CN101030849B - 多基站间实现组播密钥同步的方法及系统 - Google Patents
多基站间实现组播密钥同步的方法及系统 Download PDFInfo
- Publication number
- CN101030849B CN101030849B CN2006100583176A CN200610058317A CN101030849B CN 101030849 B CN101030849 B CN 101030849B CN 2006100583176 A CN2006100583176 A CN 2006100583176A CN 200610058317 A CN200610058317 A CN 200610058317A CN 101030849 B CN101030849 B CN 101030849B
- Authority
- CN
- China
- Prior art keywords
- key
- time
- base station
- kmc
- lock
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000001360 synchronised effect Effects 0.000 claims abstract description 31
- 238000009826 distribution Methods 0.000 claims description 32
- 238000012545 processing Methods 0.000 claims description 26
- 238000004519 manufacturing process Methods 0.000 claims description 9
- 230000006854 communication Effects 0.000 description 22
- 238000004891 communication Methods 0.000 description 21
- 101001018147 Homo sapiens Mitogen-activated protein kinase kinase kinase 4 Proteins 0.000 description 2
- 102100033060 Mitogen-activated protein kinase kinase kinase 4 Human genes 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 240000007594 Oryza sativa Species 0.000 description 1
- 235000007164 Oryza sativa Nutrition 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 235000021186 dishes Nutrition 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 235000009566 rice Nutrition 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种多基站间实现组播密钥同步的方法及系统。本发明主要包括:首先,在多个基站与密钥管理中心之间建立同步的参考时间;之后,由密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息;使得在各个基站上,可以根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥,以保证各个基站可以同步启用新的密钥。因此,本发明的实现能够使得在任意时刻从不同基站接收到的组播信息均为采用相同的组播密钥加密,有效保证了宏分集技术在无线通信系统中的实现。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种无线通信网络中基站间实现组播密钥同步的方法及系统。
背景技术
目前,大多无线通信网络在组网设计中均采用小区的结构,针对每个小区设置有一个基站,小区的用户可以通过所述基站完成与网络侧的通信。同时,在无线通信网络中,为了保证用户通信的连续性,相邻小区的覆盖区域通常设置为相互重叠。
由于移动终端的移动性使得其经常会在不同的小区之间切换。当用户跨越不同小区时,如果要保持继续通信的质量,则用户需要向相邻的小区请求信道,以实现越区切换处理。在越区切换的过程中,移动台将同时接收来自两个或多个基站发射的相同信息,对收到的信息进行分集合并和判决,从而改善移动台处于越区切换时的接收信号质量,并保证越区切换时的数据不丢失,这种分集称为宏分集技术。
目前,在WiMAX(微波接入全球互通)等无线通信网络中均支持所述的宏分集技术的实现。即基于WiMAX网络的MBS支持多基站接入模式。而在多基站接入模式下,一个MBS区内的基站将采用相同的CID(连接标识)和SA(安全联盟)发送同一MBS业务流的内容,注册了MBS服务的终端可以在MBS区内通过多个基站接收MBS内容,即终端支持所述的宏分集技术。
同时,在无线通信网络中,为了保证无线组播通信安全,空口传输的组播数据都用组播密钥加密。以基于802.16e协议实现的无线通信系统为分例,其进行组播数据的加密需要采用四个组播密钥,具体为:MAK(组播广播服务鉴权密钥)、MGKEK(组播广播服务组密钥加密密钥)、MGTEK(组播广播服务组业务加密密钥)、MTK(组播广播服务业务加密密钥)。其中,MAK由上层定义的某种方法保护传递给终端,MGTEK用MGKEK加密之后传递给终端,MAK和MGTEK经过某个算法(如Dot16KDF算法)计算得到MTK,MTK直接用于加解密组播数据。
为了防止密钥泄露威胁组播通信的安全,所述组播密钥需要定期更换。同时,为了保证会话的连续性,基站需要有保持两套密钥的能力,在旧密钥生命期结束之前就要从上级分发实体获取新密钥,保证在旧密钥过期时可以立即更换新密钥。
在支持宏分集技术的无线通信网络中,支持多基站接入模式。仍以WiMAX网络为例,一个MBS区内的多个基站在密钥更新期间,已经完成更新的基站将使用新密钥加密组播数据,而尚未完成密钥更新的基站将仍旧使用旧密钥加密组播数据,因此,如果各基站之间未实现密钥更新的同步,则将可能导致同一MBS(组播广播服务)区内,同一时刻不同基站上正在使用的密钥也可能不同,这显然无法保证组播通信的正常进行。
也就是说,在MBS区内,为保证可靠通信,多个同步传输MBS业务流的基站之间要求其用于加密MBS业务流的组播密钥也必须同步。然而,目前还无法保证不同基站之间组播密钥的同步,也就无法保证宏分集技术在无线通信网络中的实现,进而降低了无线通信系统的通信性能及可靠性。
发明内容
本发明的目的是提供一种多基站间实现组播密钥同步的方法及系统,从而可以使得无线通信网络中的一组基站之间可以保证进行业务传输采用的组播密钥的同步,进而保证无线通信系统通信的可靠性。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种多基站间实现组播密钥同步的方法,包括:
多个基站与密钥管理中心之间建立同步的参考时间;
密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息;包括:密钥管理中心将待分发给各个基站的密钥及所述的同步时间信息承载于同一消息中发送给各个基站,且在为基站初始分发密钥时,需要在所述的消息中同时承载旧的密钥和新的密钥;还包括:密钥管理中心分别为待分发给各个基站的密钥加密密钥和业务加密密钥确定对应的同步时间信息,并与所述的密钥加密密钥和业务加密密钥一起通过密钥分发消息发送给各个基站;
在各个基站上,根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥;
注册了组播广播服务MBS的终端在MBS区内通过各个基站接收MBS内容,采用宏分集技术实现分集合并。
所述多个基站与密钥管理中心之间建立同步的参考时间,包括:
多个基站与密钥管理中心之间通过同步各自的系统时间以建立同步的参考时间;
或者,
多个基站与密钥管理中心之间专门建立相应的同步的参考时间。
所述密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息,包括:
在密钥管理中心向各个基站分发密钥时,还向各个基站发送相应的启用该分发的新的密钥的同步时间信息;
或者,
在密钥管理中心向各个基站分发密钥时,还向各个基站发送该密钥的生命周期结束时间,且各个基站将所述的结束时间作为基站启用新的密钥的时间。
所述在各个基站上,根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥,包括:
各个基站收到新的密钥后,在新的密钥对应的表示启用该密钥的同步时间到达时,则启用所述新的密钥;
或者,
各个基站收到新的密钥后,在当前使用的密钥对应的表示其生命周期结束时间的同步时间到达时,则启用所述新的密钥。
所述在各个基站上,根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥,包括:
各个基站在收到新的密钥后,根据收到的表示启用该新的密钥的同步时间信息及当前的参考时间信息启动相应的定时器,并在定时器超时时启用所述新的密钥,去激活原有的密钥;
或者,
各个基站收到当前使用的密钥时,根据收到的表示当前密钥生命周期结束的同步时间信息及当时的参考时间信息启动相应的定时器,并在定时器超时时,启用各个基站收到的新的密钥,去激活当前使用原有的密钥。
所述的方法还包括:
在原有的密钥对应的生命周期结束之前,密钥管理中心生成相应的新的密钥及对应的同步时间信息,并执行所述密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息。
本发明中,在执行所述在原有的密钥对应的生命周期结束之前,密钥管理中心生成相应的新的密钥及对应的同步时间信息之前,还包括:
在当前使用的密钥的生命周期结束之前,且基站未收到新的密钥,则主动向密钥管理中心申请密钥。
所述在当前使用的密钥的生命周期结束之前,且基站未收到新的密钥,则主动向密钥管理中心申请密钥,包括:
基站向密钥管理中心发送组播密钥请求消息,消息中携带着组播广播服务组安全联盟标识信息;
密钥管理中心收到所述的请求消息后,根据所述的组播广播服务组安全联盟标识信息生成相应的新的密钥及对应的同步时间信息,并执行所述密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息。
本发明还提供了一种多基站间实现组播密钥同步的系统,包括注册了组播广播服务MBS的终端设备,还包括:
同步参考时间处理模块:分别设置于各个基站及密钥管理中心上,用于建立各基站与密钥管理中心的同步的参考时间;
密钥分发处理模块:设置于密钥管理中心,用于为各基站生成新的密钥及对应的同步时间信息,并分别下发给各个基站;具体用于将待分发给各个基站的密钥及所述的同步时间信息承载于同一消息中发送给各个基站,且在为基站初始分发密钥时,需要在所述的消息中同时承载旧的密钥和新的密钥;具体还用于:密钥管理中心分别为待分发给各个基站的密钥加密密钥和业务加密密钥确定对应的同步时间信息,并与所述的密钥加密密钥和业务加密密钥一起通过密钥分发消息发送给各个基站;
密钥启用处理模块:设置于基站中,用于对接收到的新的密钥根据其对应的同步时间信息确定启用时间,并在到达启用时间时启用新的密钥;
所述注册了MBS的终端设备在MBS区内通过各个基站接收MBS内容,采用宏分集技术实现分集合并。
所述的密钥分发处理模块包括:
密钥生成模块:用于在各基站当前使用的密钥的生命周期结束之前,为其生成新的密钥;
同步时间确定模块:为密钥生成模块生成的密钥确定对应的同步时间;
密钥发送处理模块:将密钥生成模块生成的新的密钥及同步时间确定模块为密钥确定的对应的同步时间信息通过密钥分发消息发送给各基站。
所述的密钥启用处理模块包括:
密钥接收模块:用于接收密钥管理中心发来的新的密钥及其对应的同步时间信息;
定时器:根据所述的同步时间信息启动定时器;
密钥启用模块:在定时器的触发下启用密钥接收模块接收到的密钥。
由上述本发明提供的技术方案可以看出,本发明的实现能够使得在任意时刻从不同基站接收到的组播信息均为采用相同的组播密钥加密,从而可以直接判决合并这几路信号,有效支持了宏分集信号接收方式,即保证了宏分集技术在无线通信系统中的实现,并可以提高无线系统通信的可靠性。本发明可以应用于WiMAX等无线通信网络中,而且,本发明提供的MBS区内基站间组播密钥的同步的实现方案具体实现简便、易于实施的优点。
附图说明
图1为本发明所述的方法的具体实施方式流程图一;
图2为本发明所述的方法的具体实施方式流程图二;
图3为本发明所述的方法的具体实施方式流程图三;
图4为本发明所述的方法的具体实施方式流程图四;
图5为本发明所述的方法的具体实施方式流程图五;
图6为本发明所述的系统的具体实现结构示意图。
具体实施方式
本发明的目的是提供一种MBS区内基站间组播密钥同步的方案,使得任意时刻从不同基站接收到的组播信息均为采用相同组播密钥加密。
本发明采用的技术方案如图1所示,具体包括:
步骤11:在MBS区内所有基站与MBS密钥管理中心建立同步的参考时间,同步参考时间的目的是为了各基站可以准确地同步启用新的组播密钥;
本发明中,所述的参考时间可以采用各基站与密钥管理中心同步的系统时间,也可以采用专门为MBS业务同步设置的MBS参考时间;
步骤12:MBS密钥管理中心为组播密钥设置同步时间SyncTime属性信息,所述的同步时间用于作为基站确定启用新的组播密钥的时间,具体可以采用以下两种不同的含义的同步时间:
(1)所述的同步时间可以为表示启用该新的组播密钥的同步时间信息,即该同步时间的值标识了新组播密钥启用的参考时间,
或者,
(2)所述的同步时间还可以为表示当前组播密钥的生命周期结束时间的同步时间信息,即该同步时间标识了相应的组播密钥的生命周期结束时间,在当前使用的组播密钥的生命周期结束时间到达时,则确定为基站启用新的组播密钥的时间;
步骤13:当MBS密钥管理中心需要分发密钥时,则MBS密钥管理中心会在分发密钥的消息中包含密钥的同步时间属性信息,从而将密钥及其同步时间信息一起发给MBS区内各基站;
步骤14:MBS区内的各基站根据其收到的同步时间属性信息确定新的密钥的启用时间,具体包括以下两种处理情况:
(1)当所述的同步时间标识新的组播密钥启用的参考时间时,则MBS区内的各基站根据收到的新的组播密钥对应的同步时间属性记载的参考时间启用该组播密钥;此时,MBS区内各基站只要比较参考时间与密钥的同步时间属性的值,便可以确定启用新密钥的准确时间,即当参考时间到达同步时间值时,便可以启用新密钥;
(2)当所述的同步时间标识了新组播密钥的生命周期结束时间时,则MBS区内的各基站将根据其收到的当前使用的组播密钥对应的同步时间确定新的密钥的启用时间;此时,MBS区内的各基站可以依据所述的同步时间确定在当前使用的组播密钥的生命周期结束时便启用新的组播密钥。
经过上述处理后,本发明便可以保证各基站可以同步启用新的组播密钥,使得各基站之间采用的组播密钥的同步。
为便于对本发明的理解,下面将结合附图对本发明的具体实现方式进行详细的说明。
下面以一个MBS服务的密钥初始分发和更新过程为例,对本发明提供的技术方案的具体实施方式进行说明,本发明实现的前提是MBS区内所有基站通过GPS方式与MBS密钥管理中心实现参考时间ReferenceTime同步。
各基站与MBS密钥管理中心实现同步后,MBS密钥管理中心便可以进行组播密钥的初始分发处理,如图2所示,该处理过程具体包括:
步骤21:MBS密钥管理中心向上级MAK分发实体获取MAK,根据MAK生存期管理MAK;
步骤22:MBS密钥管理中心生成新旧两套密钥:MGKEK0、MGKEK1、MGTEK0、MGTEK1、MTK0、MTK1,及其相应的参数;并建立MBSGSA(MBS组安全联盟标识,用于唯一标识一个MBSGSA);
步骤23:MBS密钥管理中心为MGKEK1、MGTEK1生成各自的同步时间SyncTime;
步骤24:MBS密钥管理中心按照如表1所规定的格式生成密钥分发消息MBS_KEY_DELIVER,即所述的消息中包含同步时间信息及新旧两套密钥,并将该消息发送给相应MBS区内的所有基站;
MBS_KEY_DELIVER消息的具体格式如下:
{Message Type=0×00,
Code=00,
MBSGSA ID,
MBS Zone ID,
MGKEK0-Parameters,
MGKEK1-Parameters,
MGTEK0-Parameters,
MGKEK1-Parameters,
MTK0-Parameters,
MTK1-Parameters,
MGKEK1 SyncTime,
MGTEK1 SyncTime}
表1
| 语法 | 长度 | 注释 |
| MBS_KEY_DELIVER_Message_Format(){ | ||
| Message Type=0x00 | 8bit | 0x00指示此消息类型为组播密钥分发消息。0x02至0xFF为保留值,用于定义其他消息类型。 |
| Code | 2bit | |
| MBSGSA ID | 16bit | |
| If(Code=00){ | 00:MGKEK、MGTEK、MTK初始分发(各2套) | |
| MBS Zone ID | ||
| MGKEK-Parameters | 旧MGKEK参数 | |
| MGKEK-Parameters | 新MGKEK参数 | |
| MGTEK-Parameters | 旧MGTEK参数 | |
| MGTEK-Parameters | 新MGTEK参数 | |
| MTK-Parameters | 旧MTK参数 | |
| MTK-Parameters | 新MTK参数 | |
| SyncTime | 新MGKEK同步时间 | |
| SyncTime} | 新MGTEK同步时间 |
| 语法 | 长度 | 注释 |
| Else if(Code=01){ | 01:MGKEK更新 | |
| MGKEK-Parameters | 新MGKEK参数 | |
| SyncTime} | 新MGKEK同步时间 | |
| Else if(Code=10){ | 10:MGTEK和MTK更新 | |
| MGTEK-Parameters | 新MGTEK参数 | |
| MTK-Parameters | 新MTK参数 | |
| SyncTime} | 新MGTEK同步时间 | |
| Else{ | Code=11:MGKEK、MGTEK、MTK同时更新 | |
| MGKEK-Parameters | 新MGKEK参数 | |
| MGTEK-Parameters | 新MGTEK参数 | |
| MTK-Parameters | 新MTK参数 | |
| SyncTime | 新MGKEK同步时间 | |
| SyncTime} | 新MGTEK同步时间 |
需要说明的是,所述的MTK还可以在BS上生成,具体可以将MAK和MGTEK传给BS,由BS来生成MTK,此时,表1中将不再包含MTK参数;
步骤25:基站收到MBS_KEY_DELIVER消息后,存储其中各密钥及相关参数,并激活其中序号小的旧的密钥:MGKEK0、MGTEK0、MTK0。
步骤26:由于新的密钥MGKEK1、MGTEK1的同步时间晚于当前参考时间,因此基站为这两个密钥各启动一个参考时间定时器,分别为:MGKEK_Timer,MGTEK_Timer。
步骤27:当相应的定时器超时时,便去激活旧的密钥,启用新的密钥;
具体为:当MGKEK_Timer=MGKEK1 SyncTime时,基站立即去激活旧密钥MGKEK0,开始使用新密钥MGKEK1;当MGTEK_Timer=MGTEK1SyncTime时,基站立即去激活旧密钥MGTEK0和MTK0,开始使用新密钥MGTEK1和MTK1。
本发明中,在通信过程中,还需要进行组播密钥的更新处理,以MGTEK的一次更新为例,如图3所示,相应的处理过程具体包括:
步骤31:在当前使用的旧的密钥MGTEKn-1生命期结束之前,MBS密钥管理中心产生新的密钥MGTEKn、MTKn及其参数,并生成MGTEKn的同步时间;
步骤32:MBS密钥管理中心按照如表1所规定的格式生成密钥分发消息MBS_KEY_DELIVER,并把该消息发送给相应MBS区内的所有基站;
MBS_KEY_DELIVER消息的格式具体如下:
{ Message Type=0×00,
Code=10,
MBSGSA ID,
MGTEKn-Parameters,
MTKn-Parameters
MGTEKn SyncTime,}
步骤33:基站收到MBS_KEY_DELIVER消息后,存储MGTEKn、MTKn及相关参数,并为MGTEKn启动参考时间定时器:MGTEK_Timer。
步骤34:当MGTEK_Timer=MGTEKn SyncTime时,基站立即去激活MGTEKn-1和MTKn-1,开始使用MGTEKn和MTKn。
本发明中,在在使用某个密钥的生命期结束之前,如果基站未能接收到新的密钥,则可以主动向密钥管理中心申请密钥。
下面将以一个基站申请MGKEK的过程为例对相应的处理过程的具体实现进行说明,如图4所示,具体包括:
步骤41:基站按照如表2所规定的格式生成组播密钥请求消息MBS_KEY_REQUEST,并把该消息发送到MBS密钥管理中心;
MBS_KEY_REQUEST消息的格式具体如下:
{Message Type=0×01,
Code=01,
MBSGSA ID}
表2
| 语法 | 长度 | 注释 |
| MBS_KEY_REQUEST_Message_Format(){ | ||
| Message Type=0x01 | 8bit | 0x01指示此消息类型为组播密钥请求消息。0x02至0xFF为保留值,用于定义其他消息类型。 |
| 语法 | 长度 | 注释 |
| Code | 2bit | 00:从新获取所有组播密钥01:请求更新MGKEK10:请求更新MGTEK和MTK11:请求更新MGKEK、MGTEK和MTK |
| MBSGSAID} | 16bit |
步骤42:MBS密钥管理中心收到基站的组播密钥请求消息后,按表1规定格式生成如下MBS_KEY_DELIVER消息,回复给请求组播密钥的基站;
MBS_KEY_DELIVER消息的格式如下:
{Message Type=0×00,
Code=01,
MBSGSA ID,
MGKEKm-Parameters,
MGKEKm SyncTime,}
步骤43:基站收到MBS_KEY_DELIVER消息后,存储MGKEKm及相关参数,并为MGKEKm启动参考时间定时器:MGKEK_Timer。
步骤44:当MGKEK_Timer=MGKEKm SyncTime时,基站立即去激活旧密钥MGKEKm-1,开始使用新密钥MGKEKm。
本发明中,如果有新加入的基站,或者个别基站由于某些原因需要从新获取组播密钥,则如图5所示,具体的处理过程包括如下步骤:
步骤51:需要从新获取组播密钥的基站按照如表2所规定的格式生成组播密钥请求消息MBS_KEY_REQUEST,并将该消息发送到MBS密钥管理中心,以请求获取相应的组播密钥信息;
MBS_KEY_REQUEST消息的格式如下:
{Message Type=0×01,
Code=00,
MBSGSA ID}
步骤52:参见图2中所述的步骤24,将生成的MBS_KEY_DELIVER消息回复给请求组播密钥的基站;
步骤53-55:这几步骤的处理与图2中的步骤25-27的处理过程相同,故此处不再详述。
本发明还提供了一种多基站间实现组播密钥同步的系统,其具体实现方式如图6所示,具体包括以下组成模块:
(1)同步参考时间处理模块
分别设置于各个基站及密钥管理中心上,用于建立各基站与密钥管理中心的同步的参考时间;
(2)密钥分发处理模块
设置于密钥管理中心,用于将为各基站生成新的密钥及对应的同步时间信息,并分别下发给各个基站;
所述的密钥分发处理模块具体包括以下三个组成模块:
密钥生成模块:用于在各基站当前使用的密钥的生命周期结束之前,为其生成新的密钥;
同步时间确定模块:这密钥生成模块生成的密钥确定对应的同步时间;
密钥发送处理模块:将密钥生成模块生成的新的密钥及同步时间确定模块为密钥确定的对应的同步时间信息通过生成密钥分发消息发送给各基站。
(3)密钥启用处理模块
设置于基站中,用于对接收到的新的密钥根据其对应的同步时间信息确定启用时间,并在到达启用时间时启用新的密钥。
所述的密钥启用处理模块具体包括以下三个组成部分:
密钥接收模块:用于接收密钥管理中心发来的新的密钥及其对应的同步时间信息;
定时器:根据所述的同步时间信息启动定时器;
密钥启用模块:在定时器的触发下启用密钥接收模块接收到的密钥。
综上所述,本发明是在MBS区内基站间参考时间同步的基础上,解决了基站间组播密钥同步的问题,保证在任意时刻从MBS区内各基站接收到的组播信号均为采用相同的组播密钥加密,从而很好的支持了宏分集。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (11)
1.一种多基站间实现组播密钥同步的方法,其特征在于,包括:
多个基站与密钥管理中心之间建立同步的参考时间;
密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息;包括:密钥管理中心将待分发给各个基站的密钥及所述的同步时间信息承载于同一消息中发送给各个基站,且在为基站初始分发密钥时,需要在所述的消息中同时承载旧的密钥和新的密钥;还包括:密钥管理中心分别为待分发给各个基站的密钥加密密钥和业务加密密钥确定对应的同步时间信息,并与所述的密钥加密密钥和业务加密密钥一起通过密钥分发消息发送给各个基站;
在各个基站上,根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥;
注册了组播广播服务MBS的终端在MBS区内通过各个基站接收MBS内容,采用宏分集技术实现分集合并。
2.根据权利要求1所述的方法,其特征在于,所述多个基站与密钥管理中心之间建立同步的参考时间,包括:
多个基站与密钥管理中心之间通过同步各自的系统时间以建立同步的参考时间;
或者,
多个基站与密钥管理中心之间专门建立相应的同步的参考时间。
3.根据权利要求1所述的方法,其特征在于,所述密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息,包括:
在密钥管理中心向各个基站分发密钥时,还向各个基站发送相应的启用该分发的新的密钥的同步时间信息;
或者,
在密钥管理中心向各个基站分发密钥时,还向各个基站发送该密钥的生命周期结束时间,且各个基站将所述的结束时间作为基站启用新的密钥的时间。
4.根据权利要求1、2或3所述的方法,其特征在于,所述在各个基站上,根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥,包括:
各个基站收到新的密钥后,在新的密钥对应的表示启用该密钥的同步时间到达时,则启用所述新的密钥;
或者,
各个基站收到新的密钥后,在当前使用的密钥对应的表示其生命周期结束时间的同步时间到达时,则启用所述新的密钥。
5.根据权利要求4所述的方法,其特征在于,所述在各个基站上,根据接收的同步时间信息确定密钥管理中心分发的新的密钥的启用时间,并在确定的时间启用所述新的密钥,包括:
各个基站在收到新的密钥后,根据收到的表示启用该新的密钥的同步时间信息及当前的参考时间信息启动相应的定时器,并在定时器超时时启用所述新的密钥,去激活原有的密钥;
或者,
各个基站收到当前使用的密钥时,根据收到的表示当前密钥生命周期结束的同步时间信息及当时的参考时间信息启动相应的定时器,并在定时器超时时,启用各个基站收到的新的密钥,去激活当前使用原有的密钥。
6.根据权利要求4所述的方法,其特征在于,所述的方法还包括:
在原有的密钥对应的生命周期结束之前,密钥管理中心生成相应的新的密钥及对应的同步时间信息,并执行所述密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息。
7.根据权利要求6所述的方法,其特征在于,在执行所述在原有的密钥对应的生命周期结束之前,密钥管理中心生成相应的新的密钥及对应的同步时间信息之前,还包括:
在当前使用的密钥的生命周期结束之前,且基站未收到新的密钥,则主动向密钥管理中心申请密钥。
8.根据权利要求7所述的方法,其特征在于,所述在当前使用的密钥的生命周期结束之前,且基站未收到新的密钥,则主动向密钥管理中心申请密钥,包括:
基站向密钥管理中心发送组播密钥请求消息,消息中携带着组播广播服务组安全联盟标识信息;
密钥管理中心收到所述的请求消息后,根据所述的组播广播服务组安全联盟标识信息生成相应的新的密钥及对应的同步时间信息,并执行所述密钥管理中心向各个基站发送可用于确定新的密钥的启用时间的同步时间信息。
9.一种多基站间实现组播密钥同步的系统,包括注册了组播广播服务MBS的终端设备,其特征在于,还包括:
同步参考时间处理模块:分别设置于各个基站及密钥管理中心上,用于建立各基站与密钥管理中心的同步的参考时间;
密钥分发处理模块:设置于密钥管理中心,用于为各基站生成新的密钥及对应的同步时间信息,并分别下发给各个基站;具体用于将待分发给各个基站的密钥及所述的同步时间信息承载于同一消息中发送给各个基站,且在为基站初始分发密钥时,需要在所述的消息中同时承载旧的密钥和新的密钥;具体还用于:分别为待分发给各个基站的密钥加密密钥和业务加密密钥确定对应的同步时间信息,并与所述的密钥加密密钥和业务加密密钥一起通过密钥分发消息发送给各个基站;
密钥启用处理模块:设置于基站中,用于对接收到的新的密钥根据其对应的同步时间信息确定启用时间,并在到达启用时间时启用新的密钥;
所述注册了MBS的终端设备在MBS区内通过各个基站接收MBS内容,采用宏分集技术实现分集合并。
10.根据权利要求9所述的系统,其特征在于,所述的密钥分发处理模块包括:
密钥生成模块:用于在各基站当前使用的密钥的生命周期结束之前,为其生成新的密钥;
同步时间确定模块:为密钥生成模块生成的密钥确定对应的同步时间;
密钥发送处理模块:将密钥生成模块生成的新的密钥及同步时间确定模块为密钥确定的对应的同步时间信息通过密钥分发消息发送给各基站。
11.根据权利要求9或10所述的系统,其特征在于,所述的密钥启用处理模块包括:
密钥接收模块:用于接收密钥管理中心发来的新的密钥及其对应的同步时间信息;
定时器:根据所述的同步时间信息启动定时器;
密钥启用模块:在定时器的触发下启用密钥接收模块接收到的密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100583176A CN101030849B (zh) | 2006-03-01 | 2006-03-01 | 多基站间实现组播密钥同步的方法及系统 |
| PCT/CN2007/000631 WO2007098690A1 (fr) | 2006-03-01 | 2007-02-28 | Procédé et système de synchronisation de clés de service de radiodiffusion de paquets entre de multiples stations de base |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100583176A CN101030849B (zh) | 2006-03-01 | 2006-03-01 | 多基站间实现组播密钥同步的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101030849A CN101030849A (zh) | 2007-09-05 |
| CN101030849B true CN101030849B (zh) | 2010-10-27 |
Family
ID=38458663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100583176A Expired - Fee Related CN101030849B (zh) | 2006-03-01 | 2006-03-01 | 多基站间实现组播密钥同步的方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101030849B (zh) |
| WO (1) | WO2007098690A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9264224B2 (en) | 2010-09-20 | 2016-02-16 | Security First Corp. | Systems and methods for secure data sharing |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2450680B (en) * | 2007-06-22 | 2012-05-30 | Ubiquisys Ltd | Controlling timing of synchronization updates |
| CN104283880A (zh) * | 2008-02-22 | 2015-01-14 | 安全第一公司 | 安全工作组管理和通信的系统和方法 |
| CN101399627B (zh) * | 2008-09-27 | 2012-08-29 | 北京数字太和科技有限责任公司 | 一种同步恢复的方法和系统 |
| CN102026092B (zh) * | 2009-09-16 | 2014-03-12 | 中兴通讯股份有限公司 | 一种移动多媒体广播业务密钥同步的方法及网络 |
| US20110312299A1 (en) * | 2010-06-18 | 2011-12-22 | Qualcomm Incorporated | Methods and apparatuses facilitating synchronization of security configurations |
| CN103188663B (zh) | 2011-12-27 | 2016-08-03 | 华为技术有限公司 | 基站间载波聚合的安全通讯方法及设备 |
| CN103595527B (zh) | 2012-08-13 | 2016-12-21 | 西安西电捷通无线网络通信股份有限公司 | 一种双向密钥的切换方法及实现装置 |
| CN103781065B (zh) | 2012-10-25 | 2018-09-07 | 华为终端有限公司 | 一种组密钥更新方法和相关装置及系统 |
| CN106332073B (zh) * | 2015-06-16 | 2019-06-21 | 北京信威通信技术股份有限公司 | 一种集群组根密钥更新方法 |
| CN107086907B (zh) * | 2016-02-15 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的密钥同步、封装传递方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1505279A (zh) * | 2002-12-02 | 2004-06-16 | ��ʽ����Ntt����Ħ | 无线接入网络系统、无线通信方法、同步服务器及节点 |
| CN1731720A (zh) * | 2005-08-31 | 2006-02-08 | 北京电子科技学院 | 一种透明的全向安全网络方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1300974C (zh) * | 2004-02-09 | 2007-02-14 | 华为技术有限公司 | 一种实现多媒体广播/组播业务密钥分发的方法 |
| EP1615402B1 (en) * | 2004-06-16 | 2007-09-05 | Validian Corporation | Identification and authentication system and method for a secure data exchange |
-
2006
- 2006-03-01 CN CN2006100583176A patent/CN101030849B/zh not_active Expired - Fee Related
-
2007
- 2007-02-28 WO PCT/CN2007/000631 patent/WO2007098690A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1505279A (zh) * | 2002-12-02 | 2004-06-16 | ��ʽ����Ntt����Ħ | 无线接入网络系统、无线通信方法、同步服务器及节点 |
| CN1731720A (zh) * | 2005-08-31 | 2006-02-08 | 北京电子科技学院 | 一种透明的全向安全网络方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9264224B2 (en) | 2010-09-20 | 2016-02-16 | Security First Corp. | Systems and methods for secure data sharing |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101030849A (zh) | 2007-09-05 |
| WO2007098690A1 (fr) | 2007-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101030849B (zh) | 多基站间实现组播密钥同步的方法及系统 | |
| CN102625302B (zh) | 密钥衍生方法、设备及系统 | |
| CN101141799B (zh) | 移动通信方法和移动通信系统 | |
| EP1238491B1 (en) | Methods and apparatus for selective encryption and decryption of point to multi-point messages | |
| CN101682931B (zh) | 移动台、基站及流量加密密钥的产生方法 | |
| EP1809050B1 (en) | Method for receiving multicast and broadcast service | |
| CN102056160B (zh) | 一种密钥生成的方法、装置和系统 | |
| TW200705876A (en) | Multimedia broadcast/multicast service cells reconfigurations | |
| EP1889399B1 (en) | Method for managing group traffic encryption key in wireless portable internet system | |
| CN102625256B (zh) | 一种集群传输通知、处理方法及装置 | |
| CN101981892A (zh) | 用于无线通信系统的群密钥分发和管理的系统和方法 | |
| DE60036466D1 (de) | Verfahren und system zum bereitstellen von diensten an mobilstationen im aktivzustand | |
| RU2614369C2 (ru) | Защита при обеспечении мобильности между серверами mbms | |
| CN100574129C (zh) | 时分同步码分多址接入系统中发送广播业务的方法、装置及系统 | |
| CN103634744A (zh) | 一种集群组呼端到端加密的实现方法 | |
| CN101521656B (zh) | 组业务加密密钥更新方法及系统 | |
| WO2005006790A1 (en) | Method for registering broadcast/multicast service in a high-rate packet data system | |
| CN101127596B (zh) | 一种广播式移动电视业务中节目流密钥加密的方法及系统 | |
| CN102769896A (zh) | 移动终端所在地理位置识别方法 | |
| CN101336554A (zh) | 安全分配的切换信令 | |
| CN100583743C (zh) | 传输密钥的分发方法 | |
| CN101394243B (zh) | 一种实现移动多媒体广播业务的系统及方法 | |
| CN102196555A (zh) | 闲置模式处理方法 | |
| CN101415104B (zh) | 一种移动多媒体广播业务中节目流密钥的实现方法和系统 | |
| CN100583747C (zh) | 一种密钥的分发方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101027 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |