KR20150146384A - 유출 방지용 음성 및 비디오 워터마크 - Google Patents

유출 방지용 음성 및 비디오 워터마크 Download PDF

Info

Publication number
KR20150146384A
KR20150146384A KR1020150045060A KR20150045060A KR20150146384A KR 20150146384 A KR20150146384 A KR 20150146384A KR 1020150045060 A KR1020150045060 A KR 1020150045060A KR 20150045060 A KR20150045060 A KR 20150045060A KR 20150146384 A KR20150146384 A KR 20150146384A
Authority
KR
South Korea
Prior art keywords
communication session
watermark
packet
communication
time
Prior art date
Application number
KR1020150045060A
Other languages
English (en)
Other versions
KR101874155B1 (ko
Inventor
길맨 알 스티븐스
찬드라세카르 맨체넬라
드라간 그레보비치
Original Assignee
아바야 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아바야 인코포레이티드 filed Critical 아바야 인코포레이티드
Publication of KR20150146384A publication Critical patent/KR20150146384A/ko
Application granted granted Critical
Publication of KR101874155B1 publication Critical patent/KR101874155B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/436Arrangements for screening incoming calls, i.e. evaluating the characteristics of a call before deciding whether to answer it
    • H04M3/4365Arrangements for screening incoming calls, i.e. evaluating the characteristics of a call before deciding whether to answer it based on information specified by the calling party, e.g. priority or subject
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/835Generation of protective data, e.g. certificates
    • H04N21/8358Generation of protective data, e.g. certificates involving watermark
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2203/00Aspects of automatic or semi-automatic exchanges
    • H04M2203/60Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
    • H04M2203/6027Fraud preventions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/56Arrangements for connecting several subscribers to a common circuit, i.e. affording conference facilities
    • H04M3/568Arrangements for connecting several subscribers to a common circuit, i.e. affording conference facilities audio processing specific to telephonic conferencing, e.g. spatial distribution, mixing of participants

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

합법적인 음성 또는 비디오 통신 애플리케이션은 워터마크를 생성하도록 통신 세션의 데이터를 수정한다. 워터마크는, 바로 관측되진 않지만 나중에 검증될 수 있는 통신 세션의 일부인 한 조각의 정보이다. 워터마크의 목적은, 통신 세션이 합법적인 통신 세션인지를 그리고 보안 침입을 제기하지 않는지를 검증하는 것이다. 비디오 또는 오디오 통신 세션은 워터마크에 대해 모니터링된다. 통신 세션이 워터마크를 포함한다고 결정하는 것에 응답하여, 통신 세션이 계속되도록 허용된다. 통신 세션이 워터마크를 포함하지 않는다고 결정하는 것에 응답하여, 통신 세션은 잠재적 보안 침입으로서 식별된다. 통신 세션이 잠재적 보안 침입으로서 식별되면, 통신 세션은 드랍될 수 있고 유저는 잠재적 보안 침입을 통지받을 수 있다.

Description

유출 방지용 음성 및 비디오 워터마크{VOICE AND VIDEO WATERMARK FOR EXFILTRATION PREVENTION}
본원에서 개시되는 시스템 및 방법은 컴퓨터 보안에 관한 것으로 특히 보안 정보(secure information)의 보호에 관한 것이다.
인터넷과 같은 비보안 네트워크에 액세스할 수 있는 컴퓨터 네트워크의 확산과 함께, 보안 침입 및 보안 정보의 손실이 보편화되고 있다. 신용카드 정보, 의료 기록, 1급 비밀의 군사 정보, 독점 기업 정보(proprietary corporate information) 등과 같은 정보를 획득하기 위해 회사/정부 사이트가 해킹되는 많은 사례가 존재한다. 이들 타입의 보안 침입을 방지하기 위해, 많은 회사/정부는 데이터 보안과 관련된 프로토콜에 초점을 맞추는 것에 의해 보안 침입 보호에 집중하고 있다. 예를 들면, 방화벽은 정의된 포트를 사용하는 데이터 액세스만을 허용하도록(예를 들면, 데이터 액세스에 대해 HTTP 포트 80만을 허용함) 관리될 수 있다. 시그널링 암호화(TLS) 및 미디어 암호화(SRTP)와 같은 다른 기술이 또한 사용될 수 있다. 이들 기술은, 데이터 전송의 트랜잭션이 합법적이고 인가된 것으로 기본적으로 가정한다.
결과적으로, 해커는 회사/정부 보안을 공격하기 위한 상이한 방식을 창조적으로 궁리하고 있다. 예를 들면, 보안 정보의 업로드를 음성 또는 비디오 통화로 가장하는 것에 의해 컴퓨터로부터 보안 정보를 업로드하도록 사용될 수 있는 멀웨어(malware)를 설계하였다. 음성 또는 비디오 통화가 장기간 지속될 수 있기 때문에, 합법적인 음성 또는 비디오 통화를 멀웨어에 의해 생성된 것과 구별하기 어려운 경우가 많다. 이 기술은 종종 "유출(exfiltration)"로 칭해지는데, 그 이유는 기업 또는 정보 엔티티가 그것을 알지 못하게 합법적인 사용 프로토콜 및 포트를 통해 기업 또는 정보 엔티티 외부로 정보를 빼내는 능력 때문이다.
종래 기술의 이들 및 다른 문제점과 단점을 해결하기 위한 시스템 및 방법이 제공된다. 합법적인 음성 또는 비디오 통신 애플리케이션은 워터마크를 생성하도록 통신 세션의 데이터를 수정한다. 워터마크는, 바로 관측되진 않지만 통신 세션에서 떨어져서는(예를 들면, 통신 세션 동안 그러나 통신 세션 동안 워터마크가 송신된 이후) 검증될 수 있는 통신 세션의 일부인 한 조각의 정보이다. 워터마크의 목적은, 통신 세션이 합법적인 통신 세션인지를 그리고 보안 침입을 제기하지 않는지를 검증하는 것이다. 비디오 또는 오디오 통신 세션은 워터마크에 대해 모니터링된다. 음성 또는 비디오 통신 세션이 워터마크를 포함한다고 결정하는 것에 응답하여, 음성 또는 비디오 통신 세션은 계속되도록 허용된다. 음성 또는 비디오 통신 세션이 워터마크를 포함하지 않는다고 결정하는 것에 응답하여, 음성 또는 비디오 통신 세션은 잠재적인 보안 침입으로서 식별된다. 음성 또는 비디오 통신 세션이 잠재적인 보안 침입으로서 식별되면, 음성 또는 비디오 통신 세션은 드랍될 수 있고 유저는 잠재적인 보안 침입을 통지받을 수 있다.
도 1은 유출 방지를 위한 제 1 예시적인 시스템의 블록도이다.
도 2은 유출 방지를 위한 제 2 예시적인 시스템의 블록도이다.
도 3은 유출 방지를 위한 프로세스의 흐름도이다.
도 4는 잠재적인 보안 위협에 대한 상이한 옵션을 핸들링하기 위한 프로세스의 흐름도이다.
도 1은 유출 방지를 위한 제 1 예시적인 시스템(100)의 블록도이다. 제 1 예시적인 시스템(100)은 통신 디바이스(101A-101N), 네트워크(110), 및 통신 시스템(120)을 포함한다.
통신 디바이스(101A-101N)는 음성 및/또는 비디오 통신을 사용하여 네트워크(110) 상에서 통신할 수 있는 임의의 디바이스, 예컨대 퍼스널 컴퓨터(PC), 전화기, 비디오 시스템, 셀룰러폰, 개인 휴대형 단말(Personal Digital Assistant; PDA), 태블릿 디바이스, 노트북 디바이스, 오디오 서버, 비디오 서버, 무선 디바이스, 회의 시스템(conferencing system) 등일 수 있거나 또는 이들을 포함할 수도 있다. 또한, 통신 디바이스(101A-101N)는 통신 시스템(120)에 직접적으로 연결될 수도 있다.
통신 디바이스(101A)는 보안 모듈(102A), 워터마크 검출기(103A), 및 통신 모듈(104A)을 더 포함하여 도시된다. 보안 모듈(102A)은 워터마크를 사용하여 음성 또는 비디오 통신 세션의 보안을 관리할 수 있는 임의의 소프트웨어/하드웨어일 수 있거나 또는 그 임의의 소프트웨어/하드웨어를 포함할 수도 있다. 명확화를 위해 도시되진 않았지만, 다른 통신 디바이스(101B-101N)의 각각도, 워터마크를 사용하여 통신 세션의 보안을 관리하는 데 사용되는 보안 모듈(102)(각각 102B와 102N으로 칭함)을 또한 포함할 수도 있다.
워터마크 검출기(103A)는 음성 또는 비디오 통신 세션 내의 워터마크를 검출할 수 있는 임의의 하드웨어/소프트웨어일 수 있거나 또는 그 하드웨어/소프트웨어를 포함할 수도 있다. 명확화를 위해 도시되진 않았지만, 다른 통신 디바이스(101B-101N)의 각각도 워터마크 검출기(103)(각각 103B와 103N으로 칭함)를 또한 포함할 수도 있다.
통신 모듈(104A)은 통신 세션을 확립하여 유지하기 위해 사용될 수 있는 임의의 하드웨어/소프트웨어일 수 있거나 또는 그 임의의 하드웨어/소프트웨어를 포함할 수도 있다. 예를 들면, 통신 모듈(104A)은 음성/비디오 통신을 위한 소프트 클라이언트(soft client), 전화기의 통신 모듈, 비디오폰의 통신 모듈, 비디오 서버의 통신 모듈, 음성/비디오 회의 시스템의 통신 모듈 등일 수도 있다. 명확화를 위해 도시되진 않았지만, 다른 통신 디바이스(101B-101N)의 각각도 통신 모듈(104)(각각 104B와 104N으로 칭함)을 또한 포함할 수도 있다.
네트워크(110)는, 인터넷, WAN(Wide Area Network; 광역망), LAN(Local Area Network; 근거리 통신망), VoIP 네트워크(Voice over IP Network; 음성 패킷망), PSTN(Public Switched Telephone Network; 공중 전화망), 패킷 교환망(packet switched network), 회선 교환 네트워크(circuit switched network), 셀룰러 네트워크, 이들의 조합 등과 같은, 전자 정보를 전송하고 수신할 수 있는 임의의 네트워크일 수 있거나 또는 그 임의의 네트워크를 포함할 수도 있다. 네트워크(110)는 다양한 프로토콜, 예컨대 이더넷, IP(Internet Protocol; 인터넷 프로토콜), SIP(Session Initiation Protocol; 세션 개시 프로토콜), ISDN(Integrated Services Digital Network; 종합 정보 통신망), H.323, 비디오 프로토콜, TDM(Time Division Multiplexed; 시분할 다중) 프로토콜, 웹RTC(Web Real Time Communication; 웹 실시간 통신), CDMA, GSM 등을 사용할 수 있다. 일 실시형태에서, 네트워크(110)는, 회사 또는 기업의 보안 정책에 따라 관리되는 회사 또는 기업 네트워크와 같은 보안 네트워크(secure network)이다. 인터넷과 비교하여, 회사 또는 기업 네트워크는, 네트워크를 통해 전달되는 콘텐츠, 미디어, 통신 또는 패킷에 대해 하나 이상의 제약들을 갖는다.
통신 시스템(120)은, 비디오 스위치, PBX(Private Branch Exchange; 구내 교환기), SIP 서버, 비디오 라우터, 오디오/비디오 회의 브리지, 중앙 오피스 스위치, 라우터 등과 같은, 통신 서비스를 제공할 수 있는 임의의 하드웨어/소프트웨어일 수 있거나 또는 그 임의의 하드웨어/소프트웨어를 포함할 수도 있다. 통신 시스템(120)은 보안 모듈(122A), 워터마크 검출기(123A), 및 통신 모듈(124A)을 더 포함한다.
보안 모듈(122A)은 워터마크를 사용하여 통신 세션의 보안을 관리할 수 있는 임의의 소프트웨어/하드웨어일 수 있거나 또는 그 임의의 소프트웨어/하드웨어를 포함할 수도 있다. 보안 모듈(122A)은 보안 모듈(102A)의 중앙 집중식 버전(centralized version)이다.
워터마크 검출기(123A)는 음성 또는 비디오 통신 세션 내의 워터마크를 검출할 수 있는 임의의 하드웨어/소프트웨어일 수 있거나 또는 그 하드웨어/소프트웨어를 포함할 수도 있다. 워터마크 검출기(123A)는 워터마크 검출기(103A)의 중앙 집중식 버전이다.
통신 모듈(124A)은, 비디오 스위치, PBX, SIP 서버, 비디오 라우터, 오디오/비디오 회의 브리지, 중앙 오피스 스위치, 라우터, 세션 매니저 등과 같은, 통신 세션을 관리할 수 있는 임의의 하드웨어/소프트웨어일 수 있거나 또는 그 임의의 하드웨어/소프트웨어를 포함할 수도 있다.
통신 디바이스(101A)와 통신 디바이스(101B) 사이의 통신 세션 동안, 예를 들면, 보안 모듈(102A)은 워터마크로서 나중에 식별될 수 있는 통신 세션의 데이터를 변경한다. 보안 모듈(102A)은 제 1 개시 메시지에서 엔딩 통신 메시지까지의 통신 세션의 임의의 시점에서 (워터마크를 식별하기 위한) 통신 세션의 데이터를 변경할 수 있다.
워터마크는, 통신 세션에 삽입될 수 있고, 통신 세션으로부터 제거될 수 있고, 통신 세션에서 재구성(reorganize)될 수 있고, 통신 세션의 특성을 변경하기 위해 사용될 수 있고, 및/또는 즉각 관측되지는 않지만 워터마크가 통신 세션에 위치된 이후 검증될 수 있는 음성 또는 비디오 통신 세션에서 대체될 수 있는 한 조각(또는 다수의 조각의) 정보/데이터이다. 워터마크의 목적은, 음성 또는 비디오 통신 세션이 합법적인 통신 세션인지를 검증하는 것이다. 음성 또는 비디오 통신 세션에서 사용되는 워터마크는 위폐(counterfeit currency)를 검출하기 위해 사용되는 워터마크와 많은 면에서 유사하다. 예를 들면, 미국 정부는, 지폐가 광원 앞에 위치되지 않는 한 쉽게 관측될 수 없는 작은 텍스트를 포함하는 워터마크를 몇몇 지폐에 심어 둔다. 사람이 일반적인 상황 하에서 그 지폐를 보면, 워터마크는 보이지 않는다. 이것은 워터마크가 쉽게 관측될 수 없는 통신 세션에서 사용되는 워터마크와 유사하다. 워터마크를 검출하기 위해서는, 무엇을 봐야 하는지를 알아야 한다. 예를 들면, 음성 통신의 미디어 스트림의 매 세 번째 패킷에서 비트가 공지의 패턴으로 변경될 수 있을 것이다. 네트워크 분석기(network analyzer)로 통신 세션을 듣거나 또는 통신 세션을 모니터링하는 것에 의해서는 이 타입의 워터마크는 쉽게 관측될 수 없다.
워터마크의 사용은, 미디어 스트림 및/또는 패킷이 통신 세션 동안 완전히 변경되는 일반적인 암호화와 같은 프로세스와는 명백히 상이하다. 통신 세션을 모니터링하는 사람은 통신 세션이 암호화되었는지를 쉽게 결정할 수 있다. 워터마크의 사용이 암호화된 통신 세션 내에서 사용될 수 있지만, 통신 세션이 암호해제되면, 워터마크를 관측하기 위한 능력이 계속 명확하지는 않을 것이다.
통신 디바이스(101B)의 통신 모듈(104B)은 통신 세션을 모니터링한다. 통신 디바이스(101B)의 워터마크 검출기(103B)는, 통신 세션이 워터마크를 포함하는지를 결정한다. 워터마크 검출기(103B)는, 통신 세션에 데이터를 삽입/추가/재구성/제거하기 위해(워터마크를 생성하기 위해) 사용된 알고리즘(들)을 아는 것에 기초하여 어디에서 워터마크를 찾아야 하는지를 안다. 통신 세션이 워터마크를 포함하면, 통신 세션은 계속되도록 허용된다. 통신 세션이 워터마크를 포함하지 않으면, 통신 세션은 잠재적인 보안 위협으로서 식별된다. 이 예에서, 통신 디바이스(101B)에서의 유저는 잠재적인 보안 위협을 통지받을 수 있을 것이고 통신 세션은 차단되고(즉 개시되지 않고) 및/또는 드랍될 수 있을 것이다. 대안적으로, 보안 모듈(102B)은 보안 모듈(122A)에게 통지할 수 있다.
상기 예는 (예를 들면, 피어 투 피어 통신 세션에서) 통신 디바이스(101A)로부터 통신 디바이스(101B)로 전송되고 있는 워터마크를 설명한다. 마찬가지로, 동일한 프로세스를 사용하는 검증을 위해, 통신 디바이스(101B)는 동일한 통신 세션에서 제 2 워터마크를 통신 디바이스(101A)로 또한 전송할 수 있을 것이다. 통신 디바이스(101B)로부터 통신 디바이스(101A)로 전송되는 워터마크는 동일한 워터마크 또는 상이한 워터마크일 수 있다. 일 실시형태에서, 워터마크는 통신 디바이스(101B)에 의해 다시 통신 디바이스(101A)로 중계된다.
일 실시형태에서, 워터마크는 통신 세션의 한 방향으로만 전송된다. 워터마크가 한 방향으로만 전송되면, 워터마크의 전송은, 어떤 통신 디바이스(101)가 통신 세션을 개시했는지와 같은 다양한 요인에, 통신 디바이스(101A-101B)의 최고 또는 최저 IP 어드레스에, 통신 디바이스(101A-101B)의 각각의 IP 어드레스의 해시에, 기타 등등에 기초할 수도 있다.
다른 실시형태에서, 워터마크의 검출과 통신 세션의 모니터링은 통신 시스템(120)에서 달성된다. 이 실시형태에서, 통신 세션은 통신 시스템(120)을 통해 라우팅된다. 통신 디바이스(101A)와 통신 디바이스(101B) 사이의 통신 세션 동안, 예를 들면, 보안 모듈(102A)은 워터마크로서 식별될 수 있는 통신 세션의 데이터를 변경한다. 통신 모듈(124A)은 통신 디바이스(101A)와 통신 디바이스(101B) 사이의 통신 세션을 모니터링한다. 워터마크 검출기(123A)는 통신 세션이 워터마크를 포함하는지를 결정한다. 통신 세션이 워터마크를 포함하면, 통신 세션은 계속되도록 허용된다. 통신 세션이 워터마크를 포함하지 않으면, 통신 세션은 잠재적인 보안 침입으로서 식별된다. 이 프로세스는 통신 디바이스(101B)로부터 전송되는 워터마크에 대해서도 또한 사용될 수 있다. 또한, 이 프로세스는 통신 디바이스(101A-101N) 사이의 임의의 통신 세션에 대해 사용될 수 있다.
다른 실시형태에서, 통신 디바이스(101A-101N) 중 하나 이상은 보안 모듈(102) 또는 워터마크 검출기(103)를 포함하지 않을 수도 있다. 그러나, 구현예에 따라서는, 보안 모듈(122A)과 워터마크 검출기(123A)는, 보안 모듈(102)과 워터마크 검출기(103)를 포함하지 않는 통신 디바이스에 대해 프록시로서 사용될 수 있다.
예시를 위해, 다음의 예를 고려한다. 통신 디바이스(101N)가 보안 모듈(102) 또는 워터마크 검출기(103)를 포함하지 않는다고 가정한다. 그러나, 멀웨어가 통신 디바이스(101N) 상으로 다운로드될 수 없기 때문에(즉, 통신 디바이스(101N)는 유저가 소프트웨어를 다운로드하는 것을 허용하는 유저 인터페이스를 구비하지 않기 때문에), 통신 디바이스(101N)는 보안 디바이스로서 간주된다. 통신 디바이스(101N)는 통신 디바이스(101A)와의 통신 세션을 개시한다. 통신 디바이스(101N)와 통신 디바이스(101A) 사이의 통신 세션 동안, 보안 모듈(122A)은 워터마크를 통신 세션에 삽입한다. 통신 모듈(104A)은 통신 세션을 모니터링한다. 워터마크 검출기(103A)는 보안 모듈(122A)에 의해 삽입된 워터마크를 검출하고 통신 세션이 계속되도록 허용한다.
워터마크의 사용은 다양한 방식으로 달성될 수 있다. 예를 들면, 워터마크는 통신 세션의 프로토콜 헤더에 삽입될 수 있거나 또는 그 프로토콜 헤더를 대체할 수 있다. 워터마크는 SIP 헤더, H.323 헤더, H.264 헤더, H.322 헤더 등에 삽입될 수 있다. 워터마크는 추가적인 필드(들)를 추가하는 것에 의해 또는 필드(또는 필드의 일부)를 대체하는 것에 의해 헤더에 삽입될 수 있다. 워터마크 내의 데이터의 양은 단일 비트에서 아주 많은 수의 바이트까지의 범위에 걸칠 수도 있다. 워터마크는 통신 세션 동안 한 번만 단일 패킷의 단일 헤더에 삽입될 수도 있다. 대안적으로, 워터마크는 통신 세션의 모든 패킷 헤더에 또는 통신 세션의 특정 패킷 내에만 삽입될 수도 있다.
워터마크는 제어 채널의 일부(예를 들면, 음성 통화를 셋업하기 위해 사용되는 SIP 메시지)일 수도 있고/있거나 워터마크는 미디어 세션의 일부(예를 들면, 음성 스트림의 RTP(Real-time Transport Protocol; 실시간 전송 프로토콜))일 수도 있다. 일 실시형태에서, 제어 채널에(예를 들면, 헤더에) 제 1 워터마크가 사용되고 미디어 스트림에 상이한 제 2 워터마크가 사용된다.
일 실시형태에서, 워터마크는 통신 세션에서 전송되는 패킷의 번호에 기초할 수도 있다. 예를 들면, 워터마크는 미디어 스트림의 79번째 패킷에서 전송될 수 있다. 워터마크는, 패킷의 매 100번째에서와 같은, 패킷의 주기적 번호에 기초하여 전송될 수 있다. 워터마크는 정의된 패킷 번호에서 전송될 수 있다(예를 들면, 20번째 및 200번째 패킷에서 전송됨). 마찬가지로, 워터마크는 통신 세션에서 수신되는 패킷의 번호에 기초하여 전송될 수 있다.
다른 실시형태에서, 워터마크는 통신 세션이 음성인지 또는 비디오인지에 기초하여 상이한 시점에 전송될 수도 있다(또는 상이한 워터마크를 사용할 수도 있다). 예를 들면, 워터마크는 음성 통화에 대해 매 100번째 패킷에서 그리고 비디오 통화에 대해 매 200번째 패킷에서 전송될 수도 있다. 대안적으로, 워터마크는 통화가 비디오 통화인지 음성 통화인지에 따라 상이할 수도 있다. 또한, 음성 대 비디오 통화에 대해 상이한 워터마크가 상이한 패킷에서 전송되는 이들의 조합이 사용될 수도 있다.
다른 실시형태에서, 통신 세션에서 전송되는 하나 이상의 패킷의 사이즈 또는 길이가 워터마크에 대해 사용된다. 예를 들면, 매 100번째 패킷이 특정 사이즈 또는 길이일 것이라는 것(예를 들면 매 100번째 패킷의 페이로드(또는 전체 패킷 길이)가 120바이트일 것이라는 것)이 워터마크일 수 있다. 이것을 달성하기 위해, 100번째 패킷은 특정 길이에 매치하도록 재구성된다(일반적으로 가지게 될 사이즈와는 상이한 사이즈로 변경된다). 일 실시형태에서, 100번째 패킷의 패킷 사이즈는 100바이트이고, 200번째 패킷의 패킷 사이즈는 200바이트이고, 등등이다. 이것은 1000번째 패킷에서 다시 100으로 리셋되고 다시 반복한다.
대안적으로, 길이는 정의된 패킷 번호에 기초할 수도 있다. 예를 들면, 미디어 스트림의 13번째 패킷이 패킷 헤더를 포함해서 40바이트의 사이즈를 가질 것이고 90번째 패킷이 90바이트의 패킷 페이로드 사이즈를 가질 것이다.
다른 실시형태에서, 통신 세션 중 하나 이상의 부분의 해시가 필드/페이로드의 일부 또는 필드를 변경시키기 위해 사용될 수 있다. 예를 들면, 음성(또는 비디오) 통신 세션의 미디어 스트림의 매 10번째 패킷의 공지의 필드(예를 들면, RTP 헤더)의 해시가, 동일 패킷의 미디어 스트림 페이로드의 마지막 바이트의 최하위 2비트를 대체하기 위해 사용될 수 있다. 대안적으로, 마지막 이전의 패킷의 헤더가 해시에 대해 사용될 수 있을 것이다.
다른 실시형태에서, 워터마크에 대해, 모든 소수 패킷(every prime number packet)에 대한 해싱 알고리즘으로의 소수 매핑이 사용될 수 있다. 예를 들면, 모든 소수 패킷은 인증서로부터 고유의 해시를 갖는다. 소수 패킷의 사용은 본원에서 설명된 프로세스 중 임의의 것과 연계하여 사용될 수 있다.
다른 실시형태에서, 통신 세션이 시작하는 일, 주, 및/또는 년의 시간을 사용하는 타이밍 시퀀스가 워터마크에 대해 사용될 수 있다. 예를 들면, 워터마크는 통신 세션의 시, 일, 주, 및/또는 년을 사용하는 보안 인증서의 해싱 알고리즘에 기초하여 생성될 수도 있다.
다른 실시형태에서, 통신 세션이 시작하는 일, 주, 및/또는 년의 시간을 사용하는 타이밍 시퀀스가 사용될 수 있다. 이것은 일, 주, 또는 년 중 하나 이상에 기초하여 정의된 시점에 통신 세션에 삽입되는 타임스탬프를 생성한다. 예를 들면, 워터마크를 포함하는 패킷 번호를 결정하기 위해, 통신 세션을 개시하기 위한 제 1 메시지가 수신되었던 하루 중 시간이 사용될 수 있다.
다른 실시형태에서, 정의된 시간 또는 패킷에서 제 2 워터마크가 통신 세션에 삽입될 수 있다. 예를 들면, 제 1 워터마크는 제 1 패킷 상에 삽입될 수 있고 제 2 상이한 워터마크는 10번째 패킷에 삽입될 수 있다. 이 프로세스는 주기적 워터마크가 전송되는 경우에 사용될 수 있을 것이다. 예를 들면, 제 1 워터마크는 10번째, 30번째, 50번째 등등에서 전송될 수 있을 것이고 제 2 워터마크는 20번째, 40번째, 60번째 등등의 패킷에서 전송될 수 있을 것이다.
다른 실시형태에서, 제 2 워터마크는 고유의 식별자 또는 통신 세션 식별자를 사용하여, 정의된 시간 또는 패킷에서 통신 세션에 삽입될 수 있다. 예를 들면, 제 2 워터마크는 고유의 식별자 또는 통신 세션 식별자의 마지막 4비트에 의해 식별되는 패킷 번호에 기초하여 통신 세션에 삽입될 수 있다.
다른 실시형태에서, 워터마크를 생성하기 위해, 전송 디바이스의 MAC(Media Access Control; 미디어 액세스 제어) 어드레스가 사용될 수 있다. 다른 실시형태에서, 워터마크를 생성하기 위해, 패킷이 전송된 시, 일, 주, 년의 해시가 사용될 수 있다.
다른 실시형태에서, 워터마크를 생성하기 위해, 통신 세션의 고유 이벤트의 해시가 사용될 수 있다. 예를 들면, 워터마크를 생성하기 위해, 통신 세션에 삽입된 백투백 유저 에이전트(Back-to-Back user agent)의 IP 어드레스가 사용될 수 있다.
다른 실시형태에서, 각 참가자가 회의에 참여한 시간의 해시가 사용될 수 있다. 예를 들면, 비디오 회의(video conference)에서, 참가자가 비디오 회의에 참여한 회의의 각각의 구간(leg)에 대해, 각각의 참가자가 회의에 참여한 시간의 해시가 사용될 수 있다.
다른 실시형태에서, 워터마크를 생성하기 위해, 통신 디바이스 또는 소프트웨어와 관련된 릴리스 날짜 및/또는 패치 레벨 중 하나 이상이 사용될 수 있다. 다른 실시형태에서, 주기적 타임스탬프가 워터마크로서 통신 세션에 삽입될 수 있다.
다른 실시형태에서, 각각의 통신 세션에 대해, 랜덤 패턴의 워터마크가 사용될 수 있다. 예를 들면, 난수 발생기를 사용하여, 프로세스는 특정 워터마크를 사용할 수 있다. 어떤 워터마크가 사용되고 있는지를 수신 엔티티가 알 수 있도록, 워터마크와 함께 워터마크와 관련된 식별자가 전송될 수 있다. 마찬가지로, 워터마크의 순환 패턴(rotating pattern)이 유사한 프로세스와 함께 사용될 수 있다(워터마크는 각각의 통신 세션에 대해 상이하다).
다른 실시형태에서, 워터마크는 전송되는 또는 수신되는 패킷의 방향에 기초하여 상이하다. 다른 실시형태에서, 워터마크에 대해, 상이한 시점에서의 또는 상이한 패킷 시퀀스 번호에서의 하나 이상의 사전정의된 시그니처의 삽입이 사용될 수 있다.
다른 실시형태에서, 공지의 패턴의 하나 이상의 패킷으로부터 정보를 제거하는 것이 워터마크로서 사용될 수 있다. 예를 들면, 패킷이 특정 패킷 번호 및 길이인지에 기초하여, 패킷 헤더로부터 헤더의 특정 바이트가 제거될 수 있다. 마찬가지로, 패킷이 공지의 길이인 경우 음성/비디오 스트림으로부터 한 바이트가 제거될 수도 있다. 단일의 바이트의 제거는 비디오 통신 세션을 보고 있는 또는 음성 통신 세션을 듣고 있는 누군가에게는 아마 인식되지 않을 것이다.
일 실시형태에서, 통신 세션의 다음 패킷에서 전송할 워터마크를 생성하기 위해, 이전에 수신된 패킷의 CRC(Cyclic Redundancy Check; 순환 중복 체크)가 사용될 수 있다. 예를 들면, 통신 세션의 미디어 스트림의 10번째 패킷의 수신시, 시스템은 수신된 패킷의 CRC를 해싱할 수 있을 것이다. 수신된 10번째 패킷의 CRC의 해시는 다음에 전송되는 패킷의 데이터 또는 RTP(Real Time Transport; 실시간 전송) 헤더에 삽입될 수 있을 것이다.
일 실시형태에서, 워터마크는 패킷 재송신에 기초하여 전송될 수 있다. 예를 들면, 손실된 수신확인응답(lost acknowledgement)으로 인해 패킷이 손실되면, 패킷을 재전송하는 통신 디바이스는 재전송되는 패킷에 워터마크를 포함할 수 있을 것이다. 수신기는, 동일한 시퀀스 번호를 갖는 2개의 동일한 패킷(하나는 워터마크를 포함하고 또 하나는 워터마크를 포함하지 않음)의 수신시, 제 2 패킷 내의 워터마크를 검증하고 식별할 수 있을 것이다.
일 실시형태에서, 워터마크는 기록된 통신 세션을 관리하기 위한 저작권 관리 툴로서 확장될 수 있다. 기록된 미디어 스트림의 일부로서 고유의 워터마크를 삽입하는 것에 의해, 기록된 통신 세션의 정보는 추적될 수 있다. 예를 들면, 기록된 미디어 스트림이 독점적인 것으로 간주되면, 워터마크는 기록된 미디어 스트림의 불법 복제에 대해 저작권법을 집행하는 데 사용될 수 있다. 워터마크는 미디어 스트림의 소스를 식별하기 위해 또한 사용될 수도 있다. 예를 들면, 통신 세션이 회의 통화(conference call)이면, 미디어 스트림의 각 구간은 고유의 워터마크를 가질 수도 있다. 고유의 워터마크는 독점적 회의(proprietary conference)의 불법 복제의 잠재적 소스를 식별하는 데 사용될 수도 있다.
도 2는 유출 방지를 위한 제 2 예시적인 시스템(200)의 블록도이다. 제 2 예시적 시스템(200)은 통신 디바이스(101A-101N), 네트워크(110), 통신 시스템(120), 방화벽(230), 네트워크(210), 및 통신 디바이스(201)를 포함한다.
방화벽(230)은, 세션 경계 제어기, 네트워크 어드레스 변환기(network address translator), 바이러스 스캐너, 이들의 조합 등과 같은, 보호 서비스를 제공하는 임의의 하드웨어/소프트웨어일 수 있거나 또는 그 임의의 하드웨어/소프트웨어를 포함할 수도 있다. 방화벽(230)은 보안 모듈(122B), 워터마크 검출기(123B), 및 통신 모듈(124B)을 포함한다. 보안 모듈(122B)이 이전에 설명된 보안 모듈(122A)과 유사할 수 있다. 워터마크 검출기(123B)는 이전에 설명된 보안 모듈(122A)과 유사할 수 있다. 마찬가지로, 통신 모듈(124B)은 이전에 설명된 통신 모듈(124A)과 유사할 수 있다.
네트워크(210)는 네트워크(110)와 유사할 수 있다. 그러나, 일 실시형태에서, 네트워크(110)는 보안 네트워크이고 네트워크(210)는, 인터넷과 같은, 비보안 네트워크이다. 통신 디바이스(201)는 통신 디바이스(101)일 수 있다. 그러나, 일 실시형태에서, 통신 디바이스(201)는 보안 모듈(102) 또는 워터마크 검출기(103)를 포함하지 않는 통신 디바이스이다. 일 실시형태에서, 통신 디바이스(201)는 비보안 통신 디바이스이다.
통신 디바이스(101A)에서의 유저가 통신 디바이스(201)에 대한 통신 세션을 개시한다(이것은 직접적으로 또는 통신 시스템(120)을 통해 행해질 수도 있다). 보안 모듈(102A)은 워터마크를 통신 세션에 삽입한다. 통신 모듈(124B)은 통신 디바이스(101A)와 통신 디바이스(201) 사이의 통신 세션을 모니터링한다. 워터마크 검출기(123B)는 통신 세션이 워터마크를 포함한다고 결정한다. 통신 디바이스(101A)와 통신 디바이스(201) 사이의 통신 세션은 계속되도록 허용된다.
본 발명의 보안 특징을 예시하기 위해, 해커가 보안망을 침투하여 통신 디바이스(101A)에 멀웨어를 설치할 수 있게 된 경우를 고려한다. 통신 디바이스(101A) 상의 멀웨어는, 통신 디바이스(101A) 상의 모든 정보가 통신 디바이스(201)로 업로드될 수 있도록 하는, 통신 디바이스(201)에 대해 음성 또는 비디오 통화로 보이는 것을 만들도록 시도한다. 보안 모듈(122B)은 통신 세션을 모니터링한다. 워터마크 검출기(123B)는 통신 세션이 워터마크를 포함하지 않는다고 결정한다. 보안 모듈(122B)은 통신 세션을 잠재적 보안 침입으로서 식별한다. 보안 모듈(122B)은 경보를 설정하고 통신 세션을 차단한다. 따라서, 보안 침입은 방지되고 멀웨어는 통신 디바이스(101A)로부터 통신 디바이스(201)로 정보를 업로드할 수 없다.
상기 프로세스는, 통신 디바이스(101A-101N) 중 하나가 보안 모듈(102A) 또는 워터마크 검출기(103)를 포함하지 않는 경우에 사용될 수 있다. 위에서 논의된 것처럼, 통신 시스템(120)은, 보안 모듈(102) 또는 워터마크 검출기(103)를 포함하지 않는 통신 디바이스(101)에 대해 프록시로서 작용할 수 있다.
상기 프로세스는 패킷 프로토콜을 사용하여 설명되었다. 그러나, 다른 실시형태에서, 정보는 TDM(Time Division Multiplexed; 시분할 다중) 프로토콜을 사용하여 전송될 수 있다. 예를 들면, 워터마크는 TDM을 통해 음성 통신 세션의 미디어 스트림에서 전송될 수 있다.
도 3은 유출 방지를 위한 프로세스의 흐름도이다. 예시적으로, 통신 디바이스(101A-101N), 보안 모듈(102), 워터마크 검출기(103), 통신 모듈(104), 통신 시스템(120), 보안 모듈(122), 워터마크 검출기(123), 통신 모듈(124), 방화벽(230), 및 통신 디바이스(201)는 저장된 프로그램에 의해 제어되는 엔티티(stored-program-controlled entity), 예컨대 메모리 또는 디스크와 같은 유형의 컴퓨터 판독가능 저장 매체에 저장된 프로그램 명령어를 실행하는 것에 의해 도 3 및 도4의 방법과 본원에서 설명되는 프로세스를 수행하는 컴퓨터 또는 프로세스이다. 도 3과 도 4에 설명되는 방법이 특정 순서로 설명되지만, 당업자는 도 3과 도 4에서의 단계가 상이한 순서로 구현될 수도 있음을 및/또는 다중 스레드 환경에서 구현될 수도 있음을 알 수 있을 것이다. 또한, 구현예에 기초하여, 다양한 단계가 생략되거나 추가될 수도 있다.
프로세스는 단계 300에서 시작한다. 단계 302에서, 프로세스는 통신 세션이 개시되었는지를 결정한다. 단계 302에서 통신 세션이 개시되지 않았으면, 프로세스는 단계 302를 반복한다. 그렇지 않고, 단계 302에서 통신 세션이 개시되었으면, 단계 304에서 프로세스는 통신 세션을 모니터링한다. 단계 306에서, 프로세스는 통신 세션이 워터마크를 포함하는지를 결정한다. 단계 306에서 통신 세션이 워터마크를 포함하지 않으면, 단계 314에서, 프로세스는 그 통신 세션을 잠재적 보안 위협으로서 식별하고 단계 316에서 프로세스는 종료한다.
그렇지 않고, 단계 306에서 통신 세션이 워터마크를 포함한다고 프로세스가 결정하면, 단계 308에서, 프로세스는 워터마크를 옵션적으로 제거할 수도 있다. 예를 들면, 단계 308에서 보안 모듈(122B)은 통신 세션으로부터 워터마크를 옵션적으로 제거할 수 있다. 워터마크의 타입에 따라, 이것은 아주 유용할 수도 있는데, 워터마크가 네트워크(210)(이 예에서는 비보안임) 상에서 관측되지 않을 것이기 때문이다. 따라서, 해커는 네트워크(210) 상의 통신 세션을 관측하는 것에 기초하여 임의의 타입의 워터마크가 사용되고 있다고 결정할 수 없을 것이다.
단계 310에서 프로세스는 통신 세션이 종료하는지를 결정한다. 단계 310에서 통신 세션이 종료하면, 단계 316에서 프로세스는 종료한다. 단계 310에서 통신 세션이 종료하지 않은 것으로 프로세스가 결정하면, 단계 312에서 프로세스는 추가적인 모니터링이 필요한지를 결정한다. 추가적인 모니터링은 사용되고 있는 워터마크의 타입(들)에 따라 필요할 수도 있다. 예를 들면, 주기적 워터마크가 사용되고 있으면(예를 들면, 워터마크가 50번째 패킷마다 전송되면), 추가적인 모니터링이 필요할 것이다. 마찬가지로, 2개 이상의 워터마크가 사용되고 있으면, 추가적인 워터마크를 검출하기 위해 추가적인 모니터링이 필요할 것이다. 대안적으로, 워터마크의 단지 하나의 예가 사용되면, 추가적인 모니터링은 필요하지 않을 것이다. 단계 312에서, 추가적인 모니터링이 필요하면, 프로세스는 단계 304로 진행한다. 그렇지 않고, 단계 312에서 추가적인 모니터링이 필요하지 않으면, 단계 316에서 프로세스는 종료한다.
도 4는 잠재적인 보안 위협에 대한 상이한 옵션을 핸들링하기 위한 프로세스의 흐름도이다. 도 4의 프로세스는 도 3의 단계 314에 후속하여 계속된다. 단계 314에서 통신 세션이 잠재적인 보안 위협으로서 식별되면, 단계 400에서, 프로세스는 어떤 옵션(들)을 수행할지를 결정한다. 단계 400에서 어떤 특정 옵션(들)이 수행되는지는 구현예/적용예에 기초하여 변경될 수 있다. 단계 402에서 통신 세션을 차단하거나 드랍하기 위한 옵션이 설정되면, 프로세스는 (통신 세션이 완전히 셋업되지 않았다면) 차단하거나 또는 (통신 세션이 셋업되었다면) 드랍한다.
단계 404에서 통신 세션을 방향 재지정하기(redirect) 위한 옵션이 설정되었다면, 프로세스는 통신 세션의 방향을 재지정한다. 통신 세션은 모니터링을 위해 다른 통신 디바이스로 방향 재지정될 수 있다. 예를 들면, 통신 디바이스(101A)가 멀웨어를 포함하면, 통신 디바이스(201)에 대한 통신 세션은, 전송되고 있는 데이터를 기록할 수 있는 통신 디바이스(101)로 방향 재지정될 수 있고(즉, 방화벽(230)의 보안 모듈(122B)에 의해 전송되거나 제공되고(conferenced)); 이것은 보안 요원이 보안 침입의 타입을 시도하여 결정하는 것을 허용할 수도 있다.
옵션이 통신 세션을 손상시키는 것이면(예를 들면, 미디어 스트림의 데이터를 손상시키는 것이면), 단계 406에서 프로세스는 통신 세션의 데이터를 손상시킨다. 예를 들면, 방화벽(230)의 보안 모듈(122B)은 통신 디바이스(201)로 전송되고 있는 미디어 스트림의 데이터를 손상시킬 수 있다. 일 실시형태에서, 미디어 스트림의 데이터는 랜덤 방식으로 손상된다. 다른 실시형태에서, 미디어 스트림의 데이터는 공지의 패턴으로 손상된다.
단계 408에서 옵션이 경보를 제공하는 것이면, 경보가 제공된다. 경보는 통신 세션에 관련된 하나 이상의 파티 및/또는 관리자에게 제공될 수 있다.
단계 410에서 통신 세션에 관련된 통신 디바이스를 식별하기 위한 옵션이 설정되면, 통신 디바이스가 식별되어 저장된다. 이것은, 보안 침입이 어디에서부터 발생되었는지를(예를 들면, 통신 디바이스(101/201)의 IP 어드레스를) 식별하는 데 유용할 수 있다.
상기 모든 옵션에 대해, 다양한 조합이 동일한 세션에 대해 구현될 수 있다. 예를 들면, 통신 세션이 드랍될 수 있고(402), 경보가 제공될 수 있고(408), 통신 세션의 디바이스가 식별될 수 있다(410). 다른 실시형태에서, 통신 세션은 손상될 수 있고(406) 경보가 제공될 수 있다(408). 다른 실시형태에서, 통신 세션은 방향 재지정될 수 있고(404) 통신 세션의 디바이스가 식별될 수 있다(410). 다른 실시형태에서, 통신 세션은 차단될 수 있고(402) 경보가 제공된다(408).
물론, 위에서 설명된 예시적인 실시형태에 대한 다양한 변경예 및 수정예가 당업자에게는 명확할 것이다. 이들 변경예 및 수정예는 본 시스템과 방법의 취지와 범위를 벗어나지 않으면서 그리고 그에 수반하는 이점을 감소시키지 않으면서 이루어질 수 있다. 하기의 특허청구범위는 본 발명의 범위를 특정한다. 당업자는, 위에서 설명된 특징이 다양한 방식으로 결합되어 본 발명의 다수의 변형예를 형성할 수도 있음을 알 수 있을 것이다. 결과적으로, 본 발명은 위에서 설명된 특정 실시형태에 제한되지 않으며, 하기의 특허청구범위와 그 등가의 범위에 의해서만 제한된다.

Claims (10)

  1. 통신 세션을 모니터링하는 단계 - 상기 통신 세션은 음성 통신 세션 또는 비디오 통신 세션임 - 와,
    상기 통신 세션이 워터마크(a watermark)를 포함하는지를 결정하는 단계와,
    상기 통신 세션이 상기 워터마크를 포함한다고 결정하는 것에 응답하여, 상기 통신 세션이 계속되도록 허용하는 단계와,
    상기 통신 세션이 상기 워터마크를 포함하지 않는다고 결정하는 것에 응답하여, 상기 통신 세션을 잠재적 보안 침입(a potential security breach)으로서 식별하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 워터마크는 복수의 상이한 워터마크를 포함하고, 상기 복수의 워터마크 중 제 1 워터마크는 상기 통신 세션의 미디어 스트림에 삽입되고 상기 복수의 워터마크 중 제 2 워터마크는 상기 통신 세션의 제어 채널의 프로토콜 헤더에 삽입되는
    방법.
  3. 제 1 항에 있어서,
    상기 통신 세션이 상기 워터마크를 포함한다고 결정하는 것에 응답하여, 방화벽에서, 보안 네트워크 외부로의 송신을 위해 상기 통신 세션으로부터 상기 워터마크를 제거하는 단계를 더 포함하는
    방법.
  4. 프로세서 실행가능 명령어를 포함하는 컴퓨터 판독가능 매체로서,
    상기 명령어는, 실행시에, 제1항의 단계들을 수행하고,
    상기 통신 세션은 3개 이상의 통신 디바이스 사이에서 제공되고(conferenced), 상기 제공된 통신 세션의 각각의 구간(leg)은 상이한 워터마크를 사용하는
    컴퓨터 판독가능 매체.
  5. 제 1 항에 있어서,
    상기 워터마크를 상기 통신 세션에 배치하는 단계를 더 포함하되,
    상기 워터마크는,
    상기 통신 세션에서의 프로토콜 헤더와,
    상기 통신 세션에서 전송되는 패킷의 번호와,
    상기 통신 세션에서 수신되는 패킷의 번호와,
    패킷 재전송의 횟수와,
    이전에 수신된 패킷의 CRC(Cyclic Redundancy Check)와,
    상기 통신 세션이 음성인지 비디오인지의 여부와,
    상기 통신 세션에서 전송되는 하나 이상의 패킷의 사이즈 또는 길이와,
    패킷 번호에 기초하여 정의된 패킷 사이즈와,
    상기 통신 세션의 하나 이상의 부분의 해시와,
    모든 소수(prime number) 패킷에 대한 해싱 알고리즘으로의 소수 매핑과,
    상기 통신 세션이 시작하는 일, 주, 및/또는 년의 시간을 사용하는 타이밍 시퀀스와,
    상기 통신 세션이 시작하는 일, 주, 및/또는 년의 시간을 사용하는 타이밍 시퀀스 - 상기 타이밍 시퀀스는 상기 일, 상기 주, 또는 상기 년 중 하나 이상에 기초하여 정의된 시점에 상기 통신 세션에 삽입되는 타임스탬프를 생성함 - 와,
    정의된 시간 또는 패킷에서 제 2 워터마크를 상기 통신 세션에 삽입하는 것과,
    고유의 식별자 또는 통신 세션 식별자를 사용하여 정의된 시간 또는 패킷에서 제 2 워터마크를 상기 통신 세션에 삽입하는 것과,
    전송 디바이스의 MAC(Media Access Control) 어드레스와,
    시간, 일, 주, 년의 해시와,
    상기 통신 세션의 고유한 이벤트의 해시와,
    각각의 참가자가 회의에 참여한 시간의 해시 - 각각의 참가자가 상기 회의에 참여한 상기 시간의 상기 해시는 상기 참가자가 참여한 상기 회의의 각각의 구간에 대해 사용됨 - 와,
    통신 디바이스 또는 소프트웨어와 관련된 릴리스 날짜 및/또는 패치 레벨 중 하나 이상과,
    상기 통신 세션에 삽입되는 주기적 타임스탬프와,
    워터마크의 랜덤 패턴과,
    워터마크의 순환 패턴과,
    상기 워터마크는 전송되거나 수신되는 패킷의 방향에 기초하여 상이하다는 것과,
    상이한 시점에서의 또는 상이한 패킷 시퀀스 번호에서의 하나 이상의 사전정의된 시그니처의 삽입과,
    패킷의 콘텐츠를 재구성하는 것과,
    공지의 패턴의 하나 이상의 패킷으로부터 정보를 제거하는 것
    중 적어도 하나에 기초한 알고리즘을 사용하는
    방법.
  6. 통신 세션을 모니터링하고, 상기 통신 세션이 워터마크를 포함한다고 결정하는 것에 응답하여 상기 통신 세션이 계속되게 허용하며, 상기 통신이 상기 워터마크를 포함하지 않는다고 결정하는 것에 응답하여 상기 통신 세션을 잠재적 보안 침입으로서 식별하도록 구성된 통신 모듈 - 상기 통신 세션은 음성 통신 세션 또는 비디오 통신 세션임 - 과,
    상기 통신 세션이 상기 워터마크를 포함하는지를 결정하도록 구성된 워터마크 검출기를 포함하는
    시스템.
  7. 제 6 항에 있어서,
    상기 워터마크는 복수의 상이한 워터마크를 포함하고, 상기 복수의 워터마크 중 제 1 워터마크는 상기 통신 세션의 미디어 스트림에 삽입되고 상기 복수의 워터마크 중 제 2 워터마크는 상기 통신 세션의 제어 채널의 프로토콜 헤더에 삽입되는
    시스템.
  8. 제 6 항에 있어서,
    상기 통신 세션이 상기 워터마크를 포함한다고 결정하는 것에 응답하여 보안 네트워크 외부로의 송신을 위해 상기 통신 세션으로부터 상기 워터마크를 제거하도록 구성된 방화벽을 더 포함하는
    시스템.
  9. 제 6 항에 있어서,
    상기 통신 세션은 기록되고, 상기 워터마크는 저작권 집행을 위해 사용되는
    시스템.
  10. 제 6 항에 있어서,
    상기 워터마크를 상기 통신 세션에 배치하도록 보안 모듈이 더 구성되고,
    상기 워터마크는,
    상기 통신 세션에서의 프로토콜 헤더와,
    상기 통신 세션에서 전송되는 패킷의 번호와,
    상기 통신 세션에서 수신되는 패킷의 번호와,
    패킷 재전송의 횟수와,
    이전에 수신된 패킷의 CRC(Cyclic Redundancy Check)와,
    상기 통신 세션이 음성인지 비디오인지의 여부와,
    상기 통신 세션에서 전송되는 하나 이상의 패킷의 사이즈 또는 길이와,
    패킷 번호에 기초하여 정의된 패킷 사이즈와,
    상기 통신 세션의 하나 이상의 부분의 해시와,
    모든 소수 패킷에 대한 해싱 알고리즘으로의 소수 매핑과,
    상기 통신 세션이 시작하는 일, 주, 및/또는 년의 시간을 사용하는 타이밍 시퀀스와,
    상기 통신 세션이 시작하는 일, 주, 및/또는 년의 시간을 사용하는 타이밍 시퀀스 - 상기 타이밍 시퀀스는 상기 일, 상기 주, 또는 상기 년 중 하나 이상에 기초하여 정의된 시점에 상기 통신 세션에 삽입되는 타임스탬프를 생성함 - 와,
    정의된 시간 또는 패킷에서 제 2 워터마크를 상기 통신 세션에 삽입하는 것과,
    고유의 식별자 또는 통신 세션 식별자를 사용하여 정의된 시간 또는 패킷에서 제 2 워터마크를 상기 통신 세션에 삽입하는 것과,
    전송 디바이스의 MAC(Media Access Control) 어드레스와,
    시간, 일, 주, 년의 해시와,
    상기 통신 세션의 고유한 이벤트의 해시와,
    각각의 참가자가 회의에 참여한 시간의 해시 - 각각의 참가자가 상기 회의에 참여한 상기 시간의 상기 해시는 상기 참가자가 참여한 상기 회의의 각각의 구간에 대해 사용됨 - 와,
    통신 디바이스 또는 소프트웨어와 관련된 릴리스 날짜 및/또는 패치 레벨 중 하나 이상과,
    상기 통신 세션에 삽입되는 주기적 타임스탬프와,
    워터마크의 랜덤 패턴과,
    워터마크의 순환 패턴과,
    상기 워터마크는 전송되거나 수신되는 패킷의 방향에 기초하여 상이하다는 것과,
    상이한 시점에서의 또는 상이한 패킷 시퀀스 번호에서의 하나 이상의 사전정의된 시그니처의 삽입과,
    패킷의 콘텐츠를 재구성하는 것과,
    공지의 패턴의 하나 이상의 패킷으로부터 정보를 제거하는 것
    중 적어도 하나에 기초한 알고리즘을 사용하는
    시스템.
KR1020150045060A 2014-06-23 2015-03-31 유출 방지용 음성 및 비디오 워터마크 KR101874155B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/312,450 US9848003B2 (en) 2014-06-23 2014-06-23 Voice and video watermark for exfiltration prevention
US14/312,450 2014-06-23

Publications (2)

Publication Number Publication Date
KR20150146384A true KR20150146384A (ko) 2015-12-31
KR101874155B1 KR101874155B1 (ko) 2018-07-03

Family

ID=52779557

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150045060A KR101874155B1 (ko) 2014-06-23 2015-03-31 유출 방지용 음성 및 비디오 워터마크

Country Status (3)

Country Link
US (1) US9848003B2 (ko)
EP (1) EP2961127B1 (ko)
KR (1) KR101874155B1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10075482B2 (en) * 2015-09-25 2018-09-11 International Business Machines Corporation Multiplexed, multimodal conferencing
US10419511B1 (en) * 2016-10-04 2019-09-17 Zoom Video Communications, Inc. Unique watermark generation and detection during a conference
RU2634179C1 (ru) * 2016-12-12 2017-10-24 Акционерное общество "Лаборатория Касперского" Способ и система для доверенного доведения информации до пользователя
EP3582465A1 (en) 2018-06-15 2019-12-18 Telia Company AB Solution for determining an authenticity of an audio stream of a voice call
US10811018B2 (en) * 2018-12-04 2020-10-20 Saudi Arabian Oil Company System and method for using a unidirectional watermark for information leak identification
US11269976B2 (en) * 2019-03-20 2022-03-08 Saudi Arabian Oil Company Apparatus and method for watermarking a call signal
CN112004046A (zh) * 2019-05-27 2020-11-27 中兴通讯股份有限公司 一种基于视频会议的图像处理方法和装置
CN112243160A (zh) * 2020-09-14 2021-01-19 视联动力信息技术股份有限公司 一种数据传输方法、装置、终端设备和存储介质
US12132858B2 (en) * 2021-11-11 2024-10-29 International Business Machines Corporation Real time audio stream validation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080025207A (ko) * 2005-08-08 2008-03-19 와이드바인 테크놀로지스, 인코포레이티드 카피 보호된 콘텐츠의 불법적인 배포의 방지
US20120077465A1 (en) * 2006-12-21 2012-03-29 The Boeing Company Voice messaging prioritization
KR20130106768A (ko) * 2010-06-02 2013-09-30 톰슨 라이센싱 낮은 비트 레이트로 인코딩되고 디코딩된 워터마킹된 오디오 또는 비디오 신호로부터 도출된 워터마킹되고 디코딩된 오디오 또는 비디오 신호를 제공하는 방법

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7224819B2 (en) * 1995-05-08 2007-05-29 Digimarc Corporation Integrating digital watermarks in multimedia content
JP3784635B2 (ja) * 2000-11-10 2006-06-14 富士通株式会社 データ運用方法
US7287275B2 (en) * 2002-04-17 2007-10-23 Moskowitz Scott A Methods, systems and devices for packet watermarking and efficient provisioning of bandwidth
US7180997B2 (en) * 2002-09-06 2007-02-20 Cisco Technology, Inc. Method and system for improving the intelligibility of a moderator during a multiparty communication session
US9055239B2 (en) * 2003-10-08 2015-06-09 Verance Corporation Signal continuity assessment using embedded watermarks
US20050193205A1 (en) * 2004-01-09 2005-09-01 Widevine Technologies, Inc. Method and system for session based watermarking of encrypted content
CN100574185C (zh) 2005-01-07 2009-12-23 华为技术有限公司 在ip多媒体业务子系统网络中保障媒体流安全性的方法
US20120030041A1 (en) * 2005-11-23 2012-02-02 Media Claw, Corp. Content interactivity gateway and method of use therewith
US8453241B2 (en) 2006-12-18 2013-05-28 Illinois Institute Of Technology Method for securing streaming multimedia network transmissions
WO2009077930A1 (en) * 2007-12-17 2009-06-25 Koninklijke Philips Electronics N.V. Resolution-independent watermark detection
EP2166725A1 (en) * 2008-08-28 2010-03-24 Alcatel, Lucent Control of delivery of digital content, and an apparatus therefor
US8144182B2 (en) * 2008-09-16 2012-03-27 Biscotti Inc. Real time video communications system
US8838978B2 (en) * 2010-09-16 2014-09-16 Verance Corporation Content access management using extracted watermark information
US8886945B2 (en) * 2010-12-17 2014-11-11 Motorola Mobility Llc System and method for conveying session information for use in forensic watermarking
US9323902B2 (en) * 2011-12-13 2016-04-26 Verance Corporation Conditional access using embedded watermarks
US9319417B2 (en) * 2012-06-28 2016-04-19 Fortinet, Inc. Data leak protection
US9338201B2 (en) * 2013-04-12 2016-05-10 Avaya Inc. Presentation delay feedback in a web conferencing session

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080025207A (ko) * 2005-08-08 2008-03-19 와이드바인 테크놀로지스, 인코포레이티드 카피 보호된 콘텐츠의 불법적인 배포의 방지
US20120077465A1 (en) * 2006-12-21 2012-03-29 The Boeing Company Voice messaging prioritization
KR20130106768A (ko) * 2010-06-02 2013-09-30 톰슨 라이센싱 낮은 비트 레이트로 인코딩되고 디코딩된 워터마킹된 오디오 또는 비디오 신호로부터 도출된 워터마킹되고 디코딩된 오디오 또는 비디오 신호를 제공하는 방법

Also Published As

Publication number Publication date
US20150373032A1 (en) 2015-12-24
EP2961127B1 (en) 2020-09-02
EP2961127A1 (en) 2015-12-30
US9848003B2 (en) 2017-12-19
KR101874155B1 (ko) 2018-07-03

Similar Documents

Publication Publication Date Title
KR101874155B1 (ko) 유출 방지용 음성 및 비디오 워터마크
Iyengar et al. QUIC: A UDP-based multiplexed and secure transport
US9432340B1 (en) System and method for secure end-to-end chat system
RU2378773C2 (ru) Подписание и проверка достоверности заголовков маршрутизации протокола инициирования сеанса
Chakrabarti et al. Internet infrastructure security: A taxonomy
KR100431231B1 (ko) Tcp syn 플러딩 공격을 좌절시키기 위한 방법 및시스템
US8745723B2 (en) System and method for providing unified transport and security protocols
Zander et al. Covert channels and countermeasures in computer network protocols [reprinted from ieee communications surveys and tutorials]
EP2016701A1 (en) Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks
WO2018075965A1 (en) Dark virtual private networks and secure services
Li et al. IS-IS cryptographic authentication
US10586065B2 (en) Method for secure data management in a computer network
Abdullaziz et al. Network packet payload parity based steganography
Pu et al. Secure SIP authentication scheme supporting lawful interception
Gurung et al. Healthcare privacy: how secure are the VOIP/video-conferencing tools for PHI data?
US8713310B2 (en) Method and device for authenticating transmitted user data
CN118509180B (zh) 一种动态加密通信方法及设备
Haeberlen et al. Fighting cybercrime with packet attestation
Strand et al. Improving SIP authentication
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
Ciobanu et al. Steganography and cryptography over network protocols
Cengiz A practical key agreement scheme for videoconferencing
Budzko et al. Analysis of the level of security provided by advanced information and communication technologies
PRICE et al. Network security mechanisms utilizing dynamic network address translation ldrd project
Yang et al. WSN security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL NUMBER: 2016101005591; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20160926

Effective date: 20180523

S901 Examination by remand of revocation
GRNT Written decision to grant