专利名称:广播信息安全性的保护方法、系统和设备的制作方法
技术领域:
本发明涉及通讯领域,尤其涉及一种广播信息安全性的保护方法、系统和设备。
背景技术:
广播业务特别是手机电视业务中,通常通过一点发射广播信号,所有终端接收同 一信号源的信号,解析并播放节目。由于采用了单点到多点的传播方式,广播业务具有资源利用率高、带宽大等优点, 受到用户和市场欢迎。但相比传统通信网络点对点的传输方式,广播业务存在更大的安全 隐患,因为一旦广播源被攻击或者广播信号被篡改,会导致所有终端接收到错误或假冒的 广播信号。该问题一旦被恶意者利用,可能会利用合法的广播频段播放反动非法的广播内 容,从而造成极坏的社会影响。对于该问题,目前业界存在一种保护广播信息安全性的解决方案,其实现原理示 意图如图1所示。具体的该方案利用公钥签名技术,即在前端设备中使用私钥对广播信息如控制帧关键信 息、视频段、音频段及数据段关键信息等进行签名;在接收终端中预置芯片,其中存储前端 设备对应的公钥,并使用公钥验证签名信息的真实性,仅对验证通过的广播信号进行后续 解码播放处理。根据上述描述可以发现,该方案要求所有接收终端中预置签名验证芯片,其 中在出厂前预置前端设备公钥。现有技术中的该方案存在的问题在于该方案提供的安全广播方案与目前广播 业务已经使用的业务保护方案很难兼容,不能重用现有业务保护方案已有的安全基础,需 要在终端和前端设备中分别新增安全模块,因而会对终端和前端平台设备成本造成较大影 响。现有的广播业务保护方案如MBBMS(Mobile Broadcast Business Management System, 广播式手机电视业务管理系统)、3GPP 33. 246, OMA BCAST Smartcard Profile以及CA厂 家方案等,通常采用对称密钥技术,并没有公钥密码运算和密钥存储设备。这就要求终端厂 家重新对终端主板进行设计,安装相关芯片,对终端成本、耗电都造成了较大影响。
发明内容
本发明的实施例提供了一种广播信息安全性的保护方法、系统和设备,用于保护 广播信息的安全性。本发明的实施例提供了一种广播信息安全性的保护方法,包括网络侧设备生成安全广播业务密钥;所述网络侧设备根据所述安全广播业务密钥获取待保护的广播信息的消息鉴权 码;所述网络侧将所述消息鉴权码以及广播信息进行广播。其中,所述网络侧将所述消息鉴权码以及所述广播信息进行广播后,还包括终端接收网络侧广播的所述消息鉴权码以及广播信息,使用安全广播业务密钥对所述消息鉴权码进行检查;当所述检查通过时,所述终端对所述广播信息进行解码播放。其中,还包括所述网络侧设备接收到终端发送的获取安全广播业务密钥的请求、或判断需要主 动向终端推送安全广播业务密钥时,将生成的安全广播业务密钥使用预先配置的用户密钥 进行加密,并将加密后的安全广播业务密钥发送给所述终端;所述终端使用预先配置的用 户密钥对所述加密的安全广播业务密钥进行解密,得到安全广播业务密钥;或所述终端将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥; 或根据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。其中,所述网络侧设备生成安全广播业务密钥的方法包括产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密 钥。本发明的实施例还提供了一种广播信息安全性的保护方法,包括网络侧设备生成安全广播业务密钥;所述网络侧设备根据所述安全广播业务密钥和待完整性保护的广播信息生成保 护密钥;所述网络侧设备使用所述保护密钥对待机密性保护的广播信息进行加密并广播。其中,所述网络侧设备使用所述保护密钥对待机密性保护的广播信息进行加密并 广播后,还包括终端根据安全广播业务密钥和待完整性保护的广播信息生成保护密钥;所述终端接收网络侧广播的所述加密后的广播信息,使用所述保护密钥对所述广 播信息进行解密,对解密后的内容进行解码并播放。其中,还包括所述网络侧设备接收到终端发送的获取安全广播业务密钥的请求、或判断需要主 动向终端推送安全广播业务密钥时,将生成的安全广播业务密钥使用预先配置的用户密钥 进行加密,并将加密后的安全广播业务密钥发送给所述终端;所述终端使用预先配置的用 户密钥对所述加密的安全广播业务密钥进行解密,得到安全广播业务密钥;或所述终端将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥; 或根据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。其中,所述网络侧设备生成安全广播业务密钥的方法包括产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密 钥。本发明的实施例还提供了一种网络设备,包括安全广播业务密钥生成单元,用于生成安全广播业务密钥;消息鉴权码获取单元,用于根据所述安全广播业务密钥生成单元生成的安全广播业务密钥获取待保护的广播信息的消息鉴权码;广播单元,用于将所述消息鉴权码以及广播信息进行广播。其中,还包括安全广播业务密钥发送单元,用于接收到终端发送的获取安全广播业务密钥的请 求、或判断需要主动向终端推送安全广播业务密钥时,将所述安全广播业务密钥生成单元 生成的安全广播业务密钥使用预先配置的用户密钥进行加密,并将加密后的安全广播业务 密钥发送给所述终端。其中,所述安全广播业务密钥生成单元具体用于产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密 钥。本发明的实施例还提供了一种终端,包括广播接收单元,用于接收网络侧广播的消息鉴权码以及广播信息;检查单元,用于使用安全广播业务密钥对所述消息鉴权码进行检查;安全广播业务密钥获取单元,用于获取安全广播业务密钥并提供给所述检查单 元;播放单元,用于当所述检查单元对消息鉴权码的检查通过时,对所述广播信息进 行解码播放。其中,所述安全广播业务密钥获取单元,具体用于接收网络侧发送的加密后的安全广播业务密钥,使用预先配置的用户密钥对所述 加密的安全广播业务密钥进行解密,得到安全广播业务密钥;或将业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或根据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密 钥。本发明的实施例还提供了一种通信系统,包括网络设备,用于生成安全广播业务密钥,根据所述安全广播业务密钥获取待保护 的广播信息的消息鉴权码;并将所述消息鉴权码以及广播信息进行广播;终端,用于接收网络侧广播的所述消息鉴权码以及广播信息,使用安全广播业务 密钥对所述消息鉴权码进行检查;当所述检查通过时,对所述广播信息进行解码播放。本发明的实施例还提供了一种网络设备,包括安全广播业务密钥生成单元,用于生成安全广播业务密钥;保护密钥生成单元,用于根据所述安全广播业务密钥和待完整性保护的广播信息 生成保护密钥;加密广播单元,用于使用所述保护密钥对待机密性保护的广播信息进行加密并广播。其中,还包括安全广播业务密钥发送单元,用于接收到终端发送的获取安全广播业务密钥的请 求、或判断需要主动向终端推送安全广播业务密钥时,将所述安全广播业务密钥生成单元生成的安全广播业务密钥使用预先配置的用户密钥进行加密,并将加密后的安全广播业务 密钥发送给所述终端。其中,所述安全广播业务密钥生成单元具体用于产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密 钥。本发明的实施例还提供了一种终端,包括广播接收单元,用于接收网络侧广播的加密后的广播信息;保护密钥获取单元,用于根据安全广播业务密钥和待完整性保护的广播信息生成 保护密钥;安全广播业务密钥获取单元,用于获取安全广播业务密钥并提供给所述保护密钥 获取单元;解密播放单元,用于使用所述保护密钥对所述加密后的广播信息进行解密,对解 密后的内容进行解码并播放。其中,所述安全广播业务密钥获取单元,具体用于接收网络侧发送的加密后的安全广播业务密钥,使用预先配置的用户密钥对所述 加密的安全广播业务密钥进行解密,得到安全广播业务密钥;或将业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或根据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密 钥。本发明的实施例还提供了一种通信系统,包括网络设备,用于生成安全广播业务密钥,根据所述安全广播业务密钥和待完整性 保护的广播信息生成保护密钥;使用所述保护密钥对待机密性保护的广播信息进行加密并广播。终端,用于根据安全广播业务密钥和待完整性保护的广播信息生成保护密钥;使 用所述保护密钥对网络侧广播的加密广播信息进行解密,对解密后的内容进行解码并播 放。与现有技术相比,本发明的实施例具有以下优点通过使用本发明的实施例,在待保护广播信息中携带的消息鉴权码;终端设备在 接收到网络侧广播的消息鉴权码以及广播信息时,使用安全广播业务密钥对消息鉴权码进 行检查,检查通过时对广播信息进行解码播放。或者通过安全广播业务密钥与待完整性保 护的广播信息生成保护密钥,使用保护密钥实现对待保护的广播信息的保护,在实现保护 的同时,也确保了广播信息的完整性。与现有技术相比,可重用现有业务保护方案中的业务 流程和密钥存储机制,避免了在终端中增加新的模块,与现有的业务保护方案兼容性好。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。图1是现有技术中保护广播信息安全性的方案的实现原理示意图;图2是本发明实施例中提供的广播信息安全性的保护方法流程图;图3是本发明实施例中提供的广播信息安全性的保护方法的另一流程4是本发明实施例中涉及的现有广播业务保护方法中,通过多层密钥体系实现 广播业务保护的示意图;图5是本发明一实施例中提供的广播业务保护方法的实施原理示意图;图6是本发明另一实施例中提供的广播业务保护方法的实施原理示意图;图7是本发明实施例中提供的网络设备的结构示意图;图8是本发明实施例中提供的终端设备的结构示意图;图9是本发明实施例中提供的网络设备的另一结构示意图;图10是本发明实施例中提供的终端设备的另一结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实 施例,都属于本发明保护的范围。本发明的实施例中提供了一种广播信息安全性的保护方法,如图2所示,该方法 包括步骤S201、网络侧生成安全广播业务密钥。对于该步骤中生成的安全广播业务密钥,网络侧可以在接收到终端发送的获取安 全广播业务密钥的请求时,将生成的安全广播业务密钥使用预先配置的用户密钥进行加密 后发送给终端。或网络侧判断需要主动向终端推送安全广播业务密钥时,通过双向交互网 络或者单向广播网络,将生成的安全广播业务密钥使用预先配置的用户密钥进行加密后发 送给终端。具体的生成方法可以为随机产生安全广播业务密钥;或将在业务保护中已存在 的用于加密的业务密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业 务密钥进行派生,获得安全广播业务密钥。步骤s202、网络侧设备根据安全广播业务密钥获取待保护的广播信息的消息鉴权 码,网络侧将该消息鉴权码以及广播信息进行广播。步骤S203、终端接收网络侧广播的消息鉴权码以及广播信息,使用安全广播业务 密钥对消息鉴权码进行检查。除了上述步骤s201中从网络侧获取安全广播业务密钥的方法外,终端还可以自 己生成安全广播业务密钥,具体的方式可以为将在业务保护中已存在的用于加密的业务 密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派生, 获得安全广播业务密钥。步骤s204、终端对消息鉴权码的检查通过时,对广播信息进行解码播放。
本发明的实施例中还提供了一种广播信息安全性的保护方法,如图3所示,该方 法包括步骤S301、网络侧设备生成安全广播业务密钥。对于该步骤中生成的安全广播业务密钥,网络侧可以在接收到终端发送的获取安 全广播业务密钥的请求时,将生成的安全广播业务密钥使用预先配置的用户密钥进行加密 后发送给终端。或网络侧判断需要主动向终端推送安全广播业务密钥时,通过双向交互网 络或者单向广播网络,将生成的安全广播业务密钥使用预先配置的用户密钥进行加密后发 送给终端。具体的生成方法可以为随机产生安全广播业务密钥;或将在业务保护中已存在 的用于加密的业务密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业 务密钥进行派生,获得安全广播业务密钥。步骤s302、网络侧设备根据安全广播业务密钥和待完整性保护的广播信息生成保 护密钥;使用保护密钥对待机密性保护的广播信息进行加密并广播。步骤s303、终端根据安全广播业务密钥和待完整性保护的广播信息生成保护密 钥。除了上述步骤S301中从网络侧获取安全广播业务密钥的方法外,终端还可以自 己生成安全广播业务密钥,具体的方式可以为将在业务保护中已存在的用于加密的业务 密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派生, 获得安全广播业务密钥。步骤s304、终端接收网络侧广播的加密后的广播信息,使用保护密钥对广播信息 进行解密,对解密后的内容进行解码并播放。本发明实施例提供的方法中,根据安全广播业务密钥对待保护广播信息进行保 护,在实现业务保护的同时实现对广播信息完整性和机密性的保护,达到防范攻击者篡改 广播信息的目的。现有技术中的广播业务保护方法中,通常通过多层密钥体系来实现广播业务的保 护,其实施原理如图4所示,其中第一层为用户密钥。在终端和网络侧通过相互认证或出厂预置方式配置用户密 钥,在终端和网络侧共享该用户密钥。第二层为业务密钥分发。网络侧根据用户密钥,对业务密钥进行加密保护后,发送 业务密钥消息到终端侧,终端侧根据用户密钥进行解密,从而获得业务密钥。通过该步骤, 使得业务密钥可以从网络侧安全地传输到终端侧。第三层为节目流密钥分发。网络侧根据业务密钥,对节目流密钥进行加密保护后, 发送节目流密钥消息到终端侧,终端侧根据业务密钥对节目流密钥消息进行解密,从而获 得节目流密钥。通过该步骤,使得节目流密钥可以通过业务密钥的加密保护从网络侧安全 地传输到终端侧。第四层为节目流分发。网络侧根据节目流密钥,对节目流进行加密保护后,发送加 密后的节目流,终端侧根据节目流密钥对加密后的节目流进行解密,从而获得未加密节目 流。通过该步骤,通过节目流可以通过节目流密钥的加密保护从网络侧安全地传输到终端 侧。
上述流程中,用户密钥和业务密钥在终端侧通常都采用硬件芯片方式存储和计 算,防止攻击者获取,从而保证业务的安全性。本发明的一个实施例中,提供了以下具体的实施方式网络侧根据安全广播业务密钥获取待保护广播信息的消息鉴权码;将消息鉴权码 以及待保护广播信息一同进行广播。之后,用户终端使用安全广播业务密钥以及接收到的 广播信息,生成消息鉴权码。将生成的消息鉴权码与从网络侧接收到的消息鉴权码进行比 对。比对结果为一致时,判断检查通过;否则判断为检查不通过。其实施原理示意图如图5 所示。网络侧的前端设备进行完整性保护时,首先生成安全广播业务密钥,使用该安全 广播业务密钥对待保护广播信息计算MAC (Message AuthenticationCode,消息鉴权码) 值,并将该MAC值同广播信息一起在广播信道中广播。具体的生成方法可以为随机产生 安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密 钥;或对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。终端在使用广播业务前,需要向网络侧请求安全广播业务密钥,并使用该安全广 播业务密钥对MAC值进行检查,仅当MAC值检查正确的情况下,终端对于广播信息进行后续 的解密、解码和播放。上述流程中,涉及到安全广播业务密钥在网络侧与终端侧的传递。本发明的实施 例中,对于安全广播业务密钥的传递方式,可重用现有业务保护方案中的业务流程,均采用 用户密钥加密并传递的方式。即在终端和网络侧通过相互认证或出厂预置方式在终端和 网络侧共享用户密钥;终端在使用广播业务前,向网络侧请求安全广播业务密钥、或接收 网络侧通过双向交互网络或者单向广播网络主动推送的安全广播业务密钥,安全广播业务 密钥的传递方式与现有业务保护方案中业务密钥的传递方式相同,均采用用户密钥加密并 传递。具体可以参考上述图4中所示的流程,并参考现有技术中MBBMS、3GPP 33. 246, OMA BCAST等方案。在另外一种可选的实施方式中,本发明实施例提供的广播信息安全性的保护方法 包括网络侧的前端设备进行完整性保护时,首先生成安全广播业务密钥,使用该安全 广播业务密钥对待保护广播信息计算MAC (Message AuthenticationCode,消息鉴权码) 值,并将该MAC值同广播信息一起在广播信道中广播。具体的生成方法可以为将在业务保 护中已存在的用于加密的业务密钥作为安全广播业务密钥;或对在业务保护中已存在的用 于加密的业务密钥进行派生,获得安全广播业务密钥。终端在使用广播业务前,需要生成安全广播业务密钥,并使用该安全广播业务密 钥对MAC值进行检查,仅当MAC值检查正确的情况下,终端对于广播信息进行后续的解密、 解码和播放。具体的生成方法与网络侧相同,可以为将在业务保护中已存在的用于加密的 业务密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派 生,获得安全广播业务密钥。该方式可以避免增加终端侧和网络侧存储的密钥数量,并可以避免增加终端与平 台间的交互流程。上述两种方式中涉及的对已存在的业务密钥进行派生获得安全广播业务密钥的具体实现方式可以为将已存在的业务密钥以及其他参数(如频道名称、频段、日期时间)作为输入条 件,通过数学方式如摘要函数的处理,得到安全广播业务密钥。摘要函数(如MD2、MD4和 MD5)是一种用于防止改动的函数。摘要函数的输入可以是任意大小的消息,输出是一个固 定长度的内容。摘要函数的性质在于,如果改变了输入消息中的任何东西,甚至只有一位, 输出的内容将会发生不可预测的改变,也就是说输入消息的每一位对输出内容都有影响。 通过使用该方法保证了安全广播业务密钥的安全。本发明的另一个实施例中,提供了以下具体的实施方式,其实施原理示意图如图6 所示。网络侧生成安全广播业务密钥并将安全广播业务密钥发送给终端。安全广播业务 密钥的生成方法以及将安全广播业务密钥发送给终端的方法参见上一实施方式中的描述, 在此不进行重复说明。之后,网络侧根据安全广播业务密钥、以及待完整性保护的广播信息中的网络参 数(包括频道的频段、名称等)等信息,生成用于加密的保护密钥,使用该保护密钥对待机 密性保护的广播信息进行加密后向终端发送。终端接收到网络侧广播的加密后的广播信息后,根据同样的密钥生成方法(可以 与网络侧预先协商、或接收网络侧发送的配置)生成用于解密的保护密钥,使用该保护密 钥对加密的广播信息进行解密后播放。该实施方式中,用于与安全广播业务密钥一同生成保护密钥的网络参数可以为广 播的音视频或数据内容,也可以是终端用于解码的必需参数(如音视频的编码参数,数据 内容的分片信息、压缩编码类型)等,本发明在此不作限定。本发明实施例提供的上述方法中,网络侧可以在待保护广播信息中携带的消息鉴 权码;终端设备在接收到网络侧广播的消息鉴权码以及广播信息时,使用安全广播业务密 钥对消息鉴权码进行检查,检查通过时对广播信息进行解码播放。网络侧还可以根据安全 广播业务密钥生成保护密钥对待机密性保护的广播信息进行加密,在终端侧使用同样的方 法生成保护密钥并解密。与现有技术相比,利用现有广播业务保护技术方案进行设计,在实 现业务保护的同时实现对广播信息完整性和真实性的保护,达到防范攻击者篡改广播信息 的目的。同时,可重用现有业务保护方案中的业务流程和密钥存储机制,避免了在终端中增 加新的模块,与现有的业务保护方案兼容性好。本发明的实施例还提供了一种通信系统,包括网络设备,用于生成安全广播业务密钥,根据所述安全广播业务密钥获取待保护 的广播信息的消息鉴权码;并将所述消息鉴权码以及广播信息进行广播;终端,用于接收网络侧广播的所述消息鉴权码以及广播信息,使用安全广播业务 密钥对所述消息鉴权码进行检查;当所述检查通过时,对所述广播信息进行解码播放。本发明实施例提供的网络设备中,如图7所示,包括安全广播业务密钥生成单元11,用于生成安全广播业务密钥;消息鉴权码获取单元12,用于根据安全广播业务密钥生成单元11生成的安全广 播业务密钥获取待保护的广播信息的消息鉴权码;广播单元13,用于将消息鉴权码获取单元12获取的消息鉴权码以及广播信息进行广播。该网络设备还包括安全广播业务密钥发送单元14,用于接收到终端发送的获取安全广播业务密钥的 请求、或判断需要主动向终端推送安全广播业务密钥时,将安全广播业务密钥生成单元11 生成的安全广播业务密钥使用预先配置的用户密钥进行加密,并将加密后的安全广播业务 密钥发送给终端。上述安全广播业务密钥生成单元11具体用于产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务 密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派生, 获得安全广播业务密钥。本发明实施例提供的终端中,如图8所示,包括广播接收单元21,用于接收网络侧广播的消息鉴权码以及广播信息;检查单元22,用于使用安全广播业务密钥对消息鉴权码进行检查;安全广播业务密钥获取单元23,用于获取安全广播业务密钥并提供给检查单元 22 ;播放单元M,用于当检查单元22对消息鉴权码的检查通过时,对广播信息进行解 码播放。上述安全广播业务密钥获取单元23,具体用于接收网络侧发送的加密后的安全广播业务密钥,使用预先配置的用户密钥对加密 的安全广播业务密钥进行解密,得到安全广播业务密钥;或将业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或根据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密 钥。本发明的实施例中还提供了一种通信系统,包括网络设备,用于生成安全广播业务密钥,根据安全广播业务密钥和待完整性保护 的广播信息生成保护密钥;使用保护密钥对待机密性保护的广播信息进行加密并广播。终端,用于根据安全广播业务密钥和待完整性保护的广播信息生成保护密钥;使 用保护密钥对网络侧广播的加密广播信息进行解密,对解密后的内容进行解码并播放。本发明实施例提供的网络设备中,如图9所示,包括安全广播业务密钥生成单元51,用于生成安全广播业务密钥;保护密钥生成单元52,用于根据所述安全广播业务密钥和待完整性保护的广播信 息生成保护密钥;加密广播单元53,用于使用所述保护密钥对待机密性保护的广播信息进行加密并广播。该网络设备还包括安全广播业务密钥发送单元M,用于接收到终端发送的获取 安全广播业务密钥的请求、或判断需要主动向终端推送安全广播业务密钥时,将安全广播 业务密钥生成单元生成的安全广播业务密钥使用预先配置的用户密钥进行加密,并将加密 后的安全广播业务密钥发送给终端。上述安全广播业务密钥生成单元51具体用于
产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务 密钥作为安全广播业务密钥;或对在业务保护中已存在的用于加密的业务密钥进行派生, 获得安全广播业务密钥。本发明实施例提供的终端中,如图10所示,包括广播接收单元61,用于接收网络侧广播的加密后的广播信息;保护密钥获取单元62,用于根据安全广播业务密钥和待完整性保护的广播信息生 成保护密钥;安全广播业务密钥获取单元63,用于获取安全广播业务密钥并提供给保护密钥获 取单元62 ;解密播放单元64,用于使用保护密钥对加密后的广播信息进行解密,对解密后的 内容进行解码并播放。上述安全广播业务密钥获取单元63,具体用于接收网络侧发送的加密后的安全广播业务密钥,使用预先配置的用户密钥对加密 的安全广播业务密钥进行解密,得到安全广播业务密钥;或将业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或根据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密 钥。本发明实施例提供的系统和设备中,网络侧可以在待保护广播信息中携带的消息 鉴权码;终端设备在接收到网络侧广播的消息鉴权码以及广播信息时,使用安全广播业务 密钥对消息鉴权码进行检查,检查通过时对广播信息进行解码播放。网络侧还可以根据安 全广播业务密钥生成保护密钥对待广播信息进行加密,在终端侧使用同样的方法生成保护 密钥并解密。与现有技术相比,利用现有广播业务保护技术方案进行设计,在实现业务保护的 同时实现对广播信息完整性和真实性的保护,达到防范攻击者篡改广播信息的目的。同时, 可重用现有业务保护方案中的业务流程和密钥存储机制,避免了在终端中增加新的模块, 与现有的业务保护方案兼容性好。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通 过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发 明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储 介质(可以是⑶-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可 以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的单元或流 程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的单元可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的单元可以合并为一个单元,也可以进一步拆分成多个子单元。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
权利要求
1.一种广播信息安全性的保护方法,其特征在于,包括 网络侧设备生成安全广播业务密钥;所述网络侧设备根据所述安全广播业务密钥获取待保护的广播信息的消息鉴权码; 所述网络侧将所述消息鉴权码以及广播信息进行广播。
2.如权利要求1所述的方法,其特征在于,所述网络侧将所述消息鉴权码以及所述广 播信息进行广播后,还包括终端接收网络侧广播的所述消息鉴权码以及广播信息,使用安全广播业务密钥对所述 消息鉴权码进行检查;当所述检查通过时,所述终端对所述广播信息进行解码播放。
3.如权利要求1或2所述的方法,其特征在于,还包括所述网络侧设备接收到终端发送的获取安全广播业务密钥的请求、或判断需要主动向 终端推送安全广播业务密钥时,将生成的安全广播业务密钥使用预先配置的用户密钥进行 加密,并将加密后的安全广播业务密钥发送给所述终端;所述终端使用预先配置的用户密 钥对所述加密的安全广播业务密钥进行解密,得到安全广播业务密钥;或所述终端将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或根 据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。
4.如权利要求3所述的方法,其特征在于,所述网络侧设备生成安全广播业务密钥的 方法包括产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或 对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。
5.一种广播信息安全性的保护方法,其特征在于,包括 网络侧设备生成安全广播业务密钥;所述网络侧设备根据所述安全广播业务密钥和待完整性保护的广播信息生成保护密钥;所述网络侧设备使用所述保护密钥对待机密性保护的广播信息进行加密并广播。
6.如权利要求5所述的方法,其特征在于,所述网络侧设备使用所述保护密钥对待机 密性保护的广播信息进行加密并广播后,还包括终端根据安全广播业务密钥和待完整性保护的广播信息生成保护密钥; 所述终端接收网络侧广播的所述加密后的广播信息,使用所述保护密钥对所述广播信 息进行解密,对解密后的内容进行解码并播放。
7.如权利要求5或6所述的方法,其特征在于,还包括所述网络侧设备接收到终端发送的获取安全广播业务密钥的请求、或判断需要主动向 终端推送安全广播业务密钥时,将生成的安全广播业务密钥使用预先配置的用户密钥进行 加密,并将加密后的安全广播业务密钥发送给所述终端;所述终端使用预先配置的用户密 钥对所述加密的安全广播业务密钥进行解密,得到安全广播业务密钥;或所述终端将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或根 据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。
8.如权利要求7所述的方法,其特征在于,所述网络侧设备生成安全广播业务密钥的方法包括产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或 对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。
9.一种网络设备,其特征在于,包括安全广播业务密钥生成单元,用于生成安全广播业务密钥;消息鉴权码获取单元,用于根据所述安全广播业务密钥生成单元生成的安全广播业务 密钥获取待保护的广播信息的消息鉴权码;广播单元,用于将所述消息鉴权码以及广播信息进行广播。
10.如权利要求9所述的设备,其特征在于,还包括安全广播业务密钥发送单元,用于接收到终端发送的获取安全广播业务密钥的请求、 或判断需要主动向终端推送安全广播业务密钥时,将所述安全广播业务密钥生成单元生成 的安全广播业务密钥使用预先配置的用户密钥进行加密,并将加密后的安全广播业务密钥 发送给所述终端。
11.如权利要求9或11所述的设备,其特征在于,所述安全广播业务密钥生成单元具体 用于产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或 对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。
12.—种终端,其特征在于,包括广播接收单元,用于接收网络侧广播的消息鉴权码以及广播信息; 检查单元,用于使用安全广播业务密钥对所述消息鉴权码进行检查; 安全广播业务密钥获取单元,用于获取安全广播业务密钥并提供给所述检查单元; 播放单元,用于当所述检查单元对消息鉴权码的检查通过时,对所述广播信息进行解 码播放。
13.如权利要求12所述的终端,其特征在于,所述安全广播业务密钥获取单元,具体用于接收网络侧发送的加密后的安全广播业务密钥,使用预先配置的用户密钥对所述加密 的安全广播业务密钥进行解密,得到安全广播业务密钥;或将业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或 根据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。
14.一种通信系统,其特征在于,包括网络设备,用于生成安全广播业务密钥,根据所述安全广播业务密钥获取待保护的广 播信息的消息鉴权码;并将所述消息鉴权码以及广播信息进行广播;终端,用于接收网络侧广播的所述消息鉴权码以及广播信息,使用安全广播业务密钥 对所述消息鉴权码进行检查;当所述检查通过时,对所述广播信息进行解码播放。
15.一种网络设备,其特征在于,包括安全广播业务密钥生成单元,用于生成安全广播业务密钥;保护密钥生成单元,用于根据所述安全广播业务密钥和待完整性保护的广播信息生成保护密钥;加密广播单元,用于使用所述保护密钥对待机密性保护的广播信息进行加密并广播。
16.如权利要求15所述的网络设备,其特征在于,还包括安全广播业务密钥发送单元,用于接收到终端发送的获取安全广播业务密钥的请求、 或判断需要主动向终端推送安全广播业务密钥时,将所述安全广播业务密钥生成单元生成 的安全广播业务密钥使用预先配置的用户密钥进行加密,并将加密后的安全广播业务密钥 发送给所述终端。
17.如权利要求15或16所述的网络设备,其特征在于,所述安全广播业务密钥生成单 元具体用于产生随机数作为安全广播业务密钥;或将在业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或 对在业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。
18.—种终端,其特征在于,包括广播接收单元,用于接收网络侧广播的加密后的广播信息;保护密钥获取单元,用于根据安全广播业务密钥和待完整性保护的广播信息生成保护 密钥;安全广播业务密钥获取单元,用于获取安全广播业务密钥并提供给所述保护密钥获取 单元;解密播放单元,用于使用所述保护密钥对所述加密后的广播信息进行解密,对解密后 的内容进行解码并播放。
19.如权利要求18所述的终端,其特征在于,所述安全广播业务密钥获取单元,具体用于接收网络侧发送的加密后的安全广播业务密钥,使用预先配置的用户密钥对所述加密 的安全广播业务密钥进行解密,得到安全广播业务密钥;或将业务保护中已存在的用于加密的业务密钥作为安全广播业务密钥;或 根据业务保护中已存在的用于加密的业务密钥进行派生,获得安全广播业务密钥。
20.一种通信系统,其特征在于,包括网络设备,用于生成安全广播业务密钥,根据所述安全广播业务密钥和待完整性保护 的广播信息生成保护密钥;使用所述保护密钥对待机密性保护的广播信息进行加密并广播。终端,用于根据安全广播业务密钥和待完整性保护的广播信息生成保护密钥;使用所 述保护密钥对网络侧广播的加密广播信息进行解密,对解密后的内容进行解码并播放。
全文摘要
本发明的实施例公开了一种广播信息安全性的保护方法、系统和设备。本发明的实施例提供的方法、系统和设备中,利用现有广播业务保护技术方案进行设计,在实现业务保护的同时实现对广播信息完整性和真实性的保护,达到防范攻击者篡改广播信息的目的。同时,可重用现有业务保护方案中的业务流程和密钥存储机制,避免了在终端中增加新的模块,与现有的业务保护方案兼容性好。
文档编号H04L29/06GK102111764SQ200910243518
公开日2011年6月29日 申请日期2009年12月24日 优先权日2009年12月24日
发明者路晓明 申请人:中国移动通信集团公司