JP2016519828A - アクセス制御方法、装置、プログラム、及び記録媒体 - Google Patents

アクセス制御方法、装置、プログラム、及び記録媒体 Download PDF

Info

Publication number
JP2016519828A
JP2016519828A JP2016509290A JP2016509290A JP2016519828A JP 2016519828 A JP2016519828 A JP 2016519828A JP 2016509290 A JP2016509290 A JP 2016509290A JP 2016509290 A JP2016509290 A JP 2016509290A JP 2016519828 A JP2016519828 A JP 2016519828A
Authority
JP
Japan
Prior art keywords
mac address
access
secret key
dlna
dlna client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016509290A
Other languages
English (en)
Other versions
JP6096376B2 (ja
Inventor
ティエジュン リウ
ティエジュン リウ
ジェン リー
ジェン リー
シエンリン チェン
シエンリン チェン
リャン チェン
リャン チェン
Original Assignee
シャオミ・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シャオミ・インコーポレイテッド filed Critical シャオミ・インコーポレイテッド
Publication of JP2016519828A publication Critical patent/JP2016519828A/ja
Application granted granted Critical
Publication of JP6096376B2 publication Critical patent/JP6096376B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明は、通信分野に関し、アクセス制御方法、装置、プログラム、及び記録媒体に関する。前記アクセス制御方法は、DLNAクライアントが送信したアクセス要求を受信し、DLNA(デジタル・リビング・ネットワーク・アライアンス)クライアントが利用したMAC(媒体アクセス制御)アドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出し、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否する。本発明は、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクの発生する問題を解決した
【選択図】図1

Description

本願は、出願番号が201410123103.7であって、出願日が2014年3月28日である中国特許出願に基づいて優先権を主張し、当該中国特許出願のすべての内容を援用するようにする。
本発明は、通信分野に関し、特にアクセス制御方法及び装置に関する。
DLNA(Digital Living Network Alliance、デジタル・リビング・ネットワーク・アライアンス)(登録商標)は、ソニー社 、インテル社、及びマイクロソフト社が主導した非営利組織であり、各コンシューマ・エレクトロニクス・デバイスの間でデジタル・メディア・コンテンツを共有する問題を解決することを目的にしている。
DLNAに基づくネットワーク・アーキテクチャにおいて、DLNAクライアントとDLNAサーバを含み、DLNAクライアントとDLNAサーバとは有線ネットワーク、または無線ネットワークを介して接続される。DLNAサーバは、メディアコンテンツを提供するためのものであり、ピクチャ、ミュージック、ビデオなどのメディアコンテンツの共有を支援するための、マルチメディアファイルの共有プラットフォームを含む。DLNAクライアントは、DLNAサーバにおいて共有するメディアコンテンツをアクセスして再生させる。
発明者は、上記の発明を実現する過程で、上記の方法に少なくとも以下の欠点が存在することを発見した。即ち、関連する技術では、DLNAクライアントのアクセスに対して何の管理及び制御を行わず、DLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信することができるため、悪意のあるアクセス及びセキュリティリスクが発生することになる。
関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信することができるため、悪意のあるアクセス及びセキュリティリスクの発生する問題を解決するために、本発明の実施例はアクセス制御方法及び装置を提供した。前記の技術的解決策は以下のとおりである。
本発明の実施例の第1の態様によると、DLNA(デジタル・リビング・ネットワーク・アライアンス)サーバにおいて利用するアクセス制御方法を提供し、前記アクセス制御方法は、
DLNAクライアントが送信したアクセス要求を受信するステップと、
前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得するステップと、
予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出するステップと、
前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するステップと、
を含む。
前記アクセス制御方法は、
前記予め設定したブラックリスト中に前記MACアドレスが存在しない場合、MACアドレスと秘密鍵との間の対応関係が含まれている、予め記憶した対応関係中に、前記MACアドレスが存在するか否かを検索するステップと、
前記予め記憶した対応関係中に前記MACアドレスが存在する場合、前記予め記憶した対応関係中に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定するステップと、
をさらに含んでもよい。
前記予め記憶した対応関係に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定する前記ステップは、
前記予め記憶した対応関係に基づいて、前記MACアドレスに対応する秘密鍵を取得するステップと、
前記DLNAクライアントが送信したアクセス要求中に秘密鍵が付加されているか否かを判断するステップと、
秘密鍵が付加されており、且つ付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致する場合、前記DLNAクライアントのアクセスを承認するステップと、
何れの秘密鍵も付加されていない、或は付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致しない場合、前記DLNAクライアントのアクセスを拒否するステップと、
を含んでもよい。
前記アクセス制御方法は、
前記予め記憶した対応関係中に前記MACアドレスが存在しない場合、前記MACアドレスに対応する秘密鍵を生成するステップと、
前記MACアドレス、及び前記MACアドレスに対応する秘密鍵を、前記予め記憶した対応関係中に追加するステップと、
前記秘密鍵を、前記MACアドレスに対応する前記DLNAクライアントへ送信するステップと、
をさらに含んでもよい。
前記アクセス制御方法は、
不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、前記予め設定したブラックリストを取得するステップ
をさらに含んでもよい。
本発明の実施例の第2の態様によると、DLNA(デジタル・リビング・ネットワーク・アライアンス)サーバにおいて利用するアクセス制御装置を提供し、前記アクセス制御装置は、
DLNAクライアントが送信したアクセス要求を受信するための要求受信モジュールと、
前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得するためのアドレス取得モジュールと、
予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出するためのアドレス検出モジュールと、
前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するためのアクセス拒否モジュールと、
を含む。
前記アクセス制御装置は、
前記予め設定したブラックリスト中に前記MACアドレス存在しない場合、MACアドレスと秘密鍵との間の対応関係が含まれている、予め記憶した対応関係中に、前記MACアドレスが存在するか否かを検索するためのアドレス検索モジュールと、
前記予め記憶した対応関係中に前記MACアドレスが存在する場合、前記予め記憶した対応関係中に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定するためのアクセス特定モジュールと、
をさらに含んでもよい。
前記アクセス特定モジュールは、
前記予め記憶した対応関係に基づいて、前記MACアドレスに対応する秘密鍵を取得するための秘密鍵取得ユニットと、
前記DLNAクライアントが送信したアクセス要求中に秘密鍵が付加されているか否かを判断するための秘密鍵判断ユニットと、
秘密鍵が付加されており、且つ付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致する場合、前記DLNAクライアントのアクセスを承認するためのアクセス承認ユニットと、
何れの秘密鍵も付加されていない、或は付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致しない場合、前記DLNAクライアントのアクセスを拒否するためのアクセス拒否ユニットと、
を含んでもよい。
前記アクセス制御装置は、
前記予め記憶した対応関係中に前記MACアドレスが存在しない場合、前記MACアドレスに対応する秘密鍵を生成するための秘密鍵生成モジュールと、
前記MACアドレス、及び前記MACアドレスに対応する秘密鍵を、前記予め記憶した対応関係中に追加するための対応記憶モジュールと、
前記秘密鍵を、前記MACアドレスに対応する前記DLNAクライアントへ送信するための秘密鍵送信モジュールと、
を含んでもよい。
前記アクセス制御装置は、
不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、前記予め設定したブラックリストを取得するためのリスト取得モジュール
をさらに含んでもよい。
本発明の実施例の第3の態様によると、アクセス制御装置を提供し、当該アクセス制御装置は、
プロセッサと、
前記プロセッサが実行可能な命令を記憶するためのメモリと、
を含み、
前記プロセッサは、
DLNA(デジタル・リビング・ネットワーク・アライアンス)クライアントが送信したアクセス要求を受信し、
前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得し、
予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出し、
前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するよう構成される。
本発明の実施例が提供する技術的解決策の有益な効果は以下のとおりである。
DLNAサーバにおいて、DLNAクライアントが送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクの発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントから自由にDLNAサーバへアクセス要求を送信できないようにしたため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
以上の統括な記述と以下の細部記述は、ただ例示的なものであり、本発明を制限するものではないと、理解するべきである。
本発明の実施例における技術案をより一層明確に説明するために、以下、実施例の記述に必要な図面について簡単に説明を行う。明らかなのは、以下の記述における図面はただ本発明のいくつかの実施例に過ぎず、本技術分野の当業者にとって、これらの図面に基づき創造的労働を実施しない状況で他の図面も獲得できることである。
例示的な一実施例に係るアクセス制御方法を示すフローチャートである。 例示的なもう一実施例に係るアクセス制御方法を示すフローチャートである。 例示的な一実施例に係るアクセス制御装置を示す模式図である。 例示的なもう一実施例に係るアクセス制御装置を示す模式図である。 本発明の例示的な一実施例に係るアクセス制御するための装置を示すブロック図である。
上記図面によって本発明の明確な実施例を例示し、以下にさらに詳しく記述する。これらの図面と文字記述は本発明の旨の範囲を何らの形態によって制限するものではなく、特定の実施例を参照することによって、本技術分野の当業者に本発明の概念を理解させるためのものである。
本発明の目的、技術的解決策及びと利点をさらに明確にするために、以下、図面を参照しながら本発明の実施例をさらに詳しく説明する。もちろん、説明する実施例はただ本発明のいくつかの実施例に過ぎず、全部の実施例ではない。本技術分野の当業者が本発明の実施例に基づき創造的労働を実施しない状況で獲得した他の全部の実施例は本発明の範囲に属する。
本発明が提供するアクセス制御方法を説明する前に、まず、本発明に関するDLNAサーバを説明する必要がある。DLNAサーバは、ピクチャ、ミュージック、ビデオなどのメディアコンテンツの共有を実現するためのサーバであり、当該DLNAサーバは、上記の機能を実現するためのコンピュータソフトウェアであってもよいし、上記のコンピュータソフトウェアを実行するためのコンピュータ、又はコンピュータシステムであってもよい。
DLNAサーバがピクチャ、ミュージック、ビデオなどのメディアコンテンツの共有機能を実現するためのコンピュータソフトウェアである場合、DLNAサーバはDLNAデバイスにおいて稼動されてもよい。DLNAデバイスはインテリジェントルータであってもよいし、当該インテリジェントルータは、通常のルータが実現できるルーティング機能のほか、別途のオペレーティングシステムも有し、ユーザにより多様なアプリケーションが独自にインストールされてもよい。オペレーティングシステムは、Open Wrtに基づいてカスタマイズされたオペレーティングシステムであってもよい。DLNAデバイスはハードディスクのような記録媒体も含み、当該記録媒体はピクチャ、ミュージック、ビデオなどのファイルを記憶する。オプションとして、DLNAデバイスは、USBメモリ、携帯ハードディスクのようなリムーバブル記憶デバイスの接続を支援するためのUSBインターフェイスも含む。
図1は、例示的な一実施例に係るアクセス制御方法を示すフローチャートであり、当該アクセス制御方法をDLNAサーバに適用した例を挙げて、本実施例を説明する。当該アクセス制御方法は、以下のいくつかのステップを含む。
ステップ102において、DLNAクライアントが送信したアクセス要求を受信する。
ステップ104において、DLNAクライアントが利用した媒体アクセス制御(MAC:Medium/Media Access Control)アドレスを取得する。
ステップ106において、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出する。
ステップ108において、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否する。
上記のように、本実施例が提供するアクセス制御方法によると、DLNAサーバにおいて、DLNAクライアントが送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在しているか否か検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクが発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントからDLNAサーバへ自由にアクセス要求を送信できないようになるため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
図2は、例示的なもう一実施例に係るアクセス制御方法を示すフローチャートであり、当該アクセス制御方法をDLNAサーバに適用した例を挙げて、本実施例を説明する。当該アクセス制御方法は、以下のいくつかのステップを含む。
ステップ201において、DLNAクライアントが送信したアクセス要求を受信する。
DLNAクライアントとDLNAサーバとは有線ネットワーク又は無線ネットワークを介して接続されてもよい。DLNAクライアントは、DLNAサーバにより共有するファイルをアクセスする必要がある際に、DLNAサーバへアクセス要求を送信し、これに対応して、DLNAサーバはDLNAクライアントが送信したアクセス要求を受信する。
ステップ202において、DLNAクライアントが利用した媒体アクセス制御(MAC:Medium/Media Access Control)アドレスを取得する。
DLNAサーバは、アクセス要求を受信した後、DLNAクライアントが利用したMAC(Medium/Media Access Conrtol)アドレスを取得する。例えば、DLNAサーバは、まず、DLNAクライアントのIP(Internet Protocol)アドレスを取得し、その後ARP(Address Resolution Protocol)によってIPアドレスに対応するMACアドレスを逆引き参照(Reverse Lookup)し、ここで、逆引き参照された当該MACアドレスはDLNAクライアントが利用したMACアドレスである。
DLNAクライアントが利用したIPアドレスは常に変更される可能性があるが、そのMACアドレスは変更されないため、本実施例が提供するアクセス制御方法においては、DLNAクライアントが利用したMACアドレスに基づいてDLNAクライアントのアクセスを承認するか否かを特定する。
ステップ203において、予め設定したブラックリストを取得する。
