安全接入方法、装置及系统制造方法及图纸

本发明专利技术提供了一种安全接入方法、装置及系统，属于移动通信技术领域。安全接入方法包括：与第二通信设备协商进行身份认证，利用自身的PKI系统对所述第二通信设备的证书进行合法性校验；在对所述第二通信设备的证书合法性校验通过后，对所述第二通信设备的证书进行白名单校验；如果所述第二通信设备的证书在自身存储的白名单内，则与所述第二通信设备建立安全通道；如果所述第二通信设备的证书不在自身存储的白名单内，则不与所述第二通信设备建立安全通道。本发明专利技术的技术方案，基于PKI系统架构，在保证安全性的基础上，能够最大限度的简化PKI系统的流程。

【技术实现步骤摘要】
安全接入方法、装置及系统
本专利技术涉及移动通信
，特别是指一种安全接入方法、装置及系统。
技术介绍
随着网络、数据业务的日益发展，安全问题日益复杂化，它已不仅仅局限于防火墙和路由器上，还涉及需要保护并且希望能够允许别人访问的信息和服务这类数据的安全性如何保障。众所周知，单个系统的安全非常难管理和控制，但是受控边界是一个可管理的概念，即某人/系统建立了从内部系统到因特网的私有链接。PKI(publickeyinfrastructure，公开秘钥基础设施)是国际上解决开放式互联网络信息安全需求的一套体系。PKI体系支持身份认证，信息传输、存储的完整性，消息传输、存储的机密性，以及操作的不可否认性。目前，在业界比较通用的PKI系统中，如图1所示，需要部署很多服务器及功能需要，如CA(认证)服务器、RA(注册)服务器、LDAP(轻量目录访问协议)服务器等，并且出于安全部署考虑，一般服务器都会部署为双机模式，由此可知目前PKI系统的部署非常复杂，安装、平常/后期维护等也需要支出非常高的成本。
技术实现思路
本专利技术要解决的技术问题是提供一种安全接入方法、装置及系统，基于PKI系统架构，在保证安全性的基础上，能够最大限度的简化PKI系统的流程。为解决上述技术问题，本专利技术的实施例提供技术方案如下：一方面，提供一种安全接入方法，应用于第一通信设备，所述方法包括：与第二通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验；在对所述第二通信设备的证书合法性校验通过后，对所述第二通信设备的证书进行白名单校验；如果所述第二通信设备的证书在自身存储的白名单内，则与所述第二通信设备建立安全通道；如果所述第二通信设备的证书不在自身存储的白名单内，则不与所述第二通信设备建立安全通道。进一步地，所述第一通信设备为基站，所述第二通信设备为安全网关；或所述第一通信设备为基站，所述第二通信设备为基站。进一步地，所述与第二通信设备协商进行身份认证之前还包括：获取无线传输设备商下发的设备商证书。进一步地，所述利用自身的PKI系统对所述第二通信设备的证书进行合法性校验包括：判断所述第二通信设备是否与自身使用的是相同信任锚的证书链，如果是，则直接进行证书链的认证；如果不是，则在已部署的交叉证书链中进行适配查找交叉证书P7链表进行认证。进一步地，所述方法还包括：与网元管理系统进行同步，根据所述网元管理系统下发的白名单信息更新自身存储的白名单。本专利技术实施例还提供了一种安全接入装置，应用于第一通信设备，所述装置包括：证书认证模块，用于与第二通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验；白名单校验模块，用于在对所述第二通信设备的证书合法性校验通过后，对所述第二通信设备的证书进行白名单校验；如果所述第二通信设备的证书在自身存储的白名单内，则与所述第二通信设备建立安全通道；如果所述第二通信设备的证书不在自身存储的白名单内，则不与所述第二通信设备建立安全通道。进一步地，所述装置还包括：证书管理模块，用于获取无线传输设备商下发的设备商证书。进一步地，所述装置还包括：白名单管理模块，用于与网元管理系统进行同步，根据所述网元管理系统下发的白名单信息更新自身存储的白名单。本专利技术实施例还提供了一种安全接入方法，应用于第二通信设备，所述方法包括：与第一通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验；在对所述第一通信设备的设备商证书合法性校验通过后，对所述第一通信设备的设备商证书进行白名单校验；如果所述第一通信设备的设备商证书在自身存储的白名单内，则与所述第一通信设备建立安全通道；如果所述第一通信设备的设备商证书不在自身存储的白名单内，则不与所述第一通信设备建立安全通道。进一步地，所述第一通信设备为基站，所述第二通信设备为安全网关。进一步地，所述与第一通信设备协商进行身份认证之前还包括：获取无线传输设备商下发的证书。进一步地，所述方法还包括：与网元管理系统进行同步，根据所述网元管理系统下发的白名单信息更新自身存储的白名单。本专利技术实施例还提供了一种安全接入装置，应用于第二通信设备，所述装置包括：证书认证模块，用于与第一通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验；白名单校验模块，用于在对所述第一通信设备的设备商证书合法性校验通过后，对所述第一通信设备的设备商证书进行白名单校验；如果所述第一通信设备的设备商证书在自身存储的白名单内，则与所述第一通信设备建立安全通道；如果所述第一通信设备的设备商证书不在自身存储的白名单内，则不与所述第一通信设备建立安全通道。进一步地，所述装置还包括：证书管理模块，用于获取无线传输设备商下发的证书。进一步地，所述装置还包括：白名单管理模块，用于与网元管理系统进行同步，根据所述网元管理系统下发的白名单信息更新自身存储的白名单。本专利技术实施例还提供了一种安全接入系统，包括：第一通信设备，用于与第二通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验，在对所述第二通信设备的证书合法性校验通过后，对所述第二通信设备的证书进行白名单校验，如果所述第二通信设备的证书在自身存储的白名单内，则与所述第二通信设备建立安全通道；如果所述第二通信设备的证书不在自身存储的白名单内，则不与所述第二通信设备建立安全通道；第二通信设备，用于与第一通信设备协商进行身份认证，利用自身的PKI系统对所述第一通信设备的设备商证书进行合法性校验，在对所述第一通信设备的设备商证书合法性校验通过后，对所述第一通信设备的设备商证书进行白名单校验；如果所述第一通信设备的设备商证书在自身存储的白名单内，则与所述第一通信设备建立安全通道；如果所述第一通信设备的设备商证书不在自身存储的白名单内，则不与所述第一通信设备建立安全通道。本专利技术的实施例具有以下有益效果：上述方案中，第一通信设备只与第二通信设备进行交互，不再与PKI系统中各个网元进行交互，需要管理和运营的设备变少，从节约资源角度来说，节约了资产成本和运营成本；从风险角度来说减少了不必要的接入安全风险；基于PKI系统架构，在保证安全性的基础上，能够最大限度的简化PKI系统的流程。附图说明图1为本专利技术实施例安全接入装置的结构框图；图2为从现有技术向本专利技术技术方案转变的系统框架图；图3为基本PKI系统下的安全隧道建立的流程示意图；图4为基本PKI系统下的安全隧道建立的信令交互示意图；图5为本专利技术另一实施例安全接入方法的流程示意图。具体实施方式为使本专利技术的实施例要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。本专利技术的实施例针对现有技术中PKI系统的部署非常复杂，安装、平常/后期维护等也需要支出非常高的成本的问题，提供一种安全接入方法、装置及系统，基于PKI系统架构，在保证安全性的基础上，能够最大限度的简化PKI系统的流程。实施例一本实施例提供一种安全接入方法，应用于第一通信设备，所述方法包括：与第二通信设备协商进行身份认证，利用自身的公开秘钥本文档来自技高网...

【技术保护点】
一种安全接入方法，应用于第一通信设备，其特征在于，所述方法包括：与第二通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验；在对所述第二通信设备的证书合法性校验通过后，对所述第二通信设备的证书进行白名单校验；如果所述第二通信设备的证书在自身存储的白名单内，则与所述第二通信设备建立安全通道；如果所述第二通信设备的证书不在自身存储的白名单内，则不与所述第二通信设备建立安全通道。

【技术特征摘要】
1.一种安全接入方法，应用于第一通信设备，其特征在于，所述方法包括：与第二通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验；在对所述第二通信设备的证书合法性校验通过后，对所述第二通信设备的证书进行白名单校验；如果所述第二通信设备的证书在自身存储的白名单内，则与所述第二通信设备建立安全通道；如果所述第二通信设备的证书不在自身存储的白名单内，则不与所述第二通信设备建立安全通道。2.根据权利要求1所述的安全接入方法，其特征在于，所述第一通信设备为基站，所述第二通信设备为安全网关；或所述第一通信设备为基站，所述第二通信设备为基站。3.根据权利要求2所述的安全接入方法，其特征在于，所述与第二通信设备协商进行身份认证之前还包括：获取无线传输设备商下发的设备商证书。4.根据权利要求2所述的安全接入方法，其特征在于，所述利用自身的PKI系统对所述第二通信设备的证书进行合法性校验包括：判断所述第二通信设备是否与自身使用的是相同信任锚的证书链，如果是，则直接进行证书链的认证；如果不是，则在已部署的交叉证书链中进行适配查找交叉证书P7链表进行认证。5.根据权利要求2所述的安全接入方法，其特征在于，所述方法还包括：与网元管理系统进行同步，根据所述网元管理系统下发的白名单信息更新自身存储的白名单。6.一种安全接入装置，应用于第一通信设备，其特征在于，所述装置包括：证书认证模块，用于与第二通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第二通信设备的证书进行合法性校验；白名单校验模块，用于在对所述第二通信设备的证书合法性校验通过后，对所述第二通信设备的证书进行白名单校验；如果所述第二通信设备的证书在自身存储的白名单内，则与所述第二通信设备建立安全通道；如果所述第二通信设备的证书不在自身存储的白名单内，则不与所述第二通信设备建立安全通道。7.根据权利要求6所述的安全接入装置，其特征在于，所述装置还包括：证书管理模块，用于获取无线传输设备商下发的设备商证书。8.根据权利要求6所述的安全接入装置，其特征在于，所述装置还包括：白名单管理模块，用于与网元管理系统进行同步，根据所述网元管理系统下发的白名单信息更新自身存储的白名单。9.一种安全接入方法，应用于第二通信设备，其特征在于，所述方法包括：与第一通信设备协商进行身份认证，利用自身的公开秘钥基础设施PKI系统对所述第一通信设备的设备商证书进行合法性校验；在对所述第一通信设备的设备商证书合法性校验通过后，对所述第一通信设备的设备商证书进行白名单校验；...

【专利技术属性】
技术研发人员：梁琳，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44