本發(fā)明提供了一種基于OCSP實(shí)現(xiàn)家庭基站準(zhǔn)入控制的方法、設(shè)備及系統(tǒng)，涉及家庭基站認(rèn)證領(lǐng)域，其中方法包括：接收安全網(wǎng)關(guān)發(fā)送的OCSP證書(shū)狀態(tài)查詢請(qǐng)求，其中OCSP證書(shū)狀態(tài)查詢請(qǐng)求包括待驗(yàn)證的基站證書(shū)，且基站證書(shū)中包括待驗(yàn)證家庭基站的設(shè)備信息；發(fā)送OCSP證書(shū)狀態(tài)查詢請(qǐng)求至OCSP服務(wù)器；解析OCSP證書(shū)狀態(tài)查詢請(qǐng)求中的設(shè)備信息，根據(jù)設(shè)備信息向設(shè)備準(zhǔn)入控制單元發(fā)送設(shè)備準(zhǔn)入查詢請(qǐng)求；接收OCSP證書(shū)狀態(tài)查詢響應(yīng)信息和設(shè)備準(zhǔn)入查詢響應(yīng)信息；生成最終OCSP證書(shū)狀態(tài)查詢響應(yīng)信息并發(fā)送至安全網(wǎng)關(guān)。

技術(shù)領(lǐng)域

本發(fā)明主要涉及家庭基站認(rèn)證領(lǐng)域，尤其是一種基于OCSP實(shí)現(xiàn)家庭基站準(zhǔn)入控制的方法、設(shè)備及系統(tǒng)。

背景技術(shù)

家庭基站，又稱(chēng)HeNB(Home evolved Node B，家庭演進(jìn)基站)，是一種小型化、低功率蜂窩技術(shù)，通過(guò)固網(wǎng)寬帶接入到移動(dòng)核心網(wǎng)，為用戶提供包括傳統(tǒng)蜂窩移動(dòng)通信基礎(chǔ)業(yè)務(wù)在內(nèi)的固定移動(dòng)融合業(yè)務(wù)。目前3GPP HeNB安全規(guī)范TS 33.320已經(jīng)定義了HeNB的認(rèn)證方式，HeNB與安全網(wǎng)關(guān)之間采用數(shù)字證書(shū)進(jìn)行設(shè)備雙向認(rèn)證。

在安全網(wǎng)關(guān)接收到HeNB基站發(fā)送的因特網(wǎng)密匙交換-認(rèn)證IKE_AUTH消息后，安全網(wǎng)關(guān)驗(yàn)證設(shè)備證書(shū)的有效性，僅當(dāng)設(shè)備持有自己的合法證書(shū)時(shí)，安全網(wǎng)關(guān)才允許基站接入。通常情況下，只要基站持有合法的設(shè)備證書(shū)就可成功完成與安全網(wǎng)關(guān)之間的認(rèn)證。而該方案通過(guò)證書(shū)是否被吊銷(xiāo)實(shí)現(xiàn)證書(shū)的準(zhǔn)入控制，即為只要給基站頒發(fā)了合法的證書(shū)就表示該基站具備接入權(quán)限，而若需要限制基站接入，則需吊銷(xiāo)基站持有的證書(shū)。

在部分可能由于一些其他原因?qū)е禄静荒芙尤氲那闆r下，例如某基站設(shè)備被入侵或頻繁攻擊網(wǎng)絡(luò)時(shí)，需要阻止該設(shè)備接入網(wǎng)絡(luò)，按照上述方案，需要將基站設(shè)備的證書(shū)進(jìn)行吊銷(xiāo)處理來(lái)防止其接入到移動(dòng)核心網(wǎng)，由于證書(shū)吊銷(xiāo)之后不可恢復(fù)，因此當(dāng)基站設(shè)備修復(fù)之后，基站需要重新向證書(shū)授權(quán)中心CA申請(qǐng)?jiān)O(shè)備證書(shū)，尤其在CA機(jī)構(gòu)不支持設(shè)備在線申請(qǐng)數(shù)字證書(shū)的情況下，還需要人工介入進(jìn)行設(shè)備證書(shū)配置，流程復(fù)雜，效率低下。且在對(duì)基站進(jìn)行準(zhǔn)入控制時(shí)，往往還由于如資費(fèi)等其他因素不允許其接入，在相似的該類(lèi)情況下進(jìn)行設(shè)備證書(shū)吊銷(xiāo)來(lái)阻止其接入顯然不是一種合理的解決措施，現(xiàn)有家庭基站準(zhǔn)入控制方案不能靈活實(shí)現(xiàn)設(shè)備準(zhǔn)入控制，限制了設(shè)備的應(yīng)用規(guī)模。

發(fā)明內(nèi)容

本發(fā)明提供一種基于OCSP實(shí)現(xiàn)家庭基站準(zhǔn)入控制的方法、設(shè)備及系統(tǒng)，用來(lái)解決現(xiàn)有家庭基站準(zhǔn)入控制方案不能靈活實(shí)現(xiàn)設(shè)備準(zhǔn)入控制，限制設(shè)備的應(yīng)用規(guī)模的問(wèn)題。

為了解決上述技術(shù)問(wèn)題，本發(fā)明采用如下技術(shù)方案：

一方面，本發(fā)明提供了一種基于在線證書(shū)狀態(tài)查詢協(xié)議OCSP實(shí)現(xiàn)家庭基站準(zhǔn)入控制的方法，應(yīng)用于OCSP代理服務(wù)器，所述方法包括：

接收安全網(wǎng)關(guān)發(fā)送的OCSP證書(shū)狀態(tài)查詢請(qǐng)求，其中所述OCSP證書(shū)狀態(tài)查詢請(qǐng)求包括待驗(yàn)證的基站證書(shū)，且所述基站證書(shū)中包括待驗(yàn)證家庭基站的設(shè)備信息；

發(fā)送所述OCSP證書(shū)狀態(tài)查詢請(qǐng)求至OCSP服務(wù)器；

解析所述OCSP證書(shū)狀態(tài)查詢請(qǐng)求中的所述設(shè)備信息，根據(jù)所述設(shè)備信息向設(shè)備準(zhǔn)入控制單元發(fā)送設(shè)備準(zhǔn)入查詢請(qǐng)求；

接收所述OCSP服務(wù)器獲取所述OCSP證書(shū)狀態(tài)查詢請(qǐng)求后下發(fā)的OCSP證書(shū)狀態(tài)查詢響應(yīng)信息和接收所述設(shè)備準(zhǔn)入控制單元獲取所述設(shè)備準(zhǔn)入查詢請(qǐng)求后下發(fā)的設(shè)備準(zhǔn)入查詢響應(yīng)信息；

根據(jù)所述OCSP證書(shū)狀態(tài)查詢響應(yīng)信息及所述設(shè)備準(zhǔn)入查詢響應(yīng)信息，生成最終OCSP證書(shū)狀態(tài)查詢響應(yīng)信息并發(fā)送至所述安全網(wǎng)關(guān)。

可選地，所述根據(jù)所述OCSP證書(shū)狀態(tài)查詢響應(yīng)信息及所述設(shè)備準(zhǔn)入查詢響應(yīng)信息，生成最終OCSP證書(shū)狀態(tài)查詢響應(yīng)信息，包括：

解析所述設(shè)備準(zhǔn)入查詢響應(yīng)信息，獲取設(shè)備準(zhǔn)入查詢結(jié)果；