专利名称:用于基于广播或多播进行安全通信的方法及其装置的制作方法
技术领域:
本发明涉及通信网络中进行通信的方法和装置,尤其涉及在通信网络中基于广播或多播进行安全通信的方法和装置。
背景技术:
在目前的通信网络中,广播或多播技术得到了越来越广泛地应用,网络运营商基于广播或多播与多个用户进行通信,能够节省大量的通信资源。无线通信网络中的小区广播业务(Cell BroadcastServices,以下简 称CBS)是一个典型的例子,运营商可以使用CBS向广大用户提供相同的服务内容,例如天气预报、商业新闻、交通信息等等。CBS可以通过小区无线信道中的小区广播信道(CelIBroadcast CHannel,以下简称CBCH)进行实现。很多通过CBS提供的信息是收费的或订阅的,即运营商必须能够保证只有签约用户能够获取到CBS提供的内容,并且保证正确地计费;而保证未付费的未签约用户无法得到该内容。一般来说,CBS可以由基于小区无线信道中的小区广播信道(Cell Broadcast CHanneI,以下简称CBCH)的短消息业务(Short message service,以下简称SMS)。而现有的在CBCH中发送的短消息都是以明文,即不加密的形式进行传输。因此,目前基于小区广播信道通过短消息进行广播的CBS是无法区分签约用户与未签约用户,换句话说,是无法与签约用户进行安全通信的。
在现有技术中,定义于3GPP TS33. 223的通用自举架构(GenericBootstrappingArchitecture,简称GBA)Push功能提供了一种下行点对点的安全通信方式。但是,由于其点对点特性,其并不适用于为基于CBS的点到多点的广播或多播提供安全通信。
发明内容
为了解决现有技术中,基于广播或多播无法进行安全通信的问题,本发明提出,广播或多播服务器对待发送的内容进行加密处理,以生成经加密处理后的内容,而后将经加密处理的内容基于广播或多播发送至一个或多个用户设备;各个用户设备接收来自广播或多播服务器的基于广播或多播发送的经加密处理的内容,并对已接收的经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容。
具体地,根据本发明的第一方面,提供了一种在通信网络中的广播或多播服务器中,用于基于广播或多播与一个或多个用户使用的一个或多个相应用户设备进行安全通信的方法,其特征在于,包括以下步骤a.对待发送的内容进行加密处理,以生成经加密处理后的内容;b.将所述经加密处理的内容基于广播或多播发送至所述一个或多个用户设备。
根据本发明的第二方面,提供了一种在通信网络的用户使用的用户设备中用于基于广播或多播与广播或多播服务器进行安全通信的方法,其中,包括以下步骤:A.接收来自所述广播或多播服务器的基于广播或多播发送的经加密处理的内容对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容。
根据本发明的第三方面,提供了一种在通信网络中的广播或多播服务器中,用于基于广播或多播与一个或多个用户使用的一个或多个相应用户设备进行安全通信的装置,其特征在于,包括加密处理装置,用于对待发送的内容进行加密处理,以生成经加密处理后的内容;加密内容发送装置,用于将所述经加密处理的内容基于广播或多播发送至所述一个或多个用户设备。
根据本发明的第四方面,提供了一种在通信网络的用户使用的用户设备中用于基于广播或多播与广播或多播服务器进行安全通信的装置,其中,包括加密内容接收装置,用于接收来自所述广播或多播服务器的基于广播或多播发送的经加密处理的内容;解密处理装置,用于对已接收的所述经 加密处理的内容进行解密处理,以还原出原始未经加密处理的内容。
本发明所提供的方法或装置,弥补了当前通信网络中基于广播或多播与签约用户进行安全通信的技术空白,通过采用点到多点的通信方式节省了通信网络中的大量通信资源,并且能够保证运营商与签约用户之间的安全通信,保证正确地计费。优选地,本发明提供的方法与装置不需要对现有的安全通信标准、安全模块及安全通信设备进行较大改动,使得本发明成本较低,易于部署,具有良好的商业前景。
通过参照附图阅读以下所作的对非限制性实施例的详细描述,能够更容易地理解本发明的特征、目的和优点。其中,相同的附图标记代表相同或相似的元件。
图I为根据本发明一个具体实施例,广播服务器I与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图;
图2为根据本发明一个具体实施例,广播服务器I与移动终端2a进行基于广播的安全通信的方法流程图;
图3为根据本发明另一个具体实施例,广播服务器I与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图;
图4为根据本发明另一个具体实施例,广播服务器I与移动终端2a进行基于广播的安全通信的方法流程图;
图5为根据本发明又一个具体实施例,广播服务器I与移动终端2a进行基于广播的安全通信的装置及其工作过程的框图;
图6为根据本发明再一个具体实施例,广播服务器I与移动终端2a进行基于广播的安全通信的装置及其工作过程的框图。
具体实施方式
以下首先根据图I至图4,对根据本发明,广播服务器基于广播与多个用户使用的多个相应用户设备进行安全通信的方法进行详述。
第一实施例
图I为根据本发明一个具体实施例,广播服务器I与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图。其中该通信网络是一个无线通信网络,例如3G无线通信网络。该网络中包括使用基于CBS的短消息业务进行安全通信的广播服务器1,移动终端2a及2b,还包括与广播服务器I相连的内容提供服务器(ContentProvider,简称CP) 3,与一个未与运营商签约进行安全通信的移动终端2c。图中省略了广播服务器I与移动终端通过短消息进行安全通信所经由的短消息网关(Short Message Gateway,简称SMG)或短消息业务中心(Short Message Service Center,简称SMSC),以及基站、中继站等等通信设备。本领域技术人员应能理解,本发明并不限于图I所示的3G无线通信网络及该网络拓扑结构,在其他例如2G、2. 5G无线通信网络与其他网络拓扑结构,以及其他支持广播或多播的通信网络中,本发明同样适用,申请人也将在说明书中给出本发明应用于其他场景的实施例。图2为根据本发明一个具体实施例,广播服务器I与移动终端2a进行基于广播的安全通信的方法流程图。其中,广播服务器I可以由小区广播中心(Cell BroadcastCenter)和小区广播设备(CellBroadcast Equipment)组成,其用于将经加密的内容通过小区广播信道广播给各个移动终端。
下面将参照图I与图2,对根据本发明的,广播服务器I将经内容密钥加密的内容广播给移动终端,而移动终端已事先拥有与内容密钥配合工作的内容解密信息,可以直接 对经内容密钥加密的内容进行解密的过程进行详述。
首先,内容提供服务器3将需要提供给订户的内容提供给广播服务器1,该内容可以是如前所述的天气预报、商业新闻、交通信息等,提供给各个订户的内容都是相同的。接着,广播服务器I获取到待发送给订户的内容。
在步骤SlO中,广播服务器I对待发送给订户的内容进行加密处理,以生成经加密处理后的内容。
具体的,在步骤SlOl中,广播服务器I获取用于加密该内容的内容密钥Ksms。其中,该内容密钥Ksms可以基于对称密钥(即加密密钥与解密密钥相同,或通过加密密钥可以导出解密密钥),也可以基于非对称密钥(即加密密钥与解密密钥不同,且根据加密密钥无法推导出解密密钥)。其中,我们列举以下两种情况,在这两种情况下,广播服务器I当前不需要将内容密钥Ksms提供给移动终端
A.该对称内容密钥Ksms是广播服务器I事先生成,并已经提供给移动终端的,例如已经固化在用户的SIM (Subscriber IdentityModel,客户识别模块)卡或移动终端中,该密钥预存在广播服务器I上的,则广播服务器I获取预存的内容密钥Ksms ;
B.该对称内容密钥Ksms由内容提供服务器3提供给广播服务器I。并且,也由内容提供服务器3将该内容密钥Ksms提供给移动终端。在这种情况下,广播服务器I对密钥的管理和控制功能较弱;
在获取到内容密钥Ksms后,在步骤S102中,广播服务器I用已获取的内容密钥Ksms,对待发送的内容进行加密,以生成经内容密钥加密Ksms后的内容。具体的使用密钥对明文进行加密得到密文的技术是本领域技术人员熟知的,本发明对此不作赘述。
而后,在步骤Sll中,广播服务器I将经内容密钥Ksms加密后的内容基于广播发送至移动终端2a。
接着,在步骤S20中,移动终端2a接收来自广播服务器I的基于广播发送的经加密处理的内容。
具体的,广播服务器I将经内容密钥Ksms加密的内容放入短消息中,通过短消息网关或短消息服务中心,提供给移动终端2a所属的小区基站,小区基站在该小区内的小区广播信道(CBCH)上将该短消息广播出去;移动终端2a在该小区广播信道上接收到含有经内容密钥Ksnis加密的内容的短消息,并从中提出去经内容密钥Ksnis加密的内容。值得注意的是,同一小区的订阅了相同内容的订户的移动终端2b,以及非订户的移动终端2c也可以在该小区广播信道上接收到含有经内容密钥Ksms加密的内容的短消息。值得注意的是,广播服务器I将加密内容广播给移动终端的广播方式并不限于本实施例所限,本领域一般技术人员可以在本发明的教导下,根据实际的无线网络做出适当的调整,这些调整都应处于本发明权利要求
所保护的范围内。
接着,在步骤S22中,移动终端2a对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容
具体的,在步骤S22之前,在步骤S21中,移动终端2a获取与内容密钥Ksms对应的内容解密信息。其中,内容密钥Ksms为对称密钥时,内容密钥Ksms即等同于其 对应的内容解密信息;而当内容密钥Ksms为非对称密钥时,应获取与其配合工作的密钥,于是,与以上列举的A、B两种情况分别对应的
A’ .事先生成的对称内容密钥Ksms在本次安全通信之前已经由广播服务器I提供给移动终端2a,例如固化在用户的SIM卡或移动终端中,则移动终端2a获取预存的内容密钥 Ksms ;
B’ .对称内容密钥Ksms在本次安全通信前已由相应的内容提供服务器3提供给了移动终端2a ;
而后,在步骤S22中,移动终端2a根据在步骤S21中获取的与内容密钥Ksms对应的内容解密信息,对接收来自广播服务器I的基于广播发送的经内容密钥Ksms加密处理的内容进行解密,以还原出原始未经加密处理的内容。
同理,订阅相同内容的订户的移动终端2b也在类似于步骤S21的步骤中获取到了与内容密钥Ksms对应的内容解密信息,其进行以上类似的步骤S22,因此其也可以得到原始未经加密处理的内容;此外,移动终端2c的用户由于不是该内容的订户,其没有获得与内容密钥Ksms对应的内容解密信息,则其无法对接收到的经Ksms加密的内容进行解密,保证了广播服务器I与移动终端2a及2b之间通信的安全性。
可以理解,移动终端2a及2b可以属于同一个基站小区,也可以分属于不同小区。
以上的第一实施例对广播服务器I将经内容密钥加密的内容广播给移动终端,而移动终端已事先拥有与内容密钥配合工作的内容解密信息,可以直接对经内容密钥加密的内容进行解密的情况进行了详述。以下将对根据本发明的,优选地,广播服务器还采用对内容密钥的加密技术,其获取对应于各个用户的加密辅助信息,并根据该加密辅助信息对内容密钥进行加密,而后将经加密辅助信息加密的内容密钥提供给移动终端的技术方案进行详述。
第二实施例
图3为根据本发明另一个具体实施例,广播服务器I与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图。其中,在图I所示的拓扑结构的基础上,该通信网络还包括与广播服务器I相连的自举服务推送功能(Bootstrapping ServerFunction-Push,简称BSF Push) 4,及与自举服务推送功能4相连的归属位置寄存器/归属用户服务器(Home Location Register,简称 HLR/Home SubscriberServer,简称 HSS) 5。其中,广播服务器I可以包含两部分,一部分是由小区广播中心(Cell Broadcast Center)和小区广播设备(CellBroadcast Equipment)组成的小区广播业务系统(CBS System),其用于将经内容密钥加密的内容通过小区广播信道广播给各个移动终端;还有一部分是小区广播业务订户管理器(CBS SubscriberManagement),其根据加密辅助信息对内容密钥进行加密,并将经加密的内容密钥经Upa接口以短信或其他方式提供给小区广播业务的订阅用户。
图4为根据本发明另一个具体实施例,广播服务器I与移动终端2a进行基于广播的安全通信的方法流程图。
如图所示,在步骤S101’中,广播服务器I获取一个用于加密内容的内容密钥,具体的,广播服务器I可以根据一个当时生成的随机数,及内容提供服务器3的标识信息,基于对称密钥算法如 DES (Data Encryption Standard)、AES (Advanced Encryption)等生成一个基于对称加密的内容密钥Ksms’。而后,广播服务器I进行与前述第一实施例类似的步骤,在S102’中,根据Ksms’对内容提供服务器3提供的内容进行加密,而后在步骤S11’中,将经内容密钥Ksni/加密后的内容基于广播发送至移动终端2a,优选地,广播服务器I将经内容密钥Ksms’加密的内容放入短消息中,通过短消息网关或短消息服务中心,提供给移动终端2a所属的小区基站,小区基站在该小区内的小区广播信道(CBCH)上将该短消息广播出去;移动终端2a在该小区广播信道上接收到含有经内容密钥Ksms’加密的内容的短消息,并从中提出去经内容密钥Ksffl/加密的内容。值得注意的是,同一小区的订阅了相同内容的订户的移动终端2b,以及非订户的移动终端2c也可以在该小区广播信道上接收到含有经内容密钥Ksms’加密的内容的短消息。
接着,在步骤S20’中,移动终端2a接收来自广播服务器I的基于广播发送的经内容密钥Ksms’加密的内容。而在类似的步骤S20” (图中未示出)中,移动终端2b接收来自广播服务器I的基于广播发送的经内容密钥Ksni/加密的内容。同时,非订户的移动终端2c也可以收到该经加密处理的内容。
与以上步骤不相关的,在步骤S12’中,广播服务器I获取与移动终端2a所属的用户a及移动终端2b所属的用户b分别对应的加密辅助信息,该加密辅助信息用于对内容密钥Ksms ’进行加密。
A.具体的,在一种情况下,该加密辅助信息基于非对称密钥技术,例如,用户a对应的加密辅助信息为用户a的公钥,同时,用户a自己在其移动终端2a上拥有与该公钥配合工作的,即解密的私钥,用户b亦然,则广播服务器I获取用户a与b各自的公钥。则在一种情况下,广播服务器I本地保存有该公钥,则其直接读取公钥;在另一种情况下,该公钥由内容提供服务器3,或由其他安全管理服务器提供给广播服务器I。
B.在另一种优选的情况下,该加密辅助信息是与用户a与b的身份相关的对称的加密密钥,用户a与b可以在其移动终端上基于其用户身份生成同样的加密密钥或对应的解密辅助信息。在这种情况下,在步骤S121’中,广播服务器I基于GBA push技术,通过Zpn接口向自举服务推送功能(BSF)4请求用户a及用户b的通用自举架构的推送信息,该推送信息中包含用于生成加密密钥的身份相关信息KS_NAF/KS_ext_NAF、KS_int_NAF,用户的五元组认证矢量中的AUTN和RAND,用于标识是GBA_U或GBA_ME的U/M,密钥的生命周期、广播服务器的ID、用户的私密身份ID、MAC等等。其中,若自举服务推送功能4本地尚无用户a和/或b的身份信息,则其还通过Zh接口,向用户a和/或b所属的归属位置寄存器/归属用户服务器5请求并获得用户的五元组认证矢量CK (Cipher Key)、IK (Integrity Key)、RAND、RES、AUTN信息,并根据该CK、IK信息生成用户a和/或b的通用自举架构的推送信息,而后将用户a和b的推送信息提供给广播服务器I。
而后,在步骤S122’中,广播服务器I根据已获取的用户a与b各自的Ks_NAF/Ks_ext_NAF、Ks_int_NAF信息,生成用户a与b各自的加密密钥Kebs’。
以上广播服务器I与自举服务推送功能4进行交互获取通用自举架构的推送信息的过程,并生成与用户的身份信息相关的加密密钥U的过程,与现有技术中的用于一对一安全通信的通用自举架构中的过程类似,详细过程可以参见标准3GPP TS33. 223V800,本说明书不做赘述。
接着,在步骤S13’中,广播服务器I分别根据已获取的用户a与b各自的加密辅助信息,例如其公钥或其加密密钥U,对内容密钥Ksms’进行加密,以生成与用户a与b各 自的经对应加密辅助信息加密的内容密钥Ksms’。
而后,在步骤S14’中,广播服务器I将与用户a与b各自的经对应加密辅助信息加密的内容密钥Ksms’发送给用户a与b各自的移动终端2a及2b。
优选地,广播服务器I通过短消息网关或短消息服务中心,通过短信息方式将经与用户a与b对应的加密辅助信息加密的内容密钥Ksms’分别发送至的用户a与b。
而后,在步骤S21’及步骤S21”(图中未示出)中,移动终端2a与2b各自获取与内容密钥Ksms’配合工作的内容解密信息。以下从移动终端2a的角度进行说明,移动终端2b进行类似的步骤。
具体的,在步骤S211’中,移动终端2a接收来自广播服务器I的,经与用户a对应的加密辅助信息加密的内容密钥Ksms’,并获取与该加密辅助信息配合工作的解密辅助信
肩、O
A’ .在一种情况下,与上文情况A对应的,该加密辅助信息基于非对称密钥技术,例如,是用户a的公钥,则移动终端2a获取到该公钥对应的私钥作为解密辅助信息,以对经公钥加密的内容密钥Ksms’进行解密。可以理解,公私钥等非对称加密技术的实现是本领域技术人员所熟知的,本发明在此不作赘述。本领域一般技术人员可以根据实际需求对本实施例进行适当的修改,这些修改都应处于本发明的保护范围。
B’.在另一种情况下,与上文情况B对应的,该加密辅助信息是与用户a的身份相关的对称的加密密钥U,用户a可以在其移动终端2a上生成同样的加密密钥或对应的解密辅助信息。具体的,在步骤S2111’中,移动终端2a基于GBA psuh技术,根据从自举服务推送功能(BSF)4获得的GBA Push信息,移动终端以与HLR/HSS同样方式生成五元组认证矢量 CK (Cipher Key)、IK (Integrity Key)、RAND、RES、AUTN 信息,然后以与 BSF Push 功能同样的方式生成 Ks_NAF/Ks_ext_NAF、Ks_int_NAF 信息。
而后,在步骤S2112’中,移动终端2a根据身份相关信息Ks_NAF/Ks_ext_NAF、Ks_int_NAF,生成对称加密密钥U或与其配合工作的解密密钥。值得注意的是,其生成加密密钥U的方法,应与广播服务器I生成加密密钥U的方法相对应;或者,其生成与U的配合工作的解密密钥方法,应与广播服务器I生成加密密钥Kd3/的方法相对应,以保证生成的加密密钥U或与其配合工作的解密密钥与广播服务器I所用的加密密钥U —致。一般来说,该一致性可以由用户与其运营商及广播服务器之间事先协商确定,例如固化在用户的SIM卡中或每次通信前协商得到。
以上移动终端2a与自举服务推送功能4进行认证、交互以获取通用自举架构的推送信息的过程,与现有技术中的用于一对一安全通信的通用自举架构中的过程类似,参见3GPP TS33. 223V800。
值得注意的是,在以上的情况B-B’下,本发明通过上述的广播服务器I及移动终端与自举服务推送功能4的交互,利用了现有的通用自举架构(GBA)push技术,不对已有的标准、方法及装置进行大的修改,因而可节约大量成本,继而,该方案能够为市场所接受,具有良好商业前景。
而后,在步骤S212’中,移动终端2a根据获取的解密辅助信息,对经与用户a对应的加密辅助信息加密的内容密钥Ksms’进行解密,获取内容密钥Ksms’,作为对应的内容解密 信息。
最后,在步骤S22中’,移动终端2a根据内容密钥Ksms’,对根据内容密钥Ksms’加密的内容进行解密,以还原出原始未经加密处理的内容。
类似地,该内容的订阅用户b的移动终端2b也进行类似的步骤,由于广播服务器I也将其经与用户b对应的加密辅助信息加密的内容密钥Ksms’发送给移动终端2b,则移动终端2b可以获取与用户b对应的加密辅助信息配合工作的解密辅助信息,并解出内容密钥Ksnis'继而对根据内容密钥Ksni/加密的内容进行解密,以还原出原始未经加密处理的内容。
而没有订阅该内容的用户c的移动终端2c无法接收到经与其对应的加密辅助信息加密的内容密钥Ksms’,使得也无法对经对应于其他用户的加密辅助信息加密的内容密钥Ksffl/进行解密,则其无法获取到内容密钥Ksms’,继而无法对根据内容密钥Ksms’加密的内容进行解密,无法得到原出原始未经加密处理的内容。这样而来,保证了广播服务器I与内容订阅用户a与b的移动终端2a及2b的内容通信的安全。
值得注意的是,本发明中所述的内容密钥及加密辅助信息等用于加密的密钥(Key)包括一切用于将明文加密为密文的算法,或算法及其参数等等;同样,所述的内容解密信息与解密辅助信息等用于解密的密钥(Key)也包括一切用于将经对应加密密钥加密而成的密文解密为明文的算法,或算法及其参数等等。具体的加密原理及方法是本领域技术人员所熟知的,并应都落入本发明的保护范围,在此不做赘述。
以上所举的第一与第二实施例中,广播服务器I对待发送的内容完全加密。值得注意的是,本发明还可以用于基于数字签名及证书的安全通信过程。具体的,广播服务器I基于预定的散列算法(杂凑算法)对待发送的内容进行散列,得到待发送内容的内容摘要,并根据内容密钥Ksnis对该内容摘要进行加密;而后,广播服务器I将待发送的内容以明文的形式广播给各个移动终端,还将经内容密钥Ksnis加密的内容摘要广播给各个移动终端。移动终端接收到以明文形式广播的内容信息,并按照相同的散列算法生成其接收到的内容信息的摘要;移动终端还接收到经内容密钥Ksms加密的内容摘要,并按照与以上第一或第二实施例中类似的过程,获取与广播服务器I的内容密钥Ksms配合工作的内容解密信息,从而解密出该内容摘要;最后,移动终端比较解密出的内容摘要与自己根据所接收的内容信息生成的内容摘要是否相同,以确定其接收到的内容信息是广播服务器I发送的,并且在传输过程中没有被更改。[0065]以上两个实施例对根据本发明,基于无线通信网络的广播进行安全通信的方法进行了详述。本领域技术人员应能理解,本发明同样适用于基于无线通信网络的多播(组播)进行安全通信。具体的,在多播服务器将经加密处理的内容基于多播发送至多个用户设备前,其首先应建立与该多个用户设备的多播信道,而后将在多播信道中将经加密处理的内容发送给该多个用户设备;相应的,用户设备也应首先建立与多播服务器之间的多播信道,而后在多播信道中接收来自多播服务器的经加密处理的内容。其他加/解密的过程与前文中描述的类似,在此不作赘述。
以上对根据本发明,广播服务器基于广播与多个用户使用的多个相应用户设备进行安全通信的方法进行详述。以下将根据图4与图5,对根据本发明,广播服务器基于广播与多个用户使用的多个相应用户设备进行安全通信的装置及其工作过程进行详述。
第三实施例图I为根据本发明一个具体实施例,广播服务器I与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图。图4为根据本发明又一个具体实施例,广播服务器I与移动终端2a进行基于广播的安全通信的装置及其工作过程的框图。其中,广播服务器I包括用于基于广播与多个用户使用的或多个相应移动终端进行安全通信的装置10,该装置10包括加密处理装置101与加密内容发送装置102,加密处理装置101进一步包括内容密钥获取装置1011。移动终端2a包括用于基于广播与广播服务器I进行安全通信的装置20,该装置20包括加密内容接收装置201,第二获取装置202与解密处理装置203。其中,广播服务器I可以由小区广播中心(CellBroadcast Center)和小区广播设备(CellBroadcast Equipment)组成,其用于将经加密的内容通过小区广播信道广播给各个移动终端。
下面将参照图I与图4,对根据本发明的,广播服务器I将经内容密钥加密的内容广播给移动终端,而移动终端已事先拥有与内容密钥配合工作的内容解密信息,可以直接对经内容密钥加密的内容进行解密的装置及其工作过程进行详述。
首先,内容提供服务器3将需要提供给订户的内容提供给广播服务器1,该内容可以是如前所述的天气预报等,提供给各个订户的内容都是相同的。接着,广播服务器I获取到待发送给订户的内容。
加密处理装置101对待发送给订户的内容进行加密处理,以生成经加密处理后的内容。
内容密钥获取装置1011获取用于加密该内容的内容密钥Ksms。其中,该内容密钥Ksms可以基于对称密钥(即加密密钥与解密密钥相同,或通过加密密钥可以导出解密密钥),也可以基于非对称密钥(即加密密钥与解密密钥不同,且根据加密密钥无法推导出解密密钥)。其中,我们列举以下两种情况,在这两种情况下,广播服务器I当前不需要将内容密钥Ksms提供给移动终端
A.该对称内容密钥1(_是广播服务器I事先生成,并已经提供给移动终端的,例如已经固化在用户的SIM (Subscriber IdentityModel,客户识别模块)卡或移动终端中,该密钥预存在广播服务器I上的,则内容密钥获取装置1011获取预存的内容密钥Ksms ;
B.该对称内容密钥Ksms由内容提供服务器3提供给内容密钥获取装置1011。并且,也由内容提供服务器3将该内容密钥Ksms提供给移动终端。在这种情况下,广播服务器I对密钥的管理和控制功能较弱;
在获取到内容密钥Ksms后,加密处理装置101用已获取的内容密钥Ksms,对待发送的内容进行加密,以生成经内容密钥加密Ksnis后的内容。具体的使用密钥对明文进行加密得到密文的技术是本领域技术人员熟知的,本发明对此不作赘述。
而后,加密内容发送装置102将经内容密钥Ksms加密后的内容基于广播发送至移动终端2a。
接着,移动终端2a的装置20的加密内容接收装置201接收来自广播服务器I的基于广播发送的经加密处理的内容。
具体的,加密内容发送装置102将经内容密钥Ksnis加密的内容放入短消息中,通过短消息网关或短消息服务中心,提供给移动终端2a所属的小区基站,小区基站在该小区内 的小区广播信道(CBCH)上将该短消息广播出去;加密内容接收装置201在该小区广播信道上接收到含有经内容密钥Ksnis加密的内容的短消息,并从中提出去经内容密钥Ksnis加密的内容。值得注意的是,同一小区的订阅了相同内容的订户的移动终端2b,以及非订户的移动终端2c也可以在该小区广播信道上接收到含有经内容密钥Ksms加密的内容的短消息。值得注意的是,加密内容发送装置102将加密内容广播给移动终端的广播方式并不限于本实施例所限,本领域一般技术人员可以在本发明的教导下,根据实际的无线网络做出适当的调整,这些调整都应处于本发明权利要求
所保护的范围内。
接着,解密处理装置203对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容
具体的,第二获取装置202获取与内容密钥Ksms对应的内容解密信息。其中,内容密钥Ksms为对称密钥时,内容密钥Ksms即等同于其对应的内容解密信息;而当内容密钥Ksms为非对称密钥时,应获取与其配合工作的密钥,于是,与以上列举的A、B和C三种情况分别对应的
A’ .事先生成的对称内容密钥Ksms在本次安全通信之前已经由广播服务器I提供给移动终端2a,例如固化在用户的SIM卡或移动终端中,则第二获取装置202获取预存的内容密钥Ksms ;
B’ .对称内容密钥Ksms在本次安全通信前已由相应的内容提供服务器3提供给了第二获取装置202。
而后,解密处理装置203根据第二获取装置202获取的与内容密钥Ksms对应的内容解密信息,对接收来自广播服务器I的基于广播发送的经内容密钥Ksms加密处理的内容进行解密,以还原出原始未经加密处理的内容。
同理,订阅相同内容的订户的移动终端2b的类似的加密内容接收装置获取到了与内容密钥Ksms对应的内容解密信息,其通过类似的第二获取装置与解密处理装置也可以得到原始未经加密处理的内容;此外,移动终端2c的用户由于不是该内容的订户,其类似的第二获取装置没有获得与内容密钥Ksms对应的内容解密信息,则其类似的解密处理装置无法对接收到的经Ksms加密的内容进行解密,保证了广播服务器I与移动终端2a及2b之间通信的安全性。
可以理解,移动终端2a及2b可以属于同一个基站小区,也可以分属于不同小区。
以上的第三实施例对广播服务器I将经内容密钥加密的内容广播给移动终端,而移动终端已事先拥有与内容密钥配合工作的内容解密信息,可以直接对经内容密钥加密的内容进行解密的情况进行了详述。以下将对根据本发明的,优选地,广播服务器还采用对内容密钥的加密技术,其获取对应于各个用户的加密辅助信息,并根据该加密辅助信息对内容密钥进行加密,而后将经加密辅助信息加密的内容密钥提供给移动终端的技术方案进行详述。
第四实施例
图3为根据本发明另一个具体实施例,广播服务器I与多个移动终端2a与2b进行基于广播的安全通信的网络拓扑结构示意图。图6为根据本发明另一个具体实施例,广播服务器I与移动终端2a进行基于广播的安全通信的装置其工作过程的框图。广播服务器I包括用于基于广播与多个用户使用的多个相应移动终端进行安全通信的装置10’,该装置10’包括加密处理装置101’,加密内容发送装置102’,第一获取装置 103’,内容密钥加密装置104’与内容密钥发送装置105’ ;该加密处理装置101’进一步包括内容密钥获取装置1011’,该第一获取装置103’可以进一步包括第一推送信息获取装置1031’。其中,加密处理装置101’与加密内容发送装置102’可以构成由小区广播设备(Cell BroadcastEquipment)和小区广播中心(CellBroadcast Center)组成的小区广播业务系统(CBSSystem),其用于将经内容密钥加密的内容通过小区广播信道广播给各个移动终端;而第一获取装置103’,内容密钥加密装置104’与内容密钥发送装置105’可以构成小区广播业务订户管理器(CBS SubscriberManagement),其根据加密辅助信息对内容密钥进行加密,并将经加密的内容密钥经Upa接口以短信或其他方式提供给小区广播业务的订阅用户。移动终端2a包括用于基于广播与广播服务器I进行安全通信的装置20’,该装置20’包括加密内容接收装置201’,第二获取装置202’与解密处理装置203’ ;该第二获取装置202’进一步包括处理装置2021’,该处理装置2021’可以进一步包括第二推送信息获取装置20211’。
如图所示,内容密钥获取装置1011’获取一个用于加密内容的内容密钥,具体的,内容密钥获取装置1011’可以根据一个当时生成的随机数,及内容提供服务器3的标识信息,基于对称密钥算法如DES (Data Encryption Standard)、AES (Advanced Encryption)等生成一个基于对称加密的内容密钥Ksni/。
而后,广播服务器I进行与前述第三实施例类似的工作,加密处理装置101’根据Ksffls’对内容提供服务器3提供的内容进行加密,而后加密内容发送装置102 ’将经内容密钥Ksffl/加密后的内容基于广播发送至移动终端2a,优选地,加密内容发送装置102’将经内容密钥Ksms’加密的内容放入短消息中,通过短消息网关或短消息服务中心,提供给移动终端2a所属的小区基站,小区基站在该小区内的小区广播信道(CBCH)上将该短消息广播出去;移动终端2a在该小区广播信道上接收到含有经内容密钥Ksms’加密的内容的短消息,并从中提出去经内容密钥Ksms’加密的内容。值得注意的是,同一小区的订阅了相同内容的订户的移动终端2b,以及非订户的移动终端2c也可以在该小区广播信道上接收到含有经内容密钥Ksni/加密的内容的短消息。
接着,移动终端2a的装置20’的加密内容接收装置201’接收来自广播服务器I的基于广播发送的经内容密钥Ksni/加密的内容。移动终端2b的类似的加密内容接收装置接收来自广播服务器I的基于广播发送的经内容密钥Ksms’加密的内容。同时,非订户的移动终端2c也可以收到该经加密处理的内容。[0092]与以上工作过程不相关的,广播服务器I的装置10的第一获取装置103’获取与移动终端2a所属的用户a及移动终端2b所属的用户b分别对应的加密辅助信息,该加密辅助信息用于对内容密钥Ksms’进行加密。
A.具体的,在一种情况下,该加密辅助信息基于非对称密钥技术,例如,用户a对应的加密辅助信息为用户a的公钥,同时,用户a自己在其移动终端2a上拥有与该公钥配合工作的,即解密的私钥,用户b亦然,则广播服务器I获取用户a与b各自的公钥。则在一种情况下,广播服务器I本地保存有该公钥,则第一获取装置103’直接读取公钥;在另一种情况下,该公钥由内容提供服务器3,或由其他安全管理服务器提供给第一获取装置103’。
B.在另一种优选的情况下,该加密辅助信息是与用户a与b的身份相关的对称的加密密钥,用户a与b可以在其移动终端上基于其用户身份生成同样的加密密钥或对应的解密辅助信息。在这种情况下,第一获取装置103’的第一推送信息获取装置1031’基于GBA push技术,通过Zpn接口向自举服务推送功能(BSF)4请求用户a及用户b的通用自举架 构的推送信息,该推送信息中包含用于生成加密密钥的身份相关信息Ks_NAF/Ks_eXt_NAF、Ks_int_NAF,用户的五元组认证矢量中的AUTN和RAND,用于标识是GBA_U或GBA_ME的U/M,密钥的生命周期、广播服务器的ID、用户的私密身份ID、MAC等等。其中,若自举服务推送功能4本地尚无用户a和/或b的身份信息,则其还通过Zh接口,向用户a和/或b所属的归属位置寄存器/归属用户服务器5请求并获得用户的五元组认证矢量CK (CipherKey)、IKdntegrity Key)、RAND、RES、AUTN信息,并根据该CK、IK信息生成用户a和/或b的通用自举架构的推送信息,而后将用户a和b的推送信息提供给第一推送信息获取装置1031’。
而后,第一获取装置103’根据已获取的用户a与b各自的Ks_NAF/Ks_eXt_NAF、Ks_int_NAF信息,生成用户a与b各自的加密密钥Kebs ’。
以上广播服务器I的第一推送信息获取装置1031’与自举服务推送功能4进行交互获取通用自举架构的推送信息的过程,第一获取装置103’生成与用户的身份信息相关的加密密钥U的过程,与现有技术中的用于一对一安全通信的通用自举架构中的过程类似,详细过程可以参见标准3GPP TS33. 223V800,本说明书不做赘述。
接着,内容密钥加密装置104’分别根据已获取的用户a与b各自的加密辅助信息,例如其公钥或其加密密钥U,对内容密钥Ksms’进行加密,以生成与用户a与b各自的经对应加密辅助信息加密的内容密钥Ksms’。
而后,内容密钥发送装置105’将与用户a与b各自的经对应加密辅助信息加密的内容密钥Ksms’发送给用户a与b各自的移动终端2a及2b。
优选地,内容密钥发送装置105’通过短消息网关或短消息服务中心,通过短信息方式将经与用户a与b对应的加密辅助信息加密的内容密钥Ksms’分别发送至的用户a与b0
而后,移动终端2a的装置20’的第二获取装置202’的处理装置2021’,及移动终端2b的类似的处理装置各自获取与内容密钥Ksms’配合工作的内容解密信息。以下从移动终端2a的角度进行说明。
具体的,处理装置2021’接收来自广播服务器I的,经与用户a对应的加密辅助信息加密的内容密钥Ksms’,并获取与该加密辅助信息配合工作的解密辅助信息。
A’ .在一种情况下,与上文情况A对应的,该加密辅助信息基于非对称密钥技术,例如,是用户a的公钥,则处理装置2021’获取到该公钥对应的私钥作为解密辅助信息,以对经公钥加密的内容密钥Ksms’进行解密。可以理解,公私钥等非对称加密技术的实现是本领域技术人员所熟知的,本发明在此不作赘述。本领域一般技术人员可以根据实际需求对本实施例进行适当的修改,这些修改都应处于本发明的保护范围。
B’.在另一种情况下,与上文情况B对应的,该加密辅助信息是与用户a的身份相关的对称的加密密钥U,用户a可以在其移动终端2a上生成同样的加密密钥或对应的解密辅助信息。具体的,处理装置2021’的第二推送信息获取装置20211’基于GBA psuh技术,根据从自举服务推送功能(BSF) 4获得的GBA Push信息,移动终端以与HLR/HSS同样方 式生成五元组认证矢量 CK (Cipher Key)、IK (Integrity Key)、RAND、RES、AUTN 信息,然后以与BSF Push功能同样的方式生成Ks_NAF/Ks_ext NAF、Ks_int_NAF信息。
而后,处理装置2021’根据身份相关信息Ks_NAF/Ks_ext_NAF、Ks_int_NAF,生成对称加密密钥Kcfe’或与其配合工作的解密密钥。值得注意的是,其生成加密密钥U的方法,应与广播服务器I的第一获取装置103’生成加密密钥Kd3/的方法相对应;或者,其生成与U的配合工作的解密密钥方法,应与广播服务器I的第一获取装置103’生成加密密钥U的方法相对应,以保证生成的加密密钥Kcfe’或与其配合工作的解密密钥与广播服务器I所用的加密密钥U —致。一般来说,该一致性可以由用户与其运营商及广播服务器之间事先协商确定,例如固化在用户的SIM卡中或每次通信前协商得到。
以上第二推送信息获取装置20211’与自举服务推送功能4进行认证、交互以获取通用自举架构的推送信息的过程,与现有技术中的用于一对一安全通信的通用自举架构中的过程类似,参见3GPPTS33. 223V800。
值得注意的是,在以上的情况B-B’下,本发明通过上述的广播服务器I及移动终端与自举服务推送功能4的交互,利用了现有的通用自举架构(GBA)push技术,不对已有的标准、方法及装置进行大的修改,因而可节约大量成本,继而,该方案能够为市场所接受,具有良好商业前景。
而后,第二获取装置202’根据获取的解密辅助信息,对经与用户a对应的加密辅助信息加密的内容密钥Ksms’进行解密,获取内容密钥Ksms’,作为对应的内容解密信息。
最后,解密处理装置203’根据内容密钥Ksms’,对根据内容密钥Ksms’加密的内容进行解密,以还原出原始未经加密处理的内容。
类似地,该内容的订阅用户b的移动终端2b的类似装置进行类似的工作,由于广播服务器I也将其经与用户b对应的加密辅助信息加密的内容密钥Ksms’发送给移动终端2b,则移动终端2b的处理装置可以获取与用户b对应的加密辅助信息配合工作的解密辅助信息,其第二获取装置可以解出内容密钥Ksms’,继而其解密处理装置可以对根据内容密钥Ksm/加密的内容进行解密,以还原出原始未经加密处理的内容。
而没有订阅该内容的用户c的移动终端2c的处理装置无法接收到经与其对应的加密辅助信息加密的内容密钥Ksms’,使得其第二获取装置无法对经对应于其他用户的加密辅助信息加密的内容密钥Ksms’进行解密,则其无法获取到内容密钥Ksms’,继而其解密处理装置无法对根据内容密钥Ksms’加密的内容进行解密,无法得到原出原始未经加密处理的内容。这样而来,保证了广播服务器I与内容订阅用户a与b的移动终端2a及2b的内容通信的安全。[0111]本领域技术人员应能理解,本发明同样适用于基于无线通信网络的多播(组播)进行安全通信。具体的,多播服务器的用于基于多播与多个用户使用的多个相应用户设备进行安全通信的装置在以上基础上,还包括第一多播信道建立装置,其用于建立与该多个用户设备的多播信道,其加密内容发送装置还用于在多播信道中将经加密处理的内容发送给该多个用户设备;相应的,用户设备的用于基于多播与多播服务器进行安全通信的装置在以上基础上,还包括第二多播信道建立装置,用于建立与多播服务器之间的多播信道,其加密内容接收装置用于在多播信道中接收来自多播服务器的经加密处理的内容。其他加/解密的过程与前文中描述的类似,在此不作赘述。
本领域技术人员应能理解,本发明并不仅限于无线通信领域,在例如IPTV等支持广播和/或多播的通信网络中,本发明同样适用。
以上对本发明的具体实施方式
进行了描述。需要说明的是, 本发明并不局限于上述特定实施方式,本领域技术人员可以在所附权利要求
的范围内做出各种变型或修改。
权利要求
1. 一种进行安全通信的方法,在通信网络中的广播或多播服务器中,用于基于广播或多播与一个或多个用户使用的一个或多个相应用户设备进行安全通信,其特征在于,该方法包括以下步骤 a.对待发送的内容进行加密处理,以生成经加密处理后的内容; b.将所述经加密处理的内容基于广播或多播发送至所述一个或多个用户设备; 其中,所述步骤a包括 -获取用于加密所述待发送的内容 的内容密钥; -用已获取的内容密钥,对所述待发送的内容进行加密,以生成经所述内容密钥加密后的内容; 所述步骤b包括 -将所述经内容密钥加密后的内容基于广播或多播发送至所述一个或多个用户设备; 并且,该方法还包括如下步骤 1.获取对应于各个用户的加密辅助信息; ii.根据该加密辅助信息对内容密钥进行加密; iii.将经加密辅助信息加密的内容密钥提供给移动终端; 其中,所述步骤i包括 -通过自举服务功能,获取与所述一个或多个用户的身份信息相关的各自的通用自举架构的推送信息,该推送信息包括Ks_NAF/Ks_ext_NAF、Ks_int_NAF ; -根据所述通用自举架构的推送信息,获取所述一个或多个用户各自的加密辅助信息。
2.根据权利要求
I所述的方法,其特征在于,所述通信网络包括无线通信网络,所述广播或多播服务包括基于小区广播信道的小区广播业务,所述广播或多播服务器包括小区广播服务器,所述用户设备包括移动终端,所述步骤b还包括 -将所述经加密处理的内容通过小区广播信道发送至所述一个或多个移动终端。
3.根据权利要求
I所述的方法,其特征在于,所述步骤iii还包括 -通过短信息方式将所述一个或多个经加密辅助信息加密的内容密钥发送至相应的一个或多个移动终端。
4.根据权利要求
I所述的方法,其特征在于,所述广播或多播服务包括多播服务,所述广播或多播服务器包括多播服务器,所述步骤b之前,还包括 -建立与所述一个或多个用户设备之间的多播信道; 所述步骤b还包括 -将所述经加密处理的内容通过所述多播信道发送至所述一个或多个用户设备。
5.一种在通信网络的用户使用的用户设备中用于基于广播或多播与广播或多播服务器进行安全通信的方法,其中,包括以下步骤 A.接收来自所述广播或多播服务器的基于广播或多播发送的经加密处理的内容; B.对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容; 其中,所述经加密处理的内容包括根据内容密钥加密的内容,所述步骤B之前包括 I.获取与所述内容密钥配合工作的内容解密信息; 所述步骤B还包括-根据所述内容解密信息,对所述根据内容密钥加密的内容进行解密,以还原出原始未经加密处理的内容; 其中,所述步骤I包括以下步骤 I1.接收来自所述广播或多播服务器的、经与本用户对应的加密辅助信息加密的内容密钥,并获取与所述加密辅助信息配合工作的解密辅助信息; I2.根据所述解密辅助信息,对所述经与本用户对应的加密辅助信息加密的内容密钥进行解密,获取内容密钥作为对应的内容解密信息; 其中,所述步骤Il还包括 -通过自举服务功能,获取与本用户的身份信息相关的通用自举架构的推送信息,该推送信息包括 Ks_NAF/Ks_ext_NAF、Ks_int_NAF ; -根据所述通用自举架构的推送信息,获取与用户的身份信息相关的解密辅助信息。
6.根据权利要求
5所述的方法,其特征在于,所述通信网络包括无线通信网络,所述广播或多播服务包括基于小区广播信道的小区广播业务,所述广播或多播服务器包括小区广播服务器,所述用户设备包括移动终端,所述步骤A还包括 -通过小区广播信道接收所述经加密处理的内容。
7.根据权利要求
5所述的方法,其特征在于,所述步骤Il还包括 -接收来自所述广播或多播服务器通过短信息方式发送的,经与本用户对应的加密辅助信息加密的内容密钥。
8.根据权利要求
5所述的方法,其特征在于,所述广播或多播服务包括多播服务,所述广播或多播服务器包括多播服务器,所述步骤A之前,还包括 -建立与所述多播服务器之间的多播信道; 所述步骤A还包括 -通过所述多播信道接收所述经加密处理的内容。
9.一种进行安全通信的装置,在通信网络中的广播或多播服务器中,用于基于广播或多播与一个或多个用户使用的一个或多个相应用户设备进行安全通信,其特征在于,所述进行安全通信的装置包括 -加密处理装置,用于对待发送的内容进行加密处理,以生成经加密处理后的内容; -加密内容发送装置,用于将所述经加密处理的内容基于广播或多播发送至所述一个或多个用户设备; 其中,所述加密处理装置包括 -内容密钥获取装置,用于获取用于加密所述待发送的内容的内容密钥; 所述加密处理装置还用于 用已获取的内容密钥,对所述待发送的内容进行加密,以生成经所述内容密钥加密后的内容; 所述加密内容发送装置还用于 将所述经内容密钥加密后的内容基于广播或多播发送至所述一个或多个用户设备; 所述进行安全通信的装置还包括 -第一获取装置,用于获取与所述一个或多个用户对应的一个或多个加密辅助信息; -内容密钥加密装置,用于根据已获取的所述一个或多个加密辅助信息,对所述内容密钥进行加密,以生成与所述一个或多个用户对应的一个或多个经相应加密辅助信息加密的内容密钥; -内容密钥发送装置,用于将所述一个或多个经加密辅助信息加密的内容密钥发送至相应的一个或多个用户设备; 其中,所述第一获取装置进一步包括 -第一推送信息获取装置,用于通过自举服务功能,获取与所述一个或多个用户的身份信息相关的各自的通用自举架构的推送信息,该推送信息包括Ks_NAF/Ks_eXt_NAF、Ks_int—NAF ; 所述第一获取装置还用于 根据所述通用自举架构的推送信息,获取所述一个或多个用户各自的加密辅助信息。
10.根据权利要求
9所述的进行安全通信的装置,其特征在于,所述通信网络包括无线通信网络,所述广播或多播服务包括基于小区广播信道的小区广播业务,所述广播或多播服务器包括小区广播服务器,所述用户设备包括移动终端,所述加密内容发送装置还用于 将所述经加密处理的内容通过小区广播信道发送至所述一个或多个移动终端。
11.根据权利要求
9所述的进行安全通信的装置,其特征在于,所述内容密钥发送装置还用于 通过短信息方式将所述一个或多个经加密辅助信息加密的内容密钥发送至相应的一个或多个移动终端。
12.根据权利要求
9所述的进行安全通信的装置,其特征在于,所述广播或多播服务包括多播服务,所述广播或多播服务器包括多播服务器,所述进行安全通信的装置还包括 -第一多播信道建立装置,用于建立与所述一个或多个用户设备之间的多播信道; 所述加密内容发送装置还用于 将所述经加密处理的内容通过所述多播信道发送至所述一个或多个用户设备。
13.—种在通信网络的用户使用的用户设备中用于基于广播或多播与广播或多播服务器进行安全通信的装置,其中,包括 -加密内容接收装置,用于接收来自所述广播或多播服务器的基于广播或多播发送的经加密处理的内容; -解密处理装置,用于对已接收的所述经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容; 其中,所述经加密处理的内容包括根据内容密钥加密的内容,所述进行安全通信的装置还包括 -第二获取装置,用于获取与所述内容密钥配合工作的内容解密信息; 所述解密处理装置还用于 根据所述内容解密信息,对所述根据内容密钥加密的内容进行解密,以还原出原始未经加密处理的内容; 其中,所述第二获取装置包括 -处理装置,用于接收来自所述广播或多播服务器的、经与本用户对应的加密辅助信息加密的内容密钥,并获取与所述加密辅助信息配合工作的解密辅助信息;所述第二获取装置还用于 根据所述解密辅助信息,对所述经与本用户对应的加密辅助信息加密的内容密钥进行解密,获取内容密钥作为对应的内容解密信息; 其中,所述处理装置还包括 -第二推送信息获取装置,通过自举服务功能,获取与本用户的身份信息相关的通用自举架构的推送信息,该推送信息包括Ks_NAF/Ks_ext_NAF、Ks_int_NAF ; 所述处理装置还用于 根据所述通用自举架构的推送信息,获取与用户的身份信息相关的解密辅助信息。
14.根据权利要求
13所述的进行安全通信的装置,其特征在于,所述通信网络包括无线通信网络,所述广播或多播服务包括基于小区广播信道的小区广播业务,所述广播或多播服务器包括小区广播服务器,所述用户设备包括移动终端,所述加密内容接收装置还用于 通过小区广播信道接收所述经加密处理的内容。
15.根据权利要求
13所述的进行安全通信的装置,其特征在于,所述处理装置还用于 接收来自所述广播或多播服务器通过短信息方式发送的,经与本用户对应的加密辅助信息加密的内容密钥。
16.根据权利要求
13所述的进行安全通信的装置,其特征在于,所述广播或多播服务包括多播服务,所述广播或多播服务器包括多播服务器,所述进行安全通信的装置还包括 -第二多播信道建立装置,用于建立与所述多播服务器之间的多播信道; 所述加密内容接收装置还用于 通过所述多播信道接收所述经加密处理的内容。
17.—种网络服务器,其特征在于,包括根据权利要求
9至12中任一项所述的进行安全通信的装置。
18.一种用户设备,其特征在于,包括根据权利要求
13至16中任一项所述的进行安全通信的装置。
专利摘要
为了解决现有技术中,基于广播或多播服务无法实现安全通信的问题,本发明提出,广播或多播服务器对待发送的内容进行加密处理,以生成经加密处理后的内容,而后将经加密处理的内容基于广播或多播发送至各个用户设备;各个用户设备接收来自广播或多播服务器的基于广播或多播发送的经加密处理的内容,并对已接收的经加密处理的内容进行解密处理,以还原出原始未经加密处理的内容。根据本发明的方法与装置能够保证运营商与签约用户之间的安全通信,并保证计费正确。本发明用于无线通信网络的基于小区广播信道的小区广播业务中,不需要对现有的安全通信的标准、模块及设备进行较大改动,使得本发明成本较低,易于部署,具有良好的商业前景。
文档编号H04W12/02GKCN101640840 B发布类型授权 专利申请号CN 200810041303
公开日2013年3月13日 申请日期2008年8月1日
发明者胡志远, 王楠, 万志坤, 骆志刚, 金晓蓉 申请人:上海贝尔阿尔卡特股份有限公司导出引文BiBTeX, EndNote, RefMan专利引用 (2), 非专利引用 (3),