KR101527714B1 - 브로드캐스트 서비스의 암호화된 데이터를 이동 단말에 연속적으로 전송하기 위한 방법과 시스템 - Google Patents

브로드캐스트 서비스의 암호화된 데이터를 이동 단말에 연속적으로 전송하기 위한 방법과 시스템 Download PDF

Info

Publication number
KR101527714B1
KR101527714B1 KR1020097007440A KR20097007440A KR101527714B1 KR 101527714 B1 KR101527714 B1 KR 101527714B1 KR 1020097007440 A KR1020097007440 A KR 1020097007440A KR 20097007440 A KR20097007440 A KR 20097007440A KR 101527714 B1 KR101527714 B1 KR 101527714B1
Authority
KR
South Korea
Prior art keywords
service
access network
key
mobile terminal
service access
Prior art date
Application number
KR1020097007440A
Other languages
English (en)
Other versions
KR20090067170A (ko
Inventor
크리스찬 귄터
Original Assignee
지멘스 악티엔게젤샤프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지멘스 악티엔게젤샤프트 filed Critical 지멘스 악티엔게젤샤프트
Publication of KR20090067170A publication Critical patent/KR20090067170A/ko
Application granted granted Critical
Publication of KR101527714B1 publication Critical patent/KR101527714B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/601Broadcast encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

상이한 키 계층들을 포함하는 서비스 액세스 네트워크들의 브로드캐스트 서비스의 암호화된 데이터를 이동 단말(BEG)에 연속적으로 전송하기 위한 방법이 기재된다. 상기 방법에 따르면, 이동 단말(BEG)이 제1 데이터 콘텐츠 암호화 키(MTK; TEK; SK)에 의해 암호화되는 방식으로 브로드캐스트 서비스의 데이터를 수신하도록 하는 제1 서비스 액세스 네트워크(DZN-A)로부터 상기 이동 단말(BEG)이 제2 데이터 콘텐츠 암호화 키(MTK; TEK; SK)에 의해 암호화되는 방식으로 동일한 브로드캐스트 서비스의 데이터를 수신하도록 하는 제2 서비스 액세스 네트워크(DZN-B)로 스위칭할 때, 상기 이동 단말(BEG)은 제2 서비스 액세스 네트워크(DZN-B)의 키 계층의 키(SEK; PEK; MSK; BAK)를 수신하는데, 상기 키는 제1 서비스 액세스 네트워크(DZN-A)의 사용자-특정 키(MUK; K-PUB; TK)에 의해 암호화된 것이다.

Description

브로드캐스트 서비스의 암호화된 데이터를 이동 단말에 연속적으로 전송하기 위한 방법과 시스템{METHOD AND SYSTEM FOR THE CONTINUOUS TRANSMISSION OF ENCRYPTED DATA OF A BROADCAST SERVICE TO A MOBILE TERMINAL}
본 발명은, 제1 키 계층(key hierarchy)을 구비한 서비스 액세스 네트워크(service access network)로부터 제2 키 계층을 구비한 다른 서비스 액세스 네트워크로 전환하는 이동 단말에, 브로드캐스트(broadcast) 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 방법과 시스템에 관한 것이다.
포인트-투-멀티포인트(point-to-multipoint) 데이터 서비스들을 이용하여, 특히 예컨대 오디오 데이터와 비디오 데이터와 같은 멀티미디어 데이터가 콘텐츠 제공자(content provider) 또는 서비스 제공자(service provider)의 서버에 의하여 단말에 전송된다. 상기 단말이 예컨대 이동 전화 또는 랩탑(laptop)과 같은 이동 단말 또는 사용자 단말(BEG)일 경우, 데이터는 서비스 제공자의 서버에 의하여 서비스 액세스 네트워크(DZN)를 경유하여 상기 서비스 액세스 네트워크(DZN)로부터 이동 단말로 라디오 인터페이스(radio interface)를 통해 전송될 것이다. 다양한 멀티캐스트(multicast) 또는 액세스 기술들이 공지되어 있으며, 각각의 기술들은 사용자들을 인증하고 등록하기 위해 상이한 절차들을 채용함으로써, 멀티캐스트 또는 브로드캐스트 서비스들로의 액세스를 제어한다. 이러한 종류의 공지된 브로드캐스트 기술들의 예시들로는, 3GPP(Third Generation Partnership Project; 3세대 파트너쉽 프로젝트)에서 특정된 멀티미디어 브로드캐스트와 멀티캐스트 시스템(MBMS), IP 인터넷 프로토콜(Internet Protocol)에 기초하고 있으며 약자로 DVB-H IPDC(DC:데이터 캐스트)인 DVB-H(Digital Video Broadcast to Handhelds; 핸드헬드들로의 디지털 비디오 브로드캐스트), 3GPP2 BCMCS(3세대 파트너쉽 프로젝트 2 브로드캐스트 멀티캐스트 서비스) 시스템, 그리고 오픈 모바일 얼라이언스(Open Mobile Alliance; OMA)의 표준화 기구의 OMA BCAST(Browser and Content Broadcast; 브라우저와 콘텐츠 브로드캐스트)를 들 수 있다. 이동 단말들을 위해 브로드캐스트 또는 멀티캐스트 서비스들을 제공하기 위한 상기 상이한 액세스 기술들은 특히 데이터 전송 링크들(data transmission links)을 암호화하기 위해 상이한 키 계층들을 채용한다.
상이한 서비스 액세스 네트워크들은, 이동 단말기 제1 서비스 액세스 네트워크의 커버리지(coverage) 또는 전송 영역으로부터 상이한 액세스 기술을 구비한 제2 서비스 액세스 네트워크의 전송 영역으로 이동할 수 있도록, 부분적으로 오버래핑된(overlapping) 커버리지 영역들을 갖는다. 이동 단말들 또는 사용자 단말들(BEG)은 대응하는 브로드캐스트 서비스들을 수신하기 위해 상이한 액세스 기술들을 지원할 수 있다.
3세대 파트너쉽 프로젝트(3GPP) 표준화 기구에 의해 특정된 멀티미디어 브로드캐스트 멀티캐스트 시스템(MBMS)은 3GPP 이동 라디오 네트워크들(3GPP MBMS ARC)에서 IP-기반 포인트-투-멀티포인트 데이터 서비스들을 구현한다. 상기 타입의 데이터 서비스들의 예시들로는 오디오, 비디오 그리고 음성 서비스들(스트리밍(streaming) 서비스들)을 들 수 있고, 그러나 또한 이미지들(images)과 텍스트들(texts)이 단말들로 향하게 하는 서비스들(다운로딩 그리고 회전식(carousel) 서비스들로 불리는 것)도 들 수 있다. 라디오 액세스 네트워크(Radio Access Network; RAN)와 서빙 및 게이트웨이 GPRS 지원 노드들(Serving and Gateway GPRS Support Nodes; SGSN 및 GGSN)과 함께, 사용자 단말(사용자 장비-UE)과 브로드캐스트 멀티캐스트 서비스 센터(BM-SC)는 가장 중요한 MBMS 네트워크 구성요소들이다. 실제 데이터 콘텐츠는 콘텐츠 제공자(ContProv)에 의하여 BM-SC에 이용 가능하게 될 수 있다.
허가받지 않은 사용이 금지되는 경우의 MBMS 스트리밍 서비스들은 안전한 실시간 전송 프로토콜(SRTP:the Secure Realtime Transport Protocol)에 의해 암호화될 수 있고 변경되지 않게 보호될 수 있다(무결성 보호). 이러한 기능은 BM-SC(3GPP MBMS SEC)에 의해 맡아진다. 암호 키 재료는 BM-SC에서 그리고 적절하게 허가받은 사용자 단말들(UE)에서 상기 목적을 위해 이용 가능하게 되어야만 한다. 효율성을 위해, 특정한 MBMS 스트리밍 서비스는 각각의 개별적인 단말기를 위하여 별도로 보호될 수 없고 방사될 수 없다; 그보다는, BM-SC와 허가받은 단말들이 MBMS 트래픽 키들(MBMS traffic keys; MTK)로 불리는 것을 공유하는 경우가 일반적이다. 비록 자주 바뀌더라도, MTK들은 특정한 단말에 대하여 특정되지 않는다.
MTK들은 MBMS 서비스 키들(MBMS service keys; MSK)의 도움으로 암호화되어, BM-SC로부터 이동 단말들(BEG)로의 상기 MTK들의 여정상에서 상기 MTK들이 가로채기될 수 없다. MSK들은 MTK들보다 훨씬 더 오래 살아남고, 그래서 MTK들보다는 덜 빈번하게 UE들에 전송되어야 한다. MSK들은 물론, BEG들로 전송되는 동안에 가로채기로부터도 보호되어야 한다. 이는 MBMS 사용자 키들(MBMS user keys; MUK)이라 불리는 것의 도움으로 달성된다. MTK들과 MSK들과 대조적으로, 개별적인 MUK는 단일 단말(BEG)을 위해서만 유효하다. 이는, 또한, 특정한 MUK를 통해 암호화되어 방사되는 MSK가 상기 MUK를 알고 있는 단말(BEG)에 의해서만 복호화될 수 있음을 의미한다.
MUK들은 일반 부트스트랩핑 아키텍처(GBA:the Generic Bootstrapping Architecture)로 불리는 것의 도움으로 단말(BEG)과 BM-SC 사이에서 협상된다. GBA는 3GPP에 의하여 특정된 방법으로서, 좌우간 단말(BEG)과 이동 라디오 네트워크(3GPP GBA) 사이에서 존재하는 보안 관계로부터 상기 단말(BEG)과 네트워크 애플리케이션 기능(NAF:a Network Application Function)으로 불리는 것 사이의 보안 관계를 도출하기 위하여 특정된 방법이다. MBMS와 연관하여, BM-SC는 상기 NAF의 역할을 맡는다.
MBMS와 무관하게, 단말(BEG)과 상기 BEG의 홈 네트워크 내의 홈 가입자 서버(HSS)는 상기 BEG의 범용 집적 회로 카드(UICC:Universal Integrated Circuit Card) 상에 그리고 HSS 서버의 데이터베이스(database) 내에 저장된 수명이 긴 비밀 키(K)를 공유한다. 단말(BEG)과, 일명 부트스트랩핑 서버 기능(BSF:the Bootstrapping Server Function)를 구비하여 상기 단말(BEG)을 담당하는 GBA 구성요소는, 상기 키(K)에 기초하여 자신들을 상호 인증한다. GBA 내부의 HSS 서버는 BSF에게 관련된 얼마간의 단말-특정 데이터(Zh, 기준점)를 공급한다. 상기 인증하기와 연관하여, 단말(BEG)과 BSF는 NAF의 신원에 따라 좌우되는 키(Ks_NAF)를 생성하기 위해 제공되는 비밀 키(Ks)를 도출한다. 부트스트랩핑 서버(BSF)는 요청에 따라 NAF(MBMS 예시에서 BM-SC)에게 상기 Ks_NAF(Zn 기준점)에 관해 통보하여, 단말과 NAF가 비밀 암호 키, 즉 Ks_NAF를 공유하게 될 것이다. 따라서, 단말(UE 또는 BEG)과 NAF 사이에서 보안 관계(키 Ks_NAF)는 상기 단말과 이동 라디오 네트워크 사이의 기존 보안 관계(키 K)에 기초하여 전체적으로 설정될 것이다.
MBMS의 경우, 단말과 BM-SC는 Ks_NAF로부터 MBMS 요청 키(MRK)로 불리는 것을 단말이 자신을 BM-SC(Ua 기준점)에 대하여 인증하는 것의 도움으로 도출한다. UE는 이로써 특정 MBMS 서비스를 수신하기 위한 허가권을 획득할 것이다. 상기 허가권은 BM-SC가 단말에게, MRK로부터 도출된 MBMS 사용자 키(MUK)에 의해 암호화된 MBMS 서비스 키(MSK)를 송신하도록 유발한다. 위에서 이미 전술된 바와 같이, MRK로부터 도출된 MUK를 갖고 있는 단말만이 상기 MSK를 복호화할 수 있을 것이다. 그러나, MSK에 의해, 단말은 비-단말-특정 MBMS 트래픽 키들(MTK)과 그에 따라 전체 SRTP-보호 MBMS 스트리밍 서비스를 복호화할 수 있고, 데이터의 무결성을 체크할 수 있을 것이다. 따라서, 3GPP MBMS의 보안은 하기의 키 계층에 기초한다:
오래 살아남는 3GPP 키(K)
- BEG 그리고 상기 BEG의 또는 UE의 홈 네트워크 내의 HSS에만 알려짐
- GBA의 경우 BEG와 BSF 사이를 인증하기 위해 제공됨
GBA 키들(Ks와 Ks_NAF)
- Ks는 BEG와 상기 BEG의 홈 네트워크 사이의 GBA 인증 절차와 연관되어 도출되고, 키(Ks_NAF)를 생성하기 위해 제공됨
- 키들(MRK와 MUK)은 Ks_NAF로부터 도출된 MBMS의 경우에 해당됨
MBMS 요청 키(MRK)
- BEG와 BM-SC에 의하여 Ks_NAF로부터 도출됨
- BEG를 NAF=BM-SC에 대하여 인증하기 위해 제공되고, 서비스 등록 동안에 BEG를 그곳에서 허가함
MBMS 사용자 키(MUK)
- Ks_NAF로부터 도출됨
- MSK의 BEG-특정 암호화를 수행하기 위해 제공됨
MBMS 서비스 키(MSK)
- BM-SC에 의하여 특정 서비스를 위해 생성됨
- BEG들로의 전송 동안에 MTK들을 암호화하기 위해 제공됨
- MTS들보다 더 오랫동안 유효함
MBMS 트래픽 키들(MTK)
- MBMS 서비스를 보호(암호화와 무결성 보호)하기 위해 BM-SC에 의해 생성된 키들
- BEG-특정하지 않음
- MSK의 도움으로 암호화되어 BEG들에게 전송됨
디지털 비디오 브로드캐스트(DVB) 표준화 기구는 인터넷 프로토콜(IP)에 기초하여 이동 단말들(BEG)로의 비디오 브로드캐스트 서비스들(핸드헬드들로의 DVB - DVB-H)을 정의하는 스펙들(specifications)을 공개했다: DVB-H를 통한 IP 데이터 캐스트, 약자로는 IPDC/DVB-H(DVB IPDC). 여기서 DVB-H 시스템은 단방향 브로드캐스트만 가질 뿐만 아니라, 예컨대 3GPP 이동 라디오 네트워크에 의해 구현될 수 있는 선택적 양방향 인터렉티브 채널도 갖는다.
DVB-H 문서 "IP Data Cast over DVB-H: Service Purchase and Protection"(DVB IPDC SPP)는 DVB-H 서비스들을 위해 두 가지 상이한 보안 시스템들을 특정한다:
시스템 1: 오픈 보안 프레임워크(Open Security Framework; OSF)
- 데이터 콘텐츠 레벨에서 브로드캐스트 서비스들의 암호화를 권고함(ISMACryp)
시스템 2: 18Crypt
- 전송 레벨(SRTP) 또는 네트워크 레벨(IPSec)에서 브로드캐스트 서비스들의 암호화를 권고함
SPP 스펙에 대응하는 사용자 단말들(BEG)은 모든 세 가지 암호화 방법들(ISMACryp,SRTP,IPSec)을 지원해야만 하고 두 가지 시스템들 중 적어도 하나를 구현해야만 한다.
도 1은 종래 기술에 따라 브로드캐스트 서비스들의 경우에 데이터 콘텐츠를 보호하기 위한 DVB-H 모델을 나타낸다.
단말(BEG)(장치)은 상기 장치에 명백한 오래 살아남는 키(K)를 초기에 요구한다. 상기 타입의 키는 일반적으로, 구입될 때 상기 장치 상에 또는 또한 상기 장치에 삽입되는 칩 카드 상에 이미 위치되어 있을 것이다. 상기 키는 도 1에 도시외어 있는 네 계층들의 보안의 기초를 형성한다.
최상위 계층에서(등록), 단말(장치)은 특정한 브로드캐스트 서비스에 대하여 명백한 키(K)의 도움으로 자신을 인증하고 등록한다. 성공적인 인증과 등록에 기초하여, 단말은 서비스를 수신하기 위해 필요한 암호 키(권리 암호화 키)를 획득한다. 상기 권리 암호화 키는 장치-특정 키(K)에 의해 암호화되어, 상기 키(K)를 갖고 있는 상기 단말만이 상기 권리 암호화 키를 복호화할 수 있을 것이다.
제2 계층에서(권리 관리), 단말은, 더 오랫동안 유효하고 키 관리 메시지(KMM)에 의해 단말에 전송되는 서비스 암호화 키(SEK)를 획득한다. 상기 SEK는 브로드캐스트 서비스에 대하여 명백하지만, 단말에 대해서는 명백하지 않다. 권리 암호화 키는 SEK를 암호화하기 위해 제공된다. SEK는 자신의 기능에 있어서 3GPP-MBMS 서비스 키(MSK)에 견주어 비교될만하다.
제3 계층에서(키 스트림), 키 스트림 메시지들(KSM)로 불리는 것은 짧게 살아남는 트래픽 암호화 키들(TEK)을 브로드캐스트 채널을 통해 단말들에 전송한다. 여기서, 상기 TEK들은 제2 계층에서 사전에 전송된 서비스 암호화 키(SEK)에 의하여 암호화된다. 최하위 계층에서(콘텐츠/서비스 보호), 브로드캐스트 서비스 -TEK들의 도움으로 암호화됨- 는 브로드캐스트 채널을 통해 방사된다.
자신의 장치-특정 키(K)의 도움으로, 단말은 권리 암호화 키와, 그에 따라 이번에는 SEK, 그리고 그런 다음에는 종종 변경되는 TEK들을 복호화할 수 있다. 그에 따라, 등록되고 결과적으로 허가받은 단말(BEG)은 암호화된 브로드캐스트 서비스를 평문 형태로 디스플레이할 수 있을 것이다.
도 1에 도시된 모델은 매우 일반적인 레벨에서 IPDC/DVB-H의 보호 조치들의 기술적 구현을 기술한다. 이는, 한편으로, [DVB IPDC SPP]에서 지시된 상기 모델이 두 가지의 매우 상이한 시스템들 "오픈 보안 프레임워크"와 "18Crypt"을 균등한 방식으로 표현하기 때문이고, 다른 한편으로, 계층들 1-3(등록, 권리 관리, 그리고 키 스트림)의 기술적 구현이 오픈 보안 프레임워크 시스템에 대하여 [DVB IPDC SPP]에서 명확하게 특정되지 않으나, - 18Crypt 시스템과 대조적으로, 모든 계층들이 정의됨을 위해 개방된 채로 남아있기 때문이다.
18Crypt 시스템은 오픈 모바일 얼라이언스(OMA)에 의해 정의된 디지털 권리 관리(DRM) 방법들(OMA DRM)에 기초한다. 명백한 장치 키로서, 상기 18Crypt 시스템은 공용 암호화 키를 사용하는데, 상기 공용 암호화 키의 특정 장치로의 링크는 디지털 인증서에 의해 인증된다. 권리 발행기(RI)는 장치를 등록 계층에서 인증하고 등록하기 위하여 디지털 장치 인증서의 합법성을 체크한다. 상기 체크가 성공적인 경우, RI는 장치에게 권리 객체(RO)로 불리는 것을 권리 관리 계층에서 송신할 것이다. 상기 RO는 상기 체크된 공용 장치 키의 도움으로 암호화된 서비스 또는 프로그램 암호화 키(SEK/PEK)를 포함한다. 디지털 인증서에 특정된 장치만이 대응하는 개인 장치 키를 갖는다. 그러므로, 상기 장치는 상기 권리 객체(RO) 내에 암호화된 SEK 또는 PEK를 복호화할 수 있는 유일한 장치일 것이다.
SEK 또는 PEK 외에도, 권리 객체(RO)는 일반적으로 또한 장치가 등록했던 브로드캐스트 서비스의 데이터 콘텐츠에 있어서 상기 장치에 부여된 권리들에 관한 기술을 포함한다(예: 비디오가 단말에 의해 다섯 차례 재생되도록 허용됨). 단말 상에 있는 변경-방지 프로그램(DRM 에이전트)은 SEK 또는 PEK를 복호화하고, 특정 데이터 콘텐츠에 있어서 장치에 부여된 권리들에 부합하고, SEK 또는 PEK를 허가받지 않은 액세스로부터 보호하는 것을 담당한다. 상기 SEK 또는 PEK는 키 스트림 계층에서 종종 변경되는 트래픽 암호화 키들(TEK)을 암호화하고 복호화하기 위해 사용된다.
IP-기반의 브로드캐스트와 멀티캐스트 서비스들은 제3 세대 파트너쉽 프로젝트 2(3GPP2 BCMCS)의 표준들에 부합하는 이동 라디오 네트워크들에서 브로드캐스트 멀티캐스트 서비스(BCMCS)의 도움으로 구현된다. 3GPP2 사용자 단말들(이동국 - MS)은 사용자 신원 모듈(UIM)과 실제 이동 장치(이동 장비 - ME)로 구성된다. UIM은 ME에 영구적으로 링크될 수도 있고 탈착 가능할 수도 있다(탈착 가능 UIM - R-UIM). UIM들이 매우 적은 컴퓨팅 파워를 갖지만 보호된 메모리 영역을 갖는 반면에, 이동 장치(ME)는 더 많은 컴퓨팅 파워를 갖지만 보호된 메모리 영역을 갖지 않는다.
안전한 실시간 전송 프로토콜(SRTP)은 브로드캐스트/멀티캐스트 데이터 콘텐츠를 암호화하기 위해 사용될 수 있다. SRTP 암호화를 위한 입력으로서 제공되는 키들은 단기 키들(SK)로 불린다. 3GPP MBMS 트래픽 키들(MTK)과 같이, 상기 단기 키들은 종종 변경되지만, MTK들과 같이 이동국들(MS)에 암호화되어 송신되지는 않는다. 대신에, 암호화된 브로드캐스트 액세스 키(BAK)가 난수(SK_RAND)와 함께 이동 단말들 또는 MS들에 송신되고, 이동 단말들(BEG 또는 MS)은 키(SK)를 BAK와 SK_RAND로부터 계산한다. BAK는 MS-특정 또는 UIM-특정 키가 아니다; 그보다는, BAK가 하나 이상의 IP 멀티캐스트 메시지 흐름들에 대하여 유효한 것이 일반적이다. BAK들은 네트워크 구성요소 BAK 분배기(BAKD)에 의해 생성된다.
BAK는 임시 암호화 키(TK)의 도움으로 이동 단말(BEG 또는 MS)로의 자신의 여정상에서 암호화된다. 각각의 TK는 난수(TK_RAND)와 등록 키(RK)로 불리는 것에 따라 좌우된다. 여기서, RK는 각각의 UIM에 대하여 명백하고, 관련 UIM과 TK들을 생성하는 것을 담당하는 네트워크 구성요소(가입 매니저 - SM)에만 공지된다. TK에 의하여 암호화되는 BAK와 함께, 이동 단말은 또한 난수(TK_RAND)도 수신한다. TK를 생성하기 위해 사용되었던 RK를 자신의 UIM 상에 갖고 있는 이동 단말만이 TK_RAND의 도움으로 키(TK)를 도출할 수 있을 것이다. TK는 이동 단말에 의하여 BAK를 복호화하기 위해 사용된다. MS 또는 BEG는 BAK와 SK_RAND의 도움으로 SK를 계산하고 그에 따라 암호화된 멀티캐스트 데이터를 복호화할 수 있을 것이다.
3GPP2 BC MCS의 보안은 하기의 키 계층에 기초한다:
등록 키(RK)
- 각각의 UIM에 대하여 명백함
- UIM과 가입 매니저(SM)에만 공지됨
임시 암호화 키(TK)
- RK와 난수(TK_RAND)로부터 도출됨
- 브로드캐스트 액세스 키(BAK)를 암호화하기 위해 제공됨
- MS는 암호화된 BAK와 함께 TK_RAND를 수신함
- 정확한 RK를 갖는 MS만이 TK_RAND의 도움으로 TK를 계산할 수 있음
브로드캐스트 액세스 키(BAK)
- 하나 이상의 IP 멀티캐스트 메시지 흐름들을 위하여 BAK 분배기(BAKD)에 의해 생성됨
- MS가 난수(SK_RAND)와 함께 TK에 의해 암호화된 BAK를 수신함
단기 키들(SK)
- (SRTP) 브로드캐스트/멀티캐스트 데이터를 암호화하기 위한 키들
- MS에 송신되지 않지만, MS에 의하여 BAK와 SK_RAND로부터 계산됨
오픈 모바일 얼라이언스(OMA) 표준화 기구의 브라우저와 콘텐츠(BAC) 워킹그룹의 브로드캐스트(BCAST) 하위-워킹그룹은, 단방향 브로드캐스트 채널(예컨대 DVB-H)과 선택적으로 양방향 유니캐스트 채널(unicast channel)(예컨대 3GPP)[OMA BCAST ARC]을 구비한 네트워크들을 통해 제공되는 이동 브로드캐스트 서비스들을 위한 이네이블러(enabler)로 불리는 것을 표준화하고 있다. 이곳에 특정되고 있는 것은 서비스 가이드, 파일 분배, 스트림 분배, 서비스 보호, 콘텐츠 보호, 서비스 인터렉션, 서비스 공급(provisioning), 단말 공급, 그리고 통보와 같은 기능들이다.
현재 드래프트 스펙들(draft specificaitions)에서, OMA ABC BCAST는 특히 3GPP MBMS, DVB-H IPDC, 그리고 3GPP2 BCMCS를 브로드캐스트 분배 시스템들로서 공급한다. 브로드캐스트 서비스들(서비스들)과 콘텐츠(콘텐츠)의 보호는 [OMA BCAST SCP]에서 정의되었고, 세 가지 변형들로 제공된다: 디지털 권리 관리[OMA DRM]를 위해 OMA 스펙들에 기초한 DRM 프로파일(profile) 그리고 3GPP (U)SIM과 3GPP2 (R)UIM에 각각 기초한 두 가지의 스마트카드 프로파일들.
상이한 액세스 기술들과 특히 다양한 액세스 기술들을 위해 채용된 상이한 키 계층들 때문에, 이동 단말(BEG)이 제1 서비스 액세스 네트워크로부터 제2 서비스 액세스 네트워크로 전환할 때, 인터럽트된 데이터 전송 문제가 발생한다.
하나의 서비스 액세스 네트워크로부터 다른 서비스 액세스 네트워크로의 전환은, 제1 서비스 액세스 네트워크의 전송 영역 밖으로 이동 단말의 이동 때문에 또는 제1 서비스 액세스 네트워크로부터 다른 서비스 액세스 네트워크로 전환하는 것에 대한 사용자의 소망 때문에 이루어질 수 있다.
그러므로, 본 발명의 목적은 서비스 액세스 네트워크가 전환되더라도 브로드캐스트 서비스의 데이터를 이동 단말에 연속적으로 전송할 것을 보장하면서, 브로드캐스트 서비스의 암호화된 데이터를 전송하기 위한 방법과 시스템을 제공하는 것이다.
상기 목적은 청구항 1의 특징들을 갖는 방법에 의해 그리고 청구항 19의 특징들을 갖는 시스템에 의해 달성된다.
본 발명은, 상이한 키 계층들을 갖는 서비스 액세스 네트워크들로부터 이동 단말(BEG)로 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 방법을 제공하는데, 이때 제1 데이터 콘텐츠 암호화 키(MTK,TEK,SK)에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 수신하게 하는 제1 서비스 액세스 네트워크(DZN-A)로부터, 제2 데이터 콘텐츠 암호화 키(MTK,TEK,SK)에 의해 암호화된 동일한 브로드캐스트 서비스의 데이터를 수신하게 하는 제2 서비스 액세스 네트워크(DZN-B)로 전환중이고, 상기 제2 서비스 액세스 네트워크(DZN-B)의 키 계층 중의 - 상기 제1 서비스 액세스 네트워크(DZN-A)의 사용자-특정 키(MUK,K-PUB,TK)에 의해 암호화된 - 키를 수신중이다.
본 발명의 방법의 바람직한 실시예 변형에서, 사용자-특정 키(MUK,TK)는 이동 단말(BEG)이 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(access control server)(ZKS-A)에 대하여 인증된 직후에 생성된다.
본 발명의 방법의 한 실시예 변형에서, 이동 단말(BEG)과 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(ZKS-A)는 모두 사용자-특정 키를 갖는다.
본 발명의 방법의 바람직한 실시예 변형에서, 이동 단말(BEG)은 제1 서비스 액세스 네트워크(DZN-A)의 제1 액세스 제어 서버(ZKS-A)로부터 제1 데이터 콘텐츠 암호화 키에 의해 암호화된 브로드캐스트 서비스의 데이터를 수신한다.
본 발명의 방법의 바람직한 실시예 변형에서, 이동 단말(BEG)은 제2 서비스 액세스 네트워크(DZN-B)의 제2 액세스 제어 서버(ZKS-B)로부터 제2 데이터 콘텐츠 암호화 키에 의해 암호화된 브로드캐스트 서비스의 데이터를 수신한다.
본 발명의 바람직한 실시예 변형에서, 사용자-특정 키에 의해 암호화된 키는 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(ZKS-A)로부터 이동 단말(BEG)로 전송되고, 상기 이동 단말에 공지된 사용자-특정 키에 의해 상기 이동 단말(BEG)에 의하여 복호화된다.
본 발명의 방법의 한 실시예 변형에서, 이동 단말(BEG)에 의해 복호화된 키를 통해, 이동 단말(BEG)은 제2 데이터 콘텐츠 암호화 키를, 그것과 함께 제2 액세스 제어 서버(ZKS-B)로부터 수신되고 제2 데이터 콘텐츠 암호화 키에 의해 암호화된 브로드캐스트 서비스의 데이터를 복호화하기 위해 복호화한다.
본 발명의 방법의 한 실시예 변형에서, 이동 단말(BEG)은 제1 서비스 액세스 네트워크(DZN-A)로부터 제2 서비스 액세스 네트워크(DZN-B)로의 전환을 상기 제1 서비스 액세스 네트워크의 액세스 제어 서버(ZKS-A)로부터 요청 메시지를 통해 요청한다.
본 발명의 방법의 한 실시예 변형에서, 상기 요청 메시지는 사용자 신원, 제2 서비스 액세스 네트워크(DZN-B)의 액세스 제어 서버(ZKS-B)의 신원, 그리고 브로드캐스트 서비스의 신원을 갖는다.
본 발명의 방법의 한 실시예 변형에서, 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(ZKS-A)는 액세스 요청 메시지를 제2 서비스 액세스 네트워크(DZN-B)의 액세스 제어 서버(ZKS-B)로 전송하는데, 상기 액세스 요청 메시지는 사용자 신원, 브로드캐스트 서비스의 신원, 그리고 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(ZKS-A)의 신원을 포함한다.
본 발명의 방법의 한 실시예 변형에서, 제2 서비스 액세스 네트워크(DZN-B)의 액세스 제어 서버(ZKS-B)는 액세스 확인 메시지를 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(ZKS-A)로 역송신하는데, 상기 액세스 확인 메시지는 사용자 신원, 브로드캐스트 서비스의 신원, 그리고 제2 서비스 액세스 네트워크의 키 계층 중의 키를 포함한다.
본 발명의 방법의 한 실시예 변형에서, 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(ZKS-A)는 전환 확인 메시지를 이동 단말(BEG)에 전송하는데, 상기 전환 확인 메시지는 제2 액세스 제어 서버(ZKS-B)의 신원과 브로드캐스트 서비스의 신원을 포함한다.
본 발명의 방법의 한 실시예 변형에서, 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(ZKS-A)는 제2 키 계층의 - 사용자-특정 키에 의해 암호화된 - 키를 메시지를 통해 이동 단말(BEG)에 전송한다.
본 발명의 방법의 한 실시예 변형에서, 제1 서비스 액세스 네트워크(DZN-A)는 3GPP, 3GPP2 또는 DVB-H 서비스 액세스 네트워크에 의해 형성된다.
본 발명의 방법의 한 실시예 변형에서, 제2 서비스 액세스 네트워크(DZN-A)는 3GPP, 3GPP2 또는 DVB-H 서비스 액세스 네트워크에 의해 형성된다.
본 발명의 방법의 한 실시예 변형에서, 제1 서비스 액세스 네트워크(DZN-A)로부터 제2 서비스 액세스 네트워크(DZN-B)로의 전환은, 이동 단말(BEG)이 제1 서비스 액세스 네트워크(DZN-A)의 전송 범위 밖으로 이동할 때 제1 서비스 액세스 네트워크(DZN-A)의 액세스 제어 서버(ZKS-A)에 의해 자동으로 수행될 것이다.
본 발명의 방법의 한 실시예 변형에서, 이동 단말(BEG)은 이동 전화, 노트북 또는 PDA 장치에 의해 형성된다.
본 발명의 방법의 한 실시예 변형에서, 이동 단말(EEG)에 의해 수신되는 데이터는 멀티미디어 데이터에 의해 형성된다.
본 발명은 또한, 상이한 키 계층들을 갖는 서비스 액세스 네트워크들(DZN)로부터 이동 단말(BEG)로 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 시스템을 제공하는데, 상기 시스템은 제1 키 계층을 갖는 제1 서비스 액세스 네트워크(DZN-A)의 제1 액세스 제어 서버(ZKS-A)를 구비하고, 이때 이동 단말(BEG)은 제1 데이터 콘텐츠 암호화 키에 의해 암호화된 브로드캐스트 서비스의 데이터를 제1 서비스 액세스 네트워크(DZN-A)의 제1 액세스 제어 서버(ZKS-A)로부터 수신하고, 상기 시스템은 제2 키 계층을 갖는 제2 서비스 액세스 네트워크(DZN-B)의 제2 액세스 제어 서버(ZKS-B)를 구비하고, 이때 이동 단말(BEG)은 제2 데이터 콘텐츠 암호화 키에 의해 암호화된 브로드캐스트 서비스의 데이터를 제2 서비스 액세스 네트워크(DZN-B)의 제2 액세스 제어 서버(ZKS-B)로부터 수신하고, 상기 이동 단말(BEG)은 제1 서비스 액세스 네트워크(DZN-A)로부터 제2 서비스 액세스 네트워크(DZN-B)로의 전환시 제2 서비스 액세스 네트워크(DZN-B)의 키 계층 중의 - 제1 서비스 액세스 네트워크(DZN-A)의 사용자-특정 키에 의해 암호화된 - 키를 수신한다.
본 발명은 또한, 이동 단말(BEG)에 연속적인 브로드캐스트 서비스를 공급하기 위한 액세스 제어 서버(ZKS)를 제공하는데, 이때 상기 액세스 제어 서버(ZKS)는, 상기 단말이 액세스 제어 서버(ZKS)의 서비스 액세스 네트워크(DZN)로부터 다른 서비스 액세스 네트워크(DZN')로 전환할 때, 제2 서비스 액세스 네트워크(DZN-B)의 - 서비스 액세스 네트워크(DZN) 키의 사용자-특정 키에 의해 암호화된 - 키를 이동 단말(BEG)에 전송한다.
브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 방법과 본 발명의 시스템의 바람직한 실시예 변형들은 본 발명의 핵심적인 특징들을 설명하기 위한 첨부된 도면들을 참조하여 하기에서 기술된다.
도 1은 종래 기술에 따라 브로드캐스트 서비스들의 경우에 데이터 콘텐츠를 보호하기 위한 종래의 액세스 기술의 계층 모델을 나타낸다.
도 2는 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 시스템의 가능한 실시예 변형의 도면이다.
도 3은 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 방법의 제1 실시예 변형을 명료하게 하기 위한 신호도이다.
도 4는 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 방법의 제2 실시예 변형을 명료하게 하기 위한 다른 신호도이다.
도 5는 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 방법의 제3 실시예 변형을 명료하게 하기 위한 다른 신호도이다.
도 6은 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 방법의 제4 실시예 변형을 명료하게 하기 위한 다른 신호도이다.
도 7은 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 방법의 제5 실시예 변형을 나타내기 위한 다른 신호도이다.
도 8은 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 방법의 제6 실시예 변형을 나타내기 위한 다른 신호도이다.
도 2에서 볼 수 있는 바와 같이, 브로드캐스트 서비스의 암호화된 데이터를 연속적으로 전송하기 위한 본 발명의 시스템은 적어도 두 개의 서비스 액세스 네트워크들(DZN)로 구성된다. 상기 서비스 액세스 네트워크들 중 하나는 이동 단말 또는 사용자 단말(BEG)이 에어 인터페이스(air interface)를 통해 서비스 액세스 네트워크(DZN)와 데이터를 교환할 수 있게 하는 다수의 기지국들(BS)을 포함한다. 상기 서비스 액세스 네트워크(DZN)의 기지국들(BS)은 예컨대 상기 서비스 액세스 네트워크의 게이트웨이(GW)에 접속된다. 상기 게이트웨이는 상기 서비스 액세스 네트워크(DZN)를 코어 네트워크(core network; CN)에 링크시킨다. 상기 CN 내에는 액세스 제어 서버(ZKS)가 위치되고, 상기 액세스 제어 서버(ZKS)는 자신이 각각 담당하고 있는 영역에서 멀티캐스트 또는 브로드캐스트 서비스들로의 액세스를 제어한다.
상기 액세스 제어 서버들(ZKS)은 예컨대 멀티캐스트 또는 브로드캐스트 서비스를 위한 멀티미디어 데이터를 공급하는 콘텐츠 제공자 서버(CPS)에 접속된다. 브로드캐스트 서비스들은 예컨대 오디오, 비디오 또는 음성 서비스들(스트리밍 서비스들)의 공급 뿐만 아니라, 예컨대 이미지들과 텍스트가 이동 단말들(BEG)에 방사될 수 있게 하는 서비스들일 수도 있다.
두 개의 서비스 액세스 네트워크들(DZN-A,DZN-B)은 본 발명의 시스템에서 상이한 액세스 기술들을 가질 수 있다. 예컨대, 제1 서비스 액세스 네트워크(DZN-A)는 3GPP, 3GPP2 또는 DVB-H 서비스 액세스 네트워크일 수 있다. 제2 서비스 액세스 네트워크(DZN-B)는 동일한 방식으로 마찬가지로 3GPP, 3GPP2 또는 DVB-H 서비스 액세스 네트워크일 수 있다. 본 발명의 시스템은, 이동 단말(BEG)이 제1 액세스 제어 서버(ZKS-A)의 담당 영역으로부터, 즉 서비스 액세스 네트워크(DZN-A)로부터 제2 액세스 제어 서버(ZKS-B)의 담당 영역으로, 즉 서비스 액세스 네트워크(DZN-B)로, 한결같이 전환하는 것을 가능하게 한다. 제1 서비스 액세스 네트워크(DZN-A)로부터 제2 서비스 액세스 네트워크(DZN-B)로의 전환은, 예컨대 이동 단말(BEG)이 제1 서비스 액세스 네트워크(DZN-A)의 기지국(BS)의 전송 범위 밖으로 이동하여 제2 서비스 액세스 네트워크(DZN-B)의 기지국(BS)의 전송 도메인에 도달할 때, 액세스 제어 서버들(ZKS)에 의해 자동으로 수행될 수 있다. 이를 위해, 예컨대, 교환된 메시지들의 신호 세기들이 모니터링되고, 제1 서비스 액세스 네트워크(DZN-A)에서 신호 진폭들이 일정한 임계치 미만으로 떨어지면 액세스 제어 서버들(ZKS)에 의해 전환이 자동으로 개시된다. 대안적으로, 하나의 서비스 액세스 네트워크(DZN-A)로부터, 동일하거나 대안적인 액세스 기술을 갖는 다른 서비스 액세스 네트워크(DZN-B)로의 전환은, 이동 단말(BEG)의 사용자에 의해 상기 이동 단말(BEG) 상에서 대응하는 스위치오버(switchover)를 설정함으로써 개시될 수 있다.
예컨대, 이동 단말(BEG), 예를 들어 이동 전화의 사용자가 콘텐츠 제공자(CPS)에 의해 제공되는 시네마 필름(cinema film) 또는 텔레비전 필름(television film)을 본인의 디스플레이 상에서 보길 원하는 경우, 본인은 제1 서비스 액세스 네트워크(DZN-A)를 통해 해당 브로드캐스트 서비스에 등록할 수 있다. 먼저, 본인은 인증 절차를 경험하고, 서비스 액세스 네트워크(DZN-A)의 액세스 기술의 키 계층을 유지하면서, 본인이 암호화된 미디어 데이터를 수신하자마자 상기 암호화된 미디어 데이터를 복호화할 수 있도록 해주는, 암호화된 미디어 데이터를 복호화하기 위한 키들을 획득한다. 상기 키들 그 자체는 그 가운데 도청을 방지하기 위해 암호화된 형태로 바람직하게 전송된다. 상기 절차가 완료되자마자, 이동 단말(BEG)은 데이터 스트림을 제1 서비스 액세스 네트워크(DZN-A)를 수신하고 복호화할 수 있을 것이다. 그러면, 사용자가 본인의 이동 단말과 함께 제1 서비스 액세스 네트워크(DZN-A)의 범위 밖으로 나와 다른 액세스 기술을 갖는 다른 서비스 액세스 네트워크(DZN-B)의 전송 도메인으로, 예컨대 본 발명의 시스템에 의해 이동하는 경우, 사용자 단말(BEG)과 제2 액세스 제어 서버가 사용자가 지루해하는 완전하면서 복잡한 서비스 등록을 겪을 필요 없이, 연속적이면서, 사용자가 의식적으로 지각할 수 없는, 제1 서비스 액세스 네트워크(DZN-A)로부터 제2 서비스 액세스 네트워크(DZN-B)로의 전환이 이루어질 것이다. 제1 서비스 액세스 네트워크(DZN-A)로부터 서비스 액세스 네트워크(DZN-B)로의 전환은, 사용자가 예컨대 제2 서비스 액세스 네트워크(DZN-B)를 경유한 데이터 전송이 본인에게 더 경제적인 경우 요금을 절약하기 위하여 본인의 이동 단말(BEG) 상에서 대응하는 스위치오버 동작을 수행할 때, 동일한 방식으로 이루어질 것이다.
먼저, 사용자의 이동 단말(BEG)은 제1 서비스 액세스 네트워크(DZN-A)의 제1 액세스 제어 서버(ZKS-A)로부터 제1 데이터 콘텐츠 암호화 키에 의해 암호화된, 예컨대 사용자가 원하는 필름의 브로드캐스트 서비스의 데이터를 수신한다.
이동 단말(BEG)이 제1 서비스 액세스 네트워크(DZN-A)로부터 제2 서비스 액세스 네트워크(DZN-B)로 전환할 때, 상기 이동 단말(BEG)은 제2 서비스 액세스 네트워크(DZN-B)의 - 제1 서비스 액세스 네트워크의 사용자-특정 키에 의해 암호화된 - 키를 수신한다.
그 즉시, 또는 전환 이후에, 다음으로, 이동 단말(BEG)은 제2 서비스 액세스 네트워크(DZN-B)의 제2 액세스 제어 서버(ZKS-B)로부터 암호화된 형태로 동일한 브로드캐스트 서비스의 데이터를 제2 데이터 콘텐츠 암호화 키와 함께 수신한다.
본 발명의 시스템에서, 두 개의 액세스 제어 서버들(ZKS-A, ZKS-B)은 공통 인터페이스(INT)를 통해 상호 접속되고, 메시지를 서로 교환한다. 상기 메시지들은 예컨대 이동 단말(BEG)에 대한, 사용자 본인에 대한, 제1 및 제2 액세스 제어 서버들(ZKS-A,ZKS-B)의 담당 영역에 대한, 그리고 하나 이상의 브로드캐스트 서비스들에 대한 식별자들과, 뿐만 아니라 암호 키들과 상기 암호 키들의 합법성 기간에 관한 상세사항들과 같은 데이터를 포함한다.
본 발명의 방법에서, 이동 단말(BEG)은 먼저 자신을 제1 서비스 액세스 네트 워크(DZN-A)의 제1 액세스 제어 서버(ZKS-A)에 대하여 인증한다.
그러면, 제1 액세스 제어 서버(ZKS-A)는 제2 액세스 제어 서버(ZKS-B)로부터 직접적으로 키를 수신하거나, 또는 제2 액세스 제어 서버(ZKS-B)가 사전에 키를 송신했던 키 서버로부터 간접적으로 상기 키를 수신한다.
상기 수신된 키는 다른 단계에서 제1 액세스 제어 서버(ZKS-A)에 의해 대칭 비밀 키의 도움으로, 예컨대 이동 단말(BEG)과 제1 서비스 액세스 네트워크(DZN-A)의 제1 액세스 제어 서버(ZKS-A)에만 알려져 있고, 이동 단말(BEG)을 제1 액세스 제어 서버(ZKS-A)에 대하여 인증시키기 위한 절차에 기초해 생성된 사용자-특정 키의 도움으로 암호화된다. 대안적으로, 제1 액세스 제어 서버(ZKS-A)는 상기 수신된 키를 비대칭 공용 키의 도움으로 암호화하는데, 상기 비대칭 공용 키의 이동 단말(BEG)과의 연관성은 이동 단말(BEG)이 인증되고 있는 동안에 제1 액세스 제어 서버(ZKS-A)에 의해 체크된다.
그러면, 제1 액세스 제어 서버(ZKS-A)는 대칭 비밀 키 또는 비대칭 공용 키에 의해 암호화된 키를 이동 단말(BEG)에 전송한다.
이동 단말(BEG)은 대칭 비밀 키의 도움으로 또는 비대칭 공용 키에 속하는 비대칭 비밀 키의 도움으로 암호화된 키를 복호화하여, 그에 따라 브로드캐스트 서비스의 데이터 콘텐츠를 암호화하기 위한 키들을 상기 복호화된 키를 이용하여 복호화한다.
하기의 도 4 내지 도 8은 상이한 키 계층들을 갖는 서비스 액세스 네트워크들(DZN)로부터 이동 단말(BEG)로 브로드캐스트 서비스의 암호화된 데이터를 연속적 으로 전송하기 위한 본 발명의 방법의 여섯 가지 상이한 실시예 변형들을 나타낸다.
도 3 내지 도 8의 여섯 가지 예시적 실시예들은 서비스 액세스 네트워크들(DZN-A,DZN-B)이 3GPP, 3GPP2 또는 DVB-H 서비스 액세스 네트워크인 상이한 경우의 배치를 나타낸다.
도 3에 도시된 경우의 배치에서, 이동 단말(BEG)은 3GPP 서비스 액세스 네트워크로부터 DVB-H 서비스 액세스 네트워크로 전환한다.
3GPP GBA 인증 절차가 성공적으로 완료되자마자, 사용자 단말(BEG)과 액세스 제어 서버(ZKS-A)는 키들, 즉 MBMS 요청 키(MRK)와 MBMS 사용자 키(MUK)로부터 도출되는 키(Ks_NAF)를 소유하게 될 것이다. BEG는 MRK의 도움으로 자신을 ZKS_A에 대하여 인증하고, ZKS_A의 담당 영역 내에서 이루어지는 멀티캐스트 서비스(ID_SVC)에 등록한다. BEG가 ZKS_A에 의해 멀티캐스트 서비스(ID_SVC)에 성공적으로 등록했기 때문에, ZKS_A는 특히 BEG의 MBMS 사용자 키(MUK)에 의해 암호화된 상기 서비스에 속하는 MBMS 서비스 키(MSK)를 BEG에 송신한다. BEG는 MUK를 이용하여 메시지 암호화 [MUK](MSK)를 복호화할 수 있고, 그에 따라 또한 MBMS 트래픽 키들(MTK)을 복호화할 수 있는데, 상기 MBMS 트래픽 키들(MTK)은 MSK에 의해 암호화되어 사용자 단말들에 송신된다. 복호화된 MTK들은 그러면 BEG가 특정한 멀티캐스트 서비스(콘텐츠)를 복호화할 수 있게 하는데, 상기 특정 멀티캐스트 서비스(콘텐츠)는 상기 MTK들에 의해 암호화되었고 ID_SVC에 의해 식별된다. BEG는 핸드오버 요청(handover request; HORequest)을 ZKS_A에 송신함으로써 ZKS_A의 담당 영역으로부터 ZKS_B로 핸드오버를 개시한다. 상기 메시지는 유용하게도 사용자 단말(BEG)의 신원(ID_BEG) 또는 사용자의 ID_USER, ZKS_B의 신원(ID_ZKS_B), ZKS_B의 담당 영역 내의 멀티캐스트 서비스의 신원(ID_SVC'), 그리고 아마도 또한 다른 관련 데이터를 포함한다.
사용자 단말의 유익을 위해, ZKS_A는 ZKS_B에게 액세스 제어 요청(액세스요청)을 송신하는데, 상기 액세스 제어 요청(액세스요청)은 신원들(ID_BEG, ID_USER, ID_SVC', 그리고 ID_ZKS_A)과 함께 유용하게도 아마도 또한 다른 관련 데이터를 포함한다. BEG가 이미 성공적으로 ZKS_A에 대하여 인증되었고 ZKS_A에 등록된 것에 기초하여, ZKS_B는 BEG 측에 대한 어떠한 재-인증 또는 재-등록을 하지 않고도 자신이 멀티캐스트 서비스(ID_SVC')로의 액세스를 BEG에게 부여하길 원하는지 아닌지의 여부를 결정할 수 있을 것이다. ZKS_B가 원해지는 멀티캐스트 서비스(ID_SVC')로의 액세스를 사용자 단말(BEG)에 부여하는 경우, 상기 ZKS_B는 원해지는 멀티캐스트 서비스(ID_SVC')에 속하는 서비스 또는 프로그램 암호화 키(SEK/PEK)와 함께 액세스-부여 메시지(액세스수용)를 ZKS_A에 송신할 것이다. ZKS_B가 원해지는 멀티캐스트 서비스로의 액세스를 사용자 단말(BEG)에 부여했기 때문에, ZKS_A는 핸드오버-부여 메시지(HOAccept=핸드오버수용)를 BEG에 송신한다. 상기 메시지는 유용하게도 액세스 제어 서버(ZKS_B)와 원해지는 서비스의 각각의 신원들(ID_ZKS_B와 ID_SVC')을 포함한다.
ZKS_A는 자신이 ZKS_B로부터 수신했던 키(SEK 또는 PEK)를 BEG에 송신하는데, 상기 키는 게다가 MUK에 의해 특정하게 암호화된 것이다. BEG는 SEK 또는 PEK를 복호화할 수 있는데, 그 이유는 자신이 키(MUK)를 알고 있기 때문이다. SEK 또는 PEK를 알고 있으면서, BEG는 그에 따라 상기 SEK 또는 PEK로 암호화된 트래픽 암호화 키들(TEK들)을 복호화할 수 있을 것이다. 복호화된 TEK들은, 상기 TEK들에 의해 암호화되었고 ID_SVC'에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠)를 BEG가 복호화할 수 있게 해줄 것이다.
도 4는 이동 단말(BEG)이 DVB-H 서비스 액세스 네트워크로부터 3GPP 서비스 액세스 네트워크로 전환하는 제2 경우의 배치를 나타낸다.
BEG는 자신의 공용 키 인증서를 이용하여 자신을 ZKS_A에 대하여 인증하고, ZKS_A의 담당 영역 내에서 이루어지는 멀티캐스트 서비스(ID_SVC)에 등록한다. BEG가 ZKS_A에 의하여 멀티캐스트 서비스(ID_SVC)에 성공적으로 등록했기 때문에, ZKS_A는 상기 서비스에 속하는 서비스 또는 프로그램 암호화 키(SEK/PEK)를 BEG에 송신한다. 상기 SEK/PEK는 권리 객체(RO)에 포함되고, 상기 권리 객체(RO)에서 암호화된 형태로 존재한다. BEG의 공용 키(K_PUB)가 암호화를 위해 사용된다. 자신의 개인 장치 키(K_PRIV)를 이용하여, BEG는 키(SEK 또는 PEK)를 복호화할 수 있고, 그에 따라 또한 SEK 또는 PEK에 의해 암호화되어 사용자 단말들에 송신되는 트래픽 암호화 키들(TEK)을 복호화할 수 있다. 복호화된 TEK들은, 상기 TEK들에 의해 암호화되었고 ID_SVC에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠)를 BEG가 복호화할 수 있게 한다. BEG는 핸드오버 요청(HORequest=핸드오버 요청)을 ZKS_A에 송신함으로써 ZKS_A의 담당 영역으로부터 ZKS_B로 핸드오버를 개시한다. 상기 메시지는 유용하게도, 사용자 단말의 신원(ID_BEG) 또는 사용자의 ID_USER, ZKS_B의 신원(ID_ZKS_B), ZKS_B의 담당 영역 내의 멀티캐스트 서비스의 신원(ID_SVC'), 그리고 아마도 또한 다른 관련 데이터를 포함한다. 사용자 단말의 유익을 위해, ZKS_A는 ZKS_B에게 액세스 제어 요청(액세스요청)을 송신하는데, 상기 액세스 제어 요청(액세스요청)은 신원들(ID_BEG, ID_USER, ID_SVC', 그리고 ID_ZKS_A)과 함께 유용하게도 아마도 또한 다른 관련 데이터를 포함한다. BEG가 ZKS_A에 대하여 이미 성공적으로 인증되었고 상기 ZKS_A에 등록된 것에 기초하여, ZKS_B는 BEG 측에 대한 어떠한 재-인증 또는 재-등록을 하지 않고도 자신이 멀티캐스트 서비스(ID_SVC')로의 액세스를 BEG에게 부여하길 원하는지 아닌지의 여부를 결정할 수 있을 것이다. ZKS_B가 원해지는 멀티캐스트 서비스(ID_SVC')로의 액세스를 사용자 단말(BEG)에 부여하는 경우, 상기 ZKS_B는 원해지는 멀티캐스트 서비스(ID_SVC')에 속하는 서비스 또는 프로그램 암호화 키(SEK/PEK)와 함께 액세스-부여 메시지(액세스수용)를 ZKS_A에 송신할 것이다. ZKS_B가 원해지는 멀티캐스트 서비스로의 액세스를 사용자 단말(BEG)에 부여했기 때문에, ZKS_A는 핸드오버-부여 메시지(HOAccept=핸드오버수용)를 BEG에 송신한다. 상기 메시지는 유용하게도, 액세스 제어 서버(ZKS_B)와 원해지는 서비스의 각각의 신원들(ID_ZKS_B와 ID_SVC')을 포함한다. ZKS_A는 자신이 ZKS_B로부터 수신했던 키(MSK)를 BEG에 송신하는데, 상기 키(MSK)는 게다가 권리 객체(RO)의 일부로서 K_PUB에 의해 특정하게 암호화된 것이다. 자신의 개인 장치 키(K_PRIV)를 이용하여, BEG는 키(MSK)를 복호화할 수 있다. MSK를 알고 있으면서, BEG는 그에 따라 상기 MSK에 의해 암호화된 MBMS 트래픽 키들(MTS들)을 복호화할 수 있을 것이다. 상기 복호화된 MTK들은 상기 MTK들에 의해 암호화되었고 ID_SVC'에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠')를 BEG가 복호화하게 해줄 것이다.
도 5는 이동 단말(BEG)이 3GPP 서비스 액세스 네트워크로부터 3GPP2 서비스 액세스 네트워크로 전환하는 제3 경우의 배치를 나타낸다.
3GPP GBA 인증 절차가 성공적으로 완료되자마자, 사용자 단말(BEG)과 액세스 제어 서버(ZKS_A)는 키들, 즉 MBMS 요청 키(MRK)와 MBMS 사용자 키(MUK)로부터 도출되는 키(Ks_NAF)를 소유하게 될 것이다. BEG는 MRK를 이용하여 자신을 ZKS_A에 인증하고, 상기 ZKS_A의 담당 영역 내에서 이루어지는 멀티캐스트 서비스(ID_SVC)에 등록한다. BEG가 ZKS_A에 의해 멀티캐스트 서비스(ID_SVC)에 성공적으로 동록했기 때문에, ZKS_A는 상기 서비스에 속하는 MBMS 서비스 키(MSK)를 BEG에 송신하는데, 상기 MBMS 서비스 키(MSK)는 BEG의 MBMS 사용자 키(MUK)에 의해 특정하게 암호화된 것이다. BEG는 MUK를 이용하여 메시지 암호화 [MUK](MSK)를 복호화할 수 있고, 그에 따라 또한 MSK에 의해 암호화되어 사용자 단말들에 송신되는 MBMS 트래픽 키들(MTK)을 복호화할 수 있다. 복호화된 MTK들은 상기 MTK들에 의해 암호화되었고 ID_SVC에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠)를 BEG가 복호화하게 해줄 것이다. BEG는 핸드오버 요청(HORequest=핸드오버 요청)을 ZKS_A에 송신함으로써 ZKS_A의 담당 영역으로부터 ZKS_B로 전환을 개시한다. 상기 메시지는 유용하게도, 사용자 단말(BEG)의 신원(ID_BEG) 또는 사용자의 ID_USER, ZKS_B의 신원(ID_ZKS_B), ZKS_B의 담당 영역 내의 멀티캐스트 서비스의 신원(ID_SVC'), 그리고 아마도 또한 다른 관련 데이터를 포함한다. 사용자 단말의 유익을 위해, ZKS_A는 ZKS_B에게 액세스 제어 요청(액세스요청)을 송신하는데, 상기 액세스 제어 요청(액세스요청)은 신원들(ID_BEG, ID_USER, ID_SVC', 그리고 ID_ZKS_A)과 함께 유용하게도 아마도 또한 다른 관련 데이터를 포함한다. BEG가 ZKS_A에 대하여 이미 성공적으로 인증되었고 상기 ZKS_A에 등록된 것에 기초하여, ZKS_B는 BEG 측에서의 어떠한 재-인증 또는 재-등록을 하지 않고도 자신이 멀티캐스트 서비스(ID_SVC')로의 액세스를 BEG에 부여하길 원하는지 아닌지의 여부를 결정할 수 있을 것이다. ZKS_B가 원해지는 멀티캐스트 서비스(ID_SVC')로의 액세스를 사용자 단말(BEG)에 부여하는 경우, 상기 ZKS_B는 원해지는 멀티캐스트 서비스(ID_SVC')에 속하는 브로드캐스트 액세스 키(BAK)와 함께 액세스-부여 메시지(액세스수용)를 ZKS_A에 송신할 것이다. ZKS_B가 원해지는 멀티캐스트 서비스로의 액세스를 사용자 단말(BEG)에 부여했기 때문에, ZKS_A는 핸드오버-부여 메시지(HOAccept=핸드오버 수용)를 BEG에 송신한다. 상기 메시지는 유용하게도, 액세스 제어 서버(ZKS_B)와 원해지는 서비스의 각각의 신원들(ID_ZKS_B와 ID_SVC')을 포함한다. ZKS_A는 자신이 ZKS_B로부터 수신했던 키(BAK)를 BEG에게 송신하는데, 상기 키(BAK)는 게다가 MUK에 의해 특정하게 암호화된 것이다. BEG는 자신이 키(MUK)를 알고 있기 때문에, 상기 BAK를 복호화할 수 있다. BEG는 ID_SVC'에 의해 식별되었고 단기 키들(SK)에 의해 암호화된 멀티캐스트 서비스를 획득한다. 암호화된 멀티캐스트 서비스와 함께, BEG는 또한 비-암호화된 난수들(SK_RAND)을 획득한다. BEG는 BAK와 난수들(SK_RAND)을 이용하여 상기 단기 키들(SK)을 계산할 수 있고, 그에 따라 멀티캐스트 서비스(콘텐츠')를 복호화할 수 있다.
도 6은 이동 단말(BEG)이 3GPP2 서비스 액세스 네트워크로부터 3GPP 서비스 액세스 네트워크로 전환하는 다른 경우의 배치를 나타낸다.
BEG는 자신의 등록 키(RK)로부터 도출된 인증 키(인증-키)의 도움으로 자신을 ZKS_A에 대하여 인증한다. BEG는 ZKS_A의 담당 영역 내에서 이루어지는 멀티캐스트 서비스(ID_SVC)에 등록한다. BEG는 멀티캐스트 서비스(ID_SVC)에 속하는 브로드캐스트 액세스 키(BAK)를 획득하는데, 상기 브로드캐스트 액세스 키(BAK)는 게다가 임시 키(TK)에 의해 특정하게 암호화된 것이다. 그와 함께, BEG는 또한 값(TK_RAND)을 수신하고, 그러면 RK와 TK_RAND로부터 키(TK)를 계산할 수 있을 것이고, 그에 따라 BAK를 복호화할 수 있을 것이다. BEG는 자신이 BAK를 이용하여 단기 키들(SK)의 값들을 결정할 수 있도록 해주는 난수들(SK_RAND)을 수신한다. BEG는 그에 따라 상기 SK들에 의해 암호화되었고 ID_SVC에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠)를 복호화할 수 있을 것이다. BEG는 핸드오버 요청(HORequest=핸드오버 요청)을 ZKS_A에 송신함으로써 ZKS_A의 담당 영역으로부터 ZKS_B로 핸드오버를 개시한다. 상기 메시지는 유용하게도, 사용자 단말(BEG)의 신원(ID_BEG) 또는 사용자의 ID_USER, ZKS_B의 신원(ID_ZKS_B), ZKS_B의 담당 영역 내의 멀티캐스트 서비스의 신원(ID_SVC'), 그리고 아마도 또한 다른 관련 데이터를 포함한다. 사용자 단말의 유익을 위해, ZKS_A는 액세스 제어 요청(액세스요청)을 ZKS_B에 송신하는데, 상기 액세스 제어 요청(액세스요청)은 신원들(ID_BEG, ID_USER, ID_SVC', 그리고 ID_ZKS_A)과 함께 유용하게도 아마도 또한 다른 관련 데이터를 포함한다. BEG가 ZKS_A에 대하여 이미 성공적으로 인증되었고 상기 ZKS_A에 등록된 것에 기초하여, ZKS_B는 BEG 측에서의 어떠한 재-인증 또는 재-등록을 하지 않고도 자신이 멀티캐스트 서비스(ID_SVC')로의 액세스를 BEG에 부여하길 원하는지 아닌지의 여부를 결정할 수 있을 것이다. ZKS_B가 원해지는 멀티캐스트 서비스(ID_SVC')로의 액세스를 사용자 단말에 부여하는 경우, 상기 ZKS_B는 원해지는 멀티캐스트 서비스(ID_SVC')에 속하는 MBMS 서비스 키(MSK)와 함께 액세스-부여 메시지(액세스수용)를 ZKS_A에 송신할 것이다. ZKS_B가 원해지는 멀티캐스트 서비스로의 액세스를 사용자 단말(BEG)에게 부여했기 때문에, ZKS_A는 핸드오버-부여 메시지(HOAccept=핸드오버 수용)를 BEG에 송신한다. 상기 메시지는 유용하게도, 액세스 제어 서버(ZKS_B)와 원해지는 서비스의 각각의 신원들(ID_ZKS_B와 ID_SVC')을 포함한다. ZKS_A는 자신이 ZKS_B로부터 수신했던 키(MSK)를 BEG에 송신하는데, 상기 키(MSK)는 게다가 임시 키(TK)에 의해 특정하게 암호화된 것이다. BEG는 자신이 키(TK)를 알고 있기 때문에 키(MSK)를 복호화할 수 있다. MSK를 알고 있으면서, BEG는 그에 따라 MSK에 의해 암호화된 MBMS 트래픽 키들(MTK들)을 복호화할 수 있을 것이다. 그러면, 복호화된 MTK들은, 상기 MTK들에 의해 암호화되었고 ID_SVC'에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠')를 BEG가 복호화하게 해줄 것이다.
도 7은 이동 단말(BEG)이 3GPP2 서비스 액세스 네트워크로부터 DVB-H 서비스 액세스 네트워크로 전환하는 다른 경우의 배치를 나타낸다.
BEG는 자신의 등록 키(RK)로부터 도출되는 인증 키(인증-키)의 도움으로 자신을 ZKS_A에 대하여 인증한다. BEG는 ZKS_A의 담당 영역 내에서 이루어지는 멀티캐스트 서비스(ID_SVC)에 등록한다. BEG는 멀티캐스트 서비스(ID_SVC)에 속하는 브로드캐스트 액세스 키(BAK)를 획득하는데, 상기 브로드캐스트 액세스 키(BAK)는 게다가 임시 키(TK)에 의해 특정하게 암호화된 것이다. 그와 함께, BEG는 또한 값(TK_RAND)을 수신하고, 그러면 RK와 TK_RAND로부터 키(TK)를 계산할 수 있을 것이고, 그에 따라 BAK를 복호화할 수 있을 것이다. BEG는 자신이 BAK를 이용하여 단기 키들(SK)의 값들을 결정할 수 있게 해주는 난수들(SK_RAND)을 수신한다. 그에 따라, BEG는 상기 SK들에 의해 암호화되었고 ID_SVC에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠)를 복호화할 수 있을 것이다. BEG는 핸드오버 요청(HORequest=핸드오버 요청)을 ZKS_A에 송신함으로써 ZKS_A의 담당 영역으로부터 ZKS_B로 핸드오버를 개시한다. 상기 메시지는 유용하게도, 사용자 단말(BEG)의 신원(ID_BEG) 또는 사용자의 ID_USER, ZKS_B의 신원(ID_ZKS_B), ZKS_B의 담당 영역의 멀티캐스트 서비스의 신원(ID_SVC'), 그리고 아마도 또한 다른 관련 데이터를 포함한다. 사용자 단말의 유익을 위해, ZKS_A는 액세스 제어 요청(액세스요청)을 ZKS_B에 송신하는데, 상기 액세스 제어 요청(액세스요청)은 신원들(ID_BEG, ID_USER, ID_SVC', 그리고 ID_ZKS_A)과 함께 유용하게도 아마도 또한 다른 관련 데이터를 포함한다. BEG가 ZKS_A에 대하여 이미 성공적으로 인증되었고 상기 ZKS_A에 등록된 것에 기초하여, ZKS_B는 BEG 측에서의 어떠한 재-인증 또는 재-등록을 하지 않고도 자신이 멀티캐스트 서비스(ID_SVC')로의 액셋를 BEG에 부여하길 원하는지 아닌지의 여부를 결정할 수 있을 것이다. ZKS_B가 원해지는 멀티캐스트 서비스(ID_SVC)로의 액세스를 사용자 단말에게 부여하는 경우, 상기 ZKS_B는 원해지는 멀티캐스트 서비스(ID_SVC')에 속하는 서비스 또는 프로그램 암호화 키(SEK/PEK)와 함께 액세스-부여 메시지(액세스수용)를 ZKS_A에 송신할 것이다. ZKS_B가 원해지는 멀티캐스트 서비스로의 액세스를 사용자 단말(BEG)에 부여했기 때문에, ZKS_A는 핸드오버-부여 메시지(HOAccept=핸드오버 수용)를 BEG에 송신한다. 상기 메시지는 유용하게도, 액세스 제어 서버(ZKS_B)와 원해지는 서비스의 각각의 신원들(ID_ZKD_B과 ID_SVC')을 포함한다. ZKS_A는 자신이 ZKS_B로부터 수신했던 키(SEK 또는 PEK)를 BEG에게 송신하는데, 상기 키(SEK 또는 PEK)는 게다가 임시 키(TK)에 의해 특정하게 암호화된 것이다. BEG는 자신이 키(TK)를 알고 있기 때문에, 키(SEK 또는 PEK)를 복호화할 수 있다. SEK 또는 PEK를 알고 있으면서, BEG는 그러면 상기 SEK 또는 PEK에 의해 암호화된 트래픽 암호화 키들(TEK들)을 복호화할 수 있을 것이다. 복호화된 TEK들은, 상기 TEK들에 의해 암호화되었고 ID_SVC'에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠')를 BEG가 복호화하게 해줄 것이다.
도 8은 이동 단말이 DVB-H 서비스 액세스 네트워크로부터 3GPP2 서비스 액세스 네트워크로 전환하는 다른 경우의 배치를 나타낸다.
BEG는 자신의 공용 키 인증서의 도움으로 자신을 ZKS_A에 대하여 인증하고, 상기 ZKS_A의 담당 영역 내에서 이루어지는 멀티캐스트 서비스(ID_SVC)에 등록한다. BEG가 ZKS_A에 의하여 멀티캐스트 서비스(ID_SVC)에 이미 성공적으로 등록했기 때문에, ZKS_A는 상기 서비스에 속하는 서비스 또는 프로그램 암호화 키(SEK/PEK)를 BEG에 송신한다. SEK/PEK는 권리 객체(RO) 내에 포함되고, 상기 권리 객체(RO)에서 암호화된 형태로 존재한다. BEG의 공용 키(K_PUB)가 암호화를 위해 사용된다. 자신의 개인 장치 키(K_PRIV)를 이용하여, BEG는 키(SEK 또는 PEK)를 복호화할 수 있고, 그에 따라 또한 상기 SEK 또는 PEK에 의해 암호화되어 사용자 단말들에 송신되는 트래픽 암호화 키들(TEK)을 복호화할 수 있다. 복호화된 TEK들은, 상기 TEK들에 의해 암호화되었고 ID_SVC에 의해 식별되는 특정 멀티캐스트 서비스(콘텐츠)를 BEG가 복호화하게 해줄 것이다. BEG는 핸드오버 요청(HORequest=핸드오버 요청)을 ZKS_A에 송신함으로써 ZKS_A의 담당 영역으로부터 ZKS_B로 핸드오버를 개시한다. 상기 메시지는 유용하게도, 사용자 단말의 신원(ID_BEG) 또는 사용자의 ID_USER, ZKS_B의 신원(ID_ZKS_B), ZKS_B의 담당 영역 내의 멀티캐스트 서비스의 신원(ID_SVC'), 그리고 아마도 또한 다른 관련 데이터를 포함한다. 사용자 단말의 유익을 위해, ZKS_A는 액세스 제어 요청(액세스요청)을 ZKS_B에 송신하는데, 상기 액세스 제어 요청(액세스요청)은 신원들(ID_BEG, ID_USER, ID_SVC', 그리고 ID_ZKS_A)과 함께 유용하게도 아마도 또한 다른 관련 데이터를 포함한다. BEG가 ZKS_A에 대하여 이미 성공적으로 인증되었고 상기 ZKS_A에 등록된 것에 기초하여, ZKS_B는 BEG 측에서의 어떠한 재-인증 또는 재-등록을 하지 않고도 자신이 멀티캐스트 서비스(ID_SVC')로의 액세스를 BEG에게 부여하길 원하는지 아닌지의 여부를 결정할 수 있을 것이다. ZKS_B가 원해지는 멀티캐스트 서비스(ID_SVC')로의 액세스를 사용자 단말에게 부여하는 경우, 상기 ZKS_B는 원해지는 멀티캐스트 서비스(ID_SVC')에 속하는 브로드캐스트 액세스 키(BAK)와 함께 액세스-부여 메시지(액세스수용)를 ZKS_A에 송신할 것이다. ZKS_B가 원해지는 멀티캐스트 서비스로의 액세스를 사용자 단말(BEG)에게 부여했기 때문에, ZKS_A는 핸드오버-부여 메시지(HOAccept=핸드오버 수용)를 BEG에 송신한다. 상기 메시지는 유용하게도, 액세스 제어 서버(ZKS_B)와 원해지는 서비스의 각각의 신원들(ID_ZKS_B와 ID_SVC')을 포함한다. ZKS_A는 자신이 ZKS_B로부터 수신했던 키(BAK)를 BEG에 송신하는데, 상기 키(BAK)는 게다가 K_PUB, 즉 BEG의 공용 장치 키에 의해 특정하게 암호화된 것이다. BEG는 BAK를 복호화할 수 있는데, 그 이유는 자신이 K_PUB에 속하는 개인 장치 키(K_PRIV)를 알고 있기 때문이다. BEG는 ID_SVC'에 의해 식별되었고 단기 키들(SK)에 의해 암호화된 멀티캐스트 서비스를 획득한다. 암호화된 멀티캐스트 서비스 외에도, BEG는 또한 비-암호화된 난수들(SK_RAND)을 획득한다. BEG는 BAK와 난수들(SK_RAND)을 이용하여 단기 키들(SK)을 계산할 수 있고, 그에 따라 멀티캐스트 서비스(콘텐츠')를 복호화할 수 있다.
도 3 내지 도 8에 도시된 예시적 실시예들에서, 사용자 단말(BEG)은 제1 서비스 액세스 네트워크(DZN-A)로부터 제2 서비스 액세스 네트워크(DZN-B)로 핸드오버 또는 전환을 개시한다. 대안적인 실시예 변형들에서, 상기 전환은 액세스 제어 서버(ZKS-A 또는 ZKS-B)에 의해 개시된다.
도시된 예시적 실시예들에서, 사용자 단말(BEG)은 먼저 제1 액세스 제어 서버(ZKS-A)의 담당 영역 내에서 이루어지는 브로드캐스트 서비스를 수신한다. 그러나, 이는 절대적으로 필요한 것은 아니다. 사용자 단말(BE)이 자신을 제1 액세스 제어 서버(ZKS-A)에 대하여 인증하고 상기 제1 액세스 제어 서버(ZKS-A)에 등록하는 것만이 필요하다.
사용자 단말(BEG)이 제2 액세스 제어 서버(ZKS-B)의 담당 영역으로의 핸드오버를 수행하길 원하게 만드는 브로드캣트 또는 멀티캐스트 서비스, 즉 ID_SVC'에 의해 식별되는 브로드캐스트 서비스의 데이터 콘텐츠는, 브로드캐스트 서비스(ID_SVC)에 속하는 데이터 콘텐츠와 동일할 수도 있고, 또는 다른 브로드캐스트 서비스에 속할 수도 있다. 본 발명의 방법은 그에 따라 이중적인 방식으로(in a two-fold manner) 채용될 수 있다: 한편으로, 브로드캐스트-액세스 기술의 전환은 애플리케이션 레벨에서의 전환과 연관되지 않는다; 다른 한편으로, 브로드캐스트 액세스 기술의 전환은 애플리케이션 레벨에서의 전환과 연관된다.
도 3 내지 도 8에 도시된 예시적 실시예들에서, 제2 액세스 제어 서버(ZKS-B)에 의해 제1 액세스 제어 서버(ZKS-A)로 송신되는 액세스 확인 메시지(액세스수용)는 키들(MSK, SEK/PEK, BAK)을 획득하고, 상기 키들(MSK, SEK/PEK, BAK)에 관한 지식은 브로드캐스트 서비스의 복호화를 가능하게 할 것이다. 그러므로, 상기 메시지들은 적절한 조치들에 의해, 예컨대 허가받지 않은 도청을 방지하기 위해 암호화됨으로써 바람직하게 보호된다. 대안적으로, 또한, 액세스 확인 메시지(액세스수용) 내에 키(MSK, SEK/PEK, 또는 BAK)를 생략하고, 대신에 상기 키에 대한 식별자를 송신하여, 상기 키가 저장되어 있는 데이터베이스로부터 제1 액세스 제어 서버(ZKS-A)가 연관된 키를 문의할 수 있게 하는 것도 가능하다.
제1 서비스 액세스 네트워크(DZN-A)가 3GPP 서비스 액세스 네트워크일 경우, 제2 액세스 기술의 서비스-특정 키, 즉 DVB-H 18Crypt의 경우에 SEK/PEK와 3GPP2 BCMSCS의 경우에 BAK는 MUK, 즉 사용자-특정 MBMS 사용자 키에 의해 직접 암호화되어 사용자 단말(BEG)에 송신될 것이다. 사용자-특정 키(MUK)의 애플리케이션 영역 이 그러한 방식으로 연장되도록 의도되지 않을 경우, 한 실시예 변형에서, 키(MUK)는 SEK/PEK 또는 BRK를 암호화하기 위해 사용자-특정 키(MUK) 대신에 제공될 새로운 키(K)를 계산하기 위한 입력으로서만 사용될 것이다. 여기서, 키(K)의 계산은 또한 한 실시예 변형에서 예컨대 제2 액세스 제어 서버(ZKS-B)의 신원, 상기 제2 액세스 제어 서버(ZKS-B)의 IP 주소, 그리고 난수와 같은 추가의 데이터에 따라 좌우된다. 상기 키를 계산하기 위한 다른 가능성은 키-종속적 HASH 기능들에 의해 제시된다.
액세스 제어 서버들(ZKS-A, ZKS-B)은 본 발명의 시스템에서 다수의 기능들, 예컨대 인증하기, 등록하기, 키 분배하기, 데이터 암호화하기, 그리고 액세스 제어 기능들을 전달하기 위한 메시지들을 송수신하기를 맡는다. 상기 기능들은 본 발명의 시스템의 대안적인 실시예 변형에서 단일 서버에 의해 맡아지지 않으며, 대신에 상이한 서버들 간에 분배될 수 있다.
브로드캐스트 서비스들로의 액세스를 제어하는 액세스 제어 서버들(ZKS-A, ZKS-B) 사이의 상호작용은, 이동 단말(BEG)의 사용자가 각각의 경우에 각각의 액세스 제어 서버(ZKS)에 대하여 본인을 재-인증하고 브로드캐스트 서비스를 수신하길 원하는 상기 서버의 담당 영역 내에서 그곳에서 재-등록할 필요 없이, 한 브로드캐스트 액세스 기술로부터 다른 브로드캐스트 액세스 기술로 더 신속하고 사용자-친화적인 전환을 공급한다.

Claims (22)

  1. 상이한 키 계층들을 갖는 서비스 액세스 네트워크들(service access networks)로부터 이동 단말로 브로드캐스트 서비스(broadcast service)의 암호화된 데이터를 연속적으로 전송하기 위한 방법으로서,
    상기 이동 단말은, 제1 서비스 액세스 네트워크로부터 제2 서비스 액세스 네트워크로 전환시 ― 상기 이동 단말은 상기 제1 서비스 액세스 네트워크로부터 제1 데이터 콘텐츠(data content) 암호화 키에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 수신하고, 상기 제2 서비스 액세스 네트워크로부터 제2 데이터 콘텐츠 암호화 키에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 수신함 ―, 상기 제2 서비스 액세스 네트워크의 키 계층의 키를 상기 제1 서비스 액세스 네트워크로부터 수신하고 ― 상기 키는 상기 제1 서비스 액세스 네트워크의 사용자-특정 키에 의해 암호화됨 ―,
    상기 키는 상기 제2 데이터 콘텐츠 암호화 키를 유도하기 위해 사용되는,
    전송 방법.
  2. 제 1 항에 있어서,
    상기 사용자-특정 키는 상기 이동 단말이 상기 제1 서비스 액세스 네트워크의 액세스 제어 서버(access control server)에 대하여 인증된 직후에 생성되는,
    전송 방법.
  3. 제 1 항에 있어서,
    상기 이동 단말과 상기 제1 서비스 액세스 네트워크의 액세스 제어 서버는 모두 상기 사용자-특정 키를 갖는,
    전송 방법.
  4. 제 1 항에 있어서,
    상기 이동 단말은 상기 제1 서비스 액세스 네트워크의 제1 액세스 제어 서버로부터 상기 제1 데이터 콘텐츠 암호화 키에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 수신하는,
    전송 방법.
  5. 제 1 항에 있어서,
    상기 이동 단말은 상기 제2 서비스 액세스 네트워크의 제2 액세스 제어 서버로부터 상기 제2 데이터 콘텐츠 암호화 키에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 수신하는,
    전송 방법.
  6. 제 1 항에 있어서,
    상기 사용자-특정 키에 의해 암호화된 상기 키는 상기 제1 서비스 액세스 네트워크의 액세스 제어 서버로부터 상기 이동 단말로 전송되고, 상기 이동 단말에 알려진 사용자-특정 키에 의해 상기 이동 단말에 의하여 복호화되는,
    전송 방법.
  7. 제 6 항에 있어서,
    상기 이동 단말은 복호화된 상기 키에 의해 상기 제2 데이터 콘텐츠 암호화 키를 복호화하거나 또는 도출함으로써, 제2 액세스 제어 서버로부터 수신되고 상기 제2 데이터 콘텐츠 암호화 키에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 복호화하도록 하는,
    전송 방법.
  8. 제 1 항에 있어서,
    상기 이동 단말은 요청 메시지를 통해 상기 제1 서비스 액세스 네트워크로부터 상기 제2 서비스 액세스 네트워크로의 전환을 상기 제1 서비스 액세스 네트워크의 제1 액세스 제어 서버에게 요청하는,
    전송 방법.
  9. 제 8 항에 있어서,
    상기 요청 메시지는 사용자 신원, 상기 제2 서비스 액세스 네트워크의 액세스 제어 서버의 신원, 그리고 상기 브로드캐스트 서비스의 신원을 갖는,
    전송 방법.
  10. 제 9 항에 있어서,
    상기 제1 서비스 액세스 네트워크의 액세스 제어 서버는 액세스 요청 메시지를 상기 제2 서비스 액세스 네트워크의 액세스 제어 서버에 전송하고, 상기 액세스 요청 메시지는 상기 사용자 신원, 상기 브로드캐스트 서비스의 신원, 그리고 상기 제1 서비스 액세스 네트워크의 액세스 제어 서버의 신원을 포함하는,
    전송 방법.
  11. 제 10 항에 있어서,
    상기 제2 서비스 액세스 네트워크의 액세스 제어 서버는 액세스 확인 메시지를 상기 제1 서비스 액세스 네트워크의 액세스 제어 서버에 역으로 송신하고, 상기 액세스 확인 메시지는 상기 사용자 신원, 상기 브로드캐스트 서비스의 신원, 그리고 상기 제2 서비스 액세스 네트워크의 키 계층 중의 키를 포함하는,
    전송 방법.
  12. 제 11 항에 있어서,
    상기 제1 서비스 액세스 네트워크의 액세스 제어 서버는 전환 확인 메시지를 상기 이동 단말에 전송하고, 상기 전환 확인 메시지는 제2 액세스 제어 서버의 신원과 상기 브로드캐스트 서비스의 신원을 포함하는,
    전송 방법.
  13. 제 12 항에 있어서,
    상기 제1 서비스 액세스 네트워크의 액세스 제어 서버는 메시지를 통해 제2 키 계층 중에서 사용자-특정 키에 의해 암호화된 키를 이동 단말에 전송하는,
    전송 방법.
  14. 제 1 항에 있어서,
    상기 제1 서비스 액세스 네트워크는 3GPP, 3GPP2 또는 DVB-H 서비스 액세스 네트워크에 의해 형성되는,
    전송 방법.
  15. 제 1 항에 있어서,
    상기 제2 서비스 액세스 네트워크는 3GPP, 3GPP2 또는 DVB-H 서비스 액세스 네트워크에 의해 형성되는,
    전송 방법.
  16. 제 1 항에 있어서,
    상기 제1 서비스 액세스 네트워크로부터 상기 제2 서비스 액세스 네트워크로의 전환은, 상기 이동 단말이 상기 제1 서비스 액세스 네트워크의 전송 범위 밖으로 이동할 때, 상기 제1 서비스 액세스 네트워크의 액세스 제어 서버에 의해 자동으로 수행되는,
    전송 방법.
  17. 제 1 항에 있어서,
    상기 이동 단말은 이동 전화, 노트북 또는 PDA 장치에 의해 형성되는,
    전송 방법.
  18. 제 1 항에 있어서,
    상기 이동 단말에 의해 수신되는 데이터는 멀티미디어 데이터에 의해 형성되는,
    전송 방법.
  19. 상이한 키 계층들을 갖는 서비스 액세스 네트워크들로부터 브로드캐스트 서비스의 암호화된 데이터를 이동 단말에 연속적으로 전송하기 위한 시스템으로서,
    (a) 제1 키 계층을 갖는 제1 서비스 액세스 네트워크의 제1 액세스 제어 서버 ― 상기 이동 단말은 상기 제1 서비스 액세스 네트워크의 제1 액세스 제어 서버로부터 제1 데이터 콘텐츠 암호화 키에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 수신함 ―; 및
    (b) 제2 키 계층을 갖는 제2 서비스 액세스 네트워크의 제2 액세스 제어 서버 ― 상기 이동 단말은 상기 제2 서비스 액세스 네트워크의 제2 액세스 제어 서버로부터 제2 데이터 콘텐츠 암호화 키에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 수신함 ― 를 포함하고,
    (c) 상기 이동 단말은, 상기 제1 서비스 액세스 네트워크로부터 상기 제2 서비스 액세스 네트워크로 전환시, 상기 제2 서비스 액세스 네트워크의 키 계층의 키를 상기 제1 서비스 액세스 네트워크로부터 수신하고 ― 상기 키는 상기 제1 서비스 액세스 네트워크의 사용자-특정 키에 의해 암호화됨 ―, 상기 키는 상기 제2 데이터 콘텐츠 암호화 키를 유도하기 위해 사용되는,
    전송 시스템.
  20. 제 19 항에 있어서,
    상기 사용자-특정 키에 의해 암호화된 상기 키는 상기 제1 서비스 액세스 네트워크의 제1 액세스 제어 서버로부터 상기 이동 단말에 전송되고, 상기 이동 단말에 알려진 상기 사용자-특정 키를 사용하여 상기 이동 단말에 의하여 복호화되는,
    전송 시스템.
  21. 제 20 항에 있어서,
    상기 이동 단말은 복호화된 상기 키에 의해 상기 제2 데이터 콘텐츠 암호화 키를 복호화하거나 또는 도출함으로써, 상기 제2 액세스 제어 서버로부터 수신되고 상기 제2 데이터 콘텐츠 암호화 키에 의해 암호화된 상기 브로드캐스트 서비스의 데이터를 복호화하도록 하는,
    전송 시스템.
  22. 이동 단말에 연속적인 브로드캐스트 서비스를 공급하는 액세스 제어 서버로서,
    상기 액세스 제어 서버는, 상기 이동 단말이, 상기 액세스 제어 서버가 존재하는 제1 서비스 액세스 네트워크로부터 제2 서비스 액세스 네트워크로 전환할 때, 상기 제2 서비스 액세스 네트워크의 키 ― 상기 키는 상기 제1 서비스 액세스 네트워크의 사용자-특정 키에 의해 암호화됨 ― 를 상기 이동 단말에 전송하고,
    상기 제2 서비스 액세스 네트워크의 브로드캐스트 서비스 데이터는 데이터 콘텐츠 암호화 키에 의해 암호화되고, 상기 키는 상기 제2 서비스 액세스 네트워크의 상기 데이터 콘텐츠 암호화 키를 유도하기 위해 사용되는,
    액세스 제어 서버.
KR1020097007440A 2006-09-11 2007-09-07 브로드캐스트 서비스의 암호화된 데이터를 이동 단말에 연속적으로 전송하기 위한 방법과 시스템 KR101527714B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102006042554.5 2006-09-11
DE102006042554A DE102006042554B4 (de) 2006-09-11 2006-09-11 Verfahren und System zum kontinuierlichen Übertragen von verschlüsselten Daten eines Broadcast-Dienstes an ein mobiles Endgerät
PCT/EP2007/059365 WO2008031762A1 (de) 2006-09-11 2007-09-07 Verfahren und system zum kontinuierlichen übertragen von verschlüsselten daten eines broadcast-dienstes an ein mobiles endgerät

Publications (2)

Publication Number Publication Date
KR20090067170A KR20090067170A (ko) 2009-06-24
KR101527714B1 true KR101527714B1 (ko) 2015-06-10

Family

ID=38969581

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097007440A KR101527714B1 (ko) 2006-09-11 2007-09-07 브로드캐스트 서비스의 암호화된 데이터를 이동 단말에 연속적으로 전송하기 위한 방법과 시스템

Country Status (7)

Country Link
US (1) US8457318B2 (ko)
EP (1) EP2062421B1 (ko)
JP (1) JP4898919B2 (ko)
KR (1) KR101527714B1 (ko)
CN (1) CN101513011B (ko)
DE (1) DE102006042554B4 (ko)
WO (1) WO2008031762A1 (ko)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100922899B1 (ko) * 2007-12-06 2009-10-20 한국전자통신연구원 이동단말의 핸드오버시 액세스망 접속인증 제어방법 및 그네트워크 시스템
ES2402833T3 (es) * 2008-02-26 2013-05-09 Telefonaktiebolaget L M Ericsson (Publ) Método y aparato para un servicio de difusión general/multidifusión fiable
KR101465263B1 (ko) * 2008-06-11 2014-11-26 삼성전자주식회사 휴대 방송 시스템에서 암호화 키 분배 방법 및 이를 위한시스템
KR20100047651A (ko) * 2008-10-29 2010-05-10 삼성전자주식회사 유료 채널 제공을 위한 암호키 획득 방법 및 장치
US8509448B2 (en) * 2009-07-29 2013-08-13 Motorola Solutions, Inc. Methods and device for secure transfer of symmetric encryption keys
EP2491680B1 (en) * 2009-12-17 2018-03-14 Intel Corporation Method and system for facilitating one-to-many data transmission to a plurality of computing devices
CN102111759A (zh) * 2009-12-28 2011-06-29 中国移动通信集团公司 一种认证方法、系统和装置
CN102195775B (zh) * 2010-03-15 2016-03-02 中兴通讯股份有限公司 一种云计算密钥的加密和解密方法及装置
CN101860406B (zh) * 2010-04-09 2014-05-21 北京创毅视讯科技有限公司 一种中央处理器、移动多媒体广播的装置、系统及方法
CN102299797A (zh) * 2010-06-23 2011-12-28 财团法人工业技术研究院 认证方法、密钥分配方法及认证与密钥分配方法
CN102404629B (zh) * 2010-09-17 2014-08-06 中国移动通信有限公司 电视节目数据的处理方法及装置
DE102011002703A1 (de) * 2011-01-14 2012-07-19 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Bereitstellen eines kryptographischen Schlüssels für ein Feldgerät
KR20130024996A (ko) 2011-08-24 2013-03-11 한국전자통신연구원 멀티캐스트 환경에서 싱글 버퍼 해시를 이용한 소스 인증 방법 및 장치
JP5692399B2 (ja) * 2011-09-21 2015-04-01 富士通株式会社 無線通信システム、無線基地局、無線端末及び通信制御方法
US9078130B2 (en) * 2012-04-10 2015-07-07 Qualcomm Incorporated Secure reception reporting
IN2014DN09106A (ko) * 2012-05-03 2015-05-22 Ericsson Telefon Ab L M
EP2896155B1 (en) * 2012-09-17 2018-04-11 Nokia Technologies Oy Security for mobility between mbms servers
WO2014050143A1 (en) * 2012-09-28 2014-04-03 Nec Corporation Communication system, control apparatus, control method, and program
WO2014113193A1 (en) * 2013-01-17 2014-07-24 Intel IP Corporation Dash-aware network application function (d-naf)
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US9350550B2 (en) 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
US10313455B2 (en) * 2015-08-31 2019-06-04 Ayla Networks, Inc. Data streaming service for an internet-of-things platform
US10291603B2 (en) * 2016-04-07 2019-05-14 Verizon Patent And Licensing Inc. Registering a smart device with a registration device using a multicast protocol
EP3402152B1 (de) * 2017-05-08 2019-10-16 Siemens Aktiengesellschaft Anlagenspezifisches, automatisiertes zertifikatsmanagement
CN110138552B (zh) * 2019-05-08 2021-07-20 北京邮电大学 多用户量子密钥供应方法及装置
EP3772795A1 (de) * 2019-08-05 2021-02-10 Siemens Aktiengesellschaft Registrieren eines geräts bei einer recheneinrichtung
WO2021138801A1 (zh) * 2020-01-07 2021-07-15 Oppo广东移动通信有限公司 一种业务安全传输方法及装置、终端设备、网络设备
US11652646B2 (en) * 2020-12-11 2023-05-16 Huawei Technologies Co., Ltd. System and a method for securing and distributing keys in a 3GPP system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115460A1 (en) * 2001-12-19 2003-06-19 Shunji Arai Communication system, server device, client device and method for controlling the same
WO2005027560A1 (en) * 2003-09-12 2005-03-24 Ntt Docomo, Inc. Secure intra- and inter-domain handover
US20060128362A1 (en) * 2004-12-14 2006-06-15 Samsung Electronics Co., Ltd. UMTS-WLAN interworking system and authentication method therefor
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6370380B1 (en) 1999-02-17 2002-04-09 Telefonaktiebolaget Lm Ericsson (Publ) Method for secure handover
US20020174335A1 (en) * 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
EP2824868A1 (fr) 2001-08-24 2015-01-14 Thomson Licensing Réseau numérique local, procédés d'installation de nouveux dispositifs et procédés de diffusion et de réception de données dans un tel réseau
US7721106B2 (en) * 2002-04-26 2010-05-18 Thomson Licensing Transitive authentication authorization accounting in the interworking between access networks
WO2004027637A1 (en) * 2002-09-17 2004-04-01 Broadcom Corporation System for transfer of authentication during access device handover
JP2006519539A (ja) * 2003-02-27 2006-08-24 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 無線サブネットワーク間のモバイル装置の改良型ハンドオフのための方法およびシステム
US8098818B2 (en) * 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US7308100B2 (en) * 2003-08-18 2007-12-11 Qualcomm Incorporated Method and apparatus for time-based charging for broadcast-multicast services (BCMCS) in a wireless communication system
JP4446067B2 (ja) * 2004-08-12 2010-04-07 独立行政法人産業技術総合研究所 光触媒性能とヒートミラー性能を併せ持つ透明基材及びその製造方法
GB2423221A (en) * 2005-02-14 2006-08-16 Ericsson Telefon Ab L M Key delivery method involving double acknowledgement

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115460A1 (en) * 2001-12-19 2003-06-19 Shunji Arai Communication system, server device, client device and method for controlling the same
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
WO2005027560A1 (en) * 2003-09-12 2005-03-24 Ntt Docomo, Inc. Secure intra- and inter-domain handover
US20060128362A1 (en) * 2004-12-14 2006-06-15 Samsung Electronics Co., Ltd. UMTS-WLAN interworking system and authentication method therefor

Also Published As

Publication number Publication date
US8457318B2 (en) 2013-06-04
JP2010503354A (ja) 2010-01-28
US20090282246A1 (en) 2009-11-12
CN101513011B (zh) 2013-04-03
JP4898919B2 (ja) 2012-03-21
DE102006042554B4 (de) 2009-04-16
WO2008031762A1 (de) 2008-03-20
EP2062421B1 (de) 2016-11-30
EP2062421A1 (de) 2009-05-27
CN101513011A (zh) 2009-08-19
KR20090067170A (ko) 2009-06-24
DE102006042554A1 (de) 2008-03-20

Similar Documents

Publication Publication Date Title
KR101527714B1 (ko) 브로드캐스트 서비스의 암호화된 데이터를 이동 단말에 연속적으로 전송하기 위한 방법과 시스템
US7185362B2 (en) Method and apparatus for security in a data processing system
CA2442656C (en) Method and apparatus for security in a data processing system
US9520996B2 (en) Ciphering data for transmission in a network
US7352868B2 (en) Method and apparatus for security in a data processing system
JP4741664B2 (ja) 認証及びプライバシーに対する方法及び装置
US20060291660A1 (en) SIM UICC based broadcast protection
WO2008040201A1 (fr) Procédé d'obtention d'une clé à long terme (ltk) et serveur de gestion d'abonnement associé
CN100484266C (zh) 移动终端使用广播/组播业务内容的方法
WO2006136280A1 (en) Sim/uicc based broadcast protection
KR20080036731A (ko) 이동통신망의 애플리케이션 실행을 위한 부트스트랩 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee