专利名称:用于传送视频和其他服务的访问控制增强、网络访问单元和服务提供商服务器的制作方法
技术领域:
本发明涉及共享介质访问网络如卫星、LMDS、UMTS、环形访问网络的电缆调制解调器(cable modem)或光纤,特别涉及家庭光纤(fibre to the home,FTTH)。下面描述涉及FTTH,但是应该容易看出它如何应用于具有类似特征的其他场景。FTTH网络通过在很多客户之间共享光纤设施和头端设备而可以更经济。无源光学网络(PON)属于此类别。在这种网络中,通常在物理上位于网络提供商处的单个头端节点通过提供16个外站(outstation)输出端数(fanout)的无源分光器(POS)连接到多个外站客户。
在下游方向上(从头端到外站)传输的通信业务(traffic)到达所有外站,并且根据包括在与每个数据分组相关的首标(header)中的地址由给定外站选择。在上游方向上,使用多路访问协议来确保同时只有一个外站传输信息。
这种网络可以用来将多个服务传输到客户,包括视频服务和数据服务。在客户处,光学网络单元(ONU)连接到光纤网络,并且提供一个或多个接口来让客户可以将终端用户设备与之相连。该设备可能包括一个或多个顶置盒(STB),用于作为接口将视频服务连接到电视机和一个或多个个人计算机。这些设备均能够通过例如以太网接口来连接。
ONU通常将由网络运营商提供,它能够控制包括在ONU本身中的软件。然而,连到以太网接口的设备经常在网络运营商的控制之外,因此终端用户可能能够载入在网络运营商的控制之外的软件。
视频服务包括可由各个终端用户选择观看的电视频道,并且可以分为两大类别多址广播和视频点播(VOD)。多址广播视频频道由很多用户同时观看。这种频道可以包括例如标准广播频道、订购频道(用户按月付费以随时观看想要观看的电视频道)和按每次观看付费频道(用户付费观看特定节目)。VOD频道是由特定用户请求的节目,并且仅提供给那个用户。每个VOD频道在网络内需要一条起自视频服务器的专用数据路径。多址广播频道通过在数据路径中包括多址广播特性,典型地是使用位于访问网络头端的路由器,避免从服务器到各用户的专用路径。当第一用户请求多址广播频道时,该频道从服务器传送到头端路由器,并且通过路由器与访问网络建立连接。如果另一用户随后请求观看相同频道,则在路由器内建立第二连接以使频道发送到第二用户所连接的接口上。由于第二用户是在加入现有频道,因此在服务器与路由器之间的链接上不需要任何额外的数据容量。存在用于从终端用户设备发信令到路由器以加入和离开多址广播组的协议。当数据传输基于网际协议(IP)时,可以使用称作网际分组管理协议(IGMP)的多址广播信令协议。传统地在IP网络中,多址广播流给有从为多址广播IP分组保留的一组地址中取出的目的IP地址。类似地,当使用以太网作为介质访问控制(MAC)层时,从为多址广播以太网帧保留的一组地址中取出目的MAC地址。因此,在IP层和MAC层,所使用的地址表示多址广播数据流内容而不是标识特定目的地。
网际工程任务组(IETF)征求评议(RFC)1112中给出一种将IP层多址广播地址映射到MAC层多址广播地址的算法。这是多对一映射,其中,单个MAC地址能够代表很多不同方案(scheme)。在使用此映射的系统中,多址广播频道不能在MAC层唯一标识,并且必须检查IP层目的地址以保证唯一性。
在多址广播协议的一个变体中,它被称作源特定多址广播(SSM),需要源IP地址和目的IP地址来唯一标识特定多址广播流。在使用SSM的系统中,目的多址广播MAC地址不被保证唯一。由于当前协议在源MAC地址中不反映源IP地址,因此SSM频道不能在MAC层唯一标识,并且必须检查IP层的源地址。
当终端用户连接是共享介质网络(如PON)时,出现一个问题每当其中一个用户请求多址广播流时,该流将传送到PON所有终端用户处的ONU,并且通过监听那个地址的通信业务,第二用户即使不付费也将能够观看服务。这就导致内容提供商极其不希望的收入损失。
发明目的本发明寻求提供一种改进方法和装置,用于克服与现有技术相关的一个或多个问题。
发明内容
根据本发明的一方面,提供一种网络访问单元,用于限制用户对在局部访问网络上传输的信号的访问,并且包括一端口,用于接收用户频道请求;频道请求审查单元,用于根据预定许可频道列表对请求进行审查;发送器,用于根据审查转发频道请求。
在一个优选实施例中,该单元还包括接收器,被设计为从网络头端接收控制信号,以更新许可列表。
在另一个优选实施例中,时间与预定频道列表中的至少一个频道相关联,并且其中,频道审查单元根据时间审查对所述至少一个频道的请求。
在另一个优选实施例中,局部访问网络是共享介质访问网络。
在另一个优选实施例中,该单元被设计为接收光学介质上的信号。
根据本发明的另一方面,提供一种客户处设备,包括如权利要求1所述的网络访问单元。
根据本发明的另一方面,提供一种光学访问网络,包括如权利要求1所述的网络访问单元。
根据本发明的另一方面,提供一种内容服务提供商服务器,被设计为连接到网络,并且包括发送器,将一个或多个内容频道和频道控制信号传输到包含许可频道列表的远端网络访问单元;其中,控制信号用来更新许可频道列表,从而控制订购者对传输内容频道的访问。
最好,控制信号包含在许可列表中与一个或多个频道相关联的时间相关信息。
本发明还支持一种通信系统,包括实施本发明的装置的一个或多个实例,以及其他附加装置。
本发明还涉及一种运行所述装置的方法,并且包括用于执行该装置各功能的方法步骤。
具体而言,根据本发明的另一方面,提供一种限制用户对在局部访问网络上传输的信号的访问的方法,包括如下步骤在第一端口接收用户频道请求;根据预定许可频道列表对请求进行审查;根据审查转发请求。
最好,该方法还包括如下步骤从网络头端接收控制信号,从而根据控制信号更新许可列表。
最好,该方法还包括如下步骤将时间与预定频道列表中的至少一个频道相关联;根据时间对请求进行审查。
最好,频道请求包含在IGMP消息中传输。
根据本发明的另一方面,提供一种运行内容服务提供商服务器的方法,包括如下步骤将一个或多个内容频道和频道控制信号传输到包含许可频道列表的远端网络访问单元;其中,控制信号用来更新许可频道列表,从而控制订购者对传输内容频道的访问。
最好,该方法还包括如下步骤接收要改变频道订购详细信息的用户发起请求;对之响应将许可频道列表更新信号传输到与用户相关的远端网络访问单元。
根据本发明的另一方面,提供在客户处设备中使用IGMP审查功能块,以提供网络上的安全多址广播。
根据本发明的另一方面,提供在客户处设备中使用IGMP审查功能块和网络接收地址过滤器,以提供网络上的安全多址广播。
本发明还涉及一种计算机程序,包括被设计为执行各方法功能的多个组件。
具体而言,根据本发明的另一方面,提供一种机器可读介质上的计算机程序,它被设计为在第一端口接收用户频道请求;根据预定许可频道列表对请求进行审查;根据审查转发请求。
具体而言,根据本发明的另一方面,提供一种控制信号,用于传输到具有许可频道列表的网络访问单元,包括至少一条包含网络访问单元许可频道列表更新信息的消息。
最好,所述至少一条信息包含在许可频道列表中与一个或多个频道相关联的时间相关信息。
最好,控制信号包括IGMP消息。
有利的是,本发明的各方面在最小化增加ONU复杂度的情况下,为多址广播服务(例如多址广播视频)提供改进的安全性。
这些优选特性可以根据需要进行组合,这对于本领域的技术人员是清楚的,并且这些优选特性可以与本发明的任一方面进行组合。
为了示出本发明是如何实施的,下面将仅作为示例参照附图对本发明的多个实施例进行描述,其中图1示出本发明的通信网络的示意图;图2示出本发明的光学网络单元(ONU)的示意图;图3示出本发明的多址广播广播频道包结构的例子;以及图4示出本发明的通信网络的另一示意图。
具体实施例方式
参照图1,示出包括基于无源光学网络(PON)的访问网络的用于传送多址广播视频服务的端对端网络的一个可能实施例的系统概览。其中仅示出与本发明相关的那些单元。
头端10包括路由器110和一个或多个光学线路终端单元(OLT)120-121。路由器在下游方向上包括分组转发器111和信号处理器112,每个OLT从路由器接收分组,加入实现PON协议所需的任何协议和控制信息,并且将数据流转换为光学信号,以通过共享光学介质20传输到一个或多个终端用户。在上游方向上,OLT 120接收由一个或多个ONU 30复用到介质上的光学信号,并且提取数据流发送到路由器以向前传输。可选地,OLT 120-121可以在物理上集成到头端路由器110中。
视频服务器40担当多个多址广播视频节目的源,其中每个节目作为由分组首标中的地址标识的单独分组流来传输。典型地,到服务器的数据链接60将是跨IP网络的分组交换路径。在一个实际系统中,将使用多个附加服务器来传送很多服务到终端用户。
结帐和管理功能块或单元50保存识别各终端用户被授权接收哪些多址广播流的信息。
在所示示例网络中,每个OLT连接到包括信号分裂器210的光学网络,从而单个OLT能够与终端用户处的多个ONU 30交换信息。在一个优选实施例中,信号分裂器210为无源分光器。
每个ONU可以连接到一个或多个终端用户信息设备如分别用于视频和数据应用的电视顶置盒(STB)70-71和个人计算机(PC)80。
图2更详细地示出ONU 30的例子。网络接收功能块31将来自网络连接211的下游光学信号转换为电气信号,并且仅将打算送往所连用户的那些信息分组传递到分组过滤器32。送往其他PON用户的其他分组被阻止。要通过的分组地址包含在地址列表33中。在这个结构中,地址列表可以根据终端用户所请求的视频频道来动态修改。
分组过滤器32从分组流中提取送往ONU内管理处理器功能块34的那些分组。其他分组传递到多个终端用户信息设备70-71、80所连接的以太网交换机35。
ONU从终端用户设备70-71、80接收的信息分组通过以太网交换机35传到控制分组过滤器36。来自终端用户的频道改变请求由顶置盒70-71和PC 80封装在控制分组中,并且发送到ONU。提取作为多址广播视频控制分组识别的分组,并传到IGMP审查功能块37。其他分组转发到网络发送功能块38,它实现PON上游传输协议,并且在适当的时候通过局部PON将分组212发送到头端10。
根据许可频道列表39检查发送到IGMP审查功能块37的多址广播控制分组。如果请求用户有资格接收请求频道,则IGMP审查功能块通过网络发送功能块38将请求转发到头端。
可选地,代替阻止对禁止频道的请求,IGMP审查功能块37可以修改请求分组内容,并且将修改请求转发到网络,以将终端用户设备连接到邀请用户订购所请求但尚无资格接收的服务。
当不在许可频道列表内时将IGMP请求转发到头端10将导致头端路由器将流加到在共享下游介质上传输的复合数据流。恶意用户能够发起很多(多址广播)频道加入,因此增大下游链接所占容量,并且可能拒绝对其他人的服务。因此,不在许可频道列表上的频道请求最好不转发。
通过在头端路由器中截获IGMP消息来降低拒绝服务攻击的脆弱性在技术上将是可能的,但是这在路由器中将需要非标准特性,并且当大量用户连接时扩展性可能不好。
除非在ONU中加入附加功能,否则,如上所述,服务偷窃将只能在路由器中通过使用以访问网络线路速率处理数据流的附加硬件在头端设备内对多址广播流进行加密来解决。ONU中的解密将增大系统成本敏感区域的复杂度。
最好,终端用户知道当他请求频道时未被授权接收该频道。
如果用户重复这些尝试,则最好还作为策略功能或营销机会的一部分通知管理系统。
可选地,如果审查功能块检测连接到未被授权频道的(多次)尝试,则ONU 30可以发送一个消息到结帐和管理系统50。
一旦判定用户有资格接收请求频道,则通知管理处理器34,并且它把将要在承载所选频道数据的信息分组中使用的多址广播地址加到地址列表33。然后,这些分组允许通过网络接收功能块31并且转发到以太网交换机34,从而到达终端用户信息设备70-71、80。
在头端路由器110中,IGMP消息转发到信令处理器112,它指示分组转发器111将新连接加到所选多址广播流,从而使流通过OLT转发到终端用户。由于ONU中的审查功能块确保没有未被授权频道的请求传到网络,因此在路由器中不需要任何附加审查。
可选地,代替根据改变频道的用户请求生成IGMP消息,STB70-71、80可以采用由ONU解释的某种其他格式,生成控制消息,并且在转发到OLT之前翻译为IGMP消息。然后,ONU以类似于上面对进入IGMP消息所述的方式作用于经过解释的消息。
许可列表39使用作为下游通信业务的一部分发送且通过分组过滤器32传送到管理处理器34的管理消息,从头端10填充。许可列表可以根据实现采用不同的形式,包括但不限于客户有资格接收的特定频道列表;客户禁止观看的频道列表;或者施加于请求以判定给定频道是否许可的一组规则(最后一个可选项的规则组例子可以得自Unix h‘osts.allow/hosts.deny(主机.允许/主机.拒绝)’命令的语义。)系统最好基于网际协议系列。在使用桥接(MAC层转发)的ONU中,IGMP审查功能块37最好使用MAC地址来执行;在使用路由(IP层转发)的ONU中,IGMP审查功能块37最好使用IP地址来执行。为最小化ONU复杂度和改善吞吐量,通过网络接收功能块阻止禁止进入多址广播频道可以使用MAC地址匹配来执行。
在从IP层多址广播地址到MAC层多址广播地址的映射使用IETF RFC 1112,并且IGMP审查功能块37使用MAC地址来执行的情况下,IGMP审查功能块也可以可选地检查目的多址广播IP地址。在从IP层多址广播地址到MAC层多址广播地址的映射使用IETF RFC 1112,并且通过网络接收功能块阻止禁止进入多址广播频道的情况下,网络接收功能块31也可以可选地检查IP目的地址,但是最好只是在MAC层地址匹配功能块表示用户可以有资格接收指定流的情况下。
在源特定多址广播(SSM)结合IP层审查一起使用的情况下,审查功能块最好应检查源和目的地址,以确定接收特定流的资格。在SSM结合MAC层审查一起使用的情况下,审查功能块最好也应检查IP地址。在使用SSM的情况下,网络接收功能块最好也应检查IP地址。在使用SSM的情况下,最好只有在MAC层检测到地址匹配,网络接收功能块才应检查IP地址。
在视频IP头端,可以采用如MPEG-2/RTP/UDP/IP/PON多址广播组的协议栈。IP和MAC的源地址被定义并被传输。
理想地,所有可用视频频道可以提供给OLT。OLT被设计为设置并保持所有IP多址广播频道的接收。例如可以存在由单个提供商提供的200个频道。OLT还滤出上游IGMP请求。
图3示出一组频道可能映射到多址广播IP地址的方式。这些频道可以例如作为基本包和一个或多个高级费用包以频道组通过订购或其他方式来提供。
在顶置盒(STB),传统地,每次STB启动,许可TV频道列表由服务提供商载入。应该注意,该特性是为了方便观众,而并不防止服务遭到其他信息设备如PC的未被授权访问。顶置盒最好使用IGMP版本2或具有类似功能的协议。
一种在例如顶置盒#1上处理用户的第一频道请求的方法,包括如下步骤1.STB 70通过发出对特定频道IP地址(例如)225.0.1.2的加入IP多址广播请求,请求一个频道(例如频道2)2.ONU接收IGMP加入请求3.ONU检查请求频道在其许可频道列表上,并且将对所选频道(255.0.1.2)的IGMP请求向上发送到头端单元10,并且开始监听那个地址(255.0.1.2)的多址广播信号。
4.头端单元10接收要加入频道(2)的IGMP请求。
●如果请求频道已在那个链接上传输,则头端单元继续并且可以可选地记录请求STB的IP地址。
●如果请求频道尚未在那个链接上传输,则通过头端将所选频道以流的方式传到请求链接,并且可选地记录请求STB的IP地址。
5.ONU 30接收频道2的视频分组,并且将这些流转发到请求STB的端口。
一种在例如顶置盒#1上处理用户的频道改变请求的方法的例子,包括如下步骤1.当前观看第一频道(例如频道2)的STB 70用户操作频道改变按钮,以观看第二频道(例如,频道3)。
2.STB 70发送频道2的离开消息(离开IP多址广播225.0.1.2)和频道3的加入请求(加入IP多址广播225.0.1.3)3.ONU 30接收IGMP离开请求,并且将它向上发送到头端10。
4.ONU 30检查频道3在那个STB的许可频道列表上,并且将对255.0.1.3的IGMP请求向上发送到头端10,并且开始监听请求地址(255.0.1.3)的传输。
5.头端10接收要离开频道2的IGMP请求。
●如果STB 70是在那个链接上请求那个频道的唯一用户,则可以中止那个链接上的那个频道传输,并且可选地可以删除请求STB的IP地址的记录。
●如果STB 70不是在那个链接上请求那个频道的唯一用户,则那个链接上的那个频道传输可以继续,并且可选地可以删除请求STB的IP地址的记录。
6.头端10接收要加入最新请求频道(频道3)的IGMP请求。
●如果那个频道已在那个链接上传输,则头端10继续并且可选地记录请求STB 70的IP地址。
●如果那个频道尚未在那个链接上传输,则通过头端10将最新请求频道(频道3)以流的方式传到请求链接,并且可选地记录请求STB的IP地址。
7.ONU 30接收请求频道的视频分组。ONU停止将频道2流转发给用户,而是将最新请求频道流(频道3)转发到请求STB的端口。
通过将一个时间或多个时间与许可列表中的频道相关联,可以支持按每次观看付费的方案以及上述按照每个频道付费的方案。具体而言,如果ONU 30包括实时时钟(或者从网络或其他处访问周期实时信号),用户可以在限定时间范围内订购频道,例如●许可列表可以将一个结束时间与各个频道相关联,到达该结束时间之后,将频道从许可列表中删除,从而允许用户即时订购当前频道;直到比方说当前广播电影的结束;●许可列表可以将开始和结束时间与各频道相关联,然后频道仅在开始时间和结束时间之间才可用,从而允许提前预订按每次观看付费的服务;●许可列表可以将更复杂的时间区间与任一给定频道相关联,从而支持例如订购特定频道仅到晚上9:00,其中,例如,频道提供商在晚上的那个时间之前禁止传输“成人”频道内容。其他选项包括哪一天(time-of-day)或星期几(time-of-week)的约束,从而可能对其施加不同的订购费用等。
可用性时间限制也可以由头端活动控制来实现,这是通过发送特定增加/删除控制信号到ONU以使许可列表得到更新。这将避免在各个ONU中提供实时时钟。
用来审查频道请求的许可列表可以在总体上与ONU相关联,因此同样地施加于通过它接收服务的各个STB或PC,或者接收服务的各个单独STB/PC。采用后一种方式,不同STB可以具有单独的频道访问控制来施加于支持例如父母对孩子观看的控制孩子房屋的STB仅接收针对孩子的频道;所订购的“成人”内容只能由家庭成人观看。
现在参照图4,上述本发明还不限定于各个STB或PC直接连接到ONU。在图4所示的另一个实施例中,示出通过访问网络连接到OLT 120的第二ONU 30a。该结构还具有连接到ONU用户端口的客户处网络81。客户处网络包括通过交换机813(例如以太网交换机)连接到对ONU 30a的访问连接的STB 812和PC 811。这样,单个ONU可以支持若干客户处(例如,在多个居住单元中,或沿街)。在这种结构中,ONU可以包括针对每个ONU客户端口或每个STB/PC的许可信道列表。虽然该结构增加ONU的复杂性,但是它减少所要部署的ONU的数目,从而潜在地降低运营成本。
而且,虽然上面描述是按照在IP上传输的多址广播信号和IGMP信令和频道来提出的,但是审查用户频道请求的基本方法清楚地独立于请求信号的多址广播特性-非多址广播网络中点对点信号访问可以以相同的方式来控制,并且独立于所使用的特定信令和广播协议。
可以容易地看出,本发明可以应用于使用多址广播传送的其他服务,如音频、软件发行和一般推送(push)型内容传送。
本领域的技术人员在理解本发明内容时应该清楚,在此给出的任何范围或设备值可以进行扩展或修改而不失去所寻求的效果。
权利要求
1.一种网络访问单元(30),用于限制用户对在局部访问网络(20)上传输的信号的访问,并且包括一端口,用于接收用户频道请求;频道请求审查单元(37),用于根据预定许可频道列表(39)对请求进行审查;发送器(38),用于根据审查转发频道请求。
2.如权利要求1所述的网络访问单元,还包括接收器(31),被设计为从网络头端接收控制信号,以更新许可列表。
3.如权利要求1-2中的任一项所述的网络访问单元,其中,时间还与预定频道列表中的至少一个频道相关联,并且频道审查单元根据时间审查对所述至少一个频道的请求。
4.如权利要求1-3中的任一项所述的网络访问单元,其中,局部访问网络是共享介质访问网络。
5.如权利要求1-4中的任一项所述的网络访问单元,被设计为接收光学介质上的信号。
6.一种客户处设备,包括如权利要求1-5中的任一项所述的网络访问单元。
7.一种光学访问网络,包括如权利要求1-5中的任一项所述的网络访问单元。
8.一种服务提供商服务器(10),被设计为连接到网络,并且包括发送器(111),将一个或多个内容频道和频道控制信号传输到包含许可频道列表(39)的远端网络访问单元(30);其中,控制信号用来更新许可频道列表,从而控制订购者对传输内容频道的访问。
9.如权利要求8所述的服务提供商服务器,其中,控制信号包含在许可列表中与一个或多个频道相关联的时间相关信息。
10.一种限制用户对在局部访问网络上传输的信号的访问的方法,包括如下步骤在第一端口接收用户频道请求;根据预定许可频道列表对请求进行审查(37);根据审查转发(38)请求。
11.如权利要求10所述的方法,还包括如下步骤从网络头端接收(31)控制信号;根据控制信号更新许可列表(39)。
12.如权利要求10-11中的任一项所述的方法,还包括如下步骤将时间与预定频道列表中的至少一个频道相关联;根据时间对请求进行审查。
13.如权利要求10-12中的任一项所述的方法,其中,频道请求包含在IGMP消息中传输。
14.一种运行内容服务提供商服务器(10)的方法,包括如下步骤将一个或多个内容频道和频道控制信号传输到包含许可频道列表(39)的远端网络访问单元(30);其中,控制信号用来更新许可频道列表,从而控制订购者对传输内容频道的访问。
15.如权利要求14所述的方法,还包括如下步骤接收要改变频道订购详细信息的用户发起请求;对其进行响应将许可频道列表更新信号传输到与用户相关的远端网络访问单元。
16.在客户处设备中使用IGMP审查功能块(37),以提供网络上的安全多址广播。
17.在客户处设备中使用IGMP审查功能块(37)和网络接收地址过滤器(32),以提供网络上的安全多址广播。
18.一种机器可读介质上的计算机程序,被设计为在第一端口接收用户频道请求;根据预定许可频道列表对请求进行审查(37);根据审查转发(38)请求。
19.一种控制信号,用于传输到具有许可频道列表(39)的网络访问单元(30),包括至少一条包含网络访问单元许可频道列表更新信息的消息。
20.如权利要求19所述的控制信号,其中,所述至少一条信息包含在许可频道列表(39)中与一个或多个频道相关联的时间相关信息。
21.如权利要求19-20中的任一项所述的控制信号,其中,控制信号包括IGMP消息。
全文摘要
包括图2;一种通过具有频道请求审查功能块(37)和许可信道列表(39)的网络访问单元(30)在局部访问网络(20)上提供安全多址广播的方法。根据许可信道列表对订购者的频道请求进行审查,并且仅在许可的情况下对它进行转发。许可列表可以在头端控制下进行动态更新,以允许用户根据需要订购和退订服务。
文档编号H04N7/173GK1483258SQ0182145
公开日2004年3月17日 申请日期2001年11月27日 优先权日2000年11月29日
发明者布赖恩·尤尼特, 迈克尔·格兰特, 朱利安·凯布尔, 娄.皮诺, 凯布尔, 格兰特, 布赖恩 尤尼特 申请人:诺泰尔网络有限公司