WO2014071569A1

WO2014071569A1 - 一种ca公钥的更新方法、装置、ue及ca

Info

Publication number: WO2014071569A1
Application number: PCT/CN2012/084220
Authority: WO
Inventors: 毕晓宇; 陈璟; 许怡娴; 熊春山
Original assignee: 华为技术有限公司
Priority date: 2012-11-07
Filing date: 2012-11-07
Publication date: 2014-05-15
Also published as: US20150236851A1; JP2015535153A; CN104137468A

Abstract

公开一种CA公钥的更新方法、装置、UE及CA，该方法包括：接收包含CA公钥信息的第一消息；所述CA公钥信息包括：CA公钥或者CA公钥获取信息；根据所述CA公钥或者CA公钥获取信息，更新UE本地的CA公钥。本发明能够实现UE中CA公钥的更新。

Description

一种 CA公钥的更新方法、装置、 UE及 CA

技术领域

本发明涉及通信领域，尤其涉及一种 CA公钥的更新方法、装置、 UE及 CA。背景技术

公共报警系统（PWS， Public Warning System) 是一种对有可能对人类的生命和财产造成损失的自然灾害或人为事故进行警报的公共报警系统，所述自然灾害包括洪水、飓风等，所述人为事故包括化学气体泄漏、爆炸威胁、核威胁等。当所述自然灾害或者人为事故出现时， PWS作为对现有广播通信系统的一种补充，向用户设备 (UE， User Equipment) 发送 PWS报警消息，为用户进行报警。 PWS 服务由电信运营商提供给用户， PWS 服务的具体内容可以由报警信息供应部门（warning notification provider) 提供。当某些事件发生时，报警信息供应部门产生报警消息（warning notification)提供给电信运营商。电信运营商使用电信网络发送 PWS报警消息给 UE，以向用户报警。由于发布 PWS报警消息将可能引发大规模的恐慌，所以对安全的要求较高。根据 PWS的安全要求，安全机制应该阻止虚假的告警通知，应该保护 PWS 报警消息的完整性，应该鉴别 PWS报警消息的发送源。

PWS公共报警安全在 3GPP标准组织的 SA3组成为研究热点，不同设备商提出不同的安全解决方案。 SA3 标准在第 67 次会议讨论了基于隐式证书（Implicit certificate) 的方案设想，在第 68次会议中讨论了具体方案，并且该方案经讨论通过成为 TR 33.869中 PWS安全备选方案之一。基于隐式证书的方案的具体实现方法是：在全球范围内规划部署若干个全球认证中心（CA， certification authority) 作为 PWS 的安全初始节点，并且，在 UE中预先配置这些全球 CA的公钥；小区广播实体（CBE， Cell Broadcast Entity)周期性的从一个全球 CA获取隐式证书；公共报警事件发生时， CBE通过小区广播中心（CBC， Cell Broadcast Centre)向报警事件发生地点广播 PWS 报警消息， PWS报警消息中包括消息内容以及安全部分，所述安全部分中包含 CBE 的签名以及所述隐式证书； UE接收到 PWS报警消息后，用本地保存的 CA公钥结合 PWS报警消息中的隐式证书计算 CBE的公钥，通过 CBE的公钥验证 PWS报警消息中 CBE的签名，从而识别接收到的 PWS报警消息是否是合法的公共报警消息。

在所述基于隐式证书的方案中， UE中预先配置的 CA公钥是验证 PWS报警消息是否是合法公共报警消息的基础，因此，确保 UE中保存的 CA公钥的正确是该方案的关键之一。

虽然 CA公钥的有效期一般是 15-20年，但是由于某种原因如公钥对应的私钥被破坏、公钥超过有效期等， UE中配置的 CA公钥需要及时更新，然而，目前并未公开关于 UE中配置的 CA公钥如何更新的技术方案。发明内容

本发明实施例提供一种 CA公钥的更新方法、装置、 UE及 CA，能够实现 UE中配置的 CA公钥的更新。

第一方面，提供一种 CA公钥的更新方法，包括：

接收包含 CA公钥信息的第一消息；所述 CA公钥信息包括： CA公钥或者 CA 公钥获取信息；

根据所述 CA公钥或者 CA公钥获取信息，更新 UE本地的 CA公钥。

结合上述第一方面，在第一种可能的实现方式中，接收第一消息之前还包括：向 CA发送 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，接收包含 CA公钥信息的第一消息包括：

接收 CA发送的 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA 公钥信息。

结合上述第一方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中，接收包含 CA公钥信息的第一消息包括：

接收 CA发来的 CA公钥更新消息，所述更新消息中包含 CA公钥信息。

结合上述第一方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，在第三种可能的实现方式中，接收包含 CA公钥信息的第一消息包括：

接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA发送给 CBE。

结合上述第一方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，在第四种可能的实现方式中，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS报警消息中的安全信元承载。

结合上述第一方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，在第五种可能的实现方式中，所述 CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS 报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

结合上述第一方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，在第六种可能的实现方式中，所述 CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： C A公钥的 ID和 /或有效期；所述 CA公钥的相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

结合上述第一方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，在第七种可能的实现方式中，接收包含 CA公钥信息的第一消息包括：

接收核心网实体发来的 NAS消息，所述 NAS消息中包含 CA公钥信息。

结合上述第一方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，在第八种可能的实现方式中，接收包含 CA公钥信息的第一消息包括：

接收接入网实体发来的 AS消息，所述 AS消息中包含 CA公钥信息。

结合上述第一方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，在第九种可能的实现方式中，接收包含 CA公钥信息的第一消息包括：接收网络应用服务器通过应用层 OTA或者 OMA-DM方式推送的第一消息，所述第一消息中包含 CA公钥信息。

结合上述第一方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，和 /或第九种可能的实现方式，在第十种可能的实现方式中， CA公钥信息中包括 CA公钥时，根据所述 CA公钥更新 UE本地的 CA公钥；或者， CA公钥信息中包括 CA公钥获取信息，且所述 CA公钥获取信息为 CA 公钥的下载链接时，根据 CA公钥获取信息更新 UE本地的 CA公钥包括：

通过 CA公钥的下载链接下载 CA公钥，使用下载的 CA公钥更新本地的 CA公钥；

或者， CA公钥信息中包括 CA公钥获取信息，且所述 CA公钥获取信息为获得 CA公钥的地址时，根据 CA公钥获取信息更新 UE本地的 CA公钥包括：

从所述获得 CA公钥的地址获取 CA公钥，使用获取到的 CA公钥更新本地的 CA 公钥。第二方面，提供一种 CA公钥的更新方法，包括：

确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；向 UE发送包含 CA公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA 公钥。

结合上述第二方面，在第一种可能的实现方式中，确定 CA公钥信息之前包括：接收 UE发来的 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，向 UE发送包含 CA公钥信息的第一消息包括：

向 UE发送 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

结合上述第二方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中，向 UE发送包含 CA公钥信息的第一消息包括：

向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 CA公钥信息。结合上述第二方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，在第三种可能的实现方式中，向 UE发送包含 CA公钥信息的第一消息包括：

向 CBE发送 CA公钥信息，以便 CBE通过 CBC广播 PWS报警消息，所述 PWS 报警消息中包含 CA公钥信息。

结合上述第二方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，在第四种可能的实现方式中，确定 CA公钥信息包括：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息；所述 CA公钥信息由 CA发送给 CBE; 从 PWS报警消息中获取所述 CA公钥信息。

结合上述第二方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，在第五种可能的实现方式中，向 UE发送包含 CA公钥信息的第一消息包括：

向 UE发送 NAS消息，所述 NAS消息中包含 C A公钥信息。

结合上述第二方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，在第六种可能的实现方式中，向 UE发送包含 CA公钥信息的第一消息包括：向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。

结合上述第二方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，在第七种可能的实现方式中， PWS报警消息中包含 CA公钥信息时，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS报警消息的安全信元承载。

结合上述第二方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，在第八种可能的实现方式中， PWS报警消息中包含 CA公钥信息时：

CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

结合上述第二方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，在第九种可能的实现方式中， PWS报警消息中包含 CA公钥信息时：

CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： CA 公钥的 ID和 /或有效期，所述相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

结合上述第二方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，和 /或第九种可能的实现方式，在第十种可能的实现方式中，向 UE发送包含 CA公钥信息的第一消息包括：

通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 C A公钥信息。第三方面，提供一种 CA公钥的更新装置，包括：

第一接收单元，用于接收包含 CA公钥信息的第一消息；所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

更新单元，用于根据所述 CA公钥或者 CA公钥获取信息，更新 UE本地的 CA 公钥。

结合上述第三方面，在第一种可能的实现方式中，还包括：

第一发送单元，用于接收第一消息之前，向 CA发送 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，第一接收单元具体用于：接收 CA发送的 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

结合上述第三方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中，第一接收单元具体用于：接收 CA发来的 CA公钥更新消息，所述更新消息中包含 C A公钥信息。

结合上述第三方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，在第三种可能的实现方式中，第一接收单元具体用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA 发送给 CBE。

结合上述第三方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，在第四种可能的实现方式中，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS报警消息中的安全信元承载。

结合上述第三方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，在第五种可能的实现方式中，所述 CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS 报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

结合上述第三方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，在第六种可能的实现方式中，所述 CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： C A公钥的 ID和 /或有效期；所述 CA公钥的相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

结合上述第三方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，在第七种可能的实现方式中，第一接收单元具体用于：接收核心网实体发来的 NAS消息，所述 NAS消息中包含 CA公钥信息。

结合上述第三方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，在第八种可能的实现方式中，第一接收单元具体用于：接收接入网实体发来的 AS消息，所述 AS消息中包含 CA公钥信息。

结合上述第三方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，在第九种可能的实现方式中，第一接收单元具体用于：接收网络应用服务器通过应用层 OTA或者 OMA-DM方式推送的第一消息，所述第一消息中包含 CA 公钥信息。

结合上述第三方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，和 /或第九种可能的实现方式，在第十种可能的实现方式中，更新单元具体用于： CA公钥信息中包括 CA公钥时，根据所述 CA公钥更新 UE本地的 CA 公钥；

或者， CA公钥信息中包括 CA公钥获取信息，且所述 CA公钥获取信息为 CA 公钥的下载链接时，根据 CA公钥获取信息更新 UE本地的 CA公钥包括：通过 CA公钥的下载链接下载 CA公钥，使用下载的 CA公钥更新本地的 CA公钥；

从所述获得 CA公钥的地址获取 CA公钥，使用获取到的 CA公钥更新本地的 CA 公钥。第四方面，提供一种 CA公钥的更新装置，包括：

确定单元，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA 公钥获取信息；

第二发送单元，用于向 UE发送包含确定单元确定的所述 CA公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

结合上述第四方面，在第一种可能的实现方式中，还包括：

第二接收单元，用于确定单元确定 CA公钥信息之前，接收 UE发来的 CMPv2 协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，第二发送单元具体用于：向 UE发送 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

结合上述第四方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中，第二发送单元具体用于：向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 CA公钥信息。

结合上述第四方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，在第三种可能的实现方式中，第二发送单元具体用于：向 CBE发送 CA公钥信息，以便 CBE通过 CBC广播 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息。

结合上述第四方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，在第四种可能的实现方式中，确定单元包括：

第一接收子单元，用于接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS 报警消息中包含 CA公钥信息；所述 CA公钥信息由 CA发送给 CBE;

第一获取子单元，用于从 PWS报警消息中获取所述 CA公钥信息。

结合上述第四方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，在第五种可能的实现方式中，第二发送单元具体用于：向 UE发送 NAS消息，所述 NAS消息中包含 CA公钥信息。

结合上述第四方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，在第六种可能的实现方式中，第二发送单元具体用于：向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。

结合上述第四方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，在第七种可能的实现方式中， PWS报警消息中包含 CA公钥信息时，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS报警消息的安全信元承载。

结合上述第四方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，在第八种可能的实现方式中， PWS报警消息中包含 CA公钥信息时：

结合上述第四方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，在第九种可能的实现方式中， PWS报警消息中包含 CA公钥信息时：

结合上述第四方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，和 /或第九种可能的实现方式，在第十种可能的实现方式中，第二发送单元具体用于：通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 CA公钥信息。第五方面，提供一种 UE，包括：

第一无线收发器，用于接收包含 CA公钥信息的第一消息；所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第一数据处理器，用于根据所述 CA公钥或者 CA公钥获取信息，更新 UE本地的 CA公钥。

结合上述第五方面，在第一种可能的实现方式中，第一无线收发器还用于：接收第一消息之前，向 CA发送 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，第一无线收发器还具体用于：接收 CA发送的 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

结合上述第五方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中，第一无线收发器具体用于：接收 CA发来的 CA公钥更新消息，所述更新消息中包含 C A公钥信息。

结合上述第五方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，在第三种可能的实现方式中，第一无线收发器具体用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA 发送给 CBE。

结合上述第五方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，在第四种可能的实现方式中，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS报警消息中的安全信元承载。

结合上述第五方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，在第五种可能的实现方式中，所述 CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS 报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

结合上述第五方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，在第六种可能的实现方式中，所述 CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： C A公钥的 ID和 /或有效期；所述 CA公钥的相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

结合上述第五方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，在第七种可能的实现方式中，第一无线收发器具体用于：接收核心网实体发来的 NAS消息，所述 NAS消息中包含 CA公钥信息。

结合上述第五方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，在第八种可能的实现方式中，第一无线收发器具体用于：接收接入网实体发来的 AS消息，所述 AS 消息中包含 CA公钥信息。

结合上述第五方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，在第九种可能的实现方式中，第一无线收发器具体用于：接收网络应用服务器通过应用层 OTA或者 OMA-DM方式推送的第一消息，所述第一消息中包含 C A公钥信息。

结合上述第五方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，和 /或第三种可能的实现方式，和 /或第四种可能的实现方式，和 /或第五种可能的实现方式，和 /或第六种可能的实现方式，和 /或第七种可能的实现方式，和 /或第八种可能的实现方式，和 /或第九种可能的实现方式，在第十种可能的实现方式中，第一数据处理器具体用于： CA公钥信息中包括 CA公钥时，根据所述 CA公钥更新 UE本地的 CA公钥；

或者， CA公钥信息中包括 CA公钥获取信息，且所述 CA公钥获取信息为 CA 公钥的下载链接时，根据 CA公钥获取信息更新 UE本地的 CA公钥包括：

从所述获得 CA公钥的地址获取 CA公钥，使用获取到的 CA公钥更新本地的 CA 公钥。第六方面，提供一种 CA，包括：

第二数据处理器，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第二无线收发器，用于向 UE发送包含第二数据处理器确定的所述 CA公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

结合上述第六方面，在第一种可能的实现方式中，还包括：

第二无线收发器还用于：第二数据处理器确定 CA公钥信息之前，接收 UE发来的 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；相应的，第二无线收发器具体用于：向 UE发送 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

结合上述第六方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中，第二无线收发器具体用于：向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 C A公钥信息。

结合上述第六方面，和 /或第一种可能的实现方式，和 /或第二种可能的实现方式，在第三种可能的实现方式中，第二无线收发器具体用于：向 CBE发送 CA公钥信息，以便 CBE通过 CBC广播 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息。第七方面，提供一种核心网实体，包括：

第三数据处理器，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第三无线收发器，用于向 UE发送包含第三数据处理器确定的所述 CA公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

结合上述第七方面，在第一种可能的实现方式中，第三无线收发器还用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 C A公钥信息；所述 CA公钥信息由 CA发送给 CBE;

第三数据处理器具体用于：从 PWS报警消息中获取所述 CA公钥信息。

结合上述第七方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中，第三无线收发器具体用于：向 UE发送 NAS消息，所述 NAS消息中包含 CA公钥信第八方面，提供一种接入网实体，包括：

第四数据处理器，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第四无线收发器，用于向 UE发送包含第四数据处理器确定的所述 CA公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

结合上述第八方面，在第一种可能的实现方式中，第四无线收发器还用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 C A公钥信息；所述 CA公钥信息由 CA发送给 CBE;

第四数据处理器具体用于：从 PWS报警消息中获取所述 CA公钥信息。

结合上述第八方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中，第四无线收发器具体用于：向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。第九方面，提供一种网络应用服务器，包括：

第五数据处理器，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第五无线收发器，用于向 UE发送包含第五数据处理器确定的所述 CA公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

结合上述第九方面，在第一种可能的实现方式中，第五无线收发器具体用于：通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 CA公钥信息。

本发明实施例中，接收包含 CA公钥信息的第一消息，根据所述第一消息中包含的 CA公钥或者 CA公钥获取信息，更新 UE中的 CA公钥，从而实现了 UE中配置的 CA公钥的更新。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例 CA公钥的更新方法第一实施例示意图；图 2为本发明实施例 CA公钥的更新方法第二实施例示意图；

图 3为本发明实施例 CA公钥的更新方法第三实施例示意图；

图 3A为证书结构示意图；

图 4为本发明实施例 CA公钥的更新方法第四实施例示意图；

图 5为本发明实施例 CA公钥的更新方法第五实施例示意图；

图 5A为 CBE通过 CBC广播 PWS报警消息的流程图；

图 6为本发明实施例 CA公钥的更新方法第六实施例示意图；

图 6A为 UE与 MME之间传输 NAS SMC消息的流程图；

图 7为本发明实施例 CA公钥的更新方法第七实施例示意图；

图 7A为 UE与 eNB之间传输 AS SMC消息的流程图；

图 8为本发明实施例 CA公钥的更新方法第八实施例示意图；

图 8A为 UE与网络应用服务器之间传输 CA公钥信息的流程图；

图 9为本发明 CA公钥的更新装置第一实施例示意图；

图 9A为本发明 CA公钥的更新装置第二实施例示意图；

图 10为本发明 CA公钥的更新装置第三实施例示意图；

图 10A为本发明 CA公钥的更新装置第四实施例示意图；

图 11为本发明实施例 UE结构示意图；

图 12为本发明实施例 CA结构示意图；

图 13为本发明实施例核心网实体结构示意图；

图 14为本发明实施例接入网实体结构示意图；

图 15为本发明实施例网络应用服务器结构示意图。具体实施方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。

本发明实施例中的所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；优选地， CA公钥信息还可以包括： CA公钥的更新指示，所述 CA公钥的更新指示用于指示 UE进行 CA公钥的更新；优选地， CA公钥信息还可以包括： CA公钥的相关信息，所述相关信息可以包括： CA公钥的 ID、有效期等。

图 1为本发明实施例 CA公钥的更新方法第一实施例示意图，该方法适用于 UE，该方法包括：

步骤 101 : 接收包含 CA公钥信息的第一消息；所述 CA公钥信息至少包括： CA 公钥或者 CA公钥获取信息。

优选地，接收第一消息之前还可以包括：向 CA 发送证书管理协议（CMP， Certificate Management Protocol) v2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，接收包含 CA公钥信息的第一消息可以包括：接收 CA发送的 CMPv2 协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

优选地，接收包含 CA公钥信息的第一消息可以包括：接收 CA发来的 CA公钥更新消息，所述更新消息中包含 CA公钥信息。

优选地，接收包含 CA公钥信息的第一消息可以包括：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA发送给 CBE。

优选地，当所述 CA公钥信息包含在 PWS报警消息中时：

所述 CA 公钥或者 CA 公钥获取信息可以通过系统信息块（SIB， System Information Block)承载，或者通过 PWS报警消息内容承载，或者，通过安全信元承载；

当所述 CA公钥信息中包括 CA公钥更新指示时，所述 CA公钥更新指示可以通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载；

当所述 CA公钥信息中包括 CA公钥的相关信息时，所述 CA公钥的相关信息可以通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

优选地，接收包含 CA 公钥信息的第一消息可以包括：接收核心网实体发来的 NAS消息，所述 NAS消息中包含 CA公钥信息。

其中，在不同的网络系统中，所述核心网实体不同，例如，在 3GPP长期演进 (LTE， Long Term Evolution)系统中，所述核心网实体可以为移动性管理实体（MME， Mobility Management Entity )；在通用移动通信系统（ UMTS， Universal Mobile Telecommunications System) 系统中，所述核心网实体可以为 GPRS 业务支持节点 ( SGSN, Service GPRS Support Node); 在全球移动通信系统（GSM， Global System for Mobile Communications) 系统中，所述核心网实体可以为移动交换中心（MSC， Mobile Switching Center)。

优选地，接收包含 CA 公钥信息的第一消息可以包括：接收接入网实体发来的 AS消息，所述 AS消息中包含 CA公钥信息。

其中，在不同的网络系统中，所述核心网实体不同，例如，在 LTE系统中，所述接入网实体可以为演进型基站（e B， evolved Node B); 在 GSM系统中，所述接入网实体可以为基站子系统（BSS， base station subsystem), 所述 BSS主要包括：基站收发信台（BTS) 和基站控制器（BSC); 在 UMTS系统中，所述接入网实体可以为基站（Node B) 或者，无线网络控制器（RNC， Radio Network Controller)。

优选地，接收包含 CA公钥信息的第一消息可以包括：接收网络应用服务器通过应用层空中下载（OTA， Over the Air) 或者开放移动联盟设备管理协议（OMA-DM, Open Mobile Alliance device managemanet) 方式推送的第一消息，所述第一消息中包含 CA公钥信息。

步骤 102: 根据所述 CA公钥或者 CA公钥获取信息，更新 UE本地的 CA公钥。其中，所述 CA公钥获取信息可以为： CA公钥的下载链接，或者可以获得 CA 公钥的地址等。

其中，当第一消息中包含 CA公钥时，根据 CA公钥更新本地的 CA公钥可以包括：使用第一消息中包含的 CA公钥更新本地的 CA公钥。

当第一消息中包含 CA公钥获取信息，且 CA公钥获取信息为 CA公钥的下载链接时，根据 CA公钥获取信息更新本地的 CA公钥可以包括：通过 CA公钥的下载链接下载 CA公钥，使用下载的 CA公钥更新本地的 CA公钥。

当第一消息中包含 CA公钥获取信息，且 CA公钥获取信息为获得 CA公钥的地址时，所述更新本地的 CA公钥可以包括：从所述获得 CA公钥的地址获取 CA公钥，使用获取到的 CA公钥更新本地的 CA公钥。

优选地，当 CA公钥信息中还包括： CA公钥的相关信息时，相应的，步骤 102 还可以包括： UE根据第一消息中携带的 CA公钥的相关信息更新 UE本地的对应信息，如更新 CA公钥的有效期、 CA公钥的 ID等，这里不赘述。

优选地，步骤 101和步骤 102之间还可以包括：判断所述第一消息中携带 CA公钥更新指示。当 UE进行该判断时， CA公钥信息中需要携带所述 CA公钥更新指示，以便 UE接收到第一消息后，可以判断出所述第一消息中携带 CA公钥更新指示，进而进行步骤 102中 CA公钥的更新；如果 CA公钥信息中未携带所述 CA公钥更新指示，则 UE判断所述第一消息中未携带 CA公钥更新指示，则不进行 CA公钥更新，也即不执行步骤 102。

图 1所示的更新方法中，接收包含 CA公钥或者 CA公钥获取信息的第一消息，根据所述第一消息中包含的 CA公钥或者 CA公钥获取信息更新 UE本地的 CA公钥，从而实现了 UE中 CA公钥的更新。参见图 2，为本发明实施例 CA公钥的更新方法第二实施例示意图，该方法可以适用于 e B、 MME、 CA、网络应用服务器等，该方法包括：

步骤 201 : 确定 CA公钥信息；所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息。

CA公钥信息还可以包括： CA公钥更新指示， CA公钥的相关信息如 ID、有效期等。

当本实施例应用于 CA时：所述 CA公钥可以由 CA生成，具体生成方法这里不限制；或者，所述 CA公钥也可以由 CA的上层实体为其配置；这里也不限制。

当本实施例应用于接入网实体或者核心网实体时：

CA公钥信息可以预先存储于接入网实体或者核心网实体中，则本步骤的实现可以包括：接入网实体或者核心网实体从对应的存储地址读取所述 CA公钥信息；或者，所述 CA公钥信息也可以包含在 PWS报警消息中，由 CA将 CA公钥信息发送给 CBE， CBE通过 CBC广播所述 PWS报警消息至接入网实体或者核心网实体，此时，本步骤可以包括：接入网实体或者核心网实体接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA 发送给 CBE; 从 PWS报警消息中获取所述 CA公钥信息。

当本实施例应用于网络应用服务器时：

CA公钥信息可以预先存储于网络应用服务器中，则本步骤的实现可以包括：网络应用服务器从对应的存储地址获取所述 CA公钥信息；

或者，本步骤的实现可以包括：网络应用服务器通过 CA与网络应用服务器之间的安全连接从 CA获取所述 CA公钥信息。

步骤 202: 向 UE发送包含 CA公钥信息的第一消息，所述第一消息用于更新 UE 本地的 CA公钥。

当本实施例应用于 CA时：

优选地，步骤 201之前可以包括：接收 UE发来的 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，向 UE发送包含 CA公钥信息的第一消息可以包括：向 UE发送 CMPv2 协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

优选地，向 UE发送包含 CA公钥信息的第一消息可以包括：向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 CA公钥信息。

优选地，向 UE发送包含 CA公钥信息的第一消息可以包括：通过 CBE广播 PWS 报警消息，所述 PWS报警消息中包含 CA公钥信息。

当本实施应用于核心网实体时，向 UE发送包含 CA公钥信息的第一消息可以包括：向 UE发送非接入层（NAS， Non Access Stratum) 消息，所述 NAS消息中包含 C A公钥信息。

当本实施例应用于接入网实体时，向 UE发送包含 CA公钥信息的第一消息可以包括：向 UE发送接入层（ AS， Access Stratum)消息，所述 AS消息中包含 CA公钥信息。

当本实施例应用于网络应用服务器时，向 UE发送包含 CA公钥信息的第一消息可以包括：通过应用层 OTA或者 OMA-DM方式向 UE推送信息，所述信息中包含 C A公钥信息。

图 2所示的更新方法中，确定包含 CA公钥或者 CA公钥获取信息的 CA公钥信息；向 UE发送包含 CA公钥信息的第一消息，实现了将 CA公钥或者 CA公钥获取信息发送至 UE，该方法可以与图 1所示的更新方法配合，实现了 UE中 CA公钥的更新。参见图 3，为本发明实施例 CA公钥的更新方法第三实施例示意图，该方法包括：步骤 301 : UE向 CA发送 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

一般的， CA公钥在 UE中是以整个证书的形式保存，如图 3A所示，在证书中详细的标明了 CA公钥的版本号、序列号、签名算法、颁发者、有效期等信息。因此， UE可以通过证书中保存的信息识别出该 CA公钥是否即将超过有效期，从而在 CA 公钥超过有效期之前向 C A请求更新 CA公钥。

步骤 302: CA向 UE发送 CMPv2协议中的证书响应消息，所述证书响应消息中包含 C A公钥信息。

在 IETF RFC4210 协议中定义的 CMP 的版本 2 中，定义了证书请求消息 ( Certificate Request) 和对应的证书响应消息（Certificate Response )。

本发明实施例中， UE具体如何使用所述证书请求消息请求 CA公钥， CA如何使用证书响应消息向 UE发送 CA公钥信息这里并不限定。

步骤 303 : UE接收 CA发送的 CMPv2协议中的证书响应消息，根据所述证书响应消息中包含的 CA公钥或者 CA公钥获取信息，更新 UE本地的 CA公钥。

其中， UE如何根据 CA公钥或者 CA公钥获取信息更新本地的 CA公钥可以参考步骤 102中的描述，这里不赘述。

图 3所示的更新方法中，由 UE通过证书请求消息主动向 CA请求 CA公钥，由 CA通过证书响应消息对应发送 CA公钥信息， UE根据 CA公钥信息中的 CA公钥或者 CA公钥获取信息更新 UE本地的 CA公钥，从而实现了 UE中 CA公钥的更新。参见图 4，为本发明实施例 CA公钥的更新方法第四实施例示意图，该方法包括：步骤 401 : CA向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 CA 公钥信息。

所述 CA公钥更新消息为： CA Key Update Announcement Content消息。

当 CA公钥到期时，或者 CA中的 CA公钥更新时，可以由 CA主动向 UE发送 CA公钥更新消息，将 CA公钥以及相关的其他 CA公钥信息发送给 UE进行更新。

步骤 402: UE接收所述 CA公钥更新消息，根据更新消息中包含的 CA公钥或者 CA公钥获取信息更新本地的 CA公钥。

UE如何根据 CA公钥或者 CA公钥获取信息实现 CA公钥的更新可以参照步骤 102中的描述，这里不再赘述。

图 4所示的更新方法中，无需 UE进行 CA公钥的请求，而是由 CA主动向 UE 发送 CA公钥更新消息， UE根据更新消息中包含 CA公钥或者 CA公钥获取信息更新本地的 CA公钥，从而实现了 UE中 CA公钥的更新。参见图 5，为本发明实施例 CA公钥的更新方法第五实施例示意图，该方法包括：步骤 501： CA向 CBE发送 CA公钥信息。

步骤 502: CBE通过 CBC广播 PWS报警消息，所述 PWS报警消息中包含 CA 公钥信息；

其中，本步骤的实现可以参考现有技术中 CBE通过 CBC广播 PWS报警消息的过程，区别仅在于：广播的 PWS报警消息中携带 CA公钥信息。以下，通过图 5A简要介绍 CBE通过 CBC广播 PWS报警消息的实现过程：步骤 5001 : CBE向 CBC发送紧急广播请求（Emergency Broadcast Request); 该请求中携带 CA公钥信息；

步骤 5002: CBC向 MME发送改写报警请求（ Write-Replace Warning Request); 该请求中携带 CA公钥信息；

步骤 5003 : MME向 CBC发送改写报警确认（Write-Replace Warning Confirm); 步骤 5004: CBC向 CBE发送紧急广播响应（Emergency Broadcast Response); 步骤 5005: MME向 eNB发送 Write-Replace Warning Request; 该请求中携带 CA 公钥信息；

步骤 5006: eNB 发送广播信息（Broadcast Information), 所述广播信息中包括

C A公钥信息。

从而， UE接收 eNB发送的广播信息，获得 CA公钥信息。

其中，所述紧急广播请求、改写报警请求、广播信息统称为 PWS报警消息。优选地，所述 CA公钥或者 CA公钥获取信息可以通过 SIB承载，或者通过 PWS 报警消息内容承载，或者，通过安全信元承载。

当 CA公钥或者 CA公钥获取信息通过 SIB承载时，具体的，可以通过 SIB10或者 SIB11承载。

所述 CA公钥信息包括 CA公钥更新指示时，所述 CA公钥更新指示可以通过 PWS 报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

当所述 CA公钥信息包括 CA公钥的相关信息时，所述相关信息可以通过 PWS 报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

举例 1 : 如果 SIB10承载 CA公钥，而 CA公钥过长时，可以在 SIB11或者新定义的 SIB中携带。具体的，可以采用以下的方法实现： SystemlnformafionBlockTypelO {

BIT STRING {SIZE (16)},

senal umber BiTSTRf G (Si2E (16}},

warningT¾pe OCTET STRING (SIZE (2}j,

CA^!s ybSic key sipdate OCTET STRING {SIZE {x}) ' Need OP CA's puhVtc key ΪΏ OCTET STRSNG |¾ZE fy)} OPT!OMAL, Heed OP CA's pyblic key validity OCTET Bi m {SIZE (Z ) OPTSO AL, eed OP CA's pyfaiic key OCTET STRSNG (SSE {z}} OPTIO AL, Need OP

OCTET STRING (SIZE (50)) OPTIONAL, - Need OP

OCTET STRING OPTIONAL -- Need OP

}

举例 2: 所述 CA公钥或者 CA公钥获取信息通过 SIB11承载时，可以使用以下的程序实现:

System ϊ rtf orm ati on B I ockTy e 11 ：: = SEQUENCE {

^ssa eidentfier BIT STRiNG (Si2E

seria!Number BIT STRiNG (Si2E (灣，

%3i;、i¾!¾¾M ^SH§ J3iBniI¾ ENUMERATED { 9^ §^?^、$¾_; i st Segment},

誦^ INTEGER (0..63}_s

腿咖虐 ^S^ 腳 OCTET S TRi G_t

dat^¾n¾Sc eme OCTET STRiNG (SiZE《1 OPTiONAL, -- C nd Segmentl

OCTET STRiNG OPTIONAL Need: OP

}

举例 3:所述 CA公钥更新指示可以通过类型信元中的 1个字节来承载；具体的，可以选择一位 RES位 0000101来承载所述 CA公钥更新指示，具体可以参见下表 1。

表 1

Warning type Value Warning: type

Ear quake i

0000001 Tsutiam; ί

0000010 Ead quiake and Tsanami ί

0000011 Test ί

0000100 Others ί

0000110-1111111 Reserved for future use \ 举例 4:所述 CA公钥更新指示还可以通过 PWS报警消息中空闲的 4字节中的 1 个字节承载，而所述 CA公钥的相关信息可以通过空闲的 4字节中另一个字节承载；如下表 2所示：

表 2

14- B t es 28- B tes 29-Bytes 4-Bytes

举例 5: 当通过安全信元来承载 CA公钥信息时，具体的承载方法可以参见下表 3所示。其中，当安全信元承载 CA公钥时，一般需要对所述安全信元进行扩展。

表 3

Year octet 1

Month octet 2

Day octet 3

Hour octet 4

Minute octet 5

Second octet 6

Time zone octet 7

U da e CA"s public key ID Octets

OA's pubiic key validity C'Gtei:9〜n

OAs public key O et(r .1 )〜p

Digital Signature octet P+1- octet m

举例 6:当所述 CA公钥的有效期承载在 SIB10中时，可以使用如下的方法实现:

System}nformationBlockType10： SEQUENCE {

BiT STRING (SIZE (16)),

serlaiNumfaer BIT STRING {SIZE (16)),

warmngType OCTET STRING (SiZE (2)},

CA^! ybisc key valid y OCTET STRING (SIZE (x)} OPTIONAL Need OF

OCTET STRING (SIZE (50}) OPTIONAL, • Need OP

JateNonCritfcaiExteosion OCTET STRING OPTIONAL ■Need OP

其中，本发明实施例中包含 CA公钥信息的所述 PWS报警消息可以是现有技术中实际进行报警的 PWS报警消息，也可以是 PWS报警消息中的测试消息。

在 PWS报警消息的测试消息中， test位的内容如下表 4所示：

表 4 Warning type Value Warning type

0000000 Earthquake

0000001 Tsunams

0000010 Earthquake and Tsunams

0000011 Test

0000100 Others

0000101-1111111 Reserved! for Mure use 现有技术中，非测试目的的 UE在接收到测试消息后会丢掉，而在本发明实施例中，如果 UE接收到测试消息，则需要判断测试消息中是否包含 CA公钥信息，如果包含 CA公钥信息，则从测试消息中确定 CA公钥信息以进行 CA公钥的更新，如果不包含 CA公钥信息，则按照现有技术中的处理原则，将该测试消息丢掉。

步骤 503 : UE接收所述 PWS报警消息，根据 PWS报警消息中的 CA公钥或者 CA公钥获取信息更新本地的 CA公钥。

本步骤中 UE如何根据 CA公钥或者 CA公钥获取信息更新本地的 CA公钥可以参照步骤 102中的相关描述，这里不赘述。

图 5所示的更新方法中，将 CA公钥或者 CA公钥的获取信息携带在现有的 PWS 报警消息中，通过 CBE广播给 UE， UE根据 PWS报警消息中的 CA公钥或者 CA公钥获取信息更新本地的 CA公钥，从而实现了 UE中 CA公钥的更新。参见图 6，为本发明 CA公钥的更新方法第六实施例示意图，在本实施例中以核心网实体为 MME为例进行说明。如图 6所示，该方法包括：

步骤 601： MME确定 C A公钥信息。

其中，所述 CA公钥信息可以预先存储于所述 MME中，贝 1」，本步骤可以包括： MME从对应存储地址读取所述 CA公钥信息。

或者，所述 CA公钥信息也可以包含在 PWS报警消息中，由 CBE通过 CBC广播所述 PWS报警消息，此时，本步骤可以包括： MME接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息；从 PWS报警消息中获取所述 CA公钥信息。其中，所述 CA公钥信息有 CA发送给 CBE。

其中， MME如何接收 CBE通过 CBC广播的 PWS报警消息可以参考步骤 5 A中的步骤 5001〜步骤 5004，这里不赘述。

步骤 602: MME向 UE发送 NAS消息，所述 NAS消息中包含 CA公钥信息。 . 其中，所述 NAS 消息具体可以为： NAS 安全模式命令（SMC， security mode command)消息、附着（Attach)请求消息、跟踪区域更新（TAIL Tracking Area Update) 消息、路由更新（RAU消息， Routing Area update )、或者位置更新（LAU， Location Area Update) 接受 Accept消息。

一般 UE与 MME之间要完成 NAS SMC的传输需要执行以下过程，参见图 6A，包括：

步骤 6001： UE向 MME发送 Attach请求消息或 TAU请求消息；

步骤 6002: UE与 MME之间执行安全鉴权流程；

步骤 6003 : MME向 eNB发送 NAS SMC消息；

步骤 6004: eNB将所述 NAS SMC消息转发至 UE;

步骤 6005: UE向 eNB发送 NAS SMC结束（NAS SMC Complete) 消息；步骤 6006: eNB将所述 NAS SMC complete消息转发至 MME;

步骤 6007: MME向 UE发送 Attack接受消息或 TAU接受消息。

在步骤 602的一种实现方式中：可以在步骤 6003〜步骤 6004中 MME通过 eNB 向 UE发送 NAS SMC消息时，在 NAS SMC消息中携带所述 CA公钥信息。此时，步骤 601可以在步骤 6004之前的任意时刻执行，这里不限制。

在步骤 602的另一种实现方式中：可以在步骤 6007中 MME向 UE发送的 Attack 接受消息或 TAU接受消息中携带所述 CA公钥信息。此时，步骤 601可以在步骤 6007 之前的任意时刻执行，这里不限制。

步骤 603 : UE接收所述 NAS消息，根据 NAS消息中的 CA公钥或者 CA公钥获取信息更新 UE本地的 CA公钥。

图 6所示的本发明实施例是基于 LTE系统，当本发明实施例应用于 UMTS系统时，与所述 MME对应的执行实体为： SGSN, 与所述 NAS SMC消息对应的消息为： SMC消息；而当本发明实施例应用于 GSM系统时，与所述 MME对应的执行实体为： MSC, 与所述 NAS SMC消息对应的消息为：位置更新消息。

图 6所示更新方法中，由 MME确定 CA公钥信息，将所述 CA公钥信息携带在 NAS消息中发送给 UE，由 UE根据 CA公钥信息中的 CA公钥或者 CA公钥获取信息更新本地的 CA公钥，从而实现了 UE中 CA公钥的更新。参见图 7，为本发明实施例 CA公钥的更新方法第七实施例示意图，在本实施例中以接入网实体为 eNB为例进行说明。该方法包括：

步骤 701： eNB确定 C A公钥信息。

其中，所述 CA公钥信息可以预先存储于所述 eNB中，贝 1」，本步骤可以包括：从对应存储地址读取所述 CA公钥信息。

或者，所述 CA公钥信息也可以包含在 PWS报警消息中，由 CBE通过 CBC广播所述 PWS报警消息，此时，本步骤可以包括： eNB接收 CBE通过 CBC广播的 PWS 报警消息，所述 PWS报警消息中包含 CA公钥信息；从 PWS报警消息中获取所述 CA公钥信息。其中，所述 CA公钥信息由 CA发送给 CBE。

其中， eNB如何接收 CBE通过 CBC广播的 PWS报警消息可以参考步骤 5A中的步骤 5001〜步骤 5005，这里不赘述。

步骤 702: eNB向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。 . 其中，所述 AS消息可以为： AS SMC消息等。

一般 UE与 eNB之间要完成 AS SMC的传输需要执行以下过程，参见图 7A，包括：

步骤 7001： eNB向 UE发送 AS SMC消息；

步骤 7002: UE向 eNB发送 AS安全模式结束（AS Security Mode Complete) 消息；

所述 AS安全模式终止消息可以为： AS MAC等消息。

步骤 702中， eNB即可以通过在步骤 7001 中的所述 AS SMC消息中携带所述 CA公钥信息。此时，步骤 701可以在步骤 7001之前的任意时刻执行，这里不限制。

步骤 703 : UE接收所述 AS消息，根据 AS消息中的 CA公钥或者 CA公钥获取信息更新 UE本地的 CA公钥。

图 7所示更新方法中，由 eNB确定 CA公钥信息，将所述 CA公钥信息携带在 AS消息中发送给 UE，由 UE根据其中的 CA公钥或者 CA公钥获取信息更新本地的 CA公钥，从而实现了 UE中 CA公钥的更新。参见图 8，为本发明实施例 CA公钥的更新方法第八实施例示意图，该方法包括: 步骤 801 : 网络应用服务器确定 CA公钥信息。

所述网络应用服务器是指可以为客户端提供不同应用程序的的服务器。

所述网络应用服务器可以为：短信服务器（SMSC， Short Message Service Centre), 或者，也可以为其他应用程序服务器，这里不限定。

其中，所述 CA公钥信息可以预先存储于所述网络应用服务器中，贝 1」，本步骤可以包括：从对应存储地址读取所述 CA公钥信息。

或者，所述 CA公钥信息也可以由网络应用服务器从 CA中获取，此时，本步骤可以包括：

网络应用服务器通过网络应用服务器与 CA之间的安全连接从 CA中获取所述 CA公钥。

或者，所述 CA公钥也可以由网络应用服务器从证书中心中获取。此时，本步骤可以包括：从证书中心获取所述 CA公钥信息。

步骤 802: 网络应用服务器通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 CA公钥信息。

优选地，本步骤可以通过图 8A所示的过程实现，包括：

步骤 8001： UE与网络应用服务器之间建立会话；

步骤 8002: 网络应用服务器向 UE发送 CA公钥信息。

其中，网络应用服务器可以通过短信或者邮件等方式发送所述 CA公钥信息。相应的，如果 CA公钥信息中包含 CA公钥，则步骤 803中 UE直接根据该 CA 公钥更新本地的 CA公钥即可；

如果 CA公钥信息中包含 CA公钥的获取信息，例如 CA公钥的链接或可以获得 CA公钥的地址，则步骤 803中 UE根据 CA公钥的获取信息获取 CA公钥，使用获取到的 CA公钥更新本地的 CA公钥。

步骤 803 : UE接收所述第一消息，根据第一消息中的 CA公钥或者 CA公钥获取信息更新 UE本地的 CA公钥。

图 8所示更新方法中，由网络应用服务器确定 CA公钥，将所述 CA公钥信息携带在 AS消息中发送给 UE，由 UE根据其中的 CA公钥或者 CA公钥获取信息更新本地的 CA公钥，从而实现了 UE中 CA公钥的更新。与上述方法相对应，本发明实施例还提供一种 CA公钥的更新装置。

参见图 9，为本发明 CA公钥的更新装置第一实施例示意图，该更新装置可以设置于 UE; 该更新装置 900包括：

第一接收单元 910，用于接收包含 CA公钥信息的第一消息；所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；更新单元 920，用于根据所述 CA公钥或者 CA公钥获取信息，更新 UE本地的 CA公钥。

优选地，参见图 9A，更新装置 900还可以包括：

第一发送单元 930，用于接收第一消息之前，向 CA发送 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，第一接收单元 910具体可以用于：接收 CA发送的 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

优选地，第一接收单元 910具体可以用于：接收 CA发来的 CA公钥更新消息，所述更新消息中包含 CA公钥信息。

优选地，第一接收单元 910具体可以用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA发送给 CBE。此时，

所述 CA公钥或者 CA公钥获取信息可以通过 SIB承载，或者可以通过 PWS报警消息内容承载，或者，可以通过 PWS报警消息中的安全信元承载；

所述 CA公钥信息还可以包括： CA公钥更新指示，所述 CA公钥更新指示可以通过 PWS报警消息中的类型信元承载，或者，可以通过 PWS报警消息中空闲的 4 字节承载，或者，可以通过 PWS报警消息中的安全信元承载，或者，可以通过 SIB 承载；

所述 CA公钥信息还可以包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： C A公钥的 ID和 /或有效期；所述 CA公钥的相关信息可以通过 PWS报警消息中的类型信元承载，或者，可以通过 PWS报警消息中空闲的 4字节承载，或者，可以通过 PWS报警消息中的安全信元承载，或者，可以通过 SIB承载，或者，可以通过 PWS报警消息内容承载。

优选地，第一接收单元 910具体可以用于：接收核心网实体发来的 NAS消息，所述 NAS消息中包含 CA公钥信息。

优选地，第一接收单元 910具体可以用于：接收接入网实体发来的 AS消息，所述 AS消息中包含 CA公钥信息。

优选地，第一接收单元 910具体可以用于：接收网络应用服务器通过应用层 OTA 或者 OMA-DM方式推送的第一消息，所述第一消息中包含 CA公钥信息。

优选地，更新单元 920具体可以用于： CA公钥信息中包括 CA公钥时，根据所述 CA公钥更新 UE本地的 CA公钥；或者， CA公钥信息中包括 CA公钥获取信息，且所述 CA公钥获取信息为 CA 公钥的下载链接时，根据 CA公钥获取信息更新 UE本地的 CA公钥包括：

从所述获得 CA公钥的地址获取 CA公钥，使用获取到的 CA公钥更新本地的 CA 公钥。

优选地，更新单元 920还可以用于：在更新 CA公钥之前判断第一消息中包括 CA公钥更新指示。

图 9和图 9A所示的更新装置中，第一接收单元 910接收包含 CA公钥信息的第一消息；更新单元 920根据 CA公钥或者 CA公钥获取信息，更新 UE本地的 CA公钥。从而实现了 UE中 CA公钥的更新。参见图 10，为本发明 CA公钥的更新装置第三实施例示意图，该更新装置可以设置于 CA、或者核心网实体、或者接入网实体、或者网络应用服务器中，该更新装置 1000可以包括：

确定单元 1010，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第二发送单元 1020，用于向 UE发送包含确定单元 1010确定的所述 CA公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

当更新装置应用于 CA时：

优选地，参见图 10A，该更新装置 900还可以包括：

第二接收单元 1030，用于确定单元 1010确定 CA公钥信息之前，接收 UE发来的 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；相应的，第二发送单元 1020具体可以用于：向 UE发送 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

优选地，第二发送单元 1020具体可以用于：向 UE发送 1CA公钥更新消息，所述 CA公钥更新消息中包含 CA公钥信息。

优选地，第二发送单元 1020具体可以用于：向 CBE发送 CA公钥信息，以便 CBE通过 CBC广播 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息。当更新装置应用于核心网实体、接入网实体或者网络应用服务器时：

优选地，确定单元 1010可以包括：

当更新装置应用于核心网实体时：

优选地，第二发送单元 1020具体可以用于：向 UE发送 NAS消息，所述 NAS 消息中包含 CA公钥信息。

当更新装置应用于接入网实体时：

优选地，第二发送单元 1020具体可以用于：向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。

所述 PWS报警消息中包含 CA公钥信息时：

所述 CA公钥或者 CA公钥获取信息可以通过 SIB承载，或者可以通过 PWS报警消息内容承载，或者，可以通过 PWS报警消息的安全信元承载。

CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示可以通过 PWS 报警消息中的类型信元承载，或者，可以通过 PWS报警消息中空闲的 4字节承载，或者，可以通过 PWS报警消息中的安全信元承载，或者，可以通过 SIB承载。

当更新装置应用于网络应用服务器时：

优选地，第二发送单元 1020具体可以用于：通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 CA公钥信息。

本实施例所述装置可以与应用于 UE的装置配合，将 CA公钥信息发送给 UE，从而实现了 UE中 CA公钥的更新。本发明实施例还提供一种 UE，参见图 11， UE1100包括：

第一无线收发器 1110，用于接收包含 CA公钥信息的第一消息；所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第一数据处理器 1120，用于根据所述 CA公钥或者 CA公钥获取信息，更新 UE 本地的 CA公钥。

优选地，第一无线收发器 1110还可以用于:接收第一消息之前，向 CA发送 CMPv2 协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，第一无线收发器 1110具体可以用于：接收 CA发送的 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

优选地，第一无线收发器 1110具体可以用于：接收 CA发来的 CA公钥更新消息，所述更新消息中包含 CA公钥信息。

优选地，第一无线收发器 1110具体可以用于：接收 CBE通过 CBC广播的 PWS 报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA发送给 CBE。

优选地，所述 CA公钥或者 CA公钥获取信息可以通过 SIB承载，或者可以通过 PWS报警消息内容承载，或者，可以通过 PWS报警消息中的安全信元承载。

优选地，所述 CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

优选地，所述 CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： C A公钥的 ID和 /或有效期；所述 CA公钥的相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS 报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

优选地，第一无线收发器 1110具体可以用于：接收核心网实体发来的 NAS消息，所述 NAS消息中包含 CA公钥信息。

优选地，第一无线收发器 1110具体可以用于：接收接入网实体发来的 AS消息，所述 AS消息中包含 CA公钥信息。

优选地，第一无线收发器 1110具体可以用于：接收网络应用服务器通过应用层 OTA或者 OMA-DM方式推送的第一消息，所述第一消息中包含 CA公钥信息。

优选地，第一数据处理器 1120具体可以用于： CA公钥信息中包括 CA公钥时，根据所述 CA公钥更新 UE本地的 CA公钥；

优选地，第一数据处理器 1120还可以用于：在更新 CA公钥之前判断第一消息中包括 CA公钥更新指示。

本实施例中，第一无线收发器 1110接收包含 CA公钥信息的第一消息；所述 CA 公钥信息包括： CA公钥或者 CA公钥获取信息；第一数据处理器 1120根据所述 CA 公钥或者 CA公钥获取信息，更新 UE本地的 CA公钥。从而实现了 UE中 CA公钥的更新。本发明实施例还提供一种 CA，参见图 12， CA1200包括：

第二数据处理器 1210，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第二无线收发器 1220，用于向 UE发送包含第二数据处理器 1210确定的所述 CA 公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

优选地，第二无线收发器 1220还可以用于：第二数据处理器 1210确定 CA公钥信息之前，接收 UE发来的 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，第二无线收发器 1220具体可以用于：向 UE发送 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

优选地，第二无线收发器 1220具体可以用于：向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 CA公钥信息。

优选地，第二无线收发器 1220具体可以用于：向 CBE发送 CA公钥信息，以便 CBE通过 CBC广播 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息。

本实施例所述 CA可以与 UE配合，实现 UE中 CA公钥的更新。本发明实施例还提供一种核心网实体，参见图 13，核心网实体 1300包括：第三数据处理器 1310，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；第三无线收发器 1320，用于向 UE发送包含第三数据处理器 1310确定的所述 CA 公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

优选地，第三无线收发器 1320还可以用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息；所述 CA公钥信息由 CA发送给 CBE;

第三数据处理器 1310具体可以用于:从 PWS报警消息中获取所述 CA公钥信息。优选地，第三无线收发器 1320具体可以用于：向 UE发送 NAS消息，所述 NAS 消息中包含 CA公钥信息。

本实施例所述核心网实体可以与 UE配合，实现 UE中 CA公钥的更新。本发明实施例还提供一种接入网实体，参见图 14，接入网实体 1400包括：第四数据处理器 1410，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第四无线收发器 1420，用于向 UE发送包含第四数据处理器 1410确定的所述 CA 公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

优选地，第四无线收发器 1420还可以用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息；所述 CA公钥信息由 CA发送给 CBE;

第四数据处理器 1410具体可以用于:从 PWS报警消息中获取所述 CA公钥信息。优选地，第四无线收发器 1420具体可以用于：向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。

本实施例所述接入网实体可以与 UE配合，实现 UE中 CA公钥的更新。本发明实施例还提供一种网络应用服务器，参见图 15，网络应用服务器 1500包括：

第五数据处理器 1510，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

第五无线收发器 1520，用于向 UE发送包含第五数据处理器 1510确定的所述 CA 公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

优选地，第五无线收发器 1520具体用于：通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 CA公钥信息。本发明实施例所述网络应用服务器可以与 UE配合，实现 UE中 CA公钥的更新。本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如 R0M/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述的本发明实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

权利要求

1、一种 CA公钥的更新方法，其特征在于，包括：

接收包含 CA公钥信息的第一消息；所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

2、根据权利要求 1所述的方法，其特征在于，接收第一消息之前还包括：向 CA发送 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，接收包含 CA公钥信息的第一消息包括：

接收 CA发送的 CMPv2协议中的证书响应消息，所述证书响应消息中包含 C A公钥信息。

3、根据权利要求 1所述的方法，其特征在于，接收包含 CA公钥信息的第一消息包括：

4、根据权利要求 1所述的方法，其特征在于，接收包含 CA公钥信息的第一消息包括：

接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA 公钥信息，所述 CA公钥信息由 CA发送给 CBE。

5、根据权利要求 4所述的方法，其特征在于，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS 报警消息中的安全信元承载。

6、根据权利要求 4或 5所述的方法，其特征在于，所述 CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

7、根据权利要求 4至 6任一项所述的方法，其特征在于，所述 CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： CA公钥的 ID 和 /或有效期；所述 CA公钥的相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

8、根据权利要求 1所述的方法，其特征在于，接收包含 CA公钥信息的第一消息包括：

9、根据权利要求 1所述的方法，其特征在于，接收包含 CA公钥信息的第一消息包括：

10、根据权利要求 1所述的方法，其特征在于，接收包含 CA公钥信息的第一消息包括：

接收网络应用服务器通过应用层 OTA或者 OMA-DM方式推送的第一消息，所述第一消息中包含 CA公钥信息。

11、根据权利要求 1至 10任一项所述的方法，其特征在于， CA公钥信息中包括 CA公钥时，根据所述 CA公钥更新 UE本地的 CA公钥；

或者， CA公钥信息中包括 CA公钥获取信息，且所述 CA公钥获取信息为 CA公钥的下载链接时，根据 CA公钥获取信息更新 UE本地的 CA公钥包括：通过 CA公钥的下载链接下载 CA公钥，使用下载的 CA公钥更新本地的 CA 公钥；

或者， CA公钥信息中包括 CA公钥获取信息，且所述 CA公钥获取信息为获得 CA公钥的地址时，根据 CA公钥获取信息更新 UE本地的 CA公钥包括：从所述获得 CA公钥的地址获取 CA公钥，使用获取到的 CA公钥更新本地的 CA公钥。

12、一种 CA公钥的更新方法，其特征在于，包括：

确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

向 UE发送包含 CA公钥信息的第一消息，所述第一消息用于更新 UE本地的 CA公钥。

13、根据权利要求 12所述的方法，其特征在于，确定 CA公钥信息之前包括：接收 UE发来的 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

相应的，向 UE发送包含 CA公钥信息的第一消息包括：

向 UE发送 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA 公钥信息。

14、根据权利要求 12所述的方法，其特征在于，向 UE发送包含 CA公钥信息的第一消息包括：

向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 CA公钥信息。

15、根据权利要求 12所述的方法，其特征在于，向 UE发送包含 CA公钥信息的第一消息包括：

向 CBE发送 CA公钥信息，以便 CBE通过 CBC广播 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息。

16、根据权利要求 12所述的方法，其特征在于，确定 CA公钥信息包括：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA 公钥信息；所述 CA公钥信息由 CA发送给 CBE;

从 PWS报警消息中获取所述 CA公钥信息。

17、根据权利要求 12或 16所述的方法，其特征在于，向 UE发送包含 CA 公钥信息的第一消息包括：

向 UE发送 NAS消息，所述 NAS消息中包含 C A公钥信息。

18、根据权利要求 12或 16所述的方法，其特征在于，向 UE发送包含 CA 公钥信息的第一消息包括：

向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。

19、根据权利要求 15至 18任一项所述的方法，其特征在于， PWS报警消息中包含 CA公钥信息时，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS报警消息的安全信元承载。

20、根据权利要求 15至 19任一项所述的方法，其特征在于， PWS报警消息中包含 CA公钥信息时：

CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS 报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

21、根据权利要求 15至 20任一项所述的方法，其特征在于， PWS报警消息中包含 CA公钥信息时：

CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括: CA公钥的 ID和 /或有效期，所述相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

22、根据权利要求 12所述的方法，其特征在于，向 UE发送包含 CA公钥信息的第一消息包括：

通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 C A公钥信息。

23、一种 CA公钥的更新装置，其特征在于，包括：

更新单元，用于根据所述 CA公钥或者 CA公钥获取信息，更新 UE本地的 CA公钥。

24、根据权利要求 23所述的装置，其特征在于，还包括：

第一发送单元，用于接收第一消息之前，向 CA发送 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；相应的，第一接收单元具体用于：接收 CA发送的 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

25、根据权利要求 23所述的装置，其特征在于，第一接收单元具体用于：接收 CA发来的 CA公钥更新消息，所述更新消息中包含 CA公钥信息。

26、根据权利要求 23所述的装置，其特征在于，第一接收单元具体用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA发送给 CBE。

27、根据权利要求 26所述的装置，其特征在于，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS 报警消息中的安全信元承载。

28、根据权利要求 26或 27所述的装置，其特征在于，所述 CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

29、根据权利要求 26至 28任一项所述的装置，其特征在于，所述 CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： CA公钥的 ID和 /或有效期;所述 CA公钥的相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

30、根据权利要求 23所述的装置，其特征在于，第一接收单元具体用于：接收核心网实体发来的 NAS消息，所述 NAS消息中包含 CA公钥信息。

31、根据权利要求 23所述的装置，其特征在于，第一接收单元具体用于：接收接入网实体发来的 AS消息，所述 AS消息中包含 CA公钥信息。

32、根据权利要求 23所述的装置，其特征在于，第一接收单元具体用于：接收网络应用服务器通过应用层 OTA或者 OMA-DM方式推送的第一消息，所述第一消息中包含 CA公钥信息。

33、根据权利要求 23至 32任一项所述的装置，其特征在于，更新单元具体用于： CA公钥信息中包括 CA公钥时，根据所述 CA公钥更新 UE本地的 CA 公钥；

34、一种 CA公钥的更新装置，其特征在于，包括：

确定单元，用于确定 CA公钥信息，所述 CA公钥信息包括： CA公钥或者 CA公钥获取信息；

35、根据权利要求 34所述的装置，其特征在于，还包括：

36、根据权利要求 34所述的装置，其特征在于，第二发送单元具体用于：向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 CA公钥信息。

37、根据权利要求 34所述的装置，其特征在于，第二发送单元具体用于：向 CBE发送 CA公钥信息，以便 CBE通过 CBC广播 PWS报警消息，所述 PWS 报警消息中包含 CA公钥信息。

38、根据权利要求 34所述的装置，其特征在于，确定单元包括：第一接收子单元，用于接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS 报警消息中包含 CA公钥信息；所述 CA公钥信息由 CA发送给 CBE;

39、根据权利要求 34或 38所述的装置，其特征在于，第二发送单元具体用于：向 UE发送 NAS消息，所述 NAS消息中包含 C A公钥信息。

40、根据权利要求 34或 38所述的装置，其特征在于，第二发送单元具体用于：向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。

41、根据权利要求 37至 40任一项所述的装置，其特征在于， PWS报警消息中包含 CA公钥信息时，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS报警消息的安全信元承载。

42、根据权利要求 37至 41任一项所述的装置，其特征在于， PWS报警消息中包含 CA公钥信息时：

43、根据权利要求 37至 42任一项所述的装置，其特征在于， PWS报警消息中包含 CA公钥信息时：

44、根据权利要求 34所述的装置，其特征在于，第二发送单元具体用于：通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 C A公钥信息。

45、一种 UE，其特征在于，包括：

第一数据处理器，用于根据所述 CA公钥或者 CA公钥获取信息，更新 UE 本地的 CA公钥。

46、根据权利要求 45所述的 UE，其特征在于，第一无线收发器还用于：接收第一消息之前，向 CA发送 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA公钥；

47、根据权利要求 45所述的 UE，其特征在于，第一无线收发器具体用于：接收 CA发来的 CA公钥更新消息，所述更新消息中包含 CA公钥信息。

48、根据权利要求 45所述的 UE，其特征在于，第一无线收发器具体用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息，所述 CA公钥信息由 CA发送给 CBE。

49、根据权利要求 48所述的 UE，其特征在于，所述 CA公钥或者 CA公钥获取信息通过 SIB承载，或者通过 PWS报警消息内容承载，或者，通过 PWS 报警消息中的安全信元承载。

50、根据权利要求 48或 49所述的 UE，其特征在于，所述 CA公钥信息还包括： CA公钥更新指示，所述 CA公钥更新指示通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载。

51、根据权利要求 48至 50任一项所述的 UE，其特征在于，所述 CA公钥信息还包括： CA公钥的相关信息，所述 CA公钥的相关信息包括： CA公钥的 ID和 /或有效期;所述 CA公钥的相关信息通过 PWS报警消息中的类型信元承载，或者，通过 PWS报警消息中空闲的 4字节承载，或者，通过 PWS报警消息中的安全信元承载，或者，通过 SIB承载，或者，通过 PWS报警消息内容承载。

52、根据权利要求 45所述的 UE，其特征在于，第一无线收发器具体用于：接收核心网实体发来的 NAS消息，所述 NAS消息中包含 CA公钥信息。

53、根据权利要求 45所述的 UE，其特征在于，第一无线收发器具体用于：接收接入网实体发来的 AS消息，所述 AS消息中包含 CA公钥信息。

54、根据权利要求 45所述的 UE，其特征在于，第一无线收发器具体用于：接收网络应用服务器通过应用层 OTA或者 OMA-DM方式推送的第一消息，所述第一消息中包含 CA公钥信息。

55、根据权利要求 45至 54任一项所述的 UE，其特征在于，第一数据处理器具体用于： CA公钥信息中包括 CA公钥时，根据所述 CA公钥更新 UE本地的 CA公钥；

56、一种 CA，其特征在于，包括：

57、根据权利要求 56所述的 CA，其特征在于，还包括：第二无线收发器还用于：第二数据处理器确定 CA公钥信息之前，接收 UE 发来的 CMPv2协议中的证书请求消息，所述证书请求消息所请求的证书为 CA 公钥；

相应的，第二无线收发器具体用于：向 UE发送 CMPv2协议中的证书响应消息，所述证书响应消息中包含 CA公钥信息。

58、根据权利要求 56所述的 CA，其特征在于，第二无线收发器具体用于：向 UE发送 CA公钥更新消息，所述 CA公钥更新消息中包含 CA公钥信息。

59、根据权利要求 56所述的装置，其特征在于，第二无线收发器具体用于：向 CBE发送 CA公钥信息，以便 CBE通过 CBC广播 PWS报警消息，所述 PWS 报警消息中包含 CA公钥信息。

60、一种核心网实体，其特征在于，包括：

61、根据权利要求 57所述的核心网实体，其特征在于，第三无线收发器还用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息；所述 CA公钥信息由 CA发送给 CBE;

62、根据权利要求 60或 61所述的核心网实体，其特征在于，第三无线收发器具体用于：向 UE发送 NAS消息，所述 NAS消息中包含 C A公钥信息。

63、一种接入网实体，其特征在于，包括：

64、根据权利要求 63所述的接入网实体，其特征在于，第四无线收发器还用于：接收 CBE通过 CBC广播的 PWS报警消息，所述 PWS报警消息中包含 CA公钥信息；所述 CA公钥信息由 CA发送给 CBE;

65、根据权利要求 63或 64所述的接入网实体，其特征在于，第四无线收发器具体用于：向 UE发送 AS消息，所述 AS消息中包含 CA公钥信息。

66、一种网络应用服务器，其特征在于，包括：

67、根据权利要求 66所述的网络应用服务器，其特征在于，第五无线收发器具体用于：通过应用层 OTA或者 OMA-DM方式向 UE推送第一消息，所述第一消息中包含 CA公钥信息。