CN103081402A - 安全访问在通用即插即用数据模型中存储的配置信息的方法和系统 - Google Patents

安全访问在通用即插即用数据模型中存储的配置信息的方法和系统 Download PDF

Info

Publication number
CN103081402A
CN103081402A CN201180039252XA CN201180039252A CN103081402A CN 103081402 A CN103081402 A CN 103081402A CN 201180039252X A CN201180039252X A CN 201180039252XA CN 201180039252 A CN201180039252 A CN 201180039252A CN 103081402 A CN103081402 A CN 103081402A
Authority
CN
China
Prior art keywords
nodes
control point
data model
role
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201180039252XA
Other languages
English (en)
Other versions
CN103081402B (zh
Inventor
K.B.维杜拉
李钟孝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN103081402A publication Critical patent/CN103081402A/zh
Application granted granted Critical
Publication of CN103081402B publication Critical patent/CN103081402B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2807Exchanging configuration information on appliance services in a home automation network
    • H04L12/2812Exchanging configuration information on appliance services in a home automation network describing content present in a home automation network, e.g. audio video content
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2807Exchanging configuration information on appliance services in a home automation network
    • H04L12/2809Exchanging configuration information on appliance services in a home automation network indicating that an appliance service is present in a home automation network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • H04L12/282Controlling appliance services of a home automation network by calling their functionalities based on user interaction within the home
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了安全访问在通用即插即用(UPnP)数据模型中存储的配置信息的方法和系统。在一个实施例中,从控制点(CP)接收操作数据模型的(多个)节点的请求。数据模型包括多个节点,而且多个节点中的每一个表示配置信息。确定与CP相关联的角色。确定CP的角色是否处于推荐角色列表中。如果角色存在,则允许CP操作(多个)节点。如果角色不存在,则基于与(多个)节点相关联的ACL数据确定CP是否具有操作(多个)节点的适当角色。因此,允许CP操作(多个)节点或者在CP的显示器上返回错误消息。

Description

安全访问在通用即插即用数据模型中存储的配置信息的方法和系统
技术领域
本发明涉及通用即插即用(UPnP)家庭网络系统的领域,更具体地,涉及对UPnP设备管理数据模型的访问(access)。
背景技术
通用即插即用(UPnP)是一组由UPnP论坛发布的计算机网络协议。UPnP的目标是允许访问无缝连接,并简化家庭和企业环境中网络的实施(例如,数据共享、通信和娱乐)。这些目标是通过定义和发布建立在开放的、基于互联网的通信标准的UPnP设备控制协议来实现的。
UPnP技术可以迎合家庭网络中广泛的设备。UPnP提供发现、控制和事件处理(eventing)机制。使用SSDP协议启用发现。事件处理遵循GENA协议。使用这些技术,UPnP使得空闲(on the fly)的UPnP设备对UPnP家用网络中的其它设备的可用和不可用。
UPnP架构允许个人计算机(PC)、联网的家电和无线设备进行对等联网。它是基于诸如TCP/IP、UDP、HTTP和XML的已建立的标准的分布式的、开放的架构。UPnP架构支持零配置联网。例如,来自任何厂商的UPnP兼容设备可以动态地加入网络、获得IP地址、广播它的名称、根据请求传达它的性能、并了解其他设备的存在和性能。另一方面,UPnP设备可以自动离开UPnP家用网络而不留下任何不希望的状态信息。
UPnP网络的基础是IP寻址。每个UPnP设备包括UPnP客户端,当UPnP设备第一次连接到UPnP网络时,该DHCP客户端搜索DHCP服务器。如果没有可用的DHCP服务器,则UPnP设备为它自己分配地址。如果在DHCP交易过程中,UPnP设备获得域名,例如,通过DNS服务器或者经由DNS转发,则UPnP设备在随后的网络操作中使用该名称;否则UPnP设备使用它的IP地址。
UPnP将设备保护服务定义为通用的安全解决方案,其可以被UPnP中定义的所有服务使用。设备保护服务定义了角色的概念。为了执行UPnP动作,所有的控制点或控制设备分配有不同的角色,即公共(public)、基础(basic)和管理(admin)。不同的DCP和厂商可以自由扩展这些角色的集合。
UPnP设备管理服务定义数据模型的概念。数据模型是各种设备和服务配置的相关信息的树状表示。数据模型构成各种节点,诸如叶节点、单一实例节点、多实例节点和实例节点。数据模型可以包含需要保护的敏感信息。另外,数据模型中存储的一些配置信息可以与家庭网络环境中的一些控制点或用户无关。当请求时,当前的设备保护服务向控制点提供数据模型中存储的完整配置信息。结果,控制点获得对完整配置信息中提供的敏感和无关信息的访问。
发明内容
技术问题
因此,存在为了查看、读取(read)和修改(modify)在UPnP设备管理数据模型中存储的配置信息而提供访问控制的需要,从而对数据模型中存储的配置信息提供保护。
技术方案
本发明提供了安全(securing)访问在通用即插即用(UPnP)数据模型中存储的配置信息的方法和系统。在本发明的实施例的以下详细描述,对形成本发明的一部分的附图进行参考,而且在附图中作为示例示出了本发明可以实践的特定实施例。这些实施例被足够详细地描述,以使本领域技术人员能够实践本发明,而且可以理解的是,可以利用其他实施例,并且可以进行改变而不脱离本发明的范围。因此,下面的详细描述不是限制的意义,而且本发明的范围仅由所附的权利要求定义。
贯穿整个文件,术语“UPnP数据模型”和“数据模型”可以互换使用。
技术效果
如上所述,根据本发明,有可能为查看、读取和修改在UPnP设备管理数据模型中存储的配置信息而提供访问控制,从而对数据模型中存储的配置信息提供保护。
附图说明
图1是示出根据一个实施例的、对存储在通用即插即用(UPnP)数据模型的配置信息提供安全(secured)访问的示例性方法的处理流程图。
图2是在本发明的上下文中具有多节点的示例性UPnP数据模型的示意性表示。
图3是示出根据一个实施例的、安全访问数据模型的配置信息的示例性方法的流程图。
图4是示出根据一个实施例的、通过控制点修改数据模型的多实例节点并相对于另一控制点保护(securing)修改后的多实例节点的示例性方法的流程图。
图5是示出根据一个实施例的、用于安全访问在UPnP数据模型中存储的配置信息的家庭网络系统的框图。
图6是示出诸如用于实现本主题的实施例的图5中所示的那些家庭网络系统的家庭网络系统的控制设备的各种组件的框图。
这里所描述的示图仅用于示例目的,而且不旨在以任何方式限制本公开的范围。
具体实施方式
图1是示出根据一个实施例的、对存储在UPnP数据模型的配置信息提供安全访问的示例性方法的处理流程图100。在步骤102,从家庭网络环境中的控制点接收操作数据模型的(多个)节点的请求。数据模型包括多个节点,诸如叶节点、单一实例节点、多实例节点和实例节点。多个节点中的每一个存储与家庭网络环境中的控制点相关联的配置信息。配置信息可以是服务配置信息和设备配置信息。参照图2,数据模型200被示出,而且包括节点/A/B、节点/A/E、节点/A/F、节点/A/B/C、节点/A/B/D和节点/A/B/G以便存储配置信息。控制点可以请求操作数据模型中的任何节点。
在步骤104,基于请求确定与控制点相关联的角色。家庭网络环境中的控制点中的每一个被分配角色以便操作相关联的配置信息。例如,与请求相关联的控制点可以被分配公共角色、基础角色或管理角色。可以指出的是,诸如厂商指定角色的任何其他类型的角色可以被分配给控制点。
在步骤106,确定分配给控制点的角色是否处于与请求中指定的操作(例如,访问、读取或修改)相关联的推荐角色列表中。推荐角色列表包括与家庭网络环境中被推荐用于对数据模型的节点执行访问、读取和修改操作的控制点相关联的角色列表。如果所述角色处于推荐角色列表中,则在步骤108,控制点被允许操作数据模型的(多个)节点。
例如,如果在步骤102控制点已经请求访问数据模型200的节点/A/B/C,则基于推荐角色列表,控制设备允许控制点访问节点/A/B/C。如果请求与读取操作相关联,则控制设备允许控制点读取在数据模型200的节点/A/B/C中存储的配置信息。可替换地,如果控制点请求修改操作,则控制设备允许控制点修改节点/A/B/C(例如,添加另一个节点或删除节点)。在一些实施例中,在控制点的显示器上只显示数据模型的(多个)相关联节点。在这些实施例中,在控制点的显示器上不显示数据模型的其余节点(除请求的节点以外的节点)。
如果所述角色未处于推荐角色列表中,则在步骤110,确定控制点是否具有在数据模型的(多个)节点上操作的适当角色。在一个实施例中,使用与数据模型中所请求的(多个)节点相关联的访问控制列表(ACL)数据作出确定。可以注意的是,ACL数据是节点属性。与节点相关联的ACL数据包括与访问元素、读取元素和/或修改元素相关联的节点标识符。访问元素、读取元素和修改元素指示被授权在与相应节点标识符相关联的节点上执行访问、读取和修改操作中的每一个操作的角色类型。在下面的表1中示出了每个节点的示例性ACL数据和相应的节点标识符。
表1
参照图2和表1,具有public角色的控制点被允许访问具有节点标识符/A/B/C的节点,而具有basic角色的控制点被允许读取具有节点标识符/A/B/C的节点。然而,没有角色被授权修改具有节点标识符/A/B/C的节点。具有basic角色的控制点被允许访问具有节点标识符/A/B的节点,而具有admin角色的控制点被允许访问和/或修改具有节点标识符/A/B的节点。类似地,具有public角色的控制点被允许访问具有节点标识符/A/B/D的节点,具有basic角色的控制点被允许读取具有节点标识符/A/B/D的节点,而且具有admin角色的控制点被允许修改具有节点标识符/A/B/D的节点。在附录A、B和C中分别给出用于节点标识符/A/B/C、/A/B、/A/B/D的ACL数据的示例性XML架构。
返回参照图1,如下执行基于(多个)节点的ACL数据确定控制点是否应该被允许操作(多个)节点。首先,确定与请求中所指示的节点相关联的节点标识符。然后,检索与请求操作的节点相关联的ACL数据。另外,确定与控制点相关联的角色是否与被授权在ACL数据中的节点上执行所请求的操作的角色匹配。如果发现匹配,则确定是否有请求对其进行操作的任何其它节点。如果没有剩余任何节点,则重复上述步骤,直到所有节点都被处理。如果没有剩余要处理的节点而且对于所有请求的节点都发现匹配,则执行步骤108。如果在一个或多个请求的节点中没有发现匹配,则在步骤112在控制点的显示器上返回错误消息。
例如,考虑控制点请求在节点/A/B/D上进行读取操作而且与控制点相关联的角色是public角色。如表1所示,与节点/A/B/D相关联的ACL数据指示“ACCESS=PUBLIC,READ=BASIC;MODIFY=ADMIN”。因此,返回拒绝在节点/A/B/D上进行读取操作的错误消息。然而,如果控制点请求在节点/A/B/D上进行访问操作,则控制点被允许在节点/A/B/D上进行读取操作,因为在表1中访问元素指示节点/A/B/D的public角色。
图3是示出根据一个实施例的、安全访问数据模型的配置信息的示例性方法的流程图300。在步骤302,设备保护(DP)实体将与设备保护(DP)服务相关联的ACL数据提供给配置管理服务(CMS)实体。在步骤304,CMS实体通过带外信道加载CMS ACL数据。在步骤306,CMS实体和CP1相互验证。在步骤308,CP1向CMS实体发送访问数据模型的请求。
在步骤310,CMS实体利用DP实体检查CP1是否具有访问数据模型的权限。DP实体确定CP1的角色是否存在于推荐角色列表中。DP实体发现CP1不具有访问数据模型的权限。在步骤312,DP实体确认CP1不具有访问数据模型的权限。在步骤314,CMS实体确定CP1是否具有用于访问数据模型的所请求的(多个)节点的适当角色并发现CP1具有访问(多个)节点的访问许可。因此,在步骤316,CMS实体向CP1返回仅具有所请求的(多个)节点的数据模型,而向CP1隐藏其余节点。
图4是示出根据一个实施例的、通过控制点修改数据模型的多实例节点并相对于另一控制点保护修改后的多实例节点的示例性方法的流程图400。在步骤402,设备保护(DP)实体将与设备保护(DP)服务相关联的ACL数据提供给配置管理服务(CMS)实体。在步骤404,CMS实体通过带外信道加载CMS ACL数据。在步骤406,CMS实体和CP1相互验证。在步骤408,CP1向CMS实体发送修改数据模型的多实例节点的请求。
在步骤410,CMS利用DP实体检查CP1是否具有修改数据模型的多实例节点的访问权限。DP实体确定CP1的角色是否存在于推荐角色列表中。DP实体发现CP1不具有修改数据模型的多实例节点的访问权限。在步骤412,DP实体确认CP1不具有修改数据模型的多实例节点的访问权限。在步骤414,CMS实体基于CMS ACL数据确定CP1是否具有用于修改数据模型的多实例节点的适当角色并发现CP1具有修改多实例节点的适当角色。因此,在步骤416,CMS实体向CP1通知多实例节点成功修改。
在步骤418,CP1请求CMS实体查看数据模型的修改后的多实例节点。在步骤420,CMS实体向CP1显示数据模型的修改后的多实例节点。现在,在步骤422,另一控制点(CP2)尝试访问数据模型的修改后的多实例节点,并向CMS实体发送请求。在步骤424,CMS实体向CP2返回错误消息,因为CP2不具有读取修改后的多实例节点中的配置信息的匹配角色。例如,CMS实体定义被称为“/UPnP/DM/DeviceInfo/PhysicalDevice/NetworkInterface/#/”的多实例节点,而且CP1被允许对多实例节点调用修改命令以便创建网络接口1(NetworkInterface1)。然而,基于多实例节点的ACL数据,CP2不被允许读取与新创建的网络接口有关的配置信息。
图5是示出根据一个实施例的、用于安全访问在UPnP数据模型200中存储的配置信息的家庭网络系统500的框图。在图5中,家庭网络系统500包括控制设备502和控制点506。根据本发明,控制设备502包括配置管理服务(CMS)模块504,其具有数据模型200。
在示例性操作中,控制点506调用在与配置管理服务相关联的数据模型200的(多个)节点上操作的请求。CMS模块504基于请求确定与控制点506相关联的角色。CMS模块504确定与控制点506相关联的角色是否处于推荐角色列表中。如果角色处于推荐角色列表中,则CMS模块504允许控制点506访问/读取/修改数据模型200的(多个)节点。如果角色未存在于推荐角色列表中,则CMS模块504基于(多个)节点的ACL数据确定控制点506是否具有在数据模型200的(多个)节点上操作的适当角色。基于该确定,CMS模块504或者允许控制点506访问/读取/修改数据模型200的(多个)节点或者向控制点506返回错误消息。将理解的是,根据图1至图4中所示的一个或多个实施例,CMS模块504安全访问在UPnP数据模型中存储的配置信息。
图6是示出诸如用于实现本主题的实施例的图5中所示的那些家庭网络系统的家庭网络系统500的控制设备502的各种组件的框图。在图6中,控制设备502包括处理器602、存储器604、只读存储器(ROM)606、收发器608、总线610、通信接口612、显示器614、输入设备616和光标控制618。
如这里所用的处理器602是指任何类型的计算电路,诸如但不限于,微处理器、微控制器、复杂指令集计算微处理器、精简指令集计算微处理器、超长指令字微处理器、显式并行指令计算微处理器、图形处理器、数字信号处理器或任何其他类型的处理电路。处理器602还可以包括嵌入式控制器,诸如通用或可编程逻辑设备或阵列、专用集成电路、单芯片计算机、智能卡等。
存储器604和ROM606可以是易失性存储器和非易失性存储器。根据图1至图5中描述的一个或多个实施例,存储器604包括用于安全访问在UPnP数据模型中存储的配置信息的CMS模块504。各种计算机可读存储介质可以被存储在存储器元件中并且从存储器元件访问。存储器元件可以包括用于存储数据和机器可读指令的任何适当的存储器设备,诸如只读存储器、随机存取存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、硬盘驱动器、用于处理光盘(compact disk)、数字视频盘、软盘、盒式磁带、存储卡、记忆棒TM(Memory SticksTM)的可移动介质驱动器等。
本主题的实施例可以结合模块实现,所述模块包括用于执行任务或者定义抽象数据类型或低级硬件上下文的功能、程序、数据结构、应用程序。在任何上述存储介质上存储的机器可读指令可由处理器602执行。例如,根据本主题的教导和这里所描述的实施例,计算机程序可以包括能够安全访问在UPnP数据模型中存储的配置信息的机器可读指令。在一个实施例中,程序可以被包括在只读光盘存储器(CD-ROM)上,并从CD-ROM加载到非易失性存储器中的硬盘驱动器。机器可读指令可以使控制设备502根据本主题的各种实施例进行编码。
收发器608可以能够接收在数据模型的(多个)节点上操作的请求,并且基于控制点506的角色和(多个)节点的ACS数据授权控制点506在数据模型的(多个)节点上操作。总线610用作在控制设备502的各种组件之间互连。诸如通信接口612、显示器614、输入设备616和光标控制618的组件对本领域技术人员而言是公知的,因此省略其说明。
已经参照特定示例性实施例描述了本实施例;将显而易见的是,可以对这些实施例做出各种修改和改变而不脱离各种实施例的更宽的精神和范围。此外,这里所描述的各种设备、模块、选择器、估计器等可以使用硬件电路来启动和操作,所述硬件电路是例如基于互补金属氧化物半导体的逻辑电路、固件、软件和/或硬件、固件和/或具体实施在机器可读介质中的软件的任何组合。例如,各种电气结构和方法可以使用晶体管、逻辑门和诸如专用集成电路的电气电路来具体实施。
附录'A'
<ACLData>
<NodeIdentifier>/A/B/C</NodeIdentifier>
<Access>Public</Access>
<Read>Basic</Read>
<Modify>None</Modify>
<ACLData>
附录'B'
<ACLData>
<NodeIdentifier>/A/B</NodeIdentifier>
<Access>Public</Access>
<Read>Admin</Read>
<Modify>Admin</Modify>
<ACLData>
附录'C'
<ACLData>
<NodeIdentifier>/A/B/D</NodeIdentifier>
<Access>Public</Access>
<Read>Basic</Read>
<Modify>Admin</Modify>
<ACLData>

Claims (31)

1.一种计算机实施的方法,用于安全访问在具有一个或多个控制点和一个或多个控制设备的家庭网络环境中的数据模型中存储的配置信息,该方法包括:
从控制点接收操作数据模型的一个或多个节点的请求,其中数据模型包括多个节点,所述多个节点中的每一个表示配置信息;
基于接收到的请求,确定与控制点相关联的角色;
确定与控制点相关联的角色是否处于与接收到的请求相关联的推荐角色列表中;
如果是,则允许控制点操作数据模型的一个或多个节点;
如果不是,则基于与一个或多个节点中的每一个相关联的访问控制列表(ACL)数据确定控制点是否具有操作数据模型的一个或多个节点的适当角色;
如果是,则允许控制点操作数据模型的一个或多个节点;
如果不是,则在控制点的显示器上返回错误消息。
2.如权利要求1所述的方法,其中,操作数据模型的请求包括在数据模型上执行访问操作、修改操作和读取操作之一的请求。
3.如权利要求1所述的方法,其中,所述一个或多个节点包括叶节点、单一实例节点、多实例节点和实例节点。
4.如权利要求1所述的方法,其中,与控制点相关联的角色是基础角色、公共角色、管理角色和厂商定义的角色之一。
5.如权利要求1所述的方法,其中,与一个或多个节点中的每一个相关联的ACL数据包括与访问元素、读取元素和修改元素相关联的节点标识符。
6.如权利要求2所述的方法,其中,允许控制点操作数据模型的一个或多个节点包括:
使得控制点能够访问在数据模型的一个或多个节点中存储的配置信息。
7.如权利要求2所述的方法,其中,允许控制点操作数据模型的一个或多个节点包括:
使得控制点能够读取与数据模型的一个或多个节点相关联的至少一个节点。
8.如权利要求2所述的方法,其中,允许控制点操作数据模型的一个或多个节点包括:
使得控制点能够修改与数据模型的一个或多个节点相关联的至少一个节点。
9.如权利要求1所述的方法,其中,基于与一个或多个节点中的每一个相关联的ACL数据确定控制点是否具有操作数据模型的一个或多个节点的适当角色包括:
确定与接收到的请求中的数据模型的节点相关联的节点标识符;
基于节点标识符检索与数据模型的节点相关联的ACL数据;
确定与控制点相关联的角色是否与被授权在ACL数据中的节点上执行所请求的操作的角色匹配;
如果是,则确定在接收到的请求中是否剩余任何其它节点;
如果是,则重复上述步骤直到所有节点都被处理;
如果不是,则允许控制点操作数据模型的一个或多个节点。
10.如权利要求9所述的方法,其中,确定与控制点相关联的角色是否和与节点相关联的ACL数据中的任意角色匹配包括:
如果不是,则在控制点的显示器上返回错误消息。
11.一种装置,包括:
处理器;以及
存储器,其耦接到处理器,其中,所述处理器包括用于执行以下操作的配置管理服务(CMS)模块:
从控制点接收操作数据模型的一个或多个节点的请求,其中数据模型包括多个节点,所述多个节点中的每一个表示配置信息;
基于接收到的请求,确定与控制点相关联的角色;
确定与控制点相关联的角色是否处于与接收到的请求相关联的推荐角色列表中;
如果是,则允许控制点操作数据模型的一个或多个节点;
如果不是,则基于与一个或多个节点中的每一个相关联的访问控制列表(ACL)数据确定控制点是否具有操作数据模型的一个或多个节点的适当角色;
如果是,则允许控制点操作数据模型的一个或多个节点;
如果不是,则在控制点的显示器上返回错误消息。
12.如权利要求11所述的装置,其中,操作数据模型的请求包括在数据模型上执行访问操作、修改操作和读取操作之一的请求。
13.如权利要求11所述的装置,其中,所述一个或多个节点包括叶节点、单一实例节点、多实例节点和实例节点。
14.如权利要求11所述的装置,其中,与控制点相关联的角色是基础角色、公共角色、管理角色和厂商定义的角色之一。
15.如权利要求11所述的装置,其中,与一个或多个节点中的每一个相关联的ACL数据包括与访问元素、读取元素和修改元素相关联的节点标识符。
16.如权利要求12所述的装置,其中,在允许控制点操作数据模型的一个或多个节点期间,所述CMS模块使得控制点能够访问在数据模型的一个或多个节点中存储的配置信息。
17.如权利要求12所述的装置,其中,在允许控制点操作数据模型的一个或多个节点期间,所述CMS模块使得控制点能够读取与数据模型的一个或多个节点相关联的至少一个节点。
18.如权利要求12所述的装置,其中,在允许控制点操作数据模型的一个或多个节点期间,所述CMS模块使得控制点能够修改与数据模型的一个或多个节点相关联的至少一个节点。
19.一种在其中存储有指令的非临时性计算机可读存储介质,该指令在被家庭网络环境中的控制设备运行时使该控制设备执行方法,该方法包括:
从控制点接收操作数据模型的一个或多个节点的请求,其中数据模型包括多个节点,所述多个节点中的每一个表示配置信息;
基于接收到的请求,确定与控制点相关联的角色;
确定与控制点相关联的角色是否处于与接收到的请求相关联的推荐角色列表中;
如果是,则允许控制点操作数据模型的一个或多个节点;
如果不是,则基于与一个或多个节点中的每一个相关联的访问控制列表(ACL)数据确定控制点是否具有操作数据模型的一个或多个节点的适当角色;
如果是,则允许控制点操作数据模型的一个或多个节点;
如果不是,则在控制点的显示器上返回错误消息。
20.如权利要求19所述的存储介质,其中,操作数据模型的请求包括在数据模型上执行访问操作、修改操作和读取操作之一的请求。
21.如权利要求19所述的存储介质,其中,所述一个或多个节点包括叶节点、单一实例节点、多实例节点和实例节点。
22.如权利要求19所述的存储介质,其中,与控制点相关联的角色是基础角色、公共角色、管理角色和厂商定义的角色之一。
23.如权利要求19所述的存储介质,其中,与一个或多个节点中的每一个相关联的ACL数据包括与访问元素、读取元素和修改元素相关联的节点标识符。
24.如权利要求20所述的存储介质,其中,允许控制点操作数据模型的一个或多个节点的指令包括:
使得控制点能够访问在数据模型的一个或多个节点中存储的配置信息。
25.如权利要求20所述的存储介质,其中,允许控制点操作数据模型的一个或多个节点的指令包括:
使得控制点能够读取与数据模型的一个或多个节点相关联的至少一个节点。
26.如权利要求20所述的存储介质,其中,允许控制点操作数据模型的一个或多个节点的指令包括:
使得控制点能够修改与数据模型的一个或多个节点相关联的至少一个节点。
27.一种家庭网络系统,包括:
至少一个控制点,用于调用操作数据模型的一个或多个节点的请求,其中数据模型包括多个节点,所述多个节点中的每一个表示配置信息;以及
至少一个控制设备,其与至少一个控制点通信地耦接,所述至少一个控制设备用于:
基于接收到的请求,确定与至少一个控制点相关联的角色;
确定与至少一个控制点相关联的角色是否处于与接收到的请求相关联的推荐角色列表中;
如果是,则允许至少一个控制点操作数据模型的一个或多个节点;
如果不是,则基于与一个或多个节点中的每一个相关联的访问控制列表(ACL)数据确定至少一个控制点是否具有操作数据模型的一个或多个节点的适当角色;
如果是,则允许至少一个控制点操作数据模型的一个或多个节点;
如果不是,则在至少一个控制点的显示器上返回错误消息。
28.如权利要求27所述的系统,其中操作数据模型的请求包括在数据模型上执行访问操作、修改操作和读取操作之一的请求。
29.如权利要求27所述的系统,其中,所述一个或多个节点包括叶节点、单一实例节点、多实例节点和实例节点。
30.如权利要求27所述的系统,其中,与至少一个控制点相关联的角色是基础角色、公共角色、管理角色和厂商定义的角色之一。
31.如权利要求27所述的系统,其中,与一个或多个节点中的每一个相关联的ACL数据包括与访问元素、读取元素和修改元素相关联的节点标识符。
CN201180039252.XA 2010-07-10 2011-07-11 安全访问在通用即插即用数据模型中存储的配置信息的方法和系统 Active CN103081402B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN1966/CHE/2010 2010-07-10
IN1966CH2010 2010-07-10
PCT/KR2011/005070 WO2012008721A2 (en) 2010-07-10 2011-07-11 Method and system for securing access to configuration information stored in universal plug and play data models

Publications (2)

Publication Number Publication Date
CN103081402A true CN103081402A (zh) 2013-05-01
CN103081402B CN103081402B (zh) 2015-09-09

Family

ID=45469903

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180039252.XA Active CN103081402B (zh) 2010-07-10 2011-07-11 安全访问在通用即插即用数据模型中存储的配置信息的方法和系统

Country Status (5)

Country Link
US (1) US9355260B2 (zh)
EP (1) EP2591574B1 (zh)
KR (1) KR101860964B1 (zh)
CN (1) CN103081402B (zh)
WO (1) WO2012008721A2 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106671B2 (en) * 2011-08-23 2015-08-11 Telefonaktiebolaget L M Ericsson (Publ) Capability discovery optimization
CN105577399A (zh) * 2014-10-09 2016-05-11 中兴通讯股份有限公司 一种网络设备的访问控制列表管理方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070208948A1 (en) * 2006-02-24 2007-09-06 Nokia Corporation System and method for configuring security in a plug-and-play architecture
US20070254630A1 (en) * 2006-04-24 2007-11-01 Nokia Corporation Methods, devices and modules for secure remote access to home networks

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020133716A1 (en) * 2000-09-05 2002-09-19 Shlomi Harif Rule-based operation and service provider authentication for a keyed system
JP4224226B2 (ja) * 2001-06-26 2009-02-12 富士通株式会社 表示制御方法、表示制御システム、表示制御プログラム、及び、コンピュータ可読媒体
US7647385B2 (en) 2003-12-19 2010-01-12 Microsoft Corporation Techniques for limiting network access
US20050160144A1 (en) * 2003-12-24 2005-07-21 Rishi Bhatia System and method for filtering network messages
US20070214497A1 (en) * 2006-03-10 2007-09-13 Axalto Inc. System and method for providing a hierarchical role-based access control
US8341694B2 (en) 2006-07-08 2012-12-25 International Business Machines Corporation Method and system for synchronized access control in a web services environment
US8732854B2 (en) * 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
JP4984907B2 (ja) * 2007-01-19 2012-07-25 ソニー株式会社 ネットワークシステム、ダイレクトアクセス管理サーバ、イベント通知方法、ネットワーク家電機器、及びコンピュータプログラム
WO2009041006A1 (ja) * 2007-09-27 2009-04-02 Panasonic Corporation ネットワークノード及び移動端末
KR101614945B1 (ko) 2008-08-20 2016-04-25 삼성전자주식회사 홈 네트워크에서의 개인정보 보호 방법 및 장치
KR101662838B1 (ko) 2008-10-10 2016-10-10 삼성전자주식회사 홈 네트워크에서 제어 포인트 장치가 피제어 장치의 보안을 설정하기 위한 시스템 및 방법
US8838644B2 (en) * 2009-11-25 2014-09-16 International Business Machines Corporation Extensible access control list framework

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070208948A1 (en) * 2006-02-24 2007-09-06 Nokia Corporation System and method for configuring security in a plug-and-play architecture
US20070254630A1 (en) * 2006-04-24 2007-11-01 Nokia Corporation Methods, devices and modules for secure remote access to home networks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
GUNTER KARJOTH: ""Implementing ACL-based Policies in XACML"", 《2008 ANNUAL COMPUTER SECURITY APPLICATIONS CONFERENC》 *

Also Published As

Publication number Publication date
WO2012008721A2 (en) 2012-01-19
US20130117866A1 (en) 2013-05-09
EP2591574A2 (en) 2013-05-15
KR101860964B1 (ko) 2018-05-24
KR20130100242A (ko) 2013-09-10
EP2591574B1 (en) 2018-09-05
CN103081402B (zh) 2015-09-09
EP2591574A4 (en) 2014-07-16
WO2012008721A3 (en) 2012-04-05
US9355260B2 (en) 2016-05-31

Similar Documents

Publication Publication Date Title
US9116893B2 (en) Network connected media gateway for communication networks
CN101366249B (zh) 媒体共享的方法和装置
BRPI0714116A2 (pt) mapeamento de itens descobertos por conexão e execução universal em uma localização de smb
AU2020333658B2 (en) Identity data object creation and management
CN103563295A (zh) 分布关于一个或多个电气装置的信息的方法及其系统
CN103959298B (zh) 基于权限验证下载内容的方法、设备和系统
CN1701567B (zh) 设备间认证系统、方法、通信装置
CN104081331A (zh) 桥接非网络接口和网络接口
CN1934844B (zh) 服务器设备、客户机设备以及网络系统
CN103081402B (zh) 安全访问在通用即插即用数据模型中存储的配置信息的方法和系统
JP4246405B2 (ja) 秘密機構を使用して各ハードウェア・レジスタに一括アクセスするハードウェア装置上で付加価値特性を使用可能にする方法
CN103098434B (zh) 用于管理通用即插即用家庭网络中的控制设备的系统和方法
US8819804B1 (en) Distributed enforcement of browser rules
CN103621011B (zh) 用于在通用即插即用家庭网络环境中管理电话服务的方法和系统
CN105474582B (zh) 可提供至少一个专用存储空间的家庭网关
US20060075470A1 (en) Storage network system and access control method
CN103069744B (zh) 用于基于所有权对家庭网络环境中的通用即插即用运行提供安全的方法和系统
CN103533076B (zh) Dlna中数字媒体服务器dms的访问控制方法、设备及dlna系统
WO2014191306A1 (en) Universal plug and play backup system comprising a cpe device and a media server, method for a backup of a media file and cpe device using the method
WO2012083752A1 (zh) 一种获知媒体服务器运行状态的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant