網絡用戶驗證系統和方法

2023-05-23 01:26:51 2

專利名稱：：網絡用戶驗證系統和方法
技術領域：
：本發明涉及一種用於驗證網絡用戶或者在網絡設備之間建立可信通信路徑的系統和方法。
背景技術：
：隨著網際網路通信量增加，對更好的驗證網絡用戶的裝置的需求顯著增加。網絡已經證明是非常有價值和必要的工具。但是，欺詐和錯誤使用的可能性也日益增加。近年來，證券公司例如Verisign、Thawt等等已經通過提供驗證網絡用戶的裝置建立了有吸引力的商業模型。通過發出和撤消使用公鑰基礎設施(PKI)的數字證書，網絡用戶可確信一些交易被安全處理。"Verisign，，模型的問題是伺服器側通常釆取驗證自身的必要步驟，但是，客戶和其它網絡客戶已經表現出對獲得可幫助他們同樣被驗證的解決方案不感興趣。在很大程度上，網絡客戶由於不清楚可獲得的好處而不願意為他們所有的驗證裝置付費。另外，驗證機構如何在多種平臺(PC、膝上型電腦、移動裝置等等)之間工作也不是很清楚。由於實際上，公用網上的所有客戶沒有被以任何方式驗證，所以欺詐及危害的潛在可能性仍然嚴重且日益惡化。近些年來，已經提出了多種創新以幫助識別網絡客戶。這些創新中的一些包括-安全軟體狗8*智慧卡技術.晶片內的安全的、可唯一識別的元件這些創新從開始就存在缺陷，這是因為這些(及其它)硬體部件容易丟失、被盜竊或交換。儘管這些解決方案提供了最低水平的驗證，但是它們的有效性由於客戶不能保證它們安全而有限。因此，在今天的網絡世界中，存在足夠的對主機系統(伺服器側系統)的驗證，但是對客戶機側只有很少驗證或沒有驗證。如果存在一種可行的可靠驗證每個客戶的方式，則將開始出現新的且有獲利潛力的商業機會，並且端到端"可信"的網絡將變為現實。因此，需要一種克服如上所述的傳統系統內發現的那些嚴重問題的系統和方法。
發明內容文中所述的實施例提供了一種驗證系統和方法，其可驗證網絡客戶並且在兩方或多方之間建立可信的通信路徑。根據本發明的一個方面，提供了一種網絡用戶驗證系統，其中使用與建築相關聯的安全組件或物理網絡連接驗證建築內的一個或多個網絡設備，使得安全的網絡通信與建築所有者或佔據者直接關聯。建築內的至少一個用戶設備連結到該安全組件，並且安全伺服器連結到該安全組件或連接。安全伺服器被配置成確定該安全組件的物理連接標識(ID)，並且使該物理連接ID與客戶ID相關聯，以便跟蹤在公用網上請求服務的建築內的特定客戶或用戶設備。安全伺服器可以是商業網站或網絡的一部分，或向多個家庭和企業提供服務的服務提供商網站例如電話服務提供商或電話公司(Telco)，或連結到附近建築的網絡邊緣站點例如電話公司邊緣站點、有線電視邊緣站點或電力公司邊緣站點的一部分，或連結到附近建築的無線網絡基站，或者可以是經由網絡連接到安全組件的單獨的安全伺服器。安全伺服器不管是獨立的還是結合到遠程網站或本地邊緣站點中，都可以被不同的商戶或網絡用戶使用，以便驗證希望與該商戶或網絡用戶做生意的其它網絡用戶。此系統使用戶設備與固定建築或與該建築永久關聯的物理連接ID相關聯，驗證這兩方之間的通信路徑可信，即建立可信通信路徑。這兩方可以是網絡商戶或服務提供商和網絡用戶或例如兩個網絡用戶。安全組件可以是任何與建築建立的通信線路，包括基於線纜數據機、數字用戶線路(DSL)或DSL衍生物、無線輸入埠、光學輸入或線路等等的物理連接，或者可以是被公用事業公司用於跟蹤建築物的公用設施使用情況以便收費的儀表箱等等，其具有用於經由網絡與公用事業公司伺服器通信的內置通信設備。在一個實施例中，安全組件可以是從網絡接入點或邊緣站點到用戶的物理網絡接入設備例如數字數據機、線纜數據機、異步傳送模式(ATM)數據機、光纖數據機、DSL數據機或其它家用數據機的最後一英裡(lastmile)連接。驗證的關鍵是建立為家庭或其它物理位置提供服務的最後一裡連接，並且使該連接與家庭或物理位置的用戶相關聯以實現安全目的。該連接可以是到家庭的物理銅線對連接，或線纜數據機終端伺服器(CMTS)上的有線電纜數據服務接口規範(DOCSIS)地址，或家庭和網絡之間的無線最後一裡連接上的介質存取控制(MAC)或邏輯鏈路控制(LLC)或無線電鏈路地址，動態主機配置協議(DHCP)服務或中繼代理所報告的數字用戶線路接入復用器(DSLAM)電路ID或連接埠，或將無線客戶連接到無線網絡的基站中的任何一個。客戶ID可以是對於用戶具有永久固定值的任意值，或者僅對於單個連接是臨時值。客戶ID可基於IP位址、IP位址和埠號、用戶ID、得自用戶ID的隨機數、網絡邊緣站點提供的標識符例如網絡地址翻譯(NAT)地址，和可用於使客戶設備與通信線路ID相關聯的任何數據值。安全伺服器可使用網絡設備建立連接或通信線路ID。在一個實施例中，可遵循跟蹤路由映射以確定網絡拓樸，從而可識別服務邊緣站點例如Telco邊緣站點。一旦邊緣站點被識別，則安全伺服器通過請求用戶或客戶的網際網路協議(IP)地址向該邊緣站點發送查詢，請10求識別將Telco邊緣站點連接到該用戶設備位於其中的建築的通信線路。其中可使用該驗證系統識別一個網絡元件的情況的一個示例是機頂盒(STB)通過其經由銅線對至Telco的物理連接(用於DSL和撥號)而被驗證。如果STB涉及電子商務交易例如請求購買電影，則電影服務提供商或Telco可使用此驗證系統通過比較該物理連接ID和用戶或客戶ID,來檢驗請求STB是否來自連接到該建築的正確的物理銅線對。在另一個實施例中，可通過在系統中添加籤名或安全碼來提供另一個附加的安全層。在一個實施例中，安全控制單元與安全組件相關聯，並且具有其中存儲唯一的數字證書的數據存儲模塊，並且處理器被配置成經由專用網與該安全伺服器通信。安全伺服器首先檢驗建築位置，並且將與該建築位置相關聯的唯一數字證書發給該安全控制單元。該安全控制單元可安裝在位於該建築位置處的安全組件內或者連接到該安全組件，或者可位於連接到多個建築的安全組件的邊緣站點模塊內。在此情況下，邊緣站點模塊存儲每個建築的唯一數字證書。安全組件可以是用戶網關或連接埠，例如永久連接在建築和電信公司邊緣站點之間的現有寬帶電信線路，或者與到建築的專用無線鏈路相關聯的無線網關。唯一數字證書然後僅與到該特定建築的線路相關聯。由於數字證書直接與物理建築(或物理安全或與該建築集成的網關)相關聯，所以其可用於可靠地驗證該建築內居住的、擁有該建築或在該建築內工作的人員。數字證書可在位於線路的建築端部的安全控制單元內或在提供商邊緣站點處附連在到建築的專用寬帶存取線路上。在一個實施例中，每個服務提供商邊緣站點包含具有數據存儲模塊的控制單元，該模塊保存與該站點連接並且訂購驗證服務的所有建築的數字證書。每個數字證書然後僅與到與該數字證書相關聯的特定建築的通信線路相關聯。由於建築通常不移動，並且安全組件連接到建築以便其難以或不能在不中斷與建築的連接的情況下移動，所以數字證書可經由該數字證書提供在網絡上通信的客戶的身份的可靠指示。在另一個實施例中，安全組件包括安全箱或殼體，該安全箱或殼體以某種方式物理連接到建築內部或外部，並且包含保持對於該建築特定的數字證書的安全控制單元。在一個示例中，安全控制單元可包括用於特定公用設施的計量設備，並且可與公用事業伺服器通信以便計量讀取和驗證。專用網或虛擬專用網(VPN)在此情況下是公用事業公司網絡，並且驗證伺服器可被該公用事業伺服器或連結到該公用商業伺服器的單獨驗證伺服器執行。安全網關模塊可設置在建築處以便連接到建築內的多個用戶設備。在一個實施例中，安全控制單元包含網關模塊。在另一個實施例中，安全控制單元連接到網關模塊。網關模塊可以是路由器或增強路由器模塊。該系統還可包括與該網關模塊相關聯的至少一個硬體安全設備，以及與建築內的每個用戶設備相關聯的硬體安全設備。安全設備可以是通用串行總線(USB)軟體狗、智慧卡、可信平臺模塊(TSM)、用於無線設備的用戶信息模塊(SIM)晶片等等。在本發明的示例性實施例中，特定建築專用的數字證書可與連接到該建築的網關模塊的硬體安全設備內存儲的對應密鑰相匹配，以便網絡成功地操作。網關模塊內的硬體安全設備繼而在每個用戶設備內與安全設備密碼同步以便成功進行驗證並且進行網絡通信。這提供了兩級驗證，具體來說是認證實體或驗證伺服器到建築，以及建築到該建築內的用戶設備。根據本發明的另一個方面，提供了一種驗證方法，該驗證方法包括通過使用戶標識(ID)與預期用戶位於其中的建築的物理連接或安全組件的ID相關聯來向網絡服務註冊一個用戶，存儲用戶ID和物理連接ID的記錄，在從用戶接收到每個隨後的對服務的請求時確定連接用戶的物理連接ID，將該物理連接ID與先前建立的用戶ID進行比較以便進行檢驗，並且如果檢驗成功則提供服務。在一個實施例中，位於驗證伺服器處的建築的地理位置基於安全組件或物理連接的位置而被檢驗，唯一的數字證書與被檢驗的建築位置相關聯，並且該唯一的數字證書被發送給與該安全組件或物理連接相關聯的安全控制單元，並且該唯一的數字證書被存儲在安全控制單元的數據存儲模塊內。在另一個實施例中，用戶用來與網絡通信的先前針對到建築的物理連接所創建的連接ID由安全伺服器所確定，並且該物理連接ID與用戶的用戶ID相關聯。通常，在現代密碼技術中，為了進行安全通信在實體可以被認為完全安全和可靠之前希望進行三級驗證。這些等級包括1.具有什麼2.知道什麼3.是誰第一項可通過向客戶設備提供某些類型的具有安全的嵌入密鑰的安全硬體設備例如智慧卡、USB軟體狗、安全晶片或晶片內的安全元件、以及其它基於硬體的密碼方案來實現。第二項可通過使用用戶特有的用戶名和密碼實現。第三項更難以實現。生物測定識別技術包括視網膜掃描器和指紋分析器，但是這種設備的安裝通常很昂貴並且難以管理。文中所述的實施例通過利用物理結構例如建築或家庭、或連接到該物理結構的安全組件作為生物測定設備提供了"是誰"的識別。實際上，所有物理結構、尤其是配備有寬帶訪問的那些物理結構具有一個所有者和數量有限的在該結構內居住或工作的個人。通過基於到建築內的物理連接或網絡通信線路的唯一ID識別服務用戶，在本發明中，用戶可與唯——個不可移動的物理結構相關聯。該方法和系統可用於識別擁有物理結構、在其中工作或居住的人員。在查看下文的詳細說明和附圖之後，本發明的其它特徵和優點對於本領域技術人員來說更加顯而易見。可通過研究附圖部分地了解本發明的關於其結構和操作的細節，在附圖中類似的附圖標記表示類似的部件，並且其中圖1是示出使用根據本發明的一個示例性實施例的身份驗證系統和方法的網絡的框圖2是示出根據本發明的一個示例性實施例的最初向服務提供商註冊被驗證服務的客戶的方法的流程圖3是示出在圖2的初始註冊之後識別用戶或客戶的方法的流程圖4是示出根據本發明的一個實施例內的用於用戶的實時驗證的邏輯處理步驟和數據存儲模塊的邏輯圖5是示出根據本發明的另一個實施例的驗證系統的框圖6是示出提供二級驗證的圖5的系統的變型的框圖7是示出圖5和6的驗證系統的初始設定的流程圖8是示出使用本發明的一個實施例的驗證系統以驗證作為該系統的客戶的潛在網絡合作夥伴的流程圖9是示出修改的提供內容文件的水印的驗證系統的框圖10是示出根據本發明的另一個實施例的修改的驗證系統的框圖11是圖10的實施例的家庭或建築單元的框圖12是類似於圖9但是提供雙向驗證的修改的驗證系統的框圖13是示出根據本發明的一個實施例的驗證方法的流程圖；並且圖14是示出源自商業網絡並且尋址至連接到被驗證網關的用戶設備或連接到建築物的安全組件的消息中的加密層的框圖。具體實施例方式文中公開的一些實施例提供了基於固定物理建築物地址或位置的用戶驗證。例如，文中公開的一種方法允許使唯一數字證書與家庭或建築單元相關聯，或者物理連接到家庭或建築物。在閱讀此說明之後，在各種可選實施例和可選應用內如何實現本發明對於本領域技術人員來說是很清楚的。但是，儘管文中說明了本發明的各種實施例，但是應理解這些實施例僅是作為示例而不是限14制。因而，各種實施例的詳細說明不應被理解為限制如所附權利要求內闡述的本發明的範圍或廣度。下文的說明使用術語Telco(電話公司)作為任何服務提供商的通稱，並且用於識別任何類型的通信或網絡服務提供商，如電話公司、有線電視服務提供商、有線電視(tv)操作員、網際網路服務提供商、衛星電視提供商、光纖網絡連接公司、無線服務提供商、蜂窩電話服務提供商等等。圖l是具有各種網絡部件的通信網絡系統的框圖。如下文將更詳細說明的，根據本發明的一個示例性實施例的驗證系統結合到網絡系統中，並且當用戶設備例如物理設備或建築物40內的機頂盒(STB)370連接到商業應用/網絡388時被使用。STB370是連接到通信信道的電子設備，如電話、網際網路服務數字網(ISDN)或有線電視線路，並且在傳統電視屏幕上產生輸出。機頂盒通常用於接收並解碼數字電路廣播，並且通過用戶的電視而不是PC與網際網路接口連接。機頂盒分為幾類，從最簡單的接收並還原譯出輸入電視信號的機頂盒，到更為複雜的也可用作多媒體臺式計算機的機頂盒，該多媒體臺式計算機可運行多種先進的服務，如視頻會議、家庭內部聯網、網際網路協議(IP)電話、視頻點播(VoD)和高速網際網路TV服務。但是，應理解，圖1內的家庭網絡可連接到許多其它類型的用戶電子通信設備，並且結合圖1使用的術語機頂盒(STB)將是覆蓋任何類型的電子通信設備，包含STB、個人計算機(PC)、個人數字助理(PDA)、網絡MP3/視頻播放器(其中MP3是MPEG-1AudioLayer-3設備，並且MPEG代表運動圖象專家組)、蜂窩電話等等的通稱。STB370在所示的實施例中示出為連接到電視372,並且經由家內或建築物內網絡385連接到客戶前端設備380。客戶前端設^(CPE)380代表任何形式的客戶前端設備，如路由器、數據機、交換機、網關或任何網絡處理設備，其可用於在本地網絡設備內接口連接到通到外部世界的可接收和傳輸數據的連接或通信線路305。連接305可以是與外部網絡邊緣設備、邊緣站點或接入點303的有線、無線、電纜或光互聯，並且可基於點對點、星形、環形或其它網絡拓樸。在此實施例中，如下文參照圖l-4詳細說明的，驗證系統使用物理連接305的標識符，以便驗證住宅或住宅網絡385內的設備的用戶。客戶端設備例如STB370可直接連接到CPE數據機380，或可選地服務於使用網絡地址轉換(NAT)/防火牆的局部接入點路由器子網絡。NAT是一種使區域網(LAN)能夠使用一組用於內部傳輸的IP位址和用於外部傳輸的第二組地址的網際網路標準。網絡邊緣設備或站點303經由網絡315連接到商業應用和網絡388。商業應用和網絡388可以是獨立的基於電子商務或網絡的公司服務，或者可以是電話公司(TelCo)或其它第三方提供的公用服務。網絡315可以是專用或公司網絡、或者公用網例如網際網路，並且邊緣站點303與商業應用和網絡388之間的通信可經由一個或多個網絡315實現。網絡邊緣設備303適合於用於向用戶提供服務的物理網絡層，並且包含但不局限於基於電纜數據機、數字用戶線路(DSL)和DSL衍生物、無線和光技術的物理連接。DSL技術使用複雜的調製方案以將數據打包到銅線上。它們有時被稱為最後一英裡技術，這是因為它們僅用於從電話交換站到家庭或辦公室的連接而不是交換站之間的連接。在圖1中，網絡邊緣設備是通信線路305連接到CPE設備380的邊緣位置的示例。網絡系統還可包含網絡操作中心(未示出，位於網絡邊緣設備303和網絡315之間)。網絡數據中心處理功能可分配在其它位置或者使用其它伺服器。安全伺服器310經由網絡315連接到網絡邊緣設備。儘管安全伺服器310在圖1內為單獨站點，但是它也可以是網絡邊緣設備或邊緣站點303的一部分，網絡操作中心的一部分，或商業應用站點388的一部分。圖1還示出動態主機配置協議(DHCP)伺服器320,該伺服器320連接到DHCP資料庫330，用於經由網絡315與客戶CPE設備380通信。DHCP伺服器320可以是用於向CPE設備或其它計算機設備提供網際網路協議(IP)地址的標準的基於網際網路協議的伺服器，該CPE設備或其它計算機設備被分配IP位址以便接入網絡。DHCP是已知的用於向網絡上的設備分配動態IP位址的協議。可選地，DHCP伺服器320可包含可用於向計算機或其它客戶設備(STB、PDA、PC、蜂窩電話等等)分配地址信息或接入信息以便連接到網絡的其它設備。DHCP伺服器320還可實現為具有地址信息的資料庫，該地址信息用於使計算機或其它客戶設備經由主機網絡邊緣設備303例如Telco邊緣站點連接到網絡315。根據一個實施例的驗證過程(即，用於啟動可信通信路徑)如下所述。該過程在STB370所代表的客戶設備上電並且嘗試連接到Telco服務或商業應用388時開始。STB370通常可從表示為CPE380設備的一部分的路由器、交換機或網關設備請求IP位址。STB370的IP位址是網絡邊緣設備303或DHCP伺服器320可能不知道的局部網際網路(IP)地址。圖2示出根據本發明的一個實施例的用於開始向服務提供商例如商業應用388為被驗證或可信服務註冊客戶的方法。當建築物內的任何客戶設備聯繫服務提供商以在網絡上獲得任何類型的服務時可使用此方法。這種服務的一個示例是當用戶設備例如機頂盒聯繫安全電影或視頻輸送服務以獲得視頻解密的應用密鑰時。客戶設備例如STB370首先上電並從CPE380獲得IP位址(步驟340)。客戶設備然後連接到服務提供商(步驟342)並請求服務。STB使用CPE380設備的IP位址而不是STB的IP位址連接到網絡邊緣設備303。STB的IP位址對於家庭或住宅內網絡385來說是本地的，並且呈現給商業或服務提供商的客戶(STB)IP位址可能與CPE380的家庭內網絡路由器、交換機或網關分配給STB的IP位址不同。呈現給STB的IP位址是網絡邊緣設備303為CPE380設備提供的IP位址。當STB聯繫商業應用和網絡388以便註冊來自商戶的服務時，註冊過程可使用客戶或CPE380的IP位址，並且可從適當的網絡設備確定網絡邊緣設備303和STB370之間的物理連接305的身份，該物理連接305經由CPE380連接到網絡邊緣設備(步驟344)。下文詳細說明用於確定物理連接305的身份的技術。註冊過程可使用如圖171所示的獨立的安全伺服器310,或者可以是商業應用或站點388的一部分。客戶註冊信息包含被稱為針對網絡邊緣設備303和CPE380之間的連接305的物理連接ID的標識符。物理連接ID是唯一標識網絡邊緣設備303和CPE380之間的物理連接305的標識符。存在多種可用於獲得物理連接305的身份的技術。物理連接ID的DSL示例是用於DSL數字用戶線路接入復用器(DSLAM)設備的物理埠ID,該DSLAM設備用於將DSL服務連接到銅線對電話線路，該電話線路將Telco中心或本地電話局連接到用戶。DSLAM將多個客戶的DSL連接連結到單個高速異步傳輸模式(ATM)線路。對於光纖連接、基於有線電視的網際網路服務的線纜數據機系統可獲得物理連接ID,而對於無線設備可獲得虛擬連接ID。例如，在光纖到戶(FTTH)網絡中，連接ID可以是用於使用戶通過接口連接到光網絡的光纖網絡單元(ONU)的標識符。ONU標識符可用於使視頻(或其它)服務用戶與到該用戶的物理光纖連接或ONU連接相關聯。還可想像，可使用跟蹤路由程序或其它網絡映射資源獲得物理連接305的標識符，以確定物理連接305。儘管標準的跟蹤路由程序資源沒有識別物理連接305，但是可想像，可創建類似於跟蹤路由程序的可將物理連接305和信號路由一起提供給計算機節點的資源。在許多網絡系統中，當客戶設備(STB、PC、PDA等等)使用DHCP協議請求網絡IP位址時，網絡邊緣設備303可以將DHCP請求轉發給DHCP伺服器。除了用作DHCP中繼代理之外，在通過網絡邊緣設備303轉發DHCP請求時，網絡邊緣設備303還添加物理連接標識符(例如DHCP選項82)。當網絡邊緣設備303添加物理連接標識符時，DHCP伺服器可將該物理連接標識符存儲在DHCP伺服器租約文件中，該文件是包含關於DHCP處理的信息並且通常包含關於IP位址、CPE媒介存取控制(MAC)地址、租約狀態、租約持續時間的信息以及其它信息的文件。對基於DSL的網絡的當天DHCP處理包括DSLDSLAM添加指示經由DSLAM埠號連接到家中的物18理線的埠標識符。DSLAM埠號是唯一的，並且當銅線連接到DSLAM埠時，家庭和Telco網絡之間的物理銅線可^皮唯一地識別。在許多系統中，DHCP租約文件信息還包括被網絡邊緣設備303添加到DHCP請求中的任何物理連接標識符(例如DHCP選項82)。在網絡邊緣設備303和CPE380設備之間的物理連接305的物理連接標識符不可用的情況下，可寫軟體以通過探測網絡邊緣設備303以獲得可用於使標識符與物理連接305相關聯的數據來訪問此信息。此探測的示例是使用DSLAM設備提供的任何方法從該DSLDSLAM設備中讀電路ID。探測網絡邊緣設備303可應用於任何網絡類型(無線、線纜、光纖、DSL、乙太網等等)，並且探測可基於從設備獲得物理連接305的方法。典型的獲得物理連接305的標識符的方法包括讀資料庫文件，執行遠程登錄對話，訪問網絡或網絡邊緣設備303上的暴露接口，訪問網絡服務以獲得信息，經由文件傳輸協議(FTP)或超文本傳輸協議(HTTP)接口訪問信息，或其它方法。在已經確定物理連接ID之後，在此實施例中驗證過程使物理連接305與服務用戶相關聯(步驟345)，並且存儲關於該用戶的信息和相關聯的物理連接標識(步驟346)。這使得服務提供商可使用包含物理連接305的信息驗證用戶，從而將該用戶連結到識別出的物理連接與其連結的物理結構或建築物。一旦該信息被存儲，則客戶被為服務註冊，並且然後可從商戶388接收服務。在註冊之後，物理連接305用於如圖3所示在每個隨後的對服務的請求中驗證用戶。通過此應用還可想像，可提供這樣的網絡服務，即該網絡服務使服務提供商可使用網絡邊緣設備303或Telco網絡設備或DHCP伺服器320或安全伺服器310或其它網絡位置提供的暴露接口從Telco或服務提供商獲得物理連接305標識符。儘管當在驗證客戶時在當天系統內有時使用物理連接305信息，但是此使用局限於網絡服務提供商驗證用戶的CPE380設備時，並且此信息並不用於驗證超出物理連接層之外的用戶，例如在服務的應用層或者在驗證電子商務系統的用戶的電子商務層、網際網路系統、網絡服務、電子郵件系統等等中的用戶。圖3示出用於在註冊後識別用戶或客戶以便檢測試圖訪問服務的欺詐嘗試的驗證過程。被稱為黑客的欺詐個體試圖搶奪或盜竊服務的方法有很多種。例如，黑客可使用具有複製的用戶信息的克隆客戶設備例如STB或PC，並且試圖冒充授權用戶。圖3內所示的驗證過程可證實客戶從與註冊該服務所使用的物理連接相同的物理連接305訪問該服務，並且具有相同證書的多個客戶不會同時在該服務上活動。如圖3所示，在步驟350接收來自已註冊客戶(或者試圖使用克隆設備等冒充已註冊客戶的未授權用戶)的交易請求。然後，讀取連接用戶的家庭網關IP位址(家庭網關或CPE380的IP位址，而不是STB370的IP位址)(步驟352)。用戶的網關IP位址被用於獲得該用戶的物理通信線路或物理連接ID(步驟354)。這可由包含針對該網關IP位址的物理通信線路標識符的網絡數據項獲得。這可以多種不同方式獲得，例如可讀取DHCP租約文件以獲得此映射。還可通過從DSLAM讀取DSLDSLAM埠ID向網絡設備查詢此信息。根據網絡可使用其它方法。由於大多數系統通過臨時租約應用DHCPIP位址管理，所以用戶網關IP位址是臨時關聯。因而，用戶被識別為連接到物理通信線路而不是IP位址。物理連接線路標識符對於每個用戶是唯一的，並且一個示例是DSLAMIP—ADDRESS.PortNumber,其中DSLAM—IP—ADDRESS是網絡中的許多DSLAM之一的IP位址，並且.PortNumber欄位是將銅線連接到用戶的位置的DSLAM上的物理埠。然後，通過比較用戶的當前DSLAM—IP—ADDRESS.PortNumber或物理連接ID與當用戶首次為該服務註冊時獲得的物理連接ID，驗證連接客戶(步驟356)。軟體可監控用戶物理連接，並且檢查多個用戶同時在網絡和該用戶的不同物理連接上活動。用戶的客戶前端設備可位於家庭網關或防火牆之後，並且用戶的客戶IP位址是對於家庭或前端來說是本地的但是驗證系統不會看到的IP位址。此方法使用戶與到建築物的物理連接305而不是客戶IP位址相關聯，這為驗證提供了更好的基礎。軟體確定用戶的新的或當前物理連接ID與註冊的物理連接ID之間是否匹配(步驟358)。如果匹配的話，則該連接是可信的，並且交易可繼續進行(步驟362)。如果物理連接ID與註冊信息不匹配，則報告該改變(步驟360)，並且根據該改變是出於合理原因還是其被懷疑是網絡上的克隆，交易可以繼續進行或不繼續進行。在步驟360中，處理軟體可報告用戶使用的設備目前位於與為該服務註冊的DSLAM埠不同的DSLAM埠上。用戶設備物理連接可能因多種不同的合理原因而改變，包含技術員將用戶移動到DSLAM上的不同埠，或者技術員在欄位內移動STB而沒有更新用戶的信息，乃至當用戶移動STB時。儘管這些條件沒有構成網絡上的克隆，但是處理過程可報告這些類型的事件。通過MAC地址唯一識別的合法STB在任何給定時刻可僅存在於單個DSLAM物理埠地址上。在一個實施例中，如下文參照圖1至4更詳細說明的，驗證系統和方法通過搜索連接到多於一個物理線路的STB的DHCP租約記錄，使用具有中繼代理信息擴展選項的DHCP服務來檢測克隆STB。圖4示出用於圖l的系統以便進行如圖2和3所示的實時註冊驗證以及對潛在克隆的存在的掃描報告的邏輯處理過程和數據存儲。用於執行驗證過程的驗證伺服器可駐留在單獨的安全或驗證伺服器310上，或者可被設置在連接到網絡邊緣站點303的網絡操作中心，或者在其它實施例中被設置在商業應用站點388上。如圖4所示，DHCP伺服器和中繼代理363連接到DHCP租約文件存儲模塊364。DHCP表構造器365被連接到DHCP租約文件存儲模塊364和DHCP目錄366。由表構造器365所創建的表被存儲在DHCP租約表模塊367中。所有STB關聯數據與特定電路信息一起被存儲在電路管理(CM)註冊表368內，即客戶註冊信息和關聯的物理連接ID。當從STB接收到密鑰請求或服務請求時(369),系統通過比較DHCP租約表內存儲的信息與電路管理(CM)註冊表368內存儲的信息，確定該請求所源自的租用電路是否對應於已註冊的電路(374)。如果電路不匹配，則生成驗證異常並且將其存儲在驗證異常模塊375內以便稍後在掃描報告中處理(376)。當在步驟374沒有發現匹配時，STB可被拒絕服務或者默默記下以便稍後調查。如果電路識別中的改變存在合理原因，則CM註冊表可被更新以指示此特定客戶的已註冊電路對應於租用電路。現在將更詳細地說明如圖1至4所述的驗證系統的一個示例。為了驗證用戶或客戶，對於任何給定IP位址，可從DHCP伺服器或中繼伺服器獲得MAC地址和DSL埠號(opt.82)。在圖4所示的實施例中，從DHCP租約文件中訪問DHCP狀態。在可選實施例中，等效狀態信息可使用為客戶獲得標題和其它信息的Myvo/Siemens的全面管理(TM)中波來獲得。可選地，DHCP狀態日誌可輸出給驗證伺服器，或者可發覺來自驗證伺服器的DHCP請求業務量。DHCP活動性被保持在/etc/dchpd.leases或DHCP租約文件365內，該文件包含從網絡邊緣DHCP中繼代理363收穫的這些任選欄位。tableseeoriginaldocumentpage22儘管遠程ID被假設為是全局唯一的，但是電路ID僅對於DSLAM是唯一的，並且可用子網絡地址限定以確保對於驗證伺服器的唯一性。考慮其中STB被克隆但是碰巧佔據兩個不同子網絡上的相同電路的退化情況。為了檢測此克隆，可測試兩個子網絡和電路的唯一性。在giaddr欄位內引用DHCP協議中繼代理，該欄位是中繼代理的IP位址。租約文件內的電路ID選項是giaddr和電路的拼接。"giaddr"欄位是網關IP位址，即用來指DHCP伺服器和電路(例如DSLAM、網關等等)之間的任何中繼代理的IP位址的術語。租約文件可被保持為平面的美國信息互換標準代碼(ASCII)文本文件，或者可在內容和布局上改變。租約文件插件用於抽象本地文件存取。對於大規模安裝，仍然要確定所有租約文件是否具有相同格式。在概念上，異構系統可具有不同的DHCP伺服器、租約文件格式並因而具有不同的租約文件插件。來自當天DHCP伺服器的DHCP租約信息可類似於示出被發出的IP租約和電路選項的下文示例Lease172.22.22.254{starts12006/02/0615:46:27;ends12006/02/0616:46:27;tstp12006〃02/0616:46:27;bindingstatefree;hardwareethernet00:03:e6:00:3c:84joptionagent.circuit-id"10.160.220,232:l-3-26-0-adsl-0-36";在這個示例中，giaddr欄位是10.160.220.232。對於直接連接的STB，DHCP租約文件項具有該STB的IP位址和MAC地址。在接入點(AC)情況中，DHCP租約文件項具有AP而不是STB的IP位址和MAC地址。在此說明中，術語"接入點，，是指用作有線LAN的用戶的通信集線器的硬體設備或計算機軟體。但是，電路信息對於CPE域內的所有設備、包括AP和STB都是共用的。為了便於電路ID的註冊時間求解，創建DHCP租約表367。該租約表輸入關於IP位址的所有租約平面文件信息和密鑰，以使該地址和與IP租約相關聯的連接305的電路ID相關聯。這在與註冊期間的平面文件處理相比提高了性能水平。在一個實施例中，該表可包含tableseeoriginaldocumentpage23執行批處理以解析DHCP租約文件364，並且將數據輸入DHCP租約表367。構造器可作為後臺處理運行。租約表構造器應服從於更高優先級的系統任務，包括註冊伺服器。表構造器可使用DHCP目錄定位DHCP租約文件。目錄包含其租約文件被處理的所有DHCP伺服器的總清單。目錄可被手工添加，被操作員UI管理並且最終被DHCP探索自動生成。驗證系統可直接註冊STB，或者可註冊STB的接入點(AP)。對於直接連接的STB370,在步驟369，STB發出具有其IP位址和MAC或STBID的密鑰請求。註冊或驗證伺服器(安全伺服器310或設置在商業應用站點的伺服器)可在註冊時使用租約IP位址使該STBMAC與該電路相關聯。對於AP註冊，當STB註冊時，其發出包含其STBID(MAC)的密鑰請求369。請求IP是接入點或CPE380翻譯的NAT,從而密鑰請求包含STBMAC加上接入點IP位址。驗證或註冊伺服器在註冊時使用租約IP位址使該STBMAC與該電路相關聯。對於多個STB或用戶設備，註冊過程以相同方式處理，在這種情況下使用多個STB發出的唯一MAC。在每種情況下，註冊伺服器接收到具有用於檢索電路ID的唯一的MAC和接入點或APIP的密鑰請求。該過程對於直接STB和AP註冊是類似的，因為IP總是分解到CPE電路。註冊在執行基於電路的驗證時起重要作用。由於STBMAC可能僅在初始密鑰請求時被知道，所以其是驅動驗證的註冊事件。基於電路的驗證可使用商業邏輯來檢測克隆STB。任何這種STB可以是被主動拒絕的密鑰，或被默默告知以便稍後調查。被拒絕或可疑的電路驗證的結果被插入到驗證異常表375內，以便稍後在掃描報告376內處理。未授權請求可被拒絕然後被記錄在異常表375內。其它類型的異常也可被存儲在此表內。在一個實施例中，驗證異常表375內存儲的記錄包含tableseeoriginaldocumentpage25相同CPE內的克隆STB不能被容易地檢測到，這是因為它們共享相同的電路。其中STB被動力循環或者從房間移動到房間的合法使用情況也會導致這種狀況。為了擴展這種限制，共享公共AP的多層住戶單元可服務多個STB。作為對策，註冊伺服器可使用在相同電路上每單位時間的註冊數的實際上限或其它防禦措施。可使用開放式資料庫連接(ODBC)驅動器訪問客戶資料庫或註冊表368。該安裝可修改客戶資料庫以插入註冊證實欄位。數據欄位可是通用變換格式(UTF)-8或UNICODE(UNICODE是代表整數字符的類似於ASCII的標準)。下文的欄位可被包含在CM註冊表368內以1更用於驗證欄位名描迷數據類型和大小唯一性電路IDDHCP/中繼代理報告的DSLAM電路ID或連接埠自由格式字符串(樣品中34個字符)是-通過預先考慮的中繼代理地址使電路是唯一的遠程IDSTB唯一遠程標識符MAC地址的動態範圍，虛線十六進位字符串中的48位是警告計數用於對相對於STB的克隆警告計數的累加器，用於報告警報閾值和趨勢INTN/A控制用於網絡操作員白名單、黑名單和警告抑制優先級的列舉控制欄位EN畫N/A使用這些欄位，網絡操作員可按線路、地點、子網絡等等構造特定監督報告。DHCPIP租約可能在租約文件已經被租約表構造器收穫之時與租約文件被註冊伺服器使用之時之間期滿。註冊或驗證伺服器可通過向驗證異常表375寫DHCP租約期滿和時刻以及相關欄位，使邊界情況過濾遵從掃描報告規則。掃描報告邏輯可測試這些欄位以考慮它們的邊界情況。被授予的密鑰可在期滿時間內被租用。驗證系統被設計成與內容授權服務(CAS)基本兼容，並且可與簡單對象存取協議(SOAP)代理結合，從而向遠程程序調用(RPC)變換提供SOAP/可擴展標記語言(XML)。驗證系統可在不受攻擊威脅的非保護區(DMZ)內運行。DMZ是位於可信的內部網絡例如公司專用區域網(LAN)和不可信的外部網絡例如公共網際網路之間的計算機或小型子網絡。通常，DHCP伺服器和中繼代理具有信任關係，而DHCP客戶(包含STB的CPE設備)被假定為是不可信的。在一個實施例中，使用許可密鑰保護驗證系統不被未授權地使用。管理級功能被局限於移位管理器登錄。驗證系統的用戶界面可用Java或類似的網際網路程序設計語言實現，並且包含以下功能tableseeoriginaldocumentpage27驗證系統安裝可包含更新後的註冊權限伺服器，該伺服器與相關聯的軟體一起實現基於電路的驗證。作為安裝的一部分更新/創建資料庫模式和新表格。在Windows作業系統中，InstallshieldEXE產生新的Windows服務。對於Solaris/Linux系統，解決方案應可作為磁帶檔案(TAR)、Red-hat包管理器(RPM)等等安裝。如果驗證服務是單獨許可的選項，則其將被添加唯一的LICENSE—KEY以便管理驗證服務的安裝和卸載。在一些情況下，允許卸載以將CM資料庫恢復到驗證前的狀態，刪除驗證服務相關的表格和欄位。所提出的解決方案最小化或降低了對實時註冊的影響，並且允許DHCP租約表構造器和掃描報告進行脫機處理。掃描報告執行時間與驗證異常記錄的數量有關，並且交互(對等)地運行或可能以每日報告的周期運行。DHCP租約表367可包含為整個接受服務的交互網絡發布的所有CPEIP租約。最壞情況的大型安裝可服務於1MCPE。假設每個均具有一個租用的IP，則租約表具有大約1M的記錄。驗證系統的主要業務影響或操作影響在註冊或驗證階段。在DHCP租約表離線的情況下，IP位址查找失敗，或者驗證異常更新失敗，系統將恢復並且後退回當前功能。驗證系統可被單獨許可，並且向後兼容未意識到驗證和意識到驗證的商業邏輯。DHCP租約表構造器365可處理DHCP租約文件的拷貝，而保持存儲模塊364內的實時租約文件不動。構造過程不會影響服務。租約表367可以重複周期從暫存區(scratch)重建，使得它是自恢復的。使用驗證異常表的掃描報告可以是離線的而不會影響服務。異常表或報告內的故障可通過定期資料庫維護而被恢復。驗證異常表的定期維護可清除陳舊的記錄。DHCP租約文件可被收集到一個中央網絡文件系統(NFS)導出目錄內以便進行處理。可掃描所有DHCP伺服器租約文件的總集合以檢查克隆STB。DHCP租約文件可被DHCP伺服器定期推送到中央收集位置，或者被表構造器以各種方式(FTP、網絡文件系統(NFS)等等)拉出。DHCP可在統計報告(包含其MIB(管理信息塊))和日誌內報告當前租約的代理電路ID值。由於電路ID僅對於特定中繼代理是局部的，所以電路ID可被識別中繼代理的giaddr值限定。在電路信息現在未被寫入租約文件的情況下，DHCP伺服器和/或中繼代理必須被增強。遠程ID可以是DSL數據機ID。在上述系統中，實現為計算機數據結構或資料庫記錄的與建築相關聯的物理網絡連接ID的識別被用於驗證建築內的一個或多個網絡設備，使得安全的網絡通信直接與建築的擁有者或佔據者相關聯。這通過在它們籤名進行服務時使用戶與到建築的物理連接ID相關聯、然後檢查來自相同物理連接ID的用戶的隨後的服務請求來完成。由於建築不能移動，這提供了依賴用戶可靠性的基礎。圖5示出根據本發明的另一個實施例的驗證系統，其也依賴於物理組件或與建築的連接進行驗證，但是使用數字證書來識別該連接，這樣在系統中添加了另一個安全層。驗證系統被"捎帶，，在現有的物理安全的雙向網絡例如像具有到特定家庭和建築的專用線路的電話公司那樣的效用網絡上。但是，在可選實施例中可提供單獨的、獨立的驗證系統。在圖5中，驗證系統被捎帶或添加到電話公司的現有數字用戶線路(DSL)服務中。此系統可選地可與提供到建築的寬帶線路連接的其它服務例如電纜服務提供商、電路公司、FTTH等等一起使用。圖5的系統被連結到已認證的驗證中心20的公用設施伺服器或數據中心10管理，該中心可被信任以執行驗證服務。在此實施例中，驗證中心或伺服器可以是公知的認證實體，如Verisign、Thawt或Baltimore,其它實體只要被類似地認證為可信則也可參與。在可選實施例中，公用設施數據中心IO和驗證中心20可被組合為單個實體，並且公用設施伺服器執行可信的驗證服務。但是，公用設施通常不已知為有資格執行驗證功能，從而所示實施例內的系統使用單獨的驗證服務。公用設施伺服器或數據中心10連接到各種公用事業公司邊緣站點或服務盒30,並繼而通過專用物理通信線路35連接到訂購該服務的每個家庭內的網關模塊36或建築40。在此情況下，通信線路35是基本上很安全的組件，每個通信線路連接到一個特定的建築。家庭網關模塊36繼而通過有線或無線通信鏈路38連接到建築內的多種用戶設備，如機頂盒或電視45、個人計算機或膝上型計算機50，以及各種基於載體的無線設備55。每個通信線路38僅連接到一個建築或物理位置。術語"基於栽體的無線設備"是指連接到無線網絡的客戶設備或其它設備。無線網絡可以是任何人均可連接的開放網絡，如電氣和電子工程師協會(IEEE)802.11，或服務提供商、如可攜式電話公司或其它無線通信栽體或無線通信設備提供的服務。基於載體的無線設備的示例是蜂窩電話、無線數據機、無線PDA及其它無線設備。音頻和視頻回放裝置及網絡瀏覽器應用程式是在基於載體的無線設備上運行的應用的示例。還可想到其它在基於栽體的無線設備上運行的應用，並且這些應用受益於文中所述的驗證方法。此實施例內的網關模塊36與前一實施例中的客戶前端設備(CPE)380是等效的，並且可以是終止Telco信號或將Telco信號傳遞給網絡的任何設備。家庭網關模塊的示例包括DSL數據機、線纜數據機、光纖數據機、無線數據機、專用電路連接例如Tl設備，以及使通信線路連接到網絡的其它設備。家庭網關模塊36可包含多個通信、數據機式功能，並且可包含NAT、內部到家庭DHCP伺服器、防火牆以及其他網絡功能例如VPN、無線接入點等等。術語"家庭網關"或"CPE"是對上述項中任一項的上位描述，並且除了上述網絡功能之外，還可包含唯一的標識符例如DSL數據機標識符、有線電纜數據服務接口規範(DOCSIS)標識符、增強基線私有接口(BPI+)及其它標識符。在所示實施例中，建築內的用戶設備經由公用設施伺服器連接到內容提供商，並且經由網際網路65或專用網(未示出)連接到其它用戶60。但是，經由公用設施伺服器的與外部世界的連接並不是必需的，並且圖5的驗證系統可選地可僅用與驗證用戶建築。建築或物理結構40可具有其它的與各種其它站點的寬帶有線或無線連接以便發送和接收數據。公用設施邊緣站點模塊30是負責將家庭和建築連接到主幹網上的分立集群內的物理結構。在圖5的示例性實施例中，每個邊緣站點模塊30包含與連接到附近每個建築的安全組件或線路35相關聯的安全控制單元。邊緣站點模塊30具有足夠的物理安全措施和結構，以確保邊緣站點模塊本身不會因駐留者進入且破壞系統而洩密。當邊緣站點模塊是DSL邊緣站點時，其可包含用於指引去往和來自每個建築的通信的數字用戶線路接入復用器(DSLAM),該邊緣站點經由相關聯的專用線路35連接到該建築，並且還可如下文所述包含形成驗證系統的一部分的控制模塊。邊緣站點模塊30包含如下兩個安全等級1.邊緣站點本身在物理上受到保護，並且其訪問僅局限於授權個人，該授權個人應使得數據中心10以及還可能驗證伺服器知道他們的進入和離開。2.DSLAM伺服器(以及用於支持DSLAM的伺服器)也在物理上受到保護。DSLAM可具有它們自身的獨立的安全裝置和設備，這些安全裝置和設備與用於將人們阻隔在邊緣站點的物理結構之外的安全裝置和設備分開。在圖1至4的實施例中，用戶證明或驗證依賴於建立註冊用戶與連接家庭或建築和網絡邊緣站點的物理線路之間的關聯性。該關聯性是通過在註冊時以及當註冊用戶隨後使用該設備時確定用戶的物理網絡連接ID而創建的。在圖5的實施例中，不是使用各種源例如DHCP租約表識別到建築的唯一通信線路35的連接或電路ID,而是使附加的安全憑證與建築或者到建築的物理連接相關聯。安全憑證可以是數字證書。在一個實施例中，每個邊緣站點模塊30包含多個數字證書70，這些數字證書經由將邊緣站點模塊70連結到物理結構40的一個或多個通信線路35被發布給邊緣站點模塊所服務的群集內的每個分立物理結構40。這些數字證書被存儲在數據存儲區域內。邊緣站點模塊還可具有包含用於驗證的密碼例程的長期存儲器，在邊緣站點模塊內可添加被編程以執行必要的驗證步驟的附加處理器，或者如果合適的話，這些功能可由現有的邊緣站點處理器執行。此實施例的驗證系統使用公鑰基礎結構(PKI)發出和撤消數字證書70，該數字證書是不可變的軟體對象。這些數字證書是承載兩個唯一密鑰的包封。這兩個密鑰各不相同。一個密鑰是另一個密鑰的反向密碼。如果一個密鑰被用於加密數據包，則全域內的唯--個可成功解密該數據包的密鑰就是該數字證書內保持的另一個密鑰。一個密鑰通常被稱為公鑰，而另一個密鑰通常被稱為私鑰。私鑰總是安全地附加在不可變的對象上。公鑰在用戶和預期的網絡各方之間共享。一旦數字證書70已經被認證實體或驗證伺服器20發給在此情況下是不可變對象的特定建築(或者安全組件，即連接到該建築的線路35)，則可使用以下步驟來驗證建築內的網絡用戶-用戶使用私鑰加密數據包，並且將加密的數據包和未加密(明文)數據包發送給另一個網絡用戶；-接收方接收到這兩個數據包，並使用來自認證實體20的與用戶建築相關聯的對應公鑰對以前加密的數據包進行解密；-接收方執行操作以匹配未加密數據包和明文數據包；-如果匹配操作成功，則驗證遠程網絡用戶。在此實施例中，通過將此驗證過程內使用的數字證書聯繫到不可移動的特定建築或者可被檢驗的連接到該特定建築的安全組件，提供了更高的安全等級。這不同於以往的這種數字證書的使用，其中證書例如通過認證實體發送給用戶以便安裝在諸如計算機的硬體設備內的通用串行總線(USB)軟體狗等等與可移動的物理組件相聯繫。代替或者除了其中物理連接標識符被定位和存儲以便驗證註冊用戶的上文結合第一實施例說明的技術之外，可使用數字證書與物理連接35或305(圖1)的關聯性。針對特定建築專用的邊緣站點數字證書與安全地存儲在建築內、例如在家庭網關模塊36內的對應密鑰相匹配。提供了這樣的保護機制，即該保護機制可確保設備例如家庭網關模塊36不能移動到另一個物理位置，並且仍成功驗證用戶。已知的密鑰系統可創建用於將不可變對象與極低的出錯率相聯繫的標準和系統。換句話說，只要組成部件(在此情況下，邊緣站點模塊、線路35、家庭網關模塊)不可變，則可使用數學來確保組成部件之間的聯繫非常好。由於每個數字證書70與固定物理結構(或者與該固定物理結構的分立連接)相關聯，所以此系統使得可對擁有該物理結構或建築、在該物理結構或建築內居住或工作的用戶進行可信賴的驗證，而不僅是用戶設備的驗證，這樣沒有識別或確保設備的實際用戶的可靠性。每個數字證書可具有其自身的專用於唯一一個通信線路並因此專用於一個物理站點的私鑰。邊緣站點模塊30和物理結構40之間的物理通信線路35可以是物理線連接例如雙絞線(銅線)、DSL線、光纖線，專用和分立無線連接，或執行類似的專用功能的其它專用埠或連接或專用線路。驗證設備20可發出並撤銷群集(community)內的各種邊緣站點模塊內的數字證書以便驗證該群集內的物理結構。數字證書可以是攜帶兩個唯一密鑰的X.509數字證書。X.509是ITU-T(國際電信聯盟-電信)發布的數字證書的說明。其他家庭和辦公建築可被指定它們自己的分立數字證書。因此，整個群集可使用此驗證系統和方法。當通信線路35是DSL線路時，其通常連接到家庭網關模塊36以便實現到和來自建築內的用戶設備的DSL連接。可選地，網關模塊36可以是連接到家庭內的用戶設備的簡單路由器，或者用於管理終端用戶的數據流的改進路由器。在另一個實施例中，建築內的一個或多個用戶設備可直接連接到通信線路35並因此連接到數字證書。一旦已經為特定建築設置了數字證書70,則該數字證書還可用於驗證該建築內的用戶設備。儘管在此實施例中數字證書沒有安全地附連到建築本身，但是該數字證書在供應商邊緣站點模塊30處安全地附連到DSLAM或其它伺服器內的用於該特定建築的專用訪問線路。這都是非常必要的，因為DSLAM被保持在物理安全的邊緣站點內並且確認其專門用於正確的建築，這都是因為服務被專用訪問線路轉交給該建築，並且存在該建築內的用戶對服務的付費歷史記錄。與需要自己的網絡的驗證系統，以及具有雙向網絡連接性的物理上安全的盒與訂購驗證服務的每個建築的連接相比，"捎帶"在已有網絡上的此系統的設置要便宜得多。圖5的實施例提供了使用公鑰基礎結構(PKI)或等同物以便發出X.509數字證書70(或類似驗證證書)的虛擬專用網絡，每個證書與地面上的固定物理位置相關聯，而不是與可能被移動、盜竊、克隆等等的可移動或相對活動的用戶設備相關聯。這使得可對電子商務、電子郵件和其他電子交易進行安全的雙向驗證。圖l-5的系統利用公用事業公司例如電話、電力公司、有線電視公司等等的已有硬體、軟體和專用網絡作為客戶驗證系統的基礎。如果需要的話，所有需要的驗證系統硬體和軟體在網絡內的每個位置被添加到現有硬體和軟體中。這可大大減少初始設置費用。但是，這些系統可選地可被設定為具有自己的專用網絡、驗證伺服器和資料庫的單獨的、獨立的客戶驗證系統，並且網絡伺服器提供商使用該系統進行註冊和用戶驗證。這在新建築開發的情況下尤其可行。圖5示出認證授權驗證用戶電子設備位於其中的家庭或其它物理結構40的一級驗證系統和方法。用戶設備還可在如圖6所示的兩級驗證系統內由與建築相連接的安全組件驗證。在該系統內，認證授權20提供數字證書70,該數字證書70驗證與該數字證書相關聯的建築的物理位置(或者連接到建築的安全組件，如連接到建築的線路35、建築內的連接埠、連接到線路35的家庭網關模塊36等等的位置)。這是第一級驗證。在第二級驗證中，家庭網關模塊36繼而驗證建築內的每個用戶設備。圖6示出圖5的實施例的兩級驗證系統，但是在圖1至4的實施例內可使用類似的系統，該系統具有合當的如圖5內所示的附加硬體和軟體。在圖5的實施例中，家庭網關模塊36可具有存儲在數據存儲模塊中的對應於與其特定建築相關聯的邊緣站點數字證書70的密鑰。如圖5所示，公用事業公司(例如電話公司或Telco)或可信認證授權可選地向建築用戶提供包含與數字證書70的配對數字證書的硬體安全元件。硬體安全元件可以是USB軟體狗95,或任何其它硬體安全元件，如安全晶片、可信平臺模塊(TPM)、智慧卡等等。TPM用於為計算機設備提供基於硬體的安全性。通常，TPM包含嵌入晶片內的密碼硬體或單獨的硬體模塊。在圖4的實施例中，安全USB軟體狗95安裝在家庭網關模塊36內。在圖5的實施例內，為了網絡通信正常操作，可在家庭網關模塊36和電話公司邊緣站點數字證書70之間成功執行加密"籤名，，功能，以便驗證功能獲得正面結果。這可確保給定的家庭網關模塊36(或其它類型的路由器設備)不會在不同的物理位置工作。加密籤名功能可使用合適的加密軟體，例如麻薩諸塞州的RSASecurityofBedford公司所提供的軟體執行。該公司具有用於確保在網絡行為被正確地執行之前對應數字證書被正確地匹配的方法、技術和算法。RSA-類型的驗證過程可用於文中所述的每個實施例。在一個實施例中，數字證書驗證過程用於檢驗授權設備沒有從一個物理位置移動到另一個物理位置。如圖5內的虛線輪廓所示，系統可在家庭網關模塊內使用TPM96而不是軟體狗95。可使用任何合適的硬體安全元件代替軟體狗95或TPM96以便安全地使家庭網關模塊與數字證書70例如智慧卡、安全晶片技術等等相關聯。可在與建築相關聯的每個用戶設備內設置類似的硬體或軟體安全設備。例如，機頂盒45可具有基於硬體的安全元件例如智慧卡98,其包含證書70的對應數字證書。智慧卡98可選地被軟體狗、安全晶片等等代替。個人計算機50可具有基於硬體的安全元件例如圖5內所示的軟體狗100、或智慧卡、TPM、安全晶片等等，其也包含數字證書70的對應物。為了支持無線設備55，家庭網關模塊36可具有其自身的用戶識別模塊或SIM110,該模塊使得可與屬於建築物所有者和/或建築物佔據者的所有無線設備55進行安全通信。SIM卡或晶片包含存儲客戶帳戶或信用信息的安全存儲器。每個無線設備繼而可具有SIM卡112，該SIM卡被配置成僅通過使用加密套接字協議層(SSL)或類似技術的安全隧道或鏈路114與家庭網關模塊的SIM卡通信。用戶識別模塊可選地用於基於載波的無線設備，該模塊存儲設備的服務識別，以及可選地用於帳單信用或其它會計信息。通常，SIM是用於識別用戶的安全加密處理器。安全隧道114可基於虛擬專用網絡(VPN)、IPSec或SSL隧道或其它已驗證和加密的通信鏈路，或例如本發明所述的專用內部通信鏈路。安全隧道可以是在有線和無線通信路徑之間連接的35兩個網絡端點之間的虛擬隧道。在系統的初始設置時，或者每當添加新的用戶設備時，每個用戶設備被家庭網關模塊36驗證以使用戶設備的安全元件98、100、112和與軟體狗95或TPM96以及SIM卡110關聯的相同數字證書70加密地相關聯。類似措施可用於圖5的實施例以使每個用戶設備與家庭單元80內存儲的數字證書70相關聯。這提供了建築家庭單元或到用戶設備的網關的第二級驗證。在圖5和6的實施例中，建築內的設備僅在DSLAM邊緣站點30通過已被分配給建築的數字證書通信。因此，實現以下通信DSLAM邊緣站點1—DSLAM數字證書1—建築1DSLAM邊緣站點2—DSLAM數字證書2—建築2DSLAM邊緣站點3—DSLAM數字證書3—建築3在一個實施例中，建築2不能與DSLAM數字證書l或3通信，而建築3不能與DSLAM數字證書1或2(或除了數字證書3之外的任何其它數字證書)通信。因此，每個建築或物理結構可僅通過其自己的數字證書通信。在一個實施例中，如圖5所示，Telco或公用數據中心也具有關聯的數據證書71。數據證書71可對於連接到數據中心的每個邊緣站點30是唯一的，或者可與單個或多個Telco數據中心相關聯。每條路徑例如圖5所示的路徑內的所有安全元件可被加密地校準和同步，以便驗證功能可獲得正面結果並且進行正常網絡通信。換句話說，主機數字證書71、邊緣站點數字證書70、家庭網關軟體狗95或TPM96以及STB智慧卡可被加密地同步，以便提供付費電視服務或電影。類似地，主機或服務操作員數字證書71、邊緣站點數字證書70、家庭以啟用PC和其它網絡伺服器或用戶60之間的安全公用網通信。最後，主機或服務操作員數字證書71、邊緣站點數字證書70、家庭網關SIM晶片IIO和無線設備SIM晶片112可加密地校準和同步，以便可進行無線通信。如果硬體安全元件被影響或者被從用戶設備中去除並移動到別處，不可能發生加密校準，這是因為安全元件不再連接到適當的家庭網關安全元件。所有網絡流通量依賴於在任何其它網絡過程可能發生之前在家庭網關模塊處的在數字證書和安全軟體狗95或TPM96之間的成功的RSA類型驗證過程。圖7是示出使用圖5和6的系統的驗證方法的流程圖。在第一步200內，預期用戶或客戶將他們使用服務的意圖通知驗證服務(可由公用事業公司提供，或者是獨立的驗證服務提供商20)。驗證伺服器20然後嘗試使用關聯的專用網絡例如電話公司或其它服務提供商網絡或可選實施例中的專用驗證網絡連接到該預期用戶位於其中的建築(步驟202)。當電話公司網絡用作驗證系統的一部分時，驗證服務20嘗試通過電話公司操作中心或數據中心10、與該預期用戶位於其中的建築40相關聯的電話公司邊緣站點30、以及將邊緣站點連接到建築的家庭網關模塊的專用線路35連接到建築。如果連接成功，則使用電話公司存儲的記錄和/或位置傳感器一如果設置的話一檢驗建築的物理位置(204)。然後使用已知的PKI技術創建唯一的數字證書70(205),並且在遠程驗證服務20處的資料庫內存儲的驗證記錄內此數字證書70與建築相關聯。在步驟206，唯一的數字證書70被提供給邊緣站點30，並且在邊緣站點30或建築網關模塊37內存儲在永久存儲器內。這是如圖4的系統內所示的第一級驗證。然後可執行第二級驗證。與該唯一數字證書相關聯並且包含用於該證書的密鑰的基於硬體的安全設備被提供給在建築地址處的服務用戶，並且被用戶安裝在建築網關模塊內(步驟208)。此安全設備可只有在安裝在網關模塊36內時才可被檢驗，該網關模塊36物理連接到該建築地址的專用線或鏈路35，從而其對於試圖偷竊和重新安置該服務的任何人是無用的。安全設備還可被設置成安裝在在建築位置處的每個用戶設備上，並且在步驟210，這些設備的安全密鑰與網關模塊36的安全設備95、96或IIO加密地相關聯。同樣，這些安全設備可僅在被本地連接到網關模塊36內的合適設備時被檢驗，從而它們不能用於任何其它位置。這意味著使用數字證書70的所有安全網37絡通信可被可靠地僅與一個具有可識別的佔據者和/或用戶的物理結構相關聯。然後，一個信任鏈可離開網絡達到結構40，並且從結構40到用戶設備和關聯用戶。通過此系統可容易地實現高粒度。當建築物具有多個承租人時，每個承租人可具有基於樹形結構發布的他或她自己的數字證書，在該樹形結構內房東或建築所有者是"父"分支。驗證模型然後可以是網絡—結構—房東—承租人。此樹形結構可差不多無限地擴展。例如，在人們不具有他們自身與其相關聯的物理地址，並且經由虛擬專用網連接到驗證伺服器的情況下，可允許與已有的物理地址相關聯以計費。這種服務可採取額外措施以例如在如Verisign的公司當前使用的成功會談過程之後檢驗在建築外部的用戶。圖8是示出當例如出於商業用途例如安全的金融業務或購物、安全的電子郵件通信等等，訂購驗證服務的用戶希望與具有網絡伺服器60的潛在網絡夥伴進行安全通信時所執行的驗證步驟的流程圖。系統向用戶提供例如通過調節每個網絡應用內的優選項設置在內部或外部操作安全網絡以開啟或關斷驗證系統的選項。當不需要驗證時，例如如果用戶僅是在網際網路上搜索以獲得信息，則用戶可能選擇不激活驗證服務。當安全或驗證服務被激活時，用戶可將數字證書的公鑰發送給潛在的網絡夥伴(步驟250)。這可通過專用網、專用網公用伺服器IO、公共網或網際網路65被發送給所選擇的網絡夥伴60，或者可通過另一個連接被從建築40直接發送給公共網65(例如，如圖9的可選實施例所示)。在圖1的實施例中可提供類似的離開建築到網際網路和其它公共網或專用網的直接有線和無線連接。在一個實施例中，驗證服務用戶可能需要輸入用戶名和密碼以便訪問驗證服務。這為驗證系統提供了額外的安全等級。這個實施例中提供的三個安全等級是(i)你知道什麼(即，用戶名和密碼)；(ii)你有什麼(即，硬體安全元件或諸如USB軟體狗等等的元件)；以及(iii)你是誰(附連到建築或物理結構的數字證書提供來源的安全識別)。在圖l至4的實施例中，通過識別與建築的物理連接例如已38有的IP位址埠號提供第三安全等級(你是誰)。在接收到公鑰之後，潛在的網絡夥伴然後要求驗證伺服器10確定密鑰的有效性(步驟252)。驗證伺服器可檢驗密鑰是否和與建築物理地址或位置相關聯的有效數字證書70相匹配(步驟254)，並且可釆取步驟以例如通過邊緣站點模塊和線路35經由專用網來聯繫設備，檢驗被授權設備還沒有從一個物理位置移動到另一個物理位置。如果檢驗成功，則允許進行正常網絡通信(256)。如果檢驗不成功，則不允許進行通信(255)。圖9示出提供另一安全級的圖4和5的系統的變型。這個附加的安全級也可在圖l至4的系統內提供。在圖9的實施例中，用戶設備45、50通過家庭網關模塊連接到建築40和邊緣站點30之間的專用線路35，並且可使用此線路訪問連接到主機系統的其它網絡(如圖l所示)。建築40可具有其它的固定線路寬帶連接280，並且用戶設備還可獲得且發送數據內容文件，否則通過這些連接通信。在此情況下，經由固定線路寬帶連接280接收的任何高價值內容將必須被加密以保安全。高價值內容通常不會不受障礙地傳遞到STB或PC(即，在圖9的安全專用網外部)。固定線路寬帶連接280示出用於可能不提供不包含網際網路的實際網際網路服務例如電纜網絡。但是，對於許多應用，固定線路寬帶連接280僅由通信線路35提供。無線設備55可經由高速無線鏈路或源290接收和發送通信。這代表了無線網絡或服務例如IEEE802.11、或提供商例如行動電話/^司、或提供與網絡或通信埠的無線連接的其它無線通信載體或無線通信設備所提供的服務。當無線設備從其它無線載體例如移動手機服務提供商訂購無線服務時，該載體具有它們自己的驗證用戶的方法，本發明的方法為整個網絡提供了更多的驗證和安全。但是，本發明的系統和方法不需要單獨的無線栽體。在圖9的修改實施例中，基於會話的水印軟體模塊300被安裝在每個用戶設備45、50、55例如建築內的每個機頂盒、計算機和無線設備上。基於會話的水印軟體用於主動識別針對被流式傳送或下載到物理結構40內的內容文件進行的剽竊、掠奪和盜版行為。軟體在用戶下載的內容中放置分立且唯一的水印有效栽荷。水印的有效栽荷是客戶專用的標識符(或者事務ID等等)，該標識符可用於識別用於訪問和播放內容的客戶播放設備(STB、PC、PDA、手機等等)。水印有效載荷可被來自唯一數字證書的用戶私鑰加密籤名，從而在內容被發送時提供進一步的驗證。這使得如果用戶嘗試將內容未授權地分配給其它用戶，該用戶將會被識別出來。在可選實施例中，基於會話的水印軟體可被放置在位於主機或電話公司數據中心或伺服器10的內容伺服器內。由於每個流或下載是針對分立的物理結構和分立設備45、50或55而專用的，插入主數據中心10的唯一的水印有效載荷將足以制止物理結構40內的數字盜版。這個可選實施例要求下載通過主數據中心被指引到建築，而不是被在另一個連接內直接指引到建築。可以實現使用客戶的私鑰的水印有效載荷內的密碼籤名，以進一步證明用戶或客戶請求內容發送並且全權負責內容的保護。這可有效地防止內容被上傳到公眾共享站點上。建議所有水印基於會話進行。這意味著每個單獨的內容流或下載被唯一地做標記。在上述第一可選水印方法中，客戶或用戶設備本身可在到達該設備的每個流或下載內插入唯一的水印。在第二可選擇實施例中，內容伺服器系統可在目標是特定設備(而不是其它)的每個流或下載內插入唯一的水印。另夕卜，水印內的有效載荷使用系統可用的密鑰被加密驗證。在一個實施例中，在水印有效載荷內添加數字籤名，即水印有效載荷被客戶使用的私鑰加密"籤名"。還可使用其它方法例如"散列"和使用會話密鑰。這一驗證水印有效栽荷的附加步驟還可證明負責從家庭或建築的內容洩漏的人員的確實性和過失。術語"數字籤名"在用於本申請時包含發送或接收方使用的或者可用於傳輸路徑以創建可被接收方、認證授權或另一方驗證的唯一的密碼籤名或標識符的任何以及所有技40術。存在多種形式的可用數字籤名，包括在消息散列或消息摘要上使用PKI加密，消息摘要例如MessageDigest5(MD5)、美國安全散列算法(SHA1)以及其它基於密碼技術的數據籤名技術。任何類型的數字籤名都可用於數字籤名，並且，可利用任何形式的當前安全的數字籤名或未來的數字籤名技術。即使對於最安全的環境，內容也總是可能從網絡中洩漏並且在內容所有者不同意的情況下變得公開可用。儘管這不太可能，但是預測可能在一些情況下發生的盜版和剽竊行為是很重要的。因此，有利的是使用密寫技術和過程例如基於會話的水印，以將不可見的標記放置在內容文件內以便識別造成未授權的內容洩漏的人員。圖9的系統的一種可能的應用是允許用戶下載早發布或高清(HD)電影等等。由於數字盜版的危險很大，所以多數電影工作室不願意他們的高價值的數字內容被網際網路上的客戶獲得。消費電子產品公司也不願意釆取使得偷竊有價值的內容更加困難的硬體和軟體技術，因為這會增加消費電子設備的成本。這意味著實際上沒有個人計算機對於HD內容是安全的。其主要原因是HD電影可被從個人計算機容易地上傳到網際網路上，並且被提供給具有網絡連接的實際上的任何人。由於在網際網路上具有高度的匿名性，所以數字盜版者可不受懲罰地執行這些上傳操作。添加了基於會話的水印軟體的圖9的驗證系統可以是一種克服這些問題、並允許在網際網路上購買有價值的數字內容以便在被驗證的用戶設備上查看而該內容被未授權地進一步分配的危險很小或沒有的方法。本發明的網絡結構可在網絡用戶想要消費有價值的產品時驗證該網絡用戶。如果這個網絡用戶決定將內容文件粘貼在公共可用的網絡上(或者作出另一個類似的非法行為)，則他或她會有被抓獲的危險，因為他們可能會基於內容文件內添加的水印被識別。這對於有價值的數字內容例如HD電影的數字盜版或未授權的發布的行為是很大的震懾，並且鼓勵人們利用以及對這種內容的合法付費。圖10和11示出驗證系統和方法的可選擇實施例，其中電力公司41證系統的基礎。傳統的跟蹤客戶電力消耗的方式是在每個家庭或其它建築安裝安全的電量表，並且定期讀表以便計費。但是，世界範圍的電力公司計劃使用網絡技術以使得他們的員工不需要定期訪問每個建築以便讀表。相同的系統可用於使用計量系統的自來水或燃氣公司，該計算系統經由公司網絡傳輸定期的計量表讀數。圖10的系統假設公用事業公司例如電力公司已經建立了主要打算在給定時間段查詢每個結構40的電錶的狀態的讀取器/發送器設備的網絡。在此情況下，安全組件或家庭單元80具有包含本地驗證控制單元的組件或電路的儀表箱或外殼。家庭單元80被安全地連接在該建築或物理結構40內部或外部。控制單元在圖9內被更詳細地示出，並且被配置成控制驗證系統的本地操作以及公用事業公司的計量操作。控制單元經由虛擬專用網絡(VPN)85與主機或公用網絡伺服器84通信。鄰近的其它驗證控制單元也能夠經由網絡85與主網絡伺服器通信。主伺服器84繼而與可信的認證實體或驗證伺服器20通信以便執行驗證，或者在可選實施例中，此功能可被主機伺服器84執行。如圖11所示，箱80內的安全控制單元包含足以保持數字證書70的長期存儲器或數據存儲模塊86，用於保持密碼例程等等的附加的長期存儲器或數據存儲模塊88,以及連結到該數據存儲模塊86和88的中央處理器90。在可選實施例內，這兩個數據存儲功能可被包含在單個模塊內。計量表讀數模塊87也連結到中央處理器90。控制單元還包括用於經由專用無線鏈路或固定的有線鏈路與網絡85的接入點通信的主通信模塊92,和用於使用無線或固定有線鏈路與建築內的消費設備連接的連接或本地用戶通信模塊或路由器94。儘管在安裝時家庭或建築單元通過主網絡伺服器84與特定的、唯一物理位置或地址相關聯，但是可通過在控制單元內包含本地傳感器模塊95例如全球定位系統(GPS)傳感器模塊或其它類型的位置傳感器來進一步提供安全性。位置傳感器可用於檢驗箱80的地理位置。如果箱被從建築中拆除或移走，則地理坐標將不再匹配於與數字證書相關聯的建築位置，該系統將馬上指示變動。這樣可使用數據存儲模塊86內存儲的所建立的數字證書70確保控制單元不會被從其固定建築位置移走並移動到另一個位置進行非法活動。在此情況下，位置傳感器95的輸入被檢查且與箱80打算連接的建築的位置相比較，以便每當客戶或用戶請求安全連接或活動時驗證數字證書70。在圖10和11的實施例內，數字證書的對應密鑰可被存儲在數據存儲模塊88內。在數據存儲模塊86、88和/或處理器模塊90內提供適合於操作驗證系統的用戶或客戶端的軟體。家庭或建築控制單元的物理結構或封裝被設計成不能被容易地移動，並且可具有表現出可識別的個人或公司的所有權的識別碼等等。還可採用其它安全措施，例如從而在檢測到一些人破壞或移動箱80時取消數字證書。如先前的實施例，主機或公用網絡伺服器84連結到可信的認證實體或服務操作員資料庫/驗證伺服器20，該伺服器20收集訂購驗證而且還使得此信息可在網際網路65(或其它公用網)上被快速和有效地查詢。如圖10所示，如可信認證授權或驗證伺服器20,網絡結構40內的用戶設備通過有線或無線連接與網際網路或其它公用網65連接。如先前的實施例，可信認證授權伺服器和資料庫可被公用事業公司本身提供作為其自身網絡伺服器和資料庫84的一部分，或者可以是如圖5所示的完全分離的實體。圖10內的家庭或建築單元或安全組件80通過箱80內的控制單元中內置的路由器等連接到建築40內的各種用戶設備。這種連接可以是(但不局限於)乙太網上的網際網路協議(IP)。軟體和通信模塊被設計成支持結構40和主機伺服器84例如電力公司之間的、以及該結構和結構內的客戶或用戶設備例如結構內的設備40、50和55以及其它電子設備之間的安全雙向通信。在圖10的實施例中，如圖9的實施例一樣，可在家庭單元80和連接到家庭單元的用戶設備內安裝43額外的安全元件例如軟體狗95。每個建築控制單元可定期將計量數據與確認數字證書70的狀態的信息一起報告給主機伺服器或操作中心84。數字證書狀態信息經由一個或多個中間數據收集點或網絡中繼站被傳遞給驗證伺服器20(如果與主機伺服器分離)。在接收到狀態信息時，驗證伺服器可更新打算檢驗證書是可信的並且未被篡改的資料庫，從而其可用於檢驗在建築40內居住或工作的人的網絡交易。定期的數字證書狀態更新被從邊緣站點伺服器發送給主機伺服器，然後發送給驗證伺服器。由於電力公司部署的網絡可定期向操作中心報告，重要的是，部署可以使用通過驗證數字證書獲得的信息的大型的、安全的、大容量的伺服器，從而可基於這種證書作出驗證安全網絡活動的瞬時網絡請求。一旦驗證網絡已被設立，則其可用於驗證使用付費電視服務的機頂盒45，檢驗具有電子郵件功能的用戶設備的非垃圾郵件，驗證網際網路電子商務交易，減小身份盜用並且減小其他類型的基於網絡的欺詐行為。過去，在晶片級作出了許多重要努力以驗證網絡用戶。這些努力沒有實現在很大程度上是由於關於個人隱私保護的聲音保護。這是由於驗證設備違背客戶的意志而被強加給用戶，隱藏在客戶設備內。相反，本發明的驗證系統和方法除非被客戶或用戶特別請求否則不會被安裝，或者可被客戶隨意容易地啟動或關閉。當然，當系統未被激活時，客戶不能與對於網際網路或其它公用網上的安全交易需要此驗證級的其它網絡服務或用戶聯繫。另外，客戶僅需要能夠將公鑰發送給預期網絡夥伴以便被驗證，該公鑰可與在圖5至11的實施例內的分配給客戶的建築的數字證書或圖1至4的實施例內的連接線標識符相關聯。不需要個人信息例如地址、電話號碼或其它關於建築的特定信息。如果存在足以導致信任的基礎，則預期網絡夥伴對驗證伺服器的查詢可返回YES，並且如果不存在信任基礎則返回NO。44如果使用驗證系統的人參與非法活動，則適當的管理機構能夠從驗證服務總部獲得關於建築的物理地址的信息以及建築所有者/用戶的信息，並且可採取適當的行動。這與使用取證裝置的當前狀態以定位和檢驗在網絡上發生的非法行為沒有區別。通過此系統，家庭或建築僅需要通過遠程驗證服務或數據中心驗證自身。家庭內的用戶設備可被驗證給客戶前端設備例如單個建築網關、安全網關模塊、路由器、數據機或交換機(圖1至9)，或如圖10和11所示的組合的計量和安全控制單元80。正如公用事業公司向居住環境內的各個承租人或辦公或商業環境內的各個用戶提供服務一樣，本發明的驗證系統可提供相同的粒度等級。建築的所有者不必對整個結構負責，而是可要求每個承租人經由分配給每個承租人的數字證書負責他們的區域。這可通過創建層級結構並且為每個用戶或承租人發布單獨的數字證書和密鑰容易地實現。圖12是圖9的驗證系統的更詳細視圖，其示出連結到商業網絡物業公司或服務提供商的系統，而圖13是示出當註冊的用戶在圖12內指示的路徑上從零售商訂購服務時的驗證過程。儘管此實施例使用實際數字證書70以識別到建築40的唯一的有線或無線連接35，但是也可以按照上文結合圖l至4說明的方式建立安全證書，即通過識別實現為計算機數據結構或資料庫記錄的物理連接ID，並且使用此物理連接ID作為用於驗證經由該連接ID通信的用戶的"證書"。家庭或建築的數字證書70在被使用時可以是單個數字證書，或者可在物理結構40和電話公司或主邊緣站點30之間分配，並且可以是獨立的或者如上文結合圖6所述地與物理結構內的網絡元件組合以提供一個證書鏈。當數字證書在物理結構40和邊緣站點30之間分配時，可基於結構40和邊緣站點30之間的物理連接，或者經由在邊緣站點30和物理結構40之間建立的密碼安全連接發生結合。為了下文的說明，應理解術語"數字證書，，可以是實際安裝的數字證書，如X.509證書，或者可以是如上文結合圖1至4所述的在將家庭或建築連接到網絡邊緣站點的通信線路或用於接收經由這種線路的通信的埠之間實現的關聯。如上文結合先前實施例說明的，邊緣站點30和建築網關、路由器、數據機或交換機36之間的通信線路35可以是有線或無線的。當使用無線通信時，可使用無線連接與一些客戶設備指定信息的組合例如序列號、SIM卡、智慧卡、客戶設備內的安全存儲器、網絡MAC地址或用於為服務提供商等建立無線服務(手機，無線數據機，或其它無線設備)的任何其它標識符建立通信線路35。圖12示出從與物理結構相關聯的用戶設備到商業或服務供應商的通信路徑。主數據或操作中心IO和邊緣站點30連接到網絡400,網絡400可以是任何類型的物理或無線網絡，如網際網路。類似於邊緣站點30的各種網絡邊緣站點410以通常的方式連接到網絡400，包括商戶網絡470的邊緣站點450。商戶網絡470是針對商業或貿易位置的計算機網絡。示例包括可被描述為提供www.ebay.com的處理的計算機服務的分布式集合的EBAY⑧計算機網絡。另一個示例是用於電子商務站點或教育站點的分布式計算機處理。商戶電子商務網站物業公司或數據中心483經由商業路由器或網絡交換機480連接到商業網絡470。商戶電子商務網絡物業公司是為商業或服務過程執行處理的計算機群集，例如電子商務網站。可連接到網絡470的一種特定類型的電子商務網站物業公司是視頻點播伺服器物業公司490，其是經由家庭網關模塊36向用戶設備例如STB、智慧卡、PC、基於載體的無線設備等等提供視頻交付業務的計算機群集。視頻點播(VOD)伺服器物業公司490可發布其它形式的內容和媒體，並且不局限於視頻內容。視頻點播伺服器物業公司還代表任何形式的電子商務、教育、體育、消費註冊或其它網際網路站點。在此實施例中，可使用嵌入到關鍵網絡組件中的安全屏障在用戶或用戶與服務提供商之間建立被驗證或可信的通信路徑。憑證可以是物理上被包含在設備內的標識符或數字證書，或第三方例如Telco提供的關聯憑證。憑證可以是如圖5至11的實施例內的X.509數字證書，或可以是如上文結合圖1至4說明的識別從Telco邊緣站點3046到物理結構40的一個具體物理連接的安全憑證。關鍵網絡組件的憑證被用於驗證特定的網絡端點(客戶機或伺服器)，或者兩個端點之間的消息都來自已知網絡和已知網絡位置，該已知網絡和已知網絡位置使用上文結合圖1至11說明的任何技術基於它們的物理網絡連接(通信線路305或35)來驗證。可信通信路徑內的被檢驗的憑證可最少使到物理結構40的單個通信線路35生效，或最多使例如從PC50到商戶網絡470的通信路徑內的多個端點生效。可通過訪問Telco或其它主數據中心10以驗證物理結構40的安全憑證來檢驗憑證，或者檢驗可由獨立的第三方電子商業網驗證站點420或驗證建築的安全憑證的可信認證授權或驗證伺服器20執行。可信路徑的附加元件可被添加到驗證過程中，包含物理連接網點例如客戶設備(STB45)和商戶網絡470的路徑內的任何網絡邊緣站點(例如圖12內的元件450和30)的認證。可信路徑通信可包含通信網絡內的多個主要元素，包括網際網路服務提供商(ISP)、網絡接入點、光纖骨幹網、高速全球網際網路通信電路、橫貫大洋的通信、衛星和微波通信電路或路徑等等。在一個實施例中，可執行兩個通信路徑驗證以在兩個網絡服務之間建立可信路徑。文中使用的術語"可信路徑，，是指一項交易內包含的一個或兩個網絡設備位於例如連接到物理銅線對的已知位置。在物理結構40的情況下，已知位置是通信線路305或35。對於商戶網絡170，已知位置是將網絡邊緣站點450連接到商業網絡的物理線路455,其可以是專用電話連接例如Tl線。到設備的物理連接的關聯安全憑證被用作用戶檢查的一部分，並且如果用戶的相關聯數字證書或物理連接40的物理連接ID匹配於預期的關聯性，則用戶被認為是可信。當用戶註冊服務時，或者當在註冊或電子商務交易期間使用用戶和/或地址時，可建立物理結構40與該結構40的數字證書的預期關聯性。針對客戶與Telco的已知on-ramp連接以及從網絡邊緣站點450到商戶網絡470的off-ramp連接，邊緣(周邊)設備例如邊緣站點30和450可,皮驗證。除了用戶物理連接線路35的驗證、與Telco邊緣站點30的連接和商業連接(網絡邊緣站點450到商業網絡470)的驗證之外，客戶可使用連接到PC50的軟體狗(100)或連接到STB45的智慧卡98或家庭網關36內的TPM96、連接到家庭網關36的安全軟體狗95或其它額外的安全憑證被進一步驗證。還可提供另外的對在邊緣設備30、450之外的網絡設備的驗證以提高驗證系統的驗證強度。示例可包括Telco或主數據中心10的驗證(當主機或Telco邊緣站點通過Telco數據中心通信時)，和其它網絡傳輸及通信設備(示出為網絡400)的驗證。通過經由無線源290驗證無線i殳備55內的SIM卡112，或者通過驗證到無線源2卯的通信路徑，可驗證該無線設備55以提供可信的通信路徑。為了在無線設備55和商業網絡470之間建立可信的路徑通信，無線源2卯可在SIM存在的情況下使用SIM卡112驗證無線設備18，或者利用無線源或服務提供商290使用的其它驗證方法進行驗證。當基於載體的無線設備55驗證商業網絡470時，無線設備可使用商業網絡470的數字證書，並且當客戶驗證商戶網絡470時，可選地包含與商業網絡470的網絡邊緣站點450連接的驗證。圖12示出用於無線載體或服務提供商的簡化框圖元件或模塊290，但是無線源290的內部細節可包含基於載體或不基於載體的通信網絡內常用的所有網絡和通信設備。可信路徑通信可包含無線源或栽體網絡290內的單個節點或多個節點執行的驗證。另外，基於載體的無線設備55可經由無線設備55、或經由無線源2卯、或經由無線設備55和無線源290的組合、或者甚至通過這兩者以及第三方驗證代理(單獨代理、認證授權(CA)或其它)被單獨驗證。當無線設備55內不存在SIM卡時，還可通過無線設備55實現可信路徑通信。無線源290可執行通常由無線設備提供商用於驗證無線設備55的標準用戶驗證，並且無線源或服務提供商290可提供與外部世界的接口，該接口可用於檢查基於載體的無線設備55的狀態或身份。無線源2卯可添加指示無線設備55已被驗證的消息，並且可提供關於無線源290是否已被報告被盜或者被危及的信息。一旦無線設備55被無線源290驗證，則無線源290可將無線設備驗證結果提供給可信的認證授權、驗證伺服器20、商業電子商務網絡物業483,或其它執行客戶驗證或提供關於客戶驗證的細節的服務提供商或等同物。對於不包含SIM卡或等效安全元件的無線設備55，無線源290可向涉及無線設備55的驗證的驗證伺服器、CA中心、或其它代理或計算機指示缺少SIM卡。無線設備安全元件(SIM,其它安全元件或沒有)的指示可被用於指示可信CA、驗證伺服器或等價代理的客戶驗證的強度，並且當商業網絡470驗證無線設備55時此信息被提供給商業網絡470。在一個實施例中，客戶設備(STB、PC或無線設備)被設立以除了使用這種商業的典型電子商務憑證之外，通過以與線路35類似的方式驗證物理線路455來驗證與商戶網絡470的連接。客戶可從可信CA、驗證伺服器或服務、代理或商業網絡服務提供商(未示出)荻得信息，這使得客戶設備可檢驗該客戶設備和商戶網絡之間的網絡路徑在正確的物理線路(在此示例內，線路455)上建立。這種信任由可信CA或驗證伺服器20、向商業網絡470提供服務的主機網絡10，或驗證物理線路455或提供可被客戶設備檢驗的物理線路455的憑證的第三方代理或驗證服務420建立。在下文說明中，術語"基於家庭的被驗證設備"是指經由從網絡邊緣設備到家庭或房間或交易的物理連接相關聯的住宅或建築網絡內的基於計算機的設備例如個人計算機(例如，PC50)、其它計算機、個人數字助理或PDA(未示出)、機頂盒(例如STB45)、數字錄像機(DVR)(未示出)以及其它消費型產品(電視、廣播、放像機、投影機)，與物理連接的關聯性被用於驗證該設備。在此情況下，術語"家庭，，是指人在其中居住或工作的任何物理結構或建築。基於家庭的被驗證設備還包括家庭網絡基礎結構項目例如家庭網關模塊36,以及具有安全軟體狗95、SIM卡110和/或TPM96的家庭網關模塊。本申請中使用的術語"家庭網關"或"家庭網關模塊"還可應用於任何家庭聯網設備例如網絡路由器、網絡交換機、DSL數據機、線纜數據機、光纖到戶(FTTH)網絡設備、撥號數據機、光纖到路邊(FTTC)/FTTC設備、衛星接收機、其它數據機或網絡通信設備。物理關聯可經由與設備的物理連接，或經由無線服務提供商提供的無線驗證的關聯。為了提高高價值交易的安全性，需要用戶經由在可信或被驗證通信路徑上連接的客戶設備的鍵區或鍵盤提供附加的信息，如密碼、PIN或安全碼。在一個實施例中，驗證系統被配置成使得網絡設備可自動檢測到被驗證的交易被請求，並且被驗證的交易的傳輸路徑也可被驗證。這可通過以下操作實現，即為現有協議增加適當擴展，開發並指定新協議，執行單獨的消息事務，在可被查詢的任何網絡點處提供安全接口，添加具有被添加到從客戶機流到伺服器的消息中的安全信息的額外消息封裝，並且確定驗證設備(商業網絡470)之間的網絡路徑，該驗證設備檢查從通信線路35到物理結構40內的客戶設備例如STB45的物理連接。在一個實施例中，物理連接驗證在兩個端點之間的初始連接建立期間執行。這兩個端點例如可以是STB45和商戶電子商務網絡物業483，或者可以是任何用戶設備和網絡服務提供商。在物理連接的驗證之後，這兩個端點然後可在端點之間使用對稱加密。這意味著在這兩個端點之間生成會話密鑰對之前檢驗安全的、被檢驗的通信路徑。即使當兩個端點位於開放網際網路內時，在這兩個端點之間的會話密鑰交換之前僅在初始設立期間執行驗證提供了可信的已知通信路徑。本發明的另一個實施例沒有為兩個端點之間的信息通信使用會話密鑰，相反，兩個端點可使用基於PKI的非對稱加密，該加密使用每個網絡端點的被驗證的私鑰/公鑰對。另一個可選方法是添加觸發器或標識符以指示可信的路徑驗證會話被請求，並且被網絡設備例如網絡路由器、交換機、DSLAM、寬帶環路栽波BLC、無線單元站點、無線路由器、無線交換機、DOCSIS網絡設備、網絡接入設備以及其它邊緣和網絡基礎結構設備自動處理。觸發器指示客戶機或伺服器或客戶機和伺服器或另外的網絡設備應該通過使用新協議或自動封裝在這兩個網絡端點之間被發送的消息，向交易增加新路徑驗證信息。對可信路徑驗證對話的請求的自動檢測可基於對任何類型的網絡設備例如STB45、家庭網關36、PC50、基於載體的無線設備55、VOD伺服器配套物業490、或位於客戶站點或商業站點的類似類型的計算機或設備的請求。自動檢測可基於對現有網絡傳輸控制協議/網際網路協議(TCP/IP)、異步傳輸模式(ATM)、撥號數據機、DOCSIS、衛星通信協議的擴展，或通過限定新的驗證特定通信協議。驗證協議的自動檢測在基於現有協議例如TCP/IP或安全套接字層(SSL)時可利用指示可信路徑驗證被請求的增強消息。如上可見，用於驗證的基於X.509的證書的使用是可選的。驗證的關鍵要素是物理連接線路305或35與物理結構40的關聯，該物理結構包含一個或多個計算機設備(STB40、PC50、家庭網關36等)，提供物理端點驗證信息，該信息然後被提供給可使用物理端點連接來驗證網絡設備的遠程伺服器。通信線路35與物理結構40以及物理結構40內的設備之間的關聯性可使用或不使用X.509證書來建立，甚至可不使用X.509標準(使用非基於X.509的證書，或僅使用簡單的關聯數據結構)而建立。通信線路35或其它安全組件與物理結構40內的計算機設備之間的關聯性大大提高了其中沒有智慧卡、安全存儲器、密碼協處理器等等的用戶的驗證。在一個實施例中，驗證系統通過使客戶與到家庭/用戶的物理連接相關聯，而不需要任何安全元件與家庭或用戶相關聯，來提供可信路徑通信。這意味著物理連接信息可被用於省去客戶設備安全元件，或者在這些元件之外可被附帶地用於加強客戶設備安全性的驗證。參照圖12和13，並且使用STB45與家庭網關模塊36、通信線路35和Telco邊緣站點30，驗證或可信路徑可被如下地建立而不依賴於STB45和家庭網關模塊36內的任何安全元件。STB45使用任何有線和無線通信技術連接到家庭網關模塊36,並且開始與在被稱為連接到商業網絡470的商業電子商務網絡物業483的位置處的應用伺服器的連接。當STB45連接到家庭網關模塊36時，家庭網關模塊36執行NAT(網絡地址翻譯)提供的IP位址翻譯，從而STB45的IP位址與家庭網關模塊36提供給Telco網絡的IP位址不同。STB45連接到商業網絡配套物業483，提供一個或多個不安全ID，如STB序列號、或MAC地址、或者具有或不具有密碼的用戶ID。在接收到請求驗證的服務的連接消息時，商業網絡配套物業483可識別將Telco邊緣站點30連接到物理結構40、家庭網關模塊36和STB或用戶設備45的物理通信線路35。商業網絡配套物業483可利用跟蹤路由映射或如下文更詳細說明的其它連接識別方法(IP位址查找等)識別將Telco邊緣站點30連接到用戶STB45的家庭網關模塊36的通信線路35。Telco或主機邊緣站點30可提供映射查找功能，該功能可將IP位址或NAT翻譯地址映射成通信線路35的永久標識符，而不會洩露物理結構40的身份。這種識別可對於通信線路35使用後Telco數據中心NAT地址翻譯IP位址，該通信線路35保持對於物理結構40是不變的，但是由於DHCP或等同物在Telco數據中心10或Telco邊緣站點30上運行而對於實際IP位址是臨時的。此永久關聯性使得當用戶向商業網絡配套物業483註冊商戶提供的服務時，商業網絡配套物業483將物理線路35關聯到用戶。下表l內給出了一種可能的關聯模型tableseeoriginaldocumentpage53上述實施例的驗證系統和方法可被稱為可信路徑通信。在一個實施例中，驗證或可信路徑通信方法和用於指示可信路徑驗證被請求的標準消息可被添加到開放式系統互聯(OSI)七層網絡的任一層，如物理層、數據鏈路層、網絡層、傳輸層、會話層或表現層中。使用組件和軟體增強以提供自動可信路徑驗證的網絡設備可在OSI七層網絡模型的合適層中自動檢測驗證請求。當使用其它網絡層模型時，可信路徑驗證可被添加到網絡模型的任意層或多個層中。添加到現有協議例如SSL的自動驗證指示器中的觸發器可向網絡設備指示需要通過將未被驗證的網絡包封裝在包含驗證數據標題的新包標題內，或者通過發送具有增強的驗證數據(帶外消息)的附加包(沒有封裝未被驗證的網絡包)，從而添加額外的驗證數據。可信路徑網絡設備可檢測到可信路徑通信會話被請求，並且自動應用如下文更詳細說明的適當的可信路徑安全或驗證方法。存在多種可能的用於建立被驗證或可信路徑通信會話的方法，但是任何被應用的方法的關鍵是可信路徑網絡增強設備執行一些處理，該處理導致通信網絡設備被識別為被檢驗的可信網絡路徑。計算機網絡軟體或硬體設計領域內的技術人員可在一個特定的網絡層應用如下文所述的技術，以建立驗證方法和系統。下面的表2內列出了通常可應用於OSI7層網絡模型的各個層的技術。建立可信路徑通信或被驗證路徑通信所需的硬體和軟體可被全部添加到單個模型層內，或分布在多於一個的模型層中。當在下文的表內給出多於一個的模型示例時，還可想到，本領域技術人員可僅在單個層實現特定功能，例如將可信路徑通信僅添加到瀏覽器層中，或者將可信路徑通信僅添加到應用層(層7)的超文本傳輸協議(HTTP)功能中。表2-可能的可應用於OSI7層網絡模型的不同層以建立可信路徑通信的驗證技術tableseeoriginaldocumentpage55是增強遠程伺服器做出的客戶驗證，並且增加伺服器的額外處理以驗證到連接到伺服器的客戶的物理連接。另一個如何添加SSL層驗證的示例是通過可信認證授權(CA)或驗證代理執行驗證。當在系統中使用X.509數字證書時，可在網絡內的任何位置增加單獨的驗證代理，以經由通信線路35檢驗證書所有者(例如STB45,或與STB45相關聯的智慧卡98)的X.509數字證書(或等同物)，用戶從該通信線路通信。4傳輸層傳輸控制協議/用戶定義協議(TCP/UDP)增強TCP連接以在TCP連接建立之前驗證客戶。在此情況下，客戶ID可在連接發生之前被建立，或者被建立為該連接的一部分。另一種方法是封裝包含被封裝的用戶標識符的與特定網點的TCP連接，該用戶標識符可被用於提供驗證。3網絡層IP，網際網路控制消息協議(ICMP)，地址解析協議(ARP)，RARP(逆向ARP)利用協議增強例如網際網路協議安全(IPsec)增強網絡層協議，從而該增強在協議封裝或增強中提供驗證信息。當在IP層內添加驗證時，提供協議擴展或添加的封裝以將在此層的驗證提供的信息傳遞給協議內的更高層，或者將驗證信息提供給協議內的更高層或在客戶機或伺服器或兩者上運行的應用程式。2數據鏈路層對數椐鏈路層的增強並不是添加驗證信息的優選層。但是，可通過協議封裝、協議增強或生成新協議在數據鏈路層傳遞驗證信息和狀態(例如，用於連接到用戶的物理線路)。當在數據鏈路層添加驗證信息時，可提供協議擴展或添加的封裝以將在此層的驗證信息傳遞給協議內的更高層，或在客戶機或伺服器或兩者上運行的應用程式。1物理層在物理層添加驗證並不是優選技術。但是，可通過物理層擴展或在物理層生成傳送驗證信息的附加消息，在物理層傳送驗證信息和狀態(例如用於連接到用戶的物理線路)。當在物理層添加驗證信息時，可提供物理層擴展或添加的封裝以將此層的驗證信息傳遞給協議內的更高層，或將驗證信息提供給協議內的更高層或在客戶機或伺服器或兩者上運行的應用程式。系統和方法的方式。圖13示出一種驗證從用戶設備到商戶或服務提供商的路徑以提供安全或可信通信路徑的方法。在步驟500，訂單被從物理層中的用戶設備例如圖12內的PC50經過一個或多個網絡提供給商戶例如VOD伺服器配套物業490或任何類型的網絡服務提供商。在一個可能的示例中，應用層通過接口連接到PC50內的網絡軟體，並且請求可信路徑驗證(步驟502)。應注意，在此示例中，該應用知道訂購視頻需要用戶的驗證。如果應用軟體沒有自動執行此步驟，則商戶網絡470可通過使用驗證客戶請求命令來驗證客戶。對可信路徑驗證的請求不一定來自應用層。PC50甚至不需要知道可信路徑驗證被執行，並且伺服器側(商業網絡470)可請求信息以檢驗可信路徑。網絡軟體接收到對命令路徑的驗證的請求，並且開始與預期端點建立可信路徑的過程。在此情況下，端點識別用戶希望連接的遠程機器，例如VOD伺服器配套物業490或商業電子商務網絡物業483。Telco或主機邊緣站點30通過通信線路35經由家庭網關模塊36從PC50接收"可信路徑建立連接"消息。在一個實施例中，邊緣站點30可被配置成在可信路徑建立連接消息中添加節點特定識別。節點特定識別信息可識別到建築40的物理線路35,以產生用於驗證用戶的通信線路ID(而不是使用數字證書)。可選地，邊緣站點30可提供可用於檢驗物理連接的應用程式接口(API)或網絡服務。Telco或主機邊緣站點30還可經由消息從PC50與其通信的伺服器/網絡配套物業端點接收到對驗證可信路徑的請求。在這個可選實施例中，商業網絡470可向邊緣站點30或等同物發送客戶ID，從而邊緣站點可識別商業網絡470希望驗證的用戶。商業網站還可從主才幾或Telco請求允許建立可信或被驗證路徑的驗證信息。在一個實施例中，商業網絡邊緣站點450從Telco邊緣站點30接收可信路徑建立通信或消息，其包含節點特定驗證信息。網絡邊緣站點450在該消息中添加網絡邊緣站點節點特定驗證信息。多節點特定驗證可通過這種方式應用於可信路徑建立連接消息。商業網絡470然後接收具有邊緣站點的節點特定信息的可信路徑建立連接消息，然後可以請求可信認證授權或驗證伺服器20或第57三方驗證服務420確認可信通信路徑(步驟504)。當用戶設備例如STB45或PC50連接到商業網絡470時，商業網絡或網站請求可信CA驗證Telco提供的可信路徑信息。驗證可信路徑消息可被例如用加密時間戳、消息序列號和任選的隨機數數字籤名，這使得商業網絡470可唯一識別來自Telco或可信CA的消息。認證實體(CA)或其它驗證或安全設備接收到商業網絡470的"驗證可信路徑"請求(步驟505)，並且確定路徑是否可信(步驟506)。CA的消息被用CA的私鑰與消息序列號和時間戳一起加密或籤名以消除回放攻擊。儘管在此步驟內提到認證實體或單獨或第三方驗證伺服器，但是也可在Telco數據中心IO設置驗證可信路徑所需的軟體和硬體，並且在此情況下Telco數據中心可向商業網絡470提供響應，該響應指示路徑是否可信。如果路徑不可信，則商戶可選擇終止交易(步驟507)。如果商業網絡從CA或類似認證伺服器接收到對驗證可信路徑請求的肯定響應，則使用CA的公鑰確認該消息，並且商業網絡還確認當第一次對CA做出路徑認證請求時由商業網絡添加的時間戳、消息序列號和隨機數。商業網絡470還使用PC50的公鑰加密用於與PC50通信的會話密鑰(步驟508)。商戶將加密後的會話密鑰發送給PC50(步驟510)。PC50的公鑰、家庭網關軟體狗95、TPM96或STMIIO可用於當會話密鑰被發送給PC50時加密會話密鑰。一種可選方法是在用PC50的軟體狗密鑰IOO加密之後加密會話密鑰以便輸送給Telco邊緣站點30，然後用Telco邊緣站點30的公鑰加密該-故加密的會話密鑰。Telco邊緣站點30可隨後解密包含該;故加密會話密鑰的加密有效載荷。圖14示出此示例的加密會話密鑰，並且在下文jf皮更詳細地說明。網絡邊緣站點450在路由到PC50的同時從商業網絡470接收到加密的會話密鑰，並且可選地作為可信路徑連接序列的建立的一部分，在加密的會話密鑰響應中添加節點特定驗證。具有所添加的特定驗證的加密會話密鑰然後可經由網絡400被發送給PC50。可選的節點特定驗證使得PC50可檢驗商業網絡470。網絡邊緣站點450不能解密該加密會話密鑰。來自商業網絡470的加密會話密鑰響應(步驟510)在TelcoDSL邊緣站點30處被接收，或者經由Telco數據中心10和邊緣站點30的組合被接收。可選地，Telco數據中心10或Telco邊緣站點30可驗證商業響應。加密後的會話密鑰然後經由通信線路35或家庭網關模塊36(如果存在的話)被發送給PC50。PC50接收加密後的會話密鑰，並且可選地驗證來自商業網絡配套物業或VOD伺服器配套物業4卯的通信路徑。然後可以在商業網絡470和PC50之間開始進行安全通信(步驟512)。如圖14所示，上文所述的可信通信路徑方法使得多個加密層可應用於驗證或傳輸數據流或者同時應用於這兩者。例如，PC50可加密商業網絡470的消息，並且Telco邊緣站點30可添加額外的針對網絡邊緣站點450的加密層。通過使得網絡邊緣設備例如DSL/DSLAM邊緣設備30添加特定網絡邊緣站點450專用的加密可實現網絡信任。任何網絡基礎結構設備可添加這種網絡路徑加密。例如，假設Telco邊緣站點30連接到Telco數據中心10，並且Telco數據中心10是大型電話公司或其它大型服務提供商。商業網絡470可通過分層加密用於使用PC50的用戶的消息提高物理安全性。如圖14所示，Telco數據中心加密消息550可包含用於Telco邊緣站點30的加密消息552，並且消息552繼而可包含針對用戶PC50的加密消息554。可選地，通過將用戶PC50的加密消息放置在到Telco數據中心10的加密消息內，可提供兩層加密而不是三層加密。兩層或三層加密可做出僅對Telco的用戶有用的響應。通過添加可信或已驗證網絡路徑專用的加密增強物理安全性可包含一個、兩個或多個物理網絡連接例如PC50、家庭網關36、Telco邊緣站點30和Telco數據中心10。每個添加的加密專用可信網絡路徑可包含標識符，該標識符可被可信網絡路徑設備用於自動除去添加的加密層。可信路徑使能的通信設備可驗證傳輸路徑內的任何預期被驗證59(數字籤名或其它密碼技術)的點。例如，商業網絡470可驗證到PC50的物理連接，或者PC50和軟體狗100(如果使用的話)到Telco邊緣站點30、Telco數據中心10以及網絡邊緣站點450的物理連接。可選地，最少可驗證網絡交易的一方，例如僅驗證PC50。另一個示例是商業網絡470經由軟體狗100驗證PC50，經由軟體狗95或TPM96驗證家庭網關36，經由數字證書70驗證Telco邊緣站點30，經由Telco數字證書71驗證Telco數據中心10，或者經由網絡邊緣站點450內的證書或安全憑證(未示出)驗證網絡邊緣站點450。此驗證系統最少可驗證PC50端點，或者可驗證PC50端點和沿該路徑的任何其它預期元件。另外，由於引至物理結構40的物理通信線路35可被驗證，所以除了PC50之外或代替PC50，可使用物理結構40的數字證書70。這使得可使用一個或多個驗證點驗證物理結構40。參照圖14，源自商業網絡470的消息可僅作為用於PC50的加密消息554發出，其可僅被PC50解密。網絡點(例如，Telco數據中心10)的加密消息550可包含消息解密終點指示符，該指示符指示沿可信路徑的哪個網絡元件應解密該消息，例如Teclo數據中心10、Telco邊緣站點30、PC50或家庭網關36。同樣，增加的安全性可被_層疊在端點專用加密之上，這使得可信路徑網絡可識別消息，該消息在移動通過網絡時可被網絡設備解密。在圖14中，Telco數據中心10可識別出消息550可被Telco數據中心10解密。在第一加密消息被解密之後，包含兩個內部盒的剩餘消息552被轉發給Telco邊緣站點30。不但是在商業網絡外部的網絡設備，而且商業網絡470也可解密或去除添加的消息封裝數據。添加的加密層可被源點例如商業網絡470執行，或者被網絡邊緣站點例如如圖12所示的網絡邊緣站點450添加。添加到基本的以端點為目標的消息554中的消息加密層可以是基於封裝包含信包會話密鑰的消息的信包，該會話密鑰被網絡元件(例如Telco數據中心10)的公鑰加密。需要解密消息的網絡元件可使用網絡元件的私鑰解密信包會話密鑰以暴露會話密鑰。會話密鑰然後可用於解密會話密鑰加密的信包數據，該數據是圖14內的基本的以端點為目標的消息(PC50的加密消息554)的封裝。如消息信包內的消息解密目終點指示符所識別的，基本的以端點為目標的消息是被發送給端點的消息，而該消息的所有其它的加密層被沿可信路徑的網絡設備去除。可信路徑驗證可作為完全安全的SSL(安全套接字層)傳輸路徑操作，其中驗證和傳輸加密使用基於非對稱密鑰PKI的加密，該PKI密鑰基於連接端點(例如，STB50和VOD伺服器490)。端點驗證(例如，STB50和VOD伺服器4卯)可使用非對稱密鑰PKI方法執行，並且加密消息內的VOD流或其它傳輸有效載荷可利用對稱密鑰加密，並且在端點(例如，STB50和VOD伺服器490)之間建立會話密鑰。在驗證傳輸路徑之後可輸送用於對稱密鑰加密的密鑰。用於對稱密鑰加密的密鑰可使用用於每個端點的PKI密鑰，或者使用在驗證之後在端點50和490之間建立的會話密鑰，在端點(在此情況下，為50和490)之間交換。可選地，對稱加密密鑰可通過使用其它端點的公鑰加密會話密鑰使用默認的驗證。端點的公鑰可被可信CA或系統內可包含的其它認證授權(未示出)獲得。在上述示例中，STB50和VOD伺服器490被用作端點，但是任何兩個網絡元件都可用作端點。可信路徑驗證的示例將使得Telco數據中心10驗證Telco邊緣站點30、數字證書70、家庭網關36和PC50。基礎結構元件中，包括數據機、FTTC、FTTH或光纖到鄰居(FTTN)接口卡、線纜數據機、DSL數據機、路由器和網絡交換機。該方法和系統包含用於啟動被驗證的交易的自動裝置，並且還可包括網絡邊緣設備的交易路徑籤名，應用程式提供商的交易路徑籤名，客戶應用的交易路徑檢驗，以及服務提供商的交易路徑檢驗。例如，在線商戶可檢驗以下路徑1.經由位於連接到用戶的邊緣站點上的物理線檢驗籤名的用戶到提供網際網路服務的用戶的ISP。2.用戶的ISP到向在線商戶提供服務的ISP。3.經由在ISP的網絡邊緣站點的驗證的在線商戶ISP到在線商戶驗證，該邊緣站點包含使在線商戶連接到在線商戶ISP的線路或網絡邊緣設備。4.使位於在線商戶的網站的計算機連接到在線商戶ISP的在線商戶的交易門(或計算機)。5.在線商戶內的網絡路徑的可選的、附加的驗證此方法為傳輸路徑提供了可信VPN以便驗證和註冊。註冊可能需要通過家庭網關發生，這意味著家庭網關的證書涉及新用戶或客戶設備例如TV、視頻電話、計算機等等的註冊。驗證可從家庭網關開始，該家庭網關當被設置在DSL或安全物理線路上時被用於註冊/驗證層級。在請求客戶(例如，圖12內的STB45)沒有通過在連接到遠程伺服器或電子商務網站時請求驗證開始會話，該遠程伺服器(商業網絡470)可通過發出客戶驗證請求命令開始客戶驗證。此命令可查詢客戶(STB45和Telco邊緣站點30或Telco數據中心IO或等同物)之間的網絡設備以獲得客戶的驗證數據。在一個實施例中，無線設備例如圖12的設備55可通過載體以及該無線設備的栽體驗證而被連結。這可為數字權限管理DRM交換提供良好模型，從而無線設備被載體驗證，並且家庭網關或視頻發布設備可證實無線設備是個人專用網的一部分。可為高帶寬數字內容保護(HDCP)和在傳統硬體上運行的其它子網絡提供子網絡驗證。與傳統設備例如具有弱安全性的HDCP相比，新硬體可受益於更好的安全性和註冊。在系統內存在多個安全驗證傳輸路徑，並且在服務或購物的驗證鏈內可4吏用任何以及全部元件。例如DSL邊緣站點到DSL數據機或家庭網關；家庭網關到STB;家庭網關到PC;PC到監視器。62安全元件可用於直接連接到PDA或PC的鍵盤，並且可從遠程計算機將命令傳遞給需要響應的安全元件，該響應被安全元件加密並且被發送給遠程計算機。上文所述的驗證方法和系統可避免或減少由於網絡釣魚請求帶來的問題。用戶可通過使用如上所述的檢驗方法檢驗來自可信的被驗證源的電子郵件或數據。例如，當與銀行家通信時，用戶可檢查到消息的源是來自該銀行家。系統可檢驗到遠程源的憑證適用於被請求的信息。如上所述，跟蹤路由映射可用於確定網絡拓樸，從而邊緣站點或路由器可被檢測和檢驗。已知的跟蹤路由映射不僅可用於路由器，而且可用於在層1、2、3...的網絡設備，以便確定包封裝如何在較低的網絡層內發生。當跟蹤路由映射在跟蹤路由響應內沒有給出接口類型時，網絡服務提供商可建立從安全頭端到用戶的跟蹤路由之間的關聯性。示例如下跟蹤路由用戶123456,其翻譯成IP位址205.171.17.135。在識別用戶時的來自頭端的跟蹤路由可如下1pos2國0-155m.cr2.telco.net(205.117.17.130)2ms2205.171.17.135lms在上述示例中，來自頭端的跟蹤路由將與用戶123456的連接識別為經由跳距lpos2-0-155cm.cr2.telco.net的連接，關聯性可經由網絡管理控制臺或等同接口被確定為此連接/IP位址與從本地局到位於特定地址的家庭的特定物理銅線對相關聯。類似的跟蹤路由關聯映射可將用戶IP位址映射到線纜數據機終端系統(CMTS)MAC地址和/或物理DOCSIS(或類似)線纜數據機識別和用戶。術語"跟蹤路由"在文中是示例性的，但是實現物理層連接的用戶與服務提供商邊緣站點或網絡接入點相關聯的任何命令或接口均可代替跟蹤路由。可以想像，可開發新命令以使得用戶與OSI七層協議模型的物理層、數據鏈路層、網絡層、傳輸層或更高層適當地關聯。儘管可以想像，網絡發布服務內的多個網絡設備可與物理連接等相關聯或被驗證，但是可建立的最重要的關聯是用戶的物理網絡接入設備(例如，數據數據機、線纜數據機、ATM數據機、光纖數據機、DSL數據機或其它家庭內的調製解調設備)與網絡邊緣站點之間的所謂的"最後一英裡"關聯，該網絡邊緣站點物理上終止與家庭的連接。這種關聯可包括OSI分層網絡模型的以下七層中的任何一個或一個以上，如上文的表2內指示的被稱為物理層、數據鏈路層、網絡層、傳輸層、會話層、表現層或應用層。用戶關聯可通常使用物理層連接的映射(DSL、Sonet、FastEthernet例如100BaseT、綜合業務數字網絡(ISDN)、令牌環、光纖分布式數據接口(FDDI)、廣域網(WAN)、ATM、混合光纖/同軸電纜網絡或其它物理層技術)在物理層建立。可為一個用戶建立附加的物理層關聯，但是關鍵的一個物理層關聯是為家庭或位置提供服務的最後一英裡關聯。還可想像，一個或多個層可組合起來，以使用戶與物理連接相關聯，例如合併網絡邊緣設備上的數據鏈路層(層2)參數例如介質訪問控制(MAC)地址與用戶和到用戶前端的物理層連接。這種關聯可經由與網路邊緣設備的通信一如果可用的話一建立，或者經由服務提供商或等同物操作的資料庫建立。用戶關聯的解析可精細至與家庭的物理銅線對連接，或線纜數據機終端系統(CMTS)上的DOCSIS地址，或家庭和網絡之間的無線最後一英裡連接的MAC或邏輯鏈路控制層(LIC)或無線電鏈路地址，或將無線客戶連接到無線網絡的基站。驗證具有通信線路的用戶或客戶所需的驗證或物理連接ID信息可由使客戶(STB12、PC14、基於載體的無線設備18、PDA或其它客戶)與通信線路相關聯的Telco數據中心10(或等同物)或Telco邊緣站點30(或等同物)或可信CA20(或等同物)提供。驗證所需的最少信息是客戶ID和通信線路ID。客戶ID是用於跟蹤經由通信線路連接到網絡的特定客戶設備的值。這個值可以是用於用戶的具有永久固定值的任意值，或者其可以是僅用於單個連接的臨時值。這個64值可基於IP位址、IP位址和埠號、用戶ID、得自用戶ID的隨機數、Telco邊緣站點提供的標識符例如NAT的地址，或用於識別或寸吏客戶設備與下文所述的通信線路信息欄位相關聯的其它類似數據值。通信線路標識符或ID是將Telco邊緣站點連接到物理結構40內的計算機設備或數據機或網關的通信線路的永久標識符。這個值提供了永久標識符，從而與物理結構40相連接的任何客戶設備都可被檢驗。