专利名称:使用配置文件的接入控制的制作方法
技术领域:
本发明通常涉及网络通信,并且尤其涉及一种用于定制宽带接入设备配置文件以便为服务提供商提供安全和/或为终端用户提供服务特征的方法和系统。
背景技术:
在许多宽带接入产品(如电缆数据服务接口规范(DOCSIS)电缆调制解调器)中,通过置入设备中的HTTP服务器可以向终端用户提供有价值的故障测试诊断信息单元。该内置的服务器允许终端用户使用个人计算机浏览包含该诊断信息的网页。然而,购买和/或运用这些产品的服务提供商在它们关于在不损害它们公司内部服务安全标准的情况下到底哪些信息单元可以披露给用户的策略上大为不同。
因此,需要有一种特征,其能够允许服务提供商从它们的位置远程配置家庭内设备,以披露提供服务或保护服务提供商的系统所需的信息单元,而仍然能限制对其他信息的接入。
发明内容
用于分布式网络的安全系统包括可被多个终端用户通过网络选择接入的服务提供商,每个终端用户具有用于接入网络的接入设备。控制机制被包括,其被置于服务提供商的位置上,并且接入和修改在每个终端用户的接入设备上存储的信息,以指定信息的部分来防止终端用户对其进行接入。
考虑现在结合附图详细描述的说明性实施例,本发明的优点、性质和各种其他特征将更加充分地显露出来,其中图1是示出根据本发明的、通过服务提供商连接到网络的网络接入设备的示例性方框/系统图,该服务提供商具有用于限制终端用户对网络接入设备的接入的控制机制;图2是示出根据本发明一个实施例的、用于网络接入设备的信息分类的方框/系统图;以及图3是示出根据本发明的、用于维护网络服务提供商的系统安全的说明性方法的方框/流程图。
应当理解的是,附图是用于说明本发明的构思的目的,而不必是用于说明本发明的唯一可能配置。
具体实施例方式
本发明提供一种用于远程配置宽带接入设备以提供或维护服务提供商的系统安全的方法和系统。本发明还可以提供可配置的诊断工具或其他服务,它们是由服务提供商远程提供和配置的。
在一个实施例中,提供分布式软件控制机制,宽带接入服务提供商(例如,电缆运营商)可以通过该机制指定到底哪些基本的诊断信息(如果有的话)可以提供给接入设备的终端用户。这可以通过将单元包括在宽带接入设备配置文件中来执行,该文件最好在设备启动期间下载。所需的软件可以分布在配置文件(配置指令)和接入设备(固件)之间。
应当理解的是,根据电缆接入系统描述了本发明;然而,本发明要广泛的多,并且可以包括任何由服务提供商维护和提供服务的分布式系统。此外,本发明还可以应用于包括电话网络、机顶盒接入系统、计算机网络、卫星网络、因特网系统等在内的任何系统。根据电缆网络描述了本发明;然而,本发明的构思可以扩展到DSL、无线或使用其他技术的其他网络类型。
还应当理解的是,图中所示的单元可以以硬件、软件或其组合的各种形式实现。最好,这些单元在一个或多个恰当编程的通用设备上以硬件和软件的组合来实现,该通用设备可以包括处理器、存储器和输入/输出接口。
现在详细参照附图,其中在全部几张图中相同的附图标记表示类似或相同的单元,最先参照图1,示出了用于分发话音、数据和/或视频信息的系统架构10。系统架构10存在于采用本发明方法和系统的示例性电缆或因特网环境中。然而,也可以在包括无线或卫星网络、局域网等的多种其他应用中采用该系统。对于本领域技术人员是已知的、构成该系统架构的各个方框组成部分(components)的细节将仅以足以理解本发明的详细程度进行描述。系统方框图10包括几个功能方框。
服务提供商100提供服务给具有接入设备102的终端用户95。接入设备102被用作为网络101(如因特网、电缆网络等)和包括个人计算机110(图2)或其他设备或系统的终端用户的设备之间的接口。当接入设备102最初启动时,从用于配置接入设备102的服务提供商100下载信息。这允许接入设备102建立通过服务提供商100到网络101的通信。
每个接入设备102最好包括用来存储万维网地址和允许接入设备102通过服务提供商100与网络101连接的其他配置信息的配置文件104。根据本发明,服务提供商100包括控制机制90,其允许服务提供商选择哪些存储在接入设备102中(包括从配置文件104得到)的信息单元可以由用户接入。这样,用户就无法接入可能用来损害服务提供商的系统安全的信息单元。
控制机制90最好以软件实现,并且可以包括用于实现根据本发明的功能的一个或多个程序93。控制机制90可以被手动或自动使用来标记特定信息,诸如指定的网页,以防止用户接入。在手动模式中,处在服务提供商位置的人可以从每个用户的配置文件104里面指定或是个人或是一组终端用户的每个终端用户不能接入的文件、网页或其他信息。在自动模式中,控制机制90可以在它们的配置文件104内扫描终端用户将不能够接入的预先指定的文件、网页等。
控制机制90可以包括安全措施91并且在下载序列期间为敏感信息指定安全代码、等级或索引,并且可以不时地接入终端用户的配置文件以确定这些文件没有被非法接入。在一个实施例中,配置文件的部分106可以根据安全风险来指定,使得由终端用户禁止对特别指定的文件的接入。这些指定可以由服务提供商手动或自动设置。有利的是,服务提供商可以从服务提供商的位置使用网络管理协议(例如,简单网络管理协议(SNMP))远程设置或改变这些设置。
服务提供商100可以维护安全系统,即,限制对服务提供商100的接入。此外,存储在服务提供商的系统上的信息可以包括更需要防止终端用户接入的敏感性质的信息。
继续参照图1的同时参照图2,服务提供商100(图1)对可以向终端用户或订户披露哪些信息单元保持控制;从而允许服务提供商维护该信息单元上的安全,该信息单元在被披露给用户时可能会使终端用户损害服务提供商系统的完整。宽带接入设备102由服务提供商100编程。设备102的配置文件104中的程序106可以在从服务提供商下载时被指定,或者之后由服务提供商使用控制机制90来指定或改变。本发明的该特征将文件或其组成部分分成两组,即,仅服务提供商接入文件108和终端用户接入文件109。设备102可以包括服务器112,如HTML服务器,其能够将文件109中包含的信息显示给终端用户。然而,对于由服务提供商100指定以防止终端用户接入的文件108,不提供对其的接入。
例如,终端用户希望通过接入设备102接入因特网。终端用户启动计算机或其他终端设备110,但不能登录到由服务提供商100维护的他/她的账号上。终端用户决定运行配置文件104的诊断检查。从程序106运行诊断特征,但对诊断工具的输出的接入仅限于那些未指定为仅服务提供商接入的信息108。这样,在终端用户仍能够使用设备102执行需要的测试和/或功能的同时,安全地维护了服务提供商的系统。
参照图3,示出了根据本发明一个实施例的、用于维护网络服务提供商的系统安全的方法的方框/流程图。在方框202中,最好在服务提供商的位置提供控制机制,用于远程接入终端用户网络接入设备。控制机制最好被实现为软件程序,用于接入和修改接入设备的信息,并且指定其部分以防止终端用户进行接入。控制机制最初(例如,在最初设备配置时)将信息下载到接入设备,并且为每个组成部分提供安全等级或安全代码,以便根据终端用户所拥有的安全许可(clearance)限制对信息的接入。所存储的信息最好是配置文件。
在方框204中,服务提供商的控制机制或其他装置可以远程接入和修改终端用户网络设备,以根据安全代码或等级指定存储在接入设备上的信息,或者简单地指定信息的部分为对终端用户“禁止接入”(off limits)。最好从服务提供商的位置执行对终端用户设备的远程接入。有利的是,即使在下载信息之后也可以接入终端用户的配置文件中的信息。这使服务提供商具有接入配置文件以重新指定其中存储的、之前未指定或已指定的信息的能力。
不同的终端用户根据用途或许可等级而具有不同的接入等级。在方框206中,一旦指定之后,终端用户就被阻止接入终端用户的接入设备上所指定的信息。
在方框208中,服务提供商为所存储的信息分配安全措施以防止终端用户对其进行接入。服务提供商可以采用安全代码、安全等级、口令或其他安全措施来限制终端用户接入存储在网络接入设备上的信息。安全代码或等级可以在初始化接入设备时或在此之前或在此之后与指定的部分相关联。
已经描述了用于限制对配置文件组成部分的接入的远程接入控制特征的优选实施例(其意为说明性的而非限制性的),要注意的是,本领域技术人员可以按照上述教学进行修改和变型。因此应当理解的是,可以在所附权利要求书限定的本发明的精神和范围内对所公开的本发明特定实施例进行改变。在按照专利法要求详细具体地描述了本发明之后,专利许可证所要求和期望保护的内容在所附权利要求书中阐明。
权利要求
1.一种用于分布式网络的安全系统,包括可被多个终端用户(95)通过网络(101)选择接入的服务提供商(100),每个终端用户(95)具有用于接入网络的接入设备(102);和控制机制(90),其被放置在服务提供商的位置上,并且接入和修改在每个终端用户的接入设备上存储的信息(104),以指定信息的部分来防止终端用户对其进行接入。
2.如权利要求1所述的系统,其中,所存储的信息包括接入设备的配置文件(104)。
3.如权利要求1所述的系统,其中,服务提供商包括指定部分的安全代码(91),用以防止终端用户对其进行接入。
4.如权利要求3所述的系统,其中,安全代码(91)在初始化接入设备时或在此之前与指定部分相关联。
5.如权利要求3所述的系统,其中,安全代码(91)在初始化接入设备之后与指定部分相关联。
6.如权利要求1所述的系统,其中,服务提供商包括信息的安全等级(91),用以防止终端用户对其进行接入。
7.如权利要求6所述的系统,其中,安全等级(91)在初始化接入设备时或在此之前与指定部分相关联。
8.如权利要求6所述的系统,其中,安全等级(91)在初始化接入设备之后与指定部分相关联。
9.如权利要求1所述的系统,其中,控制机制(90)包括软件程序(93),用于接入和修改接入设备的信息,以及指定其部分以防止终端用户接入。
10.一种用于维护网络服务提供商的系统安全的方法,包括步骤提供(202)用于远程接入和修改终端用户网络接入设备的控制机制;远程接入和修改(204)终端用户网络设备以指定存储在接入设备中的信息;和防止(206)终端用户接入终端用户的接入设备上的指定信息。
11.如权利要求10所述的方法,其中,所述提供控制机制(202)的步骤包括提供软件程序(93),其用于接入和修改接入设备的信息,并且指定其部分以防止终端用户接入。
12.如权利要求10所述的方法,其中,所述远程接入和修改(204)终端用户网络设备的步骤包括从服务提供商的位置远程接入终端用户设备。
13.如权利要求10所述的方法,其中,存储在网络接入设备上的信息包括接入设备的配置文件(104)。
14.如权利要求10所述的方法,其中,所述防止(206)终端用户接入指定信息的步骤包括采用指定部分的安全代码(91),以防止终端用户对其进行接入。
15.如权利要求14所述的方法,其中,安全代码(91)在初始化接入设备时或在此之前与指定部分相关联。
16.如权利要求14所述的方法,其中,安全代码(91)在初始化接入设备之后与指定部分相关联。
17.如权利要求10所述的方法,还包括为所存储的信息分配安全(208)以防止终端用户对其进行接入的步骤。
18.如权利要求17所述的方法,其中,安全等级(91)在初始化接入设备时或在此之前与指定部分相关联。
19.如权利要求17所述的方法,其中,安全等级(91)在初始化接入设备之后与指定部分相关联。
20.一种包含软件指令的计算机可读介质,当所述软件指令由网络服务的安全系统中的处理器执行时,执行下述步骤提供(202)用于远程接入和修改终端用户网络接入设备的控制机制;远程接入和修改(204)终端用户网络设备以指定存储在接入设备中的信息;和防止(206)终端用户接入终端用户的接入设备上的指定信息。
全文摘要
一种用于分布式网络的安全系统,包括可被多个终端用户(95)通过网络(101)选择接入的服务提供商(100),每个终端用户(95)具有用于接入网络的接入设备(102)。控制机制(90)被包括,其被置于服务提供商的位置上,并且接入和修改在每个终端用户的接入设备上存储的信息(104),以指定信息的部分来防止终端用户对其进行接入。
文档编号G06F12/14GK1809808SQ200480017563
公开日2006年7月26日 申请日期2004年6月8日 优先权日2003年6月24日
发明者拉里·C·布朗, 马克·R·迈耶尼克, 西蒙·A·拉沃德, 戴维·L·瑞安 申请人:汤姆森特许公司