CN1520670A

CN1520670A - 用时间接近来验证物理接近

Info

Publication number: CN1520670A
Application number: CNA028128834A
Authority: CN
Inventors: M��˹̹; M·埃普斯坦
Original assignee: Koninklijke Philips Electronics NV
Current assignee: Koninklijke Philips NV
Priority date: 2001-06-28
Filing date: 2002-06-28
Publication date: 2004-08-11
Anticipated expiration: 2022-06-28
Also published as: US20030005324A1; EP1405482A1; JP2004531011A; CN101052042B; JP5320378B2; CN100550878C; KR20040015004A; US8997243B2; WO2003003687A1; KR100924480B1; ES2400027T3; CN101052042A; JP2011066936A; EP1405482B1; US8352582B2; US20090003605A1; US20130103947A1; US8107627B2

Abstract

安全系统(100)评估对信息的请求的响应时间，以决定响应的系统(132，142)是否在物理上接近发请求的系统。一般说，物理接近相应于时间接近。如果响应时间表明在请求和响应之间有很大或异常的滞后，则系统认为该滞后是由于请求和响应必须行进很大或异常的物理距离所引起，或由于请求必须进行处理以产生响应所引起，而不是由在用户的物理拥有中现存的响应来进行回答。如果检测到很大或异常的滞后，例如由于信息从因特网(140，144)下载，则系统(100)被配置成可限制该当前用户对被保护的资料的后继访问，和/或向安全人员通知该异常的响应滞后。

Description

用时间接近来验证物理接近

技术领域

本发明涉及数据保护领域，特别涉及保护数据不在远程位置被违法复制。

背景技术

数据保护正在变成在安全方面的一个日益重要的领域。在许多场合，授权复制或对信息的其它处理与信息对执行复制或其它处理的设备的物理接近是相关联的。例如，音频或视频演出被记录在CD、DVD等介质上。如果某人买了一个CD或DVD，按常规他有权复制或对该资料做其它处理，以便作备份，或方便使用等。当购买资料的人希望使用该资料时，假定该人将使该CD或DVD在物理上处于要使用该资料的设备附近，这不能说不合理。另一方面，如果该人不具有该资料的所有权，那么很可能他并没有在实际上拥有该资料，因此该资料在物理上将远离打算使用它的设备。例如，从因特网站或其它远程位置违法复制或重现该资料，相当于该资料在物理上远离用来复制该资料的设备。

与此相似，安全系统常常被配置成用于验证与用户相关联的信息，例如验证生物学测试参数，例如指纹、瞳孔扫描，等等。在较为简单的例子中，安全系统常常被配置成用于处理用户提供的信息，例如在识别标签、智能卡等包含的信息。一般说，被授权的用户可以容易地提供这些信息或参数，因为被授权的用户拥有包含该信息的介质。相反，未授权的用户经常没有包含验证信息的原始介质，但是他可能有一个可以从远程位置产生/再生该安全信息或参数的系统。

类似地，一些系统，例如办公室LAN，或实验室中的计算机，被配置为可通过控制对访问这些系统所用的终端的物理接触来实现安全。如果用户能接触这些系统，则假定该用户被授权访问该系统。一些安全措施，例如身份验证，有时也使用，但是一般不像用于没有物理隔离的系统的安全措施那样广泛。

发明概要

本发明的一个目的是提供一种防止用户在缺乏物理上拥有资料的证据下防止使用该资料的系统和方法。本发明的另外一个目的是，在存在资料远离打算使用该资料的设备的证据的场合防止使用该资料。本发明的再一个目的是在存在用户远离一个系统的证据的场合阻止访问该系统。

通过提供一个用于评定对信息请求的响应时间的安全系统来实现这些和其它目的。一般说，物理接近相应于时间接近。如果响应时间表明，在请求和响应之间有很大的或异常的滞后，则该系统认为，这一滞后是由于请求和响应必须行进很大或异常的距离所引起的，或于该请求被进行处理以产生响应所引起，而不是由在用户的物理拥有中的现有响应作回答所引起。如果检测到一个很大的或异常的滞后的话，则系统被配置成限制当前用户对被保护的资料的后继访问，和/或通知安全人员响应有异常的滞后。

附图说明

参考附图，以举例方式详细说明本发明，附图中：

图1表示根据本发明的示例控制访问系统。

在全部附图中，同样的参考标号指示相似的或相应的特征或功能。

具体实施方式

为了易于参考和理解，本发明在这里在一种防复制模式的环境中介绍，其中，对防复制资料的处理通过验证该资料的用户是否物理拥有该防复制资料来控制。

图1表示根据本发明的一个示例控制访问系统100。控制访问系统100包括一个处理器120，它配置成可处理通过访问设备132(例如阅读器)从例如CD 130的物理介质来的资料。诸如处理器120这样的存储介质125可以是一个记录设备，它从CD 130把一首或多首歌曲记录到存储器棒、汇编CD，等等。处理器120也可以是被配置为提供适合人的感觉的输出的播放装置，这种输出例如屏幕上的图像，从扬声器127发出的声音，等等。这里所用的术语“再现(rendering)”包括对由处理器120接收到的资料的处理、变换、存储等操作。使用这一含义和术语，例示处理器120包括一个再现器122，它提供与访问设备132的接口，还包括一个验证器126，它被配置为验证授权资料130的存在。

当用户开始再现来自介质130的资料时，处理器120被配置成去验证介质130的存在。实现这一验证的一种方法是请求访问设备132提供证据来证明：介质130可用于提供与该用户正试图再现的资料不同的资料或信息。例如，如果用户开始再现一首歌曲，则验证器126可以指导再现器122从访问设备132请求另一首不同歌曲的一部分。如果访问设备不能提供另一首不同歌曲的所请求的部分，则验证器126可以断定：介质130实际上并不为这一再现而存在，于是通过门电路124来结束对用户打算再现的资料的后续表现。

例如，用户可能从因特网144的一个远程网站140违法下载不同的防复制的歌曲选集，然后打算制作一个包含这些用户选择的歌曲的汇编CD。通常，一个完整的资料集的大小会阻碍下载含有用户所选择的歌曲的各个歌集。当验证器126从相应于一个实际CD130的歌集中请求另一个不同歌曲的一部分时，从该歌集只下载用户所选择的歌曲的用户将被阻止进一步再现该下载的资料。

可以使用各种技术来保证响应该请求而提供的资料相应于在实际CD 130上包含的资料。例如，国际专利申请WO 01/59705(代理人文档号US000040)提出一个自参考数据集，其中，该数据集的每一部分，例如防复制的歌集，可由一个部分标识符单独识别，所述部分标识符是与每一部分可靠地关联的。为保证多个部分的一个集合都来自同一数据集，该数据集的一个标识符也可靠地编码在每一部分中。使用穷举或随机采样，通过检查该部分和所选择的各部分的数据集标识符，可以绝对地或者按照统计确切性来确定该数据集的完整性的存在。

然而，上述由验证器126提供的验证可以因为响应再现器122从包含完整歌集的远程网站140的请求而失败。也就是说，违法用户不是从远程网站140下载整个歌集，而只需要下载希望的歌曲，并且通过提供一个CD模拟器142以模拟实际CD 130的存在，所述CD模拟器142提供通过因特网144对所请求的资料或所请求的资料的几部分进行访问。当验证器126请求歌曲的一部分或数据集的一部分时，CD模拟器142将该请求变换为从远程网站的下载请求，并且所请求的部分被提供给再现器122，好像是从CD 130提供一样。假定，为了实用，验证器126被配置成只检查一个歌集的少数几个部分，与下载整个歌集相比，CD模拟器142将导致数据传输量的显著减少，从而对违法下载选择的歌曲是更可取的。

根据本发明，处理器120包括一个定时器，它被配置为测量来自验证器126的请求和来自外部源(无论是实际CD 130还是远程源140)的响应之间的时间，以便利于由验证器126评估对响应源的物理接近度。在一个优选的实施例中，验证器126被配置成能对响应时间进行过滤或取平均，以便允许来自授权源130的响应时间中的少量变化，而仍能区分来自物理远程源140的响应。例如，使用常规统计技术，验证器126可以继续请求未知源的部分，直到检测到与本地源130的期望响应时间在统计上有明显的差别。在一个较简单的例子中，如果响应时间在M次中有N次低于延迟门限，则验证器126被配置成判定该数据源一定是本地的。关于本发明公开，对于一般熟悉本技术领域的人来说，根据时间接近性评估物理接近性的这些和其它技术是十分明显的。

本发明的原理也可以应用于其它用途。例如，在一个相似的用途中，再现器122和访问设备132可以是询问-应答设备，它们被配置为交换安全密钥，例如使用智能卡作为介质130。如果一个未授权用户试图通过访问一个有潜在可能克服交换安全的系统而处理询问-应答来交换密钥，则定时器128将能够检测到在询问和应答之间的异常延迟，从而终止密钥的交换。与此相似，如果一个系统期望所有的访问都是来自位于一个公共的在物理上安全的区域中的终端，则如果该系统成为一个远程访问“黑客”或来自该物理安全区域外的其它尝试访问的目标的话，那么定时器128将能够检测到异常的滞后。

优选地，验证器126被配置成可以请求随机源信息。在CD介质130的例子中，验证器126被配置成可以请求访问介质130上随机选择的部分，直到确认该源究竟是本地的还是远程的。在另外的应用中，验证器126被配置成仅仅对在请求设备122和访问设备132之间例行发生的事务处理进行监视和计时以检测异常长的响应时间。在其它的应用中，验证器126可以仅控制例行数据访问请求发生的顺序。例如，当读来自一个用户的识别设备的信息时，可以把验证器配置成使它有时首先询问该用户的名字，接着询问识别号码、指纹，等等；在下一次通话时，验证器126可以首先询问识别号码、接着询问嗓音，等等，从而防止预先记录好的响应序列。

相似地，在打算防止从远程网站下载数据的应用中，在图1的例子中的验证器126可以仅以不同的顺序来请求被请求的数据中的几部分来判定所请求的数据是本地的还是远程的。与此相似，为防止从网络未授权下载信息，可以把验证器和定时器设置在该远程网站，并且配置为能测量数据的传输时间。例如，在具有错误检测能力的常规网络中，可以把验证器配置成故意地发送错误数据或一个错误序列的数据并测量到发出请求重新传输的持续时间。如果接收网站是本地的，则请求重新传输应该比如果接收网站是远程的要快得多。在本例中，错误发送构成了“请求”以便得到接收系统的“响应”。这些和其它定时模式对于熟悉本技术领域的人员是十分显然的。

上面说明的仅描绘了本发明的原理。由此可以理解，熟悉本技术领域的人员将能够设计各种方案，它们虽然未在这里明确说明和表示，但是体现了本发明的原理，因此属于其范围之内。例如，虽然在检测异常慢的响应的环境中说明了本发明，但是本发明的原理也可以应用于检测异常快的响应。例如，如果一个系统被配置成能从一个卡的磁条上读信息，则会存在一个与刷卡相关联的所期望的滞后。如果例如从一个被配置成旁通磁条阅读机的计算机提供的信息没有这个滞后，则可发出一个安全警报。根据本发明公开，这些和其它的系统配置和优化的特征对于熟悉本技术领域的人员来说是十分明显的，因而包括在后面的权利要求的范围内。

本发明可以借助包括几个不同元件的硬件和借助一个适当编程的计算机实现。

Claims

1.一个安全系统，包括：

验证器，它被配置成为根据对一个或多个请求的一个或多个响应来确定对处理被保护的资料的授权；

定时器，它被配置成为测量与对所述一个或多个请求的一个或多个响应相关联的响应时间；

其中：

该验证器被配置成至少部分地根据对响应时间的评估来确定所述授权。

2.权利要求1的安全系统，其中，

所述验证器被配置成根据下面的至少一项来形成评估：

平均响应时间，

与一个或多个门限时间的响应时间的比较，和

基于该响应时间的统计测试。

3.权利要求1的安全系统，其中，

所述验证器被配置成根据一个或多个请求项的随机选择来提供所述一个或者多个请求。

4.权利要求1的安全系统，其中，

所述响应时间与在所述一个或多个请求的第一源和所述一个或多个响应的第二源之间的物理接近度相关。

5.权利要求1的安全系统，其中，

所述响应时间的评估形成对所述一个或多个响应是否通过网络连接而通信的评估。

6.权利要求1的安全系统，另外包括

再现器，它被配置为接收与一个数据集相对应的多个数据项，和从中产生与所选择的数据项相对应的再现，

所述验证器被可操作地连接到所述再现器上，并且，该验证器被配置成根据所述多个数据项中的其它数据项是否可用于该再现器而阻止与所选择的数据项相对应的再现，

所述定时器被可操作地连接到所述验证器和所述再现器，并且被配置成测量与该再现器对其它数据项的请求的响应相关联的响应时间。

7.一种根据在接收器和多个数据项的源之间的物理接近度决定授权去处理信息的方法，所述方法包括：

决定所述多个数据项的源的响应时间，和

根据所述响应时间确定所述授权。

8.权利要求7的方法，其中，

确定所述响应时间包括：

对于所述多个数据项的一个子集中的每一个数据项：

在第一时间向该源请求该数据项，

在第二时间在接收器接收该数据项，

累计与第二时间和第一时间之间的差相对应的响应时间量度；

根据该响应时间量度确定所述响应时间。

9.权利要求8的方法，其中，

所述响应时间量度与下面的至少一项相对应：

在每一第二和第一时间之间的差的平均值，

基于每个差与一个或多个门限时间的比较的计数值，

基于这些差值的统计参数。

10.一种计算机程序产品，被安排用于使处理器执行权利要求7的方法。