中国移动手机电视企标培训--03总体技术要求

手机电视系列企业标准培训 总体技术要求 中国移动通信研究院 内容 MBBMS背景介绍 MBBMS系统结构与组网 MBBMS加密体系 MBBMS业务流程 MBBMS简介 目标 基础 广播式手机电视业务管理系统 （ MBBMS， Mobile Broadcast Business Management System） 利用现有移动通信网络的管理 /计费系统和认证鉴权机制，实现用户管理（标识 /认证 /授权） 实现广播式手机电视业务的可运营、可管理 系统功能 用户认证、授权 ：用户认证、业务密钥安全分发 业务 /用户管理 ：订购数据管理、订购鉴权 业务指南 ：业务指南分发和展现 话单处理 ：实时生成话单，传递给计费系统 颁发证书颁发证书移动终端认证中心业务平台使用证书认证身份分发业务密钥、业务指南受保护的节目密钥、节目流移动网络广播网络移动终端业务平台终端预置智能卡密钥网络存储用户密钥预置 CA 智能卡媒体制作分发中心ECM （受保护的节目密钥、广播节目流）EMM （业务密钥、用户授权信息等）移动网络广播网络MBBMS出现之前存在的技术方向 5/11 条件接收 OMA DRM ETSI组织制定的 DVB CBMS Open Security Framework 规范框架公开，但核心部件为私有条件接收技术，运营商不掌控 仅授权用户可以播放广播内容 ETSI组织制定的 DVB CBMS 18Crypt Profile和 OMA BCAST DRM Profile PKI系统 以手机终端为核心 6 中国移动对广播式业务管理的需求 技术公开性 与广播承载 的耦合度 安全性 部署难易度 资源利用率 基于移动通信网络用户标识系统和认证鉴权机制的业务管理方案 MBBMS方案的优点 容易部署 MBBMS方案是完整、高效的移动多媒体广播业务管理系统解决方案 利用现有移动通信网络的用户认证机制、用户管理 /计费系统，部署快，投资少 安全可靠 密钥核心算法在 独立于终端的用户认证模块 存储和执行，有利于业务安全 技术公开 选择开放的标准化方案，有利于得到网络设备提供商和终端设备提供商的广泛支持，产业链稳定可靠 带宽利 用率高 用户通过移动网络点对点的方式快速获取密钥，较广播方式更节省带宽资源 独立于 承载技术 作为业务管理方案，独立于承载技术，可以和不同的承载技术灵活结合，形成完整的解决方案 MBBMS发展历程 2004年 12月，研究院启动手机电视研究 2006年 4月，完成 MBBMS技术方案，公司领导决策采用 MBBMS方案作为手机电视目标方案 12月，完成原型产品开发 2007年 5月，现网试验（北京、上海、广州） 9月，启动二阶段产品开发 2008年 4月，与广电就总体技术方案达成一致 9月，与广电完成原型产品开发 12月，与广电完成实验室联调 MBBMS已适配多种广播承载技术 9/11 CMMB DMMB TD-MBMS DVB-H DVB-T T-MMB T-DMB 广电 -行标 中国移动 -企标 CMMB TD-MBMS 国标委上报“国标” T-MMB 工信部 -行标 MBBMS MBBMS MBBMS MBBMS &TD-MBMS MBMS(Multimedia Broadcast/Multicast Service)多媒体广播多播业务 3GPP定义的利用移动通信网络实现广播 /多播的端到端技术架构 TD-MBMS 将 3GPP定义的 WCDMA-MBMS功能移植 TD-SCDMA网络 R6版本 TDD MBMS和WCDMA MBMS的高层协议完全一致，只在物理层上有区别 MBBMS 中国移动设计的用于广播业务的业务管理系统 借鉴了 MBMS安全架构（TS 33.246） 设计了完善的业务流程、接口定义、业务指南、系统结构、组网方式等 中国移动 TD-MBMS业务 MBMS承载技术 +MBBMS业务管理系统 内容 MBBMS背景介绍 MBBMS系统结构与组网 MBBMS加密体系 MBBMS业务流程 MBBMS的系统结构 HLR NAF 业务控制 SG 服务器 Portal BSF 密钥管理 BOSS WAP 网关 移动通信网络 GGSN 短信网关 Internet 互动应用服务器 广播网络 复用器 ESG服务器 加扰器 广电用户管理 音视频 编码器 广电密钥管理 MBBMS系统设备功能 平台侧 SG服务器 业务信息同步功能 业务指南生成功能 业务指南分发功能 NAF 密钥管理功能 业务控制功能 订购关系、开通状态保存和同步功能 BSF 用户密钥生成功能 本地 NAF与归属地 BSF间用户密钥请求代理功能 Portal（初期不建 Portal，合入 BOSS网上营业厅） WWW/WAP门户 MBBMS系统设备功能 终端侧 终端 接收广播信号 接收并展现业务指南 支持开通 /取消 /暂停 /恢复 /订购 /退订 /获取密钥 /更新订购关系等所有业务流程 解密播放节目 用户认证模块 安全核心 与终端交互，完成中国移动用户密钥生成 密钥存储（中国移动用户密钥、广电用户密钥、业务密钥） 节目流密钥解密 广电侧设备功能 编码器 对音视频内容进行编码 ESG服务器 配置业务信息 将业务信息发送给 MBBMS平台 SG服务器 加扰器 使用节目流密钥对音视频节目进行加扰 密钥管理系统 广电用户密钥生成与存储 业务密钥生成与加密 节目流密钥生成与加密 用户管理系统 存储用户订购信息 复用器 对移动多媒体 /手机电视业务进行复用 MBBMS组网 -现阶段组网结构 G G S NH L RW A P 网 关G S M / G P R S / E DG EG G S NH L RW A P 网 关T D -S C D M A网 络短 信 网 关复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器RP o r t a lN A FB S FS G复 用 器广 电 全 国 业 务 平 台编 码 器加 扰 器C M M B N E TC M M B N E TC M M B 覆 盖 网 络C M M B 覆 盖 网 络复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器接 口复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器接 口M B B M S平 台C M N E TMBBMS组网 -多点组网结构 G G S NH L RW A P 网 关G S M / G P R S / E DG E。 。 。 。 。 。G G S NH L RW A P 网 关G S M / G P R S / E DG EC M N E TG G S NH L RW A P 网 关T D -S C D M A网 络短 信 网 关短 信 网 关C M N E T复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器RP o r t a lL _ N A FB S FS GRP o r t a lL _ N A FB S FS G复 用 器广 电 全 国 业 务 平 台编 码 器加 扰 器C M M B N E TC M M B N E TC M M B 覆 盖 网 络C M M B 覆 盖 网 络RP o r t a lC _ S GC _ N A FC M M B 覆 盖 网 络复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器接 口复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器复 用 器广 电 区 域 业 务 平 台编 码 器加 扰 器接 口M B B M S全 国 业 务 节 点M B B M S区 域 业 务 节 点M B B M S区 域 业 务 节 点多点组网 全国业务节点 C_SG：接收全国业务的业务信息，并同步给 L_SG C_Portal：全国 WWW和 WAP的统一入口 C_NAF：全国业务的订购信息和统计信息的存储 地方节点 L_SG：业务指南的生成和分发 L_NAF：用户认证鉴权、开通状态和订购关系管理，业务密钥分发 L_Portal：区域 WWW/WAP门户 BSF：归属用户的用户密钥管理 多点组网下平台间互连关系 区域节点 2手机电视业务管理系统全国节点手机电视业务管理系统C _ NAF C _ SG区域节点 1手机电视业务管理系统L _ NAFB S FL _ SGP o r t a lL _ NAFB S FL _ SGP o r t a l内容 MBBMS背景介绍 MBBMS系统结构与组网 MBBMS加密体系 MBBMS业务流程 MBBMS密钥体系 终端侧 网络侧 广电 用户密钥 广电 用户密钥 预置 中国移动 用户密钥 中国移动 用户密钥 双向信道 认证生成 节目流密钥 加密的 节目流密钥 加密 节目流密钥 解密 加密的 节目流 加密 解密 节目流 节目流 业务密钥 加密 业务密钥 解密 加密 解密 双重加密的 业务密钥 移动网络 广播网络 手机电视业务平台 终端 用户认证模块 BSF HLR 生成共享密钥 (KS) HTTP Digest AKA 获得鉴权元组 生成并存储 KS 生成并存储 用户密钥 生成 KS 用户密钥 业务请求 HTTP Digest 发送业务密钥 (以用户密钥加密 ) HTTP 业务密钥管理 获得并存储 业务密钥 (以用户密钥解密 ) 加扰器 音频编码 视频编码 节目流 (以节目流密钥加密 ) 节目流密钥 (以业务密钥加密 ) 节目流密钥 以业务密钥加密的节目流密钥 解密节目流密钥 (以业务密钥解密 ) 用节目流密钥解密节目流 节目流密钥 用户密钥 业务密钥 节目流密钥 加密的节目 鉴权方案 用户密钥管理 中国移动用户密钥管理 终端用户认证模块与网络侧 BSF设备基于移动通信网络鉴权机制进行双向认证，生成共享密钥 Ks 终端用户认证模块与网络侧采用相同算法，分别生成认证密钥（ MRK）和用户密钥（ MUK） 认证密钥（ MRK）用于终端与 NAF相互认证，用户密钥（ MUK）用于对业务密钥加密传输 广电侧用户密钥管理 128位对称密钥 广电密钥管理设备生成并保存，预置在用户认证模块中 用于加密业务密钥 Generic Bootstrapping Architecture 用于在终端和业务平台间建立共享密钥 利用卡和 HLR中保存的 K或 Ki进行认证并生成密钥 在 3GPP TS 33.220中定义 中国移动用户密钥生成机制 -GBA ME HSS/HLR BSF Ua Ub Zh Zn NAF 卡 3GPP GBA Bootstrapping流程 计算 Ks=CK|IK 保存 B-TID ME BSF HSS/HLR Request (user identity) 获取五元组数据 401 Unauthorized WWW-Authenticate(RAND,AUTN) 运行 AKA算法，通过 AUTN认证网络侧身份，计算CK,IK, RES Request Authorization Digest（ RES） 验证 RES 计算 Ks=CK|IK 200 OK B-TID、 Key lifetime 计算： B-TID (U)SIM Authenticate（ RAND AUTN） RES或 AUTS 写入 B-TID、 Key lifetime 3GPP GBA密钥使用流程 Ks_ext_NAF = KDF (Ks, gba-me, RAND, IMPI, NAF_Id) Ks_int_NAF= KDF (Ks, gba-u, RAND, IMPI, NAF_Id) 计算 Ks_in_NAF、 Ks_ext_NAF ME BSF B - TID, Ks Application Request(B-TID) NAF Ua Zn Authentication Request (B - TID,NAF hostname) Authentication Answer (Ks_int_NAF、 Ks_ext_NAF key lifetime) Application Answer B-TID、 KS (U)SIM Authenticate （ IMPI、 NAF_ID） Ks_ext_NAF 保存 Ks_int_NAF和 Ks_ext_NAF 计算 Ks_in_NAF、 Ks_ext_NAF， 保存 Ks_int_NAF 终端与 NAF认证机制 -HTTP Digest 业务请求 nonce, Algorithm 摘要结果 业务响应 终端 服务器 ,qop ,摘要结果 , cnonce , nextnonce Nonce是服务器生成的随机数 摘要结果是使用 HASH算法对认证密钥（ MRK）、nonce、用户名、服务器域名等计算的结果 Qop=“Auth” 或” Auth_int”, Auth表示双向认证， Auth_int表示除双向认证外还对消息完整性保护 客户端生成的随机数 计算摘要结果的输入中增加了cnonce， 如果 qop=auth_int则还要增加HTTP Body，保证消息完整性 服务器计算的摘要结果，用于向终端认证身份 终端下次 Http Digest时用的nonce，可以节省下次认证的交互次数 RFC 2617定义 不换卡方案的要求 28/11 保证用户不换卡不换号 09年 4月 10日总裁办公会要求研究院提出在不换卡的条件下支持 MBBMS的方案 09年 4月 28日，集团公司领导同意研究院提出的采用“终端外接 SD卡实现认证模块”及“终端嵌入芯片实现认证模块”两种方案解决不换卡收看手机电视问题 自动实现用户身份与 SIM卡绑定 保证开发时间满足市场要求 保证方案的安全性 不换卡方案的解决思路 29/11 (U)SIM 用户认证模块 终端 BSF HLR 三元组 /五元组 BSF HLR 三元组 /五元组 (U)SIM 终端 不换卡方案 30/11 软件平台 SIM卡 客户端软件 SD卡槽 SIM卡 用户认证功能 可插拔设备（ SD卡）方案 嵌入式芯片方案 客户端软件 软件平台 用户认证功能 芯片 生成共享密钥 GBA初始化流程 卡 终端 NAF BSF HLR 询问 BSF地址 GBA 初始化请求 请求鉴权元组 认证参数（ RAND或 RAND、 AUTN） RAND或 RA