专利名称:具有交互业务的广播网的制作方法
技术领域:
本发明涉及包括耦合到多个用户站的一个信息服务器的广播网,该广播网进一步包括用于把信息从用户终端发送到前端的一个返回信道,该广播网还包括鉴别装置,用于授权用户终端对交互业务的接入。
本发明还涉及一个用户终端、一个网关和一种方法。
从1997年11月出版的EBU/CENELEC/ETSI-JTC中用于DVB交互业务的网络独立协议的数字视频广播(DVB)的ETS 300802中可得知根据前置码的广播网。
目前,交互业务被引入到几个类型的广播网中,例如DVB卫星、DVB有线和DVB陆基广播网。为了实现这些交互业务,引入一个返回信道,以便把信息从用户终端发送到前端。信息服务器能存在于前端中,但是还可能把一个远程服务器连接到该前端。例如该用户终端可能是一个机顶盒或一个有线调制解调器。该返回信道可能是一个经过公众电话交换网、经过有线返回信道甚至经过卫星返回信道的一个连接。
信息服务器的操作器要求可靠的鉴别、授权以及使用该信息服务器的用户的随后付帐。在当前系统中,此授权是使用RFC 1661以及RFC1994中描述的点对点协议(PPP)实现的。PPP不适合于针对不同业务的鉴别和授权,因为PPP仅提供了用于一个通信链路的鉴别和授权。
本发明目的是提供根据该前置码的一个广播网,其中有可能实现针对多样业务的授权和鉴别。为实现所说的目标,根据本发明的广播网之特征在于,该用户终端包括授权发送装置,用于把授权请求信息发送到一个授权服务器,该授权服务器用于校验该用户的由该信息服务器所提供业务的权益,以及该授权服务器用于实现该用户接入所说的业务。
通过在用户终端中引入授权发送装置并且添加能对其发送请求信息的授权服务器,该鉴别服务器则从该用户终端请求一个鉴别信息。在用户标识以及请求服务的权益已经被校验之后,该授权服务器通过所说的用户终端实现所说业务的使用。上述处理能针对每个不同业务进行。
在RFC 2138公开了所谓的半径协议。在此协议中,该授权发送装置不包括在该用户终端中,但是存在于一个用户登录寻求业务接入的服务器中。
本发明的一个实施例的特征在于,信息服务器经过一个网关耦合到用户终端,并且通过把一则信息发送到允许所说用户接入所说业务的网关,该授权服务器用于实现该用户对所说业务的接入。
实现对该业务接入的一种容易方法是,发送一则指令信息到一个网关,通知该网关必须传送用于该授权用户站的某些业务。此网关能够存在于该前端中。
本发明的进一步的实施例的其特征在于,所说的信息包括关于至少一个信源IP地址的信息,从该IP地址将IP数据包传送到用户站。
实现业务的一个适当的方法是通知该网关已经一个特定目的地址的该IP数据包必须被传送到已经请求的用户终端。在某些系统中,还需要从该用户终端把该IP数据包传送到具有一个特定目的地址的主机。此目的地址可以与源地址相同,但不必须相同。
现在参照附图解释本发明。
图1示出根据本发明的通信网络的方框图。
图2示出用在根据本发明的用户终端中的一个协议组。
图3示出的流程图表示由该信息服务器30提供的用户终端接入业务的一个成功尝试。
图4示出的流程图表示由该信息服务器30提供的用户终端接入业务的一个失败尝试。
在图1的广播网中,其能够是一个机顶盒(STB)或有线调制解调器的一个用户终端2经由混合光纤有线网络的两个逻辑信道3和4连接到一个网关14(广播网适配器)以及一个网关12(交互网络适配器)。
第一逻辑信道是一个单方向的广播信道,它是传送视频、音频和数据的一个广播传送网8的一部分。第二逻辑信道是一个双向的交互作用信道,它是交互网络10的一部分。该第二逻辑信道用于交互目的。它是由一个返回交互路径和一个传送交互路径形成的。该传送交互路径也可以嵌入到该广播信道中。在某些简单的实施方案中,有可能不需要该交互频道的正向路径,这些实施方案仅用于传送数据的广播信道。具体构成上,该广播传送网和交互网络是在一个HFC网络上形成的,就是说,该STB具有一个到该HFC网络的RF连接。
该交互网络适配器(INA)12执行一个进网服务器(NAS)的功能,允许用户终端12(STB或有线调制解调器)经过HFC网络8接入一个IP网络16。它把该交互(IP)数据嵌入在该交互频道3中。该广播网适配器(BNA)14把该(IP)数据嵌入在该广播信道4中。
根据本发明,授权服务器18、20和22连接到该IP网络16。这些授权服务器将还被称为半径(RADIUS)服务器,因为它们的操作根据该RADIUS协议(RFC 2138)。用户终端2经过INA 12把一个授权请求信息发送到RADIUS服务器18、20和22之一。这些RADIUS服务器把一个接入询问信息发送到该用户终端2,以便检查该用户终端的标识。响应所说的接入询问信息,用户终端2发送一个第二访问请求信息,其载有对询问信息的响应并鉴别自身。如果由该第二访问请求信息携带的信息被认为是正确的,则该RADIUS服务器把配置信息提交到该INA(或BNA),以便把业务传送到当事的STB。
作为选择,一个RADIUS服务器能够充当一个其它RADIUS服务器或其它种类的鉴别服务器的代理客户机。这能够在图1中通过半径服务器24、26以及28到半径服务器18的连接看到。
如上述解释,鉴别、授权以及付帐是以RADIUS协议为基准的,因为该标准是用于在该因特网产业中授权和付帐的标准。在逐个对话的基础上,RADIUS协议支持鉴别、授权以及付帐。而且,支持不同应用程序的并行运行,因为每个应用程序都能够启动请求信息到RADOUS服务器的发送。还能支持不同付帐策略,例如网页浏览以及IP电话,因为该RADIUS服务器能把不同配置信息发送到INA 12和/或BNA 14。
由于不同RADIUS服务器的存在,有可能每个ISP或ASP实现其自己的鉴别、授权以及付帐。
该体构应该实现STB的功能,该STB功能不包括把该结构插入电缆网络的功能。但是,应该采取安全措施,使它们不能接入(可期望的)必须被鉴别以及授权的业务。该结构是安全的,即用户不能通过例如‘黑客’该STB或有线调制解调器的手段绕过鉴别、授权以及付帐,因为所有的感测信息都能存储在一个安全的智能卡上。
该计划是把RADIUS功能加到机顶盒和有线调制解调器,即似乎把一个RADIUS客户机做成STB或CM。这能够通过把RADIUS功能添加到该STB以及CM中间制品来实现。
STB RADIUS客户机存在于用户终端2中,与在INA 12之内的一个RADIUS代理通信,该INA 12又与该当事的ISP或ASP的RADIUS服务器18、20或22通信。该INA 12包括一个IP滤波器并且有用于付帐的功能。
用户终端2使用一个智能卡,它包括用于每个用户的一个ID、密码和CHAP安全码。在该连接建立点,数据被用于由RADIUS服务器18、20或22实现的对该用户终端2的鉴别和授权。
INA 12包括一个RADIUS安全模块,用于确保与RADIUS服务器连接的安全。RADIUS安全模块用于把该信息的有用负荷的一个加密信息摘要加到每个RADIUS信息,以使RADIUS服务器18、20或22能够校验由一个授权的INA产生的信息而不损害该信息。
RADIUS服务器的数据库包括用于每个用户终端的ID、密码和存储在该智能卡上的CHAP安全性数据。而且,它包括用于每个INA的RADIUS安全数据,以便鉴别出自该当事INA的RADIUS信息,反之亦然。
在该STB内的RADIUS客户机执行用于RADIUS鉴别、授权以及付帐的所有的必要的功能。它能够产生和处理所有的RADIUS信息,即接入请求、接入接收、接入拒收接入接入查问,以及付帐信息付帐请求、付帐响应以及必要的信息属性。
RADIUS信息将仅在交互频道上在STB和INA之间交换。
用户终端2了解该RADIUS服务器的IP地址,需要用于授权、鉴别和付帐。如果不是这样,该STB使用IP广播地址255.255.255.255,并且该INA 12的RADIUS代理服务器填充该缺省RADIUS服务器的IP地址。RADIUS使用公知的UDP端对数1812用于RADIUS鉴别和授权,使用1813用于RADIUS付帐。)RADIUS信息属性‘NAS-Port’可在该用户终端2中用于编址不同应用程序的运行。
RADIUS信息属性‘NAS-IP-地址’用于通知在用户终端2中存在的RADIUS客户机的IP地址的指定RADIUS服务器。
图2示出在用户终端2中执行协议组。在应用层32下面,存在RADIUS客户机层36。RADIUS层放置在该UDP/TCP层38和40之上。它能够是中高速通道(MediaHighWay)适应层34的一部分。在用户终端2中的一个以上应用能够利用该RADIUS功能,以使针对每个应用都能执行一个RADIUS对话,即执行能实现的鉴别、授权以及付帐。TCP或UDP层下面,存在IP层和MAC层。
在图3的流程图中,示出需要在用户终端2、INA12、RADIUS服务器之间进行的交互作用鉴别、授权与付帐。
在STB之后执行的程序已经在步骤56中在MAC层上成功地标记。步骤58中,用户终端2发送一个DHCP请求信息到INA12,以便获得一个IP地址。步骤60中,INA12通过发送一个包括由该用户终端2使用的IP地址的DHCP回复信息作为回复。
为了接入一个业务,用户终端2在步骤62中发送一个RADIUS访问请求信息到INA12。在步骤64中,INA12把该请求信息传送到适当的RADIUS服务器,例如RADIUS服务器18。响应所说的RADIUS访问请求信息,RADIUS服务器在步骤66中发送一个RADIUS询问信息到INA12,该INA12在步骤68中传送这则信息到用户终端2,以便鉴别之。用户终端2在步骤70以发送(步骤72,经过INA12)一个RADIUS访问请求信息作为回复,包括到该RADIUS服务器18的RADIUS询问响应。
该RADIUS服务器18核查该查问响应信息,如果该查问响应是正确的,则该RADIUS服务器18在步骤74中以一个RADIUS接入接受信息回复。RADIUS接入接受信息通知该INA12,并且在步骤76中通知该用户终端2,该用户终端2发出对该请求业务的接入。
在该请求的业务被开始之前,用户终端2在步骤78和80中经过INA12发送一个RADIUS付帐请求信息到RADIUS服务器18,以便接通针对请求业务的付帐。RADIUS服务器18在步骤82中以对该INA12发送一个RADIUS付帐响应信息作反应。该信息将调节INA12的IP滤波器84,其调节方法是使请求业务该IP数据包能被通过该INA12传送到用户终端。而且,INA12把该RADIUS付帐响应信息传送到用户终端2。响应该RADIUS付帐响应信息,该用户终端2开始该业务。
当请求的业务已经结束时用户终端2在步骤90和92中经过该INA12发送一个RADIUS付帐请求信息到RADIUS服务器18,以断开付帐。RADIUS服务器18以一个RADIUS付帐响应94应答该信息92,付帐响应94被发送到INA12,并且其是作为信息98传送到用户终端。当该INA12从RADIUS服务器12接收该RADIUS付帐响应时,该IP滤波器的调整方法要使得该当事业务的IP数据包由该INA阻滞。
上述看到的只是在STB、INA和RADIUS服务器之间如何能实现交互作用的实例。在此过程中能引入许多变化。
根据图4的流程图,示出针对用户终端2被拒绝情况的在用户终端2、INA12和RADIUS服务器18之间的交互作用包括步骤72在内的步骤前段步骤与图3示出的步骤完全相同。当该用户终端发送的查问响应不正确时,RADIUS服务器回复一个RADIUS接入拒绝信息100,发送到INA12并且传到用户终端2,通知该INA12和用户终端2不允许接入该业务。
一段时间之后,用户终端2再次进入该网络。对于该STB的访问许可已经在此期间改变的情况来说,这是很方便的。例如,该用户已经呼叫该接入服务提供者的服务中心修改其许可。这重复的尝试在图4中由“实行”和“当不接受时”框106和104指示。只要该用户终端2的接入不被授权,INA内部的IP滤波器将阻滞从数据提供者30到用户终端2的数据传送。还阻滞从用户终端2到信息提供者30的信息传送。
利用PPP,仅该PPP“管道”(即连接)被鉴别和授权。而且,使用在PPP中的付帐对于所有类型业务相同,即它不能支持不同付帐策略对于不同业务的方式。在直接IP结构中,该鉴别、授权以及付帐能在逐一业务基础上实行。
通过使用一个IP滤波器以及通过STB外部的付帐,所建议的结构被期望是安全的,即用户不能通过使用一个“伪造的”STB绕过鉴别、授权以及付帐。该IP滤波器将把未经批准的STB排斥在外。该IP滤波器将由来自当事RADIUS服务器的RADIUS信息所控制。
该建议的结构能够支持来自第三方的以有线调制解调器以及STB形成的同构型网络。可以看到,该建议的结构还利用PPP操作。
缩写词ASP访问服务提供者BNA广播网适配器CM 有线调制解调器CRC有线返回信道DVS数字视频系统BFC混合光纤同轴缆
INA 交互网络适配器IP 网际协议ISP 互联网服务提供者MAC 介质接入控制RADIUS 用户业务遥控鉴别拨号RF 射频STB 机顶盒TCP 传输控制协议UDP 用户数据包协议
权利要求
1.广播网,包括耦合到多个用户站、用于把广播信号发送到该用户站的一个信息服务器,该广播网还包括一个返回信道,用于把信息从用户终端发送到前端,该广播网还包括用于授权该用户终端接入到交互业务的鉴别装置,其特征在于,该用户终端包括授权发送装置,用于把授权请求信息发送到一个授权服务器,该授权服务器用于校验该用户到由该数据服务器提供业务的授权,并且该授权服务器用于实现该用户到所说业务的接入。
2.根据权利要求1的广播网,特征在于,信息服务器经过一个网关耦合到用户终端,并且通过把一则信息发送到允许所说用户接入所说业务的网关,该授权服务器用于实现该用户对所说业务的接入。
3.根据权利要求2的广播网,其特征在于,所说的信息包括关于至少一个信源IP地址的信息,从该IP地址将IP数据包传送到用户站。
4.根据权利要求2或3的广播网,其特征在于,所说的业务使用IP数据包发送,以及所说的信息包括关于至少一个信源IP地址的信息,从该IP地址将IP数据包传送到用户站。
5.用于接收广播信号的用户站,所说用户站用于经过一个返回信道把信息发送到一个前端,其特征在于,该用户终端包括授权发送装置,用于把授权请求信息发送到一个授权服务器,该用户终端还用于从授权服务器接收授权信息,并且该用户站用于在接收一个肯定的授权信息之后从该前端请求业务。
6.用于把信息从一个信息服务器传送到至少一个用户终端的网关,其特征在于,该网关用于把来自用户终端的授权请求信息传送到一个授权服务器,以及该网关用于起动该用户响应从授权服务器接收的一则授权信息接入所说的业务。
7.包括把广播信号发送到至少一个用户站并且从该用户终端发送信息到一个前端的方法,方法还包括授权该用户终端对可用业务的接入,其特征在于,该方法包括步骤由用户终端发送授权请求信息到一个授权服务器、校验被提供业务的用户终端的授权,并且这种方法包括步骤如果该用户终端是有资格的,则启动用户对所说业务的接入。
8.根据权利要求7的方法,其特征在于该方法包括步骤经过一个网关把信息发送到用户终端,以及通过把一则信息发送到该网关而起动用户接入所说的业务,以便允许所说的用户接入所说的业务。
9.根据权利要求8的方法,其特征在于,所说的信息包括关于至少一个信源IP地址的信息,从该IP地址将IP数据包传送到用户站。
10.根据权利要求8或9的方法,其特征在于,所说的业务使用IP数据包发送,以及所说的信息包括关于至少一个目标IP地址,从该用户站传送该IP数据包到该IP地址。
全文摘要
在一个交互广播系统中,由服务提供者(30)发送的信号经过一个网关(12)传送到用户终端(2)。为了获得对业务的接入,用户终端(2)经过网关(12)发送一个授权请求信息到RADIUS服务器(18)。RADIUS服务器(18)响应该授权请求信息发送一个授权查询信息到用户终端(2)。用户终端以查询响应应答该查询信息。该查询响应由RADIUS服务器(18)核查,如果正确,该RADIUS服务器(18)发送一个信息到网关,以便实施该用户终端对业务的接入。
文档编号H04N7/16GK1292200SQ99803402
公开日2001年4月18日 申请日期1999年10月5日 优先权日1998年10月27日
发明者E·范维利根 申请人:皇家菲利浦电子有限公司