专利名称:多基站间实现组播密钥同步的方法及系统的制作方法
技术领域:
本发明涉及无线通信技术领域,尤其涉及一种无线通信网络中基站间实现组播密钥同步的方法及系统。
背景技术:
目前,大多无线通信网络在组网设计中均采用小区的结构,针对每个小区设置有一个基站,小区的用户可以通过所述基站完成与网络侧的通信。同时,在无线通信网络中,为了保证用户通信的连续性,相邻小区的覆盖区域通常设置为相互重叠。
由于移动终端的移动性使得其经常会在不同的小区之间切换。当用户跨越不同小区时,如果要保持继续通信的质量,则用户需要向相邻的小区请求信道,以实现越区切换处理。在越区切换的过程中,移动台将同时接收来自两个或多个基站发射的相同信息,对收到的信息进行分集合并和判决,从而改善移动台处于越区切换时的接收信号质量,并保证越区切换时的数据不丢失,这种分集称为宏分集技术。
目前,在WiMAX(微波接入全球互通)等无线通信网络中均支持所述的宏分集技术的实现。即基于WiMAX网络的MBS支持多基站接入模式。而在多基站接入模式下,一个MBS区内的基站将采用相同的CID(连接标识)和SA(安全联盟)发送同一MBS业务流的内容,注册了MBS服务的终端可以在MBS区内通过多个基站接收MBS内容,即终端支持所述的宏分集技术。
同时,在无线通信网络中,为了保证无线组播通信安全,空口传输的组播数据都用组播密钥加密。以基于802.16e协议实现的无线通信系统为分例,其进行组播数据的加密需要采用四个组播密钥,具体为MAK(组播广播服务鉴权密钥)、MGKEK(组播广播服务组密钥加密密钥)、MGTEK(组播广播服务组业务加密密钥)、MTK(组播广播服务业务加密密钥)。其中,MAK由上层定义的某种方法保护传递给终端,MGTEK用MGKEK加密之后传递给终端,MAK和MGTEK经过某个算法(如Dot16KDF算法)计算得到MTK,MTK直接用于加解密组播数据。
为了防止密钥泄露威胁组播通信的安全,所述组播密钥需要定期更换。同时,为了保证会话的连续性,基站需要有保持两套密钥的能力,在旧密钥生命期结束之前就要从上级分发实体获取新密钥,保证在旧密钥过期时可以立即更换新密钥。
在支持宏分集技术的无线通信网络中,支持多基站接入模式。仍以WiMAX网络为例,一个MBS区内的多个基站在密钥更新期间,已经完成更新的基站将使用新密钥加密组播数据,而尚未完成密钥更新的基站将仍旧使用旧密钥加密组播数据,因此,如果各基站之间未实现密钥更新的同步,则将可能导致同一MBS(组播广播服务)区内,同一时刻不同基站上正在使用的密钥也可能不同,这显然无法保证组播通信的正常进行。
也就是说,在MBS区内,为保证可靠通信,多个同步传输MBS业务流的基站之间要求其用于加密MBS业务流的组播密钥也必须同步。然而,目前还无法保证不同基站之间组播密钥的同步,也就无法保证宏分集技术在无线通信网络中的实现,进而降低了无线通信系统的通信性能及可靠性。
发明内容
本发明的目的是提供一种多基站间实现组播密钥同步的方法及系统,从而可以使得无线通信网络中的一组基站之间可以保证进行业务传输采用的组播密钥的同步,进而保证无线通信系统通信的可靠性。
本发明的目的是通过以下技术方案实现的本发明提供了一种多基站间实现组播密钥同步的方法,包括A、多个基站与密钥管理中心之间建立同步的参考时间;B、密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息;C、在各个基站上,根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥。
所述的步骤A包括多个基站与密钥管理中心之间通过同步各自的系统时间以建立同步的参考时间;或者,多个基站与密钥管理中心之间专门建立相应的同步的参考时间。
所述的步骤B包括密钥管理中心将待分发给各个基站的密钥及所述的同步时间信息承载于同一消息中发送给各个基站,且在为基站初始为分密钥时,需要在所述的消息中同时承载旧的密钥和新的密钥。
所述的步骤B包括密钥管理中心分别为待分发给各个基站的密钥加密密钥和业务加密密钥确定对应的同步时间信息,并与所述的密钥加密密钥和业务加密密钥一起通过密钥分发消息发送给各个基站。
所述的步骤B包括B1、在密钥管理中心向各个基站分发密钥时,还向各个基站发送相应的启用该分发的新的密钥的同步时间信息;或者,
B2、在密钥管理中心向各个基站分发密钥时,还向各个基站发送该密钥的生命周期结束时间,且各个基站将所述的结束时间作为基站启用新的密钥的时间。
所述的步骤C包括各个基站收到新有密钥后,在新的密钥对应的表示启用该密钥的同步时间到达时,则启用所述新的密钥;或者,各个基站收到新的密钥后,在当前使用的密钥对应的表示其生命周期结束时间的同步时间到达时,则启用所述新的密钥。
所述的步骤C包括各个基站在收到新的密钥后,根据收到的表示启用该新的密钥的同步时间信息及当前的参考时间信息启动相应的定时器,并在定时器超时时启用所述新的密钥,去激活原有的密钥;或者,各个基站收到当前使用的密钥时,根据收到的表示当前密钥生命周期结束的同步时间信息及当时的参考时间信息启动相应的定时器,并在定时器超时时,启用各个基站收到的新的密钥,去激活当前使用原有的密钥。
所述的方法还包括D、在原有的密钥对应的生命周期结束之前,密钥管理中心生成相应的新的密钥及对应的同步时间信息,并执行所述的步骤B。
本发明中,在执行所述的步骤D之前,还包括E、在当前使用的密钥的生命周期结束之前,且基站未收到新的密钥,则主动向密钥管理中心申请密钥,并执行步骤D。
所述的步骤E包括基站向密钥管理中心发送组播密钥请求消息,消息中携带着组播广播服务组安全联盟标识信息;密钥管理中心收到所述的请求消息后,根据所述的组播广播服务组安全联盟标识信息生成相应的新的密钥及对应的同步时间信息,并执行步骤B。
本发明还提供了一种多基站间实现组播密钥同步的系统,包括同步参考时间处理模块分别设置于各个基站及密钥管理中心上,用于建立各基站与密钥管理中心的同步的参考时间;密钥分发处理模块设置于密钥管理中心,用于将为各基站生成新的密钥及对应的同步时间信息,并分别下发给各个基站;密钥启用处理模块设置于基站中,用于对接收到的新的密钥根据其对应的同步时间信息确定启用时间,并在到达启用时间时启用新的密钥。
所述的密钥分发处理模块包括密钥生成模块用于在各基站当前使用的密钥的生命周期结束之前,为其生成新的密钥;同步时间确定模块这密钥生成模块生成的密钥确定对应的同步时间;密钥发送处理模块将密钥生成模块生成的新的密钥及同步时间确定模块为密钥确定的对应的同步时间信息通过密钥分发消息发送给各基站。
所述的密钥启用处理模块包括密钥接收模块用于接收密钥管理中心发来的新的密钥及其对应的同步时间信息;定时器根据所述的同步时间信息启动定时器;密钥启用模块在定时器的触发下启用密钥接收模块接收到的密钥。
由上述本发明提供的技术方案可以看出,本发明的实现能够使得在任意时刻从不同基站接收到的组播信息均为采用相同的组播密钥加密,从而可以直接判决合并这几路信号,有效支持了宏分集信号接收方式,即保证了宏分集技术在无线通信系统中的实现,并可以提高无线系统通信的可靠性。本发明可以应用于WiMAX等无线通信网络中,而且,本发明提供的MBS区内基站间组播密钥的同步的实现方案具体实现简便、易于实施的优点。
图1为本发明所述的方法的具体实施方式
流程图一;图2为本发明所述的方法的具体实施方式
流程图二;图3为本发明所述的方法的具体实施方式
流程图三;图4为本发明所述的方法的具体实施方式
流程图四;图5为本发明所述的方法的具体实施方式
流程图五;图6为本发明所述的系统的具体实现结构示意图。
具体实施例方式
本发明的目的是提供一种MBS区内基站间组播密钥同步的方案,使得任意时刻从不同基站接收到的组播信息均为采用相同组播密钥加密。
本发明采用的技术方案如图1所示,具体包括步骤11在MBS区内所有基站与MBS密钥管理中心建立同步的参考时间,同步参考时间的目的是为了各基站可以准确地同步启用新的组播密钥;本发明中,所述的参考时间可以采用各基站与密钥管理中心同步的系统时间,也可以采用专门为MBS业务同步设置的MBS参考时间;步骤12MBS密钥管理中心为组播密钥设置同步时间SyncTime属性信息,所述的同步时间用于作为基站确定启用新的组播密钥的时间,具体可以采用以下两种不同的含义的同步时间(1)所述的同步时间可以为表示启用该新的组播密钥的同步时间信息,即该同步时间的值标识了新组播密钥启用的参考时间,
或者,(2)所述的同步时间还可以为表示当前组播密钥的生命周期结束时间的同步时间信息,即该同步时间标识了相应的组播密钥的生命周期结束时间,在当前使用的组播密钥的生命周期结束时间到达时,则确定为基站启用新的组播密钥的时间;步骤13当MBS密钥管理中心需要分发密钥时,则MBS密钥管理中心会在分发密钥的消息中包含密钥的同步时间属性信息,从而将密钥及其同步时间信息一起发给MBS区内各基站;步骤14MBS区内的各基站根据其收到的同步时间属性信息确定新的密钥的启用时间,具体包括以下两种处理情况(1)当所述的同步时间标识新的组播密钥启用的参考时间时,则MBS区内的各基站根据收到的新的组播密钥对应的同步时间属性记载的参考时间启用该组播密钥;此时,MBS区内各基站只要比较参考时间与密钥的同步时间属性的值,便可以确定启用新密钥的准确时间,即当参考时间到达同步时间值时,便可以启用新密钥;(2)当所述的同步时间标识了新组播密钥的生命周期结束时间时,则MBS区内的各基站将根据其收到的当前使用的组播密钥对应的同步时间确定新的密钥的启用时间;此时,MBS区内的各基站可以依据所述的同步时间确定在当前使用的组播密钥的生命周期结束时便启用新的组播密钥。
经过上述处理后,本发明便可以保证各基站可以同步启用新的组播密钥,使得各基站之间采用的组播密钥的同步。
为便于对本发明的理解,下面将结合附图对本发明的具体实现方式进行详细的说明。
下面以一个MBS服务的密钥初始分发和更新过程为例,对本发明提供的技术方案的具体实施方式
进行说明,本发明实现的前提是MBS区内所有基站通过GPS方式与MBS密钥管理中心实现参考时间ReferenceTime同步。
各基站与MBS密钥管理中心实现同步后,MBS密钥管理中心便可以进行组播密钥的初始分发处理,如图2所示,该处理过程具体包括步骤21MBS密钥管理中心向上级MAK分发实体获取MAK,根据MAK生存期管理MAK;步骤22MBS密钥管理中心生成新旧两套密钥MGKEK0、MGKEK1、MGTEK0、MGTEK1、MTK0、MTK1,及其相应的参数;并建立MBSGSA(MBS组安全联盟标识,用于唯一标识一个MBSGSA);步骤23MBS密钥管理中心为MGKEK1、MGTEK1生成各自的同步时间SyncTime;步骤24MBS密钥管理中心按照如表1所规定的格式生成密钥分发消息MBS_KEY_DELIVER,即所述的消息中包含同步时间信息及新旧两套密钥,并将该消息发送给相应MBS区内的所有基站;MBS_KEY_DELIVER消息的具体格式如下{Message Type=0x00,Code=00,MBSGSA ID,MBS Zone ID,MGKEK0-Parameters,MGKEK1-Parameters,MGTEK0-Parameters,MGKEK1-Parameters,MTK0-Parameters,MTK1-Parameters,
MGKEK1 SyncTime,MGTEK1 SyncTime}表1
需要说明的是,所述的MTK还可以在BS上生成,具体可以将MAK和MGTEK传给BS,由BS来生成MTK,此时,表1中将不再包含MTK参数;步骤25基站收到MBS_KEY_DELIVER消息后,存储其中各密钥及相关参数,并激活其中序号小的旧的密钥MGKEK0、MGTEK0、MTK0。
步骤26由于新的密钥MGKEK1、MGTEK1的同步时间晚于当前参考时间,因此基站为这两个密钥各启动一个参考时间定时器,分别为MGKEK_Timer,MGTEK_Timer。
步骤27当相应的定时器超时时,便去激活旧的密钥,启用新的密钥;具体为当MGKEK_Timer=MGKEK1 SyncTime时,基站立即去激活旧密钥MGKEK0,开始使用新密钥MGKEK1;当MGTEK_Timer=MGTEK1SyncTime时,基站立即去激活旧密钥MGTEK0和MTK0,开始使用新密钥MGTEK1和MTK1。
本发明中,在通信过程中,还需要进行组播密钥的更新处理,以MGTEK的一次更新为例,如图3所示,相应的处理过程具体包括步骤31在当前使用的旧的密钥MGTEKn-1生命期结束之前,MBS密钥管理中心产生新的密钥MGTEKn、MTKn及其参数,并生成MGTEKn的同步时间;步骤32MBS密钥管理中心按照如表1所规定的格式生成密钥分发消息MBS_KEY_DELIVER,并把该消息发送给相应MBS区内的所有基站;MBS_KEY_DELIVER消息的格式具体如下{Message Type=0x00,Code=10,MBSGSA ID,MGTEKn-Parameters,MTKn-ParametersMGTEKn SyncTime,}步骤33基站收到MBS_KEY_DELIVER消息后,存储MGTEKn、MTKn及相关参数,并为MGTEKn启动参考时间定时器MGTEK_Timer。
步骤34当MGTEK_Timer=MGTEKn SyncTime时,基站立即去激活MGTEKn-1和MTKn-1,开始使用MGTEKn和MTKn。
本发明中,在在使用某个密钥的生命期结束之前,如果基站未能接收到新的密钥,则可以主动向密钥管理中心申请密钥。
下面将以一个基站申请MGKEK的过程为例对相应的处理过程的具体实现进行说明,如图4所示,具体包括步骤41基站按照如表2所规定的格式生成组播密钥请求消息MBS_KEY_REQUEST,并把该消息发送到MBS密钥管理中心;MBS_KEY_REQUEST消息的格式具体如下{Message Type=0x01,Code=01,MBSGSA ID}表2
步骤42MBS密钥管理中心收到基站的组播密钥请求消息后,按表1规定格式生成如下MBS_KEY_DELIVER消息,回复给请求组播密钥的基站;MBS_KEY_DELIVER消息的格式如下{Message Type=0x00,Code=01,MBSGSA ID,MGKEKm-Parameters,MGKEKm SyncTime,}步骤43基站收到MBS_KEY_DELIVER消息后,存储MGKEKm及相关参数,并为MGKEKm启动参考时间定时器MGKEK_Timer。
步骤44当MGKEK_Timer=MGKEKm SyncTime时,基站立即去激活旧密钥MGKEKm-1,开始使用新密钥MGKEKm。
本发明中,如果有新加入的基站,或者个别基站由于某些原因需要从新获取组播密钥,则如图5所示,具体的处理过程包括如下步骤步骤51需要从新获取组播密钥的基站按照如表2所规定的格式生成组播密钥请求消息MBS_KEY_REQUEST,并将该消息发送到MBS密钥管理中心,以请求获取相应的组播密钥信息;MBS_KEY_REQUEST消息的格式如下{Message Type=0x01,Code=00,MBSGSA ID}步骤52参见图2中所述的步骤24,将生成的MBS_KEY_DELIVER消息回复给请求组播密钥的基站;步骤53-55这几步骤的处理与图2中的步骤25-27的处理过程相同,故此处不再详述。
本发明还提供了一种多基站间实现组播密钥同步的系统,其具体实现方式如图6所示,具体包括以下组成模块(1)同步参考时间处理模块分别设置于各个基站及密钥管理中心上,用于建立各基站与密钥管理中心的同步的参考时间;(2)密钥分发处理模块设置于密钥管理中心,用于将为各基站生成新的密钥及对应的同步时间信息,并分别下发给各个基站;所述的密钥分发处理模块具体包括以下三个组成模块密钥生成模块用于在各基站当前使用的密钥的生命周期结束之前,为其生成新的密钥;同步时间确定模块这密钥生成模块生成的密钥确定对应的同步时间;密钥发送处理模块将密钥生成模块生成的新的密钥及同步时间确定模块为密钥确定的对应的同步时间信息通过生成密钥分发消息发送给各基站。
(3)密钥启用处理模块设置于基站中,用于对接收到的新的密钥根据其对应的同步时间信息确定启用时间,并在到达启用时间时启用新的密钥。
所述的密钥启用处理模块具体包括以下三个组成部分密钥接收模块用于接收密钥管理中心发来的新的密钥及其对应的同步时间信息;定时器根据所述的同步时间信息启动定时器;密钥启用模块在定时器的触发下启用密钥接收模块接收到的密钥。
综上所述,本发明是在MBS区内基站间参考时间同步的基础上,解决了基站间组播密钥同步的问题,保证在任意时刻从MBS区内各基站接收到的组播信号均为采用相同的组播密钥加密,从而很好的支持了宏分集。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种多基站间实现组播密钥同步的方法,其特征在于,包括A、多个基站与密钥管理中心之间建立同步的参考时间;B、密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息;C、在各个基站上,根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥。
2.根据权利要求1所述的方法,其特征在于,所述的步骤A包括多个基站与密钥管理中心之间通过同步各自的系统时间以建立同步的参考时间;或者,多个基站与密钥管理中心之间专门建立相应的同步的参考时间。
3.根据权利要求1所述的方法,其特征在于,所述的步骤B包括密钥管理中心将待分发给各个基站的密钥及所述的同步时间信息承载于同一消息中发送给各个基站,且在为基站初始为分密钥时,需要在所述的消息中同时承载旧的密钥和新的密钥。
4.根据权利要求3所述的方法,其特征在于,所述的步骤B包括密钥管理中心分别为待分发给各个基站的密钥加密密钥和业务加密密钥确定对应的同步时间信息,并与所述的密钥加密密钥和业务加密密钥一起通过密钥分发消息发送给各个基站。
5.根据权利要求1所述的方法,其特征在于,所述的步骤B包括B1、在密钥管理中心向各个基站分发密钥时,还向各个基站发送相应的启用该分发的新的密钥的同步时间信息;或者,B2、在密钥管理中心向各个基站分发密钥时,还向各个基站发送该密钥的生命周期结束时间,且各个基站将所述的结束时间作为基站启用新的密钥的时间。
6.根据权利要求1、2、3、4或5所述的方法,其特征在于,所述的步骤C包括各个基站收到新有密钥后,在新的密钥对应的表示启用该密钥的同步时间到达时,则启用所述新的密钥;或者,各个基站收到新的密钥后,在当前使用的密钥对应的表示其生命周期结束时间的同步时间到达时,则启用所述新的密钥。
7.根据权利要求6所述的方法,其特征在于,所述的步骤C包括各个基站在收到新的密钥后,根据收到的表示启用该新的密钥的同步时间信息及当前的参考时间信息启动相应的定时器,并在定时器超时时启用所述新的密钥,去激活原有的密钥;或者,各个基站收到当前使用的密钥时,根据收到的表示当前密钥生命周期结束的同步时间信息及当时的参考时间信息启动相应的定时器,并在定时器超时时,启用各个基站收到的新的密钥,去激活当前使用原有的密钥。
8.根据权利要求6所述的方法,其特征在于,所述的方法还包括D、在原有的密钥对应的生命周期结束之前,密钥管理中心生成相应的新的密钥及对应的同步时间信息,并执行所述的步骤B。
9.根据权利要求8所述的方法,其特征在于,在执行所述的步骤D之前,还包括E、在当前使用的密钥的生命周期结束之前,且基站未收到新的密钥,则主动向密钥管理中心申请密钥,并执行步骤D。
10.根据权利要求9所述的方法,其特征在于,所述的步骤E包括基站向密钥管理中心发送组播密钥请求消息,消息中携带着组播广播服务组安全联盟标识信息;密钥管理中心收到所述的请求消息后,根据所述的组播广播服务组安全联盟标识信息生成相应的新的密钥及对应的同步时间信息,并执行步骤B。
11.一种多基站间实现组播密钥同步的系统,其特征在于,包括同步参考时间处理模块分别设置于各个基站及密钥管理中心上,用于建立各基站与密钥管理中心的同步的参考时间;密钥分发处理模块设置于密钥管理中心,用于将为各基站生成新的密钥及对应的同步时间信息,并分别下发给各个基站;密钥启用处理模块设置于基站中,用于对接收到的新的密钥根据其对应的同步时间信息确定启用时间,并在到达启用时间时启用新的密钥。
12.根据权利要求11所述的系统,其特征在于,所述的密钥分发处理模块包括密钥生成模块用于在各基站当前使用的密钥的生命周期结束之前,为其生成新的密钥;同步时间确定模块这密钥生成模块生成的密钥确定对应的同步时间;密钥发送处理模块将密钥生成模块生成的新的密钥及同步时间确定模块为密钥确定的对应的同步时间信息通过密钥分发消息发送给各基站。
13.根据权利要求11或12所述的系统,其特征在于,所述的密钥启用处理模块包括密钥接收模块用于接收密钥管理中心发来的新的密钥及其对应的同步时间信息;定时器根据所述的同步时间信息启动定时器;密钥启用模块在定时器的触发下启用密钥接收模块接收到的密钥。
全文摘要
本发明涉及一种多基站间实现组播密钥同步的方法及系统。本发明主要包括首先,在多个基站与密钥管理中心之间建立同步的参考时间;之后,由密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息;使得在各个基站上,可以根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥,以保证各个基站可以同步启用新的密钥。因此,本发明的实现能够使得在任意时刻从不同基站接收到的组播信息均为采用相同的组播密钥加密,有效保证了宏分集技术在无线通信系统中的实现。
文档编号H04L9/08GK101030849SQ20061005831
公开日2007年9月5日 申请日期2006年3月1日 优先权日2006年3月1日
发明者王海宁, 杜海涛, 林志斌, 单长虹 申请人:华为技术有限公司