專利名稱:一種檢測(cè)克隆終端設(shè)備的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及通信傳輸技術(shù)領(lǐng)域,主要涉及雙向網(wǎng)絡(luò)內(nèi)容保護(hù)系統(tǒng),特別涉及一種檢測(cè)克隆終端設(shè)備的系統(tǒng)。
背景技術(shù):
隨著通信技術(shù)的發(fā)展,終端電腦用戶可以通 過(guò)有線或無(wú)線方式連接到Internet,對(duì)服務(wù)器提供的網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)。為了保證訪問(wèn)的內(nèi)容安全,通常終端用戶與服務(wù)器之間都是通過(guò)協(xié)議進(jìn)行通信的。在內(nèi)容保護(hù)系統(tǒng)中,前端服務(wù)器向終端用戶發(fā)送密文媒體內(nèi)容,終端用戶在獲得媒體內(nèi)容的同時(shí),還需要獲得媒體內(nèi)容的內(nèi)容許可證,才可以解密觀看媒體內(nèi)容。為了實(shí)現(xiàn)數(shù)字內(nèi)容的安全傳輸和授權(quán)控制,采用基于PKI (Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)體系結(jié)構(gòu)的雙向認(rèn)證方式,建立前端與終端的相互安全信任關(guān)系;由DRM(DigitalRights Management,數(shù)字版權(quán)管理)認(rèn)證中心管理證書(shū)的頒發(fā)、維護(hù)、收回,米用x. 509國(guó)際標(biāo)準(zhǔn)證書(shū)格式,建立多層密鑰體系,使用對(duì)稱密鑰與非對(duì)稱密鑰相結(jié)合的方式逐層加密媒體內(nèi)容。但在實(shí)際操作中,存在一些非法用戶克隆合法用戶信息的現(xiàn)象,非法終端偽造成合法終端接入網(wǎng)絡(luò)隨意獲取服務(wù),訪問(wèn)網(wǎng)絡(luò)資源,而發(fā)生的費(fèi)用會(huì)計(jì)到合法終端用戶身上,嚴(yán)重?fù)p害了運(yùn)營(yíng)商和消費(fèi)者的利益。因此,解決非法終端接入網(wǎng)絡(luò)問(wèn)題對(duì)于維護(hù)網(wǎng)絡(luò)安全、保護(hù)運(yùn)營(yíng)商及消費(fèi)者的利益有著重要作用?,F(xiàn)有技術(shù)中,公開(kāi)了一種判斷克隆終端設(shè)備的方法為前端服務(wù)器將每個(gè)終端設(shè)備的行為信息(包括公鑰、會(huì)話密鑰、IP以及授權(quán)請(qǐng)求)進(jìn)行保存,并實(shí)時(shí)進(jìn)行監(jiān)控和統(tǒng)計(jì)這幾項(xiàng)行為信息的更新次數(shù),當(dāng)終端行為信息達(dá)到一定閾值,表明該終端用戶被克隆。公開(kāi)號(hào)為CN102098674A的發(fā)明專利中公開(kāi)了一種克隆設(shè)備的檢測(cè)方法和裝置,該裝置位于鑒權(quán)、授權(quán)、計(jì)費(fèi)服務(wù)器上,該檢測(cè)裝置用于接收到終端的技術(shù)請(qǐng)求時(shí),如果檢測(cè)到已存在與所述終端設(shè)備標(biāo)識(shí)信息相同的終端的會(huì)話,則表示存在克隆設(shè)備。比較上述兩種實(shí)施方案,前者只是從前端服務(wù)器單一方面進(jìn)行統(tǒng)計(jì)和檢測(cè),而且該方法只有當(dāng)終端克隆行為達(dá)到某一定量級(jí)時(shí),才能確定克隆終端,這種“事后處理”式的檢測(cè)方法對(duì)運(yùn)營(yíng)商和消費(fèi)者的利益造成一定程度的損害;后者雖然對(duì)系統(tǒng)影響較小,具有一定的成本優(yōu)勢(shì),但單一的檢測(cè)方式存在合法終端被誤鎖的可能。為了克服現(xiàn)有技術(shù)中存在的不足,本發(fā)明提出一種檢測(cè)克隆終端設(shè)備的系統(tǒng)。
實(shí)用新型內(nèi)容為克服現(xiàn)有技術(shù)中的缺陷,避免一個(gè)賬戶由多個(gè)終端設(shè)備同時(shí)接入網(wǎng)絡(luò)的情況,減少運(yùn)營(yíng)商和合法終端用戶的損失,本實(shí)用新型提出一種檢測(cè)克隆終端設(shè)備的系統(tǒng)。本實(shí)用型的技術(shù)方案如下一種檢測(cè)克隆終端設(shè)備的系統(tǒng),基于由前端服務(wù)器和終端設(shè)備組成的網(wǎng)絡(luò)進(jìn)行檢測(cè),所述系統(tǒng)包括密鑰協(xié)商單元,用于前端服務(wù)器與終端設(shè)備密鑰協(xié)商后進(jìn)行會(huì)話,如存在相同終端設(shè)備的接入申請(qǐng),密鑰協(xié)商單元采用不同密鑰間隔協(xié)商允許的方式進(jìn)行會(huì)話;記錄存儲(chǔ)單元,記錄并存儲(chǔ)每個(gè)終端設(shè)備的信息及與前端服務(wù)器通信的行為信息;信號(hào)處理單元,根據(jù)終端設(shè)備的信息及行為信息判斷出克隆終端設(shè)備;其中,密鑰協(xié)商單元與信號(hào)處理單元位于前端服務(wù)器上,前端服務(wù)器與終端設(shè)備通過(guò)有線或無(wú)線方式進(jìn)行連接,經(jīng)密鑰協(xié)商單元進(jìn)行會(huì)話,記錄存儲(chǔ)單元記錄并存儲(chǔ)終端設(shè)備的信息及行為信息,由信號(hào)處理單元根據(jù)記錄存儲(chǔ)的終端設(shè)備的信息判斷出克隆終端設(shè)備。進(jìn)一步地,所述終端設(shè)備的信息包括設(shè)備ID標(biāo)識(shí)信息、用戶證書(shū)、用戶公私鑰。 進(jìn)一步地,所述終端設(shè)備的行為信息包括終端設(shè)備的IP更新次數(shù)、會(huì)話密鑰更新次數(shù)、授權(quán)請(qǐng)求更新次數(shù)、臨時(shí)密鑰更新次數(shù)、包ID異常次數(shù)。進(jìn)一步地,所述記錄存儲(chǔ)單元位于前端服務(wù)器上,用于存儲(chǔ)前端服務(wù)器與終端設(shè)備協(xié)商出的會(huì)話密鑰。進(jìn)一步地,所述記錄存儲(chǔ)單元位于終端設(shè)備上,用于存儲(chǔ)前端服務(wù)器與終端設(shè)備協(xié)商出的會(huì)話密鑰、終端設(shè)備產(chǎn)生的公私鑰和臨時(shí)密鑰。進(jìn)一步地,所述信息處理單元根據(jù)當(dāng)某一終端設(shè)備的一個(gè)或幾個(gè)行為信息變化次數(shù)在規(guī)定周期內(nèi)明顯高于其他終端設(shè)備或者超過(guò)某一特定閾值時(shí),判斷終端設(shè)備被非法克隆。進(jìn)一步地,所述系統(tǒng)還包括報(bào)警裝置,所述報(bào)警裝置包括顯示單元、發(fā)聲單元或其組合,用于提示克隆終端設(shè)備存在。本實(shí)用新型技術(shù)方案結(jié)構(gòu)簡(jiǎn)單、易操作,能夠及時(shí)發(fā)現(xiàn)克隆設(shè)備,大大提高了克隆檢測(cè)的準(zhǔn)確度,縮短了克隆檢測(cè)周期,有利于網(wǎng)絡(luò)的安全運(yùn)行及網(wǎng)絡(luò)參與者的利益。
圖I為檢測(cè)克隆終端設(shè)備的系統(tǒng)原理框圖。
具體實(shí)施方式
為詳細(xì)說(shuō)明本實(shí)用新型的技術(shù)內(nèi)容所、實(shí)現(xiàn)目的及效果,以下結(jié)合實(shí)施方式并配合附圖予以詳細(xì)說(shuō)明。參見(jiàn)圖1,為本實(shí)用新型檢測(cè)克隆終端設(shè)備的系統(tǒng)原理框圖,基于由前端服務(wù)器和一定數(shù)量的終端設(shè)備組成的網(wǎng)絡(luò)進(jìn)行檢測(cè)。該檢測(cè)系統(tǒng)包括密鑰協(xié)商單元、記錄存儲(chǔ)單元和信息處理單元。其中,密鑰協(xié)商單元用于前端服務(wù)器與終端設(shè)備經(jīng)密鑰協(xié)商后進(jìn)行會(huì)話,如存在相同終端設(shè)備的接入申請(qǐng),采用不同密鑰間隔協(xié)商允許的方式進(jìn)行會(huì)話;記錄存儲(chǔ)單元主要用于記錄并存儲(chǔ)每個(gè)終端設(shè)備的信息及與前端服務(wù)器通信的行為信息;信息處理單元根據(jù)終端設(shè)備的信息及行為信息判斷克隆終端設(shè)備。具體說(shuō)明如下1·密鑰協(xié)商單元在內(nèi)容保護(hù)系統(tǒng)中,終端設(shè)備需要與前端服務(wù)器通過(guò)密鑰協(xié)商,生成一個(gè)加密內(nèi)容許可證的密鑰,然后前端服務(wù)器將內(nèi)容許可證加密傳輸,終端設(shè)備解密獲得內(nèi)容許可證,再解密并觀看媒體內(nèi)容。在密鑰協(xié)商過(guò)程中,需要使用公鑰、私鑰、臨時(shí)密鑰和會(huì)話密鑰四種密鑰。其中,公私密鑰(PublicKey, PubKey ;Private Key, PriKey):是終端按照 RSA 算法生成的一對(duì)非對(duì)稱的公私密鑰對(duì),公鑰和私鑰可以相互加密和解密。臨時(shí)密鑰(TempKey,TK):是終端生成的密鑰,屬于對(duì)稱密鑰。終端首次申請(qǐng)內(nèi)容許可證或者重啟終端再申請(qǐng)內(nèi)容許可證時(shí)產(chǎn)生臨時(shí)密鑰,用于加密內(nèi)容許可證。臨時(shí)密鑰臨時(shí)保存在內(nèi)存中,一次通信完成后自動(dòng)銷毀。會(huì)話密鑰(Session Key, SK):是前端服務(wù)器生成的密鑰,屬于對(duì)稱密鑰。前端服務(wù)器發(fā)現(xiàn)終端使用臨時(shí)密鑰申請(qǐng)內(nèi)容許可證時(shí),附加下發(fā)會(huì)話密鑰供終端下次申請(qǐng)時(shí)使用,用于加密內(nèi)容許可證。會(huì)話密鑰保存在終端內(nèi)存中,終端重啟后自動(dòng)銷毀。前端服務(wù)器也會(huì)保存會(huì)話密鑰,但是只會(huì)為一個(gè)終端保存一個(gè)最新的會(huì)話密鑰。密鑰協(xié)商單元用于前端服務(wù)器在與終端設(shè)備的密鑰協(xié)商過(guò)程中,判斷是否完成協(xié)商密鑰過(guò)程,是否為該終端設(shè)備分配了協(xié)商密鑰,從而保證合法的終端設(shè)備與克隆的終端設(shè)備使用不同的密鑰加密內(nèi)容許可證。密鑰協(xié)商單元的工作原理如下當(dāng)相同終端設(shè)備向前端服務(wù)器提出接入申請(qǐng)時(shí),前端服務(wù)器采用不同密鑰間隔協(xié)商允許的方式讓終端設(shè)備訪問(wèn)服務(wù)器上的內(nèi)容。即終端設(shè)備首次向前端服務(wù)器提出接入申請(qǐng),內(nèi)容許可證申請(qǐng)成功,終端設(shè)備再次向前端服務(wù)器提出接入申請(qǐng),內(nèi)容許可證申請(qǐng)失敗,終端設(shè)備重啟后向前端服務(wù)器提出接入申請(qǐng),內(nèi)容許可證申請(qǐng)成功,終端設(shè)備再次向服務(wù)器提出接入申請(qǐng),申請(qǐng)內(nèi)容許可證再次失敗,以此類推,必須反復(fù)重啟才能成功申請(qǐng)內(nèi)容許可證,這樣就造成相同終端設(shè)備連接前端服務(wù)器時(shí)相互干擾、相互監(jiān)督,合法的終端用戶會(huì)在第一時(shí)間向運(yùn)營(yíng)商反映異常情況,運(yùn)營(yíng)商及時(shí)發(fā)現(xiàn)并采取有效措施解決克隆問(wèn)題。2.記錄存儲(chǔ)單元記錄存儲(chǔ)單元位于前端服務(wù)器上,除用于記錄并存儲(chǔ)終端設(shè)備的信息及行為信息夕卜,還用于存儲(chǔ)前端服務(wù)器與終端設(shè)備協(xié)商出的會(huì)話密鑰;所述記錄存儲(chǔ)單元位于終端設(shè)備上,用于存儲(chǔ)前端服務(wù)器與終端設(shè)備協(xié)商出的會(huì)話密鑰、終端設(shè)備產(chǎn)生的公私鑰和臨時(shí)密鑰。當(dāng)終端設(shè)備被大量克隆后,就產(chǎn)生了多個(gè)非法的終端設(shè)備,這些非法終端設(shè)備具有與合法終端設(shè)備相同的標(biāo)識(shí)信息、相同的用戶證書(shū)和相同的用戶公私鑰等信息。終端設(shè)備的行為信息涉及終端設(shè)備的IP、會(huì)話密鑰、臨時(shí)密鑰、授權(quán)請(qǐng)求、包ID異常等信息。當(dāng)?shù)贗個(gè)終端設(shè)備連接前端服務(wù)器時(shí),前端服務(wù)器記錄下該終端設(shè)備的IP、會(huì)話密鑰、臨時(shí)密鑰、包ID等信息。當(dāng)?shù)?個(gè)終端設(shè)備連接前端服務(wù)器時(shí),前端服務(wù)器不僅會(huì)記錄下該終端設(shè)備的IP、會(huì)話密鑰、臨時(shí)密鑰、包ID等信息,還會(huì)記錄下IP更新次數(shù)、會(huì)話密鑰更新次數(shù)、授權(quán)請(qǐng)求更新次數(shù)、臨時(shí)密鑰更新次數(shù)、包ID異常次數(shù)等信息。以此類推,多個(gè)終端設(shè)備連接前端服務(wù)器,前端服務(wù)器記錄每個(gè)終端設(shè)備的信息及行為信息。3.信息處理單元信息處理單元根據(jù)當(dāng)某一終端設(shè)備的一個(gè)或幾個(gè)行為信息變化次數(shù)在規(guī)定周期內(nèi)明顯高于其他終端設(shè)備或者超過(guò)某一特定閾值時(shí),判斷終端設(shè)備被非法克隆,運(yùn)營(yíng)商會(huì)、采取有效措施及時(shí)解決克隆問(wèn)題。參見(jiàn)表(a)和表(b),不出了一終端設(shè)備被大量克隆后在一段時(shí)間內(nèi)的行為信息及詳細(xì)行為信息。表(a)
終端設(shè)備 Ρ 會(huì)話密鑰~授權(quán)請(qǐng)求~ 臨 時(shí)密鑰包ID異常~ ID 更新次數(shù)更新次數(shù)更新次數(shù)更新次數(shù)__更新次數(shù)
88881234100651786560
888812352__I__I__I__O_表(b)
終端設(shè)備IDI請(qǐng)求IP請(qǐng)求類型操作時(shí)間
88881234 218.240. 129.45授權(quán)請(qǐng)求2011-03-01 16:30:15
88881234 218.240. 129.88授權(quán)請(qǐng)求2011-03-01 16:32:18
88881234 218.240. 129. 129授權(quán)請(qǐng)求2011-03-01 16:34:59
88881234 218.240. 129. 138授權(quán)請(qǐng)求2011-03-01 16:36:45
· · · · · · · · · · ·表(a)圖中示出了終端設(shè)備ID為88881234被大量非法克隆后,克隆終端設(shè)備向前端服務(wù)器提出接入申請(qǐng)的行為信息記錄,其中IP更新次數(shù)、會(huì)話密鑰更新次數(shù)、授權(quán)請(qǐng)求更新次數(shù)、臨時(shí)密鑰更新次數(shù)、包ID異常次數(shù)都遠(yuǎn)遠(yuǎn)高于沒(méi)有被克隆的終端設(shè)備88881235,由此可發(fā)現(xiàn)該終端設(shè)備異常。然后查找該終端設(shè)備ID88881234在規(guī)定周期內(nèi)(如從2011-03-01 16:30至2011-03-01 16:40這段時(shí)間)的詳細(xì)行為信息,由表(b)可知,該終端設(shè)備在此時(shí)間段內(nèi)較短時(shí)間間隔用多個(gè)IP地址進(jìn)行登錄,從而可以判斷此終端設(shè)備ID88881234被克隆。表(a)中只是列舉了兩個(gè)終端設(shè)備在某段時(shí)間內(nèi)的行為信息變化的點(diǎn)值,根據(jù)不同行為信息變化的規(guī)律及特點(diǎn),判斷標(biāo)準(zhǔn)也不同。以IP更新次數(shù)為例,設(shè)規(guī)定周期為24小時(shí),IP更新次數(shù)超過(guò)N次即判斷IP更新次數(shù)明顯高于其他終端設(shè)備,其中N值可選,如5、
10、20、30、50、100等。會(huì)話密鑰更新次數(shù)、授權(quán)請(qǐng)求更新次數(shù)、臨時(shí)密鑰更新次數(shù)、包ID異常次數(shù)等也可按照類似方法進(jìn)行判斷。此外,通過(guò)監(jiān)測(cè)IP更新次數(shù)、會(huì)話密鑰更新次數(shù)、授權(quán)請(qǐng)求更新次數(shù)、臨時(shí)密鑰更新次數(shù)、包ID異常次數(shù)等在規(guī)定周期內(nèi)超過(guò)某一特定閾值時(shí),據(jù)此可以判斷該終端設(shè)備被克隆,該方法閾值設(shè)定需要參考大量樣本進(jìn)行優(yōu)選,可調(diào)節(jié)性較大,能夠及時(shí)發(fā)現(xiàn)可能存在克隆現(xiàn)象。具體判斷方法舉例如下統(tǒng)計(jì)每個(gè)終端IP的更新次數(shù)[0045]如設(shè)IP更新次數(shù)閾值為5,規(guī)定周期設(shè)為24小時(shí)。每個(gè)終端授權(quán)請(qǐng)求的IP地址,可能會(huì)因?yàn)镈HCP分配而改變,但這種變化的頻率比較低,在典型的部署中一般是幾天,幾個(gè)星期或幾個(gè)月一次,很少低于24小時(shí)。如果在24小時(shí)之內(nèi),IP的更新次數(shù)為5或者以上,那么表示該終端可能被克隆。上述通過(guò)規(guī)定周期內(nèi)超過(guò)某一特定閾值判斷終端設(shè)備被克隆,只是列舉了終端設(shè)備在某段時(shí)間內(nèi)自身的行為信息變化的點(diǎn)值來(lái)進(jìn)行判斷,根據(jù)不同行為信息變化的規(guī)律及特點(diǎn),閾值設(shè)定也不同。以IP更新次數(shù)為例,設(shè)規(guī)定周期為24小時(shí),IP更新次數(shù)閾值為K,即在此規(guī)定時(shí)間內(nèi)IP更新次數(shù)超過(guò)K次即判斷終端設(shè)備被克隆,其中K值可選,如5、8、15、25、50、75等。會(huì)話密鑰更新次數(shù)、授權(quán)請(qǐng)求更新次數(shù)、臨時(shí)密 鑰更新次數(shù)、包ID異常次數(shù)等也可按照類似方法進(jìn)行判斷。本實(shí)用新型檢測(cè)克隆終端設(shè)備的系統(tǒng)還包括報(bào)警裝置,所述報(bào)警裝置包括顯示單元、發(fā)聲單元或其組合,當(dāng)信息處理單元判斷存在克隆終端設(shè)備時(shí),由報(bào)警裝置進(jìn)行報(bào)警或提示。所述顯示單元包括報(bào)警指示燈、顯示屏等,所述發(fā)聲裝置包括蜂鳴器等報(bào)警裝置。
權(quán)利要求1.一種檢測(cè)克隆終端設(shè)備的系統(tǒng),基于由前端服務(wù)器和終端設(shè)備組成的網(wǎng)絡(luò)進(jìn)行檢測(cè),其特征在于,所述系統(tǒng)包括 密鑰協(xié)商單元,用于前端服務(wù)器與終端設(shè)備密鑰協(xié)商后進(jìn)行會(huì)話,如存在相同終端設(shè)備的接入申請(qǐng),密鑰協(xié)商單元采用不同密鑰間隔協(xié)商允許的方式進(jìn)行會(huì)話; 記錄存儲(chǔ)單元,記錄并存儲(chǔ)每個(gè)終端設(shè)備的信息及與前端服務(wù)器通信的行為信息; 信息處理單元,根據(jù)終端設(shè)備的信息及行為信息判斷出克隆終端設(shè)備; 其中,密鑰協(xié)商單元與信息處理單元位于前端服務(wù)器上,前端服務(wù)器與終端設(shè)備通過(guò)有線或無(wú)線方式進(jìn)行連接,經(jīng)密鑰協(xié)商單元進(jìn)行會(huì)話,記錄存儲(chǔ)單元記錄并存儲(chǔ)終端設(shè)備的信息及行為信息,由信息處理單元根據(jù)記錄存儲(chǔ)的終端設(shè)備的信息判斷出克隆終端設(shè)備。
2.根據(jù)權(quán)利要求I所述的檢測(cè)克隆終端設(shè)備的系統(tǒng),其特征在于,所述記錄存儲(chǔ)單元位于前端服務(wù)器上,用于存儲(chǔ)前端服務(wù)器與終端設(shè)備協(xié)商出的會(huì)話密鑰。
3.根據(jù)權(quán)利要求I所述的檢測(cè)克隆終端設(shè)備的系統(tǒng),其特征在于,所述記錄存儲(chǔ)單元位于終端設(shè)備上,用于存儲(chǔ)前端服務(wù)器與終端設(shè)備協(xié)商出的會(huì)話密鑰、終端設(shè)備產(chǎn)生的公私鑰和臨時(shí)密鑰。
4.根據(jù)權(quán)利要求I至3之一所述的檢測(cè)克隆終端設(shè)備的系統(tǒng),其特征在于,所述系統(tǒng)還包括報(bào)警裝置,所述報(bào)警裝置包括顯示單元、發(fā)聲單元或其組合,用于提示克隆終端設(shè)備存在。
專利摘要本實(shí)用新型涉及一種檢測(cè)克隆終端設(shè)備的系統(tǒng),基于由前端服務(wù)器和終端設(shè)備組成的網(wǎng)絡(luò)進(jìn)行檢測(cè),所述系統(tǒng)包括密鑰協(xié)商單元、記錄存儲(chǔ)單元和信息處理單元;其中,密鑰協(xié)商單元與信息處理單元位于前端服務(wù)器上,前端服務(wù)器與終端設(shè)備通過(guò)有線或無(wú)線方式進(jìn)行連接,經(jīng)密鑰協(xié)商單元進(jìn)行會(huì)話,記錄存儲(chǔ)單元記錄并存儲(chǔ)終端設(shè)備的信息及行為信息,由信息處理單元根據(jù)記錄存儲(chǔ)的終端設(shè)備的信息判斷出克隆終端設(shè)備。本實(shí)用新型技術(shù)方案結(jié)構(gòu)簡(jiǎn)單、易操作,能夠及時(shí)發(fā)現(xiàn)克隆設(shè)備,大大提高了克隆檢測(cè)的準(zhǔn)確度,縮短了克隆檢測(cè)周期,有利于網(wǎng)絡(luò)的安全運(yùn)行及網(wǎng)絡(luò)參與者的利益。
文檔編號(hào)H04L29/06GK202535374SQ20122002421
公開(kāi)日2012年11月14日 申請(qǐng)日期2012年1月18日 優(yōu)先權(quán)日2012年1月18日
發(fā)明者李偉東, 李小正, 王天星, 王文軍, 閻松柏 申請(qǐng)人:北京視博數(shù)字電視科技有限公司