对配置设置的限时访问的制作方法

本发明涉及对设备，并且尤其是对设备网络中的从属设备的配置设置的安全限时访问的提供。

背景技术：

自因特网出现以来，在能够存储和处理数据的设备的互联性上存在快速的增长。现在，随着所谓的物联网(iot)的发展，通常未被配备成存储和处理数据的设备正变得被这样配备。例子是所谓的“智能家居”(intelligenthome)，其中可通过有线和无线系统的网络远程监视和控制照明、加热、制冷和报警系统。智能家居概念还扩展到工作场所和诸如宾馆之类的用于临时住宿的场所。目前，车辆在其车载电子设备方面也日益复杂，包括许多的特征，比如远程gps跟踪，导航系统，及存储和调回驾驶员在诸如座椅调整、娱乐之类的事情方面的偏好的装置，以及许多其他特征。

这些复杂并且互联的系统可能共同存在不利特性：它们假定所有者或管理者或管理者代表将是访问和更改设置的权限(permission)的永久持有者。在车辆的例子中，钥匙设备可存储当存在钥匙时要应用的驾驶员和乘客的偏好设置，但是这些设置是永久的或者至少被认为是永久的直到所有权的变更点，在变更点时，所有的设置可能被新的所有者清除和重置。未考虑任何更细粒度等级的控制。

在其中对特定设备的控制将被给予例如宾馆客人、汽车租赁客户、雇员(工作场所或家庭)、或者临时缺席的业主的邻居或朋友的情况下，理想的是对在更大粒度等级授予的权限加以限制。

技术实现要素：

本发明一般来说提供控制这样的限制和权限的技术。

在第一种途径中，公开的技术提供一种机器实现的控制对从属设备的配置设置的优先级化临时访问的方法，所述从属设备位于电子设备的网络中，所述方法包括：建立具有预先设置的配置数据访问控制列表；通过向所述访问控制列表添加限时重写参数，向配置控制接口设备授予针对一个时间段的重写所述预先设置的权限；响应于授予权限，允许所述配置控制接口设备在所述时间段期间，重写所述预先设置并更改至少一个所述从属设备的所述配置设置；和响应于所述时间段的到期，从所述访问控制列表中除去所述限时重写参数并回归所述预先设置。

在第二种途径中，可提供一种能操作以控制对从属设备的配置设置的优先级化临时访问的电子系统，所述从属设备位于电子设备的网络中，所述电子系统包括：第一电子组件，所述第一电子组件能操作以建立具有预先设置的配置数据访问控制列表；所述第一电子组件还能操作以通过向所述访问控制列表添加限时重写参数，向配置控制接口设备授予针对一个时间段的重写所述预先设置的权限；第二电子组件，所述第二电子组件响应于授予权限，允许所述配置控制接口设备在所述时间段期间，重写所述预先设置并更改至少一个所述从属设备的所述配置设置；和所述第一电子组件还响应于所述时间段的到期，从所述访问控制列表中除去所述限时重写参数并回归所述预先设置。

附图说明

现在将参考附图，仅通过举例的方式说明公开的技术的各种实现，附图中：

图1示出控制对设备的配置设置的临时访问的方法；

图2示出利用优先级分级，控制对设备的配置设置的临时访问的方法；

图3示出控制对从属设备的配置设置的临时访问的系统的方框图；和

图4a)和4b)是其中可控制对设备的配置设置的临时访问的示例性场景的例示。

具体实施方式

一般地说，本技术的实施例提供一种引入临时重写设置的限时配置设置分级，所述临时重写设置允许在一个时间段到期之后回归预先设置。由于在指定的一个时间段到期时，保证权限的自动撤消并自动回归以前的设置，这允许iot设备的临时用户具有与配置设置相比等级高得多的特权。

图1示出控制对电子设备的网络中的从属设备的配置设置的临时访问的示例性方法100。从属设备可以是日常物品，比如灯、用于遮光帘的电动机、加热系统等等。日常物品和较小规模的处理设备可相互连接，并作为“物联网”(iot)的一部分连接到中央平台。例如，家中的加热系统可从各种温度传感器收集信息，并基于收集的信息控制加热器的启用；工厂污染监视传感器可从各种化学传感器收集信息，并基于收集的信息安排维护；而健康护理提供者可当患者在家的时候，利用无线传感器，比如心率监视器之类来跟踪患者的健康。在上述情况下，数据通常被转发给因特网上的云服务。

然而，这样的设备趋于具有较低的处理能力和较小的存储容量。例如由于具有诸如显示器之类的用户接口的成本，或者因为显示器消耗过多的电力，或者由于设备本身的物理尺寸使得难以提供用户接口，因此所述设备可能缺乏用户接口。设备可能需要被配置以便连接到iot或者连接到其他设备/服务，但是可能缺乏直接在所述设备上进行配置的能力，或者所述能力缩减。这种设备的低处理能力/小存储容量可能使它们更易受攻击(例如，被黑客攻击)。

设备的这种扩展能力带来优点，但是同时不利的是设备可能易受到潜在的有害行为影响，所述行为可包含对系统或者对更广大的网络的威胁，不论所述威胁是由不正确的程序非有意引起的，还是更恶劣地由可能损害另外的非恶意执行代码的效果的恶意代码或虚假数据的蓄意插入引起的。现代设备的互连性意味不可靠的代码或数据可能变得广泛散布在网络上，以致不可靠的代码或数据存在于许多设备中，每个设备可能转而充当继续感染的新源头。

可能出现的具体问题在于可能由操作人员直接输入到设备存储装置中，或者可能通过通信信道接收并且以编程方式放入设备存储装置中的不可靠的配置数据的问题。在一些情况下，这样的不可靠代码或数据可能变成以重启或重置设备都不能检测到或除去所述代码或数据的方式驻留在设备中，以致当在重启之后(从所述重启起，不可靠代码或数据隐藏在配置数据中)，当所述不可靠代码或数据复活时，不良影响延续。

为了更好地理解本技术的背景，必须明确在设备被互连到非常宽广且异构的网络中的情况下，乐观的是期待能够绝对保证安全性和完整性，或者可靠度。于是，本领域的技术人员专注于通过约束系统或设备的“攻击面”(可能的无论任何地方)，即通过减少恶意代码和数据或者仅仅非有意的不可靠代码和数据进入系统或设备的机会，并且随后如果检测到这样的代码或数据，那么尽可能地减少其导致损害和扩展到其他系统的机会，从而降低他们的系统的脆弱性的所有可能手段。

返回参见图1，方法100始于开始步骤102，并且在步骤104，对于从属设备或者对于相同类型的多个从属设备建立配置数据访问控制列表(acl)。访问控制列表(acl)是附加于对象(例如，从属设备)的权限的列表，其中所述列表识别实体(例如，用户、一组用户、系统过程、等等)并指定对该实体允许和/或拒绝的访问权。acl还可指定相对于所述对象，各个实体能进行什么操作。acl可指定多个实体及针对每个实体的访问权，或者可以为每个实体建立单独的acl。在任一情况下，各个实体可具有关联的权限等级或优先级等级。例如，与从属设备的用户/临时用户相比，从属设备的所有者可具有更高的权限等级。即，较高的权限等级可向实体授予更多的访问权，和/或可授予重写由权限等级较低的实体进行的操作的权利。

例如，从属设备可以是房屋中的照明设备，在这种情况下，可对于该特定照明设备建立配置数据acl。可为房屋中的每个单独的居住者(或者为预先定义的一组居住者)建立acl，其中每个个人或组被视为独立的实体。可为房屋中的从属设备建立acl，所述acl把各个居住者指定为不同的实体，和/或把一组居住者指定为一个实体。例如，如果房屋被一个家庭占用，那么家长可被视为一个实体并可通过acl被准许访问控制自动调温器(从属设备)，而孩子可被视为第二个实体并可通过acl不被准许控制该自动调温器。这可以要求各个实体(个人或组)是可识别的，例如，通过利用用户名或其他标识符。在另一个例子中，房屋可能是租屋，并且对于各个从属设备，在acl中房屋的所有者和当前租客可被视为独立的实体。acl可指定对于房屋中的各个从属设备，所有者和租客具有不同的权限，其中所述权限可以与时限或有效期限(例如，租期的结束)相关联。在每种情况下，家长和所有者可为他们自己以及为其他实体(例如，孩子、客人、租客)建立acl。在另一个例子中，从属设备可以是位于宾馆的各个房间中的特定类型的照明设备(例如，床头灯、浴室灯、特定型号/序列号的灯，等等)。这种情况下，可为宾馆内的该类型的所有照明设备建立配置数据acl，以致相同的配置设置可以同时且更有效地应用于照明设备。

在步骤106，把预先设置添加到针对(一个或多个)从属设备的已建立的配置数据acl中。预先设置是在特定时间的从属设备的默认设置的一个配置设置或多个配置设置。例如，预先设置可以是每隔一周在星期二到星期三应用的设置，或者可以是每天在06:00和09:00之间应用的设置。在其中从属设备是位于宾馆的各个房间中的照明设备的示例性场景中，预先设置可以是每天在18:00和22:00之间打开照明设备，并且可以是每天在22:01和09:00之间关闭照明设备。一旦预先设置已被添加到针对从属设备的配置数据acl中，预先设置就被自动用于控制该从属设备，除非所述预先设置被重写。对于从属设备的各个实体(例如，各个用户)在acl中指定的预先设置可以是不同的，或者对于各个实体预先设置可以是相同的。

可利用配置控制接口设备上的用户接口来设定配置数据acl和预先设置。配置控制接口设备可用于配置单个从属设备或者相同类型的多个从属设备(例如，所有的照明设备，或者位于宾馆的客房中的相同位置的照明设备——比如浴室灯或床头灯之类，或者相同型号的所有照明设备，等等)，或者不同类型的多个从属设备(例如，照明设备和加热设备)。配置控制接口设备可被客人或来宾用于临时改变从属设备的设置。附加地或替代地，从属设备上的或者耦接到从属设备的用户接口可被客人或来宾用于临时改变该从属设备的设置。配置控制接口设备在下文参考图3更详细地说明。

返回图1中所示的示例性方法100，在步骤108，进行检查，以判定是否需要限时重写。例如，在宾馆客房的示例性场景中，客人可登记入住特定房间48小时，并且在这段时间内，可允许该客人重写他的宾馆客房中的从属设备的一些或所有预先设置。可以定期进行步骤108的检查，以判定是否需要限时重写。限时重写可以是针对从属设备的限时参数或设置，所述参数或设置只适用于特定的预定时间段。例如，宾馆客人可输入与在他的宾馆客房中的照明设备的操作相关的限时参数，所述参数只对客人在宾馆停留的持续时间适用。因此，限时参数可包含两个分量：与从属设备的操作相关的设置或参数，和定义该设置或参数可适用于所述从属设备多久的时间段。或者，限时参数可以只包含与从属设备的操作相关的设置或参数，并且可以另行提供所述时间段。在任一情况下，所述时间段可由从属设备的所有者(例如，宾馆的所有者)指定。例如，如果客人登记入住宾馆或者如果某人租用汽车特定一段时间，那么分别从宾馆预定和汽车租用预定将知道客人必须退房或者该人必须归还他租用的汽车的截止时间和日期。因而，例如，该时间段信息可被提供给针对与客人的宾馆客房或租用汽车相关联的从属设备的acl。

如果不需要限时重写，那么借助默认预先设置控制从属设备的操作(步骤110)，并且所述方法返回检查是否需要限时重写或者从属设备的用户是否已输入限时重写。

每当用户输入对从属设备的(一个或多个)预先设置的改变时，就可进行步骤108。用户可通过配置控制接口设备输入所述改变，如在下面更详细描述的。或者，可以每隔一定时间和/或按适当隔开的时间间隔进行步骤108。例如，对于位于宾馆客房中的从属设备，一天一次或两次进行步骤108的检查可能就足够了，因为客人一般登记入住宾馆客房一天或更多天。如果从属设备是诸如车辆或自行车之类的租用设备，或者耦接到所述租用设备的设备，那么适当的是可更频繁地进行步骤108的检查，因为车辆和自行车是按小时租用的。

如果在步骤108判定需要限时重写，那么获得限时参数，并在步骤112将限时参数添加到配置数据acl中。如上所述，限时参数可包含两个分量：与从属设备的操作相关的设置或参数，和定义该设置或参数可适用于所述从属设备多久的时间段。或者，限时参数可以只包含与从属设备的操作相关的设置或参数，并且可以另行提供所述时间段。在任一情况下，都提供或获得需要限时重写的时间段。步骤112可包含通过把限时重写参数添加到针对从属设备的访问控制列表中，来向配置控制接口设备授予针对一个时间段的重写预先设置的权限。例如，如果客人已登记入住宾馆客房两晚，那么限时参数可以是从客人登记入住之时起的48小时，或者可以是他登记入住时间和在他离开那天宾馆的最后退房时间之间的小时数。一旦限时参数被添加到acl中，在指定的时间段(时限)期间，从属设备的预先设置就可被重写。从而，如果在该时间段期间试图变更预先设置，那么可允许重写(步骤114)。从而，响应于授予权限，所述方法可包括在该时间段期间，允许配置控制接口设备重写预先设置，并更改至少一个从属设备的配置设置。

在步骤116，定期地或者以别的方式，进行检查以判定时限是否已到期。如果时限还未到期，那么预先设置仍然可能被变更。如果时限已到期，那么在步骤118撤消添加到配置数据acl中的限时参数，以避免预先设置被重写。从而，响应于所述时间段的到期，所述方法可包括从访问控制列表中除去限时重写参数并回归预先设置。在步骤120，从属设备的设置回归预先设置，并且处理在步骤122结束。

图2示出利用优先级分级，控制对设备的配置设置的临时访问的方法100'。图1中所示并在上面说明的方法100中的一些步骤类似于方法100'的一些步骤。从而，下面的说明集中在方法100和100'之间的不同之处。

在方法100'中，在步骤108进行检查，以判定对于从属设备是否需要至少一个限时重写，如前所述。例如，登记入住宾馆客房的客人可变更其房间的照明设备在晚上自动关闭的时间，或者他可变更其房间的灯在晚上自动关闭的时间和在下午自动打开的时间两者。如果不需要限时重写，那么借助默认的预先设置控制从属设备的操作(步骤110)，并且所述方法返回检查是否需要限时重写或者从属设备的用户是否已输入限时重写。

如果需要限时重写，那么在步骤111进行进一步的检查，以判定优先级设置分级是否允许至少一个重写设置。优先级设置分级可用于判定是否允许重写设置，或者是否应改为使用预先设置。例如，宾馆可能添加了针对位于各个房间中的音乐播放设备(或者电视机，或者其他发声设备)的预先设置，所述预先设置指定超过20:00不能使用的从音乐播放设备发出的声音的最大音量，以避免宾馆中的其他客人受到打扰。宾馆可能已将该预先设置定义为不应被任何人重写的高优先级设置。宾馆中的特定房间中的客人可能试图改变该设置，使得他能够以最大音量播放音乐直到晚上22:00为止。然而，预先设置的高优先级意味着客人不能重写该预先设置。即，客人对重写预先设置的尝试本身被宾馆原始的高优先级预先设置重写。从而，在实施例中，在与重写设置相关联的时间段期间，优先级分级中的较高优先级的保留权力(reservedpower)可允许限时重写参数的进一步重写。附加地或替代地，步骤111可在限时参数被添加到acl中之后进行(即，可在步骤112之后进行)。这种情况下，在添加到配置数据acl中的时间段期间，优先级分级中的较高优先级的保留权力可允许限时重写参数的进一步重写。

这里，术语“较高优先级的保留权力”用于表示“保留的较高优先级等级”或者“保留的较高控制等级”。即，在实施例中，用户可能能够改变从属设备的特定设置，但是这些改变的设置可能被具有从属设备的极高或较高控制等级的某人重写。例如，从属设备的另一个用户，或者从属设备的所有者可以总是具有较高的优先级等级，或者可以只在特定境况下具有较高的优先级等级。在示例性的例子中，家长及其孩子可以是宾馆的客人，并且从属设备可以是他们的宾馆客房中的音乐播放设备。在这个例子中，孩子可能能够重写其房间中的音乐播放设备的音量设置，但是家长可具备从属设备的保留的较高控制等级，以避免孩子过于大声地播放音乐。或者，宾馆所有者可以是唯一具有保留的较高控制等级的人，并且可以对家长和孩子两者重写音乐播放设备的音量设置的尝试进行重写。从而，较高优先级的保留权力指定在某些境况下，能够对重写从属设备设置的尝试进行重写的用户(或者可能地，另一个设备)。

因而，如果在步骤111判定所接收的重写设置不被设置分级允许，那么从属设备基于预先设置运行(步骤110)。可选地，可通过用户接口，向尝试重写从属设备的预先设置的用户呈现(听觉和/或视觉)消息，以向他通知设备的所有者对他的重写设置已进行重写(步骤113)。

如果在步骤114'判定设置分级允许所接收的重写设置，那么过程从步骤112继续下去，如前参考图1所述。

从而，从属设备的所有者能够向在方法100'中的步骤106添加的预先设置中，添加高优先级标记或类似的优先级指示符。所述优先级指示符可用于判定重写是否被允许。高优先级标记可以与从属设备的特定设置或者从属设备的不止一个设置相关联。例如，宾馆所有者可向能够使用的音乐播放设备的最大音量的开始时间和终止时间添加高优先级标记。在另一个例子中，宾馆所有者可向在晚上放下电动遮光帘的时间添加高优先级标记(出于安全的考虑)，但是可以不向在早晨升起电动遮光帘的时间添加高优先级标记。

