专利名称:用户通过业务数据携带密钥信息的方式获取密钥的方法
技术领域:
本发明涉及数据传输技术,特别是指一种无线通信网络中用户通过业务数据携带密钥信息的方式获取加密密钥的方法。
背景技术:
在无线通信网络中,多播/广播业务是指一点到多点的单向承载业务,多播/广播业务信息由一个原实体发送,多个实体接收,如图1所示,多播/广播业务信息由多播/广播服务器广播发送至多个终端。在一定区域内,已经订阅多播/广播业务的用户能够享受多播/广播业务的服务。多播/广播服务器是指能够提供多播/广播服务,兼具密钥生成管理功能的功能实体,可为在无线通信网络中新增的功能实体,也可为现有无线通信网络中的一个功能实体或多个功能实体的组合。
在多播/广播业务中,为防止没有订阅多播/广播业务或未付费的用户享受到多播/广播业务的服务,需要在多播/广播业务中设置共享的群组加密密钥,并且群组加密密钥只有多播/广播业务用户和提供多播/广播业务的多播/广播服务器知道,而没有订阅多播/广播业务或未付费的用户无权知道该群组加密密钥。多播/广播服务器使用群组加密密钥对多播/广播业务信息进行加密,然后再发送给多播/广播业务用户;多播/广播业务用户收到加密的多播/广播业务信息后,使用群组加密密钥对多播/广播业务信息进行解密,获取多播/广播业务信息,最终享受到多播/广播业务的服务。
多播/广播业务中需要使用多个密钥,这些密钥在多播/广播业务中的生成是分不同层次的,如图2所示,多播/广播业务中生成各种密钥的过程包括以下步骤
步骤201多播/广播业务用户加入多播/广播业务时,多播/广播服务器和多播/广播业务用户之间进行认证,在认证过程中通过鉴权和密钥协商协议(AKA),多播/广播服务器和多播/广播业务用户同时生成相同的根密钥RK。不同多播/广播业务用户的RK是互不相同的。RK可为多播/广播业务用户在签约多播/广播业务时由运营商分配的,多播/广播业务用户每次加入多播/广播业务都使用该RK;RK也可为多播/广播业务用户每次加入多播/广播业务时,在认证过程中多播/广播服务器和多播/广播业务用户同时生成的,在多播/广播业务用户退出当前多播/广播业务之前一直有效,多播/广播业务用户下次加入多播/广播业务时,和多播/广播服务器一同生成新的RK。
步骤202多播/广播服务器和多播/广播业务用户生成RK后,共同生成相同的用于加密群组共享密钥BAK的TK。生成TK的过程可为多播/广播服务器生成用于生成TK的随机数,然后将该随机数发送给多播/广播业务用户,多播/广播服务器和多播/广播业务用户根据RK和随机数共同生成相同的TK。不同多播/广播业务用户的TK是互不相同的。为提高TK的安全性,可在TK加密BAK后,就对TK进行更新,即多播/广播服务器和多播/广播业务用户一同生成新的TK。
步骤203~步骤205多播/广播服务器生成用来加密群组加密密钥的群组共享密钥BAK,然后使用TK加密BAK,并将加密的BAK发送给多播/广播业务用户。多播/广播业务用户收到加密的BAK后,使用自身存储的TK解密BAK,获取并存储BAK。
步骤206生成用于加密多播/广播业务信息的群组加密密钥TEK。生成TEK的可为多播/广播服务器生成用于生成TEK的随机数,然后将该随机数发送给多播/广播业务用户,多播/广播服务器和多播/广播业务用户根据BAK和随机数共同生成相同的TEK。生成TEK的过程也可为多播/广播服务器生成用于生成TEK的随机数,根据BAK和随机数生成TEK后,使用BAK加密TEK,并将加密的TEK发送给多播/广播业务用户。多播/广播业务用户收到加密的TEK后,使用自身存储的BAK解密TEK,获取TEK。
为防止群组外的用户享受多播/广播业务的服务,用于加密多播/广播业务信息的TEK不是一成不变的,需要经常更新,在实际应用中,可使每次加密多播/广播业务信息的TEK都不相同,即多播/广播服务器使用不同的TEK加密每次向多播/广播业务用户发送的多播/广播业务信息的数据包,这样可大大增加多播/广播业务信息的安全性。
为提高TK的保密性,可在TK加密BAK后,就对TK进行更新,即多播/广播服务器和多播/广播业务用户共同生成新的TK。
图3为现有技术一群组加密密钥的获取过程示意图,如图3所示,多播/广播业务用户获取群组加密密钥的过程包括以下步骤步骤301~步骤303多播/广播服务器生成用来加密群组加密密钥的群组共享密钥BAK,然后使用TK加密BAK,并将加密的BAK发送给多播/广播业务用户。多播/广播业务用户收到加密的BAK后,使用自身存储的TK解密BAK,获取并存储BAK。
另外,多播/广播服务器可针对不同范围的多播/广播业务信息,同时生成多个BAK,此时,多播/广播服务器为生成的BAK分配标识,然后使用TK加密BAK,并将加密的BAK及BAK标识发送给多播/广播业务用户。这样,多播/广播业务用户存储了一系列BAK。
步骤304多播/广播服务器生成用于生成TEK的随机数,根据BAK和随机数生成TEK。
步骤305~步骤307多播/广播服务器使用TEK加密多播/广播业务信息,并使用BAK加密该TEK,然后向多播/广播业务用户发送加密的多播/广播业务信息和加密的TEK。多播/广播业务用户收到加密的多播/广播业务信息和加密的TEK后,使用自身存储的BAK解密TEK,获取TEK;然后使用该TEK解密多播/广播业务信息,获取多播/广播业务信息。
如果多播/广播业务用户存储有一系列BAK,则多播/广播服务器向多播/广播业务用户发送加密的多播/广播业务信息和加密的TEK的同时,还需向多播/广播业务用户发送BAK标识,以使多播/广播业务用户根据BAK标识和自身存储的BAK与BAK标识的对应关系,确定当前加密TEK的BAK。
通过对上述过程的描述可见多播/广播服务器在向多播/广播业务用户发送加密的多播/广播业务信息时,还需发送加密的TEK。通常,TEK至少为128字节(bit),将TEK与多播/广播业务信息一同发送,会使TEK过多地占用固定传输带宽中的传输空间,大大减小了传输多播/广播业务信息时能够使用的传输空间,无法使多播/广播业务信息有效地使用传输空间。另外,多播/广播业务信息与TEK一同发送,为多播/广播业务信息的安全性带来了隐患,大大降低了多播/广播业务信息的安全性。此外,在每次传输多播/广播业务信息时都需要使用BAK加密TEK,BAK的频繁使用也为BAK的安全性带来了威胁。
图4为现有技术二群组加密密钥的获取过程示意图,如图4所示,多播/广播业务用户获取群组加密密钥的过程包括以下步骤步骤401~步骤403与步骤301~步骤303基本相同。
步骤404与步骤304基本相同。
步骤405~步骤407多播/广播服务器使用TEK加密多播/广播业务信息,然后向多播/广播业务用户发送加密的多播/广播业务信息和生成的随机数。多播/广播业务用户收到加密的多播/广播业务信息和随机数后,根据自身存储的BAK和随机数生成TEK;然后使用生成的TEK解密多播/广播业务信息,获取多播/广播业务信息。
如果多播/广播业务用户存储有一系列BAK,则多播/广播服务器向多播/广播业务用户发送加密的多播/广播业务信息和用于生成TEK的随机数的同时,还需向多播/广播业务用户发送BAK标识,以使多播/广播业务用户根据BAK标识和自身存储的BAK与BAK标识的对应关系,确定当前使用的用于生成TEK的BAK。
通过对上述过程的描述可见多播/广播服务器在向多播/广播业务用户发送加密的多播/广播业务信息时,还需发送用于生成TEK的随机数。通常,随机数至少为32bits,将随机数与多播/广播业务信息一同发送,会使随机数占用固定传输带宽中的传输空间,减小了传输多播/广播业务信息时能够使用的传输空间,无法使多播/广播业务信息有效地使用传输空间。
发明内容
有鉴于此,本发明的主要目的在于提供一种用户通过业务数据携带密钥信息的方式获取密钥的方法,使多播/广播业务信息有效使用传输空间。
为了达到上述目的,本发明提供了一种用户通过业务数据携带密钥信息的方式获取密钥的方法,该方法包含以下步骤A、多播/广播服务器与多播/广播业务用户预先建立密钥参数与密钥参数标识的对应关系;B、多播/广播服务器向多播/广播业务用户同时发送加密的多播/广播业务信息和密钥参数标识,多播/广播业务用户根据收到的密钥参数标识和存储的密钥参数与密钥参数标识的对应关系,获取当前群组加密密钥。
所述步骤A之前进一步包括A0、多播/广播服务器生成一个以上的密钥参数,并为所述密钥参数分配标识,然后向多播/广播业务用户发送密钥参数与密钥参数标识的对应关系。
步骤A中所述密钥参数是用于生成群组加密密钥的随机数,所述密钥参数标识是随机数标识,所述步骤B进一步包括多播/广播服务器向多播/广播业务用户同时发送加密的多播/广播业务信息和随机数标识,多播/广播业务用户根据收到的随机数标识和存储的随机数与随机数标识的对应关系,找到随机数,然后根据存储的群组共享密钥和所述随机数生成当前群组加密密钥。
所述步骤A0之前进一步包括多播/广播服务器生成一个以上的群组共享密钥,并为所述群组共享密钥分配标识,然后向多播/广播业务用户发送加密的群组共享密钥与群组共享密钥标识的对应关系,多播/广播业务用户预先存储解密的群组共享密钥与群组共享密钥标识的对应关系;步骤B中所述多播/广播业务用户根据存储的群组共享密钥和所述随机数生成当前群组加密密钥之前,进一步包括多播/广播服务器向多播/广播业务用户发送的多播/广播业务信息中携带群组共享密钥标识,多播/广播业务用户根据收到的群组共享密钥标识和存储的群组共享密钥与群组共享密钥标识的对应关系,找到所述群组共享密钥。
所述步骤B之前进一步包括多播/广播服务器根据选定的随机数和存储的群组共享密钥生成当前群组加密密钥,然后使用所述当前群组加密密钥加密多播/广播业务信息。
步骤A中所述密钥参数是多播/广播服务器生成的群组加密密钥,所述密钥参数标识是群组加密密钥标识,所述步骤B包括多播/广播服务器向多播/广播业务用户同时发送加密的多播/广播业务信息和群组加密密钥标识,多播/广播业务用户根据收到的群组加密密钥标识和存储的群组加密密钥与群组加密密钥标识的对应关系,找到当前群组加密密钥。
所述步骤A0之前进一步包括步骤A00多播/广播服务器生成群组共享密钥,向多播/广播业务用户发送加密的所述群组共享密钥,多播/广播服务器和多播/广播业务用户预先存储解密的群组共享密钥;步骤A0中所述多播/广播服务器向多播/广播业务用户发送群组加密密钥与群组加密密钥标识的对应关系之前,进一步包括步骤A01多播/广播服务器使用存储的群组共享密钥加密群组加密密钥;步骤B中所述多播/广播业务用户根据收到的群组加密密钥标识和存储的群组加密密钥与群组加密密钥标识的对应关系找到当前群组加密密钥之后,进一步包括多播/广播业务用户使用存储的群组共享密钥解密所述群组加密密钥。
所述步骤A00进一步包括多播/广播服务器生成一个以上的群组共享密钥,并为所述群组共享密钥分配标识,然后向多播/广播业务用户发送群组共享密钥与群组共享密钥标识的对应关系,多播/广播业务用户预先存储群组共享密钥与群组共享密钥标识的对应关系;所述步骤A01包括多播/广播服务器使用存储的不同群组共享密钥加密不同群组加密密钥,然后向多播/广播业务用户发送加密的群组加密密钥和群组加密密钥标识的对应关系,多播/广播服务器存储群组共享密钥标识与所述群组共享密钥加密的群组加密密钥标识的对应关系;步骤B中所述多播/广播业务用户根据收到的群组加密密钥标识和存储的群组加密密钥与群组加密密钥标识的对应关系找到当前群组加密密钥之前,进一步包括多播/广播服务器向多播/广播业务用户发送多播/广播业务信息时携带群组共享密钥标识,多播/广播业务用户根据收到的群组共享密钥标识和存储的群组共享密钥与群组共享密钥标识的对应关系,找到所述群组共享密钥。
所述步骤B之前进一步包括多播/广播服务器使用选定的群组加密密钥加密多播/广播业务信息。
多播/广播服务器通过广播方式向多播/广播业务用户发送加密的多播/广播业务信息和同时携带的密钥参数标识。
如果所述多播/广播业务信息划分成一个以上数据包发送,其特征在于,各数据包携带不同密钥参数标识。
本发明提出预先在多播/广播服务器和多播/广播业务用户中存储密钥参数与密钥参数标识的对应关系;多播/广播服务器向多播/广播业务用户发送加密的多播/广播业务信息时,一同发送密钥参数标识;多播/广播业务用户收到加密的多播/广播业务信息和密钥参数标识后,根据密钥参数标识和自身存储的密钥参数与密钥参数标识的对应关系获取TEK。这样,只需发送密钥参数标识,就可使多播/广播业务用户获取TEK,通常,密钥参数标识只需占用传输带宽的几个bit,相对密钥的128bit或随机数的32bit要少的多,从而使多播/广播业务信息能够有效使用传输空间。另外,本发明中,只有在多播/广播业务用户获取TEK的过程中会使用BAK,在每次传输多播/广播业务信息时不再使用BAK,因此显著提高了BAK的安全性。此外,本发明中可通过不断变换密钥参数标识,使多播/广播业务用户获取不同的TEK,实现对TEK的更新。
图1为多播/广播业务示意图;图2为多播/广播业务密钥层次示意图;图3为现有技术一群组加密密钥的获取过程示意图;图4为现有技术二群组加密密钥的获取过程示意图;图5为本发明中群组加密密钥的获取过程示意图;图6为本发明中一实施例示意图;图7为本发明中另一实施例示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明中,预先在多播/广播服务器和多播/广播业务用户中存储密钥参数与密钥参数标识的对应关系;多播/广播服务器向多播/广播业务用户发送加密的多播/广播业务信息时,一同发送密钥参数标识;多播/广播业务用户收到加密的多播/广播业务信息和密钥参数标识后,根据密钥参数标识和自身存储的密钥参数与密钥参数标识的对应关系获取TEK,然后使用TEK解密多播/广播业务信息,获取多播/广播业务信息。通常,密钥参数标识只需占用传输带宽的几个bit,相对密钥的128bit或随机数的32bit要少的多,从而使多播/广播业务信息能够有效使用传输空间。
图5为本发明中群组加密密钥的获取过程示意图,如图5所示,多播/广播业务用户获取群组加密密钥的过程包括以下步骤步骤501~步骤502多播/广播服务器向多播/广播业务用户发送密钥参数与密钥参数标识的对应关系。多播/广播业务用户对收到的密钥参数与密钥参数标识的对应关系进行存储。
步骤503~步骤505多播/广播服务器使用TEK加密多播/广播业务信息,然后向多播/广播业务用户发送加密的多播/广播业务信息和对应于该TEK的密钥参数标识。多播/广播业务用户收到多播/广播业务信息和密钥参数标识后,根据密钥参数标识和自身存储的密钥参数与密钥参数标识的对应关系,获取加密多播/广播业务信息的TEK;然后使用该TEK解密多播/广播业务信息,获取多播/广播业务信息。
由于使用目的或使用时间的不同,例如每个BAK针对不同范围的多播/广播业务信息,或为确保不断变换BAK以增加BAK的安全性,多播/广播服务器可同时生成多个BAK,此时,多播/广播服务器为生成的BAK分配标识,然后使用TK加密BAK,并将加密的BAK及BAK标识发送给多播/广播业务用户,因此,多播/广播业务用户存储有一系列BAK,通过BAK标识对不同BAK进行区分。
如果多播/广播业务用户存储有一系列BAK,则多播/广播服务器向多播/广播业务用户发送加密的多播/广播业务信息和密钥参数标识的同时,还需向多播/广播业务用户发送BAK标识,以使多播/广播业务用户根据BAK标识和自身存储的BAK与BAK标识的对应关系,确定当前使用的BAK。
图6为本发明中一实施例示意图,如图6所示,本实施例中多播/广播业务用户获取群组加密密钥的过程包括以下步骤步骤601~步骤605与步骤201~步骤205基本相同。
在本实施例中,多播/广播服务器同时生成多个BAK,多播/广播服务器为生成的BAK分配标识,然后使用TK加密BAK,并将加密的BAK及BAK标识发送给多播/广播业务用户,多播/广播业务用户存储BAK与BAK标识的对应关系。
步骤606~步骤608多播/广播服务器生成多个随机数,并为生成的随机数分配标识,存储随机数与随机数标识的对应关系,然后向多播/广播业务用户发送随机数与随机数标识的对应关系。多播/广播业务用户对收到的随机数与随机数标识的对应关系进行存储。
步骤609~步骤612多播/广播服务器需要向多播/广播业务用户发送多播/广播业务信息时,为当前发送的多播/广播业务信息选定BAK和随机数,然后根据选定的BAK和随机数生成TEK,使用TEK加密当前需要发送的多播/广播业务信息,然后向多播/广播业务用户发送加密的多播/广播业务信息、选定随机数的标识和BAK标识。多播/广播服务器可将加密的多播/广播业务信息、选定随机数的标识和BAK标识通过广播方式发送给多播/广播业务用户。多播/广播业务用户收到加密的多播/广播业务信息、选定随机数的标识和BAK标识后,根据BAK标识和自身存储的BAK与BAK标识的对应关系找到相应的BAK,同时根据随机数标识和自身存储的随机数与随机数标识的对应关系找到相应的随机数,然后根据找到的BAK和随机数生成TEK,使用该TEK加密多播/广播业务信息,获取多播/广播业务信息。
由于受到传输带宽的限制,当前需要发送的多播/广播业务信息可能需要分段发送,即当前需要发送的多播/广播业务信息需要分成多个数据包发送,才能使多播/广播业务用户获取完整的多播/广播业务信息,此时,多播/广播服务器可根据当前需要发送的多播/广播业务信息对安全性的要求选定一个随机数或多个随机数,如果当前需要发送的多播/广播业务信息对安全性的要求较高,则多播/广播服务器为发送的每个数据包选定不同的随机数;如果当前需要发送的多播/广播业务信息对安全性的要求较低,则多播/广播服务器为发送的每个数据包选定相同的随机数,无论多播/广播服务器为当前需要发送的多播/广播业务信息选定一个随机数还是多个随机数,每次向多播/广播业务用户发送加密的数据包的同时,都需要向多播/广播业务用户发送随机数标识。
多播/广播服务器基本上已将存储的随机数都作了选择后,或多播/广播服务器认为安全性不够时,可再次生成多个新的随机数,并为这些随机数分配标识,然后将新的随机数与随机数标识的对应关系发送给多播/广播业务用户,多播/广播业务用户对收到的随机数与随机数标识的对应关系进行存储。
图7为本发明中另一实施例示意图,如图7所示,本实施例中多播/广播业务用户获取群组加密密钥的过程包括以下步骤步骤701~步骤705与步骤201~步骤205基本相同。
在本实施例中,多播/广播服务器同时生成多个BAK,并为生成的BAK分配标识,然后使用TK加密BAK,存储BAK与BAK标识的对应关系,并将加密的BAK及BAK标识发送给多播/广播业务用户,多播/广播业务用户存储BAK与BAK标识的对应关系。
步骤706~步骤708多播/广播服务器生成多个用于生成TEK的随机数,根据BAK和随机数生成多个TEK,然后使用BAK加密TEK,并为加密的TEK分配标识。这些TEK可根据不同的BAK生成,可使用不同的BAK进行加密,此时,多播/广播服务器存储有TEK、TEK标识与加密该TEK的BAK间的对应关系。使用不同的BAK加密TEK,可增强多个TEK的安全性,避免非多播/广播业务用户获取加密的多个TEK,使用一个BAK成功解密后,使用该BAK成功解密其他TEK。如果不希望对TEK的管理过于复杂,则可使用同一个BAK加密TEK。多播/广播服务器向多播/广播业务用户发送加密的TEK与TEK标识的对应关系,多播/广播业务用户对收到的加密的TEK与TEK标识的对应关系进行存储。此时,多播/广播业务用户可不对TEK进行解密,而是直接存储。
步骤709~步骤712多播/广播服务器需要向多播/广播业务用户发送多播/广播业务信息时,为当前发送的多播/广播业务信息选定TEK,使用该TEK加密当前需要发送的多播/广播业务信息,根据自身存储的TEK、TEK标识与加密TEK的BAK间的对应关系,找到BAK标识,然后向多播/广播业务用户发送加密的多播/广播业务信息、选定TEK的标识和BAK标识。多播/广播服务器将加密的多播/广播业务信息、选定TEK的标识和BAK标识通过广播方式发送给多播/广播业务用户。多播/广播业务用户收到加密的多播/广播业务信息、选定TEK的标识和BAK标识后,根据BAK标识和自身存储的BAK与BAK标识的对应关系找到相应的BAK,同时根据TEK标识和自身存储的TEK与TEK标识的对应关系找到相应的加密的TEK,使用BAK对加密的TEK进行解密,获取TEK,然后使用该TEK解密多播/广播业务信息,获取多播/广播业务信息。
由于受到传输带宽的限制,当前需要发送的多播/广播业务信息可能需要分段发送,即当前需要发送的多播/广播业务信息需要分成多个数据包发送,才能使多播/广播业务用户获取完整的多播/广播业务信息,此时,多播/广播服务器可根据当前需要发送的多播/广播业务信息对安全性的要求选定一个TEK或多个TEK,如果当前需要发送的多播/广播业务信息对安全性的要求较高,则多播/广播服务器为发送的每个数据包选定不同的TEK;如果当前需要发送的多播/广播业务信息对安全性的要求较低,则多播/广播服务器为发送的每个数据包选定相同的TEK,无论多播/广播服务器为当前需要发送的多播/广播业务信息选定一个TEK还是多个TEK,每次向多播/广播业务用户发送加密的数据包的同时,都需要向多播/广播业务用户发送TEK标识。
多播/广播服务器基本上已将存储的TEK都作了选择后,或多播/广播服务器认为安全性不够时,可再次生成多个新的TEK,并为这些TEK分配标识,使用BAK加密新的TEK,然后将新的加密的TEK与TEK标识的对应关系发送给多播/广播业务用户,多播/广播业务用户对收到的TEK与TEK标识的对应关系进行存储。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种用户通过业务数据携带密钥信息的方式获取密钥的方法,其特征在于该方法包含以下步骤A、多播/广播服务器与多播/广播业务用户预先建立密钥参数与密钥参数标识的对应关系;B、多播/广播服务器向多播/广播业务用户同时发送加密的多播/广播业务信息和密钥参数标识,多播/广播业务用户根据收到的密钥参数标识和存储的密钥参数与密钥参数标识的对应关系,获取当前群组加密密钥。
2.根据权利要求1所述的方法,其特征在于,所述步骤A之前进一步包括A0、多播/广播服务器生成一个以上的密钥参数,并为所述密钥参数分配标识,然后向多播/广播业务用户发送密钥参数与密钥参数标识的对应关系。
3.根据权利要求2所述的方法,其特征在于,步骤A中所述密钥参数是用于生成群组加密密钥的随机数,所述密钥参数标识是随机数标识,所述步骤B进一步包括多播/广播服务器向多播/广播业务用户同时发送加密的多播/广播业务信息和随机数标识,多播/广播业务用户根据收到的随机数标识和存储的随机数与随机数标识的对应关系,找到随机数,然后根据存储的群组共享密钥和所述随机数生成当前群组加密密钥。
4.根据权利要求3所述的方法,其特征在于,所述步骤A0之前进一步包括多播/广播服务器生成一个以上的群组共享密钥,并为所述群组共享密钥分配标识,然后向多播/广播业务用户发送加密的群组共享密钥与群组共享密钥标识的对应关系,多播/广播业务用户预先存储解密的群组共享密钥与群组共享密钥标识的对应关系;步骤B中所述多播/广播业务用户根据存储的群组共享密钥和所述随机数生成当前群组加密密钥之前,进一步包括多播/广播服务器向多播/广播业务用户发送的多播/广播业务信息中携带群组共享密钥标识,多播/广播业务用户根据收到的群组共享密钥标识和存储的群组共享密钥与群组共享密钥标识的对应关系,找到所述群组共享密钥。
5.根据权利要求3所述的方法,其特征在于,所述步骤B之前进一步包括多播/广播服务器根据选定的随机数和存储的群组共享密钥生成当前群组加密密钥,然后使用所述当前群组加密密钥加密多播/广播业备信息。
6.根据权利要求2所述的方法,其特征在于,步骤A中所述密钥参数是多播/广播服务器生成的群组加密密钥,所述密钥参数标识是群组加密密钥标识,所述步骤B包括多播/广播服务器向多播/广播业务用户同时发送加密的多播/广播业务信息和群组加密密钥标识,多播/广播业务用户根据收到的群组加密密钥标识和存储的群组加密密钥与群组加密密钥标识的对应关系,找到当前群组加密密钥。
7.根据权利要求6所述的方法,其特征在于,所述步骤A0之前进一步包括步骤A00多播/广播服务器生成群组共享密钥,向多播/广播业务用户发送加密的所述群组共享密钥,多播/广播服务器和多播/广播业务用户预先存储解密的群组共享密钥;步骤A0中所述多播/广播服务器向多播/广播业务用户发送群组加密密钥与群组加密密钥标识的对应关系之前,进一步包括步骤A01多播/广播服务器使用存储的群组共享密钥加密群组加密密钥;步骤B中所述多播/广播业务用户根据收到的群组加密密钥标识和存储的群组加密密钥与群组加密密钥标识的对应关系找到当前群组加密密钥之后,进一步包括多播/广播业务用户使用存储的群组共享密钥解密所述群组加密密钥。
8.根据权利要求7所述的方法,其特征在于,所述步骤A00进一步包括多播/广播服务器生成一个以上的群组共享密钥,并为所述群组共享密钥分配标识,然后向多播/广播业务用户发送群组共享密钥与群组共享密钥标识的对应关系,多播/广播业务用户预先存储群组共享密钥与群组共享密钥标识的对应关系;所述步骤A01包括多播/广播服务器使用存储的不同群组共享密钥加密不同群组加密密钥,然后向多 播/广播业务用户发送加密的群组加密密钥和群组加密密钥标识的对应关系,多播/广播服务器存储群组共享密钥标识与所述群组共享密钥加密的群组加密密钥标识的对应关系;步骤B中所述多播/广播业务用户根据收到的群组加密密钥标识和存储的群组加密密钥与群组加密密钥标识的对应关系找到当前群组加密密钥之前,进一步包括多播/广播服务器向多播/广播业务用户发送多播/广播业务信息时携带群组共享密钥标识,多播/广播业务用户根据收到的群组共享密钥标识和存储的群组共享密钥与群组共享密钥标识的对应关系,找到所述群组共享密钥。
9.根据权利要求6所述的方法,其特征在于,所述步骤B之前进一步包括多播/广播服务器使用选定的群组加密密钥加密多播/广播业务信息。
10.根据权利要求5或9所述的方法,其特征在于,多播/广播服务器通过广播方式向多播/广播业务用户发送加密的多播/广播业务信息和同时携带的密钥参数标识。
11.根据权利要求1所述的方法,如果所述多播/广播业务信息划分成一个以上数据包发送,其特征在于,各数据包携带不同密钥参数标识。
全文摘要
本发明公开了一种用户通过业务数据携带密钥信息的方式获取密钥的方法,多播/广播服务器与多播/广播业务用户建立密钥参数与密钥参数标识的对应关系;多播/广播服务器向多播/广播业务用户同时发送加密的多播/广播业务信息和密钥参数标识,多播/广播业务用户根据收到的密钥参数标识和存储的密钥参数与密钥参数标识的对应关系,获取当前群组加密密钥。根据本发明提出的方法,发送多播/广播业务信息的同时,只需发送几个bit的密钥参数标识,就可使多播/广播业务用户获取群组加密密钥,从而使多播/广播业务信息能够有效使用传输空间。本发明通过不断变换密钥参数标识,使多播/广播业务用户获取不同群组加密密钥,实现对群组加密密钥的更新。
文档编号H04L9/28GK1604534SQ03154459
公开日2005年4月6日 申请日期2003年9月29日 优先权日2003年9月29日
发明者郑志彬, 张文林, 黄迎新 申请人:华为技术有限公司