实现数字签名的方法及设备的制造方法
【技术领域】
[0001] 本发明涉及通信系统的信息安全领域,尤其涉及实现数字签名的方法及设备。
【背景技术】
[0002] 公共报警系统(PWS:PublicWarningSystem)用于对人类的生命和财产造成损 失的自然灾害或人为事故进行警报的系统。在自然灾害,如洪水、飓风,或人为事故,如化 学气体泄漏、爆炸威胁、核威胁的情况下,PWS可作为对现有广播通信系统的一种补充。PWS 服务由电信运营商提供给用户,其内容可以由报警信息供应部门(warningnotification provider)提供。当某些灾害事件或事故发生时,运营商或报警信息供应部门产生警报消息 (warningnotification),该消息由运营商使用其网络发送给用户。
[0003]由于发布一些警报消息例如地震海啸等告警消息将可能引发大规模的恐慌,所以 对这类警报消息的安全性要求也较高。目前,3GPP的标准规定的安全机制的做法是:对警 报消息进行数字签名,数字签名可以用来保证警报消息的完整性,确保警报消息来自于一 个可信的源。进行了数字签名的警报消息被广播给用户设备(UE:USerEquipment)。UE将 验证广播消息中的"数字签名"。如果验证通过,UE会向用户发起警报,并把警报消息的内 容发给用户;如果验证失败,UE会通知用户验证失败,并停止向用户报警。
[0004] 在3GPP中实现上述PWS告警的过程中,3GPP标准中只是定义了可以用数字签名来 保护告警消息的完整性,但是并没有具体定义数字签名是如何实现的。
【发明内容】
[0005] 本发明的实施例提供一种实现数字签名的方法及设备,具体定义了数字签名是如 何实现的。
[0006] 为达到上述目的,本发明的实施例采用如下技术方案:
[0007] -种实现数字签名的方法,应用于公共报警系统中,该方法包括:用户设备接收并 保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥;或者,所述用户设 备接收并保存接入网节点通过第二接入层消息下发的数字签名公钥;所述用户设备根据数 字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证。
[0008] -种实现数字签名的方法,应用于公共报警系统中,该方法包括:核心网节点接收 用户设备发送的包含公钥标识的请求消息;所述核心网节点确定所述请求消息中的公钥标 识与本地保存的数字签名公钥所对应的公钥标识不相同;所述核心网节点通过非接入层消 息或接入层消息向所述用户设备下发本地保存的所述数字签名公钥及其对应的公钥标识。
[0009] -种实现数字签名的方法,应用于公共报警系统中,该方法包括:接入网节点确认 用户设备已完成网络注册和安全认证;或者,确认本地保存的数字签名公钥已更新;所述 接入网节点通过第二接入层消息向所述用户设备下发本地保存的数字签名公钥。
[0010] 一种用户设备,应用于公共报警系统中,该设备包括:接收模块,用于接收并保存 核心网节点通过非接入层消息或接入层消息下发的数字签名公钥,或者,接收并保存接入 网节点通过第二接入层消息下发的数字签名公钥;验证模块,用于根据数字签名算法及所 述接收模块接收到的所述数字签名公钥对接收到的告警消息中的数字签名进行验证。
[0011] 一种核心网节点设备,应用于公共报警系统中,该设备包括:接收模块,用于接收 用户设备发送的包含公钥标识的请求消息;第一确定模块,用于确定所述接收模块所接收 的请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同;发送模 块,用于当第一确定模块确定请求消息中的公钥标识与本地保存的数字签名公钥所对应的 公钥标识不相同时,通过非接入层消息或接入层消息向所述用户设备下发本地保存的所述 数字签名公钥及其对应的公钥标识。
[0012] 一种接入网节点设备,应用于公共报警系统中,该设备包括:确认模块,用于确认 用户设备已完成网络注册和安全认证,或者确认本地保存的所述数字签名公钥已更新;发 送模块,在所述确认模块确认所述用户设备已完成网络注册和安全认证,或者确认本地保 存的数字签名公钥已更新之后,通过第二接入层消息向所述用户设备下发本地保存的数字 签名公钥。
[0013] 本发明实施例提供的实现数字签名的方法及设备中,利用核心网节点通过非接入 层消息或接入层消息向用户设备下发最新的数字签名公钥,或者利用接入网节点通过第二 接入层消息向用户设备下发最新的数字签名公钥,同时,用户设备保存该最新的数字签名 公钥,且用户设备通过数字签名算法及在本地保存的数字签名公钥,可实现对接收到的告 警消息中的数字签名进行验证,本发明实施例详细定义了数字签名公钥的下发方法,弥补 了 3GPP标准中未详细定义数字签名实现方法的缺陷。
【附图说明】
[0014] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。
[0015] 图1为本发明实施例1实现数字签名的方法的流程图;
[0016] 图2为本发明实施例1用户设备的方框图;
[0017] 图3为本发明实施例2实现数字签名的方法的流程图;
[0018] 图4为本发明实施例2核心网节点设备的方框图;
[0019]图5为现有技术中安全参数的数据结构;
[0020] 图6为本发明实施例4安全参数的数据结构;
[0021]图7为本发明实施例4 一种接收并保存核心网节点下发的数字签名公钥的方法流 程图;
[0022] 图8为本发明实施例4另一种接收并保存核心网节点下发的数字签名公钥的方法 流程图;
[0023]图9为本发明实施例4又一种接收并保存核心网节点下发的数字签名公钥的方法 流程图;
[0024]图10为本发明实施例4再一种接收并保存核心网节点下发的数字签名公钥的方 法流程图;
[0025]图11为本发明实施例4又一种接收并保存核心网节点下发的数字签名公钥的方 法流程图;
[0026] 图12为本发明实施例6-种用户设备的结构图;
[0027] 图13为本发明实施例6-种核心网节点的结构图;
[0028] 图14a~14c为本发明实施例3的LTE、UTMS、GSM系统中接入网节点下发数字签 名公钥的流程图;
[0029] 图15为本发明实施例6-种接入网节点设备的结构图。
【具体实施方式】
[0030] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0031] 实施例1
[0032] 如图1所示,应用于公共报警系统中的实现数字签名的方法包括以下步骤。
[0033] 101、用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数 字签名公钥,或者,所述用户设备接收并保存接入网节点通过第二接入层消息下发的数字 签名公钥。
[0034] 具体地,用3GPP系统中实现PWS时,数字签名由但不限于小区广播中心(Cell BroadcastCenter,简称为:CBC)或小区广播实体(CellBroadcastEntity,简称为:CBE) 对告警消息中警报消息的明文采用数字签名私钥及数字签名算法进行加密而获得。该数字 签名携带在该告警消息中。其中,小区广播中心和小区广播实体统称为小区广播设备。
[0035] 核心网节点或者接入网节点可通过已有的消息流程,从CBC或者CBE上获取对该 数字签名进行验证的最新的数字签名公钥,也可以由网络管理员将该最新的数字签名公钥 手工配置在接入网节点上。
[0036] 随后,UE就能接收到由核心网节点下发的非接入层消息(即NAS消息)或接入层 消息(即AS消息),该消息中携带有上述最新的数字签名公钥,或者UE能接收到由接入网 节点下发的第二接入层消息,该消息中携带有上述最新的数字签名公钥,UE接收到该最新 的数字签名公钥后,将其保存在本地。
[0037]当然,在3GPP系统中,UE是从核心网节点最新的获取数字签名公钥,还是从接入 网节点获取最新的数字签名公钥,可以在系统建立时指定,使得系统在运行过程中从指定 的节点按指定的方式获取最新的数字签名公钥。
[0038]在3GPP提出的LTE(LongTermEvolution:长期演进)中,核心网节点为MME(移 动管理实体,MobilityManagementEntity),接入网节点为eNB(演进的基站,Evolution NodeB);在 3GPP提出的UMTS(UniversalMobileTelecommunicationsSystem:通用移 动通信系统)中,核心网节点为SGSN(SERVICINGGPRSSUPPORTNODE,GPRS服务支持节 点),接入网节点为RNC(无线网络控制器,RadioNetworkController);在3GPP提出的 GSM(GlobalSystemforMobileCommunications:全球移动通信系统)中,核心网节点 为MSC(MobileSwitchingCenter,移动交换中心),接入网节点为BSC(基站控制器,Base StationController)〇
[0039] 需要说明的是:"第二接入层消息"在本发明实施例中用于指代接入网节点发送的 接入层消息。"第二"是为了和核心网节点发送的接入层消息在名称上区分开,不作为对本 发明的限定。
[0040] 102、所述用户设备根据数字签名算法及保存的数字签名公钥对接收到的告警消 息中的数字签名进行验证。
[0041] 具体地,UE在接收到告警消息后,需要对告警消息的数字签名进行验证,以确定该 消息的完整性及可靠性。通过执行步骤l〇l,UE在本地保存了数字签名公钥,该数字签名公 钥与数字签名在加密时使用的私钥是一对密钥。在进行验证时,UE使用数字签名在加密时 使用的数字签名算法及本地保存的数字签名公钥对数字签名进行验证,验证通过则说明该 警报消息真实可靠,接下来UE会向用户发起警报;若没有验证通过,则说明该警报消息不 可靠或已遭攻击,UE会取消向用户发起警报。
[0042] 数字签名算法可通过本领域技术人员所知的任何一种方法通知给UE,使UE能使 用该算法对数字签名进行验证,该数字签名的通知方法可以为下述实施例2中描述的预先 配置在用户设备中或者用户设备根据告警消息中的数字签名算法标识进行选择得到,也可 为其它方法。
[0043]本发明实施例提供的实现数字签名的方法中,核心网节点通过非接入层消息或接 入层消息向用户设备下发数字签名公钥,或者接入网节点通过第二接入层消息向用户设备 下发数字签名公钥,同时,用户设备保存该数字签名公钥,且用户设备通过数字签名算法及 本地保存的数字签名公钥,可实现对接收到的告警消息中的数字签名进行验证,本发明详 细地定义了数字签名公钥的下发方法,弥补了 3GPP标准中未详细定义数字签名实现方法 的缺陷。
[0044] 本实施例还提供了一种应用于公共报警系统中的用户设备,如图2所示,该设备 包括接收模块21及验证模块22。其中,接收模块21用于接收并保存核心网节点通过非接 入层消息或接入层消息下发的数字签名公钥,或者,接收并保存接入网节点通过第二接入 层消息下发的数字签名公钥;验证模块22用于根据数字签名算法及所述接收模块接收到 的所述数字签名公钥对接收到的告警消息中的数字签名进行验证。
[0045] 上述各模块对应的方法已于上述进行了详细描述,在此不再赘述。
[0046] 本发明实施例提供的用户设备由于利用了接收模块,因此保存了核心网节点通过 非接入层消息或接入层消息向用户设备下发的数字签名公钥,或者保存了接入网节点通过 第二接入层消息向用户设备下发的数字签名公钥,且验证模块通过数字签名算法及接收模 块中接收到的数字签名公钥,可实现对接收到的告警消息中的数字签名进行验证,本发明 实施例详细地定义了数字签名公钥的下发方法,弥补了 3GPP标准中未详细定义数字签名 实现方法的缺陷。
[0047] 实施例2
[0048] 如图3所示,应用于公共报警系统中的实现数字签名的方法包括以下步骤。
[0049] 301、核心网节点接收用户设备发送的包含公钥标识的请求消息。
[0050] 具体地,用户设备向核心网节点发送请求消息,该请求消息中包含有用户设备在