2024年6月6日发(作者:)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.X
(22)申请日 2004.09.02
(71)申请人 高通股份有限公司
地址 美国加利福尼亚州
(72)发明人 J·森普尔 G·G·罗斯
(74)专利代理机构 北京纪凯知识产权代理有限公司
代理人 沙捷
(51)
H04L9/08
权利要求说明书 说明书 幅图
(10)申请公布号 CN 1868162 A
(43)申请公布日 2006.11.22
(54)发明名称
向通信系统中的广播多播通信提供
已验证询问的方法和设备
(57)摘要
本发明公开了在多播-广播-多媒
体系统中安全生成用于观看信息内容的短
期密钥SK的方法和设备。只有当用来生
成短期密钥的信息源可以被验证时,位于
用户设备(UE)的存储器模块生成短期密
钥。短期密钥可以由广播接入密钥(NAK)
或BAK的变型和附有消息验证码(MAC)的
变化值生成。还可以通过使用私有密钥,
以及短期密钥(SK)管理器使用数字签名把
相应的公用密钥分配给设置在用户设备
(UE)中的存储器,来生成短期密钥(SK)。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1、一种方法,包括:
接收第一值和第一消息验证码;
通过使用存储器中存储的第二值对已接收的第一值运行散列函数,生成作为第一值
的函数的第二消息验证码;
比较所述第二消息验证码与已接收的第一消息验证码;和
如果所述第二消息验证码等于所述第一消息验证码,使用所述第一值和第二值算出
一个密钥。
2、根据权利要求1所述的方法,其中所述第一值由密钥管理器确定。
3、根据权利要求1所述的方法,其中所述第一值包括随机数、序号和时间戳之一。
4、根据权利要求1所述的方法,其中建立消息验证码,包括散列函数、安全散列
算法1(SHA-1)和Rivest散列函数MD-5之一。
5、根据权利要求1所述的方法,还包括把已计算的密钥发送给移动设备。
6、一种在通信系统中获得短期密钥的方法,所述方法包括以下步骤:
接收第一值和由第一密钥形成的第一数字签名;
使用对所述第一密钥的签名方案和第二值,验证所述第一数字签名,其中所述第二
值被存储在第一存储器中,签名方案被存储在第一存储器中;
确定所述第一数字签名的源;和
如果所述第一数字签名被确定为由信赖的源生成,则使用所述第一值和第二值算出
短期密钥。
7、一种利用第一协议在通信系统中获得加密密钥的方法,所述方法包括以下步骤:
接收分组索引值和第一消息验证码;
通过使用存储器中存储的第二值对分组索引值运行散列函数,利用分组索引值生成
第二消息验证码;
将所述第二消息验证码与所述第一消息验证码进行比较;和
如果所述第二消息验证码等于所述第一消息验证码,则利用所述分组索引值和所述
第二值算出加密密钥。
8、根据权利要求7所述的方法,其中所述第一协议是安全实时传输协议(SRTP)。
9、根据权利要求7所述的方法,其中所述第一值包括随机数、序号和时间戳之一。
10、根据权利要求7所述的方法,其中所述第二值包括公用密钥和主密钥之一。
11、根据权利要求7所述的方法,其中建立消息验证码,包括散列函数、安全散列
算法1(SHA-1)和Rivest散列函数MD-5之一。
12、根据权利要求7所述的方法,还包括把所述加密密钥发送给移动设备。
13、一种利用第一协议在通信系统中获得加密密钥的方法,所述方法包括以下步骤:
接收分组索引值和由第一密钥形成的第一数字签名;
使用对第一密钥的签名方案和第二值,验证第一数字签名,其中所述第二值被存储
在第一存储器中,所述签名方案被存储在所述第一存储器中;
确定所述数字签名的源;和
如果所述第一数字签名被确定为由信赖的源生成,则使用所述分组索引值和所述第
二值算出加密密钥。
14、一种获得短期密钥的移动台设备,包括:
用于接收第一值和第一消息验证码的装置;
用于通过使用存储器中存储的第二值对第一值运行散列函数,利用第一值生成第二
消息验证码的装置;
用于比较所述第二消息验证码与所述第一消息验证码的装置;和
用于如果所述第二消息验证码等于所述第一消息验证码,则使用所述第一值和所述
第二值算出加密密钥的装置。
15、根据权利要求14所述的方法,其中所述第一值包括随机数、序号和时间戳之
一。
16、根据权利要求14所述的方法,其中建立消息验证码,包括散列函数、安全散
列算法1(SHA-1)和Rivest散列函数MD-5之一。
17、根据权利要求14所述的设备,还包括把算出的密钥发送给移动设备。
18、一种利用第一协议获得加密密钥的移动台设备,包括:
用于接收分组索引值和第一消息验证码的装置;
用于通过使用第二值对分组索引值运行散列函数,生成分组索引值的第二消息验证
码的装置;
用于将所述第二消息验证码与所述第一消息验证码进行比较的装置;和
用于如果生成的消息验证码等于己接收的消息验证码,则利用分组索引值和第二值
算出加密密钥的装置。
19、根据权利要求18所述的设备,其中所述第一协议是安全实时传输协议(SRTP)。
20、根据权利要求18所述的设备,其中所述第一值包括随机数、序号和时间戳之
一。
21、根据权利要求18所述的设备,其中建立消息验证码,包括散列函数、安全散
列算法1(SHA-1)和Rivest散列函数MD-5之一。
22、根据权利要求18所述的设备,其中所述第二值是主密钥。
23、根据权利要求18所述的设备,还包括把所述加密密钥发送给移动设备。
24、一种计算机可读媒介,实施包括以下步骤的方法:
接收第一值和第一消息验证码;
通过使用存储器中存储的第二值对已接收的第一值运行散列函数,生成作为所述第
一值的函数的第二消息验证码;
比较所述第二消息验证码与已接收的第一消息验证码;和
如果所述第二消息验证码等于所述第一消息验证码,使用所述第一值和所述第二值
算出一个密钥。
25、根据权利要求24所述的计算机可读媒介,其中所述第一值由密钥管理器确定。
26、根据权利要求24所述的计算机可读媒介,其中所述第一值包括随机数、序号
和时间戳之一。
27、根据权利要求24所述的计算机可读媒介,其中建立消息验证码,包括散列函
数、安全散列算法1(SHA-1)和Rivest散列函数MD-5之一。
28、根据权利要求24所述的计算机可读媒介,还包括把计算的密钥发送给移动设
备。
29、一种计算机可读媒介,实施使用第一协议在通信系统中获得加密密钥的方法,
所述方法包括以下步骤:
接收分组索引值和第一消息验证码;
通过使用存储器中存储的第二值对分组索引值运行散列函数,利用分组索引值生成
第二消息验证码;
将所述第二消息验证码与所述第一消息验证码进行比较;和
如果所述第二消息验证码等于所述第一消息验证码,则利用所述分组索引值和所述
第二值算出加密密钥。
30、根据权利要求29所述的计算机可读媒介,其中所述第一协议是安全实时传输
协议(SRTP)。
31、根据权利要求29所述的计算机可读媒介,其中所述第一值包括随机数、序号
和时间戳之一。
32、根据权利要求29所述的计算机可读媒介,其中所述第二值包括公用密钥和主
密钥之一。
33、根据权利要求29所述的计算机可读媒介,其中建立消息验证码,包括散列函
数、安全散列算法1(SHA-1)和Rivest散列函数MD-5之一。
34、根据权利要求29所述的计算机可读媒介,还包括把所述加密密钥发送给移动
设备。
说 明 书
按照35U.S.C.§119要求的优先权
本申请要求2003年9月2日提交的60/499,563号美国临时申请和2003年9月11
日提交的60/502,866号美国临时申请的优先权,它们二者可被转让给其受让人,从
而可将其明确引用在此作为参考。
技术领域
本发明总体涉及通信,特别涉及向无线通信系统中的广播多播服务(BCMCS)提供
已验证询问的方法和设备。
背景技术
在传输非语音业务如视频、数据、多媒体或除语音业务之外的其它类型业务的无线
通信系统中,典型的蜂窝基站可以向基站覆盖区域内的多个移动台广播多媒体业务
服务。多媒体业务服务可以包括任何数量的信息服务,例如类似于有线电视服务规
划中包含的多个通道。这些信息服务通常依赖于支持责任性、公证性、精确性、机
密性和可操作性的安全性。加密或者密码技术的普通字段用于电子商务、无线通信
和广播。在电子商务中,加密用来防止欺诈并用来检验金融交易。在数据处理系统
中,加密用来检验参与者的身份。在广播多播服务中,根据广播多播服务(BCMCS)
密钥层级保持安全性。内容用短期密钥(SK)加密并无线发送。长期加密密钥经常称
作广播接入密钥(BAK),它被设置到称作移动台的用户标识模块(UIM)或者通用集
成电路卡(UICC)的存储器模块中。可以向用户收取长期加密密钥BAK的费用。短
期密钥SK源自BAK和称之为SKEAND的随机数。UIM使用BAK和SKRAND
计算短期密钥SK。一旦UIM计算SK,就把它发送给移动台,于是移动台使用SK
解密并观看信息内容。通常,一旦收到BAK,就像用户收取基于该方法计费的信
息内容的费用。因此无论用户实际上是否观看了该广播内容,都要被收费。与有线
电视不同,在无线通信系统中,人们希望保持用户的信息服务的实际观看时间。这
确保了所看内容的精确记帐,并保证未授权用户如未成年用户例如不能访问某些类
型的内容。需要移动台周期地注册或者在要求时注册的方法已经被提出,以便保持
用户的实际观看时间的记录。注册消息包含用户正在观看或者能够观看的信道列表。
该列表用来向用户收取信息服务的费用。
通常,需要用户周期注册或者在要求时注册的方法容易出现服务偷窃,因为移动台
可以连续接收广播内容而不需在系统上再次注册,从而获得对内容的免费访问。此
外,例如,未授权用户如未成年用户可以访问被管理法禁止的内容。其它的建议方
法引入了观看信息服务内容必需的附加的加密密钥。这些方法遭受到无线系统的数
据承载能力的严重降低,这是加密密钥管理所需的开销消息的增加造成的。
发明内容
本发明的目的是克服或者至少降低上述一个或多个问题的影响。
根据一个方面,在无线通信系统中,为广播多播业务提供已验证询问的一种方法,
包括:接收第一值和第一消息验证码;通过使用第二值对第一值运行散列(hashing)
函数,生成第一值的第二消息验证码,其中第二值作为第二密钥被存储在存储器模
块中;比较第二消息验证码与第一消息验证码;当第二消息验证码等于第一消息验
证码时,使用第一值和第二值计算短期密钥。
在另一个方面,提供了一种使用第一协议获得通信系统中加密密钥的方法,该方法
包括:接收分组索引值和第一消息验证码;通过使用第二值对分组索引值运行散列
函数,生成分组索引值的第二消息验证码,其中第二值被存储在存储器模块中;比
较第二消息验证码与第一消息验证码;当第二消息验证码等于第一消息验证码时,
使用分组索引值和第二值计算加密密钥。
在另一方面,提供了一种获得短期密钥的移动台设备,包括:接收第一值和第一消
息验证码的装置;通过使用第二值对第一值运行散列函数,生成第一值的第二消息
验证码的装置,其中第二值被存储在存储器模块中;比较第二消息验证码与第一消
息验证码的装置;当第二消息验证码等于第一消息验证码时,使用第一值和第二值
计算短期密钥的装置。
在另一个方面,提供了一种使用第一协议获得加密密钥的移动台设备,包括:接收
分组索引值和第一消息验证码的装置;通过使用第二值对分组索引值运行散列函数,
生成分组索引值的第二消息验证码的装置,其中第二值被存储在存储器模块中;比
较第二消息验证码与第一消息验证码的装置;当生成的消息验证码等于接收的消息
验证码时,使用分组索引值和第二值计算加密密钥。
附图说明
图1是图示本发明实施例的提供广播多播通信服务(BCMCS)的无线通信系统的示
范实施例;
图2是本发明一个实施例的使用随机数在用户设备中生成短期密钥(SK)的示范方框
图;
图3是本发明实施例的使用具有附加在其上的消息验证码的种子值(SKSeed)在用户
设备中生成短期密钥(SK)的示范方框图;
图4是本发明一个实施例的使用具有附加到其上的消息验证码的种子值(SKSeed)生
成短期密钥(SK)的示范流程图;
图5是本发明的一个实施例的用具有私有密钥的SK管理器生成短期密钥(SK)的示
范方框图,其中相应的公用密钥被分配给用户设备;
图6是本发明一个实施例的使用具有附加到其上的消息验证码的分组索引种子值
(PISeed),在用户设备中生成加密密钥(EK)的示范方框图;
图7是本发明一个实施例的使用具有附加到其上的消息验证码的分组索引种子值
(PISeed)生成加密密钥(EK)的示范流程图;
图8是本发明实施例的利用具有私有密钥的PI管理器生成加密密钥(EK)的示范方
框图,其中相应公用密钥被分配给用户设备。
具体实施方式 单词“示范”这里是指“用作实例、示例或例子”。这里作为“示范”描述的任何实施例 不一定被解释为比其它实施例更佳或更优。该详细说明中描述的所有实施例是示范 实施例,用来使本领域熟练技术人员能够制造或使用本发明,而不是用来限制本发 明的范围,本发明的范围由权利要求所定义。 移动台也称作用户设备(UE),它可以与一个或多个基站通信。移动台经由一个或多 个基站,向基站控制器或者这里所述的广播多播服务(BCMCS)控制器(在3GPP中 还称之为多播广播多媒体系统(MBMS)控制器)发射和接收数据分组。基站和基站 控制器是所谓接入网(AN)的网络的部分。基站和移动台是所谓无线接入网(RAN)的 网络的部分。无线接入网在多个移动台之间传递数据分组。无线接入网可以进一步 连接附加的网络,比如验证、授权和计费(AAA)服务器或者互联网,例如可以经由 基站控制器或BCMCS控制器在每个移动台与这样的外网之间传递数据分组。 BCMCS控制器经由短期密钥管理器(SK管理器)传递数据。SK管理器确定种子值, 其可以是随机数、序号、时间戳(time-stamp)、或者便于执行的其它变换值。一旦 SK管理器确定种子值(SKSeed),它就把消息验证码(MAC)添加到种子值上。消息 验证码(MAC)是数字标识符,并且像数字签名那样工作以确认种子值的源。可以使 用公知的散列函数如SHA-1或MD-5创建MAC,或者例如可以通过公知散列函数 的变型来生成MAC。散列函数把广播接入密钥(BAK)(或BAK的推导)用作密钥以 从种子值算出MAC。由于只有广播网和广播网的用户具有广播接入密钥(BAK), 因此BAK(或者BAK的推导)被用作网络与用户之间的共享秘密。 移动台(用户设备(US))可以是包括移动电话手机(称之为移动设备(ME))和存储器模 块的移动电话,所述存储器模块比如是物理安全集成电路卡或者智能卡(称之为用 户识别模块(UIM)或者通用集成电路卡(UICC)),它可以是移动的或者被永久地附到 移动设备ME上。在广播多播业务(BCMCS)中,用户设备的存储器模块装备有广 播接入密钥(BAK)。 图1是图示本发明一个实施例的在广播多播通信服务(BCMCS)中提供已验证询问 的无线通信系统100的示范性方框图。无线通信系统100包括多个用户设备 (UE)102,这些设备经由无线通信链路与至少一个基站(BS)112通信。在反向链路 上执行从用户设备102到基站112的通信,在无线通信链路的前向链路上执行从基 站112到用户设备102的通信。尽管图中只图示了一个基站112,但是这仅仅处于 简化图示本发明的目的。因此,无线通信系统100可以包括若干个地理分布的基站 112,以便当用户设备102穿过无线通信系统100时,为其提供连续通信覆盖。无 线电接入网116通过基站112向无线通信链路上的用户设备102发射无线电信号, 并从该用户设备102接收无线电信号。无线电接入网116或者被向用户设备102提 供预约服务的无线电信公司所拥有,或者可以是被当用户设备102正在漫游时向用 户设备102提供服务的另一个电信公司所拥有的被访问的网络。 用户设备102可以采取能够从基站102接收信息的任何装置的形式,包括个人数字 助理(PDA)、无线电话、具有无线能力的便携式计算机、无线调制解调器、或者任 何其它有无线能力的装置。用户设备102包括移动设备(ME)110,它经由无线通信 链路提供与基站112的通信,即各种其它功能之一。用户设备102还包括存储器模 块(MM)108(称之为用户标识模块(UIM)或通用集成电路卡(UICC))。MM108可以是 附加到移动设备110的可移动存储器模块,或者是移动设备110的固定部分。随着 详细说明的进行,将会进一步理解存储器模块108的功能。 根据一个实施例,无线通信系统100利用广播多播服务(BCMCS)对在无线通信系 统100内通信的用户设备102的预定组进行点对多点的数据分组传输。在一个实施 例中,数据分组提供内容,例如新闻、电影、体育事件等,它们从基站112经由无 线通信链路传送给用户设备102。人们将会明白,传送给用户设备102的特定类型 的内容可以包括多媒体数据的广泛组合(例如,文本、音频、图片、流、视频等), 因而不一定局限于上述实例。 无线通信系统100还包括归属服务网114,它由向用户设备102的用户提供预约服 务的无线电信公司所拥有,并且可以或者不可以由与无线电接入网116相同的电信 公司所拥有(这取决于用户设备102是否正漫游在电信公司的服务区域之外)。归属 服务网114包括广播多播服务(BCMCS)控制器101、短期密钥SK管理器106、归 属用户服务器(HSS)104。通信链路118提供把信息承载信号从BCMCS控制器101 传送到SK管理器106的数据路径。通信链路120提供从SK管理器106到基站 112的数据路径,该基站112向多个用户设备102进行广播/多播。 内容供应商122提供广播/多播给用户设备102的内容。内容供应商122可以是第 三方内容源,他既不由归属网电信公司所拥有也不由服务网电信公司所拥有。归属 服务网114中的归属用户服务器104可以包括保持移动电话预约和收集广播多播服 务的帐单数据的数据库。在所示实施例中,归属服务网114还包括广播多播服务 (BCMCS)控制器101,它调度来自内容供应商122的内容的广播/多播,并执行广 播-多播服务的至少某些安全功能。无线电接入网116经由专用信道把内容发送给 单个用户;如果需要服务的用户的数量不能证明向覆盖区中的所有用户广播服务有 道理,则经由专用信道向多个用户多播内容;或者如果需要服务的用户数量超过预 定阈值,则向覆盖区中的所有用户广播内容。 广播-多播服务(BCMCS)(或多播-广播-多媒体系统(MBMS))内容观看是基于密钥层 级的。BCMCS或者MBMS可以使用相同的密钥层级,该术语的使用取决于使用 它们的语境(例如,当涉及3GPP网中广播服务时,经常使用MBMS)。内容观看也 许需要帐单或者管理发布的监视,比如“成人”服务要求内容供应商确保观看者被准 许观看“成人”服务。例如,“成人”服务的内容观看者可能被要求验证,它们是管理 者确定的观看这种内容的最低年龄。密钥是与加密算法一同工作以产生特定密文的 值。密钥通常是非常大的数字并且按比特测量。为了在特定时间解密广播内容,用 户设备的ME 110应当知道当前解密密钥。为了避免未授权访问或服务盗用,解密 密钥应当频繁改变,比如每分钟改变一次。这些解密密钥被称之为短期密钥(SK), 并用来解密比较短时间量的广播内容,所以可以假设SK对于用户具有某些数额的 固有币值(intrinsic monetary value)。 在一个实施例中,在广播-多播系统中,经过几个级别的加密和解密,来加密和解 密多媒体事件的内容,以提供至少某些级别的保证,即保证未授权用户将不能解密 数据及观看多媒体事件。通信链路118被BCMCS控制器101用来把广播接入密钥 BAK传送给SK管理器106。SK管理器106确定一个值SKSeed,并添加由 SKSeed和共享秘密BAK形成的消息验证码(MAC)。SKSeed可以是随机数、序号、 时间戳或其它可变值。然后经由无线电接入网116把询问SKSeed‖MAC发送给用 户设备102。一旦在存储器模块108中收到该询问,用户设备102就首先从 SKSeed和BAK中算出XMAC。XMAC是使用作为密钥的BAK或者BAK的推导, 通过运行散列函数导出的种子值的消息验证码。存储器模块108随后将XMAC与 已收到的MAC进行比较。如果XMAC的已计算值是与已接收的MAC的值相同的 值,则存储器模块生成SK并把SK发送给ME。因而,如果在保护BAK(或者源自 BAK的密钥)的足够安全的硬件(比如智能卡)中执行这些功能,则基本上避免了未 授权用户用SKSeed流的全部知识预先算出短期SK。 图2是在用户设备102处使用随机数生成短期密钥SK的示范性方框图。存储器模 块108中的函数(如散列函数)用从ME 110输入的任何随机数201计算短期密钥SK。 所有广播用户具有设置在存储器模块108中的广播接入密钥BAK。由于短期密钥 SK 202是随机数201和BAK的函数,因此任何随机数输入将生成短期密钥 (SK)202。因而在此情况下,具有设置在存储器模块108中的BAK的用户可以把任 何范围的随机数201输入给存储器模块108,并生成短期密钥SK202的值。用户随 后可以例如在互联网上公布或分配短期密钥SK 202的这些值,未授权用户可以使 用这些SK值观看内容。 图3是在用户设备102上使用具有添加在其上的消息验证码(MAC)304的种子值 (SKSeed)生成短期密钥SK的示范性方框图。BCMCS用户的用户设备102具有存 储器模块108,其内设有广播接入密钥BAK。在该实施例中,存储器模块108还 包含散列函数。散列函数可以是公知的散列函数如SHA-1或者MD-5,或者公知散 列函数的变型。存储器模块108通过使用作为密钥的BAK(或者BAK的推导)运行 散列函数,计算种子值SKSeed的生成的消息验证码,XMAC。存储器模块108随 后将计算的XMAC与添加的MAC进行比较。如果XMAC和MAC是相同的值, 则存储器模块108生成短期(SK)202密钥,并且把SK 202发送给移动台设备 (ME)110。ME 110现在可以观看内容。在此情况下,不确认SK的源,就不能生成 SK。因此,与图2的方法不同,未授权用户不能得到SK值,因为只有通过确认 SK的源才能生成SK。图4示出了根据本发明一个实施例生成短期密钥SK,以用 于在用户设备102解密已接收内容的方法。短期密钥SK生成处理400开始于方框 402,在该方框中,用户设备102的存储器模块108接收添加有消息验证码的种子 值SKSeed。在方框404,存储器模块108通过使用作为密钥的BAK(或BAK的推 导)运行散列函数,计算种子值(SKSeed)的消息验证码(XMAC)。记住,BAK被设 置在存储器模块(108)中,种子值可以由SK管理器或者BCMCS控制器生成。散列 函数驻留在存储器模块中。在方框406中,存储器模块108将已计算的XMAC与 已接收的MAC进行比较。存储器模块108随后在方框408中确定XMAC和MAC 的值是否相等。如果值相等,则存储器模块108得知值得信赖的种子值SKSeed的 源,因为它具有共享秘密BAK。一旦存储器模块108确定SKSeed的源是值得信赖 的,就生成短期密钥SK,并把SK发送给ME 110(方框412)。ME 108现在可以使 用短期密钥SK解密已接收内容,以准许用户设备102的用户成功地观看内容。然 而,如果在方框408,XMAC的计算值和MAC的已接收值不相等,则丢弃 SKSeed并在方框402中再一次开始处理。 在图5所示的另一个实施例中,SK管理器106确定种子值(SKSeed)并添加被存储 器模块108检验的数字签名。在该特定实施例中,SK管理器106具有私有密钥 504,存储器模块108具有相应的公共密钥506。该公共方案可以利用公知的数字 签名,比如Rivest-Shamir-Adleman(RSA)、Digital Signature Algorithm(数字签名算 法)、DSA、EllipticCurve(椭圆曲线)DSA、或其它公知签名。SK管理器106确定种 子值(SKSeed)并添加由SK管理器106中的私有密钥504形成的数字签名。然后把 询问SKSeed‖数字签名发送给存储器模块108。ME 110经由基站112接收该询问, 并把SKSeed和数字签名508传送到用户设备102的存储器模块108。通过使用 RSA、数字签名算法DSA、椭圆曲线DSA或其它公知或未知签名方案,检验SK 管理器经由基站112发送然后经由ME110到存储器模块108的签名,存储器模块 108使用公用密钥。在存储器模块108中,公用密钥506用来验证数字签名,这是 通过使用公用密钥506和添加的私有密钥504实现的。如果存储器模块108确定数 字签名是SK管理器106建立的,则存储器模块108生成短期密钥SK 202,并将 SK 202发送给ME110。一旦成功地生成短期密钥SK 202,则ME 110准许用户观 看已接收的信息内容。如果存储器模块108确定数字签名也许不是由SK管理器 106建立的,则存储器模块108丢弃该签名,并等候下一个数字签名,ME 110不 能确定或者公布与该SKSeed对应的SK值。这避免了SK的预先计算,并有助于 保护信息内容使之免于未授权的访问。 在另一个实施例中,相同方法和设备用作安全实时传输协议(SRTP)的增强。2003 年12月届满的参考SRTP草案09公开了该协议。主密钥(MK)像共享秘密BAK一 样来对待。每个MK具有一个索引,类似于BAK中的索引。该索引标识特定内容。 MK驻留在存储器模块108中,并且当与分组索引一起使用时,生成短期密钥(SK)。 SRTP中的分组索引通常是序号,并且在该语境中可以认为类似SKSeed,可以采 用随机数、序号、时间戳或者其它变化值。MK和分组索引用来生成SRTP加密密 钥(EK)。该加密密钥类似SK,用来观看或访问内容。因而,分组索引必需是安全 的,以防止未授权访问或内容偷盗。分组索引可以被保护,其保护方式与种子值 (SKSeed)添加消息验证码(MAC)以用来保护SK的方式相同。通过把消息验证码 (MAC)添加到分组索引上,存储器模块108将知道分组索引是否来自预期信任的源。 存储器模块108以用来生成SK的相同方式进行该处理。像生成加密密钥一样, SRTP指定可能以模拟方式从主密钥MK生成的其它密钥来执行其它功能,这些功 能包括上述的消息验证和对加密密钥的安全增强,它同样适用于如此生成的其它密 钥。 图6是使用具有附加其上的消息验证码(MAC)的分组索引值(PI)602生成加密密钥 (EK)的示范性方框图。任何广播用户的用户设备(UE)102具有设有MK的存储器模 块108。在该实施例中,存储器模块108还包含散列函数。散列函数可以是公知的 散列函数,比如SHA-1或MD-5或者公知散列函数的变型。存储器模块108通过 使用作为密钥的MK或者MK的推导运行散列函数,来计算分组索引值PI的 XMAC。存储器模块108随后将计算的XMAC与附加的MAC进行比较。如果 XMAC和MAC是相同值,则存储器模块108生成加密密钥(EK)604并把EK 604 发送给移动设备(ME)110。一旦成功地生成EK 604,ME 110通过使用EK 604解密 已接收的加密内容,就可以观看内容。在此情况下,不确认EK 604的源,就不能 生成EK 604。因而,该情况防止未授权用户观看或访问信息内容。 图7图示了SRTP加密密钥生成处理700,其中存储器模块108接收附加有消息验 证码的分组索引值PI(方框702)。在方框704,存储器模块108通过使用作为密钥 的MK或MK的推导运行散列函数,算出分组索引值(PI)的消息验证码(XMAC)。 所有广播用户都具有设置在存储器模块108中的MK。在方框706中,存储器模块 108将计算的XMAC与已接收的MAC进行比较。存储器模块108在方框708判断 XMAC和MAC的值是否相等。如果这两个值相等,则存储器模块108知道分组索 引值(PI)的源是可信赖的,因为它具有共享秘密MK。一旦存储器模块108确定PI 的源是可信赖的,则它生成加密密钥(EK)604并向ME 110发射加密密钥 EK 604(方框712)。一旦EK 604成功生成,ME 110就可以观看内容。如果XMAC 和MAC不相等(方框708),则丢弃PI,并在方框702重新开始处理。 在另一个实施例中,通过使用附有数字签名的分组索引,可以保护分组索引。在该 实施例中,如图8所示,分组索引(PI)管理器802确定分组索引值(PI),并附加将 被存储器模块108确认的数字签名。在该实施例中,PI管理器802具有私有密钥 504,存储器108具有相应的公用密钥506。该公用方法可以利用公知的数字签名, 比如Rivest-Shamir-Adleman(RSA)、数字签名算法、DSA、椭圆曲线DSA或者其 它公知签名。PI管理器802确定分组索引值(PI)并在PI管理器802中附加由私有密 钥504形成的数字签名。然后发射询问PI‖数字签名。ME 110经由基站112接收该 询问,并且将PI和数字签名804转给存储器模块108。存储器模块108通过使用 RSA、数字签名算法DSA、椭圆曲线DSA或者其它公知或未知签名方案检验PI管 理器802经由基站112发射的通过ME110到达存储器模块108的签名,来使用公 用密钥。在存储器模块108中,公用密钥506检验数字签名,这是通过使用公用密 钥506和附加的私有密钥504实现的。如果存储器模块108确定数字签名是由PI 管理器802建立,则存储器模块108生成加密密钥(EK)604,并把EK 604发射给 ME 110。ME 110一旦成功接收到EK 604,就可以马上观看信息内容。如果存储 器模块108确定数字签名也许不是PI管理器802建立的,则存储器模块108丢弃 该签名并等候下一个数字签名,ME 110不能确定或公布与该PI对应的EK604值。 这避免了分组索引的预计算,并有助于保护信息内容免于未授权访问。 涉及SRTP的实施例还提供了避免验证和salting密钥的未授权生成的附加安全性。 这类似于在BCMCS/MBMS中防止SK的预计算。此外,在SRTP中,一旦服务供 应商把相同的主密钥(MK)配置到多个终端用户的安全存储器模块108上,终端用 户可以伪装成服务供应商。这是因为在安全存储器模块108中设有MK的任何终 端用户可以使用安全存储器模块108加密和增加对数据的验证。上述实施例避免了 这种情况,因为PI管理器802通过使用MAC或数字签名,确保加密密钥生成仅 仅可以发生在分组索引的源被验证为可信赖源的时候。 本领域数量技术人员将会明白,可以使用各种不同技术来代表信息和信息。例如, 可以用电压、电流、电磁波、磁场或者粒子、光场或粒子、或者其任何组合表示上 述整个说明涉及的数据、指令、命令、信息、信号、比特、符号和码片。 那些熟练技术人员将会进一步明白,结合这里公开的实施例描述的各种说明性逻辑 块、模块、电路和算法步骤可以被实施为电子硬件、计算机软件或者其组合。为了 清楚地说明硬件和软件的可互换性,各种示范性部件、块、模块、电路和步骤在上 文中通常根据它们的功能描述。不管这种功能被实施为硬件还是软件,都取决于特 定的应用,并且设计约束影响整个系统。熟练的技工可以为每个特定应用,以不同 方式实施所述功能,但是这种实施决定应当不被解释为造成背离本 发明的范围。 结合本发明实施例描述的各种说明性逻辑块、模块和电路可以用通用处理器、数字 信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其它可编 程逻辑装置、分立门电路或者晶体管逻辑、分立硬件部件、或者设计执行所述功能 的任何组合来实施或执行。通用处理器可以是微处理器,但是在一个替代中,处理 器可以是任何传统的处理器、控制器、微处理器或者状态机。处理器还可以被实施 为计算装置的组合,例如DSP和微处理器的组合、多个微处理器、与DSP内核结 合的一个或多个微处理器、或者任何其它的这种配置。 结合本发明实施例所述的方法或算法的步骤可以被直接并入硬件中、由处理器运行 的软件模块中、或者两者的组合。软件模块可以驻留在RAM存储器、闪存、 ROM存储器、EEPROM存储器、寄存器、硬盘、活动盘、CD-ROM、或者本领域 已知的任何其它形式的存储媒介。示范性存储媒介连接处理器,使该处理器可以从 存储媒介中读取信息,并把信息写到存储媒介中。在替代中,存储媒介可以被集成 到处理器上。处理器和存储媒介可以置于ASIC中。ASIC可以置于用户终端中。 在替代中,处理器和存储媒介可以作为分立部件置于用户终端中。 所述实施例的上述说明用来使本领域熟练技术人员能够制造或者使用本发明。这些 实施例的各种修改对于本领域熟练技术人员是显而易见的,并且这里定义的基本原 理可以应用于其它实施例,而又不背离帮倒忙锁网精神和范围。因此,本发明不打 算局限于所示的实施例,而是与遵从本发明的原理和新颖性特点的最宽范围相一致。
发布评论