어 시스템은 하나의 컴퓨터 프로그램 로직으로서 반도체 메모리 장치, 자기 메모리 장치, 광 메모리 장치, 이동식 저장매체와 같은 컴퓨터에 의해 판독 가능한 기록매체에 기록 저장되어 배포될 수 있음을 또 다른 특징으로 한다.The above-described EPCIS access control system can be implemented in the form of computer program logic executed by a computer processing unit. Such computer program logic may be implemented in various forms including, but not limited to, a system, source code, computer executable code, and various intermediate forms (e.g., assembler, compiler, linker, Do not. Accordingly, the EPCIS access control system according to the embodiment of the present invention can be recorded and stored in a computer-readable recording medium such as a semiconductor memory device, a magnetic memory device, an optical memory device, and a removable storage medium as one computer program logic Another feature is the presence.

상술한 바와 같은 본 발명의 과제 해결 수단에 따르면, 소프트웨어적으로 EPCIS 서버의 보안이 가능함으로 하드웨어 보안의 종속성을 제거할 수 있는 이점이 있으며, RFID 시스템 구축시 EPCIS 서버의 구성을 자유롭게 배치할 수 있다. 이를 통해 EPCIS 서버의 안정적인 운영이 가능하며, 캡쳐 인터페이스의 생성 및 삭제 기능을 이용하여 EPCIS 서버의 유동적인 캡쳐 인터페이스 서비스를 제공할 수 있어 EPCIS 서비스의 보안성을 높일 수 있다.According to the present invention, since the security of the EPCIS server can be secured by software, there is an advantage that the dependency of the hardware security can be eliminated, and the configuration of the EPCIS server can be freely arranged when the RFID system is constructed . Thus, it is possible to operate the EPCIS server in a stable manner, and it is possible to provide a flexible capture interface service of the EPCIS server using the function of creating and deleting the capture interface, thereby enhancing the security of the EPCIS service.

도 1은 본 발명의 실시예에 따른 EPCIS 접근제어 시스템의 블럭구성 예시도.
도 2는 본 발명의 실시예에 따른 캡쳐 인터페이스 생성 및 삭제 흐름 예시도.
도 3은 본 발명의 실시예에 따른 EPCIS 접근제어 흐름 예시도.1 is an exemplary block diagram of an EPCIS access control system according to an embodiment of the present invention;
FIG. 2 illustrates an example of a capture interface creation and deletion flow according to an embodiment of the present invention; FIG.
3 illustrates an example of an EPCIS access control flow according to an embodiment of the present invention.

이하 본 발명의 바람직한 실시예를 첨부 도면을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 관련된 공지 기능 혹은 구성, 예를 들면 EPCIS(Electronic Product Code Information Service) 시스템의 상세 구성과 같이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, a detailed description of known functions or configurations related to the present invention, for example, a detailed configuration of an electronic product code information service (EPCIS) system, do.

우선 도 1은 본 발명의 실시예에 따른 EPCIS 접근제어 시스템의 블럭 구성을 예시한 것이다. 도 1에 도시한 EPCIS 접근제어 시스템은 EPCIS 서비스 시스템(200)에 임베디드되어 실행 가능한 하나의 컴퓨터 프로그램 로직이다.1 is a block diagram illustrating an EPCIS access control system according to an embodiment of the present invention. The EPCIS access control system shown in FIG. 1 is one computer program logic that can be embedded and executed in the EPCIS service system 200.

도 1을 참조하면, 본 발명의 실시예에 따른 EPCIS 접근제어 시스템의 일 구성요소인 접근허용정책정보 관리모듈(210)은 적어도 각 클라이언트(Capture Application)에 대한 접근허용레벨 및 라이프 사이클(life cycle)을 포함하는 접근허용정책정보를 관리자로부터 입력받아 데이터 저장소(260)에 저장하고, 저장된 접근허용정책정보를 관리자 명령에 따라 관리(변경, 삭제, 조회 등)하는 역할을 담당한다.Referring to FIG. 1, the access permission policy information management module 210, which is a component of the EPCIS access control system according to the embodiment of the present invention, includes at least an access permission level and a life cycle ), Stores the access permission policy information in the data repository 260, and manages (changes, deletes, inquires, etc.) the stored access permission policy information according to an administrator command.

참고적으로 상기 "접근허용정책정보"란 클라이언트가 EPCIS 서비스 시스템(200)에 접근할 수 있는 권한을 정의해 놓은 정책정보를 지칭하는 것으로서, 이러한 접근허용정책정보는 관리자에 의해 정의되어 입력된다. 본 발명의 실시예에서 사용되는 상기 접근허용정책정보는 하기 표 1과 같은 여러 정보들을 포함하는 것으로 정의할 수 있으나 이에 국한되는 것은 아니다. 아울러 하기 표의 필터링 레벨은 접근허용레벨을 나타내는 것이므로, 필터링 레벨과 접근허용레벨은 동일 의미인 것으로 해석하기로 한다.For reference, the "access permission policy information" refers to policy information defining a right for the client to access the EPCIS service system 200. The access permission policy information is defined and input by the administrator. The access permission policy information used in the embodiment of the present invention can be defined as including various information as shown in Table 1 below, but is not limited thereto. In addition, since the filtering level in the following table indicates the access permission level, it is assumed that the filtering level and the access permission level have the same meaning.

필드명(한글)Field name (Korean) 필드명(영문)Field name (in English) 설명Explanation 서비스 시작일Service start date START_TIMESTART_TIME 캡쳐 인터페이스 시작시간Capture Interface Start Time 서비스 종료일Service end date END_TIMEEND_TIME 캡쳐 인터페이스 종료시간Capture interface end time 필터링 레벨




Filtering level




FLT_LEVEL




FLT_LEVEL




접근허용레벨을 나타냄Indicates access level '0': 필터링 안함'0': Do not filter '1': 인증토큰만 필터링'1': Filter only authentication tokens '2': 인증토큰, 접근허용IP 필터링'2': authentication token, access allowed IP filtering '3': 인증토큰, 접근허용IP, 거점코드 필터링'3': Authentication token, access permission IP, strong code filtering '4': 인증토큰, 접근허용IP, 거점코드, 인식지점코드 필터링'4': Authentication token, access permission IP, strong point code, recognition point code filtering 인증토큰Authentication Token TOKENTOKEN 접근허용을 위해 클라이언트에게 발급되는 토큰값Token value issued to client for access permission 접근허용 IPAccess allowed IP AA_IPAA_IP 접근허용하는 IP주소값Allowed IP address values 접근 URL주소Access URL address URL_PATHURL_PATH 캡쳐 인터페이스의 URL 주소값URL address value of capture interface 기업코드Company code COMPANY_CODECOMPANY_CODE 캡쳐 인터페이스를 사용하는 기업의 코드값Company code values using the capture interface 거점코드Base code BIZLOCBIZLOC 캡쳐 인터페이스를 사용하는 거점의 코드값Code value of the base using the capture interface 인식지점코드Recognition point code READPOINTREADPOINT 캡쳐 인터페이스를 사용하는 인식지점의 코드값The code value of the recognition point using the capture interface.

도 1에 도시된 정보조회모듈(220)은 상기 데이터 저장소(260)에 저장된 접근허용정책정보를 조회한다. 즉, 정보조회모듈(220)은 후술할 캡쳐 인터페이스 제어모듈(230)의 정보조회 요청시 데이터 저장소(260)에 저장된 접근허용정책정보를 액세스하여 전달하는 역할을 한다.The information inquiry module 220 shown in FIG. 1 inquires access permission policy information stored in the data repository 260. That is, the information inquiry module 220 accesses and transmits the access permission policy information stored in the data repository 260 in response to an information inquiry request of the capture interface control module 230, which will be described later.

