亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種增強(qiáng)設(shè)備證書使用安全的方法及裝置與流程

文檔序號:12280190閱讀:292來源:國知局
一種增強(qiáng)設(shè)備證書使用安全的方法及裝置與流程
本發(fā)明涉及通信技術(shù),特別涉及一種增強(qiáng)設(shè)備證書使用安全的方法及裝置。
背景技術(shù)
:家庭級基站(HomeeNodeB,HeNB)一般放置在企業(yè)或用戶家中,可能經(jīng)過公共傳輸網(wǎng)絡(luò),因此對設(shè)備的安全性有更高要求。第三代合作伙伴計劃(3rdGenerationPartnershipProject,3GPP)規(guī)定HeNB使用網(wǎng)絡(luò)互連協(xié)議安全性(InternetProtocolSecurity,IPSec)協(xié)議保證基站報文的認(rèn)證和加密,其中協(xié)商協(xié)議為網(wǎng)絡(luò)密鑰交換(InternetKeyExchangevv2,IKEv2),認(rèn)證方式推薦了證書和全球用戶識別卡(UniversalSubscriberIdentityModule,USIM)卡。實際應(yīng)用中,基于公開密鑰體系(PublicKeyInfrastructure,PKI)架構(gòu)的證書系統(tǒng)過于復(fù)雜,部署緩慢,應(yīng)用擴(kuò)展能力等不佳。運(yùn)營商對于具體的PKI部署有各自的進(jìn)度,如中移的數(shù)字證書系統(tǒng)還在建設(shè)中,但是無線接入設(shè)備(NanoCell)已經(jīng)在一些省份開始部署,所以基站在運(yùn)營商沒有PKI系統(tǒng)時,推行的是預(yù)置運(yùn)營商證書,反之推行的是在線證書申請(CMPV2協(xié)議)方案。HeNB基站可能經(jīng)過公共傳輸網(wǎng)絡(luò),在現(xiàn)有硬件無法很好的保護(hù)證書和私鑰的情況下,即使通過在線證書申請方案,HeNB的證書也可能會被非法用戶盜用,安全性存在問題。在保證證書和設(shè)備的綁定關(guān)系上,3GPP推薦了證書+USIM的雙認(rèn)證模式,但該實現(xiàn)方式極為復(fù)雜,目前沒有支持該協(xié)議的設(shè)備。在雙認(rèn)證功能沒有實現(xiàn)的基礎(chǔ)上,如何防止非法用戶盜用基站的證書,如何保證證書和設(shè)備的唯一關(guān)聯(lián)性就顯得極為重要。技術(shù)實現(xiàn)要素:本發(fā)明的目的在于提供一種增強(qiáng)設(shè)備證書使用安全的方法及裝置,能更好地拒絕非法使用證書的設(shè)備接入傳輸網(wǎng)絡(luò)。根據(jù)本發(fā)明的一個方面,提供了一種增強(qiáng)設(shè)備證書使用安全的方法,包括:在設(shè)備請求接入公共傳輸網(wǎng)絡(luò)時,所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)從請求接入的設(shè)備獲取設(shè)備ID和證書ID;所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID和/或設(shè)備ID與證書ID的關(guān)系,判斷所述請求接入的設(shè)備是否為合法設(shè)備;當(dāng)所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)判斷所述請求接入的設(shè)備為合法設(shè)備時,將所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò),反之,則拒絕所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò)。優(yōu)選地,所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID和/或設(shè)備ID與證書ID的關(guān)系,判斷所述請求接入的設(shè)備是否為合法設(shè)備的步驟包括:所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID,查詢所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài);若查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為已接入,則判斷所述請求接入的設(shè)備為非法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。優(yōu)選地,所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID和/或設(shè)備ID與證書ID的關(guān)系,判斷所述請求接入的設(shè)備是否為合法設(shè)備的步驟包括:對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗;當(dāng)校驗通過時,判斷所述請求接入的設(shè)備為合法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。優(yōu)選地,所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID和/或設(shè)備ID與證書ID的關(guān)系,判斷所述請求接入的設(shè)備是否為合法設(shè)備的步驟包括:所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID,查詢所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài);若查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為未接入,則對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗;當(dāng)校驗通過時,判斷所述請求接入的設(shè)備為合法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。優(yōu)選地,所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)預(yù)先將所述設(shè)備ID與證書ID進(jìn)行綁定,以供一致性校驗。根據(jù)本發(fā)明的另一方面,提供了一種增強(qiáng)設(shè)備證書使用安全的裝置,包括:網(wǎng)關(guān)獲取模塊,用于在設(shè)備請求接入公共傳輸網(wǎng)絡(luò)時,從請求接入的設(shè)備獲取設(shè)備ID和證書ID;網(wǎng)關(guān)判斷模塊,用于根據(jù)所獲取的設(shè)備ID和/或設(shè)備ID與證書ID的關(guān)系,判斷所述請求接入的設(shè)備是否為合法設(shè)備;網(wǎng)關(guān)接入處理模塊,用于判斷所述請求接入的設(shè)備為合法設(shè)備時,將所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò),反之,則拒絕所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò)。優(yōu)選地,所述網(wǎng)關(guān)判斷模塊根據(jù)所獲取的設(shè)備ID,查詢所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài),若查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為已接入,則判斷所述請求接入的設(shè)備為非法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。優(yōu)選地,所述網(wǎng)關(guān)判斷模塊對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗,若校驗通過,則判斷所述請求接入的設(shè)備為合法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。優(yōu)選地,所述網(wǎng)關(guān)判斷模塊根據(jù)所獲取的設(shè)備ID,查詢所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài),若查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為未接入,則對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗,當(dāng)校驗通過時,判斷所述請求接入的設(shè)備為合法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。優(yōu)選地,還包括:網(wǎng)關(guān)綁定模塊,用于預(yù)先將所述設(shè)備ID與證書ID進(jìn)行綁定,以供一致性校驗。與現(xiàn)有技術(shù)相比較,本發(fā)明的有益效果在于:1、本發(fā)明提高了證書的安全性,可以有效防止不法分子竊取設(shè)備的證書;2、本發(fā)明通過證書和設(shè)備的綁定,達(dá)到拒絕非法使用證書的設(shè)備接入公共傳輸網(wǎng)絡(luò)的目的,從而保證基站及傳輸領(lǐng)域的接入安全。附圖說明圖1是本發(fā)明實施例提供的增強(qiáng)設(shè)備證書使用安全的方法原理框圖;圖2是本發(fā)明實施例提供的增強(qiáng)設(shè)備證書使用安全的裝置框圖;圖3是本發(fā)明實施例提供的增強(qiáng)設(shè)備證書使用安全的系統(tǒng)組網(wǎng)圖;圖4是本發(fā)明實施例提供的增強(qiáng)設(shè)備證書使用安全的基站和安全網(wǎng)關(guān)的交互流程圖。具體實施方式以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進(jìn)行詳細(xì)說明,應(yīng)當(dāng)理解,以下所說明的優(yōu)選實施例僅用于說明和解釋本發(fā)明,并不用于限定本發(fā)明。圖1是本發(fā)明實施例提供的增強(qiáng)設(shè)備證書使用安全的方法原理框圖,如圖1所示,步驟包括:步驟S101:在設(shè)備請求接入公共傳輸網(wǎng)絡(luò)時,所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)從請求接入的設(shè)備獲取設(shè)備ID和證書ID。具體地說,所述請求接入公共傳輸網(wǎng)絡(luò)的設(shè)備發(fā)起IPSEC協(xié)商期間,所述請求接入公共傳輸網(wǎng)絡(luò)的設(shè)備將設(shè)備ID和設(shè)備的證書發(fā)送給公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān);所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)收到所述設(shè)備ID和設(shè)備的證書后,從所述證書中獲取證書ID。其中,所述請求接入公共傳輸網(wǎng)絡(luò)的設(shè)備根據(jù)其讀取的自身的設(shè)備資產(chǎn)編號(SN),生成所述設(shè)備ID,也可以在本地預(yù)先保存所述設(shè)備ID。步驟S102:所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID以及設(shè)備ID與證書ID的關(guān)系,判斷所述請求接入的設(shè)備是否為合法設(shè)備。具體地說,所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)可以通過以下三種方式判斷所述請求接入的設(shè)備是否為合法設(shè)備:方式1:所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID,查詢所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài),若查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為已接入,則判斷所述請求接入的設(shè)備為非法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。方式2:所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗,當(dāng)校驗通過時,判斷所述請求接入的設(shè)備為合法設(shè)備,反之,判斷請求 接入的設(shè)備為非法設(shè)備。方式3:所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)根據(jù)所獲取的設(shè)備ID,查詢所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài),若查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為未接入,則對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗,當(dāng)校驗通過時,判斷所述請求接入的設(shè)備為合法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。也就是說,只有當(dāng)查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為未接入,且對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗通過時,判斷所述請求接入的設(shè)備為合法設(shè)備。進(jìn)一步地,在步驟S101之前,所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)需要預(yù)先將所述設(shè)備ID與證書ID進(jìn)行綁定,以供在進(jìn)行一致性校驗時,利用預(yù)先綁定的設(shè)備ID與證書ID,確定收到的設(shè)備ID與證書ID綁定關(guān)系是否合法,如果合法,則校驗通過,反之,校驗不通過。換句話說,當(dāng)所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為未接入,且所述設(shè)備ID與所述證書ID的關(guān)系與預(yù)先保存的綁定關(guān)系一致時,判斷所述請求接入的設(shè)備為合法設(shè)備,反之為非法設(shè)備。步驟S103:當(dāng)所述公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)判斷所述請求接入的設(shè)備為合法設(shè)備時,將所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò),反之,則拒絕所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò)。圖2是本發(fā)明實施例提供的增強(qiáng)設(shè)備證書使用安全的裝置框圖,如圖2所示,包括:網(wǎng)關(guān)獲取模塊10、網(wǎng)關(guān)判斷模塊20、網(wǎng)關(guān)接入處理模塊30。網(wǎng)關(guān)獲取模塊10用于在設(shè)備請求接入公共傳輸網(wǎng)絡(luò)時,從請求接入的設(shè)備獲取設(shè)備ID和證書ID;網(wǎng)關(guān)判斷模塊20用于根據(jù)所獲取的設(shè)備ID以及設(shè)備ID與證書ID的關(guān)系,判斷所述請求接入的設(shè)備是否為合法設(shè)備;網(wǎng)關(guān)接入處理模塊30用于判斷所述請求接入的設(shè)備為合法設(shè)備時,將所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò),反之,則拒絕所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò)。進(jìn)一步地,所述裝置還包括:網(wǎng)關(guān)綁定模塊40用于預(yù)先將所述設(shè)備ID與證書ID進(jìn)行綁定,并保存所述綁定關(guān)系,以供一致性校驗。所述裝置的工作流程如下:步驟1:在所述請求接入公共傳輸網(wǎng)絡(luò)的設(shè)備發(fā)起IPSEC協(xié)商期間,網(wǎng)關(guān)獲取模塊10接收所述請求接入公共傳輸網(wǎng)絡(luò)的設(shè)備發(fā)送的設(shè)備ID和設(shè)備的證書,并從所述證書中獲取證書ID。步驟2:網(wǎng)關(guān)判斷模塊20判斷所述請求接入的設(shè)備是否為合法設(shè)備。具體判斷方式可以采用以下三種方式中的任意一種:方式1:網(wǎng)關(guān)判斷模塊20根據(jù)所獲取的設(shè)備ID,查詢所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài),若查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為已接入,則判斷所述請求接入的設(shè)備為非法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。方式2:網(wǎng)關(guān)判斷模塊20對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗,即利用網(wǎng)關(guān)綁定模塊40預(yù)先綁定和保存的設(shè)備ID和證書ID的綁定關(guān)系,對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗,若校驗通過,則判斷所述請求接入的設(shè)備為合法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。方式3:網(wǎng)關(guān)判斷模塊20根據(jù)所獲取的設(shè)備ID,查詢所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài),若查詢到的所述設(shè)備ID對應(yīng)的設(shè)備的接入狀態(tài)為未接入,則對所述設(shè)備ID與證書ID的關(guān)系進(jìn)行一致性校驗,當(dāng)校驗通過時,判斷所述請求接入的設(shè)備為合法設(shè)備,反之,判斷請求接入的設(shè)備為非法設(shè)備。步驟3:若網(wǎng)關(guān)判斷模塊20判斷所述請求接入的設(shè)備為非法設(shè)備,則網(wǎng)關(guān)接入處理模塊30拒絕所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò),反之,網(wǎng)關(guān)接入處理模塊30將所述請求接入的設(shè)備接入所述公共傳輸網(wǎng)絡(luò)。圖1和圖2所述實施例中的設(shè)備可以指所有使用到數(shù)字證書的設(shè)備,以下以基站為例,并結(jié)合圖3和圖4進(jìn)行進(jìn)一步說明。圖3是本發(fā)明實施例提供的增強(qiáng)設(shè)備證書使用安全的系統(tǒng)組網(wǎng)圖,如圖3所示,包括:多個請求接入公共傳輸網(wǎng)絡(luò)的基站(AP-A,AP-B,…,AP-N),處于公共傳輸網(wǎng)絡(luò)的安全網(wǎng)關(guān)(SeGW),核心網(wǎng)。1.安全網(wǎng)關(guān)預(yù)置相關(guān)信息在安全網(wǎng)關(guān)上預(yù)先配置基站和證書的對應(yīng)關(guān)系,具體地說,將基站ID和證書ID進(jìn)行綁定,并保存至數(shù)據(jù)庫系統(tǒng)或者其它設(shè)備上。2.基站向安全網(wǎng)關(guān)發(fā)起IPSEC協(xié)商請求在IPSEC協(xié)商過程中,請求接入公共傳輸網(wǎng)絡(luò)的基站會將基站的唯一標(biāo)識(即基站ID,APID)發(fā)送給安全網(wǎng)關(guān),同時在IPSEC的身份認(rèn)證階段,會將基站的證書發(fā)送給安全網(wǎng)關(guān),安全網(wǎng)關(guān)會從基站的證書中取出基站證書的CN字段,所述CN字段可以用來唯一標(biāo)識證書,即獲取證書ID。所述IPSEC協(xié)商請求也可以由安全網(wǎng)關(guān)向基站發(fā)起。3.安全網(wǎng)關(guān)的處理作為第一種實施方式,安全網(wǎng)關(guān)在預(yù)置的數(shù)據(jù)庫系統(tǒng)里查詢所述請求接入公共傳輸網(wǎng)絡(luò)的基站的APID和CN,如果該APID對應(yīng)的基站是已經(jīng)處于接入狀態(tài),則拒絕此次的IPSEC協(xié)商請求,拒絕所述請求接入公共傳輸網(wǎng)絡(luò)的基站的接入,并上報告警;反之,如果該APID對應(yīng)的基站處于未接入狀態(tài),繼續(xù)判斷APID和CN的關(guān)系是否否符合要求,如果符合證書與設(shè)備的一致性要求,則校驗通過,繼續(xù)與基站進(jìn)行協(xié)商,協(xié)商成功后,所述請求接入公共傳輸網(wǎng)絡(luò)的基站成功接入,安全網(wǎng)關(guān)更新基站的接入狀態(tài)為已接入;如果校驗不通過,則拒絕所述請求接入公共傳輸網(wǎng)絡(luò)的基站接入。作為第二種實施方式,安全網(wǎng)關(guān)的上述處理過程也可以在網(wǎng)管執(zhí)行,具體地說,安全網(wǎng)關(guān)將所述請求接入公共傳輸網(wǎng)絡(luò)的基站的APID和CN發(fā)送至網(wǎng)管,網(wǎng)管上預(yù)先配置好基站和證書的對應(yīng)關(guān)系,對安全網(wǎng)關(guān)發(fā)送過來的APID和CN,網(wǎng)管通過查詢數(shù)據(jù)庫,確定所述APID和CN是否符合一致性要求,如果符合證書與設(shè)備的一致性要求,則向安全網(wǎng)關(guān)返回校驗通過的消息,否則返回校驗不通過的消息;安全網(wǎng)關(guān)收到網(wǎng)管返回的消息后,如果是校驗通過的消息,則繼續(xù)進(jìn)行協(xié)商,協(xié)商成功后,將所述請求接入公共傳輸網(wǎng)絡(luò)的基站接入公共傳輸網(wǎng)絡(luò);如果是校驗不通過的消息,則拒絕所述請求接入公共傳輸網(wǎng)絡(luò)的基站接入公共傳輸網(wǎng)絡(luò)。以第一種實施方式為例,圖4提供了一種增強(qiáng)設(shè)備證書使用安全的基站和安全網(wǎng)關(guān)的交互流程圖,如圖4所示,步驟包括:步驟201:請求接入公共傳輸網(wǎng)絡(luò)的基站(LTE-Femto)讀取其SN,并根據(jù)所述SN,生成APID。步驟202:所述請求接入公共傳輸網(wǎng)絡(luò)的基站向公共傳輸網(wǎng)絡(luò)的網(wǎng)關(guān)(SeGW)發(fā)起IPSEC協(xié)商,并在IKEv2協(xié)商期間,將其基站ID(即APID)和證書發(fā)送至 網(wǎng)關(guān)。步驟203:網(wǎng)關(guān)判斷所述APID對應(yīng)的基站的接入狀態(tài)是否是已接入,如果是已接入,則執(zhí)行步驟204,否則執(zhí)行步驟205、步驟206、步驟207。步驟204:網(wǎng)關(guān)拒絕將所述請求接入公共傳輸網(wǎng)絡(luò)的基站接入公共傳輸網(wǎng)絡(luò)。步驟205:網(wǎng)關(guān)從所述證書中取出CN字段。步驟206:網(wǎng)關(guān)判斷所述請求接入公共傳輸網(wǎng)絡(luò)的基站的APID和CN的對應(yīng)關(guān)系是否合法,根據(jù)判斷結(jié)果確定是否繼續(xù)協(xié)商以接入所述請求接入公共傳輸網(wǎng)絡(luò)的基站,或者直接拒絕將所述請求接入公共傳輸網(wǎng)絡(luò)的基站接入公共傳輸網(wǎng)絡(luò)。步驟207:網(wǎng)關(guān)將繼續(xù)協(xié)商或拒絕接入的消息發(fā)送至所述請求接入公共傳輸網(wǎng)絡(luò)的基站。步驟208:協(xié)商成功后,將所述請求接入公共傳輸網(wǎng)絡(luò)的基站的接入狀態(tài)從未接入更新為已接入。從上述流程可以看出,本發(fā)明對現(xiàn)有流程影響非常小。以下以一個具體應(yīng)用實例進(jìn)行進(jìn)一步說明。在安全網(wǎng)關(guān)上預(yù)置關(guān)于APID和CN的關(guān)系的數(shù)據(jù)庫,表1為部分映射或綁定關(guān)系表。表1.第一映射關(guān)系表序號APIDCN接入狀態(tài)1001E7327042000021Nodeb01OFF2001E7327042000022Nodeb02OFF3001E7327042000023Nodeb03OFF4001E7327042000024Nodeb04OFF5001E7327042000025Nodeb05OFF1、應(yīng)用實例1基站A的APID為001E7327042000021,使用CN為Nodeb01的數(shù)字證書向安全網(wǎng)關(guān)發(fā)起IPSEC協(xié)商請求。安全網(wǎng)關(guān)根據(jù)表1,確定APID為001E7327042000021 的基站的接入狀態(tài)為未接入(OFF)且基站A的APID和CN的關(guān)系與表1中的映射關(guān)系一致,校驗通過,允許基站A接入公共傳輸網(wǎng)絡(luò),并將表1中接入狀態(tài)更新為已接入(ON),對數(shù)據(jù)庫進(jìn)行更新,具體如表2所示。表2.第二映射關(guān)系表序號APIDCN接入狀態(tài)1001E7327042000021Nodeb01ON2001E7327042000022Nodeb02OFF3001E7327042000023Nodeb03OFF4001E7327042000024Nodeb04OFF5001E7327042000025Nodeb05OFF2、應(yīng)用實例2基站B的APID為00000000000021,基站B盜用基站A的CN為Nodeb01的數(shù)字證書向安全網(wǎng)關(guān)發(fā)起IPSEC協(xié)商請求。安全網(wǎng)關(guān)校驗后,因APID和CN對應(yīng)關(guān)系不合法,檢驗不通過,安全網(wǎng)關(guān)拒絕基站B的接入。3、應(yīng)用實例3基站C的APID為00000000000031,基站C盜用了基站A的CN為Nodeb01的數(shù)字證書,偽造上報APID為001E7327042000021,向安全網(wǎng)關(guān)發(fā)起IPSEC協(xié)商請求。安全網(wǎng)關(guān)判斷APID為001E7327042000021的基站已經(jīng)在線,因此檢驗不通過,安全網(wǎng)關(guān)拒絕基站C的接入。4、應(yīng)用實例4用戶在擴(kuò)容時,新增一個基站D,其APID為001E7327042000029,使用CN為Nodeb09的數(shù)字證書,此時需求先在安全網(wǎng)關(guān)上添加此基站的相關(guān)信息,更新后的數(shù)據(jù)庫如表3所示?;綝發(fā)起IPSEC協(xié)商請求時,安全網(wǎng)關(guān)確定APID為001E7327042000029的基站接入狀態(tài)為未接入(OFF),且APID和CN對應(yīng)關(guān)系合法,此時,安全網(wǎng)關(guān)校驗通過,允許基站D接入,協(xié)商成功后,將數(shù)據(jù)庫中的接入狀態(tài)從未接入(OFF)更新為已接入(ON),具體如表4所示。表3.第三映射關(guān)系表序號APIDCN接入狀態(tài)1001E7327042000021Nodeb01ON2001E7327042000022Nodeb02OFF3001E7327042000023Nodeb03OFF4001E7327042000024Nodeb04OFF5001E7327042000025Nodeb05OFF6001E7327042000029Nodeb09OFF表4.第四映射關(guān)系表序號APIDCN接入狀態(tài)1001E7327042000021Nodeb01ON2001E7327042000022Nodeb02OFF3001E7327042000023Nodeb03OFF4001E7327042000024Nodeb04OFF5001E7327042000025Nodeb05OFF6001E7327042000029Nodeb09ON5、應(yīng)用實例5基站E的APID為001E7327042000024,使用CN為Nodeb04的數(shù)字證書,正常運(yùn)行,安全網(wǎng)關(guān)上的對應(yīng)數(shù)據(jù)庫如表5所示。表5.第五映射關(guān)系表序號APIDCN接入狀態(tài)1001E7327042000021Nodeb01ON2001E7327042000022Nodeb02OFF3001E7327042000023Nodeb03OFF4001E7327042000024Nodeb04ON5001E7327042000025Nodeb05OFF6001E7327042000029Nodeb09ON現(xiàn)在因為基站E的硬件出現(xiàn)問題,需要回廠返修,返修周期較長,用另外一塊新硬件(APID為001E7327042000030)替換基站E,但是希望仍沿用基站E原 來的證書,此時可以通過以下操作達(dá)到預(yù)期。1、將基站E原來的證書拷貝到新硬件里面,2、安全網(wǎng)關(guān)修改數(shù)據(jù)庫,更新后的數(shù)據(jù)庫如表6所示。表6.第六映射關(guān)系表序號APIDCN接入狀態(tài)1001E7327042000021Nodeb01ON2001E7327042000022Nodeb02OFF3001E7327042000023Nodeb03OFF4001E7327042000030Nodeb04OFF5001E7327042000025Nodeb05OFF6001E7327042000029Nodeb09ONAPID為001E7327042000030的設(shè)備發(fā)起IPSEC協(xié)商請求時,安全網(wǎng)關(guān)校驗通過,允許其接入,協(xié)商成功后,更新數(shù)據(jù)庫如表7所示。表7.第七映射關(guān)系表序號APIDCN接入狀態(tài)1001E7327042000021Nodeb01ON2001E7327042000022Nodeb02OFF3001E7327042000023Nodeb03OFF4001E7327042000030Nodeb04ON5001E7327042000025Nodeb05OFF6001E7327042000029Nodeb09ON綜上所述,本發(fā)明具有以下技術(shù)效果:本發(fā)明利用設(shè)備ID和/或設(shè)備ID與證書ID的綁定關(guān)系,確定請求接入公共網(wǎng)絡(luò)的設(shè)備是否是合法設(shè)備,從而拒絕非法設(shè)備接入公共傳輸網(wǎng)絡(luò),特別是拒絕非法使用證書的設(shè)備接入公共傳輸網(wǎng)絡(luò),提高了證書的安全性,保證了傳輸領(lǐng)域的接入安全。盡管上文對本發(fā)明進(jìn)行了詳細(xì)說明,但是本發(fā)明不限于此,本
技術(shù)領(lǐng)域
技術(shù)人員可以根據(jù)本發(fā)明的原理進(jìn)行各種修改。因此,凡按照本發(fā)明原理所作的修改,都應(yīng)當(dāng)理解為落入本發(fā)明的保護(hù)范圍。當(dāng)前第1頁1 2 3 
當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1