专利名称:建立IPSec隧道的方法及系统的利记博彩app
技术领域:
本发明涉及通信安全领域,具体而言,涉及一种建立IPSec隧道的方法及系统。
背景技术:
随着移动通讯技术的快速发展,第三代移动通信系统已经发展到长期演进(LTE, Long Term Evolution)阶段,在 LTE 无线网络中基站(eNodeB EvolutedNode B)的数量非常大,如果采用传统的方式部署众多数量的基站,将会带来高昂的维护运营成本。第二代和第三代移动通信系统同样存在相同的问题。因此3GPP提出了一种可以提供自动安装、配置、维护操作,减少人工参与的自组织网络(SON, SelfOrganizing Network)的方法,能够大量减少人工配置,而自动组网。另外,随着LTE等的发展,运营商等都提出了家庭企业级的小型基站Femto,家庭企业级的Femto很多都是经过第三方运营商的传输网络才到达核心网,所以对安全有特别高的需求,又因为面对的是普通用户,所以不能有复杂专业的安全相关配置,最好能够对用户屏蔽所有专业术语。电信业务由于数据量大,网络结构复杂且LTE基于全IP网等特点,3GPP推荐采用 IPSec(IP Security)隧道接入核心网。IPSec可以通过预共享密钥PSK(Pre-Shared-Key) 和数字证书PKI (Public Key Infrastructure)两种认证方式完成IPSec安全隧道的建立。 使用预共享密钥进行身份验证建立IPSec链路的两个实体都必须维护一对预共享密钥,此限制进一步降低了部署安全性,增加了发生错误的机率。大规模组网情形下,PSK存在配置复杂并且维护困难等缺点,所以一般站点较多时,从维护运营以及安全性的角度来说,运营商大部分米用PKI认证方式。一般基站的PKI认证模式为实现离线预安装证书,然后用户配置对应的安全网关IP,以及安全策略。在这种模式中,每个站点配置和维护都很复杂,而且对用户要求高,不适合普通家庭或者非专业用户,因此对基于PKI认证方式的IPSec自配置和安全隧道自建立有特殊的需求。针对相关技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题, 目前尚未提出有效的解决方案。
发明内容
本发明提供了一种建立IPSec隧道的方法及系统,以至少解决上述问题。根据本发明的一个方面,提供了一种建立IPSec隧道的方法,包括基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书;基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;基站在获取到第二配置数据后,拆除临时IPSec隧道, 并根据第二配置数据与安全网关之间建立永久的IPSec隧道。优选地,基站向配置服务器请求第一配置参数,包括基站与配置服务器建立TLS 链路,并向配置服务器请求第一配置参数。、
优选地,第一配置参数包括基站临时的传输IP地址、安全网关建立IPSec隧道的 IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。优选地,根据配置服务器响应的第一配置参数向CA服务器请求数字证书,包括 基站获取配置服务器响应的第一配置数据后,利用证书管理协议向CA服务器请求颁发基站实体证书以及CA服务器的根CA证书。优选地,基站根据获取的数字证书与安全网关建立临时IPSec隧道,包括基站向安全网关发起通过PKI认证方式建立临时IPSec隧道的请求;基站与安全网关交互各自的实体证书,在实体证书验证成功后,建立基站与安全网关之间的临时IPSec隧道。优选地,基站通过临时IPSec隧道向后台网络管理单元请求第二配置数据,包括 基站基于临时IPSec隧道向部署于核心网内的后台网络管理单元发送建链请求消息;在基站与后台网络管理单元的链路建立成功后,基站通过安全文件传输协议向后台网络管理单元请求基站的软件版本包和第二配置数据;后台网络管理单元判断数据库中的基站软件版本是否比当前版本新,如果是,则将软件版本包和第二配置数据发送至基站,否则,发送第二配置数据至基站。优选地,基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道,包括基站获得最新软件版本包和第二配置数据后,通知配置服务器释放相关配置资源,拆除与安全网关建立的临时IPSec隧道,并第二配置数据重新与安全网关基于PKI认证方式建立永久的IPSec隧道。 优选地,基站根据第二配置数据与安全网关之间建立永久的IPSec隧道之后,还包括基站在CA服务器颁发给基站的数字证书有效期超期之前,向CA服务器请求更新证书或者更新私钥。优选地,基站包括以下一种宏基站、企业级小型基站PIC0、家庭级微型基站 Femto0根据本发明的另一方面,提供了一种建立IPSec隧道的系统,包括基站、配置服务器、CA服务器、后台网络管理单元和安全网关,其中,基站,用于向配置服务器请求第一配置参数;配置服务器,用于响应基站的请求向基站返回第一配置参数;基站,还用于根据配置服务器响应的第一配置参数向CA服务器请求数字证书;CA服务器,用于响应基站的请求向基站颁发数字证书;基站,还用于根据获取的证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;后台网络管理单元,用于响应于基站的请求向基站返回第二配置数据;基站,还用于在获取到第二配置数据后,拆除临时 IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。优选地,第一配置参数包括基站临时的传输IP地址、安全网关建立IPSec隧道的 IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。优选地,基站还用于在CA服务器颁发给基站的数字证书有效期超期之前,向CA服务器请求更新数字证书或者更新私钥。优选地,基站包括以下一种宏基站、企业级小型基站PIC0、家庭级微型基站 Femto0通过本发明,采用基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道, 解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。
此处所说明的附图用来 提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图I是根据本发明实施例的建立IPSec隧道的方法流程图;图2是根据本发明实施例的建立IPSec隧道的系统结构框图;图3是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道网络部署结构示意图;图4是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道的流程图。
具体实施例方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。图I是根据本发明实施例的建立IPSec隧道的方法流程图。如图I所示,包括以下步骤步骤S102,基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书。步骤S104,基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据。步骤S106,基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。 在本实施例中,提供了一种基于PKI认证方式的自动建立IPSec安全隧道的方法, 通过基站与核心网自动建立传输链路,实现基站的自动配置,并保证基站与核心网之间数据传输的安全性。其中,在步骤S102中,在现有网络中部署用于自动分配配置信息的配置服务器, 当基站正常上电后,基站内部自发现功能在网络中广播请求配置消息,基站向配置服务器请求获得配置参数,为了保障基站与配置服务器之间数据传输安全性,两者之间的链路需要采用基于证书认证方式的传输层安全协议(TLS, Transport Layer Security Protocol) 建立,使用的证书可以在设备出厂前预安装。基站获取到CA (Certificate Authority)服务器相关配置数据后基站通过证书管理协议(CMPv2, Certificate Manage Protocol V2) 向CA服务器请求颁发证书。其中,在步骤S104至S106中,基站进一步使用获得的证书与部署在核心网内的安全网关建立IPSec安全隧道,然后基站主动发送请求与网络管理单元建链消息,进而与核心网自动建立传输链路。在上述实施例中,可以在不改变现有网络结构的情况下,即可实现基站上电后自动建链,并完成基站与后台网络管理单元之间的安全通信,解决了现有技术中基站与核心网不能自发现、自动建立安全通信链路的问题。
图2是根据本发明实施例的建立IPSec隧道的系统结构框图。如图2所示,该系统包括基站10、配置服务器20、CA服务器30、后台网络管理单元40和安全网关50,其中, 基站10,用于向配置服务器20请求第一配置参数;配置服务器20,用于响应基站10的请求向基站10返回第一配置参数;基站10,还用于根据配置服务器20响应的第一配置参数向 CA服务器30请求数字证书;CA服务器30,用于响应基站10的请求向基站10颁发数字证书;基站10,还用于根据获取的数字证书与安全网关50建立临时IPSec隧道,并通过临时 IPSec隧道向后台网络管理单元40请求第二配置数据;后台网络管理单元40,用于响应于基站10的请求向基站10返回第二配置数据;基站10,还用于在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关50之间建立永久的IPSec隧道。在本实施例中,通过基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道,解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。实施例一图3是根据本发明实施例一的基于PKI认证方式自动建立IPSec安全隧道网络部署结构示意图。如图3所示,该系统包括核心网、CA服务器、安全网关、配置服务器以及一个或者多个基站(图中所示为基站I和2)。其中,在上述各网元中,与建立IPSec安全隧道相关的功能如下配置服务器管理和维护基站配置参数,与基站建立TLS链路,向基站提供建立传输链路所需要的配置参数,如基站IP地址、SeGW的IP地址、CA服务器的地址、证书路径、生成证书公钥长度等参数以及后台网络管理单元的IP地址。基站实现自发现功能,向配置服务器请求配置参数,与安全网关建立IPSec安全隧道,向后台网络管理单元请求配置和软件版本包。安全网关与请求访问部署在核心网内部网元的基站建立IPSec安全隧道,保证基站与核心网之间传输数据的安全性。CA服务器响应基站证书申请、证书更新、密钥更新请求,向基站、安全网关颁发证书;撤销证书、提供证书状态查询。核心网接收基站发送的建立链路请求,与基站共同建立通信链路;管理基站,向基站提供软件版本包和配置参数,业务数据等。图4是在图3所示的网络架构上的IPSec安全隧道建立流程图,该方法是基于PKI 认证方式实现自动建立IPSec安全隧道。在本实施例中,先在现有或者新建网络中部署用于自动分配配置信息的配置服务器,并且能够支持建立TLS链路、CA服务器以及安全网关; 当基站正常上电后,基站先通过内部自发现功能与配置服务器采用TLS建立连接,并向配置服务器请求获取基站IP地址、安全网关IP地址、核心网IP地址以及CA服务器相关配置参数;然后,基站利用CMPv2协议向CA服务器请求获取证书,基站与安全网关建立基于PKI 认证方式的IPSec安全隧道,最后打通基站与核心网的通信链路,从而完成基站自动加入网络运维管理。如图4所示,主要包括以下步骤步骤S402,基站正常上电后,启动内部自发现机制。 步骤S404,基站采用基于证书认证方式与配置服务器建立TLS,链路建立成功后,基站向配置服务器请求配置参数消息;配置服务器响应基站配置参数请求消息,返回基站临时的传输IP地址、安全网关建立IPSec安全隧道的IP地址、CA服务器的地址、证书路径、 生成证书公钥长度等参数、后台网络管理单元的IP地址等配置数据。步骤S406,判断是否获取到配置服务器的响应配置数据。步骤S408,在基站获取配置服务器的响应配置数据后,利用证书管理协议 (CMPv2,Certificate Manage Protocol)向CA服务器请求颁发基站实体证书以及CA服务器的根CA证书,如果基站实体证书不是由CA根证书直接颁发的话,还需要CA服务器将中间的CA证书链一同发送给基站。步骤S410,判断是否申请证书是否成功。
步骤S412,在基站获取到证书后,基站与安全网关建立临时IPSec安全隧道;具体包括以下步骤主动向网关安全发起基于PKI认证方式建立临时的IPSec安全隧道请求;安全网关预先安装了 CA服务器颁发的实体证书以及根CA证书;当接收到基站请求建立IPSec安全隧道时,安全网关向基站请求基站实体证书;基站响应安全网关的请求,将基站实体证书发送给安全网关;同时,基站还会请求安全网关发送其实体证书;安全网关接收到基站实体证书后,验证证书有效性,其中包括证书签名有效性、证书有效期、证书状态等敏感信息校验;证书验证成功后,安全网关返回其实体证书给基站;基站接收到安全网关实体证书后,同样地进行证书有效性验证;此时,证书验证成功后,基站与安全网关之间的临时 IPSec安全隧道已经建链成功。步骤S414,基站再次通过自发现机制向部署于核心网内的后台网络管理单元发送建链请求消息,此时基站与后台网络管理单元之间的通信数据都是在基站与安全建立的 IPSec安全隧道下保护。步骤S416,后台网络管理单元与基站链路建立成功后,基站通过安全文件传输协议向网络管理单元请求基站软件版本包和配置数据。步骤S418,后台网络管理单元判断数据库中的基站软件版本是否比当前版本新, 如果是的话则将软件版本包和配置数据一起发送给基站,否则只发送配置数据。步骤S420,基站获得最新软件版本包和配置数据后,通知配置服务器释放相关配置资源,拆除与安全网关建立的IPSec安全通道。步骤S422,基站利用获取得到的新配置数据得到永久IP,并重新与安全网关基于 PKI认证方式建立永久的IPSec安全通道。此时,基站已经正常工作。基站与核心网之间的数据传输都得到了 IPSec安全通道的保护。在上述实施例中,当CA服务器颁发给基站的数字证书有效期即将超期时,基站还可以利用自动触发机制向CA服务器请求更新证书或者更新私钥,保证基站证书的有效性。另外,需要说明的是,本发明上述各实施例描述的IPSec安全隧道的建立方法可以广泛应用于各种类型的基站,例如传统的宏基站、企业级小型基站Pico或家庭级微型基站Femto等。在另外一个实施例中,还提供了一种建立IPSec隧道的软件,该软件用于执行上述实施例中描述的技术方案。在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于光盘、软盘、硬盘、可擦写存储器等。本发明的上述各实施例提出一种基于PKI认证方式的IPSec安全隧道方法和系统,可以在不改变现有网络结构的情况下,即可实现基站上电后自动建链,并完成基站与后台网络管理单元之间的安全通信,解决了现有技术中基站与核心网不能自发现、自动建立安全通信链路的问题。通过最简单配置,能够尽量解决现有技术中的配置维护复杂等问题, 并且能够保证基站和核心网安全网关之间的安全性。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人 员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种建立IPSec隧道的方法,其特征在于,包括 基站向配置服务器请求第一配置参数,并根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书; 所述基站根据获取的所述数字证书与安全网关建立临时IPSec隧道,并通过所述临时IPSec隧道向后台网络管理单元请求第二配置数据; 所述基站在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道。
2.根据权利要求I所述的方法,其特征在于,基站向配置服务器请求第一配置参数,包括 所述基站与所述配置服务器建立TLS链路,并向所述配置服务器请求第一配置参数。
3.根据权利要求I所述的方法,其特征在于,所述第一配置参数包括所述基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
4.根据权利要求3所述的方法,其特征在于,根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书,包括 所述基站获取配置服务器响应的所述第一配置数据后,利用证书管理协议向所述CA服务器请求颁发基站实体证书以及CA服务器的根CA证书。
5.根据权利要求I所述的方法,其特征在于,所述基站根据获取的所述数字证书与安全网关建立临时IPSec隧道,包括 所述基站向所述安全网关发起通过PKI认证方式建立所述临时IPSec隧道的请求;所述基站与所述安全网关交互各自的实体证书,在所述实体证书验证成功后,建立所述基站与所述安全网关之间的所述临时IPSec隧道。
6.根据权利要求I所述的方法,其特征在于,所述基站通过所述临时IPSec隧道向后台网络管理单元请求第二配置数据,包括 所述基站基于所述临时IPSec隧道向部署于核心网内的所述后台网络管理单元发送建链请求消息; 在所述基站与所述后台网络管理单元的链路建立成功后,所述基站通过安全文件传输协议向所述后台网络管理单元请求所述基站的软件版本包和第二配置数据; 所述后台网络管理单元判断数据库中的基站软件版本是否比当前版本新,如果是,则将所述软件版本包和第二配置数据发送至所述基站,否则只发送所述第二配置数据至所述基站O
7.根据权利要求6所述的方法,其特征在于,所述基站在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道,包括 所述基站获得最新软件版本包和所述第二配置数据后,通知所述配置服务器释放相关配置资源,拆除与所述安全网关建立的临时IPSec隧道,并所述第二配置数据重新与所述安全网关基于PKI认证方式建立永久的IPSec隧道。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述基站根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道之后,还包括所述基站在所述CA服务器颁发给所述基站的数字证书有效期超期之前,向所述CA服务器请求更新所述数字证书或者更新私钥。
9.根据权利要求8所述的方法,其特征在于,所述基站包括以下一种 宏基站、企业级小型基站PICO、家庭级微型基站Femto。
10.一种建立IPSec隧道的系统,其特征在于,包括基站、配置服务器、CA服务器、后台网络管理单元和安全网关,其中, 所述基站,用于向所述配置服务器请求第一配置参数; 所述配置服务器,用于响应所述基站的请求向所述基站返回所述第一配置参数; 所述基站,还用于根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书; 所述CA服务器,用于响应所述基站的请求向所述基站颁发所述数字证书; 所述基站,还用于根据获取的所述数字证书与所述安全网关建立临时IPSec隧道,并通过所述临时IPSec隧道向所述后台网络管理单元请求第二配置数据; 所述后台网络管理单元,用于响应于所述基站的请求向所述基站返回所述第二配置数据; 所述基站,还用于在获取到所述第二配置数据后,拆除所述临时IPSec隧道,并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道。
11.根据权利要求10所述的系统,其特征在于,所述第一配置参数包括所述基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。
12.根据权利要求10所述的系统,其特征在于,所述基站还用于在所述CA服务器颁发给所述基站的数字证书有效期超期之前,向所述CA服务器请求更新所述数字证书或者更新私钥。
13.根据权利要求10至12任一项所述的系统,其特征在于,所述基站包括以下一种 宏基站、企业级小型基站PIC0、家庭级微型基站Femto。
全文摘要
本发明提供了一种建立IPSec隧道的方法及系统,该方法包括基站向配置服务器请求第一配置参数,并根据配置服务器响应的第一配置参数向CA服务器请求数字证书;基站根据获取的数字证书与安全网关建立临时IPSec隧道,并通过临时IPSec隧道向后台网络管理单元请求第二配置数据;基站在获取到第二配置数据后,拆除临时IPSec隧道,并根据第二配置数据与安全网关之间建立永久的IPSec隧道。通过本发明,采用基于PKI认证方式自动建立基站与安全网关之间的IPSec隧道,解决了现有技术中基站与核心网之间不能自发现和自动建立安全通信链路的问题,进行实现了基站的自动配置,并保证了基站与核心网之间数据传输的安全性。
文档编号H04W12/06GK102711106SQ20121015835
公开日2012年10月3日 申请日期2012年5月21日 优先权日2012年5月21日
发明者廖俊锋, 李锐, 梁超才 申请人:中兴通讯股份有限公司