提高网络安全性的方法、装置和系统的制作方法
【专利摘要】本发明实施例公开了提高网络安全性的方法、装置和系统。一种提高网络安全性的方法,该方法包括网管接收网元上报的证书消息,网管生成第一列表,网管确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉,网管将所述证书撤销请求文件发送给公共密钥基础设施(PKI)系统。采用本实施例的方法,可以对网络中的设备证书进行自动撤销,减低人工撤销出错的风险,提高网络的安全性。本发明实施例还公开了提高网络安全性的装置和系统。
【专利说明】提高网络安全性的方法、装置和系统
【技术领域】
[0001]本发明实施例涉及通信【技术领域】,尤其涉及提高网络安全性的方法、装置和系统。【背景技术】
[0002]安全组网场景下,网元会自动向运营商公共密钥基础设施(PKI, Public KeyInfrastructure)系统申请设备证书,PKI系统对网元身份识别通过后,为该网元颁发证书。以此证书作为身份凭证,可以穿透运营商的安全网关和防火墙,且被安全域内的网元所信任。证书承载在实现该网元功能的物理实体上,实现该网元功能的物理实体可称为网元设备,承载在该网元设备上的证书与该网元设备的标识(简称为网元设备标识)绑定。承载在网元设备上的证书具体可承载在该网元设备的一块单板上。
[0003]如果网元被撤掉或网元更换网元设备,则被撤下来的网元设备有可能进入运营商无法控制的范围(如设备商、外包维修商),但该网元设备上的证书仍然是有效的。一旦证书被泄露,就有被利用入侵运营商网络的风险。例如,接触到该网元设备的人员利用其证书接入运营商网络对使用该网元设备的网络进行攻击,可能的攻击形式包括:
[0004]-将证书拷贝出去,通过其他设备接入网络,对网络发起攻击
[0005]-控制此网元设备非法接入网络,对安全域内网络发起泛洪攻击
[0006]-控制此网元设备向安全域内网元发起其他攻击
【发明内容】
[0007]有鉴于此,本发明实施例提供了提升网络安全性的方法、装置和系统,以实现在对脱离网络环境的网元设备,自动撤销其数字证书,保证运营商设备证书不被非法利用,提高运营商网络的安全性。
[0008]第一方面,提供一种提高网络安全性的方法,包括:网管存储第一列表,所述第一列表用来保存网元正在使用的证书信息,所述第一列表包括网元标识(ID,identity),网元设备标识(ID,identity),证书的颁发者和证书的序列号;网管确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉;所述证书撤销请求文件用于请求对所述需要被撤销的证书进行撤销;网管将所述证书撤销请求文件发送给公共密钥基础设施(PKI)系统。
[0009]第一方面的第一种可能的实现方式中,所述网管确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件包括:网管存储第二列表,所述第二列表用来保存需要撤销的证书信息,网管确定所述第一列表中的证书信息所对应的证书需要被撤销时,将所述证书消息转移到第二列表,网管根据第二列表中的证书信息生成证书撤销请求文件。
[0010]结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述网管确定所述第一列表中的证书信息需要被撤销包括:通过确定所管理的网元设备被更换,或网元被废弃确定所述第一列表中的证书信息需要被撤销。
[0011 ] 结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,还包括:网管接收所管理的网元上报的证书消息,所述证书消息包括证书信息,所述证书信息包括该网元的网元ID,网元设备的ID,证书的颁发者和证书的序列号;网管通过确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备ID不一致确定上报证书消息的网元的网元设备被更换。
[0012]结合第一方面的第三种可能的实现方式,在第四种可能的实现方式中,还包括:将上报的证书消息中的证书信息移入第一列表。
[0013]结合第一方面或第一方面的第一或第二种实现方式,在第五种可能的实现方式中,还包括:网管接收所管理网元上报的证书消息,所述证书消息包括证书信息,所述证书信息包括该网元的网元ID,该网元中的网元设备的ID,证书的颁发者和证书的序列号;网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表。
[0014]结合第一方面的第五种可能的实现方式,在第六种可能的实现方式中,网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表包括:网管确定第一列表中没有网元上报的该网元的网元设备的ID时,将所接收的所管理网元的网元设备上报的证书消息中的证书信息移入第一列表。
[0015]结合第一方面的第五种可能的实现方式,在第七种可能的实现方式中,网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表包括:网管确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备的ID —致,但序列号不一致时,更新第一列表中该网元的网元设备的证书信息中的序列号。
[0016]结合第一方面或第一方面的第一至第七任一种可能的实现方式,在第八种可能的实现方式中,所述网管根据需要撤销的证书所对应的证书信息生成证书撤销请求文件,包括:网管根据需要撤销的证书所对应的证书信息并针对不同的证书颁发中心(CertificateAuthority, CA)颁发的证书生成相应的证书撤销请求文件。
[0017]结合第一方面的第八种可能的实现方式,在第九种可能的实现方式中,所述不同的CA颁发的证书由证书信息中的证书的颁发者来指示。
[0018]第二方面,提供一种提高网络安全性的装置,包括:存储单元,处理单元,和发送单元;所述存储单元用于存储第一列表,所述第一列表用来保存网元正在使用的证书信息,所述第一列表中的证书信息包括网元标识(ID, identity),网元设备标识(ID, identity),证书的颁发者和证书的序列号;所述处理单元用于确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉,所述证书撤销请求文件用于请求对所述需要被撤销的证书进行撤销;发送单元用于将所述处理单元生成的证书撤销请求文件发送给公共密钥基础设施(PKI, Public Key Infrastructure)系统。
[0019]在第二方面的第一种可能的实现方式中,处理单元用于确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉,包括:处理单兀用于存储第二列表,所述第二列表用来保存需要撤销的证书信息,处理单元还用于确定所述第一列表中的证书信息所对应的证书需要被撤销时,将该证书信息转移到所述第二列表,并根据所述第二列表中的证书信息生成证书撤销请求文件,所述证书撤销请求文件用于请求对所述第二列表中的证书信息对应的证书进行撤销;
[0020]结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理单元用于通过确定所管理网元的网元设备被更换,或网元设备被废弃确定所述第一列表中的证书信息需要被撤销。
[0021]结合第二方面的第二种可能的实现方式,在第三种可能的实现方式中,所述装置还包括接收单元,用于接收所管理网元上报的证书消息,所述证书消息包括证书信息,所述证书信息包括该网元的网元ID,该网元中的网元设备的ID,该网元的证书的颁发者和该网元的证书的序列号;所述处理单元用于通过确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备ID不一致确定上报证书消息的网元的网元设备被更换。
[0022]结合第二方面的第三种可能的实现方式,在第四种可能的实现方式中,所述处理单兀还用于将上报的证书消息中的证书信息移入第一列表。
[0023]结合第二方面或第二方面的第一或第二种可能的实现方式,在第五种可能的实现方式中,所述装置还包括接收单元,用于接收所管理网元的网元设备上报的证书消息,所述证书消息包括证书信息,所述证书信息包括该网元的网元ID,该网元中的网元设备的ID,该网元的证书的颁发者和该网元的证书的序列号;所述处理单元还用于根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表。
[0024]结合第二方面的第五种可能的实现方式,在第六种可能的实现方式中,所述处理单元用于通过确定第一列表中没有网元上报的该网元的网元设备的ID时,将所接收的所管理网元的网元设备上报的证书消息中的证书信息移入第一列表来更新第一列表。
[0025]结合第二方面的第五种可能的实现方式,在第七种可能的实现方式中,所述处理单元用于通过确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备的ID —致,但序列号不一致时,更新第一列表中该网元的网元设备的证书信息中的序列号来更新第一列表。
[0026]结合第二方面或第二方面的第一至第七任一种可能的实现方式,在第八种可能的实现方式中,所述证书撤销请求文件为针对不同的证书颁发中心(CertificateAuthority, CA)颁发的证书生成的。
[0027]结合第二方面的第八种可能的实现方式,在第九种可能的实现方式中个,所述不同的证书颁发中心(Certificate Authority, CA)颁发的证书由证书信息中的证书的颁发者来指示。
[0028]第三方面,提供一种提高网络安全性的方法,包括:网元的网元设备接收公共密钥基础设施(PKI, Public Key Infrastructure)下发的证书消息;所述证书消息包括证书信息,所述证书信息包括网元标识,网元设备标识,证书的颁发者和证书的序列号;网元的网元设备校验所接收的证书信息所对应的证书是否有效,并在确定所述证书有效时,将所述证书加载到所述网元设备中;网元的网元设备向网管上报证书消息,该证书消息包括该网元设备中已加载的证书的证书信息,所述证书信息包括网元标识,网元设备的标识(ID,Identity),证书的颁发者,证书的序列号,所述证书消息用于网管根据证书消息中的证书信息和已保存的网元的网元设备的证书信息更新需要撤销的证书信息,并根据所述需要撤销的证书信息生成用于请求所述PKI对所述需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。
[0029]第四方面,提供一种提高网络安全性的装置,包括:接收单元,处理单元和发送单元;接收单元用于接收公共密钥基础设施(PKI,Public Key Infrastructure)系统向所述装置发送的证书消息,所述证书消息包括证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号;处理单元用于校验证书消息是否有效,并在确定当证书消息有效时,加载证书到所述装置;发送单元用于向网管发送证书消息,该证书消息包括该网元设备中已加载的证书的证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号,所述证书消息用于网管根据证书消息中的证书信息和已保存的网元的网元设备的证书信息更新需要撤销的证书信息,并根据所述需要撤销的证书信息生成用于请求PKI对所述需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。
[0030]第五方面,提供一种提高网络安全性的系统,包括网元和网管;所述网管为第二方面或第二方面的第一至第九任一种可能的实现方式。
[0031]在第五方面的第一种可能的实现方式中,所述网元为第四方面。
[0032]结合第五方面或第五方面的第一种可能的实现方式,在第二种可能的实现方式中,还包括公共密钥基础设施(PKI, Public Key Infrastructure)系统,用于向所述装置发送的证书消息,所述证书消息包括证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号,并接收网管发送的用于请求PKI对需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。
[0033]通过本发明实施例的方法、装置和系统,可以实现在对脱离网络环境的网元设备,自动撤销其数字证书,保证运营商设备证书不被非法利用,提高运营商网络的安全性。。
【专利附图】
【附图说明】
[0034]图1a为本发明一实施例提供的提高网络安全性的方法的流程图;
[0035]图1b为本发明一实施例提供的提高网络安全性的方法的流程图
[0036]图2a为本发明一实施例提供的提高网络安全性的装置的示意图;
[0037]图2b为本发明一实施例提供的提高网络安全性的装置的示意图
[0038]图3为本发明一实施例提供的提高网络安全性的方法的流程示意图;
[0039]图4为本发明一实施例提供的提高网络安全性的装置的示意图;
[0040]图5为本发明一实施例提供的提高网络安全性的系统的结构图;
[0041]图6为本发明一实施例提供的提高网络安全性的方法的流程示意图;
[0042]图7为本发明一实施例提供的提高网络安全性的方法的流程示意图;
[0043]图8为本发明一实施例提供的提高网络安全性的方法的流程示意图;
【具体实施方式】
[0044]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0045]在本发明实施例中,一种提高网络安全性的方法,如图1a所示,所述方法包括:
[0046]步骤101:网管存储第一列表和第二列表。
[0047]其中,所述第一列表用来保存网元正在使用的证书信息,所述第二列表用来保存需要撤销的证书信息,所述第一列表和第二列表中的证书信息均包括网元标识(ID,identity),网元设备标识(ID, identity),证书的颁发者和证书的序列号。所述网元设备为该网元的物理实体,用于实现网元的功能。
[0048]所述第一列表和第二列表是网元ID,网元设备ID,证书的颁发者和证书的序列号之间的映射关系的体现,可以是现实存储的列表,也可以不是现实存储的列表,第一列表和第二列表中的网元ID,网元设备ID,证书的颁发者和证书的序列号可以分别存储在网管的存储介质的不同地址而通过指针方式映射为列表的形式,也可以为其他方式,在此可以不
予限定。
[0049]网管可以通过对网元的管理获取并存储网元的网元标识,网元设备标识,证书的颁发者和证书的序列号。其中,网元可以是基站,安全网关或路由器等。
[0050]可选的,网管可以仅保存第一列表,用来保存网元正在使用的证书信息。
[0051]步骤102:网管确定所述第一列表中的证书信息需要被撤销时,将该证书信息移入所述第二列表中。
[0052]其中,所述第一列表需要被撤销时可以为当网元设备被更换时或网元被废弃时,具体的,网管可以通过判断网元最新上报的证书消息中的网元设备ID与第一列表中保存的网元设备ID不一致来确定网元设备被更换,其中,网元可以上报的证书消息包含有证书信息,所述证书信息包含有该网元的网元ID、网元设备ID、证书的颁发者和证书的序列号等;网元可以通过管理维护通道向网管上报证书消息。
[0053]网元被废弃时网管会被告知,此时网管可以确定第一列表中的证书消息需要被撤销;当网管确定第一列表中的证书信息需要被撤销时,将该证书信息转移到第二列表。具体的网管被告知网元被废弃的方法可以为现有的方式,比如,网管收到消息获知某网元被废弃,也可以为其他方式,在此可以不予限定。
[0054]网管确定网元设备被更换时,还可以将网元上报的证书消息中的证书信息转移到第一列表;
[0055]当网管确定网元被废弃时,网管还可以删除该网元的信息,该信息可以包括网元的网元标识,网元设备标识,证书的颁发者和证书的序列号等;
[0056]可选的,当网管仅保存第一列表时,网管确定第一列表中的证书信息需要撤销时,根据所述证书信息生成撤销请求文件,并使所述第一列表中的证书信息去掉,具体的,当网元的网元设备被更换时,将新的网元的证书信息替换第一列表中的该网元的证书信息;当网元被废弃时,网管删除第一列表中网元的证书信息,并删除该网元的信息。
[0057]可选的,当网管确定新增网元设备时,将该网元上报的证书消息中的证书信息转移到第一列表,其中,网管可以通过判断第一列表中没有保存该网元上报的网元设备ID来确定新增了网元设备,可以理解的是,网管可以通过这种方式获得第一列表中的证书信息的初始值;[0058]可选的,当网管确定网元更换了证书时,将该网元上报的证书消息中的证书信息转移到第一列表,网管可以通过以下方式确定网元是否更换了证书:网管确定该网元上报的网兀设备ID和第一列表中保存的网兀设备ID—致但上报的序列号和第一列表中保存的序列号不一致;
[0059]其中,网元证书到期时,网元向公共密钥基础设施(Public Key Infrastructure,PKI)系统申请新的证书,PKI系统根据网元的申请下发给网元新的证书,网管通过对网元的管理获取并记录网元新的证书。其中,新的证书对应的证书信息中的序列号与已过期的证书所对应的证书信息中的序列号不同,其他信息相同。
[0060]步骤103:网管根据第二列表中的证书信息生成证书撤销请求文件。
[0061]网管可以定期根据第二列表中的证书信息生成证书撤销请求文件,所述定期的时间间隔可以根据需要设定;网管也可以实时,如确定第二列表中有证书信息需要撤销时,或者应其他设备的请求,如PKI系统的请求,根据第二列表中的证书信息生成证书撤销请求文件。
[0062]具体的,在证书信息中的颁发者多于一个时,网管可以根据证书信息中不同的颁发者生成相应的证书撤销请求文件,其中,不同的颁发者由不同的证书颁发中心(Certificate Authority, CA)所签发,所述CA可以是实现PKI系统功能的主要物理实体。
[0063]步骤104,网管将所述证书撤销请求文件发送给公共密钥基础设施(PKI)系统进行证书的撤销。
[0064]具体的,网管可以定期将已生成的证书撤销请求文件发送给PKI系统,所述定期的时间间隔可以根据需要设定;网管也可以实时,如确定生成有证书撤销请求文件时,或者应其他设备的请求,如PKI系统的请求,将已生成的证书撤销请求文件发送给PKI系统。具体在此可以不予限定。
[0065]采用本实施例的方法,网管可以对脱离网络环境的网元设备,如被更换掉的网元设备或被撤掉的网元设备,进行证书的自动撤销,避免证书被非法利用,进一步的,网管还可以在新增网元设备或网元更换证书时,自动更新网管中所保存的证书信息;一方面可以降低人工操作的成本和提高实时性,另一方面可以避免人工操作带来的出错风险,提高网络的安全性。
[0066]本发明的另一实施例中,一种提高网络安全性的方法,如图1b所示,包括:
[0067]步骤101’:网元存储第一列表,
[0068]其中,所述第一列表用来保存网元正在使用的证书信息,所述第一列表中的证书信息包括网元标识(ID, identity),网元设备标识(ID, identity),证书的颁发者和证书的序列号。所述网元设备为该网元的物理实体,用于实现网元的功能。
[0069]步骤102’:网管确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉;
[0070]所述证书撤销请求文件用于请求对所述需要被撤销的证书进行撤销,
[0071]当网管仅保存第一列表时,网管确定第一列表中的证书信息需要撤销时,根据所述证书信息生成撤销请求文件,并使所述第一列表中的证书信息去掉,具体的,当网元的网元设备被更换时,将新的网元的证书信息替换第一列表中的该网元的证书信息;当网元被废弃时,网管删除第一列表中网元的证书信息,并删除该网元的信息。
[0072]可选的,当网管确定新增网元设备时,将该网元上报的证书消息中的证书信息转移到第一列表,其中,网管可以通过判断第一列表中没有保存该网元上报的网元设备ID来确定新增了网元设备,可以理解的是,网管可以通过这种方式获得第一列表中的证书信息的初始值;
[0073]可选的,当网管确定网元更换了证书时,将该网元上报的证书消息中的证书信息转移到第一列表,网管可以通过以下方式确定网元是否更换了证书:网管确定该网元上报的网兀设备ID和第一列表中保存的网兀设备ID—致但上报的序列号和第一列表中保存的序列号不一致;
[0074]其中,网元证书到期时,网元向公共密钥基础设施(Public Key Infrastructure,PKI)系统申请新的证书,PKI系统根据网元的申请下发给网元新的证书,网管通过对网元的管理获取并记录网元新的证书。其中,新的证书对应的证书信息中的序列号与已过期的证书所对应的证书信息中的序列号不同,其他信息相同。
[0075]步骤103’:网管将所述证书撤销请求文件发送给公共密钥基础设施(PKI)系统。
[0076]采用本实施例的方法,网管可以对脱离网络环境的网元设备,如被更换掉的网元设备或被撤掉的网元设备,进行证书的自动撤销,避免证书被非法利用,进一步的,网管还可以在新增网元设备或网元更换证书时,自动更新网管中所保存的证书信息;一方面可以降低人工操作的成本和提高实时性,另一方面可以避免人工操作带来的出错风险,提高网络的安全性。
[0077]本发明另一实施例中,一种提高网络安全性的装置,如图2a所示,包括:存储单元201,处理单元202,和发送单元203 ;
[0078]其中,存储单元201用于存储第一列表和第二列表,所述第一列表用来保存网元正在使用的证书信息,所述第二列表用来保存需要撤销的证书信息,所述第一列表和第二列表中的证书信息均包括网元标识(ID,identity),网元中的网元设备的标识(ID,identity)(简称为网元设备标识),证书的颁发者和证书的序列号;所述网元设备为该网元的物理实体,用于实现网元的功能。所述第一列表和第二列表是网元ID,网元设备ID,证书的颁发者和证书的序列号之间的映射关系的体现,具体请参考上一实施例中已有的具体描述,此处不再赘述。
[0079]可选的,存储单元用于仅存储第一列表,所述第一列表用于保存网元正在使用的证书信息。
[0080]网管可以通过对网元的管理获取并存储网元的网元标识,网元设备标识,证书的颁发者和证书的序列号。其中,网元可以是基站,安全网关或路由器等。
[0081]处理单元202用于确定所述第一列表中的证书信息需要被撤销时,将该证书信息转移到所述第二列表中;
[0082]其中,所述第一列表需要被撤销时可以为处理单元202确定网元设备被更换时或网元被废弃时,处理单元202具体判断网元被更换或网元废弃的方法可以参考上一实施例中已有的详细描述,此处不再赘述。
[0083]具体的,网元被废弃时,处理单元202通过所述装置管理网元来获取网元被废弃的消息,此时处理单元202确定第一列表中的证书消息需要被撤销,将该证书信息移入所述第二列表中。
[0084]处理单元202还用于确定网元被废弃时,删除该网元的信息,所述网元的信息包括网元的网元标识,网元设备标识,证书的颁发者和证书的序列号等;
[0085]处理单元202还用于确定网元设备被更换时,将网元上报的证书消息中的证书信息转移到第一列表;
[0086]可选的,处理单元202仅存储第一列表时,处理单元202确定第一列表中的证书信息需要撤销时,根据所述证书信息生成撤销请求文件,并使所述第一列表中的证书信息去掉,具体的,当网元的网元设备被更换时,将新的网元的证书信息替换第一列表中的该网元的证书信息;当网元被废弃时,网管删除第一列表中网元的证书信息,并删除该网元的信
肩、O
[0087]可选的,处理单元202还用于确定新增网元设备时,将该网元上报的证书消息中的证书信息转移到第一列表,其中,处理单元202可以通过判断第一列表中没有保存该网元上报的网元设备ID来确定新增了网元设备,可以理解的是,第一列表所保存的初始值可以通过该方式获得;
[0088]可选的,处理单元202还用于确定网元更换了证书时,将该网元上报的证书消息中的证书信息转移到第一列表,处理单元202可以通过以下方式确定网元是否更换了证书:处理单元202确定该网元上报的网元设备ID和第一列表中保存的网元设备的ID—致但上报的序列号和第一列表中保存的序列号不一致。其中,网元证书到期时,网元向PKI系统申请新的证书,PKI系统根据网元的申请下发给网元新的证书,处理单元202可以通过所述装置管理网元来获取并记录网元新的证书。其中,新的证书对应的证书信息中的序列号与已过期的证书所对应的证书信息中的序列号不同,其他信息相同。
[0089]处理单元202还用于根据第二列表中的证书信息生成证书撤销请求文件,所述证书撤销请求文件用于请求对所述第二列表中的证书信息对应的证书进行撤销;
[0090]具体的,处理单元202可以用于定期根据第二列表中的证书信息生成证书撤销请求文件,所述定期的时间间隔可以根据需要设定;处理单元202也可以用于实时或者应其他设备的请求,如PKI系统的请求,根据第二列表中的证书信息生成证书撤销请求文件,网管确定第二列表中有证书信息需要撤销时,就可以生成证书撤销请求文件发送给PKI系统进行证书的撤销。
[0091]在证书信息中的颁发者多于一个时,处理单元202可以用于根据证书信息中不同的颁发者生成相应的证书撤销请求文件,其中,不同的证书颁发者由不同的CA所签发,所述CA可以是实现PKI系统功能的主要物理实体。
[0092]发送单元203用于将所述处理单元202生成的证书撤销请求文件发送给PKI系统进行证书的撤销。
[0093]采用本实施例的装置,可以对脱离网络环境的网元设备,如被更换掉的网元设备或被撤掉的网元设备,进行证书的自动撤销,避免证书被非法利用,进一步的,网管还可以在新增网元设备或网元更换证书时,自动更新网管中所保存的证书信息;一方面可以降低人工操作的成本和提高实时性,另一方面可以避免人工操作带来的出错风险,提高网络的安全性。
[0094]本发明另一实施例中,一种提高网络安全性的装置,如图2b所示,包括:存储单元201’,处理单元202’,和发送单元203’ ;
[0095]其中,存储单元201’用于存储第一列表,所述第一列表用来保存网元正在使用的证书信息,所述第一列表包括网元标识(ID,identity),网元中的网元设备的标识(ID,identity)(简称为网元设备标识),证书的颁发者和证书的序列号;所述网元设备为该网元的物理实体,用于实现网元的功能。所述第一列表是网元ID,网元设备ID,证书的颁发者和证书的序列号之间的映射关系的体现,具体请参考上一实施例中已有的具体描述,此处不再赘述。
[0096]网管可以通过对网元的管理获取并存储网元的网元标识,网元设备标识,证书的颁发者和证书的序列号。其中,网元可以是基站,安全网关或路由器等。
[0097]处理单元202’用于确定所述第一列表中的证书信息需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉;所述证书撤销请求文件用于请求对所述需要被撤销的证书进行撤销;具体的,当网元的网元设备被更换时,将新的网元的证书信息替换第一列表中的该网元的证书信息;当网元被废弃时,网管删除第一列表中网元的证书信息,并删除该网元的信息;
[0098]其中,所述第一列表需要被撤销时可以为处理单元202’确定网元设备被更换时或网元被废弃时,处理单元202’具体判断网元设备被更换或网元废弃的方法可以参考上一实施例中已有的详细描述,此处不再赘述。
[0099]具体的,网元被废弃时,处理单元202’可以通过所述装置对网元的管理来获取网元被废弃的消息;
[0100]处理单元202’还用于确定网元被废弃时,删除该网元的信息,所述网元的信息可以包括网元的网元标识,网元设备标识,证书的颁发者和证书的序列号等;
[0101]处理单元202’还可以用于确定网元设备被更换时,将网元上报的证书消息中的证书信息转移到第一列表;
[0102]处理单元202’还可以用于确定新增网元设备时,将该网元上报的证书消息中的证书信息转移到第一列表,其中,处理单元202’可以通过判断第一列表中没有保存该网元上报的网元设备ID来确定新增了网元设备,可以理解的是,第一列表所保存的初始值可以通过该方式获得;
[0103]处理单元202’还可以用于确定网元更换了证书时,将该网元上报的证书消息中的证书信息转移到第一列表,处理单元202’可以通过以下方式确定网元是否更换了证书:处理单元202’确定该网元上报的网元设备ID和第一列表中保存的网元设备的ID —致但上报的序列号和第一列表中保存的序列号不一致。其中,网元证书到期时,网元向PKI系统申请新的证书,PKI系统根据网元的申请下发给网元新的证书,处理单元202’可以通过所述装置管理网元来获取并记录网元新的证书。其中,新的证书对应的证书信息中的序列号与已过期的证书所对应的证书信息中的序列号不同,其他信息相同。
[0104]在证书信息中的颁发者多于一个时,处理单元202’可以用于根据证书信息中不同的颁发者生成相应的证书撤销请求文件,其中,不同的证书颁发者由不同的CA所签发,所述CA可以是实现PKI系统功能的主要物理实体。
[0105]发送单元203’用于将所述处理单元202’生成的证书撤销请求文件发送给PKI系统进行证书的撤销。[0106] 采用本实施例的装置,可以对脱离网络环境的网元设备,如被更换掉的网元设备或被撤掉的网元设备,进行证书的自动撤销,避免证书被非法利用,进一步的,网管还可以在新增网元设备或网元更换证书时,自动更新网管中所保存的证书信息;一方面可以降低人工操作的成本和提高实时性,另一方面可以避免人工操作带来的出错风险,提高网络的安全性。
[0107]在本发明的另一实施例中,提供一种提高网络安全性的方法,如图3所示,包括:
[0108]步骤301:网元接收PKI下发给网元的证书消息;所述证书消息包括证书信息,所述证书信息包括网元的网元标识、网元设备标识、证书的颁发者和证书的序列号;
[0109]其中,网元可以通过CMPv2接口接收PKI系统下发给网元的证书信息;网元可以是
基站,安全网管或路由器等。
[0110]步骤302:网元校验所接收的证书信息所对应的证书是否有效,并在确定所述证书有效时,将所述证书加载到所述网元设备中;
[0111]其中,网元校验从PKI系统下发的证书消息所对应的证书是否有效,如果确定证书有效,将证书加载到网元设备中,所述网元设备是实现网元功能的物理实体,用于实现网元功能。具体的校验方法可以参考现有的方法,或其他方法,在此可以不予限定。
[0112]可选的,当网元校验接收到的证书,确定证书无效时,网元可以删除该证书信息,向PKI系统重新申请证书,待网元接收到PKI系统下发的证书后,重复步骤302。
[0113]步骤303:网元向网管上报证书消息,该证书消息包括该网元设备中已加载的证书的证书?目息。
[0114]其中,所述证书信息包括网元的网元标识、网元设备标识、证书的颁发者和证书的序列号;所述证书消息用于网管根据证书消息中的证书信息和已保存的网元的证书信息更新需要撤销的证书信息,并根据所述需要撤销的证书信息生成用于请求所述PKI对所述需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。
[0115]采用本实施例的方法,网元可以对脱离网络环境的网元设备,如被更换掉的网元设备或被撤掉的网元设备,进行证书的自动撤销,避免证书被非法利用,进一步的,网管还可以在新增网元设备或网元更换证书时,自动更新网管中所保存的证书信息;一方面可以降低人工操作的成本和提高实时性,另一方面可以避免人工操作带来的出错风险,提高网络的安全性。
[0116]在另一实施例中,提供一种提高网络安全性的装置,如图4所示,包括接收单元401,处理单元402和发送单元403。
[0117]其中,接收单元401用于接收PKI系统向所述装置发送的证书消息,所述证书消息包括证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号;
[0118]处理单元402用于校验证书消息是否有效,并在确定证书消息有效时,加载证书到所述装置;
[0119]其中,当处理单元402校验接收到的证书,确定证书无效时,处理单元可以删除该证书信息,并向PKI系统重新申请证书,待处理单元402所属的网元接收到PKI系统下发的证书后,重新校验证书的有效性。
[0120]发送单元403用于向网管发送证书消息,该证书消息包括该网元设备中已加载的证书的证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号,所述证书消息用于网管根据证书消息中的证书信息和已保存的网元的网元设备的证书信息更新需要撤销的证书信息,并根据所述需要撤销的证书信息生成用于请求PKI对所述需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。
[0121]采用本实施例的装置,可以对脱离网络环境的网元设备,如被更换掉的网元设备或被撤掉的网元设备,进行证书的自动撤销,避免证书被非法利用,进一步的,网管还可以在新增网元设备或网元更换证书时,自动更新网管中所保存的证书信息;一方面可以降低人工操作的成本和提高实时性,另一方面可以避免人工操作带来的出错风险,提高网络的安全性。
[0122]在另一实施例中,提供一种提高网络安全性的系统,如图5所示,包括网管和网元;
[0123]其中,网管可以是如图2所示的实施例描述的装置,具体可以参考之前的实施例中已有的详细描述,此处不再赘述;
[0124]进一步的,网元可以是如图4所示的实施例描述的装置,具体可以参考之前实施例中已有的详细描述,此处不再赘述。
[0125]网管用于根据所述证书消息中的证书信息确定证书需要被撤销时生成证书撤销请求文件发送给PKI系统进行证书的撤销并相应的更新网元正在使用的证书信息。
[0126]进一步的,网元用于发送证书消息到网管,以便网管根据所述证书消息中的证书信息判断是否需要撤销该证书消息并相应的 更新网元正在使用的证书信息。
[0127]进一步的,还包括公共密钥基础设施(PKI,Public Key Infrastructure)系统,用于向所述装置发送的证书消息,所述证书消息包括证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号,并接收网管发送的用于请求PKI对需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。
[0128]采用本实施例的系统,网管可以对脱离网络环境的网元设备,如被更换掉的网元设备或被撤掉的网元设备,进行证书的自动撤销,避免证书被非法利用,进一步的,网管还可以在新增网元设备或网元更换证书时,自动更新网管中所保存的证书信息;一方面可以降低人工操作的成本和提高实时性,另一方面可以避免人工操作带来的出错风险,提高网络的安全性。
[0129]在另一实施例中,具体提供网元设备被更换时提高网络安全性的方法,包括:
[0130]网管存储第一列表和第二列表,第一列表可以用OnlineCERT列表表不,第二列表可以用RevokeCERT列表来表示,OnlineCERT列表用来保存网元正在使用的证书信息,RevokeCERT列表用来保存需要撤销的证书信息,
[0131]证书信息包含有证书消息中的网元的网元标识、网元设备标识(ID,Identity)、证书的颁发者、证书的序列号。
[0132]OnlineCERT列表的格式可以为:
[0133]
网元标识I |CN1:ESN1.XXX |证书颁发者~|证书序列号I
网元标识2 CN2:ESN2.XXX 证书颁发者~证书序列号2
【权利要求】
1.一种提高网络安全性的方法,其特征在于,所述方法包括: 网管存储第一列表,所述第一列表用来保存网元正在使用的证书信息,所述第一列表包括网元标识(ID, identity),网元设备标识(ID, identity),证书的颁发者和证书的序列号; 网管确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉;所述证书撤销请求文件用于请求对所述需要被撤销的证书进行撤销; 网管将所述证书撤销请求文件发送给公共密钥基础设施(PKI)系统。
2.根据权利要求1所述的方法,其特征在于,所述网管确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件包括: 网管存储第二列表,所述第二列表用来保存需要撤销的证书信息,网管确定所述第一列表中的证书信息所对应的证书需要被撤销时,将所述证书消息转移到第二列表,网管根据第二列表中的证书信息生成证书撤销请求文件。
3.根据权利要求1或2所述的方法,其特征在于,所述网管确定所述第一列表中的证书信息需要被撤销包括:通过确定所管理的网元设备被更换,或网元被废弃确定所述第一列表中的证书信息需要被撤销。
4.根据权利要求3所述的方法,其特征在于,还包括: 网管接收所管理的网元上报的证书消息,所述证书消息包括证书信息,所述证书信息包括该网元的网元ID ,网元设备的ID,证书的颁发者和证书的序列号; 网管通过确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备ID不一致确定上报证书消息的网元的网元设备被更换。
5.根据权利要求4所述的方法,其特征在于,还包括:将上报的证书消息中的证书信息移入第一列表。
6.根据权利要求1至3任一项所述的方法,其特征在于,还包括:网管接收所管理网元上报的证书消息,所述证书消息包括证书信息,所述证书信息包括该网元的网元ID,该网元中的网元设备的ID,证书的颁发者和证书的序列号; 网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表。
7.根据权利要求6所述的方法,其特征在于,网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表包括: 网管确定第一列表中没有网元上报的该网元的网元设备的ID时,将所接收的所管理网元的网元设备上报的证书消息中的证书信息移入第一列表。
8.根据权利要求6所述的方法,其特征在于,网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表包括: 网管确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备的ID —致,但序列号不一致时,更新第一列表中该网元的网元设备的证书信息中的序列号。
9.根据权利要求1至8任一项所述的方法,其特征在于,所述网管根据需要撤销的证书所对应的证书信息生成证书撤销请求文件,包括: 网管根据需要撤销的证书所对应的证书信息并针对不同的证书颁发中心(Certificate Authority, CA)颁发的证书生成相应的证书撤销请求文件。
10.根据权利要求9所述的方法,其特征在于,所述不同的CA颁发的证书由证书信息中的证书的颁发者来指示。
11.一种提高网络安全性的装置,包括: 存储单元,处理单 元,和发送单元; 所述存储单元用于存储第一列表,所述第一列表用来保存网元正在使用的证书信息,所述第一列表中的证书信息包括网元标识(ID, identity),网元设备标识(ID, identity),证书的颁发者和证书的序列号; 所述处理单元用于确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉,所述证书撤销请求文件用于请求对所述需要被撤销的证书进行撤销; 发送单元用于将所述处理单元生成的证书撤销请求文件发送给公共密钥基础设施(PKI, Public Key Infrastructure)系统。
12.根据权利要求11所述的装置,其特征在于,处理单元用于确定所述第一列表中的证书信息所对应的证书需要被撤销时,根据所述证书信息生成证书撤销请求文件,并使所述第一列表中的证书信息从第一列表中去掉,包括: 处理单元用于存储第二列表,所述第二列表用来保存需要撤销的证书信息,处理单元还用于确定所述第一列表中的证书信息所对应的证书需要被撤销时,将该证书信息转移到所述第二列表,并根据所述第二列表中的证书信息生成证书撤销请求文件,所述证书撤销请求文件用于请求对所述第二列表中的证书信息对应的证书进行撤销;
13.根据权利要求11或12所述的装置,其特征在于,所述处理单元用于通过确定所管理网元的网元设备被更换,或网元设备被废弃确定所述第一列表中的证书信息需要被撤销。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括接收单元,用于接收所管理网元上报的证书消息,所述证书消息包括证书信息,所述证书信息包括该网元的网元ID,该网元中的网元设备的ID,该网元的证书的颁发者和该网元的证书的序列号; 所述处理单元用于通过确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备ID不一致确定上报证书消息的网元的网元设备被更换。
15.根据权利要求14所述的装置,其特征在于,所述处理单元还用于将上报的证书消息中的证书信息移入第一列表。
16.根据权利要求11至13任一项所述的装置,其特征在于,所述装置还包括接收单元,用于接收所管理网元的网元设备上报的证书消息,所述证书消息包括证书信息,所述证书信息包括该网元的网元ID,该网元中的网元设备的ID,该网元的证书的颁发者和该网元的证书的序列号; 所述处理单元还用于根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表。
17.根据权利要求16所述的装置,其特征在于,所述处理单元用于通过确定第一列表中没有网元上报的该网元的网元设备的ID时,将所接收的所管理网元的网元设备上报的证书消息中的证书信息移入第一列表来更新第一列表。
18.根据权利要求16所述的装置,其特征在于,所述处理单元用于通过确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备的ID —致,但序列号不一致时,更新第一列表中该网元的网元设备的证书信息中的序列号来更新第一列表。
19.根据权利要求11至18任一项所述的装置,其特征在于,所述证书撤销请求文件为针对不同的证书颁发中心(Certificate Authority, CA)颁发的证书生成的。
20.根据权利要求19任一项所述的装置,其特征在于,所述不同的证书颁发中心(Certificate Authority, CA)颁发的证书由证书信息中的证书的颁发者来指示。
21.一种提高网络安全性的方法,其特征在于,所述方法包括: 网元的网元设备接收公共密钥基础设施(PKI,Public Key Infrastructure)下发的证书消息;所述证书消息包括证书信息,所述证书信息包括网元标识,网元设备标识,证书的颁发者和证书的序列号; 网元的网元设备校验所接收的证书信息所对应的证书是否有效,并在确定所述证书有效时,将所述证书加载到所述网元设备中; 网元的网元设备向网管上报证书消息,该证书消息包括该网元设备中已加载的证书的证书信息,所述证书信息包括网元标识,网元设备的标识(ID,Identity),证书的颁发者,证书的序列号,所述证书消息用于网管根据证书消息中的证书信息和已保存的网元的网元设备的证书信息更新需要撤销的证书信息,并根据所述需要撤销的证书信息生成用于请求所述PKI对所述需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。
22.一种提高网络安全性的装置,其特征在于,包括: 接收单元,处理单元和发送单元; 接收单元用于接收公共密钥基础设施(PKI,Public Key Infrastructure)系统向所述装置发送的证书消息,所述证书消息包括证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号; 处理单元用于校验证书消息是否有效,并在确定当证书消息有效时,加载证书到所述装置; 发送单元用于向网管发送证书消息,该证书消息包括该网元设备中已加载的证书的证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号,所述证书消息用于网管根据证书消息中的证书信息和已保存的网元的网元设备的证书信息更新需要撤销的证书信息,并根据所述需要撤销的证书信息生成用于请求PKI对所述需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。
23.一种提高网络安全性的系统,其特征在于,包括网元和网管;所述网管为如权利要求11至20任一项所述的提高网络安全性的装置。
24.根据权利要求23所述的系统,其特征在于,所述网元为如权利要求22所述的提高网络安全性的装置。
25.根据权利要求23或24所述的系统,其特征在于,还包括公共密钥基础设施(PKI,Public Key Infrastructure)系统,用于向所述装置发送的证书消息,所述证书消息包括证书信息,所述证书信息包括网元标识,网元设备的标识,证书的颁发者,证书的序列号,并接收网管发送的用于请求PKI对需要撤销的证书信息对应的证书进行撤销的证书撤销请求文件。`
【文档编号】H04L9/08GK103563291SQ201380000173
【公开日】2014年2月5日 申请日期:2013年1月21日 优先权日:2013年1月21日
【发明者】金文君, 熊莺, 陈佳佳, 王江胜 申请人:华为技术有限公司