WO2017012425A1 - 宽带集群系统的共享信道管理方法、系统、终端和基站 - Google Patents

Abstract

一种宽带集群系统的共享信道管理方法，该方法包括：在群组创建时，核心网为群组生成组根密钥，并将组根密钥下发给群组中的终端；在组呼建立时，基站接收核心网下发的组根密钥，及基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；基站根据组根密钥、组呼参数对组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；基站将加密后的组呼无线网络临时标识和组呼参数下发给群组中的终端，供终端根据组根密钥和组呼参数对接收的加密后的组呼无线网络临时标识进行解密。

Description

宽带集群系统的共享信道管理方法、系统、终端和基站 技术领域

本文涉及但不限于宽带集群通信系统技术领域，尤其涉及一种宽带集群系统的共享信道管理方法、系统、终端和基站。

背景技术

集群系统是为了满足行业用户指挥调度需求而开发的，面向特定行业应用的专用无线通信系统。集群系统是一种高效的无线通信系统，通过共享无线信道，以较少的无线信道数量支持大量的无线用户进行群组通信。目前，集群系统以模拟集群系统和窄带数字通信系统为主，能够提供的基本业务集中在语音和低速数据业务方面。

随着移动互联网的飞速发展，以及全球无线城市的大规模建设，宽带化成为整个无线通信发展的趋势，集群系统也向提供更大的信道容量，更多的业务类型，更高的数据带宽等方向发展。宽带集群系统就是在这种背景下，基于LTE(Long Term Evolution，长期演进)技术演进而来的。

LTE是3GPP(3rd Generation Partnership Project，第三代合作伙伴计划)长期演进项目，LTE网络采取扁平化的架构，eNB(evolved Node B，演进的基站)部署分散化，运营商无法对其实行安全集中控制。为了用户能安全地使用网络，以及网络向合法的用户提供服务，LTE中制订了安全管理的相关协议，以有效保护不同网元间信令流和媒体流数据的安全。

宽带集群系统继承了LTE的基本架构，宽带集群系统在提供组呼业务时，由于多个听用户是采取共享下行信道的方式，LTE中并没有针对这种共享信道制定安全管理的相关协议，存在一定的安全隐患。

上述内容仅用于辅助理解本发明实施例的技术方案，并不代表承认上述内容是现有技术。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求 的保护范围。

本发明实施例提供一种宽带集群系统的共享信道管理方法、系统、终端和基站，能够实现对共享信道进行加密，提高宽带集群系统的安全性。

本发明实施例提供一种宽带集群系统的共享信道管理方法，该方法包括：

在群组创建时，核心网为群组生成组根密钥，并将所述组根密钥下发给所述群组中的终端；

在组呼建立时，基站接收核心网下发的组根密钥，及所述基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；

所述基站根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；

所述基站将所述加密后的组呼无线网络临时标识和组呼参数下发给所述群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收的加密后的组呼无线网络临时标识进行解密。

可选地，所述基站为组呼共享信道分配组呼无线网络临时标识的步骤包括：

所述基站获取发起组呼的终端对应的组特征信息；

所述基站根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识。

可选地，所述组特征信息包括组标识信息；

所述基站所述根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识的步骤包括：

所述基站根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取所述终端设备对应的组标识信息对应的组呼无线网络临时标识，将获得的组呼无线网络临时标识作为组呼共享信道的组呼无线网络临时标识。

可选地，该方法还包括：

在满足更新触发条件时，所述核心网更新群组的组根密钥，并将更新后的组根密钥下发给所述群组中的终端。

本发明实施例还提出了一种宽带集群系统的共享信道管理方法，包括：

在群组创建时，核心网为群组生成组根密钥，并将所述组根密钥下发给所述群组中的终端；

在组呼建立时，核心网向基站下发生成的组根密钥。

可选的，该方法还包括：

在满足更新触发条件时，所述核心网更新群组的组根密钥，并将更新后的组根密钥下发给所述群组中的终端。

本发明实施例还提出了一种宽带集群系统的共享信道管理方法，包括：

在组呼建立时，基站接收核心网下发的组根密钥，及所述基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；

所述基站根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；

所述基站将所述加密后的组呼无线网络临时标识和组呼参数下发给所述群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收的加密后的组呼无线网络临时标识进行解密。

可选的，所述基站为组呼共享信道分配组呼无线网络临时标识的步骤包括：

所述基站获取发起组呼的终端对应的组特征信息；

所述基站根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识。

可选的，所述组特征信息包括组标识信息；

所述基站所述根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识的步骤包括：

所述基站根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取所述终端对应的组标识信息对应的组呼无线网络临时标识，将获得的组呼无线网络临时标识作为所述组呼共享信道的组呼无线网络临时标识。

本发明实施例还提供一种宽带集群系统的共享信道管理系统，所述系统 包括核心网和基站，其中：

所述核心网，设置为在群组创建时，为群组生成组根密钥，并将所述组根密钥下发给所述群组中的终端；在组呼建立时，向基站下发生成的组根密钥；

所述基站，设置为在组呼建立时，接收核心网下发的组根密钥，并生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；及用于根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；及用于将所述加密后的组呼无线网络临时标识和组呼参数下发给所述群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收加密后的组呼无线网络临时标识进行解密。

可选地，所述基站是设置为采用以下方式实现为组呼共享信道分配组呼无线网络临时标识：

获取发起组呼的终端对应的组特征信息，及根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识。

可选地，所述组特征信息包括组标识信息；

所述基站是设置为采用以下方式实现根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识：

根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取所述终端设备对应的组标识信息对应的组呼无线网络临时标识，将所述获取的组呼无线网络临时标识作为组呼共享信道的组呼无线网络临时标识。

可选地，所述核心网还设置为：在满足更新触发条件时，更新群组的组根密钥，并将更新后的组根密钥下发给所述群组中的终端。

本发明实施例还提供一种终端，所述终端包括：

交互模块，设置为在群组创建时，接收核心网下发的所述终端所属群组的组根密钥，以及，在组呼建立时，接收基站下发的组呼参数和加密后的组呼无线网络临时标识，所述加密后的组呼无线网络临时标识由所述基站根据组根密钥、组呼参数对所述基站生成的组呼无线网络临时标识进行加密生成；

解密模块，设置为根据所述组根密钥和组呼参数对所述接收的加密后的组呼无线网络临时标识进行解密；

解扰模块，设置为根据所述解密后的组呼无线网络临时标识对共享信道进行解扰，以使所述终端通过该共享信道进行通信。

本发明实施例还提供一种基站，所述基站包括：

接收模块，设置为在组呼建立时，接收核心网下发的组根密钥；

生成模块，设置为在组呼建立时，生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；

加密模块，设置为根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；

发送模块，设置为将所述加密后的组呼无线网络临时标识和组呼参数下发给群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收加密后的组呼无线网络临时标识进行解密。

本发明实施例的宽带集群系统的共享信道管理方法、系统、终端和基站，通过在群组创建时，核心网为群组生成组根密钥，并将所述组根密钥下发给所述群组中的终端；在组呼建立时，所述基站接收核心网下发的组根密钥，及所述基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；所述基站根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；所述基站将所述加密后的组呼无线网络临时标识和组呼参数下发给所述群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收的加密后的组呼无线网络临时标识进行解密；组根密钥由网络侧下发给终端，且仅在物理层对共享信道的组呼无线网络临时标识进行加密，对共享信道进行安全保护，对相关LTE安全协议架构改动较小，在终端侧的改动不涉及SIM卡的软件接口变化，容易做到向后兼容。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本发明宽带集群系统的共享信道管理方法的可选实施例的流程示意图；

图2为本发明实施例宽带集群系统的共享信道管理方法中在组呼建立时，为组呼共享信道分配组呼无线网络临时标识的详细流程示意图；

图3为本发明实施例另一宽带集群系统的共享信道管理方法的流程图；

图4为本发明实施例另一宽带集群系统的共享信道管理方法的流程图；

图5为本发明宽带集群系统的共享信道管理系统的可选实施例的结构示意图；

图6为本发明终端的可选实施例的结构示意图；

图7为本发明基站的可选实施例的结构示意图。

本发明的实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明宽带集群系统的共享信道管理方法的可选实施例的流程示意图，该方法包括：

S10、在群组创建时，核心网为群组生成组根密钥，并将该组根密钥下发给该群组中的终端。

在群组创建时，核心网为群组生成组根密钥Kg，每个群组的组根密钥Kg可以互不重复，以保证群组通信的私密性和安全性。

群组中的终端与核心网建立点到点的安全连接，终端使用保存在终端上的密钥K，与核心网建立NAS((Non Access Stratum，非接入层)和AS(Access Stratum，接入层)的安全通道。核心网通过安全通道将终端所属群组的组根密钥Kg下发给对应的终端；当一个终端属于多个群组时，该下发过程可能要进行多次，如当该终端属于群组1和群组2时，则该下发过程包括：第一个下发过程为将群组1对应的组根密钥下发给该终端，第二个下发过程为将群组2对应的组根密钥下发给该终端。

该组根密钥可以是一个数值，如12345；该组根密钥也可以是一个字符串，如Abc_de134；该组根密钥也可以是一个数组，如A[8,9,0,1]；该组根密钥也可以是带有多种含义的向量，如携带密钥值、固定的加密身份标识(ID，Identification)或多个可选的加密方法ID、校验码等的向量。该组根密钥可以直接使用随机数发生器生成，也可以使用组标识GID(Group Identification，群体身份)与随机数使用函数(如使用KDF(key derivation function，密钥派生函数))产生，也可以通过人工设置的方式生成，等等。

在群组创建后，通常情况下，该组根密钥一直保持不变，在涉及到组根密钥可能会泄露导致安全隐患时，例如当群组成员发生变化时，核心网可重新生成新的组根密钥，并将新生成的组根密钥下发给终端。

在该终端初始附着到核心网时，终端与核心网建立点到点的连接，应用单呼密钥架构，在终端通过核心网的认证鉴权，并成功激活安全模式之后，终端与核心网之间成功建立了点到点的NAS和AS安全通道，之后在核心网和终端之间传输的数据可以得到加密和完整性保护。核心网将该终端所属组的组根密钥Kg在组信息更新消息中加密发送给终端。终端保存收到的Kg，用于后续组呼建立时的具体安全管理过程。

其中，组信息更新消息还包括组标识GID。

S20、在组呼建立时，基站接收核心网下发的组根密钥，及该基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识。

该组呼参数Group Call Rand与组根密钥类似，组呼参数可以是一个数值，如567235；组呼参数也可以是一个字符串，如shgie_125？；该组呼参数也可是一个数组如A[8,9,0,1]；该组呼参数也可以是带有多种含义的向量，如携带随机数值、加密方法ID、校验码等的向量。该组呼参数可以直接由随机数发生器生成，也可以使用组标识GID与随机数使用函数产生，也可以通过人工设置的方式生成，等等。在每次组呼建立时，该组呼参数随机产生或人工生成。

在该步骤中，基站接收核心网下发的组根密钥，且该基站为组呼共享信道分配组呼无线网络临时标识(G-RNTI，Group Radio Network Temporary Identifier)，不同的组呼共享信道的组呼无线网络临时标识互不相同。该组呼 无线网络临时标识在网络侧用于物理层加扰，在终端侧用于物理层解扰。

S30、该基站根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识。

在该步骤中，该基站根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密时，可通过预设的加密算法，如通过KDF函数，将该组根密钥、组呼参数和该组呼无线网络临时标识派生出加密后的组呼无线网络临时标识，还可以通过其它现有的加密算法实现。

S40、该基站将该加密后的组呼无线网络临时标识和组呼参数下发给该群组中的终端，供该终端根据该组根密钥和组呼参数对该接收的加密后的组呼无线网络临时标识进行解密。

在该步骤中，该基站将该加密后的组呼无线网络临时标识和组呼参数通过空口寻呼消息下发给终端，终端根据接收到的组根密钥和组呼参数对接收的加密后的组呼无线网络临时标识进行解密，按照之前对组呼无线网络临时标识进行加密的逆过程，对该加密后的组呼无线网络临时标识进行解密，得到解密后的组呼无线网络临时标识，该解密后的组呼无线网络临时标识与网络侧生成的组呼无线网络临时标识相同；该终端根据该解密后的组呼无线网络临时标识对共享信道进行解扰，以使得该终端通过该共享信道进行通信。

可选的，该方法还包括：在满足更新触发条件时，该核心网更新群组的组根密钥，并将更新后的组根密钥下发给该群组中的终端。

该触发条件可以为群组中的成员发生变化或者安全周期达到，该安全周期可根据需要设置，如可将安全周期设置为10天，则每10天更新一次群组对应的组根密钥。通过该步骤更新群组的组根密钥，可避免由于组根密钥泄露而导致安全隐患的问题。

采用上述实施例，通过在群组创建时，为群组生成组根密钥，并将该组根密钥下发给该群组中的终端；在组呼建立时，基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；基站根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；基站将该加密后的组呼无线网络临时标识和组呼参数下发给该群组中的终端， 供该终端根据该组根密钥和组呼参数对该接收的加密后的组呼无线网络临时标识进行解密；组根密钥由网络侧下发给终端，且仅在物理层对共享信道的组呼无线网络临时标识进行加密，对共享信道进行安全保护，对相关LTE安全协议架构改动较小，在终端侧的改动不涉及客户识别模块(SIM，Subscriber Identity Module)卡的软件接口变化，容易做到向后兼容。

参照图2，图2为本发明实施例宽带集群系统的共享信道管理方法中在组呼建立时，该基站为组呼共享信道分配组呼无线网络临时标识的详细流程示意图，详述如下：

S21、在组呼建立时，该基站获取发起组呼的终端对应的组特征信息。

在组呼建立时，该基站可直接接收该发起组呼的终端主动发送过来的该发起组呼的终端对应的组特征信息，该基站也可以先向该发起组呼的终端发送组特征信息获取请求，然后接收该发起组呼的终端根据该组特征信息获取请求返回的该发起组呼的终端对应的组特征信息。

该组特征信息包括组标识信息，该组标识信息即为该终端所属组的组标识信息。

在一实施例中，在组呼建立时，可通过接收来自终端的无线资源控制RRC(Radio Resource Control)信令，从该无线资源控制RRC信令中提取该终端设备对应的组特征信息。

S22、该基站根据该组特征信息为该组呼共享信道分配组呼无线网络临时标识。

在该步骤中，该基站根据该组特征信息为该组呼共享信道分配组呼无线网络临时标识，如可根据该组特征信息由随机数发生器生成该组呼共享信道对应的组呼无线网络临时标识。不同的组呼共享信道的组呼无线网络临时标识互不相同。

当该组特征信息包括组标识信息时，该基站根据该组特征信息为该组呼共享信道分配组呼无线网络临时标识的步骤包括：该基站根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取该终端对应的组标识信息对 应的组呼无线网络临时标识，将该获得的组呼无线网络临时标识作为组呼共享信道的组呼无线网络临时标识。

该组标识信息与组呼无线网络临时标识的映射关系可由管理者预先设置，还可以适时的对该组标识信息与组呼无线网络临时标识的映射关系进行更新。在该步骤中，该基站在该组标识信息与组呼无线网络临时标识的映射关系中查找该获取的组标识信息，当该组标识信息与组呼无线网络临时标识的映射关系中存在该获取的组标识信息时，将该获取的组标识信息对应的组呼无线网络临时标识读取出来，作为组呼共享信道的组呼无线网络临时标识；当该组标识信息与组呼无线网络临时标识的映射关系中不存在该获取的组标识信息时，则重新为该获取的组标识信息生成一个新的组呼无线网络临时标识，作为组呼共享信道的组呼无线网络临时标识，并将该获取的组标识信息和新生成的组呼无线网络临时标识记录在组标识信息与组呼无线网络临时标识的映射关系中。

参照图3，本发明实施例还提出了一种宽带集群系统的共享信道管理方法，包括：

步骤300、在群组创建时，核心网为群组生成组根密钥，并将该组根密钥下发给该群组中的终端。

在群组创建时，核心网为群组生成组根密钥Kg，每个群组的组根密钥Kg可以互不重复，以保证群组通信的私密性和安全性。

群组中的终端与核心网建立点到点的安全连接，终端使用保存在终端上的密钥K，与核心网建立NAS((Non Access Stratum，非接入层)和AS(Access Stratum，接入层)的安全通道。核心网通过安全通道将终端所属群组的组根密钥Kg下发给对应的终端；当一个终端属于多个群组时，该下发过程可能要进行多次，如当该终端属于群组1和群组2时，则该下发过程包括：第一个下发过程为将群组1对应的组根密钥下发给该终端，第二个下发过程为将群组2对应的组根密钥下发给该终端。

该组根密钥可以是一个数值，如12345；该组根密钥也可以是一个字符串，如Abc_de134；该组根密钥也可以是一个数组，如A[8,9,0,1]；该组根密钥也可以是带有多种含义的向量，如携带密钥值、固定的加密身份标识(ID， Identification)或多个可选的加密方法ID、校验码等的向量。该组根密钥可以直接使用随机数发生器生成，也可以使用组标识GID(Group Identification，群体身份)与随机数使用函数(如使用KDF(key derivation function，密钥派生函数))产生，也可以通过人工设置的方式生成，等等。

在群组创建后，通常情况下，该组根密钥一直保持不变，在涉及到组根密钥可能会泄露导致安全隐患时，例如当群组成员发生变化时，核心网可重新生成新的组根密钥，并将新生成的组根密钥下发给终端。

在该终端初始附着到核心网时，终端与核心网建立点到点的连接，应用单呼密钥架构，在终端通过核心网的认证鉴权，并成功激活安全模式之后，终端与核心网之间成功建立了点到点的NAS和AS安全通道，之后在核心网和终端之间传输的数据可以得到加密和完整性保护。核心网将该终端所属组的组根密钥Kg在组信息更新消息中加密发送给终端。终端保存收到的Kg，用于后续组呼建立时的具体安全管理过程。

其中，组信息更新消息还包括GID。

步骤301、在组呼建立时，核心网向基站下发生成的组根密钥。

可选的，该方法还包括：在满足更新触发条件时，该核心网更新群组的组根密钥，并将更新后的组根密钥下发给该群组中的终端。

该触发条件可以为群组中的成员发生变化或者安全周期达到，该安全周期可根据需要设置，如可将安全周期设置为10天，则每10天更新一次群组对应的组根密钥。通过该步骤更新群组的组根密钥，可避免由于组根密钥泄露而导致安全隐患的问题。

参照图4，本发明实施例还提出了一种宽带集群系统的共享信道管理方法，包括：

步骤400、在组呼建立时，基站接收核心网下发的组根密钥，及该基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识。

该组呼参数Group Call Rand与组根密钥类似，组呼参数可以是一个数值，如567235；组呼参数也可以是一个字符串，如shgie_125？；该组呼参数也可是一个数组如A[8,9,0,1]；该组呼参数也可以是带有多种含义的向量，如携带 随机数值、加密方法ID、校验码等的向量。该组呼参数可以直接由随机数发生器生成，也可以使用组标识GID与随机数使用函数产生，也可以通过人工设置的方式生成，等等。在每次组呼建立时，该组呼参数随机产生或人工生成。

在该步骤中，基站接收核心网下发的组根密钥，且该基站为组呼共享信道分配组呼无线网络临时标识(G-RNTI，Group Radio Network Temporary Identifier)，不同的组呼共享信道的组呼无线网络临时标识互不相同。该组呼无线网络临时标识在网络侧用于物理层加扰，在终端侧用于物理层解扰。

本步骤中，基站为组呼共享信道分配组呼无线网络临时标识包括：

该基站获取发起组呼的终端对应的组特征信息；该基站根据该组特征信息为该组呼共享信道分配组呼无线网络临时标识。

在组呼建立时，该基站可直接接收该发起组呼的终端主动发送过来的该发起组呼的终端对应的组特征信息，该基站也可以先向该发起组呼的终端发送组特征信息获取请求，然后接收该发起组呼的终端根据该组特征信息获取请求返回的该发起组呼的终端对应的组特征信息。

该组特征信息包括组标识信息，该组标识信息即为该终端所属组的组标识信息。

在一实施例中，在组呼建立时，可通过接收来自终端的无线资源控制RRC(Radio Resource Control)信令，从该无线资源控制RRC信令中提取该终端设备对应的组特征信息。

该基站根据该组特征信息为该组呼共享信道分配组呼无线网络临时标识，如可根据该组特征信息由随机数发生器生成该组呼共享信道对应的组呼无线网络临时标识。不同的组呼共享信道的组呼无线网络临时标识互不相同。

当该组特征信息包括组标识信息时，该基站根据该组特征信息为该组呼共享信道分配组呼无线网络临时标识的步骤包括：该基站根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取该终端对应的组标识信息对应的组呼无线网络临时标识，将该获得的组呼无线网络临时标识作为组呼共享信道的组呼无线网络临时标识。

该组标识信息与组呼无线网络临时标识的映射关系可由管理者预先设置，还可以适时的对该组标识信息与组呼无线网络临时标识的映射关系进行更新。在该步骤中，该基站在该组标识信息与组呼无线网络临时标识的映射关系中查找该获取的组标识信息，当该组标识信息与组呼无线网络临时标识的映射关系中存在该获取的组标识信息时，将该获取的组标识信息对应的组呼无线网络临时标识读取出来，作为组呼共享信道的组呼无线网络临时标识；当该组标识信息与组呼无线网络临时标识的映射关系中不存在该获取的组标识信息时，则重新为该获取的组标识信息生成一个新的组呼无线网络临时标识，作为组呼共享信道的组呼无线网络临时标识，并将该获取的组标识信息和新生成的组呼无线网络临时标识记录在组标识信息与组呼无线网络临时标识的映射关系中。

步骤401、该基站根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识。

在该步骤中，该基站根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密时，可通过预设的加密算法，如通过KDF函数，将该组根密钥、组呼参数和该组呼无线网络临时标识派生出加密后的组呼无线网络临时标识，还可以通过其它现有的加密算法实现。

步骤402、该基站将该加密后的组呼无线网络临时标识和组呼参数下发给该群组中的终端，供该终端根据该组根密钥和组呼参数对该接收的加密后的组呼无线网络临时标识进行解密。

在该步骤中，该基站将该加密后的组呼无线网络临时标识和组呼参数通过空口寻呼消息下发给终端，终端根据接收到的组根密钥和组呼参数对接收的加密后的组呼无线网络临时标识进行解密，按照之前对组呼无线网络临时标识进行加密的逆过程，对该加密后的组呼无线网络临时标识进行解密，得到解密后的组呼无线网络临时标识，该解密后的组呼无线网络临时标识与网络侧生成的组呼无线网络临时标识相同；该终端根据该解密后的组呼无线网络临时标识对共享信道进行解扰，以使得该终端通过该共享信道进行通信。

本发明实施例还提出了一种计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行上述描述的任意一个方法。

参照图5，图5为本发明宽带集群系统的共享信道管理系统的可选实施例的结构示意图，该系统包括核心网10和基站20，其中：

该核心网10，设置为在群组创建时，为群组生成组根密钥，并将该组根密钥下发给群组中的终端；在组呼建立时，向该基站20下发生成的组根密钥；

该基站20，设置为在组呼建立时，接收核心网下发的组根密钥，并生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；及设置为根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；及设置为将该加密后的组呼无线网络临时标识和组呼参数下发给该群组中的终端，供该终端根据该组根密钥和组呼参数对该接收加密后的组呼无线网络临时标识进行解密。

在群组创建时，核心网10为群组生成组根密钥Kg，每个群组的组根密钥Kg可以互不重复，以保证群组通信的私密性和安全性。

群组中的终端与核心网10建立点到点的安全连接，终端使用保存在终端上的密钥K，与核心网10建立NAS((Non Access Stratum，非接入层)和AS(Access Stratum，接入层)的安全通道。核心网10通过安全通道将终端所属群组的组根密钥Kg下发给对应的终端；当一个终端属于多个群组时，该下发过程可能要进行多次，如当该终端属于群组1和群组2时，则该下发过程包括：第一个下发过程为将群组1对应的组根密钥下发给该终端，第二个下发过程为将群组2对应的组根密钥下发给该终端。

该组根密钥可以是一个数值，如12345；该组根密钥也可以是一个字符串，如Abc_de134；该组根密钥也可以是一个数组，如A[8,9,0,1]；该组根密钥也可以是带有多种含义的向量，如携带密钥值、固定的加密ID或多个可选的加密方法ID、校验码等的向量。该组根密钥可以直接使用随机数发生器生成，也可以使用组标识GID(Group Identification，GID，群体身份，)与随机数使用函数(如使用KDF函数，(key derivation function，密钥推导函数))产生，也可以通过人工设置的方式生成，等等。

在群组创建后，通常情况下，该组根密钥一直保持不变，在涉及到组根密钥可能会泄露导致安全隐患时，例如当群组成员发生变化时，核心网10可重新生成新的组根密钥，并将新生成的组根密钥下发给终端。

在该终端初始附着到核心网10时，终端与核心网10建立点到点的连接，应用单呼密钥架构，在终端通过核心网10的认证鉴权，并成功激活安全模式之后，终端与核心网10之间成功建立了点到点的NAS和AS安全通道，之后在核心网10和终端之间传输的数据可以得到加密和完整性保护。核心网10将该终端所属组的组根密钥Kg在组信息更新消息中加密发送给终端。终端保存收到的Kg，用于后续组呼建立时的具体安全管理过程。

该组呼参数Group Call Rand与组根密钥类似，组呼参数可以是一个数值，如567235；组呼参数也可以是一个字符串，如shgie_125？；该组呼参数也可是一个数组如A[8,9,0,1]；该组呼参数也可以是带有多种含义的向量，如携带随机数值、加密方法ID、校验码等的向量。该组呼参数可以直接由随机数发生器生成，也可以使用组标识GID与随机数使用函数产生，也可以通过人工设置的方式生成，等等。在每次组呼建立时，该组呼参数随机产生或人工生成。

该基站20在组呼建立时，接收核心网下发的组根密钥，且为组呼共享信道分配组呼无线网络临时标识G-RNTI，不同的组呼共享信道的组呼无线网络临时标识互不相同。该组呼无线网络临时标识在系统侧用于物理层加扰，在终端侧用于物理层解扰。

该基站20根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密时，可通过预设的加密算法，如通过KDF函数，将该该组根密钥、组呼参数和该组呼无线网络临时标识派生出加密后的组呼无线网络临时标识，还可以通过其它现有的加密算法。

该基站20还将该加密后的组呼无线网络临时标识和组呼参数通过空口寻呼消息下发给终端，终端根据接收到的组根密钥和组呼参数对接收的加密后的组呼无线网络临时标识进行解密，按照之前对组呼无线网络临时标识进行加密的逆过程，对该加密后的组呼无线临时标识进行解密，得到解密后的组呼无线网络临时标识，该解密后的组呼无线网络临时标识与系统侧生成的组呼无线网络临时标识相同；该终端根据该解密后的组呼无线网络临时标识对共享信道进行解扰，以使得该终端通过该共享信道进行通信。

可选的，该核心网10还设置为在满足更新触发条件时，更新群组的组根 密钥，并将更新后的组根密钥下发给该群组中的终端。

该触发条件可以为群组中的成员发生变化或者安全周期达到，该安全周期可根据需要设置，如可将安全周期设置为10天，则每10天更新一次群组对应的组根密钥。通过该核心网10更新群组的组根密钥，可避免由于组根密钥泄露而导致安全隐患的问题。

可选的，该基站20是设置为采用以下方式实现为组呼共享信道分配组呼无线网络临时标识：获取发起组呼的终端对应的组特征信息，及根据该组特征信息为该组呼共享信道分配组呼无线网络临时标识。

在组呼建立时，该基站20可直接接收该发起组呼的终端主动发送过来的该发起组呼的终端对应的组特征信息，也可以先向该发起组呼的终端发送组特征信息获取请求，然后接收该发起组呼的终端根据该组特征信息获取请求返回的该发起组呼的终端对应的组特征信息。

该组特征信息包括组标识信息，该组标识信息即为该终端所属组的组标识信息。

在一实施例中，在组呼建立时，该基站20可通过接收来自终端的无线资源控制RRC(Radio Resource Control)信令，从该无线资源控制RRC信令中提取该终端设备对应的组特征信息。

该基站20根据该组特征信息为该组呼共享信道分配组呼无线网络临时标识，如可根据该组特征信息由随机数发生器生成该组呼共享信道对应的组呼无线网络临时标识。不同的组呼共享信道的组呼无线网络临时标识互不相同。

当该组特征信息包括组标识信息时，该基站20是设置为采用以下方式实现根据组特征信息为组呼共享信道分配组呼无线网络临时标识：根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取该终端设备对应的组标识信息对应的组呼无线网络临时标识，将该获取的组呼无线网络临时标识作为组呼共享信道的组呼无线网络临时标识。

该组标识信息与组呼无线网络临时标识的映射关系可由管理者预先设置，还可以适时的对该组标识信息与组呼无线网络临时标识的映射关系进行 更新。该基站20在该组标识信息与组呼无线网络临时标识的映射关系中查找该获取的组标识信息，当该组标识信息与组呼无线网络临时标识的映射关系中存在该获取的组标识信息时，将该获取的组标识信息对应的组呼无线网络临时标识读取出来，作为组呼共享信道的无线网络临时标识；当该组标识信息与组呼无线网络临时标识的映射关系中不存在该获取的组标识信息时，则重新为该获取的组标识信息生成一个新的组呼无线网络临时标识，作为组呼共享信道的组呼无线网络临时标识，并将该获取的组标识信息和新生成的组呼无线网络临时标识记录在组标识信息与组呼无线网络临时标识的映射关系中。

参照图6，图6为本发明的终端的可选实施例的结构示意图，该终端包括：

交互模块31，设置为接收核心网下发的该终端所属群组的组根密钥，以及，在组呼建立时，接收基站下发的组呼参数和加密后的组呼无线网络临时标识，该加密后的组呼无线网络临时标识由该基站根据组根密钥、组呼参数对该基站生成的组呼无线网络临时标识进行加密生成；

解密模块32，设置为根据该组根密钥和组呼参数对该接收的加密后的组呼无线网络临时标识进行解密；

解扰模块33，设置为根据该解密后的组呼无线网络临时标识对共享信道进行解扰，以使该终端通过该共享信道进行通信。

在群组创建时，核心网为群组生成组根密钥Kg，每个群组的组根密钥Kg可以互不重复，以保证群组通信的私密性和安全性。

群组中的终端与核心网建立点到点的安全连接，终端使用保存在终端上的密钥K，与核心网建立NAS((Non Access Stratum，非接入层)和AS(Access Stratum，接入层)的安全通道。核心网通过安全通道将终端所属群组的组根密钥Kg下发给对应的终端；当一个终端属于多个群组时，该下发过程可能要进行多次，如当该终端属于群组1和群组2时，则该下发过程包括：第一个下发过程为将群组1对应的组根密钥下发给该终端，第二个下发过程为将群 组2对应的组根密钥下发给该终端。

该终端通过交互模块31接收核心网下发的组根密钥。

该组根密钥Kg可以是一个数值，如12345；该组根密钥也可以是一个字符串，如Abc_de134；该组根密钥也可以是一个数组，如A[8,9,0,1]；该组根密钥也可以是带有多种含义的向量，如携带密钥值、固定的加密ID或多个可选的加密方法ID、校验码等的向量。该组根密钥Kg可以直接使用随机数发生器生成，也可以使用组标识GID(Group Identification，GID，群体身份，)与随机数使用函数(如使用KDF函数，(key derivation function，密钥推导函数))产生，也可以通过人工设置的方式生成，等等。

在群组创建后，通常情况下，该组根密钥一直保持不变，在涉及到组根密钥可能会泄露导致安全隐患时，例如当群组成员发生变化时，该核心网可重新生成新的组根密钥，并将新生成的组根密钥下发给终端。

在该终端初始附着到核心网时，终端与核心网建立点到点的连接，应用单呼密钥架构，在终端通过核心网的认证鉴权，并成功激活安全模式之后，终端与核心网之间成功建立了点到点的NAS和AS安全通道，之后在核心网和终端之间传输的数据可以得到加密和完整性保护。核心网将该终端所属组的组根密钥在组信息更新消息中加密发送给终端。终端保存收到的，用于后续组呼建立时的具体安全管理过程。

该组呼参数Group Call Rand与组根密钥Kg类似，组呼参数可以是一个数值，如567235；组呼参数也可以是一个字符串，如shgie_125？；该组呼参数也可是一个数组如A[8,9,0,1]；该组呼参数也可以是带有多种含义的向量，如携带随机数值、加密方法ID、校验码等的向量。该组呼参数可以直接由随机数发生器生成，也可以使用组标识GID与随机数使用函数产生，也可以通过人工设置的方式生成，等等。在每次组呼建立时，该组呼参数随机产生或人工生成。该终端的交互模块31接收该基站下发的组呼参数。

基站为组呼共享信道分配组呼无线网络临时标识G-RNTI，不同的组呼共享信道的组呼无线网络临时标识互不相同。该组呼无线网络临时标识在系统侧用于物理层加扰，在终端侧用于物理层解扰。

基站根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密生成加密后的组呼无线网络临时标识，该基站在根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密时，可通过预设的加密算法，如通过KDF函数，将该该组根密钥、组呼参数和该组呼无线网络临时标识派生出加密后的组呼无线网络临时标识，还可以通过其它现有的加密算法。该终端通过交互模块31接收该基站下发的加密后的组呼无线网络临时标识。

该解密模块32根据该组根密钥和组呼参数对该接收的加密后的组呼无线网络临时标识进行解密，按照基站之前对组呼无线网络临时标识进行加密的逆过程，对该加密后的组呼无线网络临时标识进行解密，得到解密后的组呼无线网络临时标识，该解密后的组呼无线网络临时标识与基站生成的组呼无线网络临时标识相同。

该解扰模块33根据该解密后的组呼无线网络临时标识对共享信道进行解扰，以使得该终端通过该共享信道进行通信。

参照图7，图7为本发明基站的可选实施例的结构示意图，该基站包括：

接收模块21，设置为在组呼建立时，接收核心网下发的组根密钥；

生成模块22，设置为在组呼建立时，生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；

加密模块23，设置为根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；

发送模块24，设置为将该加密后的组呼无线网络临时标识和组呼参数下发给群组中的终端，供该终端根据该组根密钥和组呼参数对该接收加密后的组呼无线网络临时标识进行解密。

该组根密钥由核心网生成，该核心网在群组创建时，为群组生成组根密钥Kg，每个群组的组根密钥Kg可以互不重复，以保证群组通信的私密性和安全性。该核心网在组呼建立时，向基站下发该创建的组根密钥。

该组根密钥Kg可以是一个数值，如12345；该组根密钥也可以是一个字符串，如Abc_de134；该组根密钥也可以是一个数组，如A[8,9,0,1]；该组 根密钥Kg也可以是带有多种含义的向量，如携带密钥值、固定的加密ID或多个可选的加密方法ID、校验码等的向量。该组根密钥可以直接使用随机数发生器生成，也可以使用组标识GID(Group Identification，GID，群体身份，)与随机数使用函数(如使用KDF函数，(key derivation function，密钥推导函数))产生，也可以通过人工设置的方式生成，等等。

在群组创建后，通常情况下，该组根密钥Kg一直保持不变，在涉及到组根密钥可能会泄露导致安全隐患时，例如当群组成员发生变化时，可重新生成新的组根密钥Kg，并将新生成的组根密钥下发给终端。

该组呼参数Group Call Rand与组根密钥类似，组呼参数可以是一个数值，如567235；组呼参数也可以是一个字符串，如shgie_125？；该组呼参数也可是一个数组如A[8,9,0,1]；该组呼参数也可以是带有多种含义的向量，如携带随机数值、加密方法ID、校验码等的向量。该组呼参数可以直接由随机数发生器生成，也可以使用组标识GID与随机数使用函数产生，也可以通过人工设置的方式生成，等等。在每次组呼建立时，该组呼参数随机产生或人工生成。

该生成模块22为组呼共享信道分配组呼无线网络临时标识G-RNTI，不同的组呼共享信道的组呼无线网络临时标识互不相同。该组呼无线网络临时标识在系统侧用于物理层加扰，在终端侧用于物理层解扰。

该加密模块23根据该组根密钥、组呼参数对该组呼无线网络临时标识进行加密时，可通过预设的加密算法，如通过KDF函数，将该该组根密钥、组呼参数和该组呼无线网络临时标识派生出加密后的组呼无线网络临时标识，还可以通过其它现有的加密算法。

该发送模块24将该加密后的组呼无线网络临时标识和组呼参数通过空口寻呼消息下发给终端，终端根据接收到的组根密钥和组呼参数对接收的加密后的组呼无线网络临时标识进行解密，按照之前对组呼无线网络临时标识进行加密的逆过程，对该加密后的组呼无线网络临时标识进行解密，得到解密后的组呼无线网络临时标识，该解密后的组呼无线网络临时标识与系统侧(基站)生成的组呼无线网络临时标识相同；该终端根据该解密后的组呼无线网络临时标识对共享信道进行解扰，以使得该终端通过该共享信道进行通 信。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软件功能模块的形式实现，例如通过处理器执行存储与存储器中的程序/指令来实现其相应功能。本发明不限于任何特定形式的硬件和软件的结合。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

工业实用性

上述技术方案实现了对共享信道进行加密，提高了宽带集群系统的安全性。

Claims (15)

1. 一种宽带集群系统的共享信道管理方法，该方法包括：

   在群组创建时，核心网为群组生成组根密钥，并将所述组根密钥下发给所述群组中的终端；

   在组呼建立时，基站接收核心网下发的组根密钥，及所述基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；

   所述基站根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；

   所述基站将所述加密后的组呼无线网络临时标识和组呼参数下发给所述群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收的加密后的组呼无线网络临时标识进行解密。
2. 如权利要求1所述的宽带集群系统的共享信道管理方法，其中，所述基站为组呼共享信道分配组呼无线网络临时标识的步骤包括：

   所述基站获取发起组呼的终端对应的组特征信息；

   所述基站根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识。
3. 如权利要求2所述的宽带集群系统的共享信道管理方法，其中，所述组特征信息包括组标识信息；

   所述基站所述根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识的步骤包括：

   所述基站根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取所述终端对应的组标识信息对应的组呼无线网络临时标识，将获得的组呼无线网络临时标识作为所述组呼共享信道的组呼无线网络临时标识。
4. 如权利要求1至3任一项所述的宽带集群系统的共享信道管理方法，该方法还包括：

   在满足更新触发条件时，所述核心网更新群组的组根密钥，并将更新后的组根密钥下发给所述群组中的终端。
5. 一种宽带集群系统的共享信道管理方法，包括：

   在群组创建时，核心网为群组生成组根密钥，并将所述组根密钥下发给所述群组中的终端；

   在组呼建立时，核心网向基站下发生成的组根密钥。
6. 根据权利要求5所述的宽带集群系统的共享信道管理方法，该方法还包括：

   在满足更新触发条件时，所述核心网更新群组的组根密钥，并将更新后的组根密钥下发给所述群组中的终端。
7. 一种宽带集群系统的共享信道管理方法，包括：

   在组呼建立时，基站接收核心网下发的组根密钥，及所述基站生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；

   所述基站根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；

   所述基站将所述加密后的组呼无线网络临时标识和组呼参数下发给所述群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收的加密后的组呼无线网络临时标识进行解密。
8. 如权利要求7所述的宽带集群系统的共享信道管理方法，其中，所述基站为组呼共享信道分配组呼无线网络临时标识的步骤包括：

   所述基站获取发起组呼的终端对应的组特征信息；

   所述基站根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识。
9. 如权利要求8所述的宽带集群系统的共享信道管理方法，其中，所述组特征信息包括组标识信息；

   所述基站所述根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识的步骤包括：

   所述基站根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取所述终端对应的组标识信息对应的组呼无线网络临时标识，将获得的组 呼无线网络临时标识作为所述组呼共享信道的组呼无线网络临时标识。
10. 一种宽带集群系统的共享信道管理系统，所述系统包括核心网和基站，其中：

    所述核心网，设置为在群组创建时，为群组生成组根密钥，并将所述组根密钥下发给所述群组中的终端；在组呼建立时，向基站下发生成的组根密钥；

    所述基站，设置为在组呼建立时，接收核心网下发的组根密钥，并生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；及用于根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；及用于将所述加密后的组呼无线网络临时标识和组呼参数下发给所述群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收加密后的组呼无线网络临时标识进行解密。
11. 如权利要求10所述的宽带集群系统的共享信道管理系统，其中，所述基站是设置为采用以下方式实现为组呼共享信道分配组呼无线网络临时标识：

    获取发起组呼的终端对应的组特征信息，及根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识。
12. 如权利要求11所述的宽带集群系统的共享信道管理系统，其中，所述组特征信息包括组标识信息；

    所述基站是设置为采用以下方式实现根据所述组特征信息为所述组呼共享信道分配组呼无线网络临时标识：

    根据预设的组标识信息与组呼无线网络临时标识的映射关系，获取所述终端设备对应的组标识信息对应的组呼无线网络临时标识，将所述获取的组呼无线网络临时标识作为组呼共享信道的组呼无线网络临时标识。
13. 如权利要求10至12任一项所述的宽带集群系统的共享信道管理系统，所述核心网还设置为：

    在满足更新触发条件时，更新群组的组根密钥，并将更新后的组根密钥下发给所述群组中的终端。
14. 一种终端，所述终端包括：

    交互模块，设置为在群组创建时，接收核心网下发的所述终端所属群组的组根密钥，以及，在组呼建立时，接收基站下发的组呼参数和加密后的组呼无线网络临时标识，所述加密后的组呼无线网络临时标识由所述基站根据组根密钥、组呼参数对所述基站生成的组呼无线网络临时标识进行加密生成；

    解密模块，设置为根据所述组根密钥和组呼参数对所述接收的加密后的组呼无线网络临时标识进行解密；

    解扰模块，设置为根据所述解密后的组呼无线网络临时标识对共享信道进行解扰，以使所述终端通过该共享信道进行通信。
15. 一种基站，所述基站包括：

    接收模块，设置为在组呼建立时，接收核心网下发的组根密钥；

    生成模块，设置为在组呼建立时，生成组呼参数及为组呼共享信道分配组呼无线网络临时标识；

    加密模块，设置为根据所述组根密钥、组呼参数对所述组呼无线网络临时标识进行加密，生成加密后的组呼无线网络临时标识；

    发送模块，设置为将所述加密后的组呼无线网络临时标识和组呼参数下发给群组中的终端，供所述终端根据所述组根密钥和组呼参数对所述接收加密后的组呼无线网络临时标识进行解密。

Images