CN116828465A - 保护带外网管通道的流量控制方法和系统 - Google Patents

保护带外网管通道的流量控制方法和系统 Download PDF

Info

Publication number
CN116828465A
CN116828465A CN202210284749.8A CN202210284749A CN116828465A CN 116828465 A CN116828465 A CN 116828465A CN 202210284749 A CN202210284749 A CN 202210284749A CN 116828465 A CN116828465 A CN 116828465A
Authority
CN
China
Prior art keywords
traffic
security
target
network element
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210284749.8A
Other languages
English (en)
Inventor
蒋春元
刘汉江
王爱宝
陈文华
徐勇
郭帅旗
王艳伟
聂乐乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210284749.8A priority Critical patent/CN116828465A/zh
Publication of CN116828465A publication Critical patent/CN116828465A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种保护带外网管通道的流量控制方法和系统,该保护带外网管通道的流量控制系统包括目标管理面和第一网元,第一网元被目标管理面管理,目标管理面的入口位置处部署有安全防护设备,安全防护设备中部署有第一安全策略;该保护带外网管通道的流量控制方法包括:安全防护设备根据第一安全策略拦截第一网元发送给目标管理面的第一流量;在确定第一流量不是来自目标加密隧道的流量、也不是认证流量后,安全防护设备根据第一安全策略丢弃第一流量;在确定第一流量是来自目标加密隧道的流量或者是认证流量后,安全防护设备根据第一安全策略允许第一流量通过,以便目标管理面接收并处理第一流量。本公开实施例可以提高目标管理面接收到的流量的安全性。

Description

保护带外网管通道的流量控制方法和系统
技术领域
本公开涉及通信技术领域,尤其涉及一种保护带外网管通道的流量控制方法和系统。
背景技术
目前运营商提高的网管系统(如管理面)通常采用带外网管方式对网元设备的进行监控、管理和维护。其中,带外网管是通过专门的网管通道实现对网络的管理,将网管数据与业务数据分开,为网管数据建立独立通道,从而保证关键数据在网络中的安全、可靠传输,提高网管的效率与可靠性,同时提高网管数据的安全性。
但随着通信技术(如5G(5th Generation Mobile Communication Technology,第五代移动通信技术))的商用发展,为了满足新业务需求,运营商选择将部分网元下沉部署至企业园区(如轻量级UPF(User Plane Function用户面功能)、MEC(Mobile EdgeComputing,移动边缘计算)),为行业客户提供高质量的专网服务。为便于管理,其下沉网元(也可以称之为边缘网元)对应的边缘网管系统(如边缘管理面)通常部署在省/大区资源池,仍采用带外网管方式实现对下沉边缘网元的网络资源配置、网元状态监控等。
这些部署在企业园区的下沉网元对于运营商来说位于非可信区域,但由于其对应的边缘管理面与大网核心网管理面共用同一通道,且企业园区的安全防护能力参差不齐,存在黑客以下沉网元为突破口,利用边缘管理面通道攻击核心网管理面及其它网元的安全风险。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解。
发明内容
本公开的目的在于提供一种保护带外网管通道的流量控制方法和系统,可以提高目标管理面接收到的流量的安全性,从而为目标管理面提供安全保障,避免目标管理面及其管理的网元被非法入侵,进而提升了保护带外网管通道的流量控制系统的安全性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
本公开实施例提供了一种保护带外网管通道的流量控制方法,包括:安全防护设备根据第一安全策略拦截第一网元发送给目标管理面的第一流量;在确定第一流量不是来自目标加密隧道的流量、也不是认证流量后,安全防护设备根据第一安全策略丢弃第一流量;在确定第一流量是来自目标加密隧道的流量或者是认证流量后,安全防护设备根据第一安全策略允许第一流量通过,以便目标管理面接收并处理第一流量;其中,目标加密隧道是第一网元在通过安全认证后与安全防护设备建立的加密隧道,认证流量是用于安全认证的流量。
在一些实施例中,在安全防护设备根据第一安全策略拦截第一网元发送给目标管理面的第一流量之后,方法还包括:安全防护设备根据第一安全策略默认第一流量不被信任;安全防护设备根据第一安全策略对第一流量进行安全验证,以确定第一流量是否是来自目标加密隧道的流量或者是否是认证流量。
在一些实施例中,第一安全策略默认安全防护设备拦截的所有流量均是非可信流量,并指示安全防护设备对拦截的所有流量依次进行验证,并允许验证结果是认证流量或者来自加密隧道的流量通过、丢弃既不是认证流量也不是来自加密隧道的流量。
在一些实施例中,第一流量是认证流量;其中,目标管理面接收并处理第一流量,包括:目标管理面从安全防护设备接收第一流量;在确定第一流量是认证流量后,目标管理面对第一流量进行安全认证处理;在第一流量通过安全认证后,目标管理面向安全防护设备动态下发第二安全策略以通知安全防护设备与第一网元建立目标加密隧道,以便第一网元与安全防护设备通过目标加密隧道传输流量。
在一些实施例中,方法还包括:在第一流量没有通过安全认证后,目标管理面向安全防护设备下发第三策略以通知安全防护设备不与第一网元建立目标加密隧道。
在一些实施例中,目标管理面中包括多个安全网元的安全认证信息,多个安全网元的安全认证信息是多个安全网元在上线部署前同步至目标管理面的,第一流量携带第一网元的安全认证信息;其中,目标管理面对第一流量进行安全认证处理,包括:目标管理面将第一网元的安全认证信息与多个安全网元的安全认证信息进行匹配;若匹配成功,则确定第一流量通过安全认证。
在一些实施例中,目标管理面是保护带外网管通道的流量控制系统中的边缘管理面,保护带外网管通道的流量控制系统还包括核心网管理面,第一流量是来自目标加密隧道的流量;其中,目标管理面接收并处理第一流量,包括:边缘管理面从安全防护设备接收第一流量;边缘管理面通过带外网管通道将第一流量发送给核心网管理面,以便核心网管理面对第一流量进行处理。
在一些实施例中,第一流量是来自目标加密隧道的加密流量;其中,安全防护设备允许第一流量通过,包括:安全防护设备获取第一网元的公钥;安全防护设备通过公钥对第一流量进行解密;安全防护设备允许解密后的第一流量通过。
在一些实施例中,第一流量是认证流量,第一网元中部署有可信安全组件,目标管理面中部署有安全管理组件;其中,可信安全组件用于根据第一网元的网元信息生成第一流量,以通过第一流量向目标管理面发起安全认证;可信安全组件还用于对第一网元进行安全监控,并定期向目标管理面上报第一网元的运行环境状态;安全管理组件用于对第一流量进行安全认证,并在第一流量安全认证通过后向安全防护设备下发安全策略以使安全防护设备与第一网元建立目标加密隧道。
本公开实施例提供了一种保护带外网管通道的流量控制系统,保护带外网管通道的流量控制系统包括目标管理面和第一网元,第一网元被目标管理面管理,目标管理面的入口位置处部署有安全防护设备,安全防护设备中部署有第一安全策略;其中,安全防护设备用于根据第一安全策略拦截第一网元发送给目标管理面的第一流量;安全防护设备还用于在根据第一安全策略确定第一流量不是来自目标加密隧道的流量、也不是认证流量后,丢弃第一流量;安全防护设备还用于在根据第一安全策略确定第一流量是来自目标加密隧道的流量或者是认证流量后,允许第一流量通过,以便目标管理面接收并处理第一流量;其中,目标加密隧道是第一网元在通过安全认证后与安全防护设备建立的加密隧道,认证流量是用于安全认证的流量。
在一些实施例中,安全防护设备还用于在拦截第一网元发送给目标管理面的第一流量之后,根据第一安全策略默认第一流量不被信任,并根据第一安全策略对第一流量进行安全验证,以确定第一流量是否是来自目标加密隧道的流量或者是否是认证流量。
本公开实施例提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述任一项的保护带外网管通道的流量控制方法。
本公开实施例提出一种计算机可读存储介质,其上存储有计算机程序,程序被处理器执行时实现如上述任一项的保护带外网管通道的流量控制方法。
本公开实施例提出一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述保护带外网管通道的流量控制方法。
本公开实施例提供的保护带外网管通道的流量控制方法、装置及电子设备和计算机可读存储介质,一方面安全防护设备对通往目标管理面的所有流量均进行拦截,避免了恶意流量流往目标管理面,提高了目标管理面的安全性;另一方面,防护设备允许认证流量和来自加密隧道的流量通过,既通过认证流量的放行给每个网元向目标管理面进行认证的机会,又通过对非加密隧道的流量进行拦截,保证了流向目标管理面的流量的安全性;另外,本申请在目标管理面对网元安全验证后,允许该网元与防护设备建立加密隧道,以便该网元通过该加密隧道与防护设备进行流量的加密传输,提高了流量传输的安全性。总之,不仅解决了网元的身份可信问题、解决了通过下沉网元攻击目标管理面和其他网元的问题,还解决了网元和目标管理面之间数据传输安全问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的流程图。
图2是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的流程图。
图3是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的流程图。
图4是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的流程图。
图5提供了一种保护带外网管通道的流量控制系统。
图6是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的时序图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
本公开所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图仅为本公开的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和步骤,也不是必须按所描述的顺序执行。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本说明书中,用语“一个”、“一”、“该”、“所述”和“至少一个”用以表示存在一个或多个要素/组成部分/等;用语“包含”、“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等;用语“第一”、“第二”和“第三”等仅作为标记使用,不是对其对象的数量限制。
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述,需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
下面结合附图对本公开示例实施方式进行详细说明。
图1是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的流程图。
在本公开提供的保护带外网管通道的流量控制方法中,涉及了保护带外网管通道的流量控制系统,该保护带外网管通道的流量控制可以是一种网络系统(例如5G网络系统)。其中,该保护带外网管通道的流量控制系统可以包括目标管理面和第一网元,该第一网元可以被目标管理面管理,目标管理面的入口位置处可以部署有安全防护设备,安全防护设备中可以部署有第一安全策略。
其中,第一网元可以是下沉至不可信区域中的边缘网元,也可以是位于可信区域中的网元,本公开对此不做限制。网元可以指的是网络系统中的功能网元(例如MEC功能网元、UPF功能网元等,本公开对此不做限制)
其中,不可信区域可以指的是安全性不可控的区域,例如企业园区、商场、地铁等可以被公众等非运营商人员接触的地方。可信区域可以指的是安全性高且可控的地方,例如运营商在省/大区部署的资源池、运营商设置的机房等。
其中,目标管理面可以是保护带外网管通道的流量控制系统中的一种可以被核心网管理面(例如一种5G核心网的网管系统)控制的边缘管理面,也可以是该核心网管理面,本公开对此不做限制。其中,边缘管理面可以指的是用来管理一些边缘网元的网管系统。
可以理解的是,保护带外网管通道的流量控制系统中的核心网可以管理多个边缘管理面,每个边缘管理面可以管理至少一个网元(例如部署在不可信区域的边缘网元),本公开对此不做限制。其中,边缘网元可以指的是下沉至用户附近(如企业园区、商场、地铁)的网元。
在一些实施例中,若目标管理面是保护带外网管通道的流量控制系统中的某个边缘管理面,那么该边缘管理面可以部署在边缘网元(如第一网元)附近,也可以部署在核心网管理面附近(如核心网所在的资源池中),本公开对此不做限制。
另外,上述安全防护设备可以指的是部署在目标管理面出入口的防火墙。
参照图1,本公开实施例提供的保护带外网管通道的流量控制方法可以包括以下步骤。
步骤S102,安全防护设备根据第一安全策略拦截第一网元发送给目标管理面的第一流量。
在一些实施例中,安全防护设备中可以提前部署有第一安全策略,该第一安全策略可以用于指示安全防护设备对每个经过安全防护设备的流量进行拦截和安全验证。
步骤S104,在确定第一流量不是来自目标加密隧道的流量、也不是认证流量后,安全防护设备根据第一安全策略丢弃第一流量。
其中,目标加密隧道是第一网元在通过安全认证后与安全防护设备建立的加密隧道,认证流量是用于安全认证的流量。可以理解的是,若第一网元可以通过加密隧道向安全防护设备发送流量,那么第一网元可以已经事先完成了安全认证。
在一些实施例中,安全防护设备可以对第一流量的流量类型进行判断,以确定该第一流量是否是认证流量或者是否是来自加密隧道的流量。
在一些实施例中,安全防护设备可以在每次拦截到流量后,对拦截到的流量均进行安全验证。在一些实施例中,可以根据身份信息等进行安全验证,还可以根据该流量携带的网元令牌(该令牌一旦获取可以多次使用)进行安全验证,本公开对安全验证方法不做限制。
其中,认证流量可以指的是网元发送给目标管理面以请求进行身份认证的流量,该认证流量中可以携带有网元的认证信息,例如身份信息、设备信息(如第一网元设备内置的设备ID(Identity document,身份标识号)、MAC(Media Access Control Address,媒体存取控制位址)、IP(Internet Protocol Address,互联网协议地址)、位置信息等信息)等,本公开对此不做限制。
加密隧道可以指的是一种专用隧道,并且该专用隧道中传输的流量均被加密,本公开对加密隧道中流量的加密方法不做限制。
步骤S106,在确定第一流量是来自目标加密隧道的流量或者是认证流量后,安全防护设备根据第一安全策略允许第一流量通过,以便目标管理面接收并处理第一流量。
在一些实施例中,若第一流量是来自目标加密隧道的加密流量,那么安全防护设备可以对该第一流量解密后再发送给目标管理面,也可以直接转发至目标管理面,并通过目标管理面对第一流量进行解密,本公开对此不做限制。
在一些实施例中,目标加密隧道中的流量可以是第一网元使用私钥加密后的流量,当安全防护设备接收到第一流量后,安全防护设备可以获取第一网元的公钥,然后通过第一网元的公钥对第一流量进行解密,最后安全防护设备再将解密后的第一流量转发给目标管理面。
本实施例提供的保护带外网管通道的流量控制方法,一方面安全防护设备对通往目标管理面的所有流量均进行拦截,避免了恶意流量流往目标管理面,提高了目标管理面的安全性;另一方面,防护设备允许认证流量和来自加密隧道的流量通过,既通过认证流量的放行给每个网元向目标管理面进行认证的机会,又通过对非加密隧道的流量进行拦截(不信任任何流量),保证了流向目标管理面的流量的安全性;另外,本申请在目标管理面对网元安全验证后,允许该网元与防护设备建立加密隧道,以便该网元通过该加密隧道与防护设备进行流量的加密传输,提高了流量传输的安全性。总之,本实施例不仅解决了网元的身份可信问题、避免了非法攻击者通过下沉网元攻击目标管理面和其他网元,还提高了网元和目标管理面之间的数据传输的安全问题。
在一些实施例中,第一流量可以是认证流量,第一网元中可以部署有可信安全组件,目标管理面中可以部署有安全管理组件。那么可信安全组件可以用于根据第一网元的网元信息生成第一流量,以通过第一流量向目标管理面发起安全认证;可信安全组件还可以用于对第一网元进行安全监控,并定期向目标管理面上报第一网元的运行环境状态;安全管理组件可以用于对第一流量进行安全认证,并在第一流量安全认证通过后向安全防护设备下发安全策略以使安全防护设备与第一网元建立目标加密隧道。
图2是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的流程图。
参照图2,本公开实施例提供的保护带外网管通道的流量控制方法可以包括以下步骤。
步骤S202,安全防护设备根据第一安全策略拦截第一网元发送给目标管理面的第一流量。
其中,第一安全策略可以默认安全防护设备拦截的所有流量均是非可信流量,指示安全防护设备对拦截到的所有流量均进行验证,并允许验证结果是认证流量或者来自加密隧道的流量通过、丢弃既不是认证流量也不是来自加密隧道的流量。
步骤S204,安全防护设备根据第一安全策略默认第一流量不被信任。
在本实施例中,安全防护设备默认不信任任何流量,拦截所有流量的通过,以避免非法流量的攻击。
步骤S206,安全防护设备根据第一安全策略对第一流量进行安全验证,以确定第一流量是否是来自目标加密隧道的流量或者是否是认证流量。
在一些实施例中,目标管理面中可以包括多个安全网元的安全认证信息,多个安全网元的安全认证信息可以是该多个安全网元在上线部署前事先同步至目标管理面的。该安全网元可以指的是事先已知其是安全的且可靠的网元。
在一些实施例中,若第一流量中携带第一网元的安全认证信息,那么可以通过以下方法实现对第一流量的安全认证处理:目标管理面将第一网元的安全认证信息与多个安全网元的安全认证信息进行匹配;若匹配成功,则确定第一流量通过安全认证。
其中,该安全认证信息可以包括:身份信息、设备信息(如第一网元设备内置的设备ID、MAC、IP、位置信息等信息)等,本公开对此不做限制。
步骤S208,在确定第一流量不是来自目标加密隧道的流量、也不是认证流量后,安全防护设备根据第一安全策略丢弃第一流量。
步骤S210,在确定第一流量是来自目标加密隧道的流量或者是认证流量后,安全防护设备根据第一安全策略允许第一流量通过,以便目标管理面接收并处理第一流量。
本实施例提供的技术方案,安全防护设备会拦截所有流向目标流量,并默认所有经过安全防护设备的流量均是不安全、不可信任的,在拦截到流量后安全防护设备会执行对流量的安全认证,只有在安全认证确定该流量是认证流量或者是来自加密隧道的流量后才会对该流量放行。本公开实施例,通过默认所有流量不安全、并对所有流经安全防护设备的流量进行安全认证(即使发送该流量的网元之前已经通过安全认证了,那安全防护设备也会认为网元发送过来的流量不安全,需要执行安全验证),本实施例提供了一种零信任的流量控制方法,提高了流往目标管理面的流量的安全性,避免了目标管理面被攻击。
图3是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的流程图。
在一些实施例中,第一流量可以是认证流量。
参照图3,本公开实施例提供的保护带外网管通道的流量控制方法可以包括以下步骤。
步骤S302,安全防护设备根据第一安全策略拦截第一网元发送给目标管理面的第一流量。
步骤S304,如果确定第一流量不是来自目标加密隧道的流量、也不是认证流量后,安全防护设备根据第一安全策略丢弃第一流量。
步骤S306,如果确定第一流量是认证流量后,安全防护设备根据第一安全策略允许第一流量通过。
步骤S308,目标管理面从安全防护设备接收第一流量;
步骤S310,在确定第一流量是认证流量后,目标管理面对第一流量进行安全认证处理。
在一些实施例中,可以通过以下方法实现对第一流量的安全认证处理:目标管理面将第一网元的安全认证信息与多个安全网元的安全认证信息进行匹配;若匹配成功,则确定第一流量通过安全认证。其中,该安全认证信息可以包括:身份信息、设备信息(如第一网元设备内置的设备ID、MAC、IP、位置信息等信息)等,本公开对此不做限制。
步骤S312,在第一流量通过安全认证后,目标管理面向安全防护设备动态下发第二安全策略以通知安全防护设备与第一网元建立目标加密隧道,以便第一网元与安全防护设备通过目标加密隧道传输流量。
其中,第二安全策略会携带第一网元的设备信息,以便安全防护设备根据该设备信息与第一网元建立目标加密隧道,以便第一网元通过该目标加密隧道向安全防护设备发送流量。
步骤S314,在第一流量没有通过安全认证后,目标管理面向安全防护设备下发第三策略以通知安全防护设备不与第一网元建立目标加密隧道。
本实施例提供的技术方案,在安全防护设备确定第一流量是认证流量后,会允许该认证流量通过以便目标管理面对该认证流量进行认证。一旦该第一流量认证通过,目标管理面则会认为第一网元是安全可靠的,则可以通过第二安全策略授权安全防护设备与第一网元建立加密隧道,以便第一网元以后通过该加密隧道与安全防护设备进行流量传输。
图4是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的流程图。
在一些实施例中,目标管理面是保护带外网管通道的流量控制系统中的边缘管理面,保护带外网管通道的流量控制系统还包括核心网管理面,第一流量是来自目标加密隧道的流量。
参照图4,本公开实施例提供的保护带外网管通道的流量控制方法可以包括以下步骤。
步骤S402,安全防护设备根据第一安全策略拦截第一网元发送给目标管理面的第一流量。
步骤S404,在确定第一流量不是来自目标加密隧道的流量、也不是认证流量后,安全防护设备根据第一安全策略丢弃第一流量。
步骤S406,在确定第一流量是认证流量后,安全防护设备根据第一安全策略允许第一流量通过。
步骤S408,边缘管理面从安全防护设备接收第一流量。
步骤S410,边缘管理面通过带外网管通道将第一流量发送给核心网管理面,以便核心网管理面对第一流量进行处理。
在另外一些实施例中,该第一流量可以携带用于控制核心网管理面对其他网元进行控制的管理控制的信息。那么在核心网管理面接收到该第一流量后,可以根据该第一流量中的控制信息对保护带外网管通道的流量控制系统中的其他网元进行控制管理。
上述实施例提供的技术方案,通过安全防护设备默认所有流量不可信,并对每个不可信流量进行安全验证,使得目标管理面接收到的每一力量均是安全的、可靠的,避免了第一网元通过第一流量对目标管理面或者目标管理面控制的网元的攻击,提高了带外网管通道中的流量传输的安全性。
本公开实施例提供了一种保护带外网管通道的流量控制系统,该保护带外网管通道的流量控制系统可以包括目标管理面和第一网元,第一网元被目标管理面管理,目标管理面的入口位置处部署有安全防护设备,安全防护设备中部署有第一安全策略。
其中,安全防护设备可以用于根据第一安全策略拦截第一网元发送给目标管理面的第一流量;安全防护设备还用于在根据第一安全策略确定第一流量不是来自目标加密隧道的流量、也不是认证流量后,丢弃第一流量;安全防护设备还用于在根据第一安全策略确定第一流量是来自目标加密隧道的流量或者是认证流量后,允许第一流量通过,以便目标管理面接收并处理第一流量;其中,目标加密隧道是第一网元在通过安全认证后与安全防护设备建立的加密隧道,认证流量是用于安全认证的流量。
其中,安全防护设备还用于在拦截第一网元发送给目标管理面的第一流量之后,根据第一安全策略默认第一流量不被信任,并根据第一安全策略对第一流量进行安全验证,以确定第一流量是否是来自目标加密隧道的流量或者是否是认证流量。
在一些实施例中,可以对相关技术中的目标管理面、安全防护设备以及第一网元进行硬件改造以实现上述实施例中提供的系统或者方法,也可以采用以下组件实现上述实施例中提供的系统或者方法:在第一网元上部署可信安全组件,在目标管理面中部署安全管理组件。
其中,可信安全组件可以包括认证管理、加密/解密、安全监测、状态上报等模块,主要功能如下:根据下沉网元设备内置的设备ID、MAC、IP、位置信息等信息生成携带数字签名的认证流量,并向安全管理组件发送携带该认证流量的认证请求;建立下沉网元和接入/汇聚防火墙之间的加密隧道;对网元对应的管理接口发送/接收的流量进行加密/解密;对网元的运行环境实时进行安全监控,并定期向边缘管理面/核心管理面上报运行环境状态。
其中,安全管理组件可以运行在目标管理面,可以包括用户身份管理、认证和授权管理、策略管理等模块,主要功能如下:对网元设备发出的认证请求进行认证及授权;向安全防护设备(例如防火墙)下发安全管控策略,默认安全防护设备拦截的所有流量均是非可信流量,并指示安全防护设备对拦截的所有流量依次进行验证,并允许验证结果是认证流量或者来自加密隧道的流量通过、丢弃既不是认证流量也不是来自加密隧道的流量;对安全防护设备网元之间的管理通道(如带外网管通道)进行管控,只有认证通过的网元可与安全防护设备建立加密隧道。
另外,还需要对安全防护是合并进行安全升级。升级后的安全防护设备可以对安全管理组件开放管理接口,接受其下发的安全策略;配置安全策略,仅允许认证流量和加密隧道流量通过,并对加密隧道流量进行处理并转发,丢弃既不是认证流量也不是来自加密隧道的流量。
下面,将结合具体实施例说明如何通过上述组件实现上述实施例中提供的系统或者方法。
图5提供了一种保护带外网管通道的流量控制系统。如图5所示,该保护带外网管通道的流量控制系统系统可以包括5G核心网管理面、边缘管理面和下沉至不可信区域(例如企业园区)的下沉网元(第一网元的一个例子,该下沉网元可例如是MEC功能网元、UPF功能网元或者NEVI功能网元)。
其中,5G核心网管理面可以对UDM(Unified Data Management,统一数据管理功能)、AUSF(Authentication Server Function,鉴权服务功能)、PCF(Policy Controlfunction,策略控制功能)、UPF、AMF(AuthenticationManagementFunction,认证管理功能)、SMF(Session Management function,会话管理功能)等功能网元进行控制管理。
在上述下沉网元上线之前,下沉网元内部署并启用可信安全组件,内置设备ID。该安全管理组件可以进行网元身份管理、认证管理、授权管理以及策略管理等。
另外,上述边缘管理面中可以部署安全管理组件,并录入该下沉网元的相关信息,包括设备ID、MAC、IP、网元位置等。对边缘管理面资源池出/入口部署的防火墙(一种安全防护是合并)进行升级,使其对安全管理组件开放管理接口,接受其下发的安全策略,同时配置以下安全策略:允许下沉网元至边缘管理面的认证流量通过,允许加密隧道的流量在本地处理并通过(加密隧道可选择IPSec(IP security,IP安全性协议)、TLS(TransportLayer Security,安全传输层协议)等),丢弃既不是认证流量也不是来自加密隧道的流量。
图6是根据一示例性实施例示出的一种保护带外网管通道的流量控制方法的时序图。
结合图6可以对图5所示保护带外网管通道的流量控制系统对应的保护带外网管通道的流量控制方法进行解释说明。
参考图6,上述种保护带外网管通道的流量控制方法可以包括以下步骤。
1、下沉网元中的可信安全组件根据下沉网元设备内置的设备ID、密钥参数、MAC、IP、位置信息等信息生成数字签名,向安全管理组件发送认证请求(携带认证流量)。
2、防火墙(一种安全防护设备)默认所有流量均是不可信流量;然后判断从非可信区域过来的流量是否为认证流量或者加密隧道流量。如果是认证流量,防火墙允许该流量通过,如果不是认证流量或加密隧道流量,防火墙将该流量进行阻断,从而解决黑客利用非可信区域作为跳板,横向渗透到核心网管理面的问题。
3、防火墙允许携带认证流量的认证请求通过;
4、边缘管理面中的安全管理组件对下沉网元发送的认证请求进行解析,使用下沉网元的公钥解开数字签名,与下沉网元上线前录入的信息(设备ID、MAC、IP、网元位置等)进行对比,确认认证请求携带的信息是否正确。
5、如果认证通过,安全管理组件对下沉网元的通信进行授权,通过防火墙的管理接口向其下发安全策略,允许防火墙与该网元建立加密隧道的,并将该网元的相关信息发送给防火墙。
6、如果认证不通过,安全管理组件通知防火墙不能与该网元建立加密隧道。
7、若认证通过,防火墙会向下沉网元发送认证通过信息。
8、可信安全组件利用认证阶段的密钥参数建立与防火墙之间的加密隧道。
9、防火墙判断发起隧道建立请求的一端是否为通过认证的网元。
10、如果为通过认证的网元发起的隧道建立请求,则同意建立加密隧道。
11、如果不是通过认证的网元发起的隧道建立请求,则拒绝与其建立加密隧道。
12、加密隧道建立成功,下沉网元通过加密隧道向边缘管理面传输告警、性能、资源配置、版本、日志等管理信息。
13、防火墙判断从非可信区域发送过来的流量是否为认证流量或者加密隧道流量。
14、防火墙判断为加密隧道流量,对加密隧道流量进行解密,允许解密后的流量通过。
15、下沉网元通过加密隧道向边缘管理面定期上报下沉网元安全状态信息,监测下沉网元的安全状态,如果发现异常,则向管理员发出告警,从而确保下沉网元安全性。
本实施例提供的技术方案具有以下技术效果:可以对下沉网元的身份可信度进行有效确认;可以避免下沉网元攻击边缘管理面(或者核心网管理面)及其他网元的;可以提高下沉网元与边缘管理面进行数据传输的安全;另外,本实施例仅需在下沉网元的管理接口和其管理面系统进行软件升级,资源池出/入口防火墙部署安全策略即可实现,无需进行硬件改造,对硬件无特殊要求,实现简单,而且无需增加现网硬件设备,成本低,改造少,易实施。
总而言之,本申请将认证、加密、白名单机制有机结合,提供了一套全新的针对下沉网元和管理通道的安全保护机制。从源头切断下沉网元位于不可信区域、不可信管理流量和可信管理流量共用通道带来的安全隐患,使得下沉网元被攻击、仿冒下沉网元接入攻击、中间人攻击等攻击方式失效。
另外,本公开还将控制(安全管理组件)和安全策略执行(防火墙)分离,部署灵活。控制可采用集中部署方式,安全策略执行单元可采用分片部署方式,非可信区域的下沉网元无论部署在何处,只要其管理面能通过网络接入到对应的安全策略执行单元,即可确保下沉网元管理面安全,满足各种业务场景下沉网元的部署需求。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。
本领域技术人员在考虑说明书及实践在这里公开的公开后,将容易想到本公开的其他实施例。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不限于这里已经示出的详细结构、附图方式或实现方法,相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。

Claims (11)

1.一种保护带外网管通道的流量控制方法,其特征在于,保护带外网管通道的流量控制系统包括目标管理面和第一网元,所述第一网元被所述目标管理面管理,所述目标管理面的入口位置处部署有安全防护设备,所述安全防护设备中部署有第一安全策略;其中,所述方法包括:
所述安全防护设备根据所述第一安全策略拦截所述第一网元发送给所述目标管理面的第一流量;
在确定所述第一流量不是来自目标加密隧道的流量、也不是认证流量后,所述安全防护设备根据所述第一安全策略丢弃所述第一流量;
在确定所述第一流量是来自所述目标加密隧道的流量或者是认证流量后,所述安全防护设备根据所述第一安全策略允许所述第一流量通过,以便所述目标管理面接收并处理所述第一流量;
其中,所述目标加密隧道是所述第一网元在通过安全认证后与所述安全防护设备建立的加密隧道,所述认证流量是用于安全认证的流量。
2.根据权利要求1所述方法,其特征在于,在所述安全防护设备根据所述第一安全策略拦截所述第一网元发送给所述目标管理面的第一流量之后,所述方法还包括:
所述安全防护设备根据所述第一安全策略默认所述第一流量不被信任;
所述安全防护设备根据所述第一安全策略对所述第一流量进行安全验证,以确定所述第一流量是否是来自所述目标加密隧道的流量或者是否是认证流量。
3.根据权利要求1所述方法,其特征在于,所述第一安全策略默认所述安全防护设备拦截的所有流量均是非可信流量,并指示所述安全防护设备对拦截的所有流量依次进行验证,并允许验证结果是认证流量或者来自加密隧道的流量通过、丢弃既不是认证流量也不是来自加密隧道的流量。
4.根据权利要求1所述方法,其特征在于,所述第一流量是认证流量;其中,所述目标管理面接收并处理所述第一流量,包括:
所述目标管理面从所述安全防护设备接收所述第一流量;
在确定所述第一流量是认证流量后,所述目标管理面对所述第一流量进行安全认证处理;
在所述第一流量通过安全认证后,所述目标管理面向所述安全防护设备动态下发第二安全策略以通知所述安全防护设备与所述第一网元建立所述目标加密隧道,以便所述第一网元与所述安全防护设备通过所述目标加密隧道传输流量。
5.根据权利要求4所述方法,其特征在于,所述方法还包括:
在所述第一流量没有通过安全认证后,所述目标管理面向所述安全防护设备下发第三策略以通知所述安全防护设备不与所述第一网元建立所述目标加密隧道。
6.根据权利要求4所述方法,其特征在于,所述目标管理面中包括多个安全网元的安全认证信息,所述多个安全网元的安全认证信息是所述多个安全网元在上线部署前同步至所述目标管理面的,所述第一流量携带所述第一网元的安全认证信息;其中,所述目标管理面对所述第一流量进行安全认证处理,包括:
所述目标管理面将所述第一网元的安全认证信息与所述多个安全网元的安全认证信息进行匹配;
若匹配成功,则确定所述第一流量通过安全认证。
7.根据权利要求1所述方法,其特征在于,所述目标管理面是所述保护带外网管通道的流量控制系统中的边缘管理面,所述保护带外网管通道的流量控制系统还包括核心网管理面,所述第一流量是来自所述目标加密隧道的流量;其中,所述目标管理面接收并处理所述第一流量,包括:
所述边缘管理面从所述安全防护设备接收所述第一流量;
所述边缘管理面通过带外网管通道将所述第一流量发送给所述核心网管理面,以便所述核心网管理面对所述第一流量进行处理。
8.根据权利要求1所述方法,其特征在于,所述第一流量是来自所述目标加密隧道的加密流量;其中,所述安全防护设备允许所述第一流量通过,包括:
所述安全防护设备获取所述第一网元的公钥;
所述安全防护设备通过所述公钥对所述第一流量进行解密;
所述安全防护设备允许解密后的第一流量通过。
9.根据权利要求1所述方法,其特征在于,所述第一流量是认证流量,所述第一网元中部署有可信安全组件,所述目标管理面中部署有安全管理组件;
其中,所述可信安全组件用于根据所述第一网元的网元信息生成所述第一流量,以通过所述第一流量向所述目标管理面发起安全认证;
所述可信安全组件还用于对所述第一网元进行安全监控,并定期向所述目标管理面上报所述第一网元的运行环境状态;
所述安全管理组件用于对所述第一流量进行安全认证,并在所述第一流量安全认证通过后向所述安全防护设备下发安全策略以使所述安全防护设备与所述第一网元建立所述目标加密隧道。
10.一种保护带外网管通道的流量控制系统,其特征在于,所述保护带外网管通道的流量控制系统包括目标管理面和第一网元,所述第一网元被所述目标管理面管理,所述目标管理面的入口位置处部署有安全防护设备,所述安全防护设备中部署有第一安全策略;
其中,所述安全防护设备用于根据所述第一安全策略拦截所述第一网元发送给所述目标管理面的第一流量;
所述安全防护设备还用于在根据所述第一安全策略确定所述第一流量不是来自目标加密隧道的流量、也不是认证流量后,丢弃所述第一流量;
所述安全防护设备还用于在根据所述第一安全策略确定所述第一流量是来自所述目标加密隧道的流量或者是认证流量后,允许所述第一流量通过,以便所述目标管理面接收并处理所述第一流量;其中,所述目标加密隧道是所述第一网元在通过安全认证后与所述安全防护设备建立的加密隧道,所述认证流量是用于安全认证的流量。
11.根据权利要求10所述系统,其特征在于,所述安全防护设备还用于在拦截所述第一网元发送给所述目标管理面的第一流量之后,根据所述第一安全策略默认所述第一流量不被信任,并根据所述第一安全策略对所述第一流量进行安全验证,以确定所述第一流量是否是来自所述目标加密隧道的流量或者是否是认证流量。
CN202210284749.8A 2022-03-22 2022-03-22 保护带外网管通道的流量控制方法和系统 Pending CN116828465A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210284749.8A CN116828465A (zh) 2022-03-22 2022-03-22 保护带外网管通道的流量控制方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210284749.8A CN116828465A (zh) 2022-03-22 2022-03-22 保护带外网管通道的流量控制方法和系统

Publications (1)

Publication Number Publication Date
CN116828465A true CN116828465A (zh) 2023-09-29

Family

ID=88139842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210284749.8A Pending CN116828465A (zh) 2022-03-22 2022-03-22 保护带外网管通道的流量控制方法和系统

Country Status (1)

Country Link
CN (1) CN116828465A (zh)

Similar Documents

Publication Publication Date Title
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
US10326756B2 (en) Management of certificate authority (CA) certificates
US8407462B2 (en) Method, system and server for implementing security access control by enforcing security policies
US8959334B2 (en) Secure network architecture
US8146145B2 (en) Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
CN114615328A (zh) 一种安全访问控制系统和方法
WO2003060671A2 (en) Communication security system
EP2659414A1 (en) Management of ssl certificate escrow
CN111918284B (zh) 一种基于安全通信模组的安全通信方法及系统
Samociuk Secure communication between OpenFlow switches and controllers
CN110999223A (zh) 安全加密的心跳协议
CN108712364B (zh) 一种sdn网络的安全防御系统及方法
CN115941236A (zh) 配电网边缘侧零信任安全防护方法
CN116707807A (zh) 分布式零信任微隔离访问控制方法及系统
CN108737445B (zh) 安全策略共享方法和安全策略共享系统
CN113645115A (zh) 虚拟专用网络接入方法和系统
KR20150114921A (ko) 기업내 보안망 제공시스템 및 그 방법
Tutubala et al. A hybrid framework to improve data security in cloud computing
CN116828465A (zh) 保护带外网管通道的流量控制方法和系统
KR101818508B1 (ko) 기업내 보안망 제공시스템, 그 방법 및 컴퓨터 판독가능한 기록 매체
CN115242430A (zh) 一种软件定义边界的实现方法及系统
CN113347004A (zh) 一种电力行业加密方法
CN115835194B (zh) 一种nb-iot物联网终端安全接入系统及接入方法
JP2005165671A (ja) 認証サーバの多重化システム及びその多重化方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination