本發(fā)明涉及集群通信領(lǐng)域,尤其涉及群組通信空口安全控制的方法、裝置和系統(tǒng)。
背景技術(shù):
集群通信系統(tǒng),目前已成為除了公眾移動通信系統(tǒng)之外的一個至關(guān)重要的專用通信系統(tǒng)。由于它所具有的指揮調(diào)度和應(yīng)急的特點(如一鍵式對講、緊急呼叫以及多組調(diào)度等),因此已在包括軍隊、機(jī)場、公安、鐵路以及電力等多個重要的行業(yè)得到了廣泛的應(yīng)用。
隨著集群技術(shù)的發(fā)展,集群通信系統(tǒng)從模擬集群向數(shù)字集群發(fā)展,窄帶集群向?qū)拵Ъ喊l(fā)展。無線寬帶多媒體集群是指基于寬帶無線通信技術(shù),采用多媒體業(yè)務(wù)形式,以指揮調(diào)度功能為主的專用無線通信系統(tǒng),簡稱寬帶集群。
隨著LTE的標(biāo)準(zhǔn)化和商用,LTE已經(jīng)越來越成為寬帶通信關(guān)注點。利用LTE系統(tǒng)做專網(wǎng)寬帶集群也是必然發(fā)展趨勢。
目前LTE系統(tǒng)中只能針對連接態(tài)用戶且單播業(yè)務(wù)基于USIM卡中的永久密鑰進(jìn)行加密解密處理。而在B-TrunC中提到的端到端加密也只是針對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密,不對控制面數(shù)據(jù)進(jìn)行加密。
技術(shù)實現(xiàn)要素:
針對上述問題,本發(fā)明提出一種群組通信中空口安全控制方法,包括:
為每個群組配置密鑰,用于衍生所述群組的UE側(cè)密鑰和基站側(cè)密鑰,所述UE側(cè)密鑰是UE側(cè)用于生成信令加密以及數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的輸入密鑰,所述基站側(cè)密鑰是基站側(cè)用于生成信令加密以及數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的輸入密鑰;
在UE集群注冊過程中,核心網(wǎng)下發(fā)所述UE所在群組的UE側(cè)密鑰給所述UE;
在組呼建立過程中,所述核心網(wǎng)下發(fā)所述群組的基站側(cè)密鑰給所述群組下各UE所在的eNB。
優(yōu)選的,還包括:在組呼建立過程中,所述核心網(wǎng)還下發(fā)所述群組的Group Id、NAS層加密算法和信令完整性保護(hù)算法給所述eNB;所述eNB下發(fā)AS層加密算法、NAS層加密算法和信令完整性保護(hù)算法給所述群組的UE;所述群組的UE接收后,衍生出NAS層密鑰和AS層密鑰,并激活NAS層安全機(jī)制和AS層安全機(jī)制。進(jìn)一步的,所述NAS層安全機(jī)制和AS層安全機(jī)制被激活后,所述eNB下發(fā)的RRC消息進(jìn)行AS加密和完整性保護(hù),其中包含的NAS消息進(jìn)行NAS層加密和完整性保護(hù);所述UE接收空口加密的組呼數(shù)據(jù)。
優(yōu)選的,所述UE側(cè)密鑰為永久密鑰Group K、中間密鑰Group KASME或中間密鑰Group CK/Group IK,所述基站側(cè)密鑰為Group KeNB。進(jìn)一步的,當(dāng)所述UE側(cè)密鑰為永久密鑰Group K時,所述核心網(wǎng)還下發(fā)用于生成信令加密以及數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的隨機(jī)數(shù)RAND和認(rèn)證令牌AUTN。當(dāng)所述UE側(cè)密鑰為中間密鑰Group CK/Group IK時,所述核心網(wǎng)還下發(fā)用于生成信令加密以及數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的認(rèn)證令牌AUTN;更進(jìn)一步的,所述核心網(wǎng)還下發(fā)隨機(jī)數(shù)RAND,用于UE側(cè)對核心網(wǎng)進(jìn)行合法性認(rèn)證。
基于相同的構(gòu)思,本發(fā)明還提出一種用于上述方法的核心網(wǎng)側(cè)裝置,包括:配置模塊,用于為每個群組配置密鑰,所述密鑰用于衍生所述群組的UE側(cè)密鑰和基站側(cè)密鑰;下發(fā)模塊,用于在UE集群注冊過程中,下發(fā)所述UE所在群組的UE側(cè)密鑰給所述UE;在組呼建立過程中,下發(fā)所述群組的基站側(cè)密鑰、所述群組的Group Id、NAS層加密算法和信令完整性保護(hù)算法給所述群組下各UE所在的eNB。
進(jìn)一步的,當(dāng)所述UE側(cè)密鑰為永久密鑰Group K時,所述下發(fā)模塊還下發(fā)用于生成信令加密、數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的隨機(jī)數(shù)RAND和認(rèn)證令牌AUTN。當(dāng)所述UE側(cè)密鑰為中間密鑰Group CK/Group IK時,所述下發(fā)模塊還下發(fā)用于生成信令加密以及數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的認(rèn)證令牌AUTN。
基于相同的構(gòu)思,本發(fā)明還提出一種用于上述方法的eNB裝置,包括:接收模塊,用于在組呼建立過程中接收核心網(wǎng)側(cè)下發(fā)的所述群組的基站側(cè)密鑰和所述群組的Group Id、NAS層加密算法和信令完整性保護(hù)算法;下發(fā)模塊,用于在組呼建立過程中下發(fā)AS層加密算法、NAS層加密算法和信令完整性保 護(hù)算法給所述群組的UE;安全處理模塊,用于在組呼NAS層安全機(jī)制和AS層安全機(jī)制被激活后,對下發(fā)的RRC消息進(jìn)行AS加密和完整性保護(hù),對其中包含的NAS消息進(jìn)行NAS層加密和完整性保護(hù)。
基于相同的構(gòu)思,本發(fā)明還提出一種用于上述方法的UE裝置,包括:接收模塊,用于在集群注冊過程中接收網(wǎng)絡(luò)側(cè)下發(fā)的其所在群組的UE側(cè)密鑰;在組呼建立過程中接收網(wǎng)絡(luò)側(cè)下發(fā)的AS層加密算法、NAS層加密算法和信令完整性保護(hù)算法;安全管理模塊,用于衍生NAS層密鑰和AS層密鑰,激活NAS層安全機(jī)制和AS層安全機(jī)制;解密模塊,用于在所述NAS層安全機(jī)制和AS層安全機(jī)制被激活后,對接收到的空口加密的組呼數(shù)據(jù)進(jìn)行解密處理。
最后,本發(fā)明提出一種用于上述方法的系統(tǒng),包括如上所述的核心網(wǎng)側(cè)裝置、eNB裝置和UE裝置。
本發(fā)明對群組通信的控制面和用戶面均進(jìn)行了加密解密處理,使群組通信安全可靠。
附圖說明
下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實施例1的群組通信空口安全控制信令流程圖;
圖2為本發(fā)明實施例2的群組通信空口安全控制信令流程圖;
圖3為本發(fā)明實施例3的群組通信空口安全控制信令流程圖;
圖4為本發(fā)明提出的核心網(wǎng)側(cè)裝置功能結(jié)構(gòu)示意圖;
圖5為本發(fā)明提出的eNB裝置功能結(jié)構(gòu)示意圖;
圖6為本發(fā)明提出的UE裝置功能結(jié)構(gòu)示意圖。
具體實施方式
為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例;需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得 的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍。
本發(fā)明提出了一種群組通信中空口安全控制方法,包括:
為每個群組配置密鑰,用于衍生所述群組的UE側(cè)密鑰和基站側(cè)密鑰;所述UE側(cè)密鑰是UE側(cè)用于生成信令加密以及數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的輸入密鑰,所述基站側(cè)密鑰是基站側(cè)用于生成信令加密、數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的輸入密鑰;
在UE集群注冊過程中,所述核心網(wǎng)下發(fā)所述UE所在群組的UE側(cè)密鑰給所述UE;
在組呼建立過程中,所述核心網(wǎng)下發(fā)所述群組的基站側(cè)密鑰給所述群組下各UE所在的eNB。
進(jìn)一步的,在組呼建立過程中,所述核心網(wǎng)還下發(fā)所述群組的Group Id、NAS層加密算法和信令完整性保護(hù)算法給所述eNB;所述eNB下發(fā)AS層加密算法、NAS層加密算法和信令完整性保護(hù)算法給所述群組的UE;所述群組的UE接收后,衍生出NAS層密鑰和AS層密鑰,并激活NAS層安全機(jī)制和AS層安全機(jī)制。
在所述NAS層安全機(jī)制和AS層安全機(jī)制被激活后,所述eNB下發(fā)的RRC消息進(jìn)行AS加密和完整性保護(hù),其中包含的NAS消息進(jìn)行NAS層加密和完整性保護(hù);所述UE接收空口加密的組呼數(shù)據(jù)。
其中,UE側(cè)密鑰可以是永久密鑰Group K、或者中間密鑰Group KASME,也可以是中間密鑰Group CK/Group IK;基站側(cè)密鑰為Group KeNB。
下面,以B-TrunC系統(tǒng)為例,對本發(fā)明提出的方法進(jìn)行詳細(xì)說明。
實施例1:UE側(cè)密鑰為永久密鑰Group K時的集群組呼過程。
當(dāng)群組的UE側(cè)密鑰為該群組的永久密鑰Group K時,所述核心網(wǎng)還下發(fā)用于生成信令加密、數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的隨機(jī)數(shù)RAND和認(rèn)證令牌AUTN。此情況的群組通信空口安全控制的信令流程請參照附圖1,具體過程如下:
UE附著網(wǎng)絡(luò)并進(jìn)入RRC連接狀態(tài);
UE發(fā)起集群注冊過程;核心網(wǎng)側(cè)(如MME)在集群注冊接受消息TRUNKING REGISTER ACCEPT里面攜帶群組Group Id及其對應(yīng)的UE側(cè)密鑰(永久密鑰Group K)。
UE集群注冊后,如果沒有業(yè)務(wù)可以進(jìn)入idle狀態(tài)。
當(dāng)群組中某個UE發(fā)起群組業(yè)務(wù):
核心網(wǎng)側(cè)向eNB發(fā)起組呼建立過程,并在該過程中,通知eNB該組呼的群組ID,基站側(cè)密鑰Group KeNB、NAS層加密算法和完整性保護(hù)算法,以及隨機(jī)數(shù)RAND和令牌AUTN。
eNB在進(jìn)行組呼建立時,在集群尋呼消息中通知該群組的UE關(guān)于AS層加密算法、NAS層加密算法和完整性保護(hù)算法,以及隨機(jī)數(shù)RAND和令牌AUTN。
各UE根據(jù)接收到永久密鑰Group K、RAND、AUTN和加密算法、完整性保護(hù)算法等信息衍生用于數(shù)據(jù)和信令的加密密鑰和用于信令完整性保護(hù)密鑰。
至此,群組通信的AS層安全和NAS層安全被激活。后續(xù)eNB下發(fā)的RRC消息進(jìn)行AS層加密和信令完整性保護(hù),其中包含的NAS信息進(jìn)行NAS層加密和信令完整性保護(hù)。
本實例中,eNB下發(fā)包含NAS消息GROUP CALL SETUP INDICATION的RRC消息Groupcallconfig,該RRC消息進(jìn)行了AS加密和完整性保護(hù),包含的NAS信息進(jìn)行了NAS層加密和完整性保護(hù)。
UE接收eNB進(jìn)行了空口加密的組呼數(shù)據(jù),使用衍生的相應(yīng)密鑰進(jìn)行消息解密。
實施例2:UE側(cè)密鑰為中間密鑰Group CK/Group IK時的集群組呼過程。
當(dāng)所述UE側(cè)密鑰為中間密鑰Group CK/Group IK時,集群組呼過程與實施例1基本相同。與實施例1的不同之處在于,UE側(cè)衍生信令加密和數(shù)據(jù)加密的密鑰和信令完整性保護(hù)密鑰不再需要隨機(jī)數(shù)RAND,所以在組呼建立過程中,核心網(wǎng)可以不發(fā)送隨機(jī)數(shù)RAND。當(dāng)然也可以下發(fā)隨機(jī)數(shù)RAND,UE側(cè)可以使用該隨機(jī)數(shù)對核心網(wǎng)進(jìn)行合法性認(rèn)證。此情況的群組通信空口安全控制的信令流程請參照附圖2。
實施例3:UE側(cè)密鑰為中間密鑰Group KASME時的集群組呼過程。
當(dāng)所述UE側(cè)密鑰為中間密鑰Group KASME時,集群組呼過程與實施例1和2基本相同,請參照附圖3。不同之處在于,UE側(cè)衍生信令加密和數(shù)據(jù)加密的密鑰和信令完整性保護(hù)密鑰時不再需要隨機(jī)數(shù)RAND和認(rèn)證令牌AUTN, 所以在組呼建立過程中,核心網(wǎng)不再下發(fā)AUTN和RAND。
通過上述實施例可以看出,本發(fā)明提出的方法可以對集群組呼的用戶面數(shù)據(jù)和控制面板信令進(jìn)行加密和信令完整性保護(hù),保證了群組通信的安全性。
基于相同的構(gòu)思,本發(fā)明還提出一種用于上述方法的核心網(wǎng)側(cè)裝置、eNB裝置和UE裝置。
核心網(wǎng)側(cè)裝置如圖4所示,包括:配置模塊,用于為每個群組配置密鑰,所述密鑰用于衍生所述群組的UE側(cè)密鑰和基站側(cè)密鑰;下發(fā)模塊,用于在UE集群注冊過程中,下發(fā)所述UE所在群組的UE側(cè)密鑰給所述UE;在組呼建立過程中,下發(fā)所述群組的基站側(cè)密鑰、所述群組ID、NAS層加密算法和信令完整性保護(hù)算法給所述群組下各UE所在的eNB。
進(jìn)一步的,當(dāng)所述UE側(cè)密鑰為永久密鑰Group K時,所述下發(fā)模塊還下發(fā)用于生成信令加密、數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的隨機(jī)數(shù)RAND和認(rèn)證令牌AUTN。
進(jìn)一步的,當(dāng)所述UE側(cè)密鑰為中間密鑰Group CK/Group IK時,所述下發(fā)模塊還下發(fā)用于生成信令加密、數(shù)據(jù)加密和/或信令完整性保護(hù)的密鑰的認(rèn)證令牌AUTN。更進(jìn)一步的,還下發(fā)隨機(jī)數(shù)RAND,用于UE側(cè)對核心網(wǎng)進(jìn)行合法性認(rèn)證。
eNB裝置如圖5所示,包括:接收模塊,用于在組呼建立過程中接收核心網(wǎng)側(cè)下發(fā)的所述群組的基站側(cè)密鑰和所述群組的Group Id、NAS層加密算法和信令完整性保護(hù)算法;下發(fā)模塊,用于在組呼建立過程中下發(fā)AS層加密算法、NAS層加密算法和信令完整性保護(hù)算法給所述群組的UE;安全處理模塊,用于在組呼NAS層安全機(jī)制和AS層安全機(jī)制被激活后,對下發(fā)的RRC消息進(jìn)行AS加密和完整性保護(hù),對其中包含的NAS消息進(jìn)行NAS層加密和完整性保護(hù)。
UE裝置如圖6所示,包括:
接收模塊,用于在集群注冊過程中接收網(wǎng)絡(luò)側(cè)下發(fā)的其所在群組的UE側(cè)密鑰;在組呼建立過程中接收網(wǎng)絡(luò)側(cè)下發(fā)的AS層加密算法、NAS層加密算法和信令完整性保護(hù)算法;
安全管理模塊,用于衍生NAS層密鑰和AS層密鑰,激活NAS層安全機(jī)制和AS層安全機(jī)制;
解密模塊,用于在所述NAS層安全機(jī)制和AS層安全機(jī)制被激活后,對接收到的空口加密的組呼數(shù)據(jù)進(jìn)行解密處理。
最后,本發(fā)明還提出一種用于上述方法的系統(tǒng),包括:如上所述的核心網(wǎng)核心網(wǎng)側(cè)裝置、eNB裝置和UE裝置。
本領(lǐng)域普通技術(shù)人員可以理解:實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟;而前述的存儲介質(zhì)包括:ROM、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
最后應(yīng)說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。