在实施例中，在限时重写参数适用的时间段期间，从属设备的访问控制列表中的进一步参数可确定在设备网络中的设备的使用中状态的中断和恢复之后，限时重写参数和进一步重写参数(furtheroverrideparameter)中的至少之一的易失性。一般地，从属设备或者存储配置数据访问控制列表的设备包含存储器。所述存储器可以是易失性存储器(即，需要电力来维持存储的信息的存储器)或非易失性存储器，或者两者的组合。在实施例中，从属设备的预先设置可被存储在非易失性存储器中(例如，存储在闪存中)，而限时重写参数可被存储在易失性存储器(例如，sram)中。从而，如果使存储从属设备的设置的设备的存储器断电，那么从属设备的设置可默认地回归存储在非易失性存储器中的预先设置。可以防止对非易失性存储器的访问，以致用户不能重写存储在非易失性存储器中的预先设置。通过把限时重写参数存储在易失性存储器中，预先设置可被临时重写，所述限时重写参数可由权限授予和撤消组件211从所述易失性存储器取回并实现，但在非易失性存储器内预先设置本身不被改变。

例如，如果从属设备进入睡眠模式(例如，以便当其不被使用时节省电力)，并随后进入它变得可操作/可运行的唤醒模式，那么进一步参数可判定当处于唤醒模式时从属设备是否能够理解限时重写参数和进一步重写参数，或者可判定重写参数是否相互冲突。这可降低从属设备的使用中状态的中断和恢复不利地影响从属设备的操作的风险。它可降低设置以与预先设置和设置分级不兼容的方式被改变的风险。例如，如果用户手动关闭和打开(即重启)从属设备，以便试图重置设备的配置设置，那么进一步参数可用于判定任何输入的重写参数和进一步重写参数是否与预先设置和设置分级兼容，以便改善安全性。中断和恢复可包括睡眠-唤醒循环、电力循环、及故障和恢复循环中的至少一个。

在实施例中，建立配置数据访问控制列表包括建立可密码验证的访问控制列表(acl)以允许篡改防止。例如，可提供安全存储机制，以存储针对各个从属设备的访问控制列表，所述安全存储机制在它将允许acl被更改(临时地或以其它方式)之前，需要可信度的指示符。例如，acl可伴随有指示配置数据可信的鉴权(authentication)证书(利用提供这种证书的任何已知技术，比如“可信第三方”系统之类)。例如，信任的来源可以是供应服务器、用户的设备、借助在设备上物理提供的用户接口提供的输入，等等。在变型中，当设备被购买时，它可以具有用于更新的一组可信证书，并且还可提供有用于添加安全配置数据的其他来源的机制。配置数据acl可连同证书或者证书的简化形式(比如部分散列之类)一起存储以形成指纹(fingerprint)。通过这样存储用于允许配置数据acl的存储的指纹，当发现利用相同数据配置的网络中的其他系统已受到损害时，能够知道acl是否应继续被信任。如果配置数据acl不再可信，那么可以使其作用无效。如何能够保护配置数据acl以防止篡改的例子记载在申请人的同时待审的英国专利申请no.gb1513586.6中。

在实施例中，授予权限包含准许访问从属设备的子集。例如，宾馆可包含多个不同的从属设备，比如照明设备、电视机、加热设备等等。在这个例子中，授予权限的步骤可包含授予对于宾馆中的从属设备的子集针对一段时间重写预先设置的权限，所述从属设备的子集比如只是客人的宾馆客房中的照明设备，或者客人的宾馆客房(而不是宾馆中的其他地方)中的所有从属设备。这可改善允许预先设置被重写的效率，因为可同时授予对于多个从属设备的权限。

在实施例中，授予权限的步骤可包括准许访问优先级分级的子集。

在实施例中，授予权限的步骤还可包括授予把许可委派给另一个配置控制接口设备以重写预先设置的权限。这在下文参考图3更详细地说明。

在关于图1和2说明的各个实施例中，限时重写参数被描述成响应于与重写参数相关联的时间段的到期而被撤消。在实施例中，时间段可由“使用时间”和“友好时间”的组合构成。例如，如果用户在宾馆中停留48小时，那么“使用时间”可为48小时，而“友好时间”可为15分钟，以允许用户具有收拾他的所有行李，离开房间并完成退房过程的足够时间。类似地，如果用户租用自行车或车辆24小时，那么“使用时间”可为24小时，而“友好时间”可为30分钟，以考虑到道路交通或者行进到最近的加油站以对车辆加油所需的时间。在一些情况下，“友好时间”可随着时间而变化。例如，如果车辆定于将在拥堵/交通量较小的晚上被归还，那么与车辆定于将在高峰时间期间被归还的情况相比，“友好时间”可以较短。在实施例中，“友好时间”可以为0，以致所述时间段只由使用时间构成。这可以是如果使用时间需要被严格遵守的情况。

在实施例中，当使用时间和友好时间之和到期时，通过如上所述，除去限时重写参数并回归预先设置，可以撤消限时重写参数。附加地或者替代地，通过撤消用于证实重写从属设备的设置的请求的真实性的数字签名，可以撤消限时重写。例如，当用户请求更改从属设备的设置时，可以检查所述请求的有效性，并且如果所述请求来源于具有适当权限的已知用户，那么可把数字签名应用于更改后的设置，或使数字签名与更改后的设置相关联。这可避免来源于未知实体的请求被应用，因为系统可被配置成只有在设置更改与数字签名相关联的情况下才把更改应用于设置。在这个实施例中，通过撤消或者删除相关联的数字签名，可以撤消限时重写参数。

附加地或者替代地，通过撤消中间证书可以撤消限时重写。中间证书可以与从属设备的用户相关联，或者可以与实例(例如，从属设备的特定使用，或者从属设备的特定限时重写参数)相关联。中间证书可由从属设备的所有者为用户创建，并且中间证书可包括关于例如相对于所述从属设备所述用户具有什么权限以及中间证书针对多长时间有效(例如，使用时间加友好时间)的细节。在用户请求从属设备的设置的限时重写的时候，他可使用中间证书。因而，简单地通过撤消中间证书就可撤消限时重写设置/参数，因为中间证书包含允许用户更改从属设备的设置的权限。

在例示的例子中，客人可登记入住宾馆，并且可已具有或者被赋予客人身份“gid”。宾馆所有者可为该客人创建中间证书“gcert(gid)”，中间证书“gcert(gid)”针对特定的一段时间(例如，使用时间和友好时间的组合)有效。中间证书可指定针对客人的权限，使得所述客人被限制为只对其客房中的从属设备或者对其客房中和公共区域中的从属设备(例如，宾馆健身房中的设备)做出更改。客人可以利用他的客人身份gid产生变更一个或多个从属设备的设置的各种请求，并利用(例如，引证)其中间证书gcert(gid)作为这样做的权限。当客人退房时，宾馆所有者撤消针对该客人的中间证书，并且该客人已变更的所有从属设备的设置将自动并立即回归预先设置。在实施例中，当所述时间段(即，使用时间和友好时间之和)到期时，无论客人是否已退房，中间证书都被自动撤消。这种中间证书技术可以利用基于x509的acl设定来实现，如下所述。按照这种方式利用中间证书可提供一种在所述时间段结束时，使从属设备设置回归到预先设置的有效方式，因为可使多个从属设备的设置都基本同时回归预先设置，而不需要任何人知道哪些设备上的哪些设置实际上被变更。

在上面参考图1和2说明的各个实施例中，在步骤104，为一个从属设备或者为相同类型的多个从属设备建立配置数据访问控制列表(acl)。在实施例中，对从属设备来说，acl可能已存在。因而，在实施例中，在步骤104，如果对从属设备来说acl已存在，那么新建立的acl可自动替换现有acl。在实施例中，可向建立新acl的用户进行提示以确认新建立的acl应替换现有acl。即，对从属设备来说，创建日期较晚的acl可替换创建日期较早的acl。

如上所述，每个acl可指定不同的实体(所述不同的实体可具有相同或不同的权限)。在一些实施例中，每个实体可具有不同的优先级等级/权限等级。例如，从属设备的所有者可具有比从属设备的临时用户更高的权限等级/优先级等级。从而，如果在步骤104，对于从属设备建立了新的acl，那么如果现有的优先级等级被违反则新的acl不可自动替换现有acl。这可防止例如优先级等级低的实体以授予该实体高优先级等级的方式来更改acl，或者防止优先级等级低的实体从acl中删除优先级等级高的实体，等等。从而，在实施例中，可以比较新建立的acl和现有acl以确定做出了什么更改，并且可进行检查以判定新建立的acl是否来源于具有做出确定的更改的所需权限的实体。如果实体不具有所需的权限，那么可支持现有acl而拒绝新建立的acl，以改善安全性。

如上所述，在图1和2的步骤106，预先设置被添加到针对(一个或多个)从属设备的已建立的配置数据acl中。在方法100'(图2)中，在步骤108，进行检查以判定对于从属设备是否需要至少一个限时重写。如果需要限时重写，那么在步骤111进行进一步的检查，以判定优先级设置分级是否允许至少一个重写设置，如上所述。在实施例中，针对特定预先设置的限时重写可能已被添加到针对(一个或多个)从属设备218的acl204中(并且可能还未到期或者未被撤消)。这种情况下，如果在步骤108请求对于相同预先设置的新的限时重写，那么如果现有的和新的限时重写在优先级设置分级中具有相同的优先级等级，则针对该预先设置的新的限时重写可被接受(并可替换现有的限时重写)。在实体不具有如在优先级设置分级中定义的所需特权/权限的情况下，这可避免该实体重写预先设置或者现有的限时重写。

在实施例中，在acl204中，多个实体可被定义为具有相同的特权/权限。例如，人员的多个组(例如，相同办公室中的工作人员，或者与他们的家长居住在房子中的所有孩子，等等)可被定义成具有相同的特权/权限。因而，如果对于预先设置的限时重写由一个办公室工作人员输入，那么该限时重写可被由不同的办公室工作人员请求的对于相同预先设置的第二个限时重写代替(假定办公室工作人员具有相同的特权)。然而，如果对于预先设置的第二个限时重写是由特权等级较低的某人(例如，办公室中的临时职员)请求的，那么所述请求可被拒绝，以致原始的限时重写不能被自动替换。类似地，如果对于预先设置的第二个限时重写是由特权等级较高的某人(例如，办公室工作人员的管理员)请求的，那么第二个限时重写可自动替换原始的限时重写。

参见图3，图3示出控制对从属设备的配置设置的临时访问的系统的方框图。网络200包含至少一个从属设备218，不过它可包含多个从属设备(为了简单起见，只示出了一个从属设备218)。可利用配置控制接口设备214控制或配置每个从属设备218。配置控制接口设备214可存储配置设置(比如针对每个从属设备的配置数据访问控制列表(acl)和预先设置之类)，并把配置设置应用于它被耦接到的那个或每个从属设备218。配置控制接口设备214可耦接到网络内的一个或多个从属设备218。例如，配置控制接口设备214可耦接到房间中的从属设备，或者配置控制接口设备214可耦接到房间中的多个或全部从属设备。从而，网络可包含多个配置控制接口设备214，每个配置控制接口设备214耦接到一个或多个从属设备218，不过为了简单起见，这里只表示了单个配置控制接口设备214。配置控制接口设备214可包含用户接口216。用户接口216可用于输入针对每个从属设备218的限时重写参数。例如，用户可利用用户接口216改变他房间中的电动窗帘或遮光帘在早晨自动打开的时间。

系统包含访问控制列表(acl)组件202。acl组件202可位于远离网络200中的那个或每个配置控制接口设备214之处。acl组件202可通过有线或无线通信信道耦接到那个或每个配置控制接口设备214。从而，acl组件202可用于经由配置控制接口设备214远程创建配置设置，并把配置设置应用于网络200中的那个或每个从属设备218。例如，acl组件202可以是电子设备或者电子设备的一部分(未示出)，所述电子设备具有可被acl组件202访问的至少一个处理器。

acl组件202包含针对那个或每个从属设备218的访问控制列表(acl)204。在实施例中，acl204可用于配置相同类型的多个从属设备218(例如，照明设备或者加热设备)，以致单个acl204可应用于配置一组从属设备218。

acl204包含预先设置206。预先设置206可被添加到针对(一个或多个)从属设备218的已建立的配置数据acl204中。预先设置206是一个配置设置或多个配置设置，其构成各个从属设备218在特定时间的默认设置。例如，预先设置206可以是每隔一周在星期二到星期三应用的设置，或者可以是每天在06:00和09:00之间应用的设置。在其中从属设备218是位于住宅或宾馆的各个房间中的照明设备的示例性场景中，预先设置206可以是每天在18:00和22:00之间开灯，并可以是每天在22:01和09:00之间关灯。一旦预先设置206已被添加到针对从属设备218的配置数据acl204中，预先设置206就被自动用于控制从属设备218，除非预先设置206被重写。

acl204可包含限时参数208。用户可通过配置控制接口设备214的用户接口216，输入针对特定从属设备218的限时重写。限时重写可以是针对从属设备218的限时参数208或设置，所述限时参数208或设置只适用特定的预定时间段(例如，特定长度的时间，或者如上所述的“使用时间”和“友好时间”的组合)。例如，宾馆客人可输入与在他的宾馆客房中的照明设备的操作相关的限时参数208，所述限时参数208只对该客人在宾馆停留的持续时间适用。从而，限时参数208可包含两个分量：与从属设备218的操作相关的设置或参数，和定义该设置或参数可应用于所述从属设备218多久的时间段。或者，限时参数可以只包含与从属设备218的操作相关的设置或参数，并可以单独地提供所述时间段。在任一情况下，所述时间段可由从属设备的所有者或者acl204的管理员指定。如果限时参数208被接受，那么限时参数208被添加到acl204中，并且更新的acl204被传送给配置控制接口设备214，以便应用于相关的(一个或多个)从属设备218。

如上参考图2所述，在实施例中，如果需要限时重写，那么可进行检查以判定优先级设置分级是否允许至少一个重写设置/参数。优先级设置分级可用于判定重写设置是否被允许，或者是否应改为使用预先设置。与预先设置206相关联的高优先级可以意味着从属设备218的临时用户不能重写预先设置206。即，临时用户的重写预先设置206的尝试本身被原始的高优先级预先设置206重写。从而，在实施例中，在与重写设置相关联的时间段内，优先级分级中的较高优先级的保留权力210可允许限时重写参数208的进一步重写。较高优先级的保留权力210指定具有“保留的较高优先级等级”或者“保留的较高控制等级”的实体。即，在实施例中，实体(例如，从属设备218的另一个用户或者从属设备218的所有者，或者控制从属设备218的另一个设备)能够重写任何被请求的重写设置，因为该实体具有从属设备218的极高或较高控制等级。

acl组件202还可包含权限授予和撤消组件211，权限授予和撤消组件211可通过把限时重写参数208添加到访问控制列表204中，来向配置控制接口设备授予持续一段时间的重写预先设置206的权限。例如，权限授予和撤消组件211可检查用户通过用户接口216(或以其他方式)输入的限时重写是否被允许。如果限时重写请求是在允许的时间段内输入的或者如果限时重写请求未违反优先级分级，那么可以授予权限。从而，权限授予和撤消组件211可被配置成访问保留权力210，以判定限时重写请求是否遵守优先级分级。权限授予和撤消组件211可包含定时器212，或者可访问位于别处的定时器212。定时器212可被权限授予和撤消组件211用于判定时限是否已到期和何时到期。当时限已到期时，权限授予和撤消组件211可使添加到acl204中的限时参数208被撤消，以致从属设备218的设置回归预先设置206。

在实施例中，向配置控制接口设备授予重写预先设置的权限包括使身份的指示与限时重写参数相关联。身份的指示可以是下述任意之一：用户识别、对用户识别的引用(reference)、数字证书、对数字证书的引用、数字签名、和对数字签名的引用。例如，身份的指示可用于判定重写预先设置的请求是否来源于具有必需权限的实体，并且因而，身份的指示可与限时重写参数一起存储、附加到限时重写参数、或者以其他方式与限时重写参数相关联。用户识别可以是用户的姓名或者其他id(例如，客人身份“gid”)。数字证书或数字签名可以类似的方式用于确定重写预先设置的请求的真实性和/或有效性，并可作为重写被允许的证据与限时重写参数相关联。

在实施例中，通过撤消中间证书209(中间证书209是身份的指示的一种类型)，可以撤消限时重写参数208。如前所述，中间证书209可以与从属设备218的用户相关联，或者可以与实例(例如，从属设备的特定使用，或者从属设备的特定限时重写参数)相关联。中间证书209可由从属设备的所有者为用户创建，并可被存储在acl204内。替代地，中间证书209可被存储在权限授予和撤销组件211内。

中间证书209可包括关于例如相对于从属设备218来说用户具有什么权限和中间证书209多长时间有效(例如，使用时间加友好时间)的细节。在用户请求从属设备218的设置的限时重写的时候，他可使用中间证书209，如前所述。在实施例中，在利用中间证书209变更从属设备218的设置时，可创建中间证书引用217。中间证书引用217可被存储在从属设备218内，或者可被存储在配置控制接口设备214内。

在示例性场景中，从属设备218的用户做出变更从属设备218的设置的请求，并利用他的中间证书209作为进行所述变更的权限。在变更从属设备218的设置的过程中，从属设备218或接口设备214密码地验证用户和相关联的中间证书209的权限和优先级。如果验证过程成功，那么从属设备218的设置被更改，并且设备218本身或者接口设备214存储指示哪个证书被用于应用更改后的设置的数据。在实施例中，设备218(或接口设备214)只需要记住对中间证书的引用，或者对中间证书的散列(或者散列的简化版本)的引用，使得该设备可放弃验证或中间证书209本身。从而，如果相同用户利用相同的中间证书209更改从属设备218的多个设置(例如，照明设备的开/关时间、亮度、颜色等)，那么设备218/设备214只需要存储用于各个设置的中间证书引用217和证书209的一个副本(或者证书209的验证)。这可减小存储在设备218/设备214中的数据的数量。

