一种基站设备的证书分发系统及方法与流程

本发明涉及通信技术，尤其涉及一种基站设备的证书分发系统及方法。

背景技术

据数据显示，室内分布系统占总基站数的20％，而这的20％室内覆盖为运营商带来80％的数据业务，因此，为了提升用户粘度，运营商都把第四代移动通信(4g)深度覆盖作为4g部署所要面对的首要任务。

小基站作为室内覆盖的一种实现方式，虽然有效解决了室内深度覆盖问题，提升了用户体验，但是，由于其部署位置不可信，不可避免的带来了更多的安全威胁。攻击者可以通过本地接口或远程控制方式篡改设备配置、窃取设备存储的认证信息，甚至伪造设备诱骗用户接入，或向核心网发起攻击。因此，小基站需要同时保证本地安全、空口安全、接入核心网安全、传输安全和运维安全。

目前，对小基站设备进行安全认证的方式有多种，其中，常用的有证书认证，其认证方法为：通过给小基站设备(包括安全网关)签发设备证书，用于标识小基站设备的合法身份；在小基站请求接入安全网关时，通过证书进行合法性认证；认证通过后，建立互联网协议安全性(ipsec，internetprotocolsecurity)安全传输通道来保证传输安全。

在证书认证过程中，安全网关为了验证申请接入的小基站设备证书的合法性，则需要在安全网关中提前配置好小基站设备证书的根证书链，小基站设备中也要提前配置好安全网关的根证书链。如果安全网关需要支持接入多家厂商的小基站设备，则需要在安全网关中配置所有小基站设备商的认证授权机构(ca，certificateauthority)的根证书链，而且在小基站设备中配置好对应的安全网关的根证书链，因此，造成了设备证书的证书配置复杂的问题。

技术实现要素：

针对上述的技术问题，本发明实施例期望提供一种基站设备的证书分发系统及方法，有效地解决各设备厂商的证书配置复杂的问题。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种基站设备的证书分发系统，包括：

证书分发服务器，用于接收基站设备的证书申请请求，并基于根证书对所述证书申请请求进行合法性验证，当通过验证时，将所述证书申请请求发送至第一认证服务器；其中，所述根证书存储于所述证书分发服务器；

所述第一认证服务器，用于接收到所述证书申请请求时，生成可信设备证书，并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备，所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。

上述方案中，所述证书申请请求携带预置证书、设备串号、公钥和签名值；

所述证书分发服务器，还用于使用所述根证书中的公钥解析所述预置证书中的签名值，得到第一摘要；对所述预置证书中的设备串号和公钥进行哈希运算，得到第二摘要；

所述证书分发服务器，还用于当所述第一摘要和所述第二摘要一致时，使用所述预置证书的公钥解析所述证书申请请求中的签名值，得到第三摘要；对所述证书申请请求中的设备串号和公钥进行哈希运算，得到第四摘要。

上述方案中，所述证书分发服务器，具体用于：当所述第三摘要和所述第四摘要一致时，检查所述证书申请请求中的设备串号，是否在由设备商认证机构认证的具有合法性的设备串号列表中。

上述方案中，还包括：第二认证服务器，用于签发所述基站设备的证书，并将签发的证书作为所述预置证书下发至所述基站设备，所述预置证书表示所述基站设备在所述设备商证书机构中的合法性；

所述第二认证服务器，还用于向所述证书分发服务器发送设备商的根证书、以及在所述设备商证书机构中具有合法性的基站设备的串号。

上述方案中，所述第一认证服务器，具体用于：对所述证书申请请求中的设备串号和公钥进行哈希计算，将计算的结果进行数字签名得到第二签名值；

根据所述证书申请请求中的公钥和设备串号，以及所述第二签名值生成可信设备证书。

上述方案中，所述证书分发服务器，还用于将接收到所述根证书和所述基站设备的串号进行存储形成授权设备白名单，所述授权设备白名单用于验证所述基站设备发送的预置证书和设备串号的有效性。

本发明实施例还提供了一种基站设备的证书分发方法，所述方法包括：

证书分发服务器接收基站设备的证书申请请求，并基于根证书对所述证书申请请求进行合法性验证，当通过验证时，将所述证书申请请求发送至第一认证服务器；其中，所述根证书存储于所述证书分发服务器；

所述第一认证服务器接收到所述证书申请请求时，生成可信设备证书，并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备，所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。

上述方案中，所述证书申请请求携带预置证书、设备串号、公钥和签名值；

所述基于根证书对所述证书申请请求进行合法性验证之前，所述方法还包括：

所述证书分发服务器使用所述根证书中的公钥解析所述预置证书中的签名值，得到第一摘要；对所述预置证书中的设备串号和公钥进行哈希运算，得到第二摘要；

当所述第一摘要和所述第二摘要一致时，所述证书分发服务器使用所述预置证书的公钥解析所述证书申请请求中的签名值，得到第三摘要；对所述证书申请请求中的设备串号和公钥进行哈希运算，得到第四摘要。

上述方案中，所述基于根证书对所述证书申请请求进行合法性验证，包括：

当所述第三摘要和所述第四摘要一致时，所述证书分发服务器检查所述证书申请请求中的设备串号，是否在由设备商认证机构认证的具有合法性的设备串号列表中。

上述方案中，所述将所述证书申请请求发送至所述证书分发服务器之前，所述方法还包括：

第二认证服务器签发所述基站设备的证书，并将签发的证书作为所述预置证书下发至所述基站设备，所述预置证书表示所述基站设备在所述设备商证书机构中的合法性；

所述第二认证服务器向所述证书分发服务器发送设备商的根证书、以及在所述设备商证书机构中具有合法性的基站设备的串号。

上述方案中，所述生成可信设备证书，包括：所述第一认证服务器接对所述证书申请请求中的设备串号和公钥进行哈希计算，将计算的结果进行数字签名得到第二签名值；

所述第一认证服务器根据所述证书申请请求中的公钥和设备串号，以及所述第二签名值生成可信设备证书。

上述方案中，所述方法还包括：所述证书分发服务器将接收到所述根证书和所述基站设备的串号进行存储形成授权设备白名单，所述授权设备白名单用于验证所述基站设备发送的预置证书和设备串号的有效性。

本发明实施例提供的一种基站设备的证书分发系统及方法，能够在基站设备安装启动后，产生一条证书申请请求，并将该证书申请请求通过证书分发服务器发送至第一认证服务器，也即运营商ca，第一认证服务器接收到该请求后，向基站设备签发可信设备证书。因此，通过本发明实施例，可以具有以下有益效果：实现了基站设备证书的在线分发和自动配置，有效的解决了配置复杂、工作量大和易出错的问题。

附图说明

图1为本发明实施例公开的一种基站设备的证书分发系统的结构示意图；

图2为本发明实施例公开的另一种基站设备的证书分发系统的结构示意图；

图3为本发明实施例公开的一种基站设备的证书分发方法的实现流程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作在本发明可选实施例中详细描述，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例公开了一种基站设备的证书分发系统的结构，如1所示，本实施例的证书分发系统包括：证书分发服务器101、第一认证服务器102、第二认证服务器103和基站设备104；其中，

证书分发服务器101，用于接收基站设备的证书申请请求，并基于根证书对所述证书申请请求进行合法性验证，当通过验证时，将所述证书申请请求发送至第一认证服务器；其中，所述根证书存储于所述证书分发服务器。证书分发服务器101可以是具有上述功能的服务器。

这里，证书分发服务器101具有以下模块：设备白名单管理模块、证书申请请求签证模块和证书申请处理模块；其中，设备白名单处理模块：负责接收并存储第二认证服务器(即设备商ca)同步过来的经过授权的设备串号列表和第二认证服务器根证书，并生成设备白名单；证书申请请求鉴证模块：负责在线自动鉴证证书申请请求，鉴证通过后，才会向第一认证服务器发起证书签发请求；证书申请处理模块：负责向第一认证服务器转发小基站设备的证书申请请求。

所述第一认证服务器102，用于接收到所述证书申请请求时，生成可信设备证书，并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备，所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。

这里，第一认证服务器102具有可信设备证书签发模块，该模块用于接收到所述证书申请请求时，生成可信设备证书，并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备。

这里，所述第一认证服务器102也可以是运营商ca，具有签发可信设备证书功能的服务器或系统，本发明实施例中不做具体限制。

基站设备104，用于：1)产生新的公钥和私钥对，并生成携带设备串号、公钥和预置证书等信息的证书申请请求；2)使用私钥对证书申请请求进行数字签名，得到签名值；3)将签名值封装至该证书申请请求，并将封装后的请求发送至证书分发服务器101。

这里，基站设备104为小基站设备或微型基站设备，该基站设备的优点：集成度高、适应性强、快速建设和维护便利。此外，该基站设备主要应用场景包括但不限于：1)建筑物内，实现小区死角覆盖和家庭覆盖；2)隧道，在隧道内部，可以灵活的实现覆盖；3)物联网，实现传感器到控制设备的覆盖；4)交通，利用第四代移动通信(4g)的带宽优势，实现高清晰的监控。

这里，基站设备104具有以下模块：设备证书安全存储模块和证书申请处理模块，其中：设备证书安全存储模块是一个可信环境，用于安全存储私钥和第二认证服务器预置的备证书；而证书申请处理模块负责生成证书申请请求，并将该请求发送至证书分发服务器，以及在接收到第一认证服务器签发的可信设备证书后，将预先预置的设备证书替换成营商ca签发的可信设备证书。

在本发明可选实施例中，所述证书申请请求携带预置证书、设备串号、公钥和签名值；

所述证书分发服务器101，还用于使用所述根证书中的公钥解析所述预置证书中的签名值，得到第一摘要；对所述预置证书中的设备串号和公钥进行哈希运算，得到第二摘要；

所述证书分发服务器101，还用于当所述第一摘要和所述第二摘要一致时，使用所述预置证书的公钥解析所述证书申请请求中的签名值，得到第三摘要；对所述证书申请请求中的设备串号和公钥进行哈希运算，得到第四摘要。

因此，证书分发服务器101接收到基站设备104发送的证书申请请求后，使用第一认证服务器同步过来的根证书的公钥解析预置证书中的签名值，得到第一摘要；此外，根据预置证书中的设备串号和公钥进行哈希计算，得到第二摘要，将第一摘要和第二摘要进行对比，从而得知预置证书的有效性。

此外，当所述第一摘要和所述第二摘要一致时，所述证书分发服务器101使用所述预置证书的公钥解析所述证书申请请求中的签名值，得到第三摘要；此外，对所述证书申请请求中的设备串号和公钥进行哈希运算，得到第四摘要，将第三摘要和第四摘要进行对比，从而得知证书申请请求中的设备串号和公钥的有效性。

在本发明可选实施例中，证书分发服务器101，具体用于：当所述第三摘要和所述第四摘要一致时，检查所述证书申请请求中的设备串号，是否在由设备商认证机构认证的具有合法性的设备串号列表中。

证书分发服务器101完成了预置证书和证书申请请求中的设备串号和公钥的有效性之后，检查所述证书申请请求中的设备串号是否在设备串号列表中，其中，该设备串号列表为：设备商认证机构发送给证书分发服务器101的具有合法性的设备串号列表。当完成了这个检查步骤之后，则所述证书申请请求的验证最终完成，此时，将该证书申请请求发送至第一认证服务器102。

在本发明可选实施例中，第二认证服务器103，用于签发所述基站设备104的证书，并将签发的证书作为所述预置证书下发至所述基站设备104，所述预置证书表示所述基站设备在所述设备商证书机构中的合法性；

所述第二认证服务器103，还用于向所述证书分发服务器101发送设备商的根证书、以及在所述设备商证书机构中具有合法性的基站设备的串号。

这里，第二认证服务器103为具有签发临时基站设备的数字证书功能的服务器或系统，属于设备商的服务器，在本发明实施例中，第二认证服务器103可以称为设备商ca。

在所述基站设备104出厂前，或开发阶段，第二认证服务器103向基站设备104签发设备证书，并通过在线的方式，将将签发的证书作为所述预置证书下发至所述基站设备的设备证书安全存储模块中；或者，以手动存储的方式，将该设备证书预置到基站设备104的设备证书作为所述预置证书存储于设备证书安全存储模块中。

在本发明可选实施例中，所述第一认证服务器102，具体用于：对所述证书申请请求中的设备串号和公钥进行哈希计算，将计算的结果进行数字签名得到第二签名值；

根据所述证书申请请求中的公钥和设备串号，以及所述第二签名值生成可信设备证书。

第一认证服务器102接收到证书分发服务器101发送的证书申请请求后，对所述证书申请请求中的设备串号和公钥进行哈希计算，将计算的结果进行数字签名得到第二签名值；此外，根据所述证书申请请求中的公钥和设备串号，以及所述第二签名值生成可信设备证书。

在本发明可选实施例中，所述证书分发服务器101，还用于将接收到所述根证书和所述基站设备的串号进行存储形成授权设备白名单，所述授权设备白名单用于验证所述基站设备发送的预置证书和设备串号的有效性。

证书分发服务器101接收第二认证服务器103同步的根证书和基站设备的串号，并将接收到的信息存储于设备白名单处理模块，该设备白名单处理模块根据该根证书和串号生成设备黑白名单，以便验证基站设备104在激活后发送过来的证书申请请求。

本发明实施例公开了一种基站设备的证书分发方法，如2所示，所述证书分发方法包括以下步骤：

步骤201：证书分发服务器接收基站设备的证书申请请求。

具体地，证书分发服务器接收基站设备的证书申请请求之前，基站设备在安装激活后，产生新的公钥和私钥对，并生成携带有所述公钥、基站设备的串号、预置证书的证书申请请求；基站设备使用该私钥对该证书申请请求进行数字签名，得到签名值，并将该签名值封装至该证书申请请求中，然后将封装后的证书申请请求发送至证书分发服务器。作为接收方，证书分发服务器接收基站设备发送的证书申请请求。

步骤202：证书分发服务器基于根证书对所述证书申请请求进行合法性验证。

这里，所述根证书由设备商ca生成、并同步至所述证书分发服务器，证书分发服务器进行存储。也就是说，在接收到证书申请请求之前，证书分发服务器已经存储了该根证书。

例如，基于安全性考虑，证书分发服务器在将证书申请请求发送至第一认证服务器之前，先基于根证书对证书申请请求进行合法性验证，验证该请求是否合法，如该请求是否来自于获得设备厂商认证机构授权的基站设备。

具体地，所述基于根证书对所述证书申请请求进行合法性验证之前，所述方法还包括：所述证书分发服务器使用所述根证书中的公钥解析所述预置证书中的签名值，得到第一摘要；对所述预置证书中的设备串号和公钥进行哈希运算，得到第二摘要，将第一摘要和第二摘要进行对比，从而得知预置证书的有效性。

此外，当所述第一摘要和所述第二摘要一致时，说明预置证书时合法的，这时，证书分发服务器使用所述预置证书的公钥解析所述证书申请请求中的签名值，得到针对所述预置证书中的设备串号和公钥的第三摘要；此外，对所述证书申请请求中的设备串号和公钥进行哈希运算，得到第四摘要，将第三摘要和第四摘要进行对比，从而得知证书申请请求中的设备串号和公钥的有效性。

在本发明可选实施例中，所述基于根证书对所述证书申请请求进行合法性验证，包括：当所述第三摘要和所述第四摘要一致时，所述证书分发服务器检查所述证书申请请求中的设备串号，是否在由设备商认证机构认证的具有合法性的设备串号列表中。

例如，当所述第三摘要和所述第四摘要一致时，说明所述预置证书为设备商签发的合法证书，且所述证书申请请求中的设备串号和公钥来自具有合法证书的基站设备，此时，继续验证该设备串号是否在设备串号列表中，若是，则说明该请求为合法请求，此时，证书分发服务器将该请求转发至运营商ca；若否，则该请求为非法请求，不予转发。

步骤203：当所述证书申请请求验证合法时，证书分发服务器将所述证书申请请求转发至第一认证服务器。

由于证书分发服务器没有签发可信设备证书的功能或权限，因此，在验证完证书申请请求后，将该请求发送至具有可信证书签发的运营商ca，以便完成可信设备证书的签发。

步骤204：当所述证书申请请求验证合法时，证书分发服务器不转发证书申请请求。

步骤205：所述第一认证服务器接收到所述证书申请请求时，生成可信设备证书，并将所述可信设备证书通过所述证书分发服务器下发至所述基站设备。

这里，所述可信设备证书用于标识所述基站设备在运营商认证机构的合法性。

具体地，所述生成可信设备证书，包括：所述第一认证服务器接对所述证书申请请求中的设备串号和公钥进行哈希计算，将计算的结果进行数字签名得到第二签名值；

所述第一认证服务器根据所述证书申请请求中的公钥和设备串号，以及所述第二签名值生成可信设备证书。

例如，运营商ca接收到证书分发服务器转发过来的证书申请请求之后，对该请求进行相应的解析，获得请求中的设备串号和公钥，然后对该设备串号和公钥进行哈希运算，并对运算结果使用运营商ca的私钥进行加密，从而实现数字签名，得到一个签名值。运营商ca根据该签名值和从证书申请请求中获取的设备串号和公钥，生成针对所述基站设备的可信设备证书。

在本发明可选实施例中，所述将所述证书申请请求发送至所述证书分发服务器之前，所述方法还包括：第二认证服务器签发所述基站设备的证书，并将签发的证书作为所述预置证书下发至所述基站设备，所述预置证书表示所述基站设备在所述设备商证书机构中的合法性；

所述第二认证服务器向所述证书分发服务器发送设备商的根证书、以及在所述设备商证书机构中具有合法性的基站设备的串号。

具体来说，在基站设备被安装激活前，设备商ca向该基站设备签发证明合法性的证书，通过联网的方式或手动存储的方式，将该证书预置到基站设备中。此外，运营商ca向证书分发服务器发送根证书和基站设备的串号，以便根据该根证书和基站设备的串号形成设备白名单。

在本发明可选实施例中，所述方法还包括：所述证书分发服务器将接收到所述根证书和所述基站设备的串号进行存储形成授权设备白名单，所述授权设备白名单用于验证所述基站设备发送的预置证书和设备串号的有效性。

通过本发明实施例的技术方案，在基站设备安装之前，基站设备中预置了设备商授权的证书；此外，证书分发服务器也获得设备商的根证书，以及针对基站设备的串号，从而形成设备白名单。当基站设备安装启动后，产生一条证书申请请求，并将该证书申请请求通过证书分发服务器发送至第一认证服务器(即运营商ca)，第一认证服务器接收到该请求后，向基站设备签发可信设备证书。因此，通过本发明实施例，可以具有以下有益效果：1)实现了基站设备证书的在线分发和自动配置，有效的解决了配置复杂、工作量大和易出错的问题；2)基站设备的证书统一向运营商ca申请，能够有效解决设备商私自接入基站的问题；3)采用设备商ca签发预置证书来临时标识设备的合法身份，并通过数字签名和设备白名单技术来对证书申请请求进行合法性验证，能够确保证书申请请求由合法设备发起，并保证请求信息的完整性，有效解决了证书请求被恶意篡改或假冒的风险。

本发明实施例还公开了另一种基站设备的证书分发方法，如3所示，所述证书分发方法包括以下步骤：

步骤301：签发设备证书。

设备商根据基站设备的相应信息，签发由设备商授权认证的证书。

步骤302：预置设备证书。

将签发的设备证书预置到基站设备的可信环境中，如设备证书安全存储模块。

步骤303：安全存储设备证书和私钥。

基站设备安全存储预置证书和属于基站设备本身的私钥。

步骤304：同步授权设备串号列表和根证书。

设备商ca将其根证书和预置了证书的设备串号同步至证书分发服务器。

步骤305：存储设备串号列表和根证书。

证书分发服务器存储设备串号列表和设备商ca的根证书，生成设备白名单，用于后续的在线证书申请请求鉴证。

步骤306：产生新的公私钥对。

基站设备在安装后，当基站设备被激活时，产生新的公钥和私钥。

步骤307：生成证书申请请求。

基站设备生成携带有设备串号、公钥和预置证书的证书申请请求。

步骤308：使用设备证书对证书申请请求进行数字签名。

步骤309：证书申请请求(携带有设备串号、公钥、预置证书和签名值)。

基站设备在对证书申请请求进行数字签名后，得到签名值，将该签名值封装至证书申请请求中，此时，该证书申请请求中携带有设备串号、公钥、预置证书和签名值，然后，将该请求发送至证书分发服务器。

步骤310：使用设备商ca根证书验证预置证书的有效性。

步骤311：预置证书通过验证，则验证签名值。

步骤312：签名值通过验证，则检查设备串号是否在授权设备串号列表中。

步骤313：验证通过，转发证书申请请求。

步骤314：根据证书申请请求中的串号和公钥，签发可信设备证书。

步骤315：返回可信设备证书至证书分发服务器。

运营商ca将签发的可信设备证书发送至证书分发服务器。

步骤316：返回可信设备证书至基站设备。

证书分发服务器将接收到的可信设备证书发送至基站设备。

步骤317：存储可信设备证书和私钥。

基站设备接收到可信设备证书后，将该可信设备证书进行存储，以便使用该证书来对基站设备进行接入认证，此外，私钥也进行存储。

通过本发明实施例的技术方案，可以具有以下有益效果：1)基站设备证书的在线分发和自动配置，有效的解决了配置复杂、工作量大和易出错的问题；2)基站设备的证书统一向运营商ca申请，能够有效解决设备商私自接入基站的问题；3)采用设备商ca签发预置证书来临时标识设备的合法身份，并通过数字签名和设备白名单技术来对证书申请请求进行合法性验证，能够确保证书申请请求由合法设备发起，并保证请求信息的完整性，有效解决了证书请求被恶意篡改或假冒的风险。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等，均包含在本发明的保护范围之内。