專利名稱:用時間接近來驗證物理接近的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)保護領(lǐng)域��,特別涉及保護數(shù)據(jù)不在遠(yuǎn)程位置被違法復(fù)制。
背景技術(shù):
數(shù)據(jù)保護正在變成在安全方面的一個日益重要的領(lǐng)域��。在許多場合����,授權(quán)復(fù)制或?qū)π畔⒌钠渌幚砼c信息對執(zhí)行復(fù)制或其它處理的設(shè)備的物理接近是相關(guān)聯(lián)的。例如�����,音頻或視頻演出被記錄在CD��、DVD等介質(zhì)上����。如果某人買了一個CD或DVD,按常規(guī)他有權(quán)復(fù)制或?qū)υ撡Y料做其它處理��,以便作備份��,或方便使用等��。當(dāng)購買資料的人希望使用該資料時�����,假定該人將使該CD或DVD在物理上處于要使用該資料的設(shè)備附近��,這不能說不合理��。另一方面���,如果該人不具有該資料的所有權(quán)�����,那么很可能他并沒有在實際上擁有該資料��,因此該資料在物理上將遠(yuǎn)離打算使用它的設(shè)備��。例如�,從因特網(wǎng)站或其它遠(yuǎn)程位置違法復(fù)制或重現(xiàn)該資料����,相當(dāng)于該資料在物理上遠(yuǎn)離用來復(fù)制該資料的設(shè)備。
與此相似�����,安全系統(tǒng)常常被配置成用于驗證與用戶相關(guān)聯(lián)的信息���,例如驗證生物學(xué)測試參數(shù)�����,例如指紋�、瞳孔掃描,等等���。在較為簡單的例子中��,安全系統(tǒng)常常被配置成用于處理用戶提供的信息�����,例如在識別標(biāo)簽�����、智能卡等包含的信息����。一般說����,被授權(quán)的用戶可以容易地提供這些信息或參數(shù),因為被授權(quán)的用戶擁有包含該信息的介質(zhì)����。相反,未授權(quán)的用戶經(jīng)常沒有包含驗證信息的原始介質(zhì)��,但是他可能有一個可以從遠(yuǎn)程位置產(chǎn)生/再生該安全信息或參數(shù)的系統(tǒng)����。
類似地,一些系統(tǒng)���,例如辦公室LAN����,或?qū)嶒炇抑械挠嬎銠C�,被配置為可通過控制對訪問這些系統(tǒng)所用的終端的物理接觸來實現(xiàn)安全。如果用戶能接觸這些系統(tǒng)��,則假定該用戶被授權(quán)訪問該系統(tǒng)���。一些安全措施����,例如身份驗證,有時也使用����,但是一般不像用于沒有物理隔離的系統(tǒng)的安全措施那樣廣泛。
發(fā)明內(nèi)容
本發(fā)明的一個目的是提供一種防止用戶在缺乏物理上擁有資料的證據(jù)下防止使用該資料的系統(tǒng)和方法���。本發(fā)明的另外一個目的是�����,在存在資料遠(yuǎn)離打算使用該資料的設(shè)備的證據(jù)的場合防止使用該資料�。本發(fā)明的再一個目的是在存在用戶遠(yuǎn)離一個系統(tǒng)的證據(jù)的場合阻止訪問該系統(tǒng)��。
通過提供一個用于評定對信息請求的響應(yīng)時間的安全系統(tǒng)來實現(xiàn)這些和其它目的��。一般說�����,物理接近相應(yīng)于時間接近��。如果響應(yīng)時間表明�����,在請求和響應(yīng)之間有很大的或異常的滯后,則該系統(tǒng)認(rèn)為���,這一滯后是由于請求和響應(yīng)必須行進很大或異常的距離所引起的,或于該請求被進行處理以產(chǎn)生響應(yīng)所引起�����,而不是由在用戶的物理擁有中的現(xiàn)有響應(yīng)作回答所引起�。如果檢測到一個很大的或異常的滯后的話,則系統(tǒng)被配置成限制當(dāng)前用戶對被保護的資料的后繼訪問�����,和/或通知安全人員響應(yīng)有異常的滯后��。
參考附圖�����,以舉例方式詳細(xì)說明本發(fā)明�����,附圖中圖1表示根據(jù)本發(fā)明的示例控制訪問系統(tǒng)。
在全部附圖中����,同樣的參考標(biāo)號指示相似的或相應(yīng)的特征或功能。
具體實施例方式
為了易于參考和理解�,本發(fā)明在這里在一種防復(fù)制模式的環(huán)境中介紹,其中���,對防復(fù)制資料的處理通過驗證該資料的用戶是否物理擁有該防復(fù)制資料來控制����。
圖1表示根據(jù)本發(fā)明的一個示例控制訪問系統(tǒng)100���?��?刂圃L問系統(tǒng)100包括一個處理器120,它配置成可處理通過訪問設(shè)備132(例如閱讀器)從例如CD 130的物理介質(zhì)來的資料�。諸如處理器120這樣的存儲介質(zhì)125可以是一個記錄設(shè)備,它從CD 130把一首或多首歌曲記錄到存儲器棒�����、匯編CD��,等等。處理器120也可以是被配置為提供適合人的感覺的輸出的播放裝置��,這種輸出例如屏幕上的圖像����,從揚聲器127發(fā)出的聲音,等等���。這里所用的術(shù)語“再現(xiàn)(rendering)”包括對由處理器120接收到的資料的處理、變換�、存儲等操作。使用這一含義和術(shù)語�,例示處理器120包括一個再現(xiàn)器122,它提供與訪問設(shè)備132的接口�,還包括一個驗證器126,它被配置為驗證授權(quán)資料130的存在���。
當(dāng)用戶開始再現(xiàn)來自介質(zhì)130的資料時�����,處理器120被配置成去驗證介質(zhì)130的存在���。實現(xiàn)這一驗證的一種方法是請求訪問設(shè)備132提供證據(jù)來證明介質(zhì)130可用于提供與該用戶正試圖再現(xiàn)的資料不同的資料或信息�����。例如���,如果用戶開始再現(xiàn)一首歌曲,則驗證器126可以指導(dǎo)再現(xiàn)器122從訪問設(shè)備132請求另一首不同歌曲的一部分���。如果訪問設(shè)備不能提供另一首不同歌曲的所請求的部分����,則驗證器126可以斷定介質(zhì)130實際上并不為這一再現(xiàn)而存在���,于是通過門電路124來結(jié)束對用戶打算再現(xiàn)的資料的后續(xù)表現(xiàn)��。
例如����,用戶可能從因特網(wǎng)144的一個遠(yuǎn)程網(wǎng)站140違法下載不同的防復(fù)制的歌曲選集�����,然后打算制作一個包含這些用戶選擇的歌曲的匯編CD�����。通常,一個完整的資料集的大小會阻礙下載含有用戶所選擇的歌曲的各個歌集����。當(dāng)驗證器126從相應(yīng)于一個實際CD 130的歌集中請求另一個不同歌曲的一部分時,從該歌集只下載用戶所選擇的歌曲的用戶將被阻止進一步再現(xiàn)該下載的資料���。
可以使用各種技術(shù)來保證響應(yīng)該請求而提供的資料相應(yīng)于在實際CD 130上包含的資料�����。例如,國際專利申請WO 01/59705(代理人文檔號US000040)提出一個自參考數(shù)據(jù)集����,其中,該數(shù)據(jù)集的每一部分����,例如防復(fù)制的歌集,可由一個部分標(biāo)識符單獨識別�����,所述部分標(biāo)識符是與每一部分可靠地關(guān)聯(lián)的。為保證多個部分的一個集合都來自同一數(shù)據(jù)集����,該數(shù)據(jù)集的一個標(biāo)識符也可靠地編碼在每一部分中。使用窮舉或隨機采樣��,通過檢查該部分和所選擇的各部分的數(shù)據(jù)集標(biāo)識符��,可以絕對地或者按照統(tǒng)計確切性來確定該數(shù)據(jù)集的完整性的存在�。
然而,上述由驗證器126提供的驗證可以因為響應(yīng)再現(xiàn)器122從包含完整歌集的遠(yuǎn)程網(wǎng)站140的請求而失敗��。也就是說����,違法用戶不是從遠(yuǎn)程網(wǎng)站140下載整個歌集,而只需要下載希望的歌曲��,并且通過提供一個CD模擬器142以模擬實際CD 130的存在���,所述CD模擬器142提供通過因特網(wǎng)144對所請求的資料或所請求的資料的幾部分進行訪問����。當(dāng)驗證器126請求歌曲的一部分或數(shù)據(jù)集的一部分時,CD模擬器142將該請求變換為從遠(yuǎn)程網(wǎng)站的下載請求�,并且所請求的部分被提供給再現(xiàn)器122,好像是從CD 130提供一樣��。假定�,為了實用,驗證器126被配置成只檢查一個歌集的少數(shù)幾個部分�����,與下載整個歌集相比�����,CD模擬器142將導(dǎo)致數(shù)據(jù)傳輸量的顯著減少�����,從而對違法下載選擇的歌曲是更可取的��。
根據(jù)本發(fā)明�����,處理器120包括一個定時器���,它被配置為測量來自驗證器126的請求和來自外部源(無論是實際CD 130還是遠(yuǎn)程源140)的響應(yīng)之間的時間�,以便利于由驗證器126評估對響應(yīng)源的物理接近度��。在一個優(yōu)選的實施例中���,驗證器126被配置成能對響應(yīng)時間進行過濾或取平均��,以便允許來自授權(quán)源130的響應(yīng)時間中的少量變化���,而仍能區(qū)分來自物理遠(yuǎn)程源140的響應(yīng)。例如�,使用常規(guī)統(tǒng)計技術(shù),驗證器126可以繼續(xù)請求未知源的部分�����,直到檢測到與本地源130的期望響應(yīng)時間在統(tǒng)計上有明顯的差別��。在一個較簡單的例子中�,如果響應(yīng)時間在M次中有N次低于延遲門限,則驗證器126被配置成判定該數(shù)據(jù)源一定是本地的����。關(guān)于本發(fā)明公開,對于一般熟悉本技術(shù)領(lǐng)域的人來說,根據(jù)時間接近性評估物理接近性的這些和其它技術(shù)是十分明顯的����。
本發(fā)明的原理也可以應(yīng)用于其它用途。例如����,在一個相似的用途中,再現(xiàn)器122和訪問設(shè)備132可以是詢問-應(yīng)答設(shè)備�����,它們被配置為交換安全密鑰�����,例如使用智能卡作為介質(zhì)130����。如果一個未授權(quán)用戶試圖通過訪問一個有潛在可能克服交換安全的系統(tǒng)而處理詢問-應(yīng)答來交換密鑰,則定時器128將能夠檢測到在詢問和應(yīng)答之間的異常延遲�����,從而終止密鑰的交換�����。與此相似�,如果一個系統(tǒng)期望所有的訪問都是來自位于一個公共的在物理上安全的區(qū)域中的終端,則如果該系統(tǒng)成為一個遠(yuǎn)程訪問“黑客”或來自該物理安全區(qū)域外的其它嘗試訪問的目標(biāo)的話����,那么定時器128將能夠檢測到異常的滯后。
優(yōu)選地��,驗證器126被配置成可以請求隨機源信息��。在CD介質(zhì)130的例子中���,驗證器126被配置成可以請求訪問介質(zhì)130上隨機選擇的部分����,直到確認(rèn)該源究竟是本地的還是遠(yuǎn)程的���。在另外的應(yīng)用中�,驗證器126被配置成僅僅對在請求設(shè)備122和訪問設(shè)備132之間例行發(fā)生的事務(wù)處理進行監(jiān)視和計時以檢測異常長的響應(yīng)時間���。在其它的應(yīng)用中����,驗證器126可以僅控制例行數(shù)據(jù)訪問請求發(fā)生的順序。例如���,當(dāng)讀來自一個用戶的識別設(shè)備的信息時�,可以把驗證器配置成使它有時首先詢問該用戶的名字�,接著詢問識別號碼、指紋�,等等;在下一次通話時�����,驗證器126可以首先詢問識別號碼�、接著詢問嗓音,等等����,從而防止預(yù)先記錄好的響應(yīng)序列。
相似地���,在打算防止從遠(yuǎn)程網(wǎng)站下載數(shù)據(jù)的應(yīng)用中�����,在圖1的例子中的驗證器126可以僅以不同的順序來請求被請求的數(shù)據(jù)中的幾部分來判定所請求的數(shù)據(jù)是本地的還是遠(yuǎn)程的����。與此相似����,為防止從網(wǎng)絡(luò)未授權(quán)下載信息,可以把驗證器和定時器設(shè)置在該遠(yuǎn)程網(wǎng)站��,并且配置為能測量數(shù)據(jù)的傳輸時間�。例如,在具有錯誤檢測能力的常規(guī)網(wǎng)絡(luò)中��,可以把驗證器配置成故意地發(fā)送錯誤數(shù)據(jù)或一個錯誤序列的數(shù)據(jù)并測量到發(fā)出請求重新傳輸?shù)某掷m(xù)時間����。如果接收網(wǎng)站是本地的,則請求重新傳輸應(yīng)該比如果接收網(wǎng)站是遠(yuǎn)程的要快得多�����。在本例中�����,錯誤發(fā)送構(gòu)成了“請求”以便得到接收系統(tǒng)的“響應(yīng)”。這些和其它定時模式對于熟悉本技術(shù)領(lǐng)域的人員是十分顯然的�����。
上面說明的僅描繪了本發(fā)明的原理�。由此可以理解,熟悉本技術(shù)領(lǐng)域的人員將能夠設(shè)計各種方案�,它們雖然未在這里明確說明和表示,但是體現(xiàn)了本發(fā)明的原理�,因此屬于其范圍之內(nèi)。例如��,雖然在檢測異常慢的響應(yīng)的環(huán)境中說明了本發(fā)明��,但是本發(fā)明的原理也可以應(yīng)用于檢測異?��?斓捻憫?yīng)�����。例如�,如果一個系統(tǒng)被配置成能從一個卡的磁條上讀信息�,則會存在一個與刷卡相關(guān)聯(lián)的所期望的滯后。如果例如從一個被配置成旁通磁條閱讀機的計算機提供的信息沒有這個滯后�,則可發(fā)出一個安全警報�。根據(jù)本發(fā)明公開�,這些和其它的系統(tǒng)配置和優(yōu)化的特征對于熟悉本技術(shù)領(lǐng)域的人員來說是十分明顯的,因而包括在后面的權(quán)利要求的范圍內(nèi)�。
本發(fā)明可以借助包括幾個不同元件的硬件和借助一個適當(dāng)編程的計算機實現(xiàn)���。
權(quán)利要求
1.一種安全系統(tǒng)��,包括一個處理器(120)和一個訪問設(shè)備(132)����,被配置成用于在它們之間執(zhí)行一個詢問-應(yīng)答協(xié)議�,在該協(xié)議期間一個安全密鑰受到質(zhì)詢;一個定時器(128)�����,被配置成用于測量一個應(yīng)答相對于在所述協(xié)議期間發(fā)送的一個詢問的滯后���;一個驗證器(126)�,被配置成在該測量滯后與一個預(yù)期的應(yīng)答時間有顯著的差別的情況下使得該協(xié)議被中止��。
2.如權(quán)利要求1要求的安全系統(tǒng)��,其中該差別與一個或多個請求的第一個源與一個或多個應(yīng)簽的第二個源之間的物理接近性相關(guān)。
3.如權(quán)利要求1要求的安全系統(tǒng)�,其中對該應(yīng)答時間的評估構(gòu)成對該一個或多個應(yīng)答是不是通過網(wǎng)絡(luò)連接而被傳送的評估。
全文摘要
安全系統(tǒng)(100)評估對信息的請求的響應(yīng)時間����,以決定響應(yīng)的系統(tǒng)(132,142)是否在物理上接近發(fā)請求的系統(tǒng)�����。一般說����,物理接近相應(yīng)于時間接近。如果響應(yīng)時間表明在請求和響應(yīng)之間有很大或異常的滯后�����,則系統(tǒng)認(rèn)為該滯后是由于請求和響應(yīng)必須行進很大或異常的物理距離所引起���,或由于請求必須進行處理以產(chǎn)生響應(yīng)所引起���,而不是由在用戶的物理擁有中現(xiàn)存的響應(yīng)來進行回答。如果檢測到很大或異常的滯后,例如由于信息從因特網(wǎng)(140�,144)下載,則系統(tǒng)(100)被配置成可限制該當(dāng)前用戶對被保護的資料的后繼訪問���,和/或向安全人員通知該異常的響應(yīng)滯后��。
文檔編號G06F21/00GK101052042SQ200710092190
公開日2007年10月10日 申請日期2002年6月28日 優(yōu)先權(quán)日2001年6月28日
發(fā)明者M·埃普斯坦 申請人:皇家飛利浦電子股份有限公司