CN115996381B - 一种无线专网的网络安全管控方法、系统、装置及介质 - Google Patents
一种无线专网的网络安全管控方法、系统、装置及介质 Download PDFInfo
- Publication number
- CN115996381B CN115996381B CN202310279491.7A CN202310279491A CN115996381B CN 115996381 B CN115996381 B CN 115996381B CN 202310279491 A CN202310279491 A CN 202310279491A CN 115996381 B CN115996381 B CN 115996381B
- Authority
- CN
- China
- Prior art keywords
- security management
- control
- gateway
- anchor point
- permission request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000013475 authorization Methods 0.000 claims abstract description 64
- 230000002457 bidirectional effect Effects 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 14
- 238000013507 mapping Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 312
- 238000013461 design Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000006978 adaptation Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000008447 perception Effects 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种无线专网的网络安全管控方法、系统、装置及介质,用于提升无线终端的使用体验和保障无线专网的网络安全,该方法包括:在无线终端完成向核心网注册后,通过前置在核心网内的安全管控锚点接收核心网接入锚点发送的应用权限请求;应用权限请求携带有用户参数;通过安全管控锚点将应用权限请求发送给第一DNAI对应的第一安全管控控制器和第一安全管控网关;通过第一安全管控控制器基于应用权限请求,确定第一用户身份信息对应的授权信息,并向第一安全管控网关发送授权信息;通过第一安全管控网关基于应用权限请求和授权信息,生成四元组的防火墙规则,并配置动态下发防火墙规则,只允许通过符合防火墙规则的访问流量。
Description
技术领域
本发明涉及无线网络安全技术领域,特别是涉及一种无线专网的网络安全管控方法、系统、装置及介质。
背景技术
随着5G网络覆盖逐步完善,以及5G应用日渐丰富,以5G为代表的无线专网在行业中的应用逐渐兴起。基于网络切片等虚拟化技术,以及传统的虚拟专用网(VirtualPrivate Network,VPN)、防火墙等技术,5G专网不但能提供灵活便捷的专属网络接入,同时还能和企业已有的业务应用深入融合,极大的促进了产业数字化转型政策的落地实施。
当前无线专网和企业内网融合的实现方案,如图1所示,大多采用如下两种方式:
第一种方式:通过在无线终端(即用户终端(User Equipment,UE)或物联网(物联网(Internet of Things,IoT)设备)上使用VPN软件拨入企业网关。然而,这种方式在无线终端的使用体验和网络安全方面存在明显不足。比如,无线终端需要安装专用的客户端程序,且需要启动程序输入账号密码信息完成拨号后才能接入企业内网,客户适配和使用成本较高。另外,无线终端接入后,即可连通全部的企业内网应用,企业内网存在端口暴露风险,且无法对终端访问企业内网实现基于用户身份+应用基本细颗粒度严格授权管控,存在较大的网络安全风险。
第二种方式:无线终端通过用户面功能(User Plane Function,UPF)分流并在UPF侧打通到企业内网路由。然而,这种方式在网络安全方面存在明显不足。比如,与上述第一种方式在网络安全方面存在的问题相类似,即无线终端接入后,即可连通全部的企业内网应用,企业内网存在端口暴露风险,且无法对终端访问企业内网实现基于用户身份+应用基本细颗粒度严格授权管控,存在较大的网络安全风险。
综上,有必要提供一种可以提升无线终端的使用体验以及保障无线专网的网络安全的网络安全管控方案。
发明内容
基于此,本发明的目的在于提供一种无线专网的网络安全管控方法、系统、装置及介质,用于提升无线终端的使用体验以及保障无线专网的网络安全。
第一方面,本发明提供了一种无线专网的网络安全管控方法,包括:
在无线终端完成向核心网注册后,通过前置在所述核心网内的安全管控锚点接收所述核心网接入锚点发送的应用权限请求;所述应用权限请求携带有用户参数,所述用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及所述无线终端对应的源IP、源应用端口;
通过所述安全管控锚点将所述应用权限请求发送给第一DNAI对应的第一安全管控控制器和第一安全管控网关;所述第一安全管控网关为已向所述第一安全管控控制器注册的安全管控网关;
通过所述第一安全管控控制器基于所述应用权限请求,确定所述第一用户身份信息对应的授权信息,并向所述第一安全管控网关发送所述授权信息;所述授权信息包括企业内网应用对应的目的IP、目标应用端口;
通过所述第一安全管控网关基于所述应用权限请求和所述授权信息,生成四元组的防火墙规则,并配置动态下发所述防火墙规则,只允许通过符合所述防火墙规则的访问流量。
在一种可能的设计中,通过前置在所述核心网内的安全管控锚点接收所述核心网接入锚点发送的应用权限请求,包括:
通过所述安全管控锚点接收所述核心网接入锚点基于IP Option字段以加密方式发送的所述应用权限请求;其中,此处的IP为所述安全管控锚点的IP。
