CN1758588A - 在家庭网络中提供安全服务的设备、系统和方法 - Google Patents
在家庭网络中提供安全服务的设备、系统和方法 Download PDFInfo
- Publication number
- CN1758588A CN1758588A CNA2005101082315A CN200510108231A CN1758588A CN 1758588 A CN1758588 A CN 1758588A CN A2005101082315 A CNA2005101082315 A CN A2005101082315A CN 200510108231 A CN200510108231 A CN 200510108231A CN 1758588 A CN1758588 A CN 1758588A
- Authority
- CN
- China
- Prior art keywords
- service
- time
- controlled device
- control device
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Selective Calling Equipment (AREA)
- Alarm Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
提供一种用于提供安全服务的设备、系统和方法。所述设备包括:网络接口单元,其收发控制装置和管理装置之间的数据;控制器,当在其期间允许将服务给予安全服务对象的许可时间比在其期间向所述安全服务对象提供预定服务的使用时间长时,其控制通过所述网络接口单元从所述控制装置请求的服务的提供;和使用时间处理单元,其通过反映在其期间提供服务的时间来更新所述使用时间。当执行安全服务时,在根据用户或控制装置的许可时间期间可提供被控制装置的服务。
Description
技术领域
与本发明一致的设备、系统和方法涉及安全服务的提供。更具体地讲,本发明涉及基一种于设置在被控制装置中的许可时间提供从控制装置请求的服务的设备、系统和方法。
背景技术
通常,在基于互联网协议(以下,称为“IP”)的专用网络中的多种网络装置在通过中间件构造的计算环境下提供多种应用。
网络装置使用多种中间件,比如家庭音频/视频互操作(HAVI)、通用即插即用控制装置(UPnP)、Java智能网络基础结构(Jini)和局部操作网络(LonWorks),通过对等机制互连。
网络装置可使用中间件构成网络,组成网络的每个网络装置与虚拟计算环境连接,从而向用户提供适合于网络装置应用的多种服务。
网络装置可分类为用于控制其它网络装置的网络装置(以下,称为“控制装置和控制点”并且简称为“CP”)和根据控制装置的指导提供特定于它们特殊应用的服务的规则的网络装置(以下,称为“被控制装置”并且简称为“CD”)。
控制装置可限制用户使用被控制装置的某些服务。对于这种限制,已经提出了特定的安全服务。用于指示控制装置对被控制装置具有访问权和对使用控制装置许可的服务的限制的访问控制列表(ACL)已经被用在传统安全服务中。ACL被存储在被控制装置中并且仅可以由被称为安全控制台(SC)的特定网络装置编辑。
因此,被控制装置可安全地向授权的控制装置提供指定的服务。
由于向用于从被控制装置请求服务的控制装置提供传统安全服务,而非向想要使用家庭网络上的被控制装置的用户提供传统安全服务,所以传统方法不是围绕用户而设计。特别地,如果需要父母控制功能的网络系统采用传统方法,则网络管理员不得不单独地管理控制装置,这对网络管理员是不方便的。
因此,需要对被控制装置的访问权由期望从被控制装置给予服务的每个用户管理的技术。
另外,需要基于对多种安全服务的临时限制的访问控制技术。
第2001-0055222号韩国未审查专利公告公开了“A method for notifyinguse of exceeding the time limit in an always on/dynamic ISDN(AO/DI)service”,其包括当互联网订户请求与互联网连接时检查使用的累积时间是否超过时间限制,如果使用的累积时间超过了时间限制,则在连接消息中产生关于过量时间的信息并且将它发送给订户。然而,这个公告仅公开了由订户使用的特定网络装置的控制。另外,当多个用户使用单个网络装置时,通过每个用户的连接不能够被控制。第2001-0055222号韩国专利公告也没有公开在家庭网络中对在网络装置之间提供的多种服务的访问控制。
发明内容
本发明的目的是控制每个用户对网络系统上的被控制装置的访问。
本发明的另一目的是根据每个用户或每个控制许可的累积时间提供被控制装置的服务而进行的控制。
本发明不限于上面描述的目的,在此没有描述的其它任何目的可被本技术领域的人员从以下的公开中理解。
根据本发明的一方面,提供一种用于提供安全服务的方法,包括:接收向控制装置提供服务的请求;比较关于安全服务对象的可提供服务的许可时间和作为在其期间向所述安全服务对象提供预定服务的时间的累积值的使用时间;当所述许可时间比所述使用时间长时,提供从所述控制装置请求的服务;和通过反映在其期间提供所述控制装置请求的所述服务的所述使用时间来更新所述使用时间。
根据本发明示例性实施例,提供一种用于提供安全服务的方法,包括:由控制装置请求被控制装置提供服务;由接收到提供服务的请求的所述被控制装置比较向安全服务对象提供服务的许可时间和作为在其期间向所述安全服务对象提供预定服务的时间的累积值的使用时间;如果所述许可时间比所述使用时间长,则由所述被控制装置提供由所述控制装置请求的服务;和由所述被控制装置通过反映在其期间提供所述控制装置请求的所述服务的时间来更新所述使用时间。
根据本发明示例性实施例,提供一种用于提供安全服务的设备,包括:网络接口单元,其收发控制装置和管理装置之间的数据;控制器,当在其期间允许将服务给予安全服务对象的许可时间比作为在其期间向所述安全服务对象提供预定服务的时间的累积值的使用时间长时,其控制通过所述网络接口从所述控制装置单元请求的服务的提供;和使用时间处理单元,其通过反映在其期间提供服务的时间来更新所述使用时间。
根据本发明示例性实施例,提供一种用于提供安全服务的系统,包括:控制装置,其请求服务;被控制装置,当在其期间允许向安全服务对象提供服务的许可时间比作为在其期间向所述安全服务对象提供预定服务的时间的累积值的使用时间长时,其提供从所述控制装置请求的服务,并且通过反映在其期间提供服务的时间来更新所述使用时间;和管理装置,其将所述许可时间设置给所述被控制装置。
附图说明
通过参照附图详细描述优选实施例,本发明的上面的目标和优点将变得更加清楚,其中:
图1示出根据本发明示例性实施例的家庭网络系统;
图2是示出根据本发明示例性实施例的被控制装置300的方框图;
图3示出根据本发明示例性实施例的存储在被控制装置的存储单元中的数据;
图4示出根据本发明示例性实施例的组成以XML编写的ACL的入口;
图5是示出根据本发明示例性实施例的管理装置的方框图;
图6是示出根据本发明示例性实施例的安全服务的提供的流程图;
图7是详述图6的安全服务的提供的流程图;
图8详述更新使用时间的流程图;和
图9是示出根据本发明的另一示例性实施例的安全服务的提供的流程图。
具体实施方式
通过参照以下对优选实施例的详细描述和附图,本发明的优点和特点及其实现方法可以被更容易地理解。然而,本发明可被以许多不同的形式实施不应被理解成限于在此阐述的实施例。当然,提供这些实施例以使本公开是彻底和完整的,并且完全地将本发明的构思传达给本领域的技术人员,本发明仅由权利要求限定。在说明书中,相同的标号始终表示相同的部件。
将基于作为预定局域网络的通常示例的家庭网络系统来描述本发明,但是本发明并不限于家庭网络系统。包括针对本发明描述的管理装置、控制装置和被控制装置的网络系统也被包括在本发明的范围内。本发明的管理装置、控制装置和被控制装置是基于使用UPnP中间件的家庭网络环境,但是这仅是示例性的。本领域的技术人员应该理解:只要通过比如Jini、HAVi和HWW以及UPnP的动态结构的中间件,各种修改、改变和与网络装置的功能等同的其它实施例可被识别,则这些修改、改变和其它实施例是可行的。
以下,将参照附图详细描述本发明的示例性实施例。
图1示出根据本发明示例性实施例的家庭网络系统。
如图1所示,家庭网络系统包括管理装置100、控制装置200和被控制装置300。管理装置100、控制装置200和被控制装置300中的至少一个被包括在相同的家庭网络中。
根据本实施例,被控制装置300将关于控制装置200的信息和用于提供由控制装置200请求的服务的访问控制信息存储在其中。访问控制信息包括最大时间(以下,称为“许可时间”),在所述许可时间期间应控制装置的请求提供服务,这将在图3中被描述。
当从控制装置200请求服务时,被控制装置300根据访问控制信息控制服务的提供。具体地,根据本发明的被控制装置300在包括在访问控制信息中的许可时间内可提供由控制装置200请求的服务。访问控制信息可由管理装置100以传统的方式编辑。即,管理装置100可设置新的访问控制信息并将它存储在被控制装置300中,或者删除或修改现有的访问控制信息。
当使用这个访问控制信息的列表时,被控制装置300的服务的提供可由每个控制装置、每个用户和每个用户组(以下,称为“安全服务对象”)控制。根据这种方法,在个体基础上可提供安全服务。
根据本发明的另一示例性实施例,当控制装置200请求服务时,被控制装置300可从管理装置100接收关于应控制装置200的请求提供服务的时间剩下多少的确认。按照来自管理装置100的确认结果,被控制装置300可确定是否提供由控制装置200请求的服务。遵循这个方法,家庭网络中的多个被控制装置的安全服务可被全面地提供。
图2是示出根据本发明示例性实施例的被控制装置300的方框图。
如图2所示,被控制装置包括加密/解密单元310、网络接口单元320、控制器330、使用时间处理单元340、应用驱动单元350、用户认证单元360和存储单元370。
加密/解密单元310根据控制器330的控制对将被发送到管理装置100或控制装置200的数据进行加密,或者它对由管理装置100或控制装置200加密并发送的数据进行解密。
加密/解密单元310可通过秘密密钥密码术以及公共密钥密码术来执行加密和解密,并且可以有一个或多个用于执行两个密码术的加密/解密单元。在建立与管理装置100和控制装置200的通信会话的同时,公共密钥密码术被用于通信安全。在已经建立通信会话之后秘密密钥密码术被用于通信安全,并且用于这种情况的密钥是根据建立通信会话的结果产生的会话密钥。
网络接口单元320通过有线或无线传输介质与管理装置100或控制装置200收发数据。
控制器330控制与管理装置100和控制装置200的通信。当控制装置200请求服务时,控制器330在存储单元370搜索关于已经请求服务的控制装置200的访问控制信息。此时,控制器330基于搜索的访问控制信息控制应用驱动单元350在允许的范围内提供控制装置200请求的服务。
控制器330还可控制向控制装置200的用户以及控制装置200提供服务。当用户认证单元360识别经控制装置200请求提供服务的用户是认证用户时,控制器330在存储单元370中搜索关于识别的用户的访问控制信息,并且根据该访问控制信息控制服务的提供。
控制器330还可控制每个用户组(其包括一个或多个用户)的服务的提供。例如,当关于每个用户归属的用户组的信息也被包括在存储于存储单元370中的用户信息文件中时,控制器330可在存储单元370中搜索关于用户认证单元360认证的用户归属的用户组的访问控制信息,并且根据该访问控制信息控制服务的提供。
根据本发明的另一示例性实施例,控制器330可以从管理装置100请求预定时间信息,并且还根据从管理装置100发送的该时间信息来控制经控制装置200请求的服务的提供。
使用时间处理单元340测量通过应用驱动单元350提供的服务的时间并且更新存储在存储单元370中的使用时间,以反映测量的时间。更新使用时间可在服务的提供被完成之后被执行或在提供服务过程中被周期性地执行。
根据本发明的示例性实施例,当管理装置100发送了控制服务提供所需要的预定时间信息时,使用时间处理单元340可经接口单元320请求管理装置100更新使用时间。
应用驱动单元350根据控制器330的控制提供由控制装置200请求的服务。例如,当被控制装置300是DVD播放器时,应用驱动单元350可播放运动画面文件。
当安全服务对象是用户时,用户认证单元360对请求服务的用户进行认证。例如,当用户通过控制装置200输入用户认证信息(例如,用户标识和口令)并且网络接口单元320从控制装置200接收用户认证信息时,被控制装置300的用户认证单元360基于存储在存储单元370中的用户信息文件确定用户是否是认证了的用户。当确定用户是认证了的用户时,控制器330在存储单元370中搜索关于涉及的用户的访问控制信息,并且根据访问控制信息控制服务的提供。
存储单元370存储用户信息文件、使用时间文件和访问控制信息列表,这些将参照图3进行描述。
用户信息文件372包括认证用户所需要的数据。例如,用户信息文件可包括用户标识、口令和用于识别用户归属的用户组的用户组标识符。
使用时间被记录在使用时间文件374中,所述使用时间是在其期间向每个安全服务对象(用户、用户组和控制装置)提供服务的时间的累积值。当通过应用驱动单元350提供服务时,使用时间由使用时间处理单元340更新。使用时间可以由用户、用户组或控制装置来记录。控制器330使用该使用时间来确定应用驱动单元350是否应该继续提供服务。
例如,当用户A经控制装置请求被控制装置300提供服务时,控制器330比较包括在关于用户A的访问控制信息中的许可时间和包括在使用时间文件374中的用户A的使用时间。如果许可时间比使用时间长,则控制器330指导应用驱动单元350提供用户A请求的服务。
访问控制信息列表376包括关于每个安全服务对象的访问控制信息。将参照图4描述访问控制信息列表。
图4示出根据本发明示例性实施例的以XML编写的ACL的入口。
入口是关于每个安全服务对象的访问控制信息。
在示出的XML文档中,主体标签(subject tag)410被用来识别请求服务的控制装置200。因此,控制装置200的识别信息,比如公共密钥和控制装置200的地址,被包括在主体标签410中。
主体标签410中的用户ID标签412被用来识别想要使用服务的用户,所述用户ID标签是本发明的新的增加。因此,用户的识别信息被包括在用户ID标签412中。
组ID标签414被用来识别想要使用服务的用户归属的用户组,所述组ID标签是本发明的新的增加。因此,用于识别用户组的识别信息被包括在组ID标签414中。
因此,根据本发明示例性实施例的被控制装置300可控制向每个控制装置、通过控制装置想要使用服务的每个用户和用户归属的每个用户组的服务的提供。
访问标签420表示可由基于主体标签410、用户ID标签412或组ID标签414识别的安全服务对象使用的服务控制信息。例如,当被控制装置是音频设备时,服务控制信息可表示有关由被控制装置提供的比如音乐文件的播放、停止/暂停、音量控制和下载的服务的使用和控制的信息。控制器330可确定安全服务对象可通过访问标签420使用什么类型的服务。当接收没有被设置在访问标签420中的服务请求时,控制器330可输出错误消息或不响应所述请求。
有效标签430被用于控制一段时间,在所述一段时间期间服务是可用的。例如,在之前禁止标签(not-before tag)432的情况下,有效标签430可防止服务在设置在之前禁止标签432中的日期之前被使用。同样,在之后禁止标签(not-after tag)434的情况下,有效标签430可防止服务在设置在之后禁止标签434中的日期之后被使用。
在有效标签430中的累积标签436被用于设置可使用服务的许可时间,所述累积标签436是本发明新的增加。例如,当在累积标签436中设置10个小时时,由主体标签410识别的控制装置、由用户ID标签412识别的用户或由组ID标签414识别的用户组被允许使用被控制装置300的服务10个小时。
累积标签436可与之前禁止标签432或之后禁止标签434一起使用。在这种情况下,在基于之前禁止标签432或之后禁止标签434设置的一段时间内的基于累积标签436设置的许可时间期间可提供服务。
ACL 376包括每个安全服务对象的入口。
存储单元370可存储私有/公共密钥对。私有密钥和公共密钥可被用于由加密/解密单元310执行的公共密钥密码术。
图5是示出根据本发明示例性实施例的管理装置的方框图。
如图5所示,管理装置100包括加密/解密单元110、网络接口单元120、控制器130、使用时间处理单元140、用户接口单元150和存储单元160。
加密/解密单元110根据控制器330的控制对发送到控制装置200或被控制装置300的数据进行加密,或它对从控制装置200或被控制装置300接收的加密的数据进行解密。通过这种加密和解密,可提高与控制装置200或被控制装置300的通信的安全。
加密/解密单元110可通过秘密密钥密码术以及公共密钥密码术执行加密和解密。可有一个或多个加密/解密单元来执行两个密码术。在建立与控制装置200或被控制装置300的通信会话的同时,公共密钥密码术被用于通信安全。在已经建立通信会话之后秘密密钥密码术被用于通信安全,并且用于这种情况的密钥是根据建立通信会话的结果产生的会话密钥。
网络接口单元120通过有线或无线传输介质执行与控制装置200或被控制装置300的通信。
控制器130控制与控制装置200或被控制装置300的通信。控制器130可编辑存储在被控制装置300中的访问控制信息。访问控制信息的编辑指的是对现有的访问控制信息的删除或修改或者增加新的访问控制信息。参照图3和图4描述根据本发明示例性实施例的访问控制信息。
当从被控制装置300接收到对关于安全服务对象的时间信息的请求时,控制器130搜索存储在存储单元160中的许可时间和使用时间,并经网络接口单元120将它们发送到被控制装置300。作为本发明的另一示例性实施例,当从被控制装置300接收到对时间信息的请求时,控制器130可发送许可时间和使用时间之间的差。差值表示允许被控制装置300向安全服务对象提供服务的剩余时间。
当从被控制装置300接收到在其期间服务被提供给安全服务对象的时间和用于更新使用时间的请求时,使用时间处理单元140通过反映存储单元160中的使用时间来更新关于安全服务对象的使用时间。
用户将关于特定被控制装置提供服务的访问控制信息输入到用户接口单元150。即,用户可经用户接口单元150设置关于安全服务对象的许可时间或编辑存储在被控制装置300中的ACL。例如,当父母想控制他们的孩子对被控制装置300的使用时,他们设置可识别他们孩子的用户id作为安全服务对象,并设置使用被控制装置300的服务的许可时间。通过这样做,当他们的孩子想要经控制装置200使用被控制装置300的服务时,他/她被要求输入他/她的用户id,凭此id在许可时间内他/她可被给予对服务的访问。作为另一示例,当父母同时将仅由他们的孩子专用的控制装置的标识符设置成安全服务对象并设置许可时间时,他们的孩子在许可时间期间可通过使用控制装置从被控制装置被给予服务。
存储单元160存储关于每个安全服务对象的使用时间和许可时间。使用时间是通过在家庭网络中的每个被控制装置将服务给予安全服务对象的时间的总量,许可时间可以是在其期间允许通过家庭网络中的每个被控制装置将服务给予安全服务对象的时间的总量。
例如,当通过家庭网络中的第一被控制装置给予某一用户一个小时的服务并通过第二被控制装置给予该用户3个小时的服务时,所涉及的用户的使用时间增加至4个小时。如果在管理装置100的存储单元160中将关于该用户的许可时间设置成5个小时,则通过在家庭网络中的第一被控制装置、第二被控制装置和其它被控制装置可给予该用户1个小时的服务。
图6是示出根据本发明示例性实施例的安全服务的提供的流程图。
最初,可执行为建立控制装置200和被控制装置300之间的通信会话的一系列处理(S110)。可根据传统技术来实施用于通信会话的建立的这种处理。
当用户经控制装置200从被控制装置300请求服务时(S110),如果需要用户认证信息,则被控制装置300的用户认证单元360从控制装置200请求用户认证信息(S130)。
此时,控制装置200将由用户输入的用户认证信息(例如,上面所述的用户id和口令)发送到被控制装置300(S140)。
从控制装置200接收用户认证信息的被控制装置300的用户认证单元360在存储在存储单元370中的用户信息文件中搜索与从控制装置200接收的用户认证信息匹配的用户信息(S150)。
当发现与从控制装置200发送的用户认证信息匹配的用户信息时,用户认证单元360通知控制装置200:用户认证完成(S160)。如果没有发现与从控制装置200发送的用户认证信息匹配的用户信息,则用户认证单元360可经网络接口单元320通知控制装置200:用户认证失败。在这种情况下,为了防止提供被请求的服务,被控制装置300的控制器330可控制应用驱动单元350。
在用户被认证之后,控制器330在存储单元370中搜索关于认证的用户的访问控制信息,然后控制应用驱动单元350在访问控制信息中设置的限制条件下提供从控制装置200请求的服务(S170)。
此时,使用时间处理单元340更新存储在存储单元370中的使用时间,以与通过应用驱动单元350提供的服务的时间量对应(S180)。
示出的过程可表示用户被设置成安全服务对象的情况,但是用户组或控制装置可通过类似过程成为安全服务对象。当控制装置是安全服务对象时,操作S130至操作S160可以被省略。在这种情况下,可通过在建立通信会话的过程中获得的控制装置200的识别信息(例如,公共密钥或控制装置的地址)对安全服务对象进行识别。
图7是示出根据本发明示例性实施例的更详细的图6的服务的提供的流程图。
当完成用户认证时,被控制装置300的控制器330在存储单元370中搜索认证的用户的许可时间和使用时间(S210)。
控制器330比较许可时间和使用时间,然后确定是否经控制装置200提供用户请求的服务(S220)。
结果,如果许可时间比使用时间长,则剩余在其期间可将服务给予认证的用户的时间。因此,控制器330经应用驱动单元350提供请求的服务(S230)。
然而,如果许可时间不比使用时间长,则认证的用户已经用完用于服务提供的可获得时间。因此,控制器330将陈述为“没有服务可获得”的消息经网络接口单元320输出到控制装置(S240)。
当提供服务时,使用时间相应地被更新。将参照图8描述使用时间的更新。
图8是更具体地示出更新使用时间的流程图。
如果通过关于图6和图7描述的过程由应用驱动单元350提供服务,则使用时间处理单元340通过反映在其期间提供服务的累积时间,将存储在存储单元370中的请求服务的用户的使用时间更新(S310)。
当更新了使用时间时,控制器330比较更新的使用时间和许可时间(S320)。如果许可时间比使用时间长,则控制器330维持继续服务的提供(S330)。但是,如果许可时间不比使用时间长,则控制器330通过控制应用驱动单元350停止提供服务(S340)。
当停止服务的提供时,控制器330可将陈述为“没有服务可获得”的消息经网络接口单元320发送到控制装置200。
在通过应用驱动单元350提供服务的同时周期性地执行以下操作:由使用时间处理单元340更新使用时间,并确定是否维持控制器330的服务提供。
图9是示出根据本发明另一示例性实施例的安全服务处理的流程图。
可以按照与图6的S210至S260相同方式执行操作S410至操作S460。
当完成用户认证时,被控制装置300的控制器330从管理装置100请求关于认证的用户的预定时间信息(S465)。此时,请求的时间信息可以是认证的用户的使用时间和许可时间。作为另一示例性实施例,请求的时间信息可以是许可时间和使用时间之间的差值。使用时间是在其期间通过在家庭网络中的每个被控制装置将服务给予安全服务对象的时间的总量,许可时间是在其期间允许通过家庭网络中的每个被控制装置将服务给予安全服务对象的时间的总量。
当从被控制装置300请求关于认证的用户的时间信息时,管理装置100的控制器130搜索请求的用户的使用时间和许可时间(S470),并且将搜索的时间信息经网络接口单元120发送到被控制装置300(S475)。
此时,发送的时间信息可包括许可时间和使用时间,或者许可时间和使用时间之间的差值。这个差值是可向认证的用户提供服务的剩余时间。
如果发送许可时间和使用时间或者它们之间的差值,则被控制装置300的控制器330基于发送的时间信息确定是否提供服务,并且根据该确定经应用驱动单元350控制服务的提供(S480)。
提供服务S480可以按照与在关于图7描述的系列过程之中的操作S220之后的操作相同的方式被执行。如果从管理装置100发送的时间信息是许可时间和使用时间之间的差值,则操作S220可确定差值是否大于0。如果差值大于0,则执行提供服务的操作S230。如果差值小于0,则执行防止服务提供的操作S240。
当通过应用驱动单元350提供服务时,使用时间处理单元340可请求管理装置100通过反映在其期间提供服务的时间来更新使用时间(S485)。
当从被控制装置300接收到用于更新的请求时,管理装置100的使用时间处理单元140通过反映在其期间被控制装置300提供服务的时间来更新存储在存储单元160中的使用时间(S490)。
此时,被控制装置300的使用时间处理单元140还可更新从管理装置发送的用户的使用时间(S495)。
如关于图8所述,可周期性地执行更新操作S495和更新操作S490,每当执行更新,被控制装置300的控制器330通过将许可时间和更新的使用时间比较可确定是否经应用驱动单元350继续服务的提供。
示出的过程可表示用户被设置成安全服务对象的情况。用户组或控制装置可通过类似过程成为安全服务对象。当控制装置是安全服务对象时,操作S430至操作S460可以被省略。在这种情况下,可通过在建立通信会话(S410)的过程中获得的控制装置200的识别信息(例如,公共密钥或控制装置的地址)对安全服务对象进行识别。
如上所述,根据本发明的用于提供安全服务的系统和方法可产生一个或多个以下描述的效果。
首先,访问被控制装置可基于用户被控制。
其次,被控制装置的服务提供可基于许可时间被控制。
虽然本发明的示例性实施例是参照上面和附图具体显示并描述的,但是本领域的技术人员应该理解,在不脱离由所附权利要求限定本发明的精神和范围的情况下,可以对其进行形式和细节的各种改变。这些示例性实施例应该仅被认为是描述意义上的而非限制的目的。
Claims (28)
1、一种提供安全服务的方法,包括:
接收向控制装置提供服务的请求;
比较向安全服务对象提供服务的许可时间和作为在其期间向所述安全服务对象提供预定服务的时间的累积值的使用时间;
当所述许可时间比所述使用时间长时,提供由所述控制装置请求的服务;和
通过反映在其期间提供所述控制装置请求的所述服务的时间来更新所述使用时间。
2、如权利要求1所述的方法,其中,安全服务对象指的是所述控制装置、经所述控制装置请求服务的用户和所述用户归属的用户组中的任何一个。
3、如权利要求1所述的方法,其中,所述使用时间的更新被周期性地执行。
4、如权利要求3所述的方法,还包括:如果所述许可时间没有所述更新的使用时间长,则停止提供服务。
5、如权利要求1所述的方法,其中,所述许可时间和所述使用时间指的是从管理装置发送的时间信息。
6、如权利要求5所述的方法,其中,所述使用时间是在其期间通过组成家庭网络的被控制装置向所述安全服务对象提供服务的时间的总量,所述许可时间是在其期间允许通过组成家庭网络的被控制装置向所述安全服务对象提供服务的时间的总量。
7、如权利要求6所述的方法,还包括请求所述管理装置通过反映在其期间提供由所述控制装置请求的所述服务的时间来更新所述使用时间。
8、一种提供安全服务的方法,包括:
由控制装置请求被控制装置提供服务;
由接收到提供服务的请求的所述被控制装置比较向安全服务对象提供服务的许可时间和作为在其期间向所述安全服务对象提供预定服务的时间的累积值的使用时间;
如果所述许可时间比所述使用时间长,则由所述被控制装置提供由所述控制装置请求的服务;和
由所述被控制装置通过反映在其期间提供所述控制装置请求的所述服务的时间来更新所述使用时间。
9、如权利要求8所述的方法,其中,所述安全服务对象指的是所述控制装置、经所述控制装置请求服务的用户和所述用户归属的用户组中的任何一个。
10、如权利要求8所述的方法,其中,所述被控制装置周期性地执行所述使用时间的更新。
11、如权利要求10所述的方法,还包括:如果所述许可时间没有所述更新的使用时间长,则由所述被控制装置停止提供服务。
12、如权利要求8所述的方法,其中,所述比较步骤包括:
由所述被控制装置请求管理装置提供所述安全服务对象的所述许可时间和所述使用时间;
由接收到所述请求的所述管理装置搜索所述安全服务对象的所述许可时间和所述使用时间;
由所述管理装置将所述许可时间和所述使用时间发送到所述被控制装置;和
由所述被控制装置比较所述接收的许可时间和所述使用时间。
13、如权利要求12所述的方法,其中,所述使用时间是在其期间通过组成家庭网络的被控制装置向所述安全服务对象提供服务的时间的总量,所述许可时间是在其期间允许通过组成家庭网络的被控制装置向所述安全服务对象提供服务的时间的总量。
14、如权利要求13所述的方法,还包括:
由所述被控制装置请求所述管理装置通过反映在其期间提供所述控制装置请求的服务的时间来更新所述使用时间;和
由接收到更新请求的所述管理装置更新所述使用时间。
15、一种提供安全服务的设备,包括:
网络接口单元,用于收发控制装置和管理装置之间的数据;
控制器,用于当在其期间允许将服务给予安全服务对象的许可时间比作为在其期间向所述安全服务对象提供预定服务的时间的累积值的使用时间长时,控制通过所述网络接口单元从所述控制装置请求的服务的提供;和
使用时间处理单元,用于通过反映在其期间提供服务的时间来更新所述使用时间。
16、如权利要求15所述的设备,其中,所述安全服务对象表示所述控制装置、经所述控制装置请求服务的用户和所述用户归属的用户组中的任何一个。
17、如权利要求15所述的设备,其中,所述使用时间处理单元周期性地执行所述使用时间的更新。
18、如权利要求17所述的设备,其中,当所述许可时间没有所述更新的使用时间长时,所述控制器停止提供服务。
19、如权利要求15所述的设备,其中,所述许可时间和所述使用时间指的是从所述管理装置发送的时间信息。
20、如权利要求19所述的设备,其中,所述使用时间是在其期间通过组成家庭网络的被控制装置向所述安全服务对象提供服务的时间的总量,所述许可时间是在其期间允许通过组成家庭网络的被控制装置向所述安全服务对象提供服务的时间的总量。
21、如权利要求20所述的设备,其中,所述使用时间处理单元请求所述管理装置通过反映在其期间经网络接口单元提供所述服务的时间来更新所述使用时间。
22、一种提供安全服务的系统,包括:
控制装置,用于请求服务;
被控制装置,用于当在其期间允许向安全服务对象提供服务的许可时间比作为在其期间向所述安全服务对象提供预定服务的时间的累积值的使用时间长时,提供由所述控制装置请求的服务,并且通过反映在其期间提供服务的时间来更新所述使用时间;和
管理装置,用于将所述许可时间设置给所述被控制装置。
23、如权利要求22所述的系统,其中,所述安全服务对象表示所述控制装置、经所述控制装置请求服务的用户和所述用户归属的用户组中的任何一个。
24、如权利要求22所述的系统,其中,当提供所述服务时,所述被控制装置周期性地执行所述使用时间的更新。
25、如权利要求24所述的系统,其中,当所述许可时间没有所述更新的使用时间长时,所述被控制装置停止提供所述服务。
26、如权利要求22所述的系统,其中,所述许可时间和所述使用时间指的是所述管理装置发送给所述被控制装置的时间信息。
27、如权利要求26所述的系统,其中,所述使用时间是在其期间通过组成家庭网络的被控制装置向所述安全服务对象提供服务的时间的总量,所述许可时间是在其期间允许通过组成家庭网络的被控制装置向所述安全服务对象提供服务的时间的总量。
28、如权利要求26所述的系统,其中,所述被控制装置请求所述管理装置更新所述使用时间,并且接收所述请求的所述管理装置通过反映在其期间提供所述服务的时间来更新存储在其中的所述使用时间。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020040080704A KR100643281B1 (ko) | 2004-10-09 | 2004-10-09 | 홈 네트워크에서의 보안 서비스 제공 장치, 시스템 및 방법 |
| KR1020040080704 | 2004-10-09 | ||
| KR10-2004-0080704 | 2004-10-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1758588A true CN1758588A (zh) | 2006-04-12 |
| CN1758588B CN1758588B (zh) | 2010-05-26 |
Family
ID=36146001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005101082315A Expired - Fee Related CN1758588B (zh) | 2004-10-09 | 2005-10-08 | 在家庭网络中提供安全服务的设备、系统和方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8453247B2 (zh) |
| EP (1) | EP1645934B1 (zh) |
| JP (1) | JP4343888B2 (zh) |
| KR (1) | KR100643281B1 (zh) |
| CN (1) | CN1758588B (zh) |
| AT (1) | ATE395657T1 (zh) |
| DE (1) | DE602005006698D1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103546423A (zh) * | 2012-07-10 | 2014-01-29 | 中兴通讯股份有限公司 | 数字多媒体权限控制方法及数字多媒体设备 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282330B (zh) * | 2007-04-04 | 2013-08-28 | 华为技术有限公司 | 网络存储访问权限管理方法及装置、网络存储访问控制方法 |
| US7899905B2 (en) * | 2008-08-07 | 2011-03-01 | Samsung Electronics Co., Ltd. | Partial subscription/eventing and event filtering in a home network |
| US9769832B2 (en) * | 2012-03-16 | 2017-09-19 | Sony Corporation | Information processing apparatus, wireless communication apparatus, and information processing method |
| FR2988253B1 (fr) * | 2012-03-19 | 2015-02-27 | Alcatel Lucent | Controle de l'usage d'un ensemble de dispositifs |
| KR101380278B1 (ko) * | 2012-09-26 | 2014-04-02 | 동국대학교 경주캠퍼스 산학협력단 | 데이터 접근 철회 방법 및 이를 이용한 클라우드 서비스 시스템 |
| KR101906449B1 (ko) * | 2012-12-10 | 2018-10-10 | 삼성전자주식회사 | 홈 네트워크 시스템에서 홈 디바이스 및 외부 서버간의 접속 제어 방법 및 장치 |
| US20190014531A1 (en) * | 2016-01-11 | 2019-01-10 | Huawei Technologies Co., Ltd. | Network Access Permission Management Method and Related Device |
| KR20220074298A (ko) | 2020-11-27 | 2022-06-03 | (주)네오와인 | 홈 네트워크 시스템의 데이터 보안 방법 |
| KR20240060114A (ko) | 2022-10-28 | 2024-05-08 | 주식회사 맥시오 | 보안이 강화된 홈 네트워크 시스템 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03290733A (ja) * | 1990-04-09 | 1991-12-20 | Toshiba Corp | アプリケーションプログラムの貸出し期限管理装置 |
| TW225623B (en) * | 1993-03-31 | 1994-06-21 | American Telephone & Telegraph | Real-time fraud monitoring system |
| US5572438A (en) * | 1995-01-05 | 1996-11-05 | Teco Energy Management Services | Engery management and building automation system |
| US6948070B1 (en) * | 1995-02-13 | 2005-09-20 | Intertrust Technologies Corporation | Systems and methods for secure transaction management and electronic rights protection |
| JPH11150707A (ja) | 1997-11-18 | 1999-06-02 | Toshiba Corp | ディジタル画像の再生システム及び同システムに適用する再生方法 |
| US6449350B1 (en) * | 1997-12-19 | 2002-09-10 | Bellsouth Intellectual Property Corporation | Processes and systems for dynamically measuring switch traffic |
| US6182226B1 (en) | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
| KR100263894B1 (ko) | 1998-05-06 | 2000-08-16 | 윤종용 | 홈 네트워크 시스템에서의 사용자 액세스 제한방법 |
| JP3843662B2 (ja) | 1999-09-30 | 2006-11-08 | 株式会社日立製作所 | ネットワーク機器および制御システム |
| US6792536B1 (en) * | 1999-10-20 | 2004-09-14 | Timecertain Llc | Smart card system and methods for proving dates in digital files |
| KR20010055222A (ko) | 1999-12-10 | 2001-07-04 | 오길록 | 인터넷 상시 연결형 서비스에서 제한시간 사용초과 통지방법 |
| EP1134972A3 (en) | 2000-03-17 | 2002-01-09 | Matsushita Electric Industrial Co., Ltd. | Parental control and monitoring system and method |
| DE10021222A1 (de) * | 2000-04-29 | 2001-10-31 | Philips Corp Intellectual Pty | Verfahren zur dynamischen Bestimmung von Zugriffsrechten |
| JP4552294B2 (ja) * | 2000-08-31 | 2010-09-29 | ソニー株式会社 | コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体 |
| US7308431B2 (en) * | 2000-09-11 | 2007-12-11 | Nokia Corporation | System and method of secure authentication and billing for goods and services using a cellular telecommunication and an authorization infrastructure |
| AU2001290829A1 (en) * | 2000-09-14 | 2002-03-26 | Gemplus | Smart device facilitating computer network interaction |
| ITMI20010113A1 (it) * | 2001-01-22 | 2002-07-22 | Gestweb Spa | Procedimento e dispositivo per il controllo del tempo di connessione di un utente ad una rete telematica |
| US7861091B2 (en) * | 2001-02-28 | 2010-12-28 | O2Micro International Limited | Smart card enabled secure computing environment system |
| KR20030003593A (ko) * | 2001-07-03 | 2003-01-10 | (주) 해커스랩 | 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법 |
| US7328264B2 (en) * | 2001-07-31 | 2008-02-05 | Tandberg Telecom As | System and method for fractional resource scheduling for video teleconferencing resources |
| KR20030073807A (ko) | 2002-03-13 | 2003-09-19 | 주식회사 안랩유비웨어 | 홈 네트워크를 위한 인증/인가 시스템 |
| KR20040014731A (ko) | 2002-08-10 | 2004-02-18 | 엘지전자 주식회사 | UPnP 네트워크 상의 사용자별 인터넷 접근 제어 방법및 시스템 |
| JP2004096294A (ja) | 2002-08-30 | 2004-03-25 | Sony Corp | 電子機器制御装置、電子機器制御システムおよび電子機器制御方法 |
| CN100419736C (zh) * | 2002-10-16 | 2008-09-17 | 株式会社Ntt都科摩 | 服务验证系统、认证要求终端、服务使用终端及提供方法 |
| US20040260630A1 (en) * | 2003-06-20 | 2004-12-23 | Benco David S. | Network support for mobile service plan cumulative usage reports |
-
2004
- 2004-10-09 KR KR1020040080704A patent/KR100643281B1/ko active IP Right Grant
-
2005
- 2005-09-28 JP JP2005282843A patent/JP4343888B2/ja not_active Expired - Fee Related
- 2005-10-07 AT AT05256275T patent/ATE395657T1/de not_active IP Right Cessation
- 2005-10-07 DE DE602005006698T patent/DE602005006698D1/de active Active
- 2005-10-07 EP EP05256275A patent/EP1645934B1/en not_active Not-in-force
- 2005-10-08 CN CN2005101082315A patent/CN1758588B/zh not_active Expired - Fee Related
- 2005-10-11 US US11/246,666 patent/US8453247B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103546423A (zh) * | 2012-07-10 | 2014-01-29 | 中兴通讯股份有限公司 | 数字多媒体权限控制方法及数字多媒体设备 |
| CN103546423B (zh) * | 2012-07-10 | 2018-04-17 | 中兴通讯股份有限公司 | 数字多媒体权限控制方法及数字多媒体设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100643281B1 (ko) | 2006-11-10 |
| KR20060031732A (ko) | 2006-04-13 |
| CN1758588B (zh) | 2010-05-26 |
| ATE395657T1 (de) | 2008-05-15 |
| EP1645934A1 (en) | 2006-04-12 |
| JP2006115492A (ja) | 2006-04-27 |
| JP4343888B2 (ja) | 2009-10-14 |
| EP1645934B1 (en) | 2008-05-14 |
| DE602005006698D1 (de) | 2008-06-26 |
| US8453247B2 (en) | 2013-05-28 |
| US20060079231A1 (en) | 2006-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1758588A (zh) | 在家庭网络中提供安全服务的设备、系统和方法 | |
| US11637834B2 (en) | Dynamic passcodes in association with a wireless access point | |
| CN1780234A (zh) | 在家庭网络装置之间建立安全连接的系统和方法 | |
| JP4988362B2 (ja) | ワイヤレス・ネットワーク・パスワードを更新するためのシステム及び方法 | |
| CN1581777A (zh) | 网络系统、室内设备控制服务器和中间服务器 | |
| CN1638345A (zh) | 使用便携式存储媒质配置瘦客户机设备的网络设置 | |
| CN1698319A (zh) | 信息处理装置、访问控制处理方法和计算机程序 | |
| CN1497472A (zh) | 服务验证系统、认证要求终端、服务使用终端及提供方法 | |
| CN1783053A (zh) | 具有网络功能的硬盘装置 | |
| CN1467642A (zh) | 数据保护程序及数据保护方法 | |
| CN1881964A (zh) | 家庭网关装置、及对家庭网络的访问控制系统 | |
| CN1682491A (zh) | 本地终端装置和通信系统 | |
| CN1604791A (zh) | 访问控制系统 | |
| CN1723426A (zh) | 软件执行控制系统和软件的执行控制程序 | |
| CN1420659A (zh) | 通过网络认证和验证用户和计算机的方法和设备 | |
| CN1968101A (zh) | 一种对前端设备进行控制的方法、系统和管理服务器 | |
| CN1914857A (zh) | 访问控制系统及其访问控制设备和资源提供设备 | |
| CN1592191A (zh) | 用于对目标系统进行授权远程访问的装置、系统和方法 | |
| CN1906888A (zh) | 本地网络系统及其方法 | |
| CN1674509A (zh) | 对应网络传输的内容管理方法及程序、内容传输系统 | |
| CN1685689A (zh) | 控制家庭终端的装置、方法和计算机软件产品 | |
| CN1934519A (zh) | 用于产生授权域的方法和系统 | |
| CN101076025A (zh) | 一种实现在线游戏邀请的方法及系统 | |
| CN101076976A (zh) | 认证系统、认证方法以及认证信息生成程序 | |
| CN1942845A (zh) | 访问控制设备和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100526 Termination date: 20191008 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |