專利名稱:用于流媒體的訪問控制和密鑰管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總的來說涉及數(shù)據(jù)通信領(lǐng)域�,更具體的,涉及權(quán)利管理和保護(hù)網(wǎng)絡(luò)上傳送的數(shù)據(jù)��。
背景技術(shù):
對互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)上流式發(fā)布多媒體內(nèi)容日益增加的興趣致使密鑰管理系統(tǒng)的需求也隨之增加�。一個這樣的流式發(fā)布系統(tǒng)是加利福尼亞圣迭戈的Aerocast,Inc.開發(fā)的Aerocast NetworkTM����。如參考圖1所討論的�,雖然現(xiàn)有的階段1 Aerocast Network促進(jìn)了內(nèi)容的傳送����,但它缺乏安全性和網(wǎng)絡(luò)的密鑰管理。
圖1是用于促進(jìn)通信網(wǎng)絡(luò)上流式傳送內(nèi)容的網(wǎng)絡(luò)100(由Aerocast制造)的框圖�。
除了其他組件,網(wǎng)絡(luò)100包括內(nèi)容提供商102�,用于產(chǎn)生要送往消費者116的內(nèi)容,互聯(lián)網(wǎng)114��,通過該網(wǎng)流式傳送內(nèi)容����,以及中央服務(wù)器104,內(nèi)容提供商102將其內(nèi)容發(fā)布到該服務(wù)器上��。中央處理器104包含數(shù)據(jù)庫108��,用于存儲內(nèi)容信息�,以及搜索引擎110���,用于搜索數(shù)據(jù)庫108����。網(wǎng)絡(luò)100進(jìn)一步包括供應(yīng)中心106以及高速緩存服務(wù)器112、113和115��。
操作中�����,希望訪問內(nèi)容提供商102的內(nèi)容的消費者116從最近的高速緩存服務(wù)器(在此例中是高速緩存服務(wù)器115)流式傳送內(nèi)容��。在沒有高速緩存服務(wù)器的通用系統(tǒng)中��,期望此種內(nèi)容流的消費者116直接從內(nèi)容提供商102獲得內(nèi)容�。這樣做不僅導(dǎo)致較低內(nèi)容質(zhì)量,而且導(dǎo)致和不足帶寬相關(guān)的延遲���。通過使用高速緩存服務(wù)器��,網(wǎng)絡(luò)100避免了和直接從內(nèi)容提供商102流式傳送數(shù)字內(nèi)容相關(guān)的缺點���。高速緩存服務(wù)器112、113和115例如可以是本地DSL(數(shù)字用戶線)提供商����。
網(wǎng)絡(luò)100提供進(jìn)一步的優(yōu)點���。當(dāng)搜索內(nèi)容時,消費者116無需搜索互聯(lián)網(wǎng)114上的任意和所有數(shù)據(jù)庫����。網(wǎng)絡(luò)100上的所有內(nèi)容提供商(包括內(nèi)容提供商102)將其內(nèi)容說明發(fā)布到單個中央數(shù)據(jù)庫108。例如對于視頻內(nèi)容�����,這樣的說明可以包括電影名稱����、演員等。這樣����,當(dāng)想要內(nèi)容時,消費者116使用搜索引擎110搜索數(shù)據(jù)庫108�����。當(dāng)發(fā)現(xiàn)內(nèi)容時�,數(shù)據(jù)庫108然后提供到具有該希望內(nèi)容的內(nèi)容提供商102的鏈路�。然后消費者116訪問內(nèi)容提供商102從而訪問更詳細(xì)的期望內(nèi)容�����。這樣的細(xì)節(jié)包括價格信息等��。
提供一種機(jī)制���,借此消費者116提供距其最近的高速緩存服務(wù)器列表給內(nèi)容提供商102。響應(yīng)消費者116的請求����,內(nèi)容提供商102選擇距離消費者116最近的適當(dāng)高速緩存服務(wù)器來流式傳送該內(nèi)容。然而����,應(yīng)當(dāng)觀察到,在今天的Aerocast網(wǎng)絡(luò)中�,由網(wǎng)絡(luò)100不用密碼(inthe clear)來流式傳送內(nèi)容。不幸的是����,因為內(nèi)容不受保護(hù),因此非法消費者可能竊取內(nèi)容從而導(dǎo)致內(nèi)容提供商和消費者的實際損失�。
網(wǎng)絡(luò)100的某些缺點通過上述相關(guān)專利解決,這些專利由申請人共同擁有并結(jié)合在此作為參考����,就好像在本說明書中說明其全部一樣��。
電纜密鑰管理系統(tǒng)通常采用已知是ECM(權(quán)利控制消息)和EMM(權(quán)利管理消息)的消息來控制對數(shù)據(jù)流的訪問�����。EMM是傳送訪問特權(quán)給用戶終端的控制消息��。和嵌入傳送多路復(fù)用并廣播給多個用戶的ECM(權(quán)利控制消息)不同�����,單播地址的發(fā)送EMM到各個用戶終端���。即,EMM是專用于特定用戶的����。
然而在許多情況中,EMM和ECM都被傳送到終端用戶的機(jī)頂盒用于評價�。機(jī)頂盒的位置使得它對于非法用戶訪問并修改EMM和ECM消息相對容易。甚至當(dāng)位置沒有問題時�����,將EMM和ECM用于軟件客戶則較不安全����。和硬件機(jī)頂盒不同,軟件代碼更易于被反向設(shè)計從而為用戶提供對內(nèi)容的非法訪問��。
因此��,需要解決上述的一個或多個問題���,本發(fā)明滿足了此種需要���。
發(fā)明內(nèi)容
本發(fā)明提供一種會話權(quán)利對象以及特許數(shù)據(jù),用于確定對于某消費者內(nèi)容是否可訪問��。在遠(yuǎn)離消費者的高速緩存服務(wù)器確定訪問權(quán)利��,雖然這樣的權(quán)利可在消費者側(cè)或第三方位置確定�。
根據(jù)第一方面,本發(fā)明是一種控制客戶對從高速緩存服務(wù)器獲得的實時數(shù)據(jù)流的訪問的方法����。給客戶提供特許數(shù)據(jù)用于訪問該實時數(shù)據(jù)流。特許數(shù)據(jù)例如可以在密鑰發(fā)布中心產(chǎn)生���?�;蛘?��,它可來自任何可信任的第三方證明人���。該特許數(shù)據(jù)定義了客戶選擇的定購選項,例如訂購的服務(wù)以及用戶付費方法(例如用信用卡或通過每月賬單)��。還可以包括其他諸如地理位置的相關(guān)授權(quán)信息��。
還提供會話權(quán)利對象給客戶���,用于訪問該數(shù)據(jù)流�。該對象可包含用于特定內(nèi)容的一般訪問權(quán)利����。這些訪問權(quán)利是獨立于客戶請求的內(nèi)容的。同樣���,該會話權(quán)利對象可以包括用戶選擇的購買選項���。通常���,這樣的購買選項由內(nèi)容提供商提供,雖然也可由其它類型實體提供�。注意到雖然提供會話權(quán)利對象和特許數(shù)據(jù)給客戶��,但它們不能被客戶修改�����?��?蛻魞H簡單的提供這些信息到流式傳送內(nèi)容的高速緩存服務(wù)器����。
此外����,注意到無需提供特許數(shù)據(jù)給客戶。在此情況中���,直接從密鑰發(fā)布中心發(fā)送特許數(shù)據(jù)給高速緩存服務(wù)器���。類似的����,也可以直接從內(nèi)容提供商發(fā)送會話權(quán)利對象到高速緩存服務(wù)器��?���;蛘撸捎蛇h(yuǎn)離高速緩存服務(wù)器和客戶的系統(tǒng)提供會話權(quán)利對象����。
當(dāng)客戶準(zhǔn)備好流式傳送時,它轉(zhuǎn)發(fā)特許數(shù)據(jù)和會話權(quán)利對象到高速緩存服務(wù)器用于評價��。接收之后���,高速緩存服務(wù)器比較會話權(quán)利對象和特許數(shù)據(jù)以確定該客戶是否被授權(quán)訪問數(shù)據(jù)流��。如果特許數(shù)據(jù)和會話權(quán)利信息匹配�,則從高速緩存服務(wù)器流式傳送內(nèi)容到客戶�。注意到用高速緩存服務(wù)器提供的會話密鑰保護(hù)該流式會話。
根據(jù)本發(fā)明的另一方面�����,公開了一種在通信網(wǎng)絡(luò)中控制客戶對來自高速緩存服務(wù)器的數(shù)據(jù)的訪問的方法。該方法包括如下步驟提供定義客戶對實時數(shù)據(jù)流的定購選項的特許數(shù)據(jù)�����,并提供定義客戶對不同購買選項的選擇的會話權(quán)利對象����。其他步驟包括比較會話權(quán)利對象和特許數(shù)據(jù)���,從而確定客戶授權(quán)�;并且如果該客戶被授權(quán)�,傳送數(shù)據(jù)到該客戶。
根據(jù)本發(fā)明的另一個方面����,會話權(quán)利對象包含地理位置限制(blackout)、實時數(shù)據(jù)流購買選項與決定���、內(nèi)容標(biāo)識中的任何一個或多個�����。特許數(shù)據(jù)可以包括客戶地理位置數(shù)據(jù)����、客戶訂購的服務(wù)列表以及客戶對于實時數(shù)據(jù)流的支付能力。
根據(jù)本發(fā)明的另一方面�,內(nèi)容標(biāo)識是RTSP(實時流協(xié)議)URL(統(tǒng)一資源識別符)。
圖1是促進(jìn)通信網(wǎng)絡(luò)上流式傳送內(nèi)容的網(wǎng)絡(luò)框圖�����。
圖2是根據(jù)本發(fā)明示范實施例的結(jié)合ES BrokerTM協(xié)議的IPRM(互聯(lián)網(wǎng)協(xié)議權(quán)利管理)系統(tǒng)框圖���,用于應(yīng)用密鑰管理和安全保護(hù)到圖1的網(wǎng)絡(luò)���。
圖3是根據(jù)本發(fā)明示范實施例當(dāng)消費者(客戶)啟動到高速緩存服務(wù)器(服務(wù)器)的密鑰管理時,安全保護(hù)和密鑰管理協(xié)議的高層流程圖�。
圖4是根據(jù)本發(fā)明示范實施例從高速緩存服務(wù)器(服務(wù)器)啟動到內(nèi)容提供者(客戶)的密鑰管理時,安全保護(hù)和密鑰管理協(xié)議的高層流程圖�����。
圖5是顯示根據(jù)本發(fā)明示范實施例的消費者初始注冊和內(nèi)容接收的框圖�。
通過參考說明書剩余部分及附隨附圖可以實現(xiàn)對在此的本發(fā)明特性和優(yōu)點的進(jìn)一步理解。本發(fā)明的“步驟”說明不應(yīng)當(dāng)被解釋為限于“步驟+功能”���,也并不是指實施本發(fā)明的特定順序���。本發(fā)明的進(jìn)一步的特點和優(yōu)點以及本發(fā)明不同實施例的結(jié)構(gòu)和操作在下面參考附隨附圖進(jìn)行詳細(xì)說明�。在附圖中���,相同參考標(biāo)記表示相同或功能相似元件���。
具體實施例方式
簡單的,本發(fā)明的第一實施例提供一種控制客戶對來自高速緩存服務(wù)器的實時數(shù)據(jù)流的訪問的方法�����?���?蛻艉透咚倬彺娣?wù)器作為IPRM(互聯(lián)網(wǎng)協(xié)議權(quán)利管理)當(dāng)事人(principal)向KDC(密鑰發(fā)布中心)注冊����。由也向KDC注冊的內(nèi)容提供商提供實時數(shù)據(jù)流。
當(dāng)注冊客戶請求時���,KDC向客戶轉(zhuǎn)發(fā)票���,稍后客戶可以使用該票以獲得對特定高速緩存服務(wù)器的授權(quán)�。如在此使用的��,票是KDC向外給客戶的授權(quán)令牌�����。除了其他信息����,票包含客戶名稱、特定服務(wù)器名稱以及會話密鑰(對稱加密密鑰)�����。該票還包含定義客戶訂購選項的授權(quán)數(shù)據(jù)��。授權(quán)數(shù)據(jù)可以包括訂購的服務(wù)�、地理位置、用戶支付方法(例如用信用卡還是通過每月賬單)以及其他可能影響實時數(shù)據(jù)流授權(quán)的客戶信息���。
當(dāng)該客戶請求訪問實時數(shù)據(jù)流時��,客戶接收來自內(nèi)容提供商的會話權(quán)利對象�,該對象定義了用戶選擇以及可選的用于訪問該實時數(shù)據(jù)流的內(nèi)容訪問規(guī)則。反過來��,客戶轉(zhuǎn)發(fā)會話權(quán)利對象以及具有授權(quán)數(shù)據(jù)的票到高速緩存服務(wù)器�����。高速緩存服務(wù)器比較會話權(quán)利對象和授權(quán)數(shù)據(jù)����,從而確定客戶授權(quán);并如果客戶被授權(quán)�����,則流式傳送實時數(shù)據(jù)到客戶��。
圖2是根據(jù)本發(fā)明示范實施例的結(jié)合ES BrokerTM協(xié)議的IPRM(互聯(lián)網(wǎng)協(xié)議權(quán)利管理)系統(tǒng)200的框圖���,用于應(yīng)用密鑰管理和安全保護(hù)到圖1的網(wǎng)絡(luò)100。
除了其他組件��,IPRM系統(tǒng)200包括內(nèi)容提供商202����、消費者216�����、互聯(lián)網(wǎng)214�����、供應(yīng)中心206�����、包含數(shù)據(jù)庫208和搜索引擎21O的中央服務(wù)器205�、高速緩存服務(wù)器212����、213和215,所有組件的功能都和圖1中對應(yīng)組件的類似����。此外,IRPM系統(tǒng)200包括KDC(密鑰發(fā)布中心)204�,KDC204包含用于發(fā)布TGT(ticket granting ticket票授權(quán)票)到消費者216的AS(鑒權(quán)服務(wù)器)207、提供服務(wù)器票以訪問特定服務(wù)器的TGS(票授權(quán)服務(wù)器)209�����,IRPM系統(tǒng)200還包括供應(yīng)服務(wù)器220以及記賬中心211。KDC204���、記賬中心211�、供應(yīng)中心206以及中央服務(wù)器205都位于中央單元218內(nèi)��,以促進(jìn)IPRM系統(tǒng)200內(nèi)的服務(wù)供應(yīng)�����。
此外��,IPRM系統(tǒng)200包含IPRM代理202A�����,用于管理用于內(nèi)容提供商202的權(quán)利管理��,會話權(quán)利對象202B�,用于定義用戶選擇以及用于流式傳送內(nèi)容的可選的內(nèi)容規(guī)則,IPRM代理212A�,用于管理高速緩存服務(wù)器212的權(quán)利管理,IPRM代理213A���,用于管理高速緩存服務(wù)器213的權(quán)利管理��,IPRM代理215A���,用于管理高速緩存服務(wù)器215的權(quán)利管理,IPRM代理216A�����,用于管理消費者216的權(quán)利管理���,以及消費者216內(nèi)的瀏覽器(未示出)�,用于接收期望的內(nèi)容�。雖然沒有顯示,上述組件可位于其相關(guān)組件內(nèi)���。例如��,IPRM代理202A可位于內(nèi)容提供商202內(nèi)而非如圖所示的在其外部��。
如所述�,IPRM系統(tǒng)200通常用于通過使用高速緩存服務(wù)器212��、213和215以安全方式促進(jìn)到消費者216的內(nèi)容的流式傳送。內(nèi)容提供商202僅提供內(nèi)容一次����,此后它可在高速緩存服務(wù)器間移動。多個高速緩存服務(wù)器的原因是將內(nèi)容移到離IPRM系統(tǒng)200邊緣更近�����。這改進(jìn)了流式傳送性能并允許較小的內(nèi)容提供商出售它們的內(nèi)容而無需購買用于媒體流的昂貴硬件�����。它還允許僅在高速緩存服務(wù)器引入IP多播(在網(wǎng)絡(luò)上單個發(fā)送者和多個接收者之間的通信)�。使用當(dāng)前技術(shù),更易于將IP多播限制在本地訪問網(wǎng)絡(luò)而不是在互聯(lián)網(wǎng)上IP多播���。
根據(jù)第一實施例的本發(fā)明通過KDC204���、IPRM代理202A、212A����、213A、215A以及216A提供對IPRM系統(tǒng)200的安全保護(hù)��。IPRM代理結(jié)合KDC204和供應(yīng)中心206提供鑒權(quán)、保密��、完整以及訪問控制工具到IPRM系統(tǒng)200的所有方面�。例如��,在消費者可以使用系統(tǒng)用于流式傳送內(nèi)容之前����,要求注冊處理。由IPRM系統(tǒng)200提供用于消費者的安全注冊�����。因此�,在注冊處理時,沒有人能夠通過竊取消費者216和KDC204之間的消息來復(fù)制消費者216的身份�����。KDC204是可信任實體����,使用對稱和非對稱算法混合提供密鑰發(fā)布到網(wǎng)絡(luò)組件。
KDC204和IPRM組件可以僅受軟件保護(hù)�,對消費者216具有有限信任�����,或可以是硬件安全保護(hù)模塊�����,從要求較高安全保護(hù)級別的版權(quán)所有人強(qiáng)制(mandatory)獲得高質(zhì)量內(nèi)容的權(quán)利�����,或可以是軟件和硬件的組合�。IPRM使用對成百萬用戶具有高可伸縮性的已確認(rèn)密鑰管理協(xié)議�。該密鑰管理協(xié)議被稱為ES BrokerTM(電子安全Broker),加利福尼亞圣迭戈的摩托羅拉公司的產(chǎn)品��,在全部說明書中進(jìn)行參考�����。
ES BrokerTM協(xié)議部分地基于客戶和集中式密鑰發(fā)布中心(KDC204)以及和各個應(yīng)用服務(wù)器之間的交互構(gòu)成的Kerberos框架�。KDC客戶是任何可以發(fā)送請求給KDC的主機(jī)。在IPRM系統(tǒng)中這包括消費者��、高速緩存服務(wù)器以及其他IPRM系統(tǒng)組件���。應(yīng)用服務(wù)器是任何向KDC注冊并且客戶可從其請求服務(wù)票的服務(wù)器(例如高速緩存服務(wù)器以及記賬中心等)��。相同的主機(jī)可以同時既是KDC客戶又是應(yīng)用服務(wù)器��。對于IPRM系統(tǒng)200�,該協(xié)議采用一系列消息來實現(xiàn)客戶和系統(tǒng)服務(wù)器接口之間的密鑰管理。期望該密鑰管理協(xié)議是用于建立安全保護(hù)會話的一般用途����,而非限于IPRM系統(tǒng)��。這些消息在下面表1中列出��,并在名稱為IPRM協(xié)議消息部分進(jìn)一步說明�。
表1
KDC客戶發(fā)送它的公共密鑰(對稱地),該密鑰用消費者216從SKS導(dǎo)出的供應(yīng)密鑰簽名�����。由于不訪問供應(yīng)票內(nèi)的供應(yīng)密鑰����,消費者216使用單向函數(shù)從SKS導(dǎo)出供應(yīng)密鑰。發(fā)布票和供應(yīng)密鑰到軟件客戶的問題是軟件客戶可能復(fù)制該票和密鑰從而轉(zhuǎn)發(fā)到非法軟件客戶�����。為解決此問題,消費者216接收SKS而非實際的供應(yīng)密鑰���。用單向函數(shù)將SKS和唯一的主機(jī)識別符組合產(chǎn)生供應(yīng)密鑰����。SKS對于特定主機(jī)是專用的����,在其他地方不能使用。在本實施例中�����,消費者216執(zhí)行以下函數(shù)以重新產(chǎn)生供應(yīng)密鑰����。
供應(yīng)密鑰=SKGen(主機(jī)ID,SKS)其中SKGen()是單向函數(shù)��;SKGen-1()不能在合理時間(例如低于票生命周期)內(nèi)計算����。
在方框516�,當(dāng)接收到CLIENT_ENROLL_REQ消息時����,KDC204在其本地數(shù)據(jù)庫中尋找消費者216以驗證該請求。如果請求有效��,KDC204在位于KDC本地或在具有安全保護(hù)訪問的其他遠(yuǎn)程位置的客戶數(shù)據(jù)庫中存儲公共密鑰���。作為替換���,KDC204可以產(chǎn)生具有公共密鑰的證書以轉(zhuǎn)發(fā)到消費者216���。然后確認(rèn)該密鑰被存儲(或替代地包含客戶證書)的消息CLIENT_ENROLL_REP被轉(zhuǎn)發(fā)到消費者216�。
在方框518���,消費者216現(xiàn)在注冊并聯(lián)系具有數(shù)據(jù)庫208的網(wǎng)頁(未示出)���,數(shù)據(jù)庫208具有來自不同提供商(包括內(nèi)容提供商202)的內(nèi)容列表。當(dāng)定位到期望內(nèi)容時�,消費者216被重新導(dǎo)向到內(nèi)容提供商202。
在方框520�����,消費者216然后聯(lián)系它被重新導(dǎo)向的內(nèi)容提供商202,并傳送它的優(yōu)選高速緩存服務(wù)器列表���、訂購服務(wù)列表以及內(nèi)容支付能力等����。
在方框522�,內(nèi)容提供商202提供基于特定消費者環(huán)境和服務(wù)的最佳購買選項子集。例如���,對于早已訂購此項服務(wù)的消費者則繞過價格選擇屏幕��。
在方框524��,內(nèi)容提供商202產(chǎn)生封裝消費者216選擇的購買選項����、內(nèi)容訪問規(guī)則(例如限制區(qū)域)可選集以及對選定內(nèi)容的索引(reference)的會話權(quán)利對象�����。例如,當(dāng)其從內(nèi)容提供商請求這些會話權(quán)利時�,會話ID是由消費者216產(chǎn)生的隨機(jī)號碼。消費者216選擇結(jié)束時間(此時間后這些會話權(quán)利不再有效)�����、提供商ID�、購買選項等。
在方框526��,內(nèi)容提供商202將消費者216重新定向到適當(dāng)?shù)母咚倬彺娣?wù)器�。在此情形中,會從距離消費者216最近的高速緩存服務(wù)器215流式傳送內(nèi)容�����。如果消費者216先前高速緩存了當(dāng)其簽名時用于高速緩存服務(wù)器215的高速緩存服務(wù)器票��,它檢索該票�。如果沒有高速緩存票�,它使用TGT聯(lián)系KDC204以獲得正確的高速緩存服務(wù)器票。
在方框528���,消費者216使用高速緩存服務(wù)器票向高速緩存服務(wù)器215驗證自己���,同時(在相同的KEY_REQ消息中)轉(zhuǎn)發(fā)從內(nèi)容提供商202獲得的會話權(quán)利對象到高速緩存服務(wù)器215��。消費者216和高速緩存服務(wù)器215之間的通信使用上述的KEY_REQ/KEY_REP消息實現(xiàn)��。
在方框530���,高速緩存服務(wù)器215相對于票中包含的消費者216的權(quán)利以及會話權(quán)利對象中的用戶選擇(消費者選擇的購買選項)檢查來自會話權(quán)利對象的訪問規(guī)則。權(quán)利基本上是專用于特定消費者216的特許數(shù)據(jù)�����,它允許對內(nèi)容的訪問����。內(nèi)容訪問規(guī)則集是可選的,因為其可能已隨內(nèi)容直接被傳送到高速緩存服務(wù)器215���。此外�,高速緩存服務(wù)器215可選地能夠從多個源收集附加的內(nèi)容訪問規(guī)則��。例如���,訪問網(wǎng)絡(luò)提供商(例如電纜系統(tǒng)操作員)可對其網(wǎng)絡(luò)上的傳送強(qiáng)加某些限制���。
在方框532�,如果允許訪問��,消費者216和高速緩存服務(wù)器215協(xié)商用于傳送內(nèi)容的內(nèi)容加密密鑰(CEK)��,或者高速緩存服務(wù)器產(chǎn)生該密鑰���。
在方框534�,消費者216開始發(fā)布加密RTSP命令到高速緩存服務(wù)器215以獲得內(nèi)容說明(RTSP URL)���,然后請求播放內(nèi)容���。
在方框536,高速緩存服務(wù)器215接收RTSP命令��,解碼它們并返回加密RTSP響應(yīng)��。當(dāng)RTSP命令請求播放特定URL時�����,高速緩存服務(wù)器215驗證該特定URL是在用于該安全保護(hù)會話(用會話ID識別)的會話權(quán)利對象中規(guī)定的�。
在方框538,在接收到播放RTSP URL請求之后��,高速緩存服務(wù)器215開始發(fā)送加密RTP分組��,并且高速緩存服務(wù)器215和消費者216都周期性發(fā)送加密RTCP報告分組����。和相同的RTSP URL相關(guān)的所有RTP和RTCP分組使用相同的會話ID加密,當(dāng)高速緩存服務(wù)器215開始從消費者216接收加密RTSP消息時記錄該會話ID���。
在方框540�,消費者216解密并播放該內(nèi)容����。在相同時間,消費者216可以發(fā)布附加RTSP命令(例如暫?�;蛑匦麻_始內(nèi)容播放)�����,仍然使用相同的會話ID加密��。高速緩存服務(wù)器215跟蹤觀看內(nèi)容者�、內(nèi)容觀看時間以及在何種機(jī)制下購買的此內(nèi)容����。然后將這些信息用于記帳目的����,無論是對消費者216還是對廣告商。有利的�,本系統(tǒng)允許來自不同提供商的多種內(nèi)容的方便轉(zhuǎn)換,而僅需要輸入諸如信用卡號的記賬信息一次����。當(dāng)請求內(nèi)容時,關(guān)于消費者的信息被透明傳輸?shù)絻?nèi)容提供商����。消費者的經(jīng)歷相對容易,因為無需記住多個訪問代碼����。
媒體流密鑰管理媒體流密鑰管理使用專用于IPRM的ES BrokerTM密鑰管理協(xié)議。在KEY_REQ消息中使用的DOI_ID(譯碼域識別符)被設(shè)定為IPRM_DOI_ID值(參見下面的表6)�。除了DOI_ID值,存在多個專用于IRPM的其他專用參數(shù)和要求����。這些在以下部分中列出。
表6
ES BrokerTM消息可選的可以承載對應(yīng)DOI對象的ESB鑒別碼(ESBrokerTM鑒別碼)��。當(dāng)DOI對象的發(fā)起人不是ES BrokerTM消息的發(fā)送者而是某些其他第三方時該鑒別碼特別有用�。對于媒體流的安全保護(hù),在某些情形中需要這樣的鑒別碼而在其他情形中不需要��。
IPRM DOI對象包含會話權(quán)利對象或會話ID(唯一識別點到點安全會話的隨機(jī)號碼)�。會話ID的產(chǎn)生無需健壯的隨機(jī)號碼產(chǎn)生器,任何基于軟件的偽隨機(jī)產(chǎn)生器就足夠了����。當(dāng)端點之一產(chǎn)生會話ID時,它確保對于該主機(jī)它是唯一的��。無論何時檢測到會話ID沖突�,沖突發(fā)生處的端點會返回應(yīng)用錯誤代碼,產(chǎn)生此會話ID的端點會產(chǎn)生另一個隨機(jī)值并重試���。注意到通常KEY_REQ或KEY_REP消息內(nèi)的DOI對象是加密的�。
類型1 IPRM DOI對象(會話權(quán)利)當(dāng)消費者216希望從高速緩存服務(wù)器請求安全保護(hù)會話以瀏覽節(jié)目時���,類型1 DOI對象(會話權(quán)利)通常和KEY_REQ消息一起發(fā)送�����。消費者216從內(nèi)容提供商202獲得該會話權(quán)利�。消費者216(瀏覽器軟件)然后將該DOI對象放入KEY_REQ消息,該消息稍后由適當(dāng)高速緩存服務(wù)器確認(rèn)���。和該會話權(quán)利相伴的是ESB鑒別碼����,從而高速緩存服務(wù)器可以驗證是內(nèi)容提供商202產(chǎn)生了此鑒別碼����。
下面的表7列出了訪問規(guī)則和用戶選擇的例子。這些規(guī)則和選擇可以任意組合�����,或以不同格式表達(dá)��,包括TLV(類型-長度-值)編碼���、XML等�����。注意到購買選項是獨立于用戶選擇的���。
表7
總之����,本發(fā)明公開了一種控制客戶對高速緩存服務(wù)器提供的數(shù)據(jù)的訪問的方法���。該方法包括提供某種特許數(shù)據(jù),該數(shù)據(jù)用于定義客戶對于實時數(shù)據(jù)流的定購選項�����。還提供會話權(quán)利對象�,該對象定義客戶在一個或多個購買選項中的選擇。該會話權(quán)利對象和特許數(shù)據(jù)比較從而確定客戶授權(quán)�����,其中如果客戶被授權(quán)則流式傳送數(shù)據(jù)到客戶���。
雖然以上是本發(fā)明示范特定實施例的完整描述���,附加的實施例也是可能的。因此�����,上述說明不應(yīng)當(dāng)被看作限制本發(fā)明的范圍,本發(fā)明范圍由附隨權(quán)利要求及其等效物的全部范圍定義��。
權(quán)利要求
1.在通信網(wǎng)絡(luò)中���,一種用于控制對來自高速緩存服務(wù)器的數(shù)據(jù)的客戶訪問的方法����,該方法包括提供特許數(shù)據(jù)�����,該數(shù)據(jù)定義了客戶對實時數(shù)據(jù)流的定購選項���;提供會話權(quán)利對象����,該對象定義了來自一個或多個購買選項的客戶選擇���;比較所述會話權(quán)利對象和所述特許數(shù)據(jù)�,以確定客戶授權(quán);以及如果客戶被授權(quán)�����,傳送數(shù)據(jù)到該客戶��。
2.如權(quán)利要求1的方法�����,其中��,所獲數(shù)據(jù)是實時數(shù)據(jù)�,該實時數(shù)據(jù)從高速緩存服務(wù)器流式傳送到客戶���。
3.如權(quán)利要求2的方法�����,進(jìn)一步包括轉(zhuǎn)發(fā)來自高速緩存服務(wù)器的會話密鑰到客戶���,所述會話密鑰用于加密所述實時數(shù)據(jù)。
4.如權(quán)利要求1的方法��,其中,由高速緩存服務(wù)器比較所述會話權(quán)利對象和所述特許數(shù)據(jù)���。
5.一種用于控制對來自位于計算網(wǎng)絡(luò)內(nèi)的高速緩存服務(wù)器的實時數(shù)據(jù)流的客戶訪問的方法�����,該方法包括接收用于訪問實時數(shù)據(jù)流的特許數(shù)據(jù)���;接收用于訪問實時數(shù)據(jù)流的會話權(quán)利對象;從客戶轉(zhuǎn)發(fā)所述會話權(quán)利對象和所述特許數(shù)據(jù)到高速緩存服務(wù)器����;通過評價所述會話權(quán)利對象和所述特許數(shù)據(jù)來確定所述客戶對于接收實時數(shù)據(jù)流是否合格;以及從高速緩存服務(wù)器轉(zhuǎn)發(fā)會話密鑰到所述客戶����,所述會話密鑰用于保護(hù)流式傳送實時數(shù)據(jù)流到客戶的安全。
6.如權(quán)利要求5的方法����,進(jìn)一步包括從密鑰發(fā)布中心轉(zhuǎn)發(fā)所述特許數(shù)據(jù)到客戶。
7.如權(quán)利要求5的方法���,進(jìn)一步包括從內(nèi)容提供商轉(zhuǎn)發(fā)所述會話權(quán)利對象到客戶�����。
8.如權(quán)利要求5的方法���,其中��,所述特許數(shù)據(jù)包括客戶地理位置數(shù)據(jù)����、客戶訂購的服務(wù)列表�、訂購標(biāo)識以及客戶對于實時數(shù)據(jù)流的支付能力中的任何一個或多個。
9.如權(quán)利要求1的方法�����,其中��,所述來自一個或多個購買選項的客戶選擇包括按次付費����、按觀看時間和數(shù)量付費�。
10.如權(quán)利要求5的方法,其中�,所述會話權(quán)利對象包含地理位置限制、實時數(shù)據(jù)流購買選項以及內(nèi)容標(biāo)識中的任何一個或多個。
11.如權(quán)利要求5的方法�����,其中�����,所述內(nèi)容標(biāo)識是URI(統(tǒng)一資源識別符)��。
12.一種用于控制對來自位于計算網(wǎng)絡(luò)內(nèi)的高速緩存服務(wù)器的實時數(shù)據(jù)流的客戶訪問的系統(tǒng)���,該系統(tǒng)包括客戶系統(tǒng)�,該客戶系統(tǒng)進(jìn)一步包括用于接收會話權(quán)利對象的裝置���;用于接收特許數(shù)據(jù)的裝置����;用于轉(zhuǎn)發(fā)所述會話權(quán)利對象和特許數(shù)據(jù)的裝置��;以及高速緩存服務(wù)器��,該高速緩存服務(wù)器進(jìn)一步包括用于比較所述會話權(quán)利對象和特許數(shù)據(jù)以確定客戶授權(quán)的裝置�;以及如果客戶被授權(quán)�,用于流式傳送實時數(shù)據(jù)流到該客戶的裝置���。
13.如權(quán)利要求12的系統(tǒng)�,進(jìn)一步包括密鑰發(fā)布裝置���,用于轉(zhuǎn)發(fā)所述特許數(shù)據(jù)到客戶�。
14.如權(quán)利要求12的系統(tǒng)�����,進(jìn)一步包括內(nèi)容提供商裝置����,用于轉(zhuǎn)發(fā)所述會話權(quán)利對象到客戶。
全文摘要
使用會話權(quán)利對象和特許數(shù)據(jù)來定義消費者對媒體內(nèi)容流的訪問權(quán)利����。該訪問權(quán)利在遠(yuǎn)離消費者(116)的高速緩存服務(wù)器(115)確定而非在終端用戶側(cè)本地確定����。在第一方面,在具有內(nèi)容提供商(102)���、密鑰發(fā)布中心��、高速緩存服務(wù)器(115)以及客戶(116)的計算網(wǎng)絡(luò)中�����,公開了一種控制客戶對來自高速緩存服務(wù)器的實時數(shù)據(jù)流的訪問的方法�。該方法包括客戶從內(nèi)容提供商接收會話權(quán)利對象,該會話權(quán)利對象定義了訪問實時數(shù)據(jù)流的訪問規(guī)則��;客戶從密鑰發(fā)布中心接收特許數(shù)據(jù)���,該特許數(shù)據(jù)定義了客戶對實時數(shù)據(jù)流的訪問權(quán)利�����;將會話權(quán)利對象和特許數(shù)據(jù)轉(zhuǎn)發(fā)到高速緩存服務(wù)器��;高速緩存服務(wù)器比較會話權(quán)利對象和特許數(shù)據(jù)以確定客戶授權(quán)���;并且如果客戶被授權(quán)由高速緩存服務(wù)器流式傳送實時數(shù)據(jù)流到客戶。
文檔編號H04L29/06GK1692614SQ03813791
公開日2005年11月2日 申請日期2003年6月12日 優(yōu)先權(quán)日2002年6月12日
發(fā)明者亞歷山大·梅德溫斯基, 彼得·彼得卡, 保羅·莫羅尼 申請人:通用儀表公司