CN101009551B - 基于ip多媒体子系统的媒体流的密钥管理系统和方法 - Google Patents
基于ip多媒体子系统的媒体流的密钥管理系统和方法 Download PDFInfo
- Publication number
- CN101009551B CN101009551B CN200610033380.4A CN200610033380A CN101009551B CN 101009551 B CN101009551 B CN 101009551B CN 200610033380 A CN200610033380 A CN 200610033380A CN 101009551 B CN101009551 B CN 101009551B
- Authority
- CN
- China
- Prior art keywords
- key
- application server
- terminal
- streaming media
- kek
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000007726 management method Methods 0.000 claims abstract description 85
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000001960 triggered effect Effects 0.000 claims description 9
- 230000011664 signaling Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/61—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
- H04L65/611—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for multicast or broadcast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Abstract
本发明涉及一种基于IP多媒体子系统的媒体流的密钥管理方法,其由应用服务器和流媒体服务器统一进行密钥的获取和下发控制,应用服务器可以直接下发媒体流加密密钥TEK给终端和流媒体服务器,该媒体流加密密钥直接用于加密流媒体服务器和终端之间的流媒体内容;应用服务器也可以采用分层的密钥管理方式,它可以下发密钥加密密钥KEK给终端和流媒体服务器,通过KEK,再进行TEK的分发。本发明还涉及一种基于IP多媒体子系统的媒体流的密钥管理系统。本发明的密钥管理系统和方法使得密钥管理功能简单化,清晰化,另外,流媒体服务器不需要保存和终端之间的密钥信息,这些密钥通过和应用服务器的交互获得,从而减少了流媒体服务器的密钥管理开销,提高流媒体服务器效率。
Description
技术领域
本发明涉及一种IP多媒体子系统(IP Multimedia Subsystem,IMS),尤其涉及一种基于IMS的媒体流的密钥管理系统和方法。
背景技术
流媒体业务是近几年迅速发展起来的一种新业务,流媒体业务利用流式传输技术,在包交换网络上传输多媒体文件,包括视频、音频等文件内容。这些多媒体文件在访问时无需完全下载就可以立即播放。流媒体业务实现的关键技术就是流式传输技术,而流式传输技术是把连续的视频和音频信息经过处理后放上网站服务器,让用户一边下载一边观看、收听,而不需要等整个文件下载到自己机器后才可以观看的网络传输技术。
IMS是3GPP R5/R6标准定义的一个IP多媒体子系统,IMS采用IP分组域作为其控制信令和媒体传输的承载通道,其采用SIP协议(Session Initiation Protocol,会话初始协议)作为呼叫控制信令,实现了业务管理、会话控制及承载接入的三者分离。
基于IMS开展流媒体业务,可以充分利用IMS网络的现有特点,重用IMS网络架构中的功能,如认证,计费等,从而使得流媒体业务可以高效快速地开展。
媒体流的安全是流媒体业务中需要考虑的一个很重要的方面。如何有效地保证媒体流的传输安全,使得媒体流在传输过程中不被非法拷贝,涉及到内容提供商的合法利益;同时,对媒体流进行安全保护,也保护了用户的个人隐私不被非法的窃取。
现有技术中,对媒体流进行保护是通过流媒体服务器和终端之间直接协商用于媒体流保护的密钥,流媒体服务器和终端共享该密钥并用该密钥加密媒体内容。具体如下:
1.流媒体服务器和终端之间基于对称密钥架构,相互之间共享密钥K;
2.基于该共享的密钥K,流媒体服务器和终端协商媒体流加密密钥Kt;
3.流媒体服务器用密钥加密密钥Kt加密媒体流,并传送给终端,终端用Kt解密收到的媒体流,播放节目。
上述方案的基本思想是基于事先共享的对称密钥K,在流媒体服务器和终端之间直接进行密钥的协商。
一般来说,这种密钥管理方式需要流媒体服务器和终端事先共享某些信息,如对称密钥,以此为基础,它们才可以启动媒体流加密密钥的协商。但流媒体业务中,同一个流媒体服务器同时为成百上千个用户服务,在这种架构下,流媒体服务器需要为每一个用户保存初始的对称密钥。这种密钥管理方式给流媒体服务器造成了比较大的负担。
当不同的终端请求同一个媒体内容时,由于协商过程中不同的终端传送的协商密钥所使用的信息不同,所以不同的用户会获得不同的媒体流加密密钥,从而流媒体服务器需要对同一个内容进行多次的加密处理。这对某些安全性要求相对较低的应用,如电视广播,是没有必要的。广播节目一般只需在流媒体服务器上经过一次加密处理,同时为多个用户提供服务,多个用户使用相同的密钥。对这类应用,如果对不同的用户分别加密,会极大地增加流媒体服务器的运算开销和存储要求,降低流媒体服务器的效率。
发明内容
本发明所要解决的技术问题在于提供一种可减少流媒体服务器的密钥管理开销,提高流媒体服务器效率的基于IP多媒体子系统的媒体流的密钥管理系统和方法。
为解决上述技术问题,本发明所采用的技术方案是:提供一种基于IP多媒体子系统的媒体流的密钥管理系统,其包括终端和流媒体服务器,其还包括代理CSCF、服务CSCF和应用服务器,其中,该代理CSCF用于接收终端向应用服务器发出的流媒体业务请求,并转送到服务CSCF,以及接收由服务CSCF转发的密钥,并转送到终端;该服务CSCF用于把该请求触发到应用服务器进行流媒体业务请求,以及接收应用服务器下发的密钥,并转送到代理CSCF或流媒体服务器;该应用服务器用于接收终端发出的流媒体业务请求,并生成密钥,将该密钥下发给终端和流媒体服务器;该流媒体服务器用于与终端之间传输通过密钥加密/解密的流媒体内容
为解决上述另一技术问题,本发明所采用的技术方案是:提供一种基于IP多媒体子系统的媒体流的密钥管理方法,当应用服务器收到终端发出的业务请求后,应用服务器获得一个密钥,并把该密钥作为媒体流加密密钥TEK下发给终端和流媒体服务器,该终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
为解决上述另一技术问题,本发明所采用的另一技术方案是:提供一种基于IP多媒体子系统的媒体流的密钥管理方法,当应用服务器收到终端发出的业务请求后,应用服务器获得一个密钥,并把该密钥作为密钥加密密钥KEK下发给终端和流媒体服务器,该终端和流媒体服务器用该KEK协商TEK,或该流媒体服务器获得一个密钥,把该密钥作为TEK,通过该KEK的保护,把该TEK下发给终端,最后该终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
为解决上述另一技术问题,本发明所采用的再一技术方案是:提供一种基于IP多媒体子系统的媒体流的密钥管理方法,当应用服务器收到终端发出的业务请求后,应用服务器获得两个密钥,一个作为KEK,另一个作为TEK,应用服务器把该KEK下发给终端,并通过KEK的保护,下发TEK给终端,同时,应用服务器下发TEK给流媒体服务器,最后终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
本发明的有益效果是:由于本发明的基于IP多媒体子系统的媒体流的密钥管理系统和方法是通过应用服务器和流媒体服务器统一进行密钥的获取和下发控制,即通过在业务层面的应用服务器上,而不是仅仅在流媒体服务器上,对密钥进行的统一管理,因此使得密钥管理功能简单化,清晰化;另外,流媒体服务器不需要保存和终端之间的密钥信息,这些密钥通过和应用服务器的交互获得,从而减少了流媒体服务器的密钥管理开销,提高流媒体服务器效率。
附图说明
图1是本发明基于IMS的媒体流的密钥管理系统的示意图;
图2是本发明第一实施例基于IMS的媒体流的密钥管理方法的过程示意图;
图3是本发明第二实施例基于IMS的媒体流的密钥管理方法的过程示意图;
图4是本发明第三实施例基于IMS的媒体流的密钥管理方法的过程示意图。
具体实施方式
IMS网络实现了业务管理、会话控制和业务承载的分离,整个业务的执行层次十分清晰。在IMS中开展流媒体业务,可以通过应用服务器对密钥的获取和分发进行控制,从而对密钥进行统一管理。
通过在业务层面的应用服务器上,而不是仅仅在流媒体服务器上,对密钥进行的统一管理,可以使得密钥管理功能简单化,清晰化。流媒体服务器不需要保存和终端之间的密钥信息,这些密钥通过和应用服务器的交互获得,从而减少了流媒体服务器的密钥管理开销。
当应用服务器负责为终端和流媒体服务器分发加密媒体流的密钥时,应用服务器可以为请求同一业务的不同终端分发相同的媒体流加密密钥,例如,多个用户同时观看同一个电视频道时,应用服务器可以为这些用户下发相同的媒体流加密密钥,所以在流媒体服务器上只需对内容进行一次加密处理。当流媒体服务器负责为不同的终端分发媒体流加密密钥时,流媒体服务器可以为请求同一内容的终端分发相同的媒体流加密密钥,从而保证流媒体服务器只需对内容进行一次加密处理。
请参阅图1,本发明基于IMS的媒体流的密钥管理系统包括终端、代理CSCF、服务CSCF、应用服务器和流媒体服务器,其中,该代理CSCF用于接收终端向应用服务器发出的流媒体业务请求,并转送到服务CSCF,以及接收由服务CSCF转发的密钥,并转送到终端;该服务CSCF用于把该请求触发到应用服务器进行流媒体业务请求,以及接收应用服务器下发的密钥,并转送到代理CSCF或流媒体服务器;该应用服务器用于接收终端发出的流媒体业务请求,并生成密钥,将该密钥下发给终端和流媒体服务器;该流媒体服务器用于与终端之间传输通过加密/解密的流媒体内容。该应用服务器和终端之间可经过Ut接口相连。
由图1中可以看出,所有的流媒体业务请求经过应用服务器处理。终端经过认证后接入IMS网络,同时,经过认证和密钥协商过程,终端和代理CSCF之间已经建立安全联盟,从而可以保证应用服务器和终端之间密钥下发的安全性。
虚线部分示意了本发明的密钥管理方法:即由应用服务器和流媒体服务器统一进行密钥的获取和下发控制。
一般来讲,存在两种密钥,一种是加密终端和流媒体服务器之间实时传输的媒体流的密钥,称为媒体流加密密钥(Traffic Encryption Key,TEK);为了保证实时传输媒体流的安全,TEK的生存周期比较短,变化比较频繁,比如10s更新一次。另外一种是密钥加密密钥(Key Encryption Key,KEK),KEK用于加密TEK,从而保护TEK的下发安全。KEK的生存周期比较长,比如对按此付费的用户,在该次流媒体服务的过程中KEK可以保持不变;对订阅用户,KEK可以在整个订阅期限内保持不变,这样可以保证用KEK保护频繁下发的TEK的效率。
应用服务器可以直接下发TEK给终端和流媒体服务器,该媒体流加密密钥直接用于加密流媒体服务器和终端之间的流媒体内容;应用服务器也可以采用分层的密钥管理方式,它可以下发KEK给终端和流媒体服务器,通过KEK的保护,再进行TEK的分发。
应用服务器和流媒体服务器获取密钥有几种方式,它们可以自己生成密钥,也可以向其他实体,如一个独立的密钥管理中心(KMC)请求获得密钥。本发明中应用服务器和流媒体服务器获取密钥的方式包括但不限于上述的方式。
本发明的基于IMS的媒体流的密钥管理系统的应用服务器需要在原来的基础上实现下述功能:
1.应用服务器收到终端发出的业务请求后,通过某一种密钥获取方式,获得密钥(KEK和/或TEK);
2.应用服务器获得密钥后,需要将该密钥下发给终端和/或流媒体服务器;
3.如果应用服务器获得的密钥为KEK,则应用服务器在KEK的生存期内,需要保存该密钥。如果网络相关实体保存了该KEK,则应用服务器不需保存,在生存期内需要使用该密钥时,需要到保存该KEK的实体请求。
根据应用服务器下发的密钥的不同类型和所下发到的不同的实体,本发明的密钥管理方法可以有以下几种实施例:
第一实施例:应用服务器收到终端发出的业务请求后,以几种获取密钥的方式之一获得一个密钥,并把该密钥作为TEK下发给终端和流媒体服务器。终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
第二实施例:应用服务器收到终端发出的业务请求后,以几种获取密钥的方式之一获得一个密钥,并把该密钥作为KEK下发给终端和流媒体服务器。流媒体服务器以几种获取密钥的方式之一获得一个密钥,把该密钥作为TEK,通过KEK的保护,把TEK下发给终端,该终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容;或者应用服务器下发KEK给终端和流媒体服务器后,终端和流媒体服务器用KEK协商TEK。采用下发而不是协商的好处是可以控制流媒体服务器为使用同一个业务的不同用户使用相同的TEK,从而减少流媒体服务器加密的负荷。
第三实施例:应用服务器收到终端发出的业务请求后,以几种获取密钥的方式之一获得两个密钥,一个作为KEK,一个作为TEK。应用服务器把KEK下发给终端,并通过KEK的保护,下发TEK给终端,同时,应用服务器下发TEK给流媒体服务器。终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
在上述的第二实施例和第三实施例中,应用服务器和终端也可以通过GBA(General Bootstrapping Architecture,通用引导架构)或者其他的方式获得两者共享的密钥并作为KEK。
在上述的第二实施例和第三实施例中,网络侧实体可以在该业务的有效期内保存KEK,以便终端再次请求该业务时,使用同样的KEK下发TEK,从而减少应用服务器获取KEK的次数。所述保存该KEK的网络侧实体可能为应用服务器或者单独的密钥管理中心,取决于KEK的生成方式。
针对KEK的有效期比较长的特性。可以把KEK封装在版权对象中下发给终端。选择这样做的原因是KEK可以有一个相对较长的生存周期,而经过版权对象保护的密钥也同样可以在版权对象规定的期限内有效。而且终端一般支持版权对象的获取。
版权对象可以在用户定购业务时下发给终端,此时KEK保存在版权发布中心或密钥管理中心,取决于版权管理的实现。当用户请求业务时,应用服务器向版权发布中心或密钥管理中心请求该密钥;应用服务器也可以在用户请求业务时实时地把KEK以版权对象的方式下发给终端,此时应用服务器可以把KEK传递给一个版权发布中心,版权发布中心再以版权对象的形式下发KEK。
请参阅图2,本发明第一实施例基于IMS的媒体流的密钥管理方法包括以下步骤:
a1.终端向应用服务器发出流媒体业务请求,该请求可能通过Ut接口进行,也可能通过代理CSCF和服务CSCF触发到应用服务器进行流媒体业务请求,请求前,终端已经通过认证和密钥协商过程,建立了终端和代理CSCF之间的安全联盟;
a2.应用服务器收到该业务请求后,判断该业务请求是否为一个流媒体业务请求,该判断可以基于用户所请求的具体内容,或者基于请求中的某些特殊标识;如果该业务请求是流媒体业务请求,则执行步骤a3,若不是,则按其他业务定义的过程处理;
a3.应用服务器以几种获取密钥的方式之一获得媒体流加密密钥TEK,图中示意了通过KMC获取密钥的方式;
a4.应用服务器下发媒体流加密密钥TEK给终端和流媒体服务器。一般来说,该TEK经过服务CSCF和代理CSCF下发TEK给终端;
a5.终端和流媒体服务器用媒体流加密密钥TEK加密/解密两者之间传输的流媒体内容。
本发明第一实施例中,应用服务器可以选择为请求同一业务的终端分发相同的媒体流加密密钥,从而流媒体服务器只需对内容进行一次加密处理。而且,通过应用服务器的动态的密钥分发,流媒体服务器和终端之间无需事先共享密钥信息,减少了流媒体服务器的密钥管理负担。
请参阅图3,本发明第二实施例基于IMS的媒体流的密钥管理方法包括以下步骤:
b1.终端向应用服务器发出流媒体业务请求,该请求可能通过Ut接口进行,也可能通过代理CSCF和服务CSCF触发到应用服务器进行流媒体业务请求,请求前,终端已经通过认证和密钥协商过程,建立了终端和代理CSCF之间的安全联盟;
b2.应用服务器收到该业务请求后,判断该请求是否为一个流媒体业务请求,该判断可以基于用户所请求的具体内容,或者基于请求中的某些特殊标识;如果该请求是流媒体业务请求,则执行步骤b3,若不是,则按其他业务定义的过程处理;
b3.应用服务器以几种获取密钥的方式之一获得媒体流加密密钥KEK,图中示意了通过KMC获取密钥的方式;
b4.应用服务器下发密钥加密密钥KEK给终端,图中示意的KEK下发方式为应用服务器直接下发KEK给终端的,KEK也可以以版权对象的方式下发给终端;
b5.终端收到KEK后,发送确认消息给应用服务器,该步骤的目的是为了保证终端在收到TEK之前,已经收到KEK,从而可以成功解密TEK;
b6.应用服务器下发密钥加密密钥KEK给流媒体服务器;
b7.流媒体服务器以几种获取密钥的方式之一获得一个密钥,并把该密钥作为TEK,通过KEK的保护下发给终端;图中示意了流媒体服务器直接下发TEK给终端。流媒体服务器也可以先传递TEK给应用服务器,应用服务器再下发TEK给终端;
b8.终端发送订阅(SUBSCRIBE)消息,订阅TEK的变化;由于TEK的变化比较频繁,流媒体服务器对TEK更新后需要及时通知终端。终端向流媒体服务器发送SUBSCRIBE消息订阅TEK的变化。如果TEK通过应用服务器下发给终端,则应用服务器向流媒体服务器发送SUBSCRIBE消息订阅TEK的变化。
b9.终端和流媒体服务器用媒体流加密密钥TEK加密/解密两者之间传输的流媒体内容;
b10.TEK更新后,流媒体服务器通过通报(NOTIFY)消息通知给终端。如果TEK通过应用服务器下发给终端,则TEK更新后,流媒体服务器通过NOTIFY消息通知应用服务器变化后的TEK,应用服务器再下发TEK给终端。
在步骤b7中,流媒体服务器向终端下发TEK时,可以使用已经建立的连接通道,例如如果存在RTSP(Real-Time Streaming Protocol,实时流协议)通道;也可以在终端和流媒体服务器之间建立单独的下发通道,该通道可以在建立媒体流的SDP(Session Description Protocol,会话描述协议)信令中携带相关的地址参数。
本发明第二实施例中,流媒体服务器可以选择为请求同一内容的终端分发相同的媒体流加密密钥,从而流媒体服务器只需对内容进行一次加密处理,并且这些终端可能是经过不同的应用服务器提供的业务。而且,通过流媒体服务器动态的分发KEK,流媒体服务器和终端之间无需事先共享密钥信息,减少了流媒体服务器的密钥管理负担。
请参阅图4,本发明第三实施例基于IMS的媒体流的密钥管理方法包括以下步骤:
c1.终端向应用服务器发出流媒体业务请求,该请求可能通过Ut接口进行,也可能通过代理CSCF和服务CSCF触发到应用服务器进行流媒体业务请求,请求前,终端已经通过认证和密钥协商过程,建立了终端和代理CSCF之间的安全联盟;
c2.应用服务器收到该业务请求后,判断该请求是否为一个流媒体业务请求,该判断可以基于用户所请求的具体内容,或者基于请求中的某些特殊标识;如果该请求是流媒体业务请求,则执行步骤c3,若不是,则按其他业务定义的过程处理;
c3.应用服务器以几种获取密钥的方式之一获得媒体流加密密钥KEK和媒体流加密密钥TEK,图中示意了通过KMC获取密钥的方式;
c4.应用服务器下发密钥加密密钥KEK给终端,图中示意的KEK下发方式
为应用服务器直接下发KEK给终端的,KEK也可以以版权对象的方式下发给终端;
c5.应用服务器通过密钥加密密钥KEK的保护,下发媒体流加密密钥TEK给终端和流媒体服务器;
c6.终端向应用服务器发送订阅(SUBSCRIBE)消息,订阅TEK的变化;由于TEK的变化比较频繁,应用服务器对TEK更新后需要及时通知终端;
c7.终端和流媒体服务器用媒体流加密密钥TEK加密/解密两者之间传输的流媒体内容;
c8.TEK更新后,应用服务器通过通报消息通知给终端;
c9.应用服务器同时传送更新后的TEK给流媒体服务器。
本发明第三实施例中,应用服务器可以选择为请求同一业务的终端分发相同的媒体流加密密钥,从而流媒体服务器只需对内容进行一次加密处理。而且,通过应用服务器的动态的密钥分发,流媒体服务器和终端之间无需事先共享密钥信息,减少了流媒体服务器的密钥管理负担。
本发明通过应用服务器和流媒体服务器结合来进行密钥的管理,有效地降低了流媒体服务器的密钥管理的负担。应用服务器和流媒体服务器可以根据不同的业务类型和不同的安全要求,选择为不同的用户分发相同的媒体流加密密钥,从而当不同的用户消费相同的内容时,在流媒体服务器上只对内容进行一次加密处理,降低对流媒体服务器的处理能力的要求。
Claims (38)
1.一种基于IP多媒体子系统的媒体流的密钥管理方法,其特征在于:
应用服务器收到终端发出的业务请求;
所述应用服务器获得一个密钥;
所述应用服务器将所述密钥作为媒体流加密密钥TEK下发给终端;
所述应用服务器将所述密钥作为媒体流加密密钥TEK下发给流媒体服务器;所述媒体流加密密钥TEK用于加密/解密所述终端和所述流媒体服务器之间传输的流媒体内容。
2.如权利要求1所述的密钥管理方法,其特征在于该密钥管理方法进一步包括以下步骤:
所述应用服务器收到该业务请求后,判断该业务请求是否为流媒体业务请求,如果该业务请求是流媒体业务请求,所述应用服务器获得所述密钥,若不是,则按其他业务定义的过程处理。
3.如权利要求1或2所述的密钥管理方法,其特征在于:所述应用服务器是通过自己生成密钥的方式获得密钥,或通过向独立的密钥管理中心KMC请求的方式获得密钥。
4.如权利要求1或2所述的密钥管理方法,其特征在于:所述的业务请求是通过Ut接口进行,或是通过代理呼叫会话控制功能CSCF和服务CSCF触发到应用服务器进行。
5.如权利要求2所述的密钥管理方法,其特征在于:所述判断该业务请求是否为流媒体业务请求是基于用户所请求的具体内容,或者基于请求中的特殊标识。
6.如权利要求2所述的密钥管理方法,其特征在于:所述应用服务器下发该TEK给终端是经过服务CSCF和代理CSCF下发的。
7.如权利要求1所述的密钥管理方法,其特征在于:应用服务器选择为请求同一业务的终端分发相同的TEK。
8.一种基于IP多媒体子系统的媒体流的密钥管理方法,其特征在于:
应用服务器收到终端发出的业务请求;
所述应用服务器获得一个密钥;
所述应用服务器将所述密钥作为密钥加密密钥KEK下发给终端和流媒体服务器;
所述流媒体服务器获得一个密钥,把该密钥作为媒体流加密密钥TEK,通过该KEK的保护,把该TEK下发给终端,最后该终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
9.如权利要求8所述的密钥管理方法,其特征在于该密钥管理方法进一步包括以下步骤:所述应用服务器收到该业务请求后,判断该业务请求是否为流媒体业务请求,如果该业务请求是流媒体业务请求,则所述应用服务器获得所述作为KEK的密钥,若不是,则按其他业务定义的过程处理;以及
所述终端或所述应用服务器向所述流媒体服务器发送订阅消息,订阅所述TEK的变化;
所述TEK更新后,所述流媒体服务器通过通报消息通知给所述终端。
10.如权利要求8或9所述的密钥管理方法,其特征在于:所述应用服务器是通过自己生成密钥的方式获得密钥,或通过向独立的密钥管理中心KMC请求的方式获得密钥。
11.如权利要求8或9所述的密钥管理方法,其特征在于:所述的业务请求是通过Ut接口进行,或是通过代理CSCF和服务CSCF触发到应用服务器进行。
12.如权利要求9所述的密钥管理方法,其特征在于:所述判断该业务请求是否为流媒体业务请求是基于用户所请求的具体内容,或者基于请求中的特殊标识。
13.如权利要求8所述的密钥管理方法,其特征在于:流媒体服务器选择为请求同一内容的终端分发相同的TEK。
14.如权利要求9所述的密钥管理方法,其特征在于:所述应用服务器下发该KEK给终端是通过应用服务器直接下发KEK给终端,或KEK以版权对象的方式下发给终端。
15.如权利要求9所述的密钥管理方法,其特征在于:所述流媒体服务器向终端下发TEK时,使用已经建立的连接通道;或者在终端和流媒体服务器之间建立单独的下发通道,该通道在建立媒体流的会话描述协议信令中携带相关的地址参数。
16.如权利要求9所述的密钥管理方法,其特征在于:所述流媒体服务器发送TEK给终端是通过流媒体服务器直接下发TEK给终端,或流媒体服务器先传递TEK给应用服务器,应用服务器再下发TEK给终端。
17.如权利要求16所述的密钥管理方法,其特征在于:如果TEK是通过应用服务器下发给终端的,则所述终端或所述应用服务器向所述流媒体服务器发送订阅消息具体为应用服务器向流媒体服务器发送订阅消息。
18.如权利要求16所述的密钥管理方法,其特征在于:如果TEK是通过应用服务器下发给终端的,则所述流媒体服务器通过通报消息通知给所述终端具体为流媒体服务器通过通报消息通知应用服务器变化后的TEK,应用服务器再下发TEK给终端。
19.如权利要求8或9所述的密钥管理方法,其特征在于:所述KEK在生存期内保存在应用服务器中,或保存在密钥管理中心中,当保存在密钥管理中心时,应用服务器在KEK生存期内需要使用所述作为KEK的密钥时,需要到保存该KEK的密钥管理中心请求。
20.如权利要求14所述的密钥管理方法,其特征在于:当所述KEK以版权对象的方式下发给终端时,应用服务器是把KEK传递给一个版权发布中心,版权发布中心再以版权对象的形式下发KEK。
21.一种基于IP多媒体子系统的媒体流的密钥管理方法,其特征在于:当应用服务器收到终端发出的业务请求后,应用服务器获得一个密钥,并把该密钥作为密钥加密密钥KEK下发给终端和流媒体服务器,该终端和流媒体服务器用该KEK协商媒体流加密密钥TEK,最后该终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
22.一种基于IP多媒体子系统的媒体流的密钥管理方法,其特征在于:当应用服务器收到终端发出的业务请求后,终端和应用服务器获得两者共享的密钥并作为密钥加密密钥KEK,应用服务器将该KEK下发给流媒体服务器,该终端和流媒体服务器用该KEK协商媒体流加密密钥TEK,最后该终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
23.如权利要求22所述的密钥管理方法,其特征在于:所述终端和应用服务器是通过通用引导架构GBA获得两者共享的密钥的。
24.一种基于IP多媒体子系统的媒体流的密钥管理方法,其特征在于:当应用服务器收到终端发出的业务请求后,终端和应用服务器获得两者共享的密钥并作为密钥加密密钥KEK,应用服务器将该KEK下发给流媒体服务器,该流媒体服务器获得一个密钥,把该密钥作为媒体流加密密钥TEK,通过该KEK的保护,把该TEK下发给终端,最后该终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
25.如权利要求24所述的密钥管理方法,其特征在于:所述终端和应用服务器是通过通用引导架构GBA获得两者共享的密钥的。
26.一种基于IP多媒体子系统的媒体流的密钥管理方法,其特征在于:
所述应用服务器收到终端发出的业务请求;
所述应用服务器获得两个密钥,其中一个作为密钥加密密钥KEK,另一个作为媒体流加密密钥TEK,
所述应用服务器把所述KEK下发给所述终端,并通过所述KEK的保护,下发TEK给所述终端;
所述应用服务器下发所述TEK给所述流媒体服务器;
所述终端和所述流媒体服务器用所述TEK加密/解密两者之间传输的流媒体内容。
27.如权利要求26所述的密钥管理方法,其特征在于该密钥管理方法进一步包括以下步骤:所述应用服务器收到该业务请求后,判断该业务请求是否为流媒体业务请求,如果该业务请求是流媒体业务请求,则所述应用服务器获得所述两个密钥,若不是,则按其他业务定义的过程处理;以及
所述终端向所述应用服务器发送订阅消息,订阅所述TEK的变化;
所述TEK更新后,所述应用服务器通过通报消息通知给所述终端;
所述应用服务器同时传送更新后的TEK给所述流媒体服务器。
28.如权利要求26或27所述的密钥管理方法,其特征在于:所述应用服务器是通过自己生成密钥的方式获得密钥,或通过向独立的密钥管理中心KMC请求的方式获得密钥。
29.如权利要求26或27所述的密钥管理方法,其特征在于:所述的业务请求是通过Ut接口进行,或是通过代理CSCF和服务CSCF触发到应用服务器进行。
30.如权利要求27所述的密钥管理方法,其特征在于:所述判断该业务请求是否为流媒体业务请求是基于用户所请求的具体内容,或者基于请求中的特殊标识。
31.如权利要求26所述的密钥管理方法,其特征在于:应用服务器选择为请求同一内容的终端分发相同的TEK。
32.如权利要求27所述的密钥管理方法,其特征在于:所述应用服务器下发该KEK给终端是通过应用服务器直接下发KEK给终端,或KEK以版权对象的方式下发给终端。
33.如权利要求32所述的密钥管理方法,其特征在于:当所述KEK以版权对象的方式下发给终端时,应用服务器是把KEK传递给一个版权发布中心,版权发布中心再以版权对象的形式下发KEK。
34.如权利要求26或27所述的密钥管理方法,其特征在于:所述KEK在生存期内保存在应用服务器中,或保存在密钥管理中心中,当保存在密钥管理中心时,应用服务器在KEK生存期内需要使用该密钥时,需要到保存该KEK的密钥管理中心请求。
35.一种基于IP多媒体子系统的媒体流的密钥管理方法,其特征在于:当应用服务器收到终端发出的业务请求后,终端和应用服务器获得两者共享的密钥并作为密钥加密密钥KEK,应用服务器还获得一个密钥并作为媒体流加密密钥TEK,应用服务器通过KEK的保护,下发TEK给终端,同时,应用服务器下发TEK给流媒体服务器,最后终端和流媒体服务器用该TEK加密/解密两者之间传输的流媒体内容。
36.如权利要求35所述的密钥管理方法,其特征在于:所述终端和应用服务器是通过通用引导架构GBA获得两者共享的密钥的。
37.一种基于IP多媒体子系统的媒体流的密钥管理系统,其包括终端和流媒体服务器,其特征在于:其还包括代理CSCF、服务CSCF和应用服务器,其中,
该代理CSCF用于接收终端向应用服务器发出的流媒体业务请求,并转送到服务CSCF,以及接收由服务CSCF转发的密钥,并转送到终端;
该服务CSCF用于把该请求触发到应用服务器进行流媒体业务请求,以及接收应用服务器下发的密钥,并转送到代理CSCF或流媒体服务器;
该应用服务器用于接收终端发出的流媒体业务请求,并生成密钥,将该密钥下发给终端和流媒体服务器;
该流媒体服务器用于与终端之间传输通过密钥加密/解密的流媒体内容。
38.如权利要求37所述的密钥管理系统,其特征在于:所述应用服务器和终端之间经过Ut接口相连。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610033380.4A CN101009551B (zh) | 2006-01-24 | 2006-01-24 | 基于ip多媒体子系统的媒体流的密钥管理系统和方法 |
| PCT/CN2007/000241 WO2007085186A1 (fr) | 2006-01-24 | 2007-01-23 | Procédé de gestion de clé de flux multimédia, système et serveur d'application |
| CN200780000180.1A CN101313510A (zh) | 2006-01-24 | 2007-01-23 | 媒体流密钥管理方法及系统以及应用服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610033380.4A CN101009551B (zh) | 2006-01-24 | 2006-01-24 | 基于ip多媒体子系统的媒体流的密钥管理系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101009551A CN101009551A (zh) | 2007-08-01 |
| CN101009551B true CN101009551B (zh) | 2010-12-08 |
Family
ID=38308856
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610033380.4A Expired - Fee Related CN101009551B (zh) | 2006-01-24 | 2006-01-24 | 基于ip多媒体子系统的媒体流的密钥管理系统和方法 |
| CN200780000180.1A Pending CN101313510A (zh) | 2006-01-24 | 2007-01-23 | 媒体流密钥管理方法及系统以及应用服务器 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780000180.1A Pending CN101313510A (zh) | 2006-01-24 | 2007-01-23 | 媒体流密钥管理方法及系统以及应用服务器 |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN101009551B (zh) |
| WO (1) | WO2007085186A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483808B (zh) * | 2008-01-07 | 2011-01-05 | 中兴通讯股份有限公司 | 保障多媒体广播业务安全的方法 |
| US20090180614A1 (en) * | 2008-01-10 | 2009-07-16 | General Instrument Corporation | Content protection of internet protocol (ip)-based television and video content delivered over an ip multimedia subsystem (ims)-based network |
| CN101521570B (zh) * | 2008-02-27 | 2012-09-19 | 华为技术有限公司 | 一种实现iptv组播业务媒体安全的方法、系统及设备 |
| CN101572694B (zh) * | 2008-04-29 | 2012-09-05 | 华为技术有限公司 | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
| BRPI0822665A2 (pt) | 2008-05-29 | 2015-06-30 | Ericsson Telefon Ab L M | Método para configurar uma sessão de televisão ip segura, servidor de aplicação, e, nó de recepção de televisão ip |
| WO2010027309A1 (en) * | 2008-09-05 | 2010-03-11 | Telefonaktiebolaget L M Ericsson (Publ) | Application server, control method thereof, program, and computer-readable storage medium |
| RU2527730C2 (ru) * | 2009-04-01 | 2014-09-10 | Телефонактиеболагет Л М Эрикссон (Пабл) | Управление ключами безопасности в основанных на ims услугах широковещания и многоадресного вещания мультимедиа (mbms) |
| CN101729535B (zh) * | 2009-06-30 | 2013-03-20 | 中兴通讯股份有限公司 | 一种媒体点播业务的实现方法 |
| CN102055747B (zh) * | 2009-11-06 | 2014-09-10 | 中兴通讯股份有限公司 | 获取密钥管理服务器信息的方法、监听方法及系统、设备 |
| PT2487856E (pt) | 2010-02-11 | 2016-06-08 | Huawei Tech Co Ltd | Método,operativo aparelho e sistema de chave de corrente de transmissão de mídia |
| CN103188222B (zh) * | 2011-12-28 | 2016-03-30 | 北大方正集团有限公司 | 一种数据信息分发的方法、系统及装置 |
| CN103987037A (zh) | 2014-05-28 | 2014-08-13 | 大唐移动通信设备有限公司 | 一种保密通信实现方法及装置 |
| CN106921827A (zh) * | 2015-12-25 | 2017-07-04 | 北京计算机技术及应用研究所 | 安全网络高清摄像机 |
| CN111132147A (zh) * | 2019-12-11 | 2020-05-08 | 上海欣方智能系统有限公司 | 一种加密通话在移动终端上的实现方法 |
| CN115811625A (zh) * | 2021-09-14 | 2023-03-17 | 果核数位股份有限公司 | 定制信息安全等级之流媒体服务方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1492335A (zh) * | 2002-10-25 | 2004-04-28 | �Ҵ���˾ | 用于媒体内容数据文件网络发布的安全系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8812850B2 (en) * | 2000-03-02 | 2014-08-19 | Tivo Inc. | Secure multimedia transfer system |
-
2006
- 2006-01-24 CN CN200610033380.4A patent/CN101009551B/zh not_active Expired - Fee Related
-
2007
- 2007-01-23 CN CN200780000180.1A patent/CN101313510A/zh active Pending
- 2007-01-23 WO PCT/CN2007/000241 patent/WO2007085186A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1492335A (zh) * | 2002-10-25 | 2004-04-28 | �Ҵ���˾ | 用于媒体内容数据文件网络发布的安全系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101313510A (zh) | 2008-11-26 |
| CN101009551A (zh) | 2007-08-01 |
| WO2007085186A1 (fr) | 2007-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101009551B (zh) | 基于ip多媒体子系统的媒体流的密钥管理系统和方法 | |
| RU2391783C2 (ru) | Способ управления цифровыми правами при широковещательном/многоадресном обслуживании | |
| EP1454493B1 (en) | Method of rights management for streaming media | |
| CN101142777A (zh) | 视频在线安全网络体系结构及其方法 | |
| US20080063195A1 (en) | Method and system for encrypting or decrypting wmv streaming media | |
| JP2010503354A (ja) | ブロードキャストサービスの暗号化されたデータを連続的にモバイル端末装置に伝送するための方法とシステム | |
| JP2011172276A (ja) | コンテンツの保護のためのエンティティ同士の関連付け方法及び装置、並びにそのシステム | |
| CN100401769C (zh) | 一种对直播流媒体数据进行加密和解密的方法 | |
| KR20120112715A (ko) | 오디오/비디오 데이터에 대한 액세스를 갖는 적어도 한 그룹의 디코더의 멤버를 관리하는 방법 | |
| CN101207794B (zh) | Iptv系统的数字版权管理加密和解密方法 | |
| CN100504804C (zh) | 用于广播服务传输和接收的装置和方法 | |
| CN100364332C (zh) | 一种保护宽带视音频广播内容的方法 | |
| WO2007036155A1 (fr) | Procede de realisation d'une previsualisation de programmes iptv, appareil de cryptage, systeme central de droits et terminal utilisateur | |
| CN102196304B (zh) | 视频监控中生成密钥的方法及系统、设备 | |
| KR20060105934A (ko) | 브로드캐스트 서비스를 지원하는 서비스 제공자와 단말기간에 디지털 저작권 관리 컨텐츠 공유 방법 및 장치,그리고 그 시스템 | |
| EP1290885B1 (en) | Secure digital content delivery system and method over a broadcast network | |
| CN101202883B (zh) | 一种iptv系统的数字版权管理系统 | |
| CN101521668B (zh) | 一种多媒体广播内容授权方法 | |
| CN101656583B (zh) | 密钥管理系统和方法 | |
| JP2002247022A (ja) | 情報配送方法、情報利用方法及びその実施装置並びにその処理プログラムと記録媒体 | |
| CN101217358A (zh) | 数字广播业务系统及数字广播业务激活方法 | |
| CN101990771B (zh) | 服务报告 | |
| MX2007000587A (es) | Metodo y aparato para entregar claves. | |
| CN101714904B (zh) | 密钥管理系统和方法 | |
| Chang et al. | A cost-effective key distribution of P2P IPTV DRM over opportunistic multicast overlay for e-commerce systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 |