提供mbms服務的方法、系統、相應裝置及通信終端的製作方法

2023-05-11 23:17:11 3

專利名稱：提供mbms服務的方法、系統、相應裝置及通信終端的製作方法
技術領域：
本發明涉及通訊領域，尤其涉及提供MBMS服務的方法、系統、相應裝置 及通信終端。
背景技術：
多媒體廣播多播業務(Multimedia Broadcast/Multicast Service, MBMS )是 由全球標準化組織3GPP (第三代移動通信合作計劃)提出的，MBMS技術是指 一個數據源，通過共享的一條傳輸鏈路，向多個用戶發送數據的點到多點業務。
基於MBMS提供IP電視(Internet Protocol Television, IPTV )業務的時序 流程如圖1所示，其流程如下
1) 用戶(UE)向系統中的業務選4,功能才莫塊(Service Selection Function, SSF)獲取電子節目菜單(EPG)。
2) UE通過HTTPPOST向廣播多播業務中心(BM-SC )進行業務註冊。
3) BM-SC向用戶發送註冊響應。
4 )若註冊成功，則BM-SC在註冊成功後通過MIKEY向用戶下發經過MUK 加密的MSK。圖中未示通過GBA ( Generic Bootstrapping Architecture,通用自 舉(引導)架構)/GAA過程獲得MUK的過程。
5 ) BM-SC向用戶傳輸經MTK加密的MBMS數據，上述MSK可解密該 MTK，進而解密傳輸數據。其中BM-SC可周期性的更改MBMS數據的加密碼 MTK，則同時需要周期性的更新用戶的MSK。
但是在上述描述的技術是基於MBMS提供IPTV的，不能為IP多媒體子系 統(IP Multimedia Subsystem, IMS)網絡所控制，從而不能利用IMS豐富的業 務能力。

發明內容
本發明所要解決的技術問題在於提供一種提供MBMS服務的方法、系統、相應裝置以及通信終端，可以利用IMS系統對提供的MBMS服務進行業務控制。
為了解決上述技術問題， 一方面，本發明的實施例提供了一種基於IMS系 統提供MBMS服務的方法，包括IMS系統中的業務控制模塊根據業務認證請 求進行業務認證，獲得認證通過結果；所述業務控制模塊向安全模塊發送認證 通過結果，所述認證通過結果用於通知安全模塊根據所述認證通過結果向用戶 發送MBMS服務的業務解密碼。
同時，本發明的實施例還提供了一種安全裝置，包括第一接收模塊，用 於接收IMS系統中的業務控制模塊發送的認證通過結果；第一發送模塊，用於 根據所述認證通過結果向用戶發送MBMS服務的業務解密碼。
本發明實施例提供了一種業務控制裝置，包括第一認證子模塊，用於根 據業務認證請求進行業務認證，獲得認證通過結果；第一發送子模塊，用於將 所述認證通過結果發送至安全模塊，所述認證通過結果用於通知所述安全模塊 根據所述認證通過結果向用戶發送MBMS服務的業務解密碼。。
本發明的實施例還提供了一種IMS系統，包括IMS系統中的業務控制模 塊，用於根據業務認證請求進行業務認證，獲得認證通過結果，向安全模塊發 送所述認證通過結果；安全模塊，用於在獲得所述認證通過結果後向用戶發送 MBMS服務的業務解密碼；廣播多播業務中心，用於向用戶提供MBMS服務， 所述MBMS服務的業務內容通過所述業務解密碼解密後使用。
本發明的實施例還提供了 一種通信終端，包括第一發送單元和第一接收單 元，其中，所述第一發送單元，用於向IMS系統中的業務控制裝置發送業務認 證請求，或向安全模塊發送攜帶網際網路多媒體公共標識的業務認證請求，所述 業務認證請求用於向網絡側請求MBMS服務的業務解密碼；所述第一接收單元， 用於接收網絡側安全裝置發送的MBMS服務的業務解密碼。
在本發明實施例中，在IMS系統和MBMS系統的基礎上，復用了 IMS的 控制能力和MBMS的承載能力，實現IPTV業務，從而能實現統一的認證、統 一的網絡管理，並且可以利用IMS可以實現IPTV業務(如Linear TV業務)與 其它基於IMS的業務的捆綁，向用戶提供個性化業務。


圖1是現有的提供MBMS業務的流程示意9圖2是本發明實施例中 一種基於IMS系統提供MBMS服務的系統的組成示 意圖3a是本發明中的業務控制模塊的第一具體實施例的組成示意圖3b是本發明中第一發送子模塊的一個具體實施例的組成示意圖3c是本發明中業務控制模塊的第二具體實施例的組成示意圖3d是本發明中業務控制模塊的第三具體實施例的組成示意圖3e是本發明中業務控制模塊的第四具體實施例的組成示意圖3f是本發明中業務控制模塊的第五具體實施例的組成示意圖4a是本發明中安全模塊的第一具體實施例的組成示意圖4b是本發明中直接發送子模塊的一個具體實施例的組成示意圖4c是本發明中安全模塊的第二具體實施例的組成示意圖4d是本發明中安全模塊的第二具體實施例的組成示意圖5a是本發明實施例中基於IMS系統提供MBMS服務的系統的第一具體
實施例的組成示意圖5b是本發明實施例中基於IMS系統提供MBMS服務的系統的第二具體
實施例的組成示意圖5c是本發明實施例中基於IMS系統提供MBMS服務的系統的第三具體
實施例的組成示意圖6a是本發明中通信終端的第一具體實施例的組成示意圖； 圖6b是本發明中通信終端的第二具體實施例的組成示意圖； 圖6c是本發明中通信終端的第三具體實施例的組成示意圖； 圖6d是本發明中通信終端的第四具體實施例的組成示意圖； 圖6e是本發明中通信終端的第五具體實施例的組成示意圖； 圖7是本發明實施例中一種基於IMS系統提供MBMS服務的方法的流程示
意圖8是本發明中基於IMS系統提供MBMS服務的方法的第一實施例的流程 示意圖9是本發明中基於IMS系統提供MBMS服務的方法的第二實施例的流程 示意圖IO是本發明中基於IMS系統提供MBMS服務的方法的第三實施例的流程示意圖11是本發明中基於IMS系統提供MBMS服務的方法的第四實施例的流 程示意圖12是本發明中基於IMS系統提供MBMS服務的方法的第五實施例的流 程示意圖13是本發明中基於IMS系統提供MBMS服務的方法的第六實施例的流 程示意圖14是本發明中基於IMS系統提供MBMS服務的方法的第七實施例的流 程示意圖15是用戶在收看IMS/MBMS業務時進行切換的一個實施例的流程示意圖。
圖16是本發明中基於IMS系統提供MBMS服務的方法的第八實施例的流 程示意圖。
具體實施例方式
下面參考附圖對本發明的實施例進行描述。
如圖2所示，為本發明實施例中 一種基於IMS系統提供MBMS服務的系統 的組成示意圖。該系統包括
業務控制模塊10 (或稱業務控制裝置)，用於根據業務認證請求進行業務認 證，獲得認證通過結果後，向安全模塊發送所述認證通過結果。
安全模塊12 (或稱安全裝置)，用於在獲得所述認證通過結果後，根據認證 通過結果向用戶發送MBMS服務的業務解密碼，該業務解密碼可為MSK，或 可為經過加密密碼加密的MSK。具體，安全模塊12可通過MIKEY方式直接向 用戶發送MSK,或將MSK發送給業務控制模塊10，業務控制模塊10再通過 SIP信令將MSK發送至用戶。
廣播多播業務中心14,用於向用戶提供MBMS服務，所述MBMS服務的 業務內容通過所述解密碼解密後使用。所述MBMS服務包括MBMS的多播， 廣播，以及EMBMS的增強廣播服務。
需要說明的是， 一般向用戶提供的MBMS服務的業務內容是通過密碼加密
的，該密碼可稱為MTK,那麼實際上此處發送的業務解密碼可以為解密該MTK的解密碼。
其中，系統中還包括IMS核心網元等設備，同時，在為移動用戶提供服務 時，用戶還需通過移動接入網元與系統中的其它網元進行通訊，這些均為本領 域普通技術人員所知，此處不做贅述。
用戶發送的業務認證請求可通過IMS核心網發送至業務控制模塊10，也可 以是通過安全模塊12發送至業務控制模塊10。
其中，IMS核心網(IMS Core)通常包括P-CSCF， S-CSCF, I-CSCF， CSCF 是呼叫會話控制實體的英文簡稱，核心CSCF包括S-CSCF， P-CSCF和I-CSCF。 S-CSCF在IMS中處於核心的控制地位，用於註冊、會話控制和處理，並向應用 伺服器觸發業務；P-CSCF是UE訪問IMS的第 一個入口點；I-CSCF是從訪問 域到歸屬域的入口點，主要負責查詢歸屬用戶信息，並為用戶分配S-CSCF等。
如圖3a所示，為業務控制模塊的一個具體實施例的結構圖，如圖3所示， 業務控制模塊10包括第一認證子模塊102,用於根據所述業務認證請求進行業 務認證，獲得認證通過結果；第一發送子模塊104,用於將所述認證通過結果發 送至安全模塊，所述認證通過結果用於通知所述安全模塊根據所述認證通過結 果向用戶發送MBMS服務的業務解密碼。
如圖3b所示，第一發送子模塊104可進一步包括轉換子單元1040，用於 根據所述認證通過結果中的業務標識匹配對應的解密碼標識；第一發送子單元 1042，用於將包括所述轉換子單元獲取的解密碼標識的認證通過結果發送至安 全模塊。
業務控制模塊還可包括第一接收子模塊106，用於接收用戶通過IMS核 心網發送的業務認證請求，如圖3c所示；或，還包括第三接收子模塊108， 用於接收用戶通過安全模塊發送的業務認證請求，如圖3d所示。
如圖4a所示，為安全模塊12的一個具體實施例的結構圖，其可以包括 第一接收模塊120,用於接收所述業務控制模塊發送的認證通過結果，該認 證通過結果可以是鑑權結果(如通過鑑權的頻道的標識，即業務標識)或是根 據鑑權結果匹配獲得的用於請求MSK的MSK標識，該匹配工作可以在業務控 制模塊實現。
第一發送^^莫塊122，用於根據所述認證通過結果向用戶發送MBMS服務的 業務解密碼。當所述第一接收模塊120接收到的認證通過結果包括解密碼標識，則所述
第一發送模塊122用於根據所述認證通過結果向用戶發送所述解密碼標識對應 的MBMS服務的業務解密碼；或者
第一發送模塊120可包括直接發送子模塊，用於在獲得所述認證通過結 果後通過MIKEY方式向用戶發送解密碼；或包括，間接發送子模塊，用於在獲 得所述認證通過結果後將解密碼發送至相應的業務控制裝置，所述業務控制裝 置通過SIP信令向用戶發送所述解密碼。即，安全模塊12可通過兩種方式向用 戶發送MSK。
當所述第一接收模塊120接收到的認證通過結果包括業務標識，則所述直 接發送子模塊或間接發送子模塊可包括轉換子模塊1220和發送子模塊1222。
其中，轉換子模塊1220用於根據所述認證通過結果中的業務標識，匹配對 應的解密碼標識;發送子模塊1222用於根據所述轉換子模塊獲得的解密碼標識， 向用戶發送所述解密碼標識對應的MBMS服務的業務解密碼，但是，在直接發 送子模塊中的發送子模塊1222通過MIKEY方式向用戶發送解密碼，而在間接 發送子模塊中的發送子模塊1222將解密碼發送至相應的業務控制裝置，所述業 務控制裝置通過SIP信令向用戶發送所述解密碼。如圖4b所示，為直接發送子 模塊的情況。
當然，此處轉換子模塊1220的功能也可以在第一接收模塊120內部實現。
如圖4a所示，若業務控制模塊10包括的是第一接收子模塊106,則相應的， 安全模塊12隻包括第 一接收模塊120和第 一發送模塊122。
如圖4c所示，若業務控制模塊10包括的是第三接收子模塊108，則相應的， 安全模塊12在包括第 一接收模塊120和第 一發送模塊122的基礎上還可以包括 第二接收模塊124,用於接收用戶的業務認證請求，該業務認證請求可以是用戶 發出的HTTP POST;第二發送模塊126，用於根據所述業務認證請求向相應的 業務控制模塊發送業務認證請求。
若MSK通過安全模塊中的間接發送子模塊發送的，則業務控制模塊還應包 括第二接收子模塊，用於接收安全模塊發送的相應的解密碼；第二發送子模塊， 用於將所述解密碼通過SIP信令向用戶發送。如圖3e或3f所示，在圖中還顯示 了業務控制模塊和其他模塊，如用戶和安全模塊的連接情況。
其中，上述用戶發送的業務認證請求的具體消息可以是SIP消息(包括SIP會話消息和SIP非會話消息)，如INVITE消息或Subscribe消息等，或是HTTP POST消息，在這些消息中可以攜帶有IMPU和請求認證的頻道信息(業務標識)。
上述的認證通過結果中可包括通過鑑權的頻道標識或是MSK標識，所述的 認證通過結果可以是一個權限通知或是MSK請求。
其中，當用戶是歸屬地訪問歸屬地業務時，用戶只需要向處於歸屬地的安 全模塊12獲取解密碼，則所述業務控制模塊10為屬於歸屬地的業務控制模塊， 所述歸屬地的業務控制模塊用於根據所述業務認證請求或業務認證請求進行業 務認證，獲得認證通過結果後向所述安全模塊12發送所述認證通過結果。
當用戶是拜訪地訪問拜訪地業務時，用戶需要向處於拜訪地的安全模塊12 獲取解密碼，則業務控制模塊10包括屬於歸屬地的業務控制模塊和屬於拜訪地 的業務控制模塊，其中，歸屬地的業務控制模塊用於根據所述業務認證請求進 行業務認證，查找所述用戶的拜訪地的業務控制模塊，再獲得認證通過結果後 向所述拜訪地的業務控制^f莫塊發送所述認證通過結果；拜訪地的業務控制模塊， 用於接收所述認證通過結果，並將所述認證通過結果轉發至所述安全模塊。
當用戶是拜訪地訪問拜訪地業務，而拜訪地沒有相應的業務控制模塊時， 歸屬地的業務控制模塊進行業務認證，並將認證通過結果發送給拜訪地的安全 模塊。
在用戶已經獲得相應的MBMS服務後，BM-SC發送的業務數據的加密碼可 能定期需要更新，則安全模塊12在如圖4a或4c的基礎上還可進一步包括更新 發送模塊128，用於向用戶和廣播多播業務中心(BM-SC)發送更新的解密碼。 具體發送時，更新發送模塊向用戶發送更新的解密碼，用戶獲得更新的解密碼 後就可以根據所述解密碼對所述提供的業務內容進行解密了。如圖4d所示，為 安全模塊包括第一接收模塊120、第一發送模塊122以及更新發送模塊128的情 況。安全才莫塊的其他組成的情況此處不再——舉例。
結合網絡中的其它網元，具體實現時，可將業務控制模塊(Service Control Function, SCF )與網絡中的BSF ( Bootstrapping Server Function,自舉(引導) 伺服器功能)合設為應用伺服器(Application Server, AS )，安全模塊與BM-SC 的轉換功能、會話和傳輸功能合設，如圖5a所示；或者，SCF、 BSF分別設置， Security子功能和BM-SC的轉換功能、會話和傳輸功能合^:，如圖5b所示；或 者，將SCF、 BSF、安全才莫塊合設，如圖5c所示。若安全模塊與BM-SC的轉換功能、會話和傳輸功能合設，則安全模塊為 MBMS網絡的一部分，其可採用MBMS網絡的信令進行工作。若安全模塊與 SCF合設，則安全^t塊為IMS系統的一部分，可採用IMS系統的信令進行工作。
由上述描述可知，在本發明實施例中，在IMS系統和MBMS系統的基礎上， 復用了 IMS的控制能力和MBMS的承載能力，實現IPTV業務，從而能實現統 一的認證、統一的網絡管理，並且可以利用IMS可以實現LTV (LinearTV)業 務與其它基於IMS的業務的捆綁，可向用戶提供個性化業務。
如圖2所示的系統還可進一步包括用戶終端，所述終端可以通過發送HTTP POST信息進行業務認證，消息中間帶的是網際網路多媒體公共標識(Internet Protocol Multimedia Public Identity ， IMPU )，而不是國際移動用戶識別碼 (international mobile subscriber identity , IMSI )。
根據用戶終端能力的不同，用戶終端也可通過SIP消息進行業務認證，獲 得MSK,例如通過INVITE消息或Subscribe消息等，在消息中攜帶IMPU和請 求認證的頻道信息。
如圖6a所示，通信終端14包括第一發送單元140,用於向IMS系統中的 業務控制裝置發送業務認證請求，或用於向安全模塊發送攜帶網際網路多媒體公 共標識的業務認證請求，所述業務認證請求用於向網絡側請求MBMS服務的業 務解密碼；第一接收單元142，用於接收網絡側安全裝置發送的MBMS服務的 業務解密碼，具體實現時，可以是安全裝置直接通過MIKEY方式發送，也可以 是安全模塊通過業務控制模塊向用戶發送。
其中，第一發送單元140包括第一發送子單元1400，用於通過HTTPPOST 發送業務認證請求，所述業務認證請求中攜帶有用戶的網際網路多媒體公共標識 IMPU以及業務標識；或者包括，第二發送子單元1402，用於通過SIP信令發 送業務認證請求，所述業務認證請求中攜帶有用戶的網際網路多媒體公共標識 IMPU以及業務標識。如圖6b及6c所示。
其中，第一接收單元142包括第一接收子單元1420或第二接收子單元1422， 其中第一接收子單元1420,用於通過MIKEY方式接收網絡側發送的業務解密 碼；第二接收子單元1422，用於通過SIP信令接收網絡側發送的業務解密碼。 如圖6d及6e所示。
相應的，本發明實施例還提供了 一種基於IMS系統提供MBMS服務的方法，如圖7所示，該方法包>^舌如下流程
701、 IMS系統中的業務控制模塊根據業務認證請求進行業務認證，獲得認 證通過結果。所述業務認證請求中包括用戶標識和業務標識。該用戶標識具體 可以是IMPU。若安全模塊只能識別IMSI格式的用戶標識，則業務控制模塊的 認證通過結果中包括的用戶標識應為IMSI。業務控制模塊需要將其獲得的業務 認證請求中的IMPU轉換成對應的IMSI。
