CN102711106A - 建立IPSec隧道的方法及系统 - Google Patents

建立IPSec隧道的方法及系统 Download PDF

Info

Publication number
CN102711106A
CN102711106A CN2012101583554A CN201210158355A CN102711106A CN 102711106 A CN102711106 A CN 102711106A CN 2012101583554 A CN2012101583554 A CN 2012101583554A CN 201210158355 A CN201210158355 A CN 201210158355A CN 102711106 A CN102711106 A CN 102711106A
Authority
CN
China
Prior art keywords
base station
configuration
server
ipsec tunnel
security gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012101583554A
Other languages
English (en)
Other versions
CN102711106B (zh
Inventor
梁超才
廖俊锋
李锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201210158355.4A priority Critical patent/CN102711106B/zh
Priority to US14/402,749 priority patent/US20150135299A1/en
Priority to EP12877311.6A priority patent/EP2854349A4/en
Priority to RU2014147182A priority patent/RU2611020C2/ru
Priority to JP2015512991A priority patent/JP6022041B2/ja
Priority to PCT/CN2012/079108 priority patent/WO2013174074A1/zh
Publication of CN102711106A publication Critical patent/CN102711106A/zh
Application granted granted Critical
Publication of CN102711106B publication Critical patent/CN102711106B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种建立IPSec隧道的方法及系统,该方法包括:基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书;基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。通过本发明,采用基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道,解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。

