[发明专利]基于OCSP实现家庭基站准入控制的方法、设备及系统

说明书

本发明提供了一种基于OCSP实现家庭基站准入控制的方法、设备及系统，涉及家庭基站认证领域，其中方法包括：接收安全网关发送的OCSP证书状态查询请求，其中OCSP证书状态查询请求包括待验证的基站证书，且基站证书中包括待验证家庭基站的设备信息；发送OCSP证书状态查询请求至OCSP服务器；解析OCSP证书状态查询请求中的设备信息，根据设备信息向设备准入控制单元发送设备准入查询请求；接收OCSP证书状态查询响应信息和设备准入查询响应信息；生成最终OCSP证书状态查询响应信息并发送至安全网关。

技术领域

本发明主要涉及家庭基站认证领域，尤其是一种基于OCSP实现家庭基站准入控制的方法、设备及系统。

背景技术

家庭基站，又称HeNB(Home evolved Node B，家庭演进基站)，是一种小型化、低功率蜂窝技术，通过固网宽带接入到移动核心网，为用户提供包括传统蜂窝移动通信基础业务在内的固定移动融合业务。目前3GPP HeNB安全规范TS 33.320已经定义了HeNB的认证方式，HeNB与安全网关之间采用数字证书进行设备双向认证。

在安全网关接收到HeNB基站发送的因特网密匙交换-认证IKE_AUTH消息后，安全网关验证设备证书的有效性，仅当设备持有自己的合法证书时，安全网关才允许基站接入。通常情况下，只要基站持有合法的设备证书就可成功完成与安全网关之间的认证。而该方案通过证书是否被吊销实现证书的准入控制，即为只要给基站颁发了合法的证书就表示该基站具备接入权限，而若需要限制基站接入，则需吊销基站持有的证书。

在部分可能由于一些其他原因导致基站不能接入的情况下，例如某基站设备被入侵或频繁攻击网络时，需要阻止该设备接入网络，按照上述方案，需要将基站设备的证书进行吊销处理来防止其接入到移动核心网，由于证书吊销之后不可恢复，因此当基站设备修复之后，基站需要重新向证书授权中心CA申请设备证书，尤其在CA机构不支持设备在线申请数字证书的情况下，还需要人工介入进行设备证书配置，流程复杂，效率低下。且在对基站进行准入控制时，往往还由于如资费等其他因素不允许其接入，在相似的该类情况下进行设备证书吊销来阻止其接入显然不是一种合理的解决措施，现有家庭基站准入控制方案不能灵活实现设备准入控制，限制了设备的应用规模。

发明内容

本发明提供一种基于OCSP实现家庭基站准入控制的方法、设备及系统，用来解决现有家庭基站准入控制方案不能灵活实现设备准入控制，限制设备的应用规模的问题。

为了解决上述技术问题，本发明采用如下技术方案：

一方面，本发明提供了一种基于在线证书状态查询协议OCSP实现家庭基站准入控制的方法，应用于OCSP代理服务器，所述方法包括：

接收安全网关发送的OCSP证书状态查询请求，其中所述OCSP证书状态查询请求包括待验证的基站证书，且所述基站证书中包括待验证家庭基站的设备信息；

发送所述OCSP证书状态查询请求至OCSP服务器；

解析所述OCSP证书状态查询请求中的所述设备信息，根据所述设备信息向设备准入控制单元发送设备准入查询请求；

接收所述OCSP服务器获取所述OCSP证书状态查询请求后下发的OCSP证书状态查询响应信息和接收所述设备准入控制单元获取所述设备准入查询请求后下发的设备准入查询响应信息；

根据所述OCSP证书状态查询响应信息及所述设备准入查询响应信息，生成最终OCSP证书状态查询响应信息并发送至所述安全网关。

可选地，所述根据所述OCSP证书状态查询响应信息及所述设备准入查询响应信息，生成最终OCSP证书状态查询响应信息，包括：

解析所述设备准入查询响应信息，获取设备准入查询结果；