专利名称:实现数字签名的方法及设备的制作方法
技术领域:
本发明涉及通信系统的信息安全领域,尤其涉及实现数字签名的方法及设备。
背景技术:
公共报警系统(PWS Public Warning System)用于对人类的生命和财产造成损失的自然灾害或人为事故进行警报的系统。在自然灾害,如洪水、飓风,或人为事故,如化学气体泄漏、爆炸威胁、核威胁的情况下,PWS可作为对现有广播通信系统的一种补充。PWS 服务由电信运营商提供给用户,其内容可以由报警信息供应部门(warning notification provider)提供。当某些灾害事件或事故发生时,运营商或报警信息供应部门产生警报消息 (warningnotification),该消息由运营商使用其网络发送给用户。由于发布一些警报消息例如地震海嘯等告警消息将可能引发大规模的恐慌,所以对这类警报消息的安全性要求也较高。目前,3GPP的标准规定的安全机制的做法是对警报消息进行数字签名,数字签名可以用来保证警报消息的完整性,确保警报消息来自于一个可信的源。进行了数字签名的警报消息被广播给用户设备(UE =User Equipment)。UE将验证广播消息中的“数字签名”。如果验证通过,UE会向用户发起警报,并把警报消息的内容发给用户;如果验证失败,UE会通知用户验证失败,并停止向用户报警。在3GPP中实现上述PWS告警的过程中,3GPP标准中只是定义了可以用数字签名来保护告警消息的完整性,但是并没有具体定义数字签名是如何实现的。
发明内容
本发明的实施例提供一种实现数字签名的方法及设备,具体定义了数字签名是如何实现的。为达到上述目的,本发明的实施例采用如下技术方案—种实现数字签名的方法,应用于公共报警系统中,该方法包括用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥;或者,所述用户设备接收并保存接入网节点通过第二接入层消息下发的数字签名公钥;所述用户设备根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证。一种实现数字签名的方法,应用于公共报警系统中,该方法包括核心网节点接收用户设备发送的包含公钥标识的请求消息;所述核心网节点确定所述请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同;所述核心网节点通过非接入层消息或接入层消息向所述用户设备下发本地保存的所述数字签名公钥及其对应的公钥标识。一种实现数字签名的方法,应用于公共报警系统中,该方法包括接入网节点确认用户设备已完成网络注册和安全认证;或者,确认本地保存的数字签名公钥已更新;所述接入网节点通过第二接入层消息向所述用户设备下发本地保存的数字签名公钥。一种用户设备,应用于公共报警系统中,该设备包括接收模块,用于接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥,或者,接收并保存接入
12网节点通过第二接入层消息下发的数字签名公钥;验证模块,用于根据数字签名算法及所 述接收模块接收到的所述数字签名公钥对接收到的告警消息中的数字签名进行验证。一种核心网节点设备,应用于公共报警系统中,该设备包括接收模块,用于接收 用户设备发送的包含公钥标识的请求消息;第一确定模块,用于确定所述接收模块所接收 的请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同;发送模 块,用于当第一确定模块确定请求消息中的公钥标识与本地保存的数字签名公钥所对应的 公钥标识不相同时,通过非接入层消息或接入层消息向所述用户设备下发本地保存的所述 数字签名公钥及其对应的公钥标识。一种接入网节点设备,应用于公共报警系统中,该设备包括确认模块,用于确认 用户设备已完成网络注册和安全认证,或者确认本地保存的所述数字签名公钥已更新;发 送模块,在所述确认模块确认所述用户设备已完成网络注册和安全认证,或者确认本地保 存的数字签名公钥已更新之后,通过第二接入层消息向所述用户设备下发本地保存的数字 签名公钥。本发明实施例提供的实现数字签名的方法及设备中,利用核心网节点通过非接入 层消息或接入层消息向用户设备下发最新的数字签名公钥,或者利用接入网节点通过第二 接入层消息向用户设备下发最新的数字签名公钥,同时,用户设备保存该最新的数字签名 公钥,且用户设备通过数字签名算法及在本地保存的数字签名公钥,可实现对接收到的告 警消息中的数字签名进行验证,本发明实施例详细定义了数字签名公钥的下发方法,弥补 了 3GPP标准中未详细定义数字签名实现方法的缺陷。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。图1为本发明实施例1实现数字签名的方法的流程图;图2为本发明实施例1用户设备的方框图;图3为本发明实施例2实现数字签名的方法的流程图;图4为本发明实施例2核心网节点设备的方框图;图5为现有技术中安全参数的数据结构;图6为本发明实施例4安全参数的数据结构;图7为本发明实施例4一种接收并保存核心网节点下发的数字签名公钥的方法流 程图;图8为本发明实施例4另一种接收并保存核心网节点下发的数字签名公钥的方法 流程图;图9为本发明实施例4又一种接收并保存核心网节点下发的数字签名公钥的方法 流程图;图10为本发明实施例4再一种接收并保存核心网节点下发的数字签名公钥的方 法流程图11为本发明实施例4又一种接收并保存核心网节点下发的数字签名公钥的方法流程图;图12为本发明实施例6 —种用户设备的结构图;图13为本发明实施例6 —种核心网节点的结构图;图14a 14c为本发明实施例3的LTE、UTMS、GSM系统中接入网节点下发数字签名公钥的流程图;图15为本发明实施例6 —种接入网节点设备的结构图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。实施例I如图I所示,应用于公共报警系统中的实现数字签名的方法包括以下步骤。101、用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥,或者,所述用户设备接收并保存接入网节点通过第二接入层消息下发的数字签名公钥。具体地,用3GPP系统中实现PWS时,数字签名由但不限于小区广播中心(Cell Broadcast Center,简称为CBC)或小区广播实体(Cell BroadcastEntity,简称为CBE) 对告警消息中警报消息的明文采用数字签名私钥及数字签名算法进行加密而获得。该数字签名携带在该告警消息中。其中,小区广播中心和小区广播实体统称为小区广播设备。核心网节点或者接入网节点可通过已有的消息流程,从CBC或者CBE上获取对该数字签名进行验证的最新的数字签名公钥,也可以由网络管理员将该最新的数字签名公钥手工配置在接入网节点上。随后,UE就能接收到由核心网节点下发的非接入层消息(即NAS消息)或接入层消息(即AS消息),该消息中携带有上述最新的数字签名公钥,或者UE能接收到由接入网节点下发的第二接入层消息,该消息中携带有上述最新的数字签名公钥,UE接收到该最新的数字签名公钥后,将其保存在本地。当然,在3GPP系统中,UE是从核心网节点最新的获取数字签名公钥,还是从接入网节点获取最新的数字签名公钥,可以在系统建立时指定,使得系统在运行过程中从指定的节点按指定的方式获取最新的数字签名公钥。在3GPP提出的LTE(Long Term Evolution :长期演进)中,核心网节点为MME(移动管理实体,Mobility Management Entity),接入网节点为eNB(演进的基站,Evolution Node B);在 3GPP 提出的 UMTS (Universal MobileTelecommunications System:通用移动通信系统)中,核心网节点为SGSN(SERVICING GPRS SUPPORT NODE,GPRS服务支持节点),接入网节点为RNC(无线网络控制器,Radio Network Controller);在3GPP提出的GSM(Global Systemfor Mobile Communications :全球移动通信系统)中,核心网节点为MSC(MobileSwitching Center,移动交换中心),接入网节点为BSC(基站控制器,BaseStation Controller)。需要说明的是“第二接入层消息”在本发明实施例中用于指代接入网节点发送的接入层消息。“第二”是为了和核心网节点发送的接入层消息在名称上区分开,不作为对本发明的限定。102、所述用户设备根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证。具体地,UE在接收到告警消息后,需要对告警消息的数字签名进行验证,以确定该消息的完整性及可靠性。通过执行步骤101,UE在本地保存了数字签名公钥,该数字签名公钥与数字签名在加密时使用的私钥是一对密钥。在进行验证时,UE使用数字签名在加密时使用的数字签名算法及本地保存的数字签名公钥对数字签名进行验证,验证通过则说明该警报消息真实可靠,接下来UE会向用户发起警报;若没有验证通过,则说明该警报消息不可靠或已遭攻击,UE会取消向用户发起警报。数字签名算法可通过本领域技术人员所知的任何一种方法通知给UE,使UE能使用该算法对数字签名进行验证,该数字签名的通知方法可以为下述实施例2中描述的预先配置在用户设备中或者用户设备根据告警消息中的数字签名算法标识进行选择得到,也可为其它方法。本发明实施例提供的实现数字签名的方法中,核心网节点通过非接入层消息或接入层消息向用户设备下发数字签名公钥,或者接入网节点通过第二接入层消息向用户设备下发数字签名公钥,同时,用户设备保存该数字签名公钥,且用户设备通过数字签名算法及本地保存的数字签名公钥,可实现对接收到的告警消息中的数字签名进行验证,本发明详细地定义了数字签名公钥的下发方法,弥补了 3GPP标准中未详细定义数字签名实现方法的缺陷。本实施例还提供了一种应用于公共报警系统中的用户设备,如图2所示,该设备包括接收模块21及验证模块22。其中,接收模块21用于接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥,或者,接收并保存接入网节点通过第二接入层消息下发的数字签名公钥;验证模块22用于根据数字签名算法及所述接收模块接收到的所述数字签名公钥对接收到的告警消息中的数字签名进行验证。上述各模块对应的方法已于上述进行了详细描述,在此不再赘述。本发明实施例提供的用户设备由于利用了接收模块,因此保存了核心网节点通过非接入层消息或接入层消息向用户设备下发的数字签名公钥,或者保存了接入网节点通过第二接入层消息向用户设备下发的数字签名公钥,且验证模块通过数字签名算法及接收模块中接收到的数字签名公钥,可实现对接收到的告警消息中的数字签名进行验证,本发明实施例详细地定义了数字签名公钥的下发方法,弥补了 3GPP标准中未详细定义数字签名实现方法的缺陷。实施例2如图3所示,应用于公共报警系统中的实现数字签名的方法包括以下步骤。301、核心网节点接收用户设备发送的包含公钥标识的请求消息。具体地,用户设备向核心网节点发送请求消息,该请求消息中包含有用户设备在本地保存的数字签名公钥所对应的公钥标识,核心网节点在接收到该包含公钥标识的请求消息后执行步骤302。302、核心网节点确定请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同。具体地,核心网节点比较请求消息中的公钥标识与核心网节点在本地保存的数字签名公钥所对应的公钥标识,如果确定两个公钥标识不相同时,则执行步骤303。303、核心网节点通过非接入层消息或接入层消息向用户设备下发本地保存的数字签名公钥及其对应的公钥标识。具体地,当核心网节点确定了请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同后,核心网节点会通过NAS消息或AS消息向用户设备下发本地保存的数字签名公钥及其对应的公钥标识。当核心网节点比较请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识后,比较结果为相等,说明用户设备中保存的数字签名公钥与核心网节点中保存的数字签名公钥相同,都为最新的数字签名公钥,则不需要对用户设备中的数字签名进行更新,即核心网节点不需要向用户设备发送本地保存的数字签名公钥及其对应的公钥标识。相反,比较结果为不相等时,核心网节点则向用户设备发送本地保存的数字签名公钥及其对应的公钥标识。上述核心网节点可以为LTE中的MME、UTMS中的SGSN,或者为GSM中的MSC。在本发明实施例提供的实现数字签名的方法中,核心网节点根据用户设备所发送的请求消息中携带的公钥标识,确定在请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同的情况下,才向用户设备发送本地保存的所述数字签名公钥及其对应的公钥标识,不仅能实现数字签名公钥的下发,还可实现对用户设备中保存的数字签名公钥进行更新,弥补了 3GPP标准中未详细定义数字签名实现方法的缺陷。本发明实施例还提供了一种应用于公共报警系统的核心网节点设备,如图4所示,该设备包括第二接收模块41,用于接收用户设备发送的包含公钥标识的请求消息;第一确定模块42,用于确定所述第二接收模块41所接收的请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同;发送模块43,用于当第一确定模块42确定请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同时,通过非接入层消息或接入层消息向用户设备下发本地保存的所述数字签名公钥及其对应的公钥标识。上述各模块对应的方法已于上述进行了详细描述,在此不再赘述。需要说明的是“第二接收模块”在本发明实施例中用于指代核心网节点设备中用于接收请求消息的接收模块。“第二”是为了和用户设备中用于接收数字签名公钥的接收模块在名称上区分开,不作为对本发明的限定。本发明实施例提供的核心网节点设备,由于发送模块会在第一确定模块确定请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同时,通过非接入层消息或接入层消息向用户设备下发的数字签名公钥,不仅能实现数字签名公钥的下发,还可实现对用户设备中保存的数字签名公钥进行更新,弥补了 3GPP标准中未详细定义数字签名实现方法的缺陷。实施例3
本实施例提供一种实现数字签名的方法,该方法应用于公共报警系统中,包括接入网节点确认用户设备已完成网络注册和安全认证;或者,确认本地保存的数字签名公钥已更新;所述接入网节点通过第二接入层消息向所述用户设备下发本地保存的数字签名公钥。具体地,如实施例I所述,在建立用3GPP系统实现的PWS时,可以由网络决定UE 从网络侧的哪个实体上获取最新的数字签名公钥。由于接入网节点可以通过已知的消息流程从CBC或CBE上获取解密数字签名所需的数字签名公钥,或者可以由网络管理员手工将该数字签名公钥配置在接入网节点上,因此,根据网络决定,接入网节点可通过第二接入层消息向用户设备下发本地保存的数字签名公钥。如果网络决定由接入网节点向UE下发最新的数字签名公钥,则接入网节点可以在确认UE已完成网络注册和安全认证,即确认一个新的UE已接入PWS后,将本地保存的数字签名公钥通过第二接入层消息下发给该UE。另外,接入网节点也可以在确认本地保存的所述数字签名公钥已更新后,将本地保存的数字签名公钥通过第二接入层消息下发给该 UE。其中,在CBC或CBE通过已有的消息流程将更新后的数字签名公钥发送给接入网节点后,接入网节点上会触发数字签名公钥更新流程,即接入网节点确认本地保存的数字签名公钥已更新,在该流程中接入网节点将本地保存的旧的数字签名公钥替换为更新后的数字签名公钥,并通过第二接入层消息将该更新后的数字签名公钥下发给UE。上述第二接入层消息可以为但不限于以下消息接入层安全模式命令 (ASSecurity Mode Command)消息、无线承载(Radio Bear,简称为RB)消息、寻呼 (Paging)消息、Radio Access Network Application Part (无线接入网络应用)消息、无线资源控制(Radio Resource Control,简称为RRC)消息。其中,RB消息包括RB建立消息、RB修改消息等一系列的消息,RRC消息也包括RRC建立消息、RRC修改消息等一系列的消息。图14a 14c分别示出了在LTE、UTMS、GSM系统中接入网节点下发数字签名公钥的流程。在图14a中,LTE系统中的接入网节点eNB通过第二接入层消息,即接入层安全模式命令(AS Security Mode Command)消息直接向UE下发最新的数字签名公钥。在图14b中,UTMS系统中的接入网节点RNC通过第二接入层消息,即安全模式命令(Security Mode Command)消息下发数字签名公钥。该消息经NodeB(基站)转发后到达UE,从而使UE获取最新的数字签名公钥。在图14c中,GSM系统中的接入网节点BSC通过第二接入层消息,即加密模式命令(Cipher Mode Command)消息下发数字签名公钥。该消息经BTS(BaseTransceiver Station,基地收发信机站)转发后到达UE,从而使UE获取最新的数字签名公钥。本实施例中,由于接入网节点可通过第二接入层消息向用户设备下发本地保存的数字签名公钥,提供了数字签名公钥下发的具体实现方法,因此,弥补了 3GPP标准中未详细定义数字签名实现方法的缺陷。实施例4应用于PWS中的实现数字签名的方法包括用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥;所述用户设备根据数字签名算法及保存
17的数字签名公钥对接收到的告警消息中的至少一个数字签名分别进行验证。在3GPP中实现PWS时,上述的非接入层消息(即NAS消息)可以为非接入层安全模式命令(NAS Security Mode Command)消息、附着接受(Attach Accept)消息、位置区更新接受(TAU Accept)消息或者路由区更新接受(RAU Accept)消息。接入层消息(即AS 消息)可为接入层安全模式命令(AS Security ModeCommand)消息。另外,上述的数字签名算法可预先配置在用户设备中或者由用户设备根据数字签名算法标识进行选择得到,其中,数字签名算法标识可设置于告警消息中的警报消息内或告警消息中的安全参数内。当数字签名算法标识设置于警报消息内时,例如在LTE系统中,可将标识放到写入替换请求(WRITE-REPLACE Request)消息或者写入替换指示(WRITE-REPLACE Indication)消息中。也可以将标识放到eNB(演进的基站,Evolution Node B)发给UE的广播消息中的第10个字段(SIBlO)中。其中,在LTE系统中,WRITE-REPLACE Request消息或者 WRITE-REPLACE Indication 消息由 CBC(小区广播中心,Cell Broadcast Center) 发送给MME (移动管理实体,Mobility Management Entity),再由MME转发给eNB, eNB将 WRITE-REPLACERequest消息或者WRITE-REPLACE Indication消息中的告警消息再以广播消息的形式发送给UE。设置了的数字签名算法标识(Signature algorithm Identifier)的上述广播消息中的SIBlO描述如下
SystemlnformationBlockTypelO ::= SEQUENCE { messageldentifier BIT STRING (SIZE (16)), serialNumberBIT STRING (SIZE (16)),
warningType OCTET STRING (SIZE (2)),
Signature algorithm Identifier OCTET STRING (SIZE (I)) OPTIONAL, - Need OP
warningSecuritylnfo OCTET STRING (SIZE (50)) OPTIONAL, -Need OP
IateNonCriticalExtension OCTET STRING OPTIONAL — Need OP其中,Signature algorithm Identifier占用的存储空间为一个8位字节,其详
权利要求
1.一种实现数字签名的方法,其特征在于,应用于公共报警系统中,包括用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥;或者,所述用户设备接收并保存接入网节点通过第二接入层消息下发的数字签名公钥;所述用户设备根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证。
2.根据权利要求I所述的方法,其特征在于,所述接入层消息为接入层安全模式命令消息,所述非接入层消息为以下任意消息之一非接入层安全模式命令消息;附着接受消息;位置区更新接受消息;路由区更新接受消息。
3.根据权利要求I所述的方法,其特征在于,所述第二接入层消息为以下任意消息之接入层安全模式命令消息;无线承载消息;寻呼消息;无线资源控制消息;无线接入网络应用消息。
4.根据权利要求I所述的方法,其特征在于,所述数字签名算法预先配置在用户设备中或者由所述用户设备根据数字签名算法标识进行选择得到,其中,所述数字签名算法标识设置于所述告警消息中的警报消息内或所述告警消息中的安全参数内。
5.根据权利要求I所述的方法,其特征在于,在所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥之前,还包括所述用户设备向核心网节点发送请求消息,其中,所述请求消息中包含所述保存的数字签名公钥对应的公钥标所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥包括所述用户设备接收核心网节点在确定所述请求消息中的公钥标识与所述核心网节点保存的公钥标识不相同的情况下,通过非接入层消息或接入层消息下发所述核心网节点保存的公钥标识及其对应的数字签名公钥;所述用户设备将所述通过非接入层消息或接入层消息下发的公钥标识及其对应的数字签名公钥进行关联保存。
6.根据权利要求5所述的方法,其特征在于,所述非接入层消息或接入层消息还包括所述请求消息中的公钥标识;所述用户设备保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥及其对应的公钥标识之前,还包括所述用户设备确定所述请求消息中的公钥标识与所述非接入层消息或接入层消息包括的请求消息中的公钥标识相同。
7.根据权利要求I所述的方法,其特征在于,在所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥之前,还包括所述用户设备向核心网节点发送请求消息,其中,所述请求消息中包含所述用户设备当前所处网络的网络标识及所述保存的数字签名公钥对应的公钥标识;所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥包括所述用户设备接收核心网节点在确定所述请求消息中的网络标识与所述核心网节点当前所处网络的网络标识相同且所述请求消息中的公钥标识与所述核心网节点中保存的公钥标识不相同的情况下,通过非接入层消息或接入层消息下发数字签名公钥及其对应的公钥标识;所述用户设备接收核心网节点在确定所述请求消息中的网络标识与所述核心网节点当前所处网络的网络标识不相同的情况下,通过非接入层消息或接入层消息下发数字签名公钥及其对应的公钥标识;所述用户设备将所述通过非接入层消息或接入层消息下发的数字签名公钥及其对应的公钥标识与所述用户设备当前所处网络的网络标识进行关联保存,其中,所述用户设备当前所处网络的网络标识由所述核心网节点通过非接入层消息或接入层消息下发至所述用户设备或者由所述用户设备从系统信息中获取。
8.根据权利要求I所述的方法,其特征在于,在所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥之前,还包括所述用户设备向核心网节点发送请求消息,其中,所述请求消息中包含所述用户设备保存的小区广播实体标所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥包括所述用户设备接收核心网节点通过非接入层消息或接入层消息下发的所述小区广播实体标识及其对应的数字签名公钥;所述用户设备将所述通过非接入层消息或接入层消息下发所述小区广播实体标识与对应其的所述数字签名公钥进行关联保存。
9.根据权利要求8所述的方法,其特征在于,所述请求消息中还包含对应于所述小区广播实体标识的公钥标识;所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥包括所述用户设备接收核心网节点在确定所述请求消息中的公钥标识与所述核心网节点保存的对应于所述小区广播实体标识的公钥标识不相同的情况下,通过非接入层消息或接入层消息下发所述小区广播实体标识及其对应的公钥标识及数字签名公钥;所述用户设备将所述通过非接入层消息或接入层消息下发所述小区广播实体标识与对应其的所述公钥标识及所述数字签名公钥进行关联保存。
10.根据权利要求I所述的方法,其特征在于,在所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥之前,还包括所述用户设备向核心网节点发送请求消息,其中,所述请求消息中包含小区广播实体标识、对应其的公钥标识及所述用户设备当前所处网络的网络标识;所述用户设备接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥包括所述用户设备接收核心网节点在确定所述请求消息中的网络标识与所述核心网节点当前所处网络的网络标识相同且所述请求消息中的公钥标识与所述核心网节点中保存的对应于所述小区广播实体标识的公钥标识不相同的情况下,通过非接入层消息或接入层消息下发对应于所述小区广播实体标识的数字签名公钥、公钥标识及所述小区广播实体标所述用户设备接收核心网节点在确定所述请求消息中的网络标识与所述核心网节点当前所处网络的网络标识不相同的情况下,通过非接入层消息或接入层消息下发对应于所述小区广播实体标识的数字签名公钥、公钥标识及所述小区广播实体标识;所述用户设备将所述通过非接入层消息或接入层消息下发的小区广播实体标识、数字签名公钥及公钥标识与所述用户设备当前所处网络的网络标识进行关联保存,其中,所述用户设备当前所处网络的网络标识由所述核心网节点通过非接入层消息或接入层消息下发至所述用户设备或者由所述用户设备从系统信息中获取。
11.根据权利要求I 4任一项所述的方法,其特征在于,所述通过非接入层消息或接入层消息下发的数字签名公钥包括两个最新的数字签名公钥。
12.根据权利要求I或4所述的方法,其特征在于,所述告警消息中包括两个数字签名, 所述两个数字签名由小区广播设备采用与所述小区广播设备本地保存的两个最新的数字签名公钥对应的数字签名私钥分别对所述告警消息进行签名获得,其中,所述小区广播设备为小区广播中心或小区广播实体;所述用户设备根据数字签名算法及保存的所述数字签名公钥对接收到的告警消息中的数字签名进行验证包括所述用户设备根据数字签名算法及保存的所述数字签名公钥对所述告警消息中的所述两个数字签名分别进行验证。
13.根据权利要求12所述的方法,其特征在于,若所述用户设备保存的所述数字签名公钥包括两个最新的数字签名公钥,所述用户设备根据数字签名算法及保存的所述数字签名公钥对所述告警消息中的所述两个数字签名分别进行验证包括所述用户设备根据数字签名算法及所述两个最新的数字签名公钥对所述告警消息中的所述两个数字签名分别进行验证。
14.根据权利要求I所述的方法,其特征在于,在所述根据数字签名算法及保存的所述数字签名公钥对所述告警消息中的数字签名进行验证之后,还包括若所述验证不通过,则向所述核心网节点请求最新的数字签名公钥,并采用所述最新的数字签名公钥与所述数字签名算法对所述告警消息中的数字签名再次进行验证。
15.根据权利要求14所述的方法,其特征在于,向所述核心网节点请求最新的数字签名公钥包括通过非接入层消息或接入层消息向所述核心网节点请求最新的数字签名公钥。
16.根据权利要求I所述的方法,其特征在于,所述告警消息中还包含公钥标识;在所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证之前还包括所述用户设备确定所述保存的数字签名公钥所对应的公钥标识与所述告警消息中的公钥标识不相同;所述用户设备向所述核心网节点请求最新的数字签名公钥及对应的公钥标识;所述用户设备接收并保存从所述核心网节点下发的所述最新的数字签名公钥及对应的公钥标识;所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证包括根据所述最新的数字签名公钥对所述告警消息中的数字签名进行验证。
17.根据权利要求I所述的方法,其特征在于,所述告警消息中还包含公钥标识; 在所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证之前还包括所述用户设备确定所述保存的数字签名公钥所对应的公钥标识与所述告警消息中的公钥标识相同。
18.根据权利要求16或17所述的方法,其特征在于,所述公钥标识设置在所述告警消息中的警报消息内或所述告警消息中的安全参数内。
19.根据权利要求I所述的方法,其特征在于,所述告警消息中还包含小区广播实体标在所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证之前还包括所述用户设备确定所述保存的数字签名公钥所对应的小区广播实体标识与所述告警消息中的小区广播实体标识不相同;所述用户设备向所述核心网节点请求对应于所述告警消息中小区广播实体标识的最新的数字签名公钥;所述用户设备接收并保存所述核心网节点下发的、对应于所述告警消息中小区广播实体标识的最新的数字签名公钥;所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证包括根据所述最新的数字签名公钥对所述告警消息中的数字签名进行验证。
20.根据权利要求19所述的方法,其特征在于,所述告警消息中还包含对应于所述小区广播实体标识的公钥标识;在所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证之前还包括所述用户设备确定所述保存的数字签名公钥所对应的小区广播实体标识与所述告警消息中的小区广播实体标识相同,且所述保存的数字签名公钥所对应的公钥标识与所述告警消息中的公钥标识不相同;所述用户设备向所述核心网节点请求对应于所述告警消息中小区广播实体的、最新的数字签名公钥及公钥标识;所述用户设备接收并保存从所述核心网节点下发的所述最新的数字签名公钥及公钥标识。
21.一种实现数字签名的方法,其特征在于,应用于公共报警系统中,包括核心网节点接收用户设备发送的包含公钥标识的请求消息;所述核心网节点确定所述请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同;所述核心网节点通过非接入层消息或接入层消息向所述用户设备下发本地保存的所述数字签名公钥及其对应的公钥标识。
22.根据权利要求21所述的方法,其特征在于,所述接入层消息为接入层安全模式命令消息,所述非接入层消息为以下任意消息之一非接入层安全模式命令消息;附着接受消息;位置区更新接受消息;路由区更新接受消息。
23.根据权利要求21所述的方法,其特征在于,所述非接入层消息或接入层消息中还包括所述请求消息中的公钥标识,以使得所述用户设备在确定所述请求消息中的公钥标识与所述非接入层消息或接入层消息包括的请求消息中的公钥标识相同的情况下,保存所述核心网节点通过非接入层消息或接入层消息下发的数字签名公钥及其对应的公钥标识。
24.根据权利要求22或23所述的方法,其特征在于,所述请求消息中还包括网络标在所述核心网节点确定所述请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同之前,还包括;所述核心网节点确定所述请求消息中的网络标识与本地所处网络的网络标识相同。
25.根据权利要求21或22所述的方法,其特征在于,所述请求消息中还包括网络标在所述核心网节点确定所述请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同之前,还包括所述核心网节点确定所述请求消息中的网络标识与本地所处网络的网络标识不相同;则所述非接入层消息或接入层消息中还包括所述用户设备本地所处网络的网络标识,以使得所述用户设备将所述非接入层消息或接入层消息中的所述网络标识与所述数字签名公钥及其对应的公钥标识进行关联保存。
26.根据权利要求21或22所述的方法,其特征在于,所述请求消息中还包括小区广播实体标识,所述公钥标识对应于所述小区广播实体标识;所述核心网节点确定所述请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同包括所述核心网节点确定所述请求消息中的公钥标识与本地保存的对应于所述小区广播实体标识的公钥标识不相同;所述核心网节点通过非接入层消息或接入层消息向所述用户设备下发本地保存的所述数字签名公钥及其对应的公钥标识包括所述核心网节点通过非接入层消息或接入层消息向所述用户设备下发本地保存的对应于所述小区广播实体标识的数字签名公钥、公钥标识及所述小区广播实体标识,以使得所述用户设备将所述非接入层消息或接入层消息中的所述小区广播实体标识与所述数字签名公钥及公钥标识进行关联保存。
27.一种实现数字签名的方法,其特征在于,应用于公共报警系统中,该方法包括 接入网节点确认用户设备已完成网络注册和安全认证;或者,确认本地保存的数字签名公钥已更新;所述接入网节点通过第二接入层消息向所述用户设备下发本地保存的数字签名公钥。
28.根据权利要求27所述的方法,其特征在于,所述第二接入层消息为以下任意消息之一接入层安全模式命令消息;无线承载消息;寻呼消息;无线资源控制消息;无线接入网络应用消息。
29.一种用户设备,其特征在于,应用于公共报警系统中,包括接收模块,用于接收并保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥;或者,接收并保存接入网节点通过第二接入层消息下发的数字签名公钥;验证模块,用于根据数字签名算法及所述接收模块接收到的所述数字签名公钥对接收到的告警消息中的数字签名进行验证。
30.根据权利要求29所述的用户设备,其特征在于,用于下发给所述接收模块所述数字签名公钥的接入层消息为接入层安全模式命令消息;用于下发给所述接收模块所述数字签名公钥的非接入层消息为以下任意消息之一 非接入层安全模式命令消息;附着接受消息;位置区更新接受消息;路由区更新接受消息。
31.根据权利要求29所述的用户设备,其特征在于,用于下发给所述接收模块所述数字签名公钥的第二接入层消息为以下任意消息之一接入层安全模式命令消息;无线承载消息;寻呼消息;无线资源控制消息;无线接入网络应用消息。
32.根据权利要求29所述的用户设备,其特征在于,所述数字签名算法预先配置在所述用户设备中或者由所述用户设备根据数字签名算法标识进行选择得到,其中,所述数字签名算法标识设置于所述告警消息中的警报消息内或所述告警消息中的安全参数内。
33.根据权利要求29所述的用户设备,其特征在于,所述用户设备还包括请求模块,用于向核心网节点发送请求消息,其中,所述请求消息中包含所述保存的数字签名公钥对应的公钥标识;所述接收模块还用于接收核心网节点在确定所述请求模块的请求消息中的公钥标识与所述核心网节点保存的公钥标识不相同的情况下,通过非接入层消息或接入层消息下发所述核心网节点保存的公钥标识及其对应的数字签名公钥;关联保存模块,用于将所述通过非接入层消息或接入层消息下发的公钥标识及其对应的数字签名公钥进行关联保存。
34.根据权利要求33所述的用户设备,其特征在于,所述非接入层消息或接入层消息还包括所述请求消息中的公钥标识;所述接收模块还用于在保存核心网节点通过非接入层消息或接入层消息下发的数字签名公钥及其对应的公钥标识之前,确定所述请求模块的请求消息中的公钥标识与所述非接入层消息或接入层消息包括的请求消息中的公钥标识相同。
35.根据权利要求29所述的用户设备,其特征在于,所述用户设备还包括请求模块,用于向核心网节点发送请求消息,其中,所述请求消息中包含所述用户设备当前所处网络的网络标识及所述接收模块接收到的所述数字签名公钥对应的公钥标识; 所述接收模块还用于接收核心网节点在确定所述请求模块的请求消息中的网络标识与所述核心网节点当前所处网络的网络标识相同且所述请求消息中的公钥标识与所述核心网节点中保存的公钥标识不相同的情况下,通过非接入层消息或接入层消息下发数字签名公钥及其对应的公钥标识;所述接收模块还用于接收核心网节点在确定所述请求消息中的网络标识与所述核心网节点当前所处网络的网络标识不相同的情况下,通过非接入层消息或接入层消息下发数字签名公钥及其对应的公钥标识;关联保存模块,用于将所述通过非接入层消息或接入层消息下发的数字签名公钥及其对应的公钥标识与所述用户设备当前所处网络的网络标识进行关联保存;其中,所述用户设备当前所处网络的网络标识由所述核心网节点通过非接入层消息或接入层消息下发至所述用户设备或者由所述用户设备从系统信息中获取。
36.根据权利要求29所述的用户设备,其特征在于,所述用户设备还包括请求模块,用于向核心网节点发送请求消息,其中,所述请求消息中包含所述用户设备保存的小区广播实体标识;所述接收模块还用于接收核心网节点通过非接入层消息或接入层消息下发的所述小区广播实体标识及其对应的数字签名公钥;关联保存模块,用于将所述通过非接入层消息或接入层消息下发所述小区广播实体标识与对应其的所述数字签名公钥进行关联保存。
37.根据权利要求36所述的用户设备,其特征在于,所述请求消息中还包含对应于所述小区广播实体标识的公钥标识;所述接收模块还用于接收核心网节点在确定所述请求消息中的公钥标识与所述核心网节点保存的对应于所述小区广播实体标识的公钥标识不相同的情况下,通过非接入层消息或接入层消息下发所述小区广播实体标识及其对应的公钥标识及数字签名公钥;所述关联保存模块还用于将所述通过非接入层消息或接入层消息下发所述小区广播实体标识与对应其的所述公钥标识及所述数字签名公钥进行关联保存。
38.根据权利要求29所述的用户设备,其特征在于,所述用户设备还包括请求模块,用于向核心网节点发送请求消息,其中,所述请求消息中包含小区广播实体标识、对应其的公钥标识及所述用户设备当前所处网络的网络标识;所述接收模块还用于接收核心网节点在确定所述请求消息中的网络标识与所述核心网节点当前所处网络的网络标识相同且所述请求消息中的公钥标识与所述核心网节点中保存的对应于所述小区广播实体标识的公钥标识不相同的情况下,通过非接入层消息或接入层消息下发对应于所述小区广播实体标识的数字签名公钥、公钥标识及所述小区广播实体标识;所述接收模块还用于接收核心网节点在确定所述请求消息中的网络标识与所述核心网节点当前所处网络的网络标识不相同的情况下,通过非接入层消息或接入层消息下发对应于所述小区广播实体标识的数字签名公钥、公钥标识及所述小区广播实体标识;关联保存模块,将所述通过非接入层消息或接入层消息下发的小区广播实体标识、数字签名公钥及公钥标识与所述用户设备当前所处网络的网络标识进行关联保存,其中,所述用户设备当前所处网络的网络标识由所述核心网节点通过非接入层消息或接入层消息下发至所述用户设备或者由所述用户设备从系统信息中获取。
39.根据权利要求29 32任一项所述的用户设备,其特征在于,通过非接入层消息或接入层消息下发的数字签名公钥包括两个最新的数字签名公钥。
40.根据权利要求29或32所述的用户设备,其特征在于,所述告警消息中包括两个数字签名,所述两个数字签名由小区广播设备采用与所述小区广播设备本地保存的两个最新的数字签名公钥对应的数字签名私钥分别对所述告警消息进行签名获得;所述小区广播设备为小区广播中心或小区广播实体;所述验证模块还用于根据数字签名算法及所述接收模块接收到的所述数字签名公钥对所述告警消息中的所述两个数字签名分别进行验证。
41.根据权利要求40所述的用户设备,其特征在于,若所述用户设备保存的所述数字签名公钥包括两个最新的数字签名公钥;所述验证模块还用于根据数字签名算法及所述两个最新的数字签名公钥对所述告警消息中的所述两个数字签名分别进行验证。
42.根据权利要求29所述的用户设备,其特征在于,所述验证模块还用于在所述根据数字签名算法及所述接收模块接收到的所述数字签名公钥对所述告警消息中的数字签名进行验证之后,若所述验证不通过,则向所述核心网节点请求最新的数字签名公钥,并采用所述最新的数字签名公钥与所述数字签名算法对所述告警消息中的数字签名再进行验证。
43.根据权利要求42所述的用户设备,其特征在于,所述验证模块还用于在所述根据数字签名算法及所述接收模块接收到的所述数字签名公钥对所述告警消息中的数字签名进行验证之后,若所述验证不通过,则通过非接入层消息或接入层消息向所述核心网节点请求最新的数字签名公钥,并采用所述最新的数字签名公钥与所述数字签名算法对所述告警消息中的数字签名再进行验证。
44.根据权利要求29所述的用户设备,其特征在于,所述告警消息中还包含公钥标识;所述用户设备还包括公钥更新模块,用于在所述根据数字签名算法及所述接收模块接收到的所述数字签名公钥对接收到的告警消息中的数字签名进行验证之前,确定所述接收模块接收到的所述数字签名公钥所对应的公钥标识与所述告警消息中的公钥标识不相同时,向所述核心网节点请求最新的数字签名公钥及对应的公钥标识;接收并保存从所述核心网节点下发的所述最新的数字签名公钥及对应的公钥标识;所述验证模块还用于根据所述最新的数字签名公钥对接收到的告警消息中的数字签名进行验证。
45.根据权利要求29所述的用户设备,其特征在于,所述告警消息中还包含公钥标识; 所述用户设备还包括确定模块,用于确定所述接收模块接收到的所述数字签名公钥所对应的公钥标识与所述告警消息中的公钥标识相同。
46.根据权利要求29所述的用户设备,其特征在于,所述告警消息中还包含小区广播实体标识,所述用户设备还包括公钥更新模块,用于在所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证之前,确定所述保存的数字签名公钥所对应的小区广播实体标识与所述告警消息中的小区广播实体标识不相同;向所述核心网节点请求对应于所述告警消息中小区广播实体标识的最新的数字签名公钥;接收并保存所述核心网节点下发的、对应于所述告警消息中小区广播实体标识的最新的数字签名公钥;所述验证模块还用于根据所述最新的数字签名公钥对所述告警消息中的数字签名进行验证。
47.根据权利要求46所述的用户设备,其特征在于,所述告警消息中还包含对应于所述小区广播实体标识的公钥标识;所述公钥更新模块,还用于在所述根据数字签名算法及保存的数字签名公钥对接收到的告警消息中的数字签名进行验证之前,确定所述保存的数字签名公钥所对应的小区广播实体标识与所述告警消息中的小区广播实体标识相同,且所述保存的数字签名公钥所对应的公钥标识与所述告警消息中的公钥标识不相同;向所述核心网节点请求对应于所述告警消息中小区广播实体的、最新的数字签名公钥及公钥标识;接收并保存从所述核心网节点下发的所述最新的数字签名公钥及公钥标识。
48.一种核心网节点设备,其特征在于,应用于公共报警系统中,包括第二接收模块,用于接收用户设备发送的包含公钥标识的请求消息;第一确定模块,用于确定所述第二接收模块所接收的请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同;发送模块,用于当第一确定模块确定请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同时,通过非接入层消息或接入层消息向所述用户设备下发本地保存的所述数字签名公钥及其对应的公钥标识。
49.根据权利要求48所述的核心网节点设备,其特征在于,所述发送模块所采用的接入层消息为接入层安全模式命令消息;所述发送模块所采用的非接入层消息为以下任意消息之一非接入层安全模式命令消息;附着接受消息;位置区更新接受消息;路由区更新接受消息。
50.根据权利要求49所述的核心网节点设备,其特征在于,所述发送模块发送的非接入层消息或接入层消息中还包括所述请求消息中的公钥标识,以使得所述用户设备在确定所述请求消息中的公钥标识与所述非接入层消息或接入层消息包括的请求消息中的公钥标识相同的情况下,保存所述核心网节点设备通过非接入层消息或接入层消息下发的数字签名公钥及其对应的公钥标识。
51.根据权利要求49或50所述的核心网节点设备,其特征在于,所述第二接收模块接收到的请求消息中还包括网络标识;所述核心网节点设备还包括第二确定模块,用于当所述第一确定模块确定请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同之前,确定所述请求消息中的网络标识与本地所处网络的网络标识相同。
52.根据权利要求48或49所述的核心网节点设备,其特征在于,所述第二接收模块接收到的请求消息中还包括网络标识;所述核心网节点设备还包括第三确定模块,用于当所述第一确定模块确定请求消息中的公钥标识与本地保存的数字签名公钥所对应的公钥标识不相同之前,确定所述请求消息中的网络标识与本地所处网络的网络标识不相同;则所述非接入层消息或接入层消息中还包括所述核心网节点设备本地所处网络的网络标识,以使得所述用户设备将所述非接入层消息或接入层消息中的所述网络标识与所述数字签名公钥及其对应的公钥标识进行关联保存。
53.根据权利要求48或49所述的核心网节点设备,其特征在于,所述请求消息中还包括小区广播实体标识,所述公钥标识对应于所述小区广播实体标识;所述第一确定模块还用于确定所述请求消息中的公钥标识与本地保存的对应于所述小区广播实体标识的公钥标识不相同;则所述非接入层消息或接入层消息中还包括所述核心网节点本地保存的对应于所述小区广播实体标识的数字签名公钥、公钥标识及所述小区广播实体标识,以使得所述用户设备将所述非接入层消息或接入层消息中的所述小区广播实体标识与所述数字签名公钥及公钥标识进行关联保存。
54.一种接入网节点设备,其特征在于,应用于公共报警系统中,该设备包括确认模块,用于确认用户设备已完成网络注册和安全认证,或者确认本地保存的数字签名公钥已更新;第二发送模块,用于在所述确认模块确认所述用户设备已完成网络注册和安全认证, 或者确认本地保存的数字签名公钥已更新之后,通过第二接入层消息向所述用户设备下发本地保存的数字签名公钥。
55.根据权利要求54所述的接入网节点设备,其特征在于,所述第二接入层消息为以下任意消息之一接入层安全模式命令消息;无线承载消息;寻呼消息;无线资源控制消息;无线接入网络应用消息。
全文摘要
本发明实施例公开了一种实现数字签名的方法及设备,涉及通信系统的信息安全领域,解决了3GPP标准中未具体定义数字签名实现方法的问题。本发明的核心网节点通过非接入层消息或接入层消息向用户设备下发数字签名公钥,或者接入网节点通过第二接入层消息向用户设备下发数字签名公钥,同时,用户设备保存该数字签名公钥,且用户设备通过数字签名算法及在本地保存的数字签名公钥,可实现对接收到的告警消息中的数字签名进行验证,本发明详细地定义了数字签名公钥的下发方法,弥补了3GPP标准中未详细定义数字签名实现方法的缺陷。本发明主要用于公共报警系统。
文档编号H04L9/32GK102611554SQ20111032360
公开日2012年7月25日 申请日期2011年10月21日 优先权日2011年1月25日
发明者毕晓宇, 许怡娴, 陈璟 申请人:华为技术有限公司