【技术实现步骤摘要】
故障弱化模式下的空口加密方法及装置
本专利技术实施例涉及通信
,具体涉及一种故障弱化模式下的空口加密方法及装置。
技术介绍
专网集群系统是为了满足行业用户指挥调度需求开发、面向特定行业应用的专用无线通信系统,对于可靠性和抗毁性的要求非常高。当因自然灾害、施工不慎等异常事件导致基站与核心网之间的通信中断时,或者核心网系统发生故障时,基站应能够为该基站覆盖范围内的用户维持可接受服务质量的通信服务,支持单呼、组呼和广播呼叫等集群基本业务,即提供故障弱化功能,也称为单站运行。当通信链路恢复后,基站切换到正常工作状态,重新处于核心网控制下。当前基于LTE技术的宽带集群通信(B-TrunC)系统,当基站和核心网侧的链路状态从正常转为异常时,系统随之由正常的集群工作模式转为故障弱化模式。基站清除所有业务,通过系统消息通知终端进入故障弱化模式,终端结束正在进行的业务,发起特殊的注册流程执行附着并注册基站过程,此后可在本基站覆盖范围内发起单呼、组呼、广播呼叫等业务。另一方面,专网系统对网络和信息传输的安全性和保密性要求极高,为了保障空口通信的安全,集群系统应提供空口加密功能,确保eNodeB和终端之间的无线链路安全。目前的LTE技术可以支持用户身份安全和点到点数据传输的安全,但是还不能支持点到多点数据传输的安全。B-TrunC系统在继承LTE现有点对点安全的基础上,还针对专网需求提供了增强的点对多点安全功能,包括下行点对多点组NAS信令和组RRC信令的加密和完保,以及下行点对多点的用户面加密功能。然而,在实现专利技术创造的过程中,专利技术人发现,现有技术中只提供了正常 ...
【技术保护点】
1.一种故障弱化模式下的空口加密方法,其特征在于,包括:终端附着到基站过程中,在附着请求中携带终端设备的私有标识,终端和基站分别根据所述私有标识生成点对点根密钥K’ASME;根据所述根密钥K’ASME,终端和基站分别生成非接入层NAS信令的加密密钥K’NASenc和完整性保护密钥K’NASint,激活NAS安全;还根据所述根密钥K’ASME生成基站密钥K’eNB,并根据所述基站密钥生成接入层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint,以及用户面加密密钥K’UPenc,激活空口安全;终端完成附着到基站后,向基站发送集群注册请求,所述集群注册请求中携带终端所属组信息,基站根据所述所属组信息确定对应的组根密钥GK’ASME,在注册响应中返回所属组和组根密钥的对应列表,终端和基站根据所述组根密钥GK’ASME生成组NAS信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint;在组呼建立流程中,基站和组内终端分别根据组根密钥GK′ASME生成组基站密钥GK′eNB,再根据组基站密钥GK′eNB生成下行点对多点组RRC信令的加密密钥GK′RRCenc和完整性保 ...
【技术特征摘要】
1.一种故障弱化模式下的空口加密方法,其特征在于,包括:终端附着到基站过程中,在附着请求中携带终端设备的私有标识,终端和基站分别根据所述私有标识生成点对点根密钥K’ASME;根据所述根密钥K’ASME,终端和基站分别生成非接入层NAS信令的加密密钥K’NASenc和完整性保护密钥K’NASint,激活NAS安全;还根据所述根密钥K’ASME生成基站密钥K’eNB,并根据所述基站密钥生成接入层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint,以及用户面加密密钥K’UPenc,激活空口安全;终端完成附着到基站后,向基站发送集群注册请求,所述集群注册请求中携带终端所属组信息,基站根据所述所属组信息确定对应的组根密钥GK’ASME,在注册响应中返回所属组和组根密钥的对应列表,终端和基站根据所述组根密钥GK’ASME生成组NAS信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint;在组呼建立流程中,基站和组内终端分别根据组根密钥GK′ASME生成组基站密钥GK′eNB,再根据组基站密钥GK′eNB生成下行点对多点组RRC信令的加密密钥GK′RRCenc和完整性保护密钥GK′RRCint,以及组用户面加密密钥GK′Upenc。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在确定所述终端设备发起组呼时,基站还生成本次组呼的随机数,并将所述随机数携带在集群寻呼消息中下发给组内成员;组内成员和基站根据所述随机数、所述组根密钥GK’ASME以及组标识,衍生组基站密钥GK′eNB;在组呼下行数据和信令传输过程中,基站使用组NAS层信令的加密密钥GK’NASenc和完整性保护密钥GK’NASint对下行点到多点组NAS信令进行加密和完保,使用组AS层RRC信令的加密密钥GK’RRCenc和完整性保护密钥GK’RRCint对下行点到多点组RRC信令进行加密和完保,使用组用户面加密密钥GK’UPenc对组呼下行数据进行加密。3.根据权利要求1所述的方法,其特征在于,所述基站根据所述所属组信息确定对应的组根密钥GK’ASME,包括:根据所属组信息,若确定已生成过所述终端设备所属组的组根密钥GK’ASME,则将已生成的组根密钥GK’ASME作为所属组的组根密钥;若确定未生成过所属组的组根密钥GK’ASME,则根据所属组信息计算生成所属组的组根密钥GK’ASME。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:在单呼和组呼上行建立流程中,终端和基站分别使用所述终端的NAS层信令的加密密钥K’NASenc和完整性保护密钥K’NASint对NAS信令进行加密和完保,使用AS层RRC信令的加密密钥K’RRCenc和完整性保护密钥K’RRCint对RRC信令进行加密和完保,单呼过程中使用用户面加密密钥K’UPenc对用户面数据进行加密。5.根据权利要求1所述的方法,其特征在于,所述点对点根密钥K’ASME和点对多点组根密钥GK’ASME只在故障弱化期间有效。6.一种故障弱化模式下的空口加密装置,应用于基站设备,其特征在于,包括:第一点对点密钥生成单元,用于在接收到终端设备上报的附着请求后,根据所述附着请求中携带的终端设备的私有标识,确定生成点对点根密钥K’ASME;根据所述根密钥K’ASME,生成点对点NAS层信令的加密密钥K’NASenc和完整性保护密钥K’NASint;在建立终端上下文时还生成基站密钥K’eNB,根据所述基站密钥K’eNB生成点对点AS层RRC信令的加密密钥K’...
【专利技术属性】
技术研发人员:李晓华,曾朝晖,郄卫军,赵顾良,
申请(专利权)人:普天信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。