SEGURIDAD IPTV EN UNA RED DE COMUNICACIÓN.
Un método de establecimiento de una sesión de televisión IP segura,
el método caracterizado porque comprende: recibir (S11; S23; S47), en un Servidor de Aplicaciones (9), un mensaje de invitación desde un nodo de recepción de televisión IP (1) para poner en marcha una sesión de televisión IP, el mensaje de invitación que incluye un Identificador de Transacción de Inicialización asociado con el nodo de recepción; enviar (S12; S25; S48) una petición de autentificación a un Servidor de Protección de Acceso de Servicio, la petición de autentificación que incluye el Identificador de Transacción de Inicialización; recibir (S13; S26; S40) desde el Servidor de Protección de Acceso de Servicio una respuesta de autentificación, la respuesta de autentificación que incluye una clave de largo plazo asociada con el nodo de recepción de televisión IP, la clave de largo plazo que se ha proporcionado previamente al nodo de recepción de televisión IP; enviar (S14; S27; S50) una petición a un nodo proveedor de contenidos de televisión IP, la petición que identifica el nodo de recepción de televisión IP; cifrar (S16; S33; S56) una clave de cifrado de medios que usa la clave de largo plazo recibida, la clave de cifrado de medios para usar por el nodo proveedor de contenido de televisión IP para cifrar los medios; y enviar (S16a; S33a; S56a) un mensaje de respuesta de invitación al nodo de recepción de televisión IP, el mensaje de respuesta de invitación que incluye la clave de cifrado de medios cifrada
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2008/056602.
Solicitante: TELEFONAKTIEBOLAGET L M ERICSSON (PUBL).
Nacionalidad solicitante: Suecia.
Dirección: 164 83 STOCKHOLM SUECIA.
Inventor/es: ASTROM,BO, LINDHOLM,FREDRIK, EDLUND,Peter.
Fecha de Publicación: .
Fecha Solicitud PCT: 29 de Mayo de 2008.
Clasificación Internacional de Patentes:
- H04L29/06S6
- H04N21/258C1
- H04N21/266K
- H04N21/643P
- H04N7/167D
- H04N7/173B2
Clasificación PCT:
- H04L29/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
- H04N7/173 H04 […] › H04N TRANSMISION DE IMAGENES, p. ej. TELEVISION. › H04N 7/00 Sistemas de televisión (detalles H04N 3/00, H04N 5/00; métodos y arreglos, para la codificación, decodificación, compresión o descompresión de señales de vídeo digital H04N 19/00; distribución selectiva de contenido H04N 21/00). › de dos vías, p. ej. enviando el abonado un señal de selección del programa.
Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Eslovenia, Finlandia, Rumania, Chipre, Lituania, Letonia, Ex República Yugoslava de Macedonia, Albania, Bosnia y Herzegovina, Bulgaria, República Checa, Estonia, Croacia, Hungría, Islandia, Noruega, Polonia, Eslovaquia, Turquía, Malta, Serbia.
PDF original: ES-2373254_T3.pdf
Fragmento de la descripción:
Seguridad IPTV en una red de comunicación
Campo técnico
La invención se refiere al campo de la Seguridad IPTV en una Red de Comunicación, y en particular al campo del establecimiento de una sesión IPTV segura.
Antecedentes
Los servicios de difusión sobre una red IP se conocen como IPTV. La IPTV se difunde típicamente usando una red de acceso de banda ancha, en la que los canales se transmiten sobre una red de banda ancha desde una súper cabecera hasta un receptor multimedia digital (STB) del usuario final. Un ejemplo de un servicio IPTV es la TV de Difusión, en la cual la mayoría de los canales IPTV comunes, así como canales adicionales con baja penetración, se transmiten sobre una red de difusión desde una súper cabecera hasta un receptor multimedia digital (STB) del usuario final. Para minimizar el ancho de banda requerido para estas transmisiones es deseable usar las técnicas de multidifusión a través de la red.
De manera similar, en las redes móviles es deseable usar la entrega de difusión/multidifusión de la TV Móvil (MTV) . El Servicio de Multidifusión de Difusión Multimedia (MBMS) y la Difusión de Vídeo Digital – De Mano (DVB-H) son ejemplos de tecnologías de difusión de MTV. Un teléfono móvil (tal como un Equipo de Usuario, UE) que tiene un cliente MTV se puede pensar como un equivalente a un STB en las implementaciones de MTV que reciben contenido de una súper cabecera.
En una adaptación típica el contenido se entrega por una Función de Entrega de Medios (MDF) que es un servidor de entrega de contenidos controlado por un Servidor de Aplicaciones (AS) del Subsistema Multimedia IP (IMS) para TV móvil (que usa un portador del Servicio de Multidifusión de Difusión Multimedia, MBMS, o un portador del Servicio de Paquetes Conmutados, PSS) o un IMS AS para IPTV (que usa entrega unidifusión o multidifusión) .
La siguiente descripción se refiere a un UE por simplicidad, aunque se apreciará que igualmente aplica donde se recibe IPTV en otro tipo de receptor de IPTV tal como un STB. Con referencia a la Figura 1 aquí dentro, y antes de que pueda comenzar la comunicación entre la MDF y el UE 1, el UE 1 y la función de control de entrega de contenido (una Función de Aplicación de Red, NAF 2, que puede ser un MTV AS o un IPTV AS) debe participar en un procedimiento de Autentificación Genérica de Inicialización (GBA) (mostrado en los pasos S1 a S8) para establecer las claves de GBA (la Ks_naf de la que se derivan la MUK y la MRK. La Ks_naf se describe más adelante) para la autentificación y la protección del servicio.
El resultado de un procedimiento GBA exitoso es el establecimiento de un identificador de transacción de inicialización (BTID) , generado por una Función de Servidor de Inicialización (BSF) 3, y una clave compartida, la Ks_Naf que se genera localmente por un USIM/SIM 4 en el UE 1 durante la inicialización (S5) . El BTID se arrastra por el UE 1 desde la BSF 3 mediante el uso de HTTP, mostrado en el paso S4 de la Figura 1. La Ks_Naf y el B_TID se almacenan como un parte del contexto del UE en un área asegurada en el UE (S4) . La Ks_Naf está disponible para el uso posterior para derivar las claves específicas de aplicaciones (MUK, MRK) y para cifrar claves de Largo Plazo (MKS) cuando se entrega al UE 1.
La BSF 3 recupera una clave de contenidos (Ck) y una clave de integridad (Ik) , que se envían como parte de un Vector de Autentificación desde un Servidor Local de Abonado (HSS) 5 durante el procedimiento de GBA. La Ks_naf se calcula por la BSF 3 concatenando la Ck y la Ik (y una operación similar se realiza por el USIM/SIM 4 en el UE 1) y se almacena en la BSF 3 para referencia futura por el UE 1.
Para recuperar los datos entregados usando HTTP desde un MTV AS/IPTV AS/BM-SC (NAF) , el UE primero debe ser autentificado por el MTV AS. Ejemplos de tales datos incluyen una Guía Electrónica de Programas (EPG) o una Guía Electrónica de Servicios (ESG) . Para autentificar el UE, el UE señala el BTID y la Ks_naf en una petición HTTP (HTTP acepta la autentificación como se define en la RFC 2617) enviada desde el UE 1 al MTV AS.
Cuando un UE 1 está implicado en un procedimiento de señalización HTTP donde se usa la GBA para propósitos de autentificación, el UE 1 interactúa con una entidad funcional llamada el Intermediario de Autentificación (AP) , no se muestra en la Figura 1. El AP conoce el BTID que representa el UE 1 durante este proceso y la Ks_naf que corresponde con el BTID.
Con referencia a la Figura 2, se ilustra el procedimiento por el cual un nodo tal como la NAF recupera las claves de largo plazo. Los procedimientos de señalización de MTV requieren la entrega de claves de largo plazo para proteger el contenido IPTV que va a ser enviado al UE 1. Durante estos procedimientos de señalización, el UE 1 interactúa con el MTV AS, que no es consciente del BTID usado en los procedimientos de señalización anteriores. No obstante, el MTV AS requiere la Ks_naf para usarla para el cifrado de las claves de contenido de largo plazo como parte de los procedimientos de acceso de contenido. No obstante, el MTV AS no tiene acceso a la Ks_naf, que se almacena en la BSF 2, y así no es posible actualmente.
La WO 2007/085186 describe un método de gestión de claves de secuencias de medios, pero no proporciona un modo de proteger las claves enviadas al UE. La WO 2007/008120 se refiere a mejorar la protección de privacidad y la autentificación, pero requiere que se contacte una NAF cada vez que el UE debe ser autentificado, conduciendo al desperdicio de señalización.
Resumen
Los inventores se han dado cuenta que hay un problema en la autentificación de un Equipo de Usuario u otro dispositivo de recepción de IPTV antes de comenzar una sesión. Se propone un método para proporcionar un Servidor de Aplicaciones de TV Móvil con un BTID asociado con el UE y que permite al MTV AS actuar como una Función de Aplicación de Red en la arquitectura GBA.
De acuerdo con un primer aspecto de la invención, allí se proporciona un método para establecer una sesión IPTV segura. Un Servidor de Aplicaciones (AS) recibe un mensaje de invitación desde un nodo de recepción de IPTV tal como un teléfono móvil o un Receptor Multimedia Digital (STB) para poner en marcha una sesión IPTV. El mensaje de invitación incluye un Identificador de Transacción de Inicialización (BTID) asociado con el nodo de recepción. El AS envía una petición de autentificación a un Servidor de Protección de Acceso de Servicio, la petición de autentificación que incluye el BTID. El AS entonces recibe desde el Servidor de Protección de Acceso de Servicio una respuesta de autentificación, que incluye una clave de largo plazo asociada con el nodo de recepción de IPTV, la clave de largo plazo que se ha proporcionado previamente al nodo de recepción de IPTV. Se envía una petición a un nodo proveedor de contenido IPTV, la petición que identifica el nodo de recepción de IPTV. El AS entonces cifra una clave de cifrado de medios que se usa para cifrar los medios enviada por el proveedor de contenido de IPTV, usando la clave de largo plazo recibida. Una respuesta de invitación se envía entonces al nodo de recepción de IPTV, la respuesta que incluye la clave de cifrado de medios cifrada. La invención dota el AS con una clave de largo plazo que se puede usar para cifrar la clave de cifrado de medios.
Como opción, el mensaje de invitación es un mensaje de Invitación del Protocolo de Inicio de Sesiones (SIP) , y el BTID está incluido en una cabecera de Autorización Intermediaria. El Servidor de Protección de Acceso de Servicio es opcionalmente una Función de Servidor de Inicialización (BSF) . La invención es particularmente adecuada para usar en el campo de la IPTV Móvil, y así como otra opción, la sesión de IPTV es una sesión de IPTV Móvil, y el AS es un IPTV AS Móvil.
Opcionalmente, la sesión IPTV es o bien una difusión de IPTV lineal, una unidifusión de IPTV lineal, o una unidifusión de Vídeo bajo Demanda.
Opcionalmente, si la sesión de IPTV es una unidifusión entonces la clave de cifrado de medios es una clave de contenido, y si la sesión de IPTV es una difusión entonces la clave de cifrado de medios es una clave de grupo.
En una realización opcional, la clave de cifrado de medios se envía desde el AS al nodo proveedor de contenido de IPTV, y en una realización alternativa la clave de cifrado de medios se recibe en el AS desde el nodo proveedor de contenido de IPTV. La clave de... [Seguir leyendo]
Reivindicaciones:
1. Un método de establecimiento de una sesión de televisión IP segura, el método caracterizado porque comprende:
recibir (S11; S23; S47) , en un Servidor de Aplicaciones (9) , un mensaje de invitación desde un nodo de recepción de televisión IP (1) para poner en marcha una sesión de televisión IP, el mensaje de invitación que incluye un Identificador de Transacción de Inicialización asociado con el nodo de recepción;
enviar (S12; S25; S48) una petición de autentificación a un Servidor de Protección de Acceso de Servicio, la petición de autentificación que incluye el Identificador de Transacción de Inicialización;
recibir (S13; S26; S40) desde el Servidor de Protección de Acceso de Servicio una respuesta de autentificación, la respuesta de autentificación que incluye una clave de largo plazo asociada con el nodo de recepción de televisión IP, la clave de largo plazo que se ha proporcionado previamente al nodo de recepción de televisión IP;
enviar (S14; S27; S50) una petición a un nodo proveedor de contenidos de televisión IP, la petición que identifica el nodo de recepción de televisión IP;
cifrar (S16; S33; S56) una clave de cifrado de medios que usa la clave de largo plazo recibida, la clave de cifrado de medios para usar por el nodo proveedor de contenido de televisión IP para cifrar los medios; y enviar (S16a; S33a; S56a) un mensaje de respuesta de invitación al nodo de recepción de televisión IP, el mensaje de respuesta de invitación que incluye la clave de cifrado de medios cifrada.
2. El método de acuerdo con la reivindicación 1, en el que el mensaje de invitación es un mensaje de Invitación del Protocolo de Inicio de Sesiones, y el Identificador de Transacción de Inicialización se incluye en una cabecera de Autorización Intermediaria.
3. El método de acuerdo con la reivindicación 1 o 2, en el que la sesión de televisión IP es una sesión de televisión IP Móvil, y el Servidor de Aplicaciones es un Servidor de Aplicaciones de televisión IP Móvil.
4. El método de acuerdo con las reivindicaciones 1, 2 o 3, en el que la sesión de televisión IP se selecciona desde una de una difusión de televisión IP lineal, una unidifusión de televisión IP lineal, y una unidifusión de Video bajo Demanda.
5. El método de acuerdo con cualquiera de las reivindicaciones 1 a 4, en el que el Servidor de Protección de Acceso de Servicio es una Función de Servidor de Inicialización.
6. El método de acuerdo con cualquiera de las reivindicaciones 1 a 5, en el que la clave de cifrado de medios se selecciona de una de una clave de grupo y una clave de contenido.
7. El método de acuerdo con cualquiera de las reivindicaciones 1 a 6, en el que la clave de cifrado de medios se envía desde el Servidor de Aplicaciones al nodo proveedor de contenidos de Televisión IP.
8. El método de acuerdo con cualquiera de las reivindicaciones 1 a 6, en el que la clave de cifrado de medios se recibe en el Servidor de Aplicaciones desde el nodo proveedor de contenido de Televisión IP.
9. Un Servidor de Aplicaciones (9) caracterizado porque comprende:
un primer receptor (14) para recibir un mensaje de invitación desde un nodo de recepción de televisión IP (1) para poner en marcha una sesión de televisión IP, el mensaje de invitación que incluye un Identificador de Transacción de Inicialización asociado con el nodo de recepción de televisión IP;
un primer transmisor (15) para enviar una petición de autentificación a un Servidor de Protección de Acceso de Servicio, la petición de autentificación que incluye el Identificador de Transacción de Inicialización;
un segundo receptor (16) para recibir desde el Servidor de Protección de Acceso de Servicio una respuesta de autentificación, la respuesta de autentificación que incluye una clave de largo plazo asociada con el nodo de recepción de televisión IP, la clave de largo plazo que se ha proporcionado previamente al nodo de recepción de televisión IP;
un segundo transmisor (17) para enviar una petición a un nodo proveedor de contenidos de televisión IP, la petición que identifica el nodo de recepción de televisión IP;
un procesador (19) para cifrar una clave de cifrado de medios que usa la clave de largo plazo recibida; y un tercer transmisor (20) para enviar un mensaje de respuesta de la invitación al nodo de recepción de televisión IP, el mensaje de respuesta de invitación que incluye la clave de cifrado de medios cifrada.
10. El Servidor de Aplicaciones de acuerdo con la reivindicación 9, que además comprende un tercer receptor (18) para la recepción desde el nodo proveedor de contenidos de televisión IP un mensaje que incluye la clave de cifrado de medios.
11. El Servidor de Aplicaciones de la reivindicación 9, en el que el segundo transmisor se dispone para enviar la clave de cifrado de medios en la petición al nodo proveedor de contenidos de televisión IP.
12. El Servidor de Aplicaciones de acuerdo con cualquiera de las reivindicaciones 9 a 11, en el que el Servidor de Aplicaciones es un Servidor de Aplicaciones de televisión IP Móvil y la sesión de televisión IP es una sesión de televisión IP Móvil.
13. El Servidor de Aplicaciones de acuerdo con cualquiera de las reivindicaciones 9 a 12, en el que la sesión de televisión IP se selecciona de una de una difusión de televisión IP lineal, una unidifusión de televisión IP lineal, y una unidifusión de Vídeo bajo Demanda.
14. Un nodo de recepción de televisión IP (1) caracterizado porque comprende:
una memoria (23) para almacenar un Identificador de Transacción de Inicialización y una clave de largo plazo asociada con el nodo de recepción de televisión IP;
un transmisor (24) para enviar a un Servidor de Aplicaciones un mensaje de invitación para inicializar una sesión de televisión IP, el mensaje de invitación que incluye el Identificador de Transacción de Inicialización;
un primer receptor (25) para recibir desde el Servidor de Aplicaciones un mensaje de respuesta, el mensaje de respuesta que incluye una clave de cifrado de medios cifrada usando la clave de largo plazo;
un primer procesador (26) para descifrar la clave de cifrado de medios que usa la clave de largo plazo almacenada;
un segundo receptor (27) para recibir el contenido de medios de televisión IP enviado desde un nodo proveedor de contenidos de televisión IP, el contenido de medios de televisión IP que se cifra usando la clave de cifrado de medios;
un segundo procesador (28) para descifrar el contenido de medios de televisión IP usando la clave de cifrado de medios descifrada.
15. El nodo de recepción de televisión IP de acuerdo con la reivindicación 14, en el que el nodo de recepción de televisión IP es un Equipo de Usuario.
Patentes similares o relacionadas:
MÉTODO, SERVIDOR Y SISTEMA PARA TRANSMITIR UNA GUÍA DE SERVICIOS ELECTRÓNICOS, del 3 de Febrero de 2012, de HUAWEI TECHNOLOGIES CO., LTD.: Un método para transmitir una guía de servicios electrónicos, ESG, de un servidor a un terminal, que comprende: recibir un mensaje de solicitud ESG enviado desde […]
DISPOSITIVO, PROCEDIMIENTO Y SISTEMA PARA GENERAR EVENTOS AUDIOVISUALES, del 29 de Diciembre de 2011, de MONSERRAT VISCARRI, FRANCISCO: Dispositivo, procedimiento y sistema para generar eventos audiovisuales.La invención se refiere a un procedimiento, a un dispositivo y a un sistema para generar […]
PROCEDIMIENTO Y SISTEMA PARA LA PREPARACIÓN DE DATOS MULTIMEDIA, del 17 de Noviembre de 2011, de YODOBA AG: Procedimiento para la preparación de datos multimedia en un módulo (BG) asociado a un aparato multimedia (MG) , que comprende con las siguientes etapas: […]
MÉTODO Y SISTEMA PARA CONFIGURAR UNA SEÑAL DE TV, del 20 de Julio de 2011, de KONINKLIJKE KPN N.V. NEDERLANDSE ORGANISATIE VOOR TOEGEPAST -NATUURWETENSCHAPPELIJK ONDERZOEK TNO: Un método para configurar una señal de TV en un sistema que comprende un terminal conectado a un nodo de acceso, uno o más servidores de […]
SISTEMA DE ACCESO A UN SERVICIO DE TELEVISIÓN SOBRE IP EN UNA RED DE ARQUITECTURA IMS, del 15 de Julio de 2011, de FRANCE TELECOM: Sistema de acceso a un servicio en una red de tipo IP que presenta una arquitectura de tipo IMS, a partir de un terminal de usuario conectado […]
CALIFICACIONES DE POPULARIDAD PREDICTIVA DE PLATAFORMA CRUZADA PARA USO EN APLICACIONES INTERACTIVAS DE TELEVISIÓN, del 28 de Junio de 2011, de UNITED VIDEO PROPERTIES, INC.: Un método para proporcionar calificaciones de popularidad predictiva de programación, comprendiendo el método: visualización de información de guía de programas en aplicaciones […]
MANEJO DE TESTIGOS DE DATOS DE DIFUSIÓN, del 8 de Junio de 2011, de KONINKLIJKE PHILIPS ELECTRONICS N.V.: Aparato de procesamiento de datos que puede operarse para obtener de una utilidad de resolución remota datos de acceso a contenido en […]
MÉTODO PARA GESTIONAR DERECHOS DIGITALES EN UN SERVICIO DE DIFUSIÓN/MULTIDIFUSIÓN, del 24 de Mayo de 2011, de LG ELECTRONICS INC.: Método de gestión de derechos digitales para un servicio de difusión-multidifusión, siendo realizado el método por un terminal, y comprendiendo: realizar un procedimiento […]