KR100412356B1 - Discovery protocol for user authentication, execution apparatus, data structure thereof and method for authentication of administration in the jini network - Google Patents
Discovery protocol for user authentication, execution apparatus, data structure thereof and method for authentication of administration in the jini network Download PDFInfo
- Publication number
- KR100412356B1 KR100412356B1 KR10-2001-0057007A KR20010057007A KR100412356B1 KR 100412356 B1 KR100412356 B1 KR 100412356B1 KR 20010057007 A KR20010057007 A KR 20010057007A KR 100412356 B1 KR100412356 B1 KR 100412356B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- information
- network
- lookup service
- genie
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5638—Services, e.g. multimedia, GOS, QOS
- H04L2012/564—Connection-oriented
- H04L2012/5641—Unicast/point-to-point
Abstract
본 발명은 지니 네트워크에서 사용자 인증을 할 수 있는 디스커버리 프로토콜, 그 실행 장치, 데이터 구조 및 관리자 인증 방법을 개시한다.The present invention discloses a discovery protocol capable of authenticating a user in a Genie network, an execution apparatus thereof, a data structure, and an administrator authentication method.
본 발명에 의하면, 서비스와 클라이언트가 지니 디스커버리 프로토콜을 이용하여 룩업 서비스와 통신을 하기 위하여 TCP 소켓을 생성하고 이용할 때, 그 TCP 소켓을 이용하여 서비스나 클라이언트의 암호화된 인증 정보를 룩업 서비스로 전송하고, 룩업 서비스에서는 수신된 암호화된 인증 정보를 해독하여 서비스나 클라이언트로 응답 메시지를 보낼지를 결정하여 사용자 인증을 함으로써, 지니 네트웍에서 디스커버리 프로토콜을 이용하는 모든 서비스와 클라이언트들에 대하여 호환성을 유지하면서 룩업 서비스와 교신하는 디스커버리 프로토콜에 보안 기능을 제공할 수 있다. 따라서 지니 네크워크를 통한 상거래와 같은 거래에 인증된 사용자만이 서비스나 네트워크 자원을 이용할 수 있도록 하여 네트워크를 이용하는 상거래의 신뢰성을 높일 수 있다.According to the present invention, when a service and a client create and use a TCP socket to communicate with a lookup service using the Genie Discovery protocol, the TCP socket is used to transmit encrypted authentication information of the service or client to the lookup service. In addition, the lookup service decrypts the received encrypted authentication information and decides whether to send a response message to the service or the client to authenticate the user, thereby maintaining compatibility with the lookup service while maintaining compatibility with all services and clients using the discovery protocol in the Genie network. It can provide security for communicating discovery protocols. Therefore, the service or network resources can be used only by authorized users in transactions such as commerce through Genie network, thereby increasing the reliability of commerce using the network.
Description
본 발명은 컴퓨터 네트워크에 관한 것으로, 컴퓨터 네트워크에서의 지니 기술을 이용한 시스템 구축시의 사용자 인증을 할 수 있는 디스커버리 프로토콜에 관한 것이다.The present invention relates to a computer network, and more particularly, to a discovery protocol capable of authenticating a user when building a system using Genie technology in a computer network.
지니(Jini) 기술은 1999년 1월 Sun Microsystems에서 발표한 기술로서 네트워크에 연결된 기기와 서비스를 찾고 그들과 연동하기 위한 방법을 제안하고 있다. 지니 기술이 적용된 네트워크를 지니 네트워크(Jini Network)라고 한다.Genie technology, introduced by Sun Microsystems in January 1999, is proposing ways to find and interact with devices and services connected to the network. A network to which Genie technology is applied is called a Jini Network.
지니 기술에 대한 문헌은 다음의 URL에 공개되어 있다.Literature on Genie technology is published at the following URL.
http://www.sun.com/jini/whitepapers/http://www.sun.com/jini/whitepapers/
http://www.sun.com/jini/specs/jini1.1html/coreTOC.htmlhttp://www.sun.com/jini/specs/jini1.1html/coreTOC.html
http://www.artima.com/jini/index.htmlhttp://www.artima.com/jini/index.html
http://pandonia.canberra.edu.au/java/jini/tutorial/Jini.xmlhttp://pandonia.canberra.edu.au/java/jini/tutorial/Jini.xml
상기의 지니 네트워크에서는 이용 가능한 기기나 서비스 자원을 찾기 위한 디스커버리 프로토콜(Discovery Protocol)을 제안하고 있다. 디스커버리 프로토콜을 사용하는 기술들은 지니 이외에도 HAVi(Home Audio Video Interoperability), UPnP(Universal Plug and Play), Salutation 등이 있다.The Genie network is proposing a discovery protocol for finding available devices or service resources. Other technologies that use the discovery protocol include Genie, Home Audio Video Interoperability (HAVi), Universal Plug and Play (UPnP), and Salutation.
디스커버리 프로토콜은 지니 네트워크가 그 자신을 시동하기 위한 것이다. 디스커버리 프로토콜을 이용하여 지니 네트워크에 연결된 클라이언트나 서비스(서비스라는 표현은 서비스를 제공하는 기기 혹은 호스트를 나타내기 위해 사용한 것이며, 혼동되지 않는 한 이하 같은 의미로 계속 사용한다)간의 커뮤니티를 제공하는 룩업 서비스(lookup service)를 참조하는 초기 원격 객체를 획득할 수 있도록 한다. 클라이언트를 통해 지니 네트워크에 연결된 사용자는 이들 초기 원격 객체와 룩업을 이용하여 모든 부수적인 객체 참조들을 얻어올 수 있다.The discovery protocol is for the Genie network to start itself up. Lookup service that provides a community between clients or services connected to the Genie network using the discovery protocol (the term service is used to indicate the device or host providing the service and will continue to use the same meaning unless otherwise confused). Allows you to get an initial remote object that references the lookup service. Users connected to the Genie network through the client can use these initial remote objects and lookups to get all the additional object references.
룩업 서비스는 지니 네트워크에서 제공할 수 있는 서비스를 포함하는 네트워크 자원들에 대한 정보를 가지고 있는 컴퓨터 혹은 네트워크 장치이며, 복수개가 하나의 네트워크에 존재할 수 있다.The lookup service is a computer or a network device having information about network resources including a service that can be provided in a genie network, and a plurality of lookup services may exist in one network.
지니 네트워크에 소정의 서비스를 제공할 수 있는 서비스가 연결되면 이 서비스는 자신의 위치와 자신이 제공할 수 있는 서비스 등을 포함하는 정보를 지니 네트워크에 연결되어 있는 룩업 서비스에 전송하여 네트워크에 연결되어 있는 혹은 연결된 클라이언트들이 자신을 이용할 수 있도록 한다. 혹은 지니 네트워크에 연결된 서비스를 이용하려는 클라이언트는 이용할 수 있는 서비스에 대한 정보를 얻기 위해 룩업 서비스에 접속한다. 위와 같은 경우들에 이용가능한 룩업 서비스를 찾기 위해 디스커버리 프로토콜을 사용하게 된다.When a service capable of providing a predetermined service is connected to the Genie network, the service is connected to the network by transmitting information including its location and the service it can provide to a lookup service connected to the Genie network. Make it available to existing or connected clients. Or, a client wishing to use a service connected to a Genie network accesses a lookup service to obtain information about available services. In such cases, the discovery protocol is used to find available lookup services.
그리고 지니 네트워크에 새롭게 연결된 룩업 서비스들이 자신의 존재를 클라이언트들이나 서비스들에게 공개한다. 이런 경우에도 디스커버리 프로토콜을 사용한다.New lookup services connected to the Genie network reveal their presence to clients or services. In this case, use the discovery protocol.
그런데 제안된 지니 네트워크에서는 디스커버리 프로토콜을 이용하여 룩업 서비스에 접속하여 정보를 가져올 때에 인증된 사용자인지를 확인할 수 있는 방법이 없어 보안이 취약하다는 문제가 있다. 특히 네트워크를 통해 다양한 형태의 상거래가 늘어나는 때에 상기와 같은 보안상의 취약은 더 큰 문제를 발생시킬 수 있는 원인이 될 수 있다.However, the proposed Gini network has a problem that security is weak because there is no way to verify whether the user is an authenticated user when accessing the lookup service using the discovery protocol to retrieve information. In particular, when the various forms of commerce through the network increases, such a security vulnerability may cause a larger problem.
또한 기존의 지니 기술이 적용된 네트워크에서는 사용자와 자원 관리를 할 수 있는 어드민 관리(adminstration management)기능에 보안이 적용되지 않기 때문에 인증받지 않은 사용자가 어드민 관리를 할 수 있는 문제가 있다. 이와 같이 인증받지 않은 관리자가 어드민 관리를 할 수 있게 되면 네트웍을 사용에 있어 큰 부작용이 발생할 수 있을 것이다.In addition, there is a problem that an unauthenticated user can manage the administrator because security is not applied to the administration management function that can manage users and resources in the existing Gini technology network. If an unauthorized administrator can manage the administration, there may be a big side effect of using the network.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 디스커버리 프로토콜에서의 문제점들을 해결하기 위해, 지니 네트워크에서 사용자 인증을 할 수 있는 디스커버리 프로토콜, 그 실행 장치 및 데이터 구조를 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in an effort to provide a discovery protocol, an execution device, and a data structure capable of authenticating a user in a Genie network, in order to solve the problems of the discovery protocol.
본 발명이 이루고자 하는 다른 기술적인 과제는, 상기의 관리자 인증이 없는 것을 해결하기 위해, 지니 네트워크에서의 관리자 인증 방법을 제공하는데 있다.Another technical problem to be solved by the present invention is to provide an administrator authentication method in a Genie network in order to solve the absence of the above administrator authentication.
도 1은 유니캐스트 디스커버리 프로토콜의 패킷 형식과 프로토콜을 실행하는 과정을 나타낸 것이다.1 illustrates a packet format of a unicast discovery protocol and a process of executing a protocol.
도 2는 멀티캐스트 요청의 패킷 형식과 프로토콜을 실행하는 과정을 나타낸 것이다.2 illustrates a packet format of a multicast request and a process of executing a protocol.
도 3은 멀티캐스트 공개 프로토콜의 패킷 형식과 프로토콜을 실행하는 과정을 나타낸 것이다.3 illustrates a packet format of a multicast open protocol and a process of executing a protocol.
도 4는 본 발명에 따른 지니 네트워크에서 사용자 인증을 할 수 있는 디스커버리 프로토콜의 흐름을 도시한 것이다.4 illustrates a flow of a discovery protocol capable of user authentication in a Genie network according to the present invention.
도 5는 본 발명에 따른 지니 네트워크에서 사용자 인증을 할 수 있는 디스커버리 프로토콜 실행 장치들의 구성과 데이터 방향을 블록으로 도시한 것이다.5 is a block diagram illustrating the configuration and data direction of discovery protocol execution apparatuses capable of user authentication in a Genie network according to the present invention.
도 6은 본 발명에 따른 유니캐스트 디스커버리 프로토콜의 패킷 형식을 도시한 것이다.6 illustrates a packet format of the unicast discovery protocol according to the present invention.
도 7은 본 발명에 따른 유니캐스트 디스커버리 프로토콜을 실행하는 장치의블록과 실행 과정을 간략하게 나타낸 것이다.7 is a simplified view of a block and an execution process of an apparatus for executing a unicast discovery protocol according to the present invention.
도 8은 본 발명에 따른 유니캐스트 디스커버리 프로토콜을 실행하는 장치의 블록과 실행 과정을 자세하게 나타낸 것이다.8 illustrates in detail a block and an execution process of an apparatus for executing a unicast discovery protocol according to the present invention.
도 9는 본 발명에 따른 멀티캐스트 요청 프로토콜의 패킷 형식을 도시한 것이다.9 illustrates a packet format of a multicast request protocol according to the present invention.
도 10은 본 발명에 따른 멀티캐스트 디스커버리 프로토콜을 실행하는 장치의 블록과 실행 과정을 간략하게 나타낸 것이다.10 is a simplified view of a block and an execution process of an apparatus for executing a multicast discovery protocol according to the present invention.
도 11은 본 발명에 따른 멀티캐스트 디스커버리 프로토콜을 실행하는 장치의 블록과 실행 과정을 자세하게 나타낸 것이다.11 illustrates in detail a block and an execution process of an apparatus for executing a multicast discovery protocol according to the present invention.
도 12는 본 발명에 따라 보안 과정이 추가된 지니 네트워크에서의 어드민 관리 장치의 블록과 그 실행 동작을 도시한 것이다.12 illustrates a block and an execution operation of an administration device in a Genie network to which a security process is added according to the present invention.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 지니(Jini) 네트워크에 연결된 클라이언트를 통해 상기 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 포함하는 룩업 서비스 호스트에 접속하여 상기 자원과 서비스에 대한 정보를 가져오며 사용자 인증을 할 수 있는 디스커버리(discovery) 프로토콜에 있어서, (a) 상기 클라이언트에서 디스커버리 프로토콜의 버전을 생성하고 사용자의 인식 코드와 패스워드를 소정의 방법으로 암호화하여 패킷 데이터를 생성하는 단계; (b) 상기 (a) 단계에서 생성된 패킷을 포함하는 정보를 상기 룩업 서비스 호스트에 전송하는 단계; (c) 상기 (b) 단계에서 전송된 정보를 수신한 룩업 서비스 호스트에서 패킷에 포함된 디스커버리 프로토콜의 버전을 자신의 프로토콜 버전과 비교하는 단계; (d) 프로토콜 버전이 같으면 수신한 정보에서 상기 암호화된 사용자 인식 코드와 패스워드를 추출하는 단계; (e) 상기 암호화된 정보를 상기 (a) 단계의 암호화에 사용된 소정의 방법의 역과정을 이용하여 해독하는 단계; (f) 상기 해독된 사용자의 인식 코드와 패스워드를 이용하여 허가된 사용자인가를 확인하는 단계; 및 (g) 허가된 사용자임이 확인된 클라이언트에게 등록 프락시(registrar proxy)와 상기 룩업 서비스 호스트가 가입되어 있는 서비스의 그룹 리스트를 포함하는 정보를 상기 룩업 서비스 호스트가 전송하는 단계를 포함하는 것을 특징으로 한다.According to the present invention for solving the technical problem, access to a look-up service host including information on the resources and services available in the network through a client connected to the Jini network to obtain information about the resources and services A discovery protocol capable of importing and authenticating a user, comprising: (a) generating a version of a discovery protocol at the client and encrypting a user's identification code and password by a predetermined method to generate packet data; (b) transmitting information including the packet generated in step (a) to the lookup service host; (c) comparing the version of the discovery protocol included in the packet with its protocol version at the lookup service host receiving the information transmitted in step (b); (d) extracting the encrypted user identification code and password from the received information if the protocol versions are the same; (e) decrypting the encrypted information using the reverse procedure of any method used for encryption in step (a); (f) confirming the authorized user using the decrypted user's identification code and password; And (g) transmitting, by the lookup service host, information to the client that has been identified as an authorized user, including a registration proxy and a list of groups of services to which the lookup service host is subscribed. do.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 지니 네트워크에서 상기 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 가지고 있는 룩업 서비스 호스트에 접속하여 상기 자원과 서비스에 대한 정보를 가져오며 사용자 인증을 할 수 있는 디스커버리 프로토콜 실행 장치에 있어서, 디스커버리 프로토콜의 버전 정보를 포함하는 헤더를 생성하는 버전생성부; 사용자의 인식 코드와 패스워드를 소정의 방법으로 암호화하는 암호화부; 상기 버전생성부에서 만들어진 헤더와 상기 암호부에서 암호화된 정보를 전송하는 전송부; 및 상기 룩업 서비스 호스트에서 사용자 인증이 된 후 전송되는 상기 룩업 서비스의 등록 프락시(registrar proxy)와 상기 룩업 서비스 호스트가 가입되어 있는 서비스의 그룹 리스트를 포함하는 정보를 수신하여 사용 가능한 자원과 서비스에 대한 정보를 수신하고 사용자 인증이 되었음을 확인하는 확인수신부를 포함하는 것을 특징으로 한다.According to an embodiment of the present invention for solving the above technical problem, a user accesses a lookup service host having information on resources and services available in the network, and obtains information on the resources and services, and performs user authentication. A discovery protocol execution apparatus, comprising: a version generator configured to generate a header including version information of a discovery protocol; An encryption unit for encrypting a user's identification code and password by a predetermined method; A transmission unit which transmits the header generated by the version generation unit and the information encrypted by the encryption unit; And information about a resource and a service available by receiving information including a registration proxy of the lookup service and a group list of services to which the lookup service host is subscribed after being authenticated by the lookup service host. Characterized in that it comprises a confirmation receiving unit for receiving information and confirming that the user authentication.
상기 또 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 지니 네트워크에 연결된 클라이언트로부터 상기 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 요청하며 사용자 인증을 할 수 있는 디스커버리 프로토콜을 실행하는 룩업 서비스 호스트 시스템에 있어서, 상기 클라이언트로부터 전송된 프로토콜의 버전과 소정의 방법으로 암호화된 사용자 인증 정보를 포함하는 데이터를 수신하여 헤더와 암호화된 정보를 분리하는 수신부; 상기 헤더의 버전 정보가 소정의 값과 같으면 상기 암호화된 사용자 인식 코드와 패스워드를 상기 암호화에 사용된 소정의 방법의 역과정을 사용하여 해독하는 복호부; 상기 해독된 사용자 인식 코드와 패스워드를 미리 등록된 사용자의 정보와 비교하여 허가된 사용자인지를 확인하는 확인부; 및 허가된 사용자임이 확인된 클라이언트에게 등록 프락시(registrar proxy)와 상기 룩업 서비스 호스트가 가입되어 있는 서비스의 그룹 리스트를 포함하는 정보를 전송하는 등록 프락시 응답부를 포함하는 것을 특징으로 한다.According to the present invention for solving the another technical problem, to the look-up service host system for requesting information about the resources and services available in the network from the client connected to the Genie network and executing the discovery protocol for user authentication A reception unit comprising: a receiver configured to receive data including a version of a protocol transmitted from the client and user authentication information encrypted by a predetermined method, and to separate a header and encrypted information; A decoding unit for decrypting the encrypted user identification code and password using a reverse process of a predetermined method used for the encryption if the version information of the header is equal to a predetermined value; A confirmation unit for confirming whether the user is an authorized user by comparing the decrypted user identification code and password with information of a pre-registered user; And a registration proxy response unit which transmits information including a registration proxy and a list of groups of services to which the lookup service host is subscribed, to the client confirmed to be an authorized user.
상기 또 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 지니(Jini) 네트워크에 연결된 클라이언트를 통해 상기 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 포함하는 룩업 서비스 호스트에 접속하여 상기 자원과 서비스에 대한 정보를 가져오며 사용자 인증을 할 수 있는 디스커버리(discovery) 프로토콜을 통해 전송되는 데이터 구조에 있어서, 상기 프로토콜 버전을 나타내는 헤더; 사용자의 인식 코드와 패스워드를 소정의 방법으로 암호화한 보안 데이터; 상기 클라이언트가 디스커버리 프로토콜을 수행한 후에 상기 룩업서비스와 통신을 하기 위한 객체인 서비스 프락시; 및 상기 룩업 서비스 호스트가 가입되어 있는 서비스의 그룹 리스트 데이터를 포함하는 것을 특징으로 한다.According to the present invention for solving the another technical problem, access to a lookup service host including information on resources and services available in the network through a client connected to the Genie network for the resources and services CLAIMS 1. A data structure transmitted via a discovery protocol capable of fetching information and authenticating a user, comprising: a header indicating the protocol version; Secure data in which a user's identification code and password are encrypted by a predetermined method; A service proxy that is an object for communicating with the lookup service after the client performs a discovery protocol; And group list data of a service to which the lookup service host is subscribed.
상기 또 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 지니(Jini) 네트워크에 연결된 클라이언트를 통해 상기 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 포함하는 룩업 서비스 호스트에 접속하여 상기 네트웍 자원과 서비스를 이용할 사용자와 네트워크에 연결된 자원에 대한 관리를 보안을 유지하면서 실행하는 방법에 있어서, (a) 상기 룩업 서비스로부터 사용자 관리를 위한 어드민(administration) 정보가 포함된 등록 어드민 프락시(registrar adminproxy)를 상기 클라이언트가 수신하는 단계; (b) 상기 클라이언트에서 관리자의 인식 코드와 패스워드를 소정의 방법으로 암호화하여 패킷 데이터를 생성하는 단계; (c) 상기 (b) 단계에서 생성된 패킷을 포함하는 데이터를 상기 룩업 서비스 호스트에 전송하는 단계; (d) 수신한 데이터에서 상기 암호화된 관리자 인식 코드와 패스워드를 룩업 서비스 호스트에서 추출하는 단계; (e) 상기 암호화된 정보를 상기 (b) 단계의 암호화에 사용된 소정의 방법의 역과정을 이용하여 해독하는 단계; (f) 상기 해독된 사용자의 인식 코드와 패스워드를 이용하여 허가된 관리자인가를 확인하는 단계; 및 (g) 허가된 관리자임이 확인되면 상기 관리자에게 사용자 관리 작업을 허가하는 메시지를 포함한 데이터를 상기 클라이언트로 전송하여 관리자 권한이 부여된 상태에서 통신을 계속하는 단계를 포함하는 것을 특징으로 한다.According to an embodiment of the present invention for solving the above technical problem, the network resources and services are accessed by accessing a lookup service host including information on resources and services available in the network through a client connected to a Jini network. A method of securely managing a user to be used and a resource connected to a network, the method comprising: (a) registering a registrar adminproxy including administration information for user management from the lookup service; Receiving; (b) generating packet data by encrypting a manager's identification code and password in a predetermined method in the client; (c) transmitting data including the packet generated in step (b) to the lookup service host; (d) extracting the encrypted administrator identification code and password from a received data at a lookup service host; (e) decrypting the encrypted information using the reverse procedure of any method used for encryption in step (b); (f) confirming whether the administrator is an authorized administrator using the decrypted user's identification code and password; And (g) if it is confirmed that the administrator is authorized, transmitting data including a message for allowing the user to manage the user to the client, and continuing the communication in the state where the administrator authority is granted.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
일반적인 클라이언트/서버 시스템들과 달리 지니 시스템에서는 클라이언트들과 서비스들이 룩업 서비스를 통하여 느슨하게 연결되어 있다. 클라이언트들과 서비스들 모두가 지니 네트워크에서 구동하기 위하여 룩업 서비스의 위치를 파악하는 것이 필요하다. 서비스들은 하나 또는 여러 룩업 서비스들에 그 자신들의 프락시(proxy)들을 레지스터함으로써 그 자신들을 공개한다. 즉, 그 서비스들을 지니 커뮤니티가 알 수 있도록 하여준다. 이것은 서비스가 보통 다른 서비스들을 연합체내에서 사용할 수 있다는 것을 알려준다. 또한 이것은 클라이언트들에서도 마찬가지이다.Unlike typical client / server systems, in Genie systems, clients and services are loosely connected through lookup services. Both clients and services need to locate the lookup service to run on the network. Services expose themselves by registering their proxies in one or several lookup services. In other words, it allows the community to know the services. This indicates that a service can usually use other services in the federation. This is also true for clients.
클라이언트가 필요한 서비스의 위치를 알기 위하여 룩업 서비스를 호출하고, 서비스의 프락시 객체를 다운로드받고, 그 서비스 자신과 상호작용을 시작한다. 이와 같은 것을 디스커버링(discovering)이라 한다. 디스커버링은 분산 네트워크를 동적으로 구성하는 지니의 기능이다. 적합하게 설계된 지니 네트워크 상에서 각 클라이언트, 서비스, 그리고 룩업 서비스는 시작, 종료, 실패 그리고 재시작을 독립적으로 할 수 있으며, 이런 동작들 중에도 네트워크는 계속 네트워크 고유의 기능을 수행하면서 동작하는 상태에 있다.The client calls the lookup service to find the location of the required service, downloads the proxy object of the service, and starts interacting with the service itself. This is called discovering. Discovering is a function of Genie that dynamically constructs distributed networks. In a well-designed Genie network, each client, service, and lookup service can start, stop, fail, and restart independently. During these operations, the network continues to operate with network-specific functions.
여기에는 두 가지의 다른 디스커버리 방법이 있다.There are two different methods of discovery.
첫 번째는 멀티캐스트 디스커버리(Multicast Discovery)이다. 이 방법은 어떠한 그리고 모든 근처의 서비스들을 열고 접근하는데 쓰인다.The first is Multicast Discovery. This method is used to open and access any and all nearby services.
두번째는 유니캐스트 디스커버리(Unicast Discovery)이다. 이미 접근하여 알고 있는 특정한 서비스를 URL을 기반으로 하여 정적인 매핑(mapping)을 하는데 쓰인다.The second is Unicast Discovery. It is used for static mapping based on URL to specific service already known and accessed.
이들 디스커버리 방법들은 다음과 같은 세 가지 디스커버리 프로토콜로 나뉘어 진다. 유니캐스트 디스커버리 프로토콜(Unicast Discovery Protocol), 멀티캐스트 요청 프로토콜(Multicast Request Protocol), 그리고 멀티캐스트 공개 프로토콜(Multicast Announcement Protocol)이다. 각 프로토콜은 보내는 부분, 엔티티(entity)의 입회를 다루는 부분, 받은 엔티티를 위한 핸들러를 포함한다.These discovery methods are divided into three discovery protocols. Unicast Discovery Protocol, Multicast Request Protocol, and Multicast Announcement Protocol. Each protocol contains a sending part, a part dealing with the entry of an entity, and a handler for the receiving entity.
이하 각 프로토콜을 설명한다.Each protocol will be described below.
도 1은 지니 네트워크의 유니캐스트 디스커버리 프로토콜(Unicast DiscoveryProtocol)을 실행하는 과정을 나타낸 것이다.1 illustrates a process of executing a unicast discovery protocol of a genie network.
서비스들과 클라이언트들은 접근하고자 하는 룩업 서비스의 위치를 이미 알고 있을 때 유니캐스트 디스커버리 프로토콜을 사용한다.Services and clients use the unicast discovery protocol when they already know the location of the lookup service they want to access.
유니캐스트 디스커버리 프로토콜이 실행되는 디스커버러 호스트(130)는 룩업 서비스에 대한 요청 메시지(request message)를 룩업 서비스 호스트(140)에 전송한다. 이 요청을 받은 룩업 서비스 호스트(140)는 서비스를 받기 위해 필요한 데이터를 응답 메시지(response message)로 해당 서비스들과 클라이언트들(도 1의 경우는 참조번호 130의 호스트)에게 보내게 된다. 룩업 서비스 호스트(140)는 자신에 해당되지 않는 메시지가 전달되는 경우에는 응답을 하지 않게 된다.The discoverer host 130 on which the unicast discovery protocol is executed transmits a request message for the lookup service to the lookup service host 140. The lookup service host 140 receiving the request sends data necessary to receive the service to corresponding services and clients (host 1 in FIG. 1) as a response message. The lookup service host 140 does not respond when a message corresponding to the lookup service host is delivered.
도 2는 지니 네트워크의 멀티캐스트 요청 (Multicast Request Protocol) 프로토콜을 실행하는 과정을 나타낸 것이다.2 illustrates a process of executing a multicast request protocol protocol of a Genie network.
처음 서비스나 클라이언트가 시작할 때 IP 멀티캐스트 프로토콜을 이용하여 인접의 룩업 서비스들에 접근하기 위하여 서비스나 클라이언트들이 이 프로토콜을 사용한다. TCP/IP 프로토콜 기반 환경에서 사용되며, 멀티캐스트 UDP 데이터그램과 TCP 프로토콜을 하부에 두는 구조이다.When a service or client starts for the first time, the service or clients use this protocol to access adjacent lookup services using the IP multicast protocol. Used in TCP / IP protocol-based environment, it is a structure that puts multicast UDP datagram and TCP protocol underneath.
새로 지니 네트워크에 접속되어 호스트의 동작이 시작되는 서비스나 클라이언트의 멀티캐스트 요청 프로토콜을 사용하는 디스커버러(230)는 요청 메시지(Request Message)를 룩업 서비스들에 전달되기 위해 UDP 멀티캐스트(multicast)를 통해 메시지를 외부로 브로드캐스팅(broadcasting)한다. 이 메시지를 받은 룩업 서비스 호스트(240)는 응답 메시지를 수신한 요청 메시지로부터 파악되는 디스커버리 호스트(230)에 전송한다.Discoverer 230 using a multicast request protocol of a service or a client connected to a new Genie network to start a host operation is a UDP multicast to send a request message to lookup services. Broadcast the message to the outside through. The lookup service host 240 receiving the message transmits the response message to the discovery host 230 identified from the received request message.
도 3은 지니 네트워크의 멀티캐스트 공개 프로토콜(Multicast Announcement Protocol)을 실행하는 과정을 나타낸 것이다.3 illustrates a process of executing a Multicast Announcement Protocol of a Genie network.
룩업 서비스들이 그들의 존재를 클라이언트들이나 서비스들에게 공개하기 위하여 멀티캐스트 공개 프로토콜을 사용한다. 모든 룩업 서비스들은 요청에 의해서 반드시 자신의 정보를 멀티캐스트 공개 프로토콜을 사용해서 내보낸다. 그것은 백업 프로토콜로서의 역할로서 룩업 서비스들이 멀티캐스트 요청 프로토콜이 실패하였을 경우 클라이언트들과 서비스들이 룩업 서비스들에 대하여 찾는 것을 가능하게 한다.Lookup services use a multicast publishing protocol to disclose their presence to clients or services. All lookup services must send their information on request using the multicast public protocol. It serves as a backup protocol that allows lookup services to find clients and services for lookup services if the multicast request protocol fails.
룩업 서비스(340)는 메시지를 보낼 멀티캐스트 UDP 소켓과 관계부에서 메시지를 받을 유니캐스트 TCP 소켓을 만들고 새로운 룩업 서비스의 존재를 공고를 받는 서비스와 다른 클라이언트들(330)은 멀티캐스트 UDP 소켓을 만든다. 클라이언트나 서비스(330)가 룩업 서비스의 공고를 받았을 때 그 공고가 그들의 응답목록에 없는 것이면 TCP 소켓(socket)을 만들어 룩업 서비스(340)로 보내 정보를 요구하며 룩업 서비스(340)로부터 응답 TCP 메시지를 받는다.The lookup service 340 creates a multicast UDP socket to send a message and a unicast TCP socket to receive a message from a relational service and the service and other clients 330 that are notified of the existence of a new lookup service create a multicast UDP socket. . When a client or service 330 receives an announcement of a lookup service and the announcement is not in their response list, it creates a TCP socket and sends it to the lookup service 340 to request information and a response TCP message from the lookup service 340. Receive.
도 4는 본 발명에 따른 지니 네트워크에서 사용자 인증을 할 수 있는 디스커버리 프로토콜의 흐름을 도시한 것이다.4 illustrates a flow of a discovery protocol capable of user authentication in a Genie network according to the present invention.
지니(Jini) 네트워크에 연결된 클라이언트를 통해 상기 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 포함하는 룩업 서비스 호스트에 접속하여 상기 자원과 서비스에 대한 정보를 가져오며 사용자 인증을 할 수 있는디스커버리(discovery) 프로토콜은, 상기 클라이언트에서 디스커버리 프로토콜의 버전을 생성하고 사용자의 인식 코드와 패스워드를 소정의 방법으로 암호화하여 패킷 데이터를 생성하고(400 단계), 참조번호 400 단계에서 생성된 패킷을 포함하는 정보를 상기 룩업 서비스 호스트에 전송하며(410 단계), 전송된 정보를 수신하여 패킷에 포함된 디스커버리 프로토콜의 버전을 자신의 프로토콜 버전과 비교하여(420 단계), 프로토콜 버전이 같으면 수신한 정보에서 상기 암호화된 사용자 인식 코드와 패스워드를 추출하고(430 단계), 암호화된 정보를 참조번호 400 단계의 암호화에 사용된 소정의 방법의 역과정을 이용하여 해독하고(440 단계), 해독된 사용자의 인식 코드와 패스워드를 이용하여 허가된 사용자인가를 확인하며(450 단계), 허가된 사용자임이 확인된 클라이언트에게 등록 프락시(registrar proxy)와 상기 룩업 서비스 호스트가 가입되어 있는 서비스의 그룹 리스트를 포함하는 정보를 전송한다.Discovery that can access a lookup service host including information on resources and services available on the network through a client connected to the Genie network, obtain information about the resources and services, and perform user authentication. The protocol generates a packet data by generating a version of the discovery protocol in the client and encrypting the user's identification code and password in a predetermined method (step 400), and the information including the packet generated in step 400 is The user is transmitted to the lookup service host (step 410), and the transmitted information is received and compared with the protocol version of the discovery protocol included in the packet (step 420). If the protocol versions are the same, the encrypted user is received from the received information. Extract the recognition code and password (step 430), the password Decrypted information is decrypted using the reverse process of the predetermined method used for the encryption of step 400 (step 440), and the user is verified using the decrypted user's identification code and password (step 450). The client transmits information including a registration proxy and a group list of services to which the lookup service host is subscribed.
도 5는 본 발명에 따른 지니 네트워크에서 사용자 인증을 할 수 있는 디스커버리 프로토콜 실행 장치들의 구성과 데이터 방향을 블록으로 도시한 것이다.5 is a block diagram illustrating the configuration and data direction of discovery protocol execution apparatuses capable of user authentication in a Genie network according to the present invention.
지니 네트워크에서 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 가지고 있는 룩업 서비스 호스트(505)에 접속하여 상기 자원과 서비스에 대한 정보를 가져오며 사용자 인증을 할 수 있는 디스커버리 프로토콜 실행 장치(500)는, 디스커버리 프로토콜의 버전 정보를 포함하는 헤더를 생성하는 버전생성부(508), 사용자의 인식 코드와 패스워드를 소정의 방법으로 암호화하는 암호화부(510), 버전생성부(508)에서 만들어진 헤더와 암호화부에서 암호화된 정보를 전송하는전송부(520) 및 룩업 서비스 호스트(505)에서 사용자 인증이 된 후 전송되는 룩업 서비스의 등록 프락시(registrar proxy)와 룩업 서비스 호스트(505)가 가입되어 있는 서비스의 그룹 리스트를 포함하는 정보를 수신하여 사용 가능한 자원과 서비스에 대한 정보를 수신하고 사용자 인증이 되었음을 확인하는 확인수신부(570)를 포함한다.In the Genie network, the discovery protocol execution apparatus 500 which accesses a lookup service host 505 having information on resources and services available in the network, obtains information on the resources and services, and performs user authentication. Version generation unit 508 for generating a header containing the version information of the discovery protocol, the encryption unit 510 for encrypting the user's identification code and password by a predetermined method, the header and encryption unit created in the version generation unit 508 A group of services to which a registration proxy and a lookup service host 505 of a lookup service transmitted after being authenticated by the transmitting unit 520 and the lookup service host 505 that transmit the encrypted information are subscribed to Receive information including a list to receive information about available resources and services, and user authentication And a confirmation receiving unit 570 confirms that the call has.
지니 네트워크에 연결된 클라이언트(500)로부터 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 요청하며 사용자 인증을 할 수 있는 디스커버리 프로토콜을 실행하는 룩업 서비스 호스트 시스템(505)에 있어서, 클라이언트(500)로부터 전송된 프로토콜의 버전과 소정의 방법으로 암호화된 사용자 인증 정보를 포함하는 데이터를 수신하여 헤더와 암호화된 정보를 분리하는 수신부(530), 헤더의 버전 정보가 소정의 값과 같으면 상기 암호화된 사용자 인식 코드와 패스워드를 상기 암호화에 사용된 소정의 방법의 역과정을 사용하여 해독하는 복호부(540), 해독된 사용자 인식 코드와 패스워드를 미리 등록된 사용자의 정보와 비교하여 허가된 사용자인지를 확인하는 확인부(550) 및 허가된 사용자임이 확인된 클라이언트에게 등록 프락시(registrar proxy)와 룩업 서비스 호스트(505)가 가입되어 있는 서비스의 그룹 리스트를 포함하는 정보를 전송하는 등록 프락시 응답부(560)를 포함한다.In the lookup service host system 505 executing a discovery protocol for requesting information on resources and services available on the network from a client 500 connected to the Genie network and for authenticating a user, Receiving unit 530 for receiving the data including the version of the protocol and the user authentication information encrypted by a predetermined method to separate the header and the encrypted information, if the version information of the header is equal to a predetermined value and the encrypted user identification code and Decryption unit 540 for decrypting a password using the reverse process of the predetermined method used for encryption, and a confirmation unit for confirming whether the user is an authorized user by comparing the decrypted user identification code and the password with information of a pre-registered user. 550 and a registrar proxy to the client that has been verified as an authorized user. And a look-up service host 505, the proxy response registration unit 560 for transmitting the information including the group list of service that is joined.
이하 도 4와 도 5의 도면을 참조하여 디스커버리 프로토콜의 각 경우에 본 발명에 따른 실시예를 설명한다.Hereinafter, embodiments of the present invention will be described in each case of the discovery protocol with reference to the drawings of FIGS. 4 and 5.
도 6은 본 발명에 따른 유니캐스트 디스커버리 프로토콜의 패킷 형식을 도시한 것이며, 도 7은 본 발명에 따른 유니캐스트 디스커버리 프로토콜을 실행하는 장치의 블록과 실행 과정을 간략하게 나타낸 것이다.6 illustrates a packet format of the unicast discovery protocol according to the present invention, and FIG. 7 briefly illustrates a block and an execution process of an apparatus for executing the unicast discovery protocol according to the present invention.
종래의 경우와 마찬가지로 본 발명에 따른 유니캐스트 디스커버리 프로토콜도 서비스들과 클라이언트들은 접근하고자 하는 룩업 서비스의 위치를 이미 알고 있을 때 사용된다. 그 위치는 룩업 서비스가 실행 중인 호스트(700)의 이름과 포트 번호에 의하여 정해진다.As in the conventional case, the unicast discovery protocol according to the present invention is used when services and clients already know the location of a lookup service to be accessed. The location is determined by the name and port number of the host 700 on which the lookup service is running.
도 6의 패킷 형식의 각 부분은 다음과 같이 구성된다.Each part of the packet form of FIG. 6 is comprised as follows.
헤더(Header, 600) : 사용된 디스커버리 프로토콜의 버젼을 나타내는 정수값. 버전을 줌으로써 미래의 디스커버리 프로토콜이 어느 시점의 초기 버전의 프로토콜로 구현된 그룹들과 통신하는지 알 수 있도록 한다. 지니의 현재 버전은 '1'이므로 이 값은 '1'로 설정된다. 지니의 버전이 높아지게 되면 이 값도 그에 따라 바뀌게 된다.Header (600): Integer value indicating the version of the discovery protocol used. By giving a version, you can see when future discovery protocols communicate with groups implemented with earlier versions of the protocol. The current version of Genie is '1', so this value is set to '1'. As the Genie version gets higher, this value will change accordingly.
보안(Secyrity, 610) : 서비스를 이용하려고 하는 사용자의 사용자 인식 코드인 ID와 패스워드가 소정의 방법을 통해 암호화된 것이다.Security (610): An ID and password, which are a user identification code of a user who wants to use a service, are encrypted through a predetermined method.
등록 프락시(Registrar Proxy, 620) : 디스커버러가 룩업 서비스와 통신을 위해서 룩업서비스로부터 받는 자바 객체의 직렬화(Java object serialization)로 된 java.rmi.MarshalledObject 이다.Registrar Proxy (620): A java.rmi.MarshalledObject with the Java object serialization that the discoverer receives from the lookup service for communication with the lookup service.
그룹들(Groups, 630) :Groups (630):
- group : 룩업 서비스가 구성원인 그룹들의 이름group: The names of groups of which the lookup service is a member
(도면에는 표시되어 있지 않으나 group들의 수를 나타내는 정수인 group length 필드가 Groups에 포함될 수도 있다)(Groups may contain a group length field, which is not shown in the drawing but is an integer indicating the number of groups.)
버전생성부(508)에서 디스커버리 프로토콜의 버전을 생성한다. 디스커버리 프로토콜을 사용하여 룩업 서비스를 찾는 측인 클라이언트 혹은 디스커버러(700, 500)의 암호화부(510)에서 서비스를 이용하려는 사용자의 인식 코드(ID)와 패스워드(password)를 암호화한다(400 단계).The version generator 508 generates a version of the discovery protocol. The discovery protocol encrypts the identification code (ID) and password of the user who wants to use the service in the encryption unit 510 of the client or the discoverer 700 or 500 that is a lookup service (step 400). .
이 암호화 방법은 AES(Advanced Encryption Standard) 알고리즘을 사용하는 것이 바람직할 것이며, 그 외의 암호화 알고리즘, 예를 들면 DES(Data Encryption Standard) 알고리즘과 같은 다른 암호화 알고리즘을 사용해도 구현할 수 있다.It is preferable to use the AES (Advanced Encryption Standard) algorithm, and this encryption method can be implemented by using other encryption algorithms, for example, other encryption algorithms such as the Data Encryption Standard (DES) algorithm.
전송부(520)는 지니의 프로토콜 버전과 AES 알고리즘으로 암호화된 데이터(ID, Password)를 함께 TCP 유니캐스트 소켓을 통해서 룩업 서비스 호스트(710, 505)에 전송한다(410 단계).The transmitter 520 transmits the Gini protocol version and the data (ID, Password) encrypted by the AES algorithm to the lookup service hosts 710 and 505 through the TCP unicast socket (step 410).
룩업 서비스 호스트(710, 505)의 수신부(530)는 수신된 패킷에 포함된 디스커버리 프로토콜의 버전을 추출하며, 이 버전이 자신의 프로토콜 버전과 같은지 확인한다(420 단계).The receiving unit 530 of the lookup service hosts 710 and 505 extracts a version of the discovery protocol included in the received packet and checks whether the version is the same as its protocol version (step 420).
프로토콜 버전이 같으면 수신한 정보에서 암호화된 사용자 인식 코드와 패스워드가 추출하여 복호부(540)로 전달된다(430 단계).If the protocol versions are the same, the encrypted user identification code and password are extracted from the received information and transmitted to the decryption unit 540 (step 430).
전달된 암호화된 데이터는 복호부(540)에서 암호화에 사용된 방법의 역과정을 통해 해독된다(440 단계). 암호화에 사용된 방법을 미리 정해서 알 수도 있을 것이고, 혹은 암호화된 데이터의 헤더 부분을 암호화 방법에 따라 달리하여 암호화된 데이터의 헤더를 읽어서 알 수도 있을 것이다.The transmitted encrypted data is decrypted through the reverse process of the method used for encryption in the decryptor 540 (step 440). The method used for encryption may be known in advance, or the header portion of the encrypted data may be read by reading the header of the encrypted data according to the encryption method.
확인부(550)에서 룩업 서비스를 사용가능한 사용자인지를 확인한 후(450 단계), 사용 가능한 경우에만 룩업 서비스의 등록 프락시(registrar proxy)와 룩업 서비스(710, 505)가 구성원으로 가입되어 있는 그룹의 리스트가 확인전송부(560)를 통해 디스커버러(700, 500)에게 응답 메시지로 전송된다(460 단계). 이때에 TCP 유니캐스트 소켓을 사용하는 것이 바람직하다.After checking whether the lookup service is a user who can use the lookup service (step 450), the registrar proxy of the lookup service and the lookup service (710, 505) of the group to which the lookup service is subscribed as a member only are available. The list is transmitted as a response message to the discoverers 700 and 500 through the confirmation transmission unit 560 (step 460). In this case, it is preferable to use a TCP unicast socket.
디스커버러(700, 500)의 확인수신부(570)로 전송된 등록 프락시는 디스커버러(700, 500)가 디스커버리 프로토콜을 수행한 후에 룩업서비스(710, 505)와 통신을 하기 위한 객체이다.The registration proxy transmitted to the confirmation receiver 570 of the discoverers 700 and 500 is an object for communicating with the lookup services 710 and 505 after the discoverers 700 and 500 perform the discovery protocol.
보안 메시지를 포함하지 않는 유니캐스트 요청 메시지가 다른 디스커버러(720)으로부터 전송된 경우에는 허가된 사용자가 아니므로 아무런 응답을 주지 않는다, 아무 응답이 없으므로 다른 디스커버러(720)는 룩업 서비스(710)와 통신을 디스커버리 프로토콜을 성공적으로 수행한 것이 아니며, 룩업 서비스(710)와의 연결(connection)을 설정할 수 없다.If a unicast request message that does not contain a security message is sent from another discoverer 720, it is not an authorized user and thus does not give a response. Since there is no response, the other discoverer 720 may use a lookup service ( The discovery protocol does not successfully communicate with the 710 and cannot establish a connection with the lookup service 710.
도 8은 도 7의 본 발명에 따른 유니캐스트 디스커버리 프로토콜을 실행하는 장치의 블록과 실행 과정을 자세하게 나타낸 것이다. 도 8의 블록을 도 5의 블록과 비교하면 명칭이 약간 다른 것을 알 수 있다. 이는 실제의 구현을 위해 기능적인 면을 추가해서 일부 블록의 명칭이 바뀐 것이며, 도 8의 구성은 도 5의 구성을 모두 포함하고 있는 것이다. 도 5의 수신부(530)의 기능은 도 8의 유니캐스트 디스커버리 처리부(830)에 포함되어 있으며, 도 5의 확인부(550)의 기능은 도 8의 사용자일치확인부(850)에 포함되어 있다. 또한 도 5의 확인수신부(570)의 기능은 도 8의 등록프락시부(880)에 포함되어 있다. 이후의 설명은 도 4 및 도 5의 참조번호는 제외하고 도 8의 참조번호만을 이용하여 진행한다.FIG. 8 illustrates in detail a block and an execution process of an apparatus for executing the unicast discovery protocol according to the present invention of FIG. 7. Comparing the block of FIG. 8 with the block of FIG. 5, the name is slightly different. This is to change the name of some blocks to add a functional aspect for the actual implementation, the configuration of Figure 8 includes all of the configuration of FIG. The function of the receiving unit 530 of FIG. 5 is included in the unicast discovery processing unit 830 of FIG. 8, and the function of the checking unit 550 of FIG. 5 is included in the user matching unit 850 of FIG. 8. . In addition, the function of the confirmation receiving unit 570 of FIG. 5 is included in the registration proxy unit 880 of FIG. 8. The following description proceeds using only the reference numerals of FIG. 8 except for the reference numerals of FIGS. 4 and 5.
디스커버러(800)에서 암호화부(810)는 AES 알고리즘과 같은 암호화 알고리즘을 사용해서 사용자 ID와 패스워드를 암호화하고, 전송부(820)를 통해 버전생성부(808)에서 생성된 지니 프로토콜 버전(defaut : 1)과 함께 룩업서비스(802)에게 전송한다.In the discoverer 800, the encryption unit 810 encrypts a user ID and a password using an encryption algorithm such as an AES algorithm, and transmits the Genie protocol version (generated by the version generator 808 through the transmission unit 820). defaut: 1) together with the lookup service 802.
룩업서비스 호스트(802)의 유니캐스트 디스커버리 처리부(830)는 전송되어진 패킷들을 받아서 프로토콜의 일치 여부를 확인하고, 사용자 ID와 패스워드를 보안관리부(806)의 복호부(840)에 전송한다. 복호부(840)는 암호화부(810)에서 사용한 암호화 알고리즘의 역과정을 사용하여 사용자 ID와 패스워드를 해독하는 복호화를 한다. 예를 들어 암호화 알고리즘으로 AES를 사용한 경우 복호부(840)에서도 AES 알고리즘을 사용하는 것이다. 만일 암호화부(810)에서 다른 암호화 알고리즘을 사용한다면 복호부(840)에서도 그 알고리즘에 대응한 다른 알고리즘을 사용하여 복호화를 하게 될 것이다.The unicast discovery processor 830 of the lookup service host 802 receives the transmitted packets, checks whether the protocols match, and transmits the user ID and password to the decoder 840 of the security manager 806. The decryption unit 840 decrypts the user ID and password by using a reverse process of the encryption algorithm used in the encryption unit 810. For example, when AES is used as the encryption algorithm, the decoder 840 also uses the AES algorithm. If the encryption unit 810 uses a different encryption algorithm, the decryption unit 840 will also decrypt using another algorithm corresponding to the algorithm.
사용자일치확인부(850)에서는 복호화된 사용자 ID와 패스워드를 사용자/패스워드 리스트의 데이터베이스(860)의 데이터들과 비교하여 사용 가능한 사용자 ID와 패스워드인지를 확인한다. 확인한 결과가 허락된 사용자라면 등록 프락시 응답부(870)에서 등록 프락시(Registrar Proxy)와 룩업서비스(802)가 가입해 있는 그룹 리스트(도 6의 620, 630)를 디스커버러(800)에게 전송한다. 이때의 전송되는 데이터는 TCP 유니캐스트(unicast) 메시지의 소켓으로 구성된다.The user coincidence checker 850 compares the decrypted user ID and password with the data of the database 860 of the user / password list to check whether the user ID and password are usable. If the user is allowed to confirm the result, the registration proxy response unit 870 transmits the list of groups (620 and 630 of FIG. 6) to which the registration proxy and the lookup service 802 subscribe, to the discoverer 800. do. The transmitted data at this time consists of a socket of a TCP unicast message.
데이터베이스(860)는 하드 디스크와 같은 저장 매체를 이용하여 상용의 데이터베이스 관리 프로그램 혹은 일반적인 데이터베이스 구현 프로그램으로 구현할 수 있을 것이다.The database 860 may be implemented by a commercial database management program or a general database implementation program using a storage medium such as a hard disk.
상기의 과정을 통해 본 발명에 따라 인증된 사용자에 대한 보안이 지켜지는 상태에서 디스커버리 프로토콜이 실행된 것이다.Through the above process, the discovery protocol is executed in a state where security for an authenticated user is maintained.
디스커버러의 등록프락시부(880)에서는 전송되어져 온 등록 프락시(Registrar Proxy)를 통해서 룩업서비스(802)의 등록 관리부(890)와 RMI(Remote Method Invocation)을 이용하여 통신을 하게 된다. 이때에 등록 프락시부(880)는 수신한 등록 프락시(885)의 정보를 바탕으로 등록 관리부(890)와의 통신을 유지하는 것이다.The discovery proxy unit 880 of the discoverer communicates with the registration management unit 890 of the lookup service 802 using a remote method invocation (RMI) through a registration proxy that has been transmitted. At this time, the registration proxy unit 880 maintains communication with the registration management unit 890 based on the received information of the registration proxy 885.
유니캐스트 디스커버리 처리부(830)와 등록프락시응답부(870)는 디스커버리 프로토콜에 관련된 것을 관리하는 역할을 하므로 디스커버리 관리모듈(804)로 구분될 수도 있다.The unicast discovery processing unit 830 and the registration proxy response unit 870 may be divided into the discovery management module 804 because they play a role in managing the discovery protocol.
복호부(840)와 사용자일치확인부(850)는 기능적으로 분리한 것일 뿐이며 구현예에 따라서는 보안 관리 모듈(806)이라는 하나의 기능 블록으로 설정될 수 있을 것이다.The decryption unit 840 and the user coincidence unit 850 are only functionally separated and may be set as one functional block called the security management module 806 depending on the implementation.
종래에는 유니캐스트 디스커버리 처리부(830)에 전송된 암호화되지 않은 사용자 관련 데이터는 보안 과정을 거치지 않고 바로 등록 프락시 응답부(870)로 전달되고, 그에 대한 응답의 메시지가 디스커버러(800)쪽으로 전송되어 통신이 이루어졌다. 결과적으로 보안에 대해 전혀 무방비가 되는 것을 알 수 있으며, 본 발명에 따른 도 8의 실시예의 경우에는 보안이 이루어지는 것을 알 수 있다.In the related art, unencrypted user-related data transmitted to the unicast discovery processing unit 830 is directly transmitted to the registration proxy response unit 870 without undergoing a security process, and a response message is transmitted to the discoverer 800. Communication was established. As a result, it can be seen that there is no defense for security at all, and in the case of the embodiment of FIG. 8 according to the present invention, it can be seen that security is performed.
도 9는 본 발명에 따른 멀티캐스트 요청 프로토콜의 패킷 형식을 도시한 것이며, 도 10은 본 발명에 따른 멀티캐스트 디스커버리 프로토콜을 실행하는 장치의 블록과 실행 과정을 간략하게 나타낸 것이다.9 illustrates a packet format of a multicast request protocol according to the present invention, and FIG. 10 briefly illustrates a block and an execution process of an apparatus for executing the multicast discovery protocol according to the present invention.
종래의 멀티캐스트 요청 프로토콜과 마찬가지로 처음 서비스나 클라이언트가 시작할 때 IP 멀티캐스트 프로토콜을 이용하여 인접의 룩업 서비스들에 접근하기 위하여 서비스나 클라이언트들이 이 프로토콜을 사용한다. TCP/IP 프로토콜 기반 환경에서 사용되며, 멀티캐스트 UDP 데이터그램과 TCP 프로토콜을 하부에 두는 구조인 것도 종래의 경우와 마찬가지이다.As with the conventional multicast request protocol, the service or clients use this protocol to access adjacent lookup services using the IP multicast protocol when the first service or client starts. It is used in the TCP / IP protocol-based environment, and has the same structure as the conventional case in which the multicast UDP datagram and the TCP protocol are underneath.
패킷 형식의 각 부분은 다음과 같이 구성된다.Each part of the packet format is composed as follows.
데이터그램 패킷(Datagram packet) :Datagram packet:
- port : 디스커버러가 룩업 서비스로부터 받는 응답을 위해 리스닝(listening)하는 TCP 포트번호를 나타내는 정수값.port: Integer value indicating the TCP port number that the listener listens for for a response from the lookup service.
- group n : 디스커버러가 찾기를 원하는 룩업 서비스들의 그룹 명칭(900)group n: Group name of the lookup services the discoverer wants to find (900).
- service ID n : 디스커버러가 이미 등록한 룩업서비스의 Service ID(910)service ID n: Service ID (910) of the lookup service already registered by the discoverer.
등록 프락시(Registrar Proxy, 620) : 디스커버러가 룩업 서비스와 통신을 위해서 룩업서비스로부터 받는 자바 객체의 직렬화(Java object serialization)로 된 java.rmi.MarshalledObject 이다.Registrar Proxy (620): A java.rmi.MarshalledObject with the Java object serialization that the discoverer receives from the lookup service for communication with the lookup service.
헤더(Header, 930) :Header (930):
- protocol version : 사용된 디스커버리 프로토콜의 버젼을 나타내는 정수값으로 현재는 '1'로 설정되어 있으며, 버전의 값은 도 1의 경우와 같이 바뀔 수있는 값이다.protocol version: An integer value indicating the version of the discovery protocol used, and is currently set to '1', and the value of the version is changeable as in the case of FIG.
보안(Secyrity, 940) : 서비스를 이용하려고 하는 사용자의 사용자 인식 코드인 ID와 패스워드가 소정의 방법을 통해 암호화된 것이다.Security (940): An ID and a password, which is a user identification code of a user who wants to use a service, are encrypted through a predetermined method.
그룹들(Groups, 950) :Groups (950):
- Group Length : group들의 수를 나타내는 정수.Group Length: An integer representing the number of groups.
- Group : 룩업 서비스가 멤버인 그룹들의 이름. 검색 대상이 되는 그룹들의 이름을 나타내며 UTF-8 포맷의 스트링.-Group: Names of groups the lookup service is a member of. A string in UTF-8 format that represents the names of the groups to search for.
(도 9에는 포함되어 있지 않지만 도 9의 패킷 형식에는 다음과 같은 것들이 추가될 수 있다.Although not included in FIG. 9, the following may be added to the packet format of FIG. 9.
Heard From :Heard From:
패킷은 디스커버러가 이미 응답을 받은 룩업 서비스의 목록을 가지고 있으며 멀티캐스트 요청을 받은 룩업 서비스는 자신이 Heard From에 포함되어 있으면 응답하지 않아도 된다.The packet contains a list of lookup services that the discoverer has already responded to, and a lookup service that has received a multicast request does not need to respond if it is included in the Heard From.
- Heard Length : Heard의 수를 나타내는 정수값.Heard Length: An integer value indicating the number of heards.
- Heard : 지니 서비스 ID. 각 ID는 룩업 서비스를 고유하게 나타내는 128-bit 값.)-Heard: Genie service ID. Each ID is a 128-bit value that uniquely identifies a lookup service.)
디스커버러(1000)가 UDP 멀티캐스트를 통해서 데이터그램 패킷을 요청 메시지로 전송한다. 데이터그램 패킷은 룩업 서비스가 유니캐스트 디스커버리를 시작하기 위해서 필요한 디스커버러의 포트번호와 디스커버러가 찾기를 원하는 룩업 서비스들의 그룹(900), 디스커버러가 이미 등록한 룩업서비스의 Service ID(910)로 구성되어져 있다.The discoverer 1000 transmits a datagram packet as a request message through UDP multicast. The datagram packet includes the port number of the discoverer required for the lookup service to start unicast discovery, the group of lookup services that the discoverer wants to find (900), and the service ID (910) of the lookup service that the discoverer has already registered. It is composed of
룩업 서비스(1010)의 멀티캐스트 요청 처리부가 멀티캐스트 그룹 224.0.1.85, port 번호 4160로부터 멀티캐스트 요청을 기다린다. 멀티캐스트 패킷이 도착하면 디스커버러가 원하는 그룹에 룩업 서비스(1010) 자신이 포함되어 있는 지와 디스커버러(1000)가 이미 등록한 Service ID에 룩업서비스(1010)의 Service ID가 있는지 조사를 한다. 만족한다면 룩업 서비스는 디스커버러의 유니캐스트 TCP 소켓에 접속을 하게 된다. 디스커버러의 TCP 소켓에 접속이 이루어지면 디스커버러(1000)는 도 4 혹은 도 7 혹은 도 8의 경우의 유니캐스트 디스커버리에서 수행했던 순서대로 룩업서비스(1010)와 TCP 유니캐스트 접속을 하게 된다.The multicast request processing unit of the lookup service 1010 waits for a multicast request from the multicast group 224.0.1.85, port number 4160. When the multicast packet arrives, the discoverer checks whether the lookup service 1010 itself is included in the desired group and whether the service ID of the lookup service 1010 already exists in the service ID registered by the discoverer 1000. . If so, the lookup service will connect to the discoverer's unicast TCP socket. When the connection is made to the TCP socket of the discoverer, the discoverer 1000 establishes a TCP unicast connection with the lookup service 1010 in the order of performing the unicast discovery in FIG. 4, 7, or 8. .
마찬가지로 보안 처리가 되어 있지 않은 요청 메시지를 보낸 다른 디스커버러(1020)의 요청에 대해서는 어떤 응답도 하지 않아 통신이 불가능하게 된다.Similarly, no response is made to the request of another discoverer 1020 that has sent a request message that has not been secured, so communication is impossible.
도 11은 도 10의 본 발명에 따른 멀티캐스트 디스커버리 프로토콜을 실행하는 장치의 블록과 실행 과정을 자세하게 나타낸 것이다. 도 11의 참조번호 1108 내지 1190은 각각 도 8의 참조번호 808 내지 890과 기능적으로 완전히 동일하므로 도 8의 내용과 중복되는 설명은 필요한 경우 외에는 생략될 것이다.FIG. 11 illustrates in detail a block and an execution process of an apparatus for executing the multicast discovery protocol according to the present invention of FIG. 10. Since reference numerals 1108 to 1190 of FIG. 11 are functionally identical to those of reference numerals 808 to 890 of FIG. 8, respectively, a description overlapping with the contents of FIG. 8 will be omitted unless necessary.
디스커버러(1110)의 멀티캐스트 요청부(1102)는 요청 메시지는 멀티캐스트 방식의 UDP 패킷으로 룩업 서비스(1101)에 전송된다. 룩업서비스(1101)의 멀티캐스트 요청 처리부(1103)에서는 TCP 연결여부를 결정하고, 연결이 가능하다면 연결 생성부(1104)와 디스커버러의 연결유지부(1105)를 통해 연결을 수행되며 유지된다. 상기 과정들은 기존의 멀티캐스트 요청 프로토콜과 동일하다. TCP 연결이 설립되면되면 디스커버러(1100)와 룩업서비스(1101)는 도 8의 유니캐스트 디스커버리 프로토콜과 같은 방법을 통해서 디스커버리 프로토콜을 수행한다.The multicast request unit 1102 of the discoverer 1110 transmits the request message to the lookup service 1101 as a multicast UDP packet. The multicast request processing unit 1103 of the lookup service 1101 determines whether or not a TCP connection is established, and if a connection is possible, the connection is made through the connection generation unit 1104 and the connection maintaining unit 1105 of the discoverer. . The above procedures are identical to the existing multicast request protocol. When the TCP connection is established, the discoverer 1100 and the lookup service 1101 perform the discovery protocol through a method such as the unicast discovery protocol of FIG. 8.
도 11과 종래의 프로토콜 진행 과정인 도 2를 비교하면 종래에는 유니캐스트 디스커버리 처리부(1130)에 전송된 암호화되지 않은 사용자 관련 데이터는 보안 과정을 거치지 않고 바로 등록 프락시 응답부(1170)로 전달되고, 그에 대한 응답의 메시지가 디스커버러(1100)쪽으로 전송되어 통신이 이루어졌다. 결과적으로 보안에 대해 전혀 무방비가 되는 것을 알 수 있으며, 본 발명에 따른 도 11의 실시예의 프로토콜의 경우에는 보안이 이루어지는 것을 알 수 있다.Comparing FIG. 11 with FIG. 2, which is a process of a conventional protocol, in the related art, unencrypted user-related data transmitted to the unicast discovery processing unit 1130 is transferred directly to the registration proxy response unit 1170 without undergoing a security process. A response message was sent to the discoverer 1100 to communicate. As a result, it can be seen that there is no defense for security at all, and in the case of the protocol of the embodiment of FIG. 11 according to the present invention, security can be seen.
또한 본 발명이 적용된 보안 기능을 가진 디스커버리 프로토콜을 사용하는 룩업 서비스에 보안 기능이 없는 종래의 디스커버러가 서비스를 신청하는 경우에는 아무 응답을 주지 않게 되는데, 이 경우 그 디스커버러는 인증을 받지 않은 상태이므로 룩업 서비스의 인증을 받지 못하는 것이 정상이다. 그리고 본 발명이 적용된 보안 기능을 가진 디스커버러가 보안 기능이 없는 종래의 지니 네트워크에 접속되는 경우에는 그 지니 네트워크의 룩업 서비스는 보안에 대한 패킷은 일반 데이터로 처리할 것이므로 본 발명이 적용된 디스커버러는 원하는 응답을 룩업 서비스로부터 받을 수 있다. 즉, 본 발명이 적용된 디스커버리 프로토콜을 사용하는 디스커버러나 룩업 서비스는 종래의 디스커버리 프로토콜을 사용하는 디스커버러나 룩업 서비스와 동시에 사용할 수 있는 호환성이 유지되는 것이다.In addition, when a conventional discoverer without a security function applies for a service to a lookup service that uses the discovery protocol with a security function to which the present invention is applied, no response is given, in which case the discoverer is not authenticated. In this case, it is normal to not authenticate the lookup service. In addition, when the discoverer having the security function to which the present invention is applied is connected to a conventional Genie network without the security function, the lookup service of the Genie network will process the security packet as general data, so that the discovery is applied. The writer can receive the desired response from the lookup service. That is, the discovery or lookup service using the discovery protocol to which the present invention is applied maintains compatibility that can be used simultaneously with the discovery or lookup service using the conventional discovery protocol.
자바 2 보안 메카니즘(Java 2 security mechanism)들을 사용하여 서비스들이나 어플리케이션들의 그룹이 연결될 수 있는 영역을 제한할 수 있다. 예를 들면 만약 새로운 지니 서비스를 인터넷을 통하여 다운로드 받았을 때, 그 서비스의 소스에 대하여 믿을 수가 없다면 특정 그룹만을 접속할 수 있도록 제한할 수 있다. 서비스나 다른 어플리케이션이 LookupDiscovery 객체를 만들거나 LookupDiscovery 객체를 찾기 위해서 그룹들의 집합을 바꾸려고 시도할 때, 코드는 생성자가 원하는 그룹들의 집합을 각각 찾으려는 시도를 할 수 있는 권한을 가지고 있는지 확인한다. LookupDiscovery는 합당한 권한을 가지고 있지 않을 때에는 java.lang.SecurityException을 발생시킨다.Java 2 security mechanisms can be used to limit the areas to which a group of services or applications can connect. For example, if a new Genie service is downloaded over the Internet, you can restrict access to certain groups if you can't trust the source of the service. When a service or other application attempts to create a LookupDiscovery object or change the set of groups to find a LookupDiscovery object, the code checks to see if the creator has permission to try each of the desired set of groups. LookupDiscovery throws a java.lang.SecurityException if you do not have the proper permissions.
그러나, 그러한 권한들은 믿을 수 있는 프로그램들에 대해서는 사용 가능하도록 설정되어 있어야 한다. 왜냐하면 어플리케이션들은 no group들을 찾는 것을 허용하기 때문이다. 그러므로 사용자는 policy 파일의 몇 폼을 전달하여야 룩업 서비스 호스트들 자신이 디스커버리를 수행할 수 있도록 할 수 있다.However, those privileges should be set to be available to trusted programs. This is because applications allow you to find no groups. Therefore, the user must pass some form of the policy file so that the lookup service hosts themselves can perform discovery.
이 메커니즘은 선택적으로 어플리케이션이 연결하려는 그룹들을 제한하는데 사용될 수 있다. 특정한 그룹들에 대하여 서비스가 접근할 수 있도록 하려면, 사용자는 policy 파일을 생성할 수 있어야하며 java.security.policy 속성(property)을 통하여 자바가상머신(Java Virtual Machine)으로 그 파일을 전달할 수 있어야 한다. 사용자는 서비스나 클라이언트, 룩업 서비스 자신인지를 불문하고 이 policy 파일을 통해 디스커버리를 수행하는 어플리케이션의 접근을 허용하거나 제한할 수 있다.This mechanism can optionally be used to restrict the groups that an application wants to connect to. In order for a service to be able to access specific groups, the user must be able to create a policy file and pass it to the Java Virtual Machine through the java.security.policy property. . This policy file allows the user to allow or restrict access to applications that perform discovery, whether the service, client, or lookup service itself.
도 12는 본 발명에 따라 지니 네트워크에서의 관리자 모드에서도 보안을 실현한 일 태양으로, 본 발명에 따라 보안 과정이 추가된 어드민 관리 장치의 블록과그 실행 동작을 도시한 것이다.12 is a view illustrating security in a manager mode in a genie network according to the present invention, and illustrates a block and an execution operation of an administrator management device to which a security process is added according to the present invention.
종래의 지니 네트워크에서는 등록 어드민 프락시(Registrar Admin Proxy)와어드민 관리부(Administrative Manager)에서 새로운 사용자를 추가, 수정, 삭제, 조회 등의 기능을 하였다. 본 발명에 따른 도 12의 구성에서 기존의 등록 어드민 프락시(Registrar Admin Proxy)의 기능 확장과 어드민 관리 모듈(Administrative Manager)에 어드민 보안부(Security Admin, 1265)를 추가하여 권한을 부여받은 관리자만이 새로운 사용자를 추가, 수정, 삭제, 조회 등의 기능을 가능하게 하였다.In the conventional Genie network, new users can be added, modified, deleted, and retrieved by the Registrar Admin Proxy and the Admin Manager. In the configuration of FIG. 12 according to the present invention, only the administrator who is authorized by adding the Admin Admin (1265) to the function extension of the existing Registrar Admin Proxy and the Admin Manager (Administrative Manager) is new. You can add, edit, delete, and search users.
지니(Jini) 네트워크에 연결된 클라이언트를 통해 상기 네트워크에서 이용 가능한 자원과 서비스에 대한 정보를 포함하는 룩업 서비스 호스트에 접속하여 상기 네트웍 자원과 서비스를 이용할 사용자에 대한 관리를 실행하는 이 방법은 다음과 같이 실행된다.This method of accessing a lookup service host including information on resources and services available on the network through a client connected to the Genie network and performing management of the users who will use the network resources and services is as follows. Is executed.
클라이언트 시스템(1200)의 등록 프락시부(1220)에서는 룩업 서비스 호스트(1205)의 등록 프락시 관리부(1210)로부터 등록 어드민 프락시(Registrar Admin Proxy)를 수신한다. 이는 어드민 관리에 관한 작업을 시작할 수 있다는 의미를 포함한 것이다. 수신된 등록 어드민 프락시는 등록 어드민 프락시부(1230)로 전송된다.The registration proxy unit 1220 of the client system 1200 receives a Registration Admin Admin Proxy from the registration proxy management unit 1210 of the lookup service host 1205. This means that you can start working on administration. The received registration admin proxy is sent to the registration admin proxy 1230.
등록 어드민 프락시를 전송받은 등록 어드민 프락시부(1230)는 사용자나 기타 관리에 필요한 정보를 추가, 수정, 삭제, 조회 등의 기능 실행을 위해 관리자의 접속에 따라 룩업 서비스(1205)에 접속한다(클라이언트 시스템(1200)을 통해 관리자가 접속하는 것이며, 이 접속 기능이 등록 어드민 프락시부(1230)를 통해 실시되는 것이다). 이때에 도 8 또는 도 11에 도시된 암호화부와 암호전송부와 동일한 기능의 암호화부(1240)와 암호전송부(1250)를 통해 암호화된 관리자의 ID와 패스워드가 등록 어드민 프락시부(1230)를 통해 룩업 서비스(1205)의 어드민 관리부(1260)로 전송된다. 이때 등록 어드민 프락시부(1230)는 전송하는 데이터를 패킷화하여 전송한다.The registration admin proxy unit 1230, which has received the registration admin proxy, connects to the lookup service 1205 according to the access of the administrator to execute a function such as adding, modifying, deleting, and inquiring information necessary for user or other management (client The administrator connects through the system 1200, and this connection function is performed through the registration admin proxy unit 1230). At this time, the administrator ID and password of the administrator encrypted through the encryption unit 1240 and the password transmission unit 1250 having the same functions as the encryption unit and the password transmission unit illustrated in FIG. 8 or 11 may be registered. It is transmitted to the administration manager 1260 of the lookup service 1205 through. At this time, the registration admin proxy unit 1230 packetizes and transmits the transmitted data.
어드민 관리부(1260)에 포함된 어드민 보안부(1265)에서는 암호화된 부분을 분리하여 보안관리부(1295)의 복호부(1270)로 전송한다.The administrator security unit 1265 included in the administration manager 1260 separates the encrypted portion and transmits the encrypted portion to the decryption unit 1270 of the security management unit 1295.
복호부(1270)에서는 암호화부(1240)에서 암호화에 사용된 방법을 이용하여 관리자에 대한 정보를 해독한다. 해독된 관리자 정보는 사용자 일치 확인부(1280)에서 미리 등록된 관리자의 ID 및 패스워드의 데이터베이스(1290)의 자료와의 비교를 거쳐 관리자 인증을 받게된다. 복호부(1270), 사용자 일치 확인부(1280) 및 데이터베이스부(1290)는 도 8 또는 도 11의 복호부, 사용자 일치 확인부 및 데이터베이스부와 각각 동일한 기능을 가진 것이다.The decryption unit 1270 decrypts the information on the manager using the method used for encryption in the encryption unit 1240. The decrypted administrator information is compared with the data of the database 1290 of the administrator's ID and password registered in advance in the user matching confirmation unit 1280 to receive administrator authentication. The decoding unit 1270, the user matching confirmation unit 1280, and the database unit 1290 have the same functions as the decoding unit, the user matching confirmation unit, and the database unit of FIG. 8 or 11, respectively.
허가된 관리자임이 확인되면 어드민 관리부(1260)에서는 관리자가 접속한 클라이언트(1200)에게 사용자 관리 작업을 허가하는 메시지를 포함한 데이터를 전송하여 관리자 권한이 부여된 통신을 계속하도록 한다.If it is confirmed that the administrator is authorized, the administration manager 1260 transmits data including a message for allowing user management to the client 1200 to which the administrator is connected to continue communication to which the administrator is granted.
인증을 받은 관리자는 사용자에 대한 추가, 수정, 삭제, 조회 등의 작업과 지니 네트워크에 연결되어 있는 이용 가능한 자원에 대한 관리 작업을 수행할 수 있게 된다.Authorized administrators can perform tasks such as adding, modifying, deleting, and retrieving users and managing the available resources connected to the Genie network.
이때에 관리자의 인식 코드에 따라 관리할 수 있는 작업의 영역을 한정할 수있을 것이다. 예를 들면 새로운 사용자 등록에 대한 관리자 인식 코드와 사용자에 대한 정보를 갱신하거나 삭제하는 관리자 인식 코드를 별도로 미리 설정하고, 사용자 일치 확인부(1280)에서는 각각에 대한 관리자 인식 코드를 확인하며, 어드민 관리부(1260)에서 등록 어드민 프락시부(1230)에 사용자 관리 작업을 허가하는 메시지를 전송할 때에 지금 접속한 관리자가 할 수 있는 관리 작업의 권한을 나타내는 데이터를 포함시킬 수 있을 것이다.At this time, it is possible to limit the scope of work that can be managed according to the administrator's recognition code. For example, an administrator recognition code for a new user registration and an administrator recognition code for updating or deleting information about a user are separately set in advance, and the user match confirmation unit 1280 checks the administrator recognition code for each user, and the administration manager In operation 1260, the registration admin proxy unit 1230 may include data representing the authority of the management task which can be performed by the administrator who is currently connected when the message granting the user management task is transmitted.
상기와 같은 방법을 통해 관리자 보안 기능이 없는 지니 네트워크에서도 종래의 기술과 호환성을 유지하면서 관리자에 대한 보안을 실행할 수 있게 된다.Through the above method, even in a Gini network without an administrator security function, security for the administrator can be executed while maintaining compatibility with the conventional technology.
도 5, 도 8, 도 11, 도 12의 각 기능 블록은 소프트웨어적인 방법을 통해 혹은 PLD, FPGA와 같은 프로그래밍 소자나 프로그램의 실행 코드가 담긴 ROM과 같은 소자를 통해 구현할 수 있으며, 이는 공개되어 있는 지니 문서의 규격을 참고하여 본 발명이 속한 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.Each of the functional blocks of FIGS. 5, 8, 11, and 12 may be implemented through a software method or a device such as a PLD or FPGA, or a device such as a ROM containing executable code of a program. A person having ordinary skill in the art to which the present invention pertains may easily know with reference to the specification of the Genie document.
그리고 본 발명에 따른 상기의 각 단계들은 일반적인 프로그래밍 기법을 이용하여 소프트웨어적으로 또는 하드웨어적으로 다양하게 구현할 수 있다는 것은 이 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.And it can be easily understood by those skilled in the art that each of the above steps according to the present invention can be variously implemented in software or hardware using a general programming technique.
그리고 본 발명의 일부 단계들은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기 테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.Some steps of the present invention may be embodied as computer readable codes on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, CD-RW, magnetic tape, floppy disks, HDDs, optical disks, magneto-optical storage devices, and carrier wave (eg, Internet It also includes the implementation in the form of). The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
본 발명에 의하면, 서비스와 클라이언트가 지니 디스커버리 프로토콜을 이용하여 룩업 서비스와 통신을 하기 위하여 TCP 소켓을 생성하고 이용할 때, 그 TCP 소켓을 이용하여 서비스나 클라이언트의 암호화된 인증 정보를 룩업 서비스로 전송하고, 룩업 서비스에서는 수신된 암호화된 인증 정보를 해독하여 서비스나 클라이언트로 응답 메시지를 보낼지를 결정하여 사용자 인증을 함으로써, 지니 네트웍에서 디스커버리 프로토콜을 이용하는 모든 서비스와 클라이언트들에 대하여 호환성을 유지하면서 룩업 서비스와 교신하는 디스커버리 프로토콜에 보안 기능을 제공할 수 있다. 따라서 지니 네크워크를 통한 상거래와 같은 거래에 인증된 사용자만이 서비스나 네트워크 자원을 이용할 수 있도록 하여 네트워크를 이용하는 상거래의 신뢰성을 높일 수 있다.According to the present invention, when a service and a client create and use a TCP socket to communicate with a lookup service using the Genie Discovery protocol, the TCP socket is used to transmit encrypted authentication information of the service or client to the lookup service. In addition, the lookup service decrypts the received encrypted authentication information and decides whether to send a response message to the service or the client to authenticate the user, thereby maintaining compatibility with the lookup service while maintaining compatibility with all services and clients using the discovery protocol in the Genie network. It can provide security for communicating discovery protocols. Therefore, the service or network resources can be used only by authorized users in transactions such as commerce through Genie network, thereby increasing the reliability of commerce using the network.
Claims (12)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0057007A KR100412356B1 (en) | 2001-09-15 | 2001-09-15 | Discovery protocol for user authentication, execution apparatus, data structure thereof and method for authentication of administration in the jini network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0057007A KR100412356B1 (en) | 2001-09-15 | 2001-09-15 | Discovery protocol for user authentication, execution apparatus, data structure thereof and method for authentication of administration in the jini network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20030024052A KR20030024052A (en) | 2003-03-26 |
| KR100412356B1 true KR100412356B1 (en) | 2003-12-31 |
Family
ID=27724156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR10-2001-0057007A KR100412356B1 (en) | 2001-09-15 | 2001-09-15 | Discovery protocol for user authentication, execution apparatus, data structure thereof and method for authentication of administration in the jini network |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100412356B1 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101220511B1 (en) * | 2006-06-29 | 2013-01-10 | 주식회사 케이티 | Apparatus for automatically discovering link information between network equipments using multicast PIM protocol and method thereof |
-
2001
- 2001-09-15 KR KR10-2001-0057007A patent/KR100412356B1/en not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| KR20030024052A (en) | 2003-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101038612B1 (en) | Information processing device, information processing method | |
| US9619632B2 (en) | System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data | |
| US7882356B2 (en) | UPnP authentication and authorization | |
| US7313816B2 (en) | Method and system for authenticating a user in a web-based environment | |
| US8037538B2 (en) | Access control processing method | |
| US6970941B1 (en) | System and method for separating addresses from the delivery scheme in a virtual private network | |
| JP3995338B2 (en) | Network connection control method and system | |
| US7260720B2 (en) | Device authentication system and method for determining whether a plurality of devices belong to a group | |
| US20070113269A1 (en) | Controlling access to a network using redirection | |
| US20050076082A1 (en) | Method and system for managing the exchange of files attached to electronic mails | |
| JP2004513453A (en) | Method and system for establishing a reliable distributed peer-to-peer network | |
| EP1147637A1 (en) | Seamless integration of application programs with security key infrastructure | |
| Gutmann | {Plug-and-Play}{PKI}: A {PKI} Your Mother Can Use | |
| US7765581B1 (en) | System and method for enabling scalable security in a virtual private network | |
| Müller et al. | A secure service infrastructure for interconnecting future home networks based on DPWS and XACML | |
| KR100412356B1 (en) | Discovery protocol for user authentication, execution apparatus, data structure thereof and method for authentication of administration in the jini network | |
| JP2004086490A (en) | Integrated service system | |
| WO2002095545A2 (en) | System and method for secure and private communication | |
| Sales et al. | Multilevel security in UPnP networks for pervasive environments | |
| Rajkumar et al. | A UPnP extension for multilevel security in pervasive systems | |
| Hart et al. | Evolution of New Tissues thruogh Gene Duplication and Divergence In Multihreaded Digital Organisms | |
| Marginean et al. | sDOMO–A Simple Protocol for Home Automation and Robotic Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| N231 | Notification of change of applicant | ||
| GRNT | Written decision to grant | ||
| LAPS | Lapse due to unpaid annual fee |