用于配置電信網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)的方法、電信網(wǎng)絡(luò)�����、程序及計(jì)算機(jī)程序產(chǎn)品的制作方法
【專利說明】
【背景技術(shù)】
[0001]本發(fā)明涉及用于配置電信網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)的方法����,尤其涉及公共陸地移動(dòng)網(wǎng)絡(luò)。
[0002]本發(fā)明還涉及包含多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)��、多個(gè)防火墻實(shí)體和多個(gè)中央網(wǎng)絡(luò)節(jié)點(diǎn)的電信網(wǎng)絡(luò)�。
[0003]當(dāng)前,電信網(wǎng)絡(luò)�,尤其是諸如公共陸地移動(dòng)網(wǎng)絡(luò)的電信網(wǎng)絡(luò)是相當(dāng)復(fù)雜的。來自遠(yuǎn)程站點(diǎn)(或典型的分布式站點(diǎn))�,尤其是無線電基站的業(yè)務(wù)需要經(jīng)過若干防火墻才能到達(dá)目的地,例如��,諸如網(wǎng)絡(luò)管理系統(tǒng)(^s)的公共陸地移動(dòng)網(wǎng)絡(luò)的核心網(wǎng)的中央網(wǎng)絡(luò)節(jié)點(diǎn)�、公鑰基礎(chǔ)設(shè)施系統(tǒng)(PK1-系統(tǒng))或另一網(wǎng)絡(luò)實(shí)體。至目的地路上的所有防火墻需要被恰當(dāng)?shù)嘏渲?����,因?yàn)椴蝗煌ㄐ艜?huì)被阻斷�。
[0004]目前���,下述原理應(yīng)用于防火墻配置:
[0005]—當(dāng)前,防火墻實(shí)體的配置是手動(dòng)過程�����,
[0006]一尤其是在異構(gòu)環(huán)境(不同的防火墻類型/供應(yīng)商����,不同的任務(wù)等)中,每個(gè)防火墻將被單獨(dú)地(經(jīng)常是依次地)配置�����。
[0007]-針對(duì)所有防火墻的中央配置系統(tǒng)是不可能的和/或從一個(gè)防火墻供應(yīng)商到另一個(gè)防火墻供應(yīng)商以及部分地從一個(gè)防火墻軟件版本到另一防火墻軟件版本將需要手動(dòng)地作出調(diào)整���。
[0008]這意味著確保電信網(wǎng)絡(luò)中的防火墻實(shí)體保持最新并且處于可操作狀態(tài)的配置工作從實(shí)現(xiàn)互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)的動(dòng)態(tài)配置和重配置以及配置與重配置中的自動(dòng)化這個(gè)角度看是不利的�����。
[0009]目前,下述原理應(yīng)用于端系統(tǒng)或諸如無線電基站的遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn):
[0010]一網(wǎng)絡(luò)單元����,例如�,諸如無線電基站的遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)正使用證書建立IPSec通道并且獲得對(duì)中央站點(diǎn)的訪問權(quán)�����。為了得到對(duì)骨干網(wǎng)的訪問權(quán)�����,網(wǎng)絡(luò)單元��,例如���,諸如eNodeB的無線電基站正將證書呈現(xiàn)給IPSec網(wǎng)關(guān)�����,IPSec網(wǎng)關(guān)正檢查證書���,并且如果結(jié)果是肯定的,則遠(yuǎn)程網(wǎng)絡(luò)單元能夠建立IPSec通道并且訪問骨干網(wǎng)��,
[0011]一在即插即用過程期間由公鑰基礎(chǔ)設(shè)施系統(tǒng)將初始證書提供給網(wǎng)絡(luò)單元����,
[0012]一至少部分地����,發(fā)生忘記配置防火墻或者例如使用錯(cuò)誤的接口錯(cuò)誤地應(yīng)用防火墻的配置���。
[0013]—至少部分地��,在操作與維護(hù)過程中�,忘記或未覆蓋對(duì)不再需要的防火墻規(guī)則的刪除���,從而如果一些通信關(guān)系不再需要�,使得防火墻規(guī)則集將僅增加而不減少���。
[0014]這導(dǎo)致相當(dāng)重要的工作是將諸如無線電基站的遠(yuǎn)程網(wǎng)絡(luò)單元集成到現(xiàn)有的電信網(wǎng)絡(luò)中或配置電信網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)���,使得電信網(wǎng)絡(luò)提供相當(dāng)高的服務(wù)水平(即,是可操作的)并且同時(shí)在電信網(wǎng)絡(luò)內(nèi)提供相當(dāng)高的安全級(jí)別���。
【發(fā)明內(nèi)容】
[0015]本發(fā)明的目的是提供一種用于配置電信網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)的方法����,其中,所述電信網(wǎng)絡(luò)包括多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)�����、多個(gè)防火墻實(shí)體以及多個(gè)中央網(wǎng)絡(luò)節(jié)點(diǎn)��,其中��,降低了配置和安裝所述電信網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)單元的工作量�,所述電信網(wǎng)絡(luò)的可操作功能增加并且配置網(wǎng)絡(luò)節(jié)點(diǎn)的工作量減少�����。
[0016]通過用于配置電信網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)的方法實(shí)現(xiàn)本發(fā)明的目的����,所述電信網(wǎng)絡(luò)包括:
[0017]一多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn),
[0018]—多個(gè)防火墻實(shí)體�����,以及
[0019]—多個(gè)中央網(wǎng)絡(luò)節(jié)點(diǎn)��,
[0020]其中����,通過第一配置參數(shù)集配置所述多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)中的一遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)并且通過從加密信息基礎(chǔ)設(shè)施獲得的加密信息認(rèn)證所述多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)中的所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)���,其中,通過第二配置參數(shù)集配置所述多個(gè)防火墻實(shí)體中的一防火墻實(shí)體����,
[0021]-其中,由所述多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)中的所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)通過從所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)直接地或間接地發(fā)送至所述防火墻實(shí)體的初始配置消息發(fā)起對(duì)所述多個(gè)防火墻實(shí)體中的所述防火墻實(shí)體的配置����,以及
[0022]-其中,由所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)的加密信息認(rèn)證所述多個(gè)防火墻實(shí)體中的所述防火墻實(shí)體的配置��,所述加密信息是與所述初始配置消息一起由所述防火墻實(shí)體直接地或間接地從所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)獲取的�����。
[0023]因此�,有利的是根據(jù)本發(fā)明來使用相同的證書或相同的預(yù)共享密鑰,S卩�,相同的加密或認(rèn)證信息,這兩者均用于建立IPSec通道以及自動(dòng)配置防火墻規(guī)則�。通常,通過使用即插即用過程將諸如新eNodeB的新的無線電基站集成到電信網(wǎng)絡(luò)中�����。這意味著,無線電基站或遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)被連接至電信網(wǎng)絡(luò)或被插入到電信網(wǎng)絡(luò)中�,然后,所有的事情均由存儲(chǔ)在無線電基站中或遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)中的信息來完成��。該即插即用過程通常包括作為第一步的通過DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)請(qǐng)求消息掃描正確VLAN(虛擬局域網(wǎng))��。而且�����,在第二步中���,遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn),尤其是無線電基站將接收單個(gè)VLAN上的DHCP應(yīng)答消息�。此外,該DHCP應(yīng)答消息包括用于無線電基站或遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)的一些基本配置���。在第三步期間��,該基本配置還允許遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)或無線電基站請(qǐng)求通常為公鑰基礎(chǔ)設(shè)施的加密信息基礎(chǔ)設(shè)施處的加密或認(rèn)證證書���。作為請(qǐng)求加密或認(rèn)證證書之外的另一種選擇,根據(jù)本發(fā)明,將預(yù)共享密鑰分發(fā)給遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)���,即�,無線電基站是可能的�。在即插即用過程之后的第四步中,加密信息基礎(chǔ)設(shè)施���,即�����,尤其是公鑰基礎(chǔ)設(shè)施將通過不同的措施認(rèn)證遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)��,尤其是無線電基站��。這些措施是�����,例如��,對(duì)應(yīng)當(dāng)被列在加密信息基礎(chǔ)設(shè)施的白名單上的無線電基站的序列號(hào)的檢查��,并且此外工廠證書(在工廠內(nèi)被安裝在遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)上或無線電基站上����,即,在無線電基站的制造期間)將優(yōu)選地被生效��。如果成功地進(jìn)行了對(duì)第四步的即插即用過程的檢查����,則加密信息基礎(chǔ)設(shè)施系統(tǒng),優(yōu)選地公鑰基礎(chǔ)設(shè)施系統(tǒng)將為遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)或無線電基站發(fā)布運(yùn)營證書�。該運(yùn)營證書優(yōu)選地為加密證書���,用于在遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)與中央網(wǎng)絡(luò)節(jié)點(diǎn)之間建立IPSec通道通信��?��?蛇x地,根據(jù)本發(fā)明��,將預(yù)共享密鑰分發(fā)給遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)并且用于為遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)的通信提供加密或認(rèn)證是可能的�。根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施方案,公鑰基礎(chǔ)設(shè)施系統(tǒng)或加密信息基礎(chǔ)設(shè)施還將作為集成引擎��,管理多個(gè)無線電基站一一即�,多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)--與通信端點(diǎn)--例如電信網(wǎng)絡(luò)的中央網(wǎng)絡(luò)節(jié)點(diǎn)或核心網(wǎng)絡(luò)實(shí)體--之丨司的電信網(wǎng)絡(luò)內(nèi)的防火墻實(shí)體的規(guī)則���。該加密信息基礎(chǔ)設(shè)施,尤其是公鑰基礎(chǔ)設(shè)施將包括與發(fā)布給遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)��,尤其是無線電基站的加密證書相關(guān)的防火墻規(guī)則的信息����。在第六步中,遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)���,尤其是無線電基站將向端點(diǎn)發(fā)送初始配置消息�,該初始配置消息被配置以為所需的通信打開所需的防火墻��。該初始配置消息通常包括認(rèn)證和/或加密信息���,即�����,在網(wǎng)絡(luò)單元一一即����,通常的中央網(wǎng)絡(luò)節(jié)點(diǎn)和/或防火墻實(shí)體一一處用于認(rèn)證的運(yùn)營證書或運(yùn)營加密證書或預(yù)共享密鑰�,并且此外還包括所需的防火墻規(guī)則����。在第七步中����,如果初始配置消息正經(jīng)過防火墻實(shí)體,則該防火墻實(shí)體將使用所附帶的加密信息�����,即���,加密證書或預(yù)共享密鑰來認(rèn)證諸如無線電基站的遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn),并且使用與加密信息相關(guān)聯(lián)的信息配置防火墻實(shí)體����,g卩,配置其自身����。
[0024]根據(jù)本發(fā)明的優(yōu)選實(shí)施方案,所述加密信息是加密證書或者預(yù)共享密鑰信息��,其中����,所述加密信息基礎(chǔ)設(shè)施優(yōu)選為公鑰基礎(chǔ)設(shè)施���。
[0025]因此,有利的是將預(yù)共享密鑰信息或者將加密證書用作加密信息�����。
[0026]根據(jù)本發(fā)明的又一優(yōu)選實(shí)施方案�,由集成引擎提供所述第二配置參數(shù)集,所述集成引擎被提供:
[0027]一在所述多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)中的所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)處�����,和/或
[0028]—在所述加密信息基礎(chǔ)設(shè)施處���,和/或
[0029]—在所述多個(gè)中央網(wǎng)絡(luò)節(jié)點(diǎn)的所述中央網(wǎng)絡(luò)節(jié)點(diǎn)處��,和/或
[0030]一在配置服務(wù)器處����。
[0031]因此����,有利的是能夠在所述電信網(wǎng)絡(luò)內(nèi)靈活地設(shè)置所述集成引擎���。
[0032]根據(jù)本發(fā)明,更優(yōu)選的是由所述集成引擎基于所述第一配置參數(shù)集和網(wǎng)絡(luò)節(jié)點(diǎn)通信協(xié)議實(shí)現(xiàn)(network nodes communicat1n protocol implementat1n)生成所述第二配置參數(shù)集����。
[0033]因此,有利的是基于所述第一配置參數(shù)集和所述網(wǎng)絡(luò)節(jié)點(diǎn)通信協(xié)議實(shí)現(xiàn)自動(dòng)地和/或動(dòng)態(tài)地生成所述第二配置參數(shù)集�����,其中��,網(wǎng)絡(luò)節(jié)點(diǎn)通信協(xié)議實(shí)現(xiàn)尤其地對(duì)應(yīng)于網(wǎng)絡(luò)節(jié)點(diǎn)(例如���,遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)或中央網(wǎng)絡(luò)節(jié)點(diǎn))的默認(rèn)配置(例如����,工廠設(shè)置)����。
[0034]根據(jù)本發(fā)明的又一優(yōu)選實(shí)施方案�,所述加密信息既用于配置所述多個(gè)防火墻實(shí)體中的所述防火墻實(shí)體又用于在所述多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)中的所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)與所述多個(gè)中央網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全通信通道。
[0035]因此�,有利的是不僅將遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)集成到通信網(wǎng)絡(luò)中用于通信目的�,而且還通過加密信息配置防火墻實(shí)體���。
[0036]根據(jù)本發(fā)明實(shí)施方案�,更優(yōu)選的是��,所述加密信息和所述第二配置參數(shù)集用于配置所述多個(gè)遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)中的所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)與所述多個(gè)中央網(wǎng)絡(luò)節(jié)點(diǎn)之間的所述多個(gè)防火墻實(shí)體中的至少兩個(gè)防火墻實(shí)體��。
[0037]因此��,根據(jù)本發(fā)明����,有利的是在多于一個(gè)的防火墻實(shí)體被用于完成遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)與中央網(wǎng)絡(luò)節(jié)點(diǎn)中的一個(gè)之間的通信需求的情況下,由所述第二配置參數(shù)集中的加密信息配置多于一個(gè)的防火墻實(shí)體�。
[0038]根據(jù)本發(fā)明的再一優(yōu)選實(shí)施方案,所述遠(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)周期性地發(fā)送配置?;钕ⅲ酝ㄖh(yuǎn)程網(wǎng)絡(luò)節(jié)點(diǎn)與一個(gè)通信端點(diǎn)之間的其他網(wǎng)絡(luò)節(jié)點(diǎn)配置仍有效���,其中�����,在可配置的時(shí)間間隔未在防火墻實(shí)體處接收到?����;钕⒌那闆r下���,配置被無效�����。
[0039]因此�,根據(jù)本發(fā)明�����,有利的是����,防火墻實(shí)體的配置時(shí)刻保持最新,這意味著配置參數(shù)的未使用部分被擦除��,這提高了通信網(wǎng)絡(luò)的整體安全水平���,因?yàn)橥ㄟ^使某些配置信息無效來關(guān)閉未使用的開放通道,這意味著在防火墻期望配置保活消息的一定時(shí)間間隔之后至少關(guān)閉了之前的開放通道����,并且在該時(shí)間間隔內(nèi)未收到配置