保護(hù)在網(wǎng)絡(luò)中連接的設(shè)備之間共享的數(shù)據(jù)的方法和對(duì)應(yīng)裝置制造方法
【專利摘要】本發(fā)明提出了一種保護(hù)在如局域網(wǎng)或LAN的網(wǎng)絡(luò)中連接的設(shè)備的數(shù)據(jù)的方法和設(shè)備。所述方法和設(shè)備可以例如實(shí)現(xiàn)在網(wǎng)關(guān)上,所述網(wǎng)關(guān)用作LAN網(wǎng)絡(luò)中的設(shè)備之間的互連設(shè)備,并且可以向這些設(shè)備提供對(duì)如廣域網(wǎng)或WAN的外部網(wǎng)絡(luò)的訪問。因此,所述方法和設(shè)備向在網(wǎng)關(guān)上執(zhí)行的應(yīng)用,如從WAN下載的應(yīng)用,提供受保護(hù)環(huán)境。所述方法和設(shè)備向在網(wǎng)關(guān)上執(zhí)行的應(yīng)用提供對(duì)LAN資源的受控訪問,以保護(hù)LAN設(shè)備在LAN內(nèi)共享的數(shù)據(jù),同時(shí)向應(yīng)用提供對(duì)WAN的訪問。
【專利說明】保護(hù)在網(wǎng)絡(luò)中連接的設(shè)備之間共享的數(shù)據(jù)的方法和對(duì)應(yīng)裝
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體上涉及數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)和訪問,更具體地,涉及用于保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)的方法和設(shè)備。
【背景技術(shù)】
[0002]隨著配備有線和無線的基于IP(因特網(wǎng)協(xié)議)的網(wǎng)絡(luò)接口的用戶消費(fèi)設(shè)備和家用電器的廣泛部署,家庭網(wǎng)絡(luò)已經(jīng)變?yōu)楝F(xiàn)實(shí)。家庭網(wǎng)絡(luò)是異構(gòu)的,因?yàn)槠浒ㄊ褂眉彝ゾW(wǎng)絡(luò)中的設(shè)備所提供的服務(wù)和在如因特網(wǎng)的WAN(廣域網(wǎng))上提供的服務(wù)的CE(消費(fèi)電子)設(shè)備、電話機(jī)、大容量存儲(chǔ)設(shè)備、個(gè)人計(jì)算機(jī)和計(jì)算機(jī)外設(shè)。家庭網(wǎng)絡(luò)圍繞被稱為網(wǎng)關(guān)的中介或互連設(shè)備來組織,網(wǎng)關(guān)向在LAN(局域網(wǎng))中互連的家庭網(wǎng)絡(luò)設(shè)備提供網(wǎng)絡(luò)接口的功能以訪問家庭網(wǎng)絡(luò)和因特網(wǎng)。因此,家庭網(wǎng)關(guān)起中心作用。由于其中心作用,家庭網(wǎng)關(guān)很少被關(guān)閉。由于其在家庭網(wǎng)絡(luò)中的中心位置及其永久可用性,家庭網(wǎng)關(guān)被賦予甚至更復(fù)雜的特征。這些復(fù)雜特征之一在2012年8月8日公開的歐洲專利申請(qǐng)EP2485162A1中描述,描述了用于在異構(gòu)家庭網(wǎng)絡(luò)中共享數(shù)據(jù)的方法和設(shè)備,其中異構(gòu)家庭網(wǎng)絡(luò)包括具有多個(gè)不同網(wǎng)絡(luò)資源共享協(xié)議和不同文件系統(tǒng)的多個(gè)不同設(shè)備。該專利申請(qǐng)描述了,通過增強(qiáng)網(wǎng)關(guān)的功能,每個(gè)家庭網(wǎng)絡(luò)設(shè)備如何能夠根據(jù)其自己的網(wǎng)絡(luò)資源共享協(xié)議來訪問其他網(wǎng)絡(luò)設(shè)備共享的數(shù)據(jù),并如同共享數(shù)據(jù)是其自己的文件系統(tǒng)的一部分一樣“看見”共享數(shù)據(jù)。
[0003]由于網(wǎng)關(guān)起關(guān)鍵作用并且變得更強(qiáng)大,變?yōu)樵诩彝ゾW(wǎng)絡(luò)中共享數(shù)據(jù)的中心點(diǎn),必須對(duì)數(shù)據(jù)安全給予特別關(guān)注,因?yàn)榫W(wǎng)關(guān)變?yōu)閷?duì)家庭網(wǎng)絡(luò)和對(duì)家庭網(wǎng)絡(luò)設(shè)備所共享的數(shù)據(jù)的入口點(diǎn)。網(wǎng)關(guān)的中心作用使其成為黑客感興趣的目標(biāo)。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是減輕現(xiàn)有技術(shù)的一些不便,具體地,減輕與(本地)網(wǎng)絡(luò)中的數(shù)據(jù)安全相關(guān)的一些不便。
[0005]為此,本發(fā)明包括一種保護(hù)在網(wǎng)絡(luò)中連接的設(shè)備之間共享的數(shù)據(jù)的方法,所述方法由將網(wǎng)絡(luò)中的設(shè)備互連的互連設(shè)備實(shí)現(xiàn),所述互連設(shè)備是網(wǎng)絡(luò)中的設(shè)備之間的數(shù)據(jù)共享的中心點(diǎn),所述互連設(shè)備將網(wǎng)絡(luò)中的設(shè)備共享的數(shù)據(jù)暴露為網(wǎng)絡(luò)中的設(shè)備可安裝的互連設(shè)備的文件系統(tǒng)的目錄,所述方法包括以下步驟:確定網(wǎng)絡(luò)中的設(shè)備的集合,所述互連設(shè)備要執(zhí)行的程序被授權(quán)與集合中的設(shè)備共享數(shù)據(jù);發(fā)起封裝執(zhí)行環(huán)境以便所述互連設(shè)備執(zhí)行所述程序;在封裝執(zhí)行環(huán)境中,安裝互連設(shè)備的文件系統(tǒng)的目錄中的至少一個(gè),所述目錄中的所述至少一個(gè)是根據(jù)所述確定來選擇的;所述互連設(shè)備在封裝執(zhí)行環(huán)境中執(zhí)行所述程序。
[0006]根據(jù)本發(fā)明的變型實(shí)施例,所述網(wǎng)絡(luò)是局域網(wǎng),所述互連設(shè)備將所述局域網(wǎng)與廣域網(wǎng)互連,所述方法還包括以下步驟:從所述廣域網(wǎng)將所述程序下載至所述互連設(shè)備。
[0007]根據(jù)本發(fā)明的方法的變型實(shí)施例,所述方法還包括以下步騾:向封裝執(zhí)行環(huán)境分配地址空間的因特網(wǎng)協(xié)議地址,所述地址空間不同于用于向局域網(wǎng)中的設(shè)備分配因特網(wǎng)協(xié)議地址的地址空間,所述不同的地址空間將封裝執(zhí)行環(huán)境中的程序與局域網(wǎng)中的設(shè)備隔離,同時(shí)允許所述程序與廣域網(wǎng)通信。
[0008]根據(jù)本發(fā)明的方法的變型實(shí)施例,所述方法還包括以下步驟:認(rèn)證所述程序,以確定所述程序被授權(quán)與其共享數(shù)據(jù)的局域網(wǎng)中的設(shè)備的集合。
[0009]根據(jù)本發(fā)明的方法的變型實(shí)施例,向封裝執(zhí)行環(huán)境分配因特網(wǎng)協(xié)議地址是由動(dòng)態(tài)主機(jī)配置協(xié)議來提供的。
[0010]根據(jù)本發(fā)明的方法的變型實(shí)施例,所述方法包括以下步驟:由防火墻來管理所述程序與局域網(wǎng)中的設(shè)備之間的通信。
[0011]本發(fā)明還包括一種保護(hù)在網(wǎng)絡(luò)中連接的第二設(shè)備之間共享的數(shù)據(jù)的第一設(shè)備,所述第一設(shè)備將網(wǎng)絡(luò)中的第二設(shè)備互連,所述第一設(shè)備是網(wǎng)絡(luò)中的第二設(shè)備之間的數(shù)據(jù)共享的中心點(diǎn),所述第一設(shè)備將網(wǎng)絡(luò)中的第二設(shè)備共享的數(shù)據(jù)暴露為網(wǎng)絡(luò)中的第二設(shè)備可安裝的第一設(shè)備的文件系統(tǒng)的目錄,所述第一設(shè)備包括:確定器,確定網(wǎng)絡(luò)中的第二設(shè)備的集合,所述第一設(shè)備要執(zhí)行的程序被授權(quán)與集合中的第二設(shè)備共享數(shù)據(jù);程序發(fā)起器,發(fā)起封裝執(zhí)行環(huán)境以便所述第一設(shè)備執(zhí)行所述程序;目錄安裝器,在封裝執(zhí)行環(huán)境中,安裝第一設(shè)備的文件系統(tǒng)的目錄中的至少一個(gè),所述目錄中的所述至少一個(gè)是根據(jù)所述確定來選擇的;處理器,由所述第一設(shè)備在封裝執(zhí)行環(huán)境中執(zhí)行所述程序。
[0012]根據(jù)第一設(shè)備的變型實(shí)施例,第一設(shè)備還包括:地址分配器,向封裝執(zhí)行環(huán)境分配地址空間的因特網(wǎng)協(xié)議地址,所述地址空間不同于用于向網(wǎng)絡(luò)中的第二設(shè)備分配因特網(wǎng)協(xié)議地址的地址空間,所述不同的地址空間將封裝執(zhí)行環(huán)境中的程序與局域網(wǎng)隔離,同時(shí)允許所述程序與廣域網(wǎng)通信。
[0013]根據(jù)第一的變型實(shí)施例,第一設(shè)備還包括:用于認(rèn)證所述程序,以確定所述程序被授權(quán)與其共享數(shù)據(jù)的局域網(wǎng)中的第二設(shè)備的集合的裝置。
[0014]根據(jù)第一設(shè)備的變型實(shí)施例,第一設(shè)備還實(shí)現(xiàn)動(dòng)態(tài)主機(jī)配置協(xié)議功能,用于向局域網(wǎng)中的第二設(shè)備分配因特網(wǎng)協(xié)議地址,并用于從不同的地址空間向封裝執(zhí)行環(huán)境分配因特網(wǎng)協(xié)議地址。
[0015]根據(jù)第一設(shè)備的變型實(shí)施例,第一設(shè)備還包括:防火墻,管理所述程序與局域網(wǎng)中的第二設(shè)備之間的通信。
【專利附圖】
【附圖說明】
[0016]通過本發(fā)明的具體非限制性實(shí)施例的描述,本發(fā)明的更多優(yōu)點(diǎn)將變得顯而易見。將參照以下附圖來描述實(shí)施例:
[0017]圖1是可以實(shí)現(xiàn)本發(fā)明的典型現(xiàn)有技術(shù)異構(gòu)家庭網(wǎng)絡(luò)環(huán)境的示例。
[0018]圖2是在圖1所示的典型異構(gòu)家庭網(wǎng)絡(luò)中實(shí)現(xiàn)的本發(fā)明的非限制實(shí)施例。
[0019]圖3是如圖2所示的根據(jù)本發(fā)明的網(wǎng)關(guān)設(shè)備的非限制性實(shí)施例。
[0020]圖4是根據(jù)本發(fā)明的互連設(shè)備的非限制性變型實(shí)施例。
[0021]圖5是示意了本發(fā)明方法的非限制性實(shí)施例的步驟的邏輯圖。
【具體實(shí)施方式】
[0022]以下頻繁使用術(shù)語“安裝(mounting) ”。根據(jù)Wikipedia 在進(jìn)行安裝之后計(jì)算機(jī)可以使用任何類型的存儲(chǔ)設(shè)備(如硬盤、CD-ROM或網(wǎng)絡(luò)共享)。用戶或其操作系統(tǒng)必須使其通過計(jì)算機(jī)的文件系統(tǒng)可訪問。用戶只能訪問安裝的媒體上的文件”。因此,與本發(fā)明相關(guān)地使用術(shù)語“安裝”指容器環(huán)境或局域網(wǎng)設(shè)備導(dǎo)入共享文件系統(tǒng)的目錄的操作。這使得“導(dǎo)出”的目錄對(duì)在安裝目錄的容器中運(yùn)行的應(yīng)用或?qū)υ诶缂彝ゾW(wǎng)絡(luò)設(shè)備上運(yùn)行的應(yīng)用“可見”或“可訪問”。
[0023]利用網(wǎng)關(guān)的增強(qiáng)功能的可能應(yīng)用之一是從WAN(也稱為“云”)下載程序;下載的程序用于在網(wǎng)關(guān)執(zhí)行。例如,用戶可能希望下載能夠組織家庭網(wǎng)絡(luò)中的設(shè)備存儲(chǔ)的圖像的照片索引應(yīng)用,或者中央供暖制造商可能希望下載中央供暖監(jiān)視或管理應(yīng)用(有或沒有安全裝置插入網(wǎng)關(guān)的USB端口)。如上所述,網(wǎng)關(guān)的中心作用使其成為黑客感興趣的目標(biāo)。因此問題在于如何以安全方式組織對(duì)家庭網(wǎng)絡(luò)設(shè)備的訪問,允許從WAN下載外部應(yīng)用或計(jì)算機(jī)程序并以安全方式執(zhí)行,而不破壞連接至家庭網(wǎng)絡(luò)LAN的的設(shè)備存儲(chǔ)和共享的數(shù)據(jù)的完整性和私密性保護(hù)。對(duì)于從WAN下載的應(yīng)用,稱為“容器”的受保護(hù)執(zhí)行環(huán)境可以增加一些安全性。容器封裝在于:創(chuàng)建虛擬執(zhí)行環(huán)境、允許下載的計(jì)算機(jī)程序訪問共享文件夾和文件、在應(yīng)用容器內(nèi)運(yùn)行下載的應(yīng)用,優(yōu)選地具有其自身的IP地址,該IP地址是從與用于LAN中連接的家庭網(wǎng)絡(luò)設(shè)備的IP地址的歸屬的地址空間分離的地址空間分配的。從應(yīng)用容器內(nèi)部,允許下載的應(yīng)用內(nèi)部安裝共享數(shù)據(jù)的僅一些特定目錄。這些內(nèi)部安裝在于使得主機(jī)樹結(jié)構(gòu)的預(yù)定部分在封裝執(zhí)行環(huán)境內(nèi)可見。本發(fā)明的方案抵御惡意使用,即進(jìn)行安裝和導(dǎo)出的任何可能性不能被濫用于獲得對(duì)經(jīng)由網(wǎng)關(guān)的安裝點(diǎn)可用的數(shù)據(jù)的不期望訪問。這與將禁止在容器中運(yùn)行的應(yīng)用對(duì)安裝目錄的任何訪問和禁止使用系統(tǒng)調(diào)用,導(dǎo)致在下載的應(yīng)用和家庭網(wǎng)絡(luò)設(shè)備之間不可能進(jìn)行數(shù)據(jù)共享的更激進(jìn)方案不同。
[0024]圖1是在用戶住宅110中部署的典型現(xiàn)有技術(shù)異構(gòu)家庭網(wǎng)絡(luò)的示例。ADSL(非對(duì)稱數(shù)字訂戶線)1000將用戶住宅連接至外部網(wǎng)絡(luò),如因特網(wǎng)100。現(xiàn)有技術(shù)家庭網(wǎng)絡(luò)包括以下設(shè)備:
[0025]-網(wǎng)關(guān)(GW表示網(wǎng)關(guān))111,經(jīng)由以太網(wǎng)鏈路1100、1103、1104和1109、WiFi鏈路1110將家庭網(wǎng)絡(luò)中的設(shè)備互連,并經(jīng)由ADSL鏈路1000連接至因特網(wǎng);
[0026]-藍(lán)光光盤播放器(BD表示藍(lán)光光盤)113,經(jīng)由以太網(wǎng)鏈路1100連接至家庭網(wǎng)絡(luò);
[0027]-數(shù)字電視112(DTV表示數(shù)字電視),具有經(jīng)由以太網(wǎng)鏈路1103的DLNA (數(shù)字生活網(wǎng)絡(luò)聯(lián)盟)連接;
[0028]-因特網(wǎng)協(xié)議電視機(jī)頂盒114(IPTVSTB),經(jīng)由以太網(wǎng)鏈路1104連接至家庭網(wǎng)絡(luò);
[0029]-因特網(wǎng)無線電115(1-RADIO),經(jīng)由WiFi鏈路1105連接至家庭網(wǎng)絡(luò);
[0030]-膝上個(gè)人計(jì)算機(jī)117(LPC),經(jīng)由WiFi鏈路1107連接至家庭網(wǎng)絡(luò);
[0031]-可移除大容量存儲(chǔ)設(shè)備116(RMSD),經(jīng)由USB鏈路1106連接至移動(dòng)個(gè)人計(jì)算機(jī)117 ;
[0032]-個(gè)人計(jì)算機(jī)119(PC),經(jīng)由以太網(wǎng)鏈路1109連接至家庭網(wǎng)絡(luò);
[0033]-無線打印機(jī)118(PRT),經(jīng)由WiFi鏈路1108連接至家庭網(wǎng)絡(luò)。
[0034]因此,圖1的典型現(xiàn)有技術(shù)家庭網(wǎng)絡(luò)是使用不同操作系統(tǒng)(例如Windows、Linux、Mac OS)、不同數(shù)據(jù)通信總線(HDM1、USB、以太網(wǎng)、WiF1、ADSL)和不同網(wǎng)絡(luò)資源共享協(xié)議(SMB (服務(wù)器消息塊)、CIFS (公共因特網(wǎng)文件系統(tǒng))、NFS(網(wǎng)絡(luò)文件系統(tǒng)))(允許與由或不由家庭網(wǎng)絡(luò)用戶管理的其他網(wǎng)絡(luò)設(shè)備共享文件等等)的設(shè)備的組合。一些設(shè)備能夠一起通信;DTV112經(jīng)由HDMI連接1101和1102分別與BD113和IPSTB114通信,DTVl 12經(jīng)由以太網(wǎng)與PC119通信(使用DTV112的DLNA連接并與PC119上的UPnP (通用極差即用)服務(wù)器通信)。
[0035]網(wǎng)關(guān)111還包括如EP2485162描述的網(wǎng)絡(luò)組織器211,允許家庭網(wǎng)絡(luò)設(shè)備訪問其他家庭網(wǎng)絡(luò)設(shè)備提供的共享,并向其他家庭網(wǎng)絡(luò)設(shè)備建議其自己的共享。
[0036]當(dāng)家庭網(wǎng)絡(luò)設(shè)備連接至網(wǎng)路組織器的web接口時(shí),網(wǎng)關(guān)111中的網(wǎng)絡(luò)組織器211獲得關(guān)于新家庭網(wǎng)絡(luò)設(shè)備的信息,以進(jìn)行網(wǎng)絡(luò)共享。網(wǎng)絡(luò)組織器將新家庭網(wǎng)絡(luò)設(shè)備建議共享的目錄本地安裝在網(wǎng)關(guān)上,并例如經(jīng)由網(wǎng)絡(luò)組織器的web接口向其他家庭網(wǎng)絡(luò)設(shè)備建議。經(jīng)由網(wǎng)絡(luò)組織器的web接口中在新家庭網(wǎng)絡(luò)設(shè)備上執(zhí)行的腳本,在新家庭網(wǎng)絡(luò)設(shè)備的本地目錄上安裝其他家庭網(wǎng)絡(luò)設(shè)備的共享目錄(已經(jīng)安裝在網(wǎng)關(guān)上)。網(wǎng)關(guān)組織器還進(jìn)行連接至家庭網(wǎng)絡(luò)的不同家庭網(wǎng)絡(luò)設(shè)備的不同文件系統(tǒng)之間的所有協(xié)議轉(zhuǎn)換。
[0037]因此,網(wǎng)絡(luò)組織器確保想要在家庭網(wǎng)絡(luò)內(nèi)共享數(shù)據(jù)的每個(gè)家庭網(wǎng)絡(luò)設(shè)備具有與網(wǎng)關(guān)的連接。由于在文件系統(tǒng)級(jí)別實(shí)現(xiàn),該連接在于家庭網(wǎng)絡(luò)設(shè)備和網(wǎng)關(guān)的相應(yīng)文件系統(tǒng)結(jié)構(gòu)中的文件夾的交換。這是經(jīng)由家庭網(wǎng)絡(luò)設(shè)備的原生通信協(xié)議,通過文件夾的安裝/導(dǎo)出來實(shí)現(xiàn)的。一旦家庭網(wǎng)絡(luò)設(shè)備加入家庭網(wǎng)絡(luò),立即實(shí)現(xiàn)這些安裝/導(dǎo)出操作。即使待定家庭網(wǎng)絡(luò)設(shè)備未連接至家庭網(wǎng)絡(luò),安裝/導(dǎo)出操作所需的文件夾,尤其是用作安裝點(diǎn)的文件夾,始終存在于網(wǎng)關(guān)上。實(shí)際上,家庭網(wǎng)絡(luò)設(shè)備(例如膝上PC117)不始終連接至家庭網(wǎng)絡(luò)。然而,一旦網(wǎng)絡(luò)組織器已經(jīng)將家庭網(wǎng)絡(luò)設(shè)備注冊(cè)為經(jīng)常連接至家庭網(wǎng)絡(luò),則保留要安裝在網(wǎng)關(guān)上的文件夾及其導(dǎo)出文件夾,即其存在于網(wǎng)關(guān)上。當(dāng)家庭網(wǎng)絡(luò)設(shè)備未連接時(shí),這些文件夾僅僅指向空文件夾(其中只有一個(gè)文件名為“未連接”以指示該設(shè)備不存在)。當(dāng)家庭網(wǎng)絡(luò)設(shè)備稍后連接時(shí),實(shí)現(xiàn)安裝,并且保留的文件夾指向家庭網(wǎng)絡(luò)設(shè)備導(dǎo)出的文件夾。
[0038]圖2是圖1所示的典型異構(gòu)家庭網(wǎng)絡(luò)中實(shí)現(xiàn)的本發(fā)明的非限制實(shí)施例。
[0039]如上所述,想要訪問其他家庭網(wǎng)絡(luò)設(shè)備共享的數(shù)據(jù)或想要與其他家庭網(wǎng)絡(luò)設(shè)備共享數(shù)據(jù)的“新”家庭網(wǎng)絡(luò)設(shè)備使用現(xiàn)有技術(shù)網(wǎng)絡(luò)組織器的服務(wù),而不是直接將其自身尋址至每個(gè)相關(guān)家庭網(wǎng)絡(luò)設(shè)備。根據(jù)本發(fā)明,設(shè)備的概念擴(kuò)展至上述受保護(hù)執(zhí)行環(huán)境,即應(yīng)用容器,其中可以安全執(zhí)行從因特網(wǎng)下載并在網(wǎng)關(guān)上運(yùn)行的應(yīng)用。這種應(yīng)用容器例如實(shí)現(xiàn)在實(shí)現(xiàn)本發(fā)明的網(wǎng)關(guān)的操作系統(tǒng)級(jí)別。在應(yīng)用容器內(nèi)運(yùn)行的應(yīng)用(計(jì)算機(jī)程序)使用操作系統(tǒng)的正常系統(tǒng)調(diào)用接口,不需要進(jìn)行模擬或運(yùn)行在中間虛擬機(jī)中。
[0040]Linux容器或LXC是可能容器封裝的典型具體示例。LXC是操作系統(tǒng)級(jí)虛擬化方法,用于在單一控制主機(jī)上運(yùn)行多個(gè)隔離的Linux系統(tǒng)(“容器”)。LXC提供虛擬環(huán)境,該虛擬環(huán)境具有其自身的進(jìn)程和網(wǎng)絡(luò)空間。LXC容器具有其自身的根文件系統(tǒng)(“TOotfs”)、其自身的進(jìn)程和其自身的網(wǎng)絡(luò)地址空間。通過其網(wǎng)絡(luò)地址空間分離,從而容器被分離在不同網(wǎng)絡(luò)中。根據(jù)本發(fā)明,可以使用這一特征以將在容器中運(yùn)行的應(yīng)用與家庭網(wǎng)絡(luò)分離。
[0041]因此,本發(fā)明的方法結(jié)合了所討論的應(yīng)用容器封裝和EP2485162公開的“網(wǎng)絡(luò)組織器”的優(yōu)點(diǎn)。由網(wǎng)關(guān)(即在控制下的部分)來組織從在應(yīng)用容器內(nèi)運(yùn)行的應(yīng)用對(duì)家庭網(wǎng)絡(luò)中的設(shè)備的訪問。圖2示出了在服務(wù)器221中存儲(chǔ)的這種應(yīng)用213,該服務(wù)器經(jīng)由鏈路999連接至因特網(wǎng)。應(yīng)用213下載在網(wǎng)關(guān)220上并在應(yīng)用容器環(huán)境212中執(zhí)行,并使用網(wǎng)絡(luò)組織器211提供的服務(wù)。根據(jù)本發(fā)明,從而網(wǎng)關(guān)220可以決定使得任一共享數(shù)據(jù)文件夾對(duì)在應(yīng)用容器環(huán)境212中執(zhí)行的下載的應(yīng)用213是否可見。網(wǎng)關(guān)220決定要導(dǎo)入應(yīng)用容器212的哪些文件夾以及要導(dǎo)出其他家庭網(wǎng)絡(luò)設(shè)備共享的數(shù)據(jù)的哪些文件夾,現(xiàn)在在應(yīng)用容器中允許安裝/導(dǎo)出操作。不允許安裝/導(dǎo)出的任何其他文件夾在任伺應(yīng)用容器的范圍之夕卜,應(yīng)用容器220中的應(yīng)用213的任何訪問將被拒絕。返回LXC容器的先前示例,因此,在發(fā)起LXC容器之前,網(wǎng)關(guān)建立LXC容器的“rootfs”。
[0042]根據(jù)本方法的變型實(shí)施例,應(yīng)用容器212與家庭網(wǎng)絡(luò)LAN隔離,因?yàn)閼?yīng)用容器具有其自身的地址空間,該地址空間與家庭網(wǎng)絡(luò)設(shè)備使用的地址空間不同。
[0043]根據(jù)本發(fā)明的變型實(shí)施例,確定下載的計(jì)算機(jī)程序被授權(quán)與家庭網(wǎng)絡(luò)設(shè)備中的哪個(gè)/哪些共享數(shù)據(jù)是根據(jù)計(jì)算機(jī)程序的認(rèn)證。
[0044]根據(jù)本發(fā)明的變型實(shí)施例,可以針對(duì)每個(gè)應(yīng)用容器配置應(yīng)用容器能夠訪問的在網(wǎng)關(guān)上安裝的共享數(shù)據(jù)導(dǎo)入/導(dǎo)出目錄的列表。根據(jù)變型實(shí)施例,所允許目錄的這些列表是根據(jù)計(jì)算機(jī)程序的認(rèn)證來配置的,所述認(rèn)證確定下載的計(jì)算機(jī)程序被允許與家庭網(wǎng)絡(luò)設(shè)備中的哪個(gè)/哪些共享數(shù)據(jù)。根據(jù)變型實(shí)施例,這些列表是在發(fā)起應(yīng)用容器時(shí)讀取的。
[0045]根據(jù)本發(fā)明的變型實(shí)施例,對(duì)應(yīng)用容器允許的安裝/導(dǎo)出操作是在發(fā)起應(yīng)用容器時(shí)進(jìn)行的。然后,可以簡(jiǎn)單地禁止應(yīng)用容器中的應(yīng)用對(duì)安裝/導(dǎo)出操作的訪問,從而增強(qiáng)家庭網(wǎng)絡(luò)中的數(shù)據(jù)安全。
[0046]根據(jù)本發(fā)明的變型實(shí)施例,在發(fā)起應(yīng)用容器時(shí)進(jìn)行的這些安裝/導(dǎo)出操作是基于所述列表。這樣,可以針對(duì)可信應(yīng)用實(shí)現(xiàn)自動(dòng)應(yīng)用容器發(fā)起,例如在認(rèn)證之后。如上所述,因?yàn)橛删W(wǎng)關(guān)來創(chuàng)建數(shù)據(jù)共享所需的文件夾,不需要應(yīng)用容器在發(fā)起時(shí)導(dǎo)出數(shù)據(jù)共享的設(shè)備連接至網(wǎng)絡(luò)以便在應(yīng)用容器中安裝數(shù)據(jù)共享。在該情況下,導(dǎo)出的目錄僅僅保持為空。
[0047]根據(jù)本發(fā)明的變型實(shí)施例,中間設(shè)備實(shí)現(xiàn)動(dòng)態(tài)主機(jī)配置協(xié)議功能,以向家庭網(wǎng)絡(luò)設(shè)備分配因特網(wǎng)協(xié)議地址。DHCP功能將封裝執(zhí)行環(huán)境歸于不同因特網(wǎng)協(xié)議地址,該地址是從與用于向家庭網(wǎng)絡(luò)設(shè)備分配IP地址的地址空間不同的地址空間分配的。該不同IP地址允許在封裝執(zhí)行環(huán)境內(nèi)運(yùn)行的下載的計(jì)算機(jī)程序與外部網(wǎng)絡(luò)通信,同時(shí)與家庭網(wǎng)絡(luò)隔離。根據(jù)變型實(shí)施例,經(jīng)由防火墻來管理下載的計(jì)算機(jī)程序與家庭網(wǎng)絡(luò)設(shè)備之間的通信。
[0048]圖3是根據(jù)本發(fā)明的網(wǎng)關(guān)設(shè)備的非限制性實(shí)施例,如圖2的220。
[0049]網(wǎng)關(guān)220包括以下單元:
[0050]-中央處理單元2210或CPU;
[0051]-時(shí)鐘單元2211;
[0052]-以太網(wǎng)家庭網(wǎng)絡(luò)接口2212,使用有線鏈路經(jīng)由網(wǎng)關(guān)將家庭網(wǎng)絡(luò)設(shè)備互連;
[0053]-WiFi家庭網(wǎng)絡(luò)接口 2215,使用無線鏈路經(jīng)由網(wǎng)關(guān)將家庭網(wǎng)絡(luò)設(shè)備互連;
[0054]-ADSL網(wǎng)絡(luò)接口 2216,經(jīng)由鏈路1000將家庭網(wǎng)絡(luò)設(shè)備和網(wǎng)關(guān)與因特網(wǎng)互連;
[0055]-非易失性存儲(chǔ)器R0M2213;以及
[0056]-易失性存儲(chǔ)器RAM2214。
[0057]所有這些組件經(jīng)由數(shù)據(jù)和通信總線2215互連。CPU2210根據(jù)R0M2213中在存儲(chǔ)區(qū)22130中存儲(chǔ)的程序來控制設(shè)備220的功能。始終設(shè)備2211向網(wǎng)關(guān)220的單元提供公共定時(shí),以對(duì)其操作進(jìn)行時(shí)序和同步。以太網(wǎng)家庭網(wǎng)絡(luò)接口 2212經(jīng)由有線鏈路1100、1103、1104和1109從家庭網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)和向家庭網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)。WiFi家庭網(wǎng)絡(luò)接口 2215經(jīng)由無線鏈路1110從家庭網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)和向家庭網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)。存儲(chǔ)區(qū)2213在存儲(chǔ)區(qū)22130中包括實(shí)現(xiàn)本發(fā)明方法的指令。在設(shè)備220啟動(dòng)時(shí),CPU2210將ROM2213存儲(chǔ)區(qū)22130中存儲(chǔ)的程序“Prog”拷貝至RAM存儲(chǔ)器2214的存儲(chǔ)區(qū)22140,并執(zhí)行拷貝的程序。在執(zhí)行拷貝的程序時(shí),程序在存儲(chǔ)器2214中向其執(zhí)行所需的變量分配存儲(chǔ)空間。設(shè)備220現(xiàn)在可操作,并在從因特網(wǎng)下載應(yīng)用以在網(wǎng)關(guān)中的應(yīng)用容器中執(zhí)行時(shí),激活本發(fā)明的方法。RAM存儲(chǔ)器2214的存儲(chǔ)區(qū)22141至22143+n+m包括用于存儲(chǔ)與家庭網(wǎng)絡(luò)設(shè)備的家庭網(wǎng)絡(luò)設(shè)備數(shù)據(jù)共享目錄的導(dǎo)出和導(dǎo)入相關(guān)的數(shù)據(jù)的空間(22141至22141+n)以及用于應(yīng)用容器的空間(22143+n至22143+n+m)。存儲(chǔ)區(qū)22142+n包括針對(duì)每個(gè)應(yīng)用容器允許的導(dǎo)出/導(dǎo)入共享的列表。
[0058]RAM2214還包括數(shù)據(jù)空間22144+n+m,包括網(wǎng)關(guān)的文件系統(tǒng)。備選地,該文件系統(tǒng)實(shí)現(xiàn)在集成入網(wǎng)關(guān)或附著至網(wǎng)關(guān)的硬盤驅(qū)動(dòng)器上。
[0059]備選地,RAM2214的至少一些部分通過NVRAM(非易失性RAM)實(shí)現(xiàn),從而有利地允許RAM存儲(chǔ)器的這至少一些部分關(guān)于電涌是持續(xù)的。
[0060]圖4是根據(jù)本發(fā)明的互連設(shè)備的非限制性變型實(shí)施例。第一設(shè)備(400)保護(hù)在網(wǎng)絡(luò)(見圖 2:1100、1103、1104、1109、1110)中連接的第二設(shè)備(見圖 2:112、113、114、115、
116、117、118、119)之間共享的數(shù)據(jù)。第一設(shè)備將網(wǎng)絡(luò)中的第二設(shè)備互連,并且是網(wǎng)絡(luò)中的第二設(shè)備之間的數(shù)據(jù)共享的中心點(diǎn),第一設(shè)備將網(wǎng)絡(luò)中的第二設(shè)備共享的數(shù)據(jù)暴露為網(wǎng)絡(luò)中的第二設(shè)備可安裝的第一設(shè)備的文件系統(tǒng)(407)的目錄。第一設(shè)備包括以下裝置:
[0061]確定器(401),確定網(wǎng)絡(luò)中的第二設(shè)備的集合,第一設(shè)備要執(zhí)行的程序(見圖2:213)被授權(quán)與集合中的第二設(shè)備共享數(shù)據(jù);程序發(fā)起器(402),發(fā)起封裝執(zhí)行環(huán)境(見圖
2:212)以便第一設(shè)備執(zhí)行所述程序;目錄安裝器(403),在封裝執(zhí)行環(huán)境中,安裝第一設(shè)備的文件系統(tǒng)(407)的目錄中的至少一個(gè),所述目錄中的所述至少一個(gè)是根據(jù)所述確定來選擇的;處理器(404)或CPU,由第一設(shè)備在封裝執(zhí)行環(huán)境中執(zhí)行所述程序。設(shè)備還包括:用于經(jīng)由連接(也見圖2:1100、1103、1104、1109和1110)將其連接至網(wǎng)絡(luò)的裝置,如I/O接口(406),以及可選地包括第二 I/O接口(405),用于經(jīng)由連接1000將其連接至外部網(wǎng)絡(luò)(見圖2:100),如WAN或因特網(wǎng)。
[0062]圖5是是示意了本發(fā)明的方法的非限制實(shí)施例的步驟的邏輯圖。該邏輯圖示意了用于保護(hù)在網(wǎng)絡(luò)設(shè)備之間共享的數(shù)據(jù)的方法。該方法由中間設(shè)備(如圖2的網(wǎng)關(guān)220)實(shí)現(xiàn),將局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備112-119互連,并將網(wǎng)絡(luò)設(shè)備與廣域網(wǎng)100連接,中間設(shè)備220是網(wǎng)絡(luò)設(shè)備112-119之間的數(shù)據(jù)共享的中心點(diǎn)。中間設(shè)備將網(wǎng)絡(luò)設(shè)備112-119共享的數(shù)據(jù)暴露為網(wǎng)絡(luò)設(shè)備112-119可安裝的中間設(shè)備220的文件系統(tǒng)的目錄。在初始化的第一步驟500中,對(duì)執(zhí)行方法所需的變量和存儲(chǔ)區(qū)進(jìn)行初始化。在步驟501中,確定中間設(shè)備要執(zhí)行的程序被授權(quán)與局域網(wǎng)中的哪個(gè)網(wǎng)絡(luò)設(shè)備集合共享數(shù)據(jù)。該程序是例如要在中間設(shè)備220上運(yùn)行的瀏覽器中執(zhí)行的java腳本、定制為在中間設(shè)備220的硬件平臺(tái)上運(yùn)行的Java程序或原生二進(jìn)制代碼。例如,能夠管理家庭網(wǎng)絡(luò)中的設(shè)備存儲(chǔ)的圖像的照片索引應(yīng)用,或中央供暖監(jiān)視或管理應(yīng)用。步驟501中的確定例如根據(jù)缺省設(shè)置,例如程序被授權(quán)與發(fā)布用于由網(wǎng)絡(luò)設(shè)備112-119的網(wǎng)絡(luò)共享的所有“公開”目錄共享數(shù)據(jù);或者根據(jù)局域網(wǎng)的管理員確定的設(shè)置。根據(jù)變型實(shí)施例,程序被授權(quán)與其共享數(shù)據(jù)的網(wǎng)絡(luò)設(shè)備的集合是由使用現(xiàn)有技術(shù)方法進(jìn)行的另一認(rèn)證步驟(未示出)確定的。在下一步驟502中,發(fā)起封裝執(zhí)行環(huán)境以便執(zhí)行程序;在下一步驟503中,在封裝執(zhí)行環(huán)境中,安裝中間設(shè)備220的文件系統(tǒng)的目錄中的一個(gè)或多個(gè)。所述一個(gè)或多個(gè)目錄是根據(jù)步驟501中對(duì)程序被授權(quán)與其共享數(shù)據(jù)的局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備的集合的確定來選擇的。這些內(nèi)部安裝在于使得在步驟501確定的中間設(shè)備220上的共享目錄在封裝執(zhí)行環(huán)境內(nèi)可見。然后,在下一步驟504中,在發(fā)起的封裝執(zhí)行環(huán)境中執(zhí)行程序。在接收到在中間設(shè)備上執(zhí)行程序的新請(qǐng)求時(shí),迭代該方法(箭頭505)。
[0063]圖2中描述的網(wǎng)絡(luò)僅是可以實(shí)現(xiàn)本發(fā)明的示例網(wǎng)絡(luò)。其他網(wǎng)絡(luò)配置是可能的,保持與本發(fā)明兼容,包括例如多于一個(gè)用戶住宅,每個(gè)具有一個(gè)或多個(gè)本地網(wǎng)絡(luò)。根據(jù)設(shè)備的數(shù)目、所使用的設(shè)備的類型和/或所使用的應(yīng)用,圖2中的本地網(wǎng)絡(luò)的架構(gòu)也可以以不同方式構(gòu)成。類似地,針對(duì)設(shè)備220描述的接口是以太網(wǎng)/WiFi和ADSL。然而,本發(fā)明不限于使用以太網(wǎng)、WiFi或ADSL技術(shù)。在圖2中,設(shè)備220表示為獨(dú)特的設(shè)備,然而本發(fā)明的實(shí)現(xiàn)不限于實(shí)現(xiàn)在網(wǎng)關(guān)上或?qū)崿F(xiàn)為獨(dú)立設(shè)備,本發(fā)明還可以實(shí)現(xiàn)在連接至家庭網(wǎng)絡(luò)的設(shè)備上,例如實(shí)現(xiàn)在個(gè)人計(jì)算機(jī)上。
[0064]根據(jù)本發(fā)明的特定非限制實(shí)施例,網(wǎng)關(guān)容納網(wǎng)絡(luò)組織器220,網(wǎng)絡(luò)組織器220向家庭網(wǎng)絡(luò)中的設(shè)備提供數(shù)據(jù)共享服務(wù)。EP2485162還描述了變型實(shí)施例,其中由在網(wǎng)關(guān)中或網(wǎng)關(guān)外的代理容納網(wǎng)絡(luò)組織器。這些變型與本發(fā)明兼容,因?yàn)樵诰W(wǎng)關(guān)上執(zhí)行的應(yīng)用容器可以使用網(wǎng)絡(luò)組織器提供的服務(wù),即使網(wǎng)絡(luò)組織器在物理上位于其他位置。
[0065]不同于圖2所示的設(shè)備220的類型的中間設(shè)備是可能的,仍與本發(fā)明兼容,如具有多個(gè)處理單元的設(shè)備。備選地,使用硬件和軟件組件的混合來實(shí)現(xiàn)本發(fā)明,其中專用硬件組件使得中間設(shè)備的CPU不必執(zhí)行備選地以軟件執(zhí)行的任務(wù)以獲得處理速度。根據(jù)特定實(shí)施例,本發(fā)明完全以硬件實(shí)現(xiàn),例如實(shí)現(xiàn)為專用組件(例如作為ASIC、FPGA或VLSI (分別為專用集成電路、現(xiàn)場(chǎng)可編程門陣列和超大規(guī)模集成))或作為集成在設(shè)備中或以硬件和軟件混合的形式的不同電子組件。
【權(quán)利要求】
1.一種保護(hù)在網(wǎng)絡(luò)(1100,1103,1104,1109,1110)中連接的設(shè)備(112-119)之間共享的數(shù)據(jù)的方法,所述方法由將網(wǎng)絡(luò)中的設(shè)備互連的互連設(shè)備(400)實(shí)現(xiàn),所述方法的特征在于,所述互連設(shè)備是網(wǎng)絡(luò)中的設(shè)備之間的數(shù)據(jù)共享的中心點(diǎn),所述互連設(shè)備將網(wǎng)絡(luò)中的設(shè)備共享的數(shù)據(jù)暴露為網(wǎng)絡(luò)中的設(shè)備可安裝的互連設(shè)備的文件系統(tǒng)(407)的目錄,所述方法包括以下步驟: 確定(501)網(wǎng)絡(luò)中的設(shè)備的集合,所述互連設(shè)備要執(zhí)行的程序(213)被授權(quán)與所述集合中的設(shè)備共享數(shù)據(jù); 發(fā)起(502)封裝執(zhí)行環(huán)境(212)以便所述互連設(shè)備執(zhí)行所述程序; 在封裝執(zhí)行環(huán)境中,安裝(503)互連設(shè)備的文件系統(tǒng)的目錄中的至少一個(gè),所述目錄中的所述至少一個(gè)是根據(jù)所述確定來選擇的; 所述互連設(shè)備在封裝執(zhí)行環(huán)境中執(zhí)行(504)所述程序。
2.根據(jù)權(quán)利要求1所述的方法,其中,所述網(wǎng)絡(luò)是局域網(wǎng),所述互連設(shè)備將所述局域網(wǎng)與廣域網(wǎng)(100)互連,所述方法還包括以下步驟:從所述廣域網(wǎng)將所述程序下載至所述互連設(shè)備。
3.根據(jù)權(quán)利要求2所述的方法,還包括以下步驟:向封裝執(zhí)行環(huán)境分配地址空間的因特網(wǎng)協(xié)議地址,所述地址空間不同于用于向局域網(wǎng)中的設(shè)備分配因特網(wǎng)協(xié)議地址的地址空間,所述不同的地址空間將封裝執(zhí)行環(huán)境中的程序與局域網(wǎng)中的設(shè)備隔離,同時(shí)允許所述程序與廣域網(wǎng)通信。
4.根據(jù)權(quán)利要求2或3所述的方法,還包括以下步驟:認(rèn)證所述程序,以確定所述程序被授權(quán)與其共享數(shù)據(jù)的局域網(wǎng)中的設(shè)備的集合。
5.根據(jù)權(quán)利要求2或3·所述的方法,其中,向封裝執(zhí)行環(huán)境分配因特網(wǎng)協(xié)議地址的步驟是由動(dòng)態(tài)主機(jī)配置協(xié)議來提供的。
6.根據(jù)權(quán)利要求2或3所述的方法,還包括以下步驟:由防火墻來管理所述程序與局域網(wǎng)中的設(shè)備之間的通信。
7.一種保護(hù)在網(wǎng)絡(luò)(1100,1103,1104,1109,1110)中連接的第二設(shè)備(112,113,114,115,116,117,118,119)之間共享的數(shù)據(jù)的第一設(shè)備(400),所述第一設(shè)備將網(wǎng)絡(luò)中的第二設(shè)備互連,所述第一設(shè)備的特征在于,所述第一設(shè)備是網(wǎng)絡(luò)中的第二設(shè)備之間的數(shù)據(jù)共享的中心點(diǎn),所述第一設(shè)備將網(wǎng)絡(luò)中的第二設(shè)備共享的數(shù)據(jù)暴露為網(wǎng)絡(luò)中的第二設(shè)備可安裝的第一設(shè)備的文件系統(tǒng)(407)的目錄,所述第一設(shè)備包括以下裝置: 確定器(401),確定網(wǎng)絡(luò)中的第二設(shè)備的集合,所述第一設(shè)備要執(zhí)行的程序(213)被授權(quán)與所述集合中的第二設(shè)備共享數(shù)據(jù); 程序發(fā)起器(402),發(fā)起封裝執(zhí)行環(huán)境(212)以便所述第一設(shè)備執(zhí)行所述程序; 目錄安裝器(403),在封裝執(zhí)行環(huán)境中,安裝第一設(shè)備的文件系統(tǒng)的目錄中的至少一個(gè),所述目錄中的所述至少一個(gè)是根據(jù)所述確定來選擇的; 處理器(404),由所述第一設(shè)備在封裝執(zhí)行環(huán)境中執(zhí)行所述程序。
8.根據(jù)權(quán)利要求7所述的第一設(shè)備,其中,所述網(wǎng)絡(luò)是局域網(wǎng),所述第一設(shè)備將所述局域網(wǎng)與廣域網(wǎng)(100)互連,所述第一設(shè)備還包括:下載器,用于從所述廣域網(wǎng)下載所述程序。
9.根據(jù)權(quán)利要求8所述的第一設(shè)備,還包括:地址分配器,向封裝執(zhí)行環(huán)境分配地址空間的因特網(wǎng)協(xié)議地址,所述地址空間不同于用于向網(wǎng)絡(luò)中的第二設(shè)備分配因特網(wǎng)協(xié)議地址的地址空間,所述不同的地址空間將封裝執(zhí)行環(huán)境中的程序與局域網(wǎng)中的第二設(shè)備隔離,同時(shí)允許所述程序與廣域網(wǎng)通信。
10.根據(jù)權(quán)利要求8或9所述的第一設(shè)備,還包括:認(rèn)證器,用于認(rèn)證所述程序,并確定所述程序被授權(quán)與其共享數(shù)據(jù)的局域網(wǎng)中的第二設(shè)備的集合。
11.根據(jù)權(quán)利要求8或9所述的第一設(shè)備,其中,第一設(shè)備還實(shí)現(xiàn)動(dòng)態(tài)主機(jī)配置協(xié)議功能,用于向局域網(wǎng)中的第二設(shè)備分配因特網(wǎng)協(xié)議地址,并用于從不同的地址空間向封裝執(zhí)行環(huán)境分配因特網(wǎng)協(xié)議地址。
12.根據(jù)權(quán)利要求8或9所述的第一設(shè)備,其中,第一設(shè)備還包括:防火墻,用于管理所述程序與局域網(wǎng)中的第二 設(shè)備之間的通信。
【文檔編號(hào)】H04L29/12GK103716369SQ201310459954
【公開日】2014年4月9日 申請(qǐng)日期:2013年9月30日 優(yōu)先權(quán)日:2012年10月4日
【發(fā)明者】塞爾日·德弗朗斯, 蒂埃里·塔皮, 雷米·根德羅特 申請(qǐng)人:湯姆遜許可公司