CN100596069C - 家庭网关中IPSec安全策略的自动配置系统和方法 - Google Patents
家庭网关中IPSec安全策略的自动配置系统和方法 Download PDFInfo
- Publication number
- CN100596069C CN100596069C CN200610109663A CN200610109663A CN100596069C CN 100596069 C CN100596069 C CN 100596069C CN 200610109663 A CN200610109663 A CN 200610109663A CN 200610109663 A CN200610109663 A CN 200610109663A CN 100596069 C CN100596069 C CN 100596069C
- Authority
- CN
- China
- Prior art keywords
- ipsec
- security
- parameter
- strategy
- home gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
用户订购业务之后,先由IPSec安全策略服务器根据运营情况和/或客户要求,产生相应的IPSec安全策略,其通过策略数据库或者策略目录的方式实现,其中安全策略中的安全策略参数遵循本发明的参数定义。然后,与IPSec安全策略代理模块间建立连接并传递产生的安全策略参数,在IPSec安全策略服务器模块和IPSec安全策略代理模块之间遵循TR-069的规定,实现ACS和家庭网关之间IPSec安全策略的管理和控制,将相关的信息下发到家庭网关上,并最终由IPSec安全策略代理模块在家庭网关中实现IPSec安全策略的加载,从而实现自动配置的目的。
Description
技术领域
本发明涉及IP网络技术为核心的数据通信领域,特别涉及基于IPSec的安全策略的配置。
背景技术
随着互联网规模的迅速扩大,网络信息资源和用户数量的不断增长,网络安全的问题日益重要,但目前在互联网络应用中安全一直是一个薄弱环节。IPSec(Internet协议安全)是一个网络安全协议,为IP网络通信提供透明的安全服务,可保护IP数据包安全,并有效抵御网络攻击,同时保持易用性。家庭网关作为宽带互联网络的重要设备,将家庭网络中多种类型的终端连接到互联网上,运营商可以提供以家庭网关作为安全入口点,到业务系统以及对端家庭网关之间的安全通道,实现基于IPSec统一而且可控制的身份认证、数据完整性保护以及数据私密性保护。
目前存在的问题是:由于IPSec协议本身管理和控制较为复杂,当运营商部署基于IPSec安全业务时,如何提供自动IPSec安全业务部署和管理能力将至关重要。
在IPSec安全框架结构中,现阶段主要通过IETF(互联网工程任务组)定义的策略系统实现对于IPSec协议的管理和控制,该策略系统中详细定义了安全策略信息模型以及安全策略分发和控制协议。该系统主要存在以下两个方面的问题:
(1)信息模型方面,该模型是基于面向对象的安全策略信息模型,主要是面向设备和网络层面的信息表达,对于业务和应用的表示能力有限,同时厂商设备对该模型支持能力有限,且不同厂商的定义存在不一致等方面的问题;
(2)策略分发方面,围绕SNMP(简单网络管理协议)或者COPS(通用开放策略业务)建立的安全策略分发协议,主要是为了解决网络配置自动化的问题,通过直接存取和设置与设备紧密相关的MIB(管理信息库)或者PIB(策略信息库)信息实现对于网络的管理和控制,这种方法对于上层业务和应用而言不能有效屏蔽下层网络和设备的差异性,同时基于客户/服务器模式不适合复杂的安全业务交互过程,特别是在业务配置等管理中,基于请求-响应模式的同步、被动工作方式(Synchronized Passive Mode)和基于订购-通知模式的异步、主动工作方式(Asynchronized Positive Mode)往往具有同样的重要性。但是基于SNMP的管理协议在这方面不能满足更加灵活的工作方式的要求。
因此,对于运营商围绕家庭网关部署基于IPSec的安全管理系统时,IETF安全策略系统在支持对于安全业务属性的描述方面和支持主动和被动多种业务管理和交互的工作方式方面,不能满足需要。
TR-069是由DSL(数字用户线路)论坛开发的技术规范,其全称为“CPE广域网管理协议”。它提供了对下一代网络中家庭网络设备进行管理配置的通用框架和协议,用于从网络侧对家庭网络中的网关、路由器、机顶盒等设备进行远程集中管理。在以家庭网关为核心的宽带IP网络环境中,DSL论坛中通过TR-069实现家庭网关和自动配置服务器(ACS-Automatic Configuration Server)之间交互网络和业务配置管理信息。其组网结构如图1所示,通过由宽带接入网互连的BRAS(宽带远程接入服务器)和DSLAM(数字用户线路访问多路复用器),自动配置服务器ACS家庭网关间交互信息,将业务配置信息自动下发到家庭网关。
使用TR-069协议对CPE(用户端设备)设备进行配置,与SNMP/MIB相比较而言主要有以下几个方面的改进:
(1)客户端设备的配置管理覆盖了网络层面和业务层面,将终端系统中复杂业务应用的配置纳入到统一的配置管理框架中;
(2)TR-069底层承载协议采用基于HTTP(超文本传输协议)的SOAP(简单对象访问协议),消息和调用方法采用RPC(远程过程调用),因此利用SOAP消息编码增强对于业务属性的描述能力,而且通过下层承载SSL/TLS(安全套接层/传送层安全)或者HTTP验证摘要保证管理协议的安全性;
(3)采用类似于目录结构的方法和属性定义增强不同厂商设备、不同业务类型等的描述能力,提高管理系统的可扩展性。
但是在TR-069并不涉及IPSec安全方面的内容,其没有定义有关IPSec的参数和配置信息模板,运营商无法基于当前的TR-069实现基于IPSec安全策略的自动部署,因此要使用TR-069方式在例如家庭网关上自动部署IPSec安全策略(配置IPSec相关参数)需要在TR-069的基础上加以改进。
发明内容
本发明的目的是提供一种基于TR-069在家庭网关中自动配置IPSec安全策略的方法和系统。
本发明主要针对家庭网络环境,提出了一种通过扩展家庭网关和自动配置服务器之间的管理控制协议,自动部署IPSec安全策略的新方法。这个方法就是:家庭网关等CPE通过与网络上的一个自动配置服务器通信,获取安全策略的配置参数,然后在本地加载该参数,从而达到自动配置IPSec安全策略的目的。这个通信过程是采用的是TR-069定义的方式。
本系统和方法通过引入安全策略机制实现ACS及安全业务策略服务器与家庭网关等CPE之间IPSec的管理和控制。
根据本发明,提供了一种基于TR-069在家庭网关中自动配置IPSec安全策略的方法,所述方法包括:根据需要,通过自动配置服务器访问策略数据库产生IPSec安全策略,其中IPSec安全策略中的配置参数是遵循TR-069的参数定义规范扩展定义的IPSec用户端设备安全参数;通过用户端设备与自动配置服务器的通信,从自动配置服务器获取IPSec安全策略的配置参数;以及在家庭网关本地加载获取的IPSec安全策略参数,从而实现IPSec安全策略的在家庭网关中的自动配置。
根据本发明,提供了一种基于TR-069在家庭网关中自动配置IPSec安全策略的系统,所述系统包括:自动配置服务器中扩展的IPSec安全策略服务器模块,用于根据需要,访问策略数据库以产生IPSec安全策略,其中IPSec安全策略中的配置参数是遵循TR-069的参数定义规范扩展定义的IPSec用户端设备安全参数;用户端设备中扩展的IPSec安全策略代理模块,用于与IPSec安全策略服务器模块通信,从IPSec安全策略服务器模块获取IPSec安全策略的配置参数;以及家庭网关,用于通过IPSec安全策略代理模块在本地加载获取的IPSec安全策略参数,从而实现IPSec安全策略的在家庭网关中的自动配置。
根据本发明的下面的详细描述并结合附图,本发明上述的和其它的目的、特征、方面和优点将变得更加明显。
附图说明
图1示出当前TR-069中的组网结构图;
图2示出符合TR-069框架结构的根据本发明的安全策略管理系统;
图3示出根据本发明实施例的家庭网关连接始发的静态IPSec安全策略管理控制流程;
图4示出根据本发明实施例的服务器端连接始发的静态IPSec安全策略管理控制流程;
图5示出根据本发明实施例的家庭网关连接始发的动态IPSec安全策略管理控制流程;
图6示出根据本发明实施例的服务器端连接始发的动态IPSec安全策略管理控制流程。
具体实施方式
下面,首先描述根据本发明在TR-069基础上定义的家庭网关安全策略参数。
根据本发明,遵循TR-069的参数定义规范,例如TR-069APPENDIX B CPE PARAMETER,扩展定义了IPSEC CPE安全参数,这部分参数扩展归类于设备和运营相关参数部分,参数例如可定义为“X_ChinaTelecom-COM-CN IPSec”,其中主要包括4部分参量:
(1)IPSec:是IPSec安全顶层对象,其中包括了版本号;
(2)IPSec.PeerIdentification:网络层通信对等实体标识,是通信实体两端网络层的参数,其中包括了源IP地址、目的IP地址、源端口号、目的端口号、传输层协议及IP层数据流方向等网络层的参数;
(3)IPSec.IKENegotiation:IPSec IKE协商过程参数,包括IKE(INTERNET密钥交换)协商方式、加密算法、哈希算法、验证算法和IKE生命周期等IKE协商中用到的参数;
(4)IPSec.IPSecNegotiation:IPSec参数协商过程,包括保护模式、隧道对端网关地址、ESP(封装安全载荷)完整性算法、ESP加密算法和SA(安全关联)生命周期等IPSec协商中用到的参数。
上述涉及IPSEC CPE的扩展的具体参数可例如如下表所示:
| 参量名 | 类型 | 可读 | 可写 | 描述 |
| IPSec | Object | R | IPSec安全顶层对象 | |
| Version | String(16) | R | IPSec安全版本信息 | |
| IPSec.PeerIdenntification | Object | R | W | 网络层通信对等实体标识 |
| SourceIPAddress | String | R | W | 源IP地址 |
| DestIPAddress | String | R | W | 目的IP地址 |
| SourcePort | String | R | W | 源端口号 |
| DestPort | String | R | W | 目的端口号 |
| TransportProtocol | String | R | W | 传输层协议 |
| Direction | String | R | W | IP层数据流方向,分为“Outbound”和“Inbound” |
| IPSec.IKENegotiation | Object | R | W | IPSec IKE协商过程 |
| ExchangeMode | String(16) | R | W | IKE协商方式,分为Main、Aggressive两种模式 |
| CipherAlg | String(16) | R | W | 加密算法,可以是DES、3DES、AES |
| HashAlg | String(16) | R | W | 哈希算法,可以是HMAC-MD5、SHA-1 |
| AuthAlg | String(16) | R | W | 验证算法,可以是PSK、X.509 |
| IKEMaxLifetime | String(16) | R | W | IKE生命周期 |
| IPSec.IPSecNegotiation | Object | R | IPSec参数协商过程 | |
| ProtectionMode | String(16) | R | W | 保护模式,可以是Tunnel、Transport两种模式之一 |
| PeerGateway | String | R | W | 隧道对端网关地址 |
| ESPIntegrity | String(16) | R | W | ESP完整性算法 |
| ESPCipher | String(16) | R | W | ESP加密算法 |
| SALifetime | String(16) | R | W | SA生命周期 |
本领域技术人员应当理解,上述涉及IPSEC CPE的参数定义仅是示例性的,而非用于限制本发明,即不应认为涉及IPSEC CPE的参数仅局限于上述定义。根据实际运营情况和需要,上述参数可以进行修改和变化。
下面参照附图2描述符合TR-069框架结构的安全策略管理系统的系统结构。
图2是在TR-069构架下增加IPSec相关参数配置的安全策略管理系统示意图。从安全策略的角度,该系统分为4层。安全策略管理应用10放在ACS上,CPE 40是安全策略的最终部署点。除ACS/安全策略管理应用10和CPE 40外,中间还包括安全策略业务控制层20和安全策略网络控制层30。其中,ACS/安全策略管理应用10包括用于ACS业务配置管理的ACS业务配置管理模块11和用于安全策略管理应用的安全策略应用模块12。在安全策略业务控制层20上包括IPSec安全策略服务器模块IPSPSM 21及其安全业务策略的策略数据库/目录结构22。根据需要,IPSec安全策略服务器模块IPSPSM 21通过读/写策略数据库和目录结构22,产生要配置到家庭网关42中的安全策略。安全策略网络控制层30负责按某种协议方式传送安全策略,例如SOAP/HTTP/HTTPs(HTTP安全协议)。而包括家庭网关42在内的CPE 40是安全策略的接受点和最终部署点。在CPE 40这一层,IPSec安全策略代理模块IPSPAM 41与IPSPSM 21实现IPSec策略管理和控制的信息交互,并实现IPSec安全策略在例如家庭网关42的本地加载。
通过TR-069定义的方法,包括家庭网关在内的CPE 40可以根据安全业务订购属性,通过SOAP/HTTP/HTTPs协议从ACS获取相应的安全策略,完成在本地的安全策略加载。
下面参照附图2描述主要的逻辑功能实体。
根据本发明,通过扩展原有ACS和家庭网关中的功能模块来支持IPSec安全策略管理和控制。扩展的功能模块主要包括:在ACS上扩展的IPSec安全策略服务器模块IPSPSM(IPSec Policy ServerModule)21;在家庭网关上扩展的IPSec安全策略代理模块IPSPAM(IPSec Policy Agent Module)41。IPSPSM 21与IPSPAM 41之间遵循TR-069的规定,实现ACS和家庭网关之间IPSec安全策略的管理和控制,最终在家庭网关42中实现IPSec安全策略的加载。
下面具体描述IPSec安全策略服务器模块(IPSPSM)21。
IPSPSM 21是在ACS上扩展的一个功能模块,其主要功能是:根据例如业务运营和/或用户业务订购的要求,通过访问策略数据库和目录结构22,产生相应的IPSec安全策略。安全策略以策略数据库或者策略目录的方式实现,其中安全策略参数遵循上述的参数定义。此外,通过例如SOAP/HTTP/HTTPs的方式,与IPSPAM 41间建立连接并传递产生的安全策略参数。IPSPSM 21可以以软件、硬件、固件、电路等各种方式实现,而不局限于任何特定的具体物理结构。
IPSPSM 21支持服务器端始发和家庭网关始发两种连接建立方式。IPSPSM服务器端连接始发例如通过ACS向家庭网关42发送HTTP GET方法中调用RPC Connection Req uest Notification实现。家庭网关连接始发例如通过向ACS发送HTTP POST调用RPCInform Request实现。
接下来,将描述IPSec安全策略代理模块(IPSPAM)41。
IPSPAM 41是家庭网关上扩展的一个模块,其主要功能是:负责与IPSPSM 21实现IPSec策略管理和控制的信息交互过程,接收来自IPSPSM 21的与IPSec安全策略相关的安全参数,以及基于接收的安全参数,实现IPSec安全策略在本地加载。IPSPAM 41可以以软件、硬件、固件、电路等各种方式实现,而不局限于任何特定的具体物理结构。
IPSPAM支持两种工作方式,即一方面支持用户和业务运营所定义的静态的安全策略加载,静态安全策略可以通过服务器端连接始发和家庭网关连接始发来实现;另一方面可以支持用户安全业务动态的安全策略加载。
以下将参照附图3-6具体描述ACS/IPSPSM和家庭网关之间管理和控制流程。
ACS/IPSPSM和家庭网关之间管理和控制有2种实施方式:静态IPSec安全策略实施方式和动态IPSec安全策略实施方式。每种方式又包含服务器端连接始发和家庭网关连接始发。
静态IPSec安全策略实施方式
静态IPSec安全策略适用于用户订购业务时制定的安全策略,例如用户从家庭到公司之间的安全隧道等;另一方面还适用于运营商业务运营中所需要提供的安全业务。静态IPSec安全策略可以通过家庭网关连接始发或者服务器端连接始发的方式,实现从ACS/IPSPSM到家庭网关/IPSPAM安全策略的下载和本地加载,两种连接始发方式增强了管理和控制的灵活性。下面参照附图3-4描述这两种方式。
A.家庭网关连接始发
图3表示了静态IPSec安全策略管理从家庭网关连接始发的控制流,其中传递的参数例如为本发明定义的“X_ChinaTelecom-COM-CN_IPSec”。
在步骤A.1,家庭网关42利用已定义的ACS地址(例如,InternetGatewayDevice.Manage-mentServer.URL)打开到ACS的连接。在步骤A.2,家庭网关42和ACS之间SSL建立安全连接。在步骤A.3,家庭网关42通过HTTP POST发送RPC Inform Request建立到ACS的连接,这个Inform消息用于通知ACS/IPSPSM家庭网关42已经准备就绪,并且等待接受来自ACS/IPSPSM的SOAP-IPSecPolicy请求。在步骤A.4,ACS/IPSPSM通过HTTPResponse发送SOAP request消息到家庭网关/IPSPAM,当确认家庭网关42第一次初始化IPSec协议栈时,通过AddObject方法发送IPSec策略对象到家庭网关42。在步骤A.5,家庭网关/IPSPAM设备完成本地IPSec协议栈的加载后,通过HTTP POST响应AddObject通知ACS/IPSPSM安全策略加载结果。
B.服务器端连接始发
图4表示了静态IPSec安全策略管理从ACS/IPSPSM连接始发的控制流程。这种方式要求家庭网关具备全局可路由的地址,与前一种方式的区别除连接是从服务器发起之外,还需要有一步认证过程。
具体说明如下:
在步骤B.1,ACS/IPSPSM利用HTTP GET建立到家庭网关/IPSPAM的连接请求,服务器端连接始发的前提是家庭网关具备全局可路由的地址(InternetGatewayDevice.ManagementServer.ConnectRequestURL)。在步骤B.2,ACS/IPSPSM到家庭网关/IPSPAM之间的HTTP GET要求采用例如摘要认证,家庭网关必须对ACS摘要身份认证成功执行后进行随后的动作。在步骤B.3,家庭网关/IPSPAM在成功执行身份认证的基础上,建立到ACS/IPSPSM的连接。然后执行步骤B.4~B.7,步骤B.4~B.7执行过程与图3的步骤A.2~A.5相同。在步骤B.4,家庭网关42和ACS之间SSL建立安全连接。在步骤B.5,家庭网关42通过HTTP POST发送RPC InformRequest建立到ACS的连接,这个Inform消息用于通知ACS/IPSPSM家庭网关42已经准备就绪,并且等待接受来自ACS/IPSPSM的SOAP-IPSecPolicy请求。在步骤B.6,ACS/IPSPSM通过HTTPResponse发送SOAP request消息到家庭网关/IPSPAM,当确认家庭网关42第一次初始化IPSec协议栈时,通过AddObject方法发送IPSec策略对象到家庭网关42。在步骤B.7,家庭网关/IPSPAM设备完成本地IPSec协议栈的加载后,通过HTTP POST响应AddObject通知ACS/IPSPSM安全策略加载结果。
动态IPSec安全策略实施方式
在执行静态IPSec安全策略下发过程之后,还可以使用动态方式对安全策略进行修改。动态IPSec安全策略是当IPSec安全参数发生动态变化时,由ACS/IPSPSM动态通知家庭网关/IPSPAM动态修改IPSec安全策略参数,改变IPSec协议栈的安全行为;另外一方面当家庭网关/IPSPAM接收到来自于终端设备动态IPSec安全请求时,可以通过动态IPSec安全策略实施方式,通知ACS/IPSPSM动态下载符合订购安全协议要求的安全策略。动态安全策略方式对于家庭网关/IPSPAM要求较高,而且增加了终端设备和家庭网关/IPSPAM之间的自动IPSec安全协商能力,需要通过其他标准加以规范。
动态IPSec安全策略实施方式前提是在ACS/IPSPSM与家庭网关/IPSPAM之间已经成功执行过一次静态IPSec安全策略过程。和静态过程一样,也分为家庭网关连接始发或者服务器端连接始发两种方式。其执行流程与静态IPSec安全策略实施过程类似,不同之处在于通过HTTP Response执行RPC SetParameterValue动态修改IPSec安全策略参数。下面参照附图5-6描述动态IPSec安全策略实施方式。
图5表示了动态IPSec安全策略管理从家庭网关连接始发的控制流程。与静态方式的图3相比,动态IPSec安全策略管理从家庭网关连接始发的控制流程中的步骤C.1-C.3与图3的步骤A.1-A.3相同,因此,在此不再赘述,其区别仅在于动态IPSec安全策略管理从家庭网关连接始发的控制流程中的步骤C.4-C.5与图3的A.4和A.5不同。在步骤C.4和C.5中,使用了SetParameterValue而不是AddObject。具体地说,在步骤C.4,ACS/IPSPSM通过HTTP Response发送SOAPrequest消息到家庭网关/IPSPAM,通过SetParameterValue方法发送IPSec策略对象到家庭网关42。在步骤C.5,家庭网关/IPSPAM设备完成本地IPSec协议栈的加载后,通过HTTP POST响应SetParameterValue通知ACS/IPSPSM安全策略加载结果。
图6表示了动态IPSec安全策略管理从ACS/IPSPSM连接始发的控制流程,与静态方式的图5相比,动态IPSec安全策略管理从ACS/IPSPSM连接始发的控制流程中的步骤D.1-D.5与图5的步骤B.1-B.5相同,因此,在此不再赘述,其区别仅在于动态IPSec安全策略管理从ACS/IPSPSM连接始发的控制流程的D.6和D.7与图5中的B.6和B.7不同。D.6和D.7中使用了SetParameterValue而不是AddObject。具体地说,在步骤B.6,ACS/IPSPSM通过HTTP Response发送SOAP request消息到家庭网关/IPSPAM,通过SetParameterValue方法发送IPSec策略对象到家庭网关42。在步骤B.7,家庭网关/IPSPAM设备完成本地IPSec协议栈的加载后,通过HTTP POST响应SetParameterValue通知ACS/IPSPSM安全策略加载结果。
因此,根据本发明,通过扩展原有ACS和家庭网关中的功能模块支持IPSec安全策略管理和控制。即在ACS上扩展IPSec安全策略服务器模块IPSPSM 21,在家庭网关上扩展IPSec安全策略代理模块IPSPAM 41。
用户订购业务之后,先由IPSPSM模块根据运营情况和/或客户要求,产生相应的IPSec安全策略,其通过策略数据库或者策略目录的方式实现,其中安全策略中的安全策略参数遵循上述的参数定义。然后,与IPSPAM模块间建立连接并传递产生的安全策略参数,在IPSPSM模块和IPSPAM模块之间遵循TR-069的规定,实现ACS和家庭网关之间IPSec安全策略的管理和控制,将相关的信息下发到家庭网关上,并最终由IPSPAM模块在家庭网关中实现IPSec安全策略的加载,从而达到自动配置的目的。
虽然本发明的详细说明是针对示范实施例的,但对于本领域技术人员来说,这些实施例的各种修改形式以及替换形式都是可设想的。因此,本发明涵盖了所有在所附权利要求明确的本发明保护范围内的修改形式和替换形式。
Claims (44)
1、一种基于TR-069在家庭网关中自动配置IPSec安全策略的方法,所述方法包括:
根据需要,通过自动配置服务器访问策略数据库产生IPSec安全策略,其中IPSec安全策略中的配置参数是遵循TR-069的参数定义规范扩展定义的IPSec用户端设备安全参数;
通过用户端设备与自动配置服务器的通信,从自动配置服务器获取IPSec安全策略的配置参数;以及
在家庭网关本地加载获取的IPSec安全策略参数,从而实现IPSec安全策略的在家庭网关中的自动配置。
2.根据权利要求1的方法,其中访问策略数据库产生IPSec安全策略是通过自动配置服务器中扩展的IPSec安全策略服务器模块执行的。
3.根据权利要求2的方法,其中通过用户端设备与自动配置服务器的通信从自动配置服务器获取IPSec安全策略的配置参数是通过用户端设备中扩展的IPSec安全策略代理模块执行的。
4.根据权利要求3的方法,其中在IPSec安全策略服务器模块与IPSec安全策略代理模块之间通过SOAP传送安全策略的配置参数。
5.根据权利要求4的方法,其中通过IPSec安全策略服务器模块访问策略数据库产生IPSec安全策略是根据用户的业务订购或根据运营商业务运营中所需要提供的安全业务进行的。
6.根据权利要求5的方法,其中IPSec安全策略参数在家庭网关的自动配置是服务器端连接始发的静态IPSec安全策略配置。
7.根据权利要求5的方法,其中IPSec安全策略参数在家庭网关的自动配置是家庭网关连接始发的静态IPSec安全策略配置。
8.根据权利要求6的方法,其中IPSec安全策略服务器模块通过HTTP Response发送SOAP request消息到IPSec安全策略代理模块,当确认家庭网关第一次初始化IPSec协议栈时,通过AddObject方法发送IPSec策略到家庭网关。
9.根据权利要求7的方法,其中包括家庭网关对所述自动配置服务器采用摘要身份认证。
10.根据权利要求6的方法,还包括:
在服务器端连接始发的静态IPSec安全策略配置之后,如果IPSec安全参数发生动态变化时,由IPSec安全策略服务器模块动态通知IPSec安全策略代理模块动态修改IPSec安全策略参数。
11.根据权利要求6的方法,还包括:
在服务器端连接始发的静态IPSec安全策略配置之后,当IPSec安全策略代理模块接收到来自于用户端设备动态IPSec安全请求时,通知IPSec安全策略服务器模块动态下载符合订购安全协议要求的安全策略。
12.根据权利要求7的方法,还包括:
在家庭网关连接始发的静态IPSec安全策略配置之后,如果IPSec安全参数发生动态变化时,由IPSec安全策略服务器模块动态通知IPSec安全策略代理模块动态修改IPSec安全策略参数。
13.根据权利要求7的方法,还包括:
在家庭网关连接始发的静态IPSec安全策略配置之后,当IPSec安全策略代理模块接收到来自于用户端设备动态IPSec安全请求时,通知IPSec安全策略服务器模块动态下载符合订购安全协议要求的安全策略。
14.根据权利要求10的方法,其中动态修改IPSec安全策略参数是服务器端连接始发的。
15.根据权利要求11的方法,其中动态下载符合订购安全协议要求的安全策略是服务器端连接始发的。
16.根据权利要求12的方法,其中动态修改IPSec安全策略参数是服务器端连接始发的。
17.根据权利要求13的方法,其中动态下载符合订购安全协议要求的安全策略是服务器端连接始发的。
18.根据权利要求10的方法,其中动态修改IPSec安全策略参数是家庭网关连接始发的。
19.根据权利要求11的方法,其中动态下载符合订购安全协议要求的安全策略是家庭网关连接始发的。
20.根据权利要求12的方法,其中动态修改IPSec安全策略参数是家庭网关连接始发的。
21.根据权利要求13的方法,其中动态下载符合订购安全协议要求的安全策略是家庭网关连接始发的。
22.根据权利要求10-21之任一的方法,其中IPSec安全策略服务器模块通过HTTP Response发送SOAP request消息到IPSec安全策略代理模块,通过SetParameterValue方法发送IPSec策略到家庭网关。
23.根据权利要求1的方法,其中预先定义的配置参数至少包括以下参数之一:IPSec安全顶层对象参数IPSec、网络层通信对等实体标识参数IPSec.PeerIdentification、IPSec IKE协商过程参数IPSec.IKENegotiation和参数协商过程参数IPSec.IPSecNegotiation。
24.根据权利要求23的方法,其中IPSec.PeerIdentification是通信实体两端网络层的参数,其包括源IP地址、目的IP地址、源端口号、目的端口号、传输层协议及IP层数据流方向的网络层的参数中的至少一个。
25.根据权利要求23的方法,其中IPSec.IKENegotiation包括作为IKE协商中用到的参数的IKE协商方式、加密算法、哈希算法、验证算法和IKE生命周期中的至少一个。
26.根据权利要求23的方法,其中IPSec.IPSecNegotiation包括作为IPSec协商中用到的参数的保护模式、隧道对端网关地址、ESP完整性算法、ESP加密算法和SA生命周期中的至少一个。
27、一种基于TR-069在家庭网关中自动配置IPSec安全策略的系统,所述系统包括:
自动配置服务器中扩展的IPSec安全策略服务器模块,用于根据需要,访问策略数据库以产生IPSec安全策略,其中IPSec安全策略中的配置参数是遵循TR-069的参数定义规范扩展定义的IPSec用户端设备安全参数;
用户端设备中扩展的IPSec安全策略代理模块,用于与IPSec安全策略服务器模块通信,从IPSec安全策略服务器模块获取IPSec安全策略的配置参数;以及
家庭网关,用于通过IPSec安全策略代理模块在本地加载获取的IPSec安全策略参数,从而实现IPSec安全策略的在家庭网关中的自动配置。
28.根据权利要求27的系统,其中在IPSec安全策略服务器模块与IPSec安全策略代理模块之间通过SOAP进行传送安全策略的配置参数。
29.根据权利要求27的系统,其中预先定义的配置参数至少包括以下参数之一:IPSec安全顶层对象参数IPSec、网络层通信对等实体标识参数IPSec.PeerIdentification、IPSec IKE协商过程参数IPSec.IKENegotiation和参数协商过程参数IPSec.IPSecNegotiation。
30.根据权利要求29的系统,其中IPSec.PeerIdentification是通信实体两端网络层的参数,其包括源IP地址、目的IP地址、源端口号、目的端口号、传输层协议及IP层数据流方向的网络层的参数中的至少一个。
31.根据权利要求29的系统,其中IPSec.IKENegotiation包括作为IKE协商中用到的参数的IKE协商方式、加密算法、哈希算法、验证算法和IKE生命周期中的至少一个。
32.根据权利要求29的系统,其中IPSec.IPSecNegotiation包括作为IPSec协商中用到的参数的保护模式、隧道对端网关地址、ESP完整性算法、ESP加密算法和SA生命周期中的至少一个。
33.根据权利要求28的系统,其中通过IPSec安全策略服务器模块访问策略数据库产生IPSec安全策略是根据用户的业务订购或根据运营商业务运营中所需要提供的安全业务进行的。
34.根据权利要求33的系统,其中IPSec安全策略参数在家庭网关的自动配置是服务器端连接始发的静态IPSec安全策略配置。
35.根据权利要求33的系统,其中IPSec安全策略参数在家庭网关的自动配置是家庭网关连接始发的静态IPSec安全策略配置。
36.根据权利要求34的系统,其中IPSec安全策略服务器模块通过HTTP Response发送SOAP request消息到IPSec安全策略代理模块,当确认家庭网关第一次初始化IPSec协议栈时,通过AddObiect方法发送IPSec策略到家庭网关。
37.根据权利要求35的系统,其中家庭网关对所述自动配置服务器采用摘要身份认证。
38.根据权利要求34的系统,其中在静态IPSec安全策略配置之后,如果IPSec安全参数发生动态变化时,IPSec安全策略服务器模块动态通知IPSec安全策略代理模块动态修改IPSec安全策略参数。
39.根据权利要求34的系统,其中在静态IPSec安全策略配置之后,当IPSec安全策略代理模块接收到来自于用户端设备动态IPSec安全请求时,通知IPSec安全策略服务器模块动态下载符合订购安全协议要求的安全策略。
40.根据权利要求38的系统,其中动态修改IPSec安全策略参数是服务器端连接始发的。
41.根据权利要求39的系统,其中动态下载符合订购安全协议要求的安全策略是服务器端连接始发的。
42.根据权利要求38的系统,其中动态修改IPSec安全策略参数是家庭网关连接始发的。
43.根据权利要求39的系统,其中动态下载符合订购安全协议要求的安全策略是家庭网关连接始发的。
44.根据权利要求38-43之任一的系统,其中IPSec安全策略服务器模块通过HTTP Response发送SOAP request消息到IPSec安全策略代理模块,通过SetParameterValue方法发送IPSec策略到家庭网关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610109663A CN100596069C (zh) | 2006-08-15 | 2006-08-15 | 家庭网关中IPSec安全策略的自动配置系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610109663A CN100596069C (zh) | 2006-08-15 | 2006-08-15 | 家庭网关中IPSec安全策略的自动配置系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1905452A CN1905452A (zh) | 2007-01-31 |
| CN100596069C true CN100596069C (zh) | 2010-03-24 |
Family
ID=37674589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610109663A Active CN100596069C (zh) | 2006-08-15 | 2006-08-15 | 家庭网关中IPSec安全策略的自动配置系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100596069C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2458784A1 (en) * | 2010-05-26 | 2012-05-30 | ZTE Corporation | Method and system for managing home gateway digital certifications |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369950B (zh) * | 2007-08-13 | 2011-09-28 | 康佳集团股份有限公司 | 数字家庭之间的通信方法 |
| CN101123534B (zh) * | 2007-09-29 | 2010-09-01 | 华中科技大学 | 应用于合法监听系统的网络策略系统及其策略处理方法 |
| CN101437223B (zh) * | 2007-11-16 | 2011-11-02 | 华为技术有限公司 | 一种家庭基站接入的方法、系统和装置 |
| CN101222453B (zh) * | 2008-01-22 | 2014-07-02 | 中兴通讯股份有限公司 | 一种家庭网关策略控制方法及系统 |
| CN101262368B (zh) * | 2008-03-17 | 2012-03-28 | 中兴通讯股份有限公司 | 家庭网关路由模式连接配置的方法及装置 |
| CN101557301B (zh) * | 2008-04-09 | 2012-04-04 | 华为技术有限公司 | 一种获取管理功能信息的方法、通讯系统以及相关设备 |
| CN101631105A (zh) * | 2008-07-18 | 2010-01-20 | 华为技术有限公司 | 配置应用的方法、设备及系统 |
| CN101674578B (zh) * | 2008-09-12 | 2012-09-26 | 中兴通讯股份有限公司 | 一种家庭基站安全接入网络的方法及系统 |
| EP2194688A1 (en) * | 2008-12-02 | 2010-06-09 | Alcatel, Lucent | A module and associated method for TR-069 object management |
| CN101656961B (zh) * | 2009-09-01 | 2012-07-18 | 中兴通讯股份有限公司 | 一种cdma2000系统移动ip业务的接入方法和系统 |
| CN102013998B (zh) * | 2010-11-30 | 2012-10-10 | 广东星海数字家庭产业技术研究院有限公司 | 一种基于tr-069协议实现家庭网络的管理方法 |
| CN102075927A (zh) * | 2011-01-11 | 2011-05-25 | 中国联合网络通信集团有限公司 | 无线网络设备安全配置方法和系统 |
| CN104468519B (zh) * | 2014-11-12 | 2017-10-27 | 成都卫士通信息产业股份有限公司 | 一种嵌入式电力安全防护终端加密装置 |
| CN106254204A (zh) * | 2016-09-28 | 2016-12-21 | 乐视控股(北京)有限公司 | 云环境下的Ipsec 隧道生命期的配置方法及装置 |
| WO2020034378A1 (en) * | 2018-10-12 | 2020-02-20 | Zte Corporation | Location reporting for mobile devices |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
| CN1770769A (zh) * | 2004-10-14 | 2006-05-10 | 微软公司 | 使用IPsec提供网络隔离的系统和方法 |
| CN1780244A (zh) * | 2004-11-18 | 2006-05-31 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
| CN1801791A (zh) * | 2004-12-16 | 2006-07-12 | 法国电信公司 | 操作以ipsec连接方式连接到远端专用网络的本地网络的方法 |
-
2006
- 2006-08-15 CN CN200610109663A patent/CN100596069C/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
| CN1770769A (zh) * | 2004-10-14 | 2006-05-10 | 微软公司 | 使用IPsec提供网络隔离的系统和方法 |
| CN1780244A (zh) * | 2004-11-18 | 2006-05-31 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
| CN1801791A (zh) * | 2004-12-16 | 2006-07-12 | 法国电信公司 | 操作以ipsec连接方式连接到远端专用网络的本地网络的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2458784A1 (en) * | 2010-05-26 | 2012-05-30 | ZTE Corporation | Method and system for managing home gateway digital certifications |
| EP2458784A4 (en) * | 2010-05-26 | 2013-02-20 | Zte Corp | METHOD AND SYSTEM FOR MANAGING DIGITAL CERTIFICATIONS OF DOMESTIC GALLERY |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1905452A (zh) | 2007-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100596069C (zh) | 家庭网关中IPSec安全策略的自动配置系统和方法 | |
| JP5537560B2 (ja) | Tr−069オブジェクトを管理するためのモジュールおよび関連する方法 | |
| EP2961132B1 (en) | Subscriber management using a restful interface | |
| CN101326763B (zh) | 用于sp以太网汇聚网络的认证的系统和方法 | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN103166909B (zh) | 一种虚拟网络系统的接入方法、装置和系统 | |
| CN108964985B (zh) | 一种使用协议报文的虚拟客户终端设备的管理方法 | |
| WO2020010767A1 (zh) | 一种基于联盟的全网统一信任锚系统及构建方法 | |
| US9825759B2 (en) | Secure service management in a communication network | |
| Sharp et al. | Discussion paper: an analysis of the ‘new IP’proposal to the ITU-T | |
| CN101197708B (zh) | 一种网元自动发现和自动配置方法 | |
| CN101599834A (zh) | 一种认证部署方法和一种管理设备 | |
| CN101388796B (zh) | 信息发送处理方法、通信设备与通信系统 | |
| Forbacha et al. | Design and Implementation of a Secure Virtual Private Network Over an Open Network (Internet) | |
| CN103475506B (zh) | 多设备管理控制方法和系统 | |
| CN100477609C (zh) | 实现网络专线接入的方法 | |
| CN101515860B (zh) | 对客户终端设备进行远程管理的方法和系统 | |
| Cisco | Glossary | |
| CN113709741A (zh) | 一种局域网的认证接入系统 | |
| CN1486013A (zh) | 一种对网络接入用户进行认证的方法 | |
| CN115150199B (zh) | 一种数据库运维客户端账户管控方法、系统、设备及介质 | |
| Li et al. | Assessment and application of network access control technologies | |
| CN114143113A (zh) | 适用于IPv6/IPv4访问服务的安全溯源装置 | |
| CN101409703B (zh) | 一种终端设备发现网络中远端服务器的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |