GD/J 081-2018
基本信息
标准号: GD/J 081-2018
中文名称:应急广播安全保护技术规范数字签名
标准类别:广播电影电视行业标准(GY)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:361897
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GD/J 081-2018.Technical specification for emergencey broadcasting security protection-Digital signature.
本GD/J 081规定了应急广播信息主体文件、应急广播消息指令文件和传输覆盖指令的数字签名安全保护机制。
本GD/J 081适用于应急广播从应急信息接入、制播、调度控制、传输覆盖到接收全流程的安全保护。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注8期的版本适用于本文件。凡是不注日期的引用文件,其最新版本( 包括所有的修改单)适用于本文件。
GB/T 32905- -2016信息安全技术 SM3密码杂凑算法
GB/T 32918 (所有部分)信息安全技术 SM2椭圆 曲线公钥密码算法
3术语和定义
下列术语和定义适用于本文件。
3.1应急广播消息emer gency broadcasting message各级应急广播平台之间,以及应急广播平台到广播电视频率频道播出系统、各类应急广播传输覆盖资源和终端之间传递的播发指令等相关数据。应急广播消息包括应急广播信息主体文件、应急广^播信息主体签名文件、应急广播节目资源文件、应急广播消息指令文件、应急广播消息指令签名文件。
3.2应急广播数字证书emergency broadcasting certificate由数字证书签发编号和数字证书编号唯--标识,包括数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息、数字签名信息等,用于应急广播各级系统之间、系统与终端之间的认证。
3.3数字签名digital signature附加在数据单元上的数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性,并保护数据防止被人(例如接收者)伪造或抵赖。
本GD/J 081规定了应急广播信息主体文件、应急广播消息指令文件和传输覆盖指令的数字签名安全保护机制。
本GD/J 081适用于应急广播从应急信息接入、制播、调度控制、传输覆盖到接收全流程的安全保护。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注8期的版本适用于本文件。凡是不注日期的引用文件,其最新版本( 包括所有的修改单)适用于本文件。
GB/T 32905- -2016信息安全技术 SM3密码杂凑算法
GB/T 32918 (所有部分)信息安全技术 SM2椭圆 曲线公钥密码算法
3术语和定义
下列术语和定义适用于本文件。
3.1应急广播消息emer gency broadcasting message各级应急广播平台之间,以及应急广播平台到广播电视频率频道播出系统、各类应急广播传输覆盖资源和终端之间传递的播发指令等相关数据。应急广播消息包括应急广播信息主体文件、应急广^播信息主体签名文件、应急广播节目资源文件、应急广播消息指令文件、应急广播消息指令签名文件。
3.2应急广播数字证书emergency broadcasting certificate由数字证书签发编号和数字证书编号唯--标识,包括数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息、数字签名信息等,用于应急广播各级系统之间、系统与终端之间的认证。
3.3数字签名digital signature附加在数据单元上的数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性,并保护数据防止被人(例如接收者)伪造或抵赖。
标准图片预览
标准内容
中华人民共和国广播电视暂行技术文件GD/J081—2018
应急广播安全保护技术规范
数字签名
Technical specification for emergencey broadcasting security protection-Digital signature
2018-10-12发布
国家广播电视总局科技司
2018-10-12实施
规范性引用文件
术语和定义
缩略语
应急广播数字签名保护机制
应急广播数字签名协议
附录A(规范性附录)
附录B
附录C
(资料性附录)
(规范性附录)
(资料性附录)
附录D
应急广播消息签名文件Schema
应急广播消息签名文件实例
应急广播消息签名文件Schema
应急广播消息签名文件实例
GD/J081—2018
GD/J0812018
本技术文件按照GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本技术文件由国家广播电视总局科技司归口。本技术文件起草单位:国家广播电视总局广播科学研究院、江西省新闻出版广电局、北京江南天安科技有限公司、杭州图南电子股份有限公司、杭州工信光电子有限公司、北京数码视讯科技股份有限公司、成都德芯数字科技股份有限公司。本技术文件主要起草人:郭沛宇、李晓鸣、张乃光、赵云辉、蔡旦颖、李国、朱家雄、赵震、蒋金甫、刘春江、丁森华、马艳、席岩、栗志国、赵镜平、张振兴。11
1范围
应急广播安全保护技术规范数字签名GD/J081—2018
本技术文件规定了应急广播信息主体文件、应急广播消息指令文件和传输覆盖指令的数字签名安全保护机制。
本技术文件适用于应急广播从应急信息接入、制播、调度控制、传输覆盖到接收全流程的安全保护。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T32905—2016信息安全技术SM3密码杂凑算法GB/T32918(所有部分)信息安全技术SM2椭圆曲线公钥密码算法3术语和定义
下列术语和定义适用于本文件。3.1
应急广播消息emergencybroadcastingmessage各级应急广播平台之间,以及应急广播平台到广播电视频率频道播出系统、各类应急广播传输覆盖资源和终端之间传递的播发指令等相关数据。应急广播消息包括应急广播信息主体文件、应急广播信息主体签名文件、应急广播节目资源文件、应急广播消息指令文件、应急广播消息指令签名文件。3.2
应急广播数字证书emergencybroadcastingcertificate由数字证书签发编号和数字证书编号唯一标识,包括数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息、数字签名信息等,用于应急广播各级系统之间、系统与终端之间的认证。
数字签名digital signature
附加在数据单元上的数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性,并保护数据防止被人(例如接收者)伪造或抵赖,3.4
应急广播数字证书管理系统emergencybroadcastingcertificatemanagementsystemGD/J0812018
进行应急广播各级系统和接收端数字证书生成、发放和撤销的管理系统,3.5
应急广播证书授权列表emergencybroadcastingcertificatesauthorizationIlist由应急广播数字证书管理系统签发的证书授权列表,包括:接收端编号、证书授权序列号、证书数量、证书编号列表、数字签名,用于规定应急广播各级系统和接收端的信任关系。3.6
应急广播数字证书安全代理emergencybroadcastingcertificatesecurityproxy应急广播数字证书管理系统与应急广播各级系统的安全通信代理,向应急广播证书管理系统申请本级系统的数字证书,以及申请本级系统各设备和接收端的证书授权列表。3.7
应急广播传输覆盖指令emergencybroadcastingtransmission coverage command面向不同的传输覆盖网络类型,将应急广播消息指令进行适配处理后生成的控制指令。4缩略语
下列缩略语适用手本文件。
uimsbf无符号整数,高位在前(unsignedintegermostsignificantbitfirst)XML可扩展标记语言(ExtensibleMarkupLanguage)5应急广播数字签名保护机制
5.1概述
为保障国家应急广播体系各级系统之间应急广播消息和传输覆盖指令传输的安全性,确保应急广播各级系统仅接收和处理合法的应急广播消息和指令,防止非法攻击干扰正常社会秩序,需要采用相应的安全手段保障应急厂播消息和指令的真实性、合法性、完整性。应急厂播消息和指令的安全保护机制采用数学签名和数学证书技术实现。应急厂播各平台之间传递的应急广播消息以及在广播电视传输覆盖网中传递的应急广播传输覆盖指令采用基于非对称密码算法的数字签名技术实现真实性、合法性和完整性保护。应急广播消息和指令的发送端采用自身的私钥,对应急厂播信息主体文件、应急厂播节目资源文件、应急广播消息指令文件和应急厂播传输覆盖指令计算数字签名,并将数字签名附带在应急广播消息和传输覆盖数据中传递,应急广播消息和应急广播传输覆盖数据的接收端采用发送端的公钥对数字签名进行验证,确保接收端只接收合法的应急广播消息,只处理合法的应急广播指令。应急广播数字签名的密码算法采用GB/T32918、GB/T32905一2016规定的SM2、SM3算法。
应急厂播各级系统及接收端采用数学证书技术实现数学签名用密钥的分发、认证与撤销。应急广播数字证书管理系统负责应急广播各级系统及接收端数字证书的申请、生成、分发与撤销,应急广播数字证书及应急广播证书授权列表的传递及更新。5.2应急广播信息的数字签名机制2
GD/J0812018
应急广播信息采用数字签名方式实现其真实性、合法性和完整性保护。应急广播节目资源文件的摘要存储在应急广播信息主体文件中,应急广播信息主体文件采用应急广播平台制作播发系统的私钥进行签名,该签名存储在应急广播信息签名文件中,应急广播信息签名文件中包含了应急广播信息主体文件的标识。
信息文件
信息文件
计算数字签名
发送端私钥
签名文件
图1应急广播信息的数字签名机制应急广播信息签名文件格式见6.3。5.3应急广播消息的数字签名机制验证数字签名
发送端数字证书
应急广播各级系统之间的应急广播消息传递采用XML文件签名的方式进行保护,应急广播平台调度控制系统组织好待签名的XML格式应急广播消息后,使用应急广播平台调度控制系统的私钥进行签名,签名结果以XML签名文件形式与应急广播消息文件一起发送。接收时使用应急广播平台调度控制系统数字证书和XML签名文件对应急广播消息文件进行签名验证,确认应急广播消息的真实性、合法性和完整性,应急广播消息的数字签名机制如图2所示。XML消息文件
XML消息文件
计算数字签名
发送端私钥
XML签名文件
图2应急广播消息的数字签名机制应急广播消息签名文件格式见6.4。5.4应急广播传输覆盖指令数字签名机制验证数字签名
发送端数字证书
应急广播传输覆盖指令采用数字签名机制实现安全保护。应急广播传输覆盖指令发送端将应急广播传输覆盖指令、签名时间等打包,用应急广播传输覆盖指令发送端私钥计算数字签名:应急广播传输覆盖指令发送端将计算出的数字签名与应急广播指令、签名时间和应急广播传输覆盖指令发送端数字证书编号打包传输:应急广播传输覆盖指令接收端接收到应急广播传输覆盖指令后,采用应急广播传输覆盖指令发送端数字证书进行签名验证,如果验证成功则接收端进行处理,接收端不应该执行和处理验证失败的指令。
应急广播传输覆盖指令数字签名机制如图3所示。3
GD/J0812018
应急广播传输
覆盖指令
签名时间
计算数字签名
发送端私钥
应急广播传输
覆盖指令
签名时间
数字证书编号
数字签名
图3应急广播传输覆盖指令数字签名机制5.5应急广播的证书授权机制
应急广播证书授权的步骤如下:a)注册:将应急广播各级设备信息注册到应急广播数字证书安全代理:验证数字签名
发送端数字证书
b)数字证书授权列表生成及签名:证书安全代理根据应急广播平台各级设备的部署方式为各级系统和终端生成其对应的证书授权列表,并向应急广播证书管理系统申请对证书授权列表签名;C)数字证书下发:证书安全代理根据授权列表从应急广播数字证书管理系统获取相应数字证书,将签名的证书授权列表和数字证书发送到应急广播平台,由应急广播平台将证书授权列表数字证书下发到下级平台和终端。
6应急广播数字签名协议
6.1应急广播数字证书格式
应急广播数字证书包括:数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息、数字签名信息等,应急广播数字证书格式见表1。表1
应急广播数字证书格式
CertificateVersion
IssuersN
CertificateSN
CertificateValidate
PublicKey
SignatureData
比特数
uimsbf
uimsbf
uimsbf
uimsbf
uimsbf
uimsbf
应急广播数字证书版本号
应急广播数字证书签发者编号
应急广播数字证书编号
应急广播数字证书有效期
应急广播数字证书公钥数据
应急广播数字证书签名数据
GD/J081—2018
CertificateVersion:应急广播数字证书版本号,指的是当前应急广播数字证书版本,用8个比特表示,其中高4位为大版本编号,低4位为小版本编号,应用本标准版本取值为0x00。IssuerSN:应急广播数字证书签发者编号,指的是签发当前数字证书的数字证书编号,用48比特表示。
CertificateSN:应急广播数字证书编号,指的是当前数字证书编号,用48比特表示,编号0x000000000000~0x0000000000FF的数字证书编号保留为应急广播数字证书管理系统使用,其余编号使用不受限制。
CertificateValidate:应急广播数字证书有效期,用16比特表示,其中高8比特表示年份,是年份减去2000的二进制数,低8比特表示月份,是月份的二进制表示,如2018年8月表示为0x1208。PublicKey:应急广播数字证书公钥数据,指当前应急广播数字证书的公钥,本标准中采用SM2算法公钥长度512比特。
SignatureData:应急及广播数字证书签名数据,指数字证书签发者用其自身私有计算的该数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息等的数字签名,长度为512比特,签名算法默认为SM2/SM3算法。6.2应急广播传输覆盖指令封装协议6.2.1调频与中波方式
本节规定应急广播指令数字签名数据封装协议。应急广播指令的数字签名数据附加在应急广播指令尾部,数字签名数据包括:签名时间、数字证书编号、数字签名三个部分:编码规定见表2。表2数字签名数据编码规定
signature_dataf
SigTime
CertificatesN
Signature
比特数
uimsbf
uimsbf
uimsbf
签名时间
发送端数字证书编号
数字签名数据
SigTime:签名时间,指签名应急广播指令时的当前时间,用32比特UTC时间表示。CertificateSN:发送端数字证书编号,指的是当前指令签名对应的数字证书的编号,用48比特表示。
Signature:数字签名数据,指的是当前指令的数字签名,用512比特表示。6.2.2数字电视方式
在数字电视传输方式中,在应急广播表(包含应急广播索引表和应急广播内容表)数据后面增加数字签名,实现应急广播表数据的安全保护,数字签名由数字签名长度、数字签名数据两个字段构成,数字签名长度用于指示应急广播表中数字签名数据的长度;数字签名数据包含应急广播表的数字签名信息,用于保障当前表数据的真实性、合法性和完整性。接收端接收到应急广播表后应验证其中数字签名的有效性,如果签名验证不通过,应放弃对当前表分段的处理。应急广播表中增加的数字签名语法见表3。
GD/J0812018
signature length
for (1=0:1signature_dataO
表3应急广播表数字签名语法
标识符
uimsbf
signature_length:数字签名长度,16位字段,用于指示应急广播消息表数字签名数据的字节长度。signature_data(:数字签名数据,数字签名数据包含应急广播消息表的数字签名信息。数字签名数据的语法格式见表2。
应急广播信息签名文件格式
应急广播信息签名文件中包括:版本号、关联应急广播信息主体文件索引信息、签名证书序列号、签名算法和签名值,以XML语法进行描述,语法结构见表4。表4应急广播信息签名文件语法结构名称
Signature
Version
RelatedEBInfo
EBInfoID
CertSN
SignatureAlgorithm
SignatureValue
层次关系
Signature
Signature, Version
Signature.RelatedEBInfo
Signature.RelatedEBInfo.EBInfoIDSignature. CertSN
Signature.SignatureAlgorithmSignature.SignatureValue
复合类型
复合类型
字符串
字符串
字符串
字符串
可选/必
应急广播信息签名数据
结构体
协议版本号
关联应急广播信息文件
索引列表
关联应急广播信息主体
文件索引信息
证书序列号
签名算法
签名值
Signature.Version:应急广播信息签名文件格式版本号,整数类型应用本标准版本时为l。Signature.RelatedEBInfo:关联应急广播信息主体文件索引信息,其下级元素为被签名的应急广播信息主体文件索引信息。
Signature.RelatedEBInfo.EBInfoID:关联应急广播信息主体文件ID,字符串类型。Signature.CertSN:证书序列号,为签名应急广播信息所用的证书的序列号,证书序列号为表1中证书序列号的十六进制字符串表示。Signature.SignatureAlgorithm:签名算法固定为字符串“SM2-SM3”Signature.SignatureValue:签名值为签名数据的Base64编码,签名数据的语法格式见表2。应急广播信息签名文件Schema见资料性附录C,实例见资料性附录D。6.4应急广播消息签名文件格式
应急广播消息签名文件中包括版本号、关联应急广播业务数据包索引信息、签名证书序列号、签名算法和签名值,以XML语法进行描述,语法结构见表5。6
Signature
Version
RelatedEBD
CertSN
SignatureAlgorithm
SignatureValue
表5应急广播消息签名文件语法结构层次关系
Signature
Signature. Version
Signature.RelatedEBD
Signature.RelatedEBD.EBDID
Signature. CertSN
Signature.SignatureAlgorithmSignature.SignatureValue
复合类型
复合类型
字符串
字符串
字符串
字符串
可选/必
GD/J0812018
应急广播消息签名数据
结构体
协议版本号
关联应急广播业务数据
关联业务数据包ID
证书序列号
签名算法
签名值
Signature.Version:应急广播消息签名文件格式版本号,整数类型,应用本标准版本取值为l。Signature.RelatedEBD:关联应急广播业务数据索引信息,其下级元素为被签名的应急广播业务数据包ID。bzxz.net
Signature.RelatedEBD.EBDID:关联应急广播业务数据包ID,字符串类型。Signature.CertSN:证书序列号,为签名应急广播消息所用的证书的序列号,证书序列号为表1中证书序列号的十六进制字符串表示。Signature.SignatureAlgorithm:签名算法固定为字符串“SM2-SM3”Signature.SignatureValue:签名值为签名数据的Base64编码,签名数据的语法格式见表2。应急广播消息签名文件Schema见规范性附录A,实例见资料性附录B。6.5应急广播证书授权协议
该协议主要用于应急广播系统中更新应急广播发送端的数字证书到应急广播各级接收系统,应急广播数字证书授权列表包括:接收端编号、证书授权序列号、证书数量、证书编号列表、数字签名,证书授权列表格式如表6所示。
应急广播数字证书授权列表
ReceiverSN
CertsAuthSN
CertsCount
CertSNs
Signature
比特数
uimsbf
uimsbf
uimsbf
uimsbf
uimsbf
uimsbf
接收端编号
证书授权序列号
证书数量
证书编号列表
签名证书编号
数字签名
ReceiverSN:接收端编号,48比特,指的是接收证书授权列表的设备的证书编号。CertsAuthSN:证书授权序列号,8比特,按顺序递增。CertsCount:证书数量,8比特,指的是该证书授权列表中包含的证书的数量。CertSNs:证书编号列表,N*48比特,指的是证书授权列表中所有的证书序列号,这里的N指的是证书数量。
GD/J0812018
SigSN:签名证书编号,48比特,指的是签名该证书授权列表所使用的证书的编号Signature:数字签名数据,512比特,指的是对数字签名数据之前的所有字段所计算的数字签名,该数字签名采用SM2数字签名算法o
附录A
(规范性附录)
应急广播消息签名文件Schema
GD/J0812018
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
应急广播安全保护技术规范
数字签名
Technical specification for emergencey broadcasting security protection-Digital signature
2018-10-12发布
国家广播电视总局科技司
2018-10-12实施
规范性引用文件
术语和定义
缩略语
应急广播数字签名保护机制
应急广播数字签名协议
附录A(规范性附录)
附录B
附录C
(资料性附录)
(规范性附录)
(资料性附录)
附录D
应急广播消息签名文件Schema
应急广播消息签名文件实例
应急广播消息签名文件Schema
应急广播消息签名文件实例
GD/J081—2018
GD/J0812018
本技术文件按照GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本技术文件由国家广播电视总局科技司归口。本技术文件起草单位:国家广播电视总局广播科学研究院、江西省新闻出版广电局、北京江南天安科技有限公司、杭州图南电子股份有限公司、杭州工信光电子有限公司、北京数码视讯科技股份有限公司、成都德芯数字科技股份有限公司。本技术文件主要起草人:郭沛宇、李晓鸣、张乃光、赵云辉、蔡旦颖、李国、朱家雄、赵震、蒋金甫、刘春江、丁森华、马艳、席岩、栗志国、赵镜平、张振兴。11
1范围
应急广播安全保护技术规范数字签名GD/J081—2018
本技术文件规定了应急广播信息主体文件、应急广播消息指令文件和传输覆盖指令的数字签名安全保护机制。
本技术文件适用于应急广播从应急信息接入、制播、调度控制、传输覆盖到接收全流程的安全保护。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T32905—2016信息安全技术SM3密码杂凑算法GB/T32918(所有部分)信息安全技术SM2椭圆曲线公钥密码算法3术语和定义
下列术语和定义适用于本文件。3.1
应急广播消息emergencybroadcastingmessage各级应急广播平台之间,以及应急广播平台到广播电视频率频道播出系统、各类应急广播传输覆盖资源和终端之间传递的播发指令等相关数据。应急广播消息包括应急广播信息主体文件、应急广播信息主体签名文件、应急广播节目资源文件、应急广播消息指令文件、应急广播消息指令签名文件。3.2
应急广播数字证书emergencybroadcastingcertificate由数字证书签发编号和数字证书编号唯一标识,包括数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息、数字签名信息等,用于应急广播各级系统之间、系统与终端之间的认证。
数字签名digital signature
附加在数据单元上的数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性,并保护数据防止被人(例如接收者)伪造或抵赖,3.4
应急广播数字证书管理系统emergencybroadcastingcertificatemanagementsystemGD/J0812018
进行应急广播各级系统和接收端数字证书生成、发放和撤销的管理系统,3.5
应急广播证书授权列表emergencybroadcastingcertificatesauthorizationIlist由应急广播数字证书管理系统签发的证书授权列表,包括:接收端编号、证书授权序列号、证书数量、证书编号列表、数字签名,用于规定应急广播各级系统和接收端的信任关系。3.6
应急广播数字证书安全代理emergencybroadcastingcertificatesecurityproxy应急广播数字证书管理系统与应急广播各级系统的安全通信代理,向应急广播证书管理系统申请本级系统的数字证书,以及申请本级系统各设备和接收端的证书授权列表。3.7
应急广播传输覆盖指令emergencybroadcastingtransmission coverage command面向不同的传输覆盖网络类型,将应急广播消息指令进行适配处理后生成的控制指令。4缩略语
下列缩略语适用手本文件。
uimsbf无符号整数,高位在前(unsignedintegermostsignificantbitfirst)XML可扩展标记语言(ExtensibleMarkupLanguage)5应急广播数字签名保护机制
5.1概述
为保障国家应急广播体系各级系统之间应急广播消息和传输覆盖指令传输的安全性,确保应急广播各级系统仅接收和处理合法的应急广播消息和指令,防止非法攻击干扰正常社会秩序,需要采用相应的安全手段保障应急厂播消息和指令的真实性、合法性、完整性。应急厂播消息和指令的安全保护机制采用数学签名和数学证书技术实现。应急厂播各平台之间传递的应急广播消息以及在广播电视传输覆盖网中传递的应急广播传输覆盖指令采用基于非对称密码算法的数字签名技术实现真实性、合法性和完整性保护。应急广播消息和指令的发送端采用自身的私钥,对应急厂播信息主体文件、应急厂播节目资源文件、应急广播消息指令文件和应急厂播传输覆盖指令计算数字签名,并将数字签名附带在应急广播消息和传输覆盖数据中传递,应急广播消息和应急广播传输覆盖数据的接收端采用发送端的公钥对数字签名进行验证,确保接收端只接收合法的应急广播消息,只处理合法的应急广播指令。应急广播数字签名的密码算法采用GB/T32918、GB/T32905一2016规定的SM2、SM3算法。
应急厂播各级系统及接收端采用数学证书技术实现数学签名用密钥的分发、认证与撤销。应急广播数字证书管理系统负责应急广播各级系统及接收端数字证书的申请、生成、分发与撤销,应急广播数字证书及应急广播证书授权列表的传递及更新。5.2应急广播信息的数字签名机制2
GD/J0812018
应急广播信息采用数字签名方式实现其真实性、合法性和完整性保护。应急广播节目资源文件的摘要存储在应急广播信息主体文件中,应急广播信息主体文件采用应急广播平台制作播发系统的私钥进行签名,该签名存储在应急广播信息签名文件中,应急广播信息签名文件中包含了应急广播信息主体文件的标识。
信息文件
信息文件
计算数字签名
发送端私钥
签名文件
图1应急广播信息的数字签名机制应急广播信息签名文件格式见6.3。5.3应急广播消息的数字签名机制验证数字签名
发送端数字证书
应急广播各级系统之间的应急广播消息传递采用XML文件签名的方式进行保护,应急广播平台调度控制系统组织好待签名的XML格式应急广播消息后,使用应急广播平台调度控制系统的私钥进行签名,签名结果以XML签名文件形式与应急广播消息文件一起发送。接收时使用应急广播平台调度控制系统数字证书和XML签名文件对应急广播消息文件进行签名验证,确认应急广播消息的真实性、合法性和完整性,应急广播消息的数字签名机制如图2所示。XML消息文件
XML消息文件
计算数字签名
发送端私钥
XML签名文件
图2应急广播消息的数字签名机制应急广播消息签名文件格式见6.4。5.4应急广播传输覆盖指令数字签名机制验证数字签名
发送端数字证书
应急广播传输覆盖指令采用数字签名机制实现安全保护。应急广播传输覆盖指令发送端将应急广播传输覆盖指令、签名时间等打包,用应急广播传输覆盖指令发送端私钥计算数字签名:应急广播传输覆盖指令发送端将计算出的数字签名与应急广播指令、签名时间和应急广播传输覆盖指令发送端数字证书编号打包传输:应急广播传输覆盖指令接收端接收到应急广播传输覆盖指令后,采用应急广播传输覆盖指令发送端数字证书进行签名验证,如果验证成功则接收端进行处理,接收端不应该执行和处理验证失败的指令。
应急广播传输覆盖指令数字签名机制如图3所示。3
GD/J0812018
应急广播传输
覆盖指令
签名时间
计算数字签名
发送端私钥
应急广播传输
覆盖指令
签名时间
数字证书编号
数字签名
图3应急广播传输覆盖指令数字签名机制5.5应急广播的证书授权机制
应急广播证书授权的步骤如下:a)注册:将应急广播各级设备信息注册到应急广播数字证书安全代理:验证数字签名
发送端数字证书
b)数字证书授权列表生成及签名:证书安全代理根据应急广播平台各级设备的部署方式为各级系统和终端生成其对应的证书授权列表,并向应急广播证书管理系统申请对证书授权列表签名;C)数字证书下发:证书安全代理根据授权列表从应急广播数字证书管理系统获取相应数字证书,将签名的证书授权列表和数字证书发送到应急广播平台,由应急广播平台将证书授权列表数字证书下发到下级平台和终端。
6应急广播数字签名协议
6.1应急广播数字证书格式
应急广播数字证书包括:数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息、数字签名信息等,应急广播数字证书格式见表1。表1
应急广播数字证书格式
CertificateVersion
IssuersN
CertificateSN
CertificateValidate
PublicKey
SignatureData
比特数
uimsbf
uimsbf
uimsbf
uimsbf
uimsbf
uimsbf
应急广播数字证书版本号
应急广播数字证书签发者编号
应急广播数字证书编号
应急广播数字证书有效期
应急广播数字证书公钥数据
应急广播数字证书签名数据
GD/J081—2018
CertificateVersion:应急广播数字证书版本号,指的是当前应急广播数字证书版本,用8个比特表示,其中高4位为大版本编号,低4位为小版本编号,应用本标准版本取值为0x00。IssuerSN:应急广播数字证书签发者编号,指的是签发当前数字证书的数字证书编号,用48比特表示。
CertificateSN:应急广播数字证书编号,指的是当前数字证书编号,用48比特表示,编号0x000000000000~0x0000000000FF的数字证书编号保留为应急广播数字证书管理系统使用,其余编号使用不受限制。
CertificateValidate:应急广播数字证书有效期,用16比特表示,其中高8比特表示年份,是年份减去2000的二进制数,低8比特表示月份,是月份的二进制表示,如2018年8月表示为0x1208。PublicKey:应急广播数字证书公钥数据,指当前应急广播数字证书的公钥,本标准中采用SM2算法公钥长度512比特。
SignatureData:应急及广播数字证书签名数据,指数字证书签发者用其自身私有计算的该数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息等的数字签名,长度为512比特,签名算法默认为SM2/SM3算法。6.2应急广播传输覆盖指令封装协议6.2.1调频与中波方式
本节规定应急广播指令数字签名数据封装协议。应急广播指令的数字签名数据附加在应急广播指令尾部,数字签名数据包括:签名时间、数字证书编号、数字签名三个部分:编码规定见表2。表2数字签名数据编码规定
signature_dataf
SigTime
CertificatesN
Signature
比特数
uimsbf
uimsbf
uimsbf
签名时间
发送端数字证书编号
数字签名数据
SigTime:签名时间,指签名应急广播指令时的当前时间,用32比特UTC时间表示。CertificateSN:发送端数字证书编号,指的是当前指令签名对应的数字证书的编号,用48比特表示。
Signature:数字签名数据,指的是当前指令的数字签名,用512比特表示。6.2.2数字电视方式
在数字电视传输方式中,在应急广播表(包含应急广播索引表和应急广播内容表)数据后面增加数字签名,实现应急广播表数据的安全保护,数字签名由数字签名长度、数字签名数据两个字段构成,数字签名长度用于指示应急广播表中数字签名数据的长度;数字签名数据包含应急广播表的数字签名信息,用于保障当前表数据的真实性、合法性和完整性。接收端接收到应急广播表后应验证其中数字签名的有效性,如果签名验证不通过,应放弃对当前表分段的处理。应急广播表中增加的数字签名语法见表3。
GD/J0812018
signature length
for (1=0:1
表3应急广播表数字签名语法
标识符
uimsbf
signature_length:数字签名长度,16位字段,用于指示应急广播消息表数字签名数据的字节长度。signature_data(:数字签名数据,数字签名数据包含应急广播消息表的数字签名信息。数字签名数据的语法格式见表2。
应急广播信息签名文件格式
应急广播信息签名文件中包括:版本号、关联应急广播信息主体文件索引信息、签名证书序列号、签名算法和签名值,以XML语法进行描述,语法结构见表4。表4应急广播信息签名文件语法结构名称
Signature
Version
RelatedEBInfo
EBInfoID
CertSN
SignatureAlgorithm
SignatureValue
层次关系
Signature
Signature, Version
Signature.RelatedEBInfo
Signature.RelatedEBInfo.EBInfoIDSignature. CertSN
Signature.SignatureAlgorithmSignature.SignatureValue
复合类型
复合类型
字符串
字符串
字符串
字符串
可选/必
应急广播信息签名数据
结构体
协议版本号
关联应急广播信息文件
索引列表
关联应急广播信息主体
文件索引信息
证书序列号
签名算法
签名值
Signature.Version:应急广播信息签名文件格式版本号,整数类型应用本标准版本时为l。Signature.RelatedEBInfo:关联应急广播信息主体文件索引信息,其下级元素为被签名的应急广播信息主体文件索引信息。
Signature.RelatedEBInfo.EBInfoID:关联应急广播信息主体文件ID,字符串类型。Signature.CertSN:证书序列号,为签名应急广播信息所用的证书的序列号,证书序列号为表1中证书序列号的十六进制字符串表示。Signature.SignatureAlgorithm:签名算法固定为字符串“SM2-SM3”Signature.SignatureValue:签名值为签名数据的Base64编码,签名数据的语法格式见表2。应急广播信息签名文件Schema见资料性附录C,实例见资料性附录D。6.4应急广播消息签名文件格式
应急广播消息签名文件中包括版本号、关联应急广播业务数据包索引信息、签名证书序列号、签名算法和签名值,以XML语法进行描述,语法结构见表5。6
Signature
Version
RelatedEBD
CertSN
SignatureAlgorithm
SignatureValue
表5应急广播消息签名文件语法结构层次关系
Signature
Signature. Version
Signature.RelatedEBD
Signature.RelatedEBD.EBDID
Signature. CertSN
Signature.SignatureAlgorithmSignature.SignatureValue
复合类型
复合类型
字符串
字符串
字符串
字符串
可选/必
GD/J0812018
应急广播消息签名数据
结构体
协议版本号
关联应急广播业务数据
关联业务数据包ID
证书序列号
签名算法
签名值
Signature.Version:应急广播消息签名文件格式版本号,整数类型,应用本标准版本取值为l。Signature.RelatedEBD:关联应急广播业务数据索引信息,其下级元素为被签名的应急广播业务数据包ID。bzxz.net
Signature.RelatedEBD.EBDID:关联应急广播业务数据包ID,字符串类型。Signature.CertSN:证书序列号,为签名应急广播消息所用的证书的序列号,证书序列号为表1中证书序列号的十六进制字符串表示。Signature.SignatureAlgorithm:签名算法固定为字符串“SM2-SM3”Signature.SignatureValue:签名值为签名数据的Base64编码,签名数据的语法格式见表2。应急广播消息签名文件Schema见规范性附录A,实例见资料性附录B。6.5应急广播证书授权协议
该协议主要用于应急广播系统中更新应急广播发送端的数字证书到应急广播各级接收系统,应急广播数字证书授权列表包括:接收端编号、证书授权序列号、证书数量、证书编号列表、数字签名,证书授权列表格式如表6所示。
应急广播数字证书授权列表
ReceiverSN
CertsAuthSN
CertsCount
CertSNs
Signature
比特数
uimsbf
uimsbf
uimsbf
uimsbf
uimsbf
uimsbf
接收端编号
证书授权序列号
证书数量
证书编号列表
签名证书编号
数字签名
ReceiverSN:接收端编号,48比特,指的是接收证书授权列表的设备的证书编号。CertsAuthSN:证书授权序列号,8比特,按顺序递增。CertsCount:证书数量,8比特,指的是该证书授权列表中包含的证书的数量。CertSNs:证书编号列表,N*48比特,指的是证书授权列表中所有的证书序列号,这里的N指的是证书数量。
GD/J0812018
SigSN:签名证书编号,48比特,指的是签名该证书授权列表所使用的证书的编号Signature:数字签名数据,512比特,指的是对数字签名数据之前的所有字段所计算的数字签名,该数字签名采用SM2数字签名算法o
附录A
(规范性附录)
应急广播消息签名文件Schema
GD/J0812018
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。