端到端集群密钥分发方法和核心网设备的制造方法
【技术领域】
[0001]本发明涉及通信技术,尤其涉及一种端到端集群密钥分发方法和核心网设备(Evolved Core Network,简称 eCN)。
【背景技术】
[0002]在移动通信技术领域,为满足高安全性的通信需求,需要采用基于移动交换网的端到端(End-to-End,简称E2E)加密。采用端到端加密时,密钥管理中心采用密钥产生算法随机产生会话密钥,在信令消息中向用户设备(User Equipment,简称UE)发送计算密钥用的密钥资料,UE根据密钥资料和用户私有信息采用密钥分发算法计算密钥。
[0003]随着通信业务的需要,数字集群通信系统应用而生。数字集群通信系统基于时分长期演进(Time Divis1n Long Term Evolut1n,简称TD-LTE)通信系统,采用半双工的双向群组通信,其基本业务是群组呼叫。在一个群组中一般有多个用户,群组中的用户可以具有调度员的功能,或单独配置不属于群组的调度员,实现对群组的调度功能。调度员或群组中具有权限的用户可以发起群组业务的建立过程,群组建立后,在一个群组中同时只有一个用户话权,拥有话权的用户是主讲,主讲可以讲话,群组中的其它用户是被叫,被叫接收主讲的讲话信息,主讲通话结束后释放话权,被叫可以在群组话权空闲或群组话权占用的情况下申请话权,高优先级的用户可以抢占低优先级用户的话权。在一个小区中,群组业务建立过程中,无论群组用户数目多少,只建立一套承载信道资源。
[0004]在数字集群通信系统中,由于采用一个主讲多个被叫的一对多的通信方式,且采用主讲用户会切换的通信方式,因此,现有的在点对点通信系统中采用的密钥分发方法无法适用于TD-LTE集群通信系统,目前尚无基于TD-LTE集群通信系统的端到端集群密钥分发方法。
【发明内容】
[0005]本发明的第一个方面是提供一种端到端集群密钥分发方法,用以解决现有技术中的缺陷,实现TD-LTE集群通信系统中端到端集群密钥分发。
[0006]本发明的另一个方面是提供一种eCN,用以解决现有技术中的缺陷,实现TD-LTE集群通信系统中端到端集群密钥分发。
[0007]本发明的第一个方面是提供一种端到端集群密钥分发方法,包括:核心网设备
eCN接收来自主讲UE的第--键通主讲请求消息,所述第--键通主讲请求消息中包括:
所述主讲UE的标识、目标群组的标识、业务类型和加密标识;
[0008]所述eCN向密钥中心KDC发送第一密钥请求消息,所述第一密钥请求消息包括:所述主讲UE的标识、所述目标群组的标识和所述业务类型,以使所述KDC根据第一预设信息、所述主讲UE的标识和所述目标群组的标识判断所述主讲UE是否具有所述目标群组的加密呼叫权限,若有,所述KDC向所述eCN返回第一密钥响应消息,所述第一密钥响应消息中包括:群组密钥或计算群组密钥用的密钥资料;
[0009]所述eCN建立主讲承载并向所述主讲UE发送第一一键通主讲接受消息,所述第一一键通主讲接受消息中包括:所述群组密钥或计算群组密钥用的密钥资料;
[0010]所述eCN建立群组下行承载并向被叫UE周期性发送密钥指示消息,所述密钥指示消息中包括:所述群组密钥或计算群组密钥用的密钥资料。
[0011]如上所述的方法,其中,
[0012]所述KDC向所述eCN返回第一密钥响应消息之后,还包括:所述eCN在本次群组通话持续期间保存所述群组密钥或计算群组密钥用的密钥资料;
[0013]所述eCN建立群组下行承载并向被叫UE周期性发送密钥指示消息之后,还包括:所述eCN接收来自迟后进入的被叫UE的一键通加入请求消息;所述eCN向所述迟后进入的被叫UE发送一键通加入响应消息,所述一键通加入响应消息中包括:所述群组密钥或计算群组密钥用的密钥资料;
[0014]或者,
[0015]所述KDC向所述eCN返回第一密钥响应消息之后,还包括:所述eCN在本次群组通话持续期间保存所述群组密钥或计算群组密钥用的密钥资料;
[0016]所述eCN建立群组下行承载并向被叫UE周期性发送密钥指示消息之后,还包括:所述eCN在本次群组通话持续期间向被叫UE周期性发送密钥指示消息。
[0017]如上所述的方法,其中,所述eCN建立群组下行承载并向被叫UE周期性发送密钥指示消息之后,还包括:
[0018]所述eCN接收来自所述主讲UE的第二一键通主讲请求消息,所述第二一键通主讲请求消息中包括:所述主讲UE的标识、目标群组的标识、业务类型和密钥变更标识;
[0019]所述eCN根据第二预设信息、所述主讲UE的标识和所述目标群组的标识判断所述主讲UE和/或所述目标群组是否支持密钥变更;
[0020]若支持,所述eCN向所述KDC发送第二密钥请求消息,所述第二密钥请求消息包括:所述主讲UE的标识、所述目标群组的标识和业务类型,以使所述KDC根据所述第一预设信息、所述主讲UE的标识和所述目标群组的标识判断所述主讲UE是否具有所述目标群组的加密呼叫权限,若有,所述KDC向所述eCN返回第二密钥响应消息,所述第二密钥响应消息中包括:更新的群组密钥或计算群组密钥用的密钥资料;
[0021]所述eCN向所述主讲UE发送第二一键通主讲接受消息,所述第二一键通主讲接受消息中包括:所述更新的群组密钥或计算群组密钥用的密钥资料;
[0022]所述eCN向所述被叫UE周期性发送密钥指示消息,所述密钥指示消息中包括:所述更新的群组密钥或计算群组密钥用的密钥资料。
[0023]如上所述的方法,其中,所述eCN建立群组下行承载并向被叫UE周期性发送密钥指示消息之后,还包括:
[0024]所述eCN接收来自抢权UE的第三一键通主讲请求消息,所述第三一键通主讲请求消息中包括:所述抢权UE的标识、目标群组的标识、业务类型和密钥变更标识;
[0025]所述eCN根据第二预设信息、所述抢权UE的标识和所述目标群组的标识判断所述抢权UE和/或所述目标群组是否支持密钥变更;
[0026]若支持,所述eCN向所述KDC发送第三密钥请求消息,所述第三密钥请求消息包括:所述抢权UE的标识、所述目标群组的标识和业务类型,以使所述KDC根据所述第一预设信息、所述抢权UE的标识和所述目标群组的标识判断所述抢权UE是否具有所述目标群组的加密呼叫权限,若有,所述KDC向所述eCN返回第三密钥响应消息,所述第三密钥响应消息中包括:更新的群组密钥或计算群组密钥用的密钥资料;
[0027]所述eCN确定所述抢权UE为新主讲UE,释放原主讲承载,建立新主讲承载并向所述新主讲UE发送第三一键通主讲接受消息,所述第三一键通主讲接受消息中包括:所述更新的群组密钥或计算群组密钥用的密钥资料;
[0028]所述eCN向被叫UE周期性发送密钥指示消息,所述密钥指示消息中包括:所述更新的群组密钥或计算群组密钥用的密钥资料。
[0029]如上所述的方法,其中,所述eCN向所述被叫UE周期性发送密钥指示消息包括:
[0030]所述eCN通过群组逻辑信道GCCH上的非接入层NAS消息,向所述被叫UE周期性发送所述密钥指示消息;
[0031]或,
[0032]所述eCN通过群组业务信道GTCH上的特殊媒体访问控制MAC头和承载内容指示,向所述被叫UE周期性发送所述密钥指示消息。
[0033]本发明的另一个方面是提供一种核心网设备eCN,包括:
[0034]接收单元,用于接收来自主讲UE的第--键通主讲请求消息,所述第--键通主讲请求消息中包括:所述主讲UE的标识、目标群组的标识、业务类型和加密标识;
[0035]密钥控制单元,用于向密钥中心KDC发送第一密钥请求消息,所述第一密钥请求消息包括:所述主讲UE的标识、所述目标群组的标识和所述业务类型,以使所述KDC根据第一预设信息、所述主讲UE的标识和所述目标群组的标识判断所述主讲UE是否具有所述目标群组的加密呼叫权限,若有,所述密钥控制单元接收来自所述KDC的第一密钥响应消息,所述第一密钥响应消息中包括:群组密钥或计算群组密钥用的密钥资料;
[0036]主讲控制单元,用于建立主讲承载并向所述主讲UE发送第一一键通主讲接受消息,所述第一一键通主讲接受消息中包括:所述群组密钥或计算群组密钥用的密钥资料;
[0037]被叫控制单元,用于建立群组下行承载并向被叫UE周期性发送密钥指示消息,所述密钥指示消息中包括:所述群组密钥或计算群组密钥用的密钥资料。
[0038]如上所述的eCN,其中,
[0039]所述eCN还包括存储单元,所述存储单元用于在本次群组通话持续期间保存所述群组密钥或计算群组密钥用的密钥资料;所述接收单元还用于接收来自迟后进入的被叫UE的一键通加入请求消息;所述被叫控制单元还用于向所述迟后进入的被叫UE发送一键通加入响应消息,所述一键通加入响应消息中包括:所述群组密钥或计算群组密钥用的密钥资料;
[0040]或者,
[0041]所述eCN还包括存储单元,所述存储单元用于在本次群组通话持续期间保存所述群组密钥或计算群组密钥用的密钥资料;所述被叫控制单元还用于在本次群组通话持续期间向被叫UE周期性发送密钥指示消息。
[0042]如上所述的eCN,其中,
[0043]所述接收单元还用于接收来自所述主讲UE的第二一键通主讲请求消息,所述第二一键通主讲请求消息中包括:所述主讲UE的标识、目标群组的标识、业务类型和密钥变更标识;
[0044]所述密钥控制单元还用于根据第二预设信息、所述主讲UE的标识和所述目标群组的标识判断所述主讲UE和/或所述目标群组是否支持密钥变更,若支持,向所述KDC发送第二密钥请求消息,所述第二密钥请求消息包括:所述主讲UE的标识、所述目标群组的标识和业务类型,以使所述KDC根据所述第一预设信息、所述主讲UE的标识和所述目标群组的标识判断所述主讲UE是否具有所述目标群组的加密呼叫权限,若有,所述密钥控制单元接收来自所述KDC的第二密钥响应消息,所述第二密钥响应消息中包括:更新的群组密钥或计算群组密钥用的密钥资料;
[0045]所述主讲控制单元还用于向所述主讲UE发送第二一键通主讲接受消息,所述第二一键通主讲接受消息中包括:所述更新的群组密钥或计算群组密钥用的密钥资料;
[0046]所述被叫控制单