专利名称:基于mbms安全机制的bcast服务的业务保护和内容保护系统的利记博彩app
技术领域:
本发明涉及第三代移动通信(3rdG)技术,尤其指基于MBMS(MultimediaBroadcast/Multicast Service,多媒体广播/多播业务)安全机制的BCAST(广播)服务的业务和内容保护系统。
背景技术:
对于基于MBMS安全机制的BCAST(广播)服务,无论用户选择哪种使用规则(如,仅播一次“Play Once”、按次计费“Pay-Per-View”、保存备用“saved for future use”),对于以明文方式存在的BCAST数据或内容只可能存在两种可能的操作方式,一种可能的操作方式是BCAST服务消费结束后立即删除BCAST数据,另一种可能的操作方式是将BCAST数据(以DCF或PDCF文件格式)保存下来以备使用。对于前者(即消费结束后立即删除数据的方式),对BCAST服务使用只需要进行业务保护。而对于后者,对BCAST服务使用除了在传输层上进行业务保护后还需要进行内容保护,即用户先以业务保护的方式获得BCAST数据(明文方式)并进行消费,消费完后还得对BCAST数据进行内容保护。
对于BCAST服务在传输层上的业务保护,MBMS安全机制[3GPPTS33.246]标准已经给出了一个解决问题的方案。具体如下在用户和广播多播业务中心(BM-SC)进行成功的相互认证后,BM-SC用MBMS传输加密密钥加密BCAST服务数据并发送给用户,同时还会通过安全的信道将MBMS传输加密密钥发送给用户;用户在收到加密过以密文形式存在的BCAST服务数据和MBMS传输加密密钥后,用MBMS传输加密密钥解密密文数据;然后用户就能享受广播服务了。
因此,现有的MBMS安全机制进行的业务保护只能保证数据在传输时的安全,但一旦用户获得解密的数据后,用户就可以任意操作数据了,比如录制、转发等额外的操作行为,这种超出原协商范围的操作行为,由于缺乏监视,造成记录空白,而不能使服务器端的计费中心对用户这些额外操作行为进行有效计费。
另外,现有的MBMS安全机制也不能为BCAST服务提供内容保护。
发明内容
本发明旨在为运营商提供一种具有良好性能的基于MBMS安全机制的BCAST服务的业务和内容保护技术,使MBMS安全机制与现有相比,不仅具有更优的BCAST服务的业务保护能力,同时兼具提供内容保护的能力。
本发明之一为用户设备。它包括用户设备本体,其特征在于在所述用户设备本体中增设两个相连的使用规则监视器和内容保护模块,其中使用规则监视器,用于解密使用规则对象,并在用户使用BCAST服务过程中,监视用户是否违反原协商的使用规则,同时监视是否需要保存BCAST数据,对监视结果作相应处理,此外还用于根据使用规则对象中密钥材料产生内容保护密钥;内容保护模块,用于使用内容保护密钥加密BCAST数据,并录制或保存BCAST数据。
在上述的用户设备中,监视器是使用来自于MBMS安全机制重用的MBMS用户密钥进行所述使用规则对象的解密。
在上述的用户设备中,使用规则监视器监视结果为需要保存BCAST数据时,则所述相应处理为在所述内容保护模块中先使用内容保护密钥对所需要保存的数据进行加密然后再保存,否则在用户消费完BCAST服务后立即删除数据。
在上述的用户设备中,使用规则监视器监视结果为用户通过违反原协商的使用规则并采纳新的使用规则时,则所述相应处理为记录该次新的使用规则,并将用户额外的使用规则操作信息发送到提供BCSAT服务的相关网络设备中。
本发明之二为提供BCSAT服务的相关网络设备。它包括该设备本体,其特征在于在所述设备本体内设有一使用规则功能模块,该使用规则功能模块用于产生使用规则对象,加密使用规则对象,将使用规则对象发送给用户设备。
在上述的相关网络设备中,使用规则功能模块是使用来自于MBMS安全机制重用的MBMS用户密钥进行所述使用规则对象的加密。
在上述的相关网络设备中,使用规则对象包括使用规则、内容保护规则、用于产生/推导出内容保护密钥的密钥材料和若干表征信息的储存体。
