CN1777099A - 移动通信多播应用中更新组密钥的方法 - Google Patents
移动通信多播应用中更新组密钥的方法 Download PDFInfo
- Publication number
- CN1777099A CN1777099A CN 200410091014 CN200410091014A CN1777099A CN 1777099 A CN1777099 A CN 1777099A CN 200410091014 CN200410091014 CN 200410091014 CN 200410091014 A CN200410091014 A CN 200410091014A CN 1777099 A CN1777099 A CN 1777099A
- Authority
- CN
- China
- Prior art keywords
- msk
- updating message
- old
- message
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种移动通信领域中多播应用中更新组密钥的方法,当新用户加入多媒体多播广播业务时,多播数据源使用MSKold作为与旧用户之间的共享秘密来构造一条可以发送给所有旧用户的MSK更新消息;多播数据源在使用与新加入的用户共享的密钥MUK构造MSK更新消息时进行加密运算,并发送两条MSK更新消息,一条通过点对点信道发送给新加入用户,另外一条通过点到多点信道发送给所有的旧用户。本发明克服了现有技术存在的多播数据源的计算负担很重、需要发送的数据包数量大、对网络资源的消耗也较大等缺点,能够有效节约网络资源、减轻多播数据源的计算负担。
Description
技术领域
本发明涉及移动通信领域,尤其涉及移动通信领域内广播/多播应用中更新组密钥的方法。
背景技术
目前,人们对移动通信的需求已不再满足于电话和消息业务。大量多媒体业务随着Internet的迅猛发展而涌现出来,其中一些应用要求多个用户能同时接收相同数据,如视频点播、电视广播等。3GPP和3GPP2都提出了相应的多媒体广播多播业务,这些业务将点到多点的思想引入移动通信系统,它可以在移动网络中提供一个数据源向多个用户发送数据的点到多点业务,以达到网络资源共享和提高网络资源利用率的目的。
目前移动通信系统中多媒体广播多播业务的安全通过三个密钥来实现:单个多媒体广播多播业务参与者与数据源之间共享的密钥MUK;所有多媒体广播多播业务参与者和数据源共享的密钥MSK;所有多媒体多播广播业务参与者与数据源共享的多播传输数据加密密钥MTK。MUK被用来将MSK安全地发送给业务参与者,MSK被用来将MTK安全的发送给业务参与者,MTK是真正的多播传输数据加密密钥。
为了保证多媒体广播多播业务的安全,MSK和MTK需要经常性地进行更新以减小合法用户泄露MSK或MTK给非法用户,以使其获得多播通信内容对业务安全造成的影响。3GPP的标准TS 33.246v1.3.0中利用MSK来保护MTK的更新,利用MUK来保护MSK的更新。这种方案在MSK更新时,要求多播数据源使用与业务用户共享的密钥MUK为每一个参与业务的用户构造一条独立的MSK更新消息,新的MSK被包含在这条MSK更新消息中并被安全地通过点对点的方式传给业务用户。当参与业务的用户数量很大时,多播数据源的计算负担很重,而且由于需要发送的数据包数量大,对网络资源的消耗也较大。
发明内容
本发明所要解决的技术问题是现有技术存在的当参与业务的用户数量很大时,多播数据源的计算负担很重,而且由于需要发送的数据包数量大,对网络资源的消耗也较大等缺点,以期提出一种能够有效节约网络资源、减轻多播数据源的计算负担的移动通信多播应用中更新组密钥的方法。
本发明所提出的移动通信多播应用中更新组密钥的方法,包括以下几个方面:
当新用户加入多媒体多播广播业务时,多播数据源使用MSKold作为与旧用户之间的共享秘密来构造一条可以发送给所有旧用户的MSK更新消息;
多播数据源在使用与新加入的用户共享的密钥MUK构造MSK更新消息时进行加密运算;
多播数据源发送两条MSK更新消息,一条通过点对点信道发送给新加入用户,另外一条通过点到多点信道发送给所有的旧用户。
上述方法进一步包括以下步骤:
多播数据源执行以下步骤:
第一步:判断MSK更新由何种原因引起,如果由用户加入引起,执行后续步骤;
第二步:使用与新加入的业务用户共享的密钥MUK构造MSK更新消息,在此MSK更新消息中包含新的密钥MSKnew。此MSK更新消息通过单播的方式发送给新加入的业务用户。此MSK更新消息中需要包含MUK和MSK的标识符以使得用户设备可以获取对应的密钥,还要标识此MSK更新消息的类型以将此类MSK更新消息和其他类MSK更新消息区分。此MSK更新消息中必须包含由于此用户加入所引起的MSK更新中,使用MSKold构造,以多播方式传送的MSK更新消息中的计数器值,以使得新加入的业务用户在接收到这条多播的MSK更新消息时将之丢弃。
第三步:使用旧的MSKold做为和旧的业务用户共享密钥分别为所有的旧业务用户构造一条MSK更新消息,这个过程中只需要执行一次加密计算。MSK更新消息中包含新的密钥MSKnew,它通过多播的方式发送给所有的旧业务用户。此MSK更新消息中需要包含MSKold和MSKnew的标识符以使得用户设备可以获取对应的密钥,还要标识此MSK更新消息的类型以将此类MSK更新消息和其他类MSK更新消息区分。一个计数器值也在此多播MSK消息中发送以实现抗重放保护。
用户设备执行以下步骤:
第一步:判断接收到的MSK更新消息的类型,如果此消息为使用MUK构造的MSK更新消息,则使用对应的MUK获得MSK。如果此MSK更新消息中包含用于实现多播MSK更新消息抗重放保护的计数器值,则使用此计数器值更新用户设备上计数器的值。如果此消息为使用MSKold保护的多播发送的MSK更新消息,则执行第二步。
第二步:获得多播方式传输的MSK更新消息中计数器的值,将之与用户设备上存储的计数器值比较以实现抗重放保护。成功后根据MSK更新消息中的内容获得用于保护此消息的密钥MSKold,利用此密钥对MSK更新消息进行验证并从消息中获得新的密钥MSKnew。
本发明所述移动通信多播应用中更新组密钥的方法使用多播方式进行组密钥更新的方法,有效地减小了用户加入而触发的组密钥更新时,多播数据源的计算负担和网络资源消耗。
附图说明
图1是本发明所述方法中多播数据源操作流程图。
图2是本发明所述方法中用户设备处理流程图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述。
本发明的基本思想是:
多媒体广播多播多播业务中MSK更新的触发条件可以分为以下三类:用户加入业务、用户离开业务、管理事件等其他原因。当新用户加入多媒体多播广播业务时,由于旧用户都知道旧的共享密钥MSKold,因此多播数据源可以使用MSKold作为与旧用户之间的共享秘密来构造一条可以发送给所有旧用户的MSK更新消息。这样当一个新用户加入业务时,多播数据源只需要执行两次加密运算,一次在使用与新加入的用户共享的密钥MUK构造MSK更新消息时进行;而由于其他的MSK更新消息都使用相同的MSKold构造,因此只需要进行一次加密运算即可。而且多播数据源只需要发送两条MSK更新消息,一条通过点对点信道发送给新加入用户,另外一条通过点到多点信道发送给所有的旧用户。通过这种方法可以有效地减轻多播数据源在由成员加入触发的MSK更新时的计算负担和网络资源消耗。
本发明所述的一种移动通信系统多播广播应用中,使用多播方式进行的组密钥更新方法,包括以下步骤:
多播数据源执行以下步骤:
第一步:判断MSK更新由何种原因引起,如果由用户加入引起,执行后续步骤;
第二步:使用与新加入的业务用户共享的密钥MUK构造MSK更新消息,在此MSK更新消息中包含新的密钥MSKneW。此MSK更新消息通过单播的方式发送给新加入的业务用户。此MSK更新消息中需要包含MUK和MSK的标识符以使得用户设备可以获取对应的密钥,还要标识此MSK更新消息的类型以将此类MSK更新消息和其他类MSK更新消息区分。此MSK更新消息中必须包含由于此用户加入所引起的MSK更新中,使用MSKold构造,以多播方式传送的MSK更新消息中的计数器值,以使得新加入的业务用户在接收到这条多播的MSK更新消息时将之丢弃。
第三步:使用旧的MSKold做为和旧的业务用户共享密钥分别为所有的旧业务用户构造一条MSK更新消息,这个过程中只需要执行一次加密计算。MSK更新消息中包含新的密钥MSKnew,它通过多播的方式发送给所有的旧业务用户。此MSK更新消息中需要包含MSKold和MSKnew的标识符以使得用户设备可以获取对应的密钥,还要标识此MSK更新消息的类型以将此类MSK更新消息和其他类MSK更新消息区分。一个计数器值也在此多播MSK消息中发送以实现抗重放保护。
用户设备执行以下步骤:
第一步:判断接收到的MSK更新消息的类型,如果此消息为使用MUK构造的MSK更新消息,则使用对应的MUK获得MSK。如果此MSK更新消息中包含用于实现多播MSK更新消息抗重放保护的计数器值,则使用此计数器值更新用户设备上计数器的值。如果此消息为使用MSKold保护的多播发送的MSK更新消息,则执行第二步。
第二步:获得多播方式传输的MSK更新消息中计数器的值,将之与用户设备上存储的计数器值比较以实现抗重放保护。成功后根据MSK更新消息中的内容获得用于保护此消息的密钥MSKold,利用此密钥对MSK更新消息进行验证并从消息中获得新的密钥MSKnew。
参照图1,首先多播数据源决定执行MSK更新,更新可能由许多原因引起。如果MSK更新是由新的业务用户加入引起,则多播数据源使用原来的MSKold作为和旧用户的共享密钥构造一个MSK更新消息。MSK更新消息可以使用MIKEY协议来传输。此MIKEY消息需要能和其他类型的MIKEY消息区分,以使得用户设备可以将此类MIKEY消息和其他类的MIKEY消息(如使用MUK构造的MSK更新的MIKEY消息,使用MSK构造的MTK更新的MI KEY消息)分开处理。多播数据源在MIKEY消息中需要将保护此消息的MSKold的标识符和此消息中携带的MSKnew的标识符发送给用户。此外还需要在MIKEY消息中将一个计数器的值发给用户以实现抗重放保护。
