專利名稱:用戶通過業(yè)務數(shù)據(jù)攜帶密鑰信息的方式獲取密鑰的方法
技術領域:
本發(fā)明涉及數(shù)據(jù)傳輸技術,特別是指一種無線通信網(wǎng)絡中用戶通過業(yè)務數(shù)據(jù)攜帶密鑰信息的方式獲取加密密鑰的方法。
背景技術:
在無線通信網(wǎng)絡中,多播/廣播業(yè)務是指一點到多點的單向承載業(yè)務,多播/廣播業(yè)務信息由一個原實體發(fā)送,多個實體接收,如圖1所示,多播/廣播業(yè)務信息由多播/廣播服務器廣播發(fā)送至多個終端。在一定區(qū)域內(nèi),已經(jīng)訂閱多播/廣播業(yè)務的用戶能夠享受多播/廣播業(yè)務的服務。多播/廣播服務器是指能夠提供多播/廣播服務,兼具密鑰生成管理功能的功能實體,可為在無線通信網(wǎng)絡中新增的功能實體,也可為現(xiàn)有無線通信網(wǎng)絡中的一個功能實體或多個功能實體的組合。
在多播/廣播業(yè)務中,為防止沒有訂閱多播/廣播業(yè)務或未付費的用戶享受到多播/廣播業(yè)務的服務,需要在多播/廣播業(yè)務中設置共享的群組加密密鑰,并且群組加密密鑰只有多播/廣播業(yè)務用戶和提供多播/廣播業(yè)務的多播/廣播服務器知道,而沒有訂閱多播/廣播業(yè)務或未付費的用戶無權知道該群組加密密鑰。多播/廣播服務器使用群組加密密鑰對多播/廣播業(yè)務信息進行加密,然后再發(fā)送給多播/廣播業(yè)務用戶;多播/廣播業(yè)務用戶收到加密的多播/廣播業(yè)務信息后,使用群組加密密鑰對多播/廣播業(yè)務信息進行解密,獲取多播/廣播業(yè)務信息,最終享受到多播/廣播業(yè)務的服務。
多播/廣播業(yè)務中需要使用多個密鑰,這些密鑰在多播/廣播業(yè)務中的生成是分不同層次的,如圖2所示,多播/廣播業(yè)務中生成各種密鑰的過程包括以下步驟
步驟201多播/廣播業(yè)務用戶加入多播/廣播業(yè)務時,多播/廣播服務器和多播/廣播業(yè)務用戶之間進行認證,在認證過程中通過鑒權和密鑰協(xié)商協(xié)議(AKA),多播/廣播服務器和多播/廣播業(yè)務用戶同時生成相同的根密鑰RK。不同多播/廣播業(yè)務用戶的RK是互不相同的。RK可為多播/廣播業(yè)務用戶在簽約多播/廣播業(yè)務時由運營商分配的,多播/廣播業(yè)務用戶每次加入多播/廣播業(yè)務都使用該RK;RK也可為多播/廣播業(yè)務用戶每次加入多播/廣播業(yè)務時,在認證過程中多播/廣播服務器和多播/廣播業(yè)務用戶同時生成的,在多播/廣播業(yè)務用戶退出當前多播/廣播業(yè)務之前一直有效,多播/廣播業(yè)務用戶下次加入多播/廣播業(yè)務時,和多播/廣播服務器一同生成新的RK。
步驟202多播/廣播服務器和多播/廣播業(yè)務用戶生成RK后,共同生成相同的用于加密群組共享密鑰BAK的TK。生成TK的過程可為多播/廣播服務器生成用于生成TK的隨機數(shù),然后將該隨機數(shù)發(fā)送給多播/廣播業(yè)務用戶,多播/廣播服務器和多播/廣播業(yè)務用戶根據(jù)RK和隨機數(shù)共同生成相同的TK。不同多播/廣播業(yè)務用戶的TK是互不相同的。為提高TK的安全性,可在TK加密BAK后,就對TK進行更新,即多播/廣播服務器和多播/廣播業(yè)務用戶一同生成新的TK。
步驟203~步驟205多播/廣播服務器生成用來加密群組加密密鑰的群組共享密鑰BAK,然后使用TK加密BAK,并將加密的BAK發(fā)送給多播/廣播業(yè)務用戶。多播/廣播業(yè)務用戶收到加密的BAK后,使用自身存儲的TK解密BAK,獲取并存儲BAK。
步驟206生成用于加密多播/廣播業(yè)務信息的群組加密密鑰TEK。生成TEK的可為多播/廣播服務器生成用于生成TEK的隨機數(shù),然后將該隨機數(shù)發(fā)送給多播/廣播業(yè)務用戶,多播/廣播服務器和多播/廣播業(yè)務用戶根據(jù)BAK和隨機數(shù)共同生成相同的TEK。生成TEK的過程也可為多播/廣播服務器生成用于生成TEK的隨機數(shù),根據(jù)BAK和隨機數(shù)生成TEK后,使用BAK加密TEK,并將加密的TEK發(fā)送給多播/廣播業(yè)務用戶。多播/廣播業(yè)務用戶收到加密的TEK后,使用自身存儲的BAK解密TEK,獲取TEK。
為防止群組外的用戶享受多播/廣播業(yè)務的服務,用于加密多播/廣播業(yè)務信息的TEK不是一成不變的,需要經(jīng)常更新,在實際應用中,可使每次加密多播/廣播業(yè)務信息的TEK都不相同,即多播/廣播服務器使用不同的TEK加密每次向多播/廣播業(yè)務用戶發(fā)送的多播/廣播業(yè)務信息的數(shù)據(jù)包,這樣可大大增加多播/廣播業(yè)務信息的安全性。
為提高TK的保密性,可在TK加密BAK后,就對TK進行更新,即多播/廣播服務器和多播/廣播業(yè)務用戶共同生成新的TK。
圖3為現(xiàn)有技術一群組加密密鑰的獲取過程示意圖,如圖3所示,多播/廣播業(yè)務用戶獲取群組加密密鑰的過程包括以下步驟步驟301~步驟303多播/廣播服務器生成用來加密群組加密密鑰的群組共享密鑰BAK,然后使用TK加密BAK,并將加密的BAK發(fā)送給多播/廣播業(yè)務用戶。多播/廣播業(yè)務用戶收到加密的BAK后,使用自身存儲的TK解密BAK,獲取并存儲BAK。
另外,多播/廣播服務器可針對不同范圍的多播/廣播業(yè)務信息,同時生成多個BAK,此時,多播/廣播服務器為生成的BAK分配標識,然后使用TK加密BAK,并將加密的BAK及BAK標識發(fā)送給多播/廣播業(yè)務用戶。這樣,多播/廣播業(yè)務用戶存儲了一系列BAK。
步驟304多播/廣播服務器生成用于生成TEK的隨機數(shù),根據(jù)BAK和隨機數(shù)生成TEK。
步驟305~步驟307多播/廣播服務器使用TEK加密多播/廣播業(yè)務信息,并使用BAK加密該TEK,然后向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息和加密的TEK。多播/廣播業(yè)務用戶收到加密的多播/廣播業(yè)務信息和加密的TEK后,使用自身存儲的BAK解密TEK,獲取TEK;然后使用該TEK解密多播/廣播業(yè)務信息,獲取多播/廣播業(yè)務信息。
如果多播/廣播業(yè)務用戶存儲有一系列BAK,則多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息和加密的TEK的同時,還需向多播/廣播業(yè)務用戶發(fā)送BAK標識,以使多播/廣播業(yè)務用戶根據(jù)BAK標識和自身存儲的BAK與BAK標識的對應關系,確定當前加密TEK的BAK。
通過對上述過程的描述可見多播/廣播服務器在向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息時,還需發(fā)送加密的TEK。通常,TEK至少為128字節(jié)(bit),將TEK與多播/廣播業(yè)務信息一同發(fā)送,會使TEK過多地占用固定傳輸帶寬中的傳輸空間,大大減小了傳輸多播/廣播業(yè)務信息時能夠使用的傳輸空間,無法使多播/廣播業(yè)務信息有效地使用傳輸空間。另外,多播/廣播業(yè)務信息與TEK一同發(fā)送,為多播/廣播業(yè)務信息的安全性帶來了隱患,大大降低了多播/廣播業(yè)務信息的安全性。此外,在每次傳輸多播/廣播業(yè)務信息時都需要使用BAK加密TEK,BAK的頻繁使用也為BAK的安全性帶來了威脅。
圖4為現(xiàn)有技術二群組加密密鑰的獲取過程示意圖,如圖4所示,多播/廣播業(yè)務用戶獲取群組加密密鑰的過程包括以下步驟步驟401~步驟403與步驟301~步驟303基本相同。
步驟404與步驟304基本相同。
步驟405~步驟407多播/廣播服務器使用TEK加密多播/廣播業(yè)務信息,然后向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息和生成的隨機數(shù)。多播/廣播業(yè)務用戶收到加密的多播/廣播業(yè)務信息和隨機數(shù)后,根據(jù)自身存儲的BAK和隨機數(shù)生成TEK;然后使用生成的TEK解密多播/廣播業(yè)務信息,獲取多播/廣播業(yè)務信息。
如果多播/廣播業(yè)務用戶存儲有一系列BAK,則多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息和用于生成TEK的隨機數(shù)的同時,還需向多播/廣播業(yè)務用戶發(fā)送BAK標識,以使多播/廣播業(yè)務用戶根據(jù)BAK標識和自身存儲的BAK與BAK標識的對應關系,確定當前使用的用于生成TEK的BAK。
通過對上述過程的描述可見多播/廣播服務器在向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息時,還需發(fā)送用于生成TEK的隨機數(shù)。通常,隨機數(shù)至少為32bits,將隨機數(shù)與多播/廣播業(yè)務信息一同發(fā)送,會使隨機數(shù)占用固定傳輸帶寬中的傳輸空間,減小了傳輸多播/廣播業(yè)務信息時能夠使用的傳輸空間,無法使多播/廣播業(yè)務信息有效地使用傳輸空間。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種用戶通過業(yè)務數(shù)據(jù)攜帶密鑰信息的方式獲取密鑰的方法,使多播/廣播業(yè)務信息有效使用傳輸空間。
為了達到上述目的,本發(fā)明提供了一種用戶通過業(yè)務數(shù)據(jù)攜帶密鑰信息的方式獲取密鑰的方法,該方法包含以下步驟A、多播/廣播服務器與多播/廣播業(yè)務用戶預先建立密鑰參數(shù)與密鑰參數(shù)標識的對應關系;B、多播/廣播服務器向多播/廣播業(yè)務用戶同時發(fā)送加密的多播/廣播業(yè)務信息和密鑰參數(shù)標識,多播/廣播業(yè)務用戶根據(jù)收到的密鑰參數(shù)標識和存儲的密鑰參數(shù)與密鑰參數(shù)標識的對應關系,獲取當前群組加密密鑰。
所述步驟A之前進一步包括A0、多播/廣播服務器生成一個以上的密鑰參數(shù),并為所述密鑰參數(shù)分配標識,然后向多播/廣播業(yè)務用戶發(fā)送密鑰參數(shù)與密鑰參數(shù)標識的對應關系。
步驟A中所述密鑰參數(shù)是用于生成群組加密密鑰的隨機數(shù),所述密鑰參數(shù)標識是隨機數(shù)標識,所述步驟B進一步包括多播/廣播服務器向多播/廣播業(yè)務用戶同時發(fā)送加密的多播/廣播業(yè)務信息和隨機數(shù)標識,多播/廣播業(yè)務用戶根據(jù)收到的隨機數(shù)標識和存儲的隨機數(shù)與隨機數(shù)標識的對應關系,找到隨機數(shù),然后根據(jù)存儲的群組共享密鑰和所述隨機數(shù)生成當前群組加密密鑰。
所述步驟A0之前進一步包括多播/廣播服務器生成一個以上的群組共享密鑰,并為所述群組共享密鑰分配標識,然后向多播/廣播業(yè)務用戶發(fā)送加密的群組共享密鑰與群組共享密鑰標識的對應關系,多播/廣播業(yè)務用戶預先存儲解密的群組共享密鑰與群組共享密鑰標識的對應關系;步驟B中所述多播/廣播業(yè)務用戶根據(jù)存儲的群組共享密鑰和所述隨機數(shù)生成當前群組加密密鑰之前,進一步包括多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送的多播/廣播業(yè)務信息中攜帶群組共享密鑰標識,多播/廣播業(yè)務用戶根據(jù)收到的群組共享密鑰標識和存儲的群組共享密鑰與群組共享密鑰標識的對應關系,找到所述群組共享密鑰。
所述步驟B之前進一步包括多播/廣播服務器根據(jù)選定的隨機數(shù)和存儲的群組共享密鑰生成當前群組加密密鑰,然后使用所述當前群組加密密鑰加密多播/廣播業(yè)務信息。
步驟A中所述密鑰參數(shù)是多播/廣播服務器生成的群組加密密鑰,所述密鑰參數(shù)標識是群組加密密鑰標識,所述步驟B包括多播/廣播服務器向多播/廣播業(yè)務用戶同時發(fā)送加密的多播/廣播業(yè)務信息和群組加密密鑰標識,多播/廣播業(yè)務用戶根據(jù)收到的群組加密密鑰標識和存儲的群組加密密鑰與群組加密密鑰標識的對應關系,找到當前群組加密密鑰。
所述步驟A0之前進一步包括步驟A00多播/廣播服務器生成群組共享密鑰,向多播/廣播業(yè)務用戶發(fā)送加密的所述群組共享密鑰,多播/廣播服務器和多播/廣播業(yè)務用戶預先存儲解密的群組共享密鑰;步驟A0中所述多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送群組加密密鑰與群組加密密鑰標識的對應關系之前,進一步包括步驟A01多播/廣播服務器使用存儲的群組共享密鑰加密群組加密密鑰;步驟B中所述多播/廣播業(yè)務用戶根據(jù)收到的群組加密密鑰標識和存儲的群組加密密鑰與群組加密密鑰標識的對應關系找到當前群組加密密鑰之后,進一步包括多播/廣播業(yè)務用戶使用存儲的群組共享密鑰解密所述群組加密密鑰。
所述步驟A00進一步包括多播/廣播服務器生成一個以上的群組共享密鑰,并為所述群組共享密鑰分配標識,然后向多播/廣播業(yè)務用戶發(fā)送群組共享密鑰與群組共享密鑰標識的對應關系,多播/廣播業(yè)務用戶預先存儲群組共享密鑰與群組共享密鑰標識的對應關系;所述步驟A01包括多播/廣播服務器使用存儲的不同群組共享密鑰加密不同群組加密密鑰,然后向多播/廣播業(yè)務用戶發(fā)送加密的群組加密密鑰和群組加密密鑰標識的對應關系,多播/廣播服務器存儲群組共享密鑰標識與所述群組共享密鑰加密的群組加密密鑰標識的對應關系;步驟B中所述多播/廣播業(yè)務用戶根據(jù)收到的群組加密密鑰標識和存儲的群組加密密鑰與群組加密密鑰標識的對應關系找到當前群組加密密鑰之前,進一步包括多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送多播/廣播業(yè)務信息時攜帶群組共享密鑰標識,多播/廣播業(yè)務用戶根據(jù)收到的群組共享密鑰標識和存儲的群組共享密鑰與群組共享密鑰標識的對應關系,找到所述群組共享密鑰。
所述步驟B之前進一步包括多播/廣播服務器使用選定的群組加密密鑰加密多播/廣播業(yè)務信息。
多播/廣播服務器通過廣播方式向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息和同時攜帶的密鑰參數(shù)標識。
如果所述多播/廣播業(yè)務信息劃分成一個以上數(shù)據(jù)包發(fā)送,其特征在于,各數(shù)據(jù)包攜帶不同密鑰參數(shù)標識。
本發(fā)明提出預先在多播/廣播服務器和多播/廣播業(yè)務用戶中存儲密鑰參數(shù)與密鑰參數(shù)標識的對應關系;多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息時,一同發(fā)送密鑰參數(shù)標識;多播/廣播業(yè)務用戶收到加密的多播/廣播業(yè)務信息和密鑰參數(shù)標識后,根據(jù)密鑰參數(shù)標識和自身存儲的密鑰參數(shù)與密鑰參數(shù)標識的對應關系獲取TEK。這樣,只需發(fā)送密鑰參數(shù)標識,就可使多播/廣播業(yè)務用戶獲取TEK,通常,密鑰參數(shù)標識只需占用傳輸帶寬的幾個bit,相對密鑰的128bit或隨機數(shù)的32bit要少的多,從而使多播/廣播業(yè)務信息能夠有效使用傳輸空間。另外,本發(fā)明中,只有在多播/廣播業(yè)務用戶獲取TEK的過程中會使用BAK,在每次傳輸多播/廣播業(yè)務信息時不再使用BAK,因此顯著提高了BAK的安全性。此外,本發(fā)明中可通過不斷變換密鑰參數(shù)標識,使多播/廣播業(yè)務用戶獲取不同的TEK,實現(xiàn)對TEK的更新。
圖1為多播/廣播業(yè)務示意圖;圖2為多播/廣播業(yè)務密鑰層次示意圖;圖3為現(xiàn)有技術一群組加密密鑰的獲取過程示意圖;圖4為現(xiàn)有技術二群組加密密鑰的獲取過程示意圖;圖5為本發(fā)明中群組加密密鑰的獲取過程示意圖;圖6為本發(fā)明中一實施例示意圖;圖7為本發(fā)明中另一實施例示意圖。
具體實施例方式
為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚,下面結(jié)合附圖對本發(fā)明作進一步的詳細描述。
本發(fā)明中,預先在多播/廣播服務器和多播/廣播業(yè)務用戶中存儲密鑰參數(shù)與密鑰參數(shù)標識的對應關系;多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息時,一同發(fā)送密鑰參數(shù)標識;多播/廣播業(yè)務用戶收到加密的多播/廣播業(yè)務信息和密鑰參數(shù)標識后,根據(jù)密鑰參數(shù)標識和自身存儲的密鑰參數(shù)與密鑰參數(shù)標識的對應關系獲取TEK,然后使用TEK解密多播/廣播業(yè)務信息,獲取多播/廣播業(yè)務信息。通常,密鑰參數(shù)標識只需占用傳輸帶寬的幾個bit,相對密鑰的128bit或隨機數(shù)的32bit要少的多,從而使多播/廣播業(yè)務信息能夠有效使用傳輸空間。
圖5為本發(fā)明中群組加密密鑰的獲取過程示意圖,如圖5所示,多播/廣播業(yè)務用戶獲取群組加密密鑰的過程包括以下步驟步驟501~步驟502多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送密鑰參數(shù)與密鑰參數(shù)標識的對應關系。多播/廣播業(yè)務用戶對收到的密鑰參數(shù)與密鑰參數(shù)標識的對應關系進行存儲。
步驟503~步驟505多播/廣播服務器使用TEK加密多播/廣播業(yè)務信息,然后向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息和對應于該TEK的密鑰參數(shù)標識。多播/廣播業(yè)務用戶收到多播/廣播業(yè)務信息和密鑰參數(shù)標識后,根據(jù)密鑰參數(shù)標識和自身存儲的密鑰參數(shù)與密鑰參數(shù)標識的對應關系,獲取加密多播/廣播業(yè)務信息的TEK;然后使用該TEK解密多播/廣播業(yè)務信息,獲取多播/廣播業(yè)務信息。
由于使用目的或使用時間的不同,例如每個BAK針對不同范圍的多播/廣播業(yè)務信息,或為確保不斷變換BAK以增加BAK的安全性,多播/廣播服務器可同時生成多個BAK,此時,多播/廣播服務器為生成的BAK分配標識,然后使用TK加密BAK,并將加密的BAK及BAK標識發(fā)送給多播/廣播業(yè)務用戶,因此,多播/廣播業(yè)務用戶存儲有一系列BAK,通過BAK標識對不同BAK進行區(qū)分。
如果多播/廣播業(yè)務用戶存儲有一系列BAK,則多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息和密鑰參數(shù)標識的同時,還需向多播/廣播業(yè)務用戶發(fā)送BAK標識,以使多播/廣播業(yè)務用戶根據(jù)BAK標識和自身存儲的BAK與BAK標識的對應關系,確定當前使用的BAK。
圖6為本發(fā)明中一實施例示意圖,如圖6所示,本實施例中多播/廣播業(yè)務用戶獲取群組加密密鑰的過程包括以下步驟步驟601~步驟605與步驟201~步驟205基本相同。
在本實施例中,多播/廣播服務器同時生成多個BAK,多播/廣播服務器為生成的BAK分配標識,然后使用TK加密BAK,并將加密的BAK及BAK標識發(fā)送給多播/廣播業(yè)務用戶,多播/廣播業(yè)務用戶存儲BAK與BAK標識的對應關系。
步驟606~步驟608多播/廣播服務器生成多個隨機數(shù),并為生成的隨機數(shù)分配標識,存儲隨機數(shù)與隨機數(shù)標識的對應關系,然后向多播/廣播業(yè)務用戶發(fā)送隨機數(shù)與隨機數(shù)標識的對應關系。多播/廣播業(yè)務用戶對收到的隨機數(shù)與隨機數(shù)標識的對應關系進行存儲。
步驟609~步驟612多播/廣播服務器需要向多播/廣播業(yè)務用戶發(fā)送多播/廣播業(yè)務信息時,為當前發(fā)送的多播/廣播業(yè)務信息選定BAK和隨機數(shù),然后根據(jù)選定的BAK和隨機數(shù)生成TEK,使用TEK加密當前需要發(fā)送的多播/廣播業(yè)務信息,然后向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息、選定隨機數(shù)的標識和BAK標識。多播/廣播服務器可將加密的多播/廣播業(yè)務信息、選定隨機數(shù)的標識和BAK標識通過廣播方式發(fā)送給多播/廣播業(yè)務用戶。多播/廣播業(yè)務用戶收到加密的多播/廣播業(yè)務信息、選定隨機數(shù)的標識和BAK標識后,根據(jù)BAK標識和自身存儲的BAK與BAK標識的對應關系找到相應的BAK,同時根據(jù)隨機數(shù)標識和自身存儲的隨機數(shù)與隨機數(shù)標識的對應關系找到相應的隨機數(shù),然后根據(jù)找到的BAK和隨機數(shù)生成TEK,使用該TEK加密多播/廣播業(yè)務信息,獲取多播/廣播業(yè)務信息。
由于受到傳輸帶寬的限制,當前需要發(fā)送的多播/廣播業(yè)務信息可能需要分段發(fā)送,即當前需要發(fā)送的多播/廣播業(yè)務信息需要分成多個數(shù)據(jù)包發(fā)送,才能使多播/廣播業(yè)務用戶獲取完整的多播/廣播業(yè)務信息,此時,多播/廣播服務器可根據(jù)當前需要發(fā)送的多播/廣播業(yè)務信息對安全性的要求選定一個隨機數(shù)或多個隨機數(shù),如果當前需要發(fā)送的多播/廣播業(yè)務信息對安全性的要求較高,則多播/廣播服務器為發(fā)送的每個數(shù)據(jù)包選定不同的隨機數(shù);如果當前需要發(fā)送的多播/廣播業(yè)務信息對安全性的要求較低,則多播/廣播服務器為發(fā)送的每個數(shù)據(jù)包選定相同的隨機數(shù),無論多播/廣播服務器為當前需要發(fā)送的多播/廣播業(yè)務信息選定一個隨機數(shù)還是多個隨機數(shù),每次向多播/廣播業(yè)務用戶發(fā)送加密的數(shù)據(jù)包的同時,都需要向多播/廣播業(yè)務用戶發(fā)送隨機數(shù)標識。
多播/廣播服務器基本上已將存儲的隨機數(shù)都作了選擇后,或多播/廣播服務器認為安全性不夠時,可再次生成多個新的隨機數(shù),并為這些隨機數(shù)分配標識,然后將新的隨機數(shù)與隨機數(shù)標識的對應關系發(fā)送給多播/廣播業(yè)務用戶,多播/廣播業(yè)務用戶對收到的隨機數(shù)與隨機數(shù)標識的對應關系進行存儲。
圖7為本發(fā)明中另一實施例示意圖,如圖7所示,本實施例中多播/廣播業(yè)務用戶獲取群組加密密鑰的過程包括以下步驟步驟701~步驟705與步驟201~步驟205基本相同。
在本實施例中,多播/廣播服務器同時生成多個BAK,并為生成的BAK分配標識,然后使用TK加密BAK,存儲BAK與BAK標識的對應關系,并將加密的BAK及BAK標識發(fā)送給多播/廣播業(yè)務用戶,多播/廣播業(yè)務用戶存儲BAK與BAK標識的對應關系。
步驟706~步驟708多播/廣播服務器生成多個用于生成TEK的隨機數(shù),根據(jù)BAK和隨機數(shù)生成多個TEK,然后使用BAK加密TEK,并為加密的TEK分配標識。這些TEK可根據(jù)不同的BAK生成,可使用不同的BAK進行加密,此時,多播/廣播服務器存儲有TEK、TEK標識與加密該TEK的BAK間的對應關系。使用不同的BAK加密TEK,可增強多個TEK的安全性,避免非多播/廣播業(yè)務用戶獲取加密的多個TEK,使用一個BAK成功解密后,使用該BAK成功解密其他TEK。如果不希望對TEK的管理過于復雜,則可使用同一個BAK加密TEK。多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送加密的TEK與TEK標識的對應關系,多播/廣播業(yè)務用戶對收到的加密的TEK與TEK標識的對應關系進行存儲。此時,多播/廣播業(yè)務用戶可不對TEK進行解密,而是直接存儲。
步驟709~步驟712多播/廣播服務器需要向多播/廣播業(yè)務用戶發(fā)送多播/廣播業(yè)務信息時,為當前發(fā)送的多播/廣播業(yè)務信息選定TEK,使用該TEK加密當前需要發(fā)送的多播/廣播業(yè)務信息,根據(jù)自身存儲的TEK、TEK標識與加密TEK的BAK間的對應關系,找到BAK標識,然后向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息、選定TEK的標識和BAK標識。多播/廣播服務器將加密的多播/廣播業(yè)務信息、選定TEK的標識和BAK標識通過廣播方式發(fā)送給多播/廣播業(yè)務用戶。多播/廣播業(yè)務用戶收到加密的多播/廣播業(yè)務信息、選定TEK的標識和BAK標識后,根據(jù)BAK標識和自身存儲的BAK與BAK標識的對應關系找到相應的BAK,同時根據(jù)TEK標識和自身存儲的TEK與TEK標識的對應關系找到相應的加密的TEK,使用BAK對加密的TEK進行解密,獲取TEK,然后使用該TEK解密多播/廣播業(yè)務信息,獲取多播/廣播業(yè)務信息。
由于受到傳輸帶寬的限制,當前需要發(fā)送的多播/廣播業(yè)務信息可能需要分段發(fā)送,即當前需要發(fā)送的多播/廣播業(yè)務信息需要分成多個數(shù)據(jù)包發(fā)送,才能使多播/廣播業(yè)務用戶獲取完整的多播/廣播業(yè)務信息,此時,多播/廣播服務器可根據(jù)當前需要發(fā)送的多播/廣播業(yè)務信息對安全性的要求選定一個TEK或多個TEK,如果當前需要發(fā)送的多播/廣播業(yè)務信息對安全性的要求較高,則多播/廣播服務器為發(fā)送的每個數(shù)據(jù)包選定不同的TEK;如果當前需要發(fā)送的多播/廣播業(yè)務信息對安全性的要求較低,則多播/廣播服務器為發(fā)送的每個數(shù)據(jù)包選定相同的TEK,無論多播/廣播服務器為當前需要發(fā)送的多播/廣播業(yè)務信息選定一個TEK還是多個TEK,每次向多播/廣播業(yè)務用戶發(fā)送加密的數(shù)據(jù)包的同時,都需要向多播/廣播業(yè)務用戶發(fā)送TEK標識。
多播/廣播服務器基本上已將存儲的TEK都作了選擇后,或多播/廣播服務器認為安全性不夠時,可再次生成多個新的TEK,并為這些TEK分配標識,使用BAK加密新的TEK,然后將新的加密的TEK與TEK標識的對應關系發(fā)送給多播/廣播業(yè)務用戶,多播/廣播業(yè)務用戶對收到的TEK與TEK標識的對應關系進行存儲。
總之,以上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍。
權利要求
1.一種用戶通過業(yè)務數(shù)據(jù)攜帶密鑰信息的方式獲取密鑰的方法,其特征在于該方法包含以下步驟A、多播/廣播服務器與多播/廣播業(yè)務用戶預先建立密鑰參數(shù)與密鑰參數(shù)標識的對應關系;B、多播/廣播服務器向多播/廣播業(yè)務用戶同時發(fā)送加密的多播/廣播業(yè)務信息和密鑰參數(shù)標識,多播/廣播業(yè)務用戶根據(jù)收到的密鑰參數(shù)標識和存儲的密鑰參數(shù)與密鑰參數(shù)標識的對應關系,獲取當前群組加密密鑰。
2.根據(jù)權利要求1所述的方法,其特征在于,所述步驟A之前進一步包括A0、多播/廣播服務器生成一個以上的密鑰參數(shù),并為所述密鑰參數(shù)分配標識,然后向多播/廣播業(yè)務用戶發(fā)送密鑰參數(shù)與密鑰參數(shù)標識的對應關系。
3.根據(jù)權利要求2所述的方法,其特征在于,步驟A中所述密鑰參數(shù)是用于生成群組加密密鑰的隨機數(shù),所述密鑰參數(shù)標識是隨機數(shù)標識,所述步驟B進一步包括多播/廣播服務器向多播/廣播業(yè)務用戶同時發(fā)送加密的多播/廣播業(yè)務信息和隨機數(shù)標識,多播/廣播業(yè)務用戶根據(jù)收到的隨機數(shù)標識和存儲的隨機數(shù)與隨機數(shù)標識的對應關系,找到隨機數(shù),然后根據(jù)存儲的群組共享密鑰和所述隨機數(shù)生成當前群組加密密鑰。
4.根據(jù)權利要求3所述的方法,其特征在于,所述步驟A0之前進一步包括多播/廣播服務器生成一個以上的群組共享密鑰,并為所述群組共享密鑰分配標識,然后向多播/廣播業(yè)務用戶發(fā)送加密的群組共享密鑰與群組共享密鑰標識的對應關系,多播/廣播業(yè)務用戶預先存儲解密的群組共享密鑰與群組共享密鑰標識的對應關系;步驟B中所述多播/廣播業(yè)務用戶根據(jù)存儲的群組共享密鑰和所述隨機數(shù)生成當前群組加密密鑰之前,進一步包括多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送的多播/廣播業(yè)務信息中攜帶群組共享密鑰標識,多播/廣播業(yè)務用戶根據(jù)收到的群組共享密鑰標識和存儲的群組共享密鑰與群組共享密鑰標識的對應關系,找到所述群組共享密鑰。
5.根據(jù)權利要求3所述的方法,其特征在于,所述步驟B之前進一步包括多播/廣播服務器根據(jù)選定的隨機數(shù)和存儲的群組共享密鑰生成當前群組加密密鑰,然后使用所述當前群組加密密鑰加密多播/廣播業(yè)備信息。
6.根據(jù)權利要求2所述的方法,其特征在于,步驟A中所述密鑰參數(shù)是多播/廣播服務器生成的群組加密密鑰,所述密鑰參數(shù)標識是群組加密密鑰標識,所述步驟B包括多播/廣播服務器向多播/廣播業(yè)務用戶同時發(fā)送加密的多播/廣播業(yè)務信息和群組加密密鑰標識,多播/廣播業(yè)務用戶根據(jù)收到的群組加密密鑰標識和存儲的群組加密密鑰與群組加密密鑰標識的對應關系,找到當前群組加密密鑰。
7.根據(jù)權利要求6所述的方法,其特征在于,所述步驟A0之前進一步包括步驟A00多播/廣播服務器生成群組共享密鑰,向多播/廣播業(yè)務用戶發(fā)送加密的所述群組共享密鑰,多播/廣播服務器和多播/廣播業(yè)務用戶預先存儲解密的群組共享密鑰;步驟A0中所述多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送群組加密密鑰與群組加密密鑰標識的對應關系之前,進一步包括步驟A01多播/廣播服務器使用存儲的群組共享密鑰加密群組加密密鑰;步驟B中所述多播/廣播業(yè)務用戶根據(jù)收到的群組加密密鑰標識和存儲的群組加密密鑰與群組加密密鑰標識的對應關系找到當前群組加密密鑰之后,進一步包括多播/廣播業(yè)務用戶使用存儲的群組共享密鑰解密所述群組加密密鑰。
8.根據(jù)權利要求7所述的方法,其特征在于,所述步驟A00進一步包括多播/廣播服務器生成一個以上的群組共享密鑰,并為所述群組共享密鑰分配標識,然后向多播/廣播業(yè)務用戶發(fā)送群組共享密鑰與群組共享密鑰標識的對應關系,多播/廣播業(yè)務用戶預先存儲群組共享密鑰與群組共享密鑰標識的對應關系;所述步驟A01包括多播/廣播服務器使用存儲的不同群組共享密鑰加密不同群組加密密鑰,然后向多 播/廣播業(yè)務用戶發(fā)送加密的群組加密密鑰和群組加密密鑰標識的對應關系,多播/廣播服務器存儲群組共享密鑰標識與所述群組共享密鑰加密的群組加密密鑰標識的對應關系;步驟B中所述多播/廣播業(yè)務用戶根據(jù)收到的群組加密密鑰標識和存儲的群組加密密鑰與群組加密密鑰標識的對應關系找到當前群組加密密鑰之前,進一步包括多播/廣播服務器向多播/廣播業(yè)務用戶發(fā)送多播/廣播業(yè)務信息時攜帶群組共享密鑰標識,多播/廣播業(yè)務用戶根據(jù)收到的群組共享密鑰標識和存儲的群組共享密鑰與群組共享密鑰標識的對應關系,找到所述群組共享密鑰。
9.根據(jù)權利要求6所述的方法,其特征在于,所述步驟B之前進一步包括多播/廣播服務器使用選定的群組加密密鑰加密多播/廣播業(yè)務信息。
10.根據(jù)權利要求5或9所述的方法,其特征在于,多播/廣播服務器通過廣播方式向多播/廣播業(yè)務用戶發(fā)送加密的多播/廣播業(yè)務信息和同時攜帶的密鑰參數(shù)標識。
11.根據(jù)權利要求1所述的方法,如果所述多播/廣播業(yè)務信息劃分成一個以上數(shù)據(jù)包發(fā)送,其特征在于,各數(shù)據(jù)包攜帶不同密鑰參數(shù)標識。
全文摘要
本發(fā)明公開了一種用戶通過業(yè)務數(shù)據(jù)攜帶密鑰信息的方式獲取密鑰的方法,多播/廣播服務器與多播/廣播業(yè)務用戶建立密鑰參數(shù)與密鑰參數(shù)標識的對應關系;多播/廣播服務器向多播/廣播業(yè)務用戶同時發(fā)送加密的多播/廣播業(yè)務信息和密鑰參數(shù)標識,多播/廣播業(yè)務用戶根據(jù)收到的密鑰參數(shù)標識和存儲的密鑰參數(shù)與密鑰參數(shù)標識的對應關系,獲取當前群組加密密鑰。根據(jù)本發(fā)明提出的方法,發(fā)送多播/廣播業(yè)務信息的同時,只需發(fā)送幾個bit的密鑰參數(shù)標識,就可使多播/廣播業(yè)務用戶獲取群組加密密鑰,從而使多播/廣播業(yè)務信息能夠有效使用傳輸空間。本發(fā)明通過不斷變換密鑰參數(shù)標識,使多播/廣播業(yè)務用戶獲取不同群組加密密鑰,實現(xiàn)對群組加密密鑰的更新。
文檔編號H04L9/28GK1604534SQ03154459
公開日2005年4月6日 申請日期2003年9月29日 優(yōu)先權日2003年9月29日
發(fā)明者鄭志彬, 張文林, 黃迎新 申請人:華為技術有限公司