Description

建立IPSec隧道的方法及系统
技术领域
本发明涉及通信安全领域,具体而言,涉及一种建立IPSec隧道的方法及系统。
背景技术
随着移动通讯技术的快速发展,第三代移动通信系统已经发展到长期演进(LTE,LongTerm Evolution)阶段,在LTE无线网络中基站(eNodeB EvolutedNode B)的数量非常大,如果采用传统的方式部署众多数量的基站,将会带来高昂的维护运营成本。第二代和第三代移动通信系统同样存在相同的问题。因此3GPP提出了一种可以提供自动安装、配置、维护操作,减少人工参与的自组织网络(SON,SelfOrganizing Network)的方法,能够大量减少人工配置,而自动组网。另外,随着LTE等的发展,运营商等都提出了家庭企业级的小型基站Femto,家庭企业级的Femto很多都是经过第三方运营商的传输网络才到达核心网,所以对安全有特别高的需求,又因为面对的是普通用户,所以不能有复杂专业的安全相关配置,最好能够对用户屏蔽所有专业术语。
电信业务由于数据量大,网络结构复杂且LTE基于全IP网等特点,3GPP推荐采用IPSec(IP Security)隧道接入核心网。IPSec可以通过预共享密钥PSK(Pre-Shared-Key)和数字证书PKI(Public Key Infrastructure)两种认证方式完成IPSec安全隧道的建立。使用预共享密钥进行身份验证建立IPSec链路的两个实体都必须维护一对预共享密钥,此限制进一步降低了部署安全性,增加了发生错误的机率。大规模组网情形下,PSK存在配置复杂并且维护困难等缺点,所以一般站点较多时,从维护运营以及安全性的角度来说,运营商大部分采用PKI认证方式。
一般基站的PKI认证模式为:实现离线预安装证书,然后用户配置对应的安全网关IP,以及安全策略。在这种模式中,每个站点配置和维护都很复杂,而且对用户要求高,不适合普通家庭或者非专业用户,因此对基于PKI认证方式的IPSec自配置和安全隧道自建立有特殊的需求。
针对相关技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种建立IPSec隧道的方法及系统,以至少解决上述问题。
根据本发明的一个方面,提供了一种建立IPSec隧道的方法,包括:基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书;基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。
优选地,基站向配置服务器请求第一配置参数,包括:基站与配置服务器建立TLS链路,并向配置服务器请求第一配置参数。
优选地,第一配置参数包括:基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
优选地,根据配置服务器响应的第一配置参数向CA服务器请求数字证书,包括:基站获取配置服务器响应的第一配置数据后,利用证书管理协议向CA服务器请求颁发基站实体证书以及CA服务器的根CA证书。
优选地,基站根据获取的数字证书与安全网关建立临时IPSec隧道,包括:基站向安全网关发起通过PKI认证方式建立临时IPSec隧道的请求;基站与安全网关交互各自的实体证书,在实体证书验证成功后,建立基站与安全网关之间的临时IPSec隧道。
优选地,基站通过临时IPSec隧道向后台网络管理单元请求第二配置数据,包括:基站基于临时IPSec隧道向部署于核心网内的后台网络管理单元发送建链请求消息;在基站与后台网络管理单元的链路建立成功后,基站通过安全文件传输协议向后台网络管理单元请求基站的软件版本包和第二配置数据;后台网络管理单元判断数据库中的基站软件版本是否比当前版本新,如果是,则将软件版本包和第二配置数据发送至基站,否则,发送第二配置数据至基站。
优选地,基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道,包括:基站获得最新软件版本包和第二配置数据后,通知配置服务器释放相关配置资源,拆除与安全网关建立的临时IPSec隧道,并第二配置数据重新与安全网关基于PKI认证方式建立永久的IPSec隧道。
优选地,基站根据第二配置数据与安全网关之间建立永久的IPSec隧道之后,还包括:基站在CA服务器颁发给基站的数字证书有效期超期之前,向CA服务器请求更新证书或者更新私钥。
优选地,基站包括以下一种:宏基站、企业级小型基站PICO、家庭级微型基站Femto。
根据本发明的另一方面,提供了一种建立IPSec隧道的系统,包括:基站、配置服务器、CA服务器、后台网络管理单元和安全网关,其中,基站,用于向配置服务器请求第一配置参数;配置服务器,用于响应基站的请求向基站返回第一配置参数;基站,还用于根据配置服务器响应的第一配置参数向CA服务器请求数字证书;CA服务器,用于响应基站的请求向基站颁发数字证书;基站,还用于根据获取的证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;后台网络管理单元,用于响应于基站的请求向基站返回第二配置数据;基站,还用于在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。
优选地,第一配置参数包括:基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
优选地,基站还用于在CA服务器颁发给基站的数字证书有效期超期之前,向CA服务器请求更新数字证书或者更新私钥。
优选地,基站包括以下一种:宏基站、企业级小型基站PICO、家庭级微型基站Femto。
通过本发明,采用基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道,解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的建立IPSec隧道的方法流程图;
图2是根据本发明实施例的建立IPSec隧道的系统结构框图;
图3是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道网络部署结构示意图;
图4是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1是根据本发明实施例的建立IPSec隧道的方法流程图。如图1所示,包括以下步骤:
步骤S102,基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书。
步骤S104,基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据。
步骤S106,基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。
在本实施例中,提供了一种基于PKI认证方式的自动建立IPSec安全隧道的方法,通过基站与核心网自动建立传输链路,实现基站的自动配置,并保证基站与核心网之间数据传输的安全性。
其中,在步骤S102中,在现有网络中部署用于自动分配配置信息的配置服务器,当基站正常上电后,基站内部自发现功能在网络中广播请求配置消息,基站向配置服务器请求获得配置参数,为了保障基站与配置服务器之间数据传输安全性,两者之间的链路需要采用基于证书认证方式的传输层安全协议(TLS,Transport Layer Security Protocol)建立,使用的证书可以在设备出厂前预安装。基站获取到CA(Certificate Authority)服务器相关配置数据后基站通过证书管理协议(CMPv2,Certificate Manage Protocol V2)向CA服务器请求颁发证书。
其中,在步骤S104至S106中,基站进一步使用获得的证书与部署在核心网内的安全网关建立IPSec安全隧道,然后基站主动发送请求与网络管理单元建链消息,进而与核心网自动建立传输链路。
在上述实施例中,可以在不改变现有网络结构的情况下,即可实现基站上电后自动建链,并完成基站与后台网络管理单元之间的安全通信,解决了现有技术中基站与核心网不能自发现、自动建立安全通信链路的问题。
图2是根据本发明实施例的建立IPSec隧道的系统结构框图。如图2所示,该系统包括:基站10、配置服务器20、CA服务器30、后台网络管理单元40和安全网关50,其中,基站10,用于向配置服务器20请求第一配置参数;配置服务器20,用于响应基站10的请求向基站10返回第一配置参数;基站10,还用于根据配置服务器20响应的第一配置参数向CA服务器30请求数字证书;CA服务器30,用于响应基站10的请求向基站10颁发数字证书;基站10,还用于根据获取的数字证书与安全网关50建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元40请求第二配置数据;后台网络管理单元40,用于响应于基站10的请求向基站10返回第二配置数据;基站10,还用于在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关50之间建立永久的IPSec隧道。
在本实施例中,通过基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道,解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。
实施例一
图3是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道网络部署结构示意图。如图3所示,该系统包括:核心网、CA服务器、安全网关、配置服务器以及一个或者多个基站(图中所示为基站1和2)。其中,在上述各网元中,与建立IPSec安全隧道相关的功能如下:
配置服务器:管理和维护基站配置参数,与基站建立TLS链路,向基站提供建立传输链路所需要的配置参数,如基站IP地址、SeGW的IP地址、CA服务器的地址、证书路径、生成证书公钥长度等参数以及后台网络管理单元的IP地址。
基站:实现自发现功能,向配置服务器请求配置参数,与安全网关建立IPSec安全隧道,向后台网络管理单元请求配置和软件版本包。
安全网关:与请求访问部署在核心网内部网元的基站建立IPSec安全隧道,保证基站与核心网之间传输数据的安全性。
CA服务器:响应基站证书申请、证书更新、密钥更新请求,向基站、安全网关颁发证书;撤销证书、提供证书状态查询。
核心网:接收基站发送的建立链路请求,与基站共同建立通信链路;管理基站,向基站提供软件版本包和配置参数,业务数据等。
图4是在图3所示的网络架构上的IPSec安全隧道建立流程图,该方法是基于PKI认证方式实现自动建立IPSec安全隧道。在本实施例中,先在现有或者新建网络中部署用于自动分配配置信息的配置服务器,并且能够支持建立TLS链路、CA服务器以及安全网关;当基站正常上电后,基站先通过内部自发现功能与配置服务器采用TLS建立连接,并向配置服务器请求获取基站IP地址、安全网关IP地址、核心网IP地址以及CA服务器相关配置参数;然后,基站利用CMPv2协议向CA服务器请求获取证书,基站与安全网关建立基于PKI认证方式的IPSec安全隧道,最后打通基站与核心网的通信链路,从而完成基站自动加入网络运维管理。
如图4所示,主要包括以下步骤:
步骤S402,基站正常上电后,启动内部自发现机制。
步骤S404,基站采用基于证书认证方式与配置服务器建立TLS,链路建立成功后,基站向配置服务器请求配置参数消息;配置服务器响应基站配置参数请求消息,返回基站临时的传输IP地址、安全网关建立IPSec安全隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度等参数、后台网络管理单元的IP地址等配置数据。
步骤S406,判断是否获取到配置服务器的响应配置数据。
步骤S408,在基站获取配置服务器的响应配置数据后,利用证书管理协议(CMPv2,Certificate Manage Protocol)向CA服务器请求颁发基站实体证书以及CA服务器的根CA证书,如果基站实体证书不是由CA根证书直接颁发的话,还需要CA服务器将中间的CA证书链一同发送给基站。
步骤S410,判断是否申请证书是否成功。
步骤S412,在基站获取到证书后,基站与安全网关建立临时IPSec安全隧道;具体包括以下步骤:
主动向网关安全发起基于PKI认证方式建立临时的IPSec安全隧道请求;安全网关预先安装了CA服务器颁发的实体证书以及根CA证书;当接收到基站请求建立IPSec安全隧道时,安全网关向基站请求基站实体证书;基站响应安全网关的请求,将基站实体证书发送给安全网关;同时,基站还会请求安全网关发送其实体证书;安全网关接收到基站实体证书后,验证证书有效性,其中包括:证书签名有效性、证书有效期、证书状态等敏感信息校验;证书验证成功后,安全网关返回其实体证书给基站;基站接收到安全网关实体证书后,同样地进行证书有效性验证;此时,证书验证成功后,基站与安全网关之间的临时IPSec安全隧道已经建链成功。
步骤S414,基站再次通过自发现机制向部署于核心网内的后台网络管理单元发送建链请求消息,此时基站与后台网络管理单元之间的通信数据都是在基站与安全建立的IPSec安全隧道下保护。
步骤S416,后台网络管理单元与基站链路建立成功后,基站通过安全文件传输协议向网络管理单元请求基站软件版本包和配置数据。
步骤S418,后台网络管理单元判断数据库中的基站软件版本是否比当前版本新,如果是的话则将软件版本包和配置数据一起发送给基站,否则只发送配置数据。
步骤S420,基站获得最新软件版本包和配置数据后,通知配置服务器释放相关配置资源,拆除与安全网关建立的IPSec安全通道。
步骤S422,基站利用获取得到的新配置数据得到永久IP,并重新与安全网关基于PKI认证方式建立永久的IPSec安全通道。此时,基站已经正常工作。基站与核心网之间的数据传输都得到了IPSec安全通道的保护。
在上述实施例中,当CA服务器颁发给基站的数字证书有效期即将超期时,基站还可以利用自动触发机制向CA服务器请求更新证书或者更新私钥,保证基站证书的有效性。
另外,需要说明的是,本发明上述各实施例描述的IPSec安全隧道的建立方法可以广泛应用于各种类型的基站,例如:传统的宏基站、企业级小型基站PICO或家庭级微型基站Femto等。
在另外一个实施例中,还提供了一种建立IPSec隧道的软件,该软件用于执行上述实施例中描述的技术方案。
在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于光盘、软盘、硬盘、可擦写存储器等。
本发明的上述各实施例提出一种基于PKI认证方式的IPSec安全隧道方法和系统,可以在不改变现有网络结构的情况下,即可实现基站上电后自动建链,并完成基站与后台网络管理单元之间的安全通信,解决了现有技术中基站与核心网不能自发现、自动建立安全通信链路的问题。通过最简单配置,能够尽量解决现有技术中的配置维护复杂等问题,并且能够保证基站和核心网安全网关之间的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (13)

1.一种建立IPSec隧道的方法,其特征在于,包括:
基站向配置服务器请求第一配置参数,并根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书;
所述基站根据获取的所述数字证书与安全网关建立临时IPSec隧道,并通过所述临时IPSec隧道向后台网络管理单元请求第二配置数据;
所述基站在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道。
2.根据权利要求1所述的方法,其特征在于,基站向配置服务器请求第一配置参数,包括:
所述基站与所述配置服务器建立TLS链路,并向所述配置服务器请求第一配置参数。
3.根据权利要求1所述的方法,其特征在于,所述第一配置参数包括:所述基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
4.根据权利要求3所述的方法,其特征在于,根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书,包括:
所述基站获取配置服务器响应的所述第一配置数据后,利用证书管理协议向所述CA服务器请求颁发基站实体证书以及CA服务器的根CA证书。
5.根据权利要求1所述的方法,其特征在于,所述基站根据获取的所述数字证书与安全网关建立临时IPSec隧道,包括:
所述基站向所述安全网关发起通过PKI认证方式建立所述临时IPSec隧道的请求;
所述基站与所述安全网关交互各自的实体证书,在所述实体证书验证成功后,建立所述基站与所述安全网关之间的所述临时IPSec隧道。
6.根据权利要求1所述的方法,其特征在于,所述基站通过所述临时IPSec隧道向后台网络管理单元请求第二配置数据,包括:
所述基站基于所述临时IPSec隧道向部署于核心网内的所述后台网络管理单元发送建链请求消息;
在所述基站与所述后台网络管理单元的链路建立成功后,所述基站通过安全文件传输协议向所述后台网络管理单元请求所述基站的软件版本包和第二配置数据;
所述后台网络管理单元判断数据库中的基站软件版本是否比当前版本新,如果是,则将所述软件版本包和第二配置数据发送至所述基站,否则只发送所述第二配置数据至所述基站。
7.根据权利要求6所述的方法,其特征在于,所述基站在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道,包括:
所述基站获得最新软件版本包和所述第二配置数据后,通知所述配置服务器释放相关配置资源,拆除与所述安全网关建立的临时IPSec隧道,并所述第二配置数据重新与所述安全网关基于PKI认证方式建立永久的IPSec隧道。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述基站根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道之后,还包括:
所述基站在所述CA服务器颁发给所述基站的数字证书有效期超期之前,向所述CA服务器请求更新所述数字证书或者更新私钥。
9.根据权利要求8所述的方法,其特征在于,所述基站包括以下一种:
宏基站、企业级小型基站PICO、家庭级微型基站Femto。
10.一种建立IPSec隧道的系统,其特征在于,包括:基站、配置服务器、CA服务器、后台网络管理单元和安全网关,其中,
所述基站,用于向所述配置服务器请求第一配置参数;
所述配置服务器,用于响应所述基站的请求向所述基站返回所述第一配置参数;
所述基站,还用于根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书;
所述CA服务器,用于响应所述基站的请求向所述基站颁发所述数字证书;
所述基站,还用于根据获取的所述数字证书与所述安全网关建立临时IPSec隧道,并通过所述临时IPSec隧道向所述后台网络管理单元请求第二配置数据;
所述后台网络管理单元,用于响应于所述基站的请求向所述基站返回所述第二配置数据;
所述基站,还用于在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道。
11.根据权利要求10所述的系统,其特征在于,所述第一配置参数包括:所述基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
12.根据权利要求10所述的系统,其特征在于,所述基站还用于在所述CA服务器颁发给所述基站的数字证书有效期超期之前,向所述CA服务器请求更新所述数字证书或者更新私钥。
13.根据权利要求10至12任一项所述的系统,其特征在于,所述基站包括以下一种:
宏基站、企业级小型基站PICO、家庭级微型基站Femto。
CN201210158355.4A 2012-05-21 2012-05-21 建立IPSec隧道的方法及系统 Active CN102711106B (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN201210158355.4A CN102711106B (zh) 2012-05-21 2012-05-21 建立IPSec隧道的方法及系统
US14/402,749 US20150135299A1 (en) 2012-05-21 2012-07-24 Method and system for establishing ipsec tunnel
EP12877311.6A EP2854349A4 (en) 2012-05-21 2012-07-24 METHOD AND SYSTEM FOR ESTABLISHING IPSEC TUNNEL
RU2014147182A RU2611020C2 (ru) 2012-05-21 2012-07-24 Способ и система для установления туннеля по протоколам для обеспечения защиты данных
JP2015512991A JP6022041B2 (ja) 2012-05-21 2012-07-24 IPSecトンネルの確立方法及びシステム
PCT/CN2012/079108 WO2013174074A1 (zh) 2012-05-21 2012-07-24 建立IPSec隧道的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210158355.4A CN102711106B (zh) 2012-05-21 2012-05-21 建立IPSec隧道的方法及系统

Publications (2)

Publication Number Publication Date
CN102711106A true CN102711106A (zh) 2012-10-03
CN102711106B CN102711106B (zh) 2018-08-10

Family

ID=46903627

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210158355.4A Active CN102711106B (zh) 2012-05-21 2012-05-21 建立IPSec隧道的方法及系统

Country Status (6)

Country Link
US (1) US20150135299A1 (zh)
EP (1) EP2854349A4 (zh)
JP (1) JP6022041B2 (zh)
CN (1) CN102711106B (zh)
RU (1) RU2611020C2 (zh)
WO (1) WO2013174074A1 (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014117623A1 (zh) * 2013-01-30 2014-08-07 中兴通讯股份有限公司 建立X2口IPSec隧道的方法、基站、系统和计算机存储介质
WO2016078378A1 (en) * 2014-11-17 2016-05-26 Huawei Technologies Co., Ltd. Method, server, base station and communication system for configuring security parameters
EP3070993A4 (en) * 2013-11-11 2016-11-02 Huawei Tech Co Ltd BASE STATION ACTIVATION METHOD AND BASE STATION ACTIVATION SYSTEM
CN110602256A (zh) * 2019-10-08 2019-12-20 杭州领克信息科技有限公司 一种工业设备远程维护的安全保护方法
CN110798437A (zh) * 2018-08-03 2020-02-14 中兴通讯股份有限公司 一种数据保护方法、装置及计算机存储介质
CN111600775A (zh) * 2020-05-15 2020-08-28 苏州浪潮智能科技有限公司 一种集群加密迁移的安全性测试方法、装置、设备和介质
CN112714439A (zh) * 2019-10-25 2021-04-27 大唐移动通信设备有限公司 通信数据的安全传输方法、装置、设备及存储介质
CN113965462A (zh) * 2020-06-29 2022-01-21 中兴通讯股份有限公司 业务传输方法、装置、网络设备和存储介质
CN114050931A (zh) * 2021-11-10 2022-02-15 湖北天融信网络安全技术有限公司 一种数据传输的方法、装置、电子设备及可读存储介质
CN114567548A (zh) * 2022-01-26 2022-05-31 三维通信股份有限公司 基站的安全网关配置管理方法、系统和电子装置
WO2022188160A1 (en) * 2021-03-12 2022-09-15 Nokia Shanghai Bell Co., Ltd. Offline network security configuration
CN115296988A (zh) * 2022-10-09 2022-11-04 中国电子科技集团公司第三十研究所 一种实现IPSec网关动态组网的方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
US10389538B2 (en) * 2017-03-08 2019-08-20 A10 Networks, Inc. Processing a security policy for certificate validation error
US20180288035A1 (en) * 2017-03-30 2018-10-04 Avaya Inc. Device enrollment service system and method
US11190510B2 (en) * 2017-11-15 2021-11-30 Parallel Wireless, Inc. Two-factor authentication in a cellular radio access network
US10693664B2 (en) * 2018-07-20 2020-06-23 Dell Products L.P. Systems and methods to build a trusted hypertext transfer protocol secure session on a limited pre-boot basic input/output system environment
CN111556064B (zh) * 2020-05-06 2022-03-11 广东纬德信息科技股份有限公司 基于电力网关的密钥管理方法、装置、介质及终端设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1509111A (zh) * 2002-12-18 2004-06-30 ض� 用于安全移动的基于ip的漫游解决方案的方法、设备和系统
CN101227376A (zh) * 2008-02-04 2008-07-23 杭州华三通信技术有限公司 一种虚拟专用网多实例安全接入的方法及设备
EP2180640A1 (en) * 2007-08-09 2010-04-28 ZTE Corporation Ad-hoc network system and method
WO2011124266A1 (en) * 2010-04-09 2011-10-13 Nokia Siemens Networks Oy Establishing connectivity between a relay node and a configuration entity

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4304362B2 (ja) * 2002-06-25 2009-07-29 日本電気株式会社 Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
JP3775791B2 (ja) * 2002-08-13 2006-05-17 株式会社エヌ・ティ・ティ・データ Ic、データ処理システム及びコンピュータプログラム
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US7437551B2 (en) * 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
US7272123B2 (en) * 2004-09-13 2007-09-18 Nextel Communications, Inc. System and method for handoff processing
KR100759489B1 (ko) * 2004-11-18 2007-09-18 삼성전자주식회사 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치
US8046579B2 (en) * 2005-10-04 2011-10-25 Neopost Technologies Secure gateway with redundent servers
US7848335B1 (en) * 2005-10-27 2010-12-07 Juniper Networks, Inc. Automatic connected virtual private network
US20070283430A1 (en) * 2006-06-02 2007-12-06 Research In Motion Limited Negotiating vpn tunnel establishment parameters on user's interaction
US20080022374A1 (en) * 2006-06-29 2008-01-24 Research In Motion Limited System and method for securely communicating with a server
US7905305B2 (en) * 2006-07-07 2011-03-15 Mattel, Inc. Blow-molded wheels having undulating treads, methods for producing the same, and children's ride-on vehicles including the same
CN100440846C (zh) * 2007-01-26 2008-12-03 成都迈普产业集团有限公司 虚拟专用网动态连接方法
WO2008153456A1 (en) * 2007-06-11 2008-12-18 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for certificate handling
ES2607228T3 (es) * 2008-12-26 2017-03-29 Nec Corporation Sistema de comunicación, estación de base de femtoceldas y método de comunicación
US8738696B2 (en) * 2009-01-29 2014-05-27 At&T Mobility Ii Llc Single subscription management for multiple devices
US8548171B2 (en) * 2009-02-27 2013-10-01 Cisco Technology, Inc. Pair-wise keying for tunneled virtual private networks
CN102342141A (zh) * 2009-03-05 2012-02-01 交互数字专利控股公司 用于H(e)NB完整性验证和确认的方法和装置
US8559392B2 (en) * 2009-07-30 2013-10-15 Cisco Technology, Inc. Inter-technology handovers for wireless networks
CA2781872A1 (en) * 2009-11-25 2011-06-09 Security First Corp. Systems and methods for securing data in motion
US20130104207A1 (en) * 2010-06-01 2013-04-25 Nokia Siemens Networks Oy Method of Connecting a Mobile Station to a Communcations Network
CN101969414B (zh) * 2010-10-15 2012-10-03 北京交通大学 一种标识分离映射网络中IPSec网关自动发现的方法
US8627064B2 (en) * 2011-03-24 2014-01-07 Alcatel Lucent Flexible system and method to manage digital certificates in a wireless network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1509111A (zh) * 2002-12-18 2004-06-30 ض� 用于安全移动的基于ip的漫游解决方案的方法、设备和系统
EP2180640A1 (en) * 2007-08-09 2010-04-28 ZTE Corporation Ad-hoc network system and method
CN101227376A (zh) * 2008-02-04 2008-07-23 杭州华三通信技术有限公司 一种虚拟专用网多实例安全接入的方法及设备
WO2011124266A1 (en) * 2010-04-09 2011-10-13 Nokia Siemens Networks Oy Establishing connectivity between a relay node and a configuration entity

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014117623A1 (zh) * 2013-01-30 2014-08-07 中兴通讯股份有限公司 建立X2口IPSec隧道的方法、基站、系统和计算机存储介质
US9462619B2 (en) 2013-01-30 2016-10-04 Zte Corporation Method for establishing X2 interface IPSec tunnel, base station, system and computer storage medium
EP3070993A4 (en) * 2013-11-11 2016-11-02 Huawei Tech Co Ltd BASE STATION ACTIVATION METHOD AND BASE STATION ACTIVATION SYSTEM
WO2016078378A1 (en) * 2014-11-17 2016-05-26 Huawei Technologies Co., Ltd. Method, server, base station and communication system for configuring security parameters
US10616761B2 (en) 2014-11-17 2020-04-07 Huawei Technologies Co., Ltd. Method, server, base station and communication system for configuring security parameters
CN110798437A (zh) * 2018-08-03 2020-02-14 中兴通讯股份有限公司 一种数据保护方法、装置及计算机存储介质
CN110602256A (zh) * 2019-10-08 2019-12-20 杭州领克信息科技有限公司 一种工业设备远程维护的安全保护方法
CN112714439A (zh) * 2019-10-25 2021-04-27 大唐移动通信设备有限公司 通信数据的安全传输方法、装置、设备及存储介质
CN112714439B (zh) * 2019-10-25 2022-08-30 大唐移动通信设备有限公司 通信数据的安全传输方法、装置、设备及存储介质
CN111600775A (zh) * 2020-05-15 2020-08-28 苏州浪潮智能科技有限公司 一种集群加密迁移的安全性测试方法、装置、设备和介质
CN111600775B (zh) * 2020-05-15 2022-02-22 苏州浪潮智能科技有限公司 一种集群加密迁移的安全性测试方法、装置、设备和介质
CN113965462A (zh) * 2020-06-29 2022-01-21 中兴通讯股份有限公司 业务传输方法、装置、网络设备和存储介质
WO2022188160A1 (en) * 2021-03-12 2022-09-15 Nokia Shanghai Bell Co., Ltd. Offline network security configuration
CN114050931A (zh) * 2021-11-10 2022-02-15 湖北天融信网络安全技术有限公司 一种数据传输的方法、装置、电子设备及可读存储介质
CN114050931B (zh) * 2021-11-10 2024-05-28 湖北天融信网络安全技术有限公司 一种数据传输的方法、装置、电子设备及可读存储介质
CN114567548A (zh) * 2022-01-26 2022-05-31 三维通信股份有限公司 基站的安全网关配置管理方法、系统和电子装置
CN114567548B (zh) * 2022-01-26 2023-11-07 三维通信股份有限公司 基站的安全网关配置管理方法、系统和电子装置
CN115296988A (zh) * 2022-10-09 2022-11-04 中国电子科技集团公司第三十研究所 一种实现IPSec网关动态组网的方法

Also Published As

Publication number Publication date
US20150135299A1 (en) 2015-05-14
EP2854349A1 (en) 2015-04-01
EP2854349A4 (en) 2015-08-12
JP2015517773A (ja) 2015-06-22
CN102711106B (zh) 2018-08-10
RU2611020C2 (ru) 2017-02-17
WO2013174074A1 (zh) 2013-11-28
RU2014147182A (ru) 2016-07-20
JP6022041B2 (ja) 2016-11-09

Similar Documents

Publication Publication Date Title
CN102711106A (zh) 建立IPSec隧道的方法及系统
JP6100333B2 (ja) 安全な遠隔加入管理
CN102349319B (zh) 中继节点的设置和配置
CN114342439A (zh) 用于无线网络中的集成接入和回程(iab)节点的认证的方法和装置
CN103155626B (zh) 用于企业femto的自动化lac指派
CN102239719A (zh) 验证近邻小区
CN101971694A (zh) 免接触即插即用基站收发台
CN102137395A (zh) 配置接入设备的方法、装置及系统
CN103563440A (zh) 移动通信网络和方法
CN103460736A (zh) 在无线网络中管理数字证书的灵活系统和方法
CN101310549B (zh) 用于蜂窝无线通信系统的接入网络、网关和管理服务器
CN103297968A (zh) 一种无线终端认证的方法、设备及系统
CN104967985A (zh) 一种基站自启动方法和设备
CN102333289A (zh) 基于短信的3g网络设备综合管理系统及方法
CN104604295B (zh) 用于在无线通信系统中由服务器管理终端对资源的访问权限的方法及其设备
US20160301673A1 (en) Method for Realizing Secure Communications among Machine Type Communication Devices and Network Entity
JP5562483B2 (ja) 無線通信ネットワーク、およびメッセージを認証する方法
CN105376836B (zh) Ue终端设备的接入控制方法及系统
CN104813635A (zh) 在蜂窝网络中的恢复分组数据连接
JP2011504700A (ja) 無線アクセスネットワークにおける閉グループにアクセスするための方法
CN101772027A (zh) 为终端分配用户标识的方法及寻呼控制器
CN102202391A (zh) 家庭基站的退网方法和系统
US20240114336A1 (en) Asset management and communication system for luminaire devices
CN102421191B (zh) 为移动站进行空闲模式下识别信息分配的方法及系统
KR101589714B1 (ko) 펨토셀 시스템 및 펨토셀 시스템에서의 펨토셀 관리 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant