专利名称:提高无线通信系统组播业务安全的方法及系统的制作方法
技术领域:
本发明涉及无线通信技术领域,尤其涉及一种组播密钥管理技术。
背景技术:
在通信系统中,为保证开展通信业务过程中的安全性,需要在业务交互信息中应用相应的密钥,例如,在无线通信系统中,需要针对开展的多播业务采用相应的多播密钥。
下面将以组播业务为例对组播密钥的管理及应用进行说明。
在组播业务开展过程中,需要使用的组播密钥主要分为两类(1)直接保护组播业务数据的数据加密密钥;(2)保护数据加密密钥分发至数据接收端的密钥加密密钥。
上述两类密钥在组播业务中的使用比较常见,其中所述的数据加密密钥直接用于对数据进行加解密,由于该密钥通常是使用广播信道进行分发,而且针对数据加密密钥的存储方式也容易被终端的用户获知,因此,为进一步保证通信过程的安全,便需要相对频繁地更新相应的数据加密密钥。
所述的密钥加密密钥则通常为采用单播信道进行分发,而且,由于不需要利用该密钥加密密钥直接对数据加密,所以可以将其存储在安全性较高的地方,例如,将其存储SIM(用户标识模块)卡中等。
在现有的3GPP和3GPP2等无线通信系统中,上述两类密钥是在数据高层控制点直接加密,这样,对于终端与高层控制点之间交互的信息可以利用上述两类密钥进行相应的保护,以保证交互信息的安全性。
由于现有的无线通信系统中,仅在高层控制点进行加密操作,因而,对于接入网与终端之间交互的信息的安全性无法得到很好的保证,例如,无法保证空口交互的会话信息、终端位置信息等内容的安全性。
发明内容
本发明的目的是提供一种提高无线通信系统组播业务安全的方法及系统,从而可以有效保证基站与用户终端之间交互的组播业务的安全。
本发明的目的是通过以下技术方案实现的本发明提供了一种提高无线通信系统组播业务安全的方法,包括A、在无线通信系统中,由密钥管理器将其生成的开展组播业务所需的密钥材料信息发送给基站;B、基站收到所述的密钥材料信息后,根据所述的密钥材料对基站与用户终端之间交互的空口组播业务进行加密处理。
所述的密钥材料包括授权密钥MAK及其相关参数、组播组通信加密密钥MGTEK及其相关参数、组播密钥加密密钥GKEK及其相关参数、组播组安全套件MBSGSA和/或组播通信密钥MTK及其相关参数。
所述的MAK及其相关参数包括MAK、MAK的剩余生命时间和/或MAK序列号。
所述的GKEK及其相关参数包括GKEK、GKEK序列号、GKEK标识符、GKEK剩余生命时间、基于密文的组播密钥更新消息认证码密钥CMAC_KEY_G和/或基于密文的组播密钥更新消息认证码包序列号CMAC_PN_G。
所述的MGTEK及其相关参数包括MGTEK、MGTEK剩余生命时间和/或MGTEK序列号。
所述的MBSGSA及其相关参数包括MBSGSA的标识符、MBSGSA的类型、MBSGSA的加密套件、MBSGSA的业务类型、基站记录的发出的下行包序列号、终端记录的收到的下行包序列号、旧的MGTEK参数和/或新的MGTEK参数。
所述的步骤A包括A1、密钥管理器生成包括MAK及其相关参数、MGTEK及其相关参数、GKEK及其参数和MBSGSA的密钥材料;或者,A2、密钥管理器生成包括MAK及其相关参数、MGTEK及其相关参数、GKEK及其参数、MBSGSA和MTK及其相关参数的密钥材料。
本发明中,当执行所述的步骤A1时,所述的步骤B还包括基站收到密钥管理器发来的密钥材料后,根据所述密钥材料生成MTK及其相关参数,并将生成的MTK及其相关参数和收到的密钥材料一起作为用于空口业务传输的密钥材料。
所述的方法还包括对密钥管理器生成的密钥材料的更新操作。
所述的方法还包括可以在密钥的剩余生命时间到期之前进行密钥材料的更新触发。
本发明还提供了一种在无线通信系统中提高组播业务安全性能的实现系统,包括密钥材料发送单元,设置于无线通信系统的密钥管理器中,用于将密钥管理器生成的开展组播业务所需的密钥材料信息发送给基站;安全处理单元,设置于无线通信系统的基站中,用于根据收到所述的密钥材料信息对基站与用户终端之间交互的空口组播业务进行加密处理。
所述的密钥材料包括
MAK及其相关参数、MGTEK及其相关参数、GKEK及其相关参数、MBSGSA和/或MTK及其相关参数。
本发明中,当密钥管理器生成的密钥材料为部分密钥材料时,则所述的系统还包括密钥信息生成单元,设置于无线通信系统的基站中,用于根据基站收到的部分密钥材料生成完整的密钥材料包括的其余密钥材料,并提供给安全处理单元。
所述的密钥信息生成单元包括MTK信息生成单元,用于根据收到的部分密钥材料生成MTK及相关参数信息,并提供给安全处理单元。
由上述本发明提供的技术方案可以看出,本发明的实现使得在WiMAX等无线通信系统中,基站可以获得空口业务传输需要的各密钥材料信息,从而可以有效保证空口业务的安全性,例如,可以保证用户终端的位置信息、会话信息等的安全。因此,本发明的实现可以有效保证无线通信系统中的空口组播业务的安全。
图1为本发明所述的方法的具体实现流程示意图一;图2为本发明所述的方法的具体实现流程示意图二图3为本发明所述的系统的具体实现结构示意图。
具体实施例方式
本发明提供的无线网络中的多播密钥管理方法的核心是在密钥材料初始生成和更新的时候,密钥管理器生成组播业务所需的密钥材料,并由密钥管理器向基站发送所述的密钥材料;这样,基站收到所述的密钥材料后,便可以根据所述的密钥材料对空口交互的组播业务进行加密处理。所述的密钥管理器为无线通信系统中负责密钥材料的生成、分发、更新和维护的实体。
以WiMAX网络为例中,所述的密钥材料包括以下至少一项(1)MAK(授权密钥)及其相关参数用于和MGTEK(组播组通信加密密钥)一起用来生成MTK(组播通信密钥),其由高层的组播业务提供商提供给对此业务授权的用户;具体包括MAK、MAK的剩余生命时间和MAK序列号;(2)MGTEK及其相关参数用于和MAK一起生成MTK,其由运营商的网络给被授权接入网络的用户或设备提供,具体包括MGTEK、MGTEK剩余生命时间和MGTEK序列号;(3)GKEK(组播密钥加密密钥)及其参数GKEK的作用是对MGTEK提供保护,对其加密,传至终端,具体包括GKEK、GKEK序列号、GKEK标识符、GKEK剩余生命时间、CMAC_KEY_G(基于密文的组播密钥更新消息认证码密钥)和CMAC_PN_G(基于密文的组播密钥更新消息认证码包序列号);(4)MBSGSA(组播组安全套件)及其相关参数用于在WiMAX网络中,专门为MBS(多播组播业务)提供组播的密钥和数据加密提供指明算法和加密模式,具体包括MBSGSA的标识符、MBSGSA的类型、MBSGSA的加密套件、MBSGSA的业务类型、基站记录的发出的下行包序列号、终端记录的收到的下行包序列号、旧的MGTEK参数、新的MGTEK参数;(5)MTK及其相关参数用于对空口的组播数据进行加密传输。
本发明中,初始生成密钥材料并下发的处理过程包括以下两种方式
(一)第一种实现方式如下首先,密钥管理器生成组播业务所需的密钥材料;在密钥管理器上生成的密钥材料包括组播业务授权密钥及其相关参数、组播业务密钥加密密钥及其相关参数、组播业务通信加密密钥及其参数、指明加密算法和加密模式的安全套件。
之后,由密钥管理器将密钥材料发送给基站;所述的密钥材料包括组播业务授权密钥及其相关参数、组播业务密钥加密密钥及其相关参数、组播业务通信加密密钥及其参数、指明加密算法和加密模式的安全套件。
最后,基站收到所述的密钥材料后,根据所述密钥材料需要生成开展组播业务需要的密钥材料中的其余密钥材料,如可以为MTK及其相关参数。
(二)第二种实现方式如下即相应的初始生成密钥材料并下发的处理过程中也可以包括首先,密钥管理器生成组播业务所需的密钥材料;在密钥管理器上生成的密钥材料包括组播业务授权密钥及其相关参数、组播业务密钥加密密钥及其相关参数、组播业务通信加密密钥及其参数、指明加密算法和加密模式的安全套件、MTK及其相关参数;即在密钥管理器中生成组播业务开展过程中需要的所有密钥材料。
之后,由密钥管理器将密钥材料发送给基站,所述的密钥材料包括组播业务密钥加密密钥及其相关参数、组播业务通信加密密钥及其参数、指明加密算法和加密模式的安全套件、MTK及其相关参数;由于这种方式下基站已经可以获得开展组播业务需要的所有密钥材料,所以在基站上无需再进行密钥材料的生成,只要直接利用密钥管理器发来的密钥材料即可以针对空口组播业务进行加密处理,保证组播业务的安全。
本发明中,为保证空口组播业务加密的可靠性,还需要对所述的密钥材料进行更新,相应的更新的触发条件可以在密钥的剩余生命时间到期之前,或者,也可以在其他设定的条件下触发。
密钥材料的更新处理过程与密钥材料的初始生成材料的处理过程相同,即仍由密钥管理器生成组播业务所需的密钥材料,并下发给基站,基站收到后,便可以为利用相应的密钥材料更新原来的密钥材料,也可以在基站上生成其它需要的密钥材料,如MTK及其相关参数等,然后,再更新相应的密钥材料信息。
为便于对本发明的理解,下面将结合附图对本发明应用于WiMAX网络中时的具体实现方式进行说明。
实施例一在该实施例中,提供了初始生成密钥材料的相应处理过程,且MTK在密钥管理器中生成,如图1所示,具体包括步骤11密钥管理器生成组播业务所需的密钥材料;所述的密钥材料包括MAK及其相关参数、MGTEK及其相关参数、GKEK及其参数、MBSGSA和/或MTK及其相关参数,其中所述的MAK及其相关参数包括MAK、MAK的剩余生命时间、MAK序列号;所述的MGTEK及其相关参数包括MGTEK、MGTEK剩余生命时间、MGTEK序列号;所述的GKEK及其相关参数包括GKEK、GKEK序列号、GKEK标识符、GKEK剩余生命时间、CMAC_KEY_G和CMAC_PN_G;所述的MBSGSA及其相关参数包括MBSGSA的标识符、MBSGSA的类型、MBSGSA的加密套件、MBSGSA的业务类型、基站记录的发出的下行包序列号、终端记录的收到的下行包序列号、旧的MGTEK参数和新的MGTEK参数;
所述的MTK及其相关参数包括由MGTEK和MAK共同生成的MTK、MTK的剩余生命时间、MTK序列号、加密方法和模式相关的初始向量和相关联的GKEK序列号;步骤12密钥管理器向基站发送其生成的密钥材料;其中,所述的密钥材料包括MGTEK及其相关参数、MGKEK及其参数、MBSGSA和MTK及其相关参数中的至少一项;这样,基站接收密钥管理器发来的密钥材料便可以利用其对空口组播业务进行加密操作。
实施例二在该实施例中,本发明提供了初始生成密钥材料的处理过程,而且MTK是在基站上生成,如图2所示,具体包括步骤21密钥管理器生成组播业务所需的密钥材料;所述的密钥材料包括MAK及其相关参数、MGTEK及其相关参数、GKEK及其参数、MBSGSA和MTK及其相关参数;其中,各密钥材料包含的具体信息参见实施例一,此处不再详述;步骤22密钥管理器向基站发送密钥材料;其中,所述的密钥材料包括MGTEK及其相关参数、MAK及其相关参数、MGKEK及其参数和MBSGSA;步骤23基站收到所述的密钥材料,并根据所述的密钥材料生成MTK及其相关参数信息;具体为根据MGTEK和MAK生成相应的MTK及其相关参数信息,包括MTK、MTK的剩余生命时间、MTK序列号、加密方法和模式相关的初始向量、相关联的GKEK序列号;这样,尽管密钥管理器生成的密钥材料不包括MTK及其相关参数,但在基站上可以生成,因此,基站仍可以获得开展组播业务需要的完整的密钥材料,以便于对空口组播业务进行加密操作。
本发明还提供了一种在无线通信系统中提高组播业务安全性能的实现系统,该系统的具体实现如图3所示,具体包括以下功能单元(1)密钥材料发送单元该单元设置于无线通信系统的密钥管理器中,用于将密钥管理器生成的开展组播业务所需的密钥材料信息发送给基站,即对空口组播加密所需要的各密钥材料信息;所述的密钥材料包括MAK及其相关参数、MGTEK及其相关参数、GKEK及其相关参数、MBSGSA和MTK及其相关参数中的至少一项。
(2)安全处理单元该单元设置于无线通信系统的基站中,用于根据收到所述的密钥材料信息对基站与用户终端之间交互的空口组播业务进行加密处理,即利用所述的密钥材料对空口传输的组播业务进行加密处理,从而可以保证空口组播业务的传输安全。
需要说明的是,用于开展组播业务需要的密钥材料可以完全由密钥管理器生成,并发送给基站,也可以由密钥管理器生成部分密钥材料,之后,由基站根据密钥管理器发来的部分密钥材料生成其余部分的密钥材料,从而使得基站可以获得完整的密钥材料;当密钥管理器生成的密钥材料为部分密钥材料,如不包括MTK及相关参数时,则所述的系统还包括(3)密钥信息生成单元该单元设置于无线通信系统的基站中,用于在基站中,根据基站收到的密钥材料生成完整的密钥材料包括的其余部分密钥材料信息,并提供给安全处理单元,从而使得安全处理单元可以获得完整的密钥材料,以便于利用该完整的密钥材料保证空口信息的安全;例如,所述的密钥信息生成单元可以包括MTK信息生成单元,用于生成在密钥管理器中未生成的MTK及其相关参数,并提供给安全处理单元。
综上所述,在WiMAX等无线通信系统中,基站可以获得空口业务传输需要的密钥材料,从而可以有效保证空口业务的安全性,例如,可以保证用户终端的位置信息、会话信息等的安全,本发明尤其适用于为无线通信系统中的空口组播业务提供安全保证。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种提高无线通信系统组播业务安全的方法,其特征在于,包括A、在无线通信系统中,由密钥管理器将其生成的开展组播业务所需的密钥材料信息发送给基站;B、基站收到所述的密钥材料信息后,根据所述的密钥材料对基站与用户终端之间交互的空口组播业务进行加密处理。
2.根据权利要求1所述的方法,其特征在于,所述的密钥材料包括授权密钥MAK及其相关参数、组播组通信加密密钥MGTEK及其相关参数、组播密钥加密密钥GKEK及其相关参数、组播组安全套件MBSGSA和/或组播通信密钥MTK及其相关参数。
3.根据权利要求2所述的方法,其特征在于,所述的MAK及其相关参数包括MAK、MAK的剩余生命时间和/或MAK序列号。
4.根据权利要求2所述的方法,其特征在于,所述的GKEK及其相关参数包括GKEK、GKEK序列号、GKEK标识符、GKEK剩余生命时间、基于密文的组播密钥更新消息认证码密钥CMAC_KEY_G和/或基于密文的组播密钥更新消息认证码包序列号CMAC_PN_G。
5.根据权利要求2所述的方法,其特征在于,所述的MGTEK及其相关参数包括MGTEK、MGTEK剩余生命时间和/或MGTEK序列号。
6.根据权利要求2所述的方法,其特征在于,所述的MBSGSA及其相关参数包括MBSGSA的标识符、MBSGSA的类型、MBSGSA的加密套件、MBSGSA的业务类型、基站记录的发出的下行包序列号、终端记录的收到的下行包序列号、旧的MGTEK参数和/或新的MGTEK参数。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述的步骤A包括A1、密钥管理器生成包括MAK及其相关参数、MGTEK及其相关参数、GKEK及其参数和MBSGSA的密钥材料;或者,A2、密钥管理器生成包括MAK及其相关参数、MGTEK及其相关参数、GKEK及其参数、MBSGSA和MTK及其相关参数的密钥材料。
8.根据权利要求7所述的方法,其特征在于,当执行所述的步骤A1时,所述的步骤B还包括基站收到密钥管理器发来的密钥材料后,根据所述密钥材料生成MTK及其相关参数,并将生成的MTK及其相关参数和收到的密钥材料一起作为用于空口业务传输的密钥材料。
9.根据权利要求1至6中任一项所述的方法,其特征在于,所述的方法还包括对密钥管理器生成的密钥材料的更新操作。
10.根据权利要求9所述的方法,其特征在于,所述的方法包括在密钥的剩余生命时间到期之前进行密钥材料的更新触发。
11.一种在无线通信系统中提高组播业务安全性能的实现系统,其特征在于,包括密钥材料发送单元,设置于无线通信系统的密钥管理器中,用于将密钥管理器生成的开展组播业务所需的密钥材料信息发送给基站;安全处理单元,设置于无线通信系统的基站中,用于根据收到所述的密钥材料信息对基站与用户终端之间交互的空口组播业务进行加密处理。
12.根据权利要求11所述的系统,其特征在于,所述的密钥材料包括MAK及其相关参数、MGTEK及其相关参数、GKEK及其相关参数、MBSGSA和/或MTK及其相关参数。
13.根据权利要求12所述的系统,其特征在于,当密钥管理器生成的密钥材料为部分密钥材料时,则所述的系统还包括密钥信息生成单元,设置于无线通信系统的基站中,用于根据基站收到的部分密钥材料生成完整的密钥材料包括的其余密钥材料,并提供给安全处理单元。
14.根据权利要求13所述的系统,其特征在于,所述的密钥信息生成单元包括MTK信息生成单元,用于根据收到的部分密钥材料生成MTK及相关参数信息,并提供给安全处理单元。
全文摘要
本发明涉及一种提高无线通信系统组播业务安全的方法及系统。本发明主要包括首先,在无线通信系统中,由密钥管理器将其生成的开展组播业务所需的密钥材料信息发送给基站;之后,基站收到所述的密钥材料信息后,根据所述的密钥材料对基站与用户终端之间交互的空口组播业务进行加密处理。本发明的实现使得在WiMAX等无线通信系统中,基站可以获得空口业务传输需要的各密钥材料信息,从而可以有效保证空口业务的安全性,如可以保证用户终端的位置信息、会话信息等的安全。
文档编号H04Q7/38GK101056169SQ20061007215
公开日2007年10月17日 申请日期2006年4月14日 优先权日2006年4月14日
发明者单长虹, 林志斌, 冯成燕, 王海宁, 杜海涛 申请人:华为技术有限公司