中國移動(dòng)手機(jī)電視企標(biāo)培訓(xùn)--03總體技術(shù)要求

手機(jī)電視系列企業(yè)標(biāo)準(zhǔn)培訓(xùn) 總體技術(shù)要求 中國移動(dòng)通信研究院 內(nèi)容 MBBMS背景介紹 MBBMS系統(tǒng)結(jié)構(gòu)與組網(wǎng) MBBMS加密體系 MBBMS業(yè)務(wù)流程 MBBMS簡(jiǎn)介 目標(biāo) 基礎(chǔ) 廣播式手機(jī)電視業(yè)務(wù)管理系統(tǒng) （ MBBMS， Mobile Broadcast Business Management System） 利用現(xiàn)有移動(dòng)通信網(wǎng)絡(luò)的管理 /計(jì)費(fèi)系統(tǒng)和認(rèn)證鑒權(quán)機(jī)制，實(shí)現(xiàn)用戶管理（標(biāo)識(shí) /認(rèn)證 /授權(quán)） 實(shí)現(xiàn)廣播式手機(jī)電視業(yè)務(wù)的可運(yùn)營、可管理 系統(tǒng)功能 用戶認(rèn)證、授權(quán) ：用戶認(rèn)證、業(yè)務(wù)密鑰安全分發(fā) 業(yè)務(wù) /用戶管理 ：訂購數(shù)據(jù)管理、訂購鑒權(quán) 業(yè)務(wù)指南 ：業(yè)務(wù)指南分發(fā)和展現(xiàn) 話單處理 ：實(shí)時(shí)生成話單，傳遞給計(jì)費(fèi)系統(tǒng) 頒發(fā)證書頒發(fā)證書移動(dòng)終端認(rèn)證中心業(yè)務(wù)平臺(tái)使用證書認(rèn)證身份分發(fā)業(yè)務(wù)密鑰、業(yè)務(wù)指南受保護(hù)的節(jié)目密鑰、節(jié)目流移動(dòng)網(wǎng)絡(luò)廣播網(wǎng)絡(luò)移動(dòng)終端業(yè)務(wù)平臺(tái)終端預(yù)置智能卡密鑰網(wǎng)絡(luò)存儲(chǔ)用戶密鑰預(yù)置 CA 智能卡媒體制作分發(fā)中心ECM （受保護(hù)的節(jié)目密鑰、廣播節(jié)目流）EMM （業(yè)務(wù)密鑰、用戶授權(quán)信息等）移動(dòng)網(wǎng)絡(luò)廣播網(wǎng)絡(luò)MBBMS出現(xiàn)之前存在的技術(shù)方向 5/11 條件接收 OMA DRM ETSI組織制定的 DVB CBMS Open Security Framework 規(guī)范框架公開，但核心部件為私有條件接收技術(shù)，運(yùn)營商不掌控 僅授權(quán)用戶可以播放廣播內(nèi)容 ETSI組織制定的 DVB CBMS 18Crypt Profile和 OMA BCAST DRM Profile PKI系統(tǒng) 以手機(jī)終端為核心 6 中國移動(dòng)對(duì)廣播式業(yè)務(wù)管理的需求 技術(shù)公開性 與廣播承載 的耦合度 安全性 部署難易度 資源利用率 基于移動(dòng)通信網(wǎng)絡(luò)用戶標(biāo)識(shí)系統(tǒng)和認(rèn)證鑒權(quán)機(jī)制的業(yè)務(wù)管理方案 MBBMS方案的優(yōu)點(diǎn) 容易部署 MBBMS方案是完整、高效的移動(dòng)多媒體廣播業(yè)務(wù)管理系統(tǒng)解決方案 利用現(xiàn)有移動(dòng)通信網(wǎng)絡(luò)的用戶認(rèn)證機(jī)制、用戶管理 /計(jì)費(fèi)系統(tǒng)，部署快，投資少 安全可靠 密鑰核心算法在 獨(dú)立于終端的用戶認(rèn)證模塊 存儲(chǔ)和執(zhí)行，有利于業(yè)務(wù)安全 技術(shù)公開 選擇開放的標(biāo)準(zhǔn)化方案，有利于得到網(wǎng)絡(luò)設(shè)備提供商和終端設(shè)備提供商的廣泛支持，產(chǎn)業(yè)鏈穩(wěn)定可靠 帶寬利 用率高 用戶通過移動(dòng)網(wǎng)絡(luò)點(diǎn)對(duì)點(diǎn)的方式快速獲取密鑰，較廣播方式更節(jié)省帶寬資源 獨(dú)立于 承載技術(shù) 作為業(yè)務(wù)管理方案，獨(dú)立于承載技術(shù)，可以和不同的承載技術(shù)靈活結(jié)合，形成完整的解決方案 MBBMS發(fā)展歷程 2004年 12月，研究院?jiǎn)?dòng)手機(jī)電視研究 2006年 4月，完成 MBBMS技術(shù)方案，公司領(lǐng)導(dǎo)決策采用 MBBMS方案作為手機(jī)電視目標(biāo)方案 12月，完成原型產(chǎn)品開發(fā) 2007年 5月，現(xiàn)網(wǎng)試驗(yàn)（北京、上海、廣州） 9月，啟動(dòng)二階段產(chǎn)品開發(fā) 2008年 4月，與廣電就總體技術(shù)方案達(dá)成一致 9月，與廣電完成原型產(chǎn)品開發(fā) 12月，與廣電完成實(shí)驗(yàn)室聯(lián)調(diào) MBBMS已適配多種廣播承載技術(shù) 9/11 CMMB DMMB TD-MBMS DVB-H DVB-T T-MMB T-DMB 廣電 -行標(biāo) 中國移動(dòng) -企標(biāo) CMMB TD-MBMS 國標(biāo)委上報(bào)“國標(biāo)” T-MMB 工信部 -行標(biāo) MBBMS MBBMS MBBMS MBBMS &TD-MBMS MBMS(Multimedia Broadcast/Multicast Service)多媒體廣播多播業(yè)務(wù) 3GPP定義的利用移動(dòng)通信網(wǎng)絡(luò)實(shí)現(xiàn)廣播 /多播的端到端技術(shù)架構(gòu) TD-MBMS 將 3GPP定義的 WCDMA-MBMS功能移植 TD-SCDMA網(wǎng)絡(luò) R6版本 TDD MBMS和WCDMA MBMS的高層協(xié)議完全一致，只在物理層上有區(qū)別 MBBMS 中國移動(dòng)設(shè)計(jì)的用于廣播業(yè)務(wù)的業(yè)務(wù)管理系統(tǒng) 借鑒了 MBMS安全架構(gòu)（TS 33.246） 設(shè)計(jì)了完善的業(yè)務(wù)流程、接口定義、業(yè)務(wù)指南、系統(tǒng)結(jié)構(gòu)、組網(wǎng)方式等 中國移動(dòng) TD-MBMS業(yè)務(wù) MBMS承載技術(shù) +MBBMS業(yè)務(wù)管理系統(tǒng) 內(nèi)容 MBBMS背景介紹 MBBMS系統(tǒng)結(jié)構(gòu)與組網(wǎng) MBBMS加密體系 MBBMS業(yè)務(wù)流程 MBBMS的系統(tǒng)結(jié)構(gòu) HLR NAF 業(yè)務(wù)控制 SG 服務(wù)器 Portal BSF 密鑰管理 BOSS WAP 網(wǎng)關(guān) 移動(dòng)通信網(wǎng)絡(luò) GGSN 短信網(wǎng)關(guān) Internet 互動(dòng)應(yīng)用服務(wù)器 廣播網(wǎng)絡(luò) 復(fù)用器 ESG服務(wù)器 加擾器 廣電用戶管理 音視頻 編碼器 廣電密鑰管理 MBBMS系統(tǒng)設(shè)備功能 平臺(tái)側(cè) SG服務(wù)器 業(yè)務(wù)信息同步功能 業(yè)務(wù)指南生成功能 業(yè)務(wù)指南分發(fā)功能 NAF 密鑰管理功能 業(yè)務(wù)控制功能 訂購關(guān)系、開通狀態(tài)保存和同步功能 BSF 用戶密鑰生成功能 本地 NAF與歸屬地 BSF間用戶密鑰請(qǐng)求代理功能 Portal（初期不建 Portal，合入 BOSS網(wǎng)上營業(yè)廳） WWW/WAP門戶 MBBMS系統(tǒng)設(shè)備功能 終端側(cè) 終端 接收廣播信號(hào) 接收并展現(xiàn)業(yè)務(wù)指南 支持開通 /取消 /暫停 /恢復(fù) /訂購 /退訂 /獲取密鑰 /更新訂購關(guān)系等所有業(yè)務(wù)流程 解密播放節(jié)目 用戶認(rèn)證模塊 安全核心 與終端交互，完成中國移動(dòng)用戶密鑰生成 密鑰存儲(chǔ)（中國移動(dòng)用戶密鑰、廣電用戶密鑰、業(yè)務(wù)密鑰） 節(jié)目流密鑰解密 廣電側(cè)設(shè)備功能 編碼器 對(duì)音視頻內(nèi)容進(jìn)行編碼 ESG服務(wù)器 配置業(yè)務(wù)信息 將業(yè)務(wù)信息發(fā)送給 MBBMS平臺(tái) SG服務(wù)器 加擾器 使用節(jié)目流密鑰對(duì)音視頻節(jié)目進(jìn)行加擾 密鑰管理系統(tǒng) 廣電用戶密鑰生成與存儲(chǔ) 業(yè)務(wù)密鑰生成與加密 節(jié)目流密鑰生成與加密 用戶管理系統(tǒng) 存儲(chǔ)用戶訂購信息 復(fù)用器 對(duì)移動(dòng)多媒體 /手機(jī)電視業(yè)務(wù)進(jìn)行復(fù)用 MBBMS組網(wǎng) -現(xiàn)階段組網(wǎng)結(jié)構(gòu) G G S NH L RW A P 網(wǎng) 關(guān)G S M / G P R S / E DG EG G S NH L RW A P 網(wǎng) 關(guān)T D -S C D M A網(wǎng) 絡(luò)短 信 網(wǎng) 關(guān)復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器RP o r t a lN A FB S FS G復(fù) 用 器廣 電 全 國 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器C M M B N E TC M M B N E TC M M B 覆 蓋 網(wǎng) 絡(luò)C M M B 覆 蓋 網(wǎng) 絡(luò)復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器接 口復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器接 口M B B M S平 臺(tái)C M N E TMBBMS組網(wǎng) -多點(diǎn)組網(wǎng)結(jié)構(gòu) G G S NH L RW A P 網(wǎng) 關(guān)G S M / G P R S / E DG E。 。 。 。 。 。G G S NH L RW A P 網(wǎng) 關(guān)G S M / G P R S / E DG EC M N E TG G S NH L RW A P 網(wǎng) 關(guān)T D -S C D M A網(wǎng) 絡(luò)短 信 網(wǎng) 關(guān)短 信 網(wǎng) 關(guān)C M N E T復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器RP o r t a lL _ N A FB S FS GRP o r t a lL _ N A FB S FS G復(fù) 用 器廣 電 全 國 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器C M M B N E TC M M B N E TC M M B 覆 蓋 網(wǎng) 絡(luò)C M M B 覆 蓋 網(wǎng) 絡(luò)RP o r t a lC _ S GC _ N A FC M M B 覆 蓋 網(wǎng) 絡(luò)復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器接 口復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器復(fù) 用 器廣 電 區(qū) 域 業(yè) 務(wù) 平 臺(tái)編 碼 器加 擾 器接 口M B B M S全 國 業(yè) 務(wù) 節(jié) 點(diǎn)M B B M S區(qū) 域 業(yè) 務(wù) 節(jié) 點(diǎn)M B B M S區(qū) 域 業(yè) 務(wù) 節(jié) 點(diǎn)多點(diǎn)組網(wǎng) 全國業(yè)務(wù)節(jié)點(diǎn) C_SG：接收全國業(yè)務(wù)的業(yè)務(wù)信息，并同步給 L_SG C_Portal：全國 WWW和 WAP的統(tǒng)一入口 C_NAF：全國業(yè)務(wù)的訂購信息和統(tǒng)計(jì)信息的存儲(chǔ) 地方節(jié)點(diǎn) L_SG：業(yè)務(wù)指南的生成和分發(fā) L_NAF：用戶認(rèn)證鑒權(quán)、開通狀態(tài)和訂購關(guān)系管理，業(yè)務(wù)密鑰分發(fā) L_Portal：區(qū)域 WWW/WAP門戶 BSF：歸屬用戶的用戶密鑰管理 多點(diǎn)組網(wǎng)下平臺(tái)間互連關(guān)系 區(qū)域節(jié)點(diǎn) 2手機(jī)電視業(yè)務(wù)管理系統(tǒng)全國節(jié)點(diǎn)手機(jī)電視業(yè)務(wù)管理系統(tǒng)C _ NAF C _ SG區(qū)域節(jié)點(diǎn) 1手機(jī)電視業(yè)務(wù)管理系統(tǒng)L _ NAFB S FL _ SGP o r t a lL _ NAFB S FL _ SGP o r t a l內(nèi)容 MBBMS背景介紹 MBBMS系統(tǒng)結(jié)構(gòu)與組網(wǎng) MBBMS加密體系 MBBMS業(yè)務(wù)流程 MBBMS密鑰體系 終端側(cè) 網(wǎng)絡(luò)側(cè) 廣電 用戶密鑰 廣電 用戶密鑰 預(yù)置 中國移動(dòng) 用戶密鑰 中國移動(dòng) 用戶密鑰 雙向信道 認(rèn)證生成 節(jié)目流密鑰 加密的 節(jié)目流密鑰 加密 節(jié)目流密鑰 解密 加密的 節(jié)目流 加密 解密 節(jié)目流 節(jié)目流 業(yè)務(wù)密鑰 加密 業(yè)務(wù)密鑰 解密 加密 解密 雙重加密的 業(yè)務(wù)密鑰 移動(dòng)網(wǎng)絡(luò) 廣播網(wǎng)絡(luò) 手機(jī)電視業(yè)務(wù)平臺(tái) 終端 用戶認(rèn)證模塊 BSF HLR 生成共享密鑰 (KS) HTTP Digest AKA 獲得鑒權(quán)元組 生成并存儲(chǔ) KS 生成并存儲(chǔ) 用戶密鑰 生成 KS 用戶密鑰 業(yè)務(wù)請(qǐng)求 HTTP Digest 發(fā)送業(yè)務(wù)密鑰 (以用戶密鑰加密 ) HTTP 業(yè)務(wù)密鑰管理 獲得并存儲(chǔ) 業(yè)務(wù)密鑰 (以用戶密鑰解密 ) 加擾器 音頻編碼 視頻編碼 節(jié)目流 (以節(jié)目流密鑰加密 ) 節(jié)目流密鑰 (以業(yè)務(wù)密鑰加密 ) 節(jié)目流密鑰 以業(yè)務(wù)密鑰加密的節(jié)目流密鑰 解密節(jié)目流密鑰 (以業(yè)務(wù)密鑰解密 ) 用節(jié)目流密鑰解密節(jié)目流 節(jié)目流密鑰 用戶密鑰 業(yè)務(wù)密鑰 節(jié)目流密鑰 加密的節(jié)目 鑒權(quán)方案 用戶密鑰管理 中國移動(dòng)用戶密鑰管理 終端用戶認(rèn)證模塊與網(wǎng)絡(luò)側(cè) BSF設(shè)備基于移動(dòng)通信網(wǎng)絡(luò)鑒權(quán)機(jī)制進(jìn)行雙向認(rèn)證，生成共享密鑰 Ks 終端用戶認(rèn)證模塊與網(wǎng)絡(luò)側(cè)采用相同算法，分別生成認(rèn)證密鑰（ MRK）和用戶密鑰（ MUK） 認(rèn)證密鑰（ MRK）用于終端與 NAF相互認(rèn)證，用戶密鑰（ MUK）用于對(duì)業(yè)務(wù)密鑰加密傳輸 廣電側(cè)用戶密鑰管理 128位對(duì)稱密鑰 廣電密鑰管理設(shè)備生成并保存，預(yù)置在用戶認(rèn)證模塊中 用于加密業(yè)務(wù)密鑰 Generic Bootstrapping Architecture 用于在終端和業(yè)務(wù)平臺(tái)間建立共享密鑰 利用卡和 HLR中保存的 K或 Ki進(jìn)行認(rèn)證并生成密鑰 在 3GPP TS 33.220中定義 中國移動(dòng)用戶密鑰生成機(jī)制 -GBA ME HSS/HLR BSF Ua Ub Zh Zn NAF 卡 3GPP GBA Bootstrapping流程 計(jì)算 Ks=CK|IK 保存 B-TID ME BSF HSS/HLR Request (user identity) 獲取五元組數(shù)據(jù) 401 Unauthorized WWW-Authenticate(RAND,AUTN) 運(yùn)行 AKA算法，通過 AUTN認(rèn)證網(wǎng)絡(luò)側(cè)身份，計(jì)算CK,IK, RES Request Authorization Digest（ RES） 驗(yàn)證 RES 計(jì)算 Ks=CK|IK 200 OK B-TID、 Key lifetime 計(jì)算： B-TID (U)SIM Authenticate（ RAND AUTN） RES或 AUTS 寫入 B-TID、 Key lifetime 3GPP GBA密鑰使用流程 Ks_ext_NAF = KDF (Ks, gba-me, RAND, IMPI, NAF_Id) Ks_int_NAF= KDF (Ks, gba-u, RAND, IMPI, NAF_Id) 計(jì)算 Ks_in_NAF、 Ks_ext_NAF ME BSF B - TID, Ks Application Request(B-TID) NAF Ua Zn Authentication Request (B - TID,NAF hostname) Authentication Answer (Ks_int_NAF、 Ks_ext_NAF key lifetime) Application Answer B-TID、 KS (U)SIM Authenticate （ IMPI、 NAF_ID） Ks_ext_NAF 保存 Ks_int_NAF和 Ks_ext_NAF 計(jì)算 Ks_in_NAF、 Ks_ext_NAF， 保存 Ks_int_NAF 終端與 NAF認(rèn)證機(jī)制 -HTTP Digest 業(yè)務(wù)請(qǐng)求 nonce, Algorithm 摘要結(jié)果 業(yè)務(wù)響應(yīng) 終端 服務(wù)器 ,qop ,摘要結(jié)果 , cnonce , nextnonce Nonce是服務(wù)器生成的隨機(jī)數(shù) 摘要結(jié)果是使用 HASH算法對(duì)認(rèn)證密鑰（ MRK）、nonce、用戶名、服務(wù)器域名等計(jì)算的結(jié)果 Qop=“Auth” 或” Auth_int”, Auth表示雙向認(rèn)證， Auth_int表示除雙向認(rèn)證外還對(duì)消息完整性保護(hù) 客戶端生成的隨機(jī)數(shù) 計(jì)算摘要結(jié)果的輸入中增加了cnonce， 如果 qop=auth_int則還要增加HTTP Body，保證消息完整性 服務(wù)器計(jì)算的摘要結(jié)果，用于向終端認(rèn)證身份 終端下次 Http Digest時(shí)用的nonce，可以節(jié)省下次認(rèn)證的交互次數(shù) RFC 2617定義 不換卡方案的要求 28/11 保證用戶不換卡不換號(hào) 09年 4月 10日總裁辦公會(huì)要求研究院提出在不換卡的條件下支持 MBBMS的方案 09年 4月 28日，集團(tuán)公司領(lǐng)導(dǎo)同意研究院提出的采用“終端外接 SD卡實(shí)現(xiàn)認(rèn)證模塊”及“終端嵌入芯片實(shí)現(xiàn)認(rèn)證模塊”兩種方案解決不換卡收看手機(jī)電視問題 自動(dòng)實(shí)現(xiàn)用戶身份與 SIM卡綁定 保證開發(fā)時(shí)間滿足市場(chǎng)要求 保證方案的安全性 不換卡方案的解決思路 29/11 (U)SIM 用戶認(rèn)證模塊 終端 BSF HLR 三元組 /五元組 BSF HLR 三元組 /五元組 (U)SIM 終端 不換卡方案 30/11 軟件平臺(tái) SIM卡 客戶端軟件 SD卡槽 SIM卡 用戶認(rèn)證功能 可插拔設(shè)備（ SD卡）方案 嵌入式芯片方案 客戶端軟件 軟件平臺(tái) 用戶認(rèn)證功能 芯片 生成共享密鑰 GBA初始化流程 卡 終端 NAF BSF HLR 詢問 BSF地址 GBA 初始化請(qǐng)求 請(qǐng)求鑒權(quán)元組 認(rèn)證參數(shù)（ RAND或 RAND、 AUTN） RAND或 RA