MBMS的安全性功能使得网络能够向一组合法用户安全地传输MBMS服务数据。为了达到这个目的,MBMS服务层引入了MBMS用户认证机制、安全密钥传输机制和MBMS用户服务数据保护机制。不是所有的MBMS用户服务都要求对传输数据进行保护。
MBMS用户服务是以一个或多个MBMS数据流会话或MBMS下载会话的形式提供的。数据流会话和下载会话可能利用一个或多个MBMS承载服务或单播承载服务进行传输。MBMS数据流会话由一个或多个RTP会话组成。类似地,MBMS下载会话由一个或多个FLUTE信道组成。应用MBMS安全功能的目的是保护RTP会话和FLUTE信道。因此,安全机制不取决于数据传输选择的承载服务。
RTP会话和FLUTE信道的传输通常是用对称密钥进行保护,也称为MTK(MBMS Traffic Key,MBMS业务密钥)。MTK由BM-SC和UE共享。数据的保护应用在BM-SC和UE之间的端到端上,并由BM-SC的会话和传输功能执行。根据MBMS用户服务的不同,要求的保护机制也不同,有些要求保密性、有些要求完整性、有些则两者都要求。密钥识别信息是受保护数据的一部分,这样做的目的是让用户能够确定用于保护的MTK。这对于解密十分重要。给相关用户的MTK分发由MSK(Multicast Service Key,多播服务密钥)保护。而MSK的分发由MUK(MBMS User Key,MBMS用户密钥)保护。最后MRK(MBMS Request Key,MBMS请求密钥)的作用是,执行MBMS用户服务信令时,对UE进行认证。MRK和MUK都是利用通用引导结构的BSF(Bootstrapping Service Function,引导服务功能)获得的密钥来生成的共享密钥(3GPP,2007c)。
MBMS安全架构的高级视图如图6.20所示。大部分的安全功能都处于BM-SC和UE中。BM-SC以密钥请求功能和密钥传输功能的形式提供密钥保护。密钥请求功能负责根据BSF获得的密钥,为用户生成MRK和MUK。它利用HTTP摘要来执行用户认证,随后处理UE发起的MBMS用户服务注册流程、MBMS用户服务注销流程和MSK请求流程。密钥请求功能为密钥传输功能提供用户的MUK,并且从BM-SC的成员信息功能处检查是否订制。密钥传输功能生成MSK和MTK,并且负责将这些密钥传输给用户。会话和传输功能利用密钥传输功能提供的MTK,并执行MBMS数据流会话和下载会话数据的保护。成员信息功能负责检验某个用户是否得到了注册MBMS用户服务、接收会话的密钥或建立MBMS承载服务的授权。在UE端,MBMS密钥生成和验证功能在一个被称为MGV-S(MBMS Key Generation and Validation Storage,MBMS密钥生成与验证存储)的安全存储空间保存MBMS密钥。对于BM-SC,MRK和MUK都是利用BSF获得的密钥生成的。UE能够注册MBMS用户服务会话,并且请求各自的MSK和MUK。MSK按照MIKEY协议,利用PTP承载服务进行传输,并用MUK解密。MTK则通常按照MIKEY协议,利用MBMS承载服务进行传输,并在MSK的帮助下解密。然后MTK用于MBMS用户服务数据的解密。(www.xing528.com)
图6.20 MBMS安全架构的概况
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
