CN101883123A - 对电信设备安全状态验证的方法、设备和系统 - Google Patents
对电信设备安全状态验证的方法、设备和系统 Download PDFInfo
- Publication number
- CN101883123A CN101883123A CN2009101393473A CN200910139347A CN101883123A CN 101883123 A CN101883123 A CN 101883123A CN 2009101393473 A CN2009101393473 A CN 2009101393473A CN 200910139347 A CN200910139347 A CN 200910139347A CN 101883123 A CN101883123 A CN 101883123A
- Authority
- CN
- China
- Prior art keywords
- assembly
- state information
- attribute information
- safety state
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了对电信设备的安全状态验证的方法、设备和系统,其中方法包括:接收来自电信设备的安全状态信息,该信息包括构成电信设备的至少一个组件的标识以及该组件的至少一种属性信息;根据安全策略,对安全状态信息进行安全验证得到验证结果;至少根据验证结果,对电信设备进行控制。基于对电信设备进行组件划分后,通过向网络侧设备上报包括组件的标识和该组件的属性信息的安全状态信息,由网络侧设备验证该电信设备的安全状态信息给出验证结果,实现了对电信设备的安全状态验证,以及根据验证结果,执行相应的控制,从而实现了对欲接入核心网络的电信设备的接入控制,保证了核心网的安全性和可靠性。
Description
技术领域
本发明涉及通信领域,特别涉及对电信设备的安全状态验证的方法、接入控制的方法、设备和系统。
背景技术
随着通信技术的发展,用户接入核心网的方式多种多样(如通过无线接入网接入等),无论是哪种接入方式,都需要保证核心网的安全,从而能够为用户提供安全、可靠的服务。因此,不但需要对位于核心网内的电信设备进行有效的安全控制,还需要对上述各接入方式所对应的接入该核心网的电信设备(为了便于说明,将该类电信设备称为接入设备)进行有效的接入控制。
然而,随着移动通信正成为最重要的网络接入方式,移动通信IP化的进程造成整个网络面临的威胁逐渐增多;网络结构扁平化的发展,使得原本处于运营商控制下的接入设备逐渐向用户端渗透。甚至在有些通信系统中的接入设备已经处于运营商可控网络的范围之外,例如,LTE(Long Term Evolution,长期演进)网络中的eNB(eNodeB,基站),或者UMTS(Universal MobileTelecommunications System,通用移动通讯系统)中的HNB(Home NodeB,毫微微蜂窝式基站),LTE系统中的HeNB(Home e NodeB,毫微微蜂窝式基站),或者WLAN(Wireless Local Area Network,无线局域网)中的AP(Access Point,无线接入点)等等,这些接入设备通过开放的不安全的承载网络(如IP网络)接入运营商的核心网,由于这些物理上不安全的接入设备本身就会面临各种各样的安全威胁,这些不安全的接入设备一旦接入网络,就会严重影响核心网的整网安全。
目前业界迫切需要一种对上述物理不安全的接入设备进行接入控制的方案。
发明内容
本发明实施例提供对电信设备的安全状态验证的方法、设备和系统,以对电信设备的安全状态进行验证,以及对接入核心网的电信设备进行有效的接入控制。
所述技术方案如下:
一方面,提供了一种对电信设备的安全状态验证的方法,所述方法包括:
接收来自电信设备的安全状态信息,所述安全状态信息包括:构成所述电信设备的至少一个组件的标识以及该组件的至少一种属性信息;
根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果。
再一方面,提供了一种接入控制的方法,接入设备为位于安全网络之外的任一电信设备,所述方法包括:
接收来自所述接入设备的安全状态信息,所述安全状态信息包括:构成所述接入设备的至少一个组件的标识以及该组件的至少一种属性信息;
根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果;
至少根据所述验证结果,对所述接入设备进行接入控制。
再一方面,提供了一种电信设备,所述电信设备包括:
收集单元,用于根据构成所述电信设备的组件,收集所述电信设备的安全状态信息,所述安全状态信息包括构成所述电信设备的至少一个组件的标识以及所述组件的至少一种属性信息;
发送单元,用于向网络侧设备发送所述收集单元收集的所述安全状态信息,以使得所述网络侧设备对所述安全状态信息进行安全验证。
再一方面,提供了一种网络侧设备,所述网络侧设备包括:
接收单元,用于接收来自接入设备发送的安全状态信息,所述安全状态信息包括构成所述接入设备的至少一个组件标识和所述组件对应的至少一种属性信息;
验证单元,用于根据安全策略,对所述接收单元接收的安全状态信息进行验证,得到验证结果;
控制单元,用于至少根据所述验证单元的验证结果,对所述接入设备进行接入控制。
再一方面,提供了一种安全验证设备,所述设备包括:
接收单元,用于接收来自电信设备的安全状态信息,所述安全状态信息包括:构成所述电信设备的至少一个组件的标识以及该组件的至少一种属性信息;
验证单元,用于根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果。
再一方面,提供了一种网络系统,所述系统包括:接入设备和网络侧设备,其中,
所述接入设备,用于收集所述接入设备的安全状态信息,并向所述网络侧设备发送,所述安全状态信息包含所述收集的至少一个组件的标识以及所述组件的至少一种属性信息;
所述网络侧设备,用于接收所述接入设备发送的安全状态信息;根据安全策略,对所述安全状态信息进行验证得到验证结果;并至少根据所述验证结果,对所述接入设备进行接入控制。
再一方面,提供了一种网络系统,所述系统包括:电信设备和安全状态验证设备,其中,
所述电信设备,用于收集所述电信设备的安全状态信息,并向所述安全状态验证设备发送,所述安全状态信息包含收集的至少一个组件的标识以及所述组件的至少一种属性信息;
所述安全状态验证设备,用于接收所述电信设备发送的安全状态信息,所述安全状态信息包含所述收集的至少一个组件的标识以及所述组件的至少一种属性信息;根据安全策略,对所述接收的安全状态信息进行验证,得到验证结果。
本发明实施例提供的技术方案的有益效果是:
本发明实施例提供的方案中,基于对电信设备的组件按照功能模块划分后,通过向网络侧设备上报包括构成电信设备的至少一个组件和组件的属性信息的安全状态信息,由网络侧设备验证该电信设备的安全状态信息给出验证结果,达到安全验证的目的;并能够根据验证结果,执行相应的控制,从而实现了对欲接入核心网络的电信设备的接入控制,保证了核心网的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例1提供的对电信设备的安全状态验证的方法流程示意图;
图2是本发明实施例1提供的接入控制的方法流程示意图;
图3是本发明实施例2提供的应用场景示意图;
图4是本发明实施例2提供的接入控制的方法流程示意图;
图5是本发明实施例2提供的接入控制的方法交互示意图;
图6是本发明实施例3提供的应用场景示意图;
图7是本发明实施例3提供的接入控制的方法流程示意图;
图8是本发明实施例3提供的接入控制的方法交互示意图;
图9是本发明实施例4提供的应用场景示意图;
图10是本发明实施例4提供的接入控制的方法流程示意图;
图11是本发明实施例4提供的接入控制的方法交互示意图;
图12是本发明实施例5提供的电信设备的示意图;
图13是本发明实施例6提供的网络侧设备的示意图;
图14是本发明实施例7提供的安全状态验证设备的示意图;
图15是本发明实施例8提供的网络系统的示意图;
图16是本发明实施例9提供的网络系统的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
本领域技术人员可知对于电信设备来说,简单的属性信息的检查无法反映出设备的安全状态,对于电信设备而言更重要的其相关配置、相关参数以及相应的软硬件是否被篡改,这些信息的篡改,可能会严重影响到运营商核心网的安全状态,甚至会造成核心网其他用户被窃听与攻击,严重违反了网络接入控制的要求。有鉴于此,本发明实施例根据电信设备中各功能模块所实现的功能不同,将电信设备划分为不同的组件(即所划分的一个组件对应于电信设备某一功能模块)。相应地,构成这一设备的不同组件本身的安全性最终决定了这一电信设备自身的安全状态,因此,通过对完成特定功能的电信设备的不同组件进行分别验证,实现对该电信设备的安全状态的验证,并可实现对于需要接入核心网的接入设备(其中,本实施例为了便于说明,将位于核心网之外的任一欲接入该核心网的电信设备定义为接入设备,该定义出的接入设备包括但不限于基站、终端、路由器),基于安全状态验证结果从而对该接入设备作出接入控制。
由于电信设备类型多种多样,在对电信设备进行组件划分时,根据电信设备的功能不同,将各组件可以进一步地进行归类划分:公共类组件和定制类组件,其中,
所谓公共类组件是指对于所有电信设备而言,所共同拥有的基础性功能组件,例如:时钟组件(用于提供该电信设备的工作系统时钟)、数据组件(用于完成该电信设备各种配置数据的存储)等等。
所谓定制类组件是指对于电信设备而言,其各自所拥有的除公共类组件之外的组件,可以理解为某类电信设备的个性化组件,例如,对于基站而言所划分出的射频组件等等。
当对于某一电信设备进行了组件划分后,各组件也会相应具有其各自的属性信息,例如,关键配置信息、软硬件模块信息、产品信息、安全相关数据信息、IP地址信息等等。一般情况下,各组件都会具有这些属性信息,特别是针对定制类组件而言,其属性信息可能还包括其他相应的属性信息,本实施例对此不做限制。
特别需要注意的是,由于电信网络自身的特点,在对接入设备进行接入控制时,对于电信设备的运营商来说,不能因为该接入设备的某一组件的安全状态不符合核心网的安全策略,就拒绝该接入设备接入网络,这样不仅会严重影响运营商用户的体验,而且也不符合电信网络的特点。因此,对于电信网络来说,需要根据电信设备的不同组件的安全状态或者不同组件不同属性的安全策略满足情况,来灵活采取对设备的接入控制。
基于上述电信设备的组件的划分以及各组件属性的描述,本发明实施例针对电信设备定义了该电信设备的安全状态信息,该安全状态信息包括:设备的组件以及该组件的属性信息,参见图1,本发明实施例提供了一种对电信设备的安全状态验证的方法,该方法包括:
C1:接收来自电信设备的安全状态信息,该安全状态信息包括:构成电信设备的至少一个组件的标识以及该组件的至少一种属性信息;
这里的组件的标识,应当理解为用于描述该组件的信息,可以是组件的名称、也可以是组件的类型,也可以是组件的数字标识,包括但不限于此。
C2:根据安全策略,对接收的安全状态信息进行安全验证,得到验证结果。
这里的验证结果可以存储或维护起来,供其他实体查询。以及,这里的安全策略可以是预设在该方法执行主体中的,也可以是从策略服务器那里动态获得的,包括但不限于此。
其中,步骤C2所涉及的根据安全策略,对接收的安全状态信息进行安全验证,得到验证结果的步骤,包括:
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息匹配时,则所述验证结果为通过;
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过。
或者,
判断接收到的至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向电信设备发送安全状态信息请求,安全状态信息请求携带欲验证的组件标识,或,向电信设备发送错误信息;如果组件标识匹配,则针对至少一个组件,判断组件的属性信息是否与网络侧存储的属性信息匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。
其中,判断组件的属性信息是否与网络侧存储的属性信息匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过,具体又可以包括:
针对至少一个组件,判断该组件的至少一种属性信息对应的属性在网络侧是否存在对应的参考属性;如果不存在,则向电信设备发送安全状态信息请求,该安全状态信息请求用于向电信设备请求该组件的新的属性,或,向电信设备发送错误信息;如果存在,则判断组件的属性信息与网络侧存储的对应参考属性值是否匹配;如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。
其中,组件包括公共类组件中的一个或多个,和/或定制类组件中的一个或多个,如前,公共类组件和定制类组件为根据电信设备的功能特性不同划分得到的,其中,
公共类组件至少包括时钟系统组件、底层软件组件、操作系统组件、数据中心组件、维护接口转换模块组件、运行管理OM模块组件、传输协议组件、传输控制模块组件、信令模块组件、传输系统组件中的一个或多个;
定制类组件至少包括基带系统组件、射频系统组件、流控制传输协议SCTP协议状态组件、交换系统组件、转发系统组件、业务接口模块组件、各业务模块组件、网络接口模块组件中的一个或多个;
相应地,
组件的属性信息包括关键配置信息、软硬件模块信息、产品信息、安全相关数据信息、电信设备的IP地址信息、位置信息或端口号信息、配置是否成功信息、安全状态验证结果信息、修复建议信息以及出错提示信息中的一个或多个。
本发明实施例的方法执行主体可以是安全网关SeGW、接入网关AG、验证、授权和记账服务器AAAserver、归属地位置寄存器HLR、归属用户服务器HSS、操作管理和维护服务器OAM server、接入节点归属地注册器AHR、移动性管理实体MME、接入节点管理器APM。
本发明实施例提供的方法中所涉及的电信设备可以为位于安全网络(如核心网)之内的任一电信设备,也可以为位于安全网络之外欲接入该安全网络的任一电信设备(包括但不限于基站、终端等),如果具体为位于安全网络之外的电信设备时,则上述安全状态信息承载在流控制传输协议SCTP消息的数据域中。
进一步地,在上述步骤C1所涉及的接收来自电信设备的安全状态信息的步骤之前,本发明实施例的方法还包括:根据安全策略,向电信设备发送安全状态信息请求,该安全状态信息请求用于向电信设备请求该网络侧设备欲验证的组件标识和/或该组件的属性信息,即,该安全状态信息请求用于指示电信设备返回的安全状态信息中携带网络侧设备所希望获取的组件标识和/或组件的属性信息。
综上,基于对电信设备按照功能模块划分为不同组件后,通过向网络侧设备上报包括构成电信设备的至少一个组件和该组件的属性信息的安全状态信息,由网络侧设备验证该电信设备的安全状态信息给出验证结果,达到安全验证的目的。
另参见图2,本发明实施例提供了一种接入控制方法,其中,定义接入设备为位于安全网络之外的任一电信设备,该接入设备欲接入该安全网络,则该方法如下:
S1:接收来自接入设备的安全状态信息,该安全状态信息包括:构成电信设备的至少一个组件的标识以及该组件的至少一种属性信息;
这里的组件的标识,应当理解为用于唯一描述或标识该组件的信息,可以是组件的名称、也可以是组件的类型,也可以是组件的数字标识,包括但不限于此。
S2:根据安全策略,对接收的安全状态信息进行安全验证,得到验证结果;
这里的验证结果可以存储或维护起来,供其他实体查询。以及,这里的安全策略可以是预设在该方法执行主体中的,也可以是从策略服务器那里动态获得的,包括但不限于此。
S3:至少根据验证结果,对接入设备进行接入控制。
其中,上述步骤S2所涉及的根据安全策略,对接收的安全状态信息进行安全验证,得到验证结果的步骤,包括:
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息匹配时,则所述验证结果为通过;
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过。
或者,
判断接收到的至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向接入设备发送安全状态信息请求,安全状态信息请求携带欲验证的组件标识,或,向接入设备发送错误信息;如果组件标识匹配,则针对至少一个组件,判断组件的属性信息是否与网络侧存储的属性信息匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。
其中,判断组件的属性信息是否与网络侧存储的属性信息匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过,具体又可以包括:
针对至少一个组件,判断该组件的至少一种属性信息对应的属性在网络侧是否存在对应的参考属性;如果不存在,则向接入设备发送安全状态信息请求,该安全状态信息请求用于向接入设备请求该组件的新的属性,或,向接入设备发送错误信息;如果存在,则判断所述组件的属性信息与网络侧存储的对应参考属性值是否匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。
其中,组件包括公共类组件中的一个或多个,和/或定制类组件中的一个或多个,如前,公共类组件和定制类组件为根据电信设备的功能特性不同划分得到的,其中,
公共类组件至少包括时钟系统组件、底层软件组件、操作系统组件、数据中心组件、维护接口转换模块组件、运行管理OM模块组件、传输协议组件、传输控制模块组件、信令模块组件、传输系统组件中的一个或多个;
定制类组件至少包括基带系统组件、射频系统组件、流控制传输协议SCTP协议状态组件、交换系统组件、转发系统组件、业务接口模块组件、各业务模块组件、网络接口模块组件中的一个或多个;
相应地,
组件的属性信息包括关键配置信息、软硬件模块信息、产品信息、安全相关数据信息、电信设备的IP地址信息、位置信息或端口号信息、配置是否成功信息、安全状态验证结果信息、修复建议信息以及出错提示信息中的一个或多个。
其中,步骤S3所涉及的根据验证结果,对接入设备进行接入控制的步骤,包括:
根据该验证结果和接入策略,对接入设备进行接入控制。具体包括:
如果所有验证结果为通过,则允许接入设备完全接入安全网络,享有接入设备所对应的所有服务;或者,
如果所述验证结果为接入设备的公共类组件的一个或多个属性信息和网络侧对应的参考属性值不匹配,且所述一个或多个的属性信息对应的属性对安全网络的安全威胁系数低于安全威胁系数参考值,则允许接入设备接入安全网络,但对接入设备享有服务的权限进行限制;或者,
如果所述验证结果为接入设备的公共类组件的任一属性信息和网络侧对应的参考属性值不匹配,且该任一属性信息对应的属性对安全网络的安全危险系数高于安全威胁系数参考值,则允许接入设备与安全网络建立连接,但对接入设备享有服务的权限进行限制;
特别是,当接入设备为家庭基站HNB时,根据验证结果和接入策略,对接入设备进行接入控制的步骤,包括:
如果验证结果为接入设备的公共组件的属性信息的验证都未通过验证(即该接入设备的公共组件的属性信息和网络侧对应的参考属性值都不匹配),则拒绝接入设备接入安全网络。
其中,安全状态信息承载在流控制传输协议SCTP消息的数据域中。
在上述步骤S2所涉及的接收来自接入设备的安全状态信息的步骤之前,方法还包括:
根据安全策略,向接入设备发送安全状态信息请求,该安全状态信息请求用于向接入设备请求网络侧设备欲验证的组件标识和/或该组件的属性信息,即该安全状态信息请求用于指示接入设备返回的安全状态信息中携带网络侧设备所希望获取的组件标识和/或该组件的属性信息。
本发明实施例的方法执行主体可以是安全网关SeGW、接入网关AG、验证、授权和记账服务器AAAserver、归属地位置寄存器HLR、归属用户服务器HSS、操作管理和维护服务器OAM server、接入节点归属地注册器AHR、移动性管理实体MME、接入节点管理器APM。
综上所述,基于对电信设备按照功能模块划分为不同组件后,通过向网络侧设备上报包括构成电信设备的至少一个组件和组件的属性信息的安全状态信息,由网络侧设备验证该电信设备的安全状态信息给出验证结果,根据验证结果,执行相应的接入控制,例如,安全网络以核心网为例,实现了对位于核心网外的欲接入该核心网的接入设备的接入控制,保证了核心网的安全性和可靠性。
实施例2
本发明实施例提供了一种接入控制方法,参见图3,为本发明实施例2提供的该方法的应用场景示意图,其中,本发明实施例中电信设备以HNB为例进行说明,该HNB为家用基站,通常该HNB为单独的用户终端UE提供接入核心网的服务,UE可以利用该HNB通过IP网络连接到核心网,参见图4,本发明实施例提供的方法,内容如下:
101:HNB加电启动,在该加电启动过程中HNB收集自身的安全状态信息,该安全状态信息包括:该HNB的各组件以及各组件的属性信息。
如前所述,电信设备会按照各模块的功能不同,相应地划分出各组件,且各组件具有各自的属性信息。参见表1,为本发明实施例提供的组件和属性信息示意表。
表1
其中,如表1所示,MUST(必须存在)表示该MUST对应位置的属性信息为必须的存在的;MUST NOT(不需要存在)表示该MUSTNOT对应位置属性信息为不需要;SHOULD(应该存在)表示该SHOULD对应的位置的属性信息为应该存在;MAY(可能存在)表示该MAY对应的位置的属性信息为可能存在。
再如表1所示,公共组件包括:时钟系统、底层软件、操作系统、数据中心(用于完成各种配置数据的存储)、维护接口转换模块(用于将外部命令转换成内部消息)、OM(Operation Management,运行管理)(用于完成设备的配置、告警管理、软件升级和加载,以及设备状态的管理等功能)、传输协议组件、传输控制模块(用于完成传输协议组件的适配,传输层相关参数的配置和维护以及资源的管理)、信令模块(用于对无线资源管理的算法、参数配置管理流程的处理)以及传输系统等;
个性化组件包括:基带系统、射频系统、SCTP(Stream Control TransmissionProtocol,流控制传输协议)协议状态、交换系统、转发系统、业务接口模块、各业务模块、网络接口模块等;
其中,各组件的属性信息包括:关键配置信息、软硬件模块信息、产品信息、安全相关数据、IP地址、位置信息或端口号、配置是否成功、安全状态验证结果、修复建议以及出错提示等,如表1所示,一般情况下每个组件会具有这些属性信息。
其中,为了便于管理,在一种实现下,可以在网络侧设备或接入设备分别维护一张组件类型与组件标识的关系表,参见表2,为本发明实施例提供的一种示意表。
表2
其中,如表2所示,组件标识用于唯一描述或唯一标识某一组件的信息,如表2所示,该组件标识具体通过数字实现,其中通过数字实现时,还可以通过数字的某些位标识出该组件是属于公共类组件还是属于定制类组件,例如,使用最高位“1”指示出该组件隶属公共类组件,使用最高位“2”指示出该组件隶属于定制类组件;可选地,还可以通过预设的指示位标识该组件是属于公共类组件还是属于定制类组件。另外可选地,该组件标识,也可以直接通过组件的名称或组件的类型实现。具体可以是,在接入设备HNB和网络侧设备AG处分别维护一个关系映射表,包括:组件类型:组件标识;属性类型:属性标识。
其中,收集自身的安全状态信息的动作可以由HNB的某一逻辑功能模块(例如,可以是TrE,也可以是其他的功能模块,如IMC(Integrity MeasurementCollector,完整性测量控制器)等)负责根据设备中各组件的启动时序收集该HNB设备的安全状态信息,该安全状态信息包括构成该HNB的至少一个组件以及该组件的至少一种属性信息。
102:HNB完成启动后,向网络侧AG发起接入请求,并建立与AG之间的链路。
其中,可选地,上述步骤101还可以为HNB正常执行加电启动过程;相应地,步骤102为HNB完成启动后,向网络侧AG发起接入请求,并建立与AG之间的链路,当建立该链路后,HNB收集自身的安全状态信息。本发明对此不做限制。
103:当HNB和AG之间的链路建立成功后,AG根据预设的安全策略向HNB发送安全状态信息请求。
这里的预设的安全策略也可以采用其他实现,如AG从策略服务器动态获得相应的安全策略。
其中,预设的安全策略用于确定需要电信设备上报其自身的安全状态信息的内容,例如,该预设的安全策略可以为:
1、要求HNB设备上报其所有组件的某一(或某一些)属性信息;或,
2、要求HNB设备上报其所有组件的每个组件的所有属性信息;或,
3、要求HNB设备上报其某一(或某一些)组件的所有属性信息;或,
4、要求HNB设备上报其所有的公共类组件的属性信息;或,
5、要求HNB设备上报其部分的公共类组件的属性信息;或,
6、要求HNB设备上报其所有的定制类组件的属性信息;或,
7、要求HNB设备上报其部分的定制类组件的属性信息;等等。本实施例对上述预设的安全策略具体的制定的方式和方法不做限制。
104:HNB接收安全状态信息请求后,从自身收集的安全状态信息中,获得AG希望获取的安全状态信息。
105:HNB通过SCTP传输消息向AG返回获得的安全状态安全信息。
其中,接入设备在接入核心网时,是通过SCTP协议实现的传输控制,本实施例以HNB和AG之间的SCTP协议实现HNB向AG返回安全状态安全信息为例进行说明。本领域技术人员可以获知,基于该SCTP协议,SCTP连接的建立需要两端点双方进行两次交互过程。第一次消息交互用于初始化SCTP连接的相关参数,第二次消息交互用于进行SCTP两端点之间数据的传输。其中,本发明实施例在通过SCTP传输消息向AG返回安全状态安全信息实现时,可以采用以下两种方式:
方式一、利用移动网中的SCTP传输协议连接建立过程中,上述第二次消息交互时可以传输数据的特性,利用第二次消息来承载包含AG所希望获取的该电信设备HNB的安全状态信息。
方式二、当两端点之间成功建立的SCTP连接后,在SCTP连接通道中,用SCTP的数据包搭载携带AG所希望获取的该电信设备HNB的安全状态信息,进而可以实现电信设备与核心网之间进行安全状态信息的传输。
无论是上述那种方式,在利用SCTP消息携带AG所希望获取的该电信设备HNB的安全状态信息时,可以通过扩展SCTP消息的数据块data chunk字段来实现,即利用该字段实现携带安全状态信息的目的。本实施例对此不做限制。
可选地,本发明实施例中以采用的是SCTP协议来传输设备的安全状态信息为例进行说明,而实际应用时,可以采用其他的传输协议,如TCP、UDP等传输协议来实现电信设备的安全状态信息的传输,本实施例对此不做限制。
106:网络侧AG接收HNB发送的安全状态信息后,对该安全状态信息进行安全验证,得出验证结果。具体内容如下:
1061:AG接收安全状态信息,该安全状态信息包含组件和该组件的属性信息;
1062:根据预设的参考值,对HNB上报的各组件的各属性信息进行判断;
其中,根据预设的参考值,对HNB上报的各组件的各属性信息进行判断具体为:将HNB上报的各组件的各属性信息和对应的参考属性值进行比较。例如,比较HNB上报的各组件的各属性信息和预设的参考属性值是否一致(或匹配)。其中,该预设的参考值,可以为AG自身保存的,也可以为AG从核心网的其他设备处获取的,本实施例对此不做限制。
可选地,上述预设的参考值,还可以为预设的参考范围值,则相应地,上述根据预设的参考值,对HNB上报的各组件对应的各属性信息进行判断的步骤,具体为:根据预设的参考范围,对HNB上报的各组件的各属性信息进行判断。例如,判断HNB上报的各组件对应的各属性信息是否在参考范围值之内。其中,该预设的参考范围,可以为AG自身保存的,也可以为AG从核心网的其他设备处获取的,本实施例对此不做限制。
1063:根据判断结果,给出验证结果;
1064;根据验证结果,判断是否还需要向HNB进一步获取安全状态信息,如果是,则AG向HNB发送另一安全状态信息请求消息,用于请求获取其他类型组件的属性信息或请求某组件的其他属性信息,HNB通过SCTP消息响应该另一安全状态信息请求消息,AG继续对该另一安全状态信息进行验证,直到不需要向HNB进一步获取安全状态信息为止。即,如果验证结果为HNB上报的组件的某属性信息与预设的参考属性值不一致;或,HNB上报的组件类型与AG所要求的组件类型不匹配时(如HNB上报的组件类型个数少于网络侧AG所要求的组件类型个数)时,则AG向HNB发送另一安全状态信息请求消息。假设在步骤103中AG要求HNB设备上报其某一组件的所有属性信息,AG发现该组件的所有属性信息中某一个(或某一些)与预设的参考值不一致,则为了保证对HNB的安全性的准确验证,则在该步骤1063之后,AG通过发送另一安全状态信息请求消息,要求HNB设备上报该组件的该不一致的属性信息,同理,HNB通过SCTP消息响应该另一安全状态信息请求消息。本实施例对此不做限制
其中,该步骤1064为可选步骤,即,如果验证结果为HNB上报的组件属性信息全部与网络侧的标准参考值一致,则完成了该验证过程,不需要执行该步骤1064;否则,根据验证结果,执行请求设备更细粒度的安全状态信息。如请求其他类型组件的属性信息或者请求某组件其他的属性信息等,则相应地,AG重新验证细粒度的安全状态信息,直到不需要向HNB进一步获取安全状态信息为止,才算完成了整个验证过程。
107:AG根据验证结果和预设的接入策略,对HNB进行接入控制。具体内容如下:
这里的预设的接入策略也可以采用其他实现,如AG从策略服务器动态获得相应的接入策略。
可选地,该步骤107中,AG还可以向HNB通告验证结果,本实施例对此不做限制。
其中,上述预设的接入策略主要用于针对不同的验证结果,而采取不同的接入决策,即不同的设备安全状态信息验证结果对应了不同的接入方式。其中,具体的接入策略,可以为:
1、如果所有验证结果都符合预设的安全策略,例如:若该HNB设备的公共类的各组件的各属性信息和对应的预设的参考值一致、定制类各组件的各属性信息的值和对应的预设的参考值一致,即验证结果为通过,则允许该HNB设备完全接入核心网,享有该HNB设备对应的所有服务;
2、如果验证结果为接入设备的公共类组件中的某一(或某一些)属性信息和预设的参考值不一致,即验证结果为不满足安全策略;但上述属性信息对应的属性对网络的安全威胁系数较低,在一种实现下即所述属性信息对应的属性对所述安全网络的安全威胁系数低于安全威胁系数参考值,即虽然该属性信息和预设的参考值不一致,不满足安全策略,但是该类属性信息所导致的不满足安全策略不会对网络造成很大影响时(如某些不重要的属性信息没有通过验证的情况),则允许该接入设备接入核心网,但需要限制其对某些服务享用。可选地,为了确保提高本发明实施例提供的方式的使用的灵活性,还可以通告HNB针对该属性信息进行修复;
3、如果验证结果为接入设备的公共组件的某一属性信息和预设的参考值不匹配(即该属性信息不满足安全策略),但该属性信息对应的属性会对网络造成一定影响时(如公共组件中的设备软硬件模块信息的属性信息没有通过验证,而设备软硬件模块信息这一组件属于对核心网危险系数较高的一类属性,在一种实现下即所述属性信息对应的属性对所述安全网络的安全威胁系数高于安全威胁系数参考值),则核心网只允许该接入设备与核心网建立连接,但只能享受某些紧急呼叫服务(如110、120等特殊业务);
4、针对本发明实施例提供的电信设备HNB而言,当该HNB的公共组件的属性信息和预设的参考值不匹配,如,传输控制组件的属性信息跟对应的预设参考值不一致,则AG可以直接拒绝该HNB设备接入网络,需要该HNB设备进行修复,当HNB设备进行修复之后继续经过验证后接入核心网。针对该HNB设备制定这样的接入决策充分考虑到了应用的灵活性和可靠性,原因如下:由于该HNB是部署在个人用户家中的,拒绝其接入对于运营商来说,只影响某一用户的使用,不会造成大规模用户的接入设备,相比核心网的安全还是可取的。但是,对于负责大规模用户接入核心网任务的eNB而言,该方式的可实施性较差。
其中,上述本步骤107所涉及的接入策略,该接入策略可以是预设在AG中的,也可以是AG从策略服务器那里获得的,该策略服务器用于存储接入策略。本实施例对此不做限制。
通过上述步骤101-步骤107,本发明实施例提供了一种对电信设备进行控制的方法,相应地,参见图5,为本发明实施例提供的方法交互示意图,如图5所示,包括:
S1、HNB收集自身的安全状态信息;
S2、HNB请求接入网络,并建立和AG的链路;
S3、AG根据安全策略请求HNB的安全状态信息,例如,请求HNB的定制类组件的所有属性信息;
S4、HNB上报AG所请求的定制类组件的所有属性信息;
S5-6”、AG验证HNB上报的安全状态信息,验证的过程包括:将HNB上报的组件对应的属性信息与网络侧AG处对应的标准参考值进行比较,并给出验证结果;根据验证结果,选择执行步骤6或6’,具体的,如果验证结果为HNB上报的组件属性信息全部与网络侧的标准参考值一致,则执行步骤6;如果验证结果为组件的某属性信息与标准参考值不一致或者HNB上报的组件个数与网络侧AG处的组件个数不匹配,例如:HNB上报的组件个数少于网络侧AG要求的组件个数,则执行步骤6’。
S6’、网络侧可以请求设备更细粒度的安全状态信息。如请求其他类型组件的属性信息或者请求某组件其他的属性信息等。
S6”、AG重新验证细粒度的安全状态信息。
S7、AG或HNB可以重新触发对设备安全状态验证流程(该步骤为可选步骤)。
综上所述,本发明实施例提供的接入控制的方法,基于对电信设备的组件的划分后,通过向核心网侧的网络侧设备上报包括组件和组件的属性信息的安全状态信息,由网络侧设备验证该电信设备的安全状态信息给出验证结果,并根据验证结果,执行相应的接入控制,从而实现了对欲接入核心网络的接入设备的接入控制,保证了核心网的安全性和可靠性。
上述实施例2以接入设备为HNB,且以网络侧AG根据安全策略,向HNB请求获取安全策略对应的安全状态信息为例进行的说明;实施例3,以接入设备为常见的eNB为例进行说明,则相应地,网络侧以MME为例进行说明,且本发明实施例以eNB主动上报自身的安全状态信息为例进行说明,详见下述实施例:
实施例3
参见图6,为本发明实施例3提供的该方法的应用场景示意图,其中,本发明实施例中电信设备以eNB为例进行说明,该eNB为规模数量较大的用户终端UE提供接入核心网的服务,各UE可以利用该eNB通过IP网络连接到核心网,本发明实施例提供了一种接入控制的方法,参见图7,本发明实施例提供的方法内容如下:
201:eNB加电启动,在该加电启动过程中eNB收集自身的安全状态信息,该安全状态信息包括:该eNB的各组件以及各组件的属性信息。
202:eNB完成启动后,向MME发起接入请求,并建立与MME之间的链路。
其中,该步骤201-202与上述实施例2的步骤100-101类似,不再赘述。
203:当eNB和MME之间当链路建立起来后,eNB向MME发送自身收集的安全状态信息。
其中,该步骤203具体实现时,可以为:当eNB和MME之间当链路建立起来后,eNB主动向网络侧根据组件安全等级的优先级,上报设备的全部组件或者部分组件的全部或者部分属性信息;其中,
具体的,组件安全等级的优先级可以是,公共类组件的优先级高于定制类组件的优先级;再如针对公共类组件还可以进一步的制定出各组件的优先级,例如:公共类组件的优先级的高低顺序依次如下:操作系统、底层软件、数据中心、传输控制模块、时钟系统、传输协议组件以及传输系统等。
204:MME接收eNB发送的安全状态信息后,对该安全状态信息进行安全验证,得出验证结果。
其中,该步骤204和实施例2的步骤106类似,不再赘述。
205:MME根据验证结果和预设的接入策略,对eNB进行接入控制。
需要特别注意的是,本实施例与实施例2的区别在于,由于eNB是运营商核心网的小型基站,通过它会有较大规模数量的用户接入核心网。因此,一旦拒绝该设备接入网络,将会造成许多用户的断网服务。因此,出于实际应用的考虑,充分考虑到本发明实施例提供的方法的可实施性,对于eNB来说,网络侧的接入策略几乎很少会拒绝该接入设备接入。一般地,如果验证结果不符合安全策略,通常为接入设备eNB提供连接,但会限制为该接入设备提供一定的服务等。如可选地,还可以提示该eNB进行修复,等该eNB修复成功,通过网络侧MME的验证后,再为该eNB提供核心网内其应有的服务。
其中,为了确保eNB设备的安全性,网络侧可以定期对eNB设备进行安全状态信息验证,例如,通过设定定时器的方式实现对eNB设备上报安全状态信息的触发,即eNB被触发后,主动向MME上报自身的安全状态信息,其中,eNB会根据自身的运行及时对自身的安全状态信息进行更新。
通过上述步骤步骤201-步骤205,本发明实施例提供了一种接入控制的方法,相应地,参见图8,为本发明实施例提供的信息交互示意图,如图8所示,包括:
1、eNB收集自身的安全状态信息;
2、eNB请求接入网络,并建立和MME的链路;
3、eNB受到定时器触发,利用传输协议上报自身的安全状态信息;
4、MME验证eNB上报的安全状态信息,验证的过程包括:将eNB上报的组件对应的属性信息与网络侧MME处对应的标准参考值进行比较,并给出验证结果;根据验证结果,选择执行步骤5或5’,具体的,如果验证结果为HNB上报的组件属性信息全部与网络侧的标准参考值一致,则执行步骤5;如果验证结果为缺少MME希望获取的关键组件的属性信息(如缺少eNB的数据中心组件和其相应的属性信息),则执行步骤5’。
5’、MME可以请求eNB更细粒度的安全状态信息。如请求该关键组件的属性信息等。
5”、eNB返回MME所请求的安全状态信息后,MME验证细粒度的安全状态信息。
5、MME向eNB通过验证结果,并根据接入策略和验证结果进行接入控制;
6、eNB定期触发安全状态验证流程(该步骤为可选步骤)。
综上所述,本发明实施例提供的接入控制的方法,基于对电信设备的组件的划分后,通过向核心网侧的网络侧设备上报包括组件和组件的属性信息的安全状态信息,由网络侧设备验证该电信设备的安全状态信息给出验证结果,并根据验证结果,执行相应的接入控制,从而实现了对欲接入核心网络的接入设备的接入控制,保证了核心网的安全性和可靠性。
上述实施例2和3是针对电信设备中的接入设备进行的说明,具体说明了针对该类接入设备如何进行接入控制,以确保核心网的安全和可靠;如前所述,在网络中,核心网内部的电信设备的安全性也会影响到核心网的安全性和可靠性,下面实施例4将针对对位于核心网内部的电信设备(简称电信设备)如何进行安全状态验证进行说明,详见如下:
实施例4
本发明实施例提供了一种对电信设备安全状态验证的方法,参见图9,本发明实施例提供的应用场景示意图,由于为了确保核心网的安全和可靠,核心网还需要对核心网中某大型或者重要电信设备进行安全状态验证,达到安全控制的目的,本实施例以对核心网中的数据库服务器进行安全状态为例进行说明,参见图10,为本发明实施例提供的方法的流程图,内容如下:
301:网管服务器根据自身的安全控制策略,向数据库发送安全状态信息请求;
其中,该所述安全状态信息请求中携带所述网络侧设备希望获取的所述电信设备的组件标识和对应该组件的属性信息。
302:数据库服务器接收安全状态信息请求后,收集自身的安全状态信息,向网管服务器返回网管服务器希望获取的安全状态信息。其中,该安全状态信息包含至少一个组件和至少一个组件的至少一种属性信息。
303:网管服务器接收数据库服务器返回的安全状态信息,对该安全状态信息进行验证,得到验证结果。
其中,该步骤中网管服务器在对安全状态信息进行验证时,可以根据安全策略执行验证,从而得出验证结果。其中,该安全策略可以是预设在网管服务器中的,也可以是网管服务器从策略服务器那里动态获得的,该策略服务器用于存储安全策略。本实施例对此不做限制。
304:网管服务器输出验证结果。
其中,上述验证结果可以作为报表输出、网管维护、故障预防或者与网络其他实体重要信息的交互等操作依据,例如,该验证结果用于供其他实体查询该设备的安全状态验证结果,具体的,核心网可以将设备的安全状态验证结果存储/维护到某个位置(该位置可以是一个单独的数据库,也可以是某个现有网元上)在需要时供其他实体查询。
其中,核心网络侧的设备(如网管服务器等)可以根据验证结果和安全策略,对该数据库服务器进行安全控制;或者,还可以根据验证结果和访问策略,对该数据库服务器进行访问控制。本实施例对此不做限制,其中,上述安全策略或访问策略,可以位于网管服务器中,还可以为网管服务器向策略服务器获取得到,即该策略服务器用于提供安全策略或访问策略。
通过上述步骤301-304,本发明实施例提供了一种对电信设备进行安全状态验证的方法,相应地,参见图11,为本发明实施例提供的信息交互示意图,如图11所示,包括:
S1、数据库服务器收集自身的安全状态信息;
S2、数据库服务器和网管服务器交互数据库服务器的安全状态信息(其中,该交互过程可以是网管服务器向数据库服务器请求,数据库服务器响应的方式,也可以为数据库服务器主动向网管服务器上报的方式);
S3、网管服务器对安全状态信息进行验证(其中,该验证过程可以为将数据库服务器收集到的不同组件的属性信息与服务器侧存储的对应的标准参考值进行匹配比较);
S4、网管服务器输出验证结果;
S5、定期触发验证流程(该步骤为可选步骤,且触发可以为由数据库服务器发起,也可以由网管服务器器发起)。
综上所述,本发明实施例提供的方法,基于对电信设备进行组件划分后,通过向核心网侧的网络侧设备上报包括组件和组件的属性信息的安全状态信息,由网络侧设备验证该电信设备的安全状态信息给出验证结果,实现了对电信设备安全验证的目的,并进而可以根据利用验证结果,作为报表输出、网管维护、故障预防或者与网络其他实体重要信息的交互等操作依据;以及利用验证结果执行安全控制以及访问控制。
综上所述,上述本发明实施例中交互双方如果存在身份认证过程,则上述所涉及网络侧设备对电信设备安全状态信息的验证可以是在身份认证之前进行,也可以是结合身份认证的具体过程进行,或者,还可以是在身份认证合法之后再进行安全状态信息验证,本发明实施例对此不做限制,只要电信设备与网络侧设备之间建立连接即可进行安全状态验证过程。
综上所述,本发明实施例仅以eNB、HNB和数据库服务器作为被验证方为例进行的说明,被验证方包括但不限于:其他类型的电信设备的接入设备或网络边界设备,包括无线网络中的接入设备H(e)NB、AP、固定网络、融合网络中的接入设备以及边界网关、分布式小基站等,也可以是IP网中的边界路由器、交换机,以及接入网关等接入设备或网络边缘设备的接入控制。同时也可以是手机、移动终端以及固定接入终端等终端设备。还可以是核心网中其他的核心网重要或者大型电信设备。
相应地,本发明实施例仅以AG、MME和网络侧网管服务器作为验证方为例进行的说明,验证方包括但不限于:是SeGW(安全网关),AG(接入网关)、AAAserver(AAA服务器)、HLR(归属位置寄存器)、HSS(Home Subscriber Server,归属用户服务器)、OAM(Operation、Administration、Maintenance,操作、管理和维护)server、AHR(Access Point home register,接入节点归属地注册器),MME(mobility management entity,移动性管理实体)、APM(AP manager,接入节点管理器)等设备。
其中,在实现收集电信设备(充当验证方)的安全状态信息时,可以是通过与该电信设备相互独立的逻辑或者物理实体,如收集代理Agent、代理收集服务器等实现收集的功能;也可以是通过对现有电信设备的功能扩展后的实体实现收集的功能。
其中,上述作为验证方的实体,可以是独立的功能实体,也可以通过对网络侧其他实体功能的扩展而实现。也即,网络侧设备可以是接入网网关、AAA服务器、AHR(HLR)、MME或者网管设备APM等实体。
综上,本发明实施例提供的方法,不仅适用于移动网络的接入控制,而且适用于这些电信设备接入其他任何网络时的接入控制,还适用于可以进行网络内安全控制(包括但不限于的安全管理、报表生成、设备安全评估以及供其他实体查询设备的安全状态验证结果等操作)。本发明实施例提供的方法,适用于移动网络、固定网络和固定移动融合网络以及IP网络。无线接入方式包括但不限于:GSM(Global System for Mobile Communications,全球移动通信系统)、,WCDMA(Wideband-Code Division Multiple Access,宽带码分多址)、TD-SCDMA(Time Division-Synchronized Code Division Multiple Access,时分同步码分多址接入)、CDMA(Code-Division Multiple Access,码分多址)、WIMAX(Worldwide Interoperability for Microwave Access,全球微波互联接入)、WLAN(Wireless Local Area Network,无线局域网)、LTE(Long Term Evolution,长期演进)等。
实施例5
与上述方法实施例相应,本发明实施例提供了一种电信设备,参见图12,该电信设备包括:
收集单元401,用于根据构成电信设备的组件,收集电信设备的安全状态信息,安全状态信息包括构成电信设备的至少一个组件标识以及组件的至少一种属性信息;
这里的组件的标识,应当理解为用于唯一描述或标识该组件的信息,可以是组件的名称、也可以是组件的类型,也可以是组件的数字标识,包括但不限于此。
其中,对应电信设备而言按照其功能划分得到组件,其中,进一步地,根据电信设备的功能特性不同划分可以得到公共类组件和定制类组件的,相应地,上述收集单元所收集的组件包括公共类组件中的一个或多个,和/或定制类组件中的一个或多个,其中,
公共类组件至少包括时钟系统组件、底层软件组件、操作系统组件、数据中心组件、维护接口转换模块组件、OM模块组件、传输协议组件、传输控制模块组件、信令模块组件、传输系统组件;
定制类组件至少包括基带系统组件、射频系统组件、SCTP协议状态组件、交换系统组件、转发系统组件、业务接口模块组件、各业务模块组件、网络接口模块组件;
相应地,
组件的属性信息包括关键配置信息、软硬件模块信息、产品信息、安全相关数据信息、电信设备的IP地址信息、位置信息或端口号信息、配置是否成功信息、安全状态验证结果信息、修复建议信息以及出错提示信息中的一个或多个。
发送单元402,用于向网络侧设备发送收集单元401收集的安全状态信息,以使得网络侧设备对安全状态信息进行安全验证。
例如,当网络侧设备接收到安全状态信息后,可以根据安全策略对该安全状态信息进行安全验证,得到验证结果,可选的,还可以再根据验证结果和接入策略,对电信设备进行接入控制,示例如下:
1、如果所有验证结果都符合预设的安全策略,例如:若该HNB设备的公共类的各组件的各属性信息和对应的预设的参考值匹配、定制类各组件的各属性信息的值和对应的预设的参考属性值匹配,即验证结果为通过,则允许该HNB设备完全接入核心网,享有该HNB设备对应的所有服务;
2、如果接入设备的公共类组件中的某一种(或某一些)属性信息和预设的参考值不匹配,即验证结果为不满足安全策略;但上述属性信息对应的属性对网络的安全威胁系数较低,即虽然该属性信息和预设的参考属性值不匹配,不满足安全策略,但是该类属性信息所导致的不满足安全策略不会对网络造成很大影响时(如某些不重要的属性信息没有通过验证的情况),则允许该接入设备接入核心网,但需要限制其对某些服务享用。
3、如果接入设备的公共组件的某一属性信息和预设的参考属性值不匹配,但该属性信息对应的属性会对网络造成一定影响时(如公共组件中的设备软硬件模块信息的属性信息没有通过验证,而设备软硬件模块信息这一组件属于对核心网危险系数较高的一类属性),则核心网只允许该接入设备与核心网建立连接,但只能享受某些紧急呼叫服务(如110、120等特殊业务);
进一步地,本发明实施例通过的电信设备还包括:
接收单元,用于接收来自网络侧设备发送的安全状态信息请求,该安全状态信息请求用于向电信设备请求网络侧设备欲验证的组件标识和/或该组件的属性信息,即可以通过该安全信息请求中携带网络侧设备希望获取的电信设备的组件标识和/或该组件的属性信息实现;
发送单元402,具体用于根据接收单元接收的安全状态信息请求,向网络侧设备发送收集单元401收集的安全状态信息,该安全状态信息包括网络侧设备欲验证的组件标识和/或该组件的属性信息。
其中,当电信设备位于安全网络之外时,
发送单元402具体用于通过电信设备与网络侧设备建立的SCTP连接,向网络侧设备发送SCTP消息,该SCTP消息携带安全状态信息。
其中,本发明实施例提供的电信设备的收集单元401,具体用于根据构成电信设备的组件,定期收集电信设备的安全状态信息。
其中,本发明实施例提供的电信设备具体应用时,可以是位于安全网络(如核心网)之外的任一电信设备,包括无线网络中的接入设备H(e)NB、AP、固定网络、融合网络中的接入设备以及边界网关、分布式小基站等,也可以是IP网中的边界路由器、交换机,以及接入网关等接入设备或网络边缘设备;也可以是手机、移动终端以及固定接入终端等终端设备。另外,本发明实施例提供的电信设备具体应用时,还可以是位于核心网中的任一的核心网重要或者大型电信设备。
相应地,上述网络侧设备具体应用时,可以是AG、MME和网络侧网管服务器、SeGW,AG、AAAserver、HLR、HSS、OAMserver、AHR,MME、APM等设备。
综上所述,本发明实施例的电信设备,基于对电信设备的组件的划分后,通过向安全网络侧的网络侧设备上报包括组件和组件的属性信息的安全状态信息,由网络侧设备验证该电信设备的安全状态信息给出验证结果,实现了对该电信设备的安全验证,并进而实现了根据安全验证得到的验证结果,对该电信设备执行相应的控制,从而实现了对位于安全网络中的电信设备的安全控制或访问控制,保证了安全网络的安全性和可靠性,以及实现了对位于安全网络之外的电信设备的接入控制,保证了安全网络的安全性和可靠性。
实施例6
与上述方法实施例和电信设备实施例相应,本发明实施例提供了一种网络侧设备,该网络侧设备位于安全网络(如核心网)中,参见图13,该网络侧设备包括:
接收单元501,用于接收来自接入设备发送的安全状态信息,安全状态信息包括构成电信设备的至少一个组件标识和该组件的至少一种属性信息;
这里的组件的标识,应当理解为用于唯一描述或标识该组件的信息,可以是组件的名称、也可以是组件的类型,也可以是组件的数字标识,包括但不限于此。
验证单元502,用于根据安全策略,对接收单元501接收的安全状态信息进行验证,得到验证结果;
控制单元503,用于至少根据验证单元502的验证结果,对接入设备进行控制。
其中,该验证单元502具体当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息匹配时,则所述验证结果为通过;当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过;
或者,该验证单元502具体用于判断接收到的至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向接入设备发送安全状态信息请求,该安全状态信息请求携带欲验证的组件标识,或,向接入设备发送错误信息;如果组件标识匹配,则针对所述至少一个组件,判断该组件的属性信息是否与网络侧存储的、对应的参考属性信息匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。
其中,上述验证单元502具体用于判断接收到的至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向接入设备发送安全状态信息请求,该安全状态信息请求携带网络侧设备欲验证的组件标识;或,向接入设备发送错误信息;如果组件标识匹配,则针对至少一个组件,判断该组件的至少一种属性在网络侧是否存在对应的参考属性;如果不存在,则向接入设备发送安全状态信息请求,该安全状态信息请求用于向接入设备请求新的属性信息,或,向接入设备发送错误信息;如果存在,则判断所组件的属性信息与网络侧存储的对应参考属性值是否匹配;如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。(应当理解的是,网络侧存储的参考属性信息包括参考属性本身,以及该参考属性值。)
其中,该接入设备可以是位于安全网络(如核心网)之外的任一电信设备,包括无线网络中的接入设备H(e)NB、AP、固定网络、融合网络中的接入设备以及边界网关、分布式小基站等,也可以是IP网中的边界路由器、交换机,以及接入网关等接入设备或网络边缘设备;同时也可以是手机、移动终端以及固定接入终端等终端设备。
其中,控制单元503,具体用于根据验证结果和接入策略,对接入设备进行接入控制。该接入策略可以为预先设置在该网络侧设备中,还可以为该网络侧设备从其他设备(如策略服务器)获取得到,本实施例对此不做限制。具体如下:该控制单元503,具体用于当所有验证结果为通过,则允许接入设备完全接入安全网络,享有接入设备所对应的所有服务;或者,
当所述验证结果为接入设备的公共类组件的一种或多种属性信息和网络侧对应的参考属性值不匹配,且所述一个或多个的属性信息对应的属性对安全网络的安全威胁系数低于安全威胁系数参考值,则允许接入设备接入安全网络,但对接入设备享有服务的权限进行限制;或者,
当所述验证结果为接入设备的公共类组件的任一属性信息和其对应的参考属性值不匹配,且该任一属性信息对应的属性对安全网络的安全危险系数高于安全威胁系数参考值,则允许接入设备与安全网络建立连接,但对接入设备享有服务的权限进行限制。
特别地,若接入设备为家庭基站HNB,则控制单元503,具体用于当公共组件的属性信息验证都未通过验证,则拒绝接入设备接入安全网络。
本发明实施例提供的网络侧设备进一步包括:
存储单元,用于存储验证单元502得到的验证结果。该验证结果还可以用于供其他的用户或其他实体查询等操作。
进一步地,该网络侧设备还包括:
发送单元,用于根据安全策略,向接入设备发送安全状态信息请求,该安全状态信息请求用于向接入设备请求该网络侧设备欲验证的组件标识和该组件的属性信息,即该安全状态信息请求用于指示接入设备返回的安全状态信息中携带网络侧设备希望获取的组件标识和该组件的属性信息。
综上所述,本发明实施例网络侧设备,基于对电信设备的组件的划分后,通过向安全网络中的网络侧设备上报包括组件和组件的属性信息的安全状态信息,由该网络侧设备验证该电信设备的安全状态信息给出验证结果,并根据验证结果,执行相应的接入控制,实现了对位于安全网络之外的电信设备的接入控制,保证了安全网络的安全性和可靠性。
实施例7
与上述方法实施例和设备实施例相应,本发明实施例提供了一种安全验证设备,参见图14,所述设备包括:
接收单元601,用于接收来自电信设备的安全状态信息,安全状态信息包括:构成电信设备的至少一个组件的标识以及该组件的至少一种属性信息;
这里的组件的标识,应当理解为用于唯一描述或标识该组件的信息,可以是组件的名称、也可以是组件的类型,也可以是组件的数字标识,包括但不限于此。
验证单元602,用于根据安全策略,对接收的安全状态信息进行安全验证,得到验证结果。
其中,该安全策略可以位于该安全验证设备中,还可以为该安全验证设备向其他设备(如策略服务器)获取得到,本实施例对此不做限制。
其中,验证单元602,具体用于当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息匹配时,则所述验证结果为通过;当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过;
或者,该验证单元602具体用于判断接收到的至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向电信设备发送安全状态信息请求,该安全状态信息请求携带欲验证的组件标识;或,向电信设备发送错误信息;如果组件标识匹配,则针对至少一个组件,判断该组件的至少一种属性在网络侧是否存在对应的属性;如果不存在,则向电信设备发送安全状态信息请求,该安全状态信息请求用于向电信设备请求该组件的新的属性信息,或,向电信设备发送错误信息;如果存在,则判断所述组件的属性信息与网络侧存储的对应参考属性值是否匹配;如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。
进一步地,设备还包括:
发送单元,用于根据安全策略,向电信设备发送安全状态信息请求,该安全状态信息请求用于向电信设备请求该安全状态验证设备欲验证的组件标识和/或组件的属性信息,即该安全状态信息请求用于指示电信设备返回的安全状态信息中携带网络侧设备所希望获取的组件标识和/或组件的属性信息。
进一步地,本发明实施例提供的进一步包括:
存储单元,用于存储验证单元602得到的验证结果。该验证结果还可以用于供其他的用户或其他实体查询等操作。
其中,在具体实现时,本发明实施例提供的设备具体可以为AG、MME和网络侧网管服务器、SeGW,AG、AAAserver、HLR、HSS、OAMserver、AHR,MME、APM等设备。本发明实施例提供的设备可以是独立的功能实体,也可以通过对网络侧其他实体功能的扩展而实现,本实施例对此不做限制。
例如,位于安全网络(以核心网为例)之外的HNB欲接入核心网中,则本发明实施例提供的设备具体为AG,相应地,该AG对HNB进行安全状态验证,并且,AG还可以根据验证得到的验证结果和接入策略,对该HNB进行接入核心网的控制,从而还可以保证核心网的安全性和可靠性。
再如,位于核心网中的任一重要设备作为待验证的设备,本发明实施例提供的设备具体为AAAserver,相应地,该AAAserver对上述待验证的设备进行安全状态验证,并且,AAAserver可以根据验证得到的验证结果和安全策略,对该待验证设备进行核心网的安全控制,或者,AAserver可以根据验证得到的验证结果和访问策略,对该待验证设备进行核心网的访问控制从而还可以保证核心网的安全性和可靠性;
综上所述,本发明实施例安全状态验证设备,基于对电信设备的组件的划分后,通过向该安全状态验证设备上报包括组件和组件的属性信息的安全状态信息,由该安全状态验证设备验证该电信设备的安全状态信息,保证了安全网络的安全性和可靠性。
实施例8
与上述方法实施例和设备实施例相应,本发明实施例提供了一种网络系统,参见图15,该网络系统包括:接入设备701和网络侧设备702(可以是位于安全网络中的),其中,
接入设备701,用于收集所述接入设备的安全状态信息,并向所述网络侧设备发送,所述安全状态信息包含收集的至少一个组件的标识以及所述组件的至少一种属性信息;
其中,对于接入设备而言,按照其功能划分得到组件,其中,进一步地,根据接入设备的功能特性不同划分可以得到公共类组件和定制类组件,相应地,上述收集单元所收集的组件包括公共类组件中的一个或多个,和/或定制类组件中的一个或多个,其中,
公共类组件至少包括时钟系统组件、底层软件组件、操作系统组件、数据中心组件、维护接口转换模块组件、OM模块组件、传输协议组件、传输控制模块组件、信令模块组件、传输系统组件;
定制类组件至少包括基带系统组件、射频系统组件、SCTP协议状态组件、交换系统组件、转发系统组件、业务接口模块组件、各业务模块组件、网络接口模块组件;
相应地,
组件的属性信息包括关键配置信息、软硬件模块信息、产品信息、安全相关数据信息、电信设备的IP地址信息、位置信息或端口号信息、配置是否成功信息、安全状态验证结果信息、修复建议信息以及出错提示信息中的一个或多个。
网络侧设备702,用于接收来自接入设备701发送的安全状态信息;根据安全策略,对安全状态信息进行验证得到验证结果;并至少根据验证结果,对接入设备701进行接入控制。
其中,网络侧设备702具体用于接收来自接入设备701发送的安全状态信息,根据安全策略,对接收的安全状态信息进行验证得到验证结果;并根据验证结果和接入策略,对接入设备701进行接入控制。
其中,网络侧设备在对接入设备进行验证时,可以通过以下方式实现,
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息匹配时,则所述验证结果为通过;当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过;
或者,
判断接收到的至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向接入设备发送安全状态信息请求,安全状态信息请求携带欲验证的组件标识,或,向接入设备发送错误信息;如果组件标识匹配,则针对至少一个组件,判断组件的属性信息是否与网络侧存储的参考属性信息匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。
其中,上述接入策略可以为在网络侧设备702中自身保存的,也可以是该网络侧设备702向其他设备(如策略服务器)获取得到的,其中,该网络侧设备702根据验证结果和接入策略,对接入设备701进行接入控制的过程包括:
1、如果所有验证结果都符合预设的安全策略,例如:若接入设备(以HNB设备为例)的公共类的各组件的各属性信息和对应的预设的参考值匹配、定制类各组件的各属性信息的值和对应的预设的参考值匹配,即验证结果为通过,则允许该HNB设备完全接入核心网,享有该HNB设备对应的所有服务;
2、如果接入设备的公共类组件中的某一(或某一些)属性信息和预设的参考值不匹配,即验证结果为不满足安全策略;但上述属性信息对应的属性对网络的安全威胁系数较低,即虽然该属性信息和预设的参考值不匹配,不满足安全策略,但是该类属性信息所导致的不满足安全策略不会对网络造成很大影响时(如某些不重要的属性信息没有通过验证的情况),则允许该接入设备接入核心网,但需要限制其对某些服务享用。
3、如果接入设备的公共组件的某一属性信息和预设的参考属性值不匹配时,但该属性信息对应的属性会对网络造成一定影响时(如公共组件中的设备软硬件模块信息的属性信息没有通过验证,而设备软硬件模块信息这一组件属于对核心网危险系数较高的一类属性),则核心网只允许该接入设备与核心网建立连接,但只能享受某些紧急呼叫服务(如110、120等特殊业务);
进一步地,网络侧设备702还用于向接入设备701发送安全状态信息请求,该安全状态信息请求携带网络侧设备702希望获取的接入设备701的组件标识和对应组件的属性信息,用于指示接入设备701返回的安全状态信息中携带网络侧设备702希望获取的组件标识和该组件的属性信息。
其中,电信设备701和网络侧设备702通过电信设备701与网络侧设备702建立的SCTP连接,利用SCTP消息携带安全状态信息。
其中,电信设备701的类型包括:家庭基站、或演进基站eNB、或路由器、或交换机、或网关、或终端;
网络侧设备702的类型包括:安全网关SeGW、接入网关AG、验证、授权和记账服务器AAAserver、归属地位置寄存器HLR、归属用户服务器HSS、操作管理和维护服务器OAM server、接入节点归属地注册器AHR、移动性管理实体MME、接入节点管理器APM。
综上所述,本发明实施例提供的网络系统,基于对电信设备的组件的划分后,通过向安全网络侧的网络侧设备上报包括组件和组件的属性信息的安全状态信息,由该网络侧设备验证该电信设备的安全状态信息给出验证结果,并根据验证结果,执行相应的控制,从而实现了对位于安全网络中的电信设备的安全控制,保证了安全网络的安全性和可靠性,以及实现了对位于安全网络之外的电信设备的接入控制,保证了安全网络的安全性和可靠性。
实施例9
与上述方法实施例和设备实施例相应,本发明实施例提供了一种网络系统,参见图16,该网络系统包括:电信设备801和安全状态验证设备802,其中,
电信设备801,用于收集所述电信设备的安全状态信息,并向所述安全状态验证设备802发送,所述安全状态信息包含收集的至少一个组件的标识以及所述组件的至少一种属性信息;
安全状态验证设备802,用于接收来自电信设备801发送的安全状态信息,该安全状态信息包含收集的至少一个组件的标识以及该组件的至少一种属性信息,根据安全策略,对接收的安全状态信息进行验证,得到验证结果。
其中,该安全策略可以位于该安全验证设备中,还可以为该安全验证设备向其他设备(如策略服务器)获取得到,本实施例对此不做限制。该安全验证设备根据安全策略,对接收的安全状态信息进行验证的过程包括:
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息匹配时,则所述验证结果为通过;当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过;
或者,
该安全状态验证设备判断接收到的至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向接入设备发送安全状态信息请求,安全状态信息请求携带欲验证的组件标识,或,向接入设备发送错误信息;如果组件标识匹配,则针对至少一个组件,判断组件的属性信息是否与网络侧存储的参考属性信息匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。其中,判断组件的属性信息是否与网络侧存储的属性信息匹配,如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过,具体包括:
针对至少一个组件,判断该组件的至少一种属性信息对应的属性在网络侧是否存在对应的参考属性;如果不存在,则向电信设备发送安全状态信息请求,该安全状态信息请求用于向电信设备请求该组件的新的属性,或,向电信设备发送错误信息;如果存在,则判断所述组件的属性信息与网络侧存储的对应参考属性值是否匹配;如果属性信息匹配,则验证结果为通过;如果属性信息不匹配,则验证结果为不通过,或,部分组件的验证结果为通过。
本发明实施例提供的设备具体可以为AG、MME和网络侧网管服务器、SeGW,AG、AAAserver、HLR、HSS、OAMserver、AHR,MME、APM等设备。本发明实施例提供的设备可以是独立的功能实体,也可以通过对网络侧其他实体功能的扩展而实现,本实施例对比不做限制。
例如,位于安全网络(以核心网为例)之外的HNB欲接入核心网中,则本发明实施例提供的安全状态验证设备具体为AG,相应地,该AG对HNB进行安全状态验证,并且,AG还可以根据验证得到的验证结果和接入策略,对该HNB进行接入核心网的控制,从而还可以保证核心网的安全性和可靠性。
再如,位于核心网中的任一重要设备作为待验证的设备,本发明实施例提供的设备具体为AAAserver,相应地,该AAAserver对上述待验证的设备进行安全状态验证,并且,AAAserver还可以根据验证得到的验证结果和安全策略,对该待验证设备进行核心网的安全控制,或者,AAserver可以根据验证得到的验证结果和访问策略,对该待验证设备进行核心网的访问控制从而还可以保证核心网的安全性和可靠性;
综上所述,本发明实施例提供的网络系统,基于对电信设备的组件的划分后,通过向该安全状态验证设备上报包括组件和组件的属性信息的安全状态信息,由该安全状态验证设备验证该电信设备的安全状态信息,保证了安全网络的安全性和可靠性。
本发明实施例中的“接收”一词可以理解为主动从其他模块获取也可以是接收其他模块发送来的信息。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (30)
1.一种对电信设备的安全状态验证的方法,其特征在于,所述方法包括:
接收来自电信设备的安全状态信息,所述安全状态信息包括:构成所述电信设备的至少一个组件的标识以及该组件的至少一种属性信息;
根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果。
2.如权利要求1所述的方法,其特征在于,所述根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果的步骤,包括:
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息匹配时,则所述验证结果为通过;
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过。
3.如权利要求1所述的方法,其特征在于,所述根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果的步骤,包括:
判断所述接收到的所述至少一个组件标识是否与网络侧存储的参考组件标识匹配;
如果组件标识不匹配,则向所述电信设备发送安全状态信息请求,所述安全状态信息请求携带欲验证的组件标识,或,向所述电信设备发送错误信息;
如果组件标识匹配,则针对所述至少一个组件,判断所述组件的属性信息是否与网络侧存储的、对应的参考属性信息匹配,如果属性信息匹配,则所述验证结果为通过;如果属性信息不匹配,则所述验证结果为不通过,或,部分组件的验证结果为通过。
4.如权利要求1或2或3所述方法,其特征在于,所述组件包括公共类组件中的一个或多个,和/或定制类组件中的一个或多个,所述公共类组件和定制类组件为根据电信设备的功能特性不同划分得到的,其中,
所述公共类组件至少包括时钟系统组件、底层软件组件、操作系统组件、数据中心组件、维护接口转换模块组件、运行管理OM模块组件、传输协议组件、传输控制模块组件、信令模块组件、传输系统组件;
所述定制类组件至少包括基带系统组件、射频系统组件、流控制传输协议SCTP协议状态组件、交换系统组件、转发系统组件、业务接口模块组件、各业务模块组件、网络接口模块组件;
相应地,
所述组件的属性信息包括关键配置信息、软硬件模块信息、产品信息、安全相关数据信息、所述电信设备的IP地址信息、位置信息或端口号信息、配置是否成功信息、安全状态验证结果信息、修复建议信息以及出错提示信息中的一个或多个。
5.如权利要求1所述的方法,其特征在于,所述接收来自电信设备的安全状态信息的步骤之前,所述方法还包括:
根据安全策略,向所述电信设备发送安全状态信息请求,所述安全状态信息请求用于向所述电信设备请求所述网络侧设备欲验证的组件标识和/或所述组件的属性信息。
6.一种接入控制的方法,其特征在于,接入设备为位于安全网络之外的任一电信设备,所述方法包括:
接收来自所述接入设备的安全状态信息,所述安全状态信息包括:构成所述接入设备的至少一个组件的标识以及该组件的至少一种属性信息;
根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果;
至少根据所述验证结果,对所述接入设备进行接入控制。
7.如权利要求6所述的方法,其特征在于,所述根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果的步骤,包括:
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的、对应的参考属性信息匹配时,则所述验证结果为通过;
当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的、对应的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过。
8.如权利要求6所述的方法,其特征在于,所述根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果的步骤,包括:
判断所述接收到的所述至少一个组件标识是否与网络侧存储的参考组件标识匹配;
如果组件标识不匹配,则向所述接入设备发送安全状态信息请求,所述安全状态信息请求携带欲验证的组件标识,或,向所述接入设备发送错误信息;
如果组件标识匹配,则针对所述至少一个组件,判断所述组件的属性信息是否与网络侧存储的、对应的参考属性信息匹配,
如果属性信息匹配,则所述验证结果为通过;
如果属性信息不匹配,则所述验证结果为不通过,或,部分组件的验证结果为通过。
9.如权利要求6或7或8所述方法,其特征在于,所述组件包括公共类组件中的一个或多个,和/或定制类组件中的一个或多个,所述公共类组件和定制类组件为根据电信设备的功能特性不同划分得到的,其中,
所述公共类组件至少包括时钟系统组件、底层软件组件、操作系统组件、数据中心组件、维护接口转换模块组件、OM模块组件、传输协议组件、传输控制模块组件、信令模块组件、传输系统组件;
所述定制类组件至少包括基带系统组件、射频系统组件、SCTP协议状态组件、交换系统组件、转发系统组件、业务接口模块组件、各业务模块组件、网络接口模块组件;
相应地,
所述组件的属性信息包括关键配置信息、软硬件模块信息、产品信息、安全相关数据信息、所述电信设备的IP地址信息、位置信息或端口号信息、配置是否成功信息、安全状态验证结果信息、修复建议信息以及出错提示信息中的一个或多个。
10.如权利要求9所述的方法,其特征在于,所述至少根据所述验证结果,对所述接入设备进行接入控制的步骤,包括:
根据所述验证结果和接入策略,对所述接入设备进行接入控制。
11.如权利要求10所述的方法,其特征在于,所述根据验证结果和接入策略,对所述接入设备进行接入控制的步骤,包括:
如果所有验证结果为通过,则允许所述接入设备完全接入所述安全网络,享有所述接入设备所对应的所有服务;或者,
如果所述验证结果为所述接入设备的公共类组件的一种或多种属性信息和网络侧对应的参考属性信息不匹配,且所述一个或多个的属性信息对应的属性对所述安全网络的安全威胁系数低于安全威胁系数参考值,则允许所述接入设备接入所述安全网络,但对所述接入设备享有服务的权限进行限制;或者,
如果所述验证结果为所述接入设备的公共类组件的任一属性信息和网络侧对应的参考属性信息不匹配,且该任一属性信息对应的属性对所述安全网络的安全危险系数高于安全威胁系数参考值,则允许所述接入设备与所述安全网络建立连接,但对所述接入设备享有服务的权限进行限制。
12.如权利要求6所述的方法,其特征在于,所述安全状态信息承载在流控制传输协议SCTP消息的数据域中。
13.如权利要求6所述的方法,其特征在于,所述接收来自所述接入设备的安全状态信息的步骤之前,所述方法还包括:
根据安全策略,向所述接入设备发送安全状态信息请求,所述安全状态信息请求用于向所述接入设备请求所述网络侧设备欲验证的组件标识和/或所述组件的属性信息。
14.一种电信设备,其特征在于,所述电信设备包括:
收集单元,用于根据构成所述电信设备的组件,收集所述电信设备的安全状态信息,所述安全状态信息包括构成所述电信设备的至少一个组件的标识以及所述组件的至少一种属性信息;
发送单元,用于向网络侧设备发送所述收集单元收集的所述安全状态信息,以使得所述网络侧设备对所述安全状态信息进行安全验证。
15.如权利要求14所述的设备,其特征在于,所述电信设备还包括:
接收单元,用于接收来自网络侧设备发送的安全状态信息请求,所述安全状态信息请求用于向所述电信设备请求所述网络侧设备欲验证的组件标识和/或所述组件的属性信息;
所述发送单元,具体用于根据所述接收单元接收的安全状态信息请求,向所述网络侧设备发送所述收集单元收集的所述安全状态信息,所述安全状态信息包括所述网络侧设备欲验证的组件标识和/或所述组件的属性信息。
16.如权利要求14或15所述的设备,其特征在于,当所述电信设备位于安全网络之外时,
所述发送单元具体用于通过所述电信设备与网络侧设备建立的SCTP连接,向所述网络侧设备发送SCTP消息,所述SCTP消息携带所述安全状态信息。
17.一种网络侧设备,其特征在于,所述网络侧设备包括:
接收单元,用于接收来自接入设备发送的安全状态信息,所述安全状态信息包括构成所述接入设备的至少一个组件标识和所述组件对应的至少一种属性信息;
验证单元,用于根据安全策略,对所述接收单元接收的安全状态信息进行验证,得到验证结果;
控制单元,用于至少根据所述验证单元的验证结果,对所述接入设备进行接入控制。
18.如权利要求17所述的设备,其特征在于,所述验证单元,具体用于当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的、对应的参考属性信息匹配时,则所述验证结果为通过;或者,当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的、对应的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过;
或者,
所述验证单元,具体用于判断所述接收到的所述至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向所述接入设备发送安全状态信息请求,所述安全状态信息请求携带欲验证的组件标识,或,向所述接入设备发送错误信息;如果组件标识匹配,则针对所述至少一个组件,判断所述组件的属性信息是否与网络侧存储的、对应的参考属性信息匹配,如果属性信息匹配,则所述验证结果为通过;如果属性信息不匹配,则所述验证结果为不通过,或,部分组件的验证结果为通过。
19.如权利要求17所述的设备,其特征在于,
所述控制单元,具体用于根据所述验证结果和接入策略,对所述电信设备进行接入控制。
20.如权利要求19所述的设备,其特征在于,
所述控制单元,具体用于当所有验证结果为通过,则允许所述电信设备完全接入所述安全网络,享有所述电信设备所对应的所有服务;或者,
当所述验证结果为所述电信设备的公共类组件的一种或多种属性信息和网络侧对应的参考属性信息不匹配,且所述一个或多个的属性信息对应的属性对所述安全网络的安全威胁系数低于安全威胁系数参考值,则允许所述电信设备接入所述安全网络,但对所述电信设备享有服务的权限进行限制;或者,
当所述验证结果为所述电信设备的公共类组件的任一属性信息和网络侧对应的参考属性信息不匹配,且该任一属性信息对应的属性对所述安全网络的安全危险系数高于安全威胁系数参考值,则允许所述电信设备与所述安全网络建立连接,但对所述电信设备享有服务的权限进行限制。
21.如权利要求17所述的设备,其特征在于,所述网络侧设备还包括:
发送单元,用于根据安全策略,向所述电信设备发送安全状态信息请求,所述安全状态信息请求用于向所述电信设备请求所述网络侧设备欲验证的组件标识和/或所述组件的属性信息。
22.一种安全验证设备,其特征在于,所述设备包括:
接收单元,用于接收来自电信设备的安全状态信息,所述安全状态信息包括:构成所述电信设备的至少一个组件的标识以及该组件的至少一种属性信息;
验证单元,用于根据安全策略,对所述接收的安全状态信息进行安全验证,得到验证结果。
23.如权利要求22所述的设备,其特征在于,所述验证单元,具体用于当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的、对应的参考属性信息匹配时,则所述验证结果为通过;或者,当所述接收到的所述至少一个组件标识与网络侧存储的参考组件标识匹配,且对应组件的属性信息与网络侧存储的、对应的参考属性信息不匹配时,则所述验证结果为不通过,或,部分组件的验证结果为通过;
或者,
所述验证单元,具体用于判断所述接收到的所述至少一个组件标识是否与网络侧存储的参考组件标识匹配;如果组件标识不匹配,则向所述接入设备发送安全状态信息请求,所述安全状态信息请求携带欲验证的组件标识,或,向所述接入设备发送错误信息;如果组件标识匹配,则针对所述至少一个组件,判断所述组件的属性信息是否与网络侧存储的、对应的参考属性信息匹配,如果属性信息匹配,则所述验证结果为通过;如果属性信息不匹配,则所述验证结果为不通过,或,部分组件的验证结果为通过。
24.如权利要求22或23所述的设备,其特征在于,所述设备还包括:
存储单元,用于存储所述验证单元得到的验证结果。
25.如权利要求22所述的设备,其特征在于,所述设备还包括:
发送单元,用于根据安全策略,向所述电信设备发送安全状态信息请求,所述安全状态信息请求用于向所述电信设备请求所述网络侧设备欲验证的组件标识和/或所述组件的属性信息。
26.一种网络系统,其特征在于,所述系统包括:接入设备和网络侧设备,其中,
所述接入设备,用于收集所述接入设备的安全状态信息,并向所述网络侧设备发送,所述安全状态信息包含所述收集的至少一个组件的标识以及所述组件的至少一种属性信息;
所述网络侧设备,用于接收所述接入设备发送的安全状态信息;根据安全策略,对所述安全状态信息进行验证得到验证结果;并至少根据所述验证结果,对所述接入设备进行接入控制。
27.如权利要求26所述的系统,其特征在于,所述网络侧设备具体用于接收来自所述接入设备发送的安全状态信息,根据安全策略,对所述接收的安全状态信息进行验证得到验证结果;并根据所述验证结果和接入策略,对所述接入设备进行接入控制。
28.如权利要求26或27所述的系统,其特征在于,所述接入设备和所述网络侧设备通过所述接入设备与网络侧设备建立的SCTP连接,利用SCTP消息携带所述安全状态信息。
29.如权利要求26所述的系统,其特征在于,所述接入设备的类型包括:家庭基站、或演进基站eNB、或路由器、或交换机、或网关、或终端;
网络侧设备的类型包括:安全网关SeGW、接入网关AG、验证、授权和记账服务器AAAserver、归属地位置寄存器HLR、归属用户服务器HSS、操作管理和维护服务器OAM server、接入节点归属地注册器AHR、移动性管理实体MME、接入节点管理器APM。
30.一种网络系统,其特征在于,所述系统包括:电信设备和安全状态验证设备,其中,
所述电信设备,用于收集所述电信设备的安全状态信息,并向所述安全状态验证设备发送,所述安全状态信息包含收集的至少一个组件的标识以及所述组件的至少一种属性信息;
所述安全状态验证设备,用于接收所述电信设备发送的安全状态信息,所述安全状态信息包含所述收集的至少一个组件的标识以及所述组件的至少一种属性信息;根据安全策略,对所述接收的安全状态信息进行验证,得到验证结果。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101393473A CN101883123A (zh) | 2009-05-04 | 2009-05-04 | 对电信设备安全状态验证的方法、设备和系统 |
| PCT/CN2010/071499 WO2010127578A1 (zh) | 2009-05-04 | 2010-04-01 | 对电信设备安全状态验证的方法、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101393473A CN101883123A (zh) | 2009-05-04 | 2009-05-04 | 对电信设备安全状态验证的方法、设备和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101883123A true CN101883123A (zh) | 2010-11-10 |
Family
ID=43049961
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101393473A Pending CN101883123A (zh) | 2009-05-04 | 2009-05-04 | 对电信设备安全状态验证的方法、设备和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101883123A (zh) |
| WO (1) | WO2010127578A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102426639A (zh) * | 2011-09-26 | 2012-04-25 | 宇龙计算机通信科技(深圳)有限公司 | 信息安全监测方法和装置 |
| CN102480380A (zh) * | 2010-11-26 | 2012-05-30 | 中兴通讯股份有限公司 | 一种实现以太网设备建立oam连接的方法及系统 |
| CN102868703A (zh) * | 2012-09-29 | 2013-01-09 | 山东中创软件工程股份有限公司 | 一种安全控制系统与方法 |
| CN103312682A (zh) * | 2012-03-16 | 2013-09-18 | 中兴通讯股份有限公司 | 网关安全接入的方法及系统 |
| CN103457786A (zh) * | 2012-06-05 | 2013-12-18 | 中国移动通信集团公司 | 一种传感器接入检测方法、装置和系统 |
| CN109560954A (zh) * | 2017-09-27 | 2019-04-02 | 阿里巴巴集团控股有限公司 | 设备配置方法及装置 |
| CN113590213A (zh) * | 2021-06-24 | 2021-11-02 | 深圳开源互联网安全技术有限公司 | 组件维护方法、电子设备及存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912854B (zh) * | 2018-09-15 | 2021-03-23 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| CN112399414B (zh) * | 2020-11-13 | 2023-04-14 | Oppo广东移动通信有限公司 | 网络连接方法、装置、电子设备及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885788B (zh) * | 2005-06-22 | 2010-05-05 | 杭州华三通信技术有限公司 | 网络安全防护方法及系统 |
| CN100512109C (zh) * | 2005-09-30 | 2009-07-08 | 广东省电信有限公司研究院 | 验证接入主机安全性的访问认证系统和方法 |
| CN1997026B (zh) * | 2006-12-29 | 2011-05-04 | 北京工业大学 | 一种基于802.1x协议的扩展安全认证方法 |
| US9191822B2 (en) * | 2007-03-09 | 2015-11-17 | Sony Corporation | Device-initiated security policy |
| CN101557590A (zh) * | 2008-04-07 | 2009-10-14 | 华为技术有限公司 | 一种移动终端接入网络的安全验证方法、系统和装置 |
-
2009
- 2009-05-04 CN CN2009101393473A patent/CN101883123A/zh active Pending
-
2010
- 2010-04-01 WO PCT/CN2010/071499 patent/WO2010127578A1/zh active Application Filing
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480380A (zh) * | 2010-11-26 | 2012-05-30 | 中兴通讯股份有限公司 | 一种实现以太网设备建立oam连接的方法及系统 |
| WO2012068965A1 (zh) * | 2010-11-26 | 2012-05-31 | 中兴通讯股份有限公司 | 一种实现以太网设备建立oam连接的方法及系统 |
| CN102480380B (zh) * | 2010-11-26 | 2016-01-20 | 中兴通讯股份有限公司 | 一种实现以太网设备建立oam连接的方法及系统 |
| CN102426639B (zh) * | 2011-09-26 | 2015-04-08 | 宇龙计算机通信科技(深圳)有限公司 | 信息安全监测方法和装置 |
| CN102426639A (zh) * | 2011-09-26 | 2012-04-25 | 宇龙计算机通信科技(深圳)有限公司 | 信息安全监测方法和装置 |
| CN103312682B (zh) * | 2012-03-16 | 2016-12-14 | 中兴通讯股份有限公司 | 网关安全接入的方法及系统 |
| CN103312682A (zh) * | 2012-03-16 | 2013-09-18 | 中兴通讯股份有限公司 | 网关安全接入的方法及系统 |
| CN103457786A (zh) * | 2012-06-05 | 2013-12-18 | 中国移动通信集团公司 | 一种传感器接入检测方法、装置和系统 |
| CN102868703B (zh) * | 2012-09-29 | 2015-08-12 | 山东中创软件工程股份有限公司 | 一种安全控制系统与方法 |
| CN102868703A (zh) * | 2012-09-29 | 2013-01-09 | 山东中创软件工程股份有限公司 | 一种安全控制系统与方法 |
| CN109560954A (zh) * | 2017-09-27 | 2019-04-02 | 阿里巴巴集团控股有限公司 | 设备配置方法及装置 |
| CN113590213A (zh) * | 2021-06-24 | 2021-11-02 | 深圳开源互联网安全技术有限公司 | 组件维护方法、电子设备及存储介质 |
| CN113590213B (zh) * | 2021-06-24 | 2023-04-25 | 深圳开源互联网安全技术有限公司 | 组件维护方法、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010127578A1 (zh) | 2010-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101883123A (zh) | 对电信设备安全状态验证的方法、设备和系统 | |
| CN109561427B (zh) | 一种通信方法及相关装置 | |
| FI106423B (fi) | Järjestely vilpillisiksi tunnistettujen matkaviestimien ilmaisemiseksi solukko-matkaviestintäverkossa | |
| CN102396203B (zh) | 根据通信网络中的认证过程的紧急呼叫处理 | |
| EP2215747B1 (en) | Method and devices for enhanced manageability in wireless data communication systems | |
| US7383035B2 (en) | Method of furnishing illegal mobile equipment user information | |
| CN110140380A (zh) | 紧急呼叫的开放接入点 | |
| US8787885B2 (en) | System for controlling access to a service, and corresponding method, control device, and computer program | |
| CN107835204A (zh) | 配置文件策略规则的安全控制 | |
| CN101730102B (zh) | 一种对家用基站用户实施鉴权的系统及方法 | |
| CN102056164B (zh) | 一种家庭基站接入网络的方法、家庭基站管理服务器 | |
| CN104581875A (zh) | 微型基站接入方法和系统 | |
| US20230048066A1 (en) | Slice authentication method and apparatus | |
| CN101754211A (zh) | 认证协商方法及系统、安全网关、家庭无线接入点 | |
| CN114024594A (zh) | 卫星通信系统的通信方法和装置 | |
| CN104185245A (zh) | 一种限制基站的接入位置的方法、装置和系统 | |
| CN104486358B (zh) | 一种基于微基站的融合通信系统 | |
| CN115004635A (zh) | 签约信息获取方法及装置 | |
| CN102084690A (zh) | 确定闭合用户群标识中用于开放网络接入的区域的方法 | |
| CN114286303B (zh) | 卫星陆地空间漫游计费的方法、系统及存储介质 | |
| CN101933368B (zh) | 一种对用户设备准入小区进行限制的方法 | |
| US20220232382A1 (en) | Controlling provision of access to restricted local operator services by user equipment | |
| CN104735688B (zh) | 一种微基站系统 | |
| CN104904177A (zh) | 无线通信系统和方法 | |
| KR20110057241A (ko) | 홈 기지국에서 시그널링 트래픽을 최소화하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101110 |