網絡用戶驗證系統和方法技術方案

在網絡用戶驗證系統中，使用與該網絡用戶位于其中的建筑物相關聯的專用物理通信線的唯一標識符，或者與物理連接到建筑物的安全組件或通信線路相關聯的數字證書，識別網絡用戶以便進行驗證。驗證服務器首先檢驗將與網絡服務用戶相關聯的專用通信線的身份，或者發出要與專用通信線相關聯的唯一數字證書以便進行驗證。數字證書可被存儲在連接到多個建筑物的安全組件并且存儲每個建筑物的唯一數字證書的建筑物網關或邊緣站點模塊內。

【技術實現步驟摘要】
【國外來華專利技術】本申請要求共同申請的2005年7月20日提出的美國臨時專利申請No.60/701239和2006年6月1日提出的美國臨時專利申請No.60/803679的優先權，這兩個臨時專利申請全文并入此作為參考。
本專利技術涉及一種用于驗證網絡用戶或者在網絡設備之間建立可信通信路徑的系統和方法。
技術介紹
隨著互聯網通信量增加，對更好的驗證網絡用戶的裝置的需求顯著增加。網絡已經證明是非常有價值和必要的工具。但是，欺詐和錯誤使用的可能性也日益增加。近年來，證券公司例如Verisign、Thawt等等已經通過提供驗證網絡用戶的裝置建立了有吸引力的商業模型。通過發出和撤消使用公鑰基礎設施(PKI)的數字證書，網絡用戶可確信一些交易被安全處理。“Verisign”模型的問題是服務器側通常采取驗證自身的必要步驟，但是，客戶和其它網絡客戶已經表現出對獲得可幫助他們同樣被驗證的解決方案不感興趣。在很大程度上，網絡客戶由于不清楚可獲得的好處而不愿意為他們所有的驗證裝置付費。另外，驗證機構如何在多種平臺(PC、膝上型電腦、移動裝置等等)之間工作也不是很清楚。由于實際上，公用網上的所有客戶沒有被以任何方式驗證，所以欺詐及危害的潛在可能性仍然嚴重且日益惡化。近些年來，已經提出了多種創新以幫助識別網絡客戶。這些創新中的一些包括：·安全軟件狗-->·智能卡技術·芯片內的安全的、可唯一識別的元件這些創新從開始就存在缺陷，這是因為這些(及其它)硬件部件容易丟失、被盜竊或交換。盡管這些解決方案提供了最低水平的驗證，但是它們的有效性由于客戶不能保證它們安全而有限。因此，在今天的網絡世界中，存在足夠的對主機系統(服務器側系統)的驗證，但是對客戶機側只有很少驗證或沒有驗證。如果存在一種可行的可靠驗證每個客戶的方式，則將開始出現新的且有獲利潛力的商業機會，并且端到端“可信”的網絡將變為現實。因此，需要一種克服如上所述的傳統系統內發現的那些嚴重問題的系統和方法。
技術實現思路
文中所述的實施例提供了一種驗證系統和方法，其可驗證網絡客戶并且在兩方或多方之間建立可信的通信路徑。根據本專利技術的一個方面，提供了一種網絡用戶驗證系統，其中使用與建筑相關聯的安全組件或物理網絡連接驗證建筑內的一個或多個網絡設備，使得安全的網絡通信與建筑所有者或占據者直接關聯。建筑內的至少一個用戶設備鏈接到該安全組件，并且安全服務器鏈接到該安全組件或連接。安全服務器被配置成確定該安全組件的物理連接標識(ID)，并且使該物理連接ID與客戶ID相關聯，以便跟蹤在公用網上請求服務的建筑內的特定客戶或用戶設備。安全服務器可以是商業網站或網絡的一部分，或向多個家庭和企業提供服務的服務提供商網站例如電話服務提供商或電話公司(Telco)，或鏈接到附近建筑的網絡邊緣站點例如電話公司邊緣站點、有線電視邊緣站點或電力公司邊緣站點的一部分，或鏈接到附近建筑的無線網絡基站，或者可以是經由網絡連接到安全組件的單獨的安全服務器。安全服務器不管是獨立的還是結合到遠程網站或本地邊緣站點中，都可以被不同的商戶或網絡用戶使用，以便驗證希望與該商戶-->或網絡用戶做生意的其它網絡用戶。此系統使用戶設備與固定建筑或與該建筑永久關聯的物理連接ID相關聯，驗證這兩方之間的通信路徑可信，即建立可信通信路徑。這兩方可以是網絡商戶或服務提供商和網絡用戶或例如兩個網絡用戶。安全組件可以是任何與建筑建立的通信線路，包括基于線纜調制解調器、數字用戶線路(DSL)或DSL衍生物、無線輸入端口、光學輸入或線路等等的物理連接，或者可以是被公用事業公司用于跟蹤建筑物的公用設施使用情況以便收費的儀表箱等等，其具有用于經由網絡與公用事業公司服務器通信的內置通信設備。在一個實施例中，安全組件可以是從網絡接入點或邊緣站點到用戶的物理網絡接入設備例如數字調制解調器、線纜調制解調器、異步傳送模式(ATM)調制解調器、光纖調制解調器、DSL調制解調器或其它家用調制解調器的最后一英里(last?mile)連接。驗證的關鍵是建立為家庭或其它物理位置提供服務的最后一里連接，并且使該連接與家庭或物理位置的用戶相關聯以實現安全目的。該連接可以是到家庭的物理銅線對連接，或線纜調制解調器終端服務器(CMTS)上的有線電纜數據服務接口規范(DOCSIS)地址，或家庭和網絡之間的無線最后一里連接上的介質存取控制(MAC)或邏輯鏈路控制(LLC)或無線電鏈路地址，動態主機配置協議(DHCP)服務或中繼代理所報告的數字用戶線路接入復用器(DSLAM)電路ID或連接端口，或將無線客戶連接到無線網絡的基站中的任何一個。客戶ID可以是對于用戶具有永久固定值的任意值，或者僅對于單個連接是臨時值。客戶ID可基于IP地址、IP地址和端口號、用戶ID、得自用戶ID的隨機數、網絡邊緣站點提供的標識符例如網絡地址翻譯(NAT)地址，和可用于使客戶設備與通信線路ID相關聯的任何數據值。安全服務器可使用網絡設備建立連接或通信線路ID。在一個實施例中，可遵循跟蹤路由映射以確定網絡拓撲，從而可識別服務邊緣站點例如Telco邊緣站點。一旦邊緣站點被識別，則安全服務器通過請求用戶或客戶的互聯網協議(IP)地址向該邊緣站點發送查詢，請-->求識別將Telco邊緣站點連接到該用戶設備位于其中的建筑的通信線路。其中可使用該驗證系統識別一個網絡元件的情況的一個示例是機頂盒(STB)通過其經由銅線對至Telco的物理連接(用于DSL和撥號)而被驗證。如果STB涉及電子商務交易例如請求購買電影，則電影服務提供商或Telco可使用此驗證系統通過比較該物理連接ID和用戶或客戶ID，來檢驗請求STB是否來自連接到該建筑的正確的物理銅線對。在另一個實施例中，可通過在系統中添加簽名或安全碼來提供另一個附加的安全層。在一個實施例中，安全控制單元與安全組件相關聯，并且具有其中存儲唯一的數字證書的數據存儲模塊，并且處理器被配置成經由專用網與該安全服務器通信。安全服務器首先檢驗建筑位置，并且將與該建筑位置相關聯的唯一數字證書發給該安全控制單元。該安全控制單元可安裝在位于該建筑位置處的安全組件內或者連接到該安全組件，或者可位于連接到多個建筑的安全組件的邊緣站點模塊內。在此情況下，邊緣站點模塊存儲每個建筑的唯一數字證書。安全組件可以是用戶網關或連接端口，例如永久連接在建筑和電信公司邊緣站點之間的現有寬帶電信線路，或者與到建筑的專用無線鏈路相關聯的無線網關。唯一數字證書然后僅與到該特定建筑的線路相關聯。由于數字證書直接與物理建筑(或物理安全或與該建筑集成的網關)相關聯，所以其可用于可靠地驗證該建筑內居住的、擁有該建筑或在該建筑內工作的人員。數字證書可在位于線路的建筑端部的安全控制單元內或在提供商邊緣站點處附連在到建筑的專用寬帶存取線路上。在一個實施例中，每個服務提供商邊緣站點包含具有數據存儲模塊的控制單元，該模塊保存與該站點連接并且訂購驗證服務的所有建筑的數字證書。每個數字證書然后僅與到與該數字證書相關聯的特定建筑的通信線路相關聯。由于建筑通常不移動，并且安全組件連接到建筑以便其難以或不能在不中斷與建筑的連接的情況下移動，所以數字證書可經由該數字證書提供在網絡上通信的客戶的身份的-->可靠指示。在另一個實施例中，安全組件包括安全箱或殼體，本文檔來自技高網...

【技術保護點】
一種網絡用戶驗證系統，包括：　物理連接到建筑的安全組件；　鏈接到該安全組件的建筑內的至少一個用戶設備；　安全服務器；　將該安全服務器鏈接到該安全組件的至少一個網絡；以及　配置成確定該安全組件的物理連接標識（ＩＤ ）并且使該物理連接ＩＤ與使用該用戶設備的網絡服務用戶相關聯的安全服務器。

【技術特征摘要】
【國外來華專利技術】US 2005-7-20 60/701,239;US 2006-6-1 60/803,6791.一種網絡用戶驗證系統，包括：物理連接到建筑的安全組件；鏈接到該安全組件的建筑內的至少一個用戶設備；安全服務器；將該安全服務器鏈接到該安全組件的至少一個網絡；以及配置成確定該安全組件的物理連接標識(ID)并且使該物理連接ID與使用該用戶設備的網絡服務用戶相關聯的安全服務器。2.根據權利要求1的系統，其中所述安全組件是連接到建筑的專用線路。3.根據權利要求2的系統，其中所述線路是一端連接到建筑的寬帶電信線路。4.根據權利要求2的系統，其中所述線路是數字用戶線路(DSL)。5.根據權利要求2的系統，其中所述線路是光纖線路。6.根據權利要求2的系統，其中所述線路是到建筑的專用無線鏈路。7.根據權利要求1的系統，其中所述安全服務器是在至少一個網絡上鏈接到所述安全組件的獨立的服務器。8.根據權利要求1的系統，其中該系統還包括服務提供商網絡邊緣站點，和在該邊緣站點和建筑之間提供通信的至少一個連接線，以及鏈接到邊緣站點的服務器提供商數據中心，所述安全組件包含從邊緣站點到建筑的連接線。9.根據權利要求8的系統，其中該系統還包括建筑內的鏈接到所述連接線的建筑網關模塊，該建筑網關模塊配置成在所述連接線和建筑內的每個用戶設備之間提供接口。10.根據權利要求9的系統，其中所述用戶設備包含至少一個個人計算機。11.根據權利要求10的系統，其中所述用戶設備還包括至少一個機頂盒。12.根據權利要求10的系統，其中所述用戶設備還包括至少一個無線通信設備。13.根據權利要求12的系統，其中所述無線設備選自由移動電話、個人數字助理和無線計算機構成的組。14.根據權利要求9的系統，其中所述邊緣站點服務器具有為本地群組內的多個建筑提供專用通信的專用連線，所述邊緣站點服務器具有處理器模塊，該處理器模塊配置成在所述數據存儲模塊內存儲多個唯一的數字證書，并且將每個數字證書與連接到與所述數字證書相關聯的建筑的相應專用線路相鏈接。15.根據權利要求14的系統，其中該系統還包括每個建筑內的多個用戶設備，該用戶設備鏈接到所述網關模塊，并且配置用于使用與將各個建筑連接到所述邊緣站點服務器的專用線路相關聯的唯一數字證書進行安全的網絡通信。16.根據權利要求14的系統，其中所述網關模塊具有與所述唯一數字證書相關聯的第一硬件安全元件。17.根據權利要求16的系統，其中所述硬件安全元件選自由通用串行總線(USB)軟件狗、智能卡、SIM卡和可信平臺模塊(TPM)構成的組。18.根據權利要求16的系統，其中所述用戶設備具有與在所述網關模塊內的所述第一硬件安全元件密碼調準和同步的第二硬件安全元件。19.根據權利要求14的系統，其中所述網關模塊具有與所述唯一數字證書相關聯的至少一個硬件安全元件，并且每個用戶設備具有與所述網關模塊內的硬件安全元件加密校準和同步的硬件安全元件。20.根據權利要求19的系統，其中至少一個所述用戶設備是具有包含第一用戶識別模塊(SIM)芯片的安全元件的無線設備，并且所述網關模塊具有配置成與所述第一SIM芯片通信以便進行被驗證的無線通信的第二SIM芯片。21.根據權利要求1的系統，其中該系統還包括基于會話的水印模塊，該模塊與所述用戶設備相關聯并且配置成在所述用戶設備在公共網絡上接收的所有內容文件內插入唯一水印有效載荷。22.根據權利要求21的系統，其中所述基于會話的水印模塊還配置成使用與唯一數字證書相關聯的用戶私有密鑰給水印有效載荷密碼簽名。23.一種用于驗證建筑內的用戶設備的網絡用戶驗證系統，包括：物理連接到建筑并且與用戶設備相關聯的安全組件；驗證服務器；將該驗證服務器鏈接到該安全組件的至少一個網絡；該驗證服務器具有可信路徑認證模塊，該模塊配置成創建與該用戶設備相關聯的客戶ID，識別該安全組件，并且使唯一數字證書與該安全組件相關聯，以及用于存儲該客戶ID和相關聯的數字證書的數據存儲模塊；以及該驗證服務器還包括檢驗模塊，該檢驗模塊用于使用該客戶ID和相關聯的數字證書在公共網上在用戶設備和其它用戶設備之間進行安全通信。24.根據權利要求23的系統，其中所述安全組件包括連接到建筑的專用線，并且所述數字證書包含該專用線的基于網絡的標識。25.根據權利要...

【專利技術屬性】
技術研發人員：羅賓R庫珀，羅伯特T庫拉考維斯基，
申請(專利權)人：美國唯美安視國際有限公司，
類型：發明
國別省市：US[美國]