WO2009106007A1

WO2009106007A1 - 一种实现iptv组播业务媒体安全的方法、***及设备

Info

Publication number: WO2009106007A1
Application number: PCT/CN2009/070557
Authority: WO
Inventors: 张占军; 何承东
Original assignee: 华为技术有限公司
Priority date: 2008-02-27
Filing date: 2009-02-26
Publication date: 2009-09-03
Also published as: CN101521570A; CN101521570B

Description

一种实现 IPTV组播业务媒体安全的方法、 ***及设备本申请要求于 2008 年 2 月 27 日提交中国专利局，申请号为 200810082852.4, 发明名称为 "一种实现 IPTV组播业务媒体安全的方法、 ***及设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信技术领域，尤其涉及一种实现 IPTV组播业务媒体安全的方法、 ***及设备。背景技术

3GPP ( The Third Generation Partnership Project, 第三代移动通信 ***）标准定义的 IMS ( IP Multimedia Core Network Subsystem, IP 多媒体业务子*** )采用 SIP ( Session Initial Protocol ,会话发起协议 ) 协议作为呼叫控制信令，实现业务管理、会话控制以及承载接入的三者分离。其中， IMS Core( IMS核心）包括以下逻辑功能实体： S-CSCF ( Service-Call Session Control Function , 服务 CSCF )、 P-CSCF ( Proxy-Call Session Control Function, 代理 CSCF )和 I-CSCF (查询 CSCF )。

基于 IMS网络的 IPTV ( IP Television，因特网协议电视）业务是在 IP ( Internet Protocol , 因特网协议 ) 网络上传输多媒体的***，包括视频、音频等媒体内容。该业务实质上是在 IMS 网络架构下提供 IPTV业务，并充分利用 IMS网络中已有的会话控制、计费等机制为 UE ( User Equipment, 用户设备）提供电视类的多媒体业务。 IPTV 典型业务实例是 LTV ( Linear Television, 线性电视）业务， LTV业务将媒体采用 IP组播方式发送给 UE,对于观看同一节目的全部用户，在每一时刻所收到的节目内容都是完全相同的。当然，对于需要将同一业务内容同时发送给多个用户的情况都可以采用组播方式来开展，都可以看作是组播业务。

CA ( Conditional Access, 条件接入***）是传统广播电视中使用的媒体安全的保护方法。通过在内容源头对广播节目进行节目加扰，用户设备播放媒体内容时对加扰的节目内容进行解扰，从而保证内容的安全传送。用户设备解扰所需的安全信息通过独立于节目内容的消息传送给用户设备。节目内容、安全信息以及***中的其他信息复用成一个 TS ( Transport Stream, 传输流）发给用户设备。 IPTV系统应用的 CA***中，密钥是分层保护的：节目内容经过 CW( Control Word, 控制字 )加扰， CW由 SK ( Service Key, 业务密钥 )加密处理后在 ECM ( Entitlement Control Message, 授权控制消息 )消息中传送， SK在 EMM ( Entitlement Management Message, 授权管理消息）中传送，且 SK在传送前要经过 PDK ( Personal Distribution Key, 个人分发密钥）的加密处理， PDK存放在用户的 SC ( Smart Card, 智能卡）中。

在实现本发明的过程中，发明人发现现有技术中至少存在以下缺点：现有 CA***适合没有返回通道的数字电视广播网络，发送给每个用户的 EMM消息都是采用对应的用户密钥进行加密，需要对用户进行分组以及轮播下发 EMM, 而且只能应用于 TS的封装格式。在基于 IMS的 IPTV***中，存在返回通道，而且存在直接使用 RTP 封装的媒体格式，所以，现有技术不能直接应用于基于 IMS的 IPTV ***中。发明内容

本发明实施例提供了一种实现 IPTV组播业务媒体安全的方法、 ***及设备，以基于 IMS的 IPTV***中的组播媒体保护的 SEK和 TEK的下发。

本发明实施例提供了一种实现 IPTV组播业务媒体安全的方法，包括：用户设备 UE从密钥管理功能 KMF获得业务加密密钥 SEK; 所述 UE接收组播发送的被所述 SEK加密的媒体加密密钥 TEK 密钥流；

所述 UE使用所述 SEK解密出 TEK, 并使用所述 TEK解密所述由 TEK加密的组播媒体。

本发明实施例提供了一种实现 IPTV组播业务媒体安全的***，包括：

密钥管理功能实体，用于向用户设备发送 SEK, 并将 SEK加密的 TEK部署到媒体服务功能实体；

媒体服务功能实体，用于向用户设备发送加密的组播媒体，及加密组播媒体对应的被 SEK加密的 TEK;

用户设备，用于从所述密钥管理功能实体获得 SEK,从所述媒体服务功能实体接收组播发送的被所述 SEK加密保护的 TEK密钥流，并使用所述 SEK解密出 TEK, 使用所述 TEK解密所述由 TEK加密的组播媒体。

本发明实施例提供了一种实现 IPTV组播业务媒体安全的密钥管理功能实体，包括：

SEK发送模块，用于向用户设备发送 SEK;

TEK部署模块，用于向 MCF或者 CEF传递以下信息的一种： SEK、 TEK或者 SEK加密的 TEK。

本发明实施例提供了一种实现 IPTV组播业务媒体安全的用户设备，包括：

SEK获取模块，用于从密钥管理功能实体获得 SEK;

TEK获取模块，用于从所述媒体服务功能实体接收组播发送的被所述 SEK加密保护的 TEK密钥流；

解密模块，用于使用所述 SEK解密出 TEK, 并使用所述 TEK解密所述由 TEK加密的组播媒体。

本发明实施例中，通过分发密钥 SEK和 TEK给 UE和媒体服务功能实体，实现基于 IMS的 IPTV架构的 LTV组播媒体传输安全。附图说明

图 la是本发明实施例中应用场景中 IMS based IPTV的业务功能架构图；

图 lb是本发明实施例中密钥体系示意图；

图 2是本发明实施例中功能实体结构图；

图 3是本发明实施例中通过 SSF的 EPG下发各个频道的媒体保护类型信息和 /或 SEK密钥标识信息流程图；型信息和 /或 SEK密钥标识信息流程图；

图 5是本发明实施例中基于 K1接口从 KMF获取 SEK架构图；图 6是本发明实施例中基于 K1接口从 KMF获取 SEK流程图；图 7是本发明实施例中基于 K1接口 KMF单独下发 SEK流程图；图 8是本发明实施例中基于 K2接口从 KMF获取 SEK架构图；图 9是本发明实施例中基于 K2接口从 KMF获取 SEK另一架构图；

图 10是本发明实施例中基于 K2接口从 KMF获取 SEK流程图；图 11是本发明实施例中基于 K2接口从 KMF获取 SEK又一架构图；

图 12是本发明实施例中基于 K2接口从 KMF获取 SEK流程；图 13是本发明实施例中 KMF和 MCF/MDF间通过直接接口传递信息结构图；

图 14是本发明实施例中 KMF和 MCF/MDF间通过 Y2接口和 ISC 接口传递信息结构图；

图 15是本发明实施例中 MCF/MDF ( CEF )产生 TEK, KMF产生 SEK加密的 TEK流程图；

图 16是本发明实施例中 MCF/MDF ( CEF )产生 TEK和 SEK加密的 TEK流程图；

图 17是本发明实施例中 KMF产生 TEK和 SEK加密的 TEK流程图；

图 18是本发明实施例中 MCF/MDF使用 KMF发送的 SEK加密 TEK流程图；

图 19是本发明实施例中 MCF和 MDF间传递密钥 TEK接口结构图；

图 20是本发明实施例中 MCF将 TEK发送给 MDF流程图；图 21是本发明实施例中 MCF发送媒体保护方式给 MDF流程图；图 22是本发明实施例中实现 IPTV组播业务媒体安全的 KMF结构图；

图 23是本发明实施例中实现 IPTV组播业务媒体安全的用户设备结构图。具体实施方式

本发明实施例的应用场景中 IMS based IPTV的业务功能架构，如图 la所示，主要包括： UE ( User Equipment, 用户设备），如手机，机顶盒等； SDF ( Service Discovery Function, 业务发现功能实体；)，用于给 UE提供业务附着信息，如 EPG ( Electronic Program Guide, 电子节目指南）服务器地址信息等； SSF ( Service Selection Function, 业务选择功能实体），用于给 UE提供业务菜单信息； SCF ( Service Control Function,业务控制功能实体；)，用于处理用户业务请求； UPSF ( User Profile Server Function, 用户签约服务功能），用于存储用户签约信息； Core IMS (核心 IMS ) , 为 IMS子***中的 P-CSCF、 I-CSCF 和 S-CSCF的总称； MF ( Media Functions, 媒体功能实体），负责到 UE媒体流的控制与交付媒体，从功能角度分解为 MCF( Media Control Function, 媒体控制功能实体 )和 MDF ( Media Delivery Function, 媒体交付功能实体）， MCF 用于，控制 MDF发送媒体流， MDF, 在 MCF的控制下分发媒体给 UE。

本发明实施例中使用的密钥体系如图 lb所示，包括： TEK( Traffic Encryption Key,媒体加密密钥），为媒体流提供机密性和 /或完整性保护，对于使用传统 CA保护的 MPEG2TS( Moving Picture Expert Group 2 Transport Stream - Conditional Access , MPEG2 TS模式下的条件接入保护方式）对应的密钥是 CW。 SEK ( Service Encryption Key, 业务加密密钥），保护 TEK 下发信息的机密性和 /或完整性，对于使用传统 CA保护的 MPEG2TS传输方式对应的密钥是 SK, SK保护 CW下发的机密性和 /或完整性。 URK ( User Root Key, 用户根密钥），用于保护 SEK下发信息的机密性和 /或完整性，用户根密钥可以使用 GBA 的方式建立，或者预先配置。对于使用传统 CA保护的 MPEG2TS传输方式对应的密钥可以是现有的 PDK, 也可以是使用 GBA的方式来建立，或者是预先配置好的 URK。实施例中的密钥统一使用 URK、 SEK、 TEK进行描述，对于 CA***的 PDK、 SK、 CW的实施例也适用。

本发明实施例中功能实体如图 2 所示，包括： KMF ( Key Management Function, 密钥管理功能实体），用于向 UE或其它功能实体提供媒体保护所需的密钥， KMF可以作为一个独立的功能实体，或者作为一个功能模块集成到 SCF 或者其它功能实体之中。 CEF ( Content Encryption Function,媒体加密功能实体），用于对媒体进行加密、完整性保护等操作，对于 MCF/MDF完成媒体加密功能的情况， MCF/MDF完成 CEF的功能。结合图 2实现 IPTV组播业务媒体安全的方法包括以下步骤：

步骤 201 , 业务部署过程： KMF与 MCF/MDF (完成 CEF功能）传递以下的一种或者几种信息 SEK、 TEK、 SEK加密的 TEK,将 SEK 加密的 TEK部署到 MDF上。

另外一种使用 CEF进行加密的方法包括：

步骤 201a, KMF与 CEF将以下信息的一种或几种传递给 CEF: SEK、 TEK、 SEK力口密的 TEK;

步骤 201b, CEF再将 SEK加密的 TEK发送给 MCF/MDF (不具有 CEF功能）。对于 MCF/MDF上已经拥有 SEK加密的 TEK的条件下，则步骤 201 (步骤 201a和步骤 201b ) 不需要。

步骤 202, UE从 KMF获得 SEK。

具体实施中，该 SEK还可以被 URK加密保护， URK通过加密 SEK或者 URK加密整个携带 SEK的消息来完成对 SEK的加密保护。 UE接收到加密的 SEK后，使用 URK解密出 SEK。

在 UE获取 SEK前，如果 UE没有 TEK密钥流的会话描述协议 SDP描述信息和 /或媒体安全描述信息，还需要 UE通过 SSF或者 SCF 从媒体服务功能实体获取媒体安全描述信息。

步骤 203, MDF在发送加密组播媒体时，将加密组播媒体对应的被 SEK加密的 TEK通过 IP组播发送给 UE。

步骤 204 , UE接收加密的组播媒体和组播发送的 TEK密钥流，使用 SEK解密出 TEK, 并使用 TEK解密组播媒体。

实施例步骤 202 中提到的媒体安全描述信息包括以下信息的一种或几种：媒体保护类型标识、 SEK密钥标识、获取 SEK的地址信息。其中，媒体保护类型标识用来指示发送给 UE的媒体流的保护类型，例如使用 SRTP ( Security Real-time Transport Protocol, 安全实时传输协议）的类型保护，或使用 MPEG2TS的 CA保护类型。 TEK密钥流的会话描述协议 SDP描述信息和 /或媒体安全描述信息下发的方式包括以下几种：

1、使用 SDP携带媒体保护类型信息，具体可以采用 SDP的一个新 a属性携带：

例如， a=Media-Protection-Typt: MPEG-TS-CA;

或者使用 a=fmtp属性携带：

列^口, a=fmtp: media-protection- typt: SRTP

对于使用 SRTP 的保护类型可以使用 SRTP 作为标识；对于 MPEG2TS的 CA保护类型可以使用 MPEG2TS-CA作为标识。

例如，一个使用 SRTP保护的音频流的 SDP为：

m= Audio 49168 RTP/AVP 96 c=IN IP4 224.2.17.12/127

a=rtpmap:96 H264/90000

a=fmtp: Media-Protection-Typt: SRTP;

对于媒体的保护类型为 MPEG2TS-CA的情况，还可以进一步携带算法参数，用来指示 UE该媒体保护使用的算法，具体的可以使用一个 SDP的 a属性来携带：

a= Media-Protection-Typt: MPEG2TS-CA; 安全算法标识；或者 a=fmtp: Media-Protection-Typt: MPEG2TS-CA; 安全算法标识；

例如，一个使用 MPEG2TS-CA保护的视频媒体流对应的 128位密钥的 AES-Counter Mode算法表示为：

m=video 53810 RTP/AVP nl

a=rtpmap: nl TS

a=fmtp: Media-Protection-Typt: MPEG2TS-CA; AES-CM- 128; 2、 SDP中携带 SEK的信息：

组播媒体的 SDP中携带 SEK的密钥标识（ID )和 /或获取 SEK 的地址信息（URI )。

UE使用 SEK的密钥标识（ ID )到 KMF处获取该 ID对应的 SEK 密钥；

UE使用 "获取 SEK的地址信息（URI )" 请求该业务包和 /或频道标识对应的 SEK。例如：

具体的实现中，使用会话级的 SDP描述中携带，或者在媒体级的 SDP描述中或者密钥流的 SDP描述中携带，例如，使用 SDP中的一个 a属性来携带密钥标识，或者使用 SDP的 k头域来携带获取 SEK 的地址信息。例如，下面使用密钥流的 SDP进行携带：

m= application 49230 udp IPTV.TISPAN.TEKM

c= IP4 224.2.17.12/127

k=URI; 或者 a=SEK-ID ；

此外， TEK密钥流的 SDP描述中还可以携带相邻 2个 TEK组播密钥更新的间隔时间，用来指示 UE多长时间获取一次更新的 TEK, 具体的实现中使用一个 a属性来携带，例如：

m= application 49230 udp IPTV.TISPAN.TEKM

c= IP4 224.2.17.12/127

a=fmtp: traffic_key_Interim_Time

3、使用 XML携带媒体保护类型信息：使用 SDP携带的媒体保护类型信息、媒体的保护类型、 SEK的密钥标识（ID )、获取 SEK的地址信息（ URI )、相邻 2个 TEK组播密钥更新的间隔时间中的一种或几种都可以使用 XML的一个元素发送给 UE:

例如媒体保护类型（ protection-type )和 SEK标识（ SEK-ID )如下：

<Media-Protection-Descryption>

<Service-IDl>

<protection-type>SRTP</ protection-type >

<SEK-ID>SEK-ID1</ SEK-ID >

</Service-IDl>

</ Media-Protection-Descryption >

步骤 202中 UE获取 TEK密钥流的 SDP描述信息和 /或媒体安全描述信息的具体实施例包括以下几种：

实施例一，通过 SSF的 EPG下发过程，下发各个业务包标识和 / 或频道标识（或者业务标识）对应的 TEK密钥流的 SDP描述信息和 /或媒体安全描述信息，如图 3所示，包括以下步骤：

步骤 301 , UE向 SSF发送 EPG请求消息。其中请求消息可以使用 HTTP ( HyperText Transfer Protocol, 超文本传输协议）中的 GET 或者 POST请求消息。如果 EPG通过广播方式发给 UE, 例如使用 3GPP中定义的 FLUTE方式广播发送，步骤 301的请求消息不需要。

步骤 302, SSF向 UE发送消息，例如 HTTP的 200响应消息，其中携带各个业务包标识和 /或频道（或者业务）对应的 SEK的密钥标识和 /或获取 SEK的地址信息。此外，还可以携带对应的媒体保护类型信息和 /或 ΤΕΚ密钥流的

SDP描述信息，以上各个信息与上述的 SDP方式或者 XML表示方式和携带的方法相同。

实施例二，通过 SIP ( Session Initial Protocol, 会话发起协议）会话下发初始频道（或者业务）对应的 TEK密钥流的 SDP描述信息和 /或媒体安全描述信息，如图 4所示，包括以下步骤：

步骤 401~402, UE经 Core IMS向 SCF发送 INVITE业务请求消息，其中携带初始频道（或者业务）的标识信息。

步骤 403~404, SCF经 Core IMS向 UE发送业务响应（ 183或者 200 )消息，其中携带初始频道（或者业务）标识对应 SEK的密钥标识和 /或获取 SEK的地址信息。

步骤 405, UE继续执行后续的会话流程。

此外，步骤 403和步骤 404中，还可以携带对应的媒体保护类型信息和 /或 TEK密钥流的 SDP描述信息，以上各个信息与上述的 SDP 方式或者 XML表示方式和携带的方法相同。

实施例一， UE直接到 KMF请求 SEK, 具体可以使用 HTTP请求携带，基于图 5中的 K1接口从 KMF获取 SEK, 具体流程如图 6 所示，包括以下步骤：

步骤 601 , UE向 KMF发送请求消息，例如，使用 HTTP中的 GET或者 POST请求消息，其中携带以下信息的一种或几种：业务包标识、频道（业务 )标识、 SEK的密钥 ID标识；钥 ID信息，则此处携带 SEK的密钥 ID信息。

步骤 602, KMF向 UE发送响应消息，例如， HTTP的 200响应消息，其中携带对应的 SEK：。

对于 EPG中没有发给 UE算法或者没有默认算法的情况下， KMF 向 UE发送业务响应消息中还携带算法参数。对于 UE在获取 EPG或者 SIP 会话过程中没有获得媒体保护类型的标识（SRTP 或者 MPEG2TS-CA )的情况，则 KMF在响应消息中还可以携带对应的媒体保护类型标识信息，便于 UE根据媒体保护类型标识使用对应的解密方式处理加密的媒体。

实施例二， UE使用 HTTP请求 SEK, KMF单独下发 SEK, 如图 7所示，包括以下步骤：

步骤 701 , UE向 KMF发起 SEK密钥请求消息，例如， HTTP 中的 GET或者 POST请求消息，其中携带以下信息的一种或几种：业务包标识、频道（业务 )标识、 SEK的密钥 ID标识，接收 SEK的 IP地址，接收 SEK的端口号信息。如果 KMF使用 UE发送请求消息的 IP地址发送 SEK, 则消息中不必携带 IP地址的信息；如果使用 UE与 KMF事先约定好的端口号发送 SEK, 则消息中不必携带端口号信息。

步骤 702 , KMF向 UE发送业务响应消息，例如 HTTP的 200响应消息。

步骤 703、 KMF向 UE发送 SEK, 该 SEK与请求中携带请求中的业务标识和 /或 SEK的密钥 ID标识对应的 SEK。

步骤 703中，对于 EPG中没有下发给 UE算法或者没有默认算法的情况， KMF向 UE还需要发送算法参数。步骤 702中，对于 UE 在获取 EPG或者 SIP会话过程中没有获得媒体保护类型的标识（ SRTP 或者 MPEG2TS-CA ) 的情况，则还要携带对应的媒体保护类型标识信息，便于 UE根据媒体保护类型标识使用相应的解密处理。步骤 202中 UE获取 SEK的其它具体实施例如下：

使用 SDP携带业务包对应的 SEK, 具体包括以下方式：

1、 SDP携带业务包对应的 SEK, 使用一个 a=key-mgmt头域携带，例如：

a= bc_service_package: service package 1

a=key-mgmt:mikey XXXX ( SEK1 ) 对于 SDP 中包含多个业务包的情况，每个业务包下面可以对应一个 a=key-mgmt头域来携带对应的 SEK , 例如：

a= bc_service_package: service package 1

a=key-mgmt:mikey XXXX ( SEK1 )

a= bc_service_package: service package 2

a=key-mgmt:mikey YYYY ( SEK2 )

2、 SDP中携带获取 SEK的地址信息（URI ),

例如：在每个 Service Package标识的下面增加一个 k字段来携带获取密钥 SEK的地址。

a= bc_service_package: service package 1

k=http ://ltv.example . com/ service-package 1 -SEK 1

a= bc_service_package: service package 2

k=http ://ltv.example . com/ service-package2- SEK2

UE使用该 "获取 SEK的地址信息（URI )" 来继续获取该业务包和 /或频道标识对应的 SEK。

3、 SDP中携带 SEK的密钥标识（ID ), 在每个 Service Package 标识的下面增加一个 SDP的 a属性来携带获取密钥 SEK的 ID。

a= bc_service_package: service package 1

a=IPTV-SEK-ID： service-package 1-SEKl

a= bc_service_package: service package 2

a= IPTV-SEK-ID: service-package2-SEK2

UE使用 SEK的密钥标识（ ID )继续到 KMF处获取该 ID对应的密钥。实施例三，具体的应用于 IPTV中的组播业务： SCF使用如图 8 架构中的 K2接口获取 SEK,或者使用图 9中的 SCF _ ISC - Core IMS 接口和 Core IMS - ISC - KMF接口获取密钥，具体过程如图 10所示，包括以下步骤：

步骤 1001 ~ 1002, UE经 Core IMS向 SCF发送 INVITE请求消息，其中携带一个或者多个业务包标识和 /或内容标识信息。

步骤 1003, SCF向 KMF发起请求消息，其中携带 INVITE消息中的业务包标识信息和 /或内容标识信息。

步骤 1004, KMF向 SCF发送响应消息，携带该业务包标识和 / 或内容标识对应的密钥 SEK。

步骤 1005~1006, SCF经 Core IMS向 UE发送业务响应消息（ 200 或者 183响应消息 ) , 携带一个或者多个业务包标识对应的 SEK。

步骤 1007, UE继续后续的会话流程。

步骤 1004、 1005和 1006中，对于 EPG中没有下发给 UE算法或者没有默认算法的情况下，步骤 1004中 KMF还需要返回算法参数，步骤 1005~1006中， SCF向 UE还发送算法参数。对于 UE在 EPG中没有获得媒体保护类型的标识的情况，步骤 1004、 1005和 1006中还携带媒体保护类型的标识，用来指示 UE具体的保护方式。例如： SRTP 的保护类型： SRTP;或者 MPEG2TS的 CA保护类型： MPEG2TS-CA )。具体的可以采用 SDP 中的 a 属性来携带，例如： a=fmtp: media-protection-type= SRTP或者 MPEG-TS-CA。

业务包密钥的携带方法可以使用上述的 SDP方法携带，也可以使用 XML的方式来携带。

实施例四， SIP订阅下发 SEK的方式，使用图 11中的 IMS Core- ISC-KMF接口，过程如图 12所示，包括以下步骤：

步骤 1201 , UE通过 IMS Core向 KMF发送 Subscribe消息，其中携带业务包标识和 /或频道标识（或者业务标识）。订阅一个或多个业务包对应的 SEK,或者一个业务包中各个频道标识（或者业务标识 ) 对应的 SEK。

步骤 1202, KMF通过 IMS Core向 UE返回 200 OK消息。

步骤 1203 , KMF通过 IMS Core向 UE发送 Notify消息，其中携带一个或多个业务包对应的 SEK, 或者一个业务包中各个频道标识 (或者业务标识 )对应的 SEK。

步骤 1204, UE通过 IMS Core向 KMF返回 200 OK消息。对于 EPG中没有下发给 UE算法或者没有默认算法的情况下，步骤 1203 中， KMF发送 SEK的同时，还可以携带算法参数。 UE还可以向 SCF 订阅， SCF向 KMF获取密钥 SEK后以 Notify同样的方法发送给 UE, 方法和参数类似。步骤 201中 KMF和 MCF (或者 CEF,或者称为媒体服务功能实体，以下统一称为 MCF )间传递以下信息的一种或几种（SEK、 TEK、 SEK加密的 TEK ) 的架构包括两种：架构一：通过直接接口传递信息，如图 13所示， KMF和 MCF (或者 CEF )之间使用直接的接口 N1传递信息。以下信息的一种或几种可以直接在 KMF和 MCF之间传递： SEK、 TEK、 SEK加密的 TEK; 或者以下信息的一种或几种先传递给 CEF: SEK、 TEK、 SEK加密的 TEK, CEF再传递给 MCF/MDF。架构二：通过 KMF - ISC - Core IMS - Y2 - MCF接口传递信息，如图 14所示。实施方法包括以下几种：

实施例一， MCF/MDF ( CEF )产生 TEK, KMF产生 SEK加密的 TEK,如图 15所示，对架构一和架构二的传递信息的接口都适用：包括以下步骤：

步骤 1501 , MCF/MDF ( CEF )产生 TEK;

步骤 1502, MCF ( CEF ) 向 KMF发送 TEK加密请求，其中携带内容标识和 /或频道（业务）标识信息和密钥 TEK。

步骤 1503 , KMF收到请求消息后，使用对应的 SEK加密 TEK。步骤 1504 , KMF向 MCF发送响应消息，其中携带 SEK加密的 TEK。

步骤 1502中，还可以携带媒体保护方式的指示（指示使用 SRTP 进行媒体加密 SRTP, 或者是指示使用 MPEG2TS的条件接入 CA作为媒体保护方式 MPEG2TS-CA ), KMF收到指示后，可以根据不同的媒体保护方式进行不同的处理，例如，如果媒体保护方式指示为 SRTP媒体保护方式， KMF可以使用 MIKEY封装携带 SEK加密的 TEK; 如果媒体保护方式指示为 MPEG2TS-CA保护方式， KMF使用现有 CA***中的 ECM格式携带 SEK加密的 TEK。对应处理后的 SEK加密的 TEK在步骤 1504中发送给 MCF/MDF。实施例二， MCF/MDF ( CEF )产生 TEK, 并使用 KMF发送的 SEK加密 TEK, 如图 16所示，包括以下步骤：

步骤 1601 , MCF ( CEF ) 向 KMF发送请求 SEK密钥的消息，其中携带内容标识和 /或频道（业务）标识信息；

步骤 1602, KMF收到请求消息后，将对应的 SEK发送给 MCF ( CEF );

步骤 1603, MCF/MDF ( CEF )使用返回的 SEK加密 TEK。此外，步骤 1603中， MCF/MDF ( CEF )还可以根据媒体保护方式来使用 SEK加密 TEK, 如果媒体保护方式为 SRTP, MCF/MDF ( CEF )可以使用 MIKEY封装 SEK加密的 TEK; 如果媒体保护方式为 MPEG2TS-CA, MCF/MDF ( CEF )使用现有 CA***中的 ECM 格式携带 SEK加密的 TEK。实施例三， KMF产生 TEK和 SEK加密的 TEK, 如图 17所示，包括以下步骤：

步骤 1701 , MCF ( CEF )向 KMF发送请求消息，其中携带内容标识和 /或频道（业务）标识信息。

步骤 1702, KMF收到请求消息后，使用内容标识和 /或频道（业务）标识信息对应的 SEK加密对应的 TEK。

步骤 1703 , KMF将 SEK加密 TEK, 未加密的 TEK发送给 MCF/MDF ( CEF )。

步骤 1701中，还可以携带媒体保护方式的指示（指示使用 SRTP 进行媒体加密 SRTP, 或者是指示使用 MPEG2TS的条件接入 CA作为媒体保护方式 MPEG2TS-CA ), KMF收到指示后，可以根据不同的媒体保护方式进行不同的处理，例如，如果媒体保护方式指示为 SRTP媒体保护方式， KMF可以使用 MIKEY封装携带 SEK加密的 TEK; 如果媒体保护方式指示为 MPEG2TS-CA保护方式， KMF使用现有 CA***中的 ECM格式携带 SEK加密的 TEK。对应的 SEK加密的 TEK在步骤 1703中发送给 MCF/MDF。

实施例四， MCF/MDF ( CEF )使用 KMF发送的 SEK加密 TEK, 如图 18所示，包括以下步骤：

步骤 1801 , MCF ( CEF )向 KMF发送请求密钥的消息，其中携带内容标识和 /或频道（业务）标识信息；

步骤 1802, KMF收到请求消息后，将对应的 SEK和 TEK发送给 MCF ( CEF );

步骤 1803, MCF/MDF ( CEF )使用返回的 SEK加密 TEK。

此外，步骤 1803中， MCF/MDF ( CEF )还可以根据媒体保护方式来使用 SEK加密 TEK, 如果媒体保护方式为 SRTP, MCF/MDF ( CEF )可以使用 MIKEY封装 SEK加密的 TEK; 如果媒体保护方式为 MPEG2TS-CA, MCF/MDF ( CEF )使用现有 CA***中的 ECM 格式携带 SEK加密的 TEK。

实施例一、实施例二、实施例三、实施例四中的具体消息的携带方式可以采用：

方式 1、 HTTP+XML的方式，各个参数都作为 XML的一个元素来携带；

方式 2、 Diameter扩展新的 AVP

例如， TEK和媒体保护方式的 AVP可以按照如下的方法表示。 < STKM-Info-Request>：: =<Diameter Header: XXX, REQ, YYY, ζζζ >

{ STKM-Service-Identifier }； Service identifiers

{ TEK } ； TEK AVP

{ Media protection method };媒体保护方式 AVP

{ Algorithem } ；力口密算法 AVP 实施例五，对于加密操作由 MCF/MDF来执行的情况， MCF和 MDF间需要传递密钥 TEK, 使用接口 Xp如图 19所示，

方法 1、 MCF将 TEK发送给 MDF, 如图 20所示，包括以下步骤：

步骤 2001 , MCF向 MDF发送请求消息，其中携带业务标识和 / 或内容标识，密钥 TEK, 加密算法；

步骤 2002, MDF使用 TEK和对应的算法加密业务标识和 /或内容标识对应的媒体内容，并返回确认消息。方法 2、 MCF发送媒体保护方式给 MDF, 如图 21所示，包括以下步骤：

步骤 2101 , MCF向 MDF发送请求消息，其中携带业务标识和 / 或内容标识，媒体保护方式标识，其中媒体保护方式标识指示使用 SRTP作为媒体保护的类型（SRTP ), 或者是使用 MPEG2TS的条件接入 CA作为媒体保护方式（ MPEG2TS-CA ),媒体保护使用的 TEK。

步骤 2102, MDF使用 TEK和对应的算法，按照媒体保护方式指示的媒体保护方式对业务标识和 /或内容标识对应的媒体内容加密处理，并返回确认消息。方式 1和方式 2中的参数的具体携带方式：

1 ) MCF和 MDF之间采用 RTSP协议：

TEK使用 Keymgmt头域携带，其中的 data字段携带 TEK,例如： Keymgmt: prot=mikey; uri="rtsp://movie.example. com/action"; data="AQEFgM0XflABAAAAAAAAAAAAAAYAyONQ6g..." RTSP消息可以使用 DESCRIBE请求消息和对应的响应消息。

2 ) MCF和 MDF之间采用 SDP携带密钥：

TEK可以使用 SDP中的 a=key-mgmt属性头域携带， TEK携带在 MIKEY消息中的密钥字段，例如：

a=key-mgmt:mikey XXXXXX 可以使用 H.248协议或者 RTSP协议对应的请求消息和 Reply消息携带 SDP和密钥。

本发明实施例还提供一种实现 IPTV组播业务媒体安全的 KMF 的结构示意图，如图 22所示，包括：

SEK发送模块 2201 , 用于向用户设备发送 SEK;

TEK部署模块 2202, 用于向 MCF或者 CEF传递以下信息的一种： SEK、 TEK或者 SEK加密的 TEK。

本发明实施例还提供一种实现 IPTV组播业务媒体安全的用户设备的结构示意图，如图 23所示，包括：

SEK获取模块 2301 , 用于从密钥管理功能实体获得 SEK;

TEK获取模块 2302, 用于从所述媒体服务功能实体接收组播发送的被所述 SEK加密保护的 TEK密钥流；

解密模块 2303, 用于使用所述 SEK解密出 TEK, 并使用所述 TEK解密所述由 TEK加密的组播媒体。

本发明的实施例中，通过分发密钥 SEK和 TEK给 UE和媒体服务功能实体，实现基于 IMS的 IPTV架构的 LTV组播媒体传输安全。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims

权利要求

1、一种实现因特网协议电视 IPTV组播业务媒体安全的方法，其特征在于，包括：

用户设备 UE从密钥管理功能 KMF获得业务加密密钥 SEK; 所述 UE接收组播发送的被所述 SEK加密的媒体加密密钥 TEK 密钥流；

2、如权利要求 1所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述用户设备 UE从密钥管理功能 KMF获得业务加密密钥 SEK具体包括：

所述 UE从所述 KMF接收被用户根密钥 URK加密保护的 SEK; 所述 UE使用所述 URK解密出所述 SEK。

3、如权利要求 1所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 UE从 KMF获得 SEK具体包括：

UE向 KMF发送请求消息，其中携带业务标识和 /或 SEK的密钥 ID标识；

KMF向 UE发送响应消息，其中携带对应的 SEK。

4、如权利要求 1所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 UE从 KMF获得 SEK具体包括：

UE向 KMF发起 SEK密钥请求消息，其中携带业务标识和 /或 SEK的密钥 ID标识；

KMF向 UE发送响应消息；

KMF向 UE发送对应的 SEK。

5、如权利要求 3或 4所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 KMF还向 UE发送媒体保护方式和 /或加密算法。

6、如权利要求 1所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 UE从 KMF获得 SEK具体包括： UE通过 Core IMS向 SCF发送业务请求消息，其中携带业务包标识和 /或内容标识；

所述 SCF通过 Core IMS向 UE发送业务响应消息，携带业务包标识和 /或内容标识对应的 SEK。

7、如权利要求 6所述实现 IPTV组播业务媒体安全的方法，其特征在于， SCF获取对应的 SEK的过程包括：

所述 SCF向 KMF发起请求消息，其中携带请求消息中的业务包标识和 /或内容标识；

所述 KMF向所述 SCF发送响应消息，携带所述业务包标识和 / 或内容标识对应的 SEK。

8、如权利要求 6所述实现 IPTV组播业务媒体安全的方法，其特征在于，

所述 UE通过 Core IMS向 SCF发送业务请求消息中携带多个业务包标识和 /或内容标识；

所述 SCF通过 Core IMS向 UE发送业务响应消息中携带每个业务包标识和 /或内容标识对应的 SEK。

9、如权利要求 6至 8中任一项所述实现 IPTV组播业务媒体安全的方法，其特征在于，

使用 SDP中的 a属性行来携带 SEK。

10、如权利要求 1所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 UE从 KMF获得 SEK具体包括：

UE通过 IMS Core向 KMF发送订阅消息，其中携带一个或多个业务包标识，或者一个业务包中的各个频道标识或者业务标识；

KMF通过 IMS Core向 UE返回响应消息；

KMF通过 IMS Core向 UE发送通知消息，其中携带一个或多个业务包对应的 SEK, 或者一个业务包中各个业务标识对应的 SEK。

11、如权利要求 1所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 UE从 KMF获得 SEK之前还包括：

所述 UE获取 TEK密钥流的会话描述协议 SDP描述信息和 /或媒体的安全描述信息。

12、如权利要求 11所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述媒体的安全描述信息具体包括：

SEK的密钥标识或获取 SEK的地址信息。

13、如权利要求 12所述实现 IPTV组播业务媒体安全的方法，其特征在于，

使用 SDP的一个 a属性行或者 k头域携带所述 SEK的密钥标识或者获取 SEK的地址信息。

14、如权利要求 11所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述媒体的安全描述信息中包括：

媒体流保护类型信息，用于指示媒体使用的保护方式。

15、如权利要求 14所述实现 IPTV组播业务媒体安全的方法，其特征在于，使用 a属性行或者 a=fmtp携带所述媒体流保护类型信息。

16、如权利要求 14所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述保护方式包括指示使用 SRTP作为保护类型，或者指示使用 CA作为保护类型。

17、如权利要求 11所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 UE获取媒体的安全描述信息具体包括：

UE经 Core IMS向 SCF发送 INVITE业务请求消息，其中携带初始频道的标识信息；

SCF经 Core IMS向 UE发送业务响应消息，其中携带 SEK的密钥标识和 /或获取 SEK的地址信息。

18、如权利要求 11所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 UE获取媒体的安全描述信息具体包括：

UE向 SSF发送 EPG请求消息；

所述 UE接收所述 SSF返回的消息，其中携带各个业务包标识和 /或业务标识对应的 SEK的密钥标识和 /或获取 SEK的地址信息。

19、如权利要求 1所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 UE获取 SEK之前还包括：

KMF与媒体功能实体进行交互，将 SEK加密的 TEK部署到所述媒体功能实体；或

KMF与 CEF进行交互，由所述 CEF将 SEK加密的 TEK部署到所述媒体服务功能实体。

20、如权利要求 19所述实现 IPTV组播业务媒体安全的方法，其特征在于，所述 TEK部署过程具体包括：

媒体服务实体产生 TEK;

媒体服务功能实体向 KMF发送请求，其中携带内容标识和 /或业务标识信息和密钥 TEK;

KMF收到请求消息后，使用对应的 SEK加密 TEK;

KMF向 MCF返回应答消息，其中携带 SEK加密的 TEK;

或

媒体服务功能实体向 KMF发送请求，其中携带内容标识和 /或业务标识信息；

KMF收到请求消息后，将对应的 SEK发送给媒体服务功能实体；媒体服务功能实体使用返回的 SEK加密 TEK;

或

媒体服务功能实体向 KMF发送请求消息，其中携带内容标识和 / 或业务标识信息；

KMF使用 SEK加密 TEK,将加密的 TEK和未加密的 TEK发送给媒体服务功能实体；

或

KMF将 SEK和 TEK发送给媒体服务功能实体。

21、一种实现 IPTV组播业务媒体安全的***，其特征在于，包括：密钥管理功能实体，用于向用户设备发送 SEK, 并将 SEK加密的 TEK部署到媒体服务功能实体；

22、如权利要求 21所述实现 IPTV组播业务媒体安全的***，其特征在于，所述用户设备通过 K1接口从 KMF获取 SEK; 或通过 K2接口从 KMF获取 SEK; 或通过 SCF ISC - Core IMS接口和 Core IMS ISC KMF接口获取 SEK。

23、如权利要求 22所述实现 IPTV组播业务媒体安全的***，其特征在于，所述用户设备通过 K1接口从 KMF获取 SEK, 具体包括： UE向 KMF发送请求消息，其中携带以下信息的一种或几种：业务包标识、业务标识、 SEK的密钥 ID标识； UE通过 K1接口从 KMF接收响应消息，其中携带对应的 SEK。

24、如权利要求 22所述实现 IPTV组播业务媒体安全的***，其特征在于，

所述用户设备通过 K2接口从 KMF获取 SEK,具体包括： UE经 Core IMS向 SCF发送 INVITE请求消息，其中携带业务包标识和 /或内容标识信息； SCF通过 K2接口向 KMF发起请求消息，其中携带 INVITE消息中的业务包标识信息和 /或内容标识信息； KMF通过 K2 接口向 SCF发送响应消息，携带该业务包标识和 /或内容标识对应的密钥 SEK; SCF经 Core IMS向 UE发送响应消息，携带该业务包标识和 /或内容标识对应的密钥 SEK。

25、如权利要求 21所述实现 IPTV组播业务媒体安全的***，其特征在于，还包括：

26、如权利要求 25所述实现 IPTV组播业务媒体安全的***，其特征在于，

KMF和 MCF,或者 CEF通过直接接口 N1传递以下信息的一种： SEK、 TEK或者 SEK加密的 TEK; 或者

通过 KMF ISC Core IMS - Y2 MCF接口传递以下信息的一种： SEK、 TEK或者 SEK加密的 TEK。

27、一种实现 IPTV组播业务媒体安全的密钥管理功能实体，其特征在于，包括：

SEK发送模块，用于向用户设备发送 SEK;

28、一种实现 IPTV组播业务媒体安全的用户设备，其特征在于，包括：

SEK获取模块，用于从密钥管理功能实体获得 SEK;