Td-lte集群通信系统加密传输方法、装置和系统的制作方法

Td-lte集群通信系统加密传输方法、装置和系统的制作方法
【专利摘要】本发明实施例提供一种TD-LTE集群通信系统加密传输方法、装置和系统，其中方法包括：接收用户设备发送的密钥请求消息；向密钥中心发送包含用户设备相关信息的IP密钥请求消息；接收密钥中心发送的为用户设备分配的IP承载的密钥；通过IP密钥代理向用户设备所属集群内的用户设备发送IP承载的密钥或者通过NAS加密代理将IP承载的密钥转换为NAS承载的密钥后向用户设备所属集群内的用户设备发送NAS承载的密钥，以使用户设备所属集群内的用户设备使用IP承载的密钥或者NAS承载的密钥在集群内传输数据。本发明实施例提供的TD-LTE集群通信系统加密传输方法、装置和系统，用于保证TD-LTE集群通信系统中数据传输的安全。
【专利说明】TD-LTE集群通信系统加密传输方法、装置和系统

【技术领域】
[0001]本发明实施例涉及通信技术，尤其涉及一种TD-LTE集群通信系统加密传输方法、装置和系统。

【背景技术】
[0002]移动通信系统中，移动终端之间通过空口传输数据，一般地，仅对无线传输部分进行加密处理，但由于空口中的数据容易被截获或监听，在例如军队、政府机关等对移动通信有更高安全性要求的特殊行业应用中，需要对传输的数据进行端到端加密处理。
[0003]集群通信系统是一个以半双工的双向通信为主要特征的通信系统，一个群组中一般有多个用户，群组中的多个用户共享承载信道资源，群组中传输的信息为广播信息，群组内所有用户均可以接收到该信息。因此，集群通信系统中的信息更容易被截获或监听。
[0004]在对信息安全有很高要求的特殊行业应用中，若采用集群通信系统进行通信，需要对集群内的所有用户提供端到端加密处理，才能保证数据传输的安全。目前没有基于分时长期演进(Time Divis1n Long Term Evolut1n, TD-LTE)集群通信系统的端到端加密传输方法。


【发明内容】

[0005]本发明实施例提供一种TD-LTE集群通信系统加密传输方法、装置和系统，用于保证TD-LTE集群通信系统中数据传输的安全。
[0006]第一方面提供一种分时长期演进TD-LTE集群通信系统加密传输方法，包括:
[0007]接收用户设备发送的密钥请求消息；
[0008]向密钥中心发送包含所述用户设备相关信息的IP密钥请求消息；
[0009]接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥；
[0010]通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述IP承载的密钥或者通过NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述NAS承载的密钥，以使所述用户设备所属集群内的用户设备使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
[0011]在第一方面第一种可能的实现方式中，所述接收用户设备发送的密钥请求消息之前，还包括:
[0012]接收所述用户设备发送的开机鉴权消息；
[0013]向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，以使所述密钥中心存储所述绑定关系；
[0014]所述向密钥中心发送包含所述用户设备相关信息的IP密钥请求消息，包括:
[0015]向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息；
[0016]所述接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥，包括:
[0017]接收所述密钥中心发送的根据所述绑定关系为所述用户设备分配的IP承载的密钥。
[0018]结合第一方面或第一方面第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括:
[0019]在所述集群内用户设备信息发生改变之后，向所述密钥中心发送改变后的集群内的用户设备信息；
[0020]接收所述密钥中心为所述用户设备所属集群内的用户设备重新分配的IP承载的密钥；
[0021]通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述重新分配的IP承载的密钥或者通过NAS加密代理将所述重新分配的IP承载的密钥转换为重新分配的NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述重新分配的NAS承载的密钥，以使集群内的用户设备使用所述重新分配的IP承载的密钥或者所述重新分配的NAS承载的密钥在所述改变后的集群内传输数据。
[0022]结合第一方面或第一方面第一种可能的实现方式，在第三种可能的实现方式中，所述接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥包括:
[0023]周期性地接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥。
[0024]第二方面提供一种分时长期演进TD-LTE集群通信系统加密传输方法，包括:
[0025]向网络节点发送密钥请求消息，以使所述网络节点向密钥中心发送包含用户设备相关信息的IP密钥请求消息并接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥；
[0026]接收所述网络节点通过IP密钥代理发送的所述IP承载的密钥或者接收所述网络节点通过NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后发送的所述NAS承载的密钥；
[0027]使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
[0028]在第二方面第一种可能的实现方式中，所述向网络节点发送密钥请求消息之前，还包括:
[0029]向所述网络节点发送开机鉴权消息，以使所述网络节点向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，并使所述密钥中心存储所述绑定关系;
[0030]所述向网络节点发送密钥请求消息，包括:
[0031]向所述网络节点发送密钥请求消息，以使所述网络节点向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息并接收所述密钥中心发送的根据存储的绑定关系为所述用户设备所属集群分配的IP承载的密钥。
[0032]结合第二方面或第二方面第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括:
[0033]按照预设的顺序对语音业务和数据业务进行加密或解密处理，所述语音业务使用所述NAS承载的密钥进行加密或解密处理，所述数据业务使用所述IP承载的密钥进行加密或解密处理。
[0034]第三方面提供一种网络节点，包括:
[0035]接收模块，用于接收用户设备发送的密钥请求消息；
[0036]代理发送模块，用于向密钥中心发送包含所述用户设备相关信息的IP密钥请求消息；
[0037]代理接收模块，用于接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥；
[0038]发送模块，用于通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述IP承载的密钥或者通过NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述NAS承载的密钥，以使所述用户设备所属集群内的用户设备使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
[0039]在第三方面第一种可能的实现方式中，所述接收模块，还用于接收所述用户设备发送的开机鉴权消息；
[0040]所述代理发送模块，还用于向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，以使所述密钥中心存储所述绑定关系；向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息；
[0041]所述代理接收模块，还用于接收所述密钥中心发送的根据所述绑定关系为所述用户设备分配的IP承载的密钥。
[0042]结合第三方面或第三方面第一种可能的实现方式，在第二种可能的实现方式中，所述代理发送模块，还用于在所述集群内用户设备信息发生改变之后，向所述密钥中心发送改变后的集群内的用户设备信息；
[0043]所述代理接收模块，还用于接收所述密钥中心为所述用户设备所属集群内的用户设备重新分配的IP承载的密钥；
[0044]所述发送模块，还用于通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述重新分配的IP承载的密钥或者通过NAS加密代理将所述重新分配的IP承载的密钥转换为重新分配的NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述重新分配的NAS承载的密钥，以使集群内的用户设备使用所述重新分配的IP承载的密钥或者所述重新分配的NAS承载的密钥在所述改变后的集群内传输数据。
[0045]结合第三方面或第三方面第一种可能的实现方式，在第三种可能的实现方式中，所述代理接收模块，还用于周期性地接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥。
[0046]第四方面提供一种用户设备，包括:
[0047]发送模块，用于向网络节点发送密钥请求消息，以使所述网络节点向密钥中心发送包含用户设备相关信息的IP密钥请求消息并接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥；
[0048]接收模块，用于接收所述网络节点通过IP密钥代理发送的所述IP承载的密钥或者接收所述网络节点通过NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后发送的所述NAS承载的密钥；
[0049]通信模块，用于使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
[0050]在第四方面第一种可能的实现方式中，所述发送模块，还用于向所述网络节点发送开机鉴权消息，以使所述网络节点向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，并使所述密钥中心存储所述绑定关系；向所述网络节点发送密钥请求消息，以使所述网络节点向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息并接收所述密钥中心发送的根据存储的绑定关系为所述用户设备所属集群分配的IP承载的密钥。
[0051]结合第四方面或第四方面第一种可能的实现方式，在第二种可能的实现方式中，所述用户设备还包括:调度模块，用于按照预设的顺序对语音业务和数据业务进行加密或解密处理，所述语音业务使用所述NAS承载的密钥进行加密或解密处理，所述数据业务使用所述IP承载的密钥进行加密或解密处理。
[0052]第五方面提供一种TD-LTE集群通信系统加密传输系统,包括:
[0053]如第三方面任一种可能的实现方式所述的网络节点和密钥中心。
[0054]本发明实施例提供的TD-LTE集群通信系统加密传输方法、装置和系统，在TD-LTE集群通信系统中，网络节点根据用户设备发送的密钥请求消息，请求密钥中心为用户设备分配密钥，并将密钥发送给用户设备所属集群内的所有用户设备，以使集群内的用户设备可以使用该密钥进行端对端的加密传输，实现了在TD-LTE集群通信系统中端到端加密传输，保证了数据传输的安全。

【专利附图】

【附图说明】
[0055]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0056]图1为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例一的流程图；
[0057]图2为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例二的流程图；
[0058]图3为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例三的流程图；
[0059]图4为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例四的流程图；
[0060]图5为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例五的流程图；
[0061]图6为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例六的信令流程图；
[0062]图7为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例七的信令流程图；
[0063]图8为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例八的信令流程图；
[0064]图9为本发明实施例提供的网络节点实施例一的结构示意图；
[0065]图10为本发明实施例提供的用户设备实施例一的结构示意图；
[0066]图11为本发明实施例提供的用户设备实施例二的结构示意图；
[0067]图12为本发明实施例提供的TD-LTE集群通信系统加密传输系统实施例一的结构示意图。

【具体实施方式】
[0068]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0069]图1为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例一的流程图，如图1所示，本实施例的方法包括:
[0070]步骤S101，接收用户设备发送的密钥请求消息。
[0071]具体地，本实施例提供的方法可以用于TD-LTE集群通信系统，为网络节点侧所执行的操作，为了保证集群内通信的安全，当TD-LTE集群中的用户设备需要进行集群通信时，首先需要向网络节点发送密钥请求消息，请求网络节点分配密钥，一个集群内的用户设备需要使用相同的密钥才能进行相互通信。本实施例中的网络节点包括无线核心网节点、有线核心网节点、调度机或其它控制节点。用户设备可以在每次要求进行通信时都发送密钥请求消息，请求分配不同的密钥；也可以在第一次通信时发送一次密钥请求消息，在以后通信时都是用相同的密钥。但一般地，为了保证集群内通信的安全，采用一话一密的方式生成密钥，也就是集群内的用户设备每次进行通信时，都发送密钥请求消息，请求使用不同的密钥进行通信。用户设备可以先向网络节点发送接入请求消息，当网络节点同意用户设备接入后，再发送密钥请求消息；也可以是用户设备在向网络节点发送的接入请求消息中携带密钥请求消息。
[0072]步骤S102，向密钥中心发送包含用户设备相关信息的IP密钥请求消息。
[0073]具体地，网络节点接收到用户设备发送的密钥请求消息后，向密钥中心发送包含该用户设备相关信息的互联网协议(Internet ProtocoI, IP )密钥请求消息,请求密钥中心为用户设备分配密钥。网络节点与密钥中心通过IP方式连接，因此网络节点向密钥中心发送的为IP密钥请求消息，请求密钥中心为用户设备分配IP承载的密钥。IP密钥请求消息中包含的用户设备相关信息包括:用户设备的国际移动用户识别码(Internat1nal MobileSubscriber Identificat1n Number, IMSI)、静态IP地址、电话号码等终端标识和用户设备的加解密模块标识。
[0074]步骤S103，接收密钥中心发送的为用户设备分配的IP承载的密钥。
[0075]具体地，密钥中心中预设有集群系统中的用户设备信息，包括集群系统中每个用户设备的终端标识和加解密模块标识的绑定关系。密钥中心接收到网络节点发送的IP密钥请求消息后，判断IP密钥请求消息中包含的用户设备的终端标识和加解密模块标识是否为预设的用户设备的终端标识和加解密模块标识的绑定关系，若是，则密钥中心确定该用户设备为集群中的用户设备，可以为其分配密钥，若否，则该用户设备为非法用户，不为其分配密钥。密钥中心确定为用户设备分配密钥后，通过密钥生成算法生成与用户设备对应的IP承载的密钥，IP承载的密钥标识该密钥为IP方式的密钥。
[0076]步骤S104，通过IP密钥代理向用户设备所属集群内的用户设备发送IP承载的密钥或者通过NAS加密代理将IP承载的密钥转换为NAS承载的密钥后向用户设备所属集群内的用户设备发送NAS承载的密钥，以使用户设备所属集群内的用户设备使用IP承载的密钥或者NAS承载的密钥在集群内传输数据。
[0077]具体地，用户设备中可能存在IP业务和语音业务两种业务，IP业务使用IP方式传输数据，可以直接使用IP方式的密钥加解密数据，语音业务则不能直接使用IP方式的密钥加解密数据。因此，网络节点对于用户设备的IP业务，通过IP密钥代理将密钥中心生成的IP承载的密钥发送给用户设备；对于用户设备的语音业务，通过非接入层(Non AccessStratum，NAS)加密代理将IP承载的密钥转换为NAS承载的密钥后，再发送给用户设备。由于集群内的用户设备需要使用相同的密钥才能进行集群内通信，因此，网络节点接收到密钥中心发送的IP承载的密钥后，需要将IP承载的密钥或者转换后的NAS承载的密钥发送给集群内的所有用户设备，这样，集群内的用户设备才可以使用相同的IP承载的密钥或者NAS承载的密钥进行集群通信。
[0078]本实施例，在TD-LTE集群通信系统中，网络节点根据用户设备发送的密钥请求消息，请求密钥中心为用户设备分配密钥，并将密钥发送给用户设备所属集群内的所有用户设备，以使集群内的用户设备可以使用该密钥进行端对端的加密传输，实现了在TD-LTE集群通信系统中端到端加密传输，保证了数据传输的安全。
[0079]图2为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例二的流程图，如图2所示，本实施例的方法包括:
[0080]步骤S201，接收用户设备发送的开机鉴权消息。
[0081]具体地，本实施例提供的方法可以用于TD-LTE集群通信系统，为网络节点侧所执行的操作，为了保证集群内群信的安全，密钥中心需要根据用户设备的相关信息才能确定用户设备是否为集群内的合法用户设备，因此，首先需要在密钥中心中预存集群内用户设备的相关信息。当用户设备开机时或刚接入网络时，网络节点会接收到用户设备发送的开机鉴权消息，此时网络节点得知网络中有一用户设备接入，并且用户设备发送的开机鉴权消息中包含用户设备的相关信息。网络节点可以根据开机鉴权消息判断用户设备是否为集群内设备，若为集群内设备，则执行步骤S202，否则不向密钥中心发送用户设备相关信息。
[0082]步骤S202，向密钥中心发送用户设备的终端标识和加解密模块标识的绑定关系，以使密钥中心存储所述绑定关系。
[0083]具体地，网络节点若判断用户设备为集群内设备，则向密钥中心发送用户设备的终端标识和加解密模块标识的绑定关系，并使密钥中心存储该绑定关系。密钥中心存储终端标识和加解密模块标识的绑定关系后，即得知终端标识和加解密模块标识的绑定关系后，即得知该终端设备为集群内的用户设备，并且该用户设备与加解密模块为一一绑定的关系。密钥中心存储该关系后，向网络节点发送绑定响应消息，网络节点向用户设备发送开机鉴权响应消息。当用户设备接收到开机鉴权响应消息后，即可进行集群通信过程。用户设备的终端标识包括:用户设备的IMS1、静态IP地址、电话号码等；用户设备的加解密模块标识包括:加解密模块芯片编号等。
[0084]步骤S203，接收用户设备发送的密钥请求消息。
[0085]具体地，用户设备需要进行集群通信时，首先需要向网络节点发送密钥请求消息，请求网络节点分配密钥，一个集群内的用户设备需要使用相同的密钥才能进行相互通信。用户设备可以在每次要求进行通信时都发送密钥请求消息，请求分配不同的密钥；也可以在第一次通信时发送一次密钥请求消息，在以后通信时都是用相同的密钥。但一般地，为了保证集群内通信的安全，采用一话一密的方式生成密钥，也就是集群内的用户设备每次进行通信时，都发送密钥请求消息，请求使用不同的密钥进行通信。
[0086]步骤S204，向密钥中心发送包含用户设备的终端标识和加解密模块标识的IP密钥请求消息。
[0087]具体地，网络节点接收到用户设备发送的密钥请求消息后，向密钥中心发送包含该用户设备的终端标识和加解密模块标识的IP密钥请求消息，请求密钥中心为用户设备分配密钥。网络节点与密钥中心通过IP方式连接，因此网络节点向密钥中心发送的为IP密钥请求消息，请求密钥中心为用户设备分配IP承载的密钥。
[0088]步骤S205，接收密钥中心发送的根据所述绑定关系为用户设备分配的IP承载的密钥。
[0089]具体地，密钥中心根据网络节点发送的用户设备的终端标识和加解密模块标识在预先存储的绑定关系中进行查找，若该用户设备的终端标识和加解密模块标识预先对应存储在密钥中心中，则密钥中心确定该用户设备为集群内的用户设备，为该用户设备分配IP承载的密钥，并将IP承载的密钥发送给网络节点，令网络节点下发该IP承载的密钥。
[0090]步骤S206，通过IP密钥代理向用户设备所属集群内的用户设备发送IP承载的密钥或者通过NAS加密代理将IP承载的密钥转换为NAS承载的密钥后向用户设备所属集群内的用户设备发送NAS承载的密钥，以使用户设备所属集群内的用户设备使用IP承载的密钥或者NAS承载的密钥在集群内传输数据。
[0091]具体地，用户设备中可能存在IP业务和语音业务两种业务，IP业务使用IP方式传输数据，可以直接使用IP方式的密钥加解密数据，语音业务则不能直接使用IP方式的密钥加解密数据。因此，网络节点用对于用户设备的IP业务，通过IP密钥代理将密钥中心生成的IP承载的密钥发送给用户设备；对于用户设备的语音业务，NAS加密代理将IP承载的密钥转换为NAS承载的密钥后，再发送给用户设备。由于集群内的用户设备需要使用相同的密钥才能进行集群内通信，因此，网络节点接收到密钥中心发送的IP承载的密钥后，需要将IP承载的密钥或者转换后的NAS承载的密钥发送给集群内的所有用户设备，这样，集群内的用户设备才可以使用相同的IP承载的密钥或者NAS承载的密钥进行集群通信。
[0092]本实施例，在图1所示实施例的基础上，增加了开机鉴权的过程，在集群内的用户设备开始加入网络时就将其相关参数绑定至密钥中心中，以使密钥中心可以根据该绑定关系为用户设备分配密钥，以使集群内的用户设备可以使用该密钥进行端对端的加密传输，实现了在TD-LTE集群通信系统中端到端加密传输，进一步保证了数据传输的安全。
[0093]图3为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例三的流程图，如图3所示，本实施例的方法包括:
[0094]步骤S301，在集群内用户设备信息发生改变之后，向密钥中心发送改变后的集群内的用户设备信息。
[0095]具体地，本实施例提供的方法可以用于TD-LTE集群通信系统，为网络节点侧所执行的操作，为了保证集群内通信的可靠和安全，当集群内用户设备发生增加或者减少等信息的改变时，需要改变集群内用户设备传输数据所使用的密钥。网络节点可以检测到集群内用户设备信息的改变情况，当集群内用户设备信息改变后，网络节点向密钥中心发送改变后的用户设备信息，该用户设备信息包括用户设备的终端标识和加解密模块标识的绑定关系。也就是令密钥中心更新预先存储的用户设备的终端标识和加解密模块标识的绑定关系O
[0096]步骤S302，接收密钥中心为用户设备所属集群内的用户设备重新分配的IP承载的密钥。
[0097]具体地，密钥中心接收到网络节点发送的改变后的集群内的用户设备信息后，更新预先存储的用户设备的终端标识和加解密模块标识的绑定关系，并且为更新后的集群内的用户设备重新生成IP承载的密钥。网络节点接收密钥中心发送的为集群内用户设备重新分配IP承载的密钥。
[0098]步骤S303，通过IP密钥代理向用户设备所属集群内的用户设备发送重新分配的IP承载的密钥或者通过NAS加密代理将重新分配的IP承载的密钥转换为重新分配的NAS承载的密钥后向用户设备所属集群内的用户设备发送重新分配的NAS承载的密钥，以使集群内的用户设备使用重新分配的IP承载的密钥或者重新分配的NAS承载的密钥在改变后的集群内传输数据。
[0099]具体地，网络节点通过IP密钥代理向更新后的集群内的用户设备发送密钥中心重新分配的IP承载的密钥或者通过NAS加密代理将重新分配的IP承载的密钥转换为重新分配的NAS承载的密钥后向更新后的集群内的用户设备发送重新分配的NAS承载的密钥。更新后的集群内的用户设备可以使用更新后的IP承载的密钥或者NAS承载的密钥在集群内传输数据。这样，当集群内有用户设备退出时，将集群内通信所使用的密钥改变，可以使已退出集群的用户设备无法继续参与集群内通信；当集群内有用户设备加入时，将集群内通信所使用的密钥改变，可以时新加入的用户设备参与集群内通信。
[0100]本实施例，当集群内用户设备信息发生改变时，网络节点将改变后的集群内用户设备信息发送给密钥中心，以使密钥中心为改变后的集群内的用户设备分配密钥，进一步提高了集群内用户设备数据传输的安全性。
[0101]进一步地，图3所示实施例中，当集群内用户设备信息发生改变时，网络节点才将改变后的集群内用户设备信息发送给密钥中心。并接收密钥中心重新分配的IP承载的密钥。本发明中，网络节点还可以周期性地接收密钥中心发送的为用户设备分配的IP承载的密钥。具体地，当用户设备通过网络节点向密钥中心发送密钥请求消息后，密钥中心可以根据预先存储的集群内用户设备信息，每隔一定的预设时间，就为用户设备分配新的IP承载的密钥，并将新的IP承载的密钥发送给网络节点，网络节点将IP承载的密钥发送给集群内的用户设备或者通过NAS加密代理将IP承载的密钥转换为NAS承载的密钥后发送给集群内的用户设备，这样，集群内的用户设备每个一定的预设时间，就可以使用新的IP承载的密钥或者NAS承载的密钥在集群内传输数据，进一步提高了集群内端对端通信的安全性。
[0102]图4为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例四的流程图，如图4所示，本实施例的方法包括:
[0103]步骤S401，向网络节点发送密钥请求消息，以使网络节点向密钥中心发送包含用户设备相关信息的IP密钥请求消息并接收密钥中心发送的为用户设备分配的IP承载的密钥。
[0104]具体地，本实施例提供的方法可以用于TD-LTE集群通信系统，为用户设备侧所执行的操作，当集群内的用户设备需要进行集群内通信时，首先向网络节点发送密钥请求消息。用户设备可以先向网络节点发送接入请求消息，当网络节点同意用户设备接入后，再发送密钥请求消息；也可以是用户设备在向网络节点发送的接入请求消息中携带密钥请求消息。当网络节点接收到用户设备发送的密钥请求消息后，向密钥中心发送包含该用户设备相关信息的IP密钥请求消息，包括该用户设备的终端标识和加解密模块标识。密钥中心中预设有集群系统中的用户设备信息，包括集群系统中每个用户设备的终端标识和加解密模块标识的绑定关系，密钥中心接收到网络节点发送的IP密钥请求消息后，判断IP密钥请求消息中包含的用户设备的终端标识和加解密模块标识是否为预设的用户设备的终端标识和加解密模块标识的绑定关系，若是，则密钥中心确定该用户设备为集群中的用户设备，可以为其分配密钥，若否，则该用户设备为非法用户，不为其分配密钥。密钥中心确定为用户设备分配密钥后，通过密钥生成算法生成与用户设备对应的IP承载的密钥，IP承载的密钥标识该密钥为IP方式的密钥，并将生成的IP承载的密钥发送给网络节点。
[0105]步骤S402，接收网络节点通过IP密钥代理发送的IP承载的密钥或者接收网络节点通过NAS加密代理将IP承载的密钥转换为NAS承载的密钥后发送的NAS承载的密钥。
[0106]具体地，用户设备中可能存在IP业务和语音业务两种业务，IP业务使用IP方式传输数据，可以直接使用IP方式的密钥加解密数据，语音业务则不能直接使用IP方式的密钥加解密数据。因此，网络节点对于用户设备的IP业务，通过IP密钥代理将密钥中心生成的IP承载的密钥发送给用户设备；对于用户设备的语音业务，通过非接入层(Non AccessStratum，NAS)加密代理将IP承载的密钥转换为NAS承载的密钥后，再发送给用户设备。由于集群内的用户设备需要使用相同的密钥才能进行集群内通信，因此，网络节点接收到密钥中心发送的IP承载的密钥后，需要将IP承载的密钥或者转换后的NAS承载的密钥发送给集群内的所有用户设备，这样，集群内的用户设备才可以使用相同的IP承载的密钥或者NAS承载的密钥进行集群通信。
[0107]步骤S403，使用IP承载的密钥或者NAS承载的密钥在集群内传输数据。
[0108]具体地，用户设备使用核心网及诶都拿发送的IP承载的密钥或者NAS承载的密钥在集群内传输数据。实现了 TD-LTE集群通信系统中端到端加密的传输。
[0109]本实施例，在TD-LTE集群通信系统中，网络节点根据用户设备发送的密钥请求消息，请求密钥中心为用户设备分配密钥，并将密钥发送给用户设备所属集群内的所有用户设备，以使集群内的用户设备可以使用该密钥进行端对端的加密传输，实现了在TD-LTE集群通信系统中端到端加密传输，保证了数据传输的安全。
[0110]图5为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例五的流程图，如图5所示，本实施例的方法包括:
[0111]步骤S501，向网络节点发送开机鉴权消息，以使网络节点向密钥中心发送用户设备的终端标识和加解密模块标识的绑定关系，并使密钥中心存储所述绑定关系。
[0112]具体地，本实施例提供的方法可以用于TD-LTE集群通信系统，为用户设备侧所执行的操作，为了保证集群内群信的安全，密钥中心需要根据用户设备的相关信息才能确定用户设备是否为集群内的合法用户设备，因此，首先需要在密钥中心中预存集群内用户设备的相关信息。当用户设备开机时或刚接入网络时，用户设备需要向网络节点会发送开机鉴权消息，此时网络节点得知网络中有一用户设备接入，并且用户设备发送的开机鉴权消息中包含用户设备的相关信息。网络节点可以根据开机鉴权消息判断用户设备是否为集群内设备，若为集群内设备，则向密钥中心发送用户设备的终端标识和加解密模块标识的绑定关系，并使S钥中心存储该绑定关系。S钥中心存储终端标识和加解SI旲块标识的绑定关系后，即得知终端标识和加解密模块标识的绑定关系后，即得知该终端设备为集群内的用户设备，并且该用户设备与加解密模块为一一绑定的关系。密钥中心存储该关系后，向网络节点发送绑定响应消息，网络节点向用户设备发送开机鉴权响应消息。当用户设备接收到开机鉴权响应消息后，即可进行集群通信过程。用户设备的终端标识包括:用户设备的MS1、静态IP地址、电话号码等；用户设备的加解密模块标识包括:加解密模块芯片编号等。若网络节点判断用户设备不是集群内设备，则不向密钥中心发送用户设备相关信息。
[0113]步骤S502，向网络节点发送密钥请求消息，以使网络节点向密钥中心发送包含用户设备的终端标识和加解密模块标识的IP密钥请求消息并接收密钥中心发送的根据存储的绑定关系为用户设备所属集群分配的IP承载的密钥。
[0114]具体地，用户设备需要进行集群通信时，首先需要向网络节点发送密钥请求消息，请求网络节点分配密钥，一个集群内的用户设备需要使用相同的密钥才能进行相互通信。用户设备可以在每次要求进行通信时都发送密钥请求消息，请求分配不同的密钥；也可以在第一次通信时发送一次密钥请求消息，在以后通信时都是用相同的密钥。但一般地，为了保证集群内通信的安全，采用一话一密的方式生成密钥，也就是集群内的用户设备每次进行通信时，都发送密钥请求消息，请求使用不同的密钥进行通信。网络节点接收到用户设备发送的密钥请求消息后，向密钥中心发送包含该用户设备的终端标识和加解密模块标识的IP密钥请求消息，请求密钥中心为用户设备分配密钥。网络节点与密钥中心通过IP方式连接，因此网络节点向密钥中心发送的为IP密钥请求消息，请求密钥中心为用户设备分配IP承载的密钥。密钥中心根据网络节点发送的用户设备的终端标识和加解密模块标识在预先存储的绑定关系中进行查找，若该用户设备的终端标识和加解密模块标识预先对应存储在密钥中心中，则密钥中心确定该用户设备为集群内的用户设备，为该用户设备分配IP承载的密钥，并将IP承载的密钥发送给网络节点，令网络节点下发该IP承载的密钥。
[0115]步骤S503，接收网络节点通过IP密钥代理发送的IP承载的密钥或者接收网络节点通过NAS加密代理将IP承载的密钥转换为NAS承载的密钥后发送的NAS承载的密钥。
[0116]步骤S504，使用IP承载的密钥或者NAS承载的密钥在集群内传输数据。
[0117]本实施例，在图4所示实施例的基础上，增加了开机鉴权的过程，在集群内的用户设备开始加入网络时就将其相关参数绑定至密钥中心中，以使密钥中心可以根据该绑定关系为用户设备分配密钥，以使集群内的用户设备可以使用该密钥进行端对端的加密传输，实现了在TD-LTE集群通信系统中端到端加密传输，进一步保证了数据传输的安全。
[0118]进一步地，由于用户设备内可能存在IP业务和语音业务两种业务，并且接收到了核心网发送的IP承载的密钥或者NAS承载的密钥两种密钥，因此，用户设备需要按照预设的顺序对语音业务和数据业务进行加密或解密处理，其中语音业务使用NAS承载的密钥进行加密或解密处理，数据业务使用IP承载的密钥进行加密或解密处理。其中按照预设的顺序对语音业务和数据业务进行加密或解密处理，可以是按照预设的优先级对语音业务和数据业务进行排序，这样，用户设备可以将语音业务和数据业务都进行加密处理，以进行集群内传输。
[0119]图6为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例六的信令流程图，如图6所示，本实施例的方法包括:
[0120]步骤S601，主叫用户设备向网络节点发送密钥请求消息。
[0121]具体地，本实施例提供的方法可以用于TD-LTE集群通信系统，为网络中各节点的交互流程，主叫用户设备为发起通信请求的用户设备，集群中的用户设备都可以作为主叫用户设备，当集群中的用户设备需要进行集群通信时，首先需要向核心网发送密钥请求消息，请求核心网分配用于集群通信的密钥、
[0122]步骤S602，网络节点进行业务识别。
[0123]具体地，网络节点接收到主叫用户设备发送的密钥请求消息后，对主叫用户设备进行业务识别，若主叫用户设备需要进行的为集群通信，则再进行后续步骤；若主叫用户设备需要进行的不是集群内通信，则不为其分配用于集群通信的密钥，按照非集群通信流程进行处理。
[0124]步骤S603，网络节点向密钥中心发送IP密钥请求消息。
[0125]具体地，若网络节点判断主叫用户设备需要进行集群内通信，则向密钥中心发送IP密钥请求消息，请求密钥中心为主叫用户设备分配IP承载的密钥，IP密钥请求消息中包括主叫用户设备的相关信息。
[0126]步骤S604，密钥中心向网络节点发送IP密钥响应消息。
[0127]具体地，密钥中心根据预设的集群内用户设备信息，查询主叫用户设备是否为集群内用户设备，若是，则生成与主叫用户设备对应的IP承载的密钥，并向网络节点发送包含该IP承载的密钥的IP密钥响应消息；若不是，则不为该用户设备分配IP承载的密钥。
[0128]步骤S605，网络节点向主叫用户设备发送密钥响应消息。
[0129]具体地，网络节点接收到密钥中心发送的IP承载的密钥后，向主叫用户设备发送密钥响应消息，该密钥响应消息中包含密钥中心为主叫用户设备分配的IP承载的密钥或者通过NAS加密代理将为主叫用户设备分配的IP承载的密钥转换后的NAS承载的密钥。
[0130]步骤S606，网络节点向被叫用户设备发送密钥分配消息。
[0131]具体地，集群内的用户设备需要使用相同的密钥才能进行集群内数据传输，因此，网络节点在未主叫用户设备分配密钥的同时，还需要向集群内的被叫用户设备同时发送密钥分配消息，使集群内的用户设备都接收到相同的IP承载的密钥或者NAS承载的密钥。
[0132]步骤S607，被叫用户设备向网络节点发送密钥分配响应消息。
[0133]具体地，接收到密钥分配消息的被叫用户设备向网络节点发送密钥分配响应消息，使网络节点得知已获取密钥的集群内用户设备。、
[0134]需要说明的是，步骤S605与步骤S606可以同时执行，只要网络节点接收到密钥中心发送的IP承载的密钥，即可向集群内用户设备发送IP承载的密钥或NAS承载的密钥。
[0135]步骤S608，主叫用户设备向网络节点发送业务请求消息。
[0136]具体地，主叫用户设备接收到网络节点发送的IP承载的密钥或者NAS承载的密钥后，即可进行集群内通信，执行步骤S608至步骤S612。
[0137]步骤S609，网络节点向被叫用户设备发送业务请求消息。
[0138]步骤S610，被叫用户设备向网络节点发送业务响应消息。
[0139]步骤S611，网络节点向主叫用户设备发送业务响应消息。
[0140]步骤S612，主叫用户设备和被叫用户设备通过网络节点传输加密数据流。
[0141]需要说明的是，本实施例中，步骤S601中可以包含步骤S608中的信息，也就是主叫用户设备的密钥请求可以与业务请求同时进行，同样，步骤S605中可以包含步骤S611的信息。这样可以简化密钥获取的流程。
[0142]本实施例示出本发明提供的TD-LTE集群通信系统加密传输方法的密钥获取的具体信令流程。
[0143]图7为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例七的信令流程图，如图7所示，本实施例的方法包括:
[0144]步骤S701，用户设备向网络节点发送附着请求消息。
[0145]具体地，本实施例提供的方法可以用于TD-LTE集群通信系统，为网络中各节点的交互流程，用户设备在开机接入网络时或者从另一网络移动至本网络时，需要向本网络中的网络节点发送附着请求消息,请求加入本网络中。
[0146]步骤S702，网络节点向用户设备发送附着响应消息。
[0147]具体地，网络节点若同意用户设备加入本网络，则向用户设备发送附着响应消息。
[0148]步骤S703，用户设备向网络节点发送附着成功消息。
[0149]步骤S704，用户设备中的加解密模块进行鉴权过程。
[0150]具体地，用户设备中设置有加解密模块，若用户设备需要进行集群内通信，则用户设备中唤醒加解密模块，开始进行用户设备内部的鉴权过程。用户设备中的加解密模块与用户设备相关信息预先设置为绑定关系，若用户设备内部的鉴权过程确认加解密模块与用户设备相关信息为预先设置的绑定关系，则内部鉴权通过。
[0151]步骤S705，用户设备向网络节点发送开机鉴权消息。
[0152]具体地，为了保证集群内群信的安全，密钥中心需要根据用户设备的相关信息才能确定用户设备是否为集群内的合法用户设备，因此，首先需要在密钥中心中预存集群内用户设备的相关信息。因此，用户设备向网络节点发送开机鉴权消息，此时网络节点得知网络中有一用户设备接入，并且用户设备发送的开机鉴权消息中包含用户设备的相关信息。网络节点可以根据开机鉴权消息判断用户设备是否为集群内设备，若为集群内设备，则执行步骤S706，否则不向密钥中心发送用户设备相关信息。
[0153]步骤S706，网络节点向密钥中心发送开机鉴权消息。
[0154]具体地，网络节点将用户设备发送的开机鉴权消息转发给密钥中心，使使密钥中心存储开机鉴权消息中的用户设备的终端标识和加解密模块标识的绑定关系。
[0155]步骤S707，密钥中心向网络节点发送开机鉴权响应消息。
[0156]步骤S708，网络节点向用户设备发送开机鉴权响应消息。
[0157]步骤S709，用户设备确认鉴权成功。
[0158]具体地，当用户设备接收到网络节点发送的开机鉴权响应消息后，确认鉴权成功，可以进行集群内端到端加密通信。
[0159]步骤S710，用户设备向网络节点发送鉴权成功消息。
[0160]步骤S711，开始进行端到端加密流程。
[0161]具体地，可以按照图6所示实施例中的信令流程进行端到端加密流程。
[0162]本实施例示出本发明提供的TD-LTE集群通信系统加密传输方法开机鉴权的具体信令流程。
[0163]图8为本发明实施例提供的TD-LTE集群通信系统加密传输方法实施例八的信令流程图，如图8所示，本实施例的方法包括:
[0164]步骤S801，进行开机鉴权流程。
[0165]具体地，本实施例提供的方法可以用于TD-LTE集群通信系统，为网络中各节点的交互流程，可以按照图7所示实施例中的信令流程进行开机鉴权流程。
[0166]步骤S802，密钥中心向网络节点发送密钥更新消息。
[0167]具体地，当集群内的用户设备进行过开机鉴权流程后，密钥中心中保存有集群内用户设备的相关信息，为了保证集群内加密通信的安全，密钥中心可以周期性地通过网络节点向集群内用户设备发送密钥更新消息，以使集群内的用户设备更新加密传输所使用的密钥。当集群内的用户设备信息发生变化时，例如用户的新增或者退出集群，密钥中心也需要通过网络节点向集群内用户设备发送密钥更新消息。
[0168]步骤S803，网络节点向用户设备发送密钥更新消息。
[0169]步骤S804，用户设备向网络节点发送密钥更新响应。
[0170]步骤S805，网络节点向密钥中心发送密钥更新响应。
[0171]本实施例示出本发明提供的TD-LTE集群通信系统加密传输方法密钥更新的具体信令流程
[0172]图9为本发明实施例提供的网络节点实施例一的结构示意图，如图9所示，本实施例的网络节点包括:
[0173]接收模块91，用于接收用户设备发送的密钥请求消息。
[0174]代理发送模块92，用于向密钥中心发送包含所述用户设备相关信息的IP密钥请求消息。
[0175]代理接收模块93，用于接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥。
[0176]发送模块94，用于通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述IP承载的密钥或者通过NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述NAS承载的密钥，以使所述用户设备所属集群内的用户设备使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
[0177]本实施例的网络节点用于实现图1所示TD-LTE集群通信系统加密传输方法实施例一的技术方案，其实现原理和技术效果类似，此处不再赘述。
[0178]在图9所示网络节点的一种实现方式中，接收模块91，还用于接收所述用户设备发送的开机鉴权消息；代理发送模块92，还用于向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，以使所述密钥中心存储所述绑定关系；向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息；代理接收模块93，还用于接收所述密钥中心发送的根据所述绑定关系为所述用户设备分配的IP承载的密钥。本实现方式的发送节点用于实现图2所示数据TD-LTE集群通信系统加密传输方法实施例二的技术方案，其实现原理和技术效果类似，此处不再赘述。
[0179]在图9所示网络节点的另一种实现方式中，代理发送模块92，还用于在所述集群内用户设备信息发生改变之后，向所述密钥中心发送改变后的集群内的用户设备信息；代理接收模块93，还用于接收所述密钥中心为所述用户设备所属集群内的用户设备重新分配的IP承载的密钥；发送模块94，还用于通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述重新分配的IP承载的密钥或者通过NAS加密代理将所述重新分配的IP承载的密钥转换为重新分配的NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述重新分配的NAS承载的密钥，以使集群内的用户设备使用所述重新分配的IP承载的密钥或者所述重新分配的NAS承载的密钥在所述改变后的集群内传输数据。本实现方式的发送节点用于实现图3所示数据TD-LTE集群通信系统加密传输方法实施例三的技术方案，其实现原理和技术效果类似，此处不再赘述。
[0180]进一步地，代理接收模块93，还用于周期性地接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥。
[0181]图10为本发明实施例提供的用户设备实施例一的结构示意图，如图10所示，本实施例的用户设备包括:
[0182]发送模块111，用于向网络节点发送密钥请求消息，以使所述网络节点向密钥中心发送包含用户设备相关信息的IP密钥请求消息并接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥。
[0183]接收模块112，用于接收所述网络节点通过IP密钥代理发送的所述IP承载的密钥或者接收所述网络节点通过非接入层NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后发送的所述NAS承载的密钥。
[0184]通信模块113，用于使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
[0185]本实施例的用户设备用于实现图4所示TD-LTE集群通信系统加密传输方法实施例四的技术方案，其实现原理和技术效果类似，此处不再赘述。
[0186]在图10所示用户设备的一种实现方式中，发送模块111，还用于向所述网络节点发送开机鉴权消息，以使所述网络节点向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，并使所述密钥中心存储所述绑定关系；向所述网络节点发送密钥请求消息，以使所述网络节点向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息并接收所述密钥中心发送的根据存储的绑定关系为所述用户设备所属集群分配的IP承载的密钥。本实现方式的发送节点用于实现图5所示数据TD-LTE集群通信系统加密传输方法实施例五的技术方案，其实现原理和技术效果类似，此处不再赘述。
[0187]图11为本发明实施例提供的用户设备实施例二的结构示意图，如图11所示，本实施例的用户设备在图10所示用户设备的基础上，还包括:
[0188]调度模块114，用于按照预设的顺序对语音业务和数据业务进行加密或解密处理，所述语音业务使用所述NAS承载的密钥进行加密或解密处理，所述数据业务使用所述IP承载的密钥进行加密或解密处理。
[0189]图12为本发明实施例提供的TD-LTE集群通信系统加密传输系统实施例一的结构示意图，如图12所示,本实施例的TD-LTE集群通信系统加密传输系统包括:
[0190]网络节点121和密钥中心122。
[0191]其中网络节点121可以包括本发明实施例所述的任一种网络节点。
[0192]本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0193]最后应说明的是:以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【权利要求】
1.一种分时长期演进TD-LTE集群通信系统加密传输方法，其特征在于，包括: 接收用户设备发送的密钥请求消息； 向密钥中心发送包含所述用户设备相关信息的互联网协议IP密钥请求消息； 接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥； 通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述IP承载的密钥或者通过非接入层NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述NAS承载密钥，以使所述用户设备所属集群内的用户设备使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
2.根据权利要求1所述的方法，其特征在于，所述接收用户设备发送的密钥请求消息之前，还包括: 接收所述用户设备发送的开机鉴权消息； 向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，以使所述S钥中心存储所述绑定关系； 所述向密钥中心发送包含所述用户设备相关信息的IP密钥请求消息，包括: 向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息； 所述接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥，包括: 接收所述密钥中心发送的根据所述绑定关系为所述用户设备分配的IP承载的密钥。
3.根据权利要求1或2所述的方法，其特征在于，还包括: 在所述集群内用户设备信息发生改变之后，向所述密钥中心发送改变后的集群内的用户设备信息； 接收所述密钥中心为所述用户设备所属集群内的用户设备重新分配的IP承载的密钥； 通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述重新分配的IP承载的密钥或者通过NAS加密代理将所述重新分配的IP承载的密钥转换为重新分配的NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述重新分配的NAS承载的密钥，以使集群内的用户设备使用所述重新分配的IP承载的密钥或者所述重新分配的NAS承载的密钥在所述改变后的集群内传输数据。
4.根据权利要求1或2所述的方法，其特征在于，所述接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥包括: 周期性地接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥。
5.—种分时长期演进TD-LTE集群通信系统加密传输方法,其特征在于,包括: 向网络节点发送密钥请求消息，以使所述网络节点向密钥中心发送包含用户设备相关信息的互联网协议IP密钥请求消息并接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥； 接收所述网络节点通过IP密钥代理发送的所述IP承载的密钥或者接收所述网络节点通过非接入层NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后发送的所述NAS承载的密钥； 使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
6.根据权利要求5所述的方法，其特征在于，所述向网络节点发送密钥请求消息之前，还包括: 向所述网络节点发送开机鉴权消息，以使所述网络节点向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，并使所述密钥中心存储所述绑定关系； 所述向网络节点发送密钥请求消息，包括: 向所述网络节点发送密钥请求消息，以使所述网络节点向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息并接收所述密钥中心发送的根据存储的绑定关系为所述用户设备所属集群分配的IP承载的密钥。
7.根据权利要求5或6所述的方法，其特征在于，还包括: 按照预设的顺序对语音业务和数据业务进行加密或解密处理，所述语音业务使用所述NAS承载的密钥进行加密或解密处理，所述数据业务使用所述IP承载的密钥进行加密或解密处理。
8.—种网络节点，其特征在于，包括: 接收模块，用于接收用户设备发送的密钥请求消息； 代理发送模块，用于向密钥中心发送包含所述用户设备相关信息的互联网协议IP密钥请求消息； 代理接收模块，用于接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥； 发送模块，用于通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述IP承载的密钥或者通过非接入层NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述NAS承载的密钥，以使所述用户设备所属集群内的用户设备使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
9.根据权利要求8所述的网络节点，其特征在于，所述接收模块，还用于接收所述用户设备发送的端到端加密开机鉴权消息； 所述代理发送模块，还用于向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，以使所述密钥中心存储所述绑定关系；向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息； 所述代理接收模块，还用于接收所述密钥中心发送的根据所述绑定关系为所述用户设备分配的IP承载的密钥。
10.根据权利要求8或9所述的网络节点，其特征在于，所述代理发送模块，还用于在所述集群内用户设备信息发生改变之后，向所述密钥中心发送改变后的集群内的用户设备信息； 所述代理接收模块，还用于接收所述密钥中心为所述用户设备所属集群内的用户设备重新分配的IP承载的密钥； 所述发送模块，还用于通过IP密钥代理向所述用户设备所属集群内的用户设备发送所述重新分配的IP承载的密钥或者通过NAS加密代理将所述重新分配的IP承载的密钥转换为重新分配的NAS承载的密钥后向所述用户设备所属集群内的用户设备发送所述重新分配的NAS承载的密钥，以使集群内的用户设备使用所述重新分配的IP承载的密钥或者所述重新分配的NAS承载的密钥在所述改变后的集群内传输数据。
11.根据权利要求8或9所述的网络节点，其特征在于，所述代理接收模块，还用于周期性地接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥。
12.—种用户设备，其特征在于，包括: 发送模块，用于向网络节点发送密钥请求消息，以使所述网络节点向密钥中心发送包含用户设备相关信息的互联网协议IP密钥请求消息并接收所述密钥中心发送的为所述用户设备分配的IP承载的密钥； 接收模块，用于接收所述网络节点通过IP密钥代理发送的所述IP承载的密钥或者接收所述网络节点通过非接入层NAS加密代理将所述IP承载的密钥转换为NAS承载的密钥后发送的所述NAS承载的密钥； 通信模块，用于使用所述IP承载的密钥或者所述NAS承载的密钥在所述集群内传输数据。
13.根据权利要求12所述的用户设备，其特征在于，所述发送模块，还用于向所述网络节点发送开机鉴权消息，以使所述网络节点向所述密钥中心发送所述用户设备的终端标识和加解密模块标识的绑定关系，并使所述密钥中心存储所述绑定关系；向所述网络节点发送密钥请求消息，以使所述网络节点向所述密钥中心发送包含所述用户设备的终端标识和加解密模块标识的IP密钥请求消息并接收所述密钥中心发送的根据存储的绑定关系为所述用户设备所属集群分配的IP承载的密钥。
14.根据权利要求12或13所述的用户设备，其特征在于，还包括:调度模块，用于按照预设的顺序对语音业务和数据业务进行加密或解密处理，所述语音业务使用所述NAS承载的密钥进行加密或解密处理，所述数据业务使用所述IP承载的密钥进行加密或解密处理。
15.—种TD-LTE集群通信系统加密传输系统，其特征在于，包括: 如权利要求8?11任一项所述的网络节点和密钥中心。
【文档编号】H04W12/04GK104427496SQ201310385481
【公开日】2015年3月18日 申请日期:2013年8月29日 优先权日:2013年8月29日
【发明者】范晨, 李明春, 贺刚, 高红梅, 袁乃华 申请人:成都鼎桥通信技术有限公司