一种基于非对称加密体系的集群组呼密钥分发的方法
【专利摘要】本发明提出一种基于非对称加密体系的集群组呼密钥分发的方法,包括以下步骤:a,为每个集群组分配一个组公钥/组私钥对;b,终端发起注册时,向HLR获取其所属集群组的组私钥;c,终端发起加密集群组呼叫时,向密钥管理中心发送集群组呼密钥申请消息;d,密钥管理中心生成集群组呼密钥,使用终端所属集群组的组公钥对集群组呼密钥进行加密后发送给集群组内所有终端;e,终端使用所属集群组的组私钥进行解密后恢复集群组呼密钥。本发明采用非对称的组保护密钥,并且不需要预置在终端设备中,保密性更强。
【专利说明】一种基于非对称加密体系的集群组呼密钥分发的方法【技术领域】
[0001]本发明涉及无线通信领域,尤其涉及一种基于非对称加密体系的集群组呼密钥分发的方法。
【背景技术】
[0002]在集群网络中,多个用户可以组成一个集群组,每个集群组对应一个组身份识别码,一个组身份识别码对应一个集群组呼端到端加密密钥GEK,一个用户可以附属于多个集群组。
[0003]为了保证GEK的安全分发,需要对GEK进行加密后再分发,目前公开的分发方法一般基于对称加密体系,即加密和解密使用相同的密钥,这个密钥叫做组保护密钥。这种方法的不足之处在于组保护密钥需要预置在终端设备中,从而造成存储空间以及索引的局限性。
【发明内容】
[0004]为了解决上述问题,本发明提出了一种基于非对称加密体系的集群组呼密钥分发的方法,该方法包括以下步骤:
[0005]a,为每个集群组分配一个组公钥/组私钥对;
[0006]b,终端发起注册时,向HLR获取其所属集群组的组私钥;
[0007]C,终端发起加密集群 组呼叫时,向密钥管理中心发送集群组呼密钥申请消息;
[0008]d,密钥管理中心生成集群组呼密钥,使用终端所属集群组的组公钥对集群组呼密钥进行加密后发送给集群组内所有终端;
[0009]e,终端使用所属集群组的组私钥进行解密后恢复集群组呼密钥。
[0010]上述方法中的组公钥/组私钥对可以由密钥管理中心生成,也可以由其它核心网元生成。相应的,前一种情况下,HLR向密钥管理中心获取组私钥,后一种情况下,可以由密钥管理中心先向所述其它核心网元获取组公钥/组私钥对,然后HLR再向密钥管理中心获取组私钥。
[0011]上述方法中,密钥管理中心可以是独立于HLR的单元,也可以作为一个模块集成在HLR中。
[0012]优选的,上述方法的步骤b中,HLR使用终端的临时密钥对组私钥进行加密后发送给终端,终端使用临时密钥进行解密后恢复组私钥,所述临时密钥由终端与HLR协商生成,不保存终端侧和HLR的非易失性存储器中。进一步的,可以直接将鉴权主密钥作为临时密钥,以节省协商交互时间。终端在每次注册时可以使用不同的鉴权主密钥。
[0013]与现有技术相比,本发明的优点在于:(I)组保护密钥使用组公钥/组私钥对,具有非对称性,保密性更强。(2)组公钥/组私钥对不需要预置在终端设备中。(3)。组公钥/私钥对在分发时进行加密传输,并且使用的加密密钥在每次分发时均不相同,进一步加强了保密效果。【专利附图】
【附图说明】
[0014]图1是本发明实施例对应的无线集群通信系统的网络架构示意图;
[0015]图2是本发明实施例的组公钥/组私钥对分发的流程图;
[0016]图3是本发明实施例的集群组呼密钥分发的流程图。
【具体实施方式】
[0017]下面结合附图,通过具体实施例对本发明做进一步详细说明。
[0018]本实施例所对应的无线集群通信系统的网络架构如图1所示,包括终端、基站、交换机和密钥管理中心。这几个组成部分的功能说明如下:
[0019]终端:实现无线集群通信系统网络的终端功能,是用户(不仅限于人,也可以是机器)接入系统的交互界面,为用户提供集群语音等业务。
[0020]基站:实现无线集群通信系统的空中接口功能,包括空中接口物理层、MAC层和网络层功能,并将用户接入到不同的业务服务网络。
[0021]交换机:完成其服务区域内终端的集群业务的控制和管理功能,是集群业务的控制管理中心。
[0022]密钥管理中心:负责产生、维护和管理密钥。
[0023]HLR:负责在线分发密钥,定时更新密钥。
[0024]假设终端A附属于集群组GIDl。
[0025]密钥管理中心产生组公钥/组私钥对后,将组私钥通知给HLR。
[0026]集群组GIDl的组公钥/组私钥对分发的实现流程图如图2所示,该流程具体如下:
[0027]步骤101、终端A发起集群业务注册,即发送集群业务注册请求消息给所属基站,消息中携带:用户身份识别码UID。
[0028]步骤102、基站透传集群业务注册请求消息给交换机,消息中携带:用户身份识别码 UID。
[0029]步骤103、交换机构造集群组数据请求消息给HLR/密钥管理中心,消息中携带:用户身份识别码WD。
[0030]步骤104、HLR接收到集群组数据请求消息,查询数据库:如果存在该用户身份识别码WD,则查找该WD附属的组列表信息,然后将组列表信息封装在集群组数据响应消息中返回给交换机,消息中携带:用户身份识别码UID和组列表信息。
[0031]组列表信息包括:终端A所属的集群组的组身份识别码和组秘密信息。其中,组秘密信息是使用UID对应的鉴权主密钥对组私钥进行加密的结果。鉴权主密钥是在终端开机注册时生成的,每次鉴权都会不同。
[0032]步骤105、交换机构造集群业务注册响应消息,发送给基站。消息中携带:组列表信息。
[0033]步骤106、基站透传集群业务注册响应消息给终端A。终端A解析组列表信息,并且使用鉴权主密钥进行解密操作恢复组私钥。
[0034]本实施例的集群组呼密钥分发的流程如图3所示,具体步骤如下:[0035]步骤201:终端在发起加密集群组呼叫时,向密钥管理中心发送集群组呼密钥申请消息,消息中携带:组身份识别码。
[0036]步骤202:密钥管理中心生成集群组呼密钥,然后使用该组身份识别码对应的组公钥对集群组呼密钥进行加密后发送给组内所有终端。发给终端使用的消息可以是组呼业务消息,也可以是单独的密钥分发消息。
[0037]组内终端使用该组身份识别码对应的组私钥进行解密后恢复集群组呼密钥。
[0038]本实施例中,密钥管理中心和HLR是两个独立的单元。在实际应用中,密钥管理中心也可以作为HLR的一个模块集成在HLR中,不影响本发明的实施效果。
[0039]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于非对称加密体系的集群组呼密钥分发的方法,其特征在于,包括以下步骤: a,为每个集群组分配一个组公钥/组私钥对;b,终端发起注册时,向HLR获取其所属集群组的组私钥;c,终端发起加密集群组呼叫时,向密钥管理中心发送集群组呼密钥申请消息;d,密钥管理中心生成集群组呼密钥,使用终端所属集群组的组公钥对集群组呼密钥进行加密后发送给集群组内所有终端; e,终端使用所属集群组的组私钥进行解密后恢复集群组呼密钥。
2.根据权利要求1所述的方法,其特征在于步骤a,组公钥/组私钥对由密钥管理中心生成,HLR向密钥管理中心获取组私钥。
3.根据权利要求1所述的方法,其特征在于步骤a,组公钥/组私钥对由其它核心网元生成,密钥管理中心向所述其它核心网元获取组公钥/组私钥对,HLR向密钥管理中心获取组私钥。
4.根据权利要求1所述的方法,其特征在于,密钥管理中心作为一个模块集成在HLR中。
5.根据权利要求1所述的方法,其特征在于步骤b,HLR使用终端的临时密钥对组私钥进行加密后发送给终端,终端使用该临时密钥进行解密后恢复组私钥,所述临时密钥由终端与HLR协商生成。
6.根据权利要求5所述的方法,其特征在于,所述临时密钥为鉴权主密钥。
7.根据权利要求6所述的方法,其特征在于,终端每次注册时的鉴权主密钥均不相同。
【文档编号】H04L9/08GK103856330SQ201210511179
【公开日】2014年6月11日 申请日期:2012年12月3日 优先权日:2012年12月3日
【发明者】赵春平, 朱锋, 赵晓军, 许瑞锋 申请人:北京信威通信技术股份有限公司