本發(fā)明涉及寬帶集群通信系統(tǒng)技術(shù)領(lǐng)域,尤其涉及一種寬帶集群系統(tǒng)的共享信道管理方法、系統(tǒng)、終端和基站。
背景技術(shù):
集群系統(tǒng)是為了滿足行業(yè)用戶指揮調(diào)度需求而開發(fā)的,面向特定行業(yè)應(yīng)用的專用無線通信系統(tǒng)。集群系統(tǒng)是一種高效的無線通信系統(tǒng),通過共享無線信道,以較少的無線信道數(shù)量支持大量的無線用戶進(jìn)行群組通信。目前,集群系統(tǒng)以模擬集群系統(tǒng)和窄帶數(shù)字通信系統(tǒng)為主,能夠提供的基本業(yè)務(wù)集中在語音和低速數(shù)據(jù)業(yè)務(wù)方面。
隨著移動互聯(lián)網(wǎng)的飛速發(fā)展,以及全球無線城市的大規(guī)模建設(shè),寬帶化成為整個無線通信發(fā)展的趨勢,集群系統(tǒng)也向提供更大的信道容量,更多的業(yè)務(wù)類型,更高的數(shù)據(jù)帶寬等方向發(fā)展。寬帶集群系統(tǒng)就是在這種背景下,基于LTE(Long Term Evolution,長期演進(jìn))技術(shù)演進(jìn)而來的。
LTE是3GPP(3rd Generation Partnership Project,第三代合作伙伴計劃)長期演進(jìn)項目,LTE網(wǎng)絡(luò)采取扁平化的架構(gòu),eNB(evolved Node B,演進(jìn)的基站)部署分散化,運營商無法對其實行安全集中控制。為了用戶能安全地使用網(wǎng)絡(luò),以及網(wǎng)絡(luò)向合法的用戶提供服務(wù),LTE中制訂了安全管理的相關(guān)協(xié)議,以有效保護(hù)各網(wǎng)元間信令流和媒體流數(shù)據(jù)的安全。
寬帶集群系統(tǒng)系統(tǒng)繼承了LTE的基本架構(gòu),寬帶集群系統(tǒng)在提供組呼業(yè)務(wù)時,由于多個聽用戶是采取共享下行信道的方式,LTE中并沒有針對這種共享信道制定安全管理的相關(guān)協(xié)議,存在一定的安全隱患。
上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案,并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。
技術(shù)實現(xiàn)要素:
本發(fā)明的主要目的在于提供一種寬帶集群系統(tǒng)的共享信道管理方法、系統(tǒng)、終端和基站,實現(xiàn)對共享信道進(jìn)行加密,使得寬帶集群系統(tǒng)更加安全。
為實現(xiàn)上述目的,本發(fā)明提供一種寬帶集群系統(tǒng)的共享信道管理方法,該方法包括:
在群組創(chuàng)建時,核心網(wǎng)為群組生成組根密鑰,并將所述組根密鑰下發(fā)給所述群組中的終端;
在組呼建立時,基站接收核心網(wǎng)下發(fā)的組根密鑰,及所述基站生成組呼參數(shù)及為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識;
所述基站根據(jù)所述組根密鑰、組呼參數(shù)對所述組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識;
所述基站將所述加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)下發(fā)給所述群組中的終端,供所述終端根據(jù)所述組根密鑰和組呼參數(shù)對所述接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密。
優(yōu)選地,所述在組呼建立時,所述基站為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識的步驟包括:
在組呼建立時,所述基站獲取發(fā)起組呼的終端對應(yīng)的組特征信息;
所述基站根據(jù)所述組特征信息為所述組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識。
優(yōu)選地,所述組特征信息包括組標(biāo)識信息;
所述基站所述根據(jù)所述組特征信息為所述組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識的步驟包括:
所述基站根據(jù)預(yù)設(shè)的組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系,獲取所述終端設(shè)備對應(yīng)的組標(biāo)識信息對應(yīng)的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,將所述獲取的組呼無線網(wǎng)絡(luò)臨時標(biāo)識作為組呼共享信道的無線網(wǎng)絡(luò)臨時標(biāo)識。
優(yōu)選地,該方法還包括:
在滿足更新觸發(fā)條件時,所述核心網(wǎng)更新群組的組根密鑰,并將更新后的組根密鑰下發(fā)給所述群組中的終端。
此外,為實現(xiàn)上述目的,本發(fā)明還提供一種寬帶集群系統(tǒng)的共享信道管理系統(tǒng),所述系統(tǒng)包括核心網(wǎng)和基站,其中:
所述核心網(wǎng),用于在群組創(chuàng)建時,為群組生成組根密鑰,并將所述組根密鑰下發(fā)給所述群組中的終端;
所述基站,用于在組呼建立時,接收核心網(wǎng)下發(fā)的組根密鑰,并生成組呼參數(shù)及為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識;及用于根據(jù)所述組根密鑰、組呼參數(shù)對所述組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識;及用于將所述加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)下發(fā)給所述群組中的終端,供所述終端根據(jù)所述組根密鑰和組呼參數(shù)對所述接收加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密。
優(yōu)選地,所述基站還用于在組呼建立時,獲取發(fā)起組呼的終端對應(yīng)的組特征信息,及根據(jù)所述組特征信息為所述組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識。
優(yōu)選地,所述組特征信息包括組標(biāo)識信息;
所述基站還用于根據(jù)預(yù)設(shè)的組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系,獲取所述終端設(shè)備對應(yīng)的組標(biāo)識信息對應(yīng)的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,將所述獲取的組呼無線網(wǎng)絡(luò)臨時標(biāo)識作為組呼共享信道的無線網(wǎng)絡(luò)臨時標(biāo)識。
優(yōu)選地,所述核心網(wǎng)還用于在滿足更新觸發(fā)條件時,更新群組的組根密鑰,并將更新后的組根密鑰下發(fā)給所述群組中的終端。
此外,為實現(xiàn)上述目的,本發(fā)明還提供一種終端,所述終端包括:
交互模塊,用于接收核心網(wǎng)下發(fā)的所述終端所屬群組的組根密鑰,以及,在組呼建立時,接收基站下發(fā)的組呼參數(shù)和加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,所述加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識由所述基站根據(jù)組根密鑰、組呼參數(shù)對所述基站生成的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密生成;
解密模塊,用于根據(jù)所述組根密鑰和組呼參數(shù)對所述接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密;
解擾模塊,用于根據(jù)所述解密后無線網(wǎng)絡(luò)臨時標(biāo)識對共享信道進(jìn)行解擾,以使所述終端通過該共享信道進(jìn)行通信。
此外,為實現(xiàn)上述目的,本發(fā)明還提供一種基站,其特征在于,所述基 站包括:
接收模塊,用于在組呼建立時,接收核心網(wǎng)下發(fā)的組根密鑰;
生成模塊,用于在組呼建立時,生成組呼參數(shù)及為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識;
加密模塊,用于根據(jù)所述組根密鑰、組呼參數(shù)對所述組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識;
發(fā)送模塊,用于將所述加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)下發(fā)給群組中的終端,供所述終端根據(jù)所述組根密鑰和組呼參數(shù)對所述接收加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密。
本發(fā)明的寬帶集群系統(tǒng)的共享信道管理方法、系統(tǒng)、終端和基站,通過在群組創(chuàng)建時,核心網(wǎng)為群組生成組根密鑰,并將所述組根密鑰下發(fā)給所述群組中的終端;在組呼建立時,所述基站接收核心網(wǎng)下發(fā)的組根密鑰,及所述基站生成組呼參數(shù)及為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識;所述基站根據(jù)所述組根密鑰、組呼參數(shù)對所述組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識;所述基站將所述加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)下發(fā)給所述群組中的終端,供所述終端根據(jù)所述組根密鑰和組呼參數(shù)對所述接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密;組根密鑰由系統(tǒng)側(cè)下發(fā)給終端,且僅在物理層對共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,對共享信道進(jìn)行安全保護(hù),對現(xiàn)有LTE安全協(xié)議架構(gòu)改動較小,在終端側(cè)的改動不涉及SIM卡的軟件接口變化,容易做到向后兼容。
附圖說明
圖1為本發(fā)明寬帶集群系統(tǒng)的共享信道管理方法的優(yōu)選實施例的流程示意圖;
圖2為本發(fā)明寬帶集群系統(tǒng)的共享信道管理方法中在組呼建立時,為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識的詳細(xì)流程示意圖;
圖3為本發(fā)明寬帶集群系統(tǒng)的共享信道管理系統(tǒng)的優(yōu)選實施例的結(jié)構(gòu)示意圖;
圖4為本發(fā)明終端的優(yōu)選實施例的結(jié)構(gòu)示意圖;
圖5為本發(fā)明基站的優(yōu)選實施例的結(jié)構(gòu)示意圖。
本發(fā)明目的的實現(xiàn)、功能特點及優(yōu)點將結(jié)合實施例,參照附圖做進(jìn)一步說明。
具體實施方式
應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
參照圖1,圖1為本發(fā)明寬帶集群系統(tǒng)的共享信道管理方法的優(yōu)選實施例的流程示意圖,該方法包括:
S10、在群組創(chuàng)建時,核心網(wǎng)為群組生成組根密鑰,并將該組根密鑰下發(fā)給該群組中的終端。
在群組創(chuàng)建時,核心網(wǎng)為群組生成組根密鑰Kg,每個群組的組根密鑰Kg可以互不重復(fù),以保證群組通信的私密性和安全性。
群組中的終端與核心網(wǎng)建立點到點的安全連接,終端使用保存在終端上的密鑰K,與核心網(wǎng)建立NAS((Non Access Stratum,非接入層)和AS(Access Stratum,接入層)的安全通道。核心網(wǎng)通過安全通道將終端所屬群組的組根密鑰Kg下發(fā)給對應(yīng)的終端;當(dāng)一個終端屬于多個群組時,該下發(fā)過程可能要進(jìn)行多次,如當(dāng)該終端屬于群組1和群組2時,則該下發(fā)過程包括:第一個下發(fā)過程為將群組1對應(yīng)的組根密鑰下發(fā)給該終端,第二個下發(fā)過程為將群組2對應(yīng)的組根密鑰下發(fā)給該終端。
該組根密鑰可以是一個數(shù)值,如12345;該組根密鑰也可以是一個字符串,如Abc_de134;該組根密鑰也可以是一個數(shù)組,如A[8,9,0,1];該組根密鑰也可以是帶有多種含義的向量,如攜帶密鑰值、固定的加密ID或多個可選的加密方法ID、校驗碼等的向量。該組根密鑰可以直接使用隨機(jī)數(shù)發(fā)生器生成,也可以使用組標(biāo)識GID(Group Identification,GID,群體身份,)與隨機(jī)數(shù)使用函數(shù)(如使用KDF函數(shù),(key derivation function,密鑰推導(dǎo)函數(shù)))產(chǎn)生,也可以通過人工設(shè)置的方式生成,等等。
在群組創(chuàng)建后,通常情況下,該組根密鑰一直保持不變,在涉及到組根密鑰可能會泄露導(dǎo)致安全隱患時,例如當(dāng)群組成員發(fā)生變化時,核心網(wǎng)可重新生成新的組根密鑰,并將新生成的組根密鑰下發(fā)給終端。
在該終端初始附著到核心網(wǎng)時,終端與核心網(wǎng)建立點到點的連接,應(yīng)用單呼密鑰架構(gòu),在終端通過核心網(wǎng)的認(rèn)證鑒權(quán),并成功激活安全模式之后,終端與核心網(wǎng)之間成功建立了點到點的NAS和AS安全通道,之后在核心網(wǎng)和終端之間傳輸?shù)臄?shù)據(jù)可以得到加密和完整性保護(hù)。核心網(wǎng)將該終端所屬組的組根密鑰Kg在組信息更新消息中加密發(fā)送給終端。終端保存收到的Kg,用于后續(xù)組呼建立時的具體安全管理過程。
S20、在組呼建立時,基站接收核心網(wǎng)下發(fā)的組根密鑰,及該基站生成組呼參數(shù)及為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識。
該組呼參數(shù)Group Call Rand與組根密鑰類似,組呼參數(shù)可以是一個數(shù)值,如567235;組呼參數(shù)也可以是一個字符串,如shgie_125?;該組呼參數(shù)也可是一個數(shù)組如A[8,9,0,1];該組呼參數(shù)也可以是帶有多種含義的向量,如攜帶隨機(jī)數(shù)值、加密方法ID、校驗碼等的向量。該組呼參數(shù)可以直接由隨機(jī)數(shù)發(fā)生器生成,也可以使用組標(biāo)識GID與隨機(jī)數(shù)使用函數(shù)產(chǎn)生,也可以通過人工設(shè)置的方式生成,等等。在每次組呼建立時,該組呼參數(shù)隨機(jī)產(chǎn)生或人工生成。
在該步驟中,基站接收核心網(wǎng)下發(fā)的組根密鑰,且該基站為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識G-RNTI,不同的組呼共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識互不相同。該組呼無線網(wǎng)絡(luò)臨時標(biāo)識在系統(tǒng)側(cè)用于物理層加擾,在終端側(cè)用于物理層解擾。
S30、該基站根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識。
在該步驟中,該基站根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密時,可通過預(yù)設(shè)的加密算法,如通過KDF函數(shù),將該該組根密鑰、組呼參數(shù)和該組呼無線網(wǎng)絡(luò)臨時標(biāo)識派生出加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,還可以通過其它現(xiàn)有的加密算法。
S40、該基站將該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)下發(fā)給該群組中的終端,供該終端根據(jù)該組根密鑰和組呼參數(shù)對該接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密。
在該步驟中,該基站將該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)通過空口尋呼消息下發(fā)給終端,終端根據(jù)接收到的組根密鑰和組呼參數(shù)對接收 的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密,按照之前對組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密的逆過程,對該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密,得到解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,該解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識與系統(tǒng)側(cè)生成的組呼無線網(wǎng)絡(luò)臨時標(biāo)識相同;該終端根據(jù)該解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識對共享信道進(jìn)行解擾,以使得該終端通過該共享信道進(jìn)行通信。
進(jìn)一步的,該方法還包括:在滿足更新觸發(fā)條件時,該核心網(wǎng)更新群組的組根密鑰,并將更新后的組根密鑰下發(fā)給該群組中的終端。
該觸發(fā)條件可以為群組中的成員發(fā)生變化或者安全周期達(dá)到,該安全周期可根據(jù)需要設(shè)置,如可將安全周期設(shè)置為10天,則每10天更新一次群組對應(yīng)的組根密鑰。通過該步驟更新群組的組根密鑰,可避免由于組根密鑰泄露而導(dǎo)致安全隱患的問題。
采用上述實施例,通過在群組創(chuàng)建時,為群組生成組根密鑰,并將該組根密鑰下發(fā)給該群組中的終端;在組呼建立時,生成組呼參數(shù)及為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識;根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識;將該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)下發(fā)給該群組中的終端,供該終端根據(jù)該組根密鑰和組呼參數(shù)對該接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密;組根密鑰由系統(tǒng)側(cè)下發(fā)給終端,且僅在物理層對共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,對共享信道進(jìn)行安全保護(hù),對現(xiàn)有LTE安全協(xié)議架構(gòu)改動較小,在終端側(cè)的改動不涉及SIM卡的軟件接口變化,容易做到向后兼容。
參照圖2,圖2為本發(fā)明寬帶集群系統(tǒng)的共享信道管理方法中在組呼建立時,該基站為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識的詳細(xì)流程示意圖,詳述如下:
S21、在組呼建立時,該基站獲取發(fā)起組呼的終端對應(yīng)的組特征信息。
在組呼建立時,該基站可直接接收該發(fā)起組呼的終端主動發(fā)送過來的該發(fā)起組呼的終端對應(yīng)的組特征信息,該基站也可以先向該發(fā)起組呼的終端發(fā)送組特征信息獲取請求,然后接收該發(fā)起組呼的終端根據(jù)該組特征信息獲取請求返回的該發(fā)起組呼的終端對應(yīng)的組特征信息。
該組特征信息包括組標(biāo)識信息,該組標(biāo)識信息即為該終端所屬組的組標(biāo)識信息。
在一實施例中,在組呼建立時,可通過接收來自終端的無線資源控制RRC(Radio Resource Control)信令,從該無線資源控制RRC信令中提取該終端設(shè)備對應(yīng)的組特征信息。
S22、該基站根據(jù)該組特征信息為該組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識。
在該步驟中,該基站根據(jù)該組特征信息為該組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識,如可根據(jù)該組特征信息由隨機(jī)數(shù)發(fā)生器生成該組呼共享信道對應(yīng)的組呼無線網(wǎng)絡(luò)臨時標(biāo)識。不同的組呼共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識互不相同。
當(dāng)該組特征信息包括組標(biāo)識信息時,該基站根據(jù)該組特征信息為該組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識的步驟包括:該基站根據(jù)預(yù)設(shè)的組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系,獲取該終端設(shè)備對應(yīng)的組標(biāo)識信息對應(yīng)的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,將該獲取的組呼無線網(wǎng)絡(luò)臨時標(biāo)識作為組呼共享信道的無線網(wǎng)絡(luò)臨時標(biāo)識。
該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系可由管理者預(yù)先設(shè)置,還可以適時的對該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系進(jìn)行更新。在該步驟中,該基站在該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系中查找該獲取的組標(biāo)識信息,當(dāng)該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系中存在該獲取的組標(biāo)識信息時,將該獲取的組標(biāo)識信息對應(yīng)的組呼無線網(wǎng)絡(luò)臨時標(biāo)識讀取出來,作為組呼共享信道的無線網(wǎng)絡(luò)臨時標(biāo)識;當(dāng)該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系中不存在該獲取的組標(biāo)識信息時,則重新為該獲取的組標(biāo)識信息生成一個新的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,作為組呼共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,并將該獲取的組標(biāo)識信息和新生成的組呼無線網(wǎng)絡(luò)臨時標(biāo)識記錄在組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系中。
參照圖3,圖3為本發(fā)明寬帶集群系統(tǒng)的共享信道管理系統(tǒng)的優(yōu)選實施例的結(jié)構(gòu)示意圖,該系統(tǒng)包括核心網(wǎng)10和基站20,其中:
該核心網(wǎng)10,用于在群組創(chuàng)建時,為群組生成組根密鑰,并將該組根密鑰下發(fā)給該基站20;
該基站20,用于在組呼建立時,接收核心網(wǎng)下發(fā)的組根密鑰,并生成組呼參數(shù)及為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識;及用于根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識;及用于將該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)下發(fā)給該群組中的終端,供該終端根據(jù)該組根密鑰和組呼參數(shù)對該接收加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密。
在群組創(chuàng)建時,核心網(wǎng)10為群組生成組根密鑰Kg,每個群組的組根密鑰Kg可以互不重復(fù),以保證群組通信的私密性和安全性。
群組中的終端與核心網(wǎng)10建立點到點的安全連接,終端使用保存在終端上的密鑰K,與核心網(wǎng)10建立NAS((Non Access Stratum,非接入層)和AS(Access Stratum,接入層)的安全通道。核心網(wǎng)10通過安全通道將終端所屬群組的組根密鑰Kg下發(fā)給對應(yīng)的終端;當(dāng)一個終端屬于多個群組時,該下發(fā)過程可能要進(jìn)行多次,如當(dāng)該終端屬于群組1和群組2時,則該下發(fā)過程包括:第一個下發(fā)過程為將群組1對應(yīng)的組根密鑰下發(fā)給該終端,第二個下發(fā)過程為將群組2對應(yīng)的組根密鑰下發(fā)給該終端。
該組根密鑰可以是一個數(shù)值,如12345;該組根密鑰也可以是一個字符串,如Abc_de134;該組根密鑰也可以是一個數(shù)組,如A[8,9,0,1];該組根密鑰也可以是帶有多種含義的向量,如攜帶密鑰值、固定的加密ID或多個可選的加密方法ID、校驗碼等的向量。該組根密鑰可以直接使用隨機(jī)數(shù)發(fā)生器生成,也可以使用組標(biāo)識GID(Group Identification,GID,群體身份,)與隨機(jī)數(shù)使用函數(shù)(如使用KDF函數(shù),(key derivation function,密鑰推導(dǎo)函數(shù)))產(chǎn)生,也可以通過人工設(shè)置的方式生成,等等。
在群組創(chuàng)建后,通常情況下,該組根密鑰一直保持不變,在涉及到組根密鑰可能會泄露導(dǎo)致安全隱患時,例如當(dāng)群組成員發(fā)生變化時,核心網(wǎng)10可重新生成新的組根密鑰,并將新生成的組根密鑰下發(fā)給終端。
在該終端初始附著到核心網(wǎng)10時,終端與核心網(wǎng)10建立點到點的連接,應(yīng)用單呼密鑰架構(gòu),在終端通過核心網(wǎng)10的認(rèn)證鑒權(quán),并成功激活安全模式之后,終端與核心網(wǎng)10之間成功建立了點到點的NAS和AS安全通道,之后 在核心網(wǎng)10和終端之間傳輸?shù)臄?shù)據(jù)可以得到加密和完整性保護(hù)。核心網(wǎng)10將該終端所屬組的組根密鑰Kg在組信息更新消息中加密發(fā)送給終端。終端保存收到的Kg,用于后續(xù)組呼建立時的具體安全管理過程。
該組呼參數(shù)Group Call Rand與組根密鑰類似,組呼參數(shù)可以是一個數(shù)值,如567235;組呼參數(shù)也可以是一個字符串,如shgie_125?;該組呼參數(shù)也可是一個數(shù)組如A[8,9,0,1];該組呼參數(shù)也可以是帶有多種含義的向量,如攜帶隨機(jī)數(shù)值、加密方法ID、校驗碼等的向量。該組呼參數(shù)可以直接由隨機(jī)數(shù)發(fā)生器生成,也可以使用組標(biāo)識GID與隨機(jī)數(shù)使用函數(shù)產(chǎn)生,也可以通過人工設(shè)置的方式生成,等等。在每次組呼建立時,該組呼參數(shù)隨機(jī)產(chǎn)生或人工生成。
該基站20在組呼建立時,接收核心網(wǎng)下發(fā)的組根密鑰,且為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識G-RNTI,不同的組呼共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識互不相同。該組呼無線網(wǎng)絡(luò)臨時標(biāo)識在系統(tǒng)側(cè)用于物理層加擾,在終端側(cè)用于物理層解擾。
該基站20根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密時,可通過預(yù)設(shè)的加密算法,如通過KDF函數(shù),將該該組根密鑰、組呼參數(shù)和該組呼無線網(wǎng)絡(luò)臨時標(biāo)識派生出加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,還可以通過其它現(xiàn)有的加密算法。
該基站20還將該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)通過空口尋呼消息下發(fā)給終端,終端根據(jù)接收到的組根密鑰和組呼參數(shù)對接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密,按照之前對組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密的逆過程,對該加密后的組呼無線臨時標(biāo)識進(jìn)行解密,得到解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,該解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識與系統(tǒng)側(cè)生成的組呼無線網(wǎng)絡(luò)臨時標(biāo)識相同;該終端根據(jù)該解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識對共享信道進(jìn)行解擾,以使得該終端通過該共享信道進(jìn)行通信。
進(jìn)一步的,該核心網(wǎng)10還用于在滿足更新觸發(fā)條件時,更新群組的組根密鑰,并將更新后的組根密鑰下發(fā)給該群組中的終端。
該觸發(fā)條件可以為群組中的成員發(fā)生變化或者安全周期達(dá)到,該安全周期可根據(jù)需要設(shè)置,如可將安全周期設(shè)置為10天,則每10天更新一次群組對應(yīng)的組根密鑰。通過該核心網(wǎng)10更新群組的組根密鑰,可避免由于組根密 鑰泄露而導(dǎo)致安全隱患的問題。
進(jìn)一步的,該基站20還用于在組呼建立時,獲取發(fā)起組呼的終端對應(yīng)的組特征信息,及根據(jù)該組特征信息為該組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識。
在組呼建立時,該基站20可直接接收該發(fā)起組呼的終端主動發(fā)送過來的該發(fā)起組呼的終端對應(yīng)的組特征信息,也可以先向該發(fā)起組呼的終端發(fā)送組特征信息獲取請求,然后接收該發(fā)起組呼的終端根據(jù)該組特征信息獲取請求返回的該發(fā)起組呼的終端對應(yīng)的組特征信息。
該組特征信息包括組標(biāo)識信息,該組標(biāo)識信息即為該終端所屬組的組標(biāo)識信息。
在一實施例中,在組呼建立時,該基站20可通過接收來自終端的無線資源控制RRC(Radio Resource Control)信令,從該無線資源控制RRC信令中提取該終端設(shè)備對應(yīng)的組特征信息。
該基站20根據(jù)該組特征信息為該組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識,如可根據(jù)該組特征信息由隨機(jī)數(shù)發(fā)生器生成該組呼共享信道對應(yīng)的組呼無線網(wǎng)絡(luò)臨時標(biāo)識。不同的組呼共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識互不相同。
當(dāng)該組特征信息包括組標(biāo)識信息時,該基站20還用于根據(jù)預(yù)設(shè)的組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系,獲取該終端設(shè)備對應(yīng)的組標(biāo)識信息對應(yīng)的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,將該獲取的組呼無線網(wǎng)絡(luò)臨時標(biāo)識作為組呼共享信道的無線網(wǎng)絡(luò)臨時標(biāo)識。
該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系可由管理者預(yù)先設(shè)置,還可以適時的對該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系進(jìn)行更新。該基站20在該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系中查找該獲取的組標(biāo)識信息,當(dāng)該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系中存在該獲取的組標(biāo)識信息時,將該獲取的組標(biāo)識信息對應(yīng)的組呼無線網(wǎng)絡(luò)臨時標(biāo)識讀取出來,作為組呼共享信道的無線網(wǎng)絡(luò)臨時標(biāo)識;當(dāng)該組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系中不存在該獲取的組標(biāo)識信息時,則重新為該獲取的組標(biāo)識信息生成一個新的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,作為組呼共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,并將該獲取的組標(biāo)識信息和新生成的組呼無線網(wǎng)絡(luò)臨時標(biāo)識記錄在組標(biāo)識信息與組呼無線網(wǎng)絡(luò)臨時標(biāo)識的映射關(guān)系 中。
參照圖4,圖4為本發(fā)明的終端的優(yōu)選實施例的結(jié)構(gòu)示意圖,該終端包括:
交互模塊31,用于接收核心網(wǎng)下發(fā)的該終端所屬群組的組根密鑰,以及,在組呼建立時,接收基站下發(fā)的組呼參數(shù)和加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識由該基站根據(jù)組根密鑰、組呼參數(shù)對該基站生成的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密生成;
解密模塊32,用于根據(jù)該組根密鑰和組呼參數(shù)對該接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密;
解擾模塊33,用于根據(jù)該解密后無線網(wǎng)絡(luò)臨時標(biāo)識對共享信道進(jìn)行解擾,以使該終端通過該共享信道進(jìn)行通信。
在群組創(chuàng)建時,核心網(wǎng)為群組生成組根密鑰Kg,每個群組的組根密鑰Kg可以互不重復(fù),以保證群組通信的私密性和安全性。
群組中的終端與核心網(wǎng)建立點到點的安全連接,終端使用保存在終端上的密鑰K,與核心網(wǎng)建立NAS((Non Access Stratum,非接入層)和AS(Access Stratum,接入層)的安全通道。核心網(wǎng)通過安全通道將終端所屬群組的組根密鑰Kg下發(fā)給對應(yīng)的終端;當(dāng)一個終端屬于多個群組時,該下發(fā)過程可能要進(jìn)行多次,如當(dāng)該終端屬于群組1和群組2時,則該下發(fā)過程包括:第一個下發(fā)過程為將群組1對應(yīng)的組根密鑰下發(fā)給該終端,第二個下發(fā)過程為將群組2對應(yīng)的組根密鑰下發(fā)給該終端。
該終端通過交互模塊31接收核心網(wǎng)下發(fā)的組根密鑰。
該組根密鑰Kg可以是一個數(shù)值,如12345;該組根密鑰也可以是一個字符串,如Abc_de134;該組根密鑰也可以是一個數(shù)組,如A[8,9,0,1];該組根密鑰也可以是帶有多種含義的向量,如攜帶密鑰值、固定的加密ID或多個可選的加密方法ID、校驗碼等的向量。該組根密鑰Kg可以直接使用隨機(jī)數(shù)發(fā)生器生成,也可以使用組標(biāo)識GID(Group Identification,GID,群體身份,)與隨機(jī)數(shù)使用函數(shù)(如使用KDF函數(shù),(key derivation function,密鑰推導(dǎo)函數(shù)))產(chǎn)生,也可以通過人工設(shè)置的方式生成,等等。
在群組創(chuàng)建后,通常情況下,該組根密鑰一直保持不變,在涉及到組根密鑰可能會泄露導(dǎo)致安全隱患時,例如當(dāng)群組成員發(fā)生變化時,該核心網(wǎng)可 重新生成新的組根密鑰,并將新生成的組根密鑰下發(fā)給終端。
在該終端初始附著到核心網(wǎng)時,終端與核心網(wǎng)建立點到點的連接,應(yīng)用單呼密鑰架構(gòu),在終端通過核心網(wǎng)的認(rèn)證鑒權(quán),并成功激活安全模式之后,終端與核心網(wǎng)之間成功建立了點到點的NAS和AS安全通道,之后在核心網(wǎng)和終端之間傳輸?shù)臄?shù)據(jù)可以得到加密和完整性保護(hù)。核心網(wǎng)將該終端所屬組的組根密鑰在組信息更新消息中加密發(fā)送給終端。終端保存收到的,用于后續(xù)組呼建立時的具體安全管理過程。
該組呼參數(shù)Group Call Rand與組根密鑰Kg類似,組呼參數(shù)可以是一個數(shù)值,如567235;組呼參數(shù)也可以是一個字符串,如shgie_125?;該組呼參數(shù)也可是一個數(shù)組如A[8,9,0,1];該組呼參數(shù)也可以是帶有多種含義的向量,如攜帶隨機(jī)數(shù)值、加密方法ID、校驗碼等的向量。該組呼參數(shù)可以直接由隨機(jī)數(shù)發(fā)生器生成,也可以使用組標(biāo)識GID與隨機(jī)數(shù)使用函數(shù)產(chǎn)生,也可以通過人工設(shè)置的方式生成,等等。在每次組呼建立時,該組呼參數(shù)隨機(jī)產(chǎn)生或人工生成。該終端的交互模塊31接收該基站下發(fā)的組呼參數(shù)。
基站為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識G-RNTI,不同的組呼共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識互不相同。該組呼無線網(wǎng)絡(luò)臨時標(biāo)識在系統(tǒng)側(cè)用于物理層加擾,在終端側(cè)用于物理層解擾。
基站根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,該基站在根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密時,可通過預(yù)設(shè)的加密算法,如通過KDF函數(shù),將該該組根密鑰、組呼參數(shù)和該組呼無線網(wǎng)絡(luò)臨時標(biāo)識派生出加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,還可以通過其它現(xiàn)有的加密算法。該終端通過交互模塊31接收該基站下發(fā)的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識。
該解密模塊32根據(jù)該組根密鑰和組呼參數(shù)對該接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密,按照基站之前對組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密的逆過程,對該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密,得到解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,該解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識與基站生成的組呼無線網(wǎng)絡(luò)臨時標(biāo)識相同。
該解擾模塊33根據(jù)該解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識對共享信道進(jìn)行解擾,以使得該終端通過該共享信道進(jìn)行通信。
參照圖5,圖5為本發(fā)明基站的優(yōu)選實施例的結(jié)構(gòu)示意圖,該基站包括:
接收模塊21,用于在組呼建立時,接收核心網(wǎng)下發(fā)的組根密鑰;
生成模塊22,用于在組呼建立時,生成組呼參數(shù)及為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識;
加密模塊23,用于根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密,生成加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識;
發(fā)送模塊24,用于將該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)下發(fā)給群組中的終端,供該終端根據(jù)該組根密鑰和組呼參數(shù)對該接收加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密。
該組根密鑰由核心網(wǎng)生成,該核心網(wǎng)在群組創(chuàng)建時,為群組生成組根密鑰Kg,每個群組的組根密鑰Kg可以互不重復(fù),以保證群組通信的私密性和安全性。該核心網(wǎng)在組呼建立時,向基站下發(fā)該創(chuàng)建的組根密鑰。
該組根密鑰Kg可以是一個數(shù)值,如12345;該組根密鑰也可以是一個字符串,如Abc_de134;該組根密鑰也可以是一個數(shù)組,如A[8,9,0,1];該組根密鑰Kg也可以是帶有多種含義的向量,如攜帶密鑰值、固定的加密ID或多個可選的加密方法ID、校驗碼等的向量。該組根密鑰可以直接使用隨機(jī)數(shù)發(fā)生器生成,也可以使用組標(biāo)識GID(Group Identification,GID,群體身份,)與隨機(jī)數(shù)使用函數(shù)(如使用KDF函數(shù),(key derivation function,密鑰推導(dǎo)函數(shù)))產(chǎn)生,也可以通過人工設(shè)置的方式生成,等等。
在群組創(chuàng)建后,通常情況下,該組根密鑰Kg一直保持不變,在涉及到組根密鑰可能會泄露導(dǎo)致安全隱患時,例如當(dāng)群組成員發(fā)生變化時,可重新生成新的組根密鑰Kg,并將新生成的組根密鑰下發(fā)給終端。
該組呼參數(shù)Group Call Rand與組根密鑰類似,組呼參數(shù)可以是一個數(shù)值,如567235;組呼參數(shù)也可以是一個字符串,如shgie_125?;該組呼參數(shù)也可是一個數(shù)組如A[8,9,0,1];該組呼參數(shù)也可以是帶有多種含義的向量,如攜帶隨機(jī)數(shù)值、加密方法ID、校驗碼等的向量。該組呼參數(shù)可以直接由隨機(jī)數(shù)發(fā)生器生成,也可以使用組標(biāo)識GID與隨機(jī)數(shù)使用函數(shù)產(chǎn)生,也可以通過人工設(shè)置的方式生成,等等。在每次組呼建立時,該組呼參數(shù)隨機(jī)產(chǎn)生或人工生成。
該生成模塊22為組呼共享信道分配組呼無線網(wǎng)絡(luò)臨時標(biāo)識G-RNTI,不同的組呼共享信道的組呼無線網(wǎng)絡(luò)臨時標(biāo)識互不相同。該組呼無線網(wǎng)絡(luò)臨時標(biāo)識在系統(tǒng)側(cè)用于物理層加擾,在終端側(cè)用于物理層解擾。
該加密模塊23根據(jù)該組根密鑰、組呼參數(shù)對該組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密時,可通過預(yù)設(shè)的加密算法,如通過KDF函數(shù),將該該組根密鑰、組呼參數(shù)和該組呼無線網(wǎng)絡(luò)臨時標(biāo)識派生出加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,還可以通過其它現(xiàn)有的加密算法。
該發(fā)送模塊24將該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識和組呼參數(shù)通過空口尋呼消息下發(fā)給終端,終端根據(jù)接收到的組根密鑰和組呼參數(shù)對接收的加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密,按照之前對組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行加密的逆過程,對該加密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識進(jìn)行解密,得到解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識,該解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識與系統(tǒng)側(cè)(基站)生成的組呼無線網(wǎng)絡(luò)臨時標(biāo)識相同;該終端根據(jù)該解密后的組呼無線網(wǎng)絡(luò)臨時標(biāo)識對共享信道進(jìn)行解擾,以使得該終端通過該共享信道進(jìn)行通信。
以上僅為本發(fā)明的優(yōu)選實施例,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換,或直接或間接運用在其他相關(guān)的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。