CN101513011B - 用于向移动终端设备连续传输广播服务的加密数据的方法和系统 - Google Patents
用于向移动终端设备连续传输广播服务的加密数据的方法和系统 Download PDFInfo
- Publication number
- CN101513011B CN101513011B CN2007800336491A CN200780033649A CN101513011B CN 101513011 B CN101513011 B CN 101513011B CN 2007800336491 A CN2007800336491 A CN 2007800336491A CN 200780033649 A CN200780033649 A CN 200780033649A CN 101513011 B CN101513011 B CN 101513011B
- Authority
- CN
- China
- Prior art keywords
- beg
- access network
- key
- dzn
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/601—Broadcast encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于由服务接入网络向移动终端设备(BEG)连续传送广播服务的加密数据的方法,该服务接入网络具有不同的加密分层结构,其中移动终端设备(BEG)在从第一服务接入网络(DZN-A)更换到第二服务接入网络(DZN-B)时,接收第二服务接入网络(DZN-B)的密钥分层结构的、用第一服务接入网络(DZN-A)的特定于用户的密钥(MUK;K-PUB;TK)加密的密钥(SEK;PEK;MSK;BAK),其中移动终端设备(BEG)从第一服务接入网络(DZN-A)加密地接收具有第一数据内容加密密钥(MTK、TEK、SK)的广播服务数据,移动终端设备(BEG)从第二服务接入网络(DZN-B)加密地接收具有第二数据内容加密密钥(MTK、TEK、SK)的广播服务数据。
Description
技术领域
本发明涉及一种用于向这样一种移动终端设备连续传输广播服务的加密数据的方法和系统,该移动终端设备从具有第一密钥分层结构的服务接入网络切换到具有第二密钥分层结构的另一个服务接入网络。
背景技术
在点对多点数据服务的情况下,尤其是多媒体数据如音频和视频数据从内容供应商或称服务供应商的服务器传输给终端设备。如果该终端设备是移动终端设备或称使用者终端设备BEG,例如移动电话或膝上型电脑,则进行从服务供应商的服务器通过服务接入网络DZN或称Service Access Network并且从该服务接入网络通过无线接口到移动终端设备的数据传输。公知很多不同的多点传送技术或接入技术,这些技术分别采用用于验证和注册用户的不同程序,并用这些程序控制对多点传送服务或广播服务的接入。这种公知广播技术的例子包括在3GPP(第三代伙伴项目)中指定的多媒体广播和多点传送系统(MBMS),基于互联网协议IP的DVB-H(数字视频手持广播)系统,缩写为DVB-HIPDC(DC:Data Cast数据传送),3GPP2 BCMCS系统(第三代伙伴项目2广播多点传送服务)和开放移动联盟(OMA)标准化协会的OMA BCAST(浏览器和内容广播)。这些用于为移动终端设备提供广播或多媒体服务的不同接入技术尤其是采用不同的密钥分层结构来对数据传输路段加密。
不同的服务接入网络具有部分重叠的覆盖区域,从而移动终端设备可以从第一服务接入网络的覆盖区域或发射区域移动到使用不同接入技术的第二服务接入网络的发射区域。移动终端设备或使用者终端设备BEG可以支持不同的接入技术,以接收相应的广播服务。
由标准化小组第三代伙伴项目(3GPP)指定的多媒体广播多点传送系统(MBMS)在3GPP移动无线网络中实现了基于IP的点对多点数据服务(3GPP MBMS ARC)。这种数据服务的例子是音频服务、视频服务和语音服务(Streaming Services,流服务),还可以是用于向终端设备发送图像和文本的服务(下载和所谓的软磁盘服务,CarouselService)。除了无线电接入网络(RAN)、服务和网关GPRS支持节点(SGSN和GGSN)之外,使用者终端设备(User Equipment-UE)和广播多点传送服务中心(BM-SC)也是最重要的MBMS网络部件。实际的数据内容由内容供应商(ContProv)提供给BM-SC。
应当防止被未授权使用的MBMS流服务可以借助安全实时传输协议(SRTP)加密,并防止被更改(完整性保护)。该功能由BM-SC进行(3GPP MBMS SEC)。为此必须在BM-SC上以及在对此授权的使用者终端设备(UE)上提供密码性的密钥材料。出于效率的原因,确定的MBMS流服务无法单独为每个终端设备受到保护和发送,而是BM-SC和经过授权的终端设备分享所谓的MBMS业务密钥(MTK)。MTK经常变换,但是并不特定于确定的终端设备。
为了无法在MTK从BM-SC到移动终端设备BEG的路径上也监听到MTK,借助所谓的MBMS服务密钥(MSK)对该MTK加密。MSK比MTK要长得多,因此必然不像MTK那样频繁地传送给UE。当然还必须在将MSK传送给BEG期间防止MSK被监听。这借助所谓的MBMS用户密钥(MUK)来实现。MTK与MSK的区别就在于一个MUK仅对一个终端设备BEG有效。这意味着用确定的MUK加密发送的MSK只能由知道该MUK的终端设备BEG解密。
MUK在终端设备BEG和BM-SC之间借助所谓的通用引导体系(Generic Bootsrapping Architecture,GBA)协商。GBA是一种由3GPP指定的方法,用来从终端设备BEG和移动无线网络之间本来就存在的安全关系中推导出终端设备BEG和所谓网络应用功能(NAF)之间的安全关系(3GPP GBA)。在与MBMS的关联下,BM-SC接管了NAF的角色。
与MBMS无关地,终端设备BEG和BEG的归属网络中的归属用户服务器(HSS)分享长期的、秘密的密钥K,该密钥存储在BEG的通用集成电路卡(UICC)和HSS服务器的数据库中。基于该密钥K,终端设备BEG和主管这件事的、具有名称-引导服务器功能(BSF)的GBA部件相互验证。在此,HSS服务器向BSF提供相关的、部分是特定于终端设备的数据(Zh,参考点)。在与该验证的关联下,终端设备BEG和BSF推导出秘密密钥Ks,该秘密密钥用于产生取决于NAF的标识的密钥Ks_NAF。在查询时,NAF的引导服务器BSF(在MBMS示例中:BM-SC)告知该Ks_NAF,从而接着终端设备和NAF分享秘密的密码型密钥,即Ks_NAF。总之,基于终端设备和移动无线网络之间已存在的安全关系(密钥K)建立终端设备UE或BEG和NAF之间的安全关系(密钥Ks_NAF)。
在MBMS中终端设备和BM-SC从Ks_NAF中推导出所谓的MBMS请求密钥(MRK),借助该MBMS请求密钥在BM-SC上验证终端设备(Ua参考点)。由此UE获得接收确定的MBMS服务的授权。该授权使得BM-SC向终端设备返回MBMS服务密钥(MSK),该MBMS服务密钥是借助于从MRK中推导出的MBMS用户密钥(MUK)加密的。如上所述,现在只有拥有从MRK推导出的MUK的终端设备可以对MSK解密。但是终端设备可以借助MSK对非特定于终端设备的MBMS业务密钥(MTK)进行解密,并由此对受SRTP保护的全部MBMS流服务进行解密,并检验数据的完整性。由此3GPP MBMS的安全性基于下面的密钥分层结构:
长期的3GPP密钥K
-只有BEG和BEG或UE的归属网络中的HSS知道,
-在GBA中用于在BEG和BSF之间进行验证。
GBA密钥Ks和Ks_NAF
-Ks在与BEG和BEG的归属网络之间的GBA验证过程的关联中被推导出来,并用于产生密钥Ks_NAF,
-在MBMS中从Ks_NAF中推导出密钥MRK和MUK。
MBMS请求密钥(MRK)
-由BEG和BM-SC从Ks_NAF中推导出,
-用于在服务注册时针对NAF=BM-SC来验证BEG并对BEG授权。
MBMS用户密钥(MUK)
-从Ks_NAF中推导出,
-用于对MSK进行特定于BEG的加密。
MBMS服务密钥(MSK)
-由BM-SC为确定的服务产生,
-用于在MTK被传送给BEG的过程中对MTK加密,
-有效时间比MTK长。
MBMS业务密钥(MTK)
-由BM-SC产生的密钥,用于保护(加密和完整性保护)MBMS服务,
-不是特定于BEG的,
-借助MSK加密地传送给BEG。
标准化小组“数字视频广播(DVB)”给出了基于互联网协议(IP)来定义到移动终端设备BEG的视频广播服务(DVB toHandhelds-DVB-H):IP Data Cast Over DVB-H(通过DVB-H的IP数据传送),缩写为IPDC/DVB-H(DVB IPDC)。在此,DVB-H系统不仅具有单向广播信道,而且还具有可选的双向交互信道,该交互信道例如可以通过3GPP移动无线网络实现。
DVB-H文档“IP Data Cast Over DVB-H:Service Purchase andProtection”(DVB IPDC SPP)说明了两个用于DVB-H服务的不同安全系统:
系统1:开放式安全框架(Open Security Framework,OSF)
-推荐在数据内容的层面上对广播服务进行加密(ISMACryp)
系统2:18Crypt
-推荐在传输层(SRTP)或网络层(IPSec)上对广播服务进行加密。
相应于SPP规范的使用者终端设备BEG必须支持所有3种加密方法(ISMACryp,SRTP,IPSec),并且实施这两个系统中的至少一个。
图1示出根据现有技术用于在广播服务中保护数据内容的DVB-H模型。
首先,终端设备BEG(设备)需要长期的密钥K,该密钥对该设备来说是唯一的。这种密钥通常在购买时就已经位于该设备上或插入该设备的芯片卡上。该密钥形成在图1中示出的4层安全性的基础。
在最上面的层中(注册),借助唯一的密钥K对终端设备(设备)进行验证,并且针对确定的广播服务进行注册。基于成功的验证和注册,该终端设备获得密码型的密钥(权利加密密钥),该密钥是接收服务所必要的。权利加密密钥是借助特定于设备的密钥K加密的,从而只有拥有该密钥K的终端设备才能对权利加密密钥进行解密。
在第二层(权利管理),终端设备获得有效时间更长的服务加密密钥(SEK),借助密钥管理消息(KMM)将该服务加密密钥传送给终端设备。SEK对广播服务是唯一的,但是对终端设备却不是。权利加密(Rights Encryption)用于对SEK加密。SEK的功能与3GPP-MBMS服务密钥(MSK)类似。
在第三层(密钥流),所谓的密钥流消息(KSM)通过广播信道将短期有效的业务加密密钥(TEK)传送给终端设备。在此,用事先在第二层上传送的服务加密密钥(SEK)对TEK加密。在最底层(内容/服务保护),借助TEK加密地通过广播信道发送广播服务。
借助终端设备的特定于设备的密钥K,终端设备可以对权利加密密钥解密,由此对SEK解密,接下来对经常更换的TEK解密。由此已注册和因此而授权的终端设备BEG可以用明文显示加密的广播服务。
在图1中显示的模型描述了在非常一般化的水平上对IPDC/DVB-H的保护措施的技术实现。这一方面与这种以[DVB IPDC SPP]给出的模型统一地显示两个非常不同的系统一开放式安全框架和18Crypt有关,另一方面在[DVB IPDC SPP]中没有清楚地指定要为开放式安全框架在技术上实现层1-3(注册,权利管理和密钥流),而是让其开放,这与18Crypt系统相反,对于18Crypt系统来说已定义了所有的层。
18Crypt系统基于用于数字权利管理(DRM)的方法,这种数字权利管理已由开放移动联盟(OMA)指定[OMA DRM]。该18Crypt系统采用公共加密密钥作为唯一的设备密钥,该公共加密密钥与确定设备的绑定通过数字证书来保证。为了在注册层上验证和注册该设备,所谓的权利发布者(Rights Issuer-RI)检验数字设备证书的有效性。在成功检验的情况下,RI在权利管理层上向设备发送所谓的权利对象(RO)。该RO包含服务或程序加密密钥(SEK/PEK),借助已检验的公共设备密钥对该服务或程序加密密钥加密。只有在数字证书中给出的设备才具有对应的私有设备密钥。因此它是唯一的可以在任何权利对象RO中对加密的SEK或PEK解密的设备。
除了SEK或PEK之外,权利对象RO通常还包含对权利的描述,该描述就该设备已注册的广播服务的数据内容而言对该设备是持续的(例如允许终端设备播放视频5次)。在终端设备上,受到防更改保护的程序(DRM代理)负责对SEK或PEK解密,负责保持就确定的数据内容而言对该设备持续的权利,以及负责保护SEK或PEK以防止未授权的访问。SEK或PEK在密钥流层上使用,以便对经常更换的业务加密密钥(TEK)加密和解密。
在相应于第三代伙伴项目2(3GPP2)标准的移动无线网络中,借助广播多点传送服务(BCMCS)来实现基于IP的广播和多点传送服务[3GPP2BCMCS]。3GPP2使用者终端设备(移动站-MS)由用户标识模块(UIM)和实际的移动设备(Mobile Equipment-ME)组成。UIM可以固定地与ME连接,或者可以从ME中取出(可拆卸UIM-R-UIM)。UIM具有虽然受保护的存储区域,但是只拥有很少的计算功率,而移动设备ME具有更多的计算功率,但是没有受保护的存储区域。
为了对广播/多点传送数据内容加密,可以使用安全实时传输协议(SRTP)。作为输入用于SRTP加密的密钥,称为短期密钥(Short-termKey,SK)。与3GPP MBMS业务密钥(MTK)相同,短期密钥经常更换,但是不像MTK那样加密地发送给移动站MS。而是加密的广播接入密钥(BAK)与随机数SK_RAND一起被发送给移动终端设备或MS,移动终端设备BEG或MS从BAK和SK_RAND中计算出密钥SK。BAK不是特定于MS或UIM的密钥;而是BAK对一个或多个IP多点传送消息流都有效。BAK由网络部件一BAK发行人(BAKD)产生。
在去往移动终端设备BEG或MS的路径上,BAK借助临时加密密钥(TK)被加密。每个TK都取决于随机数TK_RAND和所谓的注册密钥(RK)。在此,RK对每个UIM来说是唯一的,而且只有相关的UIM以及负责产生TK的网络部件(脚本管理器-SM)才知道。移动终端设备连同通过TK加密的BAK一起获得随机数TK_RAND。只有在自己的UIM上具有用于产生TK的RK的移动终端设备,才能借助TK_RAND推导出密钥TK。TK由移动终端设备用于对BAK解密。借助BAK和SK_RAND,MS或BEG可以计算出SK,由此对加密的多点传送数据解密。
3GPP2 BC MCS的安全性基于下面的密钥分层结构:
注册密钥(RK)
-对每个UIM是唯一的
-只有UIM和脚本管理器(SM)才知道。
临时加密密钥(TK)
-从RK和随机数TK_RAND中推导出,
-用于对广播接入密钥(BAK)加密,
-MS获得TK_RAND以及加密的BAK,
-只有具有正确的RK的MS才能借助TK_RAND计算出TK。
广播接入密钥(BAK)
-由BAK发行人(BAKD)为一个或多个IP多点传送消息流产生,
-MS获得用TK加密的BAK以及随机数SK_RAND。
短期密钥(SK)
-这是用于对广播/多点传送数据加密(SRTP)的密钥,
-不是发送给MS,而是由MS从BAK和SK_RAND中计算出来。
浏览器和内容(BCAST)子工作组-标准化组织开放移动联盟(OMA)的广播工作组(BCAST)-对所谓的移动广播服务的允许人进行标准化,该移动广播服务通过具有单向广播信道(例如DVB-H)和可选的双向单点传送信道(例如3GPP)的网络提供[OMA BCAST ARC]。在此,规定了诸如服务指导、文件分发、流分发、服务保护、内容保护、服务交互、服务提供、终端提供和注意的功能。
在当前的草案规范中,OMA BAC BCAST尤其是支持作为广播分布系统的3GPP MBMS、DVB-H IPDC和3GPP2BCMCS。广播服务(服务)和内容(内容)的保护是在[OMA BCAST SCP]中定义的,并提供3个规范,即基于用于数字权利管理的OMA规范[OMA DRM]的DRM简挡,以及两个基于3GPP的智能卡简挡(U)SIM或3GPP2(R)UIM。
由于不同的接入技术,并尤其是由于在不同的接入技术中采用的不同的密钥分层结构,在移动终端设备BEG从第一服务接入网络更换到第二服务接入网络时会出现数据传送中断的问题。
从一个服务接入网络更换到另一个服务接入网络可以通过移动终端设备从第一服务接入网络的发射区域移动到第二服务接入网络的发射区域来进行,或者通过用户希望从第一服务接入网络更换到另一个服务接入网络来进行。
发明内容
因此本发明要解决的技术问题是提供一种用于传送广播服务的加密数据的方法和系统,该方法和系统保证即使数据接入网络被更换了广播服务的数据也能够连续传送给移动终端设备。
根据本发明,该技术问题通过具有权利要求1给出的特征的方法,以及通过具有权利要求19给出的特征的系统解决。
本发明实现了一种用于从服务接入网络向移动终端设备(BEG)连续传送广播服务的加密数据的方法,这些服务接入网络具有不同的密钥分层结构,其中移动终端设备(BEG)在从第一服务接入网络DZN-A更换到第二服务接入网络DZN-B时,接收第二服务接入网络DZN-B的密钥分层结构的、用第一服务接入网络DZN-A的特定于用户的密钥MUK、K-PUB、TK加密的密钥,其中移动终端设备BEG从第一服务接入网络DZN-A接收用第一数据内容加密密钥MTK、TEK、SK加密的广播服务数据,移动终端设备BEG从第二服务接入网络DZN-B接收用第二数据内容加密密钥MTK、TEK、SK加密的相同广播服务数据。
在本发明方法的优选实施方式中,在验证了移动终端设备(BEG)之后在第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)中产生特定于用户的密钥(MUK,TK)。
在本发明方法的实施方式中,移动终端设备(BEG)和第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)都具有该特定于用户的密钥。
在本发明方法的优选实施方式中,移动终端设备BEG从第一服务接入网络DZN-A的第一接入检查服务器ZKS-A接收具有第一数据内容加密密钥的广播服务数据。
在本发明方法的优选实施方式中,移动终端设备BEG从第二服务接入网络DZN-B的第二接入检查服务器ZKS-B接收用第二数据内容加密密钥加密的广播服务数据。
在本发明方法的优选实施方式中,用特定于用户的密钥加密的密钥从第一服务接入网络DZN-A的接入检查服务器ZKS-A传送给移动终端设备BEG,并且通过移动终端设备BEG借助移动终端设备知道的特定于用户的密钥解密。
在本发明方法的优选实施方式中,移动终端设备BEG借助解密的密钥对第二数据内容加密密钥解密,以由此对从第二接入检查服务器ZKS-B接收的、用第二数据内容加密密钥加密的广播服务数据解密。
在本发明方法的优选实施方式中,移动终端设备BEG借助请求消息向第一服务接入网络的接入检查服务器ZKS-A要求从第一服务接入网络DZN-A更换到第二服务接入网络DZN-B。
在本发明方法的优选实施方式中,所述请求消息具有用户标识、第二服务接入网络DZN-B的接入检查服务器ZKS-B的标识以及广播服务的标识。
在本发明方法的优选实施方式中,第一服务接入网络DZN-A的接入检查服务器ZKS-A将访问请求消息传送给第二服务接入网络DZN-B的接入检查服务器ZKS-B,该访问请求消息包含用户标识、第一服务接入网络DZN-A的接入检查服务器ZKS-A的标识以及广播服务的标识。
在本发明方法的优选实施方式中,第二服务接入网络DZN-B的接入检查服务器ZKS-B将访问确认消息回发给第一服务接入网络DZN-A的接入检查服务器ZKS-A,该访问确认消息包含用户标识、第二服务接入网络的密钥分层结构的一个密钥以及广播服务的标识。
在本发明方法的优选实施方式中,第一服务接入网络DZN-A的接入检查服务器ZKS-A将更换确认消息传送给移动终端设备BEG,该更换确认消息包含第二接入检查服务器ZKS-B的标识和广播服务的标识。
在本发明方法的优选实施方式中,第一服务接入网络DZN-A的接入检查服务器ZKS-A将第二密钥分层结构的用特定于用户的密钥加密的密钥用消息传送给移动终端设备BEG。
在本发明方法的优选实施方式中,第一服务接入网络DZN-A通过3GPP服务接入网络、3GPP2服务接入网络或DVB-H服务接入网络形成。
在本发明方法的优选实施方式中,第二服务接入网络DZN-B通过3GPP服务接入网络、3GPP2服务接入网络或DVB-H服务接入网络形成。
在本发明方法的优选实施方式中,如果移动终端设备BEG移出第一服务接入网络DZN-A的发射有效范围,则从第一服务接入网络DZN-A更换到第二服务接入网络DZN-B是通过第一服务接入网络DZN-A的接入检查服务器ZKS-A自动执行的。
在本发明方法的优选实施方式中,移动终端设备BEG通过移动电话、膝上型电脑或PDA设备形成。
在本发明方法的优选实施方式中,通过移动终端设备BEG接收的数据通过多媒体数据形成。
本发明还实现了一种用于从服务接入网络DZN向移动终端设备BEG连续传送广播服务的加密数据的系统,这些服务接入网络具有不同的密钥分层结构,该系统具有第一服务接入网络DZN-A的第一接入检查服务器ZKS-A,该第一服务接入网络DZN-A具有第一密钥分层结构,其中移动终端设备BEG从第一服务接入网络DZN-A的第一接入检查服务器ZKS-A接收用第一数据内容加密密钥加密的广播服务数据,该系统具有第二服务接入网络DZN-B的第二接入检查服务器ZKS-B,该第二服务接入网络DZN-B具有第二密钥分层结构,其中移动终端设备BEG从第二服务接入网络DZN-B的第二接入检查服务器ZKS-B接收用第二数据内容加密密钥加密的广播服务数据,其中移动终端设备BEG在从第一服务接入网络DZN-A更换到第二服务接入网络DZN-B时,获得第二服务接入网络DZN-B的密钥分层结构的、用第一服务接入网络DZN-A的特定于用户的密钥加密的密钥。
本发明还实现了一种用于为移动终端设备BEG提供连续广播服务的接入检查服务器ZKS,其中该接入检查服务器ZKS在移动终端设备BEG从该接入检查服务器ZKS的服务接入网络DZN更换到另一个服务接入网络DZN’时,将第二服务接入网络DZN-B的用服务接入网络DZN的特定于用户的密钥加密的密钥传送给移动终端设备BEG。
下面参照用于解释本发明主要特征的附图描述本发明用于连续传送广播服务的加密数据的方法和系统的优选实施方式。
附图说明
图1示出根据现有技术用于保护广播服务中的数据内容的常规接入技术的层模型;
图2示出根据本发明的用于连续传送加密数据的系统的可能实施方式的框图;
图3示出用于解释本发明用于连续传送广播服务的加密数据的方法的第一实施方式的信号图;
图4示出另一个用于解释本发明用于连续传送广播服务的加密数据的方法的第二实施方式的信号图;
图5示出另一个用于解释本发明用于连续传送广播服务的加密数据的方法的第三实施方式的信号图;
图6示出另一个用于解释本发明用于连续传送广播服务的加密数据的方法的第四实施方式的信号图;
图7示出另一个用于解释本发明用于连续传送广播服务的加密数据的方法的第五实施方式的信号图;
图8示出另一个用于解释本发明用于连续传送广播服务的加密数据的方法的第六实施方式的信号图。
具体实施方式
可以从图2中看出,本发明用于连续传送广播服务的加密数据的系统包括至少两个服务接入网络DZN或Service Access Network。这些服务接入网络之一包含多个基站BS,移动终端设备或使用者终端设备BEG通过这些基站可以与服务接入网络DZN通过空气接口交换数据。服务接入网络DZN的基站BS例如连接到该服务接入网络的网关GW。该网关将服务接入网络DZN与内核或核心网CN连接。在该CN中具有接入检查服务器ZKS,该接入检查服务器ZK8在其相应的管辖范围内检查至多点传送服务或广播服务的接入。接入检查服务器ZKS例如连接到内容供应商服务器CPS,该内容供应商服务器CPS为多点传送或广播服务提供多媒体数据。广播服务例如可以是提供音频服务、视频服务或语音服务(流服务),但是还可以例如是在自己的帮助下向移动终端设备BEG发送图像和文本的服务。
在本发明的系统中,两个服务接入网络DZN-A、DZN-B可以具有不同的接入技术。例如,第一服务接入网络DZN-A是3GPP服务接入网络、3GPP2服务接入网络或DVB-H服务接入网络。同样的方式,第二服务接入网络DZN-B同样可以是3GPP服务接入网络、3GPP2服务接入网络或DVB-H服务接入网络。本发明的系统使得移动终端设备BEG可以从第一接入检查服务器ZKS-A的管辖范围,也就是从服务接入网络DZN-A无缝地转移到第二接入检查服务器ZKS-B的管辖范围,也就是服务接入网络DZN-B。如果移动终端设备BEG移出第一服务接入网络DZN-A的基站BS的发射有效范围,并且进入第二服务接入网络DZN-B的基站BS的发射区域,则从第一服务接入网络DZN-A到第二服务接入网络DZN-B的更换例如可以通过接入检查服务器ZKS自动进行。为此例如监控所交换的消息的信号强度,并且当第一服务接入网络DZN-A中的信号振幅下降到低于特定的阈值时自动通过接入检查服务器ZKS进行该更换。替换的,可以通过移动终端设备BEG的用户促使从服务接入网络DZN-A更换到另一个具有相同或替换接入技术的服务接入网络DZN-B,其中通过该用户在该移动终端设备BEG上设置相应的更换。
例如,如果移动终端设备BEG如移动电话的用户想要在其显示屏上观看通过内容供应商CPS提供的电影或电视,该用户可以通过第一服务接入网络DZN-A登录该广播服务。首先,该用户经历验证过程,并相应于服务接入网络DZN-A的接入技术的密钥分层结构而获得用于对加密媒体数据解密的密钥,该密钥使得该用户可以在接收到加密的媒体数据时对该媒体数据解密。在此,该密钥优选自己就是加密传送的,以防止监听。在该过程结束之后,移动终端设备BEG可以通过第一服务接入网络DZN-A接收该数据流并对其解密。如果现在用户用其移动终端设备从第一服务接入网络DZN-A的有效范围之外进入另一个服务接入网络DZN-B的发射区域,该另一个服务接入网络例如具有另一种接入技术,则借助本发明的系统进行连续的、用户不会有意识地注意到的从第一服务接入网络DZN-A到第二服务接入网络DZN-B的更换,而使用者终端设备BEG和第二接入检查服务器无需执行完整的、费事的并且对使用者或用户来说繁琐的服务注册。按照同样的方式进行从第一服务接入网络DZN-A到服务接入网络DZN-B的更换,只要用户在其移动终端设备BEG上进行相应的切换,例如为了节省费用,只要通过第二服务接入网络DZN-B的数据传输对于用户来说更为便宜。
用户的移动终端设备BEG首先接收广播服务的数据,例如该用户期望的电影,该数据由第一服务接入网络DZN-A的第一接入检查服务器ZKS-A用第一数据内容加密密钥加密。
在移动终端设备BEG从第一服务接入网络DZN-A更换到第二服务接入网络DZN-B时,移动终端设备BEG获得第二服务接入网络DZN-B的、用第一服务接入网络的特定于用户的密钥加密的密钥。
接着或在该更换之后,移动终端设备BEG从第二服务接入网络DZN-B的第二接入检查服务器ZKS-B以加密的形式获得具有第二数据内容加密密钥的相同广播服务的数据。
在本发明的系统中,两个接入检查服务器ZKS-A、ZKS-B通过同一个接口INT相互连接,并且相互交换消息。这些消息包含数据,例如移动终端设备BEG的标识符、用户自己的标识符、第一和第二接入检查服务器ZKS-A、ZKS-B的管辖范围的标识符、一个或多个广播服务以及密码型密钥的标识符,以及对它们有效持续时间的说明。
在本发明的方法中,移动终端设备BEG首先在第一服务接入网络DZN-A的第一接入检查服务器ZKS-A中验证自己。
接着,第一接入检查服务器ZKS-A直接从第二接入检查服务器ZKS-B或者间接从密钥服务器获得密钥,第二接入检查服务器ZKS-B事先将该密钥传送给该密钥服务器。
在另一个步骤中,第一接入检查服务器ZKS-A借助秘密的对称密钥、例如特定于用户的密钥对获得的密钥加密,该对称密钥只有移动终端设备BEG和第一服务接入网络DZN-A的第一接入检查服务器ZKS-A才知道,并且是基于移动终端设备BEG的验证过程在第一接入检查服务器ZKS-A中产生的。替换的,第一接入检查服务器ZKS-A借助公共的非对称密钥对接收的密钥加密,该非对称密钥属于移动终端设备BEG的归属性由第一接入检查服务器ZKS-A在对移动终端设备BEG的验证期间检验。
接着,第一接入检查服务器ZKS-A将用该秘密的对称密钥或用该公共的非对称密钥加密的密钥传送给移动终端设备BEG。
移动终端设备BEG借助该秘密的对称密钥或者借助属于该公共的非对称密钥的秘密的非对称密钥对加密的密钥进行解密,以借助这样解密的密钥对用于加密广播服务的数据内容的密钥进行解密。
下面的图4至图8示出本发明用于从具有不同密钥分层结构的服务接入网络DZN将广播服务的加密数据连续传送给移动终端设备BEG的方法的六个不同实施方式。
根据图3至图8的六个实施例示出不同的情况,其中服务接入网络DZN-A、DZN-B是3GPP服务接入网络、3GPP2服务接入网络或DVB-H服务接入网络。
在图3所示的情况中,移动终端设备BEG从3GPP服务接入网络更换到DVB-H服务接入网络。
在3GPP GBA验证过程成功结束之后,使用者终端设备BEG和接入检查服务器ZKS-A拥有密钥Ks_NAF,从该密钥中推导出密钥MBMS请求密钥(MRK)和MBMS用户密钥(MUK)。借助MRK,BEG相对于ZKS-A验证自己,并注册落入ZKS-A管辖范围内的多点传送服务ID_SVC。由于BEG已经在ZKS-A中成功注册多点传送服务ID_SVC,ZKS-A将属于该服务的MBMS服务密钥(MSK)发送给BEG,而且是借助BEG的MBMS用户密钥(MUK)加密的。借助MUK,BEG可以对消息加密[MUK](MSK)解密,并由此也对MBMS业务密钥(MTK)解密,该MBMS业务密钥借助MSK加密地发送给使用者终端设备。解密的MTK现在允许BEG对借助MTK加密并且通过ID_SVC识别的多点传送服务(内容)解密。BEG启动从ZKS_A的管辖范围到ZKS_B的管辖范围的转移,其中通过BEG向ZKS_A发送转移查询(HORequest=移交请求)。该消息优选包含使用者终端设备BEG的标识ID_BEG或使用者的ID_USER、ZKS_B的标识ID_ZKS_B、在ZKS_B的管辖范围中的多点传送服务的标识ID_SVC’,以及可能的其它相关数据。
为了使用者终端设备,ZKS_A将接入检查查询(接入请求)发送给ZKS_B,该接入检查查询优选除了标识ID_BEG、ID_USER、ID_SVC’和ID_ZKS_A之外可能还包含其它的相关数据。基于BEG在ZKS_A中已经成功验证和注册的事实,ZKS_B可以在不重新验证和注册BEG的情况下决定是否持续BEG至多点传送服务ID_SVC’的接入。如果ZKS_B持续使用者终端设备BEG至期望多点传送服务ID_SVC’的接入,则ZKS-B将接入持续消息(接入接受)连同属于期望多点传送服务ID_SVC’的服务或程序加密密钥(SEK/PEK)一起发送给ZKS_A。由于ZKS_B已经持续使用者终端设备BEG至期望多点传送服务的接入,因此ZKS_A将转移持续消息(HOAccept=移交接受)发送给BEG。该消息优选包含接入检查服务器ZKS-B和期望服务的标识ID_ZKS_B和ID_SVC’。
ZKS_A向BEG发送BEG已经从ZKS_B获得的密钥SEK或PEK,而且是用MUK加密的。由于BEG知道该密钥MUK,因此BEG对SEK或PEK解密。基于BEG对SEK或PEK的认识,BEG现在可以对用SEK或PEK加密的业务加密密钥(TEK)解密。解密的TEK允许BEG对借助TEK加密并通过ID_SVC’识别的多点传送服务(内容’)解密。
图4示出第二种情况,其中移动终端设备BEG从DVB-H服务接入网络更换到3GPP服务接入网络。
借助移动终端设备的公共密钥证书,BEG相对于ZKS_A验证自己,并且注册落在ZKS_A的管辖范围内的多点传送服务ID_SVC。由于BEG已经在ZKS_A上成功地注册了多点传送服务ID_SVC,ZKS_A将属于该服务的服务或程序加密密钥(SEK/PEK)发送给BEG。在此,SEK/PEK包含在权利对象RO中,并在该权利对象中以加密形式存在。为了加密,使用BEG的公共密钥K_PUB,借助BEG的私有设备密钥K_PRIV,BEG可以对密钥SEK或PEK解密,由此还对借助SEK或PEK加密地发送给使用者终端设备的业务加密密钥(TEK)解密。解密的TEK允许BEG对借助该TEK加密并通过ID_SVC识别的多点传送服务(内容)解密。BEG启动从ZKS_A的管辖范围到ZKS_B的管辖范围的转移,其中通过BEG向ZKS_A发送转移查询(HORequest=移交请求)。该消息优选包含使用者终端设备的标识ID_BEG或使用者的ID_USER、ZKS_B的标识ID_ZKS_B、在ZKS_B的管辖范围中的多点传送服务的标识ID_SVC’,以及可能的其它相关数据。为了使用者终端设备,ZKS_A将接入检查查询(接入请求)发送给ZKS_B,该接入检查查询优选除了标识ID_BEG、ID_USER、ID_SVC’和ID_ZKS_A之外可能还包含其它的相关数据。基于BEG在ZKS_A中已经成功验证和注册的事实,ZKS_B可以在不重新验证和注册BEG的情况下决定是否持续BEG至多点传送服务ID_SVC’的接入。如果ZKS_B持续使用者终端设备BEG至期望多点传送服务ID_SVC’的接入,则ZKS_B将接入持续消息(接入接受)连同MBMS服务密钥MSK一起发送给ZKS_A,该MBMS服务密钥属于期望的多点传送服务ID_SVC’。由于ZKS_B已经持续了使用者终端设备BEG至期望多点传送服务的接入,因此ZKS_A将转移持续消息(HOAccept=移交接受)发送给BEG。该消息优选包含接入检查服务器ZKS-B和期望服务的标识ID_ZKS_B和ID_SVC’。ZKS_A向BEG发送BEG已经从ZKS_B获得的密钥MSK,而且是借助作为权利对象RO的一部分的K_PUB加密的。在使用BEG的私有设备密钥K_PRIV的情况下,BEG对密钥MSK解密。基于BEG对MSK的认识,BEG现在可以对用MSK加密的MBMS业务密钥(MTK)解密。解密的MTK允许BEG对借助该MTK加密并通过ID_SVC’识别的多点传送服务(内容’)解密。
图5示出第三种情况,其中移动终端设备BEG从3GPP服务接入网络更换到3GPP2服务接入网络。
在3GPP GBA验证过程成功结束之后,使用者终端设备BEG和接入检查服务器ZKS-A拥有密钥Ks_NAF,从该密钥中推导出密钥MBMS请求密钥(MRK)和MBMS用户密钥(MUK)。借助MRK,BEG相对于ZKS-A验证自己,并注册落入ZKS-A的管辖范围内的多点传送服务ID_SVC。由于BEG已经在ZKS-A中成功注册该多点传送服务ID_SVC,ZKS-A将属于该服务的MBMS服务密钥(MSK)发送给BEG,而且是借助BEG的MBMS用户密钥(MUK)加密。借助MUK,BEG可以对消息加密[MUK](MSK)解密,并由此对MBMS业务密钥(MTK)解密,该MBMS业务密钥借助MSK加密地发送给使用者终端设备。解密的MTK现在允许BEG对借助MTK加密并且通过ID_SVC识别的多点传送服务(内容)解密。BEG启动从ZKS_A的管辖范围到ZKS_B的管辖范围的转移,其中通过BEG向ZKS_A发送转移查询(HORequest=移交请求)。该消息优选包含使用者终端设备的标识ID_BEG或使用者的ID_USER、ZKS_B的标识ID_ZKS_B、在ZKS_B的管辖范围中的多点传送服务的标识ID_SVC’,以及可能的其它相关数据。为了使用者终端设备,ZKS_A将接入检查查询(接入请求)发送给ZKS_B,该接入检查查询优选除了标识ID_BEG、ID_USER、ID_SVC’和ID_ZKS_A之外可能还包含其它的相关数据。基于BEG在ZKS_A中已经成功验证和注册的事实,ZKS_B可以在不重新验证和注册BEG的情况下决定是否持续BEG至多点传送服务ID_SVC’的接入。如果ZKS_B持续使用者终端设备BEG至期望多点传送服务ID_SVC’的接入,则ZKS_B将接入持续消息(接入接受)连同属于期望多点传送服务ID_SVC’的广播接入密钥(BAK)一起发送给ZKS_A。由于ZKS_B已经持续了使用者终端设备BEG至期望多点传送服务的接入,因此ZKS_A将转移持续消息(HOAccept=移交接受)发送给BEG。该消息优选包含接入检查服务器ZKS-B和期望服务的标识ID_ZKS_B和ID_SVC’。ZKS_A向BEG发送BEG已经从ZKS_B获得的密钥BAK,而且是用MUK加密的。由于BEG知道该密钥MUK,因此BEG对BAK解密。BEG获得通过ID_SVC’识别并借助短期密钥(SK)加密的多点传送服务。除了加密的多点传送服务之外,BEG还获得未加密的随机值SK_RAND。在使用BSK和随机数SK_RAND的情况下,BEG可以计算短期密钥SK,由此对该多点传送服务(内容’)解密。
图6示出另一种情况,其中移动终端设备BEG从3GPP2服务接入网络更换到3GPP服务接入网络。
BEG借助从其注册密钥(RK)推导出来的验证密钥(Auth-Key)相对于ZKS_A验证自己。BEG注册落在ZKS_A的管辖范围内的多点传送服务ID_SVC。BEG获得属于多点传送服务ID_SVC的广播接入密钥(BAK),而且是借助临时密钥(TK)加密的。此外,BEG还接收值TK_RAND,然后可以从RK以及TK_RAND中计算出密钥TK,并因此对BAK解密。BEG接收随机值SK_RAND,从该随机值中BEG在BAK的辅助下可以确定短期密钥(SK)的值。由此BEG可以对借助该SK加密并通过ID_SVC识别的多点传送服务(内容)解密。BEG启动从ZKS_A的管辖范围到ZKS_B的管辖范围的转移,其中通过BEG向ZKS_A发送转移查询(HORequest=移交请求)。该消息优选包含使用者终端设备的标识ID_BEG或使用者的ID_USER、ZKS_B的标识ID_ZKS_B、在ZKS_B的管辖范围中的多点传送服务的标识ID_SVC’,以及可能的其它相关数据。为了使用者终端设备,ZKS_A将接入检查查询(接入请求)发送给ZKS_B,该接入检查查询优选除了标识ID_BEG、ID_USER、ID_SVC’和ID_ZKS_A之外可能还包含其它的相关数据。基于BEG在ZKS_A中已经成功验证和注册的事实,ZKS_B可以在不重新验证和注册BEG的情况下决定是否持续BEG至多点传送服务ID_SVC’的接入。如果ZKS_B持续使用者终端设备BEG至期望多点传送服务ID_SVC’的接入,则ZKS_B将接入持续消息(接入接受)连同属于期望多点传送服务ID_SVC’的MBMS服务密钥MSK一起发送给ZKS_A。由于ZKS_B已经持续使用者终端设备BEG至期望多点传送服务的接入,因此ZKS_A将转移持续消息(HOAccept=移交接受)发送给BEG。该消息优选包含接入检查服务器ZKS-B和期望服务的标识ID_ZKS_B和ID_SVC,。ZKS_A向BEG发送BEG已经从ZKS_B获得的密钥MSK,而且是借助临时密钥TK加密的。由于BEG知道该密钥TK,因此BEG可以对该密钥MSK解密。基于BEG对MSK的认识,BEG现在可以对用MSK加密的MBMS业务密钥(MTK)解密。解密的MTK允许BEG对借助该MTK加密并通过ID_SVC’识别的多点传送服务(内容’)解密。
图7示出另一种情况,其中移动终端设备BEG从3GPP2服务接入网络更换到DVB-H服务接入网络。
BEG借助从其注册密钥(RK)推导出来的验证密钥(Auth-Key)相对于ZKS_A验证自己。BEG注册落在ZKS_A的管辖范围内的多点传送服务ID_SVC。BEG获得属于多点传送服务ID_SVC的广播接入密钥(BAK),而且是借助临时密钥(TK)加密的。此外,BEG还接收值TK_RAND,然后可以从RK以及TK_RAND中计算出密钥TK,并因此对BAK解密。BEG接收随机值SK_RAND,从该随机值中BEG在BAK的辅助下可以确定短期密钥(SK)的值。由此BEG可以对借助该SK加密并通过ID_SVC识别的多点传送服务(内容)解密。BEG启动从ZKS_A的管辖范围到ZKS_B的管辖范围的转移,其中通过BEG向ZKS_A发送转移查询(HORequest=移交请求)。该消息优选包含使用者终端设备的标识ID_BEG或使用者的ID_USER、ZKS_B的标识ID_ZKS_B、在ZKS_B的管辖范围中的多点传送服务的标识ID_SVC’,以及可能的其它相关数据。为了使用者终端设备,ZKS_A将接入检查查询(接入请求)发送给ZKS_B,该接入检查查询优选除了标识ID_BEG、ID_USER、ID_SVC’和ID_ZKS_A之外可能还包含其它的相关数据。基于BEG在ZKS_A中已经成功验证和注册的事实,ZKS_B可以在不重新验证和注册BEG的情况下决定是否持续BEG至多点传送服务ID_SVC’的接入。如果ZKS_B持续使用者终端设备BEG至期望多点传送服务ID_SVC’的接入,则ZKS_B将接入持续消息(接入接受)连同属于期望多点传送服务ID_SVC’的服务或程序加密密钥(SEK/PEK)一起发送给ZKS_A。由于ZKS_B已经持续了使用者终端设备BEG至期望多点传送服务的接入,因此ZKS_A将转移持续消息(HOAccept=移交接受)发送给BEG。该消息优选包含接入检查服务器ZKS-B和期望服务的标识ID_ZKS_B和ID_SVC’。ZKS_A向BEG发送BEG已经从ZKS_B获得的密钥SEK或PEK,而且是借助临时密钥TK加密的。由于BEG知道该密钥TK,因此BEG可以对该密钥SEK或PEK解密。基于BEG对SEK或PEK的认识,BEG现在可以对用SEK或PEK加密的业务加密密钥(TEK)解密。解密的TEK允许BEG对借助该TEK加密并通过ID_SVC’识别的多点传送服务(内容’)解密。
图8示出另一种情况,其中移动终端设备从DVB-H服务接入网络更换到3GPP2服务接入网络。
借助BEG的公共密钥证书,BEG相对于ZKS_A验证自己,并且注册落在ZKS_A的管辖范围内的多点传送服务ID_SVC。由于BEG已经在ZKS_A上成功地注册了多点传送服务ID_SVC,ZKS_A将属于该服务的服务或程序加密密钥(SEK/PEK)发送给BEG。在此,SEK/PEK包含在权利对象RO中,并在该权利对象中以加密形式存在。为了加密,使用BEG的公共密钥K_PUB。借助BEG的私有设备密钥K_PRIV,BEG可以对密钥SEK或PEK解密,由此还对借助SEK或PEK加密地发送给使用者终端设备的业务加密密钥(TEK)解密。解密的TEK允许BEG对借助该TEK加密并通过ID_SVC识别的多点传送服务(内容)解密。BEG启动从ZKS_A的管辖范围到ZKS_B的管辖范围的转移,其中通过BEG向ZKS_A发送转移查询(HORequest=移交请求)。该消息优选包含使用者终端设备的标识ID_BEG或使用者的ID_USER、ZKS_B的标识ID_ZKS_B、在ZKS_B的管辖范围中的多点传送服务的标识ID_SVC’,以及可能的其它相关数据。为了使用者终端设备,ZKS_A将接入检查查询(接入请求)发送给ZKS_B,该接入检查查询优选除了标识ID_BEG、ID_USER、ID_SVC’和ID_ZKS_A之外可能还包含其它的相关数据。基于BEG在ZKS_A中已经成功验证和注册的事实,ZKS_B可以在不重新验证和注册BEG的情况下决定是否持续BEG至多点传送服务ID_SVC’的接入。如果ZKS_B持续使用者终端设备BEG至期望多点传送服务ID_SVC’的接入,则ZKS_B将接入持续消息(接入接受)连同属于期望多点传送服务ID_SVC’的广播接入密钥(BAK)一起发送给ZKS_A。由于ZKS_B已经持续使用者终端设备BEG至期望多点传送服务的接入,因此ZKS_A将转移持续消息(HOAccept=移交接受)发送给BEG。该消息优选包含接入检查服务器ZKS-B和期望服务的标识ID_ZKS_B和ID_SVC’。ZKS_A向BEG发送BEG已经从ZKS_B获得的密钥BAK,而且是借助BEG的公共设备密钥K_PUB加密的。由于BEG知道属于K_PUB的私有设备密钥K_PRIV,BEG可以对BAK解密。BEG获得通过ID-SVC’识别并借助短期密钥(SK)加密的多点传送服务。除了加密的多点传送服务之外,BEG还获得未加密的随机值SK_RAND。在使用BAK和随机数SK_RAND的情况下,BEG可以计算短期密钥SK,由此对多点传送服务(内容’)解密。
在图3至图8所示出的实施例中,使用者终端设备BEG启动了从第一服务接入网络DZN-A到第二服务接入网络DZN-B的转移或更换。在替换实施例中,该更换通过接入检查服务器ZKS-A或ZKS-B启动。
在示出的实施例中,使用者终端设备BEG首先接收落在第一接入检查服务器ZKS-A的管辖范围内的广播服务。但是这不是必须的。只需要使用者终端设备BEG在第一接入检查服务器ZKS-A上验证和注册。
使用者终端设备BEG希望因为转移到第二接入检查服务器ZKS-B的管辖范围内而得到的广播或多点传送服务的数据内容,也就是通过ID_SVC’识别的广播服务,可以与属于广播服务ID_SVC的数据内容相同,或者属于另一种广播服务。由此可以通过不配对的方式使用本发明的方法,也就是说广播接入技术的更换不与应用层上的更换同时进行,或者广播接入技术的更换与应用层上的更换同时进行。
在图3至图8示出的实施例中,由第二接入检查服务器ZKS-B发送给第一接入检查服务器ZKS-A的访问确认消息(接入接受)获得密钥(MSK,SEK/PEK,BAK),对这些密钥的认识使得可以对广播服务解密。因此这些消息优选通过合适的措施,例如通过加密来防止未授权的监听。替换的,可以在访问确认消息(接入接受)中放弃密钥(MSK,SEK/PEK,BAK),而是发送该密钥的标识符,该标识符使得第一接入检查服务器ZKS-A可以向存储了该密钥的数据库查询所属的密钥。
如果第一服务接入网络DZN-A是3GPP服务接入网络,则第二接入技术的特定于服务的密钥,即在DVB-H 18Crypt情况下SEK/PEK以及在3GPP2-BCMSCS情况下的BAK,被直接用特定于用户的MBMS-用户密钥MUK加密,并被发送给使用者终端设备BEG。如果特定于用户的密钥MUK的应用范围不是按照这种方式扩展的,则在一个实施方式中密钥MUK只是作为输入来用于计算新的密钥K,该新的密钥代替特定于用户的密钥MUK而用于对SEK/PEK或BRK加密。在一个实施方式中,密钥K的计算还取决于其它数据,例如第二接入检查服务器ZKS-B的标识,第二接入检查服务器ZKS-B的IP地址以及随机数。用于计算该密钥的另一种可能是取决于密钥的哈希函数。
在本发明的系统中,接入检查服务器ZKS-A、ZKS-B接管多个功能,例如验证、注册、密钥分布、数据加密、用于转移到接入检查功能的消息的接收和发送。这些功能在本发明系统的替换实施方式中不是由唯一的一个服务器接管的,而是可以分布在不同的服务器上。
通过检查至广播服务的接入的接入检查服务器ZKS-A、ZKS-B的合作,支持快速和使用者友好地从一种广播接入技术转换到另一种广播接入技术,而移动终端设备BEG的用户不必在每个接入检查服务器ZKS中重新验证和注册到该接入检查服务器ZKS的想要接收广播服务的管辖范围内。
Claims (21)
1.一种用于从服务接入网络向移动终端设备(BEG)连续传送广播服务的加密数据的方法,这些服务接入网络具有不同的密钥分层结构,
其中移动终端设备(BEG)在从第一服务接入网络(DZN-A)更换到第二服务接入网络(DZN-B)时,接收第二服务接入网络(DZN-B)的密钥分层结构的、用第一服务接入网络(DZN-A)的特定于用户的密钥(MUK;K-PUB;TK)加密的密钥(SEK;PEK;MSK;BAK),其中移动终端设备(BEG)从第一服务接入网络(DZN-A)接收用第一数据内容加密密钥(MTK、TEK、SK)加密的广播服务数据,移动终端设备(BEG)从第二服务接入网络(DZN-B)接收用第二数据内容加密密钥(MTK、TEK、SK)加密的广播服务数据。
2.根据权利要求1所述的方法,其中,在验证了所述移动终端设备(BEG)之后在第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)中产生特定于用户的密钥(MUK;TK)。
3.根据权利要求1所述的方法,其中,所述移动终端设备(BEG)和第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)都具有所述特定于用户的密钥(MUK;K-PUB;TK)。
4.根据权利要求1所述的方法,其中,所述移动终端设备(BEG)从第一服务接入网络(DZN-A)的第一接入检查服务器(ZKS-A)接收用第一数据内容加密密钥(MTK、TEK、SK)加密的广播服务数据。
5.根据权利要求1所述的方法,其中,所述移动终端设备(BEG)从第二服务接入网络(DZN-B)的第二接入检查服务器(ZKS-B)接收用第二数据内容加密密钥(MTK、TEK、SK)加密的广播服务数据。
6.根据权利要求1所述的方法,其中,用特定于用户的密钥(MUK;K-PUB;TK)加密的密钥(SEK;PEK;MSK;BAK)从第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)传送给移动终端设备(BEG),并且通过移动终端设备(BEG)借助该移动终端设备(BEG)知道的特定于用户的密钥(MUK;K-PRIV;TK)解密。
7.根据权利要求6所述的方法,其中,所述移动终端设备(BEG)借助解密的密钥(SEK;PEK;MSK;BAK)对第二数据内容加密密钥(MTK、TEK、SK)解密或者推导,以由此对从第二接入检查服务器(ZKS-B)接收的、用第二数据内容加密密钥(MTK、TEK、SK)加密的广播服务数据解密。
8.根据权利要求1所述的方法,其中,所述移动终端设备(BEG)借助请求消息(HO-Request)向第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)要求从第一服务接入网络(DZN-A)更换到第二服务接入网络(DZN-B)。
9.根据权利要求8所述的方法,其中,所述请求消息(HO-Request)具有用户标识、第二服务接入网络(DZN-B)的接入检查服务器(ZKS-B)的标识以及广播服务的标识。
10.根据权利要求9所述的方法,其中,第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)将访问请求消息传送给第二服务接入网络(DZN-B)的接入检查服务器(ZKS-B),该访问请求消息包含用户标识、第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)的标识以及广播服务的标识。
11.根据权利要求10所述的方法,其中,第二服务接入网络(DZN-B)的接入检查服务器(ZKS-B)将访问确认消息回发给第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A),该访问确认消息包含用户标识、第二服务接入网络(DZN-B)的密钥分层结构的密钥(SEK;PEK;MSK;BAK)以及广播服务的标识。
12.根据权利要求11所述的方法,其中,第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)将更换确认消息(HO-Accept)传送给移动终端设备(BEG),该更换确认消息包含第二接入检查服务器(ZKS-B)的标识和广播服务的标识。
13.根据权利要求12所述的方法,其中,第一服务接入网络(DZN-A)的接入检查服务器(ZKS-A)将第二密钥分层结构的用特定于用户的密钥(MUK;K-PUB;TK)加密的密钥(SEK;PEK;MSK;BAK)用消息传送给移动终端设备(BEG)。
14.根据权利要求1所述的方法,其中,第一服务接入网络(DZN-A)通过3GPP服务接入网络、3GPP2服务接入网络或DVB-H服务接入网络形成。
15.根据权利要求1所述的方法,其中,第二服务接入网络(DZN-B)通过3GPP服务接入网络、3GPP2服务接入网络或DVB-H服务接入网络形成。
16.根据权利要求1所述的方法,其中,如果移动终端设备(BEG)移出第一服务接入网络(DZN-A)的发射有效范围,则从第一服务接入网络(DZN-A)更换到第二服务接入网络(DZN-B)通过第一服务接入网络的接入检查服务器(ZKS-A)自动执行。
17.根据权利要求1所述的方法,其中,移动终端设备(BEG)通过移动电话、膝上型电脑或PDA设备形成。
18.根据权利要求1所述的方法,其中,通过移动终端设备(BEG)接收的数据通过多媒体数据形成。
19.一种用于从服务接入网络(DZN)向移动终端设备(BEG)连续传送广播服务的加密数据的系统,这些服务接入网络具有不同的密钥分层结构,该系统具有:
(a)第一服务接入网络(DZN-A)的第一接入检查服务器(ZKS-A),该第一服务接入网络具有第一密钥分层结构,其中移动终端设备(BEG)从第一服务接入网络(DZN-A)的第一接入检查服务器(ZKS-A)接收用第一数据内容加密密钥(MTK、TEK、SK)加密的广播服务数据;
(b)第二服务接入网络(DZN-B)的第二接入检查服务器(ZKS-B),该第二服务接入网络(DZN-B)具有第二密钥分层结构,其中移动终端设备(BEG)从第二服务接入网络(DZN-B)的第二接入检查服务器(ZKS-B)接收用第二数据内容加密密钥(MTK、TEK、SK)加密的广播服务数据;
(c)其中移动终端设备(BEG)在从第一服务接入网络(DZN-A)更换到第二服务接入网络(DZN-B)时,获得第二服务接入网络(DZN-B)的密钥分层结构的、用第一服务接入网络(DZN-A)的特定于用户的密钥(MUK;K-PUB;TK)加密的密钥(SEK;PEK;MSK;BAK)。
20.根据权利要求19所述的系统,其中,用特定于用户的密钥(MUK;K-PUB;TK)加密的密钥(SEK;PEK;MSK;BAK)从第一服务接入网络(DZN-A)的第一接入检查服务器(ZKS-A)传送给移动终端设备(BEG),并且通过移动终端设备(BEG)借助该移动终端设备(BEG)知道的特定于用户的密钥(MUK;K-PRIV;TK)解密。
21.根据权利要求20所述的系统,其中,所述移动终端设备(BEG)借助解密的密钥(SEK;PEK;MSK;BAK)对第二数据内容加密密钥(MTK、TEK、SK)解密或者推导,以由此对从第二接入检查服务器(ZKS-B)接收的、用第二数据内容加密密钥(MTK、TEK、SK)加密的广播服务数据解密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102006042554A DE102006042554B4 (de) | 2006-09-11 | 2006-09-11 | Verfahren und System zum kontinuierlichen Übertragen von verschlüsselten Daten eines Broadcast-Dienstes an ein mobiles Endgerät |
| DE102006042554.5 | 2006-09-11 | ||
| PCT/EP2007/059365 WO2008031762A1 (de) | 2006-09-11 | 2007-09-07 | Verfahren und system zum kontinuierlichen übertragen von verschlüsselten daten eines broadcast-dienstes an ein mobiles endgerät |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101513011A CN101513011A (zh) | 2009-08-19 |
| CN101513011B true CN101513011B (zh) | 2013-04-03 |
Family
ID=38969581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800336491A Expired - Fee Related CN101513011B (zh) | 2006-09-11 | 2007-09-07 | 用于向移动终端设备连续传输广播服务的加密数据的方法和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8457318B2 (zh) |
| EP (1) | EP2062421B1 (zh) |
| JP (1) | JP4898919B2 (zh) |
| KR (1) | KR101527714B1 (zh) |
| CN (1) | CN101513011B (zh) |
| DE (1) | DE102006042554B4 (zh) |
| WO (1) | WO2008031762A1 (zh) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100922899B1 (ko) * | 2007-12-06 | 2009-10-20 | 한국전자통신연구원 | 이동단말의 핸드오버시 액세스망 접속인증 제어방법 및 그네트워크 시스템 |
| US8611210B2 (en) * | 2008-02-26 | 2013-12-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for reliable broadcast/multicast service |
| KR101465263B1 (ko) * | 2008-06-11 | 2014-11-26 | 삼성전자주식회사 | 휴대 방송 시스템에서 암호화 키 분배 방법 및 이를 위한시스템 |
| KR20100047651A (ko) * | 2008-10-29 | 2010-05-10 | 삼성전자주식회사 | 유료 채널 제공을 위한 암호키 획득 방법 및 장치 |
| US8509448B2 (en) * | 2009-07-29 | 2013-08-13 | Motorola Solutions, Inc. | Methods and device for secure transfer of symmetric encryption keys |
| JP5582321B2 (ja) * | 2009-12-17 | 2014-09-03 | インテル・コーポレーション | 複数のコンピューティング装置に対する1対多データ送信を促進する方法およびシステム |
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
| CN102195775B (zh) * | 2010-03-15 | 2016-03-02 | 中兴通讯股份有限公司 | 一种云计算密钥的加密和解密方法及装置 |
| CN101860406B (zh) * | 2010-04-09 | 2014-05-21 | 北京创毅视讯科技有限公司 | 一种中央处理器、移动多媒体广播的装置、系统及方法 |
| CN102299797A (zh) * | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
| CN102404629B (zh) * | 2010-09-17 | 2014-08-06 | 中国移动通信有限公司 | 电视节目数据的处理方法及装置 |
| DE102011002703A1 (de) * | 2011-01-14 | 2012-07-19 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Bereitstellen eines kryptographischen Schlüssels für ein Feldgerät |
| KR20130024996A (ko) | 2011-08-24 | 2013-03-11 | 한국전자통신연구원 | 멀티캐스트 환경에서 싱글 버퍼 해시를 이용한 소스 인증 방법 및 장치 |
| JP5692399B2 (ja) * | 2011-09-21 | 2015-04-01 | 富士通株式会社 | 無線通信システム、無線基地局、無線端末及び通信制御方法 |
| US9078130B2 (en) * | 2012-04-10 | 2015-07-07 | Qualcomm Incorporated | Secure reception reporting |
| EP2847973B1 (en) * | 2012-05-03 | 2016-11-16 | Telefonaktiebolaget LM Ericsson (publ) | Centralized key management in embms |
| CA2884258C (en) | 2012-09-17 | 2017-11-28 | Nokia Corporation | Security for mobility between mbms servers |
| JP2015530767A (ja) * | 2012-09-28 | 2015-10-15 | 日本電気株式会社 | 通信システム、制御装置、制御方法及びプログラム |
| WO2014113193A1 (en) * | 2013-01-17 | 2014-07-24 | Intel IP Corporation | Dash-aware network application function (d-naf) |
| US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
| US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US10498530B2 (en) | 2013-09-27 | 2019-12-03 | Network-1 Technologies, Inc. | Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys |
| US10700856B2 (en) | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
| US9853977B1 (en) | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
| US10313455B2 (en) * | 2015-08-31 | 2019-06-04 | Ayla Networks, Inc. | Data streaming service for an internet-of-things platform |
| US10291603B2 (en) * | 2016-04-07 | 2019-05-14 | Verizon Patent And Licensing Inc. | Registering a smart device with a registration device using a multicast protocol |
| EP3402152B1 (de) * | 2017-05-08 | 2019-10-16 | Siemens Aktiengesellschaft | Anlagenspezifisches, automatisiertes zertifikatsmanagement |
| CN110138552B (zh) * | 2019-05-08 | 2021-07-20 | 北京邮电大学 | 多用户量子密钥供应方法及装置 |
| EP3772795A1 (de) * | 2019-08-05 | 2021-02-10 | Siemens Aktiengesellschaft | Registrieren eines geräts bei einer recheneinrichtung |
| WO2021138801A1 (zh) * | 2020-01-07 | 2021-07-15 | Oppo广东移动通信有限公司 | 一种业务安全传输方法及装置、终端设备、网络设备 |
| US11652646B2 (en) * | 2020-12-11 | 2023-05-16 | Huawei Technologies Co., Ltd. | System and a method for securing and distributing keys in a 3GPP system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547836A (zh) * | 2001-08-24 | 2004-11-17 | ��ķɭ���ó��˾ | 本地数字网络、安装新设备的方法及数据广播和接收方法 |
| WO2005027560A1 (en) * | 2003-09-12 | 2005-03-24 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6370380B1 (en) * | 1999-02-17 | 2002-04-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for secure handover |
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| JP3870081B2 (ja) * | 2001-12-19 | 2007-01-17 | キヤノン株式会社 | 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体 |
| EP1500223B1 (en) * | 2002-04-26 | 2017-11-01 | Thomson Licensing | Transitive authentication authorization accounting in interworking between access networks |
| EP1543434B1 (en) * | 2002-09-17 | 2011-11-09 | Broadcom Corporation | System for transfer of authentication during access device handover |
| US7792527B2 (en) * | 2002-11-08 | 2010-09-07 | Ntt Docomo, Inc. | Wireless network handoff key |
| WO2004077747A1 (en) * | 2003-02-27 | 2004-09-10 | Koninklijke Philips Electronics N.V. | Method and system for improved handoff of a mobile device between wireless subnetworks |
| US8098818B2 (en) * | 2003-07-07 | 2012-01-17 | Qualcomm Incorporated | Secure registration for a multicast-broadcast-multimedia system (MBMS) |
| US7308100B2 (en) * | 2003-08-18 | 2007-12-11 | Qualcomm Incorporated | Method and apparatus for time-based charging for broadcast-multicast services (BCMCS) in a wireless communication system |
| JP4446067B2 (ja) * | 2004-08-12 | 2010-04-07 | 独立行政法人産業技術総合研究所 | 光触媒性能とヒートミラー性能を併せ持つ透明基材及びその製造方法 |
| KR100762644B1 (ko) * | 2004-12-14 | 2007-10-01 | 삼성전자주식회사 | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 |
| GB2423221A (en) * | 2005-02-14 | 2006-08-16 | Ericsson Telefon Ab L M | Key delivery method involving double acknowledgement |
-
2006
- 2006-09-11 DE DE102006042554A patent/DE102006042554B4/de not_active Expired - Fee Related
-
2007
- 2007-09-07 JP JP2009527788A patent/JP4898919B2/ja not_active Expired - Fee Related
- 2007-09-07 US US12/310,886 patent/US8457318B2/en not_active Expired - Fee Related
- 2007-09-07 CN CN2007800336491A patent/CN101513011B/zh not_active Expired - Fee Related
- 2007-09-07 KR KR1020097007440A patent/KR101527714B1/ko not_active IP Right Cessation
- 2007-09-07 EP EP07803319.8A patent/EP2062421B1/de not_active Not-in-force
- 2007-09-07 WO PCT/EP2007/059365 patent/WO2008031762A1/de active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547836A (zh) * | 2001-08-24 | 2004-11-17 | ��ķɭ���ó��˾ | 本地数字网络、安装新设备的方法及数据广播和接收方法 |
| WO2005027560A1 (en) * | 2003-09-12 | 2005-03-24 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010503354A (ja) | 2010-01-28 |
| DE102006042554A1 (de) | 2008-03-20 |
| KR101527714B1 (ko) | 2015-06-10 |
| KR20090067170A (ko) | 2009-06-24 |
| DE102006042554B4 (de) | 2009-04-16 |
| US20090282246A1 (en) | 2009-11-12 |
| EP2062421B1 (de) | 2016-11-30 |
| CN101513011A (zh) | 2009-08-19 |
| US8457318B2 (en) | 2013-06-04 |
| EP2062421A1 (de) | 2009-05-27 |
| WO2008031762A1 (de) | 2008-03-20 |
| JP4898919B2 (ja) | 2012-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101513011B (zh) | 用于向移动终端设备连续传输广播服务的加密数据的方法和系统 | |
| CN1933393B (zh) | 用于内容保护的实体间连接方法、设备和系统 | |
| CA2496677C (en) | Method and apparatus for secure data transmission in a mobile communication system | |
| CN100481762C (zh) | 用于数据处理系统内安全性的方法和装置 | |
| CA2442656C (en) | Method and apparatus for security in a data processing system | |
| US20070189535A1 (en) | Method and apparatus for protecting contents supporting broadcast service between service provider and a plurality of mobile stations | |
| KR101514840B1 (ko) | 휴대 방송 시스템에서의 암호화 키 분배 방법 및 이를 위한시스템 | |
| WO2008040201A1 (fr) | Procédé d'obtention d'une clé à long terme (ltk) et serveur de gestion d'abonnement associé | |
| CN101009553A (zh) | 实现多网融合移动多媒体广播系统密钥安全的方法和系统 | |
| CN101981864A (zh) | 通信系统中用于使用加密密钥提供广播服务的方法和装置 | |
| CN100403814C (zh) | 一种组播广播业务密钥控制方法 | |
| US8417933B2 (en) | Inter-entity coupling method, apparatus and system for service protection | |
| CN1993920B (zh) | 数据处理系统中的安全方法和装置 | |
| CN101119200A (zh) | 用于提供广播/多播业务的方法、网络单元、终端和系统 | |
| CN100484266C (zh) | 移动终端使用广播/组播业务内容的方法 | |
| KR20070089027A (ko) | 휴대 방송 시스템에서 방송 서비스/컨텐츠 보호 방법과시스템 및 이를 위한 암호키와 메시지 생성 방법 | |
| CN1997147A (zh) | 一种手机电视业务内容保护方法 | |
| CN101087188B (zh) | 无线网络中mbs授权密钥的管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130403 Termination date: 20200907 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |