ネットワーク環境におけるユーザコントロールポイント
本発明は、ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する方法、装置、コンピュータプログラムプロダクト及びコンピュータプログラムエレメント、並びにこのような環境においてデバイスにより提供されるサービスにアクセスする方法、装置、コンピュータプログラムプロダクト及びコンピュータプログラムエレメントに関する。コントロールポイントはユーザに対して作成され、前記ユーザの公開鍵に基づくコントロールポイントアイデンティティ(ステップ46)及びコントロールポイント機能(ステップ48)を含む。前記コントロールポイントは、前記ユーザが、前記コントロールポイントが作動される如何なる物理的エンティティ又はアクセスするポイントから如何なるデバイスでも動作することができるように記憶される(ステップ50)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、広くはネットワーク環境におけるセキュリティの分野に関する。本発明は、特には、ネットワーク接続モデル(network connectivity model)を持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する方法、装置、コンピュータプログラムプロダクト及びコンピュータプログラムエレメント、このような環境においてデバイスにより提供されるサービスにアクセスする方法、装置、コンピュータプログラムプロダクト及びコンピュータプログラムエレメント、並びにこのような装置を含むコンピューティングデバイスのネットワークに関する。
【背景技術】
【0002】
ネットワークの分野において、使用される接続モデルは、多くの場合、UPnP(ユニバーサル・プラグ・アンド・プレイ)である。この規格は、コントロールポイント、デバイス及びセキュリティコンソールのようなエンティティを規定する。デバイスは、ここでは、ネットワークの異なる要素に提供するサービスのセットを持つ物理的エンティティであり、セキュリティコンソールは、このようなデバイスに関するこのような要素に対する権利を決定する。コントロールポイントは、前記セキュリティコンソールが前記コントロールポイントにアクセス権を与えた場合に前記デバイスのサービスを使用することを可能にされることができる。この環境において、コントロールポイントは、前記デバイスが設けられたものと同じ又は異なる物理的エンティティに設けられることができる。同じことが前記セキュリティコンソールにも当てはまり、前記物理的デバイスと同じエンティティに設けられることができる。前記セキュリティコンソールは、異なるデバイスに対して設けられることもできる。エンティティのこれらのタイプは、Carl M. Ellisonによる“Home Network Security”, Intel Technical Journal, Vol.6, Issue 4, page 37-48, 2002年11月15日に更に詳細に記載されている。
【0003】
しかしながら、既知のタイプのコントロールポイントに関する問題が存在し、これは、前記コントロールポイントがデバイス依存であることである。これは、コントロールポイントが、第2のデバイスにおけるサービスに対するアクセスを得ようと試みるネットワークに接続された第1のデバイス又はマシンに関連付けられていることを意味する。しかしながら、前記デバイスにアクセスすることを望む人に依存してデバイスに関する異なるタイプの権利を可能にする要求が存在する可能性がある。これは、今日ではUPnP環境において可能ではない。この場合、コントロールポイントを介してデバイスに対するアクセスを得ようと試みる全ての人が同じ権利を持ち、これは、ユーザがアクセスを得ようとする前記デバイスの所有者の利益になりえない。
【0004】
したがって、使用される接続モデルを変更する必要なく、アクセスするポイントに独立に異なる権利をユーザに許可する解決法に対する要求が存在する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明の目的は、ネットワーク接続モデルを持つコンピューティング環境において、アクセスするポイントに独立に且つ使用される前記接続モデルを変更する必要なく、デバイスに関するユーザに異なる権利を許可することである。
【課題を解決するための手段】
【0006】
本発明の第1の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境に対してユーザに関連付けられたコントロールポイントを作成する方法であって、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶するステップであって、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を有する方法により達成される。
【0007】
本発明の第2の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスする方法であって、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続するステップであって、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を有する方法によっても達成される。
【0008】
本発明の第3の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する装置であって、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成し、
少なくとも基本的なコントロールポイント機能を備え、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにする、
ように構成される装置によっても達成される。
【0009】
本発明の第4の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスする装置であって、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別し、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定し、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製し、
前記コントロールポイントを起動し、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにする、
ように構成された装置によっても達成される。
【0010】
本発明の第5の態様によると、この目的は、ネットワーク接続モデルを使用するコンピューティングデバイスのネットワークであって、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成し、
少なくとも基本的なコントロールポイント機能を備え、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにする、
ように構成された、ユーザに関連付けられたコントロールポイントを作成する装置と、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別し、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定し、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製し、
前記コントロールポイントを起動し、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにする、
ように構成された、デバイスにより提供されるサービスにアクセスする装置と、
を有する当該ネットワークによっても達成される。
【0011】
本発明の第6の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成するコンピュータプログラムプロダクトであって、
前記プログラムがコンピュータにロードされる場合に、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を持つコンピュータ読取可能媒体を有する当該コンピュータプログラムプロダクトによっても達成されることができる。
【0012】
本発明の第7の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスするコンピュータプログラムプロダクトであって、
前記プログラムがコンピュータにロードされる場合に、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を持つコンピュータ読取可能媒体を有する当該コンピュータプログラムプロダクトによっても達成される。
【0013】
本発明の第8の態様によると、この目的は、更に、ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成するコンピュータプログラムエレメントであって、
前記プログラムエレメントがコンピュータにロードされる場合に、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を有する当該コンピュータプログラムエレメントにより達成される。
【0014】
本発明の第9の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスするコンピュータプログラムエレメントであって、
前記プログラムエレメントがコンピュータにロードされる場合に、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を有する当該コンピュータプログラムエレメントによっても達成される。
【0015】
請求項2、3及び4は、異なる場所に前記コントロールポイントを記憶することを対象とする。
【0016】
請求項9は、デバイスにアクセスするためにセキュリティコンソールにおいてコントロールポイントを登録することを対象とする。
【0017】
請求項10又は11は、コントロールポイントに対するアクセスを許可する異なる態様を対象とする。
【0018】
本発明は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスに対するアクセスの差別化されたタイプをユーザに対して可能にする利点を持つ。前記アクセスは、更に、ユーザがエンティティを介してデバイスにアクセスする当該エンティティに依存せず、これは、前記ユーザに対してより高い自由度を可能にする。同時に、前記接続モデルは、変更される必要がない。本発明は、更に、既に存在するソフトウェアに加えて追加のソフトウェアを設けるだけで容易に実施することができる。
【0019】
したがって、本発明の裏にある一般的なアイデアは、デバイスに対するアクセスが得られるエンティティではなく、ユーザに関連付けられたネットワーク接続モデルを持つコンピューティング環境におけるコントロールポイントを作成することである。このようなコントロールポイントは、この場合、前記環境のどこでも装置にアクセスするために使用されることができる。
【0020】
本発明のこれら及び他の態様は、以下に記載される実施例を参照して説明され、明らかになる。
【0021】
本発明は、ここで同封の図面に関してより詳細に説明される。
【発明を実施するための最良の形態】
【0022】
図1は、本発明が提供されることができるコンピュータネットワーク10の概略図を示す。前記ネットワークは、一実施例において、異なるサービスが提供されることができるホームネットワークである。このため、前記ネットワークは、複数の物理的エンティティ12、18、20及び22を含み、このうち少なくとも幾つかは、例えばMP3プレーヤ、ウェブラジオ、DVDプレーヤ等のような異なるサービスを提供する。前記エンティティの第1のエンティティ12に接続されるのは、スマートカード16が挿入されているスマートカードリーダ14である。スマートカード16は、システムのユーザの所有であり、前記ユーザを識別し、アクセスを許可する際に使用される秘密暗号鍵及び公開暗号鍵を含む。ネットワークは、前記接続モデル又は標準的なUPnP(ユニバーサル・プラグ・アンド・プレイ)により使用可能にされ、異なるデバイスに対するアクセスは、この規格のセキュリティ規定により使用可能にされる。前記ネットワークは、ここでは固定されているが、無線であることも同等に可能である。
【0023】
図2は、コントロールポイントを作成及びアクセスし、コントロールポイント記憶部26に接続されたコントロールポイント作成及びアクセスユニット24を有する装置12に接続されたスマートカード16のブロック概略図を示す。
【0024】
図3は、コントロールポイントを作成し、アクセスする装置12に接続されたスマートカードの他のブロック概略図を示す。ここでは、スマートカード16は、第1のコントロールポイント30並びに第2及び第3のコントロールポイント32及び34を含むコントロールポイント記憶部26に接続されたコントロールポイント作成及びアクセスユニットと通信する。装置12は、2つの別個の装置、即ちコントロールポイントを作成する装置と、コントロールポイントにアクセスする装置とに分割されることができ、更に、異なる物理的エンティティに設けられることができる。しかしながら、明確性のため、ここでは、前記2つの装置は同一のエンティティに設けられている。
【0025】
図1のネットワーク内の異なるエンティティは、全て異なるサービスを持ち、前記サービスは、MP3ファイルの再生、ウェブラジオ、ビデオ、DVD又は他のタイプのメディアサービスを提供する。しかしながら、1つのエンティティが幾つかのタイプのサービスを提供することができることも可能である。提供される前記異なるサービスは、更に、標準的なUPnP(ユニバーサル・プラグ・アンド・プレイ)を使用することにより制御される。図4は、UPnPの一般的な機能を概略的に示す。したがって、図4は、UPnPシステムにおいて通信する異なる機能エンティティのブロック概略図を示し、ここで第1のコントロールポイント30が動作制御ユニット40及び動作制御リスト42を持つデバイス38と通信する。セキュリティコンソール36も含まれる。これら全てのエンティティは、互いに通信することができ、通信している。更に、これらのエンティティが同一の物理的エンティティに設けられることができるが、異なる物理的エンティティに設けられる方が良いこともあり得ることに気付くべきである。UPnPによるデバイス38は、1つの物理的エンティティ内で提供する複数のサービスを持つ。このシステム内のコントロールポイント30は、この場合、デバイス38により提供されるこれらのサービスにアクセスしようと試みることができる。しかしながら、デバイス38は、動作制御リスト(ACL)42内のコントロールポイントに関して作成されたセッティングに依存してコントロールポイントに対するアクセスを許可するのみである。前記デバイスの所有者と見なされることができるセキュリティコンソール36が、これらのセッティングを作成した。コントロールポイント30がデバイス38の機能に対するアクセスを得るためには、セキュリティコンソール36に登録されなければならない。セキュリティコンソール36は、ネットワーク全体の所有者であることができる前記デバイスの所有者により制御される。したがって、コントロールポイント30がデバイス38にアクセスすることを望む場合、コントロールポイント30は、まずセキュリティコンソール36に登録し、次いで当該デバイス38のACL42における前記コントロールポイントに付与された権利を登録する。この後に、コントロールポイント30は、ACL42において作成されたセッティングによりデバイス38を制御することができる。このようにして、コントロールポイントが、前記セキュリティコンソールが権利を付与されたサービスにのみアクセスすることができるというセキュリティが前記システムに与えられる。ここで、前記デバイスが図1に示されたエンティティの1つ、例えば第2のエンティティ22に設けられ、コントロールポイント30が同じエンティティ又は図1に示される他のエンティティに設けられることができることに気付くべきである。同様に、セキュリティコンソール36は同じエンティティに設けられることができるが、図1に示される他のエンティティに設けられることもできる。セキュリティコンソール36は、更に、幾つかのデバイスに対して異なる権利を設定することができる。
【0026】
従来、コントロールポイントは、異なる物理的エンティティに関連付けられており、これは、図1において、第1のエンティティ12が1つのコントロールポイントを持ち、第2のエンティティ18が他のコントロールポイントを持ち、第3のエンティティ20が更に他のコントロールポイントを持ち、第4のエンティティ22が他のコントロールポイントを持つことを意味する。これは、既知のシステムにおいて、1つのエンティティにより前記エンティティのコントロールポイントを介してサービスにアクセスしようと試みるユーザが、前記コントロールポイントを介して前記エンティティに許可された全てのサービスに対するアクセスを得ることを意味する。これは、アクセスする権利が、サービスにアクセスしようと試みるエンティティより前記ユーザに対してより関連付けられるべきであるという点で問題である。同じエンティティが異なるユーザにより同じサービスにアクセスするために使用されてもよく、これらの異なるユーザが同じ程度で同じサービスに対するアクセスを得ることは、全く望ましくない。
