實現數字簽名的方法及設備的制造方法
【技術領域】
[0001] 本發(fā)明涉及通信系統(tǒng)的信息安全領域，尤其涉及實現數字簽名的方法及設備。
【背景技術】
[0002] 公共報警系統(tǒng)（PWS:PublicWarningSystem)用于對人類的生命和財產造成損 失的自然災害或人為事故進行警報的系統(tǒng)。在自然災害，如洪水、颶風，或人為事故，如化 學氣體泄漏、爆炸威脅、核威脅的情況下，PWS可作為對現有廣播通信系統(tǒng)的一種補充。PWS 服務由電信運營商提供給用戶，其內容可以由報警信息供應部門（warningnotification provider)提供。當某些災害事件或事故發(fā)生時，運營商或報警信息供應部門產生警報消息 (warningnotification)，該消息由運營商使用其網絡發(fā)送給用戶。
[0003]由于發(fā)布一些警報消息例如地震海嘯等告警消息將可能引發(fā)大規(guī)模的恐慌，所以 對這類警報消息的安全性要求也較高。目前，3GPP的標準規(guī)定的安全機制的做法是：對警 報消息進行數字簽名，數字簽名可以用來保證警報消息的完整性，確保警報消息來自于一 個可信的源。進行了數字簽名的警報消息被廣播給用戶設備（UE:USerEquipment)。UE將 驗證廣播消息中的"數字簽名"。如果驗證通過，UE會向用戶發(fā)起警報，并把警報消息的內 容發(fā)給用戶；如果驗證失敗，UE會通知用戶驗證失敗，并停止向用戶報警。
[0004] 在3GPP中實現上述PWS告警的過程中，3GPP標準中只是定義了可以用數字簽名來 保護告警消息的完整性，但是并沒有具體定義數字簽名是如何實現的。

【發(fā)明內容】

[0005] 本發(fā)明的實施例提供一種實現數字簽名的方法及設備，具體定義了數字簽名是如 何實現的。
[0006] 為達到上述目的，本發(fā)明的實施例采用如下技術方案：
[0007] -種實現數字簽名的方法，應用于公共報警系統(tǒng)中，該方法包括：用戶設備接收并 保存核心網節(jié)點通過非接入層消息或接入層消息下發(fā)的數字簽名公鑰；或者，所述用戶設 備接收并保存接入網節(jié)點通過第二接入層消息下發(fā)的數字簽名公鑰；所述用戶設備根據數 字簽名算法及保存的數字簽名公鑰對接收到的告警消息中的數字簽名進行驗證。
[0008] -種實現數字簽名的方法，應用于公共報警系統(tǒng)中，該方法包括：核心網節(jié)點接收 用戶設備發(fā)送的包含公鑰標識的請求消息；所述核心網節(jié)點確定所述請求消息中的公鑰標 識與本地保存的數字簽名公鑰所對應的公鑰標識不相同；所述核心網節(jié)點通過非接入層消 息或接入層消息向所述用戶設備下發(fā)本地保存的所述數字簽名公鑰及其對應的公鑰標識。
[0009] -種實現數字簽名的方法，應用于公共報警系統(tǒng)中，該方法包括：接入網節(jié)點確認 用戶設備已完成網絡注冊和安全認證；或者，確認本地保存的數字簽名公鑰已更新；所述 接入網節(jié)點通過第二接入層消息向所述用戶設備下發(fā)本地保存的數字簽名公鑰。
[0010] 一種用戶設備，應用于公共報警系統(tǒng)中，該設備包括：接收模塊，用于接收并保存 核心網節(jié)點通過非接入層消息或接入層消息下發(fā)的數字簽名公鑰，或者，接收并保存接入 網節(jié)點通過第二接入層消息下發(fā)的數字簽名公鑰；驗證模塊，用于根據數字簽名算法及所 述接收模塊接收到的所述數字簽名公鑰對接收到的告警消息中的數字簽名進行驗證。
[0011] 一種核心網節(jié)點設備，應用于公共報警系統(tǒng)中，該設備包括：接收模塊，用于接收 用戶設備發(fā)送的包含公鑰標識的請求消息；第一確定模塊，用于確定所述接收模塊所接收 的請求消息中的公鑰標識與本地保存的數字簽名公鑰所對應的公鑰標識不相同；發(fā)送模 塊，用于當第一確定模塊確定請求消息中的公鑰標識與本地保存的數字簽名公鑰所對應的 公鑰標識不相同時，通過非接入層消息或接入層消息向所述用戶設備下發(fā)本地保存的所述 數字簽名公鑰及其對應的公鑰標識。
[0012] 一種接入網節(jié)點設備，應用于公共報警系統(tǒng)中，該設備包括：確認模塊，用于確認 用戶設備已完成網絡注冊和安全認證，或者確認本地保存的所述數字簽名公鑰已更新；發(fā) 送模塊，在所述確認模塊確認所述用戶設備已完成網絡注冊和安全認證，或者確認本地保 存的數字簽名公鑰已更新之后，通過第二接入層消息向所述用戶設備下發(fā)本地保存的數字 簽名公鑰。
[0013] 本發(fā)明實施例提供的實現數字簽名的方法及設備中，利用核心網節(jié)點通過非接入 層消息或接入層消息向用戶設備下發(fā)最新的數字簽名公鑰，或者利用接入網節(jié)點通過第二 接入層消息向用戶設備下發(fā)最新的數字簽名公鑰，同時，用戶設備保存該最新的數字簽名 公鑰，且用戶設備通過數字簽名算法及在本地保存的數字簽名公鑰，可實現對接收到的告 警消息中的數字簽名進行驗證，本發(fā)明實施例詳細定義了數字簽名公鑰的下發(fā)方法，彌補 了 3GPP標準中未詳細定義數字簽名實現方法的缺陷。
【附圖說明】
[0014] 為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動性的前提下，還可 以根據這些附圖獲得其他的附圖。
[0015] 圖1為本發(fā)明實施例1實現數字簽名的方法的流程圖；
[0016] 圖2為本發(fā)明實施例1用戶設備的方框圖；
[0017] 圖3為本發(fā)明實施例2實現數字簽名的方法的流程圖；
[0018] 圖4為本發(fā)明實施例2核心網節(jié)點設備的方框圖；
[0019]圖5為現有技術中安全參數的數據結構；
[0020] 圖6為本發(fā)明實施例4安全參數的數據結構；
[0021]圖7為本發(fā)明實施例4 一種接收并保存核心網節(jié)點下發(fā)的數字簽名公鑰的方法流 程圖；
[0022] 圖8為本發(fā)明實施例4另一種接收并保存核心網節(jié)點下發(fā)的數字簽名公鑰的方法 流程圖；
[0023]圖9為本發(fā)明實施例4又一種接收并保存核心網節(jié)點下發(fā)的數字簽名公鑰的方法 流程圖；
[0024]圖10為本發(fā)明實施例4再一種接收并保存核心網節(jié)點下發(fā)的數字簽名公鑰的方 法流程圖；
[0025]圖11為本發(fā)明實施例4又一種接收并保存核心網節(jié)點下發(fā)的數字簽名公鑰的方 法流程圖；
[0026] 圖12為本發(fā)明實施例6-種用戶設備的結構圖；
[0027] 圖13為本發(fā)明實施例6-種核心網節(jié)點的結構圖；
[0028] 圖14a~14c為本發(fā)明實施例3的LTE、UTMS、GSM系統(tǒng)中接入網節(jié)點下發(fā)數字簽 名公鑰的流程圖；
[0029] 圖15為本發(fā)明實施例6-種接入網節(jié)點設備的結構圖。
【具體實施方式】
[0030] 下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完 整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；?本發(fā)明中的實施例，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例，都屬于本發(fā)明保護的范圍。
[0031] 實施例1
[0032] 如圖1所示，應用于公共報警系統(tǒng)中的實現數字簽名的方法包括以下步驟。
[0033] 101、用戶設備接收并保存核心網節(jié)點通過非接入層消息或接入層消息下發(fā)的數 字簽名公鑰，或者，所述用戶設備接收并保存接入網節(jié)點通過第二接入層消息下發(fā)的數字 簽名公鑰。
[0034] 具體地，用3GPP系統(tǒng)中實現PWS時，數字簽名由但不限于小區(qū)廣播中心（Cell BroadcastCenter，簡稱為：CBC)或小區(qū)廣播實體（CellBroadcastEntity，簡稱為：CBE) 對告警消息中警報消息的明文采用數字簽名私鑰及數字簽名算法進行加密而獲得。該數字 簽名攜帶在該告警消息中。其中，小區(qū)廣播中心和小區(qū)廣播實體統(tǒng)稱為小區(qū)廣播設備。
[0035] 核心網節(jié)點或者接入網節(jié)點可通過已有的消息流程，從CBC或者CBE上獲取對該 數字簽名進行驗證的最新的數字簽名公鑰，也可以由網絡管理員將該最新的數字簽名公鑰 手工配置在接入網節(jié)點上。
[0036] 隨后，UE就能接收到由核心網節(jié)點下發(fā)的非接入層消息（即NAS消息）或接入層 消息（即AS消息），該消息中攜帶有上述最新的數字簽名公鑰，或者UE能接收到由接入網 節(jié)點下發(fā)的第二接入層消息，該消息中攜帶有上述最新的數字簽名公鑰，UE接收到該最新 的數字簽名公鑰后，將其保存在本地。
[0037]當然，在3GPP系統(tǒng)中，UE是從核心網節(jié)點最新的獲取數字簽名公鑰，還是從接入 網節(jié)點獲取最新的數字簽名公鑰，可以在系統(tǒng)建立時指定，使得系統(tǒng)在運行過程中從指定 的節(jié)點按指定的方式獲取最新的數字簽名公鑰。
[0038]在3GPP提出的LTE(LongTermEvolution:長期演進）中，核心網節(jié)點為MME(移 動管理實體，MobilityManagementEntity)，接入網節(jié)點為eNB(演進的基站，Evolution NodeB);在 3GPP提出的UMTS(UniversalMobileTelecommunicationsSystem:通用移 動通信系統(tǒng)）中，核心網節(jié)點為SGSN(SERVICINGGPRSSUPPORTNODE，GPRS服務支持節(jié) 點），接入網節(jié)點為RNC(無線網絡控制器，RadioNetworkController);在3GPP提出的 GSM(GlobalSystemforMobileCommunications:全球移動通信系統(tǒng)）中，核心網節(jié)點 為MSC(MobileSwitchingCenter，移動交換中心），接入網節(jié)點為BSC(基站控制器，Base StationController)〇
[0039] 需要說明的是："第二接入層消息"在本發(fā)明實施例中用于指代接入網節(jié)點發(fā)送的 接入層消息。"第二"是為了和核心網節(jié)點發(fā)送的接入層消息在名稱上區(qū)分開，不作為對本 發(fā)明的限定。
[0040] 102、所述用戶設備根據數字簽名算法及保存的數字簽名公鑰對接收到的告警消 息中的數字簽名進行驗證。
[0041] 具體地，UE在接收到告警消息后，需要對告警消息的數字簽名進行驗證，以確定該 消息的完整性及可靠性。通過執(zhí)行步驟l〇l，UE在本地保存了數字簽名公鑰，該數字簽名公 鑰與數字簽名在加密時使用的私鑰是一對密鑰。在進行驗證時，UE使用數字簽名在加密時 使用的數字簽名算法及本地保存的數字簽名公鑰對數字簽名進行驗證，驗證通過則說明該 警報消息真實可靠，接下來UE會向用戶發(fā)起警報；若沒有驗證通過，則說明該警報消息不 可靠或已遭攻擊，UE會取消向用戶發(fā)起警報。
[0042] 數字簽名算法可通過本領域技術人員所知的任何一種方法通知給UE，使UE能使 用該算法對數字簽名進行驗證，該數字簽名的通知方法可以為下述實施例2中描述的預先 配置在用戶設備中或者用戶設備根據告警消息中的數字簽名算法標識進行選擇得到，也可 為其它方法。
[0043]本發(fā)明實施例提供的實現數字簽名的方法中，核心網節(jié)點通過非接入層消息或接 入層消息向用戶設備下發(fā)數字簽名公鑰，或者接入網節(jié)點通過第二接入層消息向用戶設備 下發(fā)數字簽名公鑰，同時，用戶設備保存該數字簽名公鑰，且用戶設備通過數字簽名算法及 本地保存的數字簽名公鑰，可實現對接收到的告警消息中的數字簽名進行驗證，本發(fā)明詳 細地定義了數字簽名公鑰的下發(fā)方法，彌補了 3GPP標準中未詳細定義數字簽名實現方法 的缺陷。
[0044] 本實施例還提供了一種應用于公共報警系統(tǒng)中的用戶設備，如圖2所示，該設備 包括接收模塊21及驗證模塊22。其中，接收模塊21用于接收并保存核心網節(jié)點通過非接 入層消息或接入層消息下發(fā)的數字簽名公鑰，或者，接收并保存接入網節(jié)點通過第二接入 層消息下發(fā)的數字簽名公鑰；驗證模塊22用于根據數字簽名算法及所述接收模塊接收到 的所述數字簽名公鑰對接收到的告警消息中的數字簽名進行驗證。
[0045] 上述各模塊對應的方法已于上述進行了詳細描述，在此不再贅述。
[0046] 本發(fā)明實施例提供的用戶設備由于利用了接收模塊，因此保存了核心網節(jié)點通過 非接入層消息或接入層消息向用戶設備下發(fā)的數字簽名公鑰，或者保存了接入網節(jié)點通過 第二接入層消息向用戶設備下發(fā)的數字簽名公鑰，且驗證模塊通過數字簽名算法及接收模 塊中接收到的數字簽名公鑰，可實現對接收到的告警消息中的數字簽名進行驗證，本發(fā)明 實施例詳細地定義了數字簽名公鑰的下發(fā)方法，彌補了 3GPP標準中未詳細定義數字簽名 實現方法的缺陷。
[0047] 實施例2
[0048] 如圖3所示，應用于公共報警系統(tǒng)中的實現數字簽名的方法包括以下步驟。
[0049] 301、核心網節(jié)點接收用戶設備發(fā)送的包含公鑰標識的請求消息。
[0050] 具體地，用戶設備向核心網節(jié)點發(fā)送請求消息，該請求消息中包含有用戶設備在