CN100403814C - 一种组播广播业务密钥控制方法 - Google Patents

一种组播广播业务密钥控制方法 Download PDF

Info

Publication number
CN100403814C
CN100403814C CNB2004100972851A CN200410097285A CN100403814C CN 100403814 C CN100403814 C CN 100403814C CN B2004100972851 A CNB2004100972851 A CN B2004100972851A CN 200410097285 A CN200410097285 A CN 200410097285A CN 100403814 C CN100403814 C CN 100403814C
Authority
CN
China
Prior art keywords
travelling carriage
key
pki
mbs
multicast broadcast
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB2004100972851A
Other languages
English (en)
Other versions
CN1780413A (zh
Inventor
肖正飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Global Innovation Polymerization LLC
Gw Partnership Co ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB2004100972851A priority Critical patent/CN100403814C/zh
Publication of CN1780413A publication Critical patent/CN1780413A/zh
Application granted granted Critical
Publication of CN100403814C publication Critical patent/CN100403814C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及组播广播业务,尤其涉及一种组播广播业务密钥控制方法,以保证业务密钥的安全。所述方法包括下列步骤:为移动台设置公钥及其对应的私钥;组播广播业务分发服务器利用所述公钥加密组播广播业务密钥,并发送给移动台;移动台利用所述私钥解密收到的组播广播业务密钥。在移动台中设置防拆密码模块保存所述私钥,并利用所述私钥解密收到的组播广播业务密钥信息。为保证组播广播业务分发服务器安全获取公钥,可以通过在独立的安全中心登记用户标志信息和对应的公钥,或者通过为移动台签发包括公钥的数字证书实现。

Description

一种组播广播业务密钥控制方法
技术领域
本发明涉及组播广播业务,尤其涉及一种组播广播业务密钥控制方法。
背景技术
组播和广播是一种从一个数据源向多个目标传送数据的技术,在传统移动网络中,小区广播业务(CBS:Cell Broadcast Service)允许低比特率数据通过小区共享广播信道向所有用户发送,属于消息类业务。现在,人们对移动通信的需求已不再满足于电话和消息业务,随着互联网的迅猛发展,大量多媒体业务涌现出来,其中一些应用业务要求多个用户能同时接收相同数据,如视频点播、电视广播、视频会议、网上教育、互动游戏等。这些移动多媒体业务与一般的数据相比,具有数据量大、持续时间长、时延敏感等特点。目前的IP组播技术只适用于有线IP网络,不适用于移动网络,因为移动网络具有特定的网络结构、功能实体和无线接口,这些都与有线IP网络不同。
为了有效地利用移动网络资源,一方面,宽带码分多址系统(WCDMA:Wide-band Code Division Multiple Addressing)/全球移动通信系统(GSM:Global System for Mobile communications)的全球标准化组织3GPP提出了多媒体组播和广播业务(MBMS:Multimedia Broadcast/Multicast Service);另一方面,在IEEE802.16的最新协议IEEE802.16e/D5中也引入了组播广播业务(MBS:Multicast and Broadcast Service),这些业务在移动网络中由一个数据源向多个用户发送数据。在移动网络中由一个数据源向多个用户发送数据的点到多点业务,实现了网络资源共享,提高了网络资源,尤其是空口接口资源的利用率。新提供的MBMS或MBS不仅能实现纯文本低速率的消息类组播和广播,而且还能实现高速多媒体业务的组播和广播,这无疑顺应了未来移动数据发展的趋势。
MBS业务的网络结构如图1所示,为了支持MBS业务,新增了移动网功能实体——组播广播业务分发服务器(MBS server),一方面,它是内容提供者的入口,另一方面,它要规划下属基站(BS:Base Station)的组播广播数据的发送,并且分发组播广播数据给下属的BS,此外,MSS、BS等功能实体进行增强,增加了与MBS业务相关的功能。
MBS业务操作主要包括以下几个部分:MBS业务列表信息获取、MBS业务鉴权与加密密钥获取、MBS业务正常接收。
如图2所示,MBS业务列表信息获取主要包括步骤1~3:
1、移动台(MSS:Mobile Subscribe Station)决定查询MBS业务内容列表,寻找相关的内容服务器;
2、MSS给一个或多个MBS服务器(MBS server)发送一个[HTTP]Request;
3、MBS服务器(MBS server)发送一个[HTTP]Response,其中包括MBS内容列表,组播IP地址/端口号等;
如图3所示,MBS业务鉴权与加密密钥获取主要包括步骤4~8:
4、在获取MBS业务的内容列表信息以后,MSS发送DSA-REQ消息给BS,其中包括选定接收的MBS业务的组播IP地址/端口号;
5、BS发送DSX-RVD消息,同时进行MBS业务内容接收的鉴权过程;
6、经过成功的鉴权和授权过程以后,BS发送DSA-RSP消息,其中包括MBS下行业务参数(例如MBS SA-ID等);
7、MSS发送PKM-REQ消息给BS,以获取MBS密钥,用该密钥解密接收到的MBS业务数据;
8、BS发送PKM-RSP消息给MSS,其中包括MBS业务密钥;
在获取MBS下行业务参数和MBS密钥以后,MSS利用得到的信息接收相关MAC PDU,进入正常的MBS业务接收状态。MBS业务正常接收主要指利用接收到的MBS下行业务参数对MBS业务内容的接收过程。在目前的标准草案中,MBS下行业务参数主要包括MBS zone identifier、Multicast CID。
公开密钥密码体系,又称为非对称密码体系,即加密密钥和解密密钥不同。可以公开的密钥叫做公钥,需要保密的密钥叫做私钥,由公钥很难导出私钥。用公钥加密的数据可以用私钥解密,反之,用私钥加密的数据也可以用公钥解密。利用公开密钥密码系统,可以提供数字签名服务。数字签名是指发送方用自己的私钥对信息进行加密,任何拥有与该私钥对应的公钥的人都可以将之解密,因为私钥只有发送方拥有,且保持秘密,其他实体不可能仿造发送方的签名,所以可以看作是发送方对信息的签名。
1978年Kohnfelder在他的学士论文中引入了公钥证书的概念,即通过证书把公钥传递给一个公钥使用者。公钥证书一般由权威机构(如安全认证中心(CA:Certification Authority))签发,采用数字签名技术将实体的姓名及其他个人身份信息和公钥绑定。目前,常用的证书有许多种不同的类型,如X.509证书等。
防拆密码模块是密钥管理中用到的一种常见技术,一般应用在智能卡业务中。防拆密码模块是通过某种特殊制造工艺,将密钥等重要信息封装在一个模块中,不能通过读指令从该模块中读取这些密钥信息,同时,也不能通过拆卸该模块获得内部存储信息,如果试图拆卸该模块,该模块会自动清除模块内存储的密钥信息。
MBS业务是在无线广播信道上发送的,每个MSS都能在广播信道上收取这些数据,但是由于对数据进行了加密,所以只有注册了某种MBS业务MSS才能对该MBS业务的数据进行解密并接收这种MBS业务。
由于MBS业务是在某个MBS域(Zone)内广播发送的,要求该MBS Zone内所有注册了这种MBS业务的MSS都能无缝的接收MBS业务,因此同一个MBS业务数据在同一个MBS Zone内使用同样的密钥进行加密。为了使注册了某种MBS业务的MSS能够正确接收这种业务的广播数据,当MSS向MBS服务器请求它注册的某种MBS服务时,MBS服务器向经过鉴权的MSS通过密钥交换过程分发该MBS业务的加密密钥。
由于同一个MBS业务的数据是通过相同的加密密钥加密后在无线信道上广播的,这样就存在一个问题,如何保证加密密钥发送过程中的安全,以及防止注册了某MBS业务的用户把获得的MBS业务密钥故意泄露或匿名散布给其它未注册用户,就以上问题,MBS业务密钥管理没有提供任何保证机制。
发明内容
本方法为组播广播业务提供一种安全发放业务密钥的控制方法,以保证业务密钥的安全,所述的组播广播业务密钥控制方法通过下列步骤实现:
A:为移动台设置公钥及其对应的私钥,所述的移动台设置有防拆密码模块保存所述私钥;
B:组播广播业务分发服务器利用所述公钥加密组播广播业务密钥,并发送给移动台;
C:防拆密码模块利用所述私钥解密移动台接收的组播广播业务密钥并保存,利用所述组播广播业务密钥解密移动台接收的组播广播业务数据。
所述公钥和私钥由独立的安全中心设置,并由所述安全中心将移动台的私钥保存到其防拆密码模块中。
所述步骤A和B之间还包括步骤:A1:所述安全中心建立公钥库登记移动台的标识信息及其对应的公钥。
移动台向组播广播业务分发服务器发送其标识信息;
组播广播业务分发服务器根据移动台的标识信息,通过安全通道从安全中心中查找对应的公钥。
由所述安全中心为移动台签发数字证书,所述数字证书包括移动台的标识信息和公钥。
移动台向组播广播业务分发服务器发送所述数字证书;
组播广播业务分发服务器验证所述数字证书并提取该移动台的标识信息和公钥。
所述的控制方法还包括步骤D:移动台接收来自组播广播业务分发服务器的组播广播业务数据,并将所述组播广播业务数据输入所述防拆密码模块进行解密。
使用本发明所述的组播广播业务密钥控制方法,能够有效防止业务密钥在发放过程中被窃取,并阻止注册用户获取业务密钥后故意泄露或匿名散布给未注册用户。
附图说明
图1为MBS业务的网络结构示意图;
图2为移动台获取MBS业务列表的信息交互流程图;
图3为移动台获取MBS业务下行参数和加密密钥的信息交互流程图;
图4为实施例一流程图。
具体实施方式
为了正确接收MBS业务数据,注册了某种MBS业务的用户必须持有MBS业务密钥,而且这些密钥一定是通过鉴权和密钥交换从MBS服务器中得到。为了防止业务密钥在交换过程中被窃取,利用公开密钥密码体系由独立的安全中心为每一个移动台生成一对公钥和私钥,MBS服务器利用公钥加密MBS业务密钥后,再将其发送给移动台,移动台收到后利用私钥解密得到MBS业务密钥。
进一步,将公开密钥密码体系和防拆密码模块结合使用,将用户的私钥和业务密钥保存在防拆密码模块中,这样使得获得MBS业务的加密密钥的注册用户仍然没有办法接触并散布该业务密钥,从而防止注册用户泄露或散布自己的业务密钥。这种方案要求每个用户的MSS设备上都有一个防拆密码模块,该模块中存储着它的公开密钥对中的私钥,同时该模块中还集成了数据加密解密(包括公开密钥算法和对称密钥算法)模块具体执行加解密操作。MSS与MBS服务器进行鉴权和密钥交换过程中,MBS服务器通过安全的途径获得与MSS设备的防拆密码模块中存储的私钥相匹配的公钥,MBS服务器将MBS业务的加密密钥用该公钥加密,并发送给MSS,MSS必须将收到的这个消息输入到防拆密码模块中进行解密才能得到MBS业务密钥。MSS收到的MBS组播广播业务数据后也必须送到防拆密码模块中进行解密。这样,就阻止了用户直接接触MBS业务密钥,有效防止了密钥的故意泄露和匿名散布。
采用这种方案,需要解决的具体问题就是保证MBS服务器能够正确和安全地获得MSS的公钥,因为用户和攻击者都可能会自己生成公开密钥对,并将密钥对中的公钥发送给MBS服务器,如果MBS不能判断公钥是否与MSS设备的防拆密码模块中存储的私钥相匹配。当它用该公钥加密组播广播业务密钥并发送给用户时,用户或攻击者就可以用它自己生成的公开密钥对中的私钥将消息解开,得到MBS业务密钥。
一般可以通过下述两种方法,使MBS服务器能够正确和安全地得到与MSS设备防拆密码模块中的私钥相匹配的公钥。
实施例一:设置公钥库的方法
如图4所示,MSS设备在出厂前需要在一个MSS公钥库(如KDC:KeyDistribution Center密钥分配中心)中登记,登记的信息包括该MSS的一个唯一标识信息和公钥,公钥库由独立的安全中心设置并维护,安全中心具体负责生成公钥和私钥,并将私钥加载到移动台的防拆密码模块中。MSS在与MBS进行鉴权和密钥交换时,MSS向MBS发送它的唯一标识信息,MBS根据这个唯一标识,通过与安全中心之间建立的安全的通道,从MSS公钥库中得到MSS的公钥,并用该公钥对它产生的MBS业务密钥进行加密,将加密后的密钥信息发送给MSS,MSS在收到这个加密后的MBS业务密钥信息后,必须将它送到防拆卸的密码模块中用它的私钥解密才能得到MBS业务加密密钥。MSS在收到加密后的MBS业务数据后,也必须送到该密码模块中进行解密。这样就防止了用户直接接触MBS业务密钥,有效的减小了用户故意泄露或匿名散布MBS业务加密密钥的风险。
实施例二:签发公钥数字证书的方法
每个MSS设备在出厂后都获得一个由设备供应商或其它安全认证中心(CA:Certification Authority)机构签发的数字证书,该证书中包含了MSS的公钥,还可以包括以公钥验证信息,MBS服务器用该验证信息对公钥进行合法性验证。MSS在向MBS服务器请求获取MBS业务密钥的过程中需要向MBS服务器发送该数字证书。MBS服务器在获得该数字证书后,对该数字证书进行验证,得到MSS的公钥,并将该MSS注册的MBS业务密钥用该MSS的公钥加密后发送给MSS。MSS获得加密后的业务密钥信息后,必须将它送到防拆卸的密码模块中用它的私钥解密才能得到MBS业务加密密钥。MSS在收到加密后的MBS业务数据后,也必须送到该密码模块中进行解密。这样就防止了用户直接接触MBS业务密钥,有效的减小了用户故意泄露或匿名散布MBS业务加密密钥的风险。
本发明提供了一种控制方法以保证MSS业务密钥的安全发放、并防止其被故意泄露或匿名散布,本方法适用于所有MBS业务。

Claims (8)

1.一种组播广播业务密钥控制方法,其特征在于,包括下列步骤:
A:为移动台设置公钥及其对应的私钥,所述的移动台设置有防拆密码模块保存所述私钥;
B:组播广播业务分发服务器利用所述公钥加密组播广播业务密钥,并发送给移动台;
C:防拆密码模块利用所述私钥解密移动台接收的组播广播业务密钥并保存,利用所述组播广播业务密钥解密移动台接收的组播广播业务数据。
2.如权利要求1所述的控制方法,其特征在于:所述公钥和私钥由独立的安全中心设置,并由所述安全中心将私钥保存到移动台的防拆密码模块中。
3.如权利要求2所述的控制方法,其特征在于:所述步骤A和B之间还包括步骤:
A1:所述安全中心建立公钥库登记移动台的标识信息及其对应的公钥。
4.如权利要求3所述的控制方法,其特征在于,所述步骤A1和B之间还包括下列步骤:
移动台向组播广播业务分发服务器发送其标识信息;
组播广播业务分发服务器根据移动台的标识信息,通过安全通道从所述公钥库中查找对应的公钥。
5.如权利要求4所述的控制方法,其特征在于,所述标识信息随移动台的组播广播业务密钥请求消息一起发送给组播广播业务分发服务器。
6.如权利要求2所述的控制方法,其特征在于,所述步骤A和B之间还包括步骤:
a1:由所述安全中心为移动台签发数字证书,所述数字证书包括移动台的公钥。
7.如权利要求6所述的控制方法,其特征在于,所述步骤a1和B之间还包括下列步骤:
移动台向组播广播业务分发服务器发送所述数字证书;
组播广播业务分发服务器验证所述数字证书并获取该移动台的公钥。
8.如权利要求7所述的控制方法,其特征在于:所述数字证书随移动台的组播广播业务密钥请求消息一起发送给组播广播业务分发服务器。
CNB2004100972851A 2004-11-25 2004-11-25 一种组播广播业务密钥控制方法 Expired - Fee Related CN100403814C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB2004100972851A CN100403814C (zh) 2004-11-25 2004-11-25 一种组播广播业务密钥控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2004100972851A CN100403814C (zh) 2004-11-25 2004-11-25 一种组播广播业务密钥控制方法

Publications (2)

Publication Number Publication Date
CN1780413A CN1780413A (zh) 2006-05-31
CN100403814C true CN100403814C (zh) 2008-07-16

Family

ID=36770493

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2004100972851A Expired - Fee Related CN100403814C (zh) 2004-11-25 2004-11-25 一种组播广播业务密钥控制方法

Country Status (1)

Country Link
CN (1) CN100403814C (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11134377B2 (en) 2014-12-02 2021-09-28 Advanced New Technologies Co., Ltd. Encrypting/decrypting data on mobile terminal

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094439B (zh) * 2006-06-23 2011-05-04 华为技术有限公司 无线通信系统中为广播业务动态分配资源的方法及装置
WO2008040238A1 (fr) 2006-09-19 2008-04-10 Huawei Technologies Co., Ltd. Procédé d'ajout à un terminal d'un service de diffusion sélective dans un réseau sans fil et système de mise en oeuvre associé
CN101150467B (zh) * 2006-09-19 2011-12-21 华为技术有限公司 通信系统及终端加入组播广播业务的方法
WO2008040242A1 (fr) * 2006-09-20 2008-04-10 Huawei Technologies Co., Ltd. Procédé, réseau et dispositif de terminal permettant d'obtenir une clé de service de multidiffusion/diffusion
CN101150396B (zh) * 2006-09-20 2012-04-25 华为技术有限公司 组播广播业务的密钥获取方法、网络及终端设备
CN100463391C (zh) 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
CN101170404B (zh) * 2006-10-24 2010-05-19 华为技术有限公司 对指定组群进行密钥配置的方法
CN101370248B (zh) * 2007-08-15 2011-12-07 中国移动通信集团公司 密钥更新方法、第三方服务器及激活第三方应用的系统
CN101494821B (zh) * 2008-01-24 2012-10-10 中兴通讯股份有限公司 接收组播广播业务节目的方法
CN101364865B (zh) * 2008-09-19 2012-02-01 西安西电捷通无线网络通信股份有限公司 一种无线城域网组播密钥管理方法
CN101568110A (zh) * 2009-05-21 2009-10-28 中兴通讯股份有限公司 一种无线数据传输方法及系统
CN101873468A (zh) * 2010-05-31 2010-10-27 中山大学深圳研究院 一种数字电视条件接收系统、设备及方法
CN101883118B (zh) * 2010-07-08 2012-10-17 长春吉大正元信息技术股份有限公司 针对大数据量的数字签名方法
CN103338437B (zh) * 2013-07-11 2016-06-08 成都三零瑞通移动通信有限公司 一种移动即时消息的加密方法及系统
CN106302335B (zh) 2015-05-22 2020-02-07 杭州海康威视数字技术股份有限公司 网络监控设备及重置其密码的方法、装置和系统、服务器
CN109347627B (zh) * 2018-09-19 2023-08-29 平安科技(深圳)有限公司 数据加解密方法、装置、计算机设备及存储介质
CN114422118A (zh) * 2021-12-17 2022-04-29 浙江中控技术股份有限公司 一种工业控制器多播通讯密钥分发方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11262069A (ja) * 1998-03-12 1999-09-24 Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk 移動通信ダイナミックセキュアグルーピング通信方式
EP1119132A2 (en) * 2000-01-19 2001-07-25 Research In Motion Limited Broadcasting encrypted messages using session keys
CN1450751A (zh) * 2002-04-09 2003-10-22 华为技术有限公司 一种多播业务密钥的分发方法
CN1463117A (zh) * 2003-05-22 2003-12-24 中国科学院计算技术研究所 网络计算机通信系统和面向用户的网络层安全通信方法
CN1472914A (zh) * 2003-06-27 2004-02-04 武汉理工大学 一种高效快捷的公钥加密方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11262069A (ja) * 1998-03-12 1999-09-24 Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk 移動通信ダイナミックセキュアグルーピング通信方式
EP1119132A2 (en) * 2000-01-19 2001-07-25 Research In Motion Limited Broadcasting encrypted messages using session keys
CN1450751A (zh) * 2002-04-09 2003-10-22 华为技术有限公司 一种多播业务密钥的分发方法
CN1463117A (zh) * 2003-05-22 2003-12-24 中国科学院计算技术研究所 网络计算机通信系统和面向用户的网络层安全通信方法
CN1472914A (zh) * 2003-06-27 2004-02-04 武汉理工大学 一种高效快捷的公钥加密方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11134377B2 (en) 2014-12-02 2021-09-28 Advanced New Technologies Co., Ltd. Encrypting/decrypting data on mobile terminal

Also Published As

Publication number Publication date
CN1780413A (zh) 2006-05-31

Similar Documents

Publication Publication Date Title
CN100403814C (zh) 一种组播广播业务密钥控制方法
RU2333608C2 (ru) Способ и устройство для обеспечения защиты в системе обработки данных
CA2442656C (en) Method and apparatus for security in a data processing system
CN101110678B (zh) 用于移动通信系统内安全数据传输的方法和装置
US8457318B2 (en) Method and system for continuously transmitting encrypted data of broadcast service to mobile terminal
CN1868162B (zh) 向通信系统中的广播多播通信提供已验证询问的方法和设备
AU2002342014A1 (en) Method and apparatus for security in a data processing system
KR100663443B1 (ko) 서비스 보호를 위한 구조 및 개체간 연동 방법 및 장치그리고 그 시스템
Mohamed et al. OMAC: a new access control architecture for overlay multicast communications
CN101087188B (zh) 无线网络中mbs授权密钥的管理方法及系统
CN102857870B (zh) 加密的手机小区广播服务方法
Bai et al. Security mechanism for the interactive satellite remote education system based on dtn

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20180528

Address after: California, USA

Patentee after: Global innovation polymerization LLC

Address before: London, England

Patentee before: GW partnership Co.,Ltd.

Effective date of registration: 20180528

Address after: London, England

Patentee after: GW partnership Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20080716

CF01 Termination of patent right due to non-payment of annual fee