[发明专利]提高网络安全性的方法、装置和系统

说明书

技术领域

本发明实施例涉及通信技术领域，尤其涉及提高网络安全性的方法、装置和系统。

背景技术

安全组网场景下，网元会自动向运营商公共密钥基础设施(PKI，Public Key Infrastructure)系统申请设备证书，PKI系统对网元身份识别通过后，为该网元颁发证书。以此证书作为身份凭证，可以穿透运营商的安全网关和防火墙，且被安全域内的网元所信任。证书承载在实现该网元功能的物理实体上，实现该网元功能的物理实体可称为网元设备，承载在该网元设备上的证书与该网元设备的标识(简称为网元设备标识)绑定。承载在网元设备上的证书具体可承载在该网元设备的一块单板上。

如果网元被撤掉或网元更换网元设备，则被撤下来的网元设备有可能进入运营商无法控制的范围(如设备商、外包维修商)，但该网元设备上的证书仍然是有效的。一旦证书被泄露，就有被利用入侵运营商网络的风险。例如，接触到该网元设备的人员利用其证书接入运营商网络对使用该网元设备的网络进行攻击，可能的攻击形式包括：

-将证书拷贝出去，通过其他设备接入网络，对网络发起攻击

-控制此网元设备非法接入网络，对安全域内网络发起泛洪攻击

-控制此网元设备向安全域内网元发起其他攻击

发明内容

有鉴于此，本发明实施例提供了提升网络安全性的方法、装置和系统，以实现在对脱离网络环境的网元设备，自动撤销其数字证书，保证运营商设备证书不被非法利用，提高运营商网络的安全性。

第一方面，提供一种提高网络安全性的方法，包括：网管存储第一列表，所述第一列表用来保存网元正在使用的证书信息，所述第一列表包括网元标识(ID，identity)，网元设备标识(ID，identity)，证书的颁发者和证书的序列号；网管确定所述第一列表中的证书信息所对应的证书需要被撤销时，根据所述证书信息生成证书撤销请求文件，并使所述第一列表中的证书信息从第一列表中去掉；所述证书撤销请求文件用于请求对所述需要被撤销的证书进行撤销；网管将所述证书撤销请求文件发送给公共密钥基础设施(PKI)系统。

第一方面的第一种可能的实现方式中，所述网管确定所述第一列表中的证书信息所对应的证书需要被撤销时，根据所述证书信息生成证书撤销请求文件包括：网管存储第二列表，所述第二列表用来保存需要撤销的证书信息，网管确定所述第一列表中的证书信息所对应的证书需要被撤销时，将所述证书消息转移到第二列表，网管根据第二列表中的证书信息生成证书撤销请求文件。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述网管确定所述第一列表中的证书信息需要被撤销包括：通过确定所管理的网元设备被更换，或网元被废弃确定所述第一列表中的证书信息需要被撤销。

结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，还包括：网管接收所管理的网元上报的证书消息，所述证书消息包括证书信息，所述证书信息包括该网元的网元ID，网元设备的ID，证书的颁发者和证书的序列号；网管通过确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备ID不一致确定上报证书消息的网元的网元设备被更换。

结合第一方面的第三种可能的实现方式，在第四种可能的实现方式中，还包括：将上报的证书消息中的证书信息移入第一列表。

结合第一方面或第一方面的第一或第二种实现方式，在第五种可能的实现方式中，还包括：网管接收所管理网元上报的证书消息，所述证书消息包括证书信息，所述证书信息包括该网元的网元ID，该网元中的网元设备的ID，证书的颁发者和证书的序列号；网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表。

结合第一方面的第五种可能的实现方式，在第六种可能的实现方式中，网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表包括：网管确定第一列表中没有网元上报的该网元的网元设备的ID时，将所接收的所管理网元的网元设备上报的证书消息中的证书信息移入第一列表。

结合第一方面的第五种可能的实现方式，在第七种可能的实现方式中，网管根据所接收的证书消息中的证书信息和第一列表中的证书信息更新第一列表包括：网管确定所接收的网元的网元设备的证书消息中的网元设备的ID和第一列表中已保存的该网元的网元设备的ID一致，但序列号不一致时，更新第一列表中该网元的网元设备的证书信息中的序列号。