群组通信空口安全控制的方法、装置和系统制造方法及图纸

本发明专利技术提出一种群组通信中空口安全控制方法，包括：为每个群组配置密钥，用于衍生所述群组的UE侧密钥和基站侧密钥，所述UE侧密钥是UE侧用于生成信令加密以及数据加密和/或信令完整性保护的密钥的输入密钥，所述基站侧密钥是基站侧用于生成信令加密以及数据加密和/或信令完整性保护的密钥的输入密钥；在UE集群注册过程中，核心网下发所述UE所在群组的UE侧密钥给所述UE；在组呼建立过程中，所述核心网下发所述群组的基站侧密钥给所述群组下各UE所在的eNB。本发明专利技术可以群组通信的控制面和用户面进行加解密处理和信令完整性保护，使集群群组通信安全可靠。

【技术实现步骤摘要】

本专利技术涉及集群通信领域，尤其涉及群组通信空口安全控制的方法、装置和系统。
技术介绍
集群通信系统，目前已成为除了公众移动通信系统之外的一个至关重要的专用通信系统。由于它所具有的指挥调度和应急的特点(如一键式对讲、紧急呼叫以及多组调度等)，因此已在包括军队、机场、公安、铁路以及电力等多个重要的行业得到了广泛的应用。随着集群技术的发展，集群通信系统从模拟集群向数字集群发展，窄带集群向宽带集群发展。无线宽带多媒体集群是指基于宽带无线通信技术，采用多媒体业务形式，以指挥调度功能为主的专用无线通信系统，简称宽带集群。随着LTE的标准化和商用，LTE已经越来越成为宽带通信关注点。利用LTE系统做专网宽带集群也是必然发展趋势。目前LTE系统中只能针对连接态用户且单播业务基于USIM卡中的永久密钥进行加密解密处理。而在B-TrunC中提到的端到端加密也只是针对业务数据进行加密，不对控制面数据进行加密。
技术实现思路
针对上述问题，本专利技术提出一种群组通信中空口安全控制方法，包括：为每个群组配置密钥，用于衍生所述群组的UE侧密钥和基站侧密钥，所述UE侧密钥是UE侧用于生成信令加密以及数据加密和/或信令完整性保护的密钥的输入密钥，所述基站侧密钥是基站侧用于生成信令加密以及数据加密和/或信令完整性保护的密钥的输入密钥；在UE集群注册过程中，核心网下发所述UE所在群组的UE侧密钥给所述UE；在组呼建立过程中，所述核心网下发所述群组的基站侧密钥给所述群组下各UE所在的eNB。优选的，还包括：在组呼建立过程中，所述核心网还下发所述群组的Group Id、NAS层加密算法和信令完整性保护算法给所述eNB；所述eNB下发AS层加密算法、NAS层加密算法和信令完整性保护算法给所述群组的UE；所述群组的UE接收后，衍生出NAS层密钥和AS层密钥，并激活NAS层安全机制和AS层安全机制。进一步的，所述NAS层安全机制和AS层安全机制被激活后，所述eNB下发的RRC消息进行AS加密和完整性保护，其中包含的NAS消息进行NAS层加密和完整性保护；所述UE接收空口加密的组呼数据。优选的，所述UE侧密钥为永久密钥Group K、中间密钥Group KASME或中间密钥Group CK/Group IK，所述基站侧密钥为Group KeNB。进一步的，当所述UE侧密钥为永久密钥Group K时，所述核心网还下发用于生成信令加密以及数据加密和/或信令完整性保护的密钥的随机数RAND和认证令牌AUTN。当所述UE侧密钥为中间密钥Group CK/Group IK时，所述核心网还下发用于生成信令加密以及数据加密和/或信令完整性保护的密钥的认证令牌AUTN；更进一步的，所述核心网还下发随机数RAND，用于UE侧对核心网进行合法性认证。基于相同的构思，本专利技术还提出一种用于上述方法的核心网侧装置，包括：配置模块，用于为每个群组配置密钥，所述密钥用于衍生所述群组的UE侧密钥和基站侧密钥；下发模块，用于在UE集群注册过程中，下发所述UE所在群组的UE侧密钥给所述UE；在组呼建立过程中，下发所述群组的基站侧密钥、所述群组的Group Id、NAS层加密算法和信令完整性保护算法给所述群组下各UE所在的eNB。进一步的，当所述UE侧密钥为永久密钥Group K时，所述下发模块还下发用于生成信令加密、数据加密和/或信令完整性保护的密钥的随机数RAND和认证令牌AUTN。当所述UE侧密钥为中间密钥Group CK/Group IK时，所述下发模块还下发用于生成信令加密以及数据加密和/或信令完整性保护的密钥的认证令牌AUTN。基于相同的构思，本专利技术还提出一种用于上述方法的eNB装置，包括：接收模块，用于在组呼建立过程中接收核心网侧下发的所述群组的基站侧密钥和所述群组的Group Id、NAS层加密算法和信令完整性保护算法；下发模块，用于在组呼建立过程中下发AS层加密算法、NAS层加密算法和信令完整性保
护算法给所述群组的UE；安全处理模块，用于在组呼NAS层安全机制和AS层安全机制被激活后，对下发的RRC消息进行AS加密和完整性保护，对其中包含的NAS消息进行NAS层加密和完整性保护。基于相同的构思，本专利技术还提出一种用于上述方法的UE装置，包括：接收模块，用于在集群注册过程中接收网络侧下发的其所在群组的UE侧密钥；在组呼建立过程中接收网络侧下发的AS层加密算法、NAS层加密算法和信令完整性保护算法；安全管理模块，用于衍生NAS层密钥和AS层密钥，激活NAS层安全机制和AS层安全机制；解密模块，用于在所述NAS层安全机制和AS层安全机制被激活后，对接收到的空口加密的组呼数据进行解密处理。最后，本专利技术提出一种用于上述方法的系统，包括如上所述的核心网侧装置、eNB装置和UE装置。本专利技术对群组通信的控制面和用户面均进行了加密解密处理，使群组通信安全可靠。附图说明下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例1的群组通信空口安全控制信令流程图；图2为本专利技术实施例2的群组通信空口安全控制信令流程图；图3为本专利技术实施例3的群组通信空口安全控制信令流程图；图4为本专利技术提出的核心网侧装置功能结构示意图；图5为本专利技术提出的eNB装置功能结构示意图；图6为本专利技术提出的UE装置功能结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例；需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得
的所有其他实施例，都属于本专利技术保护的范围。本专利技术提出了一种群组通信中空口安全控制方法，包括：为每个群组配置密钥，用于衍生所述群组的UE侧密钥和基站侧密钥；所述UE侧密钥是UE侧用于生成信令加密以及数据加密和/或信令完整性保护的密钥的输入密钥，所述基站侧密钥是基站侧用于生成信令加密、数据加密和/或信令完整性保护的密钥的输入密钥；在UE集群注册过程中，所述核心网下发所述UE所在群组的UE侧密钥给所述UE；在组呼建立过程中，所述核心网下发所述群组的基站侧密钥给所述群组下各UE所在的eNB。进一步的，在组呼建立过程中，所述核心网还下发所述群组的Group Id、NAS层加密算法和信令完整性保护算法给所述eNB；所述eNB下发AS层加密算法、NAS层加密算法和信令完整性保护算法给所述群组的UE；所述群组的UE接收后，衍生出NAS层密钥和AS层密钥，并激活NAS层安全机制和AS层安全机制。在所述NAS层安全机制和AS层安全机制被激活后，所述eNB下发的RRC消息进行AS加密和完整性保护，其中包含的NAS消息进行NAS层加密和完整性保护；所述UE接收空口加密的组呼数据。其中，UE侧密钥可以是永久密钥Group K、或者中间密钥Group KASME，也可以是中间密钥Group CK/Group IK；基站侧密钥为Group K本文档来自技高网...

【技术保护点】
一种群组通信中空口安全控制方法，其特征在于，包括：为每个群组配置密钥，用于衍生所述群组的UE侧密钥和基站侧密钥；所述UE侧密钥是UE侧用于生成信令加密、数据加密和/或信令完整性保护的密钥的输入密钥，所述基站侧密钥是基站侧用于生成信令加密、数据加密和/或信令完整性保护的密钥的输入密钥；在UE集群注册过程中，所述核心网下发所述UE所在群组的UE侧密钥给所述UE；在组呼建立过程中，所述核心网下发所述群组的基站侧密钥给所述群组下各UE所在的eNB。

【技术特征摘要】
1.一种群组通信中空口安全控制方法，其特征在于，包括：为每个群组配置密钥，用于衍生所述群组的UE侧密钥和基站侧密钥；所述UE侧密钥是UE侧用于生成信令加密、数据加密和/或信令完整性保护的密钥的输入密钥，所述基站侧密钥是基站侧用于生成信令加密、数据加密和/或信令完整性保护的密钥的输入密钥；在UE集群注册过程中，所述核心网下发所述UE所在群组的UE侧密钥给所述UE；在组呼建立过程中，所述核心网下发所述群组的基站侧密钥给所述群组下各UE所在的eNB。2.根据权利要求1所述的方法，其特征在于，还包括：在组呼建立过程中，所述核心网还下发所述群组的Group Id、NAS层加密算法和信令完整性保护算法给所述eNB；所述eNB下发AS层加密算法和信令完整性保护算法、NAS层加密算法和信令完整性保护算法给所述群组的UE；所述群组的UE接收后，衍生出NAS层密钥和AS层密钥，并激活NAS层安全机制和AS层安全机制。3.根据权利要求2所述的方法，其特征在于，还包括：所述NAS层安全机制和AS层安全机制被激活后，所述eNB下发的RRC消息进行AS加密和完整性保护，其中包含的NAS消息进行NAS层加密和完整性保护；所述UE接收空口加密的组呼数据。4.根据权利要求1～3任意一项所述的方法，其特征在于，所述UE侧密钥为永久密钥Group K、中间密钥Group KASME或中间密钥Group CK/Group IK；所述基站侧密钥为Group KeNB。5.根据权利要求4所述的方法，其特征在于，还包括：当所述UE侧密钥为永久密钥Group K时，所述核心网还下发用于生成信令加密、数据加密和/或信令完整性保护的密钥的随机数RAND和认证令牌AUTN。6.根据权利要求4所述的方法，其特征在于，还包括：当所述UE侧密钥为中间密钥Group CK/Group IK时，所述核心网还下发用于生成信令加密、数据加密和/或信令完整性保护的密钥的认证令牌AUTN。7.根据权利要求6所述的方法，其特征在于，还包括：所述核心网还下发随机数RAND，用于UE侧对核心网进行合法性认证。8.根据权利要求1～7任意一项所述的方法，其特征在于，在所述集群注册过程中，所述核心网通过TRUNKING REGISTER ACCEPT消息进行所述下发；在所述组呼建立过程中，所述eNB通过TRUNKING PAGING消息进行所述下发。9.根据权利要求8所述的方法，其特征在于，还包括：所述NAS层安全和AS层安全被激活后，所述eNB下发包含NAS消...

【专利技术属性】
技术研发人员：王淑坤，赵春平，许瑞锋，
申请(专利权)人：北京信威通信技术股份有限公司，
类型：发明
国别省市：北京;11