发明内容
本申请提供了一种能够在PDT数字集群系统中实现GIS数据传输安全的用于PDT数字集群系统中的GIS数据加密同步方法和装置、基站、移动终端、基站密码机。
本申请的一个方式提供一种PDT数字集群系统的GIS数据加密同步方法,该方法包括:基站为各移动终端向基站密码机申请GIS数据的加密参数;基站密码机产生加密参数;基站密码机将加密参数发送给基站;基站通过控制信道下行信令向移动终端下发GIS上拉指令,在GIS上拉指令中承载有加密参数;移动终端接收GIS上拉指令;移动终端从GIS上拉指令中提取加密参数,基于加密参数和移动终端空口号码来生成加密初始向量,并对GIS数据进行加密;移动终端通过与移动终端空口号码对应的空口向基站上报GIS密文;基站接收GIS密文并向基站密码机申请解密;以及基站密码机基于加密参数以及移动终端的空口号码生成加密初始向量,对GIS密文进行解密,将解密后的GIS明文发送给基站。
在上述的方法中,基站为各移动终端向基站密码机申请加密参数包括:基站获取系统PDT数字集群系统选择的移动终端的总数及移动终端空口号码队列以及基站标识;基站向基站密码机申请各移动终端加密参数。
在上述的方法中,基站密码机产生加密参数包括:基站密码机生成所有移动终端的加密参数三元组<TSCID,MSID,ENPARAM>并建立数据库,其中,TSCID为基站标识,MSID为移动终端空口号码,ENPARAM为与MSID对应的加密参数。
在上述的方法中,基站密码机将加密参数发送给基站包括:将加密参数嵌入到控制信令帧的有效载荷中,通过控制信道下行信令承载并发送给基站。
在上述的方法中,基站通过控制信道下行信令向移动终端下发承载有加密参数的GIS上拉指令包括:将移动终端加密参数三元组<TSCID,MSID,ENPARAM>中的加密参数嵌入控制信令帧的有效载荷中,通过控制信道下行信令承载在GIS上拉信令中发送。
在上述的方法中,加密参数的长度为28bit。
在上述的方法中,在将加密参数嵌入到控制信令帧的有效载荷中之后,还进行BPTC纠错编码和交织,和/或;在向基站上报GIS密文时,对GIS密文进行BPTC纠错编码。
在上述的方法中,移动终端基于加密参数和移动终端空口号码来生成加密初始向量包括:移动终端从GIS上拉信令提取加密参数以及移动终端空口号码;移动终端以加密参数以及移动终端空口号码为种子,通过SM3算法计算加密初始向量。
在上述的方法中,基站接收GIS密文并向基站密码机申请解密包括:基站提取基站标识和移动终端空口号码,与接收的GIS密文一起,作为基站解密请求数据提供给基站密码机。
在上述的方法中,基站密码机基于加密参数以及移动终端的空口号码生成加密初始向量,对GIS密文进行解密,将解密后的GIS明文发送给基站包括:基站密码机提取基站解密请求数据中的基站标识和移动终端空口号码,从数据库中查找与该移动终端空口号码对应的加密参数;基站密码机基于加密参数,并以加密参数以及移动终端的空口号码为种子,通过SM3算法计算出加密初始向量;基站密码机基于加密初始向量,对GIS密文进行解密;以及基站密码机将解密后的GIS明文发送给基站。
本申请的第二方式提供一种PDT数字集群系统的GIS数据加密同步装置,装置包括:基站,用于按照空口接口协议与移动终端建立通信,按照GIS加密协议与基站密码机进行加密数据交互;基站密码机,用于产生GIS数据的加密参数并发送给基站,并基于加密参数以及移动终端的空口号码生成加密初始向量,对基站发送过来的GIS密文进行解密;以及多个移动终端,用于接收基站通过控制信道下行信令下发的承载有加密参数的GIS上拉指令,基于加密参数和移动终端空口号码来生成加密初始向量,并对GIS数据进行加密,并利用与移动终端空口号码对应的空口向基站上报GIS密文。
本发明的第三方式提供一种GIS数据加密同步方法,由PDT数字集群系统的移动终端执行,包括:接收基站通过控制信道下行信令下发的承载有加密参数的GIS上拉指令,并提取加密参数;基于加密参数和移动终端空口号码来生成加密初始向量,并对GIS数据进行加密;以及通过与移动终端空口号码对应的空口向基站上报GIS密文,以使得基站对GIS密文进行解密来获得GIS数据。
本发明的第四方式提供一种用于PDT数字集群系统的移动终端,包括:接收模块,接收基站通过控制信道下行信令下发的承载有加密参数的GIS上拉指令;加密模块,提取从GIS上来指令中提取加密参数,基于加密参数和移动终端空口号码来生成加密初始向量,并对GIS数据进行加密;以及发送模块,通过与移动终端空口号码对应的空口向基站上报GIS密文,以使得基站对GIS密文进行解密来获得GIS数据。
本发明的第五方式提供一种GIS数据加密同步方法,由PDT数字集群系统的基站执行,包括:为各移动终端向基站密码机申请加密参数;通过控制信道下行信令向移动终端下发承载有加密参数的GIS上拉指令;从移动终端接收GIS密文;GIS密文是移动终端基于加密参数和移动终端空口号码来生成加密初始向量并对GIS数据进行加密,且通过与移动终端空口号码对应的空口上报的;向基站密码机申请解密;从基站密码机接收解密后的GIS数据,解密后的GIS数据是基站密码机基于加密参数以及移动终端的空口号码生成加密初始向量并对GIS密文进行解密得到的。
本发明的第六方式提供一种用于PDT数字集群系统的基站,包括:加密参数申请模块,用于为各移动终端向基站密码机申请加密参数;加密参数下发模块,用于通过控制信道下行信令向移动终端下发承载有加密参数的GIS上拉指令;GIS密文接收模块,用于从移动终端接收GIS密文;GIS密文是移动终端基于加密参数和移动终端空口号码来生成加密初始向量并对GIS数据进行加密,且通过与移动终端空口号码对应的空口上报的;解密申请模块,用于向基站密码机申请解密;解密数据接收模块,用于从基站密码机接收解密后的GIS数据,解密后的GIS数据是基站密码机基于加密参数以及移动终端的空口号码生成加密初始向量并对GIS密文进行解密得到的。
本发明的第七方式提供一种GIS数据加密同步方法,由PDT数字集群系统的基站密码机执行,包括:基于基站的申请,为各移动终端生成加密参数;将加密参数发送给基站;基于生成的所有移动终端的加密参数三元组<TSCID,MSID,ENPARAM>来建立数据库,其中,TSCID为基站标识,MSID为移动终端空口号码,ENPARAM为与MSID对应的加密参数;基于基站的申请,基于加密参数以及移动终端的空口号码生成加密初始向量,对GIS密文进行解密;将解密后的GIS明文发送给基站。
本发明的第八方式提供一种用于PDT数字集群系统的基站密码机,包括:加密参数生成模块,用于基于基站的申请,为各移动终端生成加密参数;加密参数发送模块,将加密参数发送给基站;数据库生成模块,基于生成的所有移动终端的加密参数三元组<TSCID,MSID,ENPARAM>来建立数据库,其中,TSCID为基站标识,MSID为移动终端空口号码,ENPARAM为与MSID对应的加密参数;解密模块,基于基站的申请,基于加密参数以及移动终端的空口号码生成加密初始向量,对GIS密文进行解密;GIS数据发送模块,将解密后的GIS明文发送给基站。
本申请通过具有上述的特征,能够获得以下的技术效果中的至少一个。
(1)本申请充分利用PDT原有通信协议中保留字段传送产生GIS加密IV所需的加密参数,从而对原有通信协议改动小、且不改变原PDT数字集群系统GIS数据传输方式和流程,不影响原PDT数字集群系统GIS调度效率,可广泛适配不同厂家PDT数字集群系统。
(2)对用于GIS加密数据同步的加密参数和/或GIS密文进行了BPTC纠错编码,提高了GIS加密传输的抗误码能力,有效地提升通信距离,增强了系统加密传输的可靠性。
(3)通过对GIS数据加密同步的加密参数长度进行了优化设计,减少了GIS数据加密密钥更换频率,密钥更换周期可按年为单位进行更换,即保证了系统安全性,又降低了通信系统的开销。
具体实施方式
下面将参照附图更详细地描述本发明的示例性的实施方式或实施例。虽然附图中显示了本发明的示例性的实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施方式或实施例所限制。相反,提供这些实施方式或实施例是为了能够更清楚地理解本发明。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不是用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施方式或实施例能够以除了图示或描述的以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备,不限于清楚地列出的步骤或单元,而是可以包括没有清楚地列出的其它步骤或单元。文中的相同或相似的标号表示具有相同或相似的功能的构成要素。
以下,对本申请的具体实施方式进行详细说明。
<第一实施方式>
以下,参考图1~2,对第一实施方式提供的一种用于PDT集群系统的GIS数据加密同步方法以及GIS数据加密同步装置进行说明。
图1示出PDT集群系统的GIS数据加密同步装置100的构成,如图1所示,数据加密同步装置100可以包括基站密码机10、基站20、多个移动终端30。该GIS数据加密同步装置100可以是PDT集群系统的一部分。
基站密码机10,用于产生GIS数据的加密参数并发送给基站20,并基于加密参数以及所述移动终端的空口号码生成加密初始向量,对基站20发送过来的GIS密文进行解密。
基站20,用于按照空口接口协议与移动终端30建立通信,按照GIS加密协议与基站密码机10进行加密数据交互。
在这里,在基站侧的基站密码机10和基站20之间通过IP网络连接,即,使用IP协议。上述的GIS加密协议是针对GIS业务需要进行加密处理而专门设计的专用协议,是属于应用层的协议。因此,GIS加密协议并不改变PDT数字集群系统中的原空口协议。
多个移动终端30,用于接收基站20通过控制信道下行信令下发的承载有加密参数的GIS上拉指令,基于加密参数和移动终端空口号码来生成加密初始向量,并对GIS数据进行加密,并利用与移动终端空口号码对应的空口向基站20上报GIS密文。
在本申请中,基站20和移动终端30之间通过空口接口协议进行通信。在这里,空口接口协议可以采用目前用于PDT数字集群系统中的空口接口协议。
也就是说,现有技术中并没有在PDT数字集群系统中实现GIS加密通信的技术,对此,本申请,通过基站20分别与移动终端30、基站密码机10进行通信时,采用原空口协议以及上述的GIS加密协议来实现了GIS加密通信。因此,不需要对原空口协议进行修改就可以实现GIS加密通信,从而适用范围广,实现GIS加密通信的成本小。
对于基站密码机10、基站20、多个移动终端30实现的具体功能、处理及其效果,可以参考下述对GIS数据加密同步方法的详细描述。
图2和图3是示出PDT数字集群系统的GIS数据加密同步方法的流程图。上述的GIS数据加密同步装置100可以执行该GIS数据加密同步方法。其中,基站密码机10、基站20、多个移动终端30所执行的方法步骤如下。
在S101步骤中,基站20为各移动终端向基站密码机10申请GIS数据的加密参数ENPARAM。
在这里,基站20可以为PDT数字集群系统所选择的移动终端30,向基站密码机10申请对该移动终端30的加密参数ENPARAM。
基站20可以为每个移动终端30分别申请加密参数ENPARAM,基站20也可以为其管理的移动终端30中所有被PDT数字集群系统选择的移动终端30统一申请加密参数ENPARAM。
作为其一个示例,基站20可以获取PDT数字集群系统选择的移动终端30的总数MSCount、这些移动终端的移动终端空口号码队列MSID[MSCount]、以及该识别该基站20的基站标识TSCID,向基站密码机10申请各移动终端30的加密参数ENPARAM,该加密参数ENPARAM用于对GIS数据进行加密。
通过为移动终端30统一申请加密参数ENPARAM,不仅能够提高申请效率,而且也便于对基站20、及其管理的移动终端30、以及移动终端30的加密参数ENPARAM进行统一性的管理(例如,后述的数据库),从而提高整个GIS加密通信的管理效率。
在S102步骤中,基站密码机10产生加密参数ENPARAM。在这里,加密参数ENPARAM的长度设计为28bit。将加密参数ENPARAM的长度设计为28bit的理由,可以详见后述的关于图4的说明。
基站密码机10分别针对每个移动终端30生成加密参数ENPARAM。其中,基站密码机10可以在S101步骤中基站20对每一个移动终端30分别申请加密参数ENPARAM时,分别生成每一个移动终端30的加密参数ENPARAM;而在S101步骤中基站20对所有移动终端30统一申请加密参数ENPARAM时,统一生成加密参数ENPARAM。
作为一个示例,基站密码机10也可以在生成所有移动终端30的加密参数之后,基于移动终端加密参数三元组<TSCID,MSID,ENPARAM>,并建立数据库,其中,TSCID为基站标识,MSID为移动终端空口号码,ENPARAM为与MSID对应的加密参数。
在生成加密参数三元组<TSCID,MSID,ENPARAM>之后,在发送给基站20的同时或者之前,基站密码机10也可以保存加密参数,留待对移动终端上报的GIS密文进行解密时使用。例如,可以将加密参数三元组<TSCID,MSID,ENPARAM>构成的数据库保存在基站密码机10中。
在S103步骤中,基站密码机10将其生成的并加密参数ENPARAM发送给基站20。
作为一个示例,可以通过IP网络将加密参数ENPARAM通过上述的GIS加密协议发送给基站20。
在S104步骤中,基站20通过控制信道下行信令向移动终端下发GIS上拉指令,在该GIS上拉指令中承载有加密参数ENPARAM。
在这里,GIS上拉指令是用于指示移动终端30向基站20上报自身的GIS数据。
作为一个示例,可以将移动终端30的加密参数ENPARAM嵌入到控制信令帧的有效载荷中,经过BPTC纠错编码和交织后,通过控制信道下行信令C_DPULL,承载在GIS上拉信令中发送给移动终端30。
在如上所述的那样,移动终端加密参数三元组<TSCID,MSID,ENPARAM>的情况下,也可以将移动终端加密参数三元组<TSCID,MSID,ENPARAM>中的加密参数ENPARAM嵌入到控制信令帧的有效载荷中。
在本申请中,在S104步骤的从基站20到移动终端30的通信中,通过控制信道下行信令,利用该控制信令帧的有效载荷发送加密参数。在这里,由于控制信令帧用于传输GIS数据的加密参数以实现GIS数据的加密同步,因此也可以称为图4中的GIS数据加密同步控制帧。
如图4所示,在PDT数字集群系统中,控制信令帧通常包括:80比特的有效载荷、即控制信令块(control signaling block,CSBK)和16比特的循环冗余校验码(cyclicredundan cycheck,CRC)。
本申请中,使用已有的控制信令中的80比特的有效载荷CSBK,在不改变其长度的情况下,嵌入加密参数ENPARAM,来实现加密参数的传输。
考虑到控制信令的有效载荷的空间有限,为了有效利用无线信道资源,在本申请中将加密参数长度设计为28bit,此时,该加密参数的有效计数范围为0~268435455(即228)。例如,可以设计成:加密参数初始值为0,基站每发送GIS上拉指令一次,加密参数加1递增并保存到数据库中。若基站的GIS上拉指令的发送周期按30秒计算,并且每天工作24小时,加密参数的使用寿命T=(268435456×30)/(60×60×24×366)=254.66年。在对GIS数据进行加密时,使用基于加密参数生成的加密初始向量IV以及加密密钥。由于加密参数的使用寿命大于通常的PDT系统整个生命周期,因此,在PDT系统整个生命周期中,加密参数均是不同的值,从而在不更换GIS数据加密密钥的情况下,可以保证GIS加密通信的安全性。也就是说,本申请通过对GIS数据进行加密同步的加密参数长度进行了优化设计,从而减少了GIS数据加密密钥的更换频率,即保证了系统安全性,又降低了通信系统的开销。
另外,本申请通过充分利用PDT原有通信协议中的保留字段来传送产生GIS加密初始向量IV所需的加密参数ENPARAM,对原有通信协议改动小,且不改变原PDT数字集群系统的GIS数据传输方式和流程,不影响原PDT数字集群系统的GIS调度效率,可广泛适配不同厂家PDT数字集群系统。并且,也不需要对已有的PDT标准和硬件结构进行修改,因此,便于在已有的PDT数字集群系统中实现GIS数据的加密传输。
另外,在本申请中,在S103步骤的从基站密码机10到基站20的通信、S104步骤的从基站20到移动终端30的通信中,在将加密参数ENPARAM嵌入到控制信令帧的有效载荷中之后,如图4所示,还可以经过BPTC纠错编码和交织后,通过控制信道下行信令C_DPULL,承载在GIS上拉信令中发送给移动终端30。通过对加密参数的传输中采用BPTC纠错编码,提高了GIS加密传输的抗误码能力,有效地提升通信距离,增强了PDT数字集群系统的加密传输的可靠性。
在S105步骤中,移动终端30接收基站20下发的GIS上拉指令,并从该GIS上拉指令中提取加密参数ENPARAM。
在S106步骤中,移动终端30基于该加密参数ENPARAM和移动终端空口号码MSID来生成加密初始向量IV,并对GIS数据进行加密。
作为示例,首先,以加密参数ENPARAM和移动终端空口号码MSID作为种子,利用SM3算法,生成加密初始向量IV。
具体来说,IV=MSB128(SM3_HASH(ENPARAM||MSID))
其次,通过GIS数据加密密钥和加密初始向量IV对GIS数据进行加密,生成GIS密文。
这里的GIS数据可以是移动终端30在对GIS数据进行加密之前,通过实时采集自身的位置数据来获得。
在S107步骤中,移动终端30通过与移动终端空口号码对应的空口向基站20上报GIS密文。
在这里,GIS密文由控制信道上行信令C_LOC1U承载,通过与移动终端空口号码对应的空口上报至基站20。
其中,也可以对GIS密文的传输采用BPTC纠错编码,由此能够进一步提高GIS加密传输的抗误码能力,有效地提升通信距离,增强了PDT数字集群系统的加密传输的可靠性。
在S108步骤中,基站20接收GIS密文之后,向基站密码机10申请解密。
基站20可以通过向基站密码机10发送GIS密文解密请求来申请解密。另外,基站20也可以先对接收的GIS密文进行校验,校验通过后向基站密码机10发送GIS密文解密请求来申请解密。
作为一个示例,当基站20接收到移动终端30A上报的GIS密文时,控制信道上行信令C_LOC1U中可以仅携带GIS密文,基站20可以从该信令中提取数据进行上报的移动终端30A的空口号码MSIDA、以及GIS密文,结合基站20本身的基站标识TSCID,将<TSCID,MSIDA,GIS密文>作为解密请求数据发送给基站密码机10,申请对GIS密文进行解密。
在S109步骤中,基站密码机10基于加密参数ENPARAM和移动终端空口号码MSID来生成GIS数据的加密初始向量IV,对GIS密文进行解密,并将解密后的GIS明文发送给所述基站。
作为一个示例,在步骤S103中保存了加密参数ENPARAM的情况下,基站密码机10可以以在步骤S103中保存的加密参数ENPARAM和移动终端空口号码MSID为种子,通过SM3算法运算,产生GIS数据加密初始向量IV,使用该加密初始向量IV对GIS密文进行解密。
作为另一个示例,基站密码机10可以如图3所示,在S1091步骤中,提取基站20发送的解密请求数据<TSCID,MSIDA,GIS密文>中的TSCID和MSIDA作为特征值,并从保存的移动终端加密参数三元组<TSCID,MSID,ENPARAM>数据库中,查找与MSIDA对应的ENPARAMA。
在S1092步骤中,基站密码机10计算GIS密文的加密初始向量IV,基站密码机10对加密初始向量IV的计算方法与移动终端30计算GIS数据加密IV方法相同,IV=MSB128(SM3_HASH(ENPARAMA||MSIDA))。
在S1093步骤中,基站密码机10利用加密初始向量IV对GIS密文解密。
在S1094步骤中,基站密码机10将解密后的GIS明文发送给基站20。
在本实施方式中,通过基站密码机10、基站20、多个移动终端30之间的通信交互和配合处理,通过原有通信协议中的保留字段传送加密参数,能够在对原有通信协议改动小且不改变原PDT数字集群系统GIS数据传输方式和流程的情况下,实现PDT数字集群系统中的GIS加密同步。
<第二实施方式>
本申请的第二实施方式提供PDT数字集群系统的移动终端30以及由该移动终端30执行的GIS数据加密同步方法。PDT数字集群系统的移动终端30可以包括车载终端、手持终端,但不限于此。
在本实施方式中,如图5所示,移动终端30包括接收模块31、加密模块32、发送模块33。在本实施方式中,如图6所示,由该移动终端30执行的GIS数据加密同步方法可以包括S31~S33步骤。
在S31步骤中,移动终端30的接收模块31接收基站20通过控制信道下行信令下发的承载有加密参数的GIS上拉指令。
在32步骤中,移动终端30的加密模块32提取从GIS上来指令中提取加密参数,基于加密参数和移动终端空口号码来生成加密初始向量IV,并对GIS数据进行加密。
作为一个示例,首先,加密模块32可以以加密参数ENPARAM和移动终端空口号码MSID作为种子,利用SM3算法,生成加密初始向量IV。
具体来说,IV=MSB128(SM3_HASH(ENPARAM||MSID))
其次,加密模块32通过GIS数据加密密钥和加密初始向量IV对GIS数据进行加密,生成GIS密文。
这里的GIS数据可以是移动终端30在对GIS数据进行加密之前,通过实时采集自身的位置数据来获得。
在S33步骤中,移动终端30的发送模块33通过与移动终端空口号码对应的空口向基站20上报GIS密文,以使得基站20接收GIS密文后,向基站密码机发起GIS加密数据解密申请来获得GIS数据。
发送模块33可以将GIS密文承载于控制信道上行信令C_LOC1U,通过与移动终端空口号码MSID对应的空口上报至基站20。
其中,发送模块33也可以对GIS密文的传输采用BPTC纠错编码,由此能够进一步提高GIS加密传输的抗误码能力,有效地提升通信距离,增强了PDT数字集群系统的加密传输的可靠性。
在这里,本实施方式中的接收模块31、加密模块32、发送模块33的处理的具体处理以及S31步骤~S33步骤的具体处理分别与第一实施方式中的图2~图3中的S104步骤、S105~S106步骤、S107步骤对应,因此可以参考第一实施方式中的对应内容。
在本实施方式中,通过移动终端30接收到的是利用PDT数字集群系统中的原有的通信协议传输的加密参数,因此,移动终端30可以在不改变通信协议的情况下,实现GIS数据的加密通信。从而,对于移动终端的适用性强。
<第三实施方式>
本申请的第三实施方式提供PDT数字集群系统的基站20以及由该基站20执行的GIS数据加密同步方法。
在本实施方式中,如图7所示,基站20包括:加密参数申请模块21、加密参数接收模块22、加密参数下发模块23、GIS密文接收模块24、解密申请模块25、解密数据接收模块26。在本实施方式中,如图8所示,由该基站20执行的GIS数据加密同步方法可以包括S21~S25步骤。
在S21步骤中,基站20的加密参数申请模块21为各移动终端30向基站密码机10申请加密参数。
加密参数申请模块21可以为每个移动终端30分别申请加密参数ENPARAM;加密参数申请模块21也可以为基站20管理的移动终端30中所有被PDT数字集群系统选择的移动终端30统一申请加密参数ENPARAM。
作为其一个示例,加密参数申请模块21可以获取PDT数字集群系统选择的移动终端30的总数MSCount、这些移动终端的移动终端空口号码队列MSID[MSCount]、以及该识别该基站20的基站标识TSCID,向基站密码机10申请各移动终端30的加密参数ENPARAM,该加密参数ENPARAM用于移动终端30生成对GIS数据加密所需的加密初始向量IV。
基站20的加密参数申请模块21通过为移动终端30统一申请加密参数ENPARAM,不仅能够提高申请效率,而且也便于对基站20、其管理的移动终端30、以及移动终端30的加密参数ENPARAM,进行统一性的管理(例如,数据库),从而提高整个加密通信的管理效率。
在S22步骤中,基站20的加密参数接收模块22接收基站密码机10发送的加密参数。
作为一个示例,可以基于IP网络,将加密参数ENPARAM通过GIS加密协议发送给基站20。
在S23步骤中,基站20的加密参数下发模块23通过控制信道下行信令向所述移动终端下发承载有所述加密参数的GIS上拉指令。
作为一个示例,加密参数下发模块23可以将移动终端30的加密参数ENPARAM嵌入到控制信令帧的有效载荷中,通过控制信道下行信令C_DPULL,经过BPTC纠错编码和交织后,发送给移动终端30。
在如上所述的那样,移动终端加密参数三元组<TSCID,MSID,ENPARAM>的情况下,加密参数下发模块23也可以将移动终端加密参数三元组<TSCID,MSID,ENPARAM>中的加密参数ENPARAM嵌入到控制信令帧的有效载荷中。
如在第一实施方式中说明的那样,本实施方式中,由于使用已有的控制信令中的80比特的有效载荷CSBK,在不改变其长度的情况下,嵌入加密参数ENPARAM,来实现加密参数的传输。基于此,在本申请中将加密参数长度设计为28bit,即对GIS数据进行加密同步的加密参数长度进行了优化设计,从而减少了GIS数据加密密钥的更换频率,即保证了系统安全性,又降低了通信系统的开销。
另外,在本申请中,在S23步骤的从基站20到移动终端30的通信中,可以在将加密参数ENPARAM嵌入到控制信令帧的有效载荷中之后,如图4所示,使得加密参数ENPARAM通过控制信道下行信令C_DPULL承载,经过BPTC纠错编码和交织后被发送给移动终端30。通过对加密参数的传输中采用BPTC纠错编码,提高了GIS加密传输的抗误码能力,有效地提升通信距离,增强了PDT数字集群系统的加密传输的可靠性。
在S24步骤中,基站20的GIS密文接收模块24从移动终端30接收GIS密文。
其中,该GIS密文是移动终端30基于加密参数ENPARAM和移动终端空口号码MSID来生成加密初始向量IV并对GIS数据进行加密,且通过与移动终端空口号码MSID对应的空口上报的。
在S25步骤中,基站20的解密申请模块25向基站密码机10申请解密。
基站20可以通过向基站密码机10发送GIS密文解密请求来申请解密。
作为一个示例,当基站20的解密申请模块25可以接收到移动终端30A上报的GIS密文时,控制信道上行信令C_LOC1U中可以仅携带GIS密文,解密申请模块25可以从该信令中提取数据进行上报的移动终端30A的空口号码MSIDA、以及GIS密文,结合基站20本身的基站标识TSCID,将<TSCID,MSIDA,GIS密文>作为解密请求数据发送给基站密码机10,申请对GIS密文进行解密。
在S26步骤中,基站20的解密数据接收模块26从基站密码机10接收解密后的GIS数据。
其中,该解密后的GIS数据是基站密码机10基于加密参数ENPARAM和移动终端空口号码MSID生成加密初始向量IV并对GIS密文进行解密得到的。
作为一个示例,当基站密码机10中保存有加密参数ENPARAM时,基站密码机10可以以所保存的加密参数ENPARAM和移动终端空口号码MSID为种子,通过SM3算法运算,产生GIS数据加密初始向量IV,使用该加密初始向量IV对GIS密文进行解密之后,发送给基站20的解密数据接收模块25。
作为另一个示例,基站密码机10也可以如下进行解密之后发送给基站20的解密数据接收模块26:首先,提取基站20发送的解密请求数据<TSCID,MSIDA,GIS密文>中的TSCID和MSIDA作为特征值,并从保存的移动终端加密参数三元组<TSCID,MSID,ENPARAM>数据库中,查找与MSIDA对应的ENPARAMA;其次,计算GIS密文的加密初始向量IV,对加密初始向量IV的计算方法与移动终端30计算GIS数据加密IV方法相同,IV=MSB128(SM3_HASH(ENPARAMA||MSIDA));然后,通过GIS数据加密密钥和加密初始向量IV对GIS密文解密;再将解密后的GIS明文发送给基站20的解密数据接收模块25。
在这里,本实施方式中的基站20的加密参数申请模块21、加密参数接收模块22、加密参数下发模块23、GIS密文接收模块24、解密申请模块25、解密数据接收模块26的处理的处理以及S21步骤~S25步骤的处理分别与第一实施方式中的图2~图3中的S101步骤、S104步骤、S107步骤、S108步骤、S109步骤对应,因此可以参考第一实施方式中的对应内容。
在本实施方式中,基站20利用PDT数字集群系统中的原有的通信协议来传输加密参数,因此,基站20可以在不改变通信协议的情况下,实现GIS数据的加密通信。从而,对于基站的适用性强。
<第四实施方式>
本申请的第四实施方式提供PDT数字集群系统的移动终端30以及由该移动终端30执行的GIS数据加密同步方法。
在本实施方式中,如图9所示,基站密码机10包括加密参数生成模块11、加密参数发送模块12、解密模块13、GIS数据发送模块14。在本实施方式中,如图10所示,由该移动终端30执行的GIS数据加密同步方法可以包括S11~S14步骤。
在S11步骤中,基站密码机10的加密参数生成模块11基于基站20的申请,为各移动终端30生成加密参数ENPARAM。在这里,加密参数ENPARAM为28bit。
加密参数生成模块11分别针对每个移动终端30生成加密参数ENPARAM。其中,加密参数生成模块11可以基站20对每一个移动终端30分别申请加密参数ENPARAM时,分别生成每一个移动终端30的加密参数ENPARAM;而基站20对所有移动终端30统一申请加密参数ENPARAM时,统一生成加密参数ENPARAM。
作为一个示例,加密参数生成模块11也可以在生成所有移动终端30的加密参数之后,基于移动终端加密参数三元组<TSCID,MSID,ENPARAM>,并建立数据库,其中,TSCID为基站标识,MSID为移动终端空口号码,ENPARAM为与MSID对应的加密参数。
在生成加密参数三元组<TSCID,MSID,ENPARAM>的数据库之后,加密参数生成模块11还可以将身体构成的所有移动终端的加密参数三元组<TSCID,MSID,ENPARAM>的数据库保存在该基站密码机10中。
在S12步骤中,基站密码机10的加密参数发送模块12将加密参数发送给基站20。
作为一个示例,加密参数发送模块12可以将加密参数ENPARAM嵌入到控制信令帧的有效载荷中,经过BPTC纠错编码和交织后,通过控制信道下行信令承载并发送给基站20。
如在第一实施方式中说明的那样,本实施方式中,加密参数发送模块12由于使用已有的控制信令中的80比特的有效载荷CSBK,在不改变其长度的情况下,嵌入加密参数ENPARAM,来实现加密参数的传输。因此,加密参数ENPARAM的长度需要小于或等于有效载荷CSBK的长度。基于此,在本申请中将加密参数长度设计为28bit,即对GIS数据进行加密同步的加密参数长度进行了优化设计,从而减少了GIS数据加密密钥的更换频率,即保证了系统安全性,又降低了通信系统的开销。
在S13步骤中,基站密码机10的解密模块13基于基站20的申请,基于加密参数ENPARAM以及移动终端的空口号码MSID生成加密初始向量IV,对GIS密文进行解密。
作为一个示例,当基站密码机10中保存有加密参数ENPARAM时,解密模块13可以以所保存的加密参数ENPARAM和移动终端空口号码MSID为种子,通过SM3算法运算,产生GIS数据加密初始向量IV,使用该加密初始向量IV对GIS密文进行解密。
作为另一个示例,解密模块13也可以如下进行解密:首先,提取基站20发送的解密请求数据<TSCID,MSIDA,GIS密文>中的TSCID和MSIDA作为特征值,并从保存的移动终端加密参数三元组<TSCID,MSID,ENPARAM>数据库中,查找与MSIDA对应的ENPARAMA;其次,计算GIS密文的加密初始向量IV,对加密初始向量IV的计算方法与移动终端30计算GIS数据加密IV方法相同,IV=MSB128(SM3_HASH(ENPARAMA||MSIDA));然后,利用加密初始向量IV对GIS密文解密;再将解密后的GIS明文发送给基站20的解密数据接收模块25。
在S14步骤中,基站密码机10的GIS数据发送模块14将解密后的GIS明文发送给基站20。
在这里,本实施方式中的基站密码机10的加密参数生成模块11、加密参数发送模块12、解密模块13、GIS数据发送模块14的处理的处理以及S11步骤~S14步骤的处理也分别与第一实施方式中的图2~图3中的S102步骤、S103步骤、S104步骤、S108步骤、S109步骤对应,因此可以参考第一实施方式中的对应内容。
在本实施方式中,基站密码机10对GIS数据进行加密同步的加密参数长度进行了优化设计,从而减少了GIS数据加密密钥的更换频率,即保证了系统安全性,又降低了通信系统的开销。
上述的实施方式虽然仅提供了PDT数字集群系统以及GIS数据加密同步方法、基站、移动终端、基站密码机,然而,本申请也可以以存储有执行用于实现上述的方法中的各步骤的程序的存储介质的方式来实现,基站、移动终端、基站密码机也可以以包括处理器和存储有执行用于实现上述的方法中的各步骤的程序的存储器的方式来实现。
另外,上述的PDT数字集群系统以及GIS数据加密同步方法、基站、移动终端、基站密码机中的模块或步骤的划分只是示意性的,其中的任意部分均可以进行拆分和组合。
以上,虽然结合附图描述了本发明的实施方式和具体实施例,但是本领域技术人员可以在不脱落本发明的精神和范围的情况下做出各种修改和变形,这样的修改和变形均落入由所述权利要求所限定的范围之内。