KR100924480B1

KR100924480B1 - 물리적 근접도를 검증하기 위한 시간적 근접도

Info

Publication number: KR100924480B1
Application number: KR1020037003110A
Authority: KR
Inventors: 미카엘 엡스테인
Original assignee: 코닌클리케 필립스 일렉트로닉스 엔.브이.
Priority date: 2001-06-28
Filing date: 2002-06-28
Publication date: 2009-11-03
Also published as: US20090003605A1; US8107627B2; US8352582B2; EP1405482A1; CN1520670A; CN101052042A; JP2004531011A; KR20040015004A; CN101052042B; US20130103947A1; WO2003003687A1; CN100550878C; JP2011066936A; ES2400027T3; US20030005324A1; JP5320378B2; EP1405482B1; US8997243B2

Abstract

보안 시스템(100)은, 응답 시스템(132, 142)이 요청 시스템으로의 물리적 근접 내에 있는지를 결정하는 정보를 요청하는 응답 시간을 평가한다. 일반적으로, 물리적 근접도는 시간적 근접도에 대응한다. 응답 시간이 요청과 응답 간에 상당한 또는 비정상적인 지연(lag)을 나타내면, 상기 시스템은 상당한 또는 비정상적인 물리적 거리를 이동해야 하는 요청 및 응답에 의해 지연이 발생되었거나, 사용자가 물리적으로 소유에서 기존의 응답으로 회답하는 것이 아니라, 요청이 응답을 생성하도록 처리되고 있는 것으로 인해 지연이 발생된 것으로 가정한다. 상당한 또는 비정상적인 지연이 검출되면, 예를 들어, 정보가 인터넷(140, 144)으로부터 다운로딩된다는 사실로 인해 상기 시스템(100)은 현재 사용자에 의한 보호 자료에 대한 다음 액세스를 제한하거나 및/또는 비정상적인 응답 지연을 보안 담당자에게 통지하도록 구성된다.

물리적 근접, 시간적 근접, 응답 시간, 요청, 지연

Description

물리적 근접도를 검증하기 위한 시간적 근접도{Temporal proximity to verify physical proximity}

본 발명은 데이터 보호 분야에 관한 것이며, 특히, 원격 위치에서의 불법 복제로부터 데이터를 보호하는 것에 관한 것이다.

데이터의 보호는 점점 보안의 중요한 분야가 되고 있다. 많은 경우들에 있어서, 정보를 복제하거나 그렇지 않으면 처리하기 위한 권한은 복제 또는 다른 처리를 행하는 장치에 대한 정보의 물리적 근접도(physical proximity)와 관련된다. 예를 들어, 오디오 및 비디오 상연물들은 CD, DVD 등에 기록된다. 개인이 CD 또는 DVD를 구매하면, 개인은 통상적으로 사용을 용이하게 하기 위해 백업 목적으로 자료를 복제하거나 그렇지 않으면 처리하는 등의 권한을 갖는다. 자료를 구매한 개인이 자료를 사용하고자 할 때, 개인이 자료를 사용할 장치와 물리적으로 근접하게 CD나 DVD를 가질 것이라고 가정하는 것은 부당한 것이 아니다. 반면에, 개인이 자료의 적절한 소유권을 갖지 않을 경우에는, 개인이 자료를 물리적으로 소유하지 않을 것이므로, 자료는 자료를 사용하도록 된 장치로부터 물리적으로 멀리 떨어져 있을 것이다. 예를 들어, 인터넷 사이트 또는 다른 원격 위치로부터의 자료의 불법 복제 또는 렌더링은 자료를 복제하기 위해 사용되는 장치로부터 물리적으로 멀리 떨어져 있는 자료에 대응한다.

마찬가지로, 보안 시스템은 종종 지문, 동공 스캔 등과 같은 생체 파라미터들을 확인하는 것과 같이, 사용자와 연관된 정보를 확인하도록 구성된다. 간단한 예에서, 보안 시스템들은 종종 신분증 태그, 스마트카드 등에 포함된 정보와 같은 사용자가 제공한 정보를 처리하도록 구성된다. 일반적으로, 이러한 정보 또는 파라미터들은 인증된 사용자에 의해 쉽게 제공될 수 있는데, 이는 인증된 사용자가 정보를 포함하는 매체를 소유하기 때문이다. 한편, 인증된 사용자는 종종 확인 정보를 포함하는 원 매체를 가지지 않을 수 있지만, 원격 위치로부터 보안 정보 또는 파라미터들을 생성/재생성할 수 있는 시스템을 가질 수도 있다.

유사하게, 오피스 LAN과 같은 일부 시스템들 또는 연구소 내 컴퓨터들은 시스템을 액세스하는데 사용되는 단말기들에 대한 물리적 액세스를 제어함으로써 보안되도록 구성된다. 사용자가 시스템에 액세스하면, 사용자는 시스템에 대한 액세스 권한이 있는 것으로 가정한다. 종종 신원 확인과 같은 일부 보안 대책들이 채용되지만, 통상적으로는 물리적으로 격리되지 않은 시스템들에 대한 보안 대책으로서는 널리 채용되지 않는다.

본 발명의 목적은 사용자가 자료를 물리적으로 소유하고 있다는 증거가 없을 때 자료의 사용을 방지하는 시스템 또는 방법을 제공하는 것이다. 본 발명의 다른 목적은 자료가 자료를 사용하도록 된 장치와 멀리 떨어져 있다는 증거가 있을 때 자료의 사용을 방지하는 것이다. 본 발명의 또 다른 목적은 사용자가 시스템과 멀리 떨어져 있다는 증거가 있을 때 시스템들에 대한 액세스를 방지하는 것이다.

상기 및 다른 목적들은 정보 요청들에 대한 응답 시간을 평가하는 보안 시스템을 제공함으로써 달성된다. 일반적으로, 물리적 근접도는 시간적 근접도에 대응한다. 응답 시간이 요청과 응답 간에 상당한 또는 비정상적인 지연(lag)을 나타내면, 시스템은 상당한 또는 비정상적인 물리적 거리를 이동해야 하는 요청 및 응답에 의해 지연이 발생되었거나, 사용자가 물리적으로 소유한 기존의 응답으로 회답하는 것이 아니라, 요청이 응답을 생성하도록 처리되고 있는 것으로 인해 지연이 발생된 것으로 가정한다. 상당한 또는 비정상적인 지연이 검출되면, 시스템은 현재 사용자에 의한 보호 자료에 대한 다음 액세스를 제한하거나 및/또는 비정상적인 응답 지연을 보안 담당자에게 통지하도록 구성된다.

본 발명은 첨부 도면을 참조하여 예시적으로 더 상세히 설명된다.

도면 전체에 있어서, 동일한 참조부호들은 유사하거나 대응하는 특징들이나 기능들을 나타낸다.

도 1은 본 발명에 따른 예시적인 제어 액세스 시스템을 도시하는 도면.

참조 및 이해를 용이하게 하기 위해서, 본 발명은 본 명세서에서 복제-방지 방법과 관련하여 설명되며, 복제-방지 자료의 처리는, 자료 사용자가 복제-방지 자료를 물리적으로 소유하고 있다는 검증을 통해 제어된다.

도 1은 본 발명에 따른 예시적인 제어 액세스 시스템(100)을 도시한다. 제어 액세스 시스템(100)은 판독기와 같은 액세스 장치(132)를 통해 CD(130)와 같은 물리적 매체로부터 자료를 처리하도록 구성된다. 처리기(120)와 같은 저장 매체(125)는 CD(130)로부터의 하나 이상의 노래들을 메모리 스틱, 편집 CD 등에 기록하는 기록 장치일 수도 있다. 처리기(120)는 또한 스크린 상의 이미지들, 스피커(127)로부터의 사운드들 등과 같은 인간이 지각하기에 적절한 출력을 제공하도록 구성되는 재생 장치일 수도 있다. 본 명세서에 사용되는 단어 "렌더링(rendering)"은 처리기(120)에 의해 수신된 자료의 처리, 변환, 저장 등을 포함한다. 이러한 문맥 및 용어를 사용하여, 예시적인 처리기(120)는 액세스 장치(13)와의 인터페이스를 제공하는 렌더러(renderer)(122), 및 인증된 자료(130)의 존재를 검증하도록 구성되는 검증기(126)를 포함한다.

사용자가 매체(130)로부터 자료의 렌더링을 개시할 때, 처리기(120)는 매체(130)의 존재를 검증하도록 구성된다. 이러한 검증을 달성하는 한 방법은, 매체(130)를 이용할 수 있다는 증거를 제공하기 위해 액세스 장치(132)에 사용자가 렌더링하려고 하는 자료와는 다른 자료나 정보를 제공하도록 요청하는 것이다. 예를 들어, 사용자가 노래의 렌더링을 개시하면, 검증기(126)는 액세스 장치(132)로부터 다른 노래의 일부를 요청하도록 렌더러(122)에 지시할 수도 있다. 다른 노래의 요청된 부분을 제공하는데 액세스 장치를 이용할 수 있을 경우, 검증기(126)는 렌더링을 위해 매체(130)가 실제로 존재하지 않는다는 결론을 내릴 수 있고, 게이트(124)를 통해, 사용자가 렌더링하려고 한 자료의 후속 렌더링을 종료할 것이다.

예를 들어, 사용자는 인터넷(144) 상의 원격 사이트(140)로부터 상이한 복제-방지된 노래들의 선택을 불법으로 다운로드하여, 이 사용자가 선택한 노래들을 포함하는 편집 CD를 생성하려고 시도할 수도 있다. 통상적으로, 자료의 전체 앨범의 크기는 사용자가 선택한 노래들을 포함하고 있는 각 앨범의 다운로드를 방해한다. 검증기(126)가 실제 CD(130)에 대응하는 앨범과는 다른 노래의 일부분을 요청하면, 앨범에서 사용자가 선택한 노래만을 다운로드한 사용자가 다운로드된 자료의 다른 렌더링을 행하는 것을 방지할 것이다.

요청에 응답하여 제공된 자료가 실제 CD(130) 상에 포함된 자료에 대응함을 보장하기 위해 다양한 종류의 기술이 이용될 수 있다. 예를 들어, 국제 특허 출원 WO 01/59705(Attorney Docket US000040)호는, 복사-방지된 앨범과 같은 데이터 세트의 각각의 섹션이 자신과 보안유지되어 연관된 섹션 식별자에 의해 고유하게 식별되는 자기-참조형(self-referential) 데이터 세트를 공개하고 있다. 섹션들의 집합이 모두 동일한 데이터 세트로부터 나온 것임을 보장하기 위해, 데이터 세트의 식별자는 각각의 섹션과 함께 보안유지되어 인코딩된다. 전체형(exhaustive) 또는 랜덤형 샘플링을 이용하여, 선택된 섹션들의 섹션과 데이터 세트 식별자를 검사함으로써 절대적으로 또는 통계적 확실성과 더불어 전체 데이터 세트의 존재가 결정된다.

그러나, 상술한 바와 같은 검증기(126)에 의해 제공되는 검증은, 전체 앨범을 포함하는 원격지(140)로부터의 렌더러(122)의 요청에 응답함으로써, 좌절된다. 즉, 원격지(140)로부터 전체 앨범을 다운로딩하는 것이 아니라, 불법 사용자는 원하는 노래만을 다운받을 필요가 있고, 인터넷(144)을 통해 요청된 자료나 자료의 일부에 대한 액세스를 제공하는 CD 모방기(142)를 제공함으로써 실제 CD(130)의 존재를 모방한다. 검증기(126)가 노래의 일부, 또는 데이터 세트의 섹션을 요청할 때, CD 모방기(142)는 이 요청을 원격지(140)로부터의 다운로드 요청으로 변환하고, 마치 CD(130)로부터 제공되는 것처럼, 요청된 섹션이 렌더러(122)에 제공된다. 실용적인 목적을 위해, 검증기(126)가 앨범 내의 몇개 섹션만을 검사하도록 구성된다고 가정하면, CD 모방기(142)의 이용은 전체 앨범의 다운로드에 비해 데이터 전송량의 상당한 감소를 초래할 것이고, 따라서, 선택된 노래의 불법적인 다운로드에 대해 바람직할 것이다.

본 발명에 따르면, 프로세서(120)는, 검증기(126)로부터의 요청과 실제 CD(130) 및 원격 소스(140) 중 어느 하나에 해당하는 외부 소스로부터의 응답 사이의 시간을 측정하도록 구성된 타이머(128)를 포함하여, 응답 소스의 물리적 근접도에 대한 검증기(126)의 평가를 용이하게 한다. 양호한 실시예에서, 검증기(126)는 응답 시간을 필터링 또는 평균화하여, 권한 부여받은 소스(authorized source, 140)로부터의 응답 시간에서의 사소한 동요를 허용하면서도 여전히 물리적 원격 소스(140)로부터의 응답과는 구분할 수 있다. 예를 들어, 종래의 통계적 방법을 이용하여, 검증기(126)는, 로컬 소스(130)의 예상 응답 시간과의 상당한 차이가 검출될 때까지 알려지지 않은 소스로부터 섹션 요청을 계속할 것이다. 더 간단한 실시예에서, 만일 응답 시간이, M횟수 중에서 지연 문턱값인 N 이하라면, 검증기(126)는 소스가 로컬임이 틀림없다고 결론내리도록 구성된다. 시간적 근접도에 기초하여 물리적 근접도를 평가하기 위한 이들 및 다른 기술들은 당업자에게 명백할 것이다.

본 발명의 원리는 다른 응용들에게 적용될 수 있다. 유사한 응용으로, 예를 들어, 렌더러(122)와 액세스 장치(132)는, 예를 들어 미디어(130)와 같은 스마트 카드를 이용하여 보안키를 교환하도록 구성된 시도-응답(challenge-response) 장치일 것이다. 만일 무권한 사용자가, 상기 교환의 보안을 잠재적으로 극복할 수 있는 시스템에 액세스하여, 시도-응답을 처리함으로써 키를 교환하려고 시도한다면, 타이머(128)는 시도와 응답 간의 비정상적인 지연을 검출할 수 있을 것이고, 키-교환을 종료할 것이다. 이런 식으로, 만일 시스템이, 모든 액세스들이 공통의 물리적으로 보안된 영역 내에 있는 터미널들로부터 나온 것으로 기대한다면, 타이머(128)는, 시스템이 원격 액세스 '해커'나 물리적으로 보안된 영역외부로부터의 다른 시도된 액세스의 타겟이 되는 경우에, 비정상적인 지연을 검출할 수 있을 것이다.

양호하게는, 검증기(126)는 랜덤 소스 정보를 요청하도록 구성된다. CD 매체(130)의 예에서, 검증기(126)는, 소스가 로컬인지 원격인지에 대해 충분한 확신이 있을 때까지, 매체(130) 상의 무작위로 선택된 섹션에 대한 액세스를 요청하도록 구성된다. 다른 응용들에서, 검증기(126)는 비정상적으로 긴 응답 시간을 검출하기 위해 요청 장치(122)와 액세스 장치(132) 사이에 일상적으로 발생하는 트랜잭션들을 단순히 모니터링하고 시간측정을 하도록 구성된다. 다른 응용들에서, 검증기(126)는 단순히, 일상적인 데이터 액세스 요청의 발생 순서를 제어할 것이다. 예를 들어, 사용자 식별 장치로부터 정보를 판독할 때, 검증기(126)는, 사용자 성명을 처음으로, 그 다음에는 식별 번호, 그 다음에는 지문, 등등을 때때로 요청하도록 구성된다. 그 다음 세션에서, 검증기(126)는 처음에는 식별 번호, 그 다음에는 음성 지문 등을 요청할 것이고, 그리하여 미리-기록된 응답 시퀀스르 방지할 것이다.

유사하게, 원격지로부터의 데이터의 다운로딩을 방지하도록 의도된 응용에서, 도 1의 예에 있는 검증기(126)는, 요청된 데이터가 로컬인지 원격인지를 판별하기 위해 상이한 순서로 요청된 데이터의 일부만을 요청할 수도 있다. 비슷한 방식으로, 네트워크로부터의 정보의 불법 다운로딩을 방지하기 위해, 검증기와 타이머가 원격지에 놓여, 데이터 전송 시간을 측정하도록 구성된다. 예를 들어, 에러-검출 능력을 갖는 종래의 네트워크에서, 검증기는 의도적으로 에러있는 데이터 또는 에러있는 데이터 시퀀스를 전송하고 재전송 요청이 발생할 때까지의 지속 시간을 측정하도록 구성될 것이다. 만일 수신지가 로컬이라면, 재전송 요청은 수신지가 원격인 경우보다 상당히 더 빨리 발생할 것이다. 이 예에서, 에러있는 전송은 수신 시스템으로부터의 "응답"에 대한 "요청"을 구성한다. 이들 및 다른 방법들이 당업자에게는 명백할 것이다.

상기 설명들은 본 발명의 원리를 예시하기 위한 것이다. 따라서 당업자는 비록 본 명세서에서 명시적으로 설명되거나 도시되지는 않았지만 본 발명의 원리와 범위 내에 드는 다양한 장치들을 고안할 수 있을 것이라는 것을 이해할 것이다. 예를 들어, 비록 본 발명이 비정상적으로 빠른 응답을 검출하는데에도 적용가능하다. 예를 들어, 시스템이 카드상의 자기 스트립으로부터 정보를 판독하도록 구성되면, 카드 스위핑에 연관된 지연이 있을 것이다. 만일, 예를 들어, 자기 스트립 판독기를 바이패스하도록 구성된 컴퓨터로부터 정보가 이러한 지연없이 제공된다면, 보안 경고가 발생할 것이다. 이들 및 다른 시스템 구성 및 최적 특징들이 본 명세서를 통해 당업자에게는 명백할 것이며, 첨부된 특허청구범위에 포함된다.

본 발명은 수개의 별개의 구성요소들을 포함하는 하드웨어에 의해 또는 적절히 프로그래밍된 컴퓨터에 의해 구현될 수 있다.

Claims

보안 시스템에 있어서:

데이터 항목들에 대해 하나 이상의 요청들에 대한 하나 이상의 응답들에 기초하여 보호된 자료를 처리하기 위해 권한 부여(authorization)를 결정하도록 구성된 검증기; 및

상기 하나 이상의 요청들에 대한 상기 하나 이상의 응답들과 연관된 응답 시간들을 측정하도록 구성된 타이머를 포함하고, 상기 응답 시간들은 상기 하나 이상의 요청들의 제 1 소스와 상기 하나 이상의 응답들의 제 2 소스 간의 물리적 근접도(physical proximity)에 상관되고,

상기 검증기는 상기 응답 시간들의 평가에 적어도 부분적으로 기초하여 상기 권한 부여를 결정하도록 구성되고,

상기 보안 시스템은 상기 하나 이상의 요청들에 대해:

제 1 시점에서 상기 제 2 소스로부터 데이터 항목을 요청하는 단계;

제 2 시점에서 수신기에서 상기 데이터 항목을 수신하는 단계;

상기 제 2 시점과 상기 제 1 시점 간의 차이에 대응하는 응답 시간 측정치를 축적하는 단계; 및

상기 응답 시간 측정치에 기초하여 상기 응답 시간을 결정하는 단계를 수행하도록 더 구성된, 보안 시스템.
제 1 항에 있어서,

상기 검증기는:

상기 응답 시간들의 평균;

상기 응답 시간들과 하나 이상의 문턱값 시간들과의 비교; 및

상기 응답 시간들에 기초한 통계적 테스트 중 적어도 하나에 기초하여 상기 평가를 형성하도록 구성된, 보안 시스템.
제 1 항에 있어서,

상기 검증기는 하나 이상의 요청 항목들의 무작위 선택에 기초하여 상기 하나 이상의 요청들을 제공하도록 구성된, 보안 시스템.
삭제
제 1 항에 있어서,

상기 응답 시간들의 평가는 상기 하나 이상의 응답들이 네트워크 접속을 통해 통신되었는지의 여부에 대한 평가를 형성하는, 보안 시스템.
제 1 항에 있어서,

데이터 세트에 대응하는 복수의 데이터 항목들을 수신하고, 그로부터 선택 데이터 항목에 대응하는 렌더링을 생성하도록 구성된 렌더러(renderer)를 더 포함하고,

상기 검증기는 상기 렌더러에 동작 가능하게 결합되고, 상기 복수의 데이터 항목들 중 다른 데이터 항목들이 상기 렌더러에 이용 가능한지의 여부에 따라 상기 선택 데이터 항목에 대응하는 렌더링을 방지하도록 구성되며,

상기 타이머는 상기 검증기와 상기 렌더러에 동작 가능하게 결합되고, 상기 렌더러로부터의 상기 다른 데이터 항목들의 요청들에 대한 응답들과 연관된 응답 시간들을 측정하도록 구성된, 보안 시스템.
수신기와 복수의 데이터 항목들의 소스 간의 물리적 근접도에 기초하여 정보를 처리하도록 권한 부여를 결정하기 위한 방법에 있어서:

상기 복수의 데이터 항목들의 상기 소스의 응답 시간을 결정하는 단계로서, 상기 응답 시간은 상기 수신기와 상기 복수의 데이터 항목들의 소스 간의 물리적 근접도에 상관되는, 상기 응답 시간 결정 단계; 및

상기 응답 시간에 기초하여 상기 권한 부여를 결정하는 단계를 포함하고,

상기 응답 시간 결정 단계는,

상기 복수의 데이터 항목들의 서브세트의 데이터 항목 각각에 대하여:

제 1 시점에서, 상기 소스로부터 상기 데이터 항목을 요청하는 단계;

제 2 시점에서, 상기 데이터 항목을 수신기에서 수신하는 단계;

상기 제 2 시점과 상기 제 1 시점 간의 차이에 대응하는 응답 시간 측정치를 축적하는 단계; 및

상기 응답 시간 측정치에 기초하여 상기 응답 시간을 결정하는 단계를 포함하는, 권한 부여 결정 방법.
삭제
제 7 항에 있어서,

상기 응답 시간 측정치는:

각각의 제 1 및 제 2 시점들 간의 차이들의 평균;

각각의 차이와 하나 이상의 문턱값 시간과의 비교에 기초한 카운트; 및

상기 차이들에 기초한 통계적 파라미터 중 적어도 하나에 대응하는, 권한 부여 결정 방법.
제 7 항의 방법을 실행하도록 구성된 컴퓨터 프로그램을 저장하는 컴퓨터 판독 가능 저장 매체.