一种集组呼端到端加密的实现方法

本发明涉及无线通信领域，尤其涉及一种集组呼端到端加密的实现 方法。

现有技术公开的集组呼端到端加密的实现方法，是在明文的集组 呼建立完成之后，再由密钥管理中心将集组呼密钥分别发送给集组成 员；或者是在明文的集组呼建立完成之后，再由组呼发起方生成集组 呼密钥分别发送给集组成员。

上述方法的不足之处在于集组呼密钥的分发与集组呼建立流程是 分离的，大大增加了集组呼端到端加密的呼叫建立时延；另外，空中接 口上每个听话方都要建立业务信道来发送集组呼密钥，增加了空中接口 资源开销。

为了解决上述问题，本发明提出了一种集组呼端到端加密的实现方 法，该方法包括以下步骤：

1.1，组呼发起方发送组呼建立请求消息给，所述组呼建立请求消 息中携带组身份识别码和加密呼叫标记；

1.2，组呼发起方所在的将接收到的组呼建立请求消息透传给交换 机；

1.3，交换机接收组呼建立请求消息后，根据加密呼叫标记判断呼叫类 型为加密呼叫，则构造组呼密钥申请消息给密钥管理密码机，所述组呼密 钥申请消息中携带组身份识别码；

1.4，密钥管理密码机接收到组呼密钥申请消息，查询是否存在所述组 身份识别码，若存在则生成组呼密钥，并且返回组呼密钥申请响应消息给 交换机，所述组呼密钥申请响应消息中携带组身份识别码、申请成功标识 和组呼密钥；

1.5，交换机接收到组呼密钥申请响应消息，如果密钥申请成功则保存 组呼密钥，并且建立组身份识别码与组呼密钥的对应关系，同时向组呼发 起方所在的发送组呼建立响应消息，所述组呼建立响应消息中携带组 身份识别码和组呼密钥；

1.6，组呼发起方所在的将组呼建立响应消息透传给组呼发起方；

1.7，组呼发起方接收到组呼建立响应消息，则在获取并解析组呼密钥 后，打开听筒和话筒；

1.8，交换机向寻呼区域内所有发送组寻呼请求消息，所述组寻呼 请求消息中携带组身份识别码、加密呼叫标记和组呼密钥；

1.9，寻呼区域内接收到组寻呼请求消息，为所述集组呼分配下 行共享信道资源，然后在广播信道上下发组寻呼请求消息，所述组寻呼请 求消息中携带组身份识别码、加密呼叫标记、下行共享信道资源和组呼密 钥；

1.10，组呼听话方接收到组寻呼请求消息后，判断是否组身份识别码 为自己所附属的组并且该呼叫为加密呼叫，若是，则获取组呼密钥并进行 解析，解析成功后，打开听筒和话筒并发送组寻呼响应消息给所在的；

1.11，接收到组寻呼响应消息后，发送组寻呼响应消息给交换机；

1.12，组呼发起方和组呼听话方进入密文通话。

优选的，密钥管理密码机根据所述组身份识别码生成组呼密钥，组呼 密钥在每次组呼中可以都不相同。组呼密钥还可以不是实际的组呼工作密 钥，组呼成员根据组呼密钥采用预先确定的算法规则计算出实际的组呼工 作密钥。例如：组呼发起方在接收到组呼建立响应消息之后，计算实际的 组呼工作密钥；组呼听话方在成功解析组呼密钥之后立即计算实际的组呼 工作密钥。

优选的，上述组寻呼请求消息还可以包括迟后进入寻呼消息。进一步 的，组寻呼请求消息可以采用连续两帧寻呼机制，第一帧组寻呼请求消息 携带组身份识别码、加密呼叫标记和下行共享信道资源；第二帧组寻呼请 求消息携带组呼密钥；组呼听话方在接收到第一帧组寻呼请求消息之后， 判断出组身份识别码为自己所附属的组并且该呼叫类型为加密呼叫，则等 待下一帧来获取组呼密钥。

优选的，所述密文通话采用组呼讲话方加密、组呼听话方解密的方式， 不对语音包做任何的加解密操作。

优选的，组呼成员如果解析组呼密钥失败，则不加入该组呼。

优选的，上述密钥管理密码机接收到组呼密钥申请消息，查询是否存 在所述组身份识别码时，如果不存在，则直接返回组呼密钥申请响应消息 给交换机，所述组呼密钥申请响应消息中携带组身份识别码和申请失败标 识，交换机接收后则向组呼发起方所在的发送组呼释放消息，该 透传组呼释放消息给组呼发起方，组呼至此结束。

优选的，交换机接收组呼建立请求消息后，如果发现该加密组呼已经 存在，则通过组呼发起方所在的返回组呼建立失败消息给组呼发起方， 失败原因指示组呼已经存在，组呼发起方等待迟后进入寻呼来加入组呼或 者主动向其所在的申请组呼的下行共享信道资源和组呼密钥来加入组 呼。

与现有技术相比，本发明的优点在于：

（1）本发明端到端加密集组呼建立流程与明文集组呼建立流程完 全一致，不会因为新增加消息交互而增加集组呼接通时延。

（2）集组呼听话方在下行共享信道获取集组呼密钥，节省了空中 接口资源。

（3）集组呼业务流程保证了用户加入集组呼业务的同时获取集 密钥，避免由于听话方先加入组呼，后获取组呼密钥而导致听话方播放没 有经过解密或者解密失败的语音包的情况。

图1是本发明所适用的无线集通信系统的网络架构示意图；

图2是本发明实施例的集组呼端到端加密的实现流程图。

本发明所对应的无线集通信系统的网络架构如图1所示，包括终端、 、交换机和密钥管理密码机。这几个组成部分的功能说明如下：

终端：实现无线集通信系统网络的终端功能，是用户（不仅限于人， 也可以是机器）接入系统的交互界面，为用户提供集语音等业务。

：实现无线集通信系统的空中接口功能，包括空中接口物理层、 MAC层和网络层功能，并将用户接入到不同的业务服务网络。

交换机：完成其服务区域内终端的集业务的控制和管理功能，是集 业务的控制管理中心。

密钥管理密码机：包括密钥分发中心和密钥管理中心两个逻辑模块。 密钥分发中心负责在线分发密钥，定时更新密钥；密钥管理中心负责产生、 维护和管理密钥。

下面结合附图，通过具体实施例对本发明做进一步详细说明。

实施例1

本发明实施例中，1下的终端A和2下的终端B、终端C为 一个集组，设定该集组身份识别码为GID1。终端A、终端B、终端C 在开机进行的集业务注册流程中获取到所附属的集组的组身份识别码 为GID1。参见图2，本实施例的集组呼端到端加密的实现流程包括：

步骤101、终端A发起GID1的加密组呼，即发送组呼建立请求消息 给，消息中携带：加密呼叫标记、组身份识别码GID1。

步骤102、1透传组呼建立请求消息给交换机，消息中携带：加 密呼叫标记、组身份识别码GID1。

步骤103、交换机接收组呼建立请求消息后，判断呼叫类型为加密呼 叫，则构造组呼密钥申请请求消息给密钥管理密码机，消息中携带组身份 识别码，交换机同时将集组呼状态置为加密组呼中，表示加密组呼已经 存在。

步骤104、密钥管理密码机接收到组呼密钥申请请求消息后，查询数 据库：如果存在该组身份识别码GID1，则根据某一规则生成集组呼密钥， 并且返回组呼密钥申请响应消息给交换机，消息中携带：组身份识别码、 申请成功标识、组呼密钥。

本实施例的组呼密钥是由密钥管理密码机根据组身份识别码GID1生 成的，它不是实际的组呼工作密钥，而是实际的组呼工作密钥的前身，组 呼成员获取此组呼密钥后，在预先确定的算法规则下再计算出实际的组呼 工作密钥。为了加强保密，组呼密钥可以在每次组呼中都不相同。

步骤105、交换机接收到组呼密钥申请响应消息，如果密钥申请成功 则保存组呼密钥，并且建立组身份识别码GID1与组呼密钥的对应关系。 同时，交换机根据组呼发起方终端A的相关信息，向终端A所在的1 发送组呼建立响应消息，消息中携带：组身份识别码、组呼密钥。

步骤106、1透传组呼建立响应消息给终端A，终端A接收到组 呼建立响应消息，获取组呼密钥，成功解析组呼密钥并按照预先确定的算 法规则计算出实际的组呼工作密钥，然后加入该组呼，即打开听筒和话筒。

步骤107、交换机根据组身份识别码GID1对应的寻呼区域，向寻呼区 域内所有分别发送组寻呼请求消息来建立下行共享信道，消息中携带： 组身份识别码、加密呼叫标记和组呼密钥。

该步骤所述的组寻呼请求消息还包括迟后进入寻呼消息。交换机发送 的迟后进入寻呼消息中也携带组身份识别码、加密呼叫标记和组呼密钥。

步骤108、2接收到组寻呼请求消息，为组身份识别码GID1分配 集组呼的下行共享信道资源，然后在空中接口的广播信道下发组寻呼请 求消息，消息中携带组身份识别码GID1、加密呼叫标记、下行共享信道资 源和组呼密钥。

本实施例的组寻呼请求消息可以采用连续两帧寻呼机制，第一帧寻呼 请求消息指示组身份识别码、加密呼叫和下行共享信道资源；第二帧寻呼 请求消息携带组呼密钥。相应的，2下发的迟后进入寻呼消息也执行 连续两帧寻呼机制，第一帧寻呼请求消息指示组身份识别码、加密呼叫和 下行共享信道资源；第二帧寻呼请求消息携带组呼密钥。

步骤109、终端B和终端C接收到第一帧组寻呼请求消息，根据消息 中的组身份识别码判断为自己所附属的组，且根据加密呼叫标记判断该呼 叫类型为加密呼叫，则等待下一帧来获取组呼密钥，成功解析组呼密钥并 按照预先确定的算法规则计算出实际的组呼工作密钥后，则加入该组呼， 即打开听筒和话筒，发送组寻呼响应消息给。

步骤110、2接收到组寻呼响应消息，则发送组呼寻呼响应消息 给交换机。

步骤111、终端A和终端B、终端C进入密文通话。在密文通话过程 中，组呼讲话方加密，组呼听话方解密，不对语音包做任何的加解密 操作。

本实施例的上述步骤中，终端A、终端B或终端C如果解析组呼密钥 失败，则不打开听筒和话筒。

此外，本发明还给出了两个特殊情况的处理方法，具体如下。当然， 本领域的技术人员也可以采用其它合适的方法处理，只要不影响实施例1 的实施和效果即可。

实施例2：在实施例1的步骤中，如果密钥管理密码机接收到组呼密 钥申请请求消息，查询数据库时，数据库中不存在组身份识别码GID1，密 钥管理密码机可以直接返回组呼密钥申请响应消息给交换机，消息中可以 携带组身份识别码和申请失败标识；相应的，交换机随后接收到组呼密钥 申请响应消息后，则向终端A所在1发送组呼释放消息，1透传 组呼释放消息给终端A，组呼至此结束。

实施例3：在实施例1的步骤中，交换机接收到组呼建立请求时，如 果发现该加密组呼已经存在，则可以返回组呼建立失败消息给终端A，失 败原因指示组呼已经存在。终端A可以等待迟后进入寻呼来加入该组呼或 者主动向1申请该组呼的下行共享信道资源和组呼密钥来加入此组 呼。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在 本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含 在本发明的保护范围之内。