CN101316437A - 一种分配组播传输密钥的方法及系统 - Google Patents
一种分配组播传输密钥的方法及系统 Download PDFInfo
- Publication number
- CN101316437A CN101316437A CN 200710106442 CN200710106442A CN101316437A CN 101316437 A CN101316437 A CN 101316437A CN 200710106442 CN200710106442 CN 200710106442 CN 200710106442 A CN200710106442 A CN 200710106442A CN 101316437 A CN101316437 A CN 101316437A
- Authority
- CN
- China
- Prior art keywords
- key
- subscriber equipment
- application server
- multicast broadcast
- mbms
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/601—Broadcast encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种分配组播传输密钥的方法,包括:A.用户设备向自身请求的多媒体广播/组播(MBMS)业务所对应的基于互联网协议的IMS应用服务器请求组播传播密钥;B.所述应用服务器根据用户设备当前请求的MBMS业务,为该用户设备分配与该业务对应的组播传播密钥。另外,本发明还提供了一种分配组播传播密钥的系统、一种用户终端、一种应用服务器。通过使用本发明所提供的技术方案,能够为使用同一MBMS业务的用户设备分配接收该MBMS业务所需的组播传播密钥。采用本发明的技术方案,通过在用户设备与应用服务器之间的安全通道上分配组播传播密钥,可以在实现分配组播传播密钥的基础上,进一步保证组播传播密钥分配过程中的安全性。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种在基于互联网协议(IP)的多媒体子系统(IMS,IP Multimedia Subsystem)的MBMS业务传输中分配组播传输密钥(MTF)的方法及系统。
背景技术
IMS系统是一种基于IP并逐渐向扁平化演进的移动网络。它提供了面向分组数据包交换的多媒体服务及平台,可使运营商和终端用户从多媒体服务的革新中获取更快速、更灵活的应用。同时在现有技术中,为了有效地利用移动网络资源,WCDMA/GSM全球标准化组织3GPP提出了多媒体广播/组播(MBMS,Multimedia Broadcast/Multicast Service)标准。MBMS技术实现了在移动网络中从一个数据源向多个用户发送数据的点到多点业务,实现了网络资源共享,提高了网络资源的利用率,尤其是空口接口资源。
在现有技术中,新的应用形式要求将IMS业务的部分媒体流通过现有移动网络中广播与多播网络架构传输中,比如包括语音(voice),视频(video)和数据业务的多媒体无线一键通(PoC)业务,可以将其中的部分数据业务通过组播实现,以节省空口带宽。在该应用中,基于现有的IMS系统的安全机制,虽然能够提供用户设备(UE)与应用服务器(AS)之间的安全通道,保障用户设备与应用服务器之间点到点的通信。但是,MBMS业务是一个点到多点的业务,按照现有的IMS安全机制,是无法保证MBMS业务数据的安全。
因此,为了保障MBMS业务数据包的安全传输,通常的做法就是对应用服务器发送的MBMS业务数据包进行加密,然后将加密后的数据包发送给各使用该业务的用户设备。但是,享受MBMS业务的各用户如果需要成功解密应用服务器发送的数据包,就需要得到与该业务对应的组播传输密钥(MTK)。因此,如何实现使用同一业务的用户拥有相同的密钥,是目前保障MBMS业务安全应用到IMS系统中一个亟待解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种分配组播传播密钥的方法,应用本发明所提供的方法能够为用户设备分配接收MBMS数据包的组播传播密钥。
本发明提供了一种分配组播传输密钥的方法,该方法包括以下步骤:
A、用户设备向自身请求的MBMS业务所对应的IMS系统应用服务器请求组播传播密钥;
B、所述应用服务器根据用户设备当前请求的MBMS业务,为该用户设备分配与该业务对应的组播传播密钥。
较佳地,步骤B中,所述应用服务器根据用户设备请求的MBMS业务分配组播传播密钥的操作包括:
所述应用服务器根据用户设备请求的MBMS业务确定组播传播密钥,并将其发送给所述用户设备。
较佳地,该方法进一步包括:应用服务器预先为自身所提供的MBMS业务配置组播传播密钥;
所述应用服务器确定组播传播密钥的步骤包括:所述应用服务器根据预先配置的组播传播密钥,确定所述MBMS业务对应的组播传播密钥。
较佳地,所述密钥请求中携带所述用户设备当前请求的MBMS业务标识;
所述应用服务器确定组播传播密钥的步骤包括:所述应用服务器根据密钥请求中携带的MBMS业务标识,采用与该MBMS业务对应的密钥生成算法生成组播传播密钥。
较佳地,步骤B中,所述应用服务器根据用户设备请求的MBMS业务分配组播传播密钥的操作包括:
所述应用服务器将生成所述组播传播密钥所需的密钥生成信息发送给用户设备,由用户设备生成组播传播密钥。
较佳地,所述密钥生成信息包括:密钥生成参数和基本密钥;
所述用户设备生成组播传播密钥的操作为:用户设备根据密钥生成参数和基本密钥生成组播传播密钥。
较佳地,所述基本密钥根据共享信息生成;所述用户设备生成组播传播密钥的操作为:
用户设备根据自身的共享信息,利用密钥生成参数除去基本密钥中共享信息的因素,计算得到组播传播密钥。
较佳地,所述应用服务器将密钥生成信息发送给用户设备为:所述应用服务器将密钥生成参数和基本密钥分别发送给用户设备;在确认用户设备得到其中一项信息后,再将另一项发送给用户设备。
较佳地,所述用户设备通过向所述应用服务器发送业务启动请求消息请求密钥。
较佳地,在执行步骤A之前,该方法进一步包括:
当用户设备向IMS系统注册时,IMS系统建立用户设备与IMS系统之间的安全通道;
所述发送请求密钥和分配组播传播密钥的操作,在所述建立的安全通道上执行。
另外,本发明的又一主要目的在于提供一种分配组播传播密钥的系统,该系统能够为使用MBMS业务的用户设备分配组播传播密钥。
根据本发明的这个方面,本发明所提供的分配组播传输密钥的系统,至少包括用户设备和应用服务器;
所述用户设备,用于向自身请求的MBMS业务所对应的应用服务器请求密钥;并接收应用服务器分配的组播传播密钥;
所述应用服务器,用于接收到用户设备发送的密钥请求,并根据用户设备当前请求的MBMS业务分配与该业务对应的组播传播密钥,发送给所述用户设备。
较佳地,
所述应用服务器,用于将生成组播传播密钥的密钥生成信息发送给用户设备;
所述用户设备;用于根据收到的密钥生成信息生成组播传播密钥。
较佳地,该系统进一步包括:代理呼叫会话控制功能P-CSCF,用于连接用户设备和应用服务器;
所述用户设备,用于通过自身与P-CSCF之间的安全连接,与应用服务器进行交互;
所述应用服务器,用于通过自身与P-CSCF之间的安全连接,与用户设备进行交互。
再者,本发明的又一主要目的在于提供一种用户终端,该用户终端能够获得解密MBMS业务所需的组播传播密钥。
本发明所提供的用户终端,至少包括:控制单元、发送单元和接收单元;
所述控制单元,与发送单元和接收单元相连,用于通过发送单元向请求的多媒体广播/组播业务对应的应用服务器请求密钥;并通过接收单元接收应用服务器所分配的组播传输密钥;
所述发送单元,与控制单元相连,用于根据控制单元的指示,发送密钥请求;
所述接收单元,与控制单元相连,用于将接收到的组播传播密钥发送至控制单元。
较佳地,该用户终端进一步包括计算单元;
所述接收单元,用于将接收到的密钥生成信息发送给计算单元;
所述计算单元,用于根据接收单元发送的密钥生成信息计算得到组播传播密钥,并发送给控制单元。
较佳地,所述发送单元和接收单元,分别用于通过自身与代理呼叫会话控制功能之间的安全连接,向所述应用服务器发送、以及接收所述应用服务器发送的用于分配组播传播密钥的消息。
最后,本发明的又一主要目的在于提供一种用于分配组播传播密钥的应用服务器,该应用服务器能够为用户分配保证MBMS业务安全所需的组播传播密钥。
根据本发明的这个方面,本发明所提供的应用服务器包括:处理单元、发送单元、和接收单元;
所述处理单元,与发送单元和接收单元相连,用于通过接收单元接收用户设备发送的密钥请求,为所述用户设备请求的多媒体广播/组播业务生成组播传输密钥,或生成组播传播密钥所需的密钥生成参数,并通过发送单元发送给所述用户设备;
所述接收单元,与处理单元相连,用于将收到的密钥请求消息发送给处理单元;
所述发送单元,与处理单元相连,用于根据处理单元的指示,将组播传播密钥发送给所述用户设备。
较佳地,所述发送单元和接收单元,分别用于通过自身与代理呼叫会话控制功能之间的安全连接,向所述用户设备发送、以及接收所述用户设备发送的用于分配组播传播密钥的消息。
本发明所提供的一种分配组播传播密钥的方法,当用户设备向应用服务器申请MBMS业务时,由应用服务器根据用户设备当前申请的MBMS业务,向用户设备分配解密该MBMS业务数据包的组播传播密钥。在本发明的技术方案中,通过应用服务器在用户设备申请MBMS业务时,为用户设备分配解密该业务所需的组播传播密钥,从而保证使用同一MBMS业务的用户拥有相同的密钥。另外,本发明还提供了一种分配组播传播密钥的系统、一种用户终端、一种IMS网络中的用于分配组播传播密钥的应用服务器。通过使用本发明所提供的技术方案,能够为使用同一MBMS业务的用户设备分配接收该MBMS业务所需的组播传播密钥。同时,在本发明的技术方案,通过在用户设备与应用服务器之间的安全通道上分配组播传播密钥,从而在本发明技术方案能够实现分配组播传播密钥的基础上,进一步保证了组播传播密钥分配过程中的安全性。
附图说明
下面将通过参照附图详细描述本发明的示例性实施例,使本领域的普通技术人员更清楚本发明的上述及其它特征和优点。附图中:
图1为本发明方法的示例性流程图;
图2为本发明系统的示例性结构图;
图3为本发明第一较佳实施例方法的流程图;
图4为本发明第一较佳实施例系统的结构图;
图5为本发明第二较佳实施例方法的流程图;
图6为本发明第二较佳实施例系统的结构图。
具体实施方式
为了实现本发明的发明目的,本发明实施方式主要采用的技术方案是,当用户设备向IMS网络中的应用服务器申请MBMS业务时,由应用服务器根据用户设备当前所申请的MBMS业务,向用户设备分配解密该MBMS业务数据包的组播传播密钥。在本发明的技术方案中,通过应用服务器在用户设备申请MBMS业务时,为用户设备分配解密该业务所需的组播传播密钥,从而保证使用同一MBMS业务的用户拥有相同的密钥。
参见图1,图1为本发明方法的示例性流程图。具体流程如下:在步骤101中,当用户设备确定了自身要访问的MBMS业务之后,用户设备向该MBMS业务对应的IMS网络内的应用服务器发送密钥请求消息;在步骤102中,应用服务器收到用户设备发送的密钥请求消息后,根据用户设备当前请求的MBMS业务分配与该业务对应的组播传播密钥。这里,所描述的密钥请求消息可以是用户设备用来向应用服务器请求组播业务的业务启动请求消息。
参见图2,图2为本发明系统的示例性结构图。该系统:用户设备21和应用服务器22。其中,用户设备21,主要用于在确定了自身要访问的MBMS业务之后,向该MBMS业务对应的应用服务器22发送密钥请求消息;并接收应用服务器22分配的组播传播密钥。应用服务器22主要用于在收到用户设备21发送的密钥请求消息后,根据用户设备21当前请求的MBMS业务分配与该业务对应的组播传播密钥,并发送给用户设备21。
以下针对应用服务器为用户设备分配组播传播密钥的方法,列举两个较佳实施例,对本发明的技术方案进行详细介绍。这里,第一较佳实施例主要描述的是,由应用服务器生成的组播传播密钥情况;第二较佳实施例主要描述的是,由用户设备根据应用服务器确定的密钥参数生成组播传播密钥的情况。
参见图3,图3为本发明第一较佳实施例方法的流程图。具体包括以下步骤:
在步骤301中,用户设备确定自身所使用的MBMS业务之后,向应用服务器发送业务启动请求消息。
在步骤302中,应用服务器收到用户设备发送的请求消息后,根据用户设备当前请求的MBMS业务,为用户设备分配组播传播密钥并将其返回给用户设备,该组播传播密钥可以携带在应用服务器返回的200 OK应答消息中。其中的200 OK应答消息为协议中的标准消息,主要用于对本次SIP会话的建立进行确认。
这里,应用服务器为当前用户设备分配组播传播密钥可以采用如下方法实现。如,当应用服务器仅提供一项MBMS业务时,应用服务器预先为自身提供的MBMS业务分配相应的组播传播密钥,当用户设备申请该MBMS业务时,则将预先为该MBMS业务分配的组播传播密钥发送至用户设备。当应用服务器自身提供多种MBMS业务时,应用服务器可以为每个MBMS业务分配组播传播密钥,并根据用户设备请求消息中所携带的MBMS业务标识确定当前对用户设备分配的组播传播密钥。
另外,当应用服务器可以提供多种MBMS业务时,应用服务器也可以不必为自身所提供的每种业务分配相应的组播传播密钥,而是根据用户设备请求消息中携带的MBMS业务标识采用密钥生成算法得到组播传播密钥,然后再将该组播传播密钥发送给用户设备。为了保证同一业务的用户使用相同的密钥,这里的密钥生成算法对于同一MBMS业务应该是相同。
在步骤303中,用户设备收到组播传播密钥之后,向应用服务器返回ACK消息。这里的ACK消息用于针对本次会话向对端进行确认。
当应用服务器收到用户设备发送的消息后,则可以确定用户设备已经收到了自身分配的密钥。此后,用户设备就可以使用组播传播密钥解密应用服务器发送的MBMS业务数据包。
另外,由于组播传播密钥的分配对于整个MBMS业务的安全性是至关重要,因此组播传播密钥分配过程本身的安全性也不容忽视。为了保证组播传播密钥分配流程的安全性,可以借助用户设备注册到IMS网络时,与IMS网络侧建立的安全通道来传输组播传播密钥分配过程中的消息。当用户设备向IMS网络注册时,IMS网络会建立用户设备到代理呼叫会话控制功能(P-CSCF)的安全链接,即用户设备至IMS核心网边缘的安全连接。又由于IMS网络自身的安全机制,属于IMS网络侧各网络实体之间的连接是安全的。因此,只要建立了用户设备与P-CSCF之间的安全通道,就建立了用户设备与IMS网络中各功能实体的安全通道,包括为用户设备提供MBMS业务的应用服务器。
参见图4,图4为本发明第一较佳实施例的系统的结构图。该系统至少包括;用户设备41和应用服务器42。其中,用户设备41主要用于在确定了自身要访问的MBMS业务之后,向该MBMS业务对应的应用服务器42发送密钥请求消息;并接收应用服务器42分配的组播传播密钥。应用服务器42,用于在收到用户设备41发送的密钥请求消息后,根据用户设备41当前请求的MBMS业务分配与该业务对应的组播传播密钥,并发送给用户设备41。
同时,为了保证用户设备41与应用服务器42之间的安全通信。该系统还进一步包括:P-CSCF 43,用于连接用户设备41和应用服务器42。相应的,用户设备41,用于通过自身与P-CSCF 43之间的安全连接,与应用服务器42进行交互,接收和发送与应用服务器42之间消息;应用服务器42,用于通过自身与P-CSCF43之间的安全连接,与用户设备41进行交互,接收和发送与用户设备41之间的消息。
其中,用户设备41由控制单元411、发送单元412和接收单元413组成。控制单元411,用于当自身所在用户设备41确定了自身要访问的MBMS业务后,通过发送单元412向该MBMS业务对应的应用服务器42发送密钥请求消息;并通过接收单元413接收应用服务器42的分配的组播传播密钥。发送单元412,用于根据控制单元411的指示,发送密钥请求消息;接收单元413,用于将接收到的组播传播密钥发送至控制单元411。同时,发送单元412和接收单元413可以分别用于通过自身与P-CSCF43之间的安全连接,向应用服务器42发送、以及接收应用服务器42发送的用于分配组播传播密钥的消息。
另外,应用服务器42由处理单元422、发送单元423和接收单元421组成。其中,处理单元422,用于通过接收单元421接收用户设备41发送的密钥请求消息,为用户设备41请求的MBMS业务生成组播传播密钥或用于生成组播传播密钥的密钥生成参数,并通过发送单元423发送给用户设备41;接收单元421,用于将收到的密钥请求消息发送给处理单元422;发送单元423,用于根据处理单元422的指示,将组播传播密钥发送给用户设备41。同时,发送单元423和接收单元421可以分别用于通过自身与P-CSCF 43之间的安全连接,向用户设备41发送、以及接收用户设备41发送的用于分配组播传播密钥的消息。
参见图5,图5为本发明第二较佳实施例方法的流程图。在第二较佳实施例中,具体采用的是由应用服务器向用户设备发送生成组播传播密钥信息,由用户设备自身生成组播传播密钥。这样的处理方式,由于在传输过程中不是直接传递组播传播密钥,因此从一定程度上能够保证组播传播密钥分配过程的安全性。具体包括以下步骤:
在步骤501中,步骤501的具体实现与步骤201中的相同,在此不再详述。
该消息中通常会携带用户设备所选择MBMS业务的会话初始协议(SIP)标识、以及表示自身连接地址的全球可路由的唯一用户身份标识(GRUU,Global Routable UA URI)。
在步骤502中,应用服务器向用户设备返回组播媒体信息和密钥生成参数,该信息和参数可以通过200 OK返回给用户设备。
其中,密钥生成参数中包括了组播传播密钥的密钥计算方法。另外,根据具体生成组播传播密钥的方法不一样,还可以在密钥生成参数中携带用于生成组播传播密钥的信息。该信息可以是SIP会话标识和/或GRUU等。
在步骤503中,用户设备收到消息后,向应用服务器返回ACK消息,确认收到步骤503中发送的消息。
在步骤504中,应用服务器生成并向用户设备发送基本密钥,该基本密钥可以携带在Info消息中发送。
此时,用户设备在收到基本密钥和密钥生成参数时,就可以计算生成组播传播密钥。在本发明中,将基本密钥和密钥生成参数统称为密钥生成信息。
该基本密钥的组成可以是任意的随机数;也可以是能够唯一标识本次MBMS业务的编码串。
或者,为了进一步增加组播传播密钥分配过程中的安全性,将应用服务器与用户设备之间的共享信息加入到基本密钥中,即根据共享信息生成基本密钥;而在用户设备侧,用户设备根据自身与应用服务器,利用密钥生成参数除去基本密钥中共享信息的因素,计算得到组播传播密钥。该共享信息可以是用户信息、也可以是MBMS业务的信息。例如GRUU,那么该基本密钥可以通过如下方式获得(X‖GRUU)。其中,X表示随机数,(X‖GRUU)表示X与GRUU之间采用与的逻辑运算。那么,在用户设备侧则可以采用如下算法去除共享信息对组播传播密钥的因素得到:(X‖GRUU‖GRUU)=X。
用户设备获得共享信息的方式,可以是通过用户设备与应用服务器之间的交换传递;也可以是应用服务器和用户设备预先就共知的信息。
在步骤505中,用户设备收到消息后,向应用服务器返回ACK消息,确认收到步骤504中发送的消息。
在步骤506中,用户设备根据步骤502中收到的密钥计算参数、以及步骤505中收到的基本密钥,生成组播传播密钥。
由于组播传播密钥是使用同一业务的所有用户所使用的,因此如果在基本密钥中携带了用户设备自身的信息,则生成组播传播密钥的算法中必须要去掉其中用户设备自身的因素。例如,当基本密钥为(X‖GRUU)时,则可以采用如下算法得到组播传播密钥:(X‖GRUU‖GRUU)=X。
当应用服务器收到用户设备发送的消息后,则可以确定用户设备已经收到了自身分配的密钥。此后,用户设备就可以使用组播传播密钥解密应用服务器发送的MBMS业务数据包。
根据本较佳实施例方法的流程,密钥生成参数和基本密钥是分两次发送的。当然密钥生成参数和基本密钥也可以一次发送。只是分两个次发送时,如本较佳实施例所示,先发送密钥生成参数、后发送基本密钥,可以在确认对方收到了第一次发送的信息后,再执行第二次信息的发送,以免造成过多的机密信息被窥探者截获,而使窥探者具有足够的资料对截获的信息进行分析。
在第二较佳实施例的流程图,同样可以采用用户设备与P-CSCF之间、P-CSCF与应用服务器之间的安全连接保证用户设备与应用服务器之间组播传播密钥的安全建立。
参见图6,图6为本发明第二较佳实施例系统的结构图。该系统中,至少包括:用户设备61和应用服务器62。其中,用户设备61主要用于在确定了自身要访问的MBMS业务之后,向该MBMS业务对应的应用服务器62发送密钥请求消息;并用于根据收到的密钥生成信息生成组播传播密钥。应用服务器62,用于在收到用户设备61发送的密钥请求消息后,根据用户设备61当前请求的MBMS业务分配与该业务对应的组播传播密钥,用于将生成组播传播密钥的密钥生成信息发送给用户设备61。
同时,与第一较佳实施例相同,为了保证用户设备61与应用服务器62之间的安全通信。该系统还进一步包括:P-CSCF63,用于连接用户设备61和应用服务器62。相应的,用户设备61,用于通过自身与P-CSCF63之间的安全连接,与应用服务器62进行交互,接收和发送与应用服务器62之间消息;应用服务器62,用于通过自身与P-CSCF63之间的安全连接,与用和设备61进行交互,接收和发送与用户设备61之间消息。
其中,用户设备61由控制单元611、发送单元612、接收单元613和计算单元614组成。其中,控制单元611,用于当自身所在用户设备61确定了自身要访问的MBMS业务后,通过发送单元612向该MBMS业务对应的应用服务器62发送密钥请求消息。发送单元612,用于根据控制单元611的指示,发送密钥请求消息。接收单元613,用于将接收到的密钥生成信息发送给计算单元614。计算单元614,用于根据接收单元613发送的密钥生成信息计算得到组播传播密钥,并发送给控制单元611。这里,用户设备61中的发送单元612和接收单元613,分别用于通过自身与P-CSCF63之间的安全连接,向应用服务器62发送、以及接收应用服务器62发送的用于分配组播传播密钥的消息。
另外,应用服务器62至少包括:处理单元622、发送单元623、和接收单元621。其中,处理单元622,用于通过接收单元621接收用户设备61发送的密钥请求消息,为用户设备61请求的MBMS业务用于生成组播传播密钥的密钥生成参数,并通过发送单元623发送给用户设备61。接收单元621,用于将收到的密钥请求消息发送给处理单元622。发送单元623,用于根据处理单元622的指示,将组播传播密钥发送给用户设备61。这里,应用服务器62中的发送单元623和接收单元621,还可以分别用于通过自身与P-CSCF63之间的安全连接,向用户设备61发送、以及接收用户设备61发送的用于分配组播传播密钥的消息。
本发明中应用服务器分配组播传播密钥的方法,可以在用户设备接收MBMS数据包之前,确定了自身所要使用的MBMS业务之后的任意阶段中。例如,用户设备完成了IMS网络的注册、或者MBMS业务的激活流程。
本发明所提供的技术方案,通过应用服务器在用户设备申请MBMS业务时,为用户设备分配解密该业务所需的组播传播密钥,从而保证使用同一MBMS业务的用户拥有相同的密钥。另外,本发明还提供了一种分配组播传播密钥的系统、一种用户终端、一种IMS网络中的应用服务器。通过使用本发明所提供的技术方案,能够为使用同一MBMS业务的用户设备分配接收该MBMS业务所需的组播传播密钥。同时,在本发明的技术方案,通过在用户设备与应用服务器之间的安全通道上分配组播传播密钥,从而在本发明技术方案能够实现分配组播传播密钥的基础上,进一步保证了组播传播密钥分配过程中安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1.一种分配组播传播密钥的方法,其特征在于包括以下步骤:
A、用户设备向自身请求的多媒体广播/组播MBMS业务所对应的基于互联网协议的多媒体子系统IMS应用服务器请求组播传播密钥;
B、所述应用服务器根据用户设备当前请求的MBMS业务,为该用户设备分配与该业务对应的组播传播密钥。
2.根据权利要求1所述的方法,其特征在于,步骤B中,所述应用服务器根据用户设备请求的MBMS业务分配组播传播密钥的操作包括:
所述应用服务器根据用户设备请求的MBMS业务确定组播传播密钥,并将其发送给所述用户设备。
3.根据权利要求2所述的方法,其特征在于,该方法进一步包括:应用服务器预先为自身所提供的MBMS业务配置组播传播密钥;
所述应用服务器确定组播传播密钥的步骤包括:所述应用服务器根据预先配置的组播传播密钥,确定所述MBMS业务对应的组播传播密钥。
4.根据权利要求2所述的方法,其特征在于,所述密钥请求中携带所述用户设备当前请求的MBMS业务标识;
所述应用服务器确定组播传播密钥的步骤包括:所述应用服务器根据密钥请求中携带的MBMS业务标识,采用与该MBMS业务对应的密钥生成算法生成组播传播密钥。
5.根据权利要求1所述的方法,其特征在于,步骤B中,所述应用服务器根据用户设备请求的MBMS业务分配组播传播密钥的操作包括:
所述应用服务器将生成所述组播传播密钥所需的密钥生成信息发送给用户设备,由用户设备生成组播传播密钥。
6.根据权利要求5所述的方法,其特征在于,所述密钥生成信息包括:密钥生成参数和基本密钥;
所述用户设备生成组播传播密钥的操作为:用户设备根据密钥生成参数和基本密钥生成组播传播密钥。
7.根据权利要求6所述的方法,其特征在于,所述基本密钥根据共享信息生成;所述用户设备生成组播传播密钥的操作为:
用户设备根据自身的共享信息,利用密钥生成参数除去基本密钥中共享信息的因素,计算得到组播传播密钥。
8.根据权利要求6或7所述的方法,其特征在于,所述应用服务器将密钥生成信息发送给用户设备的步骤包括:所述应用服务器将密钥生成参数和基本密钥分别发送给用户设备;在确认用户设备得到其中一项信息后,再将另一项发送给用户设备。
9.根据权利要求1至8中任一权利要求所述的方法,其特征在于,所述用户设备通过向所述应用服务器发送业务启动请求消息请求密钥。
10.根据权利要求1至8中任一权利要求所述的方法,其特征在于,在执行步骤A之前,该方法进一步包括:
当用户设备向IMS系统注册时,IMS系统建立用户设备与IMS系统之间的安全通道;
所述发送请求密钥和分配组播传播密钥的操作,在所述建立的安全通道上执行。
11.一种分配组播传播密钥的系统,其特征在于包括用户设备和应用服务器;
所述用户设备,用于向自身请求的多媒体广播/组播MBMS业务所对应的应用服务器请求密钥;并接收应用服务器分配的组播传播密钥;
所述应用服务器,用于接收到用户设备发送的密钥请求,并根据用户设备当前请求的MBMS业务分配与该业务对应的组播传播密钥,发送给所述用户设备。
12.根据权利要求11所述的系统,其特征在于,
所述应用服务器,用于将生成组播传播密钥的密钥生成信息发送给用户设备;
所述用户设备;用于根据收到的密钥生成信息生成组播传播密钥。
13.根据权利要求11或12所述的系统,其特征在于,该系统进一步包括:代理呼叫会话控制功能,用于连接用户设备和应用服务器;
所述用户设备,用于通过自身与代理呼叫会话控制功能之间的安全连接,与应用服务器进行交互;
所述应用服务器,用于通过自身与代理呼叫会话控制功能之间的安全连接,与用户设备进行交互。
14.一种用户终端,其特征在于,至少包括:控制单元、发送单元和接收单元;
所述控制单元,与发送单元和接收单元相连,用于通过发送单元向请求的多媒体广播/组播业务对应的应用服务器请求密钥;并通过接收单元接收应用服务器所分配的组播传输密钥;
所述发送单元,与控制单元相连,用于根据控制单元的指示,发送密钥请求;
所述接收单元,与控制单元相连,用于将接收到的组播传播密钥发送至控制单元。
15.根据权利要求14所述的用户终端,其特征在于,该用户终端进一步包括计算单元;
所述接收单元,用于将接收到的密钥生成信息发送给计算单元;
所述计算单元,用于根据接收单元发送的密钥生成信息计算得到组播传播密钥,并发送给控制单元。
16.根据权利要求14或15所述的用户终端,其特征在于,
所述发送单元和接收单元,分别用于通过自身与代理呼叫会话控制功能之间的安全连接,向所述应用服务器发送、以及接收所述应用服务器发送的用于分配组播传播密钥的消息。
17.一种用于分配组播传播密钥的应用服务器,其特征在于,该应用服务器至少包括:处理单元、发送单元和接收单元;
所述处理单元,与发送单元和接收单元相连,用于通过接收单元接收用户设备发送的密钥请求,为所述用户设备请求的多媒体广播/组播业务生成组播传输密钥,或生成组播传播密钥所需的密钥生成参数,并通过发送单元发送给所述用户设备;
所述接收单元,与处理单元相连,用于将收到的密钥请求消息发送给处理单元;
所述发送单元,与处理单元相连,用于根据处理单元的指示,将组播传播密钥发送给所述用户设备。
18.根据权利要求17所述的应用服务器,其特征在于,
所述发送单元和接收单元,分别用于通过自身与代理呼叫会话控制功能之间的安全连接,向所述用户设备发送、以及接收所述用户设备发送的用于分配组播传播密钥的消息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200710106442 CN101316437A (zh) | 2007-05-29 | 2007-05-29 | 一种分配组播传输密钥的方法及系统 |
PCT/EP2008/056393 WO2008145621A2 (en) | 2007-05-29 | 2008-05-26 | Method and system for allocating security key for multicast transmission |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200710106442 CN101316437A (zh) | 2007-05-29 | 2007-05-29 | 一种分配组播传输密钥的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101316437A true CN101316437A (zh) | 2008-12-03 |
Family
ID=40075577
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200710106442 Pending CN101316437A (zh) | 2007-05-29 | 2007-05-29 | 一种分配组播传输密钥的方法及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101316437A (zh) |
WO (1) | WO2008145621A2 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111159742A (zh) * | 2019-12-26 | 2020-05-15 | Oppo广东移动通信有限公司 | 密钥管理方法、服务代理、终端设备、系统以及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7400729B2 (en) * | 2001-12-28 | 2008-07-15 | Intel Corporation | Secure delivery of encrypted digital content |
KR100987207B1 (ko) * | 2003-08-02 | 2010-10-12 | 삼성전자주식회사 | 멀티미디어 방송/다중방송 서비스를 지원하는이동통신시스템에서의 암호화 방법 |
GB2423221A (en) * | 2005-02-14 | 2006-08-16 | Ericsson Telefon Ab L M | Key delivery method involving double acknowledgement |
-
2007
- 2007-05-29 CN CN 200710106442 patent/CN101316437A/zh active Pending
-
2008
- 2008-05-26 WO PCT/EP2008/056393 patent/WO2008145621A2/en active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111159742A (zh) * | 2019-12-26 | 2020-05-15 | Oppo广东移动通信有限公司 | 密钥管理方法、服务代理、终端设备、系统以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2008145621A3 (en) | 2009-04-09 |
WO2008145621A2 (en) | 2008-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210051474A1 (en) | Network architecture having multicast and broadcast multimedia subsystem capabilities | |
CA2778246C (en) | System and method for providing group communication services | |
EP1510090B9 (en) | Method for controlling parties in real-time data group communication using acknowledgement packets | |
CN101232368B (zh) | 一种分配媒体流密钥的方法和多媒体子系统 | |
KR101353209B1 (ko) | 무선 통신 시스템 내의 멀티캐스트 통신 세션과 연관된 메시지의 보안 | |
JP4649328B2 (ja) | 無線通信システムのブロードキャスト/マルチキャストサービスを利用してマルチパーティ会議サービスを実現する方法、装置及びシステム | |
US20090213775A1 (en) | Deterministic feedback control for multicast or broadcast services | |
CN101218777A (zh) | 通信网络中多播数据的方法和系统 | |
RU2011144153A (ru) | Управление ключами безопасности в основанных на ims услугах широковещания и многоадресного вещания мультимедиа (mbms) | |
KR20070073343A (ko) | 이동통신 ims시스템에서 아이들모드 단말기의 세션 설정프로토콜 데이터를 전송하는 방법 및 장치 | |
AU2001241951A1 (en) | System and method for providing group communication services | |
JP6937826B2 (ja) | ミッションクリティカルプッシュツートーク・マルチメディアブロードキャストマルチキャストサービスサブチャネル制御メッセージの保護 | |
US20060178160A1 (en) | System and method for management of communication rights | |
CN101227272A (zh) | 一种获取媒体流保护密钥的方法和系统 | |
CN101222320B (zh) | 一种媒体流安全上下文协商的方法、系统和装置 | |
KR20060011262A (ko) | 이동 통신 서비스 제공 시스템의 메시지 처리 방법 및 장치 | |
KR101042115B1 (ko) | 세션 기반 통신 서비스에서의 보안키 관리 방법 및 이를 지원하는 단말 | |
CN101316437A (zh) | 一种分配组播传输密钥的方法及系统 | |
WO2007055478A1 (en) | Method and apparatus for determining pt server having controlling function | |
KR101094466B1 (ko) | 세션 기반 통신 서비스에서의 그룹 세션의 업데이트 방법 | |
KR101002829B1 (ko) | 멀티미디어 방송 멀티캐스트 서비스 시스템에서 서비스 데이터를 보호화하는 방법 | |
KR20050009115A (ko) | 이동통신 시스템에서 방송 서비스 과금 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081203 |