证令牌(AUTN)值、 期望响应(XRES)值、加密密钥(CK)值、和/或完整性密钥(IK)值。这些值中,BSF可以将 具有认证挑战响应的摘要(包括RAND和AUTN)发送(306)到UE (例如,401未经授权的万 维网认证(WWW-认证)信令)。具有认证挑战响应的摘要可以要求UE认证它自己。UE可 以在UE的SM上运行AKA算法、通过验证AUTN来认证BSF、并且导出响应(RES)值和会话 密钥(即,CK和IK)。因此,在运行AKA算法后,会话密钥IK和CK可以同时存在于BSF和 UE这二者中,其中,会话密钥可以在AV中的早些时候被提供给BSF。在生成会话密钥后,UE 可以发送(310)具有导出的RES值的第二请求。然后,BSF可以通过将来自UE的RES与认 证矢量(AV)中的XRES进行比较(312)来认证用户。如果RES与XRES相匹配,则UE可以 被认证,并且BSF可以从RAND值和BFS的名称创建(314)自举事务标识符(B-TID)。然后, B-TID可以被包括在给UE的2000K响应消息316中。2000K响应还可以包括密钥材料Ks的 寿命。UE和BSF这二者现在可以通过连接所存储的密钥CK和IK来创建314和318的Ks。 然而,实际的密钥材料的Ks_NAF可以按需(即,在UE中,当UE开始与NAF进行通信时,并 且在BSF中,当Ks_NAF由NAF查询时)从Ks来被计算。Ks_NAF可以通过使用密钥推导函 数来被创建。
[0046] GBA_U进程可以是之前所描述的具有一些差别的GBA_ME进程的扩展。关于GBA_ U进程,密钥CK和IK可以不将HCC留在UE 120中。在GBA_U自举过程中,401认证挑战 消息306中由BSF 132发送的AUTN可以不同于GBA_ME进程中的AUTN。当UE接收到挑战 时,UE的移动设备(ME)部分可以将RAND和AUTN发送到UICC,HCC然后可以计算CK、IK 和RES。然后可以存储CK值和IK值,并且为ME提供要被发送到BSF的RES。在GBA_ U自举进程后,类似于GBA_ME进程,BSF和HCC可以创建Ks_NAF。
[0047] 图5示出了自举使用过程(或进程)的消息流程图,其类似于3GPP TS 33. 220图 4. 4。UE 120可以包括B-TID和Ks 320,并且BSF 132可以包括B-TID和Ks 322。UE可 以从Ks导出(332)密匙Ks_NAF。然后,UE可以将具有B-TID和消息(msg)的应用请求发 送(334)到NAF 110。消息可以包括专用数据集。然后,NAF可以将认证请求发送(336)到 BSF,以得到与给定B-TID相对应的密钥材料。认证请求还可以包括NAF标识符(NAF-Id或 NAF-ID),NAF标识符可以包括由UE使用的NAF的公共主机名和Ua安全协议标识符。BSF 可以验证NAF被授权使用给定的主机名。如果主机名验证成功并且密钥被发现具有给定的 B-TID,则BSF可以将具有Ks_NAF的自举时间和密钥寿命和用户简档(Prof)的Ks_NAF发 送(338)到NAF。简档可以包括用户简档的专用部分。除Ks_NAF外,NAF还可以从BSF请 求一些专用信息。NAF可以存储具有Ks_NAF的自举时间和密匙寿命的Ks_NAF。NAF可以 将具有所请求的信息的应用答案发送(342)给UE。然而,如果没有密匙被发现具有B-TID, 则BSF可以通知NAF丢失的B-TID,NAF然后可以将自举重新协商请求发送到UE。UE然后 可以再次执行如图4中所示的自举认证过程。
[0048] 图6示出了基于GBA的认证过程的流程图。用户(例如,UE 120)可以使用浏览 器来请求访问NAF(352)。UE可以用BSF 132来执行GBA自举认证过程354 (见图4),包括 与HSS 130的GBA自举查询和响应356。在自举认证完成之后,UE和NAF 110可以运行一 些专用协议,其中消息的认证可以基于UE和BSF之间的相互认证期间所生成的会话密钥。 例如,UE可以响应NAF挑战358 (例如,B-TID)(见图5)。BSF可以为NAF提供UE的GBA挑 战响应验证360。然后,UE可以被允许访问NAF (362)。
[0049] 图7示出了 GAA的DASH感知网络应用功能(D-NAF) 116组件,还可以用作代理服 务器用于基于DASH的流。D-NAF可以包括NAF 110和DASH代理114服务器,DASH代理114 服务器可以与DASH服务器118进行通信。经由DASH代理D-NAF可以被配置为解析DASH MPD402,并且使用所取回的DASH内容信息来优化基于GAA的认证过程。DASH代理还可以经 由HTTP接口与UE进行通信。
[0050] D-NAF可以包括各种功能。例如,D-NAF可以以DASH内容相关的方式应用认证 策略,例如针对不同的DASH表示和适应集合使用不同的认证策略(即,经由不同的认证密 钥)。客户端可以具有不同的访问权限或授权,以接收D-NAF授权的DASH格式流的不同部 分。在另一示例中,D-NAF可以从DASH服务供应商接收特定的认证策略,并且将来自DASH 服务提供商的这些策略合并到用户认证中。当DASH特定认证策略由D-NAF管理时,运营商 网络可以被信任来代表服务提供商处理认证。经由运营商网络的DASH特定认证可以为运 营商和(〇Ver-the-t〇p,OTT)服务供应商创造新的商业机会。因此,针对每个表示(图2的 408)或适应集合(图2的406),DASH MH)可以包括与结合该表示或适应集合被使用的认证 策略有关的特定信令。D-NAF可以为DASH内容提供更精细的认证。在另一配置中,D-NAF 可以通过下载用户授权凭证或基于优先权访问凭证(即,在DASH MH)中)经由外部实体来 提供单独的DASH内容授权,以允许HSS集中于过载情境期间的网络授权。例如,经由BSF 和HSS基于GAA的认证过程可以被MPD中所表示的服务提供商自己的认证策略覆盖。
[0051] 在另一示例中,D-NAF可以被用于DASH内容的统一资源定位符(URL)认证或客户 端认证,客户端认证可以被用于控制访问特定资源并且还标识不旨在用于特定一组用户的 内容。为了保护它们自己的版权并且履行它们的许可义务,内容和服务提供商可以限制对 内容的访问并且限制查看时间。客户端认证可以被用于控制访问特定资源并且还标识不旨 在用于特定一组用户的内容。例如,用于某些类型的限制材料(例如,版权保护材料或按次 计费内容)的认证密钥仅可以被分发给授权用户。作为另一示例,等级信息(例如,G、PG、 PG-13、TV-14或R)可以被提供用于家长控制。在这样的设置中,客户端特定认证密钥可 以被传送给预期的用户,并且只有具有正确的认证密钥信息的用户才可以被允许访问该内 容。播放程序、应用或设备可以按照特定模式进行操作,特定模式按内容的认证密钥所标识 的来允许和/或禁止播放DASH内容。
[0052] 经由D-NAF的DASH内容认证可以具有各种应用(或用例)。五个例可以说明DASH 内容URL认证的一些优势和好处。在第一用例中,爱丽丝(Alice)可以拥有具有DASH功能 的客户端应用,具有DASH功能的客户端应用允许她观看DASH格式的内容。她可以被订阅 到运营商最佳覆盖电信(Operator BestCoverage Telecom)的移动流服务。她可能有兴趣 观看电影"冲出云层(A Dash through the Clouds)"(在DASH格式中是可用的)。运营商 可以限制授权用户才能访问该电影并且采用基于3GPP的认证机制来限制访问(例如,DASH 内容认证)。由于爱丽丝可能已经订阅了移动流服务,所以她的客户端应用可以被认证并且 她能享受这部电影。
[0053] 在第二用例中,爱丽丝和鲍勃(Bob)这二者都可以拥有具有DASH功能的客户端应 用,具有DASH功能的客户端应用允许他们观看DASH格式的内容。他们可以被订阅到运营 商最佳覆盖电信的移动流服务。鲍勃可以为"优质流送(premium streaming)"计划进行 支付,而爱丽丝可以优选更便宜的"基本流送"计划并且为该计划进行支付。他们都有兴趣 观看电影"冲出云层"。电影在在处在不同的比特率和/或分辨率的DASH格式中是可用的。 由于鲍勃的溢价计划订阅,鲍勃的客户端应用可以访问和接收由服务所提供的不同比特率 和/或分辨率的流(例如,在给定时间,给定链路带宽和设备功能,通过选择最佳分辨率)。 由于她的基本订阅,爱丽丝的客户端应用可能被限制访问最高的比特率和/或分辨率,因 此使用DASH内容认证的爱丽丝的客户端应用仅可以从受限的一组可用的比特率和/或分 辨率接收流。
[0054] 在第三用例中,运营商最佳覆盖电信(运营商)可能最近显著投入到运营商的基 础设施中,并且可能在寻找新的商业机会,以通过聚焦于过多的(OTT)内容分发价值链来 增加运营商的服务收入。更具体地,运营商可能希望利用它们的信息系统和网络设备(例 如,家庭订户子系统(HSS)),其可能包含有价值的用户信息(包括认证密钥、用户标识和用 户服务简档)。这样的用户信息可以使得运营商能够执行很多控制功能,包括用户认证、对 用户访问服务的授权、以及代表内容和内容分发网络(CDN)提供商计费。运营商可能最近 与DASH内容提供商MyDASH签署了安全和/或认证相关的服务水平协议(SLA),以通过在运 营商的3GPP通用认证架构(GAA)上代表MyDASH来履行用户认证和授权来分发MyDASH的 DASH格式内容。MyDASH可以托管分层订阅服务并且使用DASH内容认证向客户端认证提供 特定于内容的访问限制的执行。
[0055] 在第四用例中,运营商最佳覆盖电信(运营商)可能最近与过多的(OTT)DASH内 容提供商MyDASH签署了服务水平协议(SLA),以分发和/或转售MyDASH的DASH格式的内 容。运营商可以计划使用来自MyDASH的DASH格式的内容,以给运营商的客户端提供各种 新的服务。为了一致的用户体验,运营商可以使用DASH内容认证来确保内容和相关联的元 数据的完整性。虽然运营商可以给运营商的基础设施投资以确保安全,但运营商还可以使 用本文所描