专利名称:设备间认证系统、方法、通信装置及计算机程序的制作方法
技术领域:
本发明涉及这样一种设备至设备的认证系统、设备至设备的认证方法、通信装置以及计算机程序用于管理设备之间的内容,例如由网络等加以分布的音乐数据、图像数据;诸如电子出版物、电影等的数字数据,具体地讲,本发明涉及一种用于在管理版权法所允许的专用范围内对内容的使用进行管理的一种设备至设备的认证系统、设备至设备的认证方法、通信装置以及计算机程序。
更具体地讲,本发明涉及这样一种用于在经由路由器连接于外部网络的一个家庭网络上在版权法所允许的专用范围内对内容的使用进行管理的一种设备至设备的认证系统、设备至设备的认证方法、通信装置以及计算机程序。具体地讲,本发明涉及一种用于进行管理,以至于家庭网络上的每一客户机终端可以在版权法所允许的专用范围内合法地使用在家庭服务器上所获取的内容的设备至设备的认证方法、通信装置以及计算机程序。
背景技术:
由于最近对Internet日趋普及,包括计算机文件的各种数字内容正活跃地分布在网络上。而且,随着宽带通信网络(xDSL(x Digital Subscriber Line)、CATV(有线电视)、无线网络等)的普及,目前,人们正在设置一种能够传输诸如音乐数据、图像数据或电子出版物、甚至诸如电影的丰富内容的数字数据的分布的机制,而且不会让用户感到任何压力。
另一方面,由于所分布的内容为数字数据,所以能够相当容易地进行未经授权的操作,例如拷贝或篡改。而且,诸如对内容的拷贝或篡改的欺诈犯罪当前正频繁发生,这是损害数字内容供应商利益的一个主要原因。因此,产生了必须提高内容价格,从而导致传播受阻的恶性循环。
例如,最近,计算机、网络等技术正稳步地向普通家庭扩展。经由家庭网络,把诸如家用个人计算机或PDA(个人数字助理)的信息设备、以及诸如电视机和视频回放设备的各种信息家用电器互相连接在一起。在许多情况下,经由路由器把这样的一个家庭网络互连于一个包括Internet在内的外部宽带网络。把从Internet上的一个服务器合法获得的内容存储在家庭网络上的一个服务器(以下,将其称为“家庭服务器”)中之后,经由家庭网络把内容分布于另一个家内终端(客户机)。
在版权法的制约下,可保护作为有版权作品的内容免遭未经授权的使用,例如未经授权的拷贝或篡改。另一方面,允许经过授权的用户在有限的范围内拷贝专用(即,个人使用)、家庭使用或其它类似的使用的内容(参见日本版权法第30款)。
如果把专用的范围施加于以上所描述的家庭网络,则认为连接于家庭网络的客户机终端应当处于个人使用或家庭使用的范围内。因此,可以认为,家庭网络上的客户机终端自由使用家庭服务器中合法获得的内容是适当的(显然,要求把可以享用内容的终端的个数限定在一定数量范围内)。
然而,使用当前的技术,难以确定注册于家庭网络的一个客户机终端是否处于专用的范围内。
例如,由于经由基于一个IP协议的路由器,把家庭服务器互连于一个外部网络,所以家庭服务器不知道正在进行访问的客户机位于何处。如果家庭服务器把内容提供于外部的(远程的)访问,则内容的使用基本上是无限制的。因此,内容的版权几乎不受保护。所以内容的创建者失去了创建的动力。
另外,如果家庭服务器允许家庭网络中的客户机终端以相同的方式使用内容,则该客户机终端按时段注册于多个家庭网络。从而,该客户机可以几乎无限制地使用内容。
另一方面,如果对该客户机终端施加于严格的限制,则不能够确保用户获得版权法所允许的基本的专用权。结果,用户不能满意地享用内容。从而,由于不能很好地促进对家庭服务器或内容-分布服务的使用,很可能会阻碍内容商务本身的发展。
例如,考虑到允许合法购买有版权作品的用户自由地使用这一有版权作品这样一种情况,已经提出了一种用户更容易从内容的权利拥有者那里获准拷贝和在网络上使用该信息的方法(例如,参见申请号为2002-73861的日本专利申请出版物)。然而,这一方法依据与信息权利的拥有者与信息的使用的关系等级对用户进行分类,并针对这一关系的每一等级,以不同的分布方法对信息加以分布。
同时,例如,作为一种构成家庭网络的协议,UPnP(注册商标),已广为人知。UPnP允许容易地进行网络构造,而无需进行任何复杂的操作,并允许在网络连接的设备之间的内容提供服务,而无需进行任何困难的操作与设置。而且,UPnP的优点还在于,它不依赖于操作系统(OS),并且易于设备的添加。
在UPnP中,与网络连接的设备交换一个按XML(eXtended MarkupLanguage)格式描述的定义的文件,以进行相互间的认证。UPnP的处理梗概如下。
(1)寻址过程获取其所属设备ID,例如IP地址。
(2)发现过程搜寻网络上的每一设备,以获取诸如设备类型等信息或包含在从每一设备所接收的一个答复中的一个功能。
(3)服务请求过程根据从发现过程所获取的信息,向每一设备进行服务请求。
根据这样的一个处理规程,可以使用与网络连接的设备提供和接收一个服务。一个将连接于网络的设备通过寻址过程获取一个设备ID,并通过发现过程获取网络上其它设备的信息,从而能够进行服务请求。
可以从家庭网络上的其它设备访问存储在家庭服务器中的内容。例如,可以通过一个实现了UPnP连接的设备获取内容。如果内容为视频数据或音频数据,则把电视机或播放机作为一种与网络连接的设备加以连接,从而可以欣赏电影或音乐。
然而,在家庭网络中的设备中,例如,在家庭服务器中,存储了诸如私有内容或付费内容的要求版权管理的内容。因此,必须考虑防止非授权访问的对策。
自然,允许从一个有权使用(有许可)内容的用户的设备上进行访问。然而,在经由一个家庭路由器互连于外部网络的家庭网络环境中,甚至是一个没有许可的用户,也能够进入家庭网络。
例如,为了排除非授权访问,家庭服务器具有一张允许其进行访问的客户机的列表,以在每次从一个客户机请求对家庭服务器的访问时,与该列表进行核对。通过这种方式,可以排除非授权访问。
例如,MAC地址过滤是人们所知的,MAC地址过滤使用了相应于对每一通信装置而言唯一的物理地址的MAC(媒体访问控制)地址,以将其设置为一个可允许访问设备列表。更具体地讲,把允许对其进行访问的每一设备的MAC地址登记在一个用于互相隔离诸如家庭网络的内部网络和外部网络的路由器或网关上。把赋予每一被接收数据包的MAC地址与被登记的MAC地址互相核对。拒绝从具有一个未登记的MAC地址的设备进行访问(例如,参见申请号为10-271154的日本专利申请出版物)。
然而,为了构造可允许访问设备列表,必须检查连接于内部网络的所有设备的MAC地址。而且,要求花气力输入所有所获得的MAC地址,以创建一张列表。另外,在家庭网络中,还相当频繁地改变所连接的设备。因此,必须针对每一这样的改变,修改可允许访问设备列表。
发明内容
本发明的一个目的是,提供一种优选设备至设备的认证系统、设备至设备的认证方法、通信装置以及计算机程序,它们能够适当地管理经由一个路由器连接于外部网络的一个家庭网络上的设备之间的内容的使用。
本发明的另一个目的是,提供一种优选设备至设备的认证系统、设备至设备的认证方法、通信装置以及计算机程序,它们能够适当地进行管理,以至于家庭网络上的每一客户机终端能够在版权法所允许的专用范围内使用在家庭服务器上合法获得的内容。
鉴于上述问题,设计了本发明。本发明的一个第一方面是一种设备至设备的认证系统,用于对可经由路由器连接于外部网络的一个家庭网络上的设备进行认证,其特征在于,包括局部环境管理装置,用于确认另一个对家庭网络上该设备进行访问的设备是否存在于该家庭网络上。
然而,此处的“系统”意味着多个装置(或用于实现某一具体功能的功能模块)的一个逻辑组件,而且每一个装置或功能模块可以存在也可以不存在于一个单一的箱体中。
此处,设备之一为家庭服务器,用于经由路由器或通过封装介质或广播接收合法地从外部网络获取内容,而另一种设备为客户机,用于向家庭服务器请求加以使用的内容。在确认了两种设备均在同一家庭网络上之后,家庭服务器向客户机提供内容与/或向客户机发布一个内容的许可。
在版权法的制约下,可以保护诸如有版权作品的内容免遭未经授权的使用,例如未经授权的拷贝或篡改。另一方面,在有限的范围内允许经过授权的用户拷贝专用的内容,即个人使用、家庭使用或其它类似使用的内容。
因此,在本发明中,当假设家庭网络中的客户机终端落入专用的范围时,则仅在局部环境下的客户机才能使用存储在家庭服务器上的内容。
可以把两或两个以上的家庭服务器安装在家庭网络上。在这样一种情况下,由于同一家庭网络上的客户机终端处于一个局部环境下,所以每一个家庭服务器以独立方式把它们登记为形成一个组的成员,以分布内容和发布一个内容的使用许可。而且,还可以把客户机终端作为一个成员同时登记在属于多个组的同一家庭网络的两或两个以上的家庭服务器中,并且可以获得来自每一个家庭服务器的内容许可。
另外,在这一情况下,由于客户机终端处于用于每一家庭服务器的局部环境下,因此,假设其落入个人或家庭使用的范围内,在局部环境中自由地使用每一家庭服务器的内容是恰当的。
另一方面,即使可以把客户机终端作为一个成员同时登记在多个家庭服务器上,但不应该允许它们按时段属于多个家庭网络上的多个家庭服务器组。其原因在于,对于最初被连接的家庭网络来说,向另一个家庭网络的连接相当于把客户机终端移向一个远程环境,或向一个家庭网络的连接等价于客户机终端存在于针对其它家庭网络的远程环境中。
因此,一个客户机可以使用从同一家庭网络上的多个家庭服务器所获取的内容,然而,当向其它家庭网络上的家庭服务器连接时,该客户机不能使用从除所述其它家庭网络之外的家庭网络上的家庭服务器所获取的内容。
例如,局部环境管理装置可以根据进行访问请求的设备的MAC地址与设置为默认网关的路由器的MAC地址的等同或非等同,确认进行访问请求的设备存在或不存在于同一家庭网络上。
经由家庭路由器把家庭网络连接于外部网络。如果从同一网络进行访问,则把一个源MAC地址赋予该网络。然而,在经由路由器进行外部访问的情况下,把源重写为路由器的MAC地址。使用一个IP协议的这样的现存机构,把通信的另一方的设备的一个MAC地址与家庭路由器的MAC地址进行比较,以自动识别其是否访问该家庭网络。
作为一种选择,局部环境管理装置也可以根据各个设备是否共享关于家庭网络的同一标识信息,确认存在或不存在于同一家庭网络上。
例如,每一个设备获取作为关于家庭网络的标识信息的设置为默认网关的路由器的MAC地址。根据设备是否拥有同一默认网关的MAC地址,确认存在或不存在于家庭网络中。
作为一种选择,也可以把一个用于提供网络标识信息的局部环境管理装置安装在家庭网络上,以至于每一个设备能够获取作为关于家庭网络的标识信息的局部环境管理装置的MAC地址。可以根据设备是否具有同一局部环境管理装置的MAC地址,确认存在或不存在于同一网络上。
本发明的一个第二方面是一个计算机程序,这一计算机程序是按一种计算机可读格式加以描述的,以执行一个对经由路由器连接于外部网络的一个家庭网络上的设备进行认证的进程,其中,在家庭网络上,存在着用于从外部网络合法获取内容的家庭服务器和请求使用内容的客户机,该计算机程序的特征在于,包括一个确认家庭服务器和客户机是否存在于家庭网络上的局部环境管理步骤;以及一个响应局部环境管理步骤对这两种设备存在于同一家庭网络上的确认,由家庭服务器向客户机提供内容与/或发现一个内容的许可的内容提供步骤。
根据本发明的第二方面的计算机程序定义了一种按计算机可读格式所描述的计算机程序,以实现计算机系统上的一个预先确定的进程。换句话说,把根据本发明的第二方面的计算机程序安装在一个计算机系统上,以至于能够在该计算机系统上展示合作功能。因此,可以获得与根据本发明的第一方面的设备至设备的认证系统的功能一样的功能。
通过以下基于本发明的实施例与附图的详细描述,本发明的其它目的、特点以及优点将变得十分明显。
图1示意地示出了家庭网络的一个基本结构。
图2描述了其上存在两个家庭服务器的家庭网络的一个示范性结构。
图3描述了一个其中把一个客户机终端连接于多个家庭网络的状态。
图4示意地示出了根据本发明的一个实施例的一个家庭网络的结构。
图5示意地示出了根据本发明的另一个实施例的一个家庭网络的结构。
图6示意地示出了作为服务器、客户机等连接于家庭网络的一个宿主装置的硬件结构。
图7示出了根据本发明的家庭网络上的一个操作序列。
图8示出了局部环境管理表的一个结构。
图9是一个流程图,示出了使用客户机终端上的内容的一个处理规程。
图10是示出了图4中所说明的家庭网络的一个变体的图表。
图11是示出了根据本发明的家庭网络上的一个操作序列的图表;以及图12是示出了图10的一个变体的图表。
具体实施例方式
以下,将参照附图详细描述本发明的实施例。
在版权法的制约下,可保护作为有版权作品的内容免遭未经授权的使用,例如未经授权的拷贝或篡改。另一方面,允许经过授权的用户在有限的范围内拷贝专用(即,个人使用)、家庭使用或其它类似的使用的内容(参见日本版权法第30款)。
假设家庭网络(以下也将其称为“局部环境”)中的客户机终端落入专用的范围内,本发明的家庭服务器上的内容。
此处,将描述局部环境的定义。
图1示意地描述了家庭网络的一个基本结构。如图中所示,经由一个家庭路由器把家庭网络连接于一个外部网络,例如Internet。
在家庭网络上,存在一个家庭服务器和至少一个客户机终端。家庭服务器经由家庭路由器合法地从外部网络上的一个内容服务器获取内容,并且存储内容,以在家庭中分布内容。显然,家庭服务器可以通过除网络之外的装置获取内容,例如通过封装介质或广播接收获取内容,每一客户机终端向家庭服务器请求所希望的内容,以获取它们,并加以使用。
连接于家庭网络的客户机终端处于局部环境下,并且它们应当处于个人或家庭使用的范围内。因此,可以认为,对于家庭网络上的客户机终端而言,自由使用合法地从家庭服务器上获得的内容是恰当的。因此,家庭服务器把局部环境下的客户机终端登记为成员,并且发布一个用于内容分布和内容使用的许可。显然,由于不允许客户机的无限制的连接要求把能够享用内容的终端限制在一定的数量范围内。
在局部环境下,客户机终端从家庭服务器获取内容,使用内容,例如用于拷贝或数据流,并且还能够把内容带出局部环境(进入远程环境)加以使用。
另一方面,把不存在于家庭网络上的客户机终端,即存在于远程环境中的客户机终端视为不处于个人或家庭使用的范围内。如果允许远程环境中的客户机终端使用内容,则对内容的使用基本无限制,因此,内容的版权几乎不被保护。所以家庭网络既不把远程环境中的客户机登记为成员,也不发布内容的许可。
在图1中所示的例子中,家庭网络上仅存在一个家庭服务器。但显然可以在同一家庭服务器上安装两或两个以上的家庭服务器,以至于每一家庭服务器可以在家庭网络中独立地提供内容的一个分布服务。
图2示出了其上存在两个家庭服务器的家庭网络的一个示范性结构。
在这一情况下,由于同一家庭网络上的客户机终端处于一个局部环境下,所以每一个家庭服务器以独立方式把它们登记为形成一个组的一个成员,以分布内容和发布一个内容的使用许可。客户机终端从家庭服务器获取内容,使用内容,例如用于拷贝或数据流,并且还能够把内容带出局部环境(进入远程环境)加以使用。
而且,还可以把客户机终端作为属于多个组的成员同时登记在同一家庭网络的两或两个以上的家庭服务器中,并且可以获得来自每一个家庭服务器的内容许可。在这种情况下,客户机终端也存在于针对每一家庭服务器的局部环境下,因此,其应当处于个人或家庭使用的范围内。因此,认为客户机在局部环境中自由地使用每一家庭服务器的内容是恰当的。
另一方面,即使可以把客户机终端作为一个成员同时登记在多个家庭服务器上,也不应允许其按时段属于多个家庭网络上的多个家庭服务器组(参见图3)。
这是因为,到另一个家庭网络的连接,相应于客户机终端针对最初连接的家庭网络向一个远程环境的移动,或到一个家庭网络的连接等价于客户机终端出现在针对其它家庭网络的一个远程环境中。局部环境处于个人或家庭范围内,而远程环境脱离了个人或家庭范围。
按时段把客户机终端连接于多个家庭网络,在技术上是可行的。然而,如果允许按这样的连接连续地使用内容,则内容使用基本上没有限制。因此,内容的版权几乎不受保护。
综上所述,为了实现一个应当落入家庭网络上个人或家庭使用的范围的局部环境,需具备下列必要条件。
(1)家庭服务器不允许从家庭网络之外进行成员登记;以及(2)当两或两个以上的家庭服务器存在于同一家庭服务器时,针对每一个家庭服务器进行成员登记和组管理。可以把家庭网络上的每一个客户机登记在两或两个以上的家庭服务器上。然而,同时接受登记的家庭服务器必须存在于同一家庭服务器中。
为了实现这样的一个局部环境,要求在家庭服务器和客户机终端之间存在一个用于识别家庭服务器和客户机终端是否存在于同一家庭网络的机制。
当前的网络协议不提供任何用于分段识别诸如家庭网络的机制。因此,就经由家庭路由器、使用IP协议的现存机制把家庭网络与外部网络相连而言,而且考虑到IP协议的现存机制为从同一网络的访问配备了一个源MAC地址,而在经由一个路由器的外部访问的情况下,把源重写为路由器的MAC地址,本发明的发明者提出了一种通过把通信的另一方的设备的一个MAC地址与家庭路由器的一个MAC地址进行比较,自动识别是否从家庭网络进行访问的方法。
以下,将参照附图,详细描述本发明的实施例。
图4示意地示出了根据本发明的一个实施例的一个家庭网络的结构。
把安装在家庭中的一个家庭网络经由一个家庭路由器连接于一个WAN,例如Internet,或另一个LAN。把家庭路由器设置为家庭网络的一个默认网关。
例如,通过把诸如家庭服务器或客户机终端的宿主装置的一条LAN电缆连接于一个集线器(集中器),构造家庭网络。
家庭网络上的宿主装置,例如家庭服务器、客户机终端以及家庭路由器,以及外部网络上的宿主装置,均有MAC地址,对于一个设备来说,每一个MAC地址都是唯一的。宿主装置经由网络传输和接收一个包括首标信息的数据分组,其中首标信息含有一个目的地MAC地址、一个源MAC地址,所述数据分组例如是一个Ethernet(注册商标)桢。
例如,把诸如家庭服务器和客户机终端的家庭网络上的宿主装置构造为可与UPnP兼容的设备。在这种情况下,容易向网络添加一个所连接的设备和从网络上删除一个所连接的设备。连接于网络的设备可以根据下列规程享受家庭网络上的服务,例如使用内容。
(1)寻址处理获取其自身设备ID,例如IP地址。
(2)发现处理搜寻网络上的每一设备,以获取诸如设备类型等信息或包含在从每一设备所接收的一个答复中的一个功能。
(3)服务请求处理根据从发现处理所获取的信息,向每一设备提出服务请求。
在家庭网络上,形成了应当处于个人或家庭使用范围内的一个局部环境。因此,家庭服务器可以经由家庭路由器合法地从外部网络上的一个内容服务器获取内容,并且存储该内容,以在家庭中分布内容。允许每一个客户机终端向家庭服务器请求所希望的内容,并获取它们,并加以使用。
在局部环境下,客户机终端从家庭服务器获取内容,使用该内容,例如用于拷贝或数据流。而且,还能够把内容带出局部环境(进入远程环境)加以使用。
图5示意地示出了根据本发明的另一个实施例的一个家庭网络的结构。
把家庭网络经由家庭路由器连接于一个WAN,例如Internet,或另一个LAN。在这种情况下,把家庭路由器设置为家庭网络的一个默认网关。
其与图4的不同之处在于,两个家庭服务器存在于家庭网络上。各家庭服务器可以同时存在于家庭网络上,也可以按时段对它们加以连接。
在这种情况下,由于同一家庭网络上的客户机终端处于局部环境下,所以每一个家庭服务器把它们登记为形成一个组的成员,以分布内容和发布一个内容的使用许可。客户机终端从家庭服务器获取内容,使用内容,例如用于拷贝或数据流,并且还能够把内容带出局部环境(进入远程环境)加以使用。而且,可以把客户机终端作为属于多个组的成员同时登记在同一家庭网络的两或两个以上的家庭服务器上,并且可以从每一家庭服务器获取内容的一个许可。
