故障弱化模式下的空口加密方法及装置制造方法及图纸

本发明专利技术实施例提供了一种故障弱化模式下的空口加密方法及装置，该方法中，基站可以根据UE上报的私有标识确定点对点的根密钥，终端和基站可以根据根密钥进行密钥衍生，在激活点对点安全后，通过终端发送的集群注册请求中携带的所属组信息，为所属组生成组根密钥，进而终端和基站分别根据组根密钥进行密钥衍生，并在点对点以及点对多点信令和数据传输过程中使用密钥进行加解密。进而在故障弱化模式下也能够执行点对点、点对多点的密钥衍生和分发机制，保证在这种模式下点对点、点对多点的信令和数据传输安全。且对现有的正常工作模式下的安全机制改动较小，使得本发明专利技术实施例提供的方法简单易实现，不会对现网的配置造成很大影响。

Air Encryption Method and Device in Fault Weakening Mode

【技术实现步骤摘要】
故障弱化模式下的空口加密方法及装置
本专利技术实施例涉及通信
，具体涉及一种故障弱化模式下的空口加密方法及装置。
技术介绍
专网集群系统是为了满足行业用户指挥调度需求开发、面向特定行业应用的专用无线通信系统，对于可靠性和抗毁性的要求非常高。当因自然灾害、施工不慎等异常事件导致基站与核心网之间的通信中断时，或者核心网系统发生故障时，基站应能够为该基站覆盖范围内的用户维持可接受服务质量的通信服务，支持单呼、组呼和广播呼叫等集群基本业务，即提供故障弱化功能，也称为单站运行。当通信链路恢复后，基站切换到正常工作状态，重新处于核心网控制下。当前基于LTE技术的宽带集群通信(B-TrunC)系统，当基站和核心网侧的链路状态从正常转为异常时，系统随之由正常的集群工作模式转为故障弱化模式。基站清除所有业务，通过系统消息通知终端进入故障弱化模式，终端结束正在进行的业务，发起特殊的注册流程执行附着并注册基站过程，此后可在本基站覆盖范围内发起单呼、组呼、广播呼叫等业务。另一方面，专网系统对网络和信息传输的安全性和保密性要求极高，为了保障空口通信的安全，集群系统应提供空口加密功能，确保eNodeB和终端之间的无线链路安全。目前的LTE技术可以支持用户身份安全和点到点数据传输的安全，但是还不能支持点到多点数据传输的安全。B-TrunC系统在继承LTE现有点对点安全的基础上，还针对专网需求提供了增强的点对多点安全功能，包括下行点对多点组NAS信令和组RRC信令的加密和完保，以及下行点对多点的用户面加密功能。然而，在实现专利技术创造的过程中，专利技术人发现，现有技术中只提供了正常模式下的点对点和点对多点信令和数据的安全，而在故障弱化模式下，基站和核心网间的通信已中断，基站和UE均结束正在进行的业务并删除了上下文，此时缺少点对点和点对多点业务的密钥衍生和分发机制，无法提供NAS层和AS层点对点和点对多点的安全功能。
技术实现思路
本专利技术实施例提供一种用于故障弱化模式下的空口加密方法及装置。第一方面，本专利技术实施例提供一种故障弱化模式下的空口加密方法，包括：终端附着到基站过程中，在附着请求中携带终端设备的私有标识，终端和基站分别根据所述私有标识生成点对点根密钥K’ASME；根据所述根密钥K’ASME，终端和基站分别生成非接入层NAS信令的加密密钥K’NASenc和完整性保护密钥K’NASint，激活NAS安全；还根据所述根密钥K’ASME生成基站密钥K’eNB，并根据所述基站密钥生成接入层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint，以及用户面加密密钥K’UPenc，激活空口安全；终端完成附着到基站后，向基站发送集群注册请求，所述集群注册请求中携带终端所属组信息，基站根据所述所属组信息确定对应的组根密钥GK’ASME，在注册响应中返回所属组和组根密钥的对应列表，终端和基站根据所述组根密钥GK’ASME生成组NAS信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint；在组呼建立流程中，基站和组内终端分别根据组根密钥GK′ASME生成组基站密钥GK′eNB，再根据组基站密钥GK′eNB生成下行点对多点组RRC信令的加密密钥GK′RRCenc和完整性保护密钥GK′RRCint，以及组用户面加密密钥GK′Upenc。第二方面，本专利技术实施例提供一种故障弱化模式下的空口加密装置，应用于基站侧，包括：第一点对点密钥生成单元，用于在接收到终端设备上报的附着请求后，根据所述附着请求中携带的终端设备的私有标识，确定生成点对点根密钥K’ASME；根据所述根密钥K’ASME，生成点对点NAS层信令的加密密钥K’NASenc和完整性保护密钥K’NASint；在建立终端上下文时还生成基站密钥K’eNB，根据所述基站密钥K’eNB生成点对点AS层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint，以及用户面加密密钥K’UPenc；第一点对点加解密单元，用于在单呼和组呼上行建立流程中，使用NAS层信令的加密密钥K’NASenc和完整性保护密钥K’NASint对点对点NAS信令进行加解密和完保，使用AS层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint对RRC信令进行加解密和完保，点对点数据传输过程中使用用户面加密密钥K’UPenc对用户面数据进行加解密；第一点对多点密钥生成单元，用于在接收到终端设备上报的集群注册请求后，根据所述集群注册请求中携带的终端所属组信息，确定点对多点组根密钥GK’ASME；根据所述组根密钥GK’ASME，生成点对多点组NAS层信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint，在建立组呼上下文时还生成组基站密钥GK’eNB，根据所述组基站密钥GK’eNB生成点对多点组AS层RRC信令的加密密钥GK’RRCenc和完整性保护密钥GK’RRCint，以及下行组用户面加密密钥GK’UPenc；点对多点加密单元，用于组呼下行数据和信令传输过程中，使用下行组NAS信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint对点对多点组NAS信令进行加密和完保，使用组AS层RRC信令的加密密钥GK’RRCenc和完整性保护密钥GK’RRCint对组RRC信令进行加密和完保，使用组用户面加密密钥GK’UPenc对组呼下行用户面数据进行加密。第三方面，本专利技术实施例提供一种故障弱化模式下的空口加密装置，应用于终端侧，包括：第二点对点密钥生成单元，用于在确定进入故障弱化模式时，根据终端的私有标识计算生成点对点根密钥K’ASME；根据所述根密钥K’ASME，生成点对点NAS层信令的加密密钥K’NASenc和完整性保护密钥K’NASint，还根据所述根密钥K’ASME生成基站密钥K’eNB，根据所述基站密钥K’eNB生成点对点AS层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint，以及用户面加密密钥K’UPenc；第二点对点加解密单元，用于在单呼和组呼上行建立流程中，使用NAS层信令的加密密钥K’NASenc和完整性保护密钥K’NASint对点对点NAS信令进行加解密和完保，使用AS层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint对RRC信令进行加解密和完保，点对点数据传输过程中使用用户面加密密钥K’UPenc对用户面数据进行加解密；第二点对多点密钥生成单元，用于在接收到基站设备下发的集群注册响应后，根据所述集群注册响应中携带的终端所属组和组根密钥的对应列表，获取所属组的点对多点组根密钥GK’ASME；根据所述组根密钥GK’ASME，生成点对多点组NAS信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint，在组呼建立时还生成组基站密钥GK’eNB，根据所述组基站密钥GK’eNB生成点对多点组AS层RRC信令的加密密钥GK’RRCenc和完整性保护密钥GK’RRCint，以及下行组用户面加密密钥GK’UPenc；点对多点解密单元，用于组呼下行数据和信令传输过程中，使用下行组NAS信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint对点对多点组NAS信令进行解密和完保，使用组AS层RRC信令的加密密钥本文档来自技高网...

【技术保护点】
1.一种故障弱化模式下的空口加密方法，其特征在于，包括：终端附着到基站过程中，在附着请求中携带终端设备的私有标识，终端和基站分别根据所述私有标识生成点对点根密钥K’ASME；根据所述根密钥K’ASME，终端和基站分别生成非接入层NAS信令的加密密钥K’NASenc和完整性保护密钥K’NASint，激活NAS安全；还根据所述根密钥K’ASME生成基站密钥K’eNB，并根据所述基站密钥生成接入层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint，以及用户面加密密钥K’UPenc，激活空口安全；终端完成附着到基站后，向基站发送集群注册请求，所述集群注册请求中携带终端所属组信息，基站根据所述所属组信息确定对应的组根密钥GK’ASME，在注册响应中返回所属组和组根密钥的对应列表，终端和基站根据所述组根密钥GK’ASME生成组NAS信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint；在组呼建立流程中，基站和组内终端分别根据组根密钥GK′ASME生成组基站密钥GK′eNB，再根据组基站密钥GK′eNB生成下行点对多点组RRC信令的加密密钥GK′RRCenc和完整性保护密钥GK′RRCint，以及组用户面加密密钥GK′Upenc。...

【技术特征摘要】
1.一种故障弱化模式下的空口加密方法，其特征在于，包括：终端附着到基站过程中，在附着请求中携带终端设备的私有标识，终端和基站分别根据所述私有标识生成点对点根密钥K’ASME；根据所述根密钥K’ASME，终端和基站分别生成非接入层NAS信令的加密密钥K’NASenc和完整性保护密钥K’NASint，激活NAS安全；还根据所述根密钥K’ASME生成基站密钥K’eNB，并根据所述基站密钥生成接入层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint，以及用户面加密密钥K’UPenc，激活空口安全；终端完成附着到基站后，向基站发送集群注册请求，所述集群注册请求中携带终端所属组信息，基站根据所述所属组信息确定对应的组根密钥GK’ASME，在注册响应中返回所属组和组根密钥的对应列表，终端和基站根据所述组根密钥GK’ASME生成组NAS信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint；在组呼建立流程中，基站和组内终端分别根据组根密钥GK′ASME生成组基站密钥GK′eNB，再根据组基站密钥GK′eNB生成下行点对多点组RRC信令的加密密钥GK′RRCenc和完整性保护密钥GK′RRCint，以及组用户面加密密钥GK′Upenc。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在确定所述终端设备发起组呼时，基站还生成本次组呼的随机数，并将所述随机数携带在集群寻呼消息中下发给组内成员；组内成员和基站根据所述随机数、所述组根密钥GK’ASME以及组标识，衍生组基站密钥GK′eNB；在组呼下行数据和信令传输过程中，基站使用组NAS层信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint对下行点到多点组NAS信令进行加密和完保，使用组AS层RRC信令的加密密钥GK’RRCenc和完整性保护密钥GK’RRCint对下行点到多点组RRC信令进行加密和完保，使用组用户面加密密钥GK’UPenc对组呼下行数据进行加密。3.根据权利要求1所述的方法，其特征在于，所述基站根据所述所属组信息确定对应的组根密钥GK’ASME，包括：根据所属组信息，若确定已生成过所述终端设备所属组的组根密钥GK’ASME，则将已生成的组根密钥GK’ASME作为所属组的组根密钥；若确定未生成过所属组的组根密钥GK’ASME，则根据所属组信息计算生成所属组的组根密钥GK’ASME。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：在单呼和组呼上行建立流程中，终端和基站分别使用所述终端的NAS层信令的加密密钥K’NASenc和完整性保护密钥K’NASint对NAS信令进行加密和完保，使用AS层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint对RRC信令进行加密和完保，单呼过程中使用用户面加密密钥K’UPenc对用户面数据进行加密。5.根据权利要求1所述的方法，其特征在于，所述点对点根密钥K’ASME和点对多点组根密钥GK’ASME只在故障弱化期间有效。6.一种故障弱化模式下的空口加密装置，应用于基站设备，其特征在于，包括：第一点对点密钥生成单元，用于在接收到终端设备上报的附着请求后，根据所述附着请求中携带的终端设备的私有标识，确定生成点对点根密钥K’ASME；根据所述根密钥K’ASME，生成点对点NAS层信令的加密密钥K’NASenc和完整性保护密钥K’NASint；在建立终端上下文时还生成基站密钥K’eNB，根据所述基站密钥K’eNB生成点对点AS层RRC信令的加密密钥K’...

【专利技术属性】
技术研发人员：李晓华，曾朝晖，郄卫军，赵顾良，
申请(专利权)人：普天信息技术有限公司，
类型：发明
国别省市：北京,11