專利名稱：確定密鑰更新時間的方法及密鑰使用實體的制作方法
技術領域：
本發(fā)明涉及無線通信技術領域，尤其涉及ー種確定密鑰更新時間的方法及系統(tǒng)
背景技術：
在無線通信網(wǎng)絡中，為了保證MBS (組播廣播業(yè)務)的通信安全，空ロ傳輸?shù)臄?shù)據(jù)都用組播密鑰加密，以保證無線通信網(wǎng)絡僅允許 簽約該業(yè)務的用戶才能接收該業(yè)務。為了防止密鑰泄露威脅通信安全，GTEK(組播業(yè)務加密密鑰)需要定期更換。同時為了保證通信業(yè)務的連續(xù)性，基站和終端之間要建立協(xié)同關系，在舊密鑰生命周期結(jié)束之前，從密鑰管理實體處獲得新密鑰，保證在舊密鑰過期時可以立即更新舊密鑰，以確保無線通信業(yè)務安全、順利進行。在現(xiàn)有技術條件下的MBS中，所述的GTEK是基站在M&B TEK Grace Time (組播多播業(yè)務加密密鑰優(yōu)雅時間)到期或者初始分發(fā)GTEK密鑰參數(shù)時，通過廣播連接向終端分發(fā)的。所述的M&B TEK Grace Time是指基站側(cè)在此時間到達時，發(fā)起GTEK更新。若終端在設定的TEK Grace Time (業(yè)務加密密鑰優(yōu)雅時間)過期時，仍然沒有收到基站發(fā)送的新GTEK參數(shù)，那么，終端的TEK (業(yè)務加密密鑰)狀態(tài)機將通過主管理連接向基站發(fā)送GTEK請求消息。所述的TEK Grace Time是指終端側(cè)在此時間到達時，發(fā)起GTEK更新請求。基站在收到GTEK請求消息后，通過密鑰回復消息向終端發(fā)送新的GTEK參數(shù)。具體過程如圖I所示。所述的GTEK參數(shù)具體可以包括GTEK、GTEK生命時間、GTEK序列號、CBC(加密塊模式)初始向量、相關聯(lián)的GTEK序列號。其中，GTEK生命時間是指GTEK的過期時間。在現(xiàn)有技術條件下，由于通信系統(tǒng)對于移動情況下的終端無法通過網(wǎng)管配置管理信息，因此，網(wǎng)管無法為終端配置包括M&B TEK Grace Time或TEKGrace Time在內(nèi)的系統(tǒng)參數(shù)，而終端為了保證業(yè)務安全、連續(xù)的進行，則必須自己分配TEK Grace Time。在上述實現(xiàn)方案中，基站側(cè)的M&B TEK Grace Time與終端所屬組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK Grace Time的相對大小無法確定，使得可能在基站側(cè)即將發(fā)起密鑰更新之前，終端依然根據(jù)自身設定的TEK Grace Time值發(fā)起密鑰更新操作，這ー情況顯然導致處理程序上的浪費，同時還消耗了寶貴的網(wǎng)絡資源，以及影響了密鑰更新的效率。

發(fā)明內(nèi)容
本發(fā)明一方面提供了ー種確定密鑰更新時間的方法，包括在密鑰使用實體移動狀態(tài)下，密鑰使用實體接收密鑰管理實體發(fā)送的組播密鑰更新時間，所述組播密鑰更新時間包括M&B TEK Grace Time或TEK Grace Time ;如果所述密鑰使用實體接收到的組播密鑰更新時間中包含所述M&BTEK Grace Time，則所述密鑰使用實體按照所述密鑰使用實體的密鑰更新時間將組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK Grace Time設置為小于所述M&BTEK Grace Time的值；或者，如果所述密鑰使用實體接收到的組播密鑰更新時間中包含所述TEK Grace Time，則所述密鑰使用實體按照所述密鑰使用實體的密鑰更新時間將組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK Grace Time設置為所述組播密鑰更新時間中包含的所述 TEK Grace Time 的值。本發(fā)明另一方面還提供了一種密鑰使用實體，所述密鑰使用實體在移動狀態(tài)下，所述密鑰使用實體包括接 收單元和處理單元。上述接收單元用于接收密鑰管理實體發(fā)送的組播密鑰更新時間，所述組播密鑰更新時間包括M&BTEK Grace Time或TEK Grace Time。上述處理單元用于如果所述接收単元接收到的組播密鑰更新時間中包含所述M&B TEKGrace Time，則按照所述密鑰使用實體的密鑰更新時間將組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEKGrace Time設置為小于所述M&B TEK Grace Time的值；或者，如果所述接收單元接收到的組播密鑰更新時間中包含所述TEK Grace Time，則按照所述密鑰使用實體的密鑰更新時間將組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK Grace Time設置為所述組播密鑰更新時間中包含的所述TEK Grace Time的值。由上述本發(fā)明提供的技術方案可以看出，本發(fā)明由于規(guī)定了密鑰使用實體根據(jù)由密鑰管理實體負責配置和發(fā)送的組播密鑰更新時間，來設定密鑰使用實體的密鑰更新時間，從而確保了密鑰使用實體在移動的背景下，穩(wěn)定、可靠的獲得密鑰管理實體發(fā)送的GTEK參數(shù)，提高了無線通信系統(tǒng)的穩(wěn)定性和安全性。


圖I為現(xiàn)有技術中終端獲得基站配置的GTEK參數(shù)的流程圖；圖2為本發(fā)明所述方法的具體實現(xiàn)過程示意圖；圖3為在廣播系統(tǒng)中本發(fā)明所述方法的具體實現(xiàn)過程示意圖；圖4為在單播系統(tǒng)中本發(fā)明所述方法的具體實現(xiàn)過程示意圖；圖5為本發(fā)明所述裝置的具體實現(xiàn)結(jié)構示意圖。
具體實施例方式本發(fā)明的主要目的是在通信系統(tǒng)中，為保證網(wǎng)絡側(cè)的密鑰更新優(yōu)先于終端側(cè)的密鑰更新操作，要求網(wǎng)絡側(cè)事先設定的M&B TEK Grace Time (組播多播業(yè)務加密密鑰優(yōu)雅時間)值比終端自己設定的TEK Grace Time (業(yè)務加密密鑰優(yōu)雅時間)的值大，以保證M&BTEK Grace Time時間先到達，從而使得基站側(cè)優(yōu)先發(fā)起GTEK參數(shù)更新，以提高密鑰更新的效率。在通信系統(tǒng)中，為保證事先設定的M&B TEK Grace Time值比終端自己設定的TEKGrace Time的值大，本發(fā)明主要采用的技術方案為由密鑰管理實體將組播密鑰更新時間下發(fā)給密鑰使用實體，從而使得密鑰使用實體可以根據(jù)下發(fā)的組播密鑰更新時間設置滿足條件的密鑰使用實體發(fā)起的密鑰更新時間。為了便于對本發(fā)明的理解，下面結(jié)合附圖2，分步驟對本發(fā)明的具體實現(xiàn)進行詳細說明步驟21 :密鑰使用實體向密鑰管理實體發(fā)送密鑰更新請求消息，請求密鑰管理實體發(fā)送新的GTEK參數(shù)以替換到期的舊GTEK參數(shù)，所述的密鑰管理實體包括密鑰生成實體、密鑰分發(fā)實體、和/或基站，所述的密鑰使用實體包括終端和/或基站；步驟22 :密鑰管理實體接收并獲取密鑰使用實體發(fā)送的密鑰更新請求消息后，確定組播密鑰更新時間，所述的組播密鑰更新時間包括M&B TEK Grace Time或TEK GraceTime ；步驟23 :密鑰管理實體通過發(fā)送組播密鑰更新消息或組播密鑰回復消息將組播密鑰更新時間發(fā)送給密鑰使用實體，具體可以包括若所述密鑰管理實體在通過廣播模式發(fā)送組播密鑰更新時間時，采用組播密鑰更新消息；若所述密鑰管理實體在通過單播模式發(fā)送組播密鑰更新時間時，采用組播密鑰回復消息；本發(fā)明所述的組播密鑰更新時間，包括M&B TEK Grace Time或TEK Grace Time可以作為所述消息中的ー個屬性參數(shù)，也可以作為消息中包含的GTEK參數(shù)中的ー個屬性參數(shù)，此時，所述的GTEK參數(shù)具體可以包括GTEK、GTEK生命時間、GTEK序列號、CBC初始向量、相關聯(lián)的 GKEK 序列號，以及 M&B TEK Grace Time 或 TEK Grace Time。
步驟24 :密鑰使用實體根據(jù)接收并獲取的組播密鑰更新時間來確定密鑰使用實體的密鑰更新時間，即密鑰使用實體所屬的組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK GraceTime ；此步驟具體可以包括(I)若密鑰使用實體接收并獲取到的消息中包含的組播密鑰更新時間是M&B TEKGrace Time，則密鑰使用實體將其所屬的組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK GraceTime值設定ー個小于密鑰管理實體設定的M&B TEK Grace Time值，以便于M&B TEK GraceTime時間先到達，基站側(cè)優(yōu)先發(fā)起更新，若更新成功，則無需終端發(fā)起更新，這樣就達到了本發(fā)明的目的；(2)若密鑰使用實體接收并獲取到的消息中包含的組播密鑰更新時間是TEKGrace Time，則密鑰使用實體將其所屬的組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK GraceTime設定ー個與密鑰管理實體設定的TEK Grace Time相同的值，由于密鑰管理實體在配置之初，已經(jīng)將TEK Grace Time值設定為小于M&B TEK Grace Time值，所以，也可以達到本發(fā)明的目的。所述密鑰管理實體在將組播密鑰更新時間發(fā)送給密鑰使用實體時，可以通過廣播模式或單播模式，為便于對本發(fā)明的理解，下面將結(jié)合附圖對本發(fā)明所屬的不同傳輸模式進行詳細的說明I、在廣播傳輸模式時，具體實現(xiàn)過程示意圖如圖3所示，具體可以包括密鑰管理實體在初始下發(fā)GTEK參數(shù)或者GTEK參數(shù)更新時，將組播密鑰更新時間M&B TEK GraceTime或者TEK Grace Time通過發(fā)送組播密鑰更新消息下發(fā)給密鑰使用實體。所述的密鑰更新時間可以作為組播密鑰更新消息中包含的ー個屬性參數(shù)，也可以作為組播密鑰更新消息中包含的GTEK參數(shù)中的ー個屬性參數(shù)。所述的密鑰管理實體可以包括密鑰生成實體、密鑰分發(fā)實體、和/或基站；所述的密鑰使用實體可以包括終端和/或基站。2、在單播傳輸模式時，具體實現(xiàn)過程示意圖如圖4所示，具體可以包括(I)在GTEK參數(shù)初始化或者更新時，密鑰使用實體向密鑰管理實體發(fā)送密鑰請求消息，請求密鑰管理實體發(fā)送新GTEK參數(shù)；(2)密鑰管理實體通過發(fā)送密鑰回復消息將組播密鑰更新時間發(fā)送給密鑰使用實體。
所述的組播密鑰更新時間可以作為密鑰回復消息中包含的ー個屬性參數(shù)，也可以作為組播密鑰更新消息中包含的GTEK參數(shù)中的ー個屬性參數(shù)。所述的密鑰管理實體包含密鑰生成實體、密鑰分發(fā)實體、和/或基站。所述的密鑰使用實體包含終端和/或基站。本發(fā)明還提供了ー種確定密鑰更新時間的系統(tǒng)，包括密鑰管理實體和密鑰使用實體，具體實現(xiàn)結(jié)構如圖5所示，所述系統(tǒng)主要包括以下組成單元(I)密鑰發(fā)送單元設置于密鑰管理實體中，用于將組播密鑰更新時間通過組播密鑰更新消息或組播密鑰回復消息發(fā)送給密鑰使用實體中的密鑰接收單元；所述的密鑰更新時間可以作為組播密鑰更新消息或組播密鑰回復消息中包含的 ー個屬性參數(shù)，也可以作為組播密鑰更新消息中包含的GTEK參數(shù)中的ー個屬性參數(shù)；(2)密鑰接收單元設置于密鑰使用實體中，用于接收并獲取所述的組播密鑰更新時間信息，并將信息傳遞給密鑰更新時間確定單元；(3)密鑰更新時間確定單元設置于密鑰使用實體中，用于根據(jù)密鑰接收單元獲取的組播密鑰更新時間確定密鑰使用實體的密鑰更新時間信息；在本發(fā)明所述的系統(tǒng)中，所述的密鑰接收単元接收的組播密鑰更新時間包括M&BTEK Grace Time 或 TEK Grace Time ；而且，當所述的組播密鑰更新時間為M&B TEK Grace Time時，則密鑰更新時間確定單元將密鑰使用實體中的TEK Grace Time設定為一個小于M&B TEK Grace Time的值，以確定密鑰使用實體的密鑰更新時間；或者，當所述的組播密鑰更新時間為TEK Grace Time吋，則密鑰更新時間確定單元將密鑰使用實體中的TEK Grace Time設定為密鑰管理實體確定的值，以確定密鑰使用實體的密鑰更新時間。(4)密鑰更新請求單元設置于密鑰使用實體中，用于在舊GTEK參數(shù)即將到期時向密鑰管理實體發(fā)送密鑰更新請求消息，請求密鑰管理單元發(fā)送新GTEK參數(shù)；(5)密鑰更新請求處理單元設置于密鑰管理實體中，用于接收密鑰更新請求單元發(fā)來的密鑰更新請求消息，并觸發(fā)所述的密鑰發(fā)送単元。在本發(fā)明所述的系統(tǒng)中，所述的密鑰管理實體包括密鑰生成實體、密鑰分發(fā)實體、和/或基站；在本發(fā)明所述的系統(tǒng)中，所述的密鑰使用實體包括終端和/或基站。以上所述，僅為本發(fā)明較佳的具體實施方式
，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)，可輕易想到的變化或替換，都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應該以權利要求的保護范圍為準。
權利要求
1.ー種確定密鑰更新時間的方法，其特征在于，該方法包括 密鑰使用實體接收密鑰管理實體發(fā)送的組播密鑰更新時間；所述密鑰使用實體在移動狀態(tài)下；所述組播密鑰更新時間包括組播多播業(yè)務加密密鑰優(yōu)雅時間M&B TEK GraceTime或業(yè)務加密密鑰優(yōu)雅時間TEK Grace Time ； 如果所述密鑰使用實體接收到的組播密鑰更新時間中包含所述M&B TEK Grace Time,則所述密鑰使用實體按照所述密鑰使用實體的密鑰更新時間將組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK Grace Time設置為小于所述M&B TEK Grace Time的值；或者， 如果所述密鑰使用實體接收到的組播密鑰更新時間中包含所述TEK Grace Time,則所述密鑰使用實體按照所述密鑰使用實體的密鑰更新時間將組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK Grace Time設置為所述組播密鑰更新時間中包含的所述TEK Grace Time的值。
2.根據(jù)權利要求I所述的方法，其特征在于，所述的密鑰使用實體包括終端和/或基站。
3.根據(jù)權利要求I所述的方法，其特征在于，所述方法中，所述M&BTEK Grace Time或TEK Grace Time包含在密鑰管理實體發(fā)送的組播密鑰更新消息或組播密鑰回復消息中。
4.根據(jù)權利要求I所述的方法，其特征在干， 所述M&B TEK Grace Time或TEK Grace Time包含在所述組播密鑰更新消息或組播密鑰回復消息中，作為所述組播密鑰更新消息或組播密鑰回復消息中的ー個參數(shù)；或者， 所述M&B TEK Grace Time或TEK Grace Time包含在組播密鑰更新消息或組播密鑰回復消息內(nèi)的組播業(yè)務加密密鑰GTEK參數(shù)中。
5.根據(jù)權利要求4所述的方法，其特征在于，所述GTEK參數(shù)中還包含GTEK、GTEK生命時間、GTEK序列號、加密塊鏈模式CBC初始向量和相關聯(lián)的GTEK序列號。
6.一種密鑰使用實體，其特征在于，所述密鑰使用實體在移動狀態(tài)下，所述密鑰使用實體包括 接收單元，用于接收密鑰管理實體發(fā)送的組播密鑰更新時間，所述組播密鑰更新時間包括組播多播業(yè)務加密密鑰優(yōu)雅時間M&B TEK Grace Time或業(yè)務加密密鑰優(yōu)雅時間TEKGrace Time ;和 處理單元，用于如果所述接收単元接收到的組播密鑰更新時間中包含所述M&B TEKGrace Time，則按照所述密鑰使用實體的密鑰更新時間將組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK Grace Time設置為小于所述M&B TEK Grace Time的值；或者， 如果所述接收單元接收到的組播密鑰更新時間中包含所述TEK Grace Time,則按照所述密鑰使用實體的密鑰更新時間將組播安全聯(lián)盟相關聯(lián)的狀態(tài)機中的TEK Grace Time設置為所述組播密鑰更新時間中包含的所述TEKGrace Time的值。
7.根據(jù)權利要求6所述的密鑰使用實體，其特征在于，所述的密鑰使用實體包括:終端和/或基站。
8.根據(jù)權利要求6所述的密鑰使用實體，其特征在于，所述方法中，所述M&BTEK GraceTime或TEK Grace Time包含在密鑰管理實體發(fā)送的組播密鑰更新消息或組播密鑰回復消息中。
9.根據(jù)權利要求6所述的密鑰使用實體，其特征在干， 所述M&B TEK Grace Time或TEK Grace Time包含在所述組播密鑰更新消息或組播密鑰回復消息中，作為所述組播密鑰更新消息或組播密鑰回復消息的ー個參數(shù)；或者， 所述M&B TEK Grace Time或TEK Grace Time包含在組播密鑰更新消息或組播密鑰回復消息內(nèi)的組播業(yè)務加密密鑰GTEK參數(shù)中。
10.根據(jù)權利要求9所述的密鑰使用實體，其特征在干，所述GTEK參數(shù)中還包含GTEK, GTEK生命時間、GTEK序列號、加密塊鏈模式CBC初始向量和相關聯(lián)的GTEK序列號。
全文摘要
本發(fā)明涉及一種確定密鑰更新時間的方法及密鑰使用實體。本發(fā)明的方法包括密鑰使用實體接收密鑰管理實體發(fā)送的組播密鑰更新時間，并根據(jù)該組播密鑰更新時間確定密鑰使用實體的密鑰更新時間信息。通過本發(fā)明提供的技術方案確保了密鑰使用實體在移動的背景下，穩(wěn)定、可靠的獲得密鑰管理實體發(fā)送的組播業(yè)務加密密鑰參數(shù)，提高了無線通信系統(tǒng)的穩(wěn)定性和安全性。
文檔編號H04W12/04GK102711104SQ20121014904
公開日2012年10月3日 申請日期2006年9月7日 優(yōu)先權日2006年9月7日
發(fā)明者單長虹 申請人:華為技術有限公司