CN106899542A - 安全接入方法、装置及系统 - Google Patents
安全接入方法、装置及系统 Download PDFInfo
- Publication number
- CN106899542A CN106899542A CN201510952493.3A CN201510952493A CN106899542A CN 106899542 A CN106899542 A CN 106899542A CN 201510952493 A CN201510952493 A CN 201510952493A CN 106899542 A CN106899542 A CN 106899542A
- Authority
- CN
- China
- Prior art keywords
- communication equipment
- certificate
- equipment
- white list
- itself
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种安全接入方法、装置及系统,属于移动通信技术领域。安全接入方法包括:与第二通信设备协商进行身份认证,利用自身的PKI系统对所述第二通信设备的证书进行合法性校验;在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验;如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道。本发明的技术方案,基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
Description
技术领域
本发明涉及移动通信技术领域,特别是指一种安全接入方法、装置及系统。
背景技术
随着网络、数据业务的日益发展,安全问题日益复杂化,它已不仅仅局限于防火墙和路由器上,还涉及需要保护并且希望能够允许别人访问的信息和服务这类数据的安全性如何保障。众所周知,单个系统的安全非常难管理和控制,但是受控边界是一个可管理的概念,即某人/系统建立了从内部系统到因特网的私有链接。
PKI(public key infrastructure,公开秘钥基础设施)是国际上解决开放式互联网络信息安全需求的一套体系。PKI体系支持身份认证,信息传输、存储的完整性,消息传输、存储的机密性,以及操作的不可否认性。目前,在业界比较通用的PKI系统中,如图1所示,需要部署很多服务器及功能需要,如CA(认证)服务器、RA(注册)服务器、LDAP(轻量目录访问协议)服务器等,并且出于安全部署考虑,一般服务器都会部署为双机模式,由此可知目前PKI系统的部署非常复杂,安装、平常/后期维护等也需要支出非常高的成本。
发明内容
本发明要解决的技术问题是提供一种安全接入方法、装置及系统,基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
为解决上述技术问题,本发明的实施例提供技术方案如下:
一方面,提供一种安全接入方法,应用于第一通信设备,所述方法包括:
与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验;
在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验;
如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道。
进一步地,所述第一通信设备为基站,所述第二通信设备为安全网关;或
所述第一通信设备为基站,所述第二通信设备为基站。
进一步地,所述与第二通信设备协商进行身份认证之前还包括:
获取无线传输设备商下发的设备商证书。
进一步地,所述利用自身的PKI系统对所述第二通信设备的证书进行合法性校验包括:
判断所述第二通信设备是否与自身使用的是相同信任锚的证书链,如果是,则直接进行证书链的认证;如果不是,则在已部署的交叉证书链中进行适配查找交叉证书P7链表进行认证。
进一步地,所述方法还包括:
与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
本发明实施例还提供了一种安全接入装置,应用于第一通信设备,所述装置包括:
证书认证模块,用于与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验;
白名单校验模块,用于在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验;如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道。
进一步地,所述装置还包括:
证书管理模块,用于获取无线传输设备商下发的设备商证书。
进一步地,所述装置还包括:
白名单管理模块,用于与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
本发明实施例还提供了一种安全接入方法,应用于第二通信设备,所述方法包括:
与第一通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验;
在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;
如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
进一步地,所述第一通信设备为基站,所述第二通信设备为安全网关。
进一步地,所述与第一通信设备协商进行身份认证之前还包括:
获取无线传输设备商下发的证书。
进一步地,所述方法还包括:
与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
本发明实施例还提供了一种安全接入装置,应用于第二通信设备,所述装置包括:
证书认证模块,用于与第一通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验;
白名单校验模块,用于在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
进一步地,所述装置还包括:
证书管理模块,用于获取无线传输设备商下发的证书。
进一步地,所述装置还包括:
白名单管理模块,用于与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
本发明实施例还提供了一种安全接入系统,包括:
第一通信设备,用于与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验,在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验,如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道;
第二通信设备,用于与第一通信设备协商进行身份认证,利用自身的PKI系统对所述第一通信设备的设备商证书进行合法性校验,在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
本发明的实施例具有以下有益效果:
上述方案中,第一通信设备只与第二通信设备进行交互,不再与PKI系统中各个网元进行交互,需要管理和运营的设备变少,从节约资源角度来说,节约了资产成本和运营成本;从风险角度来说减少了不必要的接入安全风险;基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
附图说明
图1为本发明实施例安全接入装置的结构框图;
图2为从现有技术向本发明技术方案转变的系统框架图;
图3为基本PKI系统下的安全隧道建立的流程示意图;
图4为基本PKI系统下的安全隧道建立的信令交互示意图;
图5为本发明另一实施例安全接入方法的流程示意图。
具体实施方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明的实施例针对现有技术中PKI系统的部署非常复杂,安装、平常/后期维护等也需要支出非常高的成本的问题,提供一种安全接入方法、装置及系统,基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
实施例一
本实施例提供一种安全接入方法,应用于第一通信设备,所述方法包括:
与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验;
在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验;
如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道。
本实施例中,第一通信设备只与第二通信设备进行交互,不再与PKI系统中各个网元进行交互,需要管理和运营的设备变少,从节约资源角度来说,节约了资产成本和运营成本;从风险角度来说减少了不必要的接入安全风险;基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
进一步地,所述第一通信设备为基站,所述第二通信设备为安全网关;或
所述第一通信设备为基站,所述第二通信设备为基站。
进一步地,所述与第二通信设备协商进行身份认证之前还包括:
获取无线传输设备商下发的设备商证书。
进一步地,所述利用自身的PKI系统对所述第二通信设备的证书进行合法性校验包括:
判断所述第二通信设备是否与自身使用的是相同信任锚的证书链,如果是,则直接进行证书链的认证;如果不是,则在已部署的交叉证书链中进行适配查找交叉证书P7链表进行认证。
进一步地,所述方法还包括:
与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
实施例二
本实施例还供了一种安全接入装置,应用于第一通信设备,如图1所示,所述装置包括:
证书认证模块,用于与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验;
白名单校验模块,用于在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验;如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道。
进一步地,所述装置还包括:
证书管理模块,用于获取无线传输设备商下发的设备商证书。
进一步地,所述装置还包括:
白名单管理模块,用于与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
本实施例中,第一通信设备只与第二通信设备进行交互,不再与PKI系统中各个网元进行交互,需要管理和运营的设备变少,从节约资源角度来说,节约了资产成本和运营成本;从风险角度来说减少了不必要的接入安全风险;基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
实施例三
本实施例还提供了一种安全接入方法,应用于第二通信设备,所述方法包括:
与第一通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验;
在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;
如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
本实施例中,第一通信设备只与第二通信设备进行交互,不再与PKI系统中各个网元进行交互,需要管理和运营的设备变少,从节约资源角度来说,节约了资产成本和运营成本;从风险角度来说减少了不必要的接入安全风险;基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
进一步地,所述第一通信设备为基站,所述第二通信设备为安全网关。
进一步地,所述与第一通信设备协商进行身份认证之前还包括:
