组播广播业务的使用控制方法及其系统的制作方法

专利名称：组播广播业务的使用控制方法及其系统的制作方法
组播广播业务的使用控制方法及其系统技术领城本发明涉及通信领域，特别涉及组播广播技术。 背景技水IEEE802.16是电子和电气工程师协会(Institute of Electrical and Electronics Engineers,简称"IEEE")于2001年12月颁布的，用于在城域 网中提供最后一公里无线宽带接入的标准。为了有效利用移动网络资源，在IEEE802.16的最新协议IEEE802.16e/D5 中，引入了组播广播业务(Multicast Broadcast Service,简称"MBS")。上述MBS提供了在移动网络中由一个数据源向多个用户发送数据的规 范，由此可实现网络资源共享，提高网络资源的利用率，尤其是空口接口资 源的利用率。值得指出的是，上述MBS的优点在于，不仅能够实现纯文本、低速率 的消息类业务的组播和广播，还能够实现高速多媒体业务的组播和广播，例 如，视频点播、电视广播、视频会议、网上教育、互动游戏等等。因此，MBS 必将推动未来移动数据业务的发展。在MBS中，数据由一个数据源发送至多个用户，并且在一定区域内， 只有已经订阅MBS的用户能够享受该数据提供服务，因此，为防止没有订 阅MBS业务或未付费的用户享用MBS业务的服务，需要在MBS业务中设 置密钥，该密钥只有真正的用户以及MBS服务器(MBS Server)知道，从 而实现数据的正常提供与接收。群组内所有用户共享设置的密钥，MBS服务 器向群组内用户发送该共享密码，该发送过程是MBS服务器与每一个群组 内用户一对一进行的，且发送时通常要采用加密密钥对该共享密钥加密。群 组内每一个用户的密钥加密密钥是唯一的，即群组内用户拥有的密钥加密 密钥各不相同。MBS服务器采用与每一个群组内用户相对应的密钥加密密钥加密共享 密钥。此后，MBS服务器将加密后的共享密钥发送给相应的群组内用户，该 群组内用户使用相应的密钥加密密钥对共享密钥解密，从而实现MBS服务 器与群组内用户之间的密钥共享。此后，MBS服务器采用共享密钥加密MBS业务信息，并发送给群组内 每一个用户，群组内用户使用共享密钥解密MBS业务信息，获取并享受MBS 业务的服务。下面对实现MBS的上述安全机制的相关密钥組播密钥加密密钥(Group Key Encryption Key,简称"GKEK" ) 、 MBS鉴权密钥(MBS Authentication Key,简称"MAK")、组播业务加密密钥(Group Traffic Encryption Key, 简称"GTEK")与MBS传输密钥(MBS Traffic Key,简称"MTK")进行 进一步说明。GKEK是组播密钥加密密钥，用于解开使用GKEK加密的GTEK。GTEK是组播业务加密密钥，它在一个MBS业务范围内是唯一的，根 据时间机制周期更新。GTEK无法控制单个用户。该密钥是在 IEEE802.16-2005中定义的MAC层的业务加密密钥。MAK是MBS鉴权密钥，与上述GTEK相同之处在于，它在一个MBS 业务范围内是唯一的，根据时间机制周期更新，且与GTEK同样无法控制单 个用户。另外，该密钥是在IEEE802.16-2005中定义的业务层的鉴权密钥。MTK是MBS传输密钥，直接用于对MBS业务流加密。生成公式为MTK <=Dotl6KDF(MAK, MGTEK | "MTK" ， 128)，可见MTK由上述GTEK 与MAK生成。由于GTEK与MAK都是在一个MBS业务范围内唯一，因此无法控制 单个用户。也就是说，现有技术中尚未提出如何控制单个用户使用MBS的 具体方案。发明内容有鉴于此，本发明的主要目的在于提供一种组播广播业务的使用控制方 法及其系统，使得MBS能被有效合理地使用。为实现上述目的，本发明提供了一种组播广播业务的使用控制方法，包 含以下步骤存储或分发终端的组播广播业务MBS状态的功能实体向MBS控制功能 实体发送用于指示该终端的该MBS状态的状态指示消息；所述MBS控制功能实体根据收到的所述状态指示消息确定是否授权所 述终端使用该MBS。其中，所述状态指示消息包含以下参数之一或其任意组合MBS签约时间、MBS认证成功、MBS超时、MBS认证失败、MBS去 激活标志、终端标识、MBS标识。此外在所述方法中，所述MBS签约时间为该MBS的业务终止的绝对时 间或业务的剩余时间；所述MBS标识为业务流标识或内容标识。此外在所述方法中，当所述终端的MBS签约时间到期时，所述存储或 分发终端的MBS状态的功能实体向所述MBS控制功能实体发送指示MBS 签约时间到期的状态指示消息；所述MBS控制功能实体收到所述指示MBS签约时间到期的状态指示消
息时，通过删除所述终端的该MBS的相关信息或将该终端的该MBS状态置 为非激活状态，拒绝授权该终端使用该MBS。此外在所述方法中，所迷指示MBS签约时间到期的状态指示消息包含 以下参数之一或其任意组合MBS超时标识、MBS认证失败标识、终端标识、MBS标识。此外在所述方法中，当所述终端的MBS认证成功时，所述存储或分发 终端的MBS状态的功能实体向所述MBS控制功能实体发送指示MBS认证 成功的状态指示消息；所述MBS控制功能实体收到所述指示MBS认证成功的状态指示消息 时，通过将所述终端的该MBS的相关信息添加到相应上下文中或将该终端 的该MBS状态置为激活状态，授权该终端使用该MBS。此外在所述方法中，所述指示MBS认证成功的状态指示消息包含以下 参数之一或其任意组合MBS认证成功的标识、MBS签约时间、终端标识、MBS标识。此外在所述方法中，所述存储或分发终端的MBS状态的功能实体为认 证、授权和计费AAA服务器、应用服务器、MBS服务器、或第三方的AAA 服务器；所述MBS控制功能实体为基站。此外在所述方法中，所述MBS控制功能实体在收到所述终端的MBS密 钥请求后，仅向授权使用该MBS的终端发送相应的MBS密钥。此外在所述方法中，所述MBS密钥为组播业务加密密钥GKEK。此外在所述方法中，所述存储或分发终端的MBS状态的功能实体通过 以下之一或其任意组合的网络实体将所述状态指示消息发送给所述MBS控 制功能实体 MBS服务器、策略功能实体、业务流授权者锚点、数据通路功能/外地 代理锚点、网络接入服务器、网关。此外在所述方法中，所述状态指示消息携带以下参数之一或其任意组合网络接入服务器标识、数据通路功能或外地代理锚点的地址、策略功能 实体的地址、业务流授权者锚点的地址。此外在所述方法中，所述状态指示消息携带所述MBS所需的安全信息。此外在所述方法中，所述安全信息包含以下之一或其任意组合MBS多播组安全联盟、GKEK上下文、MBS授权密钥MAK、 MAK上 下文。本发明还提供了一种组播广播业务的使用控制系统，包含存储或分发终端的组播广播业务MBS状态的功能实体，用于发送用于 指示该终端的该MBS状态的状态指示消息；和MBS控制功能实体，用于接收所述状态指示消息，并根据该消息决定是 否授权所述终端使用该MBS。其中，所述状态指示消息包含以下参数之一或其任意组合MBS签约时间、MBS认证成功、MBS超时、MBS认证失败、MBS去 激活标志、终端标识、MBS标识。此外在所述系统中，所述存储或分发终端的组播广播业务MBS状态的 功能实体在所述终端的MBS签约时间到期或MBS认证成功时，发送所述状 态指示消息。此外在所述系统中，所述存储或分发终端的MBS状态的功能实体为认 证、授权和计费AAA服务器、应用服务器、MBS月良务器、或第三方的AAA
服务器；所述MBS控制功能实体为基站。此外，所述系统还包含以下之一或其任意组合的网络实体MBS服务器、策略功能实体、业务流授权者锚点、数据通路功能/外地 代理锚点、网络接入服务器、网关；所述存储或分发终端的MBS状态的功能实体通过所述网络实体的转发， 将所述状态指示消息发送给所述MBS控制功能实体。通过比较可以发现，本发明的技术方案与现有技术的主要区别在于，由 存储或分发终端的MBS状态的功能实体向MBS控制功能实体发送用于指示 该终端的该MBS状态的状态指示消息，控制MBS的功能实体根据收到的状 态指示消息决定是否授权该终端使用该MBS。使得控制MBS的功能实体能 获知到终端使用的MBS的状态，并根据该MBS的状态控制该MBS的使用 情况，保证了 MBS能被有效合理地使用。当MBS签约时间到期时，存储或分发终端的MBS状态的功能实体向 MBS控制功能实体发送携带MBS超时标识、MBS认证失败标识、终端标识、 和MBS标识等参数的状态指示消息，控制MBS的功能实体收到该消息后， 拒绝授权该终端使用该MBS;当MBS认证成功时，存储或分发终端的MBS 状态的功能实体向MBS控制功能实体发送携带MBS认证成功的标识、MBS 签约时间、终端标识、和MBS标识等参数的状态指示消息，控制MBS的功 能实体收到该消息后，授权该终端使用该MBS。控制MBS的功能实体仅向 授权使用该MBS的终端发送相应的MBS密钥，使得超出订阅有效期的终端 无法接收该MBS, MBS认证成功的终端能够顺利地接收该MBS。存储或分发终端的MBS状态的功能实体可以是认证、授权和计费 (Authentication, Authorization and Account, 简称"AAA")月l务器、应用月良务器(Application Server,简称"AS" )、 MBS月良务器、或第三方的AAA服
务器；MBS控制功能实体可以是基站。为本发明的实现提供了具体的应用方 式。状态指示消息可以通过多个网络实体的转发，发送给MBS控制功能实 体，使得本发明方案能够灵活应用于多种网络结构中。状态指示消息还可以携带MBS所需的安全信息，如MBS多播组安全联 盟、GKEK上下文、MBS授权密钥MAK、和MAK上下文等，节约了传输 该安全信息所需的网络资源。附困说明

图1是根据本发明中MBS的状态指示消息发送示意图；图2是根据本发明第一实施方式的MBS的使用控制方法流程图；图3是根据本发明第二实施方式的MBS的使用控制方法流程图；图4是根据本发明第三实施方式的MBS的使用控制方法流程图；图5是根据本发明中MBS服务器处于网关时下发MBS的状态指示消息 示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发 明作进一步地详细描述。在本发明中，由存储或分发终端的MBS状态的功能实体向MBS控制功 能实体发送用于指示该终端的该MBS状态的状态指示消息，如图1所示， 该状态指示消息中可以包舍的内容有MBS签约时间、MBS认证成功、MBS 超时、MBS认证失败、MBS去激活标志、终端标识、和MBS标识，其中，MBS签约时间可以是该MBS的业务终止的绝对时间或业务的剩余时间； MBS标识可以是业务流标识(SFID)或内容标识(Content ID) 。 MBS控制 功能实体根据收到的状态指示消息决定是否授权该终端使用该MBS。比如说，当该终端的MBS签约时间到期时，存储或分发终端的MBS状 态的功能实体向MBS控制功能实体发送指示MBS签约时间到期的状态指示 消息，指示MBS签约时间到期的状态指示消息携带的内容可以是MBS超时 标识、MBSiU正失败标识、终端标识、和MBS标识。当MBS控制功能实体 收到该指示MBS签约时间到期的状态指示消息时，删除该终端的该MBS的 相关信息，如在此终端的上下文中存有此MBS标识的情况下，可以将此标 识删除；在对应的MBS上下文中有该终端的标识的情况下，可以将此终端 的标识从对应的MBS上下文中删除，或者通过将该终端的该MBS状态置为 非激活状态，拒绝授权该终端使用该MBS。 MBS控制功能实体在拒绝授权 该终端使用该MBS后，还可以使用业务删除流程(如DSD-REQ)通知该终 端删除此MBS。当该终端的MBS认证成功时，存储或分发终端的MBS状态的功能实体 向MBS控制功能实体发送指示MBS认证成功的状态指示消息，该指示MBS 认证成功的状态指示消息可以携带的内容有MBS认证成功的标识、MBS 签约时间、终端标识、和MBS标识。当MBS控制功能实体收到该指示MBS 认证成功的状态指示消息时，将该终端的该MBS的相关信息添加到相应上 下文中，如在此终端的上下文中可以存储此MBS标识的情况下，可以将此 标识加入到此上下文中；在对应的MBS上下文中可以存储终端的标识的情 况下，可以将此终端的标识加入到上下文中，或者通过将该终端的该MBS 状态置为激活状态，授权该终端使用该MBS。当MBS控制功能实体授权该 终端使用该MBS后，如杲收到该终端的密钥请求(如GKEK的请求)或者 业务请求(如DSA-REQ),可以给该终端分发相应的密钥或者响应的业务 请求(DSA-RSP)等。本发明中，存储或分发终端的MBS状态的功能实体可以是AAA服务器、 AS、 MBS服务器、或第三方的AAA服务器；MBS控制功能实体可以是基 站。当存储或分发终端的MBS状态的功能实体与MBS控制功能实体之间存 在多个其他网络实体时，也可以通过这些网络实体的转发，将状态指示消息 发送给MBS控制功能实体。下面对本发明的第一实施方式进行详细阐述，本实施方式涉及MBS的 使用控制方法。在本实施方式中，存储或分发终端的MBS状态的功能实体 为MBS服务器，MBS控制功能实体为基站，当终端的MBS认证成功后， MBS服务器下发的状态指示消息通过网络接入服务器(Network Access Server,简称"NAS")和服务网关的转发，最终发送到基站。本方案中使 用NAS来表示锚定鉴权器。具体地说，如图2所示，在步骤210中，当终端的MBS认证成功后， MBS服务器向NAS发送指示MBS认证成功的状态指示消息，在该消息中携 带的内容有MBS认证成功的标识、MBS签约时间、终端标识、和MBS标 识等。其中，MBS签约时间可以是该MBS的业务终止的绝对时间或业务的 剩余时间；MBS标识可以是SFID或内容标识。并且，MBS服务器可以将该 终端的该MBS信息置为激活状态。接着，进入步骤220， NAS收到该指示MBS认证成功的状态指示消息 后，转发该指示MBS认证成功的状态指示消息，也就是说，NAS向服务网 关发送该指示MBS认证成功的状态指示消息。消息中同样包含MBS认证 成功的标识、MBS签约时间、终端标识、和MBS标识等。接着，进入步骤230,服务网关收到该指示MBS认证成功的状态指示消 息后，转发该指示MBS认证成功的状态指示消息，也就是说，服务网关向 基站发送该包含MBS认证成功的标识、MBS签约时间、终端标识、和MBS 标识等信息的指示MBS认证成功的状态指示消息。 基站收到该指示MBS认证成功的状态指示消息后，将此该终端的该 MBS信息置为激活状态，或者，将该终端的该MBS的相关信息添加到相应 上下文中。比如说，如果此终端的上下文中可以存储此MBS标识的，则可 以将此标识加入到此上下文中；如果对应的MBS上下文中可以存储终端的 标识，则可以将此终端的标识加入到对应的MBS上下文中。基站通过将该终端的该MBS的相关信息添加到相应上下文中或将该终 端的该MBS状态置为激活状态，授权该终端使用该MBS。当基站授权该终 端使用该MBS后，如果收到该终端的密钥请求(如GKEK的请求)或者业 务请求(如DSA-REQ),可以给该终端分发相应的密钥或者响应的业务请 求(DSA-RSP)等。使得MBS认证成功的终端能够顺利地接收该MBS。由于基站仅对净皮授权使用相应MBS的终端发送GKEK，而且GKEK是 针对单个终端的，得不到GKEK的终端无法解开使用GKEK加密的GTEK， 也就无法生成新的有效的MTK,因此，保证了只有被授权使用该MBS业务 的终端才能使用该MBS业务，使得MBS业务能被有效合理地使用。需要il明的是，对于步骤210、 220、和230，可以增加相应的响应消息， 其响应顺序可以不具有时序关系，也可以让其具有时序关系。另外，值得一提的是，指示MBS认证成功的状态指示消息还可以携带 MBS所需的安全信息，如MBS多播組安全联盟、GKEK上下文、MBS授权 密钥MAK、和MAK上下文等，以节约传输该安全信息所需的网络资源。本发明的第二实施方式涉及MBS的使用控制方法。在本实施方式中， 存储或分发终端的MBS状态的功能实体为AAA服务器，MBS控制功能实 体为基站，当终端的MBS签约时间到期后，AAA服务器下发的状态指示消 息通过MBS服务器、NAS、和服务网关的转发，最终发送到基站。具体地说，如图3所示，在步骤310中，当终端的MBS签约时间到期 后，或者因为某种操作维护的原因，AAA服务器决定终止某终端的某个MBS， 签约时间到期的状态指示 消息，该消息中可以包含MBS超时标识/MBS去激活标志、MBS认证失败 标识、终端标识、和MBS标识等信息。如果该消息还包含MBS签约时间， 则可以将该签约时间设置为零。其中，MBS标识可以是SFID或内容标识。接着，进入步骤320， MBS服务器收到该指示MBS签约时间到期的状 态指示消息后，转发该指示MBS签约时间到期的状态指示消息，也就是说， MBS服务器向NAS发送该指示MBS签约时间到期的状态指示消息。消息中 同样包含MBS超时标识/MBS去激活标志、MBS认证失败标识、终端标识、 和MBS标识等信息。并且，MBS服务器可以将该终端的该MBS消息删除或 将其置为不激活状态。接着，进入步骤330， NAS收到该指示MBS签约时间到期的状态指示 消息后，转发该指示MBS签约时间到期的状态指示消息，也就是说，NAS 向服务网关发送该指示MBS签约时间到期的状态指示消息。消息中同样包 含MBS超时标识/MBS去激活标志、MBS认证失败标识、终端标识、和MBS 标识等信息。接着，进入步骤340，服务网关收到该指示MBS签约时间到期的状态指 示消息后，转发该指示MBS签约时间到期的状态指示消息，也就是说，服 务网关向服务基站发送该指示MBS签约时间到期的状态指示消息。消息中 同样包含MBS超时标识/MBS去激活标志、MBS认证失败标识、终端标识、 和MBS标识等信息。基站收到该指示MBS签约时间到期的状态指示消息后，将该终端的该 MBS置为不激活状态，或者，将该终端的该MBS的相关信息删除。比如说， 如果此终端的上下文中存有此MBS标识，则可以将此标识删除；如果对应 的MBS上下文中有该终端的标识，可以将此终端的标识从对应的MBS上下 文中删除。
与第一实施方式类似，对于步骤310、 320、 330、和340,可以增加相 应的响应消息，其响应顺序可以不具有时序关系，也可以让其具有时序关系。基站通过将该终端的该MBS的相关信息从相应上下文中删除或将该终 端的该MBS状态置为非激活状态，拒绝授权该终端使用该MBS。当基站拒 绝授权该终端使用该MBS后，即使收到该终端的密钥请求(如GKEK的请 求)或者业务请求(如DSA-REQ),也不会给该终端分发相应的密钥或者 响应的业务请求(DSA-RSP)等。由于基站不会给被拒绝授权使用相应MBS业务的终端发送GKEK,而 且GKEK是针对单个终端的，因此，被拒绝授权使用相应MBS的终端得不 到GKEK,也就无法解开使用GKEK加密的GTEK，也就无法生成新的有效 的MTK，从而保证了超出订阅有效期的终端无法接收该MBS，使得MBS业 务能被有效合理地使用。本发明的第三实施方式涉及MBS的使用控制方法，本实施方式与第一 实施方式大致相同，其区别仅在于，在第一实施方式中，MBS服务器下发的 状态指示消息通过NAS和服务网关的转发，最终发送到基站，而在本实施方 式中，MBS服务器下发的状态指示消息通过策略功能实体(Policy Function, 筒称"PF")、业务流授权者锚点(Anchor Service Flow Authorization,简 称"Anchor SFA")、和服务网关的转发，最终发送到基站。具体地说，如图4所示，在步骤410中，当终端的MBS认证成功后， MBS服务器向PF发送指示MBS认证成功的状态指示消息，在该消息中携 带的内容有MBS认证成功的标识、MBS签约时间、终端标识、和MBS标 识等。其中，MBS签约时间可以是该MBS的业务终止的绝对时间或业务的 剩余时间；MBS标识可以是SFID或内容标识。并且，MBS服务器可以将该 终端的该MBS信息置为激活状态。接着，进入步骤420, PF收到该指示MBS认证成功的状态指示消息后， 转发该指示MBS i人证成功的状态指示消息，也就是说，PF向Anchor SFA 发送该指示MBS认证成功的状态指示消息。消息中同样包含MBS认证成 功的标识、MBS签约时间、终端标识、和MBS标识等。接着，进入步骤430， Anchor SFA收到该指示MBS认证成功的状态指 示消息后，转发该指示MBS认证成功的状态指示消息，也就是说，Anchor SFA 向服务网关发送该指示MBS认证成功的状态指示消息。消息中同样包含 MBS认证成功的标识、MBS签约时间、终端标识、和MBS标识等。接着，进入步骤440，服务网关收到该指示MBS认证成功的状态指示消 息后，转发该指示MBS认证成功的状态指示消息，也就是说，服务网关向 基站发送该包含MBS认证成功的标识、MBS签约时间、终端标识、和MBS 标识等信息的指示MBS认证成功的状态指示消息。基站收到该指示MBS认证成功的状态指示消息后，将此该终端的该 MBS信息置为激活状态，或者，将该终端的该MBS的相关信息添加到相应 上下文中。比如说，如果此终端的上下文中可以存储此MBS标识的，则可 以将此标识加入到此上下文中；如果对应的MBS上下文中可以存储终端的 标识，则可以将此终端的标识加入到对应的MBS上下文中。基站通过将该终端的该MBS的相关信息添加到相应上下文中或将该终 端的该MBS状态置为激活状态，授权该终端使用该MBS。当基站授权该终 端使用该MBS后，如果收到该终端的密钥请求(如GKEK的请求)或者业 务请求(如DSA-REQ)，可以给该终端分发相应的密钥或者响应的业务请 求(DSA-RSP)等。使得MBS认证成功的终端能够顺利地接收该MBS。类似地，对于步骤410、 420、 430、和440，可以增加相应的响应消息， 其响应顺序可以不具有时序关系，也可以让其具有时序关系。需要说明的是，存储或分发终端的MBS状态的功能实体还可以是AS或 第三方的AAA服务器。MBS的状态指示消息的传播过程中可能经过以下之
一或其4壬意組合的网络实体MBS月良务器、PF、 Anchor SFA、凄t据通路功能 /夕卜地代理锚点(AnchorDPF/FA) 、 NAS、和网关。下面列举几种可能的MBS 的状态指示消息的传播途径，但并不包含所有的可能情况(1) MBS服务器或AS或第三方AAA服务器——〉PF——〉Anchor SFA——〉网关一一> 基站(2) MBS服务器或AS或第三方AAA服务器——〉PF——〉网关——〉基站(3) MBS服务器一一> Anchor SFA——>网关一一〉基站(4) MBS服务器一一 〉NAS——〉网关一一 〉基站(5) MBS服务器一一 〉Anchor DPF/FA——〉网关一一 〉基站(6) MBS服务器一一〉网关一一〉基站(7) AAA服务器一一〉NAS——〉网关一一 〉基站(8) AAA服务器——〉Anchor DPF/FA——〉网关——> 基站(9) AAA服务器一一〉网关一一 〉基站(10) AAA服务器——〉Anchor SFA——〉网关——〉基站(11) AAA服务器或AS或第三方AAA服务器——〉PF——〉Anchor SFA ——〉网关一一> 基站(12) AAA服务器或AS或第三方AAA服务器——〉PF——〉网关——〉基站(13) AAA服务器或第三方AAA服务器——〉MBS服务器——〉PF——〉 Anchor SFA——〉网关——〉基站(14) AAA服务器或第三方AAA服务器一一>MBS服务器一一 〉PF—— > 网关一一> 基站(15) AAA月良务器或第三方AAA服务器——> MBS服务器——〉Anchor SFA——〉网关——〉基站(16) AAA服务器或第三方AAA服务器一一〉MBS服务器一一〉NAS——〉网关一一〉基站(17) AAA服务器或第三方AAA服务器——〉MBS服务器——〉Anchor DPF/FA——〉网关——〉基站(18) AAA服务器或第三方AAA服务器——〉MBS服务器——〉网关一 —〉基站(19) 第三方AAA服务器——〉AAA服务器——〉NAS——〉网关——〉基站(20) 第三方AAA服务器——〉AAA服务器——〉Anchor DPF/FA——〉网关一一〉基站(21) 第三方AAA服务器一一〉AAA服务器一一〉网关一一〉基站(22) 第三方AAA服务器——〉AAA服务器——〉Anchor SFA——〉网 关一一> 基站(23) 第三方AAA服务器——〉AAA服务器或AS或第三方AAA服务 器——〉PF——〉Anchor SFA——〉网关——〉基站(24) 第三方AAA服务器——〉AAA服务器或AS或第三方AAA服务 器一一〉PF— —〉网关一一〉基站(25) AS——〉PF——〉Anchor SFA——〉网关——〉基站(26) AS——〉PF——〉网关——〉基站MBS的状态指示消息还可以携带以下参数之一或其任意组合NAS标 识、Anchor DPF/FA的地址、PF的地址、Anchor SFA的地址，以指示转发 该状态指示消息具体网元。如果存储或分发终端的MBS状态的功能实体为MBS服务器，且MBS 服务器处于接入网的网关时，MBS的状态指示消息分发路径如图5所示。对于任意一种MBS的状态指示消息的传播途径，MBS的使用控制方法 的具体实现方式均与上述实施方式相雷同，在此不再赘述。由于状态指示消 息可以通过多个网络实体的转发，发送给MBS控制功能实体，因此，本发 明方案能够灵活应用于多种网络结构中。本发明的第四实施方式涉及MBS的使用控制系统，其特征在于，包含 存储或分发终端的MBS状态的功能实体，用于发送用于指示该终端的该 MBS状态的状态指示消息；和MBS控制功能实体，用于接收状态指示消息， 并根据该消息决定是否授权该终端使用该MBS。该状态指示消息中可以包含 的内容有MBS签约时间、MBS认证成功、MBS超时、MBS认证失败、 MBS去激活标志、终端标识、和MBS标识，其中，MBS签约时间可以是该 MBS的业务终止的绝对时间或业务的剩余时间；MBS标识可以是SFID或内 容标识。其中，存储或分发终端的MBS状态的功能实体可以是AAA服务器、AS、 MBS月良务器、或第三方的AAA服务器；MBS控制功能实体可以是基站。具体地说，当终端的MBS签约时间到期或MBS认证成功时，存储或分 发终端的MBS状态的功能实体发送相应的状态指示消息。如果MBS控制功 能实体接收到的是指示MBS签约时间到期的状态指示消息，则通过删除该 终端的该MBS的相关信息或将该终端的该MBS状态置为非激活状态，拒绝 授权该终端使用该MBS;如果MBS控制功能实体接收到的是指示MBS认证 成功的状态指示消息，则通过将该终端的该MBS的相关信息添加到相应上 下文中或将该终端的该MBS状态置为激活状态，授权该终端使用该MBS。MBS控制功能实体通过仅对被授权使用相应MBS的终端发送GKEK， 使得超出订阅有效期的终端无法接收该MBS， MBS认证成功的终端能够顺 利地接收该MBS。需要说明的是，状态指示消息还可以通过一个或多个网络实体(如MBS 服务器、PF、 Anchor SFA、 Anchor DPF/FA、 NAS、和网关)的转发，发送 给MBS控制功能实体，以灵活应用于多种网络结构中。虽然通过参照本发明的某些优选实施方式，已经对本发明进行了图示和 描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各 种改变，而不偏离本发明的精神和范围。
权利要求
1.一种组播广播业务的使用控制方法，其特征在于，包含以下步骤存储或分发终端的组播广播业务MBS状态的功能实体向MBS控制功能实体发送用于指示该终端的该MBS状态的状态指示消息；所述MBS控制功能实体根据收到的所述状态指示消息确定是否授权所述终端使用该MBS。
2. 根据权利要求1所述的组播广播业务的使用控制方法，其特征在于， 所述状态指示消息包含以下参数之一或其任意组合MBS签约时间、MBS认证成功、MBS超时、MBS认证失败、MBS去 激活标志、终端标识、MBS标识。
3. 根据权利要求2所述的组播广播业务的使用控制方法，其特征在于， 所述MBS签约时间为该MBS的业务终止的绝对时间或业务的剩余时间；所 述MBS标识为业务流标识或内容标识。
4. 根据权利要求1所述的组播广播业务的使用控制方法，其特征在于， 当所述终端的MBS签约时间到期时，所述存储或分发终端的MBS状态的功 能实体向所述MBS控制功能实体发送指示MBS签约时间到期的状态指示消息；所述MBS控制功能实体收到所述指示MBS签约时间到期的状态指示 消息时，通过删除所述终端的该MBS的相关信息或将该终端的该MBS状态 置为非激活状态，拒绝授权该终端使用该MBS。
5. 根据权利要求4所述的组播广播业务的使用控制方法，其特征在于， 所述指示MBS签约时间到期的状态指示消息包含以下参数之一或其任意组 合MBS超时标识、MBSiU正失败标识、终端标识、MBS标识。
6. 根据权利要求1所述的组播广播业务的使用控制方法，其特征在于， 当所述终端的MBS认证成功时，所迷存储或分发终端的MBS状态的功能实 体向所述MBS控制功能实体发送指示MBS认证成功的状态指示消息；所述MBS控制功能实体收到所述指示MBS认证成功的状态指示消息 时，通过将所述终端的该MBS的相关信息添加到相应上下文中或将该终端 的该MBS状态置为激活状态，授权该终端4吏用该MBS。
7. 根据权利要求6所述的组播广播业务的使用控制方法，其特征在于， 所述指示MBS认证成功的状态指示消息包含以下参数之一或其任意组合MBS认证成功的标识、MBS签约时间、终端标识、MBS标识。
8. 根据权利要求1至7中任一项所述的组播广播业务的使用控制方法， 其特征在于，所述存储或分发终端的MBS状态的功能实体为认证、授权和 计费AAA服务器、应用服务器、MBS服务器、或第三方的AAA服务器；所述MBS控制功能实体为基站。
9. 根据权利要求8所述的组播广播业务的使用控制方法，其特征在于， 所述MBS控制功能实体在收到所述终端的MBS密钥请求后，仅向授权使用 该MBS的终端发送相应的MBS密钥。
10. 根据权利要求9所述的组播广播业务的使用控制方法，其特征在于， 所迷MBS密钥为组播业务加密密钥GKEK。
11. 根据权利要求8所述的組播广播业务的使用控制方法，其特征在于， 所述存储或分发终端的MBS状态的功能实体通过以下之一或其任意组合的 网络实体将所述状态指示消息发送给所述MB S控制功能实体MBS服务器、策略功能实体、业务流授权者锚点、数据通路功能/外地 代理锚点、网络接入服务器、网关。
12. 根据权利要求8所述的组播广播业务的使用控制方法，其特征在于， 所述状态指示消息携带以下参数之一或其任意组合网络接入服务器标识、数据通路功能或外地代理锚点的地址、策略功能 实体的地址、业务流授权者锚点的地址。
13. 根据权利要求8所述的组播广播业务的使用控制方法，其特征在于， 所述状态指示消息携带所述MBS所需的安全信息。
14. 根据权利要求13所述的組播广播业务的使用控制方法，其特征在 于，所述安全信息包含以下之一或其任意組合MBS多播組安全联盟、GKEK上下文、MBS授权密钥MAK、 MAK上下文。
15. —种组播广播业务的使用控制系统，其特征在于，包含存储或分发终端的组播广播业务MBS状态的功能实体，用于发送用于 指示该终端的该MBS状态的状态指示消息；和MBS控制功能实体，用于接收所述状态指示消息，并根据该消息决定 是否授权所述终端^f吏用该MBS。
16. 根据权利要求15所述的组播广播业务的使用控制系统，其特征在 于，所述状态指示消息包含以下参数之一或其任意组合MBS签约时间、MBS认证成功、MBS超时、MBS认证失败、MBS去 激活标志、终端标识、MBS标识。
17. 根据权利要求15所述的组播广播业务的使用控制系统，其特征在 于，所述存储或分发终端的组播广播业务MBS状态的功能实体在所述终端 的MBS签约时间到期或MBS认证成功时，发送所述状态指示消息。
18. 根据权利要求15至17中任一项所述的组播广播业务的使用控制系 统，其特征在于，所述存储或分发终端的MBS状态的功能实体为认证、授权和计费AAA服务器、应用服务器、MBS服务器、或第三方的AAA服务器；所迷MBS控制功能实体为基站。
19.根据权利要求18所述的组播广播业务的使用控制系统，其特征在 于，所述系统还包含以下之一或其任意组合的网络实体MBS服务器、策略功能实体、业务流授权者锚点、数据通路功能/外地 代理锚点、网络接入服务器、网关；所述存储或分发终端的MBS状态的功能实体通过所述网络实体的转 发，将所述状态指示消息发送给所述MBS控制功能实体。
全文摘要
本发明涉及通信领域，公开了一种组播广播业务的使用控制方法及其系统，使得MBS能被有效合理地使用。本发明中，由存储或分发终端的MBS状态的功能实体向MBS控制功能实体发送用于指示该终端的该MBS状态的状态指示消息，控制MBS的功能实体根据收到的状态指示消息决定是否授权该终端使用该MBS。控制MBS的功能实体仅向授权使用该MBS的终端发送相应的MBS密钥，使得超出订阅有效期的终端无法接收该MBS。状态指示消息还可以携带MBS所需的安全信息，可以通过多个网络实体的转发，发送给MBS控制功能实体。
文档编号H04W12/04GK101155411SQ20061014197
公开日2008年4月2日 申请日期2006年9月27日 优先权日2006年9月27日
发明者冯成燕, 单长虹, 吴建军, 林志斌, 勇 谢 申请人:华为技术有限公司