设置防火墙的方法和设备的制作方法

专利名称：设置防火墙的方法和设备的制作方法
技术领域：
本发明涉及防止从外部网络对内部网络的未授权的访问，并尤其涉及设置防火墙的方法和设备。
背景技术：
传统上，已实行在外部网络(例如因特网)和内部网络(例如LAN(局域网))之间提供防火墙设备，以控制数据通信，以及保护内部网络不受外部攻击或未授权的访问。已知的防火墙设备的一种类型是分组过滤路由器类型。分组过滤路由器类型的防火墙设备在内部网络与外部网络的通信期间，根据某些规则来传送或阻塞分组。然而，这样的防火墙设备是不完美的。存在对建立起安全措施用于保护网络或计算机系统不受物理或逻辑的侵入或破坏行为的日益增长的需要。
另一方面，被称为局部地址(下文中把局部地址简称为“LA”)的用于内部网络的IP地址(网际协议地址)对于外部网络是无效的。因此，通过地址转换技术，把IP地址转换成对外部网络适用的全局地址(下文中把全局地址简称为“GA”)。这种地址转换技术的一个改进版本称为IP伪装(伪装)。根据IP伪装技术，可标识TCP/UDP(一种较高层协议)的通信端口号。基于对LA和GA的对应性的管理，多个LA在单个GA的基础上同时通信变得可能。
在日本专利特许公开号2000-59430中揭示了支持内部网络上的多个终端的网络地址变化方法，使得可用上述方式共享一个GA。该方法旨在允许内部网络上的终端与连接至外部网络的终端进行通信，而不要求端口号的转换。根据该方法，在地址转换设备中提供了指示地址转换规则的内部表。该内部表存储(LP，IA)对与内部网络上的终端的IP地址(LA)之间的对应性，(LP，IA)对的每一对包括用于由内部网络上的终端进行通信的端口号(LP)以及外部网络上的终端的IP地址(IA)。因此，根据这种地址转换设备，基于对上述内部表的设置，就可能限制有权访问各个内部网络终端的外部网络终端。通过在防火墙设备中引入这样的地址转换方法，实现了限制有权访问各个内部网络终端的外部网络终端的安全措施。
另一方面，在各种设备通过网络而互连的情况下，用户可能希望通过操作连接至一个网络的设备来获得连接至另一网络的设备的服务信息(如控制信息或状态信息)，以便根据所获得的服务信息来控制后一设备。然而，就网络安全而言，不希望使网络上所提供的所有服务信息对网络上的每个用户都可用，以及与这些服务信息相关联的设备都可控制。
作为对这一问题的解决方案，日本专利特许公开号11-275074揭示了一种常规网络服务管理方法，在其中把不同服务的信息提供给网络上的不同用户。根据这种网络服务管理方法，当把出现在网络上的信息提供给用户时，确保了根据用户的状态来提供不同的内容。根据该示例性方法，用户被分类成网络管理员、服务管理员或用户。对于图51中所示的给定网络，把图52中所示的整个网络上的信息提供给网络管理员；把图53中所示的服务信息提供给服务管理员；并且仅向用户提供如图54中所示的从服务器至用户的一条通路。
然而，上述的地址转换方法仅用来限制有权访问内部网络上的终端的外部网络上的终端设备。换句话说，不但授权用户，而且使用外部网络上的准许访问的终端设备的任何人(包括意图不良的第3方)都有权访问内部网络上的终端。因此，上述的地址转换方法在安全性方面不太令人满意。而且，在多个用户可能使用外部网络上的同一终端设备的情况下，不同用户仅能访问相同的内部网络终端；而不是不同的用户能够连接到内部网络上的不同终端。此外，在内部网络具有提供相同服务的多个服务器(如FTP服务器)的情况下，一个用户仅能访问一个固定服务器，而不是能够访问这样的服务器中的选定的一个。而且，在把外部网络上的终端设备连接至如电话电路网络的情况下，用于区分外部网络上的终端设备的IA不具有固定的值，而是易于改变；因此，需要每次改变IA时重新组织上述的内部表。然而，这样的重新组织是非常麻烦的，使得用于非固定值IA的地址转换很困难。
因此，本发明的一个目的是提供一种设置防火墙的方法和设备，它可限制有权从外部网络访问内部网络上的各个终端的用户，并允许用户访问内部网络上选定的终端。
另一方面，根据上述的设备控制方法，当把新的组成元素(用户、服务等等)添加到网络时，变得有必要设置允许从新的组成元素提供给网络的项。例如，在家庭网络的情况下，对网络管理并不非常熟悉的用户可能需要在将设备连接至网络时照料这样的设置。如果没有精选允许提供给网络的项，则来自房子的外部的对这样的项的未限制访问可能发生。在网络安全方面，这样的情况是不希望的。
此外，本发明的另一目的是提供一种方法和设备，当把新的组成元素添加到网络时，该方法和设备设置更可取的访问限制，以响应设备的起码连接，从而提供足够的安全性。
发明揭示为了实现上述的目的，本发明具有下述各方面。
本发明的第1方面是针对一种用于阻止对内部网络的未授权的外部访问防火墙设备，所述内部网络具有通过外部网络连接至一外部终端的多个服务器，其中所述多个服务器的每一个都提供一服务，其特征在于包括数据处理部分，用于处理发送自所述外部终端的通信数据，并根据所述通信数据在所述多个服务器中的至少一个与所述外部终端之间设置一通信路径，其中所述通信数据至少包括外部终端的外部地址，以及用于识别外部终端的用户的用户标识数据；以及交换部分，用于基于由所述数据处理部分设置的通信路径而连接至少一个服务器和所述外部终端，其中所述数据处理部分包括多个功能部分；以及通信部分，用于至少接收所述通信数据，并请求所述多个功能部分根据所述数据的内容进行处理，其中所述多个功能部分包括身份验证功能部分，用于验证用户的标识数据；
目录管理功能部分，用于注册服务信息的单元，其中服务信息的每个单元表示所述多个服务器中的每一个的内部地址，以及与预定许可的接受者数据相关联的服务类型，所述预定许可的接受者数据指定有权连接到所述服务器的外部用户，并允许由所述身份验证功能部分给予验证的用户选择所述服务信息的单元之一，该服务信息的许可的接受者数据指定该用户；以及通信路径设置功能部分，用于使用通过所述目录管理功能部分选择的服务信息的单元所表示的服务器的内部地址以及所述外部终端的外部地址，来设置所述通信路径。
从而，根据所述第1方面，有限的外部用户有权从外部访问。在确认用户身份之后，获得了由某一特定外部用户使用的外部终端的外部地址，并且根据所获得的外部地址设置一通信路径。结果，可允许有权外部访问的有限外部用户访问在内部网络上提供的服务。即使改变了由外部用户使用的外部终端，或改变了由外部用户使用的外部终端的外部地址，仍可实现类似的访问。当请求设置一通信路径时，外部用户可选择地访问可访问的服务，并且即使由内部网络上的多个服务器提供相同的服务，外部用户也能访问这样的服务器中的选定的一个。另一方面，有可能在服务至服务的基础上指定有权连接到内部网络上的服务器的外部用户。因此，通过指定有权访问内部网络上提供相同服务的多个服务器的不同的外部用户，可容易地调整每个服务器的安全等级。
根据基于所述第1方面的第2方面，根据至少包括所述内部地址和所述服务类型的服务数据，注册在所述目录管理功能部分中注册的服务信息的每个单元，其中所述服务数据从所述服务器发送。
从而，根据所述第2方面，可根据来自连接至内部网络的一服务器的指令，来注册或改变要许可从外部网络访问的服务。
根据基于所述第2方面的第3方面，所述服务数据进一步包括服务删除数据，指示出由所述服务器提供的服务不可用，以及其中，注册于所述目录管理功能部分中的服务信息的每个单元是可根据所述服务删除数据删除的。
从而，根据所述第3方面，可能从内部网络上的一服务器指示是否许可从外部网络访问该服务器上的各个服务。
根据基于所述第2方面的第4方面，所述服务数据进一步包括许可的接受者改变数据，用于改变许可的接受者数据，以及其中有权按注册于所述目录管理功能部分中的服务信息的每个单元中所指定的那样连接到一服务的外部用户是可根据所述许可的接受者改变数据改变的。
从而，根据所述第4方面，从内部网络，可能改变或指定有权访问服务器上提供的服务的外部用户。
根据基于所述第2方面的第5方面，所述服务数据进一步包括服务器标识信息，用于以固定的方式标识服务器，以及所述目录管理功能部分根据所述服务标识信息，更新对于所述内部地址的服务信息的每个单元。
从而，根据所述第5方面，当改变了内部网络上的服务器的内部地址时，通过识别标识该服务器的固定值，仍可能使该服务器与改变了的内部地址相关联。结果，可自动地处理对为内部地址转换所必需的表的改变。
根据基于所述第1方面的第6方面，根据至少包括所述内部地址和所述服务类型的服务数据，注册在所述目录管理功能部分中注册的服务信息的每个单元，其中所述服务数据由所述目录管理功能部分从所述服务器获得。
从而，根据所述第6方面，可注册或改变要许可从外部网络访问的服务，而无需来自连接至内部网络的服务器的指令。
根据基于所述第1方面的第7方面，所述目录管理功能部分根据至少包括所述内部地址和所述服务类型的服务数据，注册服务信息的每个单元，以及其中如果在所述目录管理功能部分中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则目录管理功能部分对该服务数据自动地生成许可的接受者数据。
从而，根据所述第7方面，即使还未注册许可的接受者数据，如当把新的服务器连接至网络时，仍可动态地生成对应的许可的接受者数据。因此，用户不需要每次设置访问限制。
根据基于所述第7方面的第8方面，所述目录管理功能部分包括预置许可的接受者数据存储装置，用于存储预置许可的接受者数据，如果没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则将要应用所述预置许可的接受者数据，以及其中如果在所述目录管理功能部分中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理功能部分根据所述预置许可的接受者数据对所述服务数据新近生成许可的接受者数据。
从而，根据所述第8方面，如果无对应的许可的接受者数据存在，则可在预定的预置许可的接受者数据上生成较佳的许可的接受者数据。
根据基于所述第7方面的第9方面，如果在所述目录管理功能部分中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理功能部分从当前注册的许可的接受者数据之中选择那些与服务数据中规定的一组条件除了一个或多个条件之外都相匹配的许可的接受者数据，并根据选定的许可的接受者数据对所述服务数据新近生成许可的接受者数据。
从而，根据所述第9方面，如果无对应的许可的接受者数据存在，则可在已注册的许可的接受者数据上生成较佳的许可的接受者数据。
根据基于所述第7方面的第10方面，所述目录管理功能部分包括预置许可的接受者数据存储装置，用于存储预置许可的接受者数据，如果没有注册与所述多个服务器之一的内部地址和所述服务类型相关联的许可的接受者数据，则将要应用所述预置许可的接受者数据，以及其中如果在所述目录管理功能部分中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理功能部分从当前注册的许可的接受者数据之中选择那些与所述服务数据中规定的一组条件除了一个或多个条件之外都相匹配的许可的接受者数据，以及a)如果选定的许可的接受者数据的数量等于或大于预定值，则根据选定的许可的接受者数据对所述服务数据新近生成许可的接受者数据；或
b)如果选定的许可的接受者数据的数量小于预定值，则根据所述预置许可的接受者数据对所述服务数据新近生成许可的接受者数据。
从而根据所述第10方面，如果无对应的许可的接受者数据存在，则进行下面任一操作。如果预定数量的或更多的许可的接受者数据可用于推断有关的许可的接受者数据，那么则根据从所述预定数量或更多的许可的接受者数据中的推断来生成所述有关的许可的接受者数据。如果预定数量的或更多的许可的接受者数据不存在，那么则根据预置许可的接受者数据来生成有关的许可的接受者数据。结果，有可能排除通过依赖不足数量的许可的接受者数据来推断有关的许可的接受者数据而进行任何不希望的设置的危险。
根据基于所述第1方面的第11方面，当预定的时间期到期时，删除注册于所述目录管理功能部分中的服务信息的每个单元。
从而，根据所述第11方面，对可被许可从外部网络访问的每个服务定义了有效期。由于仅当服务有效时才临时地设置一通信路径，并且由于该通信路径对每个服务是专用的，可提供进一步增强的安全性。
根据基于所述第1方面的第12方面，所述通信路径设置功能部分监控通过已设置的所述通信路径而传送的数据，以及如果在预定的时间期内没有通过所述通信路径传送数据，则关闭该通信路径。
从而，根据所述第12方面，即使在对可许可从外部网络访问的服务设置一通信路径之后，如果在对于该服务而预先设置的时间期中外部用户没有使用该通信路径，则仍关闭该通信路径。从而，可提供进一步增强的安全性。
根据基于所述第1方面的第13方面，所述通信路径设置功能部分一当接收到从所述外部终端传送的服务通信终止数据，就关闭所述通信路径，其中所述服务通信终止数据指示出与服务器的服务通信的终止。
根据基于所述第1方面的第14方面，所述通信路径设置功能部分一当接收到从所述服务器传送的服务通信终止数据，就关闭所述通信路径，其中所述服务通信终止数据指示出与所述外部终端的服务通信的终止。
从而，根据所述第13和第14方面，一当接收到来自外部终端或服务器的服务通信终止数据，则可关闭通信路径。因此，可阻止超出服务可被许可访问的时间期的外部访问。
本发明的第15方面是针对一种用于阻止对内部网络的未授权的外部访问的防火墙设备，所述内部网络具有通过外部网络连接至多个外部终端的多个服务器，其中所述多个服务器的每一个都提供一服务，其特征在于包括数据处理部分，用于处理包含发送自所述多个服务器中的至少一个的服务数据的通信数据，并根据该通信数据在所述服务器与所述多个外部终端的至少一个之间设置一通信路径，其中所述服务数据至少包括所述服务器的内部地址和服务类型；以及交换部分，用于基于由所述数据处理部分设置的通信路径而连接所述服务器和所述外部终端，其中所述数据处理部分包括多个功能部分；以及通信部分，用于至少接收所述服务数据，并请求所述多个功能部分根据所述数据的内容进行处理，其中所述多个功能部分包括目录管理功能部分，用于注册服务信息的单元，其中服务信息的每个单元表示与预定许可的接受者数据相关联的内部地址和服务类型，所述预定许可的接受者数据指定有权连接到所述服务器的所述外部终端中的至少一个；以及通信路径设置功能部分，用于当注册了所述服务信息时，使用由所述许可的接受者数据和所述服务器的内部地址指定的所述多个外部终端中的至少一个的外部地址，来设置所述通信路径。
从而，根据所述第15方面，当根据来自服务器的指令在所述目录管理功能部分中注册服务信息时，即使没有来自外部终端的通信数据，也可对指定的许可的接受者设置通信路径。
根据基于所述第15方面的第16方面，所述注册于所述目录管理功能部分中的所述许可的接受者数据指定所述多个外部终端全部有权连接到所述服务器。
从而，根据所述第16方面，可许可外部终端无限制地访问内部网络上的服务器提供的服务。
本发明的第17方面是针对一种用于阻止对内部网络的未授权的外部访问防火墙设置方法，所述内部网络具有通过外部网络连接至一外部终端的多个服务器，其中所述多个服务器的每一个都提供一服务，其特征在于包括数据处理步骤，用于处理发送自所述外部终端的通信数据，并根据所述通信数据在所述多个服务器中的至少一个与所述外部终端之间设置一通信路径，其中所述通信数据至少包括外部终端的外部地址，以及用于识别外部终端的用户的用户标识数据；以及连接步骤，用于基于由所述数据处理步骤设置的通信路径而连接至少一个服务器和所述外部终端，其中所述数据处理步骤包括通信步骤，用于至少接收所述通信数据，并请求多个步骤根据所述数据的内容进行处理，其中所述多个步骤包括身份验证功能步骤，用于验证用户的标识数据；目录管理功能步骤，用于注册服务信息的单元，其中服务信息的每个单元表示所述多个服务器中的一个的内部地址，以及与预定许可的接受者数据相关联的服务类型，所述预定许可的接受者数据指定有权连接到所述服务器的外部用户，并允许由所述身份验证功能步骤给予验证的用户选择所述服务信息的单元之一，该服务信息的许可的接受者数据指定该用户；以及通信路径设置步骤，用于使用通过所述目录管理步骤选择的服务信息的单元所表示的服务器的内部地址以及所述外部终端的外部地址，来设置所述通信路径。
根据基于所述第17方面的第18方面，根据至少包括所述内部地址和所述服务类型的服务数据，注册在所述目录管理步骤中注册的服务信息的每个单元，其中所述服务数据从所述服务器发送。
根据基于所述第18方面的第19方面，所述服务数据进一步包括服务删除数据，指示出由所述服务器提供的服务不可用，以及其中，在所述目录管理步骤中注册的服务信息的每个单元是可根据所述服务删除数据删除的。
根据基于所述第18方面的第20方面，所述服务数据进一步包括许可的接受者改变数据，用于改变许可的接受者数据，以及其中，有权按在所述目录管理步骤中注册的服务信息的每个单元中所指定的那样连接到一服务的外部用户是可根据所述许可的接受者改变数据改变的。
根据基于所述第18方面的第21方面，所述服务数据进一步包括服务器标识信息，用于以固定的方式标识服务器，以及所述目录管理步骤根据所述服务标识信息，更新对于所述内部地址的服务信息的每个单元。
根据基于所述第17方面的第22方面，根据至少包括所述内部地址和所述服务类型的服务数据，注册在所述目录管理步骤中注册的服务信息的每个单元，其中所述服务数据由所述目录管理步骤从所述服务器获得。
根据基于所述第17方面的第23方面，所述目录管理步骤根据至少包括所述内部地址和所述服务类型的服务数据，注册服务信息的每个单元，以及其中如果在所述目录管理步骤中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则目录管理步骤对该服务数据自动地生成许可的接受者数据。
根据基于所述第23方面的第24方面，所述目录管理步骤包括预置许可的接受者数据存储步骤，用于存储预置许可的接受者数据，如果没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则将要应用所述预置许可的接受者数据，以及其中如果在所述目录管理步骤中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理步骤根据所述预置许可的接受者数据对所述服务数据新近生成许可的接受者数据。
根据基于所述第23方面的第25方面，如果在所述目录管理步骤中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理步骤从当前注册的许可的接受者数据之中选择那些与服务数据中规定的一组条件除了一个或多个条件之外都相匹配的许可的接受者数据，并根据选定的许可的接受者数据对所述服务数据新近生成许可的接受者数据。
根据基于所述第23方面的第26方面，所述目录管理步骤包括预置许可的接受者数据存储步骤，用于存储预置许可的接受者数据，如果没有注册与所述多个服务器之一的内部地址和所述服务类型相关联的许可的接受者数据，则将要应用所述预置许可的接受者数据，以及其中如果在所述目录管理步骤中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理步骤从当前注册的许可的接受者数据之中选择那些与所述服务数据中规定的一组条件除了一个或多个条件之外都相匹配的许可的接受者数据，以及a)如果选定的许可的接受者数据的数量等于或大于预定值，则根据选定的许可的接受者数据对所述服务数据新近生成许可的接受者数据；或b)如果选定的许可的接受者数据的数量小于预定值，则根据所述预置许可的接受者数据对所述服务数据新近生成许可的接受者数据。
根据基于所述第17方面的第27方面，当预定的时间期到期时，删除在所述目录管理步骤中注册的服务信息的每个单元。
根据基于所述第17方面的第28方面，所述通信路径设置步骤监控通过已设置的所述通信路径而传送的数据，以及如果在预定的时间期内没有通过所述通信路径传送数据，则关闭该通信路径。
根据基于所述第17方面的第29方面，所述通信路径设置步骤一当接收到从所述外部终端传送的服务通信终止数据，就关闭所述通信路径，其中所述服务通信终止数据指示出与服务器的服务通信的终止。
根据基于所述第17方面的第30方面，所述通信路径设置步骤一当接收到从所述服务器传送的服务通信终止数据，就关闭所述通信路径，其中所述服务通信终止数据指示出与所述外部终端的服务通信的终止。
本发明的第31方面是针对一种用于阻止对内部网络的未授权的外部访问的防火墙设置方法，所述内部网络具有通过外部网络连接至多个外部终端的多个服务器，其中所述多个服务器的每一个都提供一服务，其特征在于包括
数据处理步骤，用于处理包含发送自所述多个服务器中的至少一个的服务数据的通信数据，并根据该通信数据在所述服务器与所述多个外部终端中的至少一个之间设置一通信路径，其中所述服务数据至少包括所述服务器的内部地址和服务类型；以及连接步骤，用于基于由所述数据处理步骤设置的通信路径而连接所述服务器和所述外部终端，其中所述数据处理步骤包括通信步骤，用于至少接收所述服务数据，并请求多个步骤根据所述数据的内容进行处理，其中所述多个步骤包括目录管理步骤，用于注册服务信息的单元，其中服务信息的每个单元表示与预定许可的接受者数据相关联的内部地址和服务类型，所述预定许可的接受者数据指定有权连接到所述服务器的所述外部终端中的至少一个；以及通信路径设置步骤，用于当注册了所述服务信息时，使用由所述许可的接受者数据和所述服务器的内部地址指定的所述多个外部终端中的至少一个的外部地址，来设置所述通信路径。
根据基于所述第31方面的第32方面，在所述目录管理步骤中注册的所述许可的接受者数据指定所述多个外部终端全部有权连接到所述服务器。
附图简述

图1是说明根据本发明的第1实施例的防火墙设备的基本结构的示图。
图2是说明根据本发明的第1实施例的防火墙设备的内部硬件的基本结构的框图。
图3是说明根据本发明的第1实施例的防火墙设备的基本软件结构的框图。
图4是说明根据本发明的第1实施例的防火墙设备中执行的通信路径设置过程的操作的流程图。
图5是示出在图4中示为步骤S104的子程序的流程图。
图6是说明由根据本发明的第1实施例的防火墙设备执行的操作的流程图，在其中对要求身份验证的服务在外部设置通信路径。
图7是说明由根据本发明的第1实施例的防火墙设备执行的服务有效期管理的操作的流程图。
图8示出了可存储于根据本发明的第1实施例的防火墙设备的目录管理功能部分33中的服务信息的例子。
图9示出了可在根据本发明的第1实施例的防火墙设备的目录管理功能部分33中预先设置的示例性基本服务许可策略。
图10示出了可在根据本发明的第1实施例的防火墙设备的目录管理功能部分33中设置的示例性详细服务许可策略。
图11说明了关于根据本发明的第1实施例的防火墙设备的IP过滤功能部分23中设置的分组过滤器的用于允许从内部网络至外部网络的通信的信息。
图12示出了根据本发明的第1实施例的防火墙设备的(a)用于FTP服务的通信顺序，(b)由目录管理功能部分33在地址转换功能部分25中设置的地址转换表，以及(c)在IP过滤功能部分23中设置的分组过滤器。
图13是说明根据本发明的第1实施例的防火墙设备中执行的通信路径设置过程的一部分的操作的流程图。
图14是说明根据本发明的第1实施例的防火墙设备中执行的通信路径设置过程的一部分的操作的流程图。
图15示出了可存储于根据本发明的第1实施例的防火墙设备的目录管理功能部分33中的服务信息的例子。
图16示出了可在根据本发明的第1实施例的防火墙设备的目录管理功能部分33中设置的示例性详细服务许可策略。
图17说明了根据本发明的第2实施例的通信设备100的结构，以及与之连接的网络和设备。
图18示出了可存储于通信设备100的网络信息存储部分123中的元素信息的例子。
图19示出了在把受控设备151新近连接到IEEE1394总线170的情况中，通信设备100的操作顺序。
图20示出了由控制终端141从通信设备100获得的控制菜单的示例性显示图像。
图21示出了可存储于通信设备100的限制条目管理部分130中的限制条目的例子。
图22示出了可存储于通信设备100的限制条目管理部分130中的限制条目的其它例子。
图23说明了在从控制终端141请求控制菜单的情况下，通信设备100的操作顺序。
图24示出了可在通信设备100的预置限制条目存储部分132中注册的示例性预置限制条目。
图25是说明通信设备100的限制条目生成部分131的操作的流程图。
图26示出了由控制终端141从通信设备100获得的控制菜单的示例性显示图像。
图27说明了根据本发明的第3实施例的通信设备1000的结构，以及与之连接的网络和设备。
图28说明了在把受控设备151新近连接到IEEE1394总线170的情况中，通信设备1000的操作顺序。
图29示出了可存储于通信设备1000的网络信息存储部分123中的信息的例子。
图30说明了在从控制终端141请求控制菜单的情况下，通信设备1000的操作顺序。
图31示出了可存储于通信设备1000的个别限制条目存储部分133中的限制条目的例子。
图32是说明通信设备1000的限制条目生成部分131的操作的流程图。
图33示出了由控制终端141从通信设备1000获得的控制菜单的示例性显示图像。
图34示出了由控制终端141从通信设备1000获得的控制菜单的示例性显示图像。
图35说明了根据本发明的第4实施例的通信设备1800的结构，以及与之连接的网络和设备。
图36说明了在把受控设备151新近连接到IEEE1394总线170的情况中，通信设备1800的操作顺序。
图37示出了可存储于通信设备1800的网络信息存储部分123中的信息的例子。
图38说明了在从控制终端电话141请求控制菜单的情况下，尤其在匹配限制条目的数量小于3的情况下，通信设备1800的操作顺序。
图39示出了可存储于通信设备1800的个别限制条目存储部分133中的限制条目的例子。
图40示出了可存储于通信设备1800的预置限制条目存储部分132中的预置限制条目的例子。
图41说明了在从控制终端电话141请求控制菜单的情况下，尤其在匹配限制条目的数量等于或大于3的情况下，通信设备1800的操作顺序。
图42是说明通信设备1800的限制条目生成部分1831的操作的流程图。
图43示出了由控制终端141从通信设备1800获得的控制菜单的示例性显示图像。
图44说明了根据本发明的第5实施例的通信设备2700的结构，以及与之连接的网络和设备。
图45说明了在获取服务信息的情况下，通信设备2700的操作顺序。
图46示出了可存储于通信设备2700的网络信息存储部分123中的信息的例子。
图47说明了在从控制终端141请求控制菜单的情况下通信设备2700的操作顺序。
图48示出了可存储于通信设备2700的个别限制条目存储部分133中的个别限制条目的例子。
图49示出了可存储于通信设备2700的预置限制条目存储部分132中的预置限制条目的例子。
图50是说明通信设备2700的限制条目生成部分131的操作的流程图。
图51示出了根据常规网络服务管理系统的网络的总体配置。
图52示出了在常规网络服务管理系统下提供给网络管理员的网络信息。
图53示出了在常规网络服务管理系统下提供给服务管理员的网络信息。
图54示出了在常规网络服务管理系统下提供给用户终端的用户的网络信息。
实施本发明的最佳模式下文中，将参考附图描述本发明的各种实施例。
(第1实施例)图1是说明根据本发明的第1实施例的防火墙设备的基本结构的示图。下文中，将参考图1描述本实施例。
如图1所示，根据本实施例，通过总线连接把多个服务器2-1至2-n连接至家庭网关设备(下文中简称为“HGW”)1，从而建立了作为内部网络的LAN。作为外部网络，通过因特网把多个终端3连接至HGW1。还可以把除了服务器2-1至2-n之外的任何内部终端连接至内部网络，并且还可以把除了外部终端3之外的任何外部服务器连接至外部网络。
HGW1具有指定给它的全局IP地址(GA)，该地址用于与外部网络的传送/接收目的。而且，HGW1通过使用多个端口号(GP)来进行分组的传送/接收。服务器2-1至2-n的每一个分别具有唯一指定的局部IP地址(LA)1至n。而且，服务器2-1至2-n的每一个具有分别对应于该服务器提供的不同服务的端口号1至n，用于接收来自客户终端的通信。每个外部终端3具有指定给它的用于与外部网络传送/接收的目的的全局IP地址(IA)和用于这样的传送/接收的一端口号(IP)。
接着，将描述上面的HGW1的内部硬件的基本结构。图2是说明根据本实施例的HGW1的内部硬件的基本结构的框图。下文中，将参考图2描述HGW1。
如图2所示，HGW1包括CPU10、存储器11以及IP交换部分20。IP交换部分20包括控制器21、存储器22、IP过滤功能部分23、转发功能部分24、地址转换功能部分25以及PHY/MAC(物理层协议/媒体访问控制)功能部分26a和26b。CPU10控制各个功能部分并对发送的和接收的数据进行处理。存储器11为HGW1存储操作程序、数据等等。控制器21接收来自CPU10的设置信息，并根据该设置信息设置IP过滤功能部分23、转发功能部分24以及地址转换功能部分25。PHY/MAC功能部分26进行去往或来自外部网络或内部网络的数据传送/接收。控制器21指示IP过滤功能部分23、转发功能部分24以及地址转换功能部分25处理由PHY/MAC功能部分26所接收的数据。存储器22临时地存储已由PHY/MAC功能部分26接收的分组数据。具有用于存储过滤条件的内部寄存器的IP过滤功能部分23，根据存储于所述寄存器中的过滤条件检查存储于存储器22中的分组数据。如果给定的分组数据不能满足过滤条件，IP过滤功能部分23则破坏该分组数据。具有用于存储转发信息的内部寄存器的转发功能部分24，根据存储于所述寄存器中的信息确定哪个PHY/MAC功能部分26传送存储于存储器22中的给定分组数据，从而控制该分组数据的传送。具有用于存储地址转换信息的内部寄存器的地址转换功能部分25，根据存储于所述寄存器中的地址转换信息对存储于存储器22中的分组数据进行IP地址转换。
接着，将说明上述HGW1的基本软件结构。图3是说明根据本实施例的HGW1的基本软件结构的框图。下文中，将参考图3描述HGW1。
如图3所示，HGW1包括通信部分31、身份验证功能部分32、目录管理功能部分33以及通信路径设置功能部分34。通信部分31接收从外部终端3或服务器2传送至HGW1的数据，并根据该数据的内容，请求适当的功能部分处理该数据。身份验证功能部分32管理身份验证信息，并验证上述数据是否来自授权用户。响应于来自服务器2的服务注册，目录管理功能部分33注册并管理服务信息(后面将要描述它的详细内容)，检查服务信息和服务许可策略(后面将要描述它的详细内容)之间的匹配，并在必要时请求通信路径设置功能部分34设置通信路径。通信路径设置功能部分34设置IP管理功能部分23、转发功能部分24、地址转换功能部分25、应用GW(网关)等等，并设置一通信路径。通信路径设置功能部分34监控沿通信路径的数据通信的状态，并关闭已设置的任何不必要的通信路径。
一旦本防火墙设备在HGW1的交换部分20中设置了通信路径，外部网络上的外部终端3以及内部网络上的服务器2就变得能够彼此连接，使得允许从外部网络访问服务器2上的服务。在内部网络上的服务器2上提供的以及可允许访问的服务以服务信息(后面将描述它的详细内容)的形式管理，并且通信路径根据该服务信息设置。根据本防火墙设备，可以或者把“无身份验证”服务(它不要求对外部用户的身份验证)、“身份验证后许可”服务(它要求对外部用户的身份验证)，或者把“不许可”服务(不允许来自任何外部网络的访问)设置成一许可模式。就上面定义的“无身份验证”服务来说，一在服务信息中注册服务，就设置通信路径，使得任何用户变得有权从外部网络访问。就上面定义的“身份验证后许可”服务来说，当授权用户希望访问该服务时，临时地设置一通信路径，使得该授权的用户有权访问。可许可访问的上述服务的每一个具有有效期，并且在有效期结束之后，从服务信息中删除它。下文中，将描述上述通信路径设置过程中的每一个。
首先，将描述HGW1中进行的对于“无身份验证”服务的服务信息设置过程和通信路径设置过程。图4和图5是说明HGW1中进行的通信路径设置过程的操作的流程图。图8至图10示出了在HGW1进行的通信路径设置过程期间产生和使用的信息表。下文中，将参考图4、5和8至10，描述通信路径设置过程。
参考图4，HGW1接收来自服务器2的用于在目录管理功能部分33中注册遵守SMTP(简单邮件传输协议)、FTP(文件传输协议)、或HTTP(超文本传输协议)等的服务的服务注册(步骤S101)。
虽然本例子说明了服务器2对HGW1的服务注册的情况，但是本发明不限于此；作为备择，HGW1可从服务器2获得服务信息。在该情况下，目录管理功能部分33执行图13中所示的过程，而不是图4中的步骤S101。具体来说，目录管理功能部分33首先扫描连接到内部网络的服务器2上的端口，来搜索正被服务器2使用的任何端口(S201)。如果正被服务器使用的端口是在服务说明下预定的一个端口(即所谓的“知名端口”)，则该服务器肯定正在提供对应于该端口的服务(S202)。如果正被服务器使用的端口不是知名端口，则通过确认对端口扫描的应答消息，能检测由服务器正在提供的服务。使HGW1知道已连接一新的服务器的方法的例子包括，对按照DHCP(动态主机配置协议)的新的IP地址的分配的检测以及通过监控ARP(地址解析协议)分组的MAC地址的检测。在使用设计成能够检测新设备的连接的网络的情况中，如在基于1394的IP(IPover1394)的情况中，HGW1通过利用网络机制检测新设备的连接，并获得来自该服务器的服务信息。
接着，对于遵从所接收的服务注册的服务，HGW1访问存储于目录管理功能部分33中的服务信息，以确定是否已在服务信息中注册了由服务的服务类型和服务器标识信息组成的对(步骤S102)。
图8示出了可存储于目录管理功能部分33中的服务信息的例子。服务信息是指示出可允许从外部网络访问内部网络上的服务器2上的哪个服务的信息，并管理其中的用于在交换部分20中设置通信路径的信息。服务信息以将服务名称、服务地址、协议、外部许可端口号(GP)、当前的许可接受者、服务有效期以及状态彼此相关联的表的形式存储于目录管理功能部分33中。“服务名称”表示允许从外部网络访问的服务类型。“服务地址”表示服务器2的服务器标识信息、LA以及LP。如这里所使用的，“服务标识信息”意指用以标识各个服务器2的固定值，如服务器设备的MAC地址或序列号。“当前的许可接受者”表示在HGW1的交换部分20中设置了对其的通信路径的许可的接受者。在允许有权从外部访问的有限用户或终端访问的服务的情况中，指示这样的用户的用户名称以及外部终端3的IA和IP作为当前的许可接受者。“服务有效期”表示先前为各个服务类型设置的各个服务类型的许可有效期的剩余。“状态”表示给定的服务当前是否可用。请注意，当在服务信息中注册了服务时，将按新的服务处理具有与现存服务相同的服务类型但不同服务器标识信息的任何服务，而不是把它们认为是早已注册的。换句话说，以服务器至服务器为基础，在服务信息中注册每个服务器2所支持的服务。
如果步骤S102确定了还未在服务信息中注册由遵从上述服务注册的服务的服务类型和服务器标识信息组成的对，则H6W1根据先前在目录管理功能部分33中设置的基本服务许可策略，设置详细的服务许可策略(步骤S109)。
图9示出了可能先前在目录管理功能部分33中设置的示例性基本服务许可策略。图10示出了可能先前在目录管理功能部分33中设置的示例性详细服务许可策略。基本服务许可策略包括许可的接受者、许可条件、许可的端口，它们先前被设置于目录管理功能部分33中，作为有权从外部访问各个服务类型的条件。在针对有限的有权从外部访问的用户的许可的情况下，设置一个或多个用户名称作为许可的接受者；或在针对有限的有权连接的外部终端3的许可的情况下，设置一个或多个终端的IA作为许可的接受者。如果许可条件是“无身份验证”并且许可的接受者是“对全部许可的”，则意味着对于任何外部用户该服务都是可访问的，并且因此一当在服务信息中注册了服务，就在交换部分20中设置通信路径。如果许可条件是“无身份验证”并且许可的接受者是外部终端3的IA，则一旦在服务信息中注册了服务，就在交换部分20中设置通信路径。另一方面，如果许可条件是“身份验证后许可”，则当按许可的接受用户注册的用户希望访问该服务时，就在交换部分20中临时地设置通信路径。在步骤S109处，根据上述基本许可策略，对于每台服务器2，把上述连接条件设置为对每个服务类型的详细服务许可策略。因此，由于对每台服务器2把上述连接条件设置为详细服务许可策略，服务器2的管理员能按情况改变连接条件。在没有必要改变连接条件的情况中，把上述基本服务许可策略中规定的连接条件应用为详细服务许可策略。在基本服务许可策略中没有发现有关服务类型的情况下，则把许可的接受者设置成“非许可”。
接着，HGW1把遵从服务注册的服务作为一条目添加到服务信息中，并设置在所述服务信息中所指示的服务的内容(步骤S110)。然后HGW1访问详细服务许可策略来确定所感兴趣的服务的许可条件是否是“无身份验证”的(步骤S111)。如果许可条件不是“无身份验证”的，则HGW1终止流程。如果许可条件是“无身份验证”的，那么HGW1确定详细服务许可策略中许可的端口是否是“未指定的”(步骤S112)。如果许可的端口是“未指定的”，则HGW1设置空闲端口号(GP)(步骤S113)，然后进行到步骤S116。另一方面，如果许可的端口是指定的，则HGW 1确定指定的端口(GP)是否是可用的(步骤S114)。如果指定的GP是可用的，则HGW1获得该GP(步骤S115)，并进行到步骤S116。接着，HGW1访问服务信息，来确定服务的状态是否是“可用的”(步骤S116)。如果状态是“不可用”，则流程结束。如果状态是“可用”并且许可的接受者是“对全部许可的”，则HGW1获得关于所感兴趣的服务的内部地址信息(LA和LP)以及对于外部许可的地址信息(HGW1的GA和上述的GP)，并设置IP过滤功能部分23和地址转换功能部分25，从而在交换部分20中设置一条通信路径(步骤S117)；此后，流程结束。如果步骤S117确定状态是“可用”，并且许可的接受者是外部终端3的IA，则HGW1获得关于所感兴趣的服务的内部地址信息(LA和LP)、对于外部许可的地址信息(HGW1的GA和上述GP)以及外部终端3的地址信息(外部终端3的IA和IP)，并设置IP过滤功能部分23以及地址转换功能部分25，从而在交换部分20中设置一条通信路径。
另一方面，如果在步骤S114确定指定的GP是不可用的，则HGW1访问服务信息，并把所感兴趣的服务的状态设置为“不可用”(步骤S118)，并结束流程。这意味着，不能使用指定的端口号GP未设置地址转换功能部分25。例如，如果给定的外部终端3通过使用相同的端口号向内部网络上的多个服务器2作出对FTP服务的通信请求，那么地址转换功能部分25不能设置地址转换条件，因而把指定的GP确定为不可用。
另一方面，如果在步骤S102确定已在服务信息中注册了由所感兴趣的服务的服务类型和服务器标识信息组成的对，则HGW1访问服务信息，来重设所感兴趣的服务的服务有效期(S103)。可通过初始化到先前对每个服务类型确定的许可有效期来进行服务有效期的重设，或可设置新的许可有效期。接着，如果服务的状态应改变，则执行状态改变过程(步骤S104)。后面将描述步骤S104的详细内容。接着，HGW1访问服务信息，来确定是否已改变了服务的LA和LP(步骤S105)。如果没有作出改变，则HGW1结束流程。如果在步骤S105处确定已改变了服务的LA或LP，则对于该服务，HGW1更新服务信息中指示出的服务地址的LA或LP(步骤S106)。此后，HGW1确定是否在所感兴趣的服务的服务信息中指定了当前的许可接受者(步骤S107)。如果指定了当前的许可接受者，则HGW1删除在交换部分20中设置的通信路径(步骤S108)，并进行到上述步骤S116。另一方面，如果在步骤S107确定没有指定当前的许可接受者，则HGW1结束流程。
接着，将描述上述步骤S104的详细操作。图5示出如图4中的步骤S104所示的子程序。参考图5，HGW1访问服务信息，来确定上述服务注册结果是否导致状态变化(步骤S201)。如果服务注册没有导致状态变化，则HGW1结束流程。另一方面，如果状态响应于服务注册而从“可用”变化到“不可用”，或从“不可用”变化到“可用”，那么HGW1确定状态变化是否是从“不可用”到“可用”(步骤S202)。如果确定服务注册引起状态从“不可用”变化到“可用”，则HGW1把服务信息中指出的服务状态更新为“不可用”(步骤S203)。此后，对于该服务，HGW1确定详细服务许可策略中规定的许可条件是否是“无身份验证”的(步骤S204)，以及许可的接受者是否是指定的(步骤S205)。如果许可条件是“无身份验证”的并且许可的接受者是指定的，则HGW1在服务信息中把上述指定的许可接受者设置为当前的许可接受者(步骤S206)。此后，对于所感兴趣的服务，HGW1确定详细服务许可策略中规定的许可的端口是否是“未指定的”(步骤S207)。如果许可的端口是“未指定的”，则HGW 1获得空闲端口号(GP)(步骤S208)，并然后进行到步骤S211。如果许可的端口是“指定的”，则HGW1确定该指定的端口(GP)是否是可用的(步骤S209)。如果该指定的GP是可用的，则HGW1获得该GP(步骤S210)。此后，如果正把外部终端3的IA指定为许可的接受者，则HGW1获得关于所感兴趣的服务的许可的接受者的地址信息(外部终端3的IA和IP)、内部地址信息(LA和LP)、以及用于外部许可的地址信息(HGW1的GA和上述的GP)；并且HGW1设置IP过滤功能部分23和地址转换功能部分25，从而在交换部分20中设置一条通信路径(步骤S211)，并结束流程。如果许可的接受者是指定为“对全部许可的”，则HGW1获得关于该服务的内部地址信息(LA和LP)以及用于于外部许可的地址信息(HGW1的GA和上述的GP)，并设置IP过滤功能部分23和地址转换功能部分25，从而在交换部分20中设置一条通信路径。从而，在把服务状态从“不可用”改变到“可用”的情况下，在交换部分20中设置了通信路径。另一方面，如果在步骤S209确定指定的GP是不可用的，则HGW 1访问服务信息，并把服务状态设置为“不可用”(步骤S212)，并结束流程。
另一方面，如果在步骤S202确定服务注册引起状态从可用变化到不可用，则HGW1访问服务信息，并将所感兴趣的服务设置为“不可用”(步骤S213)。此后，对于所感兴趣的服务，HGW1删除交换部分20中设置的通信路径(步骤S214)以及服务信息中指示的当前的许可接受者(步骤S215)，并结束流程。从而，在把服务状态从“可用”改变到“不可用”的情况下，消除了交换部分20中的通信路径。
接着，将描述一操作，在其中对一服务外部地设置交换部分20中的通信路径，这样使详细服务许可策略中规定的许可条件是“身份验证后许可”(下文中将把这样的服务称为“要求身份验证的服务”)。图6是说明HGW1允许对要求身份验证的服务外部地设置通信路径的操作的流程图。
参考图6，HGW1经HGW1的指定的GP(它一般可以是端口80)接收来自外部终端3的通信路径设置请求(步骤S301)。然后，HGW1对已发送通信路径设置请求的外部终端3请求用户身份验证(步骤S302)。典型地可通过请求要输入的用户名称和口令来进行用户身份验证。然后，HGW1接收对来自外部终端3的用户身份验证请求的结果输入，并在身份验证注册部分32中确定所述结果输入是否与先前存储于身份验证注册部分32中的用户注册相匹配(步骤S303)。如果所述结果输入与用户注册不相匹配，则HGW1结束流程。如果所述结果输入与用户注册相匹配，则HGW1向外部终端3传送一个要求身份验证的服务的列表，对于该列服务在详细服务许可策略中把用户授权为许可的接受者，以及对于该列服务服务信息中指示出的状态是“可用的”(步骤S304)。接着，HGW1接收由用户从所述列表内选择的要求身份验证的服务以及提供要求身份验证的服务的服务器(步骤S305)。
此后，对于要求身份验证的服务，HGW1确定服务信息中指示出的状态是否可用(步骤S306)，以与步骤S303类似的方式重新确认用户身份验证(步骤S307)，并重新确认在详细服务许可策略中是否把该用户授权为许可的接受者(步骤S308)。例如，这充当用户在上述列表中不作选择的情况中的安全措施。步骤S307处的用户口令确认可基于与步骤S303中使用的无关的专门指定给要求身份验证的服务的口令。如果步骤S306至S308的任一判定产生否定结果，则HGW1结束流程。
如果步骤S308确定上述用户被授权为许可的接受者，则对于要求身份验证的服务，HGW1确定详细服务许可策略中规定的许可的端口是否是“未指定的”(步骤S309)。如果许可的端口号是“未指定的”，则HGW1获得空闲端口号(GP)(步骤S310)，然后进行到步骤S313。另一方面，如果许可的端口号是指定的，则HGW1确定指定的端口(GP)是否可用(步骤S311)。如果指定的端口GP是可用的，则HGW1获得该GP(步骤S312)，并且随后获得关于要求身份验证的服务的内部地址信息(LA和LP)、用于外部许可的地址信息(HGW1的GA和上述的GP)，以及外部终端3的地址信息(外部终端3的IA和IP)，并设置IP过滤功能部分23和地址转换功能部分25，从而在交换部分20中临时地设置一条通信路径(步骤S313)。然后，HGW添加上述的用户名称和许可的接受者的地址信息(外部终端3的IA和IP)，作为该服务信息的当前的许可接受者(S315)。可通过获得通信路径设置请求数据的传送源的IP地址来获得或可由上述用户新指定外部终端3的地址信息。
从而，仅可由授权用户访问“身份验证后许可”的服务。在用户身份验证后，根据用户当前使用的外部终端3的地址信息，在交换部分20中设置通信路径。此后，HGW1向外部终端3通知要用于与对之设置了通信路径的服务器2通信的端口号(步骤S314)，并结束流程。另一方面，如果在步骤S311确定指定的GP是不可用的，则HGW1访问服务信息，并把该要求身份验证的服务的状态设置到“不可用”(步骤S316)，向外部终端3通知所感兴趣的服务是不可用的，并结束流程。
以上述方式对用户设置的通信路径是对于所关心的服务临时地设置的。HGW1的通信路径设置功能部分34监控沿数据通信路径的数据通信量，并且如果在预定的周期内没有检测到数据通信，就删除该通信路径。可在交换部分20中实施所述对数据通信量的监控，并且可向通信路径设置功能部分34通知结果。此外，一当接收到来自用户使用的外部终端3或服务器2的关于已完成对服务的访问的通知，HGW1就可删除通信路径。
接着，将描述HGW1进行的服务有效期管理。图7是说明由HGW1执行的服务有效期管理的操作。下文中将参考图7描述服务有效期管理。
参考图7，HGW1确定在服务信息中注册的每个服务是否具有剩余的服务有效期(步骤S401)。如果存在任何剩余的服务有效期，则HGW1结束流程，并继续检查服务有效期。另一方面，如果服务的服务有效期已到期，则对于该服务，HGW1把服务信息中的状态设置到“不可用”(步骤S402)。然后，对于该服务，HGW1删除交换部分2中的通信路径(步骤S403)以及服务信息中的当前的许可接受者(步骤S404)。接着，对于该服务，HGW1启动条目删除计时器T(步骤S405)，并观测一预定的删除等待期间(步骤S406)。如果在该等待期间进行上述服务注册，并且对于上述服务发生了对服务有效期的重设，则HGW1结束流程(步骤S407)。从而，通过观测删除等待期间，确保了一旦状态变得再次可用，则使用相同端口号(GP)的外部访问将变得可能。另一方面，如果条目删除计时器T超出了所述删除等待期间，则HGW1从服务信息中的条目中删除上述的服务(步骤S408)，结束流程。从而，一旦服务有效期期满，就在上述删除等待期间之后从服务信息中删除该服务。
接着，将描述对于以上述方式设置的通信路径而设置交换部分20的操作。首先，在本实施例中假设以这样的方式来设置IP过滤功能部分23和地址变化功能部分25，即把动态IP伪装自动地应用于从内部网络到外部网络的通信，使得不要求目录管理功能部分33在交换部分20中设置通信路径而允许通信。图11说明了关于在IP过滤功能部分23中设置的用于允许从内部网络至外部网络的通信的分组过滤器的信息。
在图11中，方向指的是PHY/MAC功能部分26传送数据的方向。“向外”指示出要由连接至内部网络PHY/MAC功能部分26b接收的，并从连接至外部网络的PHY/MAC功能部分26a传送的分组。“向内”指示出要由连接至外部网络的PHY/MAC功能部分26a接收的，并从连接至内部网络的PHY/MAC功能部分26b传送的分组。“SA”(源地址)和“DA”(目的地址)分别表示指定给分组的发送源地址和接收目的地址。“SP”(源端口)和“DP”(目的端口)分别表示指定给分组的发送源的端口号和接收目的的端口号。“ACK”(确认标志)指示出是否作ACK检查。不在用于建立连接的分组中设置ACK，而在随后的分组中设置。把设置于IP过滤功能部分23中的信息预设为默认设置A或B。当从内部网络上的服务器2向HGW1传送用于开始通信的分组时，按照默认设置A，允许该分组通过分组过滤器。按照默认设置B，允许从外部网络上的外部终端3至HGW1的响应分组通过分组过滤器。另一方面，当从外部网络上的外部终端3向HGW1传送用于开始通信的分组时，因为在该分组中没有设置ACK，按照默认设置B就不允许该分组通过。换句话说，不能从外部网络向内部网络开始通信，除非添加新的分组过滤设置。
接着，将对于允许从外部网络访问FTP服务的情况描述交换部分20的IP过滤功能部分23和地址转换功能部分25中设置的信息。图12(a)示出了用于FTP服务的通信顺序。图12(b)说明了由目录管理功能部分33在地址转换功能部分25中设置的地址转换表。图12(c)说明了由目录管理功能部分33在IP过滤功能部分23中设置的分组过滤器。下文中，参考图12，将描述在作出对FTP服务的通信路径设置请求的情况中传送控制相关会话期中的分组的方式。
首先，从外部终端3传送具有指定与之的源地址IA、源端口号IP1、目的地址GA和目的端口号21的分组。接着，HGW1接收该分组，并通过应用地址转换功能部分25的地址转换表中的条件C，对FTP服务器2将目的地址GA和目的端口号21分别转换成LA和LP21。此后，IP过滤功能部分23通过应用分组过滤器的条件E，对该分组进行过滤处理，从而允许分组的通过。接着，转发功能部分24经连接至内部网络的PHY/MAC功能部分26b将该分组传送到FTP服务器2。
在接收了来自外部终端3的分组之后，FTP服务器2向HGW1传送响应分组，该分组具有指定与之的源地址LA、源端口号21、目的地址IA和目的端口号IP1。接收了响应分组后，HGW1通过应用IP过滤功能部分23中的分组过滤器的默认设置A，对该响应分组进行过滤处理，从而允许响应分组的通过。此后，通过应用地址转换功能部分25的地址转换表中的条件D，对HGW1分别把源地址LA和源端口号21转换成GA和GP21。接着，转发功能部分24经连接至外部网络的PHY/MAC功能部分26a把该响应分组传送到外部终端3。
在上述FTP服务的情况中，通过使用端口号20，在外部终端3和FTP服务器2之间不仅建立了上述控制相关的对话期，也建立了数据相关的对话期。由于通过从FTP服务器2开始通信来建立数据相关的对话期，根据动态IP伪装和默认的过滤设置就允许从内部网络的通信，而不要求借助目录管理功能部分33的特殊设置。
按根据上述FTP服务的传送方式，以这样的方式设置IP过滤功能部分23和地址转换功能部分25，以自动地把动态IP伪装应用到从内部网络至外部网络的通信，来实现从内部网络的通信，而不要求目录管理功能部分33设置交换部分20。然而，为了向HGW1提供更高等级的安全性，可省略动态IP伪装或默认分组过滤器的设置。在该情况下，为了外部网络上的外部终端3能访问FTP服务器2，对适合于FTP服务器2的LP的地址转换和分组过滤器必须作出若干设置。通过根据服务类型而对若干设置提供一模板(它支持LP)，可容易地作出对IP过滤功能部分23和地址转换功能部分25的设置。在没有为已注册的服务的服务类型提供用于设置目的的模板的情况中，可从服务器2或外部网络上的预定服务器上获得用于设置目的的模板，来实现对IP过滤功能部分23和地址转换功能部分25的设置。
虽然本实施例将内部网络说明为一个网络，但是可把多个内部网络连接到HGW1。这可通过在交换部分20中添加第3个PHY/MAC功能部分26，并把包含允许从外部网络访问的服务器的第2个内部网络(DMZ非军事区)连接到该第3PHY/MAC功能部分26，来实现。从而，在这样的情况中，本发明可提供增强的安全等级。
虽然本实施例说明了这样的情况，其中把来自服务器的有效期超时信息或注册信息用于服务状态从“可用”至“不可用”或从“不可用”至“可用”的转换，或用于服务信息的注册或删除，但是本发明不限于此。作为备择，HGW1可对服务器进行端口扫描，并根据服务器上的开放端口中的变化，实施服务状态的转换或服务信息的注册或删除。类似地，可使用PING(分组网际查询工具)来代替端口扫描。
虽然本实施例说明了这样的一个例子，其中从外部网络进行对内部网络上的服务器2的访问，但是可从内部网络上的另一设备进行这样的访问。这可通过对内部网络上作为当前的许可接受者的设备添加详细服务许可策略，或对许可的接受者提供另一个表来实现。从而，根据是从内部位置还是从外部位置进行访问，可改变安全等级，从而带来更多的便利。
当对给定的服务器产生详细服务许可策略时，可访问外部代理(如服务器的制造商)并从中获得详细服务许可策略的初始值。结果，即使在服务器的发货之后，制造商也能改变存储于该服务器中的详细服务许可策略。
如上所述，根据本防火墙设备，允许有限的用户有权从外部访问。在确认了用户身份之后，获得了该用户使用的外部终端的地址信息(IA、IP)，并且根据该地址信息设置一条通信路径。结果，能允许有权从外部访问的有限的用户访问内部网络上的服务，并且能仅在用户请求服务的许可的期间设置通信路径。即使改变了用户所使用的外部终端，或改变了用户所使用的外部终端的IA，也可类似地进行访问。当用户请求设置通信路径时，该用户能有选择地访问可访问的服务，并且即使由内部网络上的多个服务器提供相同的服务，该用户也能有选择地访问一相关的服务器。另一方面，可对服务器提供的每个服务指定有权访问内部网络上的服务器的用户。因此，通过对内部网络上的提供相同服务的多个服务器中的每一个指定不同的有权访问的用户，可容易地对每个服务器调整安全等级。此外，在改变内部网络上的服务器的地址信息(LA、LP)的情况中，通过识别标识该服务器的固定值，本防火墙设备仍然能够使该服务器与改变了的地址信息相关联。因此，可以容易地自动处理用于地址转换的表的改变。而且，本防火墙设备对可提供给外部网络的任何服务提供有效期，并仅当服务有效时才临时地设置通信路径，并且该通信路径对该服务是专用的。从而，可实现更加增强的安全等级。
在本实施例中，当还未在目录管理功能部分33中注册由要被注册的服务的服务类型和服务器标识信息组成的对时，如图4的步骤S109所示，根据基本服务许可策略设置详细服务许可策略。作为备择，可用其它方法确定详细服务许可策略。例如，在已注册于详细服务许可策略之中的条目之间，可计数与要被新注册的服务相同服务类型的条目的数量，并且如果该数量等于或大于某一阈值，则可根据已注册的条目设置详细服务许可策略；或者如果该数量小于该阈值，则可根据基本服务许可策略设置详细服务许可策略。换句话说，可执行图14中所示的过程来代替图4中所示的步骤S109。下文中将参考图14至图16更明确地对此加以描述。
例如，假设把IP为LA5的服务器2-4新引入内部网络。换句话说，是把图15中所示的服务信息新近注册于目录管理功能部分33之中的情况。一旦在图4的步骤S102确定由服务器2-4正在提供的服务是未注册的，在图14中的步骤S203处，目录管理功能部分33就从在该目录管理功能部分33中已管理的详细服务许可策略中提取关于要新近注册的服务的条目。接着，在步骤S204，目录管理功能部分33确定所提取的条目数是否等于或大于3，并且如果小于3，则通过类似于图4中的步骤S109的过程设置详细服务许可策略。另一方面，如果在步骤S204确定条目数等于或大于3，则在步骤S206处根据所提取的条目的设置的内容来设置详细服务许可策略。将参考图16更明确地描述该过程。对于新近加入的服务器2-4上的“HTTP服务器”类型的服务，发现两个条目(即图16中的条目A和条目B)符合该服务类型。因此，根据图9中所示的基本服务许可策略确定对于该服务器2-4上的“HTTP服务器”类型的服务的许可的接受者、许可条件以及许可的端口。另一方面，对于服务器2-4上的“FTP服务器”类型的服务，发现3个条目(即图16中的条目C至E)符合该服务类型。因此，根据条目C至E的设置的内容确定对于该服务器2-4上的“FTP服务器”类型的服务的许可的接受者、许可条件以及许可的端口。在该情况下，将在服务器2-4上的“FTP服务器”类型的服务的设置上反映那些为条目C至E所共有的设置。
就根据所提取的条目的设置的内容来设置详细服务许可策略的具体方法而言，有各种可能的方法。例如，虽然上述描述说明了以根据已注册的条目的设置的内容的逻辑“与”来确定新服务的设置的内容这样的方式产生详细服务许可策略，但是本发明不限于此。例如，可根据已注册的条目的设置的内容之间的逻辑“或”或大多数来确定新服务的设置的内容。从下面的本发明的其它实施例的描述中，这些或各种其它设置方法还将变得明显。
(第2实施例)图17说明了根据本发明的第2实施例的通信设备100的结构。通信设备100包括控制菜单构造部分110、目录管理功能部分120以及限制条目管理部分130。控制菜单构造部分110包括控制菜单生成请求接收部分111、控制菜单生成部分112以及控制菜单传送部分113。目录管理功能部分120包括网络组成元素检测部分121、网络信息获取部分122以及网络信息存储部分123。限制条目管理部分130包括限制条目生成部分131、预置限制条目存储部分132、个别限制条目存储部分133以及输入部分134。
通信设备100具有这样的功能，当用户希望经网络从一“控制”终端控制一“受控”终端时，根据预定的限制条目，或者许可这样的控制、部分地限制这样的控制，或者禁止这样的控制。例如，可以用下面的方式经网络按“受控”终端来控制名为“杰克”的人的家中安装的连接至网络(IEEE1394总线)的VCR(盒式录像机)。即通信设备100可允许杰克能够从连接至家中网络的“控制”终端或从作为连接至因特网的“控制”终端的移动电话机来控制VCR，而仅允许名为“吉尔”的杰克的女儿从连接至家中网络的“控制”终端，但不是从移动电话机来控制VCR。从而，把对“受控”终端的控制限制在某些条件之下。
图17示出了示例性配置，在其中从连接至因特网160(作为家庭外的网络)的“控制”终端141(如移动电话机)控制连接至IEEE1394总线170(作为家中网络)的“受控”终端151至153(如VCR或调谐器)，其中受控终端151至153装备有AV/C命令。
下文中，将描述通信设备100的操作。
目录管理功能部分120把关于连接至网络的设备的信息作为元素信息管理。图18示出了由网络信息存储部分123管理的元素信息的例子。在图18中，“GUID”是唯一地指定给每个设备的64比特标识符；“设备类别”指示出设备类型；“服务信息”指示出设备可向网络提供的服务；以及“包含网络”指示出设备所属网络。从而，图18中所示的元素信息指示出把可在网络上受到关于“电源”、“记录”、“重放”、“快进”、“倒带”以及“停止”的控制的两个VCR以及在网络上受到关于“电源”和“调谐”的控制的一个调谐器作为设备连接至IEEE1394总线。
目录管理功能部分120具有检测连接至连接有通信设备100的网络的任何新设备的功能。下文中，将参考具体例子描述该功能。图19说明了在已把设备152和153连接至IEEE1394总线170，把设备151新近连接到IEEE1394总线170的情况中的操作顺序。请注意，在下面的描述中，以及同样在随后的实施例中，将把图17中的受控终端151等仅称为“设备”151等。这背后的原因是不需要把连接至网络的设备预指定为“控制”或“受控”终端。如果设备是PC(个人计算机)等等，根据情况可把该设备用作控制终端或受控终端。从而，在还未确定设备是控制的主体还是控制的对象的情况下，将作出对“设备151”等的引用。
当把新设备(即本例中的设备151)连接到IEEE1394总线170时发生总线复位。由网络组成元素检测部分121检测所述总线复位，并向网络信息获取部分122通知总线复位的发生。一当接收到该通知，网络信息获取部分122获得连接到IEEE1394总线170的设备的GUID。网络信息获取部分122向网络信息存储部分123通知所获得的GUID。
网络信息存储部分123参考已存储的元素信息，把从网络信息获取部分122通知的GUID与总线复位发生之前连接的设备的GUID相比较。结果，确认已添加了设备151的GUID。因此，为了更新元素信息，网络信息存储部分123请求网络信息获取部分122获取从新近连接的设备151提供的服务信息以及它的设备类别。网络信息获取部分122使用AV/C命令，获得从设备151提供的服务信息以及指示它的设备类别的信息。
网络信息获取部分122向网络信息存储部分123通知所获得的从VCR(A)151提供的服务信息以及指示其设备类别的信息。网络信息存储部分123通过在元素信息中注册所通知的信息来更新元素信息。
为了从“控制”终端控制“受控”终端，用户首先向通信设备100发出对用于控制受控终端的控制菜单的请求。响应于来自控制终端的请求，控制菜单构造部分110构造一控制菜单，并将其发送到控制终端。图20示出了发送到控制终端的控制菜单的示例性显示图像。根据该控制菜单，用户能够从控制终端控制受控终端(如开始在VCR(A)151上记录)。在限制条目管理部分130中，注册规定在各种条件下是允许还是禁止对受控终端的控制的预定限制条目。图21示出了在限制条目管理部分130中管理的限制条目的例子。在图21所示的例子中，对每组控制条件指定指示出是允许还是禁止对受控终端的控制的限制信息，所述控制条件由受控终端、希望控制能力的用户、控制终端所属的网络、以及包含受控终端的网络的组合来定义。在图21的情况中，对于连接至“IEEE1394”的具有“0x0123456789012345”的GUID的任何受控终端，把控制许可给希望从连接至“因特网”的控制终端施加控制的“杰克”，因为设置了“允许访问(1)”作为限制信息。另一方面，对于连接至“IEEE1394”的具有“0x0123456789012345”的GUID的任何受控终端，不把控制许可给希望从连接至“因特网”的控制终端施加控制的“吉尔”，因为设置了“禁止访问(0)”作为限制信息。对于每个控制终端，发送控制菜单，该菜单是根据限制条目管理部分130中管理的对应限制条目产生的，并且仅包含允许从控制终端进行控制的项目。从而，根据限制条目管理部分130中管理的对应限制条目，限制了从控制终端对受控终端的控制。
下文中，将明确描述用户从控制终端获得控制菜单的示例性过程。图23说明了在控制终端141处获得控制菜单的情况下的操作顺序。下面的描述是针对在把设备151新近连接到IEEE1394总线170之后首次请求控制菜单的情况。为了获得控制菜单，用户操作控制终端141向通信设备100发出控制菜单请求。一当接收到该请求，控制菜单生成请求接收部分111就标识发出控制菜单请求的用户的用户ID，以及连接控制终端141的网络。仅需要在由控制终端141发出控制菜单请求的时候，进行对用户标识信息的获取。然而，从安全性观点来看，希望在控制终端141和通信设备100之间建立了连接之后，从控制终端141发送用户ID和口令，用于用户身份验证。
控制菜单生成请求接收部分111向控制菜单生成部分112发送用户ID和关于控制终端的网络信息，并请求产生控制菜单。一当接收到该请求，控制菜单生成部分112首先向网络信息存储部分123请求元素信息(即关于当前连接至IEEE1394总线170的设备的信息)。这里所请求的元素信息包括设备GUID、设备类别、服务信息以及网络的类型。根据以上述方式管理的元素信息，网络信息存储部分123向控制菜单生成部分112通知该元素信息。
接着，控制菜单生成部分112向限制条目生成部分131通知从控制菜单生成请求接收部分111接收的用户ID和关于控制终端的网络信息，以及从网络信息存储部分123接收的元素信息，并请求对应于这样的信息的限制条目。
一当接收到来自控制菜单生成部分112的限制条目请求，限制条目生成部分131向个别限制条目存储部分133发送已从控制菜单生成部分112通知的“GUID”、“用户ID”、“包含受控终端的网络”、“包含控制终端的网络”。个别限制条目存储部分133搜索与从限制条目生成部分131传送的信息匹配的限制信息，并向限制条目生成部分131通知匹配信息，其中图21中所示的上述限制条目先前已注册于所述个别限制条目存储部分133中。例如，如果元素信息包含关于GUID为“0x0123456789012345”的设备的信息，那么搜索对应于由“IEEE1394”(即该设备当前连接的网络)、“杰克”(即希望控制该设备的用户的ID)和“因特网”(即控制终端与之连接的网络)组成的组合的限制信息。该例子中的搜索结果指示出设置“允许访问(1)”作为限制信息。对于具有包含于元素信息中的任何其它GUID的设备进行类似的搜索。个别限制条目存储部分133向限制条目生成部分131通知这样获得的限制信息。
请注意图21中所示的个别限制条目包括对已通过下述过程等注册的新近连接的设备151的个别限制条目(图21中示为新条目A、B)。另一方面，当前描述的操作顺序是基于这样的假设，即仍要注册这样的新条目A和B。因此，这里存在的个别限制条目将如图22所示。
另一方面，由个别限制条目存储部分133进行的搜索结果可能指示出未注册与某一组条件相匹配的限制条目。例如，当把新设备作为受控终端而连接到网络时，或在某些情况下当把设备连接到一不同网络时，这样的情况可能发生。在已注册了杰克，但仍未注册吉尔的情况下，类似的情况也可能发生。在这样的情况下，常规技术就有如早先所述的问题，即用户需要对任何新连接的设备设置限制条目。因此，如果不具有对网络管理的足够知识的人(如家庭中一成员)正巧把一设备连接到网络，则根据不适当的设置，可能发生从屋外对这样的设备的无限制访问。
相反，根据本发明的本实施例，如果个别限制条目存储部分133进行的搜索结果指示出仍没有注册与某一组条件相匹配的限制条目，那么根据先前设置于预置限制条目存储部分132中的预置限制条目，获得与该组条件匹配的限制信息。结果，就自动地设置指定较佳限制的限制信息，而不要求用户进行设置操作。更特别地，对于不具有任何对应的已注册的限制条目的一组条件，限制条目生成部分131向预置限制条目存储部分132传送“用户ID”、“包含控制终端的网络”以及“包含受控终端的网络”。然后，预置限制条目存储部分132在预置限制条目之间搜索与这些条件匹配的限制信息，并向限制条目生成部分131通知这样的限制信息。图24示出了可在预置限制条目存储部分132中注册的示例性预置限制条目。在图24中，例如，如果把新设备连接到“IEEE1394”并且此后“杰克”从连接至“因特网”的控制终端请求一控制菜单，则对于对应于上述条件的预置限制条目的搜索的结果将指示出设置“允许访问(1)”作为匹配这些条件的限制信息。因此，向限制条目生成部分131通知“允许访问(1)”。
根据从预置限制条目存储部分133通知的限制信息，限制条目生成部分131向个别限制条目存储部分133注册一新的限制条目。例如，如果把具有“0x123456789012345”的GUID的受控终端151新近连接到IEEE1394总线170，并此后“杰克”从连接至因特网160的控制终端141请求一控制菜单，则对匹配这些条件(即除了GUID)的预置限制条目设置“允许访问(1)”。因此，在个别限制条目存储部分133中，注册了一新的限制条目(即图21中所示的新条目A)，该条目使限制信息“允许访问(1)”与下面的控制条件相关联“0x123456789012345”(GUID)、“杰克”(用户ID)、“因特网”(包含控制终端的网络)以及“IEEE1394”(包含受控终端的网络)。
通过上面的过程，限制条目生成部分131获得了限制信息，并向控制菜单生成部分112通知限制条目。根据从网络信息存储部分123通知的“包含受控终端的网络”信息、服务信息以及设备类别，以及根据从限制条目生成部分131通知的限制条目，控制菜单生成部分112生成控制菜单。控制菜单可用由控制终端141可执行的应用程序的形式，但较佳的是以HTML描述的源。在以HTML描述控制菜单的情况中，控制终端141需要装备有HTML浏览器，以便能够控制设备。此外，较佳的是控制菜单中所显示的项目基于CGI等与控制命令相关联。
控制菜单生成部分112向控制菜单传送部分113传送所生成的控制菜单。控制菜单传送部分113接着向控制终端(即该例子中的控制终端141)传送所接收的控制菜单。控制终端141在浏览器上显示该控制菜单，并且允许用户根据该控制菜单来操纵受控终端151至153。
现在，参考图25的流程图，将描述限制条目生成部分131的操作。为清楚起见，下面的描述将针对一详细示例性情况，其中图18中所示的元素信息存储于网络信息存储部分123，并且图24中所示的预置限制条目存储于预置限制条目存储部分132，还假设图21中所示的个别限制条目中还未注册关于GUID为“0x123456789012345”的受控终端的限制条目(即图21中的新条目A、B)(即仅注册了图22中所示的限制条目)。
在步骤S901，限制条目生成部分131接收来自控制菜单生成部分112的条件，即“GUID”、“用户ID”、“包含控制终端的网络”信息以及“包含受控终端的网络”信息，基于所述条件将产生限制信息。特别地，在该步骤，接收下面的条目GUID＝0x123456789012345用户ID＝杰克“包含受控终端的网络”信息＝IEEE1394(下文简称为“家中”)“包含控制终端的网络”信息＝因特网(下文简称为“家外”)GUID＝0x123456789123456用户ID＝杰克“包含受控终端的网络”信息＝家中“包含控制终端的网络”信息＝家外GUID＝0x123456789234567用户ID＝杰克“包含受控终端的网络”信息＝家中“包含控制终端的网络”信息＝家外在步骤S902，根据上述条件，向个别限制条目存储部分133作出对发送个别限制条目的请求。在步骤S903处，接收对应于上述条件的限制信息。特别地，在该步骤接收下面的条目GUID＝0x123456789012345用户ID＝杰克“包含受控终端的网络”信息＝家中“包含控制终端的网络”信息＝家外限制信息＝GUID＝0x123456789123456用户ID＝杰克“包含受控终端的网络”信息＝家中“包含控制终端的网络”信息＝家外限制信息＝访问允许GUID＝0x123456789234567用户ID＝杰克“包含受控终端的网络”信息＝家中“包含控制终端的网络”信息＝家外限制信息＝允许访问在步骤S904处，确认是否有任何不具有对应的限制信息的条件组存在。如果有这样的一组条件，控制进行到步骤S905；否则控制进行到步骤S908。在该例子中，起始于GUID＝0x123456789012345的该组条件是不具有对应的限制信息的一组条件。
在步骤S905处，对于不具有对应的限制信息的该组条件，向预置限制条目存储部分132作出通知对应于该组条件(即除了GUID和限制信息)的限制条目的请求。在步骤S906，接收匹配这样的条件的限制信息。特别地，在该步骤接收下面的条目用户ID＝杰克“包含受控终端的网络”信息＝家中“包含控制终端的网络”信息＝家外限制信息＝允许访问在步骤S907处，在个别限制条目存储部分133中注册在步骤S906处接收的限制条目。结果，新注册了一个别限制条目(如图21中指示为新条目A)。在步骤S908处，向控制菜单生成部分112通知使控制条件与限制信息相关联的条目。
此后，经控制菜单传送部分113，把由控制菜单生成部分112生成的控制菜单传送到控制终端141。控制菜单生成部分112通过从图18中所示的服务信息中仅选择那些根据图21中所示的个别限制条目而许可访问的项目来生成控制菜单。从而，如图20所示，在由用户“杰克”操作的控制终端141上显示出包括VCR(A)151、VCR(B)152以及调谐器153的控制菜单。
另一方面，如果请求控制菜单的用户是吉尔，则通过与上述过程类似的过程，新注册图21中所示的新条目B，并且控制菜单生成部分112通过从图18中所示的服务信息中仅选择那些根据图21中所示的个别限制条目而许可访问的项目，来生成控制菜单。然而，由于对于该例中的所有限制条目，拒绝用户“吉尔”经因特网160进行访问，在由用户“吉尔”操作的控制终端141上呈现出如图26所示的图像，在其中无可控制的控制项目被显示出来。
可由用户通过输入部分134的手段来设置存储于个别限制条目存储部分133中的个别限制条目。还可由用户通过输入部分134的手段来设置由限制条目生成部分131生成并注册于个别限制条目存储部分133中的个别限制条目。也可由用户通过输入部分134的手段来设置存储于预置限制条目存储部分132中的预置限制条目。
虽然，在本实施例中以从家外访问的例子说明了来自连接至因特网160的控制终端141的对于控制菜单的请求，但是家外网络可以是除了因特网之外的任何网络。而且，可从连接至例如IEEE1394总线170或任何其它网络的家中网络的控制终端请求控制菜单，以控制一“受控”设备。
虽然本实施例说明了“杰克”和“吉尔”作为用户ID，但是它们仅仅是用于标识用户的示例性ID，并还可改为设置成对每个用户的抽象。虽然把针对诸如“杰克”和“吉尔”之类的个人的用户ID说明为关于用户的条件，但还可根据用户的属性，如网络管理员、家庭成员或来宾，来对条件分类。
虽然本实施例说明了IEEE1394总线170作为连接受控终端的网络，以及因特网160作为连接控制终端的网络，但是可改为使用任何其它网络。网络可以是有线或无线的。其它网络的例子包括ECHONET、蓝牙等。
虽然本实施例说明了把两个网络连接到通信设备100的例子，但是可把任何数量的网络，如1个、3个或更多个，连接至通信设备100。
虽然在本实施例中说明的服务是由各个设备独立提供的，但是本发明也可适用于涉及对两个设备的使用的服务，例如VCR之间的复制操作或通信路径的设置。
作为用于限制条目的条件，可改为使用除了那些用于本实施例中的之外的任何参数。例如，也可使用设备类别、服务信息、使用时间或设备的处理能力，如显示能力/声音重放能力。
虽然本实施例说明了VCR(A)和(B)，以及一调谐器作为“受控”终端的例子，但是这些设备的任何一个都可充当用以控制其它受控设备的“控制”终端。例如，调谐器可通过通信设备来控制VCR(A)。
虽然本实施例说明了VCR和调谐器作为设备类别，但是也可使用其它类型的类别，诸如“AV(音频/视觉)设备”、“空调设备”等等。
在本实施例中，根据存储于网络信息存储部分123中的元素信息来作出对控制的限制。作为备择，当控制菜单生成部分112请求元素信息时，网络信息获取部分122可获得元素信息，并向控制菜单生成部分112通知该信息。在存储元素信息的情况下，存在这样的优点，即提供了对用户操作的改进的响应。另一方面，在按需获得元素信息的情况中，存在这样的优点，即用于存储元素信息的存储容量是不必要的。
虽然本实施例说明了当生成控制菜单时生成对应于新条件的限制条目的例子，但是也可能在早先时候生成这样的限制条目。例如，一当检测到新的组成元素时，可进行这样的限制条目的生成。与在生成控制菜单时生成这样的限制条目的情况相比，在该情况中存在这样的优点，即减少了用户请求控制菜单之后直到接收该控制菜单为止流逝的时间长度。
如上所述，根据第2实施例，即使没有发现对应于一组给定条件的个别限制条目，也可根据预置限制条目来实现访问限制。因此，用户不需要每次设置访问限制。从而，就可能开始使用任何要被使用的新设备，而不必对每个服务进行访问设置。
由于根据连接控制设备的网络的类型来设置访问限制，可通过例如许可对于对不确定的公众开放的网络(如因特网)的访问，而禁止对于诸如IEEE1394总线之类的家中网络的访问，来实现面向方便性和面向安全性两者的限制。
(第3实施例)下文中将参考附图描述根据本发明的第3实施例的通信设备。
图27说明了根据本实施例的通信设备1000，与之连接的网络，以及连接至所述网络的控制终端和受控终端。如图27所示，通信设备1000包括控制菜单构造部分110、目录管理功能部分120以及限制条目管理部分130。控制菜单构造部分110包括控制菜单生成请求接收部分111、控制菜单生成部分112以及控制菜单传送部分113。目录管理功能部分120包括网络组成元素检测部分121、网络信息获取部分122以及网络信息存储部分123。限制条目管理部分1030包括限制条目生成部分1031、个别限制条目存储部分133以及输入部分134。把通信设备1000连接至因特网160和IEEE1394总线170。把控制终端141(如移动电话机)连接到因特网160。把装备有AV/C命令的受控终端151、152和1504(如VCR(A)、(B)和(C))连接至IEEE1394总线170。在图27中，以与图17中所使用的标号相同的标号来标识同样出现于图17中的组成元素，并且省略了对它们的描述。
下文中，将特别关于与根据第2实施例的通信设备100的操作的差异而描述通信设备1000的操作。下面的描述是针对新近连接设备151，以及用户(“杰克”)从连接至因特网160的设备141请求控制菜单以便控制设备151、152和1504的情况。
图28说明了在把受控设备151新近连接到IEEE1394总线170的情况中的操作顺序。如图28所示，通过类似于根据第2实施例的操作，在网络信息存储部分123中更新和注册了元素信息。图29示出了存储于网络信息存储部分123中的元素信息的例子。请注意图29中所示的元素信息不包含图18中所示的“包含受控终端的网络”信息。这是因为不把关于包含受控终端的网络的信息作为条件包括于用于设置限制信息的限制条目中。
如在第2实施例中那样，控制菜单构造部分110生成控制菜单，以响应来自控制终端141的请求。此时，向限制条目管理部分1030作出对限制条目的请求。限制条目管理部分1030把对应于从控制菜单生成部分112通知的一组条件的任何限制条目返回给控制菜单生成部分112。然而，不同于第2实施例中，在本实施例中省略了预置限制条目存储部分。作为备择，在个别限制条目存储部分133中没有发现与所通知的条件组匹配的限制条目的情况中，根据已存储于个别限制条目存储部分133中的限制条目，自动地确定指定较佳限制的限制信息(对应于不具有对应的已注册的限制条目的条件组)。下文中，将描述该操作的详细内容。
图30说明了在以用户ID“杰克”注册的用户使用连接至因特网的移动电话141请求用于控制受控终端151的控制菜单的情况中的操作顺序。从通过控制终端141的操作而请求控制菜单到向限制条目生成部分1031发出限制条目请求的系列过程，类似于第2实施例中的过程，并省略对它们的描述。
限制条目生成部分1031向个别限制条目存储部分133发送所接收的条件组，并请求对应的限制条目的发出。个别限制条目存储部分133搜索与所接收的条件组匹配的限制信息，并向限制条目生成部分1031通知搜索结果。图31示出了可存储于个别限制条目存储部分133中的限制条目的例子。
请注意图31中所示的个别限制条目包括对已通过下述过程注册的新连接设备151的个别限制条目(如图31中的新条目A、B所示)。另一方面，当前描述的操作顺序是基于这样的假设，即仍要注册这样的新条目A和B。
由于受控终端151是新近添加到IEEE1394总线170的设备，在个别限制条目存储部分133中仍未注册该受控终端151的GUID。因为在个别限制条目存储部分133中没有发现注册有具有匹配的GUID的限制条目，所以限制条目生成部分1031请求个别限制条目存储部分133从已注册以便用于其它设备的限制条目之中搜索与关于“用户ID”、“设备类别”和“包含控制终端的网络”信息的条件相匹配的限制条目。一当接收到该请求，个别限制条目存储部分133搜索相关的限制信息，并向限制条目生成部分1031通知搜索结果。根据这样的限制信息，限制条目生成部分1031确定要与不具有对应的注册的限制条目的条件组相关联的限制信息。具体来说，根据所获得的限制信息的单元之间的逻辑“与”来确定该限制信息，其中把限制信息的允许访问状态定义为“1”，而把禁止访问状态定义为“0”。基于逻辑“与”的确定在这一点上是有利的，即任何新近连接的设备或服务将不会变成可访问，除非已把限制信息的所有单元都设置成处于“允许访问”状态中。从而，可阻止基于不充分的随机推论的访问的授权。
按第2实施例中的方式在个别限制条目存储部分133中注册已用上述方式新近建立的限制条目。限制条目生成部分1031向控制菜单生成部分112通知请求的限制条目，而控制菜单生成部分112根据所述通知的限制条目生成控制菜单。经控制菜单传送部分113把控制菜单传送到控制终端141。控制终端141在浏览器上显示控制菜单，并且允许用户根据该控制菜单来操纵受控终端151。
现在，参考图32的流程图，将描述限制条目生成部分1031的操作。为清楚起见，下面的描述将针对一详细示例性情况，其中图29中所示的元素信息存储于网络信息存储部分123，还假设还未注册图31中所示的个别限制条目中的关于GUID为“0x123456789012345”的受控终端151的限制条目(即图31中的新条目A、B)。在下面的描述中，以与图25中所使用的标号相同的标号来标识与图25中所示的流程图中的对应部分等同的图32中的任何处理步骤，并且将省略对它们的描述。
限制条目生成部分1031向个别限制条目存储部分133通知所接收的来自控制菜单生成部分112的一组条件，并从个别限制条目存储部分133中获得对应于所通知的该组条件的限制条目。特别地，在该步骤接收下面的条目GUID＝0x123456789012345用户ID＝杰克“包含控制控终端的网络”信息＝因特网设备类别＝VCR限制信息＝GUID＝0x123456789123456用户ID＝杰克“包含控制终端的网络”信息＝因特网设备类别＝VCR限制信息＝允许访问GUID＝0x123456789234567用户ID＝杰克“包含控制终端的网络”信息＝因特网设备类别＝VCR限制信息＝允许访问在步骤S904处，确认是否有任何不具有对应的限制信息的条件组存在。如果有这样的一组条件，控制进行到步骤S1609；否则控制进行到步骤S908。在该例子中，起始于GUID＝0x123456789012345的该组条件是不具有对应的限制信息的一组条件。在步骤S1609处，对于不具有对应的限制信息的条件组，向个别限制条目存储部分133作出通知对应于该组条件(即除了GUID和限制信息)的限制条目的请求。在步骤S1610处，接收在前一步骤1609处请求的限制条目。特别地，在该步骤接收下面的条目用户ID＝杰克“包含控制终端的网络”信息＝因特网设备类别＝VCR限制信息＝允许访问用户ID＝杰克“包含控制终端的网络”信息＝因特网设备类别＝VCR限制信息＝允许访问在步骤S1611处，确定这些限制条目中的限制信息的单元之间的逻辑“与”作为对于上述不具有对应的注册的限制条目的条件组的限制信息。从而，生成下面的限制条目GUID＝0x123456789012345用户ID＝杰克“包含控制控终端的网络”信息＝因特网设备类别＝VCR限制信息＝允许访问在步骤S907处，在个别限制条目存储部分133中注册新生成的限制条目。结果，新注册了一个别限制条目(如图31中指示为新条目A)。在步骤S908处，向控制菜单生成部分112通知对应于所述请求的限制条目。控制菜单生成部分112通过从图29中所示的服务信息中仅选择那些根据图31中所示的个别限制条目而许可访问的项目来生成控制菜单。从而，如图33所示，在由用户“杰克”操作的控制终端141上显示出包括VCR(A)151、VCR(B)152以及VCR(C)1054的控制菜单。
另一方面，如果从控制终端141请求控制菜单的用户是吉尔，则通过与上述过程类似的过程新注册图31中所示的新条目B，并且，如对于杰克的情况那样，控制菜单生成部分112通过从图29中所示的服务信息中仅选择那些根据图31中所示的个别限制条目而许可访问的项目，来生成控制菜单。结果，如图34所示，在由用户“吉尔”操作的控制终端141上显示仅针对VCR(B)152的控制菜单。
可由用户通过输入部分134来设置存储于个别限制条目存储部分133中的个别限制条目。还可由用户通过输入部分134的手段来设置由限制条目生成部分1031生成并注册于个别限制条目存储部分133中的个别限制条目。
虽然，在本实施例中以从家外访问的例子说明了来自连接至因特网160的控制终端141的对于控制菜单的请求，但是家外网络可以是除了因特网之外的任何网络。而且，可从连接至例如IEEE1394总线170或任何其它网络的家中网络的控制终端请求控制菜单，以控制一“受控”设备。
虽然本实施例说明了“杰克”和“吉尔”作为用户ID，但是它们仅仅是用于识别用户的示例性ID，并可改为设置成对每个用户的抽象。虽然把针对诸如“杰克”和“吉尔”之类的个人的用户ID说明为关于用户的条件，但可根据用户的属性，如网络管理员、家庭成员或来宾，来对条件分类。
虽然本实施例说明了IEEE1394总线170作为连接受控终端的网络，以及因特网160作为连接控制终端的网络，但是可改为使用任何其它网络。网络可以是有线或无线的。其它网络的例子包括ECHONET、蓝牙等。
虽然本实施例说明了把两个网络连接到通信设备1000的例子，但是可把任何数量的网络，如1个、3个或更多个，连接至通信设备1000。
虽然在本实施例中说明的服务是由每个设备独立提供的，但是本发明也可适用于涉及对两个设备的使用的服务，例如VCR之间的复制操作或通信路径的设置。
作为对于限制条目的条件，可改为使用除了那些用于本实施例中的之外的任何参数。例如，也可使用服务信息、“包含受控终端的网络”信息、使用时间或设备的处理能力，如显示能力/声音重放能力。
虽然本实施例说明了VCR(A)、(B)和(C)作为“受控”终端的例子，但是这些设备的任何一个都可充当用以控制其它受控设备的“控制”终端。例如，VCR(A)可通过通信设备来控制VCR(B)。
虽然本实施例说明了VCR作为设备类别，但是也可使用其它类型的类别，诸如“AV设备”、“空调设备”等等。
虽然根据本实施例，基于限制信息的逻辑“与”从个别限制条目中生成限制条目，但是还可基于限制信息的逻辑“或”或大多数来生成限制条目。
在本实施例中，根据存储于网络信息存储部分123中的元素信息来作出对控制的限制。作为备择，当控制菜单生成部分112请求元素信息时，网络信息获取部分122可获得元素信息，并向控制菜单生成部分112通知该信息。在存储元素信息的情况下，存在这样的优点，即提供了对用户操作的改进了的响应。另一方面，在按需获得元素信息的情况中，存在这样的优点，即用于存储元素信息的存储容量是不必要的。
虽然本实施例说明了当生成控制菜单时生成对应于新条件的限制条目的例子，但是也可能在早先时候生成这样的限制条目。例如，一当检测到新的组成元素时，就可进行所述这样的限制条目的生成。与在生成控制菜单时生成这样的限制条目的情况相比，在该情况中存在这样的优点，即减少了用户请求控制菜单之后直到接收该控制菜单为止所流逝的时间长度。
如上所述，根据第3实施例，即使没有发现对应于一组给定条件的个别限制条目，也可根据限制信息的逻辑“与”、逻辑“或”或大多数从已注册的个别限制条目中生成对应的个别限制条目。由于这样就没有必要保留预置限制条目，所以根据本实施例，就减少了所要求的存储器容量。而且，用户不需要每次设置访问限制。从而，可能开始使用任何要被使用的新设备，而不必对每个服务进行访问设置。
由于根据设备类别来设置访问限制，可通过例如对于诸如VCR之类的AV设备而提供相对较低的安全等级，而对空调设备等提供较高的安全等级，来实现面向方便性和面向安全性两者的限制。
(第4实施例)下文中将参考附图描述根据本发明的第4实施例的通信设备。
图35说明了根据本实施例的通信设备1800，与之连接的网络，以及连接至所述网络的控制终端和受控终端。如图35所示，通信设备1800包括控制菜单生成部分110、目录管理功能部分120以及限制条目管理部分1830。控制菜单构造部分110包括控制菜单生成请求接收部分111、控制菜单生成部分112以及控制菜单传送部分113。目录管理功能部分120包括网络组成元素检测部分121、网络信息获取部分122以及网络信息存储部分123。限制条目管理部分1830包括限制条目生成部分1831、预置限制条目存储部分132、个别限制条目存储部分133以及输入部分134。把通信设备1800连接至因特网160和IEEE1394总线170。把控制终端141(如移动电话机)连接到因特网160。把装备有AV/C命令的受控终端151至153(如VCR(A)、(B)和调谐器)连接至IEEE1394总线170。在图35中，以与图17中所使用的标号相同的标号来标识同样出现于图17中的组成元素，并且省略了对它们的描述。
下文中，将特别关于与根据第2实施例的通信设备100的操作和根据第3实施例的通信设备1000的操作的差异而描述通信设备1800的操作。下面的描述是针对新近连接设备151，以及用户(“杰克”)从连接至因特网160的设备141请求控制菜单以便控制设备151、152和1054的情况。
图36说明了在把受控设备151新近连接到IEEE1394总线170的情况中的操作顺序。如图36所示，通过类似于根据第2实施例的操作，在网络信息存储部分123中更新和注册了元素信息。图37示出了存储于网络信息存储部分123中的元素信息的例子。
如在第2实施例中那样，控制菜单构造部分110生成控制菜单，以响应来自控制终端141的请求。此时，向限制条目管理部分1830作出对限制条目的请求。限制条目管理部分1830把对应于从控制菜单生成部分112通知的一组条件的任何限制条目返回给控制菜单生成部分112。在个别限制条目存储部分133中没有发现与所通知的条件组匹配的限制条目的情况中，根据情况，发生不同的操作。具体来说，如果在已存储于个别限制条目存储部分133中的限制条目中发现为生成对应于上述第3实施例中的条件组的限制条目所需的至少一个阈值数的限制条目，那么以类似于第3实施例的方式，根据这样的限制条目来生成要与所述条件组相关联的一限制条目。另一方面，如果没有发现为生成对应于上述条件组的一限制条目所需的至少一个阈值数的限制条目，那么以类似于第2实施例的方式，根据存储于预置限制条目存储部分132中的预置限制条目，来生成要与所述条件组相关联的一限制条目。下文中，将描述这些操作的详细内容。
图38说明了在以用户ID“杰克”注册的用户使用连接至因特网的移动电话141获得用于控制受控终端151的控制菜单的情况中的操作顺序。从通过控制终端141的操作而请求控制菜单到向限制条目生成部分1831发出限制条目请求的系列过程，类似于第2和第3实施例中的那些过程，并省略对它们的描述。
限制条目生成部分1831向个别限制条目存储部分133发送所接收的条件组，并请求对应的限制条目的发出。个别限制条目存储部分133搜索与所接收的条件组匹配的限制信息，并向限制条目生成部分1831通知搜索结果。图39示出了可存储于个别限制条目存储部分133中的限制条目的例子。
请注意图39中所示的个别限制条目包括对已通过上述过程注册的新连接设备151的个别限制条目(如图39中的新条目A、B、C、D和F所示)。另一方面，当前描述的操作顺序是基于这样的假设，即仍要注册这样的新条目A至F。请注意，图39说明了把服务信息中定义的条件规定为限制条目中的条件。
由于受控终端151是新近添加到IEEE1394总线170的设备，在个别限制条目存储部分133中仍未注册该受控终端151的GUID。因为在个别限制条目存储部分133中没有发现注册有具有匹配的GUID的限制条目，所以限制条目生成部分1831请求个别限制条目存储部分133从已注册的以便用于其它设备的限制条目之中搜索与关于“用户ID”、“设备类别”和“包含控制终端的网络”信息的条件相匹配的限制条目。一当接收到该请求，个别限制条目存储部分133搜索相关的限制信息，并向限制条目生成部分1831通知搜索结果。限制条目生成部分1831计数通知的限制条目的数量，并且如果该计数小于3，则如图38所示执行类似于第2实施例中的过程。具体来说，限制条目生成部分1831向预置限制条目存储部分132传送除了GUID和限制信息之外的条件，并且预置限制条目存储部分132在先前注册的预置限制条目之间搜索与这些条件匹配的限制条目，并将搜索结果通知限制条目生成部分1831。图40示出了可存储于预置限制条目存储部分132中的预置限制条目的例子。限制条目生成部分1831在个别限制条目存储部分133中注册一使上述条件与通知的限制信息相关联的新的限制条目，并向控制菜单生成部分112通知请求的限制条目。
另一方面，如果由限制条目生成部分1831计数的通知的限制条目的数量等于或大于3，则如图41所示，执行类似于第3实施例中的一过程。具体来说，限制条目生成部分1831根据已注册的以便应用于其它设备的限制条目(这些限制条目接收自个别限制条目存储部分133)来确定限制信息，并且相应产生一限制条目。更具体的是，根据所获得的限制信息的单元之间的逻辑“与”来确定限制信息，其中把限制信息的允许访问状态定义为“1”，而把禁止访问状态定义为“0”。基于逻辑“与”的确定在这一点上是有利的，即任何新近连接的设备或服务将不会变成可访问的，除非已设置的限制信息的单元处于“允许访问”状态。从而，可阻止基于不充分的随机推论的访问的授权。此后，限制条目生成部分1831在个别限制条目存储部分133中注册一新的限制条目，该限制条目使上述条件与所确定的限制信息相关联，并向控制菜单生成部分112通知所请求的限制条目。
在向控制菜单生成部分112通知所请求的限制条目之后的操作类似于第2和第3实施例中的操作，并省略对它们的描述。
现在，参考图42的流程图，将描述限制条目生成部分1831的操作。为清楚起见，下面的描述将针对一详细示例性情况，其中图37中所示的元素信息存储于网络信息存储部分123，图40中所示的预置限制条目存储于预置限制条目存储部分132，还假设还未注册图39中所示的个别限制条目中的关于GUID为“0x123456789012345”的受控终端151的限制条目(即图39中的新条目A至F)。在下面的描述中，以与图25或图32中所使用的标号相同的标号来标识与图25或图32中所示的流程图中的对应部分等同的图42中的任何处理步骤，并且将省略对它们的描述。
在步骤S901至S903中，限制条目生成部分1831向个别限制条目存储部分133通知所接收的来自控制菜单生成部分112的一组条件，并从个别限制条目存储部分133中获得对应于所通知的该组条件的限制条目。特别地，在该步骤接收下面的条目GUID＝0x123456789012345用户ID＝杰克“包含控制控终端的网络”信息＝因特网服务信息＝电源限制信息＝GUID＝0x123456789012345用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝记录限制信息＝GUID＝0x123456789012345用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝重放限制信息＝GUID＝0x123456789012345用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝快进限制信息＝GUID＝0x123456789012345用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝倒带限制信息＝GUID＝0x123456789012345用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝停止限制信息＝GUID＝0x123456789123456用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝电源限制信息＝允许访问GUID＝0x123456789123456用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝记录限制信息＝禁止访问GUID＝0x123456789123456用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝重放限制信息＝允许访问GUID＝0x123456789123456用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝快进限制信息＝允许访问GUID＝0x123456789123456用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝倒带限制信息＝允许访问GUID＝0x123456789123456用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝停止限制信息＝允许访问GUID＝0x123456789234567用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝电源限制信息＝允许访问GUID＝0x123456789234567用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝调谐限制信息＝允许访问在步骤S904处，确认是否有任何不具有对应的限制信息的条件组存在。如果有这样的一组条件，控制进行到步骤S1609；否则控制进行到步骤S908。在该例子中，起始于GUID＝0x123456789012345的该组条件是不具有对应的限制信息的一组条件。在步骤S1609处，对于不具有对应的限制信息的条件组，向个别限制条目存储部分133作出通知对应于该组条件(即除了GUID和限制信息)的限制条目的请求。在步骤S1610处，接收在前一步骤1609处请求的限制条目。特别地，在该步骤接收下面的条目用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝电源限制信息＝允许访问匹配条目数＝2用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝记录限制信息＝禁止访问匹配条目数＝1用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝重放限制信息＝允许访问匹配条目数＝1用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝快进限制信息＝允许访问匹配条目数＝1用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝倒带限制信息＝允许访问匹配条目数＝1用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝停止限制信息＝允许访问匹配条目数＝1在步骤S2612处，确定所接收的限制条目数是否等于或大于阈值值(即3)。如果该数小于3，则执行步骤S905和S906。如果该数等于或大于3，则控制进行到步骤S1611。由于在该例子中，所接收的限制条目数是1或2，则控制进行到步骤S905。
在步骤S905处，对于不具有对应的限制信息的该组条件，向预置限制条目存储部分132作出通知对应于该组条件(即除了GUID和限制信息)的限制条目的请求。在步骤S906，接收与在前一步骤S905处请求的条件相匹配的限制信息。特别地，在该步骤接收下面的条目用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝电源限制信息＝允许访问用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝记录限制信息＝禁止访问用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝重放限制信息＝允许访问用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝快进限制信息＝允许访问用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝倒带限制信息＝允许访问用户ID＝杰克“包含控制终端的网络”信息＝因特网服务信息＝停止限制信息＝允许访问另一方面，在步骤S1611处，确定在前一步骤S1610中所接收的限制信息的单元之间的逻辑“与”作为具有该GUID的设备上提供的服务的限制信息。
在步骤S907处，在个别限制条目存储部分133中注册在步骤S906处接收的或在步骤1610处生成的限制条目。结果，新注册了多条个别限制条目(如图31中指示为新条目A至F)。在步骤S908处，向控制菜单生成部分112通知使所述条件与限制信息相关联的限制条目。控制菜单生成部分112通过从图37中所示的服务信息中仅选择那些根据图39中所示的个别限制条目而许可访问的项目来生成控制菜单。从而，如图43所示，在由用户“杰克”操作的控制终端141上显示出包括VCR(A)151、VCR(B)152以及调谐器153的控制菜单。
虽然本发明中使用的阈值是3，但是可改为使用任何其它值，如1、2或4或更大值。
可由用户通过输入部分134来设置存储于个别限制条目存储部分133中的个别限制条目。还可由用户通过输入部分134的手段来设置由限制条目生成部分1831生成并注册于个别限制条目存储部分133中的个别限制条目。也可由用户通过输入部分134的手段来设置存储于预置限制条目存储部分132中的预置限制条目。
虽然，在本实施例中以从家外访问的例子说明了来自连接至因特网160的控制终端141的对于控制菜单的请求，但是家外网络可以是除了因特网之外的任何网络。而且，可从连接至例如IEEE1394总线170或任何其它网络的家中网络的控制终端请求控制菜单，以控制一“受控”设备。
虽然本实施例说明了“杰克”作为用户ID，但是它仅仅是用于识别用户的示例性ID，并可改为设置成对每个用户的抽象。虽然把针对诸如“杰克”之类的个人的用户ID说明为关于用户的条件，但可根据用户的属性，如网络管理员、家庭成员或来宾，来对条件分类。
虽然本实施例说明了IEEE1394总线170作为连接受控终端的网络，以及因特网160作为连接控制终端的网络，但是可改为使用任何其它网络。网络可以是有线或无线的。其它网络的例子包括ECHONET、蓝牙等。
虽然本实施例说明了把两个网络连接到通信设备1800的例子，但是可把任何数量的网络，如1或3个或更多个，连接至通信设备1800。
虽然在本实施例中说明的服务是由每个设备独立提供的，但是本发明也可适用于涉及对两个设备的使用的服务，例如VCR之间的复制操作或通信路径的设置。
作为对于限制条目的条件，可改为使用除了那些用于本实施例中的之外的任何参数。例如，也可使用设备类别、“包含受控终端的网络”信息、使用时间或设备的处理能力，如显示能力/声音重放能力。
虽然本实施例说明了VCR(A)、(B)和一调谐器作为“受控”终端的例子，但是这些设备的任何一个都可充当用以控制其它受控设备的“控制”终端。例如，调谐器可通过通信设备来控制VCR(A)。
虽然本实施例说明了VCR和调谐器作为设备类别，但是也可使用其它类型的类别，诸如“AV设备”、“空调设备”等等。
虽然根据本实施例，基于限制信息的逻辑“与”从个别限制条目中生成限制条目，但是还可基于限制信息的逻辑“或”或大多数来生成限制条目。
在本实施例中，根据存储于网络信息存储部分123中的元素信息来作出对控制的限制。作为备择，当控制菜单生成部分112请求元素信息时，网络信息获取部分122可获得元素信息，并向控制菜单生成部分112通知该信息。在存储元素信息的情况下，存在这样的优点，即提供了对用户操作的改进了的响应。另一方面，在按需获得元素信息的情况中，存在这样的优点，即用于存储元素信息的存储容量是不必要的。
虽然本实施例说明了当生成控制菜单时生成对应于新条件的限制条目的例子，但是也可能在早先时候生成这样的限制条目。例如，一当检测到新的组成元素时，就可进行所述这样的限制条目的生成。与在生成控制菜单时生成这样的限制条目的情况相比，在该情况中存在这样的优点，即减少了用户请求控制菜单之后直到接收该控制菜单为止所流逝的时间长度。
如上所述，根据第4实施例，即使没有发现对应于一组给定条件的个别限制条目，在发现已注册少于阈值数目的个别限制条目的情况中，或在发现已注册至少为阈值数目的个别限制条目，已根据已注册的个别限制条目之间的逻辑“与”、逻辑“或”或大多数而生成对应的个别限制条目的情况中，也可根据预置限制条目来实现访问限制。从而有可能反映出实际设置的访问限制的一般趋势，而防止由于不足数量的个别限制条目而应用访问限制，以作为随机推论的基础。而且，用户不需要每次设置访问限制。从而，可能开始使用任何要被使用的新设备，而不必对每个服务进行访问设置。
由于根据设备类别来设置访问限制，可通过例如许可重放功能而禁止记录功能来实现面向方便性和面向安全性两者的限制。
(第5实施例)下文中将参考附图描述根据本发明的第5实施例的通信设备。
图44说明了根据本实施例的通信设备2700，与之连接的网络，以及连接至所述网络的控制终端和受控终端。如图44所示，通信设备2700包括控制命令中继部分2710、目录管理功能部分2720以及限制条目管理部分130。控制命令中继部分2710包括控制命令传送/接收部分2713和控制命令确定部分2712。目录管理功能部分2720包括网络组成元素检测部分121、网络信息获取部分122以及网络信息存储部分123、将因特网协议转换成IEEE1394协议的IEEE1394协议转换部分2724、以及将因特网协议转换成ECHONET协议的ECHONET协议转换部分2725。限制条目管理部分130包括限制条目生成部分131、预置限制条目存储部分132、个别限制条目存储部分133以及输入部分134。
把通信设备2700连接下面的网络因特网160、IP网络2780、IEEE1394总线170以及ECHONET2790。把控制终端141(如移动电话机)连接到因特网160。把受控终端2755(如PC)连接至IP网络2780。把受控终端2756(如VCR)作为装备有AV/C命令的设备连接至IEEE1394总线170。把受控终端2757(如空调)连接到ECHONET2790。因特网160是家外网络，而其它网络2780、170和2790是家中网络。
在图44中，以与图17中所使用的标号相同的标号来标识同样出现于图17中的组成元素，并且省略了对它们的描述。下文中，将描述通信设备2700的操作。作为说明该操作的例子，将描述这样的情况，其中通过利用连接至家外网络(即因特网160)的设备141首次使用家中设备2757。
图45说明了在网络信息存储部分123获得关于设备的服务信息，以便生成一服务的控制菜单的情况中的操作顺序。
网络信息存储部分123对网络信息获取部分122作出请求(“服务信息获取请求”)，以收集关于连接至家中网络的设备的服务信息。一当接收到服务信息获取请求，网络信息获取部分122就请求连接至各自网络的受控终端(空调)2757、受控终端(VCR)2756、受控终端(PC)2755通知与它们相关联的服务信息。由于把VCR 2756和空调2757连接到不同的网络，分别通过IEEE1394协议转换部分2724和ECHONET协议转换部分2725的协议转换来发出上述的请求。
响应于服务信息获取请求，空调2757、VCR2756和PC2755向网络信息获取部分122传送本设备能提供给网络的服务的控制命令。此时，还通知先前注册的设备名称、设备类别和服务名称。“设备类别”表示设备类型，如“PC”、“AV设备”或“空调设备”。“设备名称”和“服务名称”用于使用户能够标识设备。较佳的设备名称是“PC”、“VCR”等等，而较佳的服务名称是表示控制命令的操作的名称，如“记录”和“重放”。
网络信息获取部分122在网络信息存储部分123中注册诸如从各自的设备中收集的服务信息之类的信息。图46示出了可存储于网络信息存储部分123中的信息的例子。根据所注册的信息，网络信息存储部分123生成控制菜单。
图47说明了在用户通过使用连接至家外网络(即因特网160)的移动电话141从通信设备2700中获得控制菜单，并通过发出该控制菜单中可用的控制命令来控制家中网络2790上的空调2757的情况下的操作顺序。通过操纵移动电话机141，用户请求通信设备2700传送通信设备2700所保持的控制菜单。一当接收到菜单请求，通信设备2700中的控制命令传送/接收部分2713请求存储于网络信息存储部分123中的一控制菜单。因此，网络信息存储部分123把该控制菜单传送到控制命令传送/接收部分2713。
接着，控制命令传送/接收部分2713向控制终端141传送所接收的控制菜单。控制菜单可以用由控制终端141可执行的应用程序的形式，但最好是以HTML描述的源。在以HTML描述该控制菜单的情况中，控制终端141需要装备有HTML浏览器，以便能够控制设备。此外，较佳的是控制菜单中所显示的项目基于CGI等与控制命令相关联。
接着，用户根据控制菜单而操纵控制终端141，来发出所希望的控制命令。与所述命令一起，还发送了受控终端的设备标识号信息。由网络信息存储部分123从各个网络特定的地址系统中生成设备标识号，它用于通信设备2700唯一地标识连接到各个家中网络的设备。
由控制命令传送/接收部分2713接收从控制终端141发出的控制命令。控制命令传送/接收部分2713将所接收的命令和设备标识号传送给控制命令确定部分2712。此时，还通知包含控制终端141的网络的信息。控制命令确定部分2712请求网络信息存储部分123通知对应于该设备标识号的设备类别。响应于该请求，网络信息存储部分123通知相关的设备类别。
接着，控制命令确定部分2712请求限制条目生成部分131通知对应于接收自控制终端141的控制命令的限制信息。传送设别标识号、“包含控制终端的网络”信息、设备类别以及控制命令作为用于搜索限制信息的条件。限制信息指示出控制命令是否可用。
限制条目生成部分131组合所接收的设别标识号和“包含控制终端的网络”信息，并向个别限制条目存储部分133发出限制条目请求。图48示出了可存储于个别限制条目存储部分133中的限制条目的例子。请注意图48中所示的个别限制条目包括对已通过下述过程注册的新连接设备2575的个别限制条目(在图48中示为新条目A)。另一方面，当前描述的操作顺序是基于这样的假设，即仍要注册这样的新条目A。个别限制条目存储部分133搜索与所接收的设别标识号和“包含控制终端的网络”信息相匹配的限制条目，并向限制条目生成部分131通知搜索结果。如果限制条目生成部分131确定在个别限制条目存储部分133中不存在与所述条件相匹配的限制条目，则限制条目生成部分131向预置限制条目存储部分132传送“包含控制终端的网络”信息和设备类别。预置限制条目存储部分132在预置限制条目中搜索与这些条件相匹配的限制条目，并向限制条目生成部分131通知搜索结果。图49示出了可存储于预置限制条目存储部分132中的预置限制条目的例子。由于要通过家外网络首次控制空调2757，还未在个别限制条目存储部分133中注册空调2757的设备标识号。因此，限制条目生成部分131从预置限制条目存储部分132中获得一匹配的限制条目。限制条目生成部分131在个别限制条目存储部分133中注册与所述设备标识号和“包含控制终端的网络”信息相关联的通知的预置限制条目。
限制条目生成部分131向控制命令确定部分2712通知限制条目、设备标识号以及“包含控制终端的网络”信息。根据所通知的限制条目，控制命令确定部分2712确定是否可发出所接收的控制命令。如果所述限制条目规定“允许访问”，则控制命令确定部分2712向ECHONET协议转换部分2725发出所接收的控制命令。然后，ECHONET协议转换部分2725可按需要根据ECHONET规范来修改控制命令，并向空调2757发出该控制命令。
现在，参考图50的流程图，将描述限制条目生成部分131的操作。为清楚起见，下面的描述将针对一详细示例性情况，其中图46中所示的信息存储于网络信息存储部分123，并且图49中所示的预置限制条目存储于预置限制条目存储部分132，还假设还未注册图48中所示的个别限制条目中的关于连接至家外网络(即因特网160)的受控终端141的限制条目(即图48中的新条目A)。在下面的描述中，以与图25中所使用的标号相同的标号来表示与图25中所示的流程图中的对应部分等同的图50中的任何处理步骤，并且将省略对它们的描述。
在步骤S901，限制条目生成部分131接收来自控制命令确定部分2712的设备标识号、“包含控制终端的网络”信息以及设备类别作为基于其生成一限制条目的条件。特别地，在该步骤接收下面的条目设备标识号＝0x0003“包含控制终端的网络”信息＝家外设备类别＝空调设备在步骤S902，根据设备标识号和“包含控制终端的网络”信息，向个别限制条目存储部分133作出对发送个别限制条目的请求。在步骤S903处，接收对应于在步骤S902处请求的条件的限制条目。在该例子中，通知对应于所述条件的任何限制条目的缺乏。在步骤S904处，确认是否有任何不具有对应的限制信息的条件组存在。如果有这样的一组条件，控制进行到步骤S905；否则控制进行到步骤S908。在该例子中，控制进行到步骤S905。
在步骤S905处，对于不具有对应的限制信息的该组条件，向预置限制条目存储部分132作出通知对应于该组条件(即除了设备标识号)的限制条目的请求。在步骤S906，接收与在步骤S905处请求的条件匹配的限制信息。特别地，在该步骤接收下面的条目“包含控制终端的网络”信息＝家外设备类别＝空调设备限制信息＝允许访问在步骤S907处，在个别限制条目存储部分133中注册在步骤S906处接收的限制条目。结果，新注册了一个别限制条目(在图48中指示为新条目A)。在步骤S908处，向控制命令确定部分2712通知与限制信息相关联的条件。结果，由于限制信息对于从家外网络控制空调而指定了“访问允许”，控制命令确定部分2712通知控制终端141允许命令的执行。另一方面，如果通知的限制信息指定“禁止访问”，则控制命令确定部分2712经控制命令传送/接收部分2713向控制终端141通知“禁止控制”。响应于该通知，控制终端141显示一图像，该图像可指示出如“你没有访问该控制命令的权限”。
可由用户通过输入部分134的手段来设置存储于个别限制条目存储部分133中的个别限制条目。还可由用户通过输入部分134的手段来设置由限制条目生成部分131生成并注册于个别限制条目存储部分133中的个别限制条目。也可由用户通过输入部分134的手段来设置存储于预置限制条目存储部分132中的预置限制条目。
虽然，在本实施例中以从家外访问的例子说明了来自连接至因特网160的控制终端141的控制命令的发布，但是家外网络可以是除了因特网之外的其它任何网络。而且，可从连接至例如IP网络2780、IEEE1394总线170、ECHONET2790或任何其它网络的家中网络的控制终端发出控制命令，以控制一“受控”设备。作为从家中访问的例子，可从PC2755发出控制命令，以控制一“受控”设备。
虽然本实施例说明了IEEE1394总线170、IP网络2780以及ECHONET2790作为家中网络，以及因特网160作为家外网络，但是可改为使用任何其它网络。网络可以是有线或无线的。其它网络的例子包括ECHONET、蓝牙等。
虽然本实施例说明了把4个网络连接到通信设备2700的例子，但是可把任何数量的网络，如1至3个、或5个或更多个，连接至通信设备2700。
虽然在本实施例中说明的服务是由各个设备独立提供的，但是本发明也可适用于涉及两个设备的使用的服务，例如VCR之间的复制操作或通信路径的设置。
作为对于限制条目的条件，可改为使用除了那些用于本实施例中的之外的任何参数。例如，也可使用设备类别、服务信息、用户ID、使用时间或设备的处理能力，如显示能力/声音重放能力。
虽然本实施例说明了PC、VCR和空调作为“受控”终端的例子，但是这些设备的任何一个都可充当用以控制其它受控设备的“控制”终端。例如，PC可通过通信设备来控制VCR。
虽然本实施例说明了AV设备和空调设备作为设备类别，但是也可使用其它类型的类别，诸如“VCR”、“调谐器”等等。
在本实施例中，根据存储于网络信息存储部分123中的元素信息来预先生成一菜单。作为备择，当控制命令传送/接收部分2713请求一菜单时，网络信息获取部分122可获得元素信息并生成一菜单。在预先生成菜单的情况下，存在这样的优点，即提供了对用户操作的改进的响应。另一方面，在按需生成菜单的情况中，存在这样的优点，即用于存储元素信息的存储容量是不必要的。
虽然本实施例说明了当从控制终端141发出控制命令时生成对于新服务的限制条目的例子，但是也可能在检测到新设备时进行生成。这样的安排比前一情况较佳，因为减少了用户发出控制命令之后，以及控制命令中继部分2710确定所发出的控制命令的有效性，并把它发布给受控终端之前所要求的时间。
如上所述，根据该第5实施例，即使没有发现对应于一组给定条件的个别限制条目，也可根据预置限制条目来实现访问限制。因此，用户不需要每次设置访问限制。从而，可能开始使用任何要被使用的新设备，而不用必须对每个服务进行访问设置。
根据本实施例，与第2实施例相反，可对从控制终端发出的控制命令实现访问限制，而在第2实施例中在一从通信设备发送给用户的控制菜单上反映出访问限制的内容。
由于基于连接控制终端和受控终端的网络来设置访问限制，可通过例如许可对于对不确定的公众开放的家外网络(如因特网)的访问，而禁止对于诸如IEEE1394总线之类的家中网络的访问，来实现面向方便性和面向安全性两者的限制。
下文中，将描述权利要求中没有直接提出的但可从本发明的实施例中掌握的一些技术概念，其中每个概念都继之以一对由该概念获得的效果的描述。
第1技术概念是针对一连接至一个或多个网络的通信设备，所述网络具有多个与之连接的设备，所述多个设备包括控制设备和受控设备。所述通信设备有条件地限制控制设备对受控设备的控制。该通信设备包括目录管理装置、限制条目管理装置以及控制限制装置。所述目录管理装置获得并管理关于所述一个或多个网络以及所述连接至所述一个或多个网络的多个设备的信息，作为元素信息。所述限制条目管理装置管理个别限制条目，每条个别限制条目包括与之相关联的控制条件和限制信息，其中限制信息规定在控制条件下是否允许控制终端对受控终端的控制。所述控制条件包括元素信息、关于控制设备的信息以及希望通过使用控制设备实施对受控设备的控制的用户的标识符中的至少一个。所述控制限制装置根据所述元素信息和个别限制条目，限制设备间的控制。对于不具有相关联的限制信息的任何新的控制条件，限制条目管理装置动态地生成要与之相关联的限制信息，并注册新的控制条件和所生成的限制信息，作为新的个别限制条目。
从而，根据所述第1技术概念，可以这样的方式实现网络上的设备间的控制，即如果未注册指示出是允许还是禁止这样的控制的信息(例如当已把一新设备连接到网络时)，则以动态的方式生成一指示出是允许还是禁止这样的控制的限制条目，这样用户就不必每次都设置限制。因此，即使不具有对网络管理的足够知识的人正巧把一设备连接到网络，也有可能允许在网络上发生这样的控制，而保持高的网络安全等级。根据关于连接至网络的设备的信息以及关于控制设备的信息(如关于包含控制终端的网络的信息或关于控制设备的能力的信息，诸如显示能力/重放能力)、希望这样的控制的用户的标识符的信息、和/或各种其它条件，或它们的组合，可动态地作出面向安全的较佳设置。
根据基于所述第1技术概念的第2技术概念，所述限制条目管理装置包括用于存储预置限制条目的预置限制条目存储装置，当不存在匹配一组给定的控制条件的个别限制条目时，要应用所述预置限制条目。如果不存在匹配一组给定的控制条件的个别限制条目，则根据所述预置限制条目生成对应于该组条件的新的个别限制条目。
从而，根据所述第2技术概念，为了实现对于在个别限制条目中不存在的一组控制条件的限制，根据预定的预置限制条目生成与所述控制条件匹配的面向安全的较佳的控制项目。结果，例如，当把新设备连接到网络时，可根据预定的预置限制条目对新设备自动地设置面向安全的较佳的设置。
根据基于所述第1技术概念的第3技术概念，如果不存在与一组给定的控制条件相匹配的个别限制条目，则限制条目管理手段从当前管理的个别限制条目之间选择一与所述条件组除了一个或多个条件之外都相匹配的个别限制条目，并根据所选择的个别限制条目生成一对应于所述控制条件组的新的个别限制条目。
从而，根据所述第3技术概念，即使没有注册与一组给定控制条件相匹配的个别限制条目，也可根据从已注册的个别限制条目之中选择的与所述条件组除了一个或多个条件之外都相匹配的个别限制条目，来自动地设置关于该组控制条件的控制的允许和禁止。所排除的一个或多个条件可以是如设备标识号或操作控制设备的用户的标识号。从而，当把新设备连接到网络，并且还未注册与新设备的标识符有关的限制条目时，根据已注册的个别限制条目中的与除了设备标识符之外的条件相匹配的个别限制条目，可通过推断来自动地作出面向安全的较佳设置，而无需预先要求对新设备作出任何具体设置。
根据基于所述第3技术概念的第4技术概念，如果不存在与一组给定的控制条件相匹配的个别限制条目，则限制条目管理装置从当前管理的个别限制条目中选择一与所述条件组除了一个或多个条件之外都相匹配的个别限制条目。如果所有选定的个别限制条目中的限制信息规定“允许控制”，则限制条目管理装置生成一具有规定“允许控制”限制信息的新的个别限制条目，作为对应于所述控制条件组的个别限制条目；或者，如果任何选定的个别限制条目中的限制信息规定“禁止控制”，则限制条目管理装置生成一具有规定“禁止控制”的限制信息的新的个别限制条目，作为对应于该组控制条件的个别限制条目。
从而，根据所述第4技术概念，对于一组要按其限制控制的控制条件，只有全部选定的个别限制条目规定“允许控制”，才将设置规定“允许控制”的限制信息。从而，排除了对任一组条件注册“允许控制”(通过限制条目的自动设置)的危险，而按该组条件应不允许控制。结果，可用更安全的方式进行限制条目的自动设置。
根据基于所述第1技术概念的第5技术概念，限制条目管理装置包括用于存储预置限制条目的预置限制条目存储装置，当不存在与一组给定的控制条件相匹配的个别限制条目时，将应用所述预置限制条目。如果不存在与一组给定的控制条件相匹配的限制条目，则限制条目管理装置这样进行个别限制条目的生成，即如果当前管理的个别限制条目之中存在预定个数或更多的与所述条件组除了一个或多个条件之外都相匹配的个别限制条目，则限制条目管理装置根据与该组控制条件有关的个别限制条目中的限制信息，生成对应于该组控制条件的一新的个别限制条目；或者，如果当前管理的个别限制条目之中不存在预定个数或更多的与所述条件组除了一个或多个条件之外都相匹配的个别限制条目，则限制条目管理装置根据预置限制条目生成对应于该组控制条件的一新的个别限制条目。
从而，根据所述第5技术概念，对于一组还未注册限制条目的控制条件，可用下面的方式设置限制信息。也就是，如果存在预定数量的或更多的个别限制条目，根据这些限制条目对该组控制条件推断限制信息，则根据这样的个别限制条目设置限制信息。另一方面，如果不存在预定个数的或更多的这样的个别限制条目，则根据预置限制条目设置限制信息。结果，有可能排除通过依赖不足数量的个别限制条目来对所述控制条件推断限制信息而进行的不希望的设置的危险。
根据基于所述第1技术概念的第6技术概念，控制限制装置根据于所述限制条目管理装置中管理的个别限制条目，通过向控制设备传送控制菜单来限制控制设备的控制，其中所述控制菜单由一个或多个对所述控制设备是可控制的服务组成。
从而，根据所述第6技术概念，简单地通过在通知给控制设备本身的控制菜单上反映限制内容，可限制对设备的控制。由于希望实施控制的用户可预先知道哪个项目是可控制的，则可用与任何在控制命令的执行之前担忧是否将允许控制的不确定性的问题无关的方式实现设备控制。
根据基于第1技术概念的第7技术概念，控制限制装置根据于限制条目管理装置中管理的个别限制条目，通过仅向受控设备发送从控制设备发出的控制命令中的那些与对所述控制设备是可控制的有关的控制命令，来限制控制设备的控制。
从而，根据所述第7技术概念，当用户从控制终端发出命令时，就确定了控制的允许和禁止。因此，例如，在已改变了控制项目之后，将立刻在控制限制上反映出所述变化，从而以简单的方式促进了更安全的限制。
根据基于第1技术概念的第8技术概念，所述目录管理装置包括用于检测正连接到一个或多个网络的新设备的组成元素检测装置。
从而，根据所述第8技术概念，可检测连接到网络的新设备，使得目录管理装置可自动地获得最新的元素信息。
根据基于第1技术概念的第9技术概念，所述控制条件包括关于连接控制终端的网络是家中网络还是家外网络的条件。
从而，根据所述第9技术概念，根据是从家中还是从家外作出访问，可限制控制。例如，通过允许来自家中的访问，而禁止来自家外的访问，可动态地作出高度安全的设置。
第10技术概念是针对一种通信限制方法，该方法涉及一个或多个网络，所述网络具有多个与之连接的设备，所述多个设备包括控制设备和受控设备，该方法用于有条件地限制控制设备对受控设备的控制。该通信限制方法包括目录管理步骤、限制条目管理步骤以及控制限制步骤。所述目录管理步骤获得并管理关于所述一个或多个网络以及所述连接至所述一个或多个网络的多个设备的信息，作为元素信息。所述限制条目管理步骤管理个别限制条目，每条个别限制条目包括与之相关联的控制条件和限制信息，其中限制信息规定在控制条件下是否允许控制终端对受控终端的控制。所述控制条件包括元素信息、关于控制设备的信息以及希望通过使用控制设备实施对受控设备的控制的用户的标识符中的至少一个。所述控制限制步骤根据所述元素信息和个别限制条目，限制设备间的控制。对于不具有相关联的限制信息的任何新的控制条件，限制条目管理步骤动态地生成要与之相关联的限制信息，并注册新的控制条件和所生成的限制信息，作为新的个别限制条目。
从而，根据所述第10技术概念，可以这样的方式实现网络上的设备间的控制，即如果未注册指示出是允许还是禁止这样的控制的信息(例如当把一新设备连接到网络时)，则以动态的方式生成一指示出是允许还是禁止这样的控制的限制条目这样用户就不必每次设置限制。因此，即使不具有对网络管理的足够知识的人正巧把一设备连接到网络，也有可能允许在网络上发生这样的控制，而保持高的网络安全等级。根据关于连接至网络的设备的信息以及关于控制设备的信息(如关于包含控制终端的网络的信息或关于控制设备的能力的信息，诸如显示能力/重放能力)、希望这样的控制的用户的标识符的信息、和/或各种其它条件，或它们的组合，可动态地作出面向安全的较佳设置。
根据基于所述第10技术概念的第11技术概念，所述限制条目管理步骤包括用于存储预置限制条目的预置限制条目存储步骤，当不存在匹配一组给定的控制条件的个别限制条目时，要应用所述预置限制条目。如果不存在匹配一组给定的控制条件的个别限制条目，则根据所述预置限制条目生成对应于该组条件的新的个别限制条目。
从而，根据所述第11技术概念，为了实现对于在个别限制条目中不存在的一组控制条件的限制，根据预定的预置限制条目生成与所述控制条件匹配的面向安全的较佳的控制项目。结果，例如，当把新设备连接到网络时，可根据预定的预置限制条目对新设备自动地设置面向安全的较佳的设置。
根据基于所述第10技术概念的第12技术概念，如果不存在与一组给定的控制条件相匹配的个别限制条目，则限制条目管理步骤从当前管理的个别限制条目之间选择一与所述条件组除了一个或多个条件之外都相匹配的个别限制条目，并根据所选择的个别限制条目生成一对应于所述控制条件组的新的个别限制条目。
从而，根据所述第12技术概念，即使没有注册与一组给定控制条件相匹配的个别限制条目，也可根据从已注册的个别限制条目之中选择的与所述条件组除了一个或多个条件之外都相匹配的个别限制条目，来自动地设置关于该组控制条件的控制的允许和禁止。所排除的一个或多个条件可以是如设备标识号或操作控制设备的用户的标识号。从而，当把新设备连接到网络，并且还未注册与新设备的标识符有关的限制条目时，根据已注册的个别限制条目中的与除了设备标识符之外的条件相匹配的个别限制条目，可通过推断来自动地作出面向安全的较佳设置，而无需预先要求对新设备作出任何具体设置。
根据基于所述第12技术概念的第13技术概念，如果不存在与一组给定的控制条件相匹配的个别限制条目，则限制条目管理步骤从当前管理的个别限制条目中选择一与所述条件组除了一个或多个条件之外都相匹配的个别限制条目。如果所有选定的个别限制条目中的限制信息规定“允许控制”，则限制条目管理步骤生成一具有规定“允许控制”限制信息的新的个别限制条目，作为对应于所述控制条件组的个别限制条目；或者，如果任何选定的个别限制条目中的限制信息规定“禁止控制”，则限制条目管理步骤生成一具有规定“禁止控制”的限制信息的新的个别限制条目，作为对应于该组控制条件的个别限制条目。
从而，根据所述第13技术概念，对于一组要按其限制控制的控制条件，只有全部选定的个别限制条目规定“允许控制”，才将设置规定“允许控制”的限制信息。从而，排除了对任一组条件注册“允许控制”(通过限制条目的自动设置)的危险，而按该组条件应不允许控制。结果，可用更安全的方式进行限制条目的自动设置。
根据基于所述第10技术概念的第14技术概念，限制条目管理步骤包括用于存储预置限制条目的预置限制条目存储步骤，当不存在与一组给定的控制条件相匹配的个别限制条目时将应用所述预置限制条目。如果不存在与一组给定的控制条件相匹配的限制条目，则限制条目管理步骤这样进行个别限制条目的生成，即如果当前管理的个别限制条目之中存在预定个数或更多的与所述条件组除了一个或多个条件之外都相匹配的个别限制条目，则限制条目管理步骤根据与该组控制条件有关的个别限制条目中的限制信息，生成对应于该组控制条件的一新的个别限制条目；或者，如果当前管理的个别限制条目之中不存在预定个数或更多的与所述条件组除了一个或多个条件之外都相匹配的个别限制条目，则限制条目管理步骤根据预置限制条目生成对应于该组控制条件的一新的个别限制条目。
从而，根据所述第14技术概念，对于对其还未注册限制条目一组控制条件，可用下面的方式设置限制信息。也就是，如果存在预定数量的或更多的个别限制条目，根据这些限制条目对该组控制条件推断限制信息，则根据这样的个别限制条目设置限制信息。另一方面，如果不存在预定个数的或更多的这样的个别限制条目，则根据预置限制条目设置限制信息。结果，有可能排除通过依赖不足数量的个别限制条目来对所述控制条件推断限制信息而进行的不希望的设置的危险。
根据基于所述第10技术概念的第15技术概念，控制限制步骤根据于所述限制条目管理步骤中管理的个别限制条目，通过向控制设备传送控制菜单来限制控制设备的控制，其中所述控制菜单由一个或多个对所述控制设备是可控制的服务组成。
从而，根据所述第15技术概念，简单地通过在通知给控制设备本身的控制菜单上反映限制内容，可限制对设备的控制。由于希望实施控制的用户可预先知道哪个项目是可控制的，则可用与任何在控制命令的执行之前担忧是否将允许控制的不确定性的问题无关的方式实现设备控制。
根据基于第10技术概念的第16技术概念，控制限制步骤根据于限制条目管理步骤中管理的个别限制条目，通过仅向受控设备发送从控制设备发出的控制命令中的那些与对所述控制设备是可控制的有关的控制命令，来限制控制设备的控制。
从而，根据所述第16技术概念，当用户从控制终端发出命令时，就确定了控制的允许和禁止。因此，例如，在已改变了控制项目之后，将立刻在控制限制上反映出所述变化，从而以简单的方式促进了更安全的限制。
根据基于第10技术概念的第17技术概念，所述目录管理步骤包括用于检测正连接到一个或多个网络的新设备的组成元素检测步骤。
从而，根据所述第1 7技术概念，可检测连接到网络的新设备，使得目录管理步骤可自动地获得最新的元素信息。
根据基于第10技术概念的第18技术概念，所述控制条件包括关于连接控制终端的网络是家中网络还是家外网络的条件。
从而，根据所述第18技术概念，根据是从家中还是从家外作出访问，可限制控制。例如，通过允许来自家中的访问，而禁止来自家外的访问，可动态地作出高度安全的设置。
行业适用范围如上所述，根据本发明的一种用于设置防火墙的方法和设备，能通过限制有权从外部网络访问内部网络上的每个终端的用户，以及通过允许用户访问内部网络上的选定终端，来协调安全性和便利性。
权利要求
1.一种用于阻止对内部网络的未授权的外部访问的防火墙设备，所述内部网络具有通过外部网络连接至一外部终端的多个服务器，其中所述多个服务器的每一个都提供一服务，其特征在于包括数据处理部分，用于处理发送自所述外部终端的通信数据，并根据所述通信数据在所述多个服务器中的至少一个与所述外部终端之间设置一通信路径，其中所述通信数据至少包括外部终端的外部地址，以及用于识别外部终端的用户的用户标识数据；以及交换部分，用于基于由所述数据处理部分设置的通信路径而连接至少一个服务器和所述外部终端，其中所述数据处理部分包括多个功能部分；以及通信部分，用于至少接收所述通信数据，并请求所述多个功能部分根据所述数据的内容进行处理，其中所述多个功能部分包括身份验证功能部分，用于验证用户的标识数据；目录管理功能部分，用于注册服务信息的单元，其中服务信息的每个单元表示所述多个服务器中的一个的内部地址，以及与预定许可的接受者数据相关联的服务类型，所述预定许可的接受者数据指定有权连接到所述服务器的外部用户，并允许由所述身份验证功能部分给予验证的用户选择所述服务信息的单元之一，该服务信息的许可的接受者数据指定该用户；以及通信路径设置功能部分，用于使用通过所述目录管理功能部分选择的服务信息的单元所表示的服务器的内部地址以及所述外部终端的外部地址，来设置所述通信路径。
2.如权利要求1所述的防火墙设备，其特征在于注册于所述目录管理功能部分中的服务信息的每个单元是根据至少包括所述内部地址和所述服务类型的服务数据而注册的，其中所述服务数据从所述服务器发送。
3.如权利要求2所述的防火墙设备，其特征在于所述服务数据进一步包括服务删除数据，指示出由所述服务器提供的服务不可用，以及其中，注册于所述目录管理功能部分中的服务信息的每个单元是可根据所述服务删除数据删除的。
4.如权利要求2所述的防火墙设备，其特征在于所述服务数据进一步包括许可的接受者改变数据，用于改变许可的接受者数据，以及其中，有权按注册于所述目录管理功能部分中的服务信息的每个单元中所指定的那样连接到一服务的外部用户是可根据所述许可的接受者改变数据改变的。
5.如权利要求2所述的防火墙设备，其特征在于所述服务数据进一步包括服务器标识信息，用于以固定的方式标识服务器，以及所述目录管理功能部分根据所述服务标识信息，更新对于所述内部地址的服务信息的每个单元。
6.如权利要求1所述的防火墙设备，其特征在于注册于所述目录管理功能部分中的服务信息的每个单元是根据至少包括所述内部地址和所述服务类型的服务数据而注册的，其中所述服务数据由所述目录管理功能部分从所述服务器获得。
7.如权利要求1所述的防火墙设备，其特征在于所述目录管理功能部分根据至少包括所述内部地址和所述服务类型的服务数据，注册服务信息的每个单元，以及其中如果在所述目录管理功能部分中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则目录管理功能部分对该服务数据自动地生成许可的接受者数据。
8.如权利要求7所述的防火墙设备，其特征在于所述目录管理功能部分包括预置许可的接受者数据存储装置，用于存储预置许可的接受者数据，如果没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则将要应用所述预置许可的接受者数据，以及其中如果在所述目录管理功能部分中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理功能部分根据所述预置许可的接受者数据对所述服务数据新近生成许可的接受者数据。
9.如权利要求7所述的防火墙设备，其特征在于如果在所述目录管理功能部分中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理功能部分从当前注册的许可的接受者数据之中选择那些与服务数据中规定的一组条件除了一个或多个条件之外都相匹配的许可的接受者数据，并根据选定的许可的接受者数据对所述服务数据新近生成许可的接受者数据。
10.如权利要求7所述的防火墙设备，其特征在于所述目录管理功能部分包括预置许可的接受者数据存储装置，用于存储预置许可的接受者数据，如果没有注册与所述多个服务器之一的内部地址和所述服务类型相关联的许可的接受者数据，则将要应用所述预置许可的接受者数据，以及其中如果在所述目录管理功能部分中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理功能部分从当前注册的许可的接受者数据之中选择那些与所述服务数据中规定的一组条件除了一个或多个条件之外都相匹配的许可的接受者数据，以及a)如果选定的许可的接受者数据的数量等于或大于预定值，则根据选定的许可的接受者数据对所述服务数据新近生成许可的接受者数据；或b)如果选定的许可的接受者数据的数量小于预定值，则根据所述预置许可的接受者数据对所述服务数据新近生成许可的接受者数据。
11.如权利要求1所述的防火墙设备，其特征在于当预定的时间期到期时，删除注册于所述目录管理功能部分中的服务信息的每个单元。
12.如权利要求1所述的防火墙设备，其特征在于所述通信路径设置功能部分监控通过已设置的所述通信路径而传送的数据，以及如果在预定的时间期内没有通过所述通信路径传送数据，则关闭该通信路径。
13.如权利要求1所述的防火墙设备，其特征在于所述通信路径设置功能部分一当接收到从所述外部终端传送的服务通信终止数据，就关闭所述通信路径，其中所述服务通信终止数据指示出与服务器的服务通信的终止。
14.如权利要求1所述的防火墙设备，其特征在于所述通信路径设置功能部分一当接收到从所述服务器传送的服务通信终止数据，就关闭所述通信路径，其中所述服务通信终止数据指示出与所述外部终端的服务通信的终止。
15.一种用于阻止对内部网络的未授权的外部访问的防火墙设备，所述内部网络具有通过外部网络连接至多个外部终端的多个服务器，其中所述多个服务器的每一个都提供一服务，其特征在于包括数据处理部分，用于处理包含发送自所述多个服务器中的至少一个的服务数据的通信数据，并根据该通信数据在所述服务器与所述多个外部终端中的至少一个之间设置一通信路径，其中所述服务数据至少包括所述服务器的内部地址和服务类型；以及交换部分，用于基于由所述数据处理部分设置的通信路径而连接所述服务器和所述外部终端，其中所述数据处理部分包括多个功能部分；以及通信部分，用于至少接收所述服务数据，并请求所述多个功能部分根据所述数据的内容进行处理，其中所述多个功能部分包括目录管理功能部分，用于注册服务信息的单元，其中服务信息的每个单元表示与预定许可的接受者数据相关联的内部地址和服务类型，所述预定许可的接受者数据指定有权连接到所述服务器的所述多个外部终端中的至少一个；以及通信路径设置功能部分，用于当注册了所述服务信息时，使用由所述许可的接受者数据和所述服务器的内部地址指定的所述多个外部终端中的至少一个的外部地址，来设置所述通信路径。
16.如权利要求15所述的防火墙设备，其特征在于注册于所述目录管理功能部分中的所述许可的接受者数据指定所述多个外部终端全部有权连接到所述服务器。
17.一种用于阻止对内部网络的未授权的外部访问的防火墙设置方法，所述内部网络具有通过外部网络连接至一外部终端的多个服务器，其中所述多个服务器的每一个都提供一服务，其特征在于包括数据处理步骤，用于处理发送自所述外部终端的通信数据，并根据所述通信数据在所述多个服务器中的至少一个与所述外部终端之间设置一通信路径，其中所述通信数据至少包括外部终端的外部地址，以及用于识别外部终端的用户的用户标识数据；以及连接步骤，用于基于由所述数据处理步骤设置的通信路径而连接至少一个服务器和所述外部终端，其中所述数据处理步骤包括通信步骤，用于至少接收所述通信数据，并请求多个步骤根据所述数据的内容进行处理，其中所述多个步骤包括身份验证步骤，用于验证用户标识数据；目录管理步骤，用于注册服务信息的单元，其中服务信息的每个单元表示所述多个服务器中的一个的内部地址，以及与预定许可的接受者数据相关联的服务类型，所述预定许可的接受者数据指定有权连接到所述服务器的外部用户，并允许由所述身份验证步骤给予验证的用户选择所述服务信息的单元之一，该服务信息的许可的接受者数据指定该用户；以及通信路径设置步骤，用于使用通过所述目录管理步骤选择的服务信息的单元所表示的服务器的内部地址以及所述外部终端的外部地址，来设置所述通信路径。
18.如权利要求17所述的防火墙设置方法，其特征在于根据至少包括所述内部地址和所述服务类型的服务数据，注册在所述目录管理步骤中注册的服务信息的每个单元，其中所述服务数据从所述服务器发送。
19.如权利要求18所述的防火墙设置方法，其特征在于所述服务数据进一步包括服务删除数据，指示出由所述服务器提供的服务不可用，以及其中，在所述目录管理步骤中注册的服务信息的每个单元是可根据所述服务删除数据删除的。
20.如权利要求18所述的防火墙设置方法，其特征在于所述服务数据进一步包括许可的接受者改变数据，用于改变许可的接受者数据，以及其中，有权按在所述目录管理步骤中注册的服务信息的每个单元中所指定的那样连接到一服务的外部用户是可根据所述许可的接受者改变数据改变的。
21.如权利要求18所述的防火墙设置方法，其特征在于所述服务数据进一步包括服务器标识信息，用于以固定的方式标识服务器，以及所述目录管理步骤根据所述服务标识信息，更新对于所述内部地址的服务信息的每个单元。
22.如权利要求17所述的防火墙设置方法，其特征在于根据至少包括所述内部地址和所述服务类型的服务数据，注册在所述目录管理步骤中注册的服务信息的每个单元，其中所述服务数据由所述目录管理步骤从所述服务器获得。
23.如权利要求17所述的防火墙设置方法，其特征在于所述目录管理步骤根据至少包括所述内部地址和所述服务类型的服务数据，注册服务信息的每个单元，以及其中如果在所述目录管理步骤中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则目录管理步骤对该服务数据自动地生成许可的接受者数据。
24.如权利要求23所述的防火墙设置方法，其特征在于所述目录管理步骤包括预置许可的接受者数据存储步骤，用于存储预置许可的接受者数据，如果没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则将要应用所述预置许可的接受者数据，以及其中如果在所述目录管理步骤中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理步骤根据所述预置许可的接受者数据对所述服务数据新近生成许可的接受者数据。
25.如权利要求23所述的防火墙设置方法，其特征在于如果在所述目录管理步骤中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理步骤从当前注册的许可的接受者数据之中选择那些与服务数据中规定的一组条件除了一个或多个条件之外都相匹配的许可的接受者数据，并根据选定的许可的接受者数据对所述服务数据新近生成许可的接受者数据。
26.如权利要求23所述的防火墙设置方法，其特征在于所述目录管理步骤包括预置许可的接受者数据存储步骤，用于存储预置许可的接受者数据，如果没有注册与所述多个服务器之一的内部地址和所述服务类型相关联的许可的接受者数据，则将要应用所述预置许可的接受者数据，以及其中如果在所述目录管理步骤中没有注册与所述多个服务器中的一个的内部地址和所述服务类型相关联的许可的接受者数据，则所述目录管理步骤从当前注册的许可的接受者数据之中选择那些与所述服务数据中规定的一组条件除了一个或多个条件之外都相匹配的许可的接受者数据，以及a)如果选定的许可的接受者数据的数量等于或大于预定值，则根据选定的许可的接受者数据对所述服务数据新近生成许可的接受者数据；或b)如果选定的许可的接受者数据的数量小于预定值，则根据所述预置许可的接受者数据对所述服务数据新近生成许可的接受者数据。
27.如权利要求17所述的防火墙设置方法，其特征在于当预定的时间期到期时，删除在所述目录管理步骤中注册的服务信息的每个单元。
28.如权利要求17所述的防火墙设置方法，其特征在于所述通信路径设置步骤监控通过已设置的所述通信路径而传送的数据，以及如果在预定的时间期内没有通过所述通信路径传送数据，则关闭该通信路径。
29.如权利要求17所述的防火墙设置方法，其特征在于所述通信路径设置步骤一当接收到从所述外部终端传送的服务通信终止数据，就关闭所述通信路径，其中所述服务通信终止数据指示出与服务器的服务通信的终止。
30.如权利要求17所述的防火墙设置方法，其特征在于所述通信路径设置步骤一当接收到从所述服务器传送的服务通信终止数据，就关闭所述通信路径，其中所述服务通信终止数据指示出与所述外部终端的服务通信的终止。
31.一种用于阻止对内部网络的未授权的外部访问的防火墙设置方法，所述内部网络具有通过外部网络连接至多个外部终端的多个服务器，其中所述多个服务器的每一个都提供一服务，其特征在于包括数据处理步骤，用于处理包含发送自所述多个服务器中的至少一个的服务数据的通信数据，并根据该通信数据在所述服务器与所述多个外部终端中的至少一个之间设置一通信路径，其中所述服务数据至少包括所述服务器的内部地址和服务类型；以及连接步骤，用于基于由所述数据处理步骤设置的通信路径而连接所述服务器和所述外部终端，其中所述数据处理步骤包括通信步骤，用于至少接收所述服务数据，并请求多个步骤根据所述数据的内容进行处理，其中所述多个步骤包括目录管理步骤，用于注册服务信息的单元，其中服务信息的每个单元表示与预定许可的接受者数据相关联的内部地址和服务类型，所述预定许可的接受者数据指定有权连接到所述服务器的所述多个外部终端中的至少一个；以及通信路径设置步骤，用于当注册了所述服务信息时，使用由所述许可的接受者数据和所述服务器的内部地址指定的所述多个外部终端中的至少一个的外部地址，来设置所述通信路径。
32.如权利要求31所述的防火墙设置方法，其特征在于在所述目录管理步骤中注册的所述许可的接受者数据指定所述多个外部终端全部有权连接到所述服务器。
全文摘要
家庭网关HGW(1)包括通信部分(31)、身份验证功能部分(32)、目录管理功能部分(33)以及通信路径设置功能部分(34)。通信部分(31)接收传送到HGW(1)的数据。身份验证功能部分(32)验证上述数据是否来自授权的用户。响应于服务注册，目录管理功能部分(33)注册服务信息，检查该服务信息和服务许可策略之间的匹配，并请求通信路径设置功能部分(34)设置一通信路径。通信路径设置功能部分(34)监控沿通信路径的数据通信的状态，并关闭已设置的任何不必要的通信路径。结果，就有可能限制有权从外部网络访问内部网络上的每个终端的用户，并允许用户访问内部网络上的选定终端。
文档编号H04L29/06GK1462536SQ02801359
公开日2003年12月17日 申请日期2002年3月14日 优先权日2001年3月16日
发明者古門健, 岡田恭典, 久保田幸司, 齊藤孝弘, 石川博一 申请人:松下电器产业株式会社