CN102047628B - 通信网络中的iptv安全性 - Google Patents
通信网络中的iptv安全性 Download PDFInfo
- Publication number
- CN102047628B CN102047628B CN200880129653.2A CN200880129653A CN102047628B CN 102047628 B CN102047628 B CN 102047628B CN 200880129653 A CN200880129653 A CN 200880129653A CN 102047628 B CN102047628 B CN 102047628B
- Authority
- CN
- China
- Prior art keywords
- internet protocol
- protocol television
- iptv
- encryption key
- receiving node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/61—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
- H04L65/611—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for multicast or broadcast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/266—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
- H04N21/26613—Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/643—Communication protocols
- H04N21/64322—IP
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/167—Systems rendering the television signal unintelligible and subsequently intelligible
- H04N7/1675—Providing digital key or authorisation information for generation or regeneration of the scrambling sequence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/16—Analogue secrecy systems; Analogue subscription systems
- H04N7/173—Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
- H04N7/17309—Transmission or handling of upstream communications
- H04N7/17318—Direct or substantially direct transmission and handling of requests
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Computer Graphics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
一种建立安全IPTV会话的方法。应用服务器(AS)接收来自诸如移动电话或机顶盒(STB)之类的IPTV接收节点的建立IPTV会话的邀请消息。邀请消息包括与接收节点关联的引导事务标识符(BTID)。AS将鉴权请求发送给服务访问保护服务器,鉴权请求包含BTID。然后,AS从服务访问保护服务器接收包含与IPTV接收节点关联的长期密钥的鉴权响应,长期密钥先前已经被提供给IPTV接收节点。将请求发送给IPTV内容提供商节点,该请求标识IPTV接收节点。然后,AS使用所接收的长期密钥对媒体加密密钥进行加密,媒体加密密钥用于对IPTV内容提供商所发送的媒体进行加密。然后将邀请响应发送给IPTV接收节点,该响应包含经加密的媒体加密密钥。
Description
技术领域
本发明涉及通信网络中的IPTV安全性的领域,具体来说,涉及建立安全IPTV会话的领域。
背景技术
通过IP网络所广播的TV服务称作IPTV。IPTV通常使用宽带接入网来广播,其中信道通过宽带网络从超级头端向下传送到最终用户的机顶盒(STB)。IPTV服务的一个示例是广播TV,其中最常见的IPTV信道以及具有低渗透率的附加信道通过宽带网络从超级头端向下传送到最终用户的机顶盒(STB)。为了使这些传输所需的带宽为最小,希望通过网络使用多播技术。
类似地,在移动网络中,希望使用移动TV(MTV)的广播/多播传递。多媒体广播多播服务(MBMS)和数字视频广播-手持(DVB-H)是MTV广播技术的示例。具有MTV客户机的移动电话(例如用户设备UE)可被认为是相当于从超级头端接收内容的MTV实现中的STB。
在典型布置中,由媒体传递功能(MDF)来传递内容,MDF是用于移动TV的IP多媒体子系统(IMS)应用服务器(AS)(使用多媒体广播多播服务MBMS承载或者分组交换服务PSS承载)或者用于IPTV的IMS AS(使用单播或多播传递)所控制的内容传递服务器。
为了简洁起见,以下描述参照UE,但是应当理解,它同样适用于在另一种类型的IPTV接收器、如STB接收IPTV的情况。在这里参照图1,在MDF与UE 1之间的通信可开始之前,UE 1和内容传递控制功能(网络应用功能NAF 2,它可以是MTV AS或IPTV AS)必须参与通用引导鉴权(GBA)过程(步骤S1至S8中所示),以便建立用于鉴权和服务保护的GBA密钥(Ks_naf,从其中得出MUK和MRK。Ks_naf在下文中描述)。
成功的GBA过程的结果是建立由引导服务器功能(BSF)3所生成的引导事务标识符(BTID),以及在引导期间由UE 1中的USIM/SIM 4本地生成的共享密钥Ks_Naf(S5)。BTID由UE 1通过使用HTTP从BSF 3中拉取,如图1的步骤S4中所示。Ks_Naf和B-TID作为UE上下文的一部分被存储在UE中的安全区域中(S4)。Ks_Naf可供稍后用于得出应用特定密钥(MUK、MRK)并且用于在传递给UE 1时对长期密钥(MSK)加密。
BSF 3检索内容密钥(Ck)和完整性密钥(Ik),它们被作为鉴权向量的一部分在GBA过程期间从归属订户服务器(HSS)5发送。Ks_naf由BSF 3通过级联Ck和Ik来计算(以及类似操作由UE 1中的USIM/ISIM 4来执行),并且被存储在BSF 3供将来由UE 1引用。
为了检索使用HTTP从MTV AS/IPTV AS/BM-SC(NAF)传递的数据,UE必须首先由MTV AS来鉴权。这种数据的示例包括电子节目指南(EPG)或电子服务指南(ESG)。要对UE鉴权,UE在从UE 1发送给MTV AS的HTTP请求(RFC 2617中定义的HTTP摘要鉴权)中用信号传送BTID和Ks_naf。
当UE 1涉及其中GBA用于鉴权目的的HTTP信令过程时,UE 1与称作鉴权代理(AP)的功能实体(图1中未示出)进行交互。AP知道在这个过程中表示UE 1的BTID以及对应于BTID的Ks_naf。
参照图2,举例说明如NAF之类的节点检索长期密钥的过程。MTV信令过程要求传递长期密钥,以便保护将要发送给UE 1的IPTV内容。在这些信令过程期间,UE 1与不知道早期信令过程中使用的BTID的MTV AS进行交互。但是,MTV AS需要Ks_naf以将它用于作为内容访问过程的一部分的长期内容密钥的加密。
但是,MTV-AS没有对存储在BSF 2的Ks_naf的访问权,因此这在当前是不可能的。
发明内容
本发明人已经认识到,在开始会话之前对用户设备或其它IPTV接收装置进行鉴权时存在问题。提出一种用于为移动TV应用服务器提供与UE关联的BTID并且允许MTV AS充当GBA架构中的网络应用功能的方法。
根据本发明的第一方面,提供一种建立安全IPTV会话的方法。应用服务器(AS)接收来自诸如移动电话或机顶盒(STB)之类的IPTV接收节点的建立IPTV会话的邀请消息。邀请消息包括与接收节点关联的引导事务标识符(BTID)。AS将鉴权请求发送给服务访问保护服务器,鉴权请求包含BTID。然后,AS从服务访问保护服务器接收包含与IPTV接收节点关联的长期密钥的鉴权响应,长期密钥先前已经被提供给IPTV接收节点。将请求发送给IPTV内容提供商节点,该请求标识IPTV接收节点。然后,AS使用所接收的长期密钥对媒体加密密钥进行加密,媒体加密密钥用于对IPTV内容提供商发送的媒体进行加密。然后将邀请响应发送给IPTV接收节点,该响应包含经加密的媒体加密密钥。本发明为AS提供长期密钥,长期密钥可用于对媒体加密密钥进行加密。
作为一种选择,邀请消息是会话发起协议(SIP)邀请消息,并且BTID包含在代理授权信头中。服务访问保护服务器可选地是引导服务器功能(BSF)。本发明特别适合用于移动IPTV领域,因此作为另一种选择,IPTV会话是移动IPTV会话,并且AS是移动IPTV AS。
可选地,IPTV会话是线性IPTV广播、线性IPTV单播或者视频点播单播。
可选地,如果IPTV会话是单播,则媒体加密密钥是内容密钥,而如果IPTV会话是广播,则媒体加密密钥是组密钥。
在一个可选实施例中,媒体加密密钥从AS发送给IPTV内容提供商节点,并且在一个备选实施例中,在AS从IPTV内容提供商节点接收媒体加密密钥。媒体加密密钥可从AS发送给IPTV内容提供商节点,供IPTV内容提供商节点随后用于对发送给IPTV接收节点的媒体进行加密。备选地,在媒体加密密钥由IPTV内容提供商节点生成的情况下,IPTV内容提供商节点将它提供给AS以允许AS使用长期密钥对它加密,并且将它发送给IPTV接收节点。在媒体加密密钥是内容密钥的情况下,AS可选地将它加密发送给IPTV内容提供商节点。
根据本发明的第二方面,提供一种AS。AS包括第一接收器,用于接收来自IPTV接收节点的建立IPTV会话的邀请消息。邀请消息包括与IPTV接收节点关联的BTID。提供第一发送器,用于将鉴权请求发送给服务访问保护服务器,鉴权请求包含BTID。提供第二接收器,用于从服务访问保护服务器接收鉴权响应,该鉴权响应包含与IPTV接收节点关联的长期密钥。注意,长期密钥已经被提供给IPTV接收节点。第二发送器用于将请求发送给IPTV内容提供商节点,该请求标识IPTV接收节点。提供一种处理器,用于使用所接收的长期密钥对媒体加密密钥进行加密。媒体加密密钥是由IPTV内容提供商节点用来对发送给IPTV接收节点的IPTV内容进行加密的密钥。提供第三发送器,用于将邀请响应消息发送给IPTV接收节点,该邀请响应消息包含经加密的媒体加密密钥。这允许IPTV接收节点访问媒体加密密钥以用于对随后从IPTV内容提供商节点发送给它的媒体进行解密。
在IPTV内容提供商节点生成媒体加密密钥的情况下,AS可选地还包括第三接收器,用于从IPTV内容提供商节点接收包含媒体加密密钥的消息。备选地,第二发送器设置成在请求中向IPTV内容提供商节点发送媒体加密密钥,供IPTV内容提供商节点随后用于对发送给IPTV接收节点的媒体进行加密。
作为一种选择,邀请消息是SIP邀请消息,并且BTID被包含在代理授权信头中。AS可选地是移动IPTV AS,并且IPTV会话是移动IPTV会话。可选地,IPTV会话是线性IPTV广播、线性IPTV单播或者视频点播单播。
根据本发明的第三方面,提供一种IPTV接收节点,它包括用于存储与IPTV接收节点关联的BTID和长期密钥的存储器。提供一种发送器,用于向AS发送用来发起IPTV会话的邀请消息,该邀请消息包含BTID。提供第一接收器,用于从AS接收响应消息,该响应消息包含使用长期密钥来加密的媒体加密密钥。这可使用第一处理器和所存储的长期密钥来解密。提供第二接收器,用于接收从IPTV内容提供商节点发送的IPTV媒体内容,该IPTV媒体内容已经被使用媒体加密密钥来加密。然后,第二处理器用于使用经解密的媒体加密密钥对IPTV媒体内容进行解密。这允许观众观看IPTV媒体。
作为一种选择,IPTV接收节点是用户设备。作为另一种选择,邀请消息是SIP邀请消息,并且BTID包含在代理授权信头中。
附图说明
图1以框图示意说明通用引导鉴权架构和信令;
图2是示出NAF获取长期密钥所需要的信令的信令图;
图3是示出根据本发明的一个实施例、与MTV客户机之间建立广播IPTV信道所需要的信令的信令图;
图4是示出根据本发明的一个实施例、建立视频点播单播会话所需要的信令的信令图;
图5是示出根据本发明的一个实施例、建立线性TV单播会话所需要的信令的信令图;
图6以框图示意说明根据本发明的一个实施例的应用服务器;以及
图7以框图示意说明根据本发明的一个实施例的IPTV接收节点。
具体实施方式
当如UE之类的终端(或者用于接收IPTV的任何其它接收节点)希望访问IPTV信道(它可以是广播、单播、多播、视频点播或者要求媒体内容保护的任何其它类型的传递)时,它发送SIP邀请消息。在IMS网络中,将SIP邀请消息发送给代理-呼叫会话控制功能(P-CSCF)。将SIP邀请消息路由到应用服务器(AS)、如移动TV应用服务器(MTV AS)。根据本发明,UE将BTID包含在SIP邀请消息中的代理授权信头中。BTID允许MTV AS从BSF检索Ks_naf,然后MTV AS可在长期内容密钥被传递给UE时使用Ks_naf对长期内容密钥进行加密。
现在参照图3,示出根据本发明的第一具体实施例、用于与MTV客户机6之间建立线性TV广播的信令。在这个示例中,广播是在MTV环境的上下文中,因此MTV客户机6是用户设备1的一部分。应当理解,以下信令可经过修改,以便与不同的IPTV接收节点、如STB之间建立线性TV广播。以下编号对应于图2中的编号。
S9.MTV客户机6向P-CSCF 7发送SIP邀请消息。SIP邀请消息包含需要线性广播IPTV传递的指示。先前在GBA引导过程中已经提供给UE的BTID包含在SIP消息代理授权信头中。
S10.SIP邀请从P-CSCF 7转发给IMS网络中的在服务-呼叫会话控制功能(S-CSCF)8。
S11.S-CSCF 8将SIP邀请转发给MTV AS 9。
S12-13.MTV AS 9使用所接收的BTID通过BSF 3对MTV客户机6鉴权,并且从BSF 3检索Ks_naf和Ks_naf特定属性。这类属性包括Ks_naf使用期限有效期、时标、等等。
S14-15.MTV AS 9提供用于在BM-SC 10中加密的MSK(MBMS会话密钥)和MTK(MBMS业务密钥),或者经MSK加密的MTK连同MTK或(MSK)和MBMS业务密钥(MTK)。BM-SC 10负责向MTV客户机6提供线性广播TV以及向正在访问MBMS会话的客户机分发更新的业务密钥。
S16.MTV AS 9使用所检索的Ks_naf对会话密钥进行加密。
S16a.SIP 200 OK消息从MTV AS 9发送给S-CSCF 8,200 OK消息包含使用所检索的Ks_naf来加密的会话密钥MSK。
517.SIP 200 OK消息从S-CSCF 8发送给P-CSCF 7。
S18-19.使用IMS策略和计费控制(PCC)功能性,但是PCRF 11对于广播或多播IPTV传递不执行任何策略实施或资源保留或者承载的分配(由QoS要求来定义)。
S20.SIP 200 OK消息从P-CSCF 7发送给MTV客户机6,从而向MTV客户机提供会话密钥MSK。
S21.经加密的媒体内容从BM-SC 10传递给MTV客户机6。MTV客户机6使用所接收的MSK对作为媒体内容的一部分发送的内容密钥进行解密,这允许MTV客户机6对媒体内容进行解密。然后,最终用户可观看媒体内容。
应当注意,随后可刷新内容密钥。这通过将经MSK加密的业务密钥MTK包含在发送给MTV客户机的媒体数据中来执行。
本发明的第一具体实施例允许MTV AS 6接收与UE关联的BTID和密钥资料,使得MTV AS可充当GBA架构中的NAF。因此,向MTV AS提供了BTID,BTID随后被用于从BSF 3检索Ks_naf,Ks_naf又用于对会话密钥MSK进行加密,供MTV客户机6使用。
现在来看图4,说明根据本发明的第二具体实施例、用来建立视频点播(VoD)单播的信令。以下编号对应于图3中的编号:
S22.MTV客户机6向P-CSCF 7发送SIP邀请消息。SIP邀请消息包含需要VoD IPTV传递的指示。先前在GBA引导过程中已经提供给UE的BTID包含在SIP消息代理授权信头中。
S23.SIP邀请从P-CSCF 7转发给IMS网络中的在服务-呼叫会话控制功能(S-CSCF)8。
S24.S-CSCF 8将SIP邀请转发给MTV AS 9。
S25-26.MTV AS 9使用所接收的BTID通过BSF 3对MTV客户机6鉴权,并且从BSF 3检索Ks_naf和Ks_naf特定属性。这类属性包括Ks_naf使用期限有效期、时标、等等。
S27-28.MTV AS 9以及用于向MTV客户机6提供VoD媒体的内容服务器12协商内容密钥。
S29-S32.MTV AS 9和内容服务器12通过调用内容服务器12与终端之间的音频和视频流的RTSP建立过程,关于通过RTP/UDP连接的内容传递来配置内容服务器12。
S33.MTV AS 9使用所检索的Ks_naf对内容密钥进行加密。
S33a.SIP 200 OK消息从MTV AS 9发送给S-CSCF 8,200 OK消息包含使用所检索的Ks_naf来加密的内容密钥。
S34.SIP 200 OK消息从S-CSCF 8发送给P-CSCF 7。
S35-36.IMS策略和计费控制(PCC)功能性执行策略控制和实施以及资源保留。根据PCC规则,PCRF 11指示GGSN为单播IPTV传递激活二次PDP上下文,以供承载来传送VoD流。
S37.SIP 200 OK消息从P-CSCF 7发送给MTV客户机6,从而向MTV客户机提供内容密钥,MTV客户机6可使用Ks_naf对内容密钥进行解密。
S38-S41.IMS PCC功能性用于为单播IPTV传递分配适当的承载(QoS所定义)。这些步骤示出网络控制的承载建立/PDP上下文,但是,UE控制的承载建立同样可适用于本发明。
S42.MTV客户机6向内容服务器12请求VoD内容。
S43.内容服务器采用200 OK消息来应答。
S44.经加密的VoD媒体内容从内容服务器12传递给MTV客户机6。MTV客户机6使用经解密的内容密钥对媒体内容进行解密。然后,最终用户可观看媒体内容。
现在来看图6,说明根据本发明的第三具体实施例、用来建立线性TV单播的信令。以下编号对应于图4中的编号:
S45.MTV客户机6向P-CSCF 7发送SIP邀请消息。SIP邀请消息包含需要单播线性传递的指示。先前在GBA引导过程中已经提供给UE的BTID包含在SIP消息代理授权信头中。
S46.SIP邀请从P-CSCF 7转发给IMS网络中的在服务-呼叫会话控制功能(S-CSCF)8。
S47.S-CSCF 8将SIP邀请转发给MTV AS 9。
S48-49.MTV AS 9使用所接收的BTID通过BSF 3对MTV客户机6鉴权,并且从BSF 3检索Ks_naf和Ks_naf特定属性,诸如Ks_naf使用期限有效期和时标。
S50-51.MTV AS 9以及用于向MTV客户机6提供VoD媒体的内容服务器13协商内容密钥。
S52-S55.MTV AS 9和内容服务器13协商音频和视频的RTSP建立。
S56.MTV AS 9使用所检索的Ks_naf对会话密钥进行加密。
S56a.SIP 200 OK消息从MTV AS 9发送给S-CSCF 8,200 OK消息包含使用所检索的Ks_naf来加密的内容密钥。
S57.SIP 200 OK消息从S-CSCF 8发送给P-CSCF 7。
S58-59.IMS策略和计费控制(PCC)功能性执行策略控制和实施以及资源保留。根据PCC规则,PCRF 11指示GGSN为IPTV传递激活二次PDP上下文,以供承载来传送单播流。
S60.SIP 200 OK消息从P-CSCF 7发送给MTV客户机6,从而向MTV客户机提供内容密钥,MTV客户机6可使用Ks_naf对内容密钥进行解密。
S61-S64.IMS PCC功能性用于为单播IPTV传递分配适当的承载(QoS所定义)。这些步骤示出网络控制的承载建立/PDP上下文,但是,UE控制的承载建立同样可适用于本发明。
S65.MTV客户机6向内容服务器13请求线性单播内容。
S66.内容服务器13采用200 OK消息来应答。
S67.经加密的单播线性IPTV媒体从内容服务器13传递给MTV客户机6。MTV客户机6使用经解密的内容密钥对媒体内容进行解密。然后,最终用户可观看媒体内容。
现在参照图6,示意说明根据本发明的一个实施例的应用服务器。应用服务器是MTV AS 9,如上所述。为MTV AS 6提供用于从MTV客户机6接收SIP邀请消息的第一接收器14。如上所述,SIP邀请消息将BTID包含在代理授权信头中。提供第一发送器15,用于向BSF3发送鉴权请求,并且提供第二接收器16,用于接收来自BSF 3的响应。响应包含Ks_naf。提供第二发送器17,用于向BM-SC 10或内容服务器13发送可包含媒体加密密钥、如MSK+MTK或者(经MSK加密的MTK)+MTK的请求,以及提供第三接收器18,用于从IP电视内容提供商节点接收可包含媒体加密密钥的响应。处理器19用于使用所接收的Ks_naf对媒体加密密钥进行加密,并且提供第三发送器20,用于向MTV客户机6发送SIP 200 OK,该200 OK包含经Ks_naf加密的媒体加密密钥。当然,发送器可全部在单个发送器中实施,并且接收器可全部在单个接收器中实施。还提供存储器21,用于存储诸如所接收的BTID和Ks_naf之类的信息。
图7是在根据本发明的一个实施例的IPTV接收节点中。在如上所述的MTV网络中,IPTV接收节点是包括MTV客户机6的UE。为UE 22提供用于存储在GBA过程中提供的BTID和Ks_naf的存储器23。存储器还存储与Ks_naf关联的信息,例如Ks_naf使用期限有效期。提供发送器24,用于向MTV AS 9发送SIP邀请,该SIP邀请将BTID包含在代理授权信头中。提供第一接收器25,用于从MTV AS9接收SIP 200 OK,该SIP 200 OK包含使用Ks_naf来加密的媒体加密密钥。提供第一处理器26,用于使用从存储器23中检索的Ks_naf对媒体加密密钥进行解密。提供第二接收器27,用于随后接收从内容服务器13或BM-SC 10发送的IPTV媒体内容,该内容被使用媒体加密密钥加密。提供第二处理器28,用于使用经解密的媒体加密密钥对IPTV媒体内容进行解密。当然,两个处理器可在单个处理器中实施,并且两个接收器可在单个接收器中实施。
本发明确保应用服务器、如MTV AS在内容访问过程期间接收到BTID。这允许MTV AS从BSF检索Ks_naf密钥,并且减小所需信令,因为无需涉及NAF。Ks_naf由MTV AS用于对作为内容保护的一部分的服务密钥(MSK)进行加密。这提供检索Ks_naf并且将它存储在MTV AS/IPTV供服务和内容保护的单个公共IMS过程,与服务访问的类型无关。需要单个SIP会话来建立服务并且向MTV客户机分发从Ks_naf得出的内容密钥。此外,在GBA过程中提供给客户机的BTID可再用于若干类型的信令,诸如HTTP和SIP信令。
本领域的技术人员会理解,可对上述实施例进行各种修改,而没有背离本发明的范围。例如,虽然以上描述在移动TV网络的上下文中论述本发明,但是应当理解,本发明也适用于固定访问IPTV网络。本发明可在基于蜂窝的按键通话(PoC)网络中的诸如多播/广播会议服务之类的服务中得到应用。
在本说明书中使用了下列缩写词:
BM-SC:广播多播服务中心
BSF:引导服务器功能
BTID:引导事务ID
CK:内容密钥
EPG:电子节目指南
ESG:电子服务指南
GAA:通用鉴权架构
GBA:通用引导架构
HSS:归属订户服务器
HTTP:超文本传输协议
IK:完整性密钥
IPTV AS:IPTV应用服务器
Ks_naf:作为GBA过程的结果由BSF生成的长期密钥线性BC TV:通过广播承载分发的TV信道
MBMS:多媒体广播多播服务
MCF:媒体控制功能
MDF:媒体传递功能
MSK:MBMS会话密钥
MTK:MBMS业务密钥
MTV AS:移动TV应用服务器
MUK:MBMS用户密钥
NAF:网络应用功能
SRTP:安全实时传输协议
STB:机顶盒
UE:用户设备
URI:统一资源标识符
VoD:视频点播
Claims (15)
1.一种建立安全IP电视会话的方法,所述方法包括:
在应用服务器由第一接收器从IP电视接收节点接收建立IP电视会话的邀请消息,所述邀请消息包含与所述接收节点关联的引导事务标识符;
由第一发送器将鉴权请求发送给服务访问保护服务器,所述鉴权请求包含所述引导事务标识符;
由第二接收器从所述服务访问保护服务器接收鉴权响应,所述鉴权响应包含与所述IP电视接收节点关联的长期密钥,所述长期密钥先前已经被提供给所述IP电视接收节点;
由第二发送器将标识所述IP电视接收节点的请求发送给IP电视内容提供商节点;
由处理器使用所接收的长期密钥对媒体加密密钥进行加密,所述媒体加密密钥供所述IP电视内容提供商节点用于对媒体加密;以及
由第三发送器将邀请响应消息发送给所述IP电视接收节点,所述邀请响应消息包含经加密的媒体加密密钥。
2.如权利要求1所述的方法,其中,所述邀请消息是会话发起协议邀请消息,并且所述引导事务标识符包含在代理授权信头中。
3.如权利要求1所述的方法,其中,所述IP电视会话是移动IP电视会话,并且所述应用服务器是移动IP电视应用服务器。
4.如权利要求1、2或3所述的方法,其中,所述IP电视会话选自线性IP电视广播、线性IP电视单播和视频点播单播其中之一。
5.如权利要求1、2或3所述的方法,其中,所述服务访问保护服务器具有引导服务器功能。
6.如权利要求1、2或3所述的方法,其中,所述媒体加密密钥选自组密钥和内容密钥其中之一。
7.如权利要求1、2或3所述的方法,其中,所述媒体加密密钥从所述应用服务器发送给所述IP电视内容提供商节点。
8.如权利要求1、2或3所述的方法,其中,在所述应用服务器从所述IP电视内容提供商节点接收所述媒体加密密钥。
9.一种应用服务器,包括:
第一接收器,用于从IP电视接收节点接收建立IP电视会话的邀请消息,所述邀请消息包含与所述IP电视接收节点关联的引导事务标识符;
第一发送器,用于将鉴权请求发送给服务访问保护服务器,所述鉴权请求包含所述引导事务标识符;
第二接收器,用于从所述服务访问保护服务器接收鉴权响应,所述鉴权响应包含与所述IP电视接收节点关联的长期密钥,所述长期密钥先前已经被提供给所述IP电视接收节点;
第二发送器,用于将标识所述IP电视接收节点的请求发送给IP电视内容提供商节点;
处理器,用于使用所接收的长期密钥对媒体加密密钥进行加密;以及
第三发送器,用于将邀请响应消息发送给所述IP电视接收节点,所述邀请响应消息包含经加密的媒体加密密钥。
10.如权利要求9所述的应用服务器,还包括:第三接收器,用于从所述IP电视内容提供商节点接收包含所述媒体加密密钥的消息。
11.如权利要求9所述的应用服务器,其中,所述第二发送器设置成在所述请求中向所述IP电视内容提供商节点发送所述媒体加密密钥。
12.如权利要求9至11中的任一项所述的应用服务器,其中,所述应用服务器是移动IP电视应用服务器,并且所述IP电视会话是移动IP电视会话。
13.如权利要求9至11中的任一项所述的应用服务器,其中,所述IP电视会话选自线性IP电视广播、线性IP电视单播和视频点播单播其中之一。
14.一种IP电视接收节点,包括:
存储器,用于存储与所述IP电视接收节点关联的引导事务标识符和长期密钥;
发送器,用于向应用服务器发送用来发起IP电视会话的邀请消息,所述邀请消息包含所述引导事务标识符;
第一接收器,用于从所述应用服务器接收响应消息,所述响应消息包含使用所述长期密钥来加密的媒体加密密钥;
第一处理器,用于使用所存储的长期密钥对所述媒体加密密钥进行解密;
第二接收器,用于接收从IP电视内容提供商节点所发送的IP电视媒体内容,所述IP电视媒体内容被使用所述媒体加密密钥来加密;
第二处理器,用于使用经解密的媒体加密密钥对所述IP电视媒体内容进行解密。
15.如权利要求14所述的IP电视接收节点,其中,所述IP电视接收节点是用户设备。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2008/056602 WO2009143891A1 (en) | 2008-05-29 | 2008-05-29 | Iptv security in a communication network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102047628A CN102047628A (zh) | 2011-05-04 |
| CN102047628B true CN102047628B (zh) | 2014-09-10 |
Family
ID=40342198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880129653.2A Expired - Fee Related CN102047628B (zh) | 2008-05-29 | 2008-05-29 | 通信网络中的iptv安全性 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20110064219A1 (zh) |
| EP (1) | EP2279598B1 (zh) |
| JP (1) | JP5153938B2 (zh) |
| CN (1) | CN102047628B (zh) |
| AT (1) | ATE531184T1 (zh) |
| BR (1) | BRPI0822665A2 (zh) |
| ES (1) | ES2373254T3 (zh) |
| MX (1) | MX2010012013A (zh) |
| WO (1) | WO2009143891A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8181030B2 (en) * | 2008-12-02 | 2012-05-15 | Electronics And Telecommunications Research Institute | Bundle authentication system and method |
| US9781197B2 (en) | 2009-11-30 | 2017-10-03 | Samsung Electronics Co., Ltd. | Methods and apparatus for selection of content delivery network (CDN) based on user location |
| EP2510663A4 (en) * | 2009-12-07 | 2015-02-25 | Ericsson Telefon Ab L M | METHOD AND ARRANGEMENT FOR MEDIA PLAYING |
| KR20130080777A (ko) * | 2010-04-16 | 2013-07-15 | 엘지전자 주식회사 | Iptv 상품에 대한 구매 트랜잭션 방법 및 그를 이용한 iptv 수신기 |
| EP2645711A1 (en) * | 2012-03-28 | 2013-10-02 | Nagravision S.A. | Method to bind the use of a television receiver to a particular network |
| EP2847973B1 (en) * | 2012-05-03 | 2016-11-16 | Telefonaktiebolaget LM Ericsson (publ) | Centralized key management in embms |
| US9072325B2 (en) | 2012-08-30 | 2015-07-07 | Shelby Group International, Inc. | Glove finger attachment system |
| US9510628B2 (en) | 2013-03-15 | 2016-12-06 | Shelby Group International, Inc. | Glove thermal protection system |
| WO2017102021A1 (en) * | 2015-12-18 | 2017-06-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Handling of content delivery in a client node |
| EP3466012B1 (en) * | 2016-05-26 | 2024-04-10 | Telefonaktiebolaget LM Ericsson (PUBL) | Network application function registration |
| US10694795B2 (en) | 2017-01-10 | 2020-06-30 | Shelby Group International, Inc. | Glove construction |
| TWI695612B (zh) * | 2019-04-12 | 2020-06-01 | 中華電信股份有限公司 | 網路協定電視(iptv)電話認證之系統及其方法 |
| US11652646B2 (en) * | 2020-12-11 | 2023-05-16 | Huawei Technologies Co., Ltd. | System and a method for securing and distributing keys in a 3GPP system |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700640A (zh) * | 2005-06-17 | 2005-11-23 | 中兴通讯股份有限公司 | 一种固网用户到ip多媒体子系统的接入安全系统和方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101218800A (zh) * | 2005-07-07 | 2008-07-09 | 艾利森电话股份有限公司 | 用于鉴权和隐私的方法与布置 |
| CN101009551B (zh) | 2006-01-24 | 2010-12-08 | 华为技术有限公司 | 基于ip多媒体子系统的媒体流的密钥管理系统和方法 |
| BRPI0621350A2 (pt) * | 2006-02-24 | 2012-10-09 | Ericsson Telefon Ab L M | método para fornecer um canal de controle habilitado por ims para um serviço de iptv, canal de controle habilitado por ims para um serviço de iptv, e, código de programa de computador |
| US8037522B2 (en) * | 2006-03-30 | 2011-10-11 | Nokia Corporation | Security level establishment under generic bootstrapping architecture |
| CN101287091B (zh) * | 2007-04-10 | 2010-11-24 | 华为技术有限公司 | 一种实现因特网协议电视业务的系统、装置和方法 |
| US7984486B2 (en) * | 2007-11-28 | 2011-07-19 | Nokia Corporation | Using GAA to derive and distribute proxy mobile node home agent keys |
| US8191100B2 (en) * | 2008-06-04 | 2012-05-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method and terminal for providing IPTV to multiple IMS users |
-
2008
- 2008-05-29 EP EP08760193A patent/EP2279598B1/en not_active Not-in-force
- 2008-05-29 ES ES08760193T patent/ES2373254T3/es active Active
- 2008-05-29 AT AT08760193T patent/ATE531184T1/de active
- 2008-05-29 BR BRPI0822665-2A patent/BRPI0822665A2/pt not_active Application Discontinuation
- 2008-05-29 CN CN200880129653.2A patent/CN102047628B/zh not_active Expired - Fee Related
- 2008-05-29 WO PCT/EP2008/056602 patent/WO2009143891A1/en active Application Filing
- 2008-05-29 JP JP2011510842A patent/JP5153938B2/ja not_active Expired - Fee Related
- 2008-05-29 MX MX2010012013A patent/MX2010012013A/es not_active Application Discontinuation
- 2008-05-29 US US12/993,933 patent/US20110064219A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700640A (zh) * | 2005-06-17 | 2005-11-23 | 中兴通讯股份有限公司 | 一种固网用户到ip多媒体子系统的接入安全系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| MX2010012013A (es) | 2010-11-30 |
| JP2011523283A (ja) | 2011-08-04 |
| CN102047628A (zh) | 2011-05-04 |
| JP5153938B2 (ja) | 2013-02-27 |
| EP2279598A1 (en) | 2011-02-02 |
| ATE531184T1 (de) | 2011-11-15 |
| ES2373254T3 (es) | 2012-02-01 |
| BRPI0822665A2 (pt) | 2015-06-30 |
| EP2279598B1 (en) | 2011-10-26 |
| US20110064219A1 (en) | 2011-03-17 |
| WO2009143891A1 (en) | 2009-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102047628B (zh) | 通信网络中的iptv安全性 | |
| US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| EP2087692B1 (en) | Media channel management | |
| CN101155191B (zh) | 支持ims终端享用现有iptv业务的系统和方法 | |
| KR100976635B1 (ko) | Ims 네트워크에서 미디어 보안을 제공하는 방법 및 미디어 보안을 제공하는 ims 네트워크 | |
| EP1849323B1 (en) | Key delivery method and apparatus in a communications system | |
| KR101353209B1 (ko) | 무선 통신 시스템 내의 멀티캐스트 통신 세션과 연관된 메시지의 보안 | |
| JP4856723B2 (ja) | メディアサーバと加入者機器との間においてメディアデータを暗号化して伝送するための方法、装置および/またはコンピュータプログラム製品 | |
| US8990563B2 (en) | Sending protected data in a communication network | |
| WO2009024071A1 (fr) | Système, procédé et dispositif pour réaliser une sécurité de contenu multimédia iptv | |
| CN101582730B (zh) | 提供mbms服务的方法、系统、相应装置及通信终端 | |
| CN101222612A (zh) | 一种安全传输媒体流的方法和系统 | |
| CN101997677B (zh) | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 | |
| US20200204595A1 (en) | Media protection within the core network of an ims network | |
| EP2274927A1 (en) | Service reporting | |
| CN101521570B (zh) | 一种实现iptv组播业务媒体安全的方法、系统及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140910 |