在实施例中，权限授予和撤消组件211可检查在接近与重写参数208相关联的时间段时，或者在接近最近的有效期时，限时重写参数208是否仍然有效。例如，如果限时重写参数208针对组合了友好时间的使用时间有效，那么最近的有效期可以是使用时间本身，而最长有效期是使用时间与友好时间的组合。从而，权限授予和撤消组件211可被配置成在使用时间到期时检查限时重写参数208是否有效，并且如果仍然有效，那么可被配置成在使用时间加友好时间到期时，再次检查有效性。在任一时间，如果重写参数208不再有效，那么重写参数208可被撤消。

附加地或替代地，权限授予和撤消组件211可被配置成在接收到例如与参数相关联的中间证书209，或者与参数相关联的数字签名的撤消时，检查限时重写参数208的有效性。例如，如果宾馆中的客人在宾馆的退房时间之前退房离开宾馆，那么可提示宾馆撤消客人的中间证书209。当收到撤消请求时，权限授予和撤消组件211可撤消中间证书209(例如，从acl204中删除它)，即使使用时间还未到期。

从而，在实施例中，从访问控制列表中除去限时重写参数包括撤消与限时重写参数相关联的身份的指示。

附加地或替代地，权限授予和撤消组件211可被配置成当接收变更从属设备218的预先设置206的新请求时，检查限时重写参数208的有效性。例如，如果对于例如音乐播放设备的最大音量，已存在限时重写参数208，并且权限授予和撤消组件211收到重写相同参数(最大音量等级)的另一个请求，那么权限授予和撤消组件211可被配置成检查现有的限时重写参数208的有效性。结果，权限授予和撤销组件211可基于该新请求，撤消现有的限时重写参数208并用新的重写参数替换现有的限时重写参数208，或者权限授予和撤销组件211可保留现有的限时重写参数208(例如，在新请求无效的情况下)。

在实施例中，针对从属设备的一个特定设置的限时重写参数可能依赖于针对从属设备的不同设置的预先设置和/或另一个限时重写参数。例如，用于变更音乐播放设备的最大低音音量等级的限时重写参数可能依赖于针对音乐播放设备的最大音量等级的预先设置或限时重写参数。在这个示例性场景中，如果最大音量等级较高，那么最大低音音量等级也较高，但是如果使最大音量保持较低(例如，在晚上的特定时间期间和在夜间期间)，那么可能也需要使低音音量等级保持较低。从而，低音音量等级可依赖于音量，并且因而，针对低音音量等级的限时重写参数可依赖于音量等级的预先设置或限时重写参数。

从而，在实施例中，权限授予和撤消组件211可被配置成当收到变更从属设置的请求时，检查限时重写参数208的有效性。例如，如果接收到变更音乐播放设备的低音音量等级的请求，那么权限授予和撤消组件211可被配置成检查音乐播放设备的音量设置，因为低音音量等级设置依赖于音量设置。

在实施例中，权限授予和撤消组件211可被配置成当接收到改变第二个从属设备的从属设置的请求时，检查第一个从属设备的限时重写参数208的有效性。从而，判定是否更改从属设备的设置的重写请求，可不仅依赖于该重写是否被允许(如上参考图1和2所述)而且可依赖于至少一个其他从属设备的设置或“状态”。例如，如果收到宾馆客房中的客人的增大他房间中的音乐播放设备的最大音量的请求，那么权限授予和撤消组件211可被配置成判定该宾馆客房中的窗户是打开的还是关闭的。耦接到宾馆客房中的各扇窗户的传感器可指示窗户是打开的还是关闭的，并且能够把关于窗户的“状态”(即，窗户是打开还是关闭)的信息提供给网络200中的其他设备。例如，配置控制接口设备214能够接收来自传感器的状态信息，并把所述状态信息提供给权限授予和撤销组件211(或者，所述状态信息可以直接从传感器被传送给组件211)。如果权限授予和撤销组件211确定窗户是打开的，那么组件211可阻止音乐播放设备的最大音量设置的重写(这可以是理想的规则，因为如果在窗户打开的情况下播放喧闹的音乐，那么宾馆中的其他客人会受到打扰)。从而，在实施例中，限时重写参数的实现可依赖于外部设备(它可以是另一个从属设备)的设置或状态。

从而，在实施例中，授予权限还可包括判定预先设置是否依赖于下述之一或两者：从属设备的另一个预先设置，和电子设备的预先设置或状态。

图4a)和4b)是其中可控制对设备的配置设置的临时访问的示例性场景的例示。在该示例性场景中(所述示例性场景仅仅是以示例性的目的而提供的)，住宅或宾馆客房中的窗户装备有电动遮光帘300，电动遮光帘300是从属设备的一种类型。图4a)示出所有者或管理员可如何定义了针对电动遮光帘300的操作的访问控制列表。例如，电动遮光帘300的预先设置可以是使得它们在开始时间302(例如，早晨09:00)被自动升起，并在终止时间304(例如，晚上19:00)被自动放下。

图4b)中，住宅或宾馆中的临时客人306可试图重写电动遮光帘300的预先设置。例如，他可能希望睡眠更长时间，并因此，可能不希望遮光帘300打开直到早晨的晚些时候。从而，遮光帘300的临时用户306可利用耦接到遮光帘300的配置控制接口设备214重写预先设置。临时用户306可通过用户接口216把他的重写请求输入系统中，所述重写请求可指定把开始时间302重写为不同的开始时间308(例如，早晨11:00)，和把终止时间304重写为不同的终止时间310(例如，晚上20:00)。如上所述，如果重写请求是可接受的，那么限时重写参数被添加到与遮光帘300相关联的acl中，并且将基于用户306指定的限时重写参数临时操作遮光帘。然而，在实施例中，限时重写参数可能不被允许，因为它违反了优先级分级。遮光帘300的所有者可把终止时间304设定为高优先级参数(例如，出于安全的原因)，并且因此，用户306提交的把终止时间304变更为稍晚时间的重写请求可能不被接受。这种情况下，用户的重写请求本身被预先设置的较高优先级参数所重写。

从而在一种实现中，提供一种限时配置设置分级，引入在时间段到期之后允许回归预先设置的临时重写设置。这与控制对iot设施的全部访问的基于证书的通用acl的常规使用无缝地相适应，但是由于在指定的时间段到期时保证了权限的自动撤消和先前设置的自动回归，允许临时用户具有比配置设置高得多的特权等级。这种技术还使设施的临时用户，比如宾馆客人、住宅中的来宾或者租用产品(汽车、自行车、电动代步车等)的用户之类能够使用诸如智能电话机、可穿戴设备或其他便携式设备之类的设备上的直观用户接口，而不会在来访期或租用期结束之后仍由他们控制。

对于这样的临时用户，理想的是具有可在某个时间应用的配置设置(例如，利用“validfrom(从……开始有效)”参数)。在本技术的实现中，设置也可具有到期时间(例如，利用“validto(到……为止有效)”参数)。

作为一个具体例子，在某些情形下，比如家政服务人员的来访，有益的是把访问控制权限授予该服务人员，利用所述权限该服务人员可利用本地无线连接从智能电话机访问并更改某些配置设置，但是这样的权限只在星期二和星期三的白天有效。这样，服务人员对例如安全百叶窗的控制会被限制于服务人员需要打开百叶窗以便工作的那些日子，但是当预计服务人员不在家中工作时，所述权限会被撤消并且百叶窗按照预先的“通常”设置自动关闭以保持安全。类似地，可以设定时间段，从而限制所述服务人员可以禁用家中的安全报警系统的时期，例如，到达时，警报的禁用会触发时钟的启动，以致服务人员会被要求在固定时间之前重启报警系统并离开，之后，报警系统配置设置只能由房屋所有者访问和更改，直到安排好的家政服务人员的下次来访为止。

在另一个例子中，在租用房间中，例如在宾馆中，客房的照明设备的rgb颜色可被设定成在早晨(06:01-15:00)具有蓝色色调以唤醒居住者，而从(15:01-06:00)具有微红色调以使居住者为睡眠做准备。通过使基本的底层控制逻辑移动到配置acl中，对于临时居住者来说，不需要关于rgbled和设定一天中的时间的方式的任何特殊知识，所述临时居住者可利用简单接口(例如，智能电话机上的应用(app))临时重写预先设置，以便为较早的夜晚做准备。随后在客房入住结束时，设置会回归预先配置，为下一位客人准备妥当。在这个例子中，客人可以按最大期满时间(8小时等)变更灯的设置，但是在该时间之后，所述设置会被垃圾回收并被所有者用预先设置替换。例如，在设定为把某个控制的“继承权”从房东或宾馆业主提供给客人的基于传统x509的acl中，客人可被授予48小时的访问，结果，所有的配置设置会继承48小时的截止期限，并且当客人离开时所有设备的设置都会回归预先设置。

上面说明的分级优先化机制还具有即使客人可被给予某个临时控制，所述控制本身也可被设施的所有者保留的较高优先级权力重写的优点。例如在宾馆的情况下，客人可被允许在09:00和18:00之间的时间期间配置遮光帘电动机设置，但是所有者可从午夜到06:00保持“保留权力”的较高优先级重写，以便出于安全的原因强制关闭遮光帘。

本领域的技术人员会理解，本技术可被实施为系统、方法或计算机程序产品。因而，本技术可以采取纯硬件实施例、纯软件实施例、或者包含软件和硬件的实施例的形式。

此外，本技术可以采取在计算机可读介质中实施的计算机程序产品的形式，所述计算机可读介质具有在其上实施的计算机可读程序代码。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读介质可以是例如(但不限于)电子、磁、光、电磁、红外或半导体系统、设备或装置、或者它们的任意适当组合。

可用一种或多种编程语言的任意组合编写用于执行本技术的操作的计算机程序代码，所述一种或多种编程语言包括面向对象的编程语言和常规的过程编程语言。

例如，用于执行本技术的操作的程序代码可包括采用诸如c之类的常规编程语言(解释语言或编译语言)、或者汇编代码、用于设定或控制asic(专用集成电路)或fpga(现场可编程门阵列)的代码、或诸如verilog^tm或vhdl(超高速集成电路硬件描述语言)之类的硬件描述语言的代码的源代码、目标代码或可执行代码。

程序代码可完全在用户的计算机上运行、部分在用户的计算机上运行并且部分在远程计算机上运行、或者完全在远程计算机或服务器上运行。在后一场景中，远程计算机可通过任意类型的网络连接到用户的计算机。代码组件可被实施为过程、方法等，并可包含可采取从原生指令集的直接机器指令到高级编译或解释语言结构的在任意抽象层次的指令或指令序列的形式的子组件。

对本领域的技术人员来说还将清楚的是，按照本技术的实施例的逻辑方法的全部或者一部分可适当地实施在包含进行所述方法的各个步骤的逻辑元件的逻辑设备中，并且所述逻辑元件可包含诸如在例如可编程逻辑阵列或专用集成电路中的逻辑门之类的组件。这样的逻辑布置还可实施在使能元件中，所述使能元件用于利用例如虚拟硬件描述语言在这样的阵列或电路中临时或永久地建立逻辑结构，所述逻辑结构可利用固定或可传送的载体介质被存储和传送。

在一种变型中，可以按计算机实现的部署服务的方法的形式实现本技术的实施例，所述方法包括部署计算机程序代码的步骤，当被部署到计算机基础架构或网络中并在计算机基础架构或网络上执行时，所述计算机程序代码可操作使得所述计算机系统或网络进行所述方法的所有步骤。

在另一变型中，可以按数据载体的形式实现本技术的实施例，所述数据载体上具有功能数据，所述功能数据包含功能计算机数据结构，当被载入计算机系统或网络中并在计算机系统或网络上运行时，所述功能计算机数据结构使所述计算机系统能够进行所述方法的所有步骤。

对本领域的技术人员来说将清楚的是，可在不脱离本技术的范围的情况下对上述示例性实施例做出许多改进和修改。