名算法对所述告警消息中的数字签名再进行验证。
[0216] 当告警消息中还包含公钥标识时,所述用户设备还可包括:公钥更新模块1205, 用于在所述根据数字签名算法及所述接收模块接收到的所述数字签名公钥所接收到的告 警消息中的数字签名进行验证之前,确定所述接收模块接收到的所述数字签名公钥所对应 的公钥标识与所述告警消息中的公钥标识不相同时,向所述核心网节点请求最新的数字签 名公钥及对应的公钥标识;接收并保存从所述核心网节点下发的所述最新的数字签名公钥 及对应的公钥标识;所述验证模块1202还用于:根据所述最新的数字签名公钥及对应的公 钥标识对接收到的告警消息中的数字签名进行验证。
[0217] 当告警消息中还包含公钥标识时,用户设备还可不包括上述公钥更新模块1205, 而包括确定模块,该确定模块用于确定所述接收模块接收到的所述数字签名公钥所对应的 公钥标识与所述告警消息中的公钥标识相同。
[0218] 告警消息中可包含小区广播实体标识;公钥更新模块,可用于在所述根据数字签 名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证之前,确定所述 保存的数字签名公钥所对应的小区广播实体标识与所述告警消息中的小区广播实体标识 不相同;向所述核心网节点请求对应于所述告警消息中小区广播实体标识的最新的数字签 名公钥;接收并保存所述核心网节点下发的、对应于所述告警消息中小区广播实体标识的 最新的数字签名公钥;所述验证模块还用于:根据所述最新的数字签名公钥对所述告警消 息中的数字签名进行验证。
[0219] 告警消息中还包含对应于所述小区广播实体标识的公钥标识;所述公钥更新模 块,还可用于在所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数 字签名进行验证之前,确定所述保存的数字签名公钥所对应的小区广播实体标识与所述告 警消息中的小区广播实体标识相同,且所述保存的数字签名公钥所对应的公钥标识与所述 告警消息中的公钥标识不相同;向所述核心网节点请求对应于所述告警消息中小区广播实 体的、最新的数字签名公钥及公钥标识;接收并保存从所述核心网节点下发的所述最新的 数字签名公钥及公钥标识。
[0220] 上述各模块所执行的方法已在实施例1、4、5中做了详细说明,在此不再赘述。
[0221] 本实施例又提出一种应用于公共报警系统的核心网节点设备,如图13所示,该设 备包括:第二接收模块1301,用于接收用户设备发送的包含公钥标识的请求消息;第一确 定模块1302,用于确定所述第二接收模块所接收的请求消息中的公钥标识与本地保存的数 字签名公钥所对应的公钥标识不相同;发送模块1303,用于当第一确定模块确定请求消息 中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同时,通过非接入层消息 或接入层消息向所述用户设备下发本地保存的所述数字签名公钥及其对应的公钥标识。
[0222] 其中,所述发送模块所采用的接入层消息为接入层安全模式命令消息;所述发送 模块所采用的非接入层消息为以下任意消息之一:非接入层安全模式命令消息;附着接受 消息;位置区更新接受消息;路由区更新接受消息。
[0223] 所述发送模块1303发送的非接入层消息或接入层消息中还包括所述请求消息中 的公钥标识,以使得所述用户设备在确定所述请求消息中的公钥标识与所述非接入层消息 或接入层消息包括的请求消息中的公钥标识相同的情况下,保存所述核心网节点设备通过 非接入层消息或接入层消息下发的数字签名公钥及其对应的公钥标识。
[0224]当所述第二接收模块1301接收到的请求消息中还包括网络标识时,所述设备还 可包括第二确定模块1304,用于当所述第一确定模块1302确定请求消息中的公钥标识与 本地保存的数字签名公钥所对应的公钥标识不相同之前,确定所述请求消息中的网络标识 与本地所处网络的网络标识相同。
[0225]当所述第二接收模块1301接收到的请求消息中还包括网络标识时,不包含上述 第二确定模块1304,而包括第三确定模块,用于当所述第一确定模块1302确定请求消息中 的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同之前,确定所述请求消息 中的网络标识与本地所处网络的网络标识不相同;则所述非接入层消息或接入层消息中还 包括:所述用户设备设备本地所处网络的网络标识,以使得所述用户设备将所述非接入层 消息或接入层消息中的所述网络标识与所述数字签名公钥及其对应的公钥标识进行关联 保存。
[0226] 请求消息中还可包括小区广播实体标识;所述第一确定模块1302还用于确定所 述请求消息中的公钥标识与本地保存的对应于所述小区广播实体标识的公钥标识不相同; 则所述非接入层消息或接入层消息中还包括:所述核心网节点本地保存的对应于所述小区 广播实体标识的数字签名公钥、公钥标识及所述小区广播实体标识,以使得所述用户设备 将所述非接入层消息或接入层消息中的所述小区广播实体标识与所述数字签名公钥及公 钥标识进彳T关联保存。
[0227] 上述各模块执行的方法已在实施例2、4、5中进行了详细描述,在此不再赘述。
[0228] 本实施例再提出一种应用于公共报警系统的接入网节点设备,如图15所示,该设 备包括:确认模块151,用于确认用户设备已完成网络注册和安全认证,或者确认本地保存 的所述数字签名公钥已更新;第二发送模块152,用于在所述确认模块151确认所述用户设 备已完成网络注册和安全认证,或者确认本地保存的数字签名公钥已更新之后,通过第二 接入层消息向所述用户设备下发本地保存的数字签名公钥。
[0229] 其中,所述第二接入层消息为以下任意消息之一:接入层安全模式命令消息;无 线承载消息;寻呼消息;无线资源控制消息;无线接入网络应用消息。
[0230] 需要说明的是:"第二发送模块"在本发明实施例中用于指代接入网节点中用于发 送数字签名公钥的发送模块。"第二"是为了和核心网节点设备中用于发送数字签名公钥的 发送模块在名称上区分开,不作为对本发明的限定。
[0231] 接入网节点设备可以具体为:LTE系统的eNB、UTMS系统中的RNC或者GSM系统中 的BSC,且上述的接入网节点设备中的各模块所执行的方法已在实施例3中做了详细说明, 在此不再赘述。
[0232] 本发明实施例提供的用户设备、核心网节点设备及接入网节点设备中,由于核心 网节点通过非接入层消息或接入层消息向用户设备下发最新的数字签名公钥,或者接入网 节点通过第二接入层消息向用户设备下发最新的数字签名公钥,且用户设备中的接收模块 接收并保存了该最新的数字签名公钥,因此,用户设备中的验证模块通过数字签名算法及 在本地保存的数字签名公钥,可实现用户设备对接收到的告警消息中的数字签名进行验 证,本发明实施例能进行数字签名公钥下发,弥补了3GPP标准中未详细定义数字签名实现 方法的缺陷。
[0233] 通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借 助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳 的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部 分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计 算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0234] 本发明实施例主要用于公共报警系统。
[0235] 以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
【主权项】
1. 一种实现数字签名的装置,其特征在于,应用于公共报警系统中,包括: 用于接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥的 单元; 用于根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进 行验证的单元; 其中,所述接入层消息为接入层安全模式命令消息,所述非接入层消息为以下任意消 息之一:非接入层安全模式命令消息;附着接受消息;位置区更新接受消息;路由区更新接 受消息; 所述第二接入层消息为以下任意消息之一:接入层安全模式命令消息;无线承载消 息;寻呼消息;无线资源控制消息;无线接入网络应用消息。2. 根据权利要求1所述的装置,其特征在于,进一步包括:根据数字签名算法标识进行 选择得到所述数字签名算法的单元,其中,所述数字签名算法标识设置于所述告警消息中 的警报消息内。3. 根据权利要求1所述的装置,其特征在于,还包括:用于向核心网节点发送请求消息 的单元,其中,所述请求消息中包含所述保存的数字签名公钥对应的公钥标识; 所述用于接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公 钥的单元具体用于: 接收核心网节点在确定所述请求消息中的公钥标识与所述核心网节点保存的公钥标 识不相同的情况下,通过非接入层消息或接入层消息下发所述核心网节点保存的公钥标识 及其对应的数字签名公钥; 将所述通过非接入层消息或接入层消息下发的公钥标识及其对应的数字签名公钥进 行关联保存。4. 根据权利要求1所述的装置,其特征在于,还包括:用于向核心网节点发送请求消息 的单元,其中,所述请求消息中包含所述用户设备保存的小区广播实体标识; 所述用于接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公 钥的单元包括: 接收核心网节点通过非接入层消息或接入层消息下发的所述小区广播实体标识及其 对应的数字签名公钥; 将所述通过非接入层消息或接入层消息下发所述小区广播实体标识与对应其的所述 数字签名公钥进行关联保存。5. 根据权利要求1所述的装置,其特征在于,还包括: 用于若所述验证不通过,则向所述核心网节点请求最新的数字签名公钥,并采用所述 最新的数字签名公钥与所述数字签名算法对所述告警消息中的数字签名再次进行验证的 单元。6. -种实现数字签名的装置,其特征在于,应用于公共报警系统中,包括: 用于接收用户设备发送的包含公钥标识的请求消息的单元; 用于确定所述请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识 不相同的单元; 用于通过非接入层消息或接入层消息向所述用户设备下发本地保存的所述数字签名 公钥及其对应的公钥标识的单元,以使所述用户设备根据数字签名算法及接收并保存的数 字签名公钥对接收到的告警消息中的数字签名进行验证; 其中,所述接入层消息为接入层安全模式命令消息,所述非接入层消息为以下任意消 息之一:非接入层安全模式命令消息;附着接受消息;位置区更新接受消息;路由区更新接 受消息。7. 根据权利要求6所述的装置,其特征在于,所述非接入层消息或接入层消息中还包 括所述请求消息中的公钥标识,以使得所述用户设备在确定所述请求消息中的公钥标识与 所述非接入层消息或接入层消息包括的请求消息中的公钥标识相同的情况下,保存所述核 心网节点通过非接入层消息或接入层消息下发的数字签名公钥及其对应的公钥标识。8. 根据权利要求6或7所述的装置,其特征在于,所述请求消息中还包括网络标识; 所述装置还包括; 用于确定所述请求消息中的网络标识与本地所处网络的网络标识相同的单元。9. 根据权利要求6所述的装置,其特征在于,所述请求消息中还包括网络标识; 所述装置还包括:用于所述核心网节点确定所述请求消息中的网络标识与本地所处网 络的网络标识不相同的单元; 则所述非接入层消息或接入层消息中还包括:所述用户设备本地所处网络的网络标 识,以使得所述用户设备将所述非接入层消息或接入层消息中的所述网络标识与所述数字 签名公钥及其对应的公钥标识进行关联保存。
【专利摘要】本发明实施例公开了一种实现数字签名的方法及设备,涉及通信系统的信息安全领域,解决了3GPP标准中未具体定义数字签名实现方法的问题。本发明的核心网节点通过非接入层消息或接入层消息向用户设备下发数字签名公钥,或者接入网节点通过第二接入层消息向用户设备下发数字签名公钥,同时,用户设备保存该数字签名公钥,且用户设备通过数字签名算法及在本地保存的数字签名公钥,可实现对接收到的告警消息中的数字签名进行验证,本发明详细地定义了数字签名公钥的下发方法,弥补了3GPP标准中未详细定义数字签名实现方法的缺陷。本发明主要用于公共报警系统。
【IPC分类】H04L9/32, H04L9/08, H04L29/06
【公开号】CN104935439
【申请号】CN201510317626
【发明人】毕晓宇, 陈璟, 许怡娴
【申请人】华为技术有限公司
【公开日】2015年9月23日
【申请日】2011年10月21日
【公告号】CN102611553A, CN102611554A, CN102611554B