在本發明的示例性實施例中，可獲得額外的檢驗或驗證信息以便增加安全性。例如，籤名、安全碼或其它標識符可被用於檢驗客戶ID數據欄位和通信線路ID沒有被修改。此欄位可如同客戶ID和通信線路ID欄位的帶符號散列一樣簡單。可選地，帶符號的值可由兩個不同的散列生成，從而通過利用散列衝突消除了篡改散列的可能。有符號的散列可使用Telco邊緣站點30或Telco數據中心10或可信CA20或等同物的私鑰被加密。當使用一對有符號的散列利用散列沖突消除墓改時，這兩個散列是具有不同的散列衝突的不同類型的散列。例如，當使用一對散列利用散列衝突消除籤名篡改時，一個散列可以是MD5而另一個散列是具有不同衝突特性的不同散列例如SHA1。如果一個散列被使用兩次，則散列的計算可基於精確數據進行，而第二散列可使用類似於SALT值的SALTed散列計算，當用戶為系統選擇相同密碼時，SALT值被添加以使密碼隨機化以消除資料庫內存儲的相同隨機化密碼值(SALT是用於修改加密的隨機數據串)。當使用兩個相同散列時，一個散列可使用未修改的精確數據，而第二散列使用在計算被加符號的第二數據散列時應用的隨機數發生器或增白器。如果數據被墓改以利用散列沖突，則隨機數發生器或增白器會導致散列衝突利用失敗，這是因為被利用的衝突僅在兩個被計算的散列之一內。這是由於每個散列計算使用不同的數據作為散列函數的輸入，第一散列是精確數據而第二散列具有被隨機化或增白的第一散列函數所使用的數據。隨機數發生器或增白器可以是簡單函數例如異或(XOR)函數，或者是更複雜的函數例如得自種子的隨機數，該種子用於向第二散列計算提供不同的輸入數據。如果安全或驗證系統被黑客入侵或被危及安全，文中所述的實施例可包含可更新特徵。在一些情況下，可更新性可通過簡單地改變密碼技術實現。例如，如果先進加密標準(AES)128加密方案被部署並且被黑客入侵，則快速改變為另一個標準例如RSASecurityofBedford,Mass.開發的RC-4加密方案可用於將內容保護數天或數個星期。在此情況下，系統設計者有時間更新原始加密方法以便稍晚時重新部署該加密方法。網絡的伺服器側、客戶機側以及對等用戶可相互了解，但是所有用戶的一個主要關注點是抵抗各種危險保護自身的安全。網絡使用中的主要危險是1.客戶從未知的實體接收到垃圾郵件和病毒(客戶機側危險的示例)；2.基於網絡的零售商從使用盜用的信用卡、盜用的身份等等的消費者體驗到高度欺詐，尤其是即時消費顧客服務例如長距離電話服務(伺服器側危險的示例)；3.電子商務網絡例如e-Bay上的客戶，其擔心進入與未知買家或賣家的交易(對等危險的示例)本發明的驗證系統如果被客戶和零售商使用以便基於特定物理結構實現安全識別，則可緩解一些或全部上述問題。驗證系統還可在公共網上用於向機頂盒發送安全的付費電視內容，並且向用戶設備例如計算機和手提式設備發送敏感信息和材料。如果這些內容洩漏或者被進一步分配給未授權的用戶，則比較容易識別洩漏源。系統可用於醫學、金融和其它敏感信息例如急救信息的驗證。使用這種雙向驗證(提供商和客戶驗證)可更容易地和安全地利用各種高價值的網絡服務，例如早釋放窗口內容發布，高解析度內容發布，安全e-Bay交易、安全金融交易、安全對等交易、安全電子郵件通信等等。本領域技術人員應理解，文中結合公開的實施例說明的各種示例性邏輯程序塊、模塊、電路和算法步驟可經常實現為電子硬體、計算機軟體或它們的組合。為了清楚地示出硬體和軟體的此可互換性，程序塊、模塊、電路和步驟在上文已經大致說明了它們的功能。這種功能被實現為硬體還是軟體依賴於具體應用和在整個系統的設計約束。技術人員可針對每個具體應用以多種方式實現所述功能，但是這種實現決定不應被理解為背離本發明的範圍。另外，模塊、程序塊或步驟內的功能分組是為了易於說明。特定功能或步驟可被從一個模塊或程序塊中去除而不會背離本發明。結合文中公開的實施例說明的各種示例性邏輯程序塊和模塊可用設計成執行文中所述功能的通用處理器、數位訊號處理器(DSP)、專用集成電路(ASIC)、現場可編程門陣列(FPGA)或其它可編程邏輯設備、離散門或電晶體邏輯、分離硬體組件或它們的任何組合實現或執行。通用處理器可以是微處理器，但是在可選實施例中，處理器可以是任何處理器、控制器、微控制器或狀態機。處理器還可被實現為計算設備的組合，例如DSP和微處理器的組合、多個微處理器、聯合DSP核的一個或多個微處理器或任何其它的這種配置。結合文中公開的實施例說明的方法或算法的步驟可直接用硬體，處理器可執行的軟體模塊或二者的組合體現。軟體模塊可位於RAM存儲器、閃速存儲器、ROM存儲器、EPROM存儲器、EEPROM存儲器、寄存器、硬碟、可換式磁碟、CD-ROM或任何其它形式的存儲介質。示例性存儲介質可耦合到處理器，從而處理器可從該存儲介質讀信息並且向其寫信息。在可選情況下，存儲介質可集成在處理器內。處理器和存儲介質可位於ASIC內。各種實施例還可使用例如組件、如專用集成電路(ASIC)或現場可編程門陣列(FPGA)主要用硬體實現。能夠執行文中所述功能的硬體狀態機的實現對於本領域技術人員來說也是顯而易見的。各種實施例還可使用硬體和軟體的組合實現。公開實施例的上述說明使得任何本領域技術人員可實現或使用本發明。對這些實施例的各種修改對於本領域技術人員是顯而易見的，並且文中所述的基本原理可應用其它實施例而不會背離本發明的精神或範圍。因此，應理解，文中的說明和附圖代表本發明的優選實施例，因此代表本發明概述的主旨。還應理解，本發明的範圍完全包含對於本領域技術人員明顯的其它實施例，並且本發明的範圍因此僅被所附權利要求限定。權利要求1.一種網絡用戶驗證系統，包括物理連接到建築的安全組件；連結到該安全組件的建築內的至少一個用戶設備；安全伺服器；將該安全伺服器連結到該安全組件的至少一個網絡；以及配置成確定該安全組件的物理連接標識(ID)並且使該物理連接ID與使用該用戶設備的網絡服務用戶相關聯的安全伺服器。2.根據權利要求1的系統，其中所述安全組件是連接到建築的專用線路。3.根據權利要求2的系統，其中所述線路是一端連接到建築的寬帶電信線路。4.根據權利要求2的系統，其中所述線路是數字用戶線路(DSU。5.根據權利要求2的系統，其中所述線路是光纖線路。6.根據權利要求2的系統，其中所述線路是到建築的專用無線鏈路。7.根據權利要求l的系統，其中所述安全伺服器是在至少一個網絡上連結到所述安全組件的獨立的伺服器。8.根據權利要求l的系統，其中該系統還包括服務提供商網絡邊緣站點，和在該邊緣站點和建築之間提供通信的至少一個連接線，以及連結到邊緣站點的伺服器提供商數據中心，所述安全組件包含從邊緣站點到建築的連接線。9.根據權利要求8的系統，其中該系統還包括建築內的連結到所述連接線的建築網關模塊，該建築網關模塊配置成在所述連接線和建築內的每個用戶設備之間提供接口。10.根據權利要求9的系統，其中所述用戶設備包含至少一個個人計算機。11.根據權利要求10的系統，其中所述用戶設備還包括至少一個機頂盒。12.根據權利要求10的系統，其中所述用戶設備還包括至少一個無線通信設備。13.根據權利要求12的系統，其中所述無線設備選自由行動電話、個人數字助理和無線計算機構成的組。14.根據權利要求9的系統，其中所述邊緣站點伺服器具有為本地群組內的多個建築提供專用通信的專用連線，所述邊緣站點伺服器具有處理器模塊，該處理器模塊配置成在所述數據存儲模塊內存儲多個唯一的數字證書，並且將每個數字證書與連接到與所述數字證書相關聯的建築的相應專用線路相連結。15，根據權利要求14的系統，其中該系統還包括每個建築內的多個用戶設備，該用戶設備連結到所述網關模塊，並且配置用於使用與將各個建築連接到所述邊緣站點伺服器的專用線路相關聯的唯一數字證書進行安全的網絡通信。16.根據權利要求14的系統，其中所述網關模塊具有與所述唯一數字證書相關聯的第一硬體安全元件。17.根據權利要求16的系統，其中所述硬體安全元件選自由通用串行總線(USB)軟體狗、智慧卡、SIM卡和可信平臺模塊(TPM)構成的組。18.根據權利要求16的系統，其中所述用戶設備具有與在所述網關模塊內的所述第一硬體安全元件密碼調準和同步的第二硬體安全元件。19.根據權利要求14的系統，其中所述網關模塊具有與所述唯一數字證書相關聯的至少一個硬體安全元件，並且每個用戶設備具有與所述網關模塊內的硬體安全元件加密校準和同步的硬體安全元件。20.根據權利要求19的系統，其中至少一個所述用戶設備是具有包含第一用戶識別模塊(SIM)晶片的安全元件的無線設備，並且所述網關模塊具有配置成與所述第一SIM晶片通信以便進行被驗證的無線通信的第二SIM晶片。21.根據權利要求1的系統，其中該系統還包括基於會話的水印模塊，該模塊與所述用戶設備相關聯並且配置成在所述用戶設備在公共網絡上接收的所有內容文件內插入唯一水印有效載荷。22.根據權利要求21的系統，其中所述基於會話的水印模塊還配置成使用與唯一數字證書相關聯的用戶私有密鑰給水印有效載荷密碼籤名。23.—種用於驗證建築內的用戶設備的網絡用戶驗證系統，包括物理連接到建築並且與用戶設備相關聯的安全組件；驗證伺服器；將該驗證伺服器連結到該安全組件的至少一個網絡；該驗證伺服器具有可信路徑認證模塊，該模塊配置成創建與該用戶設備相關聯的客戶ID,識別該安全組件，並且使唯一數字證書與該安全組件相關聯，以及用於存儲該客戶ID和相關聯的數字證書的數據存儲模塊；以及該驗證伺服器還包括檢驗模塊，該檢驗模塊用於使用該客戶ID和相關聯的數字證書在公共網上在用戶設備和其它用戶設備之間進行安全通信。24.根據權利要求23的系統，其中所述安全組件包括連接到建築的專用線，並且所述數字證書包含該專用線的基於網絡的標識。25.根據權利要求23的系統，其中所述數字證書包括基於X.509的數字證書。26.根據權利要求23的系統，其中該系統還包括與所述安全組件相關聯的控制單元，該控制單元具有處理器模塊和數據存儲模塊，所述驗證伺服器還包括配置成將數字證書傳遞給控制單元的證書傳輸模塊，該處理器模塊配置成在所述數據存儲模塊內存儲所述數字證書，並且使用所述數字證書在公用網上在所述用戶設備和其它網絡伺服器之間進行安全通信。27.—種用於驗證網絡用戶以便在公用網上安全通信的方法，包括在驗證伺服器通過物理連接到建築的安全組件和至少一個專用網接收到來自該建築內的用戶設備的建築驗證請求；確定用戶設備的用戶的用戶身份(用戶ID);檢驗安全組件的物理連接身份(物理連接ID);存儲用戶ID和相關物理連接ID的記錄；在接收到來自連接用戶的每個服務請求時，確定該連接用戶使用的安全組件的當前物理連接ID;比較當前物理連接ID與相同用戶ID的先前存儲的物理連接ID以便進行檢驗；以及只有檢驗成功才提供該服務。28.根據權利要求27的方法，其中該方法還包括從網絡數據結構內可用的信息確定物理連接識別。29.根據權利要求27的方法，其中還包括使唯一數字證書與物理連接相關聯，該數字證書包含物理連接ID，在與該物理連接相關聯的數據存儲區域內存儲唯一數字證書，並且使用該唯一數字證書在與公用網上的預期網絡夥伴的網絡通信內進行檢驗。30.根據權利要求29的方法，其中還包括使所述安全組件內的第一硬體安全元件與所述唯一數字證書相關聯，並且密碼地調準建築內的至少一個用戶設備內的硬體安全元件與該第一硬體安全元件。31.根據權利要求27的方法，其中還包括將與建築相關聯的唯一水印有效載荷插入建築內的用戶設備通過網絡接收到的內容文件。32.根據權利要求31的方法，其中還包括使用在所述安全組件處的用於確定所述安全組件的地理坐標的位置傳感器檢驗建築的地理位置。33.根據權利要求32的方法，其中每當建築內的用戶設備開始在公用網上與預期網絡夥伴進行安全通信時，檢驗建築的地理位置。34.—種網絡用戶驗證系統，包括物理連接到建築並且與建築內的至少一個用戶設備相關聯的安全組件；與所述安全組件相關聯的控制單元，該控制單元具有處理器才莫塊和與該處理器模塊相關聯的數據存儲模塊；驗證伺服器；將該驗證伺服器連結到該控制單元的至少一個網絡；該驗證伺服器配置成使唯一數字證書與該安全組件相關聯，並且將該唯一數字證書傳遞給與該安全組件相關聯的控制單元；以及該處理器模塊配置成在所述數據存儲模塊內存儲該唯一數字證書，並且使用該數字證書在公用網上在用戶設備與其它網絡伺服器之間進行安全通信。35.根據權利要求34的系統，其中所述驗證伺服器是公用事業公司伺服器。36.根據權利要求34的系統，其中所迷控制單元包括配置成向附近多個建築提供驗證服務的邊緣站點伺服器，該邊緣站點伺服器具有多條專用線，每條專用線連接到對應的建築之一，所述處理器模塊配置成在所述數據存儲模塊內存儲多個唯一數字證書，並且使每個數字證書與連接到與所述數字證書相關聯的建築的對應專用線相連結。37.根據權利要求36的系統，其中所述驗證伺服器是連結到所述邊緣站點伺服器的公用事業公司伺服器。38.根據權利要求36的系統，其中還包括在公用事業公司網絡上連結到該邊緣站點伺服器的公用事業公司伺服器，該驗證伺服器包括連結到公用事業公司伺服器以便與所述邊緣站點伺服器通信的單獨伺服器。39.根據權利要求34的系統，其中還包括連接到所述專用線的建築內的網關模塊，該網關模塊連結到用戶設備。40.根據權利要求39的系統，其中還包括所述建築內的多個額外用戶設備，所述處理器模塊配置成與所述建築內的所述額外用戶設備通信。41.根據權利要求34的系統，其中所述安全組件是物理連接到建築的結構組件的安全箱，並且所述控制單元被包含在所述安全箱內，所述處理器模塊配置成與所述用戶設備通信。42.根據權利要求41的系統，其中所述控制單元還包括連接到所述處理器模塊以便提供地理位置坐標的位置傳感器，所述處理器模塊配置成將所述地理位置坐標傳遞給所述驗證伺服器，並且所迷驗證伺服器配置成使用所述地理位置坐標來檢驗建築位置。43.根據權利要求34的系統，其中所述控制單元還包括與所述數字證書密碼調準的第一硬體安全元件。44.根據權利要求43的系統，其中所述用戶設備具有與所述第一硬體安全元件密碼調準的第二硬體安全元件。全文摘要在網絡用戶驗證系統中，使用與該網絡用戶位於其中的建築物相關聯的專用物理通信線的唯一標識符，或者與物理連接到建築物的安全組件或通信線路相關聯的數字證書，識別網絡用戶以便進行驗證。驗證伺服器首先檢驗將與網絡服務用戶相關聯的專用通信線的身份，或者發出要與專用通信線相關聯的唯一數字證書以便進行驗證。數字證書可被存儲在連接到多個建築物的安全組件並且存儲每個建築物的唯一數字證書的建築物網關或邊緣站點模塊內。文檔編號G06F11/00GK101467131SQ200680032760公開日2009年6月24日申請日期2006年7月20日優先權日2005年7月20日發明者羅伯特·T·庫拉考維斯基,羅賓·R·庫珀申請人:美國唯美安視國際有限公司