[发明专利]基于移动终端的多媒体业务保护和密钥管理方法

说明书

技术领域

本发明涉及通信领域，具体地，涉及一种基于移动终端(MobileEquipment，ME)的多媒体业务保护和密钥管理方法，用于实现多媒体业务分发的业务保护和密钥管理。

背景技术

目前，移动多媒体业务的业务保护基于图1所示的分层密钥体系。如图1所示，各层及其相关处理描述如下：

第一层：认证管理。用户与网络之间进行相互认证，认证通过后获得共享密钥，由此共享密钥在终端和网络生成注册密钥和用户密钥，终端通过注册密钥向多媒体广播业务控制中心进行认证，认证通过后，用户密钥用于随后进行的业务密钥加密传输。

第二层：业务密钥管理。网络根据用户订购关系将业务密钥通过加密方式传送给用户，网络对业务密钥进行加密时将使用用户密钥，终端对业务密钥消息解密时将使用本地生成的用户密钥。

第三层：多媒体数据流密钥管理，数据流密钥用来加密多媒体数据，将使用业务密钥加密后的数据流密钥在广播网络或双向网络上传输，终端接收到后，使用相应的业务密钥对其进行解密即得到数据流密钥。

第四层：多媒体数据流管理。使用多媒体数据流密钥对多媒体数据加密后通过网络进行分发，终端使用解密过的数据流密钥进行解密，即可获得多媒体数据。

在多媒体业务的鉴权和密钥管理中，有两种方式：一种是基于智能卡Smart Card Profile的密钥管理体系，一种是基于移动终端ME的密钥管理体系。其鉴杈和密钥管理分别如图2所示。

在基于终端的鉴权和密钥管理中，用户终端(UE)包含有专门的安全存储区，称为MGV-S(MBMS key Generation and ValidationStorage)，且包含有密钥生成和管理功能模块MGV-F(MBMS keyGeneration and Validation Function)，用于实现在终端防止敏感的安全信息(如MBMS密钥)泄漏。MGV-S存储MBMS的各种密钥，MGV-F实现多媒体业务相关的各种密钥不被暴露给ME中未受保护的部分。

在基于ME的鉴权和密钥保护中，在用户与网络之间进行相互认证，认证通过后获得共享密钥(通常称为用户密钥)，将用户密钥保存在智能卡中。在用户使用多媒体业务时，终端从卡中读取用户密钥，然后在UE向网络平台请求业务密钥时，通过与网络的鉴杈流程，获得加密的业务密钥信息包，使用用户密钥来解密，得到业务密钥。使用业务密钥，即可对加密的多媒体业务数据流进行解密处理。当然，在某些情况下，从卡直接得到的用户密钥需要在终端经过一定的密钥算法来衍生出注册密钥或者鉴权密钥，然后使用衍生的密钥用来在向业务平台请求业务密钥时进行终端鉴权。

当用户更换了一张不同的智能卡时，一般的处理方法是将在终端保存的原用户卡对应的所有密钥(用户密钥、注册或鉴权密钥、业务密钥等)都删除。这样每当用户换卡时，所有该用户对应的业务密钥都需要重新向多媒体业务管理平台申请，这种密钥的管理办法给用户使用多媒体业务带来不便，效率较低。

发明内容

考虑到现有技术中存在的上述问题而提出本发明。为此，本发明旨在提供一种基于移动终端的多媒体业务保护和密钥管理方法，其能够在同一终端上实现不同用户的鉴权和多媒体业务分发中的密钥管理。

在根据本发明的基于移动终端的多媒体业务保护和密钥管理方法中，将用户密钥保存在智能卡中，将用户密钥以外的信息及密钥保存在移动终端的存储区中。

其中，上述的用户密钥以外的信息及密钥包括：智能卡的用户标识、用户密钥相关信息、业务密钥、业务密钥相关信息。用户密钥相关信息进一步包括：用户密钥的有效期、由用户密钥衍生的注册密钥或鉴杈密钥；业务密钥相关信息进一步包括：业务密钥的有效期。

另外，在移动终端的存储区中以列表形式保存用户密钥以外的信息及密钥。这样，在与智能卡的用户标识对应的存储区中保存与智能卡的用户标识对应的用户密钥相关信息、业务密钥、以及业务密钥相关信息。