[发明专利]一种基于非对称加密体系的集群组呼密钥分发的方法

说明书

技术领域

本发明涉及无线通信领域，尤其涉及一种基于非对称加密体系的集群组呼密钥分发的方法。

背景技术

在集群网络中，多个用户可以组成一个集群组，每个集群组对应一个组身份识别码，一个组身份识别码对应一个集群组呼端到端加密密钥GEK，一个用户可以附属于多个集群组。

为了保证GEK的安全分发，需要对GEK进行加密后再分发，目前公开的分发方法一般基于对称加密体系，即加密和解密使用相同的密钥，这个密钥叫做组保护密钥。这种方法的不足之处在于组保护密钥需要预置在终端设备中，从而造成存储空间以及索引的局限性。

发明内容

为了解决上述问题，本发明提出了一种基于非对称加密体系的集群组呼密钥分发的方法，该方法包括以下步骤：

a，为每个集群组分配一个组公钥/组私钥对；

b，终端发起注册时，向HLR获取其所属集群组的组私钥；

c，终端发起加密集群组呼叫时，向密钥管理中心发送集群组呼密钥申请消息；

d，密钥管理中心生成集群组呼密钥，使用终端所属集群组的组公钥对集群组呼密钥进行加密后发送给集群组内所有终端；

e，终端使用所属集群组的组私钥进行解密后恢复集群组呼密钥。

上述方法中的组公钥/组私钥对可以由密钥管理中心生成，也可以由其它核心网元生成。相应的，前一种情况下，HLR向密钥管理中心获取组私钥，后一种情况下，可以由密钥管理中心先向所述其它核心网元获取组公钥/组私钥对，然后HLR再向密钥管理中心获取组私钥。

上述方法中，密钥管理中心可以是独立于HLR的单元，也可以作为一个模块集成在HLR中。

优选的，上述方法的步骤b中，HLR使用终端的临时密钥对组私钥进行加密后发送给终端，终端使用临时密钥进行解密后恢复组私钥，所述临时密钥由终端与HLR协商生成，不保存终端侧和HLR的非易失性存储器中。进一步的，可以直接将鉴权主密钥作为临时密钥，以节省协商交互时间。终端在每次注册时可以使用不同的鉴权主密钥。

与现有技术相比，本发明的优点在于：（1）组保护密钥使用组公钥/组私钥对，具有非对称性，保密性更强。（2）组公钥/组私钥对不需要预置在终端设备中。（3）。组公钥/私钥对在分发时进行加密传输，并且使用的加密密钥在每次分发时均不相同，进一步加强了保密效果。

附图说明

图1是本发明实施例对应的无线集群通信系统的网络架构示意图；

图2是本发明实施例的组公钥/组私钥对分发的流程图；

图3是本发明实施例的集群组呼密钥分发的流程图。

具体实施方式

下面结合附图，通过具体实施例对本发明做进一步详细说明。

本实施例所对应的无线集群通信系统的网络架构如图1所示，包括终端、基站、交换机和密钥管理中心。这几个组成部分的功能说明如下：

终端：实现无线集群通信系统网络的终端功能，是用户（不仅限于人，也可以是机器）接入系统的交互界面，为用户提供集群语音等业务。

基站：实现无线集群通信系统的空中接口功能，包括空中接口物理层、MAC层和网络层功能，并将用户接入到不同的业务服务网络。

交换机：完成其服务区域内终端的集群业务的控制和管理功能，是集群业务的控制管理中心。

密钥管理中心：负责产生、维护和管理密钥。

HLR：负责在线分发密钥，定时更新密钥。

假设终端A附属于集群组GID1。

密钥管理中心产生组公钥/组私钥对后，将组私钥通知给HLR。

集群组GID1的组公钥/组私钥对分发的实现流程图如图2所示，该流程具体如下：

步骤101、终端A发起集群业务注册，即发送集群业务注册请求消息给所属基站，消息中携带：用户身份识别码UID。

步骤102、基站透传集群业务注册请求消息给交换机，消息中携带：用户身份识别码UID。

步骤103、交换机构造集群组数据请求消息给HLR/密钥管理中心，消息中携带：用户身份识别码UID。

步骤104、HLR接收到集群组数据请求消息，查询数据库：如果存在该用户身份识别码UID，则查找该UID附属的组列表信息，然后将组列表信息封装在集群组数据响应消息中返回给交换机，消息中携带：用户身份识别码UID和组列表信息。