中国移动多媒体广播手机电视业务总体技术要求.doc

qb-中国移动通信企业标准qb-移动多媒体广播/手机电视 业务总体技术要求general technical specification for mobile multimedia broadcast/mobile tv service 版本号：1.0.0-实施-发布中国移动通信集团公司 发布目录前 言iii1.范围42.规范性引用文件43.术语、定义和缩略语43.1.缩略语54.业务概述54.1.业务类别64.2.业务提供范围65.系统结构和组网75.1.系统结构75.1.1.系统描述及系统结构图75.2.组网85.2.1.组网结构85.2.2.组网要求95.3.各网元功能95.3.1.sg服务器95.3.2.naf115.3.3.bsf125.3.4.portal125.3.5.终端135.3.6.卡145.4.接口功能146.认证授权156.1.密钥管理体系156.2.用户密钥管理166.2.1.中国移动用户密钥管理166.2.2.广电用户密钥管理167.业务流程167.1.终端业务流程167.2.消息流程187.2.1.gba初始化流程187.2.2.业务指南获取流程207.2.3.订购信息更新流程227.2.4.用户开通/恢复移动多媒体广播/手机电视业务流程237.2.5.用户变更信息/注销/暂停移动多媒体广播/手机电视业务流程297.2.6.业务订购流程387.2.7.业务退订流程487.2.8.订购信息查询流程637.2.9.业务密钥分发流程647.2.10.业务指南同步流程747.2.11.冲正操作流程757.2.12.超时处理功能要求758.码号768.1.新增设备ip地址的分配768.2.域名分配768.3.apn 及短信代码768.4.客户端预置参数768.5.用户标识768.6.naf-id778.7.业务相关代码779.计费与结算779.1.计费779.1.1.资费结构779.1.2.计费原则789.1.3.计费点789.2.结算7910.设备要求7910.1.新增网络设备要求7910.2.原有设备的改造要求7910.3.终端和卡的要求7911.接口要求8011.1.新增接口要求8011.1.1.终端与mbbms业务平台的接口8011.1.2.终端和卡之间的接口8011.1.3.mbbms业务平台与hlr的接口8011.1.4.mbbms业务平台与wap网关的接口8111.1.5.mbbms业务平台与短信网关的接口8111.1.6.mbbms业务平台与boss的接口8111.1.7.mbbms业务平台各设备之间的接口8111.1.8.mbbms业务平台之间的接口8111.1.9.mbbms业务平台与广电侧移动多媒体广播/手机电视业务系统之间的接口8112.网管要求8213.安全要求8214.编制历史82前 言本标准对与广电合作的移动多媒体广播/手机电视业务实现过程中需要规范的内容提出全面要求，是基于广播方式的移动多媒体广播/手机电视业务所需要遵从的纲领性技术文件。本标准主要包括以下几方面内容：业务描述、系统结构、组网方式、鉴权、业务流程、码号、设备要求、接口要求、计费结算、网络管理和网络安全。本标准是移动多媒体广播/手机电视系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称1qb-x-xxx-xxxx移动多媒体广播/手机电视业务总体技术要求2qb-x-xxx-xxxx移动多媒体广播/手机电视业务业务规范3qb-x-xxx-xxxx移动多媒体广播/手机电视接口规范4qb-x-xxx-xxxx移动多媒体广播/手机电视naf设备规范5qb-x-xxx-xxxx移动多媒体广播/手机电视业务指南服务器设备规范6qb-x-xxx-xxxx移动多媒体广播/手机电视bsf设备规范7qb-x-xxx-xxxx移动多媒体广播/手机电视业务portal设备规范8qb-x-xxx-xxxx移动多媒体广播/手机电视业务指南技术规范9qb-x-xxx-xxxx移动多媒体广播/手机电视互动应用技术规范10qb-x-xxx-xxxx移动多媒体广播/手机电视业务客户端规范11qb-x-xxx-xxxx移动多媒体广播/手机电视终端规范12qb-x-xxx-xxxx移动多媒体广播/手机电视sim/usim卡技术规范本标准由中移号文件印发。本标准由中国移动通信集团技术部提出，集团公司技术部归口。本标准起草单位：中国移动通信有限公司研究院本标准主要起草人：*831. 范围本标准规定了与广电合作的移动多媒体广播/手机电视业务的技术要求，供中国移动有限公司内部使用，本标准适用于中国移动与广电合作运营、共同管理的移动多媒体广播/手机电视业务。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。序号标准编号标准名称发布单位13gppts33.220generic authentication architecture (gaa); generic bootstrapping architecture(release 6)3gpp2ietf rfc3310hypertext transfer protocol (http) digest authentication using authentication and key agreement (aka)ietf3ietf rfc 2617http authentication: basic and digest access authenticationietf4ietfrfc3588diameter base protocolietf3. 术语、定义和缩略语“必须”、“推荐”/“建议”、和“可选”等词语在本规范中的使用需遵循以下指导。- “必选”/“必须”项是指业务、产品和设备所必须提供的功能或性能要求；对应于rfc2119 must，required，shall。- “推荐”/“建议”/“应”项是指在标准中未作强制要求，若业务、产品和设备提供的功能或性能要求被认为更佳；对应于rfc2119 recommended，should。- “可选”/“可”项指参考性要求，是业务、产品和设备在目前阶段可不提供的功能或性能要求；对应于rfc2119 may，optional。- 必不能，不能，不得：表示绝对的禁止；对应于rfc2119 must not，shall not。- 不推荐，不建议：表示若业务、产品和设备按照所述内容制作，被认为略次；对应于rfc2119 should not，not recommended。- 规范中除了明确指明为 “推荐”/“建议”、“可选”外，均为必须要求。3.1. 缩略语缩略语英文全称中文含义bsfbootstrapping service function引导服务功能b-tidbootstrapping transaction identifier引导业务标识gbageneric bootstrapping architecture通用引导架构impiip multimedia private identityip多媒体私有标识imsiinternational mobile server identity国际移动服务器标识mbbmsmobile broadcast business management system广播式手机电视业务管理系统mikeymultimedia internet keying多媒体互联网密钥mrk mbms request key多媒体广播组播业务请求密钥msk mbms service key多媒体广播组播业务业务密钥muk mbms user key多媒体广播组播业务用户密钥nafnet application function网络应用功能naf-idnetwork application function identifier网络应用功能标识sgservice guide业务指南sgddservice guide delivery descriptor业务指南传输描述符sgduservice guide delivery unit业务指南传输单元wapwireless application protocol无线应用协议4. 业务概述移动多媒体广播/手机电视业务利用广电的广播网络提供多媒体内容的下行传输，利用中国移动通信网络的鉴权管理系统和双向网络传输能力，以及广电的用户管理系统完成对用户的认证、授权和管理，同时利用移动网络的双向通道实现相关互动功能。现阶段只支持移动多媒体广播/手机电视业务中两种类型的业务：广播电视节目业务和基于广播电视节目业务的互动业务。其中广播电视节目业务是指广播电视播出机构提供的连续播出的节目。4.1. 业务类别移动多媒体广播/手机电视业务分为全国性业务和区域性业务。l 全国性业务：全国性业务包括中央业务和全国性区域业务。具体表现为：n 中央业务在全国范围内提供，用户订购中央业务后，在不同区域可享受相同的中央业务，用户不必再次订购。n 全国性区域业务只在有限的区域范围内提供，用户订购全国性区域业务后，在不同区域可享受不同的全国性区域业务，用户不必再次订购。l 区域性业务：n 区域性业务指用户只在某区域内能够使用的业务。具体表现为：n 区域性业务只在有限的区域范围内提供。n 用户在某区域内订购的业务，在其他区域内不能够使用。即使两个区域提供相同的电视节目，用户仍需要分别订购，分别付费。4.2. 业务提供范围全国性业务面向全国用户提供，区域性业务面向某区域内的全部用户提供。漫游用户可以使用漫游地广播网络提供的所有业务，包括全国性业务和漫游地提供的区域性业务。用户漫游到异地后，将不能使用归属地提供的区域性业务。5. 系统结构和组网5.1. 系统结构5.1.1. 系统描述及系统结构图图5.1 系统结构图移动多媒体广播/手机电视业务系统结构如图。中国移动侧mbbms业务平台主要完成业务指南的分发，用户订购关系管理，用户密钥管理，用户的认证鉴权和计费等功能。mbbms业务平台包含以下几个功能模块：l sg服务器：负责业务指南分发。l naf：负责用户控制以及业务控制。l portal：负责www门户和wap门户展示。l bsf：负责移动用户密钥管理。终端主要完成移动多媒体广播/手机电视业务接收展现并与网络侧mbbms业务平台配合完成用户鉴权、订购关系管理和密钥管理。卡是终端侧鉴权和密钥管理的核心模块，主要完成密钥的存储、生成和解密功能。广电侧移动多媒体广播/手机电视业务系统主要完成音视频编码、节目流加密、业务信息配置、广播信号的复用和发射，以及用户订购信息存储、广电用户密钥管理、业务密钥管理等。广电侧移动多媒体广播/手机电视业务系统包含以下功能模块：l 音视频编码器：负责对音视频进行编码。l 紧急广播服务器：负责向公众通告紧急事件。l esg服务器：用于配置频道信息。l 手机电视esg服务器：用于生成包含节目费率在内的移动双向业务指南信息。l 加扰器：使用节目流密钥对手机电视业务进行加扰。l 节目流密钥管理：使用业务密钥加密节目流密钥，生成节目流密钥消息。l 业务密钥管理：产生业务密钥，并使用广电用户密钥加密业务密钥，提供给中国移动侧naf。l 复用器：负责对移动多媒体/手机电视业务进行复用。l 用户管理系统：负责存储用户订购信息，并对用户鉴权，具有与中国移动侧naf的接口。l portal：负责www门户和wap门户展示。互动应用服务器可以向用户提供与多媒体节目相关的互动应用。5.2. 组网5.2.1. 组网结构图5.2 组网结构图移动多媒体广播/手机电视系统多点组网结构如图，其中，全国业务节点包括：c_sg、c_naf和c_portal，主要功能有：l 接收全国业务广播运营商提供的业务信息和sg信息。l 将业务信息和sg信息推送给区域业务节点。l 提供www和wap自服务门户的统一入口。l 全国业务的订购信息和统计信息的存储。区域业务节点包括：l_sg、l_naf、l_portal、bsf，主要功能有：l 业务指南的分发。l 用户的认证鉴权。l 业务密钥分发。l 用户密钥管理。l www门户和wap门户展示。l 区域业务的订购信息和统计信息的存储。5.2.2. 组网要求全网设置一个全国业务节点和多个区域业务节点。全国业务节点为全国业务提供服务。区域业务节点为区域业务提供服务，并负责对本区域的用户的管理和控制。中国移动侧全国业务节点在全网建设一个。中国移动侧区域业务节点分省建设。在业务部署初期，存在一个物理节点节点同时为多个省服务，管理多个省的用户、业务的情况，系统架构的设计必须具备在同一个物理节点上部署多套逻辑平台实例的能力。广电侧全国业务节点在全网建设一个。广电侧区域业务节点多级建设，以省为单位与中移动区域业务节点对接。5.3. 各网元功能5.3.1. sg服务器sg服务器的主要功能是分发业务指南（service guide），并将业务信息发送给naf。业务指南中主要包括以下信息：l 核心（core）包括频道（service）分片、节目（content）分片、调度（schedule）分片。其中，n 频道分片的功能是提供一个电视频道（例如cctv-5）的信息。n 节目分片的功能是描述某个电视节目的相关信息。频道（service）和节目（content）的关系是，节目唯一对应于一个频道（一个content分片只能关联到一个service分片），一个频道可包括若干个节目（一个service分片可以被若干content分片引用）。n 调度分片实现电视频道/节目等相关业务信息的调度功能。l 订购（provisioning）n 报价单分片的功能是为用户提供可订购的单元的相关信息。n 订购数据分片的功能是为用户提供报价单的价格等信息。n 订购渠道分片的功能是为用户提供报价单的获得方式。l 接入（access）n 接入分片的功能是为终端接收和播放某频道、某电视节目或某时段分发的内容提供所需的接入信息，如广播网络的频点、信道编号、sdp等。l 其他（others）n 预览数据分片的功能是提供频道或者节目的介绍信息，使用户可以了解频道/节目的概况。n 交互数据分片的功能是提供频道/节目对应的交互业务的信息。sg服务器分为c_sg服务器和l_sg服务器。对于地面广播网络播放的电视节目，其sg由l_sg服务器发送给用户，包括全国业务的sg和区域业务的sg。对于仅由卫星广播网络提供，而地面广播网络不转发的电视节目，其sg由c_sg服务器分发给l_sg服务器，并由l_sg服务器分发给用户。（目前暂不提供卫星广播服务）. c_sg服务器c_sg只具备信息同步的功能，如下：1、全国业务的业务信息的接收与分发n 接收广电c_esg服务器发送的全国业务的业务信息，n 向c_naf、c_portal同步全国业务的业务信息。n 向全网各l_sg同步全国业务的业务信息。n 与boss的接口，将全国业务的业务信息同步给c_boss。2、区域业务的业务信息的接收和分发n 接收全网各l_sg发送的区域业务的业务信息，n 将各区域业务的业务信息向c_naf进行分发。n 将各区域业务的业务信息向全网其他l_sg进行分发。n 与boss的接口，将区域业务的业务信息同步给c_boss。. l_sg服务器l_sg的功能包括信息同步和业务指南生成/分发两部分功能信息同步功能如下：1、全国业务的业务信息的接收和分发l 接收c_sg分发的全国业务的业务信息。l 接收各区域广电的l_esg服务器发送的全国业务的业务信息。l l_sg对于全国业务的业务信息进行处理，对分别从c_sg、广电l_esg服务器得到的全国业务的业务信息进行整合，在从l_esg获取的业务信息中提取具有区域特点的信息（如频点、区域性全国业务的节目信息等），将其与从c_sg得到的其他业务信息进行整合。l 将接收到全国业务的业务信息发送给本地的l_naf。l 将全国业务的业务信息发送给本地的l_portal。2、本区域业务的业务信息的接收和分发l 接收本区域的广电l_esg服务器发送的区域业务的业务信息。l 将区域业务的业务信息向c_sg进行同步。l 将接收到区域业务的业务信息发送给本区域的l_naf。l 将本区域业务的业务信息发送给本区域的l_portal。3、其他区域的区域业务的业务信息的接收和分发l 接收c_sg分发的其他区域的区域业务的业务信息。l 将接收到其他区域的区域业务的业务信息发送给本区域的l_naf。 业务指南生成/分发两部分功能如下:1、业务指南的生成和对用户请求的响应l 对整合得到的全国业务的业务信息、本区域的区域业务的业务信息进行处理，生成向用户发布的业务指南。l 对用户的请求做出响应，将业务指南分发给用户。5.3.2. nafnaf的主要功能是完成业务密钥消息封装和用户密钥管理以及业务控制。naf分为c_naf和l_naf，其中c_naf负责全国业务信息同步；l_naf负责区域业务信息同步、用户密钥管理、业务密钥消息封装，以及业务控制和订购关系终端同步功能。. c_nafc_naf主要完成以下功能：l 全国业务的业务信息同步功能。l 支持全国性业务的订购关系的保存。. l_naf.1. 密钥管理l_naf的密钥管理模块执行以下功能：l 用户密钥管理与用户归属的bsf交互，获取并保存用户的用户密钥。使用用户请求密钥（mrk）对用户请求鉴权。l 加密业务密钥和消息封装从广电用户管理系统获取业务密钥，使用用户密钥加密业务密钥，并按照指定格式封装业务密钥消息。.2. 业务控制l_naf业务控制模块主要完成如下功能：l 支持业务数据/订购关系数据的存储和控制支持从l_sg接收业务数据（如套餐信息等）。对业务数据进行存储并用于业务控制过程，业务控制过程根据业务数据的不同属性（如全国性/区域性属性、包含的频道/节目属性等）进行相应的处理。支持订购关系数据的存储并用于业务控制，订购关系以boss为准。l 支持用户订购业务支持用户订购全国性、归属地区域性以及拜访地区域性等移动多媒体广播/手机电视业务。业务控制模块实现订购关系在系统中的生效并向相关外部网元（业务接入地的区域业务节点、全国业务节点、广电用户管理系统）同步订购关系的生成操作。l 支持用户退订业务支持用户进行移动多媒体广播/手机电视业务的退订操作。业务控制模块实现订购关系在系统中的失效并向相关外部网元（业务接入地的区域业务节点、全国业务节点、广电用户管理系统）同步订购关系的退订操作。l 支持用户通过多种方式查询订购关系支持用户通过客户端、www/wap portal、短信等多种方式进行业务的订购关系查询操作。支持管理员对订购关系各种维度进行灵活的统计和查询操作。l 支持终端同步订购关系支持通过客户端进行业务订购关系的同步操作，在客户端发起同步请求时，将用户订购的并且是当前可以收看的电视节目的标识信息同步给终端。l 支持系统发起的订购关系状态变更支持系统发起的订购关系变更操作（如系统发现用户欠费、管理员暂停/删除业务等原因），业务控制模块实现订购关系的状态变更操作并向相关外部网元同步订购关系的变更操作。l 支持用户使用业务的鉴权支持对用户使用业务进行鉴权操作，包括用户鉴权、业务鉴权以及订购关系鉴权，根据相应的用户信息、业务信息、订购关系状态以及其它相关信息（如扣费状态）等因素对用户是否可以使用业务进行判断。5.3.3. bsfbsf模块执行以下功能：l 执行3gpp gba体系中的bsf功能，根据用户的鉴权元组信息实现对用户的鉴权，并生成共享密钥ks。用户的鉴权元组由bsf模块从用户归属hlr获取。l 根据安全策略设置用户共享密钥的有效期。l 与naf模块相互认证，根据naf请求，为naf生成用户的用户密钥（mrk、muk）。l zn proxy功能，bsf应能作为与其相联的naf访问其他bsf之间时的代理，负责转发naf与其他bsf之间的用户密钥请求和响应消息。5.3.4. portal用户可以通过登陆www门户或wap门户进行用户自服务。www门户和wap门户在每个业务平台上单独建设。用户自服务www/wap门户的基本功能如下：l 用户个人资料管理：用户个人资料信息的查询、修改等；l 用户密码修改：登录门户的用户可以通过自服务门户修改密码；l 业务订购关系的查询：用户可以通过门户看到自己目前所有的业务订购情况。l 业务暂停、注销退订：用户可以通过门户暂停或注销手机电视业务，或退订区域业务和全国性业务。l 客户端开通、订购、恢复方法查询：用户可以通过门户了解使用客户端开通、订购、恢复手机电视业务的方法。l 业务信息展现：用户可以通过门户查看本区域业务和全国性业务信息，包括频道和节目。全国业务节点的portal提供以下功能：l 负责提供用户统一的www门户和wap门户的接入。提供简单的业务信息宣传。全国门户提供在线业务办理功能，用户可以在线订购全国业务，并通过链接到用户归属地门户的订购关系展示页面来提供用户所有已订购业务展示和退订。l 在全国www门户的主框架上均具有其他区域www门户的链接。l 在全国wap门户的主框架上均具有其他区域wap门户的链接。区域业务节点的portal提供以下功能：l 提供本区域内区域性业务和全国性性业务的频道、节目和套餐信息的展示，向用户提供本区域内区域性业务和全国性业务的订购和退订等功能以及用户所有已订购业务的查询。区域门户包括区域www门户和区域wap门户。l 区域www门户要求提供到其他区域www门户的链接。l 区域wap门户要求提供到其他区域wap门户的链接。为了实现用户接入www门户的统一性，设立www统一门户，www统一门户基本功能如下：l 提供用户单点登录统一接入各区域www门户功能。l 提供到各业务平台www门户的链接。l 提供简单业务展示功能。5.3.5. 终端终端是移动多媒体/手机电视业务的最终呈现设备，主要功能包括：移动通信功能、移动多媒体广播/手机电视业务接收展现功能以及与网络侧的mbbms业务平台相配合完成用户鉴权、订购关系管理、密钥管理、互动等功能。（1）移动通信功能终端应具备2g或3g移动通信功能。现阶段终端应具备gsm/gprs/3g通信功能，推荐终端支持edge功能。（2）业务接收展现功能终端应具备移动多媒体/手机电视广播信号接收解调、解复用、解扰、音视频解码、紧急广播等功能。（3）业务指南功能终端应能通过wap网关从sg服务器获取业务指南，并且能够正确解析、显示业务指南。（4）gba初始化功能。终端应支持通过gba初始化过程，使卡生成有效的用户密钥，用以进行用户鉴权。（5）业务订购及密钥管理功能客户端软件应支持业务订购、退订、订购关系查询，以及业务密钥获取、存储、更新等功能。(6)订购关系同步功能客户端软件应支持订购关系的同步功能,可以主动发起当前可以观看的电视节目的订购关系同步请求,更新终端本地存储的订购关系列表。（7）互动功能终端应能够获取互动内容。终端应至少支持基于短信方式、wap方式的互动。5.3.6. 卡sim/usim卡是终端中鉴权和密钥管理的核心模块其功能描述如下：1) 移动用户密钥计算生成功能：ks，muk，mrk。2) 密钥存储功能：存储用户相关密钥（包括通过中国移动通信网络生成的ks和muk，以及预置的广电用户密钥）、业务密钥。3) 解密获得业务密钥和节目流密钥。4) 向终端发送mrk和节目流密钥。5) 应支持与mbbms相关的命令和响应, 根据终端的指令，对密钥进行生成、存储和更新，或向终端返回密钥及相关数据。5.4. 接口功能l 终端与mbbms业务平台之间的接口。采用http接口，主要包括用户开通、恢复、暂停、注销、订购、退订、获取业务密钥等功能。l 终端与卡之间的接口， 功能为解密业务密钥消息和节目流密钥消息。l mbbms业务平台与hlr间的接口。主要功能为bsf设备向hlr/auc请求用户鉴权元组。l mbbms业务平台与wap网关间的接口。wap网关通过该接口作为终端与mbbms业务平台间进行http交互的代理。l mbbms业务平台与短信网关间的接口。主要用于naf向用户发送push消息，并接收用户发送的短信指令。l mbbms业务平台之间的接口。功能包括拜访地业务的订购、退订、开通、注销、暂停、恢复等以及业务信息的同步。l mbbms业务平台与业务支撑系统之间的接口。主要功能包括同步订购关系和业务数据，发送话单等。l mbbms业务平台内各设备之间的接口。功能包括用户密钥获取，业务信息同步等。6. 认证授权6.1. 密钥管理体系移动多媒体广播/手机电视业务的认证授权是通过对节目流进行加密，然后向用户发送解密密钥的方式实现。为保证密钥在传输过程中的安全，在网络中传送的密钥都是被加密的。密钥管理采用四层体系结构。如图6.1。图6.1 密钥管理体系第一层：认证管理和用户初始化注册。用户与移动通信网络之间进行相互认证，认证通过后获得共享密钥。根据此共享密钥，卡和网络生成认证密钥（mrk）和用户密钥（muk）。其中认证密钥用于终端与mbbms业务平台进行认证，用户密钥用于传输业务密钥时对业务密钥加密。广电用户密钥预置在用户卡中和广电侧移动多媒体广播/手机电视业务系统中。第二层：业务密钥管理。网络根据用户订购关系将业务密钥通过加密方式传送给用户。网络将先后使用广电用户密钥和中国移动用户密钥即muk对业务密钥加密，卡对业务密钥消息解密时同样将先后使用卡中保存的muk和广电用户密钥进行解密。第三层：节目流密钥管理。网络将加密后的节目流密钥在广播网络上广播。网络对节目流密钥进行加密时将使用业务密钥，卡对节目流密钥消息解密时将使用解密后的业务密钥。第四层：节目流管理。网络使用节目流密钥对节目流进行加密，加密后的节目流通过广播信道进行分发，终端使用解密后的节目流密钥进行解密。6.2. 用户密钥管理6.2.1. 中国移动用户密钥管理终端侧设备与移动通信网络中的bsf设备交互，进行gba认证，认证通过后卡中生成共享密钥。根据此共享密钥，卡和网络生成认证密钥（mrk）和用户密钥（muk）。其中认证密钥用于终端与mbbms业务平台进行认证，用户密钥用于传输业务密钥时对业务密钥加密。6.2.2. 广电用户密钥管理广电用户密钥为128位对称密钥，由广电用户密钥管理设备生成和保存，并在用户的sim/usim卡中预置并安全保存。广电用户密钥对每个用户唯一。广电业务密钥管理设备在接收到naf的业务密钥请求时，使用广电用户密钥加密业务密钥，加密算法为aes_ecb_128算法。用户sim/usim卡处理业务密钥消息时，使用广电用户密钥解密业务密钥时采用aes_ecb_128算法解密。7. 业务流程7.1. 终端业务流程从终端的角度来看，移动多媒体广播/手机电视业务的使用流程如下图所示。流程描述如下：1) 启动客户端；2) 终端通过wap网关向sg服务器请求业务指南；3) 终端向拜访地naf发起订购关系同步请求；4) 客户端判断本地是否存有用户共享密钥，如果是进入步骤6，否则进入步骤5；5) 进入gba 流程，获取用户共享密钥； 6) 用户浏览节目信息，选择希望收看的节目，如果用户选择订购业务，则进入步骤7；如果用户选择播放节目则进入步骤13；7) 提示用户业务订购信息；8) 询问用户是否选择订购该业务，如果用户选择是，进入步骤9，否则进入步骤6；9) 终端发起订购请求，系统首先判断用户开通状态，若用户已开通，则进入步骤10，否则进入步骤19；10) 系统建立用户订购关系，建立订购关系后，终端应对订购关系表进行维护，在订购关系表中加入新的订购关系。系统会根据业务密钥发放原则在特定时间向终端推送业务密钥，即步骤11；11) 网络发送业务密钥到终端；12) 终端将业务密钥存储在卡中；13) 客户端从本地订购关系表中查询用户是否已开通业务，若用户已开通，则进入步骤14，否则进入步骤19；14) 客户端从本地订购关系表中查询用户是否已经订购该节目，如果已经订购，进入步骤15；如果没有该订购关系，则进入步骤20；15) 客户端判断是否存有将要播放的内容的业务密钥，如果有进入步骤16，如果没有有效业务密钥则进入步骤21；16) 终端播放节目，并进入步骤17；17) 等待用户操作；如果用户选择返回则结束播放，回到步骤6（等待用户进一步操作的状态）；如果用户选择退出，则进入步骤18；18) 结束节目播放，关闭客户端；19) 系统向终端返回未开通或已暂停的响应消息，终端提示用户未开通或暂停，询问用户是否开通或恢复业务，并根据用户选择执行后续流程。如果用户选择是，则发起开通或恢复请求，如果用户选择否，则返回原界面等待用户选择下一步操作；20) 终端发起订购关系获取流程，更新订购关系并执行相应后续流程；21) 终端发起业务密钥获取流程，更新订购关系并执行相应后续流程。7.2. 消息流程7.2.1. gba初始化流程终端通过执行gba初始化流程，实现密钥会话协商，卡和归属地bsf中分别生成和保存相同的用户共享密钥。在以下情况时，终端触发gba初始化流程：1) 终端客户端启动后，发现卡中没有用户共享密钥ks；2) 所有使用mrk做http digest的流程中，终端收到服务器返回的http 401 unauthorized鉴权失败响应消息，且该消息头中的stale不为true或stale不存在；3) 终端从卡中读取mrk失败。流程图如图。流程描述：1) 终端向卡请求imsi。2) 卡向终端返回imsi。3) 终端向wap网关发送bootstrapping_initiation.req消息。当用户从3g网络接入时，则接入就近的3g wap网关；当用户从2g网络接入时，则接入就近的2g wap网关。4) 用户发起业务时接入的wap网关向拜访地naf发送bootstrapping_initiation.req消息。5) 拜访地naf从bootstrapping_initiation.req消息中提取出用户的imsi，把用户imsi转换为impi，并查询用户归属地bsf的地址。6) 拜访地naf向用户接入的wap网关发送bootstrapping_initiation.res消息，携带用户的impi和用户归属bsf的地址。7) 用户发起业务时接入的wap网关向终端返回bootstrapping_initiation.res消息。8) 终端向接入地用户发起业务时接入的wap网关发送bootstrapping_register.req消息，消息目标地址为归属地bsf。消息中包含用户impi。9) 用户发起业务时接入的wap网关向向用户归属地bsf发送bootstrapping_register.req消息。10) 用户归属bsf将用户impi映射为imsi。11) 用户归属bsf向归属hlr/auc发送authentication data request消息，请求av(authentication vector，鉴权元组)。12) hlr/auc根据imsi查找用户鉴权密钥(ki或k)，进行一次av运算；并向bsf发送authentication data response消息，返回运算获得的av。l 当用户为sim卡用户时，hlr/auc执行3元av运算，生成 (rand, sres, kc)；l 当用户为usim卡用户，hlr/auc执行5元av，生成 (rand, autn, xres, ck, ik)。13) 归属bsf使用av，向用户发起业务时接入的wap网关返回bootstrapping_register.res消息。如果是3元av，则消息中包含rand；如果是5元av，则消息中包含rand和autn*。14) 用户发起业务时接入的wap网关向终端返回bootstrapping_register.res消息。15) 终端向卡发送authentication command命令，其中携带rand或(rand, autn*)。16) 卡运算获得av。l 如用户卡为sim卡，则执行3元av运算，生成sres；然后再生成res：res = kdf (key, 3gpp-gba-res, sres)，具体参见3gpp ts33.220-740。卡将res返回给终端；l 如用户卡为usim卡，则执行5元av运算。首先验证autn*的有效性。若有效，则继续运算(res, ck, ik)，将res返回给终端。若无效，触发sqn重同步过程。17) 卡将结果返回给终端。18) 终端向用户发起业务时接入的wap网关发送bootstrapping_authorization.req消息，消息目标地址为用户归属地bsf。消息中包含使用sres/res计算的digest的信息。19) 用户发起业务时接入的wap网关向用户归属地bsf发送bootstrapping_authorization.req消息。20) 归属bsf进行鉴权。对于三元组，判断终端发送的res与bsf生成的res是否相等；对于五元组，判断终端发送的res与bsf保存的xres是否相等。若相等，则鉴权成功，生成ks和b-tid。l 对于sim卡，ks = kdf (key, ks-input, 3gpp-gba-ks, sres)，其中key = kc | kc | rand，ks-input是bsf生成的一个128位随机数。具体参见3gpp ts33.220-740。l 对于usim卡，ks = ck|ik。若sres与res不相等或res与xres不相等，则鉴权失败。21) 归属bsf向用户发起业务时接入的wap网关返回bootstrapping_authorization.res消息。鉴权成功消息中包含b-tid、ks的生命周期。22) wap网关向终端返回bootstrapping_authorization.res消息。23) 终端向卡中写入b-tid、ks的生命周期、rand。24) 卡生成ks。l 对于sim卡，ks = kdf (key, ks-input, 3gpp-gba-ks, sres)，其中key = kc | kc | rand，ks-input是bsf生成的一个128位随机数。具体参见3gpp ts33.220-740。对于usim卡，ks = ck|ik。7.2.2. 业务指南获取流程（1）业务指南服务器生成sgdd和各fragment；（2）用户打开客户端；（3）终端向wap网关发起业务指南请求，请求包含终端当前存有的sgdd的标识id和版本version；（4）wap网关将业务指南请求发到业务指南服务器；（5）业务指南服务器对业务指南请求进行分析l 如果请求消息中未携带参数，那么业务指南服务器将当前最新的sgdd以及其中描述的分片（封装成sgdu的形式）封装到响应消息中；l 如果请求消息中携带了终端缓存的sgdd的id和version，sg服务器将该id和version与最新的sgdd的id和version进行比较：u id和version均相同，响应消息只需包含200 ok信息；u id相同但version不同，服务器返回最新版本的sgdd；并比较请求消息中标识的sgdd和最新版本的sgdd，将发生变化和新增的分片封装在sgdu中，将sgdd和sgdu封装到响应消息中；u id不相同/服务器上没有终端请求的sgdd的id，服务器返回最新的sgdd；并比较请求消息中标识的sgdd和最新的sgdd，将发生变化和新增的分片封装在sgdu中，将sgdd和sgdu封装到响应消息中；（6）业务指南服务器将业务指南响应发到wap网关；（7）wap网关将业务指南响应发到终端；（8）终端接收响应消息，并进行如下操作：l 如果响应消息中不包含sgdd，则不对本地sg以及sgdd进行更新；l 如果响应消息中包含sgdd，终端：u 首先比较本地的sgdd和响应消息中的sgdd：n 对于某个分片，如果本地sgdd中有描述信息，而响应消息中的sgdd中不包含该分片的描述信息，则删除该分片；n 对于某个分片，如果本地sgdd中的描述信息和响应消息中的sgdd包含的描述信息相同，则保持该分片不变；n 对于某个分片，如果本地sgdd中的描述信息和响应消息中的sgdd包含的描述信息不同，则更新该分片；最新的分片包含在响应消息的sgdu中；n 对于某个分片，如果本地sgdd中不包含其描述信息，而响应消息中的sgdd包含其描述信息，则该分片是新增的分片；终端从响应消息的sgdu中获取该分片；u 其次用最新的sgdd覆盖本地的sgdd。7.2.3. 订购信息更新流程在以下情况时，终端触发订购信息更新流程：1) 打开客户端；2) 播放且终端中没有订购信息表。订购关系表获取流程描述如下：1) 用户打开手机电视客户端或者点击播放；2) 终端向接入地wap网关发起订购关系表同步请求；3) 接入地wap网关向拜访地naf发起订购关系表同步请求；4) 拜访地naf向归属地naf请求用户的业务订购关系；5) 归属地naf向拜访地naf返回用户订购的所有业务信息；6) 拜访地naf提取用户当前所能够使用的业务的订购信息，包括拜访地区域业务和全国业务的订购信息；7) 拜访地naf接入地wap网关返回订购关系表；8) 拜访地wap网关向终端返回订购关系表；9) 终端接收到订购关系表后生成或更新本地的订购信息。. 功能要求mbbms业务平台处理订购关系表同步请求时，需要对用户的状态进行鉴权，如果用户处于“未开通”状态，应该在响应消息中返回“用户尚未开通手机电视业务”的指示，并且返回空的订购信息。如果用户处于“暂停”状态，系统正常的给用户返回空的订购信息。7.2.4. 用户开通/恢复移动多媒体广播/手机电视业务流程. 业务请求方向用户归属地mbbms业务平台发起开通/恢复请求在以下情况时，业务请求方向用户归属地mbbms业务平台发起开通/恢复请求：n 用户在归属地点击客户端，选择开通/恢复手机电视业务通过移动多媒体广播/手机电视客户端开通/恢复时，终端和业务平台应采用http digest相互认证，该认证流程的处理方式与业务密钥获取流程中的http digest认证过程相同，即业务平台应在本地查询用户密钥或向bsf请求该用户的用户密钥，如果bsf返回无用户密钥提示，则业务平台应向用户客户端返回鉴权失败消息，http头为401，触发用户重作gba。. 业务请求方向用户拜访地mbbms业务平台发起用户开通/恢复请求在以下情况时，业务请求方向用户拜访地mbbms业务平台发起开通/恢复请求：n 用户在拜访地点击客户端，选择开通/恢复手机电视业务通过移动多媒体广播/手机电视客户端开通/恢复时，终端和业务平台应采用http digest相互认证，该认证流程的处理方式与业务密钥获取流程中的http digest认证过程相同，即业务平台应在本地查询用户密钥或向bsf请求该用户的用户密钥，如果bsf返回无用户密钥提示，则业务平台应向用户客户端返回鉴权失败消息，http头为401，触发用户重作gba。. naf处理开通/恢复请求的功能要求.1. l_naf接收到移动多媒体广播/手机电视客户端发送的开通/恢复请求消息发起方：移动多媒体广播/手机电视客户