请求媒体资源传递的方法、媒体服务器、应用服务器和客户机设备.pdf

在请求从媒体服务器(102)传递点播资源的过程中，例如请求从视频点播服务器流送电影，客户机(101)向媒体服务器(102)提交预先与被请求的媒体资源相关联的令牌。媒体服务器(102)然后在准予所述请求并执行例如向客户机(101)传递所述媒体资源的请求的操作之前，对照与令牌相关的元数据证书，例如最大传递的次数和终止日期等，来校验所述令牌。

1.  一种在点播网络中客户机(101)向媒体服务器(102)请求传递媒体资源的方法，其特征在于，所述客户机(101)向所述媒体服务器(102)提交预先与所述媒体资源相关联的令牌，并且所述媒体服务器(102)在所述媒体资源传递之前对照与令牌相关的元数据校验所述令牌。

2.  根据权利要求1的方法，其特征在于，所述令牌包含令牌ID和令牌签名。

3.  根据权利要求1的方法，其特征在于，所述令牌由应用服务器(103)产生并预先与所述媒体资源相关联。

4.  根据权利要求1的方法，其特征在于，所述与令牌相关的元数据被预先存储在所述媒体服务器(102)中。

5.  根据权利要求1的方法，其特征在于，所述与令牌相关的元数据包含最大传递次数。

6.  根据权利要求1的方法，其特征在于，所述与令牌相关的元数据包含终止日期。

7.  根据权利要求1的方法，其特征在于，所述与令牌相关的元数据包含单次媒体传递的最大持续时间。

8.  根据权利要求1的方法，其特征在于，所述客户机(101)在被所述媒体服务器(102)询问时提交所述令牌。

9.  根据权利要求1的方法，其特征在于，请求媒体资源的传递需要请求播出所述媒体资源。

10.  根据权利要求1的方法，其特征在于，请求媒体资源的传递需要请求重新开始所述媒体资源。

11.  根据权利要求1的方法，其特征在于，请求媒体资源的传递需要请求停止播出所述媒体资源。

12.  根据权利要求1的方法，其特征在于，请求媒体资源的传递需要请求暂停播出所述媒体资源。

13.  根据权利要求1的方法，其特征在于，所述媒体资源是视频资源或图片资源或游戏或音乐资源。

14.  一种在点播网络中使用的媒体服务器(102)，该媒体服务器(102)能够处理来自客户机(101)的关于媒体资源传递的请求并向所述客户机(101)传递所述媒体资源，其特征在于，所述媒体服务器(102)包含：
a.接收装置，用于当请求传递所述媒体资源时从所述客户机(101)接收令牌，所述令牌预先与所述资源相关联；以及
b.校验装置，在所述媒体资源传递之前对照与令牌相关的元数据校验所述令牌。

15.  根据权利要求14的方法，其特征在于，所述媒体服务器(102)进一步包含：
c.存储装置(104)，用于存储所述与令牌相关的元数据。

16.  一种在点播网络中使用的应用服务器(103)，所述应用服务器(103)能够接收来自客户机(101)的关于媒体资源传递的请求，其特征在于，所述应用服务器(103)可操作地耦合到：
a.用于产生令牌且预先使所述令牌与所述媒体资源相关联的令牌产生装置；并且所述应用服务器(103)包含：
b.用于与所述客户机(101)共享所述令牌的令牌共享装置。

17.  一种在点播网络中使用的客户机设备(101)，所述客户机设备(101)能够向媒体服务器(102)请求传递媒体资源，其特征在于，所述客户机设备(101)包含：
a.用于向应用服务器(103)请求令牌的装置，所述令牌预先与所述媒体资源相关联；以及
b.当请求传递所述媒体资源时，用于向所述媒体服务器(102)提交所述令牌的装置。

请求媒体资源传递的方法、媒体服务器、应用服务器和客户机设备
技术领域
本发明主要涉及在点播网络中请求媒体资源传递的方法，例如客户机设备(例如机顶盒或STB)与媒体点播服务器之间执行的、用以请求媒体资源传递的过程。在本专利申请书中的请求传递可以是但不须限制于发起媒体对话的请求。在视频点播的例子中，传递请求可以例如是开始电影播出的请求，也可以是暂停电影播出的请求、停止电影播出的请求和从电影内部特定位置重新开始电影播出的请求等等。本发明主要解决防御拒绝服务(DoS)攻击的视频点播服务器的资源级保护的问题。
背景技术
请求传递点播媒体的现有方法提供一些防御非授权访问或DoS攻击的保护，这些方法一般可以分为两类。
第一类解决方案是基于：将对媒体点播服务器(例如视频点播(VoD)服务器)的访问限定于特定用户子集，例如那些居住在网络子区域的用户。只有指定子区域的用户被允许访问媒体点播服务器。由于属于所述子区域的任何用户都可以获得到所述媒体服务器的无限制访问，这类解决方案提供非常微弱的保护。另外，总是存在正确的组合，组成子区域一部分的未使用地址容易被通过简单的反复试验方法窃取。而且，这类解决方案不提供任何资源级的保护，这意味着获得访权问后存储在媒体点播服务器中的所有资源(例如所有的电影或TV节目)都可以被请求。
第二类解决方案依靠在所有媒体传递请求中的客户签名。典型地，签名包含秘密和/或公用密钥。
第二类解决方案对防御基于窃取密钥或已签署的媒体传递请求的攻击是无力的。在密钥被盗的情况下，攻击者可以利用该密钥作为合法的密钥持有者以获得访问权，请求无限次的媒体传递直到密钥被封锁。这被称为拒绝服务(DoS)攻击。实际上，如果通过监听未保护的网络业务窃取已签名的请求，攻击者可以重新使用密钥进行无限次的请求直到该密钥被封锁。正如第一类解决方案，第二类也不实施任何的资源级保护。单个被窃取的密钥可以被用来请求传递存储在所述被窃密钥提供访问的媒体点播服务器中所有的媒体资源。被窃取的已签名的媒体传递请求可用同样的方式无限次地重复使用，直到用来签名的密钥被封锁。
总之，所有现有解决方案都弱于防御拒绝服务攻击(无限次的传递请求入侵媒体服务器)并且不提供资源级保护(所有存储在被入侵的媒体服务器上的资源都可以被请求)。本发明的目的就是公开一种用于请求传递点播资源的机制，所述机制不会遭受现有技术解决方案的这些缺点。
发明内容
根据本发明，通过如权利要求1限定的请求点播媒体传递的方法克服上面描述的现有技术解决方案的缺点，其中客户向媒体服务器提交令牌，所述令牌预先与被请求的媒体资源相关联；并且其中媒体服务器在传递被请求的媒体资源之前对照与令牌相关的元数据校验所述令牌。
本发明另外在于提供客户机设备、媒体服务器和适于执行权利要求1的方法的应用服务器。这样的客户机设备、媒体服务器和应用服务器由权利要求14到17分别限定。
这样，本发明的基本思想是利用资源级传递的认证令牌或授权许可证。令牌预先与特定的媒体资源(例如存储在VoD服务器上的特定电影)相关联并可以进一步和与令牌相关的元数据相关联，所述元数据例如媒体最大传递次数、终止日期、单次媒体传递的最大持续时间等等。令牌或许可证必须被用来签署所有的客户媒体传递请求。
首先，通过将令牌和特定媒体资源相关联，根据本发明的方法提供资源级保护。即使令牌被窃取，攻击者也不能访问存储在所述令牌准予访问的同一服务器上的其它媒体资源。
第二，通过对照与令牌相关的元数据来校验令牌，根据本发明的方法保护媒体服务器免受绝服务(DoS)攻击，所述元数据诸如播出的最大次数、起始和终止时间、播出的最大持续时间等等。如果包含在元数据中的任何限制被违反，则媒体传递会话将被终止，并且客户必须请求关于媒体资源传递的新的授权(必须向产生许可证或令牌的应用服务器请求新的许可证)。
可能的，根据本发明的令牌包含如权利要求2限定的ID和签名。在这种情况下，应用服务器在媒体服务器的元数据存储器中创建许可证实例，并向客户返回许可证号码(所述ID)和许可证密钥(所述签名)。
如权利要求3所限定的，许可证可以通过负责创建与媒体资源相关的令牌的专用应用服务器产生。
如权利要求4所限定的，许可证一旦创建，可以存储在媒体服务器中，所述媒体服务器保存令牌所关联的资源。媒体服务器另外可以配备元数据存储器，所述存储器中存储许可证及其关联的元数据。在媒体服务器中存储许可证及其相关元数据的优点在于，对媒体服务器来说不需要进行用于验证过程的外部许可授权的耗时请求。
根据本发明与许可证相关的元数据可以包含限制或参数的选择，所述限制或参数例如可能带有许可证的媒体资源传递的最大次数、许可证的终止日期/时间、带有许可证的媒体传递的最大持续时间等等。例如，这通过权利要求5到7进行了阐述。
在本发明的实施例中，如权利要求8所限定的，客户可以在被媒体服务器请求或询问之后提交令牌。
如权利要求9到12所指出的，根据本发明的媒体传递请求应该作广义地解释，例如可以覆盖关于播放的请求、关于重新开始的请求、关于停止或暂停播放的请求，等等。
附图说明
图1举例说明了视频点播网络，其中根据本发明实施了请求媒体资源传递的方法实施例，所述媒体资源即电影或TV节目。
具体实施方式
图1示出了视频点播网络，其中客户机设备101连接到媒体服务器102和应用服务器103。客户机设备101例如可以是位于客户设备端用于通过下行线路接收TV节目或媒体资源并向观众显示这些TV节目或资源的机顶盒(STB)、个人电脑(PC)、电视机(TV)或视频解码器。典型地，客户机设备101可以例如通过遥控装置接收来自观众的指令，且能够将那些指令转发到通往媒体服务器102或应用服务器103的上行线路。最后，那些观众的指令首先在客户机设备中被解释且编码成为例如RTSP(实时流协议)格式，或者，依赖于点播媒体服务的性质，被编码成为例如SIP(会话启动协议)、ITU的H.323协议、HTTP(超文本传输协议)和IGMP(因特网组管理协议)的各种请求协议格式。典型地，来自或者发往客户101的上行线路和下行线路共享相同介质，例如在ADSL(非对称数字用户线)或VDSL(甚高速数字用户线)技术情况下的铜双绞线被用于第一英里接入，或在例如DOCSIS电缆接入、HFC(光纤同轴电缆混合网)或PON(无源光纤网)的可替代接入技术情况下，同轴电缆/光纤被配置在第一英里接入网络中。媒体服务器102存储所有的可以被观众点播的媒体资源或电视节目。注意，尽管在图1中表示为单个方框，媒体服务器102可以对应由连网的服务器节点(分级或不分级地)组成的分布式视频点播服务器，所述服务器节点每个都存储特定的TV节目或TV节目的片段并且协同工作以重构TV节目并按请求将该节目传递到客户。图1还显示出元数据存储器104可以或可以不必与视频服务器102结合，但至少要可操作地与视频服务器102耦合。另外要注意，应用服务器103表示了抽象层，所述抽象层包含如视频服务器102的位置和可达性、如客户机101的位置等信息。典型地，将出现这样一种应用服务器：服务于多个视频服务器、集成了如计费等功能、跟踪客户机的活动、保存视频服务器的瞬态图(snapshots)和保存可以通过不同媒体服务器可利用的视频节目的瞬态图，等等。
下文将描述为了根据本发明请求TV节目，客户机101、视频服务器102、应用服务器103和元数据存储器104遵循的顺序步骤的过程。所述过程由图1中箭头111、112、113、114、115、116和117所示意的步骤组成。
最初，客户机101请求来自应用服务器103的可用媒体资源的列表，所述媒体资源例如可用的点播电影、TV节目等。应用服务器103具有关于客户机位置和媒体服务器可达性的信息，于是最初的请求将总是被发送到应用服务器103。所述列表使得观众能够选择要请求的媒体资源。请求可用资源列表的这个过程和视频资源的选择都没有标示于图1中。
在选择媒体资源之后，客户机101请求应用服务器103产生授权媒体传递的许可证(或令牌)而不是仅仅从媒体服务器请求传递。该请求在图1中通过111注明。例如，客户机101可以向应用服务器103发送RTSP建立请求以请求选择的视频资源播出。应用服务器103会将该RTSP消息解释为产生授权播出该特定视频资源许可证的请求。作为可替代RTSP的协议，可以使用HTTP或任何其它标准的或专有的协议。
一旦收到客户机的请求111，应用服务器103将联系元数据存储器以使得许可证产生。这可以通过使用XML、SQL或任何其它标准的或专有的技术/协议来完成。元数据存储器104可以例如是高可用性的Oracle数据库，所述数据库用作发布资源许可证的集中位置，所述资源通过各种各样的视频服务器变得可用。在元数据存储器104中创建的许可证的实例例如包含独特的号码(许可证ID)；标识选择的视频资源的资源名称，对于所述选择的视频资源许可证有效；许可证的启用和终止时间；允许使用许可证播出的最大次数；使用许可证单次播出的最大持续时间；以及随机密钥(许可证签名)。这在图1中由112标注。
随即，应用服务器103向客户机101返回关于选择的视频资源的许可证号码(或许可证ID)和许可证密钥(或许可证签名)。这对应图1中的步骤113，该步骤可以再次依赖例如RTSP或HTTP协议。
如图1中114所示，客户机101接着请求来自视频服务器102的视频资源的未授权传递。这一用来传递选择的视频资源的最初请求可以通过从客户机101向视频服务器102发送RTSP建立消息来实现。注意，对于与媒体服务器102的通信和前述的与应用服务器103的通信，客户机101可以使用相同或不同的协议。
如图1中115所示，媒体服务器102拒绝这最初的、未授权的请求且要求客户机101利用许可证密钥签署提供的询问口令(challenge)。该询问口令是为了避免劫持会话而随机产生的标识符。对于每一个新请求，将会发布新的询问口令。客户机被要求利用它的秘密密钥加密所述询问口令。换句话说，客户机101被要求利用秘密许可证密钥签署它的请求并提供与媒体资源相关的许可证的ID。
在正常运行模式下，客户机101在步骤116中利用秘密许可证密钥签署询问口令并且向视频服务器102提供许可证号码。
视频服务器102然后校验许可证证书，也就是在步骤117中指定许可证号码的签名和限制。视频服务器102另外从元数据存储器104加载秘密许可证密钥、校验从客户机101收到的签署的响应116并核对有没有违反来自元数据存储器本地存储的许可限制(例如许可证的终止日期、许可证播出的最大次数，等等)。在响应116采用正确的秘密密匙签署和没有违反许可限制的情况下，媒体服务器102向客户机101确认视频资源传递的请求成功，并且可选地为下一个请求发布新的询问口令。客户机101重复步骤116并且视频服务器102重复步骤117以用于所有后续请求。
本发明重要和创新的方面是在步骤117中签名校验期间，对于每一个VCR类型的控制请求(例如播放、暂停、快进、倒带、停止、重新启动)，视频服务器102总是核对许可证限制没有被违反，所述限制例如许可证允许播出的最大次数、许可证的启用和终止时间以及播出的最大持续时间。如果违反任何限制，则视频传递会话被终止且客户机101必须从应用服务器103请求关于视频资源传递的新授权(请求新的许可证)。在这种情况下整个顺序从步骤111重新开始。
与现有解决方案不同，根据本发明的方法能明显地保证资源级保护并抵挡当密钥或已签署请求被窃取时的拒绝服务攻击。
资源级保护是通过利用许可证ID和密钥来授权播出单件资源来确保的。当密钥和许可证号码被窃取时，它们不会有助于授权除已经发布所述许可证的资源之外的其它视频资源的传递。
在密钥被盗情况下的拒绝服务攻击保护通过限制许可证支持的最大传递次数和单次传递的最大长度来保证。
例如，如果许可证密钥被窃取和复制，它将在仅仅授权很小次数的新视频传递请求之后过期。当单次视频资源传递会话被企图无限次的恶意播放操作(播放、暂停、快进、倒带等等)时，一旦达到最大会话时间，传递将被终止。
根据本发明的方法另外能保证在签署的请求被窃取时防御拒绝服务攻击。这是因为每一个新请求必须使用由视频服务器102发布的先前的询问口令。视频服务器102两次重复相同口令的可能性是可以忽略的。这样，重新使用相同已签署的请求的企图会被检测到并被废弃。
另外，根据本发明的另一个优势是许可证验证过程中的效率，尤其是在元数据存储器被集成在媒体服务器102中的情况下。由于许可证元数据(例如终止时间、播出的最大次数、单次播出的最大持续时间)是预先产生的并存储在媒体服务器的元数据存储器104中，对于媒体服务器102来说，不需要向用于许可证验证的外部许可机构进行耗时的请求，因此提高了效率。
总之，根据本发明的媒体服务器利用许可证来授权每一个媒体传递，所述许可证预先链接到特定媒体资源。这样，它提供了资源级保护。另外，媒体服务器优选地应用多个与许可证相关的限制。优选地，媒体服务器还请求对每个媒体传递操作提供许可证ID，且不只是在传递会话建立的最初阶段提供。这样，它抵挡住了拒绝服务攻击。
尽管通过参照特定的实施例，上面描述的视频点播系统阐明了本发明，但是对于本领域技术人员来说，显然地，可以在本发明的精神和范围内作出变化和修改。因此期望保护落入本专利申请中公开的并且作为权利要求的基本原则的精神和范围内的任意和所有的修改、变体或等效物。例如本发明应用在任何媒体点播传递系统具有同样的优势，且这不限制于VOD或NVOD系统。与许可证相关的元数据可以多样化并随系统中传递的资源特性而定。鉴于最大传递次数和单次传递的最大持续时间可以作为与视频资源相关联的许可证的适当元数据，因此与软件资源、游戏或其它点播可获取的资源的元数据可以完全不同。如上面已经描述的，本发明的适用性不限制于特定协议例如RTSP、HTTP、SIP、H.323、XML、SQL或其修改版本的使用。另外上面做的某些结构上的选择也是可选的：例如应用服务器和媒体服务器可以或可以不必结合，元数据存储器可以或可以不必构成媒体服务器的一部分，媒体服务器可以用服务器群替代，等等。