用于基于所有权对家庭网络环境中的通用即插即用运行提供安全的方法和系统

摘要

本发明提供基于所有权权限对家庭网络环境中的通用即插即用操作提供安全的方法和系统。在一个实施例中，从控制点（CP）接收对于执行与UPnP资源关联的UPnP动作的请求。基于与UPnP资源关联的所有权数据确定CP是否拥有执行所述UPnP动作的所有权权限。因此，基于UPnP资源的所有权授权CP在UPnP资源上执行所述UPnP动作或者向CP返回出错消息。

说明书

技术领域

本发明涉及通用即插即用（UPnP）家庭网络系统领域，并且更具体地 涉及用于基于所有权权限对家庭网络环境中的UPnP操作提供安全的方法和 系统。

背景技术

通用即插即用（UPnP）是UPnP论坛公布的计算机网络协议的集合。 UPnP的目标是允许访问无缝连接并且简化家庭和公司环境中的网络实现 （例如，数据共享、通信和娱乐）。通过定义和发布建立在开放的、基于因 特网的通信标准上的UPnP设备控制协议来实现这些目标。

UPnP技术可以适应家庭网络中的大量设备。UPnP提供发现、控制和 事件机制。使用SSDP协议使能发现。事件遵循GENA协议。使用这些技术， UPnP使得UPnP设备动态地对UPnP家庭网络中的其他设备可用或不可用。

UPnP架构允许个人计算机（PC）、网络装置和无线设备的点对点通信。 它是基于诸如传输控制协议/因特网协议（TCP/IP）、用户数据报协议（UDP）、 超文本传输协议（HTTP）和可扩展标记语言（XML）之类的已建立标准的 分布式的、开放架构。UPnP架构支持零配置联网。例如，来自任何供应商 的UPnP兼容设备都可以动态地加入网络、获得IP地址、通告其名称、传达 其对请求的能力并且获悉其他设备的存在和能力。另一方面，UPnP设备可 以自动离开UPnP家庭网络而不留下任何不需要的状态信息。

UPnP联网的基础是因特网协议（IP）寻址。每一个UPnP设备包括DHCP 客户端，其在UPnP设备首次连接到UPnP网络时搜索动态主机配置协议 （DHCP）服务器。如果没有DHCP服务器可用，则UPnP设备对其自身指 派地址。如果在DHCP事务期间，UPnP设备例如通过域名系统（DNS）服 务器或经由DNC转发获得域名，则UPnP在后续网络操作中使用该名称； 否则UPnP使用其IP地址。

UPnP定义设备保护服务为可以被在UPnP中定义的全部服务使用的一 般安全解决方案。设备保护服务定义了职责的概念。全部控制点或控制设备 被指派用于执行UPnP动作的不同职责（即，公共、基础和管理）。不同的 DCP和供应商可以随意扩展这些职责的集合。然而，设备保护服务仅基于动 作而非资源来定义访问控制。换而言之，当前设备保护服务无法基于类似部 署单元（DU）、执行单元（EU）和诊断测试（例如，Ping、跟踪路由（trace  route）等）的资源提供访问控制。

发明内容

技术问题

因而，存在基于与在其上调用UPnP动作的资源关联的所有权信息对用 于执行UPnP动作（例如，安装动作、卸载动作、启动动作、停止动作、ping 动作等）的不同控制点提供访问控制的额外需求。也就是说，根据哪一个控 制点是资源的所有人，进行访问控制判决。

技术方案

本发明提供基于所有权权限对家庭网络环境中的通用即插即用（UPnP） 操作提供安全的方法和系统。在一个实施例中，从控制点（CP）接收对于执 行与UPnP资源关联的UPnP动作的请求。基于与UPnP资源关联的所有权 数据确定CP是否拥有执行所述UPnP动作的所有权权限。因此，基于UPnP 资源的所有权授权CP在所述UPnP资源上执行UPnP动作或者向CP返回出 错消息。

有益技术效果

本发明提供基于所有权权限对家庭网络环境中的通用即插即用（UPnP） 操作提供安全的方法和系统。

附图说明

图1是图示根据一个实施例的、向基于所有权权限执行与各种通用即插 即用操作（UPnP）资源关联的UPnP动作的不同控制点提供增强的访问控制 的示例性方法的过程流程图。

图2是图示根据一个实施例的、创建和管理使用与UPnP资源关联的 UPnP动作的所有权数据并使用所有权信息保护UPnP动作的示例性方法的 流程图。

图3是图示根据另一实施例的、将控制点设置为UPnP资源的所有人并 根据所有权权限来授权该控制点在UPnP资源上执行UPnP动作的示例性方 法的流程图。

图4是图示根据再一实施例的、在通过带外通信通道提供所有权数据时 保护与UPnP资源关联的UPnP动作的示例性方法的流程图。

图5是图示根据再一实施例的、在所有权数据被嵌入作为出厂设置并在 控制设备中使用固件更新被更新时保护与UPnP资源关联的UPnP动作的示 例性方法的流程图。

图6是图示根据再一实施例的、在所有权数据被嵌入在部署单元/执行 单元中时保护与UPnP资源关联的UPnP动作的示例性方法的流程图。

图7是根据一个实施例的、在请求未授权UPnP动作时基于所有权权限 向控制点返回出错消息的示例性方法的流程图。

图8是图示根据一个实施例的、用于基于所有权权限向UPnP动作提供 安全的家庭网络系统的框图。

图9是图示家庭网络系统的控制设备的各种组件的框图，诸如图8所示 的用于实现本主题的实施例的那些部件。

这里描述的附图是仅出于说明目的并且不意图以任何方式限制本公开 的范围。

具体实施方式

本发明提供基于所有权权限对家庭网络环境中的通用即插即用（UPnP） 运行提供安全的方法和系统。在下面对本发明实施例的详细描述中，参考形 成描述的一部分的附图，并且在其中通过图示的方式示出了可以实施本发明 的特定实施例。以充分的细节描述这些实施例以使得本领域技术人员能够实 施本发明，并且将明白可以利用其它实施例并且可以做出修改而不会背离本 发明的范围。因而，以下详细描述不是以限制的方式进行的，并且仅以所附 权利要求定义本发明的范围。

全文可互换地使用术语“UPnP动作”和“UPnP操作”。

图1是图示根据一个实施例的、根据所有权权限向执行与各种UPnP资 源关联的UPnP动作的不同控制点提供增强的访问控制的示例性方法的过程 流程图100。在步骤102，控制设备从控制点接收执行与UPnP资源（例如， 部署单元（DU）、执行单元（EU）或诊断测试）关联的UPnP动作的请求。 例如，从控制点接收安装部署单元（DU）的请求。在此情况下，UPnP动作 是与设备管理服务（例如，DM软件管理服务）关联的安装动作并且UPnP 资源包括DU。

在步骤104，基于与UPnP资源关联的所有权数据确定控制点是否拥有 所有权权限以执行UPnP动作。在一个实施例中，所有权数据指示UPnP资 源的隐含所有权。即，当在UPnP资源上执行先前的UPnP动作时所有权数 据指示与具有指派的所有权的控制点关联的标识符。在此实施例中，确定是 否控制点之前在该UPnP资源上执行过关联UPnP动作并且在那时将所有权 权限隐含地指派给该控制点。

在另一实施例中，在所有权数据库中保持所有权数据。所有权数据包括 所有权规则的集合，其指示由控制点拥有所有权权限以在UPnP资源上执行 UPnP动作。在此实施例中，从所有权数据库取回与至少一个UPnP动作关 联的所有权数据。同样，从所接收的请求中取回与控制点关联的职责。然后， 通过将控制点的职责与所取回的所有权数据进行匹配以确定控制点是否拥 有所有权。

如果控制点拥有所有权权限，则在步骤106，授权控制点在UPnP资源 上执行UPnP动作。否则，在步骤108，在控制点的显示器上返回出错消息。

图2是图示根据一个实施例的、创建和管理使用与UPnP资源关联的 UPnP动作的所有权数据并使用该所有权权限保护UPnP动作的示例性方法 的流程图200。将CP2假定为用于控制家庭网络环境中的多个控制点的所有 权权限的所有权控制器。在步骤202，设备管理（DM）实体和CP1互相授 权。在步骤204，CP1向DM实体发送安装部署单元类型应用（DU1）的请 求。

在步骤206，DM实体与DP实体检查CP1是否拥有用于执行安装动作 的访问权限。在一个实施例中，DP实体确定与CP1关联的职责是否在推荐 的职责列表中。如果该职责不存在，则检查基于参数（argument）的访问控 制列表（ACL）以确定CP1的安装权限。在步骤208，DP实体确认CP1具 有用于安装DU1的访问权限。在步骤210，DM实体授权CP1安装DU1并 且当成功安装DU1时向CP1提供确认。

在步骤212，CP2将与DU1关联的所有权权限设置为CP1和CP2。在 步骤214，DM实体证实成功地设置了与DU1关联的所有权权限。现在，认 为CP1希望卸载DU1。在这样的情况下，在步骤216，CP1向DM实体发送 用于卸载DU1的请求。在步骤218，DM实体检查CP1是否拥有用于执行卸 载动作的所有权。可以注意到，DM实体基于在步骤212由CP2设置的所有 权权限检查DU1的所有权。因此，在步骤218，DM实体确认CP1拥有DU1 的所有权。因此，在步骤220，DM实体在确认该所有权权限时授权CP1卸 载DU1并且当成功地卸载了DU1时向CP1提供确认。

图3是图示根据另一实施例的、将控制点设置为UPnP资源的所有人并 基于所有权权限授权该控制点在UPnP资源上执行UPnP动作的示例性方法 的流程图。在步骤302，DM实体和CP1互相授权。在步骤304，CP1向DM 实体发送安装DU类型应用（DU1）的请求。

在步骤306，DM实体与DP实体查询CP1是否拥有用于执行安装动作 的访问权限。在步骤308，DP实体确认CP1具有执行安装动作的访问权限。 在一个实施例中，DP实体确定与CP1关联的职责是否在推荐的职责列表中。 如果该职责不存在，则检查基于参数的访问控制列表（ACL）以确定CP1 的安装权限。在步骤310，DM实体授权CP1安装DU1并且当成功安装DU1 时向CP1提供确认。在步骤312，因为CP1已经成功地进行了安装动作，所 以DM实体将CP1设置为DU1的所有人。

现在，假定CP1希望卸载DU1。在这样的情况下，在步骤314，CP1 向DM实体发送用于卸载DU1的请求。在步骤316，DM实体检查CP1是 否拥有用于执行卸载动作的所有权权限。DM实体基于在步骤314中设置的 所有权权限确认CP1具有执行卸载动作的所有权权限。在步骤318，DM实 体授权CP1卸载DU1并且当DU1成功卸载时相CP1提供确认。

图4是图示根据再一实施例的、在通过带外通信通道提供所有权数据时 保护与UPnP资源关联的UPnP动作的示例性方法的流程图400。假定向设 备管理（DM）实体带外传递与设备保护（DP）服务关联的所有权数据。同 样，假定DU1是预先安装的。

在步骤402，DM实体更新通过带外通道接收的与CP1关联的所有权数 据。现在，假定CP1希望卸载DU1。在这样的情况下，在步骤404，CP1向 DM实体发送用于卸载DU1的请求。在步骤406，DM实体检查CP1是否拥 有用于执行卸载动作的所有权权限。可以注意到，在步骤402所更新的所有 权数据指示CP1是DU1的所有人。因此，在步骤406，DM实体确认CP1 具有执行卸载动作的所有权权限。在步骤408，DM实体授权CP1卸载DU1 并且当成功地卸载了DU1时向CP1提供确认。

图5是图示根据再一实施例的、在所有权数据被嵌入作为控制设备中的 出厂设置并使用固件更新被更新时保护与UPnP资源关联的UPnP动作的示 例性方法的流程图500。假定，与设备保护（DP）服务关联的所有权嵌入在 具有设备管理（DM）实体和DP实体作为出厂设置的控制设备中。同样， 假定DU1是预先安装的。在步骤502，CP1向DM实体发送更新固件的请求。 在步骤504，在模块化固件更新期间，DM实体用与CP1关联的新所有权数 据更新出厂设置。

现在，假定CP1希望卸载DU1。在此情况下，在步骤506，CP1向DM 实体发送用于卸载DU1的请求。在步骤508，DM实体检查CP1是否拥有用 于执行卸载动作的所有权权限。因为在步骤508经更新的所有权数据指示 CP1是DU1的所有人，所以DM实体确认CP1的执行卸载动作的所有权权 限。因此，在步骤510，DM实体授权CP1卸载DU1并且当成功地卸载了 DU1时向CP1提供确认。尽管图2到5图示了与DU和EU安装关联的示例， 但是明白以上描述的情形等同地可应用于诸如ping、跟踪路由以及带宽测试 之类的诊断测试。

图6是图示根据再一实施例的、在所有权数据被嵌入在部署单元（DU） /执行单元（EU）中时保护与UPnP资源关联的UPnP动作的示例性方法的流 程图600。假定控制设备已经具有受限的所有权数据并且要安装的DU/EU 包含与设备保护（DP）服务关联的额外所有权数据。同样，假定DU1的预 先安装的。在步骤602，DM实体和CP1互相授权。在步骤604，CP1向DM 实体发送安装嵌入所有权数据的DU类型应用（DU1）的请求。

在步骤606，DM实体与DP实体检查CP1是否拥有用于执行安装动作 的访问权限。在步骤608，DP实体确认CP1具有执行安装动作的访问权限。 在一个实施例中，DP实体确定与CP1关联的职责是否在推荐的职责列表中。 如果该职责不存在，则检查基于参数的访问控制列表（ACL）以确定CP1 的安装权限。在步骤610，DM实体授权CP1安装DU1并且当成功安装DU1 时向CP1提供确认。

现在，假定另一控制点（CP2）希望卸载DU1。在此情况下，在步骤 612，CP2向DM实体发送用于卸载DU1的请求。在步骤614，DM实体检 查CP2是否拥有用于执行卸载动作的所有权权限。因为在DU1中嵌入的所 有权数据指示CP2具有对DU1的所有权权限，所以在步骤614，DM实体确 认CP2具有执行卸载动作的所有权权限。因此，在步骤616，DM实体授权 CP2卸载DU1并且当成功地卸载了DU1时向CP2提供确认。

图7是根据一个实施例的、在请求未授权UPnP动作时基于所有权权限 向控制点返回出错消息的示例性方法的流程图700。在步骤702，DM实体 和CP1互相授权。在步骤704，CP1向DM实体发送安装DU类型应用（DU1） 的请求。

在步骤706，DM实体与DP实体检查CP1是否拥有用于执行安装动作 的访问权限。在步骤708，DP实体确认CP1具有执行安装动作的访问权限。 在一个实施例中，DP实体确定与CP1关联的职责是否在推荐的职责列表中。 如果该职责不存在，则检查基于参数的访问控制列表（ACL）以确定CP1 的安装权限。在步骤710，DM实体授权CP1安装DU1类型应用并且当成功 安装DU1时向CP1提供确认。

假设，在步骤712，另一控制点（比如说CP2）希望卸载由CP1安装的 DU1应用并向DM实体发送执行用于卸载该DU1的卸载动作的请求。在步 骤714，DM实体检查CP2是否拥有用于执行卸载动作的所有权权限。在步 骤714，因为CP1已经安装了DU1，所以DM实体确认CP1拥有对DU1的 所有权。然后，在步骤716，DM实体在CP2的显示器上返回出错消息，拒 绝该卸载DU1的请求。尽管图6描绘了用于安装和卸载DU类型应用的示 例性情形，但是本领域技术人员明白这里描述的类似步骤对于诊断测试和 EU也是适用的。

图8是图示根据一个实施例的、用于基于所有权权限向UPnP动作提供 安全的家庭网络系统800的框图。在图8中，家庭网络系统800包括控制设 备802和控制点806。根据本发明，控制设备802包括设备保护模块804和 设备管理模块808。

在示例性操作中，控制点806调用与UPnP资源关联的UPnP动作。设 备管理模块804基于与UPnP资源关联的所有权数据，确定控制点806是否 拥有执行UPnP动作的所有权权限。基于该确定，设备管理模块808授权控 制点806在该UPnP资源上执行UPnP动作。明白以下，设备保护模块804 和设备管理模块808两者一起可以依据图1-7所示的一个或多个实施例基于 所有权向UPnP动作提供安全。

图9是图示家庭网络系统800的控制设备802的各种组件的框图，诸如 图8所示的用于实现本主题的实施例的那些组件。在图9中，控制设备802 包括处理器902、存储器904、只读存储器（ROM）906、收发器908、总线 910、通信接口912、显示器914、输入设备916和光标控制918。

如这里所用的处理器902表示任何类型的计算电路，诸如但不限于，微 处理器、微控制器、复杂指令集计算微处理器、精简指令集计算微处理器、 超长指令字微处理器、显式并行指令计算微处理器、图形处理器、数字信号 处理器或者任何其他类型的处理电路。处理器902也可以包括嵌入式控制器， 诸如通用或可编程逻辑器件或阵列、专用集成电路、单片计算机、智能卡等。

存储器904和ROM906可以是易失性存储器和非易失性存储器。根据 图1到8所描述的一个或多个实施例，存储器904包括设备保护模块804和 设备管理模块808，用于基于所有权向家庭网络环境800中的UPnP动作提 供安全。多个计算机可读存储介质可以存储在存储器元件中或从存储器元件 中访问。存储器元件可以包括用于存储数据和机器可读指令的任何合适的 （多个）存储器器件，诸如只读存储器、随机访问存储器、可擦可编程只读 存储器、电可擦可编程只读存储器、硬盘、用于处理光盘的可移除介质驱动、 数字视频盘、软盘、磁带盒、存储器卡、记忆棒（TM）等。

可以结合用于执行任务或定义抽象数据类型或低级硬件环境的、包括功 能、过程、数据结构和应用程序的模块来实现本主题的实施例。在任何上述 存储介质上存储的机器可读指令可以由处理器902执行。例如，根据这里所 描述的本主题的实施例和示教，计算机程序可以包括机器可读指令，其能够 基于所有权对家庭网络环境800中的UPnP动作提供安全。在一个实施例中， 程序可以被包括在光盘只读存储器（CD-ROM）中并从该CD-ROM中载入 到非易失性存储器中的硬盘。该机器可读指令可以使得控制设备802根据本 主题的各种实施例进行编码。

收发器908可以能够接收在UPnP资源上执行UPnP动作的请求并授权 控制点806在所述UPnP资源上执行所述UPnP动作。总线910用作控制设 备802的各种组件之间的互连。诸如通信接口912、显示器914、输入设备 916和光标控制918之类的组件对于本领域技术人员是熟知的，并因此省略 其说明。

已经参考具体示例实施例描述本实施例；显然的是可以对这些实施例做 出各种修改和改变而不背离各种实施例的较宽精神和范围。此外，可以使用 例如基于互补金属氧化物半导体的逻辑电路之类的硬件电路、固件、软件和 /或硬件、固件和/或在机器可读介质中具体化的软件的任何组合使能并运行 这里描述的各种设备、模块、选择器、估计器等。例如，可以使用晶体管、 逻辑门和诸如专用集成电路之类的电子电路具体化各种电结构和方法。