CN102711106B - 建立IPSec隧道的方法及*** - Google Patents
建立IPSec隧道的方法及*** Download PDFInfo
- Publication number
- CN102711106B CN102711106B CN201210158355.4A CN201210158355A CN102711106B CN 102711106 B CN102711106 B CN 102711106B CN 201210158355 A CN201210158355 A CN 201210158355A CN 102711106 B CN102711106 B CN 102711106B
- Authority
- CN
- China
- Prior art keywords
- base station
- ipsec tunnel
- configuration
- interim
- security gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种建立IPSec隧道的方法及***,该方法包括:基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书;基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。通过本发明,采用基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道,解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。
Description
技术领域
本发明涉及通信安全领域,具体而言,涉及一种建立IPSec隧道的方法及***。
背景技术
随着移动通讯技术的快速发展,第三代移动通信***已经发展到长期演进(LTE,Long Term Evolution)阶段,在LTE无线网络中基站(eNodeB EvolutedNode B)的数量非常大,如果采用传统的方式部署众多数量的基站,将会带来高昂的维护运营成本。第二代和第三代移动通信***同样存在相同的问题。因此3GPP提出了一种可以提供自动安装、配置、维护操作,减少人工参与的自组织网络(SON,SelfOrganizing Network)的方法,能够大量减少人工配置,而自动组网。另外,随着LTE等的发展,运营商等都提出了家庭企业级的小型基站Femto,家庭企业级的Femto很多都是经过第三方运营商的传输网络才到达核心网,所以对安全有特别高的需求,又因为面对的是普通用户,所以不能有复杂专业的安全相关配置,最好能够对用户屏蔽所有专业术语。
电信业务由于数据量大,网络结构复杂且LTE基于全IP网等特点,3GPP推荐采用IPSec(IP Security)隧道接入核心网。IPSec可以通过预共享密钥PSK(Pre-Shared-Key)和数字证书PKI(Public Key Infrastructure)两种认证方式完成IPSec安全隧道的建立。使用预共享密钥进行身份验证建立IPSec链路的两个实体都必须维护一对预共享密钥,此限制进一步降低了部署安全性,增加了发生错误的机率。大规模组网情形下,PSK存在配置复杂并且维护困难等缺点,所以一般站点较多时,从维护运营以及安全性的角度来说,运营商大部分采用PKI认证方式。
一般基站的PKI认证模式为:实现离线预安装证书,然后用户配置对应的安全网关IP,以及安全策略。在这种模式中,每个站点配置和维护都很复杂,而且对用户要求高,不适合普通家庭或者非专业用户,因此对基于PKI认证方式的IPSec自配置和安全隧道自建立有特殊的需求。
针对相关技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种建立IPSec隧道的方法及***,以至少解决上述问题。
根据本发明的一个方面,提供了一种建立IPSec隧道的方法,包括:基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书;基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。
优选地,基站向配置服务器请求第一配置参数,包括:基站与配置服务器建立TLS链路,并向配置服务器请求第一配置参数。
优选地,第一配置参数包括:基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
优选地,根据配置服务器响应的第一配置参数向CA服务器请求数字证书,包括:基站获取配置服务器响应的第一配置数据后,利用证书管理协议向CA服务器请求颁发基站实体证书以及CA服务器的根CA证书。
优选地,基站根据获取的数字证书与安全网关建立临时IPSec隧道,包括:基站向安全网关发起通过PKI认证方式建立临时IPSec隧道的请求;基站与安全网关交互各自的实体证书,在实体证书验证成功后,建立基站与安全网关之间的临时IPSec隧道。
优选地,基站通过临时IPSec隧道向后台网络管理单元请求第二配置数据,包括:基站基于临时IPSec隧道向部署于核心网内的后台网络管理单元发送建链请求消息;在基站与后台网络管理单元的链路建立成功后,基站通过安全文件传输协议向后台网络管理单元请求基站的软件版本包和第二配置数据;后台网络管理单元判断数据库中的基站软件版本是否比当前版本新,如果是,则将软件版本包和第二配置数据发送至基站,否则,发送第二配置数据至基站。
优选地,基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道,包括:基站获得最新软件版本包和第二配置数据后,通知配置服务器释放相关配置资源,拆除与安全网关建立的临时IPSec隧道,并第二配置数据重新与安全网关基于PKI认证方式建立永久的IPSec隧道。
优选地,基站根据第二配置数据与安全网关之间建立永久的IPSec隧道之后,还包括:基站在CA服务器颁发给基站的数字证书有效期超期之前,向CA服务器请求更新证书或者更新私钥。
优选地,基站包括以下一种:宏基站、企业级小型基站PICO、家庭级微型基站Femto。
根据本发明的另一方面,提供了一种建立IPSec隧道的***,包括:基站、配置服务器、CA服务器、后台网络管理单元和安全网关,其中,基站,用于向配置服务器请求第一配置参数;配置服务器,用于响应基站的请求向基站返回第一配置参数;基站,还用于根据配置服务器响应的第一配置参数向CA服务器请求数字证书;CA服务器,用于响应基站的请求向基站颁发数字证书;基站,还用于根据获取的证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;后台网络管理单元,用于响应于基站的请求向基站返回第二配置数据;基站,还用于在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。
优选地,第一配置参数包括:基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
优选地,基站还用于在CA服务器颁发给基站的数字证书有效期超期之前,向CA服务器请求更新数字证书或者更新私钥。
优选地,基站包括以下一种:宏基站、企业级小型基站PICO、家庭级微型基站Femto。
通过本发明,采用基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道,解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的建立IPSec隧道的方法流程图;
图2是根据本发明实施例的建立IPSec隧道的***结构框图;
图3是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道网络部署结构示意图;
图4是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1是根据本发明实施例的建立IPSec隧道的方法流程图。如图1所示,包括以下步骤:
步骤S102,基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书。
步骤S104,基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据。
步骤S106,基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。
在本实施例中,提供了一种基于PKI认证方式的自动建立IPSec安全隧道的方法,通过基站与核心网自动建立传输链路,实现基站的自动配置,并保证基站与核心网之间数据传输的安全性。
其中,在步骤S102中,在现有网络中部署用于自动分配配置信息的配置服务器,当基站正常上电后,基站内部自发现功能在网络中广播请求配置消息,基站向配置服务器请求获得配置参数,为了保障基站与配置服务器之间数据传输安全性,两者之间的链路需要采用基于证书认证方式的传输层安全协议(TLS,Transport Layer Security Protocol)建立,使用的证书可以在设备出厂前预安装。基站获取到CA(Certificate Authority)服务器相关配置数据后基站通过证书管理协议(CMPv2,Certificate Manage Protocol V2)向CA服务器请求颁发证书。
其中,在步骤S104至S106中,基站进一步使用获得的证书与部署在核心网内的安全网关建立IPSec安全隧道,然后基站主动发送请求与网络管理单元建链消息,进而与核心网自动建立传输链路。
在上述实施例中,可以在不改变现有网络结构的情况下,即可实现基站上电后自动建链,并完成基站与后台网络管理单元之间的安全通信,解决了现有技术中基站与核心网不能自发现、自动建立安全通信链路的问题。
图2是根据本发明实施例的建立IPSec隧道的***结构框图。如图2所示,该***包括:基站10、配置服务器20、CA服务器30、后台网络管理单元40和安全网关50,其中,基站10,用于向配置服务器20请求第一配置参数;配置服务器20,用于响应基站10的请求向基站10返回第一配置参数;基站10,还用于根据配置服务器20响应的第一配置参数向CA服务器30请求数字证书;CA服务器30,用于响应基站10的请求向基站10颁发数字证书;基站10,还用于根据获取的数字证书与安全网关50建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元40请求第二配置数据;后台网络管理单元40,用于响应于基站10的请求向基站10返回第二配置数据;基站10,还用于在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关50之间建立永久的IPSec隧道。
在本实施例中,通过基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道,解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。
实施例一
图3是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道网络部署结构示意图。如图3所示,该***包括:核心网、CA服务器、安全网关、配置服务器以及一个或者多个基站(图中所示为基站1和2)。其中,在上述各网元中,与建立IPSec安全隧道相关的功能如下:
配置服务器:管理和维护基站配置参数,与基站建立TLS链路,向基站提供建立传输链路所需要的配置参数,如基站IP地址、SeGW的IP地址、CA服务器的地址、证书路径、生成证书公钥长度等参数以及后台网络管理单元的IP地址。
基站:实现自发现功能,向配置服务器请求配置参数,与安全网关建立IPSec安全隧道,向后台网络管理单元请求配置和软件版本包。
安全网关:与请求访问部署在核心网内部网元的基站建立IPSec安全隧道,保证基站与核心网之间传输数据的安全性。
CA服务器:响应基站证书申请、证书更新、密钥更新请求,向基站、安全网关颁发证书;撤销证书、提供证书状态查询。
核心网:接收基站发送的建立链路请求,与基站共同建立通信链路;管理基站,向基站提供软件版本包和配置参数,业务数据等。
图4是在图3所示的网络架构上的IPSec安全隧道建立流程图,该方法是基于PKI认证方式实现自动建立IPSec安全隧道。在本实施例中,先在现有或者新建网络中部署用于自动分配配置信息的配置服务器,并且能够支持建立TLS链路、CA服务器以及安全网关;当基站正常上电后,基站先通过内部自发现功能与配置服务器采用TLS建立连接,并向配置服务器请求获取基站IP地址、安全网关IP地址、核心网IP地址以及CA服务器相关配置参数;然后,基站利用CMPv2协议向CA服务器请求获取证书,基站与安全网关建立基于PKI认证方式的IPSec安全隧道,最后打通基站与核心网的通信链路,从而完成基站自动加入网络运维管理。
如图4所示,主要包括以下步骤:
步骤S402,基站正常上电后,启动内部自发现机制。
步骤S404,基站采用基于证书认证方式与配置服务器建立TLS,链路建立成功后,基站向配置服务器请求配置参数消息;配置服务器响应基站配置参数请求消息,返回基站临时的传输IP地址、安全网关建立IPSec安全隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度等参数、后台网络管理单元的IP地址等配置数据。
步骤S406,判断是否获取到配置服务器的响应配置数据。
步骤S408,在基站获取配置服务器的响应配置数据后,利用证书管理协议(CMPv2,Certificate Manage Protocol)向CA服务器请求颁发基站实体证书以及CA服务器的根CA证书,如果基站实体证书不是由CA根证书直接颁发的话,还需要CA服务器将中间的CA证书链一同发送给基站。
步骤S410,判断是否申请证书是否成功。
步骤S412,在基站获取到证书后,基站与安全网关建立临时IPSec安全隧道;具体包括以下步骤:
主动向网关安全发起基于PKI认证方式建立临时的IPSec安全隧道请求;安全网关预先安装了CA服务器颁发的实体证书以及根CA证书;当接收到基站请求建立IPSec安全隧道时,安全网关向基站请求基站实体证书;基站响应安全网关的请求,将基站实体证书发送给安全网关;同时,基站还会请求安全网关发送其实体证书;安全网关接收到基站实体证书后,验证证书有效性,其中包括:证书签名有效性、证书有效期、证书状态等敏感信息校验;证书验证成功后,安全网关返回其实体证书给基站;基站接收到安全网关实体证书后,同样地进行证书有效性验证;此时,证书验证成功后,基站与安全网关之间的临时IPSec安全隧道已经建链成功。
步骤S414,基站再次通过自发现机制向部署于核心网内的后台网络管理单元发送建链请求消息,此时基站与后台网络管理单元之间的通信数据都是在基站与安全建立的IPSec安全隧道下保护。
步骤S416,后台网络管理单元与基站链路建立成功后,基站通过安全文件传输协议向网络管理单元请求基站软件版本包和配置数据。
步骤S418,后台网络管理单元判断数据库中的基站软件版本是否比当前版本新,如果是的话则将软件版本包和配置数据一起发送给基站,否则只发送配置数据。
步骤S420,基站获得最新软件版本包和配置数据后,通知配置服务器释放相关配置资源,拆除与安全网关建立的IPSec安全通道。
步骤S422,基站利用获取得到的新配置数据得到永久IP,并重新与安全网关基于PKI认证方式建立永久的IPSec安全通道。此时,基站已经正常工作。基站与核心网之间的数据传输都得到了IPSec安全通道的保护。
在上述实施例中,当CA服务器颁发给基站的数字证书有效期即将超期时,基站还可以利用自动触发机制向CA服务器请求更新证书或者更新私钥,保证基站证书的有效性。
另外,需要说明的是,本发明上述各实施例描述的IPSec安全隧道的建立方法可以广泛应用于各种类型的基站,例如:传统的宏基站、企业级小型基站PICO或家庭级微型基站Femto等。
在另外一个实施例中,还提供了一种建立IPSec隧道的软件,该软件用于执行上述实施例中描述的技术方案。
在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于光盘、软盘、硬盘、可擦写存储器等。
本发明的上述各实施例提出一种基于PKI认证方式的IPSec安全隧道方法和***,可以在不改变现有网络结构的情况下,即可实现基站上电后自动建链,并完成基站与后台网络管理单元之间的安全通信,解决了现有技术中基站与核心网不能自发现、自动建立安全通信链路的问题。通过最简单配置,能够尽量解决现有技术中的配置维护复杂等问题,并且能够保证基站和核心网安全网关之间的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种建立网络协议安全IPSec隧道的方法,其特征在于,包括:
在基站启动内部自发现功能的条件下,所述基站向配置服务器请求第一配置参数,并根据所述配置服务器响应的第一配置参数向认证中心CA服务器请求数字证书;
所述基站根据获取的所述数字证书与安全网关建立临时IPSec隧道,并通过所述临时IPSec隧道向后台网络管理单元请求第二配置数据;
所述基站在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道。
2.根据权利要求1所述的方法,其特征在于,基站向配置服务器请求第一配置参数,包括:
所述基站与所述配置服务器建立传输层安全协议TLS链路,并向所述配置服务器请求第一配置参数。
3.根据权利要求1所述的方法,其特征在于,所述第一配置参数包括:所述基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
4.根据权利要求3所述的方法,其特征在于,根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书,包括:
所述基站获取配置服务器响应的所述第一配置数据后,利用证书管理协议向所述CA服务器请求颁发基站实体证书以及CA服务器的根CA证书。
5.根据权利要求1所述的方法,其特征在于,所述基站根据获取的所述数字证书与安全网关建立临时IPSec隧道,包括:
所述基站向所述安全网关发起通过公钥基础设施PKI认证方式建立所述临时IPSec隧道的请求;
所述基站与所述安全网关交互各自的实体证书,在所述实体证书验证成功后,建立所述基站与所述安全网关之间的所述临时IPSec隧道。
6.根据权利要求1所述的方法,其特征在于,所述基站通过所述临时IPSec隧道向后台网络管理单元请求第二配置数据,包括:
所述基站基于所述临时IPSec隧道向部署于核心网内的所述后台网络管理单元发送建链请求消息;
在所述基站与所述后台网络管理单元的链路建立成功后,所述基站通过安全文件传输协议向所述后台网络管理单元请求所述基站的软件版本包和第二配置数据;
所述后台网络管理单元判断数据库中的基站软件版本是否比当前版本新,如果是,则将所述软件版本包和第二配置数据发送至所述基站,否则只发送所述第二配置数据至所述基站。
7.根据权利要求6所述的方法,其特征在于,所述基站在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道,包括:
所述基站获得最新软件版本包和所述第二配置数据后,通知所述配置服务器释放相关配置资源,拆除与所述安全网关建立的临时IPSec隧道,并所述第二配置数据重新与所述安全网关基于PKI认证方式建立永久的IPSec隧道。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述基站根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道之后,还包括:
所述基站在所述CA服务器颁发给所述基站的数字证书有效期超期之前,向所述CA服务器请求更新所述数字证书或者更新私钥。
9.根据权利要求8所述的方法,其特征在于,所述基站包括以下一种:
宏基站、企业级小型基站PICO、家庭级微型基站Femto。
10.一种建立网络协议安全IPSec隧道的***,其特征在于,包括:基站、配置服务器、认证中心CA服务器、后台网络管理单元和安全网关,其中,
所述基站,用于在启动内部自发现功能的条件下,向所述配置服务器请求第一配置参数;
所述配置服务器,用于响应所述基站的请求向所述基站返回所述第一配置参数;
所述基站,还用于根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书;
所述CA服务器,用于响应所述基站的请求向所述基站颁发所述数字证书;
所述基站,还用于根据获取的所述数字证书与所述安全网关建立临时IPSec隧道,并通过所述临时IPSec隧道向所述后台网络管理单元请求第二配置数据;
所述后台网络管理单元,用于响应于所述基站的请求向所述基站返回所述第二配置数据;
所述基站,还用于在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道。
11.根据权利要求10所述的***,其特征在于,所述第一配置参数包括:所述基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
12.根据权利要求10所述的***,其特征在于,所述基站还用于在所述CA服务器颁发给所述基站的数字证书有效期超期之前,向所述CA服务器请求更新所述数字证书或者更新私钥。
13.根据权利要求10至12任一项所述的***,其特征在于,所述基站包括以下一种:
宏基站、企业级小型基站PICO、家庭级微型基站Femto。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210158355.4A CN102711106B (zh) | 2012-05-21 | 2012-05-21 | 建立IPSec隧道的方法及*** |
| JP2015512991A JP6022041B2 (ja) | 2012-05-21 | 2012-07-24 | IPSecトンネルの確立方法及びシステム |
| EP12877311.6A EP2854349A4 (en) | 2012-05-21 | 2012-07-24 | METHOD AND SYSTEM FOR ESTABLISHING IPSEC TUNNEL |
| PCT/CN2012/079108 WO2013174074A1 (zh) | 2012-05-21 | 2012-07-24 | 建立IPSec隧道的方法及*** |
| RU2014147182A RU2611020C2 (ru) | 2012-05-21 | 2012-07-24 | Способ и система для установления туннеля по протоколам для обеспечения защиты данных |
| US14/402,749 US20150135299A1 (en) | 2012-05-21 | 2012-07-24 | Method and system for establishing ipsec tunnel |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210158355.4A CN102711106B (zh) | 2012-05-21 | 2012-05-21 | 建立IPSec隧道的方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102711106A CN102711106A (zh) | 2012-10-03 |
| CN102711106B true CN102711106B (zh) | 2018-08-10 |
Family
ID=46903627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210158355.4A Active CN102711106B (zh) | 2012-05-21 | 2012-05-21 | 建立IPSec隧道的方法及*** |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20150135299A1 (zh) |
| EP (1) | EP2854349A4 (zh) |
| JP (1) | JP6022041B2 (zh) |
| CN (1) | CN102711106B (zh) |
| RU (1) | RU2611020C2 (zh) |
| WO (1) | WO2013174074A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103220818B (zh) * | 2013-01-30 | 2015-12-23 | 中兴通讯股份有限公司 | 一种建立X2口IPSec隧道的方法和装置 |
| WO2015066912A1 (zh) * | 2013-11-11 | 2015-05-14 | 华为技术有限公司 | 基站开通方法和基站开通*** |
| JP2016063234A (ja) * | 2014-09-12 | 2016-04-25 | 富士通株式会社 | 通信装置の通信制御方法,通信装置,通信制御システム |
| WO2016078378A1 (en) * | 2014-11-17 | 2016-05-26 | Huawei Technologies Co., Ltd. | Method, server, base station and communication system for configuring security parameters |
| US10389538B2 (en) * | 2017-03-08 | 2019-08-20 | A10 Networks, Inc. | Processing a security policy for certificate validation error |
| US20180288035A1 (en) * | 2017-03-30 | 2018-10-04 | Avaya Inc. | Device enrollment service system and method |
| US11190510B2 (en) * | 2017-11-15 | 2021-11-30 | Parallel Wireless, Inc. | Two-factor authentication in a cellular radio access network |
| US10693664B2 (en) * | 2018-07-20 | 2020-06-23 | Dell Products L.P. | Systems and methods to build a trusted hypertext transfer protocol secure session on a limited pre-boot basic input/output system environment |
| CN110798437B (zh) * | 2018-08-03 | 2023-02-21 | 中兴通讯股份有限公司 | 一种数据保护方法、装置及计算机存储介质 |
| CN110602256B (zh) * | 2019-10-08 | 2022-07-08 | 杭州领克信息科技有限公司 | 一种工业设备远程维护的安全保护方法 |
| CN112714439B (zh) * | 2019-10-25 | 2022-08-30 | 大唐移动通信设备有限公司 | 通信数据的安全传输方法、装置、设备及存储介质 |
| CN111556064B (zh) * | 2020-05-06 | 2022-03-11 | 广东纬德信息科技股份有限公司 | 基于电力网关的密钥管理方法、装置、介质及终端设备 |
| CN111600775B (zh) * | 2020-05-15 | 2022-02-22 | 苏州浪潮智能科技有限公司 | 一种集群加密迁移的安全性测试方法、装置、设备和介质 |
| CN113965462A (zh) * | 2020-06-29 | 2022-01-21 | 中兴通讯股份有限公司 | 业务传输方法、装置、网络设备和存储介质 |
| CN117063441A (zh) * | 2021-03-12 | 2023-11-14 | 上海诺基亚贝尔股份有限公司 | 离线网络安全配置 |
| CN114050931B (zh) * | 2021-11-10 | 2024-05-28 | 湖北天融信网络安全技术有限公司 | 一种数据传输的方法、装置、电子设备及可读存储介质 |
| CN114567548B (zh) * | 2022-01-26 | 2023-11-07 | 三维通信股份有限公司 | 基站的安全网关配置管理方法、***和电子装置 |
| CN115296988B (zh) * | 2022-10-09 | 2023-03-21 | 中国电子科技集团公司第三十研究所 | 一种实现IPSec网关动态组网的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1509111A (zh) * | 2002-12-18 | 2004-06-30 | ض� | 用于安全移动的基于ip的漫游解决方案的方法、设备和*** |
| WO2011124266A1 (en) * | 2010-04-09 | 2011-10-13 | Nokia Siemens Networks Oy | Establishing connectivity between a relay node and a configuration entity |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4304362B2 (ja) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
| JP3775791B2 (ja) * | 2002-08-13 | 2006-05-17 | 株式会社エヌ・ティ・ティ・データ | Ic、データ処理システム及びコンピュータプログラム |
| US10375023B2 (en) * | 2004-02-20 | 2019-08-06 | Nokia Technologies Oy | System, method and computer program product for accessing at least one virtual private network |
| US7437551B2 (en) * | 2004-04-02 | 2008-10-14 | Microsoft Corporation | Public key infrastructure scalability certificate revocation status validation |
| US7272123B2 (en) * | 2004-09-13 | 2007-09-18 | Nextel Communications, Inc. | System and method for handoff processing |
| KR100759489B1 (ko) * | 2004-11-18 | 2007-09-18 | 삼성전자주식회사 | 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치 |
| US8046579B2 (en) * | 2005-10-04 | 2011-10-25 | Neopost Technologies | Secure gateway with redundent servers |
| US7848335B1 (en) * | 2005-10-27 | 2010-12-07 | Juniper Networks, Inc. | Automatic connected virtual private network |
| US20070283430A1 (en) * | 2006-06-02 | 2007-12-06 | Research In Motion Limited | Negotiating vpn tunnel establishment parameters on user's interaction |
| US20080022374A1 (en) * | 2006-06-29 | 2008-01-24 | Research In Motion Limited | System and method for securely communicating with a server |
| US7905305B2 (en) * | 2006-07-07 | 2011-03-15 | Mattel, Inc. | Blow-molded wheels having undulating treads, methods for producing the same, and children's ride-on vehicles including the same |
| CN100440846C (zh) * | 2007-01-26 | 2008-12-03 | 成都迈普产业集团有限公司 | 虚拟专用网动态连接方法 |
| US20100185849A1 (en) * | 2007-06-11 | 2010-07-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for certificate handling |
| CN101364910B (zh) * | 2007-08-09 | 2011-07-13 | 中兴通讯股份有限公司 | 一种自组织网络的***和方法 |
| CN101227376B (zh) * | 2008-02-04 | 2010-07-28 | 杭州华三通信技术有限公司 | 一种虚拟专用网多实例安全接入的方法及设备 |
| EP2384037B1 (en) * | 2008-12-26 | 2016-09-14 | NEC Corporation | Communication system, femto cell base station, and communication method |
| US8738696B2 (en) * | 2009-01-29 | 2014-05-27 | At&T Mobility Ii Llc | Single subscription management for multiple devices |
| US8548171B2 (en) * | 2009-02-27 | 2013-10-01 | Cisco Technology, Inc. | Pair-wise keying for tunneled virtual private networks |
| KR101607363B1 (ko) * | 2009-03-05 | 2016-03-29 | 인터디지탈 패튼 홀딩스, 인크 | H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치 |
| US8559392B2 (en) * | 2009-07-30 | 2013-10-15 | Cisco Technology, Inc. | Inter-technology handovers for wireless networks |
| CN104917780A (zh) * | 2009-11-25 | 2015-09-16 | 安全第一公司 | 对移动中数据进行保护的***和方法 |
| CN102907170A (zh) * | 2010-06-01 | 2013-01-30 | 诺基亚西门子通信公司 | 将移动站连接到通信网络的方法 |
| CN101969414B (zh) * | 2010-10-15 | 2012-10-03 | 北京交通大学 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
| US8627064B2 (en) * | 2011-03-24 | 2014-01-07 | Alcatel Lucent | Flexible system and method to manage digital certificates in a wireless network |
-
2012
- 2012-05-21 CN CN201210158355.4A patent/CN102711106B/zh active Active
- 2012-07-24 JP JP2015512991A patent/JP6022041B2/ja active Active
- 2012-07-24 US US14/402,749 patent/US20150135299A1/en not_active Abandoned
- 2012-07-24 RU RU2014147182A patent/RU2611020C2/ru active
- 2012-07-24 WO PCT/CN2012/079108 patent/WO2013174074A1/zh active Application Filing
- 2012-07-24 EP EP12877311.6A patent/EP2854349A4/en not_active Withdrawn
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1509111A (zh) * | 2002-12-18 | 2004-06-30 | ض� | 用于安全移动的基于ip的漫游解决方案的方法、设备和*** |
| WO2011124266A1 (en) * | 2010-04-09 | 2011-10-13 | Nokia Siemens Networks Oy | Establishing connectivity between a relay node and a configuration entity |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2014147182A (ru) | 2016-07-20 |
| EP2854349A1 (en) | 2015-04-01 |
| WO2013174074A1 (zh) | 2013-11-28 |
| JP6022041B2 (ja) | 2016-11-09 |
| EP2854349A4 (en) | 2015-08-12 |
| RU2611020C2 (ru) | 2017-02-17 |
| US20150135299A1 (en) | 2015-05-14 |
| JP2015517773A (ja) | 2015-06-22 |
| CN102711106A (zh) | 2012-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102711106B (zh) | 建立IPSec隧道的方法及*** | |
| JP6100333B2 (ja) | 安全な遠隔加入管理 | |
| CN102349319B (zh) | 中继节点的设置和配置 | |
| CN101779484B (zh) | 自组织服务提供方为无线网络提供服务的能力 | |
| CN103259837B (zh) | 路侧单元接入方法、***及装置 | |
| CN103096311B (zh) | 家庭基站安全接入的方法及*** | |
| CN103460736A (zh) | 在无线网络中管理数字证书的灵活***和方法 | |
| CN107852407A (zh) | 用于集成小型小区和Wi‑Fi网络的统一认证 | |
| CN103297968B (zh) | 一种无线终端认证的方法、设备及*** | |
| CN108683690B (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
| CN105191210B (zh) | 用于针对d2d服务的策略控制和收费的方法 | |
| CN102638900B (zh) | 一种连接建立方法及装置 | |
| CN107302544B (zh) | 证书申请方法、无线接入控制设备及无线接入点设备 | |
| CN102724102A (zh) | 与网管***建立连接的方法、设备及通信*** | |
| US9992065B2 (en) | Selective wi-fi calling router updates | |
| CN106465096A (zh) | 接入网络和获取客户识别模块信息的方法、终端及核心网 | |
| CN102480727A (zh) | 机器与机器通信中的组认证方法及*** | |
| CN101971694A (zh) | 免接触即插即用基站收发台 | |
| CN104967985A (zh) | 一种基站自启动方法和设备 | |
| CN102333289A (zh) | 基于短信的3g网络设备综合管理***及方法 | |
| CN104604295B (zh) | 用于在无线通信***中由服务器管理终端对资源的访问权限的方法及其设备 | |
| CN113498057A (zh) | 通信***、方法及装置 | |
| CN102752752B (zh) | 基站维护方法和设备 | |
| WO2006021236A1 (en) | Method and apparatus for supporting secure handover | |
| CN104581704B (zh) | 一种实现机器类通信设备间安全通信的方法及网络实体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |