网络用户验证系统和方法技术方案

在网络用户验证系统中，使用与该网络用户位于其中的建筑物相关联的专用物理通信线的唯一标识符，或者与物理连接到建筑物的安全组件或通信线路相关联的数字证书，识别网络用户以便进行验证。验证服务器首先检验将与网络服务用户相关联的专用通信线的身份，或者发出要与专用通信线相关联的唯一数字证书以便进行验证。数字证书可被存储在连接到多个建筑物的安全组件并且存储每个建筑物的唯一数字证书的建筑物网关或边缘站点模块内。

【技术实现步骤摘要】
【国外来华专利技术】本申请要求共同申请的2005年7月20日提出的美国临时专利申请No.60/701239和2006年6月1日提出的美国临时专利申请No.60/803679的优先权，这两个临时专利申请全文并入此作为参考。
本专利技术涉及一种用于验证网络用户或者在网络设备之间建立可信通信路径的系统和方法。
技术介绍
随着互联网通信量增加，对更好的验证网络用户的装置的需求显著增加。网络已经证明是非常有价值和必要的工具。但是，欺诈和错误使用的可能性也日益增加。近年来，证券公司例如Verisign、Thawt等等已经通过提供验证网络用户的装置建立了有吸引力的商业模型。通过发出和撤消使用公钥基础设施(PKI)的数字证书，网络用户可确信一些交易被安全处理。“Verisign”模型的问题是服务器侧通常采取验证自身的必要步骤，但是，客户和其它网络客户已经表现出对获得可帮助他们同样被验证的解决方案不感兴趣。在很大程度上，网络客户由于不清楚可获得的好处而不愿意为他们所有的验证装置付费。另外，验证机构如何在多种平台(PC、膝上型电脑、移动装置等等)之间工作也不是很清楚。由于实际上，公用网上的所有客户没有被以任何方式验证，所以欺诈及危害的潜在可能性仍然严重且日益恶化。近些年来，已经提出了多种创新以帮助识别网络客户。这些创新中的一些包括：·安全软件狗-->·智能卡技术·芯片内的安全的、可唯一识别的元件这些创新从开始就存在缺陷，这是因为这些(及其它)硬件部件容易丢失、被盗窃或交换。尽管这些解决方案提供了最低水平的验证，但是它们的有效性由于客户不能保证它们安全而有限。因此，在今天的网络世界中，存在足够的对主机系统(服务器侧系统)的验证，但是对客户机侧只有很少验证或没有验证。如果存在一种可行的可靠验证每个客户的方式，则将开始出现新的且有获利潜力的商业机会，并且端到端“可信”的网络将变为现实。因此，需要一种克服如上所述的传统系统内发现的那些严重问题的系统和方法。
技术实现思路
文中所述的实施例提供了一种验证系统和方法，其可验证网络客户并且在两方或多方之间建立可信的通信路径。根据本专利技术的一个方面，提供了一种网络用户验证系统，其中使用与建筑相关联的安全组件或物理网络连接验证建筑内的一个或多个网络设备，使得安全的网络通信与建筑所有者或占据者直接关联。建筑内的至少一个用户设备链接到该安全组件，并且安全服务器链接到该安全组件或连接。安全服务器被配置成确定该安全组件的物理连接标识(ID)，并且使该物理连接ID与客户ID相关联，以便跟踪在公用网上请求服务的建筑内的特定客户或用户设备。安全服务器可以是商业网站或网络的一部分，或向多个家庭和企业提供服务的服务提供商网站例如电话服务提供商或电话公司(Telco)，或链接到附近建筑的网络边缘站点例如电话公司边缘站点、有线电视边缘站点或电力公司边缘站点的一部分，或链接到附近建筑的无线网络基站，或者可以是经由网络连接到安全组件的单独的安全服务器。安全服务器不管是独立的还是结合到远程网站或本地边缘站点中，都可以被不同的商户或网络用户使用，以便验证希望与该商户-->或网络用户做生意的其它网络用户。此系统使用户设备与固定建筑或与该建筑永久关联的物理连接ID相关联，验证这两方之间的通信路径可信，即建立可信通信路径。这两方可以是网络商户或服务提供商和网络用户或例如两个网络用户。安全组件可以是任何与建筑建立的通信线路，包括基于线缆调制解调器、数字用户线路(DSL)或DSL衍生物、无线输入端口、光学输入或线路等等的物理连接，或者可以是被公用事业公司用于跟踪建筑物的公用设施使用情况以便收费的仪表箱等等，其具有用于经由网络与公用事业公司服务器通信的内置通信设备。在一个实施例中，安全组件可以是从网络接入点或边缘站点到用户的物理网络接入设备例如数字调制解调器、线缆调制解调器、异步传送模式(ATM)调制解调器、光纤调制解调器、DSL调制解调器或其它家用调制解调器的最后一英里(last mile)连接。验证的关键是建立为家庭或其它物理位置提供服务的最后一里连接，并且使该连接与家庭或物理位置的用户相关联以实现安全目的。该连接可以是到家庭的物理铜线对连接，或线缆调制解调器终端服务器(CMTS)上的有线电缆数据服务接口规范(DOCSIS)地址，或家庭和网络之间的无线最后一里连接上的介质存取控制(MAC)或逻辑链路控制(LLC)或无线电链路地址，动态主机配置协议(DHCP)服务或中继代理所报告的数字用户线路接入复用器(DSLAM)电路ID或连接端口，或将无线客户连接到无线网络的基站中的任何一个。客户ID可以是对于用户具有永久固定值的任意值，或者仅对于单个连接是临时值。客户ID可基于IP地址、IP地址和端口号、用户ID、得自用户ID的随机数、网络边缘站点提供的标识符例如网络地址翻译(NAT)地址，和可用于使客户设备与通信线路ID相关联的任何数据值。安全服务器可使用网络设备建立连接或通信线路ID。在一个实施例中，可遵循跟踪路由映射以确定网络拓扑，从而可识别服务边缘站点例如Telco边缘站点。一旦边缘站点被识别，则安全服务器通过请求用户或客户的互联网协议(IP)地址向该边缘站点发送查询，请-->求识别将Telco边缘站点连接到该用户设备位于其中的建筑的通信线路。其中可使用该验证系统识别一个网络元件的情况的一个示例是机顶盒(STB)通过其经由铜线对至Telco的物理连接(用于DSL和拨号)而被验证。如果STB涉及电子商务交易例如请求购买电影，则电影服务提供商或Telco可使用此验证系统通过比较该物理连接ID和用户或客户ID，来检验请求STB是否来自连接到该建筑的正确的物理铜线对。在另一个实施例中，可通过在系统中添加签名或安全码来提供另一个附加的安全层。在一个实施例中，安全控制单元与安全组件相关联，并且具有其中存储唯一的数字证书的数据存储模块，并且处理器被配置成经由专用网与该安全服务器通信。安全服务器首先检验建筑位置，并且将与该建筑位置相关联的唯一数字证书发给该安全控制单元。该安全控制单元可安装在位于该建筑位置处的安全组件内或者连接到该安全组件，或者可位于连接到多个建筑的安全组件的边缘站点模块内。在此情况下，边缘站点模块存储每个建筑的唯一数字证书。安全组件可以是用户网关或连接端口，例如永久连接在建筑和电信公司边缘站点之间的现有宽带电信线路，或者与到建筑的专用无线链路相关联的无线网关。唯一数字证书然后仅与到该特定建筑的线路相关联。由于数字证书直接与物理建筑(或物理安全或与该建筑集成的网关)相关联，所以其可用于可靠地验证该建筑内居住的、拥有该建筑或在该建筑内工作的人员。数字证书可在位于线路的建筑端部的安全控制单元内或在提供商边缘站点处附连在到建筑的专用宽带存取线路上。在一个实施例中，每个服务提供商边缘站点包含具有数据存储模块的控制单元，该模块保存与该站点连接并且订购验证服务的所有建筑的数字证书。每个数字证书然后仅与到与该数字证书相关联的特定建筑的通信线路相关联。由于建筑通常不移动，并且安全组件连接到建筑以便其难以或不能在不中断与建筑的连接的情况下移动，所以数字证书可经由该数字证书提供在网络上通信的客户的身份的-->可靠指示。在另一个实施例中，安全组件包括安全箱或壳体，本文档来自技高网...

【技术保护点】
一种网络用户验证系统，包括：　物理连接到建筑的安全组件；　链接到该安全组件的建筑内的至少一个用户设备；　安全服务器；　将该安全服务器链接到该安全组件的至少一个网络；以及　配置成确定该安全组件的物理连接标识（ＩＤ ）并且使该物理连接ＩＤ与使用该用户设备的网络服务用户相关联的安全服务器。

【技术特征摘要】
【国外来华专利技术】US 2005-7-20 60/701,239;US 2006-6-1 60/803,6791.一种网络用户验证系统，包括：物理连接到建筑的安全组件；链接到该安全组件的建筑内的至少一个用户设备；安全服务器；将该安全服务器链接到该安全组件的至少一个网络；以及配置成确定该安全组件的物理连接标识(ID)并且使该物理连接ID与使用该用户设备的网络服务用户相关联的安全服务器。2.根据权利要求1的系统，其中所述安全组件是连接到建筑的专用线路。3.根据权利要求2的系统，其中所述线路是一端连接到建筑的宽带电信线路。4.根据权利要求2的系统，其中所述线路是数字用户线路(DSL)。5.根据权利要求2的系统，其中所述线路是光纤线路。6.根据权利要求2的系统，其中所述线路是到建筑的专用无线链路。7.根据权利要求1的系统，其中所述安全服务器是在至少一个网络上链接到所述安全组件的独立的服务器。8.根据权利要求1的系统，其中该系统还包括服务提供商网络边缘站点，和在该边缘站点和建筑之间提供通信的至少一个连接线，以及链接到边缘站点的服务器提供商数据中心，所述安全组件包含从边缘站点到建筑的连接线。9.根据权利要求8的系统，其中该系统还包括建筑内的链接到所述连接线的建筑网关模块，该建筑网关模块配置成在所述连接线和建筑内的每个用户设备之间提供接口。10.根据权利要求9的系统，其中所述用户设备包含至少一个个人计算机。11.根据权利要求10的系统，其中所述用户设备还包括至少一个机顶盒。12.根据权利要求10的系统，其中所述用户设备还包括至少一个无线通信设备。13.根据权利要求12的系统，其中所述无线设备选自由移动电话、个人数字助理和无线计算机构成的组。14.根据权利要求9的系统，其中所述边缘站点服务器具有为本地群组内的多个建筑提供专用通信的专用连线，所述边缘站点服务器具有处理器模块，该处理器模块配置成在所述数据存储模块内存储多个唯一的数字证书，并且将每个数字证书与连接到与所述数字证书相关联的建筑的相应专用线路相链接。15.根据权利要求14的系统，其中该系统还包括每个建筑内的多个用户设备，该用户设备链接到所述网关模块，并且配置用于使用与将各个建筑连接到所述边缘站点服务器的专用线路相关联的唯一数字证书进行安全的网络通信。16.根据权利要求14的系统，其中所述网关模块具有与所述唯一数字证书相关联的第一硬件安全元件。17.根据权利要求16的系统，其中所述硬件安全元件选自由通用串行总线(USB)软件狗、智能卡、SIM卡和可信平台模块(TPM)构成的组。18.根据权利要求16的系统，其中所述用户设备具有与在所述网关模块内的所述第一硬件安全元件密码调准和同步的第二硬件安全元件。19.根据权利要求14的系统，其中所述网关模块具有与所述唯一数字证书相关联的至少一个硬件安全元件，并且每个用户设备具有与所述网关模块内的硬件安全元件加密校准和同步的硬件安全元件。20.根据权利要求19的系统，其中至少一个所述用户设备是具有包含第一用户识别模块(SIM)芯片的安全元件的无线设备，并且所述网关模块具有配置成与所述第一SIM芯片通信以便进行被验证的无线通信的第二SIM芯片。21.根据权利要求1的系统，其中该系统还包括基于会话的水印模块，该模块与所述用户设备相关联并且配置成在所述用户设备在公共网络上接收的所有内容文件内插入唯一水印有效载荷。22.根据权利要求21的系统，其中所述基于会话的水印模块还配置成使用与唯一数字证书相关联的用户私有密钥给水印有效载荷密码签名。23.一种用于验证建筑内的用户设备的网络用户验证系统，包括：物理连接到建筑并且与用户设备相关联的安全组件；验证服务器；将该验证服务器链接到该安全组件的至少一个网络；该验证服务器具有可信路径认证模块，该模块配置成创建与该用户设备相关联的客户ID，识别该安全组件，并且使唯一数字证书与该安全组件相关联，以及用于存储该客户ID和相关联的数字证书的数据存储模块；以及该验证服务器还包括检验模块，该检验模块用于使用该客户ID和相关联的数字证书在公共网上在用户设备和其它用户设备之间进行安全通信。24.根据权利要求23的系统，其中所述安全组件包括连接到建筑的专用线，并且所述数字证书包含该专用线的基于网络的标识。25.根据权利要...

【专利技术属性】
技术研发人员：罗宾R库珀，罗伯特T库拉考维斯基，
申请(专利权)人：美国唯美安视国际有限公司，
类型：发明
国别省市：US[美国]