TWI280768B

TWI280768B - Method and apparatus for security in a data processing system

Info

Publication number: TWI280768B
Application number: TW092123744A
Authority: TW
Inventors: Philip Michael Hawkes; Raymond T Hsu; Ramin Rezaiifar; Gregory G Rose; Paul E Bender
Original assignee: Qualcomm Inc
Priority date: 2002-08-28
Filing date: 2003-08-28
Publication date: 2007-05-01
Also published as: JP5307220B2; JP2005537713A; US7185362B2; EP1532506A1; CN101110678A; CN1692319A; US20070116282A1; CN100380270C; BR0313783A; WO2004021153A1; EP2317414A1; JP2012070426A; KR20050057090A; AU2003270024A1; BRPI0313783B1; AU2003270024A8; HK1084201A1; MXPA05002221A; CN101110678B; CA2496677A1

Description

1280768 玫、發明說明：依據35 U.S.C. §120主張優先權本專利申請案是於2001年8月20日申請的專利申請案第 09/933,972 號標題為「METHOD AND APPARATUS FQR SECURITY IN A DATA PROCESSING SYSTEM」的續編部份，並要求這份專利案的優先權，這份專利案已讓渡給本發明受讓人，並且以引用方式併入本文。【發明所屬之技術領域】本發明廣泛係關於資料處理系統，具體而言，本發明係關於在資料處理系統中之保密方法及裝置。【先前技術】在資料處理資訊系統（包含通信系統）中之保密處埋提$ 可說明性、公平性、可信度性、可操作性以及多種其他期望的準則。加密（或一般領域的密碼編譯（cryptography))係運用在電子商務、無線通信、播送服務及無限制範圍的應$ 在電子商務中，會使用加密來防止金融交易方面的許t & 驗證。在資料處理系統中，會使用加密來驗證一參與# _ 識別身分。還會使用加密來防止駭客、保護Web網頁以爲^ 久％止存取機密文件。對稱式加密系統（通常稱為「密碼編譯系_ (cryptosystem))使用同一金瑜（即，保密金鑰）來加密及解资訊息。反之，非對稱式加密系統使用第一金鑰（即，共用t 瑜（public key))來加密訊息，以及使用不同的金瑜（即，丸用金鑰（private key))來解密訊息。非對稱式加密系統也稱為g 87743 1280768 用至瑜加密系統。對、野％式加密系統所存在的問題在於，要從傳送方將保宓今於& 鑰文全地提供給接收方。另外，還有一项問題為，更新+I 、 -、雨或其他加密機制的頻率。在資料處理 '、、、中9安王更新金鑰的方法涉及處理時間、記憶體儲存裝置及其他處理過度耗用。在無線通信系統中，更新金鑰會使用寶貴的傳輸用頻寬。、先則技術不棱供用於針對大型群組行動台來更新金鑰的、讓使用者可以存取一已加密之播送訊息。因此，需要種用於在貪料處理系統中安全且高效率更新金翁的方法'。另夕卜，A置·^^ 延而要一種用於在無線通信系統中安全且高效率更新金鑰的方法。【發明内容】本文中I表的具體實施例藉由提供一種在資料處理系統中之保密方法來解決前面所述的需求。在一項觀點中，一種安全傳輸之方法包括：判定一傳輸參與者所特有的註冊金鑰；判定一第一金鑰；使用該註冊金鑰來加密該第一金鑰；判定一第二金鑰；使用該第一金鑰來加密該第二金鑰；以及更新該第一金鑰及該第二金鑰。在另一項觀點中，一種安全接收之方法包括：接收一傳輸參與者所特有的註冊金鑰；接收一第一金鑰；使用該註冊金鑰來解翁該第一金鑰；接收一第二金鑰；使用該第一金鑰來解密該第二金鑰；接收一播送資訊流；以及使用該第二金鑰來解密該播送資訊流。在另一項觀點中，一種支援播送服務之無線通信系統， 87743 1280768 包括：一包含一接收用電路之基礎設施元件；一使用者識別單元，其運作以還原一用於解密一播送訊息的短期金鑰；以及一行動設備單元，其被調整而得以套用用於解密該播送訊息的該短期金鑰。該使用者識別單元包含一運作以解密金鑰資訊的處理單元，以及一用於儲存一註冊金鑰的記憶體儲存裝置。【實施方式】本文中專用的用詞「示範」係表示「當作實例、例子或解說」。本文中當作「示範」說明的任何具體實施例不一定被視為較佳具體實施例或優於其他具體實施例。無線通信系統被廣泛部署以提供諸如語音、資料等等的各種通信類型。這些系統可能係依據分碼多向近接（code division multiple access ; CDMA)、分時多向近接（time division multiple access; TDMA)或其他調變技術為基礎。 CDMA系統具有優於其他類型系統的優點，包括增加系統容量。系統可被設計以支援一項或一項以上標準，如「雙模寬頻展頻蜂巢式系統的TIA/EIA/IS-95-B行動台-基地台相容性標準」（TIA/EIA/IS-95-B Mobile Station-Base Station Compatibility Standard for Dual-Mode Wideband Spread Spectrum Cellular System)，本文中稱為IS-95標準；由名為「第三代合夥專案」（3rd Generation Partnership Project; 3GPP) 的聯合組織所提供的標準，本文中稱為3GPP標準，並且是在一組文件中具體化的標準，包括文件案號3G TS 25.211、 87743 1280768 3G TS 25·212、3G TS 25.213和 3G TS 25.214、3G TS 25.302，本文中稱為W-CDMA標準）；由名為「第三代合夥專案2」（3i*d Generation Partnership Project 2 ; 3GPP2)的聯合組織所提供的標準，本文中稱為3GPP2標準；以及TR-45.5，本文中稱為cdma2000標準，以前稱為IS-2000 MC。前面列舉的標準以引用方式併入本文中。每種標準都具體定義用於從基地台傳輸至行動台的資料處理，反之亦然。就示範性具體實施例為例而言，下列討論考慮符合cdma2000系統的展頻通信系統。替代具體實施例可併入其他標準/系統。還有其他具體實施例可將本文中討論的安全處理方法應用在使用加密系統的任何類型資料處理系統。加密系統是一種用於掩飾訊息的方法，以此方式允許一特定群組使用者摘取該訊息。圖1A顯示一種基本加密系統 10。密碼編譯（加密）是建立及使用加密系統的技術。加密分析（Cryptanalysis)是破解加密系統的技術，即，不屬於受准存取訊息之特定群組使用者的人接收及瞭解訊息。原始訊息被稱為純文字訊息或純文字（plaintext)。已加密之訊息被稱為密碼文字（ciphertext)，其中加密包含用於將純文字轉換成密碼文字的任何構件。解密包含用於將密碼文字轉換成純文字的任何構件，即，還原原始訊息。如圖1A所示，將純文字訊息加密而構一密碼文字。然後，接收及解密該密碼文字以還原該純文字。雖然用詞「純文字」及「密碼文字」廣泛表示資料，但是加密觀念也適用於任何數位資 87743 -10- 1280768 訊，包含以數位形式呈現的音訊和視訊資料。雖然本文中所提供的本發明說明書使用與密碼編譯相符的用詞「純文字」及「密碼文字」，但是這些用詞不排除其他形式的數位通信。加密系統係以保密為基礎。一組實體群組共用秘密，而不屬於群組的實體若無大量資源就無法獲得祕密。這項秘密被視為當做實體群組之間的安全保護關聯性。加密系統可能是演算法集合，其中每個演算法都有標示標籤，並且標籤被稱為金鑰。對稱式加密系統（通常稱為「密碼編譯系統」（cryptosystem))使用同一金鑰（即，保密金鑰）來加密及解密訊息。圖1B顯示對稱式加密系統20，其中加密和解密都是利用相同的私用金鑰。反之，非對稱式加密系統使用第一金鑰（即，共用金鑰 (public key))來加密訊息，以及使用不同的金鑰（即，私用金鑰（private key))來解密訊息。圖1C顯示非對稱式加密系統 30，其中提供一用於加密的金鑰及一用於解密的金鑰。非對稱式加密系統也稱為共用金鑰加密系統。共用金鑰可供發行及取得以便加密任何訊息，然而，只能使用私用金繪來將使用該共用金鑰加密的訊息加以解密。

對稱式加密系統所存在的問題在於，要從傳送方將保密金鑰安全地提供給接收方。在一項方案中，可透過快遞信差來提供資訊，或更具效率且可靠的方案為運用共用金鑰加密系統，例如，Rivest、Shamir及Adleman(RSA)等人所定義的共用金鑰加密系統，如下文中的詳細說明所述。RS A 87743 -11 - 1280768 系統係運用在稱為極佳隱私性（Pretty Good Privacy ; PGP) 的流行安全保護工具中，如下文中的詳細說明所述。例如，一種原始記錄型加密系統藉由將純文字中的每個字母移位 (shift)字母系統中的η位，其中η是一預先決定之常數整數值。在此一配置結構中，"Α”會被’’D"取代等等，其中一種既定加密配置結構可包含數個不同的η值。在此項加密配置結構中，πη”是金鑰。預定之收件者在接收到密碼文字之前就已具有該加密配置結構。在此方式中，只有知道該金鑰才能夠解密該密碼文字，而得以還原純文字。但是，藉由運用加密知識來計算該金鑰，非預定者就能夠解譯且解密該密碼文字，因而形成安全性問題。更精密複雜的加密系統採用多個策略金鑰（strategic key) 來阻遏非預定者進行解譯及解密。一種典型的加密系統採用加密函數E及解密函數D，以至於： D_K(E—K(P))-P，適用於任何純文字P (1) 在共用金鑰加密系統中，從已知的「共用金鑰」Υ就可輕易地計算得出Ε_Κ，而「共用金鑰」Υ可從私用金鑰Κ計算得出。Υ已發行，所以任何人都可以將訊息加密。該解密函數D_K係從共用金鑰Υ計算得出，但是必須知道私用金鑰 K。若不知道私用金鑰K，非預定之收件者就無法將以此方式產生的密碼文字加以解密。在此方法中，只有產生私用金鑰K的收件者才能將訊息解密。 RSA是Rivest、Shamir及Adleman等人所定義的共用金鑰加密系統。舉例而言，將純文字視為最大為2512的正整數。 87743 -12 - !280768 金瑜是四重值組（md)，其中假心為-256_位元質數、q 為258 bitKTLi數，以及是較大的數值，並且（n) 可被（p-l)(q-l)除盡。另外，將加密函數定義為·· E_K(P)=Pe m〇d pq5 D K(C)=Gd m〇d pq (2) 雖然可從金翁組（pq，e)輕易地計算得出e—k，但是沒有已知的簡s方式可從金鑰組（心）計算得出d—k。目此，產生 κ的收件者可發行(pq，e)。由於收件者是唯一能夠讀取保密訊息的人，所以可將保密訊息傳送給收件者。 PGP、、且&對稱式加途、及非對稱式加密的特徵。圖⑴及圖 1E顯示一種PGP加密系統5〇，其中會加密及還原一純文字訊息。在® 1D巾’會將該純文字訊息壓縮，以節省數據機傳輸時間及磁㈣間。壓縮處理藉由將其他層級的轉譯處理加入至加密處理及解密處理，而增強了密碼編譯安全 ^ 、大#伤的加法分析技術都是利用在純文字中發現到的模式而彳于以破解在、碼（cipher)。壓縮減少純文字中的模式，藉此增強對加密分析的抵抗力。請注意，在一項具體實施例中若純文字或其他訊息太短而無法壓縮或壓縮作用不佳，則不會進行壓縮。接著PGP建乂會期金鑰，這是只執行一次的保在金鑰。會期金鑰是可從任何隨機事件所產生的亂數例如，滑鼠隨意移動及打字時的按键。會期金鍮配合安全加密演算法來加密純文字，而產生密碼文字。一旦已將貝料加密，接著會將該會期金鑰加密成一收件者的共用至瑜。這個共用金鑰加密型會期金鑰連同該密碼文字一 87743 -13- 1280768 起傳輸至該收件者。々圖1E所tf ’冑收件者要解密時，收件者的複本使用一私用金鑰來還原該臨時之會期金鑰，接著PGP使用該臨時之㈢期至鑰來將按慣例加密的密碼文字加以解密。加密方法4組合利用共用金鑰加密法的便利性及對稱式加密法的速度。、對稱式加密法的速度通常快於共用金鑰加密法的速度。接著，共用錢加密法提供-種金鑰散發及資料傳輸問題的解決方案。組合式方法改良了效能及金瑜散發，而且不會犧牲安全性。金鑰是一種配合密碼編譯演算法一起使用以產生一特定密碼文字的值。基本上，金鎗是非常大的數字。金瑜大小係以位兀為測里單位。在共用金鑰密碼編譯法中，金鑰大小會增加安全保護，然而共用金鑰大小與對稱式加密：私用金鑰大小之間通常無相關性。在共用金翁加密法中，金餘大小會增加安全保護，然而共用金鎗大小與對稱式加密法私用金鑰大小之間通常無相關性。在推導出私用金输過可能會授予足夠的時間及計算能力’使得金瑜大小之選擇成為重要的安全保護問題。目標是擁有安全的大刑金鑰，同時維持足夠小的金鑰大小以加速處理。额外的^ 慮是所預期的攔截H，具體而言，訊息對第三者的重要性，以及第三者需要多少資源才能進行解密。金瑜愈大，密碼鱗安全保護期間就愈長。金鑰係儲存為加密形式。PGP將金鑰明確儲存在兩個檔案中；一個栌安儲存共用金鑰，另一個樓案儲存私用金鑰。這些檔案矛ϋ 87743 -14- 1280768 题環㈣啊）。在應用中.，PGp加密系統會將目標收件者的共用金餘加入至寄件者的共用匙環中。寄件者的私用匙環係儲存在寄件者的共用起環中。如關於刖又提供之實例的討論所述，散發加密金於及解密金餘之方法可能非常複雜。「金餘交換問題」包括^先確保所交換的金鍮可讓寄件者及收件者雙方分別可執行加參處理及解密處理，並且針對雙向通信，寄件者及收件者雜方都可加f及解密訊息°另夕卜，希望執行金鑰交換可防: 非預足之第三方攔截。最後，額外的考慮是鑑認，讓收件者可確保訊息係經過預定寄件者加以加密，而不是經過第三者加密。在私用金鑰交換系統中，在成功交換金輪且有效鑑認後’安全交換的金鑰就可提供改良的安全性。請注意，、私用金鑰加密配置結構隱含提供鐘認。私用金餘Γ密系統中的基本設想為’只有狀寄件者才具有用於將傳: 給預定收件者之訊息加以加密的金鑰。雖然共用金瑜密碼、扁澤方法解决了「金繪又換問題」的關键’具體而言，甚至在金鑰交換期間有被㈣偷聽者’但仍然可抵抗分析；但是共用金鎗密碼編譯方法未解決與金較換相關的任何問&具而吕’由於金鑰被視為「公開知識」（尤其是 RSA) ’所以布望有提供鑑認的某項其他機制，由於僅僅擁有金鑰（足以將訊息加密）無法證明寄件者的特定唯一識別身分’而單獨擁有一相對應解密金鑰也不足以確的識別身分。 ’ /、方木疋4展種金鑰散發機制，以便確保所列出的 87743 -15- 1280768 讀貫際上是既定實體的金鑰，有時候稱為受信任的授權轉、憑證授權單位或協力廒商切信託機構。授權單位遇常不實際上產生金鑰，而是確保供寄件者及收件者參考所保存及通常的金鑰清單及相關識別身分正確且未&露。另:種方法依賴使用者散發及追蹤每個其他人的金餘，並且信任非正式散發方式。按照RSA，如果使用者除了要傳送已加密之訊息以外，還想要傳輸其識別身分的舉證，目可使用共用金鑰來將簽名加密。㈣者可按相反順序來使用RSA演算法來驗證資訊解密，證實只有寄件者才能使用保密金瑜來將純文字加密。已加密之「簽名」是一種包含保密訊息之唯-數學「摘要」（__7)的「訊息摘要 (message digest)(如果簽名屬於跨多個訊息之靜態狀態，則一旦先前的收件者得知，就可能會不誠實地使用簽名”在此方式中，理論上只有訊息寄件者才能產生該訊息的有效簽名，藉此向收件者鑑認其識別身分。通常會使用密碼編譯雜湊函數來計算得出訊息摘要。不 g輸入的長度，法、碼編澤雜凑函數都會從任何輸入來計算一值（具有固定數目之位元）。密碼編譯雜湊函數的一項特性為··提供一輸出值，難以計算該輸出值來判定將導致該輸出的輸入。密碼編譯雜湊函數的一項實例為，如Federal

Information Processing Standards Publications (FIPS PUBS) 發表且由 National Institute of Standards and Technology發佈之 FIPS PUB 180-1「Secure Hash Standard」中所描述的 SHA-1。 87743 -16- 1280768 圖2顯示通信系統100的圖式，其支援數名使用者且能夠實施本發明具體實施例的至少某些觀點及具體實施例。各種演算法及方法都可被用來在系統100中排程傳輸。系統 100為數個細胞102A至102G提供通信，其中每個細胞都是由對應的基地台104A至104G提供服務。在示範性具體實施例中，某些基地台104具有多個接收天線，而其他基地台只具有一個接收天線。同樣地，某些基地台104具有多個傳輸天線，而其他基地台只具有單一傳輸天線。沒有發射天線與接收天線之組合方面的限制。因此，基地台104可能具有多個傳輸天線及單一接收天線，或可能具有多個接收天線及單一傳輸天線，或可能具有單一或多個傳輸天線和接收天線。覆蓋範圍中的終端機106可能是固接式終端機（即，固定）或行動終端機。如圖2所示，各種終端機10 6安置在整個系統的不同地點。每台終端機106都可能在任何特定時刻在下行鏈路及上行鏈路上與至少一或可能多個基地台104通信，例如，這取決於是否採用軟交遞，或終端機是否被設計且操作以（同時或連續）接收來自多個基地台的多個傳輸。CDMA通信系統中的軟交遞已為吾人所熟知，並且詳細說明於美國專利第5，101，501號，標題為「METHOD AND SYSTEM FOR PROVIDING A SOFT HANDOFF IN A CDMA CELLULAR TELEPHONE SYSTEM」中，這份專利已讓渡給本發明受讓人。下行鏈路代表從基地台至終端機的傳輸，而上行鏈路代 87743 -17- 1280768 表從終端機至基地台的傳輸。在示範性具體實施例中，某些終端機106具有多個接收天線，而其他終端機只具有一個接收天線。在圖2中，在下行鏈路上，基地台104A將資料傳輸至終端機106A和106J，基地台104B將資料傳輸至終端機 106B和106J，基地台104C將資料傳輸至終端機106C等等。無線資料傳輸的需求日益增加及可經由無線通信技術取得的服務的擴大，已導致特定資料服務的開發。一種此類 · 服務被稱為高資料傳輸率（High Data Rate ; HDR)。在為「EIA/TIA-IS856 cdma2000 High Rate Packet Data Air ^ Interface Specification」中提出一種示範性HDR服務的建議書，稱為「HDR規格」。HDR服務通常重疊於語音通信系統，用於在無線通信系統提供傳輸資料封包的高效率方法。隨著傳輸資料量和傳輸數量遞增，無線電傳輸可用的有限無線電變成關键資源。因此，在通信系統中需要一種高效率且公平的傳輸排程方法，以最佳化利用可用的頻寬。在示範性具體實施例中，圖2所示的系統100符合具有HDR服務 | 的CDMA型系統。根據一項具體實施例，系統1〇〇支援高速多媒體播送服 ^ 務，稱為高速播送服務（High-Speed Broadcast Service ; HSBS)。HSBS應用實例為電影、體育新聞等等即收即播視訊。HSBS係以網際網路通訊協定（Internet Protocol ; IP)為基礎的封包資料服務。根據示範性具體實施例，服務提供者向使用者指示此類高速播送服務的可用性。想要HSBS月I 務的使用者訂購以接收服務，並且可透過廣告、短訊息管 87743 -18- 1280768 理系統（Short Management System ; SMS)、無線應用通信協定（Wireless Application Protocol; WAP)等等來找到播送時間表。行動使用者可被稱為行動台（Mobile Station ; MS)。基地台（Base Station ; BS)在添加信號（overhead)訊息中傳輸 HSBS相關參數。當MS想要接收播送會期時，MS讀取添加信號訊息並且獲悉適當的組態。接著，MS調諧至包含HSBS 頻道的頻率，並且接收播送服務内容。這項服務被視為是高速多媒體播送服務。在本文件中，將這項服務稱為高速播送服務（High-Speed Broadcast Service ; HSBS)。一項實例為電影、體育新聞等等即收即播視訊。這項服務可能係以網際網路通訊協定（IP)為基礎的封包資料服務。服務提供者向使用者指示此類高速播送服務的可用性。想要此類服務的使用者訂購以接收這項服務，並且可透過廣告、SMS、WAP等等來找到播送時間表。基地台在添加信號訊息中傳輸播送服務相關參數。想要接收播送會期的行動台將讀取訊息以判定適當的組態、調諧至包含高速播送頻道的頻率以及開始接收播送服務内容。有數種可能的HSBS服務訂購/收入模型，包括免費存取、受控型存取及部份受控型存取。針對免費存取，行動台接收服務不需要任何訂購。BS播送未經過加密的内容，並且有興趣的行動台可接收内容。服務提供者可透過也可在播送頻道中傳輸的廣告來產生收入。例如，針對付費給服務提供者的電影製片廠，則會傳輸即將上映的電影預告片。 87743 -19- 1280768 針對受控型存取，MS使用者訂購服務並且支付相對應費用以接收播送服務。未訂購的使用者無法接收HSBS服務。藉由將HSBS傳輸/内容加密就可達成受控型存取，所以只有已訂購的使用者才能解密内容。這可使用透過空氣加密金鑰交換程序。這項機制提供強型安全性並且防止竊取服務。混合式存取機制（稱為局部受控型存取）將HSBS服務提供為訂購架構型服務，這是使用時斷時續型未加密廣告傳輸的加密的服務。這些廣告被預定慫恿訂購加密的HSBS服務。MS可透過外部裝置得知這些未加密區段排程。圖3顯示一種無線通信系統200，其中内容伺服器（Content Server; CS) 201會將視訊和音訊資訊提供給封包資料服務節點（Packetized Data Service Node ; PDSN) 202。視訊和音訊資訊可能係來自電視播送的節目或無線電傳輸。資訊係被提供為封包化資料，如IP封包。PDSN 202處理IP封包，以在接取網路（Access Network ; AN)内散發。如圖所示，AN 被定義為屬於系統的部件，其中系統包含與多個MS 206通信的BS 204。PDSN 202被耦合到BS 204。針對HSBS服務， BS 204從PDSN 202接收資訊流，並且在指定頻道上將資訊提供給系統200内的訂戶。為了控制存取，内容可能先被CS 201加密，之後才會將它提供至PDSN 202。已訂購的使用者擁有解密金鑰，所以可以將IP封包解密。圖4顯示MS 300(類似於圖3的MS 206)的詳細圖式。MS 300的天線302係耦合至接收電路304。MS 300接收來自 BS(圖中未顯示，類似於圖3的BS 204)的傳輸。MS 300包括 87743 -20 - 1280768 一使用者識別模組（User Identification Module ; UIM) 308及一行動設備（Mobile Equipment ; ME) 306。接收電路被耦合到UIM 308及ME 3 06。UIM 308套用適用於HSBS傳輸安全保護的驗證程序，並且將各種金鑰提供給ME 306。ME 306可耦合至處理單元312。ME 306執行重要處理，包括（但不限於）將HSBS内容資料流解密。ME 306包括一記憶體儲存單元MEM 3 10。在示範性具體實施例中，非訂購者很容易利用有限資源來存取ME 306處理中的資料（圖中未顯示）及ME 記憶體儲存單元MEM 3 10中的資料，因此，ME 306被視為不安全。傳遞至ME 306的任何資訊或ME 306所處理的任何資訊只能維持短時段的安全秘密。因此，希望經常變更與 ME 306共用的任何秘密資訊，例如，金鑰。 UIM308受到信任以便儲存應長期維持機密的機密資訊 (例如，加密金鑰）。由於UIM 308是保密型單元，所以其所儲存的秘密不需要系統經常變更機密資訊。UIM 308包括一稱為保密型使用者識別模組處理單元（Secure UIM Processing Unit ; SUPU) 3 16的處理單元以及一稱為保密型使用者識別模組記憶體單元（Secure UIM Memory Unit ; SUMU) 314的記憶體單元，並且信任該記憶體單元的安全性。在UIM 308内的SUMU 314儲存機密資訊的方式可阻止未經授權存取資訊。如果UIM 308從獲得機密資訊，則存取需要大量資源。再者，在UIM 308内的SUPU 3 16計算UIM 308 外部之值及/或關於UIM 308内部之值。可將計算結果儲存在SUMU 314中或傳遞至ME 306。僅限擁有大量資源的實體 87743 21 - 1280768 才能從UIM 308獲得SUPU 316所執行的計算。同樣地，針對已指定要儲存在SUMU 314内（而不是要輸出至ME 3 06)之來自SUPU 316的輸出被設計成，未經授權解譯需要擁有大量資源。在一項具體實施例中，UIM 3〇8是MS 3〇〇内的固接式單元。請注意，除了 UIM 308内的保密型記憶體及處理以外，UIM 308還可包含未保密之記憶體及處理（圖中未顯示），用以儲存電話號碼、電子郵件地址資訊、Web網頁、 URL地址資訊及/或排程功能等等。替代具體實施例可提供一可移除式及/或可重新程式化 UIM。在示範性具體實施例中，SUPU 316不具備超越安全保護及金鑰程序範圍外功能的實質處理能力，例如’允許加密HSBS的播送内容。替代具體.實施例可實施一具有更強處理能力的UIM。 UIM係與一特定使用者相關聯，並且主要用途是驗證MS 300享有授予該使用者的權限，例如，存取行動電話網路。因此，使用者係與UIM 308相關聯，而不是與MS 300相關聯。同一使用者可能與多個UIM 308相關聯。播送服務所面臨的問題是，決定如何將金鑰散發給已訂購的使用者。若要在一特定時間解密該播送内容’ ME必須知道目前的解密金鑰。為了防止竊取服務，應經常變更解密金鑰，例如，每分鐘變更。這些解密金鑰被稱為短期金鑰（Short-term Key ; SK)。SK係用於在短時段期間解密該播送内容，所以可能假定SK擁有使用者的某種固有經濟價值額度。例如，固有經濟價值可能是註冊成本的一邵份。假 87743 -22- 1280768 設一非訂購者從一訂購者的記憶體儲存單元MEM 3 10獲得之SK的成本超過SK的固有經濟價值。即，（非法）獲得SK 的成本超過酬金，所以不會因而獲益。據此，不需要保護該記憶體儲存單元MEM 310中的SK。但是，如果一保密金瑜的生命期比S K的生命期長，則（非法）獲得該保密金餘的成本低於酬金。在此情況下，從記憶體儲存單元MEM 3 10 獲得此一金鑰就會獲益。因此，觀念上，記憶體儲存單元 MEM 3 10將不會儲存生命期比SK生命期長的保密金鑰。内容伺服器（CS)(圖中未顯示）將SK散發給各種訂購者單元所使用的頻道被視為不安全。因此，當散發一既定SK時， CS想要使用一種能夠對未訂購使用者隱瞒SK值的技術。另外，CS將SK散發給大量潛在訂購者，以便在相當短的時間範圍期間内在個別ME内進行處理。已知之金鑰傳輸保密方法的速度極慢且需要傳輸大量金鑰，並且對於所期望的準則而言通常並不可實行。示範性具體實施例是一種可實行的解密金鑰散發方法，能夠用一種非訂購者無法獲得解密金鑰的方式，在短時間範圍期間内將解密金鑰散發給大量使用者。在示範性具體實施例中，MS 3 00支援無線通信系統中的 HSBS。為了獲得存取HSBS，使用者必須註冊並訂購服務。一旦已啟用訂購，就會定期更新各種金鑰。在註冊過程中，CS及UIM 308協調一註冊金鑰（Registration Key ; RK)，該註冊金鑰（RK)係當做介於使用者與CS之間的安全保護關聯性。接著，CS將使用該註冊金鑰（RK)加密的進一 87743 -23 - 1280768 步機密資訊傳送給UIM。該註冊金鑰（RK)被保存為UIM 308 中的秘密，並且是一既定UIM所獨有的金鑰，每個使用者都被指派不同的註冊金鑰（RK)。僅僅註冊程序無法讓使用者存取HSBS。如上文所述，使用者在註冊之後訂購服務6 在可騰程序中’CS將一迫用播送存取金瑜（Broadcast Access Key ; BAK)傳送給UIM 308。CS將使用UIM 308所獨有之註冊金鑰（RK)加密的BAK值傳送給MS 300，具體而言係傳送給UIM 308。UIM 308能夠使用註冊金鑰（RK)來將已加密之版本還原回原始BAK之值。BAK係當做介於CS與已訂購之使用者群組之間的安全保護關聯性。接著，CS播送稱為SK 資訊（SK Information; SKI)的資料，在UIM 308中組合該SK 資訊（SKI)與BAK而推導出SK。然後，UIM 308將SK傳遞至 ME 306。在此方式中，CS可高效率地將新SK值散發至已訂購之使用者的ME。以下段落内容中將詳細討論註冊程序。當使用者向一既定C S註冊時，UIM 308及CS(圖中未顯示）會建立一安全保護關聯性。即，UIM 308及CS共同協議一保密金鍮RK。RK是每個UIM 3 0 8所獨有的金瑜，然而如果一使用者具有多個 UIM，則UIM可共用同一個RK，視CS的原則而定。當使用者訂購CS所提供的播送頻道時就會發生這項註冊，或可能在訂購之前發生這項註冊。一單一 CS可提供多個播送頻道。CS可選擇針對所有頻道來建立使用者與同一個rk之間的關聯性，或要求使用者註冊每個頻道，並且在不同頻道上建立同一位使用者與不同RK之間的關聯性。多個CS可選 87743 -24- 1280768 擇使用相同的註冊金鑰，或要求使用者向每個cs註冊並獲取不同的RK。建立這項安全保護關聯性的兩種常見案例包括：按照 3GPP使用的驗證金論協定（Authenticated Key Agreement; AKA)方法，以及按照IPsec使用的網際網路金鑰交換 (Internet Key Exchange ; IKE)方法。在任一情況下，UIM記憶體單元SUMU 314都包含一稱為A-key的保密金翁。舉 AKA方法為實例來進行說明。在AKA方法中，A-key是只有 UIM及受信任第三方（trusted third party ; TTP)才知道的秘密：TTP可能係由一個以上實體所組成。TTP通常是使用者所註冊的行動服務提供者。介於CS與TTP之間的所有通信都會保密，並且CS信任TTP不會協助未經授權存取播送服務。當使用者註冊時，CS向TTP通知使用者想要註冊服務並且提供使用者的要求驗證。TTP使用一項函數（類似於密碼編譯雜湊函數）而得以從A-key及稱為註冊金鑰資訊 (Registration Key Information ; RKI)的额外資料來計算得出 RK。TTP透過一保密頻道，將RK、RKI連同非提交相關的其他資料一起傳遞至CS。CS將RKI傳送至MS 300。接收電路304將RKI傳遞至UIM 308，並且可能將RKI傳遞至] 306。UIM 3 08從RKI以及UIM記憶體單元SUMU 3 14中所错存的A-key來計算得出RK。RK被儲存在UIM記憶體單元 SUMU 3 14中，並且不會直接提供給ME 306。替代具體實施例可使用IKE案例，或用於建置RK的其他方法。RK係當做介於C S與UIM 3 0 8之間的安全保護關聯性。 87743 -25- 1280768 在AKA方法中，RK是CS、UIM及TTP共同的秘密。因此，在本文中，ΑΚΑ方法意謂著介於CS與UIM之間的安全保護關聯性隱含包括ΤΤΡ。在任何安全保護關聯性中包含丁ΤΡ不視為達反安全性，這是因為CS信任ΤΤΡ不會協助未經授權存取播送服務。如上文所述，如果與ME 306共用的金鑰，則經常變更金鑰較恰當。這是由於非訂購者存取記憶體儲存單元MEM 310中所儲存的資訊之風險，以至於能夠存取受控制或局部受控制的服務。ME 306將SK(用於解密播送内容的金鑰資訊）儲存在該記憶體儲存單元MEM 310中。CS必須傳送足以讓已訂購之使用者計算得出SK的資訊。如果已訂購之使用者的ME 306可從這項資訊計算得出SK，則計算 SK所需的额外資訊可能未保密。在此情況下，假設已訂購之使用者的ME 306也可從這項資訊計算得出SK。因此，必須在81^11316中使用由〇3及31；]^11314所共用的保密金鑰來計算8尺的值。内08及811^11；314共用1^的值，但是每個使用者都具有一唯一的RK值。CS沒有足夠的時間使用所有 RK值來將SK加密，並且將這些已加密之值傳輸給每個已訂購之使用者。需要某種其他標準。以下段落内容中將詳細討論訂購程序。為了確保高效率地散發安全保護資訊SK，CS將一通用播送存取金鑰 (Broadcast Access Key; BAK)定期散發給每個訂購者UIM 308。針對每個訂購者，CS使用相對應的RK來將BAK加密，以獲得一稱為 BAKI (BAK Information ; BAK資訊）之值。CS 將相對應的BAKI傳送至已訂購之使用者的MS 300。例如， 87743 -26- 1280768

可以將BAK當做一使用相對應於每個MS之RK所加密的ip 封包來傳輸。在示範性具體實施例中，BAKI是一iPSec封包。在示範性具體實施例中，BAKI是一包含使用RK當做金瑜所加密之BAK的IP Sec封包。由於RK是一以每一使用者為基礎的金瑜，所以CS必須將BAK逐個地傳送給每個訂購者，因此，不會透過播送頻道來傳遞BAK。MS 300將BAKI 傳遞至111^ 308。311?1；316使用81；^11；314中所儲存的^^值及BAKI值來計算得出BAK。接著，將BAK儲存在SUMU中。在示範性具體實施例中，BAKI包含一安全保護參數索引 (Security Parameter Index ; SPI)值，用於指示 MS 300將 BAKI 傳遞給111]^ 308，並且指示1；1^1 308使用^^來解密6八0。吾人期望更新BAK的週期足以允許CS必須將B AK逐個地俸送給每個訂購者，而不會造成顯著的過度耗用。由於不信任ME 306長期保持秘密，UIM 308不會將BAK提供給ME 306。BAK係當做介於CS與HSBS服務訂購者群組之間的安全保護關聯性。以下段落内容中將討論在成功訂購程序之後如何更新 SK。在更新BAK的每個週期内，於在一播送頻道上散發SK 的期間内提供一短期時間間隔。CS使用一密碼編譯函數來判定SK值及SKI (SK Inf)值，以至於可從BAK及SKI來決定 SK。例如，SKI可能是使用BAK當做金鑰所加密的SK。在示範性具體實施例中，SKI是一包含使用BAK當做金鑰所加密之SK的IPSec封包。或者，SK可能是將密碼編譯雜湊函數套用至SKI及BAK區塊串連的結果。 87743 -27- 1280768 SKI的某部份可能可預測。例如，可從SKI處於有效狀態的系統時間期間來推導出SKI的一部份。該部份（標示為 SKI一A)不需要當做播送服務的一部份來傳輸至MS 300。SKI 的其餘部份（標示為SKIJB)可能無法預測。SKI_Bf需要當做播送服務的一部份來傳輸至MS 3 00。MS 300從SKI_Ai SKI—B來重新建構SKI，並且將SKI提供給UIM 308。可在UIM 308内重新建構SKI。必須針對每個新的SK來變更SKI的值。因此，當計算一新的SK時，必須變更SKI_A& /或 SKI—B。CS將用於播送傳輸的SKI_B傳送至BS。BS播送 SKI—B，天線302偵測到該SKI_B&且將該SKI_B傳遞至接收電路304。接收電路304將SKI_B提供給MS 300，其中MS 300 重新建構SKI。MS 300將SKI提供給UIM 308，其中UIM 308 使用3111^1；314中所儲存的3八尺來獲得3〖。然後，1；1]^308 將SK提供給ME 306。ME 306將SK儲存在記憶體儲存單元 MEM 310中。ME 306使用SK來解密自CS接收到的播送傳輸。在示範性具體實施例中，SKI還包含一安全保護參數索引 (Security Parameter Index ; SPI)值，用於指示 MS 300將 SKI 傳遞給UIM 308,並且指示UIM 308使用BAK來解密SKI。解密之後，UIM 30 8將SK傳遞給ME 306，其中ME 306使用SK 來解密播送内容。

CS及BS共同協議傳輸的某項準則。CS會想要藉由經常變更SK之方式來減少每個SK中的固有經濟價值。在此情沉下，想要以最佳化可用頻寬為目標來權衡變更SKI_B 87743 -28- 1280768 資料。可在除播送頻道外之頻道上傳輸SKI_B。當使用者「調諧」至播送頻道時，接收電路304從「控制頻道」獲得用於找到播送頻道的資訊。當使用者「調諧」至播送頻道時，可能希望允許快速存取。這要求ME 306在短時間内獲得 SKI。ME 306已經知道SKI_A，但是，BS必須在該短時間期間内將SKI_B提供給ME 300。例如，BS可在控制頻道上經常傳輸SKI_B(連同用於找到播送頻道的資訊一起傳輸），或在播送頻道上經常傳輸SKI_B。BS愈經常「重新整理」 (refresh)SKI_B值，MS 300可存取播送訊息的速度愈快。想要以最佳化可用頻寬為目標來權衡重新整理SKI_B資料，由於太經常傳輸SKI_B資料會使用到控制頻道或播送頻道中不可接受數量的頻寬。本段落討論播送内容之加密及傳輸。CS使用目前的SK來加密該播送内容。示範性具體實施例採用一種加密演算法，例如，進階加密標準（AES)h密碼演算法（Advanced Encryption Standard (AES)h Cipher Algorithm)。在示範性具體實施例中，依據封裝安全保護有效承載（Encapsulating Security Payload ; ESP)傳輸模式，接著藉由一 IPSec封包來傳輸已加密之内容。該IPSec封包還包含一 SPI值，用於指示 ME 306使用目前的SK來解密所接收之播送内容。已加密之内容係經由播送頻道傳送。接收電路304將RKI及BAKI直接提供給UIM 308。另夕卜，接收電路304將SKI_B提供給MS 300之適當部件，在該適當部件中組合8尺1_：6與SKI_A以獲得SKI。MS 300之相關部件 87743 -29- 1280768 將SKI提供給UIM 308 °UIM 308使用RKI及A_key來計算得出RK，使用RK來解密BAKI以獲得BAK，以及使用SKI及 BAK來計算得出SK，而得以產生ME 306所要使用的SK。 ME 306使用SK來解密該播送内容。在示範性具體實施例中，UIM 308不具有即時解密播送内容的充分能力，因此，將SK傳遞至ME 306才能解密播送内容。圖5顯示根據示範性具體實施例來傳輸及處理金鑰RK、 BAK及SK。如圖所示，在註冊時，MS 300接收110並將該 11〇提供給111]^ 308，其中31^1；316使用11〇及人_]^7來計算得出RK，並且將該RK儲存在UIM記憶體單元SUMU 314 中。MS 300定期接收該BAKI，該BAKI包含使用UIM 308所特有的RK值所加密的BAK。SUPU 316將已加密之BAKI解密以還原BAK，該BAK被儲存在UIM記憶體單元SUMU 314 中。MS 3 00進一步定期接收一 SKIJB，組合SKI—B及SKI_A 就會構成SKI。SUPU 316使用SKI及BAK來計算得出SK。SK 被提供給ME 306以便解密播送内容。在示範性具體實施例中，不需要將CS金鑰加密及傳輸至 MS，CS可使用替代方法。將CS所產生的金鑰資訊傳輸至每個MS，而得以為MS提供用以計算金鑰所需的足夠資訊。如圖6中的系統350所示，RK係由CS所產生，但是RK資訊（RKI) 被傳輸至MS。CS傳送足以讓UIM推導出RK的資訊，其中會使用一預先決定函數，以便從CS所傳輸的資訊來推導出 RK。RKI所包含的資訊足以使MS能夠使用一標示為dl的預先決定公開函數，從A-key及其他值（例如，系統時間）來 87743 -30- 1280768 判定原始RK : RK=dl(A_key，RKI) 〇 (3) 在示範性具體實施例中，函數dl定義一密碼編譯型函數。根據一項具體實施例，按照下列函數來決SRK : RK=SHA，(A-key||RKI)， (4) 其中”11"標示包含A-key及RKI之區塊的串連，SHA\X)標示在已知輸入X之情況下，安全雜湊演算法（Secure Hash Algorithm ; SHA-1)之輸出的最後128-位元。在替代具體貪施例中，按照下列函數來決定RK : RK=AES(A_key，RKl)， (5) 其中AES(X，Y)標示使用128-位元之A-key所加密的128•位元區塊RKI。在以AKA通信協定為基礎的進一步具體實施例中，會按照3GPP金鑰產生函數f3之輸出來決定RK，其中RKI 包含RAND之值以及按照標準所定義的AMF值及SQN值。因為具有不同RK值的多個使用者必須計算相同值的 BAK，所以會用不同方式來處理BAK。CS可使用任何技術來決定BAK。但是，與一特定UIM 308相關聯的BAKI值必須是依據與該UIM 308相關聯之唯一 RK所加密的BAK。 31^11316依據一標示為42的函數，使用811]^1；314中所儲存的RK來解密b AKI，如下所示： BAK=d2(BAKI，RK)。（9)

在替代具體實施例中，CS可使用RK來執行BAK的解密程序以計算得出BAKI，以及SUPU 316使用RK來執行BAKI的加密程序以獲得BAK。這視為相當於CS加密BAK及SUPU 87743 -31 - 1280768 316解密BAKI。除了圖6所示的金鑰組合以外，替代具體實施例還可實施任何數量的金餘組合，或是取代圖6所示的金鑰組合。處理SK的方式類似於處理RK的方式。首先，從SKI_A& SKI_„B來推導出SKI(SKI_B是從CS傳輸至MS的資訊）。接著，使用一標示為d3的預先決定函數，從SKI及BAK(儲存在SUMU 314中）來推導出SK，如下所示： SK=d3(BAK，SKI) 〇 (6) 在一項具體實施例中，函數d3定義一密碼編譯型函數。在示範性具體實施例中，按照下列函數來計算SK : SK=SHA(BAK ||SKI)， (7) 而在另一項具體實施例中，按照下列函數來計算SK : SK=AES(BAK，SKI) 〇 (8) 圖7A至圖7D顯示一種用於提供播送訊息安全保護之方法。圖7A顯示註冊程序400，其中在步騾402，一訂購者交涉以向CS註冊。在步驟404，註冊將一唯一 RK提供給 UIM。在步驟406，UIM將RK儲存在一保密記憶體單元 (SecureMemoryUnit; SUMU)中。圖 7B顯示介於 CS及MS之間的訂購處理420。在步驟422，CS在一 BAK時間週期T1期間產生一 BAK。該BAK在整個該BAK時間週期T1期間皆有效，其中會定期更新BAK。在步騾424, CS授權UIM在該BAK 時間週期T1期間具有存取播送内容（Broadcast Content ; BC) 的存取權。在步騾426，CS使用每個訂購者的每個個人RK 來加密BAK。已加密之BAK被稱為BAKI。接著，在步騾428， 87743 -32 - 1280768 CS將BAKI傳輸至UIM。在步騾430，UIM接收BAKI並且使用RK來執行解密。解密ΒΑΚΙ的結果為原始產生的ΒΑΚ。在步騾432，UIM將ΒΑΚ儲存在一 SUMU中。接著，UIM接收播送會期，並且能夠藉由使用該ΒΑΚ來解密已加密之播送 (encrypted broadcast ; EBC)就能夠存取 BC。圖7C顯示一種用於在一支援播送傳輸的無線傳輸系統中實施安全保護加密之方法。該方法440按照圖7E所示之時序圖來實施時間週期。以時間週期T1為時間間隔定期更新 BAK。當計算BAK且在T1逾期時，則會起始一計時器tl。使用一變數來計算SK_RAND的SK，並且以時間週期T2為時間間隔定期更新SK。當產生SK—RAND且在T2逾期時，則會起始一計時器t2。在一項具體實施例中，會以時間週期T3 為時間間隔進一步定期更新SK。當產生每個SK且在T3逾期時，則會起始一計時器t3。SK—RAND係在CS處產生並且定期提供給MS。MS及CS使用SK_RAND來產生SK，如下文詳細說明所述。當更新BAK之適用值時，會重置一第一計時器tl。更新兩個BAK之間的時間長度就是BAK更新週期。在示範性具體實施例中，該BAK更新週期是一個月，但是，替代具體實施例可實施所期望的任何時間週期以達成系統最佳化運作目標，或是滿足各種系統準則。請繼續參考圖7C，在步騾442，該方法440初始化計算器 t2，而開始SK—REG時間週期T2。在步騾444，CS產生 SK—RAND並且將該值提供給傳輸電路以便在整個系統内 87743 -33 - 1280768 傳輸。在步騾446，將計時器t3初始化而開始SK時間週期Τ3 逾期。接著，在步騾448，CS使用目前的SK來將BC加密。所加密的結果就是EBC，其中CS將該EBC提供給傳輸電路以便在整個系統内傳輸。在決策步騾452，如果該計時器t2 已逾期，則處理程序回到步驟442。當該計時器t2小於T2 時，如果在決策步騾454該計時器t3已逾期，則處理程序回到步騾446 ;否則處理程序回到步騾450。圖7D顯示正在存取一播送頻道之MS的運作。該方法460 首先在步騾462使該等計時器t2、t3與CS上的值同步化。在步騾464，MS的UIM接收該CS所產生的SK_RAND。在步騾 466，UIM使用SK_RAND、BAK及一時間測量來產生SK。 UIM將SK傳遞至MS的ME。接著，在步騾468，UIM使用所接收到的SK來解密所接收到的EBC，以摘取原始BC。在步騾470，當該計時器t2逾期時，處理程序回到步驟462。當該計時器t2小於T2時，如果在步騾472該計時器t3已逾期，則在步騾474將該計時器t3初始化並且回到步騾466。當使用者訂購播送服務長達一特定BAK更新週期時，則 CS會傳送適當的BAKI(相當於使用RK加密的BAK)。這通常會在該BAK更新週期開始之前發生，或當MS在該BAK更新週期期間第一調諧至播送頻道時。這可由MS或CS按照各種準則來起始傳送時機。可同時傳輸及解密多個BAKI。請注意，當即將發生該BAK更新週期逾期時，如果MS已訂購下一 BAK更新週期，則MS可向CS要求已更新之BAK。在替代具體實施例中，CS會利用該第一計時器tl，其中當 87743 -34 - 1280768 該計時器逾期時（即，滿足該BAK更新週期），CS就會立即傳輸BAK。請注意，使用者可在一 BAK更新週期期間接收一 BAK，例如，當每個執行一次BAK更新時，一訂購者在月中加入服務。另外，BAK及SK更新時時間週期可同步，以至於在一既定時間更新所有訂購者。 " 圖8Α顯示在根據示範性具體實施例之無線通信系統500 - 中之註冊程序。CS 502與每位訂購者（即，MS 5 12)交涉以產生每位訂購者所特有的RK>RK被提供給每個MS之UIM内的 _ SUMU記憶體單元。如圖所示，CS 502所產生的尺仏係儲存在1111\11512内的81；]^1；1510中。同樣地，〇3 502所產生的尺〖2 係儲存在UIM2 522内的SUMU2 520中，以及CS 502所產生的儲存在 UIMN 532 内的 SUMUn 530 中。圖8B顯示系統500中的訂購程序。CS 502進一步包括多個編碼器504。每個編碼器504都會接收多個唯一RK之一以及在CS 502中所產生的BAK值。每個編碼器504的輸出都是一專為一訂購者所編碼的BAKI。每個MS的UIM(例如UIMi 512) 接收該BAKI。每個UIM都包括一 SUPU及一 SUMU，例如； UIM! 512 的 SUPU! 514 及 SUMU! 510。SUPU 包括一解碼器 (例如，解碼器516)，用於套用UIM的RK來還原BAK。在每個可講者處重複此項程序。圖8C顯示金餘管理及更新，其中CS套用一函數508以產生一 SK—RAND值，該值是CS及MS用來計算SK的暫時值。具體而言，函數508套用該BAK值、SK—RAND及一時間因數。 87743 -35 · 1280768 雖然圖8C所示之具體實施例會應用一計時器來判定何時更新SK，但是替代具體實施例可使用替代措施來提供定期更新，例如，發生錯誤或其他事件。CS將該SK—RAND值提供給每個訂購者，其中一駐存在每個UIM中的函數518所套用的函數相同於CS之函數508所套用的函數。函數518運算 SK_RAND、BAK及一時間值以產生一 SK，所產生之SK被儲存在ME中的一記憶體位置中，例如，ME! 540的MEMU 542。圖8D顯示註冊及訂購之後的BC處理程序。CS 502包括一編碼器560，用於使用目前的SK來編碼BC以產生EBC。接著，將EBC傳輸給訂購者。每個MS都包括一編碼器544，用於使用該SK以從EBC摘取BC。雖然已針對一種用支單向播送服務之無線通信系統之示範性具體實施例來說明本發明，但是前文中所說明的加密方法及金鑰管理進一步適用於其他資料處理系統，包括多點播送型播送系統。進一步，本發明適用於有多個訂購者透過一未保密頻道來存取一單一傳輸之保密資訊的任何資料處理系統。請注意，使用者可向不同於目前内容伺服器（CS)、内容提供者及/或内容來源之第一實體訂購目前的播送或傳輸。舉例而言，請考慮漫遊至不同地理區域的使用者。使用者是已訂購一中心新聞播送實體（例如CNN)的訂購者。該中心新聞播送實體的分處（例如CNN亞洲）的訂購者可能係在本地成立。在此情況下，當該中心新聞播送實體（例如 CNN)的訂購者漫遊至一本地成立之播送實體（例如CNN亞 87743 -36- 1280768 洲）的地理區域時，授權單位可要求該本地成立之播送實體檢查該中心新聞播送實體的訂購資料庫。每個播送實體都可具有一分開的訂購伺服器（ss)，然而在漫遊時每個SS都必須與另一 SS交涉，所以會使錯認複雜化。同樣地，使用分開的SS也會使金鑰散發複雜化。每個 SS可能都是本地CS所擁有的伺服器，或可能是與本地以之間達成商業約定。本文說明之各種替代具體實施例，而得以避開與漫遊相關的部份授權問題。基於清楚瞭解所說明之具體實施例考量，以下提供邏輯實體之定義。本方系統或網路（稱為HLR 或HLR/AC)保存行動使用者的訂購。換言之，本方（home) 表示一般電話？丁購所在的系統。受諸系統或網路（稱為 VLR，例如MSC/VLR)是漫遊等等時所進入的系統。當使用者未漫遊時，VLR系統相同於HLR系統。當内容伺服器（CS) 提供内容給受訪網路時，該CS稱為本地/受訪伺服器。CS 包含一内容來源及一播送存取金餘（Broadcast Access Key ; BAK)產生器。一BAK加密器將要提供給UIM的BAK加以加密。同一 BAK加密器可能僅與一個CS相關聯或與多個CS相關聯。一訂購伺服器（SS)保存用於授予使用者至少一播送多點播送服務（Broadcast Multicast Service ; BCMCS)權限的訂購資料。ss可能是本地CS所擁有的伺服器，或可能是與本地CS之間所達成之商業約定的一部份。 BCMCS目標是提供一種播送及多點播送月良務。稱為内容伺服器（CS)的實體將内容提供給參與方行動服務提供者 87743 -37- 1280768 (SP)。内容被想像成視聽資料。CS可能是（但未必就是）伺服方網路之一部份。SP在一特定實體頻道上傳輸該内容。如果内容屬於免費提供的内容，則任何使用者都可以存取該實體頻道來檢視/處理該内容。如果要訂購才能存取該實體頻道，則雖然任何使用者都可以調諧至該實體頻道，但是該内容已被加密，以至於只有已訂購之使用者才能夠檢視/ " 處理該内容。 · 對播送系統的安全性威脅是金鑰設計的考量點。圖18顯示用於提供播送服務及多點播送服務之系統。安全性威脅 ❿ 涉及一使用者未支付訂購費（要求付費時）郤獲得内容存取權。為了反擊安全性威脅，會將内容加密並且只將解密金鑰提供給已訂購之使用者。於是，金鑰管理具有關键重要性。在傳輸模式中，藉由使用IPSec封裝安全保護有效承載 (Encapsulating Security Payload ; ESP)之端對端加密來儲存播送内容。多個安全保護參數（例如，加密金鑰及加密演算 _ 法）係儲存為安全保護關聯性，並且利用目的地位址及一稱為安全保護參數索引（Security Parameter Index; SPI)的 32_ 位元值來編製安全保護關聯性之索引。基於討論用途，行動台（MS)被視為兩個分開的實體：使用者識別模組（User Identity Module ; UIM)及行動設備 (ME)。該UIM是一包含保密記憶體的低功率處理器。UIM 可能是可移除式（如同SIM卡）或屬於MS本身的一部份。該 ME包含一高功率處理器，但沒有保密記憶體。 87743 -38- 1280768 會使用經常變更的短期金鑰（Short-term Key ; SK)來將内容加密。ME使用SK來解密該内容。會經常變更SK，以防止「欺詐者」將用於接收播送内容的SK傳送給其他終端機，而得以只支付單一訂購費用郤將服務提供給許多人。不會傳輸SK;而是從一播送存取金鑰（Broadcast Access Key; BAK)及該IP See封包中的SPI推導出用於力口密一特定播送封包的SK值。BAK係駐存在UIM中，所以必須有UIM才能接收播送服務。該頻道之所有訂購者的目前BAK皆相同，並且該BAK所提供之存取權的期限是由業者所決定的一時間週期。因此，一旦UIM獲得該BAK，該UIM就可計算得出 ME解密播送所需的SK值。一種類似於「保密模式」（Secure Mode)的方法係用於將BAK提供給UIM，請參閱2001年12月發行之17八尼1八/13_683-；6，〇.80016_八，8?-4742_11¥2-八標題為「Over_the_Air Service Provisioning of Mobile Stations in Spread Spectrum Systems」。基於清楚瞭解目的，以下提供定義清單。 AAA 鑑認、授權及帳戶處理（Authentication，Authorization， and Accounting) : AAA保存使用者的根目錄機碼 (root key) K 〇 AC 鑑認中心（Authentication Centre):這是ANS-41實體，其所執行的鑑認及金鑰管理功能類似於AAA。 BAK 播送存取金輪(Broadcast Access Key):提供長達一期限(例如，一天、一週或一個月）的内容存取權。 BAKUE播送存取金餘更新實體(Broadcast Access Key Update 87743 -39- 1280768

Entity): BAKUE是一位於伺服方網路中可更新bak的實體。 CS 内容伺服器：提供服務資料。 MS 行動台：基於本文件用途，MS被視為兩個分開的實體：UIM及 ME。 UIM 用戶識別模組(User Identity Module):該UI1V[是一包含保密記憶體的低功率處理器。UIM可能是可移除式（如同SIM卡）或屬於MS本身的一部份。 ME 行動設備：該ME包含一高功率處理器，但沒有保密記憶體。 SA 安全保護關聯性（Security Association):處理一 IPSec 封包所需之參數(例如，金鑰）清單。每個SA都是藉由目的地位址及安全保護參數索引（SPI)來編製索引。 SDP 會期資料參數：處理目前内容所需的參數。 SK 短期金鑰（Short-term Key) : CS使用SK來將内容加密，並且ME使用SK來將内容解密。 SMCK 保密模式密碼金鑰（Secure Mode Cipher Key):和 IS-683-B中使用的金鑰相同。在BCMCS中，當將BAK 傳送至UIM時，會使用SMCK來加密BAK。 SP 服務提供者：MS目前所在的伺服方網路。 SPI 安全保護參數索引（Security Parameter Index) ··用於編製一安全保護關聯性(SA)之索引。 87743 -40- 1280768 PDSN 封包資料飼服節點（Packet Data Serving Node) ··介於網際網路與RAN之間的介面。 RAN 無線電存取網路(Radio Access Network)。 ^^>©似在13-683氺中由人〇/八八人所產生的亂數，用於產生 SMCK。訂購程序不屬於討論範圍。但是，假設CS及SP協議的訂購程序包括，提供一可用於鑑認及金鑰管理的預訂購根目錄機碼。假設詨根目錄機碼係由AC或AAA-Η所持有。可實行的方案為，可將播送訂購保存在CS中，或保存在與訂購分開的其他實體中，而得以無線存取保存在AAA-H 中或與一 AC相關之HLR中的播送訂購。在此情況下，假設會在建立播送服務訂購之前先建立無線存取訂購。則訂購資料位置會影響提供BAK的方式。有兩種方法可供MS用來债測是否具有正確的B AK。當使用者調諧至播送服務時，第一步騾是從CS獲得會期資料參數（Session Data Parameter; SDP)。該 SDP包含關於 BAK的相關資料，例如，識別項（序號）及逾期時間（若有的話）。這些值允許MS判定是否需要更新BAK。如果在傳輸期間需要更新BAK，則該傳輸將包括：通知MS執行SDP更新 (MS可從該SDP更新來判定是否需要更新BAK)。使用從BAK所推導出之SK加密的IPSec封包具有設定為相對應於該BAK之BAK JD的SPI之4位最高有效位元 (MSB)。所以ME可摘取該等4位MSB以檢查UIM是否具有正 87743 -41 . 1280768 確的BAK。 CS決定多久要變更ΒΑΚ。經常變更ΒΑΚ可提高安全性。經常變更ΒΑΚ還可增加帳務處理的彈性。請考慮以下實例。一旦使用者具有ΒΑΚ，就可在該ΒΑΚ的生命期期間存取内容。假設會在每月月初變更ΒΑΚ。如果使用者的訂購在ΒΑΚ生命期中途就已期滿，則使用者仍然可以產生SK(並且因此可檢視内容）直到ΒΑΚ逾期。所以若只每月變更 ΒΑΚ，則CS只能收取從月初到月底的訂購費用。使用者無法訂購從月中到下一個月月中之期間。然而，如果每天變更ΒΑΚ，則使用者就可以從每個月的任一天開始訂購。應考慮到增加變更ΒΑΚ頻率可能會增加行動台必須擷取新 ΒΑΚ值的次數。討論内容未指定MS如何判定是否需要更新ΒΑΚ。假設MS 將配備一決策裝置，用以判定ΒΑΚ即將逾期或已逾期，觸發動作以執行ΒΑΚ更新。因此，可運用數種方法。當MS決定執行BAK更新時，使用一種類似於IS-683-B保密模式的方法將BAK提供給UIM。這可藉由若干方式完成。首先，CS可將BAK提供給UIM，如圖19所示。當MS判定需要更新BAK時，MS聯繫CS。 CS檢查使用者是否是已訂購之使用者。如果使用者是已訂購之使用者，則CS聯繫使用者的AC/AAA，以獲得如同 IS-683-8中的臨時SMCK。該AC/AAA產生一亂數RANDSM並且將該亂數與行動台的SSD-B(或根目錄機碼K)組合在一起以獲得SMCK。基於此目的，使用以SHA-1為基礎的函數 87743 42 - 1280768 f3。AC/AAA將 RANDSM及 SMCK傳送至 CS。 CS使用SMCK來加密BAK以獲得EBAK。接著，cs將 RANDsm、BAK_ID及 EBAK傳送至行動台。UIM將 RANDsm 與根目錄機碼K(或目前的SSD-B)組合在一起以獲得 SMCK。然後，UIM使用SMCK來解密EBAK以獲得BAK，並且將BAK儲存在保密記憶體内。如果CS將訂購資料傳遞至HLR/AC或AAA-H，則SP可代表 CS將BAK提供給UIM，如圖20所示。在此情況下，SP具有可用於將BAK提供給UIM的一或多個BAK更新實體（BAK Update Entity ; BAKUE) 〇 CS將目前的BAK提供給BAKUE。當MS判定需要更新BAK 時，MS聯繫一 BAKUE。該BAKUE聯繫使用者的AC/AAA，以獲得如同IS-683-8中的臨時保密模式密碼金鑰（Secure Mode Cipher Key ； SMCK)。 AC/AAA檢查使用者是否是已訂購之使用者。如果使用者是已訂購之使用者，則該AC/AAA產生一亂數RANDSM並且將該亂數與行動台的SSD-B(或根目錄機碼K)組合在一起以獲得SMCK。基於此目的，使用以SHA-1為基礎的函數f3。 AC/AAA將 RANDSM及 SMCK傳送至 BAKUE 〇 BAKUE使用SMCK來加密BAK以獲得EBAK。接著，CS將 RANDsm、BAK_ID及 EBAK傳送至行動台。UIM將 RANDsm 與根目錄機碼K(或目前的SSD-B)組合在一起以獲得 SMCK。然後，UIM使用SMCK來解密EBAK以獲得BAK，並且將BAK儲存在保密記憶體内。 87743 -43 - 1280768 如果CS將訂購資料傳遞至HLR/AC或AAA-Η，則SP可代表 CS將BAK提供給UIM，如圖20所示。在此情況下，SP具有可用於將BAK提供給UIM的一或多個BAK更新實體（BAK Update Entity ; BAKUE)。 1 · CS將目前的BAK提供給BAKUE。 2·當MS判定需要更新BAK時，MS聯繫一 BAKUE。 3.該BAKUE聯繫使用者的AC/AAA，以獲得如同IS-683_B中的臨時保密模式密碼金鑰（Secure Mode Cipher Key ; SMCK)。 4· AC/AAA檢查使用者是否是已訂購之使用者。如果使用者是已訂購之使用者，則該AC/AAA產生一亂數RANDSM並且將該亂數與行動台的SSD-B(或根目錄機碼K)組合在一起以獲得SMCK。基於此目的，使用以SHA-1為基礎的函數 f3。AC/AAA將 RANDSM及 SMCK傳送至 BAKUE。 5. BAKUE使用SMCK來加密BAK以獲得EBAK。接著，CS將 RANDSM、BAK_ID及EBAK傳送至行動台。 6· UIM將RANDSM與根目錄機碼K(或目前的SSD-B)組合在一起以獲得SMCK。然後，UIM使用SMCK來解密EBAIC 以獲得BAK，並且將BAK儲存在保密記憶體内。當對手藉由假扮已訂購之使用者來執行BAK要求時，並不能達成任何目的。只有已訂購之使用者才能夠從 RANDSM推導出SMCK，並且以此方式摘取BAK。基於這些原因，CS/BAKUE不需要鑑認BAK要求。根據示範性具體實施例，UIM不會、展露BAK。如果一單一 UIM戍露BAK，則會 87743 -44- 1280768 破壞所有安全保護，除非CS變更ΒΑΚ。 UIM應儲存ΒΑΚ及關於ΒΑΚ的相關資料，例如，識別項（序號）及逾期時間（若有的話）。已證實在開始使用ΒΑΚ來推導出SK值之前立即將Β ΑΚ提供給UIM是有利的做法。否則，一旦CS開始連同從新ΒΑΚ推導出的SK來傳送封包時，當MS 執行ΒΑΚ更新時使用者會感受到延遲。如果有許多使用者同時調諧至同一頻遒，則當所有MS執行ΒΑΚ更新時會遇到尖峰通信量。為了避免此類問題，如本文中所描述的播送多點播送服務（Broadcast Multicast Service ; BCMCS)可允許 MS在 BAK 變更之前立即獲得新的ΒΑΚ。MS、SP或CS可起始ΒΑΚ獲取程序。不同的MS可具有不同的ΒΑΚ更新執行排程，以防止太多MS立即執行ΒΑΚ更新。基於安全保護原因，散發BAK的時機應儘可能接近使用時間。ME可儲存BAK相關資料，以省去向UIM要求該資訊。如果CS已計算得出相對應於目前SPI的SK，則在傳輸模式中，CS可依據IPSec ESP來使用加密金鑰將播送頻道加密。為了建立新的金鑰SK，CS.執行下列步騾。CS選取一隨機 28-位元值 SPI—RAND。CS構成 SPI=(BAK—ID| | SPI—RAND) 形式的32_位元SPI，其中4-位元BAK_ID識別目前的BAK 值。CS將SPI_RAND填滿成128-位位元。CS使用BAK當做金鑰來將該128-位元值加密。該128-位元輸出就是SK。CS將新的SK值置入藉由該SPI及播送封包之目的地位址所編索引的SA中。 87743 -45 - 1280768 SPI_RAND值應是隨機值，所以使用者無法預測未來使用的SPI值。否則，某人可預先計算當天使用的SK值，並且在一天開始時散發金鑰。對於想要散發金瑜的人而言，這項處理程序比即時散發金鑰更加容易（且更便宜）。假定一 BCMCS IPSec封包，ME執行下列步驟。ME獲得 SPI。ME從SPI摘取BAK_ID。接著，ME判定UIM是否具有正確的BAK。如果UIM不具有正確的BAK，則MS會更新 BAK，如上文所述。（或者，MS可檢查SDP以檢查其是否具有正確的BAK)。 ME檢查其是否具有相對應於SPI及播送封包之目的地位址的安全保護關聯性（SA)。如果ME具有符合該SPI的SA，則ME使用該SA中的解密金鑰SK來解密區塊（按照傳輸模式之IPSec ESP)。如果ME不具有符合該SPI的SA，則ME將該 SPI傳遞至UIM，讓UIM可以計算SK。UIM計算SK的方式如下。UIM從該SPI的4位最高有效位元摘取BAK__ID，並且從其記憶體擷取BAK值。UIM摘取28-位元之SPI_RAND，並且將該SPI_RAND填滿成128位位元。 UIM使用BAK當做金鑰來將該128-位元值加密。該128-位元輸出就是SK。UIM將SK傳遞至ME。ME將新的SK值置入藉由該SPI及播送封包之目的地位址所編索引的SA中。現在ME使用該SK當做金鑰來解密區塊（按照傳輸模式之IPSec ESP) 〇一個以上IPSec封包可使用相同的SK值。CS決定何時及多久要變更SK。SK生命期愈短，安全性愈高。通常每隔5至 87743 -46- 1280768 10分鐘變更SK，但是CS會決定變更SK的時間間隔。在尖峰使用量時段期間，基於额外安全保護，CS可選擇更經常變更SK。請注意，由於會藉由變更SPI來變更SK，所以必須設計CS及MS以適應動態SPI。表格1提供關於在MS使用、計算及儲存金鑰的快速參考資訊。表格1是在行動台中使用、計算及儲存金鑰的摘要資訊。表格1

金瑜：用途：時效：必要項：計算位置：儲存位置： SMCK 解密 BAK [臨時] 根目錄機碼K UIM (暫存） BAK 計算SK 小時/天數 SMCK UIM UIM SK 解密内容秒/分 BAK，SPI UIM ME BCMCS提出需要非標準方案之金鎗管理的新挑戰。如果方案使用IPSec，則BCMCS會想要一可變的SPI，以便判定應用來解密的SK值。在一項具體實施例中，金鑰管理（其中會從BAK及SPI來推導出SK)足以保護BCMCS的安全性，並且允許特別實用的BCMCS方法。 BCMCS中會發生兩項「交換」。 •使用者付費給CS，以便從CS接收播送内容（經由SP)。 • CS付費給SP，以便從SP接收傳輸時間。 87743 -47 - 1280768 系統的安全保護目標包括防止以下威脅： sp取得支付的傳輸費用’但未提供傳輸時間。通吊不疋王要的考量重點。很容易逮住無法提供傳輸時間的SP。吾人預期处將促銷更多業務，而達反的卯會承受名譽不佳的結果。處Alices(或其他當事人）取得傳輸時間，但未支付傳輸費用。例如當有人假扮一合法cs時；其傳送訊息至sp，就好像是CS所提供的内容一樣。一項方案是在介於<：^與卯之間的鏈路上加入一鑑認標題（Authentlcatlon Header; AH)，以便阻止威脅。處使用者存取播送内容但未付費。需要以IPSec為基礎的方案。使用者必須具有目前的解密金鑰才能存取播送内容。UIM不具有解密内容的足夠能力，因此ME執行解密。這意謂著解密金鑰係儲存在廳中。最後，有人成功從她摘取目前的解密金鑰。於是，已訂購的使用者能夠將解密至鑰散發給其他非已訂購之使用者。所以要設計出讓非已訂購之使用者無法存取資料的方案極為困難。請注意，目標是勸阻潛在市場（服務所鎖定的目標使用者）使用非法手段來存取内容。换法佗任ME儲存或計算長期金鑰；而是在mM中儲存或计算長期金鑰。UIM不具有執行共用金鑰密碼編譯作業的足夠能力，所以全部的金鑰管理都必須以對稱式密碼編譯為基礎。SP及其他實體將具有存取部份對稱式金鑰的存取權，並且利用這些對稱式金鑰來推導出解密金鑰。實際的 87743 -48- 1280768 威脅似乎是，已訂購的使用者能夠將解密金鑰散發給非已訂購之使用者。一項解決方案是經常以不可預期的方式來變更解密金鑰。達成此目標的挑戰是最小化金鑰散發所需的傳輸過度耗用。一項方案將一播送存取金鑰（Broadcast Access Key ; BAK) 個別散發給每個使用者，其中會使用該BAK及連同播送一起傳送之公開資訊來推導出許多解密金瑜。圖21顯示一項實例。在此項實例中，會從每個BAK僅推導出三個解密金鑰。實際上，會從單一 BAK推導出數百或數千個解密金鑰。圖21顯示藉由組合在播送頻道上所傳送之資訊，以從一個BAK來推導出許多解密金鑰的實例。如果一已訂購之使用者可摘取BAK並且將該BSK散發給其他使用者，則其他使用者就能夠推導出許多SK。為避免此狀況，必須將BAK 保存在UIM中的保密記憶體中，於是使用者無法摘取 B AK。有許多各種選擇可將B AK提供給UIM。所建議的選擇 (類似於IS-683-B保密模式）似乎是最簡易的方案。在使用IPSec的一般示例中，當事人雙方通常會交涉何時變更金鑰。一旦當事人雙方協議新的金鑰，SPI不會變更：當事人雙方將新的金鑰置放在舊的安全保護關聯性中，並且將SPI維持原狀。在BCMCS中，因為有許多接收器並且通信僅會從CS到多個使用者有，所以有不同的狀況。CS不是位於驗證使用者是否具有正確SK值的適當位置。同樣地，使用者難以驗證其是否具有正確的SK值。當變更SK時同時變更SPI解決這項問題。在此方法中，CS知道使用者已得知 87743 -49- 1280768 SK已變更。請注意，在IPSec中沒有標準的實施方式。散發SK的兩項主要選項包括：1)在不同於内容資料流的封包中傳送SK;或2)從包含内容之IPSec封包中的資訊來推導出SK。也可考慮混合式方案。在播送期間，使用者隨時可「調諧至頻道」。使用者想要幾乎立即存取内容。因此，如果在不同於内容資料流的封包中傳送用於推導出SK的資訊（例如，SK的已加密值或一隨機種子），則CS必須每隔幾秒鐘重新傳輸該資訊。一項缺點是這項方法會耗盡頻寬。主要缺點為，沒有標準方法可以區別包含SK資訊的封包與包含内容的封包。假定當變更SK時同時變更SPI，則可能會採用额外步騾，以獨佔模式從BAK及SPI來推導出SK。為了確保使用正確的 BAK值，SPI包含一 4-位元BAK_ID，並且可能有BAK的逾期時間，以至於其他的BAK值未來可重複使用BAK_ID。因此，剩下SPI的28位位元可以變更，這相對應於228個可能的 SK值。當ME遇到新的SPI值時，ME會將該SPI傳遞至UIM，並且UIM從SPI及BAK來計算SK。ME在合法時間内擁有新的SK，並可以繼續進行解密。SPI的可變部份應是隨機改變；否則，已訂購之使用者就可取得UIM，而得以預先計算並散發必要的SK值。此類方法不需要使用額外頻寬來將SK散發給使用者，並且允許UIM在擁有BAK且ME已開始接收IP Sec封包後立即計算SK。使用者不需要等待包含SK資訊的封包。這是非常重要的優點，尤其在使用者會每隔幾秒鐘或幾分鐘變更頻 87743 -50- 1280768 道的情況下：每當使用者變更頻道時，使用者不希望在等待用於推導出sk資訊的資訊時有數秒鐘延遲。但是，這項方案允許從一單一 BAK推導出相當少量的SK 值。具體而言，與使用其他方法的2128個值相比，在所說明的實例中，有228個值（相對應於228個SPI—RAND值）。一組已訂購之使用者群組可取得UIM，而得以藉由輸入所有可能的22N@SPI值來預先計算目前BAK的228個SK值。預估一個 UIM可在約三天内計算所有的金鑰。大量已訂購之UIM將能夠在一小時内預先計算這些值。於是，該群組可散發這些值。金鑰集將需要約四十億位元（4GB)記憶體。然而，由於目前的考量點為，使用者會經由個人數位助理（PDA)或電話進行存取，所以非常不可能擁有4GB的足夠儲存空間。此外，每當BAK變更時，使用者可能不願意下載大量資料（例如4GB)。再者，目前的實例考慮到使用者想要有高品質的服務。若沒有所有的金鑰，使用者將無法解密所有内容，並且無法取得高品質的服務。以下討論内容提出數種增強BCMCS及類似播送型服務之安全保護的選項。具體而言，考量事項包括：1)多層加密層，包括鏈路層加密及端對端加密；2) BAK更新程序，例如，在S S進行加密及在區域網路進行加密；3) BAK加密器或BAK散發伺服器的位置，例如，與單一 CS相關聯，或以集中方式為多個CS提供；以及4) SK傳輸，其中可從SPI推導出SK，或以已加密形式傳送SK。圖9顯示一種示範性架構，在以下討論内容中將會參考該示範性架構。 87743 -51 - 1280768 雖然考慮到各種選項及具體實施例，但是示範性具體實施例提供一種方法，用於在本方系統或網路（稱為HLR)與遠端單元内一保密模組（UIM)之間先以保密方式建置一註冊機碼（RK)或根目錄機碼（root key)。一種AKA程序（或修改型 AKA程序）係用於將一相同的RK提供給HLR及一既定使用者的UIM。一旦UIM及HLR都具有相同的RK值，本地系統（稱為VLR)就可使用此資訊以將一播送存取金瑜（Broadcast Access Key ; BAK)提供給UIM。具體而言，VLR產生BAK。接著，VLR執行下列動作之一：1)將BAK提供給HLR，由HLR 將BAK加密並且將已加密之BAK (Encrypted BAK; EBAK) 提供給VLR ;或2) VLR將一臨時金鑰（Temporary Key ; TK) 要求傳送至HLR。在第一種示例中，HLR使用僅HLR及UIM 才知道的RK來加密BAK。經由VLR將EBAK提供給UIM。 UIM接收EBAK並且使用RK來解密BAK。請注意，就實施而言，而當BAK變更時，VLR必須將BAK傳送給HLR而造成過度耗用。就第2)項方法而言，HLR產生多個TK值及相關的隨機值。TK值係使用亂數及RK所產生。TK值（即，TK!、 TK2等等）及亂數（即，TK一RAND〗、TK—RAND2等等）都被提供給VLR。每當VLR更新BAK(基於維護保密傳輸而變更 BAK)時，VLR就會使用一 TIQ來加密BAK。然後，VLR將 EBAK和TKA (TKl5TK—RAND〇值對傳送至UIM。在每種情況中，當UIM擁有RK時，UIM就能夠解密EBAK並且還原 BAK。請考試圖22所示之支援BCMCS的通信系統1000。各種實 87743 -52- 1280768 體的功能定義如下： •本方 BCMCS控制中心（Home BCMCS Contro1): -提供BCMCS服務訂購 -BCMCS服務的帳戶處理資訊 -要求在uim中建置根目錄機碼（Root Key ; RK) -產生用於解密BAK的臨時金鑰（Temporary Key ; TK) •本地BCMCS控制中心（Local BCMCS contro1):

產生BCMCS服務的BAK -使用TK來加密BAK -將已加密之BAK下載至UIM -將BAK傳遞至RAN，以便產生SK並且還指示SK生命期 •BCMCS内容伺服器： -提供BCMCS内容。系統1〇〇〇中所示之介面的定義如下： •B1介面（HLR/AC-本方BCMCS控制中心）： -用於從本方BCMCS控制中心來要求在UIM中建置RK -將RK從HLR/AC傳遞至本方BCMCS控制中心 •B2介面（本地BCMCS控制中心-PDSN): -經由IP通信協定將已加密之BAK下載至UIM •B3介面（本地BCMCS控制中心-BSC/PCF):

-將BAK傳遞至RAN -將SK生命期傳送至RAN •B4介面（本地BCMCS控制中心-本方BCMCS控制中心）： -將TK集傳遞至本地BCMCS控制中心 87743 -53 - 1280768 圖23顯示用於解說RK建置的時序圖。垂直軸代表時間。當使用者訂購本方BCMCS AAA中的BCMCS服務時，就會發生RK建置或開通。每個BCMCS内容提供者都具有每個使用者的一個相對應RK。只有UIM及本方服務提供者/本方内容服務提供者才知道RK。接下來說明如圖23所示之RK建置程序。 - 步騾a :接收到使用者的訂購後，本方BCMCS控制中心將RK建置要求傳送至訂購者的本方服務提供者 HLR/AC，用於指示訂購者的識別身分（SUB-ID)及其擁有的BCMCS内容提供者識別身分。 -步騾b : HLR/AC使用現有的AKA程序來在UIM中建置 RK。 -步騾c:在UIM中成功建置RK後，HLR/AC將RK傳遞至本方BCMCS控制中心。當MS提出要求時發生BAK下載。每個BAK都具有相關聯的BAK生命期，其中會藉由一 BAK識別項或序號來識別BAK。藉由内容ID (Content ID)所識別的每個BCMCS節目都具有所屬的 BAK。本方内容提供者 ID (Home Content Provider ID) 及内容ID (Content ID)是每個BCMCS節目唯一的。介於BCMCS_ID與（本方内容提供者ID+内容ID)值對之間的對應係在本地BCMCS控制中心中以本機方式執行。只有本地BCMCS控制中心及UIM才知道BAK。接下來說明BAK下載程序。 -步騾a :在訂購者訂購BCMCS服務或BAK生命期逾期 87743 -54- 1280768 後，UIM立即要求BAK下載，並且MS將要求傳遞至本地BCMCS控制中心。 -步驟b :本地BCMCS控制中心實體將一臨時金鑰要求傳送至本方BCMCS控制中心，以至於本地BCMCS控制中心實體可使用臨時金鑰來加密BAK。 - 步騾c :本方BCMCS金鑰加密器（Home BCMCS Key Encryptor)產生TK_RAND，並且藉由使用某函數 [TK=f(TK—RAND，RK)]來從輸入的 RK 及 TK—RAND 計算出TK。本方BCMCS金鑰加密器可產生數組值對集以供未來使用，促使介於本方BCMCS控制中心與本地 BCMCS控制中心之間不會總是需要交易。接著，本方 BCMCS控制中心將數個TK傳回至本地BCMCS控制中心〇 - 步驟d ··本地BCMCS金鑰加密器（Local BCMCS Key Encryptor)產生一使用TK之所加密的BAK，並且產生 BAK—RAND。接著，本地BCMCS金鑰加密器使用某函數[BAK_AUTH=f(BAK—RAND，BAK)]來從輸入的 BAK及BAK—RAND計算出BAK_AUTH。然後，本地 BCMCS金鑰加密器經由MS，將使用相對應BAK_ID及 BAK生命期所加密的 BAK、BCMCS—ID、TK_RAND、 BAK__AUTH及BAK—RAND傳送至UIM 〇 UIM使用輸入的TK—RAND及本身儲存的RK計算出TK，接著使用TK 來解密BAK。將使用BAK及BAK_RAND所計算得出 BAK_AUTH與所接收的BAK_AUTH相比較。如果不相 87743 -55- 1280768 符，則回到步騾a。圖24顯示一種BCMCS架構，其中本方服務提供者擁有内容伺服器（CS)。系統1100所擁有之實體的定義如下。 •本方 HLR/AC : -提供BCMCS服務訂購 -BCMCS服務的帳戶處理資訊產生用於解密BAK的臨時金鑰（Temporary Key ; TK) •本地 BCMCS控制中心（Local BCMCS Control):

-產生BCMCS服務的BAK -使用TK來加密BAK -經由B2介面將已加密之BAK下載至UIM -將BAK傳遞至RAN，以便產生SK並且還指示SK生命期 •BCMCS内容伺服器： -提供BCMCS内容。圖24中所示之介面的定義如下。 •B2介面（本地BCMCS控制中心-PDSN) ·· -經由IP通信協定將已加密之BAK下載至UIM •B3介面（本地BCMCS控制中心-BSC/PCF): 將BAK傳遞至RAN -將SK生命期傳送至RAN •B5介面（本地BCMCS控制中心-BSC/PCF): -將TK集傳遞至本地BCMCS控制中心在系統1100中，由於本方服務提供者擁有BCMCS内容伺服器，所以RK以及A-key交換程序會使用A-key。 87743 -56- 1280768 關於系統1100，當MS提出要求BAK或更新時發生BAK下載。每個ΒΑΚ都具有相關聯的ΒΑΚ生命期。精由内容id (Content ID)所識別的每個BCMCS節目都具有所屬的 BAK。只有本地BCMCS控制中心及UIM才知道BAK。接下來說明BAK下載程序。 -步驟a :在訂購者訂購BCMCS服務或BAK生命期逾期後，UIM立即要求BAK下載，並且MS將要求傳遞至本地BCMCS控制中心。 -步騾b :本地BCMCS控制中心將一臨時金鑰要求傳送至BSC/VI^R，以至於本地BCMCS控制中心實體可使用臨時金鑰來加密B AK。 -步騾c : BSC/PCF經由MSC/VLR將臨時金鑰要求傳送至 HLR/AC。 -步騾d : HLR/AC產生TK—RAND，並且藉由使用某函數 [TK>f(TK—RAND，A Key)]來從輸入的 A Key 及 TK—RAND計算出TK。HLR/AC會產生要在未來使用的數組值對，所以HLR/AC與BSC/PCF之間不一定需要經由MSC/VLR才能交易。接著，HLR/AC經由MSC/VLR 將數個TK傳回至BSC/PCF。 -步騾e : BSC/PCF將TK傳遞本地BCMCS控制中心。

-步·驟f:本地BCMCS金鑰控制中心產生BAK並且使用該等TK之一將該BAK加密。本地BCMCS金鑰控制中心也會產生BAK_RAND，並且接著使用某函數 [BAK_AUTH=f (BAK—RAND，BAK)]來從輸入的 BAK 87743 -57- 1280768 及BAK—RAND計算出BAK_AUTH。然後，本地BCMCS 金鑰控制中心經由MS，將使用相對應BAK_ID及BAK 生命期所加密的BAK、BCMCS_ID、TK_RAND、 BAK—AUTH及BAK—RAND傳送至UIM。UIM使用輸入的TK—RAND及本身儲存的A Key計算出TK，接著使用 ΤΚ來解密Β ΑΚ。接著使用輸入的ΒΑΚ及BAK—RAND計算出自己的BAK—AUTH。本地BCMCS金鑰控制中心比較該計算得出之B AK_AUTH與所接收之B AK_AUTH。如果不相符，則會再次從步騾a開始。請注意，針對在鏈路層提供加密的具體實施例，此類加密組態不會阻礙IP層級加密。如果啟用IP層級加密，則應停用鍵路層加密。接下來說明短期金餘（Short term Key ; SK)下載程序。 -步騾a : BCMCS控制中心將BAK及BAK生命期傳送至 BSC/PCF，並且傳送SK生命期，要求BSC/PCF使用所指示的SK生命期來產生SK。 -步騾b : BSC/PCF將已使用BAK加密的SK經由MS傳送至 UIM。 -步騾c : UIM使用BAK來解密SK並且傳回至MS。 -步騾d : BCMCS内容伺服器經由PDSN將純文字播送内容傳送至BSC/PCF。 -步騾e : BSC/PCF使用SK來加密該播送内容，接著以無線方式傳送所加密的該播送内容。概言之，係在頻帶外（out of band)發現BCMCS。使用者訂購頻帶外 87743 -58- 1280768 BCMCS服務（SUB ID)。如果本方服務提供者未擁有内容伺服器，則會經由AKA以在UIM之處建立根目錄機碼或註冊機碼（RK);否則，RK會使用A-key。將TK傳送至本地BCMCS控制中心節點。經由使用一特殊UDP 埠號的受訪網路（PDSN)，將已使用TK加密的BAK下载至UIM。MS經由添加信號訊息來尋找是否有特定扇區可以使用的播送服務。MS執行註冊（BCMCS_ID)。圖25顯示經由開通處理（provisioning)來建立介於CS與 PDSN間之多點播送服務的承載（bearer)路徑。圖26顯示經由開通處理來建立介於CS與PDSN間之單點播送服務的承載路徑。圖27顯示經由MS註冊及解除註冊來建立及拆除介於 CS與PDSN之間的多點播送服務承載路徑。 •建立BCMCS承載路徑（如果沒有） • MS開始監視BCMCS頻道圖9顯示根據一項具體實施例的安全保護高階架構600。 CS 602將内容資訊提供給内容加密器（CE) 604。CE 604係用來產生SK，並且可用來加密SK。該内容加密器（CE) 604提供：1)使用SK加密的内容；2) SPI ;或3)—已加密之SK(如下文所述）給一播送接收器606。此外，CE 604還接收來自 BAK產生器612的BAK、BAKseq(用於識別BAK值）及SK生命期（指定SK的有效期限）。將該等值提供給CE 604以供其處理。CE 604將内容加密並且將已加密之結果提供給播送接收器606。CE 604還會將BAKseq提供給播送接收器606。當更新BAK時，BAKseq值識別該特定BAK。請注意，内容加 87743 -59- 1280768 密器（CE) 604產生SK。可能會以SPI為基礎或以已加密之SK (Encrypted SK ; ESK)為基礎來產生 SK。若是以SPI為基礎來產生SK，則會從一 4-位元BAKseq及

R 28-位元 SPI-0AND來構成該 SPI。當 SPI二(BAKseq，SPI_RAND) 時，會藉由使用BAK將SPI_RAND加密而產生封包的SK，其中「X—RAND」是用於估算X的亂數。SPI變更指出SK已變更。該内容加密器（CE) 604選取SPI_RAND、產生SK並且構成SPI (BAKseq，SPI—RAND)。該内容加密器（CE) 604使用該 SK來將内容加密，並且將SPI連同該已加密之内容一起傳送至該播送接收器606。該播送接收器606摘取該SPI並且將該 SPI傳送至UIM 608，由UIM 608利用SPI—RAND及BAK來計算出SK。UIM 608將SK傳送至該播送接收器606，讓該播送接收器606使用SK來解密内容。針對ESK，該内容加密器（CE) 604使用BAK來加密SK以產生ESK。該内容加密器（CE) 604選取產生SK並且從該SK來計算出ESK以構成（BAKseq, ESK)。該内容加密器（CE) 604 使用該SK來將内容加密，並且定期將(BAKseq，ESK)連同該已加密之内容一起傳送至該播送接收器606。該播送接收器 606將（BAKseq，ESK)傳送至 UIM 608，由 UIM 608計算出 SK 並且將SK傳回至該播送接收器606。接著，該播送接收器606 使用SK來解密該内容。可能在會具有一唯一埠號的封包中來傳送（BAKseq，ESK)，這會形成同步問題。該播送接收器606提供内容解密及信號發送。該播送接收器606接收來自該内容加密器（CE) 604的已加密之内容結 87743 -60- 1280768 果、SPI(或ESK)及BAKseq。該播送接收器606將該SPI(或ESK) 及BAKseq提供給UIM 608，並且接收來自UIM 608的SK要求及/或BAK要求。另外，該播送接收器606將使用RK加密的 BAK提供給UIM 608，或將使用TK—RAND加密的BAK提供給UIM 608 〇 UIM 608儲存終端機根目錄機碼K、SS根目錄機碼RK及存取金鑰BAK。UIM 608決定RK值及TK值。UIM 608解密 BAK，並且使用SPI及BAK來決定SK。在替代方案中，還會將UIM 608調節成使用BAK來解密ESK以構成SK。UIM 608 將SK傳遞至ME(圖中未顯示）。一内容存取管理員610將一 BAK更新命令提供給該BAK 產生器612。該BAK產生器612產生BAK及BAK序號（即， BAKseq)。該BAK產生器612將BAK、BAKseq及SK生命期提供給該内容加密器（CE)604。該BAK產生器612將BAK、 BAKseq及BAK生命期（指定BAK的有效期限）提供給BAK散發伺服器616。一服務授權單元614將一授權提供給該BAK 散發伺服器616。該BAK散發伺服器616接收來自該播送接收器606的BAK要求。該BAK散發伺服器616被調節成將一隨機BAK更新時間、使用RK或RK—RAND加密的BAK以及使用TK加密的BAK提供給該播送接收器606。在第一種情況中，該BAK散發伺服器616接收來自該播送接收器606的BAK要求以及所要求之BAK的識別項（即， BAKseq)。回應動作為，該BAK散發伺服器616將一 TK要求提供給訂購伺服器（SS) 618。SS 618保存38及1；11^的唯一尺【 87743 -61 - 1280768 金翁。S S 618使用根目錄機碼及TK—RAND而構成S&時金瑜 (Temporary Key ; TK)。然後，SS 618 將 TK—RAND值傳送至該BAK散發伺服器616 ° 在第二種情況中，該BAK散發伺服器616將接收自該播送接收器606的BAK要求及BAKseq所指定的BAK傳送至SS 618。回應動作為，SS618使用RK來加密BAK，並且將已加密的BAK傳回至該BAK散發伺服器616。在另一種情況中，該BAK散發伺服器616將—τκ要求提供給鑑認伺服器620。該鑑認祠服器620保存終端機根目錄機碼κ，並且使用根目錄機碼及亂數來構成τκ及/或rk。然後，該鑑認伺服器620將TK-RAND值傳送至該ΒΑΚ散發祠服器616。請注意，在下文中，該ΒΑΚ散發伺服器616也稱為一 ΒΑΚ加密器。 UIM 608使用該鑑認伺服器620所提供的RK—RAND來計算RK。該鑑認伺服器620提供以尺―RAND以回應來自UIM608 的RK要求。該鑑認伺服器620還會將义尺值提供給SS 618。該BAK散發伺服器616將一隨機BAK更新時間提供給UIM 608。該隨機BAK更新時間指示UIM 608何時要求BAK更新。隨機更新時間確保所有使用者不會同時要求更新而造成系統負荷。圖1 〇、圖11及圖12顯示各種系統組態之加密和安全保護應用的各種具體實施例。各圖中皆描繪出系統内的圖例說明指示信號、金輪及資訊流程。圖例說明位於圖式的右下角。如圖中的實例所示，可在鏈路層執行加密，例如，在 87743 -62- 1280768 基地台控制器（Base Station Controller ; BSC)、封包控制功能（Packet Control Function node ; PCF)節點、其他類似節點或其組合等執行加密。圖l〇顯示鏈路層加密方法之具體實施例。還可提供以端對端為基礎之加密，如圖11之具體實施例所示。請注意，前文中已運用IPsec來說明端對端加密方法圖11所示之具體實施例係在應用層執行加密。請注意，會定期或非定時更新BAK。BAK更新可能經過 SS加密，其中一BAK加密器會將BAK傳送至SS; SS加密BAK 並且將已加密的BAK傳回至該BAK加密器。具體而言，該 BAK加密器將BAK傳送至SS。SS使用RK來將BAK加密成已加密之 BAK (Encrypted BAK ; EBAK)。SS將 EBAK傳回至該 BAK加密器。該BAK加密器將EBAK傳回至UIM，由UIM使用RK來解密EBAK以還原BAK。在替代方案中，可在本地中將BAK加密。在此情況下’ SS將一臨時金餘（Temporary Key ; TK)提供給本地BAK加密器。如果該BAK加密器在區域網路中，則該BAK加密器可將CK當做TK，其中CK係衍生自鑑認向量（AV)。可根據系統需求及目標來設計該BAK加密器的位置。該 BAK加密器向SS最得（TK—RAND，TK)值對。在一項具體實施例中，TK已知為： TK=f(TK—RAND，RK)。（11) 該BAK加密器可重複使用（TK—RAND，TK)值對。SS可傳送多個值對。接著，該BAK加密器使用TK來加密BAK而構成 EBAK。然後，該BAK加密器將（TK—RAND, EBAK)傳送至 87743 -63 - 1280768 UIM。UIM使用前面的方程式（11)來構成TK。UIM使用ΤΚ 來解密ΕΒΑΚ以還原ΒΑΚ。在替代具體實施例中，使用來自鑑認授權和帳戶管理 (ΑΑΑ)單元（HLR/AAA)的ΤΚ以本地方來加密Β ΑΚ更新。在此情況下，SS就是HLR/AAA。MS執行一項特殊ΑΚΑ交涉。該鑑認向量（AV)包括一 CK，其中CK被定義為： CK=f(CK—RAND, K)， (12) 其中K等於位於HLR或本方網路上的A-key根目錄機碼。該 BAK加密器可重複使用CK—RAND，TK)值對，而且HLR/AAA 可傳送多個值對。CK及CK_RAND被傳遞至該ΒAK加密器，由該BAK加密器使用CK來加密BAK而構成EBAK。然後，該 BAK加密器將（CK—RAND，EBAK)值對傳送至UIM。回應動作為，UIM使用前面的方程式（12)來構成CK。UIM使用CK 來解密EBAK以構成BAK。在一項具體實施例中，該BAK加密器與一單一内容伺服器（CS)相關聯。在替代具體實施例中（如圖12所示），採用一可與多個内容伺服器（CS)相關聯的中央BAK加密器。會定期或非定時更新SK。在一項具體實施例中，SK係衍生自SPI。在替代具體實施例中，會提供已加密形式的SK。可使用一特殊埠號來指示包含SK的封包。例如，可將一播送訊框識別項（例如BSR_ID)設定成一預先決定值（例如 π000π)，以指示包含SK的封包。圖10所示的具體實施例提供鏈路層内容加密。系統700包括一耦合至一 ME 704的UIM 702。UIM 702將一未加密之 87743 -64 - 1280768 BAK提供給ME 704。ME 704將一已加密之BAK提供給UIM 702。同樣地，ME 704將RK-AKA提供給UIM 702。如圖所示，藉由位於區域網路所擁有之内容提供者的基地台控制器 /封包控制功能(Base Station Controller/Packet Control Function ; BSC/PCF)節點708上執行SK產生、SK加密及内容加密。將來自一内部内容來源（CS2) 722的未加密内容提供給封包資料伺服節點（PDSN)710。然後，PDSN710將該未加密内容傳遞至BSC/PCF 708。一 CS2 BAK產生器724將未加密之BAK值提供給PDSN 710 ;以及CS2 BAK加密器726接收來自該PDSN 710的BAK要求並且傳回一已加密之BAK。然後，PDSN 710將該未加密之内容、該未加密之BAK及該已加密之BAK轉遞至BSC/PCF 708。區域網路包括一用於當做VLR的MSC 706。BSC/PCF 708 接收來自MSC 706的RK以回應一 RK要求。一位於本方網路 728 中的 AC 730係當做 HLR。MSC向 AC 730要求 RK，AC 730 回應要求而提供RK。MSC 706將RK提供給BSC/PCF 708，由 BSC/PCF 708將RK提供給ME 704。另外，BSC/PCF 708將該已加密之内容及該已加密之BAK提供給ME 704。一本地協力廠商内容提供者720包括一外部内容來源 (CS1)714、一 CS1 BAK產生器 716及一 CS1 BAK加密器 718。將來自該BAK加密器718的已加密之BAK提供給PDSN 710。該外部内容來源CS1 714將未加密之内容及未加密之 BAK提供給PDSN 710。用於儲存訂購的實體732包含訂購伺服器734。MSC 706 87743 -65 - 1280768 將RK提供給該訂購伺服器734。在該訂購伺服器734與ΒΑΚ 加密器718、726之間傳送ΤΚ要求及TK—RAND值對。圖10 中的圖例說明提供信號序列，圖例說明中從RK要求開始以降冪順序列出信號。圖11所不的具體貪施例提供端對端内容加密。系統8 0 0之組態類似於系統700之組態；但是，在系統800中，内容來源（CS2) 822提供SK產生、SK加密及内容加密。内容來源822 將一已加密之内容提供給PDSN 810 ;以及該ΒΑΚ加密器826 將ΒΑΚ加密並且傳回一已加密之ΒΑΚ至PDSN 810，以回應一 ΒΑΚ要求。PDSN進一步接收來自本地協力廒商内容提供者820内之外部内容來源（CS1) 814的已加密之内容。如同在内容來源822中，該外部内容來源814執行SK產生、SK加密及内容加密。ΒΑΚ加密器818將一已加密之ΒΑΚ提供給 PDSN 810。接著，PDSN 810將該已加密之内容及該已加密之BAK提供給BSC/PCF 808。圖12所示的具體實施例提供配合端對端内容加密的集中式BAK加密。系統900之組態類似於系統800之組態；其中由内容來源（CS2) 922及該外部内容來源（CS1) 914來執行 SK產生、SK加密及内容加密。系統9〇〇包括一集中式BAK 加密器912，用以接收來自CS2 BAK產生器924及CS1 BAK 產生器916的未加密之BAK。回應動作為，該集中式BAK加密器912將一已加密之BAK提供給PDSN 910，以回應一 BAK 要求。該集中式BAK加密器912進一步與訂購伺服器932，以交涉TK要求及TK—RAND/值對。 87743 -66- 1280768 圖13顯示用於提供RK的時序圖。垂直轴表示時間軸，而且在上方的水平軸上提供系統元件。ME起始驗證金鑰協定 (Authenticated Key Agreement ; AKA)程序的方式為，將一訊息傳送至MSC(當做VLR)。圖中的方塊以標示AKA來識別為AKA程序。接著，MSC將一鑑認向量（AV)要求傳送至 HLR。HLR選擇一 RAND值並且據此產生AV。AV可包括一亂數RAND以及變數，如下所示： AUTH=fl(RAND, K) (13) XRES-f2(RAND? K) (14) CK=f3(RAND，Κ) (15) 其中fl、f2、f3等等係用來指示用來計算變數所使用的不同函數。 HLR將AV提供給MSG或VLR。請注意，如果MSC具有一備用AV，則會使用該備用AV並且不需要向HLR要求一 AV。來自AV的資訊被轉遞至UIM，由UIM來驗證鑑認並且計算所處理的變數。然後，由MSC來驗證此類處理。MSC驗證鑑認的方式為，按照方程式（13)來計算AUTH，並且進一步計算下列變數： RES=f2(RAND，K) (16) RK=CK=f3(RAND5 K) (17) 將RK值傳送至SS，由SS繼續進行驗證程序。接著，SS執行進一步驗證，其方式為選擇一亂數RAND2並且計算： AUTH2=fl(VER_RAND2? RK) (18) SS將鑑認資訊提供給UIM，由UIM來驗證鑑認ϋ且將認可 87743 -67- 1280768 (或否定認可）提供給ME ° 圖14顯示用以解說SS產生已加密之BAK值的時間圖。請參閱圖9所示之實例，該BAK散發伺服器（或加密器）616將一 BAK要求傳送至SS 618，而該SS 618使用1^來加密8人1^以構成EBAK。SS 618將EBAK傳送至該BAK散發伺服器616。如圖14所示，ME經由B AK加密器來向SS要求B AK。ME將一 BAKreq訊息傳送至該BAK加密器。然後，該BAK加密器將 BAK及相關資訊傳送至SS。SS接收BAK並且產生一已加密之 BAK(Encrypted BAK ; EBAK)。該 EBAK被轉遞至 UIM，由UIM解密EBAK以還原BAK，其計算方式如下： BAK=D[EBAK5 RK] (19) 其中D[]是解密運算子。UIM計算下列方程式以進一步驗證 BAK ： AUTH_BAK=fl(RAND__BAK5 BAK) (20) UIM傳送一認可或失敗訊息以回應此驗證。當驗證失敗時，由ME執行或起始失敗處理。請注意，在整份說明書中，角於計算變數的各種函數可能是相同函數，或可能個別指圖15顯示用於解說本地加密型BAK處理的時序圖。請參閱圖9所示之實例，該BAK散發伺服器（或加密器）616將一 TK要求傳送至SS 618，而該SS 618使用根目錄機碼及一亂碼TK_RAND來構成TK〇 SS 618將TK_RAND傳送至該BAK 散發伺服器616。接著，該B AK散發伺服器616使用TK__RAND 來加密BAK。如圖15所示，ME將一 BAKreq訊息傳送至該 87743 -68- 1280768 BAK加密器。如果該BAK加密器沒有目前的訂購資料，貝|J 該BAK加密器會向SS要求訂購資料。如果該BAK加密器沒有一 TK值對，則SS會選擇一亂數TK—RAND，並且按照下列方程式來計算TK : TK=f(TKBAND，RK)。（21) SS將數組（TK—RAND，TK)值對傳送至該BAK加密器。該 BAK加密器使用TK來加密BAK以計算出EBAK。接著，該 BAK加密器將EBAK、TK—RAND及其他BAK資訊提供給 ME，由ME將資訊轉遞至UIM。UIM按照方程式（21)來計算 TK、按照方程式（19)來計算EBAK及按照方程式（20)來計算 AUTH_BAK 〇 UIM驗證BAK，並且據此將一認可或失敗訊息傳送至ME。當驗證失敗時，由ME執行或起始失敗處理。、圖16所示的安全保護處理為，在鑑認程序期間，當本地 Β ΑΚ已接收到AV，並且接著使用來自AV的亂數值來產生 ΤΚ。在此情況下，Β ΑΚ加密器就是VLR。該Β ΑΚ加密器將一 AV要求傳送至SS(被視為HLR)。回應動作為，SS選擇一亂數RAND，並且分別按照方程式（13)、（14)及（15)來計算 AUTH、XRES及CK。SS將AV傳送至該BAK加密器’由該BAK 加密器來加密BAK而構成EBAK。接著’該BAK加决、益將 RAND、EBAK及BAK資訊提供給ME，由ME將資訊轉遞至 UIM。UIM按照方程式（21)來計算TK、按照方程式（19)來計算EBAK及按照方程式（20)來計算AUTHJBAK。UIM驗證 Β AK，並且據此將一認可或失敗訊息傳送至ME。當驗證失敗時，ME執行或起始失敗處理。 87743 -69- 1280768 圖17顯示用於解說鏈路層加密的時序圖，其中BSC將SK 及内容加密。請參閱圖9及圖10,其中BSC 708執行SK產生、 SK加密及内容加密。如圖17所示，該B AK加密器將B AK、 BAK資訊及SK資訊提供給BSC。BSC選擇一 SK，並且使用 BAK來加密SK以構成ESK。BSC進一步選擇一亂數 SK一RAND，並且按照下列方程式來計算AUTH—SK : AUTH—SK=fl(SK—RAND，SK)。（22) BSC將 ESK、SK_RAND、AUTH_SK及BAK資訊提供給ME，由ME將資訊轉遞至UIM。UIM計算SK的方式如下： SK=D[ESK，BAK]， (23) 以及按照下列方程式（22)來計算AUTH_SK。接著，UIM將 SK或失敗訊息傳送至ME。當驗證失敗時，ME執行或起始失敗處理。為了驗證SK’現在有可用於保密通信的已加密鏈路。金鑰驗證是通信系統中的進一步安全保護考量。如果在 SS、BAK加密器等等的通信及/或處理混亂，則UIM可能會推導出錯誤的值金鑰。因此，UIM需要判定是苔已正確提供RK、BAK及SK。根據一項具體實施例，會使用一與一既定金鑰相關的亂數來執行驗證，並且使用該亂數來執行該既定金鑰的驗證作業。接著，將驗證結果傳送給UIM。UIM 檢查驗證結果。例如，假設Kx表示RK、BAK、SK或通信系統中指定用於加密的任何其他金鑰。已建置金鑰Κχ的實體先選擇一亂數RAND—Kx。接著，該實體按照下列方程式來計算一驗證結果： 87743 -70- 1280768 VERIF—Kx=f(RAND—Κχ，Κχ) ° (24) 然後，該實體將（RAND_Kx，VERIF_Kx)值對傳送至UIM。接著，UIM按照方程式（24)之定義來檢查該驗證結果，以判定該Kx是否正確。如果該驗證結果正確，則UIM接受金鑰。否則，UIM執行金鑰驗證錯誤處理，這可包括向相關實體通知金鑰錯誤。如果實體未接收到來自UIM的回應，則該實體假設正確接收到金鑰。同樣地，實施ΒΑΚ驗證，其中在將ΕΒΑΚ傳送至UIV[之前，該ΒΑΚ加密器會先執行一驗證程序。該ΒΑΚ加密器選擇一亂數RAND_BAK，並且按照下列方程式來計算一驗證結果· VERIF—BAK=fl(RAND_BAK，BAK)， (25) 其中ΒΑΚ是所要驗證的金鑰。該ΒΑΚ加密器將（ΕΒΑΚ, RAND-BAK，VERIF_BAK)傳送至UIM。該ΒΑΚ加密器還可傳送額外資訊。UIM解密ΕΒΑΚ並且確認方程式（25)。經過確認後，UIM會使用所推導出的ΒΑΚ值；否則，UIM向該ΒΑΚ 加密器通知Β ΑΚ錯誤。請注意，在金瑜驗證中，RAND_Kx可包括一 TIME值。在此情況下，VERIF_Kx變成用於驗證將Kx傳送至UIM之時間的「時間戳記」。以此方式可阻止回覆攻擊，其中有人會在已使用金鑰之後的某時間，藉由傳送相同封包來嘗試使 UIM感到困惑。UIM會偵測到TIME錯誤。攻擊者無法變更 TIME，因為變更TIME也會變更VERIF—Kx值。熟習此項技術者應明白，可使用各種不同用詞或技術的 87743 -71 - 1280768 任一種來代表資訊及信號。例如，資料、指令、命令、資訊、信號、位元、符號及晶片有利於以電壓、電流、電磁波、磁場或粒子、光場或粒子、或其任何組合來表示。熟習此項技術者應進一步明白，配合本文所發表之具體實施例說明的各種圖解邏輯方塊、模組、電路及演算法步驟可實施為電子硬體、電腦軟體或其組合。為了清楚解說硬體與軟體的互換性，前文中已就功能而論作廣泛說明各種圖解的組件、區塊、模組、電路及步騾。視特定應用及影響整個系統的設計限制條件而定，將功能實施成硬體或軟體。熟習此項技術者可以用每種特別應用的不同方法來實施所述的功能，但這種實施決定不能視為背離本發明之範圍。可使用一般用途處理器、數位信號處理器（DSP)、專用積體電路（ASIC)、場可程式規劃閘極陣列（FPGA)或其他可程式規劃邏輯裝置（PLD)、離散閘極或電晶體邏輯、離散硬體組件或其任何的組合以執行本文所說明的功能，以實施或執行配合本文所發表之具體實施例說明的各種圖解邏輯方塊、模組及電路。一般用途處理器可能是微處理器，但是在替代方案中，處理器可能是任何傳統處理器、控制器、微控制器或狀態機器。處理器可實施為電腦裝置的組合，例如DSP和微處理器的組合、複數個微處理器、連接DSP核心的一個或一個以上微處理器或任何其他此類的組態。配合本文中揭示之具體實施例中說明的方法或演算法步驟可直接用硬體、處理器執行的軟體模組或軟硬體組合具 87743 -72- 1280768 體化。軟體模組可駐存於RAM記憶體、快閃記憶體、ROM 記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可抽取磁碟、CD-ROM、或此項技術中所熟知之任何其他形式的儲存媒體中。一種示範性儲存媒體係_合處理器，以致於處理器可自儲存媒體中讀取資訊，以及寫入資訊到儲存媒體。在替代方案中，儲存媒體可被整合至處理器中。處理器和儲存媒體可駐存在ASIC中。該AS 1C可存在於一使用者終端機中。在替代方案中，處理器和儲存媒體可當作散離組件駐存在使用者終端機中。前文中提供所揭示具體實施例的說明，讓熟習此項技術者可運用或利用本發明。熟習此項技術者應明白這些具體實施例的各種修改，並且本文中定義的一般原理可適用於其他具體實施例，而不會脫離本發明的精神或範疇。因此，本發明不受限於本文中提出的具體實施例，而是符合與本文中所說明的原理及新穎功能一致的最廣泛的範疇。【圖式簡單說明】圖1A顯示加密系統的圖式。圖1B顯示對稱式加密系統的圖式。圖1C顯示非對稱式加密系統的圖式。圖1D顯示PGP加密系統的圖式。圖1E顯示PGP解密系統的圖式。圖2顯示支援數名使用者之展頻通信系統的圖式。圖3顯示支援播送傳輸之通信系統的方塊圖。圖4顯示無線通信系統中之行動台的方塊圖。 87743 -73 - l28〇768 圖5顯示用於描述更新行動台内之用於控制播送存取、金瑜的模型。圖6顯示用於描述UIM内之密碼編譯作業的模型。支援播送傳輸的無線傳圖7A至圖7D顯示一種用於在一輸系統中實施安全保護加密之方法。圖7E顯示用於在一支援播送傳輸的無線傳輸系統中之安全保護選擇更新週期的時序圖。圖8A至圖8D顯不一種用於在一古德後、兰扁认』、杜支杈播运傳輸的無線傳輸系統中實施安全保護加密方法之應用。圖9顯示用於解說在一種$藉姚你裡文挺播迗傳輸的無線傳輸系統中之安全保護的高階架構圖。、圖10顯示一種採用鏈路層内容加密之通信系統的方塊圖11顯示一種採用端對端内容加密之通信系統的方塊圖12顯示一之通種採用集中式播送存取金鑰（BAK)加密信系統的方塊圖。

圖16顯示用於解說在通信系統中使用鑑認向量（AV)來產 87743 -74- 1280768 生臨時金鑰（τκ)的時序圖。圖1 7顯示用於解說在通信系統中之鏈路層加密的時序圖。圖18顯示支援播送服務及多點播送服務之通信系統。圖19顯示用於解說内容伺服器（CS)所執行之播送存取金鑰（ΒΑΚ)更新的時序圖。圖20顯示用於解說服務提供者（SP)所執行之ΒΑΚ更新的時序圖。圖21顯示藉由組合在一播送頻道上所傳送之資訊，以從一個ΒΑΚ來推導出解密金鑰的圖式。圖22顯示一種支援BCMCS的通信系統架構。圖23顯示在支援BCMCS的通信系統中之註冊金鑰（RK)建置的時序圖，其中本方服務提供者不擁有内容伺服器（CS)。圖24顯示一種支援BCMCS的通信系統架構，其中本方服務提供者擁有内容伺服器（CS)。圖25顯示經由開通處理（provisioning)來建立多點播送服務之承載（bearer)路徑的時序圖。圖26顯示經由開通處理來建立單點播送服務之承載路徑的時序圖。圖27顯示經由MS註冊來建立多點播送服務之承載（bearer) 路徑的時序圖。【圖式代表符號說明】 10 基本加密系統 20 對稱式加密系統 87743 75 1280768 30 非對稱式加密系統 50 PGP力口密系統 100 通訊系統 102A-102G 細胞 104A-104G，204 基地台 106 終端機 200 無線通訊系統 201， 502, 602 内容伺服器（CS) 202 封包資料服務節點（PDSN) 206, 300 MS(行動台） 302 天線 304 接收電路 306, 540, 704 行動設備（ME) 308, 512, 522，使用者識別模組（UIM) 532, 608, 702 310, 540 記憶體儲存單元（MEM) 312 處理單元 314, 510, 520, 530 保密使用者識別模組記憶體單元 (SUMU) 316, 514 保密使用者識別模組處理單元 (SUPU) 350, 1000, 1100，系統 700, 800, 900 504, 560, 544 編碼器 87743 -76 - 1280768 508, 518 函數 516 解碼器 604 内容加密器（CE) 606 播送接收器 610 内容存取管理員 612 BAK產生器 614 服務授權單元 616 B AK散發伺服器 618, 734, 932 訂購伺服器（SS) 620 鑑認伺服器 706 MSC 708 基地台控制器/封包控 (BSC/PCF)節點 710, 810, 910 封包資料伺服節點（PDSN) 714, 814, 914 外部内容來源（CS1) 716, 916 CS1 BAK產生器 718 CS1 BAK加密器 720, 820 本地協力廠商内容提供者 722 内部内容來源（CS2) 724, 924 CS2 BAK產生器 726 CS2 BAK加密器 728 本方網路 730 鑑認中心（AC) 732 實體 87743 -77 - 1280768 818 BAK力π密器 822, 922 内容來源（CS2) 912 集中式Β ΑΚ加密器 87743 87743 -78 -

Claims

1280768 拾、申請專利範園： 1. 一種在支援播送服務之通信系統中之加密金鑰管理方法，包括：向一本方網路内容提供者要求一遠端遠端台的根目錄機碼（root key); 套用一鑑認程序，以將該根目錄機碼散發給該遠端站台；以及將該根目錄機碼儲存在該遠端站台的一使用者識別模組（UIM)中。 2. —種在支援播送服務之通信系統中之加密金鑰管理方法’包括：將一根目錄機碼儲存在一遠端站台的一使用者識別模組（UIM)中；接收一播送服務的一已加密之播送存取金鑰（EBAK); 依據該根目錄機碼來解密該EBAK。 3. 如申請專利範圍第2項之方法，其中使用一臨時金鑰（TK) 將該EBAK加密，該方法進一步包括：接收一與該臨時金鑰（TK)相關的亂數；使用該根目錄機碼以從該亂數來產生該TK ; 使用該TK來解密該EBAK。 4. 如申請專利範圍第3項之方法，其中會定期更新該EBAK，並且每個EBAK都具有一相關之BAK識別項，其中每個 EBAK都具有一相關之TK及亂數。 5. 如申請專利範圍第2項之方法，其中會在一受訪内容伺服 87743 1280768 器上將該EBAK加密。 6. 如申請專利範圍第5項之方法，其中由本方内容伺服器來產生該ΤΚ及亂數。 7. —種在支援播送服務之通信系統中之加密金鑰管理方法’包括：接收一已加密之短期金鑰（SK)，其中會使用一播送存取金鑰（ΒΑΚ)將該SK加密；使用該ΒΑΚ來解密該SK。 8. —種保密傳輸方法，包括：接收一保密傳輸要求；要求一播送存取金鑰：接收一已加密之播送存取金鑰；按照該播送存取金鑰來產生一短期金鑰；以及基於保密傳輸考量將内容加密。 87743