用于配置電信網(wǎng)絡的網(wǎng)絡節(jié)點的方法���、電信網(wǎng)絡、程序及計算機程序產(chǎn)品的制作方法
【專利說明】
【背景技術(shù)】
[0001]本發(fā)明涉及用于配置電信網(wǎng)絡的網(wǎng)絡節(jié)點的方法�����,尤其涉及公共陸地移動網(wǎng)絡��。
[0002]本發(fā)明還涉及包含多個遠程網(wǎng)絡節(jié)點��、多個防火墻實體和多個中央網(wǎng)絡節(jié)點的電信網(wǎng)絡。
[0003]當前�,電信網(wǎng)絡,尤其是諸如公共陸地移動網(wǎng)絡的電信網(wǎng)絡是相當復雜的���。來自遠程站點(或典型的分布式站點)�����,尤其是無線電基站的業(yè)務需要經(jīng)過若干防火墻才能到達目的地�,例如����,諸如網(wǎng)絡管理系統(tǒng)(^s)的公共陸地移動網(wǎng)絡的核心網(wǎng)的中央網(wǎng)絡節(jié)點、公鑰基礎(chǔ)設(shè)施系統(tǒng)(PK1-系統(tǒng))或另一網(wǎng)絡實體��。至目的地路上的所有防火墻需要被恰當?shù)嘏渲?��,因為不然通信會被阻斷?br>[0004]目前����,下述原理應用于防火墻配置:
[0005]—當前����,防火墻實體的配置是手動過程�,
[0006]一尤其是在異構(gòu)環(huán)境(不同的防火墻類型/供應商��,不同的任務等)中����,每個防火墻將被單獨地(經(jīng)常是依次地)配置。
[0007]-針對所有防火墻的中央配置系統(tǒng)是不可能的和/或從一個防火墻供應商到另一個防火墻供應商以及部分地從一個防火墻軟件版本到另一防火墻軟件版本將需要手動地作出調(diào)整���。
[0008]這意味著確保電信網(wǎng)絡中的防火墻實體保持最新并且處于可操作狀態(tài)的配置工作從實現(xiàn)互聯(lián)網(wǎng)協(xié)議網(wǎng)絡的動態(tài)配置和重配置以及配置與重配置中的自動化這個角度看是不利的����。
[0009]目前���,下述原理應用于端系統(tǒng)或諸如無線電基站的遠程網(wǎng)絡節(jié)點:
[0010]一網(wǎng)絡單元,例如�,諸如無線電基站的遠程網(wǎng)絡節(jié)點正使用證書建立IPSec通道并且獲得對中央站點的訪問權(quán)。為了得到對骨干網(wǎng)的訪問權(quán)�����,網(wǎng)絡單元��,例如,諸如eNodeB的無線電基站正將證書呈現(xiàn)給IPSec網(wǎng)關(guān)���,IPSec網(wǎng)關(guān)正檢查證書��,并且如果結(jié)果是肯定的�����,則遠程網(wǎng)絡單元能夠建立IPSec通道并且訪問骨干網(wǎng)��,
[0011]一在即插即用過程期間由公鑰基礎(chǔ)設(shè)施系統(tǒng)將初始證書提供給網(wǎng)絡單元���,
[0012]一至少部分地,發(fā)生忘記配置防火墻或者例如使用錯誤的接口錯誤地應用防火墻的配置�����。
[0013]—至少部分地����,在操作與維護過程中,忘記或未覆蓋對不再需要的防火墻規(guī)則的刪除���,從而如果一些通信關(guān)系不再需要�����,使得防火墻規(guī)則集將僅增加而不減少���。
[0014]這導致相當重要的工作是將諸如無線電基站的遠程網(wǎng)絡單元集成到現(xiàn)有的電信網(wǎng)絡中或配置電信網(wǎng)絡的網(wǎng)絡節(jié)點�,使得電信網(wǎng)絡提供相當高的服務水平(即�,是可操作的)并且同時在電信網(wǎng)絡內(nèi)提供相當高的安全級別。
【發(fā)明內(nèi)容】
[0015]本發(fā)明的目的是提供一種用于配置電信網(wǎng)絡的網(wǎng)絡節(jié)點的方法����,其中,所述電信網(wǎng)絡包括多個遠程網(wǎng)絡節(jié)點����、多個防火墻實體以及多個中央網(wǎng)絡節(jié)點,其中����,降低了配置和安裝所述電信網(wǎng)絡內(nèi)的網(wǎng)絡單元的工作量�,所述電信網(wǎng)絡的可操作功能增加并且配置網(wǎng)絡節(jié)點的工作量減少。
[0016]通過用于配置電信網(wǎng)絡的網(wǎng)絡節(jié)點的方法實現(xiàn)本發(fā)明的目的�����,所述電信網(wǎng)絡包括:
[0017]一多個遠程網(wǎng)絡節(jié)點,
[0018]—多個防火墻實體���,以及
[0019]—多個中央網(wǎng)絡節(jié)點��,
[0020]其中���,通過第一配置參數(shù)集配置所述多個遠程網(wǎng)絡節(jié)點中的一遠程網(wǎng)絡節(jié)點并且通過從加密信息基礎(chǔ)設(shè)施獲得的加密信息認證所述多個遠程網(wǎng)絡節(jié)點中的所述遠程網(wǎng)絡節(jié)點,其中����,通過第二配置參數(shù)集配置所述多個防火墻實體中的一防火墻實體,
[0021]-其中�����,由所述多個遠程網(wǎng)絡節(jié)點中的所述遠程網(wǎng)絡節(jié)點通過從所述遠程網(wǎng)絡節(jié)點直接地或間接地發(fā)送至所述防火墻實體的初始配置消息發(fā)起對所述多個防火墻實體中的所述防火墻實體的配置����,以及
[0022]-其中,由所述遠程網(wǎng)絡節(jié)點的加密信息認證所述多個防火墻實體中的所述防火墻實體的配置��,所述加密信息是與所述初始配置消息一起由所述防火墻實體直接地或間接地從所述遠程網(wǎng)絡節(jié)點獲取的�。
[0023]因此,有利的是根據(jù)本發(fā)明來使用相同的證書或相同的預共享密鑰��,S卩,相同的加密或認證信息�����,這兩者均用于建立IPSec通道以及自動配置防火墻規(guī)則�。通常,通過使用即插即用過程將諸如新eNodeB的新的無線電基站集成到電信網(wǎng)絡中����。這意味著,無線電基站或遠程網(wǎng)絡節(jié)點被連接至電信網(wǎng)絡或被插入到電信網(wǎng)絡中�,然后,所有的事情均由存儲在無線電基站中或遠程網(wǎng)絡節(jié)點中的信息來完成���。該即插即用過程通常包括作為第一步的通過DHCP(動態(tài)主機配置協(xié)議)請求消息掃描正確VLAN(虛擬局域網(wǎng))���。而且,在第二步中���,遠程網(wǎng)絡節(jié)點�,尤其是無線電基站將接收單個VLAN上的DHCP應答消息�。此外����,該DHCP應答消息包括用于無線電基站或遠程網(wǎng)絡節(jié)點的一些基本配置�。在第三步期間�����,該基本配置還允許遠程網(wǎng)絡節(jié)點或無線電基站請求通常為公鑰基礎(chǔ)設(shè)施的加密信息基礎(chǔ)設(shè)施處的加密或認證證書��。作為請求加密或認證證書之外的另一種選擇�,根據(jù)本發(fā)明,將預共享密鑰分發(fā)給遠程網(wǎng)絡節(jié)點����,即,無線電基站是可能的����。在即插即用過程之后的第四步中,加密信息基礎(chǔ)設(shè)施�,即,尤其是公鑰基礎(chǔ)設(shè)施將通過不同的措施認證遠程網(wǎng)絡節(jié)點��,尤其是無線電基站����。這些措施是�,例如�����,對應當被列在加密信息基礎(chǔ)設(shè)施的白名單上的無線電基站的序列號的檢查���,并且此外工廠證書(在工廠內(nèi)被安裝在遠程網(wǎng)絡節(jié)點上或無線電基站上�,即��,在無線電基站的制造期間)將優(yōu)選地被生效�����。如果成功地進行了對第四步的即插即用過程的檢查���,則加密信息基礎(chǔ)設(shè)施系統(tǒng)�����,優(yōu)選地公鑰基礎(chǔ)設(shè)施系統(tǒng)將為遠程網(wǎng)絡節(jié)點或無線電基站發(fā)布運營證書�。該運營證書優(yōu)選地為加密證書����,用于在遠程網(wǎng)絡節(jié)點與中央網(wǎng)絡節(jié)點之間建立IPSec通道通信�����。可選地��,根據(jù)本發(fā)明��,將預共享密鑰分發(fā)給遠程網(wǎng)絡節(jié)點并且用于為遠程網(wǎng)絡節(jié)點的通信提供加密或認證是可能的���。根據(jù)本發(fā)明的一個優(yōu)選實施方案�����,公鑰基礎(chǔ)設(shè)施系統(tǒng)或加密信息基礎(chǔ)設(shè)施還將作為集成引擎����,管理多個無線電基站一一即�,多個遠程網(wǎng)絡節(jié)點--與通信端點--例如電信網(wǎng)絡的中央網(wǎng)絡節(jié)點或核心網(wǎng)絡實體--之丨司的電信網(wǎng)絡內(nèi)的防火墻實體的規(guī)則。該加密信息基礎(chǔ)設(shè)施���,尤其是公鑰基礎(chǔ)設(shè)施將包括與發(fā)布給遠程網(wǎng)絡節(jié)點��,尤其是無線電基站的加密證書相關(guān)的防火墻規(guī)則的信息���。在第六步中�,遠程網(wǎng)絡節(jié)點�,尤其是無線電基站將向端點發(fā)送初始配置消息,該初始配置消息被配置以為所需的通信打開所需的防火墻��。該初始配置消息通常包括認證和/或加密信息�����,即�����,在網(wǎng)絡單元一一即���,通常的中央網(wǎng)絡節(jié)點和/或防火墻實體一一處用于認證的運營證書或運營加密證書或預共享密鑰��,并且此外還包括所需的防火墻規(guī)則���。在第七步中,如果初始配置消息正經(jīng)過防火墻實體�����,則該防火墻實體將使用所附帶的加密信息,即�����,加密證書或預共享密鑰來認證諸如無線電基站的遠程網(wǎng)絡節(jié)點�,并且使用與加密信息相關(guān)聯(lián)的信息配置防火墻實體���,g卩�,配置其自身�。
[0024]根據(jù)本發(fā)明的優(yōu)選實施方案,所述加密信息是加密證書或者預共享密鑰信息����,其中,所述加密信息基礎(chǔ)設(shè)施優(yōu)選為公鑰基礎(chǔ)設(shè)施��。
[0025]因此����,有利的是將預共享密鑰信息或者將加密證書用作加密信息。
[0026]根據(jù)本發(fā)明的又一優(yōu)選實施方案���,由集成引擎提供所述第二配置參數(shù)集����,所述集成引擎被提供:
[0027]一在所述多個遠程網(wǎng)絡節(jié)點中的所述遠程網(wǎng)絡節(jié)點處,和/或
[0028]—在所述加密信息基礎(chǔ)設(shè)施處���,和/或
[0029]—在所述多個中央網(wǎng)絡節(jié)點的所述中央網(wǎng)絡節(jié)點處����,和/或
[0030]一在配置服務器處��。
[0031]因此�����,有利的是能夠在所述電信網(wǎng)絡內(nèi)靈活地設(shè)置所述集成引擎���。
[0032]根據(jù)本發(fā)明�����,更優(yōu)選的是由所述集成引擎基于所述第一配置參數(shù)集和網(wǎng)絡節(jié)點通信協(xié)議實現(xiàn)(network nodes communicat1n protocol implementat1n)生成所述第二配置參數(shù)集����。
[0033]因此,有利的是基于所述第一配置參數(shù)集和所述網(wǎng)絡節(jié)點通信協(xié)議實現(xiàn)自動地和/或動態(tài)地生成所述第二配置參數(shù)集�,其中,網(wǎng)絡節(jié)點通信協(xié)議實現(xiàn)尤其地對應于網(wǎng)絡節(jié)點(例如����,遠程網(wǎng)絡節(jié)點或中央網(wǎng)絡節(jié)點)的默認配置(例如,工廠設(shè)置)��。
[0034]根據(jù)本發(fā)明的又一優(yōu)選實施方案���,所述加密信息既用于配置所述多個防火墻實體中的所述防火墻實體又用于在所述多個遠程網(wǎng)絡節(jié)點中的所述遠程網(wǎng)絡節(jié)點與所述多個中央網(wǎng)絡節(jié)點之間建立安全通信通道。
[0035]因此�,有利的是不僅將遠程網(wǎng)絡節(jié)點集成到通信網(wǎng)絡中用于通信目的,而且還通過加密信息配置防火墻實體�。
[0036]根據(jù)本發(fā)明實施方案,更優(yōu)選的是����,所述加密信息和所述第二配置參數(shù)集用于配置所述多個遠程網(wǎng)絡節(jié)點中的所述遠程網(wǎng)絡節(jié)點與所述多個中央網(wǎng)絡節(jié)點之間的所述多個防火墻實體中的至少兩個防火墻實體。
[0037]因此�����,根據(jù)本發(fā)明��,有利的是在多于一個的防火墻實體被用于完成遠程網(wǎng)絡節(jié)點與中央網(wǎng)絡節(jié)點中的一個之間的通信需求的情況下,由所述第二配置參數(shù)集中的加密信息配置多于一個的防火墻實體���。
[0038]根據(jù)本發(fā)明的再一優(yōu)選實施方案��,所述遠程網(wǎng)絡節(jié)點周期性地發(fā)送配置?;钕?����,以通知遠程網(wǎng)絡節(jié)點與一個通信端點之間的其他網(wǎng)絡節(jié)點配置仍有效��,其中���,在可配置的時間間隔未在防火墻實體處接收到?�;钕⒌那闆r下�,配置被無效�����。
[0039]因此����,根據(jù)本發(fā)明�����,有利的是�����,防火墻實體的配置時刻保持最新���,這意味著配置參數(shù)的未使用部分被擦除,這提高了通信網(wǎng)絡的整體安全水平�,因為通過使某些配置信息無效來關(guān)閉未使用的開放通道,這意味著在防火墻期望配置?����;钕⒌囊欢〞r間間隔之后至少關(guān)閉了之前的開放通道����,并且在該時間間隔內(nèi)未收到配置