寬帶集群系統的共享信道管理方法、系統、終端和基站與流程
2023-04-26 13:34:35
本發明涉及寬帶集群通信系統技術領域,尤其涉及一種寬帶集群系統的共享信道管理方法、系統、終端和基站。
背景技術:
集群系統是為了滿足行業用戶指揮調度需求而開發的,面向特定行業應用的專用無線通信系統。集群系統是一種高效的無線通信系統,通過共享無線信道,以較少的無線信道數量支持大量的無線用戶進行群組通信。目前,集群系統以模擬集群系統和窄帶數字通信系統為主,能夠提供的基本業務集中在語音和低速數據業務方面。
隨著移動網際網路的飛速發展,以及全球無線城市的大規模建設,寬帶化成為整個無線通信發展的趨勢,集群系統也向提供更大的信道容量,更多的業務類型,更高的數據帶寬等方向發展。寬帶集群系統就是在這種背景下,基於LTE(Long Term Evolution,長期演進)技術演進而來的。
LTE是3GPP(3rd Generation Partnership Project,第三代合作夥伴計劃)長期演進項目,LTE網絡採取扁平化的架構,eNB(evolved Node B,演進的基站)部署分散化,運營商無法對其實行安全集中控制。為了用戶能安全地使用網絡,以及網絡向合法的用戶提供服務,LTE中制訂了安全管理的相關協議,以有效保護各網元間信令流和媒體流數據的安全。
寬帶集群系統系統繼承了LTE的基本架構,寬帶集群系統在提供組呼業務時,由於多個聽用戶是採取共享下行信道的方式,LTE中並沒有針對這種共享信道制定安全管理的相關協議,存在一定的安全隱患。
上述內容僅用於輔助理解本發明的技術方案,並不代表承認上述內容是現有技術。
技術實現要素:
本發明的主要目的在於提供一種寬帶集群系統的共享信道管理方法、系統、終端和基站,實現對共享信道進行加密,使得寬帶集群系統更加安全。
為實現上述目的,本發明提供一種寬帶集群系統的共享信道管理方法,該方法包括:
在群組創建時,核心網為群組生成組根密鑰,並將所述組根密鑰下發給所述群組中的終端;
在組呼建立時,基站接收核心網下發的組根密鑰,及所述基站生成組呼參數及為組呼共享信道分配組呼無線網絡臨時標識;
所述基站根據所述組根密鑰、組呼參數對所述組呼無線網絡臨時標識進行加密,生成加密後的組呼無線網絡臨時標識;
所述基站將所述加密後的組呼無線網絡臨時標識和組呼參數下發給所述群組中的終端,供所述終端根據所述組根密鑰和組呼參數對所述接收的加密後的組呼無線網絡臨時標識進行解密。
優選地,所述在組呼建立時,所述基站為組呼共享信道分配組呼無線網絡臨時標識的步驟包括:
在組呼建立時,所述基站獲取發起組呼的終端對應的組特徵信息;
所述基站根據所述組特徵信息為所述組呼共享信道分配組呼無線網絡臨時標識。
優選地,所述組特徵信息包括組標識信息;
所述基站所述根據所述組特徵信息為所述組呼共享信道分配組呼無線網絡臨時標識的步驟包括:
所述基站根據預設的組標識信息與組呼無線網絡臨時標識的映射關係,獲取所述終端設備對應的組標識信息對應的組呼無線網絡臨時標識,將所述獲取的組呼無線網絡臨時標識作為組呼共享信道的無線網絡臨時標識。
優選地,該方法還包括:
在滿足更新觸發條件時,所述核心網更新群組的組根密鑰,並將更新後的組根密鑰下發給所述群組中的終端。
此外,為實現上述目的,本發明還提供一種寬帶集群系統的共享信道管理系統,所述系統包括核心網和基站,其中:
所述核心網,用於在群組創建時,為群組生成組根密鑰,並將所述組根密鑰下發給所述群組中的終端;
所述基站,用於在組呼建立時,接收核心網下發的組根密鑰,並生成組呼參數及為組呼共享信道分配組呼無線網絡臨時標識;及用於根據所述組根密鑰、組呼參數對所述組呼無線網絡臨時標識進行加密,生成加密後的組呼無線網絡臨時標識;及用於將所述加密後的組呼無線網絡臨時標識和組呼參數下發給所述群組中的終端,供所述終端根據所述組根密鑰和組呼參數對所述接收加密後的組呼無線網絡臨時標識進行解密。
優選地,所述基站還用於在組呼建立時,獲取發起組呼的終端對應的組特徵信息,及根據所述組特徵信息為所述組呼共享信道分配組呼無線網絡臨時標識。
優選地,所述組特徵信息包括組標識信息;
所述基站還用於根據預設的組標識信息與組呼無線網絡臨時標識的映射關係,獲取所述終端設備對應的組標識信息對應的組呼無線網絡臨時標識,將所述獲取的組呼無線網絡臨時標識作為組呼共享信道的無線網絡臨時標識。
優選地,所述核心網還用於在滿足更新觸發條件時,更新群組的組根密鑰,並將更新後的組根密鑰下發給所述群組中的終端。
此外,為實現上述目的,本發明還提供一種終端,所述終端包括:
交互模塊,用於接收核心網下發的所述終端所屬群組的組根密鑰,以及,在組呼建立時,接收基站下發的組呼參數和加密後的組呼無線網絡臨時標識,所述加密後的組呼無線網絡臨時標識由所述基站根據組根密鑰、組呼參數對所述基站生成的組呼無線網絡臨時標識進行加密生成;
解密模塊,用於根據所述組根密鑰和組呼參數對所述接收的加密後的組呼無線網絡臨時標識進行解密;
解擾模塊,用於根據所述解密後無線網絡臨時標識對共享信道進行解擾,以使所述終端通過該共享信道進行通信。
此外,為實現上述目的,本發明還提供一種基站,其特徵在於,所述基 站包括:
接收模塊,用於在組呼建立時,接收核心網下發的組根密鑰;
生成模塊,用於在組呼建立時,生成組呼參數及為組呼共享信道分配組呼無線網絡臨時標識;
加密模塊,用於根據所述組根密鑰、組呼參數對所述組呼無線網絡臨時標識進行加密,生成加密後的組呼無線網絡臨時標識;
發送模塊,用於將所述加密後的組呼無線網絡臨時標識和組呼參數下發給群組中的終端,供所述終端根據所述組根密鑰和組呼參數對所述接收加密後的組呼無線網絡臨時標識進行解密。
本發明的寬帶集群系統的共享信道管理方法、系統、終端和基站,通過在群組創建時,核心網為群組生成組根密鑰,並將所述組根密鑰下發給所述群組中的終端;在組呼建立時,所述基站接收核心網下發的組根密鑰,及所述基站生成組呼參數及為組呼共享信道分配組呼無線網絡臨時標識;所述基站根據所述組根密鑰、組呼參數對所述組呼無線網絡臨時標識進行加密,生成加密後的組呼無線網絡臨時標識;所述基站將所述加密後的組呼無線網絡臨時標識和組呼參數下發給所述群組中的終端,供所述終端根據所述組根密鑰和組呼參數對所述接收的加密後的組呼無線網絡臨時標識進行解密;組根密鑰由系統側下發給終端,且僅在物理層對共享信道的組呼無線網絡臨時標識進行加密,對共享信道進行安全保護,對現有LTE安全協議架構改動較小,在終端側的改動不涉及SIM卡的軟體接口變化,容易做到向後兼容。
附圖說明
圖1為本發明寬帶集群系統的共享信道管理方法的優選實施例的流程示意圖;
圖2為本發明寬帶集群系統的共享信道管理方法中在組呼建立時,為組呼共享信道分配組呼無線網絡臨時標識的詳細流程示意圖;
圖3為本發明寬帶集群系統的共享信道管理系統的優選實施例的結構示意圖;
圖4為本發明終端的優選實施例的結構示意圖;
圖5為本發明基站的優選實施例的結構示意圖。
本發明目的的實現、功能特點及優點將結合實施例,參照附圖做進一步說明。
具體實施方式
應當理解,此處所描述的具體實施例僅僅用以解釋本發明,並不用於限定本發明。
參照圖1,圖1為本發明寬帶集群系統的共享信道管理方法的優選實施例的流程示意圖,該方法包括:
S10、在群組創建時,核心網為群組生成組根密鑰,並將該組根密鑰下發給該群組中的終端。
在群組創建時,核心網為群組生成組根密鑰Kg,每個群組的組根密鑰Kg可以互不重複,以保證群組通信的私密性和安全性。
群組中的終端與核心網建立點到點的安全連接,終端使用保存在終端上的密鑰K,與核心網建立NAS((Non Access Stratum,非接入層)和AS(Access Stratum,接入層)的安全通道。核心網通過安全通道將終端所屬群組的組根密鑰Kg下發給對應的終端;當一個終端屬於多個群組時,該下發過程可能要進行多次,如當該終端屬於群組1和群組2時,則該下發過程包括:第一個下發過程為將群組1對應的組根密鑰下發給該終端,第二個下發過程為將群組2對應的組根密鑰下發給該終端。
該組根密鑰可以是一個數值,如12345;該組根密鑰也可以是一個字符串,如Abc_de134;該組根密鑰也可以是一個數組,如A[8,9,0,1];該組根密鑰也可以是帶有多種含義的向量,如攜帶密鑰值、固定的加密ID或多個可選的加密方法ID、校驗碼等的向量。該組根密鑰可以直接使用隨機數發生器生成,也可以使用組標識GID(Group Identification,GID,群體身份,)與隨機數使用函數(如使用KDF函數,(key derivation function,密鑰推導函數))產生,也可以通過人工設置的方式生成,等等。
在群組創建後,通常情況下,該組根密鑰一直保持不變,在涉及到組根密鑰可能會洩露導致安全隱患時,例如當群組成員發生變化時,核心網可重新生成新的組根密鑰,並將新生成的組根密鑰下發給終端。
在該終端初始附著到核心網時,終端與核心網建立點到點的連接,應用單呼密鑰架構,在終端通過核心網的認證鑑權,並成功激活安全模式之後,終端與核心網之間成功建立了點到點的NAS和AS安全通道,之後在核心網和終端之間傳輸的數據可以得到加密和完整性保護。核心網將該終端所屬組的組根密鑰Kg在組信息更新消息中加密發送給終端。終端保存收到的Kg,用於後續組呼建立時的具體安全管理過程。
S20、在組呼建立時,基站接收核心網下發的組根密鑰,及該基站生成組呼參數及為組呼共享信道分配組呼無線網絡臨時標識。
該組呼參數Group Call Rand與組根密鑰類似,組呼參數可以是一個數值,如567235;組呼參數也可以是一個字符串,如shgie_125?;該組呼參數也可是一個數組如A[8,9,0,1];該組呼參數也可以是帶有多種含義的向量,如攜帶隨機數值、加密方法ID、校驗碼等的向量。該組呼參數可以直接由隨機數發生器生成,也可以使用組標識GID與隨機數使用函數產生,也可以通過人工設置的方式生成,等等。在每次組呼建立時,該組呼參數隨機產生或人工生成。
在該步驟中,基站接收核心網下發的組根密鑰,且該基站為組呼共享信道分配組呼無線網絡臨時標識G-RNTI,不同的組呼共享信道的組呼無線網絡臨時標識互不相同。該組呼無線網絡臨時標識在系統側用於物理層加擾,在終端側用於物理層解擾。
S30、該基站根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密,生成加密後的組呼無線網絡臨時標識。
在該步驟中,該基站根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密時,可通過預設的加密算法,如通過KDF函數,將該該組根密鑰、組呼參數和該組呼無線網絡臨時標識派生出加密後的組呼無線網絡臨時標識,還可以通過其它現有的加密算法。
S40、該基站將該加密後的組呼無線網絡臨時標識和組呼參數下發給該群組中的終端,供該終端根據該組根密鑰和組呼參數對該接收的加密後的組呼無線網絡臨時標識進行解密。
在該步驟中,該基站將該加密後的組呼無線網絡臨時標識和組呼參數通過空口尋呼消息下發給終端,終端根據接收到的組根密鑰和組呼參數對接收 的加密後的組呼無線網絡臨時標識進行解密,按照之前對組呼無線網絡臨時標識進行加密的逆過程,對該加密後的組呼無線網絡臨時標識進行解密,得到解密後的組呼無線網絡臨時標識,該解密後的組呼無線網絡臨時標識與系統側生成的組呼無線網絡臨時標識相同;該終端根據該解密後的組呼無線網絡臨時標識對共享信道進行解擾,以使得該終端通過該共享信道進行通信。
進一步的,該方法還包括:在滿足更新觸發條件時,該核心網更新群組的組根密鑰,並將更新後的組根密鑰下發給該群組中的終端。
該觸發條件可以為群組中的成員發生變化或者安全周期達到,該安全周期可根據需要設置,如可將安全周期設置為10天,則每10天更新一次群組對應的組根密鑰。通過該步驟更新群組的組根密鑰,可避免由於組根密鑰洩露而導致安全隱患的問題。
採用上述實施例,通過在群組創建時,為群組生成組根密鑰,並將該組根密鑰下發給該群組中的終端;在組呼建立時,生成組呼參數及為組呼共享信道分配組呼無線網絡臨時標識;根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密,生成加密後的組呼無線網絡臨時標識;將該加密後的組呼無線網絡臨時標識和組呼參數下發給該群組中的終端,供該終端根據該組根密鑰和組呼參數對該接收的加密後的組呼無線網絡臨時標識進行解密;組根密鑰由系統側下發給終端,且僅在物理層對共享信道的組呼無線網絡臨時標識進行加密,對共享信道進行安全保護,對現有LTE安全協議架構改動較小,在終端側的改動不涉及SIM卡的軟體接口變化,容易做到向後兼容。
參照圖2,圖2為本發明寬帶集群系統的共享信道管理方法中在組呼建立時,該基站為組呼共享信道分配組呼無線網絡臨時標識的詳細流程示意圖,詳述如下:
S21、在組呼建立時,該基站獲取發起組呼的終端對應的組特徵信息。
在組呼建立時,該基站可直接接收該發起組呼的終端主動發送過來的該發起組呼的終端對應的組特徵信息,該基站也可以先向該發起組呼的終端發送組特徵信息獲取請求,然後接收該發起組呼的終端根據該組特徵信息獲取請求返回的該發起組呼的終端對應的組特徵信息。
該組特徵信息包括組標識信息,該組標識信息即為該終端所屬組的組標識信息。
在一實施例中,在組呼建立時,可通過接收來自終端的無線資源控制RRC(Radio Resource Control)信令,從該無線資源控制RRC信令中提取該終端設備對應的組特徵信息。
S22、該基站根據該組特徵信息為該組呼共享信道分配組呼無線網絡臨時標識。
在該步驟中,該基站根據該組特徵信息為該組呼共享信道分配組呼無線網絡臨時標識,如可根據該組特徵信息由隨機數發生器生成該組呼共享信道對應的組呼無線網絡臨時標識。不同的組呼共享信道的組呼無線網絡臨時標識互不相同。
當該組特徵信息包括組標識信息時,該基站根據該組特徵信息為該組呼共享信道分配組呼無線網絡臨時標識的步驟包括:該基站根據預設的組標識信息與組呼無線網絡臨時標識的映射關係,獲取該終端設備對應的組標識信息對應的組呼無線網絡臨時標識,將該獲取的組呼無線網絡臨時標識作為組呼共享信道的無線網絡臨時標識。
該組標識信息與組呼無線網絡臨時標識的映射關係可由管理者預先設置,還可以適時的對該組標識信息與組呼無線網絡臨時標識的映射關係進行更新。在該步驟中,該基站在該組標識信息與組呼無線網絡臨時標識的映射關係中查找該獲取的組標識信息,當該組標識信息與組呼無線網絡臨時標識的映射關係中存在該獲取的組標識信息時,將該獲取的組標識信息對應的組呼無線網絡臨時標識讀取出來,作為組呼共享信道的無線網絡臨時標識;當該組標識信息與組呼無線網絡臨時標識的映射關係中不存在該獲取的組標識信息時,則重新為該獲取的組標識信息生成一個新的組呼無線網絡臨時標識,作為組呼共享信道的組呼無線網絡臨時標識,並將該獲取的組標識信息和新生成的組呼無線網絡臨時標識記錄在組標識信息與組呼無線網絡臨時標識的映射關係中。
參照圖3,圖3為本發明寬帶集群系統的共享信道管理系統的優選實施例的結構示意圖,該系統包括核心網10和基站20,其中:
該核心網10,用於在群組創建時,為群組生成組根密鑰,並將該組根密鑰下發給該基站20;
該基站20,用於在組呼建立時,接收核心網下發的組根密鑰,並生成組呼參數及為組呼共享信道分配組呼無線網絡臨時標識;及用於根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密,生成加密後的組呼無線網絡臨時標識;及用於將該加密後的組呼無線網絡臨時標識和組呼參數下發給該群組中的終端,供該終端根據該組根密鑰和組呼參數對該接收加密後的組呼無線網絡臨時標識進行解密。
在群組創建時,核心網10為群組生成組根密鑰Kg,每個群組的組根密鑰Kg可以互不重複,以保證群組通信的私密性和安全性。
群組中的終端與核心網10建立點到點的安全連接,終端使用保存在終端上的密鑰K,與核心網10建立NAS((Non Access Stratum,非接入層)和AS(Access Stratum,接入層)的安全通道。核心網10通過安全通道將終端所屬群組的組根密鑰Kg下發給對應的終端;當一個終端屬於多個群組時,該下發過程可能要進行多次,如當該終端屬於群組1和群組2時,則該下發過程包括:第一個下發過程為將群組1對應的組根密鑰下發給該終端,第二個下發過程為將群組2對應的組根密鑰下發給該終端。
該組根密鑰可以是一個數值,如12345;該組根密鑰也可以是一個字符串,如Abc_de134;該組根密鑰也可以是一個數組,如A[8,9,0,1];該組根密鑰也可以是帶有多種含義的向量,如攜帶密鑰值、固定的加密ID或多個可選的加密方法ID、校驗碼等的向量。該組根密鑰可以直接使用隨機數發生器生成,也可以使用組標識GID(Group Identification,GID,群體身份,)與隨機數使用函數(如使用KDF函數,(key derivation function,密鑰推導函數))產生,也可以通過人工設置的方式生成,等等。
在群組創建後,通常情況下,該組根密鑰一直保持不變,在涉及到組根密鑰可能會洩露導致安全隱患時,例如當群組成員發生變化時,核心網10可重新生成新的組根密鑰,並將新生成的組根密鑰下發給終端。
在該終端初始附著到核心網10時,終端與核心網10建立點到點的連接,應用單呼密鑰架構,在終端通過核心網10的認證鑑權,並成功激活安全模式之後,終端與核心網10之間成功建立了點到點的NAS和AS安全通道,之後 在核心網10和終端之間傳輸的數據可以得到加密和完整性保護。核心網10將該終端所屬組的組根密鑰Kg在組信息更新消息中加密發送給終端。終端保存收到的Kg,用於後續組呼建立時的具體安全管理過程。
該組呼參數Group Call Rand與組根密鑰類似,組呼參數可以是一個數值,如567235;組呼參數也可以是一個字符串,如shgie_125?;該組呼參數也可是一個數組如A[8,9,0,1];該組呼參數也可以是帶有多種含義的向量,如攜帶隨機數值、加密方法ID、校驗碼等的向量。該組呼參數可以直接由隨機數發生器生成,也可以使用組標識GID與隨機數使用函數產生,也可以通過人工設置的方式生成,等等。在每次組呼建立時,該組呼參數隨機產生或人工生成。
該基站20在組呼建立時,接收核心網下發的組根密鑰,且為組呼共享信道分配組呼無線網絡臨時標識G-RNTI,不同的組呼共享信道的組呼無線網絡臨時標識互不相同。該組呼無線網絡臨時標識在系統側用於物理層加擾,在終端側用於物理層解擾。
該基站20根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密時,可通過預設的加密算法,如通過KDF函數,將該該組根密鑰、組呼參數和該組呼無線網絡臨時標識派生出加密後的組呼無線網絡臨時標識,還可以通過其它現有的加密算法。
該基站20還將該加密後的組呼無線網絡臨時標識和組呼參數通過空口尋呼消息下發給終端,終端根據接收到的組根密鑰和組呼參數對接收的加密後的組呼無線網絡臨時標識進行解密,按照之前對組呼無線網絡臨時標識進行加密的逆過程,對該加密後的組呼無線臨時標識進行解密,得到解密後的組呼無線網絡臨時標識,該解密後的組呼無線網絡臨時標識與系統側生成的組呼無線網絡臨時標識相同;該終端根據該解密後的組呼無線網絡臨時標識對共享信道進行解擾,以使得該終端通過該共享信道進行通信。
進一步的,該核心網10還用於在滿足更新觸發條件時,更新群組的組根密鑰,並將更新後的組根密鑰下發給該群組中的終端。
該觸發條件可以為群組中的成員發生變化或者安全周期達到,該安全周期可根據需要設置,如可將安全周期設置為10天,則每10天更新一次群組對應的組根密鑰。通過該核心網10更新群組的組根密鑰,可避免由於組根密 鑰洩露而導致安全隱患的問題。
進一步的,該基站20還用於在組呼建立時,獲取發起組呼的終端對應的組特徵信息,及根據該組特徵信息為該組呼共享信道分配組呼無線網絡臨時標識。
在組呼建立時,該基站20可直接接收該發起組呼的終端主動發送過來的該發起組呼的終端對應的組特徵信息,也可以先向該發起組呼的終端發送組特徵信息獲取請求,然後接收該發起組呼的終端根據該組特徵信息獲取請求返回的該發起組呼的終端對應的組特徵信息。
該組特徵信息包括組標識信息,該組標識信息即為該終端所屬組的組標識信息。
在一實施例中,在組呼建立時,該基站20可通過接收來自終端的無線資源控制RRC(Radio Resource Control)信令,從該無線資源控制RRC信令中提取該終端設備對應的組特徵信息。
該基站20根據該組特徵信息為該組呼共享信道分配組呼無線網絡臨時標識,如可根據該組特徵信息由隨機數發生器生成該組呼共享信道對應的組呼無線網絡臨時標識。不同的組呼共享信道的組呼無線網絡臨時標識互不相同。
當該組特徵信息包括組標識信息時,該基站20還用於根據預設的組標識信息與組呼無線網絡臨時標識的映射關係,獲取該終端設備對應的組標識信息對應的組呼無線網絡臨時標識,將該獲取的組呼無線網絡臨時標識作為組呼共享信道的無線網絡臨時標識。
該組標識信息與組呼無線網絡臨時標識的映射關係可由管理者預先設置,還可以適時的對該組標識信息與組呼無線網絡臨時標識的映射關係進行更新。該基站20在該組標識信息與組呼無線網絡臨時標識的映射關係中查找該獲取的組標識信息,當該組標識信息與組呼無線網絡臨時標識的映射關係中存在該獲取的組標識信息時,將該獲取的組標識信息對應的組呼無線網絡臨時標識讀取出來,作為組呼共享信道的無線網絡臨時標識;當該組標識信息與組呼無線網絡臨時標識的映射關係中不存在該獲取的組標識信息時,則重新為該獲取的組標識信息生成一個新的組呼無線網絡臨時標識,作為組呼共享信道的組呼無線網絡臨時標識,並將該獲取的組標識信息和新生成的組呼無線網絡臨時標識記錄在組標識信息與組呼無線網絡臨時標識的映射關係 中。
參照圖4,圖4為本發明的終端的優選實施例的結構示意圖,該終端包括:
交互模塊31,用於接收核心網下發的該終端所屬群組的組根密鑰,以及,在組呼建立時,接收基站下發的組呼參數和加密後的組呼無線網絡臨時標識,該加密後的組呼無線網絡臨時標識由該基站根據組根密鑰、組呼參數對該基站生成的組呼無線網絡臨時標識進行加密生成;
解密模塊32,用於根據該組根密鑰和組呼參數對該接收的加密後的組呼無線網絡臨時標識進行解密;
解擾模塊33,用於根據該解密後無線網絡臨時標識對共享信道進行解擾,以使該終端通過該共享信道進行通信。
在群組創建時,核心網為群組生成組根密鑰Kg,每個群組的組根密鑰Kg可以互不重複,以保證群組通信的私密性和安全性。
群組中的終端與核心網建立點到點的安全連接,終端使用保存在終端上的密鑰K,與核心網建立NAS((Non Access Stratum,非接入層)和AS(Access Stratum,接入層)的安全通道。核心網通過安全通道將終端所屬群組的組根密鑰Kg下發給對應的終端;當一個終端屬於多個群組時,該下發過程可能要進行多次,如當該終端屬於群組1和群組2時,則該下發過程包括:第一個下發過程為將群組1對應的組根密鑰下發給該終端,第二個下發過程為將群組2對應的組根密鑰下發給該終端。
該終端通過交互模塊31接收核心網下發的組根密鑰。
該組根密鑰Kg可以是一個數值,如12345;該組根密鑰也可以是一個字符串,如Abc_de134;該組根密鑰也可以是一個數組,如A[8,9,0,1];該組根密鑰也可以是帶有多種含義的向量,如攜帶密鑰值、固定的加密ID或多個可選的加密方法ID、校驗碼等的向量。該組根密鑰Kg可以直接使用隨機數發生器生成,也可以使用組標識GID(Group Identification,GID,群體身份,)與隨機數使用函數(如使用KDF函數,(key derivation function,密鑰推導函數))產生,也可以通過人工設置的方式生成,等等。
在群組創建後,通常情況下,該組根密鑰一直保持不變,在涉及到組根密鑰可能會洩露導致安全隱患時,例如當群組成員發生變化時,該核心網可 重新生成新的組根密鑰,並將新生成的組根密鑰下發給終端。
在該終端初始附著到核心網時,終端與核心網建立點到點的連接,應用單呼密鑰架構,在終端通過核心網的認證鑑權,並成功激活安全模式之後,終端與核心網之間成功建立了點到點的NAS和AS安全通道,之後在核心網和終端之間傳輸的數據可以得到加密和完整性保護。核心網將該終端所屬組的組根密鑰在組信息更新消息中加密發送給終端。終端保存收到的,用於後續組呼建立時的具體安全管理過程。
該組呼參數Group Call Rand與組根密鑰Kg類似,組呼參數可以是一個數值,如567235;組呼參數也可以是一個字符串,如shgie_125?;該組呼參數也可是一個數組如A[8,9,0,1];該組呼參數也可以是帶有多種含義的向量,如攜帶隨機數值、加密方法ID、校驗碼等的向量。該組呼參數可以直接由隨機數發生器生成,也可以使用組標識GID與隨機數使用函數產生,也可以通過人工設置的方式生成,等等。在每次組呼建立時,該組呼參數隨機產生或人工生成。該終端的交互模塊31接收該基站下發的組呼參數。
基站為組呼共享信道分配組呼無線網絡臨時標識G-RNTI,不同的組呼共享信道的組呼無線網絡臨時標識互不相同。該組呼無線網絡臨時標識在系統側用於物理層加擾,在終端側用於物理層解擾。
基站根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密生成加密後的組呼無線網絡臨時標識,該基站在根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密時,可通過預設的加密算法,如通過KDF函數,將該該組根密鑰、組呼參數和該組呼無線網絡臨時標識派生出加密後的組呼無線網絡臨時標識,還可以通過其它現有的加密算法。該終端通過交互模塊31接收該基站下發的加密後的組呼無線網絡臨時標識。
該解密模塊32根據該組根密鑰和組呼參數對該接收的加密後的組呼無線網絡臨時標識進行解密,按照基站之前對組呼無線網絡臨時標識進行加密的逆過程,對該加密後的組呼無線網絡臨時標識進行解密,得到解密後的組呼無線網絡臨時標識,該解密後的組呼無線網絡臨時標識與基站生成的組呼無線網絡臨時標識相同。
該解擾模塊33根據該解密後的組呼無線網絡臨時標識對共享信道進行解擾,以使得該終端通過該共享信道進行通信。
參照圖5,圖5為本發明基站的優選實施例的結構示意圖,該基站包括:
接收模塊21,用於在組呼建立時,接收核心網下發的組根密鑰;
生成模塊22,用於在組呼建立時,生成組呼參數及為組呼共享信道分配組呼無線網絡臨時標識;
加密模塊23,用於根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密,生成加密後的組呼無線網絡臨時標識;
發送模塊24,用於將該加密後的組呼無線網絡臨時標識和組呼參數下發給群組中的終端,供該終端根據該組根密鑰和組呼參數對該接收加密後的組呼無線網絡臨時標識進行解密。
該組根密鑰由核心網生成,該核心網在群組創建時,為群組生成組根密鑰Kg,每個群組的組根密鑰Kg可以互不重複,以保證群組通信的私密性和安全性。該核心網在組呼建立時,向基站下發該創建的組根密鑰。
該組根密鑰Kg可以是一個數值,如12345;該組根密鑰也可以是一個字符串,如Abc_de134;該組根密鑰也可以是一個數組,如A[8,9,0,1];該組根密鑰Kg也可以是帶有多種含義的向量,如攜帶密鑰值、固定的加密ID或多個可選的加密方法ID、校驗碼等的向量。該組根密鑰可以直接使用隨機數發生器生成,也可以使用組標識GID(Group Identification,GID,群體身份,)與隨機數使用函數(如使用KDF函數,(key derivation function,密鑰推導函數))產生,也可以通過人工設置的方式生成,等等。
在群組創建後,通常情況下,該組根密鑰Kg一直保持不變,在涉及到組根密鑰可能會洩露導致安全隱患時,例如當群組成員發生變化時,可重新生成新的組根密鑰Kg,並將新生成的組根密鑰下發給終端。
該組呼參數Group Call Rand與組根密鑰類似,組呼參數可以是一個數值,如567235;組呼參數也可以是一個字符串,如shgie_125?;該組呼參數也可是一個數組如A[8,9,0,1];該組呼參數也可以是帶有多種含義的向量,如攜帶隨機數值、加密方法ID、校驗碼等的向量。該組呼參數可以直接由隨機數發生器生成,也可以使用組標識GID與隨機數使用函數產生,也可以通過人工設置的方式生成,等等。在每次組呼建立時,該組呼參數隨機產生或人工生成。
該生成模塊22為組呼共享信道分配組呼無線網絡臨時標識G-RNTI,不同的組呼共享信道的組呼無線網絡臨時標識互不相同。該組呼無線網絡臨時標識在系統側用於物理層加擾,在終端側用於物理層解擾。
該加密模塊23根據該組根密鑰、組呼參數對該組呼無線網絡臨時標識進行加密時,可通過預設的加密算法,如通過KDF函數,將該該組根密鑰、組呼參數和該組呼無線網絡臨時標識派生出加密後的組呼無線網絡臨時標識,還可以通過其它現有的加密算法。
該發送模塊24將該加密後的組呼無線網絡臨時標識和組呼參數通過空口尋呼消息下發給終端,終端根據接收到的組根密鑰和組呼參數對接收的加密後的組呼無線網絡臨時標識進行解密,按照之前對組呼無線網絡臨時標識進行加密的逆過程,對該加密後的組呼無線網絡臨時標識進行解密,得到解密後的組呼無線網絡臨時標識,該解密後的組呼無線網絡臨時標識與系統側(基站)生成的組呼無線網絡臨時標識相同;該終端根據該解密後的組呼無線網絡臨時標識對共享信道進行解擾,以使得該終端通過該共享信道進行通信。
以上僅為本發明的優選實施例,並非因此限制本發明的專利範圍,凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換,或直接或間接運用在其他相關的技術領域,均同理包括在本發明的專利保護範圍內。