【0027】
1つのデバイスにおけるユーザ間の差別化の1つの方法は、この場合、1つのデバイスに対して1つのコントロールポイントエンティティのみを持ち、前記コントロールポイントが設けられるエンティティにおいてユーザごとの信用証明書を持つことであることができる。これは、前記コントロールポイントを持つエンティティが、アクセス権を管理することをも意味する。デバイスに対するアクセス権は、この場合、個々のユーザのアクセス権に対する論理OR演算を使用して処理される。
【0028】
このタイプの解決法には少数の問題が存在する。セキュリティコンソールからの論理OR演算に基づく条件付き権利を提供することは難しく、この場合、前記コントロールポイントが設けられるエンティティは、ここで前記セキュリティコンソールよりもアクセスを支配し、これは、UPnPで使用されるアクセス管理モデルを変更し、複雑化する。
【0029】
これを解決するために、本発明は、コントロールポイントをユーザに関連付けることを提案する。
【0030】
本発明の第1の態様によりこれが行われることができる方法はここで図1、2、4及び5に関連して説明され、後者の図は本発明によるコントロールポイントを作成する方法のフローチャートを示す。ユーザは第一に前記システムに登録される。これを行うために、前記ユーザに関連付けられた新しいコントロールポイントが作成される。これは、前記ユーザが前記第1のエンティティ12を使用し、第1のエンティティ12に接続されたスマートカードリーダ14に前記ユーザのスマートカード16を挿入することにより行われる。前記第1のエンティティは、したがって、前記新しいコントロールポイントを作成するように構成されたコントロールポイント作成及びアクセスユニット24を設ける。ステップ46において、コントロールポイント作成及びアクセスユニット24は、したがって、前記ユーザの公開鍵に基づいて且つ通常は前記公開鍵のハッシュを作成することによりコントロールポイント識別子を作成し、前記公開鍵は、前記ユーザのスマートカードから前記ユーザによりこのコントロールポイント作成ユニットに与えられる。この後に、ステップ48において、コントロールポイント作成及びアクセスユニット24は、デバイスを識別及び制御し、異なるデバイスからのイベントに加入することができるような通常のコントロールポイント機能を前記コントロールポイントに与える。ステップ50において、コントロールポイント作成及びアクセスユニット24は、この場合、前記コントロールポイントアイデンティティ及び前記機能を前記ユーザに関連付けられたコントロールポイントとして第1のエンティティ12内のコントロールポイント記憶部26に記憶する。ここで、コントロールポイント作成及びアクセスユニットが、スマートカードリーダを有することを条件として前記エンティティのいずれに設けられることもできることに気付くべきである。同様に、前記コントロールポイント記憶部は、前記エンティティのいずれに設けられることもでき、又は複製が全てのエンティティに対して行われることもできる。更に、コントロールポイントが記憶される特別なサーバが存在することができ、ユーザがエンティティを介してあるデバイスを制御することを望む当該エンティティは、問題のコントロールポイントを見つけるために前記特別なサーバに連絡する。前記コントロールポイントが前記ユーザの実際のスマートカードに記憶されることも可能である。しかしながら、前記コントロールポイント識別子は、前記ユーザのスマートカードにも記憶されるべきである。
【0031】
本発明の第2の態様は、図1、3、4及び6に関連してここに記載され、後者の図は、本発明によるサービスにアクセスする方法のフローチャートを示す。したがってコントロールポイント30が登録されており、ユーザが後であるデバイスにアクセスすることを望み、これがユーザに対してアクセスを許可するシステムのエンティティのいずれかから行うことができる場合に、前記ユーザは、スマートカード16及び前記コントロールポイント識別子を使用してコントロールポイント作成及びアクセスユニット24と連絡を取る。第1のエンティティ14は、したがって、ここでは前記ユーザが前記ネットワークにアクセスするポイントである。前記ユーザは、この場合、ログイン名及びパスワードを使用する標準的なログイン手順を使用して前記ネットワークにログインすることができる。ステップ52において、コントロールポイント作成及びアクセスユニット24は、したがって、サービスにアクセスする要求を識別する。ステップ54において、コントロールポイント作成及びアクセスユニット24は、この場合、コントロールポイント記憶部26の中を見て、コントロールポイントが存在するかどうかを識別する。存在しない場合には、ステップ56において、前記コントロールポイントは、前記ネットワーク内のどこかの記憶部、例えばコントロールポイントサーバから前記エンティティに複製される。この後に、ステップ58において、コントロールポイント作成及びアクセスユニット24は、前記ユーザが前記ネットワーク内の前記デバイスの異なるサービスを発見及びアクセスすることができるように前記ユーザに対してコントロールポイント30を作動する。ステップ60において、前記ユーザがこの場合に発見段階を介して見つけられることができるデバイスのいくつか又はいずれかにアクセスすることを望む場合に、コントロールポイント30は、前記ユーザが連絡を取ることを望むデバイス38に関連付けられたセキュリティコンソール36に登録するようにされ、これは図4に関して上で概説されている。ステップ62において、セキュリティコンソール36は、この場合、既知の方法でコントロールポイント30に対するアクセスを許可し、本実施例においてこれは問題のデバイス38の動作制御リスト42を更新することにより行われる。この後に、ステップ64において、コントロールポイント30は、アクセスを可能にするためにデバイス38に接続される。
【0032】
前記コントロールポイント作成及びアクセスユニットは、好ましくは、本発明による前記方法を実行するプログラムコードを含む対応するプログラムメモリと一緒に1つ又は複数のプロセッサの形式で与えられる。前記プログラムコードは、図7においてCD−ROMディスク66の形式で示されるコンピュータプログラムプロダクトに設けられることができる。これはただの一例であり、様々な他のタイプのコンピュータプログラムプロダクトが同様に実現可能である。前記プログラムコードは、更に、サーバから、ことによるとインターネットを介してエンティティ又は前記スマートカードにダウンロードされることができる。他の代替例は、前記プログラムコードが前記スマートカードに記憶されることである。
【0033】
前記ユーザが問題のエンティティからデバイスにアクセスしようと試みる当該エンティティが、コントロールポイントアクセスユニット又はコントロールポイント記憶部を持たないことが可能である。この場合、前記ユーザがこのようなコントロールポイントアクセスユニットを持つエンティティに対するリモートログインを実行し、コントロールポイント記憶部にアクセスすることができることが可能である。この場合、前記ユーザは、前記システムのログインサーバにログインする。
【0034】
更に、ユーザの識別及び確認が、ログイン名及びパスワードを使用する通常のログイン手順を介する代わりにバイオメトリクス情報により行われることができることが可能である。このバイオメトリクス情報は、目を見せることに基づくことができる。
【0035】
本発明の上述の実施例において、権利は、デバイスのACLリスト内の項目によりコントロールポイントに与えられる。前記コントロールポイントに送られ記憶されるチケットの形式でこれらの権利を提供することも同様に可能である。デバイスにアクセスする場合、前記デバイスが前記ACLリストを読む代わりに前記コントロールポイントが前記デバイスにこのチケットを与える。
【0036】
本発明は、したがって、前記ユーザがエンティティを介してデバイスにアクセスしようと試みる当該エンティティではなく、前記ユーザに直接的に関連付けられたコントロールポイントを提供する。したがって、前記デバイスの所有者にとって、同じインターフェースを使用するユーザ間でアクセスを区別することが容易である。更に、これは、UPnP規格を変更する必要なく小さな追加コスト及び労力で実施される。
【0037】
本発明は、したがって、添付の請求項によってのみ制限される。
【図面の簡単な説明】
【0038】
【図1】ネットワーク内で接続された複数の物理的デバイスのブロック概略図を示す。
【図2】本発明によるコントロールポイントを作成し、アクセスする装置のブロック概略図を示す。
【図3】本発明によるコントロールポイントを作成し、アクセスする装置の他のブロック概略図を示す。
【図4】コントロールポイント、デバイス及びセキュリティコンソールのブロック概略図を示す。
【図5】本発明によるコントロールポイントを作成する方法のフローチャートを示す。
【図6】本発明によるサービスにアクセスする方法のフローチャートを示す。
【図7】本発明を実行するプログラムコードを記憶するCD−ROMディスクの形式のコンピュータ読取可能媒体を示す。
【技術分野】
【0001】
本発明は、広くはネットワーク環境におけるセキュリティの分野に関する。本発明は、特には、ネットワーク接続モデル(network connectivity model)を持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する方法、装置、コンピュータプログラムプロダクト及びコンピュータプログラムエレメント、このような環境においてデバイスにより提供されるサービスにアクセスする方法、装置、コンピュータプログラムプロダクト及びコンピュータプログラムエレメント、並びにこのような装置を含むコンピューティングデバイスのネットワークに関する。
【背景技術】
【0002】
ネットワークの分野において、使用される接続モデルは、多くの場合、UPnP(ユニバーサル・プラグ・アンド・プレイ)である。この規格は、コントロールポイント、デバイス及びセキュリティコンソールのようなエンティティを規定する。デバイスは、ここでは、ネットワークの異なる要素に提供するサービスのセットを持つ物理的エンティティであり、セキュリティコンソールは、このようなデバイスに関するこのような要素に対する権利を決定する。コントロールポイントは、前記セキュリティコンソールが前記コントロールポイントにアクセス権を与えた場合に前記デバイスのサービスを使用することを可能にされることができる。この環境において、コントロールポイントは、前記デバイスが設けられたものと同じ又は異なる物理的エンティティに設けられることができる。同じことが前記セキュリティコンソールにも当てはまり、前記物理的デバイスと同じエンティティに設けられることができる。前記セキュリティコンソールは、異なるデバイスに対して設けられることもできる。エンティティのこれらのタイプは、Carl M. Ellisonによる“Home Network Security”, Intel Technical Journal, Vol.6, Issue 4, page 37-48, 2002年11月15日に更に詳細に記載されている。
【0003】
しかしながら、既知のタイプのコントロールポイントに関する問題が存在し、これは、前記コントロールポイントがデバイス依存であることである。これは、コントロールポイントが、第2のデバイスにおけるサービスに対するアクセスを得ようと試みるネットワークに接続された第1のデバイス又はマシンに関連付けられていることを意味する。しかしながら、前記デバイスにアクセスすることを望む人に依存してデバイスに関する異なるタイプの権利を可能にする要求が存在する可能性がある。これは、今日ではUPnP環境において可能ではない。この場合、コントロールポイントを介してデバイスに対するアクセスを得ようと試みる全ての人が同じ権利を持ち、これは、ユーザがアクセスを得ようとする前記デバイスの所有者の利益になりえない。
【0004】
したがって、使用される接続モデルを変更する必要なく、アクセスするポイントに独立に異なる権利をユーザに許可する解決法に対する要求が存在する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明の目的は、ネットワーク接続モデルを持つコンピューティング環境において、アクセスするポイントに独立に且つ使用される前記接続モデルを変更する必要なく、デバイスに関するユーザに異なる権利を許可することである。
【課題を解決するための手段】
【0006】
本発明の第1の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境に対してユーザに関連付けられたコントロールポイントを作成する方法であって、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶するステップであって、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を有する方法により達成される。
【0007】
本発明の第2の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスする方法であって、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続するステップであって、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を有する方法によっても達成される。
【0008】
本発明の第3の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する装置であって、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成し、
少なくとも基本的なコントロールポイント機能を備え、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにする、
ように構成される装置によっても達成される。
【0009】
本発明の第4の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスする装置であって、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別し、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定し、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製し、
前記コントロールポイントを起動し、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにする、
ように構成された装置によっても達成される。
【0010】
本発明の第5の態様によると、この目的は、ネットワーク接続モデルを使用するコンピューティングデバイスのネットワークであって、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成し、
少なくとも基本的なコントロールポイント機能を備え、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにする、
ように構成された、ユーザに関連付けられたコントロールポイントを作成する装置と、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別し、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定し、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製し、
前記コントロールポイントを起動し、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにする、
ように構成された、デバイスにより提供されるサービスにアクセスする装置と、
を有する当該ネットワークによっても達成される。
【0011】
本発明の第6の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成するコンピュータプログラムプロダクトであって、
前記プログラムがコンピュータにロードされる場合に、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を持つコンピュータ読取可能媒体を有する当該コンピュータプログラムプロダクトによっても達成されることができる。
【0012】
本発明の第7の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスするコンピュータプログラムプロダクトであって、
前記プログラムがコンピュータにロードされる場合に、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を持つコンピュータ読取可能媒体を有する当該コンピュータプログラムプロダクトによっても達成される。
【0013】
本発明の第8の態様によると、この目的は、更に、ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成するコンピュータプログラムエレメントであって、
前記プログラムエレメントがコンピュータにロードされる場合に、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を有する当該コンピュータプログラムエレメントにより達成される。
【0014】
本発明の第9の態様によると、この目的は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスするコンピュータプログラムエレメントであって、
前記プログラムエレメントがコンピュータにロードされる場合に、
コントロールポイント識別子を使用することにより前記ユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
前記アクセスするポイントにおいてこのようなコントロールポイントが存在しない場合には前記コントロールポイントを前記アクセスするポイントに対して複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を有する当該コンピュータプログラムエレメントによっても達成される。
【0015】
請求項2、3及び4は、異なる場所に前記コントロールポイントを記憶することを対象とする。
【0016】
請求項9は、デバイスにアクセスするためにセキュリティコンソールにおいてコントロールポイントを登録することを対象とする。
【0017】
請求項10又は11は、コントロールポイントに対するアクセスを許可する異なる態様を対象とする。
【0018】
本発明は、ネットワーク接続モデルを持つコンピューティング環境においてデバイスに対するアクセスの差別化されたタイプをユーザに対して可能にする利点を持つ。前記アクセスは、更に、ユーザがエンティティを介してデバイスにアクセスする当該エンティティに依存せず、これは、前記ユーザに対してより高い自由度を可能にする。同時に、前記接続モデルは、変更される必要がない。本発明は、更に、既に存在するソフトウェアに加えて追加のソフトウェアを設けるだけで容易に実施することができる。
【0019】
したがって、本発明の裏にある一般的なアイデアは、デバイスに対するアクセスが得られるエンティティではなく、ユーザに関連付けられたネットワーク接続モデルを持つコンピューティング環境におけるコントロールポイントを作成することである。このようなコントロールポイントは、この場合、前記環境のどこでも装置にアクセスするために使用されることができる。
【0020】
本発明のこれら及び他の態様は、以下に記載される実施例を参照して説明され、明らかになる。
【0021】
本発明は、ここで同封の図面に関してより詳細に説明される。
【発明を実施するための最良の形態】
【0022】
図1は、本発明が提供されることができるコンピュータネットワーク10の概略図を示す。前記ネットワークは、一実施例において、異なるサービスが提供されることができるホームネットワークである。このため、前記ネットワークは、複数の物理的エンティティ12、18、20及び22を含み、このうち少なくとも幾つかは、例えばMP3プレーヤ、ウェブラジオ、DVDプレーヤ等のような異なるサービスを提供する。前記エンティティの第1のエンティティ12に接続されるのは、スマートカード16が挿入されているスマートカードリーダ14である。スマートカード16は、システムのユーザの所有であり、前記ユーザを識別し、アクセスを許可する際に使用される秘密暗号鍵及び公開暗号鍵を含む。ネットワークは、前記接続モデル又は標準的なUPnP(ユニバーサル・プラグ・アンド・プレイ)により使用可能にされ、異なるデバイスに対するアクセスは、この規格のセキュリティ規定により使用可能にされる。前記ネットワークは、ここでは固定されているが、無線であることも同等に可能である。
【0023】
図2は、コントロールポイントを作成及びアクセスし、コントロールポイント記憶部26に接続されたコントロールポイント作成及びアクセスユニット24を有する装置12に接続されたスマートカード16のブロック概略図を示す。
【0024】
図3は、コントロールポイントを作成し、アクセスする装置12に接続されたスマートカードの他のブロック概略図を示す。ここでは、スマートカード16は、第1のコントロールポイント30並びに第2及び第3のコントロールポイント32及び34を含むコントロールポイント記憶部26に接続されたコントロールポイント作成及びアクセスユニットと通信する。装置12は、2つの別個の装置、即ちコントロールポイントを作成する装置と、コントロールポイントにアクセスする装置とに分割されることができ、更に、異なる物理的エンティティに設けられることができる。しかしながら、明確性のため、ここでは、前記2つの装置は同一のエンティティに設けられている。
【0025】
図1のネットワーク内の異なるエンティティは、全て異なるサービスを持ち、前記サービスは、MP3ファイルの再生、ウェブラジオ、ビデオ、DVD又は他のタイプのメディアサービスを提供する。しかしながら、1つのエンティティが幾つかのタイプのサービスを提供することができることも可能である。提供される前記異なるサービスは、更に、標準的なUPnP(ユニバーサル・プラグ・アンド・プレイ)を使用することにより制御される。図4は、UPnPの一般的な機能を概略的に示す。したがって、図4は、UPnPシステムにおいて通信する異なる機能エンティティのブロック概略図を示し、ここで第1のコントロールポイント30が動作制御ユニット40及び動作制御リスト42を持つデバイス38と通信する。セキュリティコンソール36も含まれる。これら全てのエンティティは、互いに通信することができ、通信している。更に、これらのエンティティが同一の物理的エンティティに設けられることができるが、異なる物理的エンティティに設けられる方が良いこともあり得ることに気付くべきである。UPnPによるデバイス38は、1つの物理的エンティティ内で提供する複数のサービスを持つ。このシステム内のコントロールポイント30は、この場合、デバイス38により提供されるこれらのサービスにアクセスしようと試みることができる。しかしながら、デバイス38は、動作制御リスト(ACL)42内のコントロールポイントに関して作成されたセッティングに依存してコントロールポイントに対するアクセスを許可するのみである。前記デバイスの所有者と見なされることができるセキュリティコンソール36が、これらのセッティングを作成した。コントロールポイント30がデバイス38の機能に対するアクセスを得るためには、セキュリティコンソール36に登録されなければならない。セキュリティコンソール36は、ネットワーク全体の所有者であることができる前記デバイスの所有者により制御される。したがって、コントロールポイント30がデバイス38にアクセスすることを望む場合、コントロールポイント30は、まずセキュリティコンソール36に登録し、次いで当該デバイス38のACL42における前記コントロールポイントに付与された権利を登録する。この後に、コントロールポイント30は、ACL42において作成されたセッティングによりデバイス38を制御することができる。このようにして、コントロールポイントが、前記セキュリティコンソールが権利を付与されたサービスにのみアクセスすることができるというセキュリティが前記システムに与えられる。ここで、前記デバイスが図1に示されたエンティティの1つ、例えば第2のエンティティ22に設けられ、コントロールポイント30が同じエンティティ又は図1に示される他のエンティティに設けられることができることに気付くべきである。同様に、セキュリティコンソール36は同じエンティティに設けられることができるが、図1に示される他のエンティティに設けられることもできる。セキュリティコンソール36は、更に、幾つかのデバイスに対して異なる権利を設定することができる。
【0026】
従来、コントロールポイントは、異なる物理的エンティティに関連付けられており、これは、図1において、第1のエンティティ12が1つのコントロールポイントを持ち、第2のエンティティ18が他のコントロールポイントを持ち、第3のエンティティ20が更に他のコントロールポイントを持ち、第4のエンティティ22が他のコントロールポイントを持つことを意味する。これは、既知のシステムにおいて、1つのエンティティにより前記エンティティのコントロールポイントを介してサービスにアクセスしようと試みるユーザが、前記コントロールポイントを介して前記エンティティに許可された全てのサービスに対するアクセスを得ることを意味する。これは、アクセスする権利が、サービスにアクセスしようと試みるエンティティより前記ユーザに対してより関連付けられるべきであるという点で問題である。同じエンティティが異なるユーザにより同じサービスにアクセスするために使用されてもよく、これらの異なるユーザが同じ程度で同じサービスに対するアクセスを得ることは、全く望ましくない。
【0027】
1つのデバイスにおけるユーザ間の差別化の1つの方法は、この場合、1つのデバイスに対して1つのコントロールポイントエンティティのみを持ち、前記コントロールポイントが設けられるエンティティにおいてユーザごとの信用証明書を持つことであることができる。これは、前記コントロールポイントを持つエンティティが、アクセス権を管理することをも意味する。デバイスに対するアクセス権は、この場合、個々のユーザのアクセス権に対する論理OR演算を使用して処理される。
【0028】
このタイプの解決法には少数の問題が存在する。セキュリティコンソールからの論理OR演算に基づく条件付き権利を提供することは難しく、この場合、前記コントロールポイントが設けられるエンティティは、ここで前記セキュリティコンソールよりもアクセスを支配し、これは、UPnPで使用されるアクセス管理モデルを変更し、複雑化する。
【0029】
これを解決するために、本発明は、コントロールポイントをユーザに関連付けることを提案する。
【0030】
本発明の第1の態様によりこれが行われることができる方法はここで図1、2、4及び5に関連して説明され、後者の図は本発明によるコントロールポイントを作成する方法のフローチャートを示す。ユーザは第一に前記システムに登録される。これを行うために、前記ユーザに関連付けられた新しいコントロールポイントが作成される。これは、前記ユーザが前記第1のエンティティ12を使用し、第1のエンティティ12に接続されたスマートカードリーダ14に前記ユーザのスマートカード16を挿入することにより行われる。前記第1のエンティティは、したがって、前記新しいコントロールポイントを作成するように構成されたコントロールポイント作成及びアクセスユニット24を設ける。ステップ46において、コントロールポイント作成及びアクセスユニット24は、したがって、前記ユーザの公開鍵に基づいて且つ通常は前記公開鍵のハッシュを作成することによりコントロールポイント識別子を作成し、前記公開鍵は、前記ユーザのスマートカードから前記ユーザによりこのコントロールポイント作成ユニットに与えられる。この後に、ステップ48において、コントロールポイント作成及びアクセスユニット24は、デバイスを識別及び制御し、異なるデバイスからのイベントに加入することができるような通常のコントロールポイント機能を前記コントロールポイントに与える。ステップ50において、コントロールポイント作成及びアクセスユニット24は、この場合、前記コントロールポイントアイデンティティ及び前記機能を前記ユーザに関連付けられたコントロールポイントとして第1のエンティティ12内のコントロールポイント記憶部26に記憶する。ここで、コントロールポイント作成及びアクセスユニットが、スマートカードリーダを有することを条件として前記エンティティのいずれに設けられることもできることに気付くべきである。同様に、前記コントロールポイント記憶部は、前記エンティティのいずれに設けられることもでき、又は複製が全てのエンティティに対して行われることもできる。更に、コントロールポイントが記憶される特別なサーバが存在することができ、ユーザがエンティティを介してあるデバイスを制御することを望む当該エンティティは、問題のコントロールポイントを見つけるために前記特別なサーバに連絡する。前記コントロールポイントが前記ユーザの実際のスマートカードに記憶されることも可能である。しかしながら、前記コントロールポイント識別子は、前記ユーザのスマートカードにも記憶されるべきである。
【0031】
本発明の第2の態様は、図1、3、4及び6に関連してここに記載され、後者の図は、本発明によるサービスにアクセスする方法のフローチャートを示す。したがってコントロールポイント30が登録されており、ユーザが後であるデバイスにアクセスすることを望み、これがユーザに対してアクセスを許可するシステムのエンティティのいずれかから行うことができる場合に、前記ユーザは、スマートカード16及び前記コントロールポイント識別子を使用してコントロールポイント作成及びアクセスユニット24と連絡を取る。第1のエンティティ14は、したがって、ここでは前記ユーザが前記ネットワークにアクセスするポイントである。前記ユーザは、この場合、ログイン名及びパスワードを使用する標準的なログイン手順を使用して前記ネットワークにログインすることができる。ステップ52において、コントロールポイント作成及びアクセスユニット24は、したがって、サービスにアクセスする要求を識別する。ステップ54において、コントロールポイント作成及びアクセスユニット24は、この場合、コントロールポイント記憶部26の中を見て、コントロールポイントが存在するかどうかを識別する。存在しない場合には、ステップ56において、前記コントロールポイントは、前記ネットワーク内のどこかの記憶部、例えばコントロールポイントサーバから前記エンティティに複製される。この後に、ステップ58において、コントロールポイント作成及びアクセスユニット24は、前記ユーザが前記ネットワーク内の前記デバイスの異なるサービスを発見及びアクセスすることができるように前記ユーザに対してコントロールポイント30を作動する。ステップ60において、前記ユーザがこの場合に発見段階を介して見つけられることができるデバイスのいくつか又はいずれかにアクセスすることを望む場合に、コントロールポイント30は、前記ユーザが連絡を取ることを望むデバイス38に関連付けられたセキュリティコンソール36に登録するようにされ、これは図4に関して上で概説されている。ステップ62において、セキュリティコンソール36は、この場合、既知の方法でコントロールポイント30に対するアクセスを許可し、本実施例においてこれは問題のデバイス38の動作制御リスト42を更新することにより行われる。この後に、ステップ64において、コントロールポイント30は、アクセスを可能にするためにデバイス38に接続される。
【0032】
前記コントロールポイント作成及びアクセスユニットは、好ましくは、本発明による前記方法を実行するプログラムコードを含む対応するプログラムメモリと一緒に1つ又は複数のプロセッサの形式で与えられる。前記プログラムコードは、図7においてCD−ROMディスク66の形式で示されるコンピュータプログラムプロダクトに設けられることができる。これはただの一例であり、様々な他のタイプのコンピュータプログラムプロダクトが同様に実現可能である。前記プログラムコードは、更に、サーバから、ことによるとインターネットを介してエンティティ又は前記スマートカードにダウンロードされることができる。他の代替例は、前記プログラムコードが前記スマートカードに記憶されることである。
【0033】
前記ユーザが問題のエンティティからデバイスにアクセスしようと試みる当該エンティティが、コントロールポイントアクセスユニット又はコントロールポイント記憶部を持たないことが可能である。この場合、前記ユーザがこのようなコントロールポイントアクセスユニットを持つエンティティに対するリモートログインを実行し、コントロールポイント記憶部にアクセスすることができることが可能である。この場合、前記ユーザは、前記システムのログインサーバにログインする。
【0034】
更に、ユーザの識別及び確認が、ログイン名及びパスワードを使用する通常のログイン手順を介する代わりにバイオメトリクス情報により行われることができることが可能である。このバイオメトリクス情報は、目を見せることに基づくことができる。
【0035】
本発明の上述の実施例において、権利は、デバイスのACLリスト内の項目によりコントロールポイントに与えられる。前記コントロールポイントに送られ記憶されるチケットの形式でこれらの権利を提供することも同様に可能である。デバイスにアクセスする場合、前記デバイスが前記ACLリストを読む代わりに前記コントロールポイントが前記デバイスにこのチケットを与える。
【0036】
本発明は、したがって、前記ユーザがエンティティを介してデバイスにアクセスしようと試みる当該エンティティではなく、前記ユーザに直接的に関連付けられたコントロールポイントを提供する。したがって、前記デバイスの所有者にとって、同じインターフェースを使用するユーザ間でアクセスを区別することが容易である。更に、これは、UPnP規格を変更する必要なく小さな追加コスト及び労力で実施される。
【0037】
本発明は、したがって、添付の請求項によってのみ制限される。
【図面の簡単な説明】
【0038】
【図1】ネットワーク内で接続された複数の物理的デバイスのブロック概略図を示す。
【図2】本発明によるコントロールポイントを作成し、アクセスする装置のブロック概略図を示す。
【図3】本発明によるコントロールポイントを作成し、アクセスする装置の他のブロック概略図を示す。
【図4】コントロールポイント、デバイス及びセキュリティコンソールのブロック概略図を示す。
【図5】本発明によるコントロールポイントを作成する方法のフローチャートを示す。
【図6】本発明によるサービスにアクセスする方法のフローチャートを示す。
【図7】本発明を実行するプログラムコードを記憶するCD−ROMディスクの形式のコンピュータ読取可能媒体を示す。
【特許請求の範囲】
【請求項1】
ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する方法において、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶するステップであって、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を有する方法。
【請求項2】
前記コントロールポイントがサーバに記憶され、ユーザがエンティティを介してデバイスにアクセスすることができる当該エンティティが前記サーバに到達することができる、請求項1に記載の方法。
【請求項3】
前記コントロールポイントが、前記ユーザのスマートカードに記憶される、請求項1に記載の方法。
【請求項4】
前記コントロールポイントのレプリカは、前記ユーザが制御することを可能にされることができる各デバイスに記憶される、請求項1に記載の方法。
【請求項5】
前記接続モデルがユニバーサル・プラグ・アンド・プレイである、請求項1に記載の方法。
【請求項6】
ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスする方法において、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続するステップであって、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を有する方法。
【請求項7】
前記識別するステップが、前記ユーザの公開鍵及び秘密鍵を使用して前記ユーザの認証を実行することを含む、請求項6に記載の方法。
【請求項8】
前記複製するステップが、既知のユーザコントロールポイント記憶部から前記コントロールポイントを複製することを含む、請求項6に記載の方法。
【請求項9】
前記コントロールポイント識別子を使用してセキュリティコンソールにおいて前記コントロールポイントを登録するステップと、
前記セキュリティコンソールから少なくとも1つのデバイスに関する前記コントロールポイントに対して許可を与えるステップであって、ユーザが前記コントロールポイントを介して前記デバイスのサービスにアクセスすることができるようにするステップと、
を更に有する、請求項6に記載の方法。
【請求項10】
前記許可を与えるステップが、問題のデバイスに関連付けられた動作制御リストに前記コントロールポイント識別子を記憶することを含む、請求項9に記載の方法。
【請求項11】
前記許可を与えるステップが、前記デバイスのサービスにアクセスするのに使用されるチケットを前記コントロールポイントに与えることを含む、請求項9に記載の方法。
【請求項12】
セキュリティコンソールにより与えられるアクセス権を使用して前記サービスにアクセスするステップを更に有する、請求項9に記載の方法。
【請求項13】
ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する装置において、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成し、
少なくとも基本的なコントロールポイント機能を備え、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにする、
ように構成された装置。
【請求項14】
ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスする装置において、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別し、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定し、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製し、
前記コントロールポイントを起動し、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにする、
ように構成された装置。
【請求項15】
ネットワーク接続モデルを使用するコンピューティングデバイスのネットワークにおいて、
ユーザに関連付けられたコントロールポイントを作成する装置であって、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成し、
少なくとも基本的なコントロールポイント機能を備え、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにする、
ように構成された当該装置と、
デバイスにより提供されるサービスにアクセスする装置であって、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別し、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定し、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製し、
前記コントロールポイントを起動し、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにする、
ように構成された当該装置と、
を有するネットワーク。
【請求項16】
ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成するコンピュータプログラムプロダクトにおいて、
前記プログラムがコンピュータにロードされる場合に、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を持つコンピュータ読取可能媒体を有するコンピュータプログラムプロダクト。
【請求項17】
ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスするコンピュータプログラムプロダクトにおいて、
前記プログラムがコンピュータにロードされる場合に、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を持つコンピュータ読取可能媒体を有するコンピュータプログラムプロダクト。
【請求項18】
ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成するコンピュータプログラムにおいて、
前記プログラムがコンピュータにロードされる場合に、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を有するコンピュータプログラム。
【請求項19】
ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスするコンピュータプログラムにおいて、
前記プログラムがコンピュータにロードされる場合に、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を有するコンピュータプログラム。
【請求項1】
ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する方法において、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶するステップであって、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を有する方法。
【請求項2】
前記コントロールポイントがサーバに記憶され、ユーザがエンティティを介してデバイスにアクセスすることができる当該エンティティが前記サーバに到達することができる、請求項1に記載の方法。
【請求項3】
前記コントロールポイントが、前記ユーザのスマートカードに記憶される、請求項1に記載の方法。
【請求項4】
前記コントロールポイントのレプリカは、前記ユーザが制御することを可能にされることができる各デバイスに記憶される、請求項1に記載の方法。
【請求項5】
前記接続モデルがユニバーサル・プラグ・アンド・プレイである、請求項1に記載の方法。
【請求項6】
ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスする方法において、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続するステップであって、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を有する方法。
【請求項7】
前記識別するステップが、前記ユーザの公開鍵及び秘密鍵を使用して前記ユーザの認証を実行することを含む、請求項6に記載の方法。
【請求項8】
前記複製するステップが、既知のユーザコントロールポイント記憶部から前記コントロールポイントを複製することを含む、請求項6に記載の方法。
【請求項9】
前記コントロールポイント識別子を使用してセキュリティコンソールにおいて前記コントロールポイントを登録するステップと、
前記セキュリティコンソールから少なくとも1つのデバイスに関する前記コントロールポイントに対して許可を与えるステップであって、ユーザが前記コントロールポイントを介して前記デバイスのサービスにアクセスすることができるようにするステップと、
を更に有する、請求項6に記載の方法。
【請求項10】
前記許可を与えるステップが、問題のデバイスに関連付けられた動作制御リストに前記コントロールポイント識別子を記憶することを含む、請求項9に記載の方法。
【請求項11】
前記許可を与えるステップが、前記デバイスのサービスにアクセスするのに使用されるチケットを前記コントロールポイントに与えることを含む、請求項9に記載の方法。
【請求項12】
セキュリティコンソールにより与えられるアクセス権を使用して前記サービスにアクセスするステップを更に有する、請求項9に記載の方法。
【請求項13】
ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成する装置において、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成し、
少なくとも基本的なコントロールポイント機能を備え、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにする、
ように構成された装置。
【請求項14】
ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスする装置において、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別し、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定し、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製し、
前記コントロールポイントを起動し、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにする、
ように構成された装置。
【請求項15】
ネットワーク接続モデルを使用するコンピューティングデバイスのネットワークにおいて、
ユーザに関連付けられたコントロールポイントを作成する装置であって、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成し、
少なくとも基本的なコントロールポイント機能を備え、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにする、
ように構成された当該装置と、
デバイスにより提供されるサービスにアクセスする装置であって、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別し、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定し、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製し、
前記コントロールポイントを起動し、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにする、
ように構成された当該装置と、
を有するネットワーク。
【請求項16】
ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成するコンピュータプログラムプロダクトにおいて、
前記プログラムがコンピュータにロードされる場合に、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を持つコンピュータ読取可能媒体を有するコンピュータプログラムプロダクト。
【請求項17】
ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスするコンピュータプログラムプロダクトにおいて、
前記プログラムがコンピュータにロードされる場合に、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を持つコンピュータ読取可能媒体を有するコンピュータプログラムプロダクト。
【請求項18】
ネットワーク接続モデルを持つコンピューティング環境においてユーザに関連付けられたコントロールポイントを作成するコンピュータプログラムにおいて、
前記プログラムがコンピュータにロードされる場合に、
前記ユーザに関連付けられた公開鍵に基づいて前記ユーザに対するコントロールポイントアイデンティティを生成するステップと、
少なくとも基本的なコントロールポイント機能を備えるステップと、
前記コントロールポイントアイデンティティ及び前記機能をコントロールポイントとして記憶して、前記ユーザが、前記コントロールポイントが使用可能にされる物理的エンティティから前記コンピューティング環境において前記ユーザが許可されたデバイスを動作することができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を有するコンピュータプログラム。
【請求項19】
ネットワーク接続モデルを持つコンピューティング環境においてデバイスにより提供されるサービスにアクセスするコンピュータプログラムにおいて、
前記プログラムがコンピュータにロードされる場合に、
コントロールポイント識別子を使用することによりユーザが前記コンピューティング環境にアクセスするポイントにおいてサービスにアクセスすることを望むユーザを識別するステップと、
前記アクセスするポイントにおいて前記ユーザに関連付けられたコントロールポイントが存在するかどうかを決定するステップと、
このようなコントロールポイントが前記アクセスするポイントに存在しない場合に、前記コントロールポイントを前記アクセスするポイントに複製するステップと、
前記コントロールポイントを起動するステップと、
前記コントロールポイントをデバイスに接続して、前記ユーザが前記ユーザに与えられた権利に依存して前記デバイスからのサービスにアクセスすることができるようにするステップと、
を前記コンピュータに実行させるコンピュータプログラムコード手段を有するコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2007−510984(P2007−510984A)
【公表日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願番号】特願2006−537533(P2006−537533)
【出願日】平成16年10月28日(2004.10.28)
【国際出願番号】PCT/IB2004/052233
【国際公開番号】WO2005/046165
【国際公開日】平成17年5月19日(2005.5.19)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願日】平成16年10月28日(2004.10.28)
【国際出願番号】PCT/IB2004/052233
【国際公開番号】WO2005/046165
【国際公開日】平成17年5月19日(2005.5.19)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]