密钥下发方法、对ue进行授权检查的方法及相关设备的制作方法
【专利摘要】本发明实施例提供了一种密钥下发方法、对UE进行授权检查的方法及相关设备,其中密钥下发方法包括:生成多媒体广播多播业务密钥MSK;建立或从广播组播业务中心BM-SC获取MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。本发明实施例能够在BM-SC对GCSE群组不可见的前提下,确保完全重用MBMS安全机制场景下BM-SC实现对UE的业务授权检查,以及部分重用MBMS安全机制场景下GCS AS完成MSK的下发,使得MBMS安全机制可以用来保证通信的安全。
【专利说明】密钥下发方法、对UE进行授权检查的方法及相关设备
【技术领域】
[0001]本发明实施例涉及通信【技术领域】,尤其涉及一种密钥下发方法、对UE进行授权检查的方法及相关设备。
【背景技术】
[0002]多媒体广播多播业务(MultimediaBroadcast Multicast Service,MBMS)是第三代合作伙伴项目(The 3rd Generat1n Partnership Pro ject, 3GPP) R6中定义的多媒体广播组播功能。
[0003]MBMS支持多媒体广播业务和组播业务两种模式,既可以将多媒体视频信息直接向所有用户广播,也可以发送给一组收费的签约用户收看,可以帮助运营商开展多媒体广告、免费和收费电视频道、彩信群发等多种商业应用。运营商以较低的网络部署成本就可开展手机电视业务。
[0004]MBMS对现有通信网络主要的改动是:增加广播组播业务中心(BroadcastMulticast Service Center, BM-SC),对现有分组交换(Packet Switch, PS)域相关网兀进行MBMS功能升级,以支持MBMS特有接口功能(如Gmb)、特有信道、特有物理层过程和特有业务流程(如订阅)。
[0005]BM-SC可实现对MBMS业务的提供与管理。对于内容提供方,BM-SC是MBMS业务内容的入口 ;对于承载网络,BM-SC负责授权、发起MBMS业务,以及调度、传输MBMS业务内容。作为MBMS的核心功能实体,BM-SC包括5部分功能:
[0006]I)成员关系功能:负责保存用户的订阅信息,对用户设备(User Equipment, UE)加入MBMS业务进行授权处理,以及产生计费记录。
[0007]2)会话与传输功能:负责发起和终止MBMS会话,对外部内容提供方进行授权认证,并负责接收和发送MBMS业务数据。
[0008]3)代理与转发功能:在控制面上BM-SC是内部各个功能与网关通用分组无线服务支持节点(Gateway General Packet Rad1 Service Support Node, GGSN)之间进行信令交互的代理,在用户面上是会话与传输功能向GGSN传送MBMS业务数据的桥梁。
[0009]4)业务声明功能:负责向UE提供MBMS业务信息,包括媒体说明(如:视频类型、声音编码)和会话说明(如:业务标识、地址、播放时间)。
[0010]5)安全功能:为MBMS业务数据提供完整性和私密性保护,向已获MBMS授权的UE提供密钥。
[0011]BM-SC通过两个控制面接口(Gmb接口、Mz接口)实现对MBMS业务的控制。其中Gmb接口支持GGSN与BM-SC之间的信令交互,是MBMS承载业务的边缘;Mz接口支持在不同的BM-SC之间进行信令交互,为MBMS业务提供跨BM-SC漫游的能力。这两个接口上所交互的信令包括=MBMS承载相关(如:MBMS会话开始、停止)和MBMS用户相关(如:授权、MBMS业务激活)两类。此外BM-SC通过Gi接口传送MBMS业务数据。
[0012]基于长期演进的组通信服务(GroupCommunicat1n Service Enabler over LongTerm Evolut1n,GCSE_LTE)是基于LTE网络的集群通信,可以通过单播承载或者多播承载来实现,可以通过MBMS来实现多播承载的建立。目前SA2确定由组通信服务应用服务器(Group Communicat1n Service Enabler Applicat1n Server,GCS AS)进行组通信月艮务(Group Communicat1n Service Enabler, GCSE)群组管理,群组管理通过应用层信令实现。这样的话,当选择多播承载时,BM-SC对GCSE群组不可见。不同的GCSE群组内传输的内容可能不同,需要为不同的群组通信分配不同业务标识(例如一个警察局工作人员作为一个GCSE群组,一个消防队工作人员作为一个GCSE群组,警察局和消防队群组通信内容不同,需要不同的业务标识实现群组内的组播/多播业务),GCSE群组成员接入相应的业务标识来接收数据。
[0013]即在基于LTE网络的集群通信中,由GCS AS进行GCSE群组管理,BM-SC对GCSE群组不可见。如果完全重用MBMS机制(BM-SC执行提供MBMS业务的全部流程),BM-SC上无法对请求该业务的UE进行授权检查;如果重用部分MBMS机制(BM-SC执行提供MBMS业务的部分流程,GCS AS执行提供MBMS业务的另一部分流程),则BM-SC下发MSK的功能将放在GCS AS上,GCS AS如何实现MSK的下发是一个亟待解决的问题。
【发明内容】
[0014]有鉴于此,本发明实施例提供了一种密钥下发方法、对UE进行授权检查的方法及相关设备,能够在BM-SC对GCSE群组不可见的前提下,确保完全重用MBMS安全机制场景下BM-SC实现对UE的业务授权检查,以及部分重用MBMS安全机制场景下GCS AS完成MSK的下发,使得MBMS安全机制可以用来保证通信的安全。
[0015]第一方面,本发明实施例提供的组通信服务应用服务器GCS AS,包括:
[0016]MSK生成单元,用于生成多媒体广播多播业务密钥MSK ;
[0017]处理单元,用于建立或从广播组播业务中心BM-SC获取MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0018]发送单元,用于根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0019]结合第一方面,在第一方面的第一种实施方式中,所述发送单元还用于,在所述MSK生成单元生成MSK之前,向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求消息用于请求所述BM-SC分配业务标识和/或组标识;
[0020]所述GCS AS还包括:
[0021]第一接收单元,用于接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的业务标识和/或组标识;
[0022]所述发送单元还用于,在所述处理单元建立MSK与各个GCSE组的组标识和/或业务标识的映射关系之后,将MSK发送给所述BM-SC。
[0023]结合第一方面,在第一方面的第二种实施方式中,所述发送单元还用于,在所述MSK生成单元生成MSK之后,向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和MSK,所述请求消息用于请求所述BM-SC分配组标识和/或业务标识并建立各个组标识和/或各个业务标识与各个MSK的映射关系;
[0024]所述处理单元具体用于,接收所述BM-SC发送的响应消息,所述响应消息中包含各个组标识和/或各个业务标识与各个MSK的映射关系。
[0025]结合第一方面,在第一方面的第三种实施方式中,所述GCS AS还包括:
[0026]映射建立单元,用于在所述MSK生成单元生成MSK之后,建立MSK与各个GCSE组的组标识的映射关系;
[0027]所述发送单元还用于,向所述BM-SC发送请求消息,所述请求消息中包含各个MSK与各个GCSE组的组标识的映射关系,所述请求消息用于请求所述BM-SC分配业务标识并建立各个业务标识与各个组标识的映射关系;
[0028]所述处理单元具体用于,接收所述BM-SC发送的响应消息,所述响应消息中包含各个组标识与各个业务标识的映射关系。
[0029]结合第一方面,在第一方面的第四种实施方式中,所述GCS AS还包括:
[0030]第二接收单元,用于在所述MSK生成单元生成MSK前,接收所述BM-SC发送的密钥请求消息,所述密钥请求消息中包含业务标识和请求的MSK个数;
[0031]所述发送单元还用于,在所述处理单元建立MSK与各个GCSE组的组标识和/或业务标识的映射关系之后,将MSK发送给所述BM-SC。
[0032]结合第一方面的第一种实施方式,或第一方面的第二种实施方式,或第一方面的第三种实施方式,或第一方面的第四种实施方式,在第一方面的第五种实施方式中,所述MSK生成单元还用于,为每个MSK生成MSK标识及密钥有效期;
[0033]所述发送单元还用于,在将MSK发送给所述BM-SC的同时或之后以及将MSK发送给对应GCSE组内的UE时,还将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给所述BM-SC和对应GCSE组内的UE。
[0034]结合第一方面的第一种实施方式,或第一方面的第二种实施方式,或第一方面的第三种实施方式,或第一方面的第四种实施方式,在第一方面的第六种实施方式中,所述GCS AS还包括:
[0035]第三接收单元,用于在所述发送单元根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE之前,接收所述BM-SC发送的各个MSK的MSK标识及密钥有效期,所述各个MSK的MSK标识及密钥有效期由BM-SC生成;
[0036]所述发送单元还用于,在将MSK发送给所述BM-SC的同时或之后以及将MSK发送给对应GCSE组内的UE时,还将各个MSK对应的GCSE组的组标识和/或业务标识发送给所述BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0037]结合第一方面,或第一方面的第一种实施方式,或第一方面的第二种实施方式,或第一方面的第三种实施方式,或第一方面的第四种实施方式,在第一方面的第七种实施方式中,所述GCS AS还包括:
[0038]判断单元,用于根据预设规则判断MSK是否需要更新;
[0039]所述MSK生成单元还用于,在所述判断单元的判断结果为是时,生成新的MSK ;
[0040]所述发送单元还用于,向所述BM-SC发送第一密钥更新消息,向对应GCSE组内的UE发送第二密钥更新消息,以使得所述BM-SC及对应GCSE组内的UE更新密钥,所述第一密钥更新消息及所述第二密钥更新消息中包含所述新的MSK。
[0041]结合第一方面的第七种实施方式,在第一方面的第八种实施方式中,所述预设规则包括所述GCSE组内UE的加入和/或离开,或者MSK到有效期。
[0042]结合第一方面的第七种实施方式,在第一方面的第九种实施方式中,所述MSK生成单元还用于,在所述发送单元向所述BM-SC发送第一密钥更新消息之前,生成所述新的MSK的MSK标识及密钥有效期;
[0043]所述第一密钥更新消息及所述第二密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0044]结合第一方面的第七种实施方式,在第一方面的第十种实施方式中,所述GCS AS还包括:
[0045]第四接收单元,用于在所述发送单元向所述BM-SC发送第一密钥更新消息之前,接收所述BM-SC发送的所述新的MSK的MSK标识及密钥有效期;
[0046]所述第一密钥更新消息中还包含:所述新的MSK对应的GCSE的组标识和/或业务标识;所述第二密钥更新消息中包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE的组标识和/或业务标识。
[0047]结合第一方面,或第一方面的第一种实施方式,或第一方面的第二种实施方式,或第一方面的第三种实施方式,或第一方面的第四种实施方式,在第一方面的第十一种实施方式中,所述GCS AS还包括:
[0048]第五接收单元,用于接收所述BM-SC下发的密钥更新触发消息,所述密钥更新触发消息中包含GCSE组的组标识和/或业务标识和/或需要更新的MSK的MSK标识;
[0049]所述MSK生成单元还用于,生成新的MSK ;
[0050]所述发送单元还用于,向所述BM-SC发送第三密钥更新消息,向对应GCSE组内的UE发送第四密钥更新消息,以使得所述BM-SC及对应GCSE组内的UE更新密钥,所述第三密钥更新消息及所述第四密钥更新消息中包含所述新的MSK。
[0051]结合第一方面的第十一种实施方式,在第一方面的第十二种实施方式中,所述MSK生成单元还用于,在所述发送单元向所述BM-SC发送第三密钥更新消息之前,生成所述新的MSK的MSK标识及密钥有效期;
[0052]所述第三密钥更新消息及所述第四密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0053]结合第一方面的第十一种实施方式,在第一方面的第十三种实施方式中,所述GCSAS还包括:
[0054]第六接收单元,用于在所述发送单元向所述BM-SC发送第三密钥更新消息之前,接收所述BM-SC发送的所述新的MSK的MSK标识及密钥有效期;
[0055]所述第三密钥更新消息中还包含:所述新的MSK对应的GCSE组的组标识和/或业务标识;所述第四密钥更新消息中还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0056]第二方面,本发明实施例提供的GCS AS,包括:
[0057]获取单元,用于从广播组播业务中心BM-SC获取多媒体广播多播业务密钥MSK ;
[0058]映射建立单元,用于建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0059]发送单元,用于根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0060]结合第二方面,在第二方面的第一种实施方式中,所述发送单元还用于,在所述获取单元从所述BM-SC获取MSK之前,向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求消息用于请求所述BM-SC分配MSK及业务标识和/或组标识;
[0061]所述获取单元具体用于,接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的MSK及业务标识和/或组标识。
[0062]结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述请求消息还用于请求所述BM-SC为每个MSK生成MSK标识及密钥有效期;
[0063]所述响应消息中还包含每个MSK的MSK标识及密钥有效期;
[0064]所述发送单元还用于,在将MSK发送给对应GCSE组内的UE时,还将各个MSK的标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0065]第三方面,本发明实施例提供的广播组播业务中心BM-SC,包括:
[0066]列表建立单元,用于根据组通信服务应用服务器GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表;
[0067]接收单元,用于接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0068]授权检查单元,用于检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
[0069]结合第三方面,在第三方面的第一种实施方式中,所述接收单元还用于,在所述列表建立单元建立业务标识对应的授权UE列表之前,接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0070]所述BM-SC还包括:
[0071]第一生成单元,用于生成业务标识;
[0072]发送单元,用于向所述GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识分配给各个组通信服务GCSE组;
[0073]所述GCS AS根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的业务标识以及对应的授权UE的标识。
[0074]结合第三方面,在第三方面的第二种实施方式中,所述接收单元还用于,在所述列表建立单元建立业务标识对应的授权UE列表之前,接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识;
[0075]所述BM-SC还包括:
[0076]第二生成单元,用于生成业务标识并建立组标识与业务标识的映射关系;
[0077]所述GCS AS根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的组标识以及对应的授权UE的标识;
[0078]所述列表建立单元具体用于:
[0079]根据所述映射关系查找与所述授权UE列表建立请求中包含的组标识对应的业务标识,建立业务标识对应的授权UE列表。
[0080]结合第三方面的第一种实施方式,在第三方面的第三种实施方式中,所述接收单元还用于,接收所述GCS AS发送的授权UE列表更新请求,所述授权UE列表更新请求中包含业务标识、UE的标识、删除和/或添加指示;
[0081 ] 所述BM-SC还包括:
[0082]第一更新单元,用于根据所述授权UE列表更新请求更新对应的授权UE列表。
[0083]结合第三方面的第二种实施方式,在第三方面的第四种实施方式中,所述接收单元还用于,接收所述GCS AS发送的授权UE列表更新请求,所述授权UE列表更新请求中包含组标识和/或业务标识、UE的标识、删除和/或添加指示;
[0084]所述BM-SC还包括:
[0085]第二更新单元,用于根据所述授权UE列表更新请求更新对应的授权UE列表。
[0086]第四方面,本发明实施例提供的BM-SC,包括:
[0087]接收单元,用于接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0088]发送单元,用于向组通信服务应用服务器GCS AS发送授权检查请求,以请求所述GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
[0089]结合第四方面,在第四方面的第一种实施方式中,所述接收单元还用于,在接收UE发送的业务激活请求之前,接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0090]所述BM-SC还包括:
[0091]第一生成单元,用于生成业务标识;
[0092]所述发送单元还用于,向所述GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识和分配给各个GCSE组;
[0093]所述授权检查请求中包含所述UE的标识及所述UE想要激活的业务的业务标识。
[0094]结合第四方面,在第四方面的第二种实施方式中,所述接收单元还用于,在接收UE发送的业务激活请求之前,接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识;
[0095]所述BM-SC还包括:
[0096]第二生成单元,用于生成业务标识并建立组标识与业务标识的映射关系;
[0097]查找单元,用于在所述发送单元向GCS AS发送授权检查请求之前,查找与所述业务激活请求中包含的业务标识对应的组标识;
[0098]所述授权检查请求中包括,所述UE的标识及所述UE想要激活的业务的业务标识对应的组标识。
[0099]第五方面,本发明实施例提供的密钥下发方法,包括:
[0100]生成多媒体广播多播业务密钥MSK ;
[0101]建立或从广播组播业务中心BM-SC获取MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0102]根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0103]结合第五方面,在第五方面的第一种实施方式中,在生成MSK之前,所述方法还包括:
[0104]向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求消息用于请求所述BM-SC分配业务标识和/或组标识;
[0105]接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的业务标识和/或组标识;
[0106]在建立MSK与各个GCSE组的组标识和/或业务标识的映射关系之后,所述方法还包括:
[0107]将MSK发送给所述BM-SC。
[0108]结合第五方面,在第五方面的第二种实施方式中,在生成MSK之后,所述方法还包括:
[0109]向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和MSK,所述请求消息用于请求所述BM-SC分配组标识和/或业务标识并建立各个组标识和/或各个业务标识与各个MSK的映射关系;
[0110]所述从所述BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系包括:
[0111]接收所述BM-SC发送的响应消息,所述响应消息中包含各个组标识和/或各个业务标识与各个MSK的映射关系。
[0112]结合第五方面,在第五方面的第三种实施方式中,在生成MSK之后,所述方法还包括:
[0113]建立MSK与各个GCSE组的组标识的映射关系;
[0114]向所述BM-SC发送请求消息,所述请求消息中包含MSK与各个GCSE组的组标识的映射关系,所述请求消息用于请求所述BM-SC分配业务标识并建立各个业务标识与各个组标识的映射关系;
[0115]所述从所述BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系包括:
[0116]接收所述BM-SC发送的响应消息,所述响应消息中包含各个组标识与各个业务标识的映射关系。
[0117]结合第五方面,在第五方面的第四种实施方式中,在生成MSK之前,所述方法还包括:
[0118]接收所述BM-SC发送的密钥请求消息,所述密钥请求消息中包含业务标识和请求的MSK个数;
[0119]在建立MSK与各个GCSE组的组标识和/或业务标识的映射关系之后,所述方法还包括:
[0120]将MSK发送给所述BM-SC。
[0121]结合第五方面的第一种实施方式,或第五方面的第二种实施方式,或第五方面的第三种实施方式,或第五方面的第四种实施方式,在第五方面的第五种实施方式中,在根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE之前,还包括:
[0122]为每个MSK生成MSK标识及密钥有效期;
[0123]在将MSK发送给所述BM-SC的同时或之后以及将MSK发送给对应GCSE组内的UE时还包括:
[0124]将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给所述BM-SC和对应GCSE组内的UE。
[0125]结合第五方面的第一种实施方式,或第五方面的第二种实施方式,或第五方面的第三种实施方式,或第五方面的第四种实施方式,在第五方面的第六种实施方式中,所述根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE之前,还包括:
[0126]接收所述BM-SC发送的各个MSK的MSK标识及密钥有效期,所述各个MSK的MSK标识及密钥有效期由BM-SC生成;
[0127]在将MSK发送给所述BM-SC的同时或之后以及将MSK发送给对应GCSE组内的UE时还包括:
[0128]将各个MSK对应的GCSE组的组标识和/或业务标识发送给所述BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0129]结合第五方面,或第五方面的第一种实施方式,或第五方面的第二种实施方式,或第五方面的第三种实施方式,或第五方面的第四种实施方式,在第五方面的第七种实施方式中,所述方法还包括:
[0130]根据预设规则判断MSK是否需要更新;
[0131]如果是,则生成新的MSK ;
[0132]向所述BM-SC发送第一密钥更新消息,向对应GCSE组内的UE发送第二密钥更新消息,以使得所述BM-SC及对应GCSE组内的UE更新密钥,所述第一密钥更新消息及所述第二密钥更新消息中包含所述新的MSK。
[0133]结合第五方面的第七种实施方式,在第五方面的第八种实施方式中,所述预设规则包括所述GCSE组内UE的加入和/或离开,或者MSK到有效期。
[0134]结合第五方面的第七种实施方式,在第五方面的第九种实施方式中,在向所述BM-SC发送第一密钥更新消息之前,还包括:
[0135]生成所述新的MSK的MSK标识及密钥有效期;
[0136]所述第一密钥更新消息及所述第二密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0137]结合第五方面的第七种实施方式,在第五方面的第十种实施方式中,在向所述BM-SC发送第一密钥更新消息之前,还包括:
[0138]接收所述BM-SC发送的所述新的MSK的MSK标识及密钥有效期;
[0139]所述第一密钥更新消息中还包含:所述新的MSK对应的GCSE的组标识和/或业务标识;所述第二密钥更新消息中包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE的组标识和/或业务标识。
[0140]结合第五方面,或第五方面的第一种实施方式,或第五方面的第二种实施方式,或第五方面的第三种实施方式,或第五方面的第四种实施方式,在第五方面的第i 种实施方式中,所述方法还包括:
[0141]接收所述BM-SC下发的密钥更新触发消息,所述密钥更新触发消息中包含GCSE组的组标识和/或业务标识和/或需要更新的MSK的MSK标识;
[0142]生成新的MSK;
[0143]向所述BM-SC发送第三密钥更新消息,向对应GCSE组内的UE发送第四密钥更新消息,以使得所述BM-SC及对应GCSE组内的UE更新密钥,所述第三密钥更新消息及所述第四密钥更新消息中包含所述新的MSK。
[0144]结合第五方面的第^ 种实施方式,在第五方面的第十二种实施方式中,在向所述BM-SC发送第三密钥更新消息之前,还包括;
[0145]生成所述新的MSK的MSK标识及密钥有效期;
[0146]所述第三密钥更新消息及所述第四密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0147]结合第五方面的第^ 种实施方式,在第五方面的第十三种实施方式中,在向所述BM-SC发送第三密钥更新消息之前,还包括:
[0148]接收所述BM-SC发送的所述新的MSK的MSK标识及密钥有效期;
[0149]所述第三密钥更新消息中还包含:所述新的MSK对应的GCSE组的组标识和/或业务标识;所述第四密钥更新消息中还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0150]第六方面,本发明实施例提供的密钥下发方法,包括:
[0151]从广播组播业务中心BM-SC获取多媒体广播多播业务密钥MSK ;
[0152]建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0153]根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0154]结合第六方面,在第六方面的第一种实施方式中,在从所述BM-SC获取MSK之前,所述方法还包括:
[0155]向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求消息用于请求所述BM-SC分配MSK及业务标识和/或组标识;
[0156]所述从所述BM-SC获取MSK包括:
[0157]接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的MSK及业务标识和/或组标识。
[0158]结合第六方面的第一种实施方式,在第六方面的第二种实施方式中,所述请求消息还用于请求所述BM-SC为每个MSK生成MSK标识及密钥有效期;
[0159]所述响应消息中还包含每个MSK的MSK标识及密钥有效期;
[0160]在将MSK发送给对应GCSE组内的UE时还包括:
[0161 ] 将各个MSK的标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0162]第七方面,本发明实施例提供的对用户设备UE进行授权检查的方法,包括:
[0163]根据组通信服务应用服务器GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表;
[0164]接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0165]检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
[0166]结合第七方面,在第七方面的第一种实施方式中,在建立业务标识对应的授权UE列表之前,还包括:
[0167]接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0168]生成业务标识;
[0169]向所述GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识分配给各个组通信服务GCSE组;
[0170]所述GCS AS根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的业务标识以及对应的授权UE的标识。
[0171]结合第七方面,在第七方面的第二种实施方式中,在建立业务标识对应的授权UE列表之前,还包括:
[0172]接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识;
[0173]生成业务标识并建立组标识与业务标识的映射关系;
[0174]所述GCS AS根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的组标识以及对应的授权UE的标识,所述根据所述GCSAS发送的授权UE列表建立请求建立业务标识对应的授权UE列表包括:
[0175]根据所述映射关系查找与所述授权UE列表建立请求中包含的组标识对应的业务标识,建立业务标识对应的授权UE列表。
[0176]结合第七方面的第一种实施方式,在第七方面的第三种实施方式中,所述方法还包括:
[0177]接收所述GCS AS发送的授权UE列表更新请求,所述授权UE列表更新请求中包含业务标识、UE的标识、删除和/或添加指示;
[0178]根据所述授权UE列表更新请求更新对应的授权UE列表。
[0179]结合第七方面的第二种实施方式,在第七方面的第四种实施方式中,所述方法还包括:
[0180]接收所述GCS AS发送的授权UE列表更新请求,所述授权UE列表更新请求中包含组标识和/或业务标识、UE的标识、删除和/或添加指示;
[0181]根据所述授权UE列表更新请求更新对应的授权UE列表。
[0182]第八方面,本发明实施例提供的对用户设备UE进行授权检查的方法,包括:
[0183]接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0184]向组通信服务应用服务器GCS AS发送授权检查请求,以请求所述GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
[0185]结合第八方面,在第八方面的第一种实施方式中,在接收UE发送的业务激活请求之前,所述方法还包括:
[0186]接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0187]生成业务标识;
[0188]向所述GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识和分配给各个GCSE组;
[0189]所述授权检查请求中包含所述UE的标识及所述UE想要激活的业务的业务标识。
[0190]结合第八方面,在第八方面的第二种实施方式中,在接收UE发送的业务激活请求之前,所述方法还包括:
[0191 ] 接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识;
[0192]生成业务标识并建立组标识与业务标识的映射关系;
[0193]在向GCS AS发送授权检查请求之前,还包括:
