专利名称:确定密钥更新时间的方法及密钥使用实体的制作方法
技术领域:
本发明涉及无线通信技术领域,尤其涉及ー种确定密钥更新时间的方法及系统
背景技术:
在无线通信网络中,为了保证MBS (组播广播业务)的通信安全,空ロ传输的数据都用组播密钥加密,以保证无线通信网络仅允许 签约该业务的用户才能接收该业务。为了防止密钥泄露威胁通信安全,GTEK(组播业务加密密钥)需要定期更换。同时为了保证通信业务的连续性,基站和终端之间要建立协同关系,在旧密钥生命周期结束之前,从密钥管理实体处获得新密钥,保证在旧密钥过期时可以立即更新旧密钥,以确保无线通信业务安全、顺利进行。在现有技术条件下的MBS中,所述的GTEK是基站在M&B TEK Grace Time (组播多播业务加密密钥优雅时间)到期或者初始分发GTEK密钥參数时,通过广播连接向終端分发的。所述的M&B TEK Grace Time是指基站侧在此时间到达时,发起GTEK更新。若终端在设定的TEK Grace Time (业务加密密钥优雅时间)过期时,仍然没有收到基站发送的新GTEK參数,那么,终端的TEK (业务加密密钥)状态机将通过主管理连接向基站发送GTEK请求消息。所述的TEK Grace Time是指终端侧在此时间到达时,发起GTEK更新请求。基站在收到GTEK请求消息后,通过密钥回复消息向终端发送新的GTEK參数。具体过程如图I所示。所述的GTEK參数具体可以包括GTEK、GTEK生命时间、GTEK序列号、CBC(加密块模式)初始向量、相关联的GTEK序列号。其中,GTEK生命时间是指GTEK的过期时间。在现有技术条件下,由于通信系统对于移动情况下的终端无法通过网管配置管理信息,因此,网管无法为终端配置包括M&B TEK Grace Time或TEKGrace Time在内的系统參数,而终端为了保证业务安全、连续的进行,则必须自己分配TEK Grace Time。在上述实现方案中,基站侧的M&B TEK Grace Time与終端所属组播安全联盟相关联的状态机中的TEK Grace Time的相对大小无法确定,使得可能在基站侧即将发起密钥更新之前,终端依然根据自身设定的TEK Grace Time值发起密钥更新操作,这ー情况显然导致处理程序上的浪费,同时还消耗了宝贵的网络资源,以及影响了密钥更新的效率。
发明内容
本发明一方面提供了ー种确定密钥更新时间的方法,包括在密钥使用实体移动状态下,密钥使用实体接收密钥管理实体发送的组播密钥更新时间,所述组播密钥更新时间包括M&B TEK Grace Time或TEK Grace Time ;如果所述密钥使用实体接收到的组播密钥更新时间中包含所述M&BTEK Grace Time,则所述密钥使用实体按照所述密钥使用实体的密钥更新时间将组播安全联盟相关联的状态机中的TEK Grace Time设置为小于所述M&BTEK Grace Time的值;或者,如果所述密钥使用实体接收到的组播密钥更新时间中包含所述TEK Grace Time,则所述密钥使用实体按照所述密钥使用实体的密钥更新时间将组播安全联盟相关联的状态机中的TEK Grace Time设置为所述组播密钥更新时间中包含的所述 TEK Grace Time 的值。本发明另一方面还提供了一种密钥使用实体,所述密钥使用实体在移动状态下,所述密钥使用实体包括接 收单元和处理单元。上述接收单元用于接收密钥管理实体发送的组播密钥更新时间,所述组播密钥更新时间包括M&BTEK Grace Time或TEK Grace Time。上述处理单元用于如果所述接收単元接收到的组播密钥更新时间中包含所述M&B TEKGrace Time,则按照所述密钥使用实体的密钥更新时间将组播安全联盟相关联的状态机中的TEKGrace Time设置为小于所述M&B TEK Grace Time的值;或者,如果所述接收单元接收到的组播密钥更新时间中包含所述TEK Grace Time,则按照所述密钥使用实体的密钥更新时间将组播安全联盟相关联的状态机中的TEK Grace Time设置为所述组播密钥更新时间中包含的所述TEK Grace Time的值。由上述本发明提供的技术方案可以看出,本发明由于规定了密钥使用实体根据由密钥管理实体负责配置和发送的组播密钥更新时间,来设定密钥使用实体的密钥更新时间,从而确保了密钥使用实体在移动的背景下,稳定、可靠的获得密钥管理实体发送的GTEK參数,提高了无线通信系统的稳定性和安全性。
图I为现有技术中终端获得基站配置的GTEK參数的流程图;图2为本发明所述方法的具体实现过程示意图;图3为在广播系统中本发明所述方法的具体实现过程示意图;图4为在单播系统中本发明所述方法的具体实现过程示意图;图5为本发明所述装置的具体实现结构示意图。
具体实施例方式本发明的主要目的是在通信系统中,为保证网络侧的密钥更新优先于终端侧的密钥更新操作,要求网络侧事先设定的M&B TEK Grace Time (组播多播业务加密密钥优雅时间)值比终端自己设定的TEK Grace Time (业务加密密钥优雅时间)的值大,以保证M&BTEK Grace Time时间先到达,从而使得基站侧优先发起GTEK參数更新,以提高密钥更新的效率。在通信系统中,为保证事先设定的M&B TEK Grace Time值比终端自己设定的TEKGrace Time的值大,本发明主要采用的技术方案为由密钥管理实体将组播密钥更新时间下发给密钥使用实体,从而使得密钥使用实体可以根据下发的组播密钥更新时间设置满足条件的密钥使用实体发起的密钥更新时间。为了便于对本发明的理解,下面结合附图2,分步骤对本发明的具体实现进行详细说明步骤21 :密钥使用实体向密钥管理实体发送密钥更新请求消息,请求密钥管理实体发送新的GTEK參数以替换到期的旧GTEK參数,所述的密钥管理实体包括密钥生成实体、密钥分发实体、和/或基站,所述的密钥使用实体包括終端和/或基站;步骤22 :密钥管理实体接收并获取密钥使用实体发送的密钥更新请求消息后,确定组播密钥更新时间,所述的组播密钥更新时间包括M&B TEK Grace Time或TEK GraceTime ;步骤23 :密钥管理实体通过发送组播密钥更新消息或组播密钥回复消息将组播密钥更新时间发送给密钥使用实体,具体可以包括若所述密钥管理实体在通过广播模式发送组播密钥更新时间时,采用组播密钥更新消息;若所述密钥管理实体在通过单播模式发送组播密钥更新时间时,采用组播密钥回复消息;本发明所述的组播密钥更新时间,包括M&B TEK Grace Time或TEK Grace Time可以作为所述消息中的ー个属性參数,也可以作为消息中包含的GTEK參数中的ー个属性參数,此时,所述的GTEK參数具体可以包括GTEK、GTEK生命时间、GTEK序列号、CBC初始向量、相关联的 GKEK 序列号,以及 M&B TEK Grace Time 或 TEK Grace Time。
步骤24 :密钥使用实体根据接收并获取的组播密钥更新时间来确定密钥使用实体的密钥更新时间,即密钥使用实体所属的组播安全联盟相关联的状态机中的TEK GraceTime ;此步骤具体可以包括(I)若密钥使用实体接收并获取到的消息中包含的组播密钥更新时间是M&B TEKGrace Time,则密钥使用实体将其所属的组播安全联盟相关联的状态机中的TEK GraceTime值设定ー个小于密钥管理实体设定的M&B TEK Grace Time值,以便于M&B TEK GraceTime时间先到达,基站侧优先发起更新,若更新成功,则无需终端发起更新,这样就达到了本发明的目的;(2)若密钥使用实体接收并获取到的消息中包含的组播密钥更新时间是TEKGrace Time,则密钥使用实体将其所属的组播安全联盟相关联的状态机中的TEK GraceTime设定ー个与密钥管理实体设定的TEK Grace Time相同的值,由于密钥管理实体在配置之初,已经将TEK Grace Time值设定为小于M&B TEK Grace Time值,所以,也可以达到本发明的目的。所述密钥管理实体在将组播密钥更新时间发送给密钥使用实体时,可以通过广播模式或单播模式,为便于对本发明的理解,下面将结合附图对本发明所属的不同传输模式进行详细的说明I、在广播传输模式时,具体实现过程示意图如图3所示,具体可以包括密钥管理实体在初始下发GTEK參数或者GTEK參数更新时,将组播密钥更新时间M&B TEK GraceTime或者TEK Grace Time通过发送组播密钥更新消息下发给密钥使用实体。所述的密钥更新时间可以作为组播密钥更新消息中包含的ー个属性參数,也可以作为组播密钥更新消息中包含的GTEK參数中的ー个属性參数。所述的密钥管理实体可以包括密钥生成实体、密钥分发实体、和/或基站;所述的密钥使用实体可以包括終端和/或基站。2、在单播传输模式时,具体实现过程示意图如图4所示,具体可以包括(I)在GTEK參数初始化或者更新时,密钥使用实体向密钥管理实体发送密钥请求消息,请求密钥管理实体发送新GTEK參数;(2)密钥管理实体通过发送密钥回复消息将组播密钥更新时间发送给密钥使用实体。
所述的组播密钥更新时间可以作为密钥回复消息中包含的ー个属性參数,也可以作为组播密钥更新消息中包含的GTEK參数中的ー个属性參数。所述的密钥管理实体包含密钥生成实体、密钥分发实体、和/或基站。所述的密钥使用实体包含終端和/或基站。本发明还提供了ー种确定密钥更新时间的系统,包括密钥管理实体和密钥使用实体,具体实现结构如图5所示,所述系统主要包括以下组成单元(I)密钥发送单元设置于密钥管理实体中,用于将组播密钥更新时间通过组播密钥更新消息或组播密钥回复消息发送给密钥使用实体中的密钥接收单元;所述的密钥更新时间可以作为组播密钥更新消息或组播密钥回复消息中包含的 ー个属性參数,也可以作为组播密钥更新消息中包含的GTEK參数中的ー个属性參数;(2)密钥接收单元设置于密钥使用实体中,用于接收并获取所述的组播密钥更新时间信息,并将信息传递给密钥更新时间确定单元;(3)密钥更新时间确定单元设置于密钥使用实体中,用于根据密钥接收单元获取的组播密钥更新时间确定密钥使用实体的密钥更新时间信息;在本发明所述的系统中,所述的密钥接收単元接收的组播密钥更新时间包括M&BTEK Grace Time 或 TEK Grace Time ;而且,当所述的组播密钥更新时间为M&B TEK Grace Time时,则密钥更新时间确定单元将密钥使用实体中的TEK Grace Time设定为一个小于M&B TEK Grace Time的值,以确定密钥使用实体的密钥更新时间;或者,当所述的组播密钥更新时间为TEK Grace Time吋,则密钥更新时间确定单元将密钥使用实体中的TEK Grace Time设定为密钥管理实体确定的值,以确定密钥使用实体的密钥更新时间。(4)密钥更新请求单元设置于密钥使用实体中,用于在旧GTEK參数即将到期时向密钥管理实体发送密钥更新请求消息,请求密钥管理单元发送新GTEK參数;(5)密钥更新请求处理单元设置于密钥管理实体中,用于接收密钥更新请求单元发来的密钥更新请求消息,并触发所述的密钥发送単元。在本发明所述的系统中,所述的密钥管理实体包括密钥生成实体、密钥分发实体、和/或基站;在本发明所述的系统中,所述的密钥使用实体包括終端和/或基站。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.ー种确定密钥更新时间的方法,其特征在于,该方法包括 密钥使用实体接收密钥管理实体发送的组播密钥更新时间;所述密钥使用实体在移动状态下;所述组播密钥更新时间包括组播多播业务加密密钥优雅时间M&B TEK GraceTime或业务加密密钥优雅时间TEK Grace Time ; 如果所述密钥使用实体接收到的组播密钥更新时间中包含所述M&B TEK Grace Time,则所述密钥使用实体按照所述密钥使用实体的密钥更新时间将组播安全联盟相关联的状态机中的TEK Grace Time设置为小于所述M&B TEK Grace Time的值;或者, 如果所述密钥使用实体接收到的组播密钥更新时间中包含所述TEK Grace Time,则所述密钥使用实体按照所述密钥使用实体的密钥更新时间将组播安全联盟相关联的状态机中的TEK Grace Time设置为所述组播密钥更新时间中包含的所述TEK Grace Time的值。
2.根据权利要求I所述的方法,其特征在于,所述的密钥使用实体包括終端和/或基站。
3.根据权利要求I所述的方法,其特征在于,所述方法中,所述M&BTEK Grace Time或TEK Grace Time包含在密钥管理实体发送的组播密钥更新消息或组播密钥回复消息中。
4.根据权利要求I所述的方法,其特征在干, 所述M&B TEK Grace Time或TEK Grace Time包含在所述组播密钥更新消息或组播密钥回复消息中,作为所述组播密钥更新消息或组播密钥回复消息中的ー个參数;或者, 所述M&B TEK Grace Time或TEK Grace Time包含在组播密钥更新消息或组播密钥回复消息内的组播业务加密密钥GTEK參数中。
5.根据权利要求4所述的方法,其特征在于,所述GTEK參数中还包含GTEK、GTEK生命时间、GTEK序列号、加密块链模式CBC初始向量和相关联的GTEK序列号。
6.一种密钥使用实体,其特征在于,所述密钥使用实体在移动状态下,所述密钥使用实体包括 接收单元,用于接收密钥管理实体发送的组播密钥更新时间,所述组播密钥更新时间包括组播多播业务加密密钥优雅时间M&B TEK Grace Time或业务加密密钥优雅时间TEKGrace Time ;和 处理单元,用于如果所述接收単元接收到的组播密钥更新时间中包含所述M&B TEKGrace Time,则按照所述密钥使用实体的密钥更新时间将组播安全联盟相关联的状态机中的TEK Grace Time设置为小于所述M&B TEK Grace Time的值;或者, 如果所述接收单元接收到的组播密钥更新时间中包含所述TEK Grace Time,则按照所述密钥使用实体的密钥更新时间将组播安全联盟相关联的状态机中的TEK Grace Time设置为所述组播密钥更新时间中包含的所述TEKGrace Time的值。
7.根据权利要求6所述的密钥使用实体,其特征在于,所述的密钥使用实体包括:终端和/或基站。
8.根据权利要求6所述的密钥使用实体,其特征在于,所述方法中,所述M&BTEK GraceTime或TEK Grace Time包含在密钥管理实体发送的组播密钥更新消息或组播密钥回复消息中。
9.根据权利要求6所述的密钥使用实体,其特征在干, 所述M&B TEK Grace Time或TEK Grace Time包含在所述组播密钥更新消息或组播密钥回复消息中,作为所述组播密钥更新消息或组播密钥回复消息的ー个參数;或者, 所述M&B TEK Grace Time或TEK Grace Time包含在组播密钥更新消息或组播密钥回复消息内的组播业务加密密钥GTEK參数中。
10.根据权利要求9所述的密钥使用实体,其特征在干,所述GTEK參数中还包含GTEK, GTEK生命时间、GTEK序列号、加密块链模式CBC初始向量和相关联的GTEK序列号。
全文摘要
本发明涉及一种确定密钥更新时间的方法及密钥使用实体。本发明的方法包括密钥使用实体接收密钥管理实体发送的组播密钥更新时间,并根据该组播密钥更新时间确定密钥使用实体的密钥更新时间信息。通过本发明提供的技术方案确保了密钥使用实体在移动的背景下,稳定、可靠的获得密钥管理实体发送的组播业务加密密钥参数,提高了无线通信系统的稳定性和安全性。
文档编号H04W12/04GK102711104SQ20121014904
公开日2012年10月3日 申请日期2006年9月7日 优先权日2006年9月7日
发明者单长虹 申请人:华为技术有限公司