KR20040099288A - 통신 시스템에서 복제 클라이언트 id들의 검출 - Google Patents

통신 시스템에서 복제 클라이언트 id들의 검출 Download PDF

Info

Publication number
KR20040099288A
KR20040099288A KR10-2004-7013426A KR20047013426A KR20040099288A KR 20040099288 A KR20040099288 A KR 20040099288A KR 20047013426 A KR20047013426 A KR 20047013426A KR 20040099288 A KR20040099288 A KR 20040099288A
Authority
KR
South Korea
Prior art keywords
client
access
kdc
server
ticket
Prior art date
Application number
KR10-2004-7013426A
Other languages
English (en)
Inventor
알렌산더 메드빈크시
Original Assignee
제너럴 인스트루먼트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 제너럴 인스트루먼트 코포레이션 filed Critical 제너럴 인스트루먼트 코포레이션
Publication of KR20040099288A publication Critical patent/KR20040099288A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

통신 네트워크에서 클론들을 검출하는 시스템을 개시한다. 본 발명의 시스템은, 통신 네트워크를 통해 어플리케이션 서버들과 클라이언트들에 연결된 KDC(키 분배 센터)를 포함한다. 클라이언트가 어플리케이션 서버에 액세스하고자 하는 경우, 클라이언트는 KDC에 접속한다. KDC는 그 후, 클라이언트가 어플리케이션 서버에 액세스하도록 권한부여되는지 여부를 검증한다. 일양상에서, 상기 검증은 인증된 디피-헬만 키 교환을 수행함으로써 이루어진다. 클라이언트가 KDC에 의해 인증된 후, KDC는 세션 키를 포함하는 티켓을 발급한다. 일양상에서, 상기 티켓은 지정된 기간 동안 유효하다. 또다른 양상에서, KDC는 티켓이 발급되었던 경우를 간단히 기록한다. 티켓이 발급된 후, 세션 키는, 클라이언트의 액세스 요구를 인증하고 어플리케이션 서버에 액세스하기 위해 클라이언트에 의해 사용된다. 어플리케이션 서버에 액세스하고자 하는 클론은, 신규 랜덤 세션 키를 갖는 티켓을 획득하도록, 자신의 인증된 키 관리를 수행하는 KDC에 접속할 필요가 있다. 클라이언트의 ID를 복제한 클론은, 이제 어플리케이션 서버에 대한 액세스를 요구하도록 KDC에 접속한다. KDC는 그 후, 액세스 요구가 권한부여된 클라이언트에게 이미 발급된 티켓의 만료보다 이전의 것인지 여부를 확인한다. 만약 그렇다면, 액세스 요구는 가능한 부정사기 요구로 플래깅된다. 이런 식으로, 본 발명은, 권한부여되지 않은 클라이언트들에 대한 액세스를 방지하는 한편, 권한부여된 클라이언트들에 대한 액세스는 승인한다. 클로닝 검출은 KDC에서 발생할 수도 있다는 점에 유의하라. 또는, 그것은 액세스가 탐색되는 어플리케이션 서버에서 발생할 수도 있다.

Description

통신 시스템에서 복제 클라이언트 ID들의 검출{Detection of duplicate client identities in a communication system}
인터넷과 같은 통신 네트워크들을 통해 전송된 콘텐츠의 보안을 위한 종래의 디지털 저작권 관리 시스템들(digital rights management systems)은 일반적으로 널리 공지되어 있다. 상기 저작권 관리 시스템들은 종종 암호화/해독화 기술들을 사용한다. 암호화(encryption)는 예컨대, 소비자(consumer)에 의해 이해되기 어려운 암호문(ciphertext)과 같은 난해한 형태로 데이터를 변환하는 것이다. 해독화(decryption)는 이해하기 쉬운 원래의 형태로 암호화된 콘텐츠를 다시 변환한다.
올바른 해독화 키는 암호화된 정보 콘텐츠를 복구하기 위해 요구된다. 키는 암호화 및 해독화 알고리즘들 양자 모두를 위한 파라미터로 사용되는 이진 문자열(binary string)이다. 일반적으로, 보다 긴 키는, 키에 대한 액세스없이 콘텐츠를 복구하는 것을 보다 어렵게 한다. 일반적으로, 암호화/해독화 시스템들에 대한 두가지 유형의 키 체계들, 즉, (1) PKS(공개 키 시스템들(public key systems)), 또는 해독화나 서명(sign)을 위한 개인 키(private key)와 암호화나 검증(verify)을 위한 공개 키(public key)인 두개의 상이한 키들을 이용하는 비대칭 시스템들(asymmetric systems) 및 (2) 대칭적으로 공지된 비공개 키 시스템들(nonpublic key systems), 또는 암호화 키와 암호화 키로부터 계산될 수 있는 해독화 키가 동일한 비밀 키 시스템들(secret key systems)이 있다.
키 관리 시스템들에 대해, 예를 들면, 대칭 키들(symmetric keys)은 서버들에 대한 메시지들을 암호화하고 인증하기 위해 클라이언트들에게 분배된다. 각 대칭 키는 비밀이 유지되고 특정 클라이언트와 연관된다는 점에 유의하라. 여기에 첫번째 문제가 있다. 클로닝(cloning)은 KDC와의 최초 인증을 위해 사용되는 영구 대칭 키(permanent symmetric key) 또는 클라이언트의 개인 키를 손상시키고, 상기 키와 동종의 것 및 클라이언트의 ID는 클론(clone)에 의해 카피된다. 이런 식으로, 클론은 KDC에 대해 인증하고 권한부여된 클라이언트를 위한 콘텐츠, 자격들(entitlements), 및 서비스들을 수신하도록 그 후 사용되는 세션 키들(session keys)을 획득하도록 원래의 클라이언트 ID를 사용한다. 클로닝 현상들은, 권한부여되지 않은 호들에 영향받기 쉬운 VoIP(인터넷 프로토콜을 이용한 음성 서비스(voice over Inernet protocols) 네트워크들상에서 특히 잘 일어난다. 도용자들(pirates)은 전화통신(telephony) 서비스들에 대해 권한부여된 소비자들의 ID들을 클로닝할 수 있다. 상기 서비스들은 그 후 무료로 사용되거나 염가로 팔린다. 멀티미디어 콘텐츠가 권한부여없이 클론들에 의해 취득되는 멀티미디어 서비스들의 분배에 있어서도 유사한 문제점이 존재한다.
클로닝 문제들을 해결하는 한가지 종래 기술은, 클라이언트 개인 및 대칭 키들을 전용 하드웨어 장치들에 저장하는 것이다. 하드웨어 장치의 예들로는 스마트 카드들(smart card)과 ASIC들(주문형 반도체(application specific integrated circuit))이 있다. 하드웨어 장치들은 클로닝을 완전히 방지할 수 없는 경우까지도 예방할 수 있지만, 개발하는데 많은 비용이 든다. 비용은 중요치 않을지라도, 하드웨어 장치들의 개발에는 상당한 시간을 요구한다. 하드웨어 장치들의 또다른 단점은 쉽게 변경가능하지 않다는 점이다.
클로닝을 방지하는 또다른 종래 기술은, 부정사기 관리 시스템들(fraud management systems)을 사용하는 것이다. 상기 시스템들은 일반적으로, 멀티미디어 및 전화통신 네트워크들에서 사용된다. 멀티미디어 네트워크들에서의 문제점은, 사용자가 콘텐츠에 대해 가입하고 고의로 권한부여되지 않은 사용자들에게 키들을 분배할 수 있다는 점이다. 전화통신 네트워크들에서는, 사용자가 전화 통화들을 도용하기 위해서 잘못된 정보로 가입할 수 있다는 점이다.
양자의 경우들에서, 부정사기 관리 시스템들은 클라이언트의 사용 패턴들을 감시하고 기록한다. 예를 들어, 전화 통화가 신청된 곳으로부터 수마일 떨어진 곳에서 수분내에 또다른 통화가 신청된 경우, 전화 통화는 대개 권한부여되지 않은 것이다. 상기 패턴은 클라이언트 사용 시스템에 의해 검출되고, 전화 통화는 거부된다. 그러나, 클라이언트 사용 패턴들은 대체로 변하기 때문에, 부정사기 관리 시스템들은 다수의 상이한 클라이언트 사용 패턴들을 검출할 수 있어야 한다.
게다가, 아무리 불규칙적이어도 권한부여된 사용자들의 클라이언트 사용 패턴들일 수 있다. 부정사기 관리 시스템은 상기 클라이언트 패턴들을 권한부여되지 않은 것으로 오판할 수 있고, 따라서, 권한부여된 서비스들의 중단을 야기한다. 전술된 단점들이 극복되더라도, 다수의 부정사기 관리 시스템들은 의도된 특정 어플리케이션들(application)이외의 기능을 수행할 수 없다. 예를 들면, 무선 전화통신 부정사기 관리 시스템은 디지털 저작권 관리 시스템내에서 기능을 수행할 수 없다.
그러므로, 하나이상의 전술된 단점들을 극복할 필요성이 있고, 본 발명은 상기 필요성을 충족시킨다.
본 발명은 일반적으로, 데이터 통신 분야, 특히 복제 클라이언트 ID들(duplicate client identities)을 검출하는 저작권 관리에 관한 것이다.
도 1은 본 발명의 제1 실시예에 따라 복제 ID들이 검출되는 통신 네트워크(100)를 도시하는 도면.
도 2는 본 발명의 일실시예에 따라 클론들을 검출하는 KDC를 사용하는 방법의 흐름도.
발명의 요약
본 발명의 제1 양상에 따라, 통신 네트워크에서 클론들을 검출하는 시스템이 개시된다. 클론은, 권한부여된 클라이언트의 대칭 키 및 ID를 복제한 권한부여되지 않은 엔티티이다. 이런 식으로, 클론은 권한부여된 클라이언트를 위해 의도된 서비스들, 자격들(entitlements), 및 콘텐츠을 수신할 수 있다.
본 발명의 시스템은, 통신 네트워크를 통해 어플리케이션 서버들과 클라이언트들에 연결된 KDC(키 분배 센터)를 포함한다. 클라이언트가 어플리케이션 서버에 액세스하고자 하는 경우, 클라이언트는 KDC에 접속한다. KDC는 그 후, 클라이언트가 어플리케이션 서버에 액세스하도록 권한부여되는지 여부를 검증한다. 일양상에서, 상기 검증은 인증된 디피-헬만 키 교환(Diffie-Hellman key exchange)을 수행함으로써 이루어진다. 디피-헬만은 대칭 키들을 독립적으로 생성하는 대칭 키 알고리즘으로 주지되어 있다. 상기 알고리즘으로, 각 단부상의 각 부분은 메시지들을 암호화/인증하기 위해 동일한 대칭 키를 생성할 수 있다.
클라이언트가 KDC에 의해 인증된 후, KDC는 세션 키(session key)를 포함하는 티켓을 발급한다. 일양상에서, 상기 티켓은 지정된 기간 동안 유효하다. 또다른 양상에서, KDC는 티켓이 발급되었던 경우를 간단히 기록한다. 티켓이 발급된 후, 세션 키는, 클라이언트의 액세스 요구를 인증하고 어플리케이션 서버에 액세스하기 위해 클라이언트에 의해 사용된다. 일단 인증되면, 액세스가 클라이언트에 승인된다.
디피-헬만 키 교환은, 모든 엔티티들이 어플리케이션 서버들에 대한 액세스들 획득하도록 KDC에 접속하게 한다. 디피-헬만에 있어서, 각 부분은 신규 키 교환전에 신규 공개/개인 키 쌍을 랜덤하게 생성하기 때문이다. 그리고, 공개 디피-헬만 키들 이외의 것들은 통신 선들을 통해 교환되지 않는다. 각 부분은, 양쪽에서 동일한 대칭 키를 생성하도록 다른 부분의 공개 디피-헬만 키 및 자신의 개인 디피-헬만 키를 사용한다. 디피-헬만 키 쌍들은 동작중에 생성되기 때문에, 사전에 디피-헬만 키 쌍들의 카피들을 생성하고 클론들로 카피하는 것은 상대적으로 어렵다. 따라서, 대칭 세션 키들은, 선을 간단히 스누핑하는 클론에 의해 획득되기 어렵다. 이런 식으로, 어플리케이션 서버에 액세스하고자 하는 클론은, 신규 랜덤 세션 키를 갖는 티켓을 획득하도록, 자신의 인증된 키 관리를 수행하는 KDC에 접속할 필요가 있다.
클라이언트의 ID를 복제한 클론은, 이제 어플리케이션 서버에 대한 액세스를 요구하도록 KDC에 접속한다. KDC는 그 후, 액세스 요구가 권한부여된 클라이언트에게 이미 발급된 티켓의 만료보다 이전의 것인지 여부를 확인한다. 만약 그렇다면, 액세스 요구는 가능한 부정사기 요구로 플래깅(flag)된다. 티켓이 유효인 동안, 권한부여된 클라이언트는 티켓들을 계속해서 요구하지 않을 것이기 때문에, 액세스 요구는 클론으로부터의 것일 가능성이 있다. 상기 연속적인 요구들은, 그러나, 권한부여된 클라이언트가 티켓을 잃어버린 경우에 발생할 수도 있다.
대안적으로, 액세스 요구는 지정된 수의 요구들 후에 거부될 수 있다. 예를 들어, 지정된 수의 요구들은 6일 수도 있고, 티켓 유효 기간 동안에도, 6개 이후의 다른 요구들은 거부된다.
이런 식으로, 본 발명은, 권한부여되지 않은 클라이언트들에 대한 액세스를 방지하는 한편, 권한부여된 클라이언트들에 대한 액세스는 승인한다. 클로닝 검출은 KDC에서 발생할 수도 있다는 점에 유의하라. 또는, 그것은 액세스가 탐색되는 어플리케이션 서버에서 발생할 수도 있다.
또한, KDC는 티켓 승인 티켓(ticket granting ticket(TGT))을 사용하여 액세스하기 쉬운 종류의 어플리케이션 서버일 수도 있다.
본 발명의 또다른 양상에 따라, 통신 네트워크에서 클론들은 검출하는 방법이 학습된다. 상기 방법은 KDC에 액세스하기 위해 티켓 승인 티켓(TGT)을 제공하는 단계를 포함한다. TGT는 시간 기간 T 동안 유효인 세션 키를 갖는다.
상기 방법은 KDC에 액세스하기 위해 제1 요구를 수신하는 단계를 더 포함한다. 제1 요구는 예를 들어, 권한부여된 클라이언트로부터 수신될 수도 있다. 제1 요구는 TGT에 수반된다는 점에 유의하라.
또다른 단계는 KDC에 액세스하기 위해 제2 요구를 수신하는 것을 포함한다. 제2 요구는 예를 들면, 클론으로부터 수신될 수도 있다. 상기 클론은 일반적으로 클라이언트와 동일한 ID를 갖는다. 제2 요구가 시간 기간 T동안 수신된 경우, 제2 요구는 KDC에 대한 액세스를 방지하도록 플래깅되거나 거부된다.
바람직하게, 본 발명의 클론 검출 시스템은 유동적이고, 종래의 부정사기 관리 시스템들과 연관된 단점들 및 복잡성을 예방한다.
발명의 상세한 설명
도 1은 본 발명의 제1 실시예에 따라 복제 ID들이 검출되는 통신 네트워크(100)이다.
구성 요소들 중에서, 통신 네트워크(100)는, 권한부여된 클라이언트(116)를위해 의도된 콘텐츠를 생성하는 콘텐츠 제공기(102), 및 콘텐츠가 클라이언트에게(116) 스트리밍되도록 통하는 인터넷(116)을 포함한다. 통신 네트워크(100)는, 공급 서버(provisioning server)(104), 및 클라이언트(116)에게 TGT(티켓 승인 티켓(ticket granting ticket))를 발급하는 AS(인증 서버(authentication server))(110)와 어플리케이션 서버(application server)(108)와 같은 특정 서버들에 대한 액세스를 위해 클라이언트(116)에게 서버 티켓들을 제공하는 TG(티켓 승인(ticket granting)) 서버(112)를 포함하는 KDC(키 분배 센터(key distribution center)(106), 및 클라이언트(116)의 권한부여되지 않은 복제 ID인 클론(118)을 더 포함한다. 도 2에 관하여 더 기술되는 바와 같이 본 발명의 원리들과 권고들(precept)에 따라, 클론(118)이 필수 어플리케이션 서버들에 액세스하지 못하게 한다.
통신 네트워크(100)는 IP 전화통신 네트워크, 시청각 콘텐츠 전달 네트워크, 또는 클라이언트(116)가 가입자이고 상기 콘텐츠를 수신하도록 권한이 부여된 동종의 것일 수도 있다.
여기에 사용되는 바와 같이, KDC(106)는 클라이언트들을 인증하고, 클라이언트와 어플리케이션 서버간에 세션 키들을 분배하는 신뢰된 권한부여이다. 상기 세션 키들은 클라이언트와 어플리케이션 서버간에 보안 세션들을 확립한다. 어플리케이션 서버는, 미디어의 스트리밍, MP3 음악들의 다운로드들, VoIP 세션들을 위한 대역폭 권한부여 등과 같은 서비스들을 어플리케이션 서버의 클라이언트들에게 제공할 수도 있다. 상기 KDC는 IETE(internet engineering task force) 표준에 기초한 커베로스 프로토콜(kerberos protocol)에 기초할 수 있다. 또는, KDC는, 캘리포니아주 샌 디에고에 위치한 모토로라 인크.사에 의해 구현된 ESBroker와 같은 사유 프로토콜 등에 기초할 수도 있다.
커베로스 프로토콜은 암호화 및 콘텐츠에 액세스하는 클라이언트의 자격에 관한 인증 기능들을 제공한다. 커베로스 프로토콜은 클라이언트/서버 인증을 제공하는 분야에 잘 공지되어 있다. 커베로스를 사용함으로써, KDC(106)는 단일 사용자에게 네트워크상의 다중 컴퓨팅 시스템들(multiple computing system)에 대한 액세스를 제공할 수도 있다. 상기는 사용자에게 티켓을 발급함으로써 행해진다.
여기에 사용되는 바와 같이, 티켓은 KDC에 의해 클라이언트에게 제공되는 인증 토큰(token)이다. 정보 중에서, 티켓은 클라이언트의 이름, 특정 서버의 이름, 및 세션 키(대칭 암호화 키)를 포함한다. 클라이언트의 이름 및 세션 키는 비밀이 유지될 필요가 있고, 서비스 키라 불리는 또다른 키로 암호화된다. 서비스 키는, 티켓내에서 지명된 서버 및 KDC에게만 공지된 비밀 키이다. 클라이언트는 또한 상기 서비스 키를 소유하지 않기 때문에, 티켓을 해독하고 그것의 콘텐츠를 변경할 수 없다. 일반적으로, 세션 키를 티켓으로부터 추출할 수 없기 때문에, 클라이언트는 또한 세션 키를 알고 있을 필요가 있고, KDC는 동일한 세션 키의 별개의 카피를 상기 클라이언트에게 송신한다.
간단히 말해서, 사용시에, 클라이언트가 어플리케이션 서버(108)(또는 콘텐츠 제공기(102))에 액세스하기를 원하는 경우, 클라이언트는 KDC(106)와 접속한다. KDC(106)는 그 후 클라이언트(116)가 어플리케이션 서버(108)에 액세스하도록 권한부여되었는지 여부를 검증한다. 상기 검증은 인증된 디피-헬만 키 교환(Diffie-Hellman key exchange) 수행함으로써 행해진다. 디피-헬만은 대칭 키들을 협의하는 잘 알려진 공개 키 알고리즘이다. 상기 알고리즘으로, 각 단부상의 각 부분은 메시지들을 암호화/인증하는 동일한 대칭 키를 생성할 수 있다.
클라이언트(116)가 KDC(106)에 의해 인증된 후에, KDC는 세션 키를 포함하는 티켓을 발급한다. 일양상에서, 상기 티켓은 지정된 기간에 유효하다. 또다른 양상에서, 티켓이 발급됐던 경우 KDC(106)는 간단히 기록한다. 티켓이 발급된 후에, 클라이언트의 액세스 요구를 인증하고 어플리케이션 서버(108)에 액세스하기 위해, 세션 키가 클라이언트(116)에 의해 사용된다. 일단 인증되면, 액세스가 클라이언트(116)에게 승인된다.
디피-헬만 키 교환은, 모든 엔티티들이 어플리케이션 서버들 및 콘텐츠 제공기들에 대한 액세스를 획득하도록 KDC(106)와 접속하게 한다. 디피-헬만으로, 각 부분은 신규 키 교환 전에 신규 공개/개인 키 쌍을 임의로 생성하고, 오직 공개 키들만이 통신 선들을 통해 교환되기 때문이다. 각 부분은 양쪽에서 동일한 대칭 키를 생성하도록 자신의 개인 디피-헬만 키와 다른 부분의 공개 디피-헬만 키를 사용한다. 따라서, 대칭 세션 키들은, 선을 간단히 스누핑(snoop)하는 클론에 의해 복제될 수 없다. 이런 식으로, 어플리케이션 서버(108)에 액세스하고자 하는 클론은, 자신의 인증된 키 일치를 수행하고 신규 랜덤 세션 키를 갖는 티켓을 획득하도록 KDC(106)와 접속하는 것을 필요로 한다.
클라이언트(116)의 ID를 복제하는 클론(118)은 이제, 어플리케이션 서버(108)에 대한 액세스을 요구하도록 KDC(106)와 접속한다. KDC(106)는 그 후 액세스 요구가 권한부여된 클라이언트에게 사전에 발급된 티켓의 만료보다 이전의 것인지 여부를 확인한다. 만약 그렇다면, 액세스 요구는 가능한 부정사기(fraudulent) 요구로 플래깅(flag)된다. 권한부여된 클라이언트(116)는 그것의 티켓이 유효인 동안티켓들을 계속해서 요구하지 않기 때문에 클론(118)으로부터의 액세스 요구가 있을 수 있다.
대안적으로, 액세스 요구는 지정된 수의 요구들 후에 거부될 수도 있다. 예를 들어, 지정된 수의 요구들은 10일 수도 있고, 티켓 유효 기간 동안 그 후 다른 요구들은 거부된다. 이런 식으로, 본 발명은, 권한부여되지 않은 클라이언트들에 대한 액세스를 방지하는 반면 권한부여된 클라이언트들에 대한 액세스는 승인한다.
도 2는 본 발명의 실시예에 따라 클론(118)을 검출하는 방법(200)의 흐름도이다.
단계 202에서, 방법(200)은, 어플리케이션 서버(108)에 콘텐츠를 액세스하는 제1 요구를, 클라이언트(116)로부터 KDC(106)에 전송하는 것을 포함한다. 클라이언트(116), 어플리케이션 서버(108), 및 콘텐츠 제공기(102)는 KDC(106)에 사전등록(pre-registerd)되었다는 점이 추정된다. 콘텐츠에 액세스하는 제1 요구는 다수의 서브단계들을 포함한다. 명확하게, 클라이언트(116)가 인증 서버(110)에 메시지를 전송한다(도 1). 상기 메시지는 TG 서버(112)에 액세스하는 TGT(티켓 승인 티켓)를 요구한다. TGT 요구 메시지는 클라이언트 및 KDC의 ID를 포함하고, 클라이언트(116)에 의해 지원되는 대칭 암호화 알고리즘의 목록을 포함할 수도 있다.
단계 204에서, KDC(106)는 클라이언트(116)가 TGS 서버(112)에 액세스하도록 권한부여되는지를 검증한다. 일실시예에서, 상기 검증은 인증된 디피-헬만 키 교환을 수행함으로써 이루어진다. 상기는 TGT에 대한 세션 키를 생성하는 결과가 된다(단계 206, 이하).
세션 키는, 클라이언트 및 KDC(106)에 의해 생성된 공개/개인 키 쌍들에 기초한 디피-헬만 키 일치의 직접적인 결과이거나, 디피-헬만 키 일치의 결과로 차례로 암호화되는 임의로 생성된 또다른 키일 수 있다. 개인 값들은 와이어(wire)를 통해 교환되지 않기 때문에, 선상에서의 스누핑으로부터 세션 키를 결정하는 것은 계산적으로 실행불가능하다. 디피-헬만 키 사이즈가 충분히 큰 경우, 상기 실행불가능성이 보다 커진다. 디피-헬만을 채용함으로써, 세션 키는 통신선상에서 수동 스누퍼(passive snooper)에 의해 스누핑될 수 없기 때문에, 세션 키를 수신하고자 하는 모든 엔티티들은 KDC(106)와 통신해야 한다는 점이 보장된다. 본 발명의 의도 및 범위와 모순되지 않는 다른 알고리즘들이 채용될 수도 있다는 점을 당업자는 이해할 것이다.
또한, KDC(106)는 클라이언트(116)의 유효성에 대해 공급 서버(104)를 사용하여 확인할 수도 있다. 대안적으로, KDC(106)는 클라이언트(116)의 유효성을 결정하도록 KDC(106)내에 위치되는 소비자 데이터베이스(도시되지 않음)나 가입자에게 질의할 수도 있다.
단계 206에서, 방법(200)은, TG 서버(112)에 액세스하기 위해 클라이언트(116)에게 TGT를 발급하는 것을 포함한다. 일실시예에서, TGT는 사전정의된 시간기간 T동안 유효하다. 즉, TGT는 시작 시간과 종료 시간을 갖는다. 상기 정보는 KDC(106)에 의해 기록된다. 대안적으로, TGT가 발급되었던 경우, KDC(106)는 간단히 기록할 수도 있다. 이런 식으로, 클라이언트(116)와 동일한 식별 정보를 갖는 클라이언트들로부터의 차기 요구들이 TG 서버(112)에 의해 감시될 수도 있다.
단계 207에서, 클라이언트(116)는 TG 서버(112)에 액세스 요구 메시지를 송신한다. TGT에 의해 수반된 상기 메시지는, 어플리케이션 서버(108)에 액세스하는 서버 티켓을 요구한다. 차례로, TG 서버(112)는 TGT를 사용하여 액세스 요구 메시지를 인증한다. 적절한 인증시, 서버 티켓이 발급되고 클라이언트(116)에 송신된다.
일실시예에서, 서버 티켓(TGT가 아님)은 지정된 기간동안 유효하다. 이런 식으로, 클론들은 서버(110)에 의하지 않고 TGS 서버(112)에 의해 검출된다. 발급된 서버 티켓은 어플리케이션 서버(108)에 대한 액세스를 획득하기 위해 클라이언트(116)에 의해 사용된다.
클라이언트(116)의 ID가 복제된 클론(118)은, 어플리케이션 서버(108)에(TG 서버(112)를 통해) 액세스하고자 한다. 클론(118)은 클라이언트(116)와 동일한 식별 정보를 갖는다. 상기 정보는 예를 들면, 클라이언트의 하드웨어(예컨대, 이더넷) 주소일 수 있다. 또는, 그것은 다른 클라이언트 식별자들일 수도 있다.
클론(108)이 어플리케이션 서버(108)에 대한 임의의 클라이언트 탐색 액세스(client seeking access)일 수 있다는 점에 유의하라. 사실, 그것은 예를 들어, 시스템 글리치(glitch)동안 이전 티켓을 잃어버린 후에 신규 티켓을 탐색하는 클라리언트(116)일 수도 있다. 십중팔구, 그러나, 클론(118)은 클라이언트(116)와 동일한 식별 정보를 갖는 권한부여되지 않은 엔티티이다. 이전 티켓이 유효인 동안, 동일한 클라이언트가 동일한 어플리케이션 서버에 대한 티켓을 계속해서 요구하는 것을 일반적으로 기대하지 않을 것이다.
어플리케이션 서버(118)에 액세스하기 위해서, 클론(118)은 KDC(106)와 접속해야 한다. 상기 요구는 디피-헬만 키 교환 알고리즘을 사용하는 것에 대한 결과이다. 클라이언트의 ID가 클로닝되더라도, 디피-헬만 키 쌍들은 각각의 키 협의에 대해 임의로 생성되고, 따라서 사전에 클론들로 분배될 수 없기 때문에, 디피-헬만 키 교환은 세션 키들의 도용을 방지한다.
단계 208에서, 클론(118)은 TGT를 위해 인증 서버(110)로 액세스 요구 메시지를 송신한다. 인증 서버(110)는, 클론(114)과 동일한 식별 정보를 갖는 클라이언트(116)에게 티켓이 이미 발급되었다는 것을 깨닫는다. 여기에 본 발명의 한가지 이점이 있다.
단계 210에서, 인증 서버(110)는, 상기 액세스 요구가 시간 T동안에 수신되었는지 여부를 확인한다. 상기 시간 T는, 단계 207에서 이미 발급된 TGT의 유효 기간이라는 점에 유의하라.
TGT가 여전히 유효한 경우, 액세스 요구는 추가적인 조사중에 가능한 클론으로 플래깅된다. 플래깅은 클론(118)이 표시되는 것을 보장하고, 한편 TG 서버(112)에 대한 액세스 요구는 승인된다. 따라서, 그것은 계속된 액세스를 허용하고, 결과적으로 액세스 요구는 예를 들어 그것의 티켓을 잃어버린 권한부여된 엔티티로부터의 것이다.
대안적으로, 상기 액세스는 서버에 대한 액세스를 방지하도록 거부될 수 있다. 상기 거부는 지정된 수의 요구들 후에 발생할 수도 있다. 예를 들어, 액세스 요구는 6개의 요구들 후에 거부될 수 있다.
바람직하게, KDC(106)는, 특정 클라이언트가 티켓의 수명이 지시되었던 것보다 훨씬 빈번하게 동일 서버에 대해 티켓을 계속해서 요구하는 경우를 검출한다. 일실시예에서, 양호하게, TG 서버(112)에 대한 TGT가 클론(118)에 의해 요구되는 경우, 상기 검출은 인증 서버(110)에 의한 것이다(예컨대, 단계 204).
또한, 또다른 실시예에서, 검출은 어플리케이션 서버(108)에서 수행될 수도 있다. 어플리케이션 서버(108)가 클라이언트(116)로부터 티켓을 수신하는 경우, 어플리케이션 서버는 세션 키 및 그것의 유효 기간을 기록한다. 그 다음 어플리케이션 서버(108)가 상이한 세션 키를 갖지만 동일한 클라이언트로부터 티켓을 수신하는 경우, 어플리케이션 서버는 기록된 세션 키가 여전히 유효인지 여부를 검증한다. 만약 그렇다면, 요구하는 엔티티는 상기 KDC(106)와 유사한 방식으로 플래깅되거나 디스에이블된다. 상이한 키 세션 키들을 갖는 권한부여된 클라이언트로부터 비롯된 것으로 보이는 요구들은 클론들일 수도 있다는 점에 유의하라. 상기 클론들은 상이한 티켓들을 갖을 수도 있고, 여기서 각 클론은 어플리케이션 서버에 티켓들을 번갈아 송신한다. TG 서버(112)는 어플리케이션 서버의 한 유형이기 때문에, 어플리케이션 서버(108)에 대한 서버 티켓이 요구되는 경우, 어플리케이션 서버에 대해 기술된 동일한 검출은 또한, TG 서버(112)에서 수행될 수 있다(예컨대, 단계207)
또다른 실시예에서, 도 1에 있어서, TG 서버(112)와 인증 서버(110)가 단일 구성요소로 결합된다. 이런 식으로, 클라이언트들은 어플리케이션 서버(108)에 대한 액세스를 위해 오직 하나의 요구를 송신하는 것만이 필요하다. TGS 서버(112)에 대한 액세스를 위해 TGT를 획득하는 단계가 제거된다. 그러므로, 어플리케이션 서버(108)에 대한 액세스를 위한 요구가 수신될 때마다, 단일 구성요소 KDC에 의해 검출이 수행된다.
또다른 실시예에서, KDC(106)과 어플리케이션 서버(108)가 결합된다. 클라이언트는 KDC(106)로부터 다른 티켓들과 동일한 TGT를 요구할 수도 있다. TGT는 그 후 KDC 자신에 대한 액세스를 제공한다.
이런 식으로, 본 발명은 네트워크내에서 복제 ID들을 검출하는 시스템을 제공한다. 상기는 본 발명의 대표적인 특정 실시예들의 완전한 기술이지만, 부가적인 실시예들도 또한 가능하다. 예를 들어, 본 발명은 IKE(internet key exchange)와 같은, 다른 보안 프로토콜들에 적용가능하다. IKE는, 관련된 두 부분들이 인증된 디피-헬만 교환을 직접 수행하는 포인트-투-포인트 프로토콜(신뢰된 세번째 부분은 없음)이다.
상기 교환의 결과는 ISAKMP(internet security association and key management protocol) 또는 수명을 또한 갖는 IPSec 보안 연계(Security Association)일 것이다. IKE가 몇개의 지불 서비스를 제공하는 서버와 클라이언트간에 수행되는 경우, 연계가 만료되기 전에, 특정 클라이언트가 너무 자주 보안 연계들을 변경하는 것처럼 보일 때, 서버는 특정 패턴들을 검출할 수도 있다. 상기 패턴은 클라이언트 ID가 복제된 것을 나타낼 수도 있다. 따라서 상기는, 첨부된 청구항들 및 그것과 동등물의 범위에 의해 정의된 본 발명의 범위를 한정하는 것으로 여겨지지 않아야 한다.

Claims (26)

  1. 클라이언트의 클론들(clones)(권한부여되지 않은 복제 ID들(unauthorized duplicate identites)을 검출하는 방법으로서,
    클라이언트로부터 KDC에게 서버에 대한 액세스를 요구하는 제1 신호를 포워딩(forwarding)하는 단계;
    상기 클라이언트가 상기 서버에 액세스하도록 권한부여되는지를 검증하는 단계;
    상기 KDC로부터 상기 클라이언트에게, 상기 서버에 대한 액세스를 제공하고 시간 T 동안 유효한 티켓을 전송하는 단계;
    상기 클라이언트와 동일한 식별 정보를 갖는 엔티티(entity)로부터 상기 서버에 대한 액세스를 요구하는 제2 신호를 수신하는 단계; 및
    제2 요구가 상기 시간 T의 만료보다 이전에 수신된 경우, 상기 서버에 대한 액세스를 방지하기 위해서, 가능한 클론으로 상기 엔티티를 표시하거나 상기 제2 요구를 거부하는 단계를 포함하는, 클라이언트의 클론들을 검출하는 방법.
  2. 제 1 항에 있어서,
    상기 티켓내에 지정된 기간동안 유효한 세션 키를 제공하는 단계를 더 포함하는, 클라이언트의 클론들을 검출하는 방법.
  3. 제 2 항에 있어서,
    상기 지정된 기간은 상기 티켓이 유효한 상기 시간 T를 결정하는, 클라이언트의 클론들을 검출하는 방법.
  4. 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템으로서,
    KDC;
    상기 KDC에 전달할 수 있게 연결된 어플리케이션 서버(application server); 및
    상기 어플리케이션 서버에 액세스하는 제1 요구를 제공하는 클라이언트를 포함하고,
    상기 제1 요구에 응답하여, 상기 KDC는 상기 어플리케이션 서버에 액세스하기 위해 시간 기간 T 동안 유효한 제1 티켓을 포워딩하고,
    상기 KDC는, 상기 어플리케이션 서버에 액세스하고 상기 클라이언트와 동일한 식별 정보를 갖는 엔티티로부터 수신되는 제2 요구를 수신하며,
    상기 제2 요구가 시간 T동안 수신되는 경우, 상기 KDC는 상기 엔티티가 상기 어플리케이션 서버에 액세스하는 것을 방지하도록 상기 제2 요구를 거부하는, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  5. 제 4 항에 있어서,
    상기 엔티티는 클론인, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  6. 제 5 항에 있어서,
    상기 식별 정보는 상기 클론에 의해 카피(copy)된 클라이언트 식별자인, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  7. 제 4 항에 있어서,
    상기 티켓은 암호화된 세션 키(session key)를 더 포함하는, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  8. 제 7 항에 있어서,
    상기 클라이언트는 상기 어플리케이션 서버에 액세스하기 위해 상기 세션 키의 카피를 유도하는, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  9. 제 8 항에 있어서,
    상기 세션 키는 키 일치 알고리즘(key agreement algorithm)을 사용하여 유도되는, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  10. 제 9 항에 있어서,
    상기 키 일치 알고리즘은 디피-헬만 알고리즘(Diffie-Hellman algorithm)인, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  11. 제 1 항에 있어서,
    상기 KDC에 접속하도록 요구되는 상기 서버에 액세스하고자 하는 모든 클라이언트들과 같은 상기 클라이언트와 상기 KDC간에 통신을 인증(authenticate)하는 키 알고리즘을 사용하는 단계를 더 포함하는, 클라이언트의 클론들을 검출하는 방법.
  12. 제 4 항에 있어서,
    상기 KDC와 통신하도록 상기 서버에 액세스하고자 하는 모든 엔티티들을 요구하는 단계를 더 포함하는, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  13. 통신 네트워크내에서 권한부여된 컴퓨팅 장치(computing device)의 클론들(복제된 ID들)을 검출하는 시스템으로서,
    제1 컴퓨팅 장치;
    상기 제1 컴퓨팅 장치에 액세스하도록 권한부여된 제2 컴퓨팅 장치; 및
    상기 제2 컴퓨팅 장치에 제공하는 키 관리 수단, 상기 제1 컴퓨팅 장치에 액세스하고 시간 T 이후에 유효하지 않은 세션 키를 포함하고,
    상기 키 관리 수단은, 상기 제1 컴퓨팅 장치에 액세스하도록 상기 제2 컴퓨팅 장치와 동일한 식별 정보를 갖는 엔티티로부터 하나이상의 요구들을 수신하고,
    상기 키 관리 수단은, 상기 제1 컴퓨팅 장치에 액세스하도록 상기 엔티티를 허가하고, 기간 T동안 수신된 제공된 액세스 요구들의 수는 M개 또는 그 이하의 요구들인, 통신 네트워크에서 권한부여된 컴퓨팅 장치의 클론들을 검출하는 시스템.
  14. 제 13 항에 있어서,
    상기 키 관리 수단은 세션 키들을 분배하도록 디피-헬만 키 일치 알고리즘을 이용하는, 통신 네트워크에서 권한부여된 컴퓨팅 장치의 클론들을 검출하는 시스템.
  15. 제 13 항에 있어서,
    M개 이상의 요구들이 상기 엔티티로부터 수신된 경우, 상기 키 관리 수단은 상기 엔티티를 플래깅(flag)하는, 통신 네트워크에서 권한부여된 컴퓨팅 장치의 클론들을 검출하는 시스템.
  16. 제 13 항에 있어서,
    상기 식별 정보는 상기 제2 컴퓨팅 장치에 대한 식별자인, 통신 네트워크에서 권한부여된 컴퓨팅 장치의 클론들을 검출하는 시스템.
  17. 제 13 항에 있어서,
    M개 이상의 요구들이 수신되는 경우, 상기 키 관리 수단은 상기 제1 컴퓨팅 장치에 대한 액세스를 거부하는, 통신 네트워크에서 권한부여된 컴퓨팅 장치의 클론들을 검출하는 시스템.
  18. 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템으로서,
    KDC;
    상기 KDC에 전달할 수 있게 연결된 서버; 및
    상기 KDC로부터, 상기 서버에 액세스하고 시간 기간 T동안 유효한 티켓을 수신하는 클라이언트를 포함하고,
    상기 서버는, 상기 서버에 액세스하고 상기 티켓에 수반되는 제1 요구를 상기 클라이언트로부터 수신하고,
    상기 서버는 티켓이 유효한 상기 시간 기간 T를 기록하며,
    상기 서버는, 상기 서버에 액세스하는 제2 요구를 상기 클라이언트와 동일한 식별 정보를 갖는 엔티티로부터 수신하고,
    상기 제2 요구가 상기 시간 기간 T 동안 수신되는 경우, 상기 서버는, 상기 서버에 대한 액세스를 방지하도록 상기 제2 요구를 플래깅하거나 거부하는, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  19. 제 18 항에 있어서,
    상기 KDC는 상기 티켓내의 세션 키를 암호화하고,
    상기 세션 키를 액세스할 수 있는 상기 클라이언트이외의 엔티티가 없는 경우, 상기 클라이언트는 상기 세션 키의 카피를 추출하는 것을 더 포함하는, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  20. 제 18 항에 있어서,
    상기 시스템에 의해 필요로 하는, 상기 KDC와 통신하도록 상기 서버에 액세스하고자 하는 모든 클라이언트들을 더 포함하는, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  21. 제 18 항에 있어서,
    티켓 승인 서버(ticket granting server)는 상기 서버이고, 상기 티켓은 티켓 승인 티켓(ticket granting ticket)인, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
  22. 통신 네트워크내에서 클론들을 검출하는 방법으로서,
    권한부여된 클라이언트에게 KDC에 액세스하고 시간 기간 T동안 유효한 세션 키를 갖는 티켓을 제공하는 단계;
    상기 KDC에 액세스하기 위해 상기 권한부여된 클라이언트와 동일한 식별 정보를 갖는 엔티티로부터 수신되는 요구를 수신하는 단계; 및
    상기 요구가 시간 T 동안 수신되는 경우, 가능한 클론으로 상기 엔티티를 플래깅하거나 상기 KDC에 액세스하는 상기 요구를 거부하는 단계를 포함하는, 통신 네트워크내에서 클론들을 검출하는 방법.
  23. 제 22 항에 있어서,
    상기 티켓은 TGT(티켓 승인 티켓)인, 통신 네트워크내에서 클론들을 검출하는 방법.
  24. 제 1 항에 있어서,
    상기 KDC는, 상기 서버에 대한 액세스를 방지하기 위해 가능한 클론으로 상기 엔티티를 표시하거나 상기 제2 요구를 거부하는, 클라이언트의 클론들을 검출하는 방법.
  25. 제 1 항에 있어서,
    상기 서버는, 상기 서버에 대한 액세스를 방기하기 위해 가능한 클론으로 상기 엔티티를 표시하거나 상기 제2 요구를 거부하는, 클라이언트의 클론들을 검출하는 방법.
  26. 제 18 항에 있어서,
    상기 KDC는 상기 서버인, 통신 네트워크내에서 클라이언트의 클론들을 검출하는 시스템.
KR10-2004-7013426A 2002-02-28 2003-02-25 통신 시스템에서 복제 클라이언트 id들의 검출 KR20040099288A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/086,302 2002-02-28
US10/086,302 US20030163693A1 (en) 2002-02-28 2002-02-28 Detection of duplicate client identities in a communication system
PCT/US2003/005812 WO2003075539A1 (en) 2002-02-28 2003-02-25 Detection of duplicate client identities in a communication system

Publications (1)

Publication Number Publication Date
KR20040099288A true KR20040099288A (ko) 2004-11-26

Family

ID=27753818

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2004-7013426A KR20040099288A (ko) 2002-02-28 2003-02-25 통신 시스템에서 복제 클라이언트 id들의 검출

Country Status (8)

Country Link
US (1) US20030163693A1 (ko)
EP (1) EP1481524A1 (ko)
JP (1) JP2005519533A (ko)
KR (1) KR20040099288A (ko)
AU (1) AU2003213295A1 (ko)
CA (1) CA2476542A1 (ko)
MX (1) MXPA04008348A (ko)
WO (1) WO2003075539A1 (ko)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2370471A1 (en) * 1999-04-09 2000-10-19 General Instrument Corporation Built-in manufacturer's certificates for a cable telephony adapter to provide device and service certification
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7596692B2 (en) * 2002-06-05 2009-09-29 Microsoft Corporation Cryptographic audit
US7565537B2 (en) * 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
SE0202451D0 (sv) * 2002-08-15 2002-08-15 Ericsson Telefon Ab L M Flexible Sim-Based DRM agent and architecture
JP4425859B2 (ja) * 2003-07-11 2010-03-03 日本電信電話株式会社 アドレスに基づく認証システム、その装置およびプログラム
JP4617763B2 (ja) * 2003-09-03 2011-01-26 ソニー株式会社 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US7930412B2 (en) * 2003-09-30 2011-04-19 Bce Inc. System and method for secure access
US20050125357A1 (en) * 2003-12-09 2005-06-09 Saadat Abbas S. Secure integrated media center
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US7437551B2 (en) * 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
JP4748774B2 (ja) * 2004-06-02 2011-08-17 キヤノン株式会社 暗号化通信方式及びシステム
US7864681B2 (en) 2004-07-15 2011-01-04 Broadcom Corp. Method and system for a gigabit ethernet IP telephone chip with 802.1p and 802.1Q quality of service (QoS) functionalities
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
JP4243862B2 (ja) * 2004-10-26 2009-03-25 ソニー株式会社 コンテンツ利用装置およびコンテンツ利用方法
US20060107323A1 (en) * 2004-11-16 2006-05-18 Mclean Ivan H System and method for using a dynamic credential to identify a cloned device
US20070050294A1 (en) * 2004-12-09 2007-03-01 Encentrus Systems Inc. System and method for preventing disk cloning in set-top boxes
WO2006069428A1 (en) * 2004-12-30 2006-07-06 Bce Inc. System and method for secure access
JP4595555B2 (ja) * 2005-01-20 2010-12-08 ソニー株式会社 コンテンツ再生装置およびコンテンツ再生方法
JP4247626B2 (ja) * 2005-01-20 2009-04-02 ソニー株式会社 再生装置および再生方法
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
JP4741267B2 (ja) * 2005-03-28 2011-08-03 ソニー株式会社 コンテンツ推薦システム、通信端末およびコンテンツ推薦方法
JP2007011928A (ja) * 2005-07-04 2007-01-18 Sony Corp コンテンツ提供システム、コンテンツ提供装置、コンテンツ配信サーバ、コンテンツ受信端末およびコンテンツ提供方法
JP5133508B2 (ja) 2005-07-21 2013-01-30 ソニー株式会社 コンテンツ提供システム、コンテンツ提供装置、コンテンツ配信サーバ、コンテンツ受信端末およびコンテンツ提供方法
JP4403415B2 (ja) * 2005-09-20 2010-01-27 ソニー株式会社 コンテンツ再生方法およびコンテンツ再生装置
EP1977333B1 (en) * 2006-01-20 2016-08-31 Verimatrix, Inc. Network security system and method
JP4811046B2 (ja) * 2006-02-17 2011-11-09 ソニー株式会社 コンテンツの再生装置、オーディオ再生機およびコンテンツの再生方法
US8972300B2 (en) * 2006-04-27 2015-03-03 Panasonic Corporation Content distribution system
US8495380B2 (en) 2006-06-06 2013-07-23 Red Hat, Inc. Methods and systems for server-side key generation
JP4983165B2 (ja) * 2006-09-05 2012-07-25 ソニー株式会社 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US8332922B2 (en) 2007-08-31 2012-12-11 Microsoft Corporation Transferable restricted security tokens
US8490155B2 (en) * 2007-12-17 2013-07-16 Electronics And Telecommunications Research Institute Method and apparatus for detecting downloadable conditional access system host with duplicated secure micro
JP6067947B1 (ja) 2013-12-31 2017-01-25 グーグル インコーポレイテッド コンピューティングデバイスに対するアクセス制御を行うための方法、システム、および媒体
US10671980B2 (en) 2014-10-20 2020-06-02 Mastercard International Incorporated Systems and methods for detecting potentially compromised payment cards
EP3091769A1 (en) * 2015-05-07 2016-11-09 Gemalto Sa Method of managing access to a service
US10652365B2 (en) * 2016-01-06 2020-05-12 Adobe Inc. Robust computing device identification framework
CN108270717B (zh) * 2016-12-30 2021-06-08 杭州华为企业通信技术有限公司 VoIP通信方法、设备及通信系统
US11381665B2 (en) 2019-02-18 2022-07-05 International Business Machines Corporation Tracking client sessions in publish and subscribe systems using a shared repository
US11526499B2 (en) 2019-02-18 2022-12-13 International Business Machines Corporation Adaptively updating databases of publish and subscribe systems using optimistic updates
US11270531B2 (en) 2019-06-28 2022-03-08 GM Cruise Holdings, LLC Autonomous vehicle data management platform

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5555192A (en) * 1993-02-26 1996-09-10 Motorola, Inc. Detection of duplicate identification codes in communication units
US5737419A (en) * 1994-11-09 1998-04-07 Bell Atlantic Network Services, Inc. Computer system for securing communications using split private key asymmetric cryptography
US5734977A (en) * 1994-11-10 1998-03-31 Telefonaktiebolaget Lm Ericsson Fraud detection in radio communications network
US6069877A (en) * 1996-10-18 2000-05-30 Telxon Corporation Duplicate device detection system
US5784463A (en) * 1996-12-04 1998-07-21 V-One Corporation Token distribution, registration, and dynamic configuration of user entitlement for an application level security system and method
AU2452699A (en) * 1998-01-09 1999-07-26 Cybersafe Corporation Client side public key authentication method and apparatus with short-lived certificates
US6892308B1 (en) * 1999-04-09 2005-05-10 General Instrument Corporation Internet protocol telephony security architecture
US7451312B2 (en) * 2000-03-07 2008-11-11 General Instrument Corporation Authenticated dynamic address assignment
CA2410431A1 (en) * 2000-05-24 2001-11-29 Gavin Walter Ehlers Authentication system and method
US7305478B2 (en) * 2000-06-08 2007-12-04 Symbol Technologies, Inc. Bar code symbol ticketing for authorizing access in a wireless local area communications network
US20020150253A1 (en) * 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages

Also Published As

Publication number Publication date
CA2476542A1 (en) 2003-09-12
AU2003213295A1 (en) 2003-09-16
EP1481524A1 (en) 2004-12-01
JP2005519533A (ja) 2005-06-30
MXPA04008348A (es) 2004-11-26
WO2003075539A1 (en) 2003-09-12
US20030163693A1 (en) 2003-08-28

Similar Documents

Publication Publication Date Title
KR20040099288A (ko) 통신 시스템에서 복제 클라이언트 id들의 검출
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
CA2475216C (en) Method and system for providing third party authentification of authorization
US7610617B2 (en) Authentication system for networked computer applications
US7231663B2 (en) System and method for providing key management protocol with client verification of authorization
CN104798083B (zh) 用于验证访问请求的方法和系统
US7421083B2 (en) System for seamlessly updating service keys with automatic recovery
US20050204038A1 (en) Method and system for distributing data within a network
US20030079124A1 (en) Secure method for getting on-line status, authentication, verification, authorization, communication and transaction services for web-enabled hardware and software, based on uniform telephone address
US20110289314A1 (en) Proxy authentication network
US20200412554A1 (en) Id as service based on blockchain
US8234497B2 (en) Method and apparatus for providing secure linking to a user identity in a digital rights management system
Koster et al. Identity-based DRM: Personal entertainment domain
KR20040014400A (ko) 인터넷 프로토콜 전화 보안 체계
KR20240075095A (ko) 토큰 프로세스 기반 블록체인을 이용한 제로 트러스트 네트워크의 인증 시스템 및 인증 방법

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20110117

Effective date: 20120223

J2X1 Appeal (before the patent court)

Free format text: APPEAL AGAINST DECISION TO DECLINE REFUSAL