本发明专利技术涉及一种用于配置电信网络的网络节点的方法,该电信网络包括:-多个远程网络节点,-多个防火墙实体,以及-多个中央网络节点,其中,通过第一配置参数集所配置所述多个远程网络节点中的一远程网络节点并且通过从加密信息基础设施所获得的加密信息认证所述多个远程网络节点中的所述远程网络节点,其中,通过第二配置参数集配置所述多个防火墙实体中的一防火墙实体,其中,由所述多个远程网络节点中的所述远程网络节点通过从远程网络节点直接地或间接地发送至所述防火墙实体的初始配置消息发起对所述多个防火墙实体中的所述防火墙实体的配置,以及其中,由所述远程网络节点的所述加密信息认证所述多个防火墙实体中的所述防火墙实体的配置,所述加密信息是与所述初始配置消息一起由所述防火墙实体直接地或间接地从所述远程网络节点获得的。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】
技术介绍
本专利技术涉及用于配置电信网络的网络节点的方法,尤其涉及公共陆地移动网络。本专利技术还涉及包含多个远程网络节点、多个防火墙实体和多个中央网络节点的电信网络。当前,电信网络,尤其是诸如公共陆地移动网络的电信网络是相当复杂的。来自远程站点(或典型的分布式站点),尤其是无线电基站的业务需要经过若干防火墙才能到达目的地,例如,诸如网络管理系统(^s)的公共陆地移动网络的核心网的中央网络节点、公钥基础设施系统(PK1-系统)或另一网络实体。至目的地路上的所有防火墙需要被恰当地配置,因为不然通信会被阻断。目前,下述原理应用于防火墙配置:—当前,防火墙实体的配置是手动过程,一尤其是在异构环境(不同的防火墙类型/供应商,不同的任务等)中,每个防火墙将被单独地(经常是依次地)配置。-针对所有防火墙的中央配置系统是不可能的和/或从一个防火墙供应商到另一个防火墙供应商以及部分地从一个防火墙软件版本到另一防火墙软件版本将需要手动地作出调整。这意味着确保电信网络中的防火墙实体保持最新并且处于可操作状态的配置工作从实现互联网协议网络的动态配置和重配置以及配置与重配置中的自动化这个角度看是不利的。目前,下述原理应用于端系统或诸如无线电基站的远程网络节点:一网络单元,例如,诸如无线电基站的远程网络节点正使用证书建立IPSec通道并且获得对中央站点的访问权。为了得到对骨干网的访问权,网络单元,例如,诸如eNodeB的无线电基站正将证书呈现给IPSec网关,IPSec网关正检查证书,并且如果结果是肯定的,则远程网络单元能够建立IPSec通道并且访问骨干网,一在即插即用过程期间由公钥基础设施系统将初始证书提供给网络单元,一至少部分地,发生忘记配置防火墙或者例如使用错误的接口错误地应用防火墙的配置。—至少部分地,在操作与维护过程中,忘记或未覆盖对不再需要的防火墙规则的删除,从而如果一些通信关系不再需要,使得防火墙规则集将仅增加而不减少。这导致相当重要的工作是将诸如无线电基站的远程网络单元集成到现有的电信网络中或配置电信网络的网络节点,使得电信网络提供相当高的服务水平(即,是可操作的)并且同时在电信网络内提供相当高的安全级别。
技术实现思路
本专利技术的目的是提供一种用于配置电信网络的网络节点的方法,其中,所述电信网络包括多个远程网络节点、多个防火墙实体以及多个中央网络节点,其中,降低了配置和安装所述电信网络内的网络单元的工作量,所述电信网络的可操作功能增加并且配置网络节点的工作量减少。通过用于配置电信网络的网络节点的方法实现本专利技术的目的,所述电信网络包括:一多个远程网络节点,—多个防火墙实体,以及—多个中央网络节点,其中,通过第一配置参数集配置所述多个远程网络节点中的一远程网络节点并且通过从加密信息基础设施获得的加密信息认证所述多个远程网络节点中的所述远程网络节点,其中,通过第二配置参数集配置所述多个防火墙实体中的一防火墙实体,-其中,由所述多个远程网络节点中的所述远程网络节点通过从所述远程网络节点直接地或间接地发送至所述防火墙实体的初始配置消息发起对所述多个防火墙实体中的所述防火墙实体的配置,以及-其中,由所述远程网络节点的加密信息认证所述多个防火墙实体中的所述防火墙实体的配置,所述加密信息是与所述初始配置消息一起由所述防火墙实体直接地或间接地从所述远程网络节点获取的。因此,有利的是根据本专利技术来使用相同的证书或相同的预共享密钥,S卩,相同的加密或认证信息,这两者均用于建立IPSec通道以及自动配置防火墙规则。通常,通过使用即插即用过程将诸如新eNodeB的新的无线电基站集成到电信网络中。这意味着,无线电基站或远程网络节点被连接至电信网络或被插入到电信网络中,然后,所有的事情均由存储在无线电基站中或远程网络节点中的信息来完成。该即插即用过程通常包括作为第一步的通过DHCP(动态主机配置协议)请求消息扫描正确VLAN(虚拟局域网)。而且,在第二步中,远程网络节点,尤其是无线电基站将接收单个VLAN上的DHCP应答消息。此外,该DHCP应答消息包括用于无线电基站或远程网络节点的一些基本配置。在第三步期间,该基本配置还允许远程网络节点或无线电基站请求通常为公钥基础设施的加密信息基础设施处的加密或认证证书。作为请求加密或认证证书之外的另一种选择,根据本专利技术,将预共享密钥分发给远程网络节点,即,无线电基站是可能的。在即插即用过程之后的第四步中,加密信息基础设施,即,尤其是公钥基础设施将通过不同的措施认证远程网络节点,尤其是无线电基站。这些措施是,例如,对应当被列在加密信息基础设施的白名单上的无线电基站的序列号的检查,并且此外工厂证书(在工厂内被安装在远程网络节点上或无线电基站上,即,在无线电基站的制造期间)将优选地被生效。如果成功地进行了对第四步的即插即用过程的检查,则加密信息基础设施系统,优选地公钥基础设施系统将为远程网络节点或无线电基站发布运营证书。该运营证书优选地为加密证书,用于在远程网络节点与中央网络节点之间建立IPSec通道通信。可选地,根据本专利技术,将预共享密钥分发给远程网络节点并且用于为远程网络节点的通信提供加密或认证是可能的。根据本专利技术的一个优选实施方案,公钥基础设施系统或加密信息基础设施还将作为集成引擎,管理多个无线电基站一一即,多个远程网络节点--与通信端点--例如电信网络的中央网络节点或核心网络实体--之丨司的电信网络内的防火墙实体的规则。该加密信息基础设施,尤其是公钥基础设施将包括与发布给远程网络节点,尤其是无线电基站的加密证书相关的防火墙规则的信息。在第六步中,远程网络节点,尤其是无线电基站将向端点发送初始配置消息,该初始配置消息被配置以为所需的通信打开所需的防火墙。该初始配置消息通常包括认证和/或加密信息,即,在网络单元一一即,通常的中央网络节点和/或防火墙实体一一处用于认证的运营证书或运营加密证书或预共享密钥,并且此外还包括所需的防火墙规则。在第七步中,如果初始配置消息正经过防火墙实体,则该防火墙实体将使用所附带的加密信息,即,加密证书或预共享密钥来认证诸如无线电基站的远程网络节点,并且使用与加密信息相关联的信息配置防火墙实体,g卩,配置其自身。根据本专利技术的优选实施方案,所述加密信息是加密证书或者预共享密钥信息,其中,所述加密信息基础设施优选为公钥基础设施。因此,有利的是将预共享密钥信息或者将加密证书用作加密信息。根据本专利技术的又一优选实施方案,由集成引擎提供所述第二配置参数集,所述集成引擎被提供:一在所述多个远程网络节点中的所述远程网络节点处,和/或—在所述加密信息基础设施处,和/或—在所述多个中央网络节点的所述中央网络节点处,和/或一在配置服务器处。因此,有利的是能够在所述电信网络内灵活地设置所述集成引擎。根据本专利技术,更优选的是由所述集成引擎基于所述第一配置参数集和网络节点通信协议实现(network nodes communicat1n protocol implementat1n)生成所述第二配置参数集。因此,有利的是基于所述第一配置参数集和所述网络节点通信协议实现自动地和/或动态地生成所述第二配置参数集,其中,网络节点通信协议实现尤其地对应于网络节点(例如,远程网络节点或中央网络节点)的默认本文档来自技高网...
【技术保护点】
一种用于配置电信网络(5)的网络节点的方法,所述电信网络(5)包括:‑‑多个远程网络节点(10),‑‑多个防火墙实体(20),以及‑‑多个中央网络节点(30),其中,通过第一配置参数集配置所述多个远程网络节点(10)中的一远程网络节点(11)并通过从加密信息基础设施(40)获得的加密信息认证所述多个远程网络节点(10)中的所述远程网络节点(11),其中,通过第二配置参数集配置所述多个防火墙实体(20)中的一防火墙实体(21,22,23),‑‑其中,由所述多个远程网络节点(10)中的所述远程网络节点(11)通过从所述远程网络节点(11)直接地或间接地发送至所述防火墙实体(21,22,23)的初始配置消息发起对所述多个防火墙实体(20)中的所述防火墙实体(21,22,23)的配置,以及‑‑其中,由所述远程网络节点(11)的所述加密信息认证对所述多个防火墙实体(20)中的所述防火墙实体(21,22,23)的配置,所述加密信息是与所述初始配置消息一起由所述防火墙实体(21,22,23)直接地或间接地从所述远程网络节点(11)获取的。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:M·舒尔茨,J·卡鲁扎,J·毛雷尔,F·莱塞,
申请(专利权)人:德国电信股份公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。