提供mbms服务的方法、系统、相应装置及通信终端的制作方法

专利名称：提供mbms服务的方法、系统、相应装置及通信终端的制作方法
技术领域：
本发明涉及通讯领域，尤其涉及提供MBMS服务的方法、系统、相应装置 及通信终端。
背景技术：
多媒体广播多播业务(Multimedia Broadcast/Multicast Service, MBMS )是 由全球标准化组织3GPP (第三代移动通信合作计划)提出的，MBMS技术是指 一个数据源，通过共享的一条传输链路，向多个用户发送数据的点到多点业务。
基于MBMS提供IP电视(Internet Protocol Television, IPTV )业务的时序 流程如图1所示，其流程如下
1) 用户(UE)向系统中的业务选4,功能才莫块(Service Selection Function, SSF)获取电子节目菜单(EPG)。
2) UE通过HTTPPOST向广播多播业务中心(BM-SC )进行业务注册。
3) BM-SC向用户发送注册响应。
4 )若注册成功，则BM-SC在注册成功后通过MIKEY向用户下发经过MUK 加密的MSK。图中未示通过GBA ( Generic Bootstrapping Architecture,通用自 举(引导)架构)/GAA过程获得MUK的过程。
5 ) BM-SC向用户传输经MTK加密的MBMS数据，上述MSK可解密该 MTK，进而解密传输数据。其中BM-SC可周期性的更改MBMS数据的加密码 MTK，则同时需要周期性的更新用户的MSK。
但是在上述描述的技术是基于MBMS提供IPTV的，不能为IP多媒体子系 统(IP Multimedia Subsystem, IMS)网络所控制，从而不能利用IMS丰富的业 务能力。

发明内容
本发明所要解决的技术问题在于提供一种提供MBMS服务的方法、系统、相应装置以及通信终端，可以利用IMS系统对提供的MBMS服务进行业务控制。
为了解决上述技术问题， 一方面，本发明的实施例提供了一种基于IMS系 统提供MBMS服务的方法，包括IMS系统中的业务控制模块根据业务认证请 求进行业务认证，获得认证通过结果；所述业务控制模块向安全模块发送认证 通过结果，所述认证通过结果用于通知安全模块根据所述认证通过结果向用户 发送MBMS服务的业务解密码。
同时，本发明的实施例还提供了一种安全装置，包括第一接收模块，用 于接收IMS系统中的业务控制模块发送的认证通过结果；第一发送模块，用于 根据所述认证通过结果向用户发送MBMS服务的业务解密码。
本发明实施例提供了一种业务控制装置，包括第一认证子模块，用于根 据业务认证请求进行业务认证，获得认证通过结果；第一发送子模块，用于将 所述认证通过结果发送至安全模块，所述认证通过结果用于通知所述安全模块 根据所述认证通过结果向用户发送MBMS服务的业务解密码。。
本发明的实施例还提供了一种IMS系统，包括IMS系统中的业务控制模 块，用于根据业务认证请求进行业务认证，获得认证通过结果，向安全模块发 送所述认证通过结果；安全模块，用于在获得所述认证通过结果后向用户发送 MBMS服务的业务解密码；广播多播业务中心，用于向用户提供MBMS服务， 所述MBMS服务的业务内容通过所述业务解密码解密后使用。
本发明的实施例还提供了 一种通信终端，包括第一发送单元和第一接收单 元，其中，所述第一发送单元，用于向IMS系统中的业务控制装置发送业务认 证请求，或向安全模块发送携带因特网多媒体公共标识的业务认证请求，所述 业务认证请求用于向网络侧请求MBMS服务的业务解密码；所述第一接收单元， 用于接收网络侧安全装置发送的MBMS服务的业务解密码。
在本发明实施例中，在IMS系统和MBMS系统的基础上，复用了 IMS的 控制能力和MBMS的承载能力，实现IPTV业务，从而能实现统一的认证、统 一的网络管理，并且可以利用IMS可以实现IPTV业务(如Linear TV业务)与 其它基于IMS的业务的捆绑，向用户提供个性化业务。


图1是现有的提供MBMS业务的流程示意9图2是本发明实施例中 一种基于IMS系统提供MBMS服务的系统的组成示 意图3a是本发明中的业务控制模块的第一具体实施例的组成示意图3b是本发明中第一发送子模块的一个具体实施例的组成示意图3c是本发明中业务控制模块的第二具体实施例的组成示意图3d是本发明中业务控制模块的第三具体实施例的组成示意图3e是本发明中业务控制模块的第四具体实施例的组成示意图3f是本发明中业务控制模块的第五具体实施例的组成示意图4a是本发明中安全模块的第一具体实施例的组成示意图4b是本发明中直接发送子模块的一个具体实施例的组成示意图4c是本发明中安全模块的第二具体实施例的组成示意图4d是本发明中安全模块的第二具体实施例的组成示意图5a是本发明实施例中基于IMS系统提供MBMS服务的系统的第一具体
实施例的组成示意图5b是本发明实施例中基于IMS系统提供MBMS服务的系统的第二具体
实施例的组成示意图5c是本发明实施例中基于IMS系统提供MBMS服务的系统的第三具体
实施例的组成示意图6a是本发明中通信终端的第一具体实施例的组成示意图； 图6b是本发明中通信终端的第二具体实施例的组成示意图； 图6c是本发明中通信终端的第三具体实施例的组成示意图； 图6d是本发明中通信终端的第四具体实施例的组成示意图； 图6e是本发明中通信终端的第五具体实施例的组成示意图； 图7是本发明实施例中一种基于IMS系统提供MBMS服务的方法的流程示
意图8是本发明中基于IMS系统提供MBMS服务的方法的第一实施例的流程 示意图9是本发明中基于IMS系统提供MBMS服务的方法的第二实施例的流程 示意图IO是本发明中基于IMS系统提供MBMS服务的方法的第三实施例的流程示意图11是本发明中基于IMS系统提供MBMS服务的方法的第四实施例的流 程示意图12是本发明中基于IMS系统提供MBMS服务的方法的第五实施例的流 程示意图13是本发明中基于IMS系统提供MBMS服务的方法的第六实施例的流 程示意图14是本发明中基于IMS系统提供MBMS服务的方法的第七实施例的流 程示意图15是用户在收看IMS/MBMS业务时进行切换的一个实施例的流程示意图。
图16是本发明中基于IMS系统提供MBMS服务的方法的第八实施例的流 程示意图。
具体实施例方式
下面参考附图对本发明的实施例进行描述。
如图2所示，为本发明实施例中 一种基于IMS系统提供MBMS服务的系统 的组成示意图。该系统包括
业务控制模块10 (或称业务控制装置)，用于根据业务认证请求进行业务认 证，获得认证通过结果后，向安全模块发送所述认证通过结果。
安全模块12 (或称安全装置)，用于在获得所述认证通过结果后，根据认证 通过结果向用户发送MBMS服务的业务解密码，该业务解密码可为MSK，或 可为经过加密密码加密的MSK。具体，安全模块12可通过MIKEY方式直接向 用户发送MSK,或将MSK发送给业务控制模块10，业务控制模块10再通过 SIP信令将MSK发送至用户。
广播多播业务中心14,用于向用户提供MBMS服务，所述MBMS服务的 业务内容通过所述解密码解密后使用。所述MBMS服务包括MBMS的多播， 广播，以及EMBMS的增强广播服务。
需要说明的是， 一般向用户提供的MBMS服务的业务内容是通过密码加密
的，该密码可称为MTK,那么实际上此处发送的业务解密码可以为解密该MTK的解密码。
其中，系统中还包括IMS核心网元等设备，同时，在为移动用户提供服务 时，用户还需通过移动接入网元与系统中的其它网元进行通讯，这些均为本领 域普通技术人员所知，此处不做赘述。
用户发送的业务认证请求可通过IMS核心网发送至业务控制模块10，也可 以是通过安全模块12发送至业务控制模块10。
其中，IMS核心网(IMS Core)通常包括P-CSCF， S-CSCF, I-CSCF， CSCF 是呼叫会话控制实体的英文简称，核心CSCF包括S-CSCF， P-CSCF和I-CSCF。 S-CSCF在IMS中处于核心的控制地位，用于注册、会话控制和处理，并向应用 服务器触发业务；P-CSCF是UE访问IMS的第 一个入口点；I-CSCF是从访问 域到归属域的入口点，主要负责查询归属用户信息，并为用户分配S-CSCF等。
如图3a所示，为业务控制模块的一个具体实施例的结构图，如图3所示， 业务控制模块10包括第一认证子模块102,用于根据所述业务认证请求进行业 务认证，获得认证通过结果；第一发送子模块104,用于将所述认证通过结果发 送至安全模块，所述认证通过结果用于通知所述安全模块根据所述认证通过结 果向用户发送MBMS服务的业务解密码。
如图3b所示，第一发送子模块104可进一步包括转换子单元1040，用于 根据所述认证通过结果中的业务标识匹配对应的解密码标识；第一发送子单元 1042，用于将包括所述转换子单元获取的解密码标识的认证通过结果发送至安 全模块。
业务控制模块还可包括第一接收子模块106，用于接收用户通过IMS核 心网发送的业务认证请求，如图3c所示；或，还包括第三接收子模块108， 用于接收用户通过安全模块发送的业务认证请求，如图3d所示。
如图4a所示，为安全模块12的一个具体实施例的结构图，其可以包括 第一接收模块120,用于接收所述业务控制模块发送的认证通过结果，该认 证通过结果可以是鉴权结果(如通过鉴权的频道的标识，即业务标识)或是根 据鉴权结果匹配获得的用于请求MSK的MSK标识，该匹配工作可以在业务控 制模块实现。
第一发送^^莫块122，用于根据所述认证通过结果向用户发送MBMS服务的 业务解密码。当所述第一接收模块120接收到的认证通过结果包括解密码标识，则所述
第一发送模块122用于根据所述认证通过结果向用户发送所述解密码标识对应 的MBMS服务的业务解密码；或者
第一发送模块120可包括直接发送子模块，用于在获得所述认证通过结 果后通过MIKEY方式向用户发送解密码；或包括，间接发送子模块，用于在获 得所述认证通过结果后将解密码发送至相应的业务控制装置，所述业务控制装 置通过SIP信令向用户发送所述解密码。即，安全模块12可通过两种方式向用 户发送MSK。
当所述第一接收模块120接收到的认证通过结果包括业务标识，则所述直 接发送子模块或间接发送子模块可包括转换子模块1220和发送子模块1222。
其中，转换子模块1220用于根据所述认证通过结果中的业务标识，匹配对 应的解密码标识;发送子模块1222用于根据所述转换子模块获得的解密码标识， 向用户发送所述解密码标识对应的MBMS服务的业务解密码，但是，在直接发 送子模块中的发送子模块1222通过MIKEY方式向用户发送解密码，而在间接 发送子模块中的发送子模块1222将解密码发送至相应的业务控制装置，所述业 务控制装置通过SIP信令向用户发送所述解密码。如图4b所示，为直接发送子 模块的情况。
当然，此处转换子模块1220的功能也可以在第一接收模块120内部实现。
如图4a所示，若业务控制模块10包括的是第一接收子模块106,则相应的， 安全模块12只包括第 一接收模块120和第 一发送模块122。
如图4c所示，若业务控制模块10包括的是第三接收子模块108，则相应的， 安全模块12在包括第 一接收模块120和第 一发送模块122的基础上还可以包括 第二接收模块124,用于接收用户的业务认证请求，该业务认证请求可以是用户 发出的HTTP POST;第二发送模块126，用于根据所述业务认证请求向相应的 业务控制模块发送业务认证请求。
若MSK通过安全模块中的间接发送子模块发送的，则业务控制模块还应包 括第二接收子模块，用于接收安全模块发送的相应的解密码；第二发送子模块， 用于将所述解密码通过SIP信令向用户发送。如图3e或3f所示，在图中还显示 了业务控制模块和其他模块，如用户和安全模块的连接情况。
其中，上述用户发送的业务认证请求的具体消息可以是SIP消息(包括SIP会话消息和SIP非会话消息)，如INVITE消息或Subscribe消息等，或是HTTP POST消息，在这些消息中可以携带有IMPU和请求认证的频道信息(业务标识)。
上述的认证通过结果中可包括通过鉴权的频道标识或是MSK标识，所述的 认证通过结果可以是一个权限通知或是MSK请求。
其中，当用户是归属地访问归属地业务时，用户只需要向处于归属地的安 全模块12获取解密码，则所述业务控制模块10为属于归属地的业务控制模块， 所述归属地的业务控制模块用于根据所述业务认证请求或业务认证请求进行业 务认证，获得认证通过结果后向所述安全模块12发送所述认证通过结果。
当用户是拜访地访问拜访地业务时，用户需要向处于拜访地的安全模块12 获取解密码，则业务控制模块10包括属于归属地的业务控制模块和属于拜访地 的业务控制模块，其中，归属地的业务控制模块用于根据所述业务认证请求进 行业务认证，查找所述用户的拜访地的业务控制模块，再获得认证通过结果后 向所述拜访地的业务控制^f莫块发送所述认证通过结果；拜访地的业务控制模块， 用于接收所述认证通过结果，并将所述认证通过结果转发至所述安全模块。
当用户是拜访地访问拜访地业务，而拜访地没有相应的业务控制模块时， 归属地的业务控制模块进行业务认证，并将认证通过结果发送给拜访地的安全 模块。
在用户已经获得相应的MBMS服务后，BM-SC发送的业务数据的加密码可 能定期需要更新，则安全模块12在如图4a或4c的基础上还可进一步包括更新 发送模块128，用于向用户和广播多播业务中心(BM-SC)发送更新的解密码。 具体发送时，更新发送模块向用户发送更新的解密码，用户获得更新的解密码 后就可以根据所述解密码对所述提供的业务内容进行解密了。如图4d所示，为 安全模块包括第一接收模块120、第一发送模块122以及更新发送模块128的情 况。安全才莫块的其他组成的情况此处不再——举例。
结合网络中的其它网元，具体实现时，可将业务控制模块(Service Control Function, SCF )与网络中的BSF ( Bootstrapping Server Function,自举(引导) 服务器功能)合设为应用服务器(Application Server, AS )，安全模块与BM-SC 的转换功能、会话和传输功能合设，如图5a所示；或者，SCF、 BSF分别设置， Security子功能和BM-SC的转换功能、会话和传输功能合^:，如图5b所示；或 者，将SCF、 BSF、安全才莫块合设，如图5c所示。若安全模块与BM-SC的转换功能、会话和传输功能合设，则安全模块为 MBMS网络的一部分，其可采用MBMS网络的信令进行工作。若安全模块与 SCF合设，则安全^t块为IMS系统的一部分，可采用IMS系统的信令进行工作。
由上述描述可知，在本发明实施例中，在IMS系统和MBMS系统的基础上， 复用了 IMS的控制能力和MBMS的承载能力，实现IPTV业务，从而能实现统 一的认证、统一的网络管理，并且可以利用IMS可以实现LTV (LinearTV)业 务与其它基于IMS的业务的捆绑，可向用户提供个性化业务。
如图2所示的系统还可进一步包括用户终端，所述终端可以通过发送HTTP POST信息进行业务认证，消息中间带的是因特网多媒体公共标识(Internet Protocol Multimedia Public Identity ， IMPU )，而不是国际移动用户识别码 (international mobile subscriber identity , IMSI )。
根据用户终端能力的不同，用户终端也可通过SIP消息进行业务认证，获 得MSK,例如通过INVITE消息或Subscribe消息等，在消息中携带IMPU和请 求认证的频道信息。
如图6a所示，通信终端14包括第一发送单元140,用于向IMS系统中的 业务控制装置发送业务认证请求，或用于向安全模块发送携带因特网多媒体公 共标识的业务认证请求，所述业务认证请求用于向网络侧请求MBMS服务的业 务解密码；第一接收单元142，用于接收网络侧安全装置发送的MBMS服务的 业务解密码，具体实现时，可以是安全装置直接通过MIKEY方式发送，也可以 是安全模块通过业务控制模块向用户发送。
其中，第一发送单元140包括第一发送子单元1400，用于通过HTTPPOST 发送业务认证请求，所述业务认证请求中携带有用户的因特网多媒体公共标识 IMPU以及业务标识；或者包括，第二发送子单元1402，用于通过SIP信令发 送业务认证请求，所述业务认证请求中携带有用户的因特网多媒体公共标识 IMPU以及业务标识。如图6b及6c所示。
其中，第一接收单元142包括第一接收子单元1420或第二接收子单元1422， 其中第一接收子单元1420,用于通过MIKEY方式接收网络侧发送的业务解密 码；第二接收子单元1422，用于通过SIP信令接收网络侧发送的业务解密码。 如图6d及6e所示。
相应的，本发明实施例还提供了 一种基于IMS系统提供MBMS服务的方法，如图7所示，该方法包>^舌如下流程
701、 IMS系统中的业务控制模块根据业务认证请求进行业务认证，获得认 证通过结果。所述业务认证请求中包括用户标识和业务标识。该用户标识具体 可以是IMPU。若安全模块只能识别IMSI格式的用户标识，则业务控制模块的 认证通过结果中包括的用户标识应为IMSI。业务控制模块需要将其获得的业务 认证请求中的IMPU转换成对应的IMSI。
同时，认证通过结果中应包括业务标识或解密码(MSK标识)，以使安全才莫 块可以根据上述标识获得相应的解密码。若安全模块不能根据业务标识获得对 应的MSK标识，则业务控制模块还需要将认证通过结果中的业务标识转换成对 应的MSK标识。
702、 所述业务控制模块向安全模块发送所述认证通过结果。
703、 安全控制模块在获得所述认证通过结果后，向用户发送MBMS服务 的业务解密码。需要说明的是， 一般向用户提供的MBMS服务的业务内容是通 过密码加密的，该密码可称为MTK,那么实际上此处发送的可能是解密该MTK 的解密码(MSK)。
进一步的，如图8所示，该流程可为
801 、所述安全模块获得用户的业务认证请求；
802、 所述安全模块根据所述业务认证请求向所述IMS系统中的业务控制模 块发送业务认证请求；
803、 所述业务控制模块根据所述业务认证请求进行业务认证，获得认证通 过结果；
804、 所述业务控制模块向安全模块发送所述认证通过结果；
805、 所述安全^^莫块获得所述认证通过结果后向用户发送所述解密码。 或者如图9所示，该流程可为
901、 所述IMS系统中的业务控制模块获得用户的业务认证请求；
902、 所述业务控制模块根据所述业务认证请求进行业务认证，获得认证通 过结果；
903、 业务控制模块向所述安全模块发送所述认证通过结果；
904、 所述安全^i块获得所述认证通过结果后向用户发送所述解密码。 其中，在上述图7、图8、图9所示的流程中，安全模块可通过MIKEY(Multimedia Internet KEYing)方式向用户发送解密码，也可将解密码发送至业务控制才莫 块，由业务控制模块经由IMS核心网向用户发送。而用户发送认证通过请求时， 可通过建立会话由会话启动协议(Session Initiation Protocol , SIP )会话信令进 行传输，也可通过SIP非会话信令传输。
同时，在805或904后还可包括
所述安全模块向用户发送更新的解密码；
用户根据所述解密码对所述提供的业务内容进行解密。
在801或901之前还包括安全模块和所述用户生成加密密码，所述加密 密码用于加密所述解密密码。所述加密密码具体可以是通过GBA/GAA过程生 成的MUK和MRK。
参见图10，为用户处于归属地访问归属地业务的时序图。需要说明的是， 在图中所示的流程之前还有一些前提准备步骤，如MBMS业务的部署，广播/ 组播源的准备，在播放IPTV业务时还需要部署频道标识和业务密钥的管理。 IPTV签约数据保存在业务控制模块(SCF )中，所述的签约数据具体可以存储 在SCF或者归属签约用户服务器(Home Subscriber Server, HSS)类似实体上， 如果IPTV业务签约数据存储在HSS类似实体上，则需要SCF在流程中从HSS 获取数据。下面对本例中的流程进行说明
1001、 用户(UE)在业务发现过程中获取归属地EPG， EPG中可能包括临 时移动组标识(TMGI)，广播地址等。若用户已经建立了 MBMS业务，则本步 不需执行，如当用户进行MBMS IPTV频道切换时，用户可能已经获得了 EPG。 本步可选。
1002、 GBA/GAA过程，在这个过程中，UE通过了 HTTP Digest ( Hypertext Transfer Protocol Digest,超文本传输协议Digest)鉴权，由安全模块(或称为 Security子功能)为其生成MRK和MUK，其中，MRK用来进行UE和security 子功能之间的鉴权，MUK用来加密MSK。本步为可选过程。本过程也可以通 过在会话建立过程中携带B-TID ( Bootstrapping transaction Identifier, GBA临时 用户标识)来实现。
1003、 UE发起会话建立请求，例如SIP会话信令INVITE,或SIP非会话 信令Subscribe,上述信令中携带有业务认证请求。该业务认证请求中可携带有 用户标识，用户需要申请的业务的标识等。具体UE可将会话建立请求发送给IMS核心网(IMS Core),该请求中携带 业务认证请求，该业务认证请求具体可携带有一个或多个频道标识，以获得相 应频道的业务认证。IMS Core再将会话建立请求路由至SCF。
1004、 SCF收到会话建立请求后，根据该会话中携带的业务认证请求进行 业务认证，即对UE所具有的权限基于IMPU进行鉴权。
鉴权的具体内容可以是对这个IMPU标识的用户是否具有观看所请求的频 道的权限进行;险查。如果这些IPTV业务权限的签约数据在HSS类似实体上， SCF需要首先从HSS类似实体上获取这些签约数据，然后进行鉴权。
1005、 SCF向用户发送会话建立成功响应。该响应是基于用户会话建立而 回复的，如果安全4莫块通过MIKEY发送MSK，则该响应中可能没有携带相应 的MSK。若安全模块通过SCF该会话建立成功响应向用户发送MSK,则该响 应中可能携带有相应的MSK,具体可参见图ll及其相应的描述。
1006、 若1004中，SCF对业务认证的结果为通过认证，则SCF向安全模块 发送认证通过结果(或可称为通过用户鉴权的通知)，其中可能包括通过鉴权的 频道标识(或MSK标识)。
在SCF上若有频道标识和该频道的MSK标识的对应关系，则SCF根据获 得通过鉴权的频道标识就可以查找到对应的MSK标识，则向安全模块发送的认 证通过结果可为相应的MSK标识。
若在SCF没有频道标识和该频道的MSK标识的对应关系，则向安全才莫块 发送的认证通过结果可为通过鉴权的频道标识。此时，安全模块需有根据频道 标识获取相应的MSK的能力。
即频道标识和MSK标识之间的对应关系可以在SCF上实现，也可以在 Security子功能上实现。如果是在SCF上实现，则这个通知中包括的是MSK标 识。这同样适用于其他实施例中的情况。
需要说明的是，SCF收到的会话建立请求是基于IMPU的，若发往Security 子功能的权限通知是基于IMSI的，则需要通过SCF或者HSS类似实体上存储 的IMPU和IMSI的映射关系进行相应的转换，以向安全才莫块发送合适的标识。
1007、 Security子功能通过MIKEY方式向UE下发已经通过鉴权的频道的 解密码(或称为MSK)。若流程中包括1002过程，则该MSK通过MUK加密后 进行传输。MSK也可以如图ll所示那样，通过会话建立成功响应返回给用户，。
1008、 当MBMS是处于E-Broadcast的情况下时，用户开始在无线侧收取 数据的准备工作，即进行MBMS Request, 4企查承载和MBMS assignment操作。 如果是一般广播业务，用户可以直接接收MBMS数据而不需执行本步。本步为 可选。
1009、 开始MBMS数据传输，用户利用接收到的MSK解密业务内容，以 观看节目。具体可以是，若之前执行了 1002过程，则需要先解密MUK加密的 MSK,由于BM-SC发送的业务内容是经过MTK加密的，则需要用MSK解密 获得对应的MTK,再利用MTK解密该业务内容，进行节目观看。
在整个业务期间，也可以在用户获得第一个MSK后，就将会话拆除。
1010、 在MBMS数据传输过程中，可能Security子功能需要定对更新MSK。 这里采用了 MIKEY MSK更新的方法。另外，也可以有Security子功能将更新 的MSK下发给SCF，通过SIP信令下发MSK。
在上述流程中，也可以是由用户发起SIP非会话请求MSK的方式，由SCF 从Security子功能获取MSK,并且通过SIP信令返回给用户。具体过程，此处 不做赘述。
这里，SIP信令可以是200OK, INFO， PUBLISH, NOTIFY信令等。 如图ll所示，为通过SCF从Security子功能获取MSK，然后在会话建立 成功响应中返回MSK的方法来下发MSK的过程，包括
1101、 UE获取EPG。
1102、 通过GBA/GAA过程，生成MRK, MUK。本过程亦可以通过在会话 建立过程中携带B-TID，由SCF通知安全子功能执行GBA过程来实现。
1103 、用户通过SIP信令发起会话请求，该请求中同时携带了业务认证请求， 或是对于SCF来说，即识别该会话请求本身为业务认证请求。
1104、 SCF获得相应的用户数据(如用户标识，业务标识等)，并进行业务 认证(用户鉴权和频道权限检查过程)，获得认证通过结果后执行下一步。
1105、 SCF向Security子功能发送通过认证通知，该通过i人证通知此处具体 可为请求MSK的消息，该消息中包括MSK标识或业务标识。
1106、 Security子功能收到请求MSK的消息后即返回对应的MSK。
1107、 SCF收到MSK后即通过会话请求响应向用户返回MSK。1108、 用户则可才艮据收到的MSK解密观看节目。
1109、 在用户观看节目的过程中，节目是在不断传输的，其节目数据的加 密码需要经常更新(比如周期性的更新MTK),即Security子功能需要经常更新 BM-SC发送的节目数据的加密码MTK (图中未示)，同时还需要对应的更新用 户的解密码。
步骤1107中，SCF也可以通过NOTIFY等其他SIP信令消息将MSK发送 至用户。
参见图12,为用户处于拜访地访问拜访地业务的时序图，比如对于移动用 户，用户可能处于漫游状态的情况下，向用户发送MSK的为拜访地安全^^莫块， 则相应的流程如下
1201、 用户(UE)在业务发现过程中获取拜访地EPG，可能包括TMGI， 广播地址等。
1202、 GBA/GAA过程，在这个过程中，UE通过了 HTTP Digest鉴权，并 且在UE和Security子功能上生成了 MRK和MUK。本步可选。本过程亦可以 通过在会话建立过程中携带B-TID，由SCF通知安全子功能执行GBA过程来实 现。
1203、 UE发送会话建立请求
UE发起会话建立请求给IMS Core,可能携带一个或多个频道标识； IMS Core将会话建立请求路由至归属地SCF。
1204、 归属地SCF收到会话建立请求后，对用户进行IPTV业务漫游权限 检查，通过后，对用户进行频道权限检查。如果这些IPTV业务签约数据在HSS 类似实体上，SCF需要首先从HSS类似实体上获取这些签约数据，然后进行鉴 权。
1205、 归属地SCF获得认证通过结果，该结果中包括通过鉴权的频道标识， 将会话路由至拜访地SCF，并且携带通过鉴权的频道标识。
1206、 拜访地SCF向拜访地Security子功能发送通过用户鉴权的通知，其 中可能包括通过鉴权的频道标识。
1207、 拜访地Security子功能将通过鉴权的频道的MSK (通过MUK加密) 发给拜访地SCF。
1208、 拜访地SCF将获得MSK (MUK加密)通过会话建立成功响应下发给归属地SCF。
1209、 归属地SCF将MSK下发给UE。
1210、 用户利用接收到的MSK解密MTK，进而解密收到的数据，进行节 目观看。
1211、 拜访地Security子功能也相应的定时更新MSK。具体可通过下发MSK 给拜访地SCF发起MSK更新过程，也可以通过MIKEY MSK更新过程进行 MSK更新，或者是UE通过携带需要更新MSK的频道标识的会话重协商发起 MSK更新过程。
当拜访地没有SCF时，归属地SCF直接与安全模块交互相应信息，具体流 程如图13所示，包括
1301、 UE在业务发现过程中获取拜访地EPG，可能包括TMGI，广播地址等。
1302、 GBA/GAA过程，在这个过程中，UE通过了 HTTP Digest鉴权，并 且在UE和Security子功能上生成了 MRK和MUK。本过程亦可以通过在会话 建立过程中携带B-TID,由SCF通知安全子功能执行GBA过程来实现。
1303、 UE发送会话建立请求
UE发起会话建立请求给IMS Core,可能携带一个或多个频道标识； IMS Core将会话建立请求路由至归属地SCF。
1304、 归属地SCF收到会话建立请求后，对用户进行IPTV业务漫游权限 检查，通过后，对用户进行频道权限检查。然后根据通过鉴权的频道标识，需 要从拜访地Security子功能获取MSK。在此处，由于是归属地SCF直接访问拜 访地Security子功能，则该归属地SCF需要预先进行配置，使其能够寻址到拜 访地Security子功能。如在归属地SCF上配置所允许路由的所有拜访地Security 子功能(或所在网元)的地址。
1305、 归属地SCF向拜访地Security子功能发送认证通过结果。此时归属 地SCF需具有可获知到拜访地Security子功能的路由的能力。
1306、 拜访地Security子功能将归属地SCF需要的MSK发送归属地SCF。
1307、 归属地SCF将收到MSK在会话建立成功响应中返回给UE。
1308、 UE用接收的MSK解码其接收MBMS业务
1309、 拜访地Security子功能通过MIKEY周期性进行MSK (MUK加密)。在上述过程中，当UE获得MSK后，可发起拆除会话的请求，以拆除会话， 则归属地SCF可根据拆除会话的请求发起会话拆除成功的响应。
图11、图12、以及图13中，用户发送的业务认证请求都是先发送给SCF， 再由SCF转发至安全才莫块，在如图14中所示的实施例中，该业务认证请求则是 直接发送给安全模块的，其流程如下所述
1401、 UE在业务发现过程中获取拜访地EPG,可能包括TMGI,广播地址 等。本步可选
1402、 GBA/GAA过程，在这个过程中，UE通过了 HTTP Digest鉴权，并 且在UE和Security子功能上生成了 MRK和MUK。可选。
1403 、 UE发起HTTP POST请求，该HTTP POST请求中携带了业务认证 请求，该业务认证请求中包括用户标识，注册指示，以及MBMS业务标识等。 其中，用户标识采用IMPU。该HTTP POST请求可以不经由SCF而直接发送至 Security子功能。
1404、 Security子功能收到请求后，向SCF发送业务认证请求，以请求此 IMPU的业务权限。如果此业务的IMPU的业务权限存储在HSS类似实体上， SCF需要从HSS类似实体上首先获取。
1405、 SCF根据业务认证请求对业务进行鉴权，对于获得鉴权通过的业务 生成相应的认证通过结果并向Security子功能发送，该认证通过结果中标识了是 哪些业务的认-〖正获得了通过。
1406、 Security子功能发送认证响应给UE。
1407、 Security子功能根据上述认证通过结果，通过MIKEY方式将MSK 发送给UE。 UE获得MSK后进行相应的解码等操作。同时，Security子功能可 周期性的发送MSK至用户。
上述图7~图14中所示的流程适用于用户初次获得MSK以使用MBMS业 务的情况，也适用于当用户需用>^人一个MBMS IPTV业务切换到另一 MBMS IPTV业务的情况。
用户在收看IMS/MBMS IPTV业务时，有频道切换的需求，这时会存在三 种情况
1、用户切换前后MSK保持不变，如，用户在一个业务包内(MSK相同) 进行切换。这时，用户只需要接收新频道的内容并用原有的MSK进行解密，就可以观看新频道的内容了 。
2、 用户切换前后MSK发生变化，且在初始建立业务时，UE已经获取到新 频道对应的MSK,这时，用户也只需要使用已经获取的MSK对接收到的新频 道的内容进行解密，观看新频道的内容。
3、 用户切换前后MSK发生变化，且UE没有要观看新频道的MSK,频道 切换时，需要重新获取密钥，如果业务是通过会话建立的，UE可以发起会话重 协商获取密钥，如果要使用MIKEY MSK更新过程获取MSK,需要先经过 GBA/GAA过程和SCF进行业务层面的鉴权。同样也可以通过SIP非会话方式 获取。
切换过程可如图15所示，包括流程
1)用户在进行MBMS业务。
2a)用户发起会话》务改请求relnvite。
2b) IMS Core收到上述会话修改请求relnvite后将其发送SCF。
3 ) SCF根据该会话修改请求relnvite与单播业务中心之间建立淡薄业务。
4a) SCF建立起单播业务后向IMS Core发送会话修改成功200OK响应。
4b ) IMS Core将会话^參改成功200OK响应发送至用户。
5)用户与单播业务中心之间建立单播业务。
当需要获取密钥时，其流程与图8 图14中所描述的过程类似，此处不予赘述。
另外，还可以在UE发起业务注册时(进行业务认证时)，通过在消息中加 一个解注册业务的指示，通知安全模块用户不再需要某个(些)MSK，进行业 务的解注册，即通知安全功能不再周期性下发MSK给UE。
图16是本发明中基于IMS系统提供MBMS服务的方法的第八实施例的流 程示意图。
上面的过程都是GBA过程和业务建立过程独立的，图16给出了在会话过 程中携带B-TID,由SCF在通知安全子功能授权消息时，同时通知安全子功能 进行GBA的过程，具体如下
1601、 UE获取EPG。
1602、 用户通过SIP信令发起会话请求，该会话请求中同时携带了业务认 证请求，或是对于SCF来说，即识别该会话请求本身为业务认证请求。并且该
23会话请求中携带B-TID。
1603、 SCF获得相应的用户数据(如用户标识，业务标识等)，并进行业务 认证(用户鉴权和频道权限检查过程)，获得认证通过结果后执行下一步。
1604、 SCF向Security子功能发送认证通过通知，该认证通过通知此处具体 可为用户的权限信息，该消息中包括MSK标识或业务标识。并且其中携带 B-TID。
1605、 Security子功能收到通知后，根据B-TID和BSF交互执行GBA过程， 获得密钥相关信息，并生成MUK，用以加密MSK。(注，这里没有画出Security 子功能和BSF的交互信息)。
1606、 Security子功能向SCF返回响应。
1607、 SCF收到来自Security子功能的响应后向用户返回会话请求响应，具 体可以是会话建立成功响应200 OK。
1608、 Security子功能将定期发送经过MUK加密的MSK给用户。 用户可以才艮据MSK来解密MTK，进而解密收到的加密lt据。 由上述描述可知，在本发明实施例中，在IMS系统和MBMS系统的基础上，
复用了 IMS的控制能力和MBMS的承载能力，实现IPTV业务，从而能实现统
一的认证、统一的网络管理、统一的策略控制、统一的计费、统一的账单；并
且可以利用IMS可以实现IPTV业务与其它基于IMS的业务的捆绑，可向用户
提供个性化业务。所以，采用本发明的方法来提供IPTV，可以使得IMS网络
运营商能够尽可能地使用网络能力，使MBMS提供商能够更加专注于自己擅长
的领域，而用户也避免多重身份带来的不便，解决了只能通过IMSI来对用户进
行身份检查的限制。
通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发
明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但
很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质
上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算
机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包
括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络
设备等)执行本发明各个实施例所述的方法。以上所揭露的^又为本发明的实施例而已，当然不能以此来限定本发明之权 利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。
权利要求
1、一种基于IMS系统提供MBMS服务的方法，其特征在于，所述方法包括IMS系统中的业务控制模块根据业务认证请求进行业务认证，获得认证通过结果；所述业务控制模块向安全模块发送认证通过结果，所述认证通过结果用于通知安全模块根据所述认证通过结果向用户发送MBMS服务的业务解密码。
2、 如权利要求l所述的方法，其特征在于，所述IMS系统中的业务控制模 块根据业务认证请求进行业务认证，获得认证通过结果包括所述业务控制模块接收用户通过安全模块发送的业务认证请求； 所述业务控制模块根据所述业务认证请求进行业务认证，获得认证通过结
3、 如权利要求l所述的方法，其特征在于，所述IMS系统中的业务控制模 块根据业务认证请求进行业务认证，获得认证通过结果包括所述IMS系统中的业务控制模块接收用户通过IMS核心网发送的业务认证请求；所述业务控制模块根据所述业务认证请求进行业务认证，获得认证通过结果。
4、 如权利要求1至3任一权利要求所述的方法，其特征在于，所述安全模 块向用户发送MBMS服务的业务解密码包括所述安全^f莫块通过MIKEY方式向所述用户发送业务解密码；或，所述安全模块向所述业务控制模块发送解密码，所述业务控制模块通
5、如权利要求1至3任一权利要求所述的方法，其特征在于，所述业务认 证请求通过SIP会话信令或SIP非会话信令传输。
6、 如权利要求5所述的方法，其特征在于，所述业务认证请求携带GBA 临时用户标识B-TID，所述业务控制模块转发B-TID给所述安全模块，所述安 全模块根据所述B-TID和自举服务器功能BSF交互执行GBA过程。
7、 如权利要求4所述的方法，其特征在于，在所述安全模块向用户发送 MBMS服务的业务解密码后还包括所述安全模块向用户发送更新的业务解密码。
8、 如权利要求l所述的方法，其特征在于，所述IMS系统中的业务控制模 块根据业务认证请求进行业务认证之前包括安全模块和所述用户交互生成加密密码，所述加密密码用于加密所述解密码。
9、 如权利要求1至3任一权利要求所述的方法，其特征在于，所述业务认 证请求中包括用户标识和业务标识，所述用户标识为因特网多媒体公共标识 IMPU。
10、 如权利要求9所述的方法，其特征在于，所述认证通过结果包括业务 标识，则所述安全模块根据所述认证通过结果向用户发送MBMS服务的业务解 密码包括安全模块根据所述业务标识，匹配对应的解密码标识，向用户发送所述解 密码标识对应的MBMS力良务的业务解密码。
11、如权利要求9所述的方法，其特征在于，所述认证通过结果包括解密 码标识，所述解密码标识为业务控制模块根据所述业务标识，匹配对应的解密 码标识，并将解密码标识携带在认证通过结果中；则所述安全模块根据所述认证通过结果向用户发送MBMS服务的业务解密 码包括所述安全模块根据所述解密码标识，向用户发送所述解密码标识对应的MBMS服务的业务解密码。
12、 一种安全装置，其特征在于，所述装置包括第一接收模块，用于接收IMS系统中的业务控制模块发送的认证通过结果； 第一发送模块，用于根据所述认证通过结果向用户发送MBMS服务的业务 解密码。
13、 如权利要求12所述的装置，其特征在于，所述装置还包括 第二接收才莫块，用于接收用户的业务认证请求；第二发送模块，用于向所述业务控制模块发送业务认证请求。
14、 如权利要求12所述的装置，其特征在于，所述第一发送模块用于通过 MIKEY方式向用户发送业务解密码，或将解密码发送至业务控制装置，由所述 业务控制装置通过SIP信令向用户发送所述业务解密码。
15、 如权利要求12至14中任一项所述的装置，其特征在于，所述装置还 包括更新发送模块，用于向用户发送更新的解密码。
16、 如权利要求12至14中任一项所述的装置，其特征在于，当所述第一接收^^块接收到的认证通过结果包括解密码标识，则所述第一 发送模块用于根据所述认证通过结果向用户发送所述解密码标识对应的MBMS 服务的业务解密码；或者当所述第一接收模块接收到的认证通过结果包括业务标识，则所述第 一发 送模块包括转换子模块和发送子模块，其中转换子模块用于根据所述认证通过结果中的业务标识，匹配对应的解密码 标识；发送子模块用于根据所述转换子模块获得的解密码标识，向用户发送所述 解密码标识对应的MBMS "l务的业务解密码。
17、 一种IMS系统中的业务控制装置，其特征在于，所述装置包括 第一认证子模块，用于根据业务认证请求进行业务认证，获得认证通过结果；第一发送子模块，用于将所述认证通过结果发送至安全模块，所述认证通过结果用于通知所述安全模块根据所述认证通过结果向用户发送MBMS服务的 业务解密码。
18、 如权利要求17所述的装置，其特征在于，所述装置还包括 第二接收子模块，用于接收安全模块根据所述认证通过结果发送的相应的解密码；第二发送子模块，用于将所述解密码通过SIP信令向用户发送。
19、 如权利要求17所述的装置，其特征在于，所述第一认证子模块获得的 认证通过结果包括业务标识，则所述第一发送子^t块包括转换子单元，用于#4居所述认证通过结果中的业务标识匹配对应的解密码 标识；第一发送子单元，用于将包括所述转换子单元获取的解密码标识的认证通 过结果发送至安全模块。
20、 如权利要求17至19中任一项所述的装置，其特征在于，所述装置还 包括第一接收子模块或第三接收子模块中的一种，其中所述第一接收子模块，用于接收用户通过IMS核心网发送的业务认证请求； 所述第三接收子模块，用于接收用户通过安全模块发送的业务认证请求。
21、 一种基于IMS系统提供MBMS服务的系统，其特征在于，所述系统包括IMS系统中的业务控制模块，用于根据业务认证请求进行业务认证，获得 认证通过结果，向安全模块发送所述认证通过结果；安全模块，用于根据所述认证通过结果向用户发送MBMS服务的业务解密码；广播多播业务中心，用于向用户提供MBMS服务，所述MBMS服务的业 务内容通过所述业务解密码解密后使用。
22、 如权利要求21所述的系统，其特征在于，所述业务控制模块包括 第一接收子模块或第三接收子模块，第一接收子模块用于接收用户发送的业务认证请求，第三接收子^1块用于接收安全^f莫块发送的业务认证请求；第一认证子模块，用于根据所述业务认证请求进行业务认证，获得认证通过结果，所述认证通过结果中包括业务标识；第一发送子模块，用于将包括业务标识的认证通过结果发送至安全模块；或者所述第 一发送子模块包括转换子单元，用于根据所述认证通过结果中的业务标识匹配对应的解密码标识；第一发送子单元，用于将包括所述转换子单元获取的解密码标识的认证通 过结果发送至安全模块。
23、 如权利要求22所述的系统，其特征在于，所述安全模块包括 第一接收模块，用于接收IMS系统中的业务控制模块发送的认证通过结果； 第一发送模块，用于根据所述认证通过结果，通过MIKEY方式向用户发送业务解密码，或者将解密码发送至业务控制装置，由所述业务控制装置通过SIP 信令向用户发送所述业务解密码。
24、 如权利要求22或23所述的系统，其特征在于，所述安全模块包括 第二接收模块，用于接收用户发送的业务认证请求；第二发送模块，用于向所述业务控制模块发送业务认证请求。
25、 一种通信终端，其特征在于，所述通信终端包括第一发送单元和第一 接收单元，其中，所述第一发送单元，用于向IMS系统中的业务控制装置发送业务认证请求， 或向安全模块发送携带因特网多媒体公共标识的业务认证请求，所述业务认证 请求用于向网络侧请求MBMS服务的业务解密码；所述第一接收单元，用于接收网络侧安全装置发送的MBMS服务的业务解 密码。
26、 如权利要求25所述的通信终端，其特征在于，所述第一发送单元可包括第一发送子单元，用于通过HTTP POST发送业务认证请求，所述业务认证 请求中携带有用户的因特网多媒体公共标识IMPU以及业务标识；或包括，第二发送子单元，用于通过SIP信令发送业务认证请求，所述业 务认证请求中携带有用户的因特网多媒体公共标识IMPU以及业务标识。
27、 如权利要求26所述的通信终端，其特征在于，所述第一接收单元包括 第一接收子单元或第二接收子单元，其中第一接收子单元，用于通过MIKEY方式接收网络侧发送的业务解密码； 第二接收子单元，用于通过SIP信令接收网络侧发送的业务解密码。
全文摘要
本发明公开了一种提供MBMS服务的方法、系统、安全装置、业务控制装置和通信终端，其中，所述方法包括IMS系统中的业务控制模块根据业务认证请求进行业务认证，获得认证通过结果；所述业务控制模块向安全模块发送所述认证通过结果；所述安全模块获得所述认证通过结果后向用户发送MBMS服务的业务解密码。在本发明实施例中，在IMS系统和MBMS系统的基础上，复用了IMS的控制能力和MBMS的承载能力，实现IPTV业务，从而能实现统一的认证、统一的网络管理，并且可以利用IMS可以实现IPTV业务与其它基于IMS的业务的捆绑，可向用户提供个性化业务。
文档编号H04H60/91GK101582730SQ20081018151
公开日2009年11月18日 申请日期2008年11月20日 优先权日2008年5月15日
发明者成淑敏, 朱东铭, 李金成, 啸 王, 耕 王, 钟剑锋 申请人:华为技术有限公司