加密同步实现方法 技术领域 本发明涉及集群通信技术, 特别涉及由集群通信系统为端到端加密系统提供同步 码的加密同步实现方法。
背景技术 现有技术中, 为实现集群通信中端到端加密系统的加密同步, 通常采用以下方式 : 1) 集群通信系统建立透明业务通道 ; 2) 集群通信系统通知端到端加密系统透明业务通道 建立成功 ; 3) 端到端加密系统在透明业务通道中传输密钥协商信息, 建立会话密钥 ; 4) 发 送方移动终端, 即加密方利用会话密钥以及待发送的明文帧的帧序号 ( 如第一帧、 第二帧 等 ) 对待发送的明文帧进行加密, 得到密文帧, 发送给接收方移动终端, 即解密方 ; 相应地, 接收方移动终端根据帧序号以及会话密钥对接收到的密文帧进行解密 ; 5) 端到端加密系 统通知集群通信系统加密通信结束。
在实际应用中, 为确保无线信道加密通信的稳定可靠以及一次一密, 通常会建立 周期密钥同步机制, 即设置一个密钥同步周期, 假设密钥同步周期为 10, 那么则表示每隔 10 帧更新一次会话密钥, 并通过增加的密钥同步帧通知给接收方移动终端。
图 1 为现有密钥同步帧的增加方式示意图。如图 1 所示, 发送方端到端加密卡通 常位于发送方移动终端内, 负责完成加密, 并在每隔 10 帧之后, 重新生成一个会话密钥 ( 明 文帧 1 ~ 10 利用之前的会话密钥进行加密, 随后的明文帧则用更新后的会话密钥进行加 密 ), 携带在密钥同步帧中, 发送给接收方移动终端, 接收方移动终端将利用更新后的会话 密钥对在密钥同步帧之后接收到的密文帧进行解密 ; 由于密钥同步帧占用了明文帧 11 对 应的密文帧 11 的位置, 因此需要对明文帧 11 进行一些特殊的处理, 如可将明文帧 11 直接 丢弃, 即所谓的 “偷帧” , 或者, 也可将明文帧 11 延后一帧处理。
上述方式虽然能够实现加密同步, 但也存在一定的问题, 比如 : 依据之前的介绍可 知, 加解密过程均需要用到帧序号信息, 而该信息只能靠发送方移动终端和接收方移动终 端自己进行统计和记忆, 一旦统计错误, 比如针对某一密文帧, 发送方移动终端统计为第 10 帧, 而由于无线信道干扰和破坏等原因, 接收方移动终端统计出的帧序号不为第 10 帧, 则 会导致解密错误。
针对上述问题, 现有技术中提出以下解决方式, 即在每个密文帧和密钥同步帧中 均增加一个序列同步码, 用以标识各帧的帧序号。图 2 为现有序列同步码的增加方式示意 图, 假设密钥同步周期为 10, 则每个序列同步码占用 4bit 即可, 该序列同步码可以参与加 解密运算。图 2 所示明文帧 11 的处理方式同样为既可直接丢弃, 也可延后一帧处理。但 是, 这种方式也会存在问题 : 加密同步由端到端加密系统来完成, 而同步信息即序列同步码 需要占用业务数据帧 ( 用于传输通信数据的明文帧和密文帧均称为业务数据帧 ) 带宽, 这 样就会导致可用于通信数据传输的带宽资源减少。
发明内容有鉴于此, 本发明的主要目的在于提供两种加密同步实现方法, 能够节省带宽资源。 为达到上述目的, 本发明的技术方案是这样实现的 :
一种加密同步实现方法, 包括 :
发送方移动终端将明文帧及其对应的全局同步码 SSC 发送给发送方端到端加密 卡; 发送方端到端加密卡利用预先得到的会话密钥和 SSC 对明文帧进行加密, 并将加密后 得到的密文帧发送给发送方移动终端 ; 所述 SSC 由高位码 + 序列同步码 SNSC 两部分组成 ;
发送方移动终端将密文帧及其对应的 SNSC 发送给发送方无线基站 ; 发送方无线 基站确定接收到的 SNSC 对应的 SSC, 将密文帧和确定出的 SSC 通过核心网发送给接收方无 线基站 ; 接收方无线基站将密文帧及其对应的 SNSC 发送给接收方移动终端 ;
接收方移动终端确定接收到的 SNSC 对应的 SSC, 并将密文帧和确定出的 SSC 发送 给接收方端到端加密卡, 接收方端到端加密卡根据预先得到的会话密钥和 SSC 对密文帧进 行解密。
一种加密同步实现方法, 包括 :
发送方移动终端将明文帧及其对应的序列同步码 SNSC 发送给发送方端到端加密 卡; 发送方端到端加密卡利用预先得到的会话密钥和 SNSC 对明文帧进行加密, 并将加密后 得到的密文帧发送给发送方移动终端 ;
发送方移动终端将密文帧及其对应的 SNSC 发送给发送方无线基站 ; 发送方无线 基站将密文帧及其对应的 SNSC 通过核心网发送给接收方无线基站 ; 接收方无线基站将密 文帧及其对应的 SNSC 发送给接收方移动终端 ;
接收方移动终端将密文帧及其对应的 SNSC 发送给接收方端到端加密卡, 接收方 端到端加密卡根据预先得到的会话密钥和 SNSC 对密文帧进行解密。
可见, 采用本发明的技术方案, 将集群通信系统中原有的 SSC 或 SNSC 作为同步码 进行加密同步, 而不是像现有技术中一样为了实现加密同步在业务数据帧中专门增设同步 序列码, 因此节省了带宽资源。另外, 本发明所述方案中, 当将 SSC 作为同步码实现加密同 步时, 无需用到密钥同步帧, 这样, 本来发送该帧的位置即可用于发送业务数据帧, 从而进 一步节省了带宽资源。再有, 现有技术中, 当发送密钥同步帧时, 对应的业务数据帧则需要 抛弃或延迟处理, 这样无疑会导致通信质量下降, 而将 SSC 作为同步码实现加密同步后, 将 无需用到密钥同步帧, 从而提高了通信质量。
附图说明
图 1 为现有密钥同步帧的增加方式示意图。 图 2 为现有序列同步码的增加方式示意图。 图 3 为现有集群通信系统与端到端加密系统的组成结构示意图。 图 4 为现有集群通信系统中的同步码应用方式示意图。 图 5 为本发明集群通信系统为端到端加密系统提供同步码的示意图。 图 6 为本发明加密同步实现方法第一实施例的流程图。 图 7 为本发明加密同步实现方法第二实施例的流程图。 图 8 为本发明方法实施例中 SSC 的应用方式示意图。图 9 为本发明方法实施例中 SNSC 的应用方式示意图。 图 10 为现有 LTE 用户面协议栈示意图。 图 11 为基于 LTE 技术的集群通信系统与端到端加密系统的组成结构示意图。 图 12 为本发明加密同步实现方法第一较佳实施例的流程图。 图 13 为本发明加密同步实现方法第二较佳实施例的流程图。具体实施方式
针对现有技术中存在的问题, 本发明中提出一种全新的加密同步实现方法, 即 由 集 群 通 信 系 统 来 为 端 到 端 加 密 系 统 提 供 同 步 码, 包 括 全 局 同 步 码 (SSC, System synchronous Code) 和序列同步码 (SNSC, Sequence Numbersynchronous Code), 该同步码 由集群通信系统进行维护, 不需要占用额外的带宽, 从而节省了带宽资源。
图 3 为现有集群通信系统与端到端加密系统的组成结构示意图。如图 3 所示, 其 中的端到端加密卡 1、 端到端加密卡 2 和密钥管理中心 ( 用于进行与密钥相关的处理 ) 组 成端到端加密系统, 移动终端 1、 移动终端 2、 无线基站 1、 无线基站 2 和核心网组成集群通 信系统 ; 另外, 端到端加密卡与移动终端之间通过专用接口进行连接, 核心网与无线基站之 间采用 IP 连接, 无线基站和移动终端之间采用空口连接, 具体来说, 移动终端 1 和无线基站 1 相连接, 移动终端 2 和无线基站 2 相连接, 核心网负责调度无线基站和 1 和无线基站 2, 密 钥管理中心可以是一个移动终端, 也可以是一个与核心网直接相连的设备。 在集群通信系统中, SSC 为空口业务数据帧传输固有的同步帧号, 由高位码 +SNSC 两部分组成, 高位码的长度比 SNSC 的长度要长, 因为 SNSC 要与业务数据帧一起通过空口传 输。
图 4 为现有集群通信系统中的同步码应用方式示意图。如图 4 所示, SNSC 随业务 数据帧经空口传送到无线基站, SSC 由移动终端和无线基站进行维护, 无需随业务数据帧进 行传送, 但因为 SSC 由高位码和 SNSC 两部分组成, 而按照协商好的某种规则, 每个业务数据 帧对应的高位码移动终端和无线基站都是已知的, 所以得到 SNSC, 也就等于得到 SSC ; 每发 送一个业务数据帧, SNSC 则增加 1, SNSC 溢出后置 0, 高位码加 1, SSC 的初始化由通信系统 维护, 保证移动终端和无线基站之间同步。 另外, 核心网不传送任何同步码, 也就是说, 同步 码仅用于移动终端和无线基站之间。
本发明所述方案中, 为实现加密同步, 可由集群通信系统来为端到端加密系统提 供同步码。图 5 为本发明集群通信系统为端到端加密系统提供同步码的示意图。如图 5 所 示, 业务数据帧及其对应的 SSC 或 SNSC 一起送入端到端加密卡, 核心网接收并传送同步码 到无线基站, 另外, 业务数据帧在网络中传送时均为密文形式。
图 6 为本发明加密同步实现方法第一实施例的流程图。假设本实施例中采用的同 步码为 SSC。如图 6 所示, 包括以下步骤 :
步骤 61 : 发送方移动终端将明文帧及其对应的 SSC 发送给发送方端到端加密卡 ; 发送方端到端加密卡利用会话密钥和 SSC 对明文帧进行加密, 并将加密后得到的密文帧发 送给发送方移动终端 ; 发送方移动终端将密文帧及其对应的 SNSC 发送给发送方无线基站。
如何确定不同明文帧对应的 SSC 和 SNSC 以及如何获取会话密钥均为现有技术, 不 再赘述。
步骤 62 : 发送方无线基站确定接收到的 SNSC 对应的 SSC, 将密文帧和确定出的 SSC 通过核心网发送给接收方无线基站 ; 接收方无线基站将密文帧及其对应的 SNSC 发送给 接收方移动终端。
步骤 63 : 接收方移动终端确定接收到的 SNSC 对应的 SSC, 并将密文帧和确定出的 SSC 发送给接收方端到端加密卡 ; 接收方端到端加密卡根据会话密钥和 SSC 对密文帧进行 解密。
由于 SSC 由高位码和 SNSC 两部分组成, 而高位码对于移动终端来说是已知的, 因 此接收方移动终端可以确定出接收到的 SNSC 对应的 SSC。
另外, 本步骤所述接收方端到端加密卡如何进行解密以及步骤 61 所述发送方端 到端加密卡如何进行加密均为现有技术, 不再赘述。
图 7 为本发明加密同步实现方法第二实施例的流程图。假设本实施例中采用的同 步码为 SNSC。如图 7 所示, 包括以下步骤 :
步骤 71 : 发送方移动终端将明文帧及其对应的 SNSC 发送给发送方端到端加密卡 ; 发送方端到端加密卡利用会话密钥和 SNSC 对明文帧进行加密, 并将加密后得到的密文帧 发送给发送方移动终端 ; 发送方移动终端将密文帧及其对应的 SNSC 发送给发送方无线基 站。 进一步地, 发送方端到端加密卡还需要建立周期密钥同步机制, 即根据 SNSC 的长 度确定密钥同步周期 T, 假设 SNSC 的长度 Lbit, 则 T 的取值不能大于 2 的 L 次方, 这样, 每经 过 T 个明文帧之后则需要更新一次会话密钥, 即将每 T 个明文帧之后的第 T+1 帧作为密钥 同步帧, 其中携带有更新后的会话密钥, 之后的明文帧将利用更新后的会话密钥进行加密。 如何更新会话密钥为现有技术, 不再赘述。
步骤 72 : 发送方无线基站将密文帧及其对应的 SNSC 通过核心网发送给接收方无 线基站 ; 接收方无线基站将密文帧及其对应的 SNSC 发送给接收方移动终端。
步骤 73 : 接收方移动终端将密文帧及其对应的 SNSC 发送给接收方端到端加密卡 ; 接收方端到端加密卡根据会话密钥和 SNSC 对密文帧进行解密。
进一步地, 如果接收方端到端加密卡接收到密钥同步帧, 则验证并获取其中携带 的更新后的会话密钥, 并根据更新后的会话密钥对后续接收到的密文帧进行解密, 直到接 收到新的密钥同步帧。
另外, 如果接收方端到端加密卡确定接收到密文帧的 SNSC 序号不连续, 或密钥同 步帧未通过预定的验证, 或密钥同步帧接收错误, 则确定发生失步, 按预定失步方式进行处 理, 如抛弃随后接收到的密文帧, 直到正确接收到下一密钥同步帧, 或者, 继续正常处理后 续接收到的密文帧, 具体方式可根据实际需要而定, 不作限制。
图 8 为本发明方法实施例中 SSC 的应用方式示意图。图 9 为本发明方法实施例中 SNSC 的应用方式示意图。具体实现可参照上述介绍, 不再赘述。
对于不同的集群通信系统, 上述 SSC 和 SNSC 可表现为不同的形式。比如, 对于基 于长期演进 (LTE) 技术的集群通信系统, 所述 SSC 是指分组数据汇聚协议层 (PDCP) 协议数 据单元 (PDU) 对应的 32bit 计数器 COUNT, 由超帧号 (HFN) 和序列号 (SN) 两部分组成, 其中 SN 的长度根据不同业务可以为 5、 7 或 12bit, 相应地, HFN 的长度可为 27、 25 或 20bit, SNSC 即指 SN ; HFN 由移动终端和无线基站进行维护, SN 随数据帧空口传送。
图 10 为现有 LTE 用户面协议栈示意图。如图 10 所示, 主要包括物理层 (PHY)、 媒 体接入控制层 (MAC)、 无线链路控制层 (RLC) 和 PDCP 层 ; PDCP 层从应用平面接收服务数据 单元 (SDU), 提供 PDU 给 RLC 层。PDU 对应两个计数器, 分别为上行计数器和下行计数器, 每 个方向出现一个 PDU, 对应的计算器就将加 1。
基于 LTE 技术的集群通信系统通过在 LTE 架构上增加集群单元来实现。图 11 为 基于 LTE 技术的集群通信系统与端到端加密系统的组成结构示意图。
基于图 11 所示系统, 可按以下方式实现加密同步 :
阶段 1 : 发送方移动终端侧的处理
步骤 1 : 发送方移动终端形成明文帧 M_F, 该帧以后会通过增加 IP 报头等形成 PDU, 对应一个 COUNT( 上行 ), 发送方移动终端将 M_F 和 COUNT 发送给发送方端到端加密卡。
如果发送方移动终端将 M_F 和 SN 发送给发送方端到端加密卡, 并假设 SN 的长度 为 Lbit, 那么则需要建立周期密钥同步机制, 密钥同步周期 T 不大于 2 的 L 次方, 即每经过 T 个明文帧之后应更新一次会话密钥, 用于下一个周期内的各明文帧的加密。
步骤 2 : 发送方端到端加密卡利用会话密钥和 COUNT 对 M_F 进行加密, 形成密文帧 CM_F, 发送给发送方移动终端。 如果采用的同步码为 SN, 则利用会话密钥和 SN 对 M_F 进行加密。
步骤 3 : 发送方移动终端给 CM_F 增加 IP 报头等形成数据 PDU, 对应一个 COUNT( 上 行 ), 将 PDU 及其 COUNT 对应的 SN 发送给发送方无线基站。
阶段 2 : 发送方无线基站和接收方无线基站侧的处理
步骤 1 : 发 送 方 无 线 基 站 接 收 到 PDU(IP 报 头 +CM_F) 和 SN 后, 确 定 SN 对 应 的 COUNT( 上行 ), 并将其加在 CM_F 后面, 相应修改 IP 报头中的数据长度 ( 增加 4 字节 ), 然后 将 “IP 报头 +CM_F+COUNT” 通过 S-GW 等发送给接收方无线基站。
如果采用的同步码为 SN, 则传送 “IP 报头 +CM_F+SN” ( 增加字节数由 SN 长度确 定 )。
步骤 2 : 接收方无线基站接收到 “IP 报头 +CM_F+COUNT” 或 “IP 报头 +CM_F+SN” 后, 还原 IP 报头中的数据长度, 恢复原 “IP 报头 +CM_F” 。
如接收到的 COUNT 的 HFN 与下行 COUNT 的 HFN 不一致, 则需要与接收方移动终端 维护下行 COUNT 的 HFN 与上行 COUNT 的 HFN 一致。
步骤 3 : 接收方无线基站将 PDU(IP 报头 +CM_F) 及其对应的 SN 发送给接收方移动 终端。
阶段 3 : 接收方移动终端侧的处理
步骤 1 : 接收方移动终端利用接收到的 SN 确定出其对应的 COUNT( 下行, 和上行 COUNT 是一致的 ), 并得到 CM_F。
步骤 2 : 接收方移动终端将 COUNT( 下行 ) 和 CM_F 发送给接收方端到端加密卡, 接 收方端到端加密卡利用 COUNT( 下行 ) 和会话密钥对 CM_F 进行解密, 得到 M_F。
如果采用的同步码为 SN, 则利用会话密钥和 SN 进行解密, 另外, 如果接收到密钥 同步帧, 则验证并获取更新后的会话密钥, 用于后续解密, 如失步, 则按之前提到的预定失 步方式进行处理。
下面通过两个较佳实施例, 对基于图 11 所示系统实现的加密同步进行进一步地
说明。 图 12 为本发明加密同步实现方法第一较佳实施例的流程图。假设本实施例中采 用的同步码为 COUNT。如图 12 所示, 包括以下步骤 :
步骤 121 : 发送方移动终端形成明文帧 M_F, 该帧以后会通过增加 IP 报头等形成 PDU, 对应一个 COUNT( 上行 ), 发送方移动终端将 M_F 和 COUNT( 上行 ) 发送给发送方端到端 加密卡。
步骤 122 ~ 123 : 发送方端到端加密卡利用会话密钥和 COUNT( 上行 ) 对 M_F 进行 加密, 形成密文帧 CM_F, 发送给发送方移动终端。
步 骤 124 : 发 送 方 移 动 终 端 给 CM_F 增 加 IP 报 头 等 形 成 数 据 PDU, 对应一个 COUNT( 上行 )。
步骤 125 : 发送方移动终端将 PDU 及其对应的 SN 发送给发送方无线基站。
步骤 126 ~ 127 : 发送方无线基站接收到 PDU(IP 报头 +CM_F) 和 SN 后, 确定 SN 对 应的 COUNT( 上行 ), 并将其加在 CM_F 后面, 相应修改 IP 报头中的数据长度 ( 增加 4 字节 ), 然后将 “IP 报头 +CM_F+COUNT” 通过 S-GW 等发送给接收方无线基站。
步骤 128 ~ 129 : 接收方无线基站接收到 “IP 报头 +CM_F+COUNT” 后, 还原 IP 报头 中的数据长度, 用 SN 对应一个 COUNT( 下行 ) ; 接收方无线基站将 PDU(IP 报头 +CM_F) 及其 对应的 SN 发送给接收方移动终端。
步骤 1210 : 接收方移动终端利用接收到的 SN 确定出其对应的 COUNT( 下行 ), 并得 到 CM_F。
步骤 1211 ~ 1213 : 接收方移动终端将 COUNT( 下行 ) 和 CM_F 发送给接收方端到 端加密卡 ; 接收方端到端加密卡利用 COUNT( 下行 ) 和会话密钥对 CM_F 进行解密, 得到 M_ F; 接收方端到端加密卡将得到的 M_F 发送给接收方移动终端。
图 13 为本发明加密同步实现方法第二较佳实施例的流程图。假设本实施例中采 用的同步码为 SN。如图 13 所示, 包括以下步骤 :
步骤 131 : 发送方移动终端形成明文帧 M_F, 该帧以后会通过增加 IP 报头等形成 PDU, 对应一个 SN, 发送方移动终端将 M_F 和 SN 发送给发送方端到端加密卡。
另外, 假设 SN 的长度为 Lbit, 那么还需要建立周期密钥同步机制, 密钥同步周期 T 不大于 2 的 L 次方, 即每经过 T 个明文帧之后应更新一次会话密钥, 用于下一个周期内的各 明文帧的加密。
需要说明的是, 按照这种方式建立周期密钥同步机制仅为一种举例说明, 如果采 用其它方式也是可以的。
步骤 132 ~ 133 : 发送方端到端加密卡利用会话密钥和 SN 对 M_F 进行加密, 形成 密文帧 CM_F, 并将 CM_F 发送给发送方移动终端。
步骤 134 ~ 135 : 发送方移动终端给 CM_F 增加 IP 报头等形成数据 PDU, 将 PDU 及 其对应的 SN 发送给发送方无线基站。
步骤 136 ~ 137 : 发送方无线基站接收到 PDU(IP 报头 +CM_F) 和 SN 后, 将 SN 加在 CM_F 后面, 相应修改 IP 报头中的数据长度 ( 比如, 如果 SN 的长度为 7bit, 则增加 1 字节, 如果为 12bit, 则增加 2 字节 ), 然后将 “IP 报头 +CM_F+SN” 通过 S-GW 等发送给接收方无线 基站。
步骤 138 ~ 139 : 接收方无线基站接收到 “IP 报头 +CM_F+SN” 后, 还原 IP 报头中 的数据长度 ( 比如, 如果 SN 的长度为 7bit, 则减少 1 字节, 如果为 12bit, 则减少 2 字节 ) ; 接收方无线基站将和 PDU(IP 报头 +CM_F) 及其对应的 SN 发送给接收方移动终端。
步骤 1310 ~ 1311 : 接收方得到 CM_F 和 SN, 并将 SN 和 CM_F 发送给接收方端到端 加密卡。
步骤 1312 ~ 1313 : 接收方端到端加密卡利用 SN 和会话密钥对 CM_F 进行解密, 得 到 M_F, 发送给接收方移动终端。
如果接收到密钥同步帧, 则验证并获取更新后的会话密钥, 用于后续解密, 如失 步, 则按之前提到的预定方式进行处理。
至此, 即完成了关于本发明所述加密同步实现方法的介绍。 需要说明的是, 上述仅 以单呼为例进行介绍, 同样适用于集群组呼, 不再赘述。
总之, 采用本发明的技术方案, 将集群通信系统中原有的 SSC 或 SNSC 作为同步码 进行加密同步, 而不是像现有技术中一样为了实现加密同步在业务数据帧中专门增设同步 序列码, 从而节省了带宽资源。另外, 本发明所述方案中, 当将 SSC 作为同步码实现加密同 步时, 无需使用到密钥同步帧, 这样, 本来发送该帧的位置即可用于发送业务数据帧, 从而 进一步节省了带宽资源。再有, 现有技术中, 当发送密钥同步帧时, 对应的业务数据帧则需 要抛弃或延迟处理, 这样无疑会导致通信质量下降, 而将 SSC 作为同步码实现加密同步后, 将无需用到密钥同步帧, 从而提高了通信质量。 以上所述仅为本发明的较佳实施例而已, 并不用以限制本发明, 凡在本发明的精 神和原则之内, 所做的任何修改、 等同替换、 改进等, 均应包含在本发明保护的范围之内。