安全访问在通用即插即用数据模型中存储的配置信息的方法和系统

摘要

本发明提供了安全访问在通用即插即用（UPnP）数据模型中存储的配置信息的方法和系统。在一个实施例中，从控制点（CP）接收操作数据模型的（多个）节点的请求。数据模型包括多个节点，而且多个节点中的每一个表示配置信息。确定与CP相关联的角色。确定CP的角色是否处于推荐角色列表中。如果角色存在，则允许CP操作（多个）节点。如果角色不存在，则基于与（多个）节点相关联的ACL数据确定CP是否具有操作（多个）节点的适当角色。因此，允许CP操作（多个）节点或者在CP的显示器上返回错误消息。

说明书

技术领域

本发明涉及通用即插即用（UPnP）家庭网络系统的领域，更具体地，涉 及对UPnP设备管理数据模型的访问（access）。

背景技术

通用即插即用（UPnP）是一组由UPnP论坛发布的计算机网络协议。UPnP 的目标是允许访问无缝连接，并简化家庭和企业环境中网络的实施（例如， 数据共享、通信和娱乐）。这些目标是通过定义和发布建立在开放的、基于互 联网的通信标准的UPnP设备控制协议来实现的。

UPnP技术可以迎合家庭网络中广泛的设备。UPnP提供发现、控制和事 件处理（eventing）机制。使用SSDP协议启用发现。事件处理遵循GENA协 议。使用这些技术，UPnP使得空闲（on the fly）的UPnP设备对UPnP家用 网络中的其它设备的可用和不可用。

UPnP架构允许个人计算机（PC）、联网的家电和无线设备进行对等联网。 它是基于诸如TCP/IP、UDP、HTTP和XML的已建立的标准的分布式的、 开放的架构。UPnP架构支持零配置联网。例如，来自任何厂商的UPnP兼容 设备可以动态地加入网络、获得IP地址、广播它的名称、根据请求传达它的 性能、并了解其他设备的存在和性能。另一方面，UPnP设备可以自动离开 UPnP家用网络而不留下任何不希望的状态信息。

UPnP网络的基础是IP寻址。每个UPnP设备包括UPnP客户端，当UPnP 设备第一次连接到UPnP网络时，该DHCP客户端搜索DHCP服务器。如果 没有可用的DHCP服务器，则UPnP设备为它自己分配地址。如果在DHCP 交易过程中，UPnP设备获得域名，例如，通过DNS服务器或者经由DNS转 发，则UPnP设备在随后的网络操作中使用该名称；否则UPnP设备使用它的 IP地址。

UPnP将设备保护服务定义为通用的安全解决方案，其可以被UPnP中定 义的所有服务使用。设备保护服务定义了角色的概念。为了执行UPnP动作， 所有的控制点或控制设备分配有不同的角色，即公共（public）、基础(basic) 和管理(admin)。不同的DCP和厂商可以自由扩展这些角色的集合。

UPnP设备管理服务定义数据模型的概念。数据模型是各种设备和服务 配置的相关信息的树状表示。数据模型构成各种节点，诸如叶节点、单一实 例节点、多实例节点和实例节点。数据模型可以包含需要保护的敏感信息。 另外，数据模型中存储的一些配置信息可以与家庭网络环境中的一些控制点 或用户无关。当请求时，当前的设备保护服务向控制点提供数据模型中存储 的完整配置信息。结果，控制点获得对完整配置信息中提供的敏感和无关信 息的访问。

发明内容

技术问题

因此，存在为了查看、读取（read）和修改（modify）在UPnP设备管理 数据模型中存储的配置信息而提供访问控制的需要，从而对数据模型中存储 的配置信息提供保护。

技术方案

本发明提供了安全（securing）访问在通用即插即用（UPnP）数据模型 中存储的配置信息的方法和系统。在本发明的实施例的以下详细描述，对形 成本发明的一部分的附图进行参考，而且在附图中作为示例示出了本发明可 以实践的特定实施例。这些实施例被足够详细地描述，以使本领域技术人员 能够实践本发明，而且可以理解的是，可以利用其他实施例，并且可以进行 改变而不脱离本发明的范围。因此，下面的详细描述不是限制的意义，而且 本发明的范围仅由所附的权利要求定义。

贯穿整个文件，术语“UPnP数据模型”和“数据模型”可以互换使用。

技术效果

如上所述，根据本发明，有可能为查看、读取和修改在UPnP设备管理 数据模型中存储的配置信息而提供访问控制，从而对数据模型中存储的配置 信息提供保护。

附图说明

图1是示出根据一个实施例的、对存储在通用即插即用（UPnP）数据模 型的配置信息提供安全（secured）访问的示例性方法的处理流程图。

图2是在本发明的上下文中具有多节点的示例性UPnP数据模型的示意 性表示。

图3是示出根据一个实施例的、安全访问数据模型的配置信息的示例性 方法的流程图。

图4是示出根据一个实施例的、通过控制点修改数据模型的多实例节点 并相对于另一控制点保护（securing）修改后的多实例节点的示例性方法的流 程图。

图5是示出根据一个实施例的、用于安全访问在UPnP数据模型中存储 的配置信息的家庭网络系统的框图。

图6是示出诸如用于实现本主题的实施例的图5中所示的那些家庭网络 系统的家庭网络系统的控制设备的各种组件的框图。

这里所描述的示图仅用于示例目的，而且不旨在以任何方式限制本公开 的范围。

具体实施方式

图1是示出根据一个实施例的、对存储在UPnP数据模型的配置信息提 供安全访问的示例性方法的处理流程图100。在步骤102，从家庭网络环境中 的控制点接收操作数据模型的（多个）节点的请求。数据模型包括多个节点， 诸如叶节点、单一实例节点、多实例节点和实例节点。多个节点中的每一个 存储与家庭网络环境中的控制点相关联的配置信息。配置信息可以是服务配 置信息和设备配置信息。参照图2，数据模型200被示出，而且包括节点/A/B、 节点/A/E、节点/A/F、节点/A/B/C、节点/A/B/D和节点/A/B/G以便存储配置 信息。控制点可以请求操作数据模型中的任何节点。

在步骤104，基于请求确定与控制点相关联的角色。家庭网络环境中的 控制点中的每一个被分配角色以便操作相关联的配置信息。例如，与请求相 关联的控制点可以被分配公共角色、基础角色或管理角色。可以指出的是， 诸如厂商指定角色的任何其他类型的角色可以被分配给控制点。

在步骤106，确定分配给控制点的角色是否处于与请求中指定的操作（例 如，访问、读取或修改）相关联的推荐角色列表中。推荐角色列表包括与家 庭网络环境中被推荐用于对数据模型的节点执行访问、读取和修改操作的控 制点相关联的角色列表。如果所述角色处于推荐角色列表中，则在步骤108， 控制点被允许操作数据模型的（多个）节点。

例如，如果在步骤102控制点已经请求访问数据模型200的节点/A/B/C， 则基于推荐角色列表，控制设备允许控制点访问节点/A/B/C。如果请求与读 取操作相关联，则控制设备允许控制点读取在数据模型200的节点/A/B/C中 存储的配置信息。可替换地，如果控制点请求修改操作，则控制设备允许控 制点修改节点/A/B/C（例如，添加另一个节点或删除节点）。在一些实施例中， 在控制点的显示器上只显示数据模型的（多个）相关联节点。在这些实施例 中，在控制点的显示器上不显示数据模型的其余节点（除请求的节点以外的 节点）。

如果所述角色未处于推荐角色列表中，则在步骤110，确定控制点是否 具有在数据模型的（多个）节点上操作的适当角色。在一个实施例中，使用 与数据模型中所请求的（多个）节点相关联的访问控制列表（ACL）数据作 出确定。可以注意的是，ACL数据是节点属性。与节点相关联的ACL数据 包括与访问元素、读取元素和/或修改元素相关联的节点标识符。访问元素、 读取元素和修改元素指示被授权在与相应节点标识符相关联的节点上执行访 问、读取和修改操作中的每一个操作的角色类型。在下面的表1中示出了每 个节点的示例性ACL数据和相应的节点标识符。

表1

参照图2和表1，具有public角色的控制点被允许访问具有节点标识符 /A/B/C的节点，而具有basic角色的控制点被允许读取具有节点标识符/A/B/C 的节点。然而，没有角色被授权修改具有节点标识符/A/B/C的节点。具有basic 角色的控制点被允许访问具有节点标识符/A/B的节点，而具有admin角色的 控制点被允许访问和/或修改具有节点标识符/A/B的节点。类似地，具有public 角色的控制点被允许访问具有节点标识符/A/B/D的节点，具有basic角色的 控制点被允许读取具有节点标识符/A/B/D的节点，而且具有admin角色的控 制点被允许修改具有节点标识符/A/B/D的节点。在附录A、B和C中分别给 出用于节点标识符/A/B/C、/A/B、/A/B/D的ACL数据的示例性XML架构。

返回参照图1，如下执行基于（多个）节点的ACL数据确定控制点是否 应该被允许操作（多个）节点。首先，确定与请求中所指示的节点相关联的 节点标识符。然后，检索与请求操作的节点相关联的ACL数据。另外，确定 与控制点相关联的角色是否与被授权在ACL数据中的节点上执行所请求的 操作的角色匹配。如果发现匹配，则确定是否有请求对其进行操作的任何其 它节点。如果没有剩余任何节点，则重复上述步骤，直到所有节点都被处理。 如果没有剩余要处理的节点而且对于所有请求的节点都发现匹配，则执行步 骤108。如果在一个或多个请求的节点中没有发现匹配，则在步骤112在控 制点的显示器上返回错误消息。

例如，考虑控制点请求在节点/A/B/D上进行读取操作而且与控制点相关 联的角色是public角色。如表1所示，与节点/A/B/D相关联的ACL数据指示 “ACCESS=PUBLIC,READ=BASIC;MODIFY=ADMIN”。因此，返回拒绝在 节点/A/B/D上进行读取操作的错误消息。然而，如果控制点请求在节点/A/B/D 上进行访问操作，则控制点被允许在节点/A/B/D上进行读取操作，因为在表 1中访问元素指示节点/A/B/D的public角色。

图3是示出根据一个实施例的、安全访问数据模型的配置信息的示例性 方法的流程图300。在步骤302，设备保护（DP）实体将与设备保护（DP） 服务相关联的ACL数据提供给配置管理服务（CMS）实体。在步骤304，CMS 实体通过带外信道加载CMS ACL数据。在步骤306，CMS实体和CP1相互 验证。在步骤308，CP1向CMS实体发送访问数据模型的请求。

在步骤310，CMS实体利用DP实体检查CP1是否具有访问数据模型的 权限。DP实体确定CP1的角色是否存在于推荐角色列表中。DP实体发现CP1 不具有访问数据模型的权限。在步骤312，DP实体确认CP1不具有访问数据 模型的权限。在步骤314，CMS实体确定CP1是否具有用于访问数据模型的 所请求的（多个）节点的适当角色并发现CP1具有访问（多个）节点的访问 许可。因此，在步骤316，CMS实体向CP1返回仅具有所请求的（多个）节 点的数据模型，而向CP1隐藏其余节点。

图4是示出根据一个实施例的、通过控制点修改数据模型的多实例节点 并相对于另一控制点保护修改后的多实例节点的示例性方法的流程图400。 在步骤402，设备保护（DP）实体将与设备保护（DP）服务相关联的ACL 数据提供给配置管理服务（CMS）实体。在步骤404，CMS实体通过带外信 道加载CMS ACL数据。在步骤406，CMS实体和CP1相互验证。在步骤408， CP1向CMS实体发送修改数据模型的多实例节点的请求。

在步骤410，CMS利用DP实体检查CP1是否具有修改数据模型的多实 例节点的访问权限。DP实体确定CP1的角色是否存在于推荐角色列表中。 DP实体发现CP1不具有修改数据模型的多实例节点的访问权限。在步骤412， DP实体确认CP1不具有修改数据模型的多实例节点的访问权限。在步骤414， CMS实体基于CMS ACL数据确定CP1是否具有用于修改数据模型的多实例 节点的适当角色并发现CP1具有修改多实例节点的适当角色。因此，在步骤 416，CMS实体向CP1通知多实例节点成功修改。

在步骤418，CP1请求CMS实体查看数据模型的修改后的多实例节点。 在步骤420，CMS实体向CP1显示数据模型的修改后的多实例节点。现在， 在步骤422，另一控制点（CP2）尝试访问数据模型的修改后的多实例节点， 并向CMS实体发送请求。在步骤424，CMS实体向CP2返回错误消息，因 为CP2不具有读取修改后的多实例节点中的配置信息的匹配角色。例如，CMS 实体定义被称为“/UPnP/DM/DeviceInfo/PhysicalDevice/NetworkInterface/＃/” 的多实例节点，而且CP1被允许对多实例节点调用修改命令以便创建网络接 口1（NetworkInterface1）。然而，基于多实例节点的ACL数据，CP2不被允 许读取与新创建的网络接口有关的配置信息。

图5是示出根据一个实施例的、用于安全访问在UPnP数据模型200中 存储的配置信息的家庭网络系统500的框图。在图5中，家庭网络系统500 包括控制设备502和控制点506。根据本发明，控制设备502包括配置管理 服务（CMS）模块504，其具有数据模型200。

在示例性操作中，控制点506调用在与配置管理服务相关联的数据模型 200的（多个）节点上操作的请求。CMS模块504基于请求确定与控制点506 相关联的角色。CMS模块504确定与控制点506相关联的角色是否处于推荐 角色列表中。如果角色处于推荐角色列表中，则CMS模块504允许控制点 506访问/读取/修改数据模型200的（多个）节点。如果角色未存在于推荐角 色列表中，则CMS模块504基于（多个）节点的ACL数据确定控制点506 是否具有在数据模型200的（多个）节点上操作的适当角色。基于该确定， CMS模块504或者允许控制点506访问/读取/修改数据模型200的（多个） 节点或者向控制点506返回错误消息。将理解的是，根据图1至图4中所示 的一个或多个实施例，CMS模块504安全访问在UPnP数据模型中存储的配 置信息。

图6是示出诸如用于实现本主题的实施例的图5中所示的那些家庭网络 系统的家庭网络系统500的控制设备502的各种组件的框图。在图6中，控 制设备502包括处理器602、存储器604、只读存储器（ROM）606、收发器 608、总线610、通信接口612、显示器614、输入设备616和光标控制618。

如这里所用的处理器602是指任何类型的计算电路，诸如但不限于，微 处理器、微控制器、复杂指令集计算微处理器、精简指令集计算微处理器、 超长指令字微处理器、显式并行指令计算微处理器、图形处理器、数字信号 处理器或任何其他类型的处理电路。处理器602还可以包括嵌入式控制器， 诸如通用或可编程逻辑设备或阵列、专用集成电路、单芯片计算机、智能卡 等。

存储器604和ROM606可以是易失性存储器和非易失性存储器。根据图 1至图5中描述的一个或多个实施例，存储器604包括用于安全访问在UPnP 数据模型中存储的配置信息的CMS模块504。各种计算机可读存储介质可以 被存储在存储器元件中并且从存储器元件访问。存储器元件可以包括用于存 储数据和机器可读指令的任何适当的存储器设备，诸如只读存储器、随机存 取存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、硬盘驱 动器、用于处理光盘（compact disk）、数字视频盘、软盘、盒式磁带、存储 卡、记忆棒^TM（Memory Sticks^TM）的可移动介质驱动器等。

本主题的实施例可以结合模块实现，所述模块包括用于执行任务或者定 义抽象数据类型或低级硬件上下文的功能、程序、数据结构、应用程序。在 任何上述存储介质上存储的机器可读指令可由处理器602执行。例如，根据 本主题的教导和这里所描述的实施例，计算机程序可以包括能够安全访问在 UPnP数据模型中存储的配置信息的机器可读指令。在一个实施例中，程序可 以被包括在只读光盘存储器（CD-ROM）上，并从CD-ROM加载到非易失性 存储器中的硬盘驱动器。机器可读指令可以使控制设备502根据本主题的各 种实施例进行编码。

收发器608可以能够接收在数据模型的（多个）节点上操作的请求，并 且基于控制点506的角色和（多个）节点的ACS数据授权控制点506在数据 模型的（多个）节点上操作。总线610用作在控制设备502的各种组件之间 互连。诸如通信接口612、显示器614、输入设备616和光标控制618的组件 对本领域技术人员而言是公知的，因此省略其说明。

已经参照特定示例性实施例描述了本实施例；将显而易见的是，可以对 这些实施例做出各种修改和改变而不脱离各种实施例的更宽的精神和范围。 此外，这里所描述的各种设备、模块、选择器、估计器等可以使用硬件电路 来启动和操作，所述硬件电路是例如基于互补金属氧化物半导体的逻辑电路、 固件、软件和/或硬件、固件和/或具体实施在机器可读介质中的软件的任何组 合。例如，各种电气结构和方法可以使用晶体管、逻辑门和诸如专用集成电 路的电气电路来具体实施。

附录'A'

<ACLData>

<NodeIdentifier>/A/B/C</NodeIdentifier>

<Access>Public</Access>

<Read>Basic</Read>

<Modify>None</Modify>

<ACLData>

附录'B'

<ACLData>

<NodeIdentifier>/A/B</NodeIdentifier>

<Access>Public</Access>

<Read>Admin</Read>

<Modify>Admin</Modify>

<ACLData>

附录'C'

<ACLData>

<NodeIdentifier>/A/B/D</NodeIdentifier>

<Access>Public</Access>

<Read>Basic</Read>

<Modify>Admin</Modify>

<ACLData>