亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于廣播服務(wù)傳輸和接收的裝置和方法

文檔序號:7609469閱讀:213來源:國知局
專利名稱:用于廣播服務(wù)傳輸和接收的裝置和方法
技術(shù)領(lǐng)域
本公開涉及一種用于廣播服務(wù)傳輸和接收的方法和裝置。尤其是,本發(fā)明公開的內(nèi)容旨在利用用于加密和解密的密鑰提供廣播服務(wù)傳輸和接收。
背景技術(shù)
當(dāng)前,人們預(yù)測通信裝置的用戶希望在通信裝置上接收廣播服務(wù)的傳輸。例如,移動通信裝置的用戶會希望接收被傳輸給多用戶的體育事件、新聞頻道、電影等等的傳輸。這些廣播服務(wù)傳輸通常被加密或編碼。例如,廣播服務(wù)傳輸可以被加密,從而需要用戶在傳輸時注冊?;谧?,用戶接收廣播訂閱密鑰,該密鑰允許用戶解碼廣播服務(wù)傳輸。
不幸地是,在接收廣播訂閱密鑰之前,會有一個明顯的延遲。例如,在給用戶發(fā)送廣播訂閱密鑰之前,系統(tǒng)會期望鑒權(quán)某個用戶,用戶的支付方法,等等。當(dāng)系統(tǒng)執(zhí)行該鑒權(quán)時,用戶被強(qiáng)制等待接收廣播服務(wù)傳輸。
而且,存在另一個問題,即在支付傳輸費(fèi)用之前,用戶會希望預(yù)覽廣播服務(wù)傳輸。例如,用戶期望在支付費(fèi)用之前預(yù)覽傳輸?shù)馁|(zhì)量、傳輸?shù)膬?nèi)容等等。不幸地是,一旦用戶接收到廣播訂閱密鑰,用戶就能夠解碼整個廣播服務(wù)傳輸而不用支付費(fèi)用。因此,當(dāng)前系統(tǒng)不允許用戶在用戶在為傳輸注冊之前預(yù)覽加密的廣播服務(wù)傳輸。
因此,需要一種用于廣播服務(wù)傳輸和接收的改進(jìn)的方法和裝置。


本發(fā)明的實施例將參考下面的附圖被描述,其中相同的標(biāo)記表示相同的元件,并且其中圖1是根據(jù)一個實施例的系統(tǒng)的典型的方框圖;圖2是根據(jù)一個實施例的通信裝置的典型的方框圖;圖3是根據(jù)一個實施例的密鑰RK、BAK、BAK加密的SK以及RK加密的SK的傳輸和處理的典型的例圖;圖4是根據(jù)一個實施例產(chǎn)生的各種密鑰的典型的例圖;圖5是示出根據(jù)一個實施例的注冊過程的典型的流程圖;圖6是概要列出根據(jù)一個實施例的內(nèi)容服務(wù)器與通信裝置之間的訂閱過程的典型流程圖;圖7是概要列出根據(jù)一個實施例的一種用于在支持廣播服務(wù)的無線通信系統(tǒng)中的安全加密的更新密鑰的方法的典型流程圖;圖8是概要列出根據(jù)一個實施例當(dāng)訪問廣播服務(wù)時通信裝置的操作的典型流程圖;圖9是根據(jù)一個實施例的用于公開系統(tǒng)的操作的時間周期的典型例圖;圖10是概要列出根據(jù)一個實施例的提供初始短時更新密鑰信息的操作的典型例圖;圖11是概要列出根據(jù)另一個實施例的通信裝置中的更新密鑰的方法的典型流程圖;圖12是概要列出根據(jù)一個實施例的通信裝置的操作的典型的流程圖;圖13是概要列出根據(jù)另一個實施例的公開的系統(tǒng)的操作的時間周期的典型例圖;圖14是根據(jù)一個實施例的在無線通信系統(tǒng)中的注冊過程的典型的例圖;圖15是根據(jù)一個實施例的在系統(tǒng)中的訂閱過程的典型的例圖;圖16是根據(jù)一個實施例的在系統(tǒng)中的密鑰管理和更新的典型的例圖;
圖17是根據(jù)一個實施例的用于系統(tǒng)中的初始短時更新密鑰的密鑰管理的典型的例圖;圖18是根據(jù)一個實施例在系統(tǒng)中注冊和訂閱之后處理廣播內(nèi)容的典型的例圖。
具體實施例方式
本發(fā)明提供一種用于加密的廣播服務(wù)傳輸和接收的方法和裝置。根據(jù)一個實施例,該方法包括請求廣播服務(wù)傳輸、在接收用于請求的廣播服務(wù)傳輸?shù)膹V播訂閱密鑰之前接收初始短時更新密鑰信息、接收加密的廣播服務(wù)傳輸、并且利用初始短時更新密鑰信息解密加密的廣播服務(wù)傳輸。
該方法還可以包括接收廣播訂閱密鑰、接收短時更新密鑰信息、利用廣播訂閱密鑰和短時更新密鑰信息確定短時更新密鑰、接收加密的廣播服務(wù)傳輸,并且利用短時更新密鑰解密加密的廣播服務(wù)傳輸??梢皂憫?yīng)于同意支付廣播服務(wù)傳輸費(fèi)用的用戶執(zhí)行這些步驟。也可以響應(yīng)于授權(quán)用戶接收廣播服務(wù)傳輸執(zhí)行這些步驟。
初始短時更新密鑰信息可以包括加密的短時更新密鑰。該方法還可以包括利用注冊密鑰或任意其它有用密鑰來解密加密的短時更新密鑰,從而獲得解密的短時更新密鑰。利用初始短時更新密鑰信息來解密加密的廣播服務(wù)傳輸?shù)牟襟E還可以包括利用解密的短時更新密鑰來解密加密的廣播服務(wù)傳輸。
加密的短時更新密鑰可以被移動裝置具有的一些其它密鑰,例如A密鑰解密。因此,由于如果注冊密鑰在通信裝置中并不已經(jīng)有效,則注冊密鑰也會需要授權(quán)或者其它類型的較長的協(xié)商,所以移動裝置不需要廣播訂閱密鑰或注冊密鑰來預(yù)覽廣播傳輸。換句話說,初始短時更新密鑰信息可以是A密鑰加密的短時更新密鑰,而不是注冊密鑰加密的短時更新密鑰。
初始短時更新密鑰信息可以是未加密的短時更新密鑰。初始短時更新密鑰信息也可以是未加密的初始短時更新密鑰。初始短時更新密鑰信息也可以是加密的初始短時更新密鑰。請求廣播服務(wù)傳輸還可以包括請求預(yù)覽廣播服務(wù)傳輸。初始短時更新密鑰信息可以包括多組初始短時更新密鑰信息,從而允許解密用于預(yù)定的時間周期的加密廣播服務(wù)傳輸。
初始短時更新密鑰信息可以是原始初始短時更新密鑰信息。該方法可以包括確定原始初始短時更新密鑰信息是期滿的或者將要期滿中至少一個,并且請求另外的初始短時更新密鑰信息,從而在原始初始短時更新密鑰信息已經(jīng)期滿之后,利用另外的初始短時更新密鑰信息繼續(xù)解密加密的廣播服務(wù)傳輸。
根據(jù)另一個實施例,本公開提供一種用于加密的廣播服務(wù)接收的裝置。該裝置可以包括用來請求廣播服務(wù)傳輸?shù)膫鬏斊?;在接收用于被請求的廣播服務(wù)傳輸?shù)膹V播訂閱密鑰之前用來接收初始短時更新密鑰信息的接收器;包括安全用戶識別模塊存儲單元的用戶識別模塊;以及用來利用初始短時更新密鑰信息解密加密的廣播服務(wù)傳輸?shù)奶幚砥?,其中接收器還被構(gòu)造成接收加密的廣播服務(wù)傳輸,安全用戶識別模塊存儲單元安全地存儲廣播訂閱密鑰和注冊密鑰。
接收器還可以被構(gòu)造成接收廣播訂閱密鑰并接收短時更新密鑰信息。用戶識別模塊還可以包括安全用戶識別模塊處理單元,該處理單元利用廣播訂閱密鑰和短時更新密鑰信息確定短時更新密鑰。該處理器還可以被構(gòu)造成利用解密的短時更新密鑰來解密加密的廣播服務(wù)傳輸。
初始短時更新密鑰信息可以包括加密的短時更新密鑰。用戶識別模塊還可以包括安全用戶識別模塊處理單元,該安全用戶識別模塊處理單元被構(gòu)造成利用注冊密鑰解密加密的短時更新密鑰,從而獲得解密的短時更新密鑰。該處理器還可以通過利用從初始短時更新密鑰信息解密的解密短時更新密鑰解密加密的廣播服務(wù)傳輸,利用初始短時更新密鑰信息解密加密的廣播服務(wù)傳輸。
初始短時更新密鑰信息可以包括未加密的短時更新密鑰。初始短時更新密鑰信息或者可包括未加密的初始短時更新密鑰。初始短時更新密鑰信息還可以包括多組初始短時更新密鑰信息,從而允許解密用于預(yù)定時間周期的加密廣播服務(wù)傳輸。
初始短時更新密鑰信息可以是原始初始短時更新密鑰信息。然后,該處理器還可以被構(gòu)造成確定原始初始短時更新密鑰信息是期滿的或者將要期滿中至少一個,并且請求另外的初始短時更新密鑰信息,從而在原始初始短時更新密鑰信息已經(jīng)期滿之后,利用另外的初始短時更新密鑰信息繼續(xù)解密加密的廣播服務(wù)傳輸。
因此,例如本公開涉及在授權(quán)之前的廣播服務(wù)傳輸和接收。可以在廣播服務(wù)的接收被授權(quán)和/或給用戶開帳單之前提供廣播服務(wù)。該服務(wù)可以利用期滿的密鑰提供最短的時間,其中至少一個密鑰可以提供給用戶用于在完成鑒權(quán)和/或開帳單之前快速解密廣播內(nèi)容。如果第一密鑰在最短的時間之前期滿,那么也可以提供第二密鑰。根據(jù)一個例子,授權(quán)可以包括從內(nèi)容提供商那里獲得訂閱密鑰。因此,用戶可以被鼓勵通過使內(nèi)容提供商提供服務(wù)的免費(fèi)樣品來嘗試不同的廣播服務(wù),從而建立付費(fèi)訂戶會接收的質(zhì)量的內(nèi)容。通過在用戶被授權(quán)和/或訂閱服務(wù)之前允許數(shù)據(jù)被解密來減少初始化服務(wù)的延時,用戶還可以被鼓勵來嘗試不同的廣播服務(wù)。
圖1是根據(jù)一個實施例的系統(tǒng)100的典型方框圖。系統(tǒng)100包括網(wǎng)絡(luò)控制器140、網(wǎng)絡(luò)110以及一個或多個終端120和130。終端120和130可以包括通信裝置,例如電話、無線電話、蜂窩電話、PDAs、尋呼機(jī)、個人電腦、移動通信裝置或者任意其它裝置,該裝置能夠在例如無線網(wǎng)絡(luò)的網(wǎng)絡(luò)上發(fā)送和接收通信信號。
在示例實施例中,網(wǎng)絡(luò)控制器140連接到網(wǎng)絡(luò)110??刂破?40可以位于基站、無線網(wǎng)絡(luò)控制器或者網(wǎng)絡(luò)110上的任何其它地方。網(wǎng)絡(luò)110可以包括能夠發(fā)送和接收例如無線信號的信號的任意類型的網(wǎng)絡(luò)。例如,網(wǎng)絡(luò)110可以包括無線電信網(wǎng)絡(luò)、蜂窩電話網(wǎng)絡(luò)、衛(wèi)星通訊網(wǎng)絡(luò)和其它能夠發(fā)送和接收通信信號的類似通信系統(tǒng)。進(jìn)而,網(wǎng)絡(luò)110可以包括不止一個網(wǎng)絡(luò),并且可以包括多個不同類型的網(wǎng)絡(luò)。因此,網(wǎng)絡(luò)110可以包括多個數(shù)據(jù)網(wǎng)絡(luò)、多個電信網(wǎng)絡(luò)、數(shù)據(jù)和電信網(wǎng)絡(luò)的組合以及能夠發(fā)送和接收通信信號的其它類似通信系統(tǒng)。
根據(jù)一個實施例,系統(tǒng)100支持廣播服務(wù),例如高速廣播服務(wù)(HSBS)、廣播/組播服務(wù)或者其它任何廣播服務(wù)。HSBS的應(yīng)用例子是電影、體育比賽等等的視頻流。HSBS服務(wù)可以是基于因特網(wǎng)協(xié)議(IP)的分組數(shù)據(jù)服務(wù)。根據(jù)一個典型實施例,服務(wù)提供商可以對用戶指示這種高速廣播服務(wù)的可用性。期望HSBS服務(wù)的用戶訂閱接收該服務(wù)并且通過廣告、短信服務(wù)(SMS)、無線應(yīng)用協(xié)議(WAP)等等發(fā)現(xiàn)廣播服務(wù)時間表。網(wǎng)絡(luò)控制器140和基站(BS)可以在附加信息中傳輸HSBS相關(guān)參數(shù)。當(dāng)通信裝置希望接收廣播服務(wù)時,通信裝置可以讀取附加信息并了解適合的構(gòu)造。然后,通信裝置調(diào)到包含HSBS頻道的頻率,并接收廣播服務(wù)內(nèi)容。
HSBS服務(wù)具有多個可能的訂閱/收入模型,包括免費(fèi)訪問、受控訪問和部分受控訪問。對于免費(fèi)訪問,通信裝置不需要訂閱來接收服務(wù)?;究梢圆患用艿貜V播內(nèi)容,并且感興趣的通信裝置可以接收該內(nèi)容。服務(wù)提供商的收入可以通過廣告產(chǎn)生,其中廣告也可以在廣播頻道中被傳輸。例如,即將到來的電影剪輯可以被傳輸,其中電影制片廠將為此向服務(wù)提供商付費(fèi)?;具€可以加密免費(fèi)服務(wù)的內(nèi)容,從要求用戶為免費(fèi)服務(wù)注冊。
對于受控訪問,通信裝置用戶訂閱服務(wù)并會支付相應(yīng)的費(fèi)用來接收廣播服務(wù)。未訂閱的用戶不被允許接收HSBS服務(wù)。受控訪問可以通過加密HSBS傳輸/內(nèi)容來實現(xiàn),因此僅訂閱用戶可以解密該內(nèi)容。這會使用無線電的加密密鑰互換過程。該方案提供了很強(qiáng)的安全性并能幫助防止服務(wù)被盜用。
混合訪問方案,也稱為部分受控訪問,提供作為基于訂閱的服務(wù)的加密HSBS服務(wù)和斷續(xù)的未加密的廣告?zhèn)鬏?。這些廣告將鼓勵訂閱加密HSBS服務(wù)。這些未加密片段的時間表通過外部裝置被通信裝置所知。
例如,視頻和音頻信息通過例如內(nèi)容服務(wù)器的網(wǎng)絡(luò)控制器140被提供給網(wǎng)絡(luò)110,網(wǎng)絡(luò)110例如是分組數(shù)據(jù)服務(wù)網(wǎng)絡(luò)(PDSN)。視頻和音頻信息可以來自于電視節(jié)目或者無線電傳輸。該信息可以作為分組化數(shù)據(jù)而提供,例如在IP包中。PDSN可以處理IP包,以在包括在網(wǎng)絡(luò)110中的接入網(wǎng)絡(luò)(AN)中分配。AN可以被定義為系統(tǒng)100的一部分,其中系統(tǒng)100包括與多個通信裝置120和130進(jìn)行通信的網(wǎng)絡(luò)110上的基站。對于HSBS服務(wù),基站可以接收通過網(wǎng)絡(luò)110傳輸?shù)男畔⒘鞑⒃谥付ǖ男诺郎蠈⑿畔⑻峁┙o系統(tǒng)100內(nèi)的訂戶,例如終端120和130。為了控制訪問,在內(nèi)容被提供給網(wǎng)絡(luò)110之前,內(nèi)容可以被網(wǎng)絡(luò)控制器140加密。訂戶具有解密密鑰,因此IP包可以被解密。
根據(jù)一個實施例,網(wǎng)絡(luò)控制器140可以通過接收廣播服務(wù)傳輸?shù)恼埱?,在傳輸用于請求的廣播服務(wù)傳輸?shù)膹V播訂閱密鑰之前傳輸初始短時更新密鑰信息以及傳輸加密的廣播服務(wù)傳輸來提供廣播服務(wù)。網(wǎng)絡(luò)控制器140還可以通過授權(quán)用戶接收廣播服務(wù)傳輸,響應(yīng)于授權(quán)用戶接收廣播服務(wù)傳輸而傳輸廣播訂閱密鑰以及傳輸短時更新密鑰信息來提供廣播服務(wù),其中短時更新密鑰信息包括廣播訂閱密鑰單元和短時更新密鑰單元,其中加密的廣播服務(wù)傳輸利用短時更新密鑰單元被加密。授權(quán)用戶接收廣播服務(wù)傳輸可以包括根據(jù)授權(quán)用戶對廣播服務(wù)傳輸?shù)闹Ц斗椒▉硎跈?quán)用戶。
初始短時更新密鑰信息可以包括加密的短時更新密鑰。網(wǎng)絡(luò)控制器140還可以通過利用注冊密鑰來加密短時更新密鑰提供廣播服務(wù),從而獲得初始短時更新密鑰信息。
初始短時更新密鑰信息可以包括未加密的短時更新密鑰。初始短時更新密鑰信息或者可包括未加密的初始短時更新密鑰。接收廣播服務(wù)傳輸?shù)恼埱笠部梢园ń邮疹A(yù)覽廣播服務(wù)傳輸?shù)恼埱?。初始短時更新密鑰信息可以包括多組初始短時更新密鑰信息,從而允許解密預(yù)定時間周期的加密的廣播服務(wù)傳輸。
初始短時更新密鑰信息可以是原始初始短時更新密鑰信息。那么,網(wǎng)絡(luò)控制器140也可以通過接收另外的初始短時更新密鑰信息,確定預(yù)覽周期是否接近期滿以及如果預(yù)覽周期不接近期滿則發(fā)送另外的初始短時更新密鑰信息來提供廣播服務(wù)。
因此,例如,由于在接收廣播訂閱密鑰(BAK)中會有延遲,并因為注冊密鑰(RK)已經(jīng)出現(xiàn)在終端120上,因此等待時間會減少。然后,這個注冊密鑰可以被用來在有限的時間內(nèi)解密來自初始短時更新密鑰信息(例如,SK_RANR)的短時更新密鑰(SK)。該短時更新密鑰可以被用來解密廣播服務(wù)傳輸。例如,初始短時更新密鑰信息可以在有限的時間之后期滿。通常,在有限時間的最后,用戶可以接收廣播訂閱密鑰來繼續(xù)解密廣播服務(wù)傳輸,用戶也可以停止解密廣播服務(wù)傳輸,或者用戶也可以請求另外的初始短時更新密鑰信息。多組初始短時更新密鑰信息可以被發(fā)送給用戶,從而允許用戶繼續(xù)在預(yù)定的時間解密廣播服務(wù)傳輸。而且,初始短時更新密鑰信息的提供商會檢測特定的時間窗內(nèi)的“免費(fèi)樣品”的多個請求。然后,提供商可以選擇不提供初始短時更新密鑰信息,并因此要求用戶獲得廣播訂閱密鑰來繼續(xù)傳輸?shù)慕饷堋?br> 圖2是根據(jù)一個實施例的例如終端120的通信裝置200的典型方框圖。通信裝置200可以包括連接到例如傳輸器和/或接收電路的收發(fā)器204的天線202。通信裝置200可以接收來自網(wǎng)絡(luò)110上的基站的傳輸。通信裝置200可以包括用戶識別模塊(UIM)208和移動裝置(ME)206。收發(fā)器204可以被連接到UIM208和ME206。UIM208可以應(yīng)用驗證過程以用于HSBS傳輸?shù)陌踩?,并可以提供各種密鑰給ME206。ME206可以連接到處理單元212。ME206可以執(zhí)行基本的過程,包括但不限制于HSBS內(nèi)容流的解密。ME206可以包括存儲器單元、MEM210和處理器201。在典型實施例中,處理器201中的數(shù)據(jù)和存儲器單元MEM210中的數(shù)據(jù)可以通過利用有限的資源輕易被非訂戶訪問,因此,ME206被認(rèn)為不安全。因此,傳遞至ME206或者由ME206處理的任何信息僅在很短的時間里安全地保密。因此,希望例如密鑰的ME 206所共享的任何秘密信息都能經(jīng)常被改變。
UIM208委托存儲并處理秘密信息,例如加密密鑰,應(yīng)當(dāng)長時間將其保密。由于UIM208是安全單元,所以存儲在那里的秘密不必需要系統(tǒng)100來經(jīng)常改變秘密信息。UIM208可以包括被稱為安全UIM處理單元(SUPU)216的處理單元以及被稱為安全UIM存儲單元(SUMU)214的存儲器單元,其中安全UIM存儲單元214被相信是安全的。在UIM208中,SUMU214以阻止對信息的未授權(quán)的訪問的方式存儲秘密信息。例如,需要相當(dāng)大量的資源從UIM208獲得秘密信息。還是在UIM208中,SUPU216可以執(zhí)行計算在UIM208外部和/或在UIM208內(nèi)部的值。計算的結(jié)果可以被存儲在SUMU214中或轉(zhuǎn)到ME206。SUPU216執(zhí)行的計算可能還是很難被未授權(quán)的實體獲得。例如,執(zhí)行的計算僅僅可能通過具有大量資源的實體從UIM208中獲得。同樣地,被指定存儲在SUMU214(但不輸出到ME206)中的SUPU216的輸出被設(shè)計為由于需要大量的資源而使未授權(quán)的截取很難。除了在UIM208中的安全存儲和處理,UIM208也可以包括不安全的存儲和處理,以用于存儲包括電話號碼、e-mail地址信息、網(wǎng)頁或URL地址信息、調(diào)度函數(shù)等等的信息。
在一個實施例中,UIM208是通信裝置200內(nèi)的固定單元。在另一個實施例中,UIM是可從通信裝置200拆卸的單元。在典型的實施例中,SUPU216在用于安全和密鑰過程之外沒有很大的處理能力,例如允許HSBS的廣播內(nèi)容的解密。替換實施例可以實現(xiàn)具有較強(qiáng)處理能力的UIM。
UIM208可以與特定的用戶相關(guān),并可以主要用來檢驗通信裝置200具有提供給用戶的特權(quán),例如訪問網(wǎng)絡(luò)110。因此,用戶可以與UIM208相關(guān),而不與通信裝置200相關(guān)。而且,相同的用戶可以與多個UIM相關(guān)。
廣播服務(wù)通常面臨一個問題,就是確定如何分配密鑰給訂戶。為了在特定的時間解密廣播內(nèi)容,ME206必須知道當(dāng)前解密密鑰。為了避免服務(wù)被盜用,解密密鑰可以被頻繁改變,例如每分鐘。這些解密密鑰被稱為短時更新密鑰,例如短期密鑰(SK)。SK被用來在短時間內(nèi)解密廣播內(nèi)容。因此,可以假設(shè)SK對于用戶具有一些內(nèi)在的貨幣價值。例如,這個內(nèi)在的貨幣價值可以是注冊花費(fèi)的一部分。因此,SK通常被確定,從而從訂戶的存儲器單元MEM210獲得SK的非訂戶的花費(fèi)超過SK的內(nèi)在貨幣價值。也就是,非法獲得SK的花費(fèi)超過了收益,因此非法獲得SK沒有得到任何利益。結(jié)果是,不需要保護(hù)存儲器單元MEM210中的SK。但是,如果密鑰的壽命長于SK,那么非法獲得密鑰的花費(fèi)小于收益。在這種情況下,從存儲器單元MEM210獲得這樣的密鑰帶來利益。因此,理論上存儲器單元MEM210將不存儲壽命長于SK的秘密或密鑰。
例如內(nèi)容服務(wù)器的網(wǎng)絡(luò)控制器140使用的用于將SK分配到各種訂戶單元的信道被認(rèn)為是不安全的。因此,當(dāng)分配給定的SK時,內(nèi)容服務(wù)器希望使用一種對于非訂戶用戶隱藏SK的值的技術(shù)。進(jìn)而,內(nèi)容服務(wù)器將SK分配給潛在的大量訂戶中的每個,以用于在相對短的期限內(nèi)在各個通信裝置中進(jìn)行處理。已知的密鑰傳輸?shù)陌踩椒ㄊ呛苈模⑶倚枰獋鬏敶罅康拿荑€,并且對于希望的標(biāo)準(zhǔn)通常不可行。一個典型實施例是以非訂戶不能獲得解密密鑰的方式將解密密鑰在小的期限內(nèi)分配給大量的訂戶組的一種可行的方法。
在一個示例實施例中,通信裝置200支持無線通信系統(tǒng)中的HSBS。為了獲得對于HSBS的訪問,用戶必須注冊并且訂閱服務(wù)。一旦訂閱被獲準(zhǔn),各利密鑰將被周期性地更新。在注冊過程中,內(nèi)容服務(wù)器和UIM208與注冊密鑰(RK)達(dá)成協(xié)議,其中注冊密鑰(RK)起到用戶和內(nèi)容服務(wù)器之間的安全關(guān)聯(lián)的作用。然后,內(nèi)容服務(wù)器可以向UIM208發(fā)送被RK加密的進(jìn)一步秘密的信息。RK保持為UIM208中的秘密,例如在SUMU214中的秘密,并且是給定的UIM獨(dú)有的。因此,每一用戶都分配不同的RK。注冊過程本身并不需要給用戶到HSBS的訪問。如上所述,在注冊之后,那么用戶可以訂閱服務(wù)。在訂閱過程中,內(nèi)容服務(wù)器給UIM208發(fā)送例如廣播訪問密鑰(BAK)的公共廣播訂閱密鑰的值。內(nèi)容服務(wù)器向通信裝置200具體是UIM208發(fā)送BAK的值,其中BAK利用UIM208獨(dú)有的RK加密。然后,UIM208通過利用RK恢復(fù)來自加密的版本的原始BAK的值。BAK起到內(nèi)容服務(wù)器和訂戶組之間的安全關(guān)聯(lián)的作用。然后,內(nèi)容服務(wù)器廣播被稱為SK信息、(SKI)的數(shù)據(jù),該數(shù)據(jù)與UIM208中的BAK結(jié)合來取得SK。然后,UIM208傳遞SK到ME206。這樣,內(nèi)容服務(wù)器可以有效地將SK的新值分配給訂戶的ME。
根據(jù)更詳細(xì)的實施例,當(dāng)用戶向給定的內(nèi)容服務(wù)器注冊時,UIM208和內(nèi)容服務(wù)器可以建立安全關(guān)聯(lián)。例如,UIM208和內(nèi)容服務(wù)器可以就安全密鑰RK達(dá)成協(xié)議。盡管如果用戶具有多個UIM,這些UIM可以根據(jù)內(nèi)容服務(wù)器的規(guī)則共享相同的RK,但是RK可以是每個UIM208獨(dú)有的。當(dāng)用戶訂閱由內(nèi)容服務(wù)器提供的廣播信道時進(jìn)行注冊,或者在訂閱之前進(jìn)行注冊。單個的內(nèi)容服務(wù)器可以提供多個廣播信道。內(nèi)容服務(wù)器可以選擇將用戶與所有信道的相同RK關(guān)聯(lián),或者要求用戶對每個信道都注冊,并且將相同的用戶與不同信道上的不同的RK關(guān)聯(lián)。另外,多個內(nèi)容服務(wù)器可以選擇使用相同的注冊密鑰或者要求用戶對于每個內(nèi)容服務(wù)器進(jìn)行注冊并獲得不同的RK。
用于建立安全關(guān)聯(lián)的兩個常見的情況包括在3GPP中使用的授權(quán)密鑰協(xié)議(AKA)以及在IPSec中使用的因特網(wǎng)密鑰交換(IKE)。UIM存儲單元SUMU214根據(jù)AKA可以包含密鑰,例如A密鑰。作為例子,AKA方法被描述。在AKA方法中,A密鑰是僅對UIM和被信任的第三方(TTP)所知的秘密。TTP可以由多于一個實體組成。TTP通常是用戶注冊的移動服務(wù)提供商。在內(nèi)容服務(wù)器和TTP之間所有的通信都是安全的并且內(nèi)容服務(wù)器可以信任TTP并不協(xié)助廣播服務(wù)的未授權(quán)的訪問。當(dāng)用戶注冊時,內(nèi)容服務(wù)器可以通知TTP用戶希望為服務(wù)注冊并且可以提供用戶請求的驗證。TTP可以使用類似于加密散列函數(shù)的函數(shù)來通過A密鑰計算RK以及被稱為注冊密鑰信息(RKI)的另外的數(shù)據(jù)。TTP可在安全信道上將RK和/或RKI連同與提交不相關(guān)的數(shù)據(jù)傳遞到內(nèi)容服務(wù)器。然后,內(nèi)容服務(wù)器可以發(fā)送RKI到通信裝置200。收發(fā)器204可以傳遞RKI到UIM208,并可以傳遞RKI到ME206。然后,UIM208可以通過RKI計算RK以及存儲在UIM存儲單元SUMU214中的A密鑰。然后,RK被存儲在UIM存儲單元SUMU214中,并通常不直接提供給ME206。替換實施例可以使用IKE方案或其它方法來建立RK。RK可以起到內(nèi)容服務(wù)器和UIM208之間的安全關(guān)聯(lián)的作用。
在AKA方法中,RK是在內(nèi)容服務(wù)器、UIM和TTP之間共享的秘密。因此,AKA方法可以意味著,在內(nèi)容服務(wù)器和UIM之間的任意安全關(guān)聯(lián)都可以隱含地包括TTP。由于內(nèi)容服務(wù)器信任TTP不協(xié)助對于廣播通道的未授權(quán)訪問,所以在任意的安全關(guān)聯(lián)中包含TTP不被認(rèn)為是破壞安全性。根據(jù)上述提到的,如果密鑰與ME206共享,則希望經(jīng)常改變密鑰。這是因為在存儲器單元MEM210中存儲的非訂戶訪問信息的危險性,因此允許訪問受控或部分受控服務(wù)。ME 206可以在存儲器單元MEM210中存儲這樣的密鑰SK,該密鑰信息用于解密廣播內(nèi)容。內(nèi)容服務(wù)器必須發(fā)送足夠的信息給訂戶來計算SK。如果訂戶的ME206可以通過此信息計算SK,那么需要用來計算SK的另外的信息可以不是秘密的。在這種情況下,非訂戶的ME206也能通過該信息計算SK。因此,SK的值必須利用內(nèi)容服務(wù)器和SUMU214共享的密鑰在SUPU216中被計算。由于內(nèi)容服務(wù)器和SUMU214共享RK的值,因此RK可以用來安全的產(chǎn)生SK。但是,每個用戶都具有一個唯一的RK值。因此,對于內(nèi)容服務(wù)器而言,它沒有充足的時間為整個廣播服務(wù)傳輸利用每個RK值來加密SK并且將這些加密值傳輸?shù)矫總€訂閱用戶。因此,可以利用其它的技術(shù)。
根據(jù)其它的技術(shù),對于訂閱,為了保證安全信息SK的足夠的分配,內(nèi)容服務(wù)器周期性地分配公共廣播訪問密鑰(BAK)給每個訂戶UIM208。對于每個訂戶,內(nèi)容服務(wù)器利用相應(yīng)的RK加密BAK來獲得被稱為BAKI(BAK信息)的值。然后,內(nèi)容服務(wù)器可以將相應(yīng)的BAKI傳輸給每個訂戶的通信裝置200。例如,BAK可以作為利用RK加密的IP分組被傳輸,其中RK對應(yīng)于每個通信裝置。在典型實施例中,BAKI是一種包含BAK的IPSec包,其中BAK利用作為密鑰的RK被加密。由于RK是每個用戶的密鑰,所以內(nèi)容服務(wù)器必須分別將BAK分別發(fā)送給每個訂戶。因此,BAK不經(jīng)廣播信道上發(fā)送。當(dāng)接收到BAKI時,通信裝置200傳遞BAKI到UIM208。然后,SUPU216利用存儲在SUMU214中的RK值以及BAKI的值計算BAK。然后,BAK的值被存儲在SUMU214中。在典型實施例中,BAKI包含安全參數(shù)索引(SPI)值,該值指示通信裝置200傳遞BAKI到UIM208,并指示UIM208使用RK以用于解密BAKI。
希望更新BAK的周期足夠允許內(nèi)容服務(wù)器將BAK分別發(fā)送給每個訂戶,而不會引起明顯的開銷。由于ME206不被信任在長時間保守秘密,所以UIM208不提供BAK給ME206。BAK起到內(nèi)容服務(wù)器和HSBS服務(wù)的訂戶組之間的安全關(guān)聯(lián)的作用。
下面的段落將討論SK如何在成功的訂閱過程之后被更新。在更新BAK的每個周期內(nèi),提供短期的間隔,在該間隔中SK被分配在廣播信道上。內(nèi)容服務(wù)器利用加密函數(shù)來確定兩個值SK和SKI(SKI),因此SK可以通過BAK和SKI確定。例如,SKI可以是利用BAK作為密鑰的SK的加密。在典型的實施例中,SKI是包含SK的IPSec包,其中SK利用作為密鑰的BAK被加密。可選的是,SK可以是將加密散列函數(shù)施加到塊SKI和BAK的級聯(lián)的結(jié)果。
SKI的一些部分是可預(yù)測的。例如,SKI的一部分可以來自于系統(tǒng)時間,在該系統(tǒng)時間內(nèi)SKI是有效的。被表示為SKI_A的該部分不需要作為廣播服務(wù)的一部分被傳輸給通信裝置200。被表示為SKI_B的SKI的其余部分不可預(yù)測的。SKI_B可以作為廣播服務(wù)的一部分被傳輸給通信裝置200。通信裝置200可以由SKI_A和SKI_B重新構(gòu)造SKI,并可以提供SKI給UIM208。例如,SKI可以在UIM208中被重新構(gòu)造。對于每個新的SK,SKI的值通常都會改變。因此,當(dāng)計算新的SK時,SKI_A和/或SKI_B必須改變。內(nèi)容服務(wù)器將SKI_B發(fā)送給基站,以供廣播傳輸。然后,基站可以廣播SKI_B,其中SKI_B由天線202檢測并傳遞至收發(fā)器204。然后,收發(fā)器204提供SKI_B給通信裝置200,其中通信裝置200重新構(gòu)造SKI。例如,通信裝置200可以將SKI提供給UIM208,其中UIM208利用存儲在SUMU214中的BAK獲取SK。然后,SK由UIM208提供給ME206。ME206在存儲器單元MEM210中存儲SK。然后,ME206利用SK解密從內(nèi)容服務(wù)器接收到的廣播傳輸。
在典型實施例中,SKI還包含安全參數(shù)索引(SPI)值,該安全參數(shù)索引值指示通信裝置200傳遞SKI到UIM208,并指示UIM208利用BAK來解密SKI。在解密之后,UIM208傳遞SK到ME206,其中ME206利用SK來解密廣播內(nèi)容。
內(nèi)容服務(wù)器和基站對當(dāng)SKI_B被傳輸時的一些標(biāo)準(zhǔn)達(dá)成協(xié)議。內(nèi)容服務(wù)器會希望通過頻繁地改變SK減少每個SK中的內(nèi)在的貨幣價值。在這種情況下,改變SKI_B數(shù)據(jù)的希望和優(yōu)化有效帶寬保持平衡。SKI_B可以在不是廣播信道的信道上被傳輸。當(dāng)用戶“調(diào)到”廣播信道時,收發(fā)器204獲得信息,以從控制信道定位廣播信道。當(dāng)用戶“調(diào)到”廣播信道時,希望允許較快的訪問。這需要ME206在很短的時間內(nèi)獲得SKI。ME206將已經(jīng)得知SKI_A,但是,基站必須在這個短的時間內(nèi)提供SKI_B給ME200。例如,基站可以頻繁地在控制信道上傳輸SKI_B以及用于定位廣播信道的信息,或者頻繁地在廣播信道上傳輸SKI_B。基站越頻繁地“更新”SKI_B的值,通信裝置200就能越快地訪問廣播信息。由于過于頻繁地傳輸SKI_B可能會使用控制信道或廣播信道中的不可接受的帶寬,所以期望更新SKI_B與優(yōu)化有效帶寬之間得以平衡。
根據(jù)加密和傳輸廣播內(nèi)容的一個實施例,內(nèi)容服務(wù)器利用當(dāng)前SK加密廣播內(nèi)容??梢圆捎靡环N加密算法,例如高級加密標(biāo)準(zhǔn)(AES)密碼算法。然后,加密內(nèi)容可以根據(jù)封裝安全載荷(ESP)傳輸模式由IPSec包傳輸。IPSec包還包含SPI值,該SPI值指示ME206使用當(dāng)前SK解密接收到的廣播內(nèi)容。然后,加密內(nèi)容可以通過廣播信道被發(fā)送。
收發(fā)器204可以直接提供RKI和BAKI到UIM208。進(jìn)而,收發(fā)器204可以提供SKI_B給通信裝置200的合適的部分,在此與SKI_A結(jié)合來獲得SKI。然后,SKI可以通過通信裝置200的相關(guān)部分提供給UIM208。UIM208可以由RKI和A密鑰計算RK,利用RK解密BAKI從而獲得BAK,并且利用SKI和BAK計算SK,從而產(chǎn)生ME206使用的SK。然后,ME 206可以利用SK解密廣播內(nèi)容。典型實施例的UIM208沒有足夠的能力實時解密廣播內(nèi)容,因此SK可以被傳遞至ME206以解密廣播內(nèi)容。
根據(jù)另一個實施例,RK加密的SK可以被發(fā)送到通信裝置200。例如,SK信息可以利用RK被加密從而獲得SKIR。這對于允許用戶不利用BAK觀察和/或偵聽傳輸是有用的。例如,SKIR可以在有限的時間內(nèi)被傳輸,或者在注冊接收BAK之前,可以發(fā)送有限數(shù)量的SKIR來允許預(yù)覽有限時間的傳輸。當(dāng)發(fā)送BAK之前內(nèi)容服務(wù)器鑒權(quán)用戶或者用戶支付時,這也允許用戶觀察傳輸。盡管SKIR沒有加密的SKI-BAK安全,但SKIR的有限壽命減少了傳輸?shù)奈词跈?quán)接收。
圖3是根據(jù)典型實施例的密鑰RK、RK加密的BAK、BAK加密的SK以及RK加密的SK的傳輸和處理的典型例圖300。根據(jù)所示出的,在注冊時,通信裝置200可以接收RKI中的RK并可以傳遞其到UIM208,其中SUPU216利用RKI和A密鑰計算RK,并且在UIM存儲器SUMU214中存儲RK。通信裝置200周期性地接收BAKI,該BAKI包含利用UIM208特有的RK值加密的BAK。加密的BAKI被SUPU216解密從而恢復(fù)BAK,其被存儲在UIM存儲器SUMU214中。通信裝置200還周期性地接收SKI_B,該SKI_B與SKI_A結(jié)合從而形成SKI。SUPU216根據(jù)SKI和BAK計算SK。SK被提供給ME206用于解密廣播內(nèi)容。而且,當(dāng)希望用戶不使用BAK觀察傳輸時,通信裝置200可以周期性地接收RK加密的SK(SKIR)。SUPU216根據(jù)SKIR和RK計算SK。SK被提供給ME 206用于解密廣播內(nèi)容。
圖4是根據(jù)一個實施例產(chǎn)生各種密鑰的典型圖例400。根據(jù)所示出的,RK由內(nèi)容服務(wù)器產(chǎn)生,但是RK信息(RKI)被傳輸?shù)酵ㄐ叛b置200。內(nèi)容服務(wù)器發(fā)送足以使UIM獲得RK的信息,其中使用預(yù)定的函數(shù)通過內(nèi)容服務(wù)器的傳輸信息獲得RK。RKI包含足以使通信裝置200利用標(biāo)記為d1的預(yù)定公有函數(shù),通過A密鑰和例如系統(tǒng)時間的其它值確定原始RK的信息,其中RK=d1(A-key,RKI) (1)
在典型實施例中,函數(shù)d1定義加密類型函數(shù)。根據(jù)一個實施例,RK被確定為RK=SHA’(A-key.parallel.RKI) (2)其中“.parallel.”表示包含A密鑰和RKI的塊的級聯(lián),并且SHA’(X)表示給定輸入X的安全散列算法SHA-1的輸出的最后128位。在替換實施例中,RK被確定為RK=AES(A-key,RKI) (3)其中AES(X,Y)表示利用128位A密鑰的128位塊RKI的加密。在基于AKA協(xié)議的進(jìn)一步的實施例中,RK被確定為3GPP密鑰產(chǎn)生函數(shù)f3的輸出,其中RKI包括RAND的值以及由該標(biāo)準(zhǔn)定義的AMF和SQN的合適的值。
因為具有不同RK值的多個用戶必須計算相同的BAK值,所以BAK可以以不同的方式被處理。內(nèi)容服務(wù)器可以使用任意技術(shù)來確定BAK。但是,根據(jù)與UIM208相關(guān)的特定RK,與特定的UIM208相關(guān)的BAKI的值可以是BAK的加密。SUPU216根據(jù)標(biāo)記為d2的函數(shù)利用存儲在SUMU214中的RK解密BAKI,根據(jù)BAK=d2(BAKI,RK) (4)在替換實施例中,內(nèi)容服務(wù)器可以通過利用RK對BAK施加解密過程來計算BAKI,并且SUPU216通過利用RK對BAKI施加加密過程來獲得BAK。這被視為等效于內(nèi)容服務(wù)加密BAK和SUPU216解密BAKI。除了或者替代圖4中所描述的那些,替換實施例可以執(zhí)行任意數(shù)量的密鑰的結(jié)合。
SK可以以與RK類似的方式處理。第一SKI從SKI_A和SKI_B(SKI_B是從內(nèi)容服務(wù)器傳輸?shù)組S的信息)得到。然后,標(biāo)記為d3的預(yù)定函數(shù)被用來從SKI和BAK(存儲在SUMU214中)得到SK,根據(jù)SK=d3(BAK,SKI) (5)在一個實施例中,函數(shù)d3定義加密類型函數(shù)。在典型實施例中,SK被計算為SK=SHA(BAK.parallel.SKI)(6)而在另一個實施例中,SK被計算為SK=AES(BAK,SKI)(7)SKIR可以以與SKI類似的方式被處理。例如,標(biāo)記為d4的預(yù)定函數(shù)可以被用于從SKIR和RK(存儲在SUMU214中)得到SK,根據(jù)SK=d4(RK,SKIR) (8)在一個實施例中,函數(shù)d4定義加密類型函數(shù)。在一個典型實施例中,SK被計算為SK=SHA(RK.parallel.SKIR) (9)而在另一個實施例中,SK被計算為SK=AES(RK,SKIR) (10)圖5-8是根據(jù)一個實施例概括為廣播信息提供安全性的操作的典型流程圖500、600、700和800。
圖5是說明根據(jù)一個實施例的注冊過程500的典型流程圖。在步驟510中,流程500開始。在步驟520中,訂戶與內(nèi)容服務(wù)器協(xié)商注冊。在步驟530中的注冊提供UIM唯一的RK。在步驟540中,UIM在安全存儲器單元(SUMU)中存儲RK。在步驟550中,流程結(jié)束。
圖6是概括內(nèi)容服務(wù)器與通信裝置之間的訂閱過程的典型流程圖600。在步驟610中,由流程600開始。在步驟620中,內(nèi)容服務(wù)器產(chǎn)生用于BAK時間周期T1的BAK。BAK在整個BAK時間周期T1是有效的,其中BAK被周期性地更新。在步驟630中,內(nèi)容服務(wù)器授權(quán)UIM208在BAK時間周期T1期間訪問廣播內(nèi)容(BC)。在步驟640中,內(nèi)容服務(wù)器利用每個訂戶的每個單獨(dú)的RK加密BAK。加密的BAK被稱為BAKI。然后,在步驟650中內(nèi)容服務(wù)器將BAKI傳輸給UIM208。在步驟660中UIM接收BAKI并利用RK執(zhí)行解密。解密的BAKI導(dǎo)致原始產(chǎn)生的BAK。在步驟670,UIM在SUMU中存儲BAK。然后,UIM接收廣播對話,并能通過施加BAK以解密加密的廣播(EBC)來訪問廣播服務(wù)傳輸中的廣播內(nèi)容(BC)。在步驟680中,該流程結(jié)束。
圖7是根據(jù)一個實施例概括的更新密鑰的一種方法的典型流程圖700,用于在支持廣播服務(wù)的無線通信系統(tǒng)100中安全加密。這個方法執(zhí)行圖9給出的時間周期。例如,BAK以周期T1被周期性地更新。當(dāng)BAK被計算出并在T1到時時,計時器t1被啟動。一個變量用來計算SK,該變量稱為SK_RAND,其以周期T2被周期性地更新。當(dāng)SK_RAND產(chǎn)生并在T2到時時,計時器t2被啟動。在一個實施例中,SK還以周期T3被周期性地更新。當(dāng)每個SK產(chǎn)生并且在計時器T3到時時,計時器t3被啟動。SK_RAND在內(nèi)容服務(wù)器上產(chǎn)生并被周期性地提供給通信裝置200。通信裝置200和內(nèi)容服務(wù)器使用SK_RAND來產(chǎn)生SK,下面將詳細(xì)描述。
當(dāng)BAK的可應(yīng)用值被更新時,第一計時器t1被重置。兩次BAK更新之間的時間長度是BAK更新周期。在典型實施例中,BAK更新周期是一個月,但是,替換實施例可以執(zhí)行系統(tǒng)的最佳操作所希望的任意時間周期,或者滿足系統(tǒng)標(biāo)準(zhǔn)的變化。
繼續(xù)流程圖700,在步驟710中,流程700開始。計時器t2在步驟720中被初始化從而啟動SK_RAND時間周期T2。在步驟730,內(nèi)容服務(wù)器產(chǎn)生SK_RAND并提供該值至傳輸電路,以在整個系統(tǒng)進(jìn)行傳輸。計時器t3在步驟740中被初始化從而啟動SK時間周期T3。然后,在步驟750中,內(nèi)容服務(wù)器從SK_RAND、BAK和時間產(chǎn)生SK。然后,在步驟760中內(nèi)容服務(wù)器利用當(dāng)前SK加密BC。加密的產(chǎn)物是EBC,其中內(nèi)容服務(wù)器提供EBC至傳輸電路,以用于在系統(tǒng)100中進(jìn)行傳輸。如果計時器t2在判定菱形770期滿,則處理回到步驟720。當(dāng)t2小于T2時,如果計時器t3在菱形780期滿,則處理回到步驟740;否則處理回到760。
圖8是根據(jù)一個實施例概括當(dāng)訪問廣播服務(wù)時的通信裝置200的操作的典型流程圖800。在步驟810中,流程800開始。在步驟820中,計時器t2和t3與內(nèi)容服務(wù)器的值同步。在步驟830中,通信裝置200的UIM208接收由內(nèi)容服務(wù)器產(chǎn)生的SK_RAND。在步驟840中,UIM208利用SK_RAND、BAK和時間測量產(chǎn)生SK,并傳遞SK到通信裝置200的ME206。然后,在步驟850中,ME206利用SK解密接收到的加密廣播內(nèi)容(EBC),來提取原始廣播內(nèi)容(BC)。當(dāng)在步驟860中計時器t2期滿時,處理回到步驟820。當(dāng)計時器t2小于T2時,如果計時器t3在步驟870期滿,則計時器t3在步驟880被初始化并回到840,否則流程800回到步驟850。
當(dāng)用戶訂閱特定BAK更新周期的廣播服務(wù)時,內(nèi)容服務(wù)器發(fā)送相應(yīng)于由RK加密的BAK的合適信息BAKI。這通常發(fā)生在這個BAK更新周期開始之前,或者在BAK更新周期期間當(dāng)通信裝置200首次調(diào)到廣播信道時。這可以由通信裝置200或者內(nèi)容服務(wù)器根據(jù)多種標(biāo)準(zhǔn)啟動。而且,多個BAKI可以被同時傳輸和解密。
當(dāng)BAK更新周期的期滿即將到來時,如果通信裝置200已經(jīng)訂閱了下一個BAK更新周期,則通信裝置200可以從內(nèi)容服務(wù)器請求更新的BAK。在替換實施例中,第一計時器t1由內(nèi)容服務(wù)器使用,其中當(dāng)計時器期滿時,也就是滿足BAK更新周期,內(nèi)容服務(wù)器傳輸另一個BAK。
用戶可以在BAK更新周期期間接收BAK。例如,當(dāng)BAK更新每月被執(zhí)行時,訂戶在中旬加入服務(wù)。另外,BAK和SK更新的時間周期可以被同步,因此所有的訂戶都在給定的時間被更新。
圖10是根據(jù)一個實施例概括提供初始短時更新密鑰信息的操作的典型流程圖1000。在步驟1010中,流程1000開始。在步驟1020中,內(nèi)容服務(wù)器授權(quán)UIM208在有限的周期訪問廣播內(nèi)容。例如,內(nèi)容服務(wù)器可以授權(quán)UIM在圖13所示出的規(guī)定數(shù)量N個周期T2訪問廣播內(nèi)容。在步驟1030中,內(nèi)容服務(wù)器可以利用RK加密N個SK_RAND,從而形成N個SK_RANDR或者與SKI_B類似的多個SKI_BR。
這里,用于計算SK的變量被稱為SK_RANDR,其以時間周期T2被周期性更新。如上所述,當(dāng)SK_RANDR產(chǎn)生并且在T2到時時,計時器t2被啟動。在一個實施例中,SK還以周期T3被周期性地更新。當(dāng)每個SK都產(chǎn)生并在時間T3到時時,計時器t3被啟動。SK_RANDR產(chǎn)生在內(nèi)容服務(wù)器上并周期性地提供給通信裝置200。通信裝置200和內(nèi)容服務(wù)器使用SK_RANDR產(chǎn)生SK。
在步驟1040中,內(nèi)容服務(wù)器傳輸N個SK_RANDR值給UIM208。在步驟1050中,UIM208利用RK解密N個SK_RANDR中的每一個來提取每個SK。在步驟1060中,UIM208將N個SK的每一個存儲在SUMU214中。在步驟1070中,流程1000結(jié)束。
圖11是根據(jù)另一個實施例概括通信裝置200中更新密鑰的方法的典型流程圖1100。在步驟1110中,流程開始。在步驟1120中,UIM208接收N個SK_RANDR。在步驟1130中,UIM208利用RK從當(dāng)前SK_RANDR產(chǎn)生當(dāng)前SK,并傳遞每個SK到ME206。在步驟1140中,ME206利用SK解密加密的廣播內(nèi)容,從而提取未加密的廣播內(nèi)容。在步驟1150中,通信裝置200確定當(dāng)前SK_RANDR和/或當(dāng)前SK的時間周期是否完成。如果沒有,則ME206繼續(xù)利用當(dāng)前SK解密加密的廣播內(nèi)容。如果完成,那么通信裝置200確定是否具有對于下一個周期有效的另一個SK_RANDR。如果是的話,通信裝置200為下一個SK_RANDR回到步驟1130。如果不是,流程在步驟1170結(jié)束并且通信裝置200不再利用有效SK_RANDR解密加密的廣播內(nèi)容??蛇x的是,通信裝置200可以請求另外的SK_RANDR。而且,當(dāng)利用SK_RANDR解密廣播內(nèi)容時,通信裝置200可能已經(jīng)接收到當(dāng)前BAK。如果這樣,則通信裝置200可以根據(jù)流程800繼續(xù)解密加密的廣播內(nèi)容。
圖12是根據(jù)一個實施例概括當(dāng)利用初始短時更新密鑰信息訪問廣播內(nèi)容時的通信裝置200的操作的典型流程圖1200。在步驟1210中,流程1200開始。在步驟1215中,計時器t2和t3與內(nèi)容服務(wù)器上的值同步。在步驟1220中,通信裝置200確定SK_RANDR的下一個值是否存儲在SUMU214中。如果不是,則流程在步驟1225中結(jié)束。如果是,在步驟1230中,UIM208利用SK_RANDR、RK和時間測量產(chǎn)生SK,并傳遞SK到通信裝置200的ME206。然后,在步驟1235中,ME206利用SK解密接收到的加密廣播內(nèi)容(EBC),從而提取原始的廣播內(nèi)容(BC)。當(dāng)在步驟1240中計時器t2期滿時,處理回到步驟1215。當(dāng)計時器t2小于T2時,如果計時器t3在步驟1245期滿,則計時器t3在步驟1250被初始化,并回到1230,否則流程1200回到步驟1235。
在流程1200的處理期間,用戶可以表示希望為正在預(yù)覽的服務(wù)付費(fèi)。如果這樣,則內(nèi)容服務(wù)器可以提供BAK給通信裝置200,并且可以使用流程600、700和800。而且,在流程1200的處理期間,內(nèi)容服務(wù)器可以給用戶提供BAK。例如,這會發(fā)生在SK_RANDR最初為臨時訪問所提供的時候,例如在用戶支付方法的鑒權(quán)期間。再者,內(nèi)容服務(wù)器然后可以提供BAK給通信裝置200,并且可以使用流程600、700和800。
圖13是典型的時間線。RK在通信裝置200中。用來計算SK的變量被稱為SK_RANDR,其以時間周期T2被周期性地更新。當(dāng)SK_RANDR產(chǎn)生并在T2到時時,計時器t2被啟動。在一個實施例中,SK還以周期T3被周期性地更新。當(dāng)每個SK產(chǎn)生并且在時間T3到時時,計時器t3被啟動。SK_RANDR產(chǎn)生在內(nèi)容服務(wù)器上并周期性地提供給通信裝置200。通信裝置200和內(nèi)容服務(wù)器使用SK_RANDR來產(chǎn)生SK,下面將詳細(xì)描述。
圖14是根據(jù)一個實施例的無線通信系統(tǒng)1400中的注冊過程的典型例圖。該無線通信系統(tǒng)1400可以是系統(tǒng)100的一部分。在操作中,內(nèi)容服務(wù)器1402與每個訂戶UIM1412、1422和1432協(xié)商產(chǎn)生每個訂戶的特定RK。RK被提供給每個通信裝置的UIM內(nèi)的SUMU單元1410、1420和1430。根據(jù)所描述的,內(nèi)容服務(wù)器1402產(chǎn)生存儲在UIM11412內(nèi)的SUMU11410中的RK1。類似地,內(nèi)容服務(wù)器1402產(chǎn)生分別存儲在UIM21422內(nèi)的SUMU21420中以及UIMN1432內(nèi)的SUMUN1430中的RK2和RKN。
圖15是根據(jù)一個實施例的系統(tǒng)1400中的訂閱過程的典型例圖。內(nèi)容服務(wù)器1402可以包括多個編碼器1404。每個編碼器1404都接收每個訂戶UIM1412和1432的唯一RK之一以及在內(nèi)容服務(wù)器1402中產(chǎn)生的BAK值。每個編碼器1404的輸出都是特別為訂戶編碼的BAKI。BAKI在每個訂戶通信裝置的UIM上被接收,例如UIM11412。每個UIM都包括SUPU和SUMU,例如UIM11412的SUPU11414和SUMU11410以及UIMN1432的SUPUN1434和SUMUN1430。SUPU包括解碼器,例如通過應(yīng)用UIM的RK恢復(fù)BAK的解碼器1416和1436。該過程在每個訂戶重復(fù)。
圖16是根據(jù)一個實施例的系統(tǒng)1400中的密鑰管理和更新的典型例圖。在操作中,內(nèi)容服務(wù)器1402施加函數(shù)1408來產(chǎn)生SK_RAND的值,其是由內(nèi)容服務(wù)器1402和通信裝置使用的計算SK的被傳輸?shù)闹?。函?shù)1408可以應(yīng)用BAK值、SK_RAND以及時間因子。盡管圖16中說明的實施例采用計時器來確定何時更新SK,但替換實施例可以使用替換的措施來提供周期的更新,例如錯誤或其它事件的出現(xiàn)。內(nèi)容服務(wù)器提供SK_RAND值給每個訂戶,其中位于每個UIM中的函數(shù)1418和1438采用與內(nèi)容服務(wù)器的函數(shù)1408相同的函數(shù)。函數(shù)1418對SK_RAND、BAK和計時器值進(jìn)行操作,從而產(chǎn)生SK,其中SK存儲在例如ME11440的MEM11442的各個ME中的存儲位置中。
圖17是根據(jù)一個實施例在系統(tǒng)1400中用于初始短時更新密鑰的密鑰管理的典型例圖。在操作中,內(nèi)容服務(wù)器1402采用函數(shù)1409產(chǎn)生SK_RANDR的值,其是由內(nèi)容服務(wù)器和通信裝置使用以在預(yù)覽周期、鑒權(quán)周期等等期間不發(fā)送BAK來計算SK的被傳輸?shù)闹怠>唧w地,函數(shù)1409對于每個通信裝置采用RK值、SK_RANDR以及時間因子來計算短時更新密鑰SK。盡管圖17中示出的實施例采用計時器確定何時更新SK,但替換實施例可以使用替換措施來提供周期的更新,例如錯誤或其它事件的發(fā)生。而且,內(nèi)容服務(wù)器1402可以不利用SK_RANDR產(chǎn)生SK。內(nèi)容服務(wù)器1402分別提供每個單獨(dú)的SK_RANDR值給每個單獨(dú)的訂戶,其中在每個UIM中的例如函數(shù)1419和1439的函數(shù)采用與內(nèi)容服務(wù)器的函數(shù)1408相同的函數(shù)。函數(shù)1419對SK_RAND、RK和計時器值進(jìn)行操作,從而產(chǎn)生SK,其中SK存儲在例如ME11440的MEM11442的各個ME中的存儲位置中。
圖18是根據(jù)一個實施例在系統(tǒng)1400中注冊和訂閱之后的BC的處理過程的典型例圖。內(nèi)容服務(wù)器1402包括利用當(dāng)前SK編碼BC以產(chǎn)生EBC的編碼器1460。然后,EBC被傳輸給訂戶。每個訂戶通信裝置都包括解碼器,例如解碼器1444和1454,其利用SK從EBC提取BC。
盡管參考內(nèi)容服務(wù)器1402的操作已經(jīng)描述了許多前面的特征,應(yīng)當(dāng)理解也可以在系統(tǒng)100中的其它地方執(zhí)行不同的功能。例如,諸如注冊密鑰(RK)產(chǎn)生、加密和/或傳輸、廣播訂閱密鑰(BAK)產(chǎn)生、加密和/或傳輸,以及其它密鑰或數(shù)據(jù)產(chǎn)生、加密、和/或傳輸?shù)墓δ芏伎梢栽谄渌胤綀?zhí)行,例如在控制器140內(nèi),在網(wǎng)絡(luò)110上的基站控制器內(nèi),或者在系統(tǒng)100的其它任意有用位置處。例如,基站控制器可以產(chǎn)生并分配短時更新密鑰(SK)。
盡管已經(jīng)針對支持單方向廣播服務(wù)的無線通信系統(tǒng)的典型實施例描述了本公開,但上述的加密方法和密鑰管理還可以應(yīng)用于其它數(shù)據(jù)處理系統(tǒng),包括組播類型廣播系統(tǒng)。而且,本公開可以被應(yīng)用于任何數(shù)據(jù)處理系統(tǒng),在該系統(tǒng)中多個訂戶通過不安全信道訪問安全信息的單個傳輸。
本發(fā)明的方法最好在編程處理器上執(zhí)行。但是,公開的處理器和過程也可以在通用或者專用計算機(jī)、編程微處理器或者微控制器以及外圍集成電路元件、ASIC或者其它集成電路、例如離散元件電路的硬件電子或邏輯電路、例如PLD、PLA、FPGA或者PAL的可編程邏輯裝置等等上執(zhí)行。通常,能夠執(zhí)行圖中所示的流程的任何裝置都可以被用來執(zhí)行本發(fā)明的處理器功能,其中在這些裝置上具有有限態(tài)機(jī)。
盡管已經(jīng)利用特定的實施例描述了本發(fā)明,但許多選擇、改變以及變化對本領(lǐng)域的技術(shù)人員是很明顯的。例如,實施例的各種部件可以在其它實施例中被互換、增加或者替代。而且,每個附圖中的所有要素對于公開的實施例的操作都不是必要的。例如,本領(lǐng)域的一個普通技術(shù)人員將能夠通過簡單地使用獨(dú)立權(quán)利要求的要素使用并利用本發(fā)明。因此,這里所描述的本發(fā)明的優(yōu)選實施例僅用于說明而不進(jìn)行限制。不脫離本發(fā)明的精神和范圍可以作出各種改變。
權(quán)利要求
1.一種用于加密的廣播服務(wù)接收的方法,包括請求廣播服務(wù)傳輸;在接收用于被請求的廣播服務(wù)傳輸?shù)膹V播訂閱密鑰之前,接收初始短時更新密鑰信息;接收加密的廣播服務(wù)傳輸;以及利用初始短時更新密鑰信息來解密所述加密的廣播服務(wù)傳輸。
2.根據(jù)權(quán)利要求1的方法,還包括接收所述廣播訂閱密鑰;接收短時更新密鑰信息;利用所述廣播訂閱密鑰和短時更新密鑰信息來確定短時更新密鑰;接收所述加密的廣播服務(wù)傳輸;以及利用所述短時更新密鑰來解密所述加密的廣播服務(wù)傳輸。
3.根據(jù)權(quán)利要求2的方法,其中響應(yīng)于用戶同意為廣播服務(wù)傳輸付費(fèi),執(zhí)行權(quán)利要求2的各步驟。
4.根據(jù)權(quán)利要求2的方法,其中響應(yīng)于授權(quán)用戶接收廣播服務(wù)傳輸,執(zhí)行權(quán)利要求2的各步驟。
5.根據(jù)權(quán)利要求1的方法,其中所述初始短時更新密鑰信息包括加密的短時更新密鑰。
6.根據(jù)權(quán)利要求5的方法,其中該方法還包括利用注冊密鑰來解密所述加密的短時更新密鑰,從而獲得解密的短時更新密鑰,以及其中利用所述初始短時更新密鑰信息來解密所述加密的廣播服務(wù)傳輸?shù)牟襟E包括利用所述解密的短時更新密鑰來解密所述加密的廣播服務(wù)傳輸。
7.根據(jù)權(quán)利要求1的方法,其中所述初始短時更新密鑰信息包括未加密的短時更新密鑰。
8.根據(jù)權(quán)利要求1的方法,其中所述初始短時更新密鑰信息包括未加密的初始短時更新密鑰。
9.根據(jù)權(quán)利要求1的方法,其中所述初始短時更新密鑰信息包括加密的初始短時更新密鑰。
10.根據(jù)權(quán)利要求1的方法,其中請求廣播服務(wù)傳輸還包括請求預(yù)覽廣播服務(wù)傳輸。
11.根據(jù)權(quán)利要求1的方法,其中所述初始短時更新密鑰信息包括多組初始短時更新密鑰信息,從而允許在預(yù)定的時間周期解密所述加密的廣播服務(wù)傳輸。
12.根據(jù)權(quán)利要求1的方法,其中所述初始短時更新密鑰信息是原始初始短時更新密鑰信息,以及其中該方法還包括確定所述原始初始短時更新密鑰信息至少是期滿的或者將要期滿的之一;以及請求另外的初始短時更新密鑰信息,從而在所述原始初始短時更新密鑰信息已經(jīng)期滿之后,利用該另外的初始短時更新密鑰信息繼續(xù)解密所述加密的廣播服務(wù)傳輸。
13.一種用于加密的廣播服務(wù)傳輸?shù)姆椒ǎń邮諏V播服務(wù)傳輸?shù)恼埱?;在傳輸用于被請求的廣播服務(wù)傳輸?shù)膹V播訂閱密鑰之前,傳輸初始短時更新密鑰信息;以及傳輸加密的廣播服務(wù)傳輸。
14.根據(jù)權(quán)利要求13的方法,還包括授權(quán)用戶接收所述廣播服務(wù)傳輸;響應(yīng)于授權(quán)用戶接收所述廣播服務(wù)傳輸,傳輸所述廣播訂閱密鑰;以及傳輸短時更新密鑰信息,該短時更新密鑰信息包括廣播訂閱密鑰單元和短時更新密鑰單元,其中,所述加密的廣播服務(wù)傳輸被利用短時更新密鑰單元來進(jìn)行加密。
15.根據(jù)權(quán)利要求14的方法,其中授權(quán)用戶接收所述廣播服務(wù)傳輸包括基于用戶同意為所述廣播服務(wù)傳輸付費(fèi)來授權(quán)用戶。
16.根據(jù)權(quán)利要求14的方法,其中授權(quán)用戶接收所述廣播服務(wù)傳輸包括基于授權(quán)用戶對所述廣播服務(wù)傳輸?shù)闹Ц斗椒▉硎跈?quán)用戶。
17.根據(jù)權(quán)利要求13的方法,其中所述初始短時更新密鑰信息包括加密的短時更新密鑰。
18.根據(jù)權(quán)利要求17的方法,其中該方法還包括利用注冊密鑰來加密所述短時更新密鑰,從而獲得所述初始短時更新密鑰信息。
19.根據(jù)權(quán)利要求13的方法,其中所述初始短時更新密鑰信息包括未加密的短時更新密鑰。
20.根據(jù)權(quán)利要求13的方法,其中所述初始短時更新密鑰信息包括未加密的初始短時更新密鑰。
21.根據(jù)權(quán)利要求13的方法,其中接收廣播服務(wù)傳輸?shù)恼埱筮€包括接收預(yù)覽廣播服務(wù)傳輸?shù)恼埱蟆?br> 22.根據(jù)權(quán)利要求13的方法,其中所述初始短時更新密鑰信息包括多組初始短時更新密鑰信息,從而允許在預(yù)定時間周期解密所述加密的廣播服務(wù)傳輸。
23.根據(jù)權(quán)利要求13的方法,其中所述初始短時更新密鑰信息是原始初始短時更新密鑰信息,以及其中該方法還包括接收另外的初始短時更新密鑰信息的請求;確定預(yù)覽周期是否將要期滿;以及如果預(yù)覽周期不將期滿,則發(fā)送另外的初始短時更新密鑰信息。
24.根據(jù)權(quán)利要求13的方法,其中其中所述初始短時更新密鑰信息是原始初始短時更新密鑰信息,以及其中該方法還包括確定所述原始初始短時更新密鑰信息將要期滿;以及如果所述初始短時更新密鑰將要期滿,則發(fā)送另外的初始短時更新密鑰信息。
25.一種用于加密的廣播服務(wù)接收的裝置,包括傳輸器,其被構(gòu)造用于請求廣播服務(wù)傳輸;接收器,其被構(gòu)造用于在接收用于所述被請求的廣播服務(wù)傳輸?shù)膹V播訂閱密鑰之前接收初始短時更新密鑰信息,該接收器還被構(gòu)造用于接收加密的廣播服務(wù)傳輸;包括安全用戶識別模塊存儲單元的用戶識別模塊,被構(gòu)造用于安全地存儲所述廣播訂閱密鑰和注冊密鑰;以及處理器,其被構(gòu)造用于利用所述初始短時更新密鑰信息來解密所述加密的廣播服務(wù)傳輸。
26.根據(jù)權(quán)利要求25的裝置,其中,該接收器還被構(gòu)造用于接收所述廣播訂閱密鑰并接收短時更新密鑰信息,其中,所述用戶識別模塊還包括安全用戶識別模塊處理單元,該安全用戶識別模塊處理單元被構(gòu)造用于利用所述廣播訂閱密鑰和短時更新密鑰信息來確定短時更新密鑰,以及其中,所述處理器還被構(gòu)造用于利用所述短時更新密鑰來解密所述加密的廣播服務(wù)傳輸。
27.根據(jù)權(quán)利要求25的裝置,其中所述初始短時更新密鑰信息包括加密的短時更新密鑰。
28.根據(jù)權(quán)利要求27的裝置,其中所述用戶識別模塊還包括安全用戶識別模塊處理單元,該安全用戶識別模塊處理單元被構(gòu)造用于利用所述注冊密鑰來解密所述加密的短時更新密鑰信息,從而獲得解密的短時更新密鑰,以及其中,所述處理器還被構(gòu)造用于通過利用所述解密的短時更新密鑰來解密所述加密的廣播服務(wù)傳輸,利用所述初始短時更新密鑰信息來解密所述加密的廣播服務(wù)傳輸。
29.根據(jù)權(quán)利要求25的裝置,其中所述初始短時更新密鑰信息包括未加密的短時更新密鑰。
30.根據(jù)權(quán)利要求25的裝置,其中所述初始短時更新密鑰信息包括未加密的初始短時更新密鑰。
31.根據(jù)權(quán)利要求25的裝置,其中所述初始短時更新密鑰信息包括多組初始短時更新密鑰信息,從而允許在預(yù)定時間周期解密所述加密的廣播服務(wù)傳輸。
32.根據(jù)權(quán)利要求25的裝置,其中所述初始短時更新密鑰信息是原始初始短時更新密鑰信息,以及其中所述處理器還被構(gòu)造用于確定所述原始初始短時更新密鑰信息是期滿的或者將要期滿的之一,并請求另外的初始短時更新密鑰信息,從而在所述原始初始短時更新密鑰信息期滿之后,利用另外的初始短時更新密鑰信息繼續(xù)來解密所述加密的廣播服務(wù)傳輸。
全文摘要
一種用于廣播服務(wù)傳輸和接收的方法和裝置。請求廣播組播傳輸?shù)慕邮?。在傳輸或接收用于請求的廣播服務(wù)傳輸?shù)膹V播訂閱密鑰之前,初始短時更新密鑰信息被傳輸或接收(650)。加密的廣播服務(wù)傳輸被傳輸或接收(760)。加密的廣播服務(wù)傳輸利用初始短時更新密鑰信息被加密或解密(850)。
文檔編號H04N7/167GK1922582SQ200480036980
公開日2007年2月28日 申請日期2004年12月3日 優(yōu)先權(quán)日2003年12月10日
發(fā)明者肖恩·S·凱利, 威廉·P·阿爾貝特Ⅲ, 布賴恩·K·克拉松, 唐大鏈 申請人:摩托羅拉公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1