ES2401900A2 - A method for authentication between a content delivery network service provider and a content owner - Google Patents

A method for authentication between a content delivery network service provider and a content owner Download PDF

Info

Publication number
ES2401900A2
ES2401900A2 ES201130759A ES201130759A ES2401900A2 ES 2401900 A2 ES2401900 A2 ES 2401900A2 ES 201130759 A ES201130759 A ES 201130759A ES 201130759 A ES201130759 A ES 201130759A ES 2401900 A2 ES2401900 A2 ES 2401900A2
Authority
ES
Spain
Prior art keywords
authentication
content
end user
authentication server
end node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
ES201130759A
Other languages
Spanish (es)
Other versions
ES2401900R1 (en
ES2401900B1 (en
Inventor
Parminder Chhabra
Armando Antonio GARCIA MENDOZA
Pablo Rodriguez Rodriguez
Mattias BARTHEL
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonica SA
Original Assignee
Telefonica SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonica SA filed Critical Telefonica SA
Priority to ES201130759A priority Critical patent/ES2401900B1/en
Priority to BR112013028995A priority patent/BR112013028995A2/en
Priority to PCT/EP2012/058507 priority patent/WO2012152813A1/en
Priority to EP12722697.5A priority patent/EP2708004A1/en
Priority to ARP120101652A priority patent/AR086341A1/en
Publication of ES2401900A2 publication Critical patent/ES2401900A2/en
Publication of ES2401900R1 publication Critical patent/ES2401900R1/en
Priority to CL2013003222A priority patent/CL2013003222A1/en
Application granted granted Critical
Publication of ES2401900B1 publication Critical patent/ES2401900B1/en
Withdrawn - After Issue legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

A method for authentication between a Content Delivery Network service provider and a content owner The method comprises: a) establishing a TCP connection between an end point of a CDN service provider and an authentication server of the content owner: b) for content requested by an end user over said established TCP connection, the end point sending an authentication request to the authentication server of the content owner c) receiving, the authentication server, the authentication request and performing an authentication thereof, for the end user and d) sending, the authentication server, a response to the end point, through the TCP connection, indicating if the authentication request has been granted or not. The method further comprises maintaining the established TCP connection open between the end point and the authentication server of the content owner and performing subsequent connection authentication requests through said maintained open TCP connection.

Description

MÉTODO DE AUTENTICACIÓN ENTRE UN PROVEEDOR DE SERVICIOS DE RED DE DISTRIBUCIÓN DE CONTENIDO Y UN PROPIETARIO DE CONTENIDO AUTHENTICATION METHOD BETWEEN A CONTENT DISTRIBUTION NETWORK SERVICE PROVIDER AND A CONTENT OWNER

Campo de la técnica Field of technique

La presente invención se refiere, en general, a un método de autenticación entre un proveedor de servicios de red de distribución de contenido y un propietario de contenido que comprende abrir una conexión TCP entre los servidores de contenido del proveedor de servicios de red de distribución de contenido y el propietario de contenido para realizar peticiones de autenticación, y más en particular, a un método que comprende mantener dicha conexión TCP abierta para realizar peticiones de autenticación de conexión subsiguientes. The present invention generally relates to an authentication method between a content distribution network service provider and a content owner comprising opening a TCP connection between the content servers of the content distribution network service provider. content and the content owner to make authentication requests, and more particularly, to a method comprising keeping said TCP connection open to make subsequent connection authentication requests.

La invención se aplica, en particular, para implementar un esquema de autenticación rápida para servicios web. The invention is applied, in particular, to implement a fast authentication scheme for web services.

Estado de la técnica anterior Se incluye la terminología y definiciones que podrían ser útiles para entender la presente invención. STATE OF THE PRIOR ART The terminology and definitions that could be useful to understand the present invention are included.

PoP: Un punto de presencia es una demarcación artificial o punto de interfaz entre dos entidades de comunicación. Es un punto de acceso a Internet que aloja servidores, conmutadores, encaminadores y agregadores de llamadas. Los ISP normalmente tienen múltiples PoP. PoP: A point of presence is an artificial demarcation or interface point between two communication entities. It is an Internet access point that hosts servers, switches, routers, and call aggregators. ISPs typically have multiple PoPs.

Red de distribución de contenido (CON): Esto se refiere a un sistema de nodos (u ordenadores) que contienen copias de contenido de cliente que está almacenado y situado en diversos puntos en una red (o Internet pública). Cuando se replica contenido en diversos puntos en la red, el ancho de banda se utiliza mejor a lo largo de la red y los usuarios tienen tiempos de acceso más rápidos al contenido. De este modo, el servidor original que contiene la copia original del contenido no experimenta atascos. Content Distribution Network (CON): This refers to a system of nodes (or computers) that contain copies of client content that is stored and located at various points on a network (or public Internet). When content is replicated at various points on the network, bandwidth is best used across the network, and users have faster access times to content. This way, the original server that contains the original copy of the content does not experience bottlenecks.

Sistema de resolución de DNS de ISP: Los usuarios residenciales se conectan a un ISP. Cualquier petición para resolver una dirección se envía a un sistema de resolución de DNS mantenido por el ISP. El sistema de resolución de DNS de ISP enviará la petición de DNS a uno o más servidores de DNS dentro del dominio administrativo del ISP. ISP DNS resolution system: Residential users connect to an ISP. Any request to resolve an address is sent to a DNS resolution system maintained by the ISP. The ISP's DNS resolution system will send the DNS request to one or more DNS servers within the ISP's administrative domain.

URL: En términos sencillos, el Uniform Resource Locator (URL, localizador URL: In layman's terms, the Uniform Resource Locator (URL, locator

uniforme de recursos) es la dirección de una página web en la world-wíde web. No hay dos URL idénticos. Si son idénticos, apuntan al mismo recurso. resource uniform) is the address of a web page on the world-web. There are no two identical URLs. If they are identical, they point to the same resource.

Redirección de URL (o HTTP): La redirección de URL también se conoce como reenvío de URL. Puede ser necesario redireccionar una página (1) si su nombre de dominio ha cambiado, (2) si se crean alias significativos para URL largos o que cambian frecuentemente (3) si el usuario deletrea mal un nombre de dominio al teclearlo (4) si se manipula a los visitantes, etc. Para los fines de la presente invención, un servicio de redirección típico es uno que redirecciona usuarios al contenido deseado. Un enlace de redirección puede usarse como dirección permanente para contenido que cambia frecuentemente de anfitrión (host) (casi como de ONS). URL Redirection (or HTTP): URL redirection is also known as URL forwarding. It may be necessary to redirect a page (1) if its domain name has changed, (2) if significant aliases are created for long URLs or they change frequently (3) if the user misspells a domain name by typing it (4) if visitors are manipulated, etc. For the purposes of the present invention, a typical redirect service is one that redirects users to the desired content. A redirect link can be used as a permanent address for content that changes frequently from host to host (almost like ONS).

Contenedor: Un contenedor es un compartimento lógico para un cliente que contiene el contenido del cliente CON. Un contenedor o bien establece un enlace entre el URL del servidor original y el URL de la CON o bien puede contener el propio contenido (que se carga en el contenedor en el punto de entrada). Un nodo de extremo replicará archivos desde el servidor original a archivos en el contenedor. Cada archivo en un contenedor puede correlacionarse exactamente con un archivo en el servidor original. Un contenedor tiene varios atributos asociados con él -el tiempo desde y el tiempo hasta que el contenido es válido, geobloqueo de contenido, etc. También se utilizan mecanismos para garantizar que se transmitan automáticamente nuevas versiones del contenido en el servidor original al contenedor en los nodos de extremo y se eliminen versiones antiguas. Container: A container is a logical compartment for a client that contains the content of the CON client. A container either establishes a link between the URL of the original server and the URL of the CON or it can contain the content itself (which is loaded into the container at the entry point). An endpoint node will replicate files from the original server to files in the container. Each file in a container can be mapped exactly to a file on the original server. A container has various attributes associated with it - the time from and the time until the content is valid, content geoblocking, etc. Mechanisms are also used to ensure that new versions of the content are automatically transmitted on the original server to the container on the end nodes and old versions are removed.

Un cliente puede tener tantos contenedores como desee. Un contenedor es realmente un directorio que contiene archivos de contenido. Un contenedor puede contener subdirectorios y archivos de contenido dentro de cada uno de estos subdirectorios. A customer can have as many containers as they want. A container is actually a directory that contains content files. A container can contain subdirectories and content files within each of these subdirectories.

Geolocalización: Es la identificación de ubicaciones geográficas reales de un dispositivo conectado a Internet. El dispositivo puede ser un ordenador, dispositivo móvil o un aparato que permita la conexión a Internet a un usuario final. Los datos de geolocalización de la dirección IP pueden incluir información tal como país, región, ciudad, código postal, latitud 1longitud de un usuario. Geolocation: It is the identification of real geographic locations of a device connected to the Internet. The device may be a computer, mobile device, or device that allows an end user to connect to the Internet. The geolocation data of the IP address may include information such as a user's country, region, city, postal code, latitude, or longitude.

Unidad de negocio (OB): Una OB es un área geográfica arbitraria en la que el proveedor del servicio de CNO está instalado. Una OB puede operar en más de una región. Una región es un área geográfica arbitraria y puede representar un país, o parte de un país o incluso un conjunto de países. Una OB puede estar compuesta por más de una región. Una OB puede estar compuesta por uno o más ISP. Una OBtiene exactamente una instancia de servidor de topología. Business Unit (OB): An OB is an arbitrary geographic area in which the CNO service provider is installed. An OB can operate in more than one region. A region is an arbitrary geographic area and can represent a country, or part of a country, or even a set of countries. An OB can be made up of more than one region. An OB can be made up of one or more ISPs. An OB has exactly one topology server instance.

ID de partición: Es una correlación global de prefijos de dirección IP con números enteros. Se trata de una correlación uno a uno. Por tanto, no hay dos OB con el mismo PIDen su dominio. Partition ID: This is a global mapping of IP address prefixes to integers. This is a one-to-one correlation. Therefore, there are no two OBs with the same PID in their domain.

Aplicación de función hash (hashíng) consistente: Este método proporciona la funcionalidad de una tabla hash de modo que la adición o eliminación de una ranura no altera significativamente la correlación de llaves con ranuras. La aplicación de función hash consistente es un modo de distribuir peticiones entre una población grande y cambiante de servidores web. La adición o eliminación de un servidor web no altera significativamente la carga en los otros servidores. Consistent hash function application: This method provides the functionality of a hash table so that adding or removing a slot does not significantly alter the mapping of keys to slots. Consistent hashing is a way of distributing requests among a large and changing population of web servers. Adding or removing a web server does not significantly alter the load on the other servers.

Red de superposición: Una red de superposición es una red informática que se construye sobre otra red. Los nodos en una red de superposición están conectados mediante enlaces virtuales 1lógicos. Cada enlace lógico puede consistir en un trayecto constituido por múltiples enlaces físicos en la red subyacente. Overlay Network: An overlay network is a computer network that is built on top of another network. The nodes in an overlay network are connected by 1 logical virtual links. Each logical link can consist of a path consisting of multiple physical links in the underlying network.

Interconexión de redes de distribución de contenido (COl): La interconexión de redes de distribución de contenido es la capacidad de conectar muchas CON administradas de manera independiente para formar una federación CON. Esto permite a una CON extenderse más allá de su dominio administrativo para aumentar el alcance de contenido. Content Distribution Network Interconnection (COl): Content distribution network interconnection is the ability to connect many independently managed NOCs to form a NOC federation. This allows a NOC to extend beyond its administrative domain to increase the reach of content.

Protocolo de control de transporte (TCP): El protocolo de control de transporte es uno de los protocolos principales de los protocolos de Internet. TCP es responsable de una entrega ordenada y fiable de flujos continuos de datos entre dos anfitriones de red. Transport Control Protocol (TCP): The Transport Control Protocol is one of the main protocols of Internet protocols. TCP is responsible for the orderly and reliable delivery of continuous data flows between two network hosts.

Nance: Es un número pseudoaleatorio generado en un protocolo de autenticación para garantizar que una comunicación antigua no puede constituir la base de ataques de reproducción. Los nance se usan en la autenticación de acceso a resúmenes de HTTP para calcular el resumen MD5 de la contraseña. Los nances son diferentes cada vez que se presenta una respuesta de desafío de autenticación 401. Nance: It is a pseudorandom number generated in an authentication protocol to guarantee that an old communication cannot form the basis of replay attacks. The nance are used in HTTP digest access authentication to compute the MD5 digest of the password. The nances are different every time a 401 authentication challenge response is presented.

Cnance: Cada petición de cliente tiene un número de secuencia único, lo que hace que sean prácticamente imposibles ataques de reproducción y de diccionario. Esto se usa para crear una quot;clave de sesiónquot; para la autenticación de peticiones y Cnance: Each client request has a unique sequence number, making replay and dictionary attacks virtually impossible. This is used to create a "session key". for request authentication and

respuestas subsiguientes que es diferente para cada sesión autenticada. Esto limita la subsequent responses which is different for each authenticated session. This limits the

cantidad de material con cualquier clave [13]. quantity of material with any key [13].

Cookíe: Una cookíe se refiere a la información de estado que se pasa entre un servidor y un cliente. La información de estado se almacena en el cliente. Las cookíes tienen varias aplicaciones: recordar información sobre el usuario que visitó un sitio web, gestión de sesiones, recordar el contenido de un carrito de la compra mientras un usuario navega por un sitio web, personalizar preferencias, etc., entre otras cosas. Cookie: A cookie refers to the status information that is passed between a server and a client. Status information is stored on the client. Cookies have several applications: remembering information about the user who visited a website, session management, remembering the contents of a shopping cart while a user browses a website, customizing preferences, etc., among other things.

Desde hace ya más de una década, la gente realiza cada vez más transacciones en la web al mes. Compran libros y música onlíne; se conectan en línea para comprar billetes de avión y entradas de conciertos. Cada vez más, efectúan la mayor parte de las transacciones bancarias y pagan facturas onlíne. El espectacular crecimiento del comercio electrónico ha significado que las empresas han tenido que esforzarse por ofrecer a los consumidores niveles variables de mecanismos de autenticación de modo que nuestras transacciones puedan efectuarse con alto grado de seguridad. For more than a decade now, people have been making more and more transactions on the web per month. They buy books and music online; They go online to buy airline tickets and concert tickets. Increasingly, they carry out most of the bank transactions and pay bills online. The spectacular growth of electronic commerce has meant that companies have had to strive to offer consumers varying levels of authentication mechanisms so that our transactions can be carried out with a high degree of security.

Siguen dedicando un número cada vez mayor de horas cada semana a conectarse en línea. A principios de esta década, dedicaban muchas horas onlíne a leer las noticias y a escuchar música. A mediados de la década, se entusiasmaron por la posibilidad de ver vídeos en YouTube [3] y compartir fotos onlíne. Últimamente, sus intereses han evolucionado a dedicar tiempo en las redes sociales y ver vídeos (YouTube [3] y Hulu [2] entre otros) y películas onlíne (desde servicios tales como Netflix [1 ]). A medida que aumentaba la demanda de contenido, se creó una oportunidad para que las CON distribuyeran contenido e hicieran un mejor uso de los recursos de red replicando el contenido y disponiendo una copia más próxima al usuario final. Los generadores de contenido buscaron proteger cada vez más sus contenidos y proporcionar contenido premíum a clientes de pago. A medida que las CON desempeñaban un papel cada vez más destacado en la distribución de contenido para propietarios de contenido y generadores de contenido, la carga de proporcionar mecanismos de autenticación recaía en los proveedores de servicio CON. They continue to dedicate an increasing number of hours each week to connecting online. At the beginning of this decade, they spent many hours online reading the news and listening to music. In the middle of the decade, they were excited by the possibility of watching videos on YouTube [3] and sharing photos online. Lately, her interests have evolved to spend time on social networks and watch videos (YouTube [3] and Hulu [2] among others) and online movies (from services such as Netflix [1]). As demand for content increased, an opportunity was created for NOCs to distribute content and make better use of network resources by replicating content and making a copy closer to the end user. Content generators increasingly sought to protect their content and provide premium content to paying customers. As CONs played an increasingly prominent role in content delivery for content owners and content generators, the burden of providing authentication mechanisms fell on CON service providers.

Los propietarios de contenido y los proveedores de contenido buscaban cada vez más técnicas sencillas y ajustables a escala para autenticar contenido para sus usuarios finales. Sin embargo, usar una CON para distribución de contenido conlleva sus propios desafíos de autenticación, autorización y contabilidad. Content owners and content providers increasingly looked for simple and scalable techniques to authenticate content for their end users. However, using a CON for content distribution carries its own authentication, authorization and accounting challenges.

Hay diversos mecanismos de autenticación en uso en la actualidad y sirven There are various authentication mechanisms in use today and they serve

para una diversidad de necesidades. Este documento se centra en el modelo de for a variety of needs. This document focuses on the model of

autenticación cliente-servidor, puesto que a los proveedores de contenido les gustaría client-server authentication, since content providers would like

mantener un recuento preciso de cuántas veces se ha visto/descargado un contenido keep an accurate count of how many times content has been viewed / downloaded

5 5
por una diversidad de motivos: (1) para compartir dinero con los creadores de for a variety of reasons: (1) to share money with creators of

contenido, (2) para llevar la cuenta de la cantidad de contenido consumido por usuario content, (2) to keep track of the amount of content consumed per user

al día o a la semana o al mes con fines de facturación, o (3) para pagar por el acceso daily or weekly or monthly for billing purposes, or (3) to pay for access

a un ISP. to an ISP.

1O 1O
Autenticación básica: Basic authentication:

Cuando un usuario realiza una petición de un contenido protegido, el servidor When a user makes a request for protected content, the server

web devuelve error HTTP 401 junto con autorización requerida. El servidor web web returns HTTP 401 error along with required authorization. The web server

también devuelve un cuadro de diálogo solicitando un nombre de usuario y una also returns a dialog box requesting a username and a

contraseña. Una vez que el cliente devuelve el nombre de usuario y la contraseña, el password. Once the client returns the username and password, the

15 fifteen
servidor valida las credenciales y, si tiene éxito, el servidor da acceso al cliente al server validates credentials and if successful the server gives the client access to the

contenido protegido. protected content.

El nombre de usuario se adjunta con dos puntos y concatenado a la The username is attached with a colon and concatenated to the

contraseña. La cadena resultante se codifica con el algoritmo Base64 antes de la password. The resulting string is encoded with the Base64 algorithm before the

transmisión [6]. La codificación Base64, aunque ilegible a simple vista, es fácil de transmission [6]. Base64 encoding, while unreadable to the naked eye, is easy to

20 twenty
codificar y decodificar. Esto hace que el mecanismo de autenticación básico no sea encode and decode. This makes the basic authentication mechanism not

seguro. sure.

Autenticación mediante resúmenes (dígest): Authentication using summaries (digest):

Al igual que en el caso de la autenticación básica, el mecanismo de As in the case of basic authentication, the

25 25
autenticación mediante resúmenes [7] también se basa en que el usuario proporcione authentication by summaries [7] is also based on the user providing

un nombre de usuario y una contraseña como mecanismo de autenticación. La a username and password as an authentication mechanism. The

autenticación mediante resúmenes garantiza que la contraseña se cifra mediante MD5 summarization authentication ensures that the password is encrypted using MD5

antes de transmitirse, garantizando una codificación segura. Sin embargo, no todos los before transmission, ensuring secure encryption. However, not all

navegadores soportan autenticación mediante resúmenes. Browsers support authentication through summaries.

30 30

Pasar información a través de cookíes: Pass information through cookies:

Una cookíe consiste en uno o más pares nombre-valor que contienen bits de A cookie consists of one or more name-value pairs that contain bits of

información. La cookíe se envía como cabecera HTTP por un servidor web al information. The cook is sent as an HTTP header by a web server to the

navegador web de un usuario final y después se envía de vuelta sin cambios por el an end user's web browser and then it is sent back unchanged by the

navegador cada vez que accede a ese servidor. Una cookíe también puede cifrarse para mayor seguridad y para proteger la privacidad de los usuarios finales [9] [1 0]. browser every time you access that server. A cookie can also be encrypted for added security and to protect the privacy of end users [9] [1 0].

Las cookíes se llevan usando desde los comienzos del navegador para seguimiento de sesiones, personalización de servicios y gestión de sesiones. Las cookíes expiran y no se envían al servidor al final de una sesión. Un usuario final también puede borrarlas explícitamente. Cookies have been used since the beginning of the browser for session tracking, service customization and session management. Cookies expire and are not sent to the server at the end of a session. An end user can also explicitly delete them.

Uso de certificados: Use of certificates:

La autenticación mediante certificados es más segura que cualquier forma básica de autenticación. Usa HTTP sobre SSL. Hay diversos posibles mecanismos de autenticación mediante certificados: (1) autenticación mediante certificado de cliente, Certificate authentication is more secure than any basic form of authentication. Use HTTP over SSL. There are several possible certificate authentication mechanisms: (1) client certificate authentication,

(2) autenticación mutua basada en certificados cliente-servidor y (3) autenticación mutua basada en contraseña cliente-servidor. (2) mutual authentication based on client-server certificates and (3) mutual authentication based on client-server password.

Según la autenticación mediante certificado de cliente, el cliente usa su certificado X.509, un certificado de clave pública que se adecua a la infraestructura de clave pública X.509 [5] [8]. Under client certificate authentication, the client uses its X.509 certificate, a public key certificate that conforms to the X.509 public key infrastructure [5] [8].

Según la autenticación mediante certificados mutuos cliente-servidor, cuando un cliente solicita acceso a un contenido protegido en el servidor, el servidor responde con su certificado. El cliente autentica entonces el certificado del servidor y si tiene éxito, envía su certificado al servidor. El servidor verifica las credenciales del cliente y si tiene éxito, concede al cliente acceso al contenido protegido. Based on mutual client-server certificate authentication, when a client requests access to protected content on the server, the server responds with its certificate. The client then authenticates the server's certificate and, if successful, sends its certificate to the server. The server verifies the client's credentials and, if successful, grants the client access to protected content.

En la autenticación mutua basada en contraseña cliente-servidor, el mecanismo de autenticación comprende las siguientes etapas: El servidor envía un certificado en respuesta a una petición de acceso a contenido protegido en el servidor. El cliente autentica el certificado del servidor. Si las credenciales del servidor se verifican con éxito, el cliente envía su nombre de usuario y su contraseña al servidor. Una vez que el servidor ha verificado las credenciales del cliente, el servidor concede al cliente acceso al contenido protegido. In client-server password-based mutual authentication, the authentication mechanism comprises the following steps: The server sends a certificate in response to a request to access protected content on the server. The client authenticates the server's certificate. If the server credentials are verified successfully, the client sends their username and password to the server. After the server has verified the client's credentials, the server grants the client access to the protected content.

Otras técnicas de autenticación incluyen Kerberos [12], abierto [13]. Sin embargo, no todo el mundo proporciona tales mecanismos de autenticación (Kerberos) Other authentication techniques include Kerberos [12], open [13]. However, not everyone provides such authentication mechanisms (Kerberos)

o confía en terceras partes para que los proporcionen en su nombre, como en el caso de openiD. Or trust third parties to provide them on your behalf, as in the case of openiD.

Todos los mecanismos de autenticación anteriores se usan entre un usuario final y el propietario de contenido. Una vez que el usuario final se ha autenticado, el propietario de contenido todavía deseará autenticar el contenido en la CON y tener acceso tanto a la información de autenticación como de contabilidad. Hay diversos modos posibles para lograr esto: (1) autenticar contenido entre el nodo de extremo y el servidor original a través de autenticación básica y mediante resúmenes; (2) usar autenticación por URL y (3) autenticación basada en testigos. All of the above authentication mechanisms are used between an end user and the content owner. Once the end user has authenticated, the content owner will still want to authenticate the content in the CON and have access to both authentication and accounting information. There are several possible ways to accomplish this: (1) authenticate content between the end node and the original server through basic authentication and through summaries; (2) use URL authentication and (3) witness-based authentication.

Autenticación básica y mediante resúmenes: Basic and summary authentication:

En este caso, el contenedor de contenido puede definirse como que soporta o bien autenticación básica o bien mediante resúmenes. El propietario de contenido proporciona el nombre de usuario y la contraseña apropiados. Así, cuando un nodo de extremo recibe una petición de contenido que requiere autenticación básica o mediante resúmenes, el servidor original se comporta como un servidor web para autenticar la petición. La comunicación HTTP para la autenticación tiene lugar entre el servidor original y el nodo de extremo que se ha elegido para dar servicio al usuario final. Los nodos de extremo devuelven la tupla lt;username:passwordgt; (lt;nombre de usuario:contraseñagt;) al servidor original con codificación Base64 o con cifrado MD5 dependiendo de si el contenedor soporta autenticación básica o mediante resúmenes In this case, the content container can be defined as supporting either basic authentication or summaries. The content owner provides the appropriate username and password. Thus, when an end node receives a content request that requires summarization or basic authentication, the original server behaves like a web server to authenticate the request. HTTP communication for authentication takes place between the original server and the end node that has been chosen to serve the end user. Endpoint nodes return tuple lt; username: passwordgt; (lt; username: passwordgt;) to the original server with Base64 encoding or MD5 encryption depending on whether the container supports basic or digest authentication

[4] [6] [7]. [4] [6] [7].

Autenticación por URL: Authentication by URL:

Cuando el propietario de contenido crea un contenedor de contenido, la autenticación se define como un URL. Además, el formato de la cadena de URL se define junto con el nombre 1dirección IP del servidor de autenticación. Adicionalmente, una cookíe se define como un parámetro que se usará como parte de la autenticación. La autenticación basada en URL es en la actualidad un proceso de tres etapas. When the content owner creates a content container, authentication is defined as a URL. Also, the format of the URL string is defined together with the name 1 IP address of the authentication server. Additionally, a cook is defined as a parameter that will be used as part of the authentication. URL-based authentication is currently a three-stage process.

Un usuario puede haberse registrado en el sitio del propietario de contenido usando cualquier mecanismo de autenticación elegido por el propietario de contenido. Como consecuencia, se fija una cookíe en el usuario final. En la primera de las tres etapas, se genera una petición de autenticación por URL cuando un nodo de extremo hace clic sobre tal contenido. En la segunda etapa, la petición recibida se identifica en primer lugar como que necesita una autenticación por URL (según se define en los metadatos del contenedor). El URL recibido se adjunta con la dirección IP y el valor de la cookíe recibido de la cabecera HTTP del usuario final y se envía al servidor de autenticación del propietario de contenido [9] [1 O] [11 ]. Una vez que el servidor de autenticación aprueba la petición, el nodo de extremo envía el contenido solicitado al usuario final. Como tercera y última etapa, una vez que el nodo de extremo ha terminado de enviar el contenido solicitado al usuario final, la conexión se cierra y se notifica al servidor de autenticación el número de bytes descargados por el usuario final para la facturación. A user may have registered on the content owner's site using any authentication mechanism chosen by the content owner. As a consequence, a cookery is set in the end user. In the first of three stages, a URL authentication request is generated when an end node clicks on such content. In the second stage, the received request is first identified as requiring authentication by URL (as defined in the container metadata). The received URL is attached with the IP address and cook value received from the end user's HTTP header and sent to the content owner's authentication server [9] [1 O] [11]. Once the request is approved by the authentication server, the end node sends the requested content to the end user. As a third and final step, once the end node has finished sending the requested content to the end user, the connection is closed and the authentication server is notified of the number of bytes downloaded by the end user for billing.

Autenticación mediante testigos: Witness authentication:

Otra alternativa de autenticación (en la misma línea que la autenticación por URL) se describe en [11 ]. En este caso, se adjunta un testigo de autenticación generado por un propietario de contenido al URL de contenido. Cuando un usuario final solicita el contenido, el proveedor de servicio CON comprobará la validez del testigo pasado a través de una petición HTTP GET a un servicio web remoto. Another authentication alternative (along the same lines as URL authentication) is described in [11]. In this case, an authentication token generated by a content owner is attached to the content URL. When an end user requests the content, the CON service provider will check the validity of the token passed through an HTTP GET request to a remote web service.

Se han detectado algunos problemas con las propuestas existentes: Some problems have been detected with the existing proposals:

--
Para la autenticación básica y la autenticación mediante resúmenes, un nodo de extremo debe procesar cada petición dos veces, rechazándola una vez, y después aceptándola. Adicionalmente, ambos mecanismos de autenticación tienen los siguientes problemas: For basic authentication and digest authentication, an endpoint node must process each request twice, rejecting it once, and then accepting it. Additionally, both authentication mechanisms have the following problems:

1) La autenticación se realiza entre el nodo de extremo y el servidor original solo. Requiere dos recorridos de ida y vuelta entre el nodo de extremo y el servidor original más el tiempo de configuración de la conexión TCP. 1) Authentication is done between the end node and the original server only. It requires two round trips between the end node and the original server plus the TCP connection setup time.

2) Los dos mecanismos requieren soporte adicional en los nodos de extremo con el fin de notificar al propietario de contenido acerca del acceso al contenido y con fines de contabilidad. 2) The two mechanisms require additional support at the end nodes in order to notify the content owner about access to the content and for accounting purposes.

--
Ambos mecanismos de autenticación por URL y mediante testigos requieren establecer una nueva conexión con el servidor de autenticación para cada petición. Both URL and token authentication mechanisms require establishing a new connection to the authentication server for each request.

--
Si el navegador se conecta con el usuario final usando el protocolo HTTP no cifrado, la cookíe enviada estará en texto sencillo y será quot;husmeablequot;. If the browser connects to the end user using the unencrypted HTTP protocol, the submitted cookie will be in plain text and will be "husmeable".

-Los mecanismos de autenticación basados en certificados, aunque seguros, requieren la confianza en terceras partes (como CA). Estos mecanismos de autenticación son caros puesto que requieren un retardo de varios recorridos de ida y vuelta entre el usuario final y el nodo de extremo de la CON. -Certificate-based authentication mechanisms, although secure, require trust from third parties (such as CA). These authentication mechanisms are expensive since they require a delay of several round trips between the end user and the CON end node.

--
Cualquier mecanismo de autenticación entre el proveedor de servicio CON y Any authentication mechanism between the CON service provider and

una pasarela de autenticación requiere el establecimiento de una conexión TCP, realizar la autenticación e interrumpir la conexión TCP (o cerrar el zócalo). An authentication gateway requires establishing a TCP connection, performing authentication, and terminating the TCP connection (or closing the socket).

--
Todos los mecanismos de autenticación anteriores requieren tiempos de establecimiento de conexiones para cada usuario entre el proveedor de servicio CON y el servidor de autenticación del proveedor de contenido. Esto hace que ninguno de los mecanismos de autenticación comentados anteriormente pueda ajustarse a escala, especialmente si el contenido es popular o si el propietario de contenido tiene un gran número de usuarios finales (por ejemplo sitios web populares). All of the above authentication mechanisms require connection establishment times for each user between the CON service provider and the content provider's authentication server. This means that none of the aforementioned authentication mechanisms can be scaled, especially if the content is popular or if the content owner has a large number of end users (for example popular websites).

Descripción de la invención Description of the Invention

Es necesario ofrecer una alternativa al estado de la técnica, que cubra las lagunas encontradas en la misma, en particular las relacionadas con el establecimiento de las conexiones TCP requeridas indicado anteriormente. It is necessary to offer an alternative to the state of the art, which covers the gaps found in it, in particular those related to the establishment of the required TCP connections indicated above.

Con este fin, la presente invención se refiere a un método de autenticación entre un proveedor de servicio de red de distribución de contenido y un propietario de contenido, que comprende: To this end, the present invention relates to an authentication method between a content distribution network service provider and a content owner, comprising:

a) establecer una conexión TCP entre un nodo de extremo de dicho proveedor de servicio CON y un servidor de autenticación de dicho propietario de contenido; a) establishing a TCP connection between an end node of said CON service provider and an authentication server of said content owner;

b) para contenido solicitado por un usuario final a través de dicha conexión TCP establecida, enviar el nodo de extremo una petición de autenticación al servidor de autenticación del propietario de contenido; b) for content requested by an end user through said established TCP connection, sending the end node an authentication request to the content owner's authentication server;

e) al recibir dicha petición de autenticación, realizar dicho servidor de autenticación una autenticación de dicha petición realizada por un usuario final; y e) upon receiving said authentication request, said authentication server perform an authentication of said request made by an end user; and

d) devolver, dicho servidor de autenticación, una respuesta a dicho nodo de extremo, a través de dicha conexión TCP, indicando si dicha petición de autenticación se ha concedido o no. d) return, said authentication server, a response to said end node, through said TCP connection, indicating whether said authentication request has been granted or not.

A diferencia de las propuestas conocidas, el método de la invención comprende, de manera característica, mantener dicha conexión TCP establecida abierta entre el nodo de extremo y el servidor de autenticación del propietario de contenido y realizar peticiones de autenticación de conexión subsiguientes a través de dicha conexión TCP que se mantiene abierta. Unlike the known proposals, the method of the invention characteristically comprises keeping said established TCP connection open between the end node and the content owner's authentication server and making subsequent connection authentication requests through said TCP connection that is kept open.

En una realización, dichas peticiones de autenticación subsiguientes se In one embodiment, said subsequent authentication requests are

realizan para diferentes usuarios finales, realizándose dichas etapas b) a d) para cada una de dichas peticiones de autenticación subsiguientes. performed for different end users, said steps b) to d) being performed for each of said subsequent authentication requests.

Dicho servidor de autenticación por lo general comprende una interfaz frontal de servicio web, una pasarela de autenticación y una base de datos de extremo posterior. Said authentication server generally comprises a front-end web service interface, an authentication gateway and a rear-end database.

A continuación, y en diferentes partes de la memoria descriptiva, el método de la invención se denominará método de autenticación rápida, ya que proporciona un proceso de autenticación que es más rápido en comparación con las propuestas de la técnica anterior. Hereinafter, and in different parts of the specification, the method of the invention will be called the rapid authentication method, as it provides an authentication process that is faster compared to the prior art proposals.

El método de la invención comprende reconocer, el nodo de extremo, que un contenido solicitado soporta una autenticación rápida, y realizar: The method of the invention comprises recognizing, the end node, that a requested content supports fast authentication, and performing:

--
dichas etapas a) a d) y dicho mantenimiento de la conexión TCP, sólo una vez que se ha reconocido que dicho contenido soporta dicha autenticación rápida; o said steps a) to d) and said maintenance of the TCP connection, only once it has been recognized that said content supports said fast authentication; or

--
dichas etapas b) a d) a través de una conexión TCP que ya se mantiene abierta, sólo una vez que se ha reconocido que dicho contenido soporta dicha autenticación rápida. said steps b) to d) through a TCP connection that is already kept open, only once it has been recognized that said content supports said fast authentication.

Según una realización, el método de la invención comprende usar contenedores con metadatos asociados para indicar dicho soporte de autenticación rápida para dicho contenido. According to an embodiment, the method of the invention comprises using containers with associated metadata to indicate said fast authentication support for said content.

Otras realizaciones del método de la invención se describen en las reivindicaciones adjuntas, y en una sección posterior relativa a la descripción detallada de varias realizaciones. Other embodiments of the method of the invention are described in the appended claims, and in a later section relating to the detailed description of various embodiments.

Breve descripción de los dibujos Brief description of the drawings

Las ventajas y características anteriores, y otras, se entenderán de manera más completa a partir de la siguiente descripción detallada de realizaciones, con referencia a los dibujos adjuntos, que deben considerarse de manera ilustrativa y no limitativa, en los que: The foregoing advantages and features, and others, will be more fully understood from the following detailed description of embodiments, with reference to the accompanying drawings, which are to be considered illustrative and not limiting, in which:

la figura 1 muestra cómo los propietarios de contenido autentican peticiones de contenido cuando usan una CON según un método de autenticación convencional; Figure 1 shows how content owners authenticate content requests when they use a CON according to a conventional authentication method;

la figura 2 muestra cómo los propietarios de contenido autentican sus peticiones usando el método de la invención, en una realización; Figure 2 shows how content owners authenticate their requests using the method of the invention, in one embodiment;

la figura 3 muestra los contenidos de un contenedor para contenido que Figure 3 shows the contents of a container for content that

soporta la autenticación rápida proporcionada por el método de la invención; supports the fast authentication provided by the method of the invention;

la figura 4 muestra las diferentes etapas del método de la invención, realizadas en forma de mensajes intercambiados entre un usuario final, un nodo de extremo y un servidor de autenticación, en una realización en la que se concede la autorización solicitada; Figure 4 shows the different stages of the method of the invention, performed in the form of messages exchanged between an end user, an end node and an authentication server, in an embodiment where the requested authorization is granted;

la figura 5 muestra las diferentes etapas del método de la invención, en una realización en la que no se concede la autorización solicitada; Figure 5 shows the different stages of the method of the invention, in an embodiment in which the requested authorization is not granted;

la figura 6 muestra el diagrama secuencial de las etapas del método de la invención, en una realización que proporciona una redirección para acceder al contenido solicitado; Figure 6 shows the sequence diagram of the steps of the method of the invention, in an embodiment that provides a redirect to access the requested content;

la figura 7 muestra otra realización del método de la invención, mediante un diagrama secuencial con los mensajes intercambiados entre el usuario final, el nodo de extremo y el servidor de autenticación, para peticiones de actualización de progreso; y Figure 7 shows another embodiment of the method of the invention, using a sequential diagram with the messages exchanged between the end user, the end node and the authentication server, for progress update requests; and

la figura 8 muestra el diagrama secuencial para un mensaje Abortar Petición enviado por el servidor de autenticación del propietario de contenido al nodo de extremo, según una realización del método de la invención. Figure 8 shows the sequence diagram for an Abort Request message sent by the content owner's authentication server to the end node, according to an embodiment of the method of the invention.

Descripción detallada de varias realizaciones Detailed description of various embodiments

A continuación se describe cada componente de un subsistema de proveedor de servicio CON. La infraestructura consiste en servidores originales, rastreadores, nodos de extremo y punto de entrada. The following describes each component of a CON service provider subsystem. The infrastructure consists of original servers, trackers, end nodes, and entry point.

Punto de publicación: Cualquier cliente CON puede interaccionar con la infraestructura del proveedor de servicio CON únicamente a través del punto de publicación (también denominado a veces punto de entrada para mayor simplicidad). El punto de publicación ejecuta una interfaz de servicios web con usuarios de cuentas registradas para crear 1borrar y actualizar contenedores. Publishing point: Any CON client can interact with the infrastructure of the CON service provider only through the publishing point (also sometimes called the entry point for simplicity). The publishing point runs a web services interface with registered account users to create 1 delete and update containers.

Un cliente CON tiene dos opciones para cargar contenido. El cliente puede o bien cargar archivos en el contenedor o bien dar los URL de los archivos de contenido que residen en el sitio web del cliente CON. Una vez que la infraestructura CON descarga el contenido, los archivos se mueven a otro directorio para su postprocesamiento. Las etapas de postprocesamiento implican comprobar la consistencia de los archivos y si hay algún error. Sólo entonces se mueve el archivo A CON client has two options for uploading content. The customer can either upload files to the container or give the URLs of the content files residing on the customer's website CON. Once the CON infrastructure downloads the content, the files are moved to another directory for further processing. The post-processing stages involve checking the consistency of the files and whether there are any errors. Only then does the file move

descargado al servidor original. El servidor original contiene la copia maestra de los downloaded to the original server. The original server contains the master copy of the

datos. data.

Nodo de extremo: Un nodo de extremo es la entidad que gestiona la comunicación entre usuarios finales y la infraestructura CON. Esencialmente es un servidor HTTP personalizado. End node: An end node is the entity that manages the communication between end users and the CON infrastructure. Essentially it is a custom HTTP server.

Rastreador: El rastreador es la entidad clave que permite la inteligencia y coordinación de la infraestructura del proveedor de servicio CON. Para ello, un rastreador mantiene (1) información detallada acerca del contenido en cada nodo de extremo y (2) recopila estadísticas de uso de recursos periódicamente de cada nodo de extremo. Mantiene información tal como el número de bytes salientes, número de bytes entrantes, número de conexiones activas para cada contenedor, tamaño del contenido proporcionado, etc. Tracker: The tracker is the key entity that enables the intelligence and coordination of the infrastructure of the NOC service provider. To do this, a crawler maintains (1) detailed information about the content on each end node and (2) periodically collects resource usage statistics from each end node. It maintains information such as the number of outgoing bytes, number of incoming bytes, number of active connections for each container, size of the content provided, etc.

Cuando un usuario final realiza una petición de contenido, el rastreador usa la información estadística a su disposición para determinar si (1) el contenido puede proporcionarse al usuario final solicitante y si es así, (2) determina el nodo de extremo más cercano y uno con la menor carga para dar servicio a un usuario final. Así, el rastreador actúa como un equilibrador de carga para la infraestructura CON. When an end user makes a content request, the crawler uses the statistical information at its disposal to determine if (1) the content can be provided to the requesting end user and if so, (2) determine the nearest end node and one with the least burden to serve an end user. Thus, the tracker acts as a load balancer for the CON infrastructure.

Servidor original: Este es el (los) servidor(es) en la infraestructura del proveedor de servicio CON que contiene(n) la copia maestra de los datos. Cualquier nodo de extremo que no tenga una copia de los datos puede solicitarla del servidor original. El cliente CON no tiene acceso al servidor original. La infraestructura del proveedor de servicio CON mueve los datos desde el punto de publicación al servidor original tras realizar comprobaciones de seguridad en los datos descargados. Original server: This is the server (s) in the CON service provider infrastructure that contain the master copy of the data. Any end node that does not have a copy of the data can request it from the original server. The CON client does not have access to the original server. The CON service provider infrastructure moves the data from the publishing point to the original server after performing security checks on the downloaded data.

A continuación, se detalla la arquitectura de un protocolo wíre, o protocolo en el nivel de aplicación, para realizar una autenticación rápida entre un proveedor de servicio CON y un propietario de contenido, implementando dicho protocolo el método de la invención en diferentes realizaciones. Los usuarios finales pueden acceder a la página web del propietario de contenido a través de cualquier mecanismos de autenticación (por ejemplo nombre de usuario 1 contraseña o certificado, etc.) que el propietario de contenido decida implementar. Cuando ese mismo usuario final desea ver el archivo de contenido del propietario de contenido alojado por la CON del proveedor de servicio, el servidor de autenticación en el propietario de contenido debe conceder el acceso al contenido protegido. El protocolo es flexible para adaptarse a Next, the architecture of a free protocol, or protocol at the application level, is detailed to perform rapid authentication between a CON service provider and a content owner, said protocol implementing the method of the invention in different embodiments. End users can access the content owner's website through any authentication mechanisms (for example username 1 password or certificate, etc.) that the content owner decides to implement. When that same end user wants to view the content file of the content owner hosted by the CON of the service provider, the authentication server at the content owner must grant access to the protected content. The protocol is flexible to adapt to

cualquier política que los propietarios de contenido decidan implementar para acceder any policy content owners choose to implement to access

a su contenido. to its content.

El servidor de autenticación puede implementar una interfaz frontal de servicio web. Sin embargo, esto no limita en modo alguno el alcance de la invención. En el resto del documento, la combinación de la interfaz frontal de servicio web (si lo hay), la pasarela de autenticación y el extremo posterior de autenticación (normalmente, una base de datos) se denominará como servidor de autenticación para mayor simplicidad. The authentication server can implement a front-end web service interface. However, this in no way limits the scope of the invention. In the rest of the document, the combination of the front web service interface (if any), the authentication gateway, and the back end of authentication (typically a database) will be referred to as an authentication server for simplicity.

Se detalla la interacción entre la CON del proveedor de servicio y un servidor de autenticación en el propietario de contenido. Cualquier experto en esta técnica puede extender esta invención a un grupo de servidores de autenticación en el propietario de contenido. The interaction between the NOC of the service provider and an authentication server in the content owner is detailed. Anyone skilled in this art can extend this invention to a group of authentication servers on the content owner.

Esta invención tiene la capacidad de manejar un número muy amplio de peticiones de usuarios finales dado que el nodo de extremo que proporciona el contenido mantiene una conexión TCP abierta con el servidor de autenticación en el propietario de contenido y, como consecuencia, no tiene que abrir una nueva conexión TCP para cada petición de contenido realizada por un usuario final. El servidor de autenticación puede realizar un control de grano fino sobre cómo tratar una petición. Puede redirigirla a otros URL (si el URL original no está disponible), inyectar carga útil (diciendo que el cliente ha superado la duración para la que el contenido estaba activo, This invention has the ability to handle a very large number of end-user requests since the endpoint providing the content maintains an open TCP connection to the authentication server at the content owner and therefore does not have to open a new TCP connection for each content request made by an end user. The authentication server can perform fine-grained control on how to handle a request. You can redirect it to other URLs (if the original URL is not available), inject payload (saying the client has exceeded the duration for which the content was active,

o con fines de contabilidad). El servidor de autenticación puede devolver un código de error HTTP que debe devolverse al usuario final solicitante. or for accounting purposes). The authentication server may return an HTTP error code that must be returned to the requesting end user.

En primer lugar, según las figuras 1 y 2, se detallarán las diferencias entre lo que hace una implementación típica actualmente en comparación con el protocolo de autenticación rápida descrito en esta invención. También se explican las diferencias entre interacciones de alto nivel que ocurren entre los nodos de extremo de la CON y el servidor de autenticación en el propietario de contenido. Las interacciones entre el usuario final y el propietario de contenido y las interacciones entre el usuario final y la CON son similares en ambas figuras 1 y 2. First, according to Figures 1 and 2, the differences between what a typical implementation currently does compared to the fast authentication protocol described in this invention will be detailed. The differences between high-level interactions that occur between the CON end nodes and the authentication server at the content owner are also explained. The interactions between the end user and the content owner and the interactions between the end user and the CON are similar in both Figures 1 and 2.

Con referencia a la figura 1 , puede verse que los tres usuarios finales, 1 , 2 y 3, se conectan al nodo de extremo 2 (EP-2) para ver contenido del mismo propietario de contenido. Así, el propietario de contenido autentica las peticiones de contenido de los tres usuarios. A continuación se describen las acciones indicadas por las etiquetas mostradas, o referencias numéricas, en la figura 1: Referring to Figure 1, it can be seen that the three end users 1, 2 and 3 connect to end node 2 (EP-2) to view content from the same content owner. Thus, the content owner authenticates the content requests of the three users. The actions indicated by the displayed labels, or numerical references, in figure 1 are described below:

1. El usuario final solicita contenido de un sitio web. Esto implica que el usuario 1. The end user requests content from a website. This implies that the user

final inicie un mecanismo de autenticación para registrarse en el sitio web. Podría tratarse de una combinación de cualquiera de las autenticaciones basadas en usuario/contraseña, certificado. Finally start an authentication mechanism to register on the website. It could be a combination of any of the user / password based authentications, certificate.

2. 2.
Se concede acceso al usuario final al sitio web tras verificar las credenciales. Se concede acceso al usuario al sitio web. Como parte de la autorización, el sitio web fija una cookíe en el navegador del usuario final. Esta invención no impide a los propietarios de contenido implementar cualquier mecanismo de autenticación para acceder a su sitio web que consideren adecuado. End user access is granted to the website after verifying credentials. User access to the website is granted. As part of the authorization, the website sets a cook in the end user's browser. This invention does not prevent content owners from implementing any authentication mechanism to access their website that they deem appropriate.

3. 3.
Un servicio CON alberga el contenido para el propietario de contenido. Así, la petición del contenido va a la CON. La CON identifica el nodo de extremo más adecuado para proporcionar el contenido. Como resultado, el nodo de extremo puede obtener el contenido del servidor original en la CON o en el propietario de contenido (no mostrado en la figura para mayor simplicidad). El usuario final se conecta directamente al nodo de extremo 2 para obtener acceso al contenido. A CON service hosts the content for the content owner. Thus, the content request goes to the CON. The CON identifies the most suitable end node to provide the content. As a result, the end node can fetch the content from the original server at the CON or the content owner (not shown in the figure for simplicity). The end user connects directly to end node 2 to gain access to the content.

4. Four.
Para cada petición recibida de los usuarios finales, el nodo de extremo 2 abre una nueva conexión TCP y realiza una petición de autenticación para el contenido solicitado. El mecanismo de autenticación puede ser o bien un mecanismo de autenticación por URL o mediante testigo que usa la cookíe fijada en el usuario final. Esta comunicación puede ser o bien una llamada API [1 O] [11] o bien a través de HTTP. For each request received from end users, end node 2 opens a new TCP connection and makes an authentication request for the requested content. The authentication mechanism can be either a URL or token authentication mechanism that uses the password set in the end user. This communication can either be an API [1 O] [11] call or via HTTP.

5. 5.
El servidor de autenticación del propietario de contenido recibe la petición de autenticación y autentica a cada uno de los usuarios finales 1, 2 y 3. The content owner's authentication server receives the authentication request and authenticates each of end users 1, 2, and 3.

6. 6.
Una vez autenticada la petición, la respuesta se envía al nodo de extremo de la CON por las respectivas conexiones TCP. Entonces las conexiones se cierran. Once the request is authenticated, the response is sent to the CON end node over the respective TCP connections. Then the connections are closed.

7. 7.
Si las peticiones de autenticación tienen éxito, el contenido se envía al usuario final. Por otro lado, si la autenticación no se concede se devuelve al usuario final un mensaje de error generado por el nodo de extremo. Así, el propietario de contenido no tiene control sobre el mensaje de error devuelto. If the authentication requests are successful, the content is sent to the end user. On the other hand, if authentication is not granted, an error message generated by the end node is returned to the end user. Thus, the content owner has no control over the returned error message.

No hay ningún mecanismo inherente para que el proveedor de servicio CON envíe el estado de cada descarga para los usuarios finales al propietario de contenido. Al final de la transferencia, el proveedor de servicio CON puede notificar al propietario de contenido que la descarga ha finalizado. There is no inherent mechanism for the CON service provider to send the status of each download for end users to the content owner. At the end of the transfer, the CON service provider can notify the content owner that the download is complete.

La figura 2 muestra cómo procede el mecanismo de autenticación en el Figure 2 shows how the authentication mechanism in the

protocolo de autenticación rápida, es decir, según el método de la invención. Puesto que las etiquetas 1-3 son similares a las ya explicadas con referencia a la figura 1, su descripción no se repetirá. Las diferencias clave con la implementación convencional de la figura 1 son: mientras que en la figura 1 los metadatos del contenedor están configurados para efectuar una autenticación por URL o mediante testigo con una configuración de metadatos apropiada para cualquiera de ellas (formato de URL y cookíe de usuario final o un testigo de autenticación como en [11 ]), el contenedor de la figura 2 está configurado para soportar autenticación rápida y requiere la dirección IP del servidor de autenticación y número de puerto. fast authentication protocol, that is, according to the method of the invention. Since labels 1-3 are similar to those already explained with reference to Figure 1, their description will not be repeated. The key differences with the conventional implementation of figure 1 are: while in figure 1 the container metadata is configured to perform authentication by URL or by token with a metadata configuration appropriate for any of them (URL format and cookie end user or an authentication token as in [11]), the container in Figure 2 is configured to support fast authentication and requires the authentication server's IP address and port number.

La figura 2 se describirá a partir de la etiqueta 4. Figure 2 will be described from label 4.

4. Cuando el primer usuario final (EU1) realiza la petición de contenido a la CON, el nodo de extremo 2 (EP-2) se elige como el más adecuado para proporcionar el contenido. El nodo de extremo, sin embargo, reconoce que el contenido soporta autenticación rápida. Así, el EP-2 abre una conexión TCP con el servidor de autenticación del propietario de contenido. 4. When the first end user (EU1) makes the content request to the CON, end node 2 (EP-2) is chosen as the most suitable to provide the content. The end node, however, recognizes that the content supports fast authentication. Thus, the EP-2 opens a TCP connection to the content owner's authentication server.

Esta conexión TCP se mantiene abierta por el EP-2. Peticiones de autenticación de conexión subsiguientes se envían por la misma conexión TCP abierta. Esta conexión TCP abierta también se usa por el nodo de extremo EP-2 para enviar actualizaciones de descarga de contenido al servidor de autenticación en el propietario de contenido. This TCP connection is kept open by the EP-2. Subsequent connection authentication requests are sent over the same open TCP connection. This open TCP connection is also used by the EP-2 end node to send content download updates to the authentication server at the content owner.

5. 5.
El servidor de autenticación en el propietario de contenido autentica la petición realizada por un usuario final. Una vez que el propietario de contenido concede el acceso, se concede al usuario final acceso al contenido. The authentication server at the content owner authenticates the request made by an end user. Once the content owner grants access, the end user is granted access to the content.

6. 6.
La respuesta del servidor de autenticación (un número entero, Opara éxito y 1 para fracaso) determina si se concede acceso al usuario final. La comunicación para todos los usuarios finales que reciben contenido del EP-2 se envía por la misma conexión TCP abierta. The response from the authentication server (an integer, O for success, and 1 for failure) determines whether access is granted to the end user. Communication for all end users receiving content from the EP-2 is sent over the same open TCP connection.

7. 7.
EP-2 envía el contenido solicitado al (a los) usuario(s) final(es) solicitante(s) si la autenticación tiene éxito. EP-2 sends the requested content to the requesting end user (s) if the authentication is successful.

La implementación del protocolo de autenticación rápida requiere soporte en la infraestructura CON y con el propietario de contenido. A continuación se proporciona una descripción de cómo puede soportarse el protocolo y se detallan las reglas de Implementation of the fast authentication protocol requires support on the CON infrastructure and with the content owner. The following provides a description of how the protocol can be supported and details the rules for

ejecución del protocolo, tanto en el propietario de contenido como en el proveedor de protocol execution, both in the content owner and in the provider of

servicio CON. CON service.

Soporte en el contenedor CON: Support in the CON container:

5 5
Con el fin de que la CON soporte el protocolo de autenticación rápida, un In order for the CON to support the fast authentication protocol, a

cliente CON debe definir la siguiente información al definir un contenedor de contenido: CON client must define the following information when defining a content container:

1. Declarar en los metadatos de contenido que el contenido en el contenedor 1. Declare in the content metadata that the content in the container

requerirá soporte para autenticación rápida. will require support for fast authentication.

2. Dirección IP de servidor y número de puerto de un servidor de autenticación 2. Server IP address and port number of an authentication server

1 O 1 O
en el propietario de servicio web. in the web service owner.

La figura 3 muestra un ejemplo de los contenidos de un contenedor, incluyendo Figure 3 shows an example of the contents of a container, including

la información anteriormente mencionada, para un servidor de autenticación que se the aforementioned information, for an authentication server that

encuentra a la escucha en el puerto 9100 para cualquier petición de autenticación. it listens on port 9100 for any authentication requests.

15 fifteen
Soporte en nodos de extremo (servidores de contenido): Support on end nodes (content servers):

Los nodos de extremo CON tienen la siguiente información para cualquier CON end nodes have the following information for any

usuario final al que dan servicio. End user they serve.

1. Dirección IP del usuario final 1. IP address of the end user

2. Un ID de sesión generado por el nodo de extremo para cada usuario final al 2. A session ID generated by the endpoint node for each end user at

20 twenty
que da servicio. Esto es útil con fines de información de cuenta en la CON. that gives service. This is useful for account information purposes at the CON.

3. La dirección IP y el número de puerto del servidor de autenticación al que el 3. The IP address and port number of the authentication server to which the

nodo de extremo necesita conectarse. end node needs to connect.

4. El nodo de extremo implementa todos los mensajes de petición definidos 4. The end node implements all the defined request messages

más adelante. later.

25 25
Toda la comunicación entre el nodo de extremo y el servidor de autenticación All communication between the end node and the authentication server

se produce a través de una conexión TCP. Así, el protocolo wire, o protocolo en el It occurs through a TCP connection. Thus, the wire protocol, or protocol in

nivel de aplicación, definido para soportar autenticación rápida usa TCP como application level, defined to support fast authentication uses TCP as

mecanismo de transporte y, por consiguiente, es fiable. transport mechanism and is therefore reliable.

La comunicación se produce a través de mensajes muy cortos. La información Communication occurs through very short messages. Information

30 30
sobre usuarios finales en los puntos (1 )-(3) anteriores puede usarse para identificar a on end users in points (1) - (3) above can be used to identify

los usuarios finales en los mensajes intercambiados. end users in exchanged messages.

Protocolo wire, o protocolo en el nivel de aplicación, de autenticación rápida: Wire protocol, or protocol at the application level, for quick authentication:

Se definen los siguientes mensajes de petición: The following request messages are defined:

(1) (one)
Iniciar Descarga (FA_BeginDownloadRequest). Start Download (FA_BeginDownloadRequest).

(2) (2)
Finalizar Descarga (FA_EndDownload). Finish Download (FA_EndDownload).

(3) (3)
Petición Actualizar Progreso (FA_ProgressUpdateRequest). Request to Update Progress (FA_ProgressUpdateRequest).

Se definen los siguientes mensajes de respuesta: The following response messages are defined:

(1) (one)
Autorizado (FA_AuthorizedResponse) Authorized (FA_AuthorizedResponse)

(2) (2)
No Autorizado (FA_NotAuthorizedResponse) Unauthorized (FA_NotAuthorizedResponse)

(3) (3)
Redireccionar (FA_RedirectResponse) Redirect (FA_RedirectResponse)

(4) (4)
Finalizar Flujo Continuo (FA_EndStreamRequest). End Continuous Flow (FA_EndStreamRequest).

(5) (5)
Abortar (FA_AbortRequest). Abort (FA_AbortRequest).

La figura 4 muestra el diagrama secuencial de una petición de autenticación recibida de un usuario final. Las siguientes etapas describen el diagrama secuencial: Figure 4 shows the sequence diagram of an authentication request received from an end user. The following stages describe the sequence diagram:

1. one.
El usuario final solicita recursos con un URL en la forma b87/films/A-Token/harrypotter.flv. En este caso b87 es el ID de contenedor. El nodo de extremo reconoce que este contenedor soporta autenticación rápida. Así, el nodo de extremo tiene una conexión abierta con el servidor de autenticación y el número de puerto del cliente CON (propietario de contenido). El A-token es el testigo de autenticación que genera el propietario de contenido. The end user requests resources with a URL in the form b87 / films / A-Token / harrypotter.flv. In this case b87 is the container ID. The endpoint node recognizes that this container supports fast authentication. Thus, the end node has an open connection to the authentication server and the port number of the client CON (content owner). The A-token is the authentication token that the content owner generates.

2. 2.
El nodo de extremo extrae el testigo de autenticación, A-token, junto con el ID de sesión generado localmente y la dirección IP del usuario final, construye un mensaje FA_BeginDownloadRequest y lo envía al servidor de autenticación. The endpoint node extracts the authentication token, A-token, along with the locally generated session ID and end-user IP address, constructs a FA_BeginDownloadRequest message, and sends it to the authentication server.

3. 3.
El servidor de autenticación comprueba la validez del A-token y usa la combinación de IP de usuario final y A-token para autenticar al usuario final. El servidor también usa la dirección IP del usuario final y el ID de sesión para mantener información de contabilidad del usuario final. Si un A-token es válido, el servidor de autenticación devuelve el código de autorización (O ó 1) junto con el ID de sesión (que recibió en la petición) de modo que el nodo de extremo puede identificar la respuesta. También se devuelve un código HTTP que debe devolverse al usuario final (la comunicación con el servidor de autenticación no tiene por qué ser a través de HTTP). The authentication server checks the validity of the A-token and uses the combination of end user IP and A-token to authenticate the end user. The server also uses the end user's IP address and session ID to maintain accounting information for the end user. If an A-token is valid, the authentication server returns the authorization code (O or 1) along with the session ID (which it received in the request) so that the end node can identify the response. An HTTP code is also returned and must be returned to the end user (communication with the authentication server does not have to be via HTTP).

Esto da al propietario de contenido un control máximo sobre los códigos de error que desea devolver a los usuarios finales. Algunos ejemplos son: This gives the content owner maximum control over the error codes that they want to return to end users. Some examples are:

--
Si el servidor de autenticación determina que no debe permitirse más acceso If the authentication server determines that no further access should be allowed

al usuario final (porque el usuario final ha superado su cuota), devuelve un código de error HTTP 403. returns to the end user (because the end user has exceeded their quota) an HTTP 403 error code.

--
Cada contenido tiene una startdate (fecha de inicio) y una enddate (fecha de fin) asociadas al mismo. Startdate indica cuándo empieza a ser válido el contenido para su entrega y enddate indica el momento a partir del cual la CON no debe proporcionar el contenido. Si el servidor de autenticación determina que la petición de contenido es posterior a enddate (fecha y momento en el que puede proporcionarse el contenido), puede devolver un código de error HTTP 404. Each content has a startdate (start date) and an enddate (end date) associated with it. Startdate indicates when the content begins to be valid for delivery and enddate indicates the moment from which the CON should not provide the content. If the authentication server determines that the content request is later than enddate (date and time the content can be delivered), it may return an HTTP 404 error code.

4. Four.
El nodo de extremo devuelve el código HTTP 200 (OK, autorizado) y envía el objeto solicitado al nodo de extremo (en este caso el archivo harrypotter.flv). The end node returns the HTTP 200 code (OK, authorized) and sends the requested object to the end node (in this case the harrypotter.flv file).

5. 5.
Una vez que el nodo de extremo ha terminado de enviar el objeto solicitado al usuario final, cierra la conexión al usuario final. Once the end node has finished sending the requested object to the end user, it closes the connection to the end user.

6. 6.
Como etapa final, el nodo de extremo envía un mensaje FA_EndDownload junto con la IP del usuario final, el ID de sesión y el número de bytes enviados al usuario final en la sesión. Esto es importante para que el propietario de contenido mantenga información de contabilidad para los clientes. As a final stage, the end node sends a FA_EndDownload message along with the end user's IP, session ID, and the number of bytes sent to the end user in the session. This is important for the content owner to maintain accounting information for clients.

Se ha mostrado el efecto de una autenticación con éxito. Si la autenticación fracasa (por ejemplo, debido a que un usuario no autorizado use un URL de un usuario autorizado), se verá un intercambio de mensajes con referencia a la figura 5: The effect of successful authentication has been shown. If authentication fails (for example, because an unauthorized user uses a URL from an authorized user), you will see a message exchange referring to Figure 5:

1. one.
El usuario final solicita recursos con un URL en la forma b87/films/A-Token/harrypotter.flv. El nodo de extremo reconoce que este contenedor soporta autenticación rápida. Así, el nodo de extremo tiene una conexión abierta con el servidor de autenticación y el número de puerto del cliente CON (propietario de contenido). The end user requests resources with a URL in the form b87 / films / A-Token / harrypotter.flv. The endpoint node recognizes that this container supports fast authentication. Thus, the end node has an open connection to the authentication server and the port number of the client CON (content owner).

2. 2.
El nodo de extremo extrae el testigo, A-token, junto con el ID de sesión generado localmente y la dirección IP del usuario final, construye un mensaje FA_BeginDownloadRequest y lo envía al servidor de autenticación. The endpoint node extracts the token, A-token, along with the locally generated session ID and end user IP address, constructs a FA_BeginDownloadRequest message, and sends it to the authentication server.

3. 3.
El servidor de autenticación comprueba la validez del A-token y usa la combinación de dirección IP del usuario final y A-token para autenticar al usuario final. El servidor de autenticación reconoce que la petición procede de un usuario no autorizado. El servidor de autenticación devuelve una respuesta de no autorizado junto con el ID de sesión de la petición y un código de error HTTP (en este ejemplo, HTTP 403) que tiene que enviarse de vuelta al usuario final. The authentication server checks the validity of the A-token and uses the combination of the end user's IP address and A-token to authenticate the end user. The authentication server recognizes that the request comes from an unauthorized user. The authentication server returns an unauthorized response along with the request session ID and an HTTP error code (in this example, HTTP 403) that has to be sent back to the end user.

4. El nodo de extremo devuelve un mensaje HTTP 403 al usuario final según 4. The end node returns an HTTP 403 message to the end user based on

solicitó el servidor de autenticación. requested the authentication server.

La figura 6 muestra el diagrama secuencial para enviar una petición de redirección al usuario final según el protocolo de autenticación rápida. Todas las etapas hasta el envío del mensaje FA_BeginDownloadRequest al servidor de autenticación son igual que antes. Figure 6 shows the sequence diagram for sending a redirect request to the end user according to the fast authentication protocol. All stages up to sending the FA_BeginDownloadRequest message to the authentication server are the same as before.

El servidor de autenticación comprueba la validez del A-token y usa la combinación de IP de usuario final y A-token para autenticar al usuario final. El propietario de contenido puede definir políticas para redireccionar a los usuarios finales autenticados a otras versiones (más recientes) de contenido. Algunos ejemplos de tales políticas son: The authentication server checks the validity of the A-token and uses the combination of end user IP and A-token to authenticate the end user. The content owner can define policies to redirect authenticated end users to other (newer) versions of content. Some examples of such policies are:

--
Para usuarios premíum (que no tienen límite mensual), redireccionar a los usuarios finales a una versión HD del contenido. -Si un contenido ya no está disponible, ofrecer a los usuarios finales la opción de ver otro contenido. For premium users (with no monthly limit), redirect end users to an HD version of the content. -If content is no longer available, offer end users the option to view other content.

Los propietarios de contenido son libres de definir políticas que consideren adecuadas. El propietario de contenido devuelve un mensaje FA_RedirectResponse en caso de redirección. Este mensaje contiene un URL de redirección como carga útil en el mensaje. Al recibir un mensaje FA_RedirectResponse, el nodo de extremo genera un mensaje HTTP 302 y envía el URL recibido (del propietario de contenido) al usuario final. Content owners are free to define policies they deem appropriate. The content owner returns a FA_RedirectResponse message in the event of a redirect. This message contains a redirect URL as a payload in the message. Upon receiving a FA_RedirectResponse message, the endpoint node generates an HTTP 302 message and sends the received URL (from the content owner) to the end user.

El protocolo de autenticación rápida de esta invención soporta un acceso autenticado a contenido para usuarios finales. Algunos contenidos pueden tener un tamaño de varios gigabytes. Así, es imperativo que la infraestructura CON informe al propietario de contenido acerca del progreso de cada sesión de descarga. The fast authentication protocol of this invention supports authenticated access to content for end users. Some content can be several gigabytes in size. Thus, it is imperative that the CON infrastructure informs the content owner of the progress of each download session.

Tal como se muestra en la realización de la figura 7, periódicamente ( cada 60 s por ejemplo) el nodo de extremo envía FA_ProgressUpdateRequest al servidor de autenticación. Este mensaje contiene el ID de sesión y el número de bytes enviados al nodo de extremo en los últimos 60 s. Esto permite al propietario de contenido mantener información muy actualizada de la cantidad de contenido a la que ha accedido el usuario final. As shown in the embodiment of Figure 7, periodically (every 60 s for example) the end node sends FA_ProgressUpdateRequest to the authentication server. This message contains the session ID and the number of bytes sent to the end node in the last 60 s. This allows the content owner to keep highly updated information on the amount of content the end user has accessed.

En respuesta, el servidor de autenticación envía un mensaje FA_AuthorizeResponse al nodo de extremo. Este mensaje contiene el ID de sesión del usuario final enviado en el FA_ProgressUpdateRequest. In response, the authentication server sends a FA_AuthorizeResponse message to the endpoint node. This message contains the end user session ID sent in the FA_ProgressUpdateRequest.

Un propietario de contenido puede implementar políticas para acceso al A content owner can implement policies to access the

contenido. Ejemplos de tales políticas son: Limitar a un usuario final para que vea una cantidad fija de contenido gratuitamente al día 1 semana 1 mes. Limitar a un usuario final cuando se alcanza la cuota mensual pagada. content. Examples of such policies are: Limiting an end user to view a fixed amount of content free of charge per day 1 week 1 month. Limit an end user when the monthly fee paid is reached.

Si el propietario de contenido desea que un usuario final deje de ver el contenido debido a políticas implementadas por el propietario de contenido, el propietario de contenido envía un mensaje FA_EndStreamRequest. En vez de pedir al nodo de extremo que finalice bruscamente el flujo continuo, el servidor de autenticación envía la siguiente información en el mensaje: If the content owner wants an end user to stop viewing content due to policies implemented by the content owner, the content owner sends a FA_EndStreamRequest message. Rather than asking the endpoint to end the stream abruptly, the authentication server sends the following information in the message:

--
ID de sesión del usuario final End user session ID

--
El desfase con el que debe detenerse el flujo continuo del usuario The offset at which the user stream must stop

--
Tamaño de carga útil Payload size

--
Un flujo continuo de carga útil que es cualquier contenido multimedia que debe enviarse al usuario final en el flujo continuo de contenido A continuous payload stream that is any multimedia content that must be sent to the end user in the continuous stream of content

Al recibir FA_EndStreamRequest, el nodo de extremo espera hasta que el usuario final llega al desfase, y detiene el flujo continuo de contenido. A continuación, el nodo de extremo inserta el contenido multimedia recibido del proveedor de contenido y lo transfiere al usuario final. Puede tratarse de un pop-up o publicidad que le dice al usuario final por qué se ha detenido su flujo continuo con un enlace para mejorar su cuenta. On receiving FA_EndStreamRequest, the end node waits until the end user reaches the lag, and stops the continuous flow of content. The end node then inserts the multimedia content received from the content provider and transfers it to the end user. It can be a pop-up or advertisement that tells the end user why their continuous flow has been stopped with a link to improve their account.

A continuación, el nodo de extremo cierra la conexión, o conexión TCP, con el usuario final. The end node then closes the connection, or TCP connection, with the end user.

La figura 8 muestra el diagrama secuencial para una realización de la invención, cuando el servidor de autenticación del proveedor de contenido envía FA_AbortRequest al nodo de extremo en la CON del proveedor de servicio. El nodo de extremo de la CON cierra la conexión TCP con el servidor de autenticación en respuesta a esta petición. El servidor de autenticación puede enviar una petición de este tipo si (1) detecta que un usuario final sigue recibiendo contenido a pesar de que varios intentos de cerrar la conexión mediante FA_EndStreamRequest han fracasado, Figure 8 shows the sequence diagram for an embodiment of the invention, when the content provider authentication server sends FA_AbortRequest to the end node in the NOC of the service provider. The CON end node closes the TCP connection to the authentication server in response to this request. The authentication server can send such a request if (1) it detects that an end user continues to receive content even though several attempts to close the connection using FA_EndStreamRequest have failed,

(2) el servidor de autenticación tiene que someterse a mantenimiento y debe cerrar todas las conexiones abiertas. (2) the authentication server has to undergo maintenance and must close all open connections.

Como consecuencia de esta petición, el nodo de extremo cierra todas las conexiones abiertas con los usuarios finales que están descargando contenido. Una petición de este tipo se debe a una situación extrema. Sin embargo, una petición posterior de contenido en un nodo de extremo para el mismo propietario de contenido reabrirá la conexión TCP con el servidor de autenticación. Peticiones de contenido subsiguientes pueden reutilizar la misma conexión TCP abierta. As a consequence of this request, the end node closes all open connections with end users who are downloading content. Such a request is due to an extreme situation. However, a subsequent content request on an endpoint for the same content owner will reopen the TCP connection to the authentication server. Subsequent content requests can reuse the same open TCP connection.

Soporte de clientes CON (propietarios de contenido): Support from CON clients (content owners):

A continuación se dará una lista de requisitos que indican lo que el cliente CON tiene que hacer para soportar el protocolo wire de autenticación rápida del método de la invención: The following is a list of requirements that indicate what the NOC client has to do to support the fast authentication wire protocol of the method of the invention:

--
Mantener al menos un servidor de autenticación para el proveedor de servicio CON. Esto permite que los nodos de extremo autentiquen peticiones de contenido. Maintain at least one authentication server for the CON service provider. This allows the end nodes to authenticate requests for content.

--
Cualquier técnica para construir un testigo de autenticación para un contenido. Este testigo puede crearse cuando un usuario final se registra en la página de un propietario de contenido. Garantiza que cuando un usuario final solicita un contenido, el testigo forma parte de la petición URL que se envía al proveedor de servicio CON. Any technique to build an authentication token for content. This token can be created when an end user logs on to a content owner's page. Ensures that when an end user requests content, the token is part of the URL request that is sent to the CON service provider.

--
Soporte para procesar los mensajes de petición recibidos del proveedor de servicio CON. Support for processing request messages received from the CON service provider.

--
Soporte para los mensajes de respuesta FA_AuthorizedResponse, FA_NotAuthorizedResponse, FA_RedirectResponse, FA_EndStreamRequest, FA_AbortRequest. Support for FA_AuthorizedResponse, FA_NotAuthorizedResponse, FA_RedirectResponse, FA_EndStreamRequest, FA_AbortRequest response messages.

Políticas /condiciones apropiadas para cuando se envía FA_RedirectResponse. De manera similar, definir qué códigos de error HTTP tienen que enviarse para FA_NotAuthorizedResponse. Policies / conditions appropriate for when FA_RedirectResponse is sent. Similarly, define what HTTP error codes have to be sent for FA_NotAuthorizedResponse.

--
Definir políticas para qué contenido se insertará para el mensaje FA_EndStreamRequest enviado a los nodos de extremo de la CON. Define policies for what content will be inserted for the FA_EndStreamRequest message sent to the endpoints of the CON.

Como se observa en este caso, los clientes CON tienen una flexibilidad máxima para definir e implementar políticas para el acceso a su contenido. El proveedor de servicio CON actúa meramente como proxy para que los propietarios de contenido devuelvan una respuesta de error HTTP a los usuarios finales. El proveedor de servicio CON meramente pretende conceder o denegar el acceso a un usuario final solicitante en un sólo recorrido de ida y vuelta. As seen in this case, NOC clients have maximum flexibility to define and implement policies for access to their content. The CON service provider merely acts as a proxy for content owners to return an HTTP error response to end users. The CON service provider merely intends to grant or deny access to a requesting end user in a single round trip.

En resumen (desde la perspectiva de un nodo de extremo): In summary (from the perspective of an end node):

Debe observarse que la primera petición en un nodo de extremo que soporta It should be noted that the first request on an end node that supports

un contenedor de autenticación rápida da como resultado una conexión TCP abierta con el servidor de autenticación del propietario de contenido. Peticiones de contenido subsiguientes se enviarán al servidor de autenticación por la misma conexión abierta. Debe observarse que pueden canalizarse y enviarse al servidor múltiples peticiones de autenticación. a fast authentication container results in an open TCP connection to the content owner's authentication server. Subsequent requests for content will be sent to the authentication server over the same open connection. It should be noted that multiple authentication requests can be piped and sent to the server.

Cuando un nodo de extremo realiza una consulta de DNS para conectarse al servidor de autenticación, obtiene una lista de servidores. Emite entonces una petición de conexión a los servidores uno tras otro. Si la conexión no tiene éxito, la petición de contenido fracasa. Por otro lado, si la petición de conexión tiene éxito (con cualquiera de los servidores), se envía un mensaje FA_BeginDownloadRequest al servidor de autenticación. When an endpoint performs a DNS query to connect to the authentication server, it gets a list of servers. It then issues a connection request to the servers one after another. If the connection is unsuccessful, the content request fails. On the other hand, if the connection request is successful (with any of the servers), a FA_BeginDownloadRequest message is sent to the authentication server.

Si por cualquier motivo la conexión al servidor de autenticación falla, el nodo de extremo volverá a intentarlo y se conectará al servidor de autenticación. If for any reason the connection to the authentication server fails, the end node will try again and connect to the authentication server.

Los ID de sesión de diferentes nodos de extremo pueden ser iguales. Sin embargo, el servidor de autenticación conoce la dirección IP de cada nodo de extremo y, junto con el ID de sesión y la dirección IP del usuario final, puede inferir el número de flujos continuos concurrentes abiertos por cada usuario final. The session IDs of different endpoints can be the same. However, the authentication server knows the IP address of each end node and, together with the session ID and end user IP address, it can infer the number of concurrent streams open by each end user.

Aplicaciones de la invención: Applications of the invention:

La invención descrita en este documento tiene un gran número de aplicaciones. The invention described in this document has a large number of applications.

--
El método permite a un propietario de contenido añadir cualquier contenido multimedia que desee (audio, vídeo, pop-up) al flujo continuo del usuario final. Este mecanismo puede usarse para: The method allows a content owner to add any desired multimedia content (audio, video, pop-up) to the end user stream. This mechanism can be used to:

a) Poner un anuncio de un producto o servicio a) Place an advertisement for a product or service

b) Informar al usuario final de que puede haber alcanzado su cuota diaria 1 semanal 1 mensual o anual y que puede pagar o mejorar su cuenta para obtener contenido adicional. b) Inform the end user that they may have reached their daily 1 weekly 1 monthly or annual quota and that they can pay or improve their account to obtain additional content.

e) Como forma elegante de finalizar el visionado de contenido. e) As an elegant way to end the viewing of content.

--
Impedir que usuarios finales accedan a su contenido pasándose entre ellos Prevent end users from accessing your content by passing between them

enlaces al contenido. -Permite a un propietario de contenido definir su propio testigo de autenticación que puede basarse en: MD5 del objeto solicitado, número de versión de links to content. -Allows a content owner to define their own authentication token that can be based on: MD5 of the requested object, version number of

objeto, ID de contenedor en el que reside el objeto, o cualquier combinación de los object, container ID in which the object resides, or any combination of the

anteriores. previous.

Ventajas de la invención: Advantages of the invention:

Las principales ventajas de esta invención son: The main advantages of this invention are:

--
La autenticación es un protocolo wíre, o protocolo en el nivel de aplicación, sobre una conexión TCP abierta con el servidor de autenticación. Authentication is a free protocol, or application-level protocol, over an open TCP connection to the authentication server.

--
Este mecanismo impide que los usuarios se pasen los enlaces HTTP entre ellos, forzando que los usuarios obtengan acceso a un servicio individualmente para ver contenido. This mechanism prevents users from passing HTTP links between them, forcing users to access a service individually to view content.

--
Una manera segura, fiable y protegida de ofrecer AAA (Authentícatíon, Authorízatíon and Accountíng, (autenticación, autorización y contabilidad)) a propietarios de contenido cuando usan un servicio CON. A safe, reliable and secure way to offer AAA (Authentícatíon, Authorízatíon and Accountíng, (authentication, authorization and accounting)) to content owners when they use a CON service.

--
Los clientes CON (propietarios de contenido) tienen flexibilidad para definir su propio testigo de autenticación. CON clients (content owners) have the flexibility to define their own authentication token.

Los clientes CON también tienen flexibilidad para definir la dirección IP y el número de puerto del servicio web que autenticará las peticiones recibidas desde los nodos de extremo de la CON. CON clients also have flexibility to define the IP address and port number of the web service that will authenticate requests received from the CON end nodes.

--
Los clientes CON tienen flexibilidad para redireccionar a los usuarios finales (que son sus clientes) a una versión más reciente del contenido basándose en políticas que decidan implementar. CON clients have the flexibility to redirect end users (who are their clients) to a newer version of the content based on policies they choose to implement.

--
Da a los clientes CON flexibilidad para definir qué código de error HTTP desean devolver a un usuario final solicitante. Así, el proveedor de servicio CON actúa meramente como proxy para el código HTTP que se devuelve. Gives clients WITH flexibility to define what HTTP error code they want to return to a requesting end user. Thus, the CON service provider merely acts as a proxy for the returned HTTP code.

--
Da a los clientes CON flexibilidad para insertar contenido en un flujo continuo de contenido destinado a un usuario final. Esto permite añadir contenido tal como anuncios, una petición de actualización 1 renovación de una suscripción (dependiendo de las políticas de los proveedores de contenido). Gives customers WITH flexibility to insert content into a continuous stream of content intended for an end user. This allows you to add content such as advertisements, a request to update 1 renewal of a subscription (depending on the policies of content providers).

-El mensaje corto intercambiado entre un nodo de extremo de una CON y el servidor de autenticación del propietario de contenido es a través de una única conexión. Las peticiones (y respuestas) se canalizan. Esto da como resultado no más de un RTT entre el nodo de extremo de la CON y el servidor de autenticación para la autenticación para el acceso al objeto. Esto hace que la solución sea ajustable a escala. -The short message exchanged between a CON end node and the content owner's authentication server is over a single connection. Requests (and responses) are piped. This results in no more than one RTT between the CON end node and the authentication server for authentication for access to the object. This makes the solution scalable.

--
Incluso si un proveedor de servicio CON tiene varios nodos de extremo, Even if a CON service provider has multiple end nodes,

puesto que cada nodo de extremo sólo tiene una conexión con el servidor de since each end node only has one connection to the server

autenticación, la solución se ajusta a escala al número de nodos de extremo. authentication, the solution scales to the number of end nodes.

Un experto en la técnica puede introducir cambios y modificaciones en las realizaciones descritas sin apartarse del alcance de la invención tal como se define en las reivindicaciones adjuntas. Changes and modifications may be made by one skilled in the art to the described embodiments without departing from the scope of the invention as defined in the appended claims.

SIGLAS Y ABREVIATURAS ACRONYMS AND ABBREVIATIONS

ADSL ADSL
ASYMMETRIC DIGITAL SUBSCRIBER UNE; lÍNEA DE ABONADO ASYMMETRIC DIGITAL SUBSCRIBE UNE; line OF SUBSCRIBER

DIGITAL ASIMÉTRICA ASYMMETRIC DIGITAL

CON WITH
CONTENT DISTRIBUTION NETWORK; RED DE DISTRIBUCIÓN DE CONTENT DISTRIBUTION NETWORK; NET OF DISTRIBUTION OF

CONTENIDO CONTENT

DNS DNS
DOMA/N NAME SERVICE; SERVICIO DE NOMBRES DE DOMINIO DOMA / N NAME SERVICE; DOMAIN NAMES SERVICE

POP POP
POINT OF PRESENCE; PUNTO DE PRESENCIA POINT OF PRESENCE; POINT OF PRESENCE

TLD TLD
TOP LEVEL DOMA/N; DOMINIO DE NIVEL SUPERIOR TOP LEVEL DOMA / N; UPPER LEVEL DOMAIN

FTP FTP
FILE TRANSFER PROTOCOL; PROTOCOLO DE TRANSFERENCIA DE FILE TRANSFER PROTOCOL; TRANSFER PROTOCOL OF

ARCHIVOS RECORDS

HTTP HTTP
HYPERTEXT TRANSFER PROTOCOL; PROTOCOLO DE HYPERTEXT TRANSFER PROTOCOL; PROTOCOL OF

TRANSFERENCIA DE HIPERTEXTO HYPERTEXT TRANSFER

MD5 MD5
MESSAGE-DIGEST ALGORITHM 5; ALGORITMO DE RESUMEN DEL MESSAGE-DIGEST ALGORITHM 5; ALGORITHM OF SUMMARY OF THE

MENSAJE 5 MESSAGE 5

URL Url
UNIFORM RESOURCE LOCATOR; LOCALIZADOR UNIFORME DE UNIFORM RESOURCE LOCATOR; LOCATOR UNIFORM OF

RECURSOS RESOURCES

ISP ISP
INTERNET SERVICE PROVIDER; PROVEEDOR DE SERVICIOS DE INTERNET SERVICE PROVIDER; PROVIDER OF SERVICES OF

INTERNET INTERNET

TTL TTL
TIME TO UVE; TIEMPO DE VIDA TIME TO UVE; TIME OF LIFE

OB OB
OPERATING BUSINESS; UNIDAD DE NEGOCIO OPERATING BUSINESS; BUSINESS UNIT

COl Cabbage
CONTENT DISTRIBUTION INTERNETWORKING; INTERCONEXIÓN DE CONTENT DISTRIBUTION INTERNETWORKING; INTERCONNECTION OF

REDES DE DISTRIBUCIÓN DE CONTENIDO CONTENT DISTRIBUTION NETWORKS

TCP TCP
TRANSPORT CONTROL PROTOCOL; PROTOCOLO DE CONTROL DE TRANSPORT CONTROL PROTOCOL; CONTROL PROTOCOL

TRANSPORTE TRANSPORT

PKI PKI
PUBUC KEY INFRASTRUCTURE; INFRAESTRUCTURA DE CLAVE PUBUC KEY INFRASTRUCTURE; INFRASTRUCTURE OF KEY

PÚBLICA PUBLIC

SSL SSL
SECURE SOCKET LAYER; CAPA DE SOCKETSEGURO SECURE SOCKET LAYER; LAYER OF SOCKETS INSURANCE

CA AC
CERTIFICA TE AUTHORITY; AUTORIDAD DE CERTIFICACIÓN CERTIFIES TE AUTHORITY; CERTIFICATION AUTHORITY

NONCE NONCE
NUMBER USED ONCE; NÚMERO USADO UNA VEZ NUMBER USED ONCE; NUMBER USED ONCE

CNONCE CUENT NUMBER USED ONCE; NÚMERO DE CLIENTE USADO UNA VEZ CNONCE ACCOUNT NUMBER USED ONCE; CUSTOMER NUMBER USED ONCE

BIBLIOGRAFÍA BIBLIOGRAPHY

[1] Netflix. En http://www.netflix.com [1] Netflix. At http://www.netflix.com

[2] Hulu. En http://www.hulu.com [2] Hulu. At http://www.hulu.com

[3] Youtube. En http://www.youtube.com [3] Youtube. At http://www.youtube.com

[4] Franks, J., Hallam-Baker, P., Hostetler, J., Lawrence, S., Leach, P., Luotonen, A., y L. Stewart, quot;HTTP Authentication: Basic and Digest Access Authenticationquot;, RFC 2617, junio de 1999. [4] Franks, J., Hallam-Baker, P., Hostetler, J., Lawrence, S., Leach, P., Luotonen, A., and L. Stewart, quot; HTTP Authentication: Basic and Digest Access Authenticationquot ;, RFC 2617, June 1999.

[5] X.509. Disponible en http://en.wikipedia.org/wiki/X.509 [5] X.509. Available at http://en.wikipedia.org/wiki/X.509

[6] Basic Access Authentication. http://en.wikipedia.org/wiki/Basic_access_authentication [6] Basic Access Authentication. http://en.wikipedia.org/wiki/Basic_access_authentication

[7] Digest Access Authentication http://en.wikipedia.org/wiki/Digest_access_authentication [7] Digest Access Authentication http://en.wikipedia.org/wiki/Digest_access_authentication

[8] Cryptographic Nounce. En http://en.wikipedia.org/wiki/Cryptographic_nonce [8] Cryptographic Nounce. At http://en.wikipedia.org/wiki/Cryptographic_nonce

[9] D. Kristol, L. Montulli, quot;HTTP State Management Mechanism.quot; RFC 2109, RFC 2965. [1 O] HTTP Cookie. En http://en.wikipedia.org/wiki/HTTP _cookie [9] D. Kristol, L. Montulli, quot; HTTP State Management Mechanism.quot; RFC 2109, RFC 2965. [1 O] HTTP Cookie. At http://en.wikipedia.org/wiki/HTTP _cookie

[11] SoftLayer Content Delivery Authentication Token Authentication Token, En http://sldn.softlayer.com/wiki/index.php/SoftLayer_Network_ContentDelivery_Authentic ation Token [11] SoftLayer Content Delivery Authentication Token Authentication Token, At http://sldn.softlayer.com/wiki/index.php/SoftLayer_Network_ContentDelivery_Authentic ation Token

[12] Kerberos (Protocol). En http://en.wikipedia.org/wiki/Kerberos_(protocol) OpeniD. En http://en.wikipedia.org/wiki/OpeniD [12] Kerberos (Protocol). At http://en.wikipedia.org/wiki/Kerberos_(protocol) OpeniD. At http://en.wikipedia.org/wiki/OpeniD

[13] RFC 2617-HTTP Authentication: Basic and Digest Access Authentication. En http://tools.ietf.org/html/rfc2617 [13] RFC 2617-HTTP Authentication: Basic and Digest Access Authentication. At http://tools.ietf.org/html/rfc2617

Claims (11)

REIVINDICACIONES 1. one.
2. 2.
3. 3.
4. Four.
5. 5.
Método de autenticación entre un proveedor de servicios de red de distribución de contenido y un propietario de contenido, que comprende: a) establecer una conexión TCP entre un nodo de extremo de dicho proveedor de servicios CON y un servidor de autenticación de dicho propietario de contenido; b) para contenido solicitado por un usuario final a través de dicha conexión TCP establecida, enviar el nodo de extremo una petición de autenticación al servidor de autenticación del propietario de contenido; e) al recibir dicha petición de autenticación, realizar dicho servidor de autenticación una autenticación de dicha petición realizada por un usuario final; Authentication method between a content distribution network service provider and a content owner, comprising: a) establishing a TCP connection between an end node of said CON service provider and an authentication server of said content owner ; b) for content requested by an end user through said established TCP connection, sending the end node an authentication request to the content owner's authentication server; e) upon receiving said authentication request, said authentication server perform an authentication of said request made by an end user; y and d) devolver, dicho servidor de autenticación, una respuesta a dicho nodo de extremo, a través de dicha conexión TCP, indicando si dicha petición de autenticación se ha concedido o no; estando el método caracterizado porque comprende mantener dicha conexión TCP establecida abierta entre el nodo de extremo y el servidor de autenticación del propietario de contenido y realizar peticiones de autenticación de conexión subsiguientes a través de dicha conexión TCP que se mantiene abierta. Método según la reivindicación 1, en el que dichas peticiones de autenticación subsiguientes se realizan para diferentes usuarios finales, realizándose dichas etapas b) a d) para cada una de dichas peticiones de autenticación subsiguientes. Método según la reivindicación 1 ó 2, en el que dicho servidor de autenticación comprende un extremo posterior de autenticación en el propietario de contenido. Método según la reivindicación 3, que comprende enviar, dicho nodo de extremo, actualizaciones de descarga de contenido a dicho servidor de autenticación a través de dicha conexión TCP que se mantiene abierta. Método según cualquiera de las reivindicaciones anteriores, que comprende reconocer, el nodo de extremo, que un contenido solicitado soporta un protocolo de autenticación rápida y realizar dichas etapas a) a d) y dicho mantenimiento de la conexión TCP, sólo una vez que se ha reconocido que dicho contenido soporta dicha autenticación rápida. d) returning, said authentication server, a response to said end node, through said TCP connection, indicating whether said authentication request has been granted or not; the method being characterized in that it comprises keeping said established TCP connection open between the end node and the content owner's authentication server and making subsequent connection authentication requests through said TCP connection that is kept open. Method according to claim 1, wherein said subsequent authentication requests are made for different end users, said steps b) to d) being carried out for each of said subsequent authentication requests. The method of claim 1 or 2, wherein said authentication server comprises a back end of authentication on the content owner. Method according to claim 3, which comprises sending said end node content download updates to said authentication server through said TCP connection that is kept open. Method according to any of the preceding claims, comprising recognizing, the end node, that a requested content supports a fast authentication protocol and performing said steps a) to d) and said maintenance of the TCP connection, only once it has been recognized that said content supports such fast authentication.
6. Método según cualquiera de las reivindicaciones anteriores, que comprende 6. Method according to any of the preceding claims, comprising reconocer, el nodo de extremo, que el contenido solicitado por un usuario final recognize, the end node, that the content requested by an end user requiere autenticación rápida y realizar, el nodo de extremo, dichas etapas a) a requires fast authentication and perform, the end node, said steps a) to d) a través de una conexión TCP ya abierta. d) through an already open TCP connection.
7. 7.
Método según la reivindicación 5 ó 6, que comprende usar contenedores con metadatos asociados para indicar dicho soporte de autenticación rápida para dicho contenido. Method according to claim 5 or 6, comprising using containers with associated metadata to indicate said fast authentication support for said content.
8. 8.
Método según la reivindicación 7, que comprende usar contenedores con metadatos asociados para indicar la dirección IP y el número de puerto del servidor de autenticación. Method according to claim 7, comprising using containers with associated metadata to indicate the IP address and port number of the authentication server.
9. 9.
Método según la reivindicación 7 u 8, que comprende crear, un propietario de contenido que usa la CON del proveedor de servicios, dicho contenedor definiendo metadatos de dicho contenedor o modificando metadatos de dicho contenedor después de cargar contenido en dicho contenedor. Method according to claim 7 or 8, comprising creating, a content owner using the CON of the service provider, said container defining metadata of said container or modifying metadata of said container after loading content in said container.
1O. Método según la reivindicación 8 ó 9, que comprende realizar las siguientes etapas: -obtener, dicho usuario final, acceso a una página web de dicho propietario de contenido usando un mecanismo de autenticación que da como resultado la generación de un testigo de autenticación en el propietario de contenido, enviando este último dicho testigo de autenticación a dicho usuario final; -solicitar, dicho usuario final, contenido enviando a un nodo de extremo un URL que incluye nombre de archivo, un ID de contenedor de un contenedor que soporta autenticación rápida, y dicho testigo de autenticación; -reconocer, dicho nodo de extremo, al recibir dicho URL, dicho contenedor como que soporta autenticación rápida, extraer el testigo recibido y construir un mensaje Petición de Inicio de Descarga con el testigo recibido junto con un ID de sesión generado localmente y una dirección IP de usuario final, y enviar dicho mensaje al servidor de autenticación del propietario de contenido a través de dicha conexión TCP, abriéndola si no estaba ya abierta; y -comprobar, el servidor de autenticación, la validez de dicho mensaje y el testigo recibido usando una combinación de la dirección IP de usuario final y el testigo recibido para autenticar al usuario final, y también usando dicha dirección IP de usuario final e ID de sesión para mantener información de contabilidad del usuario final, y: 1O. Method according to claim 8 or 9, comprising performing the following steps: - obtaining, said end user, access to a web page of said content owner using an authentication mechanism that results in the generation of an authentication token in the content owner, the latter sending said authentication token to said end user; - request, said end user, content by sending to an end node a URL that includes file name, a container ID of a container that supports fast authentication, and said authentication token; -recognize, said end node, upon receiving said URL, said container as supporting fast authentication, extract the received token and construct a Download Start Request message with the received token along with a locally generated session ID and an IP address end user, and send said message to the content owner's authentication server through said TCP connection, opening it if it was not already open; and - checking, the authentication server, the validity of said message and the received token using a combination of the end user IP address and the received token to authenticate the end user, and also using said end user IP address and ID of session to maintain accounting information of the end user, and:
--
si el testigo es válido, el servidor de autenticación devuelve, a través if the token is valid, the authentication server returns, through
de la conexión TCP: the TCP connection:
--
una respuesta de autorización junto con el ID de sesión recibido, de modo que el nodo de extremo pueda identificar la respuesta, y un código HTTP OK que el nodo de extremo debe devolver al usuario final; o an authorization response together with the received session ID, so that the end node can identify the response, and an HTTP OK code that the end node must return to the end user; or
--
un mensaje de respuesta de redirección que contiene un URL de la redirección como carga útil en el mensaje; a redirect response message that contains a redirect URL as a payload in the message;
--
si el testigo no es válido, el servidor de autenticación devuelve, a través de la conexión TCP, una respuesta de no autorizado junto con el ID de sesión recibido, de modo que el nodo de extremo pueda identificar la respuesta, y un código de error HTTP que el nodo de extremo debe devolver al usuario final; -enviar, el nodo de extremo al usuario final solicitante: if the token is invalid, the authentication server returns, via the TCP connection, an unauthorized response along with the received session ID, so that the end node can identify the response, and an error code HTTP that the end node must return to the end user; -send, the end node to the requesting end user:
--
dicho código HTTP OK y el contenido solicitado, o -dicho URL de la redirección junto con un código HTTP; o -dicho código de error HTTP; said HTTP OK code and the requested content, or-said redirect URL along with an HTTP code; or -said HTTP error code;
y si se ha enviado dicho código HTTP OK: -cerrar, el nodo de extremo, la conexión al usuario final una vez que el nodo de extremo ha terminado de enviar el contenido solicitado al mismo; y -enviar, el nodo de extremo, al servidor de autenticación, un mensaje Finalizar Descarga junto con el IP de usuario final, el ID de sesión y el número de bytes enviados al usuario final en la sesión, para que el propietario de contenido mantenga información de contabilidad para sus clientes. and if said HTTP OK code has been sent: -close, the end node, the connection to the end user once the end node has finished sending the requested content to it; and -send, the end node, to the authentication server, a Finish Download message along with the end user IP, session ID, and the number of bytes sent to the end user in the session, for the content owner to keep accounting information for your clients.
11. Método según la reivindicación 1 O, que comprende enviar el contenido como un flujo continuo, y: -enviar periódicamente, dicho nodo de extremo, a dicho servidor de autenticación, a través de dicha conexión TCP, un mensaje Petición Actualizar Progreso que contiene el ID de sesión y el número de bytes enviados al usuario final en el último periodo de tiempo predeterminado, permitiendo así que el propietario de contenido mantenga una contabilidad actualizada de la cantidad de contenido a la que ha accedido un usuario final; -devolver, el servidor de autenticación, en respuesta a dicho mensaje Petición Actualizar Progreso: 11. Method according to claim 1 OR, comprising sending the content as a continuous flow, and: periodically sending said end node to said authentication server, through said TCP connection, a Request Update Progress message containing the session ID and the number of bytes sent to the end user in the last predetermined period of time, thus allowing the content owner to keep an updated accounting of the amount of content that an end user has accessed; -return, the authentication server, in response to said Progress Update Request message:
-un mensaje Autorizar respuesta a dicho nodo de extremo que contiene -a message Authorize reply to said containing end node
el ID de sesión del usuario final enviado en el mensaje Petición Actualizar the end user session ID sent in the Update Request message
Progreso, un código de autorización si autoriza al usuario final a continuar Progress, an authorization code if you authorize the end user to continue
recibiendo contenido de dicho flujo continuo; o receiving content from said stream; or
5 5
-un mensaje Petición Finalizar Flujo Continuo, si el propietario de -a Request to End Continuous Flow message, if the owner of
contenido desea que un usuario final deje de recibir el contenido en flujo content wants an end user to stop receiving streaming content
continuo debido a políticas implementadas por el propietario de contenido, ongoing due to policies implemented by the content owner,
incluyendo dicho mensaje Respuesta Finalizar Flujo Continuo incluye el ID de including said message Answer End Continuous Flow includes the ID of
sesión del usuario final, un desfase en el que debe detenerse el flujo continuo end user session, a lag in which continuous flow must stop
10 10
del usuario final, y una carga útil adjunta como flujo continuo de carga útil que from the end user, and an attached payload as a continuous stream of payload that
debe enviarse al usuario final; it must be sent to the end user;
y si se ha enviado dicho mensaje Petición Finalizar Flujo Continuo: and if the message Request to End Continuous Flow has been sent:
-esperar, el nodo de extremo al recibir dicho mensaje Petición Finalizar -wait, the end node when receiving said message Request Finish
Flujo Continuo, hasta que el usuario final alcance dicho desfase y, una vez Continuous Flow, until the end user reaches this gap and, once
15 fifteen
alcanzado, detener el flujo continuo de contenido y, a continuación, transferir reached, stop the continuous flow of content, and then transfer
dicho flujo continuo de carga útil al usuario final; y said continuous flow of payload to the end user; and
-cerrar, el nodo de extremo, la conexión al usuario final. -close, the end node, the connection to the end user.
12. 12.
Método según la reivindicación 1 O u 11, que comprende: Method according to claim 1 O or 11, comprising:
-enviar, el servidor de autenticación, al nodo de extremo, un mensaje Petición -send, the authentication server, to the end node, a Request message
20 twenty
Abortar, a través de dicha conexión TCP; y Abort, through said TCP connection; and
-cerrar, el nodo de extremo, la conexión TCP al servidor de autenticación y la -close, the end node, the TCP connection to the authentication server and the
conexión al usuario final una vez que ha recibido dicho mensaje Petición connection to the end user once the request message has been received
Abortar. Abort.
ES201130759A 2011-05-12 2011-05-12 AUTHENTICATION METHOD BETWEEN A CONTENT DISTRIBUTION NETWORK SERVICE PROVIDER AND A CONTENT OWNER Withdrawn - After Issue ES2401900B1 (en)

Priority Applications (6)

Application Number Priority Date Filing Date Title
ES201130759A ES2401900B1 (en) 2011-05-12 2011-05-12 AUTHENTICATION METHOD BETWEEN A CONTENT DISTRIBUTION NETWORK SERVICE PROVIDER AND A CONTENT OWNER
PCT/EP2012/058507 WO2012152813A1 (en) 2011-05-12 2012-05-09 A method for authentication between a content delivery network service provider and a content owner
EP12722697.5A EP2708004A1 (en) 2011-05-12 2012-05-09 A method for authentication between a content delivery network service provider and a content owner
BR112013028995A BR112013028995A2 (en) 2011-05-12 2012-05-09 method for authentication between a content release network service provider and a content owner
ARP120101652A AR086341A1 (en) 2011-05-12 2012-05-10 AUTHENTICATION METHOD BETWEEN A PROVIDER OF CONTENT DISTRIBUTION NETWORK SERVICES AND A CONTENT OWNER
CL2013003222A CL2013003222A1 (en) 2011-05-12 2013-11-11 Authentication method between a content distribution network service provider and a content owner that comprises establishing a tcp connection between an end node of said cdn provider and an authentication server of said owner, where it also comprises maintaining said tcp connection established open between the node and the server and make subsequent connection authentication requests through said tcp connection that is kept open.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES201130759A ES2401900B1 (en) 2011-05-12 2011-05-12 AUTHENTICATION METHOD BETWEEN A CONTENT DISTRIBUTION NETWORK SERVICE PROVIDER AND A CONTENT OWNER

Publications (3)

Publication Number Publication Date
ES2401900A2 true ES2401900A2 (en) 2013-04-25
ES2401900R1 ES2401900R1 (en) 2013-07-30
ES2401900B1 ES2401900B1 (en) 2014-03-05

Family

ID=46147423

Family Applications (1)

Application Number Title Priority Date Filing Date
ES201130759A Withdrawn - After Issue ES2401900B1 (en) 2011-05-12 2011-05-12 AUTHENTICATION METHOD BETWEEN A CONTENT DISTRIBUTION NETWORK SERVICE PROVIDER AND A CONTENT OWNER

Country Status (6)

Country Link
EP (1) EP2708004A1 (en)
AR (1) AR086341A1 (en)
BR (1) BR112013028995A2 (en)
CL (1) CL2013003222A1 (en)
ES (1) ES2401900B1 (en)
WO (1) WO2012152813A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411823B (en) * 2015-07-31 2019-07-12 华为技术有限公司 A kind of access control method and relevant device based on CDN
WO2017155514A1 (en) * 2016-03-08 2017-09-14 Hewlett Packard Enterprise Development Lp Action based on advertisement indicator in network packet

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7363361B2 (en) * 2000-08-18 2008-04-22 Akamai Technologies, Inc. Secure content delivery system
JP2004507124A (en) * 2000-04-07 2004-03-04 ムービーリンク エルエルシー Digital content secure licensing system and method
US20060218227A1 (en) * 2003-08-06 2006-09-28 Spear Stephen L Method and apparatus for enabling content provider authentication
US8145908B1 (en) * 2004-10-29 2012-03-27 Akamai Technologies, Inc. Web content defacement protection system
US8453229B2 (en) * 2006-06-14 2013-05-28 Anamorphic Systems, Inc. Push type communications system

Also Published As

Publication number Publication date
CL2013003222A1 (en) 2014-08-01
BR112013028995A2 (en) 2017-02-07
ES2401900R1 (en) 2013-07-30
AR086341A1 (en) 2013-12-04
EP2708004A1 (en) 2014-03-19
ES2401900B1 (en) 2014-03-05
WO2012152813A1 (en) 2012-11-15

Similar Documents

Publication Publication Date Title
EP2945344B1 (en) Token-based validation method for segmented content delivery
TW578417B (en) Unique on-line provisioning of user terminals allowing user authentication
US9380028B2 (en) Proxy server operation
CN1656772B (en) Association of security parameters for a collection of related streaming protocols
US20080320300A1 (en) Authorisation and Authentication
ES2397911B1 (en) METHOD FOR DISTRIBUTION OF CONTENT IN A NETWORK OF DISTRIBUTION OF CONTENT.
US9875371B2 (en) System and method related to DRM
ES2401900B1 (en) AUTHENTICATION METHOD BETWEEN A CONTENT DISTRIBUTION NETWORK SERVICE PROVIDER AND A CONTENT OWNER
CN101471771B (en) Method and system for transmitting and enciphering medium based on P2P network
EP2605477A1 (en) Proxy server operation
EP2792119B1 (en) Proxy server operation
Yang et al. Authorized file-sharing system on P2P networks
Pohly Practical multichannel secret sharing protocols: Architecture, analysis, and application
EP2605479A1 (en) Network terminal validation
EP2605478A1 (en) Data retrieval redirection

Legal Events

Date Code Title Description
FG2A Definitive protection

Ref document number: 2401900

Country of ref document: ES

Kind code of ref document: B1

Effective date: 20140305

FA2A Application withdrawn

Effective date: 20140701