专利名称:基于模式的访问控制方法和装置的制作方法
技术领域:
与本发明一致的设备和方法涉及在家庭网络环境中的安全设置,更具体地说,涉及一种基于模式的访问控制方法和装置,所述方法和装置能够根据各种模式按照用户的(或管理员的)决定进行安全设置,并允许特定用户的访问控制,并且所述方法和装置克服了逐个操作家庭网络中装置安全的传统方法的不便。
背景技术:
家庭网络的特点是主人和客人访问家庭网络装置的频率改变。通常,除了不需要特定的安全设置的情况外,必须根据用户的类型(例如,家长、孩子和客人)建立不同的访问等级。例如,允许家长不受限制地使用成人内容的装置,但是由家长决定孩子受限制地访问还是不能访问这些内容。也需要对客人进行访问控制,从而不允许客人访问一些限于家庭成员的特定的装置或数字运动画面。在图1A和图1B中示出用于设置家庭网络的安全的传统方法。
图1A是示出根据现有技术的家庭网络装置的访问控制的配置的示图。图1A所示的传统的机械装置,其中,被控装置(以下,称为“CD”)10仅允许控制点(以下,称为“CP”)通过访问控制列表(以下,称为“ACL”)10a控制它的功能。安全控制台(以下,称为“SC”)编辑CD 10的ACL 10a,并执行安全设置。
图1B是示出根据现有技术的家庭网络装置的安全操作的示图。UPnP系统被用作家庭网络的示例,下面将描述在安全CD 10和用于控制安全CD 10的安全CP 20之间的安全操作。
首先,在安全CP 20和安全CD 10之间执行发现处理(S10),其被分类为公告处理,在该处理中,新的安全CD 10被连接到家庭网络,并且新的安全CD 10将自身介绍给家庭网络上的其它装置;发现处理,在该处理中,新的安全CP 20被连接到家庭网络,并搜索在家庭网络中操作的安全CD 10。
其次,执行描述处理(S20)。在该处理中,为了控制安全CD 10,安全CP 20请求安全CD 10发送服务描述XML文件或装置描述XML文件。当从该安全CD 10接收到请求的描述XML文件(装置的UPnP描述,服务的UPnP描述)后,安全CP 20分析接收的文件。
同时,安全CP 20从安全CD 10获得公共密钥(S30),然后设置会话密钥(S40)。然后,在这种安全条件下这两个装置继续执行它们的功能(S50)。即,由于在家庭网络中对每个装置都执行安全设置,因此不管用户是谁都保持相同的安全设置。
根据上述的传统的家庭网络安全系统,每当改变具有设置装置的服务的权限的主人时,不得不重新编辑每个家庭网络装置的安全设置,这非常麻烦而且耗时。
另外,需要附加的处理以允许家庭网络装置通过有效的连接到客人装置来向客人装置提供特定的服务。然而,根据现有技术,这个处理也是麻烦和不便的。存在能够被有效地连接到客人装置的各种类型的家庭装置。然而,在这种情况下,为了编辑装置的ACL,不得不将每当客人访问该装置时就被改变的客人装置的信息映射到家庭网络装置。
因此,根据传统的系统,很难对家庭网络用户分别执行安全设置,并且必须执行安全设置,从而每个家庭网络用户能够同时控制所有家庭网络装置。
发明内容
考虑到现有技术的上述问题而进行本发明,并且本发明的一方面在于提供一种基于模式的访问控制方法和装置,其能够简化设置各种类型的家庭装置的安全的处理,以及共同地应用于关于由主人设置的特定的安全模式的所有家庭网络装置安全设置。
本发明不限于上述方面。从下面的详细描述中本领域的技术人员将更加明确地理解没有描述于此的其它方面。
根据本发明的一方面,一种基于模式的访问控制方法包括制造指示家庭网络中存在的装置的安全设置状态的安全模式列表;设置从安全模式列表上的模式中选择的特定的安全模式;以及使装置在特定的安全模式中执行其的功能。
根据本发明的另一方面,一种基于模式的访问控制装置包括认证部分,检查关于用户的信息并认证用户;模式配置部分,制造指示形成家庭网络的装置的安全设置状态的安全模式列表;模式设置部分,设置从安全模式列表上的模式中选择的特定的安全模式;以及操作部分,使装置在特定的安全模式中执行其的功能。基于模式的访问控制装置还可包括模式转换部分,当执行新用户认证或释放存在的用户的认证时,转换安全模式。
通过下面结合附图对本发明的示例性实施例进行的详细描述,本发明的上述方面和其它特点和优点将会变得更加清楚,其中图1A是示出根据现有技术的用于家庭网络装置的访问控制的配置的示图;图1B是示出根据现有技术的在家庭网络装置之间安全操作的示图;图2是示出根据本发明的示例性实施例的包括基于模式的访问控制装置的家庭网络系统的示图;图3A是示出根据本发明的示例性实施例的基于模式的访问控制装置的配置的示图;图3B是示出根据本发明的示例性实施例的基于模式的访问控制装置的模式配置单元的示图;图4是示出根据本发明的示例性实施例的基于模式的访问控制方法的安全模式配置处理的示图;图5是示出根据本发明的示例性实施例的基于模式的访问控制方法的安全模式设置处理的示图;图6是示出根据本发明的示例性实施例的基于模式的访问控制方法的安全模式转换处理的示图;图7A、图7B和图7C是分别示出根据本发明的示例性实施例的设置装置的服务项值的方法的装置单元设置、服务列表单元设置和任务单元设置的示图;以及图8是示出根据本发明的示例性实施例的安全模式设置方法的示图。
具体实施例方式
通过详细的描述和附图来覆盖本发明的示例性实施例的主题内容和特点。
通过参照下面对示例性实施例和附图进行的详细描述,可以更容易地理解本发明的优点和特点以及实现所述优点和特点的方法。本发明可以以许多不同的形式实现,并且不应该被解释为限于阐述于此的示例性实施例。然而,提供这些示例性实施例使得这个公开对于本领域的技术人员将是彻底的和完全的,并且将完全地表达本发明的观点,而且本发明仅由所附权利要求定义。在整个附图中相同的附图标号是指相同的部件。
以下,将参照附图更加详细的描述本发明的示例性实施例。
图2是示出根据本发明的示例性实施例的包括基于模式的访问控制装置的家庭网络系统的示图。在特定的安全模式A中通过基于模式的访问控制装置100以形成家庭网络系统的装置1、装置2和装置3连接到用户A、用户B和用户C来设置系统的所有装置。基于模式的访问控制装置100接收关于用户A、B和C的信息,并使包括在装置1、2和3中的ACL同步,从而在模式A中具有所有访问权限的用户A控制装置1、装置2和装置3。
图3A是示出根据本发明的示例性实施例的基于模式的访问控制装置的配置的示图,图3B是示出基于模式的访问控制装置的模式配置部分的示图。
参照图3A和图3B,基于模式的访问控制装置包括认证单元110、模式配置单元120、模式设置单元130、操作单元140和模式转换单元150,其中,模式设置单元130包括SC功能单元135。模式配置单元120包括模式编辑单元122、装置列表管理单元124、模式列表管理单元126和装置ACL编辑单元128。
首先,认证单元110在检查用户信息后认证用户。即,为了改变模式,用户需要被认证为具有家庭网络的管理权限的主人用户。认证单元110通过特定的装置检查想要使用本发明的基于模式的访问控制装置100的用户的信息,并且当用户被认证时,允许用户操作该装置。
模式配置单元120用作准备代表家庭网络装置的安全设置状态的安全模式列表,模式配置单元120包括四个部件。
模式编辑单元122通过添加新安全模式或移除旧模式来编辑安全模式列表。这个单元也是用于改变列表中的每个安全模式的细节的模块,具体地说,在安全模式中通过应用装置存储不同的ACL设置细节。
装置列表管理单元124构建与列表中的每个安全模式相应的每个装置。另外,装置列表管理单元124管理关于连接到本发明的基于模式的访问控制装置100的装置的信息。具体地说,当装置信息不同时,装置列表管理单元124基于信息中的偏差更新装置列表。
装置ACL编辑单元128是用于搜集由装置列表管理单元124提供的每个装置的ACL信息的模块。具体地,为了设置用于装置的服务项值,装置ACL编辑单元128提供相应装置的ACL信息,并编辑装置的ACL。
模式列表管理单元126是用于管理由主人用户新创建的包括基本安全模式(例如,下面将描述的家长模式、孩子模式和客人模式)的所有的模式列表的模块。模式列表管理单元126将由装置ACL编辑单元128提供的ACL信息和编辑的ACL内容反映到安全模式列表。
可通过以下方法设置用于装置的服务项值装置单元设置方法,用于基于装置设置服务项和服务项的条件;服务列表单元设置方法,用于基于包括在装置中的服务项设置服务项的条件和包含服务项的装置列表;以及任务单元设置方法,用于基于主人用户想要执行的任务准备形成服务项的任务列表。
模式设置单元130是在用户认证后允许用户选择应用于家庭网络中的所有装置的特定的安全模式。模式设置单元130在安全模式列表中的那些安全模式之中设置特定的安全模式。根据由模式设置单元130选择的安全模式,使连接的装置的ACL同步或改变连接的装置的ACL。将由模式设置单元130选择的模式的细节用于SC功能单元135以改变实际装置的ACL。同时,可通过用户直接地改变模式设置或通过将由用户执行的任务自动地改变模式设置。
SC功能单元135使处于设置安全模式中的所有装置的ACL同步。应通过减少存储器和CPU的使用执行ACL同步以支持装置的正常操作。即,执行ACL同步防止由于将多个ACL存储在受限的存储器中造成的性能恶化和空间浪费,所述多个ACL包括不访问网络的成员。
操作单元140允许装置根据特定的安全模式执行它们的功能。具体地,具有由SC功能单元135同步的ACL的装置根据服务项值执行它们的功能。
如果又认证了新用户或者释放了当前用户的认证,则模式转换单元150改变现在的安全模式。
具体地说,在所有或部分家庭网络装置在安全模式A中被设置,并被同步的条件下,如果用户B被认证,并且试图设置并同步在安全模式A中的所有或部分家庭网络装置,则模式转换单元150比较安全模式A和安全模式B之间的优先级,在具有较高模式优先级的安全模式中重新设置并同步所有或部分装置。如果在家庭网络中释放了已经重新设置具有较高优先级的安全模式的用户的认证,则自动重新设置具有较低优先级的安全模式,并使装置同步。
下面将描述基于模式的访问控制方法的流程。该流程分为第一步,形成代表家庭网络装置的安全设置状态的安全模式列表;第二步,建立在列表中的安全模式之中选择的特定的安全模式;第三步,使装置在设置的特定的安全模式中执行它们的功能。第一步如图4所示,第二步如图5所示,第三步如图6所示。
此外,可附加地包括第四步当执行新用户认证时或当释放当前用户的认证时,改变安全模式。
图4是示出根据本发明的示例性实施例的基于模式的访问控制方法的安全模式配置处理的流程图。
参照图4,认证单元110在检查用户是否具有配置安全模式列表的权限之后认证用户(S102)。在认证之后,模式编辑单元122将新模式添加到安全模式列表或移除旧模式,从而编辑安全模式列表(S104)。可由主人用户添加或修改模式,并且如果必要也可重新安排缺省模式。由于家庭成员或第三方的连接类型在每个家庭网络环境中彼此不同,因此执行这种编辑以提供最适合主人用户的用户环境。
装置列表管理单元126通过搜索和添加与安全模式列表列出的每个模式相应的装置来形成目标装置组(S106)。装置列表管理单元124基于由装置ACL编辑单元128提供的ACL信息为每个装置设置服务项值(S108),这将再次在安全模式列表中被反映(S110)。可通过以下方法设置装置的服务项第一,装置单元设置方法,用于基于装置设置服务项和服务项的条件;第二,服务列表单元设置方法,用于基于包括在装置中的服务项设置服务项的条件和包含服务项的装置列表;第三,任务单元设置方法,用于基于将由主人用户执行的任务设置形成任务的服务项列表。在图7A中描述了所述装置单元设置方法,在图7B中描述了所述服务列表单元设置方法,在图7C中描述了所述任务单元设置方法。
图7A、图7B和图7C是分别示出根据本发明的示例性实施例的设置装置的服务项值的三种不同方法,即装置单元设置方法、服务列表单元设置方法和任务单元设置方法的示图。
参照图7A,装置1包括三种服务项“成人频道”、“时间”和“最大音量”,并且也描述了服务项的条件值。装置2包括两种服务项“电源”和“温度”。参照图7B,在服务列表上列出三种服务项“成人频道”、“时间”和“音量”,以及服务项的条件值。在右侧描述能够提供服务项的装置的列表。可由装置1和装置2提供服务项“成人频道”,由装置1至装置3提供服务项“时间”,并由装置2和装置3提供服务项“音量”。参照图7C,在由用户设置的任务单元中制造服务列表。例如,给“电影”项提供服务项“频道”和“时间”,给“音乐”项提供服务项“音量”、“轨道”和“时间”。另外,给“烹饪”项提供服务项“加热”和“热水”。
图5是示出根据本发明的示例性实施例的基于模式的访问控制方法的安全模式设置处理的示图。
首先,认证单元110检查用户是否具有设置安全模式的权限(S202),并且模式设置单元130选择认证的用户想要设置的安全模式(S204)。具体地说,SC功能单元135使可应用选择的安全模式的所有装置的ACL同步(S206)。操作单元140使具有同步的ACL的装置根据服务项值执行它们的功能(S208)。
图6是示出根据本发明的示例性实施例的基于模式的访问控制方法的安全模式转换处理的示图。
参照图6,存在三个装置装置1、装置2和装置3,以及两个用户用户A和用户B。首先,本发明的基于模式的访问控制装置100将装置设置为初始模式(S302)。然后,当用户A在被认证后通过使用基于模式的访问控制装置100选择安全模式A时(S304),将家庭网络中的装置1、装置2和装置3设置为安全模式A,并随后使其同步(S306)。在这种情况下,如果用户B在被认证后通过使用基于模式的访问控制装置100选择模式B(S308),则基于模式的访问控制装置100将装置1和装置2设置为安全模式B,并根据该模式的特性使装置1和装置2同步(S310)。此时,比较安全模式A和安全模式B的模式优先级,并随后将所有或部分装置重新设置为具有较高优先级的安全模式,并使其同步。在图6中,由于模式B具有较高的优先级,因此,尽管用户B晚于在用户A被认证,但是装置将被重新设置为模式B,而不是模式A。
由在各模式之间允许的用户的权限来确定模式优先级。例如,具有较少权利的用户在使用权利时受更多的限制,因此模式优先级高。即,模式优先级是在多个模式之间请求权限的标准,并且是在需要较高安全的条件下确定选择哪种模式是可变的。
同时,当在家庭网络中释放了将装置重新设置为具有较高优先级的安全模式B的用户B的认证时(S312),将该装置重新设置为安全模式A,并使其同步(S314)。
图8是示出根据本发明的示例性实施例的安全模式设置方法的示图。在本发明的当前实施例中,安全模式包括家长模式、孩子模式和客人模式。仅由对访问形成家庭网络的所有装置具有不受约束的权利的主人用户可设置家长模式。在孩子模式中,访问部分装置或者由装置提供的部分服务或内容是受限制的。在客人模式中,除了被允许临时访问的主人用户之外,访问形成家庭网络的所有装置都是禁止的。因此,在这三种模式之中,客人模式具有最高的模式优先级,随后是孩子模式和家长模式。
例如,当一起设置家长模式和客人模式时,应该执行转换为客人模式,从而所有装置的安全设置是严格的。
参照图8,访问权利取决于安全模式。例如,客人模式具有最高的模式优先级,而家长模式具有最低的模式优先级,产生了图8表中示出的结构。在家长模式中,仅家长具有访问权利。在客人模式中,家长和孩子可共享访问权利,或者家长或孩子具有访问权利。在孩子模式中,仅孩子用户具有访问权利。如果必要,家长和客人可被给予访问权利。安全模式能够在保持高效率的同时共同设置装置的安全模式。
应该理解本发明的范围和精神也可应用于计算机可读记录介质,该计算机可读记录介质具有用于允许计算机执行根据上述的本发明的示例性实施例的方法的程序。
本领域的普通技术人员应该理解,在不脱离由权利要求限定的本发明的精神和范围的情况下,可以进行形式和细节的各种置换、修改和改变。因此,应该理解在所有方面上述实施例不是限制性的,而是说明性的。
根据本发明的示例性实施例,可以在家庭网络系统中提供直觉的和联合的安全设置。不管为每个装置提供的安全功能的种类,不同的安全设置可以基于每个用户的特性,这能够很容易地控制彼此有效连接的装置。
根据本发明的另一示例性实施例,通过简化复杂的和重复的认证处理能够给用户增加方便,这意味着对于每个装置中的模式转换一次用户授权处理就足够了,表示对于安全模式转换不需要用户在每个装置中每次都进行认证处理。
根据本发明的另一示例性实施例,可以通过使ACL同步防止资源浪费,并防止除了当前用户外的用户访问装置。
本发明的效果不限于阐述于此的示例性实施例。可以理解将通过权利要求限定上文中没有描述的本发明的其它效果。
权利要求
1.一种基于模式的访问控制方法,该方法包括制造指示家庭网络中存在的装置的安全设置状态的安全模式列表;设置从安全模式列表上的模式中选择的特定的安全模式;以及使装置在特定安全模式中执行其的功能。
2.如权利要求1所述的基于模式的访问控制方法,还包括当在网络中执行新用户认证或释放当前用户的认证时转换特定的安全模式。
3.如权利要求1所述的基于模式的访问控制方法,其中,制造安全模式列表包括执行用户认证以检查用户是否具有制造安全模式列表的权利;通过将新模式添加到安全模式列表或从安全模式列表中移除存在的模式来编辑安全模式列表;将每个安全模式可被应用于安全模式列表的装置进行分组;基于关于装置的ACL的信息设置装置的服务项值;以及在安全模式列表中反映在装置的分组中和服务项值的设置中执行的内容。
4.如权利要求3所述的基于模式的访问控制方法,其中,服务项值的设置包括基于装置来设置服务项和服务项的条件;基于包括在装置中的服务项来设置服务项的条件和具有服务项的装置的列表;以及基于将由主人用户执行的任务设置形成任务的服务项的列表。
5.如权利要求1所述的基于模式的访问控制方法,其中,特定的安全模式的设置包括执行用户认证以检查用户是否具有设置安全模式的权利;选择用户想要设置的安全模式;以及使在选择的安全模式中被操作的所有装置的ACL同步。
6.如权利要求5所述的基于模式的访问控制方法,其中,使装置执行其的功能包括使具有同步的ACL的装置根据装置的服务项值执行其的功能。
7.如权利要求2所述的基于模式的访问控制方法,其中,安全模式的转换包括在安全模式A中设置了家庭网络中的所有或部分装置并使其同步的条件下,认证了用户B,由用户B将所有或部分装置设置为安全模式B,并使所述装置同步;以及将安全模式A和安全模式B的模式优先级进行比较,将所有或部分装置重新设置为具有较高模式优先级的安全模式,并使所述装置同步。
8.如权利要求7所述的基于模式的访问控制方法,其中,安全模式的转换还包括当在家庭网络中释放了将装置设置为具有较高模式优先级的安全模式的用户的认证时,将所述装置设置为具有较低优先级的安全模式,并使所述装置同步。
9.如权利要求1所述的基于模式的访问控制方法,其中,安全模式列表包括家长模式,仅由对访问形成家庭网络的所有装置具有不受约束的权利的主人用户设置;孩子模式,由对访问部分装置、由装置提供的服务或内容具有受限制的权利的孩子用户设置;客人模式,由不能访问形成家庭网络的所有装置的客人用户设置,但是由主人用户允许临时访问的客人除外。
10.如权利要求9所述的基于模式的访问控制方法,其中,客人模式具有最高的模式优先级,随后是孩子模式和家长模式。
11.一种基于模式的访问控制装置,该装置包括认证单元,检查关于用户的信息并认证用户;模式配置单元,制造指示形成家庭网络的装置的安全设置状态的安全模式列表;模式设置单元,设置从安全模式列表上的模式中选择的特定的安全模式;以及操作单元,使装置在特定安全模式中执行其的功能。
12.如权利要求11所述的基于模式的访问控制装置,还包括模式转换部分,当执行新用户认证或释放存在的用户的认证时,转换安全模式。
13.如权利要求11所述的基于模式的访问控制装置,其中,模式配置单元包括模式编辑单元,通过将新模式添加到安全模式列表或从安全模式列表中移除存在的模式来编辑安全模式列表;装置列表管理单元,将在安全模式列表的模式中将被操作的装置进行分组;装置ACL编辑单元,提供关于装置的ACL的信息以设置装置的服务项值;以及模式列表管理单元,在安全模式列表中反映由装置ACL编辑单元产生的内容。
14.如权利要求13所述的基于模式的访问控制装置,其中,所述设置包括装置单元设置方法,基于装置来设置服务项和服务项的条件;服务列表单元设置方法,基于包括在装置中的服务项来设置服务项的条件和具有服务项的装置的列表;以及任务单元设置方法,基于将由主人用户执行的任务建立形成任务的服务项的列表。
15.如权利要求11所述的基于模式的访问控制装置,其中,模式设置单元选择由认证的用户设置的安全模式,并且还包括SC功能单元,使将在选择的安全模式中被操作的所有装置的ACL同步。
16.如权利要求15所述的基于模式的访问控制装置,其中,操作单元使具有同步的ACL的装置根据装置的服务项值执行其的功能。
17.如权利要求12所述的基于模式的访问控制装置,其中,家庭网络中的所有或部分装置被设置为安全模式A,当用户B被认证,并且用户B将所有或部分装置设置为安全模式B时,模式转换单元比较安全模式A和安全模式B的模式优先级,并将所有或部分装置设置为具有较高模式优先级的安全模式之一。
18.如权利要求17所述的基于模式的访问控制装置,其中,当在家庭网络中释放了设置为具有较高模式优先级的安全模式的用户的认证时,模式转换单元将所述装置重新设置为具有较低优先级的安全模式。
19.如权利要求11所述的基于模式的访问控制装置,其中,安全模式列表包括家长模式,仅由对访问形成家庭网络的所有装置具有不受约束的权利的主人用户设置;孩子模式,由对访问部分装置、由装置提供的服务或内容具有受限制的权利的孩子用户设置;客人模式,由不能访问形成家庭网络的所有装置的客人设置,但是由主人用户允许临时访问的客人除外。
20.如权利要求19所述的基于模式的访问控制装置,其中,客人模式具有最高的模式优先级,随后是孩子模式和家长模式。
21.一种计算机可读记录介质包括允许计算机执行权利要求1的基于模式的访问控制方法的程序。
全文摘要
提供一种基于模式的访问控制方法,该方法包括制造指示家庭网络中存在的装置的安全设置状态的安全模式列表;设置从安全模式列表上的模式中选择的特定的安全模式;以及使装置在特定安全模式中执行其的功能。另外,提供一种基于模式的访问控制装置,包括认证单元,检查关于用户的信息并认证用户;模式配置单元,制造指示形成家庭网络的装置的安全设置状态的安全模式列表;模式设置单元,设置从安全模式列表上的模式中选择的特定的安全模式;以及操作单元,使装置在特定安全模式中执行其的功能。
文档编号H04L9/32GK1913436SQ20061011068
公开日2007年2月14日 申请日期2006年8月8日 优先权日2005年8月10日
发明者孙炅镐, 陆贤圭, 李圣民, 吴升栽, 韩世熙 申请人:三星电子株式会社