公共警报系统及密钥发送、获取方法、安全连接建立方法技术领域
本发明涉及通信领域,具体而言,涉及一种无线通信系统中PWS(Public
Warning System,公共警报系统)密钥信息的发送、获取方法,PWS及其中
的小区广播中心(Cell Broadcast Center,简称CBC)和终端,以及CBC与终
端之间的安全连接建立方法。
背景技术
为了使用户能及时准确地接收到关于灾难和其它紧急情况的警报、警告
和关键信息,3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)
定义了PWS业务。在遭遇例如地震、海啸、飓风和野外火灾等灾难时,该业
务可以使得公众能采取合适的行动以保护他们自己及其家人不受重伤或死
亡,或遭受重大财产损失。
3GPP定义的不同的通信网络,如GSM(Global System of Mobile
communication,即全球移动通信系统)、UMTS(Universal Mobile
Telecommunications System,即通用移动通信系统)和LTE(Long Term
Evolution,即长期演进)均支持PWS业务,并规定PWS业务采用CBS(Cell
Broadcast Service,小区广播业务)来承载发送。其架构如图1所示,各网元
的功能如下说明:
小区广播实体(Cell Broadcast Entity,简称CBE):不属于3GPP定义的
通信网络。CBE负责对CBS(Cell Broadcast Service,小区广播业务)进行格
式化,包括将CBS消息划分到不同的页面。
小区广播中心(Cell Broadcast Center,简称CBC):属于核心网络的一
部分,可以与多个CBE相连。CBC负责CBS消息的管理,包括:确定CBS
消息开始广播的时间;确定CBS消息停止广播的时间,且指示每一个
BSC/RNC停止广播CBS消息;确定CBS消息被重复广播的时间间隔;确定
广播CBS消息的小区广播信道等。对于GSM网络来说,CBC与位于无线接
入网络的BSC(Base Station Controller,基站控制器)相连,接口是IuBC;对
于UMTS系统来说,CBC与位于无线接入网络的RNC(Radio Network
Controller,无线网络控制器)相连,通过接口是IuBC接口;对于LTE系统来
说,CBC与核心网的MME(Mobility Management Entity,移动性管理实体)
相连,接口是S1BC。CBC接收到CBE发送的警报信息后,进行配置和封装,
发送给受影响区域的BSC(GSM系统)、RNC(UMTS系统)(参考图3
中的蓝色线)和MME(LTE系统)(参考图4中的蓝色线),BSC/RNC/MME
再将其转发给基站(GSM系统为BTS、UMTS系统为NB,LTE系统为eNB),
由基站广播给用户。
目前定义的CBS业务均是在广播信道上发送的。而目前广播信道无任何
安全保护。攻击者可以篡改警报消息,或者接收到警报消息后,在另一个不
受影响的地区进行重放,从而在公众中造成不必要的恐慌和混乱。为了防止
这种情况的出现,3GPP决定对PWS进行安全保护,即通过使用数字签名字
段和时间戳的方法,引入签名算法和密钥管理方案。终端收到广播的警报消
息后,会首先对该消息进行认证,仅当认证成功通过,才确信其为一个有效
的警报消息。
对于任何基于签名的认证方案,验证方需要获得签名方的公钥或其他用
于认证消息的对称密钥,并且需要确保该密钥是有效的。即对于终端(UE,
也称为用户设备)来说,网络需要将PWS密钥(如PWS业务的公钥)发送
给UE,当UE成功入网后,即可以获得PWS密钥。这样当发生灾难时,CBC
收到CBE发送过来的警报信息,即可以直接将其通过3GPP网络发送给UE。
如果PWS密钥信息在网络上发送的过程中被攻击者获取,攻击者即可使
用获取的PWS密钥在其他区域制造恐慌等。如果PWS密钥被攻击者篡改,
那么UE就不能正确的获取PWS密钥,这样就导致UE在收到PWS内容信息
时不能正确验证该消息是否合法。
在当前的3GPP规范中,网络如何向UE安全发送PWS密钥,如何建立
CBC与UE之间的安全连接,仍然是需要解决的问题。
发明内容
本发明要解决的技术问题是提供一种安全连接建立方法,可以建立小区
广播中心(CBC)和终端之间的安全连接。
为了解决上述问题,本发明提供了一种安全连接建立方法,用于建立小
区广播中心(CBC)和终端之间的安全连接,所述CBC通过IP网络与网关设备
相连,该方法包括:
终端与所述网关设备之间建立IP连接;
基于所述终端与所述网关设备之间的IP连接及所述网关设备与所述
CBC之间的IP连接,所述CBC与所述终端之间建立端到端的基于IP的安全
连接。
较佳地,
所述安全连接为IP层安全连接、传输层安全连接、通用认证机制连接或
HTTP安全连接。
较佳地,
所述网关设备为分组数据网网关(P-GW)或网关GPRS支持节点(GGSN)。
上述方案可以在CBC与终端之间建立起基于IP的安全连接,实现信息
的安全传递。
本发明要解决的另一技术问题是提供一种安全的PWS密钥信息的发送
方法和相应的CBC。
为了解决上述技术问题,本发明提供了一种公共警报系统(PWS)密钥信
息的发送方法,包括:
小区广播中心(CBC)建立与终端之间端到端的基于IP的安全连接;
所述CBC触发PWS密钥发送过程,通过所述安全连接向所述终端发送
PWS密钥信息。
较佳地,
所述CBC通过IP网络与网关设备相连;
所述CBC建立与终端之间端到端的基于IP的安全连接,包括:
所述CBC通过所述网关设备和与所述网关设备建立了IP连接的终端交
互,建立与所述终端之间端到端的基于IP的安全连接。
较佳地,
所述网关设备为分组数据网网关(P-GW)或网关GPRS支持节点(GGSN)。
较佳地,
所述CBC在以下情况下触发PWS密钥发送过程:
所述CBC接收到小区广播实体(CBE)首次发送的PWS密钥信息;或者
所述CBC接收到CBE发送的更新的PWS密钥信息;或者
所述CBC接收到CBE发送的PWS密钥更新指示;或者
所述CBC发现当前的PWS密钥即将到期。
较佳地,
所述PWS密钥信息包括一个或多个PWS密钥,所述PWS密钥是PWS
业务用于签名的公钥或其他用于认证消息的对称密钥。
较佳地,
所述PWS密钥信息中,对每一个PWS密钥,还包括该PWS密钥对应的
密钥标识、序列号、生命周期和PWS签名算法中的一个或多个。
相应地,本发明提供了一种公共警报系统(PWS)中的小区广播中心
(CBC),包括:
连接装置,用于建立与终端之间端到端的基于IP的安全连接;
发送装置,用于触发PWS密钥发送过程,通过所述安全连接向所述终端
发送PWS密钥信息。
较佳地,
所述连接装置通过IP网络与网关设备相连;
所述连接装置建立与终端之间端到端的基于IP的安全连接,是通过所述
网关设备和与所述网关设备建立了IP连接的终端交互,建立与所述终端之间
端到端的基于IP的安全连接。
较佳地,
所述发送装置在以下情况下触发所述密钥发送过程:
所述CBC接收到小区广播实体(CBE)首次发送的PWS密钥信息;或者
所述CBC接收到CBE发送的更新的PWS密钥信息;或者
所述CBC接收到CBE发送的PWS密钥更新指示;或者
所述CBC发现当前的PWS密钥即将到期。
较佳地,
所述发送装置通过所述安全连接向所述终端发送的PWS密钥信息包括
一个或多个PWS密钥,所述PWS密钥是PWS业务用于签名的公钥或其他用
于认证消息的对称密钥。
较佳地,
所述网关设备为分组数据网网关(P-GW)或网关GPRS支持节点(GGSN)。
上述方案通过CBC建立与终端之间的安全连接来实现PWS密钥信息到
终端的发送,可以保证PWS密钥信息的安全。
本发明要解决的又一技术问题是提供一种安全的获取公共警报系统
(PWS)密钥信息的方法和相应的终端。
为了解决上述技术问题,本发明提供了一种获取公共警报系统(PWS)密
钥信息的方法,包括:
终端建立与网关设备之间的IP连接;
所述终端通过所述网关设备与小区广播中心(CBC)交互,建立与所述
CBC之间端到端的基于IP的安全连接;
所述终端接收所述CBC从所述安全连接发送的PWS密钥信息并保存。
较佳地,
所述网关设备为分组数据网网关(P-GW)或网关GPRS支持节点(GGSN)。
相应地,本发明还提供了一种终端,包括:
第一连接装置,用于建立与网关设备之间的IP连接;
第二连接装置,用于通过所述网关设备与小区广播中心(CBC)交互,建立
与所述CBC之间端到端的基于IP的安全连接;及
接收装置,用于接收所述CBC从所述安全连接发送的PWS密钥信息并
保存。
上述方案中,终端通过建立与CBC之间的安全连接来接收PWS密钥信
息,可以保证信息的安全性。
本发明要解决的再一技术问题是提供一种公共警报系统,可以通过IP网
络建立与终端的连接。
为了解决上述技术问题,本发明提供了一种公共警报系统(PWS),包括
小区广播中心(CBC),还包括连接无线通信网络与IP网络的网关设备,其中:
所述CBC新增一个标准IP接口,通过IP网络与所述网关设备相连。
较佳地,
所述网关设备为分组数据网网关(P-GW),和/或网关GPRS支持节点
(GGSN)。
较佳地,
所述CBC采用上述各个方案中的PWS系统中的CBC。
上述方案为PWS系统中的CBC新增了IP接口,使得CBC可以通过IP
连接与网关设备交互,进而就可以与终端建立端到端的安全连接。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部
分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的
不当限定。
图1示出了现有PWS在3GPP网络中的网络架构;
图2示出了扩展CBC后的PWS系统安全架构图;
图3示出了本发明实施例一CBC和UE之间建立安全连接的流程图;
图4示出了本发明实施例二在UMTS、GSM/EDGE网络中,PWS密钥信
息下发的流程示意图;
图5示出了本发明实施例二中,PWS密钥信息和PWS内容信息下发的
路径的示意图;
图6示出了本发明实施例三在LTE、SAE网络中,PWS密钥信息下发的
流程示意图;
图7示出了本发明实施例三中,PWS密钥信息和PWS内容信息下发的
路径的示意图。
图8示出了本发明实施例二、三中,CBC和UE的安全连接及各自的结
构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图
对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申
请中的实施例及实施例中的特征可以相互任意组合。
实施例一:
图2示出了整个3GPP网络中(包括GSM网络、UMTS网络、LTE网络
和SAE网络等)的PWS系统,或称为PWS安全架构。
如图所示,该PWS系统中,CBC作为核心网的一个网元,与其他网元
之间的接口包括:
接口1,CBE与CBC之间通过接口1来交互PWS信息和密钥信息等。
接口IuBC,CBC与GSM网络的BSC和UMTS网络的RNC均有接口IuBC,
用来传递PWS内容信息。
接口S1BC,CBC与LTE网络和SAE网络的MME有接口S1BC,用来传
递PWS内容信息。
特别地,
为CBC网元增加一个标准IP接口,该接口可以称之为SiBC。这样,CBC
通过IP网络与网关设备相连,可以通过两者之间的IP连接相互通信。所述
网关设备可以是连接无线通信网络和IP网络的网关设备(如P-GW、GGSN
等),图中以示例的方式示出了CBC与P-GW之间的接口SiBC。
相应地,本实施例还提供了一种CBC和UE之间建立安全连接的方法,
如图3所示,包括:
步骤10,UE与网关设备之间建立IP连接;
该网关设备如可以为P-GW或GGSN,UE可以通过附着过程,建立到
P-GW的IP连接。
步骤20,UE与CBC基于UE与网关设备之间以及CBC与网关设备之间
的IP连接,建立UE与CBC之间端到端的基于IP的安全连接。
上述安全连接可以是IPSec(IP层安全)连接、TLS(传输层安全)连
接,GBA(通用认证机制)连接、HTTP安全连接(Hypertext Transfer Protocol
over Secure Socket Layer)等等。
安全连接建立之后,CBC可以通过该安全连接向UE传递需要安全保护
的信息如PWS密钥信息,但本发明并不局限于此。
后续的各个实施例均基于本实施例的PWS系统,不再一一说明。
实施例二
本实施例涉及UMTS、GSM/EDGE网络中PWS密钥信息的下发。请参
照图4和图5,网络侧的处理包括:
a1)CBC和UE之间建立端到端的基于IP的安全连接;
因为CBC通过IP网络与GGSN相连,因此CBC可以通过GGSN和与
该网关设备建立了IP连接的终端交互,建立与终端之间端到端的基于IP的
安全连接。如图5所示,该安全连接的路径上包括GGSN、SGSN及接入网
网元,如UTRAN中的RNC和NodeB,或GERAN中的BSC和BTS。
a2)CBE向CBC发送PWS密钥信息;
CBE可以通过界面或定时器或其他方式触发向CBC发送PWS密钥信息,
CBC保存收到的密钥信息。
在另一实施例中,CBC可以自己产生PWS密钥信息并触发密钥发送过
程,此时可略去本步骤。
在又一实施例中,CBC可以自己产生PWS密钥,但PWS密钥发送过程
由CBE触发,此时,CBE可以向CBC发送触发PWS密钥发送过程的指示信
息,如PWS密钥更新指示等。
a3)CBC触发PWS密钥发送过程;
上述PWS密钥发送过程可以是首次向UE发送PWS密钥信息,也可以
是向UE发送PWS密钥更新信息。
CBC可以在以下情况下触发PWS密钥发送过程:
CBC接收到CBE首次发送的PWS密钥信息;或者
CBC接收到CBE发送的更新的PWS密钥信息;或者
CBC接收到CBE发送的PWS密钥更新指示;或者
CBC发现当前的PWS密钥即将到期。
a4)CBC通过与UE之间的安全连接把PWS密钥信息发送给UE。
PWS密钥信息中包括PWS密钥,可以是PWS业务用于签名的公钥,也
可以是其他用于认证消息的对称密钥等,可以有一个或多个。对每一个PWS
密钥,还可以包括该PWS密钥对应的密钥标识、序列号、生命周期和PWS
签名算法中的一个或多个。可选地,PWS密钥更新信息中,还包括当前激活
的PWS密钥的密钥标识。
上述步骤中,对步骤a1和步骤a2、a3的先后顺序不做限定。安全连接
的建立可以在触发PWS密钥发送过程之前,也可以在触发PWS密钥发送过
程之后。如果在触发PWS密钥发送过程之后,CBC先建立与UE之间基于IP
的安全连接,再通过该安全连接向UE发送PWS密钥信息。此外,如果CBC
发现安全连接状态异常,则CBC先重建与UE之间的安全连接,再进行PWS
密钥信息密钥发送过程。
至于PWS内容信息的下发,可以采用现有方式,即CBC使用信令方式,
通过接入网网元如RNC/BSC、NodeB/BTS向UE发送PWS内容信息。
请参照图4和图5,本实施例中,终端获取PWS密钥信息的处理包括:
b1)UE完成与GGSN之间的IP连接的建立;
该IP连接的建立可以在附着过程中完成,但不局限于此。
b2)UE与CBC之间建立端到端的基于IP的安全连接;
终端可以通过GGSN与CBC交互,来建立与CBC之间端到端的基于IP
的安全连接。
b3)UE接收CBC通过安全连接发送的PWS密钥信息并保存。
本实施例中,CBC向UE发送PWS内容信息的路径与发送密钥信息的路
径是分离的,是两个不同的路径。PWS内容信息是经过网络信令发送的,如
图5中上面带箭头的线所示;PWS密钥信息是经过新建立的基于IP的安全连
接发送的,如图5中下面带箭头的线所示。
本实施例还提供了一种PWS中的小区广播中心(CBC),如图8所示,包
括:
连接装置,用于建立与终端之间端到端的基于IP的安全连接;
发送装置,用于触发PWS密钥发送过程,通过所述安全连接向所述终端
发送PWS密钥信息。
较佳地,所述连接装置通过IP网络与GGSN相连;所述连接装置建立与
终端之间端到端的基于IP的安全连接,可以通过GGSN和与GGSN建立了
IP连接的终端交互,建立与所述终端之间端到端的基于IP的安全连接。
发送装置触发所述密钥发送过程的情况及发送的PWS密钥信息的内容
请参照方法流程中的描述,不再赘述。
本实施例还提供了一种终端,如图8所示,包括:
第一连接装置,用于建立与网关设备之间的IP连接;
第二连接装置,用于通过所述网关设备与小区广播中心(CBC)交互,建立
与所述CBC之间端到端的基于IP的安全连接;
接收装置,用于接收所述CBC从所述安全连接发送的PWS密钥信息并
保存。
实施例三
该实施例涉及LTE、SAE网络中PWS密钥信息的下发。请参照图6和图
7,网络侧的处理包括:
a1)CBC和UE之间建立端到端的基于IP的安全连接;
因为CBC通过IP网络与P-GW相连,因此CBC可以通过P-GW和与该
网关设备建立了IP连接的终端交互,建立与终端之间端到端的基于IP的安
全连接。如图7所示,该安全连接的路径上包括P-GW、S-GW及eNodeB等
网元。
a2)CBE向CBC发送PWS密钥信息;
本步骤及其在其他实施例的变化见实施例二的步骤a2)。
a3)CBC触发PWS密钥发送过程;
本步骤见实施例二的步骤a3)。
a4)CBC通过与UE之间的安全连接把PWS密钥信息发送给UE。
PWS密钥信息中包括PWS密钥,可以是PWS业务用于签名的公钥,也
可以是其他用于认证消息的对称密钥等,可以有一个或多个。对每一个PWS
密钥,还可以包括该PWS密钥对应的密钥标识、序列号、生命周期和PWS
签名算法中的一个或多个。可选地,PWS密钥更新信息中,还包括当前激活
的PWS密钥的密钥标识。
同样地,对上述步骤a1和步骤a2、a3的先后顺序不做限定。安全连接
的建立可以在触发PWS密钥发送过程之前,也可以在触发PWS密钥发送过
程之后。在触发PWS密钥发送过程之后建立安全连接或者发现安全连接状态
异常时的处理参见实施例二步骤a4)中的说明。
至于PWS内容信息的下发,可以采用现有方式,即CBC使用信令方式,
通过MME、eNodeB向UE发送PWS内容信息。
请参照图6和图7,本实施例中,终端获取PWS密钥信息的处理包括:
b1)UE通过附着过程,完成与P-GW之间的IP连接的建立;
b2)UE与CBC之间建立端到端的基于IP的安全连接;
终端可以通过P-GW与CBC交互,来建立与CBC之间端到端的基于IP
的安全连接。
b3)UE接收CBC通过安全连接发送的PWS密钥信息并保存。
可以看出,本实施例CBC向UE发送PWS内容信息的路径与发送密钥
信息的路径也是分离的,是两个不同的路径。PWS内容信息是经过网络信令
发送的,如图7中上面带箭头的线所示;PWS密钥信息是经过新建立的基于
IP的安全连接发送的,如图7中下面带箭头的线所示。
本实施例的小区广播中心(CBC)和终端与实施例二中的基本相同,只是其
中的连接装置是通过P-GW建立与终端的安全连接,不再赘述。
以上所述仅为本发明的优选实施例而已。本发明方案并不限于
GSM/EDGE、UMTS和LTE网络中的PWS密钥下发,可以将它的相关模式
应用于其它无线通信系统中。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序
来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读
存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用
一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用
硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任
何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本
领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和
原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护
范围之内。