BRPI0706880A2 - sistema e método para segurança de rede - Google Patents

sistema e método para segurança de rede Download PDF

Info

Publication number
BRPI0706880A2
BRPI0706880A2 BRPI0706880-8A BRPI0706880A BRPI0706880A2 BR PI0706880 A2 BRPI0706880 A2 BR PI0706880A2 BR PI0706880 A BRPI0706880 A BR PI0706880A BR PI0706880 A2 BRPI0706880 A2 BR PI0706880A2
Authority
BR
Brazil
Prior art keywords
secret
server
client device
identifier
message
Prior art date
Application number
BRPI0706880-8A
Other languages
English (en)
Inventor
Robert T Kulakowski
Original Assignee
Verimatrix Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Verimatrix Inc filed Critical Verimatrix Inc
Publication of BRPI0706880A2 publication Critical patent/BRPI0706880A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Computer Graphics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

SISTEMA E METODO PARA SEGURANçA DE REDE Em um sistema de segurança para comunicações de rede com dispositivos de cliente, cada dispositivo de cliente tem um módulo de comunicação para se comunicar com pelo menos um servidor em uma rede, um módulo de armazenamento de dados para armazenar um ou mais valores de dados secretos de um ou mais eventos operacionais no dispositivo de cliente, e um módulo gerador de identificador secreto que cria pelo menos um identificador secreto baseado nos valores de dados secretos armazenados. O identificador secreto é provido em uma ou mais mensagens de rede ao servidor, ou caso contrário enviadas ao provedor de serviço, e pode ser provido em resposta a uma requisição específica recebida na rede, ou habitualmente em uma ou mais mensagens normalmente envolvidas em comunicações de rede. O servidor compara os identificadores secretos recebidos de dispositivos de cliente tendo o mesmo identificador de cliente para detectar possíveis clones.

Description

"SISTEMA E MÉTODO PARA SEGURANÇA DE REDE"
Pedido de Patente Relacionado
A presente aplicação reivindica o benefício depedido de patente provisório co-pendente nos Estados Unidos N060/760.475 depositado em 20 de Janeiro de 2006, que é aquiincorporado como referência em sua totalidade.
Campo da Invenção
A presente invenção se relaciona a comunicaçõesde rede entre um servidor e iam dispositivo de cliente, e concerneparticularmente a um sistema e método de segurança de rede paradetectar clones de dispositivos de cliente verdadeiros oucorretamente registrados que tentam roubar serviços sem pagamentoou em todo caso imitar um dispositivo de cliente real.
Estado da Arte Relacionada
Em um ambiente de computação distribuído, piratastentam roubar serviços criando múltiplos clientes com credenciaisidênticas às de um cliente válido ou assinante autorizado,permitindo assim que assinantes não-pagantes compartilhem (roubem)os serviços de um assinante pagante autorizado. Considerando queas credenciais parecem válidas, o servidor envia chaves deradiodifusão ou similar a tais clones, permitindo que assinantesnão-autorizados vejam radiodifusões, entrem em comunicações deduas-vias, ou similares. Tais técnicas de clonagem são um problemasignificativo para provedores de rede. Os piratas também tentamduplicar ou clonar dispositivos de cliente tais como cartõesinteligentes que são usados por indivíduos autorizados, tais comocartões de crédito ou de máquinas de caixas eletrônicosautomatizados (Banco 24 Horas), em telefones móveis, paraidentificação de alta segurança e cartões de controle de acesso,cartões de transporte público, e outros propósitos. A clonagem decartões inteligentes também causas problemas significativos paraos provedores de tais serviços bem como aos usuários de cartãoautorizados.
Então, o que é preciso é um sistema e método quereduza ou supere estes problemas significativos encontrados nossistemas convencionais como descrito acima.
SumárioAs formas de incorporação aqui descritas provêema adição de dados de segurança secretos para mensagens normaisentre iam dispositivo de cliente e um servidor, de forma que umservidor pode determinar se mais de um dispositivo de clientecomunicando-se com a rede tem as mesmas credenciais registradas ouidentificador de cliente (ID de cliente), indicando a presença deum ou mais dispositivos de cliente clonados.
De acordo com um aspecto, é provido um método desegurança para detectar dispositivos de cliente clonadoscompreendendo receber uma mensagem de um dispositivo de cliente emum servidor, a mensagem contendo um identificador secreto derivadode um ou mais eventos operacionais no dispositivo de cliente,determinando se o identificador secreto coincide com umidentificador secreto para o dispositivo de cliente armazenado noservidor, e informando a detecção de um dispositivo de clienteclonado se o identificador secreto não coincidir.
O identificador secreto armazenado no servidorpodem ser baseado em um ou mais itens de dados secretos geradospelo servidor ou pelo dispositivo de cliente, ou ambos, e pode tersido recebido em uma mensagem prévia que pretende ser do mesmodispositivo de cliente. Se as mensagens se originam comdispositivos de cliente diferentes, tal como um dispositivo decliente real e um dispositivo de cliente clonado, osidentificadores secretos não coincidem, uma vez que o tempo e osvalores de eventos operacionais em um dispositivo de cliente nãosão idênticos àqueles em outro dispositivo de cliente. Oidentificador secreto pode ser um valor gerado por, ou baseado em,um ou mais eventos operacionais, por exemplo o momento daocorrência de um evento ou o número de vezes que um eventoparticular aconteceu no dispositivo de cliente, ou pode ser umaversão transformada de um ou mais valores de dados secretos usandouma função de adequação de dados ou similar.
O dispositivo de cliente pode ser qualquer tipode dispositivo computacional capaz de receber e/ou enviar dados emuma rede, tais como caixas de interface (STBs - set top boxes) ,computadores pessoais, consoles de jogos, telefones celulares,assistentes digitais pessoais (ADPs), equipamentos de vídeo,cartões inteligentes, e similares. O identificador secreto geradopara o dispositivo de cliente podem compreender um ou mais valoresde dados secretos coletados e armazenados por um dispositivo decliente, ou uma versão transformada de tais valores de dadossecretos, e pode ser baseado em qualquer característicaoperacional ou evento de um dispositivo de cliente que muda com opassar do tempo e que pode ser armazenado pelo dispositivo decliente, ou pelo dispositivo de cliente e pelo servidor. 0identificador secreto podem ser um símbolo ou valor provido peloservidor, ou pode ser uma combinação de valores de dados secretosgerados pelo cliente e pelo servidor. Uma característicaoperacional de um dispositivo de cliente conforme aquireferenciado é um evento que ocorre no, ou com relação ao,dispositivo de cliente, e que é único para aquele dispositivo decliente em particular, tal como um momento no qual um pré-determinado evento operacional ocorre, por exemplo enviando ourecebendo uma mensagem pré-determinada no dispositivo de clienteou servidor, uma atualização de firmware, um tempo de atraso entreenviar uma mensagem à rede e receber uma resposta da rede, omomento quando um enésimo pacote de rede é recebido no dispositivode cliente, o número de vezes que um certo evento operacionalacontece, um símbolo enviado ao dispositivo de cliente a partir doservidor, uma contagem de pacotes de Mensagem de Controle deEntitulação (MCE) recebidos, um canal no qual o dispositivo decliente foi sintonizado em um pré-determinado momento, número demudanças de canal em um pré-determinado tempo, um valor deregistro contido em um chip em um dispositivo de cliente, e assimpor diante. No caso de um cartão inteligente, a característicaoperacional usada para gerar dados secretos pode ser o momento(data/hora) do primeiro uso do cartão inteligente, o tempo emmicro-segundos de quando o cartão inteligente foi usado para umacerta operação, o número total de bytes de dados processados pelocartão inteligente em um certo momento ou capturados em um certoevento tal como a ativação de um evento radiodifundido, ouquaisquer outros dados operacionais, contagens, ou evento queacontece durante o uso do cartão inteligente, por exemplo. No casode um telefone móvel, chamadas de conexão no telefone podem serusadas para gerar o identificador secreto, processando a chamadade conexão com uma função de adequação de dados para gerar umidentificador que é único para aquele telefone. A característicaoperacional é aquela que é criada pela operação de um dispositivode cliente em particular e portanto não é facilmente copiada ouduplicada por um dispositivo de cliente clonado, por exemplo otempo em micro-segundos do dia em que um evento aconteceu ou emque ocorreu uma ativação de evento, ou em que novos dados foramcapturados. Os identificadores secretos podem ser atualizadosusando periodicamente novos eventos operacionais para prover osvalores de dados secretos, para adicionalmente reduzir o risco desucesso de cópias piratas.
Alguns exemplos de possíveis valores de dadossecretos que podem ser usados para criar um identificador secretoúnico para um dispositivo de cliente é a última vez em que um tipode mensagem em particular foi enviada do, ou recebida pelo,dispositivo de cliente, o número de vezes que um evento particularaconteceu, tal como o número de itens comprados, o número deatualizações de chaves de transiente recebidas, o número de vezesque um certo tipo de mensagem de dados ou pacote de rede foirecebido, ou o número de vezes que um dispositivo de clienteexecutou um certo evento, o endereço do protocolo de internet (PI)usado pelo servidor de Protocolo de Configuração de HospedeiroDinâmico (PCHD) quando usado no sistema, valores obtidos de outrosdispositivos de rede tal como um modem por fio ou a força dosinal, o valor de um parâmetro de dados de cliente depois que umpré-determinado número de eventos aconteceu, e similares. Um valorde dados secreto pode compreender dados recebidos em uma mensagemdo servidor e usados em uma mensagem subseqüente para o servidor.Este valor pode ser atualizado pelo servidor a cada comunicaçãosubseqüente. Deste modo, o servidor reconhece que há umdispositivo clone em potencial se uma mensagem for recebida semconter os valores de dados secretos atualizados, isto é, há maisde iim dispositivo de cliente com as mesmas credenciais no sistema.Mais de um valor de dados secreto pode ser usado para oidentificador secreto em cada mensagem, para maior segurança. Nocaso de um cartão inteligente, o identificador secreto pode serbaseado no momento em que o cartão foi usado, no número de itenscomprados, ou similares.
Ativadores de eventos podem ser usados em algumasformas de incorporação para atualizar ou modificar valores dedados secretos ou começar uma contagem ou temporização que resultaem valores de dados secretos atualizados usados para gerar um novoidentificador secreto, ou modificar os dados ou protocolo demensagens contidos em uma mensagem entre um cliente e servidor.
Em outro aspecto, é provido um sistema desegurança para detectar dispositivos de cliente clonados,compreendendo um módulo de armazenamento de dados de servidor derede que armazena uma pluralidade de conjuntos de credenciais decliente ou identificadores de cliente (ID) para uma pluralidade dedispositivos de cliente autorizados ou reais, e também armazenaidentificadores secretos baseados em características operacionaisde um dispositivo de cliente que são recebidas em mensagens dedispositivos de cliente, e um módulo de processamento de dadossecretos que compara um identificador secreto em uma mensagemrecebida de um dispositivo de cliente com um identificador secretopreviamente armazenado correspondendo ao mesmo ID de cliente e quecria um relatório de detecção de clone se os identificadores dedados secretos não coincidirem.
Se a rede for uma rede de duas-vias, osidentificadores secretos baseados em eventos operacionaiscoletados são trocados durante comunicações de rede normais. Se arede normalmente opera como uma rede de uma só via mas tem umcanal de retorno para certas comunicações de cliente, valores dedados secretos pré-determinados baseados no uso do dispositivo sãocoletados e usados para criar identificadores secretos armazenadospor dispositivos de cliente. O identificadores secretos sãoenviados ao servidor em mensagens pelo canal de retorno quandodisponível, por exemplo durante um processo de renovaçãoperiódica. O servidor armazena o primeiro identificador secretopara um certo assinante. Se um identificador secreto for maistarde recebido pretendendo se originar com o mesmo dispositivo decliente, um relatório de detecção de clone é emitido peloservidor.De acordo com outro aspecto, é provido umdispositivo de cliente que compreende um módulo gerador de dadossecretos para gerar um identificador secreto baseado em dadosgerados pela operação do dispositivo de cliente, e um módulo dearmazenamento de dados secretos para armazenar o identificadorsecreto. Se for planejado que o dispositivo de cliente é para usoem um ambiente de rede de duas-vias, ou em um ambiente de rede deuma-via incluindo um canal de retorno para certas comunicações, odispositivo de cliente também pode incluir um módulo gerador demensagem para gerar mensagens contendo o identificador secretoatualmente armazenado. O identificador secreto é enviadosubseqüentemente a um servidor de rede em uma rede em um campo dedados secretos embutido em uma mensagem, ou como um valor de dadosem resposta a uma requisição do servidor ou qualquer combinaçãorelacionada. A mensagem pode ser um tipo de mensagem normalmenteenviada em comunicações de duas-vias para uma rede, ou em umamensagem como parte de um procedimento de renovação periódica ououtra mensagem padrão se o dispositivo de cliente normalmente estáenvolvido somente em comunicações de uma-via com uma rede.
Onde não há canal de retorno para um serviço derede de uma-via, o dispositivo de cliente cria e armazena umidentificador de cliente que pode ser atualizado periodicamentebaseado em novos eventos no dispositivo de cliente. O dispositivode cliente ou um servidor de rede pode incluir um módulo geradorde código de serviço que gera uma mensagem de código de serviço emum dispositivo de cliente a intervalos pré-determinados. Estamensagem pode pedir para os assinantes chamarem um centro deserviço ou enviar uma mensagem de texto de serviço de mensagemcurta (SMC), por meio de um telefone móvel ou conexão de internet,para o centro de serviço, provendo a identificação de assinante eo identificador secreto atualmente armazenado no dispositivo decliente. Considerando que o identificador secreto atualmentearmazenado é diferente para um dispositivo de cliente real e umdispositivo de cliente clonado, porque eles foram operadosdiferentemente, o centro de serviço pode determinar quando duasmensagens foram recebidas com a mesma identificação de cliente ouassinante mas com identificadores secretos diferentes. O centro deserviço pode então usar etapas adicionais para determinar qualdispositivo de cliente está associado com o assinante autorizado,e renova somente aquele dispositivo de cliente, cortando o serviçopara qualquer outro dispositivo de cliente usando a mesmaidentificação de assinante ou cliente.
0 identificador secreto é gerado por eventosoperacionais que acontecem durante a operação real de umdispositivo de cliente. Porque os eventos operacionais ocorremdepois da fabricação do dispositivo de cliente e são baseados emcomo os assinantes usam os dispositivos de cliente, os eventosoperacionais são únicos para um dispositivo de cliente emparticular. Estes eventos operacionais são diferentes mesmo entredispositivos de cliente clonados, porque dispositivos de clienteclonados fazem as coisas diferentemente depois que eles sãoacionados, e é esta diferença de operação que é usada para gerar oidentificador secreto. Os dados secretos então provêem umidentificador único para um dispositivo de cliente em particular,que é armazenado pelo dispositivo de cliente e subseqüentementeusado em mensagens para um servidor. Onde o dispositivo de clienteé normalmente usado somente em comunicações de rede de uma-via, oidentificador secreto único pode ser provido à rede em umprocedimento de renovação periódica, ou pode ser requisitado porum servidor de rede se houver suspeita de clonagem.
0 módulo gerador de dados secretos pode serincorporado em uma unidade de processamento central do dispositivode cliente, que pode estar embutida em um único chip (sistema emum chip ou SUC) em alguns casos, tal como em um cartãointeligente, telefone celular, ou similar. 0 módulo dearmazenamento de dados secreto também pode ser incorporado naunidade de processamento central (UPC) ou em um banco de dadosseparado associado com a unidade de processamento central, ou emuma memória interna ou externa à UPC.
Um formato de mensagem de dispositivo de clienteem uma forma de incorporação compreende um campo de identificadorde mensagem, um campo de dados secretos, e pelo menos um campo dedados adicional contendo a mensagem a ser comunicada ao servidor,tal como um campo de identificação de cliente ou requisição dechave, ou como parte de uma mensagem ou ID de mensagem. 0 tipo demensagem pode ser uma mensagem de inscrição/entrada (Iogon) , umamensagem de requisição de chave de radiodifusão, uma mensagem decompra por comércio eletrônico, uma requisição para troca decanais, uma mensagem de renovação de assinatura, ou similar. Se otipo de mensagem for uma mensagem de inscrição, os campos de dadosadicionais contêm o nome e senha de usuário. O campo de dadossecreto contém um identificador secreto que pode compreender um oumais valores de dados secretos ou itens ou uma versão transformadade tais valores de dados secretos. O identificador secreto podeser usado pelo servidor na recepção da mensagem para determinar semais de um dispositivo de cliente está usando as mesmascredenciais. Mais de um tipo de mensagem pode conter umidentificador secreto.
Em uma forma de incorporação, o identificadorsecreto atual é enviado a um servidor a partir de um dispositivode cliente como parte de mensagens normais tais como conexão em umsistema, requisição de uma chave de decriptação, execução de umatransação de comércio eletrônico, ou outras mensagens e eventosque acontecem normalmente dentro de um sistema. Valores de dadossecretos usados para criar o identificador secreto podem serbaseados em vários eventos, e ativadores de eventos podem serusados para definir eventos que ativam a atualização oumodificação de um identificador secreto previamente armazenado.Identificadores secretos adicionados nas mensagens normais entreum cliente e servidor não requerem mensagens adicionais oureconhecimentos adicionais entre o cliente e o servidor, reduzindoa probabilidade de um hacker (pirata) poder monitorar o protocoloe determinar como copiar um sistema. Como tal, um hacker que estátentando roubar serviços através da clonagem de credenciais deassinante, por exemplo, de uma caixa de interface (STB), tambémprecisa ter conhecimento do significado do identificador secreto edos ativadores que causam uma mudança no identificador secretopara assegurar que STBs autênticas e STBs clonadas tenham o mesmoidentificador secreto. Mais de um valor de dados secreto pode serusado para criar identificadores secretos, por exemplo umabiblioteca de cliente de dois ou mais valores de dados secretospode ser usada para criar identificadores secretos em cadamensagem de cliente selecionada para um servidor. A biblioteca decliente de valores de dados secretos é atualizada periodicamente,tornando mais difícil ocultar dispositivos clonados de umservidor. Em formas de incorporação alternativas, o identificadorsecreto pode ser enviado também com mensagens separadas entre ocliente e servidor.
0 sistema de segurança também pode incluir umprocesso de renovação projetado para identificar dispositivos declone suspeitos. O processo de renovação pode ser iniciado emresposta a um relatório de detecção de clone gerado por umservidor de rede, ou pode ser executado a intervalos periódicos ouquando há suspeita de clones por outras razões. O processo derenovação é projetado para re-autorizar somente um únicodispositivo de cliente quando vários de tais dispositivosestiverem usando as mesmas credenciais.·
Outras características e vantagens da presenteinvenção ficarão mais prontamente aparentes para aqueles comhabilidades comuns na arte depois de revisarem a seguintedescrição detalhada e os desenhos anexos.
Breve Descrição dos Desenhos
Os detalhes da presente invenção, tanto sobre suaestrutura como sobre sua operação, podem ser observados em parteatravés do estudo dos desenhos acompanhantes, onde os mesmosnúmeros de referência se referem às mesmas partes, e nos quais:
A figura 1 é um diagrama de blocos ilustrando umarede com iam dispositivo de cliente real ou autorizado e algunsdispositivos de cliente clonados que se comunicam com um servidorem uma forma de incorporação de um sistema de segurança paradetectar dispositivos de cliente clonados em potencial;
A figura 2A é um diagrama que ilustra campos dedados em uma mensagem de inscrição e conexão de usuário do estadoda arte anterior;
A figura 2B é um diagrama ilustrando campos dedados em uma incorporação de uma mensagem de usuário contendo umidentificador secreto usado no servidor em uma forma deincorporação de um sistema para detectar dispositivos de clienteclonados em potencial;
A figura 3 é um diagrama de blocos que ilustra umdispositivo de cliente configurado para inserir um identificadorsecreto em mensagens, de acordo com uma forma de incorporação;
A figura 4 é um diagrama de fluxo ilustrando umaforma de incorporação de um método de detectar um dispositivo decliente clonado;
As figuras 5A e 5B são diagramas de fluxo queilustram uma forma de incorporação do método de detecção de clone;
As figuras 6A a 6F ilustram mensagens geradas emvárias fases no método das figuras 5A e 5B;
A figura 7 é um diagrama de fluxo ilustrando umaforma de incorporação de um método para inserir identificadoressecretos em mensagens entre um dispositivo de cliente e umservidor;
A figura 8 é iam diagrama de fluxo que ilustra umaforma de incorporação de um método de renovação de serviço usandoidentificadores secretos; e
A figura 9 é um diagrama de fluxo ilustrando umamodificação do método da figura 8 para uso em um ambiente de redede uma-via que não tem um canal de retorno de um dispositivo decliente.
Descrição Detalhada
Certas formas de incorporação como aqui descritasprovêem detecção de mais de um dispositivo de cliente usandocredenciais idênticas. Por exemplo, um método e sistema como aquidescritos permitem a detecção de dispositivos-clone em potencialusando um identificador secreto baseado em valores de eventosoperacionais específicos para um dispositivo de cliente que éadicionado nas mensagens normais entre um dispositivo de cliente eum servidor.
Depois desta descrição ser lida ficará aparentepara aqueles qualificados na arte como implementar a invenção emvárias formas de incorporação alternativas e aplicaçõesalternativas. Porém, embora várias formas de incorporação dapresente invenção sejam aqui descritas, é compreendido que estasformas de incorporação somente são apresentadas como formas deexemplos, e não de limitação. Como tal, esta descrição detalhadade várias formas de incorporação alternativas não deve serinterpretada como limitante do escopo ou extensão da presenteinvenção conforme apresentado nas reivindicações anexas.
Na seguinte descrição, um dispositivo de clientepode ser qualquer tipo de dispositivo capaz de computar e receberdados de uma rede, tal como uma caixa de interface (STB) , umcomputador pessoal, console de jogo, telefone celular, assistentedigital pessoal (ADP), reprodutor de mídia pessoal, um equipamentode vídeo tal como um receptor de vídeo digital (RVD) , umreprodutor de disco de vídeo digital (DVD), um reprodutor de discocompacto (CD - compact disc), um cartão inteligente, ou similares.
Um dispositivo de cliente autêntico ou real é o dispositivo que éapropriadamente registrado com o servidor para receber serviços emuma rede, ou serviços locais tais como transações bancárias,compras, e similares autorizadas por uma rede, como no caso de umcartão inteligente. Um dispositivo de cliente clonado é umdispositivo que tem credenciais idênticas às de um dispositivo decliente real corretamente registrado para serviço na rede, e que éusado por iam usuário sem autorização ou não-pagante em umatentativa de obter dinheiro ou serviços sem autorização. Os termos"dados secretos", "valor de dados secretos" e "item de dadossecretos" são usados para indicar valores de dados únicos baseadosem características operacionais de um dispositivo de cliente, porexemplo valores criados pela operação de um dispositivo de clienteparticular ou comunicação daquele dispositivo com um servidor, ouem símbolos ou valores baseados na operação de um dispositivo decliente que são criados pelo servidor e embutidos em mensagens aodispositivo de cliente. Tais valores são secretos porque a suanatureza torna difícil que os piratas (hackers) os descubram e osdupliquem em dispositivos clonados de cliente, e porque os dadossão gerados após a fabricação. 0 termo "identificador secreto"indica um identificador único para um dispositivo de clienteespecífico que é gerado baseado em valores de dados secretosassociados com a operação daquele dispositivo, e podem compreenderum ou mais valores de dados secretos reais em algumas formas deincorporação, ou pode ser uma versão transformada de tais valoresde dados usando uma função de adequação de dados (hash) ou deescolha de um valor de número arbitrário, ou executando algumaoutra transformação nos dados. O termo "ativador de evento" éusado para indicar eventos que ativam a atualização ou modificaçãodo identificador secreto contido em um protocolo de mensagem entreum dispositivo de cliente e o servidor. Um "contador de eventos"conta eventos executados por um dispositivo de cliente, e pode serusado como um ativador de evento quando o número de eventoscontados excede um limiar.
A figura 1 é um diagrama de blocos de um sistemade segurança de rede que incorpora detecção de clone de acordo comuma forma de incorporação na qual um servidor 10 se comunica comum dispositivo de cliente real ou autorizado 12 em uma rede 14, evários dispositivos de cliente clonados 15, 16 usando credenciaisde cliente idênticas também enviam mensagens ao servidor 10 narede 14. Um, dois ou mais dispositivos-clone podem tentar usarserviços de rede em qualquer momento posando como um dispositivode cliente 12. Os piratas de ambiente computacional tentamfreqüentemente roubar a rede e outros serviços criando múltiplosclientes com credenciais idênticas, permitindo assim queassinantes não-pagantes compartilhem ou se apropriem dos serviçosde um assinante pagante autorizado.
Conforme ilustrado na figura 1, o servidor 10 éconectado ao banco de dados (BD) servidor 20 o qual tem um módulode armazenamento de dados 23 para armazenar identificadoressecretos que podem ser recebidos de dispositivos de cliente emmensagens e/ou gerados pelo servidor. Como visto acima, cadaidentificador secreto é baseado em eventos operacionais em umdispositivo de cliente específico. O servidor 10 tem um módulo decomunicação 11 que controla as comunicações de rede e um módulo dedetecção de clone 13 que compara identificadores secretos emmensagens recebidas de dispositivos de cliente com identificadoressecretos previamente armazenados no módulo 21, como descritoabaixo em mais detalhes. O servidor 10 tem módulos adicionais decontrole e de processamento de servidor padrão, que não estãoilustrados.No sistema da figura 1, o dispositivo de cliente12 envia uma mensagem Ml para o servidor 10, enquanto osdispositivos-clone 15, 16 enviam mensagens semelhantes M2 e M3 aoservidor. Estas mensagens podem ser enviadas em qualquerseqüência, e o servidor é adaptado para detectar a presença de umou mais clones potenciais apesar da ordem de transmissão dasmensagens Ml a M3. Cada mensagem é adaptada para incluir umidentificador secreto 18 embutido em uma porção ou campo de dadossecretos pré-determinados da mensagem. Os identificadores secretospara dispositivos de cliente que se comunicam com o servidor estãoassociados com as credenciais de cliente para um dispositivo decliente e armazenados em um módulo de armazenamento de dadossecretos 23 para comparação com futuros identificadores secretosrecebidos de um ou mais dispositivos de cliente tendo as mesmascredenciais, como descrito abaixo em mais detalhes. Cadadispositivo de cliente verdadeiro e clonado tem um banco de dadosou armazenamento de memória (RAM, ROM, FLASH, EEPROM) ouarmazenamento de registro 30, 32, 34, respectivamente, no qual osvalores de dados secretos são armazenados e atualizados nosativadores de evento pré-determinados. Embora o banco de dadosseja mostrado separado do dispositivo de cliente na figura 1, elepode ficar alojado no dispositivo de cliente ou pode ser parte deuma unidade ou sistema de processamento central em um chip (SUC)no dispositivo de cliente, ou na memória do dispositivo tal comouma memória RAM, uma memória Flash, uma Memória Segura, esimilares.
Um dispositivo de cliente (real ou clonado) 12,15, ou 16 está ilustrado em mais detalhes na figura 3. 0dispositivo de cliente pode ser qualquer dispositivo de clienteconfigurado para comunicação em uma rede, tal como uma caixa deinterface, um computador pessoal, console de jogo, telefone móvel,ADP, reprodutor de mídia portátil, reprodutor de DVD, RVD, ou umcartão inteligente, ou similares. 0 dispositivo de cliente tem ummódulo de armazenamento de dados 30, 32, 34 associado que émostrado separadamente mas pode ser incorporado no mesmoalojamento com outros módulos do dispositivo de cliente, ou nomesmo chip com os outros módulos em alguns casos. 0 dispositivo decliente também tem um módulo de comunicação 17 para controlar ascomunicações de rede com o servidor 10, um módulo gerador deidentificador secreto 19 para criar identificadores secretosbaseado em valores de dados secretos, ativadores de eventos oudados recebidos do servidor, e um módulo formatador de mensagem28. Os dispositivos de cliente também incluem módulos deprocessamento e controle do dispositivo de cliente padrão que nãoestão ilustrados na figura 3. 0 módulo de armazenamento de dadostem um módulo de tabela de dados secretos 29 para armazenar aconfiguração atual de valores de dados secretos, conforme descritoabaixo. Onde o identificador secreto é uma versão transformada dosvalores de dados secretos, o identificador secreto atual ou matrizde valores de dados secretos ou grupo de valores de dados secretostambém é armazenado no módulo 29.
Em uma forma de incorporação, o módulo formatadorde mensagem 28 é adaptado para inserir ou embutir o identificadorsecreto atual em um ou mais tipos de mensagens enviadas aoservidor. Em outra forma de incorporação na qual o dispositivo decliente é usado apenas para receber comunicações de rede de uma sóvia e não tem acesso a um canal de retorno para a rede, o móduloformatador de mensagem 28 é eliminado e o módulo gerador deidentificador secreto é configurado para exibir o identificadorsecreto atualmente armazenado na forma de um código deidentificação único para o usuário do dispositivo de cliente comrelação a um processo periódico de renovação de assinante, comodescrito abaixo em mais detalhes com relação à figura 9.
Em uma forma de incorporação, os dados desegurança secretos ou identificador 18 são baseados emcaracterísticas operacionais do dispositivo a partir do qual amensagem é transmitida. Tais características são difíceis ouimpossíveis de duplicar em um clone do dispositivo de cliente, umavez que dispositivos de cliente clonados não são operadosidenticamente para dispositivos de cliente autênticos ou reais, eeventos operacionais tais como mensagens, atualizações, esimilares acontecem em momentos diferentes em dispositivosdiferentes. Obter eventos idênticos em micro-segundos emdispositivos de cliente do mundo real é quase impossível. Umacaracterística operacional de um dispositivo de cliente é um valorúnico para aquele dispositivo de cliente específico que é geradobaseado na operação do dispositivo de cliente, tal como um momentono qual um evento operacional pré-determinado ocorre, por exemploenviando ou recebendo uma mensagem pré-determinada no dispositivode cliente ou servidor, uma atualização de firmware, um tempo deatraso entre o envio de uma mensagem à rede e a recepção de umaresposta na rede, o momento em que o enésimo pacote de rede érecebido no dispositivo de cliente, o número de vezes que umdispositivo de cliente executa um certo evento operacional em umperíodo de tempo selecionado, um símbolo enviado ao dispositivo decliente a partir do servidor, uma contagem de pacotes de MCErecebidos, um canal em que o dispositivo de cliente foisintonizado em um pré-determinado momento, o número de mudanças decanal em um tempo pré-determinado, um valor de registro contido emum chip em um dispositivo de cliente em um certo momento, e assimpor diante. Isto demonstra que há um número ilimitado de valoresde dados operacionais que podem ser usados para valores de dadossecretos gerados (ou valores de dados únicos para a operação de umcliente) porque o valor de dados exato não é importante, mas o queimporta é que a probabilidade do valor de dados ser diferentebaseado na operação de dois dispositivos idênticos é grande. Sedois ou mais dispositivos de cliente usando as mesmas credenciaisestiverem se comunicando na rede, tais característicasoperacionais não são idênticas de um dispositivo de cliente para ooutro, e são criadas exclusivamente pela operação de umdispositivo de cliente particular por um usuário. Taiscaracterísticas operacionais e os identificadores secretosbaseados em tais características não podem ser pirateados ouduplicados facilmente por um dispositivo de cliente clonado. Éimprovável que os operadores de dispositivos de cliente clonadospossam obter tais características do dispositivo de clienteverdadeiro ou autêntico, e normalmente nem mesmo saberiam quaiscaracterísticas operacionais específicas são usadas para criar oidentificador secreto, e em uma forma de incorporação os valoresde dados secretos mudam entre versões diferentes do software docliente.O servidor extrai o identificador secretorecebido em uma mensagem de um dispositivo tendo certascredenciais, e compara este identificador com aqueles recebidos emmensagens prévias aparentemente do mesmo dispositivo. Se nãohouver coincidência, é provável que um ou mais clones estão sendousados, e o servidor pode prover uma notificação apropriada deprovável detecção de clone ao operador do sistema, para açõesadicionais. Considerando que o servidor não pode determinar quaisdos vários dispositivos de cliente com credenciais idênticasenviando mensagens são dispositivos clonados, o serviçorequisitado é provido aos dispositivos, além da notificação dedetecção de clone ao operador.
Em lima forma de incorporação, um identificadorsecreto é transmitido em mensagens comuns trocadas entre o clientee o servidor. Por exemplo, assuma-se que o cliente precisa entrarem um sistema e uma mensagem de entrada é definida. A mensagem deentrada padrão compreende um nome de usuário e uma senha. Em umaforma de incorporação, a mensagem de entrada inclui umidentificador secreto 18 além do nome de usuário e senha. Quando odispositivo de cliente tenta entrar em um sistema, o dispositivode cliente provê uma informação de entrada padrão tal como o nomede usuário e senha e o identificador secreto é embutido namensagem de entrada (ou qualquer mensagem, ou em todas asmensagens) formando um comando de entrada que compreende oidentificador secreto como parte da mensagem de entrada padrão. Amensagem de entrada contém o nome de usuário, senha, e bytes dedados adicionais contendo o identificador secreto. Em uma forma deincorporação, os itens ou valores de dados contidos noidentificador secreto ou usados para gerar o identificador secretomudam em momentos diferentes com base em eventos operacionaisdentro do cliente, ou mudam baseado na hora do dia, ou baseado emum período de tempo que decorre depois de um certo evento, de modoque o identificador secreto pode ser atualizado mudando os valoresde dados secretos em um momento particular ou acrescentando novositens de dados secretos a itens de dados secretos prévios, emessência aumentando o número de itens de dados secretos para umcliente particular.Qualquer troca de mensagens padrão entre umdispositivo de cliente e o servidor pode ser usada para detectarclones, tal como uma mensagem de entrada inicial. Um identificadorsecreto pode ser combinado com mensagens normais e/ou eventos taiscomo quando um cliente entra em um sistema. Além da informaçãotipicamente encontrada em um procedimento de entrada, tais como onome de usuário de cliente e a senha, o identificador secreto podeser acrescentado à mensagem de entrada que é específica para aoperação de um certo dispositivo de cliente, tal como a última vezem que o usuário entrou na rede ou a diferença de tempo entre oprocedimento de entrada atual e o de entrada anterior. Os dadossecretos podem ser aplicados a todas as mensagens em um sistema decomunicação ou somente a mensagens selecionadas, tal como amensagem de entrada ou outros tipos de mensagens.
A figura 2A ilustra um protocolo de mensagem deentrada convencional conforme usado atualmente. Esta mensagemcompreende um campo de identificador de mensagem (ID) 21 quedefine o tipo de mensagem dentre um grupo de mensagens suportadasno sistema e que é tipicamente único para cada mensagem em umsistema. Ela também pode incluir um campo de número de seqüênciaopcional 22 que contém um número único para cada mensagem dequalquer tipo no sistema, e é tipicamente uma contagem incrementaique permite que o sistema elimine ataques de repetição demensagens verificando se o número de seqüência é novo antes deprocessar a mensagem. Quando a mensagem for uma mensagem deentrada inicial, ela também tem um campo de nome de usuário 24 quecontém o nome do usuário para um usuário, ou dispositivo decliente no sistema registrado para o serviço ou associado com umaconta de assinante com o provedor de serviço, e um campo de senha25 que contém a senha para o usuário associado com uma conta ouserviço. A senha é provida quando o usuário ou assinante assina ouse registra com o sistema ou provedor de serviço pela primeiravez, e é verificada pelo servidor em requisições de serviçosubseqüentes pelo usuário. Os serviços podem ser acessados ou ousuário pode comprar itens usando o serviço somente depois que asenha é provida corretamente em sistemas protegidos por senha.Além disso, os dados secretos podem ser usados como parte dafalsificação da senha para cada cliente com o lado do servidorficando ciente dos dados secretos para falsificar a senha oudados, ou o lado do servidor descarregando dados da chave deencriptação ou da chave de falsificação no cliente. Tais senhas àsvezes são obtidas por hackers (piratas) e usadas em conjunção comdispositivos-clone na tentativa de obter serviços sem pagamento.
A figura 2B ilustra uma forma de incorporação deuma mensagem de entrada inicial modificada que contém umidentificador secreto no campo de dados secretos 18 na estruturade mensagem de entrada regular. 0 campo de ID, o campo de númerode seqüência 22, de nome de usuário 24, e de senha 25 sãoidênticos aos campos correspondentes da figura 2A, mas a mensagemé modificada para prover um identificador secreto em um campo dedados 18 entre os campos 22 e 24. Os campo de dados secretos 18pode ser provido em outros locais na mensagem em outras formas deincorporação, e pode ser provido em tipos diferentes de mensagenstais como mensagens de requisição de chave de radiodifusão,mensagens de compra de comércio eletrônico, mensagens de troca decanal, e similares. 0 identificador secreto pode ser provido emapenas um tipo especifico de mensagem entre um dispositivo e oservidor, ou pode ser provido em cada mensagem enviada pelodispositivo, ou intermitentemente em mensagens variadas. Atransmissão intermitente de identificadores secretos pode tornartais identificadores mais difíceis de rastrear através porpotenciais hackers. Porque as mensagens codificadas são sempremais seguras do que as mensagens não-encriptadas entre o cliente eo servidor, em uma forma de incorporação os dados secretos sãotransmitidos em uma conexão codificada tal como de Segurança deProtocolo de Internet (SegPI), ou de camada de soquete seguro (SSL- Secure Socket Layer), ou outra forma de encriptação entre ocliente e o servidor.
Conforme ilustrado na figura 1, cada uma dasmensagens Ml, M2 e M3 tem um campo de identificador secreto 18,mas os identificadores secretos nas mensagens M2 e M3 normalmentenão coincidem com os da mensagem Ml. Isto é porque osidentificadores secretos em uma forma de incorporação são baseadosem valores de dados secretos gerados por característicasoperacionais ou eventos operacionais do dispositivo de cliente,tal como o tempo de envio ou recepção de certas mensagens nodispositivo de cliente ou no servidor, o número de vezes que umcerto tipo de mensagem de dados ou pacote de rede foi recebido, esimilares. O identificador secreto pode compreender diferentesvalores de dados secretos gerados operacionalmente contidos emregiões diferentes do campo de dados secretos, ou pode compreenderuma versão transformada de tais valores de dados secretos. Éextremamente improvável que tais valores em dispositivos decliente clonados sejam idênticos aos valores de dados secretos emum dispositivo de cliente real, uma vez que a operação dodispositivo de cliente clonado normalmente não coincide com aoperação de um dispositivo de cliente ou de outro dispositivo decliente clonado. Por exemplo, um primeiro segmento do campo dedados secretos pode conter a primeira potência em um momento detempo de um dispositivo de cliente em micro-segundos. Depois de umcerto período de tempo ou número de eventos, um segundo segmentodo campo de dados secretos pode acrescentar à primeira potênciauma potência subseqüente em um momento de tempo para o dispositivo(por exemplo Tl, T2) . Embora o servidor não saiba se a segundapotência em um momento de tempo foi adicionada pelo dispositivo decliente ou por um dispositivo de cliente clonado, é extremamenteimprovável que a potência no momento de tempo original Tl sejaidêntica para ambos os dispositivos, e o segundo e os itens dedados secretos subseqüentes acrescentados aos dados secretostrocados entre o cliente e o servidor são projetados para seremúnicos entre clientes, e porque os itens de dados secretosadicionais são gerados durante a operação continuada do cliente aprobabilidade dos dados secretos serem idênticos é muito baixa.
O servidor recebe mensagens de dispositivos decliente autênticos e/ou clonados e salva os identificadoressecretos mais recentes associados com as credenciais do cliente dousuário autorizado em um módulo de armazenamento de dados secretosde servidor 23. Quando uma mensagem subseqüente é recebida, a qualaparentemente vem de um dispositivo associado com as mesmascredenciais do cliente, o servidor compara o identificador secretocom o identificador secreto previamente armazenado para aquelecliente. Se nenhuma coincidência for encontrada em um ou maisidentificadores secretos, é provável que um dos dispositivos quese comunicam com o servidor seja um dispositivo-clone, e oservidor informa a um operador que um clone foi detectado. 0operador pode então iniciar procedimentos para determinar qualdispositivo é um dispositivo de cliente válido ou autorizado equal dispositivo é um clone.
A figura 4 é um diagrama de fluxo ilustrando umaforma de incorporação de um método de uso do sistema das figuras1, 2B e 3 para descobrir a presença de dispositivos de clienteclonados em uma rede. Na etapa 40, um dispositivo de cliente enviauma mensagem ao servidor contendo um identificador secreto nocampo de dados secretos 18. A mensagem pode ser no formatoilustrado na figura 2B, por exemplo, ou pode ser qualquer outrotipo de mensagem de comunicação de rede padrão com umidentificador secreto compreendendo um ou mais valores de dadossecretos inseridos em um campo de dados selecionado na mensagem,ou um identificador que é uma versão transformada de um ou maisvalores de dados secretos. 0 servidor recebe a mensagem e extratoso identificador secreto da mensagem (42), e então compara oidentificador secreto com o identificador secreto armazenadocorrespondendo às credenciais de cliente associadas com odispositivo de cliente registrado a partir do qual a mensagemparece se originar (etapa 44) . 0 servidor determina se há umacoincidência (etapa 45) baseado na comparação, isto é, determinase há uma coincidência entre qualquer parte de um identificadorsecreto armazenado e o identificador secreto na mensagem. Se umacoincidência for encontrada, o servidor envia uma resposta demensagem ao dispositivo de cliente (etapa 48) quando forapropriado, armazena o novo identificador secreto, e o serviçodesejado ou transação acontece. Se uma coincidência não forencontrada, isto é não há nenhuma coincidência entre nenhuma partedos identificadores secretos, o servidor gera um relatório aooperador indicando que um clone em potencial foi detectado (etapa46), e um sinalizador opcional pode ser colocado na memória. Se oidentificador secreto é um código de múltiplos dígitos criado pelatransformação de valores de dados secretos, uma coincidênciasignifica que um identificador secreto recebido é idêntico a umidentificador secreto armazenado. Se o identificador secreto forum ou mais valores de dados secretos baseados em eventosacontecendo, o identificador secreto recebido pode coincidirsomente com parte do identificador secreto previamente armazenado,enquanto ele inclui novos valores de dados secretos acrescentadosdepois da última mensagem ao servidor. Uma coincidência ainda éencontrada se parte do identificador secreto recebido coincidircom o identificador secreto armazenado, mas uma coincidência não éencontrada se não houver nenhuma coincidência em nenhuma parte doidentificador secreto.
0 servidor pode continuar as comunicações com odispositivo que enviou a mensagem quando um clone potencial édetectado, uma vez que ainda não foi determinado se ou não aqueledispositivo é um dispositivo de cliente clonado, isto é, oservidor não tem informação suficiente para determinar qual dosdois dispositivos de cliente se comunicando com o servidor é umclone. Em uma última etapa, o serviço pode ser descontinuado paraum dispositivo que é julgado ser um clone, ou para todos osdispositivos, deixando-se que o assinante autorizado contacte oprovedor de serviço para arranjar que o seu serviço sejacontinuado.
Em uma forma de incorporação, os valores de dadossecretos nos quais o identificador secreto é baseado pode sergerado por certos eventos operacionais em um dispositivo decliente. Alguns exemplos de possíveis valores de dados secretosgerados por eventos operacionais são:
a) Número de vezes em que um cliente executou umcerto evento tal como requisitar uma chave ou inicializar umasessão com um servidor, ou executar uma transação de comércioeletrônico.
b) 0 número de itens anteriores comprados por umassinante.
c) 0 número de atualizações de chave detransiente recebidas por um cliente.
d) 0 momento do tempo da última atualização defirmware.e) O momento do tempo da última requisição dechave para o cliente.
f) O momento do tempo da última mensagem de umtipo particular, ou a contagem do número de vezes em que uma certamensagem foi recebida, ou o atraso entre a mensagem atual e amensagem anterior sendo recebida do servidor.
g) O momento do tempo em que um certo tipo demensagem foi recebida pelo cliente.
h) O momento do tempo em que um certo tipo demensagem foi recebida do cliente.
i) A contagem do número de vezes em que um certotipo de mensagem de dados ou pacote de rede foi recebido comexemplos incluindo MCE (Mensagens de Controle de Entitulação) devídeo, contagem de diferentes valores de MPEG2 PID, contagem depacotes em um número de porta de TCP PI particular, etc.
j) O atraso de tempo entre uma mensagem derequisição sendo enviada à rede e a resposta que é recebida devolta do servidor.
k) O último momento de tempo em que uma união demultidifusão foi executada, ou o valor da última união demultidifusão.
l) o endereço de PI provido pelo servidor deProtocolo de Configuração de Hospedeiro Dinâmico (PCHD) quando umPCHD é usado no sistema.
m) O tempo remanescente em um arrendamento dePCHD quando um PCHD é usado no sistema.
n) Os valores obtidos de outros dispositivos derede tais como os parâmetros de faixa para um modem a cabo ou aforça do sinal da rede depois de 3 dias de uso com um novocliente.
o) A troca de dados ou uma nova mensagem sendogerada depois de um certo período de tempo, por exemplo quando odispositivo de cliente recebe um valor de dados secretos doservidor, que indica ao dispositivo de cliente em quantos minutoso dispositivo de cliente deve contactar o servidor.ρ) O valor de um parâmetro de dados de clienteapós um número de eventos, tal como o número do canal de TV quando57 mudanças de canal ocorreram.
q) Um novo valor de dados secretos derivado de umvalor de dados secreto previamente usado processado com uma funçãoque cria o novo valor de dados secreto.
r) Um valor de dados secreto gerado a partir dedados dentro de um chip no dispositivo de cliente, ou um valor dedados secreto gerado a partir dos dados processados ou escaladosde um chip ou placa ou cartão conectável de hardware ou memóriasegura no dispositivo de cliente.
s) Um valor de dados secretos tal como um símboloou chave recebidos do servidor, que o dispositivo de cliente retéme usa como parte de um identificador secreto contendo um ou maisvalores ou itens de dados secretos em mensagens subseqüentes com oservidor. Os dados secretos recebidos do servidor podem sertransformados pelo dispositivo de cliente e a versão transformadapode ser devolvida ao servidor como um identificador secreto emmensagens subseqüentes. Isto permite que o servidor passe símbolosou chaves ao cliente em mensagens normais entre o cliente e oservidor como parte das mensagens normais de sistema. 0 símboloprovido pelo servidor usado para o identificador secreto decliente pode ser enviado em uma mensagem separada, mas a mensagempreferida passa o valor de dados secretos a partir do servidor emuma mensagem normal.
t) 0 momento do dia em que o 12. OOO9 pacote derede foi recebido.
Alguns dos valores listados acima podemadicionalmente ou alternativamente ser usados como ativadores deevento ou contadores de eventos que ativam a atualização oumodificação de identificadores secretos contidos em um protocolode mensagens entre um dispositivo de cliente e um servidor. Porexemplo, um evento operacional pode ativar um contador que contaeventos operacionais subseqüentes, tal como o número de mudançasde canal em um dispositivo de cliente, por exemplo, e registra umvalor de dados secretos sobre quando o usuário trocou canais umnúmero pré-determinado de vezes. 0 valor de dados secreto pode sero momento do dia em que a pré-determinada contagem foi alcançada,ou o tempo gasto antes da contagem pré-determinada ser alcançada.
Outros tipos de eventos operacionais podem ser contados da mesmamaneira para prover um ativador de evento, tal como o número demensagens de um certo tipo enviadas ou recebidas por umdispositivo de cliente, o número de itens comprados, ou similares,ou o próprio número de eventos pode ser usado diretamente comovalor de dados secretos. Outros possíveis ativadores de eventospodem ser o momento do tempo em que um evento operacionalacontece, tal como uma atualização de firmware. Tais ativadores deevento podem ser usados para trocar iam prévio conjunto de valoresde dados secretos por um novo conjunto de valores de dadossecretos baseado em eventos operacionais diferentes, com os novosvalores de dados secretos sendo usados então para criar oidentificador secreto. Isto torna muito mais difícil que ospiratas (hackers) determinem quais eventos operacionaisparticulares são usados para gerar o identificador secreto.
Os dados secretos 18 podem ser construídos em umatabela. Uma forma de incorporação de uma possível tabela de dadossecretos é mostrada na Tabela 1 abaixo. Na tabela mostrada abaixoa tabela de dados secretos é construída usando dois itens ouvalores de dados secretos. Um item de dados secreto é o momento dodia (MDD) em que a mais recente mensagem de requisição de chave deradiodifusão (CRad) foi feita e o outro é o número de atualizaçõesde chave de transiente obtido por um dispositivo de cliente talcomo uma caixa de interface (STB) ou outro dispositivo de cliente.
Outros itens de dados secretos baseado em característicasoperacionais podem ser usados em formas de incorporaçãoalternativas, e mais de dois itens de dados secretos podem serusados para segurança adicional. Inicialmente ambos os valores naTabela 1 são 0, e o identificador secreto inicial pode ser 0, 0. ATabela 1 abaixo é apenas um exemplo de dois valores de dados quepodem estar junto em uma versão de um lançamento do software de umcliente. É previsto que outros valores de dados secretos possamser usados para criar um identificador secreto e que diferentesvalores de dados podem ser usados entre diferentes versões desoftware. Por exemplo, neste exemplo o número de atualizações dechave de transiente está sendo usado, mas em outra versão dosoftware o momento do dia (MDD) da última atualização de chave detransiente poderia ser usado, ou o número de segundos entre asprimeira e segunda atualizações de chave de transiente poderia serusado.
Tabela 1 - Tabela de Dados Secretos
<table>table see original document page 26</column></row><table>
As figuras 5A e 5B ilustram um diagrama de fluxodas etapas do método em um exemplo de uma forma de incorporaçãopara detectar dispositivos-clone usando dados secretos como naTabela 1 acima. A Tabela 2 abaixo ilustra um possível exemplo devalores de dados secretos armazenados tanto no servidor como nodispositivo de cliente ou dispositivo de cliente clonado em váriasetapas nas figuras 5A e 5B, e as figuras 6A a 6F ilustrammensagens geradas em várias fases no exemplo das figuras 5A e 5B.Na Tabela 2 e na figura 5, o termo "dispositivo de cliente real" éusado para designar o dispositivo de cliente original ou autênticoassociado com as credenciais de dispositivo de cliente registradasno servidor, enquanto o termo "dispositivo de cliente clonado" sedestina a um dispositivo de cliente que é uma cópia exata dodispositivo de cliente real com as mesmas credenciais. Na etapa100 da figura 5A, um dispositivo de cliente real ou autêntico éinstalado e registrado como associado com um assinante para osserviços providos pelo servidor 10, que salva as credenciais dodispositivo de cliente de assinante em um banco de dados 20. Noprimeiro acionamento do dispositivo de cliente 14 (etapa 101), oidentificador secreto é inicializado (etapa 102) para um valorinicial conhecido tanto no banco de dados do servidor como nobanco de dados do dispositivo de cliente. O identificador secretoneste caso compreende um conjunto de valores de dados secretosconforme indicado na Tabela 2 abaixo. Neste exemplo, pelo menos umdos valores de dados secretos usado no identificador secreto é omomento do dia (MDD) no qual uma requisição de chave deradiodifusão (CRad) foi feita pelo dispositivo de cliente, emboraquaisquer outros valores de dados secreto possam ser usados emlugar do MDD da requisição de CRad ou em adição ao MDD em outrasformas de incorporação.
Os valores de dados secreto iniciais conformearmazenados no banco de dados do servidor 20 antes que qualquerrequisição de CRad tenha sido recebida são MDD Reconhecido (Reco)= 0, MDD Não-Reconhecido (NReco) = 0, isto é, o identificador oudados secretos para este cliente no servidor são 0, 0, enquanto ovalor de dados secreto inicial armazenado no dispositivo decliente quando é acionado pela primeira vez é MDD = 0. Como esta éa primeira aplicação de acionamento depois que o dispositivo decliente foi instalado, o ativador de evento de MDD para arequisição de chave de radiodifusão é zero, porque o dispositivode cliente ainda não requisitou chaves de radiodifusão. Qualquerum ou todos os dados secretos podem ser configurados em um estadoinicial tal como zero no primeiro acionamento de um dispositivo decliente e/ou no servidor antes da recepção de uma primeiramensagem vinda de um dispositivo de cliente. Em formas deincorporação alternativas, um ou mais valores de dados secretosnão-zero podem ser gerados durante o processo de inscrição quandoo dispositivo de cliente de um assinante é registrado no servidor,e usados para criar um identificador secreto inicial, ou incluídosem um identificador secreto além de um ou mais valores de dadossecretos que são inicialmente configurados em zero.
Na Tabela 2, o valor não reconhecido (NReco) deum item de dados secreto armazenado no servidor é o último valoremitido para um dispositivo de cliente (real ou clonado) por umservidor que ainda não foi reconhecido em uma mensagem vinda dodispositivo de cliente. O valor de NReco é movido para a coluna deReconhecido (Reco) do valor armazenado no servidor quando ocliente retorna o valor de NReco ou um valor derivado pelodispositivo de cliente a partir do valor de NReco. O cliente poderetornar o valor de NReco na próxima mensagem ao servidor em umaforma de incorporação, como ilustrado na Tabela 2 e nas figuras 5e 6. Em uma forma de incorporação alternativa (não ilustrada), odispositivo de cliente envia uma mensagem de reconhecimentoespecifica ao servidor após a recepção do novo valor de NReco,confirmando que o valor de NReco foi armazenado com sucesso nobanco de dados do dispositivo de cliente. Neste momento, o valorde NReco substitui o valor de Reco no servidor. Porém, estaalternativa é mais susceptível a hackers (piratas), que obtém ovalor de dados secreto. O método ilustrado nas figuras 5A e 5B nosquais o único reconhecimento do valor de NReco acontece quando apróxima mensagem de um tipo designado é enviada ao servidor, émais secreto.
Depois da inicialização, o dispositivo de cliente14 envia uma requisição por chaves de radiodifusão (requisição deCRad) para o servidor na etapa 104. Em uma forma de incorporação,esta requisição contém um identificador secreto ou dados desegurança secretos 18. 0 identificador secreto na mensagem de CRadneste caso é como se segue:
MDD da última requisição de CRad = 0Atualizações de chave de transiente = 0
Em outras palavras, o identificador secreto narequisição de CRad é 0, 0, e o formato desta mensagem Ml éilustrado na figura 6A.
0 servidor recebe a requisição de CRad (etapa105), e extrai os valores de dados secretos no identificadorsecreto a partir da requisição, então confere estes valores contraos valores correspondentes armazenados no servidor. Estacomparação é descrita abaixo para o valor de dados secretos de MDDde CRad somente em uma série de mensagens, mas uma comparaçãosemelhante é executada para outros valores de dados secretos em umidentificador secreto, tal como um valor baseado em atualizaçõesde chave de transiente. Como esta é a primeira mensagem dequalquer dispositivo de cliente usando estas credenciais decliente, os dados de MDD de CRad coincidem (etapa 108) , e oservidor retorna as CRads ao dispositivo de cliente (etapa 110)com iam valor de MDD Tl determinado pelo servidor, isto é, omomento do dia da recepção no servidor da primeira requisição deCRad deste cliente. Uma forma de incorporação do formato damensagem de resposta de CRad Rl é ilustrada na figura 6B na qual onovo valor de MDD Tl é provido em um campo de mensagem depois doID e NS de mensagem. Em uma forma de incorporação alternativa, ovalor de MDD para a mensagem pode ser lido localmente pelodispositivo de cliente, em vez de ser recebido na mensagem vindado servidor. 0 valor de MDD recebido do servidor pode sersubstituído com qualquer tipo de valor de dados ou símbolo enviadodo servidor, em outras formas de incorporação alternativas.
No exemplo provido na Tabela 2 abaixo, o valor deMDD Tl é 8437, e é acrescentado ao banco de dados do servidor comoum MDD de NReco na etapa 114 uma vez que nenhum reconhecimento darecepção deste valor ainda não foi recebido do dispositivo decliente. Como visto acima, o dispositivo de cliente pode serprogramado para enviar um reconhecimento de recepção do valor deMDD Tl em uma forma de incorporação alternativa, mas nesta formade incorporação nenhum reconhecimento é enviado até a próximamensagem de CRad, e assim o valor de MDD Tl permanece um valor deNReco até e a menos que seja reconhecido em uma mensagem de CRadsubseqüente, que é uma opção mais secreta. Neste momento, osvalores de MDD no identificador de cliente salvos no servidor sãoMDD de Reco = 0, MDD de NReco = Tl ou 8437 neste exemplo.
TABELA 2 - Exemplo de valores de dados secretosem várias etapas na figura 5
<table>table see original document page 29</column></row><table><table>table see original document page 30</column></row><table><table>table see original document page 31</column></row><table><table>table see original document page 32</column></row><table>
Na etapa 115, o dispositivo de cliente realrecebe as chaves de radiodifusão na resposta do servidor, juntocom o novo valor de MDD Tl (neste exemplo 8437). O dispositivo decliente então armazena o novo valor de MDD (etapa 116), e decifraos dados encriptados tais como os dados de radiodifusão vindos doservidor usando as chaves de radiodifusão (etapa 118). No exemploilustrado, um dispositivo de cliente clonados é acionado (120)algum tempo depois que as primeiras chaves de radiodifusão sãorecebidas pelo dispositivo de cliente real e antes o dispositivode cliente real envia uma requisição de chave de radiodifusãosubseqüente para o servidor. Esta seqüência de eventos nãoacontece em todos os casos, e é somente um exemplo possível de umaseqüência de comunicações de dispositivo de cliente real e clonadocom o servidor. O dispositivo de cliente clonado envia umarequisição de chave de radiodifusão ao servidor (122) contendo umidentificador secreto compreendendo valores de dados secretosiniciais 0,0, e um possível formato desta mensagem M2 é ilustradona figura 6C. A primeira mensagem de qualquer dispositivo decliente clonado nesta forma de incorporação contém o mesmoidentificador secreto como a primeira mensagem do dispositivo decliente autêntico ou real, isto é 0, 0. Se esta mensagem forrecebida pelo servidor antes que o dispositivo de cliente realtenha reconhecido um novo valor de MDD do servidor, o servidorainda não tem nenhum modo de saber que existe um dispositivo decliente clonado. Se ela for recebida depois que um novo valor deMDD foi reconhecido pelo mesmo dispositivo de cliente queinicialmente requisitou CRads, o servidor sabe que há doisdispositivos de cliente no sistema usando credenciais idênticas, egera um relatório de detecção de clone conforme a figura 4.No exemplo das figuras 5A e 5B, um dispositivo decliente clonado envia a primeira requisição de CRad ao servidorantes do dispositivo de cliente real acusar o recebimento de umnovo valor de MDD vindo do servidor. Após a recepção da requisiçãode CRad, o servidor extrai os valores de dados secretos 0, Oecompara estes valores com os valores de dados secretos armazenadospara o dispositivo de cliente real tendo as mesmas credenciais(etapa 124). Neste ponto, uma coincidência de dados secretos éencontrada (etapa 125), isto é, os dados secreto recebidos estãocorretos, uma vez que nenhum reconhecimento específico derecebimento do MDD de NReco Tl (por exemplo 8437) ainda não foirecebido do dispositivo de cliente. Neste exemplo particular, oservidor não sabe se a mensagem contendo o MDD nunca foi recebidapelo dispositivo de cliente por alguma razão, tal como falha derede ou desligamento do dispositivo de cliente, e então não assumeque algum dispositivo clonado está presente. 0 banco de dados doservidor contém o último bom valor conhecido do MDD (neste caso 0)mais o último calor Tl de MDD não reconhecido. Considerando que ovalor reconhecido é uma coincidência, o servidor envia as chavesde radiodifusão ao dispositivo de cliente clonado com um novovalor de MDD T2 (etapa 126) em uma mensagem de resposta que podeter o formato ilustrado na figura 6D, em uma forma deincorporação. No exemplo particular provido na Tabela 2 acima, ovalor de T2 é 9902. Ao mesmo tempo, o MDD de NReco no servidor émudado para T2 (ou 9902 neste exemplo) na etapa 30, como ilustradona figura 5B, eliminando o MDD de NReco Tl previamente armazenado(ou 8437 no exemplo da Tabela 2).
0 cliente clonados recebe a mensagem de CRad e onovo valor de MDD T2 na mensagem do servidor e salva o novo valorde MDD T2 (etapa 132), e procede em decifrar os dados tais como osdados de radiodifusão recebidos do servidor (etapa 133). Noexemplo ilustrado na figura 5B, a próxima comunicação com oservidor depois da etapa 132 é uma mensagem enviada do dispositivode cliente real requisitando chaves de radiodifusão (Requisição deCRad) uma vez que o dispositivo de cliente real precisa renovarsuas CRads (etapa 134). Esta mensagem pode ter o formato ilustradona figura 6E e contém um identificador secreto compreendendo osvalores de dados secretos atualmente armazenados no dispositivo decliente real, especificamente o MDD da última requisição de CRaddeste dispositivo de cliente (Tl ou 8437) e o número deatualização de chave de transiente (0 neste exemplo). Na etapa135, o servidor recebe a nova mensagem de CRad do dispositivo decliente real e compara os valores de MDD de Reco e NRecocorrentemente armazenados (especificamente 0 e T2 ou 9902) com ovalor de MDD T1 ou 8437 recebido no identificador secreto dodispositivo de cliente. Considerando que o valor que T1 recebidodo dispositivo de cliente não é igual nem ao valor de Reco Oarmazenado no servidor, nem ao valor de NReco T2 armazenado noservidor (etapa 136), o servidor informa a detecção de clone aooperador de sistema para uma ação posterior (etapa 138). Outroprocessamento do lado do servidor pode ser aplicado neste momentopara detectar clones. O servidor não nega o serviço uma vez queele não pode determinar qual dos dois dispositivos de clienteenviando mensagens é o dispositivo de cliente real ou autêntico, eentão envia CRads e um novo valor de MDD T3 (113 05 no exemplo daTabela 2 acima) para o dispositivo de cliente real (etapa 140) emuma mensagem de resposta que pode ter o formato ilustrado nafigura 6F. 0 servidor então armazena o novo valor de MDD T3 comoum valor de NReco no banco de dados do servidor (etapa 142), e odispositivo de cliente real também armazena o novo MDD T3.
O método das figuras 5A e 5B ilustra um possívelmétodo e seqüência de eventos nos quais um dispositivo de clienteclonado envia uma mensagem a um servidor depois que o dispositivode cliente real recebeu sua primeira CRad do servidor mas antes odispositivo de cliente real requisita CRads renovadas ao servidor.Tais eventos podem acontecer em seqüências diferentes dependendodo uso dos dispositivos de cliente verdadeiro e clonado, e mais dedois dispositivos de cliente com as mesmas credenciais podemenviar mensagens a um servidor durante o mesmo período de tempo.Os dispositivos de cliente clonados podem enviar mensagens aoservidor a qualquer momento e em qualquer ordem em relação amensagens semelhantes enviadas por um dispositivo de cliente real.Sem considerar a ordem, o servidor pode determinar a presença deum dispositivo de cliente clonado porque o valores de dadossecretos em mensagens tanto do dispositivo de cliente real ou deum ou mais dispositivos de cliente clonados não coincidem com umou mais valores atualmente armazenados no servidor. Por exemplo,referindo-se à figura 5A e à etapa 122 da Tabela 2, se odispositivo de cliente real envia um a requisição de CRadsubseqüente ao servidor nesta fase, antes de qualquer mensagem serenviada por um dispositivo de cliente clonado, então os valores dedados secretos na requisição de CRad são Tl, O ou 8437, O noexemplo específico da Tabela 2. O servidor que recebe estamensagem nota a coincidência entre o valor de MDD do dispositivode cliente e o MDD de NReco salvo em seu banco de dados, e muda oMDD de Reco de 0 para Tl. Um novo MDD de NReco T2 é então enviadona resposta ao dispositivo de cliente. Um dispositivo de clienteclonado comunicando-se subseqüentemente com o servidor envia umMDD = O, já que é a primeira comunicação daquele dispositivo com oservidor. Este MDD não coincide com o MDD de Reco (Tl) ou com oMDD de NReco (T2) armazenados no servidor, e um relatório dedetecção de clone é gerado pelo servidor. Uma falha decoincidência semelhante acontece em algum ponto em qualquerseqüência de mensagens quando mais de um dispositivo de clienteusando as mesmas credenciais está se comunicando com um servidor,sem considerar a ordem das comunicações entre um servidor e umdispositivo de cliente real e dispositivos de cliente clonados.
Na forma de incorporação das figuras 5 e 6, e noexemplo específico desta forma de incorporação esboçado na Tabela2 acima, o identificador secreto em cada mensagem compreende doisou mais valores de dados secretos. Porém, o identificador secretopode incluir um código gerado baseado em tais valores de dadossecretos, por exemplo transformando os valores usando uma funçãode adequação de dados (hash) ou similar. A mensagem contendo oidentificador secreto é uma requisição de chave de radiodifusão naforma de incorporação acima, e o dispositivo de cliente recebe umaradiodifusão do servidor. 0 dispositivo de cliente neste caso é umreprodutor de mídia tal como uma caixa de interface de televisão,iam computador pessoal, ou qualquer outro dispositivo de clientecapaz de reproduzir radiodifusão, tal como radiodifusão detelevisão. 0 servidor pode ser um que distribua chaves dedecriptação de canal de televisão de radiodifusão para osclientes. Porém, outros tipos de dispositivo de cliente eprovedores de serviço podem usar as mesmas técnicas de dadossecretos em tipos diferentes de mensagens. Como visto acima, astécnicas de dados secretos das formas de incorporação acima podemser aplicadas a qualquer tipo de provedor de serviço de rede e aqualquer tipo de dispositivo de cliente conectado a servidores doprovedor de serviço, tais como computadores pessoais, telefonescelulares, assistentes digitais pessoais (ADPs), equipamentos devídeo (TIVO, DVD, CD, etc.), e qualquer outro tipo de dispositivode cliente, e para qualquer tipo de serviço tal como transaçõesbancárias on-line, comércio eletrônico, inscrição de dados,sistemas de comunicações de mensagens, etc. Na forma deincorporação acima, as chaves de decriptação de canal de televisãode radiodifusão (CRads) são as chaves necessárias para decifrarcanais de TV de radiodifusão encriptados, como é tipicamente usadopara canais de televisão premium ("prêmio"), tal como Home BoxOffice (HBO) ou o Canal de Filmes (Movie Channel) . Canais detelevisão "prêmio" são canais opcionais que um assinante de TV deprotocolo de internet (PI) ou de TV a cabo pode escolher comprar.As técnicas aqui descritas também são aplicáveis a quaisquertécnicas de encriptação onde as chaves são distribuídas adispositivos de cliente para permitir o acesso a vários tipos deserviços de rede, ou podem ser usadas em diferentes tipos demensagens entre um servidor e um dispositivo de cliente além de,ou em vez de, mensagens de requisição de chaves de decriptação.
Porque há a possibilidade de que um dispositivode cliente real não receba uma mensagem de um servidor devido alima falha de rede ou devido ao dispositivo de cliente serdesligado antes que a mensagem de resposta seja recebida, a formade incorporação das figuras 5A e 5B pode incluir um processamentodo lado do servidor para reduzir o número de falsos alertas dedetecção de clone gerados, por meio do que um alerta de detecçãode clone é uma indicação de que um cliente foi detectado comcredenciais de cliente idênticas às de outro cliente. Em uma formade incorporação alternativa, como mencionado acima, umreconhecimento de cliente interpretado é enviado do dispositivo decliente a cada vez que um item de dados secretos usado em umidentificador secreto é atualizado, e o servidor coordena o itemde dados secreto esperado no banco de dados do servidor baseado noreconhecimento do cliente de que um item de dados secretos providopelo servidor foi recebido e armazenado com sucesso pelo cliente.0 uso de uma mensagem de reconhecimento direta entre o cliente e oservidor indicando que um símbolo de dados secretos do servidorfoi armazenado pelo cliente, ou que o item de dados secretos docliente foi reconhecido pelo servidor, pode melhorar a detecção declones mas pode criar mensagens adicionais que são processadaspelo servidor e podem ser interceptadas por hackers.
Em uma forma de incorporação, o servidor enviaitens ou símbolos de dados secretos únicos a um dispositivo decliente para uso em mensagens subseqüentes. Exemplos de itens ouvalores de dados que o servidor pode enviar ao dispositivo decliente incluem valores de dados temporários periodicamentemodificados pelo servidor quando o cliente e o servidor secomunicam, chaves temporárias enviadas do cliente ao servidor, esimilares. Em uma forma de incorporação, o servidor envia chavesde encriptação/decriptação temporárias ou transientes a um clientee as chaves de transiente se tornam parte do anel de chaves usadona encriptação de mensagens entre o cliente e o servidor. 0 uso dechaves de transiente impede que os clientes clonados se comuniquemcom o servidor porque somente um cliente contém as chavesapropriadas para conseguir as comunicações encriptadas entre umcliente e um servidor. As chaves de transiente podem ser enviadasem um canal de comunicações encriptadas à base de sessão tal comoprovido por SSL ou provido por trocas de chave do tipo DiffieHellman de modo que os pacotes de rede contendo as chaves detransiente atualizadas providas pelo servidor não podem serdecifrados por dispositivos clonados que obtêm as mesmas mensagensde atualização de chave de transiente. Tal encriptação baseada emsessão pode ser usada para qualquer tipo de comunicação. Em umaforma de incorporação, o servidor envia um símbolo ou símbolos aodispositivo de cliente, que são armazenados pelo dispositivo decliente e usados em mensagens subseqüentes de cliente-para-servidor. 0 servidor pode prover um símbolo único em momentosaleatórios ou a intervalos fixos para um dispositivo de cliente.
No exemplo da Tabela 2, são mostrados doisvalores de dados secretos. Porém, um, dois ou mais valores dedados secretos podem ser usados com valores que são providosexclusivamente pelo servidor e/ou valores que são exclusivamentedeterminados pelo cliente baseado na operação do dispositivo decliente. Em uma forma de incorporação, o módulo de dados secretos29 no dispositivo de cliente pode incluir uma memória não-volátil,e partes de, ou todos os, dados secretos podem ser armazenadoslocalmente na memória não-volátil (disco rígido, memória Flash, ousimilares) no dispositivo de cliente. A ordem de acionamento dedispositivos de cliente reais e clonados ou a ordem na qual elesse conectam a uma rede, ou a ordem em que eles fazem uma primeiraconexão com o servidor, não é importante e as técnicas acimadescritas não exigem que os dispositivos de cliente sejamacionados em qualquer ordem. Assim, o primeiro dispositivo decliente acionado nas figuras 5A e 5B pode ser um dispositivo decliente clonado em lugar de um dispositivo de cliente real, edispositivos de cliente reais e clonados podem se comunicar com oservidor em qualquer ordem e em qualquer momento. Sem considerar aordem das mensagens, esta forma de incorporação permite que oservidor determine quando houver mais de um dispositivo de clienteusando as mesmas credenciais de cliente, quando uma mensagem forrecebida na qual o valor de dados secretos não coincide com osvalores de dados secretos no servidor, indicando que umdispositivo de cliente real foi clonado.
As figuras 5A e 5B ilustram a detecção de clonesecreto usando um único item de dados secreto que é enviado doservidor a iam dispositivo de cliente na forma do Momento do Dia(MDD) da última requisição de um dispositivo de cliente. Em umaforma de incorporação alternativa, podem ser usados um ou maisativadores secretos. Um ativador secreto é um ativador que ocorredepois que um número de eventos acontecem e que respondemodificando os dados secretos usados para criar o identificadorsecreto, ou provendo um novo pedaço de dados secretos que pode serrastreado pelo servidor. Há numerosos ativadores secretospossíveis na operação normal de um dispositivo de cliente, e osativadores secretos ou eventos podem ser baseados em múltiplascategorias de eventos tal como tempo (número total de horas em queo dispositivo de cliente ficou ativo, número aleatório de horasdepois que o dispositivo de cliente foi instalado ou atualizado,ou similares), mensagens (número total de mensagens de controle deentitulação de vídeo ou MCEs recebidas, total de mudanças decanal), ou processamento de dados internos (por exemplo MDD quandoo 100.OOO9 pacote de vídeo foi decifrado). Outros exemplos de vimativador secreto incluem um ativador que ocorre quando umdispositivo de cliente tal como uma caixa de interface (STB)trocou de canais 100 ou 200 vezes, por exemplo, ou um ativador queacontece quando um certo número de eventos de cliente acontecem eo ativador salva o momento do dia do cliente (ou outro parâmetro)quando o ativador ocorre. Outro exemplo é o valor atual do 15.000apacote de MCE recebidas, ou o Momento Do Dia (MDD) quando o15.000° pacote de MCE foi recebido ou uma adequação de dados(hash) dos dois valores de dados. Eventos que ativam a criação deum valor de dados secreto acontecem a taxas diferentes em doisdispositivos de cliente com credenciais idênticas (dispositivos decliente autênticos/reais e clonados) , de maneira que o dispositivode cliente autêntico ou real e os dispositivos de cliente clonadostêm dados secretos diferentes, e então identificadores secretosdiferentes. Os identificadores secretos são usados no lado doservidor para detectar múltiplos clientes presentes em uma rede.
Em uma forma de incorporação, as bibliotecas decliente de valores secretos salvos são periodicamente modificadaspara salvar novos ou diferentes valores de dados secretos que porsua vez são usados para gerar um identificador secreto. Destemodo, os piratas (hackers) que podem ter obtido uma biblioteca decliente não sabem quando um novo evento que cria um valor de dadossecreto usado em um identificador secreto poderá acontecer depoisque uma biblioteca de cliente foi atualizada. Os hackers precisamdeixar todos os dispositivos de cliente clonados fora da rede paraevitar detecção depois de uma atualização de software dabiblioteca de cliente, para tentar determinar quais ativadoressecretos são programados na biblioteca de cliente, quando osativadores ocorrem, e quais dados secreto são armazenados nabiblioteca de cliente em resposta a um ativador. Tais atualizaçõespodem ser geradas por um servidor e podem usar capacidades deprocessamento seguro contidas dentro do dispositivo de cliente. Ométodo de descarregamento de dados de firmware de cliente paraatualizar a biblioteca de cliente pode usar imagens de códigodigitalmente assinadas para permitir que o cliente autentique odescarregamento de dados. O software da "extremidade final" podeter funções de interface de programação de aplicação (IPA) ou umainterface de carrossel de dados para descarregar dados de softwarede cliente.
Em uma forma de incorporação, os identificadoressecretos contêm dados que podem ser estáticos para váriasrequisições e então os dados secretos usados para gerar oidentificador secreto mudam, baseado em um ativador secreto, ou oidentificador secreto para cada mensagem de um certo tipo muda,tal como o Momento Do Dia ou MDD para a requisição da mensagemanterior. Os dados secretos usados em um identificador secretopodem se originar dentro do dispositivo de cliente, ou seremenviados do servidor como parte das mensagens, ou pode ser umacombinação de dados de cliente/servidor. O identificador secretopode incluir dados que são processados pelo cliente ou servidor,tal como aplicar valores de dados secretos atuais a umatransformação matemática ou adequação de dados (hash)criptográfica.
Em uma forma de incorporação, os valores de dadossecretos usados em um identificador secreto também podem mudarbaseado no servidor respondendo a uma requisição em um dentrevários modos diferentes. Em um exemplo, as primeiras 10requisições de chave de radiodifusão recebem um valor de dadossecretos e as requisições subseqüentes depois da 10a recebem umaresposta diferente na qual os dados secreto são modificados oumisturados, ou ambos. As mudanças podem acontecer no lado docliente ou do servidor, ou em ambos. O identificador secreto écontido em um pedaço ou campo da mensagem como parte de umamensagem normal processada durante o processamento normal dosistema e o pedaço da mensagem pode variar entre duas diferentesliberações de código do software de cliente. Além disso, o pedaçoda mensagem pode ter dados arbitrários sem sentido aplicados comoum branqueador de dados. Em uma forma de incorporação, o pedaço dedados tem de três a cinco valores de dados secretos e os valoresde dados secretos mudam baseado em diferentes eventos ouativadores que ocorrem em momentos diferentes.
Na forma de incorporação descrita acima comrelação às figuras 5 e 6, um identificador secreto baseado nomomento do dia de uma mensagem é provido em mensagens derequisição de chave de radiodifusão ou similares. A Tabela 3abaixo ilustra um exemplo de um identificador secreto transformadocriado em dispositivos de cliente compreendendo telefones móveis.
TABELA 3 - Identificadores secretos de telefonemóvel
<table>table see original document page 41</column></row><table>
Na Tabela 3, um telefone é real e os outros doissão clones, e cada telefone cria um identificador secreto baseadona operação do telefone. No exemplo acima somente as primeirasduas entradas de chamada são usadas para gerar um únicoidentificador secreto (ID). A entrada de chamada de cada telefoneé processada com uma função do tipo de adequação de dados(hashing) criptográfica que gera um único ID secreto para cadatelefone, resultando em um identificador que é único para cadatelefone mesmo para telefones perfeitamente clonados. Porque ostelefones foram clonados na fabricação e cada telefone é usado demaneira ligeiramente diferente com o passar do tempo, osidentificadores secretos são extremamente difíceis de duplicar,mesmo se os proprietários dos telefones tentarem criar entradas dechamada idênticas para gerar identificadores secretos idênticos.Isto é porque seria necessário obter eventos em micro-segundosidênticos para criar entradas de chamada perfeitamente idênticas,o que pode ser impossível em dispositivos do mundo real.Os identificadores secretos entre cliente eservidor podem ser encriptados para segurança adicional, com aschaves de encriptação sendo únicas entre clientes, mas osidentificadores secretos podem ser valores de dados secretos não-encriptados em outras formas de incorporação. Em algumas formas deincorporação, a segurança sem chave entre um cliente e o servidorpode ser envolvida, usando apenas os valores de dados secretos ouidentificadores secretos baseados em tais valores para identificardispositivos de cliente. Porém, a segurança é aumentada quando ascomunicações de cliente/servidor são encriptadas. Dados secretosou identificadores secretos podem ser usados de muitas maneiraspara identificar operacionalmente um cliente sem a necessidade deum par de chaves de encriptação. Na realidade, o esquema de dadossecretos descrito acima pode ser usado em todas as transações demensagens sem mensagens específicas de segurança sendo requeridasem um sistema. Isto significa que as técnicas de dados secretosaqui descritas podem ser usadas para aumentar a autenticação declientes com e sem credenciais de segurança tais como certificadosX.509, chaves de encriptação, e chaves específicas de segurançasemelhantes. Em uma forma de incorporação, todas as comunicaçõesentre um cliente e um servidor ou entre dois dispositivos decomputador são melhoradas pelas técnicas aqui descritas emsituações onde uma chave específica de encriptação não érequerida. Formas de incorporação podem aplicar todos os tipos desoftware e firmware que atuam em um sistema incluindo softwaresaplicativos, middleware de sistema, softwares de faturamento,qualquer tipo de transação de comércio eletrônico, qualquer tipode comunicações de cliente/servidor, e qualquer tipo de mensagementre um cliente e um servidor ou onde um cliente precisa seridentificado.
Em uma forma de incorporação, dados de segurançasecretos podem ser usados para prover segurança sem chave emsistemas que não usam segurança ou encriptação para ascomunicações entre dispositivos de cliente e locais de internet(websites) ou servidores, bem como permitir a detecção dedispositivos de cliente clonados. Esta forma de incorporação éilustrada no diagrama de fluxo da figura 7. Em uma primeira etapa150, um dispositivo de cliente contacta um local de internet ouservidor para se registrar para um serviço. Durante a inscrição, odispositivo de cliente envia um identificador secreto inicial aoservidor que identifica exclusivamente o dispositivo de cliente(etapa 152). O identificador secreto nesta forma de incorporaçãocompreende uma série de valores de dados secretos, mas podeincluir uma versão transformada de tais valores em outras formasde incorporação. Os valores de dados secretos iniciais usados noidentificador secreto podem ser quaisquer dados específicos dedispositivo de cliente, incluindo os dados secretos aquidescritos, que são difíceis- de clonar. Ao se registrar, o clientepode enviar uma informação de cliente um tanto difícil de clonarcomo identificador secreto, tal como o número de série da unidadede processamento central (UPC) , se disponível, o ID de volume daunidade de disco, ou outra informação específica de hardware. 0próprio processo de inscrição pode criar novos valores de dadossecretos no lado do servidor ou no lado do cliente, que são maisdifíceis de clonar, tais como dados de um ou mais registradores naUCP ou dispositivos de hardware de computador, o atraso de tempoem nano-segundos entre uma mensagem enviada e a resposta que érecebida pelo cliente, a soma de verificação ou valores de crc deuma porção de memória, e similares. 0 conjunto inicial ou tabelade dados secretos é capturado e armazenado pelo dispositivo decliente e pelo servidor durante o processo de inscrição (etapa154). Neste momento, os dados secreto são únicos para odispositivo de cliente registrado, e as comunicações de cliente-servidor procedem usando o identificador secreto baseado nestesdados para validar o dispositivo de cliente (etapa 155). Nestecaso, o método para detectar dispositivos de cliente clonados éaquele ilustrado na figura 4. Se o servidor recebe uma comunicaçãoque pretende ser do dispositivo de cliente registrado mas não temvalores de dados secretos coincidindo com os valores de dadossecretos iniciais armazenados no servidor para aquele dispositivode cliente, um relatório de detecção de dispositivo clonado égerado pelo servidor.
Como os hackers (piratas) podem se hábeis empiratear o sistema e obter o conjunto inicial de valores de dadossecretos, ou o identificador secreto baseado naqueles dados ondeele é transformado, novos dados secretos são criados baseado emcaracterísticas operacionais à medida em que o dispositivo decliente continua operando (etapa 156). Os novos dados secretos sãoacrescentados ao conjunto inicial de valores de dados secretos emcomunicações subseqüentes entre o servidor e o dispositivo decliente (etapa 158), com os novos valores de dados secretosacrescentados aos valores de dados secretos previamentearmazenados para aquele dispositivo de cliente (etapa 160) tantono servidor como no dispositivo de cliente. Os novos dadossecretos podem ser criados por eventos cronometrados ou eventoscontados adicionando-se os dados secretos adicionais criadosdepois da inscrição para identificar o cliente. Opcionalmente, oservidor pode criar e distribuir dados secretos ao dispositivo decliente em momentos variados durante a mensagem provendo odispositivo de cliente com dados secretos adicionais que sãoúnicos para este dispositivo de cliente. Novos dados secretoscontinuam sendo adicionados à medida em que o dispositivo decliente continua operando, de modo que não há um conjunto estáticode dados secretos usado para qualquer período estendido de tempo,tornando a pirataria e a clonagem muito mais difíceis. Em qualquerfase, se os dados secretos recebidos em uma mensagem de umdispositivo de cliente real pretendido não coincidirem com oconjunto atual de dados secretos armazenado para aqueledispositivo de cliente no servidor, um relatório de detecção declone é gerado.
0 método da figura 7 permite que sistemas semsegurança criem o identificadores de cliente únicos baseado emdados secretos que não podem ser pirateados facilmente. Paracertas aplicações, as técnicas de dados secretos podem sozinhasprover uma segurança adequada, ou as técnicas de dados secretospodem ser acrescentadas a sistemas onde as mensagens decliente/servidor são asseguradas usando as melhores técnicas deencriptação aperfeiçoadas com os métodos de dados secretos aquidescritos, por exemplo conforme descrito com relação às figuras 5e 6 e Tabela 2.As técnicas de dados secretos descritas acimapodem ser usadas para aumentar a segurança quando também sãousadas chaves de encriptação para encriptar mensagens entredispositivos de computador, ou as chaves são usadas paraidentificar seguramente computadores em uma rede. Quando umdispositivo de cliente clonado é criado, o dispositivo clonado temas chaves idênticas de um dispositivo de cliente autorizado,autêntico ou real e pode decifrar todas as mensagens que sãoenviadas entre o dispositivo de cliente real autêntico autorizadoe o servidor. Porém, operacionalmente o dispositivo de clientereal e o dispositivo de cliente clonado executam diferentementecertas funções com o passar do tempo, ou têm valores de contagemoperacionais diferentes (número de MCE processadas, momento do diaquando a 10a mudança de canal aconteceu, e similares), de modo queos dados secretos gerados pelo dispositivo de cliente real e pelodispositivo de cliente clonado diferem, como explicado acima.
E muitos casos o valor real dos dados secretosnão é importante, mas o que é importante é que o comportamentooperacional de um dispositivo de cliente tal como uma caixa deinterface é diferente sob condições operacionais normais quandocomparado a uma cópia clonada do dispositivo de cliente autêntico.Isto significa que aqueles valores de dados secretos diferem decliente-para-cliente mesmo quando os dispositivos de clientetiverem credenciais de cliente clonadas idênticas às dodispositivo de cliente real. Em algumas formas de incorporação,estas diferenças operacionais são usadas para detectar valores dedados secretos ou identificadores secretos baseados em taisvalores que diferem entre um dispositivo de cliente autêntico e umdispositivo de cliente clonado, e uma forma de incorporação de talmétodo é explicada acima em conjunção com as figuras 5 e 6 e aTabela 2. Além do mais, os valores de dados secretos podem ser"valores de contagem" que são pesados com um fator de escalarequerendo que o dispositivo de cliente opere por um período detempo antes que um valor mude, provendo assim valores de dados quepermanecem fixos em um único valor durante dias, semanas, ou mesesde operação. Em uma forma de incorporação, um ou mais valores dedados secretos são utilizados como um identificador secreto nasmensagens entre o dispositivo de cliente e o servidor. Em umaforma de incorporação, mais de um valor de dados secreto é usadocom limiares ou ativadores diferentes que resultam nos váriosvalores de dados secretos mudando a taxas diferentes. A Tabela 4abaixo mostra um exemplo de três valores ou itens de dadossecretos em uma mensagem chamada de "Mensagem de Aquisição deChave" e as mudanças nos itens de dados secretos com o passar dotempo.
A forma de incorporação das figuras 5A e 5B eTabela 2 usava uma requisição de Chave de Radiodifusão, ou CRadpara enviar valores de dados secretos, e as mesmas técnicasdescritas abaixo na Tabela 4 para a Mensagem de Aquisição de Chavepodem ser usadas no exemplo de requisição de Chave de Radiodifusãoou CRad ou quaisquer outras mensagens usadas entre um dispositivode cliente e o servidor. Note-se também que os itens ou valores dedados secretos podem se originar tanto no dispositivo de cliente,ou no servidor, ou em ambos, e que os valores de dados secretospodem ser os resultados obtidos pelo processamento de um valor dedados tal como pelo uso de uma função de hash (adequação dedados), ou introduzindo-se um valor de número arbitrário, ouexecutando-se uma transformação no valor de dados usado como partedo esquema de dados secreto.
TABELA 4 - Mensagem de Aquisição de Chave (MAC) eDados Secretos com o passar do tempo
<table>table see original document page 46</column></row><table><table>table see original document page 47</column></row><table>
O exemplo acima na Tabela 4 mostra como trêsvalores ou itens de dados secretos 1, 2, 3 em uma Mensagem deAquisição de Chave (MAC) mudam com o passar do tempo. O ID deMensagem MAC mostrado na tabela acima com um valor de "1"identifica a mensagem como sendo um Mensagem de Aquisição deChave. É previsto que, depois de cada revisão de firmware, oidentificador secreto que é enviado como parte das comunicações decliente/servidor para uma função particular tal como umarequisição de aquisição de chave (ou qualquer outro evento, talcomo uma transação de comércio eletrônico ou outra transação)contém itens de dados secretos diferentes daqueles da liberação defirmware anterior, tornando o pirateamento de firmware anteriorinútil no sistema. No exemplo acima, os itens de dados secretossão valores operacionais diferentes gerados no dispositivo decliente ou no servidor, e podem ser quaisquer dos possíveis itensou valores de dados secretos descritos acima, ou quaisquer outrosdados únicos derivados da operação de um dispositivo de cliente.Se o servidor recebe uma mensagem de MAC a qualquer momento, aqual não coincide com a mensagem de MAC atual armazenada para odispositivo de cliente particular, ele gera relatório de detecçãode um cliente dispositivo clonado.
No exemplo acima, o ID de Mensagem para aMensagem de Aquisição de Chave não precisa mudar e é consideradoum valor de ID de Mensagem estático para indicar um dentre váriostipos de mensagem para comunicação entre o cliente e o servidor.Porém, os IDs de Mensagem podem mudar entre versões de firmware decliente diferentes, forçando que os piratas (hackers) tenham quefazer uma "engenharia reversa" nos novos IDs de Mensagem quandouma atualização de firmware de cliente é feita. Um número derevisão de firmware pode estar contido no ID de mensagem parapermitir que o servidor trabalhe com diferentes versões defirmware de cliente.
Em uma forma de incorporação, os itens de dadossecretos para várias liberações de firmware diferem entrediferentes versões. A Tabela 5 abaixo mostra uma forma deincorporação de possíveis campos de dados secretos para trêsliberações de firmware diferentes. Esta tabela mostra os conteúdosde três campos de dados secretos para três liberações de firmwarediferentes chamadas de liberação 1.0, 1.1, e 1.2, com as váriasliberações acontecendo em um período de um ano, por exemplo. Osidentificadores secretos em mensagens entre dispositivo de clientee servidor, ou servidor e dispositivo de cliente, ou ambos,consistem em três itens de dados secretos, com a natureza dositens de dados secretos sendo dependente da liberação de firmwareatual usada. A tabela é lida para baixo, para cada coluna. Os trêsitens de dados secretos para a liberação 1.0 do firmware são o 42símbolo de mensagem do servidor, a contagem de pacote de MCEescalada, e o momento do dia para a terceira mensagem de um tipoparticular recebida. Na liberação 1.1, estes itens mudam para umacontagem escalada do número total de horas em que o dispositivo decliente tem operado, um símbolo recebido do servidor depois da 6amensagem de um tipo particular com o servidor, e o momento do diaquando a 10.000a mensagem de um tipo particular foi recebida pelodispositivo de cliente. Na liberação 1.2, todos os três itens dedados secretos são novamente modificados, com o item de dadossecretos 2 mudado para zero, e os outros itens de dados secretosmodificados para o momento do dia quando a 150a mensagem de umtipo particular foi recebida, e o valor do número do canal no qualo dispositivo de cliente foi sintonizado às 20:37 h no dia em queo novo firmware foi instalado.TABELA 5 - Exemplo de valores de dados secretosem diferentes liberações de firmware
<table>table see original document page 49</column></row><table>
Em uma forma de incorporação o item ou itens dedados secretos usados para qualquer liberação de firmware únicatambém pode mudar em momentos pré-determinados ou em resposta apré-determinados ativadores. Por exemplo, supõe-se que uma certarevisão de código é liberada no mês de Março e carregada nodispositivo de cliente. Durante os primeiros dois meses depois quea revisão foi carregada, o item de dados secretos 2 é o momento dodia em que o firmware foi atualizado. Então, depois de mais doismeses, o item de dados secretos 2 muda para um valor de dadosprovido pelo servidor. Então, depois de quatro meses de operaçãodesta liberação de firmware, o item de dados 2 muda para o valorde registro contido em um chip no dispositivo de cliente noaniversário do quarto mês do carregamento da revisão. Nesta formade incorporação, o valor de um item de dados secreto mudou trêsvezes durante os primeiros quatro meses de operação, de modo queos hackers têm mais dificuldade em clonar com sucesso odispositivo de cliente. Quando o valor de itens de dados secretospré-armazenados muda em uma época particular, o servidor estáatento a tal época e ajusta seu banco de dados adequadamente. Porexemplo, supondo que depois de 90 dias de operação a biblioteca decliente é projetada para gerar uma tabela ou matriz de dadossecretos completamente nova, então o servidor está atento ao fatode que depois de 90 dias de uso o cliente estará informando novosdados secretos. Na realidade, mesmo sincronizando os clones paraequiparar suas velhas tabelas de dados secretos e ao mesmo temporecarregar novos dados, isto apresenta problemas logísticos paraos piratas (hackers), especialmente quando o hacker pode não estaresperando que o valores de dados secretos sejam modificados.
Há muitos itens de dados secretos e ativadores dedados secretos diferentes possíveis gerados pela operação dodispositivo de cliente, com o servidor comunicando-se com odispositivo de cliente, ou ambos, o que pode ser usado para geraridentificadores de cliente adicionados a mensagens nas formas deincorporação acima descritas. Um ou mais itens de dados secretospodem ser um símbolo ou um tempo provido pelo servidor aodispositivo de cliente como parte da resposta de mensagem e o itemde dados provido pelo servidor é retornado de volta para oservidor pelo dispositivo de cliente (talvez na próxima requisiçãopor um dispositivo de cliente), por exemplo como descrito acimacom relação às figuras 5 e 6 e Tabela 2. Isto permite que oservidor gere símbolos usados como dados secretos para identificarclones. Dados secretos também podem ser uma contagem do número demensagens processadas por um dispositivo de cliente ou o número demensagens escritas para uma entrada de mensagem ou fila demensagem pelo dispositivo de cliente, ou o valor da 10a chamada deIPA para uma função de IPA de cliente, ou outro evento semelhanteque normalmente variaria entre dispositivos de cliente mesmo comcredenciais idênticas.
Em muitos casos o dispositivo de cliente pode nãosaber ou mesmo considerar o que significam os dados secretos,porque eles são a informação usada no lado de servidor paradetectar clones, ou eram a informação provida pelo servidor paradetectar clones. Em uma forma de incorporação, alguns valores dedados secretos são gerados baseado em eventos de uma só vez talcomo qual canal foi sintonizado pelo dispositivo de cliente depoisde um período de tempo particular de operação de um novodispositivo de cliente, por exemplo 23:49:33(horas:minutos:segundos) de operação. Outros valores de dadossecretos podem ser gerados usando valores operacionais de rede oude sistema tais como parâmetros de faixa de modem a cabo, temposde arrendamento de PCHD, e similares. Ainda outros valores dedados secretos podem ser providos pelo servidor. Outros valores dedados secretos podem ser o resultado de mensagens entre umdispositivo de cliente e um servidor, ou outros parâmetrosnormalmente encontrados no ambiente para o produto. Por exemplo,os CPs podem ter valores de dados secretos diferentes dos detelefones sem fio.
Um sistema de segurança usando dados secretosgerados por eventos operacionais de dispositivos de clienteconforme descrito nas formas de incorporação acima também pode serprojetado para incluir um processo de renovação de entitulação deassinante, quando dispositivos de cliente clonados ou pirateadossão detectados pelo sistema, ou são suspeitos por outras razões,ou a intervalos pré-determinados sem considerar dispositivos decliente clonados suspeitos. A figura 8 ilustra uma forma deincorporação do processo de renovação para uma rede de duas-viasou uma rede de uma-via com um canal de retorno. Qualquer forma decanal de retorno persistente ou não-persistente (esporadicamentedisponível) tal como uma conexão de discagem de modem ocasional ouum canal de retorno formado quando um telefone celular é conectadoa um dispositivo de cliente, tal como um STB, pode ser usado pararenovação como na figura 8. Um processo semelhante também pode serusado em uma rede de uma-via sem um canal de retorno, e uma formade incorporação de tal um processo é ilustrado no diagrama defluxo da figura 9.
O processo da figura 8 pode ser usado em umprocesso de renovação com relação a redes de duas-vias ou uma redede uma-via com um canal de retorno. Conforme ilustrado na figura8, uma requisição para um identificador secreto é enviada por umservidor em uma rede para clientes individuais (em redes de 2vias) ou para todos os dispositivos de cliente (em uma rede deuma-via). O servidor envia uma Mensagem de Renovação ao Cliente(181). Assumindo que um canal de retorno está disponível (182), osdispositivos de cliente são programados para responder enviando oidentificador secreto atual de volta ao servidor (etapa 184). Seum canal de retorno não está disponível (isto é, o dispositivo decliente está operando em uma rede uma-via sem canal de retorno), oprocedimento continua conforme ilustrado na figura 9, e descritoem mais detalhes abaixo.
0 identificador de dados secreto enviado de voltana etapa 184 para redes tendo um canal de retorno é baseado nosdados secretos coletados por um dispositivo de cliente particular,que por sua vez está relacionado a eventos operacionais naqueledispositivo de cliente. Considerando que o identificador secretofoi atualizado recentemente em cada dispositivo de cliente, oshackers têm que recomeçar sua pirataria para encontrar oidentificador secreto do dispositivo de cliente real imediatamentedepois de receber o código de atualização na etapa 179, e tentarduplicar aquele identificador secreto em qualquer dispositivo-clone. É improvável que tais tentativas de pirataria tenham êxitoa tempo para que o identificador secreto seja duplicado antes quea resposta contendo o identificador secreto para cada dispositivode cliente seja automaticamente enviado de volta de cadadispositivo de cliente na etapa 184. Em uma forma de incorporação,o identificador de dados secreto é um código de oito dígitosgerado a partir de valores de dados secretos coletados, e nãocontém nenhuma informação de comportamento relacionada aoassinante ou informação relacionada à privacidade. Porém, outroscódigos baseados em valores de dados secretos podem ser gerados,em formas de incorporação alternativas. O servidor determina entãose mais de uma resposta foi recebida com o mesmo identificador decliente mas com dados secretos diferentes (etapa 185). Se somenteuma resposta for recebida, um código de destravamento de renovaçãobaseado no identificador secreto recebido do dispositivo decliente é criado pelo servidor (etapa 186) e transmitido aodispositivo de cliente (etapa 188). Se apenas uma resposta forrecebida, é provável que não haja nenhum clone do dispositivo decliente real na rede, e o dispositivo de cliente real destrava ocódigo de renovação e é renovado para serviço. Porém, se poralguma razão o dispositivo de cliente real não enviar umaresposta, ou os dispositivos de cliente clonados não enviarem umaresposta, mais de um dispositivo de cliente ainda pode receber ocódigo de destravamento de renovação, já que este código éradiodifundido a todos os dispositivos de cliente que operam sob omesmo identificador ou credenciais de cliente. Somente odispositivo de cliente com o mesmo identificador de dados secretopode destravar o código de renovação e ser renovado para serviçosatravés da rede. Quaisquer outros dispositivos de cliente usando omesmo identificador de cliente não podem destravar o código derenovação, e são bloqueados de receber serviços. Se o dispositivode cliente renovado for de fato um clone, o assinante real ébloqueado e chama o provedor de serviço para reclamar. Neste caso,o dispositivo clonado é bloqueado e o serviço com o dispositivo decliente do assinante real é renovado. Uma etapa opcional nãomostrada na figura 8 e antes da etapa 181 seria a de enviar umamensagem de atualização de identificador secreto ao cliente paraque o cliente obtenha naquele momento ainda outros novos valoresde dados secretos e os adicione à tabela de dados secretos que éretornada na etapa 184. Cada dispositivo de cliente que recebe amensagem então atualiza o identificador secreto baseado nascaracterísticas operacionais atuais do dispositivo particular parao pedaço particular de dados secretos sendo capturado.
Se mais de uma resposta de dispositivo de clientecom um identificador secreto foi recebida na etapa 185, odispositivo de cliente real é identificado (etapa 189). Aidentificação do dispositivo de cliente real na etapa 189 podeincluir um método de autenticação de usuário de rede conformedescrito no pedido de patente co-pendente n° 11/489.779 depositadoem 20 de Julho de 2006, seus conteúdos sendo aqui incorporadoscomo referência. Neste método, os assinantes autorizados sãoassociados com a locação das conexões físicas ao dispositivo decliente, e a rede é sondada na etapa 189 para determinar qualdispositivo de cliente está na locação de rede físico correta parao assinante autorizado. Quando o dispositivo de cliente correto oureal é localizado, um código de destravamento de renovação baseadonos dados secretos recebidos daquele dispositivo de cliente écriado na etapa 190, e é radiodifundido pela rede na etapa 192para todos os dispositivos de cliente tendo o mesmo cliente emredes de uma só via e distribuídos unicamente a clientes em redesde duas-vias. Os serviços são bloqueados para todos osdispositivos de cliente, e somente o dispositivo de cliente realpode destravar o código de renovação e renovar os serviços.
Se o provedor de serviço não tiver procedimentosde autenticação baseados na locação física ou identificadores deconexão físico para dispositivos de cliente reais, o dispositivode cliente real pode ser localizado através de outras técnicas,tal como por meio de uma chamada do operador de serviço aoassinante com o assinante tendo que olhar o identificador secretono dispositivo de cliente real e prover aquele identificador aoprovedor de serviço em uma mensagem de SMC ou pelo telefone.
A figura 9 ilustra etapas em um processo derenovação periódica que pode ser usado com relação a um sistema desegurança de dados secretos para dispositivos de cliente em redesde uma só via não tendo canal de retorno. Este processo derenovação usa as mesmos etapas iniciais 179, 180 e 181 conformeilustrado na figura 8. Porém, em resposta à mensagem de renovaçãode código de serviço, o processador central no dispositivo decliente é programado para exibir um código de serviço ou mensagemde renovação na tela do dispositivo de cliente (etapa 193). Estamensagem compreende o identificador de cliente e o identificadorsecreto atual recuperados do módulo de armazenamento de dadossecretos 29. 0 identificador de cliente para o dispositivo, decliente é idêntico para dispositivos de cliente reais edispositivos de cliente clonados, mas o identificador secretoatual armazenado no dispositivo de cliente é diferente para cadadispositivo de cliente. A mensagem de código de serviço inclui umarequisição onde o usuário envia os dois IDs a um número detelefone exibido na tela, que pode ser um número 0800 para oprovedor de serviço.
Na etapa 194, o usuário do dispositivo de clienteprove o identificador de cliente e ID de dados secretos para oprovedor de serviço como uma mensagem de SMC para o número detelefone na tela, ou alternativamente por uma chamada telefônicade voz para um operador no provedor de serviço. Nesta fase, oprovedor de serviço pode determinar se o remetente da mensagem oua pessoa que telefona é o assinante autorizado, baseado nainformação pessoal ou informação de segurança armazenada noservidor, tal como o número de telefone do assinante autorizado.Se for determinado que a pessoa que telefonou é o assinanteautorizado, o servidor ou o provedor de serviço gera um código dedestravamento de renovação baseado no ID único de dados secretosrecebido do usuário na etapa 195, e envia ou radiodifunde o códigode destravamento de renovação a todos os dispositivos de clientena rede com o mesmo identificador de cliente (etapa 196). Se odispositivo de cliente que recebe o código puder processarcorretamente o código de destravamento (etapa 197), o serviço érenovado para aquele dispositivo (198). Se um dispositivo decliente que recebe o código não puder processar corretamente ocódigo de destravamento, porque os dados secretos armazenadosnaquele dispositivo de cliente não coincidem com os dados secretosno código de destravamento, o serviço para aquele dispositivo decliente é bloqueado (etapa 199). Se o sistema determinouincorretamente que a pessoa que telefonou ou remetente da mensagemrequisitada é o assinante autorizado, e o usuário está realmenteusando um dispositivo clonado, de modo que o dispositivo decliente real não pode processar o código de destravamento derenovação, o usuário autorizado chama o provedor de serviço porqueseu serviço foi bloqueado. Um código de destravamento de renovaçãoadicional pode então ser gerado baseado nos dados secretos nodispositivo de cliente real e radiodifundido aos dispositivos decliente de maneira que o dispositivo previamente renovado ébloqueado e o dispositivo de cliente real é renovado para serviço.
Os processos de renovação acima descritos comrelação, às figuras 8 e 9 podem acontecer a intervalos pré-determinados ou quando há suspeita da presença de iam ou maisdispositivos de cliente clonados em uma rede, ou ambos. O processode renovação conforme descrito nas figuras 8 e 9 pode usarqualquer parte das tabelas de dados secretos ou pedaços dastabelas de dados secretos para gerar códigos de destravamentoespecíficos de dispositivos de cliente, por meio do que osclientes clonados com valores de dados secretos diferentes nãopodem gerar as chaves apropriadas para decifrar o código dedestravamento. Um exemplo de tal esquema de gerenciamento de chaveespecífica de cliente é o Diffie Hellman. Outros tipos demecanismos de troca de chave podem ser usados. Usando DiffieHellman por exemplo, os dados secretos (quaisquer, ou todos) sãousados como parte do mecanismo de introdução usado para gerar achave única no lado do cliente ou parte dos dados usados paraprover chaves compatíveis no lado do servidor de tal modo que osclientes clonados com valores de dados secretos diferentes nãopodem gerar a mesma paridade de chave única (paridade de chave deDiffie Hellman) entre outros dispositivos clonados. Outro modo doprocesso de renovação poder ser alcançado é o servidor usar osdados secretos recebidos para um cliente de um modo conhecido paraintroduzir ou gerar chaves de paridade compartilhadas emalgoritmos tais como de Diffie Hellman, e em essência, gerar umaúnica paridade de chave que somente pode ser recriada pelo clientecontendo os dados secretos apropriados. Outro método opcional paraexecutar a renovação do dispositivo de cliente é usar parte dosdados secretos como dados de chave de encriptação/decriptaçãoporque cada cliente tem dados secretos únicos e os dados secretosúnicos são conhecidos pelo servidor. Pedaços dos, ou todos os,dados secretos, ou versões transformadas ou de adequação de dados(hashing) dos dados secretos podem ser aplicados a chaves ou dadosou fatores de introdução usados para gerar dados de chave deencriptação/decriptação, ou usados na geração de chavescompartilhadas com algoritmos tais como de Diffie Hellman. Tambémé antecipado que os dados secretos podem ser usados para misturarou transformar os dados de introdução de chave ou de fator dechave que são enviados entre o cliente e o servidor, ou servidor ecliente, durante o processo de renovação. Por exemplo, os dadossecretos podem sofrer adequação (hash) pelo cliente e então usadoscomo uma chave ao encriptar os dados que são enviados ao servidor.
E, porque o servidor conhece os dados secretos, o servidor podeexecutar a mesma adequação de dados (hash) para gerar a chave dedecriptação.Novamente, usando Diffie Hellman como um exemplo,uma Troca de Chave de banco de dados secretos pode funcionar comose segue:
1. Alice escolhe um inteiro grande arbitrário X eenvia a Roberto X = (gAx mod n) encriptado com Dados Secretos;
2. Roberto escolhe um inteiro grande arbitrário Ye envia a Alice Y = (gAy mod n) encriptado com Dados Secretos;
3. A Alice decifra o Y encriptado de Roberto ecomputa K = ΥΛχ mod n;
4. Roberto decifra o X encriptado de Alice ecomputa K1 = ΧΛγ mod n.
Depois de Diffie Hellman K e K1 são iguais e osdados secretos foram usados como uma chave de encriptação paratransferir dados. Os dados secretos podem ser usados em maismaneiras, do que apenas na encriptação de dados de chave, e podemser usados como dados de introdução para os cálculos de inteirosgrandes arbitrários ou hash (adequação de dados) aplicados a dadose valores usados em cálculos de algoritmo.
Nas formas de incorporação acima, um únicoidentificador secreto é gerado baseado em eventos operacionais queacontecem durante a operação ou uso de um dispositivo de cliente,baseado em como o cliente ou o assinante usa o dispositivo decliente. Estes eventos operacionais são diferentes entredispositivos de cliente reais e dispositivos de cliente clonadosporque os dispositivos de cliente clonados são operados pelos seususuários diferentemente de usuários de dispositivos de clientereais ou de outros dispositivos de cliente clonados. Taisoperações são extremamente difíceis de duplicar. 0 identificadorsecreto pode ser usado para detectar dispositivos de clienteclonados e também em um processo de renovação periódica que podeeliminar serviços para dispositivos de cliente clonados.
Aqueles com habilidades na arte apreciarão que osvários blocos lógicos ilustrativos, módulos, circuitos, e etapasde algoritmo descritos com relação às formas de incorporação aquidescritas freqüentemente podem ser implementados como hardwareeletrônico, softwares de computador, ou combinações de ambos. Parailustrar claramente esta intercambiabilidade de hardware esoftware, vários componentes, blocos, módulos, circuitos, e etapasilustrativas foram acima descritos geralmente em termos da suafuncionalidade. Se tal funcionalidade for implementada comohardware ou software, isto depende da aplicação particular e daslimitações de projeto impostas ao sistema em geral. Aquelesqualificados na arte podem implementar a funcionalidade descritade maneiras variadas para cada aplicação particular, mas taisdecisões de implementação não devem ser interpretadas como causade desvio ou fuga do escopo da invenção. Além disso, o agrupamentode funções dentro de um módulo, bloco ou etapa é para facilidadede descrição. Funções ou etapas específicas podem ser movidas deum módulo ou bloco sem haver desvio do escopo da invenção.
Os vários blocos lógicos e módulos ilustrativosdescritos com relação às formas de incorporação aqui descritaspodem ser implementados ou executados com um processador depropósito geral, um processador de sinal digital (PSD), umcircuito integrado de aplicação específica (ASIC - applicationspecific integrated circuit) , um arranjo de portas programáveis decampo (FPGA - field programmable gate array) ou outro dispositivode lógica programável, de portas discretas ou de lógica atransistor, componentes discretos de hardware, ou qualquercombinação relacionada projetada para executar as funções aquidescritas. Um processador de uso geral pode ser ummicroprocessador, mas alternativamente, o processador pode serqualquer processador, controlador, micro-controlador, ou máquinade estado. Um processador também pode ser implementado como umacombinação de dispositivos de computação, por exemplo, umacombinação de um PSD e um microprocessador, uma pluralidade demicroprocessadores, um ou mais microprocessadores junto com umnúcleo de PSD, ou qualquer outra configuração.
As etapas de um método ou algoritmo descritos comrelação às formas de incorporação aqui descritas podem serincorporadas diretamente em hardware, em um módulo de softwareexecutado por um processador, ou em uma combinação dos dois. Ummódulo de software pode residir em uma memória RAN, memória flash,memória ROM, memória EPROM, memória EEPROM, em registradores, numdisco rígido, num disco removível, num CD-ROM, ou qualquer outraforma de meio de armazenamento. Um meio de armazenamentoexemplificativo pode ser acoplado ao processador de tal sorte queo processador possa ler a informação do, e escrever a informaçãono, meio de armazenamento. Alternativamente, o meio dearmazenamento pode ser integral ao processador. O processador e omeio de armazenamento podem residir em um ASIC.
Várias formas de incorporação também podem serimplementadas principalmente em hardware usando, por exemplo,componentes tais como circuitos integrados de aplicação específica(wASICs"), ou arranjos de portas programáveis de campo ("FPGAs").A implementação de uma máquina de estado em hardware capaz deexecutar as funções aqui descritas também será aparente paraaqueles qualificados na arte pertinente. Várias formas deincorporação também podem ser implementadas usando uma combinaçãode hardware e software.
A descrição acima das formas de incorporaçãodescritas é provida para permitir que qualquer pessoa qualificadana arte faça ou use a invenção. Várias modificações nestas formasde incorporação serão prontamente aparentes para aquelesqualificados na arte, e os princípios genéricos aqui descritospodem ser aplicados a outras formas de incorporação sem fugir doespírito ou escopo da invenção. Assim, será entendido que adescrição e desenhos aqui apresentados representam uma forma deincorporação agora preferida da invenção e são entãorepresentativos da matéria que é amplamente contemplada pelapresente invenção. É compreendido adicionalmente que o escopo dapresente invenção engloba completamente outras formas deincorporação que podem ser óbvias para aqueles qualificados naarte e que o escopo da presente invenção é adequadamente limitadopor nada mais do que as reivindicações anexas.

Claims (49)

1. "MÉTODO PARA SEGURANÇA DE REDE", caracterizadopelo fato de compreender um método de detecção de dispositivos decliente clonados comunicando-se em uma rede, compreendendo:armazenar em um servidor pelo menos umidentificador secreto para um dispositivo de cliente tendocredenciais registradas em um servidor;receber uma mensagem de um dispositivo de clienteno servidor, a mensagem contendo um identificador secreto derivadode pelo menos um evento operacional do dispositivo de cliente;determinar se o identificador secreto recebido namensagem coincide com um identificador secreto para o dispositivode cliente tendo as mesmas credenciais armazenadas no servidor; ereportar a detecção de um clone de um dispositivode cliente real se pelo menos parte do identificador secreto namensagem não coincidir com o identificador secreto armazenado parao dispositivo de cliente no servidor.
2. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto compreendevalores de dados secretos selecionados gerados por eventosoperacionais em um dispositivo de cliente, e a detecção de umclone de um dispositivo de cliente real é reportada se os valoresde dados secretos em um identificador secreto recebido de umdispositivo de cliente não coincidem com quaisquer valores dedados secretos em um identificador secreto armazenado no servidor.
3. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto compreendeum código baseado em valores de dados secretos selecionadosgerados por eventos operacionais diferentes em um dispositivo decliente.
4. "METODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto é pelomenos parcialmente baseado em pelo menos um símbolo provido peloservidor ao dispositivo de cliente.
5. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto é baseadoem valores de dados secretos gerados pelo dispositivo de cliente.
6. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto é baseadoem dados secretos gerados pelo servidor e providos pelo servidorem uma mensagem para o dispositivo de cliente.
7. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto é baseadoem valores de dados secretos gerados pelo dispositivo de cliente epelo servidor.
8. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato compreender a atualização periódica doidentificador secreto em um dispositivo de cliente baseado emativadores de eventos pré-determinados e a provisão doidentificador secreto atualizado em uma mensagem para o servidor.
9. "MÉTODO", de acordo com a reivindicação 8,caracterizado pelo fato de que pelo menos um ativador de eventocompreende a instalação de firmware atualizado em um dispositivode cliente.
10. "MÉTODO", de acordo com a reivindicação 8,caracterizado pelo fato de que pelo menos um ativador de eventocompreende a recepção de um número pré-determinado de um tipoparticular de mensagem do servidor.
11. "MÉTODO", de acordo com a reivindicação 8,caracterizado pelo fato de que pelo menos um ativador de eventocompreende enviar um número pré-determinado de um tipo particularde mensagem do dispositivo de cliente.
12. "MÉTODO", de acordo com a reivindicação 8,caracterizado pelo fato de que pelo menos um ativador de eventocompreende umi número pré-determinado de mudanças de canal nodispositivo de cliente.
13. "MÉTODO", de acordo com a reivindicação 2,caracterizado pelo fato de que a etapa de armazenar pelo menos umidentificador secreto no servidor compreende armazenar um primeirovalor de dados secretos no servidor na recepção de uma pré-determinada mensagem de um dispositivo de cliente, e armazenar umsegundo valor de dados secretos atualizado, quando uma pré-determinada mensagem subseqüente for recebida de um dispositivo decliente tendo as mesmas credenciais, e a etapa de determinar se umidentificador secreto recebido em uma mensagem subseqüente de umdispositivo de cliente coincide com um identificador secretopreviamente armazenado, compreendendo comparar um valor de dadossecreto na mensagem com os primeiro e segundo valores de dadossecretos armazenados no servidor, por meio do que a detecção de umdispositivo de cliente clonado usando as mesmas credenciais éreportada se os valores de dados secretos na mensagem subseqüentenão coincidirem com pelo menos um dos primeiro e segundo valoresde dados secretos.
14. "MÉTODO", de acordo com a reivindicação 13,caracterizado pelo fato de que os valores de dados secretos sãobaseado no momento (tempo) de envio das mensagens pré-determinadas.
15. "MÉTODO", de acordo com a reivindicação 13,caracterizado pelo fato de que os valores de dados secretosarmazenados no servidor são baseados em valores de dados secretosrecebidos em mensagens vindas de pelo menos um dispositivo decliente.
16. "MÉTODO", de acordo com a reivindicação 2,caracterizado pelo fato de compreender a mudança periódica de pelomenos um valor de dados secretos para um valor de dados secretosdiferente baseado em um evento operacional diferente em umdispositivo de cliente.
17. "MÉTODO PARA SEGURANÇA DE REDE",caracterizado pelo fato de compreender um método para renovardispositivos de cliente de assinante em uma rede, compreendendo:criar um identificador secreto em um dispositivode cliente baseado em eventos operacionais no dispositivo decliente;receber uma mensagem de renovação de serviço nodispositivo de cliente;prover o identificador secreto ao provedor deserviço em resposta à mensagem de renovação de serviço;receber uma mensagem de código de renovação nodispositivo de cliente pela rede, a mensagem de código derenovação contendo uma código de destravamento de renovaçãobaseado no identificador secreto; eprocessar o código de destravamento de renovaçãousando o identificador secreto para receber serviços continuadosdo provedor de serviço.
18. "MÉTODO", de acordo com a reivindicação 17,caracterizado pelo fato de compreender a recepção de uma mensagemde identificador secreto atualizado no dispositivo de clienteantes da mensagem de renovação de serviço, e atualização doidentificador secreto no dispositivo de cliente antes de prover oidentificador secreto atualizado ao provedor de serviço.
19. "MÉTODO", de acordo com a reivindicação 17,caracterizado pelo fato de que o identificador secreto compreendeum código baseado em valores de dados secretos selecionadosgerados por eventos operacionais diferentes em um dispositivo decliente.
20. "MÉTODO", de acordo com a reivindicação 17,caracterizado pelo fato de que a etapa de prover o identificadorsecreto ao provedor de serviço compreende enviar o identificadorsecreto em uma mensagem pela rede para um servidor associado com oprovedor de serviço.
21. "SISTEMA PARA SEGURANÇA DE REDE",caracterizado pelo fato de compreender um sistema para detectardispositivos de cliente clonados em uma rede, compreendendo:um servidor tendo um módulo de comunicação que secomunica com dispositivos de cliente em uma rede;um módulo de armazenamento de dados associado como servidor que armazena um identificador de cliente associado compelo menos um dispositivo de cliente real registrado para serviçocom o servidor e pelo menos um identificador secreto recebido deum dispositivo de cliente tendo o mesmo identificador de cliente;eum módulo de detecção de clone associado com oservidor e com o módulo de armazenamento de dados, que comparapelo menos um identificador secreto em uma mensagem recebida de umdispositivo de cliente com o identificador secreto armazenadoassociado com o mesmo identificador de cliente, e que cria umrelatório de detecção de clone se o identificadores secretos nãocoincidirem.
22. "SISTEMA", de acordo com a reivindicação 21,caracterizado pelo fato de compreender uma pluralidade dedispositivos de cliente que se comunicam com o servidor pela rede.
23. "SISTEMA", de acordo com a reivindicação 22,caracterizado pelo fato de que os dispositivos de cliente sãocartões inteligentes.
24. "SISTEMA", de acordo com a reivindicação 22,caracterizado pelo fato de que pelo menos alguns dos dispositivosde cliente incluem cartões inteligentes.
25. "SISTEMA", de acordo com a reivindicação 22,caracterizado pelo fato de que pelo menos alguns dos dispositivosde cliente são caixas de interface (STBs).
26. "SISTEMA", de acordo com a reivindicação 2.2,caracterizado pelo fato de que pelo menos alguns dos dispositivosde cliente são dispositivos de comunicação móvel.
27. "SISTEMA", de acordo com a reivindicação 22,caracterizado pelo fato de que pelo menos alguns dos dispositivosde cliente são computadores pessoais.
28. "SISTEMA", de acordo com a reivindicação 22,caracterizado pelo fato de que cada dispositivo de cliente tem ummódulo gerador de identificador secreto que gera um identificadorsecreto baseado em pelo menos um valor de dados secretoscorrespondendo a um evento operacional no dispositivo de cliente,um módulo de armazenamento de dados secretos que armazena valoresde dados secretos, e um módulo de formatação de mensagem queembute o identificador secreto em pelo menos uma mensagem enviadaao servidor pela rede.
29. "SISTEMA", de acordo com a reivindicação 28,caracterizado pelo fato de que o identificador secreto compreendepelo menos um valor de dados secreto real.
30. "SISTEMA", de acordo com a reivindicação 28,caracterizado pelo fato de que o identificador secreto compreendepelo menos uma versão transformada de um valor de dados secreto.
31. "SISTEMA", de acordo com a reivindicação 28,caracterizado pelo fato de que o identificador secreto compreendeuma pluralidade de valores de dados secretos correspondendo aeventos operacionais diferentes no dispositivo de cliente.
32. "SISTEMA", de acordo com a reivindicação 28,caracterizado pelo fato de que o identificador secreto compreendeuma versão transformada de uma pluralidade de valores de dadossecretos correspondendo a eventos operacionais diferentes nodispositivo de cliente.
33. "SISTEMA PARA SEGURANÇA DE REDE",caracterizado pelo fato de compreender um dispositivo de clientepara se comunicar por uma rede, compreendendo:um módulo de comunicação que se comunica com pelomenos um servidor em uma rede;um módulo gerador de identificador secreto que cria pelo menos um identificador secreto baseado em pelo menos umvalor de dados secretos de um evento operacional no dispositivo decliente; eum módulo de armazenamento de dados associado como módulo gerador de dados secretos que armazena o valor de dadossecretos.
34. "SISTEMA", de acordo com a reivindicação 33,caracterizado pelo fato de que o dispositivo de cliente compreendeum módulo formatador de mensagem associado com o módulo decomunicação e com o módulo de armazenamento de dados, que criapelo menos uma mensagem contendo o identificador secreto paracomunicação para o servidor.
35. "SISTEMA", de acordo com a reivindicação 33,caracterizado pelo fato de que o módulo de armazenamento de dadosarmazena uma tabela de dados secretos de diferentes valores dedados secretos de eventos operacionais diferentes onde oidentificador secreto é baseado na tabela de dados secretos.
36. "SISTEMA", de acordo com a reivindicação 35,caracterizado pelo fato de que o identificador secreto compreendepelo menos alguns dos valores de dados secretos na tabela de dadossecretos.
37. "SISTEMA", de acordo com a reivindicação 35,caracterizado pelo fato de que o identificador secreto é umatransformação de pelo menos alguns dos valores de dados secretos.
38. "SISTEMA", de acordo com a reivindicação 35,caracterizado pelo fato de compreender um módulo de atualização dedados secretos configurado para atualizar a tabela de valores dedados secretos com pelo menos alguns novos valores de dadossecretos em resposta a pelo menos um pré-determinado ativador dedados secretos.
39. "SISTEMA", de acordo com a reivindicação 33,caracterizado pelo fato de que o módulo gerador de identificadorsecreto é configurado para gerar um identificador de clienteatualizado baseado em novos valores de dados secretos em respostaa um comando.
40. "SISTEMA", de acordo com a reivindicação 39,caracterizado pelo fato de que o comando compreende um comando deatualização recebido em uma mensagem de rede.
41. "SISTEMA", de acordo com a reivindicação 39,caracterizado pelo fato de que o comando compreende um ativador dedados secretos.
42. "SISTEMA", de acordo com a reivindicação 39,caracterizado pelo fato de compreender um módulo de renovação queresponde a uma mensagem de renovação recebida de um servidor pelarede enviando um identificador secreto atual ao servidor.
43. "SISTEMA", de acordo com a reivindicação 33,caracterizado pelo fato de compreender um cartão inteligente tendoum processador integral contendo o módulo de comunicação, o módulogerador de identificador secreto, e o módulo de armazenamento dedados.
44. "SISTEMA", de acordo com a reivindicação 33,caracterizado pelo fato de que o dispositivo é selecionado dogrupo que consiste em caixas de interface (STBs), computadorespessoais, assistentes digitais pessoais, dispositivos decomunicação portáteis, dispositivos reprodutores de mídia, ecartões inteligentes.
45. "SISTEMA", de acordo com a reivindicação 33,caracterizado pelo fato de que o dispositivo de cliente é um chipde silício incluindo um módulo gerador de identificador secreto eum módulo de armazenamento de dados.
46. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto é pelomenos parcialmente baseado em pelo menos uma chave de encriptaçãoprovida pelo servidor ao dispositivo de cliente.
47. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto é pelomenos parcialmente baseado em pelo menos uma chave de encriptaçãoprovida pelo servidor ao dispositivo de cliente e em que o ditocliente usa a dita chave de encriptação provida pelo servidor paraencriptação das comunicações entre o dito cliente e o ditoservidor.
48. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de compreender a adição de identificadoressecretos adicionais periodicamente em um dispositivo de clientebaseado em ativadores de eventos pré-determinados em que os ditosidentificadores secretos adicionais são acrescentados aos préviosidentificadores secretos.
49. "MÉTODO", de acordo com a reivindicação 1,caracterizado pelo fato de que o identificador secreto é baseadono tempo (momento) do dia em que um evento aconteceu nodispositivo de cliente.
BRPI0706880-8A 2006-01-20 2007-01-19 sistema e método para segurança de rede BRPI0706880A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US76047506P 2006-01-20 2006-01-20
US60/760,475 2006-01-20
PCT/US2007/060744 WO2007084973A2 (en) 2006-01-20 2007-01-19 Network security system and method

Publications (1)

Publication Number Publication Date
BRPI0706880A2 true BRPI0706880A2 (pt) 2011-04-12

Family

ID=38288399

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0706880-8A BRPI0706880A2 (pt) 2006-01-20 2007-01-19 sistema e método para segurança de rede

Country Status (9)

Country Link
US (2) US20070174472A1 (pt)
EP (1) EP1977333B1 (pt)
JP (1) JP2009524165A (pt)
KR (1) KR20080085231A (pt)
CN (1) CN101371241B (pt)
BR (1) BRPI0706880A2 (pt)
CA (1) CA2637632A1 (pt)
RU (1) RU2008133798A (pt)
WO (1) WO2007084973A2 (pt)

Families Citing this family (92)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070276943A1 (en) * 2006-03-14 2007-11-29 General Instrument Corporation Prevention of Cloning Attacks in a DOCSIS Network
KR100764153B1 (ko) * 2006-03-15 2007-10-12 포스데이타 주식회사 휴대 인터넷 시스템에서의 단말 복제 검출 방법 및 장치
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US20070283003A1 (en) * 2006-05-31 2007-12-06 Broyles Paul J System and method for provisioning a computer system
US8301789B2 (en) * 2007-06-18 2012-10-30 Emc Corporation Techniques for port hopping
JP2009059122A (ja) * 2007-08-31 2009-03-19 Renesas Technology Corp データ処理システム
DE102007046079A1 (de) * 2007-09-26 2009-04-02 Siemens Ag Verfahren zur Herstellung einer sicheren Verbindung von einem Service Techniker zu einer von einem Störfall betroffenen Komponente einer ferndiagnostizierbaren und/oder fernwartbaren Automatisierungs-Umgebung
US8374354B2 (en) * 2007-09-27 2013-02-12 Verizon Data Services Llc System and method to pass a private encryption key
US8438618B2 (en) * 2007-12-21 2013-05-07 Intel Corporation Provisioning active management technology (AMT) in computer systems
WO2009134772A2 (en) * 2008-04-29 2009-11-05 Maxiscale, Inc Peer-to-peer redundant file server system and methods
US7936736B2 (en) 2008-09-08 2011-05-03 Proctor Jr James Arthur Enforcing policies in wireless communication using exchanged identities
US9077699B1 (en) 2008-09-11 2015-07-07 Bank Of America Corporation Text chat
US9235704B2 (en) 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US9043919B2 (en) 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US9367680B2 (en) * 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US9781148B2 (en) 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US8099472B2 (en) 2008-10-21 2012-01-17 Lookout, Inc. System and method for a mobile cross-platform software system
US8087067B2 (en) * 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
US8533844B2 (en) 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US8108933B2 (en) 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US8051480B2 (en) 2008-10-21 2011-11-01 Lookout, Inc. System and method for monitoring and analyzing multiple interfaces and multiple protocols
US8060936B2 (en) 2008-10-21 2011-11-15 Lookout, Inc. Security status and information display system
US8984628B2 (en) 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US8271509B2 (en) * 2008-11-20 2012-09-18 Bank Of America Corporation Search and chat integration system
US8156323B1 (en) * 2008-12-29 2012-04-10 Bank Of America Corporation Secured online financial transaction voice chat
US8156324B1 (en) * 2008-12-29 2012-04-10 Bank Of America Corporation Secured online financial transaction text chat
US8538815B2 (en) 2009-02-17 2013-09-17 Lookout, Inc. System and method for mobile device replacement
US8855601B2 (en) 2009-02-17 2014-10-07 Lookout, Inc. System and method for remotely-initiated audio communication
US9955352B2 (en) 2009-02-17 2018-04-24 Lookout, Inc. Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such
US9042876B2 (en) 2009-02-17 2015-05-26 Lookout, Inc. System and method for uploading location information based on device movement
US8467768B2 (en) 2009-02-17 2013-06-18 Lookout, Inc. System and method for remotely securing or recovering a mobile device
EP2457358B1 (en) * 2009-07-20 2018-12-12 Verimatrix, Inc. Systems and methods for detecting clone playback devices
FR2949926B1 (fr) * 2009-09-09 2011-10-21 Alcatel Lucent Etablissement de communication securisee
US8397301B2 (en) 2009-11-18 2013-03-12 Lookout, Inc. System and method for identifying and assessing vulnerabilities on a mobile communication device
US8918867B1 (en) * 2010-03-12 2014-12-23 8X8, Inc. Information security implementations with extended capabilities
WO2012001697A1 (en) * 2010-07-01 2012-01-05 Tata Consultancy Services Ltd. System for two way authentication
CA2813758C (en) * 2010-10-08 2023-01-03 Brian Lee Moffat Private data sharing system
EP2641208B1 (en) * 2010-11-19 2020-04-29 Nagravision S.A. Method to detect cloned software
US20120254949A1 (en) * 2011-03-31 2012-10-04 Nokia Corporation Method and apparatus for generating unique identifier values for applications and services
WO2012158453A1 (en) * 2011-05-16 2012-11-22 Panasonic Corporation Duplication judgment device and duplication management system
US8738765B2 (en) 2011-06-14 2014-05-27 Lookout, Inc. Mobile device DNS optimization
US9503785B2 (en) 2011-06-22 2016-11-22 Nagrastar, Llc Anti-splitter violation conditional key change
US8788881B2 (en) 2011-08-17 2014-07-22 Lookout, Inc. System and method for mobile device push communications
US9246882B2 (en) 2011-08-30 2016-01-26 Nokia Technologies Oy Method and apparatus for providing a structured and partially regenerable identifier
EP4465307A3 (en) * 2011-09-23 2025-02-19 Dexcom, Inc. Systems and methods for processing and transmitting sensor data
KR101907009B1 (ko) * 2011-10-21 2018-10-12 삼성전자주식회사 디지털 상품을 설치하기 위한 장치 및 방법
US20140133656A1 (en) * 2012-02-22 2014-05-15 Qualcomm Incorporated Preserving Security by Synchronizing a Nonce or Counter Between Systems
US10419907B2 (en) 2012-02-22 2019-09-17 Qualcomm Incorporated Proximity application discovery and provisioning
US20130254001A1 (en) * 2012-03-26 2013-09-26 Apple Inc. Converting a digital media item from a rental to a purchase
US10360593B2 (en) 2012-04-24 2019-07-23 Qualcomm Incorporated Retail proximity marketing
JP6251732B2 (ja) * 2012-05-03 2017-12-20 テレフオンアクチーボラゲット エルエム エリクソン(パブル) Embmsにおける集中化した鍵管理
US8978093B1 (en) * 2012-05-03 2015-03-10 Google Inc. Policy based trust of proxies
US9407443B2 (en) 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices
US9589129B2 (en) 2012-06-05 2017-03-07 Lookout, Inc. Determining source of side-loaded software
US20140067687A1 (en) * 2012-09-02 2014-03-06 Mpayme Ltd. Clone defence system for secure mobile payment
US8655307B1 (en) 2012-10-26 2014-02-18 Lookout, Inc. System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security
US9208215B2 (en) 2012-12-27 2015-12-08 Lookout, Inc. User classification based on data gathered from a computing device
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US8855599B2 (en) 2012-12-31 2014-10-07 Lookout, Inc. Method and apparatus for auxiliary communications with mobile communications device
US9424409B2 (en) 2013-01-10 2016-08-23 Lookout, Inc. Method and system for protecting privacy and enhancing security on an electronic device
US9392319B2 (en) 2013-03-15 2016-07-12 Nagrastar Llc Secure device profiling countermeasures
CN103595757A (zh) * 2013-09-09 2014-02-19 东莞市五株电子科技有限公司 一种自动网络克隆方法和系统
US9646434B2 (en) * 2013-10-10 2017-05-09 Google Technology Holdings LLC Method and system for controlling access to a restricted location
US9642008B2 (en) 2013-10-25 2017-05-02 Lookout, Inc. System and method for creating and assigning a policy for a mobile communications device based on personal data
KR20150061717A (ko) * 2013-11-27 2015-06-05 한국전자통신연구원 콘텍스트 관리장치 및 그 방법
DE102013019870B4 (de) * 2013-11-28 2019-08-08 Friedrich Kisters Authentifizierungs- und/oder Identifikationsverfahren in einem Kommunikationsnetzwerk
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US9965816B2 (en) 2014-04-17 2018-05-08 SILVAIR Sp. z o.o. System and method for administering licenses stored in an electronic module, and product unit comprising said module
US10440499B2 (en) 2014-06-16 2019-10-08 Comcast Cable Communications, Llc User location and identity awareness
US10045090B2 (en) 2014-08-11 2018-08-07 Comcast Cable Communications, Llc Merging permissions and content access
CN105373723B (zh) * 2014-08-27 2022-01-25 创新先进技术有限公司 设备自动授权方法和装置
FR3028981B1 (fr) * 2014-11-21 2017-01-06 Cie Ind Et Financiere D'ingenierie Ingenico Procede de detection d'un risque de substitution d'un terminal, dispositif, programme et support d'enregistrement correspondants
US9495861B2 (en) * 2014-12-02 2016-11-15 Honeywell International Inc. System and method for take-over protection for a security system
JP6565194B2 (ja) * 2015-01-15 2019-08-28 富士通株式会社 端末判定装置、方法、及びプログラム
CA2980947C (en) * 2015-03-26 2024-04-09 Maxxian Technology Inc. Systems and methods for detecting and interfering with compromised devices and unauthorized device relocation in a communication network
US9942203B2 (en) 2015-03-30 2018-04-10 International Business Machines Corporation Enhanced security when sending asynchronous messages
AU2016258533B2 (en) 2015-05-01 2017-11-30 Lookout, Inc. Determining source of side-loaded software
US9767318B1 (en) * 2015-08-28 2017-09-19 Frank Dropps Secure controller systems and associated methods thereof
US10230714B2 (en) * 2016-07-25 2019-03-12 Ca, Inc. Tokenized account information with integrated authentication
US10645086B1 (en) * 2016-12-30 2020-05-05 Charles Schwab & Co., Inc. System and method for handling user requests for web services
EP3396614A1 (en) * 2017-04-26 2018-10-31 Schibsted Products & Technology UK Limited Management of end user privacy controls
US10218697B2 (en) 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
US10769586B2 (en) * 2018-11-29 2020-09-08 Red Hat, Inc. Implementation of rolling key to identify systems inventories
CN109672526B (zh) * 2018-12-17 2021-11-09 福建联迪商用设备有限公司 一种管控可执行程序的方法及系统
US11238724B2 (en) 2019-02-15 2022-02-01 Ademco Inc. Systems and methods for automatically activating self-test devices of sensors of a security system
EP4087476A4 (en) * 2020-01-10 2024-06-05 Vioptix, Inc. NEAR FIELD COMMUNICATION SECURITY FOR MEDICAL DEVICE AND SHEATH
CN111522516B (zh) 2020-07-06 2020-10-27 飞天诚信科技股份有限公司 一种云播报打印数据的处理方法及系统
CN114666073B (zh) * 2020-12-04 2023-06-13 四川大学 一种基于ssl协议完备通信的隐蔽信道传输方法
US12166773B2 (en) * 2022-09-30 2024-12-10 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Detecting identity theft or identity change in managed systems
KR102733465B1 (ko) * 2023-12-04 2024-11-25 리벨리온 주식회사 복수의 칩렛을 포함하는 전자 장치

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2007A (en) * 1841-03-16 Improvement in the mode of harvesting grain
DE3420460A1 (de) * 1984-06-01 1985-12-05 Philips Patentverwaltung Gmbh, 2000 Hamburg Verfahren zum erkennen der unerlaubten benutzung einer, einer beweglichen funkstation zugeordneten identifizierung in einem funkuebertragungssystem
US5560008A (en) * 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
US5748742A (en) * 1995-11-30 1998-05-05 Amsc Subsidiary Corporation Fraud detection and user validation system for mobile earth terminal communication device
US5822691A (en) * 1996-05-02 1998-10-13 Nokia Mobile Phones Limited Method and system for detection of fraudulent cellular telephone use
US6069877A (en) * 1996-10-18 2000-05-30 Telxon Corporation Duplicate device detection system
FI108327B (fi) * 1996-12-23 2001-12-31 Nokia Corp Menetelmä yhteyden muodostamiseksi matkaviestinverkossa
US6466780B1 (en) * 1997-09-03 2002-10-15 Interlok Technologies, Llc Method and apparatus for securing digital communications
GB2366938B (en) * 2000-08-03 2004-09-01 Orange Personal Comm Serv Ltd Authentication in a mobile communications network
CN1133120C (zh) * 2001-02-15 2003-12-31 华中科技大学 用于集群系统的节点机远程克隆方法
JP2002269350A (ja) * 2001-03-14 2002-09-20 Hitachi Ltd 取引決済方法、取引決済システム並びにそれに用いる携帯通信端末及び加盟店用決済端末
US20030163693A1 (en) * 2002-02-28 2003-08-28 General Instrument Corporation Detection of duplicate client identities in a communication system
CA2495115A1 (en) * 2002-09-13 2004-03-25 Southern California Edison Company Calibration process management system and method
JP2007535718A (ja) * 2003-07-07 2007-12-06 クリプターグラフィー リサーチ インコーポレイテッド 海賊行為を規制し、インタラクティブコンテンツを使用可能にするための再プログラマブルなセキュリティ
WO2005050625A2 (en) * 2003-11-14 2005-06-02 Senvid, Inc. Managed peer-to-peer applications in a secure network
US7146159B1 (en) * 2003-12-23 2006-12-05 Sprint Communications Company L.P. Over-the-air card provisioning system and method
US7373395B2 (en) * 2004-02-04 2008-05-13 Perseus Wireless, Inc. Method and system for providing information to remote clients
US7474626B2 (en) * 2004-05-13 2009-01-06 Motorola, Inc. Detection of cloned communication units
FR2871020B1 (fr) * 2004-05-27 2006-07-07 Radiotelephone Sfr Procede et systeme de duplication securisee des informations d'une carte sim vers au moins un objet communicant
US8181262B2 (en) * 2005-07-20 2012-05-15 Verimatrix, Inc. Network user authentication system and method

Also Published As

Publication number Publication date
CN101371241B (zh) 2012-09-12
JP2009524165A (ja) 2009-06-25
EP1977333A2 (en) 2008-10-08
EP1977333B1 (en) 2016-08-31
US20070174472A1 (en) 2007-07-26
RU2008133798A (ru) 2010-02-27
US8127346B2 (en) 2012-02-28
CN101371241A (zh) 2009-02-18
WO2007084973A2 (en) 2007-07-26
KR20080085231A (ko) 2008-09-23
EP1977333A4 (en) 2011-12-28
CA2637632A1 (en) 2007-07-26
US20100268771A1 (en) 2010-10-21
WO2007084973A3 (en) 2008-04-10

Similar Documents

Publication Publication Date Title
BRPI0706880A2 (pt) sistema e método para segurança de rede
US9774595B2 (en) Method of authentication by token
US5696824A (en) System for detecting unauthorized account access
US9009475B2 (en) Apparatus and methods for storing electronic access clients
US8495381B2 (en) Authenticated remote PIN unblock
US8364960B2 (en) Method for preventing the use of a cloned user unit communicating with a server
US20080195740A1 (en) Maintaining session state information in a client server system
EP1023794A1 (en) System for detecting unauthorized account access
WO2003032575A2 (en) Method and system for providing client privacy when requesting content from a public server
KR20040099288A (ko) 통신 시스템에서 복제 클라이언트 id들의 검출
KR20060052781A (ko) 로컬 에어리어 네트워크 형성 및 관리 방법
JP2002140304A (ja) 無線通信システム、送信装置、受信装置及びコンテンツデータ転送方法
US8955053B2 (en) Method for using rights to contents
JP2001268067A (ja) 鍵リカバリ方法及び鍵管理システム
AU2014203692B2 (en) Apparatus and methods for storing electronic access clients
EP1780622A1 (en) An authentication token which implements DRM functionally with a double key arrangement

Legal Events

Date Code Title Description
B11A Dismissal acc. art.33 of ipl - examination not requested within 36 months of filing
B11Y Definitive dismissal - extension of time limit for request of examination expired [chapter 11.1.1 patent gazette]