專利名稱:一種基于td-lte集群通信系統(tǒng)的加密組呼方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),特別涉及一種基于時分長期演進(jìn)(TimeDivision-Long Term Evolution, TD-LTE)集群通信系統(tǒng)的加密組呼方法����。
背景技術(shù):
由于具備特有的調(diào)度、組呼以及快速呼叫等特性��,數(shù)字集群通信系統(tǒng)在專業(yè)通信領(lǐng)域發(fā)揮了巨大的作用���。組呼業(yè)務(wù)是數(shù)字集群通信系統(tǒng)提供的最基本業(yè)務(wù)���。組呼業(yè)務(wù)允許用戶建立到屬于某一給定區(qū)域某一組用戶的群組呼叫,采用半雙工模式�����;在組呼通信過程中�����,組內(nèi)任何成員均可成為講話者,但任一時刻只允許有一個講話者�,其他用戶均為聽者。 所述給定區(qū)域稱為組呼區(qū)域�����,包括一簇小區(qū)�。呼叫建立期間,系統(tǒng)為組呼區(qū)域內(nèi)的每個小區(qū)分別分配一個組呼信道����,其中上行鏈路僅供當(dāng)前講話者使用,所有聽者監(jiān)聽下行鏈路���;聽者可以通過搶占上行鏈路的操作獲取講話權(quán)�。由于在組呼業(yè)務(wù)中����,屬于同一小區(qū)內(nèi)的所有組內(nèi)用戶共享一條下行鏈路、搶占上行鏈路�����,因此,可以大大節(jié)省無線資源�,提高系統(tǒng)的頻譜利用率���。圖1為現(xiàn)有基于TD-LTE集群通信系統(tǒng)的網(wǎng)絡(luò)架構(gòu)示意圖���。如圖1所示,該系統(tǒng)中�����, 將發(fā)起組呼請求的終端成為主叫終端��,將除該主叫終端以外的該群組內(nèi)的其它終端稱為被叫終端����。該系統(tǒng)包括終端、寬帶無線接入子系統(tǒng)和網(wǎng)絡(luò)子系統(tǒng)����。其中,主叫終端和被叫終端都通過空中接口或有線連接與寬帶無線接入子系統(tǒng)或網(wǎng)絡(luò)子系統(tǒng)相連��,為用戶提供各種一鍵通(PUsh-T0-Talk�,PTT)語音業(yè)務(wù)��、寬帶集群多媒體業(yè)務(wù)以及調(diào)度功能��。所述終端可為移動終端����、固定臺或調(diào)度臺等��;進(jìn)一步地�,移動終端為手持移動臺或車載臺等,調(diào)度臺為無線調(diào)度臺或有線調(diào)度臺����。寬帶無線接入子系統(tǒng)由多個eNB組成,eNB中的無線集群調(diào)度功能模塊(Radio Trunking DispatchFunction, RTDF)負(fù)責(zé)eNB中集群業(yè)務(wù)的相關(guān)處理�,比如從移動管理實(shí)體(Mobility Management Entity,MME)接收集群控制信令,為被叫終端所在小區(qū)分配下行鏈路共享資源���,將從服務(wù)網(wǎng)管(Serving Gateway, S-Gff)接收到的集群業(yè)務(wù)數(shù)據(jù)流傳送到被叫終端等����。網(wǎng)絡(luò)子系統(tǒng)中包括MME�����、S-GW和歸屬用戶服務(wù)器(Home Subscriber Server, HSS) ;MME 中的集群控制功能模塊(Trunking Control Function, TCF)是實(shí)現(xiàn)集群呼叫的控制中心�,負(fù)責(zé)集群用戶的鑒權(quán)和集群業(yè)務(wù)的授權(quán),為鑒權(quán)成功的用戶建立傳送業(yè)務(wù)數(shù)據(jù)流的承載��;S-GW集成了 TD-LTE公網(wǎng)中S-GW和分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(PDNGateway���, P-GW),包含有集群分組功能模塊(Trunking Packet Function, TPF)�����,TPF用于完成集群業(yè)務(wù)數(shù)據(jù)流的映射��、復(fù)制和分發(fā)�,并根據(jù)用戶請求的業(yè)務(wù)特點(diǎn)和服務(wù)質(zhì)量(Quality of Service,QoS)需求發(fā)起業(yè)務(wù)承載的建立;HSS中的集群用戶服務(wù)器(Trunking Subscriber Server, TSS)用于存儲和管理于集群業(yè)務(wù)相關(guān)的組用戶信息?,F(xiàn)有的基于TD-LTE的集群通信系統(tǒng)為實(shí)現(xiàn)組呼業(yè)務(wù),在原TD-LTE系統(tǒng)中增加了三個下行邏輯信道集群尋呼控制信道��,集群控制信道和集群業(yè)務(wù)信道�。其中,集群尋呼控制信道攜帶集群尋呼消息�,用于通知終端需要建立的組呼、相應(yīng)的物理參數(shù)等�;集群控制信道攜帶集群呼叫建立請求消息����、下行集群信息傳輸消息���、組呼釋放請求消息等控制信息���;集群業(yè)務(wù)信道為一個群組傳遞業(yè)務(wù)信息的下行信道。現(xiàn)有的基于TD-LTE集群通信系統(tǒng)利用現(xiàn)有的標(biāo)準(zhǔn)TD-LTE安全機(jī)制實(shí)現(xiàn)點(diǎn)到點(diǎn)的安全機(jī)制�����,包括終端與MME之間的非接入層(NonAccess Stratum, NAS)信令完整性保護(hù)和加密�����、終端與eNB之間的無線資源控制(Radio ResourceControl, RRC)信令的完整性保護(hù)和加密����、用戶面的加密。在實(shí)現(xiàn)組呼加密時�����,現(xiàn)有的基于TD-LTE集群通信系統(tǒng)僅對上行組呼信道進(jìn)行加密,也就是利用現(xiàn)有的標(biāo)準(zhǔn)TD-LTE安全機(jī)制對主叫終端與MME之間的信道和主叫終端與eNB之間的信道進(jìn)行加密��,實(shí)現(xiàn)TD-LTE點(diǎn)到點(diǎn)安全機(jī)制�,但現(xiàn)有的TD-LTE集群通信系統(tǒng)無法對下行組呼信道進(jìn)行加密,降低了組呼業(yè)務(wù)的安全性���。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明的發(fā)明目的在于提供一種基于TD-LTE集群通信系統(tǒng)的加密組呼方法,該方法能夠?qū)崿F(xiàn)下行組呼加密����,提高組呼的安全性。為達(dá)到上述目的����,本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的一種基于TD-LTE集群通信系統(tǒng)的加密組呼方法,該方法包括A���、終端與網(wǎng)絡(luò)側(cè)建立連接���,并根據(jù)標(biāo)準(zhǔn)TD-LTE安全機(jī)制建立終端與eNB、終端與 MME之間點(diǎn)到點(diǎn)的安全信道���;B���、主叫終端向網(wǎng)絡(luò)側(cè)發(fā)送組呼請求消息���,請求建立組呼呼叫;網(wǎng)絡(luò)側(cè)確定允許主叫終端的組呼后生成會話密鑰GIK�,根據(jù)預(yù)置的組密鑰及GIK生成種子密鑰GKasme ;C�����、網(wǎng)絡(luò)側(cè)為主叫終端分配上行鏈路資源���,建立無線承載����、Sl承載及主叫終端的組呼上行安全機(jī)制���;同時���,網(wǎng)絡(luò)側(cè)為本次呼叫的所有被叫終端中屬于同一小區(qū)的被叫終端分配共享的下行鏈路資源和GIK,所述被叫終端根據(jù)GIK及預(yù)置的組密鑰生成種子密鑰,網(wǎng)絡(luò)側(cè)與所述被叫終端建立組呼下行鏈接����,根據(jù)GIK及種子密鑰建立組呼下行安全機(jī)制;D��、網(wǎng)絡(luò)側(cè)為主叫終端授予講話權(quán)���,并通知所述被叫終端���,完成組呼加密。較佳地����,所述步驟D之后還包含E���、主叫終端向網(wǎng)絡(luò)側(cè)發(fā)送話語權(quán)釋放請求消息�;網(wǎng)絡(luò)側(cè)根據(jù)接收到的話語權(quán)釋放請求消息產(chǎn)生新的GIK���,發(fā)送講話權(quán)釋放允許消息至主叫終端�,發(fā)送講話權(quán)釋放通知消息及新的GIK至所有被叫終端����。較佳地��,所述步驟D之后還包含F(xiàn)���、被叫終端發(fā)送講話權(quán)請求消息至網(wǎng)絡(luò)側(cè),網(wǎng)絡(luò)側(cè)根據(jù)話語權(quán)申請策略決定是否允許被叫終端獲得講話權(quán)���,如果是�,則將被叫終端作為新的主叫終端���,啟用新的GIK及其產(chǎn)生的新種子密鑰��,網(wǎng)絡(luò)側(cè)為新的主叫終端和新的被叫終端分配上行鏈路資源和下行鏈路資源��,執(zhí)行步驟D���,否則,拒絕被叫終端的講話權(quán)請求����。較佳地,所述步驟D之后還包含G�����、群組內(nèi)的終端更新時,網(wǎng)絡(luò)側(cè)改變?nèi)航M配置�,生成新的組密鑰,發(fā)送新的組密鑰及新組密鑰啟動時間至群組內(nèi)的終端���。上述方法中�,所述步驟B包含bl�、主叫終端向其所在的eNB發(fā)送組呼發(fā)起請求消息;b2��、主叫終端所在的eNB向MME轉(zhuǎn)發(fā)主叫終端的組呼發(fā)起請求消息���;b3�����、MME向HSS發(fā)送組呼身份確定消息�;
b4�、HSS檢查主叫終端的身份和能力����,如允許組呼則實(shí)時產(chǎn)生GIK�����,并用預(yù)置的組密鑰和GIK生成GKasme �����;HSS向MME發(fā)送組呼允許消息�,該消息中至少包括GKASME��、GIK及組用戶信息�;b5、MME根據(jù)GKasme生成第一密鑰GKeNB���、用于組呼NAS消息加密保護(hù)的第二密鑰 GKNASenc和用于組呼NAS消息完整性保護(hù)的第三密鑰GKNASint�����,并創(chuàng)建組呼專有的S5/S8承載�����。上述方法中����,所述步驟C包含cUMME向主叫終端所在的eNB發(fā)送集群承載建立請求和組呼允許請求消息,該消息至少中攜帶有GIK和GKdffi;同時��,MME向群組內(nèi)的各eNB發(fā)送組呼下行資源分配消息����,該消息中至少攜帶有GIK及GKdffi ;c2����、主叫終端所在的eNB向主叫終端發(fā)送RRC連接重配置消息,該消息中攜帶GIK ��; 同時����,群組內(nèi)的各eNB根據(jù)GKdffi生成分層密鑰,在其所包含的每個小區(qū)中通過下行集群尋呼控制信道廣播組呼通知消息����,該消息中至少攜帶有已經(jīng)分配的下行鏈路共享資源描述和 GIK ;c3��、主叫終端根據(jù)標(biāo)準(zhǔn)TD-LTE安全機(jī)制建立與eNBl及MME之間的組呼上行安全機(jī)制���;被叫終端根據(jù)接收到的GIK�、預(yù)置的組密鑰生成GKasme���,根據(jù)GKasme生成GKNASm����。�����、GKNASint 和分層密鑰��,根據(jù)接收到的下行鏈路共享資源描述進(jìn)行配置��;c4����、主叫終端所在的eNB向MME發(fā)送集群承載建立響應(yīng)消息;同時群組內(nèi)的各eNB 向MME發(fā)送組呼下行建立成功消息�����;所述分層密鑰包括用于信令完整性保護(hù)的第四密鑰GKKKint�����、用于信令數(shù)據(jù)加密保護(hù)的第五密鑰GK··和用于用戶面加密保護(hù)的第六密鑰GKUEm。��。上述方法中����,所述步驟D包含dUMME向主叫終端所在的eNB發(fā)送講話權(quán)授予消息;同時�,MME向群組內(nèi)的各eNB 發(fā)送講話權(quán)通知消息,所述講話權(quán)通知消息中至少攜帶有組號碼以及主叫終端號碼����;d2、主叫終端所在的eNB向主叫終端發(fā)送講話權(quán)授予消息����;同時,群組內(nèi)的各eNB 利用GKKKint對講話權(quán)通知消息進(jìn)行完整性保護(hù)產(chǎn)生認(rèn)證碼����,利用GKKKten。對所述講話權(quán)通知消息和所述認(rèn)證碼加密����,并通過下行集群控制信道發(fā)送加密后的消息至被叫終端,該消息中至少攜帶有GIK、組號碼及主叫終端的號碼����;d3�����、被叫終端利用GKKKten�����。解密獲得所述消息和所述認(rèn)證碼�����,利用GKraiant對所述講話權(quán)通知消息進(jìn)行完整性保護(hù)得到驗(yàn)證碼����,比較驗(yàn)證碼與認(rèn)證碼是否一致,如一致則獲得 GIK�,將通過集群控制信道獲得的GIK與通過集群尋呼控制信道獲得的GIK進(jìn)行比較,如果一致則證明接收正確����,加入加密組呼;d4、主叫終端利用建立的點(diǎn)對點(diǎn)安全信道傳輸上行組呼數(shù)據(jù)至其所在的eNB ���;主叫終端所在的eNB將上行組呼數(shù)據(jù)明文傳送給S-GW ��;d5�、S-GW將組呼數(shù)據(jù)傳送給群組內(nèi)的各eNB ��;群組內(nèi)的各eNB利用GKUEen��。對下行組呼數(shù)據(jù)進(jìn)行加密�,并通過下行集群業(yè)務(wù)信道廣播加密后的下行組呼數(shù)據(jù);被叫終端接收到加密的下行組呼數(shù)據(jù)后�����,利用GKue■解密下行組呼數(shù)據(jù)��,并輸出解密后的下行組呼數(shù)據(jù)�。上述方法中,所述組密鑰包括組工作密鑰GWK和組識別碼GIC�����。上述方法中�����,所述步驟E包括el、主叫終端通過其所在的eNB發(fā)送講話權(quán)釋放請求消息給MME ����;
e2、MME確定釋放主叫終端的講話權(quán)后���,向主叫終端所在的eNB發(fā)送講話權(quán)釋放允許消息,并向HSS發(fā)送申請新的GIK消息�;e3、HSS根 據(jù)接收到的所述申請新的GIK消息實(shí)時地產(chǎn)生新的GIK����,并利用新的GIK 和預(yù)置的組密鑰生成新的GKasme,并向MME發(fā)送新的GKasme和新的GIK �;e4、MME根據(jù)新的GKasme生成新的第一密鑰GKeNB���、新的用于組呼NAS消息加密保護(hù)的第二密鑰GKNASen�。和新的用于組呼NAS消息完整性保護(hù)的第三密鑰GKNASint�����,并向群組內(nèi)的各eNB發(fā)送講話權(quán)釋放通知消息,該消息中至少攜帶有新的GIK和新的GKdffi �;同時,主叫終端所在的eNB向主叫終端發(fā)送講話權(quán)釋放允許消息���;e5�����、主叫終端根據(jù)講話權(quán)釋放允許消息釋放上行承載資源����;同時��,群組內(nèi)的各eNB 根據(jù)新的GKdffi生成新的分層密鑰����,通過下行集群尋呼控制信道的集群尋呼消息周期廣播新的GIK,同時通過下行集群控制信道發(fā)送講話權(quán)釋放通知消息至被叫終端��,所述講話權(quán)釋放通知消息中至少攜帶有新的GIK �;e6、被叫終端從下行集群控制信道發(fā)送的講話權(quán)釋放通知消息中獲得新的GIK��, 將其與從下行集群尋呼控制信道獲得的新的GIK進(jìn)行比較����,如一致則用新的GIK生成新的 GKasme及新的分層密鑰����;所述分層密鑰包括用于信令完整性保護(hù)的第四密鑰GKKKint���、用于信令數(shù)據(jù)加密保護(hù)的第五密鑰GK··和用于用戶面加密保護(hù)的第六密鑰GKUEm��。�����。上述方法中,所述步驟G包含gl��、HSS根據(jù)接收到的新組成員組密鑰更新請求消息生成新的組密鑰��,向MME發(fā)送新組成員更新通知消息����;所述新組成員組密鑰更新請求消息中攜帶有更新后的群組中的終端信息;所述新組成員更新通知消息中至少攜帶有更新后的群組中的終端信息���、新的組密鑰���;g2�����、MME確保和終端之間建立現(xiàn)有的標(biāo)準(zhǔn)TD-LTE安全機(jī)制���,并發(fā)送新的組密鑰更新消息給群組內(nèi)的各NBx,該消息中至少包含新的組密鑰和新組密鑰啟動時間�;g3、群組內(nèi)eNBx將新的組密鑰和新組密鑰啟動時間逐一發(fā)送給組內(nèi)終端�����;g4����、各終端接收并更新成功后通過群組內(nèi)的各eNB向MME發(fā)送更新成功消息;g5�、HSS根據(jù)MME反饋的更新成功消息,輸出此次成功更新組密鑰的終端信息��。上述方法中����,步驟gl所述生成新的組密鑰為生成新的組識別碼GIC��,將組工作密鑰GWK和新的GIC作為新的組密鑰�;或者生成新的GWK���,將GIC和新的GWK作為新的組密鑰�; 或者生成新的GIC和新的GWK�,將新的GIK和新的GWK作為新的組密鑰。由上述的技術(shù)方案可見�����,本發(fā)明提供的基于TD-LTE集群通信系統(tǒng)的加密組呼方法�,對組呼信道下行信令進(jìn)行完整性保護(hù)和加密保護(hù),對組呼信道下行業(yè)務(wù)信息進(jìn)行加密保護(hù)�����,而組呼上行信道保護(hù)仍采用TD-LTE標(biāo)準(zhǔn)的安全體制����;本發(fā)明的種子密鑰由組密鑰和會話密鑰共同產(chǎn)生�����,組密鑰可預(yù)置于HSS和終端中,會話密鑰由HSS根據(jù)每次PTT組呼通信實(shí)時產(chǎn)生���;通過分層密鑰技術(shù)利用種子密鑰產(chǎn)生多個用于組呼完整性保護(hù)的密鑰和多個用于組呼數(shù)據(jù)加密的密鑰�,以實(shí)現(xiàn)組呼下行信道信令的安全性和業(yè)務(wù)數(shù)據(jù)的安全性��,提高了組呼業(yè)務(wù)的安全性��;本發(fā)明的密碼算法和分層密鑰生成方法與TD-LTE安全體制一致��,具有較佳地兼容性�����。另外��,在群組內(nèi)的終端變更時可采用更新位數(shù)較小的組識別碼的方法����,大大減小了更新組密鑰的工作量,減小對系統(tǒng)的影響�����。
圖1為現(xiàn)有的基于TD-LTE集群通信系統(tǒng)的網(wǎng)絡(luò)架構(gòu)示意圖�����。圖2為本發(fā)明基于TD-LTE集群通信系統(tǒng)的加密組呼方法的流程圖。圖3為本發(fā)明加密組呼方法實(shí)施例中加密組呼建立過程的示意圖����。圖4為本發(fā)明加密組呼中主叫終端釋放講話權(quán)的方法流程5為本發(fā)明加密組呼中被叫終端申請講話權(quán)的方法流程圖。圖6為本發(fā)明加密組呼方法中組密鑰更新方法的流程圖���。
具體實(shí)施例方式為使本發(fā)明的目的��、技術(shù)方案�����、及優(yōu)點(diǎn)更加清楚明白����,以下參照附圖并舉實(shí)施例����, 對本發(fā)明進(jìn)一步詳細(xì)說明�����。圖2為本發(fā)明基于TD-LTE集群通信系統(tǒng)的加密組呼方法的流程圖。現(xiàn)結(jié)合圖2��, 對本發(fā)明基于TD-LTE集群通信系統(tǒng)的加密組呼方法進(jìn)行說明����,具體如下步驟201 終端與網(wǎng)絡(luò)側(cè)建立連接,并建立終端與eNB��、終端與MME之間點(diǎn)到點(diǎn)的安全信道��;終端開機(jī)����,執(zhí)行附著(Attach)過程,進(jìn)行網(wǎng)絡(luò)注冊�,建立缺省承載;終端進(jìn)行集群業(yè)務(wù)注冊����。該步驟為每個終端開機(jī)后必須執(zhí)行的步驟。Attach過程的具體實(shí)現(xiàn)為現(xiàn)有技術(shù)��,不再贅述��;缺省承載由終端與eNB之間的無線承載和eNB與S-GW之間的Sl承載。缺省承載建立完成后�����,終端利用非接入層(Non Access Stratum, NAS)消息向MME發(fā)送集群業(yè)務(wù)注冊請求消息����;MME通過與HSS的交互完成對終端的鑒權(quán),鑒權(quán)通過后完成集群業(yè)務(wù)注冊��,并向終端發(fā)送集群業(yè)務(wù)注冊接受消息��。MME對終端的鑒權(quán)屬于現(xiàn)有技術(shù)的內(nèi)容��,在此不再贅述��。當(dāng)注冊完成后�����,終端即處于連接狀態(tài)�;如果此后該終端較長時間未與網(wǎng)絡(luò)側(cè)進(jìn)行信息交互,則會進(jìn)入空閑狀態(tài)����,此時����,系統(tǒng)將刪除所建立的缺省承載中的無線承載和Si承載��。終端與網(wǎng)絡(luò)建立連接后��,根據(jù)現(xiàn)有的TD-LTE標(biāo)準(zhǔn)的安全體制�,建立終端與eNB�����、終端與MME之間點(diǎn)到點(diǎn)的安全信道���;建立的具體方法屬于現(xiàn)有技術(shù)的內(nèi)容����,在此不再贅述���。步驟202 主叫終端向網(wǎng)絡(luò)側(cè)發(fā)送組呼請求消息����,請求建立組呼呼叫���;網(wǎng)絡(luò)側(cè)確定允許主叫終端的組呼后生成種子密鑰����;本步驟中,主叫終端確定自身是否處于連接狀態(tài)����,如果是,則直接通過NAS消息向MME發(fā)送組呼請求消息���;如果不是�����,則首先發(fā)起隨機(jī)接入過程和RRC建立過程�����,完成與該主叫終端所在eNBl的上行同步���,并獲取用于發(fā)送組呼請求消息的信令承載資源,然后通過 NAS消息向MME發(fā)送組呼請求消息�����。上述具體實(shí)現(xiàn)過程屬于現(xiàn)有技術(shù)的內(nèi)容,在此不再贅述�����。MME接收到來自主叫終端的組呼請求消息后����,發(fā)送組呼身份確定消息至HSS����。HSS根據(jù)接收到的組呼身份確定消息,檢查主叫終端的身份和能力�����,如允許主叫終端的組呼請求�,則實(shí)時產(chǎn)生會話密鑰(Group Iession Key, GIK),并利用GIK和預(yù)置于HSS 的組密鑰一起生成種子密鑰GKasme,并發(fā)送GIK���、GKasme和組呼允許消息至MME�����。HSS可采用現(xiàn)有的密鑰生成方法利用GIK和組密鑰生成GKasme,具體方法在此不再贅述�。若HSS檢查主叫終端的身份和能力后確定主叫終端不具備組呼權(quán)限,則向MME發(fā)送拒絕組呼請求的消息���;MME拒絕主叫終端的組呼請求��,組呼結(jié)束��。HSS存儲的組密鑰包括組工作密鑰(Group Working Key, GffK)和組識別碼 (Group Identifier Code����,GIC) ����;HSS中存儲的對應(yīng)每一群組的GWK和GIC都不相同。本實(shí)施例中�����,GWK 可為 256bit��,GIC 為 32bit���。 本發(fā)明中密鑰生成方法(Key Derivation Function�,KDF)和密碼算法均與3GPP TS33. 401協(xié)議一致�����,在此不再贅述。步驟203 網(wǎng)絡(luò)側(cè)為主叫終端分配上行鏈路資源����,建立無線承載、Sl承載及主叫終端的組呼上行安全機(jī)制�����;同時�����,網(wǎng)絡(luò)側(cè)為本次呼叫的所有被叫終端中屬于同一小區(qū)的被叫終端分配共享的下行鏈路資源和GIK�����,被叫終端根據(jù)GIK及預(yù)置的組密鑰生成種子密鑰�,網(wǎng)絡(luò)側(cè)與被叫終端建立組呼下行鏈接�����,根據(jù)GIK及種子密鑰建立組呼下行安全機(jī)制���;MME接收到組呼允許消息后��,根據(jù)GKasme生成第一密鑰GK·�、第二密鑰GKNASm。和第三密鑰GKNASint�,并通過與S-GW的交互創(chuàng)建組呼專有的S5/S8承載。MME與S-GW交互創(chuàng)建組呼專有的S5/S8承載的方法屬于現(xiàn)有技術(shù)的內(nèi)容����,在此不再贅述。第二密鑰GKNASm����。用于組呼NAS消息的加解密,第三密鑰GKNASint用于組呼NAS消息的完整性保護(hù)���。MME指示主叫終端所在的eNBl為主叫終端分配上行鏈路資源����。主叫終端根據(jù)標(biāo)準(zhǔn)TD-LTE安全機(jī)制建立和eNBl��、MME間的加密上行組呼機(jī)制�����,也就是建立和主叫終端所在的eNBl、MME間點(diǎn)對點(diǎn)的安全信道��;具體建立方法屬于現(xiàn)有技術(shù)的內(nèi)容��,在此不再贅述����。主叫終端所在的eNBl向MME發(fā)送集群承載建立響應(yīng);MME建立Sl 承載�。MME建立Sl承載的方法為現(xiàn)有技術(shù)的內(nèi)容,在此不再贅述����。MME在指示主叫終端所在的eNBl為主叫終端分配上行鏈路資源的同時��,向群組內(nèi)的各eNB發(fā)送組呼下行資源分配消息����,該消息中攜帶有GKeNB和GIK,其中GKeNB止于群組內(nèi)的各eNB �����;群組內(nèi)的各eNB可用eNBx表示��,其中χ為大于等于1的整數(shù)。群組內(nèi)的eNBx根據(jù)GKdffi生成分層密鑰���,通過下行集群尋呼控制信道廣播組呼下行資源分配消息����,該消息中攜帶GIK�����。所有被叫終端接收到組呼下行資源分配消息后�,為組呼業(yè)務(wù)分配下行資源,并利用預(yù)置的組密鑰���、GIK生成GKasme,利用GKasme生成GKem和分層密鑰��、GKNASen����。和GKNASint����。eNBx 向MME返回組呼下行連接建立成功消息;MME建立Sl承載;建立Sl承載的方法為現(xiàn)有技術(shù)的內(nèi)容���,在此不再贅述�����。所有被叫終端利用接收到的GIK����、預(yù)置的GWK和預(yù)置的GIC生成 GKasme�,利用GK應(yīng)生成GKeNB、 GKnas enc 禾口 GKnas 加��, 再根據(jù)GKdffi生成分層密鑰��。至此���,完成了網(wǎng)絡(luò)側(cè)和被叫終端間組呼下行鏈接的建立和組呼下行安全機(jī)制的建立。群組內(nèi)各eNBx利用GKdffi生成的分層密鑰包括第四密鑰GKKKCint��、第五密鑰GKKKten�����。和第六密鑰GKue·。第四密鑰GKmiant用于信令完整性保護(hù)���,比如用于組呼RRC信令的完整性保護(hù)�����;第五密鑰GK··用于信令數(shù)據(jù)加密保護(hù)�,比如用于組呼RRC信令和認(rèn)證碼的加解密�����; 第六密鑰GKUEm����。用于用戶面加密保護(hù),比如用于組呼用戶業(yè)務(wù)數(shù)據(jù)的加解密��。密鑰生成方法�、密鑰算法等屬于現(xiàn)有技術(shù)的內(nèi)容,在此不再贅述����。步驟202至步驟203完成了基于TD-LTE集群通信系統(tǒng)的組呼加密安全的建立。步驟204 網(wǎng)絡(luò)側(cè)為主叫終端授予講話權(quán)���,并通知被叫終端���,完成組呼加密��。
MME確認(rèn)收到eNBx中任一 eNB返回的確認(rèn)消息�,且確認(rèn)已經(jīng)建立了 Sl承載�����,則通過主叫終端所在的eNBl向主叫終端發(fā)送講話權(quán)授予消息���,授予主叫終端組呼講話權(quán)���。主叫終端接收到講話權(quán)授予消息后可發(fā)言。同時���,MME向返回確認(rèn)消息的eNBx發(fā)送講話權(quán)通知消息�����;eNBx通過下行集群控制信道向其所包含的被叫終端發(fā)送利用分層密鑰保護(hù)的講話權(quán)通知消息,該消息中攜帶有GIK;被叫終端利用分層密鑰解密和認(rèn)證接收到的講話權(quán)通知消息獲得GIK���,并與通過集群尋呼控制信道接收到的GIK進(jìn)行比較���,如果一致則證明接收正確���,否則重新接收并上報MME備案。至此�,主叫終端即可進(jìn)入正常的加密組呼的通信過程。主叫終端利用標(biāo)準(zhǔn)TD-LTE安全建立的點(diǎn)對點(diǎn)安全信道將上行組呼數(shù)據(jù)發(fā)送到 eNBl����,后者將上行組呼數(shù)據(jù)明文傳送給S-GW。S-GW將組呼數(shù)據(jù)傳送給群組內(nèi)的eNBx���。群組內(nèi)的eNBx利用第六密鑰對下行組呼數(shù)據(jù)進(jìn)行加密�,并通過下行集群業(yè)務(wù)信道廣播加密后的下行組呼數(shù)據(jù)�。被叫終端接收到加密的下行組呼數(shù)據(jù)后,利用第六密鑰解密下行組呼數(shù)據(jù)���,并輸出解密后的下行組呼數(shù)據(jù)����。主叫終端和eNB 1的RRC信令�����,主叫終端和MME之間NAS信令,被叫終端和對應(yīng)的 eNB之間的RRC信令����,被叫終端和MME之間NAS信令,均采用根據(jù)標(biāo)準(zhǔn)TD-LTE安全機(jī)制建立的點(diǎn)對點(diǎn)安全信道進(jìn)行傳輸�,點(diǎn)對點(diǎn)的安全信道用于安全傳輸話語權(quán)申請、話語權(quán)釋放等點(diǎn)對點(diǎn)的信令�����。在加密組呼進(jìn)行過程中����,主叫終端可以請求釋放講話權(quán),具體為步驟204之后還包含主叫終端向網(wǎng)絡(luò)側(cè)發(fā)送話語權(quán)釋放請求消息�����;網(wǎng)絡(luò)側(cè)根據(jù)接收到的話語權(quán)釋放請求消息產(chǎn)生新的GIK����,發(fā)送講話權(quán)釋放允許消息至主叫終端,發(fā)送講話權(quán)釋放通知消息及新的GIK至所有被叫終端����。所述發(fā)送至主叫終端的講話權(quán)釋放允許消息中至少攜帶有新的GIK。在加密組呼進(jìn)行過程中��,被叫終端可以申請?jiān)捳Z權(quán)�,現(xiàn)以被叫終端UE2為例進(jìn)行說明,具體為被叫終端UE2發(fā)送講話權(quán)請求消息至網(wǎng)絡(luò)側(cè)����,網(wǎng)絡(luò)側(cè)根據(jù)話語權(quán)申請策略決定是否允許被叫終端UE2獲得講話權(quán),如果是�����,則將被叫終端UE2作為新的主叫終端�����,啟用新的 GIK及其產(chǎn)生的新種子密鑰���,網(wǎng)絡(luò)側(cè)按照步驟203的方法為新的主叫終端和新的被叫終端分配上行鏈路資源和下行鏈路資源�����,而不再分配實(shí)時產(chǎn)生的GIK�����,之后執(zhí)行步驟204�,否則, 拒絕被叫終端UE2的講話權(quán)請求����。話語權(quán)申請策略為現(xiàn)有的TD-LTE集群通信系統(tǒng)中確定講話權(quán)的方法,在此不再贅述�。被叫終端可以在加密組呼過程的任意時間申請?jiān)捳Z權(quán),但是���,僅在原主叫終端釋放話語權(quán)之后���,被叫終端才有可能獲得話語權(quán),成為新的主叫終端�����;因此��,所述新的GIK為主叫終端釋放話語權(quán)時產(chǎn)生并分發(fā)至組內(nèi)的被叫終端���。在主叫終端與網(wǎng)絡(luò)側(cè)建立了加密組呼后�,當(dāng)群組內(nèi)的被叫終端更新時,比如有新的終端加入了該群組���,或有群組內(nèi)的被叫終端離開了該群組�,為了保證前向保密性和后向保密性����,也就是為了防止已離開終端能夠正確解密當(dāng)前的組通信的機(jī)密信息和防止新組員能夠正確解密其得到的前群組的組呼機(jī)密信息��,需要及時更新該群組的組密鑰�,具體如下步驟204之后還包括群組內(nèi)的終端更新時,網(wǎng)絡(luò)側(cè)改變?nèi)航M配置�����,生成新的組密鑰��,發(fā)送新的組密鑰及新組密鑰啟動時間至群組內(nèi)的終端�。本發(fā)明的生成新的組密鑰為生成新的GIC,將GWK和新的GIC作為新的組密鑰�����;或者生成新的GWK,將GIC和新的GWK作為新的組密鑰��;或者生成新的GIC和新的GWK����,將新的GIC和新的GWK作為新的組密鑰。為了減小更新組密鑰的工作量和對系統(tǒng)的影響���,較佳地�,可只對長度字節(jié)較少的GIC進(jìn)行更新�, 定期更新GWK,而對長度字節(jié)較大的GWK的更新周期要大于GIC的更新周期�。圖3為本發(fā)明加密組呼方法實(shí)施例中加密組呼建立過程的示意圖����。如圖3所示, A部分對應(yīng)于步驟201����,B部分對應(yīng)于步驟202,C部分對應(yīng)于步驟203�����,D部分對應(yīng)于步驟 204。A部分僅以主叫終端為例進(jìn)行說明��,被叫終端建立連接的方法與主叫終端相同�����,不再贅述�。具體包括301,終端執(zhí)行普通附著�����;302�����,終端通過其所在的eNB發(fā)送集群業(yè)務(wù)注冊請求消息至MME �����;303, MME與HSS進(jìn)行交互完成對終端的鑒權(quán)�;304�,MME通過eNB向終端發(fā)送集群業(yè)務(wù)注冊接受消息。上述內(nèi)容屬于現(xiàn)有技術(shù)的內(nèi)容����,在此不再贅述�����。B部分具體實(shí)現(xiàn)包括305�、主叫終端向eNBl發(fā)送組呼發(fā)起請求消息��;如果發(fā)起組呼呼叫時�,主叫終端處于連接狀態(tài),則當(dāng)用戶輸入組號碼����、按下PTT鍵時,主叫終端直接利用NAS消息通過所在的eNBl向MME發(fā)送組呼請求消息�����;若發(fā)起組呼呼叫時�,主叫終端處于空閑狀態(tài),則主叫終端首先發(fā)起隨機(jī)接入過程和RRC建立過程����,通過這兩個過程,主叫終端建立與所在的eNBl的上行同步����,獲得發(fā)送組呼請求消息的信令承載消息���,然后通過NAS消息向MME發(fā)送組呼請求消息。組呼請求消息中可攜帶由主叫終端號碼���、 組號碼�����、緊急標(biāo)識����、業(yè)務(wù)類型以及呼叫類型等參數(shù)��。上述隨機(jī)接入過程和RRC建立過程的具體實(shí)現(xiàn)方式為現(xiàn)有技術(shù)的內(nèi)容����,在此不再贅述��。306�����、eNBl向MME轉(zhuǎn)發(fā)主叫終端的組呼發(fā)起請求消息。307�、MME向HSS發(fā)送組呼身份確定消息。308�、HSS檢查主叫終端的身份和能力,如允許則HSS實(shí)時產(chǎn)生GIK�,并用GWK、GIC 和GIK生成GKasme,然后向MME發(fā)送組呼允許消息�,該消息中至少包括GKASME、GIK及組用戶信息��;組用戶信息包括組呼區(qū)域內(nèi)所有終端所在的eNB列表�、組播IP地址以及組優(yōu)先級等參數(shù)。如果主叫終端沒有通過身份檢查�����,MME向主叫終端返回拒絕組呼業(yè)務(wù)請求的消息��,組呼結(jié)束��。309�、MME根據(jù)GKasme生成第一密鑰GKeffl、用于組呼NAS消息加密保護(hù)的第二密鑰 GKNASenc和用于組呼NAS消息完整性保護(hù)的第三密鑰GKNASint��,創(chuàng)建組呼專有的S5/S8承載���。MME根據(jù)GKasme生成上述密鑰的方法屬于現(xiàn)有技術(shù)的內(nèi)容����,在此不再贅述。 本發(fā)明中的S-GW集成了 P-GW�����,MME通過與S-GW間的交互獲得各個eNBx的S-GW Sl-TEID����,S5/S8承載建立完成。MME具體創(chuàng)建組呼專有的S5/S8承載的方法屬于現(xiàn)有技術(shù)的內(nèi)容�,在此不再贅述。C部分包括組呼上行安全機(jī)制的建立和組呼下行安全機(jī)制的建立�;其中,步驟310 至步驟314為建立組呼上行安全機(jī)制���,該部分內(nèi)容為現(xiàn)有技術(shù)的內(nèi)容,在此不再贅述��;步驟 315至步驟320為建立組呼下行安全機(jī)制��。上述步驟中��,步驟310與步驟315、步驟311與步驟316�、步驟312與步驟317、步驟313與步驟318�、步驟314與步驟319分別同時進(jìn)行,具體為
310.MME向主叫終端所在的eNBl發(fā)送集群承載建立請求和組呼允許請求消息���,該消息中至少攜帶有GIK及GK_�,還可攜帶主叫終端號碼��、組號碼��、優(yōu)先級���、與主叫終端所在的eNBl對應(yīng)的S-GW S1-TEID��、組播IP地址等參數(shù)�����。311�、主叫終端所在的eNBl向主叫終端發(fā)送RRC連接重配置消息�,來修改已經(jīng)建立的RRC連接,完成無線承載的建立��;所述RRC連接重配置消息攜帶有上行鏈路資源描述、GIK 以及其它相關(guān)配置信息��,上行鏈路資源描述可為物理信道配置��。312�、主叫終端根據(jù)接收到的上行鏈路資源描述和相關(guān)配置信息等配置各層參數(shù)后,根據(jù)標(biāo)準(zhǔn)TD-LTE安全機(jī)制建立與主叫終端所在的eNBl間的組呼上行安全機(jī)制����,也就是通過建立的點(diǎn)對點(diǎn)安全信道發(fā)送RRC連接重配置完成消息至其所在的eNBl,確認(rèn)無線承載建立�����。313�、主叫終端所在的eNBl利用標(biāo)準(zhǔn)TD-LTE安全機(jī)制接收RRC連接重配置完成消息,向MME發(fā)送集群承載建立響應(yīng)消息�,該消息中攜帶有主叫終端所在的eNBl為本次呼叫分配的 eNBlSl-TEID。314�、MEE通過與S-GW間的交互建立Sl承載;具體地�����,MME向S-GW發(fā)送修改集群承載請求消息�,該消息中攜帶有主叫終端所在的eNBl為本次呼叫分配的eNBlSl-TEID ;S-Gff 記錄 eNBlSl-TEID 與 S-GW S1-TEID����、以及 S-GWS1-TEID 與 S-GW S5/S8-TEID 之間的映射關(guān)系,向MME返回修改集群承載響應(yīng)消息����,至此,確認(rèn)Sl承載建立完成��。具體建立Sl承載的方法為現(xiàn)有技術(shù)的內(nèi)容�,在此不再贅述。315�����、MME向群組內(nèi)的eNBx發(fā)送組呼下行資源分配消息�,指示eNBx在所其包含的小區(qū)中為被叫終端分配下行鏈路共享資源;該組呼下行資源分配消息中至少攜帶有GIK及 GKeNB��,還可攜帶有組號碼等參數(shù)��。群組內(nèi)的eNBx包括主叫終端所在的eNBl����。316����、群組內(nèi)的eNBx根據(jù)GKdffi生成分層密鑰���,將分配的下行鏈路共享資源通過下行集群尋呼控制信道廣播組呼通知消息�,以通知小區(qū)內(nèi)的被叫終端�����;該組呼通知消息中至少攜帶有已經(jīng)分配的下行鏈路共享資源描述和GIK���,還可攜帶有組號碼等參數(shù)����。317��、被叫終端根據(jù)接收到的GIK���、預(yù)置的GIC和預(yù)置的GWK生成種子密鑰GKasme,根據(jù)種子密鑰生成二密鑰GKNASm���。��、第三密鑰GKNASint��、第四密鑰GKKKint、第五密鑰GK· �����。 和第六密鑰GKue■���;根據(jù)接收到的下行鏈路共享資源描述等信息進(jìn)行配置���,配置完成后隨即加入到加密組呼中。318�����、群組中的eNBx向MME發(fā)送組呼下行建立成功消息��。319,MEE通過與S-GW間的交互建立Sl承載��;具體地���,MME向S-GW發(fā)送修改集群承載請求消息�,該消息中攜帶有被叫終端所在的eNBx為本次呼叫分配的eNBx Sl-TEID ;S-Gff 記錄 eNBx Sl-TEID 與 S-GW S1-TEID����、以及 S-GW S1-TEID 與 S-GW S5/S8-TEID 之間的映射關(guān)系,向MME返回修改集群承載響應(yīng)消息���,至此�,確認(rèn)Sl承載建立完成����。具體建立Sl承載的方法為現(xiàn)有技術(shù)的內(nèi)容,在此不再贅述�。D部分包括MME與主叫終端間的交互和MME與被叫終端間的交互,其中��,步驟320 和步驟322��、步驟321和步驟323分別同時執(zhí)行�,具體為320、MME向主叫終端所在的eNBl發(fā)送講話權(quán)授予消息��,向主叫終端授予講話權(quán)�����, 消息中至少攜帶有組號碼,還可攜帶有組播IP地址等參數(shù)�����。321����、eNBl向主叫終端發(fā)送講話權(quán)授予消息����。
322、MME向eNBx發(fā)送講話權(quán)通知消息�����,講話權(quán)通知消息至少攜帶有組號碼以及主叫終端號碼��。323����、群組內(nèi)的eNBx利用分層密鑰加密保護(hù)講話權(quán)通知消息并通過下行集群控制信道發(fā)送至被叫終端,所述講話權(quán)通知消消息中攜帶有GIK��、組號碼及主叫終端的號碼�; 具體地�,群組內(nèi)的各eNB利用GKraiant對講話權(quán)通知消息進(jìn)行完整性保護(hù)產(chǎn)生認(rèn)證碼�,利用 GKEECenc對所述講話權(quán)通知消息和所述認(rèn)證碼加密。
324��、被叫終端利用分層密鑰解密認(rèn)證接收到的消息獲得GIK�����,將通過集群控制信道獲得的GIK與通過集群尋呼控制信道獲得的GIK進(jìn)行比較��,如果一致則證明接收正確����,力口入加密組呼;否則重新接收并上報MME備案�����;被叫終端利用分層密鑰解密認(rèn)證接收到的消息獲得GIK具體為被叫終端利用GK··解密獲得所述消息和所述認(rèn)證碼��,利用GKmiant得到消息的驗(yàn)證碼并與認(rèn)證碼比較�,如一致則獲得GIK。325�、主叫終端利用建立的點(diǎn)對點(diǎn)安全信道傳輸上行組呼數(shù)據(jù)至其所在的eNBl。326���、主叫終端所在的eNBl上行組呼數(shù)據(jù)明文傳送給S_GW�����。327����、S-Gff將組呼數(shù)據(jù)傳送給群組內(nèi)的eNBx。328����、群組內(nèi)的eNBx利用分層密鑰對下行組呼數(shù)據(jù)進(jìn)行加密�����,并通過下行集群業(yè)務(wù)信道廣播加密后的下行組呼數(shù)據(jù)��;具體地���,群組內(nèi)的各eNB利用GKufen��。對下行組呼數(shù)據(jù)進(jìn)行加密���。329�����、被叫終端接收到加密的下行組呼數(shù)據(jù)后�����,利用分層密鑰解密下行組呼數(shù)據(jù)��, 并輸出解密后的下行組呼數(shù)據(jù)�;具體地��,被叫終端利用GKue■解密下行組呼數(shù)據(jù)�����。圖4為本發(fā)明加密組呼中主叫終端釋放講話權(quán)的方法流程圖?��,F(xiàn)結(jié)合圖4���,對本發(fā)明加密組呼中主叫終端釋放講話權(quán)的方法進(jìn)行說明,步驟403與步驟404����、步驟406和步驟 407�、步驟408與步驟409分別同時執(zhí)行����。具體如下401、主叫終端發(fā)送講話權(quán)釋放請求消息給其所在的eNBl ��;采用由標(biāo)準(zhǔn)TD-LTE安全機(jī)制建立的點(diǎn)對點(diǎn)安全信道對講話權(quán)釋放請求消息進(jìn)行安全性保護(hù)�����。402�����、主叫終端所在的eNBl將接收到的講話權(quán)釋放消息發(fā)送給MME��。403��、MME確定釋放主叫終端的講話權(quán)后��,向HSS發(fā)送申請新的GIK消息�����;此處��,群組內(nèi)的終端并未發(fā)生改變�����,只是講話權(quán)發(fā)生改變��,此時無需更新組密鑰����,只需更新GIK ;由于更新了 GIK��,種子密鑰GKasme也被更新�。404、HSS根據(jù)接收到的請求消息實(shí)時地產(chǎn)生新的GIK����,并利用新的GIK、預(yù)置的GWK 和預(yù)置的GIC��,生成新的GKasme,向MME發(fā)送新的GKasme和新的GIK��。405.MME向主叫終端所在的eNBl發(fā)送講話權(quán)釋放允許消息�����;所述講話權(quán)釋放允許消息中至少攜帶有新的GIK和新的GKasme。406�、主叫終端所在的eNBl發(fā)送講話權(quán)釋放允許消息至主叫終端,通知主叫終端釋放上行承載資源�����。所述講話權(quán)釋放允許消息中至少攜帶有新的GIK�����。407,MME根據(jù)新的GKasme生成新的GKeNB�、新的GKNASen。和新的GKNASint��,并向群組內(nèi)的 eNBx發(fā)送講話權(quán)釋放通知消息��,該消息至少攜帶有新的GIK和新的GK_�����。408�����、主叫終端根據(jù)講話權(quán)釋放允許消息釋放上行承載資源��。409����、群組內(nèi)的eNBx根據(jù)新的GKeNB生成新的分層密鑰,并發(fā)送講話權(quán)釋放通知消息至被叫終端�����;具體地����,群組內(nèi)的eNBx通過下行集群尋呼控制信道的集群尋呼消息周期廣播新的GIK,同時通過下行集群控制信道發(fā)送講話權(quán)釋放通知消息至被叫終端���,該講話權(quán)釋放通知消息中攜帶有新的GIK�����。由于主叫終端請求釋放講話權(quán)是在本發(fā)明的TD-LTE集群通信系統(tǒng)已經(jīng)建立了組呼下行安全機(jī)制之后�����,因此��,群組內(nèi)的eNBx在輸出講話權(quán)釋放通知消息時可不對其加密��;若講話權(quán)釋放通知消息加密則可采用步驟323的方法�,在此不再贅述。410���、被叫終端從下行集群控制信道發(fā)送的講話權(quán)釋放通知消息中獲得新的GIK�, 將其與從下行集群尋呼控制信道獲得的新的GIK進(jìn)行比較����,如一致則用新的GIK生成新的 GKasme及新的分層密鑰;否則�����,重新接收并上報MME備案���。圖5為本發(fā)明加密組呼中被叫終端申請講話權(quán)的方法流程圖?�,F(xiàn)結(jié)合圖5及圖3�����, 以被叫終端UE2為例����,對本發(fā)明加密組呼中被叫終端申請講話權(quán)的方法進(jìn)行說明�����,具體如下被叫終端UE2與其所在的eNB2��、MME間講話權(quán)請求消息的發(fā)送符合標(biāo)準(zhǔn)TD-LTE安全機(jī)制����。501、被叫終端UE2發(fā)送講話權(quán)請求消息至其所在的eNB2�。502、被叫終端UE2所在的eNB2將講話權(quán)請求消息發(fā)送給MME�����。503�����、MME根據(jù)講話權(quán)申請策略決定是否允許被叫終端UE2獲得講話權(quán)�,且在允許后將被叫終端UE2作為新的主叫終端,啟用新的GIK及其產(chǎn)生的新的GKasme,按照圖3的C部分的方法為新的主叫終端和被叫終端分配上行鏈路資源和下行鏈路資源�����,執(zhí)行圖3的D部分。由于在講話權(quán)釋放的時候已經(jīng)獲得了新的種子密鑰和新的GIK��,此時MME無需再向HSS申請新的GIK����,只是啟用講話權(quán)釋放時獲得的新的種子密鑰和新的GIK。圖6為本發(fā)明加密組呼方法中組密鑰更新方法的流程圖?��,F(xiàn)結(jié)合圖6����,對本發(fā)明加密組呼方法中組密鑰更新方法進(jìn)行說明����,具體如下601、HSS根據(jù)接收到的新組成員組密鑰更新請求消息改變組配置生成新的組密鑰��;具體地�����,HSS根據(jù)接收到的新組成員組密鑰更新請求消息�;新組成員組密鑰更新請求消息中攜帶有更新后的群組中的終端信息��;HSS生成新的組密鑰為生成新的GIC���,將GWK和新的GIC作為新的組密鑰��;或者生成新的GWK�,將GIC和新的GWK作為新的組密鑰;或者生成新的GIC和新的GWK����,將新的GIC和新的GWK作為新的組密鑰。較佳地�,在群組成員發(fā)送改變時僅更新GIC,定期更新GWK����,且GWK的更新頻率遠(yuǎn)小于GIC的更新頻率。602�����、HSS向MME發(fā)送新組成員更新通知消息��,該消息中攜帶有更新后的群組中的終端信息和新的組密鑰�;為了保證群組內(nèi)的終端同時啟用新的組密鑰����,新組成員更新通知消息中還可包含新組密鑰啟動時間�。由于上述新的組密鑰在本發(fā)明已建立的安全信道內(nèi)傳輸,所以新的組密鑰可以不再加密��。603��、MME確保和終端之間建立現(xiàn)有的標(biāo)準(zhǔn)TD-LTE安全機(jī)制����,比如對于關(guān)機(jī)的用戶記錄在案,待其開機(jī)再發(fā)送密鑰更新消息��。604�����、MME發(fā)送新的組密鑰更新消息給群組內(nèi)的eNBx����,該消息中包含新的組密鑰和新組密鑰啟動時間。605�����、群組內(nèi)eNBx將新的組密鑰和新組密鑰啟動時間逐一發(fā)送給終端。606����、各終端接收并更新成功后向eNBx發(fā)送更新成功消息。607����、群組內(nèi)的eNBx向MME發(fā)送更新成功消息��。
608��、MME向HSS發(fā)送更新成功消息���,該更新成功消息中攜帶有此次成功更新組密鑰的終端信息����。609����、HSS根據(jù)MME反饋的更新成功消息,輸出此次成功更新組密鑰的終端信息�����,以將更新組密鑰的終端記錄在案。在群組內(nèi)成員發(fā)生變動時�����,可通過人工控制一代理HSS���,輸出新組成員組密鑰更新請求消息至HSS�����。 本發(fā)明的上述較佳實(shí)施例實(shí)現(xiàn)了基于TD-LTE集群通信系統(tǒng)的加密組呼�����,對組呼信道下行信令進(jìn)行完整性保護(hù)和加密保護(hù)��,對組呼信道下行業(yè)務(wù)信息進(jìn)行加密保護(hù)���,而組呼上行信道保護(hù)仍采用標(biāo)準(zhǔn)TD-LTE安全體制;本發(fā)明的由組工作密鑰��、組識別碼和實(shí)時產(chǎn)生的會話密鑰共同生成種子密鑰���,組密鑰保存在HSS和終端中��,會話密鑰由HSS根據(jù)每次 PTT組呼通信實(shí)時產(chǎn)生�;由種子密鑰通過分層密鑰技術(shù)產(chǎn)生多個組呼加密密鑰,來實(shí)現(xiàn)對組呼下行信道信令的安全性和業(yè)務(wù)數(shù)據(jù)的安全性保護(hù)���;本發(fā)明中的密碼算法���、分層密鑰生成方法和密碼同步與TD-LTE安全體制一致,實(shí)現(xiàn)了較佳地兼容性����。當(dāng)群組成員變動時,本發(fā)明的加密組呼方法只需更新組識別碼����,而組工作密鑰的更換周期可以很長�����,這種密鑰更新方法大大減小了更新組密鑰的工作量����,減小對系統(tǒng)的影響。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改���、等同替換、改進(jìn)等���,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)��。
權(quán)利要求
1.一種基于TD-LTE集群通信系統(tǒng)的加密組呼方法���,其特征在于,該方法包括A�、終端與網(wǎng)絡(luò)側(cè)建立連接,并根據(jù)標(biāo)準(zhǔn)TD-LTE安全機(jī)制建立終端與eNB�����、終端與MME之間點(diǎn)到點(diǎn)的安全信道�;B��、主叫終端向網(wǎng)絡(luò)側(cè)發(fā)送組呼請求消息���,請求建立組呼呼叫;網(wǎng)絡(luò)側(cè)確定允許主叫終端的組呼后生成會話密鑰GIK��,根據(jù)預(yù)置的組密鑰及GIK生成種子密鑰GKasme �;C、網(wǎng)絡(luò)側(cè)為主叫終端分配上行鏈路資源���,建立無線承載���、Sl承載及主叫終端的組呼上行安全機(jī)制;同時����,網(wǎng)絡(luò)側(cè)為本次呼叫的所有被叫終端中屬于同一小區(qū)的被叫終端分配共享的下行鏈路資源和GIK,所述被叫終端根據(jù)GIK及預(yù)置的組密鑰生成種子密鑰��,網(wǎng)絡(luò)側(cè)與所述被叫終端建立組呼下行鏈接�����,根據(jù)GIK及種子密鑰建立組呼下行安全機(jī)制����;D、網(wǎng)絡(luò)側(cè)為主叫終端授予講話權(quán)���,并通知所述被叫終端����,完成組呼加密��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述步驟D之后還包含E、主叫終端向網(wǎng)絡(luò)側(cè)發(fā)送話語權(quán)釋放請求消息����;網(wǎng)絡(luò)側(cè)根據(jù)接收到的話語權(quán)釋放請求消息產(chǎn)生新的GIK,發(fā)送講話權(quán)釋放允許消息至主叫終端���,發(fā)送講話權(quán)釋放通知消息及新的 GIK至所有被叫終端�����。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述步驟D之后還包含F(xiàn)、被叫終端發(fā)送講話權(quán)請求消息至網(wǎng)絡(luò)側(cè)�,網(wǎng)絡(luò)側(cè)根據(jù)話語權(quán)申請策略決定是否允許被叫終端獲得講話權(quán),如果是�����,則將被叫終端作為新的主叫終端����,啟用新的GIK及其產(chǎn)生的新種子密鑰,網(wǎng)絡(luò)側(cè)為新的主叫終端和新的被叫終端分配上行鏈路資源和下行鏈路資源��, 執(zhí)行步驟D�,否則,拒絕被叫終端的講話權(quán)請求���。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于,所述步驟D之后還包含G��、群組內(nèi)的終端更新時,網(wǎng)絡(luò)側(cè)改變?nèi)航M配置�����,生成新的組密鑰����,發(fā)送新的組密鑰及新組密鑰啟動時間至群組內(nèi)的終端。
5.根據(jù)權(quán)利要求1至4任一所述的方法����,其特征在于,所述步驟B包含bl�����、主叫終端向其所在的eNB發(fā)送組呼發(fā)起請求消息�;b2、主叫終端所在的eNB向MME轉(zhuǎn)發(fā)主叫終端的組呼發(fā)起請求消息�;b3、MME向HSS發(fā)送組呼身份確定消息����;b4、HSS檢查主叫終端的身份和能力��,如允許組呼則實(shí)時產(chǎn)生GIK,并用預(yù)置的組密鑰和GIK生成GKasme �;HSS向MME發(fā)送組呼允許消息,該消息中至少包括GKASME�����、GIK及組用戶信息�;b5、MME根據(jù)GKassie生成第一密鑰GKem���、用于組呼NAS消息加密保護(hù)的第二密鑰GKNASenc 和用于組呼NAS消息完整性保護(hù)的第三密鑰GKNASint�,并創(chuàng)建組呼專有的S5/S8承載�。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于����,所述步驟C包含cUMME向主叫終端所在的eNB發(fā)送集群承載建立請求和組呼允許請求消息,該消息至少中攜帶有GIK和GKdffi;同時�����,MME向群組內(nèi)的各eNB發(fā)送組呼下行資源分配消息��,該消息中至少攜帶有GIK及GK·;c2、主叫終端所在的eNB向主叫終端發(fā)送RRC連接重配置消息���,該消息中攜帶GIK ;同時��,群組內(nèi)的各eNB根據(jù)GKdffi生成分層密鑰����,在其所包含的每個小區(qū)中通過下行集群尋呼控制信道廣播組呼通知消息,該消息中至少攜帶有已經(jīng)分配的下行鏈路共享資源描述和 GIK �;c3、主叫終端根據(jù)標(biāo)準(zhǔn)TD-LTE安全機(jī)制建立與eNBl及MME之間的組呼上行安全機(jī)制��; 被叫終端根據(jù)接收到的GIK��、預(yù)置的組密鑰生成GKasme����,根據(jù)GKasme生成GKnas·、GKNASint和分層密鑰����,根據(jù)接收到的下行鏈路共享資源描述進(jìn)行配置;c4�����、主叫終端所在的eNB向MME發(fā)送集群承載建立響應(yīng)消息;同時群組內(nèi)的各eNB向ME 發(fā)送組呼下行建立成功消息�;所述分層密鑰包括用于信令完整性保護(hù)的第四密鑰GKraiant、用于信令數(shù)據(jù)加密保護(hù)的第五密鑰GK··和用于用戶面加密保護(hù)的第六密鑰GKUEm��。��。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于�,所述步驟D包含dl�����、MME向主叫終端所在的eNB發(fā)送講話權(quán)授予消息�;同時,MME向群組內(nèi)的各eNB發(fā)送講話權(quán)通知消息�����,所述講話權(quán)通知消息中至少攜帶有組號碼以及主叫終端號碼�;d2、主叫終端所在的eNB向主叫終端發(fā)送講話權(quán)授予消息�;同時,群組內(nèi)的各eNB利用 GKraiant對講話權(quán)通知消息進(jìn)行完整性保護(hù)產(chǎn)生認(rèn)證碼,利用GK··對所述講話權(quán)通知消息和所述認(rèn)證碼加密����,并通過下行集群控制信道發(fā)送加密后的消息至被叫終端,該消息中至少攜帶有GIK��、組號碼及主叫終端的號碼�;d3�、被叫終端利用GKKKten。解密獲得所述消息和所述認(rèn)證碼��,利用GKKKint對所述講話權(quán)通知消息進(jìn)行完整性保護(hù)得到驗(yàn)證碼�,比較驗(yàn)證碼與認(rèn)證碼是否一致,如一致則獲得GIK�, 將通過集群控制信道獲得的GIK與通過集群尋呼控制信道獲得的GIK進(jìn)行比較,如果一致則證明接收正確���,加入加密組呼����;d4�、主叫終端利用建立的點(diǎn)對點(diǎn)安全信道傳輸上行組呼數(shù)據(jù)至其所在的eNB ;主叫終端所在的eNB將上行組呼數(shù)據(jù)明文傳送給S-GW �����;d5、S-GW將組呼數(shù)據(jù)傳送給群組內(nèi)的各eNB �����;群組內(nèi)的各eNB利用GKUEen��。對下行組呼數(shù)據(jù)進(jìn)行加密�,并通過下行集群業(yè)務(wù)信道廣播加密后的下行組呼數(shù)據(jù);被叫終端接收到加密的下行組呼數(shù)據(jù)后��,利用GKue■解密下行組呼數(shù)據(jù)��,并輸出解密后的下行組呼數(shù)據(jù)����。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于�����,所述組密鑰包括組工作密鑰GWK和組識別碼 GIC��。
9.根據(jù)權(quán)利要求2所述的方法���,其特征在于�,所述步驟E包括 el、主叫終端通過其所在的eNB發(fā)送講話權(quán)釋放請求消息給MME ���;e2�、MME確定釋放主叫終端的講話權(quán)后�,向主叫終端所在的eNB發(fā)送講話權(quán)釋放允許消息,并向HSS發(fā)送申請新的GIK消息����;e3��、HSS根據(jù)接收到的所述申請新的GIK消息實(shí)時地產(chǎn)生新的GIK����,并利用新的GIK和預(yù)置的組密鑰生成新的GKasme,并向MME發(fā)送新的GKasme和新的GIK �;e4、MME根據(jù)新的GKasme生成新的第一密鑰GK_���、新的用于組呼NAS消息加密保護(hù)的第二密鑰GKNASen�。和新的用于組呼NAS消息完整性保護(hù)的第三密鑰GKNASint���,并向群組內(nèi)的各 eNB發(fā)送講話權(quán)釋放通知消息��,該消息中至少攜帶有新的GIK和新的GKdffi �;同時,主叫終端所在的eNB向主叫終端發(fā)送講話權(quán)釋放允許消息�;e5、主叫終端根據(jù)講話權(quán)釋放允許消息釋放上行承載資源�;同時,群組內(nèi)的各eNB根據(jù)新的GKdffi生成新的分層密鑰����,通過下行集群尋呼控制信道的集群尋呼消息周期廣播新的 GIK,同時通過下行集群控制信道發(fā)送講話權(quán)釋放通知消息至被叫終端,所述講話權(quán)釋放通知消息中至少攜帶有新的GIK;e6��、被叫終端從下行集群控制信道發(fā)送的講話權(quán)釋放通知消息中獲得新的GIK�����,將其與從下行集群尋呼控制信道獲得的新的GIK進(jìn)行比較���,如一致則用新的GIK生成新的GKasme及新的分層密鑰���;所述分層密鑰包括用于信令完整性保護(hù)的第四密鑰GKraiant、用于信令數(shù)據(jù)加密保護(hù)的第五密鑰GK··和用于用戶面加密保護(hù)的第六密鑰GKUEm����。����。
10.根據(jù)權(quán)利要求4所述的方法��,其特征在于���,所述步驟G包含gl�、HSS根據(jù)接收到的新組成員組密鑰更新請求消息生成新的組密鑰���,向MME發(fā)送新組成員更新通知消息�����;所述新組成員組密鑰更新請求消息中攜帶有更新后的群組中的終端信息;所述新組成員更新通知消息中至少攜帶有更新后的群組中的終端信息��、新的組密鑰�;g2、MME確保和終端之間建立現(xiàn)有的標(biāo)準(zhǔn)TD-LTE安全機(jī)制���,并發(fā)送新的組密鑰更新消息給群組內(nèi)的各NBx�,該消息中至少包含新的組密鑰和新組密鑰啟動時間; g3�、群組內(nèi)eNBx將新的組密鑰和新組密鑰啟動時間逐一發(fā)送給組內(nèi)終端; g4�、各終端接收并更新成功后通過群組內(nèi)的各eNB向MME發(fā)送更新成功消息; g5�、HSS根據(jù)MME反饋的更新成功消息,輸出此次成功更新組密鑰的終端信息���。
11.根據(jù)權(quán)利要求10所述的方法�����,其特征在于����,步驟gl所述生成新的組密鑰為生成新的組識別碼GIC�����,將組工作密鑰GWK和新的GIC作為新的組密鑰��;或者生成新的GWKJf GIC和新的GWK作為新的組密鑰��;或者生成新的GIC和新的GWK�,將新的GIK和新的GWK作為新的組密鑰�����。
全文摘要
本發(fā)明提供了一種基于TD-LTE集群通信系統(tǒng)的加密組呼方法����,該方法包括A��、建立終端與eNB�����、終端與MME之間點(diǎn)到點(diǎn)的安全信道����;B、主叫終端向網(wǎng)絡(luò)側(cè)請求建立組呼呼叫�;網(wǎng)絡(luò)側(cè)確定允許后生成會話密鑰,根據(jù)預(yù)置的組密鑰及會話密鑰生成種子密鑰�;C��、網(wǎng)絡(luò)側(cè)為主叫終端分配上行鏈路資源�,建立組呼上行安全機(jī)制,為本次呼叫的所有被叫終端分配下行鏈路資源和會話密鑰�����,被叫終端根據(jù)會話密鑰及預(yù)置的組密鑰生成種子密鑰,網(wǎng)絡(luò)側(cè)與被叫終端建立組呼下行鏈接及組呼下行安全機(jī)制�����;D����、網(wǎng)絡(luò)側(cè)為主叫終端授予講話權(quán),并通知所述被叫終端�,完成組呼加密。采用本發(fā)明的方法能夠?qū)崿F(xiàn)下行組呼加密�,提高組呼的安全性。
文檔編號H04W4/06GK102291680SQ20101021064
公開日2011年12月21日 申請日期2010年6月18日 優(yōu)先權(quán)日2010年6月18日
發(fā)明者萬建超, 喻煒, 朱鋒, 李瑞林, 王剛 申請人:普天信息技術(shù)研究院有限公司