图6示意地示出了作为服务器、客户机等连接于家庭网络的一个宿主装置的硬件结构。
该系统主要由一个处理器10构成。处理器10基于存储在存储器中的一个程序执行各种过程。该处理器通过一条总线30控制所连接的各种外部设备。连接于总线30的外部设备如下。
存储器20由半导体存储器构成,例如由DRAM(动态RAM)等构成,并且用于加载运行在处理器10中的程序代码或临时存储一个执行程序的操作数据。
显示控制器21根据从处理器10所发送的一条绘制命令,生成一个显示图像,并且将其传输于一个显示设备22。连接于显示控制器的显示装置22根据从显示控制器21传输的图像信息,把图像显示和输出在屏幕上。
一个把键盘24和鼠标器25连接于其的输入/输出接口25,把来自键盘24或鼠标器25的输入信号传送至处理器10。
把网络接口26连接于外部网络,例如LAN和Internet,并且通过Internet控制数据通信。具体地讲,它把从处理器10所传输的数据传送于Internet上的另一个装置,并且通过Internet接收所传输的数据,以将其传递于处理器10。
把一个高容量外部存储装置28,例如一个HDD,连接于一个硬盘驱动器(HDD)控制器27,控制器27控制向与其连接的HDD 28的数据输入和输出。HDD 28存储将由处理器加以执行的操作系统(OS)的程序、应用程序、驱动程序等。例如,应用程序是一个作为家庭服务器对家庭网络上的每一客户机终端进行认证、或者提供内容或发布许可的服务器应用程序;用于使用内容的客户机应用程序,例如用于复制服务器等提供的内容;以及其它应用程序。
为了构造宿主装置,除了图6中所说明的电路等外,还需要大量的电路等。然而,由于本领域的技术人员对它们十分熟悉,而且其并非本发明的要点所在,所以在本说明书中省略了对它们的描述。而且,还应该意识到,图中仅部分地说明了硬件模块之间的每一连接,以避免图的描述过于复杂。
图7示出了根据本实施例的家庭网络上的一个操作。假定网络上至少存在一个客户机终端、两个家庭服务器以及一个家庭路由器,并且把家庭路由器设置为默认网关。
客户机终端从家庭服务器获取内容,并且使用内容,例如用于拷贝或数据流。在内容-分布服务开始之前,每一个家庭服务器从家庭路由器获取默认网关的一个MAC地址。
为了访问服务器,客户机终端首先获取默认网关的MAC地址,并使用所获得的MAC地址向服务器传输一个访问请求。
被提出访问请求的服务器,从一个请求数据分组中取出源MAC地址,并且将其与自身预先获取的默认网关的MAC地址进行比较。如果这是一个从同一网络所进行的访问,则把源MAC地址赋予这一服务器。但如果这是一个经由路由器的外部访问,则把源重写为路由器的MAC地址。从而,基于源MAC地址与默认网关的MAC地址的等同与非等同,可以容易地确定请求-源客户机是否处于同一网络上,即是否处于局部环境中。如果请求-源客户机处于局部环境中,则分布所请求的内容,并发布这一内容的许可。然而,如果其不处于局部环境中,则拒绝请求。仅允许在处于这样形成的局部环境中的设备之间使用内容,从而可有效限制内容的未经授权的分布。
当从请求-目标服务器接收到一个答复数据分组时,客户机终端取出服务器的MAC地址和服务器名,并且作为局部环境管理表中的一个组,使用访问请求之前所获取的默认网关的MAC地址存储它们。
图8示意性地示出了一个局部环境管理表的结构。在所说明的这一局部环境管理表中,每次向一个新的服务器请求内容时把一个记录输入表中。在每一个记录中,存储了一个结尾标志、一个网络标识ID、以及服务器的MAC地址和服务器名。作为网络标识ID,其描述了访问服务器之前所获取的默认网关的MAC地址。作为结尾标志,其把一个标志设置成最后一次所访问的服务器的一个记录。
图8中所说明的例子,示出了访问连接于家庭路由器A的家庭网络上的服务器S1、访问连接于家庭路由器A的家庭网络上的服务器S2、访问连接于家庭路由器B的家庭网络上的服务器S3的客户机终端的历史。该客户机终端最后一次访问的是连接于家庭路由器A的家庭网络上的服务器S2。
可以把客户机终端作为属于多个组的成员同时登记在同一家庭网络上的两或两个以上的家庭服务器上,并且可以获得来自每一个家庭服务器的内容许可。这是因为,在这种情况下,客户机终端存在于每一家庭服务器的局部环境下,因而,其应当处于个人或家庭使用的范围内。
另一方面,如果把客户机终端按时段连接于另一个家庭网络,则这相应于此时客户机终端针对最初连接的家庭网络向一个远程环境的移动。当根据局部环境管理表访问服务器时对客户机终端所获得的默认网关的MAC地址的核对,允许对家庭网络之间移动的确定。
客户机终端从家庭服务器获取内容,使用内容,例如用于拷贝或数据流,并且还能够把内容带出局部环境(进入远程环境)加以使用。然而,不允许其按时段连接于多个家庭网络,以按不受限制的方式使用顺序获得的内容。因此,在本实施例中,把对客户机终端上内容的使用限制于从当前所连接的家庭网络上所获得的内容。
图8中所示的局部环境管理表中的结尾标志,指示最后一次所访问的家庭服务器。在本实施例中,进行了这样的定义最后一次所访问的家庭服务器所在的家庭网络为客户机终端的当前局部环境。因此,具有与结尾标志赋予其的那一家庭服务器的默认网关相同的默认网关的MAC地址的家庭服务器应当存在于局部环境中。
图9以流程图的形式描述了对客户机终端上的内容加以使用的一个处理规程。当准备使用(复制)客户机终端上的内容时,参照局部环境管理表,以判断是否存在任何其它具有与向其设置了结尾标志的那一记录的默认网关相同的默认网关的MAC地址的服务器(步骤S1)。从具有同一的MAC地址的服务器所获取的内容是可供使用的(步骤S2),而从其它服务器所获取的内容是不可供使用的(步骤S3)。
在以上所描述的实施例中,在来自同一网络访问的情况下,把源MAC地址指派为来自同一网络的访问,而在经由路由器进行外部访问的情况时,把源重写为路由器的MAC地址的IP协议的现存的机制,通过把通信中一方的MAC地址与家庭路由器的MAC地址进行比较,可自动地识别访问是否为从家庭网络所进行的访问。然而,同一家庭网络上的宿主装置的存在与否的识别方法并不局限于此。
图10示出了图4中所示家庭网络的一个变体。在所说明的这一例子中,经由家庭路由器把家庭网络连接于一个WAN,例如Internet,或另一个LAN。尽管把家庭路由器设置为家庭网络的默认网关,但这一设置是可选的。
通过把诸如家庭服务器或客户机终端的宿主装置的一条LAN电缆连接于集线器,构造家庭网络。本实施例与图4的不同之处在于,把一个用于把识别功能赋予家庭网络的局部识别装置连接于家庭网络。
在家庭网络上形成应当处于个人或家庭使用范围的局部环境。从而,家庭服务器可合法地经由家庭路由器从外部网络上的内容服务器获取内容,以在家庭中分布内容。允许每一客户机终端向家庭服务器请求所希望的内容,并获取内容,以加以利用(同上)。
图11示出了图10中的所说明的家庭网络上的一个操作。
客户机终端从家庭服务器获取内容,以使用内容,例如用于拷贝和数据流。在内容-分布服务开始之前,每一个家庭服务器获取局部识别装置的一个MAC地址。
为了访问服务器,客户机终端首先获取局部识别装置的MAC地址,并且使用所获取的MAC地址,把一个访问请求传输于家庭服务器。
被提出了访问请求的服务器,从一个请求数据分组中取出局部识别装置的MAC地址,并且将其与出自身预先获取的局部识别装置的MAC地址进行比较。然后,根据两个MAC地址的等同与非等同,以简单的方式判断请求-源客户机是否处于同一网络上,即是否处于局部环境中。在请求-源客户机处于局部环境中的情况下,分布所请求的内容,并发布这一内容的许可。然而,在其不处于局部环境中的情况下,则拒绝请求。仅允许在处于这样形成的局部环境中的设备之间使用内容,从而可有效限制内容的未经授权的分布。
当从请求-目的地服务器接收到一个答复数据分组时,客户机终端取出服务器的MAC地址和服务器名,并且作为局部环境管理表中的一个组,用访问请求之前所获取的局部识别装置的MAC地址存储它们。
图12示出了图10中所说明的家庭网络的一个变体。如图中所说明的,除了作为专用设备连接于家庭网络外,还对局部识别装置进行构造,以将其并入家庭网络上的家庭路由器或另一个宿主装置。
作为局部识别装置的一个必要条件,可以从客户机终端对请求给出不断的答复。出于这一原因,最好是令局部识别装置始终处于加电状态,而且家庭中至少存在一个局部识别装置。例如,由于家庭服务器是一台电视机或一台视频记录/回放装置,而且不必不断地激活这些设备(不能确认这一局部环境,因为它们没有加电),所以不满足作为局部识别装置的要求。另一方面,由于每一家庭均拥有一台电冰箱,而且电冰箱总是处于加电状态,所以满足作为局部识别装置的要求。另外,由于电冰箱很重,所以其是固定的,而且不可移动,因此可以获得难以将其搬出进行欺诈的副效应。
另外,也可以令两或两个以上的局部识别装置存在于一个单一的家庭网络上。在这种情况下,客户机终端指定进行认证请求的局部识别装置。相反,也可令服务器指定进行认证请求的局部识别装置。或者,客户机终端也可以在指定服务器的时,向局部识别装置请求认证,从而可使局部识别装置通过服务器进行认证。
在本说明书中所说明的这一实施例中,把对设备的MAC地址的核对用于设备之间的认证。预先假设家庭路由器和局部识别装置通过使用加密装置来具有这样一种形式的MAC地址使其难于被篡改。
补充已参照具体的实施例描述了本发明。然而,本术领域的技术人员将会明显意识到,在不背离本发明的宗旨的情况下,可以对这些实施例进行修改与替代。特别是,仅以举例的方式公开了本发明,因此,不应把本说明书的描述视为限制性的。为了确定本发明的宗旨,应考虑权利要求书。
工业适用性根据本发明,可以提供一种优选的设备至设备的认证系统、设备至设备的认证方法、通信装置以及计算机程序,它们能够适当地管理可经由路由器连接于外部网络的一个家庭网络上的设备之间内容的使用。
而且,根据本发明,可提供一种优选的设备至设备的认证系统、设备至设备的认证方法、通信装置以及计算机程序,它们能够适当地进行管理,以至于家庭网络上的每一客户机终端能够在版权法所允许的专用范围内使用在家庭服务器上合法获得的内容。
根据本发明,仅允许在局部环境中的设备之间使用内容,从而能够有效地限制对内容的未经授权的分布。
权利要求
1.一种设备至设备的认证系统,用于对可经由路由器连接于外部网络的一个家庭网络上的设备进行认证,其特征在于,包括局部环境管理装置,用于确认另一个对所述家庭网络上所述设备进行访问的设备是否存在于所述家庭网络上。
2.根据权利要求1所述的设备至设备的认证系统,其特征在于所述设备之一为家庭服务器,用于合法地获取内容,而另一种所述设备为客户机,用于向所述家庭服务器请求所述内容用于使用;其中,在确认了两种设备均在所述同一家庭网络上之后,响应这一确认,所述家庭服务器向所述客户机提供所述内容和/或向所述客户机发布一个所述内容的许可。
3.根据权利要求1所述的设备至设备的认证系统,其特征在于可以把两或两个以上的家庭服务器安装在所述家庭网络上;其中,每一所述家庭服务器向被确认存在于所述同一家庭网络上的所述客户机提供所述内容与/或向被确认存在于所述同一家庭网络上的所述客户机发布一个所述内容的许可。
4.根据权利要求3所述的设备至设备的认证系统,其特征在于所述客户机可以从所述同一家庭网络上的所述两或两个以上的家庭服务器接收所述内容的提供与/或所述内容的所述许可的发布。
5.根据权利要求3所述的设备至设备的认证系统,其特征在于所述客户机可以使用从所述同一家庭网络上的多个家庭服务器所获取的所述内容,而且当连接到其它家庭网络上的家庭服务器时,所述客户机不能使用从除所述其它家庭网络之外的所述家庭网络上的所述家庭服务器所获取的所述内容。
6.根据权利要求1所述的设备至设备的认证系统,其特征在于所述局部环境管理装置基于访问-请求源设备的MAC地址与设置为默认网关的路由器的MAC地址的等同或非等同,确认进行访问的所述请求-源设备是否存在于所述同一家庭网络上。
7.根据权利要求1所述的设备至设备的认证系统,其特征在于所述局部环境管理装置基于每一所述设备是否共享关于所述家庭网络的同一标识信息,确认每一所述设备是否存在于所述同一家庭网络上。
8.根据权利要求7所述的设备至设备的认证系统,其特征在于每一所述设备获取作为关于所述家庭网络的标识信息的设置为默认网关的所述路由器的MAC地址;以及基于每一所述设备是否具有所述同一默认网关的MAC地址,确认每一所述设备是否存在于所述同一家庭网络上。
9.根据权利要求7所述的设备至设备的认证系统,其特征在于把一个用于提供网络标识信息的局部环境管理装置安装在所述家庭网络上;以及每一个所述设备获取作为关于所述家庭网络的标识信息的所述局部环境管理装置的MAC地址;以及基于每一所述设备是否具有所述同一局部环境管理装置的MAC地址,确认每一所述设备是否存在于所述同一家庭网络上。
10.一种设备至设备的认证方法,用于对可经由路由器连接于外部网络的一个家庭网络上的设备进行认证,其特征在于,包括一个确认另一个对所述家庭网络上所述设备进行访问的设备是否存在于所述家庭网络上的局部环境管理步骤。
11.根据权利要求10所述的设备至设备的认证方法,其特征在于所述设备之一为家庭服务器,用于合法地获取内容,而另一种所述设备为客户机,用于向所述家庭服务器请求所述内容用于使用;其中,在确认了两种设备均在所述同一家庭网络上之后,响应这一确认,所述家庭服务器向所述客户机提供所述内容与/或向所述客户机发布一个所述内容的许可。
12.根据权利要求10所述的设备至设备的认证方法,其特征在于可以把两或两个以上的家庭服务器安装在所述家庭网络上;其中,每一所述家庭服务器向被确认存在于所述同一家庭网络上的所述客户机提供所述内容与/或向被确认存在于所述同一家庭网络上的所述客户机发布一个所述内容的许可。
13.根据权利要求12所述的设备至设备的认证方法,其特征在于所述客户机可以从所述同一家庭网络上的所述两或两个以上的家庭服务器接收所述内容的提供与/或所述内容的许可的发布。
14.根据权利要求12所述的设备至设备的认证方法,其特征在于所述客户机可以使用从所述同一家庭网络上的多个家庭服务器所获取的所述内容,而且当连接到其它家庭网络上的家庭服务器时,所述客户机不能使用从除所述其它家庭网络之外的所述家庭网络上的所述家庭服务器所获取的所述内容。
15.根据权利要求10所述的设备至设备的认证方法,其特征在于在所述局部环境管理步骤中,基于访问-请求源设备的MAC地址与设置为默认网关的路由器的MAC地址的等同或非等同,确认进行访问的所述请求-源设备是否存在于所述同一家庭网络上。
16.根据权利要求10所述的设备至设备的认证方法,其特征在于在所述局部环境管理步骤中,基于每一所述设备是否共享关于所述家庭网络的同一标识信息,确认每一所述设备是否存在于所述同一家庭网络上。
17.根据权利要求16所述的设备至设备的认证方法,其特征在于在所述局部环境管理步骤中,每一所述设备获取作为关于所述家庭网络的标识信息的设置为默认网关的所述路由器的MAC地址;以及基于每一所述设备是否具有所述同一默认网关的MAC地址,确认每一所述设备是否存在于所述同一家庭网络上。
18.根据权利要求16所述的设备至设备的认证方法,其特征在于把一个用于提供网络标识信息的局部环境管理装置安装在所述家庭网络上;以及在所述局部环境管理步骤中,每一个所述设备获取作为关于所述家庭网络的标识信息的所述局部环境管理装置的MAC地址;以及基于每一所述设备是否具有所述同一局部环境管理装置的MAC地址,确认每一所述设备是否存在于所述同一家庭网络上。
19.一种通信装置,用于对可经由路由器连接于外部网络的一个家庭网络进行操作,其特征在于,包括局部环境管理装置,用于确认另一个经由一个所连接的家庭网络对所述通信装置进行访问的设备是否存在于所述同一家庭网络上。
20.根据权利要求19所述的通信装置,其特征在于所述通信装置作为一个用于提供所述网络上的内容的家庭服务器加以操作;以及所述通信装置还包括内容-提供装置,用于仅向被所述局部环境管理装置确认为存在于所述同一家庭网络上的设备提供所述内容与/或发布一个所述内容的许可。
21.根据权利要求19所述的通信装置,其特征在于所述通信装置作为一个用于向所述网络上的一个家庭服务器请求内容用于使用的客户机加以操作;其中,所述通信装置还包括内容-使用装置,用于仅从被所述局部环境管理装置确认为存在于所述同一家庭网络上的一个家庭服务器接收所述内容的提供与/或一个所述内容的许可的发布。
22.根据权利要求21所述的通信装置,其特征在于可以把两或两个以上的家庭服务器安装在所述家庭网络上;其中,所述内容-使用装置仅从被所述局部环境管理装置确认为存在于所述同一家庭网络上的两或两个以上的家庭服务器接收所述内容的提供与/或一个所述内容的许可的发布。
23.根据权利要求21所述的通信装置,其特征在于所述内容-使用装置可以使用从所述同一家庭网络上的多个家庭服务器接收的所述内容,并且在连接到一个家庭服务器或另一个家庭网络时,所述客户机不能使用从除所述其它家庭网络之外的所述家庭网络上的所述家庭服务器所获取的所述内容。
24.根据权利要求19所述的设备至设备的认证方法,其特征在于所述局部环境管理装置基于访问-请求源设备的MAC地址与设置为默认网关的路由器的MAC地址的等同或非等同,确认进行访问的所述请求-源设备是否存在于所述同一家庭网络上。
25.根据权利要求19所述的通信装置,其特征在于所述局部环境管理装置基于每一所述设备是否共享关于所述家庭网络的同一标识信息,确认每一所述设备是否存在于所述同一家庭网络上。
26.根据权利要求25所述的通信装置,其特征在于所述局部环境管理装置备获取作为关于所述家庭网络的标识信息的设置为默认网关的所述路由器的MAC地址;以及基于通信的另一方的设备是否具有所述同一默认网关的MAC地址,确认通信的另一方的所述设备是否存在于所述同一家庭网络上。
27.根据权利要求25所述的通信装置,其特征在于把一个用于提供网络标识信息的局部环境管理装置安装在所述家庭网络上;以及所述局部环境管理装置获取作为关于所述家庭网络的标识信息的所述局部环境管理装置的MAC地址;并且基于通信的另一方的设备是否具有所述同一局部环境管理装置的MAC地址,确认通信的另一方的所述设备是否存在于所述同一家庭网络上。
28.一种按计算机可读格式描述的计算机程序,以执行一个进程,该进程用于对可经由路由器连接于外部网络的一个家庭网络上的设备进行认证,在所述家庭网络上存在用于从所述外部网络合法地获取内容的一个家庭服务器,以及用于请求所述内容用于使用的一个客户机,所述计算机程序的特征在于包括一个确认所述家庭服务器和所述客户机是否存在于所述家庭网络上的局部环境管理步骤;以及
全文摘要
在本发明中,考虑到经由家庭路由器把一个家庭网络连接于外部网络,从同一网络的访问具有一个传输源MAC地址,而经由路由器从外部的访问具有一个写入路由器的MAC地址的传输源。因此,通过把通信伙伴的MAC地址与家庭路由器的MAC地址进行比较,能够自动地检查访问是否为一个从家庭网络的访问。能够在版权法所允许的专用范围内,对通过客户机终端在家庭服务器上有效获得的内容的使用进行管理。
文档编号G06F12/14GK1701567SQ200480000708
公开日2005年11月23日 申请日期2004年3月12日 优先权日2003年5月12日
发明者高林和彦, 中野雄彦, 本田康晃, 五十岚卓也 申请人:索尼株式会社