在一种可能的设计中,所述用户参数还包括指纹信息;通过所述安全管控锚点将所述应用权限请求发送给所述第一DNAI对应的第一安全管控控制器和第一安全管控网关,包括:
通过所述安全管控锚点解析所述应用权限请求,基于所述用户参数查询所述核心网中预先存储的DNAI与安全管控控制器之间的映射关系,确定所述第一DNAI对应的所述第一安全管控控制器,将所述应用权限请求发送给所述第一安全管控控制器;
通过所述第一安全管控控制器解析所述应用权限请求,校验所述用户参数中的源IP和指纹信息的合法性;
通过所述安全管控锚点在所述用户参数中的源IP和指纹信息通过所述第一安全管控控制器校验后,获取安全管控网关列表信息,并基于所述安全管控网关列表信息确定所述第一DNAI对应的所述第一安全管控网关,将所述应用权限请求发送给所述第一安全管控网关;所述安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系。
在一种可能的设计中,通过所述安全管控锚点将所述应用权限请求发送给所述第一安全管控控制器,包括:
通过所述安全管控锚点采用单包授权认证SPA验证模式将所述应用权限请求发送给所述第一安全管控控制器。
在一种可能的设计中,所述安全管控网关列表信息还包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态;通过所述安全管控锚点基于所述安全管控网关列表信息确定所述第一DNAI对应的所述第一安全管控网关,将所述应用权限请求发送给所述第一安全管控网关,包括:
通过所述安全管控锚点基于所述安全管控网关列表信息查询所述第一DNAI对应的第二安全管控网关是否已向所述第一安全管控控制器完成注册;
若确定所述第二安全管控网关已向所述第一安全管控控制器完成注册,则将所述第二安全管控网关作为所述第一安全管控网关;或者,若确定所述第二安全管控网关未向所述第一安全管控控制器完成注册,通过所述安全管控锚点向所述第一安全管控控制器发送安全注册请求,用于请求所述第一安全管控控制器注册所述第二安全管控网关以及建立所述安全管控锚点与所述第二安全管控网关之间的双向加密连接;在确定所述第一安全管控控制器基于所述注册请求注册所述第二安全管控网关以及建立所述双向加密连接完成后,将所述第二安全管控网关作为所述第一安全管控网关;
通过所述安全管控锚点基于所述双向加密连接将所述应用权限请求发送给所述第一安全管控网关。
在一种可能的设计中,通过所述第一安全管控控制器基于所述应用权限请求,确定所述第一用户身份信息对应的授权信息,并向所述第一安全管控网关发送所述授权信息之前,所述方法还包括:
通过所述第一安全管控控制器解析所述应用权限请求,对所述用户参数的合法性进行验证,并在验证成功后,获取所述授权信息。
在一种可能的设计中,通过所述第一安全管控网关配置动态下发所述防火墙规则,只允许通过符合所述防火墙规则的访问流量,包括:
通过所述第一安全管控网关基于所述应用权限请求,获取所述源IP、源应用端口,以及基于所述授权信息,获取所述目的IP、所述目标应用端口;
通过所述第一安全管控网关基于所述源IP、所述源应用端口、所述目的IP和所述目标应用端口,生成所述防火墙规则;
通过所述第一安全管控网关配置动态下发所述防火墙规则,使用拓展的伯克利包过滤器EBPF内核处理所述访问流量。
第二方面,本发明还提供了一种网络安全管控系统,包括:前置在核心网内的安全管控锚点、第一安全管控控制器和第一安全管控网关;其中,
所述安全管控锚点,用于在无线终端完成向所述核心网注册后,接收所述核心网接入锚点发送的应用权限请求;所述应用权限请求携带有用户参数,所述用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及所述无线终端对应的源IP、源应用端口;
所述第一安全管控控制器,用于接收所述安全管控锚点发送的所述应用权限请求;所述第一安全管控控制器为所述安全管控锚点基于第一DNAI选择的安全管控控制器;
第一安全管控网关,用于接收所述安全管控锚点发送的所述应用权限请求;所述第一安全管控网关为所述第一DNAI对应的已向所述第一安全管控控制器注册的安全管控网关;
所述第一安全管控控制器,还用于基于所述应用权限请求,确定所述第一用户身份信息对应的授权信息,并向所述第一安全管控网关发送所述授权信息;所述授权信息包括企业内网应用对应的目的IP、目标应用端口;
所述第一安全管控网关,还用于基于所述应用权限请求和所述授权信息,生成四元组的防火墙规则,并配置动态下发所述防火墙规则,只允许通过符合所述防火墙规则的访问流量。
在一种可能的设计中,所述安全管控锚点具体用于:接收所述核心网接入锚点基于IP Option字段以加密方式发送的所述应用权限请求;其中,此处的IP为所述安全管控锚点的IP。
在一种可能的设计中,所述用户参数还包括指纹信息;
所述安全管控锚点具体用于:解析所述应用权限请求,基于所述用户参数查询所述核心网中预先存储的DNAI与安全管控控制器之间的映射关系,确定所述第一DNAI对应的所述第一安全管控控制器,将所述应用权限请求发送给所述第一安全管控控制器;
所述第一安全管控控制器具体用于:解析所述应用权限请求,校验所述用户参数中的源IP和指纹信息的合法性;
所述安全管控锚点还用于:在所述用户参数中的源IP和指纹信息通过所述第一安全管控控制器校验后,获取安全管控网关列表信息,并基于所述安全管控网关列表信息确定所述第一DNAI对应的所述第一安全管控网关,将所述应用权限请求发送给所述第一安全管控网关;所述安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系。
在一种可能的设计中,所述安全管控锚点具体用于:采用单包授权认证SPA验证模式将所述应用权限请求发送给所述第一安全管控控制器。
在一种可能的设计中,所述安全管控网关列表信息还包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态;所述安全管控锚点具体用于:
基于所述安全管控网关列表信息查询所述第一DNAI对应的第二安全管控网关是否已向所述第一安全管控控制器完成注册;
若确定所述第二安全管控网关已向所述第一安全管控控制器完成注册,则将所述第二安全管控网关作为所述第一安全管控网关;或者,若确定所述第二安全管控网关未向所述第一安全管控控制器完成注册,向所述第一安全管控控制器发送安全注册请求,用于请求所述第一安全管控控制器注册所述第二安全管控网关以及建立所述安全管控锚点与所述第二安全管控网关之间的双向加密连接;在确定所述第一安全管控控制器基于所述注册请求注册所述第二安全管控网关以及建立所述双向加密连接完成后,将所述第二安全管控网关作为所述第一安全管控网关;
基于所述双向加密连接将所述应用权限请求发送给所述第一安全管控网关。
在一种可能的设计中,所述第一安全管控控制器还用于:解析所述应用权限请求,对所述用户参数的合法性进行验证,并在验证成功后,获取所述授权信息。
在一种可能的设计中,所述第一安全管控网关具体用于:
基于所述应用权限请求,获取所述源IP、源应用端口,以及基于所述授权信息,获取所述目的IP、所述目标应用端口;
基于所述源IP、所述源应用端口、所述目的IP和所述目标应用端口,生成所述防火墙规则;
配置动态下发所述防火墙规则,使用拓展的伯克利包过滤器EBPF内核处理所述访问流量。
第三方面,本发明还提供了一种网络安全管控装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器用于存储一个或多个程序;
当所述一个或多个程序被所述至少一个处理器执行时,实现上述第一方面任一种可能设计所涉及的方法。
第四方面,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有至少一个程序;当所述至少一个程序被处理器执行时,实现上述第一方面任一种可能设计所涉及的方法。
本发明的有益效果如下:
在本发明中,通过在核心网的UDF和企业内网之间增加安全管控控制器和安全管控网关,并在核心网中增加安全管控锚点,在无线终端完成核心网注册后,通过联动安全管控锚点、安全管控控制器和安全管控网关,基于用户身份信息进行动态网络授权管控,使得无线终端可以直接访问已授权的企业内网应用,无需无线终端进行任何客户端上改造和适配,无线终端可以无感接入企业内网,实现了在无线网络环境下的无线终端零适配、零介入、零感知的无感访问已授权的企业内网应用,在极大提升用户使用无线终端的体验的同时,实现企业内网网络的隐身保护和最小化的应用授权管控,从而确保了无线专网即企业内网的网络安全。
相较于现有技术而言,本发明可以具备如下特点:
A、在无线网络环境中实现免客户端模式下无线终端零适配、零介入、零感知访问企业内网应用,使用成本最小化,体验最大化。
B、在免客户端的情况下,实现网络隐身以及和基于用户身份信息和应用级别细颗粒度的动态化、最小化授权管控,大幅提升企业网络安全防护能力。
为了更好地理解和实施,下面结合附图详细说明本发明。
附图说明
图1为现有技术中无线终端访问企业内网应用的途径示意图;
图2为本发明提供的一种无线专网的网络安全管控方法的流程示意图;
图3为本发明提供的一种无线专网的网络安全管控方法的应用场景示意图;
图4为本发明提供的一种执行步骤S11的流程示意图;
图5为本发明提供的一种执行步骤S12的流程示意图;
图6为本发明提供的一种网络安全管控系统的结构示意图;
图7为本发明提供的一种网络安全管控装置的结构示意图。
具体实施方式
以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与本发明的一些方面相一致的实施方式的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本发明中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
除非有相反的说明,本发明提及的“第一”、“第二”等序数词用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。
请参考图2所示,本发明提供的无线专网的网络安全管控方法,可以包括如下步骤:
S11、在无线终端完成向核心网注册后,核心网接入锚点向安全管控锚点发送应用权限请求。相应的,安全管控锚点接收到核心网接入锚点发送的应用权限请求。
在具体实施时,安全管控锚点可以为前置在核心网内的代理模块,用于响应无线终端的第一应用权限(也可以称为安全策略)请求。该应用权限请求可以携带有用户参数,该用户参数可以包括但不限于:第一用户身份信息、第一数据网络接入标识符(DataNetwork Access Identifier,DNAI)以及无线终端对应的源IP、源应用端口。比如,该用户参数还可以包括数据网络名称(Data Network Name,DNN)和指纹信息等信息。其中,该指纹信息可以是指核心网网元指纹参数。
在具体实施时,在执行步骤S11之前,企业管理员可以按照需求根据用户身份信息,配置好微观面的最小化应用权限数据,粒度可以细化到用户、应用端口的维度,如账号user1,授权访问应用端口1,应用端口1可以以网际互连协议(Internet Protocol,IP)+端口的方式体现,也可以以统一资源定位系统(Uniform Resource Locator,URL)体现,本发明对此不作限定。
在具体实施时,结合图2-4所示,步骤S11可以包括但不限于如下步骤:
S11a、无线终端向核心网接入锚点发起入网注册请求。相应的,用核心网接入锚点接收到来自无线终端的入网注册请求。
在具体实施时,该入网注册请求中包含无线终端的用户参数,如第一用户身份信息、DNN、第一DNAI、指纹信息等信息,第一用户身份信息用于识别用户身份,便于后续通过身份进行授权处理,DNN/第一DNAI用于后续识别企业专网接入信息,以及定位安全管控锚点和安全管控网关的对应关系,指纹信息用于后续在安全管控控制器进行单包授权认证(Single Packet Authorization,SPA)验证时进行比对决策。
需要说明的是,本发明所涉及的用户身份信息(包括第一用户身份信息)以手机号码(MSISDN)为例。当然,在具体实施时,还可以其它可以用于唯一标识用户身份的信息,本发明对此不作限定。
在具体实施时,无线终端可以向无线接入网发起入网注册请求,通过标准无线网络信令控制,经由无线接入网、承载网后,将该入网注册请求送达核心网网元,如核心网接入锚点,这一过程采用现有方式进行,在此不再赘述。
S11b、核心网接入锚点通过核心网对该入网注册请求进行认证鉴权,并在该入网注册请求通过核心网认证鉴权后,通知核心网转发锚点根据该用户参数完成IP分配和网络数据配置。
在具体实施时,在该入网注册请求通过核心网认证鉴权后,可以获取用户参数,再通知核心网转发锚点根据该用户参数完成IP分配和网络数据配置。
在具体实施时,核心网接入锚点可以由多个核心网功能模块协同完成对该入网注册请求进行认证鉴权。其中,多个核心网功能模块可以包括但不限于:接入和移动性管理功能(Access and Mobility Management Function,AMF)、会话管理功能(SessionManagement Function,SMF)、认证服务器功能(Authentication Server Function,AUSF)、统一数据管理功能(Unified Data Management,UDM)。核心网转发锚点主要对用户流量进行分流处理。
在具体实施时,步骤S11b可以采用现有方式进行,在此不再赘述。通过执行步骤S11b,可以成功完成无线终端向核心网的入网注册。
S11c、核心网接入锚点向安全管控锚点发送应用权限请求。相应的,安全管控锚点接收到核心网接入锚点发送的应用权限请求。
在具体实施时,核心网接入锚点可以基于IP Option字段以加密方式将该应用权限请求发送给安全管控锚点,换言之,安全管控锚点可以接收核心网接入锚点基于IPOption字段以加密方式发送的应用权限请求。其中,此处的IP为安全管控锚点的IP。
在本发明中,核心网接入锚点通过基于IP Option字段以加密方式将该应用权限请求发送给安全管控锚点,可以将该应用权限请求的用户参数等控制面消息集成在常规的转发报文中,以跟随模式传送至安全管控锚点,不用单独进行会话请求和交互,可以提升协议处理效率,进一步有助于提升无线终端的使用体验。
S12、安全管控锚点将该应用权限请求发送给第一DNAI对应的第一安全管控控制器和第一安全管控网关。相应的,第一安全管控控制器和第一安全管控网关接收到安全管控锚点发送的应用权限请求。
在具体实施时,第一安全管控网关可以为已向第一安全管控控制器注册的安全管控网关。
在具体实施时,结合图2-5所示,步骤S12可以包括但不限于如下步骤:
S12a、安全管控锚点解析该应用权限请求,基于用户参数查询核心网中预先存储的DNAI与安全管控控制器之间的映射关系,确定第一DNAI对应的第一安全管控控制器。
在具体实施时,该映射关系可以存储在核心网的UDM模块上。
S12b、安全管控锚点将该应用权限请求发送给第一安全管控控制器。
在具体实施时,安全管控锚点可以采用单包授权认证SPA验证模式将应用权限请求发送给第一安全管控控制器。
在本发明中,通过安全管控锚点采用单包授权认证SPA验证模式将应用权限请求发送给第一安全管控控制器,可以使用UDP方式通过私有协议加密发送应用权限请求到选定的第一安全管控控制器,以此实现对第一安全管控控制器的端口的隐身防护,进一步可以保障无线专网的网络安全。
S12c、第一安全管控控制器解析该应用权限请求,校验用户参数中的源IP和指纹信息的合法性。
在具体实施时,第一安全管控控制器可以通过私有协议解析该应用权限请求,获取用户参数,再对用户参数的合法性进行校验。比如,校验用户参数中的源IP与第一安全管控控制器的服务IP是否一致,一致则认为用户参数中的源IP合法。以及校验用户参数中的指纹信息与核心网后台绑定的指纹信息进行比对,若确定用户参数中的指纹信息为核心网后台绑定的指纹信息中的一个,则认为用户参数中的指纹信息合法。
在具体实施时,第一安全管控控制器只有检验用户参数中的源IP和指纹信息都通过后,才会通知安全管控锚点和第一安全管控网关做进一步处理。
S12d、安全管控锚点在用户参数中的源IP和指纹信息通过第一安全管控控制器校验后,获取安全管控网关列表信息,并基于安全管控网关列表信息确定第一DNAI对应的第一安全管控网关,将该应用权限请求发送给第一安全管控网关。
在具体实施时,该安全管控网关列表信息可以包括但不限于:DNAI与安全管控网关之间的映射关系。比如,还可以包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态。其中,该安全管控网关列表信息可以通过管理员在业务开通时在核心网后台进行维护更新。安全管控锚点后续在接收到相应的应用权限请求后,会查询该安全管控网关列表信息,将相应的应用权限请求转发给对应的安全管控网关。
在具体实施时,步骤S12d的具体实施时过程可以如下:
安全管控锚点可以基于上述安全管控网关列表信息查询第一DNAI对应的第二安全管控网关是否已向第一安全管控控制器完成注册。若确定第二安全管控网关已向第一安全管控控制器完成注册,安全管控锚点则将第二安全管控网关作为第一安全管控网关;或者,若确定第二安全管控网关未向第一安全管控控制器完成注册,安全管控锚点向第一安全管控控制器发送安全注册请求,用于请求第一安全管控控制器注册第二安全管控网关以及建立安全管控锚点与第二安全管控网关之间的双向加密连接;在确定第一安全管控控制器基于注册请求注册第二安全管控网关以及建立该双向加密连接完成后,安全管控锚点将第二安全管控网关作为第一安全管控网关。
作为一种示例,安全管控锚点可以在第一安全管控控制器注册第二安全管控网关以及建立该双向加密连接完成后,下载相应的配置参数并完成配置。例如,安全管控锚点下载第一安全管控控制器注册第二安全管控网关所涉及的企业内网的路由等配置参数,通过配置参数提取用户的DNAI,并将用户DNAI关联到企业信息上,进而可以关联到企业内网应用。
应理解,安全管控锚点向发起第一安全管控网关向第一安全管控控制器注册的过程,只有在第一次接收到携带有第一DNAI的应用权限请求时触发。安全管控锚点后续在接收到其他携带有第一DNAI的应用权限请求时,查到第一安全管控网关已完成注册后,可直接进行下一步处理。
在具体实施时,安全管控锚点可以基于该双向加密连接将该应用权限请求发送给第一安全管控网关。
其中,上述双向加密连接可以是基于安全传输层协议(Transport LayerSecurity,TLS)连接。
在本发明中,通过安全管控锚点基于该双向加密连接将应用权限请求发送给第一安全管控网关,可以确保安全管控锚点到第一安全管控网关之间的数据通信的安全,进一步可以保障无线专网的网络安全。
S13、第一安全管控控制器基于该应用权限请求,确定第一用户身份信息对应的授权信息,并向第一安全管控网关发送该授权信息。
在具体实施时,该授权信息可以包括但不限于:企业内网应用对应的目的IP、目标应用端口。
在具体实施时,执行步骤S13之前,第一安全管控控制器还可以解析该应用权限请求,对该应用权限请求中携带的用户参数的合法性进行验证,并在验证成功后,获取第一用户身份信息对应的授权信息。
比如,第一安全管控控制器解析该应用权限请求,获得用户参数,提取用户参数中的第一用户身份、指纹信息进行用户的合法性的验证判断。在用户通过验证后,根据第一用户身份信息关联用户的授权信息,换言之,基于第一用户身份信息即可获取到其对应的授权信息。
在具体实施时,如果还需对该应用权限请求进行二次鉴权,可以接入企业鉴权服务,如接入企业的身份识别与访问管理(Identity and Access Management,IAM)服务。其中,企业的IAM服务支持活动目录(ActiveDirectory,AD)/轻型目录访问协议(LightweightDirectory Access Protocol,LDAP)、远程用户拨号认证服务(Remote AuthenticationDial In User Service,RADIUS)、开放授权(Open Authorization,OAuth)等协议,可按需适配。
在具体实施时,第一安全管控控制器通过向第一安全管控网关下发该授权信息,可以通知第一安全管控网关配置动态下发用户访问策略数据,如下文所述的防火墙规则,以完成用户授权。
在本发明中,上述步骤S11-步骤S14全程不要用户参与和感知,进一步可以提升无线终端额使用体验。
S14、第一安全管控网关基于该应用权限请求和该授权信息,生成四元组的防火墙规则,并配置动态下发该防火墙规则,只允许通过符合防火墙规则的访问流量。
在具体实施时,第一安全管控网关可以基于该应用权限请求,获取源IP、源应用端口,以及基于该授权信息,获取目的IP、目标应用端口。之后,第一安全管控网关可以基于源IP、源应用端口、目的IP和目标应用端口,生成该防火墙规则,以开通防火墙权限,放行用于访问已授权的企业内网应用的访问流量。之后。第一安全管控网关可以配置动态下发该防火墙规则,使用拓展的伯克利包过滤器(extended Berkeley Packet Filter,EBPF)内核处理符合该防火墙规则的访问流量。
在本发明中,通过使用EBPF内核可以加速处理访问流量符合该防火墙规则的访问流量,以便于应对高并发、大流量的应用场景。
在步骤S14中,全程不要用户参与和感知,用户可以通过无线终端直接访问已授权的企业内网应用。而对于用于访问未经授权的企业内网应用的访问流量,则会在第一安全管控网关处被拒绝。
综上可知,在本发明中,通过在核心网的UDF和企业内网之间增加安全管控控制器和安全管控网关,并在核心网中增加安全管控锚点,在无线终端完成核心网注册后,通过联动安全管控锚点、安全管控控制器和安全管控网关,基于用户身份信息进行动态网络授权管控,使得无线终端可以直接访问已授权的企业内网应用,无需无线终端进行任何客户端上改造和适配,无线终端可以无感接入企业内网,实现了在无线网络环境下的无线终端零适配、零介入、零感知的无感访问已授权的企业内网应用,在极大提升用户使用无线终端的体验的同时,实现企业内网网络的隐身保护和最小化的应用授权管控,从而确保了无线专网即企业内网的网络安全。
相较于现有技术而言,本发明可以具备如下特点:
A、在无线网络环境中实现免客户端模式下无线终端零适配、零介入、零感知访问企业内网应用,使用成本最小化,体验最大化。
B、在免客户端的情况下,实现网络隐身以及和基于用户身份信息和应用级别细颗粒度的动态化、最小化授权管控,大幅提升企业网络安全防护能力。
在本发明提供的一种可适用的场景下,可以通过设置核心网转发锚点到企业内网之间的IP承载网络支持网络地址转换(Network Address Translation,NAT)穿越,以提升方案的通用性。
基于同一发明构思,本发明实施例还提供了一种网络安全管控装置,如图6所示,网络安全管控系统可以包括:前置在核心网内的安全管控锚点21、第一安全管控控制器22和第一安全管控网关23;其中,
安全管控锚点21,用于在无线终端完成向核心网注册后,接收核心网接入锚点发送的应用权限请求;该应用权限请求携带有用户参数,用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及无线终端对应的源IP、源应用端口;
第一安全管控控制器22,用于接收安全管控锚点21发送的该应用权限请求;第一安全管控控制器22为安全管控锚点基于第一DNAI选择的安全管控控制器;
第一安全管控网关23,用于接收安全管控锚点21发送的该应用权限请求;第一安全管控网关23为第一DNAI对应的已向第一安全管控控制器注册的安全管控网关;
第一安全管控控制器22,还用于基于该应用权限请求,确定第一用户身份信息对应的授权信息,并向第一安全管控网关23发送该授权信息;该授权信息包括企业内网应用对应的目的IP、目标应用端口;
第一安全管控网关23,还用于基于该应用权限请求和该授权信息,生成四元组的防火墙规则,并配置动态下发防火墙规则,只允许通过符合防火墙规则的访问流量。
在一种可能的设计中,安全管控锚点21具体用于:接收核心网接入锚点基于IPOption字段以加密方式发送的该应用权限请求;其中,此处的IP为安全管控锚点21的IP。
在一种可能的设计中,用户参数还包括指纹信息;
安全管控锚点21具体用于:解析该应用权限请求,基于用户参数查询核心网中预先存储的DNAI与安全管控控制器之间的映射关系,确定第一DNAI对应的第一安全管控控制器22,将该应用权限请求发送给第一安全管控控制器22;
第一安全管控控制器22具体用于:解析该应用权限请求,校验用户参数中的源IP和指纹信息的合法性;
安全管控锚点21还用于:在用户参数中的源IP和指纹信息通过第一安全管控控制器22校验后,获取安全管控网关列表信息,并基于安全管控网关列表信息确定第一DNAI对应的第一安全管控网关,将该应用权限请求发送给第一安全管控网关23;安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系。
在一种可能的设计中,安全管控锚点21具体用于:采用单包授权认证SPA验证模式将该应用权限请求发送给第一安全管控控制器22。
在一种可能的设计中,安全管控网关列表信息还包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态;安全管控锚点21具体用于:
基于安全管控网关列表信息查询第一DNAI对应的第二安全管控网关是否已向第一安全管控控制器22完成注册;
若确定第二安全管控网关23已向第一安全管控控制器22完成注册,则将第二安全管控网关作为第一安全管控网关23;或者,若确定第二安全管控网关未向第一安全管控控制器完成注册,向第一安全管控控制器22发送安全注册请求,用于请求第一安全管控控制器22注册第二安全管控网关以及建立安全管控锚点与第二安全管控网关之间的双向加密连接;在确定第一安全管控控制器22基于注册请求注册二安全管控网关以及建立双向加密连接完成后,将第二安全管控网关作为第一安全管控网关23;
基于双向加密连接将该应用权限请求发送给第一安全管控网关23。
在一种可能的设计中,第一安全管控控制器22还用于:解析该应用权限请求,对用户参数的合法性进行验证,并在验证成功后,获取该授权信息。
在一种可能的设计中,第一安全管控网关23具体用于:
基于该应用权限请求,获取源IP、源应用端口,以及基于该授权信息,获取目的IP、目标应用端口;
基于源IP、源应用端口、目的IP和目标应用端口,生成防火墙规则;
配置动态下发该防火墙规则,使用拓展的伯克利包过滤器EBPF内核处理访问流量。
本发明实施例中的网络安全管控装置20与上述图2所示的无线专网的网络安全管控方法是基于同一构思下的发明,通过前述对无线专网的网络安全管控方法的详细描述,本领域技术人员可以清楚的了解本实施例中网络安全管控系统的实施过程,所以为了说明书的简洁,在此不再赘述。
基于同一发明构思,本发明实施例还提供了一种网络安全管控装置,如图7所示,网络安全管控装置可以包括:至少一个存储器31和至少一个处理器32。其中:
至少一个存储器31用于存储一个或多个程序。
当一个或多个程序被至少一个处理器32执行时,实现上述图2所示的无线专网的网络安全管控方法。
网络安全管控装置还可以可选地包括通信接口,通信接口用于与外部设备进行通信和数据交互传输。
需要说明的是,存储器31可能包含高速RAM存储器,也可能还包括非易失性存储器(nonvolatile memory),例如至少一个磁盘存储器。
在具体的实现过程中,如果存储器31、处理器32及通信接口集成在一块芯片上,则存储器31、处理器32及通信接口可以通过内部接口完成相互间的通信。如果存储器31、处理器32和通信接口独立实现,则存储器31、处理器32和通信接口可以通过总线相互连接并完成相互间的通信。
基于同一发明构思,本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以存储有至少一个程序,当至少一个程序被处理器执行时,实现上述图2所示的无线专网的网络安全管控方法。
应当理解,计算机可读存储介质为可存储数据或程序的任何数据存储设备,数据或程序其后可由计算机系统读取。计算机可读存储介质的示例包括:只读存储器、随机存取存储器、CD-ROM、HDD、DVD、磁带和光学数据存储设备等。
计算机可读存储介质还可分布在网络耦接的计算机系统中使得计算机可读代码以分布式方式来存储和执行。
计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、射频(Radio Frequency,RF)等,或者上述的任意合适的组合。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (9)
1.一种无线专网的网络安全管控方法,其特征在于,包括:
在无线终端完成向核心网注册后,通过前置在所述核心网内的安全管控锚点接收所述核心网接入锚点发送的应用权限请求;所述应用权限请求携带有用户参数,所述用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及所述无线终端对应的源IP、源应用端口、指纹信息;
通过所述安全管控锚点解析所述应用权限请求,基于所述用户参数查询所述核心网中预先存储的DNAI与安全管控控制器之间的映射关系,确定第一DNAI对应的第一安全管控控制器,将所述应用权限请求发送给所述第一安全管控控制器;
通过所述第一安全管控控制器解析所述应用权限请求,校验所述用户参数中的源IP和指纹信息的合法性;
通过所述安全管控锚点在所述用户参数中的源IP和指纹信息通过所述第一安全管控控制器校验后,获取安全管控网关列表信息,并基于所述安全管控网关列表信息确定所述第一DNAI对应的第一安全管控网关,将所述应用权限请求发送给所述第一安全管控网关;所述安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系;所述第一安全管控网关为已向所述第一安全管控控制器注册的安全管控网关;
通过所述第一安全管控控制器基于所述应用权限请求,确定所述第一用户身份信息对应的授权信息,并向所述第一安全管控网关发送所述授权信息;所述授权信息包括企业内网应用对应的目的IP、目标应用端口;
通过所述第一安全管控网关基于所述应用权限请求和所述授权信息,生成四元组的防火墙规则,并配置动态下发所述防火墙规则,只允许通过符合所述防火墙规则的访问流量。
2.如权利要求1所述的方法,其特征在于,通过前置在所述核心网内的安全管控锚点接收所述核心网接入锚点发送的应用权限请求,包括:
通过所述安全管控锚点接收所述核心网接入锚点基于IP Option字段以加密方式发送的所述应用权限请求;其中,此处的IP为所述安全管控锚点的IP。
3.如权利要求1所述的方法,其特征在于,通过所述安全管控锚点将所述应用权限请求发送给所述第一安全管控控制器,包括:
通过所述安全管控锚点采用单包授权认证SPA验证模式将所述应用权限请求发送给所述第一安全管控控制器。
4.如权利要求1所述的方法,其特征在于,所述安全管控网关列表信息还包括安全管控网关是否已向相应的安全管控控制器完成注册的注册状态;通过所述安全管控锚点基于所述安全管控网关列表信息确定所述第一DNAI对应的所述第一安全管控网关,将所述应用权限请求发送给所述第一安全管控网关,包括:
通过所述安全管控锚点基于所述安全管控网关列表信息查询所述第一DNAI对应的第二安全管控网关是否已向所述第一安全管控控制器完成注册;
若确定所述第二安全管控网关已向所述第一安全管控控制器完成注册,则将所述第二安全管控网关作为所述第一安全管控网关;或者,若确定所述第二安全管控网关未向所述第一安全管控控制器完成注册,通过所述安全管控锚点向所述第一安全管控控制器发送安全注册请求,用于请求所述第一安全管控控制器注册所述第二安全管控网关以及建立所述安全管控锚点与所述第二安全管控网关之间的双向加密连接;在确定所述第一安全管控控制器基于所述注册请求注册所述第二安全管控网关以及建立所述双向加密连接完成后,将所述第二安全管控网关作为所述第一安全管控网关;
通过所述安全管控锚点基于所述双向加密连接将所述应用权限请求发送给所述第一安全管控网关。
5.如权利要求1所述的方法,其特征在于,通过所述第一安全管控控制器基于所述应用权限请求,确定所述第一用户身份信息对应的授权信息,并向所述第一安全管控网关发送所述授权信息之前,所述方法还包括:
通过所述第一安全管控控制器解析所述应用权限请求,对所述用户参数的合法性进行验证,并在验证成功后,获取所述授权信息。
6.如权利要求1-5任一项所述的方法,其特征在于,通过所述第一安全管控网关配置动态下发所述防火墙规则,只允许通过符合所述防火墙规则的访问流量,包括:
通过所述第一安全管控网关基于所述应用权限请求,获取所述源IP、源应用端口,以及基于所述授权信息,获取所述目的IP、所述目标应用端口;
通过所述第一安全管控网关基于所述源IP、所述源应用端口、所述目的IP和所述目标应用端口,生成所述防火墙规则;
通过所述第一安全管控网关配置动态下发所述防火墙规则,使用拓展的伯克利包过滤器EBPF内核处理所述访问流量。
7.一种网络安全管控系统,其特征在于,包括:前置在核心网内的安全管控锚点、第一安全管控控制器和第一安全管控网关;其中,
所述安全管控锚点,用于在无线终端完成向所述核心网注册后,接收所述核心网接入锚点发送的应用权限请求;所述应用权限请求携带有用户参数,所述用户参数包括第一用户身份信息、第一数据网络接入标识符DNAI以及所述无线终端对应的源IP、源应用端口、指纹信息;解析所述应用权限请求,基于所述用户参数查询所述核心网中预先存储的DNAI与安全管控控制器之间的映射关系,确定第一DNAI对应的第一安全管控控制器,将所述应用权限请求发送给所述第一安全管控控制器;
所述第一安全管控控制器,用于接收所述安全管控锚点发送的所述应用权限请求;所述第一安全管控控制器为所述安全管控锚点基于第一DNAI选择的安全管控控制器;解析所述应用权限请求,校验所述用户参数中的源IP和指纹信息的合法性;
所述安全管控锚点,还用于在所述用户参数中的源IP和指纹信息通过所述第一安全管控控制器校验后,获取安全管控网关列表信息,并基于所述安全管控网关列表信息确定所述第一DNAI对应的第一安全管控网关,将所述应用权限请求发送给所述第一安全管控网关;所述安全管控网关列表信息包括DNAI与安全管控网关之间的对映射关系;
第一安全管控网关,用于接收所述安全管控锚点发送的所述应用权限请求;所述第一安全管控网关为所述第一DNAI对应的已向所述第一安全管控控制器注册的安全管控网关;
所述第一安全管控控制器,还用于基于所述应用权限请求,确定所述第一用户身份信息对应的授权信息,并向所述第一安全管控网关发送所述授权信息;所述授权信息包括企业内网应用对应的目的IP、目标应用端口;
所述第一安全管控网关,还用于基于所述应用权限请求和所述授权信息,生成四元组的防火墙规则,并配置动态下发所述防火墙规则,只允许通过符合所述防火墙规则的访问流量。
8.一种网络安全管控装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器用于存储一个或多个程序;
当所述一个或多个程序被所述至少一个处理器执行时,实现如权利要求1-6任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有至少一个程序;当所述至少一个程序被处理器执行时,实现如权利要求1-6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310279491.7A CN115996381B (zh) | 2023-03-22 | 2023-03-22 | 一种无线专网的网络安全管控方法、系统、装置及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310279491.7A CN115996381B (zh) | 2023-03-22 | 2023-03-22 | 一种无线专网的网络安全管控方法、系统、装置及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115996381A CN115996381A (zh) | 2023-04-21 |
CN115996381B true CN115996381B (zh) | 2023-06-23 |
Family
ID=85990607
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310279491.7A Active CN115996381B (zh) | 2023-03-22 | 2023-03-22 | 一种无线专网的网络安全管控方法、系统、装置及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115996381B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117041969B (zh) * | 2023-09-28 | 2024-01-02 | 新华三技术有限公司 | 5g双域专网的接入方法、系统及装置、电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020001440A1 (zh) * | 2018-06-26 | 2020-01-02 | 华为技术有限公司 | 一种会话处理方法及装置 |
CN112911525A (zh) * | 2018-05-16 | 2021-06-04 | 华为技术有限公司 | 应用功能影响业务路由的消息和系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1960567B (zh) * | 2005-11-03 | 2010-04-21 | 华为技术有限公司 | 一种终端进入和退出空闲模式的通信方法 |
CN111193709A (zh) * | 2019-11-29 | 2020-05-22 | 云深互联(北京)科技有限公司 | 一种网络安全防护方法、管控端、网关端、设备 |
CN113572738B (zh) * | 2021-06-29 | 2023-04-07 | 中孚安全技术有限公司 | 一种零信任网络架构及构建方法 |
CN113949573B (zh) * | 2021-10-18 | 2024-01-23 | 天翼数字生活科技有限公司 | 一种零信任的业务访问控制系统及方法 |
CN114615328B (zh) * | 2022-01-26 | 2024-03-12 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
CN115001870B (zh) * | 2022-08-02 | 2022-11-01 | 国汽智控(北京)科技有限公司 | 信息安全防护系统、方法及存储介质 |
-
2023
- 2023-03-22 CN CN202310279491.7A patent/CN115996381B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112911525A (zh) * | 2018-05-16 | 2021-06-04 | 华为技术有限公司 | 应用功能影响业务路由的消息和系统 |
WO2020001440A1 (zh) * | 2018-06-26 | 2020-01-02 | 华为技术有限公司 | 一种会话处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115996381A (zh) | 2023-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11539669B2 (en) | Inspection of network packet traffic for policy control | |
US10673861B2 (en) | Identity proxy to provide access control and single sign on | |
CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
US9356928B2 (en) | Mechanisms to use network session identifiers for software-as-a-service authentication | |
US8156231B2 (en) | Remote access system and method for enabling a user to remotely access terminal equipment from a subscriber terminal | |
US7441265B2 (en) | Method and system for session based authorization and access control for networked application objects | |
US8522333B2 (en) | Client/server system for communicating according to the standard protocol OPC UA and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system | |
US20030226036A1 (en) | Method and apparatus for single sign-on authentication | |
JP2009163546A (ja) | ゲートウェイ、中継方法及びプログラム | |
WO2006058493A1 (fr) | Procede et systeme d'authentification de domaine et d'autorite de reseau | |
US10218704B2 (en) | Resource access control using named capabilities | |
CN115996381B (zh) | 一种无线专网的网络安全管控方法、系统、装置及介质 | |
KR20220002455A (ko) | Some/ip 통신 프로토콜을 사용하여 차량 내 데이터 또는 메시지들 전송 개선 | |
US11463429B2 (en) | Network controls for application access secured by transport layer security (TLS) using single sign on (SSO) flow | |
CN115865384A (zh) | 中台微服务授权方法、装置、电子设备及存储介质 | |
KR20050075308A (ko) | 방화벽용 및 관련 제품을 위한 보안 시스템 및 방법 | |
US20230171250A1 (en) | Method and system for authenticating a user on an identity-as-a-service server | |
US20240039910A1 (en) | Authenticating a communication partner on a device | |
CN117692213A (zh) | 微服务鉴权方法、系统、设备及介质 | |
CN116684113A (zh) | 一种基于软件定义边界sdp的业务处理方法及相关装置 | |
CN117176797A (zh) | 一种资源发布方法、装置、系统及存储介质 | |
CN117040965A (zh) | 通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |