亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

組播廣播業(yè)務(wù)的密鑰獲取方法、網(wǎng)絡(luò)及終端設(shè)備的制作方法

文檔序號:7969601閱讀:291來源:國知局
專利名稱:組播廣播業(yè)務(wù)的密鑰獲取方法、網(wǎng)絡(luò)及終端設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信領(lǐng)域,特別涉及WiMAX系統(tǒng)中的組播廣播技術(shù)。 背景技木IEEE802.16是電子和電氣工程師協(xié)會(Institute of Electrical and Electronics Engineers,簡稱"IEEE")于2001年12月頒布的,用于在城域 網(wǎng)中提供最后一公里無線寬帶接入的標(biāo)準(zhǔn)。與此同時,眾多設(shè)備和組建供應(yīng)商組成了全球微波接入互操作性 (Worldwide Interoperability for Microwave Access, 簡稱"WiMAX")論壇的 組織,其目的在于通過確保寬帶無線接入設(shè)備的兼容性和互操作性,加快基 于上述IEEE802.16系列標(biāo)準(zhǔn)的寬帶無線網(wǎng)絡(luò)的部署。因此,在通常情況下, 將應(yīng)用802.16系列標(biāo)準(zhǔn)中規(guī)定的實現(xiàn)無線寬帶接入的系統(tǒng)稱為WiMAX系 統(tǒng)。圖l示出了 WiMAX端到端參考模型。如圖可見,WiMAX主要包含移 動臺(Mobile Station,簡稱"MS" ) /用戶站(Subscribe Station,簡稱"SS")、 接入服務(wù)網(wǎng)絡(luò)(Access Service Network,簡稱"ASN")與連接服務(wù)網(wǎng)絡(luò) (Connectivity Service Network,簡稱"CSN,,)。ASN定義為為WiMAX用戶終端提供無線接入服務(wù)的網(wǎng)絡(luò)功能集合, ASN包含了基站(Base Station,簡稱"BS")和ASN網(wǎng)關(guān)(ASN Gate Way簡 稱"ASN-GW")網(wǎng)元, 一個ASN可能被多個CSN共享。ASN的主要功能包含基站的功能和ASN-GW的功能。其中,基站的功 能有提供基站和用戶站SS/MS的L2連接、無線資源管理、測量與功率控制和空口數(shù)據(jù)的壓縮與加密。ASN-GW的功能有為SS/MS認證、授權(quán)和 計費功能提供代理(proxy)功能;支持NSP的網(wǎng)絡(luò)發(fā)現(xiàn)和選擇;為SS提供 L3信息的中繼(Relay)功能,如IP地址分配。CSN定義為為WiMAX用戶終端提供IP連接服務(wù)。CSN主要提供如下 功能SS/MS的IP地址分配,Internet接入,驗證、授權(quán)、計費協(xié)議 (Authentication Authorization、 Account, 簡稱"AAA") 代理(proxy) 或者服務(wù)(server),基于用戶的授權(quán)控制,ASN到CSN的隧道,WiMAX 用戶的計費以及運營商之間的結(jié)算,漫游情況下CSN之間的隧道,ASN之 間的切換,和各種WiMAX服務(wù)(如基于位置的業(yè)務(wù)、多媒體多播和廣播業(yè) 務(wù)、IP多媒體子系統(tǒng)業(yè)務(wù))。MS/SS為(移動)用戶設(shè)備,用戶使用該設(shè)備接入WiMAX網(wǎng)絡(luò)。通常的通信是在一個節(jié)點和另外一個節(jié)點之間的通信,但是隨著因特網(wǎng) 的迅猛發(fā)展,人們對移動通信的需求已不再滿足于點對點的通信,因而大量 多媒體業(yè)務(wù)涌現(xiàn)出來,其中一些應(yīng)用業(yè)務(wù)要求多個用戶能同時接收相同數(shù)據(jù), 如視頻點播、電視廣播、視頻會議、網(wǎng)上教育、互動游戲等。這些移動多媒 體業(yè)務(wù)與一般的數(shù)據(jù)相比,具有數(shù)據(jù)量大、持續(xù)時間長、時延敏感等特點。 目前的IP組播技術(shù)只適用于有線IP網(wǎng)絡(luò),不適用于移動網(wǎng)絡(luò),因為移動網(wǎng) 絡(luò)具有特定的網(wǎng)絡(luò)結(jié)構(gòu)、功能實體和無線接口,這些都與有線IP網(wǎng)絡(luò)不同。為了有效地利用移動網(wǎng)絡(luò)資源,WiMAX引入了組播廣播業(yè)務(wù)(Multicast Broadcast Service,簡稱"MBS"),即在移動網(wǎng)絡(luò)中提供一個數(shù)據(jù)源向多個 用戶發(fā)送數(shù)據(jù)的點到多點業(yè)務(wù),實現(xiàn)網(wǎng)絡(luò)資源共享,提高網(wǎng)絡(luò)資源的利用率, 尤其是空口接口資源。WiMAX引入的MBS不僅能實現(xiàn)純文本低速率的消息 類組播和廣播,而且還能實現(xiàn)高速多媒體業(yè)務(wù)的組播和廣播,這無疑順應(yīng)了 未來移動數(shù)據(jù)發(fā)展的趨勢u基于WiMAX網(wǎng)絡(luò)的MBS支持兩種接入模式單基站接入和多基站接一個MBS域(MBS Zone,通過MBS—zone ID來 標(biāo)識)內(nèi)的所有基站用相同的組播連接標(biāo)識符(Multicast Connection ID,簡 稱"MCID")和MBS多播組安全聯(lián)盟(MBS Group Security Association, 簡稱"MBSGSA")發(fā)送同一 MBS流的內(nèi)容,注冊了 MBS服務(wù)的終端可以 在MBS域內(nèi)通過多個基站接收MBS內(nèi)容。并且處于空閑(Idle)模式的終 端在MBS區(qū)內(nèi)跨基站移動時,不需要重建連接,可以不受影響的接收MBS, 實現(xiàn)MBS的無縫切換。某些全球定義的服務(wù)流可以攜帶到多個終端的廣播或多播信息。這些服 務(wù)流有服務(wù)質(zhì)量(Quality of Service,簡稱"QoS")參數(shù),還可能需要用全 球定義的數(shù)據(jù)加密密鑰來加密。在WiMAX網(wǎng)絡(luò)中,用業(yè)務(wù)流標(biāo)識(Service Flow Identifier,簡稱"SFID")來標(biāo)識一個單向業(yè)務(wù)流,用連接標(biāo)識(Connection ID,簡稱"CID")來標(biāo)識一個連接。所有的業(yè)務(wù)流在空口通過MAC (媒體 接入控制)層的連接進行傳送,即SFID要映射到一個CID上。MCID是專 用于組播連接的連接標(biāo)識符。同時,802.16e規(guī)定使用MBS內(nèi)容標(biāo)識 (Contents ID)來標(biāo)識一個組播業(yè)務(wù)。 一個MCID上傳輸?shù)膮f(xié)議數(shù)據(jù)單元 (Protocol Data Unit,筒稱"PDU")包含一個或多個MBS。在現(xiàn)有標(biāo)準(zhǔn)中,通過組安全聯(lián)盟(Group Security Association,簡稱 "GSA")來保證一個多播組的信息安全性,如通過保證一個多播組的密鑰 信息來保障信息的安全性。 一個GSA包括以下密鑰組數(shù)據(jù)加密密鑰(Group Traffic Encryption Key,簡稱"GTEK" ) , GTEK 用來加密多播數(shù)據(jù)包,它在同一組的所有終端之間共享。每一個GSA有兩個 GTEK。它在基站中或網(wǎng)絡(luò)中的其它元件中隨機產(chǎn)生,與用于數(shù)據(jù)加密密鑰 (Traffic Encryption Key,簡稱"TEK,,)加密的相同算法來加密。"PKMv2 Key-Request/R印ly"消息中的GTEK由密鑰加密密鑰(Key Encryption Key, 簡稱"KEK")來加密。
組密鑰加密密鑰(Group Key Encryption Key,簡稱"GKEK" ), GKEK 由BS隨機產(chǎn)生,用KEK來加密發(fā)送給終端。每一個GSA只有一個GKEK, 它用來加密在同 一 個多播組中消息的各GTEK 。上述"PKMv2 Key-R叫uest/Reply,,消息也由該GKEK進行加密。下面對MBS GSA的密鑰信息進行說明, 一個MBS GSA內(nèi)包括以下密鑰MBS鑒權(quán)密鑰(MBS Authentication Key,簡稱"MAK" ) , MAK是 MBSGSA的首要密鑰信息,長度為160比特,由外部實體預(yù)備,如MBS月良 務(wù)器(MBS Server) , MAK可以在一個MBS多播組里的所有成員內(nèi)共享。MBS多播組數(shù)據(jù)加密密鑰(MBS Group Traffic Encryption Key,簡稱 "MGTEK"),長度為128比特,用來間接保護MBS數(shù)據(jù),比MAK更新 得更頻繁。MGTEK是由接入網(wǎng),如作為接入網(wǎng)絡(luò)授權(quán)密鑰的基站,提供的 隨機數(shù),它只用來與MAK共同產(chǎn)生MBS數(shù)據(jù)加密密鑰(MBS Traffic Key, 簡稱"MTK")。MBS數(shù)據(jù)加密密鑰MTK, MTK用來加密MBS傳輸數(shù)據(jù)。它是由MAK 和MGTEK通過函數(shù)產(chǎn)生的128比特密鑰,終端根據(jù)由MAK和MGTEK生 成的MTK對收到的數(shù)據(jù)進行解密。MBS多播組密鑰層次結(jié)構(gòu)如圖2所示。目前,在協(xié)議802.16e/D12中只描述了通過動態(tài)服務(wù)流創(chuàng)建請求消息 (DSA-REQ) /動態(tài)服務(wù)流創(chuàng)建響應(yīng)消息(DSA-RSP)來建立MBS鏈接并告 訴終端MBS域所播的MBS內(nèi)容標(biāo)識以指示終端接收,以及通過"PKMv2 的key request/key reply"消息請求MGTEK,和基站更新GKEK和GTEK的 過程。其中,GKEK和GTEK的更新過程如圖3所示,BS在GTEK的更新時 間(Grace Time)到來之前,先發(fā)起GKEK的更新,這時密鑰更新消息的模 式為GKEK更新模式,GKEK的更新在主管理連接上進行,并用終端的密鑰
加密密鑰(Key Encryption Key,簡稱"KEK")力口密?;驹贕TEK的更新時間到來之后,發(fā)起GTEK的更新,這時密鑰更 新消息的模式為GTEK更新模式,GTEK的更新在廣播連接上進行,并用 GKEK加密。但是,在目前的現(xiàn)有技術(shù)中沒有提供終端和基站之間如何建立MBS鏈 接的過程及具體步驟,也就是說,沒有提供終端和網(wǎng)絡(luò)側(cè)(如基站和網(wǎng)關(guān)) 獲取MBS密鑰(包括MAK, MGTEK和MTK)的具體方法。因而無法解決 終端,基站和網(wǎng)關(guān)如何獲得及何時獲得MBS密鑰的問題,以及在訂閱的MBS 多播組變化后如何更新終端和網(wǎng)絡(luò)側(cè)的MAK的問題,以及在訂閱的MBS多 播組變化后如何更新終端和網(wǎng)絡(luò)側(cè)的MGTEK的問題。發(fā)明內(nèi)容有鑒于此,本發(fā)明的主要目的在于提供一種組播廣播業(yè)務(wù)的密鑰獲取方 法、網(wǎng)絡(luò)及終端設(shè)備,使得WiMAX終端和網(wǎng)絡(luò)側(cè)能夠得到正確的MBS密鑰。為實現(xiàn)上述目的,本發(fā)明提供了一種組播廣播業(yè)務(wù)的密鑰獲取方法,包 含以下步驟終端獲取MBS鑒權(quán)密鑰MAK;終端向網(wǎng)絡(luò)側(cè)發(fā)起請求加入MBS多播組,網(wǎng)絡(luò)側(cè)對所述終端的請求進 行鑒權(quán),并在鑒權(quán)通過后授權(quán)該終端加入MBS多播組并向該終端返回所述 MBS多4番組的安全聯(lián)盟標(biāo)識;所述終端根據(jù)得到的所述安全聯(lián)盟標(biāo)識從網(wǎng)絡(luò)側(cè)獲取MBS多播組數(shù)據(jù) 加密密鑰MGTEK;所述終端和網(wǎng)絡(luò)側(cè)根據(jù)所述MAK和MGTEK生成MBS數(shù)據(jù)加密密鑰MTK。其中,所述終端在注冊組播廣播業(yè)務(wù)MBS時獲取MBS鑒權(quán)密鑰MAK。此外在所述方法中,所述終端通過向基站發(fā)起動態(tài)服務(wù)流創(chuàng)建過程或加 入IP組播方式請求加入MBS多播組;如果所述基站尚未與網(wǎng)關(guān)建立該MBS多播組的承載連接,則向該網(wǎng)關(guān) 請求建立該MBS多播組的承載連接;如果所述基站在第一個終端請求建立MBS連接時沒有事先獲取MBS的 包含MAK, MGTEK 和MTK的安全聯(lián)盟信息,則該基站在第一個終端 到來請求建立MBS連接時從與該基站相連的網(wǎng)關(guān)處獲取該MBS多播組的所 述安全聯(lián)盟信息。此外在所述方法中,如果由所述基站自身生成所述MGTEK,則所述基 站在第一個終端到來請求建立MBS連接時,從所述網(wǎng)關(guān)獲取所述MBS多播 組的MAK與MAK上下文;否則,所述基站在建立所述MBS連接時,從所述網(wǎng)關(guān)獲取所述MBS多播組的 MAK、 MAK上下文和MGTEK及其上下文。此外在所述方法中,如果網(wǎng)關(guān)尚未與MBS服務(wù)器建立該MBS連接,則 向該MBS服務(wù)器請求建立該MBS連接,并在第一個基站請求建立MBS連 接時從MBS服務(wù)器獲取該MBS多播組的所述安全聯(lián)盟信息。此外在所述方法中,所述網(wǎng)關(guān)在建立所述MBS連接時,從所述MBS服 務(wù)器或MBS代理獲取所述MBS多播組的MAK與MAK上下文,該網(wǎng)關(guān)在 獲得MAK后自身生成MGTEK;或者,直接從所述MBS服務(wù)器或MBS代 理獲取所述MBS多播組的MAK與MAK上下文及MGTEK與MGTEK上下文。此外在所述方法中,用于注冊MBS的注冊消息和請求所述MBS授權(quán)密'
鑰MAK的請求消息包含以下參數(shù)之一或其任意組合終端用戶名、MBS根密鑰或MBS根密鑰派生的密鑰、終端標(biāo)識號、網(wǎng) 絡(luò)接入標(biāo)識、MBS域標(biāo)識、MBS內(nèi)容標(biāo)識、和消息驗證碼。此外在所述方法中,用于注冊所述MBS的注冊消息和"^貪求所述MBS授 權(quán)密鑰MAK的請求消息包含以下參數(shù)之一或其任意組合終端用戶名、MBS根密鑰或MBS根密鑰派生的密鑰的哈希值、終端標(biāo) 識號、網(wǎng)絡(luò)接入標(biāo)識、MBS域標(biāo)識、MBS內(nèi)容標(biāo)識、和消息驗證碼。此外在所述方法中,所述上下文包含以下之一或其任意組合密鑰標(biāo)識號、密鑰生命周期、密鑰更新時間,MBS多播組安全聯(lián)盟標(biāo)識, 和密鑰序列號。此外在所述方法中,當(dāng)所述MAK的生命周期到期或MBS多播組成員變 化時,由所述MBS服務(wù)器決定更新該MAK;當(dāng)所述MBS服務(wù)器決定更新所述MAK時,將MAK的更新消息發(fā)送到 建立相應(yīng)MBS連接的網(wǎng)關(guān),再由網(wǎng)關(guān)下發(fā)到建立相應(yīng)MBS連接的基站。此外在所述方法中,所述MAK的更新消息包含更新后的MAK和更新 后的MAK的上下文。此外在所述方法中,所述MAK的更新消息在根據(jù)MBS根密鑰或MBS 根密鑰的派生密鑰加密后,再發(fā)送給所述終端。此外在所述方法中,所述MAK通過以下方式更新所述MBS服務(wù)器發(fā)送密鑰更新消息指示所述終端請求新的MAK;所述終端收到所述密鑰更新指示消息后,通過發(fā)起MAK請求過程獲取 新的MAK。此外在所述方法中,如果由所述網(wǎng)絡(luò)側(cè)的網(wǎng)關(guān)決定所述MGTEK的更新, 則由該網(wǎng)關(guān)隨才幾產(chǎn)生MGTEK,并將產(chǎn)生的MGTEK和該MGTEK的上下文 發(fā)送到建立相應(yīng)MBS連接的基站,由該基站通知所述終端對該MGTEK進 行更新。此外在所述方法中,如果由所述網(wǎng)絡(luò)側(cè)的MBS代理或MBS服務(wù)器決定 所述MGTEK的更新,則由該MBS代理或MBS服務(wù)器隨機產(chǎn)生MGTEK, 并將產(chǎn)生的MGTEK和該MGTEK的上下文發(fā)送到建立相應(yīng)MBS連接的網(wǎng) 關(guān),再由網(wǎng)關(guān)將該MGTEK和該MGTEK的上下文發(fā)送到建立相應(yīng)MBS連 接的基站,由該基站通知所述終端對該MGTEK進行更新。此外在所述方法中,如果由所述網(wǎng)絡(luò)側(cè)的基站決定所述MGTEK的更新, 則由該基站隨機產(chǎn)生MGTEK,并將產(chǎn)生的MGTEK和該MGTEK的上下文, 并通知所述終端對該MGTEK進行更新。此外在所述方法中,所述MGTEK的上下文包含以下參數(shù)之一或其任意 組合MBS多4番組凄t據(jù)安全聯(lián)盟標(biāo)識號、MAK標(biāo)識號、MAK序列號、組密鑰 加密密鑰GKEK、 MGTEK標(biāo)識號、和MGTEK生命周期。此外在所述方法中,組密鑰加密密鑰GKEK的更新由所述網(wǎng)絡(luò)側(cè)的MBS 代理/服務(wù)器、網(wǎng)關(guān)、或基站決定。本發(fā)明還提供了一種網(wǎng)絡(luò),包含用于在終端注冊組播廣播業(yè)務(wù)MBS時生成并下發(fā)MBS鑒權(quán)密鑰MAK 的設(shè)備;用于對終端的加入MBS多播組的請求進行鑒權(quán)的設(shè)備;用于在鑒權(quán)通過后授權(quán)該終端加入MBS多播組并向該終端返回該MBS 多播組的安全聯(lián)盟標(biāo)識的設(shè)備;用于根據(jù)所述終端的安全聯(lián)盟標(biāo)識下發(fā)MBS多播組數(shù)據(jù)加密密鑰 MGTEK的設(shè)備;和用于根據(jù)所述MAK和MGTEK生成MBS數(shù)據(jù)加密密鑰MTK的設(shè)備。其中,所述網(wǎng)絡(luò)側(cè)包含基站、網(wǎng)關(guān)和MBS服務(wù)器;所述基站用于在收到所述終端的加入MBS多播組的請求但尚未與網(wǎng)關(guān) 建立該MBS多播組的承載連接時,向該網(wǎng)關(guān)請求建立該MBS多播組的承載 連接,并在在第一個終端請求建立MBS連接前沒有事先獲取MBS的包含 MAK,MGTEK和MTK的安全聯(lián)盟信息時,在第一個終端到來請求建立MBS 連接時從與該基站相連的網(wǎng)關(guān)處獲取該MBS多播組的所述安全聯(lián)盟信息;所述網(wǎng)關(guān)用于在收到基站的建立所述MBS多播組承栽連接的請求但尚 未與MBS服務(wù)器建立該MBS連接時,向該MBS服務(wù)器請求建立該MBS連 接,并在第一個基站請求建立MBS連接時從MBS服務(wù)器獲取該MBS多播 組的所述安全聯(lián)盟信息。此外,所述基站還用于在第一個終端到來請求建立MBS連接時,從所 述網(wǎng)關(guān)獲取所述MBS多播組的MAK、 MAK上下文和MGTEK及其上下文; 或者,在第一個終端到來請求建立MBS連接時,從所述網(wǎng)關(guān)獲取所述MBS多 播組的MAK與MAK上下文,并在獲得MAK后自身生成所述MGTEK。此外,所述網(wǎng)絡(luò)還包含MBS代理;所述網(wǎng)關(guān)還用于在建立所述MBS連接時,從所述MBS服務(wù)器或MBS 代理獲取所述MBS多播組的MAK與MAK上下文和MGTEK及其上下文; 或者,在建立所述MBS連接時,從所述MBS服務(wù)器或MBS代理獲取所述MBS 多播組的MAK與MAK上下文,并在獲得MAK后自身生成MGTEK。此外,所述MAK的更新由所述MBS服務(wù)器決定;
所述MGTEK和組密鑰力口密密鑰GKEK的更新由所述MBS服務(wù)器/代理、 網(wǎng)關(guān)、或基站決定。本發(fā)明還提供了一種終端設(shè)備,包含用于在向網(wǎng)絡(luò)側(cè)注冊組播廣播業(yè)務(wù)MBS時獲取MBS鑒權(quán)密鑰MAK的 模塊;用于向網(wǎng)絡(luò)側(cè)請求加入MBS多播組,并在被授權(quán)加入時獲取該MBS多 播組的安全聯(lián)盟標(biāo)識的模塊;用于根據(jù)安全聯(lián)盟標(biāo)識從網(wǎng)絡(luò)側(cè)獲取MBS多播組數(shù)據(jù)加密密鑰 MGTEK的模塊;和用于根據(jù)獲取到的MAK和MGTEK生成MBS數(shù)據(jù)加密密鑰MTK的模塊。通過比較可以發(fā)現(xiàn),本發(fā)明的技術(shù)方案與現(xiàn)有技術(shù)的主要區(qū)別在于,由 終端在注冊MBS時獲取MAK,并在獲取到該MAK后向網(wǎng)絡(luò)側(cè)請求加入 MBS多播組,網(wǎng)絡(luò)側(cè)對該終端的請求進行鑒權(quán),并在鑒權(quán)通過后向該終端返 回所述MBS多播組的安全聯(lián)盟標(biāo)識。終端根據(jù)得到的安全聯(lián)盟標(biāo)識從網(wǎng)絡(luò) 側(cè)獲取MGTEK,并根據(jù)獲取到的MAK和該MGTEK得到MTK。如果網(wǎng)絡(luò) 側(cè)的基站在收到終端的建立MBS連接的請求時,發(fā)現(xiàn)自身尚未與網(wǎng)關(guān)建立 該MBS多播組的連接,則向該網(wǎng)關(guān)請求建立該MBS多播組的連接,并在建 立該連接時從該網(wǎng)關(guān)獲取相關(guān)的安全聯(lián)盟信息和MBS密鑰。如果網(wǎng)關(guān)發(fā)現(xiàn) 自身尚未與MBS服務(wù)器建立該MBS多播組的連接,則向該MBS服務(wù)器請 求建立該MBS多播組的連接,并在建立該連接時從該MBS服務(wù)器獲取相關(guān) 的安全聯(lián)盟信息和MBS密鑰。解決了 WiMAX網(wǎng)絡(luò)中終端和網(wǎng)絡(luò)側(cè)如何獲取MBS密鑰的問題,保證 了終端和網(wǎng)絡(luò)側(cè)能夠獲得正確的MBS密鑰。網(wǎng)絡(luò)側(cè)在終端已加入了 MBS多 播組后再向其下發(fā)MGTEK,保證了只有經(jīng)過鑒權(quán)后的終端才能獲得M鑰及網(wǎng)絡(luò)側(cè)能夠用正確的密鑰加密MBS業(yè)務(wù)凄t據(jù),獲纟尋授4又的終端能夠用 正確的密鑰解密數(shù)據(jù),得到想要的數(shù)據(jù)。終端只有在獲取了 MAK后才能被 準(zhǔn)許加入接收這一 MBS業(yè)務(wù)數(shù)據(jù)的多播組,保證了經(jīng)過薈權(quán)的終端能夠正 確可靠地接收MBS業(yè)務(wù)數(shù)據(jù)以及MBS業(yè)務(wù)只能被授權(quán)的終端接收。MBS服務(wù)器在MAK的生命周期到期或終端離開所述MBS多播組時, 通過下發(fā)MAK的更新消息更新該MAK?;蛘?,發(fā)送密鑰更新消息指示終端 請求該MAK進行密鑰更新。MAK的更新由MBS服務(wù)器決定,GKEK和 MGTEK的更新由MBS服務(wù)器/代理、網(wǎng)關(guān)、或基站決定,各種情況的更新 流程為MBS密鑰的更新提供了多種具體的實現(xiàn)方式,進一步保證了網(wǎng)絡(luò)側(cè) 能夠用正確的密鑰加密MBS業(yè)務(wù)數(shù)據(jù),終端能夠用正確的密鑰解密數(shù)據(jù), 得到想要的數(shù)據(jù)。


圖1是根據(jù)現(xiàn)有技術(shù)中WiMAX網(wǎng)絡(luò)架構(gòu)示意圖;圖2是根據(jù)現(xiàn)有技術(shù)中MBS組密鑰層次結(jié)構(gòu)示意圖;圖3是根據(jù)現(xiàn)有技術(shù)中基站更新GKEK和GTEK的流程圖;圖4是根據(jù)本發(fā)明第一實施方式的MBS密鑰獲取方法流程圖;圖5是根據(jù)本發(fā)明第一實施方式的MBS密鑰獲取方法中終端注冊MBS 方法一的流程圖;圖6是根據(jù)本發(fā)明第一實施方式的MBS密鑰獲取方法中終端注冊MBS 方法二的流程圖;圖7是根據(jù)本發(fā)明第二實施方式的MBS密鑰獲取方法流程圖;圖8是根據(jù)本發(fā)明第三實施方式的MBS密鑰獲取方法中MBS服務(wù)器的推過程示意圖
圖9是根據(jù)本發(fā)明第三實施方式的MBS密鑰獲取方法中MBS服務(wù)器通 過推過程更新MAK的示意圖;圖IO是根據(jù)本發(fā)明第三實施方式的MBS密鑰獲取方法中MBS服務(wù)器 通過4i過程更新MAK的示意圖;圖11是根據(jù)本發(fā)明第三實施方式的MBS密鑰獲取方法中網(wǎng)關(guān)更新 MGTEK和GKEK的示意圖;圖12是根據(jù)本發(fā)明第三實施方式的MBS密鑰獲取方法中MBS服務(wù)器 或MBS代理更新MGTEK和GKEK的示意圖。務(wù)體實施方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā) 明作進一 步地詳細描述。在本發(fā)明中,提供了終端和網(wǎng)絡(luò)側(cè)如何獲取MBS密鑰(包括MAK、 MGTEK和MTK)的具體方法,以及MAK、 MGTEK和用于對該MGTEK 加密的GKEK的更新的具體方法,以保證網(wǎng)絡(luò)側(cè)能夠用正確的密鑰加密MBS 數(shù)據(jù),終端能夠用正確的密鑰解密數(shù)據(jù),得到想要的數(shù)據(jù)。下面對本發(fā)明的第一實施方式進行詳細闡述,本發(fā)明的第一實施方式涉 及MBS的密鑰獲取方法,具體流程如圖4所示。在步驟401中,終端進行網(wǎng)絡(luò)的入網(wǎng)和認證過程,其具體細節(jié)參見 802.16eDraftB協(xié)議,在此不再贅述。接著,進入步驟402,終端建立連接鏈路,也就是和基站的傳輸連接。接著,進入步驟403,終端訂閱MBS并獲得MBS授權(quán)密鑰MAK。終 端在訂閱MBS的過程中需通過認證、授權(quán)、計費(Authentication、 Authorization、 Account,筒稱"AAA")服務(wù)器的認證(如步驟430'和步
驟430'')。本步驟的具體細節(jié)將在后文詳細闡述。接著,進入步驟404,終端通過向基站發(fā)起DSA過程請求加入MBS多 播組,也就是建立MBS鏈接。如杲此時,基站已與網(wǎng)關(guān)建立該MBS多播組 的承載連接,則直接進入步驟409,如果基站在接收到該終端的建立MBS鏈 接的請求時,尚未與網(wǎng)關(guān)建立該MBS多播組的承載連接,則進入步驟405。在步驟405中,建立R6隧道,即基站向該網(wǎng)關(guān)請求建立該MBS多播組 的承載連接。如果基站在第一個終端請求建立MBS連接時沒有事先獲取 MBS的包含MAK, MGTEK 和MTK的安全聯(lián)盟信息,則該基站在第一 個終端到來請求建立MBS連接時從與該基站相連的網(wǎng)關(guān)處獲取該MBS多播 組的安全聯(lián)盟信息,該安全聯(lián)盟信息中還包含MBS多播組安全聯(lián)盟標(biāo)識 (MBSGSAID)。如果用于對MBS多播組數(shù)據(jù)加密的MGTEK是由該基站 自身生成,則該基站還需向該網(wǎng)關(guān)請求該MBS多播組的MAK與MAK上下 文;如果MGTEK不是由該基站自身生成,則該基站還需向該網(wǎng)關(guān)請求該 MBS多播組的MAK、 MAK上下文、和MGTEK及其上下文。其中,上下文 信息包含密鑰標(biāo)識號、密鑰生命周期、密鑰更新時間、MBS多播組安全聯(lián)盟 標(biāo)識、和密鑰序列號。如杲網(wǎng)關(guān)尚未與MBS服務(wù)器(MBS Server)建立該MBS多播組的承載 連接,則進入步驟406,建立R3隧道,即用于承載該MBS數(shù)據(jù)的通道,并 向該網(wǎng)關(guān)請求該MBS多播組的包括MBS多播組安全聯(lián)盟標(biāo)識的安全聯(lián)盟信 息。由于基站在請求建立與該網(wǎng)關(guān)的MBS連接時,還請求獲取該MBS多播 組的MAK和MAK上下文,或MAK, MAK上下文和MGTEK及其上下文。 因此,網(wǎng)關(guān)在請求建立與MBS服務(wù)器的MBS連接時,也需向該MBS月l務(wù) 器或MBS代理(MBS Proxy)請求該MBS多播組的MAK與MAK上下文, 并在獲得MAK后自身生成MGTEK;或者,直接向該MBS服務(wù)器或MBS 代理請求該MBS多播組的MAK、 MAK上下文、和MGTEK及其上下文,如步驟407。其中,上下文信息包含密鑰標(biāo)識號、密鑰生命周期、和密鑰更 新時間,MBS多播組安全聯(lián)盟標(biāo)識,和密鑰序列號。接著,在步驟408中,網(wǎng)關(guān)將基站所請求的該MBS多播組的MAK和 MAK上下文,或該MBS多播組的MAK、 MAK上下文,和MGTEK及其上 下文發(fā)送給基站。不難發(fā)現(xiàn),步驟405至步驟408僅在該基站的第一個終端請求建立該 MBS的連接時執(zhí)行, 一旦基站與網(wǎng)關(guān),網(wǎng)關(guān)與MBS服務(wù)器已建立有該MBS 的連接時,則無需再執(zhí)行步驟405至步驟408。在步驟409中,基站對終端的建立MBS鏈接的請求進行鑒權(quán),并在驗 證終端的請求后,授權(quán)終端的請求并回復(fù)DSA-RSP消息,在該消息中攜帶 MBS域標(biāo)識號(MBS Zone ID ) , MBS內(nèi)容標(biāo)識,和MBS多播組安全聯(lián)盟 標(biāo)識,以便告知該終端該MBS域中播放的MBS內(nèi)容標(biāo)識以指示終端接收 MBS數(shù)據(jù),以及該終端被授權(quán)的MBS多播組安全聯(lián)盟標(biāo)識。接著,進入步驟410,終端向基站發(fā)起密鑰請求消息(Key Request), 通過在該請求消息攜帶的MBS多播組安全聯(lián)盟標(biāo)識,向網(wǎng)絡(luò)側(cè)請求該MBS 多播組的MGTEK。接著,進入步驟411,基站下發(fā)給該終端所請求的對應(yīng)MBS多播組安全 聯(lián)盟標(biāo)識的MGTEK,給建立MBS鏈接的終端。接著,進入步驟412, MBS服務(wù)器下發(fā)MBS數(shù)據(jù),基站根據(jù)當(dāng)前使用 的MAK和MGTEK生成的MTK,對該MBS數(shù)據(jù)進行加密。其中,MTK的 生成采用現(xiàn)有4支術(shù)中802.16e中描述的MTK的生成方法。接著,進入步驟413,基站將加密后的數(shù)據(jù)在空口發(fā)送,終端收到MBS 數(shù)據(jù)包后,用數(shù)據(jù)包中指示的密鑰標(biāo)號找到對應(yīng)的MAK和MGTEK來生成 MTK, (MTK的生成采用現(xiàn)有技術(shù)中802.16e中描述的MTK的生成方法) 并根據(jù)該MTK解密數(shù)據(jù)包,得到想要的數(shù)據(jù)。 由此可見,MBS服務(wù)器負責(zé)對終端注冊、去注冊多4番業(yè)務(wù)的鑒權(quán),鑒 權(quán)方式可用Challenge/ResponseRFC 1994或帶擴展認證方式,注冊和去 注冊過程可用超文本傳輸協(xié)議(Hyper Text Transfer Protocol,簡稱"HTTP") 協(xié)議或IP協(xié)議承載。鑒權(quán)成功后,MBS服務(wù)器負責(zé)生成MAK并分發(fā)給終端。終端負責(zé)建立和MBS服務(wù)器的共享密鑰,向MBS服務(wù)器注冊和去注冊 MBS業(yè)務(wù),請求和接收從MBS服務(wù)器下發(fā)的MAK和基站下發(fā)的MGTEK 并用它們生成數(shù)據(jù)解密密鑰MTK。基站負責(zé)向網(wǎng)關(guān)請求MBS密鑰或接收網(wǎng)關(guān)下發(fā)的MBS密鑰。網(wǎng)關(guān)負責(zé)向MBS服務(wù)器請求MBS密鑰或接收MBS服務(wù)器下發(fā)的 MBS密鑰。GW向MBS服務(wù)器請求MBS密鑰或接收MBS服務(wù)器下發(fā)的MBS密鑰。網(wǎng)絡(luò)側(cè)的基站和網(wǎng)關(guān)在第一個終端到來時建立MBS承載通道和獲取 MBS密鑰。其中,基站在第一個終端建立MBS連接時獲取MBS密鑰及組安 全聯(lián)盟標(biāo)識、密鑰上下文等參數(shù)(通過向網(wǎng)關(guān)請求獲得或網(wǎng)關(guān)主動下發(fā)給基 站)。網(wǎng)關(guān)在第一次建立該MBS業(yè)務(wù)承載時向MBS服務(wù)器獲取MBS密鑰(通 過向MBS服務(wù)器請求或MBS服務(wù)器下發(fā))。對于多基站接入的MBS業(yè)務(wù), MGTEK由網(wǎng)關(guān)或接入網(wǎng)MBS代理或MBS服務(wù)器隨機生成。對于單基站接 入的MBS業(yè)務(wù),MGTEK由基站或網(wǎng)關(guān)或接入網(wǎng)MBS代理或MBS服務(wù)器隨 機生成。解決了 WiMAX網(wǎng)絡(luò)中終端和網(wǎng)絡(luò)側(cè)如何獲取MBS密鑰的問題,保證 了終端和網(wǎng)絡(luò)側(cè)能夠獲得正確的MBS密鑰。網(wǎng)絡(luò)側(cè)在終端已加入了 MBS多 播組后再向其下發(fā)MGTEK,保證了授權(quán)終端才能夠獲取MBS密鑰和用正 確的密鑰解密數(shù)據(jù),得到想要的數(shù)據(jù)。終端只有在獲取了 MAK后才能被準(zhǔn)
許加入接收這一 MBS業(yè)務(wù)數(shù)據(jù)的多播組,保證終端能夠正確可靠地接收 MBS業(yè)務(wù)數(shù)據(jù)以及MBS業(yè)務(wù)只能被授權(quán)的終端接收。下面對終端訂閱MBS (即MBS注冊)過程,也就是MAK的請求過程 進行說明,該過程可用HTTP協(xié)議或IP協(xié)議承載。終端可以在注冊MBS時 獲取MAK,也可以在注冊時不獲取,而在注冊后的適當(dāng)時機通過請求消息 從網(wǎng)絡(luò)側(cè)獲取MAK。如圖5所示,在步驟501中,終端發(fā)起某個多播業(yè)務(wù)的密鑰請求,該請 求攜帶MBS-RK ( MBS根密鑰)生成的擴展認證碼,MSID (終端標(biāo)識), NAI(網(wǎng)絡(luò)接入標(biāo)識),MBS Zone ID( MBS域標(biāo)識),MBS Contents ID( MBS內(nèi)容標(biāo)識)。接著,進入步驟502,當(dāng)MBS服務(wù)器收到終端的請求消息后,由于MBS 服務(wù)器沒有MBS-RK不能對終端進行鑒別,因此MBS服務(wù)器向AAA服務(wù)器 (家鄉(xiāng)AAA或漫游情況下的拜訪AAA)發(fā)"AAA request"消息請求MBS-RK接著,進入步驟503, AAA服務(wù)器收到MBS服務(wù)器的請求,AAA服務(wù) 器鑒權(quán)終端是否訂閱了 MBS。如果是,AAA用MSK (終端密鑰)或EMSK (加密終端密鑰)生成MBS-RK用于擴展認證碼的驗證,AAA返回請求響 應(yīng)鑒權(quán)成功消息或下發(fā)MBS-RK和MBS-RK上下文給MBS服務(wù)器。如果 AAA鑒權(quán)終端沒有訂閱此MBS或者擴展頭認證失敗,則AAA返回鑒權(quán)失 敗消息給MBS服務(wù)器。接著,進入步驟504,如果MBS服務(wù)器收到AAA的鑒權(quán)成功消息,MBS 服務(wù)器直接返回MBS密鑰回復(fù)消息"MBS Key Reply"給終端,并下發(fā)MAK 和MAK上下文給MS;如果MBS服務(wù)器收到H-AAA (家鄉(xiāng)AAA)下發(fā)的 MBS-RK,則MBS服務(wù)器對MBS注冊請求消息驗證成功后返回成功注冊指 示并下發(fā)MAK及上下文給終端,該上下文包含MBS組安全聯(lián)盟標(biāo)識,密鑰
生命周期(key lifetime ) , MAK才示iP、 ( MAK ID ) , MAK序歹'j號(MAK SN ), 生命周期(Life Time),更新時間(Grace Time ),和現(xiàn)在使用的密鑰指示。 MAK用MBS-RK加密后下發(fā),如果MBS服務(wù)器收到鑒權(quán)失敗消息或用 MBS-RK對MBS密鑰請求消息"MBS Key Request"驗證失敗后,MBS月良務(wù) 器返回請求失敗消息給終端。另外,需要說明的是,終端也可以通過如圖6所示的流程訂閱或注冊 MBS。在步驟601中,終端發(fā)起某個多播業(yè)務(wù)的密鑰請求,該請求攜帶終端用 戶名,MBS-RK或MBS-RK派生的密鑰或密鑰的哈希值,MSID(終端標(biāo)識), NAI(網(wǎng)絡(luò)接入標(biāo)識),MBS Zone ID( MBS域標(biāo)識),MBS Contents ID( MBS內(nèi)容標(biāo)識),和消息驗證碼。接著,在步驟602中,當(dāng)MBS服務(wù)器收到終端的請求消息后,由于MBS 服務(wù)器沒有MBS-RK不能對終端進行鑒別,因此,MBS服務(wù)器向AAA服務(wù) 器(家鄉(xiāng)AAA或漫游情況下的拜訪AAA)發(fā)"AAA request"消息請求MBS-RK 或MBS服務(wù)器將終端的用戶名和密鑰發(fā)給AAA服務(wù)器進行驗證。接著,在步驟603中,AAA服務(wù)器收到MBS服務(wù)器的請求,AAA服務(wù) 器根據(jù)終端的網(wǎng)絡(luò)接入標(biāo)識索引終端的MBS-RK或其派生的密鑰驗證終端 的密鑰是否正確,AAA返回成功指示消息或下發(fā)MBS-RK或MBS-RK派生 的其他密鑰及密鑰上下文給MBS服務(wù)器。接著,在步驟604中,MBS服務(wù)器收到AAA的用戶認證成功指示消息, MBS Server直接返回MBS密鑰回復(fù)消息"MBS Key Reply"給終端,并下發(fā) MAK和MAK上下文給終端;或MBS服務(wù)器收到AAA下發(fā)的MBS-RK或 其派生的其他密鑰,MBS服務(wù)器對終端驗證成功后返回成功注冊指示并下發(fā) MAK及上下文,該上下文包含MBS組安全聯(lián)盟標(biāo)識(MBSGSAID),密鑰 生命周期(key lifetime ) , MAK標(biāo)識(MAK ID) , MAK序列號(MAK SN),
生命周期(Lifetime),更新時間(Grace Time ),和現(xiàn)在^f吏用的密鑰指示。 MAK用MBS-RK或其派生的密鑰加密后下發(fā);如果MBS服務(wù)器收到用戶認 證失敗消息或用MBS-RK或其派生密鑰對終端驗證失敗后,MBS服務(wù)器返 回請求失敗消息給終端。本發(fā)明的第二實施方式涉及MBS的密鑰獲取方法,本實施方式與第一 實施方式大致相同,其區(qū)別僅在于,在第一實施方式中,終端通過向基站發(fā) 起DSA過程請求加入MBS多播組,而在本實施方式中,終端通過加入IP 組播方式請求加入MBS多播組,其具體流程如圖7所示。步驟701至步驟703分別與步驟401至步驟403完全相同,在此不再贅述。接著,進入步驟704,終端以IP組播方式請求加入MBS多播組,請求 建立MBS連接,即發(fā)起"IGMPJoin"消息向網(wǎng)關(guān)請求加入MBS的多播組。 如果是第一個終端請求建立MBS連接,則進入步驟705,否則,直接進入步 驟709。步驟705至步驟708分別與步驟405至步驟408完全相同,在此不再贅 述。其中,基站通過RR-REQ和RR-RSP建立和網(wǎng)關(guān)的連接(如步驟709和 步驟712)。值得一提的是,如果接入網(wǎng)內(nèi)由MBS代理來統(tǒng)一分發(fā)MBS密鑰和MBS 數(shù)據(jù),則網(wǎng)關(guān)在第一個終端請求建立MBS連接時向MBS代理請求MBS密 鑰,MBS代理下發(fā)MBS密鑰給網(wǎng)關(guān),供其后續(xù)使用。在步驟710和步驟711中,基站通過發(fā)送DSA過程建立和終端的空口 承栽,通知終端該MBS中的MBS內(nèi)容標(biāo)識和終端被授權(quán)的MBS組安全聯(lián) 盟標(biāo)識。步驟713至步驟716分別與步驟410至步驟413完全相同,在此不再贅述。由此可見,本實施方式同樣解決了 WiMAX網(wǎng)絡(luò)中終端和網(wǎng)絡(luò)側(cè)如何獲 取MBS密鑰的問題,保證了終端和網(wǎng)絡(luò)側(cè)能夠獲得正確的MBS密鑰。本發(fā)明的第三實施方式涉及MBS的密鑰獲取方法,本實施方式在第一 實施方式的基礎(chǔ)上增加了 MAK、 MGTEK和GKEK的更新流程。其中,MAK的更新由網(wǎng)絡(luò)側(cè)的MBS服務(wù)器決定。MBS服務(wù)器可通過 發(fā)起MAK的推過程或拉過程進行MAK的更新。MAK的推過程指的是當(dāng)MAK的生命周期到期或MBS多播組成員變化 時,MBS服務(wù)器將MAK以推模式下發(fā)給終端,如圖8所示。具體地il, MBS月良務(wù)器將MAK及其上下文(MBS-RK ID, MAK ID, MAK SN, Life time, Grace Time, 現(xiàn)在使用的密鑰指示等)下發(fā)到多播 域的各網(wǎng)關(guān),各網(wǎng)關(guān)再下發(fā)到建立該MBS業(yè)務(wù)傳輸?shù)幕局?,如圖9所示。 攜帶MAK及其上下文的MAK更新消息通過用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol,簡稱"UDP")傳輸給終端,該消息用高層協(xié)議HTTP或IP協(xié)議 承載單播發(fā)送給終端。MAK的更新消息可用MBS-RK或MBS-RK派生的密 鑰加密后發(fā)送。在消息擴展里帶的MBS-RK ID指示用于驗證消息完整性和 UPD數(shù)據(jù)加密所用的密鑰便于終端用同樣的密鑰來驗證消息完整性和數(shù)據(jù) 解密。MAK的拉過程指的是在終端的MAK快過期并且MBS服務(wù)器想對終端 做重鑒權(quán)再更新MAK時,MBS服務(wù)器發(fā)送密鑰更新指示消息指示終端請求 新的MAK,終端收到所述密鑰更新指示消息后,通過發(fā)起MAK請求過程獲 取新的MAK。具體地說,如圖IO所示,MBS服務(wù)器發(fā)送密鑰更新消息給終端,并在 消息擴展中的MAK ID字段填0指示終端去請求新的MAK。 密鑰更新消息 需要做完整性保護,在消息凈荷里需要帶消息驗證碼[RFC2104]供終端收到 消息后驗證,消息驗證碼可用MBS-RK或由MBS-RK派生的密鑰生成。終
端收到MBS服務(wù)器的密鑰更新消息后,發(fā)起密鑰請求過程(該過程和初次請 求MAK的過程相同)。
MGTEK和GKEK的更新可由網(wǎng)關(guān)、MBS服務(wù)器或MBS代理、或基站決定。
網(wǎng)關(guān)決定MGTEK和GKEK的更新流程如圖11所示,網(wǎng)關(guān)隨機產(chǎn)生 MGTEK并下發(fā)MGTEK及其上下文到建立該MBS傳輸連接的基站中,該 上下文包含MBS組安全聯(lián)盟標(biāo)識(MGSAID) , MAK標(biāo)識(MAK ID), MAK序列號(MAKSN) , GKEK, MGTEK標(biāo)識(MGTEK ID) , MGTEK 生命周期(MGTEK lifetime)?;静捎?02.16e/D12中密鑰更新命令消息 "Key Update Command "對多播組的終端進行GKEK和MGTEK更新。在 MGTEK的更新時間(Grace Time)到來之前,如果GKEK需要更新,則先 在主管理連接上進行GKEK的更新(GKEK也可不更新, 一個GKEK可以加 密多個MGTEK)。在MGTEK的Grace Time到來時,再在多播連接進行 MGTEK的更新,MGTEK用GKEK加密。
MBS服務(wù)器或MBS代理決定MGTEK和GKEK的更新流程如圖12所 示,MBS服務(wù)器或MBS代理隨機產(chǎn)生MGTEK并下發(fā)MGTEK及其上下文
(MGSAID, MAKID, MAK SN, GKEK, MGTEK ID, MGTEK lifetime) 到建立該MBS業(yè)務(wù)傳輸連接的網(wǎng)關(guān)中。網(wǎng)關(guān)下發(fā)MGTEK及其上下文
(MGSAID, MAKID, MAKSN, GKEK ID, MGTEK ID, MGTEK lifetime)到建立該MBS業(yè)務(wù)傳輸連接的基站中?;静捎?02,16e/D12中密 鑰更新命令消息"Key Update Command "對多播組的終端進行GKEK和 MGTEK更新,在MGTEK的更新時間(Grace Time )到來之前,如果GKEK 需要更新,則先在主管理連接上進行GKEK的更新(GKEK也可不更新,一 個GKEK可以加密多個MGTEK)。在MGTEK的Grace Time到來時,再在 廣播連接進行MGTEK的更新,MGTEK用GKEK加密。
對于單基站接入的MBS,由基站決定MGTEK和GKEK的更新?;?采用802.16e/D12中密鑰更新命令消息"Key Update Command "對多播組的 終端進行GKEK和MGTEK更新,在MGTEK的更新時間(Grace Time)到 來之前,如果GKEK需要更新,則基站先在主管理連接上進行GKEK的更新 (GKEK也可不更新, 一個GKEK可以加密多個MGTEK)。在MGTEK的Grace Time到來時,再在廣播連接進行MGTEK的更新,MGTEK用GKEK加密。 基站隨機產(chǎn)生MGTEK并下發(fā)MGTEK及其上下文(MGSAID, MAK ID, MAK SN, GKEK, MGTEK ID, MGTEK lifetime到終端中?;靖?GKEK和MGTEK的過程同以上情況的更新流程相同。
由此可見,在本實施方式中提供的各種MBS密鑰的更新流程進一步保 證了網(wǎng)絡(luò)側(cè)能夠用正確的密鑰加密MBS業(yè)務(wù)數(shù)據(jù),終端能夠用正確的密鑰 解密數(shù)據(jù),得到想要的數(shù)據(jù)。
本發(fā)明的第四實施方式涉及一種網(wǎng)絡(luò),包含用于在終端注冊MBS時 生成并下發(fā)MBS鑒權(quán)密鑰MAK的設(shè)備;用于對終端的加入MBS多播組的 請求進行鑒權(quán)的設(shè)備;用于在鑒權(quán)通過后授權(quán)該終端加入MBS多播組并向 該終端返回該MBS多播組的安全聯(lián)盟標(biāo)識的設(shè)備;用于根據(jù)MBS多播組安 全聯(lián)盟標(biāo)識下發(fā)MGTEK的設(shè)備;和用于根據(jù)MAK和MGTEK生成MTK 的設(shè)備。
該網(wǎng)絡(luò)還包含基站、網(wǎng)關(guān)、MBS服務(wù)器、和MBS代理。該基站用于在 收到終端的加入MBS多播組的請求但尚未與網(wǎng)關(guān)建立該MBS多播組的承栽 連接時,向該網(wǎng)關(guān)請求建立該MBS多播組的承載連接,并在在第一個終端 請求建立MBS連接前沒有事先獲取MBS的包含MAK, MGTEK和MTK的 安全聯(lián)盟信息時,在第一個終端到來請求建立MBS連接時從與該基站相連 的網(wǎng)關(guān)處荻取該MBS多播組的安全聯(lián)盟信息。如果基站能自身生成MGTEK, 則該基站在第一個終端到來請求建立MBS連接時,從網(wǎng)關(guān)獲取MBS多播組
的MAK與MAK上下文,并在獲得MAK后自身生成MGTEK;否則,該基 站在第一個終端到來請求建立MBS連接時,從網(wǎng)關(guān)獲取MBS多播組的 MAK、 MAK上下文和MGTEK及其上下文。
網(wǎng)關(guān)用于在收到基站的建立MBS多播組承載連接的請求但尚未與MBS 服務(wù)器建立該MBS連接時,向該MBS服務(wù)器請求建立該MBS連接,并在 第一個基站請求建立MBS連接時從MBS服務(wù)器獲取該MBS多播組的安全 聯(lián)盟信息。如果該網(wǎng)關(guān)能自身生成MGTEK,則在建立該MBS連接時,從 MBS服務(wù)器或MBS代理獲取該MBS多播組的MAK與MAK上下文,并在 獲得MAK后自身生成MGTEK;否則,該網(wǎng)關(guān)在建立該MBS連接時,從 MBS服務(wù)器或MBS代理獲取該MBS多播組的MAK與MAK上下文和 MGTEK及其上下文。
其中,MAK的更新由MBS服務(wù)器決定;MGTEK和GKEK的更新由 MBS服務(wù)器/代理、網(wǎng)關(guān)、或基站決定。從而解決了 WiMAX網(wǎng)絡(luò)中網(wǎng)絡(luò)側(cè) 如何獲取和更新MBS密鑰的問題,保證了網(wǎng)絡(luò)側(cè)能夠用正確的密鑰加密 MBS業(yè)務(wù)數(shù)據(jù)。
本發(fā)明的第五實施方式涉及一種終端設(shè)備,包含用于在向網(wǎng)絡(luò)側(cè)注冊 MBS時獲取MAK的模塊;用于向網(wǎng)絡(luò)側(cè)請求加入MBS多播組,并在被授 權(quán)加入時獲取該MBS多播組的安全聯(lián)盟標(biāo)識的模塊;用于根據(jù)安全聯(lián)盟標(biāo) 識從網(wǎng)絡(luò)側(cè)獲取MGTEK的模塊;和用于根據(jù)獲取到的MAK和MGTEK生 成MTK的模塊。解決了 WiMAX網(wǎng)絡(luò)中終端如何獲取和更新MBS密鑰的問 題,保證了終端能夠用正確的密鑰解密數(shù)據(jù),得到想要的數(shù)據(jù)。
雖然通過參照本發(fā)明的某些優(yōu)選實施方式,已經(jīng)對本發(fā)明進行了圖示和 描述,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白,可以在形式上和細節(jié)上對其作各 種改變,而不偏離本發(fā)明的精神和范圍。
權(quán)利要求
1.一種組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于,包含以下步驟終端獲取MBS鑒權(quán)密鑰MAK;終端向網(wǎng)絡(luò)側(cè)發(fā)起請求加入MBS多播組,網(wǎng)絡(luò)側(cè)對所述終端的請求進行鑒權(quán),并在鑒權(quán)通過后授權(quán)該終端加入MBS多播組并向該終端返回所述MBS多播組的安全聯(lián)盟標(biāo)識;所述終端根據(jù)得到的所述安全聯(lián)盟標(biāo)識從網(wǎng)絡(luò)側(cè)獲取MBS多播組數(shù)據(jù)加密密鑰MGTEK;所述終端和網(wǎng)絡(luò)側(cè)根據(jù)所述MAK和MGTEK生成MBS數(shù)據(jù)加密密鑰MTK。
2. 根據(jù)權(quán)利要求1所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 所述終端在注冊組播廣播業(yè)務(wù)MBS時獲取MBS鑒權(quán)密鑰MAK。
3. 根據(jù)權(quán)利要求1所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 所述終端通過向基站發(fā)起動態(tài)服務(wù)流創(chuàng)建過程或加入IP組播方式請求加入 MBS多播組;如果所述基站尚未與網(wǎng)關(guān)建立該MBS多播組的承載連接,則向該網(wǎng)關(guān) 請求建立該MBS多播組的承載連接;如果所述基站在第一個終端請求建立MBS連接時沒有事先獲取MBS 的包含MAK, MGTEK 和MTK的安全聯(lián)盟信息,則該基站在第一個 終端到來請求建立MBS連接時從與該基站相連的網(wǎng)關(guān)處獲取該MBS多播組 的所述安全聯(lián)盟信息。
4. 根據(jù)權(quán)利要求3所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 如果由所述基站自身生成所述MGTEK ,則所述基站在第 一 個終端到來請求 建立MBS連接時,從所述網(wǎng)關(guān)獲取所述MBS多播組的MAK與MAK上下文;否則,所述基站在建立所述MBS連接時,從所述網(wǎng)關(guān)獲取所述MBS多4番組 的MAK、 MAK上下文和MGTEK及其上下文。
5. 根據(jù)權(quán)利要求3所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 如果網(wǎng)關(guān)尚未與MBS服務(wù)器建立該MBS連接,則向該MBS服務(wù)器請求建 立該MBS連接,并在第一個基站請求建立MBS連接時從MBS服務(wù)器獲取 該MBS多播組的所述安全聯(lián)盟信息。
6. 根據(jù)權(quán)利要求5所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 所述網(wǎng)關(guān)在建立所述MBS連接時,從所述MBS服務(wù)器或MBS代理獲取所 述MBS多播組的MAK與MAK上下文,該網(wǎng)關(guān)在獲得MAK后自身生成 MGTEK;或者,直接從所述MBS服務(wù)器或MBS代理獲取所述MBS多播 組的MAK與MAK上下文及MGTEK與MGTEK上下文。
7. 根據(jù)權(quán)利要求2所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 用于注冊MBS的注冊消息和請求所述MBS授權(quán)密鑰MAK的請求消息包含 以下參數(shù)之一或其任意組合終端用戶名、MBS根密鑰或MBS根密鑰派生的密鑰、終端標(biāo)識號、網(wǎng) 絡(luò)接入標(biāo)識、MBS域標(biāo)識、MBS內(nèi)容標(biāo)識、和消息驗證碼。
8. 根據(jù)權(quán)利要求2所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 用于注冊所述MBS的注冊消息和請求所述MBS授權(quán)密鑰MAK的請求消息 包含以下參數(shù)之一或其任意組合終端用戶名、MBS根密鑰或MBS根密鑰派生的密鑰的哈希值、終端標(biāo) 識號、網(wǎng)絡(luò)接入標(biāo)識、MBS域標(biāo)識、MBS內(nèi)容標(biāo)識、和消息驗證碼。
9. 根據(jù)權(quán)利要求4或6所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征 在于,所述上下文包含以下之一或其任意組合 密鑰標(biāo)識號、密鑰生命周期、密鑰更新時間,MBS多播組安全聯(lián)盟標(biāo) 識,和密鑰序列號。
10. 根據(jù)權(quán)利要求1至8中任一項所述的組播廣播業(yè)務(wù)的密鑰獲取方法, 其特征在于,當(dāng)所述MAK的生命周期到期或MBS多播組成員變化時,由 所述MBS服務(wù)器決定更新該MAK;當(dāng)所述MBS服務(wù)器決定更新所述MAK時,將MAK的更新消息發(fā)送 到建立相應(yīng)MBS連接的網(wǎng)關(guān),再由網(wǎng)關(guān)下發(fā)到建立相應(yīng)MBS連接的基站。
11. 根據(jù)權(quán)利要求10所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在 于,所述MAK的更新消息包含更新后的MAK和更新后的MAK的上下文。
12. 根據(jù)權(quán)利要求11所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在 于,所述MAK的更新消息在根據(jù)MBS根密鑰或MBS根密鑰的派生密鑰加 密后,再發(fā)送給所述終端('
13. 根據(jù)權(quán)利要求1至8中任一項所述的組播廣播業(yè)務(wù)的密鑰獲取方法, 其特征在于,所述MAK通過以下方式更新所述MBS服務(wù)器發(fā)送密鑰更新消息指示所述終端請求新的MAK;所述終端收到所述密鑰更新指示消息后,通過發(fā)起MAK請求過程獲取 新的MAK。
14. 根據(jù)權(quán)利要求1所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 如果由所述網(wǎng)絡(luò)側(cè)的網(wǎng)關(guān)決定所述MGTEK的更新,則由該網(wǎng)關(guān)隨^L產(chǎn)生 MGTEK,并將產(chǎn)生的MGTEK和該MGTEK的上下文發(fā)送到建立相應(yīng)MBS 連接的基站,由該基站通知所述終端對該MGTEK進行更新。
15. 根據(jù)權(quán)利要求1所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 由該MBS代理或MBS服務(wù)器隨機產(chǎn)生MGTEK,并將產(chǎn)生的MGTEK和該MGTEK的上下文發(fā)送到建立相應(yīng)MBS連接的網(wǎng)關(guān),再由網(wǎng)關(guān)將該MGTEK 和該MGTEK的上下文發(fā)送到建立相應(yīng)MBS連接的基站,由該基站通知所 述終端對該MGTEK進4亍更新。
16. 根據(jù)權(quán)利要求1所述的組播廣播業(yè)務(wù)的密鑰獲取方法,其特征在于, 如果由所述網(wǎng)絡(luò)側(cè)的基站決定所述MGTEK的更新,則由該基站隨機產(chǎn)生 MGTEK,并將產(chǎn)生的MGTEK和該MGTEK的上下文,并通知所述終端對 該MGTEK進行更新。
17. 根據(jù)權(quán)利要求14至16中任一項所述的組播廣播業(yè)務(wù)的密鑰獲取方 法,其特征在于,所述MGTEK的上下文包含以下參數(shù)之一或其任意組合MBS多播組數(shù)據(jù)安全聯(lián)盟標(biāo)識號、MAK標(biāo)識號、MAK序列號、組密 鑰加密密鑰GKEK、 MGTEK標(biāo)識號、和MGTEK生命周期。
18. 根據(jù)權(quán)利要求14至16中任一項所述的組播廣播業(yè)務(wù)的密鑰獲取方 法,其特征在于,組密鑰加密密鑰GKEK的更新由所述網(wǎng)絡(luò)側(cè)的MBS代理 /服務(wù)器、網(wǎng)關(guān)、或基站決定。
19. 一種網(wǎng)絡(luò),其特征在于,包含用于在終端注冊組播廣播業(yè)務(wù)MBS時生成并下發(fā)MBS鑒權(quán)密鑰MAK 的設(shè)備;用于對終端的加入MBS多播組的請求進行鑒權(quán)的設(shè)備;用于在鑒4又通過后授權(quán)該終端加入MBS多4番組并向該終端返回該 MBS多播組的安全聯(lián)盟標(biāo)識的設(shè)備;用于根據(jù)所述終端的安全聯(lián)盟標(biāo)識下發(fā)MBS多播組數(shù)據(jù)加密密鑰 MGTEK的設(shè)備;和用于根據(jù)所述MAK和MGTEK生成MBS數(shù)據(jù)加密密鑰MTK的設(shè)備。
20. 根據(jù)權(quán)利要求19所述的網(wǎng)絡(luò),其特征在于,所述網(wǎng)絡(luò)側(cè)包含基站、 網(wǎng)關(guān)和MBS月良務(wù)器;所述基站用于在收到所述終端的加入MBS多播組的請求但尚未與網(wǎng)關(guān)建立該MBS多播組的承載連接時,向該網(wǎng)關(guān)請求建立該MBS多播組的承載連接,并在在第一個終端請求建立MBS連接前沒有事先獲取MBS的包含MAK, MGTEK和MTK的安全聯(lián)盟信息時,在第一個終端到來請求建立MBS連接時從與該基站相連的網(wǎng)關(guān)處獲取該MBS多播組的所述安全聯(lián)盟信 自 所述網(wǎng)關(guān)用于在收到基站的建立所述MBS多播組承載連接的請求但尚 未與MBS服務(wù)器建立該MBS連接時,向該MBS服務(wù)器請求建立該MBS 連接,并在第一個基站請求建立MBS連接時從MBS服務(wù)器獲取該MBS多 播組的所述安全聯(lián)盟信息,,
21. 根據(jù)權(quán)利要求20所述的網(wǎng)絡(luò),其特征在于,所述基站還用于在第 一個終端到來請求建立MBS連接時,從所述網(wǎng)關(guān)獲取所述MBS多播組的 MAK、 MAK上下文和MGTEK及其上下文;或者,在第一個終端到來請求建立MBS連接時,從所述網(wǎng)關(guān)獲取所述MBS 多播組的MAK與MAK上下文,并在獲得MAK后自身生成所述MGTEK。
22. 根據(jù)權(quán)利要求20所述的網(wǎng)絡(luò),其特征在于,所述網(wǎng)絡(luò)還包含MBS 代理;所述網(wǎng)關(guān)還用于在建立所述MBS連接時,從所述MBS服務(wù)器或MBS 代理獲取所述MBS多播組的MAK與MAK上下文和MGTEK及其上下文; 或者,在建立所述MBS連接時,從所述MBS服務(wù)器或MBS代理獲取所述 MBS多播組的MAK與MAK上下文,并在獲得MAK后自身生成MGTEK。
23. 根據(jù)權(quán)利要求22所述的網(wǎng)絡(luò),其特征在于,所述MAK的更新由 所述MBS服務(wù)器決定; 所述MGTEK和組密鑰加密密鑰GKEK的更新由所述MBS月良務(wù)器/ 理、網(wǎng)關(guān)、或基站決定。
24. —種終端設(shè)備,其特征在于,包含用于在向網(wǎng)絡(luò)側(cè)注冊組播廣播業(yè)務(wù)MBS時獲取MBS鑒權(quán)密鑰MAK的 模塊;用于向網(wǎng)絡(luò)側(cè)請求加入MBS多播組,并在被授權(quán)加入時獲取該MBS 多播組的安全聯(lián)盟標(biāo)識的模塊;用于根據(jù)安全聯(lián)盟標(biāo)識從網(wǎng)絡(luò)側(cè)獲取MBS多播組數(shù)據(jù)加密密鑰 MGTEK的模塊;和用于根據(jù)獲取到的MAK和MGTEK生成MBS數(shù)據(jù)加密密鑰MTK的模塊。
全文摘要
本發(fā)明涉及通信領(lǐng)域,公開了一種組播廣播業(yè)務(wù)的密鑰獲取和建立方法、網(wǎng)絡(luò)及終端設(shè)備,使得WiMAX終端和網(wǎng)絡(luò)側(cè)能夠得到正確的MBS密鑰。本發(fā)明中,由終端在注冊MBS時獲取MAK,并在獲取到該MAK后向網(wǎng)絡(luò)側(cè)請求加入MBS多播組,網(wǎng)絡(luò)側(cè)對該終端的請求進行鑒權(quán),并在鑒權(quán)通過后向該終端返回所述MBS多播組的安全聯(lián)盟標(biāo)識。終端根據(jù)得到的安全聯(lián)盟標(biāo)識從網(wǎng)絡(luò)側(cè)獲取MGTEK,并根據(jù)獲取到的MAK和該MGTEK得到MTK。
文檔編號H04L9/08GK101150396SQ20061013900
公開日2008年3月26日 申請日期2006年9月20日 優(yōu)先權(quán)日2006年9月20日
發(fā)明者何賢會, 吳建軍 申請人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1