CN202535374U - 一种检测克隆终端设备的系统 - Google Patents
一种检测克隆终端设备的系统 Download PDFInfo
- Publication number
- CN202535374U CN202535374U CN201220024212XU CN201220024212U CN202535374U CN 202535374 U CN202535374 U CN 202535374U CN 201220024212X U CN201220024212X U CN 201220024212XU CN 201220024212 U CN201220024212 U CN 201220024212U CN 202535374 U CN202535374 U CN 202535374U
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- end server
- information
- key
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本实用新型涉及一种检测克隆终端设备的系统,基于由前端服务器和终端设备组成的网络进行检测,所述系统包括密钥协商单元、记录存储单元和信息处理单元;其中,密钥协商单元与信息处理单元位于前端服务器上,前端服务器与终端设备通过有线或无线方式进行连接,经密钥协商单元进行会话,记录存储单元记录并存储终端设备的信息及行为信息,由信息处理单元根据记录存储的终端设备的信息判断出克隆终端设备。本实用新型技术方案结构简单、易操作,能够及时发现克隆设备,大大提高了克隆检测的准确度,缩短了克隆检测周期,有利于网络的安全运行及网络参与者的利益。
Description
技术领域
本实用新型涉及通信传输技术领域,主要涉及双向网络内容保护系统,特别涉及一种检测克隆终端设备的系统。
背景技术
随着通信技术的发展,终端电脑用户可以通过有线或无线方式连接到Internet,对服务器提供的网络资源进行访问。为了保证访问的内容安全,通常终端用户与服务器之间都是通过协议进行通信的。
在内容保护系统中,前端服务器向终端用户发送密文媒体内容,终端用户在获得媒体内容的同时,还需要获得媒体内容的内容许可证,才可以解密观看媒体内容。为了实现数字内容的安全传输和授权控制,采用基于PKI(Public KeyInfrastructure,公钥基础设施)体系结构的双向认证方式,建立前端与终端的相互安全信任关系;由DRM(Digital Rights Management,数字版权管理)认证中心管理证书的颁发、维护、收回,采用x.509国际标准证书格式,建立多层密钥体系,使用对称密钥与非对称密钥相结合的方式逐层加密媒体内容。
但在实际操作中,存在一些非法用户克隆合法用户信息的现象,非法终端伪造成合法终端接入网络随意获取服务,访问网络资源,而发生的费用会计到合法终端用户身上,严重损害了运营商和消费者的利益。因此,解决非法终端接入网络问题对于维护网络安全、保护运营商及消费者的利益有着重要作用。
现有技术中,公开了一种判断克隆终端设备的方法为:前端服务器将每个终端设备的行为信息(包括公钥、会话密钥、IP以及授权请求)进行保存,并实时进行监控和统计这几项行为信息的更新次数,当终端行为信息达到一定阈值,表明该终端用户被克隆。
公开号为CN102098674A的发明专利中公开了一种克隆设备的检测方法和装置,该装置位于鉴权、授权、计费服务器上,该检测装置用于接收到终端的技术请求时,如果检测到已存在与所述终端设备标识信息相同的终端的会话,则表示存在克隆设备。
比较上述两种实施方案,前者只是从前端服务器单一方面进行统计和检测,而且该方法只有当终端克隆行为达到某一定量级时,才能确定克隆终端,这种“事后处理”式的检测方法对运营商和消费者的利益造成一定程度的损害;后者虽然对系统影响较小,具有一定的成本优势,但单一的检测方式存在合法终端被误锁的可能。为了克服现有技术中存在的不足,本发明提出一种检测克隆终端设备的系统。
实用新型内容
为克服现有技术中的缺陷,避免一个账户由多个终端设备同时接入网络的情况,减少运营商和合法终端用户的损失,本实用新型提出一种检测克隆终端设备的系统。本实用型的技术方案如下:
一种检测克隆终端设备的系统,基于由前端服务器和终端设备组成的网络进行检测,所述系统包括:
密钥协商单元,用于前端服务器与终端设备密钥协商后进行会话,如存在相同终端设备的接入申请,密钥协商单元采用不同密钥间隔协商允许的方式进行会话;
记录存储单元,记录并存储每个终端设备的信息及与前端服务器通信的行为信息;
信号处理单元,根据终端设备的信息及行为信息判断出克隆终端设备;
其中,密钥协商单元与信号处理单元位于前端服务器上,前端服务器与终端设备通过有线或无线方式进行连接,经密钥协商单元进行会话,记录存储单元记录并存储终端设备的信息及行为信息,由信号处理单元根据记录存储的终端设备的信息判断出克隆终端设备。
进一步地,所述终端设备的信息包括设备ID标识信息、用户证书、用户公私钥。
进一步地,所述终端设备的行为信息包括终端设备的IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数。
进一步地,所述记录存储单元位于前端服务器上,用于存储前端服务器与终端设备协商出的会话密钥。
进一步地,所述记录存储单元位于终端设备上,用于存储前端服务器与终端设备协商出的会话密钥、终端设备产生的公私钥和临时密钥。
进一步地,所述信息处理单元根据当某一终端设备的一个或几个行为信息变化次数在规定周期内明显高于其他终端设备或者超过某一特定阈值时,判断终端设备被非法克隆。
进一步地,所述系统还包括报警装置,所述报警装置包括显示单元、发声单元或其组合,用于提示克隆终端设备存在。
本实用新型技术方案结构简单、易操作,能够及时发现克隆设备,大大提高了克隆检测的准确度,缩短了克隆检测周期,有利于网络的安全运行及网络参与者的利益。
附图说明
图1为检测克隆终端设备的系统原理框图。
具体实施方式
为详细说明本实用新型的技术内容所、实现目的及效果,以下结合实施方式并配合附图予以详细说明。
参见图1,为本实用新型检测克隆终端设备的系统原理框图,基于由前端服务器和一定数量的终端设备组成的网络进行检测。该检测系统包括密钥协商单元、记录存储单元和信息处理单元。其中,密钥协商单元用于前端服务器与终端设备经密钥协商后进行会话,如存在相同终端设备的接入申请,采用不同密钥间隔协商允许的方式进行会话;记录存储单元主要用于记录并存储每个终端设备的信息及与前端服务器通信的行为信息;信息处理单元根据终端设备的信息及行为信息判断克隆终端设备。
具体说明如下:1.密钥协商单元
在内容保护系统中,终端设备需要与前端服务器通过密钥协商,生成一个加密内容许可证的密钥,然后前端服务器将内容许可证加密传输,终端设备解密获得内容许可证,再解密并观看媒体内容。在密钥协商过程中,需要使用公钥、私钥、临时密钥和会话密钥四种密钥。
其中,公私密钥(Public Key,PubKey;Private Key,PriKey):是终端按照RSA算法生成的一对非对称的公私密钥对,公钥和私钥可以相互加密和解密。
临时密钥(TempKey,TK):是终端生成的密钥,属于对称密钥。终端首次申请内容许可证或者重启终端再申请内容许可证时产生临时密钥,用于加密内容许可证。临时密钥临时保存在内存中,一次通信完成后自动销毁。
会话密钥(Session Key,SK):是前端服务器生成的密钥,属于对称密钥。前端服务器发现终端使用临时密钥申请内容许可证时,附加下发会话密钥供终端下次申请时使用,用于加密内容许可证。会话密钥保存在终端内存中,终端重启后自动销毁。前端服务器也会保存会话密钥,但是只会为一个终端保存一个最新的会话密钥。
密钥协商单元用于前端服务器在与终端设备的密钥协商过程中,判断是否完成协商密钥过程,是否为该终端设备分配了协商密钥,从而保证合法的终端设备与克隆的终端设备使用不同的密钥加密内容许可证。
密钥协商单元的工作原理如下:当相同终端设备向前端服务器提出接入申请时,前端服务器采用不同密钥间隔协商允许的方式让终端设备访问服务器上的内容。即终端设备首次向前端服务器提出接入申请,内容许可证申请成功,终端设备再次向前端服务器提出接入申请,内容许可证申请失败,终端设备重启后向前端服务器提出接入申请,内容许可证申请成功,终端设备再次向服务器提出接入申请,申请内容许可证再次失败,以此类推,必须反复重启才能成功申请内容许可证,这样就造成相同终端设备连接前端服务器时相互干扰、相互监督,合法的终端用户会在第一时间向运营商反映异常情况,运营商及时发现并采取有效措施解决克隆问题。
2.记录存储单元
记录存储单元位于前端服务器上,除用于记录并存储终端设备的信息及行为信息外,还用于存储前端服务器与终端设备协商出的会话密钥;所述记录存储单元位于终端设备上,用于存储前端服务器与终端设备协商出的会话密钥、终端设备产生的公私钥和临时密钥。
当终端设备被大量克隆后,就产生了多个非法的终端设备,这些非法终端设备具有与合法终端设备相同的标识信息、相同的用户证书和相同的用户公私钥等信息。终端设备的行为信息涉及终端设备的IP、会话密钥、临时密钥、授权请求、包ID异常等信息。当第1个终端设备连接前端服务器时,前端服务器记录下该终端设备的IP、会话密钥、临时密钥、包ID等信息。当第2个终端设备连接前端服务器时,前端服务器不仅会记录下该终端设备的IP、会话密钥、临时密钥、包ID等信息,还会记录下IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等信息。以此类推,多个终端设备连接前端服务器,前端服务器记录每个终端设备的信息及行为信息。
3.信息处理单元
信息处理单元根据当某一终端设备的一个或几个行为信息变化次数在规定周期内明显高于其他终端设备或者超过某一特定阈值时,判断终端设备被非法克隆,运营商会采取有效措施及时解决克隆问题。
参见表(a)和表(b),示出了一终端设备被大量克隆后在一段时间内的行为信息及详细行为信息。
表(a)
表(b)
| 终端设备ID | 请求IP | 请求类型 | 操作时间 |
| 88881234 | 218.240.129.45 | 授权请求 | 2011-03-01 16:30:15 |
| 88881234 | 218.240.129.88 | 授权请求 | 2011-03-01 16:32:18 |
| 88881234 | 218.240.129.129 | 授权请求 | 2011-03-01 16:34:59 |
| 88881234 | 218.240.129.138 | 授权请求 | 2011-03-01 16:36:45 |
| … | … | … | … |
表(a)图中示出了终端设备ID为88881234被大量非法克隆后,克隆终端设备向前端服务器提出接入申请的行为信息记录,其中IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数都远远高于没有被克隆的终端设备88881235,由此可发现该终端设备异常。然后查找该终端设备ID88881234在规定周期内(如从2011-03-01 16:30至2011-03-01 16:40这段时间)的详细行为信息,由表(b)可知,该终端设备在此时间段内较短时间间隔用多个IP地址进行登录,从而可以判断此终端设备ID88881234被克隆。
表(a)中只是列举了两个终端设备在某段时间内的行为信息变化的点值,根据不同行为信息变化的规律及特点,判断标准也不同。以IP更新次数为例,设规定周期为24小时,IP更新次数超过N次即判断IP更新次数明显高于其他终端设备,其中N值可选,如5、10、20、30、50、100等。会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等也可按照类似方法进行判断。
此外,通过监测IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等在规定周期内超过某一特定阈值时,据此可以判断该终端设备被克隆,该方法阈值设定需要参考大量样本进行优选,可调节性较大,能够及时发现可能存在克隆现象。具体判断方法举例如下:
统计每个终端IP的更新次数
如设IP更新次数阈值为5,规定周期设为24小时。每个终端授权请求的IP地址,可能会因为DHCP分配而改变,但这种变化的频率比较低,在典型的部署中一般是几天,几个星期或几个月一次,很少低于24小时。如果在24小时之内,IP的更新次数为5或者以上,那么表示该终端可能被克隆。
上述通过规定周期内超过某一特定阈值判断终端设备被克隆,只是列举了终端设备在某段时间内自身的行为信息变化的点值来进行判断,根据不同行为信息变化的规律及特点,阈值设定也不同。以IP更新次数为例,设规定周期为24小时,IP更新次数阈值为K,即在此规定时间内IP更新次数超过K次即判断终端设备被克隆,其中K值可选,如5、8、15、25、50、75等。会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等也可按照类似方法进行判断。
本实用新型检测克隆终端设备的系统还包括报警装置,所述报警装置包括显示单元、发声单元或其组合,当信息处理单元判断存在克隆终端设备时,由报警装置进行报警或提示。所述显示单元包括报警指示灯、显示屏等,所述发声装置包括蜂鸣器等报警装置。
Claims (4)
1.一种检测克隆终端设备的系统,基于由前端服务器和终端设备组成的网络进行检测,其特征在于,所述系统包括:
密钥协商单元,用于前端服务器与终端设备密钥协商后进行会话,如存在相同终端设备的接入申请,密钥协商单元采用不同密钥间隔协商允许的方式进行会话;
记录存储单元,记录并存储每个终端设备的信息及与前端服务器通信的行为信息;
信息处理单元,根据终端设备的信息及行为信息判断出克隆终端设备;
其中,密钥协商单元与信息处理单元位于前端服务器上,前端服务器与终端设备通过有线或无线方式进行连接,经密钥协商单元进行会话,记录存储单元记录并存储终端设备的信息及行为信息,由信息处理单元根据记录存储的终端设备的信息判断出克隆终端设备。
2.根据权利要求1所述的检测克隆终端设备的系统,其特征在于,所述记录存储单元位于前端服务器上,用于存储前端服务器与终端设备协商出的会话密钥。
3.根据权利要求1所述的检测克隆终端设备的系统,其特征在于,所述记录存储单元位于终端设备上,用于存储前端服务器与终端设备协商出的会话密钥、终端设备产生的公私钥和临时密钥。
4.根据权利要求1至3之一所述的检测克隆终端设备的系统,其特征在于,所述系统还包括报警装置,所述报警装置包括显示单元、发声单元或其组合,用于提示克隆终端设备存在。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201220024212XU CN202535374U (zh) | 2012-01-18 | 2012-01-18 | 一种检测克隆终端设备的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201220024212XU CN202535374U (zh) | 2012-01-18 | 2012-01-18 | 一种检测克隆终端设备的系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202535374U true CN202535374U (zh) | 2012-11-14 |
Family
ID=47136527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201220024212XU Expired - Lifetime CN202535374U (zh) | 2012-01-18 | 2012-01-18 | 一种检测克隆终端设备的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN202535374U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546302A (zh) * | 2012-01-18 | 2012-07-04 | 北京视博数字电视科技有限公司 | 一种克隆终端设备的检测方法及系统 |
-
2012
- 2012-01-18 CN CN201220024212XU patent/CN202535374U/zh not_active Expired - Lifetime
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546302A (zh) * | 2012-01-18 | 2012-07-04 | 北京视博数字电视科技有限公司 | 一种克隆终端设备的检测方法及系统 |
| CN102546302B (zh) * | 2012-01-18 | 2014-08-20 | 北京视博数字电视科技有限公司 | 一种克隆终端设备的检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8938625B2 (en) | Systems and methods for securing cryptographic data using timestamps | |
| TWI620087B (zh) | 驗證伺服器、驗證方法及其電腦程式產品 | |
| EP1942430B1 (en) | Token Passing Technique for Media Playback Devices | |
| CN103189872B (zh) | 联网环境中的安全和有效内容筛选的方法和装置 | |
| CN110324143A (zh) | 数据传输方法、电子设备及存储介质 | |
| JP7421771B2 (ja) | Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体 | |
| US9553858B2 (en) | Hardware-based credential distribution | |
| US9721071B2 (en) | Binding of cryptographic content using unique device characteristics with server heuristics | |
| WO2020000786A1 (zh) | 一种投票方法、装置、计算机设备及计算机可读存储介质 | |
| US20150172283A1 (en) | Method of Authentication by Token | |
| US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
| US20080209231A1 (en) | Contents Encryption Method, System and Method for Providing Contents Through Network Using the Encryption Method | |
| US20130004142A1 (en) | Systems and methods for device authentication including timestamp validation | |
| US10812483B2 (en) | Account login method and apparatus | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| US8538890B2 (en) | Encrypting a unique cryptographic entity | |
| CN109271802A (zh) | 一种用户信息管理方法、系统、设备及计算机存储介质 | |
| CN104868998B (zh) | 一种向电子设备供应加密数据的系统、设备和方法 | |
| WO2013132224A2 (en) | A scalable authentication system | |
| CN108259183B (zh) | 一种关注方法、装置、电子设备及介质 | |
| CN101753569A (zh) | 注册和管理个人使用范围的终端的主终端及其方法和系统 | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| JP2009290508A (ja) | 電子化情報配布システム、クライアント装置、サーバ装置および電子化情報配布方法 | |
| CN110955909B (zh) | 个人数据保护方法及区块链节点 | |
| CN202535374U (zh) | 一种检测克隆终端设备的系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20121114 |
|
| CX01 | Expiry of patent term |