DLNAサーバは、不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、予め設定したブラックリストを取得する。ユーザ(例えば、ネットワークの管理者)は、当該予め設定したブラックリスト中のMACアドレスに対して、変更、追加、削除などを含む管理を行う。ユーザ(例えば、ネットワークの管理者)は、DLNAサーバに接続されているDLNAクライアントのMACアドレスを照会することができ、ネットワーク管理者は、任意の一つのMACアドレスに対応するDLNAクライアントに対してのアクセス許可を希望しないと、即ち、当該DLNAクライアントによりDLNAサーバが共有したファイルを読み込むことを希望しないと、当該DLNAクライアントのMACアドレスをブラックリスト中に追加する。
実現できる一態様において、DLNAサーバを稼動しているDLNAデバイスには、さらに、Datacenter Serverというサーバ・タイプのアプリケーションであるアプリケーションが稼動されていてもよい。Datacenter Serverは二つのAPI(Application Programming Interface)を含み、この中の一つのAPIは、現在にDLNAサーバに接続されているすべてのDLNAクライアントのMACアドレスを取得して表示するためのものであってもよいし、もう一つのAPIは、いずれか一つのMACアドレスを予め設定したブラックリスト中に追加ためのものであってもよい。ネットワークの管理者は、任意の一つのMACアドレスを予め設定したブラックリスト中に追加する必要がある場合、該当する命令をトリガして、即ち、上記のもう一つのAPIを呼び出して、当該MACアドレスを予め設定したブラックリスト中に追加する処理を実現してもよい。
DLNAデバイスにおいてDatacenter Serverと同時に稼動されているため、DLNAサーバは、Datacenter Serverから予め設定したブラックリストを取得することができる。
また、上記のステップ203は、ステップ201とステップ202の前に実行されてもよいし、ステップ201とステップ202の後で実行されてもよいし、ステップ201及びステップ202と同時に実行されてもよい。本実施例においては、上記のステップ203をステップ201とステップ202の後で実行する例を挙げて説明し、これに対しては具体的に限定しない。
ステップ204において、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出する。
例えば、DLNAサーバにおいて、現在にアクセス要求を送信したDLNAクライアントのMACアドレス、及び予め設定したブラックリストを取得した後、予め設定したブラックリスト中に当該MACアドレスが存在するか否かを検出する。
ステップ205において、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否する。
予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAサーバはDLNAクライアントのアクセスを拒否する。予め設定したブラックリスト中にアクセス要求を送信したDLNAクライアントのMACアドレスが存在する場合、当該MACアドレスが不当なMACアドレス、又はアクセス許可が承認されていないMACアドレスであることを示すため、DLNAサーバはDLNAクライアントのアクセスを拒否して、DLNAクライアントに、共有したファイルを読み込むことができないようにして、ファイルの安全性を充分に保証する。
ステップ206において、予め設定したブラックリスト中にMACアドレスが存在しない場合、予め記憶した対応関係中にMACアドレスが存在するか否かを検索する。
MACアドレスが予め設定したブラックリスト中に存在しない場合、DLNAサーバは予め記憶した対応関係中に、現在にアクセス要求を送信したMACアドレスが存在するか否かを検索する。予め記憶した対応関係中にはMACアドレスと秘密鍵との間の対応関係を含み、予め記憶した対応関係中のMACアドレスは、先立ってアクセスの接続が確立できたDLNAクライアントのMACアドレスである。
DLNAクライアントによりARP詐欺の手段によってアクセス許可を取得することを避けるために、本実施例が提供するアクセス制御方法においては、DLNAサーバ中に、予め記憶した対応関係を設ける。ARP詐欺とは、DLNAクライアントによりMACアドレスを偽造する手段によって、実際のMACアドレスを偽のMACアドレスに偽造してDLNAサーバを詐欺することである。例えば、任意の一つのDLNAクライアントの実際のMACアドレスがAであり、且つAが予め設定したブラックリスト中のメンバーである場合、当該DLNAクライアントが、アクセス許可を認証されるために、偽のMACアドレスBを偽造すれば、Bは予め設定したブラックリスト中のメンバーではない。このような場合に、DLNAサーバにおいて、当該DLNAクライアントが送信したアクセス要求を受信した後、当該偽のMACアドレスBを逆引き参照できることになり、このようになると当該DLNAクライアントにより送信したアクセス要求を効果的に拒否できない。
このため、DLNAサーバは、アクセスの接続が確立できたDLNAクライアントのMACアドレス毎に、対応する秘密鍵を設ける。DLNAクライアントとDLNAサーバに対して最初にアクセスの接続を確立する際に、即ち、DLNAサーバが最初にDLNAクライアントが送信したアクセス要求を承認する際に、DLNAサーバは、当該DLNAクライアントのMACアドレスに対応する一つの秘密鍵を生成するとともに、MACアドレスと秘密鍵の間の対応関係を予め記憶した対応関係中に追加する。
同時に、DLNAサーバは当該秘密鍵をMACアドレスに対応するDLNAクライアントへ送信するとともに、当該DLNAクライアントに以後に送信するアクセス要求中に必ず当該秘密鍵を付加するよう要求し、当該DLNAクライアントは、当該秘密鍵を付加しないと、アクセス許可を取得できなくなる。もし、DLNAクライアントが偽造のMACアドレスを利用してアクセス要求を送信したクライアントであれば、当該DLNAクライアントはDLNAサーバが送信した秘密鍵を受信できなくなり、こうして、DLNAクライアントからARP詐欺の手段によってアクセス許可を取得することを効果的に避けた。この後、DLNAサーバはアクセス要求中に秘密鍵が付加されているか否かを判断することによって、DLNAクライアントのアクセスを承認するか否かを特定できる。
また、実現できようもう一態様において、MACアドレスが予め設定したブラックリスト中に存在しない場合、そのままDLNAクライアントのアクセスを承認するステップを実行してもよい。本実施例はただ比較的に好ましい実施例であり、このようにして、DLNAシステムの安全性をさらに向上させて、DLNAクライアントからARP詐欺の手段によってアクセス許可を認証されることを避ける。
ステップ207において、予め記憶した対応関係中にMACアドレスが存在しない場合、MACアドレスに対応する秘密鍵を生成して、MACアドレス、及びMACアドレスに対応する秘密鍵を予め記憶した対応関係中に追加するとともに、秘密鍵をMACアドレスに対応するDLNAクライアントへ送信する。
予め記憶した対応関係中にMACアドレスが存在しない場合は、DLNAクライアントが最初にアクセス要求を送信するクライアントであることを示す。上記のステップ204において当該DLNAクライアントが利用したMACアドレスが予め設定したブラックリスト中に存在しないことを既に検証したため、この時にDLNAサーバはDLNAクライアントのアクセスを承認して、アクセス接続を設定することができる。
これと同時に、DLNAサーバは、MACアドレスに対応する秘密鍵を生成して、MACアドレス、及びMACアドレスに対応する秘密鍵を予め記憶した対応関係中に追加するとともに、秘密鍵をMACアドレスに対応するDLNAクライアントへ送信する。例えば、DLNAサーバは、DLNAクライアントへ承認応答を送信し、生成した秘密鍵を承認応答の中に付加してもよい。
上記のステップ206で既に説明したように、DLNAクライアントによりARP詐欺の手段によってアクセス許可を取得することを避けるために、DLNAサーバは、アクセスの接続が確立できたDLNAクライアントのMACアドレス毎に、対応する秘密鍵を設定する。DLNAクライアントとDLNAサーバとに対して最初にアクセスの接続を確立する際に、DLNAサーバは、当該DLNAクライアントのMACアドレスに対応する秘密鍵を生成するとともに、MACアドレスと秘密鍵の対応関係を予め記憶した対応関係中に追加する。同時に、DLNAサーバは、当該秘密鍵をMACアドレスに対応するDLNAクライアントへ送信するとともに、当該DLNAクライアントに以後に送信するアクセス要求中に必ず当該秘密鍵を付加するよう要求することにより、DLNAクライアントがARP詐欺の手段によってアクセス許可を取得することを避ける。
ステップ208において、予め記憶した対応関係中にMACアドレスが存在する場合、予め記憶した対応関係中に含まれている、MACアドレスに対応する秘密鍵に基づいて、DLNAクライアントのアクセスを承認するか否かを特定する。
予め記憶した対応関係中にMACアドレスが存在する場合は、DLNAクライアントは、先立ってDLNAサーバとのアクセスの接続が既に確立できたことを示す。上記のステップ206の説明によって、当該MACアドレスは予め記憶した対応関係中に記憶されているはずであり、且つ当該MACアドレスは対応する秘密鍵を有している。このように、DLNAサーバは、予め記憶した対応関係中に含まれている、MACアドレスに対応する秘密鍵に基づいて、DLNAクライアントのアクセスを承認するか否かを特定する。
実現できる一態様において、該当ステップ208は以下の幾つかのサブステップを含んでもよい。
第1に、予め記憶した対応関係に基づいて、MACアドレスに対応する秘密鍵を取得する。
予め記憶した対応関係中に先立ってアクセスの接続が確立できたDLNAクライアントのMACアドレスと秘密鍵の対応関係が存在するため、予め記憶した対応関係中に現在にアクセス要求を送信したDLNAクライアントのMACアドレスが存在する場合、DLNAサーバは予め記憶した対応関係中からMACアドレスに対応する秘密鍵を取得する。
第2に、DLNAクライアントが送信したアクセス要求中に秘密鍵が付加されているか否かを判断する。
DLNAサーバは、先立ってアクセスの接続が確立できたDLNAクライアントに、以後に送信するアクセス要求中に必ず秘密鍵を付加するよう要求する。この時、DLNAサーバにおいて、当該DLNAクライアントはこの前に自身と既にアクセスの接続が確立できたことを既に特定されたため、DLNAクライアントが現在に送信したアクセス要求中に秘密鍵が付加されているか否かを判断する。
第3に、秘密鍵が付加されており、且つ付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致する場合、DLNAクライアントのアクセスを承認する。
秘密鍵が付加されており、且つ付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致する場合、当該秘密鍵は、DLNAクライアントにより最初にアクセスの接続を確立する時にARP詐欺の手段によって設定したのではないし、DLNAクライアントはその際にDLNAサーバからフィードバックされた秘密鍵を受信できたことを示す。この時、DLNAサーバはDLNAクライアントのアクセスを承認し、アクセスの接続を確立する。
第4に、何れの秘密鍵も付加されていない、或は付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致しない場合、DLNAクライアントのアクセスを拒否する。
何れの秘密鍵も付加されていない、或は付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致しない場合は、DLNAクライアントが最初にアクセスの接続を確立する時ARP詐欺の手段によって確立したことを意味し、DLNAクライアントはその際にDLNAサーバからフィードバックされた秘密鍵を受信できなかったことを示す。この時、DLNAサーバはDLNAクライアントのアクセスを拒否する。
上記のように、本実施例が提供するアクセス制御方法によると、DLNAサーバにおいて、DLNAクライアントから送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在しているか否か検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクが発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントからDLNAサーバへ自由にアクセス要求を送信できないようになるため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
また、本実施例においては、アクセスの接続が確立できたDLNAクライアントのMACアドレス毎に、対応する秘密鍵を設け、MACアドレスと秘密鍵の対応関係を予め記憶した対応関係中に追加し、当該秘密鍵をMACアドレスに対応するDLNAクライアントへ送信するとともに、当該DLNAクライアントに以後に送信するアクセス要求中に必ず当該秘密鍵を付加するよう要求することにより、DLNAクライアントによりARP詐欺の手段によってアクセス許可を取得することを避けて、DLNAシステムの安全性をさらに向上させた。
以下は、本発明の装置の実施例であり、本発明の方法の実施例を実行することができる。本発明の装置の実施例において記述していない細部内容に対しては、本発明の方法の実施例を参照してください。
図3は、例示的な一実施例に係るアクセス制御装置を示す模式図であり、当該アクセス制御装置は、ソフトウェア、ハードウェア、又は両者の組み合わせにより、DLNAサーバの一部、又は全部を実現することができる。当該アクセス制御装置は、要求受信モジュール310と、アドレス取得モジュール320と、アドレス検出モジュール330と、及びアクセス拒否モジュール340とを含んでもよい。
要求受信モジュール310は、DLNAクライアントが送信したアクセス要求を受信する。
アドレス取得モジュール320は、DLNAクライアントが利用した媒体アクセス制御(MAC:Medium/Media Access Control)アドレスを取得する。
アドレス検出モジュール330は、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出する。
アクセス拒否モジュール340は、MACアドレスが前記予め設定したブラックリスト中に存在する場合、前記DLNAクライアントのアクセスを拒否する。
上記のように、本実施例が提供するアクセス制御装置によると、DLNAサーバにおいて、DLNAクライアントから送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在しているか否か検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクが発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントからDLNAサーバへ自由にアクセス要求を送信できないようになるため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
図4は、例示的なもう一実施例に係るアクセス制御装置を示す模式図であり、当該アクセス制御装置は、ソフトウェア、ハードウェア、又は両者の組み合わせにより、DLNAサーバの一部、又は全部を実現することができる。当該アクセス制御装置は、要求受信モジュール310と、アドレス取得モジュール320と、アドレス検出モジュール330と、及びアクセス拒否モジュール340とを含んでもよい。
要求受信モジュール310は、DLNAクライアントが送信したアクセス要求を受信する。
アドレス取得モジュール320は、DLNAクライアントが利用した媒体アクセス制御(MAC:Medium/Media Access Control)アドレスを取得する。
当該アクセス制御装置は、リスト取得モジュール322をさらに含み、リスト取得モジュール322は、不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、予め設定したブラックリストを取得する。
アドレス検出モジュール330は、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出する。
アクセス拒否モジュール340は、MACアドレスが予め設定したブラックリスト中に存在する場合、前記DLNAクライアントのアクセスを拒否する。
当該アクセス制御装置は、アドレス検索モジュール350をさらに含み、アドレス検索モジュール350は、MACアドレスが予め設定したブラックリスト中に存在しない場合、MACアドレスと秘密鍵との間の対応関係が含まれている、予め記憶した対応関係中に、MACアドレスが存在するか否かを検索する。
当該アクセス制御装置は、秘密鍵生成モジュール362と、対応記憶モジュール364と、秘密鍵送信モジュール366と、及びアクセス特定モジュール370とをさらに含む。
秘密鍵生成モジュール362は、予め記憶した対応関係中にMACアドレスが存在しない場合、MACアドレスに対応する秘密鍵を生成する。
対応記憶モジュール364は、MACアドレス、及びMACアドレスに対応する秘密鍵を、前記予め記憶した対応関係中に追加する。
秘密鍵送信モジュール366は、秘密鍵を、MACアドレスに対応するDLNAクライアントへ送信する。
アクセス特定モジュール370は、予め記憶した対応関係中にMACアドレスが存在する場合、予め記憶した対応関係中に含まれている、MACアドレスに対応する秘密鍵に基づいて、DLNAクライアントのアクセスを承認するか否かを特定する。
アクセス特定モジュール370は、秘密鍵取得ユニット370aと、秘密鍵判断ユニット370bと、アクセス承認ユニット370cと、及びアクセス拒否ユニット370dとをさらに含む。
秘密鍵取得ユニット370aは、予め記憶した対応関係に基づいて、MACアドレスに対応する秘密鍵を取得する。
秘密鍵判断ユニット370bは、DLNAクライアントが送信したアクセス要求中に、秘密鍵が付加されているか否かを判断する。
アクセス承認ユニット370cは、秘密鍵が付加されており、且つ付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致する場合、DLNAクライアントのアクセスを承認する。
アクセス拒否ユニット370dは、何れの秘密鍵も付加されていない、或は付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致しない場合、DLNAクライアントのアクセスを拒否する。
上記のように、本実施例が提供するアクセス制御装置によると、DLNAサーバにおいて、DLNAクライアントから送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在しているか否か検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクが発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントからDLNAサーバへ自由にアクセス要求を送信できないようになるため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
また、本実施例においては、アクセスの接続が確立できたDLNAクライアントのMACアドレス毎に、対応する秘密鍵を設け、MACアドレスと秘密鍵の対応関係を予め記憶した対応関係中に追加し、当該秘密鍵をMACアドレスに対応するDLNAクライアントへ送信するとともに、当該DLNAクライアントに以後に送信するアクセス要求中に必ず当該秘密鍵を付加するよう要求することにより、DLNAクライアントによりARP詐欺の手段によってアクセス許可を取得することを避けて、DLNAシステムの安全性をさらに向上させた。
上記の実施例中の装置について、各モジュールにより操作を実行する具体的な方法に対しては既に関連する方法の実施例において詳しく説明したため、ここでは詳しい説明は省略する。
図5は、本発明の例示的な一実施例に係るアクセス制御するための装置500を示すブロック図である。例えば、装置500は本発明の上記の実施例において言及されたDLNAサーバであってもよい。装置500は、構成とその性能によってより大きい差異が発生する可能性あり、一つ以上のCPU(central processing units)522(例えば、一つ以上のプロセッサ)とメモリ532を含んでもよいし、アプリケーションプログラム542やデータ544を記憶するための一つ以上の記録媒体530(例えば、一つ以上の大容量の記憶デバイス)を含んでもよい。ただし、メモリ532と記録媒体530は一時的な記憶装置または永続的な記憶装置であてもよい。記録媒体530に記憶されているプログラムは一つ以上のモジュール(図示せず)を含んでもよいし、各モジュールは装置500中の一連の命令に対する操作を含んでもよい。さらに、CPU522は記録媒体530と通信できるように設置されて、装置500において記録媒体530中の一連の命令の操作を実行してもよい。
装置500は、一つ以上の電源526と、有線或は無線の一つ以上のネットワークインターフェイス550と、一つ以上の入出力インターフェイス558と、一つ以上のキーボード556と、及び/或は、一つ以上のオペレーティングシステム541とを含んでもよいし、ここで、オペレーティングシステムは例えばWindows Server(登録商標)、Mac OS X(登録商標)、Unix(登録商標), Linux(登録商標)、FreeBSD(登録商標)などである。
記録媒体530中の命令が装置500のCPU522により実行される際に、装置500に上記の図1、又は図2に示したアクセス制御方法を実行されるようにする。
当業者は、明細書を検討して本発明を実践した後、本発明の他の実施案を容易に考え出すことができる。本願は、本発明のいずれの変形、用途、又は適応的な変更をカバーすることを狙っているし、これらの変形、用途、又は適応的な変更は、本発明の一般的な原理に従い、また、本発明は公開していない当業界の公知の知識又は通常の技術手段を含む。明細書と実施例はただ例示として考慮され、本発明の本当の範囲と精神は以下の特許請求の範囲に記載される。
本発明は上記に記述され、また図面で示した正確な構成に限定されず、その範囲を逸脱しない限り多様な置換えと変更を行うことができると、理解するべきである。本発明の範囲は添付の特許請求の範囲のみにより限定される。
本発明は、通信分野に関し、特にアクセス制御方法、装置、プログラム、及び記録媒体に関する。
DLNA(Digital Living Network Alliance、デジタル・リビング・ネットワーク・アライアンス)(登録商標)は、ソニー社 、インテル社、及びマイクロソフト社が主導した非営利組織であり、各コンシューマ・エレクトロニクス・デバイスの間でデジタル・メディア・コンテンツを共有する問題を解決することを目的にしている。
DLNAに基づくネットワーク・アーキテクチャにおいて、DLNAクライアントとDLNAサーバを含み、DLNAクライアントとDLNAサーバとは有線ネットワーク、または無線ネットワークを介して接続される。DLNAサーバは、メディアコンテンツを提供するためのものであり、ピクチャ、ミュージック、ビデオなどのメディアコンテンツの共有を支援するための、マルチメディアファイルの共有プラットフォームを含む。DLNAクライアントは、DLNAサーバにおいて共有するメディアコンテンツをアクセスして再生させる。
発明者は、上記の発明を実現する過程で、上記の方法に少なくとも以下の欠点が存在することを発見した。即ち、関連する技術では、DLNAクライアントのアクセスに対して何の管理及び制御を行わず、DLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信することができるため、悪意のあるアクセス及びセキュリティリスクが発生することになる。
関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信することができるため、悪意のあるアクセス及びセキュリティリスクの発生する問題を解決するために、本発明の実施例はアクセス制御方法及び装置を提供した。前記の技術的解決策は以下のとおりである。
本発明の実施例の第1の態様によると、DLNA(デジタル・リビング・ネットワーク・アライアンス)サーバにおいて利用するアクセス制御方法を提供し、前記アクセス制御方法は、
DLNAクライアントが送信したアクセス要求を受信するステップと、
前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得するステップと、
予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出するステップと、
前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するステップと、
を含む。
前記アクセス制御方法は、
前記予め設定したブラックリスト中に前記MACアドレスが存在しない場合、MACアドレスと秘密鍵との間の対応関係が含まれている、予め記憶した対応関係中に、前記MACアドレスが存在するか否かを検索するステップと、
前記予め記憶した対応関係中に前記MACアドレスが存在する場合、前記予め記憶した対応関係中に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定するステップと、
をさらに含んでもよい。
前記予め記憶した対応関係に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定する前記ステップは、
前記予め記憶した対応関係に基づいて、前記MACアドレスに対応する秘密鍵を取得するステップと、
前記DLNAクライアントが送信したアクセス要求中に秘密鍵が付加されているか否かを判断するステップと、
秘密鍵が付加されており、且つ付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致する場合、前記DLNAクライアントのアクセスを承認するステップと、
何れの秘密鍵も付加されていない、或は付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致しない場合、前記DLNAクライアントのアクセスを拒否するステップと、
を含んでもよい。
前記アクセス制御方法は、
前記予め記憶した対応関係中に前記MACアドレスが存在しない場合、前記MACアドレスに対応する秘密鍵を生成するステップと、
前記MACアドレス、及び前記MACアドレスに対応する秘密鍵を、前記予め記憶した対応関係中に追加するステップと、
前記秘密鍵を、前記MACアドレスに対応する前記DLNAクライアントへ送信するステップと、
をさらに含んでもよい。
前記アクセス制御方法は、
不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、前記予め設定したブラックリストを取得するステップ
をさらに含んでもよい。
本発明の実施例の第2の態様によると、DLNA(デジタル・リビング・ネットワーク・アライアンス)サーバにおいて利用するアクセス制御装置を提供し、前記アクセス制御装置は、
DLNAクライアントが送信したアクセス要求を受信するための要求受信モジュールと、
前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得するためのアドレス取得モジュールと、
予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出するためのアドレス検出モジュールと、
前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するためのアクセス拒否モジュールと、
を含む。
前記アクセス制御装置は、
前記予め設定したブラックリスト中に前記MACアドレス存在しない場合、MACアドレスと秘密鍵との間の対応関係が含まれている、予め記憶した対応関係中に、前記MACアドレスが存在するか否かを検索するためのアドレス検索モジュールと、
前記予め記憶した対応関係中に前記MACアドレスが存在する場合、前記予め記憶した対応関係中に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定するためのアクセス特定モジュールと、
をさらに含んでもよい。
前記アクセス特定モジュールは、
前記予め記憶した対応関係に基づいて、前記MACアドレスに対応する秘密鍵を取得するための秘密鍵取得ユニットと、
前記DLNAクライアントが送信したアクセス要求中に秘密鍵が付加されているか否かを判断するための秘密鍵判断ユニットと、
秘密鍵が付加されており、且つ付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致する場合、前記DLNAクライアントのアクセスを承認するためのアクセス承認ユニットと、
何れの秘密鍵も付加されていない、或は付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致しない場合、前記DLNAクライアントのアクセスを拒否するためのアクセス拒否ユニットと、
を含んでもよい。
前記アクセス制御装置は、
前記予め記憶した対応関係中に前記MACアドレスが存在しない場合、前記MACアドレスに対応する秘密鍵を生成するための秘密鍵生成モジュールと、
前記MACアドレス、及び前記MACアドレスに対応する秘密鍵を、前記予め記憶した対応関係中に追加するための対応記憶モジュールと、
前記秘密鍵を、前記MACアドレスに対応する前記DLNAクライアントへ送信するための秘密鍵送信モジュールと、
を含んでもよい。
前記アクセス制御装置は、
不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、前記予め設定したブラックリストを取得するためのリスト取得モジュール
をさらに含んでもよい。
本発明の実施例の第3の態様によると、アクセス制御装置を提供し、当該アクセス制御装置は、
プロセッサと、
前記プロセッサが実行可能な命令を記憶するためのメモリと、
を含み、
前記プロセッサは、
DLNA(デジタル・リビング・ネットワーク・アライアンス)クライアントが送信したアクセス要求を受信し、
前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得し、
予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出し、
前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するよう構成される。
本発明の実施例の第4の態様によると、プロセッサに実行されることにより、上記アクセス制御方法を実現するプログラムを提供する。
本発明の実施例の第5の態様によると、上記プログラムが記録された記録媒体を提供する。
本発明の実施例が提供する技術的解決策の有益な効果は以下のとおりである。
DLNAサーバにおいて、DLNAクライアントが送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクの発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントから自由にDLNAサーバへアクセス要求を送信できないようにしたため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
以上の統括な記述と以下の細部記述は、ただ例示的なものであり、本発明を制限するものではないと、理解するべきである。
本発明の実施例における技術案をより一層明確に説明するために、以下、実施例の記述に必要な図面について簡単に説明を行う。明らかなのは、以下の記述における図面はただ本発明のいくつかの実施例に過ぎず、本技術分野の当業者にとって、これらの図面に基づき創造的労働を実施しない状況で他の図面も獲得できることである。
例示的な一実施例に係るアクセス制御方法を示すフローチャートである。 例示的なもう一実施例に係るアクセス制御方法を示すフローチャートである。 例示的な一実施例に係るアクセス制御装置を示す模式図である。 例示的なもう一実施例に係るアクセス制御装置を示す模式図である。 本発明の例示的な一実施例に係るアクセス制御するための装置を示すブロック図である。
上記図面によって本発明の明確な実施例を例示し、以下にさらに詳しく記述する。これらの図面と文字記述は本発明の旨の範囲を何らの形態によって制限するものではなく、特定の実施例を参照することによって、本技術分野の当業者に本発明の概念を理解させるためのものである。
本発明の目的、技術的解決策及びと利点をさらに明確にするために、以下、図面を参照しながら本発明の実施例をさらに詳しく説明する。もちろん、説明する実施例はただ本発明のいくつかの実施例に過ぎず、全部の実施例ではない。本技術分野の当業者が本発明の実施例に基づき創造的労働を実施しない状況で獲得した他の全部の実施例は本発明の範囲に属する。
本発明が提供するアクセス制御方法を説明する前に、まず、本発明に関するDLNAサーバを説明する必要がある。DLNAサーバは、ピクチャ、ミュージック、ビデオなどのメディアコンテンツの共有を実現するためのサーバであり、当該DLNAサーバは、上記の機能を実現するためのコンピュータソフトウェアであってもよいし、上記のコンピュータソフトウェアを実行するためのコンピュータ、又はコンピュータシステムであってもよい。
DLNAサーバがピクチャ、ミュージック、ビデオなどのメディアコンテンツの共有機能を実現するためのコンピュータソフトウェアである場合、DLNAサーバはDLNAデバイスにおいて稼動されてもよい。DLNAデバイスはインテリジェントルータであってもよいし、当該インテリジェントルータは、通常のルータが実現できるルーティング機能のほか、別途のオペレーティングシステムも有し、ユーザにより多様なアプリケーションが独自にインストールされてもよい。オペレーティングシステムは、Open Wrtに基づいてカスタマイズされたオペレーティングシステムであってもよい。DLNAデバイスはハードディスクのような記録媒体も含み、当該記録媒体はピクチャ、ミュージック、ビデオなどのファイルを記憶する。オプションとして、DLNAデバイスは、USBメモリ、携帯ハードディスクのようなリムーバブル記憶デバイスの接続を支援するためのUSBインターフェイスも含む。
図1は、例示的な一実施例に係るアクセス制御方法を示すフローチャートであり、当該アクセス制御方法をDLNAサーバに適用した例を挙げて、本実施例を説明する。当該アクセス制御方法は、以下のいくつかのステップを含む。
ステップ102において、DLNAクライアントが送信したアクセス要求を受信する。
ステップ104において、DLNAクライアントが利用した媒体アクセス制御(MAC:Medium/Media Access Control)アドレスを取得する。
ステップ106において、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出する。
ステップ108において、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否する。
上記のように、本実施例が提供するアクセス制御方法によると、DLNAサーバにおいて、DLNAクライアントが送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在しているか否か検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクが発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントからDLNAサーバへ自由にアクセス要求を送信できないようになるため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
図2は、例示的なもう一実施例に係るアクセス制御方法を示すフローチャートであり、当該アクセス制御方法をDLNAサーバに適用した例を挙げて、本実施例を説明する。当該アクセス制御方法は、以下のいくつかのステップを含む。
ステップ201において、DLNAクライアントが送信したアクセス要求を受信する。
DLNAクライアントとDLNAサーバとは有線ネットワーク又は無線ネットワークを介して接続されてもよい。DLNAクライアントは、DLNAサーバにより共有するファイルをアクセスする必要がある際に、DLNAサーバへアクセス要求を送信し、これに対応して、DLNAサーバはDLNAクライアントが送信したアクセス要求を受信する。
ステップ202において、DLNAクライアントが利用した媒体アクセス制御(MAC:Medium/Media Access Control)アドレスを取得する。
DLNAサーバは、アクセス要求を受信した後、DLNAクライアントが利用したMAC(Medium/Media Access Conrtol)アドレスを取得する。例えば、DLNAサーバは、まず、DLNAクライアントのIP(Internet Protocol)アドレスを取得し、その後ARP(Address Resolution Protocol)によってIPアドレスに対応するMACアドレスを逆引き参照(Reverse Lookup)し、ここで、逆引き参照された当該MACアドレスはDLNAクライアントが利用したMACアドレスである。
DLNAクライアントが利用したIPアドレスは常に変更される可能性があるが、そのMACアドレスは変更されないため、本実施例が提供するアクセス制御方法においては、DLNAクライアントが利用したMACアドレスに基づいてDLNAクライアントのアクセスを承認するか否かを特定する。
ステップ203において、予め設定したブラックリストを取得する。
DLNAサーバは、不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、予め設定したブラックリストを取得する。ユーザ(例えば、ネットワークの管理者)は、当該予め設定したブラックリスト中のMACアドレスに対して、変更、追加、削除などを含む管理を行う。ユーザ(例えば、ネットワークの管理者)は、DLNAサーバに接続されているDLNAクライアントのMACアドレスを照会することができ、ネットワーク管理者は、任意の一つのMACアドレスに対応するDLNAクライアントに対してのアクセス許可を希望しないと、即ち、当該DLNAクライアントによりDLNAサーバが共有したファイルを読み込むことを希望しないと、当該DLNAクライアントのMACアドレスをブラックリスト中に追加する。
実現できる一態様において、DLNAサーバを稼動しているDLNAデバイスには、さらに、Datacenter Serverというサーバ・タイプのアプリケーションであるアプリケーションが稼動されていてもよい。Datacenter Serverは二つのAPI(Application Programming Interface)を含み、この中の一つのAPIは、現在にDLNAサーバに接続されているすべてのDLNAクライアントのMACアドレスを取得して表示するためのものであってもよいし、もう一つのAPIは、いずれか一つのMACアドレスを予め設定したブラックリスト中に追加ためのものであってもよい。ネットワークの管理者は、任意の一つのMACアドレスを予め設定したブラックリスト中に追加する必要がある場合、該当する命令をトリガして、即ち、上記のもう一つのAPIを呼び出して、当該MACアドレスを予め設定したブラックリスト中に追加する処理を実現してもよい。
DLNAデバイスにおいてDatacenter Serverと同時に稼動されているため、DLNAサーバは、Datacenter Serverから予め設定したブラックリストを取得することができる。
また、上記のステップ203は、ステップ201とステップ202の前に実行されてもよいし、ステップ201とステップ202の後で実行されてもよいし、ステップ201及びステップ202と同時に実行されてもよい。本実施例においては、上記のステップ203をステップ201とステップ202の後で実行する例を挙げて説明し、これに対しては具体的に限定しない。
ステップ204において、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出する。
例えば、DLNAサーバにおいて、現在にアクセス要求を送信したDLNAクライアントのMACアドレス、及び予め設定したブラックリストを取得した後、予め設定したブラックリスト中に当該MACアドレスが存在するか否かを検出する。
ステップ205において、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否する。
予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAサーバはDLNAクライアントのアクセスを拒否する。予め設定したブラックリスト中にアクセス要求を送信したDLNAクライアントのMACアドレスが存在する場合、当該MACアドレスが不当なMACアドレス、又はアクセス許可が承認されていないMACアドレスであることを示すため、DLNAサーバはDLNAクライアントのアクセスを拒否して、DLNAクライアントに、共有したファイルを読み込むことができないようにして、ファイルの安全性を充分に保証する。
ステップ206において、予め設定したブラックリスト中にMACアドレスが存在しない場合、予め記憶した対応関係中にMACアドレスが存在するか否かを検索する。
MACアドレスが予め設定したブラックリスト中に存在しない場合、DLNAサーバは予め記憶した対応関係中に、現在にアクセス要求を送信したMACアドレスが存在するか否かを検索する。予め記憶した対応関係中にはMACアドレスと秘密鍵との間の対応関係を含み、予め記憶した対応関係中のMACアドレスは、先立ってアクセスの接続が確立できたDLNAクライアントのMACアドレスである。
DLNAクライアントによりARP詐欺の手段によってアクセス許可を取得することを避けるために、本実施例が提供するアクセス制御方法においては、DLNAサーバ中に、予め記憶した対応関係を設ける。ARP詐欺とは、DLNAクライアントによりMACアドレスを偽造する手段によって、実際のMACアドレスを偽のMACアドレスに偽造してDLNAサーバを詐欺することである。例えば、任意の一つのDLNAクライアントの実際のMACアドレスがAであり、且つAが予め設定したブラックリスト中のメンバーである場合、当該DLNAクライアントが、アクセス許可を認証されるために、偽のMACアドレスBを偽造すれば、Bは予め設定したブラックリスト中のメンバーではない。このような場合に、DLNAサーバにおいて、当該DLNAクライアントが送信したアクセス要求を受信した後、当該偽のMACアドレスBを逆引き参照できることになり、このようになると当該DLNAクライアントにより送信したアクセス要求を効果的に拒否できない。
このため、DLNAサーバは、アクセスの接続が確立できたDLNAクライアントのMACアドレス毎に、対応する秘密鍵を設ける。DLNAクライアントとDLNAサーバに対して最初にアクセスの接続を確立する際に、即ち、DLNAサーバが最初にDLNAクライアントが送信したアクセス要求を承認する際に、DLNAサーバは、当該DLNAクライアントのMACアドレスに対応する一つの秘密鍵を生成するとともに、MACアドレスと秘密鍵の間の対応関係を予め記憶した対応関係中に追加する。
同時に、DLNAサーバは当該秘密鍵をMACアドレスに対応するDLNAクライアントへ送信するとともに、当該DLNAクライアントに以後に送信するアクセス要求中に必ず当該秘密鍵を付加するよう要求し、当該DLNAクライアントは、当該秘密鍵を付加しないと、アクセス許可を取得できなくなる。もし、DLNAクライアントが偽造のMACアドレスを利用してアクセス要求を送信したクライアントであれば、当該DLNAクライアントはDLNAサーバが送信した秘密鍵を受信できなくなり、こうして、DLNAクライアントからARP詐欺の手段によってアクセス許可を取得することを効果的に避けた。この後、DLNAサーバはアクセス要求中に秘密鍵が付加されているか否かを判断することによって、DLNAクライアントのアクセスを承認するか否かを特定できる。
また、実現できようもう一態様において、MACアドレスが予め設定したブラックリスト中に存在しない場合、そのままDLNAクライアントのアクセスを承認するステップを実行してもよい。本実施例はただ比較的に好ましい実施例であり、このようにして、DLNAシステムの安全性をさらに向上させて、DLNAクライアントからARP詐欺の手段によってアクセス許可を認証されることを避ける。
ステップ207において、予め記憶した対応関係中にMACアドレスが存在しない場合、MACアドレスに対応する秘密鍵を生成して、MACアドレス、及びMACアドレスに対応する秘密鍵を予め記憶した対応関係中に追加するとともに、秘密鍵をMACアドレスに対応するDLNAクライアントへ送信する。
予め記憶した対応関係中にMACアドレスが存在しない場合は、DLNAクライアントが最初にアクセス要求を送信するクライアントであることを示す。上記のステップ204において当該DLNAクライアントが利用したMACアドレスが予め設定したブラックリスト中に存在しないことを既に検証したため、この時にDLNAサーバはDLNAクライアントのアクセスを承認して、アクセス接続を設定することができる。
これと同時に、DLNAサーバは、MACアドレスに対応する秘密鍵を生成して、MACアドレス、及びMACアドレスに対応する秘密鍵を予め記憶した対応関係中に追加するとともに、秘密鍵をMACアドレスに対応するDLNAクライアントへ送信する。例えば、DLNAサーバは、DLNAクライアントへ承認応答を送信し、生成した秘密鍵を承認応答の中に付加してもよい。
上記のステップ206で既に説明したように、DLNAクライアントによりARP詐欺の手段によってアクセス許可を取得することを避けるために、DLNAサーバは、アクセスの接続が確立できたDLNAクライアントのMACアドレス毎に、対応する秘密鍵を設定する。DLNAクライアントとDLNAサーバとに対して最初にアクセスの接続を確立する際に、DLNAサーバは、当該DLNAクライアントのMACアドレスに対応する秘密鍵を生成するとともに、MACアドレスと秘密鍵の対応関係を予め記憶した対応関係中に追加する。同時に、DLNAサーバは、当該秘密鍵をMACアドレスに対応するDLNAクライアントへ送信するとともに、当該DLNAクライアントに以後に送信するアクセス要求中に必ず当該秘密鍵を付加するよう要求することにより、DLNAクライアントがARP詐欺の手段によってアクセス許可を取得することを避ける。
ステップ208において、予め記憶した対応関係中にMACアドレスが存在する場合、予め記憶した対応関係中に含まれている、MACアドレスに対応する秘密鍵に基づいて、DLNAクライアントのアクセスを承認するか否かを特定する。
予め記憶した対応関係中にMACアドレスが存在する場合は、DLNAクライアントは、先立ってDLNAサーバとのアクセスの接続が既に確立できたことを示す。上記のステップ206の説明によって、当該MACアドレスは予め記憶した対応関係中に記憶されているはずであり、且つ当該MACアドレスは対応する秘密鍵を有している。このように、DLNAサーバは、予め記憶した対応関係中に含まれている、MACアドレスに対応する秘密鍵に基づいて、DLNAクライアントのアクセスを承認するか否かを特定する。
実現できる一態様において、該当ステップ208は以下の幾つかのサブステップを含んでもよい。
第1に、予め記憶した対応関係に基づいて、MACアドレスに対応する秘密鍵を取得する。
予め記憶した対応関係中に先立ってアクセスの接続が確立できたDLNAクライアントのMACアドレスと秘密鍵の対応関係が存在するため、予め記憶した対応関係中に現在にアクセス要求を送信したDLNAクライアントのMACアドレスが存在する場合、DLNAサーバは予め記憶した対応関係中からMACアドレスに対応する秘密鍵を取得する。
第2に、DLNAクライアントが送信したアクセス要求中に秘密鍵が付加されているか否かを判断する。
DLNAサーバは、先立ってアクセスの接続が確立できたDLNAクライアントに、以後に送信するアクセス要求中に必ず秘密鍵を付加するよう要求する。この時、DLNAサーバにおいて、当該DLNAクライアントはこの前に自身と既にアクセスの接続が確立できたことを既に特定されたため、DLNAクライアントが現在に送信したアクセス要求中に秘密鍵が付加されているか否かを判断する。
第3に、秘密鍵が付加されており、且つ付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致する場合、DLNAクライアントのアクセスを承認する。
秘密鍵が付加されており、且つ付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致する場合、当該秘密鍵は、DLNAクライアントにより最初にアクセスの接続を確立する時にARP詐欺の手段によって設定したのではないし、DLNAクライアントはその際にDLNAサーバからフィードバックされた秘密鍵を受信できたことを示す。この時、DLNAサーバはDLNAクライアントのアクセスを承認し、アクセスの接続を確立する。
第4に、何れの秘密鍵も付加されていない、或は付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致しない場合、DLNAクライアントのアクセスを拒否する。
何れの秘密鍵も付加されていない、或は付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致しない場合は、DLNAクライアントが最初にアクセスの接続を確立する時ARP詐欺の手段によって確立したことを意味し、DLNAクライアントはその際にDLNAサーバからフィードバックされた秘密鍵を受信できなかったことを示す。この時、DLNAサーバはDLNAクライアントのアクセスを拒否する。
上記のように、本実施例が提供するアクセス制御方法によると、DLNAサーバにおいて、DLNAクライアントから送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在しているか否か検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクが発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントからDLNAサーバへ自由にアクセス要求を送信できないようになるため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
また、本実施例においては、アクセスの接続が確立できたDLNAクライアントのMACアドレス毎に、対応する秘密鍵を設け、MACアドレスと秘密鍵の対応関係を予め記憶した対応関係中に追加し、当該秘密鍵をMACアドレスに対応するDLNAクライアントへ送信するとともに、当該DLNAクライアントに以後に送信するアクセス要求中に必ず当該秘密鍵を付加するよう要求することにより、DLNAクライアントによりARP詐欺の手段によってアクセス許可を取得することを避けて、DLNAシステムの安全性をさらに向上させた。
以下は、本発明の装置の実施例であり、本発明の方法の実施例を実行することができる。本発明の装置の実施例において記述していない細部内容に対しては、本発明の方法の実施例を参照してください。
図3は、例示的な一実施例に係るアクセス制御装置を示す模式図であり、当該アクセス制御装置は、ソフトウェア、ハードウェア、又は両者の組み合わせにより、DLNAサーバの一部、又は全部を実現することができる。当該アクセス制御装置は、要求受信モジュール310と、アドレス取得モジュール320と、アドレス検出モジュール330と、及びアクセス拒否モジュール340とを含んでもよい。
要求受信モジュール310は、DLNAクライアントが送信したアクセス要求を受信する。
アドレス取得モジュール320は、DLNAクライアントが利用した媒体アクセス制御(MAC:Medium/Media Access Control)アドレスを取得する。
アドレス検出モジュール330は、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出する。
アクセス拒否モジュール340は、MACアドレスが前記予め設定したブラックリスト中に存在する場合、前記DLNAクライアントのアクセスを拒否する。
上記のように、本実施例が提供するアクセス制御装置によると、DLNAサーバにおいて、DLNAクライアントから送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在しているか否か検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクが発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントからDLNAサーバへ自由にアクセス要求を送信できないようになるため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
図4は、例示的なもう一実施例に係るアクセス制御装置を示す模式図であり、当該アクセス制御装置は、ソフトウェア、ハードウェア、又は両者の組み合わせにより、DLNAサーバの一部、又は全部を実現することができる。当該アクセス制御装置は、要求受信モジュール310と、アドレス取得モジュール320と、アドレス検出モジュール330と、及びアクセス拒否モジュール340とを含んでもよい。
要求受信モジュール310は、DLNAクライアントが送信したアクセス要求を受信する。
アドレス取得モジュール320は、DLNAクライアントが利用した媒体アクセス制御(MAC:Medium/Media Access Control)アドレスを取得する。
当該アクセス制御装置は、リスト取得モジュール322をさらに含み、リスト取得モジュール322は、不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、予め設定したブラックリストを取得する。
アドレス検出モジュール330は、予め設定したブラックリスト中にMACアドレスが存在するか否かを検出する。
アクセス拒否モジュール340は、MACアドレスが予め設定したブラックリスト中に存在する場合、前記DLNAクライアントのアクセスを拒否する。
当該アクセス制御装置は、アドレス検索モジュール350をさらに含み、アドレス検索モジュール350は、MACアドレスが予め設定したブラックリスト中に存在しない場合、MACアドレスと秘密鍵との間の対応関係が含まれている、予め記憶した対応関係中に、MACアドレスが存在するか否かを検索する。
当該アクセス制御装置は、秘密鍵生成モジュール362と、対応記憶モジュール364と、秘密鍵送信モジュール366と、及びアクセス特定モジュール370とをさらに含む。
秘密鍵生成モジュール362は、予め記憶した対応関係中にMACアドレスが存在しない場合、MACアドレスに対応する秘密鍵を生成する。
対応記憶モジュール364は、MACアドレス、及びMACアドレスに対応する秘密鍵を、前記予め記憶した対応関係中に追加する。
秘密鍵送信モジュール366は、秘密鍵を、MACアドレスに対応するDLNAクライアントへ送信する。
アクセス特定モジュール370は、予め記憶した対応関係中にMACアドレスが存在する場合、予め記憶した対応関係中に含まれている、MACアドレスに対応する秘密鍵に基づいて、DLNAクライアントのアクセスを承認するか否かを特定する。
アクセス特定モジュール370は、秘密鍵取得ユニット370aと、秘密鍵判断ユニット370bと、アクセス承認ユニット370cと、及びアクセス拒否ユニット370dとをさらに含む。
秘密鍵取得ユニット370aは、予め記憶した対応関係に基づいて、MACアドレスに対応する秘密鍵を取得する。
秘密鍵判断ユニット370bは、DLNAクライアントが送信したアクセス要求中に、秘密鍵が付加されているか否かを判断する。
アクセス承認ユニット370cは、秘密鍵が付加されており、且つ付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致する場合、DLNAクライアントのアクセスを承認する。
アクセス拒否ユニット370dは、何れの秘密鍵も付加されていない、或は付加されている秘密鍵がMACアドレスに対応する秘密鍵と一致しない場合、DLNAクライアントのアクセスを拒否する。
上記のように、本実施例が提供するアクセス制御装置によると、DLNAサーバにおいて、DLNAクライアントから送信したアクセス要求を受信した後、DLNAクライアントが利用したMACアドレスを取得し、予め設定したブラックリスト中にMACアドレスが存在しているか否か検出して、予め設定したブラックリスト中にMACアドレスが存在する場合、DLNAクライアントのアクセスを拒否することにより、関連する技術でのDLNAクライアントによりDLNAサーバへ自由にアクセス要求を送信できるため、悪意のあるアクセス及びセキュリティリスクが発生する問題を解決した。本実施例においては、予め設定したブラックリストを設けることにより、DLNAクライアントから不当なMACアドレス、又はアクセス許可の承認されていないMACアドレスに基づいて送信されたアクセス要求を効果的に排除して、DLNAクライアントからDLNAサーバへ自由にアクセス要求を送信できないようになるため、悪意のあるアクセス、及びセキュリティリスクを充分に避けた。
また、本実施例においては、アクセスの接続が確立できたDLNAクライアントのMACアドレス毎に、対応する秘密鍵を設け、MACアドレスと秘密鍵の対応関係を予め記憶した対応関係中に追加し、当該秘密鍵をMACアドレスに対応するDLNAクライアントへ送信するとともに、当該DLNAクライアントに以後に送信するアクセス要求中に必ず当該秘密鍵を付加するよう要求することにより、DLNAクライアントによりARP詐欺の手段によってアクセス許可を取得することを避けて、DLNAシステムの安全性をさらに向上させた。
上記の実施例中の装置について、各モジュールにより操作を実行する具体的な方法に対しては既に関連する方法の実施例において詳しく説明したため、ここでは詳しい説明は省略する。
図5は、本発明の例示的な一実施例に係るアクセス制御するための装置500を示すブロック図である。例えば、装置500は本発明の上記の実施例において言及されたDLNAサーバであってもよい。装置500は、構成とその性能によってより大きい差異が発生する可能性あり、一つ以上のCPU(central processing units)522(例えば、一つ以上のプロセッサ)とメモリ532を含んでもよいし、アプリケーションプログラム542やデータ544を記憶するための一つ以上の記録媒体530(例えば、一つ以上の大容量の記憶デバイス)を含んでもよい。ただし、メモリ532と記録媒体530は一時的な記憶装置または永続的な記憶装置であてもよい。記録媒体530に記憶されているプログラムは一つ以上のモジュール(図示せず)を含んでもよいし、各モジュールは装置500中の一連の命令に対する操作を含んでもよい。さらに、CPU522は記録媒体530と通信できるように設置されて、装置500において記録媒体530中の一連の命令の操作を実行してもよい。
装置500は、一つ以上の電源526と、有線或は無線の一つ以上のネットワークインターフェイス550と、一つ以上の入出力インターフェイス558と、一つ以上のキーボード556と、及び/或は、一つ以上のオペレーティングシステム541とを含んでもよいし、ここで、オペレーティングシステムは例えばWindows Server(登録商標)、Mac OS X(登録商標)、Unix(登録商標), Linux(登録商標)、FreeBSD(登録商標)などである。
記録媒体530中の命令が装置500のCPU522により実行される際に、装置500に上記の図1、又は図2に示したアクセス制御方法を実行されるようにする。
当業者は、明細書を検討して本発明を実践した後、本発明の他の実施案を容易に考え出すことができる。本願は、本発明のいずれの変形、用途、又は適応的な変更をカバーすることを狙っているし、これらの変形、用途、又は適応的な変更は、本発明の一般的な原理に従い、また、本発明は公開していない当業界の公知の知識又は通常の技術手段を含む。明細書と実施例はただ例示として考慮され、本発明の本当の範囲と精神は以下の特許請求の範囲に記載される。
本発明は上記に記述され、また図面で示した正確な構成に限定されず、その範囲を逸脱しない限り多様な置換えと変更を行うことができると、理解するべきである。本発明の範囲は添付の特許請求の範囲のみにより限定される。
本願は、出願番号が201410123103.7であって、出願日が2014年3月28日である中国特許出願に基づいて優先権を主張し、当該中国特許出願のすべての内容を援用するようにする。

Claims (11)

  1. DLNA(デジタル・リビング・ネットワーク・アライアンス)サーバに用いられるアクセス制御方法であって、
    DLNAクライアントが送信したアクセス要求を受信するステップと、
    前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得するステップと、
    予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出するステップと、
    前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するステップと、
    を含むことを特徴とするアクセス制御方法。
  2. 前記予め設定したブラックリスト中に前記MACアドレスが存在しない場合、MACアドレスと秘密鍵との間の対応関係が含まれている、予め記憶した対応関係中に、前記MACアドレスが存在するか否かを検索するステップと、
    前記予め記憶した対応関係中に前記MACアドレスが存在する場合、前記予め記憶した対応関係中に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定するステップと、
    をさらに含むことを特徴とする請求項1に記載のアクセス制御方法。
  3. 前記予め記憶した対応関係に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定する前記ステップは、
    前記予め記憶した対応関係に基づいて、前記MACアドレスに対応する秘密鍵を取得するステップと、
    前記DLNAクライアントが送信したアクセス要求中に秘密鍵が付加されているか否かを判断するステップと、
    秘密鍵が付加されており、且つ付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致する場合、前記DLNAクライアントのアクセスを承認するステップと、
    何れの秘密鍵も付加されていない、或は付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致しない場合、前記DLNAクライアントのアクセスを拒否するステップと、
    を含むことを特徴とする請求項2に記載のアクセス制御方法。
  4. 前記予め記憶した対応関係中に前記MACアドレスが存在しない場合、前記MACアドレスに対応する秘密鍵を生成するステップと、
    前記MACアドレス、及び前記MACアドレスに対応する秘密鍵を、前記予め記憶した対応関係中に追加するステップと、
    前記秘密鍵を、前記MACアドレスに対応する前記DLNAクライアントへ送信するステップと、
    をさらに含むことを特徴とする請求項2に記載のアクセス制御方法。
  5. 不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、前記予め設定したブラックリストを取得するステップと、
    をさらに含むことを特徴とする請求項1乃至4のいずれか一項に記載のアクセス制御方法。
  6. DLNA(デジタル・リビング・ネットワーク・アライアンス)サーバに用いられるアクセス制御装置であって、
    DLNAクライアントが送信したアクセス要求を受信するための要求受信モジュールと、
    前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得するためのアドレス取得モジュールと、
    予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出するためのアドレス検出モジュールと、
    前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するためのアクセス拒否モジュールと、
    を備えることを特徴とするアクセス制御装置。
  7. 前記予め設定したブラックリスト中に前記MACアドレス存在しない場合、MACアドレスと秘密鍵との間の対応関係が含まれている、予め記憶した対応関係中に、前記MACアドレスが存在するか否かを検索するためのアドレス検索モジュールと、
    前記予め記憶した対応関係中に前記MACアドレスが存在する場合、前記予め記憶した対応関係中に含まれている、前記MACアドレスに対応する秘密鍵に基づいて、前記DLNAクライアントのアクセスを承認するか否かを特定するためのアクセス特定モジュールと、
    をさらに備えることを特徴とする請求項6に記載のアクセス制御装置。
  8. 前記アクセス特定モジュールは、
    前記予め記憶した対応関係に基づいて、前記MACアドレスに対応する秘密鍵を取得するための秘密鍵取得ユニットと、
    前記DLNAクライアントが送信したアクセス要求中に秘密鍵が付加されているか否かを判断するための秘密鍵判断ユニットと、
    秘密鍵が付加されており、且つ付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致する場合、前記DLNAクライアントのアクセスを承認するためのアクセス承認ユニットと、
    何れの秘密鍵も付加されていない、或は付加されている秘密鍵が前記MACアドレスに対応する秘密鍵と一致しない場合、前記DLNAクライアントのアクセスを拒否するためのアクセス拒否ユニットと、
    を備えることを特徴とする請求項7に記載のアクセス制御装置。
  9. 前記予め記憶した対応関係中に前記MACアドレスが存在しない場合、前記MACアドレスに対応する秘密鍵を生成するための秘密鍵生成モジュールと、
    前記MACアドレス、及び前記MACアドレスに対応する秘密鍵を、前記予め記憶した対応関係中に追加するための対応記憶モジュールと、
    前記秘密鍵を、前記MACアドレスに対応する前記DLNAクライアントへ送信するための秘密鍵送信モジュールと、
    を備えることを特徴とする請求項7に記載のアクセス制御装置。
  10. 不当なMACアドレス、及び/或はアクセス許可の承認されていないMACアドレスが含まれている、前記予め設定したブラックリストを取得するためのリスト取得モジュール
    をさらに備えることを特徴とする請求項6乃至9のいずれか一項に記載のアクセス制御装置。
  11. プロセッサと、
    前記プロセッサが実行可能な命令を記憶するためのメモリと、
    を含み、
    前記プロセッサは、
    DLNA(デジタル・リビング・ネットワーク・アライアンス)クライアントが送信したアクセス要求を受信し、
    前記DLNAクライアントが利用したMAC(媒体アクセス制御)アドレスを取得し、
    予め設定したブラックリスト中に前記MACアドレスが存在するか否かを検出し、
    前記予め設定したブラックリスト中に前記MACアドレスが存在する場合、前記DLNAクライアントのアクセスを拒否するよう構成される、
    ことを特徴とするアクセス制御装置。
JP2016509290A 2014-03-28 2014-07-24 アクセス制御方法、装置、プログラム、及び記録媒体 Active JP6096376B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410123103.7A CN103929419B (zh) 2014-03-28 2014-03-28 访问控制方法和装置
CN201410123103.7 2014-03-28
PCT/CN2014/082874 WO2015143803A1 (zh) 2014-03-28 2014-07-24 访问控制方法和装置

Publications (2)

Publication Number Publication Date
JP2016519828A true JP2016519828A (ja) 2016-07-07
JP6096376B2 JP6096376B2 (ja) 2017-03-15

Family

ID=51147496

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016509290A Active JP6096376B2 (ja) 2014-03-28 2014-07-24 アクセス制御方法、装置、プログラム、及び記録媒体

Country Status (8)

Country Link
EP (1) EP2924947B1 (ja)
JP (1) JP6096376B2 (ja)
KR (1) KR101620254B1 (ja)
CN (1) CN103929419B (ja)
BR (1) BR112014024551B1 (ja)
MX (1) MX349318B (ja)
RU (1) RU2628483C2 (ja)
WO (1) WO2015143803A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103929419B (zh) * 2014-03-28 2017-04-12 小米科技有限责任公司 访问控制方法和装置
US9794261B2 (en) 2014-03-28 2017-10-17 Xiaomi Inc. Method and apparatus for controlling access to a server
CN104320376B (zh) * 2014-08-28 2018-09-25 无锡天脉聚源传媒科技有限公司 一种请求发起云与目标云的连接方法及装置
CN104954370B (zh) * 2015-06-09 2018-04-17 福建新大陆通信科技股份有限公司 一种智能家居客户端登入的安全认证方法
CN106548607A (zh) * 2015-09-17 2017-03-29 深圳会当科技有限公司 一种安全监控的方法
CN105916015A (zh) * 2015-12-15 2016-08-31 乐视致新电子科技(天津)有限公司 一种车载多设备共享音视频数据的方法、装置及系统
CN115987668B (zh) * 2022-12-29 2024-01-02 北京深盾科技股份有限公司 访问控制方法、系统、电子设备及存储介质
CN115987683B (zh) * 2023-03-15 2023-07-28 中国信息通信研究院 区块链网络中节点访问控制方法、装置、设备和介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060045272A1 (en) * 2004-08-26 2006-03-02 Satoshi Ohaka Control program, communication relay apparatus control method, communication relay apparatus, and system
CN1750462A (zh) * 2004-09-14 2006-03-22 华为技术有限公司 通过移动终端实现身份认证的方法
US20110107436A1 (en) * 2009-11-02 2011-05-05 Chris Cholas Apparatus and methods for device authorization in a premises network
CN102510371A (zh) * 2011-09-30 2012-06-20 中兴通讯股份有限公司 一种控制数字移动网络联盟内容的方法及装置
WO2013086836A1 (zh) * 2011-12-16 2013-06-20 中兴通讯股份有限公司 一种数字移动网络联盟权限控制方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070203979A1 (en) * 2006-02-14 2007-08-30 Walker Mark R Home communications server
US9363745B2 (en) * 2008-03-26 2016-06-07 Srinivasan Balasubramanian Device managed access point lists in wireless communications
CN101547187B (zh) * 2008-03-28 2012-01-11 中兴通讯股份有限公司 宽带接入设备的网络攻击防护方法
CN103929419B (zh) * 2014-03-28 2017-04-12 小米科技有限责任公司 访问控制方法和装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060045272A1 (en) * 2004-08-26 2006-03-02 Satoshi Ohaka Control program, communication relay apparatus control method, communication relay apparatus, and system
JP2006067174A (ja) * 2004-08-26 2006-03-09 Fujitsu Ltd 制御プログラム、通信中継装置制御方法、通信中継装置及びシステム
CN1750462A (zh) * 2004-09-14 2006-03-22 华为技术有限公司 通过移动终端实现身份认证的方法
US20110107436A1 (en) * 2009-11-02 2011-05-05 Chris Cholas Apparatus and methods for device authorization in a premises network
CN102510371A (zh) * 2011-09-30 2012-06-20 中兴通讯股份有限公司 一种控制数字移动网络联盟内容的方法及装置
WO2012151967A1 (zh) * 2011-09-30 2012-11-15 中兴通讯股份有限公司 一种控制数字移动网络联盟内容的方法及装置
US20140215579A1 (en) * 2011-09-30 2014-07-31 Zte Corporation Method and device for controlling digital living network alliance contents
JP2014531818A (ja) * 2011-09-30 2014-11-27 中興通迅股▲ふん▼有限公司Ztecorporation デジタルリビングネットワークアライアンス内容の制御方法及び装置
WO2013086836A1 (zh) * 2011-12-16 2013-06-20 中兴通讯股份有限公司 一种数字移动网络联盟权限控制方法及装置

Also Published As

Publication number Publication date
MX349318B (es) 2017-07-20
EP2924947B1 (en) 2018-08-22
KR101620254B1 (ko) 2016-05-11
CN103929419B (zh) 2017-04-12
JP6096376B2 (ja) 2017-03-15
MX2014011133A (es) 2016-05-04
RU2015134847A (ru) 2017-02-27
BR112014024551B1 (pt) 2023-05-02
KR20150122572A (ko) 2015-11-02
CN103929419A (zh) 2014-07-16
RU2628483C2 (ru) 2017-08-17
EP2924947A1 (en) 2015-09-30
BR112014024551A2 (ja) 2017-06-20
WO2015143803A1 (zh) 2015-10-01

Similar Documents

Publication Publication Date Title
JP6096376B2 (ja) アクセス制御方法、装置、プログラム、及び記録媒体
JP4916136B2 (ja) アプリケーションにセキュリティを提供するシステムおよび方法
JP5704518B2 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
US10509574B2 (en) Container credentialing by host
US10154035B2 (en) System and method for controlling access
US7454421B2 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
US10127317B2 (en) Private cloud API
US10885525B1 (en) Method and system for employing biometric data to authorize cloud-based transactions
CN109542862B (zh) 用于控制文件系统的挂载的方法、装置和系统
US20120030738A1 (en) Digital media controller and method for sharing media data between networks using the digital media controller
KR20230027241A (ko) 공유 자원 식별
WO2014178963A1 (en) Requesting and storing certificates for secure connection validation
US9794261B2 (en) Method and apparatus for controlling access to a server
US20150281282A1 (en) Application signature authorization
WO2015062266A1 (en) System and method of authenticating user account login request messages
TWI546688B (zh) 對網路位址進行處理的方法及相關的伺服器與非暫態電腦可讀取儲存媒體
US10009318B2 (en) Connecting to a cloud service for secure access
KR20050009945A (ko) 이동식 저장장치를 이용한 가상 저장 공간의 관리 방법 및시스템
CN115664686A (zh) 一种登录方法、装置、计算机设备和存储介质
US20210097023A1 (en) Decentralized Data System
US10819707B1 (en) Systems and methods for validating a user's physical location
CN117278323B (zh) 第三方信息的获取方法、电子设备及可读存储介质
US11734429B1 (en) Secure bios-enabled passthrough system
US20220150277A1 (en) Malware detonation
CN117596590A (zh) 网络接入方法、装置、控制器、无线接入设备以及系统

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170215

R150 Certificate of patent or registration of utility model

Ref document number: 6096376

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250