多播数据源使用和新加入用户共享的密钥MUK构造携带MSK的MIKEY消息发送给用户。由于用户加入而构造的以多播方式传输的MSK更新消息中的计数器的值也需要在此MIKEY消息发送给新加入的用户,以使得新加入用户接收到多播方式传输的MSK更新消息时将之丢弃。
参考图2,当用户设备接收到MIKEY消息后,用户设备首先判断MIKEY消息的类型。当MIKEY消息是使用MUK构造的MSK更新消息时,用户设备使用相应的MUK获得MIKEY消息中的MSK。如果此MIKEY消息中还包含用于实现多播方式传输的MSK更新消息抗重放保护的计数器值时,用户设备使用这个值更新当前存储的计数器值。
当MIKEY消息是使用MSKold构造的多播MSKnew更新消息时,用户设备首先将MIKEY消息中的计数器值和用户设备存储的计数器值进行比较以实现抗重放保护。检查通过后根据MIKEY消息中的内容获得用于保护此消息的MSKold,利用此密钥对接收到的MIKEY消息进行验证并获得新的密钥MSKnew。
Claims (10)
1、一种移动通信多播应用中更新组密钥的方法,其特征在于,包括以下几个方面:
当新用户加入多媒体多播广播业务时,多播数据源使用MSKold作为与旧用户之间的共享秘密来构造一条可以发送给所有旧用户的MSK更新消息;
多播数据源在使用与新加入的用户共享的密钥MUK构造MSK更新消息时进行加密运算;
多播数据源发送两条MSK更新消息,一条通过点对点信道发送给新加入用户,另外一条通过点到多点信道发送给所有的旧用户。
2、根据权利要求1所述的移动通信多播应用中更新组密钥的方法,其特征在于,在多播数据源方面执行以下步骤:
第一步:判断MSK更新由何种原因引起,如果由用户加入引起,执行后续步骤;
第二步:使用与新加入的业务用户共享的密钥MUK构造MSK更新消息;
第三步:使用旧的MSKold做为和旧的业务用户共享密钥分别为所有的旧业务用户构造一条MSK更新消息,该过程中只执行一次加密计算。
3、根据权利要求2所述的移动通信多播应用中更新组密钥的方法,其特征在于,在第二步中所述MSK更新消息中包含新的密钥MSKnew。
4、根据权利要求2所述的移动通信多播应用中更新组密钥的方法,其特征在于,在第二步和第三步中所述MSK更新消息通过单播的方式发送给新加入的业务用户。
5、根据权利要求2所述的移动通信多播应用中更新组密钥的方法,其特征在于,在第二步中所述MSK更新消息中包含MUK和MSK的标识符,并标识所述MSK更新消息的类型以将所述MSK更新消息和其他类MSK更新消息区分。
6、根据权利要求2所述的移动通信多播应用中更新组密钥的方法,其特征在于,在第二步中所述MSK更新消息中包含由于此用户加入所引起的MSK更新中使用MSKold构造、以多播方式传送的MSK更新消息中的计数器值。
7、根据权利要求2所述的移动通信多播应用中更新组密钥的方法,其特征在于,在第三步中所述MSK更新消息通过多播的方式发送给所有的旧业务用户。
8、根据权利要求2所述的移动通信多播应用中更新组密钥的方法,其特征在于,在第三步中所述MSK更新消息中包含MSKold和MSKnew的标识符,并标识所述MSK更新消息的类型以将所述MSK更新消息和其他类MSK更新消息区分。
9、根据权利要求2所述的移动通信多播应用中更新组密钥的方法,其特征在于,在第三步中,在所述MSK更新消息中发送一个计数器值以实现抗重放保护。
10、根据权利要求1所述的移动通信多播应用中更新组密钥的方法,其特征在于,在用户设备方面执行以下步骤:
第一步:判断接收到的MSK更新消息的类型,如果此消息为使用MUK构造的MSK更新消息,则使用对应的MUK获得MSK;如果此MSK更新消息中包含用于实现多播MSK更新消息抗重放保护的计数器值,则使用此计数器值更新用户设备上计数器的值;如果此消息为使用MSKold保护的多播发送的MSK更新消息,则执行第二步;
第二步:获得多播方式传输的MSK更新消息中计数器的值,将之与用户设备上存储的计数器值比较以实现抗重放保护;成功后根据MSK更新消息中的内容获得用于保护此消息的密钥MSKold,利用此密钥对MSK更新消息进行验证并从消息中获得新的密钥MSKnew。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410091014 CN1777099A (zh) | 2004-11-15 | 2004-11-15 | 移动通信多播应用中更新组密钥的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410091014 CN1777099A (zh) | 2004-11-15 | 2004-11-15 | 移动通信多播应用中更新组密钥的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1777099A true CN1777099A (zh) | 2006-05-24 |
Family
ID=36766427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410091014 Pending CN1777099A (zh) | 2004-11-15 | 2004-11-15 | 移动通信多播应用中更新组密钥的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1777099A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101981889B (zh) * | 2008-03-26 | 2014-03-12 | 国际商业机器公司 | 计算机集群系统中的安全通信 |
-
2004
- 2004-11-15 CN CN 200410091014 patent/CN1777099A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101981889B (zh) * | 2008-03-26 | 2014-03-12 | 国际商业机器公司 | 计算机集群系统中的安全通信 |
| US8767964B2 (en) | 2008-03-26 | 2014-07-01 | International Business Machines Corporation | Secure communications in computer cluster systems |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2341028C2 (ru) | Эффективная передача криптографической информации в протоколе безопасности реального времени | |
| CN1123159C (zh) | 加密电信网中的无线电业务的方法和设备 | |
| More et al. | Sliding-window self-healing key distribution | |
| CN1771706A (zh) | 用于安全并且自适应地传送多媒体内容的方法和设备 | |
| MX2008003128A (es) | Metodo y aparato para proporcionar un motor de administracion de derechos digitales. | |
| CN102379134A (zh) | 保护与无线通信系统内的多播通信会话相关联的消息 | |
| CN1954538A (zh) | 用于安全广播的密钥管理消息 | |
| CN1868162A (zh) | 向通信系统中的广播多播通信提供已验证询问的方法和设备 | |
| CN113347215B (zh) | 一种移动视频会议加密方法 | |
| RU2356170C2 (ru) | Способ и устройство для защиты в системе обработки данных | |
| CN1553600A (zh) | 一种共享密钥更新的方法 | |
| Pal et al. | Efficient and secure key management for conditional access systems | |
| CN1758593A (zh) | 多媒体组播业务的业务密钥更新方法 | |
| CN1744706A (zh) | 一种保护宽带视音频广播内容的方法 | |
| CN1567812A (zh) | 一种实现共享密钥更新的方法 | |
| CN1783831A (zh) | 视频组播业务中频道切换的实现方法 | |
| CN101364866B (zh) | 一种基于多个密钥分配中心的实体密话建立系统及其方法 | |
| CN1777095A (zh) | 移动通信系统多播广播应用中更新组密钥的方法 | |
| CN111835754A (zh) | 行业消息管理方法、系统、终端设备及可读存储介质 | |
| CN100342687C (zh) | 一种多播/广播业务群组共享密钥的更新方法 | |
| CN1777099A (zh) | 移动通信多播应用中更新组密钥的方法 | |
| CN1681241A (zh) | 一种端到端加密通信的密钥分发方法 | |
| CN101997677B (zh) | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 | |
| CN101127596B (zh) | 一种广播式移动电视业务中节目流密钥加密的方法及系统 | |
| US20030206637A1 (en) | Mechanism and method to achieve group-wise perfect backward secrecy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20060524 |