Tiêu chuẩn bảo mật trong MBMS được định nghĩa trong tiêu chuẩn ETSI TS 133 246. MBMS đưa ra một khái niệm về dịch vụ điểm-nối-đa điểm trong hệ thống 3GPP. Do vậy, yêu cầu đối với dịch vụ người sử dụng MBMS là phải
đảm bảo an toàn truyền dữ liệu. Để giải quyết được yêu cầu này, cần có một phương pháp xác thực, phân phối key và bảo vệ dữ liệu cho người sử dụng dịch vụ MBMS. Điều này có nghĩa rằng bảo mật MBMS phải được quy định
đối với bảo vệ những dịch vụ người dùng MBMS, và nó độc lập với chếđộ sử
dụng là multicast hay broadcast.
Có hai trường hợp khi xử lý ở hai chếđộ khác nhau multicast và broadcast: sử dụng chức năng thành viên trong cấp quyền và ủy quyền của người sửu dụng liên quan những người tải MBMS chỉ được xác định đối với chế độ
multicast. MBMS trong EPS chỉ hỗ trợ chế độ Broadcast và những chức năng liên quan đến chếđộ multicast không được EPS áp dụng.
BM-SC
Chuc nang quan ly key
Chuc nang phien & truyen dan
Chuc nang yeu cau Key
Chuc nang phan bo K ey
UE 2)
MGV-S/F
BSF
HTTP Digest Authentication (MRK)
HTTP Digest AKA (Thiet lap Ks) Ks
MUK
MIKEY MTK delivery (duoc bao ve voi MSK)
Khoi tao MSK Khoi tao ban
tin MSK Nha cung cap noi dung Ks_xx_NAF MRK MUK Khoi tao MTK Khoi ta o ban tin MTK Ma hoa luu luong Giai ma ban tin MSK Giai ma ban tin MTK Giai ma luu luong MR K MSK MTK MI KEY MSK delivery (duoc bao ve voiMUK)
Da ta duoc ma hoa 1) (duoc bao ve voi MTK)
Ua Ub Zn HSS Zh Data Data P o in t- T o- P oi n t P oin t- T o- M u lt iP o in t Ks Ks_xx_NAF
Luu y 1) SRTP duoc su dung voi str eaming va duoc dieu che dinh dang DCF cho download Chuc nang Membership Derivation MRK Derivation 3) Derivation MTK MSK MRK Derivation 3)
Luu y 3)Khong ap dung doi voi GBA_U, vi MRK=Ks_ext_NAF
Luu y 2)Vi tri Ks_xx_NAF doi v oi GBA_ME hay GBA_U dua tren nhung key NAF
Hình 20.Kiến trúc bảo mật MBMS
Hình 20 cho thấy tổng quát những thành phần phức tạp mạng trong MBMS từ khía cạnh bảo mật. Gần như tất cả những chức năng bảo mật cho MBMS, ngoại trừ đối với bảo mật mạng thông thường, lưu trữ trong BM-SC hoặc trong UE. UE và BM-SC sử dụng GBA để thiết lập chia sẻ những key được sử
dụng để bảo vệ truyền thông point-to-point giữa UE và BM-SC.
việc liệt kê dữ liệu và nhận dữ liệu từ những thành phần thứ 3 dành cho truyền dẫn. BM-SC chịu trách nhiệm đối với việc thiết lập chia sẻ thông tin bảo mật với UE đang sử dụng GBA, xác nhận UE với bộ phận xác thực phần HTTP digest, đăng ký và đăng ký lại những UE đối với những dịch vụ người dùng MBMS, khởi tạo và phân bổ những key cần thiết cho bảo mật MBMS đến những UE với giao thức MIKEY và áp dụng một cách thích hợp để bảo vệ dữ
liệu đó khi truyền dẫn như một thành phần của dịch vụ người dùng MBMS. BM-SC cũng cung cấp quyền mang MBMS cho những UE đang cố thực hiện thiết lập mang MBMS.
BM-SC cũng xác minh liệu người dùng là đã được trao quyền đăng ký và nhận key đối với dịch vụ người dùng MBMS. Đối với chếđộ Multicast quyền hạn này được thực hiện với sự trợ giúp của chức năng Membership trong BM- SC. Đối với chếđộ Broadcast quyền hạn này được thực hiện mà không cần sự
trợ giúp của chức năng Membership bởi vì chức năng Membership chỉ được xác định trong trường hợp chếđộ Multicast.
UE chịu trách nhiệm thiết lập chia sẻ thông tin bảo mật với BM-SC đang sử
dụng GBA, đăng ký và đăng ký lại những dịch vụ người dùng MBMS, yêu cầu và nhận những key dành cho dịch vụ người dùng MBMS từ BM-SC và cũng sử dụng những key đó để giải mã dữ liệu MBMS nhận được.
MBMS lên khuôn theo những yêu cầu trên những thành phần có thể
MBMS:
- UICC bao gồm những chức năng quản lý key MBMS sẽ thi hành GBA_U;
- ME hỗ trợ MBMS sẽ thực thi GBA_U và GBA_ME, và sẽ phải có khả
năng sử dụng những chức năng quản lý key MBMS trên UICC cũng như
cung cấp những chức năng quản lý key MBMS.
BM-SC sẽ hỗ trợ sử dụng cả hai key GBA_U và GBA_ME để kích hoạt cả
hai ME và UICC đều dựa trên khối quản lý key MBMS, từng cái tương ứng.