专利名称:用于验证用户关联的方法、截取模块和网络节点元件的制作方法
技术领域:
本发明涉及用于验证用户(或订户)和共享共同订阅的用户(或订户)组(例如共享家庭或商业场所的用户)之间的关联。本发明还涉及用于截取(intercepting)消息的模块。本发明进一步涉及包括该模块的诸如路由器或接入设备或服务器的节点元件。
背景技术:
现在,向消费者销售商业媒体内容的服务和应用没有办法对“家庭”概念进行可靠地认证,也不能对“商业场所”进行可靠地认证。现在服务提供商实际利用的是在账户或订阅上定义一个主要或基本的用户,并允许该用户给该账户或订阅上增加更多的用户。于是,可以用账户/订阅来表示家庭域。
发明内容
本发明的目的是提供用于有效地验证用户和共享共同(common)订阅 (subscription)的用户组(例如共享一个家庭或商业场所的用户)之间关联的方法。另一目的是提供用于接入网络中消息的截取模块。需要注意的是,应当广义地理解术语接入网络,并且其是将订户与他们的直接服务提供商进行连接的通信网络的一部分。这可以是任何接入网络,包括聚合接入网络,或国际互联网服务提供商(ISP)基础结构。如在本发明的描述中所使用的,术语“家庭”典型地涉及居住在同一住所的人群或任何相似的情况中的一群人。术语“商业场所”涉及任何与商业相关的场所,其中多个经授权的用户共享一个账户,或涉及任何相似的场所。根据本发明方法的一个实施方式,该方法包括截取从用户发送给特定服务提供商的信令消息,典型地在接入网络中;利用包括向服务提供商提供该消息是发送自共同订阅允许的场所的保证的信息来修改每个信令消息;将每个修改的信令消息通过国际互联网发送给特定服务提供商。根据本发明的可能的实施方式,用户组共享共同场所,并且保证是向服务提供商提供该消息是由共同场所所发送的保证。从而,服务提供商能够确认账户的全部用户在相同的共同场所,例如生活在同一住所,或者构成商业场所的劳动力。根据优选实施方式,截取的消息是信令消息,特别是应用层信令消息。典型地,信令消息可以是,但不局限于基于IP的应用层消息,例如超文本传输协议(HTTP)、HTTP安全 (HTTPQ、会话初始化协议(SIP)、实时传送协议(RTP)、实时流协议(RTSP)、RTP控制协议 (RTCP)等。根据一个实施方式,这样的方法典型地能够使媒体服务提供商可靠地验证应用信令中用户(或订户)和家庭或商业场所之间的关联,并且可选地验证所接收的信息是可信的。该方法容易使用并可伸缩。
根据本发明优选的实施方式,包括向服务提供商提供该消息是发送自共同场所 (包括家庭/商业场所标识)的保证。根据第一示例性实施方式,在固定的接入网络中截取消息,将该消息修改为包括家庭/商业场所的标识。在DSL接入网络中,例如,家庭/商业场所标识将是DSL线路标识,以及负责包括家庭/商业场所标识的网络节点元件例如可以是数字用户线路接入复用器(DSLAM)或宽带远程接入服务器(BRAQ。在光接入网络和混合光纤同轴(HFC)接入网络中,典型地存在持有唯一地识别家庭/商业场所的信息、并能单义地识别来自这些家庭/商业场所的信令消息的网络节点。根据本发明方法的一个实施方式,这样的节点可修改为将所述家庭/商业场所信息包括在所述信令消息中。在光接入网络中,该网络节点例如可以是光线路终端(OLT),以及在HFC接入网络中,该网络节点例如可以是线缆调制解调器端接系统(CMTS)。家庭/商业场所标识例如可以是识别家庭的标识符,并被插入到HFC接入网络中的每个数据分组中,或者是识别家庭的标识符,例如是光接入网络中的无源光网络识别符(PON ID)。根据第二示例性实施方式,在移动或无线接入网络中截取消息,且信息包括移动或无线订户的标识。在该实施方式中,主订户将典型地首先向服务提供商注册共享共同订阅的组中的所有用户,从而服务提供商可保证允许用户使用共同订阅所提供的服务。在这种情况下,可允许共享共同订阅的用户从多个场所发送消息。根据第三示例性实施方式,在具有固定接入线路的移动或无线接入网络中截取消息,并修改为包括固定接入线路的标识。共同场所例如可以通过使用固定接入线路的毫微微蜂窝基础结构至少一部分与接入网络连接,并且修改包含有包括所述固定接入线路的标识。然而,从毫微微蜂窝到移动接入提供商的业务也可能在(加密的)安全管道中透明地穿过DSL网络,其中DSL接入网络不进行截取和修改,但是这可以具体由移动提供商进行处理,与在上述第二示例性实施方式的描述确切地相同。根据本发明方法的优选实施方式,修改包含有将信息包括在消息中和使用认证机制以认证所述消息。修改例如可包含有将信息包括在消息中和特别地,使用基于证书的技术对消息的至少一部分进行签名。根据一个可能的实施方式,对消息的修改包括将具有信息的元数据增加到消息中。在下面的实施例中描述其它可能的实施方式。根据本发明另一方面,接入网络接入具有特定服务提供商的列表,并且如果可以从进入的消息得到的涉及的服务提供商在列表中,则对进入的消息进行修改。根据截取模块的实施方式,特别是放置在共享共同订阅的用户组的用户和典型地在接入网络中的特定(specific)服务提供商之间的安排,所述用户适于使用通过国际互联网发送的信令消息与特定服务提供商进行通信,其适于截取由用户发送给特定服务提供商的信令消息;利用包括向服务提供商提供该消息是发送自共同订阅所允许的场所的保证的信息来修改每个信令消息;将每个修改的信令消息通过国际互联网发送给特定服务提供商。根据一个优选实施方式,用户组共享共同场所,并且模块适于包括共同场所的唯一标识符,特别是家庭或商业场所标识。
根据一个可能的实施方式,将模块设计为通过包括信息并对其进行签名以修改消肩、ο根据另一方面,模块可进一步适于从进入的消息得到所包括的服务提供商;验证该服务提供商是否在服务提供商的列表上,并仅在服务提供商在所述列表上时对输入消息进行修改。最后,本发明涉及包括上述截取模块的网络节点元件。这可以是诸如DSLAM或 BRAS的网络接入设备,或者其可以是接入聚合网络中的边缘路由器,或是ISP基础结构中的路由器或服务器,或是电缆接入网络中诸如CMTS的网络节点元件,或是光纤接入网络中诸如OLT的网络节点元件,或是移动接入网络中的网络节点元件,例如3G网络中的SGSN,或是4G移动接入网络或下一代移动系统中的网络节点元件,或是无线接入网络中的网络节点元件,例如WiMax接入网络中的接入路由器、接入控制器、服务路由器或边缘路由器节点等。网络节点的列表是用于解释的目的,并不是限制性的该功能也可被接入网络中的任何其它合适的网络节点支持。
附图用于解释本发明目前优选的非局限性的示例性实施方式。通过阅读下列详细描述并结合附图时,本发明的上述和其它的优势、特征和目标会变得更明显,并可以更好地理解本发明,其中图1是实现本发明的方法的普通实施方式的基础结构的示意图;图2A是实现本发明的方法的固定接入实施方式的基础结构的示意图;图2B是实现本发明的方法的无线或移动接入实施方式的基础结构的示意图。在图1的实施方式中,根据特定的接入技术,接入网络1包括能够截取、观测和修改在具有多个用户3的家庭4和服务提供商5之间的信令的模块2。需要说明的是,家庭4 也可以是商业场所。模块2配有增加家庭4的标识、对该信息进行签名、或对发送给服务提供商的部分或全部信令消息进行签名的装置。当模块2截取信令时,见箭头10和11,信令将由模块2 修改。当服务提供商5从接入网络接收签名的信令消息12时,其验证签名并将与订户数据相关联的标识信息存储在用户数据库6中,见箭头13。当从家庭4发送后面的信令消息 14时,由模块2增强信令并进行签名,并转发给服务提供商,见箭头16。服务提供商于是可根据数据库6来验证数据,见箭头17。实施例A下面根据DSL技术参照图2A描述实施例A,然而在可以使用相似机制的其它接入技术(见下面的实施例B和C)中可使用相似的基础结构。在DSL接入网络中具有网络接入节点观,典型地是包括可截取在家庭M和特定服务提供商25之间的应用层信令的模块 22的DSLAM(数字用户线路接入模块)。需要说明的是,还可以在诸如BRAS的不同节点中提供模块22’。在该实施方式中,接入网络21实现为识别自己和对发送给服务提供商25的信令消息进行签名的设备。
例如,使用的信令类型可以是HTTP协议,从而可以简单地进行识别和截取。然而, 可被截取并修改的信令可以是基于IP的任何类型的信令,其可以是,但不局限于,HTTP、 HTTPS, SIP、RTP、RTSP、RTCP 等。根据一个可能的实施方式,节点观现在首先分析信令并识别与需要本发明功能的媒体服务提供商有关的信令。该机制是非常有价值的特征,并且从而接入网络可由此得到回报,其意味着如果其没有由此获得报酬或补偿,接入网络不会执行该功能。或者,接入网络执行该功能以作为(获得报酬的)服务水平合同(SLA)的一部分。在该实施方式中,接入网络具有进行支付或具有在他们消费者的信令上被激活的这种功能的合同的服务提供商列表。在接入网络和服务提供商之间建立商业关系的方法不在本专利的范围内,且例如可使用公知技术来执行。当在接入网络和服务提供商之间建立商业关系时,后者典型地应该为前者提供信息以帮助其区分与其自己的商业有关的信令,诸如 HTTP信令。例如,该信息可以是诸如在DNS 中使用的国际互联网域名,例如=http:// service-provider-domain-name/0根据可能的实施方式,服务提供商将域名设置在接入网络中,见图2A中的步骤41。由于接入网络和服务提供商建立大量的这种商业关系可能是麻烦的,该功能还可以由中间的负责在诸如接入网络和服务提供商之间的实体之间建立大量的这种商业关系的第三方实体或参与者来执行。当节点观截取包括识别服务提供商的标识符(例如, “service-provider-domain-name“)的信令(例如HTTP信令)时,其中必须为服务提供商截取信令消息,从而模块22会以服从于该特定信令使用的方式将附加信息包括在该信令消息中,见图2A中的箭头43和44。然而,需要说明的是,其还可以截取全部的信令而不验证服务提供商的详细资料。将附加信息包括在这样的消息中的实施例是给信令消息增加(附加)信息元素,特别是附加额外的元数据;通过节点观增加的元数据会典型地识别发射该信令的特定用户的家庭或商业劳动力成员的商业场所;通过另一个信息替换包括在消息中的信息元素;在消息中插入丢失的信息元素/在消息的空字段中增加信息。在信令消息中操作的信息可使用诸如XML的任何类型的格式。信息交换可基于或使用HTTP、XML、SOAP、REST等。附加信息将典型地包括家庭或商业场所的标识。在DSL网络的情况下,该标识信息可被称为“Lineld”或线路标识。这种数据可以具有特定格式,可以是通用格式,其中可以在标准中描述格式。然而,如果格式对接入网络是专用的,该方法也能工作。接入网络优选地和其使用的该数据格式一致,并且是充分通用的,也就是,包括接入网络的唯一识别符和在该接入网络的环境中唯一的识别符。LineId自身可包括多个信息元素,其中信息元素通常涉及部署的物理基础结构,例如DSLAM(有助于识别DSLAM)、DSLAM中的卡、和线路,也就是,物理双绞线的唯一标识。LineId可进一步有助于识别DSL线路的物理(地理)位置,由于其能够使服务提供商支持所谓的“位置锁定 (Geoblocking) ”特性,因此这非常有助于服务提供商。该特征可使服务提供商根据请求用户的位置,例如基于一个国家接一个国家,准许或不准许使用相同的机制接入服务、资源和内容(例如,诸如电影的媒体内容)。
为了确保家庭标识是可信的,模块22将对数据进行签名,还在图2A的步骤44中执行。该签名可通过使用证书增加部分或全部数据的签名(例如所谓的指纹)来执行,例如使用诸如X. 509证书的公知技术。这些X. 509证书是所谓的公钥基础结构(PKI)的一部分,并通过公知的、建立的和信任的被称为CA (认证机构)第三方将X. 509证书分发给接入网络,也见图2A中的箭头42。由于证书是PKI的一部分,其可以通过服务提供商进行检验, 从而服务提供商可验证家庭识别符是可信的。需要说明的是,还可使用其他认证机制,例如在“信任网络”中使用的机制根据其信任“分数”签署DSLAM身份;该信任分数由网络中的其他节点以协作的方式建立(以自动的方式);在所述接入节点(DLSAM)提供的信息中,信任分数给出了服务提供商可具有的信任水平的概念;身份确认这些是共同帮助确认身份的数据聚合;在这种情况下由DSLAM提供的信息的多个元素有助于确认DSLAM的身份;独立地可信的第三方可提供上述机制,例如信任分数或身份确认。当服务提供商从接入网络接收签名的信令消息时,其验证签名并将与订户数据相关联的标识数据存储在订户数据库26中,见箭头46。当从家庭M发送随后的信令消息47 时,增强信令并由模块22进行签名,并转发给服务提供商,见箭头48。服务提供商于是根据数据库沈验证数据,见箭头49。一旦在订户23和服务提供商25之间发生了第一信令交换,可将标识作为信令元数据进行增加。按这种方式,服务提供商将订户与所述标识数据相关联。稍后,订户会创建具有附加信令的其它用户23。该信令还包括标识,从而服务提供商25还能够将这些用户与标识相关联。按这种方式,服务提供商通常能够验证订户和用户是都是所谓的同一“家庭” 的一部分,也就是,他们生活在同一屋檐下,并使用相同的接入网络。例如,如果他们同时使用不同的网络接入技术,几个网络接入点(NAP)与同一家庭相关联是可能的。在这种情况下,订户可开始其与被称为主NAP的特定NAP的订阅,并且稍后可在其订阅简档中增加NAP。于是,服务提供商能够将几个NAP与该订户以及其用户相关联,并且还关联于相关的标识。服务提供商可应用规则以确定是否允许附加的NAP,以及一方面,从而为其合法用户提供足够的灵活性,但另一方面,还能在用户尝试进行欺骗性活动时防止欺诈。实施例B实施例B涉及移动技术的情况,例如2G、2. 5G、3G、4G (LTE)和诸如Wi-Fi或WiMax 的无线技术,并参照图2B进行描述。如果家庭34中的用户想要利用使用移动技术的移动手机33、或使用诸如Wi-Fi或 WiMax的无线技术的无线设备33、或使用相似技术的任何相似设备接入服务提供商,在这些网络接入技术中没有NAP概念。然而,这些移动或无线技术中的大部分具有允许可靠地识别移动用户(使用者)的强大的认证方法。当在移动或无线接入网络31中的截取模块32中截取信令消息时,可以给服务提供商增加该消息是由特定的移动订户(用户)所发送的保证。作为家庭用户,为了使授权的移动订户(用户)接入服务、资源、和服务提供商的内容,家庭的主订户会典型地必须预先将移动订户(用户)向服务提供商进行注册。移动用户的这种明确的注册于是会允许服务提供商验证用户不会试图进行任何欺骗性的动作。为了修改信令消息,截取模块32例如可使用与固定线路情况相似的“附加/包括” 机制。在移动接入情况下,所附加/包括的信息例如是由家庭主订户向服务提供商进行注册的移动订户(用户)的身份。认证附加信息的方式也可以与上述实施例(X. 509证书、信任网络、身份确认、和
可信第三方)相似。在无线/移动情况下的不同点在于移动/无线技术通常提供允许移动/无线用户 /订户/设备的强认证以补偿空中接口内在的不安全性的手段在移动技术中可使用SIM卡(例如2G、2. 5G),在3G/UMTS、4G、LTE中,可以与具有诸如AKA(认证和密钥协商)协议一起使用 USIM ;在IMS应用域中可使用ISIM ;此外可使用被称为SIP-Digest-AKA的AKA修改版本;在诸如WiMax或Wi-Fi的无线技术中,典型地由接入网络提供商提供强认证,例如使用X. 802. 16和Wi-Fi中X. 802. 11协议族和WiMax中扩展认证协议(EAP)。在上述情况下,下载到无线设备中的唯一的客户端能够认证设备也可被使用(例如,“软ISIM”)。作为替换或者附加,上述技术可使用证书来验证无线/移动设备。需要说明的是,上述实施例不是局限性的。本领域技术人员可以理解存在其他技术以确保无线网络接入提供商可以建立移动/无线的用户/订户/设备的身份。如实施例 A所示,一旦做到这一点,在移动/无线网络接入提供商的网络中具有能够截取并修改信令的节点32 (例如,附加信息并对该信息进行认证)。可用于在移动通信技术中建立和交换身份的其他机制例如是GAA/GBA(通用认证架构/通用自举认证)、由自由联盟定义的机制等。如果移动/无线设备需要与家庭关联,那么家庭主要/基本订户可例如利用注册方法与它们明确相关联。在移动网络的情况下,实现其的一个方法是,当移动用户在家中时,家庭基本订户与移动用户共同执行该动作,从而可通过网络接入提供商执行必要的数据增加,从而可通过服务提供商执行必要的数据关联以执行必要的标识符关联并能防止欺诈。执行其的一个合适的方法是在可行时利用家中的毫微微蜂窝架构,从而在移动信令和携带其数据的毫微微蜂窝使用的固定接入线路之间存在关联,从而接入网络能够验证关联存在和关联是有效的。然而,在没有毫微微蜂窝的情况下,同样能够执行数据关联。实施例C实施例C涉及使用电缆类型(例如,HFC)或光学类型(例如,光纤)的接入网络的实施方式。该实施方式与实施例A相似。典型地涉及的接入点的名称不同,但是基本的信令截取和修改机制相似。电缆和光纤接入网络的架构主要由不同的用户分享,并且这里包括所谓的第一英里。然而,典型地存在持有共同场所的唯一标识(特别是家庭标识)的一个节点。被加入以识别共同场所的信息类型将典型地是不同的(不同的格式和内容),但是原则保持相同允许家庭的唯一标识。这种标识的实施例是在光学接入网络中作为光线路终端(OLT)已知的家庭标识;在HFC接入网络中作为电缆调制解调器端接系统(CMTS)已知的家庭标识。
通过使用专用的和对熟悉这些接入技术的本领域技术人员来说公知的的技术,持有标识的节点典型地能够在来自不同家庭的信令之间进行识别,例如,基于在每个数据包中呈现的识别符进行的区分。根据本发明的实施方式,可对家庭信令进行修改以包括其相应的家庭标识。例如,“签名”类型和被增加以认证所提供信息的认证信息可以是相同的,如上所述(X. 509证书、信任网络、身份确认、可信第三方)。上述通过参照附图的本发明方法的实施方式都有这样的优势,它们功能强大并可伸缩,这是由于不需要通过在接入网络和服务提供商之间的独立信道详细地交换有关订户和用户的信息,由于接入网络将附加信息增加到做出请求的任何信令中,并且从而该数据到达服务提供商,由于服务提供商典型地持有其自己订户和用户以及它们相应数据的详细记录,从而服务提供商能够处理该数据。本发明的方法和模块例如可由媒体服务提供商和全部隐含的接入网络来使用。所提供的有用的特征是能够使运营商调节他们的接入架构。在端对端的媒体分配方案中,其它的媒体服务提供商和电影工作室也可以按另外的弱安全性的形式使用本发明。尽管上面给出的本发明的原则与特定实施方式相关,可以清楚地认识到,该描述仅是一种示例方式,并不是对保护范围的限制,保护范围由所附权利要求确定。
权利要求
1.一种用于验证用户和共享共同订阅的用户组之间关联的方法,所述用户适于使用通过国际互联网发送的信令消息与特定服务提供商进行通信,包括截取从用户发送给特定服务提供商的信令消息;利用包括向服务提供商提供该消息是发送自共同订阅所允许的场所的保证的信息来修改每个信令消息;将每个修改的信令消息通过国际互联网发送给特定服务提供商。
2.根据权利要求1所述的方法,其中在接入网络中截取消息。
3.根据权利要求1至2中任一项所述的方法,其中用户组共享共同场所,并且保证是向服务提供商提供的该消息是从共同场所发送的保证。
4.根据权利要求2所述的方法,其中在固定的接入网络中截取消息,并且修改该截取消息以包括共同场所的标识。
5.根据权利要求1至2中任一项所述的方法,其中在移动或无线接入网络中截取消息, 并且将截取消息修改为包括该组的移动或无线用户的标识。
6.根据权利要求1至3中任一项所述的方法,其中在具有固定接入线路的移动或无线接入网络中截取消息,并且修改截取消息以包括固定接入线路的标识。
7.根据权利要求1至6中任一项所述的方法,其中修改包含有将信息包括在消息中和使用认证机制来认证消息的至少一部分。
8.根据权利要求1至7中任一项所述的方法,其中修改包含有将信息包括在消息中和优选地使用基于证书的技术对消息的至少一部分进行签名。
9.根据前述任一权利要求所述的方法,其中接入网络存取具有特定服务提供商的列表,并且其中如果从进入的消息得到的所包括的服务提供商是列表的一部分,则对进入的消息进行修改。
10.一种用于在共享共同订阅的用户组的用户和特定服务提供商之间的截取模块,所述用户适于使用通过国际互联网发送的信令消息与特定服务提供商进行通信,所述模块被设计为截取从用户发送给特定服务提供商的信令消息;利用包括向服务提供商提供该消息是发送自共同订阅所允许的场所的保证的信息来修改每个信令消息;将每个修改的信令消息通过国际互联网发送给特定服务提供商。
11.根据权利要求10所述的截取模块,其中用户组共享共同场所,并且将模块设计为通过包括公共场所的标识和对消息的至少一部分进行签名来修改消息。
12.一种用于放置在通过相应的接入线路与多个共同场所连接的接入点中的根据权利要求10或11的截取模块,其中消息是信令消息,并且其中进一步将模块设计为在来自不同的共同场所的进入的信令消息之间进行区分和利用相应的共同场所的标识对信令消息进行修改。
13.根据权利要求10至12中任一项所述的截取模块,进一步适于从进入的消息中得到包括的服务提供商;验证该服务提供商是否在服务提供商的列表上,并仅在服务提供商在所述列表上时对进入的消息进行修改。
14. 一种节点元件,特别是接入设备或路由器或服务器,包括如权利要求10至13中任一项所述的截取模块。
全文摘要
本发明公开了一种用于验证用户和共享共同订阅的用户组之间的关联的方法,包括截取用户和服务提供商之间的消息;利用包括向服务提供商提供该消息是发送自共同订阅所允许的场所的保证的信息来修改消息。
文档编号H04L29/06GK102415076SQ201080019764
公开日2012年4月11日 申请日期2010年4月29日 优先权日2009年5月4日
发明者M·曼帕耶 申请人:阿尔卡特朗讯公司