專利名稱:一種實(shí)現(xiàn)iptv組播業(yè)務(wù)媒體安全的方法、系統(tǒng)及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,尤其涉及一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的 方法�����、系統(tǒng)及設(shè)備����。
背景技術(shù):
3GPP ( The Third Generation Partnership Project,第三代移動(dòng)通信系統(tǒng)) 標(biāo)準(zhǔn)定義的IMS (IP Multimedia Core Network Subsystem, IP多力某體業(yè)務(wù)子系 統(tǒng))釆用SIP ( Session Initial Protocol,會(huì)話發(fā)起協(xié)議)協(xié)議作為呼叫控制信令, 實(shí)現(xiàn)業(yè)務(wù)管理�����、會(huì)話控制及承載接入的三者分離���。其中�����,IMS Core (IMS核心) 包括以下邏輯功能實(shí)體S-CSCF (Service-Call Session Control Function,服務(wù) CSCF ) ���、 P-CSCF (Proxy-Call Session Control Function,代理CSCF )和I-CSCF (查詢CSCF)��。
基于IMS網(wǎng)絡(luò)的IPTV ( IP Television,因特網(wǎng)協(xié)議電視)業(yè)務(wù)是在IP (InternetProtocol,因特網(wǎng)協(xié)i義)網(wǎng)絡(luò)上傳輸多i某體的系統(tǒng)�,包括視頻、音頻 等i某體內(nèi)容�����。該業(yè)務(wù)實(shí)質(zhì)上是在IMS網(wǎng)絡(luò)架構(gòu)下提供IPTV業(yè)務(wù),充分利用IMS 網(wǎng)絡(luò)中已有的會(huì)話控制����、計(jì)費(fèi)等機(jī)制為UE (UserEquipment,用戶設(shè)備)提供 電視類的多媒體業(yè)務(wù)。IPTV典型業(yè)務(wù)實(shí)例是LTV (Linear Television,線性電 視)業(yè)務(wù)���,LTV業(yè)務(wù)將媒體采用IP組播方式發(fā)送給UE,對(duì)于觀看同一節(jié)目的 全部用戶�,在每一時(shí)刻所收到的節(jié)目?jī)?nèi)容都是完全相同的���。當(dāng)然�,對(duì)于需要 將同一業(yè)務(wù)內(nèi)容同時(shí)發(fā)送給多個(gè)用戶的情況都可以采用組播方式來(lái)開(kāi)展�,都 可以看作是組播業(yè)務(wù)。
CA (Conditional Access,條件接入系統(tǒng))是傳統(tǒng)廣播電視中使用的媒體 安全的保護(hù)方法���。通過(guò)在內(nèi)容源頭對(duì)廣播節(jié)目進(jìn)行節(jié)目加擾���,用戶設(shè)備播放 i某體內(nèi)容時(shí)對(duì)加擾的節(jié)目?jī)?nèi)容進(jìn)行解擾�����,從而保證內(nèi)容的安全傳送���。用戶設(shè) 備解擾所需的安全信息通過(guò)獨(dú)立于節(jié)目?jī)?nèi)容的消息傳送給用戶設(shè)備�����。節(jié)目?jī)?nèi)容�����、安全信息以及系統(tǒng)中的其他信息復(fù)用成一個(gè)TS (Transport Stream,傳輸 流)發(fā)給用戶設(shè)備�。IPTV系統(tǒng)應(yīng)用的CA系統(tǒng)中,密鑰是分層保護(hù)的節(jié)目?jī)?nèi) 容經(jīng)過(guò)CW (Control Word,控制字)加擾��,CW由SK (Service Key,業(yè)務(wù)密 鑰)加密處理后在ECM ( Entitlement Control Message,授權(quán)控制消息)消息中 傳送�����,SK在EMM (Entitlement Management Message,授斥又管理消息)中傳送, 且SK在傳送前要經(jīng)過(guò)PDK (Personal Distribution Key,個(gè)人分發(fā)密鑰)的加密 處理���,PDK存放在用戶的SC ( Smart Card,智能卡)中�。
在實(shí)現(xiàn)本發(fā)明的過(guò)程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中存在以下缺點(diǎn) 現(xiàn)有CA系統(tǒng)適合沒(méi)有返回通道的數(shù)字電視廣播網(wǎng)絡(luò)�,發(fā)給每個(gè)用戶的 EMM消息都采用對(duì)應(yīng)的用戶密鑰進(jìn)行加密��,需要對(duì)用戶進(jìn)行分組進(jìn)行輪播下 發(fā)EMM�,而且只能應(yīng)用于TS封裝格式?���;贗MS的IPTV系統(tǒng)中,存在返回通 道�,而且存在直接使用RTP封裝的媒體格式,所以����,現(xiàn)有技術(shù)不能直接應(yīng)用于 基于IMS的IPTV系統(tǒng)中。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了 一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法����、系統(tǒng)及設(shè) 備����,基于IMS的IPTV系統(tǒng)中的組播媒體保護(hù)的SEK和TEK的下發(fā)的問(wèn)題����。
本發(fā)明實(shí)施例提供了 一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)々某體安全的方法,包括以下 步驟
用戶設(shè)備UE從密鑰管理功能KMF獲得業(yè)務(wù)加密密鑰SEK; 所述UE接收組播發(fā)送的被所述SEK加密的媒體加密密鑰TEK密鑰流��; 所述UE使用所述SEK解密出TEK�,并使用所述TEK解密所述由TEK 加密的組播媒體。
本發(fā)明實(shí)施例提供了 一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)4某體安全的系統(tǒng)��,包括 密鑰管理功能實(shí)體�����,用于向用戶i殳備發(fā)送SEK,并將SEK加密的TEK部署
到媒體服務(wù)功能實(shí)體���;
媒體服務(wù)功能實(shí)體,用于向用戶設(shè)備發(fā)送加密的組播媒體��,及加密組播
媒體對(duì)應(yīng)的被SEK加密的TEK;用戶設(shè)備�,用于從所述密鑰管理功能實(shí)體獲得SEK,從所述媒體服務(wù)功 能實(shí)體接收組播發(fā)送的被所述SEK加密保護(hù)的TEK密鑰流,并使用所述SEK 解密出TEK,使用所述TEK解密所述由TEK加密的組播媒體。
本發(fā)明實(shí)施例提供了一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)i某體安全的密鑰管理功能 實(shí)體���,包括
SEK發(fā)送模塊�,用于向用戶設(shè)備發(fā)送SEK;
TEK部署;f莫塊��,用于向MCF或者CEF傳遞以下信息的一種SEK�、 TEK 或者SEK加密的TEK。
本發(fā)明實(shí)施例提供了一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的用戶設(shè)備����,包
括
SEK獲取模塊,用于從密鑰管理功能實(shí)體獲得SEK;
TEK獲取模塊�����,用于從所述媒體服務(wù)功能實(shí)體接收組播發(fā)送的被所述 SEK加密保護(hù)的TEK密鑰流��;
解密模塊���,用于使用所述SEK解密出TEK�,并使用所述TEK解密所述 由TEK加密的組插4某體��。
本發(fā)明的實(shí)施例中�����,通過(guò)分發(fā)密鑰SEK和TEK給UE和媒體服務(wù)功能實(shí)體, 實(shí)現(xiàn)基于IMS的IPTV架構(gòu)的LTV組播媒體傳輸安全����。
圖la是本發(fā)明實(shí)施例中應(yīng)用場(chǎng)景中IMS based IPTV的業(yè)務(wù)功能架構(gòu)圖�����; 圖lb是本發(fā)明實(shí)施例中密鑰體系示意圖����; 圖2是本發(fā)明實(shí)施例中功能實(shí)體結(jié)構(gòu)息和/或SEK密鑰標(biāo)識(shí)信息流程圖4是本發(fā)明實(shí)施例中通過(guò)SIP會(huì)話下發(fā)初始頻道的4某體保護(hù)類型信息
和/或SEK密鑰標(biāo)識(shí)信息流程圖5是本發(fā)明實(shí)施例中基于Kl接口從KMF獲取SEK架構(gòu)圖����; 圖6是本發(fā)明實(shí)施例中基于Kl接口從KMF獲取SEK流程10圖7是本發(fā)明實(shí)施例中基于Kl接口 KMF單獨(dú)下發(fā)SEK流程圖; 圖8是本發(fā)明實(shí)施例中基于K2接口從KMF獲取SEK架構(gòu)圖��; 圖9是本發(fā)明實(shí)施例中基于K2接口從KMF獲取SEK另 一架構(gòu)圖��; 圖10是本發(fā)明實(shí)施例中基于K2接口從KMF獲取SEK流程圖�����; 圖11是本發(fā)明實(shí)施例中基于K2接口從KMF獲取SEK又一架構(gòu)圖���; 圖12是本發(fā)明實(shí)施例中基于K2接口從KMF獲取SEK流程; 圖13是本發(fā)明實(shí)施例中KMF和MCF/MDF間通過(guò)直接4妄口傳遞信息結(jié) 構(gòu)圖14是本發(fā)明實(shí)施例中KMF和MCF/MDF間通過(guò)Y2接口和ISC接口 傳遞信息結(jié)構(gòu)圖15是本發(fā)明實(shí)施例中MCF/MDF (CEF)產(chǎn)生TEK, KMF產(chǎn)生SEK 加密的TEK流程流程圖17是本發(fā)明實(shí)施例中KMF產(chǎn)生TEK和SEK加密的TEK流程圖�; 圖18是本發(fā)明實(shí)施例中MCF/MDF使用KMF發(fā)送的SEK加密TEK流 程圖19是本發(fā)明實(shí)施例中MCF和MDF間傳遞密鑰TEK接口結(jié)構(gòu)圖20是本發(fā)明實(shí)施例中MCF將TEK發(fā)送給MDF流程圖21是本發(fā)明實(shí)施例中MCF發(fā)送々某體保護(hù)方式給MDF流程圖22是本發(fā)明實(shí)施例中實(shí)現(xiàn)IPTV組播業(yè)務(wù)i某體安全的KMF結(jié)構(gòu)圖23是本發(fā)明實(shí)施例中實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的用戶設(shè)備結(jié)構(gòu)圖�����。
具體實(shí)施例方式
本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景中IMS based IPTV的業(yè)務(wù)功能架構(gòu)���,如圖la所 示�����,主要包括UE (User Equipment,用戶設(shè)備)����,如手機(jī)�,機(jī)頂盒等�����;SDF (Service Discovery Function,業(yè)務(wù)發(fā)現(xiàn)功能實(shí)體)����,用于給UE提供業(yè)務(wù)附著 信息,如EPG( Electronic Program Guide,電子節(jié)目指南)服務(wù)器地址信息等���;SSF ( Service Selection Function,業(yè)務(wù)選擇功能實(shí)體)��,用于給UE提供業(yè)務(wù)菜 單信息�;SCF ( Service Control Function,業(yè)務(wù)控制功能實(shí)體)�����,用于處理用戶 業(yè)務(wù)請(qǐng)求;UPSF (User Profile Server Function,用戶簽約服務(wù)功能)�,用于存 儲(chǔ)用戶簽約信息�;Core IMS (核心IMS ),為IMS子系統(tǒng)中的P-CSCF、 I-CSCF 和S-CSCF的總稱�;MF (Media Functions, 4某體功能實(shí)體),負(fù)責(zé)到UE力某體 流的控制與交付媒體�,從功能角度分解為MCF (Media Control Function,媒 體控制功能實(shí)體)和MDF (Media Delivery Function,纟某體交付功能實(shí)體), MCF用于�,控制MDF發(fā)送媒體流,MDF�,在MCF的控制下分發(fā)媒體給UE。
本發(fā)明實(shí)施例中使用的密鑰體系如圖lb所示����,包括TEK (Traffic Encryption Key,媒體加密密鑰),為媒體流提供機(jī)密性和/或完整性保護(hù)�����,對(duì) 于l吏用傳統(tǒng)CA4呆護(hù)的MPEG2TS (Moving Picture Expert Group 2 Transport Stream-Conditional Access, MPEG2 TS模式下的條件接入保護(hù)方式)對(duì)應(yīng)的 密鑰是CW�。 SEK ( Service Encryption Key,業(yè)務(wù)加密密鑰),保護(hù)TEK下發(fā) 信息的機(jī)密性和/或完整性����,對(duì)于使用傳統(tǒng)CA保護(hù)的MPEG2TS傳輸方式對(duì) 應(yīng)的密鑰是SK, SK保護(hù)CW下發(fā)的機(jī)密性和/或完整性。URK( User Root Key, 用戶根密鑰)����,用于保護(hù)SEK下發(fā)信息的機(jī)密性和/或完整性�����,用戶根密鑰可 以使用GBA的方式建立��,或者預(yù)先配置����。對(duì)于使用傳統(tǒng)CA保護(hù)的MPEG2TS 傳輸方式對(duì)應(yīng)的密鑰可以是現(xiàn)有的PDK���,也可以是使用GBA的方式來(lái)建立����, 或者是預(yù)先配置好的URK�。實(shí)施例中的密鑰統(tǒng)一使用URK、 SEK�����、 TEK進(jìn)行 描述���,對(duì)于CA系統(tǒng)的PDK���、 SK���、 CW的實(shí)施例也適用����。
本發(fā)明實(shí)施例中功能實(shí)體如圖2所示,包括KMF (Key Management Function,密鑰管理功能實(shí)體)�,用于向UE或其它功能實(shí)體提供4某體保護(hù)所需 的密鑰,KMF可以作為一個(gè)獨(dú)立的功能實(shí)體���,或者作為一個(gè)功能模塊集成到 SCF或者其它功能實(shí)體之中�����。CEF (Content Encryption Function,力某體加密功 能實(shí)體)�,用于對(duì)媒體進(jìn)行加密�、完整性保護(hù)等操作,對(duì)于MCF/MDF完成媒 體加密功能的情況����,MCF/MDF完成CEF的功能。結(jié)合圖2實(shí)現(xiàn)IPTV組播業(yè) 務(wù)^^某體安全的方法包括以下步驟
步驟201,業(yè)務(wù)部署過(guò)程KMF與MCF/MDF (完成CEF功能)傳遞以
12下的一種或者幾種信息SEK、 TEK����、 SEK加密的TEK,將SEK加密的TEK 部署到MDF上。
另外一種使用CEF進(jìn)行加密的方法包括
步驟201a��, KMF與CEF將以下信息的一種或幾種傳遞《會(huì)CEF: SEK����、 TEK、 SEK加密的TEK;
步驟201b, CEF再將SEK加密的TEK發(fā)送給MCF/MDF (不具有CEF
功能)����。
對(duì)于MCF/MDF上已經(jīng)擁有SEK加密的TEK的條件下,則步驟201 (步 驟201a和步驟201b)不需要���。
步驟202��, UE從KMF獲得SEK���。
具體實(shí)施中,該SEK還可以被URK加密保護(hù)����,URK通過(guò)加密SEK或者 URK加密整個(gè)攜帶SEK的消息來(lái)完成對(duì)SEK的加密保護(hù)����。UE接收到加密的 SEK后�����,使用URK解密出SEK��。
在UE獲取SEK前��,如果UE沒(méi)有TEK密鑰流的會(huì)話描述協(xié)議SDP描述 信息和/或媒體安全描述信息�,還需要UE通過(guò)SSF或者SCF從媒體服務(wù)功能 實(shí)體獲取媒體安全描述信息���。
步驟203, MDF在發(fā)送加密組播媒體時(shí)���,將加密組播媒體對(duì)應(yīng)的被SEK 加密的TEK通過(guò)IP組l番發(fā)送給UE。
步驟204��, UE接收加密的組播媒體和組播發(fā)送的TEK密鑰流�����,使用SEK 解密出TEK,并使用TEK解密組播媒體����。
實(shí)施例步驟202中提到的々某體安全描述信息包括以下信息的一種或幾種 媒體保護(hù)類型標(biāo)識(shí)���、SEK密鑰標(biāo)識(shí)、獲取SEK的地址信息�。其中,媒體保護(hù) 類型標(biāo)識(shí)用來(lái)指示發(fā)送癥會(huì)UE的媒體流的保護(hù)類型���,例如使用SRTP ( Security Real-time Transport Protocol,安全實(shí)時(shí)傳輸協(xié)議)的類型保護(hù)���,或使用 MPEG2TS的CA保護(hù)類型。TEK密鑰流的會(huì)話描述協(xié)議SDP描述信息和/或 媒體安全描述信息下發(fā)的方式包括以下幾種
1����、使用SDP攜帶》某體保護(hù)類型信息,具體可以采用SDP的一個(gè)新a屬 性攜帶例如�,a=Media-Protection-Typt: MPEG-TS國(guó)CA;
或者使用a^fmtp屬性攜帶
侈寸^口, a=fmtp: media-protection-typt: SRTP
對(duì)于使用SRTP的保護(hù)類型可以使用SRTP作為標(biāo)識(shí);對(duì)于MPEG2TS的 CA保護(hù)類型可以使用MPEG2TS-CA作為標(biāo)識(shí)����。 例如, 一個(gè)使用SRTP保護(hù)的音頻流的SDP為 m=Audio 49168 RTP/AVP 96 c=INIP4 224.2.17.12/127 a=rtpmap:96 H264/90000 a=fmtp: Media-Protection-Typt: SRTP; 對(duì)于媒體的保護(hù)類型為MPEG2TS-CA的情況�����,還可以進(jìn)一步攜帶算法參 數(shù),用來(lái)指示UE該纟泉體保護(hù)使用的算法���,具體的可以使用一個(gè)SDP的a屬 性來(lái)攜帶
a= Media畫Protection-Typt: MPEG2TS-CA;安全算法標(biāo)識(shí)����; 或者a二fmtp: Media陽(yáng)Protection-Typt: MPEG2TS畫CA;安全算法標(biāo)識(shí)��; 例如�, 一個(gè)使用MPEG2TS-CA保護(hù)的視頻媒體流對(duì)應(yīng)的128位密鑰的 AES國(guó)Counter Mode算法表示為
m=video 53810 RTP/AVP nl
a=rtpmap: nl TS
a=fmtp: Media-Protection-Typt: MPEG2TS畫CA; AES畫CM隱128; 2、 SDP中攜帶SEK的信息
組播媒體的SDP中攜帶SEK的密鑰標(biāo)識(shí)(ID)和/或獲取SEK的地址信 息(區(qū))�。
l正使用SEK的密鑰標(biāo)識(shí)(ID )到KMF處獲取該ID對(duì)應(yīng)的SEK密鑰; UE使用"獲取SEK的地址信息(URI)"請(qǐng)求該業(yè)務(wù)包和/或頻道標(biāo)識(shí)對(duì) 應(yīng)的SEK��。例如-.
具體的實(shí)現(xiàn)中�����,使用會(huì)話級(jí)的SDP描述中攜帶����,或者在i某體級(jí)的SDP描 述中或者密鑰流的SDP描述中攜帶����,例如�,使用SDP中的一個(gè)a屬性來(lái)攜帶
14密鑰標(biāo)識(shí)�����,或者使用SDP的k頭域來(lái)攜帶獲取SEK的地址信息�����。例如���,下面 使用密鑰流的SDP進(jìn)行攜帶<formula>formula see original document page 15</formula>
k=URI;或者a二SEK-ID ; 此外���,TEK密鑰流的SDP描述中還可以攜帶相鄰2個(gè)TEK組播密鑰更 新的間隔時(shí)間,用來(lái)指示UE多長(zhǎng)時(shí)間獲取一次更新的TEK,具體的實(shí)現(xiàn)中 使用一個(gè)a屬性來(lái)攜帶�,例如
<formula>formula see original document page 15</formula>
3、使用XML攜帶媒體保護(hù)類型信息使用SDP攜帶的媒體保護(hù)類型信
息����、媒體的保護(hù)類型、SEK的密鑰標(biāo)識(shí)(ID)��、獲取SEK的地址信息(URI)����、
相鄰2個(gè)TEK組播密鑰更新的間隔時(shí)間中的一種或幾種都可以^吏用XML的
一個(gè)元素發(fā)送給UE:
例如i某體保護(hù)類型(protection-type)和SEK標(biāo)識(shí)(SEK-ID )如下 <Media-Protection-Descryption><formula>formula see original document page 15</formula>
步驟202中UE獲取TEK密鑰流的SDP描述信息和/或媒體安全描述信息的 具體實(shí)施例包括以下幾種
實(shí)施例一�����,通過(guò)SSF的EPG下發(fā)過(guò)程�,下發(fā)各個(gè)業(yè)務(wù)包標(biāo)識(shí)和/或頻道標(biāo)識(shí) (或者業(yè)務(wù)標(biāo)識(shí))對(duì)應(yīng)的TEK密鑰流的SDP描述信息和/或媒體安全描述信息�����, 如圖3所示��,包括以下步驟
步驟301, UE向SSF發(fā)送EPG請(qǐng)求消息�。其中請(qǐng)求消息可以使用HTTP (HyperText Transfer Protocol,超文本傳輸協(xié)議)中的GET或者POST請(qǐng)求消息。如果EPG通過(guò)廣播方式發(fā)給UE,例如使用3GPP中定義的FLUTE方式 廣播發(fā)送�����,步驟301的請(qǐng)求消息不需要�。
步驟302, SSF向UE發(fā)送消息,例如HTTP的200響應(yīng)消息����,其中攜帶 各個(gè)業(yè)務(wù)包標(biāo)識(shí)和/或頻道(或者業(yè)務(wù))對(duì)應(yīng)的SEK的密鑰標(biāo)識(shí)和/或獲取SEK 的地址信息��。
此外����,還可以攜帶對(duì)應(yīng)的纟某體保護(hù)類型信息和/或TEK密鑰流的SDP描 述信息�����,以上各個(gè)信息與上述的SDP方式或者XML表示方式和攜帶的方法 相同��。
實(shí)施例二����,通過(guò)SIP (Session Initial Protocol,會(huì)話發(fā)起協(xié)議)會(huì)話下發(fā) 初始頻道(或者業(yè)務(wù))對(duì)應(yīng)的TEK密鑰流的SDP描述信息和/或々某體安全描 述信息���,如圖4所示����,包括以下步驟
步驟401 402�����, UE經(jīng)Core IMS向SCF發(fā)送INVITE業(yè)務(wù)請(qǐng)求消息���,其 中攜帶初始頻道(或者業(yè)務(wù))的標(biāo)識(shí)信息�。
步驟403 404, SCF經(jīng)Core IMS向UE發(fā)送業(yè)務(wù)響應(yīng)(183或者200 )消 息,其中攜帶初始頻道(或者業(yè)務(wù))標(biāo)識(shí)對(duì)應(yīng)SEK的密鑰標(biāo)識(shí)和/或獲耳又SEK 的地址信息���。
步驟405, UE繼續(xù)執(zhí)行后續(xù)的會(huì)話流程����。
此外�����,步驟403和步驟404中�����,還可以攜帶對(duì)應(yīng)的i某體保護(hù)類型信息和/ 或TEK密鑰流的SDP描述信息��,以上各個(gè)信息與上述的SDP方式或者XML 表示方式和攜帶的方法相同�。
步驟202中UE獲取SEK的具體實(shí)施例包括以下幾種
實(shí)施例一,UE直接到KMF請(qǐng)求SEK,具體可以使用HTTP請(qǐng)求攜帶��,
基于圖5中的Kl接口從KMF獲取SEK���,具體流程如圖6所示��,包括以下步
驟
步驟601 , UE向KMF發(fā)送請(qǐng)求消息�����,例如,使用HTTP中的GET或者 POST請(qǐng)求消息�����,其中攜帶以下信息的一種或幾種業(yè)務(wù)包標(biāo)識(shí)��、頻道(業(yè)務(wù)) 標(biāo)識(shí)����、SEK的密鑰ID標(biāo)識(shí);
16如果在上述實(shí)施例中通過(guò)EPG或者SIP會(huì)話過(guò)程獲得了 SEK密鑰ID信 息��,則此處攜帶SEK的密鑰ID信息���。
步驟602, KMF向UE發(fā)送響應(yīng)消息��,例如���,HTTP的200響應(yīng)消息,其 中攜帶對(duì)應(yīng)的SEK�。
對(duì)于EPG中沒(méi)有發(fā)給UE算法或者沒(méi)有默認(rèn)算法的情況下,KMF向UE 發(fā)送業(yè)務(wù)響應(yīng)消息中還攜帶算法參數(shù)。對(duì)于UE在獲取EPG或者SIP會(huì)話過(guò) 程中沒(méi)有獲得媒體保護(hù)類型的標(biāo)識(shí)(SRTP或者M(jìn)PEG2TS-CA)的情況��,則 KMF在響應(yīng)消息中還可以攜帶對(duì)應(yīng)的媒體保護(hù)類型標(biāo)識(shí)信息���,便于UE根據(jù) 々某體保護(hù)類型標(biāo)識(shí)使用對(duì)應(yīng)的解密方式處理加密的々某體�����。
實(shí)施例二�����, UE使用HTTP請(qǐng)求SEK, KMF單獨(dú)下發(fā)SEK�,如圖7所示��, 包括以下步驟
步驟701, UE向KMF發(fā)起SEK密鑰請(qǐng)求消息��,例如���,HTTP中的GET 或者POST請(qǐng)求消息��,其中攜帶以下信息的一種或幾種業(yè)務(wù)包標(biāo)識(shí)�、頻道 (業(yè)務(wù))標(biāo)識(shí)��、SEK的密鑰ID標(biāo)識(shí),接收SEK的IP地址��,接收SEK的端口 號(hào)信息�。如果KMF使用UE發(fā)送請(qǐng)求消息的IP地址發(fā)送SEK,則消息中不 必?cái)y帶IP地址的信息�;如果使用UE與KMF事先約定好的端口號(hào)發(fā)送SEK, 則消息中不必?cái)y帶端口號(hào)信息���。
步驟702, KMF向UE發(fā)送業(yè)務(wù)響應(yīng)消息�,例如HTTP的200響應(yīng)消息�����。
步驟703�、 KMF向UE發(fā)送SEK,該SEK與請(qǐng)求中攜帶請(qǐng)求中的業(yè)務(wù)標(biāo) 識(shí)和/或SEK的密鑰ID標(biāo)識(shí)對(duì)應(yīng)的SEK。
步驟703中���,對(duì)于EPG中沒(méi)有下發(fā)給UE算法或者沒(méi)有默:〖人算法的情況����, KMF向UE還需要發(fā)送算法參數(shù)�����。步驟702中,對(duì)于UE在獲取EPG或者SIP 會(huì)話過(guò)程中沒(méi)有獲得4某體保護(hù)類型的標(biāo)識(shí)(SRTP或者M(jìn)PEG2TS-CA)的情 況�,則還要攜帶對(duì)應(yīng)的媒體保護(hù)類型標(biāo)識(shí)信息,便于UE根據(jù)纟某體保護(hù)類型標(biāo) 識(shí)4吏用相應(yīng)的解密處理����。
步驟202中UE獲取SEK的其它具體實(shí)施例如下 使用SDP攜帶業(yè)務(wù)包對(duì)應(yīng)的SEK,具體包括以下方式1���、 SDP攜帶業(yè)務(wù)包對(duì)應(yīng)的SEK,使用一個(gè)a-key-mgmt頭域攜帶����,例如 a= be—service_package: service package 1
a=key-mgmt:mikey XXXX ( SEK1 )
對(duì)于SDP中包含多個(gè)業(yè)務(wù)包的情況��,每個(gè)業(yè)務(wù)包下面可以對(duì)應(yīng)一個(gè) a=key-mgmt頭域來(lái)攜帶對(duì)應(yīng)的SEK,例如 a= be—service_package: service package 1 a=key-mgmt:mikey XXXX ( SEK1)
a= be—service_package: service package 2 a=key-mgmt:mikey YYYY ( SEK2 )
2�、 SDP中攜帶獲取SEK的地址信息(URI),
例如在每個(gè)Service Package標(biāo)識(shí)的下面增加一個(gè)k字l爻來(lái)攜帶獲取密 鑰SEK的地址���。
a= be—service_package: service package 1 k=http:〃ltv.example.com/service-packagel-SEICl
a= be—service_package: service package 2 k=http:〃ltv.example.com/service-package2-SEK2
UE使用該"獲取SEK的地址信息(URI)"來(lái)繼續(xù)獲取該業(yè)務(wù)包和/或頻 道標(biāo)識(shí)對(duì)應(yīng)的SEK�����。
3���、 SDP中攜帶SEK的密鑰標(biāo)識(shí)(ID),在每個(gè)Service Package標(biāo)識(shí)的下 面增加一個(gè)SDP的a屬性來(lái)攜帶獲取密鑰SEK的ID��。
3= bc_s6rvic6_packag6: S6rvic6 packag6 1 a=IPTV-SEK-ID: service-package 1-SEK1 a= be—service_package: service package 2 a= IPTV-SEK-ID: service-package2-SEK2
UE使用SEK的密鑰標(biāo)識(shí)(ID )繼續(xù)到KMF處獲取該ID對(duì)應(yīng)的密鑰�。 實(shí)施例三��,具體的應(yīng)用于IPTV中的組播業(yè)務(wù)SCF使用如圖8架構(gòu)中的
18K2接口獲取SEK,或者使用圖9中的SCF — ISC - Core IMS接口和Core IMS -ISC-KMF接口獲取密鑰����,具體過(guò)程如圖10所示�,包括以下步驟
步驟1001-1002, UE經(jīng)Core IMS向SCF發(fā)送INVITE請(qǐng)求消息,其中 攜帶一個(gè)或者多個(gè)業(yè)務(wù)包標(biāo)識(shí)和/或內(nèi)容標(biāo)識(shí)信息�。
步驟1003, SCF向KMF發(fā)起請(qǐng)求消息,其中攜帶INVITE消息中的業(yè)務(wù) 包標(biāo)識(shí)信息和/或內(nèi)容標(biāo)識(shí)信息��。
步驟1004�����, KMF向SCF發(fā)送響應(yīng)消息���,攜帶該業(yè)務(wù)包標(biāo)識(shí)和/或內(nèi)容標(biāo) 識(shí)對(duì)應(yīng)的密鑰SEK�����。
步驟1005-1006�, SCF經(jīng)Core IMS向UE發(fā)送業(yè)務(wù)響應(yīng)消息(200或者 183響應(yīng)消息),攜帶一個(gè)或者多個(gè)業(yè)務(wù)包標(biāo)識(shí)對(duì)應(yīng)的SEK��。
步驟1007����, UE繼續(xù)后續(xù)的會(huì)話流程。
步驟1004����、 1005和1006中,對(duì)于EPG中沒(méi)有下發(fā)給UE算法或者沒(méi)有 默認(rèn)算法的情況下���,步驟1004中KMF還需要返回算法參數(shù)�,步驟1005~1006 中�,SCF向UE還發(fā)送算法參數(shù)。對(duì)于UE在EPG中沒(méi)有獲得媒體保護(hù)類型 的標(biāo)識(shí)的情況��,步驟1004�、 1005和1006中還攜帶々某體保護(hù)類型的標(biāo)識(shí),用 來(lái)指示UE具體的保護(hù)方式�����。例如SRTP的保護(hù)類型SRTP;或者M(jìn)PEG2TS 的CA保護(hù)類型MPEG2TS-CA)�。具體的可以采用SDP中的a屬性來(lái)攜帶���, 例如a=fmtp: media-protection-type= SRTP或者M(jìn)PEG-TS-CA。
業(yè)務(wù)包密鑰的攜帶方法可以使用上述的SDP方法攜帶��,也可以使用XML 的方式來(lái)攜帶�。
實(shí)施例四,SIP訂閱下發(fā)SEK的方式�����,使用圖11中的IMS Core- ISC-KMF 接口���,過(guò)程如圖12所示,包括以下步驟
步驟1201, UE通過(guò)IMS Core向KMF發(fā)送Subscribe消息�,其中攜帶業(yè) 務(wù)包標(biāo)識(shí)和/或頻道標(biāo)識(shí)(或者業(yè)務(wù)標(biāo)識(shí))。訂閱一個(gè)或多個(gè)業(yè)務(wù)包對(duì)應(yīng)的SEK�����, 或者一個(gè)業(yè)務(wù)包中各個(gè)頻道標(biāo)識(shí)(或者業(yè)務(wù)標(biāo)識(shí))對(duì)應(yīng)的SEK�。
步驟1202, KMF通過(guò)IMS Core向UE返回200 OK消息。
步驟1203, KMF通過(guò)IMS Core向UE發(fā)送Notify消息�����,其中攜帶一個(gè) 或多個(gè)業(yè)務(wù)包對(duì)應(yīng)的SEK,或者一個(gè)業(yè)務(wù)包中各個(gè)頻道標(biāo)識(shí)(或者業(yè)務(wù)標(biāo)識(shí))對(duì)應(yīng)的SEK����。
步驟1204, UE通過(guò)IMSCore向KMF返回200OK消息。對(duì)于EPG中沒(méi)有下 發(fā)給UE算法或者沒(méi)有默認(rèn)算法的情況下����,步驟1203中,KMF發(fā)送SEK的同時(shí)���, 還可以攜帶算法參數(shù)�����。UE還可以向SCF訂閱�����,SCF向KMF獲取密鑰SEK后以 Notify同樣的方法發(fā)送給UE,方法和參數(shù)類似�����。
步驟201中KMF和MCF (或者CEF�,或者稱為媒體服務(wù)功能實(shí)體,以下統(tǒng) 一稱為MCF)間傳遞以下信息的一種或幾種(SEK���、 TEK��、 SEK加密的TEK) 的架構(gòu)包括兩種架構(gòu)一通過(guò)直接接口傳遞信息�,如圖13所示�����,KMF和MCF (或者CEF)之間使用直接的接口N1傳遞信息����。以下信息的一種或幾種可以 直接在KMF和MCF之間傳遞SEK、 TEK���、 SEK加密的TEK;或者以下信息 的一種或幾種先傳遞癥合CEF: SEK、 TEK�、 SEK加密的TEK, CEF再傳遞給 MCF/MDF����。架構(gòu)二通過(guò)KMF — ISC — Core IMS國(guó)Y2 — MCF接口傳遞信息, 如圖14所示���。實(shí)施方法包括以下幾種
實(shí)施例一��,MCF/MDF (CEF)產(chǎn)生TEK����, KMF產(chǎn)生SEK加密的TEK,如 圖15所示�����,對(duì)架構(gòu)一和架構(gòu)二的傳遞信息的接口都適用包括以下步驟
步驟1501, MCF/MDF ( CEF )產(chǎn)生TEK;
步驟1502, MCF (CEF)向KMF發(fā)送TEK加密請(qǐng)求��,其中攜帶內(nèi)容標(biāo) 識(shí)和/或頻道(業(yè)務(wù))標(biāo)識(shí)信息和密鑰TEK��。
步驟15(B�, KMF收到請(qǐng)求消息后,使用對(duì)應(yīng)的SEK加密TEK���。 步驟1504, KMF向MCF發(fā)送響應(yīng)消息���,其中攜帶SEK加密的TEK。 步驟1502中�,還可以攜帶媒體保護(hù)方式的指示(指示使用SRTP進(jìn)行媒體 加密SRTP,或者是指示使用MPEG2TS的條件接入CA作為媒體保護(hù)方式 MPEG2TS-CA), KMF收到指示后����,可以根據(jù)不同的々某體保護(hù)方式進(jìn)行不同 的處理�����,例如�����,如果媒體保護(hù)方式指示為SRTP々某體保護(hù)方式����,KMF可以使 用MIKEY封裝攜帶SEK加密的TEK;如果媒體保護(hù)方式指示為 MPEG2TS-CA保護(hù)方式�����,KMF使用現(xiàn)有CA系統(tǒng)中的ECM格式攜帶SEK加 密的TEK��。對(duì)應(yīng)處理后的SEK加密的TEK在步驟1504中發(fā)送給MCF/MDF��。
20實(shí)施例二���, MCF/MDF ( CEF )產(chǎn)生TEK,并使用KMF發(fā)送的SEK加密 TEK,如圖16所示���,包括以下步驟
步驟1601, MCF (CEF)向KMF發(fā)送請(qǐng)求SEK密鑰的消息��,其中攜帶 內(nèi)容標(biāo)識(shí)和/或頻道(業(yè)務(wù))標(biāo)識(shí)信息����;
步驟1602, KMF收到請(qǐng)求消息后,將對(duì)應(yīng)的SEK發(fā)送給MCF ( CEF );
步驟1603�, MCF/MDF ( CEF )使用返回的SEK加密TEK。 此外��,步驟1603中����,MCF/MDF (CEF)還可以根據(jù)々某體保護(hù)方式來(lái)使用 SEK加密TEK,如果J 某體保護(hù)方式為SRTP, MCF/MDF (CEF)可以使用 MIKEY封裝SEK加密的TEK;如果々某體保護(hù)方式為MPEG2TS-CA, MCF/MDF ( CEF )使用現(xiàn)有CA系統(tǒng)中的ECM格式攜帶SEK加密的TEK。
實(shí)施例三����,KMF產(chǎn)生TEK和SEK加密的TEK,如圖17所示����,包括以 下步驟
步驟1701, MCF ( CEF )向KMF發(fā)送請(qǐng)求消息,其中攜帶內(nèi)容標(biāo)識(shí)和/ 或頻道(業(yè)務(wù))標(biāo)識(shí)信息��。
步驟1702, KMF收到請(qǐng)求消息后�����,使用內(nèi)容標(biāo)識(shí)和/或頻道(業(yè)務(wù))標(biāo) 識(shí)信息對(duì)應(yīng)的SEK加密對(duì)應(yīng)的TEK。
步驟1703, KMF將SEK加密TEK����,未加密的TEK發(fā)送給MCF/MDF (CEF )。
步驟1701中����,還可以攜帶媒體保護(hù)方式的指示(指示使用SRTP進(jìn)行媒體 加密SRTP ,或者是指示使用MPEG2TS的條件接入CA作為媒體保護(hù)方式 MPEG2TS-CA) , KMF收到指示后����,可以根據(jù)不同的媒體保護(hù)方式進(jìn)4亍不同 的處理,例如��,如果i某體保護(hù)方式指示為SRTP4某體保護(hù)方式�,KMF可以使用 MIKEY封裝攜帶SEK力。密的TEK;如果纟某體保護(hù)方式指示為MPEG2TS-CA保 護(hù)方式���,KMF使用現(xiàn)有CA系統(tǒng)中的ECM格式攜帶SEK加密的TEK�。對(duì)應(yīng)的 SEK力口密的TEK在步驟1703中發(fā)送給MCF/MDF ���。
實(shí)施例四����,MCF/MDF ( CEF )使用KMF發(fā)送的SEK加密TEK����,如圖18所示,包括以下步驟
步驟1801, MCF(CEF)向KMF發(fā)送請(qǐng)求密鑰的消息��,其中攜帶內(nèi)容標(biāo) 識(shí)和/或頻道(業(yè)務(wù))標(biāo)識(shí)信息����;
步驟1802, KMF收到請(qǐng)求消息后,將對(duì)應(yīng)的SEK和TEK發(fā)送給MCF (CEF );
步驟1803, MCF/MDF ( CEF )使用返回的SEK加密TEK�����。 此外�����,步驟1803中����,MCF/MDF ( CEF )還可以根據(jù)媒體保護(hù)方式來(lái)使用 SEK加密TEK,如果i某體保護(hù)方式為SRTP, MCF/MDF (CEF )可以使用 MIKEY封裝SEK力���。密的TEK;如果媒體保護(hù)方式為MPEG2TS-CA��, MCF/MDF ( CEF )使用現(xiàn)有CA系統(tǒng)中的ECM格式攜帶SEK加密的TEK����。
實(shí)施例一、實(shí)施例二���、實(shí)施例三�����、實(shí)施例四中的具體消息的攜帶方式可 以采用
方式l��、 HTTP+XML的方式�����,各個(gè)參數(shù)都作為XML的一個(gè)元素來(lái)攜帶�; 方式2����、 Diameter擴(kuò)展新的AVP
例如,TEK和媒體保護(hù)方式的AVP可以按照如下的方法表示��。
< STKM國(guó)Info-Request〉 :=<Diameter Header: XXX, REQ, YYY, ZZZ >
{ STKM-Service-Identifier }; Service identifiers {TEK} ; TEK AVP
{ Media protection method };々某體寸呆4戶方式AVP {Algorithem};加密算法AVP
實(shí)施例五,對(duì)于加密操作由MCF/MDF來(lái)執(zhí)行的情況����,MCF和MDF間需要 傳遞密鑰TEK�����,使用接口Xp如圖19所示�,
方法l、 MCF將TEK發(fā)送給MDF,如圖20所示�����,包括以下步驟
步驟2001, MCF向MDF發(fā)送請(qǐng)求消息���,其中攜帶業(yè)務(wù)標(biāo)識(shí)和/或內(nèi)容標(biāo) 識(shí)����,密鑰TEK,加密算法����;
步驟2002, MDF使用TEK和對(duì)應(yīng)的算法加密業(yè)務(wù)標(biāo)識(shí)和/或內(nèi)容標(biāo)識(shí)對(duì) 應(yīng)的々某體內(nèi)容,并返回確認(rèn)消息�。方法2�、 MCF發(fā)送i某體保護(hù)方式給MDF,如圖21所示��,包括以下步驟 步驟2101�����, MCF向MDF發(fā)送請(qǐng)求消息�,其中攜帶業(yè)務(wù)標(biāo)識(shí)和/或內(nèi)容標(biāo)
識(shí),媒體保護(hù)方式標(biāo)識(shí)�����,其中媒體保護(hù)方式標(biāo)識(shí)指示使用SRTP作為媒體保護(hù)
的類型(SRTP),或者是使用MPEG2TS的條件接入CA作為媒體保護(hù)方式 (MPEG2TS-CA),々某體保護(hù)使用的TEK����。
步驟2102, MDF使用TEK和對(duì)應(yīng)的算法����,按照媒體保護(hù)方式指示的媒
體保護(hù)方式對(duì)業(yè)務(wù)標(biāo)識(shí)和/或內(nèi)容標(biāo)識(shí)對(duì)應(yīng)的々某體內(nèi)容加密處理,并返回確認(rèn)消息�����。
方式1和方式2中的參數(shù)的具體攜帶方式
1 ) MCF和MDF之間采用RTSP協(xié)議
TEK使用Keymgmt頭域攜帶,其中的data字段攜帶TEK,例如 Keymgmt: prot=mikey; uri="rtsp:〃movie.example.com/action"; data="AQEFgM0XflABAAAAAAAAAAAAAAYAyONQ6g..."
RTSP消息可以使用DESCRIBE請(qǐng)求消息和對(duì)應(yīng)的響應(yīng)消息��。
2 ) MCF和MDF之間采用SDP攜帶密鑰
TEK可以使用SDP中的a:key-mgmt屬性頭域攜帶��,TEK攜帶在MIKEY消 息中的密鑰字段��,例如
a=key-mgmt:mikey XXXXXX
可以使用H.248協(xié)議或者RTSP協(xié)議對(duì)應(yīng)的請(qǐng)求消息和Reply消息攜帶 SDP和密鑰��。
本發(fā)明實(shí)施例還提供一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的KMF的結(jié)構(gòu)示 意圖��,如圖22所示�,包括
SEK發(fā)送模塊2201 ����,用于向用戶設(shè)備發(fā)送SEK;
TEK部署模塊2202,用于向MCF或者CEF傳遞以下信息的一種SEK�����、 TEK或者SEK加密的TEK��。
23本發(fā)明實(shí)施例還提供一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的用戶設(shè)備的結(jié) 構(gòu)示意圖��,如圖23所示�,包括
SEK獲取模塊2301 ,用于從密鑰管理功能實(shí)體獲得SEK;
TEK獲取模塊2302,用于從所述媒體服務(wù)功能實(shí)體接收組播發(fā)送的被所 述SEK加密保護(hù)的TEK密鑰流;
解密模塊2303,用于使用所述SEK解密出TEK��,并使用所述TEK解密 所述由TEK加密的組播媒體���。
本發(fā)明的實(shí)施例中����,通過(guò)分發(fā)密鑰SEK和TEK給UE和媒體服務(wù)功能實(shí) 體��,實(shí)現(xiàn)基于IMS的IPTV架構(gòu)的LTV組播媒體傳輸安全����。
通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本 發(fā)明可借助件加必需的通用>5更件平臺(tái)的方式來(lái)實(shí)現(xiàn)�����,當(dāng)然也可以通過(guò)硬_ 件����,但很多情況下前者是更佳的實(shí)施方式?�;谶@樣的理解�����,本發(fā)明的技 術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體 現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中���,包括若干指令用以使 得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)�����,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行 本發(fā)明各個(gè)實(shí)施例所述的方法。
以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例��,但是��,本發(fā)明并非局限于此�����, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1��、一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法����,其特征在于�,包括以下步驟用戶設(shè)備UE從密鑰管理功能KMF獲得業(yè)務(wù)加密密鑰SEK��;所述UE接收組播發(fā)送的被所述SEK加密的媒體加密密鑰TEK密鑰流���;所述UE使用所述SEK解密出TEK����,并使用所述TEK解密所述由TEK加密的組播媒體�����。
2���、 如權(quán)利要求1所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法����,其特征在于�����, 所述用戶設(shè)備UE從密鑰管理功能KMF獲得業(yè)務(wù)加密密鑰SEK具體包括所述UE從所述KMF接收被用戶根密鑰URK加密保護(hù)的SEK; 所述UE使用所述URK解密出所述SEK����。
3��、 如權(quán)利要求1所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法�����,其特征在于���, 所述UE從KMF獲得SEK具體包括UE向KMF發(fā)送請(qǐng)求消息,其中攜帶業(yè)務(wù)標(biāo)識(shí)和/或SEK的密鑰ID標(biāo)識(shí)���; KMF向UE發(fā)送響應(yīng)消息���,其中攜帶對(duì)應(yīng)的SEK。
4��、 如權(quán)利要求1所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法���,其特征在于, 所述UE^人KMF獲得SEK具體包括 UE向KMF發(fā)起SEK密鑰請(qǐng)求消息����,其中攜帶業(yè)務(wù)標(biāo)識(shí)和/或SEK的密 鑰ID標(biāo)識(shí)�;KMF向UE發(fā)送響應(yīng)消息�����; KMF向UE發(fā)送對(duì)應(yīng)的SEK���。
5���、 如權(quán)利要求3或4所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法,其特征在于�����, 所述KMF還向UE發(fā)送i某體保護(hù)方式和/或加密算法����。
6、 如權(quán)利要求1所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法��,其特征在于��, 所述UE從KMF獲得SEK具體包括UE通過(guò)Core IMS向SCF發(fā)送業(yè)務(wù)請(qǐng)求消息��,其中攜帶業(yè)務(wù)包標(biāo)識(shí)和/ 或內(nèi)容才示i口����、�����;所述SCF通過(guò)Core IMS向UE發(fā)送業(yè)務(wù)響應(yīng)消息�����,攜帶業(yè)務(wù)包標(biāo)識(shí)和/或內(nèi) 容標(biāo)識(shí)對(duì)應(yīng)的SEK����。
7�、 如權(quán)利要求6所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法,其特征在于����,SCF獲取對(duì)應(yīng)的SEK的過(guò)程包括所述SCF向KMF發(fā)起請(qǐng)求消息,其中攜帶請(qǐng)求消息中的業(yè)務(wù)包標(biāo)識(shí)和/ 或內(nèi)容標(biāo)i口�、;所述KMF向所述SCF發(fā)送響應(yīng)消息��,攜帶所述業(yè)務(wù)包標(biāo)識(shí)和/或內(nèi)容標(biāo) 識(shí)對(duì)應(yīng)的SEK���。
8���、 如權(quán)利要求6所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法,其特征在于�����, 所述UE通過(guò)Core IMS向SCF發(fā)送業(yè)務(wù)請(qǐng)求消息中攜帶多個(gè)業(yè)務(wù)包標(biāo)識(shí)和/或內(nèi)容標(biāo)識(shí)����;所述SCF通過(guò)Core IMS向UE發(fā)送業(yè)務(wù)響應(yīng)消息中攜帶每個(gè)業(yè)務(wù)包標(biāo)識(shí)和/ 或內(nèi)容標(biāo)識(shí)對(duì)應(yīng)的SEK。
9�、 如權(quán)利要求6、 7或8所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法���,其特 征在于�,使用SDP中的a屬性行來(lái)攜帶SEK�。
10、 如權(quán)利要求1所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)々某體安全的方法��,其特征在于�, 所述UE從KMF獲得SEK具體包括UE通過(guò)IMS Core向KMF發(fā)送訂閱消息,其中攜帶一個(gè)或多個(gè)業(yè)務(wù)包標(biāo) 識(shí)����,或者一個(gè)業(yè)務(wù)包中的各個(gè)頻道標(biāo)識(shí)或者業(yè)務(wù)標(biāo)識(shí)�����; KMF通過(guò)IMS Core向UE返回響應(yīng)消息�;KMF通過(guò)IMS Core向UE發(fā)送通知消息���,其中攜帶一個(gè)或多個(gè)業(yè)務(wù)包對(duì) 應(yīng)的SEK,或者一個(gè)業(yè)務(wù)包中各個(gè)業(yè)務(wù)標(biāo)識(shí)對(duì)應(yīng)的SEK���。
11、 如權(quán)利要求1所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)々某體安全的方法���,其特征在于�, 所述UE從KMF獲得SEK之前還包括所述UE獲取TEK密鑰流的會(huì)話描述協(xié)議SDP描述信息和/或媒體的安全 描述信息�����。
12��、 如權(quán)利要求11所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法���,其特征在 于����,所述纟某體的安全描述信息具體包括SEK的密鑰標(biāo)識(shí)或獲耳又SEK的地址信息���。
13��、 如權(quán)利要求12所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法�,其特征在于�,使用SDP的一個(gè)a屬性行或者k頭域攜帶所述SEK的密鑰標(biāo)識(shí)或者獲取 SEK的地址信息。
14�����、 如權(quán)利要求11所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法�����,其特征在 于����,所述々某體的安全描述信息中包括々某體流保護(hù)類型信息,用于指示4某體使用的保護(hù)方式��。
15���、 如權(quán)利要求14所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)々某體安全的方法�,其特征在于, 使用a屬性行或者a:fmtp攜帶所述媒體流保護(hù)類型信息����。
16、 如權(quán)利要求14所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法���,其特征在 于�,所述保護(hù)方式包括指示使用SRTP作為保護(hù)類型�,或者指示使用CA作為 保護(hù)類型。
17�、 如權(quán)利要求11所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法,其特征在 于��,所述UE獲取媒體的安全描述信息具體包括UE經(jīng)Core IMS向SCF發(fā)送INVITE業(yè)務(wù)請(qǐng)求消息���,其中攜帶初始頻道 的標(biāo)識(shí)信息����;SCF經(jīng)Core IMS向UE發(fā)送業(yè)務(wù)響應(yīng)消息��,其中攜帶SEK的密鑰標(biāo)識(shí)和 /或獲取SEK的地址信息�。
18��、 如權(quán)利要求11所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法��,其特征在 于�����,所述UE獲取媒體的安全描述信息具體包括UE向SSF發(fā)送EPG請(qǐng)求消息;所述UE接收所述SSF返回的消息���,其中攜帶各個(gè)業(yè)務(wù)包標(biāo)識(shí)和/或業(yè)務(wù) 標(biāo)識(shí)對(duì)應(yīng)的SEK的密鑰標(biāo)識(shí)和/或獲取SEK的地址信息�����。
19����、 如權(quán)利要求1所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法����,其特征在于, 所述UE獲取SEK之前還包括KMF與媒體功能實(shí)體進(jìn)行交互��,將SEK加密的TEK部署到所述媒體功 能實(shí)體��;或KMF與CEF進(jìn)行交互,由所述CEF將SEK加密的TEK部署到所述力某 體服務(wù)功能實(shí)體�。
20、 如權(quán)利要求19所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的方法�,其特征在 于,所述TEK部署過(guò)程具體包括媒體服務(wù)實(shí)體產(chǎn)生TEK;媒體服務(wù)功能實(shí)體向KMF發(fā)送請(qǐng)求�,其中攜帶內(nèi)容標(biāo)識(shí)和/或業(yè)務(wù)標(biāo)識(shí) 信息和密鑰TEK;KMF收到請(qǐng)求消息后,使用對(duì)應(yīng)的SEK加密TEK; KMF向MCF返回應(yīng)答消息�,其中攜帶SEK加密的TEK; 或i某體服務(wù)功能實(shí)體向KMF發(fā)送請(qǐng)求,其中攜帶內(nèi)容標(biāo)識(shí)和/或業(yè)務(wù)標(biāo)識(shí) 信息�����;KMF收到請(qǐng)求消息后�,將對(duì)應(yīng)的SEK發(fā)送給媒體服務(wù)功能實(shí)體;々某體服務(wù)功能實(shí)體使用返回的SEK加密TEK;或々某體服務(wù)功能實(shí)體向KMF發(fā)送請(qǐng)求消息����,其中攜帶內(nèi)容標(biāo)識(shí)和/或業(yè)務(wù) 標(biāo)識(shí)信息;KMF使用SEK加密TEK��,將加密的TEK和未加密的TEK發(fā)送給媒體服 務(wù)功能實(shí)體�����; 或々某體服務(wù)功能實(shí)體向KMF發(fā)送請(qǐng)求消息�����,其中攜帶內(nèi)容標(biāo)識(shí)和/或業(yè)務(wù) 標(biāo)識(shí)信息;KMF將SEK和TEK發(fā)送給i某體力l務(wù)功能實(shí)體�����。
21�、 一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)i某體安全的系統(tǒng),其特征在于����,包括 密鑰管理功能實(shí)體�����,用于向用戶設(shè)備發(fā)送SEK����,并將SEK加密的TEK部署到媒體服務(wù)功能實(shí)體;媒體服務(wù)功能實(shí)體��,用于向用戶設(shè)備發(fā)送加密的組播媒體�,及加密組播 媒體對(duì)應(yīng)的被SEK加密的TEK;用戶設(shè)備,用于從所述密鑰管理功能實(shí)體獲得SEK,從所述i某體服務(wù)功能實(shí)體接收組播發(fā)送的被所述SEK加密保護(hù)的TEK密鑰流���,并使用所述SEK 解密出TEK,使用所述TEK解密所述由TEK加密的組播媒體��。
22��、 如權(quán)利要求21所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的系統(tǒng)���,其特征在 于�,所述用戶設(shè)備通過(guò)Kl接口從KMF獲取SEK;或通過(guò)K2接口從KMF 獲取SEK;或通過(guò)SCF - ISC - Core IMS接口和Core IMS — ISC - KMF接口 獲取SEK���。
23�����、 如權(quán)利要求22所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的系統(tǒng)�����,其特征在 于�,所述用戶設(shè)備通過(guò)K1接口從KMF獲取SEK,具體包括UE向KMF發(fā) 送請(qǐng)求消息�,其中攜帶以下信息的一種或幾種業(yè)務(wù)包標(biāo)識(shí)、業(yè)務(wù)標(biāo)識(shí)�、SEK 的密鑰ID標(biāo)識(shí);UE通過(guò)K1接口從KMF接收響應(yīng)消息�,其中攜帶對(duì)應(yīng)的SEK�。
24�����、 如權(quán)利要求22所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的系統(tǒng)�,其特征在于,所述用戶設(shè)備通過(guò)K2接口從KMF獲取SEK,具體包括UE經(jīng)Core IMS 向SCF發(fā)送INVITE請(qǐng)求消息�����,其中攜帶業(yè)務(wù)包標(biāo)識(shí)和/或內(nèi)容標(biāo)識(shí)信息�;SCF 通過(guò)K2接口向KMF發(fā)起請(qǐng)求消息,其中攜帶INVITE消息中的業(yè)務(wù)包標(biāo)識(shí) 信息和/或內(nèi)容標(biāo)識(shí)信息��;KMF通過(guò)K2接口向SCF發(fā)送響應(yīng)消息��,攜帶該業(yè) 務(wù)包標(biāo)識(shí)和/或內(nèi)容標(biāo)識(shí)對(duì)應(yīng)的密鑰SEK; SCF經(jīng)Core IMS向UE發(fā)送響應(yīng)消 息���,攜帶該業(yè)務(wù)包標(biāo)識(shí)和/或內(nèi)容標(biāo)識(shí)對(duì)應(yīng)的密鑰SEK。
25�、 如權(quán)利要求21所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)4某體安全的系統(tǒng),其特征在于�, 還包括KMF與媒體功能實(shí)體進(jìn)行交互,將SEK加密的TEK部署到所述媒體功 能實(shí)體���;或KMF與CEF進(jìn)行交互��,由所述CEF將SEK加密的TEK部署到所述i某 體服務(wù)功能實(shí)體��。
26�����、 如權(quán)利要求25所述實(shí)現(xiàn)IPTV組播業(yè)務(wù)媒體安全的系統(tǒng)�����,其特征在于�,KMF和MCF,或者CEF通過(guò)直接接口 Nl傳遞以下信息的一種SEK、 TEK或者SEK加密的TEK;或者通過(guò)KMF - ISC - Core IMS - Y2 - MCF接口傳遞以下信息的一種SEK�����、 TEK或者SEK加密的TEK�����。
27���、 一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)々某體安全的密鑰管理功能實(shí)體���,其特征在于����, 包括SEK發(fā)送模塊��,用于向用戶設(shè)備發(fā)送SEK;TEK部署^t塊���,用于向MCF或者CEF傳遞以下信息的一種SEK�、 TEK 或者SEK加密的TEK��。
28��、 一種實(shí)現(xiàn)IPTV組播業(yè)務(wù)^ 某體安全的用戶設(shè)備����,其特征在于,包括 SEK獲取模塊����,用于從密鑰管理功能實(shí)體獲得SEK;TEK獲取模塊�,用于從所述媒體服務(wù)功能實(shí)體接收組播發(fā)送的被所述 SEK加密保護(hù)的TEK密鑰流;解密模塊,用于使用所述SEK解密出TEK���,并使用所述TEK解密所述 由TEK加密的組播媒體�����。
全文摘要
本發(fā)明公開(kāi)了一種實(shí)現(xiàn)組播媒體安全的方法���、系統(tǒng)及裝置,該方法包括以下步驟用戶設(shè)備UE從密鑰管理功能KMF獲得業(yè)務(wù)加密密鑰SEK����;所述UE接收組播發(fā)送的被所述SEK加密的媒體加密密鑰TEK密鑰流;所述UE使用所述SEK解密出TEK�����,并使用所述TEK解密所述由TEK加密的組播媒體�。本發(fā)明在基于IMS網(wǎng)絡(luò)的IPTV業(yè)務(wù)的網(wǎng)絡(luò)中,通過(guò)分發(fā)密鑰SEK和TEK給UE和媒體服務(wù)功能實(shí)體���,實(shí)現(xiàn)基于IMS的IPTV架構(gòu)的LTV組播媒體傳輸安全��。
文檔編號(hào)H04L29/08GK101521570SQ20081008285
公開(kāi)日2009年9月2日 申請(qǐng)日期2008年2月27日 優(yōu)先權(quán)日2008年2月27日
發(fā)明者何承東, 張占軍 申請(qǐng)人:華為技術(shù)有限公司