片段i 250。片段可以经由媒 体解码器和/或播放器224被呈现给客户端。
[0032] 如图2中所示,DASH可以针对媒体呈现描述(MPD)元数据文件402指定不同的格 式,媒体呈现描述(MPD)元数据文件提供关于存储于服务器中的媒体内容表示的结构和不 同版本以及段格式(或片段格式)的信息。在DASH中,媒体呈现描述(MPD)元数据可以提 供关于存储于网络和/或媒体服务器中的媒体内容表示的结构和不同版本的信息。在图2 中所示出的示例中,Mro元数据可以在时间上被划分为具有预定义的长度(例如,在该示例 中为60秒)的时间段404。每个时间段可以包括多个适应集合(adaption set) 406。每个 适应集合可以提供关于具有很多编码的替代物的一个或多个媒体组件的信息。例如,在该 示例中适应集合0可以包括各种不同编码的音频替代物,例如不同的比特率、单声道、立体 声、环绕声等。除了在时间段ID上为多媒体呈现提供不同质量的音频外,适应集合还可以 包括不同语言的音频。适应集合中所提供的不同的替代物被称为表示408。
[0033] 在图2中,适应集合1被示出为以不同的比特率(例如,5兆比特每秒(Mbps)、 2Mbps、500千比特每秒(kbps)、或特技模式)提供视频。特技模式可以被用于寻找、快进、倒 带、或多媒体流文件中的位置中的其它变化。另外,视频对于不同的格式(例如,二维(2D) 或三维(3D)视频、或纵向或横向视频)是可用的。每个表示408可以包括段信息410。段 信息可以包括初始化信息412和实际媒体段数据414。在该示例中,MPEG-4(MP4)文件从服 务器流动到移动设备。虽然在该示例中使用了 MP4,但是可以使用各种不同的编解码器。编 解码器是能够编码或解码数字数据流或信号的设备、应用、元件或计算机程序。
[0034] 适应集合中的多媒体还可以被划分为更小的段。在图2的示例中,适应集合1的 60秒视频段还被划分为四个子段414,每个子段为15秒。这些示例不旨在是限制性的。适 应集合和每个媒体段或子段的实际长度取决于媒体的类型、系统需求、可能的干扰类型等。 实际的媒体段或子段可以具有不到一秒至数分钟长的长度。
[0035] DASH标准可以包括段认证框架,段认证框架允许针对DASH段类型使用数字签名 或摘要以便验证来源和内容真实性。签名(或摘要)可以被提供用于媒体段或媒体子段, 以及用于初始化、索引和比特流切换段。如本文所使用的,针对相同的特征或元件,术语签 名和摘要可以互换使用。段认证框架可以计算未加密段的签名,并且在外部存储该值。MPD 接口可以使用HTTP或安全HTTP (HTTPS)来提供取回签名的URL模板。HTTPS是用于计算机 网络上的安全通信的通信协议,尤其广泛部署在互联网上。客户端可以取回签名,然后使用 验证密匙来本地计算未加密段或子段上的签名,并且在所取回的签名和所计算的签名之间 不匹配的情况下,可以拒绝媒体段或子段。被拒绝的媒体段或子段无法在客户端设备上被 查看或被播放。
[0036] 段认证框架可以被实现在3GPP通用认证架构(GAA)中。移动设备的所有者可以 使用一些种类的认证(即,以确保通信的机密性、内容完整性和客户端和/或服务器身份验 证)来访问不同的服务。GAA可以在客户端(或客户端设备)和互联网上的服务或蜂窝运 营商的网络中的服务之间提供认证和密匙协定。GAA可以是由蜂窝网络运营商提供的认证 服务,蜂窝网络运营商允许客户端和服务互相认证。用户认证可以具体化为共享的秘密,共 享的秘密既可以位于客户端设备(例如,UE 120)内的智能卡中也可以位于如图3中所示 的归属用户服务器(HSS) 130上。GAA可以通过使网络组件挑战智能卡来进行认证并且由 HSS来验证答案与预测的答案(例如,XRES)相似。GAA可以被利用来使得网络中的和用户 侧上的应用功能能够建立共享密匙。例如,3GPP可以提供"应用安全的自举"以基于认证和 密匙协定(AKA)协议通过定义通用自举架构(GBA)来认证订户。
[0037] 非对称密码(也被称为公共密匙密码)可以涉及密码算法,密码算法使用两个单 独的密匙,其中一个密匙是秘密的(或私有的),并且另一密匙是公共的。虽然公共密匙和 私有密匙是不同的,但该密匙对的两个部分可以在数学上被联系。公共密匙可以被用于加 密明文或验证数字签名;而私有密匙可以被用于解密密文或创建数字签名。术语"非对称 的"可以涉及使用不同的密匙来执行这些相反的功能,其中每个功能可以与另一功能相反。 相反,传统的或"非对称的"密码可以依赖相同的密匙来执行加密和解密这二者。
[0038] GAA可以为客户端和服务器提供使用基于共享密匙的认证的新的密匙材料,并且 GAA可以针对使用非对称认证的那些应用签署证书。UE 120可以通过现有的第三代(3G) 或第二代(2G)认证协议来认证它们自己到运营商的GAA服务,并且在认证的过程中接收新 的密匙。用户(例如,UE)想要使用的服务还可以从GAA获取密匙。因此,客户端和服务器 可以共享秘密(或秘密密匙)。除其它服务外,GAA还可以被用于认证客户端到公共密匙基 础设施(PKI),该基础设施然后可以被请求针对客户端的一个或多个公共密匙签署证书。
[0039] GAA可以使用至少两个不同的过程中的一个来认证用户。第一 GAA认证过程可以 基于客户端和服务器之间所共享的秘密。第二GAA认证过程可以基于公共密匙和私有密钥 对和数字证书。在共享秘密过程(即,第一过程)中,客户端(例如,UE 120)和运营商可 以首先通过3G认证和密钥协商(AKA)来互相认证,并且客户端和运营商可以关于之后在客 户端和客户端想要使用的服务(即,在网络应用功能(NAF) 110中)之间所使用的会话密匙 达成一致。第一过程可以被称为自举。自举(或引导)可以涉及一组隐喻,隐喻涉及可以 继续进行而无需外部帮助的自持过程。在自举过程之后,服务可以从运营商获取会话密钥, 并且会话密钥可以被用在客户端和服务之间的一些专用协议中。
[0040] 在第二GAA认证过程中,GAA可以被用于认证客户端的证书注册请求。首先自举过 程可以在第一 GAA认证过程中被实施。在自举过程之后,客户端可以从运营商的公共密匙 基础设施(PKI)请求证书,其中认证可以由通过完成自举过程所获得的会话密钥来执行。 这些证书和相应的密钥对然后可以被用于产生数字签名或验证到服务器而不是使用会话 密钥。PKI可以包括被用于创建、管理、分发、使用、存储和撤销数字证书的一组硬件、软件、 人员、策略和程序。
[0041] 自举服务器功能(BSF) 132可以被用于授权用户访问内容和访问用户凭证。BSF使 用Zh接口与HSS连接。UE 120可以经由BSF与HSS 130 -起运行AKA协议。AKA协议可 以产生密码索引密匙(CK)和/或完整性密钥(IK)。从产生的CK和IK中,会话密钥可以 在BSF和UE中被导出。应用服务器(在3GPP技术规范(TS) 33. 220V11. 4. 0(2012-09)中 被称为网络应用功能(NAF))可以从BSF获取会话密钥与订户简档信息。这样,应用服务器 (用作NAF)和UE共享随后可以被用于应用安全(例如,在应用会话开始时认证UE和NAF) 的秘密密钥。秘密密钥还可以被用于完整性和/或机密性保护,这可以扩展GAA的范围和 功能。除其它协议外,传输层安全(TLS)上的HTTPS或HTTP (或HTTP/TLS)可以被用于保 护UE和应用服务器之间的应用会话。认证代理(例如,Zn代理112)可以用作TLS端点来 使用GAA的装置(例如,用作NAF的认证代理)来认证UE。
[0042] 图3示出了一些GAA网络实体和GAA网络实体之间的接口。可选的实体用虚线示 出,并且网络边界(例如,家庭网络、不受信任的网络和被访问的网络)用点划线示出。UE 120和BSF 132可以通过使用HTTP摘要AKA协议并且达成之后可以被应用在UE和NAF 110 之间的会话密匙上的一致来通过Ub接口互相认证它们自己。UE还通过Ua接口与NAF进 行通信,NAF可以包括应用服务器,Ua接口可以使用任何专用协议。BSF可以通过Zh接口 从HSS 130取回订户的数据,Zh接口可以使用diameter基础协议。HSS可以管理用户信息 (例如,标识、认证密匙、订阅、权限等)和简档(例如,服务简档等)。如果网络中存在数个 HSS,则BSF可以首先确定要使用的适当的HSS。该确定可以通过配置预定义的HSS到BSF 列表或通过经由Dz接口来查询订户定位器功能(SLF) 134来完成。NAF可以通过Zn接口从 BSF取回会话密匙,Zn也可以使用diameter基础协议。
[0043] 通用自举架构(GBA)可以在3GPP TS 33. 220中被描述。GBA使用可以被划分为至 少两个过程:自举认证过程和自举使用过程。自举认证过程可以包括将客户端认证到家庭 网络并且导出密匙材料。在使用过程中,UE可以通知NAF要使用的密匙,并且NAF然后可 以从BSF获取所指定的密匙。认证协议可以使用HTTP摘要AKA。
[0044] 至少两个不同的认证机制可以使用GBA,包括GBA_ME和GBA_U过程(或进程)。 GBA_U(GBA HCC或GBA USM)进程可以将密匙存储在通用集成电路卡(UICC)(即,订户身 份模块(SM)卡)的3G通用订户身份模块(USM)应用中,而不是SIM应用(即,GBA_ME) 中。因此,GBA_U进程可以比GBA_ME进程更安全。然而,GBA_U进程可以修改HCC。
[0045] 图4示出了针对GBA_ME(GBA移动设备(ME))机制(或进程)的自举认证过程的消 息流程图,其类似于3GPP TS 33. 220图4.3。GBA_ME认证过程可以包括UE 120和BSF 132 之间的两个请求-响应对。首先,UE可以发送具有UE的用户名(或用户标识)的请求302。 BSF可以使用UE的用户名来从HSS和/或归属位置寄存器(HLR)获取(304)相应的GBA用 户安全设置(GUSS),GBA用户安全设置(GUSS)包括用户简档(使用Zh接口)和认证矢量 (AV)(使用Zh接口或ZV接口)。认证矢量可以包括随机(RAND)值、认