KR20130066534A - 신뢰되는 콘텐츠와의 결합을 위해 대역외 콘텐츠에 액세스하는 것을 제어하기 위한 방법 및 디바이스, 및 연관된 장비들 - Google Patents

신뢰되는 콘텐츠와의 결합을 위해 대역외 콘텐츠에 액세스하는 것을 제어하기 위한 방법 및 디바이스, 및 연관된 장비들 Download PDF

Info

Publication number
KR20130066534A
KR20130066534A KR1020120143693A KR20120143693A KR20130066534A KR 20130066534 A KR20130066534 A KR 20130066534A KR 1020120143693 A KR1020120143693 A KR 1020120143693A KR 20120143693 A KR20120143693 A KR 20120143693A KR 20130066534 A KR20130066534 A KR 20130066534A
Authority
KR
South Korea
Prior art keywords
content
band
trusted
equipment
communication
Prior art date
Application number
KR1020120143693A
Other languages
English (en)
Inventor
스테판느 오노
크리스또프 느만
올리비에 힌
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Publication of KR20130066534A publication Critical patent/KR20130066534A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4622Retrieving content or additional data from different sources, e.g. from a broadcast channel and the Internet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/81Monomedia components thereof
    • H04N21/8126Monomedia components thereof involving additional data, e.g. news, sports, stocks, weather forecasts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

신뢰되는 콘텐츠를 제공하는 관리되는 소스(N2)에 접속되고 대역외 소스(N1)에 결합되는 적어도 하나의 통신 장비(CE)에 의해, 대역외 소스(N1)에 의해 제공되는 대역외 콘텐츠로의 액세스를 제어하기 위한 방법이 의도된다. 이 방법은,
(i) 신뢰되는 콘텐츠와 결합되는 것이 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터를, 통신 장비(CE)로부터 대역외 소스(N1)에 접속되는 네트워크 장비(NE)에 송신하는 단계, 및
(ⅱ) 선택된 신뢰되는 통신 경로(TP) 상에서 신뢰되는 콘텐츠와 결합될 선택된 대역외 콘텐츠를 통신 장비(CE)로부터 네트워크 장비(NE)에 송신할 것을 요청하는 메시지를 송신하고나서, 신뢰되는 콘텐츠와 연관된 정책을 네트워크 장비(NE)의 보안 수단(SM)으로 집행하고나서, 이 선택된 대역외 콘텐츠가 집행되는 정책에 부합하는 경우, 선택된 대역외 콘텐츠를 이 선택된 신뢰되는 통신 경로(TP)를 통해 적어도 상기 선택된 대역외 콘텐츠를 요청하는 통신 장비(CE)에 송신하는 단계를 포함한다.

Description

신뢰되는 콘텐츠와의 결합을 위해 대역외 콘텐츠에 액세스하는 것을 제어하기 위한 방법 및 디바이스, 및 연관된 장비들{METHOD AND DEVICE FOR CONTROLLING ACCESS TO OUT-OF-BAND CONTENTS FOR COMBINATION WITH TRUSTED CONTENTS, AND ASSOCIATED EQUIPMENTS}
본 발명은 적어도 2개의 소스들로부터 콘텐츠를 획득할 수 있는 통신 장비에 관한 것이다.
다음의 설명에서 소스는 통신 네트워크 또는 링크 아니면 전자 장비를 지정한다.
최근에, 상이한 소스들로부터 기원하는 디지털 콘텐츠를 실시간으로 결합(예를 들어 취합)하여 이용될 준비가 된 새로운 디지털 콘텐츠를 생성하는 새로운 기능을 최종 사용자 통신 장비에 제공하는 것이 제안되어 왔다. 이는 특히 예를 들어, 최종 사용자들이 제1 소스(예를 들어 네트워크)로부터 기원하는 브로드캐스트(또는 멀티캐스트) 비디오 프로그램을 스크린(예를 들어 TV 세트 중 하나) 상에서 시청하면서 동시에 브로드캐스팅되지 않으나 제2 소스(예를 들어 인터넷) 상에서 입수 가능한(예를 들어 스트리밍에 의해) 선택된 오디오 프로그램(또는 시퀀스)을 듣을 수 있게 하는 셋톱박스(즉, STB)들의 경우이다. 이 예에서, STB는 두 콘텐츠(즉, 비디오 및 오디오 프로그램들) 모두를 취합(또는 결합)하여 비디오 프로그램 중에서 오디오 데이터가 없는 취합된(결합된) 콘텐츠를 규정한다.
그와 같은 새로운 기능에서는 통신 장비(예를 들어 STB 또는 관리 폰, 또는 그 밖에 관리 태블릿)가 관리되는 소스(서비스 제공자의 브로드캐스트 링크 또는 관리 네트워크와 같이)에 그리고 대역외 소스에 접속되고, 이 소스들로부터 오는 콘텐츠를 동시에 소비할 수 있을 것을 요구한다.
다음에 용어 "대역외 소스"는 관리되지 않는 소스를 칭하고, 용어 "대역외 콘텐츠"는 대역외 소스를 통하여 송신되는 콘텐츠를 칭하고, 용어 "신뢰되는 콘텐츠"는 관리되는 소스(또는 링크 또는 네트워크(브로드캐스트 네트워크 또는 관리 서비스 제공자 네트워크 등))를 통해 송신되는 콘텐츠를 칭한다.
통상적으로, 예를 들어 위성 링크 또는 xDSL 링크를 통해 브로드캐스팅되는 디지털 콘텐츠는 이 링크가 관리되고 신뢰되는 만큼 신뢰되는 것으로 간주될 수 있다. 그러므로, 그와 같은 디지털 콘텐츠는 심지어 최종 사용자 통신 장비가 보호 수단(방화벽과 같은)을 포함하지 않을지라도 상기 장비에 의해 이용될 수 있다. 대조적으로, 대역외 링크, 예를 들어 인터넷을 통해 송신되는 오디오 데이터 또는 자막 데이터 또는 그 외의 더빙 데이터 또는 다른 관련 메타데이터는 대역외 링크가 관리되지 않고 따라서 신뢰되지 않기 때문에 일반적으로 신뢰되지 않은 것으로 간주된다.
당업자에 의해 공지되어 있는 바와 같이, 상기 인용된 통신 장비들의 대부분은 저 레벨 기능(들)(미들웨어, 드라이버들, 운영 체제(OS), 또는 파일 시스템(예를 들어, FAT 또는 NTFS))을 통해 콘텐츠를 이용한다. 대역외 링크(예를 들어 인터넷)를 통해 통신 장비에 송신되는 대역외 콘텐츠는 이 통신 장비의 저레벨 기능들로의 액세스를 제한하려고 하는 브라우저에 의해 관리된다(예를 들어 브라우저는 샌드박싱(sandboxing)을 이용할 수 있다). 신뢰되는 콘텐츠와 대역외 콘텐츠의 취합(또는 결합)은 또한 저레벨 기능에 의존한다. 그러므로, 저레벨 기능들은 통신 장비가 예를 들어 방화벽과 같은 보호 수단을 포함하지 않을 때 대역외 콘텐츠에 노출된다.
블루레이 콘소시엄은 블루레이 장비의 비디오디스크 상에서 작동 중인 인증 서명된 애플리케이션에 기초하여 추가 허가사항들(네트워크 액세스 또는 타이틀들과 같은)을 수여하기 위해 블루레이 장비에 대한 보안 방식을 구현할 것을 제안하였다. 불행하게도, 신뢰되는 콘텐츠는 물리적 비디오디스크로부터 유래되고 스트림으로부터 유래되지 않으므로, 이 해법은 외부 소스(즉, 콘텐츠(들)를 수신하기 위해 전자 장비가 접속되는 소스)로부터 기원하는 콘텐츠 스트림들에 적용될 수 없다.
그러므로, 본 발명의 목적은 보안(또는 보호) 수단이 없는 통신 장비가 다른 신뢰된 콘텐츠와 결합될 대역외 콘텐츠를 신뢰하도록 하는 것이다.
이 목적을 위해, 본 발명은 관리되는 소스(신뢰되는 컨텐츠들을 제공함)에 접속되고 이 대역외 소스와 결합되는 적어도 하나의 통신 장비에 의해 대역외 컨텐츠들(대역외 소스에 의해 제공됨)로의 액세스를 제어하도록 의도된 제어 방법을 명확하게 제안하고, 상기 방법은,
(i) 신뢰되는 콘텐츠와 결합되는 것이 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터를, 통신 장비로부터 대역외 소스에 접속되는 네트워크 장비에 송신하는 단계, 및
(ⅱ) 선택된 신뢰되는 통신 경로 상에서 신뢰되는 콘텐츠와 결합될 선택된 대역외 콘텐츠를 통신 장비로부터 네트워크 장비에 송신할 것을 요청하는 메시지를 송신하고, 그 후 신뢰되는 콘텐츠와 연관된 정책을 네트워크 장비의 보안 수단으로 집행하고, 그 후 이 선택된 대역외 콘텐츠가 집행되는 정책에 부합하는 경우, 이 선택된 대역외 콘텐츠를 선택된 신뢰되는 통신 경로를 통해 선택된 대역외 콘텐츠를 요청하는 적어도 통신 장비(CE)에 송신하는 단계를 포함한다.
그러므로, 통신 장비는 결합(예를 들어 취합) 목적을 위해 보안 기능을 네트워크 장비로 위임할 수 있다.
본 발명에 따른 제어 방법은 개별적으로 또는 결합되어 고려되는 추가 특성들을 포함할 수 있고, 명백하게,
- 단계 (i)에서 신뢰되는 콘텐츠와 연관된 보안 데이터의 적어도 일부는 통신 장비에 의해 이 신뢰되는 콘텐츠를 포함하는 데이터 스트림 내에 포함되는 보조 데이터로부터 추출될 수 있고;
- 변형예로서 또는 보완예로서, 단계 (i) 동안 신뢰되는 콘텐츠와 연관된 보안 데이터의 적어도 일부는 통신 장비의 이용자에 의해 규정될 수 있고;
- 단계 (ⅱ)에서, 보안 수단은 선택된 대역외 콘텐츠가 집행되는 정책에 부합하지 않는 경우 선택된 대역외 콘텐츠를 드롭(drop)하거나 수정할 수 있고;
▷ 단계 (ⅱ)에서 네트워크 장비는 상기 통시 장비에게, 선택된 대역외 콘텐츠가 보안을 이유로 드롭되었거나 수정되었음을 통지하는 메시지를 송신할 수 있고;
- 변형예에서, 단계 (ⅱ) 동안 선택된 대역외 콘텐츠가 집행되는 정책에 부합되지 않는 경우 그리고 선택된 대역외 콘텐츠가 신뢰되지 않은 통신 경로에 액세스하는 통신 장비의 애플리케이션으로부터 요청되는 경우 보안 수단은 선택된 대역외 콘텐츠가 이 신뢰되지 않은 통신 경로를 통해 통신 장비에 송신되는 것을 허가할 수 있고;
- 정책은 적어도 하나의 허가된 콘텐츠 사이트, 적어도 하나의 허가된 자원, 적어도 하나의 금지된 콘텐츠 사이트, 적어도 하나의 금지된 자원, 적어도 하나의 자바스크립트 제한, 적어도 하나의 플래시 제한, 적어도 하나의 웹 애플리케이션 방화벽 룰, 적어도 하나의 침입 검출 룰, 적어도 하나의 가상 패칭(patching) 룰, 허가된 세션 쿠키들의 목록, 및 쿠키들에 대한 적어도 하나의 특정한 제한을 적어도 포함하는 그룹으로부터 선택될 수 있고;
- 집행되는 정책에 부합하는 요청된 대역외 콘텐츠는 또한 상기 정책을 집행했던 네트워크 장비와 결합되는 적어도 하나의 다른 통신 장비에 송신될 수 있고;
▷ 이 송신은 네트워크 장비 및 다른 통신 장비의 전용 포트 사이에 설정된 신뢰되는 경로를 통해 또는 각각의 통신 장비가 속하거나 가입하는 네트워크 도메인을 통하여 발생할 수 있다.
본 발명은, 네트워크 장비(대역외 콘텐츠를 제공하는 대역외 소스에 접속되고 대역외 콘텐츠로의 액세스를 제어하도록 배열되는 보안 수단을 포함하며 통신 장비(신뢰되는 콘텐츠를 제공하는 관리 소스에 접속되고 대역외 소스에 결합됨)에 결합된다)와 연관되도록 의도되고, 통신 장비로부터, 한편으로 신뢰되는 콘텐츠와 결합되는 것이 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터, 및 다른 한편으로 신뢰되는 콘텐츠와 결합할 선택된 대역외 콘텐츠를 선택된 신뢰되는 통신 경로 상에서 송신할 것을 요청하는 메시지를 수신하는 경우, 보안 수단에게 신뢰되는 콘텐츠와 연관된 정책을 집행하라고 명령하고, 선택된 대역외 콘텐츠가 집행되는 정책에 부합하는 경우 선택된 대역외 콘텐츠가 선택된 신뢰되는 통신 경로를 통해 적어도 통신 장비에 송신되도록 배열된다.
본 발명은 또한 대역외 콘텐츠를 제공하는 대역외 소스에 접속되고, 통신 장비(신뢰되는 콘텐츠를 제공하는 관리되는 소스에 접속되고 대역외 소스에 결합됨)에 결합되고, 대역외 콘텐츠로의 액세스를 제어하도록 배열되는 보안 수단을 포함하도록 의도되는 네트워크 장비(또는 노드) 및 상기 소개된 것과 같은 제어 디바이스를 제공한다.
예를 들어, 보안 수단은 제어 디바이스를 포함할 수 있다.
본 발명은 또한 관리되는 소스(신뢰되는 콘텐츠를 제공함) 및 네트워크 장비(대역외 콘텐츠를 제공하는 대역외 소스에 접속되고 대역외 콘텐츠로의 액세스를 제어하도록 배열되는 보안 수단을 포함함)에 접속되도록 의도되는 통신 장비를 제공하고, 상기 통신 장비는,
- 통신 장비에게, 신뢰되는 콘텐츠와 결합하도록 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터를 네트워크 장비에 송신하고, 신뢰되는 콘텐츠와 결합될 선택된 대역외 콘텐츠를 선택된 신뢰되는 통신 경로 상에서 송신할 것을 요청하는 메시지를 네트워크 장비에 송신하라고 명령하고,
- 통신 장비에 의해 요청된 선택된 대역외 콘텐츠를 수신하는 경우, 대역외 콘텐츠를 신뢰되는 콘텐츠와 결합하도록 배열되는 콘텐츠 결합 수단을 포함한다.
본 발명의 다른 특징들 및 장점들은 이후의 상세한 설명들 및 첨부 도면을 조사하면 명확해질 것이고, 여기서 유일한 도면은 신뢰되는 콘텐츠를 제공하는 관리되는 네트워크에 접속되고, 본 발명에 따른 제어 디바이스를 포함하고 대역외 콘텐츠를 제공하는 대역외 네트워크에 접속되는 네트워크 장비(또는 노드)에 접속되는 통신 장비의 예를 개략적이고 기능적으로 도시한다.
첨부 도면은 본 발명을 완성할 뿐만 아니라 필요한 경우 본 발명의 정의에 이바지하는 역할을 한다.
본 발명은 분명하게, 관리되는 소스(N2)에 의해 제공되는 신뢰되는 콘텐츠 및 대역외 소스(N1)에 의해 제공되는 대역외 콘텐츠가 네트워크 장비(또는 노드)(NE)에 의해 신뢰되는 것으로 간주되는 경우, 사실상 보안(보호) 수단이 없을 수 있는 적어도 하나의 통신 장비(CE)가 상기 두 콘텐츠를 결합하는 것을 허용하도록 의도된 제어 방법 및 연관된 제어 디바이스(D)를 제공하는 것이다.
용어 "대역외 소스"는 관리되지 않는 소스를 칭하고, 용어 "대역외 콘텐츠"는 대역외 소스를 통하여 송신되는 콘텐츠를 칭하고, 용어 "신뢰되는 콘텐츠"는 관리되는 소스(즉, 관리되는 링크 또는 관리되는 네트워크(브로드캐스트 네트워크 또는 관리 서비스 제공자 네트워크 등) 또는 그 밖의 관리되는 전자 장비 등)를 통해 송신되는 콘텐츠를 칭한다.
다음의 설명에서 관리되는 소스(N2)는 신뢰되는 콘텐츠를 통신 장비들(CE)로 브로드캐스팅하도록 배열되는 위성 네트워크인 것으로 고려될 것이다. 그러나, 본 발명은 신뢰되는 콘텐츠를 통신 장비들(CE)로 제공할 수 있는 임의의 관리되는 소스와 관련된다. 그러므로, 관리되는 소스(N2)는 또한 관리되는 전자 장비 또는 관리되는 유선 네트워크 또는 인프라구조 또는 그 외의 관리되는 무선 네트워크(예를 들어 모바일 또는 셀룰러 네트워크)일 수 있다.
더욱이, 다음의 설명에서 대역외 소스(N1)는 대역외 콘텐츠를 통신 장비들(CE) 및 네트워크 장비에 송신하도록 배열되는 xDSL 네트워크(예를 들어 ADSL 네트워크)인 것으로 고려될 것이다. 바람직하게도, 그와 같은 xDSL 네트워크(또는 링크)는 인터넷으로의 액세스를 제공한다. 그러나, 본 발명은 신뢰되지 않는 콘텐츠를 통신 장비(CE) 및 네트워크 장비로 제공할 수 있는 임의의 대역외 소스 또는 링크에 관한 것이다. 그러므로, 대역외 소스(N1)는 임의의 광대역 액세스 무선 또는 유선 네트워크 또는 인프라구조일 수 있다.
더욱이, 다음의 설명에서, 도면에 도시된 바와 같이, 통신 장비(CE)는 텔레비전 세트(TS)에 대한 통합 수신기/디코더 역할을 하고 상이한 소스들로부터 기원하는 콘텐츠를 결합(예를 들어 취합)하도록 배열되는 콘텐츠 결합 수단(CCM)을 포함하는 셋톱박스(즉 STB)인 것으로 고려될 것이다. 그러나, 본 발명은 적어도 2개의 소스들(또는 링크들)에 연결될 수 있고 상술한 것과 같은 콘텐츠 결합 수단(CCM)을 포함하는 임의의 통신 장비에 관한 것이다. 그러므로, 통신 장비(CE)는 또한 관리되는 전화 또는 관리되는 태블릿일 수 있다.
도면에 도시된 예에서, 통신 장비(CE)(여기서는 STB)는 네트워크 장비(또는 노드)(NE)를 통해 관리되는 소스(N2)(여기서는 위성 네트워크) 및 대역외 소스(N1)(여기서는 ADSL 네트워크)에 접속된다.
다음의 설명에서 네트워크 장비(또는 노드)(NE)는 대역외 네트워크(N1)에 접속되고 대역외 네트워크(N1)에 의해 제공되는 대역외 콘텐츠로 통신 장비(CE)를 액세스하는 것을 제어하도록 배열되는 보안(또는 보호) 수단(SM)을 포함하는 게이트웨이인 것으로 고려될 수 있다. 그러나, 본 발명은 적어도 하나의 대역외 소스 및 적어도 하나의 통신 장비 사이에서 보안 기능(들)을 가지는 네트워크 액세스 인터페이스의 역할을 할 수 있는 임의의 네트워크 장비(또는 노드)(NE)에 관한 것이다. 그러므로, 네트워크 장비(또는 노드)(NE)는 또한 예를 들어 무선 액세스 포인트 또는 3G 액세스 포인트 또는 그 외의 스위치일 수 있다
더욱이, 다음의 설명에서 보안(또는 보호) 수단(SM)은 방화벽(ISO 계층 2에서부터 ISO 계층 7까지의)인 것으로 고려될 것이다. 그러나, 보안(또는 보호) 정책들을 집행할 수 있는 임의의 다른 유형의 보안(또는 보호) 수단이 이용될 수 있다. 그러므로, 이는 예를 들어 면밀한 침입을 검출할 수 있는 침입 검출 시스템(IDS)일 수 있다.
본 발명은 분명하게 두 단계들 (i) 및 (ⅱ)을 포함하는 제어 방법을 제안한다. 그와 같은 제어 방법은 여기서 게이트웨이(NE)와 연관된 제어 디바이스(D), 및 예를 들어, 통신 장비(CE)(여기서는 셋톱박스)를 갖춘 새로운 유형의 콘텐츠 결합 수단(CCM)에 의해 구현될 수 있다.
도면에 도시된 실시예에서 제어 디바이스(D)는 게이트웨이(NE)의 방화벽(SM) 내에 위치된다. 그러나 제1 변형예에서 제어 디바이스(D)는 게이트웨이(NE) 내에 위치되고 방화벽(SM)과 결합될 수 있고 제2 변형예에서 제어 디바이스(D)는 게이트웨이(NE)에 연결되고 방화벽(SM)과 데이터를 교환할 수 있는 어플라이언스(appliance)일 수 있다.
제어 디바이스(D)는, 게이트웨이(CE)가 아니지만 보안 수단(SM)을 포함하는 대역외 네트워크(N1)의 네트워크 장비와 연관될 수 있음을 주목하는 것이 중요하다. 예를 들어 이 다른 네트워크 장비는 서비스 제공자 백-엔드(back-end)일 수 있다. 이 경우에 통신 장비(CE)는 대역외 네트워크(N1)에 직접적으로 아니면 게이트웨이를 통해 간접적으로 연결될 수 있다.
그러므로, 제어 디바이스(D)는 적어도 부분적으로, 소프트웨어 모듈들로 제작되거나, 또는 전자 회로(들) 또는 하드웨어 모듈들 및 소프트웨어 모듈들을 결합하여 제작될 수 있다(이 경우 제어 디바이스는 하드웨어 및 소프트웨어 모듈들 사이의 상호 연동을 가능하게 하는 소프트웨어 인터페이스들을 더 포함한다).
제어 방법의 제1 단계 (i)는 선택된 신뢰되는 콘텐츠(통신 장비(여기서는 셋톱박스)(CE)에 의해 수신되거나 수신될 것이다)와 결합되는 것이 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터를, 셋톱박스(CE)로부터 대역외 네트워크(N1)에 연결되는 네트워크 장비, 여기서는 게이트웨이(NE)에 송신하는데 있다.
많은 정책들이 이용될 수 있고, 분명히,
- 적어도 하나의 허가된 콘텐츠 사이트 및/또는 자원; 예를 들어 URL들 또는 콘텐츠 또는 파일들의 해시들을 통해, 그리고 허가된 프로토콜들을 포함한다,
- 적어도 하나의 금지된 콘텐츠 사이트 및/또는 자원; 예를 들어 URL들 또는 콘텐츠 또는 파일들의 해시들을 통해, 그리고 허가되지 않은 프로토콜들을 포함한다,
- 적어도 하나의 자바스크립트 제한; 예를 들어 완전히 금지된 자바스크립트(들), 단지 일부 사이트들에 대해서만 금지된 자바스크립트(들), 금지된 어떤 정확한 자바스크립트 명령들,
- 적어도 요청 데이터 오염 수단; 예를 들어 오염되는 데이터 없이 매 X초마다 대역외 데이터가 드롭되어야 하거나 다른 검증들,
- 리치 인터넷 애플리케이션(자바스크립트, 플래시, 실버라이트, HTML5 등)에 관한 적어도 하나의 제한; 예를 들어, 완전히 금지된 애플리케이션(들), 단지 일부 사이트들에 대해서만 금지된 애플리케이션(들), 애플리케이션(들)에 대해 요청되는 정적 검증, 위험하다고 공지되어 금지된 애플리케이션(예를 들어 자신들의 해시를 검사함으로써),
- 적어도 하나의 웹 애플리케이션 방화벽 룰; 예를 들어, 개방 웹 애플리케이션 보안 프로젝트(OWASP) 애플리케이션 보안 검증 표준(ASVS)에 의해 규정되는 현재 또는 최근의 취약성들에 대한 보호 룰(들), 및 특히 교차-사이트 스크립팅(XSS) 취약성들에 대한 보호들,
- 적어도 하나의 침입 검출 룰; 침입 검출 시스템(IDS)에 의해 이용되는 규칙 등,
- 적어도 하나의 가상 패칭 룰, 이 룰은 예를 들어, 특정한 패킷들이 적절하게 패치(STB 취약성들을 이용할 수 있는 패킷들을 제거하기 위한 온 더 플라이(on the fly) 콘텐츠 수정을 위하여)될 때까지 상기 패킷들이 셋톱박스로 향하는 것을 금지하도록 의도된다,
- 허가된 세션 쿠키들의 목록, 및
- 쿠키들에 대한 적어도 하나의 특정한 제한.
이 제1 단계 (i)는 셋톱박스(CE)의 콘텐츠 결합 수단(CCM)에 의해 수행될 수 있다. 더 정확하게, 콘텐츠 결합 수단(CCM)은 자신의 셋톱박스(CE)에게 선택된 신뢰되는 콘텐츠와 연관된 보안 데이터를 게이트웨이(NE)에 송신하라는 명령을 행하도록 배열될 수 있다.
보안 데이터는 적어도 2개의 소스들을 가질 수 있다: 선택된 신뢰되는 콘텐츠를 포함하는 데이터 스트림 또는 셋톱박스(CE).
실제로, 제1 실시예에서, 선택된 신뢰되는 콘텐츠를 포함하는 데이터 스트림은 이 선택된 신뢰되는 콘텐츠와 연관된 보안 데이터의 적어도 일부를 포함하는 보조 데이터를 포함할 수 있다. 이 경우에, 콘텐츠 결합 수단(CCM)은 선택된 신뢰되는 콘텐츠와 연관된 보안 데이터를 자신의 데이터 스트림 내에 포함된 보조 데이터로부터 추출하도록 배열될 수 있다. 이는 전용 필터링 기능에 의해 또는 이용자 요청 시에 행해질 수 있다. 그와 같은 추출은 자동일 수 있다.
예를 들어, 선택된 신뢰되는 콘텐츠가 불어인 오디오 데이터와 연관된 비디오 데이터를 포함하는 TV 프로그램인 경우, 연관된 보안 데이터는 이용자가 텔레비전 스크린 상에서 비디오 데이터를 보고 있을 때 불어와 다른 언어로 오디오 데이터를 들을 수 있도록, 동등한 오디오 데이터를 적어도 하나의 다른 언어(예를 들어 영어 또는 스페인어 또는 독일어)로 제공하는 콘텐츠 사이트를 지정하는 URL일 수 있다. 이용자가 자신의 셋톱박스(CE)의 콘텐츠 결합 수단(CCM)에 의해 제공되는 콘텐츠 결합(예를 들어 취합) 서비스를 선택했을 경우, 이용자에 의해 선택된 신뢰되는 콘텐츠에 대하여 지정된 콘텐츠 사이트에 의해 제안되는 다른 언어들은 텔레비전 세트(TS)의 스크린 상에서 자동으로 디스플레이될 수 있다. 그러므로, 이용자는 콘텐츠 결합 수단(CCM)에 결합되는 셋톱박스(CE)의 인간-기계 인터페이스(또는 이용자 인터페이스)에 의해 이 언어들 중 하나를 선택할 수 있다. 요청된 대역외 콘텐츠는 또한, 예를 들어 메타-데이터 또는 자막들이 공급되는 RSS일 수 있다.
제1 실시예와 결합되는 것이 가능할 수 있는 제2 실시예에서, 셋톱박스(CE)의 이용자는 자신이 선택했던 신뢰되는 콘텐츠에 연관된 보안 데이터의 적어도 일부를 이전에 규정했을 수 있다. 이 목적을 위해, 이용자는 콘텐츠 결합 수단(CCM)에 결합되는 셋톱박스(CE)의 인간-기계 인터페이스(또는 이용자 인터페이스)를 이용할 수 있다.
예를 들어, 선택된 신뢰되는 콘텐츠가 불어의 오디오 데이터와 연관된 비디오 데이터를 포함하는 TV 프로그램인 경우, STB 이용자는 다른 언어(동등한 오디오 데이터를 적어도 하나의 다른 언어(예를 들어 영어 또는 스페인어 또는 독일어)로 제공하는 콘텐츠 사이트를 지정하는 URL과 연관됨)를 목록 내로 선택(제공)할 수 있다. 그리고 나서 이용자가 자신의 셋톱박스(CE)의 콘텐츠 결합 수단(CCM)에 의해 제공되는 콘텐츠 결합 서비스를 선택했을 경우, 상기 이용자가 텔레비전 스크린 상의 비디오 데이터를 보고 있을 때 오디오 데이터를 선택된 언어로 자동으로 들을 수 있도록, 콘텐츠 결합 수단(CCM)은 선택된 언어와 연관된 URL로부터 보안 데이터를 제작한다.
다른 예에서, STB 이용자는 음악 프로그램(하나 또는 수개의 음악 프로그램들을 제공하는 콘텐츠 사이트를 지정하는 URL과 연관됨)을 목록 내로 선택(제공)할 수 있다. 그리고 나서 이용자가 자신의 셋톱박스(CE)의 콘텐츠 결합 수단(CCM)에 의해 제공되는 콘텐츠 결합 서비스를 선택했을 경우, 상기 이용자가 텔레비전 스크린 상의 비디오 데이터를 보고 있을 때 선택된 음악 프로그램을 자동으로 들을 수 있도록, 콘텐츠 결합 수단(CCM)은 선택된 음악 프로그램과 연관된 URL로부터 보안 데이터를 제작한다.
제어 방법의 제2 단계 (ⅱ)의 첫 파트는 지정된 신뢰되는 콘텐츠와 결합될 선택된 대역외 콘텐츠를 선택된 신뢰된 통신 경로(TP) 상에서 송신할 것을 요청하는 메시지를 셋톱박스(CE)로부터 게이트웨이(기술된 예에서, NE)에 송신하는데 있다.
이 제2 단계 (ⅱ)의 제1 파트는 셋톱박스(CE)의 콘텐츠 결합 수단(CCM)에 의해 수행될 수 있다. 더 정확하게, 콘텐츠 결합 수단(CCM)은 rmdml 셋톱박스(CE)에게 자신이 생성했고, 지정된 신뢰되는 콘텐츠와 결합하고자 하는 선택된 대역외 콘텐츠를 선택된 신뢰되는 통신 경로(TP) 상에서 송신할 것을 요청하는 메시지를 게이트웨이(기술된 예에서, NE)에 송신하라고 명령하도록 배열될 수 있다.
대역외 소스(N1)로의 접속(대역외 콘텐츠(들)에 대한 액세스를 위해)이 예를 들어 셋톱박스(CE) 또는 게이트웨이(NE) 또는 그 밖의 대역외 소스(N1)에 의해 ("푸시 모드"에서) 개시될 수 있음을 주목하는 것이 중요하다.
신뢰되는 경로(TP)는 게이트웨이(기술된 예에서, NE) 및 셋톱박스(CE)의 제1 전용 포트 P1(예를 들어, "192.168.1.2/1000") 사이에서 설정되었던 통신 경로이다.
이 시스템은 "디폴트로 거부" 보안 정책을 이용할 수 있는데, 즉, 어떠한 허가되지 않은 대역외 콘텐츠도 신뢰되는 경로(TP)를 통해 셋톱박스(CE)로 플로우되도록 허용되지 않는다.
제어 방법의 제2 단계 (ⅱ)의 제2 파트는 지정된 신뢰되는 콘텐츠와 연관된 정책을 게이트웨이(기술된 예에서, NE)의 보안 수단(SM) 내에 집행하도록 한 후에 이 선택된 대역외 콘텐츠가 이 집행되는 정책에 부합하는 경우 및 부합하는 경우에만, 이 선택된 신뢰되는 통신 경로(TP)를 통해 상기 선택된 대역외 콘텐츠를 셋톱박스(CE)에 송신하는 데에 있다.
제2 단계 (ⅱ)의 이 제2 파트는 게이트웨이(기술된 예에서, NE)의 제어 디바이스(D)에 의해 실행될 수 있다. 더 정확하게, 지정된 신뢰되는 콘텐츠와 결합되는 것이 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터, 및 선택된 신뢰되는 통신 경로(TP) 상에서 지정된 신뢰되는 콘텐츠와 결합될 선택된 대역외 콘텐츠를 송신할 것을 요청하는 메시지를 게이트웨이(NE)가 셋톱박스(CE)로부터 수신할 때마다, 이의 제어 디바이스(D)는 자신의 보안 수단(SM)에게 이 정책을 집행하라고 명령한다. 그러므로, 보안 수단(SM)이 이 정책을 집행하면, 상기 보안 수단(SM)은 대역외 네트워크(N1)를 통해 메시지 내에 지정된, 선택된 대역외 콘텐츠를 요청하고, 상기 보안 수단(SM)은 이 요청된 대역외 콘텐츠를 수신하면 요청된 대역외 콘텐츠가 집행되는 정책에 부합하는지를 검사한다. 긍정인 경우 보안 수단(SM)은 메시지 내에 지정된 선택된 신뢰되는 통신 경로(TP)를 통해 수신되고 검사된 대역외 콘텐츠를 적어도 셋톱박스(CE)에 송신한다.
콘텐츠 결합 수단(CCM)이 검사된 대역외 콘텐츠를 수신하면, 상기 콘텐츠 결합 수단은 이용자가 즐기도록 하기 위해 선택된 신뢰되는 콘텐츠(자기 자신의 오디오 데이터가 없음)와 이 검사된 대역외 콘텐츠를 결합하기 시작한다.
예를 들어 셋톱박스(CE)는 수신되고 검사된 대역외 콘텐츠와 결합된(예를 들어 취합된) 수신된 신뢰되는 콘텐츠를 텔레비전 세트(TS) 또는 자신과 결합된 다른 전자 또는 통신 장비(CE")(예를 들어 전화 또는 태블릿)에 송신할 수 있거나, 또는 상기 셋톱박스(CE)는 수신된 신뢰되는 콘텐츠(아마도 수정됨)를 텔레비전 세트(TS)로 그리고 수신 및 검사된 대역외 콘텐츠를 자신과 결합된 다른 전자 또는 통신 장비(CE")에 송신할 수 있거나, 그렇지 않으면 상기 셋톱박스(CE)는 수신된 신뢰되는 콘텐츠(아마도 수정됨)를 자신과 결합된 다른 전자 또는 통신 장비(CE")로 그리고 수신 및 검사된 대역외 콘텐츠를 텔레비전 세트(TS)에 송신할 수 있음에 주목하는 것이 중요하다.
수신된 대역외 콘텐츠가 집행되는 정책에 부합하지 않거나 집행되는 정책에 부합하도록 수정될 수 없는 경우, 보안 수단(SM)은 그것을 드롭시킬 것이다. 게다가, 보안 수단(SM), 따라서 게이트웨이(NE)는 또한, 요청된 선택된 대역외 콘텐츠가 보안을 이유로 드롭되었음을 통지하기 위해 메시지를 셋톱박스(CE)에 송신할 수 있다. 셋톱박스(CE)의 콘텐츠 결합 수단(CCM)이 그러한 메시지를 수신하면, 상기 콘텐츠 결합 수단(CCM)은 텔레비전 세트(TS)에게 "이 요청된 콘텐츠는 보안을 이유로 드롭되었다"라는 유형의 메시지를 자신의 스크린 상에 디스플레이하고/디스플레이하거나 자신의 스피커들에 의해 유포하라고 명령할 수 있다.
수신된 대역외 콘텐츠가 집행되는 정책에 부합하도록 수정될 수 있는 경우, 대역외 콘텐츠는 보안 수단(SM)에 의해 그에 맞게 수정된다. 게다가, 보안 수단(SM), 따라서 게이트웨이(NE)는 또한, 요청된 선택된 대역외 콘텐츠가 보안을 이유로 수정되었음을 통지하기 위해 메시지를 셋톱박스(CE)에 송신할 수 있다. 셋톱박스(CE)의 콘텐츠 결합 수단(CCM)이 그러한 메시지를 수신하면, 상기 콘텐츠 결합 수단(CCM)은 텔레비전 세트(TS)에게 "이 요청된 콘텐츠는 보안을 이유로 수정되었다"라는 유형의 메시지를 자신의 스크린 상에서 디스플레이하거나 자신의 스피커들에 의해 유포하라고 명령할 수 있다.
변형예에서, 수신된 대역외 컨텐츠가 집행되고 있는 정책에 부합하지 않은 경우 그리고 그것이 이 신뢰되지 않는 통신 경로(UP)에 액세스하는 셋톱박스(CE)의 애플리케이션으로부터 요청되었던 경우, 보안 수단(SM)은 상기 수신된 대역외 컨텐츠가 신뢰되지 않은 통신 경로(UP)를 통하여 적어도 셋톱박스(CE)에 송신되는 것을 허가할 수 있다. 그러한 적용예는 예를 들어 (웹) 브라우저(B) 또는 전용 저장 기능(예를 들어 "샌드박스")일 수 있다. 예를 들어, 이것은 브라우저(B)를 통해 임의의 RSS 피드에 액세스하는 것을 가능하게 할 수 있고, 이것은 신뢰되는 콘텐츠와 함께 그러나 이용자의 허가를 받아야 하는 상기 RSS 피드의 가능한 취합을 배제하지 않는다.
신뢰되지 않은 경로(UP)는 게이트웨이(NE) 및 제1 전용 포트와는 상이한 셋톱박스(CE)의 제2 전용 포트(P2)(예를 들어, "192.168.1.2/5000 또는 192.168.1.2/1234) 사이에서 설정되었던 통신 경로이다.
집행되는 정책에 부합하는 요청된 대역외 콘텐츠는 또한 게이트웨이(NE)(또는 제어 디바이스(D)와 연관되고 이 정책의 집행을 행해왔던 네트워크 장비)에 결합되는 하나 이상의 다른 통신 장비들(CE'k)(설명되는 예에서 k =1 또는 2임)로 또는 게이트웨이(NE)에 접속되거나 제어 디바이스(D)와 연관되고 이 정책의 집행을 행해왔던 네트워크 장비에 결합되는 관리되는 로컬 네트워크 또는 도메인(예를 들어 구내 또는 홈 네트워크)에 송신될 수 있다. 이 송신은 바람직하게도 게이트웨이(NE)(또는 다른 네트워크 장비) 및 각각의 다른 통신 장비의 전용 포트 사이에서 설정되었던 신뢰되는 경로를 통해 발생한다. 이 송신되는 대역외 콘텐츠는 임의의 목적(취합을 포함하나 배타적이지 않음)을 위해 국지적으로 이용될 수 있다.
실제로, 정책은, 대응하는 보안 데이터가 (통신 장비의 관리된 로컬 네트워크 또는 그룹의)하나의 통신 장비(CE)에 의해 게이트웨이(NE)(또는 다른 네트워크 장비)로 이전에 송신되었을지라도, 통신 장비들의 이 관리된 로컬 네트워크 또는 그룹의 임의의 디바이스에 대해서도 적용 가능할 수 있다. 그러므로, 하나의 통신 장비(CE)로부터의 유니캐스트 요청은 멀티캐스트 수신기들에 아마도 혜택을 줄 수 있다. 변형예(인터넷 그룹 관리 프로토콜(IGMP)에 기반하는)에서, 하나의 통신 장비(CE)는 요청을 게이트웨이(NE)(또는 다른 네트워크 장비)에 송신할 수 있고, 따라서, 게이트웨이(NE)는 멀티캐스트 서비스를 개방하고 요청되고 검사된 대역외 스트림을 멀티캐스트 서비스 상에서 플로우한다.
집행되는 정책에 부합하는 요청된 대역외 콘텐츠를 수신한 후에, 셋톱박스(CE)는 수신된 신뢰되는 콘텐츠 및/또는 이 수신된 대역외 콘텐츠를 자신과 결합될 수 있는 하나 이상의 다른 통신 장비들(CE")에 아마도 송신할 수 있음에 주목하는 것 또한 중요하다. 그와 같은 송신은 예를 들어, 포인트 대 포인트(또는 유니캐스트) 모드에서 또는 포인트 대 다중포인트(멀티캐스트) 모드에서 발생할 수 있다. 더욱이, 그와 같은 송신은 애드 혹(ad hoc) 무선 네트워크(예를 들어, 다이렉트 WiFi 또는 블루투스 또는 셋톱박스(CE) 내에서 WiFi 액세스 포인트 기능을 갖는 클라이언트 WiFi)를 통해 또는 인터넷을 통해(예를 들어 피어 투 피어(P2P) 모드에서 또는 제3자 가상 개인 네트워크(VPN)를 통해 또는 클라우드에 기반하여) 실행될 수 있다.
본 발명은 수개의 장점들을 제공하는데, 그 중에서도,
- 본 발명은 통신 장비가 대역외 콘텐츠를 신뢰되는 콘텐츠와 안전하게 결합하는 것을 가능하게 한다. 통신 장비의 신뢰되는 경로의 보호는 이 통신 장비가 접속되고 이미 보안 수단을 내장하고 있는 네트워크 장비(게이트웨이 등) 상에서 실행된다.
- 통신 장비 상에 어떠한 추가 보안 모듈을 제공할 필요가 없다. 그러므로, 기존 통신 장비 아키텍쳐는 여전히 이용 가능하고, 통신 장비는 이미 게이트웨이를 담당하고 있는 네트워크 보안을 처리할 필요가 없고 통신 장비의 성능들에 어떠한 영향도 미치지 않는다:
- 일단 요청된 대역외 콘텐츠가 고려되고 있는 정책을 집행하고 있는 네트워크 장비를 넘어서 (임의의 신뢰되는 경로를 통해) 플로우되는 것이 이미 허용되었다면, 수개의 통신 장비들은 요청된 대역외 콘텐츠에 액세스할 수 있다.
- 본 발명은, 제공된 정책에 부합하는 대역외 콘텐츠에 특권적인 액세스를 제공(예를 들어, 전용 결합 수단을 이용함으로써)하는 동안, 대역외 콘텐츠가 통신 장비들의 특권 기능들에 액세스(예를 들어 디폴트 브라우저를 이용함으로써)하는 것을 방지하는 것이 가능하다;
- 본 발명은 통신 장비들 내에 보안 장비를 제공하는 비용을 제한하고 네트워크 장비에 의해 이미 제공된 보안 수단을 이용한다. 당업자에 의해 공지되어 있는 바와 같이, 보안은 보안을 구현하는 것뿐만 아니라 보안 갱신들을 유지하는 것을 포함하는 프로세스이다. 본 발명은 예를 들어 통신 장비들뿐만 아니라 백-엔드 장비들에도 제공되는 보안 메커니즘에 의존할 수 있다(예를 들어 소위 TR-069를 통해).
본 발명은 상기에 단지 예들로서 상기 기술된 제어 방법, 제어 디바이스, 네트워크 장비(또는 노드) 및 통신 장비의 실시예들로 제한되지 않고, 오히려 본 발명은 이후의 청구항들의 범위 내에서 당업자에 의해 고려될 수 있는 모든 대안의 실시예들을 포함한다.

Claims (14)

  1. 신뢰되는 콘텐츠를 제공하는 관리되는 소스(N2)에 접속되고 대역외 소스(N1)에 결합되는 적어도 하나의 통신 장비(CE)에 의해, 상기 대역외 소스(N1)에 의해 제공되는 대역외 콘텐츠로의 액세스를 제어하기 위한 방법으로서,
    (i) 상기 대역외 소스(N1)에 접속되는 네트워크 장비(NE)에 의해, 통신 장비(CE)로부터 신뢰되는 콘텐츠와 결합되는 것이 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터를 수신하는 단계; 및
    (ⅱ) 상기 네트워크 장비(NE)에 의해, 상기 통신 장비(CE)로부터, 상기 신뢰되는 콘텐츠와 결합될 선택된 대역외 콘텐츠를 선택된 신뢰되는 통신 경로(TP) 상에서 송신할 것을 요청하는 메시지를 수신하고, 그 후 상기 신뢰되는 콘텐츠와 연관된 상기 정책을 상기 네트워크 장비(NE)의 보안 수단(SM) 내에 집행하고, 그 후 상기 선택된 대역외 콘텐츠가 상기 집행되는 정책에 부합하는 경우 상기 선택된 대역외 콘텐츠를 상기 선택된 신뢰되는 통신 경로(TP)를 통해 적어도 대역외 콘텐츠를 요청하는 상기 통신 장비(CE)에 송신하는 단계
    를 포함하는 것을 특징으로 하는 방법.
  2. 제1항에 있어서, 단계 (i)에서 상기 신뢰되는 콘텐츠와 연관된 상기 보안 데이터의 적어도 일부는 상기 통신 장비(CE)에 의해 상기 신뢰되는 콘텐츠를 포함하는 데이터 스트림 내에 포함되는 보조 데이터로부터 추출되는 것을 특징으로 하는 방법.
  3. 제1항 또는 제2항에 있어서, 단계 (i)에서 상기 신뢰되는 콘텐츠와 연관된 상기 보안 데이터의 적어도 일부는 상기 통신 장비(CE)의 이용자에 의해 규정되는 것을 특징으로 하는 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서, 단계 (ⅱ)에서, 상기 보안 수단(SM)은 상기 선택된 대역외 콘텐츠가 상기 집행되는 정책에 부합하지 않는 경우 상기 선택된 대역외 콘텐츠를 드롭하거나 수정하는 것을 특징으로 하는 방법.
  5. 제4항에 있어서, 단계 (ⅱ)에서 상기 네트워크 장비(NE)는 상기 통신 장비(CE)에, 상기 선택된 대역외 콘텐츠가 보안을 이유로 드롭되었거나 수정되었음을 통지하는 메시지를 송신하는 것을 특징으로 하는 방법.
  6. 제1항 내지 제3항 중 어느 한 항에 있어서, 단계 (ⅱ)에서 상기 선택된 대역외 콘텐츠가 상기 집행되는 정책에 부합되지 않는 경우 그리고 상기 선택된 대역외 콘텐츠가 신뢰되지 않은 통신 경로(UP)에 액세스하는 상기 통신 장비(CE)의 애플리케이션으로부터 요청되는 경우, 상기 보안 수단(SM)은 상기 선택된 대역외 콘텐츠가 상기 신뢰되지 않은 통신 경로(UP)를 통해 상기 통신 장비(CE)에 송신되는 것을 허가하는 것을 특징으로 하는 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 정책은 적어도 하나의 허가된 콘텐츠 사이트, 적어도 하나의 허가된 자원, 적어도 하나의 금지된 콘텐츠 사이트, 적어도 하나의 금지된 자원, 적어도 하나의 자바스크립트 제한, 적어도 하나의 플래시 제한, 적어도 하나의 웹 애플리케이션 방화벽 룰, 적어도 하나의 침입 검출 룰, 적어도 하나의 가상 패칭 룰, 허가된 세션 쿠키들의 목록, 및 쿠키들에 대한 적어도 하나의 특정한 제한을 적어도 포함하는 그룹으로부터 선택되는 것을 특징으로 하는 방법.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서, 상기 집행되는 정책에 부합하는 상기 요청된 대역외 콘텐츠는 또한 상기 정책을 집행했던 상기 네트워크 장비(NE)에 결합되는 적어도 하나의 다른 통신 장비에 송신되는 것을 특징으로 하는 방법.
  9. 제8항에 있어서, 상기 송신은 상기 네트워크 장비(NE) 및 상기 다른 통신 장비의 전용 포트 사이에 설정된 신뢰되는 경로를 통해 발생되는 것을 특징으로 하는 방법.
  10. 제8항에 있어서, 상기 송신은 각각의 통신 장비가 속하거나 가입하는 네트워크 도메인을 통하여 발생하는 것을 특징으로 하는 방법.
  11. 대역외 콘텐츠를 제공하는 대역외 소스(N1)에 접속되고, 상기 대역외 콘텐츠로의 액세스를 제어하도록 배열되는 보안 수단(SM)을 포함하며, 신뢰되는 콘텐츠를 제공하는 관리 소스(N2)에 접속되고 상기 대역외 소스(N1)에 결합되는 통신 장비(CE)에 결합되는 네트워크 장비(NE)에 대한 제어 디바이스(D)로서,
    상기 통신 장비(CE)로부터, i) 신뢰되는 콘텐츠와 결합되는 것이 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터, 및 ⅱ) 상기 신뢰되는 콘텐츠와 결합될 선택된 대역외 콘텐츠를 선택된 신뢰되는 통신 경로(TP) 상에서 송신할 것을 요청하는 메시지를 수신하는 경우, 상기 보안 수단(SM)에게 상기 신뢰되는 콘텐츠와 연관된 정책을 집행하라고 명령하고, 상기 선택된 대역외 콘텐츠가 집행되는 정책에 부합하는 경우 상기 선택된 대역외 콘텐츠가 상기 선택된 신뢰되는 통신 경로(TP)를 통해 적어도 상기 통신 장비(CE)에 송신되도록 배열되는 것을 특징으로 하는 제어 디바이스.
  12. 대역외 콘텐츠를 제공하는 대역외 소스(N1)에 접속되며, 신뢰되는 콘텐츠를 제공하는 관리되는 소스(N2)에 접속되고 상기 대역외 소스(N1)에 결합되는 통신 장비(CE)에 결합되며, 상기 대역외 콘텐츠로의 액세스를 제어하도록 배열되는 보안 수단(SM)을 포함하도록 의도되는 네트워크 장비(NE)로서, 제11항에 따른 제어 디바이스(D)를 더 포함하는 것을 특징으로 하는 네트워크 장비.
  13. 제12항에 있어서, 상기 보안 수단(SM)은 상기 제어 디바이스(D)를 포함하는 것을 특징으로 하는 네트워크 장비.
  14. 신뢰되는 콘텐츠를 제공하는 관리되는 소스(N2)에 접속되며, 대역외 콘텐츠를 제공하는 대역외 소스(N1)에 접속되고 상기 대역외 콘텐츠로의 액세스를 제어하도록 배열되는 보안 수단(SM)을 포함하는 네트워크 장비(NE)에 접속되도록 의도되는 통신 장비(CE)로서, 상기 통신 장비는,
    - 상기 통신 장비(CE)에게, 신뢰되는 콘텐츠와 결합하도록 허용되는 대역외 콘텐츠를 규정하는 정책을 나타내는 보안 데이터를 상기 네트워크 장비(NE)에 송신하고, 상기 신뢰되는 콘텐츠와 결합될 선택된 대역외 콘텐츠를 선택된 신뢰되는 통신 경로(TP) 상에서 송신할 것을 요청하는 메시지를 상기 네트워크 장비(NE)에 송신하라고 명령하고,
    - 상기 통신 장비(CE)에 의해 상기 요청된 선택된 대역외 콘텐츠를 수신하는 경우, 상기 대역외 콘텐츠를 상기 신뢰되는 콘텐츠와 결합하도록 배열되는
    콘텐츠 결합 수단(CCM)을 포함하는 것을 특징으로 하는 통신 장비.
KR1020120143693A 2011-12-12 2012-12-11 신뢰되는 콘텐츠와의 결합을 위해 대역외 콘텐츠에 액세스하는 것을 제어하기 위한 방법 및 디바이스, 및 연관된 장비들 KR20130066534A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP11306637.7A EP2605468A1 (en) 2011-12-12 2011-12-12 Method and device for controlling access to out-of-band contents for combination with trusted contents, and associated equipments
EP11306637.7 2011-12-12

Publications (1)

Publication Number Publication Date
KR20130066534A true KR20130066534A (ko) 2013-06-20

Family

ID=47290839

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120143693A KR20130066534A (ko) 2011-12-12 2012-12-11 신뢰되는 콘텐츠와의 결합을 위해 대역외 콘텐츠에 액세스하는 것을 제어하기 위한 방법 및 디바이스, 및 연관된 장비들

Country Status (5)

Country Link
US (1) US20130152161A1 (ko)
EP (2) EP2605468A1 (ko)
JP (1) JP2013127786A (ko)
KR (1) KR20130066534A (ko)
CN (1) CN103166955A (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8601102B1 (en) * 2006-05-31 2013-12-03 Juniper Networks, Inc. Dynamic access management for network security
US9417922B2 (en) 2012-12-03 2016-08-16 Cutting Edge Consulting Associates, Inc. Systems and methods for protecting an identity in network communications
US10003466B1 (en) * 2015-09-15 2018-06-19 Amazon Technologies, Inc. Network traffic with credential signatures
GB2545397A (en) * 2015-12-07 2017-06-21 Fujitsu Ltd A communications system, user apparatus, content source and method for secure content delivery
US10516650B2 (en) * 2017-09-13 2019-12-24 Netabstraction, Inc. Dynamic, user-configurable virtual private network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8302127B2 (en) * 2000-09-25 2012-10-30 Thomson Licensing System and method for personalized TV
CN102057381A (zh) * 2008-06-04 2011-05-11 三星电子株式会社 收发根据年龄限制而经过过滤的内容的方法以及装置
US10524021B2 (en) * 2008-12-22 2019-12-31 Maarten Boudewijn Heilbron Method and system for retrieving online content in an interactive television environment
US9357269B2 (en) * 2009-11-17 2016-05-31 Broadcom Corporation Method and system for providing secure handling of information for complete internet anywhere

Also Published As

Publication number Publication date
EP2605468A1 (en) 2013-06-19
EP2605474A1 (en) 2013-06-19
JP2013127786A (ja) 2013-06-27
CN103166955A (zh) 2013-06-19
US20130152161A1 (en) 2013-06-13

Similar Documents

Publication Publication Date Title
US11455376B2 (en) Apparatus and methods for content distribution to packet-enabled devices via a network bridge
US20210034346A1 (en) Multiple Virtual Machines in a Mobile Virtualization Platform
US8843953B1 (en) Methods and apparatus for providing parental or guardian control and visualization over communications to various devices in the home
TWI633781B (zh) 媒體平台中之節目及器件類別授權
US20180373847A1 (en) Broadcast DRM License Support for Receive Only Devices
JP7460698B2 (ja) 情報処理装置、情報処理方法およびプログラム
US8539555B2 (en) Method and apparatus for authorization-dependent access to multimedia contents, and a system having the apparatus
KR20130066534A (ko) 신뢰되는 콘텐츠와의 결합을 위해 대역외 콘텐츠에 액세스하는 것을 제어하기 위한 방법 및 디바이스, 및 연관된 장비들
US10673724B2 (en) Application peering
JP5678367B2 (ja) 契約者機器から得られる情報を使用することによりネットワーク・サービスへのアクセスを承認するためのシステムおよび方法
WO2016095628A1 (zh) 视频终端及其限制视频播放的方法和系统
CN104093164A (zh) 无线网接入的控制方法及其系统
US8824372B2 (en) Location based authentication for online services
Ghiglieri I know what you watched last sunday-a new survey of privacy in HbbTV
CN112217910B (zh) 视频服务访问方法、装置、网络设备和存储介质
WO2016180223A1 (zh) 一种无线通信设备的管理方法及无线通信设备
US20230084349A1 (en) Network Restriction Circumvention Management
KR20110059919A (ko) 웹 리다이렉트를 이용한 비정상 행위 단말의 제한을 위한 네트워크 접속 관리 방법 및 장치
Claverie et al. Smart TVs: Security of DVB-T
US9832593B2 (en) Accessing data services while roaming
Tian et al. Cast Away: On the Security of DLNA Deployments in the SmartTV Ecosystem
CN105578466A (zh) 一种空中娱乐文件传输方法
Liu et al. A video service cloud platform with multi-network convergence application

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid