專利名稱:對(duì)網(wǎng)絡(luò)中的內(nèi)容進(jìn)行用戶訪問控制的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及在網(wǎng)絡(luò)中對(duì)裝置的用戶訪問控制�����,更具體地說���,涉及在諸如家庭網(wǎng)絡(luò)的裝置的網(wǎng)絡(luò)中對(duì)內(nèi)容/資源的用戶訪問控制。
背景技術(shù):
在不同種類組網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)中�,網(wǎng)絡(luò)中的每個(gè)裝置可以具有它自己的授權(quán)的用戶/用戶組。每個(gè)用戶或用戶組可以具有關(guān)于裝置的裝置特定的訪問權(quán)�����。傳統(tǒng)的用戶訪問方法提供一種集中式服務(wù)器��,該服務(wù)器用于首先建立用戶和用戶組�����,然后和其他裝置通信以在其他裝置上建立本地用戶和用戶組�����。因此����,中央服務(wù)器維護(hù)在不同裝置上的用戶和用戶組的映射。當(dāng)在裝置上的用戶希望訪問另一裝置時(shí)����,集中式服務(wù)器將第一個(gè)裝置上的用戶轉(zhuǎn)換為第二個(gè)裝置上的另一用戶,從而在第二個(gè)裝置上的訪問權(quán)能夠被驗(yàn)證����,資源能夠被訪問或拒絕。
這種傳統(tǒng)的基于角色的訪問控制系統(tǒng)和方法利用集中式的用戶配置注冊(cè)表來控制許可用戶訪問的計(jì)算資源�����。當(dāng)用戶請(qǐng)求訪問特定資源時(shí)�����,伴隨用戶的請(qǐng)求首先被路由到用戶注冊(cè)表表��。用戶注冊(cè)表包含用戶配置數(shù)據(jù)庫���,并能夠取回用戶配置和用戶特定訪問控制列表(ACL)策略����。用戶注冊(cè)表表基于用戶配置和用戶特定ACL策略驗(yàn)證對(duì)于該請(qǐng)求的用戶許可。僅當(dāng)請(qǐng)求匹配用戶的ACL策略時(shí)��,準(zhǔn)予許可�����。
這種傳統(tǒng)的集中式用戶管理的缺點(diǎn)之一是中央服務(wù)器在服務(wù)器出現(xiàn)故障的情況下表現(xiàn)為單一的故障點(diǎn)�����,這使整個(gè)安全控制系統(tǒng)停止工作���。這種傳統(tǒng)的方法的另一缺點(diǎn)是它假定網(wǎng)絡(luò)中的裝置在它們的訪問控制策略上是同類的(例如����,用戶能夠在網(wǎng)絡(luò)中的裝置上被一致地識(shí)別)��,并且在網(wǎng)絡(luò)中僅有一個(gè)安全系統(tǒng)��。因此�����,在這種傳統(tǒng)的方法中�����,在組網(wǎng)的不同種類裝置中的用戶管理需要在任何其他裝置被加入到網(wǎng)絡(luò)之前�,集中式服務(wù)器必須存在并且用戶和用戶組必須首先被建立。這種方法在網(wǎng)絡(luò)不是預(yù)先計(jì)劃并且裝置可以按隨機(jī)順序加入網(wǎng)絡(luò)的家庭環(huán)境中是有缺陷的����。
另外,在這種傳統(tǒng)的方法中���,在家庭環(huán)境中的用戶管理和他們的對(duì)于裝置的訪問控制是有問題的��。不同于理解企業(yè)網(wǎng)絡(luò)環(huán)境的細(xì)節(jié)和復(fù)雜性的熟練的專職系統(tǒng)管理員���,在家庭環(huán)境中不可能有專職的系統(tǒng)管理員。另外��,家庭網(wǎng)絡(luò)環(huán)境中的裝置比企業(yè)環(huán)境中的裝置功能上更多樣化����。因此���,家庭網(wǎng)絡(luò)環(huán)境中的用戶管理和資源的訪問控制必須將非同類的裝置的差異進(jìn)行統(tǒng)一,并且必須易于家庭使用�����。
發(fā)明內(nèi)容
本發(fā)明針對(duì)上述需要�����。在一個(gè)實(shí)施例中�,本發(fā)明提供一種在分布式系統(tǒng)中的方法,該方法允許家庭網(wǎng)絡(luò)環(huán)境中的資源(即���,內(nèi)容���、裝置和服務(wù))上的單一觀點(diǎn)的用戶和用戶組的ACL,而不管裝置特定訪問控制機(jī)制和OS特定訪問控制機(jī)制間的差異��。
同樣地�,在一個(gè)示例性實(shí)施例中,本發(fā)明提供一種方法�����,該方法統(tǒng)一家庭網(wǎng)絡(luò)環(huán)境中用于不同用戶和用戶組的不同的裝置特定和操作系統(tǒng)(OS)特定訪問控制列表(ACL)�����。根據(jù)本發(fā)明的家庭網(wǎng)絡(luò)包括組網(wǎng)的不同種類的裝置和所提供的內(nèi)容�,其中,對(duì)于家庭范圍用戶和用戶組的一致的單一觀點(diǎn)的ACL被展現(xiàn)給用戶���。因此�����,在這種家庭網(wǎng)絡(luò)中的用戶不需要控制在每個(gè)單獨(dú)的裝置上的裝置特定用戶和用戶組的ACL�����。代替地���,用戶控制用于家庭范圍用戶和用戶組的家庭范圍ACL。對(duì)于家庭范圍用戶和用戶組的家庭范圍ACL的更改被傳播到單獨(dú)的裝置�。在另一方面,本發(fā)明也允許對(duì)于裝置特定用戶和用戶組的裝置特定ACL的更改����。這種更改隨后被傳播到家庭范圍用戶和用戶組的家庭范圍ACL�����。
因此����,本發(fā)明允許每個(gè)裝置具有裝置特定用戶����、用戶組和相關(guān)聯(lián)的ACL策略。沒有使用在其中存儲(chǔ)全部用戶和用戶組配置和他們的ACL的集中式服務(wù)器���。代替地���,本發(fā)明從下面的不同種類裝置中聚集用戶和用戶ACL。這種聚集使家庭用戶易于管理用戶和ACL����。然而,實(shí)際的數(shù)據(jù)能夠以分布式方式存儲(chǔ)在實(shí)際的裝置中��。在聚集故障的情況下��,用戶仍然能夠管理在每個(gè)單獨(dú)裝置上的用戶配置。
因此�����,與傳統(tǒng)的集中式用戶配置注冊(cè)表相反���,根據(jù)本發(fā)明實(shí)施例的改進(jìn)的訪問方法為每個(gè)資源加注每個(gè)用戶的ACL信息。因此����,不需要集中的用戶配置注冊(cè)表。代替地��,當(dāng)用戶想訪問資源時(shí)�,在訪問被準(zhǔn)予或拒絕之前,相關(guān)聯(lián)的ACL信息首先被驗(yàn)證����。不需要服務(wù)器的建立和在該服務(wù)器上的用戶和用戶組的創(chuàng)建。本發(fā)明基于現(xiàn)存的裝置的用戶管理允許創(chuàng)建家庭范圍用戶�����、用戶組和他們的ACL���。這提供了一種靈活的方法在于它采取了自上而下和自下而上兩種方法����。
通過下面結(jié)合附圖的如下說明,本發(fā)明的其他實(shí)施例��、特性��、優(yōu)點(diǎn)將會(huì)變得清楚��。
圖1顯示在其中實(shí)施根據(jù)本發(fā)明的訪問控制的實(shí)施例的網(wǎng)絡(luò)的示例性功能方框圖���。
圖2顯示根據(jù)本發(fā)明實(shí)施例的訪問控制系統(tǒng)的示例性功能方框圖���。
圖3顯示根據(jù)本發(fā)明的另一實(shí)施例的訪問控制系統(tǒng)的示例性功能方框圖。
圖4顯示根據(jù)本發(fā)明的另一實(shí)施例的訪問控制系統(tǒng)的示例性功能方框圖����。
圖5顯示在圖2的系統(tǒng)中實(shí)現(xiàn)的示例性訪問控制步驟的示例性流程圖。
圖6顯示在圖3的系統(tǒng)中實(shí)現(xiàn)的示例性訪問控制步驟的示例性流程圖�。
圖7顯示在圖4的系統(tǒng)中實(shí)現(xiàn)的示例性訪問控制步驟的示例性流程圖。
具體實(shí)施例方式
參考圖1��,一個(gè)諸如家庭網(wǎng)絡(luò)10的示例性網(wǎng)絡(luò)����,家庭網(wǎng)絡(luò)10包括諸如TV 20����、可攜式攝像機(jī)30�、DVD 40的多種裝置;諸如PC 50的傳統(tǒng)的計(jì)算裝置���,所述計(jì)算裝置能夠經(jīng)由用于與web服務(wù)器80和web瀏覽器85通信的可選接口60而連接到互聯(lián)網(wǎng)70。
家庭網(wǎng)絡(luò)10中的每個(gè)裝置具有裝置特定訪問控制機(jī)制��。例如���,安全意識(shí)UPnP裝置能夠具有UPnP特定ACL�,UPnP特定ACL控制誰能夠訪問由這種裝置提供的功能����。一些這樣的裝置具有存儲(chǔ)能力以包含內(nèi)容(例如,如PC能夠存儲(chǔ)圖片���、視頻��、音頻文件等)��。這些裝置包含描述誰擁有內(nèi)容和如何訪問該內(nèi)容(例如�����,“讀”�����、“寫”����、“執(zhí)行”等)的操作系統(tǒng)特定ACL策略。另外�,一些裝置具有使用開放式數(shù)字權(quán)利語言(ODRL)來控制如何能訪問和操縱內(nèi)容的數(shù)字權(quán)利管理(DRM)。家庭網(wǎng)絡(luò)環(huán)境中的多個(gè)現(xiàn)存的ACL策略向家庭用戶提出挑戰(zhàn)����。與企業(yè)網(wǎng)絡(luò)環(huán)境不同,家庭網(wǎng)絡(luò)環(huán)境沒有熟練的系統(tǒng)管理員���。家庭網(wǎng)絡(luò)需要以最少的技能實(shí)現(xiàn)容易的安全管理���。
因此,在一個(gè)實(shí)施例中�,本發(fā)明提供一種在諸如家庭網(wǎng)絡(luò)10的分布式系統(tǒng)中將裝置和內(nèi)容上的不同ACL策略的多樣性統(tǒng)一為一致的單一觀點(diǎn)ACL策略的方法��。單一觀點(diǎn)ACL策略簡化了用戶管理和ACL策略控制的管理��。系統(tǒng)將這個(gè)一致的單一觀點(diǎn)的用戶管理和ACL策略映射到用于裝置特定用戶和用戶組的每個(gè)裝置上的裝置特定ACL策略和一條內(nèi)容上的OS特定ACL策略�。
在一個(gè)實(shí)施例中���,為多個(gè)不同種類的裝置提供單一觀點(diǎn)ACL系統(tǒng)���。一些這樣的系統(tǒng)包括UPnP安全意識(shí)裝置,盡管其他裝置可能不是UPnP裝置����,但使用不同的訪問協(xié)議并具有置于它們中的安全系統(tǒng)(例如�����,具有Windows(TM)操作系統(tǒng)和分布式組件對(duì)象模型(DCOM)訪問協(xié)議的PC)�����。
在由圖2中的功能方框圖顯示的示例中�,家庭網(wǎng)絡(luò)中的ACL系統(tǒng)90包括(1)裝置100,其為UPnP安全意識(shí)裝置�,并包括授權(quán)代理102�;和(2)控制器模塊104��。授權(quán)代理102包括軟件模塊����,該軟件模塊包含包括訪問協(xié)議和裝置特定ACL策略的裝置特定訪問控制。在授權(quán)代理102的一個(gè)示例中����,UPnP安全意識(shí)裝置授權(quán)代理包含指定誰能帶有時(shí)間限制地訪問裝置上的服務(wù)的UPnPACL策略的列表。在授權(quán)代理102的另一示例中�����,PC授權(quán)代理包含指定內(nèi)容的所有權(quán)��、PC特定的用戶和用戶組對(duì)于內(nèi)容的讀和寫操縱的ACL策略的列表��。
控制器(軟件)模塊104在家庭網(wǎng)絡(luò)中的諸如具有安全控制臺(tái)的UPnP控制點(diǎn)(例如��,圖1中網(wǎng)絡(luò)10的PC 50)的處理裝置上運(yùn)行�,控制器模塊104包括授權(quán)目錄106。授權(quán)目錄106包括三個(gè)(軟件)模塊(1)用戶和用戶組映射108��,(2)ACL策略110����,和(3)授權(quán)插件112���。用戶和用戶組映射108包括包含網(wǎng)絡(luò)中的系統(tǒng)范圍的用戶和用戶組的列表。ACL策略110包括諸如ORDL的標(biāo)準(zhǔn)格式的聚集的系統(tǒng)范圍ACL策略����,其描述在家庭網(wǎng)絡(luò)環(huán)境中的裝置、服務(wù)和內(nèi)容上的ACL�����。授權(quán)插件112和授權(quán)代理102通信����。
授權(quán)插件112包括將系統(tǒng)范圍用戶和用戶組映射到裝置特定用戶和用戶組的映射;用于和裝置通信的裝置特定通信協(xié)議��;和將裝置特定ACL策略映射到ACL策略110中的系統(tǒng)范圍ACL策略的映射��。例如����,系統(tǒng)范圍用戶組“parent”映射到PC windows裝置上的裝置特定用戶組“administrator”��。一個(gè)ACL的示例是描述“user“guest”僅能訪問c/temp/中的文件”這樣的ACL策略的PC windows裝置上的ACL策略映射到“user“guest”僅能訪問PC中的客人目錄”這樣的系統(tǒng)范圍策略。
另外����,控制器模塊104包括允許用戶具有到家庭網(wǎng)絡(luò)的單一登錄的認(rèn)證目錄114。認(rèn)證目錄114提供系統(tǒng)范圍用戶標(biāo)識(shí)符����,以使其能夠由授權(quán)目錄106識(shí)別為屬于用戶組或多個(gè)用戶組的用戶。在這個(gè)示例中�����,在家庭網(wǎng)絡(luò)環(huán)境中的全部裝置使用諸如IEEE 802.11x��、以太網(wǎng)的不同的網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)118組網(wǎng)�����。
以下將結(jié)合圖5中顯示的步驟200-220描述圖2的系統(tǒng)中的單一觀點(diǎn)授權(quán)的示例性逐步的描述����。
步驟200裝置100在家庭網(wǎng)絡(luò)中上線。授權(quán)代理102將裝置特定ACL發(fā)送到控制器104中的授權(quán)插件112�。裝置特定ACL的內(nèi)容可以是存在于授權(quán)代理102中的整個(gè)ACL,或者可以是將ACL策略110中現(xiàn)存的ACL以及用戶和用戶組映射108更新的部分裝置特定ACL?��?梢允褂醚b置特定同步協(xié)議執(zhí)行更新(例如��,SyncML能夠用于同步)���。
步驟202授權(quán)插件112更新其中的系統(tǒng)范圍用戶和用戶組映射108,從而當(dāng)由系統(tǒng)范圍用戶或用戶組使用的應(yīng)用程序(例如�����,應(yīng)用程序116)想訪問裝置(例如����,裝置100)上的資源時(shí),系統(tǒng)范圍用戶或用戶組經(jīng)由授權(quán)插件112映射到裝置特定用戶和用戶組��。
步驟204授權(quán)插件112更新ACL策略110�����。當(dāng)裝置100第一次接入家庭網(wǎng)絡(luò)中時(shí)�����,所述更新可以是裝置100上的整個(gè)ACL策略��。當(dāng)裝置100離線時(shí)����,當(dāng)ACL被修改時(shí),更新也可以是部分ACL���。此時(shí)��,裝置100在線并準(zhǔn)備被使用����。
步驟206用戶啟動(dòng)應(yīng)用程序116并且該應(yīng)用程序需要訪問裝置100的特定資源/內(nèi)容����。
步驟208用戶首先被認(rèn)證目錄114認(rèn)證。示例性的認(rèn)證方法可以在共同未決的申請(qǐng)“Method and System for Single Sign-on in a Network”中找到��,其代理案卷編號(hào)為SAM2A.PAU.10�,包含于此以資參考。
步驟210在認(rèn)證之后�����,認(rèn)證目錄114獲得系統(tǒng)范圍用戶ID并將其傳送到授權(quán)目錄106,以用于驗(yàn)證在裝置100上的訪問控制權(quán)����。
步驟212授權(quán)目錄106向用戶和用戶組映射108咨詢?cè)撚脩魧儆谀男┯脩艚M。
步驟214授權(quán)目錄106然后從ACL策略獲得用于屬于裝置100上的用戶和用戶組的訪問控制權(quán)的ACL����。
步驟216授權(quán)目錄106驗(yàn)證是否許可該用戶訪問請(qǐng)求中的特定資源?;蛘撸跈?quán)目錄106能夠經(jīng)由授權(quán)插件112將請(qǐng)求發(fā)送到授權(quán)代理102以用于驗(yàn)證�。
步驟218如果請(qǐng)求被準(zhǔn)予,則應(yīng)用程序能夠直接地訪問裝置100上的特定資源/內(nèi)容���。
步驟220否則�����,請(qǐng)求的訪問被拒絕����。
在另一實(shí)施例中����,本發(fā)明提供一種在多個(gè)裝置中的單一觀點(diǎn)ACL撤回(revocation)方法�。一些裝置可以包括UPnP安全意識(shí)裝置�,盡管其他裝置可以不包括UPnP裝置��,但使用不用的訪問協(xié)議并具有置于裝置中的安全系統(tǒng)(例如����,具有Windows操作系統(tǒng)和DCOM訪問協(xié)議的PC)。
在一個(gè)示例中�����,ACL撤回方法在由圖3中的功能方框圖顯示的家庭網(wǎng)絡(luò)中的示例性系統(tǒng)290中被實(shí)現(xiàn)�����,示例性系統(tǒng)290包括(1)裝置300���,其為UPnP安全意識(shí)裝置�,并包括授權(quán)代理302����;(2)裝置304,其不是UPnP裝置��,并包括授權(quán)代理306;和(3)控制器(軟件)模塊308���。授權(quán)代理302和306可以是管理裝置特定訪問協(xié)議和裝置特定ACL策略的軟件模塊�����。示例性的UPnP安全意識(shí)裝置授權(quán)代理302包括指定誰能受約束地訪問裝置上的服務(wù)的UPnP ACL策略的列表���。示例性的PC授權(quán)代理306包括指定內(nèi)容的所有權(quán)、PC特定的用戶和用戶組對(duì)于內(nèi)容的讀和寫操縱的ACL策略的列表����。
控制器模塊308在家庭網(wǎng)絡(luò)中的諸如具有安全控制臺(tái)的UPnP控制點(diǎn)的處理裝置上運(yùn)行,它允許用戶操縱另一裝置上的ACL��,并包括授權(quán)目錄310��。授權(quán)目錄310包括四個(gè)(軟件)模塊用戶和用戶組映射314���;ACL策略312�;和兩個(gè)授權(quán)插件316和318��,其中的每個(gè)分別和裝置300和304上的授權(quán)代理302和306通信��。用戶和用戶組映射314包括包含聚集的系統(tǒng)范圍用戶和用戶組的列表。ACL策略312包括諸如ORDL的標(biāo)準(zhǔn)格式的聚集的系統(tǒng)范圍ACL策略��,其描述在家庭網(wǎng)絡(luò)環(huán)境中的裝置�����、服務(wù)和內(nèi)容上的ACL��。授權(quán)插件316和318可分別包括與授權(quán)代理302和306通信的軟件模塊����。授權(quán)插件316和318中的每個(gè)包括將系統(tǒng)范圍用戶和用戶組映射到裝置特定用戶和用戶組的映射�;用于和裝置通信的裝置特定通信協(xié)議;和將裝置特定ACL策略映射到ACL策略312中的系統(tǒng)范圍ACL策略的映射����。例如,系統(tǒng)范圍用戶組“parent”映射到PC windows裝置上的裝置特定用戶組“administrator”�。一個(gè)ACL的示例是描述“user“guest”僅能訪問c/temp/中的文件”這樣的ACL策略的PC windows裝置上的ACL策略映射到“user“guest”僅能訪問PC中的客人目錄”這樣的系統(tǒng)范圍策略。
另外�����,控制器模塊310包括允許用戶具有到家庭網(wǎng)絡(luò)的單一登錄的認(rèn)證目錄320�。認(rèn)證目錄320提供系統(tǒng)范圍用戶標(biāo)識(shí)符��,以使其能夠由授權(quán)目錄310識(shí)別為屬于用戶組或多個(gè)用戶組的用戶���。在這個(gè)示例中,在家庭環(huán)境中的全部裝置使用諸如IEEE 802.11x��、以太網(wǎng)的不同的網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)322組網(wǎng)���。
以下將結(jié)合圖6中顯示的步驟400-426描述圖3的示例性系統(tǒng)290中的撤回方法的示例性逐步的描述���。
步驟400用戶A希望撤回關(guān)于另一用戶B的特定訪問權(quán)。
步驟402認(rèn)證目錄320在402中認(rèn)證用戶A���。詳細(xì)的認(rèn)證方法可以在共同未決的申請(qǐng)“Method and System for Single Sign-on in a Network”中找到��,其代理案卷編號(hào)為SAM2A.PAU.10�,包含于此以資參考�����。
步驟404認(rèn)證目錄320將用戶A的系統(tǒng)范圍ID傳到授權(quán)目錄310�。
步驟406授權(quán)目錄310驗(yàn)證用戶A具有對(duì)于請(qǐng)求的操縱的許可,并撤回ACL策略312中用戶B的ACL。
步驟408授權(quán)目錄將撤回請(qǐng)求發(fā)送到授權(quán)插件316以撤回裝置300上的ACL�����。
步驟410同時(shí)�,授權(quán)目錄將相同的撤回請(qǐng)求發(fā)送到授權(quán)插件318以撤回裝置304上的ACL。
步驟412授權(quán)插件316從用戶和用戶組映射314獲得用戶B的裝置300特定用戶ID����。
步驟414授權(quán)插件318從用戶和用戶組映射314獲得用戶B的裝置304特定用戶ID。
步驟416授權(quán)插件316將系統(tǒng)范圍ACL轉(zhuǎn)換為用戶B的裝置300特定ACL�����。
步驟418授權(quán)插件318將系統(tǒng)范圍ACL轉(zhuǎn)換為用戶B的裝置304特定ACL���。
步驟420授權(quán)插件316將撤回請(qǐng)求發(fā)送到具有用戶B的裝置特定ACL和裝置特定用戶ID的授權(quán)代理302。
步驟422授權(quán)插件318將撤回請(qǐng)求發(fā)送到具有用戶B的裝置特定ACL和裝置特定用戶ID的授權(quán)代理306���。
步驟424授權(quán)代理302撤回裝置300上的用戶B的ACL�����。
步驟426授權(quán)代理306撤回裝置304上的用戶B的ACL�。
在另一實(shí)施例中����,本發(fā)明提供一種在不具有內(nèi)置的安全措施(即��,在裝置上沒有授權(quán)代理)的裝置上單一觀點(diǎn)分配ACL的方法(SSO方法)�。在一個(gè)示例中�����,這種方法在由圖4中的功能方框圖顯示的系統(tǒng)490中被實(shí)現(xiàn)���,系統(tǒng)490包括裝置500�,其為UPnP裝置(非安全意識(shí)的)��,和控制器模塊504�����。裝置500不包括安全措施��,因此��,它允許任何用戶的任何控制點(diǎn)訪問�����。控制器504在諸如具有安全控制臺(tái)的UPnP控制點(diǎn)的處理裝置上運(yùn)行����,并包括授權(quán)目錄506。授權(quán)目錄506包括三個(gè)(軟件)模塊(1)用戶和用戶組映射508���;(2)ACL策略510���;和(3)授權(quán)插件512。用戶和用戶組映射508包括列出系統(tǒng)范圍用戶和用戶組的映射�����。ACL策略510包括諸如ORDL的標(biāo)準(zhǔn)格式的系統(tǒng)范圍ACL策略����,其描述在家庭網(wǎng)絡(luò)環(huán)境中的裝置���、服務(wù)和內(nèi)容上的ACL���。授權(quán)插件512可以是代表裝置500的包括安全機(jī)制的軟件模塊。授權(quán)插件512包括(1)允許訪問裝置500上的資源的用戶和用戶組的列表;(2)裝置500的ACL����;(3)將系統(tǒng)范圍用戶和用戶組映射到裝置特定用戶和用戶組的映射;和(4)將系統(tǒng)范圍ACL策略映射到ACL策略510中的單獨(dú)裝置上的裝置特定ACL策略的映射�。例如,系統(tǒng)范圍用戶組“parent”映射到UPnP裝置上的裝置特定用戶組“owner”��。一個(gè)ACL的示例是UPnP裝置上的描述“user“guest”不能訪問“控制設(shè)定””這樣的ACL策略映射到“user“guest”不能訪問UPnP裝置上的控制設(shè)定”這樣的系統(tǒng)范圍策略��。
另外��,控制器模塊504包括允許用戶具有到家庭網(wǎng)絡(luò)的單一登錄的認(rèn)證目錄514����。認(rèn)證目錄514提供系統(tǒng)范圍用戶標(biāo)識(shí)符,以使其能夠由授權(quán)目錄506識(shí)別為屬于用戶組或多個(gè)用戶組的用戶��。在這個(gè)示例中�����,在家庭網(wǎng)絡(luò)環(huán)境中的全部裝置使用諸如IEEE 802.11x�����、以太網(wǎng)的不同的網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)516組網(wǎng)。
以下將結(jié)合圖7中顯示的步驟600-614描述圖4的系統(tǒng)中的SSO方法的示例性逐步的描述����。
步驟600用戶A希望將特定的訪問控制權(quán)分配給用戶B。
步驟602認(rèn)證目錄514在602中認(rèn)證用戶A�。詳細(xì)的認(rèn)證方法可以在共同未決的申請(qǐng)“Method and System for Single Sign-on in a Network”中找到,其代理案卷編號(hào)為SAM2A.PAU.10���,包含于此以資參考�。
步驟604認(rèn)證目錄514將用戶A的系統(tǒng)范圍ID傳送到授權(quán)目錄506��。
步驟606授權(quán)目錄506向ACL策略510咨詢用戶A將訪問控制權(quán)分配給用戶B的許可�。
步驟608一旦授權(quán)目錄506驗(yàn)證出用戶A具有許可,則授權(quán)目錄506將請(qǐng)求的權(quán)利分配給ACL策略510中的用戶B�����。
步驟610授權(quán)目錄506將新分配的系統(tǒng)范圍ACL發(fā)送到授權(quán)插件512���。
步驟612授權(quán)插件512將系統(tǒng)范圍ACL轉(zhuǎn)換為裝置500特定ACL。
步驟614授權(quán)插件512更新它內(nèi)部的裝置500特定ACL�����。
如本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到的,本發(fā)明不限于上述示例性實(shí)施例���。例如����,在一個(gè)選擇性的實(shí)施例中�,授權(quán)目錄分布在多個(gè)控制器模塊上。每個(gè)控制器模塊在單獨(dú)的裝置上運(yùn)行�。例如,可以有具有安全控制臺(tái)的多個(gè)UPnP控制點(diǎn)����。每個(gè)UPnP控制點(diǎn)包括部分授權(quán)目錄。每個(gè)部分的授權(quán)目錄在其內(nèi)容上可以是脫節(jié)的也可以是互相覆蓋的����。在脫節(jié)的授權(quán)目錄的情況中,分布的授權(quán)目錄組成完整的虛擬授權(quán)目錄�。分布的控制器協(xié)調(diào)并同步這樣的多個(gè)目錄,以確保它們對(duì)于用戶是一致的��。在互相覆蓋的授權(quán)目錄的情況中�,分布的控制器在它們自身之間進(jìn)行協(xié)調(diào),從而多個(gè)授權(quán)目錄組成完整和一致的虛擬授權(quán)目錄�。如果虛擬目錄中的條目改變�,則對(duì)應(yīng)于該條目的分布的授權(quán)目錄中的全部條目被更新��。如本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到的�����,有各種能夠用于一致性更新的機(jī)制��。一個(gè)示例性的方法可以是主/從方法�����,其中�,互相覆蓋的授權(quán)目錄的一個(gè)副本被指定為主,總是在該副本上首先執(zhí)行更新����,分布的目錄的其他互相覆蓋的部分被指定為從,主將更新傳播到從�����。
在本發(fā)明的另一選擇性的實(shí)施例中���,系統(tǒng)包括授權(quán)目錄的多個(gè)復(fù)制品����。每個(gè)授權(quán)目錄的副本包括在運(yùn)行在單獨(dú)的設(shè)備上的單獨(dú)的控制器中�。復(fù)制品在它們自身之間協(xié)調(diào)以保持關(guān)于授權(quán)目錄的一致觀點(diǎn)?�?刹捎酶鞣N機(jī)制來保持一致性�����。一個(gè)示例性的方法是主/從技術(shù)��,其中�,授權(quán)目錄的主副本總是首先被更新,任何更改被隨后傳播到從副本�。
盡管本發(fā)明容許許多不同形式的實(shí)施例,在附圖中顯示并在此詳細(xì)描述了本發(fā)明的優(yōu)選實(shí)施例���,但是本公布應(yīng)該被理解為是本發(fā)明的原理的范例并且不應(yīng)意圖將本發(fā)明的范圍的方面限定到所示出的實(shí)施例���。上面根據(jù)本發(fā)明的前述示例性結(jié)構(gòu)能夠以如本領(lǐng)域的技術(shù)人員所熟知的諸如由處理器執(zhí)行的程序指令、邏輯電路���、ASIC和固件等的許多方式被實(shí)現(xiàn)�����。因此��,本發(fā)明不限于這里描述的示例性實(shí)施例�����。
本發(fā)明已經(jīng)參考其特定的優(yōu)選版本而被非常詳細(xì)描述���,然而�����,其余版本也是可能的��。因此��,所附權(quán)利要求的精神和范圍不應(yīng)該限定于在此包括的優(yōu)選版本的描述���。
權(quán)利要求
1.一種用于管理對(duì)裝置的網(wǎng)絡(luò)中的內(nèi)容的用戶訪問控制的方法,每個(gè)裝置包括裝置特定訪問控制策略���,所述方法包括步驟將裝置上的不同訪問控制策略的多樣性統(tǒng)一為單一觀點(diǎn)訪問控制策略�,其簡化了網(wǎng)絡(luò)中的用戶訪問控制管理。
2.如權(quán)利要求1所述的方法��,其中����,統(tǒng)一的步驟還包括步驟將所述單一觀點(diǎn)訪問控制策略映射到每個(gè)裝置上的裝置特定訪問控制策略����。
3.如權(quán)利要求1所述的方法,其中��,統(tǒng)一的步驟還包括步驟將所述單一觀點(diǎn)訪問控制策略映射到裝置特定用戶和用戶組的關(guān)于內(nèi)容的操作系統(tǒng)特定訪問控制策略����。
4.如權(quán)利要求1所述的方法,其中���,統(tǒng)一的步驟還包括步驟允許每個(gè)裝置具有裝置特定用戶����、用戶組和相關(guān)聯(lián)的訪問控制策略�。
5.如權(quán)利要求1所述的方法,其中,統(tǒng)一的步驟還包括步驟從裝置聚集用戶信息和用戶訪問控制信息��。
6.如權(quán)利要求5所述的方法����,還包括步驟將所述聚集的信息包括在每個(gè)所述裝置中。
7.如權(quán)利要求5所述的方法��,其中�����,聚集的步驟還包括步驟當(dāng)裝置連接到網(wǎng)絡(luò)時(shí)���,從每個(gè)裝置聚集用戶信息和用戶訪問控制信息���。
8.如權(quán)利要求5所述的方法,其中�����,聚集的步驟還包括步驟當(dāng)裝置在網(wǎng)絡(luò)中變得可用時(shí)�,從每個(gè)裝置聚集用戶信息和用戶訪問控制信息。
9.如權(quán)利要求5所述的方法��,其中,聚集的步驟還包括步驟當(dāng)裝置在網(wǎng)絡(luò)中變得可用時(shí)�����,更新來自每個(gè)裝置的用戶信息和用戶訪問控制信息���。
10.如權(quán)利要求1所述的方法����,還包括步驟使用單一觀點(diǎn)訪問控制控制對(duì)每個(gè)裝置的訪問���。
11.如權(quán)利要求10所述的方法,其中�,控制訪問的步驟還包括步驟使用單一觀點(diǎn)訪問控制檢查對(duì)于訪問選擇的裝置的用戶授權(quán)。
12.一種包括多個(gè)不同種類的裝置的網(wǎng)絡(luò)��,其中����,每個(gè)裝置包括裝置特定訪問控制策略和機(jī)制,所述網(wǎng)絡(luò)包含控制器���,將裝置上的不同的訪問控制策略和機(jī)制的多樣性統(tǒng)一為單一觀點(diǎn)訪問控制策略���,并使用該單一觀點(diǎn)訪問控制策略控制對(duì)于裝置的用戶訪問����,由此����,網(wǎng)絡(luò)中的用戶訪問控制管理被簡化。
13.如權(quán)利要求12所述的網(wǎng)絡(luò)����,其中,控制器還通過將所述單一觀點(diǎn)訪問控制策略映射到每個(gè)裝置上的裝置特定訪問控制策略來統(tǒng)一裝置上的不同訪問控制策略的多樣性��。
14.如權(quán)利要求12所述的網(wǎng)絡(luò)���,其中����,控制器還通過將所述單一觀點(diǎn)訪問控制策略映射到裝置特定用戶和用戶組的關(guān)于內(nèi)容的操作系統(tǒng)特定訪問控制策略來統(tǒng)一裝置上的不同訪問控制策略的多樣性�����。
15.如權(quán)利要求12所述的網(wǎng)絡(luò)�,其中�,控制器還通過允許每個(gè)裝置具有裝置特定用戶���、用戶組和相關(guān)聯(lián)的訪問控制策略來統(tǒng)一裝置上的不同訪問控制策略的多樣性�����。
16.如權(quán)利要求12所述的網(wǎng)絡(luò)����,其中�,控制器還通過從裝置聚集用戶信息和用戶訪問控制信息來統(tǒng)一裝置上的不同訪問控制的多樣性。
17.如權(quán)利要求16所述的網(wǎng)絡(luò)����,其中�����,當(dāng)裝置連接到網(wǎng)絡(luò)時(shí)��,控制器還從每個(gè)裝置聚集所述信息���。
18.如權(quán)利要求16所述的網(wǎng)絡(luò)���,其中���,當(dāng)裝置在網(wǎng)絡(luò)中變得可用時(shí),控制器還從每個(gè)裝置聚集所述信息���。
19.如權(quán)利要求16所述的網(wǎng)絡(luò)����,其中���,當(dāng)裝置在網(wǎng)絡(luò)中變得可用時(shí)�����,控制器還更新來自每個(gè)裝置的所述聚集的信息��。
20.如權(quán)利要求12所述的網(wǎng)絡(luò)�,其中�,控制器通過使用單一觀點(diǎn)訪問控制檢查對(duì)于訪問選擇的裝置的用戶授權(quán)來控制對(duì)裝置的訪問。
21.一種用于管理對(duì)不同種類裝置的網(wǎng)絡(luò)中的內(nèi)容的用戶訪問控制的方法�,所述方法包括步驟將不同種類裝置上的裝置特定訪問控制策略聚集為系統(tǒng)范圍的、統(tǒng)一的訪問控制策略��,和管理所述系統(tǒng)范圍的、統(tǒng)一的訪問控制策略����。
22.如權(quán)利要求21所述的方法,其中�����,聚集的步驟還包括步驟將所述系統(tǒng)范圍的����、統(tǒng)一的訪問控制策略映射到每個(gè)裝置上的裝置特定訪問控制策略。
23.如權(quán)利要求21所述的方法��,其中��,聚集的步驟還包括步驟將所述系統(tǒng)范圍的�����、統(tǒng)一的訪問控制策略映射到裝置特定用戶和用戶組的關(guān)于內(nèi)容的操作系統(tǒng)特定訪問控制策略��。
24.如權(quán)利要求21所述的方法��,其中����,聚集的步驟還包括步驟允許每個(gè)裝置具有裝置特定用戶、用戶組和相關(guān)聯(lián)的訪問控制策略����。
25.如權(quán)利要求21所述的方法,還包括步驟將所述聚集的信息包括在每個(gè)所述裝置中�。
26.如權(quán)利要求21所述的方法,其中��,聚集的步驟還包括步驟當(dāng)裝置連接到網(wǎng)絡(luò)時(shí)���,從每個(gè)裝置聚集用戶信息和用戶訪問控制信息��。
27.如權(quán)利要求21所述的方法���,其中,聚集的步驟還包括步驟當(dāng)裝置在網(wǎng)絡(luò)中變得可用時(shí)���,從每個(gè)裝置聚集用戶信息和用戶訪問控制信息���。
28.如權(quán)利要求21所述的方法,其中��,聚集的步驟還包括步驟當(dāng)裝置在網(wǎng)絡(luò)中變得可用時(shí),更新來自每個(gè)裝置的用戶信息和用戶訪問控制信息����。
29.如權(quán)利要求21所述的方法,還包括步驟使用系統(tǒng)范圍的����、統(tǒng)一的訪問控制策略控制對(duì)每個(gè)裝置的訪問。
30.如權(quán)利要求29所述的方法��,其中��,控制訪問的步驟還包括步驟使用系統(tǒng)范圍的�、統(tǒng)一的訪問控制策略檢查對(duì)于訪問選擇的裝置的用戶授權(quán)。
全文摘要
一種將家庭網(wǎng)絡(luò)中的對(duì)于不同用戶和用戶組的不同的�����、裝置特定和平臺(tái)特定的訪問控制列表(ACL)進(jìn)行統(tǒng)一的方法��。家庭網(wǎng)絡(luò)具有組網(wǎng)的不同種類的裝置和群����,其中�,家庭范圍用戶和用戶組上的一致的單一觀點(diǎn)ACL被展現(xiàn)給用戶�。因此����,家庭網(wǎng)絡(luò)中的用戶不需要控制每個(gè)單獨(dú)裝置上的裝置特定用戶和用戶組的ACL。代替地��,用戶控制家庭范圍用戶和用戶組的家庭范圍ACL�����。家庭范圍用戶和用戶組的家庭范圍ACL的更改被傳播到單獨(dú)的裝置���。另外�����,可以對(duì)裝置特定用戶和用戶組的裝置特定ACL進(jìn)行對(duì)單獨(dú)的裝置的更改�。這種更改被隨后傳播到家庭范圍用戶和用戶組的家庭范圍ACL��。
文檔編號(hào)H04L12/28GK1819526SQ200510130589
公開日2006年8月16日 申請(qǐng)日期2005年12月14日 優(yōu)先權(quán)日2005年2月11日
發(fā)明者宋煜, 艾倫·梅瑟 申請(qǐng)人:三星電子株式會(huì)社