获取无线传输设备商下发的证书。
进一步地,所述方法还包括:
与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
实施例四
本实施例还提供了一种安全接入装置,应用于第二通信设备,如图1所示,所述装置包括:
证书认证模块,用于与第一通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验;
白名单校验模块,用于在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
本实施例中,第一通信设备只与第二通信设备进行交互,不再与PKI系统中各个网元进行交互,需要管理和运营的设备变少,从节约资源角度来说,节约了资产成本和运营成本;从风险角度来说减少了不必要的接入安全风险;基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
进一步地,所述装置还包括:
证书管理模块,用于获取无线传输设备商下发的证书。
进一步地,所述装置还包括:
白名单管理模块,用于与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
实施例五
本实施例提供了一种安全接入系统,包括:
第一通信设备,用于与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验,在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验,如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道;
第二通信设备,用于与第一通信设备协商进行身份认证,利用自身的PKI系统对所述第一通信设备的设备商证书进行合法性校验,在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
本实施例中,第一通信设备只与第二通信设备进行交互,不再与PKI系统中各个网元进行交互,需要管理和运营的设备变少,从节约资源角度来说,节约了资产成本和运营成本;从风险角度来说减少了不必要的接入安全风险;基于PKI系统架构,在保证安全性的基础上,能够最大限度的简化PKI系统的流程。
实施例六
图2为从现有技术向本发明技术方案转变的系统框架图,可以看出,本实施例对PKI系统的复杂性进行了简化。
本实施例中,无线传输设备设备商在无线传输设备出厂时候给基站预置一个自定义寿命(可以是超过了基站本身寿命)的设备商证书,无线传输设备设备商证书的管理,由设备商的PKI系统进行管理维护,可以定期对证书状态进行更新,也可以利用证书吊销列表(Certificate Revocation List,CRL)维护该证书状态。
在安全网关(IPsecGW)与基站进行IKE(Internet Key Exchange)协商进行身份认证时,对基站的设备商证书进行合法性校验,校验功能由IPsecGW的PKI系统进行完成。IPsecGW对基站的设备商证书身份校验通过后,对基站的设备商证书进行白名单校验,如果此设备商证书信息在IPsecGW的白名单(whitelist)内,则允许基站接入,否则拒绝基站接入。
基站和IPsecGW进行IKE协商进行身份认证,对IPsecGW的证书进行合法性校验,校验功能由基站的PKI系统完成。基站对IPsecGW的证书身份校验通过后,对IPsecGW的证书进行白名单(whitelist)校验,如果此证书信息在基站的whitelist内,则允许和IPsecGW建立IPsec隧道,否则拒绝建立该隧道。
上述whitelist信息为证书文件的CN(common name,公用名)内容,这里的whitelist不局限于CN值,也可以是设备标识(ID),证书别名(subject altname,SAN)等可以用来标识基站身份的内容。
在网元管理系统(network element management system,NEMS)上可以对基站的白名单进行单个/批量增加、删除、修改功能;按照预设时间周期将NEMS上的白名单与基站上的白名单进行同步;基站还可以通过命令行方式对自身存储的白名单进行修改、删除、增加操作;NEMS上的白名单如果有变动,则NEMS要自动把白名单更新给下属所有连接的基站。
本实施例的技术方案从节约资源角度来说,节约了资产成本和运营成本;需要管理和运营的网元变少了,比如PKI系统中需要的CA服务器、RA服务器、LDAP服务器等;基站等设备不再需要和PKI系统进行交互,例如基站等设备不需要实现CMP协议。从风险角度来说减少了不必要的接入安全风险。
实施例七
如图3和图4所示为基本PKI系统下的安全隧道建立过程,包括以下步骤:
基站发货前,设备商PKI系统给基站颁发(预置)设备商证书;
基站使用该设备商证书向运营商PKI系统申请运营商证书;
安全网关向运营商PKI系统申请证书;
基站使用运营商证书和安全网关进行IKE协商;
安全网关校验基站的设备商证书有效性;
安全网关校验接入基站在白名单内;
双方IKE协商成功,基站通过安全网关和核心网进行安全的数据通信。
本发明实施例不需要部署运营商PKI系统,仅设备商部署PKI系统即可,如图5所示,本实施例的安全接入方法包括以下步骤:
基站发货前,设备商PKI系统给基站颁发(预置)设备商证书,由基站的证书管理模块进行维护;
设备商PKI系统给安全网关颁发证书;
基站使用运营商证书和安全网关进行IKE协商;
安全网关校验基站的设备商证书有效性;
安全网关校验接入基站在白名单内;
基站校验安全网关的证书有效性;
校验安全网关在白名单内;
双方IKE协商成功,基站通过安全网关和核心网进行安全的数据通信。
设备商给运营商运维的安全网关发布基站标识(CN\SAN\ID,包括但不限于这几种取值),以便让IPsecGW建立白名单;基站部署到运营商网络后,由NEMS把运营商网络中需要和基站建立通信的白名单发布给基站,由基站白名单管理模块进行管理,基站白名单管理模块对基站白名单按照需求进行增加、删除、修改功能;基站通过自己的白名单校验模块和证书认证模块和IPsecGW成功认证后,双方建立安全通道,进行安全的数据交互。
实施例八
本实施例的安全接入方法包括以下步骤:
基站发货前,设备商PKI系统给基站颁发(预置)设备商证书,由基站的证书管理模块进行维护;
基站部署到运营商网络后,由NEMS把运营商网络中需要和基站建立通信的白名单发布给基站,由基站白名单管理模块进行管理,基站白名单内容为基站标识(CN\SAN\ID,包括但不限于这几种取值);
基站白名单管理模块对基站白名单按照需求进行增加、删除、修改;
基站通过自己的白名单校验模块和证书认证模块和基站间成功认证后,双方建立安全通道,进行安全的数据交互。
实施例九
在基站间、基站和安全网关不是一个设备商PKI系统时,双方设备可以安装不同设备商PKI系统的信任锚,基站自动选择证书进行认证;或者双方设备安装不同设备商PKI系统的交叉证书。
本实施例的安全接入方法包括以下步骤:
基站利用证书管理模块部署安装P7格式的交叉证书;
基站利用证书管理模块采用的P7格式的交叉证书包含了交叉证书直至信任锚的证书链;
基站配置IKE协商使用的证书;
基站和对端协商设备使用证书认证方式进行协商;
基站通过证书认证模块检查到,如果对端设备和基站使用的是相同信任锚的证书链,则直接进行证书链的认证;
基站通过证书认证模块检查到,如果对端设备和基站使用的不是相同信任锚的证书链,在已经部署好的交叉证书链中进行适配查找合适的交叉证书P7链表;
证书校验通过后,基站使白名单校验模块对对端设备检查白名单是否允许通过。
以上步骤均通过后,完成整个身份认证过程,双方建立安全通道,进行安全的数据交互。
此说明书中所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同物理上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
在本发明各方法实施例中,所述各步骤的序号并不能用于限定各步骤的先后顺序,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,对各步骤的先后变化也在本发明的保护范围之内。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1.一种安全接入方法,应用于第一通信设备,其特征在于,所述方法包括:
与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验;
在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验;
如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道。
2.根据权利要求1所述的安全接入方法,其特征在于,
所述第一通信设备为基站,所述第二通信设备为安全网关;或
所述第一通信设备为基站,所述第二通信设备为基站。
3.根据权利要求2所述的安全接入方法,其特征在于,所述与第二通信设备协商进行身份认证之前还包括:
获取无线传输设备商下发的设备商证书。
4.根据权利要求2所述的安全接入方法,其特征在于,所述利用自身的PKI系统对所述第二通信设备的证书进行合法性校验包括:
判断所述第二通信设备是否与自身使用的是相同信任锚的证书链,如果是,则直接进行证书链的认证;如果不是,则在已部署的交叉证书链中进行适配查找交叉证书P7链表进行认证。
5.根据权利要求2所述的安全接入方法,其特征在于,所述方法还包括:
与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
6.一种安全接入装置,应用于第一通信设备,其特征在于,所述装置包括:
证书认证模块,用于与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验;
白名单校验模块,用于在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验;如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道。
7.根据权利要求6所述的安全接入装置,其特征在于,所述装置还包括:
证书管理模块,用于获取无线传输设备商下发的设备商证书。
8.根据权利要求6所述的安全接入装置,其特征在于,所述装置还包括:
白名单管理模块,用于与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
9.一种安全接入方法,应用于第二通信设备,其特征在于,所述方法包括:
与第一通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验;
在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;
如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
10.根据权利要求9所述的安全接入方法,其特征在于,
所述第一通信设备为基站,所述第二通信设备为安全网关。
11.根据权利要求10所述的安全接入方法,其特征在于,所述与第一通信设备协商进行身份认证之前还包括:
获取无线传输设备商下发的证书。
12.根据权利要求10所述的安全接入方法,其特征在于,所述方法还包括:
与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
13.一种安全接入装置,应用于第二通信设备,其特征在于,所述装置包括:
证书认证模块,用于与第一通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验;
白名单校验模块,用于在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
14.根据权利要求13所述的安全接入装置,其特征在于,所述装置还包括:
证书管理模块,用于获取无线传输设备商下发的证书。
15.根据权利要求13所述的安全接入装置,其特征在于,所述装置还包括:
白名单管理模块,用于与网元管理系统进行同步,根据所述网元管理系统下发的白名单信息更新自身存储的白名单。
16.一种安全接入系统,其特征在于,包括:
第一通信设备,用于与第二通信设备协商进行身份认证,利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验,在对所述第二通信设备的证书合法性校验通过后,对所述第二通信设备的证书进行白名单校验,如果所述第二通信设备的证书在自身存储的白名单内,则与所述第二通信设备建立安全通道;如果所述第二通信设备的证书不在自身存储的白名单内,则不与所述第二通信设备建立安全通道;
第二通信设备,用于与第一通信设备协商进行身份认证,利用自身的PKI系统对所述第一通信设备的设备商证书进行合法性校验,在对所述第一通信设备的设备商证书合法性校验通过后,对所述第一通信设备的设备商证书进行白名单校验;如果所述第一通信设备的设备商证书在自身存储的白名单内,则与所述第一通信设备建立安全通道;如果所述第一通信设备的设备商证书不在自身存储的白名单内,则不与所述第一通信设备建立安全通道。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510952493.3A CN106899542B (zh) | 2015-12-17 | 2015-12-17 | 安全接入方法、装置及系统 |
PCT/CN2016/091615 WO2017101447A1 (zh) | 2015-12-17 | 2016-07-25 | 安全接入方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510952493.3A CN106899542B (zh) | 2015-12-17 | 2015-12-17 | 安全接入方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106899542A true CN106899542A (zh) | 2017-06-27 |
CN106899542B CN106899542B (zh) | 2021-04-20 |
Family
ID=59055646
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510952493.3A Active CN106899542B (zh) | 2015-12-17 | 2015-12-17 | 安全接入方法、装置及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106899542B (zh) |
WO (1) | WO2017101447A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110138725A (zh) * | 2019-03-26 | 2019-08-16 | 视联动力信息技术股份有限公司 | 一种数据交换方法和安全网关 |
CN110896350A (zh) * | 2018-09-13 | 2020-03-20 | 西门子股份公司 | 用于技术设施的公钥基础设施的软件数据库 |
CN115567261A (zh) * | 2022-09-20 | 2023-01-03 | 浪潮思科网络科技有限公司 | 一种接入设备的认证方法、装置、设备及介质 |
WO2024149029A1 (zh) * | 2023-01-10 | 2024-07-18 | 华为技术有限公司 | 一种认证方法及认证装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
US20110191578A1 (en) * | 2010-02-01 | 2011-08-04 | Hayes John W | Method for digital identity authentication |
CN102571792A (zh) * | 2012-01-06 | 2012-07-11 | 西安润基投资控股有限公司 | 智能移动无线终端访问云服务器的身份认证方法 |
US20130151846A1 (en) * | 2011-12-12 | 2013-06-13 | Microsoft Corporation | Cryptographic Certification of Secure Hosted Execution Environments |
CN103560889A (zh) * | 2013-11-05 | 2014-02-05 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
WO2015090042A1 (en) * | 2013-12-16 | 2015-06-25 | Tencent Technology (Shenzhen) Company Limited | A validity verification method and intermediate server |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141447B (zh) * | 2006-09-08 | 2010-08-18 | 飞塔公司 | Https通信隧道安全检查和内容过滤系统和方法 |
CN102811218B (zh) * | 2012-07-24 | 2013-07-31 | 江苏省电子商务服务中心有限责任公司 | 数字证书精确化认证方法、装置及云认证服务系统 |
-
2015
- 2015-12-17 CN CN201510952493.3A patent/CN106899542B/zh active Active
-
2016
- 2016-07-25 WO PCT/CN2016/091615 patent/WO2017101447A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
US20110191578A1 (en) * | 2010-02-01 | 2011-08-04 | Hayes John W | Method for digital identity authentication |
US20130151846A1 (en) * | 2011-12-12 | 2013-06-13 | Microsoft Corporation | Cryptographic Certification of Secure Hosted Execution Environments |
CN102571792A (zh) * | 2012-01-06 | 2012-07-11 | 西安润基投资控股有限公司 | 智能移动无线终端访问云服务器的身份认证方法 |
CN103560889A (zh) * | 2013-11-05 | 2014-02-05 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
WO2015090042A1 (en) * | 2013-12-16 | 2015-06-25 | Tencent Technology (Shenzhen) Company Limited | A validity verification method and intermediate server |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110896350A (zh) * | 2018-09-13 | 2020-03-20 | 西门子股份公司 | 用于技术设施的公钥基础设施的软件数据库 |
CN110138725A (zh) * | 2019-03-26 | 2019-08-16 | 视联动力信息技术股份有限公司 | 一种数据交换方法和安全网关 |
CN110138725B (zh) * | 2019-03-26 | 2021-12-03 | 视联动力信息技术股份有限公司 | 一种数据交换方法和安全网关 |
CN115567261A (zh) * | 2022-09-20 | 2023-01-03 | 浪潮思科网络科技有限公司 | 一种接入设备的认证方法、装置、设备及介质 |
WO2024149029A1 (zh) * | 2023-01-10 | 2024-07-18 | 华为技术有限公司 | 一种认证方法及认证装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106899542B (zh) | 2021-04-20 |
WO2017101447A1 (zh) | 2017-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10356070B2 (en) | Method for transferring profile and electronic device supporting the same | |
CN103460736B (zh) | 在无线网络中管理数字证书的灵活系统和方法 | |
CN106471514B (zh) | 安全无线充电 | |
US10091102B2 (en) | Tunnel sub-interface using IP header field | |
US9960923B2 (en) | Handling of digital certificates | |
CN104969517B (zh) | 一种用于建立抵抗配置的控制平面的方法和装置 | |
US10075439B1 (en) | Programmable format for securely configuring remote devices | |
US8145917B2 (en) | Security bootstrapping for distributed architecture devices | |
CN106899542A (zh) | 安全接入方法、装置及系统 | |
CN103370955A (zh) | 无缝wi-fi订购修复 | |
CN110891257A (zh) | 一种具有防攻击双向认证的网联车远程升级系统及方法 | |
CN109716805A (zh) | 一种签约数据集的安装方法、终端及服务器 | |
CN102185840B (zh) | 一种认证方法、设备及系统 | |
CN112533211B (zh) | eSIM卡的证书更新方法和系统以及存储介质 | |
CN114500120B (zh) | 一种公共云的扩展方法、设备、系统及存储介质 | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
WO2018209986A1 (zh) | eUICC签约数据的下载方法及装置 | |
WO2015176465A1 (zh) | 账号管理方法及装置 | |
CN111814131B (zh) | 一种设备注册和配置管理的方法和装置 | |
CN105432058A (zh) | 针对mtc组密钥管理的装置和方法 | |
CN107332817B (zh) | 支持多个访问控制客户端的移动装置和对应的方法 | |
CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
JP2016531464A (ja) | 通信ネットワークにおけるセキュアサービス管理 | |
WO2018107723A1 (zh) | 智能卡的远程签约管理平台切换方法及装置、智能卡、sm-sr | |
CN105981028B (zh) | 通信网络上的网络元件认证 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |