CN101150396A - 组播广播业务的密钥获取方法、网络及终端设备 - Google Patents
组播广播业务的密钥获取方法、网络及终端设备 Download PDFInfo
- Publication number
- CN101150396A CN101150396A CNA2006101390058A CN200610139005A CN101150396A CN 101150396 A CN101150396 A CN 101150396A CN A2006101390058 A CNA2006101390058 A CN A2006101390058A CN 200610139005 A CN200610139005 A CN 200610139005A CN 101150396 A CN101150396 A CN 101150396A
- Authority
- CN
- China
- Prior art keywords
- mbs
- mak
- key
- mgtek
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 89
- 230000008569 process Effects 0.000 claims description 20
- 238000013475 authorization Methods 0.000 claims description 12
- 230000000977 initiatory effect Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 231100000743 Maximale Arbeitsplatzkonzentration Toxicity 0.000 description 1
- 101150014732 asnS gene Proteins 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及通信领域,公开了一种组播广播业务的密钥获取和建立方法、网络及终端设备,使得WiMAX终端和网络侧能够得到正确的MBS密钥。本发明中,由终端在注册MBS时获取MAK,并在获取到该MAK后向网络侧请求加入MBS多播组,网络侧对该终端的请求进行鉴权,并在鉴权通过后向该终端返回所述MBS多播组的安全联盟标识。终端根据得到的安全联盟标识从网络侧获取MGTEK,并根据获取到的MAK和该MGTEK得到MTK。
Description
技术领域
本发明涉及通信领域,特别涉及WiMAX系统中的组播广播技术。
背景技术
IEEE802.16是电子和电气工程师协会(Institute of Electrical andE1ectronics Engineers,简称“IEEE”)于2001年12月颁布的,用于在城域网中提供最后一公里无线宽带接入的标准。
与此同时,众多设备和组建供应商组成了全球微波接入互操作性(Worldwide Interoperability fpr Microwave Access,简称“WiMAX”)论坛的组织,其目的在于通过确保宽带无线接入设备的兼容性和互操作性,加快基于上述IEEE802.16系列标准的宽带无线网络的部署。因此,在通常情况下,将应用802.16系列标准中规定的实现无线宽带接入的系统称为WiMAX系统。
图1示出了WiMAX端到端参考模型。如图可见,WiMAX主要包含移动台(Mobile Station,简称“MS”)/用户站(Subscribe Station,简称“SS”)、接入服务网络(Access Service Network,简称“ASN”)与连接服务网络(Connectivity Service Network,简称“CSN”)。
ASN定义为为WiMAX用户终端提供无线接入服务的网络功能集合,ASN包含了基站(Base Station,简称“BS”)和ASN网关(ASN GateWay简称“ASN-GW”)网元,一个ASN可能被多个CSN共享。
ASN的主要功能包含基站的功能和ASN-GW的功能。其中,基站的功能有:提供基站和用户站SS/MS的L2连接、无线资源管理、测量与功率控制和空口数据的压缩与加密。ASN-GW的功能有:为SS/MS认证、授权和计费功能提供代理(proxy)功能;支持NSP的网络发现和选择;为SS提供L3信息的中继(Relay)功能,如IP地址分配。
CSN定义为为WiMAX用户终端提供IP连接服务。CSN主要提供如下功能:SS/MS的IP地址分配,Internet接入,验证、授权、计费协议(Authentication、Authorization、Account,简称“AAA”)代理(proxy)或者服务(server),基于用户的授权控制,ASN到CSN的隧道,WiMAX用户的计费以及运营商之间的结算,漫游情况下CSN之间的隧道,ASN之间的切换,和各种WiMAX服务(如基于位置的业务、多媒体多播和广播业务、IP多媒体子系统业务)。
MS/SS为(移动)用户设备,用户使用该设备接入WiMAX网络。
通常的通信是在一个节点和另外一个节点之间的通信,但是随着因特网的迅猛发展,人们对移动通信的需求已不再满足于点对点的通信,因而大量多媒体业务涌现出来,其中一些应用业务要求多个用户能同时接收相同数据,如视频点播、电视广播、视频会议、网上教育、互动游戏等。这些移动多媒体业务与一般的数据相比,具有数据量大、持续时间长、时延敏感等特点。目前的IP组播技术只适用于有线IP网络,不适用于移动网络,因为移动网络具有特定的网络结构、功能实体和无线接口,这些都与有线IP网络不同。
为了有效地利用移动网络资源,WiMAX引入了组播广播业务(MulticastBroadcast Service,简称“MBS”),即在移动网络中提供一个数据源向多个用户发送数据的点到多点业务,实现网络资源共享,提高网络资源的利用率,尤其是空口接口资源。WiMAX引入的MBS不仅能实现纯文本低速率的消息类组播和广播,而且还能实现高速多媒体业务的组播和广播,这无疑顺应了未来移动数据发展的趋势。
基于WiMAX网络的MBS支持两种接入模式:单基站接入和多基站接入。在多基站接入模式下,一个MBS域(MBS Zone,通过MBS_zone ID来标识)内的所有基站用相同的组播连接标识符(Multicast Connection ID,简称“MCID”)和MBS多播组安全联盟(MBS Group Security Association,简称“MBS GSA”)发送同一MBS流的内容,注册了MBS服务的终端可以在MBS域内通过多个基站接收MBS内容。并且处于空闲(Idle)模式的终端在MBS区内跨基站移动时,不需要重建连接,可以不受影响的接收MBS,实现MBS的无缝切换。
某些全球定义的服务流可以携带到多个终端的广播或多播信息。这些服务流有服务质量(Quality of Service,简称“QoS”)参数,还可能需要用全球定义的数据加密密钥来加密。在WiMAX网络中,用业务流标识(ServiceFlow Identifier,简称“SFID”)来标识一个单向业务流,用连接标识(ConnectionID,简称“CID”)来标识一个连接。所有的业务流在空口通过MAC(媒体接入控制)层的连接进行传送,即SFID要映射到一个CID上。MCID是专用于组播连接的连接标识符。同时,802.16e规定使用MBS内容标识(Contents ID)来标识一个组播业务。一个MCID上传输的协议数据单元(Protocol Data Unit,简称“PDU”)包含一个或多个MBS。
在现有标准中,通过组安全联盟(Group Security Association,简称“GSA”)来保证一个多播组的信息安全性,如通过保证一个多播组的密钥信息来保障信息的安全性。一个GSA包括以下密钥:
