一种克隆终端设备的检测方法及系统

本发明涉及通信传输技术领域，主要涉及双向网络内容保护系统，特别涉及一种克隆终端设备的检测方法及系统。 

随着通信技术的发展，终端电脑用户可以通过有线或无线方式连接到Internet，对服务器提供的网络资源进行访问。为了保证访问的内容安全，通常终端用户与服务器之间都是通过协议进行通信的。 

在内容保护系统中，前端服务器向终端用户发送密文媒体内容，终端用户在获得媒体内容的同时，还需要获得媒体内容的内容许可证，才可以解密观看媒体内容。为了实现数字内容的安全传输和授权控制，采用基于PKI(Public Key Infrastructure，公钥基础设施)体系结构的双向认证方式，建立前端与终端的相互安全信任关系；由DRM(Digital Rights Management，数字版权管理)认证中心管理证书的颁发、维护、收回，采用x.509国际标准证书格式，建立多层密钥体系，使用对称密钥与非对称密钥相结合的方式逐层加密媒体内容。 

但在实际操作中，存在一些非法用户克隆合法用户信息的现象，非法终端伪造成合法终端接入网络随意获取服务，访问网络资源，而发生的费用会计到合法终端用户身上，严重损害了运营商和消费者的利益。因此，解决非法终端接入网络问题对于维护网络安全、保护运营商及消费者的利益有着重要作用。 

现有技术中，公开了一种判断克隆终端设备的方法为：前端服务器将每个终端设备的行为信息(包括公钥、会话密钥、IP以及授权请求)进行保存，并 实时进行监控和统计这几项行为信息的更新次数，当终端行为信息达到一定阈值，表明该终端用户被克隆。 

公开号为CN102098674A的发明专利中公开了一种克隆设备的检测方法和装置，该方法包括：鉴权、授权、计费服务器接收到终端的技术请求时，如果检测到已存在与所述终端设备标识信息相同的终端的会话，则表示存在克隆设备。 

比较上述两种方法，前者只是从前端服务器单一方面进行统计和检测，而且该方法只有当终端克隆行为达到某一定量级时，才能确定克隆终端，这种“事后处理”式的检测方法对运营商和消费者的利益造成一定程度的损害；后者虽然对系统影响较小，具有一定的成本优势，但单一的检测方式存在合法终端被误锁的可能。为了克服现有技术中存在的不足，本发明提出一种克隆终端设备的检测方法。 

本发明要解决的技术问题是提供一种克隆终端设备的检测方法及系统，克服了现有技术中的缺陷，避免一个账户由多个终端设备同时接入网络的情况，减少了运营商和合法终端用户的损失。 

一种克隆终端设备的检测方法，基于由前端服务器和一定数量的终端设备组成的网络进行检测，所述方法包括如下步骤： 

S1.前端服务器接收终端设备的接入申请，经密钥协商后进行会话，如果存在相同终端设备的接入申请，采用不同密钥间隔协商允许的方式进行会话； 

S2.前端服务器记录并存储每个终端设备的信息以及与前端服务器通信的行为信息； 

S3.结合终端设备的信息及行为信息判断终端设备是否被克隆。 

进一步地，所述步骤S1中密钥协商的过程具体为每台终端设备使用不同的临时密钥向前端服务器提出内容许可证申请，前端服务器发现该内容许可证申请产生一个会话密钥授权给终端设备下次申请使用，会话密钥保存在终端设备的内存中。 

进一步地，所述步骤S1中间隔协商允许的方式具体为相同终端设备向前端服务器提出内容许可证申请时，每台终端设备首次使用临时密钥向前端服务器提出内容许可证申请，前端服务器产生一个会话密钥授权给终端设备下次申请使用，终端设备使用保存的会话密钥再次申请内容许可证时，申请失败，需要终端设备反复重启进行内容许可证申请。 

进一步地，所述步骤S2中终端设备的信息包括设备ID标识信息、用户证书、用户公私钥。 

进一步地，所述步骤S2中终端设备的行为信息包括终端设备的IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数。 

进一步地，相同终端设备间在申请内容许可证时，通过间隔协商允许方式造成相互干扰，根据合法终端用户第一时间向运营商反映异常情况，判断终端设备被非法克隆。 

进一步地，当某个终端设备的一个或几个行为信息变化次数在规定周期内明显高于其他终端设备或者超过某一特定阈值时，判断终端设备被非法克隆。 

本发明还公开一种采用上述方法进行克隆终端设备检测的系统，所述系统包括： 

密钥协商单元，用于前端服务器与终端设备密钥协商后进行会话，如存在相同终端设备的接入申请，密钥协商单元采用不同密钥间隔协商允许的方式进 行会话； 

记录存储单元，记录并存储每个终端设备的信息及与前端服务器通信的行为信息； 

信息处理单元，根据终端设备的信息及行为信息判断终端设备是否被克隆； 

其中，密钥协商单元与信息处理单元位于前端服务器上，前端服务器与终端设备通过有线或无线方式进行连接，经密钥协商单元进行会话，记录存储单元记录并存储终端设备的信息及行为信息，由信息处理单元根据记录存储的终端设备的信息判断出克隆终端设备。 

进一步地，所述记录存储单元位于前端服务器上，存储前端服务器与终端设备协商出的会话密钥。 

进一步地，所述记录存储单元位于终端设备上，用于存储前端服务器与终端设备协商出的会话密钥、终端设备产生的公私钥和临时密钥。 

进一步地，所述终端设备的行为信息包括终端设备的IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数。 

进一步地，所述信息处理单元根据当某一终端设备的一个或几个行为信息变化次数在规定周期内明显高于其他终端设备或者超过某一特定阈值时，判断终端设备被非法克隆。 

进一步地，所述系统还包括报警装置，所述报警装置包括显示单元、发声单元或其组合，用于提示克隆终端设备存在。 

本发明采用了“事发干扰”与“事后监控”两种方式相结合的检测处理方法，使得终端设备与克隆终端设备在申请内容许可证的过程中相互干扰、相互监督，同时增加了前端服务器对终端设备行为信息的检测项，完善了检测机制和解析策略，避免出现合法终端设备被误锁。该检测系统结构简单易操作，能 够及时发现克隆设备，大大提高了克隆检测的准确度，缩短了克隆检测周期，有利于维护网络的安全运行及网络参与者的利益。 

图1为本发明克隆终端设备的检测方法的流程图； 

图2(a)为密钥协商流程图； 

图2(b)为密钥协商示意图； 

图3为本发明克隆终端设备的检测系统的原理框图。 

本发明的技术原理：本发明提出的一种克隆终端设备的检测方法，采用“事发干扰”与“事后监控”两种方式相结合的双重处理策略。 

“事发干扰”是指在申请内容许可证时，合法终端设备与克隆终端设备会协商出不同的密钥来加密内容许可证，通过间隔协商允许的方式使得终端设备必须反复重启，才能申请到内容许可证，解密观看节目。合法终端用户会在第一时间向运营商反映这种无法正常观看节目的现象，运营商会采取有效措施及时解决克隆问题。而无法正常观看节目的干扰使得克隆终端设备失去意义。 

“事后监控”是指终端设备与前端服务器通信时，前端服务器记录并存储终端信息以及与前端通信的行为信息。行为信息主要包括：IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等。当某个终端设备的一个或几个行为信息变化次数在规定周期内明显高于其他终端设备或者超过某一特定阈值时，说明此终端被非法克隆，前端服务器将列出该终端用户的相关信息，供运营商参考解决克隆问题。 

为详细说明本发明的技术内容、所实现目的及效果，以下结合实施方式并配合附图予以详细说明。 

参见图1，本发明克隆终端设备的检测方法包括如下步骤： 

S1.前端服务器接收终端设备的接入申请，经密钥协商后进行会话，如果存在相同终端设备的接入申请，采用间隔协商允许的方式进行会话； 

S2.前端服务器记录并存储每个终端设备的信息以及与前端服务器通信的行为信息； 

S3.结合终端设备的信息及行为信息判断终端设备是否被克隆。 

该方法具体步骤为： 

1.密钥协商过程 

在内容保护系统中，终端设备需要与前端服务器通过密钥协商，生成一个加密内容许可证的密钥，然后前端服务器将内容许可证加密传输，终端设备解密获得内容许可证，再解密并观看媒体内容。在密钥协商过程中，需要使用公钥、私钥、临时密钥和会话密钥四种密钥。 

其中，公私密钥(Public Key，PubKey；Private Key，PriKey)：是终端按照RSA算法生成的一对非对称的公私密钥对，公钥和私钥可以相互加密和解密。 

临时密钥(TempKey，TK)：是终端生成的密钥，属于对称密钥。终端首次申请内容许可证或者重启终端再申请内容许可证时产生临时密钥，用于加密内容许可证。临时密钥临时保存在内存中，一次通信完成后自动销毁。 

会话密钥(Session Key，SK)：是前端服务器生成的密钥，属于对称密钥。前端服务器发现终端使用临时密钥申请内容许可证时，附加下发会话密钥供终端下次申请时使用，用于加密内容许可证。会话密钥保存在终端内存中，终端 重启后自动销毁。前端服务器也会保存会话密钥，但是只会为一个终端保存一个最新的会话密钥。 

本技术方案，前端服务器在与终端设备的密钥协商过程中，通过判断是否完成协商密钥过程，是否为该终端设备分配了协商密钥，保证合法的终端设备与克隆的终端设备使用不同的密钥加密内容许可证。 

参见图2(a)和图2(b)，为密钥协商的示意图。图2(a)和图2(b)示出了当相同终端设备向前端服务器提出接入申请时，前端服务器采用间隔协商允许的方式让终端设备访问服务器上的内容。终端设备首次向前端服务器提出接入申请，内容许可证申请成功，终端设备再次向前端服务器提出接入申请，内容许可证申请失败，终端设备重启后向前端服务器提出接入申请，内容许可证申请成功，终端设备再次向服务器提出接入申请，申请内容许可证再次失败，以此类推，必须反复重启才能成功申请内容许可证。 

具体来说，密钥协商的具体步骤如下： 

101.第一次密钥协商，申请内容许可证成功 

如场景1所示，终端设备1首次向前端服务器提出接入申请，前端服务器与终端设备1进行密钥协商，终端设备1使用临时密钥TK1申请内容许可证，前端服务器发现临时密钥内容许可证申请时，产生一会话密钥SK1授权给终端设备1下次访问使用，内容许可证申请成功，前端服务器保存协商出的会话密钥SK1。 

201.第一次密钥协商，申请内容许可证成功 

如场景2所示，终端设备2首次向前端服务器提出接入申请，前端服务器与终端设备2进行密钥协商，终端设备2使用临时密钥TK2申请内容许可证，前端服务器发现临时密钥内容许可证申请时，产生一会话密钥SK2授权给终端 设备2下次访问使用，内容许可证申请成功，前端服务器保存协商出的会话密钥SK2。 

102.第二次申请内容许可证失败 

如场景3所示，终端设备1再次申请内容许可证时，终端设备1使用内存中保存的SK1申请内容许可证时，申请失败。 

202.第二次申请内容许可证失败 

如场景4所示，终端设备2再次申请内容许可证时，终端设备2使用内存中保存的SK2申请内容许可证时，申请失败。 

103.第三次重新进行密钥协商，申请内容许可证成功 

如场景5所示，终端设备1重启后向前端服务器提出接入申请，前端服务器与终端设备1进行密钥协商，终端设备1使用临时密钥TK3申请内容许可证，前端服务器发现临时密钥内容许可证申请时，产生一会话密钥SK3授权给终端设备1下次访问使用，内容许可证申请成功，前端服务器保存协商出的会话密钥SK3。 

203.第三次重新进行密钥协商，申请内容许可证成功 

如场景6所示，终端设备2重启后向前端服务器提出接入申请，前端服务器与终端设备2进行密钥协商，终端设备2使用临时密钥TK4申请内容许可证，前端服务器发现临时密钥内容许可证申请时，产生一会话密钥SK4授权给终端设备2下次访问使用，内容许可证申请成功，前端服务器保存协商出的会话密钥SK4。 

以此类推，当终端设备1再次申请内容许可证时，申请失败，重启后才能再次成功申请内容许可证，同理，当终端设备2再次申请内容许可证时，申请失败，重启后才能再次成功申请内容许可证。上述密钥协商协商的过程只是以 两台终端设备为例进行了说明，这种“事发干扰”的方式在一定程度上干扰了终端用户的观看，合法的终端用户会在第一时间向运营商反映异常情况，运营商会采取有效措施及时发现、解决克隆问题。而这种无法正常观看节目的干扰使得克隆终端设备失去友好操作性。 

2.终端设备的信息和行为信息 

相同终端设备在向服务器提出接入申请时，除终端设备相互干扰的措施外，前端服务器会记录并保存每个终端设备的信息以及终端设备与前端服务器通信的行为信息。当终端设备被大批量克隆使用时，记录并保存的终端设备信息机行为信息成为“事后监控”克隆终端的依据，提供给供应商和运营商参考。 

当终端设备被大量克隆后，就产生了多个非法的终端设备，这些非法终端设备具有与合法终端设备相同的标识信息、相同的用户证书和相同的用户公私钥等信息。终端设备的行为信息涉及终端设备的IP、会话密钥、临时密钥、授权请求、包ID异常等信息。当第1个终端设备连接前端服务器时，前端服务器记录下该终端设备的IP、会话密钥、临时密钥、包ID等信息。当第2个终端设备连接前端服务器时，前端服务器不仅会记录下该终端设备的IP、会话密钥、临时密钥、包ID等信息，还会记录下IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等信息。以此类推，根据当该终端设备的一个或几个行为信息变化次数在规定周期内明显高于其他终端设备或者超过某一特定阈值时，判断终端设备被非法克隆，运营商会采取有效措施及时解决克隆问题。 

参见下表，表(a)和表(b)示出了一终端设备被大量克隆后在一段时间内的行为信息及详细行为信息，运营商据此可以出克隆终端设备并及时解决克隆问题，保护了自身及消费者的利益，有利于网络安全运行。 

表(a) 

表(b) 

  终端设备ID   请求IP   请求类型   操作时间

  88881234   218.240.129.45   授权请求   2011‑03‑01 16:30:15

  88881234   218.240.129.88   授权请求   2011‑03‑01 16:32:18

  88881234   218.240.129.129   授权请求   2011‑03‑01 16:34:59

  88881234   218.240.129.138   授权请求   2011‑03‑01 16:36:45

  …   …   …   …

表(a)示出了终端设备ID为88881234被大量非法克隆后，克隆终端设备向前端服务器提出接入申请的行为信息记录，其中IP更新次数100、会话密钥更新次数65、授权请求更新次数178、临时密钥更新次数65、包ID异常次数60都远远高于没有被克隆的终端设备88881235的行为信息变化次数，由此可发现该终端设备异常。然后查该终端设备ID88881234在规定周期内(如从2011‑03‑01 16:30至2011‑03‑01 16:40这段时间)的详细行为信息，由表(b)可知，该终端设备在此时间段内较短时间间隔用多个IP地址进行登录，从而可以判断此终端设备ID88881234被克隆。 

表(a)中只是列举了两个终端设备在某段时间内的行为信息变化的点值，根据不同行为信息变化的规律及特点，判断标准也不同。以IP更新次数为例，设规定周期为24小时，IP更新次数超过N次即判断IP更新次数明显高于其他终端设备，其中N值可选，如5、10、20、30、50、100等。会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等也可按照类似方法进行判断。 

此外，通过监测IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等在规定周期内超过某一特定阈值时，据此可以判断该终端设备被克隆，该方法阈值设定需要参考大量样本进行优选，可调节性较大，能够及时发现可能存在克隆现象。具体判断方法举例如下： 

(1)统计每个终端IP的更新次数 

如设IP更新次数阈值为5，规定周期设为24小时。每个终端授权请求的IP地址，可能会因为DHCP分配而改变，但这种变化的频率比较低，在典型的部署中一般是几天，几个星期或几个月一次，很少低于24小时。如果在24小时之内，IP的更新次数为5或者以上，那么表示该终端可能被克隆。 

(2)统计每个终端授权请求的更新次数 

如设授权请求更新次数阈值为10，每个终端在开机时自动更新授权，之后每隔一个更新周期(半天)自动更新授权。如果在更新周期内，更新次数远大于10，那么表示该终端可能被克隆。 

上述通过规定周期内超过某一特定阈值判断终端设备被克隆，只是列举了终端设备在某段时间内自身的行为信息变化的点值来进行判断，根据不同行为信息变化的规律及特点，阈值设定也不同。以IP更新次数为例，设规定周期为24小时，IP更新次数阈值为K，即在此规定时间内IP更新次数超过K次即判断终端设备被克隆，其中K值可选，如5、8、15、25、50、75等。会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等也可按照类似方法进行判断。 

参见图3，为采用上述方法进行克隆终端设备检测的系统原理框图。该检测系统包括密钥协商单元、记录存储单元和信息处理单元。其中，密钥协商单元用于前端服务器与终端设备密钥协商后进行会话，如存在相同终端设备的接入 申请，密钥协商单元采用不同密钥间隔协商允许的方式进行会话；记录存储单元主要用于记录并存储每个终端设备的信息及与前端服务器通信的行为信息；信息处理单元根据终端设备的信息及行为信息判断终端设备是否被克隆。 

具体说明如下：1.密钥协商单元 

密钥协商单元用于前端服务器在与终端设备的密钥协商过程中，判断是否完成协商密钥过程，是否为该终端设备分配了协商密钥，从而保证合法的终端设备与克隆的终端设备使用不同的密钥加密内容许可证。 

密钥协商单元的工作原理如下：当相同终端设备向前端服务器提出接入申请时，前端服务器采用不同密钥间隔协商允许的方式让终端设备访问服务器上的内容。即终端设备首次向前端服务器提出接入申请，内容许可证申请成功，终端设备再次向前端服务器提出接入申请，内容许可证申请失败，终端设备重启后向前端服务器提出接入申请，内容许可证申请成功，终端设备再次向服务器提出接入申请，申请内容许可证再次失败，以此类推，必须反复重启才能成功申请内容许可证，这样就造成相同终端设备连接前端服务器时相互干扰、相互监督，合法的终端用户会在第一时间向运营商反映异常情况，运营商及时发现并采取有效措施解决克隆问题。 

2.记录存储单元 

记录存储单元位于前端服务器上，除用于记录并存储终端设备的信息及行为信息外，还用于存储前端服务器与终端设备协商出的会话密钥；所述记录存储单元位于终端设备上，用于存储前端服务器与终端设备协商出的会话密钥、终端设备产生的公私钥和临时密钥。终端设备的信息包括设备ID标识信息、用户证书、户公私钥等信息，终端设备的行为信息涉及终端设备的IP、会话密钥、临时密钥、授权请求、包ID异常等信息。当第1个终端设备连接前端服务器时， 前端服务器记录下该终端设备的IP、会话密钥、临时密钥、包ID等信息。当第2个终端设备连接前端服务器时，前端服务器不仅会记录下该终端设备的IP、会话密钥、临时密钥、包ID等信息，还会记录下IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数等信息。以此类推，多个终端设备连接前端服务器，前端服务器记录每个终端设备的信息及行为信息。 

3.信息处理单元 

信息处理单元根据当某一终端设备的一个或几个行为信息变化次数在规定周期内明显高于其他终端设备或者超过某一特定阈值时，判断终端设备被非法克隆，运营商会采取有效措施及时解决克隆问题。当终端设备被大量克隆后，信息处理单元通过对记录的终端设备信息及行为信息进行处理及解析，发现异常，并通过详细行为信息来判断出克隆终端设备。 

信息处理单元还可通过某一终端设备的一个或几个行为信息变化次数在规定周期内超过某一特定阈值，判断终端设备被非法克隆。 

如以会话密钥更新次数判断终端设备被非法克隆为例来进行说明。每个终端与前端服务器通信时，产生一个会话密钥，当授权过期时该会话密钥也会过期，或者当关闭终端时，该会话密钥也会过期。如果一个终端ID在授权期间产生两个或两个以上会话密钥，那么表示该终端可能被克隆。 

此外，克隆终端设备的检测系统还包括报警装置，所述报警装置包括显示单元、发声单元或其组合，当信息处理单元判断存在克隆终端设备时，由报警装置进行报警或提示。显示单元包括报警指示灯、显示屏等，发声单元包括蜂鸣器等报警装置。 

有益效果：本发明提出了一种克隆终端设备的检测方法及系统，干扰了非 法终端设备的密钥协商过程，使得终端设备与克隆终端设备在申请内容许可证的过程中相互监督，同时对终端设备的所有行为信息进行统一监控，增加前端服务器对终端设备行为信息的检测项，完善了检测机制和解析策略，避免出现合法终端设备被误锁。该检测系统结构简单，方法易操作，能够及时发现克隆设备，大大提高了克隆检测的准确度，缩短了克隆检测周期，有利于网络的安全运行及网络参与者的利益。