述的技术在来自MyDASH的DASH内容传送期间预防潜在的入侵。运营商可以包 括规定(承诺MyDASH达到指定的内容传送精确度水平)以及处罚规定(如果没有实现所 指定的精确度水平)。作为响应,MyDASH可以启用运营商的认证机制来验证所传送的内容 和MPD的完整性。
[0056] 在第五用例中,运营商最佳覆盖电信(运营商)可以与数个过多的(OTT)DASH内 容提供商签署服务水平协议(SLA),以分发和/或转售内容提供商的DASH格式的内容。运 营商可以使用这些DASH格式的内容来给运营商的客户端提供各种新的服务。为了一致的 用户体验,运营商可以使用DASH内容认证来确保内容和相关联的元数据的完整性。更具体 地,运营商可以经由流拼接采用服务以通过结合来自多个源的内容来创建媒体混搭。例如, 针对视频点播(VoD)和实时流,广告插入提供了可能的媒体混搭的示例。这样的方案(例 如,媒体混搭)可以采用动态MH)生成或重写,但是这些方案可能无法修改或移除段URL和 被用于DASH内容认证的其它元数据。MH)和段URL或其它元数据的不适当的修改可能引起 播放中断,并且在未播放的广告的情况下,MH)和段URL或其它元数据的不适当的修改可能 导致内容提供商和运营商的收入损失。
[0057] 特定媒体(例如,在MPD 402 (图2)的表示408或适应406集合水平处)认证过 程的执行可以被用于实现所描述的五个用例。换句话说,针对不同的订阅策略(可以与特 定的认证密钥相对应),客户端可以不同地被认证来接收各种DASH组件(例如,表示、适应 集合等)。因此,提供给NAF的密钥(例如,Ks_NAF)不仅可以是用户特定的,还可以是特 定于要被访问的各种DASH组件。如果HSS和/或HLR已经存储了特定媒体的认证凭证,则 DASH组件的Ks_NAF可以通过使用GAA来被启用。否则,经由通过NAF从外部实体(而不 是HSS)下载媒体特定认证规则和用户凭证,基于DASH的优化也是可能的。针对媒体特定 认证规则和用户凭证使用外部实体(除HSS外)可以帮助降低HSS上的负载,这可能受到 过载情境期间的网络认证过程的挑战。使用外部实体可以降低过载情境期间的网络认证过 程对HSS的挑战的数量。
[0058] 通过指示内容源的签名对URL的认证的验证密钥的通信可以允许DASH客户端检 查MPD URL的有效性。DASH客户端还可以接收用于各种DASH组件(例如,DASH时间段404、 适应集合406、或表示408(图2))的内容特定认证密钥。该通信或信令可以允许客户端取 回URL签名,然后基于所接收的MH)中的URL和相对应的认证密钥来本地计算URL签名,并 且在不匹配的情况下拒绝相应的内容。这样的内容URL验证信息(签名或认证密钥)或它 们的位置(URL)可以被表示为MH)或媒体段的一部分。框架或进程可以计算段URL的签名, 并且在外部存储该值与签名验证和/或认证密钥。使用HTTP或HTTPS,MH)接口可以提供 取回这些签名的URL模板。DASH的客户端可以取回签名和认证密钥,然后在给定的段URL 上本地计算签名,并且可以在不匹配的情况下拒绝URL。
[0059] URL签署(或URL签名)可以被用来限制访问内容,并且启用DASH内容的用户认 证。例如,基础设施可以被用于签署和验证内容URL、限制一些用户访问、和/或限制查看 时间。在内容URL内,限于特定用户访问内容的机制可以被嵌入被授权内容访问的用户的 客户端IP地址。类似地,为了确保内容在预定时间之后到期,到期时间戳可以被嵌入。这 些值(例如,客户端IP地址和到期时间戳)然后可以针对发送请求的实际客户端和服务于 请求的服务引擎处的当前时间来被验证。如果两个验证中的任一验证失败,则请求可以被 拒绝。然而,因为URL中的任何这些字符串可以潜在地由任何有见识的用户手动编辑和规 避、与未经授权的用户共享、或超越时间限制访问;对URL所生成的和附加的签名可以被用 于防止URL修改。URL签名可以通过将密钥散列(例如,签名)附加到URL、使用仅在签名 者和验证组件之间被共享的秘密密钥(例如,Ks_NAF)来被实现。一旦接收了 HTTP请求,内 容服务器可以用从作为输入的请求URL所提取的授权参数来验证签名。如果计算结果(例 如,所计算的URL签名)与请求URL中的URL签名匹配,则用户可以合法访问内容。
[0060] 返回参照图7, D-NAF 116可以使得特定于内容的认证与现有用户特定认证框架 的结合成为可能(或在现有用户特定认证框架之上成为可能)。DASH-级信令过程可以被 用于将信息传送到使用内容特定认证密钥的DASH客户端。使用D-NAF的内容特定认证可 以具有各种好处。
[0061] 例如,中间网络实体(例如,驻留在能感知DASH的网络应用功能(D-NAF) 116内的 HTTP代理或DASH代理114)可以接收要由内容提供商执行的关于内容特定认证策略的信息 (例如,针对MH)的适应集合或特定DASH表示的认证密钥)。D-NAF可以接收特定于内容的 DASH认证信息(例如,通过解析DASH MPD)。然后D-NAF可以通过将所取回的DASH内容信 息合并和执行为基于GAA的认证过程(例如,图4和图5)的一部分来使用所取回的DASH内 容信息与来自HSS的任何用户特定认证凭证。提供给NAF的密钥(例如,的Ks_NAF)不仅 可以是用户特定的,还可以特定于要被访问的DASH组件。因此,针对不同的DASH表示和适 应集合的不同的认证策略(即,经由不同的认证密钥)可以被实施。使用针对不同的DASH MH)组件的不同的认证策略可能意味着客户端具有接收DASH格式的流的不同部分的不同 的访问权限或授权。在另一示例中,现有的经由BSF和HSS的基于GAA的认证过程可以被 DASH级别(例如,在MH)文件中)处所表示的服务提供商自己的认证策略覆盖。
[0062] 中间网络实体(例如,HTTP代理或DASH代理114)可以允许DASH内容和元数据完 整性验证。中间的网络实体可以是DASH内容进入到运营商网络中的入口点。验证信息(例 如,签名或认证密钥)或它们的位置(URL)的通信允许D-NAF中的DASH代理或HTTP代理 通过指示内容源的签名经由URL的认证来检查MPD URL的有效性。另外,D-NAF中的DASH 代理或者HTTP代理还可以被用于接收针对各种DASH组件(例如,表示、适应集合等)的内 容特定认证密钥。DASH代理可以取回URL签名,然后基于所接收的MPD中的URL和相对应 的认证密钥来本地计算URL签名,并且在不匹配的情况下拒绝相应的内容。
[0063] 在一些部署中,用户认证和内容认证可以使用不同的实体被分别处理。当用户认 证和内容认证分离时,现有的基于GAA的认证架构可以被用于用户认证,而DASH级信令框 架仍然可以被用于内容验证。NAF和服务提供商或内容分发网络(CDN)可以执行内容认证。
[0064] DASH级信令可以被用于认证密钥和签名的传输。基于URL签署的DASH级认证信 息信令还可以被D-NAF用于验证DASH服务器的真实性。
[0065] 例如,URL签名和/或摘要可以被生成用于MPD文件中所包含的URL。在配置中, 关于签名的信息可以经由Mro文件被传送。签名可以被包含在Mro文件中、或指向这些签 名的URL可以被包含在MPD文件中、或针对这些签名生成URL的基于模板的URL构造规则 或URL构造规则的列表可以被包含在MPD文件中。因此,MPD文件可以包括签名、指向签名 的URL、针对签名生成URL的URL构造规则的列表、针对签名生成URL的基于模板的URL构 造规则。
[0066] 例如,URL认证描述符可以被用在MPD中以声明认证框架和传送签名URL。多个内 容认证方案可以被定义。另外,URL摘要元件可以提供用于构造 URL的模板,模板还可以被 用于针对给定的URL下载签名。类似地,一个URL签名元件可以提供用于密钥获取的URL 和用于构造 URL的模板,模板还可以被用于针对给定的URL下载签名。
[0067] URL的不同组件可以不同地被认证。例如,一组签名可以包括基础URL ( 即,在DASH MPD 402、时间段404、适应集合406或表示408级别处)用于基础URL验证,然后指向特定 DASH表示和片段的剩余的URL组件可以被单独签名(或认证),如图2中所示。在另一示 例中,一组签名可以包括段基础元件中的@源URL属性(例如,DASH段基础),其可以包含 用于DASH段基础认证的DASH段的绝对URL。在另一示例中,一组签名可以包括位置元件, 位置元件包括针对DASH MH)位置认证的MH)的绝对URL。认证MPD位置和基础URL并且将 相应的签名传送到DASH客户端可能有利于内容源验证。
[0068] 针对DASH播放列表(其中,每个DASH段被分配了被包含在MH)中的URL),每个播 放列表特定URL可以通过签名(即,在DASH时间段404、适应集合406或表示408级别处) 被签署或认证用于DASH段列表认证。针对DASH模板(其中,每个DASH段的URL通过预定 义的规则由DASH客户端生成),每个模板特定URL可以通过签名(即,在DASH时间段、适应 集合或表示级别处)被签署或认证用于DASH段模板认证。
[0069] 在另一配置中,关于URL签名的信息可以被运载或嵌入在DASH段(而不是 MPD)内。在一个示例中,签名可以被运载在文件级国际标准化组织基础媒体文件格 式(International Organization for Standardization-base media file format, ISO-BMFF)盒(例如,在初始化段中(例如在ISO-BMFF的"moov"盒中)、或在媒体段中(例 如在ISO-BMFF的"moof"盒中)。在另一配置中,指示器可以被包括在MPD中以对与DASH 段内的签名有关的嵌入式信息的存在发出信号,从而使得DASH客户端可以准备在段接收 之前接收签名。
[0070] 在另一示例中,使用声明认证框架和传送认证密钥和签名URL的Url认证元件,真 实性标签URL可以经由MH)文件被提供用于段URL。