TW201644252A - 用於經由代理伺服器之安全視訊、影像、音訊及其他媒體訊務之接收及傳輸最佳化的系統及方法 - Google Patents
用於經由代理伺服器之安全視訊、影像、音訊及其他媒體訊務之接收及傳輸最佳化的系統及方法 Download PDFInfo
- Publication number
- TW201644252A TW201644252A TW105115243A TW105115243A TW201644252A TW 201644252 A TW201644252 A TW 201644252A TW 105115243 A TW105115243 A TW 105115243A TW 105115243 A TW105115243 A TW 105115243A TW 201644252 A TW201644252 A TW 201644252A
- Authority
- TW
- Taiwan
- Prior art keywords
- media
- server
- proxy server
- payload
- credential
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一代理伺服器可自一使用者端點接收至一第二伺服器之一安全連接請求。該安全連接請求可包括為該端點註冊之一全域唯一識別符。該代理伺服器可自該使用者端點攔截與該第二伺服器之一第一安全交握。該代理伺服器可基於該經攔截第一安全交握而起始與該第二伺服器之一第二安全交握。該代理伺服器可自該第二伺服器攔截包括具有後設資料之一伺服器憑證之一第二安全交握回應。該代理伺服器可使用該後設資料產生一第二憑證,且用與為該端點註冊之該全域唯一識別符相關聯之一第一憑證授權簽章該第二憑證。該代理伺服器可將用該第二憑證保全的對該安全連接請求之一經修改回應傳輸至該使用者端點以建立一經代理安全連接。
Description
本發明之實施例係關於網路最佳化,且更特定而言係關於經由一代理伺服器之安全視訊、影像、音訊及其他媒體訊務之接收及傳輸最佳化的領域。
終端使用者經由運營商網路(諸如DOCSIS、乙太網路、固定線路、WIFI、3G及4G LTE基礎結構)之影像及視訊之下載及上傳對運營商呈現一日益增加之挑戰,此乃因有限數目個鏈路變得愈來愈飽和。用於減少網路之封包核心上之負載之一常見技術係在一存取點附近快取常用內容,藉此替代一直延伸穿過核心網路而在本端服務對內容之請求,如在美國專利第7,770,198號中所教示。減少網路之最後一英里側上之負載之其他技術包含TCP窗口最佳化(諸如在美國專利8,639,835中所教示),及壓縮一封包核心與一使用者端點或手機之間的文字訊務(如在美國專利8,792,408中所教示)。
此項技術中已知使影像及視訊下載最佳化所特有之數種技術,諸如在發送通過網路之最後一英里之前內容之即時轉碼及碼率轉換(transrating),如在美國專利6,628,300中所教示。此等技術或此項技
術中之任何其他技術中無技術解決使影像及視訊上傳最佳化之問題。此外,當此訊務用諸如HTTPS或SSL之協定保全時,此等技術中無技術解決使影像及視訊下載最佳化之問題,亦不解決使上傳最佳化之問題。此訊務包括經由大多數運營商網路轉送之一不斷增長百分比之訊務且對希望使此訊務流最佳化之運營商呈現一嚴峻挑戰。
雖然存在用於代理HTTPS及SSL訊務之眾所周知技術(諸如在美國專利8,214,635(‘635專利)中所教示之技術),但此等技術係針對於訊務之深度封包檢驗及篩選目的,而非媒體最佳化。此外,此等技術曝露嚴重安全風險。
在‘635專利中,在代理伺服器/防火牆與所有使用者端點之間共用一共同根憑證授權。此對於一企業處之情形係有用的,其中為管理順應性,必須檢驗並記錄所有訊務,包含用HTTPS及SSL保全之訊務,且企業維持對使用者端點之實體存取控制之某一方式。然而,擁有此等使用者端點中之任何單個端點之一所判定執行者可在其擁有時對所共用根憑證授權執行密碼分析。一旦自此憑證授權獲得私密金鑰,則來自代理伺服器/防火牆後之網路內之所有使用者端點的所有安全訊務皆可被攔截,從而呈現一嚴重安全風險。
某一家長控制軟體及廣告插入軟體使用類似方法且呈現類似安全風險。實際上,此等風險可比洩漏一單個代理伺服器後之所有端點更嚴重,此乃因諸多前述方法及代理伺服器使用一共同供應商程式庫,其係相同根憑證授權。在此等情形中,一旦獲得一憑證授權之私密金鑰,便可洩漏具有使用單個程式庫之任一軟體之所有端點。
與本發明之申請同時,媒體中揭示並報告了數個此等事件(「Lenovo Pulls Laptop App After Security Warnings」,華爾街日報,2015年2月19日,及美國國土安全部,US-CERT警告TA15-051A,「Lenovo Superfish Adware Vulnerable to HTTPS Spoofing」,2015年2
月20日)。
藉由提供一種用於使與一代理伺服器通信之一使用者端點經由該代理伺服器而自一第二伺服器接收影像、視訊、音訊或其他媒體資料之系統及方法來補救上文所闡述問題且在此項技術中達成一技術解決方案。該代理伺服器可自一使用者端點接收至一第二伺服器之一安全連接請求。該安全連接請求可包括為該端點註冊之一全域唯一識別符。該代理伺服器可起始與該第二伺服器之一第一安全交握。該代理伺服器可自該第二伺服器接收包括具有後設資料之一伺服器憑證之一第一安全交握回應。該代理伺服器可使用該後設資料產生一第二憑證,且用與為該端點註冊之該全域唯一識別符相關聯之一第一憑證授權簽章該第二憑證。該代理伺服器可將用該第二憑證保全的對該安全連接請求之一經修改回應傳輸至該使用者端點以建立一經代理安全連接。
在一實例中,在接收至該第二伺服器之該安全連接請求之前,該代理伺服器可接收該第一憑證授權。該第一憑證授權亦可安裝於該使用者端點上。可使用該全域唯一識別符產生該第一憑證授權。該代理伺服器可接收一註冊碼,該註冊碼基於用作一主關鍵字之該全域唯一識別符而將該第一憑證授權與其他憑證授權區分開。
在一實例中,該代理伺服器可由該使用者端點自該第二伺服器請求一媒體資產且使該媒體資產之接收最佳化。因此,該代理伺服器可自該使用者端點攔截來自該使用者端點既定用於該第二伺服器之一媒體接收請求,該媒體接收請求包括一有效負載。該代理伺服器可使用該第二憑證之一私密金鑰來解密該有效負載。該代理伺服器可藉由用該伺服器憑證之該公開金鑰加密該有效負載而形成至該第二伺服器之一媒體請求。該代理伺服器可將該經加密有效負載轉發至該第二伺
服器。
在一實例中,該代理伺服器可自該第二伺服器接收一經加密媒體接收回應,該經加密媒體接收回應含有用所產生第二伺服器憑證私密金鑰加密之媒體資料。該代理伺服器可用該第二伺服器憑證之該公開金鑰來解密該媒體接收回應以獲得一媒體接收有效負載。該代理伺服器可傳遞該媒體接收有效負載通過該代理伺服器之媒體預篩選處理器以獲得一經預篩選有效負載。該代理伺服器可用該第二憑證私密金鑰來加密該經預篩選有效負載以形成一經預篩選媒體接收回應。該代理伺服器可將該經預篩選媒體接收回應轉發至該使用者端點。
在一實例中,該代理伺服器傳遞該媒體接收有效負載通過該媒體預篩選處理器可包括媒體預篩選處理器執行以下各項中之至少一者:解析度減小、動態範圍減小、圖框速率減小、空間高頻率減小、時空高頻率減小、協定標頭之熵寫碼或者媒體、音訊、影像或視訊有效負載之DCT或小波係數重新量化。
在一實例中,在接收一第一安全連接之前,該代理伺服器可接收併入一媒體預篩選處理器或與其通信以產生經預篩選媒體、音訊、影像或視訊有效負載之一組態。
在一實例中,規則或政策可至少基於在該使用者端點上存在該等憑證授權中之對應者。
在一實例中,該代理伺服器可使用網際網路內容調適協定(ICAP)將該媒體接收有效負載傳達至一轉碼或一碼率轉換服務。在一實例中,該代理伺服器使用非同步應用程式設計介面(API)呼叫將該媒體接收有效負載傳達至一轉碼或一碼率轉換服務。
藉由提供一種用於使與一代理伺服器通信之一使用者端點經由該代理伺服器而將媒體、音訊、影像或視訊資料投遞至一第二伺服器之系統及方法來補救上文所闡述問題且在此項技術中達成一技術解決
方案。
該代理伺服器可自一使用者端點接收至一第二伺服器之一安全連接請求。該安全連接請求可包括為該端點註冊之一全域唯一識別符。該代理伺服器可起始與該第二伺服器之一第一安全交握。該代理伺服器可自該第二伺服器接收包括具有後設資料之一伺服器憑證之一第一安全交握回應。該代理伺服器可使用該後設資料產生一第二憑證,且用與為該端點註冊之該全域唯一識別符相關聯之一第一憑證授權簽章該第二憑證。該代理伺服器可將用該第二憑證保全的對該安全連接請求之一經修改回應傳輸至該使用者端點以建立一經代理安全連接。
在一實例中,在接收至該第二伺服器之該安全連接請求之前,該代理伺服器可接收該第一憑證授權。該第一憑證授權亦可安裝於該使用者端點上。可使用該全域唯一識別符產生該第一憑證授權。該代理伺服器可接收一註冊碼,該註冊碼基於用作一主關鍵字之該全域唯一識別符而將該第一憑證授權與其他憑證授權區分開。
在一實例中,該代理伺服器可將藉由一使用者端點之一媒體資產投遞至一第二伺服器且使該媒體資產之傳輸最佳化。因此,該代理伺服器可自該使用者端點攔截經由該經代理安全連接而至該第二伺服器之一媒體發送請求,該媒體發送請求包括一經預篩選媒體有效負載。該代理伺服器可使用該第二憑證之一私密金鑰來解密該有效負載。該代理伺服器可傳遞該經預篩選媒體有效負載通過後篩選處理器以獲得一經後篩選媒體有效負載。該代理伺服器可用所產生憑證私密金鑰來加密該經後篩選媒體有效負載以形成一第二媒體投遞請求。該代理伺服器可將該經加密第二媒體投遞請求轉發至該第二伺服器。
在一實例中,該代理伺服器傳遞該經預篩選媒體有效負載通過該後篩選處理器可包括該後篩選處理器在音頻、DCT、影像空間、色
域或視訊時空域中之任一者中執行超解析度或非線性內插方法中之一或多者。
在一實例中,該代理伺服器可使用ICAP協定將該經預篩選媒體接收有效負載傳達至該後篩選處理器。在一實例中,該代理伺服器可使用非同步API呼叫將該經預篩選媒體接收有效負載傳達至該後篩選處理器。
100‧‧‧使用者端點/系統/端點
101‧‧‧主機系統
102‧‧‧憑證授權
105‧‧‧計算平台
115‧‧‧數位音訊、數位影像或視訊擷取系統/相機裝置或儲存裝置
117‧‧‧數位音訊、影像或視訊儲存器件/相機裝置或儲存裝置
120‧‧‧資料源
125‧‧‧處理裝置
130a-130n‧‧‧中央處理單元
135‧‧‧主機記憶體
140‧‧‧影像資料緩衝區
145‧‧‧圖形處理單元記憶體
150‧‧‧圖形處理單元
155‧‧‧影像資料緩衝區
160‧‧‧預篩選處理器
170‧‧‧編碼器
175‧‧‧傳輸器
180‧‧‧私用網路
185‧‧‧接收器
190‧‧‧解碼器
195‧‧‧後篩選處理器
197‧‧‧影像資料緩衝區
198‧‧‧顯示或音訊裝置/顯示器
199‧‧‧儲存器件
200‧‧‧代理伺服器/系統
202‧‧‧憑證授權/第二憑證
205‧‧‧私用網路
210‧‧‧電腦平台/計算平台
215‧‧‧主機系統
217‧‧‧處理裝置
220‧‧‧接收器
225‧‧‧解碼器
230‧‧‧圖形處理單元
235‧‧‧圖形處理單元記憶體
240‧‧‧後篩選處理器
240a-240n‧‧‧中央處理單元
250‧‧‧主機記憶體
252‧‧‧影像資料緩衝區
255‧‧‧影像資料緩衝區
260‧‧‧編碼器
265‧‧‧傳輸器
270‧‧‧公用網路
272‧‧‧接收器
274‧‧‧解碼器
276‧‧‧影像資料緩衝區
278‧‧‧影像資料緩衝區
280‧‧‧預篩選處理器/媒體預篩選處理器
285‧‧‧編碼器
290‧‧‧傳輸器
400‧‧‧協定圖式
410‧‧‧使用者端點/端點
415‧‧‧第二伺服器
420‧‧‧代理伺服器/閘道器代理伺服器
425‧‧‧安全連接請求
430‧‧‧應答
435‧‧‧第一安全交握
440‧‧‧第二安全交握
445‧‧‧第二安全交握回應/第二伺服器憑證
450‧‧‧第二安全交握/經修改回應
455‧‧‧媒體接收請求
460‧‧‧媒體請求
465‧‧‧經加密媒體接收回應/媒體接收回應
470‧‧‧媒體接收有效負載
475‧‧‧媒體預篩選處理器
480‧‧‧經預篩選有效負載
485‧‧‧經預篩選媒體接收回應
487‧‧‧經預篩選媒體有效負載
490‧‧‧後篩選與復原
492‧‧‧經後篩選媒體
495‧‧‧再現裝置
700‧‧‧協定圖式/相機裝置或儲存裝置
705‧‧‧媒體資產
710‧‧‧預篩選服務
715‧‧‧經預篩選媒體資產
720‧‧‧使用者端點/端點
725‧‧‧第二伺服器
730‧‧‧代理伺服器
735‧‧‧安全連接請求
740‧‧‧應答
745‧‧‧第一安全交握
750‧‧‧第二安全交握
755‧‧‧第二安全交握回應
760‧‧‧經修改回應/所產生憑證/所產生第二憑證
765‧‧‧媒體投遞/媒體投遞請求
770‧‧‧媒體有效負載
775‧‧‧轉碼與後篩選服務
780‧‧‧經後篩選媒體有效負載
785‧‧‧第二媒體投遞請求
1000‧‧‧電腦系統
1002‧‧‧處理裝置/處理器
1004‧‧‧主記憶體
1006‧‧‧靜態記憶體
1008‧‧‧匯流排
1010‧‧‧視訊顯示單元
1012‧‧‧文數輸入裝置
1014‧‧‧游標控制裝置
1016‧‧‧資料儲存裝置/驅動單元
1020‧‧‧信號產生裝置
1022‧‧‧網路介面裝置
1024‧‧‧電腦可讀媒體/電腦可讀儲存媒體
本發明可自結合附圖所考量之下文所呈現之實例之詳細說明更易於理解,且在附圖中相似元件符號係指類似元件。
圖1係本發明之實例可在其中操作的經組態以與一代理伺服器通信之一實例性使用者端點的一方塊圖。
圖2係本發明之實例可在其中操作的圖解說明經組態以與使用者端點及一第二伺服器(未展示)通信之一實例性代理伺服器的一方塊圖。
圖3係分別圖解說明與圖1及圖2之系統相關聯的用以使系統準備建立後續經代理安全連接之一方法之一實例之一流程圖。
圖4係本發明之實例可在其中操作之一協定圖式,該協定圖式圖解說明表示與一代理伺服器通信之一使用者端點經由該代理伺服器而自一第二伺服器接收媒體、音訊、影像或視訊資料之一實例性媒體請求及接收資料流。
圖5係本發明之實例可在其中操作之一流程圖,該流程圖圖解說明用於使與一代理伺服器通信之使用者端點經由該代理伺服器而自一第二伺服器接收媒體、音訊、影像或視訊資料之一方法之一實例。
圖6係本發明之實例可在其中操作之一流程圖,該流程圖圖解說明用於由使用者端點自第二伺服器請求一媒體資產且使該媒體資產之接收最佳化之一方法之一實例。
圖7係本發明之實例可在其中操作之一協定圖式,該協定圖式圖解說明表示與一代理伺服器通信之一使用者端點將媒體、音訊、影像或視訊資料自該使用者端點經由該代理伺服器傳輸至一第二伺服器之一實例性媒體投遞與傳輸資料流。
圖8係本發明之實例可在其中操作之一流程圖,該流程圖圖解說明用於使與一代理伺服器通信之使用者端點將媒體、音訊、影像或視訊資料經由閘道器代理伺服器投遞至一第二伺服器之一方法之一實例。
圖9係本發明之實例可在其中操作之一流程圖,該流程圖圖解說明用於將一媒體資產由一使用者端點投遞至一第二伺服器且使該媒體資產之傳輸最佳化之一方法之一實例。
圖10圖解說明呈一電腦系統之實例性形式之一機器之一圖解性表示,在該電腦系統內可執行用於致使該機器執行本文中所論述之方法中之任何一或多者之一指令集。
應理解,附圖係出於圖解說明本發明之概念之目的且可不按比例。
本發明之實施例提供一種用於經由代理伺服器之安全媒體、音訊、視訊及影像訊務(其同時對上游服務(諸如媒體分配器、相片及視訊共用應用程式、音訊串流化及社交網路服務)透明)之接收及傳輸最佳化之系統及方法。
在以下闡述中,陳述了眾多細節。然而,熟習此項技術者將顯而易見,可在無此等特定細節之情況下實踐本發明。在某些例項中,以方塊圖形式而非詳細地展示眾所周知之結構及裝置以便避免使本發明之實例模糊。
圖1係本發明之實例可在其中操作的經組態以與一代理伺服器
200通信之一實例性使用者端點100的一方塊圖。在一項實例中,使用者端點100可經組態以接收媒體、音訊、影像、視訊或其他內容資料。使用者端點100亦可包含一計算平台105。計算平台105可包括一主機系統101,該主機系統可舉例而言包括一處理裝置125,諸如一或多個中央處理單元130a至130n。處理裝置125可耦合至一主機記憶體135。主機記憶體135可儲存媒體、音訊、影像、視訊或來自資料源120之其他內容資料,該資料源係自一影像資料緩衝區140中之一數位音訊、數位影像或視訊擷取系統115或者數位音訊、影像或視訊儲存器件117中之至少一者而接收。主機記憶體135可進一步儲存由一網路業者(未展示)安裝之一憑證授權102。
處理裝置125可進一步實施一圖形處理單元150(GPU)。熟習此項技術者將瞭解,可利用除GPU之外的其他協同處理器架構,諸如但不限於DSP、FPGA或ASIC或處理裝置125本身之附屬固定功能特徵。熟習此項技術者將進一步瞭解GPU 150可並置於與中央處理單元130a至130n(亦稱為一「APU」)相同之實體晶片或邏輯裝置上,諸如在行動電話及平板電腦上所存在。單獨GPU及CPU功能可存在於其中GPU係一實體擴充卡之電腦伺服器系統及個人電腦系統及膝上型電腦上。GPU 150可包括一GPU記憶體145。熟習此項技術者將瞭解,主機記憶體135及GPU記憶體145亦可並置於相同實體晶片或邏輯裝置上,諸如並置於一APU上。
處理裝置125可經組態以自資料源120接收音訊、影像、視訊或其他內容資料。處理裝置125可經組態以基於所接收音訊、影像、視訊或其他內容資料形成影像資料緩衝區140,該所接收音訊、影像、視訊或其他內容資料可藉由一預篩選處理器160處理。預篩選處理器160可經組態以將經處理音訊、影像、視訊或其他內容資料傳送至一編碼器170及一傳輸器175以用於將經加密音訊、影像、視訊或其他內
容資料經由一私用網路180傳輸至(例如,一代理伺服器200之)一計算平台210。
在另一實例中,使用者端點100可經組態以經由私用網路180而自(例如,代理伺服器200之)計算平台210接收經加密影像、視訊或其他內容資料。一接收器185及一解碼器190可經組態以分別接收並解密經加密音訊、影像、視訊或其他內容資料。解碼器190可經組態以將經解碼音訊、影像、視訊或其他內容資料傳送至GPU 150之一後篩選處理器195。音訊、影像、視訊或其他內容資料可藉由後篩選處理器195處理,且進一步作為一影像資料緩衝區197傳送至一顯示或音訊裝置198及/或儲存器件199。
圖2係本發明之實例可在其中操作的圖解說明經組態以與使用者端點100及一第二伺服器(未展示)通信之一實例性代理伺服器200的一方塊圖。在一項實例中,代理伺服器200可經組態以經由一公用網路270(例如,網際網路)而自第二伺服器(未展示)接收音訊、影像、視訊或其他內容資料。代理伺服器200亦可包含一計算平台210。計算平台210可包括一主機系統215,該主機系統可舉例而言包括一處理裝置217,該處理裝置可包含一或多個中央處理單元240a至240n。處理裝置217可耦合至一主機記憶體250。主機記憶體250可將經加密音訊、影像、視訊或其他內容資料儲存於主機記憶體250之一影像資料緩衝區276中,該經加密音訊、影像、視訊或其他內容資料係在藉由一接收器272及解碼器274接收並解碼之後自第二伺服器(未展示)接收的。主機記憶體250可進一步儲存藉由一網路業者(未展示)安裝之一憑證授權202。
處理裝置217可進一步實施一圖形處理單元230(GPU)。熟習此項技術者將瞭解,可利用除GPU之外的其他協同處理器架構,諸如但不限於DSP、FPGA或ASIC或處理裝置217本身之附屬固定功能特徵。熟
習此項技術者將進一步瞭解,GPU 230可並置於與中央處理單元240a至240n(亦稱為一「APU」)相同之實體晶片或邏輯裝置上,諸如在行動電話及平板電腦上所存在。單獨GPU及CPU功能可存在於其中GPU係一實體擴充卡之電腦伺服器系統及個人電腦系統及膝上型電腦上。GPU 230可包括一GPU記憶體235。熟習此項技術者將瞭解,主機記憶體250及GPU記憶體235亦可並置於相同實體晶片或邏輯裝置上,諸如並置於一APU上。
處理裝置217可經組態以基於自處理裝置217之影像資料緩衝區276傳送之經解密所接收音訊、影像、視訊或其他內容資料而形成一影像資料緩衝區278。位於影像資料緩衝區278中之經解密所接收音訊、影像、視訊或其他內容資料可藉由一預篩選處理器280處理。預篩選處理器280可經組態以將經處理音訊、影像、視訊或其他內容資料傳送至一編碼器285及一傳輸器290以用於將經加密音訊、影像、視訊或其他內容資料經由一私用網路205傳輸至一計算平台105(例如,使用者端點100)。
在另一實例中,代理伺服器200可經組態以經由一私用網路205而自計算平台105(例如,使用者端點100)接收經加密音訊、影像、視訊或其他內容資料。一接收器220及一解碼器225可經組態以分別接收並解密經加密音訊、影像、視訊或其他內容資料。解碼器225可經組態以將經解碼音訊、影像、視訊或其他內容資料傳送至GPU 230之一後篩選處理器240。音訊、影像、視訊或其他內容資料可藉由後篩選處理器240處理且進一步作為處理裝置217之一影像資料緩衝區252傳送。中央處理單元240a至240n中之一或多者可經組態以傳輸儲存於影像資料緩衝區252中之音訊、影像、視訊或其他內容資料,該音訊、影像、視訊或其他內容資料將藉由一編碼器260加密且然後藉由一傳輸器265經由公用網路270而傳輸至使用者端點100(未展示)。
圖3係分別圖解說明與圖1及圖2之系統100、200相關聯的用以使系統100、200準備建立後續經代理安全連接之一方法300之一實例之一流程圖。可藉由圖10之一電腦系統1000執行方法300且該方法可包括硬體(例如,電路、專用邏輯、可程式化邏輯、微碼等)、軟體(例如,在一處理裝置上運行之指令)或其一組合。
如圖3中所展示,在方塊305處,與一網路業者伺服器(未展示)相關聯之一網路業者(未展示)產生一或多個根憑證。在方塊310處,網路業者產生用於一或多個根憑證之一或多個根金鑰。在方塊315處,網路業者用對應一或多個第一金鑰自簽章一或多個第一憑證以形成一或多個憑證授權(例如,102、202)。在方塊320處,網路業者將一或多個憑證授權(例如,102)安裝於一或多個使用者端點(例如,端點100)上以允許對經代理安全連接之存取。在方塊325處,網路業者組態一或多個使用者端點(例如,端點100)以將一代理伺服器(例如,200)用作預設路由閘道器。在方塊330處,網路業者組態一或多個使用者端點(例如,端點100)以併入一後篩選處理器(例如,195)或與其通信。
在方塊335處,網路業者將使用者端點(例如,100)之一或多個憑證授權(例如,202)安裝於代理伺服器(例如,200)上以允許對經代理安全連接之存取。在方塊340處,網路業者藉由使用用於每一使用者端點(例如,100)之一全域唯一識別符作為一主關鍵字而在代理伺服器(例如,200)上註冊在每一使用者端點(例如,100)上安裝哪一憑證授權(例如,102)。在方塊345處,網路業者組態代理伺服器(例如,200)以併入一媒體預篩選處理器(例如,280)或與其通信以產生經預篩選媒體、音訊、影像或視訊有效負載。
圖4係本發明之實例可在其中操作之一協定圖式400,該協定圖式圖解說明表示與一代理伺服器420通信之一使用者端點410經由代理
伺服器420而自一第二伺服器415接收音訊、影像或視訊資料之一實例性媒體請求及接收資料流。圖5係本發明之實例可在其中操作之一流程圖,該流程圖圖解說明用於使與一閘道器代理伺服器420通信之使用者端點410經由代理伺服器420而自一第二伺服器415接收音訊、影像或視訊資料之一方法500之一實例。可藉由圖10之一電腦系統1000執行方法500且該方法可包括硬體(例如,電路、專用邏輯、可程式化邏輯、微碼等)、軟體(例如,在一處理裝置上運行之指令)或其一組合。在一項實例中,可主要藉由圖2及圖4之代理伺服器(例如,200、420)執行方法500。
如圖1、圖2、圖4及圖5中所展示,在方塊505處,一代理伺服器(例如,200、420)可自一使用者端點(例如,100、410)接收至一第二伺服器(例如,415)之一安全連接請求425。安全連接請求425可包含為端點(例如,100、410)註冊之一全域唯一識別符。在一實例中,在接收至第二伺服器(例如,415)之安全連接請求425之前,可在代理伺服器(例如,200、420)上安裝一第一憑證授權(例如圖3中之方法300之步驟335)。第一憑證授權亦可安裝於使用者端點(例如,100、410)上。可使用全域唯一識別符產生第一憑證授權。在接收至第二伺服器(例如,415)之安全連接請求425之前,代理伺服器(例如,200、420)可接收一註冊碼,該註冊碼基於用作一主關鍵字之全域唯一識別符而將第一憑證授權與其他憑證授權區分開。
在一實例中,在接收一第一安全連接之前,代理伺服器(例如,200、420)可接收併入一媒體預篩選處理器(例如,280)或與其通信以產生經預篩選媒體、音訊、影像或視訊有效負載之一組態。在方塊510處,若代理伺服器(200、420)基於由網路業者(未展示)供應之一規則或政策判定應將安全連接請求425轉發至第二伺服器(例如,415),則在方塊515處,可建立一通過連接,其中代理伺服器(200、420)可
轉發安全連接請求425及所有後續安全連接工作階段訊務而不需要使用者端點(100、410)與第二伺服器(例如,415)之間的改變。規則或政策可至少基於在使用者端點(例如,100、410)上存在或者不存在以下各項中之對應者:憑證授權(例如,102);由網路業者供應之資訊或政策;或者在方法步驟340中進行之全域識別符註冊。在方塊520處,代理伺服器(200、420)可將來自第二伺服器(例如,415)之所有後續回應轉發至使用者端點(100、410)。
在方塊510處,若代理伺服器(例如,200、420)判定應建立一安全代理連接,則在方塊525處,代理伺服器(例如,200、420)可用一應答430對使用者端點(例如,100、410)作出回應。在方塊530處,代理伺服器(例如,200、420)可自使用者端點(例如,100、410)攔截與第二伺服器(例如,415)之一第一安全交握435。第一安全交握435可包括第二伺服器(例如,415)之主機名稱。在方塊535處,代理伺服器(200、420)可不將第一安全交握435轉發至第二伺服器(例如,415),但替代地可基於第一安全交握而起始與第二伺服器(例如,415)之一第二安全交握440。第二安全交握450可包括第二伺服器415之主機名稱。在方塊540處,代理伺服器(例如,200、420)可自第二伺服器415攔截包括具有後設資料之一伺服器憑證之一第二安全交握回應445。在方塊545處,代理伺服器(例如,200、420)可使用後設資料產生一第二憑證,且用與為端點(例如,100、410)註冊之全域唯一識別符相關聯之憑證授權(例如,202)簽章該第二憑證。在方塊550處,代理伺服器(例如,200、420)可將用第二所產生憑證保全的對安全連接請求425之一經修改回應450傳輸至使用者端點(例如,100、410)以建立一經代理安全連接。
圖6係本發明之實例可在其中操作之一流程圖,該流程圖圖解說明用於由使用者端點(例如,100、410)自第二伺服器415請求一媒體
資產且使該媒體資產之接收最佳化之一方法600之一實例。可藉由圖10之一電腦系統1000執行方法600且該方法可包括硬體(例如,電路、專用邏輯、可程式化邏輯、微碼等)、軟體(例如,在一處理裝置上運行之指令)或其一組合。在一項實例中,可主要藉由圖2及圖4之代理伺服器200、420執行方法600。
如圖1、圖2、圖4及圖5中所展示,在方塊605處,代理伺服器(例如,200、420)可自使用者端點(例如,100、410)攔截自使用者端點(例如,100、410)經由經代理安全連接而既定用於第二伺服器415之一媒體接收請求455,該媒體接收請求包括一有效負載。在方塊610處,代理伺服器(例如,200、420)可使用第二憑證之一私密金鑰來解密媒體接收請求455之有效負載。在方塊615處,代理伺服器(例如,200、420)可藉由用在445中接收之伺服器憑證之公開金鑰加密有效負載而形成至第二伺服器415之一媒體請求460。在方塊620處,代理伺服器(例如,200、420)可將經重新加密有效負載轉發至第二伺服器415。
在方塊625處,代理伺服器(例如,200、420)可自第二伺服器415接收一經加密媒體接收回應465,該經加密媒體接收回應含有用第二伺服器憑證445私密金鑰加密之媒體資料。在方塊630處,代理伺服器(例如,200、420)可用在445中接收之第二伺服器憑證之公開金鑰來解密媒體接收回應465以獲得一媒體接收有效負載470。在方塊635處,代理伺服器(例如,200、420)可傳遞媒體接收有效負載470通過代理伺服器(例如,200、420)之媒體預篩選處理器(例如280、475)以獲得一經預篩選有效負載480。在一項實例中,代理伺服器(例如,200、420)傳遞媒體接收有效負載470通過代理伺服器(例如,200、420)之媒體預篩選處理器475可包括媒體預篩選處理器475執行以下各項中之至少一者:解析度減小、動態範圍減小、圖框速率減小、空間
高頻率減小、時空高頻率減小、協定標頭之熵寫碼或者媒體、音訊、影像或視訊有效負載之DCT或小波係數重新量化。
在方塊640處,代理伺服器(例如,200、420)可用第二憑證202私密金鑰來加密經預篩選有效負載以形成一經預篩選媒體接收回應485。在方塊645處,代理伺服器(例如,200、420)可將經加密經預篩選媒體接收回應485轉發至使用者端點(例如,100、410)。
使用者端點(例如,100、410)可用第二憑證公開金鑰來解密經加密經預篩選媒體接收回應485以獲得一經預篩選媒體有效負載487。使用者端點(例如,100、410)可傳遞經預篩選媒體有效負載487通過藉由使用者端點(例如,100、410)之後篩選處理器(例如,195)進行之後篩選與復原490以獲得經後篩選媒體492。使用者端點(例如,100、410)可將經後篩選媒體492儲存至儲存器件(例如,199)中或再現至一再現裝置495(例如,顯示器198)中。在一實例中,使用者端點(例如,100、410)將經預篩選媒體有效負載傳遞通過藉由使用者端點(例如,100、410)之後篩選處理器(例如,195)進行之後篩選與復原490的使用者端點(例如,100、410)可包括在壓縮域中之碼率轉換及其他係數修改。在一實例中,使用者端點(例如,100、410)將經預篩選媒體有效負載傳遞通過藉由使用者端點(例如,100、410)之後篩選處理器(例如,195)進行之後篩選與復原490的使用者端點(例如,100、410)可包括音頻、DCT、影像空間、色域或視訊時空域中之任一者中之超解析度或非線性內插方法。
在一項實例中,代理伺服器(例如,200、420)可使用網際網路內容調適協定(ICAP)將媒體接收有效負載470傳達至一轉碼或一碼率轉換服務,如在以引用方式併入本文中之IETF 3507中所揭示。在另一實例中,代理伺服器(例如,200、420)可使用同步或非同步應用程式設計介面(API)呼叫將媒體接收有效負載470傳達至一轉碼或一碼率轉換服務。
圖7係本發明之實例可在其中操作之一協定圖式700,該協定圖式圖解說明表示與一代理伺服器(例如,200、730)通信之一使用者端點(例如,100、720)將媒體、音訊、影像或視訊資料自使用者端點(例如,100、720)經由代理伺服器(例如,200、730)傳輸至一第二伺服器725之一實例性媒體投遞與傳輸資料流。圖8係本發明之實例可在其中操作之一流程圖,該流程圖圖解說明用於使與一代理伺服器(例如,200、730)通信之使用者端點(例如,100、720)將媒體、音訊、影像或視訊資料經由代理伺服器(例如,200、730)投遞至一第二伺服器725之一方法800之一實例。可藉由圖10之一電腦系統1000執行方法800且該方法可包括硬體(例如,電路、專用邏輯、可程式化邏輯、微碼等)、軟體(例如,在一處理裝置上運行之指令)或其一組合。在一項實例中,可主要藉由圖2及圖7之代理伺服器(例如,200、730)執行方法800。
如圖1、圖2、圖7及圖8中所展示,在方塊805處,一代理伺服器(例如,200、730)可自一使用者端點(例如,100、720)接收至一第二伺服器(例如,725)之一安全連接請求735。安全連接請求735可包含為該端點(例如,100、720)註冊之一全域唯一識別符。在一實例中,在接收至第二伺服器(例如,725)之安全連接請求735之前,可在代理伺服器(例如,200、730)上安裝一第一憑證授權(例如方法300之步驟335)。第一憑證授權亦可安裝於使用者端點(例如,100、720)上。可使用全域唯一識別符產生第一憑證授權。在接收至第二伺服器(例如,725)之安全連接請求735之前,代理伺服器(例如,200、730)可接收一註冊碼,該註冊碼基於用作一主關鍵字之全域唯一識別符而將第一憑證授權與其他憑證授權區分開。
在一實例中,在接收一第一安全連接之前,代理伺服器(例如,200、730)可接收併入一媒體預篩選處理器(例如,280)或與其通信以
產生經預篩選媒體、音訊、影像或視訊有效負載之一組態。在方塊810處,若代理伺服器(例如,200、730)基於由網路業者(未展示)供應之一規則或政策判定應將安全連接請求735轉發至第二伺服器(例如,725),則在方塊815處,可建立一通過連接,其中代理伺服器(例如,200、730)可轉發安全連接請求735及所有後續安全連接工作階段訊務而不需要使用者端點(例如,100、720)與第二伺服器(例如,725)之間的改變。規則或政策可至少基於在使用者端點(例如,100、720)上存在或者不存在以下各項中之對應者:憑證授權(例如,102);由網路業者供應之資訊或政策;或者在方法步驟340中進行之全域識別符註冊。在方塊820處,代理伺服器(例如,200、730)可將來自第二伺服器(例如,725)之所有後續回應轉發至使用者端點(例如,100、720)。
在方塊810處,若代理伺服器(例如,200、730)判定應建立一安全代理連接,則在方塊825處,代理伺服器(例如,200、730)可用一應答740對使用者端點(例如,100、720)作出回應。
在方塊830處,代理伺服器(例如,200、730)可自使用者端點(例如,100、720)攔截與第二伺服器(例如,725)之一第一安全交握745。第一安全交握745可包括第二伺服器(例如,725)之主機名稱。在方塊835處,代理伺服器(例如,200、730)可不將第一安全交握745轉發至第二伺服器(例如,725),但替代地可基於第一安全交握而起始與第二伺服器(例如,725)之一第二安全交握750。第二安全交握750可包括第二伺服器(例如,725)之主機名稱。
在方塊840處,代理伺服器(例如,200、730)可自第二伺服器(例如,725)攔截包括具有後設資料之一伺服器憑證之一第二安全交握回應755。在方塊845處,代理伺服器(例如,200、730)可使用後設資料產生一第二憑證,且用與為端點(例如,100、720)註冊之全域唯一識別符相關聯之憑證授權(例如,202)簽章該第二憑證。在方塊850處,
代理伺服器(例如,200、730)可將用所產生第二憑證保全的對安全連接請求735之一經修改回應760傳輸至使用者端點(例如,100、720)以建立一經代理安全連接。
圖9係本發明之實例可在其中操作之一流程圖,該流程圖圖解說明用於將一媒體資產由一使用者端點(例如,100、720)投遞至一第二伺服器725且使該媒體資產之傳輸最佳化之一方法900之一實例。可藉由圖10之一電腦系統1000執行方法900且該方法可包括硬體(例如,電路、專用邏輯、可程式化邏輯、微碼等)、軟體(例如,在一處理裝置上運行之指令)或其一組合。在一項實例中,可主要藉由圖2及圖7之代理伺服器(例如,200、730)執行方法900。
一相機裝置或儲存裝置(115、117、700)可將一媒體資產705發送至一預篩選服務710以獲得一經預篩選媒體資產715。預篩選服務710可將媒體資產705發送至使用者端點(例如,100、720)之一預篩選處理器(例如,160),該使用者端點已建立至第二伺服器725之一經代理安全連接。使用者端點720可藉助一所產生憑證760公開金鑰起始至第二伺服器725之一媒體投遞765。
如圖1、圖2、圖7及圖9中所展示,在方塊905處,代理伺服器(例如,200、730)可自使用者端點攔截經由經代理安全連接而至第二伺服器725之媒體投遞請求765,該媒體投遞請求包括一經預篩選媒體有效負載。在方塊910處,代理伺服器(例如,200、730)可使用所產生第二憑證760之一私密金鑰來解密經預篩選有效負載以獲得媒體有效負載770。在方塊915處,代理伺服器(例如,200、730)可傳遞媒體有效負載770通過代理伺服器(例如,200、730)之一後篩選處理器(例如,240)之一轉碼與後篩選服務775以獲得一經後篩選媒體有效負載。在一項實例中,代理伺服器(例如,200、730)傳遞經預篩選媒體有效負載通過後篩選處理器(例如,240)可包括後篩選處理器(例如,
240)在音頻、DCT、影像空間、色域或視訊時空域中之任一者中執行超解析度或非線性內插方法中之一或多者。在一實例中,代理伺服器(例如,200、730)可使用網際網路內容調適協定(ICAP)將經預篩選媒體接收有效負載傳達至後篩選處理器(例如,240),如在以引用方式併入本文中之IETF 3507中所揭示。在一實例中,代理伺服器(例如,200、730)可使用同步或非同步API呼叫將經預篩選媒體接收有效負載傳達至後篩選處理器(例如,240)。
在方塊920處,代理伺服器(例如,200、730)可用所產生憑證私密金鑰來加密經後篩選媒體有效負載以形成至第二伺服器725之一第二媒體投遞請求785。在方塊925處,代理伺服器(例如,200、730)可將經加密第二媒體投遞請求轉發至第二伺服器725。
圖10圖解說明呈一電腦系統1000之實例性形式之一機器之一圖解性表示,在該電腦系統內可執行用於致使該機器執行本文中所論述之方法中之任何一或多者之一指令集。在某些實例中,該機器可連接(例如,網路連線)至一LAN、一內部網路、一外部網路或網際網路中之其他機器。該機器可在用戶端-伺服器網路環境中以一伺服器機器之資格操作。該機器可係一個人電腦(PC)、一機上盒(STB)、一伺服器、一網路路由器、切換器或橋接器或者能夠執行規定將由彼機器採取之行動之一指令集(順序或相反)之任何機器。此外,雖然僅圖解說明一單個機器,但亦應將術語「機器」視為包含個別地或聯合地執行一指令集(或多個指令集)以執行本文中所論述之方法中之任何一或多者之任何機器集合。
例示性電腦系統1000包含一處理裝置(處理器)1002、一主記憶體1004(例如,唯讀記憶體(ROM)、快閃記憶體、動態隨機存取記憶體(DRAM)(諸如同步DRAM(SDRAM)))、一靜態記憶體1006(例如,快閃記憶體、靜態隨機存取記憶體(SRAM))及一資料儲存裝置1016,該
等裝置經由一匯流排1008彼此通信。
處理器1002表示一或多個一般用途處理裝置,例如一微處理器、中央處理單元或諸如此類。更特定而言,處理器1002可係一複雜指令集計算(CISC)微處理器、精簡指令集計算(RISC)微處理器、極長指令字(VLIW)微處理器或實施其他指令集之一處理器或實施若干指令集之一組合之若干處理器。處理器1002亦可係一或多個特殊用途處理裝置,諸如一特殊應用積體電路(ASIC)、一場可程式化閘陣列(FPGA)、一數位信號處理器(DSP)、網路處理器或諸如此類。可藉由經組態以執行本文中所論述之操作及步驟之處理器1002分別執行使用者端點100或代理伺服器200之處理邏輯。
電腦系統1000可進一步包含一網路介面裝置1022。電腦系統1000亦可包含一視訊顯示單元1010(例如,一液晶顯示器(LCD)或一陰極射線管(CRT))、一文數輸入裝置1012(例如,一鍵盤)、一游標控制裝置1014(例如,一滑鼠)及一信號產生裝置1020(例如,一揚聲器)。
一驅動單元1016可包含其上儲存有一或多個指令集(例如,分別係使用者端點100或代理伺服器200之處理邏輯之指令)之一電腦可讀媒體1024,該等指令集體現本文中所闡述之方法或功能中之任何一或多者。使用者端點100或代理伺服器200之處理邏輯之指令亦可在藉由電腦系統1000執行該等指令期間分別完全或至少部分地駐存於主記憶體1004內及/或處理器1002內,主記憶體1004及處理器1002亦構成電腦可讀媒體。使用者端點100或代理伺服器200之處理邏輯之指令可分別進一步經由網路介面裝置1022,通過一網路傳輸或接收。
雖然在一實例中將電腦可讀儲存媒體1024展示為一單個媒體,但術語「電腦可讀儲存媒體」應視為包含儲存一或多個指令集之一單個非暫時性媒體或多個非暫時性媒體(例如,一集中式或分佈式資料
庫及/或相關聯快取記憶體及伺服器)。術語「電腦可讀儲存媒體」亦應視為包含能夠儲存、編碼或攜載供由機器執行之一指令集且致使機器執行本發明之方法中之任何一或多者之任何媒體。因此,術語「電腦可讀儲存媒體」應視為包含但不限於固態記憶體、光學媒體及磁性媒體。
在以上闡述中,陳述了眾多細節。然而,受益於本發明之熟習此項技術者將顯而易見,可在無此等特定細節之情況下實踐本發明之實例。在某些例項中,以方塊圖形式而非詳細地展示眾所周知之結構及裝置以便避免使闡述模糊。
詳細說明之某些部分係在演算法及對一電腦記憶體內之資料位元之運算之符號表示方面呈現。此等演算法闡述及表示係由熟習資料處理技術者用於最有效地將其工作之實質傳達至其他熟習此項技術者之方法。一演算法在此處且一般而言設想為達到一所要結果之一自一致步驟序列。該等步驟係需要對物理量進行物理操縱之步驟。通常(但並不一定),此等量採取能夠被儲存、傳送、組合、比較及以其他方式加以操縱之電信號或磁信號之形式。已證實,主要出於常用之原因,將此等信號稱為位元、值、元素、符號、字符、項、數字或諸如此類有時比較方便。
然而,應記住,所有此等術語及類似術語皆與適當之物理量相關聯,且僅係應用於此等量之方便標籤。除非如自以上論述顯而易見另有具體陳述,否則應瞭解,在本說明通篇中,利用諸如「接收」、「寫入」、「維持」或諸如此類之術語之論述係指一電腦系統或類似電子計算裝置之動作及程序,其對表示為電腦系統之暫存器及記憶體內之物理(例如,電子)量之資料進行操縱並將其轉譯成相對於一新座標系統之類似地表示為電腦系統記憶體或暫存器或其他此等資訊儲存、傳輸或顯示裝置內之物理量之其他資料。
本發明之實例亦係關於一種用於執行本文中之操作之設備。此設備可特別地針對所需目的來構造,或其可包括一個一般用途電腦,由儲存於該電腦中之一電腦程式來選擇性地啟動或重新組態該電腦。如本文中所揭示之用於經由代理伺服器之安全媒體、音訊、視訊及影像訊務之接收及傳輸最佳化之系統及方法解決諸多領域中之問題,諸如改良無線電存取網路頻譜效率、回載成本之減少、當自行動裝置既上傳又下載音訊、視訊及影像資料時公用無線電存取網路擁塞之具成本效益之即時減少,及在不洩漏端點安全性之情況下分佈網路核心處之安全音訊、影像及視訊訊務之高輸送量處理,僅舉幾個非限制性實例。
此一電腦程式可儲存於一電腦可讀儲存媒體中,諸如但不限於任何類型之磁碟(包含軟碟、光碟、CD-ROM及磁光碟)、唯讀記憶體(ROM)、隨機存取記憶體(RAM)、EPROM、EEPROM、磁卡或光卡或適合於儲存電子指令之任何類型之媒體。
本文中所呈現之演算法及顯示器並不與任何特定電腦或其他設備內在地相關。各種一般用途系統可與根據本文中之教示之程式一起使用,或構造用以執行所需方法步驟之一更專門化設備可證明為方便的。多種此等系統之實例性結構依據本文中之闡述顯而易見。另外,本發明並非參考任何特定程式化語言而闡述。將瞭解,多種程式化語言可用於實施如本文中所闡述之本發明之教示。
應理解,以上闡述意欲為說明性而非限制性的。在閱讀且理解以上闡述後,熟習此項技術者將顯而易見諸多其他實例。因此,本發明之範疇應參考所附申請專利範圍連同此申請專利範圍所授權之等效物之完全範疇來判定。
Claims (24)
- 一種方法,其包括:由一代理伺服器自一使用者端點接收至一第二伺服器之一安全連接請求,該安全連接請求包括為該端點註冊之一全域唯一識別符;由該代理伺服器自該使用者端點攔截與該第二伺服器之一第一安全交握;由該代理伺服器基於該第一安全交握而起始與該第二伺服器之一第二安全交握;由該代理伺服器自該第二伺服器攔截包括具有後設資料之一伺服器憑證之一第二安全交握回應;由該代理伺服器使用該後設資料產生一第二憑證,且用與為該端點註冊之該全域唯一識別符相關聯之一第一憑證授權簽章該第二憑證;及由該代理伺服器將用該第二憑證保全的對該安全連接請求之一經修改回應傳輸至該使用者端點以建立一經代理安全連接。
- 如請求項1之方法,其進一步包括在接收至該第二伺服器之該安全連接請求之前:由該代理伺服器接收該第一憑證授權,其中該第一憑證授權亦安裝於該使用者端點上,該第一憑證授權係使用該全域唯一識別符而產生;及由該代理伺服器接收一註冊碼,該註冊碼基於用作一主關鍵字之該全域唯一識別符而將該第一憑證授權與其他憑證授權區分開。
- 如請求項1之方法,其進一步包括由該代理伺服器基於一規則或 政策而將該安全連接請求轉發或不轉發至該第二伺服器。
- 如請求項1之方法,其進一步包括:由該代理伺服器自該使用者端點攔截來自該使用者端點既定用於該第二伺服器之一媒體接收請求,該媒體接收請求包括一有效負載;由該代理伺服器使用該第二憑證之一私密金鑰來解密該有效負載;由該代理伺服器藉由用該伺服器憑證之公開金鑰加密該有效負載而形成至該第二伺服器之一媒體請求;及由該代理伺服器將該經加密有效負載轉發至該第二伺服器。
- 如請求項3之方法,其進一步包括:由該代理伺服器自該第二伺服器接收一經加密媒體接收回應,該經加密媒體接收回應含有用該所產生第二伺服器憑證私密金鑰加密之媒體資料;由該代理伺服器用該第二伺服器憑證之該公開金鑰來解密該媒體接收回應以獲得一媒體接收有效負載;由該代理伺服器傳遞該媒體接收有效負載通過該代理伺服器之媒體預篩選處理器以獲得一經預篩選有效負載;由該代理伺服器用該第二憑證私密金鑰來加密該經預篩選有效負載以形成一經預篩選媒體接收回應;及由該代理伺服器將該經預篩選媒體接收回應轉發至該使用者端點。
- 如請求項5之方法,其中傳遞該媒體接收有效負載通過該媒體預篩選處理器包括執行以下各項中之至少一者:解析度減小、動態範圍減小、圖框速率減小、空間高頻率減小、時空高頻率減小、協定標頭之熵寫碼或者媒體、音訊、影像或視訊有效負載 之DCT或小波係數重新量化。
- 如請求項1之方法,其進一步包括在接收一第一安全連接之前,由該代理伺服器接收併入一媒體預篩選處理器或與其通信以產生經預篩選媒體、音訊、影像或視訊有效負載之一組態。
- 如請求項1之方法,其中該規則或政策至少基於在該使用者端點上存在該等憑證授權中之對應者。
- 如請求項1之方法,其中該代理伺服器使用網際網路內容調適協定(ICAP)將該媒體接收有效負載傳達至一轉碼或一碼率轉換服務。
- 如請求項1之方法,其中該代理伺服器使用非同步應用程式設計介面(API)呼叫將該媒體接收有效負載傳達至一轉碼或一碼率轉換服務。
- 如請求項1之方法,其進一步包括:由該代理伺服器自該使用者端點攔截經由該經代理安全連接而至該第二伺服器之一媒體發送請求,該媒體發送請求包括一經預篩選媒體有效負載;由該代理伺服器使用該第二憑證之一私密金鑰來解密該有效負載;由該代理伺服器傳遞該經預篩選媒體有效負載通過後篩選處理器以獲得一經後篩選媒體有效負載;由該代理伺服器用該所產生憑證私密金鑰來加密該經後篩選媒體有效負載以形成一第二媒體投遞請求;及由該代理伺服器將該經加密第二媒體投遞請求轉發至該第二伺服器。
- 如請求項11之方法,其中傳遞該經預篩選媒體有效負載通過該後篩選處理器包括在音頻、DCT、影像空間、色域或視訊時空域中 之任一者中執行超解析度或非線性內插方法中之一或多者。
- 如請求項11之方法,其進一步包括由該代理伺服器使用該ICAP協定將該經預篩選媒體接收有效負載傳達至該後篩選處理器。
- 如請求項11之方法,其進一步包括由該代理伺服器使用非同步API呼叫將該經預篩選媒體接收有效負載傳達至該後篩選處理器。
- 一種系統,其包括:一記憶體;一處理裝置,其操作性地耦合至該記憶體,該處理裝置用於:自一使用者端點接收至一第二伺服器之一安全連接請求,該安全連接請求包括為該端點註冊之一全域唯一識別符;自該使用者端點攔截與該第二伺服器之一第一安全交握;基於該第一安全交握起始與該第二伺服器之一第二安全交握;自該第二伺服器接收包括具有後設資料之一伺服器憑證之一第二安全交握回應;使用該後設資料產生一第二憑證且用與為該端點註冊之該全域唯一識別符相關聯之一第一憑證授權簽章該第二憑證;且將用該第二憑證保全的對該安全連接請求之一經修改回應傳輸至該使用者端點以建立一經代理安全連接。
- 如請求項15之系統,其中在接收至該第二伺服器之該安全連接請求之前,該處理裝置進一步用於:接收該第一憑證授權,其中該第一憑證授權亦安裝於該使用者端點上,該第一憑證授權係使用該全域唯一識別符產生;且 接收一註冊碼,該註冊碼基於用作一主關鍵字之該全域唯一識別符而將該第一憑證授權與其他憑證授權區分開。
- 如請求項15之系統,其中該處理裝置進一步用於:自該使用者端點攔截來自該使用者端點既定用於該第二伺服器之一媒體接收請求,該媒體接收請求包括一有效負載;使用該第二憑證之一私密金鑰來解密該有效負載;藉由用該伺服器憑證之該公開金鑰加密該有效負載而形成至該第二伺服器之一媒體請求;且將該經加密有效負載轉發至該第二伺服器。
- 如請求項17之系統,其中該處理裝置進一步用於:自該第二伺服器接收一經加密媒體接收回應,該經加密媒體接收回應含有用該所產生第二伺服器憑證私密金鑰加密之媒體資料;用該第二伺服器憑證之該公開金鑰來解密該媒體接收回應以獲得一媒體接收有效負載;傳遞該媒體接收有效負載通過該代理伺服器之媒體預篩選處理器以獲得一經預篩選有效負載;用該第二憑證私密金鑰來加密該經預篩選有效負載以形成一經預篩選媒體接收回應;且將該經預篩選媒體接收回應轉發至該使用者端點。
- 如請求項15之系統,其中該處理裝置進一步用於:自該使用者端點攔截經由該經代理安全連接而至該第二伺服器之一媒體發送請求,該媒體發送請求包括一經預篩選媒體有效負載;使用該第二憑證之一私密金鑰來解密該有效負載;傳遞該經預篩選媒體有效負載通過後篩選處理器以獲得一經 後篩選媒體有效負載;用該所產生憑證私密金鑰來加密該經後篩選媒體有效負載以形成一第二媒體投遞請求;且將該經加密第二媒體投遞請求轉發至該第二伺服器。
- 一種非暫時性電腦可讀儲存媒體,其包含當由一代理伺服器存取時致使處理裝置執行操作之指令,該等操作包括:由該代理伺服器自一使用者端點接收至一第二伺服器之一安全連接請求,該安全連接請求包括為該端點註冊之一全域唯一識別符;由該代理伺服器自該使用者端點攔截與該第二伺服器之一第一安全交握;由該代理伺服器基於該第一安全交握而起始與該第二伺服器之一第二安全交握;由該代理伺服器自該第二伺服器攔截包括具有後設資料之一伺服器憑證之一第二安全交握回應;由該代理伺服器使用該後設資料產生一第二憑證,且用與為該端點註冊之該全域唯一識別符相關聯之一第一憑證授權簽章該第二憑證;及由該代理伺服器將用該第二憑證保全的對該安全連接請求之一經修改回應傳輸至該使用者端點以建立一經代理安全連接。
- 如請求項20之非暫時性電腦可讀儲存媒體,其進一步包括在接收至該第二伺服器之該安全連接請求之前:由該代理伺服器接收該第一憑證授權,其中該第一憑證授權亦安裝於該使用者端點上,該第一憑證授權係使用該全域唯一識別符而產生;及由該代理伺服器接收一註冊碼,該註冊碼基於用作一主關鍵字之該全域唯一識別符而將該第一憑證授權與其他憑證授權區 分開。
- 如請求項20之非暫時性電腦可讀儲存媒體,其進一步包括:由該代理伺服器自該使用者端點攔截來自該使用者端點既定用於該第二伺服器之一媒體接收請求,該媒體接收請求包括一有效負載;由該代理伺服器使用該第二憑證之一私密金鑰來解密該有效負載;由該代理伺服器藉由用該伺服器憑證之公開金鑰加密該有效負載而形成至該第二伺服器之一媒體請求;及由該代理伺服器將該經加密有效負載轉發至該第二伺服器。
- 如請求項21之非暫時性電腦可讀儲存媒體,其進一步包括:由該代理伺服器自該第二伺服器接收一經加密媒體接收回應,該經加密媒體接收回應含有用該所產生第二伺服器憑證私密金鑰加密之媒體資料;由該代理伺服器用該第二伺服器憑證之該公開金鑰來解密該媒體接收回應以獲得一媒體接收有效負載;由該代理伺服器傳遞該媒體接收有效負載通過該代理伺服器之媒體預篩選處理器以獲得一經預篩選有效負載;由該代理伺服器用該第二憑證私密金鑰來加密該經預篩選有效負載以形成一經預篩選媒體接收回應;及由該代理伺服器將該經預篩選媒體接收回應轉發至該使用者端點。
- 如請求項20之非暫時性電腦可讀儲存媒體,其進一步包括:由該代理伺服器自該使用者端點攔截經由該經代理安全連接而至該第二伺服器之一媒體發送請求,該媒體發送請求包括一經預篩選媒體有效負載; 由該代理伺服器使用該第二憑證之一私密金鑰來解密該有效負載;由該代理伺服器傳遞該經預篩選媒體有效負載通過後篩選處理器以獲得一經後篩選媒體有效負載;由該代理伺服器用該所產生憑證私密金鑰來加密該經後篩選媒體有效負載以形成一第二媒體投遞請求;及由該代理伺服器將該經加密第二媒體投遞請求轉發至該第二伺服器。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/714,960 US9197673B1 (en) | 2015-05-18 | 2015-05-18 | System and method for reception and transmission optimization of secured video, image, audio, and other media traffic via proxy |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201644252A true TW201644252A (zh) | 2016-12-16 |
Family
ID=54543016
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW105115243A TW201644252A (zh) | 2015-05-18 | 2016-05-17 | 用於經由代理伺服器之安全視訊、影像、音訊及其他媒體訊務之接收及傳輸最佳化的系統及方法 |
Country Status (2)
Country | Link |
---|---|
US (2) | US9197673B1 (zh) |
TW (1) | TW201644252A (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120323786A1 (en) | 2011-06-16 | 2012-12-20 | OneID Inc. | Method and system for delayed authorization of online transactions |
WO2013109932A1 (en) | 2012-01-18 | 2013-07-25 | OneID Inc. | Methods and systems for secure identity management |
US10404472B2 (en) * | 2016-05-05 | 2019-09-03 | Neustar, Inc. | Systems and methods for enabling trusted communications between entities |
US10958725B2 (en) * | 2016-05-05 | 2021-03-23 | Neustar, Inc. | Systems and methods for distributing partial data to subnetworks |
US11277439B2 (en) * | 2016-05-05 | 2022-03-15 | Neustar, Inc. | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
US11025428B2 (en) | 2016-05-05 | 2021-06-01 | Neustar, Inc. | Systems and methods for enabling trusted communications between controllers |
US11108562B2 (en) | 2016-05-05 | 2021-08-31 | Neustar, Inc. | Systems and methods for verifying a route taken by a communication |
US10594721B1 (en) | 2016-11-09 | 2020-03-17 | StratoKey Pty Ltd. | Proxy computer system to provide selective decryption |
US10798064B1 (en) * | 2016-11-09 | 2020-10-06 | StratoKey Pty Ltd. | Proxy computer system to provide encryption as a service |
US10389528B2 (en) * | 2017-03-02 | 2019-08-20 | Microsoft Technology Licensing, Llc. | On-demand generation and distribution of cryptographic certificates |
US10936751B1 (en) | 2018-12-14 | 2021-03-02 | StratoKey Pty Ltd. | Selective anonymization of data maintained by third-party network services |
US11416874B1 (en) | 2019-12-26 | 2022-08-16 | StratoKey Pty Ltd. | Compliance management system |
US11336698B1 (en) | 2021-04-22 | 2022-05-17 | Netskope, Inc. | Synthetic request injection for cloud policy enforcement |
US11184403B1 (en) | 2021-04-23 | 2021-11-23 | Netskope, Inc. | Synthetic request injection to generate metadata at points of presence for cloud security enforcement |
US11647052B2 (en) * | 2021-04-22 | 2023-05-09 | Netskope, Inc. | Synthetic request injection to retrieve expired metadata for cloud policy enforcement |
US11190550B1 (en) | 2021-04-22 | 2021-11-30 | Netskope, Inc. | Synthetic request injection to improve object security posture for cloud security enforcement |
US11178188B1 (en) | 2021-04-22 | 2021-11-16 | Netskope, Inc. | Synthetic request injection to generate metadata for cloud policy enforcement |
US11271973B1 (en) | 2021-04-23 | 2022-03-08 | Netskope, Inc. | Synthetic request injection to retrieve object metadata for cloud policy enforcement |
US11271972B1 (en) | 2021-04-23 | 2022-03-08 | Netskope, Inc. | Data flow logic for synthetic request injection for cloud security enforcement |
US20230015697A1 (en) * | 2021-07-13 | 2023-01-19 | Citrix Systems, Inc. | Application programming interface (api) authorization |
US11388248B1 (en) | 2021-08-18 | 2022-07-12 | StratoKey Pty Ltd. | Dynamic domain discovery and proxy configuration |
US11943260B2 (en) | 2022-02-02 | 2024-03-26 | Netskope, Inc. | Synthetic request injection to retrieve metadata for cloud policy enforcement |
WO2024015117A1 (en) * | 2022-07-14 | 2024-01-18 | Qusecure, Inc | System and methods for persistently implementing post-quantum security via service workers |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6135646A (en) * | 1993-10-22 | 2000-10-24 | Corporation For National Research Initiatives | System for uniquely and persistently identifying, managing, and tracking digital objects |
US6823454B1 (en) * | 1999-11-08 | 2004-11-23 | International Business Machines Corporation | Using device certificates to authenticate servers before automatic address assignment |
US20020120841A1 (en) * | 2000-12-15 | 2002-08-29 | International Business Machines Corporation | Dynamic PKI architecture |
US7225156B2 (en) * | 2001-07-11 | 2007-05-29 | Fisher Douglas C | Persistent dynamic payment service |
JP4309629B2 (ja) * | 2002-09-13 | 2009-08-05 | 株式会社日立製作所 | ネットワークシステム |
AU2003280629A1 (en) * | 2002-11-01 | 2004-05-25 | Matsushita Electric Industrial Co., Ltd. | Service software acquiring method, system and electronic communication device used therefor |
US8473620B2 (en) * | 2003-04-14 | 2013-06-25 | Riverbed Technology, Inc. | Interception of a cloud-based communication connection |
US20050071630A1 (en) * | 2003-08-15 | 2005-03-31 | Imcentric, Inc. | Processing apparatus for monitoring and renewing digital certificates |
US7266847B2 (en) * | 2003-09-25 | 2007-09-04 | Voltage Security, Inc. | Secure message system with remote decryption service |
US20060248575A1 (en) * | 2005-05-02 | 2006-11-02 | Zachary Levow | Divided encryption connections to provide network traffic security |
US8478986B2 (en) * | 2005-08-10 | 2013-07-02 | Riverbed Technology, Inc. | Reducing latency of split-terminated secure communication protocol sessions |
US20070079113A1 (en) * | 2005-09-30 | 2007-04-05 | Amol Kulkarni | Automatic secure device introduction and configuration |
US8782393B1 (en) * | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
US20080072292A1 (en) * | 2006-09-01 | 2008-03-20 | Narjala Ranjit S | Secure device introduction with capabilities assessment |
US8549157B2 (en) * | 2007-04-23 | 2013-10-01 | Mcafee, Inc. | Transparent secure socket layer |
US8307203B2 (en) * | 2008-07-14 | 2012-11-06 | Riverbed Technology, Inc. | Methods and systems for secure communications using a local certification authority |
US8566580B2 (en) * | 2008-07-23 | 2013-10-22 | Finjan, Inc. | Splitting an SSL connection between gateways |
US10264029B2 (en) * | 2009-10-30 | 2019-04-16 | Time Warner Cable Enterprises Llc | Methods and apparatus for packetized content delivery over a content delivery network |
US8301880B2 (en) * | 2009-11-09 | 2012-10-30 | Cisco Technology, Inc. | Certificate enrollment with purchase to limit sybil attacks in peer-to-peer network |
US9015469B2 (en) * | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
US8955103B2 (en) * | 2012-01-05 | 2015-02-10 | Hightail, Inc. | System and method for decentralized online data transfer and synchronization |
US8713633B2 (en) * | 2012-07-13 | 2014-04-29 | Sophos Limited | Security access protection for user data stored in a cloud computing facility |
US9237021B2 (en) * | 2013-03-15 | 2016-01-12 | Hewlett Packard Enterprise Development Lp | Certificate grant list at network device |
US20150156183A1 (en) * | 2013-12-03 | 2015-06-04 | GateSecure S.A. | System and method for filtering network communications |
JP2015115893A (ja) * | 2013-12-13 | 2015-06-22 | 富士通株式会社 | 通信方法、通信プログラム、および中継装置 |
WO2015103338A1 (en) * | 2013-12-31 | 2015-07-09 | Lookout, Inc. | Cloud-based network security |
-
2015
- 2015-05-18 US US14/714,960 patent/US9197673B1/en not_active Expired - Fee Related
- 2015-10-14 US US14/882,621 patent/US20160344700A1/en not_active Abandoned
-
2016
- 2016-05-17 TW TW105115243A patent/TW201644252A/zh unknown
Also Published As
Publication number | Publication date |
---|---|
US9197673B1 (en) | 2015-11-24 |
US20160344700A1 (en) | 2016-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW201644252A (zh) | 用於經由代理伺服器之安全視訊、影像、音訊及其他媒體訊務之接收及傳輸最佳化的系統及方法 | |
US10341692B2 (en) | Live streaming-TV content, acquisition, transformation, encryption, and distribution system, and method for its use | |
US11848961B2 (en) | HTTPS request enrichment | |
CN106713320B (zh) | 终端数据传输的方法和装置 | |
Jan et al. | SmartEdge: An end-to-end encryption framework for an edge-enabled smart city application | |
US10069800B2 (en) | Scalable intermediate network device leveraging SSL session ticket extension | |
US9712504B2 (en) | Method and apparatus for avoiding double-encryption in site-to-site IPsec VPN connections | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
US11700239B2 (en) | Split tunneling based on content type to exclude certain network traffic from a tunnel | |
US11784977B2 (en) | Methods, apparatus, and systems for an encryption mode via a virtual private network | |
US20170026414A1 (en) | Methods Circuits Devices Systems and Functionally Associated Computer Executable Code for Managing a Data Access Network | |
US20210243484A1 (en) | Systems and methods for secure communications between media devices | |
Räsänen et al. | Open-source RTP library for end-to-end encrypted real-time video streaming applications | |
US20170331798A1 (en) | Encrypted-bypass webrtc-based voice and/or video communication method | |
WO2016186640A1 (en) | Reception and transmission optimization of secured video, image, audio, and other media traffic via proxy | |
CN109600372A (zh) | 一种端对端硬件加密系统 | |
US20230379150A1 (en) | Methods and apparatuses for providing communication between a server and a client device via a proxy node | |
US20220069982A1 (en) | Caching encrypted content in an oblivious content distribution network, and system, compter-readable medium, and terminal for the same | |
Hao et al. | WB-GWS: An IoT-Oriented Lightweight Gateway System Based on White-Box Cryptography | |
CN116800470A (zh) | 一种基于原生桥接实现移动端h5国密改造的方法及系统 | |
CN114338114A (zh) | 一种入侵检测方法、装置、设备及存储介质 | |
JP2008199327A (ja) | ネットワーク間接続システム、中継装置及びそれらに用いるネットワーク間接続方法 |