YD/T 1786-2008
基本信息
标准号: YD/T 1786-2008
中文名称:移动多媒体广播业务业务保护技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1381472
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1786-2008.Mobile Multimedia Broadcast Service Technical Requirements for Service Protection.
1范围
YD/T 1786规定了数字蜂窝移动通信网移动多媒体广播业务中业务保护和内容保护的概念、业务保护体系结构、业务保护流程等。
YD/T 1786适用于数字蜂窝移动通信网移动多媒体广播业务的业务保护技术。移动多媒体广播业务中内容保护不属于本标准的范围。
2规范性引用标准
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注8期的引用文件,其最新版本适用于本标准。
OMA OMA-TS-BCAST SvcCntProtection-V1_ 0-20080226-C,移动广播业务业务与内容保护1.0
3GPP TS 33.246,Security of Multimedia BroadcastMulticast Service,多媒体广播/多播业务安全
3GPP TS 33.220,Generic Authentication Architecture, Generic Bootstrapping Architecture,通用认证架构,通用自举架构
3GPP2 S.S0083-A Broadcast-Multicast Service Security Framework,广播多播业务安全框架
1范围
YD/T 1786规定了数字蜂窝移动通信网移动多媒体广播业务中业务保护和内容保护的概念、业务保护体系结构、业务保护流程等。
YD/T 1786适用于数字蜂窝移动通信网移动多媒体广播业务的业务保护技术。移动多媒体广播业务中内容保护不属于本标准的范围。
2规范性引用标准
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注8期的引用文件,其最新版本适用于本标准。
OMA OMA-TS-BCAST SvcCntProtection-V1_ 0-20080226-C,移动广播业务业务与内容保护1.0
3GPP TS 33.246,Security of Multimedia BroadcastMulticast Service,多媒体广播/多播业务安全
3GPP TS 33.220,Generic Authentication Architecture, Generic Bootstrapping Architecture,通用认证架构,通用自举架构
3GPP2 S.S0083-A Broadcast-Multicast Service Security Framework,广播多播业务安全框架
标准图片预览
标准内容
ICS 33 070 01
中华人民共和国通信行业标准
YD/T 1786-2008
移动多媒体广播业务
业务保护技术要求
MobileMultimediaBroadcast ServiceTechnical Requirements for Service Protection2008-03-28发布
2008-06-01实施
中华人民共和国工业和信息化部发布前
1范围·
2规范性引用标雄….
3定义和缩略语·
4业务保护和内容保护的概念
5业务保护体系结构-
6基于(U)SIM的业务保护流程-7基于(R)UIM的业务保护流程
8移动通信网络和广播网络结合的业务保护:目
附录A(资料性附录)各体系密钥层次的映射关系附录B(规范性附录)节目流密钥消息内容参考文献
YD/T1786-2008
YD/T1786-2008
本标准是移动多媒体广播业务系列规范之一,该系列标准的名称及结构如下:(1)YD/T1785-2008
YD/T:1786-2008
YD/T1787-2008
YD/T1788-2008
(6)YD/T 1789-2008
YD/T 1790-2008
YD/T1791-2008
移动多媒体广播业务:总体技术要求移动多媒体广播业务业务保护技术要求移动多媒体广播业务业务指南技术要求移动多媒体广播业务业务平台设备技术要求移动多媒体广播业务,业务平台设备测试方法移动多媒体广播业务终端/卡设备技术要求移动多媒体广播业务终端/卡设备测试方法移动实媒体广播业务应用层接口技术要求移动多媒体广播业务交互应用技术要求随着技术的发展,还将制定后续的相关标准。本标准的附录A为资料性附录,附录B为规范性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国移动通信集团公司、中国联合通信有限公司、上海贝尔阿尔卡特股份有限公司、华为技术有限公司、中兴通讯股份有限公司、诺基亚通信有限公司本标准主要起草人:吴伟、崔媛媛、张薏媛、严斌峰、刘申健、胡志远、朱庆、朱红儒、张越雄、文海龙、王劲松、汪庆华
1范围
移动多媒体广播业务
业务保护技术要求
YD/T 1786-200B
本标准规定了数宁蜂贫移动通信网移动多媒体广播业务中业务保护和内容保护的概念、业务保护体系结构、业务保护流程等。
本标准适用于数子蜂窝移动通信网移动多媒体播业务的业务保护技术。移动多媒体广播业务中内容保护不属于本标推的范用。
2规范性引用标准
下列文件中的条款通过本标准的引用而成为本标准的条款,凡足注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用丁小标准。OMAOMA-TS-BCAST_SvcCntProtcction-V1_0-20080226-C,移动广播业务业务与内容保护1.03GPPTS33.246,SccurityofMultimediaBroadcast/MulticaatService,多媒体广播/多播业务安全3GPP TS 33.220, Generic Authentication Architerlure, Generie Bootstrapping Architecture,通用认证架构,通用自举架构
3GPP2S.S0083-ABroadcast-MulticastServiceSecurityFramework,广播多播业务安全框架3GPP2 X.S0022-A Broadcast and Multicast Service in cdma2000 Wirelcss IP network, CDMA2000无线P网络中的广播多播业务
ETSITS103197v1:4.IDVB;Head-end implementationofDVBSimulCrypt,DVB,DVB同密的头端实现
ETFRFC3830MIKEY:MultimediaIntemctKEYing,MIKEY:多媒体网络密钥交换ETFRFC371ITheSecureReal-timcTransportProtocol(SRTP),安全实时传输协议3定义和缩略语
下列定义、缩略语、符号和约定适用于本标雅。3.1定义
注册密钥
用T用户认证过程。在3GPP体系中为MRK,在3GPP2体系中为RK。3.1.2
用户密钥
用于加密业务密。在3GPP体系中为MUK,在3GPP2体系中为TK。3.1.3
业务密钥
YD/T 1786-2008
用加密节日流密钥。在3GPP体系中为MSK,在3GPP2体系中为BAK。3.1.4
节目流密钥
用丁加密节日流。在3GPP体系中对应为MTK,在3GPP2体系中对应为SK和MBK。注:密钥SK:由移动网络产生,用于对MBK和BCMCS业务流进行加密:密销MBK:由内容提供者产生,使用SK加密后在广播网络上发送,用于对被广播的多媒体内容进行加渐。3.2缩略语
GBA_ME
3.3符号
Architecture Document
Broadcast Access Key
Broadcast Multicast Service
Bootstrapping Server FunctionEntitilement Control MessageGeneric Bootstrapping ArchitectureMIE-based GBA
GBA with UICC-based enhancementsMobile Broadcast Key
MultimediaBraadcast/MulticastServiceMultimedia Internet Keying
MBMS Request Key
MBMS Service Key
MBMS Traffic Key
MBMS User Key
Network Application Function.Open Mobile Alliance
Requirements Document
Registration Key
Short-terin Key
Temporary Key
架构文档
广播访问密钥
广播多播业务
Bootstrapping服务功能
授权控制消息
通用Bootstrarping架构
基于 ME 的 GBA
基于UICC增强型的GBA
广播节民流密钥
多媒体广播多播业务
多媒体网络密钥交换
MBMS请求密钢
MBMS业务密钥
节目流密钥
MBMS用广密钥
网络应用功能
开放式移动联盟
需求文档
BCMCS中的注册密钥免费标准bzxz.net
BCMCS中的业务密钥
BCMCS的临时密钥
3.4约定
本标准中,所有数据的变量都以这种方式表示:最重要的子字符串在左边,最不重要的子字符串在右边。一个子字符申的长度可以是1位/比特,或是1个字节,也可以是其他任意长度的位串。当一个变量被拆分成多个子字符串时,最左边(最重要的)的子学符串为0,下一个重要的了字符串为1,就这释::直到最不重要的子字符串。
4业务保护和内容保护的概念
YD/T 1786-2008
业务和内容保护功能提供了一种在移动广播业务中,跨广播传输系统保护内容和业务的方法。下图1所示说明了内容保护和业务保护的不同之处。广播发送
业务保护
内容保护
图业务保护和内容保护的区别
业务保护功能是保扩护一项业务能否能被访问。例如,在特定的时问传送预定的图像和声音数据。当用户被允许访问某项业务时,业务保护功能不对该业务传送的内容负责;它也不提供任何方法来保护有访问控制的管道外的内容。
内容保护功能保证每个独立的内容受到保护。受保护的内穿可以具有发送后(post-delivery)使用权限的保护。
业务保护独立丁内容保护,是为订阅管理而设置的。在没有内容保护的情况下,一般来说,内容没有使用权限限制或者只是由法律,商业模式和需求所保:但是这种保护已经超出本定义的范畴。内容保护功能处理发送后的使用权限,就是说是在内容发送后,使用时的许可和約束。本标准主要规定移动多媒体广播业务的业务保护技术要求。5业务保护体系结构
5.1分层密钥管理体系结构
5.1.1分层密钥管理体系
移动多媒体广播业务的业务保护基下分层密钥体系,如图2所示。端谢
第一层
第二层
业务密销分发
第兰层
鉴权网缩身份
用户钥
解密业务
潮钥游息
业务击钥
解密节日流
节目流密朗分发
第四层
节目流分发
卓未加
席钥消息
节目流密销
通过双问信道签权
通过双向信道发送业务密误消息通过!播信道发送节目流密误消息鉴权刚络身份
网略训
用户密朔
生成业务
密钥荷息
业务密朔
生成节目流
密钼消息
通过!播信道发送加扰后的节间流图2分层密钥管理体系
节自流密朗
YD/T1786-2Q08
第一层:认证管理。用户与网络之间进行相互认证,认证通过后获得共享密钥。由此共享密钥在终端和网络生成注册密钥和用户密。终端通过注册密钥向多媒体广播业务控制中心进行认证。认证通过后,用户密钥用」随后进行的业务密钙加密传输。第二层:业务密钥管理。网络据用门订购关系将业务密钥通过加密方式传送给用户:网络刘业务密钥逊行加密吋将使用用密钥,终端对业务密钥消息解密时将使用本地生成的用户密钥。对于3GPP体系,业务密钥消息采用MIKEY格。对于3GPP2体系,业务钥消息由3GPP2X.SUU22-A定义。第二层:节目流密钥管理。
在3GPP体系下,使用节目流密钥加密告目流。将使用业务密钥加密后的节目流密钥在广播网络上传输。终端对节目流密钥解密时将使用业务密钥。节H流密钥消息采用MIKEY格式:一在3GPP2体系下,节月流密钥分为两个子层:移动网络节目流密钥SK和广播网络节目流密铜MBK。·广播网络节目流密钥:广播网络节目流密钥(MBK)用丁加密节日流。MBK经移动网络节目流密钥(SK)加密后在广播网络上广播:终端将使用SK和加密后的MBK通过f(SK,MBK)进行解密运算,成广播网络节流密钥MK
,移动网络节H流密钥:移动网络节目流密钥SK)用丁对MBK的密。为了实现终端正确解密MBK,需要首先生成SK。因此,网络需要将移动网络节目流密钥的相关信息(包括随机数SK_RAND、BAKⅢ、以及BCMCS_F,OW_ID)在广播网络上广播。终端将使用对应的BAK和移动网络节目流密钙随机数SK_RAND生成移动网络节月流密钥SK。第层:节一流管理。使用节流密钥对节益流加密后通过广播网络进行分发,终端便用解密划的广播节目流密钥进行解密。
5.2业务保护体系结构
业务保护体系结构如图3所示,
业务密钥管理模块
节目流密钥的
加密模块
业务密钥传编
移动多媒体广播业务平台
书月流传输
节目流赛钥传输
节目流加密系统
图3业务保护体系结构
未加密广
患媒体内容
从业务保护上,整个体系结构应具备业务密钥管理、节日流密钥加密、节目流安全传输及BSF功能。5.2.1业务密钥管理模块
5.2.1.1业务密钥的生成与更新
移动多媒体广播业务平台应支持业务密钥管理功能:4
(a)在指定时间生成业务密钥,并存储业务密钥YD/T 1786-2008
移动多媒体播业务平台应在业务开始前生成业务密钥,分配业务密钥标识,并进行存储。每个节目流在一段时间内对应一个业务密钥。基于3GPP体系的业务平台将保存频道的业务代码与业务密钥标识的对应关系。而基于3GPP2体系的业务平台将保存BCMCS流标识(BCMCS_FIoW_ID)与业务密钢标识的对应关系。
业务密钥的生成见[3GPPTS33.246,SecurityofMultimediaBroadcasVMulticastService,多妹体广播/多播业务安全]、[3GPPTS33.220,Generic Authentication Architecture,Generic BoolstrappingArchitecture通用认证架构,通用自举架构],13GPP2S.S0083-ABroadcast-MulticastServiceSecurityFramework,播多播业务安全框架]。
(b)定期更新业务密钥
业务密钥应在指定的时间定期地进行更新。5.2.1.2业务密钥标识的编码方式5.2.1.2.1基于3GPP体系的业务密钥标识的编码方式业务密钥标识由两部分组成,包括KeyDomainID(3字节)和MSKID(4字节)。其中:
KeyDomainID:其值为移动多媒体广播业务平台标识:一MSK D: Group Part(2字节)和 Nurnber Part(2字节)两部分组成:(1)GroupPart:标识频道,移动多媒体广播业务平台为该平台提供接入服务的每个频道生成一个Group Part 标识;
(2)NumberPart:标识移动多媒体广播业务平台为某一个频道生成的各个业务密钥。业务密钥更新一次,则NumberPart值加l。
5.2.1.2.2基于3GPP2体系的业务密钥标识的编码方式业务密钥标识为BAK_ID,它与BCMCS_FLOW_ID组合起来推一标识业务密钥BAK。其中;
BCMCS_FLOW_ID:BCMCS_FLOW_ID 采用 32bit编码。BAK_ID:和BCMCS_FLOW_ID一起惟一标识BAK。BAK_ID用4bit表示。初始值为O。当BAK更新时,BAK_ID白动加1。取值范围为0~15间循环。5.2.1.3业务密钥有效期
业务密钥有效期表示该业务密钥所适用的节目流密钥的序列号范围,在包含业务密钥的消息中说明。见[3GPPTS33.246,SecurityofMultimediaBroadcast/MulticastService,多媒体广播/多播业务安全]、[3GPPTs33.220,GenericAuthenticationArchitecture,Generic BootstrappingArchitecture,通用认证架构,通用自萃架构]、[3GPP2X.SU022-ABroadcastandMulticastServiceincdma2000WirelessIPnetwork,CDMA200无线IP网络的广播多播业务]、[IETFRFC3711TheSecureReal-timeTransportProtocol(SRTP),安全实时传输协议]。
针对不同计费方式:为用户发送的业务密钥具有不同的业务密钥有效期设置。具体如下!
一对于按频道包月计费方式:每个业务密钥的有效期应为当月所使用的节日流密钥D范围。5
YD/T 1786-2008
一对于按节月费方式:业务密钥的有效期应为该节日所使用的节目流密钥D范围,业务密钥有效期的起始时刻与终止时刻的数值,也即节月流密钥的ID值,根据节日流密钥生效时的绝对时间按照一定的转换规则得到,如UTC方式。5.2.1.3.1基于3GPP的业务密钥有效期业务密钥有效期在MIKEY消息的Keyvaliditydata中描述,用两个字段标识,分别为:有效期的起始值(ValidFrom)和有效期的终止值(ValidTo):有效期的起始值(ValidFrom):表示业务密钢从下-时刻开始有效;该业务密钥只能解密大丁-此值的节日流密钥。
有效期的终止值(ValidTo):表示业务密钥从下一刻开始失效;该业务密钥只能解密小于或等于此值的节日流密钮。
业务密钥必须同时满足以上两个条件,才可以解密节目流密钥。例,若ValidFrom值为0,ValidTo值为3,则业务密钥可用丁解密节目流摔ID值为1、2、3的节国流密钥。
5.2.1.3.2基于3GPP2的业务密钥过期时间业务密钥过期间BAKEXPIRE指示该业务密钥在什么期间内有效,由业务平台产尘并且与BAK--起发送,这样终端就能知道什么时候将中请新的BAKBAK_Expire:6字节,前3字节为BAK有效时间的开始时间VF,后3字节为BAK有效时间的截止时间VT。BAK有效期的开始时间和结束时间对应到节目流密钥的序列号范围。有效期的起始值(ValidFrom):表示业务密钥从下-时刻开始有效:该业务密钥贝能解密大丁此值的节目蔬密谓:
有效期的终止值(ValidTo):表示业务密钥从下一刻开始失效:该业务密销只能解密小于或等于此值的节目流密钢。
业务密钥必须同时满足以上两个条件,才可以解密节日流密钥。例:若 Valid Frorn 值为 0,Valid To 值为 3,业务密钥可用于解密节日流密钥ID值为 1、2、3的节具流密钥。
由丁采用同密结构,为保证节流加密机制相同,BAK_Expire 中的 VF 与 VT 各采用两字节,第三学节填0。
5.2.1.4加密业务密钥功能
5.2.1.4.1基于3GPP的加密业务密钥功能当向用户发送业务密钥时:移动多媒体广播业务平台应能够使用用户密钥加密有效的业务密钥,然后将如密后的业务密钥发送给用户。使用用户密钥对业务密钥进行加密的加密方式及数据封装格式参见MIKEY协议[ETFRFC3830MIKEY:MultimediaInternetKEYing:MIKEY:多媒体网络密钥交换]及3GPPTS33.246中使用MUK加密MSK的加密方式。
MIKEY消息中包含加密的业务密钥、业务密钥有效期等信息。有关 MIKEY 消息可参见[ETF RFC 3830 MIKEY: Multimedia Internet KEYing,MIKEY:多媒体网络密钥交换1。
5.2.1.4.2基于3GPP2的加密业务密钥功能YD/T1786-2008
当向用户发送业务密钥时,移动多媒体广播业务平台应能够使用用户密钥加密有效的业务密钢,然后将业务密钥发送给用户。
使用用户密钥对业务密钥进行加密的加密方式参见3GPP2S.S0083-A中使用TK加密BAK的加密方式。5.2.1.5业务密钥分发功能
5.2.1.5.1业务密钥分发方式
5.2.1.5.1.1基于 3GPP的业务密钥分发移动多媒体广播业务平台应能够根据用户的订购关系,向已订购业务的用户发送业务密销。业务密钥分发方式有以下两种:(1)网络主动推送:
(2)终端请求获取。
移动多媒体广播业务平台应具备向用户主动推送业务密钥的功能当移动多媒体广播业务平台接收到用户的业务密钥获取请求后,应能够根据用户订购关系和业务密钥的当前状态返回响应。对于已订购业务的用户,并且有效的业务密钥经生成,则将有效的业务密钥发送给用户。
5.2.1.5.1.2基于 3GPP2的业务密钥分发移动多媒体广播业务平台应能够根据用产的订购关系,向已订购业务的用户发送业务密钙。业务密钥分发方式为终端请求获取。当移动多媒体广播业务平台接收到用户的业务密钥获取请求后,应能够根据用户订购关系和业务密钥的当前状态返回响应。对于已订购业务的用户,并且有效的业务密铝已经生成,则将有效的业务密销加密后发送给用户,
5.2.1.5.2业务密钥的有效性控制5.2.1.5.2.1针对基手3GPPMBMS的业务密钥有效性控制移动多媒体广播业务平台不仅能够发送有效的业务密钥,也能够发送无效的业务密钥,便卡中已保存的业务密钥失效。
当用户退订业务时,如果用户卡中已保存了该业务的有效业务密钥:则移动多媒体广播业务平台应向用户发送一个无效的业务密钥,以便替换卡中该业务对应的业务密钥。含有光效业务密钥的MIKEY消息的构成:一密钥值为空
一密钥有效期的起始时刻和终止时刻相同,都等于使失效的业务密钥的有效期起始时刻。卡依据此原则用无效业务密钥替换有效业务密钥,使已保存的业务密钥失效。5.2.1.5.2.2基于3GPP2BCMCS的业务密钥有效性控制BAK根据网络的设置和用户订购进行有效的更新。当用户退订业务时,如果用户卡中已保存了该业务的有效业务密钥,移动多媒体广播业务平台应问用户发送一个无效的业务密钥,以便替接卡中该业务对应的业务密销。该无效业务密销消息中的BCMCS_FIow_ID以及BAKID与卡中保存的业务密钥标识相问。无效业务业务密销消息中BAK_Expire的VF与VT值设为相同。卡根据此原则使已保存的业务密钥失效。
YD/T 1786-200B
5.2.2节目流密钥的加密模块
5.2.2.1基于 3GPP体系的节目流密钥安全传输5.2.2.1.1加密功能
移动多媒体广播业务平台应能够接收节目流加密模快所提供的节目流密钥,并使用当前有效的业务密钥对节目流密进行加密,使用业务密钥对节月流密钥进行加密的加密方式参见MIKEY协议[IETFRFC3830MIKEY:MultimediaEntemetKEYing,MIKEY:多媒体网络密钥交换]】,5.2.2.1.2节自流密钥标识
移动多媒休广播业务平台根据节目流密钥的生效时刻生成该节日流密钥标识。节目流密钥的生效时刻由多媒体内容相关平奇通知移动多媒体广播业务平台。移动多媒体广播业务平台根据生效时刻生成MTKD,然后封装MIKEY包节目流密钥标识及业务密钥有效期的生成规则:在每月第1天的零时零点零分,时刻值取值为1。一以指定时间段划分时刻区间。第个时刻值为1。每增加个时间段,时刻值加1。一节目流密饲标识一节目流密销开始生效时刻所在区间的区问工限值。一业务密钥有效期生成规则:
(1)有效期的起始值(ValidFrom)生成规则:节日开始时刻所在区间的下限减1。(2)有效期的终正值(ValidTo)生成规则:节日终:时刻所在区间的上限。5.2.2.1.3节目流密钥消息格式
移动多媒体!摇业务平台应能够将已加密的节目流密钢、节日流密钥标识及其他加密参数按指定数据格式封装成节目流密钥消息,并返回给多媒体内容相关平台:节目流密钥消息格式参见MIKEY协议[IETFRFC3830MIKEY:MultimediaInterneiKEYing,MIKEY多媒休网络钥交换1。5.2.2.2基于3GPP2体的节目流密钥加密功能5.2.2.2.1加密方式
移动多媒体广播业务平台应由当前有效的业务密钊BAK和J列号SKRAND产生移动网络节目流密钥SK,使用业务密钥产生移动网络节目流密钥的方式参见S.S0083-A[3GPP2S.SO083-ABroadcast-Multicast Service SecurityFramewurk,广播多播业务安全框架|和X.S0022-A[3GPP2X.S0022-ABroadcastandMulticastServiceincdma2000WirelessIPnetwark,CDMA2(X0无线P网络中的广播多播业务1。移动多媒体播业务平台应能够接收由节目流加密模块所提供的广播节日流加密密钥(MBK),并使用SK对MBK进行加密,加密方法采用X.S0022-A[3GPP2X.S0022-ABroadcastandMulticastServiceincdma2000WirelessIPnetwork,CDMA2000无线IP网络中的广播多播业务)所定义的SRTP。5.2.2.2.2节目流密钥标识
移动多媒体广播业务乎台根据广播网络节目流密钥(MBK)的牛效时刻生成该广播节目流密钥标识(MBKD)。
广播网络节目流密钥的生效时刻由多媒体内穿相关平台通知移动多媒体广播业务平台。移动多媒体广播业务平台根据生效时刻生或MBKID,对MBK进行加密,然后封装SRTP包。MBKD及业务密钥有效期的生成规则一在每月第1天的零时零点零分,时刻值取值为18
YD/T1786-2008
以指定吋间段划分时刻区间。第一个时刻值为1。每增加一个时间段,时刻值加1。MHKD一广播网络节目流密钥开始上效时刻所在区间的区间上限值。一业务密钥有效期生成规则:
(1)有效期的起始值(ValidFrom)生成规则:节日开始时刻所在区间的下限减1。(2)有效期的终止值(ValidTo)生成规则:节目终止上时刻所在区问的上限。注:MBKID在SRTP中描述,字段长度为2字节:MBKID的值塔小为1,最大不能超过65535。当MBKED重新为1时,业务密钥必须更换。
5.2.2.2.3节目流密钥消息格式
移动多媒体广播业务平台应能够将业务密钥标识(BCMCS_FLOW_D和BAK_ID)、节目流密钥随机数(SK_RAND)节日流密钢标识(MBKID)及被加密的MBK按指定数据格式封装成SRTP包。具体格式 见 X.S(K022-A[3GPP2 X.S0022-A Broadcast and Multicast Service in cdma2000 Wireless IP network,CDMA200D无线IP网络中的广播多播业务]。该节目流密钥消息将被回传给广播网络。5.2.3节目流安全传输功能
5.2.3.1基于IP承载的广播节目流基于IP承载的广播节月流可使用协议SRTP和IPSEC,关于SRTP和IPSEC的节日流加密符合[OMAOMA-TS-BCAST_SvcCntPratection-V1_0-20080226-C移动广播业务业务与内容保护1.0]、[3GPPTS33.246,SecurityofMultimediaBroadcast/MulcicastService,多媒体广播/多播业务安全]、[3GPP2S.So083-ABroadcast-MulticastServiceSecurityFramework,广播多播业务安全框架中的加密协议。
5.2.3.2基于MPEG-2承载的广播节自流基于MPEG-2传输流(TransportStream)承载的广播节目流可以采用以下加密方式:未加密的MPEG-2数据负载包含了p个连续的字节:pb(1),pb(2),pb(3),\pb(p),p最大为184。每16个字节分为一组,形成连续的块:PB(1),PB(2),PB(3),PB(n),五最大为11。如果p不是16的整数倍,则最后一个块称为PR,包含个字节,最大为15。即:p=16×n+r。类似的,加密后的MPEG-2数据负载包含了p个连续的字节:sb(1),sb(2),sb(3),**sb(p)。每16个字节分为一组,形成连续的块:SB(1),SB(2),SB(3),\SB(n),最后可能有一个,个字节的 SR。
加密方式如图4所示。
Packct
Tleader
Block Cipher
(RCBC)
Packer
Fleaden
Adaplation
Adapation
pl(1),pb(2 pb(3),
sb(], sb(2), sb(3) **
图4MPEG-2承载的广据节目流的加密方式PB(n)
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1786-2008
移动多媒体广播业务
业务保护技术要求
MobileMultimediaBroadcast ServiceTechnical Requirements for Service Protection2008-03-28发布
2008-06-01实施
中华人民共和国工业和信息化部发布前
1范围·
2规范性引用标雄….
3定义和缩略语·
4业务保护和内容保护的概念
5业务保护体系结构-
6基于(U)SIM的业务保护流程-7基于(R)UIM的业务保护流程
8移动通信网络和广播网络结合的业务保护:目
附录A(资料性附录)各体系密钥层次的映射关系附录B(规范性附录)节目流密钥消息内容参考文献
YD/T1786-2008
YD/T1786-2008
本标准是移动多媒体广播业务系列规范之一,该系列标准的名称及结构如下:(1)YD/T1785-2008
YD/T:1786-2008
YD/T1787-2008
YD/T1788-2008
(6)YD/T 1789-2008
YD/T 1790-2008
YD/T1791-2008
移动多媒体广播业务:总体技术要求移动多媒体广播业务业务保护技术要求移动多媒体广播业务业务指南技术要求移动多媒体广播业务业务平台设备技术要求移动多媒体广播业务,业务平台设备测试方法移动多媒体广播业务终端/卡设备技术要求移动多媒体广播业务终端/卡设备测试方法移动实媒体广播业务应用层接口技术要求移动多媒体广播业务交互应用技术要求随着技术的发展,还将制定后续的相关标准。本标准的附录A为资料性附录,附录B为规范性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国移动通信集团公司、中国联合通信有限公司、上海贝尔阿尔卡特股份有限公司、华为技术有限公司、中兴通讯股份有限公司、诺基亚通信有限公司本标准主要起草人:吴伟、崔媛媛、张薏媛、严斌峰、刘申健、胡志远、朱庆、朱红儒、张越雄、文海龙、王劲松、汪庆华
1范围
移动多媒体广播业务
业务保护技术要求
YD/T 1786-200B
本标准规定了数宁蜂贫移动通信网移动多媒体广播业务中业务保护和内容保护的概念、业务保护体系结构、业务保护流程等。
本标准适用于数子蜂窝移动通信网移动多媒体播业务的业务保护技术。移动多媒体广播业务中内容保护不属于本标推的范用。
2规范性引用标准
下列文件中的条款通过本标准的引用而成为本标准的条款,凡足注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用丁小标准。OMAOMA-TS-BCAST_SvcCntProtcction-V1_0-20080226-C,移动广播业务业务与内容保护1.03GPPTS33.246,SccurityofMultimediaBroadcast/MulticaatService,多媒体广播/多播业务安全3GPP TS 33.220, Generic Authentication Architerlure, Generie Bootstrapping Architecture,通用认证架构,通用自举架构
3GPP2S.S0083-ABroadcast-MulticastServiceSecurityFramework,广播多播业务安全框架3GPP2 X.S0022-A Broadcast and Multicast Service in cdma2000 Wirelcss IP network, CDMA2000无线P网络中的广播多播业务
ETSITS103197v1:4.IDVB;Head-end implementationofDVBSimulCrypt,DVB,DVB同密的头端实现
ETFRFC3830MIKEY:MultimediaIntemctKEYing,MIKEY:多媒体网络密钥交换ETFRFC371ITheSecureReal-timcTransportProtocol(SRTP),安全实时传输协议3定义和缩略语
下列定义、缩略语、符号和约定适用于本标雅。3.1定义
注册密钥
用T用户认证过程。在3GPP体系中为MRK,在3GPP2体系中为RK。3.1.2
用户密钥
用于加密业务密。在3GPP体系中为MUK,在3GPP2体系中为TK。3.1.3
业务密钥
YD/T 1786-2008
用加密节日流密钥。在3GPP体系中为MSK,在3GPP2体系中为BAK。3.1.4
节目流密钥
用丁加密节日流。在3GPP体系中对应为MTK,在3GPP2体系中对应为SK和MBK。注:密钥SK:由移动网络产生,用于对MBK和BCMCS业务流进行加密:密销MBK:由内容提供者产生,使用SK加密后在广播网络上发送,用于对被广播的多媒体内容进行加渐。3.2缩略语
GBA_ME
3.3符号
Architecture Document
Broadcast Access Key
Broadcast Multicast Service
Bootstrapping Server FunctionEntitilement Control MessageGeneric Bootstrapping ArchitectureMIE-based GBA
GBA with UICC-based enhancementsMobile Broadcast Key
MultimediaBraadcast/MulticastServiceMultimedia Internet Keying
MBMS Request Key
MBMS Service Key
MBMS Traffic Key
MBMS User Key
Network Application Function.Open Mobile Alliance
Requirements Document
Registration Key
Short-terin Key
Temporary Key
架构文档
广播访问密钥
广播多播业务
Bootstrapping服务功能
授权控制消息
通用Bootstrarping架构
基于 ME 的 GBA
基于UICC增强型的GBA
广播节民流密钥
多媒体广播多播业务
多媒体网络密钥交换
MBMS请求密钢
MBMS业务密钥
节目流密钥
MBMS用广密钥
网络应用功能
开放式移动联盟
需求文档
BCMCS中的注册密钥免费标准bzxz.net
BCMCS中的业务密钥
BCMCS的临时密钥
3.4约定
本标准中,所有数据的变量都以这种方式表示:最重要的子字符串在左边,最不重要的子字符串在右边。一个子字符申的长度可以是1位/比特,或是1个字节,也可以是其他任意长度的位串。当一个变量被拆分成多个子字符串时,最左边(最重要的)的子学符串为0,下一个重要的了字符串为1,就这释::直到最不重要的子字符串。
4业务保护和内容保护的概念
YD/T 1786-2008
业务和内容保护功能提供了一种在移动广播业务中,跨广播传输系统保护内容和业务的方法。下图1所示说明了内容保护和业务保护的不同之处。广播发送
业务保护
内容保护
图业务保护和内容保护的区别
业务保护功能是保扩护一项业务能否能被访问。例如,在特定的时问传送预定的图像和声音数据。当用户被允许访问某项业务时,业务保护功能不对该业务传送的内容负责;它也不提供任何方法来保护有访问控制的管道外的内容。
内容保护功能保证每个独立的内容受到保护。受保护的内穿可以具有发送后(post-delivery)使用权限的保护。
业务保护独立丁内容保护,是为订阅管理而设置的。在没有内容保护的情况下,一般来说,内容没有使用权限限制或者只是由法律,商业模式和需求所保:但是这种保护已经超出本定义的范畴。内容保护功能处理发送后的使用权限,就是说是在内容发送后,使用时的许可和約束。本标准主要规定移动多媒体广播业务的业务保护技术要求。5业务保护体系结构
5.1分层密钥管理体系结构
5.1.1分层密钥管理体系
移动多媒体广播业务的业务保护基下分层密钥体系,如图2所示。端谢
第一层
第二层
业务密销分发
第兰层
鉴权网缩身份
用户钥
解密业务
潮钥游息
业务击钥
解密节日流
节目流密朗分发
第四层
节目流分发
卓未加
席钥消息
节目流密销
通过双问信道签权
通过双向信道发送业务密误消息通过!播信道发送节目流密误消息鉴权刚络身份
网略训
用户密朔
生成业务
密钥荷息
业务密朔
生成节目流
密钼消息
通过!播信道发送加扰后的节间流图2分层密钥管理体系
节自流密朗
YD/T1786-2Q08
第一层:认证管理。用户与网络之间进行相互认证,认证通过后获得共享密钥。由此共享密钥在终端和网络生成注册密钥和用户密。终端通过注册密钥向多媒体广播业务控制中心进行认证。认证通过后,用户密钥用」随后进行的业务密钙加密传输。第二层:业务密钥管理。网络据用门订购关系将业务密钥通过加密方式传送给用户:网络刘业务密钥逊行加密吋将使用用密钥,终端对业务密钥消息解密时将使用本地生成的用户密钥。对于3GPP体系,业务密钥消息采用MIKEY格。对于3GPP2体系,业务钥消息由3GPP2X.SUU22-A定义。第二层:节目流密钥管理。
在3GPP体系下,使用节目流密钥加密告目流。将使用业务密钥加密后的节目流密钥在广播网络上传输。终端对节目流密钥解密时将使用业务密钥。节H流密钥消息采用MIKEY格式:一在3GPP2体系下,节月流密钥分为两个子层:移动网络节目流密钥SK和广播网络节目流密铜MBK。·广播网络节目流密钥:广播网络节目流密钥(MBK)用丁加密节日流。MBK经移动网络节目流密钥(SK)加密后在广播网络上广播:终端将使用SK和加密后的MBK通过f(SK,MBK)进行解密运算,成广播网络节流密钥MK
,移动网络节H流密钥:移动网络节目流密钥SK)用丁对MBK的密。为了实现终端正确解密MBK,需要首先生成SK。因此,网络需要将移动网络节目流密钥的相关信息(包括随机数SK_RAND、BAKⅢ、以及BCMCS_F,OW_ID)在广播网络上广播。终端将使用对应的BAK和移动网络节目流密钙随机数SK_RAND生成移动网络节月流密钥SK。第层:节一流管理。使用节流密钥对节益流加密后通过广播网络进行分发,终端便用解密划的广播节目流密钥进行解密。
5.2业务保护体系结构
业务保护体系结构如图3所示,
业务密钥管理模块
节目流密钥的
加密模块
业务密钥传编
移动多媒体广播业务平台
书月流传输
节目流赛钥传输
节目流加密系统
图3业务保护体系结构
未加密广
患媒体内容
从业务保护上,整个体系结构应具备业务密钥管理、节日流密钥加密、节目流安全传输及BSF功能。5.2.1业务密钥管理模块
5.2.1.1业务密钥的生成与更新
移动多媒体广播业务平台应支持业务密钥管理功能:4
(a)在指定时间生成业务密钥,并存储业务密钥YD/T 1786-2008
移动多媒体播业务平台应在业务开始前生成业务密钥,分配业务密钥标识,并进行存储。每个节目流在一段时间内对应一个业务密钥。基于3GPP体系的业务平台将保存频道的业务代码与业务密钥标识的对应关系。而基于3GPP2体系的业务平台将保存BCMCS流标识(BCMCS_FIoW_ID)与业务密钢标识的对应关系。
业务密钥的生成见[3GPPTS33.246,SecurityofMultimediaBroadcasVMulticastService,多妹体广播/多播业务安全]、[3GPPTS33.220,Generic Authentication Architecture,Generic BoolstrappingArchitecture通用认证架构,通用自举架构],13GPP2S.S0083-ABroadcast-MulticastServiceSecurityFramework,播多播业务安全框架]。
(b)定期更新业务密钥
业务密钥应在指定的时间定期地进行更新。5.2.1.2业务密钥标识的编码方式5.2.1.2.1基于3GPP体系的业务密钥标识的编码方式业务密钥标识由两部分组成,包括KeyDomainID(3字节)和MSKID(4字节)。其中:
KeyDomainID:其值为移动多媒体广播业务平台标识:一MSK D: Group Part(2字节)和 Nurnber Part(2字节)两部分组成:(1)GroupPart:标识频道,移动多媒体广播业务平台为该平台提供接入服务的每个频道生成一个Group Part 标识;
(2)NumberPart:标识移动多媒体广播业务平台为某一个频道生成的各个业务密钥。业务密钥更新一次,则NumberPart值加l。
5.2.1.2.2基于3GPP2体系的业务密钥标识的编码方式业务密钥标识为BAK_ID,它与BCMCS_FLOW_ID组合起来推一标识业务密钥BAK。其中;
BCMCS_FLOW_ID:BCMCS_FLOW_ID 采用 32bit编码。BAK_ID:和BCMCS_FLOW_ID一起惟一标识BAK。BAK_ID用4bit表示。初始值为O。当BAK更新时,BAK_ID白动加1。取值范围为0~15间循环。5.2.1.3业务密钥有效期
业务密钥有效期表示该业务密钥所适用的节目流密钥的序列号范围,在包含业务密钥的消息中说明。见[3GPPTS33.246,SecurityofMultimediaBroadcast/MulticastService,多媒体广播/多播业务安全]、[3GPPTs33.220,GenericAuthenticationArchitecture,Generic BootstrappingArchitecture,通用认证架构,通用自萃架构]、[3GPP2X.SU022-ABroadcastandMulticastServiceincdma2000WirelessIPnetwork,CDMA200无线IP网络的广播多播业务]、[IETFRFC3711TheSecureReal-timeTransportProtocol(SRTP),安全实时传输协议]。
针对不同计费方式:为用户发送的业务密钥具有不同的业务密钥有效期设置。具体如下!
一对于按频道包月计费方式:每个业务密钥的有效期应为当月所使用的节日流密钥D范围。5
YD/T 1786-2008
一对于按节月费方式:业务密钥的有效期应为该节日所使用的节目流密钥D范围,业务密钥有效期的起始时刻与终止时刻的数值,也即节月流密钥的ID值,根据节日流密钥生效时的绝对时间按照一定的转换规则得到,如UTC方式。5.2.1.3.1基于3GPP的业务密钥有效期业务密钥有效期在MIKEY消息的Keyvaliditydata中描述,用两个字段标识,分别为:有效期的起始值(ValidFrom)和有效期的终止值(ValidTo):有效期的起始值(ValidFrom):表示业务密钢从下-时刻开始有效;该业务密钥只能解密大丁-此值的节日流密钥。
有效期的终止值(ValidTo):表示业务密钥从下一刻开始失效;该业务密钥只能解密小于或等于此值的节日流密钮。
业务密钥必须同时满足以上两个条件,才可以解密节目流密钥。例,若ValidFrom值为0,ValidTo值为3,则业务密钥可用丁解密节目流摔ID值为1、2、3的节国流密钥。
5.2.1.3.2基于3GPP2的业务密钥过期时间业务密钥过期间BAKEXPIRE指示该业务密钥在什么期间内有效,由业务平台产尘并且与BAK--起发送,这样终端就能知道什么时候将中请新的BAKBAK_Expire:6字节,前3字节为BAK有效时间的开始时间VF,后3字节为BAK有效时间的截止时间VT。BAK有效期的开始时间和结束时间对应到节目流密钥的序列号范围。有效期的起始值(ValidFrom):表示业务密钥从下-时刻开始有效:该业务密钥贝能解密大丁此值的节目蔬密谓:
有效期的终止值(ValidTo):表示业务密钥从下一刻开始失效:该业务密销只能解密小于或等于此值的节目流密钢。
业务密钥必须同时满足以上两个条件,才可以解密节日流密钥。例:若 Valid Frorn 值为 0,Valid To 值为 3,业务密钥可用于解密节日流密钥ID值为 1、2、3的节具流密钥。
由丁采用同密结构,为保证节流加密机制相同,BAK_Expire 中的 VF 与 VT 各采用两字节,第三学节填0。
5.2.1.4加密业务密钥功能
5.2.1.4.1基于3GPP的加密业务密钥功能当向用户发送业务密钥时:移动多媒体广播业务平台应能够使用用户密钥加密有效的业务密钥,然后将如密后的业务密钥发送给用户。使用用户密钥对业务密钥进行加密的加密方式及数据封装格式参见MIKEY协议[ETFRFC3830MIKEY:MultimediaInternetKEYing:MIKEY:多媒体网络密钥交换]及3GPPTS33.246中使用MUK加密MSK的加密方式。
MIKEY消息中包含加密的业务密钥、业务密钥有效期等信息。有关 MIKEY 消息可参见[ETF RFC 3830 MIKEY: Multimedia Internet KEYing,MIKEY:多媒体网络密钥交换1。
5.2.1.4.2基于3GPP2的加密业务密钥功能YD/T1786-2008
当向用户发送业务密钥时,移动多媒体广播业务平台应能够使用用户密钥加密有效的业务密钢,然后将业务密钥发送给用户。
使用用户密钥对业务密钥进行加密的加密方式参见3GPP2S.S0083-A中使用TK加密BAK的加密方式。5.2.1.5业务密钥分发功能
5.2.1.5.1业务密钥分发方式
5.2.1.5.1.1基于 3GPP的业务密钥分发移动多媒体广播业务平台应能够根据用户的订购关系,向已订购业务的用户发送业务密销。业务密钥分发方式有以下两种:(1)网络主动推送:
(2)终端请求获取。
移动多媒体广播业务平台应具备向用户主动推送业务密钥的功能当移动多媒体广播业务平台接收到用户的业务密钥获取请求后,应能够根据用户订购关系和业务密钥的当前状态返回响应。对于已订购业务的用户,并且有效的业务密钥经生成,则将有效的业务密钥发送给用户。
5.2.1.5.1.2基于 3GPP2的业务密钥分发移动多媒体广播业务平台应能够根据用产的订购关系,向已订购业务的用户发送业务密钙。业务密钥分发方式为终端请求获取。当移动多媒体广播业务平台接收到用户的业务密钥获取请求后,应能够根据用户订购关系和业务密钥的当前状态返回响应。对于已订购业务的用户,并且有效的业务密铝已经生成,则将有效的业务密销加密后发送给用户,
5.2.1.5.2业务密钥的有效性控制5.2.1.5.2.1针对基手3GPPMBMS的业务密钥有效性控制移动多媒体广播业务平台不仅能够发送有效的业务密钥,也能够发送无效的业务密钥,便卡中已保存的业务密钥失效。
当用户退订业务时,如果用户卡中已保存了该业务的有效业务密钥:则移动多媒体广播业务平台应向用户发送一个无效的业务密钥,以便替换卡中该业务对应的业务密钥。含有光效业务密钥的MIKEY消息的构成:一密钥值为空
一密钥有效期的起始时刻和终止时刻相同,都等于使失效的业务密钥的有效期起始时刻。卡依据此原则用无效业务密钥替换有效业务密钥,使已保存的业务密钥失效。5.2.1.5.2.2基于3GPP2BCMCS的业务密钥有效性控制BAK根据网络的设置和用户订购进行有效的更新。当用户退订业务时,如果用户卡中已保存了该业务的有效业务密钥,移动多媒体广播业务平台应问用户发送一个无效的业务密钥,以便替接卡中该业务对应的业务密销。该无效业务密销消息中的BCMCS_FIow_ID以及BAKID与卡中保存的业务密钥标识相问。无效业务业务密销消息中BAK_Expire的VF与VT值设为相同。卡根据此原则使已保存的业务密钥失效。
YD/T 1786-200B
5.2.2节目流密钥的加密模块
5.2.2.1基于 3GPP体系的节目流密钥安全传输5.2.2.1.1加密功能
移动多媒体广播业务平台应能够接收节目流加密模快所提供的节目流密钥,并使用当前有效的业务密钥对节目流密进行加密,使用业务密钥对节月流密钥进行加密的加密方式参见MIKEY协议[IETFRFC3830MIKEY:MultimediaEntemetKEYing,MIKEY:多媒体网络密钥交换]】,5.2.2.1.2节自流密钥标识
移动多媒休广播业务平台根据节目流密钥的生效时刻生成该节日流密钥标识。节目流密钥的生效时刻由多媒体内容相关平奇通知移动多媒体广播业务平台。移动多媒体广播业务平台根据生效时刻生成MTKD,然后封装MIKEY包节目流密钥标识及业务密钥有效期的生成规则:在每月第1天的零时零点零分,时刻值取值为1。一以指定时间段划分时刻区间。第个时刻值为1。每增加个时间段,时刻值加1。一节目流密饲标识一节目流密销开始生效时刻所在区间的区问工限值。一业务密钥有效期生成规则:
(1)有效期的起始值(ValidFrom)生成规则:节日开始时刻所在区间的下限减1。(2)有效期的终正值(ValidTo)生成规则:节日终:时刻所在区间的上限。5.2.2.1.3节目流密钥消息格式
移动多媒体!摇业务平台应能够将已加密的节目流密钢、节日流密钥标识及其他加密参数按指定数据格式封装成节目流密钥消息,并返回给多媒体内容相关平台:节目流密钥消息格式参见MIKEY协议[IETFRFC3830MIKEY:MultimediaInterneiKEYing,MIKEY多媒休网络钥交换1。5.2.2.2基于3GPP2体的节目流密钥加密功能5.2.2.2.1加密方式
移动多媒体广播业务平台应由当前有效的业务密钊BAK和J列号SKRAND产生移动网络节目流密钥SK,使用业务密钥产生移动网络节目流密钥的方式参见S.S0083-A[3GPP2S.SO083-ABroadcast-Multicast Service SecurityFramewurk,广播多播业务安全框架|和X.S0022-A[3GPP2X.S0022-ABroadcastandMulticastServiceincdma2000WirelessIPnetwark,CDMA2(X0无线P网络中的广播多播业务1。移动多媒体播业务平台应能够接收由节目流加密模块所提供的广播节日流加密密钥(MBK),并使用SK对MBK进行加密,加密方法采用X.S0022-A[3GPP2X.S0022-ABroadcastandMulticastServiceincdma2000WirelessIPnetwork,CDMA2000无线IP网络中的广播多播业务)所定义的SRTP。5.2.2.2.2节目流密钥标识
移动多媒体广播业务乎台根据广播网络节目流密钥(MBK)的牛效时刻生成该广播节目流密钥标识(MBKD)。
广播网络节目流密钥的生效时刻由多媒体内穿相关平台通知移动多媒体广播业务平台。移动多媒体广播业务平台根据生效时刻生或MBKID,对MBK进行加密,然后封装SRTP包。MBKD及业务密钥有效期的生成规则一在每月第1天的零时零点零分,时刻值取值为18
YD/T1786-2008
以指定吋间段划分时刻区间。第一个时刻值为1。每增加一个时间段,时刻值加1。MHKD一广播网络节目流密钥开始上效时刻所在区间的区间上限值。一业务密钥有效期生成规则:
(1)有效期的起始值(ValidFrom)生成规则:节日开始时刻所在区间的下限减1。(2)有效期的终止值(ValidTo)生成规则:节目终止上时刻所在区问的上限。注:MBKID在SRTP中描述,字段长度为2字节:MBKID的值塔小为1,最大不能超过65535。当MBKED重新为1时,业务密钥必须更换。
5.2.2.2.3节目流密钥消息格式
移动多媒体广播业务平台应能够将业务密钥标识(BCMCS_FLOW_D和BAK_ID)、节目流密钥随机数(SK_RAND)节日流密钢标识(MBKID)及被加密的MBK按指定数据格式封装成SRTP包。具体格式 见 X.S(K022-A[3GPP2 X.S0022-A Broadcast and Multicast Service in cdma2000 Wireless IP network,CDMA200D无线IP网络中的广播多播业务]。该节目流密钥消息将被回传给广播网络。5.2.3节目流安全传输功能
5.2.3.1基于IP承载的广播节目流基于IP承载的广播节月流可使用协议SRTP和IPSEC,关于SRTP和IPSEC的节日流加密符合[OMAOMA-TS-BCAST_SvcCntPratection-V1_0-20080226-C移动广播业务业务与内容保护1.0]、[3GPPTS33.246,SecurityofMultimediaBroadcast/MulcicastService,多媒体广播/多播业务安全]、[3GPP2S.So083-ABroadcast-MulticastServiceSecurityFramework,广播多播业务安全框架中的加密协议。
5.2.3.2基于MPEG-2承载的广播节自流基于MPEG-2传输流(TransportStream)承载的广播节目流可以采用以下加密方式:未加密的MPEG-2数据负载包含了p个连续的字节:pb(1),pb(2),pb(3),\pb(p),p最大为184。每16个字节分为一组,形成连续的块:PB(1),PB(2),PB(3),PB(n),五最大为11。如果p不是16的整数倍,则最后一个块称为PR,包含个字节,最大为15。即:p=16×n+r。类似的,加密后的MPEG-2数据负载包含了p个连续的字节:sb(1),sb(2),sb(3),**sb(p)。每16个字节分为一组,形成连续的块:SB(1),SB(2),SB(3),\SB(n),最后可能有一个,个字节的 SR。
加密方式如图4所示。
Packct
Tleader
Block Cipher
(RCBC)
Packer
Fleaden
Adaplation
Adapation
pl(1),pb(2 pb(3),
sb(], sb(2), sb(3) **
图4MPEG-2承载的广据节目流的加密方式PB(n)
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。