同時，認證通過結果中應包括業務標識或解密碼(MSK標識)，以使安全才莫 塊可以根據上述標識獲得相應的解密碼。若安全模塊不能根據業務標識獲得對 應的MSK標識，則業務控制模塊還需要將認證通過結果中的業務標識轉換成對 應的MSK標識。
702、 所述業務控制模塊向安全模塊發送所述認證通過結果。
703、 安全控制模塊在獲得所述認證通過結果後，向用戶發送MBMS服務 的業務解密碼。需要說明的是， 一般向用戶提供的MBMS服務的業務內容是通 過密碼加密的，該密碼可稱為MTK,那麼實際上此處發送的可能是解密該MTK 的解密碼(MSK)。
進一步的，如圖8所示，該流程可為
801 、所述安全模塊獲得用戶的業務認證請求；
802、 所述安全模塊根據所述業務認證請求向所述IMS系統中的業務控制模 塊發送業務認證請求；
803、 所述業務控制模塊根據所述業務認證請求進行業務認證，獲得認證通 過結果；
804、 所述業務控制模塊向安全模塊發送所述認證通過結果；
805、 所述安全^^莫塊獲得所述認證通過結果後向用戶發送所述解密碼。 或者如圖9所示，該流程可為
901、 所述IMS系統中的業務控制模塊獲得用戶的業務認證請求；
902、 所述業務控制模塊根據所述業務認證請求進行業務認證，獲得認證通 過結果；
903、 業務控制模塊向所述安全模塊發送所述認證通過結果；
904、 所述安全^i塊獲得所述認證通過結果後向用戶發送所述解密碼。 其中，在上述圖7、圖8、圖9所示的流程中，安全模塊可通過MIKEY(Multimedia Internet KEYing)方式向用戶發送解密碼，也可將解密碼發送至業務控制才莫 塊，由業務控制模塊經由IMS核心網向用戶發送。而用戶發送認證通過請求時， 可通過建立會話由會話啟動協議(Session Initiation Protocol , SIP )會話信令進 行傳輸，也可通過SIP非會話信令傳輸。
同時，在805或904後還可包括
所述安全模塊向用戶發送更新的解密碼；
用戶根據所述解密碼對所述提供的業務內容進行解密。
在801或901之前還包括安全模塊和所述用戶生成加密密碼，所述加密 密碼用於加密所述解密密碼。所述加密密碼具體可以是通過GBA/GAA過程生 成的MUK和MRK。
參見圖10，為用戶處於歸屬地訪問歸屬地業務的時序圖。需要說明的是， 在圖中所示的流程之前還有一些前提準備步驟，如MBMS業務的部署，廣播/ 組播源的準備，在播放IPTV業務時還需要部署頻道標識和業務密鑰的管理。 IPTV籤約數據保存在業務控制模塊(SCF )中，所述的籤約數據具體可以存儲 在SCF或者歸屬籤約用戶伺服器(Home Subscriber Server, HSS)類似實體上， 如果IPTV業務籤約數據存儲在HSS類似實體上，則需要SCF在流程中從HSS 獲取數據。下面對本例中的流程進行說明
1001、 用戶(UE)在業務發現過程中獲取歸屬地EPG， EPG中可能包括臨 時移動組標識(TMGI)，廣播地址等。若用戶已經建立了 MBMS業務，則本步 不需執行，如當用戶進行MBMS IPTV頻道切換時，用戶可能已經獲得了 EPG。 本步可選。
1002、 GBA/GAA過程，在這個過程中，UE通過了 HTTP Digest ( Hypertext Transfer Protocol Digest,超文本傳輸協議Digest)鑑權，由安全模塊(或稱為 Security子功能)為其生成MRK和MUK，其中，MRK用來進行UE和security 子功能之間的鑑權，MUK用來加密MSK。本步為可選過程。本過程也可以通 過在會話建立過程中攜帶B-TID ( Bootstrapping transaction Identifier, GBA臨時 用戶標識)來實現。
1003、 UE發起會話建立請求，例如SIP會話信令INVITE,或SIP非會話 信令Subscribe,上述信令中攜帶有業務認證請求。該業務認證請求中可攜帶有 用戶標識，用戶需要申請的業務的標識等。具體UE可將會話建立請求發送給IMS核心網(IMS Core),該請求中攜帶 業務認證請求，該業務認證請求具體可攜帶有一個或多個頻道標識，以獲得相 應頻道的業務認證。IMS Core再將會話建立請求路由至SCF。
1004、 SCF收到會話建立請求後，根據該會話中攜帶的業務認證請求進行 業務認證，即對UE所具有的權限基於IMPU進行鑑權。
鑑權的具體內容可以是對這個IMPU標識的用戶是否具有觀看所請求的頻 道的權限進行;險查。如果這些IPTV業務權限的籤約數據在HSS類似實體上， SCF需要首先從HSS類似實體上獲取這些籤約數據，然後進行鑑權。
1005、 SCF向用戶發送會話建立成功響應。該響應是基於用戶會話建立而 回復的，如果安全4莫塊通過MIKEY發送MSK，則該響應中可能沒有攜帶相應 的MSK。若安全模塊通過SCF該會話建立成功響應向用戶發送MSK,則該響 應中可能攜帶有相應的MSK,具體可參見圖ll及其相應的描述。
1006、 若1004中，SCF對業務認證的結果為通過認證，則SCF向安全模塊 發送認證通過結果(或可稱為通過用戶鑑權的通知)，其中可能包括通過鑑權的 頻道標識(或MSK標識)。
在SCF上若有頻道標識和該頻道的MSK標識的對應關係，則SCF根據獲 得通過鑑權的頻道標識就可以查找到對應的MSK標識，則向安全模塊發送的認 證通過結果可為相應的MSK標識。
若在SCF沒有頻道標識和該頻道的MSK標識的對應關係，則向安全才莫塊 發送的認證通過結果可為通過鑑權的頻道標識。此時，安全模塊需有根據頻道 標識獲取相應的MSK的能力。
即頻道標識和MSK標識之間的對應關係可以在SCF上實現，也可以在 Security子功能上實現。如果是在SCF上實現，則這個通知中包括的是MSK標 識。這同樣適用於其他實施例中的情況。
需要說明的是，SCF收到的會話建立請求是基於IMPU的，若發往Security 子功能的權限通知是基於IMSI的，則需要通過SCF或者HSS類似實體上存儲 的IMPU和IMSI的映射關係進行相應的轉換，以向安全才莫塊發送合適的標識。
1007、 Security子功能通過MIKEY方式向UE下發已經通過鑑權的頻道的 解密碼(或稱為MSK)。若流程中包括1002過程，則該MSK通過MUK加密後 進行傳輸。MSK也可以如圖ll所示那樣，通過會話建立成功響應返回給用戶，。
1008、 當MBMS是處於E-Broadcast的情況下時，用戶開始在無線側收取 數據的準備工作，即進行MBMS Request, 4企查承載和MBMS assignment操作。 如果是一般廣播業務，用戶可以直接接收MBMS數據而不需執行本步。本步為 可選。
1009、 開始MBMS數據傳輸，用戶利用接收到的MSK解密業務內容，以 觀看節目。具體可以是，若之前執行了 1002過程，則需要先解密MUK加密的 MSK,由於BM-SC發送的業務內容是經過MTK加密的，則需要用MSK解密 獲得對應的MTK,再利用MTK解密該業務內容，進行節目觀看。
在整個業務期間，也可以在用戶獲得第一個MSK後，就將會話拆除。
1010、 在MBMS數據傳輸過程中，可能Security子功能需要定對更新MSK。 這裡採用了 MIKEY MSK更新的方法。另外，也可以有Security子功能將更新 的MSK下發給SCF，通過SIP信令下發MSK。
在上述流程中，也可以是由用戶發起SIP非會話請求MSK的方式，由SCF 從Security子功能獲取MSK,並且通過SIP信令返回給用戶。具體過程，此處 不做贅述。
這裡，SIP信令可以是200OK, INFO， PUBLISH, NOTIFY信令等。 如圖ll所示，為通過SCF從Security子功能獲取MSK，然後在會話建立 成功響應中返回MSK的方法來下發MSK的過程，包括
1101、 UE獲取EPG。
1102、 通過GBA/GAA過程，生成MRK, MUK。本過程亦可以通過在會話 建立過程中攜帶B-TID，由SCF通知安全子功能執行GBA過程來實現。
1103 、用戶通過SIP信令發起會話請求，該請求中同時攜帶了業務認證請求， 或是對於SCF來說，即識別該會話請求本身為業務認證請求。
1104、 SCF獲得相應的用戶數據(如用戶標識，業務標識等)，並進行業務 認證(用戶鑑權和頻道權限檢查過程)，獲得認證通過結果後執行下一步。
1105、 SCF向Security子功能發送通過認證通知，該通過i人證通知此處具體 可為請求MSK的消息，該消息中包括MSK標識或業務標識。
1106、 Security子功能收到請求MSK的消息後即返回對應的MSK。
1107、 SCF收到MSK後即通過會話請求響應向用戶返回MSK。1108、 用戶則可才艮據收到的MSK解密觀看節目。
1109、 在用戶觀看節目的過程中，節目是在不斷傳輸的，其節目數據的加 密碼需要經常更新(比如周期性的更新MTK),即Security子功能需要經常更新 BM-SC發送的節目數據的加密碼MTK (圖中未示)，同時還需要對應的更新用 戶的解密碼。
步驟1107中，SCF也可以通過NOTIFY等其他SIP信令消息將MSK發送 至用戶。
參見圖12,為用戶處於拜訪地訪問拜訪地業務的時序圖，比如對於移動用 戶，用戶可能處於漫遊狀態的情況下，向用戶發送MSK的為拜訪地安全^^莫塊， 則相應的流程如下
1201、 用戶(UE)在業務發現過程中獲取拜訪地EPG，可能包括TMGI， 廣播地址等。
1202、 GBA/GAA過程，在這個過程中，UE通過了 HTTP Digest鑑權，並 且在UE和Security子功能上生成了 MRK和MUK。本步可選。本過程亦可以 通過在會話建立過程中攜帶B-TID，由SCF通知安全子功能執行GBA過程來實 現。
1203、 UE發送會話建立請求
UE發起會話建立請求給IMS Core,可能攜帶一個或多個頻道標識； IMS Core將會話建立請求路由至歸屬地SCF。
1204、 歸屬地SCF收到會話建立請求後，對用戶進行IPTV業務漫遊權限 檢查，通過後，對用戶進行頻道權限檢查。如果這些IPTV業務籤約數據在HSS 類似實體上，SCF需要首先從HSS類似實體上獲取這些籤約數據，然後進行鑑 權。
1205、 歸屬地SCF獲得認證通過結果，該結果中包括通過鑑權的頻道標識， 將會話路由至拜訪地SCF，並且攜帶通過鑑權的頻道標識。
1206、 拜訪地SCF向拜訪地Security子功能發送通過用戶鑑權的通知，其 中可能包括通過鑑權的頻道標識。
1207、 拜訪地Security子功能將通過鑑權的頻道的MSK (通過MUK加密) 發給拜訪地SCF。
1208、 拜訪地SCF將獲得MSK (MUK加密)通過會話建立成功響應下發給歸屬地SCF。
1209、 歸屬地SCF將MSK下發給UE。
1210、 用戶利用接收到的MSK解密MTK，進而解密收到的數據，進行節 目觀看。
1211、 拜訪地Security子功能也相應的定時更新MSK。具體可通過下發MSK 給拜訪地SCF發起MSK更新過程，也可以通過MIKEY MSK更新過程進行 MSK更新，或者是UE通過攜帶需要更新MSK的頻道標識的會話重協商發起 MSK更新過程。
當拜訪地沒有SCF時，歸屬地SCF直接與安全模塊交互相應信息，具體流 程如圖13所示，包括
1301、 UE在業務發現過程中獲取拜訪地EPG，可能包括TMGI，廣播地址等。
1302、 GBA/GAA過程，在這個過程中，UE通過了 HTTP Digest鑑權，並 且在UE和Security子功能上生成了 MRK和MUK。本過程亦可以通過在會話 建立過程中攜帶B-TID,由SCF通知安全子功能執行GBA過程來實現。
1303、 UE發送會話建立請求
UE發起會話建立請求給IMS Core,可能攜帶一個或多個頻道標識； IMS Core將會話建立請求路由至歸屬地SCF。
1304、 歸屬地SCF收到會話建立請求後，對用戶進行IPTV業務漫遊權限 檢查，通過後，對用戶進行頻道權限檢查。然後根據通過鑑權的頻道標識，需 要從拜訪地Security子功能獲取MSK。在此處，由於是歸屬地SCF直接訪問拜 訪地Security子功能，則該歸屬地SCF需要預先進行配置，使其能夠尋址到拜 訪地Security子功能。如在歸屬地SCF上配置所允許路由的所有拜訪地Security 子功能(或所在網元)的地址。
1305、 歸屬地SCF向拜訪地Security子功能發送認證通過結果。此時歸屬 地SCF需具有可獲知到拜訪地Security子功能的路由的能力。
1306、 拜訪地Security子功能將歸屬地SCF需要的MSK發送歸屬地SCF。
1307、 歸屬地SCF將收到MSK在會話建立成功響應中返回給UE。
1308、 UE用接收的MSK解碼其接收MBMS業務
1309、 拜訪地Security子功能通過MIKEY周期性進行MSK (MUK加密)。在上述過程中，當UE獲得MSK後，可發起拆除會話的請求，以拆除會話， 則歸屬地SCF可根據拆除會話的請求發起會話拆除成功的響應。
圖11、圖12、以及圖13中，用戶發送的業務認證請求都是先發送給SCF， 再由SCF轉發至安全才莫塊，在如圖14中所示的實施例中，該業務認證請求則是 直接發送給安全模塊的，其流程如下所述
1401、 UE在業務發現過程中獲取拜訪地EPG,可能包括TMGI,廣播地址 等。本步可選
1402、 GBA/GAA過程，在這個過程中，UE通過了 HTTP Digest鑑權，並 且在UE和Security子功能上生成了 MRK和MUK。可選。
1403 、 UE發起HTTP POST請求，該HTTP POST請求中攜帶了業務認證 請求，該業務認證請求中包括用戶標識，註冊指示，以及MBMS業務標識等。 其中，用戶標識採用IMPU。該HTTP POST請求可以不經由SCF而直接發送至 Security子功能。
1404、 Security子功能收到請求後，向SCF發送業務認證請求，以請求此 IMPU的業務權限。如果此業務的IMPU的業務權限存儲在HSS類似實體上， SCF需要從HSS類似實體上首先獲取。
1405、 SCF根據業務認證請求對業務進行鑑權，對於獲得鑑權通過的業務 生成相應的認證通過結果並向Security子功能發送，該認證通過結果中標識了是 哪些業務的認-〖正獲得了通過。
1406、 Security子功能發送認證響應給UE。
1407、 Security子功能根據上述認證通過結果，通過MIKEY方式將MSK 發送給UE。 UE獲得MSK後進行相應的解碼等操作。同時，Security子功能可 周期性的發送MSK至用戶。
上述圖7~圖14中所示的流程適用於用戶初次獲得MSK以使用MBMS業 務的情況，也適用於當用戶需用>^人一個MBMS IPTV業務切換到另一 MBMS IPTV業務的情況。
用戶在收看IMS/MBMS IPTV業務時，有頻道切換的需求，這時會存在三 種情況
1、用戶切換前後MSK保持不變，如，用戶在一個業務包內(MSK相同) 進行切換。這時，用戶只需要接收新頻道的內容並用原有的MSK進行解密，就可以觀看新頻道的內容了 。
2、 用戶切換前後MSK發生變化，且在初始建立業務時，UE已經獲取到新 頻道對應的MSK,這時，用戶也只需要使用已經獲取的MSK對接收到的新頻 道的內容進行解密，觀看新頻道的內容。
3、 用戶切換前後MSK發生變化，且UE沒有要觀看新頻道的MSK,頻道 切換時，需要重新獲取密鑰，如果業務是通過會話建立的，UE可以發起會話重 協商獲取密鑰，如果要使用MIKEY MSK更新過程獲取MSK,需要先經過 GBA/GAA過程和SCF進行業務層面的鑑權。同樣也可以通過SIP非會話方式 獲取。
切換過程可如圖15所示，包括流程
1)用戶在進行MBMS業務。
2a)用戶發起會話》務改請求relnvite。
2b) IMS Core收到上述會話修改請求relnvite後將其發送SCF。
3 ) SCF根據該會話修改請求relnvite與單播業務中心之間建立淡薄業務。
4a) SCF建立起單播業務後向IMS Core發送會話修改成功200OK響應。
4b ) IMS Core將會話^參改成功200OK響應發送至用戶。
5)用戶與單播業務中心之間建立單播業務。
當需要獲取密鑰時，其流程與圖8 圖14中所描述的過程類似，此處不予贅述。
另外，還可以在UE發起業務註冊時(進行業務認證時)，通過在消息中加 一個解註冊業務的指示，通知安全模塊用戶不再需要某個(些)MSK，進行業 務的解註冊，即通知安全功能不再周期性下發MSK給UE。
圖16是本發明中基於IMS系統提供MBMS服務的方法的第八實施例的流 程示意圖。
上面的過程都是GBA過程和業務建立過程獨立的，圖16給出了在會話過 程中攜帶B-TID,由SCF在通知安全子功能授權消息時，同時通知安全子功能 進行GBA的過程，具體如下
1601、 UE獲取EPG。
1602、 用戶通過SIP信令發起會話請求，該會話請求中同時攜帶了業務認 證請求，或是對於SCF來說，即識別該會話請求本身為業務認證請求。並且該
23會話請求中攜帶B-TID。
1603、 SCF獲得相應的用戶數據(如用戶標識，業務標識等)，並進行業務 認證(用戶鑑權和頻道權限檢查過程)，獲得認證通過結果後執行下一步。
1604、 SCF向Security子功能發送認證通過通知，該認證通過通知此處具體 可為用戶的權限信息，該消息中包括MSK標識或業務標識。並且其中攜帶 B-TID。
1605、 Security子功能收到通知後，根據B-TID和BSF交互執行GBA過程， 獲得密鑰相關信息，並生成MUK，用以加密MSK。(注，這裡沒有畫出Security 子功能和BSF的交互信息)。
1606、 Security子功能向SCF返迴響應。
1607、 SCF收到來自Security子功能的響應後向用戶返回會話請求響應，具 體可以是會話建立成功響應200 OK。
1608、 Security子功能將定期發送經過MUK加密的MSK給用戶。 用戶可以才艮據MSK來解密MTK，進而解密收到的加密lt據。 由上述描述可知，在本發明實施例中，在IMS系統和MBMS系統的基礎上，
復用了 IMS的控制能力和MBMS的承載能力，實現IPTV業務，從而能實現統
一的認證、統一的網絡管理、統一的策略控制、統一的計費、統一的帳單；並
且可以利用IMS可以實現IPTV業務與其它基於IMS的業務的捆綁，可向用戶
提供個性化業務。所以，採用本發明的方法來提供IPTV，可以使得IMS網絡
運營商能夠儘可能地使用網絡能力，使MBMS提供商能夠更加專注於自己擅長
的領域，而用戶也避免多重身份帶來的不便，解決了只能通過IMSI來對用戶進
行身份檢查的限制。
通過以上的實施方式的描述，所屬領域的技術人員可以清楚地了解到本發
明可藉助軟體加必需的通用硬體平臺的方式來實現，當然也可以通過硬體，但
很多情況下前者是更佳的實施方式。基於這樣的理解，本發明的技術方案本質
上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來，該計算
機軟體產品存儲在可讀取的存儲介質中，如計算機的軟盤，硬碟或光碟等，包
括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡
設備等)執行本發明各個實施例所述的方法。以上所揭露的^又為本發明的實施例而已，當然不能以此來限定本發明之權 利範圍，因此依本發明權利要求所作的等同變化，仍屬本發明所涵蓋的範圍。
權利要求
1、一種基於IMS系統提供MBMS服務的方法，其特徵在於，所述方法包括IMS系統中的業務控制模塊根據業務認證請求進行業務認證，獲得認證通過結果；所述業務控制模塊向安全模塊發送認證通過結果，所述認證通過結果用於通知安全模塊根據所述認證通過結果向用戶發送MBMS服務的業務解密碼。
2、 如權利要求l所述的方法，其特徵在於，所述IMS系統中的業務控制模 塊根據業務認證請求進行業務認證，獲得認證通過結果包括所述業務控制模塊接收用戶通過安全模塊發送的業務認證請求； 所述業務控制模塊根據所述業務認證請求進行業務認證，獲得認證通過結
3、 如權利要求l所述的方法，其特徵在於，所述IMS系統中的業務控制模 塊根據業務認證請求進行業務認證，獲得認證通過結果包括所述IMS系統中的業務控制模塊接收用戶通過IMS核心網發送的業務認證請求；所述業務控制模塊根據所述業務認證請求進行業務認證，獲得認證通過結果。
4、 如權利要求1至3任一權利要求所述的方法，其特徵在於，所述安全模 塊向用戶發送MBMS服務的業務解密碼包括所述安全^f莫塊通過MIKEY方式向所述用戶發送業務解密碼；或，所述安全模塊向所述業務控制模塊發送解密碼，所述業務控制模塊通
5、如權利要求1至3任一權利要求所述的方法，其特徵在於，所述業務認 證請求通過SIP會話信令或SIP非會話信令傳輸。
6、 如權利要求5所述的方法，其特徵在於，所述業務認證請求攜帶GBA 臨時用戶標識B-TID，所述業務控制模塊轉發B-TID給所述安全模塊，所述安 全模塊根據所述B-TID和自舉伺服器功能BSF交互執行GBA過程。
7、 如權利要求4所述的方法，其特徵在於，在所述安全模塊向用戶發送 MBMS服務的業務解密碼後還包括所述安全模塊向用戶發送更新的業務解密碼。
8、 如權利要求l所述的方法，其特徵在於，所述IMS系統中的業務控制模 塊根據業務認證請求進行業務認證之前包括安全模塊和所述用戶交互生成加密密碼，所述加密密碼用於加密所述解密碼。
9、 如權利要求1至3任一權利要求所述的方法，其特徵在於，所述業務認 證請求中包括用戶標識和業務標識，所述用戶標識為網際網路多媒體公共標識 IMPU。
10、 如權利要求9所述的方法，其特徵在於，所述認證通過結果包括業務 標識，則所述安全模塊根據所述認證通過結果向用戶發送MBMS服務的業務解 密碼包括安全模塊根據所述業務標識，匹配對應的解密碼標識，向用戶發送所述解 密碼標識對應的MBMS力良務的業務解密碼。
11、如權利要求9所述的方法，其特徵在於，所述認證通過結果包括解密 碼標識，所述解密碼標識為業務控制模塊根據所述業務標識，匹配對應的解密 碼標識，並將解密碼標識攜帶在認證通過結果中；則所述安全模塊根據所述認證通過結果向用戶發送MBMS服務的業務解密 碼包括所述安全模塊根據所述解密碼標識，向用戶發送所述解密碼標識對應的MBMS服務的業務解密碼。
12、 一種安全裝置，其特徵在於，所述裝置包括第一接收模塊，用於接收IMS系統中的業務控制模塊發送的認證通過結果； 第一發送模塊，用於根據所述認證通過結果向用戶發送MBMS服務的業務 解密碼。
13、 如權利要求12所述的裝置，其特徵在於，所述裝置還包括 第二接收才莫塊，用於接收用戶的業務認證請求；第二發送模塊，用於向所述業務控制模塊發送業務認證請求。
14、 如權利要求12所述的裝置，其特徵在於，所述第一發送模塊用於通過 MIKEY方式向用戶發送業務解密碼，或將解密碼發送至業務控制裝置，由所述 業務控制裝置通過SIP信令向用戶發送所述業務解密碼。
15、 如權利要求12至14中任一項所述的裝置，其特徵在於，所述裝置還 包括更新發送模塊，用於向用戶發送更新的解密碼。
16、 如權利要求12至14中任一項所述的裝置，其特徵在於，當所述第一接收^^塊接收到的認證通過結果包括解密碼標識，則所述第一 發送模塊用於根據所述認證通過結果向用戶發送所述解密碼標識對應的MBMS 服務的業務解密碼；或者當所述第一接收模塊接收到的認證通過結果包括業務標識，則所述第 一發 送模塊包括轉換子模塊和發送子模塊，其中轉換子模塊用於根據所述認證通過結果中的業務標識，匹配對應的解密碼 標識；發送子模塊用於根據所述轉換子模塊獲得的解密碼標識，向用戶發送所述 解密碼標識對應的MBMS "l務的業務解密碼。
17、 一種IMS系統中的業務控制裝置，其特徵在於，所述裝置包括 第一認證子模塊，用於根據業務認證請求進行業務認證，獲得認證通過結果；第一發送子模塊，用於將所述認證通過結果發送至安全模塊，所述認證通過結果用於通知所述安全模塊根據所述認證通過結果向用戶發送MBMS服務的 業務解密碼。
18、 如權利要求17所述的裝置，其特徵在於，所述裝置還包括 第二接收子模塊，用於接收安全模塊根據所述認證通過結果發送的相應的解密碼；第二發送子模塊，用於將所述解密碼通過SIP信令向用戶發送。
19、 如權利要求17所述的裝置，其特徵在於，所述第一認證子模塊獲得的 認證通過結果包括業務標識，則所述第一發送子^t塊包括轉換子單元，用於#4居所述認證通過結果中的業務標識匹配對應的解密碼 標識；第一發送子單元，用於將包括所述轉換子單元獲取的解密碼標識的認證通 過結果發送至安全模塊。
20、 如權利要求17至19中任一項所述的裝置，其特徵在於，所述裝置還 包括第一接收子模塊或第三接收子模塊中的一種，其中所述第一接收子模塊，用於接收用戶通過IMS核心網發送的業務認證請求； 所述第三接收子模塊，用於接收用戶通過安全模塊發送的業務認證請求。
21、 一種基於IMS系統提供MBMS服務的系統，其特徵在於，所述系統包括IMS系統中的業務控制模塊，用於根據業務認證請求進行業務認證，獲得 認證通過結果，向安全模塊發送所述認證通過結果；安全模塊，用於根據所述認證通過結果向用戶發送MBMS服務的業務解密碼；廣播多播業務中心，用於向用戶提供MBMS服務，所述MBMS服務的業 務內容通過所述業務解密碼解密後使用。
22、 如權利要求21所述的系統，其特徵在於，所述業務控制模塊包括 第一接收子模塊或第三接收子模塊，第一接收子模塊用於接收用戶發送的業務認證請求，第三接收子^1塊用於接收安全^f莫塊發送的業務認證請求；第一認證子模塊，用於根據所述業務認證請求進行業務認證，獲得認證通過結果，所述認證通過結果中包括業務標識；第一發送子模塊，用於將包括業務標識的認證通過結果發送至安全模塊；或者所述第 一發送子模塊包括轉換子單元，用於根據所述認證通過結果中的業務標識匹配對應的解密碼標識；第一發送子單元，用於將包括所述轉換子單元獲取的解密碼標識的認證通 過結果發送至安全模塊。
23、 如權利要求22所述的系統，其特徵在於，所述安全模塊包括 第一接收模塊，用於接收IMS系統中的業務控制模塊發送的認證通過結果； 第一發送模塊，用於根據所述認證通過結果，通過MIKEY方式向用戶發送業務解密碼，或者將解密碼發送至業務控制裝置，由所述業務控制裝置通過SIP 信令向用戶發送所述業務解密碼。
24、 如權利要求22或23所述的系統，其特徵在於，所述安全模塊包括 第二接收模塊，用於接收用戶發送的業務認證請求；第二發送模塊，用於向所述業務控制模塊發送業務認證請求。
25、 一種通信終端，其特徵在於，所述通信終端包括第一發送單元和第一 接收單元，其中，所述第一發送單元，用於向IMS系統中的業務控制裝置發送業務認證請求， 或向安全模塊發送攜帶網際網路多媒體公共標識的業務認證請求，所述業務認證 請求用於向網絡側請求MBMS服務的業務解密碼；所述第一接收單元，用於接收網絡側安全裝置發送的MBMS服務的業務解 密碼。
26、 如權利要求25所述的通信終端，其特徵在於，所述第一發送單元可包括第一發送子單元，用於通過HTTP POST發送業務認證請求，所述業務認證 請求中攜帶有用戶的網際網路多媒體公共標識IMPU以及業務標識；或包括，第二發送子單元，用於通過SIP信令發送業務認證請求，所述業 務認證請求中攜帶有用戶的網際網路多媒體公共標識IMPU以及業務標識。
27、 如權利要求26所述的通信終端，其特徵在於，所述第一接收單元包括 第一接收子單元或第二接收子單元，其中第一接收子單元，用於通過MIKEY方式接收網絡側發送的業務解密碼； 第二接收子單元，用於通過SIP信令接收網絡側發送的業務解密碼。
全文摘要
本發明公開了一種提供MBMS服務的方法、系統、安全裝置、業務控制裝置和通信終端，其中，所述方法包括IMS系統中的業務控制模塊根據業務認證請求進行業務認證，獲得認證通過結果；所述業務控制模塊向安全模塊發送所述認證通過結果；所述安全模塊獲得所述認證通過結果後向用戶發送MBMS服務的業務解密碼。在本發明實施例中，在IMS系統和MBMS系統的基礎上，復用了IMS的控制能力和MBMS的承載能力，實現IPTV業務，從而能實現統一的認證、統一的網絡管理，並且可以利用IMS可以實現IPTV業務與其它基於IMS的業務的捆綁，可向用戶提供個性化業務。
文檔編號H04H60/91GK101582730SQ20081018151
公開日2009年11月18日 申請日期2008年11月20日 優先權日2008年5月15日
發明者成淑敏, 朱東銘, 李金成, 嘯 王, 耕 王, 鍾劍鋒 申請人:華為技術有限公司