CN102893623A

CN102893623A - 用于互联网视频客户端的认证和授权

Info

Publication number: CN102893623A
Application number: CN2011800223625A
Authority: CN
Inventors: 莱昂·潘得洛乌; 布兰特·坎代洛尔
Original assignee: Sony Corp
Current assignee: Sony Corp
Priority date: 2010-05-04
Filing date: 2011-04-21
Publication date: 2013-01-23
Anticipated expiration: 2031-04-21
Also published as: CA2798215A1; WO2011139583A1; US20140059584A1; US20110277003A1; KR20130018843A; US20110277005A1; US20110276797A1; CA2798215C; US20140325553A1; US8607263B2; EP2553566A1; JP2013526233A; US9002747B2; US8862515B2; US8869190B2; US20150012935A1; MX2012012772A; JP5488856B2; KR101502211B1; US9215485B2

Abstract

设备(12/12A)能够通过用保密的唯一ID访问(40)管理服务器(32)并且在假定该ID被批准的情况下从该服务器接收回(42/48)用户令牌和知晓该用户令牌的内容服务器的服务列表，来显示互联网TV。用户可以选择(52)使该设备上传(54)其用户令牌的内容服务器，并作为响应从该内容服务器接收(56)内容列表，从该内容列表中可以选择(58)内容以用于显示。这两个列表都不可被该设备修改，并且该设备仅可以访问内容列表上的内容。

Description

用于互联网视频客户端的认证和授权

本申请要求均于2010年5月4日提交的第61/330,993和61/331,092号美国临时申请的优先权。

技术领域

本申请一般涉及用于互联网视频客户端的认证和授权，所述客户端包括但不限于TV(电视)。

背景技术

通常通过就好像TV是正在运行浏览器的计算机一样对TV进行实质上的编程来提供经由TV的互联网访问。因此，除了防火墙或者过滤程序可能阻挡某些站点之外，这种互联网访问是不受控制的。

如本文所理解的，不受控制的互联网访问在TV环境下可能不是希望的。防火墙或过滤程序可能未必总被安装在TV上，并且即使当一者被安装，相比于传统上预期的常规TV节目安排，访问仍然大大地不受控制。而且，本地安装的过滤器可被用户卸载或废除。

因而，不受控制的互联网访问具有若干缺陷。从观众的角度看，特别是当年轻的观众进行观看时，不适当主题的暴露是一大关注点；过低的品质筛选阈值是另一关注点。也就是说，尽管许多TV节目可能不被普遍认为是“品质”节目，但TV节目通常比所谓互联网视频更加选择性地被筛选。因此TV观众对这种更高级品质筛选的期望无法通过简单地提供经由TV的不受束缚的互联网访问来满足。此外，来自内容提供商、制造商和运营商的TV相关实体在多数情况下并未从TV向互联网的扩展中获益。

发明内容

因此，一种消费电子(CE)设备包括外壳、外壳上的显示器、网络接口以及外壳中的处理器，该处理器控制显示器并通过网络接口与互联网通信。处理器执行逻辑，包括：周期性地联系管理服务器，以及在安全业务中向管理服务器发送唯一CE设备ID，而不需要处理器进行密钥加密。处理器从管理服务器接收用户令牌以及一个或多个服务列表，每一个服务列表包含被批准的内容服务器的网络地址列表，并将在显示器上呈现服务列表以用于对该服务列表上的内容服务器的选择。响应于表示对在服务列表上的内容服务器的选择的用户输入，处理器将该用户令牌经由网络接口上传至用户选择的内容服务器。内容服务器发回可由CE设备选择的内容的内容列表。响应于表示对内容列表上的一段内容的选择的用户输入，处理器向内容服务器发送表示该选择的信号，并且响应于从内容服务器接收到该段内容，在显示器上播放该段内容或者使该段内容可在显示器上呈现。内容列表和服务列表均不可被CE设备修改。

在一些实施例中，处理器不可访问互联网上的除了内容列表上的内容之外的内容。安全业务可以是安全套接字层(SSL)业务。处理器可利用由处理器从管理服务器接收的、提供服务器证书的证书机构的公钥来验证管理服务器的真实性。用户令牌可具有一期满时间，在该期满时间之后，用户令牌不再被内容服务器接受。

在另一方面，一种管理服务器具有网络接口和经由该网络接口与互联网相通信的处理器。该处理器执行逻辑，包括：周期性地在安全业务中从CE设备接收唯一ID，并响应于确定该唯一ID是授权ID，向CE设备下载用户令牌以及一个或多个服务列表，每个服务列表包含被批准的内容服务器的网络地址列表。用户令牌被提供给服务列表上的内容服务器，以使得内容服务器可根据它们的授权令牌数据库来检查该设备对用户令牌的稍后呈现。该服务列表是封闭的并且不可被CE设备修改。

在另一方面，一种方法包括：在音频-视频呈现设备中，提供对一个且仅仅一个管理服务器的互联网访问，以及在该设备处接收来自管理服务器的认证信息。该设备以安全方式向管理服务器提供设备唯一值。该值在设备制造时预加载至该设备。响应于管理服务器确定该值有效，服务器向该设备下载具有期满时间的用户令牌，该用户令牌可由设备向内容服务器呈现，作为该设备被授权获得对该内容服务器上的内容的访问的证据，以使得该方法的执行不需要公钥处理。

本发明在其结构和操作两方面的细节可以结合附图来最好地理解，其中相似的标号代表相似的部分，且其中：

附图说明

图1是根据本发明原理的一个示例性系统的框图；

图2是根据本发明原理的另一示例性系统的框图；

图3是根据本发明原理的示例性注册逻辑的流程图；

图4是根据本发明原理的示例性认证逻辑的流程图；并且

图5是根据本发明原理的示例性授权逻辑的流程图；

具体实施方式

首先参见图1，消费电子(CE)设备12，例如TV、游戏机、视频盘播放器、相机、数字时钟收音机、移动电话、个人数字助理、膝上型计算机等，包括便携式轻量级塑料外壳14，外壳14承载有数字处理器16。处理器16可以控制视觉显示器18和听觉显示器20(例如一个或多个扬声器)。

为实现本发明原理，处理器16可访问一个或多个计算机可读存储介质，例如但不限于基于RAM的存储装置22(例如实现动态随机存取存储器(DRAM)的芯片)或闪存24。此外，在示例性的非限制实施例中，视频缩略图可存储于RAM 22上，而以下所描述的服务列表和令牌以及用户界面图标可存储于闪存24上。实现可由CE设备12执行的当前逻辑的软件代码也可存储于所示出的存储器之一，以实现本发明原理。

处理器16可以接收来自多种输入设备26的用户输入信号，这些输入设备26包括遥控设备、诸如鼠标之类的点击设备、小键盘等等。在一些实施例中可以提供TV调谐器28，尤其当CE设备由TV实现时，以接收来自诸如机顶盒、卫星接收器、线缆头端、地面TV信号天线等源的TV信号。来自调谐器28的信号被发送至处理器16，以用于在显示器18和扬声器20上呈现。

如图1所示，网络接口30(例如有线或无线调制解调器或者无线电话收发器)与处理器16通信，以提供与互联网上的管理服务器32以及与一个或多个内容服务器34的连通性。服务器32、34具有各自的处理器。从下面的公开中将会了解到，尤其当CE设备12是由诸如TV、游戏机或相机之类的非PC设备实现的时，CE设备12仅可以与管理服务器32以及在由管理服务器32提供给处理器16的服务列表上出现的内容服务器34相通信。

图2示出了CE设备12a，除了网络接口30a不是位于设备外壳14a中，而是被支撑在可安装于设备外壳14a上的独立的互联网链接模块外壳36中之外，CE设备12a在所有实质方面与图1所示的设备12相同。

现参见图3，可看到示例性注册逻辑。从框38开始，CE设备12优选地利用诸如安全套接字层(SSL)之类的安全通信手段，向管理服务器32发送帐户信息。因而将会认识到，不需要由处理器16来执行私钥-公钥加密，以减少其上的处理需求。帐户信息可以包括例如用户名和密码。

在框40，CE设备12再次利用SSL向管理服务器32发送其唯一标识，从而不需要密钥加密。该ID的值可在工厂处或者在客户端制造时被预加载，并可以是CE设备12的唯一“指纹”，例如其型号和序列号的保密串接。

转向框42，如果CE设备的ID在批准的ID列表中，则该ID被管理服务器在数据库中与一个或多个已被批准用于CE设备12的服务列表相关联。这实际上创建了“关联令牌”，其将CE设备ID与批准的服务列表相关。服务列表包含以下内容服务器34的网络地址：这些内容服务器34被批准向CE设备12提供内容，并且通常是本文讨论的互联网访问逻辑或模块的提供商的商业伙伴所建立的门户站点。由于这些门户是由批准的提供商建立的，因此这些门户可被设计成仅仅包含下文所讨论的去往批准内容的链接，并且因此使其没有去往互联网上的其它地方的超链接。

现参见图4以理解示例性认证逻辑，在框44中，CE设备12周期性地向管理服务器32登记。继续到框46，管理服务器32向CE设备12认证其本身，以使得CE设备12知道它正在联系正确的服务器而没有被欺骗。该认证可以利用例如SSL证书来进行。然后CE设备12可将唯一CE设备ID在SSL中发送至服务器32，仍不需要处理器16的密钥加密。CE设备12可利用服务器32返回的服务器证书的证书机构的公钥来验证服务器32。

框48表示接下来在逻辑流程中，管理服务器32向CE设备12下载用户令牌(此处也称为访问令牌或服务令牌)以及一个或多个服务列表，每一个服务列表包含被批准的内容服务器34的网络地址的列表。这仍可利用SSL完成。该用户令牌优选地具有一期满时段，在该期满时段之后，用户令牌在下文讨论的授权逻辑期间不再被内容服务器接受。管理服务器32将用户令牌及其期满时间提供给内容服务器34，用于稍后公开的目的。

服务列表通常由处理器16在显示器18上显示的用户界面(UI)中呈现。该UI可简单地在列表中呈现与各个批准的内容服务器34相关联的服务提供商的图标，这些内容服务器34的网络地址位于该UI之下。UI还可根据需要呈现其它内容，例如在每个内容服务器上可获得的种类名称等。在任何情况下，CE设备12的用户可操作输入设备26以在框50处选择服务列表的成员，这使得处理器16经网络接口30将用户令牌上传至所选内容服务器34，以进入图5所示的授权逻辑。

如上文所讨论的，只有在由管理服务器32下载至CE设备12的封闭且不可修改的(除了由管理服务器32进行之外)服务列表上的内容服务器34可被用户选择，如框52所示。当新的服务(由新批准的内容服务器34体现)变得可用时，它们可被添加至服务列表，并因而即刻在所有平台中可用。

回想起用户令牌及其期满时间被管理服务器提供至内容服务器34。每个内容服务器34于是可维护活跃用户令牌的本地数据库，从而在每个用户令牌各自的期满时间将该令牌移除。当内容服务器34在框54接收到用户令牌时，其根据活跃令牌的本地数据库来检查该用户令牌，并且如果该用户令牌在该数据库中，则该逻辑移至框56，其中内容服务器34向CE设备12返回内容列表。由此，除了由CE设备12提供活跃用户令牌之外，在CE设备12与内容服务器34之间不需要进一步的认证。而且，由于内容服务器34出现在管理服务器32提供的服务列表上，CE设备12知道其可以信任该内容服务器34，而不需要在内容服务器34部分作任何进一步的认证。

实质上，内容列表是音频-视频节目的列表，与内容服务器34相关的实体已选择使这些音频-视频节目对于互联网TV系统的平台而言是可用的。与服务列表相似，来自内容服务器34的内容列表不可被CE设备12修改。

转向框58，用户可以操作输入设备26来选择内容列表上的节目，然后该节目通过流传输的方式从内容服务器34传送到CE设备12以用于在显示器18和扬声器20上呈现。

因而，一旦CE设备12被认证，就从管理服务器向CE设备12传送“服务列表”。CE设备12被假定为不开放，并且优选地，在列表被传送至CE设备12之后不提供允许修改该列表的工具。列表可由管理服务器32签名并在独特会话中传送至CE设备12，以使得窃听者因此不可能从外部截取并改变或替换该列表。该服务列表通常在加密通道中利用安全套接字层(SSL)或其它安全手段来传送。

如上所述，服务列表由诸如服务(内容)提供商的统一资源定位符(URL)之类的网络地址的列表组成。CE设备12利用服务列表中所列出的URL来获取视频或音频的内容列表以进行播放。内容列表也可在加密通道中利用安全套接字层(SSL)或其它安全于段来传送，并且优选地，客户端不可能修改内容列表中的URL。

如果需要，服务列表的URL和内容列表的URL可具有表明CE设备12类型的标签。或者，作为认证过程的一部分，可由管理服务器给予CE设备12一服务令牌，该服务令牌可向服务提供商表明该设备的身份。

将会认识到，仅拥有服务提供商的特定URL和用户令牌允许对该内容的访问。这是一种希望的简化，因为该实行URL是传送至CE设备12的URL。实行URL以安全方式传送。在任何情况下，本发明原理提供了一种可伸缩的选项，用于准许对互联网上内容的访问。访问权限的定义由管理系统和服务提供商等达成一致意见，并且这由实行URL来体现。

还可以认识到，本发明原理利用令牌来管理系统客户端对在线服务的访问。所有安全操作都发生在管理服务器处，以减少危及客户端和系统的机会。而且，令牌格式可以被实时地改变，因为令牌格式不是由客户端设备来释译，而是由内容服务器34来释译。此外，存储于管理服务器32上的关联令牌是可处于内容提供商自有格式的信息，该格式例如是SAML、XACML、OpenID或SOAP。内容提供商的用于管理身份和访问的系统因而无需改变。

用户令牌由管理服务器32针对已认证的客户端设备而创建。用户令牌可根据它们的期满时间而用于任何所需持续时间的客户端会话，这些期满时间可按需建立。CE设备12通过使用保密的唯一设备ID来建立其身份。该ID被保护，并仅在利用管理服务器32认证时使用。客户端设备和服务器之间的所有通信可利用SSL来加密。在接收到有效ID时，管理服务器32返回一临时用户令牌，该临时用户令牌将在指定时间量之后期满。该用户令牌与在会话时段期间将不会变化的信息一起被传送至第三方服务，例如与内容服务器34相关联的内容提供商。如果需要，语言、父母分级限制、链接速度、帐户从属关系、国家和邮政编码可包括于用户令牌中。可利用键控哈希(keyed hash)对用户令牌进行签名。

除提供用户令牌之外，管理服务器32还将服务列表传送给客户端设备。这些服务列表可以取决于通过地理过滤而被发送到的特定客户端设备12的位置而不同，例如，一些内容可能在美国以外是不允许的，因而将不包括在服务列表(如果整个内容服务器34是禁止进入的)或者内容列表(如果只有某些建议通过内容服务器34提供的内容是禁止进入的)上。其它过滤可以是父母分级，例如成人频道可从一些列表中省略，而其它列表则不省略。

因为一个服务列表可能类似于其它服务列表，所以服务定义实体可选择向管理服务器发送服务列表号而不是列表本身，这将需要该实体此前利用管理服务器32已定义了该服务列表。可以存在与服务定义实体希望启用的服务等级相关联的任意数量的服务列表。例如，可以存在十五个服务列表。一些服务列表可以是其它列表的超集。然而，一些服务列表可以是单独出售的单点(niche)或零点(a-la-carte)节目。设备12因此可以访问多个服务列表。设备可能可以访问高级频道列表，例如“5号服务列表”，并且还可以访问包括二十五个基本频道的服务列表，例如“12号服务列表”。管理服务器32将该客户端设备12与某个帐户(由关联令牌处理)相关联并且然后与可被标为“5”和“12”的服务相关联。如果希望允许设备12访问基本频道，则将仅标出“12”。

在一些实现方式中，当客户端设备12访问内容服务器34时，提供用户令牌，该用户令牌可由内容服务器34在B2B业务中用来查询该管理服务器32，以确定该客户端设备12是否被允许获得对该内容的访问。但是该业务对于一些客户端设备不是必需的，因为客户端设备在SSL会话中接收服务列表并按照鲁棒性规则来保护该列表不被操纵。由此，如果客户端设备12具有内容的URL并具有有效用户令牌，则该客户端设备被假定为已被授权。

如果需要另外的授权，则对管理服务器32的查询可包括正被访问的网站的准确URL。管理服务器32在链接至对象客户端的服务列表中查找准确URL。如果找到该URL，则客户端设备被指定为已授权。如果未找到，则客户端设备被指定为未授权。在前面的示例中，这将允许管理服务器12检查服务列表“5”和“12”，以查看该设备对于该内容是否为允许的。内容提供商可以在客户端设备12中存储服务令牌(cookie)。如果客户端设备12将来再次访问内容服务器，则该服务令牌可被检查，并且如果存在则排除检查授权状态的需要。在授权之后，内容服务器34向客户端设备12传送内容列表，该内容列表列出内容服务器34上的可用于该特定客户端设备的内容。作为对管理服务器32验证授权状态的替换，管理服务器32可在将关联令牌附加至来自内容服务器34的查询之后，将来自内容服务器34的查询转发回服务定义实体。

客户端设备12周期性地访问管理服务器32，以获取更新后的签名用户令牌和服务列表。设备12返回到服务器32的间隔是可编程的。并且因为其为“拉取”模式，所以管理服务器32仅需要被联系一次，来获取更新。

管理服务器32可通过服务定义实体上传的服务列表来添加或删除对服务的访问。该服务列表可以相同地将用户具有的服务等级与个体服务定义实体相匹配。

此外，由于设备12可链接至用于业务的记账系统或钱包，因此视频点播(VOD)服务被启用。记账帐户关联并不干扰原始帐户的基础商业规则。

而且，客户端设备12可以提供返回报告特征，该特征可支持如下确认：广告已在屏幕上呈现，以支持基于广告的商业模型。管理服务器32和设备12之间的通信可利用HTTPS来执行。服务器验证客户端的保密ID。在客户端设备12和内容服务器34之间，也可利用HTTPS来执行通信。客户端利用服务器证书的证书机构的公钥来验证内容服务器34，而内容服务器34验证客户端的保密用户令牌。

如果客户端设备12没有用户令牌或者由于某种原因(不安全平台)该用户令牌不被信任，则节目编排者可查询管理服务器12，以查看该客户端是否具有该内容的权限。由于管理服务器32知道发送至客户端设备12的服务列表，故其可独自完成这一处理。为了确定特定资源是否被允许，节目编排者可检索在用户令牌被接收和确认有效之后放置在客户端设备中的服务令牌。其可独自验证该令牌。该令牌可在任意所需时间段内有效。

尽管特定的“用于互联网视频客户端的认证和授权”在本文中被详细地示出和描述，但将会理解，本发明包含的主题仅由权利要求来限定。

Claims

1.一种消费电子(CE)设备，包括：

外壳(14，14A)；

在所述外壳上的显示器(18)；

网络接口(30，30A)；

在所述外壳中的处理器(16)，该处理器控制所述显示器并通过所述网络接口与互联网通信；

所述处理器执行逻辑，包括：

周期性地联系(44)管理服务器(32)；

在安全业务中向所述管理服务器发送(40)唯一CE设备ID，无需所述处理器进行密钥加密；

从所述管理服务器接收(48)用户令牌以及一个或多个服务列表，每一个服务列表包含被批准的内容服务器(34)的网络地址的列表；

在所述显示器上呈现(52)服务列表，以用于对该服务列表上的内容服务器进行选择；

响应于表示对所述服务列表上的内容服务器的选择的用户输入，通过所述网络接口将所述用户令牌上传(54)至用户选择的内容服务器；

从所述内容服务器接收(56)可供所述CE设备选择的内容的内容列表；

响应于表示(58)对所述内容列表上的一段内容的选择的用户输入，向所述内容服务器发送表示该选择的信号；以及

响应于从所述内容服务器接收到所述一段内容，在所述显示器上播放所述一段内容或者使得所述一段内容可在所述显示器上呈现，其中所述内容列表和所述服务列表均不可被所述CE设备修改。

2.根据权利要求1所述的CE设备，其中所述处理器不可访问互联网上的除了所述内容列表上的内容之外的内容。

3.根据权利要求1所述的CE设备，其中所述安全业务是安全套接字层(SSL)业务。

4.根据权利要求1所述的CE设备，其中所述处理器利用由所述处理器从所述管理服务器所接收的、提供服务器证书的证书机构的公钥来验证(46)所述管理服务器的真实性。

5.根据权利要求1所述的CE设备，其中所述用户令牌具有一期满时间，在该期满时间之后，所述用户令牌不再被内容服务器接受。

6.一种管理服务器(32)，包括：

网络接口：

经由网络接口与互联网相通信的处理器；

所述处理器执行逻辑，包括：

周期性地(44)在安全业务中从CE设备接收唯一ID；

响应于确定所述唯一ID是授权ID，向所述CE设备下载(48)用户令牌以及一个或多个服务列表，每个列表包含被批准的内容服务器(34)的网络地址列表；

将所述用户令牌提供(50)给所述服务列表上的内容服务器，所述服务列表是封闭的并且不可被所述CE设备修改。

7.根据权利要求6所述的服务器，其中所述安全业务是安全套接字层(SSL)业务。

8.根据权利要求6所述的服务器，其中所述处理器通过向所述CE设备发送由证书机构提供并且利用所述服务器的私钥签名的服务器证书来验证(46)其真实性。

9.根据权利要求6所述的服务器，其中所述用户令牌具有一期满时间，在该期满时间之后，所述用户令牌不再被内容服务器接受。

10.一种方法，包括：

在音频-视频呈现设备(12/12A)中，提供对一个且仅仅一个管理服务器(32)的互联网访问；

在所述设备处接收(46)来自所述管理服务器的认证信息；

以安全方式从所述设备向所述管理服务器提供(40)设备唯一值，所述值在设备制造时预加载至所述设备中；

响应于所述管理服务器确定所述值有效，在所述设备处接收(42，48)具有期满时间的用户令牌；

响应于用户选择，由所述设备向内容服务器呈现(54)所述用户令牌呈现(54)，作为所述设备被授权获得对所述内容服务器上内容的访问的证据，以使得所述方法的执行不需要公钥处理。

11.根据权利要求10所述的方法，其中利用安全套接字层(SSL)证书来认证所述管理服务器。

12.根据权利要求10所述的方法，其中所述安全方式使用安全套接字层(SSL)。

13.根据权利要求10所述的方法，其中响应于确定所述值有效，所述管理服务器向所述设备传送(48)内容服务列表，所述设备被编程为仅访问所述列表上的内容服务器而不访问互联网上的其它资产。

14.根据权利要求13所述的方法，其中所述设备不能修改所述列表。

15.根据权利要求13所述的方法，其中所述列表被所述管理服务器签名并在独特会话中传送至所述设备，以使得不可能从外部截取和改变或替换所述列表。

16.根据权利要求13所述的方法，其中所述列表在加密通道中被传送至所述设备。

17.根据权利要求13所述的方法，其中仅向资产服务器呈现所述令牌允许所述设备访问由所述内容服务器返回至所述设备的内容列表上的内容。