CN103179558A - 集群系统组呼加密实现方法及系统 - Google Patents
集群系统组呼加密实现方法及系统 Download PDFInfo
- Publication number
- CN103179558A CN103179558A CN2012103516713A CN201210351671A CN103179558A CN 103179558 A CN103179558 A CN 103179558A CN 2012103516713 A CN2012103516713 A CN 2012103516713A CN 201210351671 A CN201210351671 A CN 201210351671A CN 103179558 A CN103179558 A CN 103179558A
- Authority
- CN
- China
- Prior art keywords
- group calling
- cluster
- group
- authentication
- calling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
- H04W4/10—Push-to-Talk [PTT] or Push-On-Call services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/08—Trunked mobile radio systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种集群系统组呼加密实现方法及系统,所述方法为:网络侧以及组呼终端侧分别维护一相同的集群鉴权密钥K值列表,每次组呼过程中,网络侧根据生成的随机数RAND、鉴权序列号SQN、从所述集群鉴权密钥K值列表中选取的集群鉴权密钥K值以及公网鉴权函数计算得到鉴权向量AV,组呼终端侧依据获取的RAND和鉴权向量AV中的鉴权令牌AUTN执行鉴权以生成加密密钥CK。采用本发明,可以实现基于公网安全机制的集群系统加密,解决了现有集群系统加密依赖算法强度不高的私有加密算法、空口传递密钥、密钥替换不及时等弊端,大大提高了集群系统的安全性。
Description
技术领域
本发明涉及通讯技术领域,具体而言,涉及一种集群系统组呼密钥生成与加密实现方法及系统。
背景技术
集群通信业务是一种半双工双向业务,用于实现一对多的业务,其特点是:当集群终端发起集群呼叫业务时,其语音信息能够同时发送给预定的集群组内的相应成员,并且业务建立速度快。基于这些特点,集群通讯系统广泛应用在政府机关、公安消防、能源交通、机场码头、工矿企业、军事和展会等行业和场合。
目前的集群通信系统是基于第二代移动通信技术发展起来的,即GSM技术。并且,随着新移动通信技术的不断成熟和商用普及,集群通信系统也必将演进为采用3G或者4G等通信技术的系统,这是因为采用更为先进的通信技术是集群通信业务的演进方向。
另外,目前较多科研机构也在研究如何将集群通信系统与现有公网相结合的课题,其中,当集群通信系统与现有公网结合时,如何利用现有公网成熟的安全架构来实现集群通信的安全性,是其中一个亟待解决的问题。
然而,现有集群通信系统的加密方法尚无基于现有公网安全架构的,其主要实现方法大体为以下几类:
1、端到端加密的方法,其在终端增加通用的加密模块,无论是加密端还是解密端均采用相同加解密算法以及密钥。应用这种方法时,其密钥是通过空口发送的,安全性完全依赖于加密算法的复杂度,因此在实际实施过程中,如果加密算法强度不够,则容易被破解,导致安全性较差。
2、密钥管理中心为终端分配多个固定的专用于集群通信业务的密钥。每个密钥由一个唯一密钥标识来表示。这些固定的密钥可以通过卡读写设备写入终端用户识别卡中。在集群组呼业务中,网络侧通过密钥标识控制终端使用某个特定的密钥。然而在实际应用过程中,由于密钥个数有限,会导致密钥会重复使用,而密钥的重复使用会大大降低集群通信系统的安全性,并且由于终端用户识别卡中的密钥需要特定的读写卡装置写入,不利于后续的密钥及时更新。
3、密钥管理中心新生成的密钥,由于考虑到安全性问题,该密钥不能在空口消息直接发送,因此,在组呼过程中,使用某个终端和网络侧协商过的密钥,对新密钥进行加密获得Keycipher,并通过空口消息中发送Keycipher。所述网络侧和终端协商过的密钥可以是当前正在使用的密钥,也可以是某个集群组固定使用的密钥等。终端使用协商过的密钥对空口消息中的Keycipher进行解密,获得新生成的密钥,替换当前使用的密钥。但是在实际应用当中,新密钥的安全性还是依赖于已经协商过的密钥的安全性,因此一定程度上仍然无法保证其安全性。
另外,集群组呼业务的特点为一个主叫用户的语音,可以同时被多个同组的听用户收到,实际实施时,如果为每个听用户分配一套资源实现组呼功能,可以直接使用公网的加密机制来实现组呼的加密,但是一次组呼占用的网络资源会非常大。另外,现有公网的加密密钥生成和使用机制仅适合单一用户,要实现同一组呼用户生成和使用同一套密钥,则需要一套新的机制来实现。
发明内容
本发明主要目的在于提供了一种集群系统组呼加密实现方法及系统,以解决现有集群系统加密依赖算法强度不高的私有加密算法、空口传递密钥、密钥替换不及时等问题。
为了实现本发明的目的,其采用如下技术方案:
一种集群系统组呼加密实现方法,网络侧以及组呼终端侧分别维护一相同的集群鉴权密钥K值列表,每次组呼过程中,网络侧根据生成的随机数RAND、鉴权序列号SQN、从所述集群鉴权密钥K值列表中选取的集群鉴权密钥K值,使用公网鉴权函数计算得到鉴权向量AV,组呼终端侧依据获取的RAND和鉴权向量AV中的AUTN(Authentication token,鉴权令牌)执行鉴权。
优选地,集群组呼的组呼讲状态终端和听状态终端共享下行专有物理信道,传输信道和RB配置也相同,上行专有物理信道分配给集群组呼的讲状态终端。
优选地,听状态终端仅在下行专有物理信道上接收下行业务和非确认模式RB上的信令数据,其上行信令在不做加解密的公共信道上发送。
优选地,其包括组呼主叫发起的组呼建立步骤,该步骤包括:
集群服务器收到组呼主叫发送的组呼建立请求后,为该组呼生成公网鉴权算法需要的参数,包括RAND、SQN,在集群鉴权密钥K值列表中随机选择的一个K值,集群服务器使用公网鉴权函数f1~f5计算得到鉴权向量AV,然后将鉴权向量AV和所选K值的标识Kid发送给组呼主叫的SRNC(Serving Radio Network Controller,服务无线网络控制器),SRNC把K值的标识Kid、RAND和鉴权向量AV中的AUTN发给组呼主叫;
组呼主叫根据收到的标识Kid、RAND和鉴权向量中AV中的AUTN,生成加密密钥CK。
更为具体地,其包括组呼主叫发起的组呼建立步骤,该步骤包括:
组呼主叫发送包括组呼主叫UE标识以及目标组呼标识的组呼建立请求给SRNC;
SRNC通知集群服务器组呼主叫请求建立组呼,如果集群服务器判断该组呼主叫用户有权限建立所述目标组呼,则根据生成的随机数RAND、序列号SQN、从存储的集群鉴权密钥K值列表中选取的集群鉴权密钥K值以及公网鉴权函数f1~f5计算计算得到鉴权向量AV;
集群服务器发送组呼建立消息给组呼主叫用户所在的SRNC,其中,组呼建立消息携带标识集群鉴权密钥K值的标识Kid以及鉴权向量AV,所述鉴权向量AV包括随机数RAND、期望的用户响应XRES、加密密钥CK、完整性保护密钥IK,以及鉴权令牌AUTN,其中,,MAC是指消息鉴权码,鉴权管理域AMF的长度为16位;
SRNC发送组呼建立响应消息给组呼主叫,其中包括为组呼主叫分配的RB、传输信道、物理信道资源,以及集群鉴权密钥K值的标识Kid、AUTN和RAND;
组呼主叫收到组呼建立响应消息后,执行鉴权,其全球用户识别卡USIM卡根据获取的标识集群鉴权密钥K值的标识Kid获取集群鉴权密钥K值,并将其作为公网鉴权函数f1~f5的入参,计算出AK、IK、CK、XMAC以及鉴权响应值RES,比较XMAC和AUTN中MAC是否相等,如果相等,组呼主叫保存鉴权生成的CK和IK作为此次组呼使用的密钥,否则,组呼主叫回复组呼失败消息。
优选地,还包括集群服务器发起的组呼被叫步骤,该步骤包括:
集群服务器根据组呼被叫所在位置区,确定发送寻呼的范围,通知此范围下的RNC(Radio Network Controller, 无线网络控制器),并把发送给组呼主叫的集群鉴权密钥K值的标识Kid和鉴权向量AV中的AUTN和RAND发送给SRNC;
SRNC在所有小区的预先划定的集群专用公共信道上广播当前组呼的听状态配置,包括RB、传输信道、物理资源以及集群服务器下发的集群鉴权密钥K值的标识Kid和鉴权向量AV中的AUTN和RAND;
组呼被叫收到寻呼后,如果需要加入该组呼听状态,组呼被叫主动读取公共信道上组呼的集群鉴权密钥K值的标识Kid和鉴权向量AV,执行鉴权并生成加密密钥CK。
优选地,还包括组呼建立时处于未开机状态或不在组呼服务区状态的组呼被叫进入组呼听状态并启动加密的步骤,所述步骤包括:
组呼被叫开机或进入集群服务区之后,发送组信息更新请求给集群服务器获取终端所属的组呼标识,当终端确定需要接听某个组呼时,读取集群专用公共信道,获取所属组呼的信息,包括组呼的下行物理信道、传输信道、RB配置、Kid和鉴权向量AV中的AUTN和RAND,并据此执行鉴权。
更为具体地,所述组呼建立时处于未开机状态或不在组呼服务区状态的组呼被叫进入组呼听状态并启动加密的步骤包括:
组呼被叫开机或进入集群服务区之后,在与无线资源控制协议控制器RRC建立连接成功后,发送组信息更新请求给SRNC,其中包括组呼被叫的UE标识;
SRNC将组呼被叫的组信息更新请求发送给集群服务器;
集群服务器根据组呼被叫的UE标识判断其所属的组呼,发送组信息更新接受消息给SRNC,消息中包括组呼被叫所属组呼的标识;
SRNC将组信息更新接受消息发送给组呼被叫,组呼被叫收到组信息更新接受消息后,读取集群专用公共信道,获取所属组呼的信息,包括组呼的下行物理信道、传输信道、RB配置、集群鉴权密钥K值的标识Kid和鉴权向量AV中的AUTN和RAND,并据此执行鉴权。
优选地,同一组呼下所有听用户终端的解密参数一致,在执行鉴权时,除了生成一致的CK,还需要确保每个听用户终端的加密计数器COUNT-C值同步:
组呼建立时,SRNC需要确定每个需要加密的RB上下行的加密激活时间,并发送给组呼主叫,同时在集群专用公共信道上广播下行加密激活时间,组呼被叫终端从公共信道上获取下行加密激活时间;
SRNC和组呼终端判断某个RB上的发送或接收的数据包,达到上行或下行加密激活时间时,需要用START=0初始化COUNT-C的HFN部分;
当某个RB的下行加密激活时间已过,SRNC删除在集群专用公共信道上对应RB的加密激活时间,实时更新此RB的下行COUNT-C的HFN值;需要广播确认模式无线承载(Acknowledge mode Radio bearer,简称AM RB)和非确认模式无线承载(Unacknowledge mode Radio bearer,简称UM RB)下行最近一次发送数据包的sn和透传模式无线承载TM RB(transparent mode Radio bearer,简称TM RB)下行最近一次发送数据包的连接帧号(connection frame number,简称CFN)。
优选地,组呼被叫决定接入听状态时,读取集群专用公共信道上的组呼加密指示、激活时间、HFN、sn/CFN等加密参数:
如果加密指示为不加密,终端不启动加密流程;
如果加密指示启动加密,当某RB的下行激活时间有效,组呼被叫收到该RB的下行数据包达到激活时间时,用HFN=0初始化COUNT-C,当某RB的加密激活时间无效时,组呼被叫使用广播的该RB的下行HFN和sn/CFN来初始化COUNT-C。
一种集群系统组呼加密实现系统,网络侧以及组呼终端侧分别维护一相同的集群鉴权密钥K值列表,每次组呼过程中,网络侧根据生成的随机数RAND、鉴权序列号SQN、从所述集群鉴权密钥K值列表中选取的集群鉴权密钥K值以及公网鉴权函数计算得到鉴权向量AV,组呼终端侧依据获取的RAND和鉴权向量AV中的及鉴权令牌AUTN执行鉴权以生成加密密钥CK。
,选地体地 优选地,所述集群系统组呼加密实现系统包括:
集群服务器,用于在收到组呼主叫发送的组呼建立请求后,为该组呼生成公网鉴权算法需要的参数,包括RAND、SQN,在集群鉴权密钥K值列表中随机选择的一个K值,使用公网鉴权函数f1~f5计算得到鉴权向量AV,然后将鉴权向量AV和所选K值的标识Kid发送给组呼主叫的SRNC;
SRNC,其用于把获得的K值的标识Kid、RAND和鉴权向量AV中的AUTN发给组呼主叫;
组呼主叫,用于根据收到的标识Kid、RAND和鉴权向量AV中的AUTN,生成加密密钥CK。
更为具体地,所述组呼主叫,其用于发送包括组呼主叫UE标识以及目标组呼标识的组呼建立请求给SRNC;以及用于收到组呼建立响应消息后,执行鉴权,其全球用户识别卡USIM卡根据获取的标识集群鉴权密钥K值的标识Kid获取集群鉴权密钥K值,并将其作为公网鉴权函数f1~f5的入参,计算出AK、IK、CK、XMAC以及鉴权响应值RES,比较XMAC和AUTN中MAC是否相等,如果相等,组呼主叫保存鉴权生成的CK和IK作为此次组呼使用的密钥,否则,组呼主叫回复组呼失败消息;
所述SRNC,其用于通知集群服务器组呼主叫请求建立组呼;以及用于依据获取的组呼建立消息发送组呼建立响应消息给组呼主叫,其中包括为组呼主叫分配的RB、传输信道、物理信道资源,以及集群鉴权密钥K值的标识Kid、AUTN和RAND;
所述集群服务器,其用于依据获取的组呼主叫请求判断该组呼主叫用户是否有权限建立所述目标组呼标识的组呼,则根据生成的随机数RAND、序列号SQN、从存储的集群鉴权密钥K值列表中选取的集群鉴权密钥K值以及公网鉴权函数f1~f5计算计算得到鉴权向量AV;以及用于发送组呼建立消息给组呼主叫用户所在的SRNC,其中,组呼建立消息携带标识集群鉴权密钥K值的标识Kid以及鉴权向量AV,所述鉴权向量AV包括随机数RAND、期望的用户响应XRES、加密密钥CK、完整性保护密钥IK,以及鉴权令牌AUTN,其中,,MAC是指消息鉴权码,鉴权管理域AMF的长度为16位。
更为优选地,
组呼主叫流程成功后,集群服务器根据组呼被叫所在位置区,确定发送寻呼的范围,通知此范围下的RNC,并把发送给组呼主叫的Kid、鉴权向量AV中的AUTN和RAND发送给SRNC ,SRNC在所有小区的预先划定的集群专用公共信道上广播当前组呼的听状态配置,包括RB、传输信道、物理资源以及集群服务器下发的鉴权向量AV中的AUTN和RAND,组呼被叫判断如果需要加入该组呼听状态,则主动读取公共信道上组呼的Kid、RAND和鉴权向量AV中的AUTN,执行鉴权并生成加密密钥CK。
组呼被叫还用于在开机或进入集群服务区之后,发送组信息更新请求给集群服务器获取终端所属的组呼标识,当终端确定需要接听某个组呼时,读取集群专用公共信道,获取所属组呼的信息,包括组呼的下行物理信道、传输信道、RB配置、Kid和鉴权向量AV中的AUTN和RAND,并据此执行鉴权。
具体地,所述组呼被叫用于在集群服务器发起组呼被叫流程并收到寻呼后,集群服务器根据组呼被叫所在位置区,确定发送寻呼的范围,通知此范围下的RNC,并把发送给组呼主叫的鉴权向量AV中的AUTN和RAND发送给SRNC ,SRNC在所有小区的预先划定的集群专用公共信道上广播当前组呼的听状态配置,包括RB、传输信道、物理资源以及集群服务器下发的集群鉴权密钥K值的标识Kid、鉴权向量AV中的AUTN和RAND,其用于判断如果需要加入该组呼听状态,则主动读取公共信道上组呼的鉴权参数,执行鉴权。
优选地,当组呼建立时处于未开机状态或不在组呼服务区状态的组呼被叫进入组呼听状态并启动加密时:
组呼被叫还用于在开机或进入集群服务区之后,并在与无线资源控制协议控制器RRC建立连接成功后,发送组信息更新请求给SRNC,其中包括组呼被叫的UE标识;
SRNC还用于将组呼被叫的组信息更新请求发送给集群服务器;以及还进一步用于将组信息更新接受消息发送给组呼被叫,组呼被叫收到组信息更新接受消息后,读取集群专用公共信道,获取所属组呼的信息,包括组呼的下行物理信道、传输信道、RB配置和标识集群鉴权密钥K值的标识Kid、鉴权向量AV中的AUTN和RAND,并据此执行鉴权;
集群服务器还用于根据组呼被叫的UE标识判断其所属的组呼,发送组信息更新接受消息给SRNC,消息中包括组呼被叫所属组呼的标识。
优选地,同一组呼下所有听用户终端的解密参数一致,在执行鉴权时,除了生成一致的CK,还需要确保每个听用户终端的加密计数器COUNT-C值同步:
组呼建立时,SRNC需要确定每个需要加密的RB上下行的加密激活时间,并发送给组呼主叫,同时在集群专用公共信道上广播下行加密激活时间,组呼被叫终端从公共信道上获取下行加密激活时间;
SRNC和组呼终端判断某个RB上的发送或接收的数据包,达到上行或下行加密激活时间时,需要用START=0初始化COUNT-C的HFN部分;
当某个RB上下行加密激活时间已过,SRNC删除在集群专用公共信道上对应RB的加密激活时间,实时更新此RB的下行COUNT-C的HFN值;需要广播AM RB和UM RB下行最近一次发送数据包的sn和TM RB下行最近一次发送数据包的CFN。
优选地,组呼被叫还用于在决定接入听状态时,读取集群专用公共信道上的组呼加密指示、激活时间、HFN、sn/CFN等加密参数:
如果加密指示为不加密,终端不启动加密流程;
如果加密指示启动加密,当某RB的下行激活时间有效,组呼被叫收到该RB的下行数据包达到激活时间时,用HFN=0初始化COUNT-C,当某RB的加密激活时间无效时,组呼被叫使用广播的该RB的下行HFN和sn/CFN来初始化COUNT-C。
通过上述本发明的技术方案可以看出,采用本发明,可以实现基于公网安全机制的集群系统加密,解决了现有集群系统加密依赖算法强度不高的私有加密算法、空口传递密钥、密钥替换不及时等弊端,大大提高了集群系统的安全性。
附图说明
图1为公网鉴权向量的生成算法示意图;
图2为公网下USIM卡中的用户鉴权示意图;
图3为公网下信令和业务数据的加密解密流程示意图;
图4为本发明实施例提供的COUNT-C的结构示意图;
图5为本发明实施例提供的组呼建立过程示意图;
图6为本发明实施例提供的组呼被叫过程示意图;
图7为本发明实施例提供的组呼迟后接入过程示意图;
图8为本发明实施例提供的话权申请过程示意图。
本发明目的的实现、功能特点及优异效果,下面将结合具体实施例以及附图做进一步的说明。
具体实施方式
下面结合附图和具体实施例对本发明所述技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
鉴于目前在3G安全架构中,密钥不是在空口直接传输的,而是采用鉴权流程生成。鉴权中心和USIM(Universal Subscriber IdentityModule,全球用户识别卡)卡分别存储一个相同的128bit的K值,空口传输的是鉴权向量,鉴权中心和USIM卡以相同的算法计算出完整性保护密钥IK和加密密钥CK。其通过使用公开加密算法,128bit的密钥大大提高了密钥抗穷举攻击的能力。并且密钥的使用次数由COUNT-C计数器来统计,一旦超过预定阈值,密钥则会及时被更换掉。因此,如果集群通信系统借用3G成熟的加密机制,则可以解决密钥空口传递不安全、密钥不能及时更新的问题。
本发明实施例提供的基于公网(例如基于UMTS(Universal MobileTelecommunications System,通用移动通信系统))的集群系统组呼加密实现算法,其集群系统具有以下特点:
为了节省集群组呼的物理资源开销,集群组呼的所有成员,包括集群组呼讲状态终端和听状态终端共享下行专有信道,其传输信道和RB配置也相同,上行专有信道分配给集群组呼讲状态终端。讲状态终端上下行信令均可以在专有信道上发送和接收,而听状态终端仅在专有信道上接收下行业务和非确认模式RB上的信令数据,听状态终端的上行信令在公共信道上发送,UMTS系统下的公共信道不做加解密,集群组呼听状态终端的资源在预先划定的公共信道上进行广播。
集群组呼所有成员使用同一集群鉴权密钥K值和鉴权向量,使用公网的密钥生成算法,即可让集群组呼所有成员都生成相同的加密密钥CK。值得注意的是,这里的集群鉴权密钥K值与公网USIM卡中的K值不同,其为专用于集群系统的K值,并且是所有组呼成员共享的。该集群鉴权密钥K值不能通过空口传输,其为预先写到USIM卡中,可以是每个集群组呼固定分配一个集群鉴权密钥K值,也可以是固定的一组集群鉴权密钥K值,由鉴权向量中某个标识参数指示使用哪个具体的集群鉴权密钥K值。
集群组呼的加解密算法沿用UMTS的加解密算法,如图3所示,其中加密的入参COUNT-C值在集群系统中的使用和维护规则需要更改,与公网的COUNT-C使用区别是集群组呼所有听状态终端对同一下行数据包使用同一COUNT-C值进行解密。COUNT-C的结构如图4所示,在UMTS系统中,AM RB、UM RB、TM RB都是需要执行加解密的,每个AM RB和UM RB的上行和下行分别有一个COUNT-C值统计密钥使用次数,低位sn为最近一次发送或者接收的数据包头中的序列号sn;每个核心网CN(corenetwork)域的TM RB共用一个COUNT-C,低位等同于当前的CFN。由于每次组呼建立过程都执行鉴权生成新密钥,加密启动时认为START=0,即COUNT-C值的HFN部分用0来初始化,而sn或者CFN部分维护依然按UMTS的维护规则。对于收到寻呼后接入集群组呼的终端,可以根据加密激活时间同时启动加密,使用相同的START=0初始化COUNT-C的HFN部分,,之后COUNT-C的HFN、sn或者CFN部分按UMTS的规则维护。
对于迟后接入的组呼被叫终端,由于无法预知接入组呼的时间,为了保持迟后接入的组呼被叫终端与其他已经在组呼中的组呼被叫终端下行COUNT-C值一致,由RNC负责实时更新集群专用公共信道上的下行COUNT-C的HFN,以及AM RB和UM RB的最近一次发送下行数据报的sn,TM RB下行最近一次发送数据包的CFN。
在本发明实施例提供的基于UMTS公网安全架构的集群系统组呼加密实现方法中,其适用于集群组呼所有被叫通话共享同一套下行资源,包括物理信道、传输信道、RB配置。
例如,其组呼建立过程如图5所示,具体实现步骤如下:
步骤101,组呼主叫用户发送组呼建立请求给SRNC,其中包括组呼主叫的UE(user Equipment)标识以及需要建立的组呼的组标识。
步骤102,SRNC通知集群服务器主叫用户请求建立组呼,如果集群服务器判断此用户有权限建立该组呼标识的组呼,需要生成该组呼使用的鉴权向量,用于生成加密密钥CK,具体方法如下:
集群服务器和集群专用USIM卡分别维护一个相同的集群鉴权密钥K值列表,每个集群鉴权密钥K值仍然为128bit,每个集群鉴权密钥K值以一个自然数Kid来标识,集群服务器在下发鉴权向量时,需要携带Kid来通知USIM卡使用哪个具体的集群鉴权密钥K值。组呼的集群鉴权密钥K值的个数根据需要设定,集群鉴权密钥K值使用读写卡器写入USIM卡中。
集群服务器生成一个随机数RAND和该组的SQN,从集群专用的集群鉴权密钥K值列表随机选择一个集群鉴权密钥K值,如图1所示,根据公网鉴权函数f1~f5分别计算出消息鉴权码MAC、期望的用户响应XRES、加密密钥CK、完整性保护密钥IK、匿名密钥AK,其中,公网鉴权函数f1~f5为原协议(3GPPTS33.102V7.1.0(2006-12)协议)规定的算法函数。集群服务器把计算得到的鉴权向量AV发送给组呼主叫用户所在的SRNC,鉴权向量AV包括随机数RAND、XRES、CK、IK、AUTN,其中AUTN的构成如图2所示,,鉴权管理域AMF的长度为16bit,由集群服务器指定,目前公网第8~15bit可以用于私有用途,对于集群系统,可以选取其中几个bit用于指示集群服务器选择的Kid。
在公网的鉴权流程中,归属位置寄存器HLR或鉴权中心Auc会为每个用户维护一个序列号SQNHE,每张USIM卡维护一个序列号SQNMS,SQNMS表示USIM已经接受的最大序列号。网络侧在下发的鉴权向量AV中携带SQNHE,USIM卡比较SQNHE和SQNMS,如果两者差值在一定范围内,USIM卡认为可以接受。对于组呼业务,如果维护针对每个组呼维护SQNHE和SQNMS,当某个听用户不在当前的组呼区域范围内或者关机,再进入组呼区域范围时,可能SQNHE和SQNMS之间差值已经非常大,因此针对组呼的鉴权不执行SQN的同步,集群服务器为每个群组维护一个SQN值。
步骤103,集群服务器给SRNC发送组呼建立消息,消息中携带步骤102中由集群服务器生成的鉴权向量AV,其包括AUTN和RAND。
值得注意的是,除本发明实施例外,集群系统主叫用户的鉴权也可以用公网的鉴权流程,但是为了加快组呼建立速度,在本实施例中,其放在组呼建立响应中。
步骤104,SRNC发送组呼建立响应消息给组呼主叫终端,消息中包括为组呼主叫分配的RB、传输信道、物理信道等资源,还包括步骤102中由集群服务器生成的鉴权参数AUTN和RAND。
组呼主叫用户收到鉴权参数后,执行鉴权流程,如图2所示,USIM卡根据鉴权参数中的Kid指示获取相应的集群鉴权密钥K值,作为f1~f5函数的入参,计算出AK、IK、CK、XMAC、RES,比较XMAC和AUTN中MAC是否相等,如果相等,终端保存鉴权生成的CK和IK作为此次组呼使用的密钥。如果不相等,终端回复失败消息,此次组呼失败。
SRNC在发送鉴权向量给组呼主叫终端的同时,把各个AM RB和UM RB的上下行加密激活时间、TM RB的加密激活时间也发送给组呼主叫,激活时间到达后,网络侧和主叫启动加解密,COUNT-C的HFN部分按START=0来初始化。
步骤105,主叫终端鉴权成功且配置组呼资源成功后,回复组呼建立完成消息给SRNC。
步骤106,SRNC发送组呼建立完成消息给集群服务器,其中包括主叫终端计算获得的RES。
集群服务器比较之前计算得到的XRES和收到组呼建立完成消息中主叫终端计算的RES,如果相同,组呼流程建立成功,同时集群服务器将鉴权向量发送给组呼被叫所在的SRNC,如果XRES和RES不同,集群服务器发送拆除此次组呼的命令。
当上述组呼主叫组呼建立流程成功后,集群服务器发起组呼被叫流程,如图6所示,具体实现步骤如下:
步骤201,集群服务器根据组呼被叫终端所在位置区,确定发送寻呼的范围,通知此范围下的SRNC,并把发送给组呼主叫的鉴权参数AUTN和RAND发送给SRNC。
步骤202,SRNC在所有小区的预先划定的集群专用公共信道上广播当前组呼的听状态配置,包括RB、传输信道、物理资源,还包括集群服务器下发的鉴权向量AV中的鉴权参数AUTN和RAND,预先划定集群专用公共信道配置可以在系统信息中读取。
组呼被叫终端仅接受组呼下行数据,被叫终端的信令都从公共信道进行发送,公共信道上的信令不执行加解密。因此SRNC在集群专用公共信道上通知终端当前组呼是否执行加密,如果执行加密,需要通知每个RB的下行解密活时间、HFN的初始化值、最近一次发送数据包的sn/CFN值。当解密激活时间到达,SRNC需要在公共信道上设置激活时间为无效,并更新COUNT-C的HFN部分为0,并在某个AM或者UM模式RB的sn值翻转或者CFN翻转时,更新对应的HFN值,即加1。
步骤203,RNC发送寻呼消息给所有属于该组的终端,包括处于空闲态、组呼听状态、说状态、单呼状态的用户。
组呼被叫终端收到寻呼后,如果需要加入该组呼听状态,终端主动读取公共信道上组呼的鉴权向量,执行如图2所示的鉴权过程,这里统一不执行公网鉴权流程的SQN同步。如果计算出XMAC和MAC相同,则组呼被叫终端成为组呼听用户,开始接收组呼数据,如果不相同,则组呼被叫终端不加入新的组呼,回退到之前的状态。
由于所有组呼被叫共享下行信道,组呼被叫终端可以不回复鉴权响应消息给网络,SRNC不执行组呼主叫的XRES和RES比较,避免同时执行随机接入造成网络拥塞,同时加快了集群组呼的建立速度。
组呼被叫读取鉴权参数的同时读取加密激活时间,当加密激活时间到达,被叫终端的COUNT-C的HFN部分也用START=0进行初始化,即HFN部分为0,启动解密。
对于迟后接入的终端,包括组呼建立时未开机终端和不在组呼服务区的终端,进入组呼听状态并启动加密的流程如图7所示:
步骤301,终端开机或进入集群服务区之后,在建立rrc连接成功后,发送组信息更新请求给SRNC,其中包括终端的UE标识。
步骤302,SRNC将终端的组信息更新请求发送给集群服务器。
步骤303,集群服务器根据终端的UE标识判断终端所属的组,发送组信息更新接受消息给SRNC,消息中包括终端所属组的标识。此步骤表示UE已经在集群域完成注册,集群服务器根据此信息实现对终端的组呼寻呼。
步骤304,SRNC将组信息更新接受消息发送给终端,终端收到组信息更新接受消息后,读取集群专用公共信道,获取所属组呼的信息,包括组呼的下行物理信道、传输信道、RB配置和鉴权向量AV中的鉴权参数AUTN和RAND,迟后接入终端的鉴权流程同上述组呼被叫用户,终端鉴权成功后,直接加入组呼听状态。
迟后接入的用户,读取公共信道上组呼信息时,当需要加密,激活时间有效时,迟后接入终端的COUNT-C维护和寻呼接入组呼终端相同。当激活时间无效时,直接启动解密。使用公共信道广播的相应RB的HFN值、sn/CFN值初始化对应的RB的COUNT-C,收到下行数据包时,COUTN-C的维护方法同UMTS系统现有做法。
如图8所示,对于申请话权的流程,具体实现步骤如下:
步骤401,组呼听用户在公共信道上发送话权请求消息给SRNC,其中保护终端的UE标识,需要申请话权的组标识。
步骤402,SRNC发送话权请求消息给集群服务器。
步骤403,集群服务判断可以为该用户分配话权,如果此时没有讲状态用户,转步骤407,否则,集群服务器先发送话权释放消息给讲状态用户所在SRNC。
步骤404,讲状态用户所在SRNC发送话权释放消息给讲状态用户。
步骤405,讲状态用户回复话权释放完成消息后,读取集群公共信道上的加密参数,执行步骤304中迟后接入终端的加密启动流程,但是无需重新计算加密密钥。
步骤406,SRNC发送话权释放完成消息给集群服务器。
步骤407,集群服务器发送话权消息给话权申请终端所在SRNC。
步骤408,SRNC发送话权消息给终端,话权消息中包括每个RB的上下行COUNT-C,终端收到话权消息后,使用消息中的COUNT-C值重置本地相应RB的上下行COUNT-C,然后立即启动加解密。由于听用户话权申请和话权消息都通过随机接入在公共信道上发送和接收,这两条消息无需加解密。
步骤409,终端回复话权完成消息给SRNC。
步骤410,SRNC发送话权完成消息给集群服务器。
听用户执行SRNS重定位流程时,需要从公共信道读取下行加密参数,参数初始化流程同迟后接入用户。
说用户执行SRNS重定位流程时,加密参数的同步同UMTS系统。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (16)
1.一种集群系统组呼加密实现方法,其特征在于,网络侧以及组呼终端侧分别维护一相同的集群鉴权密钥K值列表,每次组呼过程中,网络侧根据生成的随机数RAND、鉴权序列号SQN、从所述集群鉴权密钥K值列表中选取的集群鉴权密钥K值以及公网鉴权函数计算得到鉴权向量AV,组呼终端侧依据获取的RAND和鉴权向量AV中的鉴权令牌AUTN执行鉴权以生成加密密钥CK。
2.如权利要求1所述的集群系统组呼加密实现方法,其特征在于,集群组呼的组呼讲状态终端和听状态终端共享下行专有物理信道,传输信道和无线承载RB配置也相同,上行专有物理信道分配给集群组呼的讲状态终端。
3.如权利要求2所述的集群系统组呼加密实现方法,其特征在于,听状态终端仅在下行专有物理信道上接收下行业务和非确认模式RB上的信令数据,其上行信令在不做加解密的公共信道上发送。
4.如权利要求1所述的集群系统组呼加密实现方法,其特征在于,其包括组呼主叫发起的组呼建立步骤,该步骤包括:
集群服务器收到组呼主叫发送的组呼建立请求后,为该组呼生成公网鉴权算法需要的参数,包括RAND、SQN,在集群鉴权密钥K值列表中随机选择的一个K值,集群服务器使用公网鉴权函数f1~f5计算得到鉴权向量AV,然后将鉴权向量AV和所选K值的标识Kid发送给组呼主叫的服务无线网络控制器SRNC,SRNC把K值的标识Kid、RAND和鉴权向量AV中的AUTN发给组呼主叫;
组呼主叫根据收到的标识Kid、RAND和鉴权向量AV中的AUTN,生成加密密钥CK。
5.如权利要求4所述的集群系统组呼加密实现方法,其特征在于,还包括集群服务器发起的组呼被叫步骤,该步骤包括:
集群服务器根据组呼被叫所在位置区,确定发送寻呼的范围,通知此范围下的无线网络控制器RNC,并把发送给组呼主叫的Kid和鉴权向量AV中的AUTN和RAND发送给SRNC;
SRNC在所有小区的预先划定的集群专用公共信道上广播当前组呼的听状态配置,包括RB、传输信道、物理资源以及集群服务器下发的鉴权向量AV中的AUTN和RAND;
组呼被叫收到寻呼后,如果需要加入该组呼听状态,组呼被叫主动读取公共信道上组呼的Kid和鉴权向量AV,执行鉴权并生成加密密钥CK。
6.如权利要求4或5所述的集群系统组呼加密实现方法,其特征在于,还包括组呼建立时处于未开机状态或不在组呼服务区状态的组呼被叫进入组呼听状态并启动加密的步骤,所述步骤包括:
组呼被叫开机或进入集群服务区之后,发送组信息更新请求给集群服务器获取终端所属的组呼标识,当终端确定需要接听某个组呼时,读取集群专用公共信道,获取所属组呼的信息,包括组呼的下行物理信道、传输信道、RB配置、Kid和鉴权向量AV中的AUTN和RAND,并据此执行鉴权。
7.如权利要求1所述的集群系统组呼加密实现方法,其特征在于,同一组呼下所有听用户终端的解密参数一致,在执行鉴权时,除了生成一致的CK,还需要确保每个听用户终端的加密计数器COUNT-C值同步:
组呼建立时,SRNC需要确定每个需要加密的RB上下行的加密激活时间,并发送给组呼主叫,同时在集群专用公共信道上广播下行加密激活时间,组呼被叫终端从公共信道上获取下行加密激活时间;
SRNC和组呼终端判断某个RB上的发送或接收的数据包,达到上行或下行加密激活时间时,需要用START=0初始化COUNT-C的HFN部分;
当某个RB的下行加密激活时间已过,SRNC删除集群专用公共信道上对应RB的加密激活时间,实时更新此RB的下行COUNT-C的HFN值;需要广播确认模式RB和非确认模式RB下行最近一次发送数据包的序列号sn和透传模式RB下行最近一次发送数据包的连接帧号CFN;
SRNC需要在集群专用公共信道上广播当前组呼的加密指示,通知组呼被叫该组呼是否需要加密。
8.如权利要求7所述的集群系统组呼加密实现方法,其特征在于,
组呼被叫决定接入听状态时,读取集群专用公共信道上的组呼加密指示、激活时间、HFN、sn/CFN加密参数:
如果加密指示为不加密,终端不启动加密流程;
如果加密指示启动加密,当某RB的下行激活时间有效,组呼被叫收到该RB的下行数据包达到激活时间时,用HFN=0初始化COUNT-C,当某RB的加密激活时间无效时,组呼被叫使用广播的该RB的下行HFN和sn/CFN来初始化COUNT-C。
9.一种集群系统组呼加密实现系统,其特征在于,网络侧以及组呼终端侧分别维护一相同的集群鉴权密钥K值列表,每次组呼过程中,网络侧根据生成的随机数RAND、鉴权序列号SQN、从所述集群鉴权密钥K值列表中选取的集群鉴权密钥K值以及公网鉴权函数计算得到鉴权向量AV,组呼终端侧依据获取的RAND和鉴权向量AV中的及鉴权令牌AUTN执行鉴权以生成加密密钥CK。
10.如权利要求9所述的集群系统组呼加密实现系统,其特征在于,集群组呼的组呼讲状态终端和听状态终端共享下行专有物理信道,传输信道和RB配置也相同,上行专有物理信道分配给集群组呼的讲状态终端。
11.如权利要求10所述的集群系统组呼加密实现系统,其特征在于,听状态终端仅在下行专有物理信道上接收下行业务和非确认模式RB上的信令数据,其上行信令在不做加解密的公共信道上发送。
12.如权利要求9所述的集群系统组呼加密实现系统,其特征在于,包括:
集群服务器,用于在收到组呼主叫发送的组呼建立请求后,为该组呼生成公网鉴权算法需要的参数,包括RAND、SQN,在集群鉴权密钥K值列表中随机选择的一个K值,使用公网鉴权函数f1~f5计算得到鉴权向量AV,然后将鉴权向量AV和所选K值的标识Kid发送给组呼主叫的SRNC;
SRNC,其用于把获得的K值的标识Kid、RAND和鉴权向量AV中的AUTN发给组呼主叫;
组呼主叫,用于根据收到的标识Kid、RAND和鉴权向量AV中的AUTN,生成加密密钥CK。
13.如权利要求12所述的集群系统组呼加密实现系统,其特征在于,
组呼主叫流程成功后,集群服务器根据组呼被叫所在位置区,确定发送寻呼的范围,通知此范围下的RNC,并把发送给组呼主叫的Kid、鉴权向量AV中的AUTN和RAND发送给SRNC,SRNC在所有小区的预先划定的集群专用公共信道上广播当前组呼的听状态配置,包括RB、传输信道、物理资源以及集群服务器下发的鉴权向量AV中的AUTN和RAND,组呼被叫判断如果需要加入该组呼听状态,则主动读取公共信道上组呼的Kid、RAND和鉴权向量AV中的AUTN,执行鉴权并生成加密密钥CK。
14.如权利要求12或13所述的集群系统组呼加密实现系统,其特征在于,组呼被叫还用于在开机或进入集群服务区之后,发送组信息更新请求给集群服务器获取终端所属的组呼标识,当终端确定需要接听某个组呼时,读取集群专用公共信道,获取所属组呼的信息,包括组呼的下行物理信道、传输信道、RB配置、Kid和鉴权向量AV中的AUTN和RAND,并据此执行鉴权。
15.如权利要求9所述的集群系统组呼加密实现系统,其特征在于,同一组呼下所有听用户终端的解密参数一致,在执行鉴权时,除了生成一致的CK,还需要确保每个听用户终端的加密计数器COUNT-C值同步:
组呼建立时,SRNC需要确定每个需要加密的RB上下行的加密激活时间,并发送给组呼主叫,同时在集群专用公共信道上广播下行加密激活时间,组呼被叫终端从公共信道上获取下行加密激活时间;
SRNC和组呼终端判断某个RB上的发送或接收的数据包,达到上行或下行加密激活时间时,需要用START=0初始化COUNT-C的HFN部分;
当某个RB上的下行加密激活时间已过,SRNC删除集群专用公共信道上对应RB的加密激活时间,实时更新此RB的下行COUNT-C的HFN值; 需要广播确认模式RB和非确认模式RB下行最近一次发送数据包的序列号sn和透传模式RB下行最近一次发送数据包的CFN。
16.如权利要求9所述的集群系统组呼加密实现系统,其特征在于
组呼被叫还用于在决定接入听状态时,读取集群专用公共信道上的组呼加密指示、激活时间、HFN、sn/CFN加密参数:
如果加密指示为不加密,终端不启动加密流程;
如果加密指示启动加密,当某RB的下行激活时间有效,组呼被叫收到该RB的下行数据包达到激活时间时,用HFN=0初始化COUNT-C,当某RB的加密激活时间无效时,组呼被叫使用广播的该RB的下行HFN和sn/CFN来初始化COUNT-C。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210351671.3A CN103179558B (zh) | 2012-09-20 | 2012-09-20 | 集群系统组呼加密实现方法及系统 |
US14/429,833 US9667413B2 (en) | 2012-09-20 | 2013-08-15 | Encryption realization method and system |
PCT/CN2013/081541 WO2013185735A2 (zh) | 2012-09-20 | 2013-08-15 | 一种加密实现方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210351671.3A CN103179558B (zh) | 2012-09-20 | 2012-09-20 | 集群系统组呼加密实现方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103179558A true CN103179558A (zh) | 2013-06-26 |
CN103179558B CN103179558B (zh) | 2016-06-22 |
Family
ID=48639120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210351671.3A Active CN103179558B (zh) | 2012-09-20 | 2012-09-20 | 集群系统组呼加密实现方法及系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9667413B2 (zh) |
CN (1) | CN103179558B (zh) |
WO (1) | WO2013185735A2 (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013185735A2 (zh) * | 2012-09-20 | 2013-12-19 | 中兴通讯股份有限公司 | 一种加密实现方法及系统 |
CN104735626A (zh) * | 2013-12-20 | 2015-06-24 | 中兴通讯股份有限公司 | 集群通信公共安全的实现方法及装置 |
CN104768136A (zh) * | 2015-04-21 | 2015-07-08 | 四川西结微波科技发展有限责任公司 | 集群业务迟后接入rlc的sn处理方法 |
CN104853388A (zh) * | 2015-04-02 | 2015-08-19 | 四川大学 | 一种集群通信系统中群组数据包序列号的生成方法和基站 |
CN105451195A (zh) * | 2014-07-25 | 2016-03-30 | 成都鼎桥通信技术有限公司 | 端到端集群密钥分发方法和核心网设备 |
CN106488455A (zh) * | 2015-08-26 | 2017-03-08 | 三星电子株式会社 | 在双sim双待装置中提供完整性保护的方法 |
TWI575980B (zh) * | 2014-04-14 | 2017-03-21 | 財團法人資訊工業策進會 | 長期演進網路系統及其群組通訊方法 |
CN106998537A (zh) * | 2016-01-25 | 2017-08-01 | 展讯通信(上海)有限公司 | 组呼业务的信息传输方法及装置 |
WO2017148212A1 (zh) * | 2016-02-29 | 2017-09-08 | 中兴通讯股份有限公司 | 无线资源管理rrm的控制方法及装置 |
CN107529159A (zh) * | 2016-06-22 | 2017-12-29 | 中兴通讯股份有限公司 | 宽带集群下行共享信道的接入层加密、解密、完整性保护方法和装置、安全实现方法 |
CN108156604A (zh) * | 2017-12-01 | 2018-06-12 | 海能达通信股份有限公司 | 集群系统的组呼加密传输方法及装置、集群终端和系统 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3451621B1 (en) | 2014-03-21 | 2021-06-30 | Sun Patent Trust | Security key derivation in dual connectivity |
WO2018010186A1 (zh) * | 2016-07-15 | 2018-01-18 | 华为技术有限公司 | 密钥获取方法及装置 |
WO2018129652A1 (zh) * | 2017-01-10 | 2018-07-19 | 海能达通信股份有限公司 | 集群组呼解密方法及用户设备 |
EP3700158A1 (en) * | 2019-02-19 | 2020-08-26 | Stichting IMEC Nederland | Secure ranging |
CN112585549B (zh) * | 2020-02-29 | 2022-05-31 | 华为技术有限公司 | 一种故障诊断方法、装置及车辆 |
CN113411758B (zh) * | 2020-03-16 | 2022-08-09 | 成都鼎桥通信技术有限公司 | 一种确定专网集群终端的组呼按键事件的方法和装置 |
WO2022049556A1 (en) * | 2020-09-04 | 2022-03-10 | Lenovo (Singapore) Pte. Ltd. | Receiving collected data from a group of devices |
CN112787820B (zh) * | 2021-01-02 | 2022-02-11 | 浙江大学 | 一种适用于硬件实现的轻量级认证加密解密实现方法 |
CN112910654B (zh) * | 2021-01-19 | 2023-04-28 | 深圳市星际大陆科技有限公司 | 一种私钥管理方法、系统、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030854A (zh) * | 2006-03-02 | 2007-09-05 | 华为技术有限公司 | 多媒体子系统中网络实体的互认证方法及装置 |
CN101132649A (zh) * | 2007-09-29 | 2008-02-27 | 大唐微电子技术有限公司 | 一种网络接入鉴权方法及其usim卡 |
CN101511084A (zh) * | 2008-02-15 | 2009-08-19 | 中国移动通信集团公司 | 一种移动通信系统的鉴权和密钥协商方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179558B (zh) | 2012-09-20 | 2016-06-22 | 中兴通讯股份有限公司 | 集群系统组呼加密实现方法及系统 |
-
2012
- 2012-09-20 CN CN201210351671.3A patent/CN103179558B/zh active Active
-
2013
- 2013-08-15 WO PCT/CN2013/081541 patent/WO2013185735A2/zh active Application Filing
- 2013-08-15 US US14/429,833 patent/US9667413B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030854A (zh) * | 2006-03-02 | 2007-09-05 | 华为技术有限公司 | 多媒体子系统中网络实体的互认证方法及装置 |
CN101132649A (zh) * | 2007-09-29 | 2008-02-27 | 大唐微电子技术有限公司 | 一种网络接入鉴权方法及其usim卡 |
CN101511084A (zh) * | 2008-02-15 | 2009-08-19 | 中国移动通信集团公司 | 一种移动通信系统的鉴权和密钥协商方法 |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013185735A3 (zh) * | 2012-09-20 | 2014-02-13 | 中兴通讯股份有限公司 | 一种加密实现方法及系统 |
WO2013185735A2 (zh) * | 2012-09-20 | 2013-12-19 | 中兴通讯股份有限公司 | 一种加密实现方法及系统 |
US9667413B2 (en) | 2012-09-20 | 2017-05-30 | Zte Corporation | Encryption realization method and system |
CN104735626A (zh) * | 2013-12-20 | 2015-06-24 | 中兴通讯股份有限公司 | 集群通信公共安全的实现方法及装置 |
TWI575980B (zh) * | 2014-04-14 | 2017-03-21 | 財團法人資訊工業策進會 | 長期演進網路系統及其群組通訊方法 |
CN105451195B (zh) * | 2014-07-25 | 2018-11-30 | 成都鼎桥通信技术有限公司 | 端到端集群密钥分发方法和核心网设备 |
CN105451195A (zh) * | 2014-07-25 | 2016-03-30 | 成都鼎桥通信技术有限公司 | 端到端集群密钥分发方法和核心网设备 |
CN104853388A (zh) * | 2015-04-02 | 2015-08-19 | 四川大学 | 一种集群通信系统中群组数据包序列号的生成方法和基站 |
CN104853388B (zh) * | 2015-04-02 | 2019-02-12 | 四川大学 | 一种集群通信系统中群组数据包序列号的生成方法和基站 |
CN104768136A (zh) * | 2015-04-21 | 2015-07-08 | 四川西结微波科技发展有限责任公司 | 集群业务迟后接入rlc的sn处理方法 |
CN106488455A (zh) * | 2015-08-26 | 2017-03-08 | 三星电子株式会社 | 在双sim双待装置中提供完整性保护的方法 |
CN106488455B (zh) * | 2015-08-26 | 2021-06-22 | 三星电子株式会社 | 在双sim双待装置中提供完整性保护的方法 |
CN106998537A (zh) * | 2016-01-25 | 2017-08-01 | 展讯通信(上海)有限公司 | 组呼业务的信息传输方法及装置 |
CN106998537B (zh) * | 2016-01-25 | 2019-09-10 | 展讯通信(上海)有限公司 | 组呼业务的信息传输方法及装置 |
WO2017148212A1 (zh) * | 2016-02-29 | 2017-09-08 | 中兴通讯股份有限公司 | 无线资源管理rrm的控制方法及装置 |
CN107529159A (zh) * | 2016-06-22 | 2017-12-29 | 中兴通讯股份有限公司 | 宽带集群下行共享信道的接入层加密、解密、完整性保护方法和装置、安全实现方法 |
CN108156604A (zh) * | 2017-12-01 | 2018-06-12 | 海能达通信股份有限公司 | 集群系统的组呼加密传输方法及装置、集群终端和系统 |
CN108156604B (zh) * | 2017-12-01 | 2021-09-28 | 海能达通信股份有限公司 | 集群系统的组呼加密传输方法及装置、集群终端和系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2013185735A3 (zh) | 2014-02-13 |
US9667413B2 (en) | 2017-05-30 |
WO2013185735A2 (zh) | 2013-12-19 |
CN103179558B (zh) | 2016-06-22 |
US20150256335A1 (en) | 2015-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103179558B (zh) | 集群系统组呼加密实现方法及系统 | |
Cao et al. | A survey on security aspects for 3GPP 5G networks | |
US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
CN104737572B (zh) | 对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 | |
EP2903322B1 (en) | Security management method and apparatus for group communication in mobile communication system | |
US20160255502A1 (en) | Method and apparatus to perform device to device communication in wireless communication network | |
CN102291680B (zh) | 一种基于td-lte集群通信系统的加密组呼方法 | |
EP3700127B1 (en) | Method and system for key distribution in a wireless communication network | |
CN109923830A (zh) | 用于配置无线网络接入设备的系统和方法 | |
Lai et al. | Toward secure large-scale machine-to-machine comm unications in 3GPP networks: chall enges and solutions | |
US10271208B2 (en) | Security support method and system for discovering service and group communication in mobile communication system | |
US11109206B2 (en) | Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment | |
US8990555B2 (en) | Centralized key management | |
CN104219244B (zh) | 一种iBeacon防位置欺骗的方法和认证服务器、基站 | |
CN104285422A (zh) | 用于利用邻近服务的计算设备的安全通信 | |
KR20070120176A (ko) | 키 머티리얼의 교환 | |
CN101810019A (zh) | 对无线网络中的节点的认证方法和装置 | |
CN109768861B (zh) | 一种海量d2d匿名发现认证与密钥协商方法 | |
CN103096308A (zh) | 生成组密钥的方法和相关设备 | |
US20120082315A1 (en) | Method and system for generating cipher key during switching | |
CN101917272A (zh) | 一种邻居用户终端间保密通信方法及系统 | |
WO2012092418A1 (en) | Methods for establishing a secure point-to-point call on a trunked network | |
TW202118259A (zh) | 在核心網路中的網路功能處的系統資訊保護 | |
US9479334B2 (en) | Method, system, and terminal for communication between cluster system encryption terminal and encryption module |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210301 Address after: 801-6, 8 / F, building 52, 2 Jingyuan North Street, Beijing Economic and Technological Development Zone, Daxing District, Beijing Patentee after: Beijing ZTE Gundam Communication Technology Co.,Ltd. Address before: 518057 Ministry of justice, Zhongxing building, South Science and technology road, Nanshan District hi tech Industrial Park, Shenzhen, Guangdong Patentee before: ZTE Corp. |
|
TR01 | Transfer of patent right |