[0194]查找与所述业务激活请求中包含的业务标识对应的组标识;
[0195]所述授权检查请求中包括,所述UE的标识及所述UE想要激活的业务的业务标识对应的组标识。
[0196]从以上技术方案可以看出,本发明实施例具有以下优点:
[0197]本发明实施例中,GCS AS可以生成或从BM-SC获取MSK,建立或从BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系,然后根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将MSK下发给对应GCSE组内的UE’即实现了在部分重用MBMS安全机制场景下GCS AS完成MSK的下发。
[0198]另外,BM-SC可以根据GCS AS发送的授权UE列表建立请求建立授权UE列表,这样在接收到UE发送的业务激活请求后,直接根据自身建立的授权UE列表即可实现对UE的授权检查;或者BM-SC可以在接收到UE发送的业务激活请求后,向GCS AS发送授权检查请求,以请求GCS AS对UE进行授权检查,这样即实现了在BM-SC对GCSE群组不可见时,在完全重用MBMS安全机制场景下BM-SC对UE的业务授权检查。
【专利附图】
【附图说明】
[0199]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0200]图1为本发明GCS AS 一个实施例示意图;
[0201]图2为本发明GCS AS另一实施例示意图;
[0202]图3为本发明GCS AS另一实施例示意图;
[0203]图4为本发明GCS AS另一实施例示意图;
[0204]图5为本发明GCS AS另一实施例示意图;
[0205]图6为本发明GCS AS另一实施例示意图;
[0206]图7为本发明GCS AS另一实施例示意图;
[0207]图8为本发明GCS AS另一实施例示意图;
[0208]图9为本发明BM-SC —个实施例示意图;
[0209]图10为本发明BM-SC另一实施例示意图;
[0210]图11为本发明BM-SC另一实施例示意图;
[0211]图12为本发明BM-SC另一实施例示意图;
[0212]图13为本发明BM-SC另一实施例示意图;
[0213]图14为本发明BM-SC另一实施例示意图;
[0214]图15为本发明密钥下发方法一个实施例示意图;
[0215]图16为本发明密钥下发方法另一实施例示意图;
[0216]图17为本发明密钥下发方法另一实施例示意图;
[0217]图18为本发明密钥下发方法另一实施例示意图;
[0218]图19为本发明密钥下发方法另一实施例示意图;
[0219]图20为本发明密钥更新方法一个实施例示意图;
[0220]图21为本发明密钥更新方法另一实施例示意图;
[0221]图22为本发明密钥下发方法另一实施例示意图;
[0222]图23为本发明密钥下发方法另一实施例示意图;
[0223]图24为本发明对UE进行授权检查的方法一个实施例示意图;
[0224]图25为本发明对UE进行授权检查的方法另一实施例示意图;
[0225]图26为本发明对UE进行授权检查的方法另一实施例示意图;
[0226]图27为本发明对UE进行授权检查的方法另一实施例示意图;
[0227]图28为本发明对UE进行授权检查的方法另一实施例示意图;
[0228]图29为本发明对UE进行授权检查的方法另一实施例示意图。
【具体实施方式】
[0229]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0230]由于在基于LTE网络的集群通信中,BM-SC对GCSE群组不可见,GCS AS负责GCSE组内UE的管理,即GCSE知道哪个UE属于哪个GCSE组,只是每个GCSE组没有业务标识,也可能没有组标识。GCSE组可由GCS AS在UE注册时建立,当然GCSE组也可预先建立。例如,UE向GCS AS注册,注册信息中携带UE的标识,GCS AS为注册UE建立GCSE组,注册UE的数量可以为一个或多个,建立的GCSE组的数量也可以是一个或多个,此处不做限定;或者,GCSE组为提前建立好的,UE向GCS AS注册时直接携带组标识和UE的标识。当确定UE采用多播承载并通过重用部分MBMS机制实现多播承载的建立时,需要考虑GCS AS如何实现MSK的下发问题;当确定UE采用多播承载并通过完全重用MBMS机制实现多播承载的建立时,需要考虑BM-SC如何对请求该业务的UE进行授权检查。本发明实施例中所提到的多播可以是组播,也可以是广播。下面分别通过不同的实施例进行说明。
[0231]装置实施例一:
[0232]请参阅图1,图1为本发明GCS AS—个实施例示意图,本实施例的GCS AS 10用于实现MSK的下发,本实施例的GCS AS包括:
[0233]MSK生成单元11,用于生成MSK ;
[0234]处理单元12,用于建立或从BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系;
[0235]具体实现中,建立或从BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系包括:建立或从BM-SC获取MSK与各个GCSE组的组标识的映射关系,建立或从BM-SC获取MSK与各个GCSE组的业务标识的映射关系,以及建立或从BM-SC获取MSK、各个GCSE组的组标识、各个GCSE组的业务标识三者的映射关系。
[0236]其中,组标识可以是GCS AS为GCSE组分配的或GCSE组自身就有的固定组标识,也可以是BM-SC根据GCS AS的请求生成的临时移动组标识,例如TMGI (Temporary MobileGroup Identity)。
[0237]生成的MSK可以有多个,每个GCSE组可以和一个MSK建立映射关系,也可以和多个MSK建立映射关系,即每个GCSE组可以只有一个MSK,也可以有多个MSK。为便于描述,后续实施例中将以每个GCSE组只有一个MSK,且每个GCSE组只具有一个组标识和/或业务标识的情形进行说明。
[0238]发送单元13,用于根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE。
[0239]装置实施例二:
[0240]本实施例是对本发明GCS AS的一个具体描述,请参阅图2,本实施例的GCS AS 20包括:
[0241]发送单元21,用于向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0242]第一接收单元22,用于接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的业务标识和/或组标识;
[0243]MSK生成单元23,用于生成MSK ;
[0244]处理单元24,用于建立MSK与各个GCSE组的组标识和/或业务标识的映射关系;
[0245]发送单元21,还用于将MSK发送给BM-SC,以及根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0246]本实施例中,可以理解为GCSE组的组标识为由BM-SC生成的临时移动组标识。
[0247]具体实现中,当确定UE采用多播承载时,发送单元21向BM-SC发送请求消息,所述请求消息用于请求BM-SC分配业务标识和/或组标识,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数。组标识个数和/或组个数和/或请求的业务个数可以由GCS AS管理的GCSE组的组个数来确定,即GCS AS管理几个GCSE组,后续就请求几个组标识和/或几个业务标识。
[0248]本实施例中,可以理解的是,GCS AS本身知道哪个UE属于哪个GCSE组,只是每个GCSE组没有组标识及业务标识,需要请求BM-SC生成。
[0249]BM-SC生成组标识和/或业务标识后,向GCS AS发送响应消息,响应消息中包含BM-SC生成的组标识和/或业务标识,第一接收单元22接收所述响应消息。
[0250]接下来MSK生成单元23生成MSK,处理单元24建立MSK与组标识和/或业务标识的映射关系,发送单元21将MSK发送给BM-SC,并根据MSK与组标识和/或业务标识的映射关系将MSK发送给对应GCSE组内的UE。下面举例进行说明:
[0251]例如,GCS AS管理两个GCSE组,第一个GCSE组内包含UEl及UE2,第二 GCSE组内包含UE3及UE4。在GCS AS生成MSK及从BM-SC获取组标识与业务标识后,建立MSK、组标识(临时移动组标识)、业务标识三者的一一映射关系(例如将131(1、组标识I及业务标识I作为一组并分给第一个GCSE组,将MSK2、组标识2及业务标识2作为一组并分给第二个GCSE组),后续GCS AS直接将生成的MSK发送给BM-SC,并根据所建立的映射关系将MSK发送给对应GCSE组内的UE,在这个例子中,即将MSKl发送给第一个GCSE组内的UE,将MSK2发送给第二个GCSE组内的UE。
[0252]另外,每个MSK还应该具有MSK标识及密钥有效期。每个MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0253]当每个MSK的MSK标识及密钥有效期由GCS AS生成时,发送单元21在将MSK发送给BM-SC及对应GCSE组内的UE的同时,还需要将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC和对应GCSE组内的UE。
[0254]当每个MSK的MSK标识及密钥有效期由BM-SC生成,然后发送给GCS AS时,需要由第三接收单元25接收BM-SC生成并发送的每个MSK的MSK标识及密钥有效期。在这种情况下,发送单元21在将MSK发送给BM-SC以及对应GCSE组内的UE的同时,还需要将各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE0
[0255]装置实施例三:
[0256]本实施例是对本发明GCS AS的另一具体描述,请参阅图3,本实施例的GCS AS 30包括:
[0257]MSK生成单元31,用于生成MSK ;
[0258]发送单元32,用于向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和MSK ;
[0259]处理单元33,用于接收BM-SC发送的响应消息,所述响应消息中包含各个组标识和/或各个业务标识与各个MSK的映射关系;
[0260]发送单元32还用于,根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0261 ] 本实施例中,可以理解为GCSE组的组标识为由BM-SC生成的临时移动组标识。
[0262]具体实现中,MSK生成单元31根据GCS AS管理的GCSE组的个数生成MSK,生成MSK的个数可与GCS AS管理的GCSE组的个数相同。在MSK生成单元31生成MSK之后,发送单元32向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和MSK,所述请求消息用于请求BM-SC分配组标识和/或业务标识并建立各个组标识和/或各个业务标识与各个MSK的映射关系。
[0263]BM-SC根据发送单元32发送的请求消息分配组标识和/或业务标识并建立各个组标识和/或各个业务标识与各个MSK的映射关系,然后向GCS AS发送响应消息。处理单元33接收BM-SC发送的响应消息,所述响应消息中包含各个组标识和/或各个业务标识与各个MSK的映射关系。
[0264]另外,每个MSK还应该具有MSK标识及密钥有效期。每个MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0265]当每个MSK的MSK标识及密钥有效期由GCS AS生成时,发送单元32在将MSK发送给BM-SC之后以及将MSK发送给对应GCSE组内的UE时,还需要将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC和对应GCSE组内的UE。
[0266]当每个MSK的MSK标识及密钥有效期由BM-SC生成,然后发送给GCS AS时,需要由第三接收单元25接收BM-SC生成并发送的每个MSK的MSK标识及密钥有效期。在这种情况下,发送单元21在将MSK发送给BM-SC之后以及将MSK发送给对应GCSE组内的UE时,还需要将各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0267]装置实施例二及装置实施例三介绍了当GCSE组的组标识为BM-SC生成的临时移动组标识时,实现MSK下发的GCS AS,下面两个装置实施例将介绍当GCSE组的组标识为固定组标识时,实现MSK下发的GCS AS。
[0268]装置实施例四:
[0269]请参阅图4,本实施例的GCS AS 40包括:
[0270]MSK生成单元41,用于生成MSK ;
[0271]映射建立单元42,用于建立MSK与各个GCSE组的组标识的映射关系;
[0272]发送单元43,用于向BM-SC发送请求消息,所述请求消息中包含各个MSK与各个GCSE组的组标识的映射关系;
[0273]处理单元44,用于接收BM-SC发送的响应消息,所述响应消息中包含各个组标识与各个业务标识的映射关系。
[0274]具体实现中,MSK生成单元41根据GCS AS管理的GCSE组的个数生成MSK,生成MSK的个数可与GCS AS管理的GCSE组的个数相同。在MSK生成单元41生成MSK之后,映射建立单元42建立MSK与各个GCSE组的组标识的映射关系,然后发送单元43向BM-SC发送请求消息,所述请求消息中包含各个MSK与各个GCSE组的组标识的映射关系,所述请求消息用于请求BM-SC分配业务标识并建立各个业务标识与各个组标识的映射关系。BM-SC生成业务标识,生成业务标识的个数可与MSK和/或组标识的个数相同,生成业务标识之后,BM-SC建立组标识与业务标识的映射关系并向GCS AS发送响应消息。处理单元44接收BM-SC发送的响应消息,所述响应消息中包含各个组标识与各个业务标识的映射关系。
[0275]本实施例中,GCS AS自身建立并保存有GCSE组的组标识和MSK的映射关系,在从BM-SC获取业务标识与组标识的映射关系之后,GCS AS就拥有了 MSK、组标识、业务标识三者间的映射关系,根据这三者的映射关系GCS AS就可以将MSK发送给对应GCSE组内的UE。下面举例进行说明:
[0276]例如,GCS AS管理两个GCSE组,第一个GCSE组的组标识为组标识I (固定组标识),第一个GCSE组内包含UEl及UE2,第二 GCSE组的组标识为组标识2 (固定组标识),第二个GCSE组内包含UE3及UE4。在GCS AS生成MSK之后,建立MSK与组标识的映射关系(例如组标识I与MSKl为一组,组标识2与MSK2为一组)。在GCS AS从BM-SC获取组标识与业务标识的映射关系(例如组标识I与业务标识I为一组,组标识2与业务标识2为一组)之后,GCS AS就拥有了 MSK、组标识、业务标识三者的一一映射关系(即MSKiJi#识I及业务标识I作为一组对应于第一个GCSE组,MSK2、组标识2及业务标识2作为一组对应于第二个GCSE组),后续GCS AS根据所获取的映射关系将MSK发送给对应GCSE组内的UE’在这个例子中,即将MSKl发送给第一个GCSE组内的UE,将MSK2发送给第二个GCSE组内的UE。
[0277]另外,每个MSK还应该具有MSK标识及密钥有效期。每个MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0278]当每个MSK的MSK标识及密钥有效期由GCS AS生成时,发送单元43在将MSK发送给BM-SC之后以及将MSK发送给对应GCSE组内的UE的同时,还需要将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC和对应GCSE组内的UE。
[0279]当每个MSK的MSK标识及密钥有效期由BM-SC生成,然后发送给GCS AS时,需要由第三接收单元45接收BM-SC生成并发送的每个MSK的MSK标识及密钥有效期。在这种情况下,发送单元43在将MSK发送给BM-SC之后以及将MSK发送给对应GCSE组内的UE的同时,还将各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0280]装置实施例五:
[0281 ] 请参阅图5,本实施例的GCS AS 50包括:
[0282]第二接收单元51,用于接收BM-SC发送的密钥请求消息,所述密钥请求消息中包含业务标识和请求的MSK个数;
[0283]MSK生成单元52,用于生成MSK ;
[0284]处理单元53,用于建立MSK与各个GCSE组的组标识和/或业务标识的映射关系;
[0285]发送单元55,用于将MSK发送给BM-SC,并根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将MSK发送给对应GCSE组内的UE。
[0286]具体实现中,GCS AS可根据自身管理的GCSE组的个数,向BM-SC发送包含组个数和/或业务个数的请求消息,BM-SC根据GCS AS发送的组个数和/或业务个数发送密钥请求消息,所述密钥请求消息中包含业务标识和请求的MSK个数,第二接收单元51接收所述密钥请求消息,MSK生成单元52根据密钥请求消息生成MSK。处理单元53建立MSK与各个GCSE组的组标识和/或业务标识的映射关系,发送单元55将MSK发送给BM-SC,并根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将MSK发送给对应GCSE组内的UE。
[0287]另外,每个MSK还应该具有MSK标识及密钥有效期。每个MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0288]当每个MSK的MSK标识及密钥有效期由GCS AS生成时,发送单元55在将MSK发送给BM-SC以及对应GCSE组内的UE的同时,还需要将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC和对应GCSE组内的UE。
[0289]当每个MSK的MSK标识及密钥有效期由BM-SC生成,然后发送给GCS AS时,需要由第三接收单元54接收BM-SC生成并发送的每个MSK的MSK标识及密钥有效期。在这种情况下,发送单元55在将MSK发送给BM-SC以及对应GCSE组内的UE的同时,还将各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0290]上面几个装置实施例描述了实现MSK下发的GCS AS,下面几个装置实施例将描述实现MSK更新的GCS AS。
[0291]装置实施例六:
[0292]请参阅图6,本实施例的GCS AS 60包括:
[0293]判断单元61,用于根据预设规则判断MSK是否需要更新;
[0294]所述预设规则包括所述GCSE组内UE的加入和/或离开,或者MSK到有效期。
[0295]MSK生成单元62,用于在判断单元61的判断结果为是时,生成新的MSK ;
[0296]发送单元64,用于向BM-SC发送第一密钥更新消息,向对应GCSE组内的UE发送第二密钥更新消息,以使得BM-SC及对应GCSE组内的UE更新密钥,所述第一密钥更新消息及所述第二密钥更新消息中包含所述新的MSK。
[0297]所述新的MSK还应该具有MSK标识及密钥有效期。所述新的MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0298]当所述新的MSK的MSK标识及密钥有效期由GCS AS生成时,MSK生成单元62还用于在发送单元64向BM-SC发送第一密钥更新消息之前,生成所述新的MSK的MSK标识及密钥有效期。所述第一密钥更新消息及所述第二密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0299]当所述新的MSK的MSK标识及密钥有效期由BM-SC生成并下发给GCS AS时,第四接收单元63在发送单元64向BM-SC发送第一密钥更新消息之前,接收BM-SC发送的所述新的MSK的MSK标识及密钥有效期。所述第一密钥更新消息中还包含:所述新的MSK对应的GCSE的组标识和/或业务标识;所述第二密钥更新消息中包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE的组标识和/或业务标识。
[0300]装置实施例六描述了自行进行MSK更新的GCS AS,装置实施例七将描述由BM-SC触发进行MSK更新的GCS AS。
[0301]装置实施例七:
[0302]请参阅图7,本实施例的GCS AS 70包括:
[0303]第五接收单元71,用于接收BM-SC下发的密钥更新触发消息,所述密钥更新触发消息中包含GCSE组的组标识和/或业务标识和/或需要更新的MSK的MSK标识;
[0304]具体实现中,BM-SC可判断MSK是否需要更新,判断的准则例如:密钥到有效期。如果MSK需要更新,则BM-SC向GCS AS下发密钥更新触发消息。
[0305]MSK生成单元72,用于生成新的MSK ;
[0306]发送单元74,用于向BM-SC发送第三密钥更新消息,向对应GCSE组内的UE发送第四密钥更新消息,以使得BM-SC及对应GCSE组内的UE更新密钥,所述第三密钥更新消息及所述第四密钥更新消息中包含所述新的MSK。
[0307]所述新的MSK还应该具有MSK标识及密钥有效期。所述新的MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0308]当所述新的MSK的MSK标识及密钥有效期由GCS AS生成时,MSK生成单元72还用于在发送单元74向BM-SC发送第三密钥更新消息之前,生成所述新的MSK的MSK标识及密钥有效期。所述第三密钥更新消息及所述第四密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0309]当所述新的MSK的MSK标识及密钥有效期由BM-SC生成并下发给GCS AS时,需要由第六接收单元73在发送单元74向BM-SC发送第三密钥更新消息之前,接收BM-SC发送的所述新的MSK的MSK标识及密钥有效期。所述第三密钥更新消息中还包含:所述新的MSK对应的GCSE的组标识和/或业务标识;所述第四密钥更新消息中包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE的组标识和/或业务标识。
[0310]上面的七个装置实施例介绍了 MSK由GCS AS自身生成时,实现MSK下发的GCS AS,下面的装置实施例将介绍MSK由BM-SC生成时,实现MSK下发的GCS AS。
[0311]装置实施例八:
[0312]请参阅图8,本实施例的GCS AS 80包括:
[0313]获取单元81,用于从BM-SC获取MSK ;
[0314]映射建立单元82,用于建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0315]发送单元83,用于根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0316]在一个具体的实施例中,发送单元83可根据GCS AS管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,请求消息用于请求BM-SC分配MSK及业务标识和/或组标识。所述请求消息中请求的组标识个数和/或组个数和/或请求的业务个数可与GCS AS管理的GCSE组的个数相同。
[0317]BM-SC为GCSE分配MSK及业务标识和/或组标识,并向GCS AS发送响应消息。获取单元81接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的MSK及业务标识和/或组标识。另外,所述请求消息还用于请求BM-SC为每个MSK生成MSK标识及密钥有效期;所述响应消息中还包含每个MSK的MSK标识及密钥有效期。
[0318]映射建立单元82建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系,发送单兀83根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK、各个MSK的标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0319]在一个具体实施例中:GCS AS可以包括处理器及发送器,其中:
[0320]处理器用于,生成MSK,建立或从BM-SC获取MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0321]发送器用于,根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0322]或者
[0323]处理器用于,从BM-SC获取MSK,建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0324]发送器用于,根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0325]需要说明的是,在上面对GCS AS进行描述的各个实施例中,可以理解为BM-SC向GCS AS发送的各种映射关系中,映射关系的本身是利用MSK、组标识以及业务标识本身表不的,因此,映射关系中既包含了 MSK、组标识、业务标识本身,也包含三者之间的映射关系。当然,在其他的实施例中,映射关系还可以利用MSK的标识、代表组标识以及业务标识的其他信息表示,那么在BM-SC向GCS AS发送各种映射关系时,还应该将映射关系中涉及的MSK、组标识及业务标识发送给GCS AS。
[0326]另外,在上面对GCS AS进行描述的各个实施例中,GCS AS自身建立的各种映射关系,可以理解为GCS AS利用MSK、组标识、业务标识本身建立映射关系,也可以理解为GCSAS利用MSK标识、代表组标识、业务标识的信息建立映射关系,此处不做具体限定。
[0327]下面介绍本发明实施例的BM-SC,本发明实施例的BM-SC用于实现对UE的授权检查。
[0328]装置实施例九:
[0329]请参阅图9,本实施例的BM-SC 90包括:
[0330]列表建立单元91,用于根据GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表;
[0331 ] 接收单元92,用于接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0332]授权检查单元93,用于检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
[0333]装置实施例十:
[0334]本实施例是对本发明BM-SC的一个详细介绍,请参阅图10,本实施例的BM-SC包括:
[0335]接收单元101,接收GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0336]第一生成单元102,用于生成业务标识;
[0337]发送单元103,用于向GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识分配给各个GCSE组;
[0338]接收单元101还用于,接收GCS AS发送的授权UE列表建立请求及UE发送的业务激活请求;
[0339]BM-SC 还包括:
[0340]列表建立单元104,用于根据GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表;
[0341]授权检查单元105,用于检查UE的标识是否在UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
[0342]在其他的实施例中,BM-SC还可以包括第一更新单元106,用于根据接收单元101接收的授权UE列表更新请求更新对应的授权UE列表。
[0343]在一个具体的实施例中,GCS AS根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求的组标识个数和/或组个数和/或请求的业务个数可以与GCS AS管理的GCSE组的个数相同。接收单元101接收GCS AS发送的请求消息。
[0344]本实施例中,可以理解的是,GCS AS本身知道哪个UE属于哪个GCSE组,但每个GCSE组没有组标识及业务标识,因此需要请求BM-SC生成。
[0345]第一生成单元102根据请求消息生成业务标识。发送单元103根据第一生成单元102生成的业务标识向GCS AS发送响应消息,所述响应消息中包含业务标识,以使得GCSAS将业务标识分配给各个组通信服务GCSE组。GCS AS将业务标识分配给各个GCSE组之后,根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的业务标识以及对应的授权UE的标识。
[0346]列表建立单元104根据GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表,每个业务标识对应的授权UE列表中包含对应UE的标识。在接收单元101接收到UE发送的业务激活请求之后,授权检查单元105检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识。
[0347]另外,第一生成单元102根据请求消息生成业务标识的同时还可以生成组标识,并将组标识一并发送给GCS AS,以使得GCS AS将组标识也分配给各个GCSE组。这里的组标识可以理解为移动临时组标识。下面举例进行说明:
[0348]例如,GCS AS管理两个GCSE组,第一个GCSE组内包含UEl及UE2,第二 GCSE组内包含UE3及UE4。在BM-SC将生成的组标识及业务标识发送给GCS AS之后,GCS AS将组标识(临时移动组标识)、业务标识分配给各个GCSE组(例如将组标识I及业务标识I作为一组并分给第一个GCSE组,将组标识2及业务标识2作为一组并分给第二个GCSE组),后续GCS AS向BM-SC发送授权UE列表建立请求,请求中包含GCSE组的业务标识以及对应的授权UE的标识(如业务标识I及UE1、UE2的标识,业务标识2及UE3、UE4的标识)。BM-SC建立与业务标识对应的授权UE列表(即业务标识I对应的授权UE列表中包含UEl及UE2,业务标识2对应的授权UE列表中包含UE3及UE4)。当BM-SC接收到某个UE发送的业务激活请求时,就可以查找并判断该UE的标识是否在该UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对该UE的授权检查成功,如果不在,则对该UE的授权检查失败。
[0349]后续当GCS AS发现授权UE列表需要更新时,可以向BM-SC发送授权UE列表更新请求,接收单元101接收所述授权UE列表更新请求,所述授权UE列表更新请求中包含业务标识、UE的标识、删除和/或添加指示;第一更新单元106根据所述授权UE列表更新请求更新对应的授权UE列表。
[0350]装置实施例1^一:
[0351]装置实施例十中可以认为GCSE组不需要组标识,或组标识为BM-SC生成的临时移动组标识,本实施例将介绍GCSE的组标识为固定组标识时对UE进行授权检查的BM-SC,请参阅图11,本实施例的BM-SC 110包括:
[0352]接收单元111,用于接收GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识;
[0353]第二生成单元112,用于生成业务标识并建立组标识与业务标识的映射关系;
[0354]接收单元111还用于,接收GCS AS发送的授权UE列表建立请求以及UE发送的业务激活请求,所述授权UE列表建立请求中包含GCSE组的组标识以及对应的授权UE的标识;
[0355]BM-SC 还包括:
[0356]列表建立单元113,用于根据所述映射关系查找与所述授权UE列表建立请求中包含的组标识对应的业务标识,建立业务标识对应的授权UE列表;
[0357]授权检查单元114,用于检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
[0358]在其他的实施例中,BM-SC还可以包括第二更新单元115,用于根据接收单元111接收的授权UE列表更新请求更新对应的授权UE列表。
[0359]在一个具体的实施例中,GCS AS根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中包含GCSE组的组标识,组标识的个数与GCS AS管理的GCSE组的个数相同,接收单元111接收所述请求消息。第二生成单元112根据请求消息生成业务标识并建立组标识与业务标识的映射关系。
[0360]所述GCS AS根据各个GCSE组内包含的UE发送授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的组标识以及对应的授权UE的标识。接收单元111接收所述授权UE列表建立请求,列表建立单元113根据所建立的组标识与业务标识的映射关系查找与所述授权UE列表建立请求中包含的组标识对应的业务标识,建立查找到的业务标识对应的授权UE列表。授权UE列表中包含对应UE的标识。
[0361 ] 在接收单元111接收到UE发送的业务激活请求后,授权检查单元114,用于检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
[0362]后续当GCS AS发现授权UE列表需要更新时,可以向BM-SC发送授权UE列表更新请求,接收单元111接收所述授权UE列表更新请求,所述授权UE列表更新请求中包含业务标识和/或组标识、UE的标识、删除和/或添加指示;第二更新单元115根据所述授权UE列表更新请求更新对应的授权UE列表。
[0363]在一个具体的实施例中,BM-SC还可以包括处理器及接收器,其中,
[0364]处理器用于,根据GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表;
[0365]接收器用于,接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0366]所述处理器还用于,检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
[0367]装置实施例十及十一描述了自身建立了授权UE列表,从而实现对UE进行授权检查的BM-SC,下面的实施例将描述自身没有建立授权UE列表,但是需要对UE进行授权检查的 BM-SC。
[0368]装置实施例十二:
[0369]请参阅图12,本实施例的BM-SC 120包括:
[0370]接收单元121,用于接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0371]发送单元122,用于向GCS AS发送授权检查请求,以请求所述GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
[0372]装置实施例十三:
[0373]本实施例为本发明BM-SC的一个详细描述,请参阅图13,本实施例的BM-SC 130包括:
[0374]接收单元131,用于接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0375]第一生成单元132,用于生成业务标识;
[0376]发送单元133,用于向GCS AS发送响应消息,所述响应消息中包含业务标识,以使得GCS AS将业务标识和分配给各个GCSE组;
[0377]接收单元131还用于,接收UE发送的授权检查请求,所述授权检查请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0378]发送单元133还用于,向GCS AS发送授权检查请求,以请求所述GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
[0379]在一个具体的实施例中,GCS AS根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求的组标识个数和/或组个数和/或请求的业务个数可以与GCS AS管理的GCSE组的个数相同。接收单元131接收GCS AS发送的请求消息。
[0380]第一生成单元132根据请求消息生成业务标识。发送单元133根据第一生成单元132生成的业务标识向GCS AS发送响应消息,所述响应消息中包含业务标识,以使得GCSAS将业务标识分配给各个组通信服务GCSE组,GCS AS中相当于就有了业务标识对应的授权UE列表。
[0381]在接收单元131接收到UE发送的业务激活请求之后,发送单元133向GCS AS发送授权检查请求,以请求GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。所述授权检查请求中包含所述UE的标识及所述UE想要激活的业务的业务标识。GCS AS对UE进行授权检查之后,可以将授权检查结果发送给BM-SC。
[0382]另外,第一生成单元132根据请求消息生成业务标识的同时还可以生成组标识,并将组标识一并发送给GCS AS,以使得GCS AS将组标识也分配给各个GCSE组。这里的组标识可以理解为移动临时组标识。下面举例进行说明:
[0383]例如,GCS AS管理两个GCSE组,第一个GCSE组内包含UEl及UE2,第二个GCSE组内包含UE3及UE4。在BM-SC将生成的组标识及业务标识发送给GCS AS之后,GCS AS将组标识(临时移动组标识)、业务标识分配给各个GCSE组(例如将组标识I及业务标识I作为一组并分给第一个GCSE组,将组标识2及业务标识2作为一组并分给第二个GCSE组),后续当BM-SC接收到某个UE发送的业务激活请求时,就可以向GCS AS发送授权检查请求,以请求GCS AS检查该UE的标识是否在该UE想要激活的业务的业务标识对应的GCSE组中,如果在,则对该UE的授权检查成功,如果不在,则对该UE的授权检查失败。
[0384]装置实施例十四:
[0385]装置实施例十三中可以认为GCSE组不需要组标识,或组标识为BM-SC生成的临时移动组标识,本实施例将介绍GCSE的组标识为固定组标识时对UE进行授权检查的BM-SC,请参阅图14,本实施例的BM-SC 140包括:
[0386]接收单元141,用于接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识;
[0387]第二生成单元142,用于生成业务标识并建立组标识与业务标识的映射关系;
[0388]接收单元141还用于接收UE发送的业务激活请求,所述业务激活请求中包含UE的标识及UE想要激活的业务的业务标识;
[0389]BM-SC 还包括:
[0390]查找单元143,用于查找与所述业务激活请求中包含的业务标识对应的组标识;
[0391]发送单元144,用于向GCS AS发送授权检查请求,所述授权检查请求中包括,所述UE的标识及所述UE想要激活的业务的业务标识对应的组标识,以请求GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组标识对应的GCSE组中。
[0392]在一个具体的实施例中,GCS AS根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中包含GCSE组的组标识,这种情况下相当于GCS AS自身具有组标识对应的授权UE列表,接收单元141接收所述请求消息。第二生成单元142根据请求消息生成业务标识并建立组标识与业务标识的映射关系。
[0393]当接收单元141接收到UE发送的业务激活请求后,查找单元143查找与所述业务激活请求中包含的业务标识对应的组标识,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识。发送单元144向GCS AS发送授权检查请求,授权检查请求中包含所述UE的标识及所述UE想要激活的业务的业务标识对应的组标识,以请求GCSAS检查所述UE的标识是否在查找到的组标识对应的GCSE组中,如果在,则对该UE授权检查成功,否则,对该UE授权检查失败。GCS AS对UE进行授权检查之后,可以将授权检查结果发送给BM-SC。
[0394]在一个具体的实施例中,BM-SC还可以包括接收器及发送器,其中,
[0395]接收器用于,接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0396]发送器用于,向组通信服务应用服务器GCS AS发送授权检查请求,以请求所述GCSAS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
[0397]下面对本发明提供的密钥下发方法进行介绍。
[0398]方法实施例一:
[0399]请参阅图15,图15为密钥下发方法一个实施例,本实施例的方法包括:
[0400]SlUGCS AS 生成 MSK ;
[0401 ] S12、GCS AS建立或从BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系;
[0402]具体实现中,建立或从BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系包括:建立或从BM-SC获取MSK与各个GCSE组的组标识的映射关系,建立或从BM-SC获取MSK与各个GCSE组的业务标识的映射关系,以及建立或从BM-SC获取MSK、各个GCSE组的组标识、各个GCSE组的业务标识三者的映射关系。
[0403]其中,组标识可以是GCS AS为GCSE组分配的或GCSE组自身就有的固定组标识,也可以是BM-SC根据GCS AS的请求生成的临时移动组标识,例如TMGI。
[0404]生成的MSK可以有多个,每个GCSE组可以和一个MSK建立映射关系,也可以和多个MSK建立映射关系,即每个GCSE组可以只有一个MSK,也可以有多个MSK。为便于描述,后续实施例中将以每个GCSE组只有一个MSK,且每个GCSE组只具有一个组标识和/或业务标识的情形进行说明。
[0405]S13、GCS AS根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE。
[0406]本实施例中,GCS AS可以生成MSK,并建立或从BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系,然后根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将MSK下发给对应GCSE组内的UE’即实现了在部分重用MBMS安全机制场景下GCS AS完成MSK的下发。
[0407]方法实施例二:
[0408]本实施例是对本发明密钥下发方法的一个具体描述,请参阅图16,本实施例的方法包括:
[0409]S2UGCS AS向BM-SC发送请求消息,请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0410]本实施例中,可以理解为GCSE组的组标识为由BM-SC生成的临时移动组标识。
[0411]具体实现中,当确定UE采用多播承载时,GCS AS向BM-SC发送请求消息,所述请求消息用于请求BM-SC分配业务标识和/或组标识,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数。组标识个数和/或组个数和/或请求的业务个数可以由GCS AS管理的GCSE组的组个数来确定,即GCS AS管理几个GCSE组,后续就请求几个组标识和/或几个业务标识。
[0412]本实施例中,可以理解的是,GCS AS本身知道哪个UE属于哪个GCSE组,只是每个GCSE组没有组标识及业务标识,需要请求BM-SC生成。
[0413]S22、GCS AS接收BM-SC发送的响应消息,响应消息中包含所述BM-SC分配的业务标识和/或组标识;
[0414]BM-SC生成组标识和/或业务标识,并向GCS AS发送响应消息,响应消息中包含BM-SC生成的组标识和/或业务标识,GCS AS接收所述响应消息。
[0415]S23、GCS AS 生成 MSK ;
[0416]S24、GCS AS建立MSK与各个GCSE组的组标识和/或业务标识的映射关系;
[0417]S25、GCS AS将MSK发送给BM-SC,以及根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE。下面举例进行说明:
[0418]例如,GCS AS管理两个GCSE组,第一个GCSE组内包含UEl及UE2,第二 GCSE组内包含UE3及UE4。在GCS AS生成MSK及从BM-SC获取组标识与业务标识后,建立MSK、组标识(临时移动组标识)、业务标识三者的一一映射关系(例如将131(1、组标识I及业务标识I作为一组并分给第一个GCSE组,将MSK2、组标识2及业务标识2作为一组并分给第二个GCSE组),后续GCS AS直接将生成的MSK发送给BM-SC,并根据所建立的映射关系将MSK发送给对应GCSE组内的UE,在这个例子中,即将MSKl发送给第一个GCSE组内的UE,将MSK2发送给第二个GCSE组内的UE。
[0419]另外,每个MSK还应该具有MSK标识及密钥有效期。每个MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0420]当每个MSK的MSK标识及密钥有效期由GCS AS生成时,GCS AS在将MSK发送给BM-SC及对应GCSE组内的UE的同时,还需要将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC和对应GCSE组内的UE。
[0421]当每个MSK的MSK标识及密钥有效期由BM-SC生成,然后发送给GCS AS时,在步骤S25之前,GCS AS还要接收BM-SC生成并发送的每个MSK的MSK标识及密钥有效期。在这种情况下,GCS AS在将MSK发送给BM-SC以及对应GCSE组内的UE的同时,还需要将各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE0
[0422]方法实施例三:
[0423]本实施例是对本发明密钥下发方法的一个具体描述,请参阅图17,本实施例的方法包括:
[0424]S31、GCS AS 生成 MSK ;
[0425]具体实现中,GCS AS根据自身管理的GCSE组的个数生成MSK,生成MSK的个数可与GCS AS管理的GCSE组的个数相同。
[0426]S32、GCS AS向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和MSK ;
[0427]所述请求消息用于请求BM-SC分配组标识和/或业务标识并建立各个组标识和/或各个业务标识与各个MSK的映射关系。
[0428]本实施例中,可以理解为GCSE组的组标识为由BM-SC生成的临时移动组标识。
[0429]S33、GCS AS接收BM-SC发送的响应消息,所述响应消息中包含各个组标识和/或各个业务标识与各个MSK的映射关系;
[0430]S34、GCS AS根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
[0431 ] 另外,每个MSK还应该具有MSK标识及密钥有效期。每个MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0432]当每个MSK的MSK标识及密钥有效期由GCS AS生成时,GCS AS在将MSK发送给BM-SC之后以及将MSK发送给对应GCSE组内的UE时,还需要将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC和对应GCSE组内的UE。
[0433]当每个MSK的MSK标识及密钥有效期由BM-SC生成,然后发送给GCS AS时,在步骤S34之前,GCS AS还需要接收BM-SC生成并发送的每个MSK的MSK标识及密钥有效期。在这种情况下,GCS AS在将MSK发送给BM-SC之后以及将MSK发送给对应GCSE组内的UE时,还需要将各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0434]方法实施例二及方法实施例三介绍了当GCSE组的组标识为BM-SC生成的临时移动组标识时,实现MSK下发的方法,下面两个方法实施例将介绍当GCSE组的组标识为固定组标识时,实现MSK下发的方法。
[0435]方法实施例四:
[0436]请参阅图18,本实施例的方法包括:
[0437]S41、GCS AS 生成 MSK ;
[0438]GCS AS可根据自身管理的GCSE组的个数生成MSK,生成MSK的个数可与GCS AS管理的GCSE组的个数相同。
[0439]S42、GCS AS建立MSK与各个GCSE组的组标识的映射关系;
[0440]S43、GCS AS向BM-SC发送请求消息,所述请求消息中包含各个MSK与各个GCSE组的组标识的映射关系;
[0441]S44、GCS AS接收BM-SC发送的响应消息,所述响应消息中包含各个组标识与各个业务标识的映射关系;
[0442]S45、GCS AS根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将MSK发送给对应GCSE组内的UE。
[0443]本实施例中,GCS AS自身建立并保存有GCSE组的组标识和MSK的映射关系,在从BM-SC获取业务标识与组标识的映射关系之后,GCS AS就拥有了 MSK、组标识、业务标识三者间的映射关系,根据这三者的映射关系GCS AS就可以将MSK发送给对应GCSE组内的UE。下面举例进行说明:
[0444]例如,GCS AS管理两个GCSE组,第一个GCSE组的组标识为组标识I (固定组标识),第一个GCSE组内包含UEl及UE2,第二 GCSE组的组标识为组标识2 (固定组标识),第二个GCSE组内包含UE3及UE4。在GCS AS生成MSK之后,建立MSK与组标识的映射关系(例如组标识I与MSKl为一组,组标识2与MSK2为一组)。在GCS AS从BM-SC获取组标识与业务标识的映射关系(例如组标识I与业务标识I为一组,组标识2与业务标识2为一组)之后,GCS AS就拥有了 MSK、组标识、业务标识三者的一一映射关系(即MSKiJi#识I及业务标识I作为一组对应于第一个GCSE组,MSK2、组标识2及业务标识2作为一组对应于第二个GCSE组),后续GCS AS根据所获取的映射关系将MSK发送给对应GCSE组内的UE’在这个例子中,即将MSKl发送给第一个GCSE组内的UE,将MSK2发送给第二个GCSE组内的UE。
[0445]另外,每个MSK还应该具有MSK标识及密钥有效期。每个MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0446]当每个MSK的MSK标识及密钥有效期由GCS AS生成时,GCS AS在将MSK发送给BM-SC之后以及将MSK发送给对应GCSE组内的UE的同时,还需要将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC和对应GCSE组内的UE。
[0447]当每个MSK的MSK标识及密钥有效期由BM-SC生成,然后发送给GCS AS时,在步骤S45之前,GCS AS还需要接收BM-SC生成并发送的每个MSK的MSK标识及密钥有效期。在这种情况下,GCS AS在将MSK发送给BM-SC之后以及将MSK发送给对应GCSE组内的UE的同时,还将各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0448]方法实施例五:
[0449]请参阅图19,本实施例的密钥下发方法包括:
[0450]S5UGCS AS接收BM-SC发送的密钥请求消息,所述密钥请求消息中包含业务标识和请求的MSK个数;
[0451]GCS AS可根据自身管理的GCSE组的个数,向BM-SC发送包含组个数和/或业务个数的请求消息,BM-SC根据GCS AS发送的组个数和/或业务个数发送密钥请求消息,所述密钥请求消息中包含业务标识和请求的MSK个数,GCS AS接收所述密钥请求消息。
[0452]S52、GCS AS 生成 MSK ;
[0453]S53、GCS AS建立MSK与各个GCSE组的组标识和/或业务标识的映射关系;
[0454]S54、GCS AS将MSK发送给BM-SC,并根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将MSK发送给对应GCSE组内的UE。
[0455]另外,每个MSK还应该具有MSK标识及密钥有效期。每个MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0456]当每个MSK的MSK标识及密钥有效期由GCS AS生成时,GCS AS在将MSK发送给BM-SC以及对应GCSE组内的UE的同时,还需要将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC和对应GCSE组内的UE。
[0457]当每个MSK的MSK标识及密钥有效期由BM-SC生成,然后发送给GCS AS时,在步骤S54之前,GCS AS还需要接收BM-SC生成并发送的每个MSK的MSK标识及密钥有效期。在这种情况下,发送单元55在将MSK发送给BM-SC以及对应GCSE组内的UE的同时,还将各个MSK对应的GCSE组的组标识和/或业务标识发送给BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0458]上面几个方法实施例描述了 MSK下发方法,下面几个方法实施例将描述在完成MSK下发之后,对MSK进行更新的方法。
[0459]方法实施例六:
[0460]请参阅图20,本实施例MSK更新方法包括:
[0461]S6UGCS AS根据预设规则判断MSK是否需要更新;若是,则执行步骤S62,否则,执行步骤S64结束处理;
[0462]所述预设规则包括所述GCSE组内UE的加入和/或离开,或者MSK到有效期。
[0463]S62、GCS AS 生成新的 MSK ;
[0464]S63、GCS AS向BM-SC发送第一密钥更新消息,向对应GCSE组内的UE发送第二密钥更新消息,以使得BM-SC及对应GCSE组内的UE更新密钥。所述第一密钥更新消息及所述第二密钥更新消息中包含所述新的MSK。
[0465]所述新的MSK还应该具有MSK标识及密钥有效期。所述新的MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0466]当所述新的MSK的MSK标识及密钥有效期由GCS AS生成时,GCS AS在发送第一密钥更新消息之前,还生成所述新的MSK的MSK标识及密钥有效期。所述第一密钥更新消息及所述第二密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0467]当所述新的MSK的MSK标识及密钥有效期由BM-SC生成并下发给GCS AS时,GCSAS在向BM-SC发送第一密钥更新消息之前,还接收BM-SC发送的所述新的MSK的MSK标识及密钥有效期。所述第一密钥更新消息中还包含:所述新的MSK对应的GCSE的组标识和/或业务标识;所述第二密钥更新消息中包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE的组标识和/或业务标识。
[0468]方法实施例六描述了 GCS AS自行进行MSK更新的方法,方法实施例七将描述由BM-SC触发GCS AS进行MSK更新的方法。
[0469]方法实施例七:
[0470]请参阅图21,本实施例的MSK更新方法包括:
[0471]S7UGCS AS接收BM-SC下发的密钥更新触发消息,所述密钥更新触发消息中包含GCSE组的组标识和/或业务标识和/或需要更新的MSK的MSK标识;
[0472]具体实现中,BM-SC可判断MSK是否需要更新,判断的准则例如:密钥到有效期。如果MSK需要更新,则BM-SC向GCS AS下发密钥更新触发消息。
[0473]S72、生成新的 MSK;
[0474]S73、向BM-SC发送第三密钥更新消息,向对应GCSE组内的UE发送第四密钥更新消息,以使得BM-SC及对应GCSE组内的UE更新密钥,所述第三密钥更新消息及所述第四密钥更新消息中包含所述新的MSK。
[0475]所述新的MSK还应该具有MSK标识及密钥有效期。所述新的MSK的MSK标识及密钥有效期可以由GCS AS生成,也可以由BM-SC生成并下发给GCS AS。
[0476]当所述新的MSK的MSK标识及密钥有效期由GCS AS生成时,GCS AS在向BM-SC发送第三密钥更新消息之前,还生成所述新的MSK的MSK标识及密钥有效期。所述第三密钥更新消息及所述第四密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
[0477]当所述新的MSK的MSK标识及密钥有效期由BM-SC生成并下发给GCS AS时,GCSAS在向BM-SC发送第三密钥更新消息之前,还接收BM-SC发送的所述新的MSK的MSK标识及密钥有效期。所述第三密钥更新消息中还包含:所述新的MSK对应的GCSE的组标识和/或业务标识;所述第四密钥更新消息中包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE的组标识和/或业务标识。
[0478]上面的七个方法实施例介绍了 MSK由GCS AS自身生成时,GCS AS实现MSK下发的方法,下面的方法实施例将介绍MSK由BM-SC生成时,GCS AS实现MSK下发的方法。
[0479]方法实施例八:
[0480]请参阅图22,本实施例的方法包括:
[0481 ] S81、GCS AS 从 BM-SC 获取 MSK ;
[0482]S82、GCS AS建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0483]S83、GCS AS根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE。
[0484]本实施例中,GCS AS可以从BM-SC获取MSK,建立MSK与各个GCSE组的组标识和/或业务标识的映射关系,然后根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将MSK下发给对应GCSE组内的UE,即实现了在部分重用MBMS安全机制场景下GCS AS完成MSK的下发。
[0485]方法实施例九:
[0486]请参阅图23,当MSK由BM-SC生成时,GCS AS实现MSK下发的方法的一个具体实施例包括:
[0487]S91、GCS AS向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0488]GCS AS可根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中请求的组标识个数和/或组个数和/或请求的业务个数可与GCS AS管理的GCSE组的个数相同。
[0489]所述请求消息用于请求BM-SC分配MSK及业务标识和/或组标识,另外,所述请求消息还用于请求BM-SC为每个MSK生成MSK标识及密钥有效期。
[0490]S92、GCS AS接收BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的MSK及业务标识和/或组标识;
[0491]另外,所述响应消息中还包含每个MSK的MSK标识及密钥有效期。
[0492]S93、GCS AS建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系;
[0493]S94、GCS AS根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE。
[0494]另外,GCS AS还将各个MSK的标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
[0495]需要说明的是,在上面对密钥下发方法进行描述的各个实施例中,可以理解为BM-SC向GCS AS发送的各种映射关系中,映射关系的本身是利用MSK、组标识以及业务标识本身表示的,因此,映射关系中既包含了 MSK、组标识、业务标识本身,也包含三者之间的映射关系。当然,在其他的实施例中,映射关系还可以利用MSK的标识、代表组标识以及业务标识的其他信息表示,那么在BM-SC向GCS AS发送各种映射关系时,还应该将映射关系中涉及的MSK、组标识及业务标识发送给GCS AS。
[0496]另外,在上面对密钥下发方法进行描述的各个实施例中,GCS AS自身建立的各种映射关系,可以理解为GCS AS利用MSK、组标识、业务标识本身建立映射关系,也可以理解为GCS AS利用MSK标识、代表组标识、业务标识的信息建立映射关系,此处不做具体限定。
[0497]下面对本发明提供的对UE进行授权检查的方法进行介绍。
[0498]方法实施例十:
[0499]请参阅图24,本实施例的方法包括:
[0500]S101、BM-SC根据GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表;
[0501]S102.BM-SC接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0502]S103、BM-SC检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
[0503]本实施例中,BM-SC可以根据GCS AS发送的授权UE列表建立请求建立授权UE列表,这样在接收到UE发送的业务激活请求后,直接根据自身建立的授权UE列表即可实现对UE的授权检查,这样即实现了在BM-SC对GCSE群组不可见时,在完全重用MBMS安全机制场景下BM-SC对UE的业务授权检查。
[0504]方法实施例1^一:
[0505]本实施例是对本发明对UE进行授权检查方法的一个详细介绍,请参阅图25,本实施例的方法包括:
[0506]Sill、BM-SC接收GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0507]GCS AS根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求的组标识个数和/或组个数和/或请求的业务个数可以与GCS AS管理的GCSE组的个数相同。
[0508]S112、BM-SC生成业务标识;
[0509]本实施例中,可以理解的是,GCS AS本身知道哪个UE属于哪个GCSE组,但每个GCSE组没有组标识及业务标识,因此需要请求BM-SC生成。
[0510]S113、BM_SC向GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识分配给各个GCSE组;
[0511]另外,BM-SC根据请求消息生成业务标识的同时还可以生成组标识,并将组标识一并发送给GCS AS,以使得GCS AS将组标识也分配给各个GCSE组。这里的组标识可以理解为移动临时组标识。
[0512]S114、BM-SC根据GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表;
[0513]GCS AS将业务标识分配给各个GCSE组之后,根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的业务标识以及对应的授权UE的标识。每个业务标识对应的授权UE列表中包含对应UE的标识。
[0514]S115、BM-SC接收GCS AS发送的业务激活请求;
[0515]所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识。
[0516]SI 16、BM-SC检查UE的标识是否在UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败;
[0517]S117、BM-SC接收GCS AS发送的授权UE列表更新请求;
[0518]S118、BM_SC更新对应的授权UE列表。
[0519]后续当GCS AS发现授权UE列表需要更新时,可以向BM-SC发送授权UE列表更新请求,BM-SC接收所述授权UE列表更新请求,所述授权UE列表更新请求中包含业务标识、UE的标识、删除和/或添加指示;BM-SC根据所述授权UE列表更新请求更新对应的授权UE列表。下面举例进行说明:
[0520]例如,GCS AS管理两个GCSE组,第一个GCSE组内包含UE1及UE2,第二 GCSE组内包含UE3及UE4。在BM-SC将生成的组标识及业务标识发送给GCS AS之后,GCS AS将组标识(临时移动组标识)、业务标识分配给各个GCSE组(例如将组标识1及业务标识1作为一组并分给第一个GCSE组,将组标识2及业务标识2作为一组并分给第二个GCSE组),后续GCS AS向BM-SC发送授权UE列表建立请求,请求中包含GCSE组的业务标识以及对应的授权UE的标识(如业务标识1及UE1、UE2的标识,业务标识2及UE3、UE4的标识)。BM-SC建立与业务标识对应的授权UE列表(即业务标识1对应的授权UE列表中包含UE1及UE2,业务标识2对应的授权UE列表中包含UE3及UE4)。当BM-SC接收到某个UE发送的业务激活请求时,就可以查找并判断该UE的标识是否在该UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对该UE的授权检查成功,如果不在,则对该UE的授权检查失败。
[0521]方法实施例十二:
[0522]方法实施例1^一中可以认为GCSE组不需要组标识,或组标识为BM-SC生成的临时移动组标识,本实施例将介绍GCSE的组标识为固定组标识时BM-SC对UE进行授权检查的方法,请参阅图26,本实施例的方法包括:
[0523]S121、BM-SC接收GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识;
[0524]GCS AS根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中包含GCSE组的组标识,组标识的个数与GCS AS管理的GCSE组的个数相同。
[0525]S122、BM-SC生成业务标识并建立组标识与业务标识的映射关系;
[0526]S123、BM-SC根据GCS AS发送的授权UE列表建立请求建立授权UE列表,所述授权UE列表建立请求中包含GCSE组的组标识以及对应的授权UE的标识;
[0527]GCS AS根据各个GCSE组内包含的UE发送授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的组标识以及对应的授权UE的标识。BM-SC根据所建立的组标识与业务标识的映射关系查找与所述授权UE列表建立请求中包含的组标识对应的业务标识,建立查找到的业务标识对应的授权UE列表。授权UE列表中包含对应UE的标识。
[0528]S124、BM-SC接收UE发送的业务激活请求;
[0529]业务激活请求中包含UE的标识及UE想要激活的业务的业务标识。
[0530]S125、BM-SC检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败;
[0531]S126、BM-SC接收的授权UE列表更新请求;
[0532]S127、BM-SC更新对应的授权UE列表。
[0533]后续当GCS AS发现授权UE列表需要更新时,可以向BM-SC发送授权UE列表更新请求,BM-SC接收所述授权UE列表更新请求,所述授权UE列表更新请求中包含业务标识和/或组标识、UE的标识、删除和/或添加指示;BM-SC根据所述授权UE列表更新请求更新对应的授权UE列表。
[0534]方法实施例1^一及十二描述了 BM-SC自身建立了授权UE列表,从而实现对UE进行授权检查的方法,下面的实施例将描述BM-SC自身没有建立授权UE列表,但是需要对UE进行授权检查的方法。
[0535]方法实施例十三:
[0536]请参阅图27,本实施例的方法包括:
[0537]S13UBM-SC接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0538]S132、向GCS AS发送授权检查请求,以请求所述GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
[0539]本实施例中,BM-SC在接收到UE发送的业务激活请求后,向GCS AS发送授权检查请求,以请求GCS AS对UE进行授权检查,这样即实现了在BM-SC对GCSE群组不可见时,在完全重用MBMS安全机制场景下BM-SC对UE的业务授权检查。
[0540]方法实施例十四:
[0541]本实施例为BM-SC自身没有建立授权UE列表,但是需要对UE进行授权检查的方法的一个详细描述,请参阅图28,本实施例的方法包括:
[0542]S141、BM-SC接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;
[0543]GCS AS根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求的组标识个数和/或组个数和/或请求的业务个数可以与GCS AS管理的GCSE组的个数相同,BM-SC接收所述GCS AS发送的请求消息。
[0544]S142、BM-SC生成业务标识;
[0545]S143、BM-SC向GCS AS发送响应消息,所述响应消息中包含业务标识,以使得GCSAS将业务标识和分配给各个GCSE组;
[0546]此时,GCS AS中相当于就有了业务标识对应的授权UE列表。
[0547]另外,BM-SC根据请求消息生成业务标识的同时还可以生成组标识,并将组标识一并发送给GCS AS,以使得GCS AS将组标识也分配给各个GCSE组。这里的组标识可以理解为移动临时组标识。
[0548]S144、BM_SC接收UE发送的授权检查请求,所述授权检查请求中包含所述UE的标识及所述UE想要激活的业务的业务标识;
[0549]S145、BM-SC向GCS AS发送授权检查请求,以请求所述GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
[0550]GCS AS对UE进行授权检查之后,可以将授权检查结果发送给BM-SC。
[0551]下面举例进行说明:
[0552]例如,GCS AS管理两个GCSE组,第一个GCSE组内包含UE1及UE2,第二个GCSE组内包含UE3及UE4。在BM-SC将生成的组标识及业务标识发送给GCS AS之后,GCS AS将组标识(临时移动组标识)、业务标识分配给各个GCSE组(例如将组标识1及业务标识1作为一组并分给第一个GCSE组,将组标识2及业务标识2作为一组并分给第二个GCSE组),后续当BM-SC接收到某个UE发送的业务激活请求时,就可以向GCS AS发送授权检查请求,以请求GCS AS检查该UE的标识是否在该UE想要激活的业务的业务标识对应的GCSE组中,如果在,则对该UE的授权检查成功,如果不在,则对该UE的授权检查失败。
[0553]方法实施例十五:
[0554]方法实施例十四中可以认为GCSE组不需要组标识,或组标识为BM-SC生成的临时移动组标识,本实施例将介绍GCSE的组标识为固定组标识时对UE进行授权检查的方法,请参阅图29,本实施例的方法包括:
[0555]S151、BM-SC接收GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识;
[0556]具体实现中,GCS AS可以根据自身管理的GCSE组的个数向BM-SC发送请求消息,所述请求消息中包含GCSE组的组标识,这种情况下相当于GCS AS自身具有组标识对应的授权UE列表。
[0557]S152、生成业务标识并建立组标识与业务标识的映射关系;
[0558]S153、接收UE发送的业务激活请求,所述业务激活请求中包含UE的标识及UE想要激活的业务的业务标识;
[0559]S154、查找与所述业务激活请求中包含的业务标识对应的组标识;
[0560]S155、用于向GCS AS发送授权检查请求,所述授权检查请求中包括,所述UE的标识及所述UE想要激活的业务的业务标识对应的组标识,以请求GCS AS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组标识对应的GCSE组中。
[0561]GCS AS对UE进行授权检查之后,可以将授权检查结果发送给BM-SC。
[0562]在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
[0563]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0564]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0565]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM, Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0566]以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【权利要求】
1.一种组通信服务应用服务器GCS AS,其特征在于,包括: MSK生成单元,用于生成多媒体广播多播业务密钥MSK ; 处理单元,用于建立或从广播组播业务中心BM-SC获取MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系; 发送单元,用于根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
2.如权利要求1所述的GCSAS,其特征在于, 所述发送单元还用于,在所述MSK生成单元生成MSK之前,向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求消息用于请求所述BM-SC分配业务标识和/或组标识; 所述GCS AS还包括: 第一接收单元,用于接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的业务标识和/或组标识; 所述发送单元还用于,在所述处理单元建立MSK与各个GCSE组的组标识和/或业务标识的映射关系之后,将MSK发送给所述BM-SC。
3.如权利要求1所述的GCSAS,其特征在于, 所述发送单元还用于,在所述MSK生成单元生成MSK之后,向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和MSK,所述请求消息用于请求所述BM-SC分配组标识和/或业务标识并建立各个组标识和/或各个业务标识与各个MSK的映射关系; 所述处理单元具体用于,接收所述BM-SC发送的响应消息,所述响应消息中包含各个组标识和/或各个业务标识与各个MSK的映射关系。
4.如权利要求1所述的GCSAS,其特征在于,所述GCS AS还包括: 映射建立单元,用于在所述MSK生成单元生成MSK之后,建立MSK与各个GCSE组的组标识的映射关系; 所述发送单元还用于,向所述BM-SC发送请求消息,所述请求消息中包含各个MSK与各个GCSE组的组标识的映射关系,所述请求消息用于请求所述BM-SC分配业务标识并建立各个业务标识与各个组标识的映射关系; 所述处理单元具体用于,接收所述BM-SC发送的响应消息,所述响应消息中包含各个组标识与各个业务标识的映射关系。
5.如权利要求1所述的GCSAS,其特征在于,所述GCS AS还包括: 第二接收单元,用于在所述MSK生成单元生成MSK前,接收所述BM-SC发送的密钥请求消息,所述密钥请求消息中包含业务标识和请求的MSK个数; 所述发送单元还用于,在所述处理单元建立MSK与各个GCSE组的组标识和/或业务标识的映射关系之后,将MSK发送给所述BM-SC。
6.如权利要求2至5任意一项所述的GCSAS,其特征在于,所述MSK生成单元还用于,为每个MSK生成MSK标识及密钥有效期; 所述发送单元还用于,在将MSK发送给所述BM-SC的同时或之后以及将MSK发送给对应GCSE组内的UE时,还将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给所述BM-SC和对应GCSE组内的UE。
7.如权利要求2至5任意一项所述的GCSAS,其特征在于,所述GCS AS还包括: 第三接收单元,用于在所述发送单元根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE之前,接收所述BM-SC发送的各个MSK的MSK标识及密钥有效期,所述各个MSK的MSK标识及密钥有效期由BM-SC生成; 所述发送单元还用于,在将MSK发送给所述BM-SC的同时或之后以及将MSK发送给对应GCSE组内的UE时,还将各个MSK对应的GCSE组的组标识和/或业务标识发送给所述BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
8.如权利要求1至5任意一项所述的GCSAS,其特征在于,所述GCS AS还包括: 判断单元,用于根据预设规则判断MSK是否需要更新; 所述MSK生成单元还用于,在所述判断单元的判断结果为是时,生成新的MSK ; 所述发送单元还用于,向所述BM-SC发送第一密钥更新消息,向对应GCSE组内的UE发送第二密钥更新消息,以使得所述BM-SC及对应GCSE组内的UE更新密钥,所述第一密钥更新消息及所述第二密钥更新消息中包含所述新的MSK。
9.如权利要求8所述的GCSAS,其特征在于,所述预设规则包括所述GCSE组内UE的加入和/或离开,或者MSK到有效期。
10.如权利要求8所述的GCSAS,其特征在于, 所述MSK生成单元还用于,在所述发送单元向所述BM-SC发送第一密钥更新消息之前,生成所述新的MSK的MSK标识及密钥有效期; 所述第一密钥更新消息及所述第二密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
11.如权利要求8所述的GCSAS,其特征在于,所述GCS AS还包括: 第四接收单元,用于在所述发送单元向所述BM-SC发送第一密钥更新消息之前,接收所述BM-SC发送的所述新的MSK的MSK标识及密钥有效期; 所述第一密钥更新消息中还包含:所述新的MSK对应的GCSE的组标识和/或业务标识;所述第二密钥更新消息中包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE的组标识和/或业务标识。
12.如权利要求1至5任意一项所述的GCSAS,其特征在于,所述GCSAS还包括: 第五接收单元,用于接收所述BM-SC下发的密钥更新触发消息,所述密钥更新触发消息中包含GCSE组的组标识和/或业务标识和/或需要更新的MSK的MSK标识; 所述MSK生成单元还用于,生成新的MSK ; 所述发送单元还用于,向所述BM-SC发送第三密钥更新消息,向对应GCSE组内的UE发送第四密钥更新消息,以使得所述BM-SC及对应GCSE组内的UE更新密钥,所述第三密钥更新消息及所述第四密钥更新消息中包含所述新的MSK。
13.如权利要求12所述的GCSAS,其特征在于, 所述MSK生成单元还用于,在所述发送单元向所述BM-SC发送第三密钥更新消息之前,生成所述新的MSK的MSK标识及密钥有效期; 所述第三密钥更新消息及所述第四密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
14.如权利要求12所述的GCSAS,其特征在于,所述GCS AS还包括: 第六接收单元,用于在所述发送单元向所述BM-SC发送第三密钥更新消息之前,接收所述BM-SC发送的所述新的MSK的MSK标识及密钥有效期; 所述第三密钥更新消息中还包含:所述新的MSK对应的GCSE组的组标识和/或业务标识;所述第四密钥更新消息中还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
15.一种组通信服务应用服务器GCS AS,其特征在于,包括: 获取单元,用于从广播组播业务中心BM-SC获取多媒体广播多播业务密钥MSK ; 映射建立单元,用于建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映身寸关系; 发送单元,用于根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
16.如权利要求15所述的GCSAS,其特征在于, 所述发送单元还用于,在所述获取单元从所述BM-SC获取MSK之前,向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求消息用于请求所述BM-SC分配MSK及业务标识和/或组标识; 所述获取单元具体用于,接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的MSK及业务标识和/或组标识。
17.如权利要求16所述的GCSAS,其特征在于,所述请求消息还用于请求所述BM-SC为每个MSK生成MSK标识及密钥有效期; 所述响应消息中还包含每个MSK的MSK标识及密钥有效期; 所述发送单元还用于,在将MSK发送给对应GCSE组内的UE时,还将各个MSK的标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
18.一种广播组播业务中心BM-SC,其特征在于,包括: 列表建立单元,用于根据组通信服务应用服务器GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表; 接收单元,用于接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识; 授权检查单元,用于检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
19.如权利要求18所述的BM-SC,其特征在于, 所述接收单元还用于,在所述列表建立单元建立业务标识对应的授权UE列表之前,接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数; 所述BM-SC还包括: 第一生成单元,用于生成业务标识; 发送单元,用于向所述GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识分配给各个组通信服务GCSE组; 所述GCS AS根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的业务标识以及对应的授权UE的标识。
20.如权利要求18所述的BM-SC,其特征在于, 所述接收单元还用于,在所述列表建立单元建立业务标识对应的授权UE列表之前,接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识; 所述BM-SC还包括: 第二生成单元,用于生成业务标识并建立组标识与业务标识的映射关系; 所述GCS AS根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的组标识以及对应的授权UE的标识; 所述列表建立单元具体用于: 根据所述映射关系查找与所述授权UE列表建立请求中包含的组标识对应的业务标识,建立业务标识对应的授权UE列表。
21.如权利要求19所述的BM-SC,其特征在于, 所述接收单元还用于,接收所述GCS AS发送的授权UE列表更新请求,所述授权UE列表更新请求中包含业务标识、UE的标识、删除和/或添加指示; 所述BM-SC还包括: 第一更新单元,用于根据所述授权UE列表更新请求更新对应的授权UE列表。
22.如权利要求20所述的BM-SC,其特征在于, 所述接收单元还用于,接收所述GCS AS发送的授权UE列表更新请求,所述授权UE列表更新请求中包含组标识和/或业务标识、UE的标识、删除和/或添加指示; 所述BM-SC还包括: 第二更新单元,用于根据所述授权UE列表更新请求更新对应的授权UE列表。
23.—种广播组播业务中心BM-SC,其特征在于,包括: 接收单元,用于接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识; 发送单元,用于向组通信服务应用服务器GCS AS发送授权检查请求,以请求所述GCSAS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
24.如权利要求23所述的BM-SC,其特征在于, 所述接收单元还用于,在接收UE发送的业务激活请求之前,接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数;所述BM-SC还包括: 第一生成单元,用于生成业务标识; 所述发送单元还用于,向所述GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识和分配给各个GCSE组; 所述授权检查请求中包含所述UE的标识及所述UE想要激活的业务的业务标识。
25.如权利要求23所述的BM-SC,其特征在于, 所述接收单元还用于,在接收UE发送的业务激活请求之前,接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识; 所述BM-SC还包括: 第二生成单元,用于生成业务标识并建立组标识与业务标识的映射关系; 查找单元,用于在所述发送单元向GCS AS发送授权检查请求之前,查找与所述业务激活请求中包含的业务标识对应的组标识; 所述授权检查请求中包括,所述UE的标识及所述UE想要激活的业务的业务标识对应的组标识。
26.—种密钥下发方法,其特征在于,包括: 生成多媒体广播多播业务密钥MSK ; 建立或从广播组播业务中心BM-SC获取MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系; 根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
27.如权利要求26所述的方法,其特征在于,在生成MSK之前,所述方法还包括: 向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求消息用于请求所述BM-SC分配业务标识和/或组标识; 接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的业务标识和/或组标识; 在建立MSK与各个GCSE组的组标识和/或业务标识的映射关系之后,所述方法还包括: 将MSK发送给所述BM-SC。
28.如权利要求26所述的方法,其特征在于,在生成MSK之后,所述方法还包括: 向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和MSK,所述请求消息用于请求所述BM-SC分配组标识和/或业务标识并建立各个组标识和/或各个业务标识与各个MSK的映射关系; 所述从所述BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系包括:接收所述BM-SC发送的响应消息,所述响应消息中包含各个组标识和/或各个业务标识与各个MSK的映射关系。
29.如权利要求26所述的方法,其特征在于,在生成MSK之后,所述方法还包括: 建立MSK与各个GCSE组的组标识的映射关系; 向所述BM-SC发送请求消息,所述请求消息中包含MSK与各个GCSE组的组标识的映射关系,所述请求消息用于请求所述BM-SC分配业务标识并建立各个业务标识与各个组标识的映射关系; 所述从所述BM-SC获取MSK与各个GCSE组的组标识和/或业务标识的映射关系包括:接收所述BM-SC发送的响应消息,所述响应消息中包含各个组标识与各个业务标识的映射关系。
30.如权利要求26所述的方法,其特征在于,在生成MSK之前,所述方法还包括: 接收所述BM-SC发送的密钥请求消息,所述密钥请求消息中包含业务标识和请求的MSK个数;在建立MSK与各个GCSE组的组标识和/或业务标识的映射关系之后,所述方法还包括: 将MSK发送给所述BM-SC。
31.如权利要求27至30任意一项所述的方法,其特征在于,在根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE之前,还包括: 为每个MSK生成MSK标识及密钥有效期; 在将MSK发送给所述BM-SC的同时或之后以及将MSK发送给对应GCSE组内的UE时还包括: 将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给所述BM-SC和对应GCSE组内的UE。
32.如权利要求27至30任意一项所述的方法,其特征在于,所述根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的UE之前,还包括: 接收所述BM-SC发送的各个MSK的MSK标识及密钥有效期,所述各个MSK的MSK标识及密钥有效期由BM-SC生成; 在将MSK发送给所述BM-SC的同时或之后以及将MSK发送给对应GCSE组内的UE时还包括: 将各个MSK对应的GCSE组的组标识和/或业务标识发送给所述BM-SC ;将各个MSK的MSK标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
33.如权利要求26至30任意一项所述的方法,其特征在于,所述方法还包括: 根据预设规则判断MSK是否需要更新; 如果是,则生成新的MSK; 向所述BM-SC发送第一密钥更新消息,向对应GCSE组内的UE发送第二密钥更新消息,以使得所述BM-SC及对应GCSE组内的UE更新密钥,所述第一密钥更新消息及所述第二密钥更新消息中包含所述新的MSK。
34.如权利要求33所述的方法,其特征在于,所述预设规则包括所述GCSE组内UE的加入和/或离开,或者MSK到有效期。
35.如权利要求33所述的方法,其特征在于,在向所述BM-SC发送第一密钥更新消息之前,还包括: 生成所述新的MSK的MSK标识及密钥有效期; 所述第一密钥更新消息及所述第二密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
36.如权利要求33所述的方法,其特征在于,在向所述BM-SC发送第一密钥更新消息之前,还包括: 接收所述BM-SC发送的所述新的MSK的MSK标识及密钥有效期; 所述第一密钥更新消息中还包含:所述新的MSK对应的GCSE的组标识和/或业务标识;所述第二密钥更新消息中包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE的组标识和/或业务标识。
37.如权利要求26至30任意一项所述的方法,其特征在于,所述方法还包括: 接收所述BM-SC下发的密钥更新触发消息,所述密钥更新触发消息中包含GCSE组的组标识和/或业务标识和/或需要更新的MSK的MSK标识; 生成新的MSK; 向所述BM-SC发送第三密钥更新消息,向对应GCSE组内的UE发送第四密钥更新消息,以使得所述BM-SC及对应GCSE组内的UE更新密钥,所述第三密钥更新消息及所述第四密钥更新消息中包含所述新的MSK。
38.如权利要求37所述的方法,其特征在于,在向所述BM-SC发送第三密钥更新消息之前,还包括; 生成所述新的MSK的MSK标识及密钥有效期; 所述第三密钥更新消息及所述第四密钥更新消息还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
39.如权利要求37所述的方法,其特征在于,在向所述BM-SC发送第三密钥更新消息之前,还包括: 接收所述BM-SC发送的所述新的MSK的MSK标识及密钥有效期; 所述第三密钥更新消息中还包含:所述新的MSK对应的GCSE组的组标识和/或业务标识;所述第四密钥更新消息中还包含:所述新的MSK的MSK标识及密钥有效期,所述新的MSK对应的GCSE组的组标识和/或业务标识。
40.一种密钥下发方法,其特征在于,包括: 从广播组播业务中心BM-SC获取多媒体广播多播业务密钥MSK ; 建立MSK与各个组通信服务GCSE组的组标识和/或业务标识的映射关系; 根据MSK与各个GCSE组的组标识和/或业务标识的映射关系将生成的MSK发送给对应GCSE组内的用户设备UE。
41.如权利要求40所述的方法,其特征在于,在从所述BM-SC获取MSK之前,所述方法还包括: 向所述BM-SC发送请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数,所述请求消息用于请求所述BM-SC分配MSK及业务标识和/或组标识; 所述从所述BM-SC获取MSK包括: 接收所述BM-SC发送的响应消息,所述响应消息中包含所述BM-SC分配的MSK及业务标识和/或组标识。
42.如权利要求41所述的方法,其特征在于,所述请求消息还用于请求所述BM-SC为每个MSK生成MSK标识及密钥有效期; 所述响应消息中还包含每个MSK的MSK标识及密钥有效期; 在将MSK发送给对应GCSE组内的UE时还包括: 将各个MSK的标识及密钥有效期,以及各个MSK对应的GCSE组的组标识和/或业务标识发送给对应GCSE组内的UE。
43.一种对用户设备UE进行授权检查的方法,其特征在于,包括: 根据组通信服务应用服务器GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表; 接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识; 检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的授权UE列表中,如果在,则对所述UE的授权检查成功,如果不在,则对所述UE的授权检查失败。
44.如权利要求43所述的方法,其特征在于,在建立业务标识对应的授权UE列表之前,还包括: 接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数; 生成业务标识; 向所述GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识分配给各个组通信服务GCSE组; 所述GCS AS根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的业务标识以及对应的授权UE的标识。
45.如权利要求43所述的方法,其特征在于,在建立业务标识对应的授权UE列表之前,还包括: 接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识; 生成业务标识并建立组标识与业务标识的映射关系; 所述GCS AS根据各个GCSE组内包含的UE发送所述授权UE列表建立请求,所述授权UE列表建立请求中包含GCSE组的组标识以及对应的授权UE的标识,所述根据所述GCS AS发送的授权UE列表建立请求建立业务标识对应的授权UE列表包括: 根据所述映射关系查找与所述授权UE列表建立请求中包含的组标识对应的业务标识,建立业务标识对应的授权UE列表。
46.如权利要求44所述的方法,其特征在于,所述方法还包括: 接收所述GCS AS发送的授权UE列表更新请求,所述授权UE列表更新请求中包含业务标识、UE的标识、删除和/或添加指示; 根据所述授权UE列表更新请求更新对应的授权UE列表。
47.如权利要求45所述的方法,其特征在于,所述方法还包括: 接收所述GCS AS发送的授权UE列表更新请求,所述授权UE列表更新请求中包含组标识和/或业务标识、UE的标识、删除和/或添加指示; 根据所述授权UE列表更新请求更新对应的授权UE列表。
48.一种对用户设备UE进行授权检查的方法,其特征在于,包括: 接收UE发送的业务激活请求,所述业务激活请求中包含所述UE的标识及所述UE想要激活的业务的业务标识; 向组通信服务应用服务器GCS AS发送授权检查请求,以请求所述GCSAS检查所述UE的标识是否在所述UE想要激活的业务的业务标识对应的组通信服务GCSE组中,若在,则对所述UE的授权检查成功,若不在,则对所述UE的授权检查失败。
49.如权利要求48所述的方法,其特征在于,在接收UE发送的业务激活请求之前,所述方法还包括: 接收所述GCS AS发送的请求消息,所述请求消息中包含请求的组标识个数和/或组个数和/或请求的业务个数; 生成业务标识; 向所述GCS AS发送响应消息,所述响应消息中包含业务标识,以使得所述GCS AS将业务标识和分配给各个GCSE组; 所述授权检查请求中包含所述UE的标识及所述UE想要激活的业务的业务标识。
50.如权利要求48所述的方法,其特征在于,在接收UE发送的业务激活请求之前,所述方法还包括: 接收所述GCS AS发送的请求消息,所述请求消息中包含GCSE组的组标识; 生成业务标识并建立组标识与业务标识的映射关系; 在向GCS AS发送授权检查请求之前,还包括: 查找与所述业务激活请求中包含的业务标识对应的组标识; 所述授权检查请求中包括,所述UE的标识及所述UE想要激活的业务的业务标识对应的组标识。
【文档编号】H04L9/08GK104348627SQ201410608570
【公开日】2015年2月11日 申请日期:2014年10月31日 优先权日:2014年10月31日
【发明者】张丽佳, 李志明, 曹龙雨 申请人:上海华为技术有限公司