[发明专利]用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品

说明书

背景技术

本发明涉及用于配置电信网络的网络节点的方法，尤其涉及公共陆地移动网络。

本发明还涉及包含多个远程网络节点、多个防火墙实体和多个中央网络节点的电信网络。

当前，电信网络，尤其是诸如公共陆地移动网络的电信网络是相当复杂的。来自远程站点(或典型的分布式站点)，尤其是无线电基站的业务需要经过若干防火墙才能到达目的地，例如，诸如网络管理系统(NMS)的公共陆地移动网络的核心网的中央网络节点、公钥基础设施系统(PKI-系统)或另一网络实体。至目的地路上的所有防火墙需要被恰当地配置，因为不然通信会被阻断。

目前，下述原理应用于防火墙配置：

--当前，防火墙实体的配置是手动过程，

--尤其是在异构环境(不同的防火墙类型/供应商，不同的任务等)中，每个防火墙将被单独地(经常是依次地)配置。

--针对所有防火墙的中央配置系统是不可能的和/或从一个防火墙供应商到另一个防火墙供应商以及部分地从一个防火墙软件版本到另一防火墙软件版本将需要手动地作出调整。

这意味着确保电信网络中的防火墙实体保持最新并且处于可操作状态的配置工作从实现互联网协议网络的动态配置和重配置以及配置与重配置中的自动化这个角度看是不利的。

目前，下述原理应用于端系统或诸如无线电基站的远程网络节点：

--网络单元，例如，诸如无线电基站的远程网络节点正使用证书建立IPSec通道并且获得对中央站点的访问权。为了得到对骨干网的访问权，网络单元，例如，诸如eNodeB的无线电基站正将证书呈现给IPSec网关，IPSec网关正检查证书，并且如果结果是肯定的，则远程网络单元能够建立IPSec通道并且访问骨干网，

--在即插即用过程期间由公钥基础设施系统将初始证书提供给网络单元，

--至少部分地，发生忘记配置防火墙或者例如使用错误的接口错误地应用防火墙的配置。

--至少部分地，在操作与维护过程中，忘记或未覆盖对不再需要的防火墙规则的删除，从而如果一些通信关系不再需要，使得防火墙规则集将仅增加而不减少。

这导致相当重要的工作是将诸如无线电基站的远程网络单元集成到现有的电信网络中或配置电信网络的网络节点，使得电信网络提供相当高的服务水平(即，是可操作的)并且同时在电信网络内提供相当高的安全级别。

发明内容

本发明的目的是提供一种用于配置电信网络的网络节点的方法，其中，所述电信网络包括多个远程网络节点、多个防火墙实体以及多个中央网络节点，其中，降低了配置和安装所述电信网络内的网络单元的工作量，所述电信网络的可操作功能增加并且配置网络节点的工作量减少。

通过用于配置电信网络的网络节点的方法实现本发明的目的，所述电信网络包括：

--多个远程网络节点，

--多个防火墙实体，以及

--多个中央网络节点，

其中，通过第一配置参数集配置所述多个远程网络节点中的一远程网络节点并且通过从加密信息基础设施获得的加密信息认证所述多个远程网络节点中的所述远程网络节点，其中，通过第二配置参数集配置所述多个防火墙实体中的一防火墙实体，

--其中，由所述多个远程网络节点中的所述远程网络节点通过从所述远程网络节点直接地或间接地发送至所述防火墙实体的初始配置消息发起对所述多个防火墙实体中的所述防火墙实体的配置，以及

--其中，由所述远程网络节点的加密信息认证所述多个防火墙实体中的所述防火墙实体的配置，所述加密信息是与所述初始配置消息一起由所述防火墙实体直接地或间接地从所述远程网络节点获取的。