CN101640840B - 用于基于广播或多播进行安全通信的方法及其装置 - Google Patents

用于基于广播或多播进行安全通信的方法及其装置 Download PDF

Info

Publication number
CN101640840B
CN101640840B CN200810041303.2A CN200810041303A CN101640840B CN 101640840 B CN101640840 B CN 101640840B CN 200810041303 A CN200810041303 A CN 200810041303A CN 101640840 B CN101640840 B CN 101640840B
Authority
CN
China
Prior art keywords
content
encryption
broadcast
multicast
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN200810041303.2A
Other languages
English (en)
Other versions
CN101640840A (zh
Inventor
胡志远
王楠
万志坤
骆志刚
金晓蓉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Shanghai Bell Co Ltd
Original Assignee
Alcatel Lucent Shanghai Bell Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent Shanghai Bell Co Ltd filed Critical Alcatel Lucent Shanghai Bell Co Ltd
Priority to CN200810041303.2A priority Critical patent/CN101640840B/zh
Priority to PCT/CN2009/000521 priority patent/WO2010012148A1/zh
Publication of CN101640840A publication Critical patent/CN101640840A/zh
Application granted granted Critical
Publication of CN101640840B publication Critical patent/CN101640840B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/414Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance
    • H04N21/41407Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance embedded in a portable device, e.g. video client on a mobile phone, PDA, laptop
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • H04N21/63345Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

为了解决现有技术中,基于广播或多播服务无法实现安全通信的问题,本发明提出,广播或多播服务器对待发送的内容进行加密处理,以生成经加密处理后的内容,而后将经加密处理的内容基于广播或多播发送至各个用户设备;各个用户设备接收来自广播或多播服务器的基于广播或多播发送的经加密处理的内容,并对已接收的经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容。根据本发明的方法与装置能够保证运营商与签约用户之间的安全通信,并保证计费正确。本发明用于无线通信网络的基于小区广播信道的小区广播业务中,不需要对现有的安全通信的标准、模块及设备进行较大改动,使得本发明成本较低,易于部署,具有良好的商业前景。

Description

用于基于广播或多播进行安全通信的方法及其装置
技术领域
本发明涉及通信网络中进行通信的方法和装置,尤其涉及在通信网络中基于广播或多播进行安全通信的方法和装置。
背景技术
在目前的通信网络中,广播或多播技术得到了越来越广泛地应用,网络运营商基于广播或多播与多个用户进行通信,能够节省大量的通信资源。无线通信网络中的小区广播业务(Cell BroadcastServices,以下简称CBS)是一个典型的例子,运营商可以使用CBS向广大用户提供相同的服务内容,例如天气预报、商业新闻、交通信息等等。CBS可以通过小区无线信道中的小区广播信道(CellBroadcast CHannel,以下简称CBCH)进行实现。很多通过CBS提供的信息是收费的或订阅的,即运营商必须能够保证只有签约用户能够获取到CBS提供的内容,并且保证正确地计费;而保证未付费的未签约用户无法得到该内容。一般来说,CBS可以由基于小区无线信道中的小区广播信道(Cell Broadcast CHannel,以下简称CBCH)的短消息业务(Short message service,以下简称SMS)。而现有的在CBCH中发送的短消息都是以明文,即不加密的形式进行传输。因此,目前基于小区广播信道通过短消息进行广播的CBS是无法区分签约用户与未签约用户,换句话说,是无法与签约用户进行安全通信的。
在现有技术中,定义于3GPP TS33.223的通用自举架构(GenericBootstrapping Architecture,简称GBA)Push功能提供了一种下行点对点的安全通信方式。但是,由于其点对点特性,其并不适用于为基于CBS的点到多点的广播或多播提供安全通信。
发明内容
为了解决现有技术中,基于广播或多播无法进行安全通信的问题,本发明提出,广播或多播服务器对待发送的内容进行加密处理,以生成经加密处理后的内容,而后将经加密处理的内容基于广播或多播发送至一个或多个用户设备;各个用户设备接收来自广播或多播服务器的基于广播或多播发送的经加密处理的内容,并对已接收的经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容。
具体地,根据本发明的第一方面,提供了一种在通信网络中的广播或多播服务器中,用于基于广播或多播与一个或多个用户使用的一个或多个相应用户设备进行安全通信的方法,其特征在于,包括以下步骤:a.对待发送的内容进行加密处理,以生成经加密处理后的内容;b.将所述经加密处理的内容基于广播或多播发送至所述一个或多个用户设备。
根据本发明的第二方面,提供了一种在通信网络的用户使用的用户设备中用于基于广播或多播与广播或多播服务器进行安全通信的方法,其中,包括以下步骤:A.接收来自所述广播或多播服务器的基于广播或多播发送的经加密处理的内容;B.对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容。
根据本发明的第三方面,提供了一种在通信网络中的广播或多播服务器中,用于基于广播或多播与一个或多个用户使用的一个或多个相应用户设备进行安全通信的装置,其特征在于,包括:加密处理装置,用于对待发送的内容进行加密处理,以生成经加密处理后的内容;加密内容发送装置,用于将所述经加密处理的内容基于广播或多播发送至所述一个或多个用户设备。
根据本发明的第四方面,提供了一种在通信网络的用户使用的用户设备中用于基于广播或多播与广播或多播服务器进行安全通信的装置,其中,包括:加密内容接收装置,用于接收来自所述广播或多播服务器的基于广播或多播发送的经加密处理的内容;解密处理装置,用于对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容。
本发明所提供的方法或装置,弥补了当前通信网络中基于广播或多播与签约用户进行安全通信的技术空白,通过采用点到多点的通信方式节省了通信网络中的大量通信资源,并且能够保证运营商与签约用户之间的安全通信,保证正确地计费。优选地,本发明提供的方法与装置不需要对现有的安全通信标准、安全模块及安全通信设备进行较大改动,使得本发明成本较低,易于部署,具有良好的商业前景。
附图说明
通过参照附图阅读以下所作的对非限制性实施例的详细描述,能够更容易地理解本发明的特征、目的和优点。其中,相同的附图标记代表相同或相似的元件。
图1为根据本发明一个具体实施例,广播服务器1与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图;
图2为根据本发明一个具体实施例,广播服务器1与移动终端2a进行基于广播的安全通信的方法流程图;
图3为根据本发明另一个具体实施例,广播服务器1与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图;
图4为根据本发明另一个具体实施例,广播服务器1与移动终端2a进行基于广播的安全通信的方法流程图;
图5为根据本发明又一个具体实施例,广播服务器1与移动终端2a进行基于广播的安全通信的装置及其工作过程的框图;
图6为根据本发明再一个具体实施例,广播服务器1与移动终端2a进行基于广播的安全通信的装置及其工作过程的框图。
具体实施方式
以下首先根据图1至图4,对根据本发明,广播服务器基于广播与多个用户使用的多个相应用户设备进行安全通信的方法进行详述。
第一实施例
图1为根据本发明一个具体实施例,广播服务器1与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图。其中该通信网络是一个无线通信网络,例如3G无线通信网络。该网络中包括使用基于CBS的短消息业务进行安全通信的广播服务器1,移动终端2a及2b,还包括与广播服务器1相连的内容提供服务器(ContentProvider,简称CP)3,与一个未与运营商签约进行安全通信的移动终端2c。图中省略了广播服务器1与移动终端通过短消息进行安全通信所经由的短消息网关(Short Message Gateway,简称SMG)或短消息业务中心(Short Message Service Center,简称SMSC),以及基站、中继站等等通信设备。本领域技术人员应能理解,本发明并不限于图1所示的3G无线通信网络及该网络拓扑结构,在其他例如2G、2.5G无线通信网络与其他网络拓扑结构,以及其他支持广播或多播的通信网络中,本发明同样适用,申请人也将在说明书中给出本发明应用于其他场景的实施例。图2为根据本发明一个具体实施例,广播服务器1与移动终端2a进行基于广播的安全通信的方法流程图。其中,广播服务器1可以由小区广播中心(Cell Broadcast Center)和小区广播设备(CellBroadcast Equipment)组成,其用于将经加密的内容通过小区广播信道广播给各个移动终端。
下面将参照图1与图2,对根据本发明的,广播服务器1将经内容密钥加密的内容广播给移动终端,而移动终端已事先拥有与内容密钥配合工作的内容解密信息,可以直接对经内容密钥加密的内容进行解密的过程进行详述。
首先,内容提供服务器3将需要提供给订户的内容提供给广播服务器1,该内容可以是如前所述的天气预报、商业新闻、交通信息等,提供给各个订户的内容都是相同的。接着,广播服务器1获取到待发送给订户的内容。
在步骤S10中,广播服务器1对待发送给订户的内容进行加密处理,以生成经加密处理后的内容。
具体的,在步骤S101中,广播服务器1获取用于加密该内容的内容密钥Ksms。其中,该内容密钥Ksms可以基于对称密钥(即加密密钥与解密密钥相同,或通过加密密钥可以导出解密密钥),也可以基于非对称密钥(即加密密钥与解密密钥不同,且根据加密密钥无法推导出解密密钥)。其中,我们列举以下两种情况,在这两种情况下,广播服务器1当前不需要将内容密钥Ksms提供给移动终端:
A.该对称内容密钥Ksms是广播服务器1事先生成,并已经提供给移动终端的,例如已经固化在用户的SIM(Subscriber IdentityModel,客户识别模块)卡或移动终端中,该密钥预存在广播服务器1上的,则广播服务器1获取预存的内容密钥Ksms
B.该对称内容密钥Ksms由内容提供服务器3提供给广播服务器1。并且,也由内容提供服务器3将该内容密钥Ksms提供给移动终端。在这种情况下,广播服务器1对密钥的管理和控制功能较弱;
在获取到内容密钥Ksms后,在步骤S102中,广播服务器1用已获取的内容密钥Ksms,对待发送的内容进行加密,以生成经内容密钥加密Ksms后的内容。具体的使用密钥对明文进行加密得到密文的技术是本领域技术人员熟知的,本发明对此不作赘述。
而后,在步骤S11中,广播服务器1将经内容密钥Ksms加密后的内容基于广播发送至移动终端2a。
接着,在步骤S20中,移动终端2a接收来自广播服务器1的基于广播发送的经加密处理的内容。
具体的,广播服务器1将经内容密钥Ksms加密的内容放入短消息中,通过短消息网关或短消息服务中心,提供给移动终端2a所属的小区基站,小区基站在该小区内的小区广播信道(CBCH)上将该短消息广播出去;移动终端2a在该小区广播信道上接收到含有经内容密钥Ksms加密的内容的短消息,并从中提出去经内容密钥Ksms加密的内容。值得注意的是,同一小区的订阅了相同内容的订户的移动终端2b,以及非订户的移动终端2c也可以在该小区广播信道上接收到含有经内容密钥Ksms加密的内容的短消息。值得注意的是,广播服务器1将加密内容广播给移动终端的广播方式并不限于本实施例所限,本领域一般技术人员可以在本发明的教导下,根据实际的无线网络做出适当的调整,这些调整都应处于本发明权利要求所保护的范围内。
接着,在步骤S22中,移动终端2a对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容
具体的,在步骤S22之前,在步骤S21中,移动终端2a获取与内容密钥Ksms对应的内容解密信息。其中,内容密钥Ksms为对称密钥时,内容密钥Ksms即等同于其对应的内容解密信息;而当内容密钥Ksms为非对称密钥时,应获取与其配合工作的密钥,于是,与以上列举的A、B两种情况分别对应的:
A’.事先生成的对称内容密钥Ksms在本次安全通信之前已经由广播服务器1提供给移动终端2a,例如固化在用户的SIM卡或移动终端中,则移动终端2a获取预存的内容密钥Ksms
B’.对称内容密钥Ksms在本次安全通信前已由相应的内容提供服务器3提供给了移动终端2a;
而后,在步骤S22中,移动终端2a根据在步骤S21中获取的与内容密钥Ksms对应的内容解密信息,对接收来自广播服务器1的基于广播发送的经内容密钥Ksms加密处理的内容进行解密,以还原出原始未经加密处理的内容。
同理,订阅相同内容的订户的移动终端2b也在类似于步骤S21的步骤中获取到了与内容密钥Ksms对应的内容解密信息,其进行以上类似的步骤S22,因此其也可以得到原始未经加密处理的内容;此外,移动终端2c的用户由于不是该内容的订户,其没有获得与内容密钥Ksms对应的内容解密信息,则其无法对接收到的经Ksms加密的内容进行解密,保证了广播服务器1与移动终端2a及2b之间通信的安全性。
可以理解,移动终端2a及2b可以属于同一个基站小区,也可以分属于不同小区。
以上的第一实施例对广播服务器1将经内容密钥加密的内容广播给移动终端,而移动终端已事先拥有与内容密钥配合工作的内容解密信息,可以直接对经内容密钥加密的内容进行解密的情况进行了详述。以下将对根据本发明的,优选地,广播服务器还采用对内容密钥的加密技术,其获取对应于各个用户的加密辅助信息,并根据该加密辅助信息对内容密钥进行加密,而后将经加密辅助信息加密的内容密钥提供给移动终端的技术方案进行详述。
第二实施例
图3为根据本发明另一个具体实施例,广播服务器1与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图。其中,在图1所示的拓扑结构的基础上,该通信网络还包括与广播服务器1相连的自举服务推送功能(Bootstrapping Server Function-Push,简称BSF Push)4,及与自举服务推送功能4相连的归属位置寄存器/归属用户服务器(Home Location Register,简称HLR/Home SubscriberServer,简称HSS)5。其中,广播服务器1可以包含两部分,一部分是由小区广播中心(Cell Broadcast Center)和小区广播设备(CellBroadcast Equipment)组成的小区广播业务系统(CBS System),其用于将经内容密钥加密的内容通过小区广播信道广播给各个移动终端;还有一部分是小区广播业务订户管理器(CBS SubscriberManagement),其根据加密辅助信息对内容密钥进行加密,并将经加密的内容密钥经Upa接口以短信或其他方式提供给小区广播业务的订阅用户。
图4为根据本发明另一个具体实施例,广播服务器1与移动终端2a进行基于广播的安全通信的方法流程图。
如图所示,在步骤S101’中,广播服务器1获取一个用于加密内容的内容密钥,具体的,广播服务器1可以根据一个当时生成的随机数,及内容提供服务器3的标识信息,基于对称密钥算法如DES(Data Encryption Standard)、AES(Advanced Encryption)等生成一个基于对称加密的内容密钥Ksms’。
而后,广播服务器1进行与前述第一实施例类似的步骤,在S102’中,根据Ksms’对内容提供服务器3提供的内容进行加密,而后在步骤S11’中,将经内容密钥Ksms’加密后的内容基于广播发送至移动终端2a,优选地,广播服务器1将经内容密钥Ksms’加密的内容放入短消息中,通过短消息网关或短消息服务中心,提供给移动终端2a所属的小区基站,小区基站在该小区内的小区广播信道(CBCH)上将该短消息广播出去;移动终端2a在该小区广播信道上接收到含有经内容密钥Ksms’加密的内容的短消息,并从中提出去经内容密钥Ksms’加密的内容。值得注意的是,同一小区的订阅了相同内容的订户的移动终端2b,以及非订户的移动终端2c也可以在该小区广播信道上接收到含有经内容密钥Ksms’加密的内容的短消息。
接着,在步骤S20’中,移动终端2a接收来自广播服务器1的基于广播发送的经内容密钥Ksms’加密的内容。而在类似的步骤S20”(图中未示出)中,移动终端2b接收来自广播服务器1的基于广播发送的经内容密钥Ksms’加密的内容。同时,非订户的移动终端2c也可以收到该经加密处理的内容。
与以上步骤不相关的,在步骤S12’中,广播服务器1获取与移动终端2a所属的用户a及移动终端2b所属的用户b分别对应的加密辅助信息,该加密辅助信息用于对内容密钥Ksms’进行加密。
A.具体的,在一种情况下,该加密辅助信息基于非对称密钥技术,例如,用户a对应的加密辅助信息为用户a的公钥,同时,用户a自己在其移动终端2a上拥有与该公钥配合工作的,即解密的私钥,用户b亦然,则广播服务器1获取用户a与b各自的公钥。则在一种情况下,广播服务器1本地保存有该公钥,则其直接读取公钥;在另一种情况下,该公钥由内容提供服务器3,或由其他安全管理服务器提供给广播服务器1。
B.在另一种优选的情况下,该加密辅助信息是与用户a与b的身份相关的对称的加密密钥,用户a与b可以在其移动终端上基于其用户身份生成同样的加密密钥或对应的解密辅助信息。在这种情况下,在步骤S121’中,广播服务器1基于GBA push技术,通过Zpn接口向自举服务推送功能(BSF)4请求用户a及用户b的通用自举架构的推送信息,该推送信息中包含用于生成加密密钥的身份相关信息Ks_NAF/Ks_ext_NAF、Ks_int_NAF,用户的五元组认证矢量中的AUTN和RAND,用于标识是GBA_U或GBA_ME的U/M,密钥的生命周期、广播服务器的ID、用户的私密身份ID、MAC等等。其中,若自举服务推送功能4本地尚无用户a和/或b的身份信息,则其还通过Zh接口,向用户a和/或b所属的归属位置寄存器/归属用户服务器5请求并获得用户的五元组认证矢量CK(Cipher Key)、IK(Integrity Key)、RAND、RES、AUTN信息,并根据该CK、IK信息生成用户a和/或b的通用自举架构的推送信息,而后将用户a和b的推送信息提供给广播服务器1。
而后,在步骤S122’中,广播服务器1根据已获取的用户a与b各自的Ks_NAF/Ks_ext_NAF、Ks_int_NAF信息,生成用户a与b各自的加密密钥Kcbs’。
以上广播服务器1与自举服务推送功能4进行交互获取通用自举架构的推送信息的过程,并生成与用户的身份信息相关的加密密钥Kcbs’的过程,与现有技术中的用于一对一安全通信的通用自举架构中的过程类似,详细过程可以参见标准3GPP TS33.223V800,本说明书不做赘述。
接着,在步骤S13’中,广播服务器1分别根据已获取的用户a与b各自的加密辅助信息,例如其公钥或其加密密钥Kcbs’,对内容密钥Ksms’进行加密,以生成与用户a与b各自的经对应加密辅助信息加密的内容密钥Ksms’。
而后,在步骤S14’中,广播服务器1将与用户a与b各自的经对应加密辅助信息加密的内容密钥Ksms’发送给用户a与b各自的移动终端2a及2b。
优选地,广播服务器1通过短消息网关或短消息服务中心,通过短信息方式将经与用户a与b对应的加密辅助信息加密的内容密钥Ksms’分别发送至的用户a与b。
而后,在步骤S21’及步骤S21”(图中未示出)中,移动终端2a与2b各自获取与内容密钥Ksms’配合工作的内容解密信息。以下从移动终端2a的角度进行说明,移动终端2b进行类似的步骤。
具体的,在步骤S211’中,移动终端2a接收来自广播服务器1的,经与用户a对应的加密辅助信息加密的内容密钥Ksms’,并获取与该加密辅助信息配合工作的解密辅助信息。
A’.在一种情况下,与上文情况A对应的,该加密辅助信息基于非对称密钥技术,例如,是用户a的公钥,则移动终端2a获取到该公钥对应的私钥作为解密辅助信息,以对经公钥加密的内容密钥Ksms’进行解密。可以理解,公私钥等非对称加密技术的实现是本领域技术人员所熟知的,本发明在此不作赘述。本领域一般技术人员可以根据实际需求对本实施例进行适当的修改,这些修改都应处于本发明的保护范围。
B’.在另一种情况下,与上文情况B对应的,该加密辅助信息是与用户a的身份相关的对称的加密密钥Kcbs’,用户a可以在其移动终端2a上生成同样的加密密钥或对应的解密辅助信息。具体的,在步骤S2111’中,移动终端2a基于GBA psuh技术,根据从自举服务推送功能(BSF)4获得的GBA Push信息,移动终端以与HLR/HSS同样方式生成五元组认证矢量CK(Cipher Key)、IK(Integrity Key)、RAND、RES、AUTN信息,然后以与BSF Push功能同样的方式生成Ks_NAF/Ks_ext_NAF、Ks_int_NAF信息。
而后,在步骤S2112’中,移动终端2a根据身份相关信息Ks_NAF/Ks_ext_NAF、Ks_int_NAF,生成对称加密密钥Kcbs’或与其配合工作的解密密钥。值得注意的是,其生成加密密钥Kcbs’的方法,应与广播服务器1生成加密密钥Kcbs’的方法相对应;或者,其生成与Kcbs’的配合工作的解密密钥方法,应与广播服务器1生成加密密钥Kcbs’的方法相对应,以保证生成的加密密钥Kcbs’或与其配合工作的解密密钥与广播服务器1所用的加密密钥Kcbs’一致。一般来说,该一致性可以由用户与其运营商及广播服务器之间事先协商确定,例如固化在用户的SIM卡中或每次通信前协商得到。
以上移动终端2a与自举服务推送功能4进行认证、交互以获取通用自举架构的推送信息的过程,与现有技术中的用于一对一安全通信的通用自举架构中的过程类似,参见3GPP TS33.223V800。
值得注意的是,在以上的情况B-B’下,本发明通过上述的广播服务器1及移动终端与自举服务推送功能4的交互,利用了现有的通用自举架构(GBA)push技术,不对已有的标准、方法及装置进行大的修改,因而可节约大量成本,继而,该方案能够为市场所接受,具有良好商业前景。
而后,在步骤S212’中,移动终端2a根据获取的解密辅助信息,对经与用户a对应的加密辅助信息加密的内容密钥Ksms’进行解密,获取内容密钥Ksms’,作为对应的内容解密信息。
最后,在步骤S22中’,移动终端2a根据内容密钥Ksms’,对根据内容密钥Ksms’加密的内容进行解密,以还原出原始未经加密处理的内容。
类似地,该内容的订阅用户b的移动终端2b也进行类似的步骤,由于广播服务器1也将其经与用户b对应的加密辅助信息加密的内容密钥Ksms’发送给移动终端2b,则移动终端2b可以获取与用户b对应的加密辅助信息配合工作的解密辅助信息,并解出内容密钥Ksms’,继而对根据内容密钥Ksms’加密的内容进行解密,以还原出原始未经加密处理的内容。
而没有订阅该内容的用户c的移动终端2c无法接收到经与其对应的加密辅助信息加密的内容密钥Ksms’,使得也无法对经对应于其他用户的加密辅助信息加密的内容密钥Ksms’进行解密,则其无法获取到内容密钥Ksms’,继而无法对根据内容密钥Ksms’加密的内容进行解密,无法得到原出原始未经加密处理的内容。这样而来,保证了广播服务器1与内容订阅用户a与b的移动终端2a及2b的内容通信的安全。
值得注意的是,本发明中所述的内容密钥及加密辅助信息等用于加密的密钥(Key)包括一切用于将明文加密为密文的算法,或算法及其参数等等;同样,所述的内容解密信息与解密辅助信息等用于解密的密钥(Key)也包括一切用于将经对应加密密钥加密而成的密文解密为明文的算法,或算法及其参数等等。具体的加密原理及方法是本领域技术人员所熟知的,并应都落入本发明的保护范围,在此不做赘述。
以上所举的第一与第二实施例中,广播服务器1对待发送的内容完全加密。值得注意的是,本发明还可以用于基于数字签名及证书的安全通信过程。具体的,广播服务器1基于预定的散列算法(杂凑算法)对待发送的内容进行散列,得到待发送内容的内容摘要,并根据内容密钥Ksms对该内容摘要进行加密;而后,广播服务器1将待发送的内容以明文的形式广播给各个移动终端,还将经内容密钥Ksms加密的内容摘要广播给各个移动终端。移动终端接收到以明文形式广播的内容信息,并按照相同的散列算法生成其接收到的内容信息的摘要;移动终端还接收到经内容密钥Ksms加密的内容摘要,并按照与以上第一或第二实施例中类似的过程,获取与广播服务器1的内容密钥Ksms配合工作的内容解密信息,从而解密出该内容摘要;最后,移动终端比较解密出的内容摘要与自己根据所接收的内容信息生成的内容摘要是否相同,以确定其接收到的内容信息是广播服务器1发送的,并且在传输过程中没有被更改。
以上两个实施例对根据本发明,基于无线通信网络的广播进行安全通信的方法进行了详述。本领域技术人员应能理解,本发明同样适用于基于无线通信网络的多播(组播)进行安全通信。具体的,在多播服务器将经加密处理的内容基于多播发送至多个用户设备前,其首先应建立与该多个用户设备的多播信道,而后将在多播信道中将经加密处理的内容发送给该多个用户设备;相应的,用户设备也应首先建立与多播服务器之间的多播信道,而后在多播信道中接收来自多播服务器的经加密处理的内容。其他加/解密的过程与前文中描述的类似,在此不作赘述。
以上对根据本发明,广播服务器基于广播与多个用户使用的多个相应用户设备进行安全通信的方法进行详述。以下将根据图4与图5,对根据本发明,广播服务器基于广播与多个用户使用的多个相应用户设备进行安全通信的装置及其工作过程进行详述。
第三实施例
图1为根据本发明一个具体实施例,广播服务器1与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图。图4为根据本发明又一个具体实施例,广播服务器1与移动终端2a进行基于广播的安全通信的装置及其工作过程的框图。其中,广播服务器1包括用于基于广播与多个用户使用的或多个相应移动终端进行安全通信的装置10,该装置10包括加密处理装置101与加密内容发送装置102,加密处理装置101进一步包括内容密钥获取装置1011。移动终端2a包括用于基于广播与广播服务器1进行安全通信的装置20,该装置20包括加密内容接收装置201,第二获取装置202与解密处理装置203。其中,广播服务器1可以由小区广播中心(CellBroadcast Center)和小区广播设备(Cell Broadcast Equipment)组成,其用于将经加密的内容通过小区广播信道广播给各个移动终端。
下面将参照图1与图4,对根据本发明的,广播服务器1将经内容密钥加密的内容广播给移动终端,而移动终端已事先拥有与内容密钥配合工作的内容解密信息,可以直接对经内容密钥加密的内容进行解密的装置及其工作过程进行详述。
首先,内容提供服务器3将需要提供给订户的内容提供给广播服务器1,该内容可以是如前所述的天气预报等,提供给各个订户的内容都是相同的。接着,广播服务器1获取到待发送给订户的内容。
加密处理装置101对待发送给订户的内容进行加密处理,以生成经加密处理后的内容。
内容密钥获取装置1011获取用于加密该内容的内容密钥Ksms。其中,该内容密钥Ksms可以基于对称密钥(即加密密钥与解密密钥相同,或通过加密密钥可以导出解密密钥),也可以基于非对称密钥(即加密密钥与解密密钥不同,且根据加密密钥无法推导出解密密钥)。其中,我们列举以下两种情况,在这两种情况下,广播服务器1当前不需要将内容密钥Ksms提供给移动终端:
A.该对称内容密钥Ksms是广播服务器1事先生成,并已经提供给移动终端的,例如已经固化在用户的SIM(Subscriber IdentityModel,客户识别模块)卡或移动终端中,该密钥预存在广播服务器1上的,则内容密钥获取装置1011获取预存的内容密钥Ksms
B.该对称内容密钥Ksms由内容提供服务器3提供给内容密钥获取装置1011。并且,也由内容提供服务器3将该内容密钥Ksms提供给移动终端。在这种情况下,广播服务器1对密钥的管理和控制功能较弱;
在获取到内容密钥Ksms后,加密处理装置101用已获取的内容密钥Ksms,对待发送的内容进行加密,以生成经内容密钥加密Ksms后的内容。具体的使用密钥对明文进行加密得到密文的技术是本领域技术人员熟知的,本发明对此不作赘述。
而后,加密内容发送装置102将经内容密钥Ksms加密后的内容基于广播发送至移动终端2a。
接着,移动终端2a的装置20的加密内容接收装置201接收来自广播服务器1的基于广播发送的经加密处理的内容。
具体的,加密内容发送装置102将经内容密钥Ksms加密的内容放入短消息中,通过短消息网关或短消息服务中心,提供给移动终端2a所属的小区基站,小区基站在该小区内的小区广播信道(CBCH)上将该短消息广播出去;加密内容接收装置201在该小区广播信道上接收到含有经内容密钥Ksms加密的内容的短消息,并从中提出去经内容密钥Ksms加密的内容。值得注意的是,同一小区的订阅了相同内容的订户的移动终端2b,以及非订户的移动终端2c也可以在该小区广播信道上接收到含有经内容密钥Ksms加密的内容的短消息。值得注意的是,加密内容发送装置102将加密内容广播给移动终端的广播方式并不限于本实施例所限,本领域一般技术人员可以在本发明的教导下,根据实际的无线网络做出适当的调整,这些调整都应处于本发明权利要求所保护的范围内。
接着,解密处理装置203对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容
具体的,第二获取装置202获取与内容密钥Ksms对应的内容解密信息。其中,内容密钥Ksms为对称密钥时,内容密钥Ksms即等同于其对应的内容解密信息;而当内容密钥Ksms为非对称密钥时,应获取与其配合工作的密钥,于是,与以上列举的A、B和C三种情况分别对应的:
A’.事先生成的对称内容密钥Ksms在本次安全通信之前已经由广播服务器1提供给移动终端2a,例如固化在用户的SIM卡或移动终端中,则第二获取装置202获取预存的内容密钥Ksms
B’.对称内容密钥Ksms在本次安全通信前已由相应的内容提供服务器3提供给了第二获取装置202。
而后,解密处理装置203根据第二获取装置202获取的与内容密钥Ksms对应的内容解密信息,对接收来自广播服务器1的基于广播发送的经内容密钥Ksms加密处理的内容进行解密,以还原出原始未经加密处理的内容。
同理,订阅相同内容的订户的移动终端2b的类似的加密内容接收装置获取到了与内容密钥Ksms对应的内容解密信息,其通过类似的第二获取装置与解密处理装置也可以得到原始未经加密处理的内容;此外,移动终端2c的用户由于不是该内容的订户,其类似的第二获取装置没有获得与内容密钥Ksms对应的内容解密信息,则其类似的解密处理装置无法对接收到的经Ksms加密的内容进行解密,保证了广播服务器1与移动终端2a及2b之间通信的安全性。
可以理解,移动终端2a及2b可以属于同一个基站小区,也可以分属于不同小区。
以上的第三实施例对广播服务器1将经内容密钥加密的内容广播给移动终端,而移动终端已事先拥有与内容密钥配合工作的内容解密信息,可以直接对经内容密钥加密的内容进行解密的情况进行了详述。以下将对根据本发明的,优选地,广播服务器还采用对内容密钥的加密技术,其获取对应于各个用户的加密辅助信息,并根据该加密辅助信息对内容密钥进行加密,而后将经加密辅助信息加密的内容密钥提供给移动终端的技术方案进行详述。
第四实施例
图3为根据本发明另一个具体实施例,广播服务器1与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图。图6为根据本发明另一个具体实施例,广播服务器1与移动终端2a进行基于广播的安全通信的装置其工作过程的框图。广播服务器1包括用于基于广播与多个用户使用的多个相应移动终端进行安全通信的装置10’,该装置10’包括加密处理装置101’,加密内容发送装置102’,第一获取装置103’,内容密钥加密装置104’与内容密钥发送装置105’;该加密处理装置101’进一步包括内容密钥获取装置1011’,该第一获取装置103’可以进一步包括第一推送信息获取装置1031’。其中,加密处理装置101’与加密内容发送装置102’可以构成由小区广播设备(Cell Broadcast Equipment)和小区广播中心(CellBroadcast Center)组成的小区广播业务系统(CBS System),其用于将经内容密钥加密的内容通过小区广播信道广播给各个移动终端;而第一获取装置103’,内容密钥加密装置104’与内容密钥发送装置105’可以构成小区广播业务订户管理器(CBS SubscriberManagement),其根据加密辅助信息对内容密钥进行加密,并将经加密的内容密钥经Upa接口以短信或其他方式提供给小区广播业务的订阅用户。移动终端2a包括用于基于广播与广播服务器1进行安全通信的装置20’,该装置20’包括加密内容接收装置201’,第二获取装置202’与解密处理装置203’;该第二获取装置202’进一步包括处理装置2021’,该处理装置2021’可以进一步包括第二推送信息获取装置20211’。
如图所示,内容密钥获取装置1011’获取一个用于加密内容的内容密钥,具体的,内容密钥获取装置1011’可以根据一个当时生成的随机数,及内容提供服务器3的标识信息,基于对称密钥算法如DES(Data Encryption Standard)、AES(Advanced Encryption)等生成一个基于对称加密的内容密钥Ksms’。
而后,广播服务器1进行与前述第三实施例类似的工作,加密处理装置101’根据Ksms’对内容提供服务器3提供的内容进行加密,而后加密内容发送装置102’将经内容密钥Ksms’加密后的内容基于广播发送至移动终端2a,优选地,加密内容发送装置102’将经内容密钥Ksms’加密的内容放入短消息中,通过短消息网关或短消息服务中心,提供给移动终端2a所属的小区基站,小区基站在该小区内的小区广播信道(CBCH)上将该短消息广播出去;移动终端2a在该小区广播信道上接收到含有经内容密钥Ksms’加密的内容的短消息,并从中提出去经内容密钥Ksms’加密的内容。值得注意的是,同一小区的订阅了相同内容的订户的移动终端2b,以及非订户的移动终端2c也可以在该小区广播信道上接收到含有经内容密钥Ksms’加密的内容的短消息。
接着,移动终端2a的装置20’的加密内容接收装置201’接收来自广播服务器1的基于广播发送的经内容密钥Ksms’加密的内容。移动终端2b的类似的加密内容接收装置接收来自广播服务器1的基于广播发送的经内容密钥Ksms’加密的内容。同时,非订户的移动终端2c也可以收到该经加密处理的内容。
与以上工作过程不相关的,广播服务器1的装置10的第一获取装置103’获取与移动终端2a所属的用户a及移动终端2b所属的用户b分别对应的加密辅助信息,该加密辅助信息用于对内容密钥Ksms’进行加密。
A.具体的,在一种情况下,该加密辅助信息基于非对称密钥技术,例如,用户a对应的加密辅助信息为用户a的公钥,同时,用户a自己在其移动终端2a上拥有与该公钥配合工作的,即解密的私钥,用户b亦然,则广播服务器1获取用户a与b各自的公钥。则在一种情况下,广播服务器1本地保存有该公钥,则第一获取装置103’直接读取公钥;在另一种情况下,该公钥由内容提供服务器3,或由其他安全管理服务器提供给第一获取装置103’。
B.在另一种优选的情况下,该加密辅助信息是与用户a与b的身份相关的对称的加密密钥,用户a与b可以在其移动终端上基于其用户身份生成同样的加密密钥或对应的解密辅助信息。在这种情况下,第一获取装置103’的第一推送信息获取装置1031’基于GBA push技术,通过Zpn接口向自举服务推送功能(BSF)4请求用户a及用户b的通用自举架构的推送信息,该推送信息中包含用于生成加密密钥的身份相关信息Ks_NAF/Ks_ext_NAF、Ks_int_NAF,用户的五元组认证矢量中的AUTN和RAND,用于标识是GBA_U或GBA_ME的U/M,密钥的生命周期、广播服务器的ID、用户的私密身份ID、MAC等等。其中,若自举服务推送功能4本地尚无用户a和/或b的身份信息,则其还通过Zh接口,向用户a和/或b所属的归属位置寄存器/归属用户服务器5请求并获得用户的五元组认证矢量CK(CipherKey)、IK(Integrity Key)、RAND、RES、AUTN信息,并根据该CK、IK信息生成用户a和/或b的通用自举架构的推送信息,而后将用户a和b的推送信息提供给第一推送信息获取装置1031’。
而后,第一获取装置103’根据已获取的用户a与b各自的Ks_NAF/Ks_ext_NAF、Ks_int_NAF信息,生成用户a与b各自的加密密钥Kcbs’。
以上广播服务器1的第一推送信息获取装置1031’与自举服务推送功能4进行交互获取通用自举架构的推送信息的过程,第一获取装置103’生成与用户的身份信息相关的加密密钥Kcbs’的过程,与现有技术中的用于一对一安全通信的通用自举架构中的过程类似,详细过程可以参见标准3GPP TS33.223V800,本说明书不做赘述。
接着,内容密钥加密装置104’分别根据已获取的用户a与b各自的加密辅助信息,例如其公钥或其加密密钥Kcbs’,对内容密钥Ksms’进行加密,以生成与用户a与b各自的经对应加密辅助信息加密的内容密钥Ksms’。
而后,内容密钥发送装置105’将与用户a与b各自的经对应加密辅助信息加密的内容密钥Ksms’发送给用户a与b各自的移动终端2a及2b。
优选地,内容密钥发送装置105’通过短消息网关或短消息服务中心,通过短信息方式将经与用户a与b对应的加密辅助信息加密的内容密钥Ksms’分别发送至的用户a与b。
而后,移动终端2a的装置20’的第二获取装置202’的处理装置2021’,及移动终端2b的类似的处理装置各自获取与内容密钥Ksms’配合工作的内容解密信息。以下从移动终端2a的角度进行说明。
具体的,处理装置2021’接收来自广播服务器1的,经与用户a对应的加密辅助信息加密的内容密钥Ksms’,并获取与该加密辅助信息配合工作的解密辅助信息。
A’.在一种情况下,与上文情况A对应的,该加密辅助信息基于非对称密钥技术,例如,是用户a的公钥,则处理装置2021’获取到该公钥对应的私钥作为解密辅助信息,以对经公钥加密的内容密钥Ksms’进行解密。可以理解,公私钥等非对称加密技术的实现是本领域技术人员所熟知的,本发明在此不作赘述。本领域一般技术人员可以根据实际需求对本实施例进行适当的修改,这些修改都应处于本发明的保护范围。
B’.在另一种情况下,与上文情况B对应的,该加密辅助信息是与用户a的身份相关的对称的加密密钥Kcbs’,用户a可以在其移动终端2a上生成同样的加密密钥或对应的解密辅助信息。具体的,处理装置2021’的第二推送信息获取装置20211’基于GBA psuh技术,根据从自举服务推送功能(BSF)4获得的GBA Push信息,移动终端以与HLR/HSS同样方式生成五元组认证矢量CK(Cipher Key)、IK(Integrity Key)、RAND、RES、AUTN信息,然后以与BSF Push功能同样的方式生成Ks_NAF/Ks_ext NAF、Ks_int_NAF信息。
而后,处理装置2021’根据身份相关信息Ks_NAF/Ks_ext_NAF、Ks_int_NAF,生成对称加密密钥Kcbs’或与其配合工作的解密密钥。值得注意的是,其生成加密密钥Kcbs’的方法,应与广播服务器1的第一获取装置103’生成加密密钥Kcbs’的方法相对应;或者,其生成与Kcbs’的配合工作的解密密钥方法,应与广播服务器1的第一获取装置103’生成加密密钥Kcbs’的方法相对应,以保证生成的加密密钥Kcbs’或与其配合工作的解密密钥与广播服务器1所用的加密密钥Kcbs’一致。一般来说,该一致性可以由用户与其运营商及广播服务器之间事先协商确定,例如固化在用户的SIM卡中或每次通信前协商得到。
以上第二推送信息获取装置20211’与自举服务推送功能4进行认证、交互以获取通用自举架构的推送信息的过程,与现有技术中的用于一对一安全通信的通用自举架构中的过程类似,参见3GPPTS33.223V800。
值得注意的是,在以上的情况B-B’下,本发明通过上述的广播服务器1及移动终端与自举服务推送功能4的交互,利用了现有的通用自举架构(GBA)push技术,不对已有的标准、方法及装置进行大的修改,因而可节约大量成本,继而,该方案能够为市场所接受,具有良好商业前景。
而后,第二获取装置202’根据获取的解密辅助信息,对经与用户a对应的加密辅助信息加密的内容密钥Ksms’进行解密,获取内容密钥Ksms’,作为对应的内容解密信息。
最后,解密处理装置203’根据内容密钥Ksms’,对根据内容密钥Ksms’加密的内容进行解密,以还原出原始未经加密处理的内容。
类似地,该内容的订阅用户b的移动终端2b的类似装置进行类似的工作,由于广播服务器1也将其经与用户b对应的加密辅助信息加密的内容密钥Ksms’发送给移动终端2b,则移动终端2b的处理装置可以获取与用户b对应的加密辅助信息配合工作的解密辅助信息,其第二获取装置可以解出内容密钥Ksms’,继而其解密处理装置可以对根据内容密钥Ksms’加密的内容进行解密,以还原出原始未经加密处理的内容。
而没有订阅该内容的用户c的移动终端2c的处理装置无法接收到经与其对应的加密辅助信息加密的内容密钥Ksms’,使得其第二获取装置无法对经对应于其他用户的加密辅助信息加密的内容密钥Ksms’进行解密,则其无法获取到内容密钥Ksms’,继而其解密处理装置无法对根据内容密钥Ksms’加密的内容进行解密,无法得到原出原始未经加密处理的内容。这样而来,保证了广播服务器1与内容订阅用户a与b的移动终端2a及2b的内容通信的安全。
本领域技术人员应能理解,本发明同样适用于基于无线通信网络的多播(组播)进行安全通信。具体的,多播服务器的用于基于多播与多个用户使用的多个相应用户设备进行安全通信的装置在以上基础上,还包括第一多播信道建立装置,其用于建立与该多个用户设备的多播信道,其加密内容发送装置还用于在多播信道中将经加密处理的内容发送给该多个用户设备;相应的,用户设备的用于基于多播与多播服务器进行安全通信的装置在以上基础上,还包括第二多播信道建立装置,用于建立与多播服务器之间的多播信道,其加密内容接收装置用于在多播信道中接收来自多播服务器的经加密处理的内容。其他加/解密的过程与前文中描述的类似,在此不作赘述。
本领域技术人员应能理解,本发明并不仅限于无线通信领域,在例如IPTV等支持广播和/或多播的通信网络中,本发明同样适用。
以上对本发明的具体实施方式进行了描述。需要说明的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在所附权利要求的范围内做出各种变型或修改。

Claims (18)

1.一种进行安全通信的方法,在通信网络中的广播或多播服务器中,用于基于广播或多播与一个或多个用户使用的一个或多个相应用户设备进行安全通信,其特征在于,该方法包括以下步骤:
a.对待发送的内容进行加密处理,以生成经加密处理后的内容;
b.将所述经加密处理的内容基于广播或多播发送至所述一个或多个用户设备;
其中,所述步骤a包括:
-获取用于加密所述待发送的内容的内容密钥;
-用已获取的内容密钥,对所述待发送的内容进行加密,以生成经所述内容密钥加密后的内容;
所述步骤b包括:
-将所述经内容密钥加密后的内容基于广播或多播发送至所述一个或多个用户设备;
并且,该方法还包括如下步骤:
i.获取对应于各个用户的加密辅助信息;
ii.根据该加密辅助信息对内容密钥进行加密;
iii.将经加密辅助信息加密的内容密钥提供给移动终端;
其中,所述步骤i包括:
-通过自举服务功能,获取与所述一个或多个用户的身份信息相关的各自的通用自举架构的推送信息,该推送信息包括Ks_NAF/Ks_ext_NAF、Ks_int_NAF;
-根据所述通用自举架构的推送信息,获取所述一个或多个用户各自的加密辅助信息。
2.根据权利要求1所述的方法,其特征在于,所述通信网络包括无线通信网络,所述广播或多播服务包括基于小区广播信道的小区广播业务,所述广播或多播服务器包括小区广播服务器,所述用户设备包括移动终端,所述步骤b还包括:
-将所述经加密处理的内容通过小区广播信道发送至所述一个或多个移动终端。
3.根据权利要求1所述的方法,其特征在于,所述步骤iii还包括:
-通过短信息方式将所述一个或多个经加密辅助信息加密的内容密钥发送至相应的一个或多个移动终端。
4.根据权利要求1所述的方法,其特征在于,所述广播或多播服务包括多播服务,所述广播或多播服务器包括多播服务器,所述步骤b之前,还包括:
-建立与所述一个或多个用户设备之间的多播信道;
所述步骤b还包括:
-将所述经加密处理的内容通过所述多播信道发送至所述一个或多个用户设备。
5.一种在通信网络的用户使用的用户设备中用于基于广播或多播与广播或多播服务器进行安全通信的方法,其中,包括以下步骤:
A.接收来自所述广播或多播服务器的基于广播或多播发送的经加密处理的内容;
B.对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容;
其中,所述经加密处理的内容包括根据内容密钥加密的内容,所述步骤B之前包括:
I.获取与所述内容密钥配合工作的内容解密信息;
所述步骤B还包括:
-根据所述内容解密信息,对所述根据内容密钥加密的内容进行解密,以还原出原始未经加密处理的内容;
其中,所述步骤I包括以下步骤:
I1.接收来自所述广播或多播服务器的、经与本用户对应的加密辅助信息加密的内容密钥,并获取与所述加密辅助信息配合工作的解密辅助信息;
I2.根据所述解密辅助信息,对所述经与本用户对应的加密辅助信息加密的内容密钥进行解密,获取内容密钥作为对应的内容解密信息;
其中,所述步骤I1还包括:
-通过自举服务功能,获取与本用户的身份信息相关的通用自举架构的推送信息,该推送信息包括Ks_NAF/Ks_ext_NAF、Ks_int_NAF;
-根据所述通用自举架构的推送信息,获取与用户的身份信息相关的解密辅助信息。
6.根据权利要求5所述的方法,其特征在于,所述通信网络包括无线通信网络,所述广播或多播服务包括基于小区广播信道的小区广播业务,所述广播或多播服务器包括小区广播服务器,所述用户设备包括移动终端,所述步骤A还包括:
-通过小区广播信道接收所述经加密处理的内容。
7.根据权利要求5所述的方法,其特征在于,所述步骤I1还包括:
-接收来自所述广播或多播服务器通过短信息方式发送的,经与本用户对应的加密辅助信息加密的内容密钥。
8.根据权利要求5所述的方法,其特征在于,所述广播或多播服务包括多播服务,所述广播或多播服务器包括多播服务器,所述步骤A之前,还包括:
-建立与所述多播服务器之间的多播信道;
所述步骤A还包括:
-通过所述多播信道接收所述经加密处理的内容。
9.一种进行安全通信的装置,在通信网络中的广播或多播服务器中,用于基于广播或多播与一个或多个用户使用的一个或多个相应用户设备进行安全通信,其特征在于,所述进行安全通信的装置包括:
-加密处理装置,用于对待发送的内容进行加密处理,以生成经加密处理后的内容;
-加密内容发送装置,用于将所述经加密处理的内容基于广播或多播发送至所述一个或多个用户设备;
其中,所述加密处理装置包括:
-内容密钥获取装置,用于获取用于加密所述待发送的内容的内容密钥;
所述加密处理装置还用于:
用已获取的内容密钥,对所述待发送的内容进行加密,以生成经所述内容密钥加密后的内容;
所述加密内容发送装置还用于:
将所述经内容密钥加密后的内容基于广播或多播发送至所述一个或多个用户设备;
所述进行安全通信的装置还包括:
-第一获取装置,用于获取与所述一个或多个用户对应的一个或多个加密辅助信息;
-内容密钥加密装置,用于根据已获取的所述一个或多个加密辅助信息,对所述内容密钥进行加密,以生成与所述一个或多个用户对应的一个或多个经相应加密辅助信息加密的内容密钥;
-内容密钥发送装置,用于将所述一个或多个经加密辅助信息加密的内容密钥发送至相应的一个或多个用户设备;
其中,所述第一获取装置进一步包括:
-第一推送信息获取装置,用于通过自举服务功能,获取与所述一个或多个用户的身份信息相关的各自的通用自举架构的推送信息,该推送信息包括Ks_NAF/Ks_ext_NAF、Ks_int_NAF;
所述第一获取装置还用于:
根据所述通用自举架构的推送信息,获取所述一个或多个用户各自的加密辅助信息。
10.根据权利要求9所述的进行安全通信的装置,其特征在于,所述通信网络包括无线通信网络,所述广播或多播服务包括基于小区广播信道的小区广播业务,所述广播或多播服务器包括小区广播服务器,所述用户设备包括移动终端,所述加密内容发送装置还用于:
将所述经加密处理的内容通过小区广播信道发送至所述一个或多个移动终端。
11.根据权利要求9所述的进行安全通信的装置,其特征在于,所述内容密钥发送装置还用于:
通过短信息方式将所述一个或多个经加密辅助信息加密的内容密钥发送至相应的一个或多个移动终端。
12.根据权利要求9所述的进行安全通信的装置,其特征在于,所述广播或多播服务包括多播服务,所述广播或多播服务器包括多播服务器,所述进行安全通信的装置还包括:
-第一多播信道建立装置,用于建立与所述一个或多个用户设备之间的多播信道;
所述加密内容发送装置还用于:
将所述经加密处理的内容通过所述多播信道发送至所述一个或多个用户设备。
13.一种在通信网络的用户使用的用户设备中用于基于广播或多播与广播或多播服务器进行安全通信的装置,其中,包括:
-加密内容接收装置,用于接收来自所述广播或多播服务器的基于广播或多播发送的经加密处理的内容;
-解密处理装置,用于对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容;
其中,所述经加密处理的内容包括根据内容密钥加密的内容,所述进行安全通信的装置还包括:
-第二获取装置,用于获取与所述内容密钥配合工作的内容解密信息;
所述解密处理装置还用于:
根据所述内容解密信息,对所述根据内容密钥加密的内容进行解密,以还原出原始未经加密处理的内容;
其中,所述第二获取装置包括:
-处理装置,用于接收来自所述广播或多播服务器的、经与本用户对应的加密辅助信息加密的内容密钥,并获取与所述加密辅助信息配合工作的解密辅助信息;
所述第二获取装置还用于:
根据所述解密辅助信息,对所述经与本用户对应的加密辅助信息加密的内容密钥进行解密,获取内容密钥作为对应的内容解密信息;
其中,所述处理装置还包括:
-第二推送信息获取装置,通过自举服务功能,获取与本用户的身份信息相关的通用自举架构的推送信息,该推送信息包括Ks_NAF/Ks_ext_NAF、Ks_int_NAF;
所述处理装置还用于:
根据所述通用自举架构的推送信息,获取与用户的身份信息相关的解密辅助信息。
14.根据权利要求13所述的进行安全通信的装置,其特征在于,所述通信网络包括无线通信网络,所述广播或多播服务包括基于小区广播信道的小区广播业务,所述广播或多播服务器包括小区广播服务器,所述用户设备包括移动终端,所述加密内容接收装置还用于:
通过小区广播信道接收所述经加密处理的内容。
15.根据权利要求13所述的进行安全通信的装置,其特征在于,所述处理装置还用于:
接收来自所述广播或多播服务器通过短信息方式发送的,经与本用户对应的加密辅助信息加密的内容密钥。
16.根据权利要求13所述的进行安全通信的装置,其特征在于,所述广播或多播服务包括多播服务,所述广播或多播服务器包括多播服务器,所述进行安全通信的装置还包括:
-第二多播信道建立装置,用于建立与所述多播服务器之间的多播信道;
所述加密内容接收装置还用于:
通过所述多播信道接收所述经加密处理的内容。
17.一种网络服务器,其特征在于,包括根据权利要求9至12中任一项所述的进行安全通信的装置。
18.一种用户设备,其特征在于,包括根据权利要求13至16中任一项所述的进行安全通信的装置。
CN200810041303.2A 2008-08-01 2008-08-01 用于基于广播或多播进行安全通信的方法及其装置 Active CN101640840B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN200810041303.2A CN101640840B (zh) 2008-08-01 2008-08-01 用于基于广播或多播进行安全通信的方法及其装置
PCT/CN2009/000521 WO2010012148A1 (zh) 2008-08-01 2009-05-14 用于基于广播或多播进行安全通信的方法及其装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810041303.2A CN101640840B (zh) 2008-08-01 2008-08-01 用于基于广播或多播进行安全通信的方法及其装置

Publications (2)

Publication Number Publication Date
CN101640840A CN101640840A (zh) 2010-02-03
CN101640840B true CN101640840B (zh) 2013-03-13

Family

ID=41609922

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810041303.2A Active CN101640840B (zh) 2008-08-01 2008-08-01 用于基于广播或多播进行安全通信的方法及其装置

Country Status (2)

Country Link
CN (1) CN101640840B (zh)
WO (1) WO2010012148A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101860406B (zh) * 2010-04-09 2014-05-21 北京创毅视讯科技有限公司 一种中央处理器、移动多媒体广播的装置、系统及方法
CN107645500B (zh) * 2017-09-15 2021-01-01 成都德芯数字科技股份有限公司 广播数据交互方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1452418A (zh) * 2002-04-12 2003-10-29 华为技术有限公司 移动通信系统中向移动终端发送密码信息的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003036857A1 (en) * 2001-10-24 2003-05-01 Nokia Corporation Ciphering as a part of the multicast cencept
KR100772372B1 (ko) * 2004-11-16 2007-11-01 삼성전자주식회사 방송 콘텐츠의 수신 장치 및 방법
JP4987850B2 (ja) * 2005-04-07 2012-07-25 フランス・テレコム マルチメディアコンテンツへのアクセスを管理するためのセキュリティ方法及びデバイス
CN101119200A (zh) * 2007-08-03 2008-02-06 上海贝尔阿尔卡特股份有限公司 用于提供广播/多播业务的方法、网络单元、终端和系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1452418A (zh) * 2002-04-12 2003-10-29 华为技术有限公司 移动通信系统中向移动终端发送密码信息的方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
3GPP.3rd Generation Partnership Project *
Generie Bootstrapping Architecture (GBA) Push Function.《3GPP TS33.233 V8.0.0》.3GPP,2008,
Generie Bootstrapping Architecture (GBA) Push Function.《3GPP TS33.233 V8.0.0》.3GPP,2008, *
Technical Specification Group Services and System Aspects
Technical Specification Group Services and System Aspects *

Also Published As

Publication number Publication date
CN101640840A (zh) 2010-02-03
WO2010012148A1 (zh) 2010-02-04

Similar Documents

Publication Publication Date Title
CN107317674B (zh) 密钥分发、认证方法,装置及系统
EP1374477B1 (en) Method and apparatus for security in a data processing system
CA2496677C (en) Method and apparatus for secure data transmission in a mobile communication system
CA2690778C (en) System and method of creating and sending broadcast and multicast data
US8769284B2 (en) Securing communication
CN105656941B (zh) 身份认证装置和方法
CN102036238B (zh) 一种基于公钥实现用户与网络认证和密钥分发的方法
EP3700127B1 (en) Method and system for key distribution in a wireless communication network
CN102333093A (zh) 一种数据加密传输方法及系统
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及系统
EP2320691B1 (en) Method for enhancing the security of the multicast or broadcast system
CN1323523C (zh) 一种在无线局域网中生成动态密钥的方法
CN107682152B (zh) 一种基于对称密码的群组密钥协商方法
CN101296107B (zh) 通信网络中基于身份标识加密技术的安全通信方法及装置
KR101290177B1 (ko) 스펙트럼 인가 및 관련된 통신 방법들 및 장치들
CN101640840B (zh) 用于基于广播或多播进行安全通信的方法及其装置
CN108173641B (zh) 一种基于RSA的Zigbee安全通信方法
Yadav et al. Security analysis of RSA and ECC in Mobile Wimax
CN114374550A (zh) 一种具备高安全性的电力计量平台
KR20000050057A (ko) 암호화된 단문 메시지 서비스 방법
Samarakoon et al. Novel authentication and key agreement protocol for low processing power and systems resource requirements in portable communications systems
Kiran et al. A study report on authentication protocols in GSM, GPRS and UMTS
CN111885013A (zh) 一种拟态加密通信模块、系统及方法
CN115801245A (zh) 设备通信方法、装置、存储介质及电子装置
Komninos et al. Adaptive authentication and key agreement mechanism for future cellular systems

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: SHANGHAI ALCATEL-LUCENT CO., LTD.

Free format text: FORMER NAME: BEIER AERKATE CO., LTD., SHANGHAI

CP01 Change in the name or title of a patent holder

Address after: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388

Patentee after: Shanghai Alcatel-Lucent Co., Ltd.

Address before: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388

Patentee before: Beier Aerkate Co., Ltd., Shanghai

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388

Patentee after: Shanghai NOKIA Baer Limited by Share Ltd

Address before: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388

Patentee before: Shanghai Alcatel-Lucent Co., Ltd.