组数据加密密钥(Group Traffic Encryption Key,简称“GTEK”),GTEK用来加密多播数据包,它在同一组的所有终端之间共享。每一个GSA有两个GTEK。它在基站中或网络中的其它元件中随机产生,与用于数据加密密钥(Traffic Encryption Key,简称“TEK”)加密的相同算法来加密。“PKMv2Key-Request/Reply”消息中的GTEK由密钥加密密钥(Key Encryption Key,简称“KEK”)来加密。
组密钥加密密钥(Group Key Encryption Key,简称“GKEK”),GKEK由BS随机产生,用KEK来加密发送给终端。每一个GSA只有一个GKEK,它用来加密在同一个多播组中消息的各GTEK。上述“PKMv2Key-Request/Reply”消息也由该GKEK进行加密。
下面对MBS GSA的密钥信息进行说明,一个MBS GSA内包括以下密钥:
MBS鉴权密钥(MBS Authentication Key,简称“MAK”),MAK是MBS GSA的首要密钥信息,长度为160比特,由外部实体预备,如MBS服务器(MBS Server),MAK可以在一个MBS多播组里的所有成员内共享。
MBS多播组数据加密密钥(MBS Group Traffic Encryption Key,简称“MGTEK”),长度为128比特,用来间接保护MBS数据,比MAK更新得更频繁。MGTEK是由接入网,如作为接入网络授权密钥的基站,提供的随机数,它只用来与MAK共同产生MBS数据加密密钥(MBS Traffic Key,简称“MTK”)。
MBS数据加密密钥MTK,MTK用来加密MBS传输数据。它是由MAK和MGTEK通过函数产生的128比特密钥,终端根据由MAK和MGTEK生成的MTK对收到的数据进行解密。MBS多播组密钥层次结构如图2所示。
目前,在协议802.16e/D12中只描述了通过动态服务流创建请求消息(DSA-REQ)/动态服务流创建响应消息(DSA-RSP)来建立MBS链接并告诉终端MBS域所播的MBS内容标识以指示终端接收,以及通过“PKMv2的key request/key reply”消息请求MGTEK,和基站更新GKEK和GTEK的过程。
其中,GKEK和GTEK的更新过程如图3所示,BS在GTEK的更新时间(Grace Time)到来之前,先发起GKEK的更新,这时密钥更新消息的模式为GKEK更新模式,GKEK的更新在主管理连接上进行,并用终端的密钥加密密钥(Key Encryption Key,简称“KEK”)加密。
基站在GTEK的更新时间到来之后,发起GTEK的更新,这时密钥更新消息的模式为GTEK更新模式,GTEK的更新在广播连接上进行,并用GKEK加密。
但是,在目前的现有技术中没有提供终端和基站之间如何建立MBS链接的过程及具体步骤,也就是说,没有提供终端和网络侧(如基站和网关)获取MBS密钥(包括MAK,MGTEK和MTK)的具体方法。因而无法解决终端,基站和网关如何获得及何时获得MBS密钥的问题,以及在订阅的MBS多播组变化后如何更新终端和网络侧的MAK的问题,以及在订阅的MBS多播组变化后如何更新终端和网络侧的MGTEK的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种组播广播业务的密钥获取方法、网络及终端设备,使得WiMAX终端和网络侧能够得到正确的MBS密钥。
为实现上述目的,本发明提供了一种组播广播业务的密钥获取方法,包含以下步骤:
终端获取MBS鉴权密钥MAK;
终端向网络侧发起请求加入MBS多播组,网络侧对所述终端的请求进行鉴权,并在鉴权通过后授权该终端加入MBS多播组并向该终端返回所述MBS多播组的安全联盟标识;
所述终端根据得到的所述安全联盟标识从网络侧获取MBS多播组数据加密密钥MGTEK;
所述终端和网络侧根据所述MAK和MGTEK生成MBS数据加密密钥MTK。
其中,所述终端在注册组播广播业务MBS时获取MBS鉴权密钥MAK。
此外在所述方法中,所述终端通过向基站发起动态服务流创建过程或加入IP组播方式请求加入MBS多播组;
如果所述基站尚未与网关建立该MBS多播组的承载连接,则向该网关请求建立该MBS多播组的承载连接;
如果所述基站在第一个终端请求建立MBS连接时没有事先获取MBS的包含MAK,MGTEK和MTK的安全联盟信息,则该基站在第一个终端到来请求建立MBS连接时从与该基站相连的网关处获取该MBS多播组的所述安全联盟信息。
此外在所述方法中,如果由所述基站自身生成所述MGTEK,则所述基站在第一个终端到来请求建立MBS连接时,从所述网关获取所述MBS多播组的MAK与MAK上下文;否则,
所述基站在建立所述MBS连接时,从所述网关获取所述MBS多播组的MAK、MAK上下文和MGTEK及其上下文。
此外在所述方法中,如果网关尚未与MBS服务器建立该MBS连接,则向该MBS服务器请求建立该MBS连接,并在第一个基站请求建立MBS连接时从MBS服务器获取该MBS多播组的所述安全联盟信息。
此外在所述方法中,所述网关在建立所述MBS连接时,从所述MBS服务器或MBS代理获取所述MBS多播组的MAK与MAK上下文,该网关在获得MAK后自身生成MGTEK;或者,直接从所述MBS服务器或MBS代理获取所述MBS多播组的MAK与MAK上下文及MGTEK与MGTEK上下文。
此外在所述方法中,用于注册MBS的注册消息和请求所述MBS授权密钥MAK的请求消息包含以下参数之一或其任意组合:
终端用户名、MBS根密钥或MBS根密钥派生的密钥、终端标识号、网络接入标识、MBS域标识、MBS内容标识、和消息验证码。
此外在所述方法中,用于注册所述MBS的注册消息和请求所述MBS授权密钥MAK的请求消息包含以下参数之一或其任意组合::
终端用户名、MBS根密钥或MBS根密钥派生的密钥的哈希值、终端标识号、网络接入标识、MBS域标识、MBS内容标识、和消息验证码。
此外在所述方法中,所述上下文包含以下之一或其任意组合:
密钥标识号、密钥生命周期、密钥更新时间,MBS多播组安全联盟标识,和密钥序列号。
此外在所述方法中,当所述MAK的生命周期到期或MBS多播组成员变化时,由所述MBS服务器决定更新该MAK;
当所述MBS服务器决定更新所述MAK时,将MAK的更新消息发送到建立相应MBS连接的网关,再由网关下发到建立相应MBS连接的基站。
此外在所述方法中,所述MAK的更新消息包含更新后的MAK和更新后的MAK的上下文。
此外在所述方法中,所述MAK的更新消息在根据MBS根密钥或MBS根密钥的派生密钥加密后,再发送给所述终端。
此外在所述方法中,所述MAK通过以下方式更新:
所述MBS服务器发送密钥更新消息指示所述终端请求新的MAK;
所述终端收到所述密钥更新指示消息后,通过发起MAK请求过程获取新的MAK。
此外在所述方法中,如果由所述网络侧的网关决定所述MGTEK的更新,则由该网关随机产生MGTEK,并将产生的MGTEK和该MGTEK的上下文发送到建立相应MBS连接的基站,由该基站通知所述终端对该MGTEK进行更新。
此外在所述方法中,如果由所述网络侧的MBS代理或MBS服务器决定所述MGTEK的更新,则由该MBS代理或MBS服务器随机产生MGTEK,并将产生的MGTEK和该MGTEK的上下文发送到建立相应MBS连接的网关,再由网关将该MGTEK和该MGTEK的上下文发送到建立相应MBS连接的基站,由该基站通知所述终端对该MGTEK进行更新。
此外在所述方法中,如果由所述网络侧的基站决定所述MGTEK的更新,则由该基站随机产生MGTEK,并将产生的MGTEK和该MGTEK的上下文,并通知所述终端对该MGTEK进行更新。
此外在所述方法中,所述MGTEK的上下文包含以下参数之一或其任意组合:
MBS多播组数据安全联盟标识号、MAK标识号、MAK序列号、组密钥加密密钥GKEK、MGTEK标识号、和MGTEK生命周期。
此外在所述方法中,组密钥加密密钥GKEK的更新由所述网络侧的MBS代理/服务器、网关、或基站决定。
本发明还提供了一种网络,包含:
用于在终端注册组播广播业务MBS时生成并下发MBS鉴权密钥MAK的设备;
用于对终端的加入MBS多播组的请求进行鉴权的设备;
用于在鉴权通过后授权该终端加入MBS多播组并向该终端返回该MBS多播组的安全联盟标识的设备;
用于根据所述终端的安全联盟标识下发MBS多播组数据加密密钥MGTEK的设备;和
用于根据所述MAK和MGTEK生成MBS数据加密密钥MTK的设备。
其中,所述网络侧包含基站、网关和MBS服务器;
所述基站用于在收到所述终端的加入MBS多播组的请求但尚未与网关建立该MBS多播组的承载连接时,向该网关请求建立该MBS多播组的承载连接,并在在第一个终端请求建立MBS连接前没有事先获取MBS的包含MAK,MGTEK和MTK的安全联盟信息时,在第一个终端到来请求建立MBS连接时从与该基站相连的网关处获取该MBS多播组的所述安全联盟信息;
所述网关用于在收到基站的建立所述MBS多播组承载连接的请求但尚未与MBS服务器建立该MBS连接时,向该MBS服务器请求建立该MBS连接,并在第一个基站请求建立MBS连接时从MBS服务器获取该MBS多播组的所述安全联盟信息。
此外,所述基站还用于在第一个终端到来请求建立MBS连接时,从所述网关获取所述MBS多播组的MAK、MAK上下文和MGTEK及其上下文;或者,
在第一个终端到来请求建立MBS连接时,从所述网关获取所述MBS多播组的MAK与MAK上下文,并在获得MAK后自身生成所述MGTEK。
此外,所述网络还包含MBS代理;
所述网关还用于在建立所述MBS连接时,从所述MBS服务器或MBS代理获取所述MBS多播组的MAK与MAK上下文和MGTEK及其上下文;或者,
在建立所述MBS连接时,从所述MBS服务器或MBS代理获取所述MBS多播组的MAK与MAK上下文,并在获得MAK后自身生成MGTEK。
此外,所述MAK的更新由所述MBS服务器决定;
所述MGTEK和组密钥加密密钥GKEK的更新由所述MBS服务器/代理、网关、或基站决定。
本发明还提供了一种终端设备,包含:
用于在向网络侧注册组播广播业务MBS时获取MBS鉴权密钥MAK的模块;
用于向网络侧请求加入MBS多播组,并在被授权加入时获取该MBS多播组的安全联盟标识的模块;
用于根据安全联盟标识从网络侧获取MBS多播组数据加密密钥MGTEK的模块;和
用于根据获取到的MAK和MGTEK生成MBS数据加密密钥MTK的模块。
通过比较可以发现,本发明的技术方案与现有技术的主要区别在于,由终端在注册MBS时获取MAK,并在获取到该MAK后向网络侧请求加入MBS多播组,网络侧对该终端的请求进行鉴权,并在鉴权通过后向该终端返回所述MBS多播组的安全联盟标识。终端根据得到的安全联盟标识从网络侧获取MGTEK,并根据获取到的MAK和该MGTEK得到MTK。如果网络侧的基站在收到终端的建立MBS连接的请求时,发现自身尚未与网关建立该MBS多播组的连接,则向该网关请求建立该MBS多播组的连接,并在建立该连接时从该网关获取相关的安全联盟信息和MBS密钥。如果网关发现自身尚未与MBS服务器建立该MBS多播组的连接,则向该MBS服务器请求建立该MBS多播组的连接,并在建立该连接时从该MBS服务器获取相关的安全联盟信息和MBS密钥。
解决了WiMAX网络中终端和网络侧如何获取MBS密钥的问题,保证了终端和网络侧能够获得正确的MBS密钥。网络侧在终端已加入了MBS多播组后再向其下发MGTEK,保证了只有经过鉴权后的终端才能获得MBS密钥及网络侧能够用正确的密钥加密MBS业务数据,获得授权的终端能够用正确的密钥解密数据,得到想要的数据。终端只有在获取了MAK后才能被准许加入接收这一MBS业务数据的多播组,保证了经过鉴权的终端能够正确可靠地接收MBS业务数据以及MBS业务只能被授权的终端接收。
MBS服务器在MAK的生命周期到期或终端离开所述MBS多播组时,通过下发MAK的更新消息更新该MAK。或者,发送密钥更新消息指示终端请求该MAK进行密钥更新。MAK的更新由MBS服务器决定,GKEK和MGTEK的更新由MBS服务器/代理、网关、或基站决定,各种情况的更新流程为MBS密钥的更新提供了多种具体的实现方式,进一步保证了网络侧能够用正确的密钥加密MBS业务数据,终端能够用正确的密钥解密数据,得到想要的数据。
附图说明
图1是根据现有技术中WiMAX网络架构示意图;
图2是根据现有技术中MBS组密钥层次结构示意图;
图3是根据现有技术中基站更新GKEK和GTEK的流程图;
图4是根据本发明第一实施方式的MBS密钥获取方法流程图;
图5是根据本发明第一实施方式的MBS密钥获取方法中终端注册MBS方法一的流程图;
图6是根据本发明第一实施方式的MBS密钥获取方法中终端注册MBS方法二的流程图;
图7是根据本发明第二实施方式的MBS密钥获取方法流程图;
图8是根据本发明第三实施方式的MBS密钥获取方法中MBS服务器的推过程示意图;
图9是根据本发明第三实施方式的MBS密钥获取方法中MBS服务器通过推过程更新MAK的示意图;
图10是根据本发明第三实施方式的MBS密钥获取方法中MBS服务器通过拉过程更新MAK的示意图;
图11是根据本发明第三实施方式的MBS密钥获取方法中网关更新MGTEK和GKEK的示意图;
图12是根据本发明第三实施方式的MBS密钥获取方法中MBS服务器或MBS代理更新MGTEK和GKEK的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
在本发明中,提供了终端和网络侧如何获取MBS密钥(包括MAK、MGTEK和MTK)的具体方法,以及MAK、MGTEK和用于对该MGTEK加密的GKEK的更新的具体方法,以保证网络侧能够用正确的密钥加密MBS数据,终端能够用正确的密钥解密数据,得到想要的数据。
下面对本发明的第一实施方式进行详细阐述,本发明的第一实施方式涉及MBS的密钥获取方法,具体流程如图4所示。
在步骤401中,终端进行网络的入网和认证过程,其具体细节参见802.16e DraftB协议,在此不再赘述。
接着,进入步骤402,终端建立连接链路,也就是和基站的传输连接。
接着,进入步骤403,终端订阅MBS并获得MBS授权密钥MAK。终端在订阅MBS的过程中需通过认证、授权、计费(Authentication、Authorization、Account,简称“AAA”)服务器的认证(如步骤430′和步骤430″)。本步骤的具体细节将在后文详细阐述。
接着,进入步骤404,终端通过向基站发起DSA过程请求加入MBS多播组,也就是建立MBS链接。如果此时,基站已与网关建立该MBS多播组的承载连接,则直接进入步骤409,如果基站在接收到该终端的建立MBS链接的请求时,尚未与网关建立该MBS多播组的承载连接,则进入步骤405。
在步骤405中,建立R6隧道,即基站向该网关请求建立该MBS多播组的承载连接。如果基站在第一个终端请求建立MBS连接时没有事先获取MBS的包含MAK,MGTEK和MTK的安全联盟信息,则该基站在第一个终端到来请求建立MBS连接时从与该基站相连的网关处获取该MBS多播组的安全联盟信息,该安全联盟信息中还包含MBS多播组安全联盟标识(MBS GSAID)。如果用于对MBS多播组数据加密的MGTEK是由该基站自身生成,则该基站还需向该网关请求该MBS多播组的MAK与MAK上下文;如果MGTEK不是由该基站自身生成,则该基站还需向该网关请求该MBS多播组的MAK、MAK上下文、和MGTEK及其上下文。其中,上下文信息包含密钥标识号、密钥生命周期、密钥更新时间、MBS多播组安全联盟标识、和密钥序列号。
如果网关尚未与MBS服务器(MBS Server)建立该MBS多播组的承载连接,则进入步骤406,建立R3隧道,即用于承载该MBS数据的通道,并向该网关请求该MBS多播组的包括MBS多播组安全联盟标识的安全联盟信息。由于基站在请求建立与该网关的MBS连接时,还请求获取该MBS多播组的MAK和MAK上下文,或MAK,MAK上下文和MGTEK及其上下文。因此,网关在请求建立与MBS服务器的MBS连接时,也需向该MBS服务器或MBS代理(MBS Proxy)请求该MBS多播组的MAK与MAK上下文,并在获得MAK后自身生成MGTEK;或者,直接向该MBS服务器或MBS代理请求该MBS多播组的MAK、MAK上下文、和MGTEK及其上下文,如步骤407。其中,上下文信息包含密钥标识号、密钥生命周期、和密钥更新时间,MBS多播组安全联盟标识,和密钥序列号。
接着,在步骤408中,网关将基站所请求的该MBS多播组的MAK和MAK上下文,或该MBS多播组的MAK、MAK上下文,和MGTEK及其上下文发送给基站。
不难发现,步骤405至步骤408仅在该基站的第一个终端请求建立该MBS的连接时执行,一旦基站与网关,网关与MBS服务器已建立有该MBS的连接时,则无需再执行步骤405至步骤408。
在步骤409中,基站对终端的建立MBS链接的请求进行鉴权,并在验证终端的请求后,授权终端的请求并回复DSA-RSP消息,在该消息中携带MBS域标识号(MBS Zone ID),MBS内容标识,和MBS多播组安全联盟标识,以便告知该终端该MBS域中播放的MBS内容标识以指示终端接收MBS数据,以及该终端被授权的MBS多播组安全联盟标识。
接着,进入步骤410,终端向基站发起密钥请求消息(Key Request),通过在该请求消息携带的MBS多播组安全联盟标识,向网络侧请求该MBS多播组的MGTEK。
接着,进入步骤411,基站下发给该终端所请求的对应MBS多播组安全联盟标识的MGTEK,给建立MBS链接的终端。
接着,进入步骤412,MBS服务器下发MBS数据,基站根据当前使用的MAK和MGTEK生成的MTK,对该MBS数据进行加密。其中,MTK的生成采用现有技术中802.16e中描述的MTK的生成方法。
接着,进入步骤413,基站将加密后的数据在空口发送,终端收到MBS数据包后,用数据包中指示的密钥标号找到对应的MAK和MGTEK来生成MTK,(MTK的生成采用现有技术中802.16e中描述的MTK的生成方法)并根据该MTK解密数据包,得到想要的数据。
由此可见,MBS服务器负责对终端注册、去注册多播业务的鉴权,鉴权方式可用Challenge/Response【RFC1994】或带扩展认证方式,注册和去注册过程可用超文本传输协议(Hyper Text Transfer Protocol,简称“HTTP”)协议或IP协议承载。鉴权成功后,MBS服务器负责生成MAK并分发给终端。
终端负责建立和MBS服务器的共享密钥,向MBS服务器注册和去注册MBS业务,请求和接收从MBS服务器下发的MAK和基站下发的MGTEK并用它们生成数据解密密钥MTK。
基站负责向网关请求MBS密钥或接收网关下发的MBS密钥。
网关负责向MBS服务器请求MBS密钥或接收MBS服务器下发的MBS密钥。
GW向MBS服务器请求MBS密钥或接收MBS服务器下发的MBS密钥。
网络侧的基站和网关在第一个终端到来时建立MBS承载通道和获取MBS密钥。其中,基站在第一个终端建立MBS连接时获取MBS密钥及组安全联盟标识、密钥上下文等参数(通过向网关请求获得或网关主动下发给基站)。网关在第一次建立该MBS业务承载时向MBS服务器获取MBS密钥(通过向MBS服务器请求或MBS服务器下发)。对于多基站接入的MBS业务,MGTEK由网关或接入网MBS代理或MBS服务器随机生成。对于单基站接入的MBS业务,MGTEK由基站或网关或接入网MBS代理或MBS服务器随机生成。
解决了WiMAX网络中终端和网络侧如何获取MBS密钥的问题,保证了终端和网络侧能够获得正确的MBS密钥。网络侧在终端已加入了MBS多播组后再向其下发MGTEK,保证了授权终端才能够获取MBS密钥和用正确的密钥解密数据,得到想要的数据。终端只有在获取了MAK后才能被准许加入接收这一MBS业务数据的多播组,保证终端能够正确可靠地接收MBS业务数据以及MBS业务只能被授权的终端接收。
下面对终端订阅MBS(即MBS注册)过程,也就是MAK的请求过程进行说明,该过程可用HTTP协议或IP协议承载。终端可以在注册MBS时获取MAK,也可以在注册时不获取,而在注册后的适当时机通过请求消息从网络侧获取MAK。
如图5所示,在步骤501中,终端发起某个多播业务的密钥请求,该请求携带MBS-RK(MBS根密钥)生成的扩展认证码,MSID(终端标识),NAI(网络接入标识),MBS Zone ID(MBS域标识),MBS Contents ID(MBS内容标识)。
接着,进入步骤502,当MBS服务器收到终端的请求消息后,由于MBS服务器没有MBS-RK不能对终端进行鉴别,因此MBS服务器向AAA服务器(家乡AAA或漫游情况下的拜访AAA)发“AAA request”消息请求MBS-RK或MBS服务器将终端的扩展认证码转发给AAA服务器进行验证。
接着,进入步骤503,AAA服务器收到MBS服务器的请求,AAA服务器鉴权终端是否订阅了MBS。如果是,AAA用MSK(终端密钥)或EMSK(加密终端密钥)生成MBS-RK用于扩展认证码的验证,AAA返回请求响应鉴权成功消息或下发MBS-RK和MBS-RK上下文给MBS服务器。如果AAA鉴权终端没有订阅此MBS或者扩展头认证失败,则AAA返回鉴权失败消息给MBS服务器。
接着,进入步骤504,如果MBS服务器收到AAA的鉴权成功消息,MBS服务器直接返回MBS密钥回复消息“MBS Key Reply”给终端,并下发MAK和MAK上下文给MS;如果MBS服务器收到H-AAA(家乡AAA)下发的MBS-RK,则MBS服务器对MBS注册请求消息验证成功后返回成功注册指示并下发MAK及上下文给终端,该上下文包含MBS组安全联盟标识,密钥生命周期(key lifetime),MAK标识(MAK ID),MAK序列号(MAK SN),生命周期(Life Time),更新时间(Grace Time),和现在使用的密钥指示。MAK用MBS-RK加密后下发,如果MBS服务器收到鉴权失败消息或用MBS-RK对MBS密钥请求消息“MBS Key Request”验证失败后,MBS服务器返回请求失败消息给终端。
另外,需要说明的是,终端也可以通过如图6所示的流程订阅或注册MBS。
在步骤601中,终端发起某个多播业务的密钥请求,该请求携带终端用户名,MBS-RK或MBS-RK派生的密钥或密钥的哈希值,MSID(终端标识),NAI(网络接入标识),MBS Zone ID(MBS域标识),MBS Contents ID(MBS内容标识),和消息验证码。
接着,在步骤602中,当MBS服务器收到终端的请求消息后,由于MBS服务器没有MBS-RK不能对终端进行鉴别,因此,MBS服务器向AAA服务器(家乡AAA或漫游情况下的拜访AAA)发“AAA request”消息请求MBS-RK或MBS服务器将终端的用户名和密钥发给AAA服务器进行验证。
接着,在步骤603中,AAA服务器收到MBS服务器的请求,AAA服务器根据终端的网络接入标识索引终端的MBS-RK或其派生的密钥验证终端的密钥是否正确,AAA返回成功指示消息或下发MBS-RK或MBS-RK派生的其他密钥及密钥上下文给MBS服务器。
接着,在步骤604中,MBS服务器收到AAA的用户认证成功指示消息,MBS Server直接返回MBS密钥回复消息“MBS Key Reply”给终端,并下发MAK和MAK上下文给终端;或MBS服务器收到AAA下发的MBS-RK或其派生的其他密钥,MBS服务器对终端验证成功后返回成功注册指示并下发MAK及上下文,该上下文包含MBS组安全联盟标识(MBS GSAID),密钥生命周期(key lifetime),MAK标识(MAK ID),MAK序列号(MAK SN),生命周期(Life time),更新时间(Grace Time),和现在使用的密钥指示。MAK用MBS-RK或其派生的密钥加密后下发;如果MBS服务器收到用户认证失败消息或用MBS-RK或其派生密钥对终端验证失败后,MBS服务器返回请求失败消息给终端。
本发明的第二实施方式涉及MBS的密钥获取方法,本实施方式与第一实施方式大致相同,其区别仅在于,在第一实施方式中,终端通过向基站发起DSA过程请求加入MBS多播组,而在本实施方式中,终端通过加入IP组播方式请求加入MBS多播组,其具体流程如图7所示。
步骤701至步骤703分别与步骤401至步骤403完全相同,在此不再赘述。
接着,进入步骤704,终端以IP组播方式请求加入MBS多播组,请求建立MBS连接,即发起“IGMP Join”消息向网关请求加入MBS的多播组。如果是第一个终端请求建立MBS连接,则进入步骤705,否则,直接进入步骤709。
步骤705至步骤708分别与步骤405至步骤408完全相同,在此不再赘述。其中,基站通过RR-REQ和RR-RSP建立和网关的连接(如步骤709和步骤712)。
值得一提的是,如果接入网内由MBS代理来统一分发MBS密钥和MBS数据,则网关在第一个终端请求建立MBS连接时向MBS代理请求MBS密钥,MBS代理下发MBS密钥给网关,供其后续使用。
在步骤710和步骤711中,基站通过发送DSA过程建立和终端的空口承载,通知终端该MBS中的MBS内容标识和终端被授权的MBS组安全联盟标识。
步骤713至步骤716分别与步骤410至步骤413完全相同,在此不再赘述。
由此可见,本实施方式同样解决了WiMAX网络中终端和网络侧如何获取MBS密钥的问题,保证了终端和网络侧能够获得正确的MBS密钥。
本发明的第三实施方式涉及MBS的密钥获取方法,本实施方式在第一实施方式的基础上增加了MAK、MGTEK和GKEK的更新流程。
其中,MAK的更新由网络侧的MBS服务器决定。MBS服务器可通过发起MAK的推过程或拉过程进行MAK的更新。
MAK的推过程指的是当MAK的生命周期到期或MBS多播组成员变化时,MBS服务器将MAK以推模式下发给终端,如图8所示。
具体地说,MBS服务器将MAK及其上下文(MBS-RK ID,MAK ID,MAK SN,Life time,Grace Time,现在使用的密钥指示等)下发到多播域的各网关,各网关再下发到建立该MBS业务传输的基站中,如图9所示。携带MAK及其上下文的MAK更新消息通过用户数据报协议(User DatagramProtocol,简称“UDP”)传输给终端,该消息用高层协议HTTP或IP协议承载单播发送给终端。MAK的更新消息可用MBS-RK或MBS-RK派生的密钥加密后发送。在消息扩展里带的MBS-RK ID指示用于验证消息完整性和UPD数据加密所用的密钥便于终端用同样的密钥来验证消息完整性和数据解密。
MAK的拉过程指的是在终端的MAK快过期并且MBS服务器想对终端做重鉴权再更新MAK时,MBS服务器发送密钥更新指示消息指示终端请求新的MAK,终端收到所述密钥更新指示消息后,通过发起MAK请求过程获取新的MAK。
具体地说,如图10所示,MBS服务器发送密钥更新消息给终端,并在消息扩展中的MAK ID字段填0指示终端去请求新的MAK。密钥更新消息需要做完整性保护,在消息净荷里需要带消息验证码[RFC2104]供终端收到消息后验证,消息验证码可用MBS-RK或由MBS-RK派生的密钥生成。终端收到MBS服务器的密钥更新消息后,发起密钥请求过程(该过程和初次请求MAK的过程相同)。
MGTEK和GKEK的更新可由网关、MBS服务器或MBS代理、或基站决定。
网关决定MGTEK和GKEK的更新流程如图11所示,网关随机产生MGTEK并下发MGTEK及其上下文到建立该MBS传输连接的基站中,该上下文包含MBS组安全联盟标识(MGSAID),MAK标识(MAK ID),MAK序列号(MAK SN),GKEK,MGTEK标识(MGTEK ID),MGTEK生命周期(MGTEK lifetime)。基站采用802.16e/D12中密钥更新命令消息“Key Update Command”对多播组的终端进行GKEK和MGTEK更新。在MGTEK的更新时间(Grace Time)到来之前,如果GKEK需要更新,则先在主管理连接上进行GKEK的更新(GKEK也可不更新,一个GKEK可以加密多个MGTEK)。在MGTEK的Grace Time到来时,再在多播连接进行MGTEK的更新,MGTEK用GKEK加密。
MBS服务器或MBS代理决定MGTEK和GKEK的更新流程如图12所示,MBS服务器或MBS代理随机产生MGTEK并下发MGTEK及其上下文(MGSAID,MAK ID,MAK SN,GKEK,MGTEK ID,MGTEK lifetime)到建立该MBS业务传输连接的网关中。网关下发MGTEK及其上下文(MGSAID,MAK ID,MAK SN,GKEK ID,MGTEK ID,MGTEKlifetime)到建立该MBS业务传输连接的基站中。基站采用802.16e/D12中密钥更新命令消息“Key Update Command”对多播组的终端进行GKEK和MGTEK更新,在MGTEK的更新时间(Grace Time)到来之前,如果GKEK需要更新,则先在主管理连接上进行GKEK的更新(GKEK也可不更新,一个GKEK可以加密多个MGTEK)。在MGTEK的Grace Time到来时,再在广播连接进行MGTEK的更新,MGTEK用GKEK加密。
对于单基站接入的MBS,由基站决定MGTEK和GKEK的更新。基站采用802.16e/D12中密钥更新命令消息“Key Update Command”对多播组的终端进行GKEK和MGTEK更新,在MGTEK的更新时间(Grace Time)到来之前,如果GKEK需要更新,则基站先在主管理连接上进行GKEK的更新(GKEK也可不更新,一个GKEK可以加密多个MGTEK)。在MGTEK的GraceTime到来时,再在广播连接进行MGTEK的更新,MGTEK用GKEK加密。基站随机产生MGTEK并下发MGTEK及其上下文(MGSAID,MAK ID,MAK SN,GKEK,MGTEK ID,MGTEK lifetime到终端中。基站更新GKEK和MGTEK的过程同以上情况的更新流程相同。
由此可见,在本实施方式中提供的各种MBS密钥的更新流程进一步保证了网络侧能够用正确的密钥加密MBS业务数据,终端能够用正确的密钥解密数据,得到想要的数据。
本发明的第四实施方式涉及一种网络,包含:用于在终端注册MBS时生成并下发MBS鉴权密钥MAK的设备;用于对终端的加入MBS多播组的请求进行鉴权的设备;用于在鉴权通过后授权该终端加入MBS多播组并向该终端返回该MBS多播组的安全联盟标识的设备;用于根据MBS多播组安全联盟标识下发MGTEK的设备;和用于根据MAK和MGTEK生成MTK的设备。
该网络还包含基站、网关、MBS服务器、和MBS代理。该基站用于在收到终端的加入MBS多播组的请求但尚未与网关建立该MBS多播组的承载连接时,向该网关请求建立该MBS多播组的承载连接,并在在第一个终端请求建立MBS连接前没有事先获取MBS的包含MAK,MGTEK和MTK的安全联盟信息时,在第一个终端到来请求建立MBS连接时从与该基站相连的网关处获取该MBS多播组的安全联盟信息。如果基站能自身生成MGTEK,则该基站在第一个终端到来请求建立MBS连接时,从网关获取MBS多播组的MAK与MAK上下文,并在获得MAK后自身生成MGTEK;否则,该基站在第一个终端到来请求建立MBS连接时,从网关获取MBS多播组的MAK、MAK上下文和MGTEK及其上下文。
网关用于在收到基站的建立MBS多播组承载连接的请求但尚未与MBS服务器建立该MBS连接时,向该MBS服务器请求建立该MBS连接,并在第一个基站请求建立MBS连接时从MBS服务器获取该MBS多播组的安全联盟信息。如果该网关能自身生成MGTEK,则在建立该MBS连接时,从MBS服务器或MBS代理获取该MBS多播组的MAK与MAK上下文,并在获得MAK后自身生成MGTEK;否则,该网关在建立该MBS连接时,从MBS服务器或MBS代理获取该MBS多播组的MAK与MAK上下文和MGTEK及其上下文。
其中,MAK的更新由MBS服务器决定;MGTEK和GKEK的更新由MBS服务器/代理、网关、或基站决定。从而解决了WiMAX网络中网络侧如何获取和更新MBS密钥的问题,保证了网络侧能够用正确的密钥加密MBS业务数据。
本发明的第五实施方式涉及一种终端设备,包含:用于在向网络侧注册MBS时获取MAK的模块;用于向网络侧请求加入MBS多播组,并在被授权加入时获取该MBS多播组的安全联盟标识的模块;用于根据安全联盟标识从网络侧获取MGTEK的模块;和用于根据获取到的MAK和MGTEK生成MTK的模块。解决了WiMAX网络中终端如何获取和更新MBS密钥的问题,保证了终端能够用正确的密钥解密数据,得到想要的数据。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (24)
1.一种组播广播业务的密钥获取方法,其特征在于,包含以下步骤:
终端获取MBS鉴权密钥MAK;
终端向网络侧发起请求加入MBS多播组,网络侧对所述终端的请求进行鉴权,并在鉴权通过后授权该终端加入MBS多播组并向该终端返回所述MBS多播组的安全联盟标识;
所述终端根据得到的所述安全联盟标识从网络侧获取MBS多播组数据加密密钥MGTEK;
所述终端和网络侧根据所述MAK和MGTEK生成MBS数据加密密钥MTK。
2.根据权利要求1所述的组播广播业务的密钥获取方法,其特征在于,所述终端在注册组播广播业务MBS时获取MBS鉴权密钥MAK。
3.根据权利要求1所述的组播广播业务的密钥获取方法,其特征在于,所述终端通过向基站发起动态服务流创建过程或加入IP组播方式请求加入MBS多播组;
如果所述基站尚未与网关建立该MBS多播组的承载连接,则向该网关请求建立该MBS多播组的承载连接;
如果所述基站在第一个终端请求建立MBS连接时没有事先获取MBS的包含MAK,MGTEK和MTK的安全联盟信息,则该基站在第一个终端到来请求建立MBS连接时从与该基站相连的网关处获取该MBS多播组的所述安全联盟信息。
4.根据权利要求3所述的组播广播业务的密钥获取方法,其特征在于,如果由所述基站自身生成所述MGTEK,则所述基站在第一个终端到来请求建立MBS连接时,从所述网关获取所述MBS多播组的MAK与MAK上下文;否则,
所述基站在建立所述MBS连接时,从所述网关获取所述MBS多播组的MAK、MAK上下文和MGTEK及其上下文。
5.根据权利要求3所述的组播广播业务的密钥获取方法,其特征在于,如果网关尚未与MBS服务器建立该MBS连接,则向该MBS服务器请求建立该MBS连接,并在第一个基站请求建立MBS连接时从MBS服务器获取该MBS多播组的所述安全联盟信息。
6.根据权利要求5所述的组播广播业务的密钥获取方法,其特征在于,所述网关在建立所述MBS连接时,从所述MBS服务器或MBS代理获取所述MBS多播组的MAK与MAK上下文,该网关在获得MAK后自身生成MGTEK;或者,直接从所述MBS服务器或MBS代理获取所述MBS多播组的MAK与MAK上下文及MGTEK与MGTEK上下文。
7.根据权利要求2所述的组播广播业务的密钥获取方法,其特征在于,用于注册MBS的注册消息和请求所述MBS授权密钥MAK的请求消息包含以下参数之一或其任意组合:
终端用户名、MBS根密钥或MBS根密钥派生的密钥、终端标识号、网络接入标识、MBS域标识、MBS内容标识、和消息验证码。
8.根据权利要求2所述的组播广播业务的密钥获取方法,其特征在于,用于注册所述MBS的注册消息和请求所述MBS授权密钥MAK的请求消息包含以下参数之一或其任意组合::
终端用户名、MBS根密钥或MBS根密钥派生的密钥的哈希值、终端标识号、网络接入标识、MBS域标识、MBS内容标识、和消息验证码。
9.根据权利要求4或6所述的组播广播业务的密钥获取方法,其特征在于,所述上下文包含以下之一或其任意组合:
密钥标识号、密钥生命周期、密钥更新时间,MBS多播组安全联盟标识,和密钥序列号。
10.根据权利要求1至8中任一项所述的组播广播业务的密钥获取方法,其特征在于,当所述MAK的生命周期到期或MBS多播组成员变化时,由所述MBS服务器决定更新该MAK;
当所述MBS服务器决定更新所述MAK时,将MAK的更新消息发送到建立相应MBS连接的网关,再由网关下发到建立相应MBS连接的基站。
11.根据权利要求10所述的组播广播业务的密钥获取方法,其特征在于,所述MAK的更新消息包含更新后的MAK和更新后的MAK的上下文。
12.根据权利要求11所述的组播广播业务的密钥获取方法,其特征在于,所述MAK的更新消息在根据MBS根密钥或MBS根密钥的派生密钥加密后,再发送给所述终端。
13.根据权利要求1至8中任一项所述的组播广播业务的密钥获取方法,其特征在于,所述MAK通过以下方式更新:
所述MBS服务器发送密钥更新消息指示所述终端请求新的MAK;
所述终端收到所述密钥更新指示消息后,通过发起MAK请求过程获取新的MAK。
14.根据权利要求1所述的组播广播业务的密钥获取方法,其特征在于,如果由所述网络侧的网关决定所述MGTEK的更新,则由该网关随机产生MGTEK,并将产生的MGTEK和该MGTEK的上下文发送到建立相应MBS连接的基站,由该基站通知所述终端对该MGTEK进行更新。
15.根据权利要求1所述的组播广播业务的密钥获取方法,其特征在于,如果由所述网络侧的MBS代理或MBS服务器决定所述MGTEK的更新,则由该MBS代理或MBS服务器随机产生MGTEK,并将产生的MGTEK和该MGTEK的上下文发送到建立相应MBS连接的网关,再由网关将该MGTEK和该MGTEK的上下文发送到建立相应MBS连接的基站,由该基站通知所述终端对该MGTEK进行更新。
16.根据权利要求1所述的组播广播业务的密钥获取方法,其特征在于,如果由所述网络侧的基站决定所述MGTEK的更新,则由该基站随机产生MGTEK,并将产生的MGTEK和该MGTEK的上下文,并通知所述终端对该MGTEK进行更新。
17.根据权利要求14至16中任一项所述的组播广播业务的密钥获取方法,其特征在于,所述MGTEK的上下文包含以下参数之一或其任意组合:
MBS多播组数据安全联盟标识号、MAK标识号、MAK序列号、组密钥加密密钥GKEK、MGTEK标识号、和MGTEK生命周期。
18.根据权利要求14至16中任一项所述的组播广播业务的密钥获取方法,其特征在于,组密钥加密密钥GKEK的更新由所述网络侧的MBS代理/服务器、网关、或基站决定。
19.一种网络,其特征在于,包含:
用于在终端注册组播广播业务MBS时生成并下发MBS鉴权密钥MAK的设备;
用于对终端的加入MBS多播组的请求进行鉴权的设备;
用于在鉴权通过后授权该终端加入MBS多播组并向该终端返回该MBS多播组的安全联盟标识的设备;
用于根据所述终端的安全联盟标识下发MBS多播组数据加密密钥MGTEK的设备;和
用于根据所述MAK和MGTEK生成MBS数据加密密钥MTK的设备。
20.根据权利要求19所述的网络,其特征在于,所述网络侧包含基站、网关和MBS服务器;
所述基站用于在收到所述终端的加入MBS多播组的请求但尚未与网关建立该MBS多播组的承载连接时,向该网关请求建立该MBS多播组的承载连接,并在在第一个终端请求建立MBS连接前没有事先获取MBS的包含MAK,MGTEK和MTK的安全联盟信息时,在第一个终端到来请求建立MBS连接时从与该基站相连的网关处获取该MBS多播组的所述安全联盟信息;
所述网关用于在收到基站的建立所述MBS多播组承载连接的请求但尚未与MBS服务器建立该MBS连接时,向该MBS服务器请求建立该MBS连接,并在第一个基站请求建立MBS连接时从MBS服务器获取该MBS多播组的所述安全联盟信息。
21.根据权利要求20所述的网络,其特征在于,所述基站还用于在第一个终端到来请求建立MBS连接时,从所述网关获取所述MBS多播组的MAK、MAK上下文和MGTEK及其上下文;或者,
在第一个终端到来请求建立MBS连接时,从所述网关获取所述MBS多播组的MAK与MAK上下文,并在获得MAK后自身生成所述MGTEK。
22.根据权利要求20所述的网络,其特征在于,所述网络还包含MBS代理;
所述网关还用于在建立所述MBS连接时,从所述MBS服务器或MBS代理获取所述MBS多播组的MAK与MAK上下文和MGTEK及其上下文;或者,
在建立所述MBS连接时,从所述MBS服务器或MBS代理获取所述MBS多播组的MAK与MAK上下文,并在获得MAK后自身生成MGTEK。
23.根据权利要求22所述的网络,其特征在于,所述MAK的更新由所述MBS服务器决定;
所述MGTEK和组密钥加密密钥GKEK的更新由所述MBS服务器/代理、网关、或基站决定。
24.一种终端设备,其特征在于,包含:
用于在向网络侧注册组播广播业务MBS时获取MBS鉴权密钥MAK的模块;
用于向网络侧请求加入MBS多播组,并在被授权加入时获取该MBS多播组的安全联盟标识的模块;
用于根据安全联盟标识从网络侧获取MBS多播组数据加密密钥MGTEK的模块;和
用于根据获取到的MAK和MGTEK生成MBS数据加密密钥MTK的模块。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101390058A CN101150396B (zh) | 2006-09-20 | 2006-09-20 | 组播广播业务的密钥获取方法、网络及终端设备 |
| PCT/CN2007/070739 WO2008040242A1 (fr) | 2006-09-20 | 2007-09-20 | Procédé, réseau et dispositif de terminal permettant d'obtenir une clé de service de multidiffusion/diffusion |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101390058A CN101150396B (zh) | 2006-09-20 | 2006-09-20 | 组播广播业务的密钥获取方法、网络及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101150396A true CN101150396A (zh) | 2008-03-26 |
| CN101150396B CN101150396B (zh) | 2012-04-25 |
Family
ID=39250752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101390058A Active CN101150396B (zh) | 2006-09-20 | 2006-09-20 | 组播广播业务的密钥获取方法、网络及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101150396B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009129703A1 (zh) * | 2008-04-21 | 2009-10-29 | 华为技术有限公司 | 一种通用业务接口系统注册的方法与设备 |
| CN101345677B (zh) * | 2008-08-21 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 一种增强广播或组播系统安全性的方法 |
| CN101754327B (zh) * | 2008-12-01 | 2012-08-08 | 华为技术有限公司 | 多媒体广播/组播业务提供方法、装置及基站 |
| US8595486B2 (en) | 2008-07-15 | 2013-11-26 | Industrial Technology Research Institute | Systems and methods for authorization and data transmission for multicast broadcast services |
| CN105978876A (zh) * | 2016-05-11 | 2016-09-28 | 杭州图南电子有限公司 | 一种应用在广播通讯中的指令加密方法 |
| CN107431881A (zh) * | 2015-02-24 | 2017-12-01 | 苹果公司 | 周边感知联网数据路径‑往复和共存 |
| CN107852406A (zh) * | 2015-07-06 | 2018-03-27 | 赤多尼科两合股份有限公司 | 安全组通信 |
| CN115918119A (zh) * | 2020-08-19 | 2023-04-04 | Oppo广东移动通信有限公司 | 密钥更新方法、装置、设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100403814C (zh) * | 2004-11-25 | 2008-07-16 | 华为技术有限公司 | 一种组播广播业务密钥控制方法 |
| CN1801705B (zh) * | 2005-01-07 | 2011-01-05 | 华为技术有限公司 | 一种预认证方法 |
| WO2006075869A1 (en) * | 2005-01-11 | 2006-07-20 | Samsung Electronics Co., Ltd. | Apparatus and method for ciphering/deciphering a signal in a communication system |
-
2006
- 2006-09-20 CN CN2006101390058A patent/CN101150396B/zh active Active
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009129703A1 (zh) * | 2008-04-21 | 2009-10-29 | 华为技术有限公司 | 一种通用业务接口系统注册的方法与设备 |
| US8595486B2 (en) | 2008-07-15 | 2013-11-26 | Industrial Technology Research Institute | Systems and methods for authorization and data transmission for multicast broadcast services |
| CN101345677B (zh) * | 2008-08-21 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 一种增强广播或组播系统安全性的方法 |
| CN101754327B (zh) * | 2008-12-01 | 2012-08-08 | 华为技术有限公司 | 多媒体广播/组播业务提供方法、装置及基站 |
| CN107431881A (zh) * | 2015-02-24 | 2017-12-01 | 苹果公司 | 周边感知联网数据路径‑往复和共存 |
| US12069765B2 (en) | 2015-02-24 | 2024-08-20 | Apple Inc. | Neighbor awareness networking datapath—reciprocation and coexistence |
| CN107852406A (zh) * | 2015-07-06 | 2018-03-27 | 赤多尼科两合股份有限公司 | 安全组通信 |
| US11019045B2 (en) | 2015-07-06 | 2021-05-25 | Tridonic Gmbh & Co Kg | Secure group communication |
| CN107852406B (zh) * | 2015-07-06 | 2021-06-01 | 赤多尼科两合股份有限公司 | 用于控制分组数据的加密多播发送的方法和装置 |
| CN105978876A (zh) * | 2016-05-11 | 2016-09-28 | 杭州图南电子有限公司 | 一种应用在广播通讯中的指令加密方法 |
| CN105978876B (zh) * | 2016-05-11 | 2019-04-23 | 杭州图南电子股份有限公司 | 一种应用在广播通讯中的指令加密方法 |
| CN115918119A (zh) * | 2020-08-19 | 2023-04-04 | Oppo广东移动通信有限公司 | 密钥更新方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101150396B (zh) | 2012-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5580401B2 (ja) | Imsベースのマルチメディアブロードキャスト及びマルチキャストサービス(mbms)におけるセキュリティキー管理 | |
| CN101150396B (zh) | 组播广播业务的密钥获取方法、网络及终端设备 | |
| KR100605822B1 (ko) | 이동통신 시스템에서 암호화를 이용한 방송 서비스 방법및 그 시스템 | |
| US8385248B2 (en) | System and method for multicast and broadcast service | |
| US8184569B2 (en) | Method for terminal to join multicast broadcast service in wireless network and system using thereof | |
| JP5288210B2 (ja) | ネットワークでのユニキャスト鍵の管理方法およびマルチキャスト鍵の管理方法 | |
| CN101155343B (zh) | 无线网络中终端加入多播广播业务的方法及其系统 | |
| KR100836028B1 (ko) | 멀티캐스트 브로드캐스트 서비스 제공 방법 | |
| US9467285B2 (en) | Security of a multimedia stream | |
| US20100153709A1 (en) | Trust Establishment From Forward Link Only To Non-Forward Link Only Devices | |
| KR20050057090A (ko) | 모바일 통신 시스템에서의 안전한 데이터 송신을 위한 방법 및 장치 | |
| KR20070102722A (ko) | 통신 시스템에서 사용자 인증 및 권한 부여 | |
| WO2011120249A1 (zh) | 一种适合组呼系统的组播密钥协商方法及系统 | |
| US20240129746A1 (en) | A method for operating a cellular network | |
| WO2022027522A1 (zh) | 一种安全通信方法以及装置 | |
| US20090196424A1 (en) | Method for security handling in a wireless access system supporting multicast broadcast services | |
| US20240015008A1 (en) | Method and device for distributing a multicast encryption key | |
| WO2008049368A1 (fr) | Procédé et système de gestion du service de diffusion générale et de multidiffusion | |
| CN101150467B (zh) | 通信系统及终端加入组播广播业务的方法 | |
| CN101990203B (zh) | 基于通用自引导架构的密钥协商方法、装置及系统 | |
| WO2008040242A1 (fr) | Procédé, réseau et dispositif de terminal permettant d'obtenir une clé de service de multidiffusion/diffusion | |
| KR100929429B1 (ko) | 통신 시스템에서 정적 멀티캐스트 방송 서비스 제공 시스템및 방법 | |
| KR100934708B1 (ko) | 통신 시스템에서 멀티캐스트 방송 서비스 지원 시스템 및방법 | |
| CN116918300A (zh) | 用于操作蜂窝网络的方法 | |
| CN116830533A (zh) | 用于分发多播加密密钥的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice |
Addressee: Zhou Hua Document name: Notification of Passing Examination on Formalities |
|
| DD01 | Delivery of document by public notice | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211221 Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province Patentee after: xFusion Digital Technologies Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |