CN104541489A - 用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品 - Google Patents
用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品 Download PDFInfo
- Publication number
- CN104541489A CN104541489A CN201380040999.6A CN201380040999A CN104541489A CN 104541489 A CN104541489 A CN 104541489A CN 201380040999 A CN201380040999 A CN 201380040999A CN 104541489 A CN104541489 A CN 104541489A
- Authority
- CN
- China
- Prior art keywords
- network node
- remote network
- configuration
- entity
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于配置电信网络的网络节点的方法,该电信网络包括:-多个远程网络节点,-多个防火墙实体,以及-多个中央网络节点,其中,通过第一配置参数集所配置所述多个远程网络节点中的一远程网络节点并且通过从加密信息基础设施所获得的加密信息认证所述多个远程网络节点中的所述远程网络节点,其中,通过第二配置参数集配置所述多个防火墙实体中的一防火墙实体,其中,由所述多个远程网络节点中的所述远程网络节点通过从远程网络节点直接地或间接地发送至所述防火墙实体的初始配置消息发起对所述多个防火墙实体中的所述防火墙实体的配置,以及其中,由所述远程网络节点的所述加密信息认证所述多个防火墙实体中的所述防火墙实体的配置,所述加密信息是与所述初始配置消息一起由所述防火墙实体直接地或间接地从所述远程网络节点获得的。
Description
背景技术
本发明涉及用于配置电信网络的网络节点的方法,尤其涉及公共陆地移动网络。
本发明还涉及包含多个远程网络节点、多个防火墙实体和多个中央网络节点的电信网络。
当前,电信网络,尤其是诸如公共陆地移动网络的电信网络是相当复杂的。来自远程站点(或典型的分布式站点),尤其是无线电基站的业务需要经过若干防火墙才能到达目的地,例如,诸如网络管理系统(NMS)的公共陆地移动网络的核心网的中央网络节点、公钥基础设施系统(PKI-系统)或另一网络实体。至目的地路上的所有防火墙需要被恰当地配置,因为不然通信会被阻断。
目前,下述原理应用于防火墙配置:
--当前,防火墙实体的配置是手动过程,
--尤其是在异构环境(不同的防火墙类型/供应商,不同的任务等)中,每个防火墙将被单独地(经常是依次地)配置。
--针对所有防火墙的中央配置系统是不可能的和/或从一个防火墙供应商到另一个防火墙供应商以及部分地从一个防火墙软件版本到另一防火墙软件版本将需要手动地作出调整。
这意味着确保电信网络中的防火墙实体保持最新并且处于可操作状态的配置工作从实现互联网协议网络的动态配置和重配置以及配置与重配置中的自动化这个角度看是不利的。
目前,下述原理应用于端系统或诸如无线电基站的远程网络节点:
--网络单元,例如,诸如无线电基站的远程网络节点正使用证书建立IPSec通道并且获得对中央站点的访问权。为了得到对骨干网的访问权,网络单元,例如,诸如eNodeB的无线电基站正将证书呈现给IPSec网关,IPSec网关正检查证书,并且如果结果是肯定的,则远程网络单元能够建立IPSec通道并且访问骨干网,
--在即插即用过程期间由公钥基础设施系统将初始证书提供给网络单元,
--至少部分地,发生忘记配置防火墙或者例如使用错误的接口错误地应用防火墙的配置。
--至少部分地,在操作与维护过程中,忘记或未覆盖对不再需要的防火墙规则的删除,从而如果一些通信关系不再需要,使得防火墙规则集将仅增加而不减少。
这导致相当重要的工作是将诸如无线电基站的远程网络单元集成到现有的电信网络中或配置电信网络的网络节点,使得电信网络提供相当高的服务水平(即,是可操作的)并且同时在电信网络内提供相当高的安全级别。
发明内容
本发明的目的是提供一种用于配置电信网络的网络节点的方法,其中,所述电信网络包括多个远程网络节点、多个防火墙实体以及多个中央网络节点,其中,降低了配置和安装所述电信网络内的网络单元的工作量,所述电信网络的可操作功能增加并且配置网络节点的工作量减少。
通过用于配置电信网络的网络节点的方法实现本发明的目的,所述电信网络包括:
--多个远程网络节点,
--多个防火墙实体,以及
--多个中央网络节点,
其中,通过第一配置参数集配置所述多个远程网络节点中的一远程网络节点并且通过从加密信息基础设施获得的加密信息认证所述多个远程网络节点中的所述远程网络节点,其中,通过第二配置参数集配置所述多个防火墙实体中的一防火墙实体,
--其中,由所述多个远程网络节点中的所述远程网络节点通过从所述远程网络节点直接地或间接地发送至所述防火墙实体的初始配置消息发起对所述多个防火墙实体中的所述防火墙实体的配置,以及
--其中,由所述远程网络节点的加密信息认证所述多个防火墙实体中的所述防火墙实体的配置,所述加密信息是与所述初始配置消息一起由所述防火墙实体直接地或间接地从所述远程网络节点获取的。
因此,有利的是根据本发明来使用相同的证书或相同的预共享密钥,即,相同的加密或认证信息,这两者均用于建立IPSec通道以及自动配置防火墙规则。通常,通过使用即插即用过程将诸如新eNodeB的新的无线电基站集成到电信网络中。这意味着,无线电基站或远程网络节点被连接至电信网络或被插入到电信网络中,然后,所有的事情均由存储在无线电基站中或远程网络节点中的信息来完成。该即插即用过程通常包括作为第一步的通过DHCP(动态主机配置协议)请求消息扫描正确VLAN(虚拟局域网)。而且,在第二步中,远程网络节点,尤其是无线电基站将接收单个VLAN上的DHCP应答消息。此外,该DHCP应答消息包括用于无线电基站或远程网络节点的一些基本配置。在第三步期间,该基本配置还允许远程网络节点或无线电基站请求通常为公钥基础设施的加密信息基础设施处的加密或认证证书。作为请求加密或认证证书之外的另一种选择,根据本发明,将预共享密钥分发给远程网络节点,即,无线电基站是可能的。在即插即用过程之后的第四步中,加密信息基础设施,即,尤其是公钥基础设施将通过不同的措施认证远程网络节点,尤其是无线电基站。这些措施是,例如,对应当被列在加密信息基础设施的白名单上的无线电基站的序列号的检查,并且此外工厂证书(在工厂内被安装在远程网络节点上或无线电基站上,即,在无线电基站的制造期间)将优选地被生效。如果成功地进行了对第四步的即插即用过程的检查,则加密信息基础设施系统,优选地公钥基础设施系统将为远程网络节点或无线电基站发布运营证书。该运营证书优选地为加密证书,用于在远程网络节点与中央网络节点之间建立IPSec通道通信。可选地,根据本发明,将预共享密钥分发给远程网络节点并且用于为远程网络节点的通信提供加密或认证是可能的。根据本发明的一个优选实施方案,公钥基础设施系统或加密信息基础设施还将作为集成引擎,管理多个无线电基站——即,多个远程网络节点——与通信端点——例如电信网络的中央网络节点或核心网络实体——之间的电信网络内的防火墙实体的规则。该加密信息基础设施,尤其是公钥基础设施将包括与发布给远程网络节点,尤其是无线电基站的加密证书相关的防火墙规则的信息。在第六步中,远程网络节点,尤其是无线电基站将向端点发送初始配置消息,该初始配置消息被配置以为所需的通信打开所需的防火墙。该初始配置消息通常包括认证和/或加密信息,即,在网络单元——即,通常的中央网络节点和/或防火墙实体——处用于认证的运营证书或运营加密证书或预共享密钥,并且此外还包括所需的防火墙规则。在第七步中,如果初始配置消息正经过防火墙实体,则该防火墙实体将使用所附带的加密信息,即,加密证书或预共享密钥来认证诸如无线电基站的远程网络节点,并且使用与加密信息相关联的信息配置防火墙实体,即,配置其自身。
根据本发明的优选实施方案,所述加密信息是加密证书或者预共享密钥信息,其中,所述加密信息基础设施优选为公钥基础设施。
因此,有利的是将预共享密钥信息或者将加密证书用作加密信息。
根据本发明的又一优选实施方案,由集成引擎提供所述第二配置参数集,所述集成引擎被提供:
--在所述多个远程网络节点中的所述远程网络节点处,和/或
--在所述加密信息基础设施处,和/或
--在所述多个中央网络节点的所述中央网络节点处,和/或
--在配置服务器处。
因此,有利的是能够在所述电信网络内灵活地设置所述集成引擎。
根据本发明,更优选的是由所述集成引擎基于所述第一配置参数集和网络节点通信协议实现(network nodes communication protocolimplementation)生成所述第二配置参数集。
因此,有利的是基于所述第一配置参数集和所述网络节点通信协议实现自动地和/或动态地生成所述第二配置参数集,其中,网络节点通信协议实现尤其地对应于网络节点(例如,远程网络节点或中央网络节点)的默认配置(例如,工厂设置)。
根据本发明的又一优选实施方案,所述加密信息既用于配置所述多个防火墙实体中的所述防火墙实体又用于在所述多个远程网络节点中的所述远程网络节点与所述多个中央网络节点之间建立安全通信通道。
因此,有利的是不仅将远程网络节点集成到通信网络中用于通信目的,而且还通过加密信息配置防火墙实体。
根据本发明实施方案,更优选的是,所述加密信息和所述第二配置参数集用于配置所述多个远程网络节点中的所述远程网络节点与所述多个中央网络节点之间的所述多个防火墙实体中的至少两个防火墙实体。
因此,根据本发明,有利的是在多于一个的防火墙实体被用于完成远程网络节点与中央网络节点中的一个之间的通信需求的情况下,由所述第二配置参数集中的加密信息配置多于一个的防火墙实体。
根据本发明的再一优选实施方案,所述远程网络节点周期性地发送配置保活消息,以通知远程网络节点与一个通信端点之间的其他网络节点配置仍有效,其中,在可配置的时间间隔未在防火墙实体处接收到保活消息的情况下,配置被无效。
因此,根据本发明,有利的是,防火墙实体的配置时刻保持最新,这意味着配置参数的未使用部分被擦除,这提高了通信网络的整体安全水平,因为通过使某些配置信息无效来关闭未使用的开放通道,这意味着在防火墙期望配置保活消息的一定时间间隔之后至少关闭了之前的开放通道,并且在该时间间隔内未收到配置保活消息的情况下关闭相应的(之前的)开放通道。
根据本发明,有利的是,由中央网络节点通过配置保活确认消息向远程网络节点答复对配置保活消息的接收。例如,根据本发明,可能并且优选地是,远程网络节点在配置保活时间间隔内,例如一小时或两小时或三小时等重复地发送配置保活消息。如果远程网络节点没有从相应的相关网络节点,尤其是中央网络节点接收到配置保活确认消息,则又一操作发生,例如,用电信网络内的错误处理系统发出异常。根据另一优选实施方案(不使用配置保活确认消息),选择在防火墙实体处未接收到保活消息的情况下使配置无效的时间间隔(此后也被称无效时间间隔),使得配置保活时间间隔相对较短,例如,无效时间间隔对应于三倍(或四倍或五倍或十倍或二十倍)的配置保活时间间隔。因此,根据本发明,有利的是,远程网络节点仅发送配置保活消息,而其他网络节点,尤其是防火墙实体不必发送配置保活确认消息。
根据本发明的又一优选实施方案,由远程网络节点触发中央节点,以配置防火墙实体,尤其是通过确认来自远程网络节点的初始配置消息,其中优选地,通过使用中央网络节点的加密信息认证确认消息。
此外,本发明涉及用于配置电信网络的网络节点的电信网络,所述电信网络包括:
--多个远程网络节点,
--多个防火墙实体,以及
--多个中央网络节点,
其中,提供第一配置参数集,用于所述多个远程网络节点中的一远程网络节点的配置,并且其中,提供加密信息以认证所述多个远程网络节点中的所述远程网络节点,所述加密信息是自加密信息基础设施获得的,其中,所述电信网络被配置为使得通过第二配置参数集配置所述多个防火墙实体中的一防火墙实体,
--其中,所述电信网络被配置为使得由所述多个远程网络节点中的所述远程网络节点通过从远程网络节点直接地或间接地发送至所述防火墙实体的初始配置消息来发起对所述多个防火墙实体中的所述防火墙实体的配置,以及
--其中,所述电信网络被配置为使得由所述远程网络节点的所述加密信息认证对所述多个防火墙实体中的所述防火墙实体的配置,所述加密信息是与所述初始配置消息一起由所述防火墙实体直接地或间接地从所述远程网络节点获取的。
有利地使根据本发明的电信网络能够以更方便的方式可配置,即,用更少的时间和更少的手动配置步骤。通常结果是电信网络内的更高的安全级别。
根据本发明,更优选地是还关于该电信网络,该电信网络包括集成引擎,其中,所述集成引擎包括所述第二配置参数集,所述集成引擎被提供:
--在所述多个远程网络节点中的所述远程网络节点处,和/或
--在所述公钥基础设施处,和/或
--在所述多个中央网络节点中的所述中央网络节点处,和/或
--在配置服务器处。
根据本发明的又一优选实施方案还关于电信网络,优选地是,电信网络被配置为使得加密证书既用于配置所述多个防火墙实体中的所述防火墙实体又用于在所述多个远程网络节点中的所述远程网络节点与所述多个中央网络节点之间建立安全通信通道。
根据本发明,更优选地是,加密证书和第二配置参数集用于配置所述多个远程网络节点中的所述远程网络节点与所述多个中央网络节点之间的所述多个防火墙实体中的至少两个防火墙实体。
此外,本发明涉及包括计算机可读程序代码的程序,当在计算机上或在电信网络实体上执行该计算机可读程序代码时,使得所述计算机或所述电信网络的实体执行发明的方法。
另外,本发明涉及用于使用用户设备的计算机程序产品,所述计算机程序产品包括存储在存储介质上的计算机程序,所述计算机程序包括程序代码,当在计算机上或在电信网络的实体上执行所述程序代码时,使得所述计算机或所述电信网络的实体执行发明的方法。
结合附图,根据以下详细描述,本发明的这些或其他特性、特征和优点将变得明显,附图通过实例示出本发明的原理。仅为了实例给出描述,而不限定本发明的范围。下面引用的参考图指的是附图。
附图说明
图1示意性地示出作为被集成在电信网络中的远程网络节点的实例的多个无线电基站,该电信网络包括多个防火墙实体和多个中央网络节点。
图2示意性地示出远程网络节点、多个防火墙实体与多个中央网络节点之间通信的通信示意图。
图3和4示意性地示出远程网络节点、第一和第二防火墙实体以及中央网络节点之间通信的通信示意图。
具体实施方式
将根据特定实施方案并且根据某些附图描述本发明,但本发明并不限于此,而是仅由权利要求所限定。所描述的附图仅是示意性的而非限定性的。在附图中,为了示意性的目的,某些单元的尺寸可以被夸大并且不按尺度绘制。
当指定是单数名词时使用不定冠词或定冠词,例如,“一个(a/an)”,"所述(the)",这包括多个该名词,除非明确地指出别的东西。
此外,说明书中和权利要求中的术语第一、第二、第三等用于辨别相似单元而不必然用于描述顺序或时间顺序。将理解,如此描述的术语在恰当的环境下是可互换的,并且于此所描述的本发明的实施方案是能够按不同于此处所描述的或示出的其他顺序来操作的。
在图1中,作为远程网络节点10的实例的多个无线电基站10被集成到电信网络5中,其中,电信网络5包括多个防火墙实体20和多个中央网络节点30。作为多个远程网络节点10,尤其是无线电基站10的实例,示意性地示出了第一远程网络节点11、第二远程网络节点12和第三远程网络节点13。同样地,作为多个防火墙实体20的实例,将第一防火墙实体21、第二防火墙实体22和第三防火墙实体23示意性地示作电信网络5的一部分。此外,作为多个中央网络节点30的实例,示意性地示出了第一中央网络节点31和第二中央网络节点32。示例性地,第一远程网络节点11连接至第一防火墙实体21。此外,示意性地,第二远程网络节点12也连接至第一防火墙实体21。此外,示例性地,第三远程网络节点13连接至第三防火墙实体23。此外,示例性地,第一防火墙实体21连接至第二防火墙实体22。此外,示例性地,第一防火墙实体21连接至第三防火墙实体23。此外,示例性地,第二防火墙实体连接至第一中央网络节点31。此外,示例性地,第三防火墙实体23连接至第二中央网络节点23。
此外,电信网络5包括加密信息基础设施40和集成引擎50。此外,根据本发明,优选地是,电信网络5包括配置服务器60。
在图2中,示意性地示出远程网络节点11,第一、第二与第三防火墙实体21、22、23和第一与第二中央节点31、32之间通信的通信示意图。在第一步101中,第一远程网络节点11从加密信息基础设施40请求证书或加密(或认证)信息(其还能是预共享密钥)。优选地为公钥基础设施40的加密信息基础设施还准备防火墙规则。在本发明的电信网络的实施方案中,还能将用于准备防火墙规则的功能设置在配置服务器60中或集成引擎50中。在第二步102中,加密信息基础设施40将包括防火墙规则的加密信息提供给第一远程网络节点11。第一和第二步101、102与用于提供正确的加密(或认证)信息,尤其是加密证书或预共享密钥以及防火墙规则的预备步骤或准备步骤相关。在第二示例性步骤组中,将在第一远程网络节点11和第一中央网络节点31,尤其是电信网络5的核心网的网络节点之间建立通信。为了此目的,在第三步中,将消息从第一远程网络节点11111发送至第一防火墙实体21。消息111对应于包含目的地的指示——也就是例如属于电信网络5的核心网的第一中央网络节点31的IP地址——的防火墙配置消息。在第四步112中,由第一防火墙实体21使加密(或认证)证书、或更一般的加密(或认证)信息生效。在第五步113中,配置第一防火墙实体21的防火墙规则。在第六步114中,将消息从第一防火墙实体21发送至第二防火墙实体22,该消息对应于还包括关于通信事件的目的地,也就是第一中央网络节点31的指示的防火墙配置消息。源地址保持第一远程网络节点11的地址。在第七步115中,由第二防火墙实体22使第六步的防火墙配置消息生效,并且在第八步116中,配置第二防火墙实体22的相应防火墙规则。在第九步117中,将防火墙配置消息从第二防火墙实体22发送至第一中央网络节点31。在第九步之后,在第一远程网络节点11和第一中央网络节点31之间建立了通信链路,并且在第十步118中,建立该通信链路用于为从第一远程网络节点11向第一中央节点31传输业务信息提供可能性。以类似于在第一远程网络节点11与第一中央网络节点31之间提供通信链路的第二步骤组的方式,在第三步骤组中,通过第十一步121、第十二步122、第十三步123、第十四步124、第十五步125、第十六步126、第十七步127和第十八步128在第一远程网络节点11和第二中央网络节点32之间建立通信链路。第十一步121对应于第三步111。第十二步122对应于第四步112。第十三步123对应于第五步113。第十四步124对应于第六步114,所不同的是不是从第一防火墙实体21向第二防火墙实体22而是从第一防火墙实体21向第三防火墙实体23发送防火墙配置消息。第十五和十六步125、126对应于第七和第八步115、116,所不同的是由第三防火墙23而不是由第二防火墙22执行该步骤。同样地,第十七步127对应于第九步117,所不同的是涉及第三防火墙实体23和第二中央网络节点32。第三步111的、第六步114的和第九步117的消息相互对应,即,消息的内容是相同的,仅(分别由第一防火墙实体21或由第二防火墙实体22)发生了转发动作。同样地,第十一步121的、第十四步124的和第十七步127的消息相互对应,即,消息的内容是相同的,仅(分别由第一防火墙实体21或由第三防火墙实体23)发生了转发动作。
本发明的理念是还使用接入电信网络5所需要的认证信息或加密信息来认证网络节点,尤其是远程网络节点自动集成到电信网络5中的参数变化。如果新节点,即,新的远程网络节点应当被集成到电信网络5中,则该远程网络节点,例如,第一远程网络节点11将相应地被配置,并且将获得诸如加密证书或预共享密钥的认证信息和/或加密信息。所涉及的远程网络节点,例如,第一远程网络节点11应当使用该认证信息和/或加密信息来认证将其自身集成到电信网络5中所需的配置变化。远程网络节点将能够将其自身集成到电信网络内,使得不需要手动地支持对远程网络节点11的配置,并且将自动地完成对其余网络的配置。为了实现这种自集成,根据本发明提出了下面的部件:生成对网络节点的配置所需的配置参数的集成引擎50。此外,需要恰当的协议向所涉及的网络单元提供配置参数。为了构建所需的配置变化,集成引擎50被使用。集成引擎为设置在远程网络节点(将被新集成到电信网络内)和远程网络节点的通信端点之间的电信网络的节点或其它网络设备(自动地或手动地)生成所需的参数。集成引擎能够被设置在电信网络内,例如,在认证服务器(例如,诸如公钥基础设施的加密信息基础设施)上,或在通信端点——即,诸如EMS的中央网络节点——上,还能够在远程网络节点自身中实现核心网络的实体或集成引擎。
在集成引擎50被设置在电信网络5内的单独服务器上的情况下,在远程网络节点的集成能够开始之前,远程网络节点(将被新配置或集成到电信网络内)需要从集成引擎50接收用于配置远程网络节点和通信端点之间的网络实体的配置参数。在集成引擎50上,即,在所述单独服务器上管理配置参数以跟踪电信网络5内所计划的变化。原则上,按下述完成对远程网络节点的集成:
--在集成过程的第一部分中,在集成引擎50上预先配置用于远程网络节点与远程网络节点的通信端点之间的电信网络5的网络节点或网络实体的配置参数,
--在集成过程的第二部分中,远程网络节点将联系集成引擎50,
--在集成过程的第三部分中,集成引擎50将提供至少一个配置参数,优选地提供多个配置参数。电信网络5内的集成引擎50的位置的这个实施方案的实例包括:在无线电网络内,集成引擎50被设置:
--在公钥基础设施系统上(即,在加密信息基础设施上)
或
--在配置服务器上,在初始化即插即用过程期间作为新的无线电基站的第一个接触点。
根据又一实施方案,集成引擎50被集成在至少一个通信端点上或多个通信端点上。由设置在该端点或多个端点处的集成引擎管理用于配置远程网络节点与端点之间的网络节点的参数。如果将集成引擎50设置在远程网络节点的通信端点上,则其间的网络需要允许远程网络节点至端点的初始通信。如果集成引擎正从新的远程网络节点接收初始消息,则集成引擎50将用所需的参数/配置答复。为生成所需的配置,两个选项是可能的:
--在集成引擎上预先配置用于远程网络节点与远程网络节点的通信端点之间的网络实体的配置参数;
--端点自身知道对于将新的远程网络节点集成到通信网络内需要哪些配置参数。所以端点上的集成引擎50能够自动地生成对于远程网络节点与该节点的通信端点之间的网络实体所需的配置参数。这意味着不需要对集成引擎50进行手动的预配置。例如,在无线电网络内,能够将集成引擎50设置在EMS(单元管理系统)上,因为EMS现在已经预配置有新的无线电基站,即,新的远程网络节点的信息,所以容易额外地再包括对远程网络节点与通信端点之间的网络实体进行配置所需的参数。因为EMS知道远程网络节点与诸如EMS的中央网络节点之间的通信需要哪些服务,因此,还能由EMS自动地生成需要被应用于远程网络节点(即,例如,无线电基站)和EMS之间的防火墙(或多个防火墙)的防火墙规则。
根据又一实施方案,还能将集成引擎50设置在远程网络节点自身上。远程网络节点已经知道其配置作为先决条件并知道其通信端点,以便远程网络节点自身能够自动地生成远程网络节点与通信端点之间的电信网络的网络实体所需的配置参数。根据本发明,能用远程网络节点的初始配置,即,用第一配置参数集来预配置所需的参数。
下面给出了由本发明提出的将新的远程网络节点集成到电信网络5内的具体协议。在集成引擎50已经生成新的远程网络节点(此后还被称为第一配置参数集,旨在配置远程网络节点)的配置参数之后,新的远程网络节点需要触发电信网络5内(即,远程网络节点与通信端点之间的网络节点内)的配置变化以集成其自身,即,电信网络中的远程网络节点。因为这个原因,协议优选地被用于使远程网络节点与通信端点之间的网络单元意识到所需的参数设置或配置(此后还被称为第二配置参数集,旨在配置远程网络节点与通信端点之间的网络实体,尤其是防火墙实体)。在远程网络节点能够与端点开始常规的通信,即,业务传输之前,远程网络节点需要向远程网络节点的所有通信端点发送初始配置消息,尤其指定源地址(即,远程网络节点的地址)和目的地址(即,通信端点的地址)。根据本发明的优选实施方案,下列消息类型被用于实现远程网络节点至现有电信网络的自动集成:
--初始配置消息,
--初始配置消息确认,
--初始配置消息再确认,
--配置更新消息,
--配置更新消息确认,
--配置更新消息再确认,
--请求配置消息,
--请求配置消息确认,
--请求配置消息再确认,
--配置保活消息,
--配置保活消息确认,
--配置保活消息再确认。
下列实例描述了根据本发明的示例性协议的功能:
通信端点,即,多个中央网络节点30中的一个,处理用于远程网络节点的配置参数,即,将集成引擎50设置在通信线路的端点上。在远程网络节点,例如,第一远程网络节点11已经接收到认证信息——即,加密信息——和配置信息(或第一配置参数集)之后,远程网络节点正将仅包括加密信息(或认证信息)的初始配置消息发送至通信端点。默认地,该消息需要被允许通过电信网络的网络实体(对应于网络节点的一般预配置)。端点一接收到初始配置消息,端点就生成包括端点的认证消息和由集成引擎生成的用于网络实体的网络参数或网络配置(即,第二配置参数集)的确认消息。每当这个确认消息正经过网络单元,就使用该确认消息内的信息认证并配置网络单元以集成新的远程网络节点。远程网络节点一接收到通信端点的确认消息,远程网络节点最终就将用包括用确认消息所接收的用于网络的参数/配置的再确认消息(即,初始配置消息再确认)应答。同样,再确认消息将包括认证消息。图3示出用于集成引擎50被设置在端点中的情形的通信。图3表示第一远程网络节点11、第一防火墙实体21、第二防火墙实体22和第一中央网络节点31之间的通信。在预备步骤130、120中,由远程网络节点11接收认证信息,并且完成节点配置。在由参考符号161所指示的消息中,将初始配置消息从第一远程网络节点11发送至第一防火墙实体21,初始配置消息被指引至对应于第一中央网络节点31的通信端点。在通过参考符号162所指示的处理步骤中,由作为第一防火墙实体21的第一网络单元使认证信息或加密信息生效。此外,生成至在示例性实施方案中为第二防火墙实体22的第二网络单元的转发消息。这由参考符号163所表示,包括至通信端点(第一中央网络节点31)的初始配置消息。在由参考符号164所指示的相应处理步骤中,使加密或认证信息生效,并且由参考符号165所表示的将初始配置消息转发至第一中央网络单元31。由参考符号171所指示的,由第一中央网络节点31将初始配置消息确认发送至第二防火墙实体22。由处理步骤172和173所指示的,在第二防火墙实体22中,使认证信息生效,并且使用参数和配置信息来适配网络单元配置。此外,由参考符号174所表示的,将初始配置消息确认传输至第一防火墙实体21。在处理步骤175、176中,使认证信息生效,并且使用参数和配置信息来适配第一防火墙实体21的配置。参考符号177表示将初始配置消息确认转发至远程网络节点11。参考符号178表示由第一远程网络节点111将初始配置消息再确认发送至通信端点,即,第一中央网络节点31。随后,由参考符号200所指示的,提供业务传输的通信开始了。
在本发明的又一可选的变形中,远程网络节点(例如,第一远程网络节点11)自身正处理用于网络的配置参数(这意味着将集成引擎50设置在远程网络节点11上)。初始配置消息包括认证信息或加密信息(即,认证证书和/或签名和/或预共享密钥),并且还包括用于远程网络节点与通信端点(例如,第一中央网络节点31)之间的网络单元的配置参数。每当初始配置消息经过网络单元时,该网络单元首先检查认证信息(或加密信息)并且在成功的认证检查之后使用该初始配置消息内的配置参数来配置其自身。在配置在网络单元内可用之后,该消息将被转发直至到达通信端点。一到达通信端点,初始配置就需要被端点所确认。该确认消息还应当包括认证信息(或加密信息)以及网络参数和/或配置。这允许从通信端点至远程网络节点的反向通信线路的配置,如果针对不同方向,则使用通过电信网络的不同方式。为了完成配置通信,远程网络节点在从通信端点接收到确认消息后将再确认初始配置消息。在图4中,给出了这种消息流的实例。在预备步骤120,130中,认证信息在远程网络节点处可用,并且完成节点配置。此外,用于网络单元的参数/配置或者存在于远程网络节点处(即,将集成引擎50设置在远程网络节点处)或者从托管集成引擎的单独服务器接收用于网络单元的参数和/或配置。在由参考符号141所指示的消息中,将初始配置消息从第一远程网络节点11发送至第一防火墙实体21,初始配置消息被指引到对应于第一中央网络节点31的通信端点。在通过参考符号142和143所指示的两个处理步骤中,由作为第一防火墙实体21的第一网络单元使认证信息或加密信息生效。此外,适配第一防火墙实体21配置的参数和配置信息被用于接受初始配置消息和所生成送至在示例性实施方案中为第二防火墙实体22的第二网络单元的转发消息。这由这参考符号144所表示,包括至通信端点(第一中央网络节点31)的初始配置消息。在由参考符号145和146所指示的相应处理步骤中,使加密或认证信息生效并且使用参数和配置来适配第二防火墙实体22,并且由参考符号147所表示的将初始配置消息转发至第一中央网络单元31。由参考符号151所指示的,第一中央网络单元31然后向远程网络节点应答初始配置消息确认。该初始配置消息确认包括认证信息和网络参数与配置。此外,由参考符号152所指示的,远程网络节点11向第一中央网络节点31应答初始配置消息再确认。随后,由参考符号200所指示的,实现业务信息传输的通信能够开始了。
由集成引擎所提供的用于电信网络5内的新集成的远程网络节点的参数分发或配置需要被签名和/或加密,使得没有“人在中间”能够改变该信息。尤其是,能将配置参数(即,第二配置参数集)包括到被用于认证电信网络5处的远程网络节点的证书中。
Claims (14)
1.一种用于配置电信网络(5)的网络节点的方法,所述电信网络(5)包括:
--多个远程网络节点(10),
--多个防火墙实体(20),以及
--多个中央网络节点(30),
其中,通过第一配置参数集配置所述多个远程网络节点(10)中的一远程网络节点(11)并通过从加密信息基础设施(40)获得的加密信息认证所述多个远程网络节点(10)中的所述远程网络节点(11),其中,通过第二配置参数集配置所述多个防火墙实体(20)中的一防火墙实体(21,22,23),
--其中,由所述多个远程网络节点(10)中的所述远程网络节点(11)通过从所述远程网络节点(11)直接地或间接地发送至所述防火墙实体(21,22,23)的初始配置消息发起对所述多个防火墙实体(20)中的所述防火墙实体(21,22,23)的配置,以及
--其中,由所述远程网络节点(11)的所述加密信息认证对所述多个防火墙实体(20)中的所述防火墙实体(21,22,23)的配置,所述加密信息是与所述初始配置消息一起由所述防火墙实体(21,22,23)直接地或间接地从所述远程网络节点(11)获取的。
2.根据权利要求1所述的方法,其中,所述加密信息是加密证书或者预共享密钥信息,其中,所述加密信息基础设施(40)优选地为公钥基础设施。
3.根据前述权利要求中任一项所述的方法,其中,由集成引擎(50)提供所述第二配置参数集,所述集成引擎(50)被提供:
--在所述多个远程网络节点(10)中的所述远程网络节点(11)处,和/或
--在所述加密信息基础设施(40)处,和/或
--在所述多个中央网络节点(30)中的中央网络节点(31,32)处,和/或
--在配置服务器(60)处。
4.根据前述权利要求中任一项所述的方法,其中,由所述集成引擎(50)基于所述第一配置参数集和网络节点通信协议实现自动地生成所述第二配置参数集。
5.根据前述权利要求中任一项所述的方法,其中,所述加密信息既用于配置所述多个防火墙实体(20)中的所述防火墙实体(21,22,23)又用于在所述多个远程网络节点(10)中的所述远程网络节点(11)与所述多个中央网络节点(30)之间建立安全通信通道。
6.根据前述权利要求中任一项所述的方法,其中,所述加密信息和所述第二配置参数集用于配置所述多个远程网络节点(10)中的所述远程网络节点(11)与所述多个中央网络节点(30)之间的所述多个防火墙实体(20)中的至少两个防火墙实体(21,22,23)。
7.根据前述权利要求中任一项所述的方法,其中,所述远程网络节点(11)周期性地发送配置保活消息以通知所述远程网络节点(11)与一个通信端点之间的其他网络节点配置仍然有效,其中,在可配置的时间间隔,在一防火墙实体(21,22,23)处未接收到保活消息的情况下使所述配置无效。
8.根据前述权利要求中任一项所述的方法,其中,由所述远程网络节点(11)触发中央节点(31)以配置所述防火墙实体(20),尤其是通过确认来自所述远程网络节点(11)的初始配置消息,其中,优选地,通过使用所述中央网络节点的加密信息来认证所述确认消息。
9.一种用于配置电信网络(5)的网络节点的电信网络(5),所述电信网络(5)包括:
--多个远程网络节点(10),
--多个防火墙实体(20),以及
--多个中央网络节点(30),
其中,提供第一配置参数集用于所述多个远程网络节点(10)中的一远程网络节点(11)的配置,并且其中,提供加密信息以认证所述多个远程网络节点(10)中的所述远程网络节点(11),所述加密信息是从加密信息基础设施(40)获得的,其中,所述电信网络(5)被配置为使得通过第二配置参数集配置所述多个防火墙实体(20)中的一防火墙实体(21,22,23),
--其中,所述电信网络(5)被配置为使得由所述多个远程网络节点(10)中的所述远程网络节点(11)通过从所述远程网络节点(11)直接地或间接地发送至所述防火墙实体(21,22,23)的初始配置消息发起对所述多个防火墙实体(20)中的所述防火墙实体(21,22,23)的配置,以及
其中,所述电信网络(5)被配置为使得由所述远程网络节点(11)的加密信息认证和/或加密所述多个防火墙实体(20)中的所述防火墙实体(21,22,23)的配置,所述加密信息是与所述初始配置消息一起由所述防火墙实体(21,22,23)直接地或间接地从所述远程网络节点(11)获得的。
10.根据权利要求9所述的电信网络(5),其中,所述电信网络(5)包括集成引擎(50),其中,所述集成引擎(50)包括所述第二配置参数集,所述集成引擎(50)被提供:
--在所述多个远程网络节点(10)中的所述远程网络节点(11)处,和/或
--在所述加密信息基础设施(40)处,和/或
--在所述多个中央网络节点(30)中的中央网络节点(31,32)处,和/或
--在配置服务器(60)处。
11.根据权利要求9或10所述的电信网络(5),其中,所述电信网络(5)被配置为使得所述加密信息既用于配置所述多个防火墙实体(20)中的所述防火墙实体(21,22,23)又用于在所述多个远程网络节点(10)中的所述远程网络节点(11)与所述多个中央网络节点(30)之间建立安全通信通道。
12.根据权利要求9、10或11所述的电信网络(5),其中,所述加密信息和所述第二配置参数集被用于配置所述远程网络节点(10)中的所述远程网络节点(11)与所述多个中央网络节点(30)之间的所述多个防火墙实体(20)中的至少两个防火墙实体(21,22,23)。
13.一种包括计算机可读程序代码的程序,当在计算机上或电信网络(5)的实体上执行所述计算机可读程序代码时,使得所述计算机或所述电信网络(5)的实体执行根据权利要求1至8中任一项所述的方法。
14.一种用于使用用户设备(20)的计算机程序产品,所述计算机程序产品包括存储在存储介质上的计算机程序,所述计算机程序包括程序代码,当在计算机上或电信网络(5)的实体上执行所述程序代码时,使得所述计算机或所述电信网络(5)的实体执行根据权利要求1至8中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12179003 | 2012-08-02 | ||
| EP12179003.4 | 2012-08-02 | ||
| PCT/EP2013/064202 WO2014019799A1 (en) | 2012-08-02 | 2013-07-04 | Method for configuring network nodes of a telecommunications network, telecommunications network, program and computer program product |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104541489A true CN104541489A (zh) | 2015-04-22 |
| CN104541489B CN104541489B (zh) | 2018-04-03 |
Family
ID=48747554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380040999.6A Active CN104541489B (zh) | 2012-08-02 | 2013-07-04 | 用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9485217B2 (zh) |
| EP (1) | EP2880832B1 (zh) |
| JP (1) | JP6329947B2 (zh) |
| CN (1) | CN104541489B (zh) |
| WO (1) | WO2014019799A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878046A (zh) * | 2015-12-10 | 2017-06-20 | 空中客车防卫及太空有限公司 | 配置网络安全实体 |
| CN107040508A (zh) * | 2015-11-23 | 2017-08-11 | 西门子公司 | 用于适配终端设备的授权信息的设备和方法 |
| CN108270591A (zh) * | 2016-12-30 | 2018-07-10 | 华为技术有限公司 | 一种配置网络设备的方法和相关设备 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150032018A (ko) * | 2013-09-17 | 2015-03-25 | 삼성전자주식회사 | 전자 장치 및 전자 장치의 정보 전송 방법, 정보 전송 시스템 |
| US11032762B1 (en) * | 2018-09-18 | 2021-06-08 | Amazon Technologies, Inc. | Saving power by spoofing a device |
| CN110719169A (zh) * | 2019-11-07 | 2020-01-21 | 北京小米移动软件有限公司 | 传输路由器安全信息的方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070157301A1 (en) * | 2005-12-30 | 2007-07-05 | Claudio Taglienti | State-full perimeter security for data networks |
| US20080028457A1 (en) * | 2006-07-28 | 2008-01-31 | Microsoft Corporation | Remote configuration of software component using proxy |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020080784A1 (en) * | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
| US20020194497A1 (en) | 2001-04-30 | 2002-12-19 | Mcguire Jacob | Firewall configuration tool for automated deployment and management of network devices |
| JP4263986B2 (ja) * | 2003-11-25 | 2009-05-13 | 日本電信電話株式会社 | 情報通過制御システム、情報通過制御装置、プログラム及び記録媒体 |
| JP4619059B2 (ja) * | 2004-08-12 | 2011-01-26 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム |
-
2013
- 2013-07-04 EP EP13734395.0A patent/EP2880832B1/en active Active
- 2013-07-04 US US14/418,456 patent/US9485217B2/en active Active
- 2013-07-04 WO PCT/EP2013/064202 patent/WO2014019799A1/en active Application Filing
- 2013-07-04 JP JP2015524694A patent/JP6329947B2/ja active Active
- 2013-07-04 CN CN201380040999.6A patent/CN104541489B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070157301A1 (en) * | 2005-12-30 | 2007-07-05 | Claudio Taglienti | State-full perimeter security for data networks |
| US20080028457A1 (en) * | 2006-07-28 | 2008-01-31 | Microsoft Corporation | Remote configuration of software component using proxy |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107040508A (zh) * | 2015-11-23 | 2017-08-11 | 西门子公司 | 用于适配终端设备的授权信息的设备和方法 |
| CN107040508B (zh) * | 2015-11-23 | 2021-05-28 | 西门子公司 | 用于适配终端设备的授权信息的设备和方法 |
| US11159492B2 (en) | 2015-11-23 | 2021-10-26 | Siemens Aktiengesellschaft | Apparatus and method for adapting authorization information for a terminal |
| CN106878046A (zh) * | 2015-12-10 | 2017-06-20 | 空中客车防卫及太空有限公司 | 配置网络安全实体 |
| CN106878046B (zh) * | 2015-12-10 | 2021-07-13 | 空中客车防卫及太空有限公司 | 配置网络安全实体 |
| CN108270591A (zh) * | 2016-12-30 | 2018-07-10 | 华为技术有限公司 | 一种配置网络设备的方法和相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015530786A (ja) | 2015-10-15 |
| US9485217B2 (en) | 2016-11-01 |
| CN104541489B (zh) | 2018-04-03 |
| EP2880832A1 (en) | 2015-06-10 |
| US20150229608A1 (en) | 2015-08-13 |
| EP2880832B1 (en) | 2018-06-13 |
| WO2014019799A1 (en) | 2014-02-06 |
| JP6329947B2 (ja) | 2018-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9699270B2 (en) | Method for commissioning and joining of a field device to a network | |
| CN106664311B (zh) | 支持异构电子设备之间差异化的安全通信 | |
| EP2506491B1 (en) | Encryption information transmission terminal | |
| CN102893646B (zh) | 用于中继节点管理和授权的方法和装置 | |
| CN104541489A (zh) | 用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品 | |
| CN108141433B (zh) | 用于在网络中使用的设备、控制器、网络和方法 | |
| CN102447679B (zh) | 一种保障对等网络数据安全的方法及系统 | |
| JP2016051921A (ja) | 通信システム | |
| JP2008199324A (ja) | 通信制御課金システム、通信制御課金方法、および通信制御課金プログラム | |
| US9509670B2 (en) | System and method for managing secure communications in an Ad-Hoc network | |
| CN104023022A (zh) | 一种IPSec SA的获取方法和装置 | |
| JP2007074390A (ja) | 認証局、デバイス、移動局および通信システム並びに通信方法並びに通信プログラム | |
| JP6453351B2 (ja) | 通信ネットワークにおけるネットワーク要素の認証 | |
| WO2011064858A1 (ja) | 無線認証端末 | |
| JP2018174550A (ja) | 通信システム | |
| CN109218323A (zh) | 一种针对防火墙设备的远程配置方法 | |
| US20230396492A1 (en) | A method of, a provisioner and a system for provisioning a plurality of operatively interconnected node devices in a network | |
| CN112887968B (zh) | 一种网络设备管理方法、装置、网络管理设备及介质 | |
| US20230308868A1 (en) | Method, devices and system for performing key management | |
| JP2018157512A (ja) | デバイス、情報端末、認証管理サーバおよびデバイス認証システム | |
| JP2010233159A (ja) | 無線網接続装置、無線ネットワークシステム、認証サーバ、接続方法及びプログラム | |
| JP2015162880A (ja) | 通信システム管理装置、情報処理端末及び通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |