CN101547202B - 处理网络上的装置的安全等级的方法和设备 - Google Patents
处理网络上的装置的安全等级的方法和设备 Download PDFInfo
- Publication number
- CN101547202B CN101547202B CN200910128308.3A CN200910128308A CN101547202B CN 101547202 B CN101547202 B CN 101547202B CN 200910128308 A CN200910128308 A CN 200910128308A CN 101547202 B CN101547202 B CN 101547202B
- Authority
- CN
- China
- Prior art keywords
- server
- application
- session
- methods
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
提供一种处理网络上的装置的安全等级的方法和设备。所述方法包括:请求服务器认证装置,其中,由安装在装置中的第二应用执行请求;基于服务器对装置的认证产生用于服务器与装置之间的通信的装置-服务器会话;请求通过装置-服务器会话访问服务器,其中,由安装在装置中的第一应用执行请求;通过访问服务器的第一应用从服务器接收内容。
Description
本申请要求分别于2008年3月28日和2008年3月31日提交到美国专利和商标局的第61/040,422号和第61/040,795号临时专利申请以及于2008年9月22日提交到韩国知识产权局的第10-2008-0092943号韩国专利申请的优先权,以上申请的公开完全合并于此,以资参考。
技术领域
与本发明一致的方法和设备涉及服务器与安装了各种应用的装置之间的网络通信。
背景技术
由于使用个人计算机(PC)访问的便捷而引起的互联网使用的迅速增长,能够在互联网中连接各种网络的装置已经被用于向用户提供各种服务或内容。因此,各种服务供应商使用这些装置通过网络向用户发送各种内容开发者的服务和内容以及从用户接收各种内容开发者的服务和内容。
发明内容
本发明的示例性实施例提供一种通过考虑网络通信安全来处理装置的安全等级的网络通信方法和设备。
根据本发明的一方面,提供一种安装了一个或多个应用的装置与服务器的网络通信方法,所述网络通信方法包括:请求服务器认证装置,其中,由安装在装置中的第二应用执行请求;基于服务对装置的认证产生用于服务器与装置之间的通信的装置-服务器会话;请求通过装置-服务器会话访问服务器,其中,由安装在装置中的第一应用执行请求;通过访问服务器的第一应用从服务器接收内容。
接收内容的步骤可包括:基于第一应用的权限等级获得第一应用访问服务器的许可。服务器可考虑各个应用的功能和开发者将不同的权限等级分配给一个或多个应用。
应用可具有不同的权限等级并共享由服务器提供的密钥信息。
密钥信息可包括关于应用的开发者的标识信息。
请求服务器认证装置的步骤可包括:通过使用安装在装置中的第二应用请求服务器认证装置;发送包括第二应用的密钥信息和装置标识信息的会话请求信息。
产生装置服务器会话的步骤可包括:基于会话请求信息从服务器接收包括会话种子密钥的会话许可信息;通过使用接收的会话种子密钥和装置的加密密钥产生装置会话令牌,其中,所述装置会话令牌由应用共享,如果装置会话令牌与服务器的服务器会话令牌相应,则许可第一应用通过装置-服务器会话访问服务器。
请求访问服务器的步骤可包括:通过使用装置会话令牌请求通过装置-服务器会话访问服务器,其中,由第一应用执行请求。
接收内容的步骤可包括:如果第一应用的权限等级和装置-服务器的最高许可权限等级中的较高权限等级高于或等于请求的内容需要的权限等级,则从服务器接收请求的内容。
请求访问服务器的步骤可包括:请求访问服务器的预定应用程序接口(API),其中,由第一应用执行请求,其中,接收内容的步骤包括:如果第一应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于预定API需要的权限等级,则获得第一应用访问预定API的许可;通过使用预定API基于装置的属性接收内容。
接收内容的步骤可包括:考虑装置的属性,通过装置-服务器会话从服务器接收内容,其中,由第一应用执行接收。
请求服务器认证装置的步骤可包括:通过使用用户的用户标识信息,考虑装置的用户请求服务器认证装置,其中,产生装置-服务器会话的步骤包括:基于用户标识信息产生装置-服务器会话,其中,用户标识信息是存储在装置中的用户标识信息和从服务器接收的装置的用户标识信息中的至少一个。
产生装置-服务器会话的步骤可包括:基于用户标识信息产生装置-服务器会话。
请求服务器认证装置的步骤可包括:发送用户密码。
请求访问服务器的步骤可包括:请求通过装置-服务器会话访问服务器的用户数据库,其中,由第一应用执行请求,其中,接收内容的步骤包括:基于第一应用的权限等级、用户标识信息和第一应用的服务提供者密钥信息获得第一应用访问服务器的用户数据库的许可。
请求访问服务器的步骤可包括:使用装置的web标识信息通过web接口远程访问装置;通过使用web接口请求通过装置-服务器会话访问服务器的用户数据库,其中,由第一应用执行请求。
根据本发明的另一方面,提供一种用于与安装了一个或多个应用的装置通信的服务器的网络通信方法,所述网络通信方法包括:接收安装在请求服务器对其进行认证的装置中的第二应用的认证请求;服务器基于装置的认证产生用于服务器与装置之间的通信的装置-服务器会话;接收安装在请求通过装置-服务器会话访问服务器的装置中的第一应用的访问请求;通过访问服务器的第一应用提供第一应用所请求的内容。
提供内容的步骤可包括:基于第一应用的权限等级确定是否许可第一应用访问服务器;基于确定的结果提供第一应用所请求的内容。
网络通信方法还可包括:如果确定许可第一应用访问服务器,则提供第一应用请求的内容。
网络通信方法还可包括:考虑各个应用的功能和开发者将不同的权限等级分配给安装在装置中的一个或多个应用。
网络通信方法还可包括:将包括各个应用的权限等级和开发者标识信息的密钥信息提供给各个应用。
接收认证请求的步骤可包括:从安装在装置中的第二应用接收装置的认证请求;接收包括第二应用的密钥信息、第二应用的版本信息和装置标识信息中的至少一个的会话请求信息。
产生装置-服务器会话的步骤可包括:基于会话请求信息确定装置-服务器会话的最高许可权限等级。
产生装置-服务器会话的步骤可包括:通过使用第二应用的版本信息确定服务器的加密密钥;产生用于装置-服务器会话的会话种子密钥;通过使用会话种子密钥和服务器的加密密钥产生服务器会话令牌。
产生装置-服务器会话的步骤可包括:基于请求的内容需要的权限等级将包括服务器会话令牌、装置标识信息、用户标识信息、装置-服务器会话的过期日期信息和装置-服务器的最高许可权限等级中的至少一个的装置-服务器会话标识信息存储在服务器的数据库中。
产生装置-服务器会话的步骤可包括:将包括会话种子密钥和装置-服务器会话的过期日期信息的会话许可信息发送到装置。
提供内容的步骤可包括:将第一应用的装置会话令牌与服务器会话令牌进行比较;基于比较的结果确定是否许可第一应用通过装置-服务器会话进行访问,其中,通过使用会话种子密钥和装置的加密密钥从装置接收的会话许可信息产生第一应用的装置会话令牌,并且第一应用的装置会话令牌由装置的各个应用共享。
产生装置-服务器会话的步骤可包括:基于第一应用的密钥信息搜索第一应用的权限等级,其中,确定是否许可第一应用访问服务器的步骤包括:如果第一应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于请求的内容需要的权限等级,则许可第一应用进行访问。
接收访问请求的步骤可包括:从第一应用接收对访问服务器的预定API的请求,其中,产生装置-服务器会话的步骤包括:基于第一应用的密钥信息搜索第一应用的权限等级,其中,确定是否许可第一应用进行访问的步骤包括:如果第一应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于预定API需要的权限等级,则许可第一应用访问预定API。
网络通信方法还可包括:将包括装置的用户标识信息的装置用户列表存储在服务器的数据库中。
产生会话的步骤可包括:考虑装置的用户标识信息产生装置-服务器会话。
会话标识信息可包括用户标识信息。
产生装置-服务器会话的步骤可包括:考虑装置的用户标识信息产生装置-服务器会话,其中,接收访问请求的步骤包括:通过装置-服务器会话从第一应用接收对访问服务器的用户数据库的请求,其中,由第一应用执行请求,其中,确定访问是否被许可的步骤包括:基于第一应用的权限等级、用户标识信息和第一应用的访问提供者密钥信息中的至少一个许可第一应用访问服务器的用户数据库,其中,对访问服务器的用户数据库的请求是通过装置的直接访问请求和使用web接口的远程请求中的至少一个。
根据本发明的另一方面,提供一种用于与服务器通信的装置的网络通信设备,其中,在所述装置中安装一个或多个应用,所述网络通信设备包括:装置认证请求单元,使安装在装置中的第二应用请求服务器认证装置;装置会话产生单元,基于服务器的认证产生用于服务器与装置之间的通信的装置-服务器会话;应用访问请求单元,使安装在装置中的第一应用请求通过装置-服务器会话访问服务器;内容接收单元,通过访问服务器的第一应用从服务器接收内容。
内容接收单元可基于第一应用的权限等级使第一应用被许可访问服务器。
服务器考虑各个应用的功能和开发者可将不同的权限等级分配给一个或多个应用。
如果第一应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于请求的内容需要的权限等级,则内容接收单元可从服务器接收请求的内容。
内容接收单元可考虑装置的属性从服务器接收内容。
装置认证请求单元可通过使用用户的用户标识信息考虑装置的用户请求装置的认证,用户标识信息可以是存储在装置中的用户标识信息和从服务器接收的装置的用户标识信息中的至少一个。
应用访问请求单元可包括:远程访问接收单元,使用装置的web标识信息通过web接口接收装置的远程访问;远程用户数据库访问请求单元,通过装置-服务器会话请求第一应用访问服务器的用户数据库。
根据本发明的另一方面,提供一种用于与安装了一个或多个应用的装置通信的服务器的网络通信设备,所述网络通信设备包括:装置认证请求接收单元,从安装在请求服务器对其进行认证的装置中的第二应用接收认证请求;服务器会话产生单元,基于服务器对装置的认证产生用于服务器与装置之间的通信的装置-服务器会话;应用访问请求接收单元,从安装在请求通过装置-服务器会话访问服务器的装置中的第一应用接收访问请求;内容提供单元,通过访问服务器的第一应用提供第一应用请求的内容。
内容提供单元可基于第一应用的权限等级确定第一应用是否被许可访问服务器,并基于确定的结果提供第一应用所请求的内容。
网络通信设备还可包括:应用权限等级确定单元,考虑各个应用的功能和开发者将不同的权限等级分配给一个或多个应用。
服务器会话产生单元可包括:应用权限等级搜索单元,搜索第一应用的权限等级,其中,应用访问许可确定单元可包括:如果第一应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于请求的内容需要的权限等级,则许可第一应用的访问。
网络通信设备还可包括:装置用户列表存储单元,将包括装置的用户标识信息的装置用户列表存储在服务器的数据库中。
根据本发明的另一方面,提供了其上实施了用于执行通过网络的服务器与装置之间的通信的网络通信方法的程序的计算机可读记录介质。
根据本发明的另一方面,提供一种用于与服务器通信的装置的网络通信方法,其中,在所述装置中安装了一个或多个应用,所述网络通信方法包括:通过使用安装在装置中的第二应用产生用于服务器与装置之间的通信的会话;基于第一应用的权限等级使安装在装置中的第一应用使用会话;通过使用会话基于访问服务器的第一应用的权限等级从服务器接收预定内容,其中,一个或多个应用的权限等级是由应用保留的访问服务器的权限。
产生会话的步骤可包括:基于请求服务器认证装置的第二应用的权限等级产生会话。
根据本发明的另一方面,提供一种用于与安装了一个或多个应用的装置通信的服务器的网络通信方法,所述网络通信方法包括:通过使用安装在装置中的第二应用产生用于服务器与装置之间的通信的会话;基于第一应用的权限等级,接收安装在请求通过会话访问服务器的装置中的第一应用的访问请求;基于第一应用的权限等级确定是否将预定内容提供给第一应用,其中,一个或多个应用的权限等级是由应用保留的访问服务器的权限。
产生会话的步骤可包括:基于请求服务器认证装置的第二应用的权限等级产生会话。
根据本发明的另一方面,提供一种用于与服务器通信的装置的网络通信方法,其中,在所述装置中安装了一个或多个应用,所述网络通信方法包括:产生用于安装在装置中的第二应用访问服务器的令牌;与一个或多个应用共享产生的令牌;通过使用共享的令牌请求安装在装置中的第一应用访问服务器;通过访问服务器的第一应用从服务器接收第一应用请求的内容。
产生令牌的步骤可包括:请求服务器认证装置,其中,由第二应用执行请求;产生指示服务器所认证的装置访问服务器的令牌。
根据本发明的另一方面,提供一种用于与服务器通信的装置的网络通信方法,其中,在所述装置中安装了一个或多个应用,所述网络通信方法包括:通过使用安装在装置中的第二应用产生用于服务器与装置之间的通信的会话;基于安装在装置中的第一应用的密钥信息使第一应用使用会话;基于通过使用会话访问服务器的第一应用的密钥信息从服务器接收预定内容,其中,应用的应用密钥信息与应用的权限等级相应,一个或多个应用的权限等级是应用保留的访问服务器的权限。
产生会话的步骤可包括:基于请求服务器认证装置的第二应用的密钥信息产生会话。
根据本发明的另一方面,提供一种用于与安装了一个或多个应用的装置通信的服务器的网络通信方法,所述网络通信方法包括:基于安装在装置中的第二应用的密钥信息产生用于服务器与装置之间的通信的会话;基于安装在请求通过会话访问服务器的装置中的第一应用的密钥信息接收第一应用的访问请求;基于第一应用的密钥信息确定是否将预定内容提供给第一应用,其中,应用的应用密钥信息与应用的权限等级相应,一个或多个应用的权限等级是各个应用保留的访问服务器的权限。
产生会话的步骤可包括:基于请求服务器认证装置的第二应用的密钥信息产生会话。
附图说明
通过参照附图对本发明示例性实施例的详细描述,本发明的上述和其他特征将会变得更清楚,其中:
图1是根据本发明实施例的用于与服务器通信的装置的网络通信设备的框图;
图2是根据本发明实施例的用于与装置通信的服务器的网络通信设备的框图;
图3示出使用了图1和图2的网络通信设备的网络环境中的通信实体之间的关系;
图4示出根据本发明实施例的服务器的数据库;
图5示出根据本发明实施例的安装了应用的装置;
图6是示出根据本发明实施例的服务器使用的认证装置的方法的流程图;
图7示出根据本发明实施例的通过装置-服务器会话彼此连接的装置和服务器;
图8示出根据本发明实施例的装置的应用的访问许可控制逻辑;
图9是示出根据本发明实施例的产生装置-服务器会话的方法的流程图;
图10示出根据本发明实施例的访问用户数据库的方法;
图11是示出根据本发明实施例的用于与装置通信的服务器的网络通信方法的流程图;
图12是示出根据本发明实施例的用于与服务器通信的装置的网络通信方法的流程图。
具体实施方式
现在将参照附图更完整地描述本发明的示例性实施例,在附图中示出了本发明的示例性实施例。
图1是根据本发明实施例的用于与服务器通信的装置的网络通信设备100的框图。
网络通信设备100包括装置认证请求单元110、装置会话产生单元120、应用访问请求单元130和内容接收单元140。
在装置与服务器之间的网络通信中,装置可连接到网络并且可通过网络将数据或内容发送到服务器和从另一实体接收内容或内容。装置可以是互联网协议电视(IPTV),并且可从使用互联网协议(IP)的另一实体接收广播或发送用于数据广播服务的数据或内容。另外,服务器连接到网络以控制和管理与其他实体之间的数据通信。
在装置中安装了一个或多个应用,应用的示例包括操作系统(OS)、固件、构件(widget)、构件引擎和构件浏览器。考虑各个应用的功能和开发者将不同的权限等级分配给一个或多个应用。例如,权限等级是在服务器与装置之间的网络环境中认证应用的安全等级,并且可考虑应用的功能和开发者确定权限等级。
每个应用可具有从服务器接收的密钥信息,应用的权限等级可被包括在密钥信息中。密钥信息还可包括关于应用的开发者的标识信息。稍后将参照图4至图10解释权限等级和密钥信息。
装置认证请求单元110请求装置访问服务器以便在服务器与装置之间进行通信。装置认证请求单元110可通过使用安装在装置中的应用来请求服务器认证装置。用于请求服务器认证装置的应用必须具有预定值或较高的权限等级。可通过调用预定数据或来自服务器的内容执行关于应用的认证或访问请求。
如果服务器认证装置作为对装置认证请求单元110的响应,装置会话产生单元120产生用于服务器与装置之间的通信的装置-服务器会话。
为了产生装置-服务器会话,装置认证请求单元110可包括发送应用的会话请求信息以便请求服务器认证装置的会话请求信息发送单元。会话请求信息可包括密钥信息和装置标识信息。
接收装置的会话请求信息的服务器产生装置-服务器会话并将包括某些会话相关的信息的会话许可信息发送到装置。装置会话产生单元120包括:会话许可信息接收单元(未示出),从服务器接收包括基于会话请求产生的会话种子密钥的会话许可信息;装置会话令牌产生单元(未示出),通过使用接收的会话种子密钥和装置的加密密钥产生装置会话令牌。
随着会话令牌被产生,装置-服务器会话被产生。装置和服务器中的每一个都产生会话令牌。安装在装置中的所有应用共享装置会话令牌。如果装置会话令牌与服务器会话令牌相应,则可允许应用通过装置-服务器会话访问服务器。稍后将参照图6解释产生装置-服务器会话和会话令牌的方法。
应用访问请求单元130请求安装在装置中的应用通过装置会话产生单元120产生的装置-服务器会话访问服务器,从而应用可使用服务器的内容。应用访问请求单元130可通过使用装置会话令牌请求应用通过装置-服务器会话访问服务器。
如果服务器基于应用的权限等级许可应用访问服务器,则内容接收单元140从服务器接收内容。如果服务器允许应用访问服务器,则内容接收单元140可考虑装置的属性通过装置-服务器会话从服务器接收内容。
如果应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于请求的内容需要的权限等级,则内容接收单元140可从服务器接收请求的内容。
例如,应用可请求访问服务器的应用程序接口(API)。应用访问请求单元130还可包括:API访问请求单元(未示出),请求应用访问服务器的预定API。如果应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于预定API需要的权限等级,则服务器许可应用访问预定API,并且已经访问了预定API的应用可通过使用预定API基于装置的属性接收内容。
虽然图1的网络通信设备100基于装置标识在服务器与装置之间进行通信,但是本发明不限于此,根据另一实施例,可基于装置标识和用户标识执行服务器与装置之间的通信。也就是说,通过使用预定的装置识别用户来执行服务器与装置之间的通信。服务器可存储用户数据库。
根据另一实施例,装置认证请求单元110可请求服务器通过使用关于用户的用户标识信息考虑装置的用户来认证装置。用户标识信息可以是存储在装置中的用户标识信息和从服务器接收的装置的用户标识信息中的至少一个。装置认证请求单元110可包括发送用户密码的用户密码发送单元(未示出)。
装置会话产生单元120可基于用户标识信息产生装置-服务器会话。
应用访问请求单元130可包括:用户数据访问请求单元(未示出),请求应用通过装置-服务器会话访问服务器的用户数据库。
可基于应用的权限等级、用户标识信息和应用的访问提供者密钥信息许可应用对服务器的用户数据库的访问,内容接收单元140可从服务器接收内容。
应用访问请求单元130可包括用于经由web接口远程访问的远程访问接收单元(未示出)。如果服务器经由web接口识别了远程用户选择的装置的web标识信息,则许可远程访问。另外,应用访问请求单元130可包括:远程用户数据库访问请求单元(未示出),请求应用使用web接口通过装置-服务器会话访问服务器的用户数据库。稍后将参照图10解释远程访问用户数据库。
图2是根据本发明实施例的用于与装置通信的服务器的网络通信200的网络通信设备200的框图。
网络通信设备200包括装置认证请求接收单元210、服务器会话产生单元220、应用访问请求接收单元230、应用访问许可确定单元240和内容提供单元250。
装置认证请求接收单元210接收请求服务器认证装置的以进行服务器与装置之间的通信的装置的认证请求。服务器会话产生单元220基于装置认证请求接收单元210接收的装置的认证请求产生装置-服务器会话。访问请求接收单元230接收安装在请求通过服务器会话产生单元220产生的装置-服务器会话访问服务器的装置中的应用的访问请求。
应用访问许可确定单元240基于应用的权限等级确定是否许可应用的访问。内容提供单元250基于确定的结果提供应用所请求的内容。
网络通信设备200还可包括:应用权限等级确定单元(未示出),考虑各个应用的功能和开发者将不同的权限等级分配给将安装在装置中的应用。
网络通信设备200还可包括:应用密钥信息提供单元(未示出),将包括各个应用的权限等级和开发者标识信息的密钥信息提供给各个应用。因此,虽然不是由应用或装置直接提供应用的权限等级,但是服务器可通过使用应用的密钥信息在服务器的数据库中搜索应用的权限等级。
装置认证请求接收单元210可包括:会话请求信息接收单元(未示出),从安装在装置中的应用接收装置的认证请求并接收包括应用的密钥信息、应用的版本信息和装置标识信息中的至少一个的会话请求信息。
服务器会话产生单元220可包括:内容需求权限等级确定单元(未示出),基于接收的会话请求信息确定装置服务器会话的最高许可权限等级。例如,可基于应用的版本信息确定装置-服务器会话的最高许可权限等级。
服务器会话产生单元220还可包括:服务器会话令牌产生单元(未示出),产生会话令牌。服务器会话产生单元可通过使用应用的版本信息确定服务器的加密密钥,产生用于装置-服务器会话的会话种子密钥,并通过使用会话种子密钥和服务器的加密密钥产生服务器会话令牌。
服务器会话产生单元220还可包括:会话标识信息存储单元(未示出),将包括关于产生的装置-服务器会话的信息的装置-服务器会话标识信息存储在服务器的数据库中。例如,装置-服务器会话标识信息可包括服务器会话令牌、装置标识信息、用户标识信息、装置-服务器会话的过期日期信息和装置-服务器会话的最高许可权限等级中的至少一个。可基于请求的内容需要的权限等级确定装置-服务器会话的最高许可权限等级。
服务器会话产生单元220还可包括:会话许可信息发送单元(未示出),将包括会话种子密钥和装置-服务器会话的过期日期信息的会话许可信息发送到装置。
应用访问许可确定单元240还可包括:会话令牌比较单元(未示出),比较和确定服务器会话令牌是否与应用的装置会话令牌相应。会话令牌比较单元确定如果确定服务器会话令牌与装置会话令牌相应则是否许可应用通过装置-服务器会话进行访问。
服务器会话产生单元220还可包括:应用权限等级搜索单元(未示出),基于应用的密钥信息搜索应用的权限等级。应用访问许可确定单元240还可包括:权限等级比较单元(未示出),如果应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于请求的内容需要的权限等级则许可应用进行访问。
应用访问请求接收单元230可包括:API访问请求接收单元(未示出),接收来自应用的访问服务器的预定API的请求。应用访问许可确定单元240还可包括:API访问许可确定单元(未示出),如果应用的权限等级的更权限等级和装置-服务器会话的最高许可权限等级高于或等于预定的API需要的权限等级,则许可应用访问预定的API。
虽然图2的网络通信设备200基于装置标识在服务器与装置之间进行通信,但是本发明不限于此,根据另一实施例可基于装置标识和用户标识执行服务器与装置之间的通信。根据另一实施例,网络通信设备200还可包括:装置用户列表存储单元(未示出),将包括装置的用户标识信息存储在服务器的数据库中。
服务器会话产生单元220可考虑装置的用户标识信息产生装置-服务器会话,会话标识信息存储单元还可包括除了会话标识信息之外的用户标识信息。
应用访问请求接收单元230可包括:用户数据库访问请求接收单元(未示出),从应用接收通过装置-服务器会话访问服务器的用户数据库的请求。应用访问许可确定单元240可包括:用户数据库访问许可确定单元(未示出),基于预定应用的服务提供者密钥信息和用户标识信息许可预定应用访问服务器的用户数据库。对于访问用户数据库的请求可以是通过装置的直接访问请求和使用web接口的远程访问请求中的至少一个。
图3示出使用了图1和图2的网络通信设备100和200的网络环境中的通信实体之间的关系。为了方便,假设通过网络与服务器320通信的装置310是IPTV。
在IPTV网络300中,装置310将数据或内容发送到服务提供者330(例如,Yahoo和Google)并从服务提供者330接收数据或内容,将数据和内容发送到开发和提供应用的第三方340并从第三方340接收数据和内容。
为了将IP服务平滑地提供给装置310,服务器320将应用(例如,固件和构件(widget))提供给装置310。另外,服务器320与装置310共享开放式的API。为了管理和控制与装置310相关的数据或内容发送和接收,服务器320或服务器管理者350可存储与提供给装置310的数据、内容和应用相关的信息,并控制关于数据、内容和应用的权限。
服务提供者330向服务器320提供通过向装置310提供商业广告服务获得的广告收入。服务器320可向服务提供者330提供有价值的信息,例如包括从装置310接收的广告统计的各种统计数据。根据服务器310与第三方340之间的协议,第三方340向服务器320提供能够在装置310上执行的构件。
服务提供者330和第三方340可通过它们之间的协议条件共享第三方340的应用开发的API。虽然服务提供者330和第三方340在图3中是分离的实体,但是本发明不限于此,服务提供者330和第三方340可以是相同的,从而服务提供者330或第三方340可开发和分发构件。
可根据服务器320、服务提供者330和第三方340之间的协议确定服务器320分配给由服务提供者330和第三方340提供给装置310的数据、内容或应用的权限等级。
装置310的用户360可管理关于装置310的信息并通过经由PC-web接口连接到服务器320来远程控制装置310。
图4示出根据本发明实施例的服务器的数据库400。
为了服务器管理装置的数据和内容通信,将与安装在装置中的应用相关的信息存储在服务器的数据库400中。服务提供者密钥信息410、开发者信息420、应用密钥信息430、产品模型信息440和固件信息450被存储在数据库400中。
服务提供者密钥信息410包括服务提供者标识信息,开发者标识信息420包括关于由服务器分配给开发者的安全等级的信息和与开发者相关的服务提供者的服务提供者标识信息。应用密钥信息430包括开发者标识信息420和关于分配给应用的权限等级的信息。产品模型信息440包括关于固件代码(firmcode)列表的信息。固件信息450包括关于固件代码的信息、应用密钥信息430和加密密钥信息。固件代码指示固件的版本。
关于应用密钥信息430的权限等级的信息用于确定是否许可应用访问服务器。服务器可通过检查应用的应用密钥信息并搜索存储在服务器的数据库400中的应用密钥信息430来确定请求访问服务器的应用的权限等级。应用密钥信息430可被设置为通用唯一标识符(UUID)信息。
关于固件代码的信息、应用密钥信息430和固件信息450的加密信息用于产生装置-服务器会话。如果请求服务器认证的应用是固件,则服务器可通过检查和搜索存储在服务器的数据库400中的固件信息450来获得关于固件代码的信息、应用密钥信息430和加密信息。
由于服务器可通过使用存储在其数据库中的关于装置和应用的信息来搜索和提取关于装置和应用的详细信息,因此,可减少装置的存储负担。
由于服务器可管理关于各个服务提供者和开发者的标识信息、产品模型信息、固件和固件版本信息,因此可根据应用和服务提供者和开发者和应用的功能控制安全等级和权限等级。
图5示出根据本发明实施例的安装了应用的装置500。
一个或更多应用可被安装在装置500中,并且可由服务提供者、第三方、服务器或个人用户创建。应用的示例可包括固件510、构件浏览器(或构件引擎)520以及构件530、540和550。
可由服务器或服务器管理者提供作为装置OS的固件510。固件510的应用密钥信息包括与开发者标识信息一样的关于服务器或服务器管理者的标识信息和关于分配给固件510的权限等级的信息。
构件浏览器520的应用密钥信息是系统中间件,包括与开发者标识信息一样的关于服务器或服务器管理者的标识信息和关于分配给构件浏览器520的权限等级的信息。
构件A 530、构件B 540和构件C 550中的每一个都是系统软件,可由服务器或服务器管理者、服务提供者或第三方(例如生产消费者(生产者与消费者的组合)或个人开发者)提供。例如,构件A 530、构件B 540和构件C550的应用密钥信息A、B和C可分别包括与开发者标识信息一样的关于服务器或服务器管理者的标识信息、关于服务提供者1的标识信息和关于生产消费者的标识信息。另外,构件A 530、构件B 540和构件C 550的应用密钥信息A、B和C还可分别包括权限等级。
在图5中,假设随着指示应用的权限等级的数字减小,权限等级增加并且对服务器的访问权限增加。通常,由于固件510是装置OS,因此为固件510分配较高的服务器访问权限而为构件A 530、构件B 540和构件C 550分配较低的服务器访问权限。
虽然构件A 530、构件B 540和构件C 550中的每一个都是系统软件,但是根据开发者和分配给开发者的权限等级将不同的权限等级分配给构件A530、构件B 540和构件C 550。例如,服务器访问权限可以以服务器或服务器管理者开发和提供的构件A 530、由服务提供者1提供的构件B 540和由生产消费者提供的构件C 550的顺序增加。因此,调用开放式API的应用具有各种权限等级。
因此,可基于应用的应用密钥信息确定是否许可每个应用访问开放式API。另外,可基于服务器的API访问规则,以及实体(例如第三方、服务提供者和服务器)的安全等级和权限等级动态控制是否许可访问。因此,可确保对于入侵的强健性,并防止破坏和尝试获得存储在服务器中的私人信息。
图6是示出根据本发明实施例的服务器使用的认证装置610的方法的流程图。
在操作612,装置610建立与服务器通信的网络。例如,可通过使用动态主机配置协议(DHCP)执行建立网络的步骤。
为了使服务器认证装置610,可产生用于服务器与装置610之间的通信的装置-服务器会话。在操作614,装置610将会话请求信息发送到服务器以便请求服务器提供产生装置-服务器会话需要的信息。例如,可由图1的网络通信设备100的装置认证请求单元110发送会话请求信息。会话请求信息可包括请求服务器认证装置的应用的应用密钥信息、装置标识信息、关于应用的固件代码的信息等。
在操作622,服务器或认证服务器620接收会话请求信息,并确定会话请求信息的应用密钥信息是否有效。例如,可由图2的网络通信设备200的装置认证请求接收单元210接收会话请求信息。
在材质624,服务器或认证服务器620搜索并获取服务器的API认证装置需要的应用的权限等级(称为API需要的权限等级)。例如,可由图2的网络通信设备200的服务器会话产生单元220搜索并获取API需要的权限等级。
在操作626,服务器或认证服务器620通过使用接收的关于固件代码的信息获取加密密钥。在操作628,服务器或认证服务器620产生会话种子密钥。在操作630,服务器或认证服务器620通过使用加密密钥和会话种子密钥产生服务器会话令牌。在操作642,通过使用接收的关于固件代码的信息搜索并提取与服务器的数据库640相应的固件代码。可以以预设的形式产生会话种子密钥和服务器会话令牌中的每一个。例如,可通过随机函数确定会话种子密钥,可通过消息消化算法5(MD 5)哈希函数产生服务器会话令牌。例如,可由图2的网络通信设备200的服务器会话产生单元220产生加密密钥、会话种子密钥和服务器会话。
在操作644,服务器或认证服务器620在数据库640中搜索会话标识信息。在操作632,服务器或认证服务器620将接收的装置标识信息、产生的服务器会话令牌、关于分配给应用的权限等级的过期日期的信息和API需要的权限等级存储在数据库的会话标识信息中。当除了应用密钥信息之外还使用用户标识信息以便认证装置时,用户标识信息可被包括在会话标识信息中。例如,可由图2的网络通信设备200的服务器会话产生单元220的会话标识信息存储单元将会话标识信息644存储在服务器的数据库640中。
在操作634,随着产生装置-服务器会话,服务器或认证服务器620认证装置610,服务器或认证服务器620可将会话许可信息发送到装置610。例如,可由会话许可信息发送单元发送包括会话种子密钥和过期日期信息的会话许可信息。
在操作616,装置610通过使用接收的会话许可信息产生装置会话令牌。通过使用从服务器620接收的加密密钥和会话种子密钥产生装置会话令牌。以与用于认证服务器620产生服务器会话令牌相同的形式(例如,通过使用MD5哈希函数)产生装置会话令牌。因此,装置服务器会话和服务器会话令牌必须彼此对应。例如,可由图1的网络通信设备100的会话产生单元120产生装置会话令牌。
在操作618,由安装在装置610中的各个应用共享产生的装置会话令牌。应用可通过使用装置会话令牌通过装置-服务器会话与服务器通信。
因此,如果通过单点登录(SSO)认证包括具有相对较高安全等级的应用(例如,装置OS或固件)的装置610,则安装在装置610中的其他应用不必为了调用服务器的内容或访问服务器而分别被服务器认证。
图7示出根据本发明实施例的通过装置-服务器会话790彼此连接的装置500和服务器。
一旦产生了装置-服务器会话790,通过装置-服务器会话790执行装置500与服务器之间的通信。与图4的数据库400相应的服务器的数据库700还可包括构件标识信息760、会话标识信息770、关于API访问规则的信息780和关于访问许可控制逻辑的信息785。
构件标识信息760可包括构件的应用密钥信息,会话标识信息770可包括装置-服务器会话790的最高许可权限等级、装置标识信息、用户标识信息和会话令牌。关于API访问规则780的信息可包括关于需要的权限等级的信息和关于API规定的用于API的超文本传输协议(HTTP)标志的信息。
可为每个API的集合每个关于需要的权限等级的信息和关于API访问规则780的信息的HTTP标志的信息中的每一个。关于访问许可控制逻辑785的信息用于控制确定是否许可装置500或应用访问服务器或服务器的数据库700的方法。
装置-服务器会话790可连接到装置500的应用。能够通过请求服务器认证装置500直接产生装置-服务器790的应用的权限等级被限制。例如,可通过来自固件510或固件浏览器(引擎)520的请求产生装置-服务器会话790。
图8示出根据本发明实施例的装置的应用的访问许可控制逻辑810。
服务器或服务器的数据库800存储关于访问许可控制逻辑810的信息、会话标识信息820、关于API访问规则830的信息和关于API集合的信息840。
关于会话标识信息820的信息包括关于装置-服务器会话的会话令牌的信息、装置标识信息和关于最高许可权限等级的信息。如果基于装置用户标识以及装置标识执行装置与服务器之间的网络通信,则会话标识信息820包括用户标识信息。
关于API访问规则830的信息包括关于需要的权限等级和每个API的需要HTTP标志的信息。例如,为每个API集合输入关于需要HTTP标志和需要的权限等级的信息,为每个输出API集合关于需要HTTP标志和需要的权限等级的信息。
关于API集合840的信息包括关于提供装置的服务内容需要的多个API的信息。例如,API集合可以是不仅连接了服务器管理者还连接了外部实体的开放式API集合。
装置1850可包括一个或多个装置,如果存在应用的访问请求,则访问许可控制逻辑810通过使用装置会话令牌和应用的权限等级确定是否许可应用访问开放式API集合。
例如,访问许可控制逻辑810接收来自装置1850的第一应用的访问请求。第一应用通过使用第一应用密钥信息870、装置会话860的装置会话令牌和其他访问请求信息880请求访问服务器的API集合840。例如,可通过图1的网络通信设备100的应用访问请求单元130的API访问请求单元请求第一应用对API集合840的访问。
例如,可由图2的网络通信设备200的应用访问请求接收单元220的API访问请求接收单元接收第一应用访问期望的API的请求。应用可通过使用期望的API访问服务器的数据和内容。例如,显示天气信息的构件应用调用关于服务器的天气信息的输出API。或者,应用可调用输出关于服务器和装置的用户的简档的API以便使用装置或用户的信息。
如果装置会话860的接收的装置会话令牌与服务器会话令牌相应,则将关于会话标识信息820的最高许可权限等级的信息发送到访问许可控制逻辑810。另外,应用权限等级搜索单元通过使用从第一应用接收的第一应用密钥信息870搜索存储在服务器的数据库800中的分配给第一应用的权限等级,并将权限等级发送到访问许可控制逻辑810。关于第一应用请求的期望的API的API访问规则830的需要的权限等级被发送到访问许可控制逻辑810。
例如,访问许可控制逻辑810通过将会话标识信息的最高许可权限等级、关于第一应用密钥信息870的权限等级的信息和API访问规则830需要的权限等级与期望的API进行比较来确定是否许可第一应用访问期望的API。
例如,如果会话标识信息820的最高许可权限等级和第一应用密钥信息870的权限等级信息中的较高权限等级高于或等于期望的API需要的权限等级,则图2的网络通信设备200的应用访问许可确定单元240的API访问许可确定单元许可第一应用访问期望的API。相反,如果会话标识信息820的最高许可权限等级和第一应用密钥信息870的权限等级信息中的较高权限等级低于期望的API需要的权限等级,则拒绝访问。
由于网络的实体(例如,服务器、装置1、服务提供者和第三方(诸如个人用户))共享开放式API集合840,因此可平衡服务器负载,可减少网络带宽,并可简化用户互动。另外,由于可利用模块化设计、可扩展接口和现有标准,因此可容易地进行设计改变(可扩展性)。
图9是示出根据本发明实施例的产生装置-服务器会话的方法的流程图。
根据网络通信设备100或200中的每个的另一实施例,不仅可通过识别和处理装置来执行网络通信,还可通过识别和处理使用的装置用户来执行网络通信。
在操作912,装置910向服务器或认证服务器930请求注册的装置的用户列表。在操作952,认证服务器930在服务器的数据库950中搜索用户列表。在操作932,认证服务器930将搜索的用户列表发送到装置910。
在操作914,装置910将接收的用户列表显示给用户接口(UI),用户选择和输入用户列表上的预定用户。在操作916,用户看见需要密码标志并确定是否需要输入用于登录的密码。然而,如果在操作916确定需要输入密码,则网络通信方法进行到操作918。在操作918,输入密码。装置910将用户标识信息和密码发送到服务器以尝试登录。密码可以是PIN信息。
在操作934,认证服务器930通过检查密码和应用的密钥信息的权限等级来确定登录是否可以进行用户认证。在操作954,搜索与存储在服务器的数据库950中的用户标识信息相应的密码。仅用装置910的密码确定是否可以登录。
在操作956,认证服务器930在数据库950中搜索会话标识信息。在操作936,认证服务器930更新与会话标识信息相关的用户标识信息,并将服务器会话令牌发送到装置910。
在操作922,装置910产生、存储和共享装置会话令牌。在操作924,更新用户相关的操作,例如,根据用户改变重新载入构件。
图10示出根据本发明实施例的访问用户数据库的方法。
装置的本地用户1010通过使用开放式API 1020访问第三方的服务数据库1030。例如,可将SSO应用于第三方的服务数据库1030。如果从第三方的数据库1030提供服务提供者密钥信息和用户标识信息,则装置的本地用户1010可访问包括关于每个用户的信息的用户数据库1040。
远程用户1050可通过使用PC-web接口1060在PC上运行远程构件配置1070来改变和管理服务器的配置信息1080。另外,远程用户1050可通过使用远程构件配置1070访问第三方的服务数据库1030,如果提供了期望的用户标识信息和服务提供者密钥信息,则远程用户1050可访问用户数据库1040。
图11是示出根据本发明实施例的服务与装置的网络通信方法的流程图。
在操作1110,装置请求服务器认证装置以便通过网络访问服务器。装置可通过发送会话请求信息将与装置相关的信息提供给服务器。例如,由于基于装置标识执行装置与服务器之间的通信,因此仅发送装置标识信息作为会话请求信息。另外,在还考虑用户的装置的网络环境中,可通过使用用户标识信息以及装置标识来执行通信。在这种情况下,装置可向服务器请求用户列表。
在操作1120,装置基于服务器对装置的认证产生用于服务器与装置之间的通信的装置-服务器会话。装置通过使用从服务器接收的种子密钥和装置的加密密钥来产生装置会话令牌,产生的装置会话令牌由装置的应用共享。
在操作1130,安装在装置中的第一应用请求通过装置-服务器会话访问服务器。安装在装置中的第一应用请求通过装置-服务器会话访问服务器。可通过将第一应用的装置会话令牌发送到服务器来使用装置服务器会话,并将应用密钥信息提供给服务器。
在操作1140,如果服务器基于第一应用的权限等级许可第一应用的访问,则第一应用从服务器接收请求的内容。根据比较API或第一应用请求的内容需要的权限等级、第一应用的权限等级和装置-服务器会话的最高许可权限等级获得的结果,确定是否许可第一应用访问API或内容。
图12是示出根据本发明实施例的用于与服务器通信的装置的网络通信方法的流程图。
在操作1210,服务器接收来自装置的认证请求。服务器接收来自装置的应用的会话请求信息,并确定是否认证应用。
在操作1220,服务器基于装置的认证请求产生用于服务器与装置之间的通信的装置-服务器会话。服务器产生会话种子密钥和服务器加密密钥,并通过使用会话种子密钥和服务器加密密钥产生服务器会话令牌。将根据产生的服务器会话令牌的会话标识信息存储在数据库中。将关于应用的过期日期的信息和会话种子密钥发送到装置。
在操作1230,服务器通过装置-服务器会话接收到来自安装在装置中的第一应用的访问请求。服务器通过确定装置发送的装置会话令牌是否与服务器会话令牌相应来确定第一应用的访问是否有效。服务器接收来自第一应用的对服务器的开放式API集合中的预定API的调用。
在操作1240,服务器基于第一应用的权限等级确定是否许可第一应用进行访问。通过使用存储在服务器的数据库中的应用密钥信息搜索与应用密钥信息相关的应用的权限等级。通过比较第一应用的权限等级、与会话标识信息相关的最高许可权限等级以及预定API需要的权限等级来确定是否许可第一应用访问预定API。
在操作1250,如果确定许可第一应用进行访问,则服务器提供第一应用请求的内容。应用访问调用的API并获取期望的数据或内容。
如上所述,由于可处理用于网络通信的装置和应用的多重安全等级,因此根据本发明的网络通信方法和设备对于威胁和攻击可以是稳健的。
本发明可以实施为计算机可读记录介质上的计算机可读代码。计算机可读记录介质是能够存储其后由计算机系统读取的数据的任何数据存储装置。计算机可读记录介质的示例包括只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储装置。在其他示例性实施例中,计算机可读记录介质可包括载波(例如,通过互联网的数据传输)。
虽然已经参照本发明的示例性实施例具体地示出和描述了本发明,但是本领域的普通技术人员将理解,在不脱离权利要求限定的本发明的精神和范围的情况下,可以在形式和细节上做出各种改变。示例性实施例应被认为仅是描述性而不是出于限制性的目的。因此,本发明的范围不是由本发明的详细描述限定,而是由权利要求限定,范围内的所有差异应被理解为包括在本发明中。
Claims (35)
1.一种安装了包括第一应用和第二应用的至少两个应用的装置与服务器的网络通信方法,所述网络通信方法包括:
第二应用请求服务器在认证过程中认证装置;
基于服务器对装置的认证产生用于服务器与装置之间的通信的装置-服务器会话;
第一应用请求通过装置-服务器会话访问服务器;
基于访问服务器的第一应用从服务器接收内容,
其中,接收内容的步骤包括基于第一应用的权限等级获取第一应用访问服务器的许可,所述至少两个应用具有不同的权限等级,并且权限等级被服务器基于所述至少两个应用的功能和所述至少两个应用的开发者分配给所述至少两个应用。
2.如权利要求1所述的网络通信方法,其中,所述至少两个应用接收由服务器提供的密钥信息。
3.如权利要求2所述的网络通信方法,其中,密钥信息包括关于所述至少两个应用的开发者的标识信息。
4.如权利要求2所述的网络通信方法,其中,第二应用请求服务器认证装置的步骤包括:
通过使用安装在装置中的第二应用请求服务器认证装置;
发送包括第二应用的密钥信息和装置标识信息的会话请求信息。
5.如权利要求4所述的网络通信方法,其中,产生装置-服务器会话的步骤包括:
基于会话请求信息从服务器接收包括会话种子密钥的会话许可信息;
通过使用接收的会话种子密钥和装置的加密密钥产生装置会话令牌,
其中,装置会话令牌由所述至少两个应用共享,如果装置会话令牌与服务器的服务器会话令牌相应,则服务器许可第一应用通过装置-服务器会话进行访问。
6.如权利要求5所述的网络通信方法,其中,第一应用请求访问服务器的步骤包括:通过使用装置会话令牌请求通过装置-服务器会话访问服务器。
7.如权利要求5所述的网络通信方法,其中,在接收内容的步骤中,如果第一应用的权限等级和装置-服务器的最高许可权限等中的较高权限等级高于或等于请求的内容需要的权限等级,则确定将接收内容并从服务器接收请求的内容。
8.如权利要求5所述的网络通信方法,其中,第一应用请求访问服务器的步骤包括:请求访问服务器的预定应用程序接口API,
其中,接收内容的步骤包括:
如果第一应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于预定API需要的权限等级,则获得第一应用访问所述预定API的许可;
通过使用所述预定API基于装置的属性接收内容。
9.如权利要求1所述的网络通信方法,其中,接收内容的步骤包括:基于装置的属性通过装置-服务器会话从服务器接收内容,其中,第一应用接收内容。
10.如权利要求1所述的网络通信方法,其中,第二应用请求服务器认证装置的步骤包括:通过使用用户的用户标识信息,基于装置的用户请求服务器认证装置,
其中,产生装置-服务器会话的步骤包括:基于用户标识信息产生装置-服务器会话,
其中,用户标识信息是存储在装置中的用户标识信息和从服务器接收的装置的用户标识信息中的至少一个。
11.如权利要求10所述的网络通信方法,其中,第一应用请求访问服务器的步骤包括:请求通过装置-服务器会话访问服务器的用户数据库,
其中,接收内容的步骤包括:基于第一应用的权限等级、用户标识信息和第一应用的服务提供者密钥信息获得第一应用访问服务器的用户数据库的许可并接收预定内容。
12.如权利要求11所述的网络通信方法,其中,第一应用请求访问服务器的步骤包括:
通过使用装置的web标识信息通过web远程访问装置;
通过使用web接口请求通过装置-服务器会话访问服务器的用户数据库。
13.一种用于与安装了至少两个应用的装置通信的服务器的网络通信方法,所述网络通信方法包括:
接收安装在请求服务器在认证过程中对其进行认证的装置中的第二应用的认证请求;
服务器基于装置的认证产生用于服务器与装置之间的通信的装置-服务器会话;
接收安装在请求通过装置-服务器会话访问服务器的装置中的第一应用的访问请求;
基于访问服务器的第一应用提供第一应用所请求的内容,
其中,提供内容的步骤包括:
基于第一应用的权限等级确定是否许可第一应用访问服务器;
基于确定是否许可第一应用访问服务器的结果提供第一应用所请求的内容,其中,所述至少两个应用具有不同的权限等级,并且权限等级被服务器基于所述至少两个应用的功能和所述至少两个应用的开发者分配给所述至少两个应用。
14.如权利要求13所述的网络通信方法,还包括:将包括所述至少两个应用的权限等级和所述至少两个应用的开发者标识信息的密钥信息分别提供给所述至少两个应用。
15.如权利要求14所述的网络通信方法,其中,接收认证请求的步骤包括:
接收来自安装在装置中的第二应用的装置的认证信息;
接收包括第二应用的密钥信息、第二应用的版本信息和装置标识信息中的至少一个的会话请求信息。
16.如权利要求15所述的网络通信方法,其中,产生装置-服务器会话的步骤包括:
通过使用第二应用的版本信息确定服务器的加密密钥;
产生用于装置-服务器会话的会话种子密钥;
通过使用会话种子密钥和服务器的加密密钥产生服务器会话令牌。
17.如权利要求16所述的网络通信方法,其中,提供内容的步骤包括:
将第一应用的装置会话令牌与服务器会话令牌进行比较;
基于比较的结果确定是否许可第一应用通过装置-服务器会话进行访问,
其中,通过使用会话种子密钥和装置的加密密钥从装置接收的会话许可信息产生第一应用的装置会话令牌,并且第一应用的装置会话令牌由装置的所述至少两个应用共享。
18.如权利要求17所述的网络通信方法,其中,产生装置-服务器会话的步骤包括:基于第一应用的密钥信息搜索第一应用的权限等级,
其中,确定是否许可第一应用访问服务器的步骤包括:如果第一应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于请求的内容需要的权限等级,则许可第一应用进行访问。
19.如权利要求18所述的网络通信方法,其中,接收访问请求的步骤包括:接收来自第一应用的对访问服务器的预定应用程序接口API的请求,
其中,产生装置-服务器会话的步骤包括:基于第一应用的密钥信息搜索第一应用的权限等级,
其中,确定是否许可第一应用访问服务器的步骤包括:如果第一应用的权限等级和装置-服务器会话的最高许可权限等级中的较高权限等级高于或等于预定API需要的权限等级,则许可第一应用访问预定API。
20.如权利要求14所述的网络通信方法,其中,产生会话的步骤包括:基于装置的用户标识信息产生装置-服务器会话,
其中,接收访问请求的步骤包括:接收来自第一应用的通过装置-服务器会话访问服务器的用户数据库的请求,
其中,确定是否许可访问的步骤包括:基于第一应用的权限等级、用户标识信息和第一应用的服务提供者密钥信息许可第一应用访问服务器的用户数据库,
其中,来自第一应用的访问服务器的数据库的请求是通过装置的直接访问请求和使用web接口的远程访问请求中的至少一个。
21.一种用于与服务器通信的装置的网络通信设备,其中,在所述装置中安装了至少两个应用,所述网络通信设备包括:
装置认证请求单元,安装在装置中的第二应用通过所述装置认证请求单元请求服务器在认证过程中认证装置;
装置会话产生单元,基于服务器的认证产生用于服务器与装置之间的通信的装置-服务器会话;
应用访问请求单元,安装在装置中的第一应用通过所述应用访问请求单元请求通过装置-服务器会话访问服务器;
内容接收单元,基于第一应用的权限等级获取第一应用访问服务器的许可,并基于访问服务器的第一应用从服务器接收内容,
其中,所述至少两个应用具有不同的权限等级,并且权限等级被服务器基于所述至少两个应用的功能和所述至少两个应用的开发者分配给所述至少两个应用。
22.一种用于与安装了至少两个应用的装置通信的服务器的网络通信设备,所述网络通信设备包括:
装置认证请求接收单元,从安装在请求在认证过程中对其进行认证的装置中的第二应用接收认证请求;
服务器会话产生单元,基于服务器对装置的认证产生用于服务器与装置之间的通信的装置-服务器会话;
应用访问请求接收单元,接收来自请求通过装置-服务器会话访问服务器的装置中的第一应用的访问请求;
内容提供单元,基于第一应用的权限等级确定第一应用是否被允许访问服务器,并基于被运行访问服务器的第一应用提供第一应用所请求的内容,所述至少两个应用具有不同的权限等级,并且权限等级被服务器基于所述至少两个应用的功能和所述至少两个应用的开发者分配给所述至少两个应用。
23.一种用于与服务器通信的装置的网络通信方法,其中,在所述装置中安装了至少两个应用,所述网络通信方法包括:
通过使用安装在装置中的第二应用产生用于服务器与装置之间的通信的会话;
基于第一应用的权限等级使安装在装置中的第一应用使用会话;
基于使用会话访问服务器的第一应用的权限等级从服务器接收预定内容,
其中,所述至少两个应用的权限等级是由所述至少两个应用保留的访问服务器的权限,所述至少两个应用具有不同的权限等级,并且权限等级被服务器基于所述至少两个应用的功能和所述至少两个应用的开发者分配给所述至少两个应用。
24.如权利要求23所述的网络通信方法,其中,产生会话的步骤包括:基于请求服务器认证装置的第二应用的权限等级产生会话。
25.一种用于与安装了至少两个应用的装置通信的服务器的网络通信方法,所述网络通信方法包括:
通过使用安装在装置中的第二应用产生用于服务器与装置之间的通信的会话;
基于第一应用的权限等级,接收安装在请求通过会话访问服务器的装置中的第一应用的访问请求;
基于第一应用的权限等级确定是否将预定内容提供给第一应用,
其中,所述至少两个应用的权限等级是由所述至少两个应用保留的访问服务器的权限,其中,所述至少两个应用具有不同的权限等级,并且权限等级被服务器基于所述至少两个应用的功能和所述至少两个应用的开发者分配给所述至少两个应用。
26.如权利要求25所述的网络通信方法,其中,产生会话的步骤包括:基于请求服务器认证装置的第二应用的权限等级产生会话。
27.一种用于与服务器通信的装置的网络通信方法,其中,在所述装置中安装了至少两个应用,所述网络通信方法包括:
产生用于安装在装置中的第二应用访问服务器的令牌;
所述至少两个应用共享产生的令牌;
通过使用共享的令牌请求安装在装置中的第一应用访问服务器;
基于访问服务器的第一应用从服务器接收第一应用请求的内容,
其中,接收内容的步骤包括:基于第一应用的权限等级获取第一应用访问服务器的许可,所述至少两个应用具有不同的权限等级,并且权限等级被服务器基于所述至少两个应用的功能和所述至少两个应用的开发者分配给所述至少两个应用。
28.如权利要求27所述的网络通信方法,其中,产生令牌的步骤包括:
第二应用请求服务器认证装置;
产生指示服务器所认证的装置访问服务器的令牌。
29.如权利要求28所述的网络通信方法,其中,权限等级是所述至少两个应用保留的访问服务器的权限。
30.一种用于与服务器通信的装置的网络通信方法,其中,在所述装置中安装了至少两个应用,所述网络通信方法包括:
通过使用安装在装置中的第二应用产生用于服务器与装置之间的通信的会话;
基于安装在装置中的第一应用的密钥信息使第一应用使用会话;
基于通过使用会话访问服务器的第一应用的密钥信息从服务器接收内容,
其中,第一应用的应用密钥信息与第一应用的权限等级相应,所述至少两个应用的权限等级是所述至少两个应用保留的访问服务器的权限,其中,所述至少两个应用具有不同的权限等级,并且权限等级被服务器基于所述至少两个应用的功能和所述至少两个应用的开发者分配给所述至少两个应用。
31.如权利要求30所述的网络通信方法,其中,服务器将密钥信息分配给所述至少两个应用。
32.如权利要求30所述的网络通信方法,其中,产生会话的步骤包括:基于请求服务器对装置进行认证的第二应用的密钥信息产生会话。
33.一种用于与安装了至少两个应用的装置通信的服务器的网络通信方法,所述网络通信方法包括:
基于安装在装置中的第二应用的密钥信息产生用于服务器与装置之间的通信的会话;
通过安装在请求访问服务器的装置中的第一应用的密钥信息接收第一应用的访问请求;
基于第一应用的密钥信息确定是否将预定内容提供给第一应用,
其中,第一应用和第二应用的应用密钥信息与第一应用和第二应用的权限等级相应,第一应用和第二应用的权限等级是第一应用和第二应用保留的访问服务器权限,所述至少两个应用具有不同的权限等级,并且权限等级被服务器分配给第一应用和第二应用。
34.如权利要求33所述的网络通信方法,其中,服务器将第一应用和第二应用的密钥信息分配给第一应用和第二应用。
35.如权利要求33所述的网络通信方法,其中,产生会话的步骤包括:基于请求服务器认证装置的第二应用的密钥信息产生会话。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US4042208P | 2008-03-28 | 2008-03-28 | |
| US61/040,422 | 2008-03-28 | ||
| US4079508P | 2008-03-31 | 2008-03-31 | |
| US61/040,795 | 2008-03-31 | ||
| KR10-2008-0092943 | 2008-09-22 | ||
| KR1020080092943 | 2008-09-22 | ||
| KR20080092943A KR101496329B1 (ko) | 2008-03-28 | 2008-09-22 | 네트워크의 디바이스 보안 등급 조절 방법 및 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101547202A CN101547202A (zh) | 2009-09-30 |
| CN101547202B true CN101547202B (zh) | 2015-06-17 |
Family
ID=41194089
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910128308.3A Expired - Fee Related CN101547202B (zh) | 2008-03-28 | 2009-03-30 | 处理网络上的装置的安全等级的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101547202B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752323B (zh) * | 2011-04-18 | 2015-07-01 | 阿里巴巴集团控股有限公司 | 分布式session服务系统及方法 |
| CN103428001B (zh) * | 2013-09-05 | 2016-08-17 | 中国科学院信息工程研究所 | 一种隐式增强便捷web身份认证方法 |
| EP3058500A4 (en) * | 2013-10-18 | 2018-01-17 | Nokia Technologies Oy | Method and system for operating and monitoring permissions for applications in an electronic device |
| US10560463B2 (en) * | 2015-11-05 | 2020-02-11 | Microsoft Technology Licensing, Llc | Incident management to maintain control of restricted data in cloud computing environments |
| CN105704154B (zh) * | 2016-04-01 | 2019-11-05 | 金蝶软件(中国)有限公司 | 一种基于RESTful的服务处理方法、装置及系统 |
| CN107070878B (zh) * | 2017-02-13 | 2020-09-18 | 北京安云世纪科技有限公司 | 一种用于对受监控应用进行病毒隔离的系统及方法 |
| CN107707573A (zh) * | 2017-11-22 | 2018-02-16 | 用友金融信息技术股份有限公司 | 数据访问方法及其装置与计算机装置及其可读存储介质 |
| CN110895493B (zh) * | 2019-11-29 | 2022-03-15 | 宜人恒业科技发展(北京)有限公司 | 一种访问应用程序接口的方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1315064A1 (en) * | 2001-11-21 | 2003-05-28 | Sun Microsystems, Inc. | Single authentication for a plurality of services |
| US7069330B1 (en) * | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
| US7233997B1 (en) * | 1997-06-26 | 2007-06-19 | British Telecommunications Plc | Data communications |
-
2009
- 2009-03-30 CN CN200910128308.3A patent/CN101547202B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7233997B1 (en) * | 1997-06-26 | 2007-06-19 | British Telecommunications Plc | Data communications |
| US7069330B1 (en) * | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
| EP1315064A1 (en) * | 2001-11-21 | 2003-05-28 | Sun Microsystems, Inc. | Single authentication for a plurality of services |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101547202A (zh) | 2009-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11870758B2 (en) | Systems and methods for application identification | |
| CN101547202B (zh) | 处理网络上的装置的安全等级的方法和设备 | |
| KR101496329B1 (ko) | 네트워크의 디바이스 보안 등급 조절 방법 및 장치 | |
| US9985969B1 (en) | Controlling use of computing-related resources by multiple independent parties | |
| US8561172B2 (en) | System and method for virtual information cards | |
| US10887298B2 (en) | System and method for pool-based identity authentication for service access without use of stored credentials | |
| US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
| US20090089884A1 (en) | Method and system for indentifying a device implementing a digital rights management protocol | |
| US20140228001A1 (en) | Controlling Application Access to Mobile Device Functions | |
| US20120311663A1 (en) | Identity management | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| CN108319827B (zh) | 一种基于osgi框架的api权限管理系统及方法 | |
| US20040049677A1 (en) | Authorization and security management system and method | |
| JP2016148919A (ja) | ユーザ属性情報管理システムおよびユーザ属性情報管理方法 | |
| KR20120124329A (ko) | 서비스 제공 장치에서 drm 서비스를 제공하는 방법 그리고 이를 위한 서비스 제공 장치 및 사용자 단말에서 drm 서비스를 제공받는 방법 | |
| KR102468823B1 (ko) | 애플릿 패키지 전송 방법, 장치, 전자 기기, 컴퓨터 판독 가능 매체 및 컴퓨터 프로그램 | |
| CN112270000B (zh) | 密码服务提供方法、装置和计算机可读存储介质 | |
| CN116707849A (zh) | 针对飞地实例的云服务访问权限设置方法和云管理平台 | |
| KR20130101640A (ko) | 보안 컨텍스트를 이용한 drm/cas 서비스 장치 및 방법 | |
| CN103548021A (zh) | 内容发布的控制系统 | |
| KR101074068B1 (ko) | 홈네트워크 서비스를 위한 통합 인증 시스템 및 방법 | |
| CN117579674A (zh) | 一种远程控制系统及方法 | |
| KR20200014545A (ko) | 사용자 통합 인증 서비스 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150617 Termination date: 20210330 |