CN1875601A - 用于媒体供应实体中的控制点的不同许可 - Google Patents
用于媒体供应实体中的控制点的不同许可 Download PDFInfo
- Publication number
- CN1875601A CN1875601A CNA2004800324490A CN200480032449A CN1875601A CN 1875601 A CN1875601 A CN 1875601A CN A2004800324490 A CNA2004800324490 A CN A2004800324490A CN 200480032449 A CN200480032449 A CN 200480032449A CN 1875601 A CN1875601 A CN 1875601A
- Authority
- CN
- China
- Prior art keywords
- access
- permissions
- control point
- resource
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2816—Controlling appliance services of a home automation network by calling their functionalities
- H04L12/282—Controlling appliance services of a home automation network by calling their functionalities based on user interaction within the home
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Human Computer Interaction (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种允许对计算环境中提供的服务进行有区分的控制点访问的方法、装置、计算机程序产品以及计算机程序单元,一种用于在计算环境中对来自媒体供应实体的控制点提供访问的方法、计算机程序产品以及计算机程序单元,以及一种计算装置网络。网络中的媒体供应实体(12)包含了至少一个逻辑设备(24,26)以及,该设备提供了至少两个不同的许可集合,所述许可集合涉及与实体相关联的资源(36)。安全控制台(22)在至少一个逻辑设备中或是为至少一个逻辑设备注册一个控制点(20),以便为控制点提供对所述装置的访问,从而实施服务。由此,控制点可以接收基于逐个资源的不同权限,而不必改变网络中使用的连接模型。
Description
本发明通常涉及计算机组网中的安全领域。更特别地,本发明涉及一种允许对计算环境中提供的服务进行有区分的控制点访问的方法、装置、计算机程序产品以及计算机程序单元,以及涉及一种用于对来自计算环境中媒体供应实体的控制点提供访问的方法、计算机程序产品以及计算机程序单元,以及涉及一种计算装置的网络。
在计算机组网领域中,所用的连接模型通常是UPnP(通用即插即用)。该标准定义了诸如控制点、设备以及安全控制台之类的实体。在这里,设备是一个为网络的不同部件提供一组服务的逻辑实体,其中安全控制台确定此类部件关于该设备所具有的权限。然后,如果安全控制台准许控制点的访问权限,则允许控制点使用该设备的服务。在这种情况下,控制点可以在如提供设备那样的相同或不同物理实体中提供。同样的情况也适用于安全控制台,其中该安全控制台是在与物理设备相同的实体中提供的。此外,它还可以提供给不同的设备。在Carl M.Ellison于2002年11月15日发表于IntelTechnical Journal,第6卷第4版第37~48页的“Home NetworkSecurity”一文中则对这些类型实体进行了更详细的描述。
为了查看资源并且定义与这些资源相关联的权限,设备可以进一步包含一个内容目录服务。该服务允许控制点浏览和搜索设备的资源。在Yasser Rasheed和John Ritchie于2002年11月15日发表于Intel Technical Journal第6卷,第4版,第17~29页的“High-Quality Media Distribution in a Digital Home”一文中则对内容目录服务(CDS)进行了更详细的描述。
然而,与这些已知设备相关联的问题也是存在的,那就是它们不容易以逐个资源为基础来对这些资源进行有区别的查看和控制。资源的所有者有可能希望在逐个资源的基础之上为不同的控制点提供有区别的服务。这意味着控制点有可能具有安全控制台判断的某些安全性限制,例如只提供读取权限或是根本不提供权限。UPnP给出了两种工具来表示这类权限。读取/写入权限可以使用UPnP CDS中规定的机制来指定。然而,由于CDS不具有关于控制点标识的概念,因此这些机制将会为所有的控制点所共有。第二种工具则由UPnP安全机制提供,其中可以依照控制点所具有的各自许可来限制对UPnP CDS功能的访问。然而,由于所有资源都是通过相同的CDS动作集而被访问的,因此这种访问控制机制将会为UPnP CDS所提供的所有资源所共有。资源的所有者则有可能希望在逐个资源的级别上为控制点提供有区别的权限。这意味着某一个控制点有可能具有与某个资源相关的某些权限,而具有与另一个资源相关的一些其它权限。此外,举例来说,如果只允许控制点浏览和搜索某些资源,并且只能对这些资源进行受限访问,甚至不能浏览和搜索其它资源,那么将会是非常理想的。与此同时,允许另一个控制点完全访问所有资源将会是非常理想的。但是这在当前的UPnP环境中是无法实现的。
由此需要一种解决方案,该方案能在不必改变所用连接模型的情况下,以逐个资源为基础,为控制点提供与媒体供应实体所提供的资源相关联的不同权限。
本发明的目的是能够在不必改变所用连接模型的情况下,以逐个资源为基础,为控制点提供与媒体供应实体所提供的资源相关联的不同权限。
依照本发明的第一个方面,该目标是通过一种允许在具有计算机组网连接模型的计算环境中对媒体供应实体所提供的服务进行有区别的控制点访问的方法来实现的,该方法包括以下步骤:
-为媒体供应实体提供至少一个逻辑设备,以及
-提供至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源。
依照本发明的第二个方面,该目标还可以通过一种在具有计算机组网连接模型的计算环境中对来自媒体供应实体的控制点提供访问的方法来实现,所述实体具有至少一个逻辑设备,该设备提供了至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源,并且该方法包括以下步骤:
-在所有设备中接收来自控制点的访问尝试,
-根据控制点已经接收了访问的许可集合之一而准许访问,以及
-允许根据所述许可集合来访问资源。
依照本发明的第三个方面,该目标还可以通过一种用于允许在具有计算机组网联机模型的计算环境中对所提供的服务进行有区别的控制点访问的装置来实现,该装置包括:
-多个资源,以及
-至少一个逻辑设备,该设备提供了至少两个不同的许可集合,所述许可集合涉及与该装置相关联的资源。
依照本发明的第四个方面,该目标还可以通过一种使用了计算机组网连接模型的计算装置网络来实现,并且该网络包括:
-在该网络的其中一个装置中的或是为该网络的其中一个装置所提供的至少一个控制点,
-允许对服务进行有区别的控制点访问的装置,包括:
-至少一个逻辑设备,该设备提供了至少两个不同的许可集合,所述许可集合涉及与该装置相关联的资源,以及
-一个安全控制台,被设置成:
-在其中一个逻辑设备中或是为其中一个逻辑设备注册一个控制点,以便为控制点提供对所述装置的至少一部分的访问,从而实施服务。
依照本发明的第五个方面,该目标还可以通过一种用于允许在具有计算机组网连接模型的计算环境中对媒体供应实体所提供的服务进行有区别的控制点访问的计算机程序产品来实现,其中所述计算机程序产品包含了计算机可读介质,并且该介质上具有:
-计算机程序代码装置,其中当在媒体供应实体上加载所述程序时,所述装置使媒体供应实体执行以下步骤:
-为媒体供应实体提供至少一个逻辑设备,以及
-从所述逻辑设备提供至少两个不同的许可集合,其中所述许可集合涉及与媒体供应实体相关联的资源。
依照本发明的第六个方面,该目标是通过一种用于在具有计算机组网连接模型的计算环境中对来自媒体供应实体的控制点提供访问的计算机程序产品来实现,所述实体具有至少一个逻辑设备,该设备提供了至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源,其中所述计算机程序产品包含了计算机可读介质,并且该介质上具有:
-计算机程序代码装置,其中当在媒体供应实体上加载所述程序时,所述装置使媒体供应实体执行以下步骤:
-在所有设备中接收来自控制点的访问尝试,并且根据控制点已经接收了访问的许可集合之一而准许访问,以及
-允许根据所述许可集合来访问资源。
依照本发明的第七个方面,该目标还可以通过一种用于允许在具有计算机组网连接模型的计算环境中对媒体供应实体所提供的服务进行有区别的控制点访问的计算机程序单元来实现,其中所述计算机程序单元包含:
-计算机程序代码装置,当在媒体供应实体上加载所述程序单元时,所述装置使媒体供应实体执行以下步骤:
-为媒体供应实体提供至少一个逻辑设备,以及
-从所述逻辑设备提供至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源。
依照本发明的第八个方面,该目标还可以通过一种在具有计算机组网连接模型的计算环境中对来自媒体供应实体的控制点提供访问的计算机程序单元来实现,所述实体具有至少一个逻辑设备,该设备提供了至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源,其中所述计算机程序单元包含:
-计算机程序代码装置,当在媒体供应实体中加载所述程序单元时,所述装置使媒体供应实体执行以下步骤:
-在所有设备中接收来自控制点的访问尝试,并且根据控制点已经接收了访问的许可集合之一而准许访问,以及
-允许根据所述许可集合来访问资源。
权利要求2、14、18涉及的是以逐个资源为基础来提供许可。
权利要求3、15、19涉及的是提供至少两个不同的设备,其中每一个设备都提供了一个不同的许可集合。
权利要求4、16、20涉及的是允许依照两个集合来对某一个资源实施相同的动作,但是从所述动作中将会提供不同的结果。
权利要求5、21涉及的是使用内容目录服务来提供许可。
权利要求8、10、11、22、23、24和25涉及的是确保仅仅准许从一个控制点访问一个许可集合的方式。
本发明的优点在于:允许在具有计算机组网连接模型的计算环境中,以逐个资源为基础,为控制点提供不同的许可集合。与此同时,连接模型却不必加以改变。此外,通过提供已有软件之外的某些附加软件,就可以很容易地实现本发明。
由此,本发明的主要思想是在具有计算机组网连接模型的计算环境中为媒体供应实体提供至少一个设备。然后,所述至少一个设备为控制点提供了至少两个不同的许可集合,其中所述许可集合与媒体供应实体的资源相关。
从下文描述的实施例中可以清楚了解本发明的这些和其他方面,并且本发明的这些和其他方面是参考下文所述的实施例而得以说明的。
现在参考附图将更加详细地说明本发明,其中:
图1示出了连接在网络中的多个物理实体的示意框图,
图2示出了相互连接的控制点、设备以及安全控制台的示意框图,
图3示出了依照本发明第一实施例而允许对媒体供应实体的服务进行有区别的控制点访问的方法的流程图,
图4示出了依照本发明第一实施例而对来自媒体供应实体的控制点提供访问的方法的流程图。
图5示出了用于一个依照完全访问设备的媒体供应实体的资源列表,
图6示出了用于一个依照客人访问设备的媒体供应实体的资源列表,
图7示出了与某一个动作相关联并且依照本发明第二实施例来提供不同许可集合的许可示意图,
图8示出了采用CD ROM盘的形式来存储用于执行本发明的程序代码的计算机可读介质。
图1示出了可以提供本发明的计算机网络10的示意图。在一个实施例中,该网络是一个提供了不同服务的家庭网络。由于该网络10包含多个物理实体12、14、16和18,其中至少某些物理实体是媒体供应实体并且提供了不同的服务,例如MP 3播放器、网络收音机、DVD播放器等等。计算机组网则可以通过连接模型或是标准的UPnP(通用即插即用)来实现,并且对不同设备所进行的访问可以通过该标准的安全定义来实现。在此,所述网络是固定的,但是同样可以是无线的。
在图1的网络中,不同实体提供了不同的服务,例如播放MP3文件、提供网络收音机、DVD或是其它类型的媒体服务。然而,一个实体也可以提供若干种类型的服务。此外,所提供的不同服务是用标准的UPnP(通用即插即用)控制的。
图2示意性示出了与依照本发明第一实施例的媒体供应实体12相关联的UPnP的常规功能。由此,图2示出了在UPnP系统中进行通信的不同功能实体的示意框图,其中控制点20与具有第一和第二设备24、26的媒体供应实体12进行通信,其中第一设备24是完全访问设备,第二设备26则是客人访问设备。有关这些设备的细节将会在稍后进行描述。每一个设备24、26都具有一个包含CDS(内容目录服务)的动作控制单元28、32,以及一个与动作控制单元28、32相连的动作控制列表30、34。这两个动作控制单元28、32转而连接到一个包含了媒体供应实体12的所有资源的资源池36。一般来说,这些资源可以是多个的MP3文件或是其它类型的媒体文件。此外,在该图中还包含了一个安全控制台22。控制点20、安全控制台22以及媒体供应实体12可以并且都在相互通信。此外还应该了解的是,这些实体可以在同一个物理实体中提供,但是也可以在不同的物理实体中提供。对依照UPnP的设备来说,以第一设备24为例,该设备具有其提供的多个服务。然后,系统中的控制点20可以尝试访问设备24所提供的这些服务。然而,设备24仅仅准许根据动作控制列表(ACL)30中相对某一个控制点所做出的设置来访问该控制点。这些设置是由安全控制台22制定,其中所述安全控制台可以视为是设备的所有者。为使控制点20能够访问设备24的功能,该控制点必须在安全控制台22上注册。安全控制台22则由设备的所有者进行控制,其中该所有者也可以是整个网络的所有者。由此,当控制点20希望访问设备24时,它首先会向安全控制台22注册,然后,该控制台将准许给该控制点的权限注册在所论述设备24的ACL30中。此后,控制点30可以依照ACL30中制定的设置来控制设备24。这样一来,由于控制点只能访问其中安全控制台具有准许权限的服务,因此在该系统中提供了安全措施。在这里应该了解的是,设备24、26都是在某一个实体中提供的,例如第一实体12,而控制点20既可以在相同实体中提供,或者也可以在另一个实体中提供。类似地,安全控制台22可以在相同实体中提供,但是也可以在另一个实体中提供。此外,安全控制台22还可以为若干个设备设置不同的权限。
在UPnP的安全性方面,其中有可能为不同控制点提供不同类型的设备访问。在这里有两种工具可用于表示这类权限。读取/写入权限可以用UPnP CDS中规定的机制来指定。然而,由于CDS不具有关于控制点标识的概念,因此这些机制将会为所有的控制点所共有。第二种工具则由UPnP安全机制提供,其中可以依照控制点所具有的各自许可来限制对UPnP CDS功能的访问。然而,由于所有资源都是通过相同的CDS动作集而被访问的,因此这种访问控制机制将会为UPnPCDS所提供的所有资源所共有。由此,控制点可以接收用于设备和服务的完全访问控制以及客人访问控制。然而,这种访问控制实际上是通用的,并且不是以资源级别或者逐个资源为基础而被提供的。资源的所有者有可能希望根据资源级别来为不同的控制点提供不同的许可集合。例如,一些控制点甚至不允许查看某一资源,当然也就更不允许读取/播放该资源,而与资源拥有者相关联的另一个控制点则允许完全访问所论述的资源,并且还允许完全访问媒体供应实体的其它所有资源。由此需要为控制点提供不同的许可集合,以便能够实现基于逐个资源的访问。
为了解决这个问题,本发明建议提供至少两个许可集合,这些许可集合与具有公共资源池的媒体供应实体相联系。
现在将结合图1、2、3、5和6来描述如何依照本发明的第一方面实现上述目的,其中图3示出了用于为媒体供应实体所提供的服务提供控制点访问的方法的流程图,图5示出了使用了CDS的第一设备的资源的视图,图6则示出了使用了CDS的第二设备的资源的视图。
对于允许在家庭网络中对服务进行有区别的控制点访问的媒体供应实体12或装置来说,所述实体或装置具有很多资源,其中在图5的列表中示出了完整数量的资源。这些资源可以是视频剪辑,但是应该了解,本发明并不局限于此,而是可以应用于任何类型的资源,例如MP3文件、静止图像等等。设备资源是在一种内容项层级中给出的,这些设备资源分为家庭和成人两组,其中家庭资源是资源4、资源5以及资源6,并且家庭资源可以是家庭影片、少儿节目、自然影片等等。而第二组的成人资源则包括资源1、资源2以及资源3,这其中包含了成人电影素材或是具有大量暴力的剪辑。因此,资源的所有者希望某些控制点能够访问家庭资源,而其它控制点则能够访问所有资源,即包括成人资源。因此,在步骤38,在物理实体12中提供了两种逻辑设备,即完全访问设备24和客人访问设备26。对第一设备24来说,为其提供的是以完全访问所有资源形式的第一许可集合,而为第二设备26提供的则是第二许可资源集合,或者仅仅对某些资源的受限或客人访问,在图6中示出了这些资源,并且在本范例中,这些资源是资源4、资源5以及资源6。在这里,所有资源都属于资源池36,并且所有这些资源都为设备用户所拥有。因此,在步骤40,为完全和客人访问设备提供了与资源池相关的两个不同的许可集合。然后,在步骤42,将会向安全控制台22注册控制点20,并且在步骤44,该控制点将会依照所有者的首选项而获得完全访问或客人访问。由此,安全控制台22通过所论述设备的ACL中的恰当设置而将完全访问或客人访问设置给控制点20。在这里,安全控制台22可以在更高级别上为控制点提供不同类型的许可,例如只读权限。
现在将参考图4来描述用于对来自媒体供应实体12的资源进行访问的方法,其中该图示出了本方法的流程图。如先前所述,控制点20在媒体供应实体12的安全控制台22上进行注册。如先前所述,这个安全控制台22可以在实体12中提供,或者也可以在网络的另一个实体中提供。并且,控制点也可以是在实体12中提供的,在这种情况下,该控制点通常会在完全访问设备24中进行注册,但是该控制点也可以是其它任何网络实体中的控制点。然后,安全控制台22会让该控制点接收其中某一个设备而不是其它设备中的访问权限。然后,在步骤46,在媒体供应实体中,首先将会从设备中识别出一个请求访问的控制点20。如果该控制点接收的是完全访问,那么完全访问设备24的动作控制单元28会在动作控制列表30中进行查找,并且识别安全控制台22所做出的设置,并且提供对这些资源的完全访问。这意味着动作控制单元28中的CDS允许浏览图5所示的所有资源,其中对允许浏览哪些资源的确定是由设备自身决定的,而常规的浏览能力则是由安全控制台22准许的。同时,客人访问设备26的动作控制单元32看到在动作控制列表34中没有用于控制点20的设置,由此会向控制点20返回一个出错消息。如果控制点接收了客人访问,那么客人访问设备26的动作控制单元32会在动作控制列表34中查看,识别安全控制台所做出的设置,并且提供对这些资源的客人访问。如图6所示,这意味着动作控制单元32中的CDS只允许浏览某些资源,这些资源是资源池36中的所有资源的一个子集。对所浏览资源的限制是由设备自身确定的,而常规的浏览能力则是由安全控制台22提供的。同时,完全访问设备24的动作控制单元28看到的是在动作控制列表30中没有相应于控制点30的设置,并且由此会向控制点20返回一个出错消息。因此,在步骤48,通过使用该设备的许可集合,可以提供只对某一个设备的访问,并且在步骤50,其它设备将会返回一个出错消息。
这样一来,访问许可是在逐个资源的基础之上得到准许的。此外,由于安全控制台拒绝对其中某一个设备所进行的访问,因此这其中不存在控制点可以访问两个设备的风险。
应该理解的是,用于一个设备的许可并不局限于浏览。这些许可也可以包括其它动作,例如读取、写入、上传和搜索。
依照本发明第二实施例,不同的许可集合是以另一种方式提供的。在这个实施例中,媒体供应实体中只有一个设备。对于控制点所允许的每个动作而言,存在许多许可结果。由此,设备会被提供与许可结果数量相对应的多个许可。然后,安全控制台会就某个动作来为控制点设置其中一个许可。此后,当控制点访问设备并且尝试有关的动作时,动作控制单元会在ACL中进行查看,并且找出所设置的许可,以及依照限制集合来执行动作。现在将结合图7来描述一个实例,其中该图示意性示出了用于浏览动作的第一和第二许可P1和P2。第一许可P1允许浏览图5所示的所有资源,而许可P2则仅仅允许浏览图6所示的家庭资源。因此,许可P1可以被设置成提供完全访问,而许可P2则被设置成提供受限访问。对控制点来说,如果设备的ACL具有的是许可P1的集合,那么浏览动作会向控制点显示图5所示的所有资源,而对某个控制点来说,如果设备的ACL具有许可P2的集合,则只为控制点显示有限数量的资源。然而,控制点并不知道任何限制集合。当然,对相同的动作来说,可以具有更多的不同许可。这里描述的原理可以进一步应用于浏览之外的更多动作。
本发明的一个变体是允许控制点访问一个以上的许可集合。在这种情况下,媒体供应实体必须排除从控制点到其中某一个集合的访问试验,并且允许其对另一个集合的访问试验。如果其中一个集合提供完全访问,并且另一个集合提供客人访问,那么媒体供应实体通常将会允许完全访问,并且从提供客人访问的集合返回一个出错消息,这样一来,准许最高访问级别的集合将会占主导地位。此外,如果两个许可集合提供两种不同类型的客人访问,那么所述访问还可以基于这两个所准许的许可集合的“或”操作或是“异或”操作。另外,在媒体供应实体中还可以给出更多不同的设备,由此给出更多不同的许可集合。
设备和安全控制台优选地以一个或多个处理器以及相应程序存储器的形式提供的,其中所述程序存储器包含用于执行依照本发明的方法的程序代码。所述程序代码也可以在计算机程序产品中提供,并且其中一种计算机程序产品采用了图8所示的CD ROM盘52的形式。但这仅仅是一个实例,各种其它类型的计算机程序产品同样是可行的。此外,程序代码还可以从服务器下载到实体,其中所述下载可以经由互联网进行。
在本发明的上述实施例中,权限是由设备的ACL列表中的实体授予控制点的。此外,在这里也可以采用票据的形式来提供这些权限,其中所述票据将被发送到控制点并且保存在其中。在访问设备的时候,控制点会向设备展示这个票据,而不是由设备读取ACL列表。
由此,本发明在媒体供应实体中提供了一个以上的设备。这样则可以在不干扰控制点的情况下,以逐个资源为基础来为控制点提供不同的许可集合。此外,本发明只需少量附加费用和工作即可实现,而不必改变UPnP标准。
由此,本发明仅仅是由下列权利要求限定的。
Claims (31)
1.一种能够在具有计算机组网连接模型的计算环境(10)中对媒体供应实体所提供的服务进行有区别的控制点访问的方法,该方法包括以下步骤:
-为媒体供应实体(12)提供至少一个逻辑设备(24,26)(步骤38),以及
-从所述逻辑设备提供至少两个不同的许可集合(步骤40),所述许可集合涉及与媒体供应实体相关联的资源(资源1,资源2,资源3,资源4,资源5,资源6)。
2.根据权利要求1的方法,其中所述集合是以逐个资源为基础来提供不同许可的。
3.根据权利要求1的方法,其中提供了至少两个逻辑设备,并且为每一个设备提供了独立的许可集合。
4.根据权利要求1的方法,其中至少两个不同的集合允许对资源进行至少同一个动作,但提供不同的结果。
5.根据权利要求1的方法,其中提供不同许可集合的步骤是通过每一个逻辑设备中提供的内容目录服务来提供的。
6.根据权利要求1的方法,还包括向与媒体供应实体(12)相关联的安全控制台(22)注册控制点(20)的步骤(步骤42),并且依照至少一个许可集合(24;26)来为控制点提供访问。
7.根据权利要求6的方法,其中仅仅依照一个许可集合为控制点提供访问。
8.根据权利要求6的方法,其中提供了至少两个逻辑设备,并且为每一个设备提供了独立的许可集合,此外,还包括以下步骤:尝试从控制点访问所有设备(步骤46),允许依照其中一个设备的许可集合来从该设备进行访问(步骤48),以及从其它设备向控制点返回一个出错消息(步骤50)。
9.根据权利要求6的方法,其中为控制点提供了对两个许可集合的访问。
10.根据权利要求9的方法,还包括仅仅允许访问最大范围的许可集合的步骤。
11.根据权利要求9的方法,还包括允许基于许可集合的逻辑“或”操作或“异或”操作来进行访问的步骤。
12.根据权利要求1的方法,其中计算机组网连接模型是UPnP。
13.一种用于在具有计算机组网连接模型的计算环境(10)中为来自媒体供应实体(12)的控制点(20)提供访问的方法,所述实体具有至少一个逻辑设备(24,26),该设备提供了至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源(资源1,资源2,资源3,资源4,资源5,资源6),该方法包括以下步骤:
-在所有设备中接收来自控制点的访问尝试(步骤46),
-根据控制点已经接收了访问的许可集合之一而准许访问(步骤48),以及
-允许根据所述许可集合来访问资源(步骤50)。
14.根据权利要求13的方法,其中所述集合是以逐个资源为基础来提供不同许可的。
15.根据权利要求13的方法,其中存在至少两个逻辑设备,并且不同的许可集合与每一个设备相关联,并且允许访问的步骤还包括允许对与访问已经被准许的许可集合相关联的设备进行访问。
16.根据权利要求13的方法,其中至少两个不同的集合允许对资源进行同一个动作,但提供不同的结果。
17.一种能够在具有计算机组网联机模型的计算环境(10)中对所提供的服务进行有区别的控制点访问的装置(12),包括:
-多个资源(资源1,资源2,资源3,资源4,资源5,资源6),以及
-至少一个逻辑设备(24,26),该设备为控制点提供了至少两个不同的许可集合,其中所述许可集合涉及与该装置相关联的资源。
18.根据权利要求17的装置,其中该集合是以逐个资源为基础来提供不同许可的。
19.根据权利要求17的装置,其中该装置包含了至少两个逻辑设备,其中每一个逻辑设备提供了不同的许可集合。
20.根据权利要求17的装置,其中至少两个不同的集合允许对资源进行同一个动作,但提供不同的结果。
21.根据权利要求17的装置,其中每一个设备都配备了内容目录服务(28,32),以便识别可以访问的资源。
22.根据权利要求19的装置,其中为控制点提供了访问的设备被设置成允许访问,而其它设备则被设置成在收到控制点的访问请求的时候返回一个出错消息。
23.根据权利要求17的装置,其中控制点是依照一个以上的许可集合而被允许访问的,并且该装置还被设置成允许根据不同集合的访问权限的逻辑操作来进行访问。
24.根据权利要求23的装置,其中该装置被设置成只允许访问范围最大的许可集合。
25.根据权利要求23的装置,其中该装置被设置成允许基于许可集合的逻辑“或”操作或“异或”操作来进行访问。
26.根据权利要求17的装置,还包括安全控制台(22),被设置成允许注册控制点,并且提供对逻辑设备的访问。
27.一种使用了计算机组网连接模型的计算装置网络(10),包括:
-在该网络的其中一个装置中的或是为该网络的其中一个装置所提供的至少一个控制点(20),
-能够对服务进行有区别的控制点访问的装置(12),包括:
-至少一个逻辑设备(24,26),该设备提供了至少两个不同的许可集合,所述许可集合涉及与该装置相关联的资源(资源1,资源2,资源3,资源4,资源5,资源6),以及
-一个安全控制台(22),被设置成:
-在其中一个逻辑设备中或是为其中一个逻辑设备注册一个控制点,以便为该控制点提供对所述装置的至少一部分的访问,从而实施服务。
28.一种能够在具有计算机组网连接模型的计算环境中对媒体供应实体所提供的服务进行有区别的控制点访问的计算机程序产品(52),其中所述计算机程序产品包含了计算机可读介质,并且该介质上具有:
-计算机程序代码装置,当在媒体供应实体上加载所述程序时,所述装置使媒体供应实体执行以下步骤:
-为媒体供应实体提供至少一个逻辑设备,以及
-从所述逻辑设备提供至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源。
29.一种用于在具有计算机组网连接模型的计算环境中对来自媒体供应实体的控制点提供访问的计算机程序产品(52),所述实体具有至少一个逻辑设备,该设备提供了至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源,所述计算机程序产品包含了计算机可读介质,并且该介质上具有:
计算机程序代码装置,其中当在媒体供应实体上加载所述程序时,所述装置使媒体供应实体执行以下步骤:
在所有设备中接收来自控制点的访问尝试,并且根据控制点已经接收了访问的许可集合之一而准许访问,以及
允许根据所述许可集合来访问资源。
30.一种允许在具有计算机组网连接模型的计算环境中对媒体供应实体所提供的服务进行有区别的控制点访问的计算机程序单元,其中所述计算机程序单元包含:
-计算机程序代码装置,当在媒体供应实体上加载所述程序单元时,所述装置使媒体供应实体执行以下步骤:
-为媒体供应实体提供至少一个逻辑设备,以及
-从自所述逻辑设备提供至少两个不同的许可集合,其中所述许可集合涉及与媒体供应实体相关联的资源。
31.一种在具有计算机组网连接模型的计算环境中对来自媒体供应实体的控制点提供访问的计算机程序单元,所述实体具有至少一个逻辑设备,该设备提供了至少两个不同的许可集合,所述许可集合涉及与媒体供应实体相关联的资源,其中所述计算机程序单元包含:
-计算机程序代码装置,当在媒体供应实体中加载所述程序单元时,所述装置促使媒体供应实体执行以下步骤:
-在所有设备中接收来自控制点的访问尝试,并且根据控制点已经接收了访问的许可集合之一而准许访问,以及
-允许根据所述许可集合来访问资源。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP03104088.4 | 2003-11-05 | ||
| EP03104088 | 2003-11-05 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1875601A true CN1875601A (zh) | 2006-12-06 |
Family
ID=34560200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004800324490A Pending CN1875601A (zh) | 2003-11-05 | 2004-11-02 | 用于媒体供应实体中的控制点的不同许可 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20090113557A1 (zh) |
| EP (1) | EP1683323A1 (zh) |
| JP (1) | JP2007510985A (zh) |
| KR (1) | KR20060133972A (zh) |
| CN (1) | CN1875601A (zh) |
| WO (1) | WO2005046166A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009811B2 (en) | 2005-06-09 | 2015-04-14 | Whirlpool Corporation | Network system with electronic credentials and authentication for appliances |
| EP2228969B1 (en) | 2005-06-09 | 2017-04-19 | Whirlpool Corporation | Software architecture system and method for communication with, and management of, at least one component within a household appliance |
| US10333731B2 (en) | 2005-06-09 | 2019-06-25 | Whirlpool Corporation | Methods and apparatus for communicatively coupling internal components within appliances, and appliances with external components and accessories |
| KR100739743B1 (ko) | 2005-10-19 | 2007-07-13 | 삼성전자주식회사 | 홈 네트워크에서 디바이스를 독점적으로 제어하기 위한방법 및 장치 |
| WO2007069207A2 (en) * | 2005-12-16 | 2007-06-21 | Koninklijke Philips Electronics N.V. | Access control in a network |
| EP1974525A2 (en) * | 2006-01-10 | 2008-10-01 | Nokia Corporation | System and method for providing content security in upnp systems |
| KR101113237B1 (ko) * | 2007-05-30 | 2012-02-20 | 삼성전자주식회사 | UPnP 네트워크의 서비스를 원격의 디바이스에게제공하는 방법 및 장치 |
| JP5246029B2 (ja) * | 2009-05-15 | 2013-07-24 | 日本電気株式会社 | 無線通信システム |
| CN102209022B (zh) * | 2010-03-31 | 2014-12-17 | 华为终端有限公司 | 设备控制方法、网络设备及网络系统 |
| US9548981B2 (en) | 2010-07-09 | 2017-01-17 | Samsung Electronics Co., Ltd | Method and system for providing security for universal plug and play operations in a home network environment based on ownership rights |
| US9525664B2 (en) * | 2014-02-28 | 2016-12-20 | Symantec Corporation | Systems and methods for providing secure access to local network devices |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6243451B1 (en) * | 1997-10-09 | 2001-06-05 | Alcatel Usa Sourcing, L.P. | Service management access point |
| US6892230B1 (en) * | 1999-06-11 | 2005-05-10 | Microsoft Corporation | Dynamic self-configuration for ad hoc peer networking using mark-up language formated description messages |
| AU2080901A (en) * | 1999-12-30 | 2001-07-16 | Sony Electronics Inc. | A resource manager for providing user-dependent access control |
| US6850979B1 (en) * | 2000-05-09 | 2005-02-01 | Sun Microsystems, Inc. | Message gates in a distributed computing environment |
| WO2003021978A1 (en) * | 2001-08-10 | 2003-03-13 | Strix Systems, Inc. | Virtual linking using a wireless device |
| WO2003083601A2 (en) * | 2002-03-27 | 2003-10-09 | International Business Machines Corporation | Methods apparatus and program products for wireless access points |
| US6956527B2 (en) * | 2002-06-24 | 2005-10-18 | Intel Corporation | Wireless network access point configuration |
-
2004
- 2004-11-02 JP JP2006537538A patent/JP2007510985A/ja not_active Withdrawn
- 2004-11-02 WO PCT/IB2004/052255 patent/WO2005046166A1/en not_active Ceased
- 2004-11-02 US US10/578,068 patent/US20090113557A1/en not_active Abandoned
- 2004-11-02 EP EP04799048A patent/EP1683323A1/en not_active Withdrawn
- 2004-11-02 KR KR1020067008832A patent/KR20060133972A/ko not_active Withdrawn
- 2004-11-02 CN CNA2004800324490A patent/CN1875601A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| KR20060133972A (ko) | 2006-12-27 |
| EP1683323A1 (en) | 2006-07-26 |
| WO2005046166A1 (en) | 2005-05-19 |
| JP2007510985A (ja) | 2007-04-26 |
| US20090113557A1 (en) | 2009-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729597B (zh) | 利用缓存的登录对web服务器上动态内容的隔离匿名访问 | |
| CN1924876A (zh) | 授予数字权限管理许可以支持多个装置的方法 | |
| CN1574727A (zh) | 防止程序篡改的方法、升级混淆程序的方法及装置 | |
| US20060106726A1 (en) | Method, system, and device for license-centric content consumption | |
| CN1609749A (zh) | 用于管理便携式存储装置的数字权限的方法和设备 | |
| CN1819526A (zh) | 对网络中的内容进行用户访问控制的系统和方法 | |
| CN1770169A (zh) | 向用户/组授予访问控制列表所有权的访问控制系统和方法 | |
| CN1842785A (zh) | 用于基于分层角色的权限的系统和方法 | |
| CN1763761A (zh) | 基于角色的访问控制系统、方法和计算机程序产品 | |
| CN1826570A (zh) | 基于混合的设备和人的授权域架构 | |
| US8452982B2 (en) | Methods and systems for migrating content licenses | |
| CN1739109A (zh) | 层次化地为文档分配权限的方法和装置以及具有这样的权限的文档 | |
| CN1574757A (zh) | 用于在家庭网络上播放内容的许可管理系统及方法 | |
| CN1552021A (zh) | 用于用户概况表管理的接入控制协议 | |
| CN1874307A (zh) | 用于信息处理的系统和方法 | |
| ZA200607969B (en) | Method of and system for generating an authorized domain | |
| CN1875601A (zh) | 用于媒体供应实体中的控制点的不同许可 | |
| WO2009115003A1 (zh) | 文档库系统权限控制方法及装置 | |
| CN1674531A (zh) | 访问控制系统及访问控制方法 | |
| WO2006054988A2 (en) | Method, system, and device for license-centric content consumption | |
| EP2843881B1 (en) | Method and apparatus for media information access control , and digital home multimedia system | |
| CN1859086A (zh) | 一种内容分级访问控制系统和方法 | |
| WO2002059819A1 (en) | Method and apparatus for managing publication and sharing of data | |
| US20250117339A1 (en) | Cache service for providing access to secrets in containerized cloud-computing environment | |
| EP1828918A1 (en) | Method, system, and device for license-centric content consumption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |