CN115996381B

CN115996381B - 一种无线专网的网络安全管控方法、系统、装置及介质

Info

Publication number: CN115996381B
Application number: CN202310279491.7A
Authority: CN
Inventors: 何维兵; 刘洋; 张瑾; 霍智坚
Original assignee: Guangzhou Saixun Information Technology Co ltd
Current assignee: Guangzhou Saixun Information Technology Co ltd
Priority date: 2023-03-22
Filing date: 2023-03-22
Publication date: 2023-06-23
Anticipated expiration: 2043-03-22
Also published as: CN115996381A

Abstract

本发明公开了一种无线专网的网络安全管控方法、系统、装置及介质，用于提升无线终端的使用体验和保障无线专网的网络安全，该方法包括：在无线终端完成向核心网注册后，通过前置在核心网内的安全管控锚点接收核心网接入锚点发送的应用权限请求；应用权限请求携带有用户参数；通过安全管控锚点将应用权限请求发送给第一DNAI对应的第一安全管控控制器和第一安全管控网关；通过第一安全管控控制器基于应用权限请求，确定第一用户身份信息对应的授权信息，并向第一安全管控网关发送授权信息；通过第一安全管控网关基于应用权限请求和授权信息，生成四元组的防火墙规则，并配置动态下发防火墙规则，只允许通过符合防火墙规则的访问流量。

Description

一种无线专网的网络安全管控方法、系统、装置及介质

技术领域

本发明涉及无线网络安全技术领域，特别是涉及一种无线专网的网络安全管控方法、系统、装置及介质。

背景技术

随着5G网络覆盖逐步完善，以及5G应用日渐丰富，以5G为代表的无线专网在行业中的应用逐渐兴起。基于网络切片等虚拟化技术，以及传统的虚拟专用网（VirtualPrivate Network，VPN）、防火墙等技术，5G专网不但能提供灵活便捷的专属网络接入，同时还能和企业已有的业务应用深入融合，极大的促进了产业数字化转型政策的落地实施。

当前无线专网和企业内网融合的实现方案，如图1所示，大多采用如下两种方式：

第一种方式：通过在无线终端（即用户终端（User Equipment，UE）或物联网（物联网（Internet of Things，IoT）设备）上使用VPN软件拨入企业网关。然而，这种方式在无线终端的使用体验和网络安全方面存在明显不足。比如，无线终端需要安装专用的客户端程序，且需要启动程序输入账号密码信息完成拨号后才能接入企业内网，客户适配和使用成本较高。另外，无线终端接入后，即可连通全部的企业内网应用，企业内网存在端口暴露风险，且无法对终端访问企业内网实现基于用户身份+应用基本细颗粒度严格授权管控，存在较大的网络安全风险。

第二种方式：无线终端通过用户面功能（User Plane Function，UPF）分流并在UPF侧打通到企业内网路由。然而，这种方式在网络安全方面存在明显不足。比如，与上述第一种方式在网络安全方面存在的问题相类似，即无线终端接入后，即可连通全部的企业内网应用，企业内网存在端口暴露风险，且无法对终端访问企业内网实现基于用户身份+应用基本细颗粒度严格授权管控，存在较大的网络安全风险。

综上，有必要提供一种可以提升无线终端的使用体验以及保障无线专网的网络安全的网络安全管控方案。

发明内容

基于此，本发明的目的在于提供一种无线专网的网络安全管控方法、系统、装置及介质，用于提升无线终端的使用体验以及保障无线专网的网络安全。

第一方面，本发明提供了一种无线专网的网络安全管控方法，包括：

在无线终端完成向核心网注册后，通过前置在所述核心网内的安全管控锚点接收所述核心网接入锚点发送的应用权限请求；所述应用权限请求携带有用户参数，所述用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及所述无线终端对应的源IP、源应用端口；

通过所述安全管控锚点将所述应用权限请求发送给第一DNAI对应的第一安全管控控制器和第一安全管控网关；所述第一安全管控网关为已向所述第一安全管控控制器注册的安全管控网关；

通过所述第一安全管控控制器基于所述应用权限请求，确定所述第一用户身份信息对应的授权信息，并向所述第一安全管控网关发送所述授权信息；所述授权信息包括企业内网应用对应的目的IP、目标应用端口；

通过所述第一安全管控网关基于所述应用权限请求和所述授权信息，生成四元组的防火墙规则，并配置动态下发所述防火墙规则，只允许通过符合所述防火墙规则的访问流量。

在一种可能的设计中，通过前置在所述核心网内的安全管控锚点接收所述核心网接入锚点发送的应用权限请求，包括：

通过所述安全管控锚点接收所述核心网接入锚点基于IP Option字段以加密方式发送的所述应用权限请求；其中，此处的IP为所述安全管控锚点的IP。

在一种可能的设计中，所述用户参数还包括指纹信息；通过所述安全管控锚点将所述应用权限请求发送给所述第一DNAI对应的第一安全管控控制器和第一安全管控网关，包括：

通过所述安全管控锚点解析所述应用权限请求，基于所述用户参数查询所述核心网中预先存储的DNAI与安全管控控制器之间的映射关系，确定所述第一DNAI对应的所述第一安全管控控制器，将所述应用权限请求发送给所述第一安全管控控制器；

通过所述第一安全管控控制器解析所述应用权限请求，校验所述用户参数中的源IP和指纹信息的合法性；

通过所述安全管控锚点在所述用户参数中的源IP和指纹信息通过所述第一安全管控控制器校验后，获取安全管控网关列表信息，并基于所述安全管控网关列表信息确定所述第一DNAI对应的所述第一安全管控网关，将所述应用权限请求发送给所述第一安全管控网关；所述安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系。

在一种可能的设计中，通过所述安全管控锚点将所述应用权限请求发送给所述第一安全管控控制器，包括：

通过所述安全管控锚点采用单包授权认证SPA验证模式将所述应用权限请求发送给所述第一安全管控控制器。

在一种可能的设计中，所述安全管控网关列表信息还包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态；通过所述安全管控锚点基于所述安全管控网关列表信息确定所述第一DNAI对应的所述第一安全管控网关，将所述应用权限请求发送给所述第一安全管控网关，包括：

通过所述安全管控锚点基于所述安全管控网关列表信息查询所述第一DNAI对应的第二安全管控网关是否已向所述第一安全管控控制器完成注册；

若确定所述第二安全管控网关已向所述第一安全管控控制器完成注册，则将所述第二安全管控网关作为所述第一安全管控网关；或者，若确定所述第二安全管控网关未向所述第一安全管控控制器完成注册，通过所述安全管控锚点向所述第一安全管控控制器发送安全注册请求，用于请求所述第一安全管控控制器注册所述第二安全管控网关以及建立所述安全管控锚点与所述第二安全管控网关之间的双向加密连接；在确定所述第一安全管控控制器基于所述注册请求注册所述第二安全管控网关以及建立所述双向加密连接完成后，将所述第二安全管控网关作为所述第一安全管控网关；

通过所述安全管控锚点基于所述双向加密连接将所述应用权限请求发送给所述第一安全管控网关。

在一种可能的设计中，通过所述第一安全管控控制器基于所述应用权限请求，确定所述第一用户身份信息对应的授权信息，并向所述第一安全管控网关发送所述授权信息之前，所述方法还包括：

通过所述第一安全管控控制器解析所述应用权限请求，对所述用户参数的合法性进行验证，并在验证成功后，获取所述授权信息。

在一种可能的设计中，通过所述第一安全管控网关配置动态下发所述防火墙规则，只允许通过符合所述防火墙规则的访问流量，包括：

通过所述第一安全管控网关基于所述应用权限请求，获取所述源IP、源应用端口，以及基于所述授权信息，获取所述目的IP、所述目标应用端口；

通过所述第一安全管控网关基于所述源IP、所述源应用端口、所述目的IP和所述目标应用端口，生成所述防火墙规则；

通过所述第一安全管控网关配置动态下发所述防火墙规则，使用拓展的伯克利包过滤器EBPF内核处理所述访问流量。

第二方面，本发明还提供了一种网络安全管控系统，包括：前置在核心网内的安全管控锚点、第一安全管控控制器和第一安全管控网关；其中，

所述安全管控锚点，用于在无线终端完成向所述核心网注册后，接收所述核心网接入锚点发送的应用权限请求；所述应用权限请求携带有用户参数，所述用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及所述无线终端对应的源IP、源应用端口；

所述第一安全管控控制器，用于接收所述安全管控锚点发送的所述应用权限请求；所述第一安全管控控制器为所述安全管控锚点基于第一DNAI选择的安全管控控制器；

第一安全管控网关，用于接收所述安全管控锚点发送的所述应用权限请求；所述第一安全管控网关为所述第一DNAI对应的已向所述第一安全管控控制器注册的安全管控网关；

所述第一安全管控控制器，还用于基于所述应用权限请求，确定所述第一用户身份信息对应的授权信息，并向所述第一安全管控网关发送所述授权信息；所述授权信息包括企业内网应用对应的目的IP、目标应用端口；

所述第一安全管控网关，还用于基于所述应用权限请求和所述授权信息，生成四元组的防火墙规则，并配置动态下发所述防火墙规则，只允许通过符合所述防火墙规则的访问流量。

在一种可能的设计中，所述安全管控锚点具体用于：接收所述核心网接入锚点基于IP Option字段以加密方式发送的所述应用权限请求；其中，此处的IP为所述安全管控锚点的IP。

在一种可能的设计中，所述用户参数还包括指纹信息；

所述安全管控锚点具体用于：解析所述应用权限请求，基于所述用户参数查询所述核心网中预先存储的DNAI与安全管控控制器之间的映射关系，确定所述第一DNAI对应的所述第一安全管控控制器，将所述应用权限请求发送给所述第一安全管控控制器；

所述第一安全管控控制器具体用于：解析所述应用权限请求，校验所述用户参数中的源IP和指纹信息的合法性；

所述安全管控锚点还用于：在所述用户参数中的源IP和指纹信息通过所述第一安全管控控制器校验后，获取安全管控网关列表信息，并基于所述安全管控网关列表信息确定所述第一DNAI对应的所述第一安全管控网关，将所述应用权限请求发送给所述第一安全管控网关；所述安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系。

在一种可能的设计中，所述安全管控锚点具体用于：采用单包授权认证SPA验证模式将所述应用权限请求发送给所述第一安全管控控制器。

在一种可能的设计中，所述安全管控网关列表信息还包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态；所述安全管控锚点具体用于：

基于所述安全管控网关列表信息查询所述第一DNAI对应的第二安全管控网关是否已向所述第一安全管控控制器完成注册；

若确定所述第二安全管控网关已向所述第一安全管控控制器完成注册，则将所述第二安全管控网关作为所述第一安全管控网关；或者，若确定所述第二安全管控网关未向所述第一安全管控控制器完成注册，向所述第一安全管控控制器发送安全注册请求，用于请求所述第一安全管控控制器注册所述第二安全管控网关以及建立所述安全管控锚点与所述第二安全管控网关之间的双向加密连接；在确定所述第一安全管控控制器基于所述注册请求注册所述第二安全管控网关以及建立所述双向加密连接完成后，将所述第二安全管控网关作为所述第一安全管控网关；

基于所述双向加密连接将所述应用权限请求发送给所述第一安全管控网关。

在一种可能的设计中，所述第一安全管控控制器还用于：解析所述应用权限请求，对所述用户参数的合法性进行验证，并在验证成功后，获取所述授权信息。

在一种可能的设计中，所述第一安全管控网关具体用于：

基于所述应用权限请求，获取所述源IP、源应用端口，以及基于所述授权信息，获取所述目的IP、所述目标应用端口；

基于所述源IP、所述源应用端口、所述目的IP和所述目标应用端口，生成所述防火墙规则；

配置动态下发所述防火墙规则，使用拓展的伯克利包过滤器EBPF内核处理所述访问流量。

第三方面，本发明还提供了一种网络安全管控装置，包括：至少一个存储器和至少一个处理器；

所述至少一个存储器用于存储一个或多个程序；

当所述一个或多个程序被所述至少一个处理器执行时，实现上述第一方面任一种可能设计所涉及的方法。

第四方面，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有至少一个程序；当所述至少一个程序被处理器执行时，实现上述第一方面任一种可能设计所涉及的方法。

本发明的有益效果如下：

在本发明中，通过在核心网的UDF和企业内网之间增加安全管控控制器和安全管控网关，并在核心网中增加安全管控锚点，在无线终端完成核心网注册后，通过联动安全管控锚点、安全管控控制器和安全管控网关，基于用户身份信息进行动态网络授权管控，使得无线终端可以直接访问已授权的企业内网应用，无需无线终端进行任何客户端上改造和适配，无线终端可以无感接入企业内网，实现了在无线网络环境下的无线终端零适配、零介入、零感知的无感访问已授权的企业内网应用，在极大提升用户使用无线终端的体验的同时，实现企业内网网络的隐身保护和最小化的应用授权管控，从而确保了无线专网即企业内网的网络安全。

相较于现有技术而言，本发明可以具备如下特点：

A、在无线网络环境中实现免客户端模式下无线终端零适配、零介入、零感知访问企业内网应用，使用成本最小化，体验最大化。

B、在免客户端的情况下，实现网络隐身以及和基于用户身份信息和应用级别细颗粒度的动态化、最小化授权管控，大幅提升企业网络安全防护能力。

为了更好地理解和实施，下面结合附图详细说明本发明。

附图说明

图1为现有技术中无线终端访问企业内网应用的途径示意图；

图2为本发明提供的一种无线专网的网络安全管控方法的流程示意图；

图3为本发明提供的一种无线专网的网络安全管控方法的应用场景示意图；

图4为本发明提供的一种执行步骤S11的流程示意图；

图5为本发明提供的一种执行步骤S12的流程示意图；

图6为本发明提供的一种网络安全管控系统的结构示意图；

图7为本发明提供的一种网络安全管控装置的结构示意图。

具体实施方式

以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与本发明的一些方面相一致的实施方式的例子。

在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本发明中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

除非有相反的说明，本发明提及的“第一”、“第二”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。

请参考图2所示，本发明提供的无线专网的网络安全管控方法，可以包括如下步骤：

S11、在无线终端完成向核心网注册后，核心网接入锚点向安全管控锚点发送应用权限请求。相应的，安全管控锚点接收到核心网接入锚点发送的应用权限请求。

在具体实施时，安全管控锚点可以为前置在核心网内的代理模块，用于响应无线终端的第一应用权限（也可以称为安全策略）请求。该应用权限请求可以携带有用户参数，该用户参数可以包括但不限于：第一用户身份信息、第一数据网络接入标识符（DataNetwork Access Identifier，DNAI）以及无线终端对应的源IP、源应用端口。比如，该用户参数还可以包括数据网络名称（Data Network Name，DNN）和指纹信息等信息。其中，该指纹信息可以是指核心网网元指纹参数。

在具体实施时，在执行步骤S11之前，企业管理员可以按照需求根据用户身份信息，配置好微观面的最小化应用权限数据，粒度可以细化到用户、应用端口的维度，如账号user1，授权访问应用端口1，应用端口1可以以网际互连协议（Internet Protocol，IP）+端口的方式体现，也可以以统一资源定位系统（Uniform Resource Locator，URL）体现，本发明对此不作限定。

在具体实施时，结合图2-4所示，步骤S11可以包括但不限于如下步骤：

S11a、无线终端向核心网接入锚点发起入网注册请求。相应的，用核心网接入锚点接收到来自无线终端的入网注册请求。

在具体实施时，该入网注册请求中包含无线终端的用户参数，如第一用户身份信息、DNN、第一DNAI、指纹信息等信息，第一用户身份信息用于识别用户身份，便于后续通过身份进行授权处理，DNN/第一DNAI用于后续识别企业专网接入信息，以及定位安全管控锚点和安全管控网关的对应关系，指纹信息用于后续在安全管控控制器进行单包授权认证（Single Packet Authorization，SPA）验证时进行比对决策。

需要说明的是，本发明所涉及的用户身份信息（包括第一用户身份信息）以手机号码（MSISDN）为例。当然，在具体实施时，还可以其它可以用于唯一标识用户身份的信息，本发明对此不作限定。

在具体实施时，无线终端可以向无线接入网发起入网注册请求，通过标准无线网络信令控制，经由无线接入网、承载网后，将该入网注册请求送达核心网网元，如核心网接入锚点，这一过程采用现有方式进行，在此不再赘述。

S11b、核心网接入锚点通过核心网对该入网注册请求进行认证鉴权，并在该入网注册请求通过核心网认证鉴权后，通知核心网转发锚点根据该用户参数完成IP分配和网络数据配置。

在具体实施时，在该入网注册请求通过核心网认证鉴权后，可以获取用户参数，再通知核心网转发锚点根据该用户参数完成IP分配和网络数据配置。

在具体实施时，核心网接入锚点可以由多个核心网功能模块协同完成对该入网注册请求进行认证鉴权。其中，多个核心网功能模块可以包括但不限于：接入和移动性管理功能（Access and Mobility Management Function，AMF）、会话管理功能（SessionManagement Function，SMF）、认证服务器功能（Authentication Server Function，AUSF）、统一数据管理功能（Unified Data Management，UDM）。核心网转发锚点主要对用户流量进行分流处理。

在具体实施时，步骤S11b可以采用现有方式进行，在此不再赘述。通过执行步骤S11b，可以成功完成无线终端向核心网的入网注册。

S11c、核心网接入锚点向安全管控锚点发送应用权限请求。相应的，安全管控锚点接收到核心网接入锚点发送的应用权限请求。

在具体实施时，核心网接入锚点可以基于IP Option字段以加密方式将该应用权限请求发送给安全管控锚点，换言之，安全管控锚点可以接收核心网接入锚点基于IPOption字段以加密方式发送的应用权限请求。其中，此处的IP为安全管控锚点的IP。

在本发明中，核心网接入锚点通过基于IP Option字段以加密方式将该应用权限请求发送给安全管控锚点，可以将该应用权限请求的用户参数等控制面消息集成在常规的转发报文中，以跟随模式传送至安全管控锚点，不用单独进行会话请求和交互，可以提升协议处理效率，进一步有助于提升无线终端的使用体验。

S12、安全管控锚点将该应用权限请求发送给第一DNAI对应的第一安全管控控制器和第一安全管控网关。相应的，第一安全管控控制器和第一安全管控网关接收到安全管控锚点发送的应用权限请求。

在具体实施时，第一安全管控网关可以为已向第一安全管控控制器注册的安全管控网关。

在具体实施时，结合图2-5所示，步骤S12可以包括但不限于如下步骤：

S12a、安全管控锚点解析该应用权限请求，基于用户参数查询核心网中预先存储的DNAI与安全管控控制器之间的映射关系，确定第一DNAI对应的第一安全管控控制器。

在具体实施时，该映射关系可以存储在核心网的UDM模块上。

S12b、安全管控锚点将该应用权限请求发送给第一安全管控控制器。

在具体实施时，安全管控锚点可以采用单包授权认证SPA验证模式将应用权限请求发送给第一安全管控控制器。

在本发明中，通过安全管控锚点采用单包授权认证SPA验证模式将应用权限请求发送给第一安全管控控制器，可以使用UDP方式通过私有协议加密发送应用权限请求到选定的第一安全管控控制器，以此实现对第一安全管控控制器的端口的隐身防护，进一步可以保障无线专网的网络安全。

S12c、第一安全管控控制器解析该应用权限请求，校验用户参数中的源IP和指纹信息的合法性。

在具体实施时，第一安全管控控制器可以通过私有协议解析该应用权限请求，获取用户参数，再对用户参数的合法性进行校验。比如，校验用户参数中的源IP与第一安全管控控制器的服务IP是否一致，一致则认为用户参数中的源IP合法。以及校验用户参数中的指纹信息与核心网后台绑定的指纹信息进行比对，若确定用户参数中的指纹信息为核心网后台绑定的指纹信息中的一个，则认为用户参数中的指纹信息合法。

在具体实施时，第一安全管控控制器只有检验用户参数中的源IP和指纹信息都通过后，才会通知安全管控锚点和第一安全管控网关做进一步处理。

S12d、安全管控锚点在用户参数中的源IP和指纹信息通过第一安全管控控制器校验后，获取安全管控网关列表信息，并基于安全管控网关列表信息确定第一DNAI对应的第一安全管控网关，将该应用权限请求发送给第一安全管控网关。

在具体实施时，该安全管控网关列表信息可以包括但不限于：DNAI与安全管控网关之间的映射关系。比如，还可以包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态。其中，该安全管控网关列表信息可以通过管理员在业务开通时在核心网后台进行维护更新。安全管控锚点后续在接收到相应的应用权限请求后，会查询该安全管控网关列表信息，将相应的应用权限请求转发给对应的安全管控网关。

在具体实施时，步骤S12d的具体实施时过程可以如下：

安全管控锚点可以基于上述安全管控网关列表信息查询第一DNAI对应的第二安全管控网关是否已向第一安全管控控制器完成注册。若确定第二安全管控网关已向第一安全管控控制器完成注册，安全管控锚点则将第二安全管控网关作为第一安全管控网关；或者，若确定第二安全管控网关未向第一安全管控控制器完成注册，安全管控锚点向第一安全管控控制器发送安全注册请求，用于请求第一安全管控控制器注册第二安全管控网关以及建立安全管控锚点与第二安全管控网关之间的双向加密连接；在确定第一安全管控控制器基于注册请求注册第二安全管控网关以及建立该双向加密连接完成后，安全管控锚点将第二安全管控网关作为第一安全管控网关。

作为一种示例，安全管控锚点可以在第一安全管控控制器注册第二安全管控网关以及建立该双向加密连接完成后，下载相应的配置参数并完成配置。例如，安全管控锚点下载第一安全管控控制器注册第二安全管控网关所涉及的企业内网的路由等配置参数，通过配置参数提取用户的DNAI，并将用户DNAI关联到企业信息上，进而可以关联到企业内网应用。

应理解，安全管控锚点向发起第一安全管控网关向第一安全管控控制器注册的过程，只有在第一次接收到携带有第一DNAI的应用权限请求时触发。安全管控锚点后续在接收到其他携带有第一DNAI的应用权限请求时，查到第一安全管控网关已完成注册后，可直接进行下一步处理。

在具体实施时，安全管控锚点可以基于该双向加密连接将该应用权限请求发送给第一安全管控网关。

其中，上述双向加密连接可以是基于安全传输层协议（Transport LayerSecurity，TLS）连接。

在本发明中，通过安全管控锚点基于该双向加密连接将应用权限请求发送给第一安全管控网关，可以确保安全管控锚点到第一安全管控网关之间的数据通信的安全，进一步可以保障无线专网的网络安全。

S13、第一安全管控控制器基于该应用权限请求，确定第一用户身份信息对应的授权信息，并向第一安全管控网关发送该授权信息。

在具体实施时，该授权信息可以包括但不限于：企业内网应用对应的目的IP、目标应用端口。

在具体实施时，执行步骤S13之前，第一安全管控控制器还可以解析该应用权限请求，对该应用权限请求中携带的用户参数的合法性进行验证，并在验证成功后，获取第一用户身份信息对应的授权信息。

比如，第一安全管控控制器解析该应用权限请求，获得用户参数，提取用户参数中的第一用户身份、指纹信息进行用户的合法性的验证判断。在用户通过验证后，根据第一用户身份信息关联用户的授权信息，换言之，基于第一用户身份信息即可获取到其对应的授权信息。

在具体实施时，如果还需对该应用权限请求进行二次鉴权，可以接入企业鉴权服务，如接入企业的身份识别与访问管理（Identity and Access Management，IAM）服务。其中，企业的IAM服务支持活动目录（ActiveDirectory，AD）/轻型目录访问协议（LightweightDirectory Access Protocol，LDAP）、远程用户拨号认证服务（Remote AuthenticationDial In User Service，RADIUS）、开放授权（Open Authorization，OAuth）等协议，可按需适配。

在具体实施时，第一安全管控控制器通过向第一安全管控网关下发该授权信息，可以通知第一安全管控网关配置动态下发用户访问策略数据，如下文所述的防火墙规则，以完成用户授权。

在本发明中，上述步骤S11-步骤S14全程不要用户参与和感知，进一步可以提升无线终端额使用体验。

S14、第一安全管控网关基于该应用权限请求和该授权信息，生成四元组的防火墙规则，并配置动态下发该防火墙规则，只允许通过符合防火墙规则的访问流量。

在具体实施时，第一安全管控网关可以基于该应用权限请求，获取源IP、源应用端口，以及基于该授权信息，获取目的IP、目标应用端口。之后，第一安全管控网关可以基于源IP、源应用端口、目的IP和目标应用端口，生成该防火墙规则，以开通防火墙权限，放行用于访问已授权的企业内网应用的访问流量。之后。第一安全管控网关可以配置动态下发该防火墙规则，使用拓展的伯克利包过滤器（extended Berkeley Packet Filter，EBPF）内核处理符合该防火墙规则的访问流量。

在本发明中，通过使用EBPF内核可以加速处理访问流量符合该防火墙规则的访问流量，以便于应对高并发、大流量的应用场景。

在步骤S14中，全程不要用户参与和感知，用户可以通过无线终端直接访问已授权的企业内网应用。而对于用于访问未经授权的企业内网应用的访问流量，则会在第一安全管控网关处被拒绝。

综上可知，在本发明中，通过在核心网的UDF和企业内网之间增加安全管控控制器和安全管控网关，并在核心网中增加安全管控锚点，在无线终端完成核心网注册后，通过联动安全管控锚点、安全管控控制器和安全管控网关，基于用户身份信息进行动态网络授权管控，使得无线终端可以直接访问已授权的企业内网应用，无需无线终端进行任何客户端上改造和适配，无线终端可以无感接入企业内网，实现了在无线网络环境下的无线终端零适配、零介入、零感知的无感访问已授权的企业内网应用，在极大提升用户使用无线终端的体验的同时，实现企业内网网络的隐身保护和最小化的应用授权管控，从而确保了无线专网即企业内网的网络安全。

相较于现有技术而言，本发明可以具备如下特点：

在本发明提供的一种可适用的场景下，可以通过设置核心网转发锚点到企业内网之间的IP承载网络支持网络地址转换（Network Address Translation，NAT）穿越，以提升方案的通用性。

基于同一发明构思，本发明实施例还提供了一种网络安全管控装置，如图6所示，网络安全管控系统可以包括：前置在核心网内的安全管控锚点21、第一安全管控控制器22和第一安全管控网关23；其中，

安全管控锚点21，用于在无线终端完成向核心网注册后，接收核心网接入锚点发送的应用权限请求；该应用权限请求携带有用户参数，用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及无线终端对应的源IP、源应用端口；

第一安全管控控制器22，用于接收安全管控锚点21发送的该应用权限请求；第一安全管控控制器22为安全管控锚点基于第一DNAI选择的安全管控控制器；

第一安全管控网关23，用于接收安全管控锚点21发送的该应用权限请求；第一安全管控网关23为第一DNAI对应的已向第一安全管控控制器注册的安全管控网关；

第一安全管控控制器22，还用于基于该应用权限请求，确定第一用户身份信息对应的授权信息，并向第一安全管控网关23发送该授权信息；该授权信息包括企业内网应用对应的目的IP、目标应用端口；

第一安全管控网关23，还用于基于该应用权限请求和该授权信息，生成四元组的防火墙规则，并配置动态下发防火墙规则，只允许通过符合防火墙规则的访问流量。

在一种可能的设计中，安全管控锚点21具体用于：接收核心网接入锚点基于IPOption字段以加密方式发送的该应用权限请求；其中，此处的IP为安全管控锚点21的IP。

在一种可能的设计中，用户参数还包括指纹信息；

安全管控锚点21具体用于：解析该应用权限请求，基于用户参数查询核心网中预先存储的DNAI与安全管控控制器之间的映射关系，确定第一DNAI对应的第一安全管控控制器22，将该应用权限请求发送给第一安全管控控制器22；

第一安全管控控制器22具体用于：解析该应用权限请求，校验用户参数中的源IP和指纹信息的合法性；

安全管控锚点21还用于：在用户参数中的源IP和指纹信息通过第一安全管控控制器22校验后，获取安全管控网关列表信息，并基于安全管控网关列表信息确定第一DNAI对应的第一安全管控网关，将该应用权限请求发送给第一安全管控网关23；安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系。

在一种可能的设计中，安全管控锚点21具体用于：采用单包授权认证SPA验证模式将该应用权限请求发送给第一安全管控控制器22。

在一种可能的设计中，安全管控网关列表信息还包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态；安全管控锚点21具体用于：

基于安全管控网关列表信息查询第一DNAI对应的第二安全管控网关是否已向第一安全管控控制器22完成注册；

若确定第二安全管控网关23已向第一安全管控控制器22完成注册，则将第二安全管控网关作为第一安全管控网关23；或者，若确定第二安全管控网关未向第一安全管控控制器完成注册，向第一安全管控控制器22发送安全注册请求，用于请求第一安全管控控制器22注册第二安全管控网关以及建立安全管控锚点与第二安全管控网关之间的双向加密连接；在确定第一安全管控控制器22基于注册请求注册二安全管控网关以及建立双向加密连接完成后，将第二安全管控网关作为第一安全管控网关23；

基于双向加密连接将该应用权限请求发送给第一安全管控网关23。

在一种可能的设计中，第一安全管控控制器22还用于：解析该应用权限请求，对用户参数的合法性进行验证，并在验证成功后，获取该授权信息。

在一种可能的设计中，第一安全管控网关23具体用于：

基于该应用权限请求，获取源IP、源应用端口，以及基于该授权信息，获取目的IP、目标应用端口；

基于源IP、源应用端口、目的IP和目标应用端口，生成防火墙规则；

配置动态下发该防火墙规则，使用拓展的伯克利包过滤器EBPF内核处理访问流量。

本发明实施例中的网络安全管控装置20与上述图2所示的无线专网的网络安全管控方法是基于同一构思下的发明，通过前述对无线专网的网络安全管控方法的详细描述，本领域技术人员可以清楚的了解本实施例中网络安全管控系统的实施过程，所以为了说明书的简洁，在此不再赘述。

基于同一发明构思，本发明实施例还提供了一种网络安全管控装置，如图7所示，网络安全管控装置可以包括：至少一个存储器31和至少一个处理器32。其中：

至少一个存储器31用于存储一个或多个程序。

当一个或多个程序被至少一个处理器32执行时，实现上述图2所示的无线专网的网络安全管控方法。

网络安全管控装置还可以可选地包括通信接口，通信接口用于与外部设备进行通信和数据交互传输。

需要说明的是，存储器31可能包含高速RAM存储器，也可能还包括非易失性存储器（nonvolatile memory），例如至少一个磁盘存储器。

在具体的实现过程中，如果存储器31、处理器32及通信接口集成在一块芯片上，则存储器31、处理器32及通信接口可以通过内部接口完成相互间的通信。如果存储器31、处理器32和通信接口独立实现，则存储器31、处理器32和通信接口可以通过总线相互连接并完成相互间的通信。

基于同一发明构思，本发明实施例还提供了一种计算机可读存储介质，该计算机可读存储介质可以存储有至少一个程序，当至少一个程序被处理器执行时，实现上述图2所示的无线专网的网络安全管控方法。

应当理解，计算机可读存储介质为可存储数据或程序的任何数据存储设备，数据或程序其后可由计算机系统读取。计算机可读存储介质的示例包括：只读存储器、随机存取存储器、CD-ROM、HDD、DVD、磁带和光学数据存储设备等。

计算机可读存储介质还可分布在网络耦接的计算机系统中使得计算机可读代码以分布式方式来存储和执行。

计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、射频（Radio Frequency，RF）等，或者上述的任意合适的组合。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

Claims

1.一种无线专网的网络安全管控方法，其特征在于，包括：

在无线终端完成向核心网注册后，通过前置在所述核心网内的安全管控锚点接收所述核心网接入锚点发送的应用权限请求；所述应用权限请求携带有用户参数，所述用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及所述无线终端对应的源IP、源应用端口、指纹信息；

通过所述安全管控锚点解析所述应用权限请求，基于所述用户参数查询所述核心网中预先存储的DNAI与安全管控控制器之间的映射关系，确定第一DNAI对应的第一安全管控控制器，将所述应用权限请求发送给所述第一安全管控控制器；

通过所述安全管控锚点在所述用户参数中的源IP和指纹信息通过所述第一安全管控控制器校验后，获取安全管控网关列表信息，并基于所述安全管控网关列表信息确定所述第一DNAI对应的第一安全管控网关，将所述应用权限请求发送给所述第一安全管控网关；所述安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系；所述第一安全管控网关为已向所述第一安全管控控制器注册的安全管控网关；

2.如权利要求1所述的方法，其特征在于，通过前置在所述核心网内的安全管控锚点接收所述核心网接入锚点发送的应用权限请求，包括：

3.如权利要求1所述的方法，其特征在于，通过所述安全管控锚点将所述应用权限请求发送给所述第一安全管控控制器，包括：

4.如权利要求1所述的方法，其特征在于，所述安全管控网关列表信息还包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态；通过所述安全管控锚点基于所述安全管控网关列表信息确定所述第一DNAI对应的所述第一安全管控网关，将所述应用权限请求发送给所述第一安全管控网关，包括：

5.如权利要求1所述的方法，其特征在于，通过所述第一安全管控控制器基于所述应用权限请求，确定所述第一用户身份信息对应的授权信息，并向所述第一安全管控网关发送所述授权信息之前，所述方法还包括：

6.如权利要求1-5任一项所述的方法，其特征在于，通过所述第一安全管控网关配置动态下发所述防火墙规则，只允许通过符合所述防火墙规则的访问流量，包括：

7.一种网络安全管控系统，其特征在于，包括：前置在核心网内的安全管控锚点、第一安全管控控制器和第一安全管控网关；其中，

所述安全管控锚点，用于在无线终端完成向所述核心网注册后，接收所述核心网接入锚点发送的应用权限请求；所述应用权限请求携带有用户参数，所述用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及所述无线终端对应的源IP、源应用端口、指纹信息；解析所述应用权限请求，基于所述用户参数查询所述核心网中预先存储的DNAI与安全管控控制器之间的映射关系，确定第一DNAI对应的第一安全管控控制器，将所述应用权限请求发送给所述第一安全管控控制器；

所述第一安全管控控制器，用于接收所述安全管控锚点发送的所述应用权限请求；所述第一安全管控控制器为所述安全管控锚点基于第一DNAI选择的安全管控控制器；解析所述应用权限请求，校验所述用户参数中的源IP和指纹信息的合法性；

所述安全管控锚点，还用于在所述用户参数中的源IP和指纹信息通过所述第一安全管控控制器校验后，获取安全管控网关列表信息，并基于所述安全管控网关列表信息确定所述第一DNAI对应的第一安全管控网关，将所述应用权限请求发送给所述第一安全管控网关；所述安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系；

8.一种网络安全管控装置，其特征在于，包括：至少一个存储器和至少一个处理器；

所述至少一个存储器用于存储一个或多个程序；

当所述一个或多个程序被所述至少一个处理器执行时，实现如权利要求1-6任一项所述的方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有至少一个程序；当所述至少一个程序被处理器执行时，实现如权利要求1-6任一项所述的方法。