专利名称:一种适合组呼系统的组播密钥协商方法及系统的制作方法
技术领域:
本发明属网络安全领域,涉及一种组呼系统的组播密钥协商方法及系统,尤其涉 及一种适合SCDMA宽带接入技术的组呼系统的组播密钥协商方法及系统。
背景技术:
SCDMA(Synchronous Code Division Multiple Access)是一种同步码分多址的 宽带无线接入技术,它采用了智能天线、软件无线电、以及自主开发的SWAP(SynChronoUS Wireless Access Protocol)空中接口协议等先进技术,是一个全新的体系,一个全新的 我国拥有完整自主知识产权的第三代无线通信技术标准,可以以组呼的方式开展业务。在 SCDM A技术标准的用户终端(UT,UserTerminal)和基站(BS,Base Station)通信的空中接 口安全的方案中,并没有对组呼系统的组播密钥的协商方法进行描述。考虑到SCDMA宽带接入技术的组呼系统特点,业务组的组播密钥的生成、更新与 组成员发生切换后的组播密钥的使用应具备以下要求1)基站BS不记录每个用户终端UT 所附属的组消息;2)基站BS提供不同的业务组,所服务的同一业务组的用户终端UT可能 分散于不同的基站BS下;3)由于需要具备切换能力,应由基站BS来生成业务组的组播密 钥。SCDMA网络中的组呼业务的都需要通过组播的方式进行开展,没有安全的组播密钥协商 的方法和系统无法保证利用组播开展的组呼业务能够更加有效地进行。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种安全性更高的适合 组呼系统的组播密钥协商方法及系统。本发明的技术解决方案是本发明为一种适合组呼系统的组播密钥协商方法,其 特殊之处在于所述适合组呼系统的组播密钥协商方法包括以下步骤1)用户终端UT和基站BS协商单播密钥,根据单播密钥导出信息加密密钥和完整 性校验密钥,并且用户终端UT向基站BS注册需要注册的业务组标识;2)基站BS向用户终端UT通告UT需要申请的业务组的组播密钥,构建组播密钥通 告分组发送给用户终端UT,该分组包括随机数、业务组密钥申请列表和消息完整性校验 值,其中,业务组密钥申请列表包括UT需要申请的业务组标识和业务组的组播密钥,此业 务组密钥申请列表是使用步骤1)中单播密钥导出信息加密密钥加密后的密文形式存在;3)用户终端UT收到基站BS发来的组播密钥通告分组后,解密业务组密钥申请列 表,得到UT需要申请的业务组的组播密钥,构建组播密钥确认分组发送给基站BS,该分组 包括随机数、业务组密钥响应列表和消息完整性校验值,其中,业务组密钥响应列表包括 完成申请的所有业务组标识,此业务组密钥响应列表是使用步骤1)中单播密钥导出信息 加密密钥加密后的密文形式存在;4)基站BS根据收到用户终端UT发来的组播密钥确认分组,可确认UT业务组的组 播密钥建立成功。
上述步骤2)中,如果业务组的组播密钥在网络中是第一次被申请,则由基站BS生成此业务组的组播密钥;如果此业务组的组播密钥在网络中已经被申请过,则基站BS直接 转发此业务组第一次被申请的组播密钥。上述步骤4)之后还包括5)基站BS在更新业务组的组播密钥过程中,使用旧的业务组的组播密钥对组播数据帧进行加密发送,当对所有已关联到该BS的UT均完成业务组 的组播密钥协商后,才启用最新通告的业务组的组播密钥用于组播数据帧的加密发送。上述步骤3)的具体实现方式是用户终端UT收到组播密钥通告分组后,使用导出 的完整性校验密钥验证其中的消息完整性校验值,判断其是否正确,如果不正确则放弃该 分组;如果正确,则由用户终端UT解密业务组密钥申请列表,根据列表中业务组标识来确 认是否为UT所申请的业务组,如果组密钥列表中在业务组标识与UT在步骤1)中注册的业 务组相同,则可得到UT需要申请的业务组的组播密钥,向基站BS反馈组播密钥确认分组。上述步骤4)具体实现方式是基站BS收到用户终端UT发来的组播密钥确认分组 后的具体处理方式是基站BS收到用户终端UT发来的组播密钥确认分组后,使用导出的完 整性校验密钥验证其中的消息完整性校验值,判断其是否正确,如果不正确则放弃该分组; 如果正确,则由基站BS解密业务组密钥响应列表,根据列表中业务组标识来确认是否为UT 所申请的业务组,如果组密钥列表中在业务组标识与UT在步骤1)中注册的业务组相同,则 可确认UT业务组的组播密钥建立成功。上述步骤2)中,该组播密钥通告分组中还包括消息交互机制标识、本条消息标 识、组播密钥安全关联、基站BS标识、用户终端UT标识、单播密钥索引。上述步骤3)中,该组播密钥确认分组中还包括消息交互机制标识,本条消息标 识、组播密钥安全关联、基站BS标识、用户终端UT标识、单播密钥索引。一种适合组呼系统的组播密钥协商系统,其特殊之处在于所述适合组呼系统的 组播密钥协商系统包括用户终端UT以及基站BS ;所述基站BS向用户终端UT发送组播密 钥通告分组;所述用户终端UT收到组播密钥通告分组后,对组播密钥通告分组中的业务组 密钥申请列表解密得到业务组的组播密钥,构建组播密钥确认分组发送给基站BS。本发明的优点是尤其适合SCDMA宽带接入技术的组呼系统的组播密钥协商方法及系统,在SCDMA 现有方案中并没有对组呼系统的组播密钥的协商方法进行描述,本发明提供安全的组播密 钥协商的方法和系统,保证利用组播开展的组呼业务能够更加有效地进行;
图1为本发明所提供的适合组呼系统的组播密钥协商过程框架示意图。
具体实施例方式参见图1,本发明提供了一种适合组呼系统的组播密钥协商方法,该方法包括以下 步骤1)用户终端UT和基站BS协商单播密钥TEK (每个单播密钥TEK对应一个单播密 钥索引TEKID),并导出信息加密密钥和完整性校验密钥,并且通过业务注册,用户终端UT 向基站BS告知自己所属的业务组标识GID ;
2)组播密钥通告分组由基站BS发向用户终端UT;基站BS向用户终端UT通 告UT需要申请的业务组的组播密钥,构建组播密钥通告分组;该分组包括单播密钥索引 NONCE (基站BS生成的保证消息新鲜性随机数)、业务组密钥申请列表(业务组密钥申请列 表包括UT需要申请的业务组标识GID和业务组的组播密钥GEK。如果此业务组的组播密 钥在网络中是第一次被申请,则由BS生成此业务组的组播密钥;如果此业务组的组播密钥 在网络中已经被申请过,则BS直接转发此业务组第一次被申请的组播密钥,此列表是使用 TEKID对应的密钥导出的信息加密密钥加密后的密文形式存在)和消息完整性校验MIC值 (使用TEKID对应的密钥导出的完整性校验密钥计算消息的完整性校验值);
3)组播密钥确认分组由用户终端UT发向基站BS ;用户终端UT收到组播密钥 通告分组后,由单播密钥索引TEKID对应的密钥导出的完整性校验密钥验证其中的消息完 整性校验MIC值,如果不正确则放弃该分组,如果正确,则由用户终端UT解密业务组密钥 申请列表,根据列表中业务组标识GID来确认是否为用户终端UT所申请的业务组,如果组 密钥申请列表中在业务组标识GID与用户终端UT在步骤1)中注册的业务组相同,则可得 到UT需要申请的业务组的组播密钥GEK,然后反馈组播密钥确认分组,包括单播密钥索引 NONCE (随机数,同组播密钥通告分组)、业务组密钥响应列表(业务组密钥响应列表包括UT 需要申请的业务组标识GID,此列表是使用单播密钥索引TEKID对应的密钥导出的信息加 密密钥加密后的密文形式存在)和消息完整性校验MIC值(使用单播密钥索引TEKID对应 的密钥导出的完整性校验密钥计算消息的完整性校验值);4)基站BS收到用户终端UT发来的组播密钥确认分组后,使用单播密钥索引 TEKID对应的密钥导出的完整性校验密钥验证其中的消息完整性校验MIC值,判断其是否 正确,如果不正确则放弃该分组;如果正确,则由基站BS解密业务组密钥响应列表,根据列 表中业务组标识GID来确认是否为用户终端UT所申请的业务组,如果组密钥响应列表中的 业务组标识与用户终端UT在步骤1)中注册的业务组相同,则可确认UT业务组的组播密钥 GEK建立成功。5)基站BS在更新业务组的组播密钥过程中,使用旧的业务组的组播密钥对组播 数据帧进行加密发送,当对所有已关联到该基站BS的用户终端UT均完成业务组的组播密 钥协商后,才启用最新通告的业务组的组播密钥用于组播数据帧的加密发送。6)为了工程实现的方便,组播密钥通告分组中还可以包括消息交互机制标识 FLAG、本条消息标识PFLAG、组播密钥安全关联MEKID、基站BS标识BSID、用户终端UT标识 UTID、单播密钥索引TEKID。7)为了工程实现的方便,组播密钥确认分组中还可以包括消息交互机制标识 FLAG(同组播密钥通告分组中对应值)、本条消息标识PFLAG、组播密钥安全关联MEKID (同 组播密钥通告分组中对应值)、基站BS标识BSID (同组播密钥通告分组中对应值)、用户终 端UT标识UTID (同组播密钥通告分组中对应值)、单播密钥索引TEKID (同组播密钥通告分 组中对应值)。本发明还提供一种适合组呼系统的组播密钥协商系统,该系统包括用户终端UT 以及基站BS ;所述基站BS向用户终端UT发送组播密钥通告分组;所述用户终端UT收到组 播密钥通告分组后,对组播密钥通告分组中的业务组密钥申请列表解密得到业务组的组播 密钥,构建组播业务确认分组发送给基站BS。
权利要求
一种适合组呼系统的组播密钥协商方法,其特征在于所述适合组呼系统的组播密钥协商方法包括以下步骤1)用户终端UT和基站BS协商单播密钥,根据单播密钥导出信息加密密钥和完整性校验密钥,并且用户终端UT向基站BS注册需要注册的业务组标识;2)基站BS向用户终端UT通告UT需要申请的业务组的组播密钥,构建组播密钥通告分组发送给用户终端UT,该分组包括随机数、业务组密钥申请列表和消息完整性校验值,其中,业务组密钥申请列表包括UT需要申请的业务组标识和业务组的组播密钥,此业务组密钥申请列表是使用步骤1)中单播密钥导出信息加密密钥加密后的密文形式存在;3)用户终端UT收到基站BS发来的组播密钥通告分组后,解密业务组密钥申请列表,得到UT需要申请的业务组的组播密钥,构建组播密钥确认分组发送给基站BS,该分组包括随机数、业务组密钥响应列表和消息完整性校验值,其中,业务组密钥响应列表包括完成申请的所有业务组标识,此业务组密钥响应列表是使用步骤1)中单播密钥导出信息加密密钥加密后的密文形式存在;4)基站BS根据收到用户终端UT发来的组播密钥确认分组,确认UT业务组的组播密钥建立成功。
2.根据权利要求1所述的适合组呼系统的组播密钥协商方法,其特征在于所述步骤 2)中,如果业务组的组播密钥在网络中是第一次被申请,则由基站BS生成此业务组的组播 密钥;如果此业务组的组播密钥在网络中已经被申请过,则基站BS直接转发此业务组第一 次被申请的组播密钥。
3.根据权利要求2所述的适合组呼系统的组播密钥协商方法,其特征在于所述步骤 4)之后还包括5)基站BS在更新业务组的组播密钥过程中,使用旧的业务组的组播密钥对 组播数据帧进行加密发送,当对所有已关联到该BS的UT均完成业务组的组播密钥协商后, 才启用最新通告的业务组的组播密钥用于组播数据帧的加密发送。
4.根据权利要求1或2或3所述的适合组呼系统的组播密钥协商方法,其特征在于 所述步骤3)的具体实现方式是用户终端UT收到组播密钥通告分组后,使用导出的完整性 校验密钥验证其中的消息完整性校验值,判断其是否正确,如果不正确则放弃该分组;如果 正确,则由用户终端UT解密业务组密钥申请列表,根据列表中业务组标识来确认是否为UT 所申请的业务组,如果组密钥列表中在业务组标识与UT在步骤1)中注册的业务组相同,则 可得到UT需要申请的业务组的组播密钥,向基站BS反馈组播密钥确认分组。
5.根据权利要求4所述的适合组呼系统的组播密钥协商方法,其特征在于所述步骤 4)具体实现方式是基站BS收到用户终端UT发来的组播密钥确认分组后的具体处理方式 是基站BS收到用户终端UT发来的组播密钥确认分组后,使用导出的完整性校验密钥验证 其中的消息完整性校验值,判断其是否正确,如果不正确则放弃该分组;如果正确,则由基 站BS解密业务组密钥响应列表,根据列表中业务组标识来确认是否为UT所申请的业务组, 如果组密钥列表中在业务组标识与UT在步骤1)中注册的业务组相同,则可确认UT业务组 的组播密钥建立成功。
6.根据权利要求5所述的适合组呼系统的组播密钥协商方法,其特征在于所述步骤 2)中,该组播密钥通告分组中还包括消息交互机制标识、本条消息标识、组播密钥安全关 联、基站BS标识、用户终端UT标识、单播密钥索引。
7.根据权利要求6所述的适合组呼系统的组播密钥协商方法,其特征在于所述步骤 3)中,该组播密钥确认分组中还包括消息交互机制标识,本条消息标识、组播密钥安全关 联、基站BS标识、用户终端UT标识、单播密钥索引。
8.一种适合组呼系统的组播密钥协商系统,其特征在于所述适合组呼系统的组播密 钥协商系统包括用户终端UT以及基站BS ;所述基站BS向用户终端UT发送组播密钥通告 分组;所述用户终端UT收到组播密钥通告分组后,对组播密钥通告分组中的业务组密钥申 请列表解密得到业务组的组播密钥,构建组播密钥确认分组发送给基站BS。
全文摘要
本发明涉及的是一种适合组呼系统的组播密钥协商方法及系统,所述适合组呼系统的组播密钥协商系统包括用户终端UT以及基站BS;基站BS向用户终端UT发送组播密钥通告分组;用户终端UT收到组播密钥通告分组后,对组播密钥通告分组中的业务组密钥申请列表解密得到业务组的组播密钥,构建组播密钥确认分组发送给基站BS;本发明适合SCDMA宽带接入技术的组呼系统的组播密钥协商方法及系统,在SCDMA现有方案中并没有对组呼系统的组播密钥的协商方法进行描述,是提供安全的组播密钥协商的方法和系统,保证利用组播开展的组呼业务能够更加有效地进行。
文档编号H04W12/10GK101800943SQ20101013688
公开日2010年8月11日 申请日期2010年3月31日 优先权日2010年3月31日
发明者曹军, 胡亚楠, 铁满霞, 黄振海 申请人:西安西电捷通无线网络通信股份有限公司