专利名称:带有反模拟机制的服务传送设备、系统和方法
技术领域:
本发明一般地涉及网络,更具体地,涉及客户端-服务器网络中的 安全服务传送。
背景技术:
在网络中,使服务器向客户端提供服务是非常普遍的。通常具有 用户的客户端从服务器要求服务,通常在验证了客户端具有访问该服 务的权利之后,所述服务器向客户端提供该服务。这种设备的示例是 视频点播、文件打印以及对锁定的门的解锁。
不幸的是,有些所谓的"黑客"或"侵权者"在不具有访问这些 服务的权利的情况下,试图访问这些服务。为此,他们使用各种技术 来克服网络中的安全解决方案。
试图阻止黑客努力的解决方案之一是相互认证,即,客户端对服 务器进行认证,以确保其为可靠服务器,反之亦然。使用有效的或经 签名标识的提交、用户名和关联的密码的提交、或涉及对称或非对称 密码术的协议,来执行该认证。
另一解决方案是使用封闭的平台,这种平台使反向工程师难以恢 复平台的秘密或修改平台的行为。通常与诸如认证之类的其他方案结
合使用的该方案用于例如,游戏站(如PlayStation和Xbox)、付费 电视系统中的机顶盒、三重播放调制解调器(如Freebox和Livebox) 或移动电话。当然,这与个人计算机(PC)非常不同,对于个人计算 机,争论在于其力量源于结构的多样性。
虽然充分模拟封闭的平台以对服务器假扮该平台是很困难的,但 己经表明,这不是不可能的。该问题的标准解决方案是撤销 (revocation)。当系统的权威机构意识到客户端已被破解时,将该客 户端放到撤销列表上。在认证期间,服务器首先验证客户端是否在撤销列表上,如果是,则拒绝服务。在本申请的情况下,"对平台进行模 拟"的意思是模拟平台意欲使用特定硬件、使用特定操作系统、运
行特定应用、或者其组合。此外,验证客户端未被模拟(non-emulated) 是指验证该客户端使用特定硬件、使用特定操作系统、使用特定应 用、或者其组合。
为了使该撤销有效,系统的权威机构需要意识到设备已被破解。 这可能会花费很长时间,在此期间,黑客可以继续享用这些服务,或 更糟糕的情况是,黑客让其他人知道了如何模拟该设备,以使得许多 人可以使用这些服务。
由此,可以认识到,有必要对当前的安全方案加以改进,得到更 好的方案,以使黑客模拟客户端设备变得更困难。
本发明提供了这样的方案。
发明内容
在第一方面中,本发明的目的是提供一种向设备传送服务的方法。 接收与该设备相关联的标识以及该设备所希望的服务的标识符。然后, 该方法验证该标识被授权访问所希望的服务,并验证该设备未被模拟。 然后,向该设备提供该服务。
在优选实施例中,该服务是对加扰内容的传送,且通过提供对该 内容进行解扰所需的至少一个密钥,并提供该加扰内容,来提供该服
在第二方面中,本发明的目的是提供一种适于向设备传送服务的
系统。系统服务器适于接收与该设备相关联的标识以及该设备所希 望的服务的标识符;验证该标识被授权访问所希望的设备,并验证该 设备未被模拟。服务服务器(service server)适于向客户端提供服务, 且系统服务器还适于指示该服务服务器向客户端提供服务。
在优选实施例中,服务服务器是适于向客户端提供加扰内容的内 容服务器,系统服务器还适于向客户端提供对内容进行解扰所需的至 少一个密钥。
有利地,所述系统还包括内容预处理器,其适于准备用于传送
5的内容;以及向内容服务器提供加扰内容,并向系统服务器提供至少 一个相应的解扰密钥。
在第三方面中,本发明的目的是提供一种包括处理器的客户端, 所述处理器适于通过通信单元,将与客户端相关联的标识以及所希 望的服务的标识符发送到系统服务器;执行至少一个动作,以向系统 服务器证明客户端未被模拟;以及通过通信单元来接收所希望的服务。
在第四方面中,本发明涉及一种系统服务器,该系统服务器适于 向设备传送服务。所述系统服务器包括处理器,其适于接收与所述 设备相关联的标识以及该设备所希望的服务的标识符;验证该标识被 授权访问所希望的服务,并验证该设备未被模拟;以及指示服务服务 器向该设备提供服务。
现在将参照附图,作为示例来描述本发明的优选特征,在附图中 图1示出了根据本发明的优选实施例的系统;以及 图2示出了根据本发明的优选实施例的服务传送的方法。
具体实施例方式
虽然以下的描述涉及视频点播的传送,但应当理解这仅仅是示 例,也可以向客户端传送其他服务。
图1示出了其中使用本发明的网络100。客户端110适于与系统服务 器120和内容服务器130进行交互。另外,还有内容预处理器140,其适 于与系统服务器120和内容服务器130进行交互。虽然仅针对客户端IIO 示出(除系统服务器120的处理器121以外),但每个设备IIO、 120、 130、 140都至少装配有处理器(CPU) 111、存储器112和通信接口 (I/O) 113。 应当注意,可以将系统服务器120、内容服务器130和/或内容预处理器 140的任何组合共同位于一个物理设备内,或在该物理设备内实际地实
现这些组合。此外,在物理上,可以在多个物理设备中实现每个设备。 图2示出了根据本发明的服务传送方法的优选实施例。在第一阶 段中,内容预处理器140准备内容210,该准备步骤优选地通过如下步骤来完成使用每内容单元(例如歌曲或电影场景) 一个的内容加扰
密钥K,t来对内容C进行加扰。内容预处理器140向系统服务器120发 送212内容加扰密钥,还向内容服务器130发送214加扰内容C'。即使当 客户110联系系统服务器120以访问内容C时,也可以在内容传送之前 的任何时间,执行该内容准备。
还可以随时间一次或更多次更新该内容准备。在优选实施例中, 使用AES-128——即带有128比特密钥的先进加密标准(Advanced Encryption Standard)的加密——来对内容进行加扰。 由图2中的虚线表示第一阶段与第二阶段的分离。 当用户选择一项或更多项内容216时,第二阶段开始;在以下描 述中,为了简明,将仅使用一项。客户端110联系系统服务器120,它 们建立218安全连接,如本领域中公知的那样,该安全连接优选地为安 全套接字协议层(SSL, Secure Socket Layer)连接。在该步骤,客户 端与服务器就共享的隧道密钥KssL达成一致。在SSL的标准使用中, SSL允许客户端对服务器进行认证。如果客户端具有证书,则SSL还可 以用于客户端认证。然而,在本发明的优选实施例中,客户端不具有 证书。然后,客户端110通过连接向系统服务器120发送220标识(ID) (例如客户端标识或用户标识)以及至少 一 个内容标识符 (CONT—ID)。在本发明的优选实施例中,以密钥KssL对该标识进行 加密,并发送该标识。在接收到该标识(ID)和标识符(CONTJD) 时,系统服务器120验证222用户或客户端被授权访问所选内容。因此, 可以认识到,在该步骤处,客户端与服务器相互认证。
如果验证222成功,则系统服务器120验证224客户端110运行于正 确的平台上;换句话说,验证客户端110未被模拟。合适的平台的意思 是它使用期望的处理器,操作期望的操作系统,并运行期望的应用。 这可以通过例如以下步骤来完成向客户端110传送应用,要求客户端 110以临界模式(critical mode,即没有中断)来执行该应用,然后向 系统服务器120返回计算所需的循环次数。由于系统服务器120是可能 验证循环次数正确的,因此,这至少可以大大提高客户110未被模拟的 可能性。可选的可能性是向客户端110发送密码质询(cryptographicchallenge)。要求预定次数的迭代,以解答密码质询,并且一旦客户端 110已解答了密码质询,客户端UO就返回迭代的次数,并可能返回结 果。虽然模拟的客户端可以解答密码质询,但模拟能够以期望的迭代 次数解答该密码质询的客户端是困难的。密码质询的示例是密钥搜索。 例如,客户端接收未加密的文本以及该文本的已加密版本,然后遵循 所确定的算法来搜索加密密钥。由此,可选的可能性也至少大大提高 了客户端110未被模拟的可能性。
如果验证222或验证224失败,则系统服务器120中断与客户端110 的事务处理。
如果客户端110传递"未被模拟"验证224,则系统服务器120向 客户端110发送226内容加扰密钥K,t,并通知228内容服务器B0:可 以将内容传送给客户端IIO。在优选实施例中,以密钥Ks^对内容加扰 密钥K自t进行加密,并将其发送。然后,内容服务器130将加扰后的内 容C'传送230给客户端110,该客户端110可以使用从系统服务器120接 收到的内容加扰密钥K,t来对该内容进行解扰,并且使该内容可由用 户访问232。可以认识到,在封闭平台的情况下,Ke。nt对于终端用户通 常永不可用,终端用户因此可能无法访问清楚的数字内容。
因此,可以认识到,本发明提供了一种系统和一种方法,所述系 统和方法提高了如下可能性将服务传送到真实的客户端,而不是被 模拟的客户端。
应当理解,仅仅作为示例描述了本发明,且在不背离本发明范围 的情况下,可以对细节作出修改。
还应理解, 一种物理设备可能提供多于一种如上所述的设备的功能。
可以独立地或以任何适当的组合,来提供说明书、(在适当处) 权利要求以及附图中所公开每个特征。所述在硬件中实现的特征也可 以在软件中得以实现,反之亦然。可以在适当处将连接实现为无线连 接或有线连接,但不必是直接或专用的连接。
权利要求中出现的参考标记仅作为示意,对权利要求的范围没有 限制作用。
权利要求
1. 一种向设备(110)传送服务的方法,所述方法包括以下步骤接收(220)与所述设备(110)相关联的标识(ID);接收(220)所述设备(110)所希望的服务的标识符(CONT_ID);验证(222)所述标识(ID)被授权访问所希望的服务;验证(224)所述设备(110)未被模拟;以及向所述设备(110)提供(226,228,230)所述服务。
2. 根据权利要求l所述的方法,其中验证所述设备未被模拟的步 骤包括以下步骤向所述设备发送应用; 要求所述设备以临界模式执行所述应用;从所述设备接收响应,所述响应包括计算所需的循环次数;以及 验证所接收的循环次数与期望的循环次数相对应。
3. 根据权利要求l所述的方法,其中验证所述设备未被模拟的步 骤包括以下步骤向所述设备发送密码质询,所述密码质询需要多次迭代来解答; 从所述设备接收由所述设备解答所述密码质询所需的迭代次数;以及验证所接收的迭代次数与期望的迭代次数相对应。
4. 根据权利要求3所述的方法,其中所述密码质询是密钥搜索。
5. 根据权利要求l所述的方法,其中所述服务是对加扰内容(C') 的传送,以及所述提供(226, 228, 230)步骤包括以下步骤提供(226)对所述内容进行解扰所需的至少一个密钥(Ke。nt);以及提供(230)所述加扰内容(C,)。
6. —种适于向设备(100)传送服务的系统,所述系统包括 系统服务器(120),适于接收与所述设备(110)相关联的标识(ID);接收所述设备(110)所希望的服务的标识符(CONT—ID);验证所述标识(110)被授权访问所希望的服务;以及验证所述设备(110)未被模拟;以及 服务服务器(130),适于向所述设备(110)提供服务; 其中,所述系统服务器(120)还适于指示所述服务服务器(130) 向所述设备(110)提供服务。
7. 根据权利要求6所述的系统,其中,所述服务服务器(130) 是适于向所述设备(110)提供加扰内容(C,)的内容服务器,且所述 系统服务器(120)还适于向所述设备(110)提供对内容进行解扰所 需的至少一个密钥(Ke。nt)。
8. 根据权利要求7所述的系统,还包括内容预处理器(140), 适于准备用于传送的内容,以及向所述内容服务器(130)提供加扰 内容(C'),并向所述系统服务器(120)提供至少一个相应的解扰密 钢C K,t) c
9. 一种包括处理器(111)的设备(110),所述处理器(111)适于通过通信单元(113),将与所述设备(110)相关联的标识以及所希望的服务的标识符发送到系统服务器(120);执行至少一个动作,以向系统服务器(120)证明所述设备未被 模拟;以及通过通信单元(113)来接收所希望的服务。
10. —种适于向设备(100)传送服务的系统服务器(120),所述 系统服务器(120)包括处理器(121),所述处理器(121)适于接收与所述设备(110)相关联的标识(ID); 接收所述设备(110)所希望的服务的标识符(CONT—ID); 验证所述标识(110)被授权访问所希望的服务;以及 验证所述设备(110)未被模拟;以及 指示服务服务器(130)向所述设备(110)提供服务。
全文摘要
本发明公开了一种向客户端(110)传送服务的方法,其中,客户端(110)选择(216)服务,并建立与系统服务器(120)的连接,客户端(110)向系统服务器(120)发送与客户端(110)相关联的标识(ID)以及服务的标识符(CONT ID)。系统服务器(120)验证(222)客户端(110)被授权访问该服务,并验证(224)客户端(110未被模拟。如果通过验证,则向客户端(110)提供该服务。在优选实施例中,该服务是加扰内容(C’),系统服务器(120)向客户端(110)提供(226)解扰密钥(K<sub>cont</sub>),并指示(228)内容服务器(130)向客户端(110)提供(230)加扰内容(C’)。本发明还要求保护一种设备、一种系统以及一种系统服务器。
文档编号G06F21/31GK101438564SQ200780016639
公开日2009年5月20日 申请日期2007年5月4日 优先权日2006年5月9日
发明者埃里克·迪尔, 奥利维耶·赫恩, 阿兰·迪朗 申请人:汤姆森许可贸易公司