在用于与客户机设备进行网络通信的安全系统中,每一个客户机设备都具有用于通过网络与至少一个服务器进行通信的通信模块,用于存储客户机设备上的一个或多个操作事件的一个或多个隐蔽数据值的数据存储模块,以及基于存储的隐蔽数据值创建至少一个隐蔽标识符的隐蔽标识符生成模块。在发往服务器的,或以别的方式发送到服务提供商的一个或多个网络消息中提供了隐蔽标识符,并可以响应通过网络接收到的特定请求,或例行地在通常涉及网络通信的一个或多个消息中提供隐蔽标识符。服务器比较从具有相同客户机标识符的客户机设备接收到的隐蔽标识符,以便检测可能的克隆。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及服务器和客户机设备之间的网络通信,具体地说,尤 其涉及用于检测试图窃取服务而不支付费用或以别的方式模仿真正和方法。
技术介绍
在分布式计算环境中,盗版者通过创建具有与正当的客户机或合 法用户相同的凭证的多个客户机来窃取服务,从而允许非付费的用户 共享(窃取)付费合法用户的服务。由于凭证似乎是正当的,服务器 向这样的克隆发送广播密钥或类似的东西,允许未经授权的用户查看 广播,参与双向通信,或进行类似的操作。这样的克隆技术对网络提 供商来说是严重的问题。盗版者还试图复制或克隆诸如经授权的个体 作为信用卡或自动柜员机(ATM)卡,在移动电话中,作为高安全性 标识和接入控制卡、公共交通卡,及其他用途的智能卡之类的客户机 设备。克隆智能卡也会给这些服务的提供商以及经授权的卡用户带来 严重问题。因此,所需要的是减少或克服在如上文所描述的常规系统中所发 现的这些严重问题的系统和方法。
技术实现思路
这里所描述的实施例可以向客户机设备和服务器之间的正常消 息中添加隐蔽安全数据,以便服务器可以确定是否有一个以上的与网 络进行通信的客户机设备具有相同的注册凭证或客户机标识符(客户机ID),表示存在一个或多个克隆的客户机设备。根据一个方面,提供了用于检测克隆客户机设备的安全方法,包 括在服务器上从客户机设备接收消息,所述消息包含从所述客户机 设备上的一个或多个操作事件得到的隐蔽标识符,确定所述隐蔽标识 符是否匹配存储在所述服务器上的所述客户机设备的隐蔽标识符,以 及,如果所述隐蔽标识符不匹配,报告检测到克隆的客户机设备。存储在服务器上的隐蔽标识符可以基于由服务器或由客户机设 备或两者生成的一个或多个隐蔽数据项,并可能是在声称来自于同一 个客户机设备的以前的消息中接收到的。如果消息始发于不同客户机 设备,如真正客户机设备和克隆的客户机设备,隐蔽标识符不匹配, 因为 一个客户机设备上的操作事件的定时和数值与另 一个客户机设 备上的那些定时和数值不相同。隐蔽标识符可以是由一个或多个操作 事件生成的数值,或基于一个或多个操作事件,例如,事件的发生时 间,或在客户机设备上发生特定事件的次数,也可以是使用散列函数等等的一个或多个隐蔽数据值的转换后的版本。客户机设备可以是能够通过网络接收和/或发送数据的任何种类 的计算设备,如机顶盒(STB)、个人计算机、游戏控制台、蜂窝电 话、个人数字助理(PDA)、视频设备、智能卡等等。为客户机设备 生成的隐蔽标识符可以包括由客户机设备收集并存储的一个或多个 隐蔽数据值,或这种隐蔽数据值的转换后的版本,并可以基于客户机 设备的随着时间而变化的、并可以由客户机设备存储的、或由客户机 设备和服务器存储的任何操作特征或事件。隐蔽标识符可以是由服务 器所提供的令牌或数值,也可以是客户机和服务器生成的隐蔽数据值 的组合。这里所提及的客户机设备的操作特征是在客户机设备上发生 的或与客户机设备关联地发生的、并且是该特定客户机设备所特有的事件,如发生预定操作事件(例如,在客户机设备或服务器上发送或 接收预定的消息)的时间,固件更新,向网络发送消息和从网络接收响应之间的延迟时间,在客户机设备上接收到第n个网络数据分组的 时间,发生某一操作事件的次数,从服务器发送到客户机设备的令牌, 接收到的授权控制消息(ECM)数据分组的计数,在预定时间客户机 设备被调谐到的信道,在预定时间内信道更换的次数,在客户机设备 中的芯片上包含的寄存器值等等。在智能卡的情况下,用于生成隐蔽 数据的操作特征例如可以是首次使用智能卡的时间,当智能卡用于某 一操作时的微秒时间,由智能卡在某一时间处理的或在诸如广播事件 触发器之类的某一事件中捕获的数据字节的总数,或任何其他操作数 据、计数,或在使用智能卡过程中发生的事件。在移动电话的情况下, 电话上的呼叫日志可以用以生成隐蔽标识符,利用散列函数对呼叫日 志进行处理,生成该电话所特有的标识符。操作特征是通过特定客户 机设备的操作创建的,因此,不会轻易地被克隆的客户机设备"攻击" 或复制,例如,发生某事件或发生某触发器或捕获新的数据的微秒时 刻。可以使用新的操作事件定期更新隐蔽标识符,以提供隐蔽数据值, 进一步降低被黑客成功地攻击的风险。可以用以创建客户机设备所特有的隐蔽标识符的可能隐蔽数据 值的一些示例有最后一次从客户机设备发送或由客户机设备接收的 特定类型的消息的时间,发生特定事件的次数,如购买的货品数量, 接收到的瞬时密钥更新的数量,接收到某一类型的数据消息或网络数 据分组的次数,或客户机设备执行某一事件的次数,当用于系统中时, 由动态主机配置协议(DHCP)服务器所使用的因特网协议(IP)地 址,从诸如电缆调制解调器之类的其他网络设备获得的数值或信号强 度,在发生了预定数量的事件之后客户机数据参数的数值等等。隐蔽 数据值可以包括在来自服务器的消息中接收到的、并用于发往服务器 的随后消息中的数据。可以由服务器在每一次随后通信中更新该数 值。如此,如果接收到不包含更新的隐蔽数据值的消息,即,系统上 有一个以上的具有相同凭证的客户机设备,则服务器认识到存在潜在 的克隆设备。 一个以上的隐蔽数据值可以用于每一个消息中的隐蔽标 识符中,以便增强安全性。在智能卡的情况下,隐蔽标识符可以基于 使用该卡的时间,购买货品的数量等等。事件触发器可以用于某些实施例中,以更新或修改隐蔽数据值或 启动计数或定时器,这会导致用于生成新的隐蔽标识符的更新的隐蔽 数据值,或修改客户机和服务器之间的消息中包含的消息收发协议或 数据。在另一个方面,提供了用于检测克隆客户机设备的安全系统,包括网络服务器数据存储模块,用于存储多个经过授权的或真正客户 机设备的多个客户机凭证或客户机标识符(ID)的集合,还存储基于 在来自客户机设备的消息中接收的客户机设备的操作特征的隐蔽标 识符,以及隐蔽数据处理模块,它将从客户机设备接收到的消息中的 隐蔽标识符与对应于相同客户机ID的以前存储的隐蔽标识符进行比 较,如果隐蔽数据标识符不匹配,则创建克隆检测报告。如果网络是双向网络,则在正常的网络通信过程中交换基于收集 的操作事件的隐蔽标识符。如果网络通常作为单向网络运行,但是对于某些客户机通信具有返回信道,则收集基于设备的使用状况的预定 隐蔽数据值,并将其用于创建由客户机设备存储的隐蔽标识符。例如, 当可用时,在周期性的续订过程中,隐蔽标识符通过返回信道在消息 中发送到服务器。服务器为某一用户存储第一隐蔽标识符。如果以后 接收到声称始发于同 一个客户机设备的隐蔽标识符,则由服务器发出 克隆检测报告。根据另一个方面,提供了客户机设备,包括隐蔽数据生成模块, 用于基于通过客户机设备的操作而生成的数据,生成隐蔽标识符,以 及用于存储该隐蔽标识符的隐蔽数据存储模块。如果客户机设备预定 用于双向网络环境中,或用于对于某些通信具有返回信道的单向网络 环境中,则客户机设备也可以包括消息生成模块,用于生成包含当前 存储的隐蔽标识符的消息。随后,隐蔽标识符通过网络,在嵌入到消 息中的隐蔽数据丰段中,或响应于来自服务器的请求作为数据值,或其任何组合,发送到网络服务器。消息可以是通常以双向通信发送到 网络的消息类型,或者,如果客户机设备通常只涉及与网本文档来自技高网...
【技术保护点】
一种用于检测通过网络进行通信的克隆的客户机设备的方法,包括: 在服务器上存储在服务器上注册凭证的客户机设备的至少一个隐蔽标识符; 在所述服务器上从客户机设备接收消息,所述消息包含从所述客户机设备的至少一个操作事件中得到的隐蔽标识符; 确定在所述消息中接收到的隐蔽标识符是否匹配在所述服务器上存储相同凭证的所述客户机设备的隐蔽标识符;以及 如果所述消息中的所述隐蔽标识符的至少一部分不匹配存储在所述服务器中的所述客户机设备的隐蔽标识符,则报告检测到真正客户机设备的克隆。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:RT库拉考维斯基,
申请(专利权)人:美国唯美安视国际有限公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。