专利名称:一种实时数据业务的实现方法和实时数据业务系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种实时数据业务的实现方法和实时数 据业务系统。
背景技术:
随着3G网络的成熟以及移动终端性能的提升,利用移动终端进行实时 数据业务已经成为可能。例如,用户可以使用手机电视客户端观看手机电视、 利用手机流媒体客户端进行音视频节目的点播或音视频直播节目的观看。实 时数据业务的发展将会有效提升3G时代的手机用户体验,基于实时数据业 务的运营也将成为3G时代运营商关注的热点和重点。
实时数据业务包括手机电视、视频点播、视频直播等。在无线局域网 (Wireless Local Area Networks,简称WLAN)中部署实时数据业务服务器
器,获取实时业务数据流,进行包括手机电视节目浏览、视频点播、视频直 播等实时数据业务的体验。
由于无线局域网安全性不高,为了保护合法移动终端安全、高质量地使 用实时数据业务,防止非法移动终端接入实时数据业务服务器,必须采用某 种无线局域网认证和保护协议以提高实时数据业务的安全性,无线局域网鉴 别与保密基础结构(WLAN Authentication and Privacy Infrastructure,简称 WAPI)协议无疑是一种最佳的选择。
WAPI是针对IEEE802.11中WEP ( Wried Equivalent Privacy,有线等效 隐私)等协议的安全问题,经多方反复论证,充分考虑各种应用模式,在中 国无线局域网国家标准GB15629.il中提出的WLAN安全解决方案。
WAPI协议主要通过WAI ( WLAN Authentication Infrastructure,无线局域网鉴别基础结构)协议规定的鉴别和密钥管理过程进行移动终端的接入认
证和密钥的协商,并通过WPI ( WLAN Privacy Infrastructure,无线局域网保 密基础结构)协议规定的加解密过程完成数据在MAC (Media Access Control,介质访问控制)层的加密传输,以保证合法的移动终端安全地接入 实时数据业务服务器。
WAI协议规定了两种鉴别和密钥管理方式
(1 )基于证书的鉴别和密钥管理方式
采用这种方式时,无线局域网移动终端(简称移动终端)与接入点(AP) 交换双方的WAPI证书,并通过鉴别服务器完成证书鉴别,在证书鉴别过程 中进行基密钥(BK)的协商;基密钥协商完成后,移动终端和AP使用协商 出的基密钥进行会话密钥的协商,得到单播会话密钥、组播密钥等会话密钥;
(2)基于预共享密钥的鉴别和密钥管理方式
采用这种方式时,移动终端和AP分别使用相同的预共享密钥(PSK) 导出基密钥,并使用导出的基密钥进行会话密钥的协商,得到单播会话密钥、 组播密钥等会话密钥。
在支持将无线局域网作为接入网的实时数据业务系统中可以采用任意 一种鉴别和密钥管理方式。基于证书的筌别和密钥管理方式具有较高的安全 性,但过程较为复杂;实时数据业务系统的AP需要采用ECDH (椭圓曲线 密码体制的Di伍e-Hellman (戴菲-赫曼))交换算法为每一接入的移动终端 生成基密钥,计算量较大。基于预共享密钥的鉴别和密钥管理方式安全性较 低,但过程筒单,多个移动终端可以使用相同的预共享密钥(即使用相同的 基密钥),因此可以减少生成基密钥的计算量和管理成本。
图1是现有技术中采用基于预共享密钥的鉴别和密钥管理方式的实时 凄丈据业务实现方法流程图,该方法包括
101:移动终端与实时数据业务系统的接入点(AP)采用预共享密钥导 出基密钥(BK)。
102:移动终端和AP使用基密钥完成会话密钥的协商,在移动终端和 AP之间协商出单播会话密钥、组播会话密钥等会话密钥。完成WAI协议的鉴别和会话密钥协商过程后,AP打开控制端口,允许 移动终端与实时数据业务系统的实时数据业务服务器进行交互。
103:移动终端和实时数据业务服务器进行交互,完成实时数据业务控 制信令的传输;
在此过程中,移动终端和AP之间使用步骤102中协商得到的单播会话 密钥对控制信令报文进行加密传输,而AP和实时数据业务服务器之间由于 存在较为安全的通信链路,因此可以进行明文传输、或使用其他安全方式进 行控制信令报文的传输。
其中,控制信令的主要作用包括进行实时数据业务参数的协商、建立 音视频传输通道、启动/控制实时数据业务音视频数据的传输等,例如
103a:移动终端通过AP向实时数据业务服务器发送寻呼请求(Describe Request)信令,将移动终端支持的媒体参数发送给实时数据业务服务器; 实时数据业务月良务器通过AP向移动终端发送寻呼响应(Describe Response ) 信令,将实时数据业务服务器选定的媒体参数发送给移动终端;通过上述信 令交互,移动终端与实时数据业务服务器完成实时数据业务媒体参数的协 商;
103b:移动终端通过AP向实时数据业务服务器发送音视频传输通道构 建请求(Setup Request)信令;实时数据业务服务器通过AP向移动终端发 送音视频传输通道构建响应(Setup Response)信令;通过上述信令交互, 在移动终端与实时数据业务服务器之间建立音视频传输通道;
103c:移动终端通过AP向实时数据业务服务器发送音视频数据播放控 制信令(例如,Play (播放)、Pause (暂停)、Stop (停止)等),以便启 动、暂停、停止音视频数据的传输。
104:实时数据业务服务器通过AP向移动终端发送音视频数据;
同样,在此过程中实时数据业务服务器与AP之间可以采用明文方式、 或采用其他安全方式进行音视频数据报文的传输,而在AP和移动终端之间 使用步骤102中协商得到的单播会话密钥或组播密钥对音视频数据报文进
行加密传專lr。
7需要注意的是,在实时数据业务服务器向移动终端传输音视频数据报文 的过程中,实时数据业务服务器和移动终端之间可以随时进行控制信令报文 的传输,但是音视频数据和控制信令不会在相同的报文中传输,也就是说, 音视频数据和控制信令在不同的逻辑通道中传输。
通过以上描述可知,在实时数据业务系统中采用基于预共享密钥的WAI 鉴别和密钥管理方式可以免去AP与鉴别服务器的交互过程,并减少AP的 计算量,增加了可同时接入AP的移动终端的数量。同时,实时数据业务运 营商可以向多个签约用户提供相同的预共享密钥,用户(移动终端)可以使 用该预共享密钥接入实时数据业务系统,进行实时数据业务的预览。
但是,上述方法也存在以下不足之处
1) 使用预共享密钥导出的基密钥的安全性不高,预共享密钥泄露后, 非法用户可以使用该预共享密钥对应的基密钥与AP进行会话密钥的协商, 接入实时数据业务系统;
2) 由于基于预共享密钥的鉴别和密钥管理方式无需向提供实时数据业 务系统移动终端的WAPI证书,因此无法实现计费,只能为用户提供免费的 预览节目;用户必须使用基于证书的鉴别和密钥管理方式重新接入实时数据 业务系统后才能接收收费的业务数据。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种实时数 据业务的实现方法和实时数据业务系统,以提高采用基于预共享密钥的鉴别 和密钥管理方式接入实时数据业务系统的安全性。
为了解决上述问题,本发明提供一种实时数据业务的实现方法,该方法 包括
当移动终端采用基于预共享密钥的鉴别和密钥管理方式接入实时数据 业务系统,且实时数据业务系统的接入点AP开始向该移动终端转发实时数 据业务的音视频数据报文后,AP向该移动终端发送签名验证请求;
接收到所述签名验证请求后,移动终端使用其无线局域网鉴别与保密基础结构WAPI证书所对应的私钥生成签名值,并将该签名值包含在签名验证 响应中发送给AP;
接收到所述签名验证响应后,AP使用所述WAPI证书所对应的公钥对 所述签名值进行验i正,如果验证成功,则继续向该移动终端转发所述实时数 据业务的音视频数据报文;如果验证失败,则停止向该移动终端转发所述实 时数据业务的音视频数据报文。
此外,所述AP向所述移动终端转发所述实时数据业务的音视频数据报 文的时间长度超过预览时长阈值、或向所述移动终端转发的所述实时数据业 务的音视频数据报文的数据量超过预览数据量阈值时,所述AP发送所述签 名-睑"i正:清求。
在所述签名验证定时器超时前,如果未收到所述移动终端发送的签名验 证响应,所述AP停止向所述移动终端转发所述实时数据业务的音视频凄t据 报文。
此外,所述AP在发送所述签名验证请求时,暂停向所述移动终端转发 所述实时数据业务的音视频数据报文;
接收到所述签名验证响应后,如果对所述签名值验证成功,则继续向所 述移动终端转发所述实时数据业务的音视频数据报文。
此外,所述签名验证响应中还包含所述移动终端的WAPI证书;
接收到所述签名^S正响应后,所述AP还向实时数据业务系统的鉴别月良 务器发送包含所述WAPI证书的证书鉴别请求,以验证所述WAPI证书的有 效性;当所述鉴别服务器返回的证书验证结果表明所述WAPI证书为有效证 书时,才进行所述验证签名值的操作;当所述鉴别服务器返回的证书验证结 果表明所述WAPI证书为无效证书时,停止向所述移动终端转发实时数据业 务的音视频数据报文。
此外,采用如下方式生成所述签名值
所述移动终端将所述签名验证请求中包含的由所述AP生成的随机数作 为待签名数据、或将所述签名验证请求中包含的音视频数据报文的哈希值作为待签名数据,使用所述私钥对待签名数据进行加密生成所述签名值。
本发明还提供 一种实时数据业务系统,用于为移动终端提供实时数据业
务;该系统包含AP、实时数据业务服务器;其中
所述实时数据业务服务器用于在移动终端采用基于预共享密钥的鉴别 和密钥管理方式接入所述系统,并启动实时数据业务后,通过所述AP向所 述移动终端发送实时数据业务的音视频数据报文;
所述AP用于向所述移动终端转发所述实时数据业务的音视频数据报 文,并且当转发音视频数据报文的时间长度超过预览时长阔值、或转发的音 视频数据报文的数据量超过预览数据量阈值后,向所述移动终端发送签名验 证请求;并在接收到所述移动终端使用其WAPI证书所对应的私钥生成的签 名值后,使用所述WAPI证书所对应的公钥对该签名值进行验证,如果验证 失败,则停止向所述移动终端转发所述实时数据业务的音视频数据报文。
此外,所述AP还用于在发送所述签名验证请求时启动签名验证定时器, 并且在所述签名验证定时器超时前,如果未收到所述移动终端发送的签名 值,则停止向所述移动终端转发所述实时数据业务的音视频数据报文。
此外,所述AP还用于在发送所述签名验证请求时,暂停向所述移动终 端转发所述实时数据业务的音视频数据报文;接收到所述签名验证响应后, 如果对所述签名值验证成功,则继续向所述移动终端转发所述实时数据业务 的音视频数据报文。
此外,所述系统中还包含鉴别服务器,用于在接收到证书鉴别请求后, 对该请求中包含的WAPI证书的有效性进行验证,并返回证书验证结果;
所述AP还用于在接收到所述签名验证响应后,向所述鉴别服务器发送 包含所述移动终端的WAPI证书的证书鉴别请求,并根据所述鉴别服务器返 回的证书验证结果判断所述WAPI证书是否为有效证书;当所述WAPI证书 为有效证书时,才进行所述验证签名值的操作;当所述WAPI证书为无效证 书时,停止向所述移动终端转发所述实时数据业务的音碎见频数据才艮文。综上所述,采用本发明的方法及系统,提高了采用基于预共享密钥的鉴
别和密钥管理方式接入实时数据业务系统的安全性;此外,本发明的方法及 系统可以先向用户提供免费的预览业务数据,在预览结束后通过向用户发起 签名认证请求来获取并验证用户的WAPI证书及签名,并开始进行计费,方 便了用户,有利于运营商推广实时数据业务。
图1是现有技术中采用基于预共享密钥的鉴别和密钥管理方式的实时 数据业务实现方法流程图;' ' 、'土 U, /W 、、、''、、 '、
图3是WPI的MPDU封装结构示意图4是包含签名验证请求标识的MPDU封装结构示意图5是可实现本发明方法的实时数据业务系统的结构示意图。
具体实施例方式
本发明的核心思想是,移动终端采用基于预共享密钥的WAI鉴别和密 钥管理方式接入实时数据业务系统,并且实时数据业务系统的AP开始向移 动终端转发音视频数据报文之后,AP向移动终端发送签名验证请求;AP对 移动终端返回的签名值进行验证,验证通过后继续向其发送音视频数据报 文,否则停止向其发送音视频数据报文。
下面将结合附图和实施例对本发明进行详细描述。
图2是本发明实施例基于无线局域网的实时数据业务的实现方法流程 图,该方法包括
201:移动终端与实时数据业务系统的接入点(AP)采用预共享密钥导 出基密钥(BK)。
202:移动终端和AP使用基密钥完成会话密钥的协商,在移动终端和 AP之间协商出单播会话密钥、组播会话密钥等会话密钥。
ii会话密钥协商完成后,AP打开控制端口,允许移动终端与实时数据业 务系统的实时数据业务服务器进行交互。
203:移动终端与实时数据业务服务器通过AP进行交互,进行实时数 据业务控制信令报文的传输,以协商实时数据业务的媒体参数、建立音视频 传输通道、最终启动实时数据业务。
其中,在移动终端和AP之间,控制信令报文被加密后封装在MPDU (MAC Protocol Data Unit,介质访问控制协议数据单元)中进行传输。
204:实时数据业务启动后,实时数据业务服务器通过AP向移动终端 发送实时数据业务的音视频数据报文。
205:接收到实时数据业务服务器发送给移动终端的音视频数据报文后, AP使用步骤202协商得到的会话密钥(组播会话密钥或单播会话密钥)对 该音视频数据报文进行加密,并将加密后的音视频数据报文封装到MPDU 中发送给移动终端。
图3是WPI的MPDU封装结构示意图,其中
MAC头字段的长度为24字节或30字节;
会话密钥索引字段长度为1个字节,表示USKID(单播会话密钥索引) 或MSKID (组播会话密钥索引)或STAKeyID (站间密钥索引)值,即表 示加密本MPDU所使用的会话密钥的索引;
保留字段的长度为1字节;
PN (数据分组序号)字段的长度为16字节,该字段的值可以作为数据 加解密时所需的IV (初始向量);
PDU (数据)字段封装有MPDU数据,最大长度为2278字节,其中封 装有高层协议数据报文,包括实时数据业务的控制信令报文和音视频数据报 文等应用层协议数据报文;
MIC (完整性校验码)字段的长度为16字节;
FCS字段的长度为4字节,为MAC帧格式的帧校验序列。
此外,图3中还示出了一种实时数据业务的控制信令报文和音视频数据报文的封装方式。
其中,实时数据业务的控制信令才艮文和音视频数据报文统称为实时数据
业务^J:,由实时数据业务"R文头和实时业务数据组成;实时业务数据的类 型包括实时数据业务的控制信令和实时数据业务的音视频数据。实时数据 业务净艮文头中包含有实时业务数据的类型等信息。
实时数据业务报文可以封装在TCP (Transfer Control Protocol,传输控 制协议)报文或UDP ( User Datagram Protocol,用户数据报协议)报文中传 输。在TCP头和UDP头中包含有实时数据业务所使用的端口号等信息。
TCP报文和UDP报文可以封装在IP (Internet Protocol ,因特网协议)
报文中传输。在IP头中包含有移动终端/实时数据业务服务器的IP地址等信 自
需要注意的是,图3所示的实时数据业务的控制信令报文和音视频数据 报文在PDU字段中的封装方式仅是一种示例,也可以釆用其它封装方式封 装实时数据业务的控制信令报文和音视频数据报文。
206:接收到封装有音视频数据报文的MPDU后,移动终端使用步骤202 协商得到的会话密钥(组播会话密钥或单播会话密钥)对PDU字段中的加 密音视频数据报文进行解密后,播放音视频数据报文中封装的音视频数据。
207:向移动终端加密转发音视频数据的时间长度超过预先设定的时长 (可以称为预览时长阈值T)、或转发的音视频数据的数据量超过预先设定 的大小(可以称为预览数据量阈值N)后,AP向移动终端发送签名验证请 求,并启动定时器(可以称为签名—3!S正定时器)。
AP发送的签名验证请求可以是包含签名验证请求标识的MPDU。如图 4所示,可以将MPDU中的保留字段作为签名验证请求标识,例如,该字段 值为1时表示该MPDU是签名验证请求,该字段为0时表示该MPDU是封 装有控制信令净艮文或音视频数据l艮文的正常MPDU。
签名验i正请求的PDU字段中可以包含AP生成的随机数,移动终端可 以将该随机数作为待签名数据、或使用该随机数生成待签名数据。
此外,签名验证请求中的PDU字段中也可以是加密的音视频数据报文,即AP接收到实时数据业务服务器发送的音视频数据之后,将该音视频数据
加密封装在MPDU中,并在该MPDU中设置签名验证请求标识后发送^会移 动终端。
需要注意的是,在发送签名验证请求之后,AP可以暂停向移动终端转 发音视频数据报文,直到签名验证通过后再恢复转发音视频数据报文。在此 过程中,AP可以緩存实时数据业务服务器发送给该移动终端的音视频教二据 报文。
208:接收到签名验证请求后,移动终端使用WAPI证书对应的私钥对 待签名数据进行加密,生成签名值,并向AP返回包含该签名值的签名-验证 响应。
上述待签名数据可以是签名验证请求的PDU字段中的全部或部分数 据、也可以是PDU字段中的全部或部分数据的哈希(HASH)值。例如, 如果签名验证请求的PDU字段中包含AP生成的长度较小的随机数,则待 签名数据可以是该随机数本身;如果签名验证请求的PDU字段中包含加密 的音视频数据报文(数据量较大),则待签名数据可以是该音视频数据报文 的哈希值。
此外,上述待签名数据也可以由移动终端生成(例如,待签名数据是移 动终端生成的随机数),在这种情况下,移动终端需要把待签名数据包含在 签名-验证响应中发给AP,以便AP对签名值进行验i正。
此外,签名验证响应中还可以包含移动终端的WAPI证书,WAPI证书 中包含有该证书对应的公钥。当然,如果AP中已预存有移动终端的WAPI 证书的公钥,签名验证响应中可以不包含WAPI证书。
209:接收到签名验证响应后,如果该响应中包含移动终端的WAPI证 书,则AP向实时数据业务系统的鉴别服务器发送包含该WAPI证书的证书 鉴别请求,以验证该WAPI证书的有效性。
如果在签名验证定时器超时前AP没有收到移动终端发送的签名验证响 应,则跳转至步骤212。
210:接收到证书鉴别请求后,鉴别服务器对其中包含的WAPI证书进行验证,并将证书—验证结果包含在证书鉴别响应中发送给AP。
211: AP根据鉴别服务器返回的证书验证结果获知WAPI证书的有效性, 或对该WAPI证书进行本地验证以判断WAPI证书的有效性;如果移动终端 的WAPI证书无效(例如,证书已被吊销、证书已超期),则跳转至步骤 212;如果WAPI证书有效,贝'j AP使用该WAPI证书对应的公钥对签名验 证响应中包含的签名值进行验证,如果签名一睑证成功,则执行步骤213;如 果签名验证失败,则执行步骤212。
上述验证签名的过程包含如下步骤
211a:使用移动终端的WAPI证书对应的公钥对签名验证响应中包含的 签名值进行解密,得到解密值;
211b:将上述解密值与待签名数据进行对比,如果两者相同则认为签名 值正确(即签名一睑证成功),如果两者不同则认为签名值错误(即签名验证 失败)。
如上所述,待签名数据可以是AP在发送签名验证请求是保存的PDU 字段中的全部或部分数据、或PDU字段中的全部或部分数据的哈希值;也 可以是由移动终端生成并包含在签名验证响应中的数据。
212:如果签名验证失败、或签名验证定时器超时未收到移动终端发送 的签名验证响应,则AP停止向移动终端转发接收到的音视频数据报文;此 外,AP还可以向实时数据业务服务器发送实时数据业务停止请求,以指示 实时数据业务服务器停止向移动终端发送音视频数据。
213:如果签名验证成功,则AP继续向移动终端转发实时数据业务服 务器发送音视频数据报文。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如
(一)发送签名验证请求之后,AP也可以继续向移动终端转发音视频 数据报文,直至签名验证失败或签名验证定时器超时,以避免緩存音视频数 据报文占用AP的系统资源。
此外,发送签名验证请求之后,AP也可以直接丟弃接收到的音视频数据报文。
(二) 待签名数据除了可以是AP生成的随机数、实时数据业务服务器 发送音视频数据报文的哈希值、移动终端生成的随机数以外,待签名数据还
可以是签名验证响应中除了 PDU字段以外的其它MPDU字段。
当然,如果待签名数据是由AP生成的随机数、或实时数据业务服务器
发送的音视频报文的哈希值,可以最大程度防止非法移动终端发起的重放攻击。
(三) 上述预览时长阈值T和预览数据量阈值N也可以是随机值。
(四) 对移动终端的WAPI证书以及签名值-验证成功后,AP可以开始 使用WAPI证书对用户进行计费(例如,按照流量或按照时长计费),或者 通知实时数据业务系统中的计费网元开始计费(例如,AP每隔IO分钟向计 费网元发送一个携带WAPI证书的计费请求消息,指示计费网元按照时长计 费;或者AP每转发1M音视频数据报文向计费网元发送一个携带WAPI证 书的计费请求消息,指示计费网元按照流量计费)。
图5是可实现本发明方法的实时数据业务系统的结构示意图;如图5所 示,该系统包含AP、实时数据业务服务器和鉴别服务器;其中
实时数据业务服务器用于在移动终端采用基于预共享密钥的鉴别和密 钥管理方式接入实时数据业务系统,并启动实时数据业务后,通过AP向移 动终端发送实时数据业务的音视频数据报文;
AP用于向移动终端转发实时数据业务的音视频数据报文,并且当转发 音视频数据报文的时间长度超过预览时长阈值、或转发的音视频数据报文的 数据量超过预览数据量阈值后,向移动终端发送签名验证请求;并在接收到 移动终端使用其WAPI证书所对应的私钥生成的签名值后,使用WAPI证书 所对应的公钥对该签名值进行验证,如果验证失败,则停止向移动终端转发 实时数据业务的音视频数据报文。
鉴别服务器用于在接收到证书鉴别请求后,对该请求中包含的WAPI 证书的有效性进行—验证,并返回证书验证结果;AP还用于在接收到签名验证响应后,向鉴别服务器发送包含移动终端 的WAPI证书的证书鉴别请求,并根据鉴别服务器返回的证书验证结果判断
WAPI证书是否为有效证书;当WAPI证书为有效证书时,才进行验证签名 值的操作;当WAPI证书为无效证书时,停止向移动终端转发实时数据业务 的音视频数据报文。
AP还用于在发送签名验证请求时启动签名验证定时器,并且在签名验 证定时器超时前,如果未收到移动终端发送的签名值,则停止向移动终端转 发实时数据业务的音视频数据报文。
AP还用于在发送签名验证请求时,暂停向移动终端转发实时数据业务 的音视频数据报文;接收到签名验证响应后,如果对签名值验证成功,则继 续向移动终端转发实时数据业务的音视频数据报文。
实时数据业务系统中包含的各网元的详细功能以及相互之间的交互关 系可参见对图4所示的方法的描述部分,此处不再赘述。
权利要求
1、一种实时数据业务的实现方法,其特征在于,该方法包括当移动终端采用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务系统,且实时数据业务系统的接入点AP开始向该移动终端转发实时数据业务的音视频数据报文后,AP向该移动终端发送签名验证请求;接收到所述签名验证请求后,移动终端使用其无线局域网鉴别与保密基础结构WAPI证书所对应的私钥生成签名值,并将该签名值包含在签名验证响应中发送给AP;接收到所述签名验证响应后,AP使用所述WAPI证书所对应的公钥对所述签名值进行验证,如果验证成功,则继续向该移动终端转发所述实时数据业务的音视频数据报文;如果验证失败,则停止向该移动终端转发所述实时数据业务的音视频数据报文。
2、 如权利要求l所述的方法,其特征在于,所述AP向所述移动终端转发所述实时数据业务的音视频数据报文的时 间长度超过预览时长阈值、或向所述移动终端转发的所述实时数据业务的音 视频数据报文的数据量超过预览数据量阈值时,所述AP发送所述签名验证 请求。
3、 如权利要求l所述的方法,其特征在于,所述AP在发送所述签名验证请求时还启动签名验证定时器;在所述签名验证定时器超时前,如果未收到所述移动终端发送的签名验 证响应,所述AP停止向所述移动终端转发所述实时数据业务的音视频数据 报文。
4、 如权利要求1或3所述的方法,其特征在于,所述AP在发送所述签名验证请求时,暂停向所述移动终端转发所述实 时数据业务的音视频数据报文;接收到所述签名验证响应后,如果对所述签名值验证成功,则继续向所述移动终端转发所述实时数据业务的音视频数据报文。
5、 如权利要求l所述的方法,其特征在于,所述签名验证响应中还包含所述移动终端的WAPH正书;接收到所述签名验证响应后,所述AP还向实时数据业务系统的鉴别服 务器发送包含所述WAPI证书的证书鉴别请求,以验证所述WAPI证书的有 效性;当所述鉴别服务器返回的证书验证结果表明所述WAPI证书为有效证 书时,才进行所述验证签名值的操作;当所述鉴别服务器返回的证书验证结 果表明所述WAPI证书为无效证书时,停止向所述移动终端转发实时数据业 务的音视频数据报文。
6、 如权利要求l所述的方法,其特征在于, 采用如下方式生成所述签名值所述移动终端将所述签名验证请求中包含的由所述AP生成的随机数作 为待签名数据、或将所述签名验证请求中包含的音视频数据报文的哈希值作 为待签名数据,使用所述私钥对待签名数据进行加密生成所述签名值。
7、 一种实时数据业务系统,用于为移动终端提供实时数据业务;该系 统包含AP、实时数据业务服务器;其中所述实时数据业务服务器用于在移动终端采用基于预共享密钥的鉴别 和密钥管理方式接入所述系统,并启动实时数据业务后,通过所述AP向所 述移动终端发送实时数据业务的音视频数据报文;所述AP用于向所述移动终端转发所述实时数据业务的音视频数据报 文,并且当转发音视频数据报文的时间长度超过预览时长阈值、或转发的音 视频数据报文的数据量超过预览数据量阈值后,向所述移动终端发送签名验 证请求;并在接收到所述移动终端^f吏用其WAPI证书所对应的私钥生成的签 名值后,使用所述WAPI证书所对应的公钥对该签名值进行验证,如果验证 失败,则停止向所述移动终端转发所述实时数据业务的音视频数据报文。
8、 如权利要求7所述的系统,其特征在于,所述AP还用于在发送所述签名验证请求时启动签名验证定时器,并且在所述签名验证定时器超时前,如果未收到所述移动终端发送的签名值,则 停止向所述移动终端转发所述实时数据业务的音视频数据寺艮文。
9、 如权利要求7所述的系统,其特征在于,所述AP还用于在发送所述签名验证请求时,暂停向所述移动终端转发 所述实时数据业务的音视频数据报文;接收到所述签名验证响应后,如果对 所述签名值验证成功,则继续向所述移动终端转发所述实时数据业务的音视 频数据报文。
10、 如权利要求7所述的系统,其特征在于,所述系统中还包含鉴别服务器,用于在接收到证书鉴别请求后,对该请 求中包含的WAPI证书的有效性进行验证,并返回证书验证结果;所述AP还用于在接收到所述签名验证响应后,向所述鉴别服务器发送 包含所述移动终端的WAPI证书的证书鉴别请求,并根据所述鉴别服务器返 回的证书验证结果判断所述WAPI证书是否为有效证书;当所述WAPI证书 为有效证书时,才进行所述验证签名值的操作;当所述WAPI证书为无效证 书时,停止向所述移动终端转发所述实时数据业务的音^L频数据"t艮文。
全文摘要
一种实时数据业务的实现方法,该方法包括当移动终端采用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务系统,且实时数据业务系统的AP开始向该移动终端转发实时数据业务的音视频数据报文后,AP向该移动终端发送签名验证请求;接收到所述签名验证请求后,移动终端使用其WAPI证书所对应的私钥生成签名值,并将该签名值包含在签名验证响应中发送给AP;接收到所述签名验证响应后,AP使用所述WAPI证书所对应的公钥对所述签名值进行验证,如果验证成功,则继续向该移动终端转发所述实时数据业务的音视频数据报文;如果验证失败,则停止向该移动终端转发所述实时数据业务的音视频数据报文。
文档编号H04L29/06GK101583083SQ20091014216
公开日2009年11月18日 申请日期2009年6月1日 优先权日2009年6月1日
发明者洋 周, 毅 惠 申请人:中兴通讯股份有限公司