集群组呼业务加密方法及集群核心网与流程

本发明涉及
技术领域：
，尤其涉及一种集群组呼业务加密方法及集群核心网。
背景技术：
：组呼业务为集群的一项典型业务，对于属于同一群组的集群终端，该组成员共享一个下行信道，根据集群业务的组呼定义，组呼业务将信令业务或者数据业务通过点对多的信道共享给同一跟踪区(trackingarea，简称ta)下的所有小区下的群组用户。现有的组呼过程具体包括：(1)目前ccsa的集群规范中给出，在lte终端附着完成后，发起集群注册，注册成功后终端会向网络侧请求组信息，过程包括：集群终端向集群核心网发送组信息更新请求消息(groupinformationupdaterequest)；组信息有更新时，集群核心网向集群终端返回组信息更新命令消息(groupinformationupdatecommand)；则集群终端在接收到该消息后，向集群核心网发送组信息更新相应消息(groupinformationupdateresponce)。在lte终端附着完成后，发起集群注册，注册成功后终端会向网络侧请求组信息，集群核心网将集群终端所属的组信息通过组信息更新命令(groupinformationupdatecommand)消息携带给终端，该消息中包含组的根密钥信息。集群终端通过nas消息向网络侧发送组信息更新请求消息，或者网络侧组信息有更新时，通知集群终端。该nas消息针对终端，所以nas消息是有完保和加密的，所以该过程是安全的。(2)组呼建立过程具体包括：集群终端发起的组呼建立过程及调度台发起的组呼建立过程。其中，集群终端发起的组呼建立过程的组呼承载建立过程中，集群终端发起一个组呼呼叫时，基站群组上下文建立完成且各集群基站并行后，集群基站在集群共享信道上发送集群寻呼(trunkingpaging)消息和组呼配置(groupcallconfig)消息。其中groupcallconfig消息包括组呼配置指示(groupcallsetupindication)消息。调度台发起的组呼建立过程中，包括：调度台向集群核心网发送会话发起请求(sip(invite))；集群核心网向调度台反馈会话发起响应(sip(100trying))后，触发对集群终端的寻呼，使得集群基站向集群终端发送集群寻呼(trunkingpaging)消息；群组上下文建立后，集群基站向集群终端发送组呼配置(groupcallconfig)消息，该消息包括groupcallsetupindication消息。(3)组呼发起过程中，若组内某个集群终端迟后进入，流程如下：集群基站向该集群终端发送集群寻呼(trunkingpaging)消息和组呼配置(groupcallconfig)消息。其中groupcallconfig消息包括组呼配置指示(groupcallsetupindication)消息。(4)动态重组过程为新增一个集群终端，即该集群终端之前不属于该组，则集群核心网会向该集群终端发送携带有集群终端所属的组信息的组信息更新命令(groupinformationupdatecommand)消息，该消息中包含组的根密钥信息。由于该过程是将终端从空闲(idle)态变为连接态后下发的nas消息，该nas消息是针对终端的，所以该消息是有安全保护的。由此可见，现有技术中在集群终端注册后就请求一次密钥，后续只要没有达到密钥更新的周期，该组发起的所有组呼都采用相同的密钥，然而ccsa规范要求集群组呼采取一呼一密，现有的组呼过程无法达到规范要求。技术实现要素：针对现有技术的缺陷，本发明提供一种集群组呼业务加密方法及集群核心网，能够解决现有技术中的集群组呼过程无法实现集群组呼一呼一密，导致容易出现安全隐患的问题。第一方面，本发明提供了一种集群组呼业务加密方法，所述方法包括：集群核心网在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数；所述集群核心网根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥；所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，以供所述集群终端根据所述第一组呼参数及预先获取的根密钥信息确定新的密钥。优选地，所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，包括：所述集群核心网接收到集群终端发送的组信息更新请求消息后，向所述集群终端发送携带有所述第一组呼参数及所述根密钥信息的组信息更新命令消息；其中，所述组信息更新请求是所述集群终端进行集群注册时向所述集群核心网发送的。优选地，所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，包括：在动态重组过程中，所述集群核心网向新增的集群终端发送携带有所述第一组呼参数及所述根密钥信息的组信息更新命令消息。优选地，所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，包括：集群终端发起的组呼建立过程中，集群基站向集群终端发送集群寻呼消息后，所述集群核心网向所述集群终端发送携带有所述第一组呼参数的组呼配置指示消息。优选地，所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，包括：调度台发起的组呼建立过程中，群组上下文建立完成后，所述集群核心网向集群终端发送携带有所述第一组呼参数的组呼配置指示消息。优选地，所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，包括：在所述群组内的一个集群终端迟后进入所述群组时，集群基站向所述集群终端发送集群寻呼消息后，所述集群核心网向所述集群终端发送携带有所述第一组呼参数的组呼配置指示消息。优选地，所述方法还包括：当所述第一组呼参数对应的组呼叫次数达到预设值，或者达到预设时间时，所述集群核心网将当前密钥作为根密钥信息发送至所述群组内的各集群终端。第二方面，本发明提供了一种集群核心网，所述集群核心网包括：参数调整单元，用于在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数；密钥推演单元，用于所述集群核心网根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥；发送单元，在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，以供所述集群终端根据所述第一组呼参数及预先获取的根密钥信息确定新的密钥。优选地，所述发送单元，具体用于：接收到集群终端发送的组信息更新请求消息后，向所述集群终端发送携带有所述第一组呼参数及所述根密钥信息的组信息更新命令消息；其中，所述组信息更新请求是所述集群终端进行集群注册时向所述集群核心网发送的。优选地，所述集群核心网还包括：根密钥更新单元，用于：当所述第一组呼参数对应的组呼叫次数达到预设值，或者达到预设时间时，将当前密钥作为根密钥信息发送至所述群组内的各集群终端。由上述技术方案可知，本发明提供的一种集群组呼业务加密方法及集群核心网，集群核心网在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数；所述集群核心网根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥；所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，以供所述集群终端根据所述第一组呼参数及预先获取的根密钥信息确定新的密钥。如此，每次组呼呼叫完成后，组呼叫次数会更新，相应地密钥也会更新，使得每次组呼业务中对数据进行加密时都采用不同的密钥，达到了集群组呼过程中一呼一密的要求，安全性高，且对标准的改动较小。能够解决现有技术中的集群组呼过程无法实现集群组呼一呼一密，导致容易出现安全隐患的问题。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。图1是本发明一实施例提供的一种集群组呼业务加密方法的流程示意图；图2是本发明另一实施例提供的一种集群组呼业务加密方法的流程示意图；图3是本发明一实施例提供的一种集群核心网的结构示意图；图4是本发明另一实施例提供的一种集群核心网的结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图1是本发明一实施例中的一种集群组呼业务加密方法的流程示意图，本实施例中，执行主体为集群核心网，如图1所示，本实施例中的集群组呼业务加密方法包括步骤s1至步骤s3，具体如下：s1：集群核心网在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数。需要说明的是，本步骤s1之前，在群组内的集群终端进行集群注册时，集群核心网接收到该集群终端发送的组信息更新请求消息后，所述集群核心网向该集群终端发送了携带有该群组的根密钥信息的组信息更新命令消息(groupinformationupdatecommand)。即集群终端预先获取了对应的群组的根密钥信息。具体来说，集群核心网通过增加的第一组呼参数记录该群组发起组呼的次数，集群核心网在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数。举例来说，该群组第一次组呼呼叫时采用根密钥，第一次组呼呼叫完成后，集群核心网将本地记录的第一组呼参数对应的组呼叫次数加1。s2：所述集群核心网根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥。具体来说，集群核心网每次调整第一组呼参数后，会根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥。举例来说，所述第一组呼参数对应的组呼叫次数每加1，可将当前密钥采用预设的密钥推演算法向前推演一次，以得到一个新的密钥。s3：所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，以供所述集群终端根据所述第一组呼参数及预先获取的根密钥信息确定新的密钥。具体来说，集群核心网中第一组呼参数对应的组呼叫次数更新后，在下一次的组呼过程中，集群核心网将第一组呼参数发送至集群终端，以供集群终端根据第一组呼参数对应的组呼叫次数及本地保存的根密钥，采用预设的密钥推演算法获得新的密钥。即网络侧与集群终端的密钥推演采用固定算法，需根据跳数的值进行加密密钥的派生。由于密钥推演算法固定，所以终端将获取的密钥，根据跳数进行派生新的密钥。如此，实现了每次组呼呼叫后集群核心网与集群终端两侧中保存密钥的同时更新，从而采用新的密钥对数据进行加解密。由此可见，本实施例中集群核心网在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数；所述集群核心网根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥；所述集群核心网在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，以供所述集群终端根据所述第一组呼参数及预先获取的根密钥信息确定新的密钥。如此，每次组呼呼叫完成后，组呼叫次数会更新，相应地密钥也会更新，使得每次组呼业务中对数据进行加密时都采用不同的密钥，达到了集群组呼过程中一呼一密的要求，安全性高，且对标准的改动较小。能够解决现有技术中的集群组呼过程无法实现集群组呼一呼一密，导致容易出现安全隐患的问题。在本发明的一个可选实施例中，所述步骤s3，具体可包括：所述集群核心网接收到集群终端发送的组信息更新请求消息后，向所述集群终端发送携带有所述第一组呼参数及所述根密钥信息的组信息更新命令消息；其中，所述组信息更新请求是所述集群终端进行集群注册时向所述集群核心网发送的。具体来说，集群终端附着完成后发起集群注册，注册成功后，向所述集群核心网发送组信息更新请求消息；而集群核心网接收到集群终端发送的组信息更新请求消息后，向所述集群终端发送携带有所述第一组呼参数及所述根密钥信息的组信息更新命令消息(groupinformationupdatecommand)。在本发明的一个可选实施例中，所述步骤s3，具体可包括：在动态重组过程中，所述集群核心网向新增的集群终端发送携带有所述第一组呼参数及所述根密钥信息的组信息更新命令消息。如此，举例来说，在集群终端注册，向核心网发起组信息更新过程或者动态重组过程中，集群核心网在groupinformationupdatecommand消息中群组清单(grouplist)中增加下一跳计数(nexthoopcounter)对应的信元，nexthoopcounterie即为第一组呼参数，其对应组呼叫次数。该群组清单(grouplist)如表一：表一群组清单(grouplist)由表一可知，群组清单包括如下信元：组标识、组号码、组短号、组名字、组密码及下一跳计数。其中。还定义了下一跳计数(nexthoopcounter)信元的属性，其中m表示必选，o表示可选，以及其对应的格式tv以及长度4。需要说明的是，集群终端注册时，有可能该群组已经进行了多次呼叫，所以该nexthoopcounter信元有可能取值不为0，则集群终端需要在群组的根密钥的基础上进行推演使用。动态重组过程中，新增的集群终端在初始注册后没有获取该组的密钥，所以在动态重组时需要下发根密钥以及nexthoopcounter信元。在发明的一个可选实施例中，所述步骤s3，具体可包括：集群终端发起的组呼建立过程中，集群基站向集群终端发送集群寻呼消息后，所述集群核心网向所述集群终端发送携带有所述第一组呼参数的组呼配置指示消息。具体来说，集群终端发起的组呼建立过程的组呼承载建立过程中，集群终端发起一个组呼呼叫时，基站群组上下文建立完成且各集群基站并行后，集群基站在集群共享信道上发送集群寻呼(trunkingpaging)消息和组呼配置(groupcallconfig)消息。其中groupcallconfig消息包括组呼配置指示消息(groupcallsetupindication)，该组呼配置指示消息择则携带有所述第一组呼参数。在发明的一个可选实施例中，所述步骤s3，具体可包括：调度台发起的组呼建立过程中，群组上下文建立完成后，所述集群核心网向集群终端发送携带有所述第一组呼参数的组呼配置指示消息。具体来说，调度台发起的组呼建立过程时，调度台向集群核心网发送会话发起请求(sip(invite))；集群核心网向调度台反馈会话发起响应(sip(100trying))后，触发对集群终端的寻呼，使得集群基站向集群终端发送集群寻呼(trunkingpaging)消息；群组上下文建立后，集群基站向集群终端发送组呼配置(groupcallconfig)消息，该消息包括组呼配置指示消息消息，且该组呼配置指示消息择则携带有所述第一组呼参数。在发明的一个可选实施例中，所述步骤s3，具体可包括：在所述群组内的一个集群终端迟后进入所述群组时，集群基站向所述集群终端发送集群寻呼消息后，所述集群核心网向所述集群终端发送携带有所述第一组呼参数的组呼配置指示消息。具体来说，组呼发起过程中，若组内某个集群终端迟后进入，则在组呼进行中，集群基站向该集群终端发送集群寻呼(trunkingpaging)消息和组呼配置(groupcallconfig)消息。其中groupcallconfig消息包括组呼配置指示消息，且该组呼配置指示消息择则携带有所述第一组呼参数。如此，举例来说，用户(集群终端)发起的组呼建立过程、调度台发起的组呼建立过程或者终端迟后进入过程中，在组呼配置指示消息(groupcallsetupindication消息)中的群组资源清单(groupresourcelist)的信元中增加nexthoopcounter信元，具体如表二及表三所示：表二群组资源(groupresource)表三群组资源内容(groupresourcecontents)信元可选/必选格式长度callid(呼叫标识)mv4calltype(呼叫类型)mv1callattribute(呼叫属性)mv2audiodescription(音频描述)otlvnvideodescription(视频描述)otlvne2ekey(密钥)otlv-ennexthoopcounter(下一跳计数)otv4callingnumber(主叫号码)otlvn由表二及表三可知，群组资源包括：组资源信元编号(groupresourceiei)、组资源长度(lengthofgroupresource)及组资源内容(groupresourcecontents)。其中组资源内容(groupresourcecontents)进一步包括如下信元：呼叫标识、呼叫类型、呼叫属性、音频描述、视频描述、密码、下一跳计数及主叫号码。其中，还定义了新增的下一跳计数(nexthoopcounter)信元的属性，其中o表示可选，以及其对应的格式tv以及长度4。在本发明的一个可选实施例中，如图2所示，所述方法还包括：s4：当所述第一组呼参数对应的组呼叫次数达到预设值，或者达到预设时间时，所述集群核心网将当前密钥作为根密钥信息发送至所述群组内的各集群终端。具体来说，当述第一组呼参数(如nexthoopcounter)快到回滚时(即第一组呼参数对应的组呼叫次数达到预设值)或者达到预设时间时，集群核心网需发起密钥更新流程，所以采用现有规范流程，该流程中集群核心网会将新的根密钥通知到各集群终端。需要说明的是，若集群终端处于关机状态，该集群终端再重新进行集群注册时，可通过组信息更新过程获取最新密钥。图3是本发明一实施例中的一种集群核心网的结构示意图，如图3所示，所述集群核心网包括：参数调整单元301、密钥推演单元302及发送单元303。其中：参数调整单元301用于在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数；密钥推演单元302用于所述集群核心网根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥；发送单元303在组呼过程中，将所述第一组呼参数发送至对应群组的集群终端，以供所述集群终端根据所述第一组呼参数及预先获取的根密钥信息确定新的密钥。本实施例中，集群核心网通过增加的第一组呼参数记录该群组发起组呼的次数，参数调整单元301在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数。举例来说，该群组第一次组呼呼叫时采用根密钥，第一次组呼呼叫完成后，集群核心网将本地记录的第一组呼参数对应的组呼叫次数加1。同时，密钥推演单元302根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥。举例来说，所述第一组呼参数对应的组呼叫次数每加1，可将当前密钥采用预设的密钥推演算法向前推演一次，以得到一个新的密钥。集群核心网中第一组呼参数对应的组呼叫次数更新后，在下一次的组呼过程中，发送单元303将第一组呼参数发送至集群终端，以供集群终端根据第一组呼参数对应的组呼叫次数及本地保存的根密钥，采用预设的密钥推演算法获得新的密钥。由此可见，本实施例中参数调整单元301在每次组呼呼叫完成后，调整预设的第一组呼参数，所述第一呼叫参数用于指示组呼叫次数；密钥推演单元302根据根密钥信息及所述第一组呼参数，采用预设的密钥推演算法获得新的密钥；在组呼过程中，发送单元303将所述第一组呼参数发送至对应群组的集群终端，以供所述集群终端根据所述第一组呼参数及预先获取的根密钥信息确定新的密钥。如此，每次组呼呼叫完成后，组呼叫次数会更新，相应地密钥也会更新，使得每次组呼业务中对数据进行加密时都采用不同的密钥，达到了集群组呼过程中一呼一密的要求，安全性高，且对标准的改动较小。能够解决现有技术中的集群组呼过程无法实现集群组呼一呼一密，导致容易出现安全隐患的问题。在本发明的一个可选实施例中，所述发送单元303，具体用于：接收到集群终端发送的组信息更新请求消息后，向所述集群终端发送携带有所述第一组呼参数及所述根密钥信息的组信息更新命令消息；其中，所述组信息更新请求是所述集群终端进行集群注册时向所述集群核心网发送的。在本发明的一个可选实施例中，所述发送单元303，具体用于：在动态重组过程中，向新增的集群终端发送携带有所述第一组呼参数及所述根密钥信息的组信息更新命令消息。在发明的一个可选实施例中，所述发送单元303，具体用于：集群终端发起的组呼建立过程中，集群基站向集群终端发送集群寻呼消息后，向所述集群终端发送携带有所述第一组呼参数的组呼配置指示消息。在发明的一个可选实施例中，所述发送单元303，具体用于：调度台发起的组呼建立过程中，群组上下文建立完成后，向集群终端发送携带有所述第一组呼参数的组呼配置指示消息。在发明的一个可选实施例中，所述发送单元303，具体用于：在所述群组内的一个集群终端迟后进入所述群组时，集群基站向所述集群终端发送集群寻呼消息后，向所述集群终端发送携带有所述第一组呼参数的组呼配置指示消息。在本发明的一个可选实施例中，如图4所示，所述集群核心网还包括：根密钥更新单元304，用于：当所述第一组呼参数对应的组呼叫次数达到预设值，或者达到预设时间时，将当前密钥作为根密钥信息发送至所述群组内的各集群终端。具体来说，当述第一组呼参数(如nexthoopcounter)快到回滚时(即第一组呼参数对应的组呼叫次数达到预设值)或者达到预设时间时，集群核心网需发起密钥更新流程，所以采用现有规范流程，根密钥更新单元304会将新的根密钥通知到各集群终端。需要说明的是，若集群终端处于关机状态，该集群终端再重新进行集群注册时，可通过组信息更新过程获取最新密钥。在本发明的描述中，需要说明的是，术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12