CN103931214B - 一种获取公钥的方法及设备 - Google Patents
一种获取公钥的方法及设备 Download PDFInfo
- Publication number
- CN103931214B CN103931214B CN201280029860.7A CN201280029860A CN103931214B CN 103931214 B CN103931214 B CN 103931214B CN 201280029860 A CN201280029860 A CN 201280029860A CN 103931214 B CN103931214 B CN 103931214B
- Authority
- CN
- China
- Prior art keywords
- local
- certificate
- cbe
- user
- cross
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 161
- 238000012795 verification Methods 0.000 claims description 117
- 238000003860 storage Methods 0.000 claims description 33
- 238000004891 communication Methods 0.000 claims description 26
- 230000014759 maintenance of location Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 38
- 239000011295 pitch Substances 0.000 description 5
- 230000005611 electricity Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000686 essence Substances 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/90—Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种获取公钥的方法,所述方法通过本地CA获取非本地CA的交叉证书,或本地CBE获取非本地CA的交叉证书或隐式证书;所述本地CA将获取到的非本地CA的交叉证书,或者本地CBE将获取到的非本地CA的交叉证书或隐式证书下发给用户,使得用户根据非本地CA的公钥和非本地CA的交叉证书或隐式证书计算出本地CA的公钥。解决了当使用Implicit Certificate方式时,如果UE没有配置全球CA公钥而导致无法验证PWS消息的问题。
Description
技术领域
本发明属于通信领域,尤其涉及一种获取公钥的方法及设备。
背景技术
公共报警系统(Public Warning System,PWS)是一种对有可能对人类的生命和财产造成损失的自然灾害或人为事故进行警报的公共报警系统。当自然灾害,如洪水、飓风,或人为事故,如化学气体泄漏、爆炸威胁、核威胁的情况下,作为对现有广播通信系统的一种补充。PWS服务由电信运营商提供给用户(其内容可以由报警信息供应部门warningnotification provider提供)。当某些事件发生时,运营商或报警信息供应部门产生报警消息warning notification给运营商。运营商使用他们的网络发送警报给用户。由于发布PWS这类消息将可能引发大规模的恐慌,所以对安全的要求也较高。根据PWS的安全要求,安全机制应该阻止虚假的告警通知;应该保护告警通知的完整性;应该鉴别告警通知的发送源。
PWS公共报警安全在3GPP标准组织的SA3组成为研究热点,不同设备商提出不同的安全解决方案。SA3标准在第67次会议讨论了基于证书的方案设想,在第68次会议中讨论了具体方案,并且该方案经讨论通过称为TR33.869中PWS安全备选方案之一。这个隐式证书Implicit certificate具体的方法是:在全球范围内规划部署几个或多个全球认证授权中心(Certification Authority,CA)为PWS的安全初始节点。在用户(User Equipment,UE)中预先配置了这些全球CA的公钥。小区广播实体周期性的从一个全球CA获取Implicitcertificate,并且将Implicit certificate作为PWS消息的安全部分进行传输。小区广播实体的公钥由CA的公钥和Implicit certificate计算得到。从而使得UE通过小区广播实体的公钥验证PWS消息的签名。方法如下:
Step1:在全球部署多个全球CA,并在UE中配置这些CA的公钥;
Step2:小区广播实体(Cell Broadcast Entity,CBE)周期性的从一个全球CA获Implicit Certificate,即CA为CBE颁发Implicit Certificate。
Step3:公共报警事件发生,CBE通过小区广播中心(Cell Broadcast Centre,CBC)向报警地点广播PWS消息。PWS消息中包含PWS消息以及安全部分。安全部分具体包含了CBE对PWS消息的签名以及CA颁发给CBE的Implicit Certificate。
当UE接收到PWS消息后,首先使用本地保存的CA的公钥结合PWS消息中的Implicitcertificate计算CBE的公钥(Signer’s Public key),然后通过CBE的公钥验证PWS消息的签名,从而识别接收的PWS消息是否是合法的公共报警消息。
这种基于Implicit Certificate的方案的基础是UE上部署了全球CA的公钥,因此当UE接收到含有PWS消息和安全的消息的消息,会使用预配置的CA公钥和ImplicitCertificate证书计算CBE公钥进而验证PWS消息的签名。但是存在一种场景暴露了这种方案的问题:当UE漫游到这样的网络中,在该网络中没有部署全球化的CA,或者说出于某种原因,某个国家某运营商网络使用自己部署的CAx,该CAx不在全球CA列表范围。则UE不会预先配置到该CAx的信息(CAx公钥),这样会导致UE在漫游到本地接收到PWS消息后无法验证PWS消息的问题。
发明内容
本发明实施例的目的在于提供一种获取公钥的方法,所述方法解决如何使得UE如果没有配置在本地的CAx公钥,如何实现UE在这种场景下对PWS消息的验证。
第一方面,一种获取公钥的方法,所述方法包括:
网元接收用户上报的全球认证授权中心CA列表或确定的CA信息;
当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
结合第一方面,在第一方面的第一种可能的实现方式中,所述方法还包括:
所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
结合第一方面或者第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述方法还包括:
当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息。
结合第一方面或者第一方面的第一种可能的实现方式或者第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSG或SGSN。
第二方面,一种获取公钥的方法,所述方法包括:
用户将全球CA列表或者确定的CA信息上报给所述网元;
所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证。
结合第二方面,在第二方面的第一种可能的实现方式中,所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证具体为:
所述用户接收所述网元下发的交叉证书,或者所述交叉证书的信息,根据所述交叉证书和所述交叉证书对应的全球CA中的一个CA的公钥计算本地CA的公钥,根据计算得到的所述本地CA的公钥根据本地CBE下发的PWS消息中的隐式证书计算出本地CBE的公钥,根据所述本地CBE的公钥验证所述PWS消息的签名。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证具体为:
所述用户接收所述网元下发的隐式证书,或者所述隐式证书的信息,根据所述隐式证书和所述隐式证书对应的全球CA中的一个CA的公钥计算本地CBE的公钥,所述用户根据计算出的所述本地CBE的公钥验证所述本地CBE下发的PWS消息的签名。
结合第二方面,在第二方面的第三种可能的实现方式中,所述方法还包括:
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
结合第二方面的第四种可能的实现方式,在第二方面的第五种可能的实现方式中,所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥或者本地CA公钥对本地CBE下发的PWS消息进行验证具体为:
当所述用户接收所述网元下发的本地CBE公钥时,直接根据所述本地CBE公钥验证本地CBE下发的PWS消息;
或者当所述用户接收所述网元下发的本地CA公钥时,根据所述本地CA公钥和所述本地CBE下发的PWS消息中的隐式证书计算本地CBE的公钥,根据计算出的所述本地CBE的公钥对本地CBE下发的PWS消息进行验证。
第三方面,一种网元,所述网元包括:
接收单元,用于接收用户上报的全球认证授权中心CA列表或确定的CA信息;
获取单元,用于当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
第一下发单元,用于所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
结合第三方面,在第三方面的第一种可能的实现方式中,所述网元还包括上发单元,所述上发单元包括:
所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
结合第三方面或者第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述网元还包括第二下发单元,所述第二下单元包括:
当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息。
结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSG或SGSN。
第四方面,一种终端设备,所述终端设备包括:
信息上发单元,用于用户将全球CA列表或者确定的CA信息上报给所述网元;
接收验证单元,用于所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证。
结合第四方面,在第四方面的第一种可能的实现方式中,所述接收验证单元包括第一接收验证单元,所述第一接收验证单元包括:
所述用户接收所述网元下发的交叉证书,或者所述交叉证书的信息,根据所述交叉证书和所述交叉证书对应的全球CA中的一个CA的公钥计算本地CA的公钥,根据计算得到的所述本地CA的公钥根据本地CBE下发的PWS消息中的隐式证书计算出本地CBE的公钥,根据所述本地CBE的公钥验证所述PWS消息的签名。
结合第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述接收验证单元包括第二接收验证单元,所述第二接收验证单元包括:
所述用户接收所述网元下发的隐式证书,或者所述隐式证书的信息,根据所述隐式证书和所述隐式证书对应的全球CA中的一个CA的公钥计算本地CBE的公钥,所述用户根据计算出的所述本地CBE的公钥验证所述本地CBE下发的PWS消息的签名。
结合第四方面的第二种可能的实现方式,在第四方面的第三种可能的实现方式中,所述终端设备还包括第三接收验证单元,所述第三接收验证单元包括:
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
结合第四方面的第四种可能的实现方式,在第四方面的第五种可能的实现方式中,所述第三接收验证单元包括:
当所述用户接收所述网元下发的本地CBE公钥时,直接根据所述本地CBE公钥验证本地CBE下发的PWS消息;
或者当所述用户接收所述网元下发的本地CA公钥时,根据所述本地CA公钥和所述本地CBE下发的PWS消息中的隐式证书计算本地CBE的公钥,根据计算出的所述本地CBE的公钥对本地CBE下发的PWS消息进行验证。
第五方面,一种网元,所述网元包括:
接收单元,用于接收用户上报的全球认证授权中心CA列表或确定的CA信息;
获取单元,用于当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
第一下发单元,用于所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
结合第五方面,在第五方面的第一种可能的实现方式中,所述网元包括处理器,通信接口,存储器和总线;
其中处理器、通信接口、存储器通过总线完成相互间的通信;
所述通信接口,用于与其他王宇设备进行通信;
所述处理器,用于执行程序;
所述存储器,用于存放程序;
其中程序用于接收用户上报的全球认证授权中心CA列表或确定的CA信息;当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
结合第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,所述网元还包括上发单元,所述上发单元包括:
所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
结合第五方面的第一种可能的实现方式或者第五方面的第二种可能的实现方式,在第五方面的第三种可能的实现方式中,所述网元还包括第二下发单元,所述第二下单元包括:
当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息。
结合第五方面的第三种可能的实现方式,在第五方面的第四种可能的实现方式中,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSG或SGSN。
第六方面,一种终端设备,所述终端设备包括:
信息上发单元,用于用户将全球CA列表或者确定的CA信息上报给所述网元;
接收验证单元,用于所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证。
结合第六方面,在第六方面的第一种可能的实现方式中,所述网元包括处理器,通信接口,存储器和总线;
其中处理器、通信接口、存储器通过总线完成相互间的通信;
所述通信接口,用于与其他网元进行通信;
所述处理器,用于执行程序;
所述存储器,用于存放程序;
其中程序用于用户将全球CA列表或者确定的CA信息上报给所述网元;所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证。
结合第六方面的第一种可能的实现方式,在第六方面的第二种可能的实现方式中中,所述接收验证单元包括第一接收验证单元,所述第一接收验证单元包括:
所述用户接收所述网元下发的交叉证书,或者所述交叉证书的信息,根据所述交叉证书和所述交叉证书对应的全球CA中的一个CA的公钥计算本地CA的公钥,根据计算得到的所述本地CA的公钥根据本地CBE下发的PWS消息中的隐式证书计算出本地CBE的公钥,根据所述本地CBE的公钥验证所述PWS消息的签名。
结合第六方面的第二种可能的实现方式,在第六方面的第三种可能的实现方式中,所述接收验证单元包括第二接收验证单元,所述第二接收验证单元包括:
所述用户接收所述网元下发的隐式证书,或者所述隐式证书的信息,根据所述隐式证书和所述隐式证书对应的全球CA中的一个CA的公钥计算本地CBE的公钥,所述用户根据计算出的所述本地CBE的公钥验证所述本地CBE下发的PWS消息的签名。
结合第六方面的第三种可能的实现方式,在第六方面的第四种可能的实现方式中,所述终端设备还包括第三接收验证单元,所述第三接收验证单元包括:
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
结合第六方面的第四种可能的实现方式,在第六方面的第五种可能的实现方式中,所述第三接收验证单元包括:
当所述用户接收所述网元下发的本地CBE公钥时,直接根据所述本地CBE公钥验证本地CBE下发的PWS消息;
或者当所述用户接收所述网元下发的本地CA公钥时,根据所述本地CA公钥和所述本地CBE下发的PWS消息中的隐式证书计算本地CBE的公钥,根据计算出的所述本地CBE的公钥对本地CBE下发的PWS消息进行验证。
本发明实施例提供一种获取公钥的方法,所述方法通过用户上报全球CA列表或者确定的CA,本地MME根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书,或者确定的CA的交叉证书,所述本地MME将获取的交叉证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地网元的交叉证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种获取公钥的方法流程图;
图2是本发明实施例二提供的一种获取公钥的方法流程图;
图3是本发明实施例二提供的一种获取公钥的方法示意图;
图4是本发明实施例二提供的一种获取公钥的方法示意图;
图5是本发明实施例二提供的一种获取公钥的方法示意图;
图6是本发明实施例二提供的一种获取公钥的方法示意图;
图7是本发明实施例三提供的一种获取公钥的方法流程图;
图8是本发明实施例三提供的一种获取公钥的方法示意图;
图9是本发明实施例三提供的一种获取公钥的方法示意图;
图10是本发明实施例三提供的一种获取公钥的方法示意图;
图11是本发明实施例三提供的一种获取公钥的方法示意图;
图12是本发明实施例三提供的一种获取公钥的方法示意图;
图13是本发明实施例三提供的一种获取公钥的方法示意图;
图14是本发明实施例四提供的一种获取公钥的方法流程图;
图15是本发明实施例四提供的一种获取公钥的方法示意图;
图16是本发明实施例四提供的一种获取公钥的方法示意图;
图17是本发明实施例四提供的一种获取公钥的方法示意图;
图18是本发明实施例四提供的一种获取公钥的方法示意图;
图19是本发明实施例四提供的一种获取公钥的方法示意图;
图20是本发明实施例四提供的一种获取公钥的方法示意图;
图21是本发明实施例四提供的一种获取公钥的方法示意图;
图22是本发明实施例四提供的一种获取公钥的方法示意图;
图23是本发明实施例五提供的一种获取公钥的方法流程图;
图24是本发明实施例五提供的一种获取公钥的方法示意图;
图25是本发明实施例五提供的一种获取公钥的方法示意图;
图26是本发明实施例五提供的一种获取公钥的方法示意图;
图27是本发明实施例六提供的一种获取公钥的方法示意图;
图28是本发明实施例七提供的一种网元的装置结构图;
图29是本发明实施例八提供的一种网元的装置结构图;
图30是本发明实施例九提供的一种网元的装置结构图;
图31是本发明实施例十提供的一种网元的装置结构图;
图32是本发明实施例十一提供的一种网元的装置结构图;
图33是本发明实施例十二提供的一种终端设备的装置结构图;
图34是本发明实施例十三提供的一种网元的装置结构图;
图35是本发明实施例十四提供的一种终端设备的装置结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
实施例一
参考图1,图1是本发明实施例一提供的一种获取公钥的方法流程图。如图1所示:
步骤101,网元接收用户上报的全球认证授权中心CA列表或确定的CA信息;
本步骤中,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSC或SGSN,或者是CBC节点。
当用户附着到漫游网络,并且可选的用户没有预先存储所述漫游网络的本地CA或本地CBE的公钥时,无法对本地CBE下发的PWS消息或者其他消息进行验证。如果全球CA之间建立互信关系,则说明用户对PWS消息的认证可以通过CA之间的信任实现。因此,如果UE漫游到一种部署了CAX的特殊网络,为了实现PWS消息的认证,可以通过CAX与CA1之间建立安全关联并使得CAX获得CA1的交叉证书。交叉证书是CA之间互相签发的一种证书。其中,CAx为用户漫游的网络部署自己网络的CA,不属于规划的全球CA范围内;CA1属于全球CA范围,是用户预配置的全球CA之一。
如果CA之间没有建立互信关系,则CAx需要向CA1建立互信关系,获取交叉证书。否则,如果无法建立互信关系,CA1会将无法验证本地CBE下发的PWS消息,无法告知用户PWS的安全性,此时将由用户决定是否继续信息本地CBE下发的PWS报警消息。
步骤102,当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
本步骤中,所述可选的用户可以将全球CA列表或者确定的CA信息上报给所述漫游网络,即本地网络的网元,使得本地网元根据所述全球CA列表或者确定的CA信息判断本地网络是否预先存储所述全球CA列表中任意一个CA的交叉证书或者隐式证书,或者本地网络是否预先存储所述确定的CA信息中的交叉证书或者隐式证书。若本地网元已存,则直接下发给用户;若本地网元未存,则本地网元获取所述全球列表中任意一个CA的交叉证书或者获取所述确定的CA的交叉证书。
步骤103,所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
本步骤中,所述交叉证书的信息可以是交叉证书的地址或信息等信息,所述交叉证书的信息使得用户根据所述交叉证书的信息获取交叉证书。当所述网元将获取的交叉证书或者获得交叉证书信息下发给用户时,用户根据交叉证书和交叉证书对应的全球CA列表中的某一个特定CA的公钥,计算出本地CA的公钥,根据本地CA的公钥和本地CBE下发给用户的PWS消息中的隐式证书计算出本地CBE的公钥,所述用户根据所述本地CBE的公钥对本地CBE下发给用户的PWS消息进行验证,从而识别接收的PWS消息是否是合法的公共报警信息。
本步骤中,所述隐式证书的信息可以是隐式证书的地址或信息等信息,所述隐式证书的信息使得用户根据所述隐式证书的信息获取隐式证书。所述网元将获取的隐式证书或者获取隐式证书的信息下发给用户时,用户根据所述隐式证书和隐式证书对应的全球CA列表中的某一个特定CA的公钥,计算出本地CBE的公钥,根据本地CBE的公钥对本地CBE下发给用户的PWS消息进行验证,从而识别接收的PWS消息是否是合法的公共报警信息。
为了减少宽带,在所述网元获取的交叉证书或隐式证书时,可以选择下发所述交叉证书的链接或者地址等信息,或者选择下发所述隐式证书的链接或者地址等信息。
进一步,所述方法还包括:
所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述应用服务器将所述交叉证书的或隐式证书的信息下发给用户,使得用户到对应的下载服务器下载交叉证书或隐式证书,并根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
其中,所述应用服务器将所述交叉证书的或隐式证书的信息下发给用户,所述信息包括但不限于交叉证书的或隐式证书的信息的链接或地址。
进一步,所述方法还包括:
当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息。
本发明实施例提供一种获取公钥的方法,所述方法通过用户上报全球CA列表或者确定的CA,本地网元根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书或者隐式证书,或者确定的CA的交叉证书或者隐式证书,所述网元将获取的交叉证书或者隐式证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地网元的交叉证书或者隐式证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
实施例二
参考图2,图2是本发明实施例二提供的一种获取公钥的方法流程图。
步骤201,所述本地核心网实体接收用户上报的全球认证授权中心CA列表或者确定的CA信息;
可优选的,所述本地核心网实体接收用户上报的全球CA列表,参考图3的步骤301和图4的步骤401。
可优选的,所述本地核心网实体接收用户上报的确定的CA信息,参考图5的步骤501和图6的步骤601。
步骤202,当本地CA不在所述全球CA列表中或者不是确定的CA时,则所述本地核心网实体获取所述全球CA列表中任意一个CA的交叉证书或者确定的CA的交叉证书;
可优选的,所述本地核心网实体接收用户上报的全球CA列表,当本地CA不在所述全球CA列表中时,且当所述本地核心网实体中存储所述全球CA列表中任意一个CA的交叉证书时,则直接从本地核心网实体中获取所述本地核心网实体存储的所述任意一个CA的交叉证书。参考图3的步骤302。
可优选的,当所述本地核心网实体中未存储所述全球CA列表中任意一个CA的交叉证书时,则从所述全球CA列表中选取任意一个CA,所述本地核心网实体获取所述选取的任意一个CA的交叉证书。参考图4的步骤402和步骤403。
可优选的,所述本地核心网实体接收用户上报的确定的CA信息,当所述本地MME存储所述确定的CA的交叉证书时,则直接从本地核心网实体中获取所述本地核心网实体存储的所述确定的CA的交叉证书。参考图5的步骤502。
可优选的,当所述本地核心网实体没有存储所述确定的CA的交叉证书时,则从所述确定的CA中获取所述确定的CA的交叉证书。参考图6的步骤602和步骤603。
步骤203,所述本地核心网实体将获取的交叉证书,或者所述本地核心网实体将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证所述本地CBE下发给用户的PWS消息。
本步骤中,所述本地MME将获取的交叉证书下发给用户,具体参考图3的步骤303、图4的步骤404、图5的步骤503、图6的步骤604;
可优选的,所述本地核心网实体将获取的交叉证书的信息下发给用户,具体参考图3的步骤303、图4的步骤404、图5的步骤503、图6的步骤604。
进一步,所述方法还包括:
所述核心网实体将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户获得所述交叉证书并根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。具体参考图3的步骤304和步骤305,图4的步骤405和步骤406,图5的步骤504和步骤505,图6的步骤605和步骤606。
本说明书中核心网实体均以LTE网络中的MME为例进行说明。
图3、图4、图5、图6是本发明实施例二提供的一种获取公钥的方法,具体参考如下:
如图3所示,步骤301,所述MME接收用户上报的全球CA列表;
步骤302,所述MME检查接收的所述全球CA列表与本地MME保存的是否一致;
步骤303,若一致,所述MME下发本地保存的交叉证书或者交叉证书的信息;
或者采用
步骤304,若一致,所述MME上发本地保存的交叉证书给应用服务器;
步骤305,所述应用服务器下发交叉证书或者交叉证书的信息给所述用户。
如图4所示,步骤401,所述MME接收用户上报的全球CA列表;
步骤402,所述MME检查接收的CA列表与本地MME保存的是否一致;
步骤403,若不一致,则所述MME获取CA列表中任意一个CA的交叉证书;
步骤404,所述MME下发交叉证书或者交叉的信息到用户;
或者采用
步骤405,所述MME上发获取的交叉证书到应用服务器;
步骤406,所述应用服务器将交叉证书或者交叉证书的信息下发到用户。
如图5所示,步骤501,所述MME获取用户上发的确定的CA信息;
步骤502,所述MME检查本地是否保存确定的CA的交叉证书;
步骤503,若是,则所述MME下发本地保存的交叉证书或者交叉证书的信息;
或者采用
步骤504,若是,则上发本地MME保存的交叉证书到应用服务器;
步骤505,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
如图6所示,步骤601,用户上发确定的CA信息到所述MME;
步骤602,所述MME检查本地是否保存确定的CA的交叉证书;
步骤603,若未保存,则所述MME获取所述确定的CA的交叉证书;
步骤604,所述MME下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤605,所述MME上发获取的交叉证书到应用服务器;
步骤606,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
本发明实施例提供一种获取公钥的方法,所述方法通过用户上报全球CA列表或者确定的CA,本地MME根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书,或者确定的CA的交叉证书,所述本地MME将获取的交叉证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地网元的交叉证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
实施例三
参考图7,图7是本发明实施例三提供的一种获取公钥的方法流程图。如图7所示:
步骤701,所述本地CBE接收所述本地核心网实体下发的全球认证授权中心CA列表或者确定的CA信息。
可优选的,所述本地CBE接收所述本地核心网实体转发的全球CA列表,所述核心网实体将全球CA列表直接转发给本地CBE。具体参考图8的步骤801和步骤802和图9的步骤901和步骤902。
本说明书中核心网实体均以LTE网络中的MME为例进行说明。
可优选的,所述MME从所述全球CA列表中选取任意一个CA,并将所述选取的任意一个CA下发给本地CBE。具体参考图10的步骤1001和步骤1002和图11的步骤1101和步骤1102。
可优选的,所述本地CBE接收所述本地MME转发的确定的CA信息。具体参考图12的步骤1201和步骤和图13的步骤1301和步骤1302。
步骤702,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则所述本地CBE获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
可优选的,当本地CBE获取的是所述全球CA列表,并且当所述本地CBE存储所述全球CA列表中任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书。具体参考图8的步骤803。
可优选的,当本地CBE获取的是所述全球CA列表,并且当所述本地CBE未存储所述全球CA列表中任意一个CA的隐式证书时,则所述本地CBE从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书。具体参考图9的步骤903和步骤904。
可优选的,当本地CBE获取的是所述MME从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE存储所述MME选取的任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书。具体参考图10的步骤1003。
可优选的,当本地CBE获取的是所述MME从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE未存储所述MME选取的任意一个CA的隐式证书时,则所述本地CBE中获取所述任意一个CA的交叉证书。具体参考图11的步骤1103和步骤1104。
可优选的,当所述本地CBE接收所述本地MME转发的确定的CA信息,并且当本地CBE存储所述确定的CA的隐式证书时,则直接从本地CBE中获取所述确定的CA的隐式证书。具体参考图12的步骤1203。
可优选的,当所述本地CBE接收所述本地MME转发的确定的CA信息,且当本地CBE未存储所述确定的CA的隐式证书时,则获取所述确定的CA的交叉证书。具体参考图13的步骤1303和步骤1304。
步骤703,所述本地CBE将获取的交叉证书或者隐式证书,或者所述CBE将获取的交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
可优选的,所述本地CBE将获取的交叉证书或者隐式证书下发给用户,具体参考图8的步骤804、图9的步骤905、图10的步骤1004、图11的步骤1105、图12的步骤1204、图13的步骤1305。
可优选的,所述本地CBE将获取的交叉证书的信息或者隐式证书下发给用户,具体参考图8的步骤804、图9的步骤905、图10的步骤1004、图11的步骤1105、图12的步骤1204、图13的步骤1305。
实施例中,CBE可以获得由CBC从所述全球CA列表中选取的任意一个CA,具体方法类似。
进一步,所述方法还包括:
所述CBE将获取的交叉证书或者隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或者所述隐式证书,或者所述交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,或者使得用户根据所述隐式证书计算所述本地CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。具体参考图8的步骤805和步骤806,图9的步骤906和步骤907,图10的步骤1005和步骤1006,图11的步骤1106和步骤1107,图12的步骤1205和步骤1206,图13的步骤1306和步骤1307。
图8、图9、图10、图11、图12、图13是本发明实施例三提供的一种获取公钥的方法示意图。实施例中,CBE也可以可以获得由CBC从所述全球CA列表中选取的任意一个CA,具体方法类似。
如图8所示,步骤801,所述本地MME接收用户上发的全球CA列表;
步骤802,所述本地CBE接收CBC接收的所述本地MME转发的全球CA列表;
步骤803,所述本地CBE判断是否保存全球CA列表中任意一个CA的隐式证书;
步骤804,若是,则所述本地CBE下发隐式证书或者隐式证书的信息到用户;
或者采用
步骤805,若是,则所述本地CBE上发获取的隐式证书到应用服务器;
步骤806,所述应用服务器将隐式证书或者隐式证书的信息下发到用户。
如图9所示,步骤901,所述本地MME接收用户上发的全球CA列表;
步骤902,所述本地CBE转发CBC接收的所述本地MME转发的全球CA列表;
步骤903,所述本地CBE判断是否保存全球CA列表中任意一个CA的隐式证书;
步骤904,本地CBE未保存全球CA列表中任意一个CA的交叉证书,则获取任意一个CA的交叉证书;
步骤905,若是,则下发交叉证书或者交叉证书的连接到用户;
或者采用
步骤906,若是,则上发获取的交叉证书到应用服务器;
步骤907,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
参考图10,步骤1001,所述MME接收用户上发的全球CA列表;
步骤1002,所述CBE接收CBC接收的所述MME从全球CA列表中任意选取的一个CA;
步骤1003,本地CBE判断是否保存下发的任意一个CA的隐式证书;
步骤1004,若是,则所述本地CBE下发隐式证书或者隐式证书的信息到用户;
或者采用
步骤1005,所述本地CBE上发获取的隐式证书到应用服务器;
步骤1006,所述应用服务器下发隐式证书或者隐式证书的信息到用户。
如图11所述,步骤1101,所述MME接收用户上发的全球CA列表;
步骤1102,本地CBE接收CBC接收的MME从全球CA列表中任意选取的一个CA;
步骤1103,本地CBE判断是否保存下发的任意一个CA的隐式证书;
步骤1104,若未保存,则本地CBE获取所述任意一个CA的交叉证书;
步骤1105,本地CBE下发交叉证书或者交叉证书的信息到所述用户;
或者采用
步骤1106,所述本地CBE上发获取的交叉证书到应用服务器;
步骤1107,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
参考图12,步骤1201,所述MME接收用户上发的确定的CA信息;
步骤1202,本地CBE接收所述MME转发的确定的CA信息;
步骤1203,所述本地CBE判断是否保存转发的确定的CA的隐式证书;
步骤1204,若是,则下发隐式证书或者隐式证书的信息到用户;
或者采用
步骤1205,所述本地CBE上发获取的隐式证书到应用服务器;
步骤1206,所述应用服务器下发隐式证书或者隐式证书的信息到用户。
如图13所示,步骤1301,所述本地MME接收用户上报的确定的CA信息;
步骤1302,本地CBE接收CBC接收的本地MME转发的确定的CA信息;
步骤1303,本地CBE判断是否保存转发的确定的CA的隐式证书;
步骤1304,若未保存,则获取确定的CA的交叉证书;
步骤1305,本地CBE下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤1306,本地CBE上发获取的交叉证书到应用服务器;
步骤1307,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
本发明实施例提供一种获取公钥的方法,所述方法通过用户上报全球CA列表或者确定的CA,本地CBE根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书或隐式证书,或者确定的CA的交叉证书或隐式证书,所述本地CBE将获取的交叉证书或隐式证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地CBE的交叉证书或隐式证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
实施例四
参考图14,图14是本发明实施例四提供的一种获取公钥的方法流程图。如图14所示,包括如下步骤:
步骤1401,所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息;
本说明书中核心网实体均以LTE网络中的MME为例进行说明。
可优选的,所述本地MME接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE将所述全球CA列表转发给所述本地CA。具体参考图15的步骤1501和步骤1502和步骤1503,和图16的步骤1601和步骤1602和步骤1603。
可优选的,所述本地MME接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE从所述全球CA列表中选取任意一个CA,并将选取的任意一个CA上报给所述本地CA。具体参考17的步骤1701和步骤1702和步骤1703,和图18的步骤1801和步骤1802和步骤1803。
可优选的,所述本地MME接收用户上报的所述全球CA列表,由所述本地MME从所述全球CA列表中选取任意一个CA,并将所述本地MME选取的任意一个CA上报给本地CBE,由所述本地CBE将所述本地MME选取的任意一个CA上报转发给所述本地CA。具体参考图19的步骤1901和步骤1902和步骤1903,和图20的步骤2001和步骤2002和步骤2003。
可优选的,所述本地MME接收用户上报的所述确定的CA信息,所述MME将所述确定的CA信息转发给所述本地CBE,并由所述本地CBE将所述确定的CA信息转发给所述本地CA。具体参考21的步骤2101和步骤2102和步骤2103,和图22的步骤步骤2201和步骤2202和步骤2203。
步骤1402,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则所述CA获取所述全球CA列表中任意一个CA的交叉证书;或者获取所述确定的CA的交叉证书;
可优选的,当本地CA获取的是所述全球CA列表,并且当所述本地CA存储所述全球CA列表中任意一个CA的交叉证书时,则直接从本地CA中获取所述任意一个CA的交叉证书。具体参考图15的步骤1504。
可优选的,当本地CA获取的是所述全球CA列表,并且当所述本地CA未存储所述全球CA列表中任意一个CA的交叉证书时,则所述本地CA从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书。具体参考图16的步骤1604和步骤1605。
可优选的,当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA存储所述任意选取的一个CA的交叉证书时,则直接从本地CA中获取所述任意选取的一个CA的交叉证书。具体参考图17的步骤1704。
可优选的,当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA未存储所述任意选取的一个CA的交叉证书时,则所述本地CA获取所述任意选取的一个CA的交叉证书。具体参考图18的步骤1804和步骤1805。
可优选的当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA存储所述本地CBE转发的任意一个CA时,所述本地CA直接从本地CA获取所述本地CBE转发的任意一个CA的交叉证书。具体参考图19的步骤1904。
可优选的当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA未存储所述本地CBE转发的任意一个CA时,所述本地CA获取所述本地CBE转发的任意一个CA的交叉证书。具体参考图20的步骤2004和步骤2005。
可优选的,当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA存储所述确定的CA的交叉证书时,则直接从本地CA中获取所述确定的CA的交叉证书。具体参考图21的步骤2104。
可优选的,当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA未存储所述确定的CA的交叉证书,则获取所述确定的CA的交叉证书。具体参考图22的步骤2204和步骤2205。
步骤1403,所述本地CA将获取的交叉证书,或者所述本地CA将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
可优选的,所述本地CA将获取的交叉证书下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的PWS消息。具体参考图15的步骤1505,图16的步骤1606,图17的步骤1705,图18的步骤1806,图19的步骤1905,图20的步骤2006,图21的步骤2105,图22的步骤2206。
可优选的,所述本地CA将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的PWS消息。具体参考图15的步骤1505,图16的步骤1606,图17的步骤1705,图18的步骤1806,图19的步骤1905,图20的步骤2006,图21的步骤2105,图22的步骤2206。
进一步,所述方法还包括:
所述CA将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。具体参考图15的步骤1506和步骤1507,图16的步骤1607和步骤1607,图17的步骤1706和步骤1707,图18的步骤1807和步骤1808,图19的步骤1906和步骤1907,图20的步骤2007和步骤2008,图21的步骤2106和步骤2107,图22的步骤2207和步骤2208。
图15、图16、图17、图18、图19、图20、图21、图22是本发明实施例四提供的一种获取公钥的方法示意图。具体如下:
如图15所示,步骤1501,所述MME接收用户上发的全球CA列表;
步骤1502,本地CBE接收CBC接收的所述本地MME转发的全球CA列表;
步骤1503,本地CA接收所述本地CBE转发的全球CA列表;
步骤1504,本地CA判断是否保存全球CA列表中任意一个CA的交叉证书;
步骤1505,若是,则下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤1506,本地CA上发获取的交叉证书到应用服务器;
步骤1507,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
参考图16,步骤1601,所述本地MME接收用户上发的全球CA列表;
步骤1602,本地CBE接收CBC接收的本地MME转发的全球CA列表;
步骤1603,本地CA接收本地CBE转发的全球CA列表;
步骤1604,本地CA判断本地是否已保存全球CA列表中任意一个CA的交叉证书;
步骤1605,若未保存,本地CA获取全球CA列表中任意一个CA的交叉证书;
步骤1606,所述本地CA下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤1607,所述本地CA上发获取的交叉证书到应用服务器;
步骤1608,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
如图17所示,步骤1701,本地MME接收用户上发的全球CA列表;
步骤1702,本地CBE接收CBC接收的本地MME转发的全球CA列表;
步骤1703,本地CA接收CBE从全球CA列表中任意选取的一个CA;
步骤1704,本地CA判断本地CA是否已保存CBE下发的CA的交叉证书;
步骤1705,若是,本地CA下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤1706,若是,本地CA上发获取的交叉证书到应用服务器;
步骤1707,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
如图18所示,步骤1801,本地MME接收用户上发的全球CA列表;
步骤1802,本地CBE接收CBC接收的本地MME转的全球CA列表;
步骤1803,本地CA接收CBE从全球CA列表中任意选取的一个CA;
步骤1804,本地CA判断是否已保存CBE下发的CA的交叉证书;
步骤1805,若未保存,则本地CA获取CBE下发的CA的交叉证书;
步骤1806,本地CA下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤1807,本地CA上发获取的交叉证书到应用服务器;
步骤1808,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
如图19所示,步骤1901,所述本地MME接收用户上报的全球CA列表;
步骤1902,本地CBE接收CBC接收的本地MME从全球CA列表中任意选取的一个CA;
步骤1903,本地CA接收本地CBE转发的MME选择的CA;
步骤1904,本地CA判断本地是否已经保存CBE下发的CA的交叉证书;
步骤1905,若保存,则本地CA下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤1906,本地CA上发获取的交叉证书到应用服务器;
步骤1907,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
如图20所示,步骤2001,本地MME接收用户上发的全球CA列表;
步骤2002,本地CBE接收CBC接收的MME从全球CA列表中任意选取的一个CA;
步骤2003,本地CA接收本地CBE转发的MME选择的CA;
步骤2004,本地CA判断是否已保存CBE下发的CA的交叉证书;
步骤2005,若未保存,则获取CBE下发的CA的交叉证书;
步骤2006,本地CA下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤2007,本地CA上发获取的交叉证书到应用服务器;
步骤2008,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
如图21所示,步骤2101,本地MME接收用户上报的确定的CA;
步骤2102,本地CBE接收CBC接收的本地MME转发的确定的CA;
步骤2103,本地CBE转发本地CBE确定的CA;
步骤2104,本地CA判断是否保存CBE下发的CA的交叉证书;
步骤2105,若保存,则下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤2106,若保存,则本地CA上发获取的交叉证书到应用服务器;
步骤2107,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
如图22所示,步骤2201,本地MME接收用户上发的确定的CA;
步骤2202,本地CBE接收本地MME转发的确定的CA;
步骤2203,本地CBE转发本地CBE确定的CA;;
步骤2204,本地CA判断是否已保存CBE下发的CA的交叉证书;
步骤2205,若未保存,则本地CA获取确定的CA的交叉证书;
步骤2206,本地CA下发交叉证书或者交叉证书的信息到用户;
或者采用
步骤2207,本地CA上发获取的交叉证书到应用服务器;
步骤2208,所述应用服务器下发交叉证书或者交叉证书的信息到用户。
本发明实施例提供一种获取公钥的方法,所述方法通过用户上报全球CA列表或者确定的CA,本地CA根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书,或者确定的CA的交叉证书,所述本地CA将获取的交叉证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地CBE的交叉证书或隐式证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
实施例五
参考图23是本发明实施例五提供的一种获取公钥的方法流程图。如图所示,
步骤2301,判断本地网元是否存储本地CBE的公钥和/或本地CA的公钥;
步骤2302,若是,则将所述本地CBE的公钥和/或本地CA的公钥下发给用户。
具体参考图24、图25、图26的方法示意图。如图24、图25、图26是本发明实施例五提供的一种获取公钥的方法示意图。
本说明书中核心网实体均以LTE网络中的MME为例进行说明。
如图24所示,步骤2401,本地MME判断是否存储本地CA的公钥和/或本地CBE的公钥;
步骤2402,若是,则本地MME下发本地MME保存的CA的公钥和/或CBE的公钥。
如图25所示,步骤2501,本地CBE判断本地CBE是否保存本地CBE的公钥和/或本地CA的公钥;
步骤2502,若是,则本地CBE下发本地CBE保存的CA的公钥和/或CBE的公钥。
如图26所示,步骤2601,本地CA判断本地CA是否保存本地CA的公钥或者本地CBE的公钥;
步骤2602,若保存,则本地CA下发本地CA保存的CA的公钥和/或CBE的公钥。
本发明实施例提供一种获取公钥的方法,所述方法通过获取本地网元存储的本地CA的公钥或者本地CBE的公钥,并将所述获取的CA的公钥或者本地CBE的公钥下发给用户,使得用户根据所述CA的公钥或者本地CBE的公钥验证本地CBE下发的隐式证书。
实施例六
参考图27,图27是本发明实施例六提供的一种获取公钥的方法流程图。如图27所示,所述方法包括如下步骤:
步骤2701,用户将全球CA列表或者确定的CA信息上报给所述网元;
本步骤中,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSC或SGSN,或者是CBC节点。
步骤2702,所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书计算出CBE的公钥,并根据所述计算的CBE的公钥对本地CBE下发给用户的PWS消息进行验证。
可优选的,所述用户接收所述网元下发的交叉证书,或者所述交叉证书的信息,根据所述交叉证书和所述交叉证书对应的全球CA中的一个CA的公钥计算本地CA的公钥,根据计算得到的所述本地CA的公钥根据本地CBE下发的PWS消息中的隐式证书计算出本地CBE的公钥,根据所述本地CBE的公钥验证所述PWS消息的签名。
可优选的,所述用户接收所述网元下发的隐式证书,或者所述隐式证书的信息,根据所述隐式证书和所述隐式证书对应的全球CA中的一个CA的公钥计算本地CBE的公钥,所述用户根据计算出的所述本地CBE的公钥验证所述本地CBE下发的PWS消息的签名。
进一步,所述方法还包括:
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥或者本地CA公钥对本地CBE下发的PWS消息进行验证具体为:
当所述用户接收所述网元下发的本地CBE公钥时,直接根据所述本地CBE公钥验证本地CBE下发的PWS消息;
当所述用户接收所述网元下发的本地CA公钥时,根据所述本地CA公钥和所述本地CBE下发的PWS消息中的隐式证书计算本地CBE的公钥,根据计算出的所述本地CBE的公钥对本地CBE下发的PWS消息进行验证。
本发明实施例提供的一种获取公钥的方法,所述方法通过用户获取本地网元下发的交叉证书或者隐式证书,根据所述交叉证书或隐式证书计算本地CA的公钥或者本地CBE的公钥,并根据计算出的本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的PWS消息。
实施例七
参考图28,图28是本发明实施例七提供的一种网元的装置结构图。如图28所示,所述网元包括如下单元:
接收单元2801,用于网元接收用户上报的全球认证授权中心CA列表或确定的CA信息;
本单元中,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSC或SGSN,或者是CBC节点。
当用户附着到漫游网络,并且可选的用户没有预先存储所述漫游网络的本地CA或本地CBE的公钥时,无法对本地CBE下发的PWS消息或者其他消息进行验证。如果全球CA之间建立互信关系,则说明用户对PWS消息的认证可以通过CA之间的信任实现。因此,如果UE漫游到一种部署了CAX的特殊网络,为了实现PWS消息的认证,可以通过CAX与CA1之间建立安全关联并使得CAX获得CA1的交叉证书。交叉证书是CA之间互相签发的一种证书。其中,CAx为用户漫游的网络部署自己网络的CA,不属于规划的全球CA范围内;CA1属于全球CA范围,是用户预配置的全球CA之一。
如果CA之间没有建立互信关系,则CAx需要向CA1建立互信关系,获取交叉证书。否则,如果无法建立互信关系,CA1会将无法验证本地CBE下发的PWS消息,无法告知用户PWS的安全性,此时将由用户决定是否继续信息本地CBE下发的PWS报警消息。
获取单元2802,用于当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
本单元中,所述可选的用户可以将全球CA列表或者确定的CA信息上报给所述漫游网络,即本地网络的网元,使得本地网元根据所述全球CA列表或者确定的CA信息判断本地网络是否预先存储所述全球CA列表中任意一个CA的交叉证书或者隐式证书,或者本地网络是否预先存储所述确定的CA信息中的交叉证书或者隐式证书。若本地网元已存,则直接下发给用户;若本地网元未存,则本地网元获取所述全球列表中任意一个CA的交叉证书或者获取所述确定的CA的交叉证书。
第一下发单元2803,用于所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
本单元中,所述交叉证书的信息可以是交叉证书的地址或信息等信息,所述交叉证书的信息使得用户根据所述交叉证书的信息获取交叉证书。当所述网元将获取的交叉证书或者获得交叉证书信息下发给用户时,用户根据交叉证书和交叉证书对应的全球CA列表中的某一个特定CA的公钥,计算出本地CA的公钥,根据本地CA的公钥和本地CBE下发给用户的PWS消息中的隐式证书计算出本地CBE的公钥,所述用户根据所述本地CBE的公钥对本地CBE下发给用户的PWS消息进行验证,从而识别接收的PWS消息是否是合法的公共报警信息。
本单元中,所述隐式证书的信息可以是隐式证书的地址或信息等信息,所述隐式证书的信息使得用户根据所述隐式证书的信息获取隐式证书。所述网元将获取的隐式证书或者获取隐式证书的信息下发给用户时,用户根据所述隐式证书和隐式证书对应的全球CA列表中的某一个特定CA的公钥,计算出本地CBE的公钥,根据本地CBE的公钥对本地CBE下发给用户的PWS消息进行验证,从而识别接收的PWS消息是否是合法的公共报警信息。
为了减少宽带,在所述网元获取的交叉证书或隐式证书时,可以选择下发所述交叉证书的链接或者地址等信息,或者选择下发所述隐式证书的链接或者地址等信息。
进一步,所述网元还包括上发单元2804,用于:
所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述应用服务器将所述交叉证书的或隐式证书的信息下发给用户,使得用户到对应的下载服务器下载交叉证书或隐式证书,并根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
其中,所述应用服务器将所述交叉证书的或隐式证书的信息下发给用户,所述信息包括但不限于交叉证书的或隐式证书的信息的链接或地址。
进一步,所述网元还包括第二下发单元2805:
当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息。
本发明实施例提供一种网元,所述网元通过用户上报全球CA列表或者确定的CA,本地网元根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书或者隐式证书,或者确定的CA的交叉证书或者隐式证书,所述网元将获取的交叉证书或者隐式证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地网元的交叉证书或者隐式证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
实施例八
参考图29,图29是本发明实施例八提供的一种网元的装置结构图。如图29所示,所述网元包括如下单元:
第一接收单元2901,用于所述本地核心网实体接收用户上报的全球认证授权中心CA列表或者确定的CA信息;
可优选的,所述本地核心网实体接收用户上报的全球CA列表,参考图3的步骤301和图4的步骤401。
可优选的,所述本地核心网实体接收用户上报的确定的CA信息,参考图5的步骤501和图6的步骤601。
第一获取单元2902,用于当本地CA不在所述全球CA列表中或者不是确定的CA时,则所述本地核心网实体获取所述全球CA列表中任意一个CA的交叉证书或者确定的CA的交叉证书;
可优选的,所述本地核心网实体接收用户上报的全球CA列表,当本地CA不在所述全球CA列表中时,且当所述本地核心网实体中存储所述全球CA列表中任意一个CA的交叉证书时,则直接从本地核心网实体中获取所述本地核心网实体存储的所述任意一个CA的交叉证书。参考图3的步骤302。
可优选的,当所述本地核心网实体中未存储所述全球CA列表中任意一个CA的交叉证书时,则从所述全球CA列表中选取任意一个CA,所述本地核心网实体获取所述选取的任意一个CA的交叉证书。参考图4的步骤402和步骤403。
可优选的,所述本地核心网实体接收用户上报的确定的CA信息,当所述本地MME存储所述确定的CA的交叉证书时,则直接从本地核心网实体中获取所述本地核心网实体存储的所述确定的CA的交叉证书。参考图5的步骤502。
可优选的,当所述本地核心网实体没有存储所述确定的CA的交叉证书时,则从所述确定的CA中获取所述确定的CA的交叉证书。参考图6的步骤602和步骤603。
第三下发单元2903,用于所述本地核心网实体将获取的交叉证书,或者所述本地核心网实体将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证所述本地CBE下发给用户的PWS消息。
本单元中,所述本地MME将获取的交叉证书下发给用户,具体参考图3的步骤303、图4的步骤404、图5的步骤503、图6的步骤604;
可优选的,所述本地核心网实体将获取的交叉证书的信息下发给用户,具体参考图3的步骤303、图4的步骤404、图5的步骤503、图6的步骤604。
进一步,所述网元还包括第一上发单元2904,所述第一上发单元用于:
所述核心网实体将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户获得所述交叉证书并根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。具体参考图3的步骤304和步骤305,图4的步骤405和步骤406,图5的步骤504和步骤505,图6的步骤605和步骤606。
本发明实施例提供一种网元,所述网元通过用户上报全球CA列表或者确定的CA,本地MME根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书,或者确定的CA的交叉证书,所述本地MME将获取的交叉证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地网元的交叉证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
实施例九
参考图30,图30是本发明实施例九提供的一种网元的装置结构图,如图29所示,所述网元包括如下单元:
第二接收单元3001,所述本地CBE接收所述本地核心网实体下发的全球认证授权中心CA列表或者确定的CA信息;
可优选的,所述本地CBE接收所述本地核心网实体转发的全球CA列表,所述核心网实体将全球CA列表直接转发给本地CBE。具体参考图8的步骤801和步骤802和图9的步骤901和步骤902。
本说明书中核心网实体均以LTE网络中的MME为例进行说明。
可优选的,所述MME从所述全球CA列表中选取任意一个CA,并将所述选取的任意一个CA下发给本地CBE。具体参考图10的步骤1001和步骤1002和图11的步骤1101和步骤1102。
可优选的,所述本地CBE接收所述本地MME转发的确定的CA信息。具体参考图12的步骤1201和步骤和图13的步骤1301和步骤1302。
第二获取单元3002,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则所述本地CBE获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
可优选的,当本地CBE获取的是所述全球CA列表,并且当所述本地CBE存储所述全球CA列表中任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书。具体参考图8的步骤803。
可优选的,当本地CBE获取的是所述全球CA列表,并且当所述本地CBE未存储所述全球CA列表中任意一个CA的隐式证书时,则所述本地CBE从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书。具体参考图9的步骤903和步骤904。
可优选的,当本地CBE获取的是所述MME从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE存储所述MME选取的任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书。具体参考图10的步骤1003。
可优选的,当本地CBE获取的是所述MME从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE未存储所述MME选取的任意一个CA的隐式证书时,则所述本地CBE中获取所述任意一个CA的交叉证书。具体参考图11的步骤1103和步骤1104。
可优选的,当所述本地CBE接收所述本地MME转发的确定的CA信息,并且当本地CBE存储所述确定的CA的隐式证书时,则直接从本地CBE中获取所述确定的CA的隐式证书。具体参考图12的步骤1203。
可优选的,当所述本地CBE接收所述本地MME转发的确定的CA信息,且当本地CBE未存储所述确定的CA的隐式证书时,则获取所述确定的CA的交叉证书。具体参考图13的步骤1303和步骤1304。
第二上发单元3003,用于所述本地CBE将获取的交叉证书或者隐式证书,或者所述CBE将获取的交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
可优选的,所述本地CBE将获取的交叉证书或者隐式证书下发给用户,具体参考图8的步骤804、图9的步骤905、图10的步骤1004、图11的步骤1105、图12的步骤1204、图13的步骤1305。
可优选的,所述本地CBE将获取的交叉证书的信息或者隐式证书下发给用户,具体参考图8的步骤804、图9的步骤905、图10的步骤1004、图11的步骤1105、图12的步骤1204、图13的步骤1305。
实施例中,CBE可以获得由CBC从所述全球CA列表中选取的任意一个CA,具体方法类似。
进一步,所述网元还包括第二上发单元3004:
所述CBE将获取的交叉证书或者隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或者所述隐式证书,或者所述交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,或者使得用户根据所述隐式证书计算所述本地CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。具体参考图8的步骤805和步骤806,图9的步骤906和步骤907,图10的步骤1005和步骤1006,图11的步骤1106和步骤1107,图12的步骤1205和步骤1206,图13的步骤1306和步骤1307。
本发明实施例提供一种网元,所述网元通过用户上报全球CA列表或者确定的CA,本地CBE根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书或隐式证书,或者确定的CA的交叉证书或隐式证书,所述本地CBE将获取的交叉证书或隐式证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地CBE的交叉证书或隐式证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
实施例十
参考图31,图31是本发明实施例十提供的一种网元的装置结构图,如图30所示,所述网元包括如下单元:
第三接收单元3101,所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息;
本说明书中核心网实体均以LTE网络中的MME为例进行说明。
可优选的,所述本地MME接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE将所述全球CA列表转发给所述本地CA。具体参考图15的步骤1501和步骤1502和步骤1503,和图16的步骤1601和步骤1602和步骤1603。
可优选的,所述本地MME接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE从所述全球CA列表中选取任意一个CA,并将选取的任意一个CA上报给所述本地CA。具体参考17的步骤1701和步骤1702和步骤1703,和图18的步骤1801和步骤1802和步骤1803。
可优选的,所述本地MME接收用户上报的所述全球CA列表,由所述本地MME从所述全球CA列表中选取任意一个CA,并将所述本地MME选取的任意一个CA上报给本地CBE,由所述本地CBE将所述本地MME选取的任意一个CA上报转发给所述本地CA。具体参考图19的步骤1901和步骤1902和步骤1903,和图20的步骤2001和步骤2002和步骤2003。
可优选的,所述本地MME接收用户上报的所述确定的CA信息,所述MME将所述确定的CA信息转发给所述本地CBE,并由所述本地CBE将所述确定的CA信息转发给所述本地CA。具体参考21的步骤2101和步骤2102和步骤2103,和图22的步骤步骤2201和步骤2202和步骤2203。
第三获取单元3102,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则所述CA获取所述全球CA列表中任意一个CA的交叉证书;或者获取所述确定的CA的交叉证书;
可优选的,当本地CA获取的是所述全球CA列表,并且当所述本地CA存储所述全球CA列表中任意一个CA的交叉证书时,则直接从本地CA中获取所述任意一个CA的交叉证书。具体参考图15的步骤1504。
可优选的,当本地CA获取的是所述全球CA列表,并且当所述本地CA未存储所述全球CA列表中任意一个CA的交叉证书时,则所述本地CA从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书。具体参考图16的步骤1604和步骤1605。
可优选的,当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA存储所述任意选取的一个CA的交叉证书时,则直接从本地CA中获取所述任意选取的一个CA的交叉证书。具体参考图17的步骤1704。
可优选的,当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA未存储所述任意选取的一个CA的交叉证书时,则所述本地CA获取所述任意选取的一个CA的交叉证书。具体参考图18的步骤1804和步骤1805。
可优选的当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA存储所述本地CBE转发的任意一个CA时,所述本地CA直接从本地CA获取所述本地CBE转发的任意一个CA的交叉证书。具体参考图19的步骤1904。
可优选的当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA未存储所述本地CBE转发的任意一个CA时,所述本地CA获取所述本地CBE转发的任意一个CA的交叉证书。具体参考图20的步骤2004和步骤2005。
可优选的,当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA存储所述确定的CA的交叉证书时,则直接从本地CA中获取所述确定的CA的交叉证书。具体参考图21的步骤2104。
可优选的,当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA未存储所述确定的CA的交叉证书,则获取所述确定的CA的交叉证书。具体参考图22的步骤2204和步骤2205。
第七下发单元3103,所述本地CA将获取的交叉证书,或者所述本地CA将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
可优选的,所述本地CA将获取的交叉证书下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的PWS消息。具体参考图15的步骤1505,图16的步骤1606,图17的步骤1705,图18的步骤1806,图19的步骤1905,图20的步骤2006,图21的步骤2105,图22的步骤2206。
可优选的,所述本地CA将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的PWS消息。具体参考图15的步骤1505,图16的步骤1606,图17的步骤1705,图18的步骤1806,图19的步骤1905,图20的步骤2006,图21的步骤2105,图22的步骤2206。
进一步,所述网元还包括第三上发单元3104:
所述CA将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。具体参考图15的步骤1506和步骤1507,图16的步骤1607和步骤1607,图17的步骤1706和步骤1707,图18的步骤1807和步骤1808,图19的步骤1906和步骤1907,图20的步骤2007和步骤2008,图21的步骤2106和步骤2107,图22的步骤2207和步骤2208。
本发明实施例提供一种网元,所述网元通过用户上报全球CA列表或者确定的CA,本地CA根据所述全球列表或者确定的CA,获取所述全球CA列表中任意一个CA的交叉证书,或者确定的CA的交叉证书,所述本地CA将获取的交叉证书下发给用户,使得用户计算出本地CBE的公钥,使得用户漫游到运营商部署的CA列表外时,可通过CA列表内的任意一个CA下发给本地CBE的交叉证书或隐式证书,计算出本地网元CBE的公钥,从而达到验证本地CBE下发给用户的PWS消息的目的。
实施例十一
参考图32,图32是本发明实施例十一提供的一种网元的装置结构图。如图31所示,所述网元包括如下单元:
第四下发单元3201,用于判断本地网元是否存储本地CBE的公钥和/或本地CA的公钥;若是,则将所述本地CBE的公钥和/或本地CA的公钥下发给用户。
具体参考图24、图25、图26的方法示意图。如图24、图25、图26是本发明实施例五提供的一种获取公钥的方法示意图。
本说明书中核心网实体均以LTE网络中的MME为例进行说明。
第六下发单元3202,如图25所示,用于本地CBE判断本地CBE是否保存本地CBE的公钥和/或本地CA的公钥;若是,则本地CBE下发本地CBE保存的CA的公钥和/或CBE的公钥。
第八下发单元3203,如图26所示,用于本地CA判断本地CA是否保存本地CA的公钥或者本地CBE的公钥;若保存,则本地CA下发本地CA保存的CA的公钥和/或CBE的公钥。
本发明实施例提供一种网元,所述网元通过获取本地网元存储的本地CA的公钥或者本地CBE的公钥,并将所述获取的CA的公钥或者本地CBE的公钥下发给用户,使得用户根据所述CA的公钥或者本地CBE的公钥验证本地CBE下发的隐式证书。
实施例十二
参考图33,图33是本发明实施例十二提供的一种终端设备的装置结构图。如图33所示,所述终端设备包括如下单元:
信息上报单元3301,用于用户将全球CA列表或者确定的CA信息上报给所述网元;
本单元中,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSC或SGSN,或者是CBC节点。
接收验证单元3302,用于所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书计算出CBE的公钥,并根据所述计算的CBE的公钥对本地CBE下发给用户的PWS消息进行验证。
可优选的,通过第一接收验证单元3303,所述用户接收所述网元下发的交叉证书,或者所述交叉证书的信息,根据所述交叉证书和所述交叉证书对应的全球CA中的一个CA的公钥计算本地CA的公钥,根据计算得到的所述本地CA的公钥根据本地CBE下发的PWS消息中的隐式证书计算出本地CBE的公钥,根据所述本地CBE的公钥验证所述PWS消息的签名。
可优选的,通过第二接收验证单元3304,所述用户接收所述网元下发的隐式证书,或者所述隐式证书的信息,根据所述隐式证书和所述隐式证书对应的全球CA中的一个CA的公钥计算本地CBE的公钥,所述用户根据计算出的所述本地CBE的公钥验证所述本地CBE下发的PWS消息的签名。
进一步,所述终端设备还包括第三接收验证单元3305,用于:
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥或者本地CA公钥对本地CBE下发的PWS消息进行验证具体为:
当所述用户接收所述网元下发的本地CBE公钥时,直接根据所述本地CBE公钥验证本地CBE下发的PWS消息;
当所述用户接收所述网元下发的本地CA公钥时,根据所述本地CA公钥和所述本地CBE下发的PWS消息中的隐式证书计算本地CBE的公钥,根据计算出的所述本地CBE的公钥对本地CBE下发的PWS消息进行验证。
本发明实施例提供的一种终端设备,所述终端设备通过用户获取本地网元下发的交叉证书或者隐式证书,根据所述交叉证书或隐式证书计算本地CA的公钥或者本地CBE的公钥,并根据计算出的本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的PWS消息。
实施例十三
参考图34,图34是本发明实施例十三提供的一种网元的装置结构图。参考图34,图34是本发明实施例提供的一种网元3400,本发明具体实施例并不对所述网络设备的具体实现做限定。所述设备3400包括:
处理器(processor)3401,通信接口(Communications Interface)3402,存储器(memory)3403,总线3404。
处理器3401,通信接口3402,存储器3403通过总线3404完成相互间的通信。
通信接口3402,用于与其他网元进行通信;
处理器3401,用于执行程序A。
具体地,程序A可以包括程序代码,所述程序代码包括计算机操作指令。
处理器3401可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器3403,用于存放程序A。存储器3303可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory)。程序A具体可以包括:
接收单元2801,用于网元接收用户上报的全球认证授权中心CA列表或确定的CA信息;
获取单元2802,用于当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
第一下发单元2803,用于所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息;
上发单元2804,用于:所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述应用服务器将所述交叉证书的或隐式证书的信息下发给用户,使得用户到对应的下载服务器下载交叉证书或隐式证书,并根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息;
第二下发单元2805,用于当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息;
或者程序A具体可以包括:
第一接收单元2901,用于所述本地核心网实体接收用户上报的全球认证授权中心CA列表或者确定的CA信息;
第一获取单元2902,用于当本地CA不在所述全球CA列表中或者不是确定的CA时,则所述本地核心网实体获取所述全球CA列表中任意一个CA的交叉证书或者确定的CA的交叉证书;
第三下发单元2903,用于所述本地核心网实体将获取的交叉证书,或者所述本地核心网实体将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证所述本地CBE下发给用户的PWS消息;
第一上发单元2904,用于所述核心网实体将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户获得所述交叉证书并根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息;
或者程序A具体可以包括:
第二接收单元3001,所述本地CBE接收所述本地核心网实体下发的全球认证授权中心CA列表或者确定的CA信息;
第二获取单元3002,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则所述本地CBE获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
第五下发单元3003,用于所述本地CBE将获取的交叉证书或者隐式证书,或者所述CBE将获取的交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息;
第二上发单元3004,所述CBE将获取的交叉证书或者隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或者所述隐式证书,或者所述交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,或者使得用户根据所述隐式证书计算所述本地CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息;
或者程序A具体可以包括:
第三接收单元3101,所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息;
第三获取单元3102,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则所述CA获取所述全球CA列表中任意一个CA的交叉证书;或者获取所述确定的CA的交叉证书;
第七下发单元3103,所述本地CA将获取的交叉证书,或者所述本地CA将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的公共报警系统PWS消息;
第三上发单元3104,所述CA将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息;
或者程序A具体包括:
第四下发单元3201,用于判断本地网元是否存储本地CBE的公钥和/或本地CA的公钥;若是,则将所述本地CBE的公钥和/或本地CA的公钥下发给用户。
或者程序A具体包括:
第六下发单元3202,用于本地CBE判断本地CBE是否保存本地CBE的公钥和/或本地CA的公钥;若是,则本地CBE下发本地CBE保存的CA的公钥和/或CBE的公钥。
或者程序A具体包括:
第八下发单元3203,用于本地CA判断本地CA是否保存本地CA的公钥或者本地CBE的公钥;若保存,则本地CA下发本地CA保存的CA的公钥和/或CBE的公钥。
程序A中各单元的具体实现参见图28或图29或图30或图31或图32所示实施例中的相应单元,在此不赘述。
实施例十四
参考图35,图35是本发明实施例十四提供的一种终端设备的装置结构图。参考图35,图35是本发明实施例提供的一种终端设备3500,本发明具体实施例并不对所述网络设备的具体实现做限定。所述设备3500包括:
处理器(processor)3501,通信接口(Communications Interface)3502,存储器(memory)3503,总线3504。
处理器3501,通信接口3502,存储器3503通过总线3504完成相互间的通信。
通信接口3502,用于与其他网元进行通信;
处理器3501,用于执行程序A。
具体地,程序A可以包括程序代码,所述程序代码包括计算机操作指令。
处理器3501可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器3503,用于存放程序A。存储器3503可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory)。程序A具体可以包括:
信息上报单元3301,用于用户将全球CA列表或者确定的CA信息上报给所述网元;
接收验证单元3302,用于所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书计算出CBE的公钥,并根据所述计算的CBE的公钥对本地CBE下发给用户的PWS消息进行验证。
第三接收验证单元3305,用于所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
程序A中各单元的具体实现参见图33所示实施例中的相应单元,在此不赘述。
以上所述仅为本发明的优选实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明要求包含范围之内。
Claims (92)
1.一种获取公钥的方法,所述方法包括:
网元接收用户上报的全球认证授权中心CA列表或确定的CA信息;
当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息;
所述方法还包括:
所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息。
3.根据权利要求2所述的方法,其特征在于,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSG或SGSN。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述网元接收用户上报的全球认证授权中心CA列表或确定的CA信息具体为:
所述本地核心网节点接收用户上报的全球认证授权中心CA列表或者确定的CA信息。
5.根据权利要求4所述的方法,其特征在于,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书具体为:
所述本地核心网节点接收用户上报的全球CA列表,当本地CA不在所述全球CA列表中时,当所述本地核心网节点中存储所述全球CA列表中任意一个CA的交叉证书时,则直接获取所述本地核心网节点存储的所述任意一个CA的交叉证书;
或者当所述本地核心网节点中未存储所述全球CA列表中任意一个CA的交叉证书时,则从所述全球CA列表中选取任意一个CA,所述本地核心网节点获取所述选取的任意一个CA的交叉证书;
或者所述本地核心网节点接收用户上报的确定的CA信息,当所述本地核心网节点存储所述确定的CA的交叉证书时,则直接获取所述本地核心网节点存储的所述确定的CA的交叉证书;
或者当所述本地核心网节点没有存储所述确定的CA的交叉证书时,则从所述确定的CA中获取所述确定的CA的交叉证书。
6.根据权利要求4所述的方法,其特征在于,所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息具体为:
所述本地核心网节点将获取的交叉证书,或者所述本地核心网节点将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地的公钥验证所述本地CBE下发给用户的PWS消息。
7.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述本地核心网节点将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
当所述本地核心网节点存储本地CBE和/或本地CA的公钥时,直接将所述本地CBE和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
9.根据权利要求1至3任一项所述的方法,其特征在于,所述网元接收用户上报的全球认证授权中心CA列表或确定的CA信息具体为:
所述本地CBE接收所述本地核心网节点下发的全球认证授权中心CA列表或者确定的CA信息。
10.根据权利要求9所述的方法,其特征在于,所述本地CBE接收所述本地核心网节点下发的全球认证授权中心CA列表或者确定的CA信息具体为:
所述本地CBE接收所述本地核心网节点转发的全球CA列表,所述核心网节点将全球CA列表直接转发给本地CBE;
或者所述核心网节点从所述全球CA列表中选取任意一个CA,并将所述选取的任意一个CA下发给本地CBE;
或者所述本地CBE接收所述本地核心网节点转发的确定的CA信息。
11.根据权利要求10所述的方法,其特征在于,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书具体为:
当本地CBE获取的是所述全球CA列表,并且当所述本地CBE存储所述全球CA列表中任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书;
或者当本地CBE获取的是所述全球CA列表,并且当所述本地CBE未存储所述全球CA列表中任意一个CA的隐式证书时,则所述本地CBE从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书;
或者当本地CBE获取的是所述核心网节点从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE存储所述核心网节点选取的任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书;
或者当本地CBE获取的是所述核心网节点从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE未存储所述核心网节点选取的任意一个CA的隐式证书时,则所述本地CBE中获取所述任意一个CA的交叉证书;
或者当所述本地CBE接收所述本地核心网节点转发的确定的CA信息,并且当本地CBE存储所述确定的CA的隐式证书时,则直接从本地CBE中获取所述确定的CA的隐式证书;
或者当所述本地CBE接收所述本地核心网节点转发的确定的CA信息,且当本地CBE未存储所述确定的CA的隐式证书时,则获取所述确定的CA的交叉证书。
12.根据权利要求9所述的方法,其特征在于,所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息具体为:
所述本地CBE将获取的交叉证书或者隐式证书,或者所述CBE将获取的交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
13.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述本地CBE将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
当所述本地CBE中存储本地CBE的公钥和/或本地CA的公钥时,则直接将所述本地CBE的公钥和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
15.根据权利要求1至3中任一项所述的方法,其特征在于,所述网元接收用户上报的全球认证授权中心CA列表或确定的CA信息具体为:
所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息。
16.根据权利要求15所述的方法,其特征在于,所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息具体为:
所述本地核心网节点接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE将所述全球CA列表转发给所述本地CA。
17.根据权利要求16所述的方法,其特征在于,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书具体为:
当本地CA获取的是所述全球CA列表,并且当所述本地CA存储所述全球CA列表中任意一个CA的交叉证书时,则直接从本地CA中获取所述任意一个CA的交叉证书;
或者当本地CA获取的是所述全球CA列表,并且当所述本地CA未存储所述全球CA列表中任意一个CA的交叉证书时,则所述本地CA从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书。
18.根据权利要求15所述的方法,其特征在于,所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息具体为:
所述本地核心网节点接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE从所述全球CA列表中选取任意一个CA,并将选取的任意一个CA上报给所述本地CA。
19.根据权利要求18所述的方法,其特征在于,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书具体为:
当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA存储所述任意选取的一个CA的交叉证书时,则直接从本地CA中获取所述任意选取的一个CA的交叉证书;
或者当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA未存储所述任意选取的一个CA的交叉证书时,则所述本地CA获取所述任意选取的一个CA的交叉证书。
20.根据权利要求15所述的方法,其特征在于,所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息具体为:
所述本地核心网节点接收用户上报的所述全球CA列表,由所述本地核心网节点从所述全球CA列表中选取任意一个CA,并将所述本地核心网节点选取的任意一个CA上报给本地CBE,由所述本地CBE将所述本地核心网节点选取的任意一个CA上报转发给所述本地CA。
21.根据权利要求20所述的方法,其特征在于,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书具体为:
当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA存储所述本地CBE转发的任意一个CA时,所述本地CA直接从本地CA获取所述本地CBE转发的任意一个CA的交叉证书;
当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA未存储所述本地CBE转发的任意一个CA时,所述本地CA获取所述本地CBE转发的任意一个CA的交叉证书。
22.根据权利要求15所述的方法,其特征在于,所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息具体为:
所述本地核心网节点接收用户上报的所述确定的CA信息,所述核心网节点将所述确定的CA信息转发给所述本地CBE,并由所述本地CBE将所述确定的CA信息转发给所述本地CA。
23.根据权利要求22所述的方法,其特征在于,所述当本地CA不在所述CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书具体为:
当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA存储所述确定的CA的交叉证书时,则直接从本地CA中获取所述确定的CA的交叉证书;
当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA未存储所述确定的CA的交叉证书,则获取所述确定的CA的交叉证书。
24.根据权利要求16至23任一项所述的方法,其特征在于,所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息具体为:
所述本地CA将获取的交叉证书,或者所述本地CA将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
25.根据权利要求16至23任一项所述的方法,其特征在于,所述方法还包括:
所述本地CA将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。
26.根据权利要求25所述的方法,其特征在于,所述方法还包括:
当所述本地CA中存储本地CBE的公钥和/或本地CA的公钥时,则直接将所述本地CBE的公钥和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
27.一种获取公钥的方法,所述方法包括:
用户将全球CA列表或者确定的CA信息上报给网元;
所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证;
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
28.根据权利要求27所述的方法,其特征在于,所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证具体为:
所述用户接收所述网元下发的交叉证书,或者所述交叉证书的信息,根据所述交叉证书和所述交叉证书对应的全球CA中的一个CA的公钥计算本地CA的公钥,根据计算得到的所述本地CA的公钥根据本地CBE下发的PWS消息中的隐式证书计算出本地CBE的公钥,根据所述本地CBE的公钥验证所述PWS消息的签名。
29.根据权利要求27所述的方法,其特征在于,所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证具体为:
所述用户接收所述网元下发的隐式证书,或者所述隐式证书的信息,根据所述隐式证书和所述隐式证书对应的全球CA中的一个CA的公钥计算本地CBE的公钥,所述用户根据计算出的所述本地CBE的公钥验证所述本地CBE下发的PWS消息的签名。
30.根据权利要求27所述的方法,其特征在于,所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥或者本地CA公钥对本地CBE下发的PWS消息进行验证具体为:
当所述用户接收所述网元下发的本地CBE公钥时,直接根据所述本地CBE公钥验证本地CBE下发的PWS消息;
或者当所述用户接收所述网元下发的本地CA公钥时,根据所述本地CA公钥和所述本地CBE下发的PWS消息中的隐式证书计算本地CBE的公钥,根据计算出的所述本地CBE的公钥对本地CBE下发的PWS消息进行验证。
31.一种网元,所述网元包括:
接收单元,用于接收用户上报的全球认证授权中心CA列表或确定的CA信息;
获取单元,用于当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
第一下发单元,用于所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息;
所述网元还包括上发单元,所述上发单元包括:
所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
32.根据权利要求31所述的网元,其特征在于,所述网元还包括第二下发单元,所述第二下单元包括:
当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息。
33.根据权利要求32所述的网元,其特征在于,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSG或SGSN。
34.根据权利要求30至33任一项所述的网元,其特征在于,所述接收单元包括第一接收单元,所述第一接收单元包括:
所述本地核心网节点接收用户上报的全球认证授权中心CA列表或者确定的CA信息。
35.根据权利要求34所述的网元,其特征在于,所述获取单元包括第一获取单元,所述第一获取单元包括:
所述本地核心网节点接收用户上报的全球CA列表,当本地CA不在所述全球CA列表中时,当所述本地核心网节点中存储所述全球CA列表中任意一个CA的交叉证书时,则直接获取所述本地核心网节点存储的所述任意一个CA的交叉证书;
或者当所述本地核心网节点中未存储所述全球CA列表中任意一个CA的交叉证书时,则从所述全球CA列表中选取任意一个CA,所述本地核心网节点获取所述选取的任意一个CA的交叉证书;
或者所述本地核心网节点接收用户上报的确定的CA信息,当所述本地核心网节点存储所述确定的CA的交叉证书时,则直接获取所述本地核心网节点存储的所述确定的CA的交叉证书;
或者当所述本地核心网节点没有存储所述确定的CA的交叉证书时,则从所述确定的CA中获取所述确定的CA的交叉证书。
36.根据权利要求34所述的网元,其特征在于,所述第一下发单元包括第三下发单元,所述第三下发单元包括:
所述本地核心网节点将获取的交叉证书,或者所述本地核心网节点将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地的公钥验证所述本地CBE下发给用户的PWS消息。
37.根据权利要求34所述的网元,其特征在于,所述上发单元包括第一上发单元,所述第一上发单元包括:
所述本地核心网节点将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。
38.根据权利要求37所述的网元,其特征在于,所述第二下发单元包括第四下发单元,所述第四下发单元包括:
当所述本地核心网节点存储本地CBE和/或本地CA的公钥时,直接将所述本地CBE和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
39.根据权利要求30至33任一项所述的网元,其特征在于,所述接收单元包括第二接收单元,所述第二接收单元包括:
所述本地CBE接收所述本地核心网节点下发的全球认证授权中心CA列表或者确定的CA信息。
40.根据权利要求39所述的网元,其特征在于,所述第二接收单元包括:
所述本地CBE接收所述本地核心网节点转发的全球CA列表,所述核心网节点将全球CA列表直接转发给本地CBE;
或者所述核心网节点从所述全球CA列表中选取任意一个CA,并将所述选取的任意一个CA下发给本地CBE;
或者所述本地CBE接收所述本地核心网节点转发的确定的CA信息。
41.根据权利要求40所述的网元,其特征在于,所述获取单元包括第二获取单元,所述第二获取单元包括:
当本地CBE获取的是所述全球CA列表,并且当所述本地CBE存储所述全球CA列表中任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书;
或者当本地CBE获取的是所述全球CA列表,并且当所述本地CBE未存储所述全球CA列表中任意一个CA的隐式证书时,则所述本地CBE从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书;
或者当本地CBE获取的是所述核心网节点从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE存储所述核心网节点选取的任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书;
或者当本地CBE获取的是所述核心网节点从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE未存储所述核心网节点选取的任意一个CA的隐式证书时,则所述本地CBE中获取所述任意一个CA的交叉证书;
或者当所述本地CBE接收所述本地核心网节点转发的确定的CA信息,并且当本地CBE存储所述确定的CA的隐式证书时,则直接从本地CBE中获取所述确定的CA的隐式证书;
或者当所述本地CBE接收所述本地核心网节点转发的确定的CA信息,且当本地CBE未存储所述确定的CA的隐式证书时,则获取所述确定的CA的交叉证书。
42.根据权利要求39所述的网元,其特征在于,所述第一下发单元包括第五下发单元,所述第五下发单元包括:
所述本地CBE将获取的交叉证书或者隐式证书,或者所述CBE将获取的交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
43.根据权利要求39所述的网元,其特征在于,所述上发单元包括第二上发单元,所述第二上发单元包括:
所述本地CBE将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
44.根据权利要求43所述的网元,其特征在于,所述第二下发单元还包括第六下发单元,所述第六下发单元包括:
当所述本地CBE中存储本地CBE的公钥和/或本地CA的公钥时,则直接将所述本地CBE的公钥和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
45.根据权利要求30至33中任一项所述的网元,其特征在于,所述接收单元包括第三接收单元,所述第三接收单元包括:
所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息。
46.根据权利要求45所述的网元,其特征在于,所述接收单元包括第三接收单元,所述第三接收单元包括:
所述本地核心网节点接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE将所述全球CA列表转发给所述本地CA。
47.根据权利要求46所述的网元,其特征在于,所述获取单元包括第三获取单元,所述第三获取单元包括:
当本地CA获取的是所述全球CA列表,并且当所述本地CA存储所述全球CA列表中任意一个CA的交叉证书时,则直接从本地CA中获取所述任意一个CA的交叉证书;
或者当本地CA获取的是所述全球CA列表,并且当所述本地CA未存储所述全球CA列表中任意一个CA的交叉证书时,则所述本地CA从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书。
48.根据权利要求45所述的网元,其特征在于,所述第三接收单元,包括:
所述本地核心网节点接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE从所述全球CA列表中选取任意一个CA,并将选取的任意一个CA上报给所述本地CA。
49.根据权利要求47所述的网元,其特征在于,所述第三获取单元,包括;
当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA存储所述任意选取的一个CA的交叉证书时,则直接从本地CA中获取所述任意选取的一个CA的交叉证书;
或者当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA未存储所述任意选取的一个CA的交叉证书时,则所述本地CA获取所述任意选取的一个CA的交叉证书。
50.根据权利要求45所述的网元,其特征在于,所述第三接收单元,包括:
所述本地核心网节点接收用户上报的所述全球CA列表,由所述本地核心网节点从所述全球CA列表中选取任意一个CA,并将所述本地核心网节点选取的任意一个CA上报给本地CBE,由所述本地CBE将所述本地核心网节点选取的任意一个CA上报转发给所述本地CA。
51.根据权利要求47所述的网元,其特征在于,所述第三获取单元,包括:
当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA存储所述本地CBE转发的任意一个CA时,所述本地CA直接从本地CA获取所述本地CBE转发的任意一个CA的交叉证书;
当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA未存储所述本地CBE转发的任意一个CA时,所述本地CA获取所述本地CBE转发的任意一个CA的交叉证书。
52.根据权利要求45所述的网元,其特征在于,所述第三接收单元,包括:
所述本地核心网节点接收用户上报的所述确定的CA信息,所述核心网节点将所述确定的CA信息转发给所述本地CBE,并由所述本地CBE将所述确定的CA信息转发给所述本地CA。
53.根据权利要求47所述的网元,其特征在于,所述第三获取单元,包括:
当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA存储所述确定的CA的交叉证书时,则直接从本地CA中获取所述确定的CA的交叉证书;
当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA未存储所述确定的CA的交叉证书,则获取所述确定的CA的交叉证书。
54.根据权利要求46至53任一项所述的网元,其特征在于,所述第一下发单元包括第七下发单元,所述第七下发单元包括:
所述本地CA将获取的交叉证书,或者所述本地CA将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
55.根据权利要求46至53任一项所述的网元,其特征在于,所述上发单元包括第三上发单元,所述第三上发单元包括:
所述本地CA将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。
56.根据权利要求55所述的网元,其特征在于,所述第二下发单元还包括第八下发单元,所述第八下发单元包括:
当所述本地CA中存储本地CBE的公钥和/或本地CA的公钥时,则直接将所述本地CBE的公钥和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
57.一种终端设备,所述终端设备包括:
信息上发单元,用于用户将全球CA列表或者确定的CA信息上报给网元;
接收验证单元,用于所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证;
所述终端设备还包括第三接收验证单元,所述第三接收验证单元包括:
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
58.根据权利要求57所述的终端设备,其特征在于,所述接收验证单元包括第一接收验证单元,所述第一接收验证单元包括:
所述用户接收所述网元下发的交叉证书,或者所述交叉证书的信息,根据所述交叉证书和所述交叉证书对应的全球CA中的一个CA的公钥计算本地CA的公钥,根据计算得到的所述本地CA的公钥根据本地CBE下发的PWS消息中的隐式证书计算出本地CBE的公钥,根据所述本地CBE的公钥验证所述PWS消息的签名。
59.根据权利要求57所述的终端设备,其特征在于,所述接收验证单元包括第二接收验证单元,所述第二接收验证单元包括:
所述用户接收所述网元下发的隐式证书,或者所述隐式证书的信息,根据所述隐式证书和所述隐式证书对应的全球CA中的一个CA的公钥计算本地CBE的公钥,所述用户根据计算出的所述本地CBE的公钥验证所述本地CBE下发的PWS消息的签名。
60.根据权利要求57所述的终端设备,其特征在于,所述第三接收验证单元包括:
当所述用户接收所述网元下发的本地CBE公钥时,直接根据所述本地CBE公钥验证本地CBE下发的PWS消息;
或者当所述用户接收所述网元下发的本地CA公钥时,根据所述本地CA公钥和所述本地CBE下发的PWS消息中的隐式证书计算本地CBE的公钥,根据计算出的所述本地CBE的公钥对本地CBE下发的PWS消息进行验证。
61.一种网元,所述网元包括:
接收单元,用于接收用户上报的全球认证授权中心CA列表或确定的CA信息;
获取单元,用于当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;
第一下发单元,用于所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息;
所述网元包括处理器,通信接口,存储器和总线;
其中处理器、通信接口、存储器通过总线完成相互间的通信;
所述通信接口,用于与其他王宇设备进行通信;
所述处理器,用于执行程序;
所述存储器,用于存放程序;
其中程序用于接收用户上报的全球认证授权中心CA列表或确定的CA信息;当本地CA不在所述全球CA列表或本地CA不是所述确定的CA时,则获取所述全球CA列表中任意一个CA的交叉证书或隐式证书;或者获取所述确定的CA的交叉证书或隐式证书;所述网元将获取的交叉证书或隐式证书,或者所述网元将获取的交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
62.根据权利要求61所述的网元,其特征在于,所述网元还包括上发单元,所述上发单元包括:
所述网元将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
63.根据权利要求61所述的网元,其特征在于,所述网元还包括第二下发单元,所述第二下单元包括:
当所述网元存储本地CBE的公钥或者本地CA的公钥时,则所述网元直接将所述本地CBE的公钥或者本地CA的公钥下发给用户,使得用户根据所述本地CBE的公钥或者本地CA的公钥验证本地CBE下发给用户的PWS消息。
64.根据权利要求63所述的网元,其特征在于,所述网元包括:
核心网节点,CBE,CA;
其中,核心网节点在LTE网络中所述网元实体是MME,在UMTS网络中所述网元实体是SGSN,在GSM或GPRS网络中所述网元实体是MSG或SGSN。
65.根据权利要求61至64任一项所述的网元,其特征在于,所述接收单元包括第一接收单元,所述第一接收单元包括:
所述本地核心网节点接收用户上报的全球认证授权中心CA列表或者确定的CA信息。
66.根据权利要求65所述的网元,其特征在于,所述获取单元包括第一获取单元,所述第一获取单元包括:
所述本地核心网节点接收用户上报的全球CA列表,当本地CA不在所述全球CA列表中时,当所述本地核心网节点中存储所述全球CA列表中任意一个CA的交叉证书时,则直接获取所述本地核心网节点存储的所述任意一个CA的交叉证书;
或者当所述本地核心网节点中未存储所述全球CA列表中任意一个CA的交叉证书时,则从所述全球CA列表中选取任意一个CA,所述本地核心网节点获取所述选取的任意一个CA的交叉证书;
或者所述本地核心网节点接收用户上报的确定的CA信息,当所述本地核心网节点存储所述确定的CA的交叉证书时,则直接获取所述本地核心网节点存储的所述确定的CA的交叉证书;
或者当所述本地核心网节点没有存储所述确定的CA的交叉证书时,则从所述确定的CA中获取所述确定的CA的交叉证书。
67.根据权利要求65所述的网元,其特征在于,所述第一下发单元包括第三下发单元,所述第三下发单元包括:
所述本地核心网节点将获取的交叉证书,或者所述本地核心网节点将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地的公钥验证所述本地CBE下发给用户的PWS消息。
68.根据权利要求65所述的网元,其特征在于,所述上发单元包括第一上发单元,所述第一上发单元包括:
所述本地核心网节点将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。
69.根据权利要求68所述的网元,其特征在于,所述第二下发单元还包括还包括第四下发单元,所述第四下发单元包括:
当所述本地核心网节点存储本地CBE和/或本地CA的公钥时,直接将所述本地CBE和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
70.根据权利要求61至64任一项所述网元,其特征在于,所述接收单元包括第二接收单元,所述第二接收单元包括:
所述本地CBE接收所述本地核心网节点下发的全球认证授权中心CA列表或者确定的CA信息。
71.根据权利要求70所述的网元,其特征在于,所述第二接收单元包括:
所述本地CBE接收所述本地核心网节点转发的全球CA列表,所述核心网节点将全球CA列表直接转发给本地CBE;
或者所述核心网节点从所述全球CA列表中选取任意一个CA,并将所述选取的任意一个CA下发给本地CBE;
或者所述本地CBE接收所述本地核心网节点转发的确定的CA信息。
72.根据权利要求71所述的网元,其特征在于,所述获取单元包括第二获取单元,所述第二获取单元包括:
当本地CBE获取的是所述全球CA列表,并且当所述本地CBE存储所述全球CA列表中任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书;
或者当本地CBE获取的是所述全球CA列表,并且当所述本地CBE未存储所述全球CA列表中任意一个CA的隐式证书时,则所述本地CBE从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书;
或者当本地CBE获取的是所述核心网节点从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE存储所述核心网节点选取的任意一个CA的隐式证书时,则直接从本地CBE中获取所述任意一个CA的隐式证书;
或者当本地CBE获取的是所述核心网节点从所述全球CA列表中选取的任意一个CA时,并且当所述本地CBE未存储所述核心网节点选取的任意一个CA的隐式证书时,则所述本地CBE中获取所述任意一个CA的交叉证书;
或者当所述本地CBE接收所述本地核心网节点转发的确定的CA信息,并且当本地CBE存储所述确定的CA的隐式证书时,则直接从本地CBE中获取所述确定的CA的隐式证书;
或者当所述本地CBE接收所述本地核心网节点转发的确定的CA信息,且当本地CBE未存储所述确定的CA的隐式证书时,则获取所述确定的CA的交叉证书。
73.根据权利要求70所述的网元,其特征在于,所述第一下发单元包括第五下发单元,所述第五下发单元包括:
所述本地CBE将获取的交叉证书或者隐式证书,或者所述CBE将获取的交叉证书的信息或者隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
74.根据权利要求70所述的网元,其特征在于,所述上发单元包括第二上发单元,所述第二上发单元包括:
所述本地CBE将获取的交叉证书或隐式证书上发给应用服务器,由所述应用服务器将所述交叉证书或隐式证书,或者所述交叉证书的信息或隐式证书的信息下发给用户,使得用户根据所述交叉证书或隐式证书计算所述本地CA的公钥或者本地小区广播实体CBE的公钥,并使得用户根据所述本地CA的公钥或者本地CBE的公钥验证本地CBE下发用户的公共报警系统PWS消息。
75.根据权利要求63所述的网元,其特征在于,所述第二下发单元还包括第六下发单元,所述第六下发单元包括:
当所述本地CBE中存储本地CBE的公钥和/或本地CA的公钥时,则直接将所述本地CBE的公钥和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
76.根据权利要求61至64中任一项所述的网元,其特征在于,所述接收单元包括第三接收单元,所述第三接收单元包括:
所述本地CA接收用户上报的全球认证授权中心CA列表或者确定的CA信息。
77.根据权利要求76所述的网元,其特征在于,所述接收单元包括第三接收单元,所述第三接收单元包括:
所述本地核心网节点接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE将所述全球CA列表转发给所述本地CA。
78.根据权利要求77所述的网元,其特征在于,所述获取单元包括第三获取单元,所述第三获取单元包括:
当本地CA获取的是所述全球CA列表,并且当所述本地CA存储所述全球CA列表中任意一个CA的交叉证书时,则直接从本地CA中获取所述任意一个CA的交叉证书;
或者当本地CA获取的是所述全球CA列表,并且当所述本地CA未存储所述全球CA列表中任意一个CA的交叉证书时,则所述本地CA从所述全球CA列表中选择任意一个CA,并获取所述选择的任意一个CA的交叉证书。
79.根据权利要求76所述的网元,其特征在于,所述第三接收单元,包括:
所述本地核心网节点接收用户上报的所述全球CA列表,将所述全球CA列表转发给所述本地CBE,由所述本地CBE从所述全球CA列表中选取任意一个CA,并将选取的任意一个CA上报给所述本地CA。
80.根据权利要求78所述的网元,其特征在于,所述第三获取单元,包括;
当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA存储所述任意选取的一个CA的交叉证书时,则直接从本地CA中获取所述任意选取的一个CA的交叉证书;
或者当本地CA获取的是所述本地CBE从所述全球CA列表中任意选取的一个CA时,并当本地CA未存储所述任意选取的一个CA的交叉证书时,则所述本地CA获取所述任意选取的一个CA的交叉证书。
81.根据权利要求76所述的网元,其特征在于,所述第三接收单元,包括:
所述本地核心网节点接收用户上报的所述全球CA列表,由所述本地核心网节点从所述全球CA列表中选取任意一个CA,并将所述本地核心网节点选取的任意一个CA上报给本地CBE,由所述本地CBE将所述本地核心网节点选取的任意一个CA上报转发给所述本地CA。
82.根据权利要求78所述的网元,其特征在于,所述第三获取单元,包括:
当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA存储所述本地CBE转发的任意一个CA时,所述本地CA直接从本地CA获取所述本地CBE转发的任意一个CA的交叉证书;
当所述本地CA接收所述本地CBE转发的任意一个CA时,并当本地CA未存储所述本地CBE转发的任意一个CA时,所述本地CA获取所述本地CBE转发的任意一个CA的交叉证书。
83.根据权利要求76所述的网元,其特征在于,所述第三接收单元,包括:
所述本地核心网节点接收用户上报的所述确定的CA信息,所述核心网节点将所述确定的CA信息转发给所述本地CBE,并由所述本地CBE将所述确定的CA信息转发给所述本地CA。
84.根据权利要求78所述的网元,其特征在于,所述第三获取单元,包括:
当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA存储所述确定的CA的交叉证书时,则直接从本地CA中获取所述确定的CA的交叉证书;
当本地CA接收由本地CBE转发的确定的CA信息时,并当本地CA未存储所述确定的CA的交叉证书,则获取所述确定的CA的交叉证书。
85.根据权利要求77至84任一项所述的网元,其特征在于,所述第一下发单元包括第七下发单元,所述第七下发单元包括:
所述本地CA将获取的交叉证书,或者所述本地CA将获取的交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发给用户的公共报警系统PWS消息。
86.根据权利要求77至84任一项所述的网元,其特征在于,所述上发单元包括第三上发单元,所述第三上发单元包括:
所述本地CA将获取的交叉证书上发给应用服务器,由所述应用服务器将所述交叉证书,或者所述交叉证书的信息下发给用户,使得用户根据所述交叉证书计算所述本地CA的公钥,并使得用户根据所述本地CA的公钥验证本地CBE下发用户的公共报警系统PWS消息。
87.根据权利要求86所述的网元,其特征在于,所述第二下发单元还包括第八下发单元,所述第八下发单元包括:
当所述本地CA中存储本地CBE的公钥和/或本地CA的公钥时,则直接将所述本地CBE的公钥和/或本地CA的公钥下发给用户,使得用户根据所述本地CBE和/或本地CA的公钥验证本地CBE下发给用户的PWS消息。
88.一种终端设备,所述终端设备包括:
信息上发单元,用于用户将全球CA列表或者确定的CA信息上报给网元;
接收验证单元,用于所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证。
89.根据权利要求88所述的终端设备,其特征在于,所述网元包括处理器,通信接口,存储器和总线;
其中处理器、通信接口、存储器通过总线完成相互间的通信;
所述通信接口,用于与其他网元进行通信;
所述处理器,用于执行程序;
所述存储器,用于存放程序;
其中程序用于用户将全球CA列表或者确定的CA信息上报给所述网元;所述用户接收所述网元下发的交叉证书或者隐式证书,或者交叉证书或隐式证书的信息,并根据所述交叉证书或者隐式证书对本地CBE下发给用户的PWS消息进行验证;
所述终端设备还包括第三接收验证单元,所述第三接收验证单元包括:
所述用户接收所述网元下发的本地CBE公钥和/或本地CA公钥,根据所述本地CBE公钥和/或本地CA公钥对本地CBE下发的PWS消息进行验证。
90.根据权利要求88所述的终端设备,其特征在于,所述接收验证单元包括第一接收验证单元,所述第一接收验证单元包括:
所述用户接收所述网元下发的交叉证书,或者所述交叉证书的信息,根据所述交叉证书和所述交叉证书对应的全球CA中的一个CA的公钥计算本地CA的公钥,根据计算得到的所述本地CA的公钥根据本地CBE下发的PWS消息中的隐式证书计算出本地CBE的公钥,根据所述本地CBE的公钥验证所述PWS消息的签名。
91.根据权利要求88所述的终端设备,其特征在于,所述接收验证单元包括第二接收验证单元,所述第二接收验证单元包括:
所述用户接收所述网元下发的隐式证书,或者所述隐式证书的信息,根据所述隐式证书和所述隐式证书对应的全球CA中的一个CA的公钥计算本地CBE的公钥,所述用户根据计算出的所述本地CBE的公钥验证所述本地CBE下发的PWS消息的签名。
92.根据权利要求89所述的终端设备,其特征在于,所述第三接收验证单元包括:
当所述用户接收所述网元下发的本地CBE公钥时,直接根据所述本地CBE公钥验证本地CBE下发的PWS消息;
或者当所述用户接收所述网元下发的本地CA公钥时,根据所述本地CA公钥和所述本地CBE下发的PWS消息中的隐式证书计算本地CBE的公钥,根据计算出的所述本地CBE的公钥对本地CBE下发的PWS消息进行验证。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2012/084291 WO2014071585A1 (zh) | 2012-11-08 | 2012-11-08 | 一种获取公钥的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103931214A CN103931214A (zh) | 2014-07-16 |
| CN103931214B true CN103931214B (zh) | 2018-06-15 |
Family
ID=50683924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280029860.7A Active CN103931214B (zh) | 2012-11-08 | 2012-11-08 | 一种获取公钥的方法及设备 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP2015535417A (zh) |
| CN (1) | CN103931214B (zh) |
| WO (1) | WO2014071585A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411528B (zh) * | 2016-10-17 | 2019-06-14 | 重庆邮电大学 | 一种基于隐式证书的轻量级认证密钥协商方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102440012A (zh) * | 2009-04-15 | 2012-05-02 | 华为技术有限公司 | 接收公共预警系统pws消息的方法、装置和系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0428596D0 (en) * | 2004-12-24 | 2005-08-10 | Qinetiq Ltd | Public key infrastructures |
| CN102869007B (zh) * | 2007-02-05 | 2015-12-09 | 华为技术有限公司 | 安全算法协商的方法、装置及网络系统 |
| EP2179534A4 (en) * | 2007-07-17 | 2011-07-27 | Certicom Corp | METHOD AND SYSTEM FOR GENERATING IMPLIED CERTIFICATES AND ENCRYPTION-BASED ENCRYPTION APPLICATIONS |
| CN101645877A (zh) * | 2008-08-07 | 2010-02-10 | 华为技术有限公司 | 密钥衍生函数的协商方法、系统及网络节点 |
| EP3079300B1 (en) * | 2009-05-05 | 2018-09-05 | Certicom Corp. | Self-signed implicit certificates |
| JP5448892B2 (ja) * | 2010-02-03 | 2014-03-19 | 三菱電機株式会社 | 証明書検証システム、経路制約情報生成装置、証明書検証装置および証明書検証方法 |
| CN102611553A (zh) * | 2011-01-25 | 2012-07-25 | 华为技术有限公司 | 实现数字签名的方法、用户设备及核心网节点设备 |
| EP3787218A1 (en) * | 2011-02-11 | 2021-03-03 | BlackBerry Limited | Using a single certificate request to generate credentials with multiple ecqv certificates |
| WO2012145901A1 (en) * | 2011-04-27 | 2012-11-01 | Nokia Corporation | Method and apparatus for providing a public warning |
-
2012
- 2012-11-08 CN CN201280029860.7A patent/CN103931214B/zh active Active
- 2012-11-08 WO PCT/CN2012/084291 patent/WO2014071585A1/zh active Application Filing
- 2012-11-08 JP JP2015540982A patent/JP2015535417A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102440012A (zh) * | 2009-04-15 | 2012-05-02 | 华为技术有限公司 | 接收公共预警系统pws消息的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015535417A (ja) | 2015-12-10 |
| CN103931214A (zh) | 2014-07-16 |
| WO2014071585A1 (zh) | 2014-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2609922T3 (es) | Método y sistema para realizar bloqueo y desbloqueo en una red mediante un dispositivo terminal | |
| CN102143491B (zh) | 对mtc设备的认证方法、mtc网关及相关设备 | |
| CN103039053B (zh) | 用于使用单一注册过程的客户端组的安全注册的方法和设备 | |
| CN107071774B (zh) | 一种基于身份短群签名的vanet接入认证方法 | |
| CN103561073B (zh) | 位置信息提示方法及装置、系统 | |
| CN101946536B (zh) | 演进网络中的应用特定的主密钥选择 | |
| ES2237557T3 (es) | Metodo de comprobacion de la cantidad de datos transmitidos. | |
| CN103430478B (zh) | 用于在无线通信系统中加密短数据的方法和设备 | |
| CN107786548A (zh) | 充电管理方法及装置、服务器和计算机可读存储介质 | |
| CN103841547B (zh) | 一种下行数据传输方法、装置及系统 | |
| CN107079023A (zh) | 用于下一代蜂窝网络的用户面安全 | |
| CN101938740B (zh) | 一种地震海啸警报系统信息发布方法及系统 | |
| CN102843233A (zh) | 一种机器到机器通信中组认证的方法和系统 | |
| CN101378582A (zh) | 用户识别模块、鉴权中心、鉴权方法及系统 | |
| CN105704245A (zh) | 基于车联网的海量数据处理方法 | |
| CN109691154A (zh) | 基于密钥刷新的按需网络功能重新认证 | |
| CN104935439B (zh) | 实现数字签名的方法及设备 | |
| CN107360125A (zh) | 接入认证方法、无线接入点和用户终端 | |
| BRPI0619069A2 (pt) | sistema de radiodifusão de mensagem de serviço público, e, método de serviço de sistema de radiofusão de mensagem de serviço público homólogo para gerenciamento da submissão e da transmissão de uma mensagem de radiofusão para pelo menos um sistema de radiofusão de mensagem de serviço público | |
| CN105704160A (zh) | 车载数据实时计算方法 | |
| CN103931214B (zh) | 一种获取公钥的方法及设备 | |
| CA3156911A1 (en) | Wireless communication method for registration procedure | |
| CN111263361B (zh) | 基于区块链网络的连接认证方法、装置及微基站 | |
| CN104255044B (zh) | 一种消息验证的方法和终端 | |
| CN102821385B (zh) | 一种向终端发送公共警报系统密钥信息的方法和网络实体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |