h-To-Talk,简称PTT)键发起集群呼叫,主讲UE向eCN发送第--键通主讲请求消息(即PTT Speaker Request),第--键通主讲请求消息为NAS消息。
[0081]步骤202:eCN向KDC发送第一密钥请求消息。
[0082]在本步骤中,所述第一密钥请求消息包括:所述主讲UE的标识、所述目标群组的标识和所述业务类型。具体地,eCN根据消息中的加密标识向KDC发送第一密钥请求消息(即Key Request)。第一密钥请求消息为私有IP消息。
[0083]步骤203:KDC进行鉴权。
[0084]在本步骤中,KDC进行鉴权,具体的鉴权过程包括:KDC根据第一预设信息、所述主讲UE的标识和所述目标群组的标识判断所述主讲UE是否具有所述目标群组的加密呼叫权限。如果判断结果为是,则执行步骤204。在所述主讲UE无权限或所述主讲UE不存在或所述目标群组不存在时,判断结果为否。如果判断结果为否,所述KDC向所述eCN反馈拒绝消息,进一步地,所述eCN可以向主讲UE反馈拒绝消息,其中,拒绝消息中可以携带拒绝原因,拒绝原因可以包括:用户无该群组加密呼叫权限、用户不存在、群组不存在等。
[0085]在KDC中,预先配置第一预设信息,第一预设信息中包括UE的标识、目标群组的标识与加密呼叫权限的对应关系。在一种具体实现方式中,具体地,第一预设信息中可以包括具有加密权限的用户信息、业务信息、加密算法参数等信息。其中,用户信息可以包括:国际移动用户识别码(Internat1nal Mobile Subscriber Identificat1n Number,简称 IMSI)和/或用户号码和/或静态互联网(Internet Protocol,简称IP)地址。允许进行加密的业务类型可以包括:集群业务类型和/或点呼业务类型和/或数据业务类型。对于集群业务类型,包括允许UE发起加密组呼的群组号码信息;对于点呼业务类型,包括是否有点呼加密发起权限;对于数据业务类型,包括是否有数据加密或特定数据业务的加密业务发起权限,其中,特定数据业务可以包括:视频业务、文件业务、短信业务、地理信息系统(GeographicInformat1n System,简称GIS)业务等。加密算法参数可以包括:加密算法、密钥长度、用户基本密钥(简称Ki)等。
[0086]步骤204:KDC向eCN返回第一密钥响应消息。
[0087]在本步骤中,所述第一密钥响应消息中包括:群组密钥或计算群组密钥用的密钥资料。具体地,第一密钥响应消息(即Key Response)为私有IP消息。
[0088]步骤205:eCN在本次群组通话持续期间保存所述群组密钥或计算群组密钥用的密钥资料。
[0089]在本步骤中,eCN收到第一密钥响应消息,eCN在本次群组通话期间本地保存第一密钥响应消息中的密钥信息。
[0090]步骤206:eCN与调度机进行主讲建立和群组建立,并向调度机发送密钥指示消肩、Ο
[0091]在本步骤中,所述密钥指示消息中包括:所述群组密钥或计算群组密钥用的密钥资料。本步骤为可选步骤。
[0092]步骤207:eCN建立主讲承载并向主讲UE发送第一一键通主讲接受消息。
[0093]在本步骤中,所述第一一键通主讲接受消息中包括:所述群组密钥或计算群组密钥用的密钥资料。具体的,第一一键通主讲接受消息(即PTT Speaker Accept)为NAS消肩、Ο
[0094]步骤208:主讲UE启用密钥。
[0095]在本步骤中,主讲UE接收到步骤207中的密钥指示消息后,将密钥送入加解密芯片,启动加解密流程。
[0096]步骤209:eCN建立群组下行承载并向被叫UE周期性发送密钥指示消息。
[0097]在本步骤中,所述密钥指示消息中包括:所述群组密钥或计算群组密钥用的密钥资料。具体地,eCN可以在集群下行承载固定发送第一预设次数(N1次)密钥指示,间隔为第一预设时间间隔(T1毫秒)。本步骤具体可以采用2种发送方式。采用方式一:所述eCN通过GCCH上的NAS消息,例如密钥指示(即Key Indicat1n)或会话指示(即Sess1nIndicator),向所述被叫UE周期性发送所述密钥指示消息。或者,采用方式二:所述eCN与基站配合,在GTCH上使用特殊MAC头和承载内容指示,向所述被叫UE周期性发送所述密钥指示消息。
[0098]步骤210:被叫UE启用密钥。
[0099]在本步骤中,群组中的被叫UE收到空口寻呼消息(即Paging),执行正常群组流程,根据寻呼消息监听群组下行信道,接收到步骤209中的密钥指示消息后,启动解密流程,将密钥送入加解密芯片,启动解密流程。
[0100]步骤211:在本次群组通话持续期间,eCN向被叫UE周期性发送密钥指示消息。
[0101]在本步骤中,eCN向被叫UE周期性发送密钥指示消息,其中,所述密钥指示消息中包括:所述群组密钥或计算群组密钥用的密钥资料,以供迟后进入的被叫UE或弱覆盖区的UE获取集群密钥。具体地,eCN可以在集群下行承载固定发送第二预设次数(N2次)密钥指示,间隔为第二预设时间间隔(T2毫秒)。本步骤具体可以采用步骤209中所述的2种发送方式。
[0102]步骤212:加密数据传输。
[0103]在本步骤中,主讲UE将加密后用户面数据在群组上行通道发送;eCN和调度机等网络设备根据集群转发规则将加密后用户面数据转发到群组下行共享通道;被叫UE的加解密芯片根据步骤209和/或步骤211中获取的密钥指示消息,进行群组数据解密。
[0104]在本发明实施例二中,eCN根据来自主讲UE的第一一键通主讲请求消息向KDC发送第一密钥请求消息,KDC根据第一预设信息和第一密钥请求消息进行判断,当判断为主讲UE具有目标群组的加密呼叫权限时,KDC向eCN返回群组密钥或计算群组密钥用的密钥资料,eCN建立主讲承载并向所述主讲UE发送所述群组密钥或计算群组密钥用的密钥资料,并建立群组下行承载并向被叫UE周期性发送群组密钥或计算群组密钥用的密钥资料,从而通过eCN与主讲UE的交互分发密钥,通过eCN与KDC的交互管理密钥,实现了 TD-LTE集群通信系统中端到端集群密钥分发。
[0105]并且,在本次群组通话持续期间,eCN向被叫UE周期性发送所述群组密钥或计算群组密钥用的密钥资料,从而确保迟后进入的被叫UE也可以及时获得集群密钥。
[0106]图3为本发明实施例三的端到端集群密钥分发方法的流程图。在本发明实施例三中,以被叫UE迟后进入群组时的密钥分发流程为例予以说明。本发明实施例三的过程在本发明实施例二的过程之后执行,为了保证本发明实施例三的过程顺利执行,要求在本发明实施例二中执行上述步骤205,eCN在本次群组通话持续期间保存所述群组密钥或计算群组密钥用的密钥资料。如图3所示,该方法包括以下过程。
[0107]步骤301:eCN接收来自迟后进入的被叫UE的一键通加入请求消息。
[0108]在本步骤中,具体地,迟后进入的被叫UE发起一键通加入流程(即PTT Join流程).
[0109]步骤302:eCN向迟后进入的被叫UE发送一键通加入响应消息。
[0110]在本步骤中,eCN向迟后进入的被叫UE发送一键通加入响应消息,其中,所述一键通加入响应消息中包括:所述群组密钥或计算群组密钥用的密钥资料。具体地,eCN在一键通加入响应消息(即Join Response)中携带预存的所述群组密钥或计算群组密钥用的密钥资料。
[0111]步骤303:迟后进入的被叫UE启用密钥。
[0112]在本步骤中,迟后进入的被叫UE收到一键通加入响应消息中的所述群组密钥或计算群组密钥用的密钥资料,迟后进入的被叫UE的加密芯片启用集群密钥,进行用户面数据解密。
[0113]在本发明实施例三中,通过eCN与主讲UE的交互分发密钥,通过eCN与KDC的交互管理密钥,实现了 TD-LTE集群通信系统中端到端集群密钥分发。并且,迟后进入的被叫UE向eCN发送一键通加入请求消息,eCN向迟后进入的被叫UE发送一键通加入响应消息,该消息中携带所述群组密钥或计算群组密钥用的密钥资料,从而确保迟后进入的被叫UE也可以及时获得集群密钥。
[0114]图4为本发明实施例四的端到端集群密钥分发方法的流程图。在本发明实施例四中,以主讲UE或抢权UE变更集群密钥时的密钥分发流程为例予以说明。本发明实施例四的过程在本发明实施例二的过程之后执行。如图4所示,该方法包括以下过程。
[0115]步骤401:eCN接收来自主讲UE或抢权UE的第三一键通主讲请求消息。
[0116]在本步骤中,如果所述第三一键通主讲请求消息是由主讲UE发送的,则所述第三一键通主讲请求消息中包括:所述主讲UE的标识、目标群组的标识、业务类型和密钥变更标识;如果所述第三一键通主讲请求消息是由抢权UE发送的,则所述第三一键通主讲请求消息中包括:所述抢权UE的标识、目标群组的标识、业务类型和密钥变更标识。
[0117]在本步骤中,抢权UE或当前的主讲UE可通过终端加密键或菜单选择,可选进入加密集群模式。具体可以包括2种情况,情况一:抢权UE或当前的主讲UE在一个已发起的明文群组中选择先明后密通信,使该群组进入密文通信;情况二:抢权UE或当前的主讲UE在已经发起的密文群组中变更群组密钥。
[0118]主讲UE或抢权UE向eCN发送第三一键通主讲请求消息(即PTT SpeakerRequest),第三一键通主讲请求消息为NAS消息。
[0119]步骤402:eCN进行鉴权。
[0120]在本步骤中,eCN进行鉴权,具体的鉴权过程包括:eCN根据第二预设信息、所述主讲UE或所述抢权UE的标识和所述目标群组的标识判断所述主讲UE或所述抢权UE和/或所述目标群组是否支持密钥变更。
[0121 ] 在本步骤,若判断结果为支持,执行步骤403。若判断结果为不支持,所述eCN向主讲UE或抢权UE反馈拒绝消息。在eCN中,预先配置第二预设信息,第二预设信息中包括主讲UE或所述抢权UE的标识、目标群组的标识与是否支持密钥变更的对应关系。
[0122]步骤403:eCN向所述KDC发送第三密钥请求消息。
[0123]在本步骤中,如果所述第三一键通主讲请求消息是由主讲UE发送的,则所述第三密钥请求消息包括:所述主讲UE的标识、所述目