Способ согласования многоадресного ключа, подходящий для системы группового вызова, и соответствующая система

Изобретение относится к области сетевой безопасности, в частности к способу и системе согласования многоадресного ключа, подходящим для системы группового вызова с технологией широкополосного доступа SCDMA (синхронный множественный доступ с кодовым разделением). Технический результат заключается в повышении безопасности услуг группового вызова, предоставляемых посредством многоадресной передачи. Технический результат достигается за счет того, что терминал пользователя (UT) согласует одноадресный ключ с базовой станцией (BS), получает ключ шифрования информации и ключ проверки целостности согласно одноадресному ключу и регистрирует на BS идентификатор служебной группы, к которой принадлежит UT; BS уведомляет UT о многоадресном ключе служебной группы, которую UT должен применить, создает пакет уведомления о многоадресном ключе и отправляет его UT; после приема пакета уведомления о многоадресном ключе, отправленном посредством BS, UT получает многоадресный ключ служебной группы, которую UT должен применить, путем дешифровки списка применений ключа служебной группы, создает пакет подтверждения многоадресного ключа и отправляет его BS; BS подтверждает, что многоадресный ключ служебной группы UT создан успешно согласно пакету подтверждения многоадресного ключа, отправленного посредством UT. 2 н. и 6 з.п. ф-лы, 1 ил.

Реферат

Эта заявка притязает на приоритет заявки на патент Китая № 201010136883.0, озаглавленной "Способ согласования многоадресного ключа, подходящий для системы группового вызова, и соответствующая система", поданной в патентное ведомство Китая 31 марта 2010, которая включена здесь по ссылке в полном объеме.

Область техники, к которой относится изобретение

Настоящее изобретение относится к области сетевой безопасности и относится к способу согласования многоадресного ключа, подходящему для системы группового вызова, и соответствующей системе. В частности, настоящее изобретение относится к способу и системе согласования многоадресного ключа, подходящим для системы группового вызова с технологией широкополосного доступа SCDMA (синхронный множественный доступ с кодовым разделением).

Предшествующий уровень техники

SCDMA является технологией беспроводного широкополосного синхронного множественного доступа с кодовым разделением. SCDMA использует передовые технологии, такие как адаптивная антенна, программное радио, SWAP (синхронный протокол беспроводного доступа) и протокол радиоинтерфейса, и может развивать услуги в виде группового вызова. В решении для обеспечения безопасности радиоинтерфейса технического стандарта SCDMA нет описания способа согласования многоадресного ключа между терминалом пользователя (UT) и базовой станцией (BS) для системы группового вызова.

С учетом характеристик системы группового вызова с технологией широкополосного доступа SCDMA генерирование, обновление многоадресного ключа служебной группы и использование многоадресного ключа после переключения членов группы должны удовлетворить следующим требованиям: 1) BS не записывает сообщение группы, к которой принадлежит каждый UT; 2) BS предоставляет различные служебные группы, а UT, которые обслуживаются в одной и той же служебной группе, могут быть распределены по различным BS; 3) многоадресной ключ служебной группы должна генерировать BS, так как она должна иметь возможность переключения. Все услуги группового вызова в сети SCDMA должны предоставляться в виде многоадресной передачи, но нет гарантии, что услуги группового вызова, предоставленные посредством многоадресной передачи, могут выполняться более эффективно без безопасного способа и системы для согласования многоадресного ключа.

Сущность изобретения

Для решения вышеупомянутых проблем, описанных в предшествующем уровне техники, вариант осуществления настоящего изобретения обеспечивает способ согласования многоадресного ключа, подходящий для системы группового вызова, и соответствующую систему, чтобы улучшить безопасность услуг группового вызова, предоставляемых посредством многоадресной передачи.

Вариант осуществления настоящего изобретения обеспечивает способ согласования многоадресного ключа, подходящий для системы группового вызова, содержащий этапы, на которых:

1) согласуют одноадресный ключ между UT и BS, получают ключ шифрования информации и ключ проверки целостности из одноадресного ключа и регистрируют посредством UT на BS идентификаторы служебных групп, к которым принадлежит UT;

2) уведомляют посредством BS терминал UT о многоадресных ключах служебных групп, которые должны быть применены UT, создают уведомление о многоадресном ключе, которое содержит список применений ключа служебной группы и значение для проверки целостности сообщения, и отправляют уведомление о многоадресном ключе в UT, при этом список применений ключа служебной группы, который является зашифрованным текстом, полученным путем шифрования с использованием ключа шифрования информации, содержит идентификаторы и соответствующие многоадресные ключи служебных групп, которые должны быть применены UT;

3) дешифруют посредством UT список применений ключа служебной группы при приеме уведомления о многоадресном ключе, отправленного BS, для получения многоадресных ключей служебных групп, которые должны быть применены UT, создают сообщение подтверждения многоадресного ключа, которое содержит ответный список ключа служебной группы и значение для проверки целостности сообщения, и отправляют сообщение подтверждения многоадресного ключа в BS, причем ответный список служебной группы, который является зашифрованным текстом, полученным путем шифрования с использованием ключа шифрования информации, содержит идентификаторы служебных групп, которые были применены; и

4) подтверждают посредством BS, что многоадресные ключи служебных групп для UT были установлены успешно, после отправки посредством UT сообщения подтверждения многоадресного ключа.

Вариант осуществления настоящего изобретения дополнительно обеспечивает систему согласования многоадресного ключа, подходящую для системы группового вызова. Система согласования многоадресного ключа включает в себя UT и BS. BS отправляет уведомление о многоадресном ключе в UT. UT принимает уведомление о многоадресном ключе и дешифрует список применений ключа служебной группы из уведомления о многоадресном ключе для получения многоадресных ключей служебных групп, создает сообщение подтверждения многоадресного ключа и отправляет сообщение подтверждения многоадресного ключа в BS.

Преимущества варианта осуществления настоящего изобретения состоят в следующем.

Обеспечены способ и система для согласования многоадресного ключа, особенно подходящие для системы группового вызова с широкополосной беспроводной технологией SCDMA. В настоящих решениях SCDMA отсутствует описание способа согласования многоадресного ключа для системы группового вызова. Вариант осуществления настоящего изобретения обеспечивает безопасный способ и систему для согласования многоадресного ключа и гарантирует, что услуга группового вызова, обеспеченная с использованием многоадресной передачи, может выполняться более эффективно.

Краткое описание чертежей

В дальнейшем изобретение поясняется описанием предпочтительных вариантов осуществления изобретения со ссылками на сопроводительные чертежи, на которых:

Фиг.1 изображает блок-схему алгоритма процесса согласования многоадресного ключа, подходящего для системы группового вызова, согласно варианту осуществления настоящего изобретения.

Описание предпочтительных вариантов осуществления изобретения

На фиг.1 вариант осуществления настоящего изобретения обеспечивает способ согласования многоадресного ключа, подходящий для системы группового вызова, причем способ включает в себя следующие этапы.

1) UT согласовывает одноадресный ключ ТЕК с BS. Каждый одноадресный ключ ТЕК соответствует одному одноадресному индексу TEKID. Ключ шифрования информации и ключ проверки целостности получают путем использования одноадресного ключа ТЕК. UT уведомляет BS об идентификаторах служебных групп GID, к которым отнесен UT при регистрации услуги.

2) BS отправляет в UT уведомление о многоадресном ключе, в котором BS уведомляет UT о многоадресных ключах служебных групп, которые должны быть применены UT, и создает уведомление о многоадресном ключе. Уведомление о многоадресном ключе содержит индекс NONCE одноадресного ключа, список применений ключа служебной группы и значение для проверки MIC целостности сообщения.

Индекс NONCE одноадресного ключа является случайным числом, генерируемым BS, чтобы гарантировать актуальность сообщения.

Список применений ключа служебной группы содержит идентификаторы служебных групп GID и многоадресные ключи служебных групп GEK, при этом служебные группы должны быть применены UT. Если многоадресный ключ служебной группы применяют в сети впервые, многоадресный ключ служебной группы генерируется посредством BS. Если многоадресный ключ служебной группы уже был применен в сети, многоадресный ключ служебной группы, примененный при первом применении, отправляется станцией BS. Список применений ключа служебной группы является зашифрованным текстом, полученным шифрованием с использованием ключа шифрования информации, полученного из ключа, соответствующего TEKID.

Значение для проверки MIC целостности сообщения - это значение для проверки целостности сообщения, которое вычисляется с использованием ключа проверки целостности, полученного с помощью ключа, соответствующего TEKID.

3) UT отправляет сообщение подтверждения многоадресного ключа в BS. При этом после того, как UT принимает уведомление о многоадресном ключе, UT проверяет значение для проверки MIC целостности сообщения с использованием ключа проверки целостности, полученного с помощью ключа, соответствующего индексу TEKID одноадресного ключа. Если значение MIC является неправильным, сообщение игнорируется. Если значение MIC является правильным, UT дешифрует список применений ключа служебной группы и подтверждает, являются ли служебные группы в списке служебными группами, примененными UT. Если идентификаторы служебных групп GID в списке применений ключа служебной группы идентичны идентификаторам служебных групп, зарегистрированным UT, выполняется получение многоадресных ключей служебных групп GEK, которые должны быть применены UT. Затем UT возвращает сообщение подтверждения многоадресного ключа, которое содержит одноадресный индекс NONCE, ответный список ключа служебной группы и значение для проверки MIC целостности сообщения.

Индекс NONCE одноадресного ключа является случайным числом, которое идентично индексу NONCE одноадресного ключа в предшествующем уведомлении о групповом ключе.

Ответный список ключа служебной группы содержит идентификаторы служебных групп GID, которые должны быть применены UT. Список является зашифрованным текстом, полученным шифрованием с использованием ключа шифрования информации, полученного с помощью ключа, соответствующего индексу TEKID одноадресного ключа.

Значение для проверки MIC целостности сообщения является значением для проверки целостности сообщения, которое вычисляется с использованием ключа проверки целостности, полученного с помощью ключа, соответствующего одноадресному индексу TEKID.

После того как BS принимает сообщение подтверждения многоадресного ключа, отправленное UT, BS проверяет значение для проверки MIC целостности сообщения с использованием ключа проверки целостности сообщения, полученного с помощью ключа, соответствующего индексу TEKID одноадресного ключа, и подтверждает, верно ли значение для проверки MIC целостности сообщения или нет. Если значение для проверки MIC целостности сообщения является неверным, то сообщение игнорируется. Если значение для проверки MIC целостности сообщения является верным, BS дешифрует ответный список ключа служебной группы и подтверждает, являются ли служебные группы служебными группами, примененными UT по идентификаторам служебной группы GID в списке. Если идентификаторы в ответном списке ключа служебной группы идентичны идентификаторам служебных групп, зарегистрированным UT на этапе 1), то можно утверждать, что многоадресные ключи служебных групп GEK для UT были установлены успешно.

Кроме того, способ согласования многоадресного ключа, подходящий для системы группового вызова согласно варианту осуществления настоящего изобретения, может дополнительно включать в себя следующие этапы.

В процессе обновления многоадресного ключа служебной группы многоадресный кадр данных шифруется с помощью старого многоадресного ключа служебной группы и отправляется. Новый многоадресный ключ служебной группы используется для шифрования и отправки многоадресного кадра данных после того, как все UT, ассоциированные с BS, завершили согласование многоадресного ключа служебной группы.

Предпочтительно, для удобства технической реализации, уведомление о многоадресном ключе может дополнительно включать в себя идентификатор FLAG интерактивного механизма сообщения, идентификатор PFLAG текущего сообщения, многоадресный ключ сопоставления MEKID безопасности, идентификатор BSID станции BS, идентификатор UTID терминала UT и индекс TEKID одноадресного ключа.

Предпочтительно, для удобства технической реализации, сообщение подтверждения многоадресного ключа может дополнительно включать в себя идентификатор FLAG интерактивного механизма сообщения (соответствующий таковому для уведомления о многоадресном ключе), идентификатор PFLAG текущего сообщения (соответствующий таковому для уведомления о многоадресном ключе), многоадресный ключ сопоставления MEKID безопасности (соответствующий таковому для уведомления о многоадресном ключе), идентификатор BSID станции BS (соответствующий таковому для уведомления о многоадресном ключе), идентификатор UTID терминала UT (соответствующий таковому для уведомления о многоадресном ключе) и индекс TEKID одноадресного ключа (соответствующий таковому для уведомления о многоадресном ключе).

Вариант осуществления настоящего изобретения дополнительно обеспечивает систему согласования многоадресного ключа, подходящую для системы группового вызова. Система содержит UT и BS. BS отправляет уведомление о многоадресном ключе в UT. После того как UT принимает уведомление о многоадресном ключе, UT получает многоадресные ключи служебных групп путем дешифрования списка применений ключа служебной группы из уведомления о многоадресном ключе, создает сообщение подтверждения многоадресного ключа и отправляет сообщение подтверждения многоадресного ключа в BS.

1. Способ согласования многоадресного ключа, подходящий для системы группового вызова, содержащий этапы, на которых:1) согласуют одноадресный ключ между UT и BS, получают ключ шифрования информации и ключ проверки целостности из одноадресного ключа и регистрируют посредством UT на BS идентификаторы служебных групп, к которым принадлежит UT;2) уведомляют посредством BS терминал UT о многоадресных ключах служебных групп, которые должны быть применены UT, создают уведомление о многоадресном ключе, которое содержит список применений ключа служебной группы и значение для проверки целостности сообщения, и отправляют уведомление о многоадресном ключе в UT, при этом список применений ключа служебной группы, который является зашифрованным текстом, полученным путем шифрования с использованием ключа шифрования информации, содержит идентификаторы и многоадресные ключи служебных групп, которые должны быть применены UT;3) дешифруют посредством UT список применений ключа служебной группы при приеме уведомления о многоадресном ключе, отправленного посредством BS, для получения многоадресных ключей служебных групп, которые должны быть применены UT, создают сообщение подтверждения многоадресного ключа, которое содержит ответный список ключа служебной группы и значение для проверки целостности сообщения, и отправляют сообщение подтверждения многоадресного ключа в BS, при этом ответный список ключа служебной группы, который является зашифрованным текстом, полученным путем шифрования с использованием ключа шифрования информации, содержит идентификаторы служебных групп, которые были применены; и4) подтверждают посредством BS, что многоадресные ключи служебных групп для UT были установлены успешно, после отправки посредством UT сообщения подтверждения многоадресного ключа.

2. Способ согласования многоадресного ключа по п.1, подходящий для системы группового вызова, в котороммногоадресный ключ служебной группы генерируют посредством BS, если многоадресный ключ служебной группы, которая должна быть применена UT, применен впервые в сети; илимногоадресный ключ служебной группы в первом применении направляют посредством BS, если многоадресный ключ служебной группы, которая должна быть применена UT, уже был применен в сети.

3. Способ согласования многоадресного ключа по п.2, подходящий для системы группового вызова, дополнительно содержащий этапы, на которых:шифруют посредством BS многоадресный кадр данных с использованием старого многоадресного ключа служебной группы и отправляют многоадресный кадр данных в процессе обновления многоадресного ключа служебной группы, иобеспечивают посредством BS новый многоадресный ключ служебной группы для шифрования и отправки многоадресного кадра данных после завершения согласования многоадресного ключа служебной группы для всех UT, ассоциированных с BS.

4. Способ согласования многоадресного ключа по п.1, 2 или 3, подходящий для системы группового вызова, дополнительно содержащий этапы, на которых:проверяют посредством UT значение для проверки целостности сообщения уведомления о многоадресном ключе путем использования полученного ключа проверки целостности перед процессом дешифровки списка применений ключа служебной группы;игнорируют уведомление о многоадресном ключе, если значение для проверки целостности сообщения является неверным; ивыполняют этап дешифровки списка применений ключа служебной группы, если значение для проверки целостности сообщения является верным;при этом дешифровка списка применений ключа служебной группы и получение многоадресных ключей служебных групп, которые должны быть применены UT, содержат этапы, на которых:получают идентификаторы служебных групп, которые должны быть применены UT, из списка применений ключа служебной группы;получают многоадресные ключи служебных групп, которые должны быть применены UT, если идентификаторы служебных групп, которые должны быть применены UT, идентичны идентификаторам служебных групп, к которым принадлежит UT, зарегистрированным UT на BS.

5. Способ согласования многоадресного ключа по п.4, подходящий для системы группового вызова, в котором подтверждение посредством BS, что многоадресные ключи служебных групп для UT были установлены успешно после отправки UT сообщения подтверждения многоадресного ключа, содержит этапы, на которых:проверяют посредством BS значение для проверки целостности сообщения подтверждения многоадресного ключа путем использования полученного ключа проверки целостности при приеме сообщения подтверждения многоадресного ключа, отправленного UT;игнорируют сообщение подтверждения многоадресного ключа, если значение для проверки целостности сообщения является неверным;дешифруют посредством BS ответный список ключа служебной группы для получения идентификаторов служебных групп из ответного списка ключа служебной группы, если значение для проверки целостности сообщения является верным; иподтверждают, что многоадресные ключи служебных групп для UT были установлены успешно, если идентификаторы служебных групп, которые должны быть применены UT, идентичны идентификаторам служебных групп, к которым принадлежит UT, зарегистрированным UT на BS.

6. Способ согласования многоадресного ключа по п.5, подходящий для системы группового вызова, в котором уведомление о многоадресном ключе дополнительно содержит идентификатор интерактивного механизма сообщения, идентификатор текущего сообщения, многоадресный ключ сопоставления безопасности, идентификатор BS, идентификатор UT и индекс одноадресного ключа.

7. Способ согласования многоадресного ключа по п.6, подходящий для системы группового вызова, в котором сообщение подтверждения многоадресного ключа дополнительно содержит идентификатор интерактивного механизма сообщения, идентификатор текущего сообщения, многоадресный ключ сопоставления безопасности, идентификатор BS, идентификатор UT и индекс одноадресного ключа.

8. Система согласования многоадресного ключа, подходящая для системы группового вызова, содержащая UT и BS, при этом UT и BS согласуют одноадресный ключ и получают ключ шифрования информации из одноадресного ключа, BS отправляет уведомление о многоадресном ключе в UT; UT принимает уведомление о многоадресном ключе и затем дешифрует список применений ключа служебной группы из уведомления о многоадресном ключе для получения многоадресных ключей служебных групп, создает сообщение подтверждения многоадресного ключа и отправляет сообщение подтверждения многоадресного ключа в BS, причем список применений ключа служебной группы, который является зашифрованным текстом, полученным путем шифрования с использованием ключа шифрования информации, содержит идентификаторы и многоадресные ключи служебных групп, которые должны быть применены UT.