WO2013185735A2 - 一种加密实现方法及系统 - Google Patents
一种加密实现方法及系统 Download PDFInfo
- Publication number
- WO2013185735A2 WO2013185735A2 PCT/CN2013/081541 CN2013081541W WO2013185735A2 WO 2013185735 A2 WO2013185735 A2 WO 2013185735A2 CN 2013081541 W CN2013081541 W CN 2013081541W WO 2013185735 A2 WO2013185735 A2 WO 2013185735A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- group call
- group
- cluster
- authentication
- encryption
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
- H04W4/10—Push-to-Talk [PTT] or Push-On-Call services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/08—Trunked mobile radio systems
Abstract
一种加密实现方法及系统。所述方法包括:网络侧设备以及组呼终端分别维护一相同的集群鉴权密钥K值列表;每次组呼过程中,网络侧设备根据生成的随机数(RAND)、鉴权序列号(SQN)、从所述集群鉴权密钥K值列表中选取的集群鉴权密钥K值以及公网鉴权函数计算得到鉴权向量(AV);以及组呼终端依据从所述网络侧设备获取的RAND和AV中的鉴权令牌(AUTN)执行鉴权以生成加密密钥(CK)。采用本发明实施例的方法及系统,可以实现基于公网安全机制的集群系统加密,解决了相关技术中集群系统加密依赖算法强度不高的私有加密算法、通过空口传递密钥、以及密钥替换不及时等弊端,从而大大提高了集群系统的安全性。
Description
一种加密实现方法及系统
技术领域
本发明涉及通讯技术领域, 尤其涉及一种加密实现方法及系统。
背景技术
集群通信业务是一种半双工双向业务, 用于实现一对多的业务, 其特点 是: 当集群终端发起集群呼叫业务时, 其语音信息能够同时发送给预定的集 群组内的成员, 并且业务建立速度快。 基于这些特点, 集群通讯系统广泛应 用在政府机关、 公安消防、 能源交通、 机场码头、 工矿企业、 军事和展会等 行业和场合。
目前的集群通信系统是基于第二代移动通信技术发展起来的, 即, GSM ( Global System For Mobile Communication, 全球移动通信 )技术。 并且, 随 着新移动通信技术的不断成熟和商用普及, 集群通信系统也必将演进为釆用 3G ( 3nd Generation, 第三代)或者 4G ( 4th Generation, 第四代)等通信技 术的系统, 这是因为釆用更为先进的通信技术是集群通信业务的演进方向。
另外, 目前较多科研机构也在研究如何将集群通信系统与公网相结合的 课题, 其中, 当集群通信系统与公网结合时, 如何利用公网成熟的安全架构 来实现集群通信的安全性, 是其中一个亟待解决的问题。
然而, 相关技术中集群通信系统的加密方法并非基于公网安全架构的, 其主要实现方法大体为以下几类:
1、 釆用端到端加密的方法。 在终端增加通用的加密模块, 无论是加密端 还是解密端均釆用相同加解密算法以及密钥。 应用这种方法时, 密钥是通过 空口发送的, 安全性完全依赖于加密算法的复杂度, 因此在实际实施过程中, 如果加密算法强度不够, 则容易被破解, 导致安全性较差。
2、 密钥管理中心为终端分配多个固定的专用于集群通信业务的密钥。每 个密钥由一个唯一密钥标识来表示。 这些固定的密钥可以通过卡读写设备写 入终端用户识别卡中。 在集群组呼业务中, 网络侧设备通过密钥标识控制终
端使用某个特定的密钥。 然而在实际应用过程中, 由于密钥个数有限, 会导 致密钥会重复使用, 而密钥的重复使用会大大降低集群通信系统的安全性, 并且由于终端的用户识别卡中的密钥需要特定的读写卡装置写入, 不利于后 续的密钥及时更新。
3、 密钥管理中心生成新的密钥。 由于考虑到安全性问题, 该密钥不能在 空口消息直接发送, 因此, 在组呼过程中, 使用某个终端和网络侧设备协商 过的密钥,对新密钥进行加密获得 Keycipher,并通过空口消息发送 Keycipher。 所述网络侧设备和终端协商过的密钥可以是当前正在使用的密钥, 也可以是 某个集群组固定使用的密钥等。 终端使用协商过的密钥对空口消息中的 Keycipher进行解密, 获得新生成的密钥, 替换当前使用的密钥。 但是在实际 应用当中, 新密钥的安全性还是依赖于已经协商过的密钥的安全性, 因此一 定程度上仍然无法保证其安全性。
另外, 集群组呼业务的特点为一个主叫用户的语音, 可以同时被多个同 组的听用户收到, 实际实施时, 如果为每个听用户分配一套资源以实现组呼 功能, 可以直接使用公网的加密机制来实现组呼的加密, 但是一次组呼占用 的网络资源会非常大。 另外, 公网的加密密钥生成和使用机制仅适合单一用 户, 要实现同一组呼用户生成和使用同一套密钥, 则需要一套新的机制来实 现。 发明内容
本发明实施例提供了一种加密实现方法及系统, 以解决相关技术中集群 系统加密依赖算法强度不高的私有加密算法、 通过空口传递密钥、 以及密钥 替换不及时等问题。
本发明实施例提供了一种加密实现方法, 包括:
网络侧设备以及组呼终端分别维护一相同的集群鉴权密钥 K值列表; 每次组呼过程中, 所述网络侧设备根据生成的随机数(RAND ) 、 鉴权 序列号(SQN )、 从所述集群鉴权密钥 K值列表中选取的集群鉴权密钥 K值 以及公网鉴权函数计算得到鉴权向量(AV ) ; 以及
鉴权令牌 ( AUTN )执行鉴权以生成加密密钥 (CK ) 。
可选地, 所述组呼终端包括讲状态终端和听状态终端, 所述讲状态终端 和听状态终端共享下行专有物理信道, 链路层资源配置也相同, 上行专有物 理信道分配给所述集群组呼的讲状态终端。
可选地, 所述听状态终端仅在所述下行专有物理信道上接收非确认模式 无线承载(UM RB )上的下行业务数据和信令数据, 对于通用移动通信系统 ( UMTS )也可以接收透明传输模式的业务数据, 所述听状态终端的上行信 令在不做加解密的公共信道上发送。
可选地, 所述方法还包括: 组呼主叫发起组呼建立;
其中, 所述组呼主叫发起组呼建立的步骤包括:
所述组呼主叫向集群服务器发送组呼建立请求;
所述集群服务器收到所述组呼主叫发送的组呼建立请求后, 为所述组呼 生成公网鉴权算法需要的参数,其中, 所述参数包括所述 RAND、所述 SQN, 以及在所述集群鉴权密钥 K值列表中随机选择的一个 K值; 使用公网鉴权函 数 fl~f5计算得到 AV, 并将所述 AV和所选 K值的标识( Kld )发送给所述组 呼主叫的服务无线网络控制器(SRNC )或演进的基站(eNB ) ;
所述 SRNC或 eNB把所述 K值的 Kld、所述 RAND和所述 AV中的 AUTN 发给所述组呼主叫; 以及
所述组呼主叫根据收到的所述 Kld、 所述 RAND和所述 AV中的 AUTN, 生成所述 CK。
可选地, 所述方法还包括: 集群服务器发起组呼被叫;
其中, 所述集群服务器发起组呼被叫的步骤包括:
所述集群服务器根据组呼被叫所在位置区, 确定发送寻呼的范围, 通知 所述范围下的 RNC或 eNB, 并把发送给所述组呼主叫的 Kld、 所述 RAND和 所述 AV中的 AUTN发送给所述 SRNC或 eNB;
所述 SRNC 或 eNB在所有小区的预先划定的集群专用公共信道上广播 当前组呼的听状态的配置, 其中, 所述配置包括链路层资源、 物理资源、 所
述 RAND和所述集群服务器下发的 AV中的 AUTN; 以及
所述组呼被叫收到寻呼后, 当判断需要加入所述组呼听状态时, 主动读 取公共信道上所述组呼主叫的 Kld和所述 AV中的 AUTN,执行鉴权并生成所 述 CK。
优选地, 所述方法还包括: 组呼建立时处于未开机状态或不在组呼服务 区状态的组呼被叫进入组呼听状态并启动加密的步骤, ; 听状态并启动加密的步骤包括: 入集群服务区之后, 发送组信息更新请求给所述集群服务器以获取终端所属 的组呼标识, 当所述组呼被叫确定需要接听某个组呼时, 读取所述集群专用 公共信道, 获取所属组呼的信息, 其中所述所属组呼的信息包括组呼的下行 物理信道、 所述链路层资源、 所述 Kld、 所述 RAND和所述 AV中的 AUTN; 并据此执行鉴权。
可选地, 同一组呼下所有听用户终端的解密参数一致, 在执行鉴权时, 除了生成一致的 CK,还需要确保每个听用户终端的加密计数器( COU T-C ) 值同步;
所述方法还包括:
所述 SRNC或 eNB实时更新所述 RB的下行 COUNT-C的 HFN值;以及 SRNC或 eNB在所述集群专用公共信道上广播当前组呼的加密指示, 通知所 述组呼被叫所述组呼是否需要加密。
可选地, 所述组呼被叫在决定接入听状态时, 读取所述集群专用公共信 道上包含组呼加密指示、 HFN、 加密算法等加密参数;
当加密指示为不加密时, 不启动加密流程;
当加密指示启动加密时, 使用广播的所述 RB的下行 HFN来初始化所述
COUNT-C,序列号( SN )置为 0, UMTS系统下透明传输模式 RB的 COU T-I 的连接帧号 ( CFN )部分使用当前 CFN。
本发明实施例还提供了一种网络侧设备, 包括: 集群服务器, 以及服务 无线网络控制器(SRNC )或演进的基站(eNB ) ;
所述集群服务器设置为: 维护一集群鉴权密钥 K值列表, 生成的随机数 ( RAND )和鉴权序列号 (SQN ) , 每次组呼过程中, 根据所述 RAND、 所 述 SQN、从所述集群鉴权密钥 K值列表中选取的集群鉴权密钥 K值以及公网 鉴权函数计算得到鉴权向量(AV ) , 其中, 所述集群鉴权密钥 K值列表与组 呼终端维护的集群鉴权密钥 K值列表相同;
所述 SRNC或 eNB设置为: 将所述集群服务器生成的所述 RAND、 所述 SQN以及所述鉴权向量发送给所述组呼终端。
可选地, 所述集群服务器是设置成: 在收到所述组呼主叫发送的组呼建 立请求后, 为所述组呼生成公网鉴权算法需要的参数, 其中, 所述参数包括 所述 RAND、 所述 SQN, 以及在所述集群鉴权密钥 K值列表中随机选择的一 个 K值, 使用公网鉴权函数 fl~f5计算得到所述 AV; 并将所述 AV和所选 K 值的标识( Kld )发送给所述 SRNC或 eNB; 以及
所述 SRNC或 eNB是设置成: 把获得的所述 K值的 Kld、 所述 RAND和 所述 AV中的 AUTN发给组呼主叫。
可选地, 所述集群服务器还设置成: 组呼主叫流程成功后, 根据所述组 呼被叫所在位置区, 确定发送寻呼的范围, 通知所述范围下的 RNC或 eNB, 并把发送给所述组呼主叫的所述 Kld、 所述 RAND和所述 AV中的 AUTN发 送给所述 SRNC或 eNB; 以及
所述 SRNC或 eNB还设置成:在所有小区的预先划定的集群专用公共信 道上广播当前组呼听状态的配置, 其中, 所述配置包括所述链路层资源、 物 理资源、 所述 RAND和所述集群服务器下发的 AV中的 AUTN。
可选地,所述 SRNC或 eNB还设置成:实时更新所述 RB的下行 COU T-C 的 HFN值; 以及在所述集群专用公共信道上广播当前组呼的加密指示, 通知 所述组呼被叫所述组呼是否需要加密。
本发明实施例还提供了一种组呼终端, 所述组呼终端设置成: 维护一集 群鉴权密钥 K值列表, 依据从网络侧设备获取的生成的随机数 ( RAND )和
鉴权向量(AV ) 中的鉴权令牌 ( AUTN )执行鉴权以生成加密密钥 (CK ) ; 其中, 所述集群鉴权密钥 K值列表与所述网络侧设备维护的集群鉴权密 钥 K值列表相同。
可选地, 所述组呼终端包括讲状态终端和听状态终端, 所述讲状态终端 和听状态终端共享下行专有物理信道, 链路层配置也相同, 上行专有物理信 道分配给所述集群组呼的讲状态终端。
可选地, 所述听状态终端仅在所述下行专有物理信道上接收非确认模式 无线承载 (UM RB ) 上的下行业务和信令数据, 对于通用移动通信系统 ( UMTS )也可以接收透明传输模式的业务数据, 所述听状态终端的上行信 令在不做加解密的公共信道上发送。
可选地, 所述组呼终端包括组呼主叫和组呼被叫, 其中,
所述组呼主叫设置成: 根据收到的 Kld、 所述 RAND和所述 AV 中的 AUTN, 生成所述 CK; 以及
所述组呼被叫设置成: 当确定加入所述组呼听状态时, 则主动读取公共 信道上所述组呼主叫的 Kld、所述 RAND和所述 AV中的 AUTN,执行鉴权并 生成所述 CK。
可选地, 所述组呼被叫还设置成: 在开机或进入集群服务区之后, 发送 组信息更新请求给集群服务器以获取终端所属的组呼标识, 当所述终端确定 需要接听某个组呼时, 读取集群专用公共信道, 获取所属组呼的信息, 其中 所述所属组呼的信息包括组呼的下行物理信道、所述链路资源配置、所述 Kld、 所述 RAND和所述 AV中的 AUTN; 并据此执行鉴权。
可选地, 同一组呼下所有听用户终端的解密参数一致, 在执行鉴权时, 除了生成一致的 CK,还需要确保每个听用户终端的加密计数器( COU T-C ) 值同步。
可选地, 所述组呼被叫还设置成: 在决定接入听状态时, 读取集群专用 公共信道上包含组呼加密指示、 超帧号 (HFN ) 、 加密算法等加密参数; 当加密指示为不加密时, 不启动加密流程;
当加密指示启动加密时, 使用广播的所述 RB的下行 HFN来初始化所述
COU T-C, ,序列号( SN )置为 0, UMTS系统下透明传输模式 RB的 COU T-I 的连接帧号 ( CFN )部分使用当前 CFN。
釆用本发明实施例的方法及系统, 可以实现基于公网安全机制的集群系 统加密,解决了相关技术中集群系统加密依赖算法强度不高的私有加密算法、 通过空口传递密钥、 以及密钥替换不及时等弊端, 从而大大提高了集群系统 的安全性。 附图概述
图 1为公网鉴权向量的生成算法的示意图;
图 2为公网下 USIM卡中的用户鉴权的示意图;
图 3为本发明实施例提供的组呼建立过程的示意图;
图 4为本发明实施例提供的组呼被叫过程的示意图;
图 5为本发明实施例提供的组呼迟后接入过程的示意图;
图 6为本发明实施例提供的话权申请过程的示意图。
本发明的较佳实施方式
下面结合附图对本发明实施例的所述技术方案作进一步的详细描述。 需 要说明的是, 在不冲突的情况下, 本申请中的实施例及实施例中的特征可以 相互任意组合。
鉴于目前在 3G安全架构中, 密钥不是在空口直接传输的, 而是釆用鉴 权流程生成。 鉴权中心和 USIM ( Universal Subscriber Identity Module, 全球 用户识别模块)卡分别存储一个相同的 128bit的 K值, 空口传输的是鉴权向 量,鉴权中心和 USIM卡以相同的算法计算出完整性密钥(IK, Integrity Key ) 和加密密钥 (CK, Cipher Key ) 。 通过使用公开加密算法, 128bit的密钥大 大提高了密钥抗穷举攻击的能力。并且密钥的使用次数由计数器(COU T-C ) 来统计, 一旦超过预定阔值, 密钥则会及时被更换掉。 4G的鉴权和密钥协商 流程与 3G的完全一致, 因此, 如果集群通信系统借用 3G或 4G成熟的加密 机制, 则可以解决密钥空口传递不安全、 密钥不能及时更新的问题。
本发明实施例提供的基于公网 (例如, UMTS ( Universal Mobile Telecommunications System , 通用移动通信系统) 或者是 LTE ( Long Term Evolution, 长期演进系统) ) 的加密实现方法中, 集群系统具有以下特点: 为了节省集群组呼的物理资源开销, 集群组呼的所有成员, 包括集群组 呼的讲状态终端和听状态终端共享下行专有信道, 其链路层配置也相同, 上 行专有信道分配给集群组呼的讲状态终端。 讲状态终端的上下行信令均可以 在专有信道上发送和接收, 而听状态终端仅在专有信道上接收 UM RB ( Unacknowledge Mode Radio Bearer, 非确认模式无线 7 载 )上的业务和信令 数据, 听状态终端的上行信令在公共信道上发送, UMTS/LTE下的公共信道 不做加解密, 集群组呼的听状态终端的资源在预先划定的公共信道上进行广 播。
集群组呼所有成员使用同一集群鉴权密钥 K值和鉴权向量, 使用公网的 密钥生成算法, 即可让集群组呼所有成员都生成相同的加密密钥(CK )。 值 得注意的是, 这里的集群鉴权密钥 K值与公网 USIM卡中的 K值不同, 其为 专用于集群系统的 K值, 并且是所有组呼成员共享的。 该集群鉴权密钥 K值 不能通过空口传输, 其为预先写到 USIM卡中, 可以是每个集群组呼固定分 配一个集群鉴权密钥 K值, 也可以是固定的一组集群鉴权密钥 K值中, 由鉴 权向量中某个标识参数指示使用哪个集群鉴权密钥 K值。
本发明实施例中,集群组呼的加解密算法沿用 UMTS/LTE的加解密算法, 加密的入参 COU T-C值在集群系统中的使用和维护规则需要更改, 与公网 的 COUNT-C值的使用区别是集群组呼的所有听状态终端对同一下行数据包 使用同一 COUNT-C值进行解密。 UMTS/LTE系统中 COUNT-C的更新规则 和使用与协议一致, 此处不赘述。
针对 UMTS系统需要额外说明的是, 由于每次组呼建立过程都执行鉴权 生成新密钥, 加密启动时认为 START=0, 即, COUNT-C值的 HFN ( Hyper Frame Number, 超帧号 )部分用 0来初始化, 而序列号( SN )或者 CFN部分 的维护依然按 UMTS的维护规则。 对于迟后接入的组呼被叫终端, 由于无法 预知接入组呼的时间, 为了保持迟后接入的组呼被叫终端与其他已经在组呼 中的组呼被叫终端下行 COUNT-C值一致,由 RNC( Radio Network Controller,
无线网络控制器) /eNB负责实时更新集群专用公共信道上的下行 COU T-C 值的 HFN。
在本发明实施例提供的基于 UMTS/LTE公网安全架构的加密实现方法适 用于集群组呼所有被叫通话共享同一套下行资源, 包括物理信道、 链路层资 源。
本发明实施例中, 组呼建立过程如图 3所示, 包括如下实现步骤。
步骤 101 , 组呼主叫用户发送组呼建立请求给 SRNC/eNB, 该组呼建立 请求中包括组呼主叫的 UE ( User Equipment )标识以及需要建立的组呼的组 标识。
步骤 102, SRNC/eNB通知集群服务器主叫用户请求建立组呼, 如果集 群服务器判断此用户有权限建立该组呼标识的组呼, 则需要生成该组呼使用 的鉴权向量, 用于生成 CK。
集群服务器和集群专用 USIM卡分别维护一个相同的集群鉴权密钥 K值 列表, 每个集群鉴权密钥 K值仍然为 128bit, 每个集群鉴权密钥 K值以一个 自然数 Kld来标识,集群服务器在下发鉴权向量时,需要携带 Kld来通知 USIM 卡使用哪个集群鉴权密钥 K值。组呼的集群鉴权密钥 K值的个数根据需要设 定, 集群鉴权密钥 K值使用读写卡器写入 USIM卡中。
集群服务器生成一个随机数 RAND和该组的 SQN,从集群专用的集群鉴 权密钥 K值列表随机选择一个集群鉴权密钥 K值, 如图 1所示, 根据公网鉴 权函数 fl~f5分别计算出消息鉴权码 ( MAC , Message Authentication Code ) 、 期望的用户响应 ( XRES, EXpected user RESponse ) 、 加密密钥 (CK ) 、 完 整性保护密钥 (IK )和匿名密钥 (AK, Anonymity Key ) , 其中, 公网鉴权 函数 fl~f5为原协议(3GPPTS33.102V7.1.0(2006-12)协议)规定的算法函数。 集群服务器把计算得到的鉴权向量(AV, Authentication Vector )发送给组呼 主叫用户所在的 SRNC, AV 包括 RAND、 XRES, CK、 IK、 AUTN, 其中 AUTN的构成如图 2所示, AUTN:=SQN® AK||AMF||MAC , 鉴权管理域( AMF,
Authentication Management Field ) 的长度为 16bit, 由集群服务器指定, 目前 公网第 8~15bit可以用于私有用途, 对于集群系统, 可以选取其中几个 bit用 于指示集群服务器选择的 Kld。
在公网的鉴权流程中, 归属位置寄存器(HLR, Home Location Register ) 或鉴权中心 ( AUC , Authentication Center )会为每个用户维护一个序列号 SQNHE,每张 USIM卡维护一个序列号 SQNMS, SQNMS表示 USIM已经接 受的最大序列号。 网络侧设备在下发的 AV 中携带 SQNHE, USIM卡比较 SQNHE和 SQNMS, 如果两者差值在一定范围内, USIM卡认为可以接受。 对于组呼业务, 如果维护时针对每个组呼维护 SQNHE和 SQNMS, 当某个听 用户不在当前的组呼区域范围内或者关机, 而再进入组呼区域范围时, 可能 SQNHE和 SQNMS之间差值已经非常大, 因此针对组呼的鉴权不执行 SQN 的同步, 集群服务器为每个群组维护一个 SQN值。
步骤 103 , 集群服务器给 SRNC/eNB发送组呼建立消息, 消息中携带步 骤 102中由集群服务器生成的 AV , 其包括 AUTN和 RAND。
值得注意的是, 除本发明实施例外, 集群系统主叫用户的鉴权也可以用 公网的鉴权流程, 但是为了加快组呼建立速度, 在本实施例中, 将该鉴权放 在组呼建立响应中。
步骤 104, SRNC/eNB发送组呼建立响应消息给组呼主叫终端, 消息中 包括为组呼主叫分配的链路层、 物理信道等资源, 还包括步骤 102中由集群 服务器生成的鉴权参数 AUTN和 RAND。
组呼主叫用户收到鉴权参数后, 执行鉴权流程, 如图 2所示, USIM卡 根据鉴权参数中的 Kld指示获取集群鉴权密钥 K值, 作为 fl~f5函数的入参, 计算出 AK、 IK、 CK、 XMAC、 RES, 比较 XMAC和 AUTN中 MAC是否相 等, 如果相等, 终端保存鉴权生成的 CK和 IK作为此次组呼使用的密钥。 如 果不相等, 终端回复失败消息, 此次组呼失败。
步骤 105 , 主叫终端鉴权成功且配置组呼资源成功后, 回复组呼建立完 成消息给 SRNC/eNB。
步骤 106, SRNC/eNB发送组呼建立完成消息给集群服务器, 该消息中 包括主叫终端计算获得的 RES。
集群服务器比较之前计算得到的 XRES和收到组呼建立完成消息中主叫 终端计算的 RES, 如果相同, 组呼流程建立成功, 同时集群服务器将鉴权向
量发送给组呼被叫所在的 SRNC/eNB, 如果 XRES和 RES不同, 集群服务器 发送拆除此次组呼的命令。
当上述组呼主叫组呼建立流程成功后, 集群服务器发起组呼被叫流程, 如图 4所示, 包括如下实现步骤。
步骤 201 , 集群服务器根据组呼被叫终端所在位置区, 确定发送寻呼的 范围, 通知此范围下的 SRNC/eNB, 并把发送给组呼主叫的鉴权参数 AUTN 和 RAND发送给 SRNC/eNB。
步骤 202, SRNC/eNB在所有小区的预先划定的集群专用公共信道上广 播当前组呼的听状态配置, 该配置包括链路层、 物理资源, 以及集群服务器 下发的鉴权向量 AV中的鉴权参数 AUTN和 RAND, 预先划定集群专用公共 信道配置可以在系统信息中读取。
组呼被叫终端仅接受组呼下行数据, 被叫终端的信令都从公共信道进行 发送, 公共信道上的信令不执行加解密。 SRNC/eNB在集群专用公共信道上 通知终端当前组呼是否执行加密, 如果执行加密, 需要通知每个 RB 当前应 该使用的 HFN值。
步骤 203 , RNC/eNB发送寻呼消息给所有属于该组的终端, 包括处于空 闲态、 组呼听状态、 说状态、 单呼状态的用户。
组呼被叫终端收到寻呼后, 如果需要加入该组呼听状态, 终端主动读取 公共信道上组呼的鉴权向量, 执行如图 2所示的鉴权过程, 这里统一不执行 公网鉴权流程的 SQN同步。 如果计算出 XMAC和 MAC相同, 则组呼被叫 终端成为组呼听用户, 开始接收组呼数据, 如果不相同, 则组呼被叫终端不 加入新的组呼, 回退到之前的状态。
由于所有组呼被叫共享下行信道, 组呼被叫终端可以不回复鉴权响应消 息给网络, SRNC/eNB不执行组呼被叫的 XRES和 RES比较, 避免同时执行 随机接入造成网络拥塞, 同时加快了集群组呼的建立速度。
针对 LTE系统下的组呼终端,在通过鉴权计算出 CK和 IK后,还要继续 根据 3gpp协议 33.401的附录(Annex A )指示的方法计算出密钥的中间参数 Kasme和 KeNB, 以及非接入层(Non-Access-Stratum, NAS )和无限资源控
制 (Radio Resource Control, RRC)层的加密和完整性保护密钥。需要注意的是, 每次组呼都鉴权产生新的密钥, 计算 KeNB 时, 入参上行非接入层计数器 ( Uplink Nas COUNT )取值为 0 , 这样可以保证组呼终端生成的密钥一致。
对于迟后接入的终端, 包括组呼建立时未开机终端和不在组呼服务区的 终端, 进入组呼听状态并启动加密的流程如图 5所示, 包括如下步骤。
步骤 301 ,终端开机或进入集群服务区之后,在建立 RRC( Radio Resource Control, 无线资源控制)连接成功后, 发送组信息更新请求给 SRNC/eNB, 该请求中包括终端的 UE标识。
步骤 302, SRNC/eNB将终端的组信息更新请求发送给集群服务器。 步骤 303 , 集群服务器根据终端的 UE标识判断终端所属的组,发送组信 息更新接受消息给 SRNC/eNB, 消息中包括终端所属组的标识。 此步骤表示 UE已经在集群域完成注册, 集群服务器根据此信息实现对终端的组呼寻呼。
步骤 304, SRNC/eNB将组信息更新接受消息发送给终端, 终端收到组 信息更新接受消息后, 读取集群专用公共信道, 获取所属组呼的信息, 该信 息包括组呼的下行物理信道、链路层配置和鉴权向量 AV中的鉴权参数 AUTN 和 RAND, 迟后接入终端的鉴权流程同上述组呼被叫用户, 终端鉴权成功后, 直接加入组呼听状态。
UMTS 系统下的迟后接入的用户, 读取公共信道上组呼信息指示需要加 密时, 直接启动解密。 使用公共信道广播的 RB 的 HFN值初始化该 RB 的 COUNT-C, UM模式下 RB的 COU T-C的 SN部分置为 0, TM模式下 RB 的 COUNT-C的 CFN部分置为当前 CFN, 收到下行数据包时, COUTN-C的 维护方法同 UMTS现有做法, 具体做法可参考 3gpp协议 25.331、 25.321和 25.322。
LTE系统下的用户, 在公共信道组呼信息指示需要加密时, 直接用公共 信道上通知的各 RB上的 HFN初始化 COUNT-C, SN部分置为 0。 收到下行 数据包时, COUTN-C的维护方法同 LTE系统现有做法,具体做法可参考 3gpp 协议 36.323。
如图 6所示, 申请话权的流程包括如下实现步骤。
步骤 401 , 组呼听用户在公共信道上发送话权请求消息给 SRNC/eNB, 该消息中保护终端的 UE标识和需要申请话权的组标识。
步骤 402 , SRNC/eNB发送话权请求消息给集群服务器。
步骤 403 , 集群服务判断可以为该用户分配话权, 如果此时没有讲状态 用户, 转步骤 407 , 如果此时有讲状态用户, 集群服务器先发送话权释放消 息给讲状态用户所在的 SRNC/eNB。
步骤 404, 讲状态用户所在的 SRNC/eNB发送话权释放消息给讲状态用 户。
步骤 405 , 讲状态用户回复话权释放完成消息后, 读取集群公共信道上 的加密参数, 执行步骤 304中迟后接入终端的加密启动流程, 但是无需重新 计算加密密钥。 步骤 406, SRNC/eNB发送话权释放完成消息给集群服务器。
步骤 407 , 集群服务器发送话权消息给话权申请终端所在的 SRNC/eNB。 步骤 408 , SRNC/eNB发送话权消息给终端,话权消息中包括每个 RB的 上下行 COUNT-C,终端收到话权消息后,使用消息中的 COUNT-C值重置本 地 RB的上下行 COUNT-C, 然后立即启动加解密。 由于听用户话权申请和话 权消息都通过随机接入在公共信道上发送和接收, 这两条消息无需加解密。 需要注意的是, 获取话权的终端链路层实体的状态变量需要和对等层实体的 状态变量做同步, 特别是确认模式的实体需要做同步, 可以约定重置为初始 值 0, 也可以用话权消息中携带的网侧指定的值来初始化。
步骤 409, 终端回复话权完成消息给 SRNC/eNB。
步骤 410, SRNC/eNB发送话权完成消息给集群服务器。
UMTS系统下, 听用户执行 SRNS重定位流程时, 需要从公共信道读取 下行加密参数, 参数初始化流程同迟后接入用户。
说用户执行 SRNS重定位流程时, 加密参数的同步同 UMTS系统。
LTE制式下用户移动到其他 eNB下,按现有协议要求会使用网侧分配的下 一跳链接计数器( Next Hop Chaining Counter, NCC )重新迭代计算出下一跳 参数(Next Hop, NH ) , 再计算新的 KeNB, 从而获取新的加密和完整性保
护密钥。 集群服务器可以为每个组呼维护一个 NCC变量, 通过主叫用户的切 换流程, 下发新的 {NCC, NH} 0 更复杂一些的做法是, 每个听用户移动到其 他 eNB后,也可以建立 RRC连接通知集群服务器,集群服务器下发新的 {NCC, NH}。 更简单的做法是, 整个组呼过程中, NCC不更换。
当产生新的 {NCC, NH}时, eNB 在可以集群专用公共信道上广播新的
NCC值, 也可以通过公共信道下发消息 NCC值的更改, 听用户感知到 NCC 变化后, 迭代计算新的密钥, eNB还需要约定新密钥从某个 SN开始替换新 密钥。
本发明实施例的方案中, 可以实现基于公网安全机制的集群系统加密, 解决了相关技术中集群系统加密依赖算法强度不高的私有加密算法、 通过空 口传递密钥、 以及密钥替换不及时等弊端, 从而大大提高了集群系统的安全 性。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成, 所述程序可以存储于计算机可读存储介质中, 如只读 存储器、 磁盘或光盘等。 可选地, 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。 相应地, 上述实施例中的各模块 /单元可以釆用 硬件的形式实现, 也可以釆用软件功能模块的形式实现。 本发明实施例不限 制于任何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例, 并非因此限制本发明的专利范围, 凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换, 或直接 或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
工业实用性
釆用本发明实施例的方法及系统, 可以实现基于公网安全机制的集群系 统加密,解决了相关技术中集群系统加密依赖算法强度不高的私有加密算法、 通过空口传递密钥、 以及密钥替换不及时等弊端, 从而大大提高了集群系统 的安全性。
Claims
1、 一种加密实现方法, 包括:
网络侧设备以及组呼终端分别维护一相同的集群鉴权密钥 K值列表; 每次组呼过程中, 所述网络侧设备根据生成的随机数(RAND ) 、 鉴权 序列号(SQN )、 从所述集群鉴权密钥 K值列表中选取的集群鉴权密钥 K值 以及公网鉴权函数计算得到鉴权向量(AV ) ; 以及 鉴权令牌 ( AUTN )执行鉴权以生成加密密钥 (CK ) 。
2、 如权利要求 1所述的方法, 其中, 所述组呼终端包括讲状态终端和听 状态终端, 所述讲状态终端和听状态终端共享下行专有物理信道, 链路层资 源配置也相同, 上行专有物理信道分配给所述集群组呼的讲状态终端。
3、 如权利要求 2所述的方法, 其中, 所述听状态终端仅在所述下行专有 物理信道上接收非确认模式无线承载(UM RB )上的下行业务和信令数据, 对于通用移动通信系统(UMTS )也可以接收透明传输模式的业务数据, 所 述听状态终端的上行信令在不做加解密的公共信道上发送。
4、 如权利要求 1所述的方法, 还包括:
所述组呼主叫向集群服务器发送组呼建立请求;
集群服务器收到所述组呼主叫发送的组呼建立请求后, 为所述组呼生成 公网鉴权算法需要的参数, 其中, 所述参数包括所述 RAND、 所述 SQN, 以 及在所述集群鉴权密钥 K值列表中随机选择的一个 K值; 使用公网鉴权函数 fl~f5计算得到 AV, 并将所述 AV和所选 K值的标识 ( Kld )发送给所述组呼 主叫的服务无线网络控制器(SRNC )或演进的基站(eNB ) ;
所述 SRNC或 eNB把所述 K值的 Kld、所述 RAND和所述 AV中的 AUTN 发给所述组呼主叫; 以及
所述组呼主叫根据收到的所述 Kld、 所述 RAND和所述 AV中的 AUTN, 生成所述 CK。
5、 如权利要求 4所述的方法, 还包括: 所述集群服务器根据组呼被叫
所在位置区,确定发送寻呼的范围,通知所述范围下的无线网络控制器( RNC ) 或 eNB,并把发送给所述组呼主叫的 Kld、所述 RAND和所述 AV中的 AUTN 发送给所述 SRNC或 eNB;
所述 SRNC或 eNB在所有小区的预先划定的集群专用公共信道上广播当 前组呼听状态的配置,其中,所述配置包括链路层资源、物理资源、所述 RAND 和所述集群服务器下发的 AV中的 AUTN; 以及
所述组呼被叫收到寻呼后, 当判断需要加入所述组呼听状态时, 主动读 取公共信道上所述组呼主叫的 Kld和所述 AV中的 AUTN,执行鉴权并生成所 述 CK。
6、 如权利要求 4或 5所述的方法, 还包括: 组呼建立时处于未开机状态 或不在组呼服务区状态的组呼被叫进入组呼听状态并启动加密;
听状态并启动加密的步骤包括: 入集群服务区之后, 发送组信息更新请求给所述集群服务器以获取终端所属 的组呼标识, 当所述组呼被叫确定需要接听某个组呼时, 读取所述集群专用 公共信道, 获取所属组呼的信息, 其中所述所属组呼的信息包括组呼的下行 物理信道、 所述链路层资源、 所述 Kld、 所述 RAND和所述 AV中的 AUTN; 并据此执行鉴权。
7、 如权利要求 1所述的方法, 其中, 同一组呼下所有听用户终端的解密 参数一致, 在执行鉴权时, 除了生成一致的 CK, 还需要确保每个听用户终端 的加密计数器(COU T-C )值同步;
所述方法还包括:
所述 SRNC或 eNB实时更新所述 RB的下行 COU T-C的 HFN值;以及 SRNC或 eNB在所述集群专用公共信道上广播当前组呼的加密指示, 通知所 述组呼被叫所述组呼是否需要加密。
8、 如权利要求 7所述的方法, 其中,
所述组呼被叫在决定接入听状态时, 读取所述集群专用公共信道上包含
组呼加密指示、 HFN、 加密算法等加密参数;
当加密指示为不加密时, 不启动加密流程;
当加密指示启动加密时, 使用广播的所述 RB的下行 HFN来初始化所述 COU T-C, 序列号(SN )置为 0, UMTS系统下透明传输模式 RB的完整性 保护计数器( COU T-I ) 的连接帧号 ( CFN )部分使用当前 CFN。
9、一种网络侧设备,包括:集群服务器,以及服务无线网络控制器( SRNC ) 或演进的基站(eNB ) ;
所述集群服务器设置为: 维护一集群鉴权密钥 K值列表, 生成的随机数 ( RAND )和鉴权序列号 (SQN ) , 每次组呼过程中, 根据所述 RAND、 所 述 SQN、从所述集群鉴权密钥 K值列表中选取的集群鉴权密钥 K值以及公网 鉴权函数计算得到鉴权向量(AV ) , 其中, 所述集群鉴权密钥 K值列表与组 呼终端维护的集群鉴权密钥 K值列表相同;
所述 SRNC或 eNB设置为: 将所述集群服务器生成的所述 RAND、 所述 SQN以及所述鉴权向量发送给所述组呼终端。
10、 如权利要求 9所述的网络侧设备, 其中,
所述集群服务器是设置成:在收到所述组呼主叫发送的组呼建立请求后, 为所述组呼生成公网鉴权算法需要的参数, 其中, 所述参数包括所述 RAND、 所述 SQN, 以及在所述集群鉴权密钥 K值列表中随机选择的一个 K值,使用 公网鉴权函数 fl~f5计算得到所述 AV;并将所述 AV和所选 K值的标识( Kld ) 发送给所述 SRNC或 eNB; 以及
所述 SRNC或 eNB是设置成: 把获得的所述 K值的 Kld、 所述 RAND和 所述 AV中的鉴权令牌 ( AUTN )发给组呼主叫。
11、 如权利要求 9所述的网络侧设备, 其中,
所述集群服务器还设置成: 组呼主叫流程成功后, 根据所述组呼被叫所 在位置区, 确定发送寻呼的范围, 通知所述范围下的无线网络控制器(RNC ) 或 eNB, 并把发送给所述组呼主叫的所述 Kld、 所述 RAND和所述 AV中的 AUTN发送给所述 SRNC或 eNB; 以及
所述 SRNC或 eNB还设置成:在所有小区的预先划定的集群专用公共信
道上广播当前组呼听状态的配置, 其中, 所述配置包括所述链路层资源、 物 理资源、 所述 RAND和所述集群服务器下发的 AV中的 AUTN。
12、 如权利要求 9所述的网络侧设备, 其中,
所述 SRNC或 eNB还设置成:实时更新所述 RB的下行 COU T-C的 HFN 值; 以及在所述集群专用公共信道上广播当前组呼的加密指示, 通知所述组 呼被叫所述组呼是否需要加密。
13、 一种组呼终端,
所述组呼终端设置成: 维护一集群鉴权密钥 K值列表, 依据从网络侧设 备获取的生成的随机数 ( RAND )和鉴权向量(AV )中的鉴权令牌 ( AUTN ) 执行鉴权以生成加密密钥 (CK ) ;
其中, 所述集群鉴权密钥 K值列表与所述网络侧设备维护的集群鉴权密 钥 K值列表相同。
14、 如权利要求 13所述的组呼终端, 其中,
所述组呼终端包括讲状态终端和听状态终端, 所述讲状态终端和听状态 终端共享下行专有物理信道, 链路层配置也相同, 上行专有物理信道分配给 所述集群组呼的讲状态终端。
15、 如权利要求 14所述的组呼终端, 其中,
所述听状态终端仅在所述下行专有物理信道上接收非确认模式无线承载 ( UM RB )上的下行业务和信令数据, 对于通用移动通信系统(UMTS )也 可以接收透明传输模式的业务数据, 所述听状态终端的上行信令在不做加解 密的公共信道上发送。
16、 如权利要求 13所述的组呼终端, 包括组呼主叫和组呼被叫, 其中, 所述组呼主叫设置成: 根据收到的 Kld、 所述 RAND和所述 AV 中的 AUTN, 生成所述 CK; 以及
所述组呼被叫设置成: 当确定加入所述组呼听状态时, 则主动读取公共 信道上所述组呼主叫的 Kld、所述 RAND和所述 AV中的 AUTN,执行鉴权并 生成所述 CK。
17、 如权利要求 16所述的组呼终端, 其中,
所述组呼被叫还设置成: 在开机或进入集群服务区之后, 发送组信息更 新请求给集群服务器以获取终端所属的组呼标识, 当所述终端确定需要接听 某个组呼时, 读取集群专用公共信道, 获取所属组呼的信息, 其中所述所属 组呼的信息包括组呼的下行物理信道、 所述链路资源配置、 所述 Kld、 所述 RAND和所述 AV中的 AUTN; 并据此执行鉴权。
18、 如权利要求 13所述的组呼终端, 其中,
同一组呼下所有听用户终端的解密参数一致, 在执行鉴权时, 除了生成 一致的 CK, 还需要确保每个听用户终端的加密计数器( COU T-C )值同步。
19、 如权利要求 13所述的组呼终端, 其中,
所述组呼被叫还设置成: 在决定接入听状态时, 读取集群专用公共信道 上包含组呼加密指示、 超帧号 (HFN ) 、 加密算法等加密参数;
当加密指示为不加密时, 不启动加密流程;
当加密指示启动加密时, 使用广播的所述 RB的下行 HFN来初始化所述 COUNT-C, 序列号(SN )置为 0, UMTS系统下透明传输模式 RB的完整性 保护计数器(COU T-I ) 的连接帧号 (CFN )部分使用当前 CFN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/429,833 US9667413B2 (en) | 2012-09-20 | 2013-08-15 | Encryption realization method and system |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210351671.3 | 2012-09-20 | ||
| CN201210351671.3A CN103179558B (zh) | 2012-09-20 | 2012-09-20 | 集群系统组呼加密实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2013185735A2 true WO2013185735A2 (zh) | 2013-12-19 |
| WO2013185735A3 WO2013185735A3 (zh) | 2014-02-13 |
Family
ID=48639120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2013/081541 WO2013185735A2 (zh) | 2012-09-20 | 2013-08-15 | 一种加密实现方法及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9667413B2 (zh) |
| CN (1) | CN103179558B (zh) |
| WO (1) | WO2013185735A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112585549A (zh) * | 2020-02-29 | 2021-03-30 | 华为技术有限公司 | 一种故障诊断方法、装置及车辆 |
| CN112910654A (zh) * | 2021-01-19 | 2021-06-04 | 深圳市星际大陆科技有限公司 | 一种私钥管理方法、系统、设备及存储介质 |
| CN113411758A (zh) * | 2020-03-16 | 2021-09-17 | 成都鼎桥通信技术有限公司 | 一种确定专网集群终端的组呼按键事件的方法和装置 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179558B (zh) * | 2012-09-20 | 2016-06-22 | 中兴通讯股份有限公司 | 集群系统组呼加密实现方法及系统 |
| CN104735626A (zh) * | 2013-12-20 | 2015-06-24 | 中兴通讯股份有限公司 | 集群通信公共安全的实现方法及装置 |
| EP3886397B1 (en) | 2014-03-21 | 2023-01-18 | Sun Patent Trust | Security key derivation in dual connectivity |
| CN105050054A (zh) * | 2014-04-14 | 2015-11-11 | 财团法人资讯工业策进会 | 长期演进网络系统及其群组通讯方法 |
| CN105451195B (zh) * | 2014-07-25 | 2018-11-30 | 成都鼎桥通信技术有限公司 | 端到端集群密钥分发方法和核心网设备 |
| CN104853388B (zh) * | 2015-04-02 | 2019-02-12 | 四川大学 | 一种集群通信系统中群组数据包序列号的生成方法和基站 |
| CN104768136A (zh) * | 2015-04-21 | 2015-07-08 | 四川西结微波科技发展有限责任公司 | 集群业务迟后接入rlc的sn处理方法 |
| US9992810B2 (en) * | 2015-08-26 | 2018-06-05 | Samsung Electronics Co., Ltd | Method for providing integrity protection in a dual SIM dual standby device |
| CN110536254B (zh) * | 2016-01-25 | 2022-02-22 | 展讯通信(上海)有限公司 | 小区切换方法及装置、存储介质、基站 |
| CN107135543B (zh) * | 2016-02-29 | 2022-12-02 | 中兴通讯股份有限公司 | 无线资源管理rrm的控制方法及装置 |
| CN107529159B (zh) * | 2016-06-22 | 2020-10-02 | 南京中兴软件有限责任公司 | 宽带集群下行共享信道的接入层加密、解密、完整性保护方法和装置、安全实现方法 |
| WO2018010186A1 (zh) * | 2016-07-15 | 2018-01-18 | 华为技术有限公司 | 密钥获取方法及装置 |
| WO2018129652A1 (zh) * | 2017-01-10 | 2018-07-19 | 海能达通信股份有限公司 | 集群组呼解密方法及用户设备 |
| CN108156604B (zh) * | 2017-12-01 | 2021-09-28 | 海能达通信股份有限公司 | 集群系统的组呼加密传输方法及装置、集群终端和系统 |
| EP3700158A1 (en) * | 2019-02-19 | 2020-08-26 | Stichting IMEC Nederland | Secure ranging |
| CN116114367A (zh) * | 2020-09-04 | 2023-05-12 | 联想(新加坡)私人有限公司 | 从装置群组接收所收集的数据 |
| CN112787820B (zh) * | 2021-01-02 | 2022-02-11 | 浙江大学 | 一种适用于硬件实现的轻量级认证加密解密实现方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132649A (zh) * | 2007-09-29 | 2008-02-27 | 大唐微电子技术有限公司 | 一种网络接入鉴权方法及其usim卡 |
| CN101511084A (zh) * | 2008-02-15 | 2009-08-19 | 中国移动通信集团公司 | 一种移动通信系统的鉴权和密钥协商方法 |
| CN103179558A (zh) * | 2012-09-20 | 2013-06-26 | 中兴通讯股份有限公司 | 集群系统组呼加密实现方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030854B (zh) * | 2006-03-02 | 2010-05-12 | 华为技术有限公司 | 多媒体子系统中网络实体的互认证方法及装置 |
-
2012
- 2012-09-20 CN CN201210351671.3A patent/CN103179558B/zh active Active
-
2013
- 2013-08-15 WO PCT/CN2013/081541 patent/WO2013185735A2/zh active Application Filing
- 2013-08-15 US US14/429,833 patent/US9667413B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101132649A (zh) * | 2007-09-29 | 2008-02-27 | 大唐微电子技术有限公司 | 一种网络接入鉴权方法及其usim卡 |
| CN101511084A (zh) * | 2008-02-15 | 2009-08-19 | 中国移动通信集团公司 | 一种移动通信系统的鉴权和密钥协商方法 |
| CN103179558A (zh) * | 2012-09-20 | 2013-06-26 | 中兴通讯股份有限公司 | 集群系统组呼加密实现方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112585549A (zh) * | 2020-02-29 | 2021-03-30 | 华为技术有限公司 | 一种故障诊断方法、装置及车辆 |
| CN113411758A (zh) * | 2020-03-16 | 2021-09-17 | 成都鼎桥通信技术有限公司 | 一种确定专网集群终端的组呼按键事件的方法和装置 |
| CN113411758B (zh) * | 2020-03-16 | 2022-08-09 | 成都鼎桥通信技术有限公司 | 一种确定专网集群终端的组呼按键事件的方法和装置 |
| CN112910654A (zh) * | 2021-01-19 | 2021-06-04 | 深圳市星际大陆科技有限公司 | 一种私钥管理方法、系统、设备及存储介质 |
| CN112910654B (zh) * | 2021-01-19 | 2023-04-28 | 深圳市星际大陆科技有限公司 | 一种私钥管理方法、系统、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103179558B (zh) | 2016-06-22 |
| CN103179558A (zh) | 2013-06-26 |
| WO2013185735A3 (zh) | 2014-02-13 |
| US9667413B2 (en) | 2017-05-30 |
| US20150256335A1 (en) | 2015-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2013185735A2 (zh) | 一种加密实现方法及系统 | |
| US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| US20220385446A1 (en) | EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROFILE CONTENT MANAGEMENT | |
| KR100832893B1 (ko) | 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법 | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| JP5678138B2 (ja) | ダイレクトリンク通信のための拡張されたセキュリティ | |
| TWI332345B (en) | Security considerations for the lte of umts | |
| WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
| US10687213B2 (en) | Secure establishment method, system and device of wireless local area network | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| WO2019062920A1 (zh) | 数据安全处理方法及装置 | |
| WO2019096075A1 (zh) | 一种消息保护的方法及装置 | |
| EP2381710A1 (en) | Security management method and system for wapi terminal accessing ims network | |
| WO2010124474A1 (zh) | 空口链路安全机制建立的方法、设备 | |
| WO2012031510A1 (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| CN101500229A (zh) | 建立安全关联的方法和通信网络系统 | |
| WO2012028010A1 (zh) | 认证方法、装置及系统 | |
| CN101931953A (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
| WO2014131356A1 (zh) | 一种宽带集群系统的组密钥分层管理方法、系统和终端 | |
| CN104602229B (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
| WO2011015060A1 (zh) | 一种可扩展的鉴权协议认证方法、基站及鉴权服务器 | |
| US20110002272A1 (en) | Communication apparatus and communication method | |
| CN105764052A (zh) | Td-lte鉴权认证和保护性加密方法 | |
| CN107925874B (zh) | 超密集网络安全架构和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 13804488 Country of ref document: EP Kind code of ref document: A2 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 14429833 Country of ref document: US |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 13804488 Country of ref document: EP Kind code of ref document: A2 |