한편 캡쳐 인터페이스 제어모듈(230)은 상기 정보조회모듈(220)을 통해 조회된 접근허용정책정보를 로딩하고, 로딩된 정보를 참조하여 미리 정의된 라이프 사이클에 맞는 캡쳐 인터페이스(270)를 생성하거나 종료시간에 맞춰 이미 생성된 캡쳐 인터페이스(270)를 삭제하는 역할을 담당한다. 이러한 캡쳐 인터페이스 제어모듈(230)은 시스템 구현 방식에 따라 캡쳐 인터페이스 생성 모듈과 캡쳐 인터페이스 삭제 모듈로 구분 가능하고, 이와 함께 상기 생성 모듈과 삭제 모듈을 활성화시키기 위한 동작제어 모듈로 구분될 수 있다.On the other hand, the capture interface control module 230 loads the access permission policy information inquired through the information inquiry module 220, generates a capture interface 270 corresponding to a predefined life cycle by referring to the loaded information, And deletes the capture interface 270 that has already been generated according to the time. The capture interface control module 230 can be divided into a capture interface generation module and a capture interface deletion module according to a system implementation method and an operation control module for activating the generation module and the deletion module.

접근 유효성 판단모듈(240)은 생성된 캡쳐 인터페이스(270)를 통해 클라이언트(100)로부터 EPCIS 이벤트 메시지가 수신되면 해당 클라이언트(270)에 대한 접근허용레벨을 비교하여 접근 유효성을 판단하고 그 결과에 따라 EPCIS 이벤트를 EPCIS 저장소(250)에 선택 저장한다.When the EPCIS event message is received from the client 100 through the generated capture interface 270, the access validity determination module 240 compares the access permission level with the corresponding client 270 to determine the access validity, And stores the EPCIS event in the EPCIS repository (250).

이러한 접근 유효성 판단모듈(240)은 예를 들어 EPCIS 이벤트 메시지가 수신되면 해당 클라이언트에 대한 접근허용레벨(FLT_LEVEL)을 참조하여 접근 유효성을 판단하되, 상기 접근허용레벨에 따라 http 프로토콜 헤더에서의 토큰과 요청 클라이언트의 IP와 EPCIS 이벤트에서 거점코드값과 EPCIS 이벤트에서 인식지점코드값 중 적어도 하나 이상을 추출한 후, 그 추출된 값과 해당 클라이언트에 대해 미리 정의된 동일 속성의 접근허용레벨을 비교하여 접근 유효성을 판단한다. 이러한 접근 유효성 판단방법에 대해서는 도 3에서 상세 설명하기로 한다.For example, when the EPCIS event message is received, the access validity determination module 240 determines the access validity by referring to the access permission level (FLT_LEVEL) for the client, and determines the access validity based on the token in the http protocol header At least one of the base code value and the recognition point code value in the EPCIS event is extracted from the IP of the requesting client and the EPCIS event, and the extracted value is compared with the access permission level of the same property defined for the client, . This access validity determination method will be described in detail with reference to FIG.

한편 도 1에서 미 설명된 데이터 저장소(260)와 EPCIS 저장소(250)는 각각 각 클라이언트별 접근허용정책정보와 EPCIS 이벤트 정보가 저장되어 관리된다.Meanwhile, the data repository 260 and the EPCIS repository 250, which are not illustrated in FIG. 1, store and manage access permission policy information and EPCIS event information for each client, respectively.

이하 상술한 구성을 가지는 EPCIS 접근제어 시스템의 동작을 도 2 및 도 3을 참조하여 보다 상세히 설명하면,Hereinafter, the operation of the EPCIS access control system having the above-described configuration will be described in more detail with reference to FIG. 2 and FIG. 3,

우선 도 2는 본 발명의 실시예에 따른 캡쳐 인터페이스 생성 및 삭제 흐름도를 예시한 것이며, 도 3은 본 발명의 실시예에 따른 EPCIS 접근제어 흐름도를 예시한 것이다.FIG. 2 illustrates a flow diagram of a capture interface creation and deletion according to an embodiment of the present invention. FIG. 3 illustrates an EPCIS access control flowchart according to an embodiment of the present invention.

우선 EPCIS 서비스 시스템(200)에 접속 희망하는 클라이언트는 온라인 혹은 오프라인을 통해 접속희망을 신청한다. 이러한 희망 신청에 의해 시스템 관리자는 해당 클라이언트에 대한 접근허용레벨 및 라이프 사이클을 포함하는 접근허용정책정보를 정의하고, 이를 접근허용정책 정보 관리모듈(210)을 통해 데이터 저장소(260)에 저장한다. 본 발명의 실시예에서는 상기 표 1에 정의된 모든 정보가 접근허용정책정보로 포함되어 저장되는 것으로 가정한다.First, a client wishing to access the EPCIS service system 200 requests a connection via an online or offline system. The system administrator defines access permission policy information including the access permission level and the life cycle for the client and stores the access permission policy information in the data repository 260 through the access permission policy information management module 210. [ In the embodiment of the present invention, it is assumed that all the information defined in Table 1 is stored as access permission policy information.

각각의 클라이언트에 대해 시스템 접근을 허용하는 접근허용정책정보가 정의되어 데이터 저장소(260)에 저장되면, 캡쳐 인터페이스 제어모듈(230)은 도 2의 S10단계에서 정보조회모듈(220)을 통해 접근허용정책정보 리스트를 로딩한 후 S12단계로 진행하여 접근허용정책정보 인스턴트 리스트를 생성한다. 그리고 캡쳐 인터페이스 제어모듈(230)은 S14단계로 진행하여 상기 리스트의 접근허용정책정보 인스턴트를 추출하여 신규 생성할 캡쳐 인터페이스 데이터가 존재하는지 판단(S16단계)한다.When the access permission policy information permitting the system access to each client is defined and stored in the data storage 260, the capture interface control module 230 accesses the information inquiry module 220 through the information inquiry module 220 in step S10 of FIG. After loading the policy information list, the flow advances to step S12 to generate an access permission policy information instant list. In step S14, the capture interface control module 230 extracts the access permission policy information instant of the list and determines whether there is capture interface data to be newly created (step S16).

판단결과 신규 생성할 캡쳐 인터페이스가 존재한다면 현재시간이 그 캡쳐 인터페이스가 시작되어야 하는 시간에 도달하였는지 판단(S18단계)하여 정의된 시간에 캡쳐 인터페이스(270)를 생성(S20단계)한다. 이와 같은 방식으로 캡쳐 인터페이스 제어모듈(230)은 관리자에 의해 정의된 각 클라이언트별 캡쳐 인터페이스(270)를 접근허용정책정보에서 정의된 시간에 맞춰 생성해 주고, 각 생성된 캡쳐 인터페이스(270)에 대해서는 접근허용정책정보에서 정의된 종료시간에 맞춰 삭제(S22단계) 처리한다. 이와 같이 서비스 신청한 각 클라이언트별로 사전 정의된 서비스 시간 동안만 캡쳐 인터페이스가 활성화되도록 함으로써 EPCIS 서비스 시스템(200)의 유동적인 캡쳐 인터페이스 서비스를 제공하여 서비스의 보안성을 높일 수 있다.As a result of the determination, if there is a capture interface to be newly created, it is determined whether the current time has reached the time at which the capture interface should be started (S18), and the capture interface 270 is created at a defined time (S20). In this manner, the capture interface control module 230 generates each client-specific capture interface 270 defined by the administrator according to the defined time in the access permission policy information, and for each generated capture interface 270 (S22) in accordance with the end time defined in the access permission policy information. In this way, the capture interface is activated only for the predefined service hours for each client that requests the service, thereby providing a flexible capture interface service of the EPCIS service system 200, thereby enhancing security of the service.

한편 도 2에 도시한 방법에 따라 생성된 각 클라이언트별 캡쳐 인터페이스(270)를 통해 시스템에 접근하는 클라이언트의 접근허용 방법에 대해 도 3을 참조하여 부연 설명하기로 한다.A method of allowing a client accessing the system through the capture interface 270 for each client created according to the method shown in FIG. 2 will be described in detail with reference to FIG.

본 발명의 실시예에 따른 접근 유효성 판단모듈(240)은 상기 생성된 캡쳐 인터페이스(270)를 통해 EPCIS 이벤트 메시지가 수신되면 해당 클라이언트에 대한 접근허용레벨을 비교하여 접근 유효성을 판단하고 그 결과에 따라 EPCIS 이벤트를 선택 저장한다. 이러한 접근 유효성 판단모듈(240)의 동작을 보다 구체적으로 설명하면,When the EPCIS event message is received through the generated capture interface 270, the access validity determination module 240 compares the access permission level with the corresponding client to determine access validity, Select and store EPCIS events. More specifically, the operation of the access validity determination module 240 will be described.

우선 접근 유효성 판단모듈(240)은 캡쳐 인터페이스(270)를 통해 EPCIS 이벤트 메시지가 수신되면 해당 클라이언트에 대한 접근허용레벨(필터링 레벨)을 우선 체크한다. 체크결과 접근허용레벨이 '0'이면(S30단계) 접근허용을 위한 필터링을 하지 않는 것이므로 S38단계로 진행하여 수신된 EPCIS 이벤트를 EPCIS 저장소(250)에 저장한다.When the EPCIS event message is received through the capture interface 270, the access validity determination module 240 first checks the access permission level (filtering level) for the client. If the access permission level is '0' as a result of the check (step S30), filtering for access permission is not performed. Therefore, the process proceeds to step S38 and the received EPCIS event is stored in the EPCIS repository 250.

만약 접근허용레벨이 '1'이라면(S32단계) http 프로토콜 헤더에서 'ACTOKEN'으로 설정된 키 값을 추출(S34단계)하고, 그 추출된 토큰값과 해당 클라이언트에 대해 미리 정의된 동일 속성의 토큰값이 일치하는지 체크(S36단계)한다. 체크결과 토큰값이 일치하면 서비스 신청한 정당한 클라이언트이므로 수신된 EPCIS 이벤트를 상기 저장소(250)에 저장하지만, 토큰값이 일치하지 않는다면 접근제어 프로세스를 종료한다.If the access permission level is '1' (step S32), a key value set to 'ACTOKEN' is extracted from the http protocol header (step S34), and the extracted token value and a token value (Step S36). If the token values match, the received EPCIS event is stored in the storage 250. If the token values do not match, the access control process is terminated.

한편 접근허용레벨이 '1'이 아닌 '2'라 판명되면(S40단계), 접근 유효성 판단모듈(240)은 요청 클라이언트(100)의 IP를 추출(S42단계)하고 그 추출된 IP와 해당 클라이언트에 대해 미리 정의된 AA_IP 값이 일치하면(S44단계) 재차 S34단계로 진행한다. 즉, 접근 유효성 판단모듈(240)은 접근허용레벨이 '2'로 판명되면 토큰과 접근허용 IP를 순차 비교하여 일치하는 경우에만 수신된 EPCIS 이벤트를 상기 저장소(250)에 저장한다.If the access permission level is found to be '2' instead of '1' (S40), the access validity determination module 240 extracts the IP of the requesting client 100 (S42) If the predefined AA_IP values match (Step S44), the process proceeds to Step S34 again. That is, if the access permission level is found to be '2', the access validity determination module 240 sequentially compares the token with the access permission IP and stores the received EPCIS event in the storage 250 only when they match.

이와 같은 방식으로 접근 유효성 판단모듈(240)은 접근허용레벨이 '3'으로 판명(S46단계)되면 수신된 EPCIS 이벤트에서 거점코드를 추출(S48단계)하고, 그 추출된 거점코드와 사전 정의된 'BIZLOC' 값이 일치하면(S50단계) 재차 S42단계로 진행한다. 즉, 접근 유효성 판단모듈(240)은 접근허용레벨이 '3'으로 판명되면 토큰과 접근허용 IP와 거점코드를 순차 비교하여 일치하는 경우에만 수신된 EPCIS 이벤트를 상기 저장소(250)에 저장한다.In this manner, the access validity determination module 240 extracts a base point code from the received EPCIS event (S48) when the access permission level is determined to be '3' (S46), and extracts the base point code If the values of 'BIZLOC' are identical (step S50), the process goes back to step S42. That is, if the access permission level is found to be '3', the access validity determination module 240 sequentially compares the token with the access permission IP and the access point code, and stores the received EPCIS event in the storage 250 only when they match.

또한 접근 유효성 판단모듈(240)은 접근허용레벨이 '4'로 판명(S52단계)되면 수신된 EPCIS 이벤트에서 인식지점(readpoint)코드를 추출(S54단계)하고, 그 추출된 인식지점코드와 사전 정의된 'READPOINT' 값이 일치하는가를 체크(S56단계)한다. 체크결과 일치하면 재차 S48단계로 진행함으로서 접근 유효성 판단모듈(240)은 토큰, 접근허용 IP, 거점코드, 인식지점코드를 각각 비교하여 해당 클라이언트(100)의 접근허용여부를 판단하고, 정상적으로 판단되면 수신된 EPCIS 이벤트를 상기 저장소(250)에 저장한다.When the access permission level is determined to be '4' (step S52), the access validity determination module 240 extracts a readpoint code from the received EPCIS event (step S54) It is checked whether the defined 'READPOINT' values match (step S56). If the check result is found to match, the access validity determination module 240 proceeds to step S48 again to compare the token, the access permission IP, the base point code, and the recognition point code to determine whether the client 100 is allowed access or not. And stores the received EPCIS event in the storage 250.

이상에서 설명한 바와 같이 접근 유효성 판단모듈(240)은 접근 요청한 클라이언트에게 부여된 접근허용레벨을 참조하고 수신된 EPCIS 이벤트 메시지에서 인증에 필요한 정보를 추출한후 이를 사전 정의된 동일 속성의 접근허용레벨값들과 비교함으로서 최종적으로 접근허용여부를 결정함으로써, 소프트웨어적으로 EPCIS 서비스 시스템의 보안을 강화시킬 수 있는 효과를 얻게 되는 것이다.As described above, the access validity determination module 240 refers to the access permission level given to the client requesting access, extracts the information required for authentication from the received EPCIS event message, and transmits the access permission level values of the predefined same attributes , It is possible to enhance the security of the EPCIS service system by software, by finally determining whether the access is allowed or not.

이상 본 발명은 도면에 도시된 실시예들을 참고로 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술분야에서 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타실시예가 가능하다는 점을 이해할 것이다. 예를 들면, 상술한 EPCIS 접근제어 시스템은 컴퓨터 처리장치에 의해 실행되는 컴퓨터 프로그램 로직의 형태로 구현 가능하다. 이러한 컴퓨터 프로그램 로직은 시스템, 소스 코드, 컴퓨터 실행 가능한 코드 및 여러 가지 중간 형태(예를 들면, 어셈블러, 컴파일러, 링커 또는 로케이터로 생성되는 형태 등)를 포함하여 다양한 형태로 구현될 수 있으나 이에 제한되지 않는다. 이에 본 발명의 실시예에 따른 EPCIS 접근제어 시스템은 하나의 컴퓨터 프로그램 로직으로서 반도체 메모리 장치, 자기 메모리 장치, 광 메모리 장치, 이동식 저장매체와 같은 컴퓨터에 의해 판독 가능한 기록매체에 기록 저장되어 배포될 수 있다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위에 의해서만 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the invention. For example, the above-described EPCIS access control system can be implemented in the form of computer program logic executed by a computer processing device. Such computer program logic may be implemented in various forms including, but not limited to, a system, source code, computer executable code, and various intermediate forms (e.g., assembler, compiler, linker, Do not. Accordingly, the EPCIS access control system according to the embodiment of the present invention can be recorded and stored in a computer-readable recording medium such as a semiconductor memory device, a magnetic memory device, an optical memory device, and a removable storage medium as one computer program logic have. Accordingly, the true scope of the present invention should be determined only by the appended claims.

Claims (6)

적어도 각 클라이언트에 대한 접근허용레벨 및 라이프 사이클을 포함하는 접근허용정책정보를 관리자로부터 입력받아 데이터 저장소에 저장하고, 저장된 접근허용정책정보를 관리자 명령에 따라 관리하기 위한 접근허용정책정보 관리모듈과;
상기 데이터 저장소에 저장된 접근허용정책정보를 조회하기 위한 정보조회모듈과;
상기 정보조회모듈을 통해 상기 접근허용정책정보를 로딩하고, 로딩된 정보를 참조하여 미리 정의된 라이프 사이클에 맞는 캡쳐 인터페이스를 생성하기 위한 캡쳐 인터페이스 제어모듈과;
생성된 캡쳐 인터페이스를 통해 EPCIS 이벤트 메시지가 수신되면 해당 클라이언트에 대한 접근허용레벨을 비교하여 접근 유효성을 판단하고 그 결과에 따라 EPCIS 이벤트를 선택 저장하기 위한 접근 유효성 판단모듈;을 포함함을 특징으로 하는 EPCIS 접근제어 시스템.An access permission policy information management module for receiving access permission policy information including at least an access permission level and a life cycle for each client from a manager and storing the access permission policy information in a data repository and managing stored access permission policy information according to an administrator command;
An information inquiry module for inquiring access permission policy information stored in the data repository;
A capture interface control module for loading the access permission policy information through the information inquiry module and generating a capture interface according to a predefined life cycle by referring to the loaded information;
And an access validity judging module for judging access validity by comparing the access permission level with respect to the client when the EPCIS event message is received through the generated capture interface and selectively storing the EPCIS event according to the access validity level. EPCIS access control system. 청구항 1에 있어서, 상기 캡쳐 인터페이스 제어모듈은 상기 생성된 캡쳐 인터페이스를 미리 정의된 라이프 사이클에 맞춰 삭제함을 특징으로 하는 EPCIS 접근제어 시스템.The EPCIS access control system of claim 1, wherein the capture interface control module deletes the generated capture interface according to a predefined lifecycle. 청구항 1에 있어서, 상기 접근허용정책정보 관리모듈은,
적어도 캡쳐 인터페이스의 서비스 시작과 종료일을 정의한 라이프 사이클 정보, 필터링레벨 정보, 클라이언트에게 발급되는 인증토큰 정보를 포함하는 접근허용정책정보를 입력받아 저장함을 특징으로 하는 EPCIS 접근제어 시스템.The system according to claim 1, wherein the access permission policy information management module comprises:
Wherein the access control policy information includes at least lifecycle information defining a service start and end date of the capture interface, filtering level information, and authentication token information issued to the client. 청구항 3에 있어서, 상기 접근허용정책정보 관리모듈은,
상기 접근허용정책정보로서 클라이언트의 접근허용 IP정보, 접근 URL 정보, 기업코드정보, 거점코드정보, 인식지점코드정보를 더 입력받아 저장함을 특징으로 하는 EPCIS 접근제어 시스템.4. The access control method according to claim 3,
Wherein the access permission policy information further stores the access permission IP information, the access URL information, the enterprise code information, the base point code information, and the recognition point code information of the client. 청구항 1에 있어서, 상기 접근 유효성 판단모듈은,
EPCIS 이벤트 메시지가 수신되면 해당 클라이언트에 대한 접근허용레벨을 참조하여 접근 유효성을 판단하되, 상기 접근허용레벨에 따라 http 프로토콜 헤더에서의 토큰과 요청 클라이언트의 IP와 EPCIS 이벤트에서 거점코드값과 EPCIS 이벤트에서 인식지점코드값 중 적어도 하나 이상을 추출한 후, 그 추출된 값과 해당 클라이언트에 대해 미리 정의된 동일 속성의 접근허용레벨을 비교하여 접근 유효성 판단함을 특징으로 하는 EPCIS 접근제어 시스템.The method according to claim 1,
When the EPCIS event message is received, the access validity level is determined by referring to the access permission level for the client. The access validity level is determined based on the token in the http protocol header, the IP address of the requesting client, And extracts at least one of the recognition point code values, and compares the extracted value with the access permission level of the same property defined in advance for the client, thereby determining the access validity. 청구항 1 내지 청구항 5중 어느 한 항에 기재된 시스템을 구현하기 위한 프로그램 데이터가 저장되어 컴퓨터에 의해 판독 가능한 기록매체.
A recording medium on which program data for implementing the system according to any one of claims 1 to 5 is stored and read by a computer.
KR1020130059716A 2013-05-27 2013-05-27 System for controlling access to the epcis service KR101451683B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130059716A KR101451683B1 (en) 2013-05-27 2013-05-27 System for controlling access to the epcis service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130059716A KR101451683B1 (en) 2013-05-27 2013-05-27 System for controlling access to the epcis service

Publications (1)

Publication Number Publication Date
KR101451683B1 true KR101451683B1 (en) 2014-10-16

Family

ID=51997936

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130059716A KR101451683B1 (en) 2013-05-27 2013-05-27 System for controlling access to the epcis service

Country Status (1)

Country Link
KR (1) KR101451683B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111291367A (en) * 2018-12-06 2020-06-16 北京京东尚科信息技术有限公司 Access control method and system, electronic device and storage medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060067114A (en) * 2004-12-14 2006-06-19 한국전자통신연구원 Security apparatus for distributing client module and method thereof
KR20100012169A (en) * 2008-07-28 2010-02-08 한국전자통신연구원 Method and apparatus for managing data with access restriction information

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060067114A (en) * 2004-12-14 2006-06-19 한국전자통신연구원 Security apparatus for distributing client module and method thereof
KR20100012169A (en) * 2008-07-28 2010-02-08 한국전자통신연구원 Method and apparatus for managing data with access restriction information

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111291367A (en) * 2018-12-06 2020-06-16 北京京东尚科信息技术有限公司 Access control method and system, electronic device and storage medium

Similar Documents

Publication Publication Date Title
US11223477B2 (en) Data sharing method, client, server, computing device, and storage medium
CN111771194B (en) System and method for generating and maintaining a non-variable digital conference record within a distributed network node
CN110495132B (en) System and method for generating, uploading and executing code blocks within distributed network nodes
CN110096857B (en) Authority management method, device, equipment and medium for block chain system
CN109325729B (en) Method and server for generating electronic contract
US10812477B2 (en) Blockchain-based enterprise authentication method, apparatus, and device, and blockchain-based authentication traceability method, apparatus, and device
US10360565B2 (en) System and method for providing a universal endpoint address schema to route documents and manage document workflows
GB2565411A (en) Improved hardware security module management
US8090853B2 (en) Data access control
JP2008276756A (en) Web services intermediary
CN110519240B (en) Single sign-on method, device and system
US9355270B2 (en) Security configuration systems and methods for portal users in a multi-tenant database environment
US11916936B2 (en) Techniques for incentivized intrusion detection system
US11841842B2 (en) Method and system for using external content type object types
CN103415847A (en) A system and method for accessing a service
CN111815454B (en) Data uplink method and device, electronic equipment and storage medium
US9665732B2 (en) Secure Download from internet marketplace
KR101451683B1 (en) System for controlling access to the epcis service
JP5341695B2 (en) Information processing system, information processing method, and program
JP7421443B2 (en) Data migration methods, data migration systems, and nodes
Navarro et al. Digital transformation of the circular economy: Digital product passports for transparency, verifiability, accountability
CN116305218B (en) Data link tracking and data updating method, device and data management system
Ronkainen et al. System for Cross-Domain Identity Management
CN117668398A (en) Interface idempotent processing method and device and electronic equipment
CN116938876A (en) Domain name access control method, system, equipment and storage medium

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191001

Year of fee payment: 6