专利名称:一种手机电视业务系统获取注册密钥的方法
技术领域:
本发明涉及通信领域,尤其涉及一种手机电视业务系统获取注册密钥的方法。
背景技术:
手机电视业务是将多媒体、数据信息(交通信息、新闻)等各种内容,通 过组播/广播的方式,传输到手机上。手机电视作为一种新兴媒体,给广大用 户提供了全新的业务体验一在手机上收看电视节目。手机用户的可漫游和移动 接收使手机电视比传统电视有更大的影响力,它可以把各种信息以更快的速度 提供给用户。在手机电视业务中,为了实现只有授权用户才能正常收看电视节目,需要 建立一套手机电视用户接入手机电视业务系统的认证鉴权系统。终端通过注册 密钥,向多媒体广播业务控制中心进行认证鉴权,鉴权通过之后,才能进行后 续的手机电视业务接入鉴权过程。在3GPP体系的GSM/GPRS、 WCDMA网络中,用户注册密钥通过通用 自举架构GBA (Generic Bootstrapping Architecture)过程获取,如图1所示。终端与手机电视业务系统之间没有共享的用户注册密钥时,终端发起一个 与认证服务模块自举服务功能(Bootstrapping Service Function, BSF)之间的 GBA过程首先,终端发起GBA请求;BSF从归属位置寄存器HLR中(对于 GSM/GPRS)获取用户认证矢量三元组,或从归属用户服务器HSS中(对于 WCDMA)获取用户认证矢量五元组;终端用户身份卡(U)SIM中也能产生相 同的用户认证矢量,根据用户认证矢量,通过与BSF的HTTP Digest AKA (HTTP摘要认证)交互,终端和BSF生成共享密钥;然后,BSF将共享密钥发送给手机电视业务系统,终端和手机电视业务系 统根据共享密钥各自生成共享的注册密钥。这样终端与手机电视业务系统之间
建立完成相同的注册密钥。在3GPP2体系的CDMA IX、 CDMAEV-DO网络中,终端/卡和网络 HLR/AAA预置相同的注册密钥。手机电视业务系统可以从HLR/AAA中获取 注册密钥。图2是现有技术中获取注册密钥的流程图。终端完成移动网接入鉴权后, 向手机电视业务系统发起注册认证过程,手机电视业务系统判断本地保存该用 户的注册密钥是否有效如果有效,则手机电视业务系统和终端共享注册密钥, 通过用户认证过程后(认证过程见图4),用户注册请求获准,完成后续密钥 协商;如果无效,则系统和终端分别生成注册密钥,手机电视业务系统和终端 共享注册密钥,通过用户认证过程后,用户注册请求获准,完成后续密钥协商。在生成注册密钥后,可以使用该注册密钥向手机电视业务系统发起HTTP Digest认证(HTTP摘要认证)过程。认证过程如图4所示1. 终端/卡向手机电视业务系统发起认证请求;2. 手机电视业务系统生成随机数;3. 手机电视业务系统响应认证请求,并将随机数发送给终端/卡;4. 终端/卡根据用户身份(如国际移动用户标识符IMSI, International Mobile Subscriber Identifier)、注册密钥和随机数计算响应值Response;5. 终端/卡将响应值Response上传给手机电视业务系统;6. 手机电视业务系统根据用户身份、注册密钥和随机数计算响应值 Response,并与第5步中终端/卡上报的响应值进行比较,若相同则认 证成功,否则认证失败。由于3GPP体系中,获取注册密钥需要网络新增BSF网元、终端/卡新增 GBA支持功能,对网络和终端/卡的改动较大;3GPP2体系中,终端/卡和 HLR/AAA需要预置额外的注册密钥,亦即为手机电视业务系统增加只针对手 机电视用户的注册密钥,终端/卡和HLR/AAA需要维护更多的用户鉴权注册 用的密钥,增加了密钥体系的复杂度,实现方法也相对更不灵活。发明内容为了解决上述的技术问题,提供了一种手机电视业务系统获取注册密钥的 方法,其目的在于,为手机电视业务接入鉴权提供注册密钥。
本发明提供了一种手机电视业务系统获取注册密钥的方法,包括以下步骤步骤1,终端/卡使用移动通信网的加密密钥生成手机电视业务注册密钥; 歩骤2,所述终端/卡向手机电视业务系统注册鉴权;步骤3,所述手机电视业务系统在本地查询所述终端/卡的所述手机电视业 务注册密钥,如果所述手机电视业务注册密钥不存在,则所述手机电视业务系 统从鉴权中心获取所述终端/卡的所述加密密钥,并使用所述加密密钥生成所 述手机电视业务注册密钥。所述步骤1中,所述终端/卡将所述加密密钥补0,生成长度为128比特的 所述手机电视业务注册密钥。所述歩骤3中,所述手机电视业务系统从鉴权中心获取所述终端/卡的所 述加密密钥后,将所述加密密钥补O,生成长度为128比特的所述手机电视业务注册密钥。所述加密密钥为加密密钥Kc或加密密钥SSD-B。所述步骤1中,所述终端/卡将语音加密密钥PLCM、信令加密密钥 SMEKEY以及由PLCM和SSD-B执行CAVE计算生成的AUTHR进行拼接, 并补O,生成长度为128比特的所述手机电视业务注册密钥。所述步骤3中,所述手机电视业务系统从鉴权中心获取所述终端/卡的语 音加密密钥PLCM、信令加密密钥SMEKEY和SSD-B后,使用PLCM、 SMEKEY以及由所述PLCM和SSD-B执行CAVE计算生成的AUTHR进行拼 接,并补O,生成长度为128比特的所述手机电视业务注册密钥。终端/卡按照规则截取语音加密密钥VPM中的128比特,生成所述手机电 视业务注册密钥。所述歩骤3中,所述手机电视业务系统从鉴权中心获取所述终端/卡的语 音加密密钥VPM后,按照所述规则截取所述语音加密密钥VPM中的128比 特,生成所述手机电视业务注册密钥。如果所述手机电视业务系统在本地査询到的所述注册密钥无效,则所述终 端/卡生成移动通信网接入鉴权时产生的加密密钥,所述手机电视业务系统重 新获取移动通信网接入鉴权时产生的加密密钥。本发明提出了一种利用现有移动通信网用户接入鉴权体系,为手机电视业
务接入鉴权提供注册密钥的方法。充分利用现有移动通信网络,现网中的HLR/AAA不作任何改动,无需新增额外的网元和预置手机电视用户密钥体系, 达到节省投资、快速部署手机电视业务系统、易于运营管理的目的。
图1为现有技术中通过通用业务认证架构GBA过程获取用户注册密钥的 示意图;图2为现有技术中获取注册密钥的流程图; 图3为本发明提供的生成注册密钥的流程图; 图4为现有技术中的认证流程图。
具体实施方式
本发明使用在3GPP体系或3GPP2体系中已经生成但在国内现有移动通 信网中没有使用的加密密钥来为手机电视业务系统提供注册密钥。在现有GSM/GPRS网络中,使用鉴权三参数组(加密密钥Kc,随机数 RAND,符号响应(SignedResponse, SRES))实现用户鉴权。在用户入网时, 将用户鉴权永久性密钥Ki、 IMSI—起分配给用户,保存在SIM卡中。在网络 端Ki存贮在鉴权中心AuC中。鉴权参数由鉴权中心AuC生成,在AuC中执 行相应的算法产生鉴权三参数组由一个随机数发生器生成随机数RAND;使用A3算法,生成符号响应SRES二A3(RAND,Ki);使用A8算法,生成加密密钥Kc=A8(RAND, Ki)。AuC应MSC/VLR的请求,每次生成若干个三参数组(RAND, SRES, Kc), 并将生成的三参数组存贮在HLR中。HLR存贮每个用户的三参数组,并在 MSC/VLR请求时传送给它,以保证本地/外地网络可获取接入用户的三参数 组,完成本地/外地网络对接入用户的鉴权。在用户需要接入认证时,MSC/VLR 向移动台(MS)发送RAND, MS使用存贮在SIM卡中的和AuC中一样的Ki 和算法,计算出SRES。然后把SRES回送给MSC/VLR,验证其合法性,是 否让其接入网络。在MS位置更新,做主叫或被叫,补充业务的激活或去活, 位置登记或删除之前均需要鉴权。网络对用户的数据进行加密,以防止窃听。加密是受鉴权过程中产生的加
密密钥Kc控制的,加密密钥由密钥算法A8和加密算法A3生成,由于密钥算 法A8和加密算法A3具有相同的输入参数RAND和Ki,因而可以将两个算法 合为一个算法,用来计算符号响应和加密密钥。加密密钥Kc不在无线接口上 传送,而是存在SIM卡和AuC中。加密的过程是:将A8算法生成的加密密钥Kc和承载用户数据流的TDMA 数据帧的帧号作为A5算法的输入参数,生成伪随机数据流。再将伪随机数据 流和未加密的数据流作模二加运算,得到加密数据流。在网络侧实现加密是在 基站收发器(BTS)中完成的,BTS中存有A5加密算法,加密密钥Kc是在鉴权 过程中由MSC/VLR传送给BTS的。现网中在用户接入鉴权中虽然产生了加密密钥Kc,但是没有采用Kc用作 通信的加密,即现网的通信是没有加密保护的。本发明以64比特位长的加密 密钥Kc作为手机电视用户认证鉴权中的注册密钥的有效部分,适当补0后, 生成手机电视业务注册密钥。终端/卡也以加密密钥Kc作为手机电视用户认证 鉴权中的注册密钥的有效部分,适当补0后,生成终端的注册密钥。终端/卡 完成移动通信网接入鉴权后,在进行手机电视业务认证鉴权时,若手机电视业 务系统上没有该用户的注册密钥、或者注册密钥已无效,则手机电视业务系统 将从鉴权中心中获取该用户对应的新的加密密钥Kc,补0后作为手机电视用 户的注册密钥保存在本地,并用于对手机电视用户的注册认证。在CDMA IX网络中,密钥A-KEY为终端/卡和网络侧鉴权中心AC共享 的密钥,其它实体无权知道A-KEY的值。A-KEY的长度为64比特,在终端 出厂时A-KEY的值是被设为全零的二进制值,A-KEY的值是由运营商来决定 的。A-KEY的值被写入后通常就不再做改变。因为A-KEY是产生其它秘密数 据的基础,所以A-KEY的安全是非常重要的,AC除了和终端(UIM卡)外 不能和其它实体共享A-KEY。共享秘密数据(Shared Secret Data, SSD)是128比特的值,它由终端/卡 和AC共享。SSD是网络对终端进行鉴权,以及信息加密过程中的重要数据。SSD不能在空中口传送,SSD生成或更新过程是由AC发起,在终端和 AC使用相同的算法以A-KEY为输入参数计算完成,更新过程可以在控制信 道进行也可以在业务信道进行。AC可以将SSD传送给拜访位置寄存器VLR (Visit Location Register),由拜访地网络实现对漫游用户的身份鉴权和通信 加密。SSD分为两部分SSD-A和SSD-B各64比特。SSD-A用于鉴权,SSD-B 用于加密。终端/卡利用SSD-B和蜂窝鉴权与话音保密(Celluar Authentication and Voice Encryption, CAVE)算法产生40比特的专用长码掩码(Private Long Code Mask,PLCM)、64比特的信令消息加密密钥(Signaling Message Encryption Key, SMEKEY) 、 520比特的语音加密密钥(Voice Privacy Mask, VPM) 。 SMEKEY用作移动通信中的信令加密密钥,PLCM和VPM用作移动通信中的语音加密 密钥。现网中在用户接入鉴权中虽然产生加密密钥SSD-B、 PLCM、 SMEKEY 和VPM,但是现网的通信没有进行加密保护。为了生成手机电视业务的注册密钥,本发明提供了3种实施方式,具体的 方案如下方案一本发明以加密密钥SSD-B作为手机电视用户认证鉴权中的注册 密钥,因注册密钥长度要求为128比特,可以将用户注册密钥的前64比特填 上SSD-B、将注册密钥的后64比特填上0。终端/卡也以加密密钥SSD-B作为 手机电视用户认证鉴权中的注册密钥的有效部分,适当补0后,生成注册密钥。 终端/卡完成移动通信网接入鉴权后,在进行手机电视业务认证鉴权时,若手 机电视业务系统上没有该用户的注册密钥、或者用户的注册密钥己无效,则手 机电视业务系统将从AC中获取该用户对应的新的加密密钥SSD-B,补0后作 为手机电视用户注册密钥保存在本地,并用于对手机电视用户的注册认证。方案二本发明将加密密钥PLCM、 SMEKEY,以及通过PLCM和SSD-B 生成的鉴权响应AUTHR按照规则拼接组成128比特的注册密钥。过程如下1. 终端进行通信网络接入鉴权时,AC和UIM卡中共享SSD-A、 SSD-B; SSD-B进一步生成PLCM和SMEKEY,其中PLCM、 SMEKEY在UIM卡生 成后发送给终端;2. 手机电视业务系统从AC中获取PLCM、 SMEKEY、 SSD-B;3. 终端以PLCM作为随机数RAND发送给UIM卡,UIM卡以RAND和 SSD-B作为参数,执行CAVE算法,生成18比特的AUTHR,并将AUTHR 返回给终端;手机电视业务系统也具备CAVE计算功能,以PLCM作为随机 数RAND,以RAND和SSD-B作为参数,执行CAVE计算,生成AUTHR; 4.终端/卡和手机电视业务系统分别将40比特的PLCM、 64比特的 SMEKEY和第3步产生的18比特的AUTHR拼接,并补0组成128比特的注 册密钥。终端/卡和手机电视业务系统分别生成的注册密钥完全相同,因此达 到共享注册密钥的目的。终端/卡在进行手机电视业务认证鉴权时,若手机电视业务系统上没有该 用户的注册密钥、或者用户的注册密钥已无效,则手机电视业务系统将从AC 中获取该用户对应的PLCM、 SMEKEY、 SSD-B,使用PLCM和SSD-B执行 CAVE计算,生成AUTHR,然后用PLCM、 SMEKEY和AUTHR拼接成注册 密钥。方案三本发明以520比特的VPM作为手机电视用户认证鉴权中的注册 密钥,因注册密钥长度要求为128比特,而VPM大于128比特。可以根据某 种规则从VPM中截取128比特作为手机电视用户的注册密钥(例如可以截取 前128位,或截取后128位,等等)。终端/卡完成移动通信网接入鉴权后, 在进行手机电视业务认证鉴权时,若手机电视业务系统上没有该用户的注册密 钥、或者用户的注册密钥已无效,则手机电视业务系统将从AC中获取该用户 对应的新的语音加密密钥VPM,截取后作为手机电视用户的注册密钥保存在 本地,并用于对手机电视用户的注册认证。图3是本发明提供的生成注册密钥的流程图。当终端向手机电视业务系统 发起注册认证过程时,手机电视业务系统判断本地没有保存该用户的注册密钥 或者注册密钥已过期,则手机电视业务系统和终端/卡将进行生成注册密钥的 操作。GSM/GPRS网络中,手机电视业务系统从AuC中获取移动通信加密密 钥Kc,终端从卡中获取相同的Kc,手机电视业务系统和终端对相同的Kc执 行相同的补0操作,生成共享的注册密钥。CDMA网络中,手机电视业务系 统从AC中获取移动通信加密密钥,终端从卡中获取相同的加密密钥,手机电 视业务系统和终端对加密密钥执行相同的操作,生成共享的注册密钥,在前述 生成注册密钥的三种不同方案中,所需的移动通信加密密钥和所作的操作有所 不同。本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条 件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于 以上的说明,而是由权利要求书的范围来确定的。
权利要求
1、一种手机电视业务系统获取注册密钥的方法,其特征在于,包括以下步骤步骤1,终端/卡使用移动通信网的加密密钥生成手机电视业务注册密钥;步骤2,所述终端/卡向手机电视业务系统注册鉴权;步骤3,所述手机电视业务系统在本地查询所述终端/卡的所述手机电视业务注册密钥,如果所述手机电视业务注册密钥不存在,则所述手机电视业务系统从鉴权中心获取所述终端/卡的所述加密密钥,并使用所述加密密钥生成所述手机电视业务注册密钥。
2、 如权利要求1所述的手机电视业务系统获取注册密钥的方法,其特征 在于,所述步骤1中,所述终端/卡将所述加密密钥补0,生成长度为128比特 的所述手机电视业务注册密钥。
3、 如权利要求2所述的手机电视业务系统获取注册密钥的方法,其特征 在于,所述步骤3中,所述手机电视业务系统从鉴权中心获取所述终端/卡的 所述加密密钥后,将所述加密密钥补0,生成长度为128比特的所述手机电视 业务注册密钥。
4、 如权利要求2所述的手机电视业务系统获取注册密钥的方法,其特征 在于,所述加密密钥为加密密钥Kc或加密密钥SSD-B。
5、 如权利要求1所述的手机电视业务系统获取注册密钥的方法,其特征 在于,所述步骤1中,所述终端/卡将语音加密密钥PLCM、信令加密密钥 SMEKEY以及由PLCM和SSD-B执行CAVE计算生成的AUTHR进行拼接, 并补0,生成长度为128比特的所述手机电视业务注册密钥。
6、 如权利要求5所述的手机电视业务系统获取注册密钥的方法,其特征 在于,所述步骤3中,所述手机电视业务系统从鉴权中心获取所述终端/卡的 语音加密密钥PLCM、信令加密密钥SMEKEY和SSD-B后,使用PLCM、 SMEKEY以及由所述PLCM和SSD-B执行CAVE计算生成的AUTHR进行拼 接,并补0,生成长度为128比特的所述手机电视业务注册密钥。
7、 如权利要求1所述的手机电视业务系统获取注册密钥的方法,其特征 在于,终端/卡按照规则截取语音加密密钥VPM中的128比特,生成所述手机 电视业务注册密钥。
8、 如权利要求7所述的手机电视业务系统获取注册密钥的方法,其特征在于,所述步骤3中,所述手机电视业务系统从鉴权中心获取所述终端/卡的 语音加密密钥VPM后,按照所述规则截取所述语音加密密钥VPM中的128 比特,生成所述手机电视业务注册密钥。
9、 如权利要求1至8之一所述的手机电视业务系统获取注册密钥的方法, 其特征在于,如果所述手机电视业务系统在本地査询到的所述注册密钥无效, 则所述终端/卡生成移动通信网接入鉴权时产生的加密密钥,所述手机电视业 务系统重新获取移动通信网接入鉴权时产生的加密密钥。
全文摘要
本发明涉及一种手机电视业务系统获取注册密钥的方法,包括以下步骤步骤1,终端/卡使用移动通信网的加密密钥生成手机电视业务注册密钥;步骤2,所述终端/卡向手机电视业务系统注册鉴权;步骤3,所述手机电视业务系统在本地查询所述终端/卡的所述手机电视业务注册密钥,如果所述手机电视业务注册密钥不存在,则所述手机电视业务系统从鉴权中心获取所述终端/卡的所述加密密钥,并使用所述加密密钥生成所述手机电视业务注册密钥。本发明提出了一种利用现有移动通信网用户接入鉴权体系,为手机电视业务接入鉴权提供注册密钥的方法。
文档编号H04H60/23GK101162955SQ200710177228
公开日2008年4月16日 申请日期2007年11月12日 优先权日2007年11月12日
发明者严斌峰, 伟 吴, 张智江, 裴小燕 申请人:中国联合通信有限公司