[发明专利]建立IPSec隧道的方法及系统

权利要求书

1.一种建立网络协议安全IPSec隧道的方法，其特征在于，包括：

在基站启动内部自发现功能的条件下，所述基站向配置服务器请求第一配置参数，并根据所述配置服务器响应的第一配置参数向认证中心CA服务器请求数字证书；

所述基站根据获取的所述数字证书与安全网关建立临时IPSec隧道，并通过所述临时IPSec隧道向后台网络管理单元请求第二配置数据；

所述基站在获取到所述第二配置数据后，拆除所述临时IPSec隧道，并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道。

2.根据权利要求1所述的方法，其特征在于，基站向配置服务器请求第一配置参数，包括：

所述基站与所述配置服务器建立传输层安全协议TLS链路，并向所述配置服务器请求第一配置参数。

3.根据权利要求1所述的方法，其特征在于，所述第一配置参数包括：所述基站临时的传输IP地址、安全网关建立IPSec隧道的IP地址、CA服务器的地址、证书路径、生成证书公钥长度和后台网络管理单元的IP地址。

4.根据权利要求3所述的方法，其特征在于，根据所述配置服务器响应的第一配置参数向CA服务器请求数字证书，包括：

所述基站获取配置服务器响应的所述第一配置数据后，利用证书管理协议向所述CA服务器请求颁发基站实体证书以及CA服务器的根CA证书。

5.根据权利要求1所述的方法，其特征在于，所述基站根据获取的所述数字证书与安全网关建立临时IPSec隧道，包括：

所述基站向所述安全网关发起通过公钥基础设施PKI认证方式建立所述临时IPSec隧道的请求；

所述基站与所述安全网关交互各自的实体证书，在所述实体证书验证成功后，建立所述基站与所述安全网关之间的所述临时IPSec隧道。

6.根据权利要求1所述的方法，其特征在于，所述基站通过所述临时IPSec隧道向后台网络管理单元请求第二配置数据，包括：

所述基站基于所述临时IPSec隧道向部署于核心网内的所述后台网络管理单元发送建链请求消息；

在所述基站与所述后台网络管理单元的链路建立成功后，所述基站通过安全文件传输协议向所述后台网络管理单元请求所述基站的软件版本包和第二配置数据；

所述后台网络管理单元判断数据库中的基站软件版本是否比当前版本新，如果是，则将所述软件版本包和第二配置数据发送至所述基站，否则只发送所述第二配置数据至所述基站。

7.根据权利要求6所述的方法，其特征在于，所述基站在获取到所述第二配置数据后，拆除所述临时IPSec隧道，并根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道，包括：

所述基站获得最新软件版本包和所述第二配置数据后，通知所述配置服务器释放相关配置资源，拆除与所述安全网关建立的临时IPSec隧道，并所述第二配置数据重新与所述安全网关基于PKI认证方式建立永久的IPSec隧道。

8.根据权利要求1-7任一项所述的方法，其特征在于，所述基站根据所述第二配置数据与所述安全网关之间建立永久的IPSec隧道之后，还包括：

所述基站在所述CA服务器颁发给所述基站的数字证书有效期超期之前，向所述CA服务器请求更新所述数字证书或者更新私钥。

9.根据权利要求8所述的方法，其特征在于，所述基站包括以下一种：

宏基站、企业级小型基站PICO、家庭级微型基站Femto。