一種適合組呼系統的組播密鑰協商方法及系統的製作方法

2023-09-22 19:19:10 1

專利名稱：一種適合組呼系統的組播密鑰協商方法及系統的製作方法
技術領域：
本發明屬網絡安全領域，涉及一種組呼系統的組播密鑰協商方法及系統，尤其涉 及一種適合SCDMA寬帶接入技術的組呼系統的組播密鑰協商方法及系統。
背景技術：
SCDMA(Synchronous Code Division Multiple Access)是一種同步碼分多址的 寬帶無線接入技術，它採用了智能天線、軟體無線電、以及自主開發的SWAP(SynChronoUS Wireless Access Protocol)空中接口協議等先進技術，是一個全新的體系，一個全新的 我國擁有完整自主智慧財產權的第三代無線通信技術標準，可以以組呼的方式開展業務。在 SCDM A技術標準的用戶終端(UT，UserTerminal)和基站(BS，Base Station)通信的空中接 口安全的方案中，並沒有對組呼系統的組播密鑰的協商方法進行描述。考慮到SCDMA寬帶接入技術的組呼系統特點，業務組的組播密鑰的生成、更新與 組成員發生切換後的組播密鑰的使用應具備以下要求1)基站BS不記錄每個用戶終端UT 所附屬的組消息；2)基站BS提供不同的業務組，所服務的同一業務組的用戶終端UT可能 分散於不同的基站BS下；3)由於需要具備切換能力，應由基站BS來生成業務組的組播密 鑰。SCDMA網絡中的組呼業務的都需要通過組播的方式進行開展，沒有安全的組播密鑰協商 的方法和系統無法保證利用組播開展的組呼業務能夠更加有效地進行。

發明內容
為了解決背景技術中存在的上述技術問題，本發明提供了一種安全性更高的適合 組呼系統的組播密鑰協商方法及系統。本發明的技術解決方案是本發明為一種適合組呼系統的組播密鑰協商方法，其 特殊之處在於所述適合組呼系統的組播密鑰協商方法包括以下步驟1)用戶終端UT和基站BS協商單播密鑰，根據單播密鑰導出信息加密密鑰和完整 性校驗密鑰，並且用戶終端UT向基站BS註冊需要註冊的業務組標識；2)基站BS向用戶終端UT通告UT需要申請的業務組的組播密鑰，構建組播密鑰通 告分組發送給用戶終端UT，該分組包括隨機數、業務組密鑰申請列表和消息完整性校驗 值，其中，業務組密鑰申請列表包括UT需要申請的業務組標識和業務組的組播密鑰，此業 務組密鑰申請列表是使用步驟1)中單播密鑰導出信息加密密鑰加密後的密文形式存在；3)用戶終端UT收到基站BS發來的組播密鑰通告分組後，解密業務組密鑰申請列 表，得到UT需要申請的業務組的組播密鑰，構建組播密鑰確認分組發送給基站BS，該分組 包括隨機數、業務組密鑰響應列表和消息完整性校驗值，其中，業務組密鑰響應列表包括 完成申請的所有業務組標識，此業務組密鑰響應列表是使用步驟1)中單播密鑰導出信息 加密密鑰加密後的密文形式存在；4)基站BS根據收到用戶終端UT發來的組播密鑰確認分組，可確認UT業務組的組 播密鑰建立成功。
上述步驟2)中，如果業務組的組播密鑰在網絡中是第一次被申請，則由基站BS生成此業務組的組播密鑰；如果此業務組的組播密鑰在網絡中已經被申請過，則基站BS直接 轉發此業務組第一次被申請的組播密鑰。上述步驟4)之後還包括5)基站BS在更新業務組的組播密鑰過程中，使用舊的業務組的組播密鑰對組播數據幀進行加密發送，當對所有已關聯到該BS的UT均完成業務組 的組播密鑰協商後，才啟用最新通告的業務組的組播密鑰用於組播數據幀的加密發送。上述步驟3)的具體實現方式是用戶終端UT收到組播密鑰通告分組後，使用導出 的完整性校驗密鑰驗證其中的消息完整性校驗值，判斷其是否正確，如果不正確則放棄該 分組；如果正確，則由用戶終端UT解密業務組密鑰申請列表，根據列表中業務組標識來確 認是否為UT所申請的業務組，如果組密鑰列表中在業務組標識與UT在步驟1)中註冊的業 務組相同，則可得到UT需要申請的業務組的組播密鑰，向基站BS反饋組播密鑰確認分組。上述步驟4)具體實現方式是基站BS收到用戶終端UT發來的組播密鑰確認分組 後的具體處理方式是基站BS收到用戶終端UT發來的組播密鑰確認分組後，使用導出的完 整性校驗密鑰驗證其中的消息完整性校驗值，判斷其是否正確，如果不正確則放棄該分組； 如果正確，則由基站BS解密業務組密鑰響應列表，根據列表中業務組標識來確認是否為UT 所申請的業務組，如果組密鑰列表中在業務組標識與UT在步驟1)中註冊的業務組相同，則 可確認UT業務組的組播密鑰建立成功。上述步驟2)中，該組播密鑰通告分組中還包括消息交互機制標識、本條消息標 識、組播密鑰安全關聯、基站BS標識、用戶終端UT標識、單播密鑰索引。上述步驟3)中，該組播密鑰確認分組中還包括消息交互機制標識，本條消息標 識、組播密鑰安全關聯、基站BS標識、用戶終端UT標識、單播密鑰索引。一種適合組呼系統的組播密鑰協商系統，其特殊之處在於所述適合組呼系統的 組播密鑰協商系統包括用戶終端UT以及基站BS ；所述基站BS向用戶終端UT發送組播密 鑰通告分組；所述用戶終端UT收到組播密鑰通告分組後，對組播密鑰通告分組中的業務組 密鑰申請列表解密得到業務組的組播密鑰，構建組播密鑰確認分組發送給基站BS。本發明的優點是尤其適合SCDMA寬帶接入技術的組呼系統的組播密鑰協商方法及系統，在SCDMA 現有方案中並沒有對組呼系統的組播密鑰的協商方法進行描述，本發明提供安全的組播密 鑰協商的方法和系統，保證利用組播開展的組呼業務能夠更加有效地進行；


圖1為本發明所提供的適合組呼系統的組播密鑰協商過程框架示意圖。
具體實施例方式參見圖1，本發明提供了一種適合組呼系統的組播密鑰協商方法，該方法包括以下 步驟1)用戶終端UT和基站BS協商單播密鑰TEK (每個單播密鑰TEK對應一個單播密 鑰索引TEKID)，並導出信息加密密鑰和完整性校驗密鑰，並且通過業務註冊，用戶終端UT 向基站BS告知自己所屬的業務組標識GID ；
2)組播密鑰通告分組由基站BS發向用戶終端UT;基站BS向用戶終端UT通 告UT需要申請的業務組的組播密鑰，構建組播密鑰通告分組；該分組包括單播密鑰索引 NONCE (基站BS生成的保證消息新鮮性隨機數)、業務組密鑰申請列表(業務組密鑰申請列 表包括UT需要申請的業務組標識GID和業務組的組播密鑰GEK。如果此業務組的組播密 鑰在網絡中是第一次被申請，則由BS生成此業務組的組播密鑰；如果此業務組的組播密鑰 在網絡中已經被申請過，則BS直接轉發此業務組第一次被申請的組播密鑰，此列表是使用 TEKID對應的密鑰導出的信息加密密鑰加密後的密文形式存在)和消息完整性校驗MIC值 (使用TEKID對應的密鑰導出的完整性校驗密鑰計算消息的完整性校驗值)；
3)組播密鑰確認分組由用戶終端UT發向基站BS ；用戶終端UT收到組播密鑰 通告分組後，由單播密鑰索引TEKID對應的密鑰導出的完整性校驗密鑰驗證其中的消息完 整性校驗MIC值，如果不正確則放棄該分組，如果正確，則由用戶終端UT解密業務組密鑰 申請列表，根據列表中業務組標識GID來確認是否為用戶終端UT所申請的業務組，如果組 密鑰申請列表中在業務組標識GID與用戶終端UT在步驟1)中註冊的業務組相同，則可得 到UT需要申請的業務組的組播密鑰GEK，然後反饋組播密鑰確認分組，包括單播密鑰索引 NONCE (隨機數，同組播密鑰通告分組)、業務組密鑰響應列表(業務組密鑰響應列表包括UT 需要申請的業務組標識GID，此列表是使用單播密鑰索引TEKID對應的密鑰導出的信息加 密密鑰加密後的密文形式存在)和消息完整性校驗MIC值(使用單播密鑰索引TEKID對應 的密鑰導出的完整性校驗密鑰計算消息的完整性校驗值)；4)基站BS收到用戶終端UT發來的組播密鑰確認分組後，使用單播密鑰索引 TEKID對應的密鑰導出的完整性校驗密鑰驗證其中的消息完整性校驗MIC值，判斷其是否 正確，如果不正確則放棄該分組；如果正確，則由基站BS解密業務組密鑰響應列表，根據列 表中業務組標識GID來確認是否為用戶終端UT所申請的業務組，如果組密鑰響應列表中的 業務組標識與用戶終端UT在步驟1)中註冊的業務組相同，則可確認UT業務組的組播密鑰 GEK建立成功。5)基站BS在更新業務組的組播密鑰過程中，使用舊的業務組的組播密鑰對組播 數據幀進行加密發送，當對所有已關聯到該基站BS的用戶終端UT均完成業務組的組播密 鑰協商後，才啟用最新通告的業務組的組播密鑰用於組播數據幀的加密發送。6)為了工程實現的方便，組播密鑰通告分組中還可以包括消息交互機制標識 FLAG、本條消息標識PFLAG、組播密鑰安全關聯MEKID、基站BS標識BSID、用戶終端UT標識 UTID、單播密鑰索引TEKID。7)為了工程實現的方便，組播密鑰確認分組中還可以包括消息交互機制標識 FLAG(同組播密鑰通告分組中對應值)、本條消息標識PFLAG、組播密鑰安全關聯MEKID (同 組播密鑰通告分組中對應值)、基站BS標識BSID (同組播密鑰通告分組中對應值)、用戶終 端UT標識UTID (同組播密鑰通告分組中對應值)、單播密鑰索引TEKID (同組播密鑰通告分 組中對應值)。本發明還提供一種適合組呼系統的組播密鑰協商系統，該系統包括用戶終端UT 以及基站BS ；所述基站BS向用戶終端UT發送組播密鑰通告分組；所述用戶終端UT收到組 播密鑰通告分組後，對組播密鑰通告分組中的業務組密鑰申請列表解密得到業務組的組播 密鑰，構建組播業務確認分組發送給基站BS。
權利要求
一種適合組呼系統的組播密鑰協商方法，其特徵在於所述適合組呼系統的組播密鑰協商方法包括以下步驟1)用戶終端UT和基站BS協商單播密鑰，根據單播密鑰導出信息加密密鑰和完整性校驗密鑰，並且用戶終端UT向基站BS註冊需要註冊的業務組標識；2)基站BS向用戶終端UT通告UT需要申請的業務組的組播密鑰，構建組播密鑰通告分組發送給用戶終端UT，該分組包括隨機數、業務組密鑰申請列表和消息完整性校驗值，其中，業務組密鑰申請列表包括UT需要申請的業務組標識和業務組的組播密鑰，此業務組密鑰申請列表是使用步驟1)中單播密鑰導出信息加密密鑰加密後的密文形式存在；3)用戶終端UT收到基站BS發來的組播密鑰通告分組後，解密業務組密鑰申請列表，得到UT需要申請的業務組的組播密鑰，構建組播密鑰確認分組發送給基站BS，該分組包括隨機數、業務組密鑰響應列表和消息完整性校驗值，其中，業務組密鑰響應列表包括完成申請的所有業務組標識，此業務組密鑰響應列表是使用步驟1)中單播密鑰導出信息加密密鑰加密後的密文形式存在；4)基站BS根據收到用戶終端UT發來的組播密鑰確認分組，確認UT業務組的組播密鑰建立成功。
2.根據權利要求1所述的適合組呼系統的組播密鑰協商方法，其特徵在於所述步驟 2)中，如果業務組的組播密鑰在網絡中是第一次被申請，則由基站BS生成此業務組的組播 密鑰；如果此業務組的組播密鑰在網絡中已經被申請過，則基站BS直接轉發此業務組第一 次被申請的組播密鑰。
3.根據權利要求2所述的適合組呼系統的組播密鑰協商方法，其特徵在於所述步驟 4)之後還包括5)基站BS在更新業務組的組播密鑰過程中，使用舊的業務組的組播密鑰對 組播數據幀進行加密發送，當對所有已關聯到該BS的UT均完成業務組的組播密鑰協商後， 才啟用最新通告的業務組的組播密鑰用於組播數據幀的加密發送。
4.根據權利要求1或2或3所述的適合組呼系統的組播密鑰協商方法，其特徵在於 所述步驟3)的具體實現方式是用戶終端UT收到組播密鑰通告分組後，使用導出的完整性 校驗密鑰驗證其中的消息完整性校驗值，判斷其是否正確，如果不正確則放棄該分組；如果 正確，則由用戶終端UT解密業務組密鑰申請列表，根據列表中業務組標識來確認是否為UT 所申請的業務組，如果組密鑰列表中在業務組標識與UT在步驟1)中註冊的業務組相同，則 可得到UT需要申請的業務組的組播密鑰，向基站BS反饋組播密鑰確認分組。
5.根據權利要求4所述的適合組呼系統的組播密鑰協商方法，其特徵在於所述步驟 4)具體實現方式是基站BS收到用戶終端UT發來的組播密鑰確認分組後的具體處理方式 是基站BS收到用戶終端UT發來的組播密鑰確認分組後，使用導出的完整性校驗密鑰驗證 其中的消息完整性校驗值，判斷其是否正確，如果不正確則放棄該分組；如果正確，則由基 站BS解密業務組密鑰響應列表，根據列表中業務組標識來確認是否為UT所申請的業務組， 如果組密鑰列表中在業務組標識與UT在步驟1)中註冊的業務組相同，則可確認UT業務組 的組播密鑰建立成功。
6.根據權利要求5所述的適合組呼系統的組播密鑰協商方法，其特徵在於所述步驟 2)中，該組播密鑰通告分組中還包括消息交互機制標識、本條消息標識、組播密鑰安全關 聯、基站BS標識、用戶終端UT標識、單播密鑰索引。
7.根據權利要求6所述的適合組呼系統的組播密鑰協商方法，其特徵在於所述步驟 3)中，該組播密鑰確認分組中還包括消息交互機制標識，本條消息標識、組播密鑰安全關 聯、基站BS標識、用戶終端UT標識、單播密鑰索引。
8.一種適合組呼系統的組播密鑰協商系統，其特徵在於所述適合組呼系統的組播密 鑰協商系統包括用戶終端UT以及基站BS ；所述基站BS向用戶終端UT發送組播密鑰通告 分組；所述用戶終端UT收到組播密鑰通告分組後，對組播密鑰通告分組中的業務組密鑰申 請列表解密得到業務組的組播密鑰，構建組播密鑰確認分組發送給基站BS。
全文摘要
本發明涉及的是一種適合組呼系統的組播密鑰協商方法及系統，所述適合組呼系統的組播密鑰協商系統包括用戶終端UT以及基站BS；基站BS向用戶終端UT發送組播密鑰通告分組；用戶終端UT收到組播密鑰通告分組後，對組播密鑰通告分組中的業務組密鑰申請列表解密得到業務組的組播密鑰，構建組播密鑰確認分組發送給基站BS；本發明適合SCDMA寬帶接入技術的組呼系統的組播密鑰協商方法及系統，在SCDMA現有方案中並沒有對組呼系統的組播密鑰的協商方法進行描述，是提供安全的組播密鑰協商的方法和系統，保證利用組播開展的組呼業務能夠更加有效地進行。
文檔編號H04W12/10GK101800943SQ20101013688
公開日2010年8月11日 申請日期2010年3月31日 優先權日2010年3月31日
發明者曹軍, 胡亞楠, 鐵滿霞, 黃振海 申請人:西安西電捷通無線網絡通信股份有限公司