一种铁路5G专网MCX文件业务加密传输的方法与流程

本发明涉及铁路通信，尤其涉及一种铁路5g专网mcx文件业务加密传输的方法。

背景技术：

1、随着我国铁路5g（第五代移动通信技术）专网技术的不断发展，承载的业务更加丰富，安全问题也愈发突出。由于ip（网际互连协议）化、虚拟化部署等技术的引进，在增加网络灵活性和可扩展性的同时，也相应增加了关键信息泄露的风险。铁路关键业务数据直接影响着列车运行控制和行车调度指挥，是保障铁路安全运行的关键。因此，有必要对关键业务数据进行加密，有效避免因数据泄露造成安全事故，确保关键信息的安全传输。

2、调度通信业务作为铁路的关键业务，负责铁路运输指挥人员与运输生产人员之间的多媒体通信。目前我国铁路确定采用3gpp mcx（关键业务通信）技术实现调度语音、数据和视频等。其中，调度数据业务通过短消息和文件的形式传输运输与维护人员的作业信息或现场图片等。

3、授权公告号为cn110679163b的中国发明专利《在任务关键数据通信系统中发送和接收数据的方法和装置》提供了一种3gpp mcx的数据收发方案，但不涉及加密处理；公开号为cn110249584a的中国发明专利申请《用于在任务关键数据通信系统中通过信令平面提供端到端安全的方法》提出了一种3gpp mcx点对点短消息加密传输的方案，但文件传输的流程与短消息不同，短消息加密传输方法不适用于文件加密。另外，3gpp（第三代合作伙伴计划）协议中仅提出mcx点对点文件传输加密密钥采用pck（个呼通信密钥），组文件传输加密密钥采用gmk（组主密钥），但未明确给出具体加密传输流程，目前公开的方案中也未有提出mcx文件业务传输加密的方案。

4、因此，有必要结合mcx文件分发流程，提出一种文件业务加密传输方法，保障铁路关键业务数据的安全传输。

技术实现思路

1、本发明的目的是提供一种铁路5g专网mcx文件业务加密传输的方法，能够保障铁路运输与维护人员的作业信息及相关文件（例如，现场图片）的安全传送。

2、本发明的目的是通过以下技术方案实现的：

3、一种铁路5g专网mcx文件业务加密传输的方法，包括：

4、发送方使用自身的密钥加密文件内容，并上传至mcx服务器；

5、发送方使用自身的密钥对会话协议消息中的应用级信息进行加密，并向mcx服务器发送文件发送请求，mcx服务器使用发送方的密钥对会话协议消息中的应用级信息进行解密后使用接收方的密钥对会话协议消息中的应用级信息进行加密，并与密钥管理协议消息一并发送至接收方；接收方通过自身的密钥对会话协议消息中的应用级信息进行解密，获取文件下载地址，再从密钥管理协议消息中提取出对应的密钥；其中，进行点对点文件加密传输时，密钥管理协议消息由发送方利用自身的密钥生成，从密钥管理协议消息中提取出的密钥为发送方的密钥；进行组文件加密传输时，密钥管理协议消息由mcx服务器利用自身的密钥生成，且mcx服务器还使用发送方的密钥解密文件内容并使用mcx服务器自身的密钥加密文件内容，从密钥管理协议消息中提取出的密钥为mcx服务器的密钥；mcx为关键业务通信；

6、接收方根据文件下载地址向mcx服务器请求下载文件，下载后利用从密钥管理协议消息中提取出的密钥解密出文件内容。

7、由上述本发明提供的技术方案可以看出，针对点对点文件加密传输业务与组文件加密传输业务提出对应的加密传输方案，可以保障关键文件内容的安全性，实现铁路运输生产和调度指挥的畅通、稳定、可靠运用。

技术特征：

1.一种铁路5g专网mcx文件业务加密传输的方法，其特征在于，包括：

2.根据权利要求1所述的一种铁路5g专网mcx文件业务加密传输的方法，其特征在于，所述密钥管理协议消息由生成方生成，由解密方从密钥管理协议消息中提取出对应的密钥；其中，所述生成方包括：发送方与mcx服务器，所述解密方包括：接收方；

3.根据权利要求1所述的一种铁路5g专网mcx文件业务加密传输的方法，其特征在于，发送方的密钥包括：个呼通信密钥，以及客户端与服务器密钥；

4.根据权利要求3所述的一种铁路5g专网mcx文件业务加密传输的方法，其特征在于，所述发送方与接收方均为mcx客户端，mcx客户端作为接收方时，使用的密钥为客户端与服务器密钥，即mcx服务器对会话协议消息中的应用级信息进行加密时使用的接收方的密钥，以及接收方对会话协议消息中的应用级信息进行解密时使用的密钥均为接收方的客户端与服务器密钥。

5.根据权利要求4所述的一种铁路5g专网mcx文件业务加密传输的方法，其特征在于，所述个呼通信密钥由mcx客户端生成，生成方式如下：

6.根据权利要求4所述的一种铁路5g专网mcx文件业务加密传输的方法，其特征在于，所述客户端与服务器密钥由mcx客户端生成，在mcx客户端登录阶段通过密钥管理协议消息上传至mcx服务器，mcx服务器从中提取出客户端与服务器密钥；

7.根据权利要求1所述的一种铁路5g专网mcx文件业务加密传输的方法，其特征在于，mcx服务器的密钥为组主密钥，生成方式如下：组文件业务发起时，mcx服务器中的组管理服务器向mcx服务器中的密钥管理服务器请求密钥信息，密钥管理服务器向组管理服务器提供与组id相关的密钥信息，组管理服务器根据该密钥信息生成组主密钥和组主密钥的标识，mcx服务器确定组成员后，组管理服务器将组主密钥和组主密钥的标识分发给组成员，所述的组成员包括：接收方。

8.根据权利要求1所述的一种铁路5g专网mcx文件业务加密传输的方法，其特征在于，对会话协议消息中的应用级信息进行加密是指对mcdata信令参数以及mcdata数据信令有效载荷进行加密，其中，mcdata为关键数据业务；mcdata信令参数包括：业务类型、用户身份标识或组标识， 当点对点文件加密传输时，mcdata信令参数包含用户身份标识，当组文件加密传输时，mcdata信令参数包含组标识；所述mcdata数据信令有效载荷中包含文件下载地址。

技术总结
本发明公开了一种铁路5G专网MCX文件业务加密传输的方法，针对点对点文件加密传输业务与组文件加密传输业务提出对应的加密传输方案，具体的，针对点对点文件加密传输业务，提出一种基于PCK（个呼通信密钥）加密文件及密钥传输方案，针对组文件加密传输业务，结合铁路实际应用需求和场景，对3GPP方式进行改进，提出一种基于CSK（客户端与服务器密钥）和GMK（组主密钥）混合加密的组文件加密方案。本发明提供的方法，能够根据不同的业务场景采用合适的密钥，并在不影响正常业务流程的前提下实现密钥分发，保障关键文件内容的安全性，实现铁路运输生产和调度指挥的畅通、稳定、可靠运用。

技术研发人员：李春铎,郭强亮,闫晓宇,张馨丹,康天成,刘笑,刘畅,张弘毅,李毅,姜博,李岸宁,王宇飞,孙宝钢,姜宏敏,魏军,唐茂顺,田园,韩策,祝远征
受保护的技术使用者：中国铁道科学研究院集团有限公司通信信号研究所
技术研发日：
技术公布日：2024/1/15