專利名稱:實現(xiàn)數(shù)字簽名的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng)的信息安全領(lǐng)域�,尤其涉及實現(xiàn)數(shù)字簽名的方法及設(shè)備。
背景技術(shù):
公共報警系統(tǒng)(PWS Public Warning System)用于對人類的生命和財產(chǎn)造成損失的自然災害或人為事故進行警報的系統(tǒng)�。在自然災害��,如洪水����、颶風�����,或人為事故��,如化學氣體泄漏��、爆炸威脅�、核威脅的情況下,PWS可作為對現(xiàn)有廣播通信系統(tǒng)的一種補充���。PWS 服務由電信運營商提供給用戶�����,其內(nèi)容可以由報警信息供應部門(warning notification provider)提供。當某些災害事件或事故發(fā)生時��,運營商或報警信息供應部門產(chǎn)生警報消息 (warningnotification),該消息由運營商使用其網(wǎng)絡發(fā)送給用戶��。由于發(fā)布一些警報消息例如地震海嘯等告警消息將可能引發(fā)大規(guī)模的恐慌,所以對這類警報消息的安全性要求也較高����。目前,3GPP的標準規(guī)定的安全機制的做法是對警報消息進行數(shù)字簽名����,數(shù)字簽名可以用來保證警報消息的完整性,確保警報消息來自于一個可信的源�。進行了數(shù)字簽名的警報消息被廣播給用戶設(shè)備(UE =User Equipment)。UE將驗證廣播消息中的“數(shù)字簽名”��。如果驗證通過��,UE會向用戶發(fā)起警報�����,并把警報消息的內(nèi)容發(fā)給用戶��;如果驗證失敗�,UE會通知用戶驗證失敗,并停止向用戶報警�。在3GPP中實現(xiàn)上述PWS告警的過程中,3GPP標準中只是定義了可以用數(shù)字簽名來保護告警消息的完整性��,但是并沒有具體定義數(shù)字簽名是如何實現(xiàn)的。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種實現(xiàn)數(shù)字簽名的方法及設(shè)備��,具體定義了數(shù)字簽名是如何實現(xiàn)的�����。為達到上述目的�,本發(fā)明的實施例采用如下技術(shù)方案—種實現(xiàn)數(shù)字簽名的方法,應用于公共報警系統(tǒng)中���,該方法包括用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰�����;或者�,所述用戶設(shè)備接收并保存接入網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字簽名公鑰�����;所述用戶設(shè)備根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證����。一種實現(xiàn)數(shù)字簽名的方法�,應用于公共報警系統(tǒng)中��,該方法包括核心網(wǎng)節(jié)點接收用戶設(shè)備發(fā)送的包含公鑰標識的請求消息�����;所述核心網(wǎng)節(jié)點確定所述請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同����;所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息向所述用戶設(shè)備下發(fā)本地保存的所述數(shù)字簽名公鑰及其對應的公鑰標識����。一種實現(xiàn)數(shù)字簽名的方法,應用于公共報警系統(tǒng)中��,該方法包括接入網(wǎng)節(jié)點確認用戶設(shè)備已完成網(wǎng)絡注冊和安全認證�;或者,確認本地保存的數(shù)字簽名公鑰已更新�;所述接入網(wǎng)節(jié)點通過第二接入層消息向所述用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰。一種用戶設(shè)備���,應用于公共報警系統(tǒng)中���,該設(shè)備包括接收模塊,用于接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰����,或者����,接收并保存接入
12網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字簽名公鑰���;驗證模塊����,用于根據(jù)數(shù)字簽名算法及所 述接收模塊接收到的所述數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證�����。一種核心網(wǎng)節(jié)點設(shè)備�����,應用于公共報警系統(tǒng)中����,該設(shè)備包括接收模塊,用于接收 用戶設(shè)備發(fā)送的包含公鑰標識的請求消息�;第一確定模塊,用于確定所述接收模塊所接收 的請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同;發(fā)送模 塊���,用于當?shù)谝淮_定模塊確定請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的 公鑰標識不相同時,通過非接入層消息或接入層消息向所述用戶設(shè)備下發(fā)本地保存的所述 數(shù)字簽名公鑰及其對應的公鑰標識��。一種接入網(wǎng)節(jié)點設(shè)備��,應用于公共報警系統(tǒng)中���,該設(shè)備包括確認模塊�����,用于確認 用戶設(shè)備已完成網(wǎng)絡注冊和安全認證�����,或者確認本地保存的所述數(shù)字簽名公鑰已更新�����;發(fā) 送模塊��,在所述確認模塊確認所述用戶設(shè)備已完成網(wǎng)絡注冊和安全認證����,或者確認本地保 存的數(shù)字簽名公鑰已更新之后,通過第二接入層消息向所述用戶設(shè)備下發(fā)本地保存的數(shù)字 簽名公鑰��。本發(fā)明實施例提供的實現(xiàn)數(shù)字簽名的方法及設(shè)備中���,利用核心網(wǎng)節(jié)點通過非接入 層消息或接入層消息向用戶設(shè)備下發(fā)最新的數(shù)字簽名公鑰�,或者利用接入網(wǎng)節(jié)點通過第二 接入層消息向用戶設(shè)備下發(fā)最新的數(shù)字簽名公鑰����,同時,用戶設(shè)備保存該最新的數(shù)字簽名 公鑰����,且用戶設(shè)備通過數(shù)字簽名算法及在本地保存的數(shù)字簽名公鑰,可實現(xiàn)對接收到的告 警消息中的數(shù)字簽名進行驗證����,本發(fā)明實施例詳細定義了數(shù)字簽名公鑰的下發(fā)方法,彌補 了 3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法的缺陷����。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動性的前提下����,還可 以根據(jù)這些附圖獲得其他的附圖���。圖1為本發(fā)明實施例1實現(xiàn)數(shù)字簽名的方法的流程圖��;圖2為本發(fā)明實施例1用戶設(shè)備的方框圖�����;圖3為本發(fā)明實施例2實現(xiàn)數(shù)字簽名的方法的流程圖���;圖4為本發(fā)明實施例2核心網(wǎng)節(jié)點設(shè)備的方框圖;圖5為現(xiàn)有技術(shù)中安全參數(shù)的數(shù)據(jù)結(jié)構(gòu)����;圖6為本發(fā)明實施例4安全參數(shù)的數(shù)據(jù)結(jié)構(gòu)���;圖7為本發(fā)明實施例4一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方法流 程圖;圖8為本發(fā)明實施例4另一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方法 流程圖�����;圖9為本發(fā)明實施例4又一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方法 流程圖���;圖10為本發(fā)明實施例4再一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方 法流程圖11為本發(fā)明實施例4又一種接收并保存核心網(wǎng)節(jié)點下發(fā)的數(shù)字簽名公鑰的方法流程圖�;圖12為本發(fā)明實施例6 —種用戶設(shè)備的結(jié)構(gòu)圖�;圖13為本發(fā)明實施例6 —種核心網(wǎng)節(jié)點的結(jié)構(gòu)圖;圖14a 14c為本發(fā)明實施例3的LTE���、UTMS��、GSM系統(tǒng)中接入網(wǎng)節(jié)點下發(fā)數(shù)字簽名公鑰的流程圖����;圖15為本發(fā)明實施例6 —種接入網(wǎng)節(jié)點設(shè)備的結(jié)構(gòu)圖�。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述���,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例����,而不是全部的實施例���。基于本發(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍。實施例I如圖I所示����,應用于公共報警系統(tǒng)中的實現(xiàn)數(shù)字簽名的方法包括以下步驟。101�����、用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰,或者�,所述用戶設(shè)備接收并保存接入網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字簽名公鑰。具體地�����,用3GPP系統(tǒng)中實現(xiàn)PWS時��,數(shù)字簽名由但不限于小區(qū)廣播中心(Cell Broadcast Center,簡稱為CBC)或小區(qū)廣播實體(Cell BroadcastEntity,簡稱為CBE) 對告警消息中警報消息的明文采用數(shù)字簽名私鑰及數(shù)字簽名算法進行加密而獲得����。該數(shù)字簽名攜帶在該告警消息中。其中�����,小區(qū)廣播中心和小區(qū)廣播實體統(tǒng)稱為小區(qū)廣播設(shè)備�����。核心網(wǎng)節(jié)點或者接入網(wǎng)節(jié)點可通過已有的消息流程����,從CBC或者CBE上獲取對該數(shù)字簽名進行驗證的最新的數(shù)字簽名公鑰�����,也可以由網(wǎng)絡管理員將該最新的數(shù)字簽名公鑰手工配置在接入網(wǎng)節(jié)點上�。隨后����,UE就能接收到由核心網(wǎng)節(jié)點下發(fā)的非接入層消息(即NAS消息)或接入層消息(即AS消息),該消息中攜帶有上述最新的數(shù)字簽名公鑰��,或者UE能接收到由接入網(wǎng)節(jié)點下發(fā)的第二接入層消息�����,該消息中攜帶有上述最新的數(shù)字簽名公鑰�,UE接收到該最新的數(shù)字簽名公鑰后����,將其保存在本地。當然���,在3GPP系統(tǒng)中�����,UE是從核心網(wǎng)節(jié)點最新的獲取數(shù)字簽名公鑰�����,還是從接入網(wǎng)節(jié)點獲取最新的數(shù)字簽名公鑰�,可以在系統(tǒng)建立時指定,使得系統(tǒng)在運行過程中從指定的節(jié)點按指定的方式獲取最新的數(shù)字簽名公鑰���。在3GPP提出的LTE(Long Term Evolution :長期演進)中����,核心網(wǎng)節(jié)點為MME(移動管理實體�����,Mobility Management Entity),接入網(wǎng)節(jié)點為eNB(演進的基站�,Evolution Node B);在 3GPP 提出的 UMTS (Universal MobileTelecommunications System:通用移動通信系統(tǒng))中,核心網(wǎng)節(jié)點為SGSN(SERVICING GPRS SUPPORT NODE���,GPRS服務支持節(jié)點)��,接入網(wǎng)節(jié)點為RNC(無線網(wǎng)絡控制器���,Radio Network Controller);在3GPP提出的GSM(Global Systemfor Mobile Communications :全球移動通信系統(tǒng))中��,核心網(wǎng)節(jié)點為MSC(MobileSwitching Center�,移動交換中心)���,接入網(wǎng)節(jié)點為BSC(基站控制器����,BaseStation Controller)�����。需要說明的是“第二接入層消息”在本發(fā)明實施例中用于指代接入網(wǎng)節(jié)點發(fā)送的接入層消息�。“第二”是為了和核心網(wǎng)節(jié)點發(fā)送的接入層消息在名稱上區(qū)分開���,不作為對本發(fā)明的限定�。102�、所述用戶設(shè)備根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證����。具體地,UE在接收到告警消息后����,需要對告警消息的數(shù)字簽名進行驗證���,以確定該消息的完整性及可靠性。通過執(zhí)行步驟101�,UE在本地保存了數(shù)字簽名公鑰,該數(shù)字簽名公鑰與數(shù)字簽名在加密時使用的私鑰是一對密鑰���。在進行驗證時�����,UE使用數(shù)字簽名在加密時使用的數(shù)字簽名算法及本地保存的數(shù)字簽名公鑰對數(shù)字簽名進行驗證����,驗證通過則說明該警報消息真實可靠��,接下來UE會向用戶發(fā)起警報����;若沒有驗證通過,則說明該警報消息不可靠或已遭攻擊���,UE會取消向用戶發(fā)起警報����。數(shù)字簽名算法可通過本領(lǐng)域技術(shù)人員所知的任何一種方法通知給UE,使UE能使用該算法對數(shù)字簽名進行驗證����,該數(shù)字簽名的通知方法可以為下述實施例2中描述的預先配置在用戶設(shè)備中或者用戶設(shè)備根據(jù)告警消息中的數(shù)字簽名算法標識進行選擇得到,也可為其它方法�。本發(fā)明實施例提供的實現(xiàn)數(shù)字簽名的方法中,核心網(wǎng)節(jié)點通過非接入層消息或接入層消息向用戶設(shè)備下發(fā)數(shù)字簽名公鑰���,或者接入網(wǎng)節(jié)點通過第二接入層消息向用戶設(shè)備下發(fā)數(shù)字簽名公鑰���,同時,用戶設(shè)備保存該數(shù)字簽名公鑰��,且用戶設(shè)備通過數(shù)字簽名算法及本地保存的數(shù)字簽名公鑰�����,可實現(xiàn)對接收到的告警消息中的數(shù)字簽名進行驗證�,本發(fā)明詳細地定義了數(shù)字簽名公鑰的下發(fā)方法,彌補了 3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法的缺陷��。本實施例還提供了一種應用于公共報警系統(tǒng)中的用戶設(shè)備�����,如圖2所示����,該設(shè)備包括接收模塊21及驗證模塊22。其中����,接收模塊21用于接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰,或者����,接收并保存接入網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字簽名公鑰;驗證模塊22用于根據(jù)數(shù)字簽名算法及所述接收模塊接收到的所述數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證�����。上述各模塊對應的方法已于上述進行了詳細描述����,在此不再贅述。本發(fā)明實施例提供的用戶設(shè)備由于利用了接收模塊��,因此保存了核心網(wǎng)節(jié)點通過非接入層消息或接入層消息向用戶設(shè)備下發(fā)的數(shù)字簽名公鑰,或者保存了接入網(wǎng)節(jié)點通過第二接入層消息向用戶設(shè)備下發(fā)的數(shù)字簽名公鑰����,且驗證模塊通過數(shù)字簽名算法及接收模塊中接收到的數(shù)字簽名公鑰,可實現(xiàn)對接收到的告警消息中的數(shù)字簽名進行驗證�����,本發(fā)明實施例詳細地定義了數(shù)字簽名公鑰的下發(fā)方法��,彌補了 3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法的缺陷�。實施例2如圖3所示,應用于公共報警系統(tǒng)中的實現(xiàn)數(shù)字簽名的方法包括以下步驟�����。301�、核心網(wǎng)節(jié)點接收用戶設(shè)備發(fā)送的包含公鑰標識的請求消息。具體地�����,用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送請求消息��,該請求消息中包含有用戶設(shè)備在本地保存的數(shù)字簽名公鑰所對應的公鑰標識�����,核心網(wǎng)節(jié)點在接收到該包含公鑰標識的請求消息后執(zhí)行步驟302。302����、核心網(wǎng)節(jié)點確定請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同��。具體地�,核心網(wǎng)節(jié)點比較請求消息中的公鑰標識與核心網(wǎng)節(jié)點在本地保存的數(shù)字簽名公鑰所對應的公鑰標識,如果確定兩個公鑰標識不相同時�,則執(zhí)行步驟303。303�����、核心網(wǎng)節(jié)點通過非接入層消息或接入層消息向用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰及其對應的公鑰標識�����。具體地����,當核心網(wǎng)節(jié)點確定了請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同后,核心網(wǎng)節(jié)點會通過NAS消息或AS消息向用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰及其對應的公鑰標識�����。當核心網(wǎng)節(jié)點比較請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識后,比較結(jié)果為相等����,說明用戶設(shè)備中保存的數(shù)字簽名公鑰與核心網(wǎng)節(jié)點中保存的數(shù)字簽名公鑰相同,都為最新的數(shù)字簽名公鑰����,則不需要對用戶設(shè)備中的數(shù)字簽名進行更新,即核心網(wǎng)節(jié)點不需要向用戶設(shè)備發(fā)送本地保存的數(shù)字簽名公鑰及其對應的公鑰標識����。相反,比較結(jié)果為不相等時�����,核心網(wǎng)節(jié)點則向用戶設(shè)備發(fā)送本地保存的數(shù)字簽名公鑰及其對應的公鑰標識��。上述核心網(wǎng)節(jié)點可以為LTE中的MME����、UTMS中的SGSN,或者為GSM中的MSC�����。在本發(fā)明實施例提供的實現(xiàn)數(shù)字簽名的方法中,核心網(wǎng)節(jié)點根據(jù)用戶設(shè)備所發(fā)送的請求消息中攜帶的公鑰標識����,確定在請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同的情況下,才向用戶設(shè)備發(fā)送本地保存的所述數(shù)字簽名公鑰及其對應的公鑰標識�����,不僅能實現(xiàn)數(shù)字簽名公鑰的下發(fā)�,還可實現(xiàn)對用戶設(shè)備中保存的數(shù)字簽名公鑰進行更新�,彌補了 3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法的缺陷。本發(fā)明實施例還提供了一種應用于公共報警系統(tǒng)的核心網(wǎng)節(jié)點設(shè)備���,如圖4所示�,該設(shè)備包括第二接收模塊41��,用于接收用戶設(shè)備發(fā)送的包含公鑰標識的請求消息�����;第一確定模塊42����,用于確定所述第二接收模塊41所接收的請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同���;發(fā)送模塊43,用于當?shù)谝淮_定模塊42確定請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同時��,通過非接入層消息或接入層消息向用戶設(shè)備下發(fā)本地保存的所述數(shù)字簽名公鑰及其對應的公鑰標識��。上述各模塊對應的方法已于上述進行了詳細描述�,在此不再贅述。需要說明的是“第二接收模塊”在本發(fā)明實施例中用于指代核心網(wǎng)節(jié)點設(shè)備中用于接收請求消息的接收模塊�。“第二”是為了和用戶設(shè)備中用于接收數(shù)字簽名公鑰的接收模塊在名稱上區(qū)分開���,不作為對本發(fā)明的限定��。本發(fā)明實施例提供的核心網(wǎng)節(jié)點設(shè)備�����,由于發(fā)送模塊會在第一確定模塊確定請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同時�,通過非接入層消息或接入層消息向用戶設(shè)備下發(fā)的數(shù)字簽名公鑰��,不僅能實現(xiàn)數(shù)字簽名公鑰的下發(fā)�,還可實現(xiàn)對用戶設(shè)備中保存的數(shù)字簽名公鑰進行更新��,彌補了 3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法的缺陷�����。實施例3
本實施例提供一種實現(xiàn)數(shù)字簽名的方法�,該方法應用于公共報警系統(tǒng)中�,包括接入網(wǎng)節(jié)點確認用戶設(shè)備已完成網(wǎng)絡注冊和安全認證;或者��,確認本地保存的數(shù)字簽名公鑰已更新�����;所述接入網(wǎng)節(jié)點通過第二接入層消息向所述用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰��。具體地�����,如實施例I所述����,在建立用3GPP系統(tǒng)實現(xiàn)的PWS時��,可以由網(wǎng)絡決定UE 從網(wǎng)絡側(cè)的哪個實體上獲取最新的數(shù)字簽名公鑰。由于接入網(wǎng)節(jié)點可以通過已知的消息流程從CBC或CBE上獲取解密數(shù)字簽名所需的數(shù)字簽名公鑰��,或者可以由網(wǎng)絡管理員手工將該數(shù)字簽名公鑰配置在接入網(wǎng)節(jié)點上���,因此��,根據(jù)網(wǎng)絡決定�����,接入網(wǎng)節(jié)點可通過第二接入層消息向用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰��。如果網(wǎng)絡決定由接入網(wǎng)節(jié)點向UE下發(fā)最新的數(shù)字簽名公鑰���,則接入網(wǎng)節(jié)點可以在確認UE已完成網(wǎng)絡注冊和安全認證,即確認一個新的UE已接入PWS后���,將本地保存的數(shù)字簽名公鑰通過第二接入層消息下發(fā)給該UE���。另外,接入網(wǎng)節(jié)點也可以在確認本地保存的所述數(shù)字簽名公鑰已更新后��,將本地保存的數(shù)字簽名公鑰通過第二接入層消息下發(fā)給該 UE。其中��,在CBC或CBE通過已有的消息流程將更新后的數(shù)字簽名公鑰發(fā)送給接入網(wǎng)節(jié)點后���,接入網(wǎng)節(jié)點上會觸發(fā)數(shù)字簽名公鑰更新流程�����,即接入網(wǎng)節(jié)點確認本地保存的數(shù)字簽名公鑰已更新���,在該流程中接入網(wǎng)節(jié)點將本地保存的舊的數(shù)字簽名公鑰替換為更新后的數(shù)字簽名公鑰,并通過第二接入層消息將該更新后的數(shù)字簽名公鑰下發(fā)給UE�。上述第二接入層消息可以為但不限于以下消息接入層安全模式命令 (ASSecurity Mode Command)消息、無線承載(Radio Bear,簡稱為RB)消息��、尋呼 (Paging)消息��、Radio Access Network Application Part (無線接入網(wǎng)絡應用)消息����、無線資源控制(Radio Resource Control�����,簡稱為RRC)消息。其中��,RB消息包括RB建立消息�����、RB修改消息等一系列的消息�,RRC消息也包括RRC建立消息、RRC修改消息等一系列的消息�����。圖14a 14c分別示出了在LTE��、UTMS��、GSM系統(tǒng)中接入網(wǎng)節(jié)點下發(fā)數(shù)字簽名公鑰的流程�。在圖14a中,LTE系統(tǒng)中的接入網(wǎng)節(jié)點eNB通過第二接入層消息����,即接入層安全模式命令(AS Security Mode Command)消息直接向UE下發(fā)最新的數(shù)字簽名公鑰。在圖14b中�,UTMS系統(tǒng)中的接入網(wǎng)節(jié)點RNC通過第二接入層消息,即安全模式命令(Security Mode Command)消息下發(fā)數(shù)字簽名公鑰����。該消息經(jīng)NodeB(基站)轉(zhuǎn)發(fā)后到達UE,從而使UE獲取最新的數(shù)字簽名公鑰��。在圖14c中�����,GSM系統(tǒng)中的接入網(wǎng)節(jié)點BSC通過第二接入層消息�,即加密模式命令(Cipher Mode Command)消息下發(fā)數(shù)字簽名公鑰����。該消息經(jīng)BTS(BaseTransceiver Station,基地收發(fā)信機站)轉(zhuǎn)發(fā)后到達UE,從而使UE獲取最新的數(shù)字簽名公鑰�����。本實施例中����,由于接入網(wǎng)節(jié)點可通過第二接入層消息向用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰,提供了數(shù)字簽名公鑰下發(fā)的具體實現(xiàn)方法���,因此,彌補了 3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法的缺陷����。實施例4應用于PWS中的實現(xiàn)數(shù)字簽名的方法包括用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰�����;所述用戶設(shè)備根據(jù)數(shù)字簽名算法及保存
17的數(shù)字簽名公鑰對接收到的告警消息中的至少一個數(shù)字簽名分別進行驗證��。在3GPP中實現(xiàn)PWS時����,上述的非接入層消息(即NAS消息)可以為非接入層安全模式命令(NAS Security Mode Command)消息���、附著接受(Attach Accept)消息����、位置區(qū)更新接受(TAU Accept)消息或者路由區(qū)更新接受(RAU Accept)消息�����。接入層消息(即AS 消息)可為接入層安全模式命令(AS Security ModeCommand)消息�����。另外�����,上述的數(shù)字簽名算法可預先配置在用戶設(shè)備中或者由用戶設(shè)備根據(jù)數(shù)字簽名算法標識進行選擇得到,其中�,數(shù)字簽名算法標識可設(shè)置于告警消息中的警報消息內(nèi)或告警消息中的安全參數(shù)內(nèi)。當數(shù)字簽名算法標識設(shè)置于警報消息內(nèi)時����,例如在LTE系統(tǒng)中,可將標識放到寫入替換請求(WRITE-REPLACE Request)消息或者寫入替換指示(WRITE-REPLACE Indication)消息中���。也可以將標識放到eNB(演進的基站�����,Evolution Node B)發(fā)給UE的廣播消息中的第10個字段(SIBlO)中���。其中,在LTE系統(tǒng)中�����,WRITE-REPLACE Request消息或者 WRITE-REPLACE Indication 消息由 CBC(小區(qū)廣播中心�,Cell Broadcast Center) 發(fā)送給MME (移動管理實體,Mobility Management Entity),再由MME轉(zhuǎn)發(fā)給eNB, eNB將 WRITE-REPLACERequest消息或者WRITE-REPLACE Indication消息中的告警消息再以廣播消息的形式發(fā)送給UE��。設(shè)置了的數(shù)字簽名算法標識(Signature algorithm Identifier)的上述廣播消息中的SIBlO描述如下
SystemlnformationBlockTypelO ::= SEQUENCE { messageldentifier BIT STRING (SIZE (16)), serialNumberBIT STRING (SIZE (16)),
warningType OCTET STRING (SIZE (2)),
Signature algorithm Identifier OCTET STRING (SIZE (I)) OPTIONAL, - Need OP
warningSecuritylnfo OCTET STRING (SIZE (50)) OPTIONAL, -Need OP
IateNonCriticalExtension OCTET STRING OPTIONAL — Need OP其中���,Signature algorithm Identifier占用的存儲空間為一個8位字節(jié),其詳
權(quán)利要求
1.一種實現(xiàn)數(shù)字簽名的方法����,其特征在于���,應用于公共報警系統(tǒng)中��,包括用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰����;或者�����,所述用戶設(shè)備接收并保存接入網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字簽名公鑰���;所述用戶設(shè)備根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證���。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于���,所述接入層消息為接入層安全模式命令消息����,所述非接入層消息為以下任意消息之一非接入層安全模式命令消息;附著接受消息���;位置區(qū)更新接受消息�����;路由區(qū)更新接受消息�����。
3.根據(jù)權(quán)利要求I所述的方法���,其特征在于,所述第二接入層消息為以下任意消息之接入層安全模式命令消息�;無線承載消息;尋呼消息�;無線資源控制消息;無線接入網(wǎng)絡應用消息����。
4.根據(jù)權(quán)利要求I所述的方法��,其特征在于�,所述數(shù)字簽名算法預先配置在用戶設(shè)備中或者由所述用戶設(shè)備根據(jù)數(shù)字簽名算法標識進行選擇得到�,其中���,所述數(shù)字簽名算法標識設(shè)置于所述告警消息中的警報消息內(nèi)或所述告警消息中的安全參數(shù)內(nèi)���。
5.根據(jù)權(quán)利要求I所述的方法,其特征在于����,在所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰之前,還包括所述用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送請求消息���,其中�,所述請求消息中包含所述保存的數(shù)字簽名公鑰對應的公鑰標所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰包括所述用戶設(shè)備接收核心網(wǎng)節(jié)點在確定所述請求消息中的公鑰標識與所述核心網(wǎng)節(jié)點保存的公鑰標識不相同的情況下�,通過非接入層消息或接入層消息下發(fā)所述核心網(wǎng)節(jié)點保存的公鑰標識及其對應的數(shù)字簽名公鑰;所述用戶設(shè)備將所述通過非接入層消息或接入層消息下發(fā)的公鑰標識及其對應的數(shù)字簽名公鑰進行關(guān)聯(lián)保存��。
6.根據(jù)權(quán)利要求5所述的方法����,其特征在于���,所述非接入層消息或接入層消息還包括所述請求消息中的公鑰標識;所述用戶設(shè)備保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰及其對應的公鑰標識之前���,還包括所述用戶設(shè)備確定所述請求消息中的公鑰標識與所述非接入層消息或接入層消息包括的請求消息中的公鑰標識相同�。
7.根據(jù)權(quán)利要求I所述的方法����,其特征在于,在所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰之前����,還包括所述用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送請求消息,其中�,所述請求消息中包含所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識及所述保存的數(shù)字簽名公鑰對應的公鑰標識;所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰包括所述用戶設(shè)備接收核心網(wǎng)節(jié)點在確定所述請求消息中的網(wǎng)絡標識與所述核心網(wǎng)節(jié)點當前所處網(wǎng)絡的網(wǎng)絡標識相同且所述請求消息中的公鑰標識與所述核心網(wǎng)節(jié)點中保存的公鑰標識不相同的情況下��,通過非接入層消息或接入層消息下發(fā)數(shù)字簽名公鑰及其對應的公鑰標識����;所述用戶設(shè)備接收核心網(wǎng)節(jié)點在確定所述請求消息中的網(wǎng)絡標識與所述核心網(wǎng)節(jié)點當前所處網(wǎng)絡的網(wǎng)絡標識不相同的情況下,通過非接入層消息或接入層消息下發(fā)數(shù)字簽名公鑰及其對應的公鑰標識�����;所述用戶設(shè)備將所述通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰及其對應的公鑰標識與所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識進行關(guān)聯(lián)保存,其中�����,所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識由所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)至所述用戶設(shè)備或者由所述用戶設(shè)備從系統(tǒng)信息中獲取���。
8.根據(jù)權(quán)利要求I所述的方法����,其特征在于����,在所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰之前��,還包括所述用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送請求消息��,其中�����,所述請求消息中包含所述用戶設(shè)備保存的小區(qū)廣播實體標所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰包括所述用戶設(shè)備接收核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的所述小區(qū)廣播實體標識及其對應的數(shù)字簽名公鑰�;所述用戶設(shè)備將所述通過非接入層消息或接入層消息下發(fā)所述小區(qū)廣播實體標識與對應其的所述數(shù)字簽名公鑰進行關(guān)聯(lián)保存。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于�����,所述請求消息中還包含對應于所述小區(qū)廣播實體標識的公鑰標識�����;所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰包括所述用戶設(shè)備接收核心網(wǎng)節(jié)點在確定所述請求消息中的公鑰標識與所述核心網(wǎng)節(jié)點保存的對應于所述小區(qū)廣播實體標識的公鑰標識不相同的情況下����,通過非接入層消息或接入層消息下發(fā)所述小區(qū)廣播實體標識及其對應的公鑰標識及數(shù)字簽名公鑰�����;所述用戶設(shè)備將所述通過非接入層消息或接入層消息下發(fā)所述小區(qū)廣播實體標識與對應其的所述公鑰標識及所述數(shù)字簽名公鑰進行關(guān)聯(lián)保存。
10.根據(jù)權(quán)利要求I所述的方法�,其特征在于,在所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰之前�����,還包括所述用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送請求消息�,其中,所述請求消息中包含小區(qū)廣播實體標識�、對應其的公鑰標識及所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識���;所述用戶設(shè)備接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰包括所述用戶設(shè)備接收核心網(wǎng)節(jié)點在確定所述請求消息中的網(wǎng)絡標識與所述核心網(wǎng)節(jié)點當前所處網(wǎng)絡的網(wǎng)絡標識相同且所述請求消息中的公鑰標識與所述核心網(wǎng)節(jié)點中保存的對應于所述小區(qū)廣播實體標識的公鑰標識不相同的情況下,通過非接入層消息或接入層消息下發(fā)對應于所述小區(qū)廣播實體標識的數(shù)字簽名公鑰�����、公鑰標識及所述小區(qū)廣播實體標所述用戶設(shè)備接收核心網(wǎng)節(jié)點在確定所述請求消息中的網(wǎng)絡標識與所述核心網(wǎng)節(jié)點當前所處網(wǎng)絡的網(wǎng)絡標識不相同的情況下��,通過非接入層消息或接入層消息下發(fā)對應于所述小區(qū)廣播實體標識的數(shù)字簽名公鑰����、公鑰標識及所述小區(qū)廣播實體標識;所述用戶設(shè)備將所述通過非接入層消息或接入層消息下發(fā)的小區(qū)廣播實體標識��、數(shù)字簽名公鑰及公鑰標識與所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識進行關(guān)聯(lián)保存����,其中���,所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識由所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)至所述用戶設(shè)備或者由所述用戶設(shè)備從系統(tǒng)信息中獲取�。
11.根據(jù)權(quán)利要求I 4任一項所述的方法���,其特征在于�����,所述通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰包括兩個最新的數(shù)字簽名公鑰�����。
12.根據(jù)權(quán)利要求I或4所述的方法�����,其特征在于�����,所述告警消息中包括兩個數(shù)字簽名���, 所述兩個數(shù)字簽名由小區(qū)廣播設(shè)備采用與所述小區(qū)廣播設(shè)備本地保存的兩個最新的數(shù)字簽名公鑰對應的數(shù)字簽名私鑰分別對所述告警消息進行簽名獲得�����,其中�,所述小區(qū)廣播設(shè)備為小區(qū)廣播中心或小區(qū)廣播實體��;所述用戶設(shè)備根據(jù)數(shù)字簽名算法及保存的所述數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證包括所述用戶設(shè)備根據(jù)數(shù)字簽名算法及保存的所述數(shù)字簽名公鑰對所述告警消息中的所述兩個數(shù)字簽名分別進行驗證���。
13.根據(jù)權(quán)利要求12所述的方法���,其特征在于��,若所述用戶設(shè)備保存的所述數(shù)字簽名公鑰包括兩個最新的數(shù)字簽名公鑰��,所述用戶設(shè)備根據(jù)數(shù)字簽名算法及保存的所述數(shù)字簽名公鑰對所述告警消息中的所述兩個數(shù)字簽名分別進行驗證包括所述用戶設(shè)備根據(jù)數(shù)字簽名算法及所述兩個最新的數(shù)字簽名公鑰對所述告警消息中的所述兩個數(shù)字簽名分別進行驗證��。
14.根據(jù)權(quán)利要求I所述的方法���,其特征在于,在所述根據(jù)數(shù)字簽名算法及保存的所述數(shù)字簽名公鑰對所述告警消息中的數(shù)字簽名進行驗證之后�����,還包括若所述驗證不通過����,則向所述核心網(wǎng)節(jié)點請求最新的數(shù)字簽名公鑰�����,并采用所述最新的數(shù)字簽名公鑰與所述數(shù)字簽名算法對所述告警消息中的數(shù)字簽名再次進行驗證�����。
15.根據(jù)權(quán)利要求14所述的方法,其特征在于�,向所述核心網(wǎng)節(jié)點請求最新的數(shù)字簽名公鑰包括通過非接入層消息或接入層消息向所述核心網(wǎng)節(jié)點請求最新的數(shù)字簽名公鑰。
16.根據(jù)權(quán)利要求I所述的方法�����,其特征在于�,所述告警消息中還包含公鑰標識;在所述根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證之前還包括所述用戶設(shè)備確定所述保存的數(shù)字簽名公鑰所對應的公鑰標識與所述告警消息中的公鑰標識不相同����;所述用戶設(shè)備向所述核心網(wǎng)節(jié)點請求最新的數(shù)字簽名公鑰及對應的公鑰標識;所述用戶設(shè)備接收并保存從所述核心網(wǎng)節(jié)點下發(fā)的所述最新的數(shù)字簽名公鑰及對應的公鑰標識�����;所述根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證包括根據(jù)所述最新的數(shù)字簽名公鑰對所述告警消息中的數(shù)字簽名進行驗證�。
17.根據(jù)權(quán)利要求I所述的方法,其特征在于��,所述告警消息中還包含公鑰標識���; 在所述根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證之前還包括所述用戶設(shè)備確定所述保存的數(shù)字簽名公鑰所對應的公鑰標識與所述告警消息中的公鑰標識相同�����。
18.根據(jù)權(quán)利要求16或17所述的方法��,其特征在于�,所述公鑰標識設(shè)置在所述告警消息中的警報消息內(nèi)或所述告警消息中的安全參數(shù)內(nèi)。
19.根據(jù)權(quán)利要求I所述的方法��,其特征在于���,所述告警消息中還包含小區(qū)廣播實體標在所述根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證之前還包括所述用戶設(shè)備確定所述保存的數(shù)字簽名公鑰所對應的小區(qū)廣播實體標識與所述告警消息中的小區(qū)廣播實體標識不相同����;所述用戶設(shè)備向所述核心網(wǎng)節(jié)點請求對應于所述告警消息中小區(qū)廣播實體標識的最新的數(shù)字簽名公鑰���;所述用戶設(shè)備接收并保存所述核心網(wǎng)節(jié)點下發(fā)的��、對應于所述告警消息中小區(qū)廣播實體標識的最新的數(shù)字簽名公鑰���;所述根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證包括根據(jù)所述最新的數(shù)字簽名公鑰對所述告警消息中的數(shù)字簽名進行驗證。
20.根據(jù)權(quán)利要求19所述的方法�,其特征在于����,所述告警消息中還包含對應于所述小區(qū)廣播實體標識的公鑰標識�;在所述根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證之前還包括所述用戶設(shè)備確定所述保存的數(shù)字簽名公鑰所對應的小區(qū)廣播實體標識與所述告警消息中的小區(qū)廣播實體標識相同�����,且所述保存的數(shù)字簽名公鑰所對應的公鑰標識與所述告警消息中的公鑰標識不相同�����;所述用戶設(shè)備向所述核心網(wǎng)節(jié)點請求對應于所述告警消息中小區(qū)廣播實體的�����、最新的數(shù)字簽名公鑰及公鑰標識��;所述用戶設(shè)備接收并保存從所述核心網(wǎng)節(jié)點下發(fā)的所述最新的數(shù)字簽名公鑰及公鑰標識��。
21.一種實現(xiàn)數(shù)字簽名的方法�����,其特征在于�,應用于公共報警系統(tǒng)中,包括核心網(wǎng)節(jié)點接收用戶設(shè)備發(fā)送的包含公鑰標識的請求消息;所述核心網(wǎng)節(jié)點確定所述請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同���;所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息向所述用戶設(shè)備下發(fā)本地保存的所述數(shù)字簽名公鑰及其對應的公鑰標識�。
22.根據(jù)權(quán)利要求21所述的方法��,其特征在于����,所述接入層消息為接入層安全模式命令消息,所述非接入層消息為以下任意消息之一非接入層安全模式命令消息�����;附著接受消息���;位置區(qū)更新接受消息���;路由區(qū)更新接受消息。
23.根據(jù)權(quán)利要求21所述的方法��,其特征在于�,所述非接入層消息或接入層消息中還包括所述請求消息中的公鑰標識,以使得所述用戶設(shè)備在確定所述請求消息中的公鑰標識與所述非接入層消息或接入層消息包括的請求消息中的公鑰標識相同的情況下�,保存所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰及其對應的公鑰標識��。
24.根據(jù)權(quán)利要求22或23所述的方法�����,其特征在于,所述請求消息中還包括網(wǎng)絡標在所述核心網(wǎng)節(jié)點確定所述請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同之前,還包括��;所述核心網(wǎng)節(jié)點確定所述請求消息中的網(wǎng)絡標識與本地所處網(wǎng)絡的網(wǎng)絡標識相同����。
25.根據(jù)權(quán)利要求21或22所述的方法,其特征在于��,所述請求消息中還包括網(wǎng)絡標在所述核心網(wǎng)節(jié)點確定所述請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同之前����,還包括所述核心網(wǎng)節(jié)點確定所述請求消息中的網(wǎng)絡標識與本地所處網(wǎng)絡的網(wǎng)絡標識不相同;則所述非接入層消息或接入層消息中還包括所述用戶設(shè)備本地所處網(wǎng)絡的網(wǎng)絡標識���,以使得所述用戶設(shè)備將所述非接入層消息或接入層消息中的所述網(wǎng)絡標識與所述數(shù)字簽名公鑰及其對應的公鑰標識進行關(guān)聯(lián)保存����。
26.根據(jù)權(quán)利要求21或22所述的方法��,其特征在于,所述請求消息中還包括小區(qū)廣播實體標識�,所述公鑰標識對應于所述小區(qū)廣播實體標識;所述核心網(wǎng)節(jié)點確定所述請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同包括所述核心網(wǎng)節(jié)點確定所述請求消息中的公鑰標識與本地保存的對應于所述小區(qū)廣播實體標識的公鑰標識不相同����;所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息向所述用戶設(shè)備下發(fā)本地保存的所述數(shù)字簽名公鑰及其對應的公鑰標識包括所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息向所述用戶設(shè)備下發(fā)本地保存的對應于所述小區(qū)廣播實體標識的數(shù)字簽名公鑰、公鑰標識及所述小區(qū)廣播實體標識�����,以使得所述用戶設(shè)備將所述非接入層消息或接入層消息中的所述小區(qū)廣播實體標識與所述數(shù)字簽名公鑰及公鑰標識進行關(guān)聯(lián)保存��。
27.一種實現(xiàn)數(shù)字簽名的方法�����,其特征在于�����,應用于公共報警系統(tǒng)中�,該方法包括 接入網(wǎng)節(jié)點確認用戶設(shè)備已完成網(wǎng)絡注冊和安全認證;或者����,確認本地保存的數(shù)字簽名公鑰已更新����;所述接入網(wǎng)節(jié)點通過第二接入層消息向所述用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰����。
28.根據(jù)權(quán)利要求27所述的方法,其特征在于���,所述第二接入層消息為以下任意消息之一接入層安全模式命令消息;無線承載消息��;尋呼消息�;無線資源控制消息;無線接入網(wǎng)絡應用消息��。
29.一種用戶設(shè)備�����,其特征在于�����,應用于公共報警系統(tǒng)中�����,包括接收模塊,用于接收并保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰���;或者���,接收并保存接入網(wǎng)節(jié)點通過第二接入層消息下發(fā)的數(shù)字簽名公鑰;驗證模塊�,用于根據(jù)數(shù)字簽名算法及所述接收模塊接收到的所述數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證。
30.根據(jù)權(quán)利要求29所述的用戶設(shè)備��,其特征在于���,用于下發(fā)給所述接收模塊所述數(shù)字簽名公鑰的接入層消息為接入層安全模式命令消息���;用于下發(fā)給所述接收模塊所述數(shù)字簽名公鑰的非接入層消息為以下任意消息之一 非接入層安全模式命令消息;附著接受消息����;位置區(qū)更新接受消息;路由區(qū)更新接受消息�。
31.根據(jù)權(quán)利要求29所述的用戶設(shè)備,其特征在于�����,用于下發(fā)給所述接收模塊所述數(shù)字簽名公鑰的第二接入層消息為以下任意消息之一接入層安全模式命令消息;無線承載消息����;尋呼消息;無線資源控制消息�;無線接入網(wǎng)絡應用消息。
32.根據(jù)權(quán)利要求29所述的用戶設(shè)備�����,其特征在于���,所述數(shù)字簽名算法預先配置在所述用戶設(shè)備中或者由所述用戶設(shè)備根據(jù)數(shù)字簽名算法標識進行選擇得到,其中���,所述數(shù)字簽名算法標識設(shè)置于所述告警消息中的警報消息內(nèi)或所述告警消息中的安全參數(shù)內(nèi)���。
33.根據(jù)權(quán)利要求29所述的用戶設(shè)備,其特征在于�����,所述用戶設(shè)備還包括請求模塊,用于向核心網(wǎng)節(jié)點發(fā)送請求消息��,其中�����,所述請求消息中包含所述保存的數(shù)字簽名公鑰對應的公鑰標識����;所述接收模塊還用于接收核心網(wǎng)節(jié)點在確定所述請求模塊的請求消息中的公鑰標識與所述核心網(wǎng)節(jié)點保存的公鑰標識不相同的情況下,通過非接入層消息或接入層消息下發(fā)所述核心網(wǎng)節(jié)點保存的公鑰標識及其對應的數(shù)字簽名公鑰����;關(guān)聯(lián)保存模塊,用于將所述通過非接入層消息或接入層消息下發(fā)的公鑰標識及其對應的數(shù)字簽名公鑰進行關(guān)聯(lián)保存�。
34.根據(jù)權(quán)利要求33所述的用戶設(shè)備,其特征在于����,所述非接入層消息或接入層消息還包括所述請求消息中的公鑰標識;所述接收模塊還用于在保存核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰及其對應的公鑰標識之前����,確定所述請求模塊的請求消息中的公鑰標識與所述非接入層消息或接入層消息包括的請求消息中的公鑰標識相同。
35.根據(jù)權(quán)利要求29所述的用戶設(shè)備���,其特征在于�����,所述用戶設(shè)備還包括請求模塊��,用于向核心網(wǎng)節(jié)點發(fā)送請求消息�,其中,所述請求消息中包含所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識及所述接收模塊接收到的所述數(shù)字簽名公鑰對應的公鑰標識�; 所述接收模塊還用于接收核心網(wǎng)節(jié)點在確定所述請求模塊的請求消息中的網(wǎng)絡標識與所述核心網(wǎng)節(jié)點當前所處網(wǎng)絡的網(wǎng)絡標識相同且所述請求消息中的公鑰標識與所述核心網(wǎng)節(jié)點中保存的公鑰標識不相同的情況下,通過非接入層消息或接入層消息下發(fā)數(shù)字簽名公鑰及其對應的公鑰標識��;所述接收模塊還用于接收核心網(wǎng)節(jié)點在確定所述請求消息中的網(wǎng)絡標識與所述核心網(wǎng)節(jié)點當前所處網(wǎng)絡的網(wǎng)絡標識不相同的情況下�,通過非接入層消息或接入層消息下發(fā)數(shù)字簽名公鑰及其對應的公鑰標識;關(guān)聯(lián)保存模塊���,用于將所述通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰及其對應的公鑰標識與所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識進行關(guān)聯(lián)保存;其中�����,所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識由所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)至所述用戶設(shè)備或者由所述用戶設(shè)備從系統(tǒng)信息中獲取���。
36.根據(jù)權(quán)利要求29所述的用戶設(shè)備���,其特征在于��,所述用戶設(shè)備還包括請求模塊�,用于向核心網(wǎng)節(jié)點發(fā)送請求消息�����,其中�,所述請求消息中包含所述用戶設(shè)備保存的小區(qū)廣播實體標識;所述接收模塊還用于接收核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)的所述小區(qū)廣播實體標識及其對應的數(shù)字簽名公鑰�����;關(guān)聯(lián)保存模塊�����,用于將所述通過非接入層消息或接入層消息下發(fā)所述小區(qū)廣播實體標識與對應其的所述數(shù)字簽名公鑰進行關(guān)聯(lián)保存���。
37.根據(jù)權(quán)利要求36所述的用戶設(shè)備�����,其特征在于��,所述請求消息中還包含對應于所述小區(qū)廣播實體標識的公鑰標識�;所述接收模塊還用于接收核心網(wǎng)節(jié)點在確定所述請求消息中的公鑰標識與所述核心網(wǎng)節(jié)點保存的對應于所述小區(qū)廣播實體標識的公鑰標識不相同的情況下,通過非接入層消息或接入層消息下發(fā)所述小區(qū)廣播實體標識及其對應的公鑰標識及數(shù)字簽名公鑰���;所述關(guān)聯(lián)保存模塊還用于將所述通過非接入層消息或接入層消息下發(fā)所述小區(qū)廣播實體標識與對應其的所述公鑰標識及所述數(shù)字簽名公鑰進行關(guān)聯(lián)保存����。
38.根據(jù)權(quán)利要求29所述的用戶設(shè)備���,其特征在于����,所述用戶設(shè)備還包括請求模塊,用于向核心網(wǎng)節(jié)點發(fā)送請求消息,其中,所述請求消息中包含小區(qū)廣播實體標識��、對應其的公鑰標識及所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識���;所述接收模塊還用于接收核心網(wǎng)節(jié)點在確定所述請求消息中的網(wǎng)絡標識與所述核心網(wǎng)節(jié)點當前所處網(wǎng)絡的網(wǎng)絡標識相同且所述請求消息中的公鑰標識與所述核心網(wǎng)節(jié)點中保存的對應于所述小區(qū)廣播實體標識的公鑰標識不相同的情況下,通過非接入層消息或接入層消息下發(fā)對應于所述小區(qū)廣播實體標識的數(shù)字簽名公鑰����、公鑰標識及所述小區(qū)廣播實體標識;所述接收模塊還用于接收核心網(wǎng)節(jié)點在確定所述請求消息中的網(wǎng)絡標識與所述核心網(wǎng)節(jié)點當前所處網(wǎng)絡的網(wǎng)絡標識不相同的情況下,通過非接入層消息或接入層消息下發(fā)對應于所述小區(qū)廣播實體標識的數(shù)字簽名公鑰��、公鑰標識及所述小區(qū)廣播實體標識����;關(guān)聯(lián)保存模塊,將所述通過非接入層消息或接入層消息下發(fā)的小區(qū)廣播實體標識��、數(shù)字簽名公鑰及公鑰標識與所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識進行關(guān)聯(lián)保存�����,其中���,所述用戶設(shè)備當前所處網(wǎng)絡的網(wǎng)絡標識由所述核心網(wǎng)節(jié)點通過非接入層消息或接入層消息下發(fā)至所述用戶設(shè)備或者由所述用戶設(shè)備從系統(tǒng)信息中獲取���。
39.根據(jù)權(quán)利要求29 32任一項所述的用戶設(shè)備,其特征在于�,通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰包括兩個最新的數(shù)字簽名公鑰。
40.根據(jù)權(quán)利要求29或32所述的用戶設(shè)備��,其特征在于����,所述告警消息中包括兩個數(shù)字簽名����,所述兩個數(shù)字簽名由小區(qū)廣播設(shè)備采用與所述小區(qū)廣播設(shè)備本地保存的兩個最新的數(shù)字簽名公鑰對應的數(shù)字簽名私鑰分別對所述告警消息進行簽名獲得��;所述小區(qū)廣播設(shè)備為小區(qū)廣播中心或小區(qū)廣播實體����;所述驗證模塊還用于根據(jù)數(shù)字簽名算法及所述接收模塊接收到的所述數(shù)字簽名公鑰對所述告警消息中的所述兩個數(shù)字簽名分別進行驗證。
41.根據(jù)權(quán)利要求40所述的用戶設(shè)備���,其特征在于����,若所述用戶設(shè)備保存的所述數(shù)字簽名公鑰包括兩個最新的數(shù)字簽名公鑰�����;所述驗證模塊還用于根據(jù)數(shù)字簽名算法及所述兩個最新的數(shù)字簽名公鑰對所述告警消息中的所述兩個數(shù)字簽名分別進行驗證��。
42.根據(jù)權(quán)利要求29所述的用戶設(shè)備��,其特征在于����,所述驗證模塊還用于在所述根據(jù)數(shù)字簽名算法及所述接收模塊接收到的所述數(shù)字簽名公鑰對所述告警消息中的數(shù)字簽名進行驗證之后,若所述驗證不通過�,則向所述核心網(wǎng)節(jié)點請求最新的數(shù)字簽名公鑰,并采用所述最新的數(shù)字簽名公鑰與所述數(shù)字簽名算法對所述告警消息中的數(shù)字簽名再進行驗證�。
43.根據(jù)權(quán)利要求42所述的用戶設(shè)備,其特征在于��,所述驗證模塊還用于在所述根據(jù)數(shù)字簽名算法及所述接收模塊接收到的所述數(shù)字簽名公鑰對所述告警消息中的數(shù)字簽名進行驗證之后�����,若所述驗證不通過���,則通過非接入層消息或接入層消息向所述核心網(wǎng)節(jié)點請求最新的數(shù)字簽名公鑰�����,并采用所述最新的數(shù)字簽名公鑰與所述數(shù)字簽名算法對所述告警消息中的數(shù)字簽名再進行驗證���。
44.根據(jù)權(quán)利要求29所述的用戶設(shè)備,其特征在于���,所述告警消息中還包含公鑰標識��;所述用戶設(shè)備還包括公鑰更新模塊����,用于在所述根據(jù)數(shù)字簽名算法及所述接收模塊接收到的所述數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證之前,確定所述接收模塊接收到的所述數(shù)字簽名公鑰所對應的公鑰標識與所述告警消息中的公鑰標識不相同時�����,向所述核心網(wǎng)節(jié)點請求最新的數(shù)字簽名公鑰及對應的公鑰標識�;接收并保存從所述核心網(wǎng)節(jié)點下發(fā)的所述最新的數(shù)字簽名公鑰及對應的公鑰標識;所述驗證模塊還用于根據(jù)所述最新的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證�。
45.根據(jù)權(quán)利要求29所述的用戶設(shè)備,其特征在于�����,所述告警消息中還包含公鑰標識; 所述用戶設(shè)備還包括確定模塊����,用于確定所述接收模塊接收到的所述數(shù)字簽名公鑰所對應的公鑰標識與所述告警消息中的公鑰標識相同。
46.根據(jù)權(quán)利要求29所述的用戶設(shè)備�,其特征在于,所述告警消息中還包含小區(qū)廣播實體標識�����,所述用戶設(shè)備還包括公鑰更新模塊��,用于在所述根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證之前,確定所述保存的數(shù)字簽名公鑰所對應的小區(qū)廣播實體標識與所述告警消息中的小區(qū)廣播實體標識不相同���;向所述核心網(wǎng)節(jié)點請求對應于所述告警消息中小區(qū)廣播實體標識的最新的數(shù)字簽名公鑰;接收并保存所述核心網(wǎng)節(jié)點下發(fā)的��、對應于所述告警消息中小區(qū)廣播實體標識的最新的數(shù)字簽名公鑰���;所述驗證模塊還用于根據(jù)所述最新的數(shù)字簽名公鑰對所述告警消息中的數(shù)字簽名進行驗證���。
47.根據(jù)權(quán)利要求46所述的用戶設(shè)備,其特征在于����,所述告警消息中還包含對應于所述小區(qū)廣播實體標識的公鑰標識;所述公鑰更新模塊�,還用于在所述根據(jù)數(shù)字簽名算法及保存的數(shù)字簽名公鑰對接收到的告警消息中的數(shù)字簽名進行驗證之前,確定所述保存的數(shù)字簽名公鑰所對應的小區(qū)廣播實體標識與所述告警消息中的小區(qū)廣播實體標識相同�,且所述保存的數(shù)字簽名公鑰所對應的公鑰標識與所述告警消息中的公鑰標識不相同;向所述核心網(wǎng)節(jié)點請求對應于所述告警消息中小區(qū)廣播實體的���、最新的數(shù)字簽名公鑰及公鑰標識�;接收并保存從所述核心網(wǎng)節(jié)點下發(fā)的所述最新的數(shù)字簽名公鑰及公鑰標識��。
48.一種核心網(wǎng)節(jié)點設(shè)備,其特征在于�����,應用于公共報警系統(tǒng)中�����,包括第二接收模塊����,用于接收用戶設(shè)備發(fā)送的包含公鑰標識的請求消息;第一確定模塊�����,用于確定所述第二接收模塊所接收的請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同���;發(fā)送模塊�,用于當?shù)谝淮_定模塊確定請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同時����,通過非接入層消息或接入層消息向所述用戶設(shè)備下發(fā)本地保存的所述數(shù)字簽名公鑰及其對應的公鑰標識。
49.根據(jù)權(quán)利要求48所述的核心網(wǎng)節(jié)點設(shè)備,其特征在于�����,所述發(fā)送模塊所采用的接入層消息為接入層安全模式命令消息�����;所述發(fā)送模塊所采用的非接入層消息為以下任意消息之一非接入層安全模式命令消息����;附著接受消息���;位置區(qū)更新接受消息���;路由區(qū)更新接受消息。
50.根據(jù)權(quán)利要求49所述的核心網(wǎng)節(jié)點設(shè)備�����,其特征在于����,所述發(fā)送模塊發(fā)送的非接入層消息或接入層消息中還包括所述請求消息中的公鑰標識,以使得所述用戶設(shè)備在確定所述請求消息中的公鑰標識與所述非接入層消息或接入層消息包括的請求消息中的公鑰標識相同的情況下�,保存所述核心網(wǎng)節(jié)點設(shè)備通過非接入層消息或接入層消息下發(fā)的數(shù)字簽名公鑰及其對應的公鑰標識��。
51.根據(jù)權(quán)利要求49或50所述的核心網(wǎng)節(jié)點設(shè)備�,其特征在于�����,所述第二接收模塊接收到的請求消息中還包括網(wǎng)絡標識��;所述核心網(wǎng)節(jié)點設(shè)備還包括第二確定模塊�����,用于當所述第一確定模塊確定請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同之前�����,確定所述請求消息中的網(wǎng)絡標識與本地所處網(wǎng)絡的網(wǎng)絡標識相同����。
52.根據(jù)權(quán)利要求48或49所述的核心網(wǎng)節(jié)點設(shè)備,其特征在于����,所述第二接收模塊接收到的請求消息中還包括網(wǎng)絡標識;所述核心網(wǎng)節(jié)點設(shè)備還包括第三確定模塊,用于當所述第一確定模塊確定請求消息中的公鑰標識與本地保存的數(shù)字簽名公鑰所對應的公鑰標識不相同之前��,確定所述請求消息中的網(wǎng)絡標識與本地所處網(wǎng)絡的網(wǎng)絡標識不相同���;則所述非接入層消息或接入層消息中還包括所述核心網(wǎng)節(jié)點設(shè)備本地所處網(wǎng)絡的網(wǎng)絡標識���,以使得所述用戶設(shè)備將所述非接入層消息或接入層消息中的所述網(wǎng)絡標識與所述數(shù)字簽名公鑰及其對應的公鑰標識進行關(guān)聯(lián)保存。
53.根據(jù)權(quán)利要求48或49所述的核心網(wǎng)節(jié)點設(shè)備���,其特征在于�����,所述請求消息中還包括小區(qū)廣播實體標識,所述公鑰標識對應于所述小區(qū)廣播實體標識�����;所述第一確定模塊還用于確定所述請求消息中的公鑰標識與本地保存的對應于所述小區(qū)廣播實體標識的公鑰標識不相同�;則所述非接入層消息或接入層消息中還包括所述核心網(wǎng)節(jié)點本地保存的對應于所述小區(qū)廣播實體標識的數(shù)字簽名公鑰、公鑰標識及所述小區(qū)廣播實體標識����,以使得所述用戶設(shè)備將所述非接入層消息或接入層消息中的所述小區(qū)廣播實體標識與所述數(shù)字簽名公鑰及公鑰標識進行關(guān)聯(lián)保存。
54.一種接入網(wǎng)節(jié)點設(shè)備,其特征在于��,應用于公共報警系統(tǒng)中�����,該設(shè)備包括確認模塊��,用于確認用戶設(shè)備已完成網(wǎng)絡注冊和安全認證�,或者確認本地保存的數(shù)字簽名公鑰已更新;第二發(fā)送模塊����,用于在所述確認模塊確認所述用戶設(shè)備已完成網(wǎng)絡注冊和安全認證, 或者確認本地保存的數(shù)字簽名公鑰已更新之后���,通過第二接入層消息向所述用戶設(shè)備下發(fā)本地保存的數(shù)字簽名公鑰�����。
55.根據(jù)權(quán)利要求54所述的接入網(wǎng)節(jié)點設(shè)備���,其特征在于,所述第二接入層消息為以下任意消息之一接入層安全模式命令消息����;無線承載消息�����;尋呼消息��;無線資源控制消息�����;無線接入網(wǎng)絡應用消息�����。
全文摘要
本發(fā)明實施例公開了一種實現(xiàn)數(shù)字簽名的方法及設(shè)備��,涉及通信系統(tǒng)的信息安全領(lǐng)域,解決了3GPP標準中未具體定義數(shù)字簽名實現(xiàn)方法的問題����。本發(fā)明的核心網(wǎng)節(jié)點通過非接入層消息或接入層消息向用戶設(shè)備下發(fā)數(shù)字簽名公鑰,或者接入網(wǎng)節(jié)點通過第二接入層消息向用戶設(shè)備下發(fā)數(shù)字簽名公鑰�,同時,用戶設(shè)備保存該數(shù)字簽名公鑰���,且用戶設(shè)備通過數(shù)字簽名算法及在本地保存的數(shù)字簽名公鑰��,可實現(xiàn)對接收到的告警消息中的數(shù)字簽名進行驗證�����,本發(fā)明詳細地定義了數(shù)字簽名公鑰的下發(fā)方法���,彌補了3GPP標準中未詳細定義數(shù)字簽名實現(xiàn)方法的缺陷����。本發(fā)明主要用于公共報警系統(tǒng)�����。
文檔編號H04L9/32GK102611554SQ20111032360
公開日2012年7月25日 申請日期2011年10月21日 優(yōu)先權(quán)日2011年1月25日
發(fā)明者畢曉宇, 許怡嫻, 陳璟 申請人:華為技術(shù)有限公司