WO2016078351A1 - 实现点对多点安全通信的方法、核心单元、终端和系统 - Google Patents

Abstract

一种实现点对多点安全通信的方法、核心单元、终端和系统，包括：检测出终端组中的第一终端申请点对多点通信时，核心单元将生成的终端组的通信序号发送给终端组中的每个终端，核心单元和每个终端均利用生成的通信序号获取第二秘钥信息；第一终端利用获得的第二秘钥信息经由核心单元与终端组中的其它终端进行点对多点安全通信。上述技术方案实现了点对多点安全通信，提高了点对多点通信的安全性。

Description

实现点对多点安全通信的方法、核心单元、终端和系统 技术领域

本文涉及安全通信技术，尤指一种实现点对多点安全通信的方法、核心单元、终端和系统。

背景技术

众所周知，点对多点安全通信技术广泛应用于多种通信系统如对讲机集群系统和无线通信集群系统。其中，无线通信集群系统可分成模拟无线通信集群系统和数字无线通信集群系统。这里，数字无线通信集群系统可分成第二代(2G)、第三代(3G)和第四代(4G)数字无线通信集群系统。

在上述通信系统中，目前均实现了点对点安全通信，也就是说，实现了通信系统中的两个终端之间的安全性通信；也实现了点对多点通信，其中，点对多点通信是指，几个终端共同构成一个终端组，当检测到终端组中的一个终端申请点对多点通信时，通信系统通过相应处理将终端发送的业务消息发送给终端组中的其他终端，进而实现点对多点通信；其中，上述点对点安全通信和点对多点通信的具体实现可以参考长期演进(LTE，Long Term Evolution)协议，此处不再赘述。但在上述实现点对多点通信的系统中，均没有实现终端之间的点对多点安全通信。随着上述集群系统的广泛应用，点对多点通信的安全性得到了越来越多的重视。相关支持点对多点通信的集群系统中，由于不支持点对多点安全通信，使得点对多点通信的安全性较低，从而无法较好地满足市场需求。

发明内容

为了解决上述技术问题，本发明实施例提供了一种实现点对多点安全通信的方法、核心单元、终端和系统，能够实现点对多点安全通信，提高点对多点通信的安全性。

为了解决上述技术问题，本发明实施例提供了一种实现点对多点安全通信的方法，包括：

当核心单元检测出终端组中的第一终端申请点对多点通信时，

核心单元将生成的终端组的通信序号发送给终端组中的每个终端，核心单元和每个终端均利用核心单元生成的信息获取第二秘钥信息，所述核心单元生成的信息包括：通信序号；

第一终端利用所述第二秘钥信息经由核心单元与终端组中的其它终端进行点对多点安全通信。

可选的，所述方法还包括：

在核心单元检测出终端组中的第一终端申请点对多点通信之前，若核心单元检测出新增由两个或两个以上终端组成所述终端组时，核心单元将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给所述终端组中的每个终端。

可选的，所述第一秘钥信息是根据所述组标识和生成的随机数获取的。

可选的，

所述核心单元生成的信息还包括：组标识、算法标识信息、第一秘钥信息；

所述核心单元利用生成的核心单元生成的信息获取第二秘钥信息包括：

所述核心单元利用所述组标识、算法标识信息、第一秘钥信息和通信序号获取所述第二秘钥信息。

可选的，

所述核心单元生成的信息还包括：组标识、算法标识信息、第一秘钥信息；

所述每个终端均利用核心单元生成的信息获取第二秘钥信息包括：

每个终端均利用获得的所述组标识、算法标识信息、第一秘钥信息和通信序号获取所述第二秘钥信息。

可选的，所述将为所述终端组预先设置的组标识和算法标识信息、以及 获得的第一秘钥信息发送给所述终端组中的每个终端是以点对点安全通信的方式进行的。

可选的，所述算法标识信息包括加密安全秘钥算法标识和完保安全秘钥算法标识；所述第二秘钥信息包括加密安全秘钥和完保安全秘钥。

为解决上述技术问题，本发明实施例还提供了一种实现点对多点安全通信的核心单元，包括检测单元、第一处理单元和第一秘钥获取单元，其中，

检测单元，设置为检测终端组中的一个终端是否申请点对多点通信；

第一秘钥获取单元，设置为利用来自第一处理单元的信息获取第二秘钥信息，所述来自第一处理单元的信息包括：通信序号；

第一处理单元，设置为当来自检测单元的检测结果为申请时，将生成的通信序号发送给终端组中的每个终端以及第一秘钥获取单元；以及利用来自第一秘钥获取单元的第二秘钥信息与每个终端进行安全通信。

可选的，

所述检测单元还设置为：检测是否新增由两个或两个以上终端组成所述终端组；

所述第一处理单元还设置为：当来自所述检测单元的检测结果是新增时，将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给所述终端组中的每个终端。

可选的，

所述第一秘钥获取单元还设置为：根据所述组标识和生成的随机数获取所述第一秘钥信息。

可选的，

所述来自第一处理单元的信息还包括：组标识、算法标识信息、来自所述第一秘钥获取单元的第一秘钥信息；

第一秘钥获取单元，是设置为通过如下方式实现利用来自第一处理单元的信息获取第二秘钥信息：

利用组标识、算法标识信息、来自所述第一秘钥获取单元的第一秘钥信息、和来自所述第一处理单元的通信序号获取第二秘钥信息。

可选的，所述算法标识信息包括加密安全秘钥算法标识和完保安全秘钥算法标识；所述第二秘钥信息包括加密安全秘钥和完保安全秘钥。

可选的，

所述第一处理单元，是设置为通过如下方式实现将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给所述终端组中的每个终端：

将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息以点对点安全通信的方式发送给所述终端组中的每个终端。

为解决上述技术问题，本发明实施例还提供了一种实现点对多点安全通信的终端，包括第二秘钥获取单元和第二处理单元，其中，

第二秘钥获取单元，设置为根据从核心单元获得的组标识、第一秘钥信息、算法标识信息和通信序号获取第二秘钥信息；

第二处理单元，设置为利用来自第二秘钥获取单元的第二秘钥信息与核心单元进行安全通信。

可选的，所述系统包括上述核心单元和终端。

为解决上述技术问题，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行上述的方法。

与相关技术相比，本发明实施例技术方案包括：检测出终端组中的第一终端申请点对多点通信时，核心单元将生成的终端组的通信序号发送给终端组中的每个终端，核心单元和每个终端均利用生成的通信序号获取第二秘钥信息；第一终端利用获得的第二秘钥信息经由核心单元与终端组中的其它终 端进行点对多点安全通信。通过本发明实施例技术方案，实现了点对多点安全通信，提高了点对多点通信的安全性，从而较好地满足了市场需求。

附图概述

图1为本发明实施例实现点对多点安全通信的方法的流程图；

图2为本发明实施例实现点对多点安全通信的系统的组成结构示意图。

本发明的较佳实施方式

下文中将结合附图对本发明实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1为本发明实施例实现点对多点安全通信的方法的流程图，包括：

步骤101：检测出终端组中的第一终端申请点对多点通信时，核心单元将生成的通信序号发送给终端组中的每个终端，核心单元和每个终端均利用核心单元生成的信息获取第二秘钥信息；所述核心单元生成的信息包括：通信序号。

在无线通信领域中，核心单元为核心网中的设置为每种消息处理的单元；终端为移动终端。

本步骤之前，本发明实施例方法还包括：

步骤100：检测出新增由两个或两个以上终端组成的终端组时，核心单元将为终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给终端组中的每个终端。

其中，检测新增终端组的具体实现，属于本领域技术人员的惯用技术手段，不用于限制本发明的保护范围，此处不再赘述

其中，第一秘钥信息是根据组标识和生成的随机数获取的。这里，可以 采用本领域技术公知的技术手段如C语言提供的随机函数，生成随机数。这里，获取第一秘钥信息包括：根据组标识和随机数，采用相关LTE协议中的秘钥派生函数(KDF，Key derivation function)获取第一秘钥信息。

其中，KDF根据秘钥(Key)输入参数和字节串(S)输入参数计算出秘钥输出参数即派生秘钥。其中，S由FC、P0、L0、P1、L1、P2和L2等参数组成。参考LTE协议，可知KDF的Key、S、组成S的每个参数、和派生秘钥的含义，此处不再赘述。

在采用KDF计算第一秘钥信息时，Key为组标识，FC为16，P0为随机数，L0为4，第一秘钥信息为派生秘钥。

步骤100中，将组标识等信息发送给终端组中的每个终端是以点对点安全通信的方式进行的。

其中，核心单元如何以点对点安全通信的方式向终端发送信息，是本领域技术人员公知的。

可选地，

通过步骤100将组标识等信息发送给每个终端之后，本发明实施例还包括：

终端接收组标识等信息，并通知核心单元接收到组标识等信息。其中，通知包括：以点对点安全通信的方式将用于确认接收到组标识等信息的消息发送给核心单元。

步骤101中，如何检测终端组中的第一终端申请点对多点通信，属于本领域技术人员的惯用技术手段，不用于限制本发明的保护范围，此处不再赘述。

在本实施例中，步骤101中的将通信序号发送给终端组中的每个终端包括：

核心单元以广播的方式向终端组中的每个终端发送包含用于指定公共广播信道的信道扰码、以及通信序号的组呼寻呼消息，并启动计数器。

当计数器等于预先设置的计数器阈值时，核心单元采用信道扰码在公共广播信道上广播用于指示终端获取第二秘钥信息的组呼配置消息；

终端接收到组呼寻呼消息时，采用组呼寻呼消息中的信道扰码监听公共广播信道，并保存呼寻呼消息中的通信序号。

其中，

公共广播信道是本领域技术人员公知的。以广播的方式向终端发送消息、采用信道扰码监听公共广播信道、以及采用信道扰码在公共广播信道上广播信息的具体实现，属于本领域技术人员的惯用技术手段，不用于限制本发明的保护范围，此处不再赘述。

步骤101中的通信序号，唯一代表一个终端组的一次点对多点通信，类似于点对点安全通信中的呼叫序号。本步骤中可参照相关点对点安全通信中生成呼叫序号的具体实现生成通信序号，此处不再赘述。

步骤101中核心单元生成的信息还包括：组标识、算法标识信息、第一秘钥信息；核心单元利用生成的信息获取第二秘钥信息包括：利用组标识、算法标识信息、第一秘钥信息和通信序号获取第二秘钥信息。

其中，算法标识信息至少包括加密安全秘钥算法标识和完保安全秘钥算法标识。第二秘钥信息至少包括加密安全秘钥和完保安全秘钥。

其中，加密安全秘钥算法用于指示采用哪种算法产生加密安全秘钥；完保安全秘钥算法标识用于指示采用哪种算法产生完保安全秘钥。加密安全秘钥主要用于实现保密性通信；完保安全秘钥主要用于实现完整性通信；也就是说，两者共同用于实现安全性通信。

上述步骤中获取第二秘钥信息包括：根据组标识、安全秘钥算法标识，第一秘钥信息和通信序号，采用KDF获取加密安全秘钥；以及根据组标识、完保秘钥算法标识、第一秘钥信息和通信序号，采用KDF获取完保安全秘钥。

在采用KDF获取加密安全秘钥时，Key为第一秘钥信息，FC为21，P0为1，L0为1，P1为安全秘钥算法标识，L1为1，P2为通信序号，L2为4，加密安全秘钥为派生秘钥。在采用KDF获取完保安全秘钥时，Key为第一秘钥信息，FC为21，P0为2，L0为1，P1为完保秘钥算法标识，L1为1，P2为通信序号，L2为4，完保安全秘钥为派生秘钥。其中，安全秘钥算法标识 和完保秘钥算法标识的取值范围均为0～3。

步骤101中核心单元生成的信息还包括：组标识、算法标识信息、第一秘钥信息；每个终端均利用核心单元生成的信息获取第二秘钥信息包括：每个终端均利用获得的组标识、第一秘钥信息、算法标识信息和通信序号获取第二秘钥信息。

本步骤与核心单元利用组标识、算法标识信息、第一秘钥信息和通信序号获取第二秘钥信息的具体实现相同，此处不再赘述。

需要说明的是，核心单元获得的第二秘钥信息和每个终端获得的第二秘钥信息一致。

本实施例中，当终端在监听的公共广播信道上接收到组呼配置消息时，每个终端执行获取第二秘钥信息的步骤。

步骤102：第一终端终端利用获得的第二秘钥信息经由核心单元与终端组中的其它终端进行点对多点安全通信。

本实施例中，步骤102中的进行点对多点通信包括：

第一终端采用第二秘钥信息对获得的待发送给每个终端的业务消息进行加密，并发送给核心单元；其中，业务消息中包括消息序号和第一终端发送给终端组中的其它终端的业务信息如语音信息或者图片信息，消息序号设置为第一终端产生的序号；

核心单元采用第二秘钥信息对接收到的第一终端加密后的业务消息进行解密，得到业务消息；将业务消息中的消息序号设置为核心单元产生的序号；采用第二秘钥信息对业务消息进行加密；采用信道扰码在公共广播信道上广播核心单元加密后的业务消息；

每个终端在监听的公共广播信道上接收核心单元加密后的业务消息，并采用第二秘钥信息进行解密，得到业务消息。

图2是本发明实施例实现点对多点安全通信的系统的组成结构示意图，包括核心单元和终端；其中，

核心单元包括检测单元、第一处理单元和第一秘钥获取单元；其中，

检测单元，设置为检测终端组中的一个终端是否申请点对多点通信；

第一秘钥获取单元，设置为利用来自第一处理单元的信息获取第二秘钥信息，所述来自第一处理单元的信息包括：通信序号；

第一处理单元，设置为当来自检测单元的检测结果为申请时，将生成的通信序号发送给终端组中的每个终端；以及利用来自第一秘钥获取单元的第二秘钥信息与每个终端进行安全通信；

可选地，

核心单元中的检测单元还设置为：检测是否新增由两个或两个以上终端组成的终端组。相应地，

核心单元中的第一秘钥获取单元还设置为：根据组标识和生成的随机数获取第一秘钥信息。

核心单元中的第一处理单元还设置为：当来自检测单元的检测结果是新增时，将终端组对应的组标识和算法标识信息、以及来自第一秘钥获取单元的第一秘钥信息发送给终端组中的每个终端。所述算法标识信息包括加密安全秘钥算法标识和完保安全秘钥算法标识；所述第二秘钥信息包括加密安全秘钥和完保安全秘钥。

所述第一处理单元，是设置为通过如下方式实现将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给所述终端组中的每个终端：

将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息以点对点安全通信的方式发送给所述终端组中的每个终端。

可选的，所述来自第一处理单元的信息还包括：组标识、算法标识信息、来自所述第一秘钥获取单元的第一秘钥信息；

第一秘钥获取单元，是设置为通过如下方式实现利用来自第一处理单元的信息获取第二秘钥信息：

利用组标识、算法标识信息、来自所述第一秘钥获取单元的第一秘钥信息、和来自所述第一处理单元的通信序号获取第二秘钥信息。

终端包括第二秘钥获取单元和第二处理单元；其中，

第二秘钥获取单元，设置为根据从核心单元获得的组标识、第一秘钥信息、算法标识信息和通信序号获取第二秘钥信息；

第二处理单元，设置为利用来自第二秘钥获取单元的第二秘钥信息与核心单元进行安全通信。

本发明实施例还提供了一种实现点对多点安全通信的系统，包括上述的核心单元和终端。

虽然本发明所揭露的实施方式如上所述，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

上述技术方案实现了点对多点安全通信，提高了点对多点通信的安全性，从而较好地满足了市场需求。

Claims (16)

1. 一种实现点对多点安全通信的方法，包括：

   当核心单元检测出终端组中的第一终端申请点对多点通信时，核心单元将生成的终端组的通信序号发送给终端组中的每个终端，核心单元和每个终端均利用核心单元生成的信息获取第二秘钥信息，所述核心单元生成的信息包括：通信序号；

   第一终端利用所述第二秘钥信息经由核心单元与终端组中的其它终端进行点对多点安全通信。
2. 根据权利要求1所述的方法，所述方法还包括：

   在核心单元检测出终端组中的第一终端申请点对多点通信之前，若核心单元检测出新增由两个或两个以上终端组成所述终端组时，核心单元将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给所述终端组中的每个终端。
3. 根据权利要求2所述的方法，其中，

   所述第一秘钥信息是根据所述组标识和生成的随机数获取的。
4. 根据权利要求2所述的方法，

   所述核心单元生成的信息还包括：组标识、算法标识信息、第一秘钥信息；

   所述核心单元利用生成的核心单元生成的信息获取第二秘钥信息包括：

   所述核心单元利用所述组标识、算法标识信息、第一秘钥信息和通信序号获取所述第二秘钥信息。
5. 根据权利要求2所述的方法，

   所述核心单元生成的信息还包括：组标识、算法标识信息、第一秘钥信息；

   所述每个终端均利用核心单元生成的信息获取第二秘钥信息包括：

   每个终端均利用获得的所述组标识、算法标识信息、第一秘钥信息和通 信序号获取所述第二秘钥信息。
6. 根据权利要求2所述的方法，其中，

   所述将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给所述终端组中的每个终端是以点对点安全通信的方式进行的。
7. 根据权利要求2所述的方法，其中，

   所述算法标识信息包括加密安全秘钥算法标识和完保安全秘钥算法标识；所述第二秘钥信息包括加密安全秘钥和完保安全秘钥。
8. 一种实现点对多点安全通信的核心单元，包括检测单元、第一处理单元和第一秘钥获取单元，其中，

   检测单元，设置为检测终端组中的一个终端是否申请点对多点通信；

   第一秘钥获取单元，设置为利用来自第一处理单元的信息获取第二秘钥信息，所述来自第一处理单元的信息包括：通信序号；

   第一处理单元，设置为当来自检测单元的检测结果为申请时，将生成的通信序号发送给终端组中的每个终端以及第一秘钥获取单元；以及利用来自第一秘钥获取单元的第二秘钥信息与每个终端进行安全通信。
9. 根据权利要求8所述的核心单元，

   所述检测单元还设置为：检测是否新增由两个或两个以上终端组成所述终端组；

   所述第一处理单元还设置为：当来自所述检测单元的检测结果是新增时，将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给所述终端组中的每个终端。
10. 根据权利要求9所述的核心单元，

    所述第一秘钥获取单元还设置为：根据所述组标识和生成的随机数获取所述第一秘钥信息。
11. 根据权利要求9所述的核心单元，

    所述来自第一处理单元的信息还包括：组标识、算法标识信息、来自所 述第一秘钥获取单元的第一秘钥信息；

    第一秘钥获取单元，是设置为通过如下方式实现利用来自第一处理单元的信息获取第二秘钥信息：

    利用组标识、算法标识信息、来自所述第一秘钥获取单元的第一秘钥信息、和来自所述第一处理单元的通信序号获取第二秘钥信息。
12. 根据权利要求9所述的核心单元，其中，

    所述算法标识信息包括加密安全秘钥算法标识和完保安全秘钥算法标识；所述第二秘钥信息包括加密安全秘钥和完保安全秘钥。
13. 根据权利要求9所述的核心单元，其中，

    所述第一处理单元，是设置为通过如下方式实现将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息发送给所述终端组中的每个终端：

    将为所述终端组预先设置的组标识和算法标识信息、以及获得的第一秘钥信息以点对点安全通信的方式发送给所述终端组中的每个终端。
14. 一种实现点对多点安全通信的终端，包括第二秘钥获取单元和第二处理单元，其中，

    第二秘钥获取单元，设置为根据从核心单元获得的组标识、第一秘钥信息、算法标识信息和通信序号获取第二秘钥信息；

    第二处理单元，设置为利用来自第二秘钥获取单元的第二秘钥信息与核心单元进行安全通信。
15. 一种实现点对多点安全通信的系统，包括权利要求8～13任一项所述的核心单元和权利要求14所述的终端。
16. 一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1～7中任一项所述的方法。

Images