本發明實施例提供了一種故障弱化模式下的空口加密方法及裝置，該方法中，基站可以根據UE上報的私有標識確定點對點的根密鑰，終端和基站可以根據根密鑰進行密鑰衍生，在激活點對點安全后，通過終端發送的集群注冊請求中攜帶的所屬組信息，為所屬組生成組根密鑰，進而終端和基站分別根據組根密鑰進行密鑰衍生，并在點對點以及點對多點信令和數據傳輸過程中使用密鑰進行加解密。進而在故障弱化模式下也能夠執行點對點、點對多點的密鑰衍生和分發機制，保證在這種模式下點對點、點對多點的信令和數據傳輸安全。且對現有的正常工作模式下的安全機制改動較小，使得本發明實施例提供的方法簡單易實現，不會對現網的配置造成很大影響。

技術領域

本發明實施例涉及通信技術領域，具體涉及一種故障弱化模式下的空口加密方法及裝置。

背景技術

專網集群系統是為了滿足行業用戶指揮調度需求開發、面向特定行業應用的專用無線通信系統，對于可靠性和抗毀性的要求非常高。當因自然災害、施工不慎等異常事件導致基站與核心網之間的通信中斷時，或者核心網系統發生故障時，基站應能夠為該基站覆蓋范圍內的用戶維持可接受服務質量的通信服務，支持單呼、組呼和廣播呼叫等集群基本業務，即提供故障弱化功能，也稱為單站運行。當通信鏈路恢復后，基站切換到正常工作狀態，重新處于核心網控制下。

當前基于LTE技術的寬帶集群通信(B-TrunC)系統，當基站和核心網側的鏈路狀態從正常轉為異常時，系統隨之由正常的集群工作模式轉為故障弱化模式。基站清除所有業務，通過系統消息通知終端進入故障弱化模式，終端結束正在進行的業務，發起特殊的注冊流程執行附著并注冊基站過程，此后可在本基站覆蓋范圍內發起單呼、組呼、廣播呼叫等業務。

另一方面，專網系統對網絡和信息傳輸的安全性和保密性要求極高，為了保障空口通信的安全，集群系統應提供空口加密功能，確保eNodeB和終端之間的無線鏈路安全。目前的LTE技術可以支持用戶身份安全和點到點數據傳輸的安全，但是還不能支持點到多點數據傳輸的安全。B-TrunC系統在繼承LTE現有點對點安全的基礎上，還針對專網需求提供了增強的點對多點安全功能，包括下行點對多點組NAS信令和組RRC信令的加密和完保，以及下行點對多點的用戶面加密功能。

然而，在實現發明創造的過程中，發明人發現，現有技術中只提供了正常模式下的點對點和點對多點信令和數據的安全，而在故障弱化模式下，基站和核心網間的通信已中斷，基站和UE均結束正在進行的業務并刪除了上下文，此時缺少點對點和點對多點業務的密鑰衍生和分發機制，無法提供NAS層和AS層點對點和點對多點的安全功能。

發明內容

本發明實施例提供一種用于故障弱化模式下的空口加密方法及裝置。

第一方面，本發明實施例提供一種故障弱化模式下的空口加密方法，包括：

終端附著到基站過程中，在附著請求中攜帶終端設備的私有標識，終端和基站分別根據所述私有標識生成點對點根密鑰K’_ASME；

根據所述根密鑰K’_ASME，終端和基站分別生成非接入層NAS信令的加密密鑰K’_NASenc和完整性保護密鑰K’_NASint，激活NAS安全；還根據所述根密鑰K’_ASME生成基站密鑰K’_eNB，并根據所述基站密鑰生成接入層RRC信令的加密密鑰K’_RRCenc和完整性保護密鑰K’_RRCint，以及用戶面加密密鑰K’_UPenc，激活空口安全；