本发明之三为用户设备提供BCSAT服务的相关业务保护和内容保护方法。包括下列步骤用来自于MBMS安全机制重用的MBMS用户密钥解密使用规则对象步骤;监视用户是否违反原协商的使用规则和监视是否需要保存BCAST数据步骤;由使用规则对象中密钥材料产生内容保护密钥步骤;使用内容保护密钥加密BCAST数据步骤;以及,录制或保存BCAST数据步骤。
在上述的方法中,当监视结果为需要保存BCAST数据时,则在所述内容保护模块中先使用内容保护密钥对所需要保存的数据进行加密然后再保存,否则在用户消费完BCAST服务后立即删除数据。
在上述的方法中,当监视结果为用户通过违反原协商的使用规则并采纳新的使用规则时,则记录该次新的使用规则,并将用户额外或所选择的新的使用规则操作信息发送到提供BCSAT服务的相关网络设备中。
本发明之四为网络设备提供BCSAT服务的相关业务保护和内容保护方法。包括下列步骤产生使用规则对象步骤;使用来自于MBMS安全机制重用的MBMS用户密钥加密使用规则对象步骤;以及,将使用规则对象发送给用户设备步骤。
在上述的方法中,使用规则对象包括使用规则、内容保护规则、用于产生/推导出内容保护密钥的密钥材料和若干表征信息的储存体。
本发明之五为密钥管理模块。它包括MBMS安全机制重用的对于使用规则对象加密/解密的MBMS用户密钥和对于BCAST数据加密/解密的内容加密密钥。
本发明之六为基于MBMS安全机制的BCAST服务的业务保护和内容保护系统。它包括若干用户设备、一提供BCSAT服务的相关网络设备和一分别与所述用户设备和相关网络设备相连的密钥管理模块,其特征在于一)每一用户设备包括两个相连的使用规则监视器和内容保护模块,其中使用规则监视器,用于解密使用规则对象,并在用户使用BCAST服务过程中,监视用户是否违反原协商的使用规则,同时监视是否需要保存BCAST数据,对监视结果作相应处理,此外还用于根据使用规则对象中密钥材料产生内容保护密钥;内容保护模块,用于使用内容保护密钥加密BCAST数据,并录制或保存BCAST数据;二)在所述提供BCSAT服务的相关网络设备包括一使用规则功能模块,该使用规则功能模块用于产生使用规则对象,加密使用规则对象,将使用规则对象发送给用户设备;三)密钥管理模块包括MBMS安全机制重用的对于使用规则对象加密/解密的MBMS用户密钥和对于BCAST数据加密/解密的内容加密密钥。
采用了上述的技术解决方案,本发明基于现有的MBMS提供的数据传输保护,在用户安全地得到BCAST服务的数据后,用户仍然不能随意操作数据,因为使用规则监视器会监控用户的操作行为,并会对用户额外的操作行为(即原来没协商的操作行为)进行记录,并会发送到提供BCSAT服务的相关网络设备(服务器端),让服务器端的计费中心对用户的额外操作行为进行正确计费。因此,本发明在重用现有MBMS安全机制的基础上,不仅比现有的MBMS安全机制能提供更优的BCAST服务的业务保护能力,更重要的是兼具提供内容保护的能力,以使对现有3G网络基础设施改动最小的情况下,能快速部署并提供安全可信的BCAST服务。
图1是本发明基于MBMS安全机制的BCAST服务的业务和内容保护系统示意图。
具体实施例方式
本发明的主旨是在不改变现有的MBMS安全机制,也即对现有的MBMS安全[3GPP TS33.246 v630]规范不产生影响的前提下,在现有的MBMS安全机制上增加一些功能模块,使得在重用现有的MBMS安全进行更优业务保护的同时也能进行内容保护。
一、本发明主要内容1)在进行BCAST服务前,用户应与提供BCSAT服务的相关网络设备(服务器)的使用规则功能模块(Usage Rules Function,URF)以交互的方式协商本次应用的使用规则(如,仅播一次“Play Once”、按次计费“Pay-Per-View”、保存备用“saved for future use”),协商的结果是为该用户形成一个使用规则对象(Usage Rules Object,URO)
2)在进行BCAST服务前,UE(用户设备,User Equipment)的URM使用规则监视器(Usage Rules Monitor,)将监视该次BCAST服务结束后是否需要对BCAST数据进行保存。如果需要保存BCAST数据,则在保存数据前,先根据使用规则对象URO的使用规则在UE的内容保护模块(Content ProtectionFunction,CPF)中进行加密然后再进行保存,否则使用规则监视器URM需要确保BCAST服务结束后立即删除BCAST数据。
3)在进行BCAST服务中,UE中的使用规则监视器URM将监视用户是否违反原来所协商的使用规则对象URO中的使用规则。一旦发现用户违反了原来所协商的使用规则(如原来选择的是仅播一次,突然想进行录制/保存),使用规则监视器URM提醒该用户,是否需要继续新的操作a)如果用户放弃录制/保存的新操作,则用户回到原来仅播一次的使用规则继续享用BCAST服务,在用户使用完后,使用规则监视器需要确保在用户使用完BCAST服务后,立即删除BCAST数据;b)如果用户选择继续新的操作—录制/保存,使用规则监视器URM会记录该次新操作的信息。经过一段时间后,使用规则监视器URM会将该时间段内该用户所有这样的额外操作信息(即原来没协商的使用规则)发送到服务器端,让服务器端的计费中心对用户的这些额外操作行为进行正确计费。例如,用户本来只想选择仅播一次的使用规则,但在使用过程中发现需要进行录制/保存,使用规则监视器URM会记录该次录制的行为,并生成内容保护密钥CPK发送给内容保护模块CPF,然后内容保护模块CPF对数据进行加密和录制/保存。经过一段时间后,使用规则监视器URM会将该时间段内该用户所有这样的额外操作信息(即原来没协商的使用规则)发送到服务器端,让服务器的计费中心对用户的这些额外操作行为进行正确计费。
二、本发明系统体系结构在本发明中,使用规则主要是指在进行BCAST服务时使用的是何种方式,如仅播一次“Play Once”、按次计费“Pay-Per-View”、保存备用“saved forfuture use”等。
基于目前现有的MBMS安全体系结构,为了能进行内容保护,所需要增加的功能模块如下
1.UE(用户设备,User Equipment)中增加使用规则监视器(Usage RulesMonitor,URM)2.UE中增加内容保护模块(Content Protection Function,CPF)3.在提供广播服务的相关网络设备中(如广播多播业务中心BM-SC)增加使用规则功能模块(Usage Rules Function,URF)如图1所示,在现有MBMS安全体系结构上增加以上功能模块后,能进行BCAST服务的业务保护和内容保护。包括用户设备(UE)1、自举服务模块(Bootstrapping Server Function,BSF)2、归属客户服务器(Home Subscriber System,HSS)3和提供BCSAT服务的相关网络设备4,其中提供BCSAT服务的相关网络设备4可采用广播多播业务中心(Broadcast-Multicast Service Centre,BM-SC),其功能特征请见MBMS安全[3GPP TS33.246 v640]。有关使用规则监视器(URM)11、内容保护模块(CPF)12和使用规则功能模块(URF)41的主要功能如下1)使用规则监视器(URM)的主要功能如下(1)使用MBMS用户密钥(MBMS User Key,MUK)解密使用规则对象URO,且MUK来自于MBMS安全的重用(2)在用户使用BCAST服务过程中,监视用户是否违反原来协商的使用规则(3)在用户使用BCAST服务过程中,如果用户需要违反原来协商的使用规则并继续新的使用规则a)记录该次新的使用规则b)将用户额外的使用规则操作信息发送到提供BCSAT服务的服务器端(4)监视是否需要保存BCAST数据。如果需要,则在内容保护模块中先使用内容保护密钥(Content Protection Key,CPK)对所需要保存的数据进行加密然后再保存,否则就在用户消费完BCAST服务后立即删除数据。监视是否需要保存BCAST数据可以通过以下方式a)在获得BCAST服务前,通过BCAST服务的service guide(服务指南)中获得,或者b)在获得BCAST服务时,通过短期密钥传送层(Short Term Key DeliveryLayer)的传输密钥消息(traffic key message)中的“接收后保存”参数“protection_after_reception”的值获得,请参见目前OMA(Open Mobile Alliance)有关BCAST服务的业务和内容保护最近的相关内容“OMA-TS-BCAST_SvcCntProtection-V1_0-20051020-D”。
(5)根据使用规则对象URO中密钥材料产生内容保护密钥CPK2)内容保护模块(CPF)的主要功能如下(1)使用内容保护密钥CPK加密BCAST数据(2)以DCF(DRM Content Format)或PDCF(Packetized DRM Content Format)文件格式录制或保存BCAST数据3)使用规则功能模块(URF)的主要功能如下(1)产生使用规则对象(URO)(2)使用MBMS用户密钥(MUK)加密使用规则对象(URO)(3)将使用规则对象(URO)发送给用户设备(UE)4)使用规则对象(URO)主要包括(1)使用规则,如仅播一次“Play Once”、按次计费“Pay-Per-View”、保存备用“saved for future use”等(2)内容保护规则(即BCAST数据的录制或保存),例如,如果用户的使用规则选择为仅播一次“Play Once”,则BCAST数据在消费完后没必要进行录制或保存,如果用户的使用规则选择为保存下来以后使用“saved for futureuse”,则BCAST数据需要录制或保存(3)用于产生/推导出内容保护密钥(即数据加密密钥)的密钥材料,如BCAST用户的IMPI(IP Multimedia Private Identity IP多媒体私有身份)、内容提供商的身份,等(4)一些重要信息(如密钥材料、使用规则信息)的存储,如果智能卡(即SIM卡、UICC卡)可用则这些重要数据存于智能卡中,如果智能卡不可用则这些重要数据存于移动设备(Mobile Equipment,ME)中三、使用业务保护的BCAST服务对于类似仅播一次“Play Once”的使用规则,BCAST服务只需要业务保护,而且MBMS安全已经提供传输加密保护即业务保护。使用规则监视器URM只需要监视用户在使用BCAST服务时是否违反他原来协商的使用规则,并且确保用户在使用完BCAST服务后应立即删除BCAST数据。
在只需要进行业务保护的场景中,如下操作应执行(不一定要按照如下操作次序)1)用户将本次BCAST服务的使用规则请求(如仅播一次“Play Once”)提交给内容提供商(Content Provider,CP),内容提供商CP将用户的使用规则转发给提供BCAST服务相关网络设备中的使用规则功能模块URF2)用户和广播多播业务中心BM-SC进行相互认证3)待用户和广播多播业务中心BM-SC进行相互认证成功后,使用规则功能模块URF将生成使用规则对象URO,URF使用MBMS用户密钥MUK加密URO并发送给用户设备UE4)基于MBMS安全机制,用户设备UE将从内容提供商CP获得经过业务保护(即传输层加密)的加密过的BCAST数据5)待使用规则监视器URM使用MBMS用户密钥MUK解密使用规则对象URO后,并待BCAST数据被MTK(MBMS传输密钥,MBMS Traffic Key,来自MBMS安全机制的重用)解密后,用户就能在URM的监视下根据原来协商的使用规则来消费BCAST数据。URM还需要保证一旦用户使用完BCAST服务,BCAST数据必须立即删除6)如果用户在使用BCAST服务中选择了一个新的操作(即新的使用规则,原来没协商过的使用规则),使用规则监视器URM会记录该次新操作的信息。经过一段时间后,使用规则监视器URM会将该时间段内该用户所有这样的额外操作信息(即原来没协商的使用规则)发送到服务器端,让服务器端的计费中心对用户的这些额外操作行为进行正确计费。例如,用户本来只想选择仅播一次的使用规则,但在使用过程中发现需要进行录制/保存,使用规则监视器URM会记录该次录制的行为,并生成内容保护密钥CPK发送给内容保护模块CPF,然后内容保护模块CPF对数据进行加密和录制/保存。经过一段时间后,使用规则监视器URM会将该时间段内该用户所有这样的额外操作信息(即原来没协商的使用规则)发送到服务器端,让服务器的计费中心对用户的这些额外操作行为进行正确计费。
四、使用内容保护的BCAST服务对于类似保存下来将来使用“saved for future use”的使用规则,必须对BCAST服务进行内容保护。但是MBMS安全只能提供业务保护。为了能进行内容保护,还需要在用户设备UE中增加内容保护模块CPF。使用规则监视器URM需要监视用户在使用BCAST服务时是否违反他原来协商的使用规则,还需要确保在进行录制或保存BCAST数据之前对BCAST数据使用内容加密密钥CPK进行加密。
在需要进行内容保护的场景中,如下操作应执行(不一定要按照如下操作次序)1)用户将本次BCAST服务的使用规则请求(如仅播一次“Play Once”)提交给内容提供商(Content Provider,CP),内容提供商CP将用户的使用规则转发给提供BCAST服务相关网络设备中的使用规则功能模块URF2)用户和广播多播业务中心BM-SC进行相互认证3)待用户和广播多播业务中心BM-SC进行相互认证成功后,使用规则功能模块URF将生成使用规则对象URO,URF使用MBMS用户密钥MUK加密URO并发送给用户设备UE4)基于MBMS安全机制,用户设备UE将从内容提供商CP获得经过业务保护(即传输层加密)的加密过的BCAST数据5)待使用规则监视器URM使用MBMS用户密钥MUK解密使用规则对象URO后,并待BCAST数据被MTK(MBMS传输密钥,MBMS Traffic Key,来自MBMS安全机制的重用)解密后,用户就能在URM的监视下根据原来协商的使用规则来消费BCAST数据。
6)在进行BCAST服务后,内容保护模块CPF先对BCAST数据使用内容加密密钥CPK进行加密,然后再录制或保存BCAST数据7)如果用户在使用BCAST服务中选择了一个新的操作(即新的使用规则,原来没协商过的使用规则),使用规则监视器URM会记录该次新操作的信息。经过一段时间后,使用规则监视器URM会将该时间段内该用户所有这样的额外操作信息(即原来没协商的使用规则)发送到服务器端,让服务器端的计费中心对用户的这些额外操作行为进行正确计费。
五、密钥管理在图1中,基于MBMS安全体系结构,只增加了一个密钥即内容加密密钥CPK,用于内容保护模块CPF中的BCAST数据加密/解密。
对于使用规则对象URO加密/解密密钥MUK,是重用MBMS安全中的MUK。有关MUK的管理请见MBMS安全[3GPP TS33.246 v640]。
内容加密密钥CPK是内容保护模块CPF用于对BCAST数据的加密/解密。为了能生成CPK,使用规则监视器URM需要从智能卡或移动设备ME中取密钥材料(见URO的功能特征),然后生成CPK。然而密钥材料与用户个人的身份信息相关(如IMPI),所以每个用户在加密保存BCAST数据时都有各自的CPK。
内容保护的加密算法可采用AES-CBC模式(Advanced Encryption Standard,高级加密算法规范)[FIPS197],密钥长度为128位。
以上实施例仅供说明本发明之用,而非对本发明保护范围的限制。有关本技术领域的技术人员,在不脱离本发明的精神和范围的情况下,还可以作出各种变换或变型,而所有等同的技术方案也应归属在本发明保护的范畴之内,由各权利要求所限定。
权利要求
1.一种用户设备,包括用户设备本体,其特征在于在所述用户设备本体中增设两个相连的使用规则监视器和内容保护模块,其中使用规则监视器,用于解密使用规则对象,并在用户使用BCAST服务过程中,监视用户是否违反原协商的使用规则,同时监视是否需要保存BCAST数据,对监视结果作相应处理,此外还用于根据使用规则对象中密钥材料产生内容保护密钥;内容保护模块,用于使用内容保护密钥加密BCAST数据,并录制或保存BCAST数据。
2.根据权利要求1所述的用户设备,其特征在于所述监视器是使用来自于MBMS安全机制重用的MBMS用户密钥进行所述使用规则对象的解密。
3.根据权利要求1或2所述的用户设备,其特征在于所述使用规则监视器监视结果为需要保存BCAST数据时,则所述相应处理为在所述内容保护模块中先使用内容保护密钥对所需要保存的数据进行加密然后再保存,否则在用户消费完BCAST服务后立即删除数据。
4.根据权利要求1或2所述的用户设备,其特征在于所述使用规则监视器监视结果为用户通过违反原协商的使用规则并采纳新的使用规则时,则所述相应处理为记录该次新的使用规则,并将用户额外的使用规则操作信息发送到提供BCSAT服务的相关网络设备中。
5.一种提供BCSAT服务的相关网络设备,包括该设备本体,其特征在于在所述设备本体内设有一使用规则功能模块,该使用规则功能模块用于产生使用规则对象,加密使用规则对象,将使用规则对象发送给用户设备。
6.根据权利要求5所述的相关网络设备,其特征在于所述使用规则功能模块是使用来自于MBMS安全机制重用的MBMS用户密钥进行所述使用规则对象的加密。
7.根据权利要求5或6所述的相关网络设备,其特征在于所述使用规则对象包括使用规则、内容保护规则、用于产生/推导出内容保护密钥的密钥材料和若干表征信息的储存体。
8.一种用户设备提供BCSAT服务的相关业务保护和内容保护方法,包括下列步骤用来自于MBMS安全机制重用的MBMS用户密钥解密使用规则对象步骤;监视用户是否违反原协商的使用规则和监视是否需要保存BCAST数据步骤;由使用规则对象中密钥材料产生内容保护密钥步骤;使用内容保护密钥加密BCAST数据步骤;以及录制或保存BCAST数据步骤。
9.根据权利要求8所述的方法,其特征在于当监视结果为需要保存BCAST数据时,则在所述内容保护模块中先使用内容保护密钥对所需要保存的数据进行加密然后再保存,否则在用户消费完BCAST服务后立即删除数据。
10.根据权利要求8所述的方法,其特征在于当监视结果为用户通过违反原协商的使用规则并采纳新的使用规则时,则记录该次新的使用规则,并将用户额外或所选择的新的使用规则操作信息发送到提供BCSAT服务的相关网络设备中。
11.一种网络设备提供BCSAT服务的相关业务保护和内容保护方法,包括下列步骤产生使用规则对象步骤;使用来自于MBMS安全机制重用的MBMS用户密钥加密使用规则对象步骤;以及将使用规则对象发送给用户设备步骤。
12.根据权利要求11所述的方法,其特征在于所述使用规则对象包括使用规则、内容保护规则、用于产生/推导出内容保护密钥的密钥材料和若干表征信息的储存体。
13.一种密钥管理模块,其特征在于包括MBMS安全机制重用的对于使用规则对象加密/解密的MBMS用户密钥和对于BCAST数据加密/解密的内容加密密钥。
14.一种基于MBMS安全机制的BCAST服务的业务保护和内容保护系统,包括若干用户设备、一提供BCSAT服务的相关网络设备和一分别与所述用户设备和相关网络设备相连的密钥管理模块,其特征在于一)每一用户设备包括两个相连的使用规则监视器和内容保护模块,其中使用规则监视器,用于解密使用规则对象,并在用户使用BCAST服务过程中,监视用户是否违反原协商的使用规则,同时监视是否需要保存BCAST数据,对监视结果作相应处理,此外还用于根据使用规则对象中密钥材料产生内容保护密钥;内容保护模块,用于使用内容保护密钥加密BCAST数据,并录制或保存BCAST数据;二)在所述提供BCSAT服务的相关网络设备包括一使用规则功能模块,该使用规则功能模块用于产生使用规则对象,加密使用规则对象,将使用规则对象发送给用户设备;三)密钥管理模块包括MBMS安全机制重用的对于使用规则对象加密/解密的MBMS用户密钥和对于BCAST数据加密/解密的内容加密密钥。
全文摘要
本发明涉及基于MBMS安全机制的BCAST服务的业务保护和内容保护技术,主旨是在现有的MBMS安全机制上增加使用规则监视器、内容保护模块和使用规则功能模块,使得在重用现有的MBMS安全进行更优业务保护的同时也能进行内容保护。本发明基于现有的MBMS提供的数据传输保护,在用户安全地得到BCAST服务的数据后,用户仍然不能随意操作数据,因为使用规则监视器会监控用户的操作行为,并会对用户额外的操作行为进行记录,通过服务器端的计费中心对此进行正确计费。因此,本发明在重用现有MBMS安全机制的基础上,不仅比现有的MBMS安全机制能提供更优的BCAST服务的业务保护能力,更重要的是兼具提供内容保护的能力,以使对现有3G网络基础设施改动最小的情况下,能快速部署并提供安全可信的BCAST服务。
文档编号H04W4/06GK1964524SQ200510110320
公开日2007年5月16日 申请日期2005年11月11日 优先权日2005年11月11日
发明者胡志远, 骆志刚 申请人:上海贝尔阿尔卡特股份有限公司