本发明专利技术公开了一种基站设备的证书分发方法,包括:证书分发服务器接收基站设备的证书申请请求,并基于根证书对所述证书申请请求进行合法性验证,当通过验证时,将所述证书申请请求发送至第一认证服务器;其中,所述根证书存储于所述证书分发服务器;所述第一认证服务器接收到所述证书申请请求时,生成可信设备证书,并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备,所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。本发明专利技术还同时公开了一种基站设备的证书分发系统。
【技术实现步骤摘要】
一种基站设备的证书分发系统及方法
本专利技术涉及通信技术,尤其涉及一种基站设备的证书分发系统及方法。
技术介绍
据数据显示,室内分布系统占总基站数的20%,而这的20%室内覆盖为运营商带来80%的数据业务,因此,为了提升用户粘度,运营商都把第四代移动通信(4G)深度覆盖作为4G部署所要面对的首要任务。小基站作为室内覆盖的一种实现方式,虽然有效解决了室内深度覆盖问题,提升了用户体验,但是,由于其部署位置不可信,不可避免的带来了更多的安全威胁。攻击者可以通过本地接口或远程控制方式篡改设备配置、窃取设备存储的认证信息,甚至伪造设备诱骗用户接入,或向核心网发起攻击。因此,小基站需要同时保证本地安全、空口安全、接入核心网安全、传输安全和运维安全。目前,对小基站设备进行安全认证的方式有多种,其中,常用的有证书认证,其认证方法为:通过给小基站设备(包括安全网关)签发设备证书,用于标识小基站设备的合法身份;在小基站请求接入安全网关时,通过证书进行合法性认证;认证通过后,建立互联网协议安全性(IPSec,InternetProtocolSecurity)安全传输通道来保证传输安全。在证书认证过程中,安全网关为了验证申请接入的小基站设备证书的合法性,则需要在安全网关中提前配置好小基站设备证书的根证书链,小基站设备中也要提前配置好安全网关的根证书链。如果安全网关需要支持接入多家厂商的小基站设备,则需要在安全网关中配置所有小基站设备商的认证授权机构(CA,CertificateAuthority)的根证书链,而且在小基站设备中配置好对应的安全网关的根证书链,因此,造成了设备证书的证书配置复杂的问题。
技术实现思路
针对上述的技术问题,本专利技术实施例期望提供一种基站设备的证书分发系统及方法,有效地解决各设备厂商的证书配置复杂的问题。本专利技术实施例的技术方案是这样实现的:本专利技术实施例提供了一种基站设备的证书分发系统,包括:证书分发服务器,用于接收基站设备的证书申请请求,并基于根证书对所述证书申请请求进行合法性验证,当通过验证时,将所述证书申请请求发送至第一认证服务器;其中,所述根证书存储于所述证书分发服务器;所述第一认证服务器,用于接收到所述证书申请请求时,生成可信设备证书,并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备,所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。上述方案中,所述证书申请请求携带预置证书、设备串号、公钥和签名值;所述证书分发服务器,还用于使用所述根证书中的公钥解析所述预置证书中的签名值,得到第一摘要;对所述预置证书中的设备串号和公钥进行哈希运算,得到第二摘要;所述证书分发服务器,还用于当所述第一摘要和所述第二摘要一致时,使用所述预置证书的公钥解析所述证书申请请求中的签名值,得到第三摘要;对所述证书申请请求中的设备串号和公钥进行哈希运算,得到第四摘要。上述方案中,所述证书分发服务器,具体用于:当所述第三摘要和所述第四摘要一致时,检查所述证书申请请求中的设备串号,是否在由设备商认证机构认证的具有合法性的设备串号列表中。上述方案中,还包括:第二认证服务器,用于签发所述基站设备的证书,并将签发的证书作为所述预置证书下发至所述基站设备,所述预置证书表示所述基站设备在所述设备商证书机构中的合法性;所述第二认证服务器,还用于向所述证书分发服务器发送设备商的根证书、以及在所述设备商证书机构中具有合法性的基站设备的串号。上述方案中,所述第一认证服务器,具体用于:对所述证书申请请求中的设备串号和公钥进行哈希计算,将计算的结果进行数字签名得到第二签名值;根据所述证书申请请求中的公钥和设备串号,以及所述第二签名值生成可信设备证书。上述方案中,所述证书分发服务器,还用于将接收到所述根证书和所述基站设备的串号进行存储形成授权设备白名单,所述授权设备白名单用于验证所述基站设备发送的预置证书和设备串号的有效性。本专利技术实施例还提供了一种基站设备的证书分发方法,所述方法包括:证书分发服务器接收基站设备的证书申请请求,并基于根证书对所述证书申请请求进行合法性验证,当通过验证时,将所述证书申请请求发送至第一认证服务器;其中,所述根证书存储于所述证书分发服务器;所述第一认证服务器接收到所述证书申请请求时,生成可信设备证书,并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备,所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。上述方案中,所述证书申请请求携带预置证书、设备串号、公钥和签名值;所述基于根证书对所述证书申请请求进行合法性验证之前,所述方法还包括:所述证书分发服务器使用所述根证书中的公钥解析所述预置证书中的签名值,得到第一摘要;对所述预置证书中的设备串号和公钥进行哈希运算,得到第二摘要;当所述第一摘要和所述第二摘要一致时,所述证书分发服务器使用所述预置证书的公钥解析所述证书申请请求中的签名值,得到第三摘要;对所述证书申请请求中的设备串号和公钥进行哈希运算,得到第四摘要。上述方案中,所述基于根证书对所述证书申请请求进行合法性验证,包括:当所述第三摘要和所述第四摘要一致时,所述证书分发服务器检查所述证书申请请求中的设备串号,是否在由设备商认证机构认证的具有合法性的设备串号列表中。上述方案中,所述将所述证书申请请求发送至所述证书分发服务器之前,所述方法还包括:第二认证服务器签发所述基站设备的证书,并将签发的证书作为所述预置证书下发至所述基站设备,所述预置证书表示所述基站设备在所述设备商证书机构中的合法性;所述第二认证服务器向所述证书分发服务器发送设备商的根证书、以及在所述设备商证书机构中具有合法性的基站设备的串号。上述方案中,所述生成可信设备证书,包括:所述第一认证服务器接对所述证书申请请求中的设备串号和公钥进行哈希计算,将计算的结果进行数字签名得到第二签名值;所述第一认证服务器根据所述证书申请请求中的公钥和设备串号,以及所述第二签名值生成可信设备证书。上述方案中,所述方法还包括:所述证书分发服务器将接收到所述根证书和所述基站设备的串号进行存储形成授权设备白名单,所述授权设备白名单用于验证所述基站设备发送的预置证书和设备串号的有效性。本专利技术实施例提供的一种基站设备的证书分发系统及方法,能够在基站设备安装启动后,产生一条证书申请请求,并将该证书申请请求通过证书分发服务器发送至第一认证服务器,也即运营商CA,第一认证服务器接收到该请求后,向基站设备签发可信设备证书。因此,通过本专利技术实施例,可以具有以下有益效果:实现了基站设备证书的在线分发和自动配置,有效的解决了配置复杂、工作量大和易出错的问题。附图说明图1为本专利技术实施例公开的一种基站设备的证书分发系统的结构示意图;图2为本专利技术实施例公开的另一种基站设备的证书分发系统的结构示意图;图3为本专利技术实施例公开的一种基站设备的证书分发方法的实现流程示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作在本专利技术可选实施例中详细描述,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。本专利技术实施例公开了一种基站设备本文档来自技高网...
【技术保护点】
1.一种基站设备的证书分发系统,其特征在于,包括:证书分发服务器,用于接收基站设备的证书申请请求,并基于根证书对所述证书申请请求进行合法性验证,当通过验证时,将所述证书申请请求发送至第一认证服务器;其中,所述根证书存储于所述证书分发服务器;所述第一认证服务器,用于接收到所述证书申请请求时,生成可信设备证书,并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备,所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。
【技术特征摘要】
1.一种基站设备的证书分发系统,其特征在于,包括:证书分发服务器,用于接收基站设备的证书申请请求,并基于根证书对所述证书申请请求进行合法性验证,当通过验证时,将所述证书申请请求发送至第一认证服务器;其中,所述根证书存储于所述证书分发服务器;所述第一认证服务器,用于接收到所述证书申请请求时,生成可信设备证书,并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备,所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。2.根据权利要求1所述的系统,其特征在于,所述证书申请请求携带预置证书、设备串号、公钥和签名值;所述证书分发服务器,还用于使用所述根证书中的公钥解析所述预置证书中的签名值,得到第一摘要;对所述预置证书中的设备串号和公钥进行哈希运算,得到第二摘要;所述证书分发服务器,还用于当所述第一摘要和所述第二摘要一致时,使用所述预置证书的公钥解析所述证书申请请求中的签名值,得到第三摘要;对所述证书申请请求中的设备串号和公钥进行哈希运算,得到第四摘要。3.根据权利要求2所述的系统,其特征在于,所述证书分发服务器,具体用于:当所述第三摘要和所述第四摘要一致时,检查所述证书申请请求中的设备串号,是否在由设备商认证机构认证的具有合法性的设备串号列表中。4.根据权利要求2所述的系统,其特征在于,还包括:第二认证服务器,用于签发所述基站设备的证书,并将签发的证书作为所述预置证书下发至所述基站设备,所述预置证书表示所述基站设备在所述设备商证书机构中的合法性;所述第二认证服务器,还用于向所述证书分发服务器发送设备商的根证书、以及在所述设备商证书机构中具有合法性的基站设备的串号。5.根据权利要求2所述的系统,其特征在于,所述第一认证服务器,具体用于:对所述证书申请请求中的设备串号和公钥进行哈希计算,将计算的结果进行数字签名得到第二签名值;根据所述证书申请请求中的公钥和设备串号,以及所述第二签名值生成可信设备证书。6.根据权利要求3所述的系统,其特征在于,所述证书分发服务器,还用于将接收到所述根证书和所述基站设备的串号进行存储形成授权设备白名单,所述授权设备白名单用于验证所述基站设备发送的预置证书和设备串号的有效性。7.一种基站设备的证书分发方法,其特征在于,所述方法包括:证书分发服务器接收基站设备的证书申...
【专利技术属性】
技术研发人员:邱勤,张滨,赵刚,袁捷,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。