标准规范下载简介
YD/T 3229-2017 基于移动通信系统的公共预警系统的安全技术要求简介:
《YD/T 3229-2017 基于移动通信系统的公共预警系统安全技术要求》是中国的电信和信息技术行业标准,这个标准主要针对基于移动通信系统的公共预警系统提出了严格的安全技术要求。公共预警系统是指通过移动通信技术向公众提供各类突发事件、自然灾害、公共安全等预警信息的服务平台。
该标准旨在保障公共预警系统的安全运行,确保在紧急情况下,信息的准确、及时、有效的传递,避免因系统安全问题导致的事故和损失。具体的安全技术要求可能包括:
1. 数据安全:确保预警信息在传输过程中的保密性,防止数据被篡改或截取。 2. 用户隐私保护:遵守相关法律法规,保护用户个人信息的隐私,防止信息泄露。 3. 系统稳定性:保证系统在高并发和大流量情况下的稳定运行,避免因系统崩溃导致预警信息无法送达。 4. 安全认证:对用户进行身份认证,确保只有授权用户才能接收预警信息。 5. 安全防护:设置防火墙、入侵检测系统等,防止恶意攻击和网络漏洞。 6. 安全审计:定期进行安全审计,发现并及时修复安全隐患。
遵循这个标准,可以提升基于移动通信系统的公共预警系统的安全性和可靠性,更好地服务于社会公众。
YD/T 3229-2017 基于移动通信系统的公共预警系统的安全技术要求部分内容预览:
YD/T32292017
基于移动通信系统的公共预警系统的安全技术要求
安全架构、安全技术方案等技术要求 本标准适用于基于承载公共 备在内的端到端移动通信系统。
基于移动通信系统的公共预警系统基本安全需求应包括: 公共预警系统仅广播来自被认证和授权的告警信息; 告警消息应该被完整性保护; 公共预警系统应保证避免假的告警消息。 除上述基本安全需求外,还应该包括: UE漫游时应该能接收拜访地的告警消息; 认证方案应该具有鲁棒性DB32∕T 4070-2021 江苏省园林绿化工程施工测量标准,避免在密码分发过程中发生错误和产生过载。真实的告警消息不能 因为一些由认证本身而导致的错误或过载而被拒绝; 一服务网络应该周期地在广播信道发送测试告警消息; 如果UE没有配置PWS安全,那么接收终端应该显示每个告警消息; PWS消息是否被成功认证对于接收用户来说应该是不可见的; 主告警消息是否显示,应该是可以配置的。
4公共预警系统安全架构
4公共预警系统安全架构
YD/T32292017
图1PWS系统安全架构总览
5公共预警系统安全技术要求
5.1基于NAS方案的技术要求
该方案适用于GSM、UMTS、LTE网络。该方案中,需要对MME、eNB、UE网元进行增强,以支 持公钥等信息通过NAS信令下发。 对于公钥分发过程,TAU、RAU、LAU接受等NAS消息可以被用来分发公钥。LTE和UMTS网络可 以采用类似的公钥分发和更新过程,GSM是一个不同的过程
YD/T32292017
5.1.2PWS公钥分发
5.1.2.1初始公钥下发
对于LTE系统,NAS安全模式命令、附着接受、跟踪区更新接受消息可以被用来分发公钥。具体地, 当UE第一次附着到PLMN时,采用NAS安全模式命令消息来分发PWS公钥。如图2LTE系统中PWS公钥 初始分发过程。此外,网络签名使用计数器NSUC在每次签名密钥被使用时增加1。 对于UMTS系统,NAS和AS消息,例如安全模式命令、附着接受、路由区更新接受被用来分发公 期。具体地,当UE第一次附着到PLMN时,采用NAS安全模式命令消息来分发PWS公钥。当UE在PLMN 间切换时,跟踪区更新接受、路由区更新接受被用来分发新的PWS公钥和NSUC。如图3UMTS系统中 WS公钥初始分发过程。
图2LTE系统中PWS公钥初始分发过程
当MME接收到初始附着请求消息后,MME通过NAS安全模式命令消息分发公钥(可选地包括下 个公钥)、对应的公钥ID、CBEID和NSUC。UE接收并保存公钥、CBEID、NSUC和公钥标识。当 UE接收到告警消息时,UE使用公钥、NSUC和签名算法来验证PWS告警消息的签名。UE验证接收到消
YD/T32292017
息中的NSUC值大于或等于UE中保存的NSUC值。UE接收到告警消息并验证通过后,用收到的NSUC来 更新本地的值。 如果UE之前已经附着网络,UE在附着请求、TAU请求消息中携带UE本地保存的公钥ID、NSUC和 CBEID。当MME收到附着请求或TAU请求消息,MME检查公钥ID和NSUC与本地保存的是否一致。如 果不一致,MME发送本地保存的公钥、公钥ID、NSUC和CBEID。下一个密钥和下一个密钥ID是可选 的,取决于运营商和公钥管理机构的策略。两个公钥的分发过程与一个公钥的分发过程相同。当一个新 的公钥开始被使用时,NSUC被置O
图3UMTS系统中PWS公钥初始分发过程
当SGSN收到初始附着请求消息后,SGSN在SMC消息中分发最新的公钥(可选包含下一个公钥) 和对应的公钥ID、NSUC和CBEID。UE接收并保存这些参数。当UE收到告警消息后,UE使用公钥和签 名算法来验证PWS告警消息的数字签名。UE验证接收到消息中的NSUC值大于或等于UE中保存的 NSUC值。UE接收到告警消息并验证通过后,用收到的NSUC来更新本地的值。 如果UE之前已经附着网络,UE在附着请求、TAU请求消息中携带UE本地保存的公钥ID、NSUC和 CBEID。当SGSN收到附着请求或TAU请求消息后,SGSN检查公钥ID和NSUC与本地保存的是否一致。 如果不一致,SGSN发送本地保存的公钥、公钥ID、NSUC和CBEID。
YD/T32292017
YD/T32292017
YD/T32292017
5.1.2.2核心网公钥配置过程
关于核心网网元如何获得公钥、NSUC和相关的ID,对于LTE网络,MME可以通过预配置的方式获 得公钥和相关ID,也可以通过SBc接口从CBC获取。对于UMTS网络,SGSN可以通过预配置的方式获 得公钥和相关ID。 对于LTE系统,如果MME通过SBc接口的方式从CBC获取公钥和对应的ID,那么CBC使用写替代告 警请求消息发送当前和下一个公钥、对应的公钥ID和签名实体ID到MME。MME保存这些参数后,向 CBC发送写替代告警确认消息。这个过程当CBC中初始配置公钥或公钥更新时被触发
5.1.2.3公钥更新过程
图4LTE系统中PWS公钥配置过程
当网络更新公钥或NSUC时,使用下一次的TAU、RAU过程来分发更新的公钥。这个TAU、RAU 是一个普通的过程,包括UE移动而触发的和周期性的TAU、RAU过程。网络在TAU、RAU接收消息 中发送最新的公钥、公钥ID和CBEID。 UE获得新公钥或NSUC有两种方式: CBE周期性发送测试告警消息,该消息采用最新的公钥签名。这种告警消息的告警类型设置为 “TEST”。公钥ID、NSUC和CBEID也应该包含在测试告警消息中。当UE收到测试告警消息 后,使用本地保存的公钥来验证数字签名。如果成功,说明UE保存的公钥是最新的。如果NSUC 比本地保存的大,更新本地的NSUC值。如果签名验证失败,UE在下一次TAU、RAU请求消 息中发送公钥ID和CBEID。当MME或SGSN收到后,检查收到的公钥ID是否和本地保存的相 同。如果不相同,MME或SGSN在响应消息中发送更新的公钥、公钥标识、NSUC和CBEID。 特别地,当CBE更新公钥后,CBE应该立即发送测试告警消息,来让UE知道公钥已经更新。 UE在TAU或RAU请求消息中发送公钥ID、CBEID和NSUC。当MME或SGSN收到后,检查收 到的公钥ID是否和本地保存的相同。如果不相同,MME或SGSN在响应消息中发送更新的公钥 和对应的D等参数。
5.1.3PWS通告消息流程
对于LTE系统,CBE能签名PWS告警消息。
YD/T32292017
图5LTE系统中PWS告警消息下发过程
图5是LTE系统中PWS告警消息下发过程。其流程说明如下: 1)CBE向CBC发送紧急广播请求消息,消息中携带公钥ID、S、NSUC、CBEID和签名信息, 2 CBC向MME发送写替代请求消息,消息中携带公钥ID、S、NSUC、CBEID和签名信息。 3)MME向CBC发送写替代确认消息以指示MME已经开始想eNB分发告警消息。 4)CBC收到MME的写替代确认消息后,可以向CBE确认PLMN已经开始分发告警消息。 5)当MME收到请求后,向eNB发送写替代请求消息,消息中携带公钥ID、S、NSUC、CBEIL 和签名信息。 6)eNB向网络覆盖区内的所有UE广播公钥ID、S、NSUC、CBEID和签名信息。 7)UE接收到广播消息后,使用最新的公钥和签名算法对告警消息进行签名验证。告警消息、SA 和NSUC都是被签名的。UE验证接收到消息中的NSUC值大于或等于UE中保存的NSUC值。UE 接收到告警消息并验证通过后,用收到的NSUC来更新本地的值。如果UE使用当前的公钥验证 签名失败,并且UE之前收到了可选的下一个公钥和对应的ID,UE应该尝试使用下一个公钥来 验证数字签名。
YD/T32292017
eNB向MME发送写替代消息,告诉MME已经广播了告警消息。 9)UE提醒用户具体告警内容。 对于UMTS系统,CBE能签名PWS告警消息,
图6UMTS系统中PWS告警消息下发过程
图6是UMTS系统中PWS告警消息下发过程。流程说明如下: 1)CBE向CBC发送紧急广播请求消息,消息中携带公钥ID、S、NSUC、CBEID和签名信息。 2)CBC向UTRAN发送写替代请求消息,消息中携带公钥ID、S、NSUC、CBEID和签名信 息。 3) UTRAN向CBC发送写替代确认消息以指示MME已经开始想eNB分发告警消息。 4) CBC收到UTRAN的写替代确认消息后,可以向CBE确认PLMN已经开始分发告警消息。 5)当UTRAN收到该请求后,首先发一个PAGINGTYPE1消息既有铁路开行公交化列车预可行性研究招标,或者系统信息改变指示消息, 消息中保护告警类型。 6 UE在PAGINGTYPE1消息或系统信息改变指示消息中接收到告警类型。如果高层指示RRC 接收带有安全的主通告消息,UTRAN应该向UE发送带有安全的主通告,并携带公钥ID和 数字签名。然后UE使用公钥和签名算法验证PWS告警消息的数字签名。 CBE可以周期性地发送测试告警消息,该消息使用最新的公钥签名。告警类型是“test”。公钥ID UC和CBEID也应该包含在测试告警消息中。当UE收到后,UE使用公钥ID指示的公钥验证数字签名。 果成功,说明UE本地保存的公钥是最新的。如果收到的NSUC比本地的大,那么更新本地保存的 UC。如果签名验证失败,UE在下一次的TAU、RAU请求中发送本地保存的公钥ID、NSUC和CBEID。 MME或SGSN收到该请求后,检查收到的公钥ID和本地保存的是否一致。如果不一致,MME、SGSN
YD/T32292017
在TAU、RAU接受消息中发送公钥(可选地包含下一个公钥)、公钥ID、CBEID。特别地,当CBE更 新公钥后,CBE应该立即发送测试告警消息,来让UE知道公钥已经更新。
DB62∕T 2991-2019 黄土地区高速公路路基设计规范5.2.1.1隐私证书方案流程
该方案与接入无关。基于隐式证书方案的总览如图7所示。UE中设置多个CA的公钥。消息签名实 体周期性从CA获取隐式证书,该隐式证书可以包含在PWS消息的安全部分中。UE通过CA公钥和隐式 正书一起来验证签名
图7隐式证书方法总览