本发明实施例涉及工业互联网技术领域,尤其涉及一种5g终端安全接入装置、系统及设备。
背景技术:
当前,大型工业园区广泛使用4g物联网技术实现各类传感器、移动终端的数据回传与网络接入,4g物联网技术已形成基于l2tp等协议安全接入公司内部网络的方式,但由于4g网络因时延大、速率低等因素,无法适应当前大型工业园区的智能制造建设。5g的超高可靠性、低时延网络可广泛应用于各类工业场景,赋予设备更高自由度,极大提升各领域智能诊断维护、ar/vr远程诊断及操控水平。但是,5g网络在商用化演进的过程中,还未在安全接入企业内部网络之间形成相关技术规范。由于智慧园区部署5g网络时,为了保障园区内5g终端用户访问互联网的需求,通常在mec边缘计算平台接入公司内部网络的同时,还会存在一条回传运营商核心网,实现对互联网访问的通道,所以5g终端通过园区5gmec接入企业内部网络,能够同时访问互联网以及企业内网,存在较大的网络安全隐患。任意5g终端通过园区5g基站均可接入公司内部网络,用户通过渗透扫描得到公司内部重要业务系统信息,即可伪装合法用户实现对公司内部系统的渗透攻击,仅靠传统的防火墙无法做到有效隔离,存在较大的信息安全隐患。因此,开发一种5g终端安全接入装置、系统及设备,可以有效克服上述相关技术中的缺陷,就成为业界亟待解决的技术问题。
技术实现要素:
针对现有技术存在的上述问题,本发明实施例提供了一种5g终端安全接入装置、系统及设备。
第一方面,本发明的实施例提供了一种5g终端安全接入装置,包括:身份认证模块,用于识别用户身份;物联网卡管理模块,用于与运营商物联网卡管理平台对接,并获取sim卡信息;终端mac地址管理模块,用于获取5g终端mac地址信息;内网地址管理模块,用于进行网络地址下发,并对访问内部系统进行授权。
在上述装置实施例内容的基础上,本发明实施例中提供的5g终端安全接入装置,所述识别用户身份,包括:采用radius协议将5g终端发送的用户名、密码信息与内部用户数据库进行比对,实现用户身份的识别。
在上述装置实施例内容的基础上,本发明实施例中提供的5g终端安全接入装置,所述进行网络地址下发,并对访问内部系统进行授权,包括:在用户认证授权、信息比对完成后,进行网络地址下发,并结合防火墙acl访问控制授权实现对内部系统的授权访问。
在上述装置实施例内容的基础上,本发明实施例中提供的5g终端安全接入装置,在所述获取5g终端mac地址信息之后,还包括:生成每张sim卡对应的唯一5g终端的数据库,所述数据库用于对接入的5g终端进行信息比对。
第二方面,本发明的实施例提供了一种5g终端安全接入系统,包括:5g终端,用于选择5gapn接入点,发送radius认证请求;5g基站,用于将5g终端连入mec边缘计算平台;upf转发网关,用于对路由器进行选路及转发;防火墙,用于禁止5g终端对企业内部网络的访问;企业工业互联网,用于接受5g终端的接入;如第一方面任一实施例所述的5g终端安全接入装置,用于实现相应功能;运营商物联网卡管理平台,用于提供运营商物联网卡信息。
在上述系统实施例内容的基础上,本发明实施例中提供的5g终端安全接入系统,所述发送radius认证请求,包括:输入用户名、密码信息,并携带5g终端mac地址信息。
第三方面,本发明的实施例提供了一种电子设备,包括:
至少一个处理器;以及
与处理器通信连接的至少一个存储器,其中:
存储器存储有可被处理器执行的程序指令,处理器调用程序指令能够执行第一方面的各种实现方式中任一种实现方式所提供的5g终端安全接入装置。
第四方面,本发明的实施例提供了一种非暂态计算机可读存储介质,非暂态计算机可读存储介质存储计算机指令,计算机指令使计算机实现第一方面的各种实现方式中任一种实现方式所提供的5g终端安全接入装置。
本发明实施例提供的5g终端安全接入装置、系统及设备,通过用户名、密码、终端mac地址以及sim卡号四因子比对认证以及访问控制策略的自动下发,可以避免5g终端丢失、sim卡丢失、账号被窃取等一系列信息安全风险,最大程度的保障5g终端接入企业内部网络的网络安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的5g终端安全接入装置结构示意图;
图2为本发明实施例提供的5g终端安全接入系统结构示意图;
图3为本发明实施例提供的5g终端安全接入系统的实施流程示意图;
图4为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。另外,本发明提供的各个实施例或单个实施例中的技术特征可以相互任意结合,以形成可行的技术方案,这种结合不受步骤先后次序和/或结构组成模式的约束,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时,应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
本发明实施例提供了一种5g终端安全接入装置,参见图1,该装置包括:身份认证模块,用于识别用户身份;物联网卡管理模块,用于与运营商物联网卡管理平台对接,并获取sim卡信息;终端mac地址管理模块,用于获取5g终端mac地址信息;内网地址管理模块,用于进行网络地址下发,并对访问内部系统进行授权。
基于上述装置实施例的内容,作为一种可选的实施例,本发明实施例中提供的5g终端安全接入装置,所述识别用户身份,包括:采用radius协议将5g终端发送的用户名、密码信息与内部用户数据库进行比对,实现用户身份的识别。
基于上述装置实施例的内容,作为一种可选的实施例,本发明实施例中提供的5g终端安全接入装置,所述进行网络地址下发,并对访问内部系统进行授权,包括:在用户认证授权、信息比对完成后,进行网络地址下发,并结合防火墙acl访问控制授权实现对内部系统的授权访问。
基于上述装置实施例的内容,作为一种可选的实施例,本发明实施例中提供的5g终端安全接入装置,在所述获取5g终端mac地址信息之后,还包括:生成每张sim卡对应的唯一5g终端的数据库,所述数据库用于对接入的5g终端进行信息比对。
具体地,5g终端安全接入装置是实现5g终端安全接入企业工业互联网的主要装置,其上部署有身份认证模块、物联网卡管理模块、终端mac地址管理模块以及内网地址管理模块。其中身份认证模块通过radius协议将5g终端发送的用户名、密码信息与内部用户数据库进行比对,实现用户身份的识别;物联网卡管理模块以及终端mac地址管理模块,通过与运营商物联网卡管理平台进行api对接,实时获取sim卡信息以及5g终端mac地址信息,生成每张sim卡对应唯一5g终端的数据库,用于接入终端信息比对;内网地址管理模块用于在用户认证授权、信息比对完成后,进行网络地址下发,并结合防火墙acl访问控制授权实现对内部系统的授权访问。
本发明实施例提供的5g终端安全接入装置,通过用户名、密码、终端mac地址以及sim卡号四因子比对认证以及访问控制策略的自动下发,可以避免5g终端丢失、sim卡丢失、账号被窃取等一系列信息安全风险,最大程度的保障5g终端接入企业内部网络的网络安全。
本发明实施例提供了一种5g终端安全接入系统,参见图2,该系统包括:5g终端,用于选择5gapn接入点,发送radius认证请求;5g基站,用于将5g终端连入mec边缘计算平台;upf转发网关,用于对路由器进行选路及转发;防火墙,用于禁止5g终端对企业内部网络的访问;企业工业互联网,用于接受5g终端的接入;如前述装置实施例中任一实施例所述的5g终端安全接入装置,用于实现相应功能;运营商物联网卡管理平台,用于提供运营商物联网卡信息。
基于上述系统实施例的内容,作为一种可选的实施例,本发明实施例中提供的5g终端安全接入系统,所述发送radius认证请求,包括:输入用户名、密码信息,并携带5g终端mac地址信息。
具体地,园区或企业5g终端通过园区内5g基站连入5gmec边缘计算平台,mec核心组件upf转发网关实现对路由的选路及转发。在企业内部网络与运营商5g网络之间通过vpdn技术建立apn通道,同时在企业内部网络(企业工业互联网)与mec平台(即upf转发网关所在的平台)之间部署5g终端安全接入装置,该装置通过api接口实现与运营商物联网卡管理平台对接,实时获取物联网卡以及5g终端mac地址等信息,结合内部合法用户的账号信息,实现对接入园区5g终端的身份认证授权、ip地址下发。防火墙部署在mec平台与企业内部网络之间,默认禁止所有5g终端对企业内部网络的访问,在用户认证授权完成后,由5g终端安全接入装置下发针对此用户ip的acl访问控制授权,从而实现对内部网络的授权访问,保障企业内部网络安全。
本发明实施例提供的5g终端安全接入系统,通过用户名、密码、终端mac地址以及sim卡号四因子比对认证以及访问控制策略的自动下发,可以避免5g终端丢失、sim卡丢失、账号被窃取等一系列信息安全风险,最大程度的保障5g终端接入企业内部网络的网络安全。
基于认证的5g终端安全接入系统的实施流程可以参见图3:(1)园区内5g终端选择园区内5gapn接入点,发送radius认证请求,输入用户名、密码信息,并携带5g终端mac地址信息;(2)5g安全接入管理系统接收到5g终端发送的用户名、密码以及mac地址信息后,给运营商物联网卡管理平台发送请求,根据mac地址信息查询此终端实时使用的sim卡号信息,收到sim卡号信息后,将用户名、密码、终端mac地址、sim卡卡号与原有录入的用户信息数据库进行比对,查询是否完全对应,从而完成认证过程;(3)认证完成后,给用户下发ip地址,同时,通过5g安全接入管理系统与防火墙的api接口,下发此ip的acl访问控制策略,实现5g终端对企业内部网络的安全受控访问。
进一步地,在mec核心组件upf转发网关与企业内部核心网络之间部署一台防火墙,实现对数据报文的转发控制,同时,开发一套5g安全接入管理系统,旁挂部署在防火墙上。防火墙与upf转发网关之间建立vpdn通道,并设置将用户apn拨号认证请求发送至5g安全接入管理系统,实现第三方raduis认证。5g安全接入管理系统通过api接口分别与运营商物联网卡管理平台以及防火墙对接,实现sim卡信息的实时获取以及访问控制策略的实时下发,5g安全接入管理系统录入园区内合法终端的用户名、密码、终端mac地址以及sim卡号信息,用于认证比对。实施完成后,能够对园区内5g终端实现身份识别、访问控制授权,从而保障企业内部网络安全。
本发明实施例的系统是依托电子设备实现的,因此对相关的电子设备有必要做一下介绍。基于此目的,本发明的实施例提供了一种电子设备,如图4所示,该电子设备包括:至少一个处理器(processor)401、通信接口(communicationsinterface)404、至少一个存储器(memory)402和通信总线403,其中,至少一个处理器401,通信接口404,至少一个存储器402通过通信总线403完成相互间的通信。至少一个处理器401可以调用至少一个存储器402中的逻辑指令,以实现系统实施例中提供的各种系统。
此外,上述的至少一个存储器402中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的全部系统或部分系统。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)实现各个实施例或者实施例的某些部分所述的方法或系统。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。基于这种认识,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本专利中,术语"包括"、"包含"或者其任何其它变体意在涵盖非排它性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括……"限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
1.一种5g终端安全接入装置,其特征在于,包括:
身份认证模块,用于识别用户身份;
物联网卡管理模块,用于与运营商物联网卡管理平台对接,并获取sim卡信息;
终端mac地址管理模块,用于获取5g终端mac地址信息;
内网地址管理模块,用于进行网络地址下发,并对访问内部系统进行授权。
2.根据权利要求1所述的5g终端安全接入装置,其特征在于,所述识别用户身份,包括:采用radius协议将5g终端发送的用户名、密码信息与内部用户数据库进行比对,实现用户身份的识别。
3.根据权利要求1所述的5g终端安全接入装置,其特征在于,所述进行网络地址下发,并对访问内部系统进行授权,包括:在用户认证授权、信息比对完成后,进行网络地址下发,并结合防火墙acl访问控制授权实现对内部系统的授权访问。
4.根据权利要求1所述的5g终端安全接入装置,其特征在于,在所述获取5g终端mac地址信息之后,还包括:生成每张sim卡对应的唯一5g终端的数据库,所述数据库用于对接入的5g终端进行信息比对。
5.一种5g终端安全接入系统,其特征在于,包括:
5g终端,用于选择5gapn接入点,发送radius认证请求;
5g基站,用于将5g终端连入mec边缘计算平台;
upf转发网关,用于对路由器进行选路及转发;
防火墙,用于禁止5g终端对企业内部网络的访问;
企业工业互联网,用于接受5g终端的接入;
如权利要求1至4任一权利要求所述的5g终端安全接入装置,用于实现相应功能;
运营商物联网卡管理平台,用于提供运营商物联网卡信息。
6.根据权利要求1所述的5g终端安全接入系统,其特征在于,所述发送radius认证请求,包括:输入用户名、密码信息,并携带5g终端mac地址信息。
7.一种电子设备,其特征在于,包括:
至少一个处理器、至少一个存储器、通信接口和总线;其中,
所述处理器、存储器、通信接口通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令,以实现如权利要求1至4任一项权利要求所述的装置。
8.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机实现如权利要求1至4中任一项权利要求所述的装置。
技术总结