[实用新型]一种检测克隆终端设备的系统

说明书

技术领域

本实用新型涉及通信传输技术领域，主要涉及双向网络内容保护系统，特别涉及一种检测克隆终端设备的系统。

背景技术

随着通信技术的发展，终端电脑用户可以通过有线或无线方式连接到Internet，对服务器提供的网络资源进行访问。为了保证访问的内容安全，通常终端用户与服务器之间都是通过协议进行通信的。

在内容保护系统中，前端服务器向终端用户发送密文媒体内容，终端用户在获得媒体内容的同时，还需要获得媒体内容的内容许可证，才可以解密观看媒体内容。为了实现数字内容的安全传输和授权控制，采用基于PKI(Public Key Infrastructure，公钥基础设施)体系结构的双向认证方式，建立前端与终端的相互安全信任关系；由DRM(Digital Rights Management，数字版权管理)认证中心管理证书的颁发、维护、收回，采用x.509国际标准证书格式，建立多层密钥体系，使用对称密钥与非对称密钥相结合的方式逐层加密媒体内容。

但在实际操作中，存在一些非法用户克隆合法用户信息的现象，非法终端伪造成合法终端接入网络随意获取服务，访问网络资源，而发生的费用会计到合法终端用户身上，严重损害了运营商和消费者的利益。因此，解决非法终端接入网络问题对于维护网络安全、保护运营商及消费者的利益有着重要作用。

现有技术中，公开了一种判断克隆终端设备的方法为：前端服务器将每个终端设备的行为信息(包括公钥、会话密钥、IP以及授权请求)进行保存，并实时进行监控和统计这几项行为信息的更新次数，当终端行为信息达到一定阈值，表明该终端用户被克隆。

公开号为CN102098674A的发明专利中公开了一种克隆设备的检测方法和装置，该装置位于鉴权、授权、计费服务器上，该检测装置用于接收到终端的技术请求时，如果检测到已存在与所述终端设备标识信息相同的终端的会话，则表示存在克隆设备。

比较上述两种实施方案，前者只是从前端服务器单一方面进行统计和检测，而且该方法只有当终端克隆行为达到某一定量级时，才能确定克隆终端，这种“事后处理”式的检测方法对运营商和消费者的利益造成一定程度的损害；后者虽然对系统影响较小，具有一定的成本优势，但单一的检测方式存在合法终端被误锁的可能。为了克服现有技术中存在的不足，本发明提出一种检测克隆终端设备的系统。

实用新型内容

为克服现有技术中的缺陷，避免一个账户由多个终端设备同时接入网络的情况，减少运营商和合法终端用户的损失，本实用新型提出一种检测克隆终端设备的系统。本实用型的技术方案如下：

一种检测克隆终端设备的系统，基于由前端服务器和终端设备组成的网络进行检测，所述系统包括：

密钥协商单元，用于前端服务器与终端设备密钥协商后进行会话，如存在相同终端设备的接入申请，密钥协商单元采用不同密钥间隔协商允许的方式进行会话；

记录存储单元，记录并存储每个终端设备的信息及与前端服务器通信的行为信息；

信号处理单元，根据终端设备的信息及行为信息判断出克隆终端设备；

其中，密钥协商单元与信号处理单元位于前端服务器上，前端服务器与终端设备通过有线或无线方式进行连接，经密钥协商单元进行会话，记录存储单元记录并存储终端设备的信息及行为信息，由信号处理单元根据记录存储的终端设备的信息判断出克隆终端设备。

进一步地，所述终端设备的信息包括设备ID标识信息、用户证书、用户公私钥。

进一步地，所述终端设备的行为信息包括终端设备的IP更新次数、会话密钥更新次数、授权请求更新次数、临时密钥更新次数、包ID异常次数。

进一步地，所述记录存储单元位于前端服务器上，用于存储前端服务器与终端设备协商出的会话密钥。

进一步地，所述记录存储单元位于终端设备上，用于存储前端服务器与终端设备协商出的会话密钥、终端设备产生的公私钥和临时密钥。

进一步地，所述信息处理单元根据当某一终端设备的一个或几个行为信息变化次数在规定周期内明显高于其他终端设备或者超过某一特定阈值时，判断终端设备被非法克隆。

进一步地，所述系统还包括报警装置，所述报警装置包括显示单元、发声单元或其组合，用于提示克隆终端设备存在。

本实用新型技术方案结构简单、易操作，能够及时发现克隆设备，大大提高了克隆检测的准确度，缩短了克隆检测周期，有利于网络的安全运行及网络参与者的利益。

附图说明

图1为检测克隆终端设备的系统原理框图。