CN101459875A - 用于支持多播广播服务的无线接入系统中的安全处理方法 - Google Patents
用于支持多播广播服务的无线接入系统中的安全处理方法 Download PDFInfo
- Publication number
- CN101459875A CN101459875A CNA2008101772899A CN200810177289A CN101459875A CN 101459875 A CN101459875 A CN 101459875A CN A2008101772899 A CNA2008101772899 A CN A2008101772899A CN 200810177289 A CN200810177289 A CN 200810177289A CN 101459875 A CN101459875 A CN 101459875A
- Authority
- CN
- China
- Prior art keywords
- mbs
- asn
- access
- key data
- mgtek
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/189—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于支持多播广播服务MBS的无线接入系统中的安全处理方法。所述方法包括以下步骤:经移动站MS请求分发用于MBS服务流的MBS密钥数据,在所述系统的接入服务网络ASN中检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,向所述MS授权分发所述MBS密钥数据。
Description
技术领域
本发明一般涉及无线或移动通信网络和系统。
背景技术
在文献中,特别是在标准化机构发布的技术规范中,可以发现这样的网络和系统的详细描述。
本发明特别(但不是排外地)适用的网络和系统的例子使用WiMAX技术。可以特别是在IEEE 802.16e和WiMAX论坛标准规范中发现WiMAX技术的描述。
在来自WiMAX论坛发布的技术规范“WiMAX End-to-End NetworkSystems Architecture”阶段2的图1中,回顾了WiMAX网络参考模型。移动站MS(也被称为用户站SS,有时被标注为MSS)经由接入服务网络ASN接入连接服务网络CSN。ASN被定义为向WiMAX订户提供无线接入所需要的网络功能的集合。ASN包括诸如特别是基站(BS)和ASN网关(ASN GW)的实体。CSN被定义为实现到WiMAX订户的IP连接和WiMAX服务的一组网络功能。CSN包括诸如特别是路由器和AAA(认证、授权、计费)服务器的实体。
为支持多播广播服务(MBS),WiMAX网络进一步包括被称为MBS服务器的实体,具有对MBS服务的控制和分发功能。
在多BS接入模式中,如在图2中回顾的,特定的MBS服务流通过使用相同的CID(连接标识符)和相同的SA(安全关联)被传输经过若干BS。这样的BS的集合形成MBS Zone(MBS区)(由每个BS广播的唯一MBS_Zone_id标识)。多BS/MBS Zone(MBS区)有多个优点。当在MBS Zone(MBS区)内部时,不要求MS向任何BS注册(仅初始入网需要得到CID、SA)。当收听DL流量以接收MBS内容时,MS可以停留在空闲模式,它准许节省功率。MBS服务的基本场景是在MBS Zone(MBS区)上连续广播内容,即使没有用户在收听流量。
MBS服务器是管理一个MBS Zone(MBS区)的网络单元(具有属于该MBS Zone的BS的列表)。专用于该MBS Zone(MBS区)的所有数据经过该网络单元。每MBS Zone(MBS区)有一个MBS服务器(可能经过若干ASN)。MBS服务器功能可以位于ASN-GW中或网络中的另一地方处。
本发明更特别涉及在这样的网络和系统中的安全处理。
例如,对WiMAX技术,回顾一下,MAC层协议包括提供认证、安全密钥交换、加密和完整性控制的安全子层。私钥管理(PKM)协议,也被称为PKMv2,包括在安全子层中以便提供从BS到SS的安全密钥分发。PKMv2过程包括这样的过程:BS和SS相互认证它们自己,然后BS向被认证的SS提供密钥材料。
在来自WiMAX论坛发布的技术规范“WiMAX End-to-End NetworkSystems Architecture”阶段2的图3中,回顾了由MS在进入网络时实施的PKMv2过程。在本地CSN中SS和AAA服务器之间实施的基于EAP的认证过程产生MSK(主会话密钥)。MSK对AAA服务器、ASN中的认证器(从AAA服务器传送的)、以及SS是已知的。SS和在ASN中的认证器从MSK导出PMK(成对主密钥)。BS和SS从PMK导出AK(认证密钥)。从AK导出密钥加密密钥(KEK)。在BS中TEK(流量加密密钥)被作为随机数生成,用KEK加密,并在TEK交换中在BS和SS之间被传送。在TEK交换期间,被交换的PKMv2消息包括由SS向BS发送的PKMv2密钥请求消息,以及由BS向SS发送的PKMv2密钥应答消息。使用活动的TEK来加密用于被创建的服务流的MAC PDU有效负载。
本发明更特别涉及在支持这样的MBS服务的这样的网络和系统中的安全处理。
例如,对WiMAX技术,根据IEEE 802.16e,对MBS服务定义以下密钥数据:
-MAK(认证密钥):对MBS服务,和AK一样起相同作用;根据当前标准状态,它由IEEE 802.16e规范范围外的装置供应,
-MGTEK(MBS组流量加密密钥):由诸如BS的接入网络供应的作为接入网络授权密钥的随机数;它比MAK更频繁得到更新,
-MTK(MBS流量密钥):被用来保护MBS流量,从MAK和MGTEK导出。
根据IEEE 802.16e的当前状况,定义以下的密钥导出函数。
MAK=RAND(160)
MGTEK=(RAND 128)
MTK=Dot16KDF(MAK,MGTEK|“MTK”,128)
WiMAX论坛和IEEE的当前假定是,MAK应当被存储在MS中,并且对于被许可服务(例如TV频道集)的所有MS是通用的。然而,如以上回顾的,IEEE 802.16e规范没有定义分发MAK的任何方式。
在以下文献中公开了MAK分发的提议:WiMAX Forum NetworkWorking Group(NWG)Contribution MBS High-Level SystemArchitecture Description(编号和文件名:070115_NWG_Huawei_MBS_Section_r2.doc)。
该文献提议基于WEB的分发框架,在所述框架中,MS通过进行WEB接入来检索MAK。如在取自该文献的图4中示出的:
-MBS服务器负责以HTTP摘要认证机制认证和授权指定服务的预订用户,并且负责生成和分发MAK。
-接入网络负责生成MGTEK,MGTEK被用来与MAK导出MTK。
-MS负责使用HTTP协议与MBS服务器建立MAK。MS还负责使用PKMv2协议从ASN(BS或ASN GW)请求MGTEK。
本发明意识到,MS通过进行WEB接入来检索MAK的分发框架具有许多缺陷,特别是:
-由于应当实施特定的WEB接入来检索这样的密钥,这在用户体验方面不是令人满意的,
-如果这样的WEB接入被自动化,则应用应当具有与MiMAX设备的特定接口,这是不必要的,
-认证被许可用户的机制不再基于AAA认证。
本发明特别使得能够解决部分或全部这样的问题,或者能够避免部分或全部这样的缺陷。更一般地,本发明使得能够改进这样的系统中的安全处理。
发明内容
在本发明的一个方面,通过一种用于支持多播广播服务MBS的无线接入系统中的安全处理方法,这些以及其它目的得以实现,所述方法包括以下步骤:
-经移动站MS请求分发用于MBS服务流的MBS密钥数据,在所述系统的接入服务网络ASN中检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,向所述MS授权分发所述MBS密钥数据。
在本发明的另一方面,通过一种用于支持多播广播服务MBS的无线接入系统中的安全处理方法,这些以及其它目的得以实现,所述方法包括以下步骤:
-在MBS服务器中生成MBS密钥数据,
-向所述系统的接入服务网络ASN分发在所述MBS服务器中生成的所述MBS密钥数据。
在本发明的其它方面,通过用于实施根据本发明的方法的无线接入系统的不同实体(例如特别是诸如基站BS或接入服务网络网关ASN GW的ASN实体,诸如MBS服务器的CSN实体、移动站MS),这些以及其它目的得以实现。
附图说明
从以下结合附图进行的说明中,本发明的这些以及其它目的将变得更加显而易见,在所述附图中:
-图1旨在回顾WiMAX网络参考模型;
-图2旨在回顾支持多播广播服务的WiMAX网络的体系结构;
-图3旨在回顾由WiMAX网络中的移动站在进入网络时实施的PKMv2过程;
-图4旨在回顾用于MBS安全过程的现有技术解决方案;
-图5和6旨在示出根据本发明的MBS安全过程的例子。
具体实施方式
通过示例方式,以下将关于本发明对WiMAX技术的应用更特别地描述本发明。
在该例子中,还可以如下解释本发明。
本发明提议用于预订WiMAX MBS服务流的灵活框架,该框架不是基于专用MAK专有分发框架,而是使用MAK(MBS认证密钥)和MGTEK(多播组流量加密密钥)来加密MBS信道流量。
本发明提议避免使用WiMAX区域范围外的MAK分发框架。
本发明提议避免完全使用MAK以及在MS中静态地和永久地设置MAK。例如,MAK可以出厂被设置为0;该密钥从不更新并且保持为0。
本发明提议MGTEK则被用于流量加密和用户内容预订管理。
在图5和6中示出根据本发明的安全过程的例子。
在该例子中,一些ASN功能在BS中实现,而其它ASN功能在ASNGW中实现,然而,应当理解的是,其它例子是可能的。特别地,取决于对ASN实现的选择(即,简档A、或简档B、或简档C),一些ASN功能可以或者在BS中或者在ASN GW中实现。一般地,为了覆盖这样的不同的可能性,在本发明应用中也使用普遍的术语ASN实体。
在图5中示出的例子中,以下场景被用于MS检索MGTEK。
在步骤1中,MS实施初始网络进入,如IEEE 802.16e中定义的。
在步骤2中,充当RADIUS认证器的ASN GW根据图2中回顾的过程认证MS。另外,根据本发明的一个方面,向MS授权的MBS服务流的列表被发现;例如,在进入网络时实施的认证和授权过程期间,该列表从AAA服务器被下载到ASN GW。
在步骤3中,根据图2中回顾的过程,用于专用连接(即,用于不是为MBS服务流建立的连接)的密钥(KEK)被交换。
在步骤4中,MS通过向BS发送PKMv2 Key Request(密钥请求)消息,请求用于MBS服务流的MGTEK。该消息中发送的参数包括MBSSAID(MBS安全关联标识符)。
在步骤5中,在本发明的另一方面,BS通过向ASN GW发送被称为MBS Access Request(MBS接入请求)的消息,将该Key Request(密钥请求)消息中继至ASN GW。在示出的例子中,该消息中发送的参数包括MSSID(移动站标识符)、MBS SAID。
在步骤6中,在本发明的另一方面,由于步骤2中发现的预订数据,ASN GW检查是否向MS授权MBS服务流,并且如果向MS授权MBS服务流,则ASN GW通过发送被称为MBS Access Grant(MBS接入许可)的消息向BS应答。在示出的例子中,该消息中发送的参数包括MSSID、MBS SAID。
在步骤7中,BS在Key Reply(密钥应答)消息中向MS发送MGTEK参数。在示出的例子中,该消息中发送的参数包括MBS SAID、MGTEK、MGTEK Lifetime(MGTEK生存期)、MGTEK SN(MGTEK序号)。那些参数被专用于MS的KEK加密。所以,在该阶段,其它MS不能发现与MBS信道相关联的MGTEK。
每次MGTEK过期时重复步骤4、5、6和7。
如果MS没有权利收听被请求的MBS信道,则ASN GW不应答,步骤6和7被绕过。在这样的条件下,MS不能收听MBS,因为它没有适当的密钥材料来这样做。
基于被MS触发的PKMv2 Key(密钥)请求过程(在IEEE 802.16e的安全部分描述了该过程),MGTEK被周期性更新。该Key(密钥)请求过程被KEK(密钥加密密钥)保护。
在这样的条件下,当ASN网关接收用于MBS服务的PKMv2请求时,MSS被认证,并且ASN GW知道与该MS相关联的MBS接入限制。然后,MGTEK被分发到这些限制的该MS功能。
在本发明的另一方面,通过使用例如以下密钥导出函数,从MAK和MGTEK导出MTK,以下密钥导出函数取代以上回顾的根据IEEE 802.16e的当前状态定义的密钥导出函数:
MAK=常数并且从不更新(例如:在MSS中出厂设置为0)
MGTEK=(RAND 128)
MTK=Dot16KDF(MAK,MGTEK|“MTK”,128)。
因而,在一方面,本发明提议一种用于支持多播广播服务MBS的无线接入系统中的安全处理的方法,所述方法包括以下步骤:
-经移动站MS请求分发用于MBS服务流的MBS密钥数据,在所述系统的接入服务网络ASN中,检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,授权向所述MS分发所述MBS密钥数据。
在实施例中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
在实施例中,所述方法包括以下步骤:
-从所述MGTEK导出MBS流量加密密钥MTEK。
在实施例中,所述方法包括以下步骤:
-从所述MGTEK和从MBS授权密钥MAK的永久值导出MBS流量加密密钥MTEK。
在实施例中,所述方法包括以下步骤:
-在从移动站MS接收分发用于MBS服务流的MBS密钥数据的请求(Key Request)(密钥请求)时,对应于基站BS的ASN实体向对应于接入服务网络网关ASN GW的ASN实体发送请求(MBS Access Request)(MBS接入请求),以检查是否向所述MS授权到所述MBS服务的接入,
-在接收所述请求(MBS Access Request)(MBS接入请求)时,ASNGW检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,向BS返回授权所述BS向所述MS分发所述MBS密钥数据的应答(MBS Access Grant)(MBS接入许可),
-在接收所述应答(MBS Access Grant)(MBS接入许可)时,BS向所述MS分发MBS密钥数据。
在实施例中,密钥生存期过期时,重复所述步骤。
在实施例中,所述方法包括以下步骤:
-在MS初始进入网络时,AAA服务器向ASN实体提供MBS预订数据,
-所述ASN实体使用所述MBS预订数据用于检查是否向MS授权到MBS服务的接入。
在图6中示出的例子中,根据以下场景,MBS服务的MGTEK在MBS服务器中被生成并且被分发到ASN GW。
在步骤1′,在本发明的另一方面,ASN GW向MBS服务器发送MGTEK Request(MGTEK请求)。在示出的例子中,该消息包含要被加密的多播信道的唯一标识符(以前,它应当是和MBS服务相关的安全关联的标识符:MBS SAID)。
在步骤2′,在本发明的另一方面,MBS服务器以MGTEK Response(MGTEK响应)应答,在示出的例子中所述MGTEK Response(MGTEK响应)包括MGTEK的值、MGTEK lifetime(MGTEK生存期)、以及MGTEK的序号MGTEK SN。如示出的例子中的情况,MBS服务器还可以包括MAK的值,在不为0的情况下,其可以被视为检索在所有MS中设置的MAK的出厂值的方式。
在步骤3′,ASN GW将这些信息给广播MB-S信道的BS。在示出的例子中,这些信息在消息Set MGTEK(设置MGTEK)中被发送,消息Set MGTEK(设置MGTEK)与MGTEK Response(MGTEK响应)包括相同参数。
在步骤4′,BS通过向ASN GW发送消息Set MGTEK Response(设置MGTEK响应),确认接收由ASN GW在步骤3′发送的消息,在示出的例子中所述消息Set MGTEK Response(设置MGTEK响应)包括MBSSAID。
在图6中描述的例子中,假定BS负责导出MTK,MTK被有效用于无线电加密。
在图6中描述的例子中,由于MBS服务器向ASN GW分发密钥,应当部署具有相互认证的安全层。例如,此处可以使用SSL的IPSec或任何其它方法。
根据图6的例子的场景可以例如在初始化时被触发,或在取决于需求的任何时间(诸如例如在接收的用于接入给定MBS服务的第一请求时)被触发。
当MGTEK剩余生存期接近0时,根据图6的例子的场景被ASN GW周期性重复,以便刷新MBS密钥材料。该重复的周期由MBS中的MGTEKLifetime(MGTEK生存期)设置。由于MGTEK被用来管理用户预订,MGTEK Lifetime(MGTEK生存期)的最大值例如在1小时和24小时之间可能是适当的。
因而,在另一方面,本发明提议一种用于支持多播广播服务MBS的无线接入系统中的安全处理方法,所述方法包括以下步骤:
-在MBS服务器中生成MBS密钥数据,
-向所述系统的接入服务网络ASN分发在所述MBS服务器中生成的所述MBS密钥数据。
在实施例中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
在实施例中,所述生成的MBS密钥数据包括所述MBS授权密钥MAK的永久值。
在实施例中,所述方法包括以下步骤:
-对应于接入服务网络网关ASN GW的ASN实体向MBS服务器发送对用于MBS服务流的MBS密钥数据的请求(MGTEK Request)(MGTEK请求),
-在从ASN GW接收所述请求(MGTEK Request)(MGTEK请求)时,MBS服务器向ASN GW返回应答(MGTEK Response)(MGTEK响应),所述应答包括用于所述MBS服务流的MBS密钥数据,
-在接收所述应答(MGTEK Response)(MGTEK响应)时,ASN GW向至少一个ASN实体提供所述MBS密钥数据,所述至少一个ASN实体对应于在多播或广播所述MBS服务流中涉及的BS。
在实施例中,在密钥生存期过期时重复所述步骤。
本发明特别具有以下优点:
-给出用于预订WiMAX MBS服务流的灵活框架,该框架不是基于专用MAK专有分发网络,
-使用已经现有WiMAX基础设施(AAA、MBS服务器),
-对用户完全透明,
-对网络接入提供商是自然的(许可由AAA“自然”管理),
-仍旧准许管理用户许可和计费。
另外,由于该解决方案纯粹基于IEEE 802.16e无线电机制,在MS中没有特定要求。
除了以上描述的方法外,本发明的其它方面对应于用于实施根据本发明的方法的无线接入系统的不同实体(例如特别是诸如基站BS或接入服务网络网关ASN GW的接入服务网络ASN实体、诸如MBS服务器的连接服务网络CSN实体)。
因而,本发明的另一方面是用于支持多播广播服务MBS的无线接入系统的接入服务网络ASN实体,所述ASN实体包括:
-经移动站MS请求分发用于MBS服务流的MBS密钥数据,检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,则向所述MS授权分发所述MBS密钥数据的装置。
在实施例中,所述接入服务网络ASN实体包括:
-用于在MS初始进入网络时从AAA服务器得到MBS预订数据的装置,
-使用所述MBS预订数据以检查是否向该MS授权到MBS服务的接入的装置。
本发明的另一方面是用于支持多播广播服务MBS的无线接入系统的接入服务网络ASN实体,所述ASN实体包括:
-如果向所述MS授权所述分发,用于向请求分发MBS密钥数据的MS分发用于MBS服务流的所述MBS密钥数据的装置。
在实施例中,所述接入服务网络ASN实体包括:
-用于接收由另一ASN实体分发的要分发到所述MS的所述MBS密钥数据的装置。
本发明的另一方面是用于支持多播广播服务MBS的无线接入系统的接入服务网络ASN实体,所述ASN实体包括:
-用于请求从MBS服务器分发用于MBS服务流的MBS密钥数据的装置。
在实施例中,所述接入服务网络ASN实体包括:
-用于向另一ASN实体分发由所述MBS服务器向所述ASN实体分发的所述MBS密钥数据的装置。
对于本发明的这些方面,考虑到接入服务网络ASN实体:
在实施例中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
在另一实施例中,所述ASN实体包括:
-用于从所述MGTEK导出MBS流量加密密钥MTEK的装置。
在另一实施例中,所述ASN实体包括:
-用于从所述MGTEK和MBS授权密钥MAK的永久值导出MBS流量加密密钥MTEK的装置。
本发明的另一方面是用于支持多播广播服务MBS的无线接入系统的MBS服务器,所述MBS服务器包括:
-用于生成要分发到移动站MS用于MBS服务流的MBS密钥数据的装置,
-用于向所述系统的接入服务网络ASN分发所述生成的MBS密钥数据的装置。
在实施例中,所述生成的MBS密钥数据包括MBS组流量加密密钥MGTEK。
在实施例中,所述生成的MBS密钥数据包括MBS授权密钥MAK的永久值。
本发明的另一方面是基站BS,所述基站BS包括:
-在从移动站MS接收分发用于MBS服务流的MBS密钥数据的请求(Key Request)(密钥请求)时,用于向接入服务网络网关ASN GW发送请求(MBS Access Request)(MBS接入请求),以检查是否向所述MS授权到所述MBS服务的接入的装置,
-在接收由ASN GW返回的是否向所述MS授权到所述MBS服务的接入的应答(MBS Access Grant)(MBS接入许可)时,用于向所述MS分发所述MBS密钥数据的装置。
在实施例中,在密钥生存期过期时重复所述步骤。
在实施例中,所述基站包括:
-用于接收要通过所述基站分发的MBS密钥数据的装置,所述MBS密钥数据是由对应于ASN GW的ASN实体分发。
在实施例中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
在实施例中,所述基站包括:
-用于从所述分发的MGTEK和从MAK的永久值导出MBS流量加密密钥MTEK的装置。
在实施例中,所述MBS密钥数据包括所述MBS授权密钥MAK的永久值。
本发明的另一方面是接入服务网络网关ASN GW,包括:
-在从BS接收用于检查是否向MS授权到所述MBS服务的接入的请求(MBS Access Request)(MBS接入请求)时,ASN GW检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,向该BS返回授权所述BS向所述MS分发所述MBS密钥数据的应答(MBS Access Grant)(MBS接入许可)的装置。
本发明的另一方面是ASN GW,包括:
-用于向至少一个ASN实体分发MBS密钥数据的装置,所述至少一个ASN实体对应于在多播或广播所述MBS服务流中涉及的BS。
本发明的另一方面是ASN GW,包括:
-用于从AAA服务器接收在MS初始进入网络时由所述AAA服务器向所述ASN GW提供的预订数据的装置,
-使用所述MBS预订数据以检查是否向所述MS授权到MBS服务的接入的装置。
在实施例中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
在实施例中,所述MBS密钥数据包括MBS授权密钥MAK的永久值。
本发明的另一方面是接入服务网络网关ASN GW,包括:
-用于向MBS服务器发送对用于MBS服务流的MBS密钥数据的请求(MGTEK Request)(MGTEK请求)的装置,
-在从所述MBS服务器接收包括MBS密钥数据的应答(MGTEKResponse)(MGTEK响应)时,向在多播或广播所述MBS服务流中涉及的至少一个BS分发MBS密钥数据的装置。
本发明的另一方面是MBS服务器,包括:
-用于生成要向移动站MS分发的用于MBS服务流的MBS密钥数据的装置,
-用于向所述系统的ASN分发所述生成的MBS密钥数据的装置。
在实施例中,所述生成的MBS密钥数据包括MBS组流量加密密钥MGTEK。
在实施例中,所述生成的MBS密钥数据包括MBS授权密钥MAK的永久值。
本发明的另一方面是用于支持多播广播服务MBS的无线接入系统的移动站,其包括:
-用于存储MBS授权密钥MAK的永久值的装置。
在实施例中,所述移动站包括:
-用于从MBS组流量加密密钥MGTEK的值和从所述MAK的永久值导出MBS流量加密密钥MTEK的装置,所述MGTEK由所述系统的ASN分发到所述MS。
对本领域的技术人员,以上提到的装置的详细实现不引起任何特殊问题,并且因此在它们的功能方面,对本领域的技术人员,不需要比以上更充分地公开这样的装置。
Claims (38)
1.一种用于支持多播广播服务MBS的无线接入系统中的安全处理方法,所述方法包括以下步骤:
-经移动站MS请求分发用于MBS服务流的MBS密钥数据,在所述系统的接入服务网络ASN中检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,则向所述MS授权分发所述MBS密钥数据。
2.根据权利要求1所述的方法,其中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
3.根据权利要求2所述的方法,包括以下步骤:
-从所述MGTEK导出MBS流量加密密钥MTEK。
4.根据权利要求2所述的方法,其包括以下步骤:
-从所述MGTEK和从MBS授权密钥MAK的永久值导出MBS流量加密密钥MTEK。
5.根据权利要求1至4任一项所述的方法,包括以下步骤:
-在从移动站MS接收分发用于MBS服务流的MBS密钥数据的请求(Key Request)时,对应于基站BS的ASN实体向对应于接入服务网络网关ASN GW的ASN实体发送请求(MBS Access Request),以检查是否向所述MS授权到所述MBS服务的接入,
-在接收所述请求(MBS Access Request)时,ASN GW检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,则向BS返回授权所述BS向所述MS分发所述MBS密钥数据的应答(MBS Access Grant),
-在接收所述应答(MBS Access Grant)时,BS向所述MS分发MBS密钥数据。
6.根据权利要求5所述的方法,其中,密钥生存期过期时,重复所述步骤。
7.根据权利要求1至6任一项所述的方法,包括以下步骤:
-在MS初始进入网络时,AAA服务器向ASN实体提供MBS预订数据,
-所述ASN实体使用所述MBS预订数据以检查是否向该MS授权到MBS服务的接入。
8.根据权利要求1至7任一项所述的方法,包括以下步骤:
-在MBS服务器中生成所述MBS密钥数据,
-向ASN分发在所述MBS服务器中生成的所述MBS密钥数据。
9.根据权利要求3和8所述的方法,其中,所述生成的MBS密钥数据包括MBS授权密钥MAK的所述永久值。
10.根据权利要求8或9所述的方法,包括以下步骤:
-对应于接入服务网络网关ASN GW的ASN实体向MBS服务器发送对用于MBS服务流的MBS密钥数据的请求(MGTEK Request),
-在从ASN GW接收所述请求(MGTEK Request)时,MBS服务器向ASN GW返回应答(MGTEK Response),所述应答(MGTEK Response)包括用于所述MBS服务流的MBS密钥数据,
-在接收所述应答(MGTEK Response)时,ASN GW向至少一个ASN实体提供所述MBS密钥数据,所述至少一个ASN实体对应于在多播或广播所述MBS服务流中涉及的BS。
11.根据权利要求10所述的方法,其中,在密钥生存期过期时重复所述步骤。
12.一种用于支持多播广播服务MBS的无线接入系统的接入服务网络ASN实体,所述ASN实体包括:
-经移动站MS请求分发用于MBS服务流的MBS密钥数据,检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,则向所述MS授权分发所述MBS密钥数据的装置。
13.根据权利要求12所述的接入服务网络ASN实体,包括:
-用于在MS初始进入网络时从AAA服务器获得MBS预订数据的装置,
-使用所述MBS预订数据以检查是否向该MS授权到MBS服务的接入的装置。
14.一种用于支持多播广播服务MBS的无线接入系统的接入服务网络ASN实体,所述ASN实体包括:
-如果向所述MS授权所述分发,用于向请求分发MBS密钥数据的MS分发用于MBS服务流的所述MBS密钥数据的装置。
15.根据权利要求14所述的接入服务网络ASN实体,包括:
-用于接收由另一ASN实体分发的要分发到所述MS的所述MBS密钥数据的装置。
16.一种用于支持多播广播服务MBS的无线接入系统的接入服务网络ASN实体,所述ASN实体包括:
-用于请求从MBS服务器分发用于MBS服务流的MBS密钥数据的装置。
17.根据权利要求16所述的接入服务网络ASN实体,包括:
-用于向另一ASN实体分发由所述MBS服务器向所述ASN实体分发的所述MBS密钥数据的装置。
18.根据权利要求12至17任一项所述的ASN实体,其中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
19.根据权利要求18所述的ASN实体,包括:
-用于从所述MGTEK导出MBS流量加密密钥MGTEK的装置。
20.根据权利要求19所述的ASN实体,包括:
-用于从所述MGTEK和从MBS授权密钥MAK的永久值导出MBS流量加密密钥MGTEK的装置。
21.一种用于支持多播广播服务MBS的无线接入系统的MBS服务器,包括:
-用于生成要向移动站MS分发的用于MBS服务流的MBS密钥数据的装置,
-用于向所述系统的接入服务网络ASN分发所述生成的MBS密钥数据的装置。
22.根据权利要求21所述的MBS服务器,其中,所述生成的MBS密钥数据包括MBS组流量加密密钥MGTEK。
23.根据权利要求21或22所述的MBS服务器,其中,所述生成的MBS密钥数据包括MBS授权密钥MAK的永久值。
24.根据权利要求14所述的ASN实体,对应于基站,所述ASN实体包括:
-在从移动站MS接收分发用于MBS服务流的MBS密钥数据的请求(Key Request)(密钥请求)时,用于向接入服务网络网关ASN GW发送请求(MBS Access Request)以检查是否向所述MS授权到所述MBS服务的接入的装置,
-在接收由ASN GW返回的是否向所述MS授权到所述MBS服务的接入的应答(MBS Access Grant)时,用于向所述MS分发所述MBS密钥数据的装置。
25.根据权利要求24所述的对应于基站的ASN实体,其中,在密钥生存期过期时重复所述步骤。
26.根据权利要求15所述的对应于基站的ASN实体,包括:
-用于接收要通过所述基站分发的MBS密钥数据的装置,所述MBS密钥数据由对应于ASN GW的ASN实体分发的。
27.根据权利要求24至26的任一项所述的对应于基站的ASN实体,其中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
28.根据权利要求27所述的对应于基站的ASN实体,包括:
用于从所述分发的MGTEK和从MAK的永久值导出MBS流量加密密钥MTEK的装置。
29.根据权利要求28所述的对应于基站的ASN实体,其中,所述MBS密钥数据包括MBS授权密钥MAK的所述永久值。
30.根据权利要求12所述的ASN实体,对应于接入服务网络网关ASNGW,所述ASN实体包括:
-在从BS接收用于检查是否向MS授权到所述MBS服务的接入的请求(MBS Access Request)时,ASN GW检查是否向所述MS授权到所述MBS服务的接入,并且如果向所述MS授权到所述MBS服务的接入,向该BS返回授权所述BS向所述MS分发所述MBS密钥数据的应答(MBSAccess Grant)的装置。
31.根据权利要求17所述的ASN实体,对应于接入服务网络网关ASNGW,所述ASN实体包括:
-用于向至少一个ASN实体分发MBS密钥数据的装置,所述至少一个ASN实体对应于在多播或广播所述MBS服务流中涉及的BS。
32.根据权利要求13所述的ASN实体,对应于接入服务网络网关ASNGW。
33.根据权利要求30至32任一项所述的接入服务网络网关ASN GW,其中,所述MBS密钥数据包括MBS组流量加密密钥MGTEK。
34.根据权利要求33所述的接入服务网络网关ASN GW,其中,所述MBS密钥数据包括MBS授权密钥MAK的永久值。
35.根据权利要求16所述的ASN实体,对应于接入服务网络网关ASNGW,所述ASN实体包括:
-用于向MBS服务器发送对用于MBS服务流的MBS密钥数据的请求(MGTEK请求)的装置,
-在从所述MBS服务器接收包括MBS密钥数据的应答(MGTEK响应)时,向对应于在多播或广播所述MBS服务流中涉及的BS的至少一个ASN实体分发MBS密钥数据的装置。
36.根据权利要求21所述的MBS服务器,包括:
-用于从ASN GW接收对用于MBS服务流的MBS密钥数据的请求(MGTEK Request)的装置,
-在从ASN GW接收所述请求时向所述ASN GW分发所述MBS密钥数据的装置。
37.一种用于支持多播广播服务MBS的无线接入系统的移动站MS,包括:
用于存储MBS授权密钥MAK的永久值的装置。
38.根据权利要求37所述的移动站,包括:
-用于从MBS组流量加密密钥MGTEK的值和从MAK的所述永久值导出MBS流量加密密钥MTEK的装置,所述MGTEK由所述系统的ASN分发到所述MS。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP07301668A EP2071804A1 (en) | 2007-12-13 | 2007-12-13 | A method for security handling in a wireless access system supporting multicast broadcast services |
| EP07301668.5 | 2007-12-13 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101459875A true CN101459875A (zh) | 2009-06-17 |
Family
ID=39493392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101772899A Pending CN101459875A (zh) | 2007-12-13 | 2008-12-11 | 用于支持多播广播服务的无线接入系统中的安全处理方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090196424A1 (zh) |
| EP (1) | EP2071804A1 (zh) |
| CN (1) | CN101459875A (zh) |
| WO (1) | WO2009074437A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019137067A1 (zh) * | 2018-01-11 | 2019-07-18 | 华为技术有限公司 | 密钥分发方法、装置及系统 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8595486B2 (en) * | 2008-07-15 | 2013-11-26 | Industrial Technology Research Institute | Systems and methods for authorization and data transmission for multicast broadcast services |
| US8483132B2 (en) * | 2009-12-04 | 2013-07-09 | Intel Corporation | Apparatus and methods for upgrading an airlink in a wireless system |
| US10103887B2 (en) * | 2010-12-21 | 2018-10-16 | Koninklijke Kpn N.V. | Operator-assisted key establishment |
| US8842832B2 (en) * | 2010-12-27 | 2014-09-23 | Electronics And Telecommunications Research Institute | Method and apparatus for supporting security in muliticast communication |
| KR101860440B1 (ko) * | 2011-07-01 | 2018-05-24 | 삼성전자주식회사 | 기기 간 통신 시스템에서 멀티캐스트 데이터 암호화 키 관리 방법, 장치 그리고 시스템 |
| EP3078183A4 (en) * | 2013-12-03 | 2017-05-17 | LG Electronics Inc. | Apparatus for processing at least one pdu (protocol data unit) in a broadcast system, method for processing at least one pdu (protocol data unit) in a broadcast system |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100704678B1 (ko) * | 2005-06-10 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템에서의 그룹 트래픽 암호화 키갱신 방법 |
| US7848513B2 (en) * | 2005-12-08 | 2010-12-07 | Samsung Electronics Co., Ltd. | Method for transmitting security context for handover in portable internet system |
| KR100735393B1 (ko) * | 2006-02-15 | 2007-07-04 | 삼성전자주식회사 | 광대역 무선 접속 시스템의 멀티캐스트 및 브로드캐스트서비스 설정 방법 |
| WO2008017272A1 (fr) * | 2006-08-01 | 2008-02-14 | Huawei Technologies Co., Ltd. | Système de service mbs, procédé pour diviser une zone de service mbs, et procédé pour mettre en œuvre un service mbs dans le réseau |
| WO2008040238A1 (fr) * | 2006-09-19 | 2008-04-10 | Huawei Technologies Co., Ltd. | Procédé d'ajout à un terminal d'un service de diffusion sélective dans un réseau sans fil et système de mise en oeuvre associé |
| WO2008040242A1 (fr) * | 2006-09-20 | 2008-04-10 | Huawei Technologies Co., Ltd. | Procédé, réseau et dispositif de terminal permettant d'obtenir une clé de service de multidiffusion/diffusion |
| KR100836028B1 (ko) * | 2006-12-08 | 2008-06-09 | 한국전자통신연구원 | 멀티캐스트 브로드캐스트 서비스 제공 방법 |
| KR20090126166A (ko) * | 2008-06-03 | 2009-12-08 | 엘지전자 주식회사 | 트래픽 암호화 키 생성 방법 및 갱신 방법 |
| US8688117B2 (en) * | 2008-06-13 | 2014-04-01 | Fujitsu Limited | Seamless handover and load balance between macro base stations and publicly accessible femto base stations |
| US8595486B2 (en) * | 2008-07-15 | 2013-11-26 | Industrial Technology Research Institute | Systems and methods for authorization and data transmission for multicast broadcast services |
-
2007
- 2007-12-13 EP EP07301668A patent/EP2071804A1/en not_active Withdrawn
-
2008
- 2008-11-20 WO PCT/EP2008/065906 patent/WO2009074437A1/en active Application Filing
- 2008-12-11 US US12/314,515 patent/US20090196424A1/en not_active Abandoned
- 2008-12-11 CN CNA2008101772899A patent/CN101459875A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019137067A1 (zh) * | 2018-01-11 | 2019-07-18 | 华为技术有限公司 | 密钥分发方法、装置及系统 |
| US11588626B2 (en) | 2018-01-11 | 2023-02-21 | Huawei Technologies Co., Ltd. | Key distribution method and system, and apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090196424A1 (en) | 2009-08-06 |
| EP2071804A1 (en) | 2009-06-17 |
| WO2009074437A1 (en) | 2009-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101527714B1 (ko) | 브로드캐스트 서비스의 암호화된 데이터를 이동 단말에 연속적으로 전송하기 위한 방법과 시스템 | |
| TWI280768B (en) | Method and apparatus for security in a data processing system | |
| EP3726797B1 (en) | Key distribution method, device and system | |
| US8160254B2 (en) | Method for managing group traffic encryption key in wireless portable internet system | |
| EP1226680B1 (en) | Secured ad hoc network and method for providing the same | |
| CN1947373B (zh) | 在无线便携因特网系统中管理通讯加密密钥的方法及其协议配置方法、以及在用户台中的通讯加密密钥状态机的操作方法 | |
| US8769284B2 (en) | Securing communication | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| US9467285B2 (en) | Security of a multimedia stream | |
| US20090034736A1 (en) | Wireless device authentication and security key management | |
| EP1889399B1 (en) | Method for managing group traffic encryption key in wireless portable internet system | |
| CN101981864A (zh) | 通信系统中用于使用加密密钥提供广播服务的方法和装置 | |
| CN101459875A (zh) | 用于支持多播广播服务的无线接入系统中的安全处理方法 | |
| US8842832B2 (en) | Method and apparatus for supporting security in muliticast communication | |
| US20120289198A1 (en) | Authentication in a Roaming Environment | |
| KR20060117205A (ko) | 무선 분산 시스템의 단말 인증 방법 | |
| CN101145900A (zh) | 组播方法和组播系统以及组播设备 | |
| CN101150396B (zh) | 组播广播业务的密钥获取方法、网络及终端设备 | |
| CN100484266C (zh) | 移动终端使用广播/组播业务内容的方法 | |
| KR20080069551A (ko) | 통신 시스템에서 서비스 인증 정보 제공 장치 및 방법 | |
| EP4238273A1 (en) | Method and device for distributing a multicast encryption key | |
| CN101087188B (zh) | 无线网络中mbs授权密钥的管理方法及系统 | |
| CN101247630B (zh) | 实现多媒体广播业务密钥协商的系统及方法 | |
| Kuo | Analysis of 802.16 e Multicast/Broadcast group privacy rekeying protocol | |
| CN101640840B (zh) | 用于基于广播或多播进行安全通信的方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090617 |