CN105472604A - 一种数字证书的状态处理方法、装置及系统 - Google Patents
一种数字证书的状态处理方法、装置及系统 Download PDFInfo
- Publication number
- CN105472604A CN105472604A CN201410456403.7A CN201410456403A CN105472604A CN 105472604 A CN105472604 A CN 105472604A CN 201410456403 A CN201410456403 A CN 201410456403A CN 105472604 A CN105472604 A CN 105472604A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- base station
- certificate
- dcs
- field information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Abstract
本发明公开了一种数字证书的状态处理方法、装置及系统。其中,该方法包括:在监测到基站的数字证书处于非正常情况时,DCS对数字证书进行注销;DCS向基站发送CMP消息;其中,CMP消息用于将数字证书的属性中添加的字段信息,置为无效状态,以撤销数字证书的有效性。通过本发明,解决了相关技术中数字证书的有效性判断方法,无法解决效率和成本的问题,通过本发明的改进方案,只需在数字证书的属性字段里添加一个判断有效性字段,在不增加硬件成本的基础上,有效的提高了验证数字证书有效性的效率,加快了对证书无效性的处理。
Description
技术领域
本发明涉及通信领域,特别是涉及一种数字证书的状态处理方法、装置及系统。
背景技术
LTE通信网络作为第四代移动通信网络,以其快速的移动宽带连接速度越来越受到全球运营商及移动客户的欢迎和应用。Femto小基站是一种新兴的热点技术,被业界认为是解决室内覆盖的手段之一,也是固定与移动网络融合的一种方式,能够以最大的数据速率提供住宅内部的移动通信能力。
基于PKI技术的DCS(DigitalCertificateSolution,数字证书服务)系统,主要由CA(证书颁发机构)、RA(证书注册机构)、LDAP(证书数据库)组成。DCS网元主要提供Femto基站所需数字证书的颁发、存储管理及有效性管理等。
目前相关标准、协议中对数字证书有效性判断主要有两种方法,一种是通过获取CRL(CertificateRevokedList,数字证书撤销列表)文件的方式查询使用的数字证书是否被撤销(无效状态),这种方式存在效率低,及每次都需要不断的更新CRL文件的缺点;另一种是通过OCSP(OnlineCertificateStatusProtocol,在线证书状态查询协议)方式获取,此种方式额外增加OCSP服务器成本。综上所述,现有技术中这两种方式都没有很好的解决效率和成本的问题。
针对相关技术中数字证书的有效性判断方法,无法解决效率和成本的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中数字证书的有效性判断方法,无法解决效率和成本的问题,本发明提供了一种数字证书的状态处理方法、装置及系统,用以解决上述技术问题。
根据本发明的一个方面,本发明提供了一种数字证书的状态处理方法,其中,该方法包括:在监测到基站的数字证书处于非正常情况时,DCS对所述数字证书进行注销;所述DCS向基站发送CMP消息;其中,所述CMP消息用于将数字证书的属性中添加的字段信息,置为无效状态,以撤销数字证书的有效性。
优选地,DCS对所述数字证书进行注销之前,所述方法还包括:在基站的数字证书的属性中添加字段信息;其中,所述字段信息用于标识数字证书的有效或无效。
优选地,DCS对所述数字证书进行注销包括:DCS中的证书颁发机构CA,在CA的1444端口管理页面搜索该数字证书;打开搜索到的数字证书进行注销。
优选地,所述方法还包括:所述基站请求与安全网关SeGW建立连接;所述SeGW基于所述字段信息,判断所述基站的数字证书是否有效,进而确定是否接受所述基站的建立连接请求。
优选地,所述非正常情况包括以下任意至少之一:证书遗失、私钥失密。
根据本发明的另一方面,本发明还提供了一种数字证书的状态处理装置,其中,该装置设置在DCS侧,包括:注销模块,用于在监测到基站的数字证书处于非正常情况时,对所述数字证书进行注销;状态设置模块,用于向基站发送证书管理协议CMP消息;其中,所述CMP消息用于将数字证书的属性中添加的字段信息,置为无效状态,以撤销数字证书的有效性。
优选地,所述注销模块包括:搜索单元,用于在CA的1444端口管理页面搜索该数字证书;注销单元,用于打开搜索到的数字证书进行注销。
优选地,所述非正常情况包括以下任意至少之一:证书遗失、私钥失密。
根据本发明的另一方面,本发明还提供了一种数字证书的状态处理系统,其中,该系统包括上述的数字证书的状态处理装置,以及基站、SeGW;其中,所述基站包括:字段设置模块,用于在基站的数字证书的属性中添加字段信息;其中,所述字段信息用于标识数字证书的有效或无效。
优选地,所述基站还包括:建连请求模块,用于请求与安全网关SeGW建立连接;所述SeGW包括:鉴权模块,用于基于所述字段信息,判断所述基站的数字证书是否有效,进而确定是否接受所述基站的建立连接请求。
通过本发明,提出了一种数字证书的状态处理方法、装置及系统,解决了相关技术中数字证书的有效性判断方法,无法解决效率和成本的问题,通过本发明的改进方案,只需在数字证书的属性字段里添加一个判断有效性字段,在不增加硬件成本的基础上,有效的提高了验证数字证书有效性的效率,加快了对证书无效性的处理。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
图1是根据本发明实施例的数字证书的状态处理方法的流程图;
图2是根据本发明实施例的数字证书属性图;
图3是根据本发明实施例的基站的数字证书有效性验证的流程图;
图4是根据本发明实施例的数字证书的状态处理装置的结构框图;
图5是根据本发明实施例的数字证书的状态处理系统的结构框图。
具体实施方式
为了解决现有技术数字证书的有效性判断方法,无法解决效率和成本的问题,本发明提供了一种数字证书的状态处理方法、装置及系统,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
本实施例提供了一种数字证书的状态处理方法,该方法可以在数字证书服务系统DCS侧实现,图1是根据本发明实施例的数字证书的状态处理方法的流程图,如图1所示,该方法包括以下步骤(步骤S102-步骤S104):
步骤S102,在监测到基站的数字证书处于非正常情况时,数字证书服务系统DCS对上述数字证书进行注销。
具体地,DCS对数字证书进行注销可以通过以下优选实施方式实现:DCS中的CA,在CA的1444端口管理页面搜索上述基站对应的数字证书;打开搜索到的数字证书进行注销。
步骤S104,上述DCS向基站发送证书管理协议CMP消息;其中,上述CMP消息用于将数字证书的属性中添加的字段信息,置为无效状态,以撤销数字证书的有效性。
通过本实施例,提出了一种数字证书的状态处理方法,解决了相关技术中数字证书的有效性判断方法,无法解决效率和成本的问题,通过本发明的改进方案,只需在数字证书的属性字段里添加一个判断有效性字段,在不增加硬件成本的基础上,有效的提高了验证数字证书有效性的效率,加快了对证书无效性的处理。
在本实施例中,DCS对上述数字证书进行注销之前,上述数字证书的状态处理方法还包括:在基站的数字证书的属性中添加字段信息;其中,该字段信息用于标识数字证书的有效或无效。例如,设置字段为IsValidity,在基站正常进行业务时,其数字证书是有效的,设置IsValidity的值为yes。在基站处于非正常情况(非正常情况可以包括以下任意至少之一:证书遗失、私钥失密。)时,其数字证书是无效的,设置IsValidity的值为no。
当然,也可以将设置字段设置为其它信息,yes和no也可以变换为1和0。无论采用何种信息,只要能够达到标识数字证书的有效或无效的目的即可。
在本实施例中,基站请求与SeGW建立连接时,SeGW会依据上述字段信息判断基站的数字证书是否有效,进而确定是否对基站进行鉴权,在数字证书判定为有效,对基站的鉴权成功后,SeGW再接受基站的建联请求,与其建立连接。从而保证SeGW接入可正常运营的安全的基站,保证基站接入小区,进行正常业务。基于此,本实施例提供了一种优选实施方式,即:基站请求与SeGW建立连接;SeGW基于字段信息,判断基站的数字证书是否有效,进而确定是否接受基站的建立连接请求。
本发明是基于PKI的DCS系统,提供一种对数字证书有效性验证的改进方案。在基于PKI公钥基础设施体系下,更加有效的验证对基站数字证书有效性的判断及管理。
下面对验证数字证书有效性的过程进行介绍:
首先在数字证书的属性里添加一个字段信息(例如IsValidity),用于标识数字证书是否有效,基站在进行正常业务时是有效的,IsValidity字段值为yes。当出现特殊情况,例如用户发现证书遗失或私钥失密等,向CA/RA提出注销证书的申请,CA/RA经过审核后将实施证书注销,此时IsValidity字段值为no。
在CA侧进行对用户证书的撤销,其具体操作步骤为:在CA的1444端口管理页面上搜索到对应基站终端的数字证书,打开后,即可进行撤销。
在CA上撤销证书时,CA向Femto基站发送一CMP消息,更新基站侧的数字证书的IsValidity字段为no,同时将该数字证书的撤销记录存储到LDAP数据库中。
此基站再与SeGW建立IPsec进行IKE协商,SeGW可以根据字段信息,及时判断基站的数字证书是无效的,以此报错并拒绝提供服务。之后,基站无法建立小区进行正常业务,可以进行数字证书的更新或者向运营商申请重新获取证书。
下面结合附图,对基于PKI的数字证书有效性验证的改进方法进行详细的描述,以便进一步了解本发明的目的、方案、功效。
图2是根据本发明实施例的数字证书属性图,如图2所示的是当前LTE系统中Femto基站侧的证书格式,主要包括证书版本信息、证书序列号、证书签名算法、颁发者信息、有效期、主题信息及公钥等。在此添加一有效性IsValidity字段,证书在有效期且没有因特殊情况被撤销,就是有效的,字段值为yes,当证书被撤销时就是无效的,字段值为no。
图3是根据本发明实施例的基站的数字证书有效性验证的流程图,如图4所示,描述了基站从DCS获取证书,到证书被判断为无效证书的完整流程,包括如下步骤(步骤S302-步骤S314):
步骤S302,SeGW通过CMP协议向DCS申请证书,DCS颁发数字证书给SeGW。
步骤S304,Femto基站上电后,本地产生公私钥对,通过CMP协议向DCS申请证书,DCS对基站进行身份信息验证成功后,颁发数字证书给Femto基站。
步骤S306,Femto基站使用申请到的数字证书与安全网关建立IPsec成功,再与核心网设备进行正常的无线数据业务。
步骤S308,如果Femto基站证书存在私钥失密或证书遗失情况,需要系统维护人员在DCS上撤销对此Femto基站证书。
步骤S310,撤销证书时,DCS中的CA向对应的基站发送CMP协议的Revoke证书报文;
步骤S312,Femto基站收到CA发的Revoke报文,即将自身的数字证书的IsValidity字段置为no值,即基站的数字证书处于无效状态。
步骤S314,基站侧的数字证书已经处于无效状态,此时与SeGW间IPsec会建立时检测到证书是无效状态就会失败,业务停止。
最后,需要根据Femto基站的情况进行处理,可以重新申请颁发证书以使得基站进行正常业务。
对应于上述实施例介绍的数字证书的状态处理方法,本实施例提供了一种数字证书的状态处理装置,该装置可以设置在DCS侧,用以实现上述实施例。图4是根据本发明实施例的数字证书的状态处理装置的结构框图,如图4所示,该装置包括:注销模块10和状态设置模块20。下面对该结构进行详细介绍。
注销模块10,用于在监测到基站的数字证书处于非正常情况时,对上述数字证书进行注销;其中,该非正常情况包括以下任意至少之一:证书遗失、私钥失密。
状态设置模块20,用于向基站发送证书管理协议CMP消息;其中,上述CMP消息用于将数字证书的属性中添加的字段信息,置为无效状态,以撤销数字证书的有效性。
优选地,上述注销模块10包括:搜索单元,用于在CA的1444端口管理页面搜索该数字证书;注销单元,用于打开搜索到的数字证书进行注销。
通过本实施例,提出了一种数字证书的状态处理装置,解决了相关技术中数字证书的有效性判断方法,无法解决效率和成本的问题,通过本发明的改进方案,只需在数字证书的属性字段里添加一个判断有效性字段,在不增加硬件成本的基础上,有效的提高了验证数字证书有效性的效率,加快了对证书无效性的处理。
对应于上述实施例介绍的数字证书的状态处理装置,本实施例提供了一种数字证书的状态处理系统。图5是根据本发明实施例的数字证书的状态处理系统的结构框图,如图5所示,该系统包括:上述实施例介绍的数字证书的状态处理装置以及基站、安全网关SeGW。其中,上述基站包括:字段设置模块,用于在基站的数字证书的属性中添加字段信息;其中,上述字段信息用于标识数字证书的有效或无效。
优选地,上述基站还包括:建连请求模块,用于请求与安全网关SeGW建立连接;上述SeGW包括:鉴权模块,用于基于上述字段信息,判断上述基站的数字证书是否有效,进而确定是否接受上述基站的建立连接请求。
从以上的描述中可知,本发明是基于PKI的DCS系统,提供一种对数字证书有效性验证的改进方案。在基于PKI公钥基础设施体系下,更加有效的验证对基站数字证书有效性的判断及管理。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (10)
1.一种数字证书的状态处理方法,其特征在于,所述方法包括:
在监测到基站的数字证书处于非正常情况时,数字证书服务系统DCS对所述数字证书进行注销;
所述DCS向基站发送证书管理协议CMP消息;其中,所述CMP消息用于将数字证书的属性中添加的字段信息,置为无效状态,以撤销数字证书的有效性。
2.根据权利要求1所述的方法,其特征在于,DCS对所述数字证书进行注销之前,所述方法还包括:
在基站的数字证书的属性中添加字段信息;其中,所述字段信息用于标识数字证书的有效或无效。
3.根据权利要求1所述的方法,其特征在于,DCS对所述数字证书进行注销包括:
DCS中的证书颁发机构CA,在CA的1444端口管理页面搜索该数字证书;
打开搜索到的数字证书进行注销。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述基站请求与安全网关SeGW建立连接;
所述SeGW基于所述字段信息,判断所述基站的数字证书是否有效,进而确定是否接受所述基站的建立连接请求。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述非正常情况包括以下任意至少之一:证书遗失、私钥失密。
6.一种数字证书的状态处理装置,其特征在于,所述装置设置在数字证书服务系统DCS侧,包括:
注销模块,用于在监测到基站的数字证书处于非正常情况时,对所述数字证书进行注销;
状态设置模块,用于向基站发送证书管理协议CMP消息;其中,所述CMP消息用于将数字证书的属性中添加的字段信息,置为无效状态,以撤销数字证书的有效性。
7.根据权利要求6所述的装置,其特征在于,所述注销模块包括:
搜索单元,用于在CA的1444端口管理页面搜索该数字证书;
注销单元,用于打开搜索到的数字证书进行注销。
8.根据权利要求6或7所述的装置,其特征在于,所述非正常情况包括以下任意至少之一:证书遗失、私钥失密。
9.一种数字证书的状态处理系统,其特征在于,所述系统包括所述权利要求6至8中任一项所述的数字证书的状态处理装置,以及基站、安全网关SeGW;其中,所述基站包括:
字段设置模块,用于在基站的数字证书的属性中添加字段信息;其中,所述字段信息用于标识数字证书的有效或无效。
10.根据权利要求9所述的系统,其特征在于,
所述基站还包括:建连请求模块,用于请求与安全网关SeGW建立连接;
所述SeGW包括:鉴权模块,用于基于所述字段信息,判断所述基站的数字证书是否有效,进而确定是否接受所述基站的建立连接请求。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410456403.7A CN105472604A (zh) | 2014-09-09 | 2014-09-09 | 一种数字证书的状态处理方法、装置及系统 |
PCT/CN2015/070546 WO2015154555A1 (zh) | 2014-09-09 | 2015-01-12 | 一种数字证书的状态处理方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410456403.7A CN105472604A (zh) | 2014-09-09 | 2014-09-09 | 一种数字证书的状态处理方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105472604A true CN105472604A (zh) | 2016-04-06 |
Family
ID=54287272
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410456403.7A Pending CN105472604A (zh) | 2014-09-09 | 2014-09-09 | 一种数字证书的状态处理方法、装置及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105472604A (zh) |
WO (1) | WO2015154555A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019033822A1 (zh) * | 2017-08-16 | 2019-02-21 | 中国移动通信有限公司研究院 | 数字证书的生成、认证方法、通信设备及存储介质 |
CN111342970A (zh) * | 2019-12-27 | 2020-06-26 | 航天信息股份有限公司 | 一种数字证书管理方法及系统 |
CN112787823A (zh) * | 2021-01-27 | 2021-05-11 | 上海发电设备成套设计研究院有限责任公司 | 基于区块链的智能检测设备身份认证方法、系统及装置 |
WO2023246753A1 (zh) * | 2022-06-20 | 2023-12-28 | 华为技术有限公司 | 通信方法和装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114650160A (zh) * | 2020-12-21 | 2022-06-21 | 航天信息股份有限公司 | 数字证书的处理方法、装置、存储介质及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050188196A1 (en) * | 2004-01-09 | 2005-08-25 | Hiroshi Kakii | Method of nullifying digital certificate, apparatus for nullifying digital certificate, and system, program, and recoring medium for nullifying digital certificate |
CN102447705A (zh) * | 2011-12-29 | 2012-05-09 | 华为技术有限公司 | 数字证书撤销方法及设备 |
CN103096311A (zh) * | 2011-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 家庭基站安全接入的方法及系统 |
CN103563291A (zh) * | 2013-01-21 | 2014-02-05 | 华为技术有限公司 | 提高网络安全性的方法、装置和系统 |
-
2014
- 2014-09-09 CN CN201410456403.7A patent/CN105472604A/zh active Pending
-
2015
- 2015-01-12 WO PCT/CN2015/070546 patent/WO2015154555A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050188196A1 (en) * | 2004-01-09 | 2005-08-25 | Hiroshi Kakii | Method of nullifying digital certificate, apparatus for nullifying digital certificate, and system, program, and recoring medium for nullifying digital certificate |
CN103096311A (zh) * | 2011-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 家庭基站安全接入的方法及系统 |
CN102447705A (zh) * | 2011-12-29 | 2012-05-09 | 华为技术有限公司 | 数字证书撤销方法及设备 |
CN103563291A (zh) * | 2013-01-21 | 2014-02-05 | 华为技术有限公司 | 提高网络安全性的方法、装置和系统 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019033822A1 (zh) * | 2017-08-16 | 2019-02-21 | 中国移动通信有限公司研究院 | 数字证书的生成、认证方法、通信设备及存储介质 |
CN109412792A (zh) * | 2017-08-16 | 2019-03-01 | 中国移动通信有限公司研究院 | 数字证书的生成、认证方法、通信设备及存储介质 |
CN111342970A (zh) * | 2019-12-27 | 2020-06-26 | 航天信息股份有限公司 | 一种数字证书管理方法及系统 |
CN111342970B (zh) * | 2019-12-27 | 2023-03-28 | 航天信息股份有限公司 | 一种数字证书管理方法及系统 |
CN112787823A (zh) * | 2021-01-27 | 2021-05-11 | 上海发电设备成套设计研究院有限责任公司 | 基于区块链的智能检测设备身份认证方法、系统及装置 |
CN112787823B (zh) * | 2021-01-27 | 2023-01-13 | 上海发电设备成套设计研究院有限责任公司 | 基于区块链的智能检测设备身份认证方法、系统及装置 |
WO2023246753A1 (zh) * | 2022-06-20 | 2023-12-28 | 华为技术有限公司 | 通信方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2015154555A1 (zh) | 2015-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2622357B1 (en) | Utility device management | |
US10680832B2 (en) | Computer apparatus for transmitting a certificate to a device in an installation | |
CN108667780B (zh) | 一种身份认证的方法、系统及服务器和终端 | |
US8060741B2 (en) | System and method for wireless mobile network authentication | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
CN101212798B (zh) | 支持快速切换的预认证方法 | |
CN105472604A (zh) | 一种数字证书的状态处理方法、装置及系统 | |
CN111194034B (zh) | 一种认证方法及装置 | |
KR101431777B1 (ko) | 배전 시스템, 보안 액세스 통신 시스템 및 방법 | |
CN105635094A (zh) | 安全验证方法、安全验证装置和安全验证系统 | |
US8274401B2 (en) | Secure data transfer in a communication system including portable meters | |
CN105554747A (zh) | 无线网络连接方法、装置及系统 | |
CN101416543A (zh) | 在便携式互联网系统中检测便携式用户站的复制的设备和方法 | |
CN110958142A (zh) | 设备维护方法、维护设备、存储介质及计算机程序产品 | |
CN100561919C (zh) | 一种宽带接入用户认证方法 | |
US8638718B2 (en) | Radio base transceiver station and method of connecting the same to network | |
CN111182545B (zh) | 微基站认证方法、终端 | |
CN100370772C (zh) | 一种无线局域网移动终端接入的方法 | |
CN105635062A (zh) | 网络接入设备的验证方法和装置 | |
CN111711625A (zh) | 一种基于配电终端的电力系统信息安全加密系统 | |
CN111601280B (zh) | 一种接入验证方法及装置 | |
CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
CN103647788A (zh) | 一种智能电网中的节点安全认证方法 | |
WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160406 |