CN101136742A - 群组密钥同步、更新、及校验方法 - Google Patents
群组密钥同步、更新、及校验方法 Download PDFInfo
- Publication number
- CN101136742A CN101136742A CNA2007100908859A CN200710090885A CN101136742A CN 101136742 A CN101136742 A CN 101136742A CN A2007100908859 A CNA2007100908859 A CN A2007100908859A CN 200710090885 A CN200710090885 A CN 200710090885A CN 101136742 A CN101136742 A CN 101136742A
- Authority
- CN
- China
- Prior art keywords
- group
- key
- terminal
- kmc
- synchronous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种群组密钥同步、更新、及校验方法。其中,该群组密钥同步方法包括以下步骤:S208,在需要同步群组密钥的情况下,集群系统向密钥管理中心发送密钥同步请求消息;S210,密钥管理中心响应于密钥同步请求消息,向集群系统返回密钥同步指令;S212,集群系统将密钥同步指令透传给终端;以及S214,终端根据密钥同步指令执行群组密钥同步。通过本发明,可以在需要同步或更新终端中的群组密钥的情况下,及时地同步或更新终端中的群组密钥。
Description
技术领域
本发明涉及通信领域,更具体地涉及一种群组密钥同步、更新、及校验方法。
背景技术
传统的数字集群系统多应用于专网,所提供的集群业务存在着服务范围和服务人群的限制,同时由于单独建设网络、与公共网建设重叠,从而使得资源浪费严重。对于上述缺点,较为现实的解决方案是把集群业务集成到公共网系统中,由原来的专用网络逐步演变为虚拟专用网,从而达到降低网络建设成本、扩大使用范围的目的。然而,很多行业对通讯安全要求较高,对用户数据要求高度保密,因此需要在虚拟专用网的数字集群系统中提供端到端加密功能。
端到端加密密钥通常包括主密钥、群组密钥、公共密钥、和工作密钥等密钥。其中,主密钥、群组密钥、公共密钥保留在终端加密模块中;工作密钥是每次集群呼叫时分配。密钥鉴权中心根据集群业务类型和保密等级,采用主密钥、群组密钥、或者公共密钥加密工作密钥,终端加密模块用同类型的密钥进行解密,获取本次呼叫的工作密钥。主密钥通过专有设备手工写入终端加密模块。群组密钥、公共密钥通过空口传送到终端加密模块。群组密钥需要定期更新,当加密终端添加到群组或者从群组删除时,需要往终端加密模块添加或者删除群组密钥。
现有的集群端到端加密技术主要有以下几种方式:
第一种,密钥管理中心为每个群组分配多个固定的群组密钥,每个群组密钥通过专用的设备写入终端加密模块。然而,虚拟专用网的数字集群系统各集团管理员可以管理本集团的用户和群组,群组成员关系变化频繁,这种手工更新群组密钥的方法很难保证群组密钥及时更新。
第二种,集群终端加密模块通话时产生密钥,通过短消息方式交换密钥。在这种方式中,密钥由通话终端生产,安全性比较高。但对于集群的组呼业务,在所有参与呼叫的终端间需要相互交换密钥,当需要交换的密钥太多时,会增加通话前的时延,而且没有收到密钥的终端通话失败。另外,对于集群动态重组,调度员加入呼叫,监听的补充业务不能很好地支持。
第三种,密钥管理服务器通过短消息方式定时为给定服务区的移动集群终端发送密钥。这种方式能够支持集群系统补充业务,但是安全性不高。而且对虚拟专网系统,不同集团需要拥有独立的密钥,这种定时广播密钥的方式导致在给定服务区的移动集群终端都拥有相同的密钥,从而不能满足虚拟专网集群系统加密的要求。
第四种,当网络侧群组成员发生变化时,密钥管理中心利用每个成员与网络共享的密钥分别加密新的群组密钥,然后通过信令发给每一个用户。在这种技术方案中,当群组成员数量多时,网络侧需要耗很多资源和时间来更新终端的群组密钥。改进方案是,密钥管理中心使用已有的群组密钥加密新的群组密钥,这样可以减少群组密钥加密的计算量,但是密钥管理中心需要维护终端和群组的群组成员关系。当集群系统中的群组成员关系发生变化时,需要通知给加密管理中心。这种方式对动态重组业务也不能有效支持。
以上几种端到端加密技术在终端所属群组频繁变化时,不能及时同步群组密钥,不能满足虚拟专用网的数字集群系统的群组密钥同步和更新要求。所以,需要提供一种在终端所属群组发生变化时能够及时同步和更新终端群组密钥的方法。
发明内容
本发明的目的在于,提供一种新的群组密钥同步、更新、及校验方法,以在终端所属群组发生变化时及时、正确地同步和更新终端群组密钥。
根据本发明的群组密钥同步方法包括以下步骤:S208,在需要同步群组密钥的情况下,集群系统向密钥管理中心发送密钥同步请求消息;S210,密钥管理中心响应于密钥同步请求消息,向集群系统返回密钥同步指令;S212,集群系统将密钥同步指令透传给终端;以及S214,终端根据密钥同步指令执行群组密钥同步。其中,密钥同步请求消息中包含终端标识。
其中,步骤S210包括以下步骤:S210-2,密钥管理中心响应于密钥同步请求消息构建密钥同步指令,并根据终端标识获取终端的主密钥;S21-4,密钥管理中心通过终端的主密钥对密钥同步指令进行加密,并将经过加密的密钥同步指令返回给集群系统。
其中,步骤S214包括以下步骤:S214-2,终端通过主密钥对经过加密的密钥同步指令进行解密,以获取密钥同步指令;S214-4,终端根据密钥同步指令执行群组密钥的同步。
其中,根据本发明的群组密钥同步方法还包括以下步骤:S198a,终端用其存储的群组标识和群组密钥计算第一校验和;S200b,集群系统根据终端标识获取终端所属的群组,并在双向鉴权消息中携带群组标识列表给密钥管理中心;S202c,密钥管理中心根据双向鉴权消息中的群组标识列表获取终端所属群组的群组密钥,采用与终端相同的算法计算出第二校验和,并将第二校验和与第一校验和进行比较;S204d,在第一校验和与第二校验和不一致的情况下,密钥管理中心请求终端清除其中的群组密钥;以及S206e,终端响应于密钥管理中心的请求,将其中的群组密钥清除。
可选地,根据本发明的群组密钥同步方法还包括以下步骤:S202b,集群系统向密钥管理中心发送密钥更新请求消息;S204b,密钥管理中心响应于密钥更新请求消息,对群组密钥进行更新,并向集群系统报告群组密钥的更新的完成。
上述的群组密钥同步方法在终端所在的群组发生改变时立即执行、或在终端所在的群组变化后,终端上报位置信息或发起呼叫时执行。
根据本发明的群组密钥更新方法包括以下步骤:S702,集群系统向密钥管理中心发送密钥更新请求消息;S704,密钥管理中心响应于密钥更新请求消息,对群组密钥进行更新,并向集群系统报告群组密钥的更新完成;S706,集群系统响应于报告,将至少一个终端设置为需要进行群组密钥同步的状态,并在触发同步的条件满足时,触发群组密钥同步流程。
其中,触发同步的条件包括以下条件中的至少一种:终端进行位置更新、终端发起呼叫、以及终端发送消息。
根据本发明的群组密钥校验方法包括以下步骤:S198a,终端用其存储的群组标识和群组密钥计算第一校验和;S200b,集群系统根据终端标识获取终端所属的群组,并在双向鉴权消息中携带群组标识列表给密钥管理中心;以及S202c,密钥管理中心根据双向鉴权消息中的群组标识列表获取终端所属群组的群组密钥,采用与终端相同的算法计算出第二校验和,并将第二校验和与第一校验和进行比较。
通过本发明,可以在需要同步或更新终端中的群组密钥的情况下,及时地同步或更新终端中的群组密钥。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的数字集群通信系统的基本网络架构图;
图2A至图2C是根据本发明实施例的群组密钥同步方法及其步骤的流程图;
图3是根据本发明实施例的在终端所属群组变化的情况下同步群组密钥的过程的流程示意图;
图4是根据本发明实施例的在终端所属群组变化后,由位置更新触发的同步群组密钥的过程的流程示意图;
图5是根据本发明实施例的终端的群组密钥的校验同步流程示意图;
图6是根据本发明实施例的调度台客户端发起的更新群组密钥的过程的流程示意图;以及
图7是根据本发明实施例的群组密钥更新方法的流程图。
具体实施方式
下面参考附图,详细说明本发明的具体实施方式。
参考图1,说明根据本发明实施例的数字集群通信系统的基本网络架构。如图1所示,数字集群通信系统包括集群加密终端、基站子系统(BASE STATION SUBSYTEM,简称BSS)、调度服务子系统(Dispatching Service System,简称DSS)、密钥管理中心等逻辑功能模块。
集群加密终端通过空中接口和基站子系统相连,为用户提供集群系统的各种业务,同时也为用户提供集群传统的普通电话业务、短消息业务、和数据业务。集群加密终端具备专用的加密模块接口。加密模块用于存储主密钥和群组密钥、解密工作密钥、实现话音的加密和解密工作。
基站子系统主要完成各种集群业务、数据业务、和普通电话业务的无线接入功能。BSS由基站收发信机(Base Transceiver System,简称BTS)、基站控制器(Base Station Controller,简称BSC)、以及调度客户端(PTT Dispatching Client,简称PDC)共同构成。其中,基站收发信机完成基带信号的调制与解调、射频信号收发等功能,基站控制器完成无线资源的分配、呼叫处理、功率控制、以及支持终端的各类切换,调度控制器则完成无线资源的分配、调度呼叫控制、功率控制、支持集群终端在不同覆盖区下的各类切换、汇集和分发集群语音数据流等。基站子系统仅用于透传密钥操作指令,不参加和密钥相关的操作。
调度服务子系统主要完成集群调度业务,由PTT调度服务器(PTT Dispatch Server,简称PDS)、PTT归属寄存器(Dispatch HomeRegister,简称PHR)、调度台服务器(Dispatching Ageng Server,简称DAS)、及调度台客户端(Dispatcher Agent Client,简称DAC)组成。DSS子系统用于透传密钥操作指令,不参加和密钥相关的操作。
PTT调度服务器是集群呼叫的总控制点,用于完成集群调度呼叫的处理(包括鉴别集群用户、建立各种集群呼叫,如,私密呼叫和群组呼叫、判断集群PTT请求等)。PDS作为调度服务器,还接收反向链路来的集群语音数据,根据呼叫的性质再分发到对应的前向链路。
PTT归属寄存器完成数据库管理和配置功能,为集群用户提供群组注册、群组成员注册,并提供集群成员的本地信息以及集群成员的业务权限记录,完成呼叫统计和计费功能。在本发明中,PHR数据库还需要维护终端所属群组关系变化时的群组密钥更新信息,向KDC/SAC申请群组密钥同步,并透传群组密钥操作指令。终端发起加密呼叫时,PHR向KDC/SAC申请工作密钥,并且在鉴权应答消息中透传工作密钥。
加密子系统由密钥分配中心(Key Distribute Center,简称KDC)和鉴权中心(Security Authority Center,简称SAC)组成。KDC完成所有加密集群业务所使用的密钥生成和分配,完成密钥的管理;SAC对加密用户的身份按照双向鉴权的原则进行专门的鉴别。
本发明只需要在加密终端和KDC中存储终端主密钥,终端主密钥通过专有设备写入终端加密模块。在集群系统创建群组时,通过群组密钥更新流程通知KDC生成群组密钥。在集群系统添加/删除群组成员时,通过群组密钥同步流程把群组密钥分发到终端加密模块。
参考图2A至图2G,说明根据本发明实施例的群组密钥同步方法及其步骤。
如图2A所示,该群组密钥同步方法包括以下步骤:S208,在需要同步群组密钥的情况下,集群系统向密钥管理中心发送密钥同步请求消息;S210,密钥管理中心响应于密钥同步请求消息,向集群系统返回密钥同步指令;S212,集群系统将密钥同步指令透传给终端;以及S214,终端根据密钥同步指令执行群组密钥同步。其中,密钥同步请求消息中包含终端标识。
其中,步骤S210包括以下步骤:S210-2,密钥管理中心响应于密钥同步请求消息构建密钥同步指令,并根据终端标识获取终端的主密钥;S210-4,密钥管理中心通过终端的主密钥对密钥同步指令进行加密,并将经过加密的密钥同步指令返回给集群系统。
其中,步骤S214包括以下步骤:S214-2,终端通过主密钥对经过加密的密钥同步指令进行解密,以获取密钥同步指令;S214-4,终端根据密钥同步指令执行群组密钥的同步。
如图2B所示,该群组密钥同步方法还包括以下步骤:S198a,终端用其存储的群组标识和群组密钥计算第一校验和;S200b,集群系统根据终端标识获取终端所属的群组,并在双向鉴权消息中携带群组标识列表给密钥管理中心;S202c,密钥管理中心根据双向鉴权消息中的群组标识列表获取终端所属群组的群组密钥,采用与终端相同的算法计算出第二校验和,并将第二校验和与第一校验和进行比较;S204d,在第一校验和与第二校验和不一致的情况下,密钥管理中心请求终端清除其中的群组密钥;以及S206e,终端响应于密钥管理中心的请求,将其中的群组密钥清除。
其中,步骤S204d包括以下步骤:S204-2d,密钥管理中心构建密钥清除指令;S204-4d,密钥管理中心通过终端的主密钥对密钥清除指令进行加密,并将经过加密的密钥清除指令发送给终端。步骤S206e包括以下步骤:S206-2e,终端通过主密钥对经过加密的密钥清除指令进行解密,以获取密钥清除指令;S206-4e,终端根据密钥清除指令执行群组密钥的清除。
可选地,如图2C所示,该群组密钥同步方法还包括以下步骤:S202b,集群系统向密钥管理中心发送密钥更新请求消息;S204b,密钥管理中心响应于密钥更新请求消息,对群组密钥进行更新,并向集群系统报告群组密钥的更新的完成。
上述的群组密钥同步方法在终端所在的群组发生改变时立即执行、或在终端所在的群组变化后,终端上报位置信息或发起呼叫时执行。
参考图3,说明根据本发明实施例的在终端所属群组变化的情况下同步群组密钥的过程。如图3所示,该过程包括以下步骤:
S302,集团管理员通过调度台客户端添加或者删除群组中的群组成员。
S304,DAS直接或者间接访问PTT归属寄存器的PHR数据库,修改群组成员(包括添加和删除),在PHR数据库记录需要同步的群组密钥信息(后续群组信息更新需要使用群组密钥更新信息,群组信息更新成功后从数据库中删除)。
S306,DAS通知PDS所属群组发生变化的终端。在涉及多个终端所属的群组发生变化的情况下,可以通过一条或者多条消息通知PDS,也可以不实时触发终端组密钥同步。
S308,PDS发送终端群组密钥同步请求消息给PHR。
S310,PHR根据数据库记录需要同步的群组密钥信息,向KDC/SAC申请终端群组密钥同步。申请消息中携带用户标识(International Mobile Subscriber Identity,简称IMSI)、群组标识(Group Mobile Directory Number,简称MDN)、群组操作类型(Operation-Mode)。其中,群组操作类型包括添加和删除两种。一个终端可能有多个群组发生变化,可以一次同步群组密钥,也可以分多次同步群组密钥。
S312,KDC/SAC根据IMSI获取用户的主密钥,根据MDN获取群组密钥,根据群组操作类型构造密钥操作指令,再使用主密钥加密密钥操作指令。
S314,PHR在终端群组密钥应答消息中携带密钥操作指令给PDS。
S316,PDS通过基站子系统BSS寻呼加密终端,把密钥操作指令透传给终端加密模块。
S318,加密模块用主密钥解密,执行密钥操作指令,返回群组密钥操作结果。
S320,PDS把群组密钥操作结果通知给PHR。
S322,PHR根据群组密钥操作结果,删除群组密钥同步信息,回复群组密钥同步应答消息。群组密钥没有同步成功的信息还保存在数据库中,终端下次上报位置更新消息时继续触发群组密钥同步流程。
为了避免频频同步终端群组密钥,可以不实时触发终端群组密钥同步,而在终端位置更新、发起呼叫等其它事件发生时触发群组密钥同步流程。图4示出了终端所属群组变化后,位置更新时触发的群组密钥同步流程。如图4所示,该流程步骤如下:
S402,集团管理员通过调度台客户端添加或者删除群组中的群组成员。
S404,DAS直接或者间接访问PTT归属寄存器的PHR数据库,修改群组成员,并保存群组密钥需要同步的信息。
S406,终端上报位置信息。
S408,PDS发送位置更新请求消息给PHR。
S410,PHR判断终端需要群组密钥同步,在位置更新应答消息中携带终端群组密钥同步标志。
S412,PDS发送终端群组密钥同步请求消息给PHR,然后进行图3中的步骤S310至步骤S322。
也就是说,群组密钥同步过程主要包括以下步骤:集群系统对群组添加或者删除群组成员,并保存组密钥同步信息;集群系统判断终端所属群组发生变化,向密钥管理中心申请群组密钥同步,并携带群组标识、终端标识、以及操作类型;密钥管理中心根据群组标识获取群组密钥,根据终端标识获取终端主密钥;根据操作类型为终端加密模块构造密钥操作指令,再用终端主密钥加密操作指令,并通过应答消息传送给集群系统;集群系统收到应答消息,主动寻呼终端,把密钥操作指令透传给终端加密模块;终端加密模块使用主密钥进行解密,获取群组密钥操作指令并执行。
其中,上述的同步过程可以在修改终端群组时立即向密钥管理中心申请进行,也可以在被修改终端上报位置信息或者发起呼叫时再向密钥管理中心申请进行。集群系统仅在申请密钥同步消息中携带密钥管理中心构造密钥操作指令所需的信息,并透传密钥操作指令给终端加密模块。
在群组密钥同步过程出现异常时,需要校验机制来保证终端加密模块存储的群组密钥和集群系统中的一致,以及终端存储的群组密钥和密钥管理中心分配的群组密钥一致。图5示出了终端所属群组密钥校验同步流程,这里仅以双向鉴权消息举例。如图5所示,该流程包括以下步骤:
S502,终端开机发起双向鉴权,并且利用加密模块存储的群组标识和密钥计算出群组密钥校验和,并将计算出的群组密钥校验和与双向鉴权信息一起发送给PDS。
S504,PDS转发双向鉴权请求消息给PHR。
S506,PHR根据终端标识获取终端所属群组的GMDN列表,把群组列表添加到双向鉴权请求消息中,发送给KDC/SAC。
S508,KDC/SAC根据IMSI获取用户的主密钥,根据群组标识GMDN列表获取群组密钥,再使用与终端加密模块的算法相同的算法计算出终端密钥校验和,与终端加密模块携带上来的密钥校验和进行比较。比较结果相同,则不需要进行密钥同步;比较结果不相同,表明终端加密模块的终端所属群组和集群系统不一致,或者是群组密钥和密钥管理中心分配的不一致,需要重新同步。KDC/SAC在双向应答消息中携带群组密钥同步标志,通知PHR群组密钥需要同步,并且携带终端群组密钥清除指令。
S510,PHR根据双向鉴权应答消息中的群组密钥需要同步的标志判断出终端要进行群组密钥同步,把终端所属群组设置为群组密钥需要同步的状态。
S512,PDS记录终端需要群组密钥同步的标志,把双向鉴权应答消息发送给加密终端;终端加密模块完成双向鉴权。
S514,PDS判断群组密钥同步标志,发起群组密钥更新流程。步骤同图3中的步骤S310至步骤S322。
也就是说,上述的群组密钥校验同步流程包括以下步骤:终端开机时,终端加密模块进行双向鉴权,同时利用其存储的群组标识和密钥计算出校验和,并将该校验和携带给密钥管理中心;集群系统根据终端标识获取终端所属群组,在双向鉴权消息中携带群组标识列表给密钥管理中心;密钥管理中心根据双向鉴权消息中的群组标识列表获取当前终端所属群组的群组密钥,采用与终端加密模块相同的算法计算出群组密钥校验和,与终端加密模块携带上来的密钥校验和进行比较,如果比较结果相同,则不需要进行密钥同步,否则,表明终端加密模块的终端所属群组和集群系统不一致,或者是群组密钥和密钥管理中心分配的不一致,需要重新同步群组密钥;密钥管理中心构造清除终端加密模块中的群组密钥的指令,用用户主密钥加密密钥操作指令,通过双向鉴权应答消息送给集群系统,并且通知集群系统需要同步群组密钥;集群系统转发双向鉴权应答消息,并根据终端所属群组来设置群组密钥同步信息;终端加密模块通过双向鉴权,使用主密钥对密钥操作指令进行解密,执行清除群组密钥指令;集群系统在终端后续位置更新或者其它消息上报时触发群组密钥同步。通过上述校验机制,可以确保终端密钥同步的一致性。
对加密要求较高的行业用户,群组密钥还需要定期更新。图6示出了通过集群系统调度台客户端发起群组密钥更新的流程。如图6所示,该流程包括以下步骤:
S602,集团管理员通过调度台客户端DAC执行群组密钥更新操作。
S604,DAS通知PDS进行群组密钥更新;
S606,PDS发送群组密钥更新请求消息给PHR,携带群组标识GMDN。
S608,PHR转发群组密钥更新消息给KDC/SAC。
S610,KDC/SAC更新群组密钥,回复群组密钥更新应答结果,但是不携带群组密钥。
S612,PHR判断群组密钥更新成功,记录该群组下的所有群组成员的群组密钥同步信息。
S614,PDS主动触发该群组下所有终端的群组密钥同步流程,或者由终端位置更新、发起呼叫等其它事件消息触发群组密钥同步流程。后续的群组密钥同步过程同图3中的步骤S310至步骤S322。
也就是说,数字集群系统中的终端群组密钥的定期更新流程包括以下步骤(如图7所示):S702,集群系统发起群组密钥更新操作,向密钥管理中心发送密钥更新请求消息,并携带群组标识;S704,密钥管理中心响应于密钥更新请求消息,对群组密钥进行更新,通过回复群组密钥更新成功消息来向集群系统报告群组密钥的更新完成,并不携带群组密钥;S706,集群系统收到群组密钥更新成功应答消息,把群组的所有终端设置为需要群组密钥同步的状态,并在终端后续位置更新或者其它消息上报时触发群组密钥同步流程。其中的群组密钥同步流程可以与上面所述的群组密钥同步流程相同。上述程中的集群系统向密钥管理中心申请更新群组密钥,同样适用于集群系统新建群组,向密钥管理中心申请创建组密钥的情况。
综上所述,本发明提供了一种仅在集群系统中维护群组成员关系,集群系统及时通知密钥管理中心同步、更新终端加密模块的群组密钥,终端群组密钥同步出现异常后重新触发群组密钥同步的方法,从而保证了群组密钥及时地被同步到终端加密模块。本发明仅提供最基本的群组密钥同步、更新方法,这些方法还可用于公共密钥等其它密钥的同步和更新。
以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (11)
1.一种群组密钥同步方法,其特征在于,包括以下步骤:
S208,在需要同步群组密钥的情况下,集群系统向密钥管理中心发送密钥同步请求消息;
S210,所述密钥管理中心响应于所述密钥同步请求消息,向所述集群系统返回密钥同步指令;
S212,所述集群系统将所述密钥同步指令透传给终端;以及
S214,所述终端根据所述密钥同步指令执行群组密钥同步。
2.根据权利要求1所述的群组密钥同步方法,其特征在于,所述密钥同步请求消息中包含终端标识、群组标识、和操作类型。
3.根据权利要求2所述的群组密钥同步方法,其特征在于,所述步骤S210包括以下步骤:
S210-2,所述密钥管理中心响应于所述密钥同步请求消息构建所述密钥同步指令,并根据所述终端标识获取所述终端的主密钥;
S210-4,所述密钥管理中心通过所述终端的主密钥对所述密钥同步指令进行加密,并将经过加密的所述密钥同步指令返回给所述集群系统。
4.根据权利要求3所述的群组密钥同步方法,其特征在于,所述步骤S214包括以下步骤:
S214-2,所述终端通过所述主密钥对经过加密的所述密钥同步指令进行解密,以获取所述密钥同步指令;
S214-4,所述终端根据所述密钥同步指令执行所述群组密钥的同步。
5.根据权利要求1所述的群组密钥同步方法,其特征在于,在所述步骤S208之前还包括以下步骤:
S198a,所述终端用其存储的所述群组标识和群组密钥计算第一校验和;
S200b,所述集群系统根据所述终端标识获取所述终端所属的群组,并在双向鉴权消息中携带群组标识列表给所述密钥管理中心;
S202c,所述密钥管理中心根据所述双向鉴权消息中的所述群组标识列表获取所述终端所属群组的群组密钥,采用与所述终端相同的算法计算出第二校验和,并将所述第二校验和与所述第一校验和进行比较;
S204d,在所述第一校验和与所述第二校验和不一致的情况下,所述密钥管理中心请求所述终端清除所述终端中的所述群组密钥;
S206e,所述终端响应于所述密钥管理中心的请求,将其中的所述群组密钥清除。
6.根据权利要求1所述的群组密钥同步方法,其特征在于,在所述步骤S208之前还包括以下步骤:
S202b,集群系统向密钥管理中心发送密钥更新请求消息;
S204b,所述密钥管理中心响应于所述密钥更新请求消息,对群组密钥进行更新,并向所述集群系统报告所述群组密钥的更新的完成。
7.根据权利要求1至6中的任一项所述的群组密钥同步方法,其特征在于,所述群组密钥同步方法在所述终端所在的群组发生改变时立即执行、或在所述终端所在的群组变化后,所述终端上报位置信息或发起呼叫时执行。
8.一种群组密钥更新方法,其特征在于,包括以下步骤:
S702,集群系统向密钥管理中心发送密钥更新请求消息;
S704,所述密钥管理中心响应于所述密钥更新请求消息,对群组密钥进行更新,并向所述集群系统报告所述群组密钥的更新完成;
S706,所述集群系统响应于所述报告,将至少一个终端设置为需要进行群组密钥同步的状态,并在触发同步的条件满足时,触发群组密钥同步流程。
9.根据权利要求8所述的群组密钥更新方法,其特征在于,所述触发同步的条件包括以下条件中的至少一种:所述终端进行位置更新、所述终端发起呼叫、以及所述终端发送消息。
10.根据权利要求8或9所述的群组密钥更新方法,所述群组密钥同步流程包括以下步骤:
所述集群系统向所述密钥管理中心发送密钥同步请求消息;
所述密钥管理中心响应于所述密钥同步请求消息,向所述集群系统返回密钥同步指令;
所述集群系统将所述密钥同步指令透传给所述终端;以及
所述终端根据所述密钥同步指令执行群组密钥同步。
11.一种群组密钥校验方法,其特征在于,包括以下步骤:
S198a,终端用其存储的群组标识和群组密钥计算出第一校验和;
S200b,集群系统根据终端标识获取所述终端所属的群组,在双向鉴权消息中携带群组标识列表给密钥管理中心;以及
S202c,所述密钥管理中心根据双向鉴权消息中的群组标识列表获取所述终端所属的群组的群组密钥,采用与所述终端相同的算法计算出第二校验和,并将所述第二校验和与所述第一校验和进行比较。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100908859A CN101136742B (zh) | 2007-04-09 | 2007-04-09 | 群组密钥同步、更新、及校验方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100908859A CN101136742B (zh) | 2007-04-09 | 2007-04-09 | 群组密钥同步、更新、及校验方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101136742A true CN101136742A (zh) | 2008-03-05 |
| CN101136742B CN101136742B (zh) | 2011-01-19 |
Family
ID=39160600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100908859A Expired - Fee Related CN101136742B (zh) | 2007-04-09 | 2007-04-09 | 群组密钥同步、更新、及校验方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101136742B (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997677A (zh) * | 2009-08-18 | 2011-03-30 | 中兴通讯股份有限公司 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
| CN102238000A (zh) * | 2010-04-21 | 2011-11-09 | 华为技术有限公司 | 加密通信方法、装置及系统 |
| CN102457844A (zh) * | 2010-10-28 | 2012-05-16 | 中兴通讯股份有限公司 | 一种m2m组认证中组密钥管理方法及系统 |
| CN102487502A (zh) * | 2010-12-01 | 2012-06-06 | 电子科技大学 | 一种集群通信安全方法 |
| CN103582157A (zh) * | 2012-07-18 | 2014-02-12 | 电信科学技术研究院 | 参数通知方法、设备及系统 |
| CN103607277A (zh) * | 2013-11-18 | 2014-02-26 | 中国联合网络通信集团有限公司 | 密钥更新的处理方法、设备和系统 |
| CN103856330A (zh) * | 2012-12-03 | 2014-06-11 | 北京信威通信技术股份有限公司 | 一种基于非对称加密体系的集群组呼密钥分发的方法 |
| CN104539428A (zh) * | 2014-12-30 | 2015-04-22 | 成都三零瑞通移动通信有限公司 | 一种集群加密通信中动态重组方法 |
| CN104936200A (zh) * | 2014-03-20 | 2015-09-23 | 成都鼎桥通信技术有限公司 | 语音环境监听处理方法和用户设备 |
| CN104980269A (zh) * | 2014-04-03 | 2015-10-14 | 华为技术有限公司 | 密钥共享方法、装置与系统 |
| CN105338500A (zh) * | 2014-08-07 | 2016-02-17 | 成都鼎桥通信技术有限公司 | 一种数字集群lte网络中ptt pool的实现方法 |
| CN105635096A (zh) * | 2015-06-26 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 数据模块的访问方法、系统和终端 |
| CN106998550A (zh) * | 2016-01-25 | 2017-08-01 | 展讯通信(上海)有限公司 | 集群组呼的组根密钥的更新方法及装置 |
| CN108055283A (zh) * | 2013-01-18 | 2018-05-18 | 苹果公司 | 用于密钥链同步的系统和方法 |
| CN108900552A (zh) * | 2018-08-16 | 2018-11-27 | 北京海泰方圆科技股份有限公司 | 密钥分发方法和装置、密钥获取方法和装置 |
| CN110536254A (zh) * | 2016-01-25 | 2019-12-03 | 展讯通信(上海)有限公司 | 小区切换方法及装置、存储介质、基站 |
| CN110830239A (zh) * | 2018-08-07 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种密钥更新方法、装置及系统 |
| CN111586593A (zh) * | 2019-02-18 | 2020-08-25 | 成都鼎桥通信技术有限公司 | 临时组呼的发起方法、装置及存储介质 |
| CN112134699A (zh) * | 2020-09-11 | 2020-12-25 | 苏州浪潮智能科技有限公司 | 一种存储中多节点间的密钥管理方法及装置 |
| CN112491535A (zh) * | 2020-11-04 | 2021-03-12 | 郑州信大捷安信息技术股份有限公司 | 差动保护组内差动单元之间加密密钥协同系统及方法 |
| CN112653552A (zh) * | 2020-11-23 | 2021-04-13 | 北京思特奇信息技术股份有限公司 | 采用分组方式的密钥管理系统和方法 |
| CN112887086A (zh) * | 2021-01-19 | 2021-06-01 | 北京邮电大学 | 量子密钥同步方法及系统 |
| CN113347147A (zh) * | 2021-04-15 | 2021-09-03 | 中安云科科技发展(山东)有限公司 | 一种两点密钥安全同步方法、系统及设备 |
| CN114257606A (zh) * | 2021-12-13 | 2022-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
| CN114448608A (zh) * | 2020-10-16 | 2022-05-06 | 中国移动通信有限公司研究院 | 组密钥的管理方法、装置、相关设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5404404A (en) * | 1993-07-01 | 1995-04-04 | Motorola, Inc. | Method for updating encryption key information in communication units |
| CN1758593A (zh) * | 2004-10-10 | 2006-04-12 | 大唐移动通信设备有限公司 | 多媒体组播业务的业务密钥更新方法 |
| CN1863047A (zh) * | 2005-05-11 | 2006-11-15 | 中兴通讯股份有限公司 | 组播业务的组通讯加密密钥管理方法 |
-
2007
- 2007-04-09 CN CN2007100908859A patent/CN101136742B/zh not_active Expired - Fee Related
Cited By (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997677A (zh) * | 2009-08-18 | 2011-03-30 | 中兴通讯股份有限公司 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
| CN102238000A (zh) * | 2010-04-21 | 2011-11-09 | 华为技术有限公司 | 加密通信方法、装置及系统 |
| US9331986B2 (en) | 2010-04-21 | 2016-05-03 | Huawei Technologies Co., Ltd. | Encryption communication method, apparatus and system |
| CN102238000B (zh) * | 2010-04-21 | 2015-01-21 | 华为技术有限公司 | 加密通信方法、装置及系统 |
| CN102457844A (zh) * | 2010-10-28 | 2012-05-16 | 中兴通讯股份有限公司 | 一种m2m组认证中组密钥管理方法及系统 |
| CN102457844B (zh) * | 2010-10-28 | 2016-03-30 | 中兴通讯股份有限公司 | 一种m2m组认证中组密钥管理方法及系统 |
| CN102487502A (zh) * | 2010-12-01 | 2012-06-06 | 电子科技大学 | 一种集群通信安全方法 |
| CN103582157A (zh) * | 2012-07-18 | 2014-02-12 | 电信科学技术研究院 | 参数通知方法、设备及系统 |
| CN103856330A (zh) * | 2012-12-03 | 2014-06-11 | 北京信威通信技术股份有限公司 | 一种基于非对称加密体系的集群组呼密钥分发的方法 |
| CN108055283B (zh) * | 2013-01-18 | 2021-01-29 | 苹果公司 | 用于密钥链同步的系统和方法 |
| US10771545B2 (en) | 2013-01-18 | 2020-09-08 | Apple Inc. | Keychain syncing |
| CN108055283A (zh) * | 2013-01-18 | 2018-05-18 | 苹果公司 | 用于密钥链同步的系统和方法 |
| CN103607277B (zh) * | 2013-11-18 | 2016-08-03 | 中国联合网络通信集团有限公司 | 密钥更新的处理方法、系统和密钥管理平台 |
| CN103607277A (zh) * | 2013-11-18 | 2014-02-26 | 中国联合网络通信集团有限公司 | 密钥更新的处理方法、设备和系统 |
| CN104936200B (zh) * | 2014-03-20 | 2019-01-08 | 成都鼎桥通信技术有限公司 | 集群语音环境监听处理方法和集群语音用户设备 |
| CN104936200A (zh) * | 2014-03-20 | 2015-09-23 | 成都鼎桥通信技术有限公司 | 语音环境监听处理方法和用户设备 |
| CN104980269A (zh) * | 2014-04-03 | 2015-10-14 | 华为技术有限公司 | 密钥共享方法、装置与系统 |
| CN105338500A (zh) * | 2014-08-07 | 2016-02-17 | 成都鼎桥通信技术有限公司 | 一种数字集群lte网络中ptt pool的实现方法 |
| CN105338500B (zh) * | 2014-08-07 | 2019-02-12 | 成都鼎桥通信技术有限公司 | 一种数字集群lte网络中ptt pool的实现方法 |
| CN104539428B (zh) * | 2014-12-30 | 2017-11-21 | 成都三零瑞通移动通信有限公司 | 一种集群加密通信中动态重组方法 |
| CN104539428A (zh) * | 2014-12-30 | 2015-04-22 | 成都三零瑞通移动通信有限公司 | 一种集群加密通信中动态重组方法 |
| CN105635096A (zh) * | 2015-06-26 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 数据模块的访问方法、系统和终端 |
| CN105635096B (zh) * | 2015-06-26 | 2018-09-14 | 宇龙计算机通信科技(深圳)有限公司 | 数据模块的访问方法、系统和终端 |
| CN106998550A (zh) * | 2016-01-25 | 2017-08-01 | 展讯通信(上海)有限公司 | 集群组呼的组根密钥的更新方法及装置 |
| CN110536254A (zh) * | 2016-01-25 | 2019-12-03 | 展讯通信(上海)有限公司 | 小区切换方法及装置、存储介质、基站 |
| CN106998550B (zh) * | 2016-01-25 | 2019-12-03 | 展讯通信(上海)有限公司 | 集群组呼的组根密钥的更新方法及装置 |
| CN110536254B (zh) * | 2016-01-25 | 2022-02-22 | 展讯通信(上海)有限公司 | 小区切换方法及装置、存储介质、基站 |
| CN110830239A (zh) * | 2018-08-07 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种密钥更新方法、装置及系统 |
| CN110830239B (zh) * | 2018-08-07 | 2023-02-28 | 阿里巴巴集团控股有限公司 | 一种密钥更新方法、装置及系统 |
| CN108900552A (zh) * | 2018-08-16 | 2018-11-27 | 北京海泰方圆科技股份有限公司 | 密钥分发方法和装置、密钥获取方法和装置 |
| CN111586593B (zh) * | 2019-02-18 | 2021-12-07 | 成都鼎桥通信技术有限公司 | 临时组呼的发起方法、装置及存储介质 |
| CN111586593A (zh) * | 2019-02-18 | 2020-08-25 | 成都鼎桥通信技术有限公司 | 临时组呼的发起方法、装置及存储介质 |
| CN112134699A (zh) * | 2020-09-11 | 2020-12-25 | 苏州浪潮智能科技有限公司 | 一种存储中多节点间的密钥管理方法及装置 |
| CN112134699B (zh) * | 2020-09-11 | 2022-05-13 | 苏州浪潮智能科技有限公司 | 一种存储中多节点间的密钥管理方法及装置 |
| CN114448608A (zh) * | 2020-10-16 | 2022-05-06 | 中国移动通信有限公司研究院 | 组密钥的管理方法、装置、相关设备及存储介质 |
| CN112491535A (zh) * | 2020-11-04 | 2021-03-12 | 郑州信大捷安信息技术股份有限公司 | 差动保护组内差动单元之间加密密钥协同系统及方法 |
| CN112653552A (zh) * | 2020-11-23 | 2021-04-13 | 北京思特奇信息技术股份有限公司 | 采用分组方式的密钥管理系统和方法 |
| CN112887086A (zh) * | 2021-01-19 | 2021-06-01 | 北京邮电大学 | 量子密钥同步方法及系统 |
| CN112887086B (zh) * | 2021-01-19 | 2022-07-22 | 北京邮电大学 | 量子密钥同步方法及系统 |
| CN113347147A (zh) * | 2021-04-15 | 2021-09-03 | 中安云科科技发展(山东)有限公司 | 一种两点密钥安全同步方法、系统及设备 |
| CN114257606A (zh) * | 2021-12-13 | 2022-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
| CN114257606B (zh) * | 2021-12-13 | 2024-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101136742B (zh) | 2011-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101136742B (zh) | 群组密钥同步、更新、及校验方法 | |
| CN101137123B (zh) | 集群系统的加密组呼、单呼、及动态重组呼叫实现方法 | |
| CN101521883B (zh) | 一种数字证书的更新和使用方法及系统 | |
| CN101150857B (zh) | 用于松散耦合互操作的基于证书的认证授权计费方案 | |
| CN102035849B (zh) | 云计算中实现资源管理的方法、设备及系统 | |
| RU2495532C2 (ru) | Способ и устройство для осуществления связи со сквозным шифрованием | |
| US5528691A (en) | Method for automatically assigning enctyption information to a group of radios | |
| KR20060046243A (ko) | Sim 카드로부터의 정보를 적어도 하나의 통신 객체로안전 복제하기 위한 방법 및 시스템 | |
| CN101217728A (zh) | 用于无线写卡的空卡、无线写卡服务器及无线写卡方法 | |
| CN101248644A (zh) | 用户数据的管理 | |
| CN1283948A (zh) | 无线通信系统的动态原籍代理系统 | |
| CN101022608A (zh) | 一种cdma制式集群系统密钥分配及动态更新方法 | |
| KR20170134804A (ko) | 차량 클라우드에서의 통신 보안 기법 | |
| CN101651944B (zh) | 集群系统和加密通信方法 | |
| CN102217239B (zh) | 一种组临时密钥更新方法、装置和系统 | |
| CN104427496A (zh) | Td-lte集群通信系统加密传输方法、装置和系统 | |
| CN103856330A (zh) | 一种基于非对称加密体系的集群组呼密钥分发的方法 | |
| CN100387091C (zh) | 一种实现快速呼叫建立的方法 | |
| CN1450751A (zh) | 一种多播业务密钥的分发方法 | |
| CN102111268B (zh) | 一种gsm网络双向认证的方法 | |
| CN104539428A (zh) | 一种集群加密通信中动态重组方法 | |
| JPH10336745A (ja) | 移動通信システム | |
| JP2005176340A (ja) | 隣接するモバイル・スイッチング・センタへのハンドオフのためのグローバル認証継続機能 | |
| JP2002530960A (ja) | 一時的加入者情報の安全な転送のためのシステムと方法 | |
| EP1843523A1 (en) | A method of performing a location update of a mobile station to a mobile communication network, a mobile station, and a mobile communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110119 Termination date: 20160409 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |