專利名稱:保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息。
背景技術(shù):
無線通信系統(tǒng)已經(jīng)過各代的開發(fā),包含第一代模擬無線電話服務(wù)(IG)、第二代 (2G)數(shù)字無線電話服務(wù)(包含過渡期間的2. 5G和2. 75G網(wǎng)絡(luò)),以及第三代(3G)具有高速數(shù)據(jù)/因特網(wǎng)能力的無線服務(wù)。目前正在使用許多不同類型的無線通信系統(tǒng),包含蜂窩式和個(gè)人通信服務(wù)(PCS)系統(tǒng)。已知蜂窩式系統(tǒng)的實(shí)例包含蜂窩式模擬高級(jí)移動(dòng)電話系統(tǒng) (AMPS),以及基于碼分多址(CDMA)、頻分多址(FDMA)、時(shí)分多址(TDMA) ,TDMA的全球移動(dòng)接入系統(tǒng)(GSM)變化形式的數(shù)字蜂窩式系統(tǒng),以及使用TDMA和CDMA兩種技術(shù)的較新的混合數(shù)字通信系統(tǒng)。用于提供CDMA移動(dòng)通信的方法在美國(guó)由電信行業(yè)協(xié)會(huì)/電子行業(yè)協(xié)會(huì)在標(biāo)題為“用于雙模式寬帶擴(kuò)頻蜂窩式系統(tǒng)的移動(dòng)臺(tái)-基站兼容性標(biāo)準(zhǔn)(Mobile Station-Base Station Compatibility Standard for Dual—Mode Wideband Spread Spectrum Cellular System) ” 的 TIA/EIA/IS-95-A (本文稱為 IS-95)中標(biāo)準(zhǔn)化。TIA/EIA 標(biāo)準(zhǔn) IS-98 中描述組合式AMPS與CDMA系統(tǒng)。IMT-2000/UM或國(guó)際移動(dòng)電信系統(tǒng)2000/全球移動(dòng)電信系統(tǒng)標(biāo)準(zhǔn)中描述其它通信系統(tǒng),所述標(biāo)準(zhǔn)涵蓋被稱為寬帶CDMA(WCDMA)、CDMA2000 (例如 CDMA2000IxEV-DO 標(biāo)準(zhǔn))或 TD-SCDMA 的標(biāo)準(zhǔn)。在無線通信系統(tǒng)中,移動(dòng)臺(tái)、手持機(jī)或接入終端(AT)從固定位置基站(也稱為小區(qū)站點(diǎn)或小區(qū))接收信號(hào),所述基站支持鄰近或環(huán)繞所述基站的特定地理區(qū)內(nèi)的通信鏈路或服務(wù)?;咎峁┑浇尤刖W(wǎng)絡(luò)(AN)/無線電接入網(wǎng)絡(luò)(RAN)的進(jìn)入點(diǎn),所述網(wǎng)絡(luò)通常為使用基于標(biāo)準(zhǔn)因特網(wǎng)工程設(shè)計(jì)任務(wù)小組(IETF)的協(xié)議的包數(shù)據(jù)網(wǎng)絡(luò),所述協(xié)議支持用于基于服務(wù)質(zhì)量(QoS)要求來區(qū)分業(yè)務(wù)的方法。因此,基站通常通過空中接口與AT互動(dòng),且通過因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)數(shù)據(jù)包與AN互動(dòng)。在無線電信系統(tǒng)中,即按即說(PTT)能力對(duì)于服務(wù)扇區(qū)和消費(fèi)者正變得普及。PTT 可支持“分派”話音服務(wù),其經(jīng)由標(biāo)準(zhǔn)商業(yè)無線基礎(chǔ)結(jié)構(gòu)(例如CDMA、FDMA、TDMA、GSM等) 而操作。在分派模型中,端點(diǎn)(AT)之間的通信發(fā)生于虛擬群組內(nèi),其中一個(gè)“講話者”的話音被發(fā)射給一個(gè)或一個(gè)以上“收聽者”。這種類型的通信的單個(gè)例子通常被稱為分派呼叫, 或簡(jiǎn)稱為PTT呼叫。PTT呼叫是群組的例示,其定義呼叫的特性。群組本質(zhì)上由成員列表和相關(guān)聯(lián)信息(例如群組名稱或群組識(shí)別)定義。按照慣例,無線通信網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包已經(jīng)配置以發(fā)送到單個(gè)目的地或接入終端。 數(shù)據(jù)到單個(gè)目的地的發(fā)射被稱為“單播”。隨著移動(dòng)通信已增加,將給定數(shù)據(jù)同時(shí)發(fā)射到多個(gè)接入終端的能力已變得更加重要。因此,已采用若干協(xié)議來支持同一包或消息向多個(gè)目的地或目標(biāo)接入終端的同時(shí)數(shù)據(jù)發(fā)射?!皬V播”是指數(shù)據(jù)包向所有目的地或接入終端(例如,給定小區(qū)內(nèi)、由給定服務(wù)提供商服務(wù)等)的發(fā)射,而“多播”是指數(shù)據(jù)包向給定的目的地或接入終端群組的發(fā)射。在一實(shí)例中,給定目的地群組或“多播群組”可包含一個(gè)以上或少于所有的可能目的地或接入終端(例如,在給定群組內(nèi)、由給定服務(wù)提供商服務(wù)等)。然而, 以下情況至少在某些情形下是可能的多播群組僅包括一個(gè)接入終端,類似于單播,或者多播群組包括所有接入終端(例如,給定小區(qū)內(nèi)等),類似于廣播??梢匀舾煞绞皆跓o線通信系統(tǒng)內(nèi)執(zhí)行廣播和/或多播,例如執(zhí)行多個(gè)循序單播操作以適應(yīng)多播群組;分配唯一廣播/多播信道(BCH)以用于同時(shí)處置多個(gè)數(shù)據(jù)發(fā)射,等等。 使用廣播信號(hào)來進(jìn)行即按即說通信的常規(guī)系統(tǒng)描述于日期為2007年3月1日且標(biāo)題為“使用CDMA Ix-EVDO蜂窩式網(wǎng)絡(luò)的即按即說群組呼叫系統(tǒng)(Push-iTo-Talk Group Call System Using CDMA Ιχ-EVDO Cellular Network) ” 的第 2007/0049314 號(hào)美國(guó)專利申請(qǐng)公開案中, 所述專利申請(qǐng)公開案的內(nèi)容以全文引用的方式并入本文中。如第2007/0049314號(hào)公開案中所描述,廣播信道可用于使用常規(guī)信令技術(shù)的即按即說呼叫。盡管使用廣播信道可改進(jìn)對(duì)常規(guī)單播技術(shù)的帶寬要求,但廣播信道的常規(guī)信令仍可導(dǎo)致額外的開銷和/或延遲,且可能使系統(tǒng)性能降級(jí)。第3代合作伙伴計(jì)劃2 ( “3GPP2”)定義廣播_多播服務(wù)(BCMCS)規(guī)范,用于支持 CDMA2000網(wǎng)絡(luò)中的多播通信。因此,日期為2006年2月14且標(biāo)題為“CDMA2000高速率廣播-多播包數(shù)據(jù)空中接口規(guī)范(CDMA2000 High Rate Broadcast-Multicast Packet Data Air Interface Specification),,的 3GPP2 的 BCMCS 規(guī)范的一個(gè)版本,版本 1. 0C. S0054-A, 特此以全文引用的方式并入本文中。
發(fā)明內(nèi)容
在一實(shí)施例中,服務(wù)器確定為給定多播群組更新至少一個(gè)群組會(huì)話密鑰(GSK)參數(shù),所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行的加密、解密和/或驗(yàn)證。所述服務(wù)器向給定多播群組的多個(gè)多播群組成員發(fā)送用于給定多播群組的所述至少一個(gè)GSK參數(shù)的更新可用的通知。 多播群組成員中的至少一者接收通知,并發(fā)送供應(yīng)請(qǐng)求以檢索經(jīng)更新的至少一個(gè)GSK參數(shù),所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息。服務(wù)器產(chǎn)生經(jīng)更新的至少一個(gè)GSK參數(shù)并對(duì)其進(jìn)行加密,且向至少一個(gè)多播群組成員發(fā)送經(jīng)加密的至少一個(gè)GSK參數(shù)。
將容易獲得對(duì)本發(fā)明的實(shí)施例及其許多附加優(yōu)點(diǎn)的更全面理解,因?yàn)槠湓诮Y(jié)合附圖考慮時(shí),通過參考以下詳細(xì)描述內(nèi)容而變得更好理解,附圖僅是為了說明而不是限制本發(fā)明而呈現(xiàn),且其中圖1是根據(jù)本發(fā)明至少一個(gè)實(shí)施例的支持接入終端和接入網(wǎng)絡(luò)的無線網(wǎng)絡(luò)架構(gòu)
8的圖。圖2A說明根據(jù)本發(fā)明實(shí)施例的運(yùn)營(yíng)商網(wǎng)絡(luò)。圖2B更詳細(xì)地說明圖1的無線通信100的實(shí)例。圖3是根據(jù)本發(fā)明至少一個(gè)實(shí)施例的接入終端的說明。圖4說明常規(guī)單播密鑰分發(fā)過程。圖5說明根據(jù)本發(fā)明實(shí)施例的多播密鑰分發(fā)過程。圖6說明根據(jù)本發(fā)明實(shí)施例的多播通信會(huì)話。
具體實(shí)施例方式針對(duì)本發(fā)明特定實(shí)施例的以下描述和有關(guān)圖式中揭示本發(fā)明的方面??稍诓幻撾x本發(fā)明的范圍的情況下設(shè)計(jì)替代實(shí)施例。另外,將不詳細(xì)描述或?qū)⑹÷员景l(fā)明的眾所周知的元件,以便不模糊本發(fā)明的相關(guān)細(xì)節(jié)。 詞“示范性”和/或“實(shí)例,,在本文中用于表示“充當(dāng)實(shí)例、例子或說明”。本文描述為“示范性”和/或“實(shí)例”的任何實(shí)施例均不一定被解釋為比其它方面優(yōu)選或有利。同樣,術(shù)語(yǔ)“本發(fā)明的實(shí)施例”并不要求本發(fā)明的所有實(shí)施例均包含所論述的特征、優(yōu)點(diǎn)或操作模式。另外,依據(jù)待由(例如)計(jì)算裝置的元件執(zhí)行的動(dòng)作序列來描述許多實(shí)施例。將認(rèn)識(shí)到,本文所描述的各種動(dòng)作可由特定電路(例如,專用集成電路(ASIC))、由通過一個(gè)或一個(gè)以上處理器執(zhí)行的程序指令或由上述兩者的組合來實(shí)施。另外,可將本文所描述的這些動(dòng)作序列視為完全體現(xiàn)在其中存儲(chǔ)有對(duì)應(yīng)的計(jì)算機(jī)指令集的任何形式的計(jì)算機(jī)可讀存儲(chǔ)媒體內(nèi),所述計(jì)算機(jī)指令在執(zhí)行后將即刻致使相關(guān)聯(lián)的處理器實(shí)施本文所描述的功能性。因此,本發(fā)明的各種方面可以許多不同形式體現(xiàn),所有這些形式均已預(yù)期在所主張標(biāo)的物的范圍內(nèi)。另外,對(duì)于本文所描述的實(shí)施例中的每一者,任何此些實(shí)施例的對(duì)應(yīng)形式可在本文描述為(例如)“經(jīng)配置以”執(zhí)行所描述動(dòng)作的“邏輯”。高數(shù)據(jù)速率(HDR)訂戶臺(tái)(本文稱為接入終端(AT))可為移動(dòng)的或固定的,且可與一個(gè)或一個(gè)以上HDR基站(本文稱為調(diào)制解調(diào)器池收發(fā)器(MPT)或基站(BQ)通信。接入終端經(jīng)由一個(gè)或一個(gè)以上調(diào)制解調(diào)器池收發(fā)器將數(shù)據(jù)包發(fā)射到HDR基站控制器和從HDR 基站控制器接收數(shù)據(jù)包,所述HDR基站控制器稱為調(diào)制解調(diào)器池控制器(MPC)、基站控制器 (BSC)和/或包控制功能(PCF)。調(diào)制解調(diào)器池收發(fā)器和調(diào)制解調(diào)器池控制器是稱為接入網(wǎng)絡(luò)的網(wǎng)絡(luò)的部分。接入網(wǎng)絡(luò)在多個(gè)接入終端之間輸送數(shù)據(jù)包。接入網(wǎng)絡(luò)可進(jìn)一步連接到接入網(wǎng)絡(luò)外的額外網(wǎng)絡(luò),例如企業(yè)內(nèi)部網(wǎng)或因特網(wǎng),且可在每一接入終端與此些外部網(wǎng)絡(luò)之間輸送數(shù)據(jù)包。已建立與一個(gè)或一個(gè)以上調(diào)制解調(diào)器池收發(fā)器的作用中業(yè)務(wù)信道連接的接入終端稱為作用中接入終端,且被稱處于業(yè)務(wù)狀態(tài)。 處于建立與一個(gè)或一個(gè)以上調(diào)制解調(diào)器池收發(fā)器的作用中業(yè)務(wù)信道連接的過程中的接入終端被稱處于連接設(shè)置狀態(tài)。接入終端可為通過無線信道或通過有線信道(例如使用光纖或同軸電纜)進(jìn)行通信的任何數(shù)據(jù)裝置。接入終端可進(jìn)一步為許多類型的裝置中的任一者,包含(但不限于)PC卡、緊湊型快閃存儲(chǔ)器、外部或內(nèi)部調(diào)制解調(diào)器,或者無線或有線電話。接入終端經(jīng)由其將信號(hào)發(fā)送到調(diào)制解調(diào)器池收發(fā)器的通信鏈路被稱為反向鏈路或業(yè)務(wù)信道。調(diào)制解調(diào)器池收發(fā)器經(jīng)由其將信號(hào)發(fā)送到接入終端的通信鏈路被稱為前向鏈路或業(yè)務(wù)信道。如本文所使用,術(shù)語(yǔ)業(yè)務(wù)信道可指代前向或反向業(yè)務(wù)信道。圖1說明根據(jù)本發(fā)明至少一個(gè)實(shí)施例的無線系統(tǒng)100的一個(gè)示范性實(shí)施例的框圖。系統(tǒng)100可含有接入終端,例如蜂窩式電話102,其經(jīng)由空中接口 104與接入網(wǎng)絡(luò)或無線電接入網(wǎng)絡(luò)(RAN) 120通信,接入網(wǎng)絡(luò)或無線電接入網(wǎng)絡(luò)(RAN) 120可將接入終端102連接到提供包交換數(shù)據(jù)網(wǎng)絡(luò)(例如內(nèi)部網(wǎng)、因特網(wǎng)和/或運(yùn)營(yíng)商網(wǎng)絡(luò)126)與接入終端102、 108、110、112之間的數(shù)據(jù)連接性的網(wǎng)絡(luò)設(shè)備。如此處所示,接入終端可為蜂窩式電話102、 個(gè)人數(shù)字助理108、尋呼機(jī)110 (其在此處展示為雙向文本尋呼機(jī)),或甚至單獨(dú)的計(jì)算機(jī)平臺(tái)112(其具有無線通信門戶)。本發(fā)明的實(shí)施例因此可在任何形式的包含無線通信門戶或具有無線通信能力的接入終端上實(shí)現(xiàn),包含(但不限于)無線調(diào)制解調(diào)器、PCMCIA卡、個(gè)人計(jì)算機(jī)、電話或其任何組合或子組合。另外,如本文所使用,術(shù)語(yǔ)“接入終端”、“無線裝置”、 “客戶端裝置”、“移動(dòng)終端”及其變化形式可互換使用。返回參看圖1,無線網(wǎng)絡(luò)100的組件以及本發(fā)明示范性實(shí)施例的元件的相互關(guān)系不限于所說明的配置。系統(tǒng)100僅為示范性的,且可包含允許遠(yuǎn)程接入終端(例如無線客戶端計(jì)算裝置102、108、110、112)彼此之間且/或在經(jīng)由空中接口 104和RAN 120連接的組件之間無線通信的任何系統(tǒng),包含(但不限于)運(yùn)營(yíng)商網(wǎng)絡(luò)126、因特網(wǎng)和/或其它遠(yuǎn)程服務(wù)器。RAN 120控制發(fā)送到基站控制器/包控制功能(BSC/PCF) 122的消息(通常作為數(shù)據(jù)包而發(fā)送)。BSC/PCF 122負(fù)責(zé)信令、建立和拆卸包數(shù)據(jù)服務(wù)節(jié)點(diǎn)100( “PDSN”)與接入終端102/108/110/112之間的承載信道(即,數(shù)據(jù)信道)。如果啟用鏈路層加密,那么BSC/ PCF 122還在經(jīng)由空中接口 104轉(zhuǎn)發(fā)內(nèi)容之前對(duì)內(nèi)容進(jìn)行加密。BSC/PCF 122的功能是此項(xiàng)技術(shù)中眾所周知的,且為了簡(jiǎn)明起見將不再進(jìn)一步論述。運(yùn)營(yíng)商網(wǎng)絡(luò)126可通過網(wǎng)絡(luò)、因特網(wǎng)和/或公共交換電話網(wǎng)(PSTN)與BSC/PCF 122通信?;蛘撸珺SC/PCF122可直接連接到因特網(wǎng)或外部網(wǎng)絡(luò)。通常,運(yùn)營(yíng)商網(wǎng)絡(luò)1 與BSC/PCF 122之間的網(wǎng)絡(luò)或因特網(wǎng)連接傳送數(shù)據(jù),且PSTN傳送話音信息。BSC/PCF 122可連接到多個(gè)基站(BQ或調(diào)制解調(diào)器池收發(fā)器(MPT) 124。以類似于運(yùn)營(yíng)商網(wǎng)絡(luò)的方式,BSC/PCF 122通常通過用于數(shù)據(jù)傳送和/或話音信息的網(wǎng)絡(luò)、因特網(wǎng)和/或PSTN連接到MPT/BS 124。MPT/BS IM可以無線方式將數(shù)據(jù)消息廣播到接入終端,例如蜂窩式電話102。如此項(xiàng)技術(shù)中已知,MPT/BS 124,BSC/PCF 122 和其它組件可形成RAN 120。然而,還可使用替代配置,且本發(fā)明不限于所說明的配置。舉例來說,在另一實(shí)施例中,BSC/PCF 122以及MPT/BS 1 中的一者或一者以上的功能性可組合為單個(gè)“混合”模塊,其具有BSC/PCF 122和MPT/BS 124兩者的功能性。圖2A說明根據(jù)本發(fā)明實(shí)施例的運(yùn)營(yíng)商網(wǎng)絡(luò)126。在圖2A的實(shí)施例中,運(yùn)營(yíng)商網(wǎng)絡(luò)1 包含包數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN) 160、廣播服務(wù)節(jié)點(diǎn)(BSN) 165、應(yīng)用服務(wù)器170和因特網(wǎng)175。然而,在替代實(shí)施例中,應(yīng)用服務(wù)器170和其它組件可位于運(yùn)營(yíng)商網(wǎng)絡(luò)外部。PDSN 160利用(例如)cdma2000無線電接入網(wǎng)絡(luò)(RAN)(例如圖1的RAN 120)為移動(dòng)臺(tái)(例如接入終端,例如來自圖1的102、108、110、112)提供到因特網(wǎng)175、內(nèi)部網(wǎng)和/或遠(yuǎn)程服務(wù)器 (例如應(yīng)用服務(wù)器170)的接入權(quán)。充當(dāng)接入網(wǎng)關(guān)的PDSN 160可提供簡(jiǎn)單IP和移動(dòng)IP接入、國(guó)外代理支持和包輸送。如此項(xiàng)技術(shù)中已知,PDSN 160可充當(dāng)驗(yàn)證、授權(quán)和記賬(AAA) 服務(wù)器和其它支持基礎(chǔ)結(jié)構(gòu)的客戶端,且為移動(dòng)臺(tái)提供到IP網(wǎng)絡(luò)的網(wǎng)關(guān)。如圖2A中所示, PDSN 160可經(jīng)由常規(guī)AlO連接與RAN 120 (例如BSC/PCF 122)通信。AlO連接是此項(xiàng)技術(shù)中眾所周知的,且為了簡(jiǎn)明起見將不進(jìn)一步描述。參看圖2A,廣播服務(wù)節(jié)點(diǎn)(BSN) 165可經(jīng)配置以支持多播和廣播服務(wù)。下文將更詳細(xì)地描述BSN 165。BSN 165經(jīng)由廣播(BC) AlO連接與RAN 120 (例如BSC/PCF 122)通信, 且經(jīng)由因特網(wǎng)175與應(yīng)用服務(wù)器170通信。BCAlO連接用于傳送多播和/或廣播消息接發(fā)。 因此,應(yīng)用服務(wù)器170經(jīng)由因特網(wǎng)175將單播消息接發(fā)發(fā)送到PDSN 160,且經(jīng)由因特網(wǎng)175 將多播消息接發(fā)發(fā)送到BSN 165。通常,如下文將更詳細(xì)地描述,RAN 120經(jīng)由空中接口 104的廣播信道(BCH)將經(jīng)由BCAlO連接從BSN 165接收的多播消息發(fā)射到一個(gè)或一個(gè)以上接入終端200。圖2B更詳細(xì)地說明圖1的無線通信100的實(shí)例。明確地說,參看圖2B,將AT 1... ATN展示為連接到處于由不同的包數(shù)據(jù)網(wǎng)絡(luò)端點(diǎn)服務(wù)的位置處的RAN 120。因此,AT 1 和AT 3連接到處于由第一包數(shù)據(jù)網(wǎng)絡(luò)端點(diǎn)162(例如,其可對(duì)應(yīng)于PDSN 160、BSN 165、國(guó)內(nèi)代理(HA)、國(guó)外代理(FA)等)服務(wù)的部分處的RAN 120。第一包數(shù)據(jù)網(wǎng)絡(luò)端點(diǎn)162又經(jīng)由路由單元188連接到因特網(wǎng)175,和/或驗(yàn)證、授權(quán)和記賬(AAA)服務(wù)器182、供應(yīng)服務(wù)器 184、因特網(wǎng)協(xié)議(IP)多媒體子系統(tǒng)(IMS)/會(huì)話起始協(xié)議(SIP)登記服務(wù)器186和/或應(yīng)用服務(wù)器170中的一者或一者以上。AT 2和AT 5...AT N連接到處于由第二包數(shù)據(jù)網(wǎng)絡(luò)端點(diǎn)164(例如,其可對(duì)應(yīng)于PDSN 160、BSN 165、FA、HA等)服務(wù)的部分處的RAN 120。類似于第一包數(shù)據(jù)網(wǎng)絡(luò)端點(diǎn)162,第二包數(shù)據(jù)網(wǎng)絡(luò)端點(diǎn)164又經(jīng)由路由單元188連接到因特網(wǎng)175,和/或AAA服務(wù)器182、供應(yīng)服務(wù)器184、IMS/SIP登記服務(wù)器186和/或應(yīng)用服務(wù)器170中的一者或一者以上。AT 4直接連接到因特網(wǎng)175,且可隨后經(jīng)由因特網(wǎng)175連接到上文所描述的系統(tǒng)組件中的任一者。參看圖2B JfAT UAT 3以及AT 5. . . AT N說明為無線手機(jī),將AT 2說明為無線平板PC且將AT 4說明為有線桌上型站。然而,在其它實(shí)施例中,將理解,無線通信系統(tǒng)100 可連接到任一類型的AT,且圖2B中所說明的實(shí)例無意限制可實(shí)施于所述系統(tǒng)內(nèi)的AT的類型。此外,盡管將AAA 182、供應(yīng)服務(wù)器184、IMS/SIP登記服務(wù)器186以及應(yīng)用服務(wù)器170 各自說明為結(jié)構(gòu)上是單獨(dú)的服務(wù)器,但這些服務(wù)器中的一者或一者以上可在本發(fā)明的至少一個(gè)實(shí)施例中合并。參看圖3,例如蜂窩式電話等接入終端200(此處為無線裝置)具有平臺(tái)202,所述平臺(tái)202可接收并執(zhí)行從RAN 120發(fā)射的軟件應(yīng)用程序、數(shù)據(jù)和/或命令(其最終可來自運(yùn)營(yíng)商網(wǎng)絡(luò)126、因特網(wǎng)和/或其它遠(yuǎn)程服務(wù)器和網(wǎng)絡(luò))。平臺(tái)202可包含收發(fā)器206,其可操作地耦合到專用集成電路(“ASIC” 208)或其它處理器、微處理器、邏輯電路或其它數(shù)據(jù)處理裝置。ASIC 208或其它處理器執(zhí)行與無線裝置的存儲(chǔ)器212中的任何駐存程序介接的應(yīng)用編程接口( “API”)210層。存儲(chǔ)器212可由只讀存儲(chǔ)器或隨機(jī)存取存儲(chǔ)器(RAM和 ROM)、EEPR0M、快閃存儲(chǔ)器卡或?qū)τ?jì)算機(jī)平臺(tái)來說常見的任何存儲(chǔ)器組成。平臺(tái)202還可包含本地?cái)?shù)據(jù)庫(kù)214,其可保持未在存儲(chǔ)器212中以作用中方式使用的應(yīng)用程序。本地?cái)?shù)據(jù)庫(kù)214通常為快閃存儲(chǔ)器單元,但可為如此項(xiàng)技術(shù)中已知的任何輔助存儲(chǔ)裝置,例如磁性媒體、EEPR0M、光學(xué)媒體、磁帶、軟盤或硬盤等。如此項(xiàng)技術(shù)中已知,內(nèi)部平臺(tái)202的組件還可操作地耦合到例如天線222、顯示器224、即按即說按鈕2 和小鍵盤226以及其它組件等外部裝置。因此,本發(fā)明的實(shí)施例可包含包括執(zhí)行本文所述的功能的能力的接入終端。如所屬領(lǐng)域的技術(shù)人員將了解,各種邏輯元件可以用以實(shí)現(xiàn)本文所揭示的功能性的離散元件、 在處理器上執(zhí)行的軟件模塊或軟件與硬件的任何組合來體現(xiàn)。舉例來說,ASIC 208、存儲(chǔ)器 212、API 210和本地?cái)?shù)據(jù)庫(kù)214可全部以協(xié)作方式用以加載、存儲(chǔ)和執(zhí)行本文所揭示的各種功能,且因此用以執(zhí)行這些功能的邏輯可分布于各種元件上。或者,所述功能性可并入到一個(gè)離散組件中。因此,圖3中的接入終端的特征將僅被視為說明性的,且本發(fā)明不限于所說明的特征或布置。接入終端102與RAN 120之間的無線通信可基于不同技術(shù),例如碼分多址(CDMA)、 WCDMA、時(shí)分多址(TDMA)、頻分多址(FDMA)、正交頻分多路復(fù)用(OFDM)、全球移動(dòng)通信系統(tǒng) (GSM),或其它可用于無線通信網(wǎng)絡(luò)或數(shù)據(jù)通信網(wǎng)絡(luò)中的協(xié)議。數(shù)據(jù)通信通常是在客戶端裝置102、MPT/BS 1 和BSC/PCF 122之間進(jìn)行。BSC/PCF 122可連接到多個(gè)數(shù)據(jù)網(wǎng)絡(luò),例如運(yùn)營(yíng)商網(wǎng)絡(luò)U6、PSTN、因特網(wǎng)、虛擬專用網(wǎng)絡(luò)等,從而允許接入終端102接入到較廣的通信網(wǎng)絡(luò)。如先前所論述且如此項(xiàng)技術(shù)中已知,可使用多種網(wǎng)絡(luò)和配置將話音發(fā)射和/或數(shù)據(jù)從RAN發(fā)射到接入終端。因此,本文所提供的說明無意限制本發(fā)明的實(shí)施例,且將僅僅輔助描述本發(fā)明的實(shí)施例的方面。如在背景技術(shù)部分中所論述,可以若干方式來執(zhí)行多播消息接發(fā)。為了更好地理解本發(fā)明的實(shí)施例,將相對(duì)于圖4來描述用于常規(guī)多播消息接發(fā)過程中的常規(guī)單播密鑰分發(fā)過程。接著,將根據(jù)本發(fā)明的實(shí)施例來描述一種多播消息接發(fā)過程,其中可能包含一個(gè)或一個(gè)以上多播成員的一組預(yù)期扇區(qū)是在多播會(huì)話啟始之前建立。如果如圖2B中說明的系統(tǒng)100內(nèi)的AT 1. . . AT N中的兩者或兩者以上希望彼此交換信息,那么可建立通信會(huì)話(例如,經(jīng)由多播的半雙工即按即說(PTT)呼叫、VoIP全雙工呼叫和/或任何其它形式的基于IP的包數(shù)據(jù)交換),以促進(jìn)相應(yīng)的AT之間的數(shù)據(jù)傳送。 為了提高通信會(huì)話的安全性,個(gè)別IP數(shù)據(jù)包可在所述通信會(huì)話中所涉及的各方共享了用于驗(yàn)證和/或加密以及解密的密鑰之后被驗(yàn)證和/或加密。舉例來說,可使用迪菲·赫爾曼(Diffie-Hellman)密鑰交換過程來準(zhǔn)許先前彼此不了解的兩方經(jīng)由不安全的通信信道共同建立共享的秘密密鑰。然而,例如迪菲·赫爾曼密鑰交換協(xié)議等密鑰交換程序在應(yīng)用于群組通信會(huì)話 (例如,可能涉及兩個(gè)以上AT的通信會(huì)話)時(shí)可能具有若干缺陷。首先問題是,與經(jīng)由不安全的通信信道進(jìn)行任何“秘密”信息交換一樣,迪菲·赫爾曼密鑰交換協(xié)議有可能也易受中間人攻擊(man-in-the-middle-attack),這意味著黑客很可能會(huì)在通信會(huì)話的不同方向上攔截消息接發(fā),且可隨后監(jiān)視會(huì)話且/或偽裝成合法的呼叫參與者。此外,由于群組通信會(huì)話很可能會(huì)包含大量的呼叫參與者,所以實(shí)施迪菲·赫爾曼密鑰交換協(xié)議可能變成計(jì)算上密集的且群組通信會(huì)話中帶寬低效的,因?yàn)橐竺恳缓艚袇⑴c者交換多個(gè)驗(yàn)證憑證以彼此獨(dú)立地得到同一密鑰。按照慣例,所屬領(lǐng)域的技術(shù)人員已嘗試在通過改進(jìn)的數(shù)字證書管理將迪菲·赫爾曼密鑰交換協(xié)議應(yīng)用于群組通信會(huì)話時(shí)減輕上文所述的與迪菲 赫爾曼密鑰交換協(xié)議相關(guān)聯(lián)的問題。然而,管理數(shù)字證書增加了用于較大群組的通信系統(tǒng)的復(fù)雜性,且與支持?jǐn)?shù)字證書管理的消息交換相關(guān)聯(lián)的大量往返延遲使得數(shù)字證書管理對(duì)于較大群組來說是低效的。因此,本發(fā)明的實(shí)施例是針對(duì)向?qū)儆跓o線通信系統(tǒng)內(nèi)的特定多播群組的若干個(gè)接入終端分發(fā)群組密鑰。如下文將描述,所述實(shí)施例中的一者或一者以上準(zhǔn)許向每一多播群組成員分發(fā)群組會(huì)話密鑰(GSK),以用于多播會(huì)話的多播發(fā)射的驗(yàn)證和解密。像類似于SIP 驗(yàn)證(例如,基于TCP/IP的應(yīng)用層協(xié)議,其常用于設(shè)置和拆卸多媒體通信會(huì)話)的基于預(yù)先供應(yīng)的共享秘密的密鑰產(chǎn)生一樣,多播驗(yàn)證過程部分依賴于常規(guī)單播密鑰分發(fā)過程,接下來相對(duì)于圖4更詳細(xì)地描述所述SIP驗(yàn)證。盡管相對(duì)于SIP來描述圖4,但將了解,可根據(jù)不同于SIP的協(xié)議來實(shí)施其它實(shí)施例。參看圖4,假設(shè)向給定AT預(yù)先供應(yīng)與AAA 182共享的共享秘密。所述共享秘密被稱為基本應(yīng)用密鑰(BAK)。因此,給定AT基于共享秘密(BAK)以使用HMAC算法用BAK和用戶憑證作為對(duì)所述算法的輸入來計(jì)算客戶端會(huì)話密鑰以驗(yàn)證用于特定單播通信會(huì)話的通信000)。給定AT接著基于登記消息內(nèi)的客戶端會(huì)話密鑰而經(jīng)由RAN 120向IMS/SIP登記服務(wù)器186發(fā)送包含消息摘要的驗(yàn)證憑證以及SIP登記消息中的應(yīng)用特定標(biāo)頭(410)。給定AT或SIP用戶代理(UA)使用登記消息來傳達(dá)其當(dāng)前IP地址和URL,給定AT愿意針對(duì)所述當(dāng)前IP地址和URL接收呼叫。IMS/SIP登記服務(wù)器186登記給定AT (415),并用2000K 消息來確認(rèn)所述登記G20)。IMS/SIP登記服務(wù)器186接著將從AT接收到的具有消息摘要和用戶憑證的通知消息轉(zhuǎn)發(fā)給包含用于給定AT的歸屬運(yùn)營(yíng)商識(shí)別符(ID)的應(yīng)用服務(wù)器 170(425)。發(fā)送通知消息以告知訂戶或預(yù)訂管理員訂戶預(yù)訂狀態(tài)的改變。應(yīng)用服務(wù)器170接著將消息摘要和用戶憑證轉(zhuǎn)發(fā)給AAA 182,并從AAA 182請(qǐng)求對(duì)給定AT進(jìn)行驗(yàn)證030)。AAA 182基于共享秘密(BAK)和用戶憑證并使用與客戶端相同的HMAC算法來計(jì)算用于給定AT的客戶端會(huì)話密鑰035)。AAA 182通過基于客戶端會(huì)話密鑰計(jì)算消息摘要并將其與從AT接收到的消息摘要進(jìn)行比較來為給定AT執(zhí)行驗(yàn)證檢查 (440)。如果所述消息摘要相匹配,那么AT通過驗(yàn)證,且所述客戶端會(huì)話密鑰將用于未來的事務(wù)G40)。因此,假設(shè)在圖4的過程啟始之前,給定AT和AAA182兩者均預(yù)先具備共享秘密密鑰(其后來用以計(jì)算客戶端會(huì)話密鑰)。當(dāng)在440中對(duì)客戶端進(jìn)行驗(yàn)證之后,AAA 182將用于給定AT的客戶端會(huì)話密鑰轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器170,且應(yīng)用服務(wù)器170存儲(chǔ)客戶端會(huì)話密鑰(450)。應(yīng)用服務(wù)器170接著發(fā)送指示服務(wù)對(duì)給定AT可用的消息(45 ,且給定AT此后知曉可使用客戶端會(huì)話密鑰,以使得可使用用于單播驗(yàn)證的客戶端會(huì)話密鑰在給定AT與應(yīng)用服務(wù)器170之間開始交換媒體。因此,通過應(yīng)用單播驗(yàn)證策略,給定AT和應(yīng)用服務(wù)器170可交換用客戶端會(huì)話密鑰(其現(xiàn)在由給定AT和應(yīng)用服務(wù)器170兩者共享)驗(yàn)證的包。圖5說明根據(jù)本發(fā)明實(shí)施例的多播密鑰分發(fā)過程。在圖5中,假設(shè)供應(yīng)服務(wù)器184 和應(yīng)用服務(wù)器170具有僅對(duì)供應(yīng)服務(wù)器184和應(yīng)用服務(wù)器170已知的秘密密鑰(SK),且AAA 182和給定AT具有共享秘密(例如,基本應(yīng)用密鑰(BAK))??蛇M(jìn)一步假設(shè)給定AT對(duì)應(yīng)于圖3的AT 200,且包含各自包含在API 210之中的多媒體客戶端210A和供應(yīng)模塊210B,且從而具有下文相對(duì)于圖5所描述的功能性。參看圖5,供應(yīng)服務(wù)器184確定是否產(chǎn)生或更新用于特定封閉式多播群組(在圖5 的描述之后對(duì)其進(jìn)行更詳細(xì)的描述)的給定GSK的群組種子和群組會(huì)話密鑰(GiiK)時(shí)間。 如本文所使用,“封閉式”多播群組是限制其參與者以使得使用媒體加密和下層信令來阻止受限制的AT監(jiān)視涉及所述封閉式多播群組的相關(guān)聯(lián)多播會(huì)話的任何多播群組。封閉式多播群組也指由唯一的群組地址(例如,SIP統(tǒng)一資源定位符)和會(huì)議ID識(shí)別的群組,其中所述群組的成員在多播呼叫開始之前形成固定的成員列表,且所述成員列表在呼叫的持續(xù)
13時(shí)間內(nèi)不會(huì)改變。注意,參與者列表(現(xiàn)行參與呼叫的成員)在呼叫期間可能改變。秘密密鑰對(duì)應(yīng)于在供應(yīng)服務(wù)器184處已知的私有密鑰,且變?yōu)閷?duì)應(yīng)用服務(wù)器170 可用,但不為多播群組成員所共享。GSK時(shí)間對(duì)應(yīng)于未來時(shí)間周期,其中GSK對(duì)于對(duì)媒體進(jìn)行加密和/或解密以及對(duì)用于封閉式多播群組的信令進(jìn)行驗(yàn)證來說有效,且可由供應(yīng)服務(wù)器184的操作者輸入,以建立新的GSK的有效性持續(xù)時(shí)間或周期。在一實(shí)例中,群組種子可由密碼隨機(jī)數(shù)產(chǎn)生器在供應(yīng)服務(wù)器184處自動(dòng)產(chǎn)生,或者可由供應(yīng)服務(wù)器的操作者手動(dòng)輸入(例如,作為1 位密碼隨機(jī)數(shù))。當(dāng)產(chǎn)生用于給定多播群組的新的群組種子時(shí),還產(chǎn)生用于所述給定多播群組的新的群組會(huì)話密鑰(GSK)(例如,如下文所示,在供應(yīng)服務(wù)器184 處在框565中和/或在應(yīng)用服務(wù)器170處在519中)。如下文將更詳細(xì)描述,接著向給定多播群組的每一多播群組成員分發(fā)新的GSK。在一實(shí)例中,可使GSK保持相對(duì)較小(例如, 256個(gè)位),使得可在單個(gè)事務(wù)或消息中傳送GSK,以便減少系統(tǒng)內(nèi)的消息接發(fā)。在圖5的500中,供應(yīng)服務(wù)器確定對(duì)改變GSK的需求。這可基于因群組成員資格改變而造成的對(duì)改變GSK的需求,或者基于管理員的用以更新密鑰以改進(jìn)安全性的周期性密鑰更新策略,或者基于供應(yīng)服務(wù)器與多媒體客戶端之間用以改變?cè)诮饷?驗(yàn)證多播媒體的失敗次數(shù)超過預(yù)設(shè)閾值次數(shù)時(shí)觸發(fā)的密鑰的反饋機(jī)制來觸發(fā)?;谒鲇|發(fā)中的一者, 假設(shè)供應(yīng)服務(wù)器184確定更新用于給定多播群組的群組種子和用于給定多播群組的GSK時(shí)間兩者。供應(yīng)服務(wù)器基于GSK更新的臨界條件來選擇GSK時(shí)間。在事件并非臨界性的情況下,供應(yīng)服務(wù)器選擇通常超出網(wǎng)絡(luò)峰值時(shí)間的GSK時(shí)間。因此,供應(yīng)服務(wù)器184將對(duì)應(yīng)于群組地址的新的群組種子和GSK時(shí)間存儲(chǔ)在用戶/群組數(shù)據(jù)庫(kù)中(505)。在一實(shí)例中,用戶/ 群組數(shù)據(jù)庫(kù)對(duì)應(yīng)于維持在供應(yīng)服務(wù)器184處或應(yīng)用服務(wù)器170處的安全數(shù)據(jù)庫(kù),且可由上述兩個(gè)組件存取。應(yīng)用服務(wù)器170僅從數(shù)據(jù)庫(kù)進(jìn)行讀取,而供應(yīng)服務(wù)器184可向數(shù)據(jù)庫(kù)進(jìn)行寫入。在圖5的510和516中,基于GSK時(shí)間,供應(yīng)服務(wù)器調(diào)度并發(fā)送GSK更新通知。舉例來說,由于GSK時(shí)間指示GSK超出其就為有效的值,所以供應(yīng)服務(wù)器184選擇至少考慮以下約束的通知時(shí)間表為了允許多媒體客戶端獲得GSK更新,經(jīng)調(diào)度的通知時(shí)間遠(yuǎn)早于GSK 時(shí)間;且經(jīng)調(diào)度的通知時(shí)間處于在網(wǎng)絡(luò)非峰值時(shí)間期間,以嘗試減少和/或防止因起源于每一多播群組中的大量成員的GSK更新事務(wù)而造成的峰值時(shí)間期間的網(wǎng)絡(luò)資源的浪費(fèi)。供應(yīng)服務(wù)器184接著確定通知向應(yīng)用服務(wù)器170登記的給定多播群組的每一成員的供應(yīng)模塊 210B,與給定多播群組的GSK有關(guān)的更新可用。因此,供應(yīng)服務(wù)器184向給定AT (例如,以及對(duì)給定多播群組的向應(yīng)用服務(wù)器170登記的任何其它AT)的供應(yīng)模塊210B發(fā)送指示GSK 更新的可用性的通知(515)。同樣,在516中,供應(yīng)服務(wù)器184確定通知應(yīng)用服務(wù)器170,GSK更新對(duì)一個(gè)或一個(gè)以上多播群組可用。應(yīng)用服務(wù)器170從用戶/群組數(shù)據(jù)庫(kù)檢索針對(duì)對(duì)應(yīng)的群組地址的經(jīng)更新的群組種子和GSK時(shí)間(518),并為要求更新的每一多播群組產(chǎn)生新的GSK(519)(例如, 以類似于在供應(yīng)服務(wù)器184處的565的方式,在下文對(duì)其進(jìn)行更詳細(xì)的描述)。如所屬領(lǐng)域的技術(shù)人員將了解,應(yīng)用服務(wù)器170具有對(duì)用戶/群組數(shù)據(jù)庫(kù)的存取權(quán),且因此計(jì)算新的 GSK是件相對(duì)簡(jiǎn)單的事情。然而,出于安全性原因,個(gè)別多播群組成員不能存取用戶/群組數(shù)據(jù)庫(kù),且因此如下文將更詳細(xì)描述,以不同的方式向多播群組成員分發(fā)GSK。在給定AT的供應(yīng)模塊210B接收到來自515的GSK更新通知之后,供應(yīng)模塊210B確定多媒體客戶端當(dāng)前是否加入了呼叫(520),且如果沒有,那么通知多媒體客戶端210A, 經(jīng)更新的GSK和相關(guān)聯(lián)的GSK時(shí)間可供從供應(yīng)服務(wù)器184下載(52 。盡管未在圖5內(nèi)明確展示,但如果多媒體客戶端210A加入了呼叫,那么供應(yīng)模塊210B將在通知多媒體客戶端 210A GSK更新之前等待呼叫完成,或者供應(yīng)模塊210B將向多媒體客戶端210A提供通知,且多媒體客戶端210A于是將在嘗試更新GSK信息之前等待,直到呼叫完成為止。給定AT的多媒體客戶端210A從供應(yīng)模塊210B接收GSK更新通知,且接著計(jì)算并存儲(chǔ)私有加密密鑰(PEK)以及使用過一次的客戶端數(shù)目(Cnonce) (530)。通過應(yīng)用基于散列的消息驗(yàn)證代碼(HMAC)-安全散列算法(SHA) 256算法而使用共享秘密(BAK)、Cnonce值以及給定AT的用戶憑證來計(jì)算PEK(530)。此外在530中,多媒體客戶端210A通過向應(yīng)用服務(wù)器170發(fā)送撤銷登記消息而從應(yīng)用服務(wù)器170撤銷自身的登記。多媒體客戶端撤銷登記是因?yàn)槎嗝襟w客戶端210A現(xiàn)在知道其當(dāng)前GSK可能如從對(duì)GSK更新通知的接收所推斷而不再有效。多媒體客戶端210A告知供應(yīng)模塊210B多媒體客戶端210A準(zhǔn)備好接收GSK 更新且還傳遞Cnonce (535)。給定AT處的供應(yīng)模塊210B接著向供應(yīng)服務(wù)器184發(fā)送供應(yīng)請(qǐng)求,以請(qǐng)求新的GSK 和GSK時(shí)間(540)。在540中發(fā)送的供應(yīng)請(qǐng)求包含群組多媒體服務(wù)的給定AT的用戶的一個(gè)或一個(gè)以上憑證(例如,群組多媒體服務(wù)的給定AT的用戶的一級(jí)地址),且進(jìn)一步包含在530中產(chǎn)生的Cnonce。在從供應(yīng)模塊210B接收到供應(yīng)請(qǐng)求后,供應(yīng)服務(wù)器184即刻請(qǐng)求(545) AAA 182提供對(duì)應(yīng)于給定AT的PEK (例如,或者給定AT的用戶),且為AAA 182提供包含在來自540的供應(yīng)請(qǐng)求中的給定AT的用戶的憑證(例如,給定AT的用戶的用戶名) 以及在530中產(chǎn)生的Cnonce值。AAA 182接著通過針對(duì)給定AT的用戶應(yīng)用HMAC-SHA 256算法來使用共享秘密 (BAK)、Cnonce以及給定AT的用戶憑證來計(jì)算PEK(550)(例如,產(chǎn)生與在530中在多媒體客戶端210A處計(jì)算出的PEK相同的PEK),并將計(jì)算出的PEK返回給供應(yīng)服務(wù)器184 (555)。 如所屬領(lǐng)域的技術(shù)人員將了解,每個(gè)GSK更新事務(wù)需要一個(gè)PEK。如果將對(duì)多個(gè)GSK進(jìn)行加密以供分發(fā)給用于不同多播群組的給定AT,那么使用同一 PEK (即,來自550和555)來對(duì)用于所述特定AT的GSK中的每一者進(jìn)行加密。注意,如圖4中所示,還可使用同一共享秘密 (BAK)來計(jì)算單播客戶端會(huì)話密鑰U-CSK。在從AAA 182接收到PEK后,供應(yīng)服務(wù)器184即刻從用戶/群組數(shù)據(jù)庫(kù)檢索與給定多播群組有關(guān)的信息(例如,多播群組的IP地址、在505中存儲(chǔ)的新的或經(jīng)更新的群組種子和GSK時(shí)間、秘密密鑰(SK)等)(560)。接著,在565中,供應(yīng)服務(wù)器184基于(i)僅對(duì)供應(yīng)服務(wù)器184已知(例如,且還對(duì)應(yīng)用服務(wù)器170可用)的秘密密鑰(SK) (ii)在505中存儲(chǔ)且在560中檢索的群組種子,以及(iii)給定多播群組的群組地址(例如,群組的SIP, 如統(tǒng)一資源定位符)而產(chǎn)生新的GSK。在一實(shí)例中,如此項(xiàng)技術(shù)中已知,供應(yīng)服務(wù)器184可通過應(yīng)用HMAC-SHA256算法來產(chǎn)生GSK。供應(yīng)服務(wù)器184接著將由AAA 182計(jì)算出的PEK用作用于給定AT的加密密鑰,以對(duì)新的GSK進(jìn)行加密(570)。在一實(shí)例中,如此項(xiàng)技術(shù)中已知,570的加密可通過在電子碼簿(ECB)模式下應(yīng)用高級(jí)加密標(biāo)準(zhǔn)(AEQ算法來實(shí)施。在570中對(duì)新的GSK進(jìn)行加密之后,供應(yīng)服務(wù)器170向給定AT處的供應(yīng)模塊210B發(fā)送一個(gè)或一個(gè)以上消息,所述消息包含 ⑴來自570的經(jīng)加密GSK; (ii)來自505的相關(guān)聯(lián)GSK時(shí)間;(iii)給定多播群組的會(huì)議ID (例如,在560中檢索到),以及(iv)在MO中最初由給定AT供應(yīng)的Cnonce。如上文所述,如果多個(gè)GSK將分發(fā)給一個(gè)以上多播群組的給定AT,那么在575中發(fā)送的所述一個(gè)或一個(gè)以上消息將包含各自具有其自身的相關(guān)聯(lián)GSK時(shí)間的多個(gè)經(jīng)加密GSK,以及用于多播群組中的每一者的單獨(dú)的會(huì)議ID。Cnonce值對(duì)于多播群組中的每一者來說均相同,且如此即使在將多個(gè)GSK分發(fā)給單個(gè)AT的情況下也僅包含一個(gè)Cnonce值。在供應(yīng)模塊210B接收到來自575的消息之后,供應(yīng)模塊210B告知多媒體客戶端 210A每一經(jīng)更新的多播群組的GSK、GSK時(shí)間以及會(huì)議ID以及Cnonce值(580)。在580 中從供應(yīng)模塊210B接收到經(jīng)加密GSK后,多媒體客戶端210A即刻確定在580中接收到的 Cnonce值是否與在530中產(chǎn)生并在535中發(fā)送到供應(yīng)模塊210B的Cnonce值相匹配(585)。 如果多媒體客戶端210A確定所述Cnonce值相匹配,那么多媒體客戶端210A使用在530中計(jì)算出的PEK來對(duì)每一經(jīng)更新的多播群組的每一 GSK進(jìn)行解密(585)。多媒體客戶端210A 接著存儲(chǔ)與有關(guān)多播群組的會(huì)議ID相關(guān)聯(lián)的每一經(jīng)解密的GSK和GSK時(shí)間。盡管圖5中未展示,但如圖4的410中所示,多媒體客戶端210B可接著通過向應(yīng)用服務(wù)器170發(fā)送登記消息來撤銷其自身對(duì)群組多媒體服務(wù)的登記,且可用經(jīng)更新的GSK來對(duì)去往多媒體群組中的一者或一者以上的多播消息進(jìn)行解密。注意,來自客戶端的Cnonce值針對(duì)每個(gè)GSK更新事務(wù)而改變。這確保針對(duì)每個(gè)事務(wù)而計(jì)算出的PEK是不同的。由于使用PEK對(duì)GSK進(jìn)行加密,且由于對(duì)于每一多媒體客戶端來說PEK是不同的,所以經(jīng)加密GSK對(duì)于每一客戶端來說是不同的。這使得入侵者難以通過監(jiān)聽AT而在各個(gè)GSK更新例項(xiàng)處收集經(jīng)加密GSK的樣本來對(duì)GSK進(jìn)行反向工程,因?yàn)閷?duì)加密算法的兩個(gè)輸入(GSK和PEK)每次都發(fā)生改變?,F(xiàn)在將相對(duì)于圖6更詳細(xì)地描述結(jié)合圖5中的多播密鑰或GSK而使用圖4中的單播密鑰的多播通信會(huì)話。在圖6中,可假設(shè)已在多播通信會(huì)話的呼叫發(fā)起者(例如,ATI)處以及在目標(biāo)AT 2... AT N處執(zhí)行了圖4的過程,且已在多播通信會(huì)話的AT 1. . . AT N處執(zhí)行了圖5的過程。因此,呼叫發(fā)起者AT 1具有用于驗(yàn)證反向鏈路業(yè)務(wù)信道(R-TCH)上的應(yīng)用信令的將被轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器170的單播客戶端會(huì)話密鑰(U-CSK)?;趤碜园l(fā)起者AT 的應(yīng)用信令,應(yīng)用服務(wù)器170將信令遞送到目標(biāo)AT 2... AT N,目標(biāo)AT 2... ATN各自具有最新GSK,借助于所述最新GSK,AT 2...AT N可驗(yàn)證來自應(yīng)用服務(wù)器170的信令消息,并對(duì)從應(yīng)用服務(wù)器170轉(zhuǎn)發(fā)或重新發(fā)射的多播媒體進(jìn)行解密,且應(yīng)用服務(wù)器170知曉AT 1. . . ATN 的U-CSK和多播群組的最新GSK兩者。參看圖6,呼叫發(fā)起者AT 1基于U-CSK而將單播驗(yàn)證策略應(yīng)用于呼叫消息,且接著經(jīng)由R-TCH而向RAN 120發(fā)送呼叫消息,接著將所述呼叫消息轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器170 (600)。 在一實(shí)例中,應(yīng)用單播驗(yàn)證策略意味著向呼叫消息添加數(shù)字簽名(將U-CSK用作簽名的密鑰),以及向應(yīng)用服務(wù)器170發(fā)送此消息。應(yīng)用服務(wù)器170接收呼叫消息,且嘗試通過將單播驗(yàn)證策略應(yīng)用于呼叫消息來驗(yàn)證呼叫消息(602)。舉例來說,應(yīng)用服務(wù)器170可檢查呼叫消息的數(shù)字簽名,并確定是否使用了正確的U-CSK來產(chǎn)生數(shù)字簽名。為了避免重放攻擊, 數(shù)字簽名還將時(shí)戳元素用作另一輸入。時(shí)戳元素在消息產(chǎn)生時(shí)提供簽名的時(shí)間,并考慮消息從發(fā)送者到達(dá)接收者的發(fā)射延遲以及在發(fā)送者與接收者之間的時(shí)序同步中的任何漂移。 如果在602中應(yīng)用服務(wù)器170沒有恰當(dāng)?shù)仳?yàn)證呼叫消息,那么應(yīng)用服務(wù)器170使呼叫失效 (604),并忽略所述消息(606)。否則,如果在602中應(yīng)用服務(wù)器170驗(yàn)證了呼叫消息,那么應(yīng)用服務(wù)器170對(duì)所請(qǐng)求的多播通信會(huì)話應(yīng)用呼叫允入策略(608)。舉例來說,在608中,應(yīng)用服務(wù)器170可確認(rèn)AT 1是通信群組(已向其請(qǐng)求會(huì)話)的一部分,且/或可檢驗(yàn)AT 1 具有例如支持呼叫的多媒體類型等必要能力,并傳遞例如限制等其它呼叫參數(shù)。在608中應(yīng)用呼叫允入策略之后,應(yīng)用服務(wù)器170基于多播會(huì)話的當(dāng)前GSK而將用于信令的多播驗(yàn)證策略應(yīng)用于用于宣告多播會(huì)話的宣告消息,且接著將宣告消息轉(zhuǎn)發(fā)到 RAN 120,以供發(fā)射到目標(biāo)AT 2...AT N(610)o舉例來說,應(yīng)用服務(wù)器170可通過將GSK用作簽名的密鑰來向宣告消息添加數(shù)字簽名,且接著應(yīng)用服務(wù)器170可向多播服務(wù)上的目標(biāo)群組成員發(fā)送此消息。可在個(gè)別目標(biāo)群組成員處用GSK來驗(yàn)證具有數(shù)字簽名的宣告消息。AT 2. . . AT N中的每一者使用共用或共享GSK(例如,通過圖5的過程而獲得)來對(duì)多播呼叫宣告信令消息進(jìn)行解密和/或驗(yàn)證(612)。當(dāng)對(duì)多播消息進(jìn)行加密時(shí),AT使用 GSK來對(duì)消息進(jìn)行解密。如果啟用驗(yàn)證,那么AT使用GSK連同消息來產(chǎn)生數(shù)字簽名,并比較在所述消息中接收到的數(shù)字簽名來檢驗(yàn)驗(yàn)證。如果612的驗(yàn)證不成功,那么AT 2... AT N忽略所述消息,且不響應(yīng)多播呼叫宣告(616)。否則,如果612的解密和/或驗(yàn)證成功,那么目標(biāo)AT 2. ..AT N應(yīng)用呼叫加入策略(618)。舉例來說,目標(biāo)AT 2. .. ATN中的每一者可提示用戶確定所述用戶是否希望加入所宣告的多播呼叫。呼叫加入策略可包含對(duì)呼叫發(fā)起者不利的任何限制或者對(duì)在多播會(huì)話期間將交換的媒體類型不利的限制的檢查。當(dāng)所有檢查均成功時(shí),AT 2... AT N的用戶指示呼叫加入動(dòng)作呼叫(例如,通過呈現(xiàn)接受呼叫按鈕), AT 2... ATN確定加入所述呼叫(620)。因此,AT 2··· AT N接著起始呼叫加入程序,且發(fā)送一個(gè)或一個(gè)以上反向鏈路消息以便加入呼叫(622)。既定用于應(yīng)用服務(wù)器170的所述一個(gè)或一個(gè)以上反向鏈路消息包含通過在622中使用特定用以AT 2. . . AT N中的每一者的消息和U-CSK而產(chǎn)生的數(shù)字簽名。 因此,在622的一實(shí)例中,AT 2. ..AT N可向應(yīng)用服務(wù)器170發(fā)送根據(jù)AT 2··· AT N中的每一者和個(gè)別U-CSK而驗(yàn)證的宣告確認(rèn)接受消息。此外,盡管在圖6中未展示,但AT2. ..AT N 還可發(fā)送BCMCS流登記(BCMCSFlowRegistration)消息以向RAN 120登記,且BCMCS流登記消息沒有轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器170,且沒有用U-CSK或GSK進(jìn)行加密?;蛘撸M管在圖6中未展示,但一些AT可基于呼叫加入策略而決定不參加呼叫,且可通過使用其各自的U-CSK 發(fā)送具有數(shù)字簽名的宣告拒絕消息而拒絕呼叫宣告。應(yīng)用服務(wù)器170從AT 2. . . AT N接收宣告確認(rèn)接受消息,并將單播驗(yàn)證策略應(yīng)用于來自AT 2. .. AT N的每一所接收消息,如在602中相對(duì)于AT 1 (624)。如果在624中沒有恰當(dāng)?shù)仳?yàn)證來自AT 2. . . AT N的消息中的任一者,那么在626中忽略未驗(yàn)證的消息。否則, 在628中應(yīng)用服務(wù)器170將請(qǐng)求(且經(jīng)恰當(dāng)驗(yàn)證的)AT添加到呼叫。此外,在第一響應(yīng)者加入呼叫之后,應(yīng)用服務(wù)器170向呼叫發(fā)起者AT 1指示AT 1具有發(fā)言權(quán)且可開始講話。因此,AT 1開始在R-TCH上向RAN 120發(fā)射呼叫媒體,所述呼叫媒體轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器170以供發(fā)射到多播群組,并基于AT 1的U-CSK而用單播驗(yàn)證策略來編碼,且在計(jì)數(shù)器模式中使用AES算法用GSK來加密(630)。應(yīng)用服務(wù)器170接收并嘗試驗(yàn)證來自AT 1的呼叫媒體(632)。如果呼叫媒體未經(jīng)恰當(dāng)?shù)仳?yàn)證,那么應(yīng)用服務(wù)器170忽略所述媒體(634)。 否則,如果呼叫媒體經(jīng)恰當(dāng)?shù)仳?yàn)證,那么應(yīng)用服務(wù)器170將呼叫媒體的用多播群組的GSK加密的版本轉(zhuǎn)發(fā)給AT 2...AT N(636)。注意,應(yīng)用服務(wù)器170無需對(duì)媒體進(jìn)行解密,因?yàn)閼?yīng)用服務(wù)器170僅將媒體轉(zhuǎn)發(fā)給目標(biāo)AT。AT 2...AT N中的每一者接收經(jīng)GSK加密的呼叫媒體,并將多播驗(yàn)證和加密策略應(yīng)用于呼叫媒體(638)。如果AT 2. . . AT N未恰當(dāng)?shù)仳?yàn)證呼叫媒體,那么AT 2. .. AT N忽略所述呼叫媒體(642)。否則,如果AT 2. .. AT N恰當(dāng)?shù)仳?yàn)證了呼叫媒體,那么AT 2...AT N使用多媒體群組的GSK來對(duì)媒體進(jìn)行解密并重放經(jīng)解密的媒體(644)???30到框644接著在多播會(huì)話的持續(xù)時(shí)間內(nèi)重復(fù),或者至少只要AT 1仍然是多播會(huì)話的發(fā)言權(quán)擁有者就重復(fù)。在某一稍后的時(shí)間點(diǎn)處,AT 1確定終止多播會(huì)話并停止講話(646)。因此,AT 1 產(chǎn)生呼叫終止消息(例如,結(jié)束(END)消息)、將單播驗(yàn)證策略應(yīng)用于呼叫終止消息且接著向應(yīng)用服務(wù)器170發(fā)射呼叫終止消息。此時(shí),AT 1終止呼叫(648)。應(yīng)用服務(wù)器170接收并嘗試驗(yàn)證來自AT 1的呼叫終止消息(650)。如果呼叫終止消息未經(jīng)恰當(dāng)?shù)仳?yàn)證,那么應(yīng)用服務(wù)器170忽略所述呼叫終止消息(652)。否則,如果呼叫終止消息經(jīng)恰當(dāng)?shù)仳?yàn)證,那么應(yīng)用服務(wù)器170將所述呼叫終止消息的用多播群組的GSK驗(yàn)證的版本轉(zhuǎn)發(fā)給AT 2. ..AT N (6M),且接著終止所述呼叫(656)。AT 2. . . AT N中的每一者接收經(jīng)GSK驗(yàn)證的呼叫終止消息,并將多播驗(yàn)證策略應(yīng)用于呼叫終止消息(658)。如果AT 2··· AT N沒有恰當(dāng)?shù)仳?yàn)證呼叫終止消息,那么AT 2··· AT N忽略呼叫終止消息(662)。否則,如果AT 2. ..ATN恰當(dāng)?shù)仳?yàn)證了呼叫終止消息,那么AT 2. ..ATN終止所述呼叫(664)。在GSK被損害且/或一成員被從封閉式群組去除的情況下,如圖6中所示更新用于所述群組的GSK。如圖6中所闡釋,新的GSK僅在GSK時(shí)間之后有效。AT和應(yīng)用服務(wù)器 170為每一群組存儲(chǔ)至少兩( 個(gè)GSK ; S卩,一個(gè)當(dāng)前GSK和至少一個(gè)未來GSK。在新的未來 GSK的GSK時(shí)間變得有效時(shí),新的未來GSK代替當(dāng)前GSK,且被用于驗(yàn)證和加密/解密。如果未來GSK的時(shí)間在呼叫的中途生效,那么AT和應(yīng)用服務(wù)器170等待直到呼叫結(jié)束為止, 以用未來GSK代替當(dāng)前GSK。如所屬領(lǐng)域的技術(shù)人員將了解,盡管圖6說明呼叫發(fā)起者AT 1仍然是多播通信會(huì)話的整體的發(fā)言權(quán)擁有者的情境,但在本發(fā)明的其它實(shí)施例中,所述發(fā)言權(quán)可被釋放并轉(zhuǎn)移給另一 AT (在多播通信會(huì)話期間至少一次)。在這種情況下,在重新分配了發(fā)言權(quán)之后, 可分別針對(duì)新的發(fā)言權(quán)擁有者以及如框630到框644中所示的其相關(guān)聯(lián)的目標(biāo)AT(AT 1作為發(fā)言權(quán)擁有者,且AT 2. .. AT N作為目標(biāo)AT)大體上重復(fù)框630到框644。所屬領(lǐng)域的技術(shù)人員將了解,可使用多種不同技術(shù)和技法中的任一者來表示信息和信號(hào)。舉例來說,可通過電壓、電流、電磁波、磁場(chǎng)或磁粒子、光場(chǎng)或光粒子或其任何組合來表示可能在以上描述中通篇參考的數(shù)據(jù)、指令、命令、信息、信號(hào)、位、符號(hào)以及碼片。另外,所屬領(lǐng)域的技術(shù)人員將了解,結(jié)合本文中所揭示的實(shí)施例而描述的各種說明性邏輯塊、模塊、電路以及算法步驟可實(shí)施為電子硬件、計(jì)算機(jī)軟件或兩者的組合。為清楚地說明硬件與軟件的這種可互換性,上文已大體上在其功能性方面描述了各種說明性組件、塊、模塊、電路以及步驟。將此功能性實(shí)施為硬件還是軟件取決于特定應(yīng)用和強(qiáng)加于整個(gè)系統(tǒng)的設(shè)計(jì)約束。熟練的技術(shù)人員可針對(duì)每一特定應(yīng)用以不同方式來實(shí)施所描述的功能性,但此類實(shí)施決策不應(yīng)被解釋為會(huì)導(dǎo)致脫離本發(fā)明的范圍。結(jié)合本文所揭示的實(shí)施例而描述的各種說明性邏輯塊、模塊和電路可用經(jīng)設(shè)計(jì)以執(zhí)行本文描述的功能的通用處理器、數(shù)字信號(hào)處理器(DSP)、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門陣列(FPGA)或其它可編程邏輯裝置、離散門或晶體管邏輯、離散硬件組件或其任何組合來實(shí)施或執(zhí)行。通用處理器可以是微處理器,但在替代方案中,處理器可以是任何常規(guī)處理器、控制器、微控制器或狀態(tài)機(jī)。處理器還可實(shí)施為計(jì)算裝置的組合,例如,DSP與微處理器的組合、多個(gè)微處理器的組合、一個(gè)或一個(gè)以上微處理器與DSP核心的聯(lián)合,或任何其它此配置。結(jié)合本文中所揭示的實(shí)施例而描述的方法、序列和/或算法可直接以硬件、以由處理器執(zhí)行的軟件模塊或所述兩者的組合來體現(xiàn)。軟件模塊可駐存于RAM存儲(chǔ)器、快閃存儲(chǔ)器、ROM存儲(chǔ)器、EPROM存儲(chǔ)器、EEPROM存儲(chǔ)器、寄存器、硬盤、可裝卸盤、CD-ROM或此項(xiàng)技術(shù)中已知的任何其它形式的存儲(chǔ)媒體中。示范性存儲(chǔ)媒體耦合到所述處理器,使得所述處理器可從所述存儲(chǔ)媒體讀取信息和將信息寫入到所述存儲(chǔ)媒體。在替代方案中,存儲(chǔ)媒體可與處理器成一體式。處理器和存儲(chǔ)媒體可駐存在ASIC中。ASIC可駐存在用戶終端(例如接入終端)中。在替代方案中,處理器及存儲(chǔ)媒體可作為離散組件駐存在用戶終端中。在一個(gè)或一個(gè)以上示范性實(shí)施例中,可在硬件、軟件、固件或其任何組合中實(shí)施所描述的功能。如果在軟件中實(shí)施,那么所述功能可作為一個(gè)或一個(gè)以上指令或代碼存儲(chǔ)在計(jì)算機(jī)可讀媒體上或經(jīng)由計(jì)算機(jī)可讀媒體來傳輸。計(jì)算機(jī)可讀媒體包含計(jì)算機(jī)存儲(chǔ)媒體和通信媒體兩者,通信媒體包含促進(jìn)將計(jì)算機(jī)程序從一處傳送到另一處的任何媒體。存儲(chǔ)媒體可為可由計(jì)算機(jī)存取的任何可用媒體。作為實(shí)例而非限制,此計(jì)算機(jī)可讀媒體可包括 RAM、ROM、EEPROM、CD-ROM或其它光盤存儲(chǔ)裝置、磁盤存儲(chǔ)裝置或其它磁性存儲(chǔ)裝置,或可用于以指令或數(shù)據(jù)結(jié)構(gòu)的形式運(yùn)載或存儲(chǔ)所要程序代碼且可由計(jì)算機(jī)存取的任何其它媒體。 并且,嚴(yán)格地說,任何連接均被稱為計(jì)算機(jī)可讀媒體。舉例來說,如果使用同軸電纜、光纖纜線、雙絞線、數(shù)字訂戶線(DSL)或例如紅外線、無線電和微波等無線技術(shù)從網(wǎng)站、服務(wù)器或其它遠(yuǎn)程源來傳輸軟件,那么同軸電纜、光纖纜線、雙絞線、DSL或例如紅外線、無線電和微波等無線技術(shù)包含在媒體的定義中。在本文中使用時(shí),磁盤和光盤包含壓縮光盤(⑶)、激光光盤、光學(xué)光盤、數(shù)字多功能光盤(DVD)、軟性磁盤和藍(lán)光光盤,其中磁盤通常以磁性方式再現(xiàn)數(shù)據(jù),而光盤通過激光以光學(xué)方式再現(xiàn)數(shù)據(jù)。以上各項(xiàng)的組合也應(yīng)包含在計(jì)算機(jī)可讀媒體的范圍內(nèi)。雖然前述揭示內(nèi)容展示本發(fā)明的說明性實(shí)施例,但應(yīng)注意,在不脫離由所附權(quán)利要求書界定的本發(fā)明的范圍的情況下,可在本文中進(jìn)行各種改變和修改。根據(jù)本文所描述的本發(fā)明的實(shí)施例的方法權(quán)利要求的功能、步驟和/或動(dòng)作無需以任何特定次序執(zhí)行。此外,雖然可以單數(shù)形式來描述或主張本發(fā)明的元件,但涵蓋復(fù)數(shù)形式,除非明確規(guī)定限于單數(shù)形式。
19
權(quán)利要求
1.一種保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息的方法,所述方法包括 確定為給定多播群組更新至少一個(gè)群組會(huì)話密鑰GSK參數(shù),所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證;向所述給定多播群組的多個(gè)多播群組成員發(fā)送用于所述給定多播群組的所述至少一個(gè)GSK參數(shù)的更新可用的通知;響應(yīng)于所述通知而從所述多個(gè)多播群組成員中的給定一者接收請(qǐng)求所述經(jīng)更新的至少一個(gè)GSK參數(shù)的供應(yīng)請(qǐng)求,所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息; 產(chǎn)生所述經(jīng)更新的至少一個(gè)GSK參數(shù); 對(duì)所述經(jīng)更新的至少一個(gè)GSK參數(shù)進(jìn)行加密;以及向所述給定多播群組成員發(fā)送所述經(jīng)加密的至少一個(gè)GSK參數(shù)。
2.根據(jù)權(quán)利要求1所述的方法,其進(jìn)一步包括至少部分地基于從所述給定多播群組成員提供的所述特定信息來獲得私有加密密鑰PEK,其中所述加密步驟使用所述所獲得的PEK來對(duì)所述經(jīng)更新的至少一個(gè)GSK參數(shù)進(jìn)行加Γ t [ O
3.根據(jù)權(quán)利要求1所述的方法,其中所述至少一個(gè)GSK參數(shù)包含(i)GSK和(ii)相關(guān)聯(lián)的GSK時(shí)間。
4.根據(jù)權(quán)利要求3所述的方法,其中所述相關(guān)聯(lián)的GSK時(shí)間對(duì)應(yīng)于在所述GSK變?yōu)橛行б怨┦褂脮r(shí)的時(shí)間。
5.根據(jù)權(quán)利要求3所述的方法,其中所述供應(yīng)請(qǐng)求中的所述特定信息包含與所述給定多播群組成員相關(guān)聯(lián)的至少一個(gè)客戶端憑證以及由所述給定多播群組成員產(chǎn)生的使用過一次的客戶端數(shù)目Cnonce值。
6.根據(jù)權(quán)利要求5所述的方法,其中發(fā)送所述經(jīng)加密的至少一個(gè)GSK參數(shù)的步驟發(fā)送 (i)和(ii),且還發(fā)送(iii)所述給定多播群組的識(shí)別符以及(iv)所述Cnonce值。
7.根據(jù)權(quán)利要求6所述的方法,其中所述獲得步驟包含至少部分地基于從所述給定多播群組成員提供的所述特定信息來獲得私有加密密鑰 PEK ;以及使用所述所獲得的PEK來對(duì)所述經(jīng)更新的至少一個(gè)GSK參數(shù)進(jìn)行加密, 其中基于所述至少一個(gè)客戶端憑證和所述Cnonce值而產(chǎn)生所述PEK。
8.根據(jù)權(quán)利要求7所述的方法,其中所述獲得步驟包含向驗(yàn)證、授權(quán)和記賬AAA服務(wù)器提供所述至少一個(gè)客戶端憑證和所述Cnonce值;以及響應(yīng)于所述提供步驟而從所述AAA服務(wù)器接收所述PEK。
9.根據(jù)權(quán)利要求3所述的方法,其中在由所述相關(guān)聯(lián)的GSK時(shí)間準(zhǔn)許的低網(wǎng)絡(luò)活動(dòng)周期期間執(zhí)行所述發(fā)送通知的步驟。
10.根據(jù)權(quán)利要求1所述的方法,其中所述產(chǎn)生步驟基于(i)不與所述多個(gè)多播群組成員共享的秘密密鑰、(ii)隨機(jī)產(chǎn)生的群組種子值以及(iii)所述給定多播群組的識(shí)別符而應(yīng)用散列函數(shù)。
11.根據(jù)權(quán)利要求10所述的方法,其中所述散列函數(shù)對(duì)應(yīng)于基于散列的消息驗(yàn)證代碼HMAC-安全散列算法SHA256。
12.根據(jù)權(quán)利要求1所述的方法,其進(jìn)一步包括在涉及所述多個(gè)多播群組成員中的兩者或兩者以上的所述多播通信會(huì)話期間,基于預(yù)先建立的單播客戶端會(huì)話密鑰U-CSK來確定來自所述多播通信會(huì)話的當(dāng)前發(fā)言權(quán)擁有者的媒體是否遵從單播驗(yàn)證策略;如果所述確定步驟確定所述媒體是遵從的,那么基于所述經(jīng)更新的至少一個(gè)GSK參數(shù)而將多播驗(yàn)證和加密策略應(yīng)用于所述媒體,并將所述媒體轉(zhuǎn)發(fā)給所述多播通信會(huì)話的至少一個(gè)非發(fā)言權(quán)擁有者。
13.根據(jù)權(quán)利要求1所述的方法,其進(jìn)一步包括向經(jīng)配置以仲裁所述多播通信會(huì)話的應(yīng)用服務(wù)器發(fā)送指示用于所述給定多播群組的所述至少一個(gè)GSK參數(shù)的更新可用的另一通知。
14.根據(jù)權(quán)利要求13所述的方法,其中所述應(yīng)用服務(wù)器獨(dú)立地產(chǎn)生所述至少一個(gè)GSK參數(shù)。
15.根據(jù)權(quán)利要求14所述的方法,其中所述應(yīng)用服務(wù)器通過基于(i)不與所述多個(gè)多播群組成員共享的秘密密鑰、(ii)隨機(jī)產(chǎn)生的群組種子值以及(iii)所述給定多播群組的識(shí)別符而應(yīng)用散列函數(shù)來獨(dú)立地產(chǎn)生所述至少一個(gè)GSK參數(shù)。
16.根據(jù)權(quán)利要求15所述的方法,其中所述產(chǎn)生步驟產(chǎn)生所述至少一個(gè)GSK參數(shù)的方式大體上與所述應(yīng)用服務(wù)器獨(dú)立產(chǎn)生所述至少一個(gè)GI參數(shù)相同。
17.一種保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息的方法,所述方法包括在屬于給定多播群組的給定多播群組成員處接收用于所述給定多播群組的至少一個(gè)群組會(huì)話密鑰GSK參數(shù)的更新可用的通知,所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證;發(fā)送請(qǐng)求所述經(jīng)更新的至少一個(gè)GSK參數(shù)的供應(yīng)請(qǐng)求,所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息;以及響應(yīng)于所述供應(yīng)請(qǐng)求而接收所述經(jīng)更新的至少一個(gè)GSK參數(shù)的經(jīng)加密版本。
18.根據(jù)權(quán)利要求17所述的方法,其中根據(jù)至少部分地從與所述供應(yīng)請(qǐng)求一起發(fā)送的所述特定信息得到的私有加密密鑰PEK對(duì)所述經(jīng)更新的至少一個(gè)GSK參數(shù)進(jìn)行加密。
19.根據(jù)權(quán)利要求18所述的方法,其中從所述至少一個(gè)客戶端憑證、共享秘密以及所述Cnonce值得到所述PEK。
20.根據(jù)權(quán)利要求17所述的方法,其中所述經(jīng)更新的至少一個(gè)GSK參數(shù)包含(i)GSK和 ( )相關(guān)聯(lián)的GSK時(shí)間。
21.根據(jù)權(quán)利要求20所述的方法,其中所述相關(guān)聯(lián)的GSK時(shí)間對(duì)應(yīng)于在所述GSK變?yōu)橛行б怨┦褂脮r(shí)的時(shí)間。
22.根據(jù)權(quán)利要求20所述的方法,其中所述供應(yīng)請(qǐng)求中的所述特定信息包含與所述給定多播群組成員相關(guān)聯(lián)的至少一個(gè)客戶端憑證以及由所述給定多播群組成員產(chǎn)生的使用過一次的客戶端數(shù)目Cnonce值。
23.根據(jù)權(quán)利要求22所述的方法,其中接收經(jīng)加密的版本的步驟接收⑴所述GSK和(ii)所述相關(guān)聯(lián)的GSK時(shí)間,且還接收(iii)所述給定多播群組的識(shí)別符以及(iv)所述 Cnonce
24.根據(jù)權(quán)利要求22所述的方法,其中根據(jù)至少部分地從與所述供應(yīng)請(qǐng)求一起發(fā)送的所述特定信息得到的私有加密密鑰PEK對(duì)所述經(jīng)更新的至少一個(gè)GSK參數(shù)進(jìn)行加密,且其中從所述至少一個(gè)客戶端憑證、共享秘密以及所述Cnonce值得到所述PEK。
25.根據(jù)權(quán)利要求20所述的方法,其中在由所述相關(guān)聯(lián)的GSK時(shí)間準(zhǔn)許的低網(wǎng)絡(luò)活動(dòng)周期期間執(zhí)行所述接收通知的步驟。
26.根據(jù)權(quán)利要求17所述的方法,其中在一個(gè)或一個(gè)以上服務(wù)器處通過基于(i)不與所述給定多播群組成員共享的秘密密鑰、(ii)隨機(jī)產(chǎn)生的群組種子值以及(iii)所述給定多播的識(shí)別符而應(yīng)用散列函數(shù)來產(chǎn)生所述GSK。
27.根據(jù)權(quán)利要求沈所述的方法,其中所述散列函數(shù)對(duì)應(yīng)于基于散列的消息驗(yàn)證代碼 HMAC-安全散列算法SHA256。
28.根據(jù)權(quán)利要求17所述的方法,其進(jìn)一步包括在涉及包含所述給定多播群組成員的兩個(gè)或兩個(gè)以上多播群組成員的所述多播通信會(huì)話期間,基于所述經(jīng)更新的至少一個(gè)GSK參數(shù)而確定從當(dāng)前發(fā)言權(quán)擁有者發(fā)起并從經(jīng)配置以仲裁所述多播通信會(huì)話的應(yīng)用服務(wù)器轉(zhuǎn)發(fā)的媒體是否遵從多播驗(yàn)證和加密策略; 用所述經(jīng)更新的至少一個(gè)GSK參數(shù)來對(duì)所述媒體進(jìn)行解密;以及在所述確定步驟確定所述媒體是遵從的情況下在所述給定多播群組成員處播放所述媒體。
29.一種服務(wù)器,其經(jīng)配置以保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息,所述服務(wù)器包括用于確定為給定多播群組更新至少一個(gè)群組會(huì)話密鑰GSK參數(shù)的裝置,所述至少一個(gè) GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證;用于向所述給定多播群組的多個(gè)多播群組成員發(fā)送用于所述給定多播群組的所述至少一個(gè)GSK參數(shù)的更新可用的通知的裝置;用于響應(yīng)于所述通知而從所述多個(gè)多播群組成員中的給定一者接收請(qǐng)求所述經(jīng)更新的至少一個(gè)GSK參數(shù)的供應(yīng)請(qǐng)求的裝置,所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息;用于產(chǎn)生所述經(jīng)更新的至少一個(gè)GSK參數(shù)的裝置;用于對(duì)所述經(jīng)更新的至少一個(gè)GSK參數(shù)進(jìn)行加密的裝置;以及用于向所述給定多播群組成員發(fā)送所述經(jīng)加密的至少一個(gè)GSK參數(shù)的裝置。
30.一種通信裝置,其經(jīng)配置以保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息, 所述通信裝置包括用于在屬于給定多播群組的給定多播群組成員處接收用于所述給定多播群組的至少一個(gè)群組會(huì)話密鑰GSK參數(shù)的更新可用的通知的裝置,所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證;用于發(fā)送請(qǐng)求所述經(jīng)更新的至少一個(gè)GSK參數(shù)的供應(yīng)請(qǐng)求的裝置,所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息;以及用于響應(yīng)于所述供應(yīng)請(qǐng)求而接收所述經(jīng)更新的至少一個(gè)GSK參數(shù)的經(jīng)加密版本的裝置。
31.一種服務(wù)器,其經(jīng)配置以保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息,所述服務(wù)器包括經(jīng)配置以確定為給定多播群組更新至少一個(gè)群組會(huì)話密鑰GSK參數(shù)的邏輯,所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證;經(jīng)配置以向所述給定多播群組的多個(gè)多播群組成員發(fā)送用于所述給定多播群組的所述至少一個(gè)GSK參數(shù)的更新可用的通知的邏輯;經(jīng)配置以響應(yīng)于所述通知而從所述多個(gè)多播群組成員中的給定一者接收請(qǐng)求所述經(jīng)更新的至少一個(gè)GSK參數(shù)的供應(yīng)請(qǐng)求的邏輯,所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息;經(jīng)配置以產(chǎn)生所述經(jīng)更新的至少一個(gè)GSK參數(shù)的邏輯;經(jīng)配置以對(duì)所述經(jīng)更新的至少一個(gè)GSK參數(shù)進(jìn)行加密的邏輯;以及經(jīng)配置以向所述給定多播群組成員發(fā)送所述經(jīng)加密的至少一個(gè)GSK參數(shù)的邏輯。
32.—種通信裝置,其經(jīng)配置以保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息, 所述通信裝置包括經(jīng)配置以在屬于給定多播群組的給定多播群組成員處接收用于所述給定多播群組的至少一個(gè)群組會(huì)話密鑰GSK參數(shù)的更新可用的通知的邏輯,所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證;經(jīng)配置以發(fā)送請(qǐng)求所述經(jīng)更新的至少一個(gè)GSK參數(shù)的供應(yīng)請(qǐng)求的邏輯,所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息;以及經(jīng)配置以響應(yīng)于所述供應(yīng)請(qǐng)求而接收所述經(jīng)更新的至少一個(gè)GSK參數(shù)的經(jīng)加密版本的邏輯。
33.一種非瞬時(shí)計(jì)算機(jī)可讀存儲(chǔ)媒體,其含有存儲(chǔ)在其上的指令,所述指令在由經(jīng)配置以保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息的服務(wù)器執(zhí)行時(shí)致使所述服務(wù)器執(zhí)行若干操作,所述指令包括用以確定為給定多播群組更新至少一個(gè)群組會(huì)話密鑰GSK參數(shù)的程序代碼,所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證;用以向所述給定多播群組的多個(gè)多播群組成員發(fā)送用于所述給定多播群組的所述至少一個(gè)GSK參數(shù)的更新可用的通知的程序代碼;用以響應(yīng)于所述通知而從所述多個(gè)多播群組成員中的給定一者接收請(qǐng)求所述經(jīng)更新的至少一個(gè)GSK參數(shù)的供應(yīng)請(qǐng)求的程序代碼,所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息;用以產(chǎn)生所述經(jīng)更新的至少一個(gè)GSK參數(shù)的程序代碼; 用以對(duì)所述經(jīng)更新的至少一個(gè)GSK參數(shù)進(jìn)行加密的程序代碼;以及用以向所述給定多播群組成員發(fā)送所述經(jīng)加密的至少一個(gè)GSK參數(shù)的程序代碼。
34. 一種非瞬時(shí)計(jì)算機(jī)可讀存儲(chǔ)媒體,其含有存儲(chǔ)在其上的指令,所述指令在由經(jīng)配置以保護(hù)與無線通信系統(tǒng)內(nèi)的多播通信會(huì)話相關(guān)聯(lián)的消息的通信裝置執(zhí)行時(shí)致使所述通信裝置執(zhí)行若干操作,所述指令包括用以在屬于給定多播群組的給定多播群組成員處接收用于所述給定多播群組的至少一個(gè)群組會(huì)話密鑰GSK參數(shù)的更新可用的通知的程序代碼,所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證;用以發(fā)送請(qǐng)求所述經(jīng)更新的至少一個(gè)GSK參數(shù)的供應(yīng)請(qǐng)求的程序代碼,所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息;以及用以響應(yīng)于所述供應(yīng)請(qǐng)求而接收所述經(jīng)更新的至少一個(gè)GSK參數(shù)的經(jīng)加密版本的程序代碼。
全文摘要
在一實(shí)施例中,服務(wù)器確定為給定多播群組更新至少一個(gè)群組會(huì)話密鑰GSK參數(shù),所述至少一個(gè)GSK參數(shù)經(jīng)配置以準(zhǔn)許在多播通信會(huì)話期間對(duì)在所述給定多播群組的若干個(gè)成員之間交換的多播消息接發(fā)進(jìn)行加密、解密和/或驗(yàn)證。所述服務(wù)器向所述給定多播群組的多個(gè)多播群組成員發(fā)送用于所述給定多播群組的所述至少一個(gè)GSK參數(shù)的更新可用的通知。所述多播群組成員中的至少一者接收所述通知,并發(fā)送供應(yīng)請(qǐng)求以檢索所述經(jīng)更新的至少一個(gè)GSK參數(shù),所述供應(yīng)請(qǐng)求包含所述給定多播群組成員所特定的信息。所述服務(wù)器產(chǎn)生所述經(jīng)更新的至少一個(gè)GSK參數(shù)并對(duì)其進(jìn)行加密,且向所述至少一個(gè)多播群組成員發(fā)送所述經(jīng)加密的至少一個(gè)GSK參數(shù)。
文檔編號(hào)H04L29/06GK102379134SQ201080015112
公開日2012年3月14日 申請(qǐng)日期2010年4月2日 優(yōu)先權(quán)日2009年4月3日
發(fā)明者亞歷山大·甘特曼, 哈姆西尼·巴斯卡拉恩, 基蘭庫(kù)馬爾·安禪, 帕特里克·J·休斯 申請(qǐng)人:高通股份有限公司