技術領域

本發明涉及無線通信技術領域，尤其涉及一種組播密鑰管理技術。

背景技術

在通信系統中，為保證開展通信業務過程中的安全性，需要在業務交互信息中應用相應的密鑰，例如，在無線通信系統中，需要針對開展的多播業務采用相應的多播密鑰。

下面將以組播業務為例對組播密鑰的管理及應用進行說明。

在組播業務開展過程中，需要使用的組播密鑰主要分為兩類：

(1)直接保護組播業務數據的數據加密密鑰；

(2)保護數據加密密鑰分發至數據接收端的密鑰加密密鑰。

上述兩類密鑰在組播業務中的使用比較常見，其中：

所述的數據加密密鑰直接用于對數據進行加解密，由于該密鑰通常是使用廣播信道進行分發，而且針對數據加密密鑰的存儲方式也容易被終端的用戶獲知，因此，為進一步保證通信過程的安全，便需要相對頻繁地更新相應的數據加密密鑰。

所述的密鑰加密密鑰則通常為采用單播信道進行分發，而且，由于不需要利用該密鑰加密密鑰直接對數據加密，所以可以將其存儲在安全性較高的地方，例如，將其存儲SIM(用戶標識模塊)卡中等。

在現有的3GPP和3GPP2等無線通信系統中，上述兩類密鑰是在數據高層控制點直接加密，這樣，對于終端與高層控制點之間交互的信息可以利用上述兩類密鑰進行相應的保護，以保證交互信息的安全性。

由于現有的無線通信系統中，僅在高層控制點進行加密操作，因而，對于接入網與終端之間交互的信息的安全性無法得到很好的保證，例如，無法保證空口交互的會話信息、終端位置信息等內容的安全性。

發明內容

本發明的目的是提供一種提高無線通信系統組播業務安全的方法及系統，從而可以有效保證基站與用戶終端之間交互的組播業務的安全。

本發明的目的是通過以下技術方案實現的：

本發明提供了一種提高無線通信系統組播業務安全的方法，包括：

A、在無線通信系統中，由密鑰管理器將其生成的開展組播業務所需的密鑰材料信息發送給基站；

B、基站收到所述的密鑰材料信息后，根據所述的密鑰材料對基站與用戶終端之間交互的空口組播業務進行加密處理。

所述的密鑰材料包括：

授權密鑰MAK及其相關參數、組播組通信加密密鑰MGTEK及其相關參數、組播密鑰加密密鑰GKEK及其相關參數、組播組安全套件MBSGSA和/或組播通信密鑰MTK及其相關參數。

所述的MAK及其相關參數包括：MAK、MAK的剩余生命時間和/或MAK序列號。

所述的GKEK及其相關參數包括：GKEK、GKEK序列號、GKEK標識符、GKEK剩余生命時間、基于密文的組播密鑰更新消息認證碼密鑰CMAC_KEY_G和/或基于密文的組播密鑰更新消息認證碼包序列號CMAC_PN_G。

所述的MGTEK及其相關參數包括：MGTEK、MGTEK剩余生命時間和/或MGTEK序列號。

所述的MBSGSA及其相關參數包括：MBSGSA的標識符、MBSGSA的類型、MBSGSA的加密套件、MBSGSA的業務類型、基站記錄的發出的下行包序列號、終端記錄的收到的下行包序列號、舊的MGTEK參數和/或新的MGTEK參數。

所述的步驟A包括：

A1、密鑰管理器生成包括MAK及其相關參數、MGTEK及其相關參數、GKEK及其參數和MBSGSA的密鑰材料；

或者，

A2、密鑰管理器生成包括MAK及其相關參數、MGTEK及其相關參數、GKEK及其參數、MBSGSA和MTK及其相關參數的密鑰材料。

本發明中，當執行所述的步驟A1時，所述的步驟B還包括：

基站收到密鑰管理器發來的密鑰材料后，根據所述密鑰材料生成MTK及其相關參數，并將生成的MTK及其相關參數和收到的密鑰材料一起作為用于空口業務傳輸的密鑰材料。

所述的方法還包括：對密鑰管理器生成的密鑰材料的更新操作。

所述的方法還包括：可以在密鑰的剩余生命時間到期之前進行密鑰材料的更新觸發。

本發明還提供了一種在無線通信系統中提高組播業務安全性能的實現系統，包括：

密鑰材料發送單元，設置于無線通信系統的密鑰管理器中，用于將密鑰管理器生成的開展組播業務所需的密鑰材料信息發送給基站；

安全處理單元，設置于無線通信系統的基站中，用于根據收到所述的密鑰材料信息對基站與用戶終端之間交互的空口組播業務進行加密處理。

所述的密鑰材料包括：