CN102771102A - 分发数字内容的网络访问 - Google Patents
分发数字内容的网络访问 Download PDFInfo
- Publication number
- CN102771102A CN102771102A CN2010800644723A CN201080064472A CN102771102A CN 102771102 A CN102771102 A CN 102771102A CN 2010800644723 A CN2010800644723 A CN 2010800644723A CN 201080064472 A CN201080064472 A CN 201080064472A CN 102771102 A CN102771102 A CN 102771102A
- Authority
- CN
- China
- Prior art keywords
- network
- address
- relevant
- sub
- digital content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
将数字内容传输至用户终端(101)的网络管理方法,所述网络包括为终端提供服务标识的服务子网络(102)和具有控制部分(103-A)和传输部分(103-B,104-X)的数字内容分发子网络。分发子网络的控制部分(103-A)接收来自用户终端对数字内容的请求,指示为服务标识。然后,如果认为服务标识是有效的,则确定与分发子网络有关的地址并产生与所述地址有关的会话标识。随后,将指示所述地址和与所述地址有关的会话标识的信息传输至用户终端。
Description
本发明涉及分发数字内容的网络访问的管理,尤其是这类基于标识使用时的访问管理。
内容传输网络或CDN可以包括相互协同将数字内容发送至用户终端的多个服务器。然而,只有用户满足某些标准,他才能访问数字内容。对数字内容的访问是可控的,例如基于订阅的方式,使得用户能够访问某些数字内容,或者基于付费的方式,用户可以访问一些数字内容项目。
为此目的,这类网络架构中有一部分是基于服务子网络,其负责认证用户终端是否具有访问用户所请求的数字内容的权利,以及另一部分是基于数字内容的分发子网络,其负责将数字内容发送至请求的用户终端。在这类内容传输网络中,很重要的是建立能控制传输内容访问的安全测量。
在这类架构中,用户终端首先请求来自服务子网络的数字内容项目。一旦服务子网络已经确定用户终端具有访问所请求的数字内容的权利,则通过使终端重新指向能够向用户传输所请求数字内容的数字内容分发子网络或者数字内容服务器的一个或多个元素,对请求作出响应。
为了控制和保证数字内容分发给用户终端的安全,服务子网络可以通过指示来设置对用户终端的响应:
-URL(统一地址位置)地址;和,
-标识。
然后,用户终端使用URL地址和标识来获取与一个或多个数字内容服务器相关的请求内容。
在这些条件下,数字内容服务器为用户终端提供所请求的数字内容,只要该标识被认为是有效的。这种机制提供了数字内容的安全访问。
然而,即使如果分发子网络在分发数字内容前验证了标识,但这种机制仍是基于服务子网络所专用层级的安全测量。基于服务网络所提供的标识来访问所请求的数字内容。
本发明旨在改善该状况。
本发明的第一方面在于提供一种在网络中向用户终端传输数字内容项目的管理方法,所述网络包括适用于向终端提供服务标识的服务子网络和具有控制部分和传输部分的数字分发子网络,所述服务标识与分发子网络的地址有关;
所述管理方法包括在分发子网络的控制部分中的下述步骤:
/1/接收步骤,接收用户终端对数字内容项目的请求,指示为服务标识;
/2/如果服务标识经验证后为有效的,则确定与分发子网络有关的地址并产生与该地址有关的会话标识;以及,
/3/将信息发送至用户终端,指示为所述地址以及与所述地址有关的会话标识。
术语“数字内容”可以理解为对应于能够以数据流形式在网络中传输的内容项目或系列内容项目的任何类型的数字数据。一些实例是文件数据或图像数据或音频数据或视频数据,或通常称之为多媒体数据。
术语“标识”可以理解为是指提供处理该标识的终端能访问验证该标识有效的网络设备的数据项目。因此,标识允许保证访问请求的安全性。它的使用提供网络访问的安全性。对标识的属性没有任何限制。本文中,其与地址有关。例如,也可对应于地址签名,它可以与地址有关或与该地址的加密有关。
在本发明的内容中,地址可对应于用作为诸如互联网和采用浏览器访问等网络有效的识别和定位资源的标准特征的数据串。例如,可以是URL地址。URL地址可以通过诸如HTTP(超文本传输协议)或通过网页进行发送。这里,网络包括服务子网络和分发子网络。服务子网络适用于向终端提供服务标识。本发明对这一部分没有任何限制。
用户终端具有服务子网络预先提供的服务标识。因此,它可以请求分发网络中的数字内容,指示为服务标识。第一标识(服务标识)指示在数字内容分发网络中的安全等级,在该背景下,终端指示它对分发子网络请求的服务标识。因此,分发子网络在此验证用户终端是否已经具有服务子网络预先授权能获取确定地址的数字内容,因为在本发明的实施例中服务标识必须与该地址有关。为此目的,分发子网络包括控制部分和传输部分。在服务子网络的认证之后,用户终端重新指向对应于分发子网络控制部分的地址。如果与来自用户终端所请求有关的服务标识呈现为有效的,则控制部分可以产生另一个标识(会话标识)。于是,将会话标识发送至用户终端,用于指示终端重新指向能够实际发送所需数字内容的分发子网络传输部分的地址。
值得注意的是,这些标识都是以分发子网络中各个地址相关的方法来产生的。指示与下一地址有关的标识并因此为用户终端选择,从而确保了抵御基于这些标识的采集和欺骗性而重复使用这些标识的攻击的一定层级的安全性。这些标识不能在分发子网络中作为任意的随机地址来使用,因为这些标识与分发子网络中的特定地址相关。
由于这些设置,有利于运用相互关联的连续确认,以便提高数字内容传输网络的安全层级。值得注意的是,第一标识与服务层级的第一验证相关联,此外如果第一标识在网络传输部分中验证为有效的,则仅产生第二标识。第二标识用于用户终端实际接收数字内容。
第一标识,即服务标识,因此对应于提供访问分发子网络的服务层级所进行的验证。这是在服务子网络中所实施的第一安全测量。
然后,第二标识,即会话标识,对应于基于第一验证在传输层级所进行的验证。这是在分发子网络中所实施的第二安全测量。优选的是,这两个安全测量可以独立设置,只要服务和分发子网络一致允许预先使用的服务标识。这种在管理中的独立是非常有效的,尤其是当服务子网络和分发子网络不是由同一管理者管理时。两个管理者可以相对独立的方式来定义他们各自的安全规则。
于是,有可能设置专用于分发子网络的安全测量,这不同于现有技术的系统。于是,分发子网络可以例如它建立两个共享密钥分发的规则,定义专用共享密钥的大小和定义所适用的加密算法。在这些条件下,适用于分发子网络的安全测量的变化不会引起适用于服务子网络的安全测量的变化。
在该内容中所使用的两种类型的标识对应于两种不同类型的验证。此外,他们可以具有一个内嵌的独立性,因为第二标识只有在第一标识被认为是有效时才产生。
该内嵌认证的顺序可大大提高安全的层级。
在有利的情况下,能较容易地通过适当的设置来获得安全的更高层级。网络访问的安全性不仅基于在服务层级所产生的标识的使用并且与第一地址有关,而且访问的安全性还基于在数字传输层级所产生的另一个标识的使用并且与第二地址有关。
此外,服务标识和会话标识与用户终端相关。这样的相关性提高了在网络中的安全层级。除了与该标识有关的用户终端之外,这样就避免了任何用户终端重复使用标识。实际上,如果分发子网络存储了在服务标识和用户终端之间的协议,就能够基于相同的服务标识来拒绝另一个用户终端的任何操作。
在步骤/2/中,可以简单地允许确定在分发子网络中有效的多个数字内容项目,并且产生与所述多个数字内容项目分别各自相关的多个会话标识。
在步骤/2/中,确定与分发子网络有关的多个地址并产生与多个地址分别各自有关的会话标识。
通过产生各个地址的一个标识,就能够提高访问数字内容项目的安全层级。
会话标识可以使用在分发子网络层级所共享的会话密钥来保护。这可以进一步提高在该系统中的安全层级。
这也有利于使用相同的密钥来加密其它参数。随后,也可以它们的加密形式将这些相同的参数发送至分发子网络。采用这种方式,在该数字内容分发网络中的安全层级还可以进一步提高。
在本发明的内容中,可以简单地允许产生与用户终端每次协议所唯一的服务标识。因此,用户终端具有每次购买协议的唯一一个证明元件。该证明元件提供防攻击的增强性保护。
在分发子网络层级所产生的任何请求都可以基于服务标识来验证。在每次请求都产生一个新的服务标识的情况下,就容易检测和拒绝用于已经分发数字内容的任何新的请求。
会话标识的使用可以提供处理和参与发送所请求内容的分发子网络服务的可靠控制,并且与参与数字内容分发的网络元件的数量无关。这种控制的稳定性依赖于在CDN中所共享的会话标识使用的机制。
本发明的第二方面提供了一种在包括服务子网络和数字内容分发子网络的网络中向用户终端传输数字内容项目的管理方法,分发子网络还包括控制部分和传输部分,所述管理方法包括在服务子网络中的下述步骤:
/1/接收步骤,接收用户终端对数字内容项目的请求;
/2/基于决定标准来决定是否授权用户终端;
/3/确定与分发子网络有关的地址并产生与所述地址有关的服务标识;以及,
/4/将信息发送至用户终端,指示所述地址和相关的服务标识。
本文中,用户终端请求数字内容项目。可以考虑某些决定标准,以便决定是否授权终端接收所请求的数字内容。文中对考虑的决定标准的类型没有任何限制。
例如,这些标准可以对应于订阅或付费的数量。
可以进行这样的设置,使得当用户终端需要接收数字内容项目或系列数字内容项目时,就将相应的请求发送至服务子网络。于是,子网络可以处理决定是否授权用户终端来接收数字内容。随后,可以使用任何类型的授权机制。尤其是,还可以进行设置,使得只有具有预先获得相关服务的订阅用户终端才能接收数字内容。或者,还可以进行设置,使得用户终端通过支付对应于数字内容或数字内容项目系列的单位成本价格来发送该请求。
与服务子网路所用于决定是否授权用户终端来接收所请求数字内容的机制无关,服务子网络还产生用于用户终端的第一标识(服务标识)。根据本发明的实施例,对这类标识的产生没有任何限制。
服务子网络随后指示所授权的用户终端、与分发子网络有关的地址以及相关的服务标识。
在本发明的一个实施例中,使用密钥产生标识。通常,服务密钥对服务子网络有效,并且会话密钥对分发子网络有效。然后,分发子网络已知服务密钥,允许该网络验证由用户终端所指示的服务标识的有效性。
于是,在用户终端中,以使用服务子网络和分发子网络都已知的服务密钥的加密形式来接收和指示服务标识,以及以使用分发子网络所已知的会话密钥的加密形式来接收和指示会话标识。
在本发明的一个实施例中,服务子网络不知道服务密钥并且要求加密,将需要加密的数据发送至分发子网络。此外,有可能识别服务密钥和会话密钥。
因此,根据本发明的一个实施例,通过共享在服务和分发之间的标识和使用服务类型的标识,提高在这类网络中访问数字内容项目的安全层级。
因此,有利于有可能减少各种相应数字内容传输协议中的订阅协议。也容易追踪对给定用户终端所产生服务标识的传输会话的授权数量。
本发明的第三方面提供了一种在包括服务子网络和数字内容分发子网络的网络中向用户终端传输数字内容项目的管理方法,数字内容分发子网络包括控制部分和传输部分;
所述管理方法包括在用户终端中的下述步骤:
/1/请求来自服务子网络的数字内容项目;
/2/接收与分发子网络的控制部分有关的第一地址以及与所述第一地址有关的服务标识;
/3/请求来自所述第一地址的数字内容项目,指示与所述第一地址有关的服务标识;
/4/接收与分发子网络的传输部分有关的第二地址以及与所述第二地址有关的会话标识;
/5/请求来自所述第二地址的数字内容项目,指示与所述第二地址有关的会话标识,
/6/接收数字内容。
以使用服务子网络和分发子网络都已知的服务密钥的加密形式来接收和指示服务标识;在这种情况下,以使用分发子网络所已知的会话密钥的加密形式来接收和指示会话标识。
在一个实施例中,在步骤/4/中,接收与分发子网络的传输部分有关的多个地址以及与多个地址各自有关的多个会话标识;以及,
在步骤5中,请求来自所述多个地址的数字内容,同时分别指示与多个地址有关的会话标识。
通过产生每个地址的一个标识,从而提高访问数字内容的安全层级。
可以进行这样的设置,使得服务标识和会话标识各自与对应于步骤/1/的操作和对应于步骤/5/的操作相关联。这样的关联还进一步提高涉及网络的安全层级。这样避免了相同用户终端的任何重复使用。为了检测标识重复使用的状态且与标识是否被涉及的用户终端或其他用户终端的重复使用无关,其满足在数字内容管理网络中存储在标识和对应的操作之间的相关性。相关的标识与在步骤/1/中的服务子网络或在步骤/5/中的分发子网络的控制部分中的进程处理中的请求的操作识别相关。例如,可以满足存储与服务标识相关的对应步骤/1/的操作识别以及与会话标识相关的对应步骤/2/的操作识别。
还可以进行这样的设置,使得服务标识和会话标识还与对应于购买数字内容项目的步骤/1/的操作相关。还可以进行这样的设置,使得服务标识还与对应于步骤/5/的操作系列的会话标识系列相关。这样的关联不仅进一步提高安全层级,并且还允许对应步骤/1/中的单次操作的多次执行以及因此多次发送对应在涉及网络中的步骤/5/的内容系列。这就避免了在服务标识和会话标识之间的一一对应。此外,其允许优化内容分发子网络的资源,因为分发子网络的控制器可以选择适用于数字内容分发的多个子控制器并且产生对应每一个所选择的子控制器的一个会话标识。
这些关联性存储于不同网络元件所共享的数据库中。他们也可以文件格式本地直接存储或者在网络中共享。
本发明的第四方面提供了适用于分发子网络的控制器,包括用于实施根据本发明第一方面的方法的装置。
本发明的第五方面提供了服务子网络,包括用于实施根据本发明第二方面的方法的装置。
本发明的第六方面提供了一种网络,其包括用户终端、根据本发明第五方面的服务子网络、根据本发明第四方面的控制器以及设置成用于验证会话标识有效性的传输部分。
本发明的第七、第八、第九方面提供了计算机程序,其包括当该程序由处理器执行时实施本发明的第一、第二、第三方面的方法的指令。
本发明的其它特征和优点将通过下文实施例的阐述变得明晰。
本发明还可通过对附图的说明得到更好的理解:
-图1图示了用于实施根据本发明第一实施例的数字内容传输的管理方法的通用架构;
-图2图示了根据本发明实施例的方法在用户终端的主要步骤;
-图3图示了根据本发明实施例在数字内容分发系统中实施的方法;
-图4图示了根据本发明实施例在另一个数字内容分发系统中实施的方法;以及,
-图5图示了根据本发明实施例的用户终端、服务子网路和分发子网络的控制器。
图1图示了用于实施根据本发明实施例的数字内容传输的管理方法的通用架构。通讯网络104连接着用户终端101,服务子网络102和分发子网络103。用户终端101请求来自服务子网络102的数字内容并且接收来自分发子网络103的数字内容。服务子网络102接收来自用户终端对数字内容的请求并且决定该用户终端是否授权接收它所请求的数字内容。本发明对所涉及的决定方法或用于考虑由服务子网络授权向该用户终端传输数字内容的决定标准的类型没有任何限制。
根据一个实施例,当服务子网络决定授权该传输时,其向用户终端提供与连接分发子网络通讯所必需的数据,以便接收数字内容。根据一个实施例,该架构基于两个子网络,各自分别用于顺序和内嵌独立地应用于验证,以便访问所请求的数字内容。
图2图示了根据本发明的实施例在网络中传输数字内容的管理方法在用户终端的主要步骤,所示在终端的该方法允许示出服务子网络的接口和分发子网络的接口。在用户终端处,在步骤21中,请求来自服务子网络102的数字内容。然后,如果用户终端具有访问数字内容的权利,就作出响应,在步骤22中,用户终端接收与控制子网络有关的第一地址URL1以及与第一地址有关的服务标识Token 1。然后,根据所接收到的信息,用户终端可请求来自分发子网络的数字内容。地址可以对应于访问网络(例如互联网和由浏览器访问)的识别和位置资源的标准字符串。例如,它可以为URL地址。URL地址可以通过例如HTTP协议发送或通过网络页面来发送。
在步骤23中,用户终端指向第一地址URL1并且提供与该第一地址有关的服务标识。更具体的是,第一地址URL1对应于分发子网络的控制实体,该控制实体或控制器负责验证服务标识的有效性。
接着,如果认为服务标识是有效的,则所述控制器选择传输部分的实体,其能够管理所请求的数字内容的传输。在网络中的第二地址URL2对应于分发子网络的实体。控制实体然后为用户终端产生与用户终端的第二地址URL2有关的会话标识Token2。随后,传输子网络的选择实体由第二地址URL2来指示用户终端,其与所产生的会话标识Token2有关。
在步骤24,终端接收与数字内容分发子网络有关的第二地址URL2以及相关的会话标识。
然后,在步骤25中,用户终端可以第二地址请求数字内容,指示相关的会话标识。用户终端提供该第二地址的会话标识。如果认为会话标识是有效的,则用户终端可以在步骤26中接收所请求的数字内容。
优选的,服务密钥用于加密在子网络中的服务标识以及用于在分发网络的控制器对其进行验证。因此,服务密钥由服务子网络和分发子网络共享。但是,非常有可能分发子网络知道服务密钥而服务子网络并不知道服务密钥。在这样的情况下,将在服务子网络中加密的信息发送至分发子网络来进行加密,然后以加密的形式重新发送至服务子网络。
图3图示了根据本发明一个实施例的数字内容分发架构。
数字内容分发网络可以包括服务子网络102和分发子网络103。服务子网络102可以包括适用于使用服务密钥(例如,服务密钥360)来产生服务标识的多个服务平台。
在此,分发子网络103包括控制器103-A,用于使用会话密钥361来产生会话标识。也可具有服务密钥360,其允许当终端请求数字内容时,验证用户终端所接收到的服务标识的有效性。
分发子网络还可以包括多个服务器组,例如服务器组104-X i至k以及服务器组104-Y i至k。这些服务器组分别由子控制器103-B和103-C(群组控制器)控制。
在本发明的一个实施例中,会话密钥361可由分发网络103所包括的所有实体共享。因此,与在由终端请求的数字内容传输中所涉及的分发子网络的一个实体或多个实体无关,它们可以验证以加密形式所使用的会话标识,以检测其有效性。
获取由分发子网络中的实体或任意实体组所管理的会话密钥是很容易的。
图3图示了根据本发明一个实施例的信息交换。用户终端101需要接收数字内容项目或数字内容项目系列。其对服务子网络102产生请求301。根据该信息301的接收,服务子网络的服务实体验证用户终端是否满足访问数字内容的决定标准,例如,是否通过订阅允许其接收该数字内容的服务或者该数字内容的一次性付费方式。如果该请求在服务层级得到接收,那么选择在分发子网络103中的至少一个地址URL1,并且使用与该第一地址有关的服务密钥360来产生服务标识350。
服务标识350从系列相关信息中获得,其包括下述一项、多项或所有项元素:
-数字内容项目的标识符或数字内容项目系列的标识符;
-服务子网络标识符;
-指示内容分发策略的服务标识符;
-操作标识符;
-终端标识符;
-分发子网络103的控制器103-A的地址;
-客户标识符;
-标识有效性周期。
客户标识符是在网络中的地址,例如IP地址或MAC地址或组织机构的编码或OUI或固定访问远程标识或FARID。终端标识符的存在避免了其它终端的重复使用。
服务子网络标识符允许分发子网络的实体确定使用哪个服务密钥来验证服务标识。
操作标识符允许建立服务子网络的服务请求和与分发子网络相关的内容发送的后者通告之间的关联性。
分发子网路103的控制器103-A的地址允许验证用户终端101不能联系未能授权访问的网络实体。
可选的,地址URL1还可以包括标识有效性周期或者限制授权分发的数量(授权操作的最大数量)的参数。
该系列信息的指纹(或对该系列信息应用哈希函数)可以通过给定的算法进行计算。该指纹可以使用服务密钥360进行加密,以获得服务标识350。预定的算法可以例如为SHA-1算法(安全哈希算法)。
作为一个变化例,还有可能执行结合使用加密算法的指纹计算和使用例如HMAC(根据哈希信息认证码)的密钥的方法。
该系列信息还可与第一地址URL1有关。
因此,服务标识350确保第一地址URL1和相关信息不会被修改。它还允许鉴别第一地址URL1的源。
然后,将信息302发送至用户终端101,用于指示第一地址URL1和相关的服务标识350以及可选的其它相关信息。
一旦接收到信息302,用户终端就将信息303发送至所指示的第一地址URL1,指示相关的服务标识350以及可选的相关信息。该第一地址URL1为用于第一分发子网络的控制器103-A。该控制器103-A基于有效的服务密钥360来验证信息303所指示的服务标识的有效性。对于验证标识有效性的方法没有任何限制。该验证依赖于所涉及标识的类型。例如,如果标识对应于URL地址的签名(通过使用哈希函数),则可将网络实体设置成根据地址数据来产生临时的标识,然后与当前的标识进行比较。如果标识对应于URL地址数据的加密,则可以尝试解密。然后,检测通过解密所获得的数据的有效性。
这时,如果认为服务标识是有效的,则控制器选择分发子网络的至少一个第二地址URL2,由该地址分发数字内容项目,还使用分发子网络所共享的会话密钥361来产生与该地址URL2有关的会话标识351。当涉及系列数字内容项目时,则确定在分发网络中有效的多个数字内容项目以及产生与所述数字内容项目各自分别相关的多个会话标识。
会话标识351由系列相关信息获得,其包括下述一项、多项或所有项元素:
-数字内容项目的标识符或系列数字内容项目的标识符;
-指示内容分发策略的服务标识符;
-在分发子网络中的控制器标识符;
-终端标识符;
-客户标识符;
-服务子网络标识符;
-标识有效性周期。
为了避免第三方或用户自己重复使用用户的请求,很容易设置成子网络存储URL地址中的某些信息,并且只执行对应于数字内容传输长度的会话操作。
通常,这些存储的数据至少选自下列项目之一:操作标识,标识本身,对应于数字内容的各次请求的唯一标识并在有限时间内有效的另一个当前数值。这些数据中的一部分或所有都存储于网络不同元件所共享的数据库中,或直接以文件格式保持在网络服务器的一个硬盘中并可在网络实体之间进行交换。尤其当标识符还没有存在或者修改请求时,可以使用这类存储方法。如果标识符已经存在,则网络可以拒绝处理所接收到的请求。
控制器103将信息306发送至指示第二地址URL2和相关会话标识351的用户终端。第二地址URL2可对应于数字内容服务器103-B的子控制器。在这样的情况下,一旦接收到该信息306,用户终端就访问子控制器103-B并通过信息307提供会话标识351。然后,根据在分发子网络中共享的会话密钥361,来验证会话标识351。如果认为会话标识是有效的,则子控制器103-B通过“ACK”信息309来确认接受到用户终端所发送的请求。在接收到信息309之后,终端可以通过信息310来发布播放指令将数字内容数据流排序,或者通过信息310来发布停止指令从而停止数据内容数据流。
这些通过信息110由用户终端101排序的各种不同操作都发送至子控制器103-B,子控制器将这些指令转发送至其所负责的服务器组(服务器104-X i,j,k...)。然后,基于所请求的操作,服务器或服务器组104-X通过数据流312来发送所请求的数字内容。
上文使用特定的实施例说明了交换,其中控制器103-A选择单一子控制器103-B,以提供简化的图示说明的实施例。如图3所示,控制器103-A选择两个子控制器103-B和103-C,用于管理所请求的数字内容的传输。因此,选择子控制器103-B的地址URL2和子控制器103-C的地址URL3。值得注意的是,它每个选择子控制器产生一个会话标识。会话标识与特定的子控制器有关。这种关联性允许保证在分发子网络中的访问安全性的层级。于是,用户终端就不可能访问不是它所选择的子控制器。
因此,控制器103-A产生与子控制器103-C的另一个地址URL3有关的另一个会话标识352。在该情况下,用户终端接收包括每个URL的一个会话标识的信息306,尤其是,该信息306包括与会话标识351有关的地址URL2以及与其它会话标识352有关的其它地址URL3。该其它会话标识352在交换307’中由子控制器103-C提供。子控制器103-C能够基于会话密钥361来验证会话标识的有效性。
适用于子控制器103-B的上述数字内容的相同机制也可以应用于涉及服务器组104-Y i至k的子控制器103-C。
因此,可以了解到,本方法适用于不同数量的子控制器,并且控制器103-A确定在分发中所涉及作为所请求数字内容的函数的子控制器的数量。各个子控制器都分发一部分数字内容。
在一个变化例中,可以产生单一会话标识351,用于访问在内容分发中所涉及到的子控制器。
图4图示了根据本发明实施例的另一数字内容分发网络架构构。该架构不同于图3所示的前一架构,其中服务器本身能够接收和管理来自用户终端的指令。这里,为了维持访问安全性的层级,服务器能够验证从用户终端所接收到的会话标识的有效性。为此目的,服务器能够访问分发子网络所共享的会话密钥361。
因此,图4不同于图3,一旦接收到的信息307,子控制器103-B就验证会话标识351的有效性,并且将用户终端101指向地址URL4,由其对应于通过发布指示地址URL4作为例如服务器104-X,i的信息所负责的服务器组中的服务器。
这里,可以设置成,使得服务器104-X,i根据子控制器103-B验证所使用的会话标识来验证终端请求的有效性。在这样的情况下,通过交换313将会话标识351发送至对应于URL4的服务器。该服务器能够根据会话密钥361对其进行验证。然后,在验证会话标识的有效性之后,用户终端指令所请求数字内容的操作。随后,数据流312在指令控制下由相关服务器发送至用户终端101。
此外,子控制器103-B可以产生新的会话标识,并以与地址URL4有关的信息309进行发送。在这样的情况下,新的会话标识在与相关服务器104-Xi,的第一次信息交换中指示。随后,由服务器来验证该新的会话标识。此外,用户终端101可以发布请求数字内容的指令,例如“播放”或“停止”。由所涉及的服务器在指令的控制下将数据流312发送至用户终端101。
图5图示了根据本发明一个实施例的用户终端101,包括:
-服务子网络的第一接口51,适用于请求数字内容项目,以及接收涉及分发子网络控制部分的第一地址和相关的服务标识;
-分发子网络的第二接口52,适用于:
-请求来自所述第一地址的数字内容,指示相关的服务标识;
-接收与分发子网络传输部分有关的第二地址以及相关的会话标识;
-请求来自所述第二地址的数字内容,指示相关的会话标识;以及,
-接收数字内容。
图5还图示了一种服务子网路102,其包括:
-单元53,用作为与用户终端的接口,适用于:
-接收来自用户终端的数字内容的请求;以及,
-如果适用,则将指示所述电子和相关服务标识的信息发送至用户终端;
-决定单元54,其基于决定标准来决定是否授权用户终端;以及,
-确定单元55,其确定与分发子网络有关的地址并产生相关的服务标识。
图5还图示了分发子网络103的控制器103-A,其包括:
-接口单元56,接收来自用户终端的数字内容请求,指示为服务标识,并且如果适用,则将指示所述地址和相关的会话标识的信息发送至用户终端;
-控制单元57,用于验证服务标识的有效性;
-确定单元58,用于确定与分发网络有关的地址并产生相关的会话标识。
适用于分发子网络103的子控制器103-B包括能够用于验证会话标识有效性的控制单元。
Claims (14)
1.一种适用于在网络中将数字内容项目传输至用户终端(101)的管理方法,所述网络包括适用于为终端提供服务标识的服务子网络(102)和具有控制部分(103-A)和传输部分(103-B,104-X)的数字内容分发子网络(103),所述服务标识与分发子网络的地址(URL1)有关;
所述管理方法包括在分发子网络的控制部分(103-A)中的下述步骤:
/1/接收步骤,用于接收来自用户终端对数字内容项目的请求(303),指示为服务标识(350);
/2/如果认为服务标识是有效的,则确定与分发子网络有关的地址(URL2)并产生与所述地址(351)有关的会话标识;以及,
/3/将信息发送至用户终端,指示所述地址(URL2)以及与所述地址有关的会话标识。
2.根据权利要求1所述的管理方法,其特征在于,在步骤/2/中,确定与分发子网络有关的多个地址并产生与多个地址各自分别有关的会话标识。
3.根据权利要求1所述的管理方法,其特征在于,所述会话标识(351)使用在分发子网络层级所共享的会话密钥(361)进行保护。
4.一种适用于在网络中将数字内容项目传输至用户终端(101)的管理方法,所述网络包括服务子网络(102)和具有控制部分和传输部分的数字内容分发子网络(103);
所述管理方法包括在服务子网络中的下述步骤:
/1/接收步骤,接收来自用户终端对数字内容项目的请求(301);
/2/基于决定标准来决定是否授权用户终端;
/3/确定与分发子网络有关的地址(URL1)并产生与所述地址有关的会话标识(350);
/4/将信息发送至用户终端(302),指示所述地址(URL1)以及与该所述地址有关的会话标识。
5.根据权利要求4所述的管理方法,其特征在于,所述服务标识使用服务密钥(360)的加密方式来发送,所述服务密钥也是分发子网络(103)所已知的。
6.一种适用于在网络中将数字内容项目传输至用户终端(101)的管理方法,所述网络包括服务子网络(102)以及具有控制部分(103-A)和传输部分(103-B,104-X)的数字内容分发子网络(103);
所述管理方法包括在用户终端中的下述步骤:
/1/请求(21)来自服务子网络的数字内容项目;
/2/接收(22)与分发子网络控制部分有关的第一地址(URL1)以及与所述第一地址有关的服务标识(350);
/3/请求(23)来自所述第一地址的数字内容项目,指示为与第一地址有关的服务标识;
/4/接收(24)与分发子网络传输部分有关的第二地址(URL2)以及与所述第二地址有关的会话标识(351);
/5/请求(25)来自第二地址的数字内容项目,指示为与所述第二地址有关的会话标识;以及,
/6/接收(26)数字内容。
7.根据权利要求6所述的管理方法,其特征在于,所述服务标识(350)使用服务子网络和分发子网络都已知的服务密钥(360)的加密形式来接收和指示;并且所述会话标识(351)使用分发子网络所已知的会话密钥(361)的加密形式来接收和指示。
8.根据权利要求6所述的管理方法,其特征在于,在步骤/4/中,接收与分发子网络传输部分有关的多个地址(URL2、URL3)和与多个地址分别各自有关的多个会话标识(351,352);并且在步骤/5/中,请求来自所述多个地址的数字内容,同时分别指示与多个地址有关的会话标识。
9.一种在数字内容管理网络中的服务子网络(102)还附加包括具有控制部分(103-A)和传输部分(103-B,104-X)的数字内容分发子网络(103);所述服务子网络包括:
-单元(53),作为与用户终端的接口,适用于:
-接收来自用户终端对数字内容的请求(301);以及,
如果适用,将信息发送至用户终端(302),指示所述地址(URL1)和与该所述地址有关的服务标识;
-决定单元(54),其基于决定标准来决定是否授权用户终端;
-确定单元(55),其确定与分发子网络有关的地址(URL1)和产生与所述地址有关的服务标识(350)。
10.一种适用于在附加包括适用于为终端提供服务标识的服务子网络(102)的数字内容管理网络中的分发子网络(103)的控制器(103-A),所述分发子网络具有控制部分(103-A)和传输部分(103-B,104-X),所述控制器包括:
-接口单元(56),接收来自用户终端对数字内容的请求(303),指示为服务标识(351),并且如果适用,则将信息发送至用户终端,指示地址(URL2)和与该所述地址有关的会话标识;
-控制单元(57),用于验证服务标识的有效性;以及,
-确定单元(58),用于确定与分发网络有关的所述地址并产生与所述地址有关的会话标识(351)。
11.一种适用于管理将数字内容传输至用户终端(101)的网络(104),所述网络包括根据权利要求9所述的服务子网络(102)和包括根据权利要求10所述的控制器(103-A)以及设置成验证会话标识有效性的传输部分(103-B,104-X)的数字内容分发子网络(103)。
12.一种计算机程序,当处理器执行该程序时,该程序包括实施根据权利要求1所述方法的指令。
13.一种计算机程序,当处理器执行该程序时,该程序包括实施根据权利要求4所述方法的指令。
14.一种计算机程序,当处理器执行该程序时,该程序包括实施根据权利要求6所述方法的指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0959187 | 2009-12-18 | ||
| FR0959187 | 2009-12-18 | ||
| PCT/FR2010/052698 WO2011073560A1 (fr) | 2009-12-18 | 2010-12-13 | Acces a un reseau de distribution de contenu numerique |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102771102A true CN102771102A (zh) | 2012-11-07 |
| CN102771102B CN102771102B (zh) | 2016-05-18 |
Family
ID=42735238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080064472.3A Active CN102771102B (zh) | 2009-12-18 | 2010-12-13 | 分发数字内容的网络及管理方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8631481B2 (zh) |
| EP (1) | EP2514166B1 (zh) |
| CN (1) | CN102771102B (zh) |
| WO (1) | WO2011073560A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001967B (zh) * | 2012-12-13 | 2016-12-21 | 北京奇虎科技有限公司 | 源站服务器和业务推送方法 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9098266B1 (en) * | 2013-05-30 | 2015-08-04 | Amazon Technologies, Inc. | Data layer service availability |
| FR3015168A1 (fr) * | 2013-12-12 | 2015-06-19 | Orange | Procede d'authentification par jeton |
| US9647999B2 (en) | 2014-02-07 | 2017-05-09 | Bank Of America Corporation | Authentication level of function bucket based on circumstances |
| US9208301B2 (en) | 2014-02-07 | 2015-12-08 | Bank Of America Corporation | Determining user authentication requirements based on the current location of the user in comparison to the users's normal boundary of location |
| US9286450B2 (en) | 2014-02-07 | 2016-03-15 | Bank Of America Corporation | Self-selected user access based on specific authentication types |
| US9305149B2 (en) | 2014-02-07 | 2016-04-05 | Bank Of America Corporation | Sorting mobile banking functions into authentication buckets |
| US9390242B2 (en) | 2014-02-07 | 2016-07-12 | Bank Of America Corporation | Determining user authentication requirements based on the current location of the user being within a predetermined area requiring altered authentication requirements |
| US9965606B2 (en) | 2014-02-07 | 2018-05-08 | Bank Of America Corporation | Determining user authentication based on user/device interaction |
| US9317674B2 (en) | 2014-02-07 | 2016-04-19 | Bank Of America Corporation | User authentication based on fob/indicia scan |
| US9223951B2 (en) | 2014-02-07 | 2015-12-29 | Bank Of America Corporation | User authentication based on other applications |
| US9210154B2 (en) * | 2014-02-28 | 2015-12-08 | Edgecast Networks, Inc. | Providing localized content delivery with remote token authentication |
| US20150254646A1 (en) * | 2014-03-04 | 2015-09-10 | Bank Of America Corporation | Restoring or reissuing of a token based on user authentication |
| US9721248B2 (en) | 2014-03-04 | 2017-08-01 | Bank Of America Corporation | ATM token cash withdrawal |
| US20150294346A1 (en) * | 2014-04-09 | 2015-10-15 | Valassis Communications, Inc. | State information session token |
| US9729536B2 (en) | 2015-10-30 | 2017-08-08 | Bank Of America Corporation | Tiered identification federated authentication network system |
| US10460367B2 (en) | 2016-04-29 | 2019-10-29 | Bank Of America Corporation | System for user authentication based on linking a randomly generated number to the user and a physical item |
| US10353534B2 (en) | 2016-05-13 | 2019-07-16 | Sap Se | Overview page in multi application user interface |
| US10579238B2 (en) | 2016-05-13 | 2020-03-03 | Sap Se | Flexible screen layout across multiple platforms |
| US10268635B2 (en) | 2016-06-17 | 2019-04-23 | Bank Of America Corporation | System for data rotation through tokenization |
| US10313480B2 (en) | 2017-06-22 | 2019-06-04 | Bank Of America Corporation | Data transmission between networked resources |
| US10511692B2 (en) | 2017-06-22 | 2019-12-17 | Bank Of America Corporation | Data transmission to a networked resource based on contextual information |
| US10524165B2 (en) | 2017-06-22 | 2019-12-31 | Bank Of America Corporation | Dynamic utilization of alternative resources based on token association |
| US10547594B2 (en) * | 2017-08-17 | 2020-01-28 | Domanicom Corporation | Systems and methods for implementing data communication with security tokens |
| EP4202734A1 (en) * | 2019-03-26 | 2023-06-28 | Google LLC | Separating the authorization of content access and content delivery using multiple cryptographic digital signatures |
| US11146398B2 (en) | 2019-08-30 | 2021-10-12 | Comcast Cable Communications, Llc | Method and apparatus for secure token generation |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020147929A1 (en) * | 2001-04-10 | 2002-10-10 | Rose Mark E. | Access control for distributed content servers |
| US20040187076A1 (en) * | 2003-03-22 | 2004-09-23 | Knowledge Info-Net Service, Inc. | Redirection technique based control method for internet contents providing services and control system for the same |
| CN101035264A (zh) * | 2007-04-09 | 2007-09-12 | 中兴通讯股份有限公司 | 一种内容分发网络系统及其内容和服务调度方法 |
| CN101540775A (zh) * | 2009-04-30 | 2009-09-23 | 华为技术有限公司 | 内容分发方法、装置与内容分发网络系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1779713A (zh) * | 2004-11-25 | 2006-05-31 | 国际商业机器公司 | 电子数据传送系统、服务器、终端和电子数据传送方法 |
| CA2527550A1 (en) * | 2005-11-24 | 2007-05-24 | Oz Communications | Method for securely associating data with https sessions |
-
2010
- 2010-12-13 WO PCT/FR2010/052698 patent/WO2011073560A1/fr active Application Filing
- 2010-12-13 US US13/516,817 patent/US8631481B2/en active Active
- 2010-12-13 EP EP10805474.3A patent/EP2514166B1/fr active Active
- 2010-12-13 CN CN201080064472.3A patent/CN102771102B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020147929A1 (en) * | 2001-04-10 | 2002-10-10 | Rose Mark E. | Access control for distributed content servers |
| US20040187076A1 (en) * | 2003-03-22 | 2004-09-23 | Knowledge Info-Net Service, Inc. | Redirection technique based control method for internet contents providing services and control system for the same |
| CN101035264A (zh) * | 2007-04-09 | 2007-09-12 | 中兴通讯股份有限公司 | 一种内容分发网络系统及其内容和服务调度方法 |
| CN101540775A (zh) * | 2009-04-30 | 2009-09-23 | 华为技术有限公司 | 内容分发方法、装置与内容分发网络系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001967B (zh) * | 2012-12-13 | 2016-12-21 | 北京奇虎科技有限公司 | 源站服务器和业务推送方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102771102B (zh) | 2016-05-18 |
| WO2011073560A1 (fr) | 2011-06-23 |
| EP2514166B1 (fr) | 2020-02-12 |
| US8631481B2 (en) | 2014-01-14 |
| US20120260318A1 (en) | 2012-10-11 |
| EP2514166A1 (fr) | 2012-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102771102A (zh) | 分发数字内容的网络访问 | |
| US11411949B2 (en) | Trusted communication session and content delivery | |
| KR102429633B1 (ko) | 다수의 웹사이트들 간의 자동 로그인 방법 및 장치 | |
| JP6335657B2 (ja) | 権限委譲システム、方法、認証サーバーシステム、およびプログラム | |
| CN101997685B (zh) | 单点登录方法、单点登录系统以及相关设备 | |
| CN107342984A (zh) | 一种用于设备绑定的系统、方法及装置 | |
| CN103973665B (zh) | 认证与授权的方法及系统 | |
| CN106295394A (zh) | 资源授权方法及系统和授权服务器及工作方法 | |
| JP2019139520A (ja) | 情報処理システムと、その制御方法とプログラム | |
| CN108833507B (zh) | 一种共享产品的授权认证系统及方法 | |
| CN105554098A (zh) | 一种设备配置方法、服务器及系统 | |
| CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
| CN104348820A (zh) | 服务器、终端和数字版权保护内容的转送方法 | |
| CN100556033C (zh) | 用于分发密码的方法 | |
| CN105141624A (zh) | 登录方法、账号管理服务器及客户端系统 | |
| US20100250607A1 (en) | Personal information management apparatus and personal information management method | |
| KR101209812B1 (ko) | 홈 네트워크 시스템에서의 클라이언트 접근 제어 방법 및 이를 위한 장치 | |
| JP5400096B2 (ja) | 属性情報開示システムおよび属性情報開示方法 | |
| CN101990771B (zh) | 服务报告 | |
| CN101118578B (zh) | 设备与许可服务器交互的方法和系统 | |
| CN106487776A (zh) | 一种保护机器类通信设备的方法、网络实体及系统 | |
| JP2020135199A (ja) | 機器制御システム及び機器制御方法 | |
| JP5993908B2 (ja) | 端末装置、検証方法及び検証プログラム | |
| WO2017024588A1 (zh) | 业务处理方法及装置 | |
| KR20080026022A (ko) | 정보 제공 방법, 클라이언트 인증 방법 및 drm 상호호환 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |