CPE下挂终端设备的安全接入方法、系统、设备及介质与流程

本发明涉及通信安全，具体涉及一种cpe下挂终端设备的安全接入方法、系统、设备及介质。

背景技术：

1、5g专网是指由运营商为特定的行业、企业或组织提供的一种私有化、定制化的移动通信网络，其基础设施和服务是独立于公共网络的。5g专网可以根据不同行业和应用场景的需求，提供高速、低时延、高可靠的移动通信服务，同时还具有高安全性、高灵活性和高可控性等特点。

2、客户终端设备(customer premises equipment，cpe)是5g终端设备的一种，其内置5g芯片，可以从运营商基站接收5g信号并将其转换为wi-fi或有线信号，让园区内不具备5g模组的设备通过wi-fi或有线信号接入5g网络。

3、在工业制造等场景中，面对大量的非5g设备的接入问题，通常会借助cpe充当终端设备(如工业机器人、手持终端、摄像头等)与5g专网之间的桥梁，以实现与企业5g专网的连接。

4、目前，cpe下挂终端设备与企业5g专网的通讯方式如下：cpe通过网络地址转换(network address translation，nat)将其下挂终端设备的源ip地址转换为公网ip地址，进而cpe下挂终端设备能基于该公网ip地址路由至企业5g专网。然而，该通讯方式使得企业5g专网将所有网络接入请求均认为是由cpe自身发出，而无法对cpe下挂终端设备进行非法设备接入识别。

5、由于cpe包含一定的安全性和认证功能，因此目前对于下挂终端设备的非法接入识别均由cpe侧进行。但是cpe仅能基于物理地址(即media access control address，mac地址)绑定的形式实现其下挂终端设备的安全准入，一旦非法用户将cpe设备恢复出厂设置，其配置的安全策略将失效，从而导致非法设备可以任意连入5g专网网络，影响网络的安全性和稳定性。

技术实现思路

1、为此，本发明提供一种cpe下挂终端设备的安全接入方法、系统、设备及介质，以解决现有技术中通过破坏cpe的下挂终端设备安全准入配置而导致的非法设备接入企业5g专网，从而影响网络安全性的问题。

2、为了实现上述目的，本发明第一方面提供一种cpe下挂终端设备的安全接入方法，应用于安全接入系统，该方法包括：

3、接收cpe发送的封装报文信息，其中，所述封装报文信息基于cpe下挂终端设备向所述cpe发送的原始报文信息生成；

4、对所述封装报文信息进行解封装，获取所述cpe下挂终端设备的原始报文信息中包含的设备物理地址；

5、将预设的安全策略与所述设备物理地址进行匹配；其中，所述预设的安全策略中包含源物理地址以及与所述源物理地址相对应的网络访问权限；

6、根据匹配结果，对所述cpe下挂终端设备进行网络接入控制。

7、进一步地，所述接收cpe发送的封装报文信息之前，所述方法

8、还包括：

9、在所述cpe与所述安全接入系统之间建立虚拟数据隧道，以使所述cpe与所述安全接入系统基于所述虚拟数据隧道进行数据通信；

10、其中，所述封装报文信息通过以下方式得到：基于所述虚拟数据隧道的隧道传输标准，对所述原始报文信息进行封装，得到所述封装报文信息；

11、所述对所述封装报文信息进行解封装包括：基于所述虚拟数据隧道的隧道传输标准，对所述封装报文信息进行解封装。

12、进一步地，所述预设的安全策略通过以下方式建立：

13、根据已登记的所述cpe下挂终端设备的设备信息，确定所述cpe下挂终端设备的网络访问权限；

14、基于所述设备信息以及所述网络访问权限建立所述cpe下挂终端设备对应的安全策略。

15、进一步地，所述根据匹配结果，对所述cpe下挂终端设备进行网络接入控制包括：

16、在匹配成功的情况下，查询所述安全策略中包含的网络访问权限，根据所述网络访问权限对所述cpe下挂终端设备进行网络接入控制；

17、在匹配失败的情况下，丢弃所述封装报文信息，拒绝所述cpe下挂终端设备访问。

18、进一步地，在所述cpe下挂终端设备接入网络后，所述方法还包括：

19、监控所述cpe下挂终端设备的访问行为；

20、基于预设的设备异常判断规则，判断所述cpe下挂终端设备的访问行为是否异常；其中，所述设备异常判断规则根据所述网络访问权限确定；

21、在所述cpe下挂终端设备的访问行为处于异常状态的情况下，对所述cpe下挂终端设备进行异常处理。

22、进一步地，所述预设的设备异常判断规则包括以下至少一种：流量异常规则、端口异常规则、协议异常规则、地址异常规则、行为异常规则；

23、所述流量异常规则包括：在所述cpe下挂终端设备的流量不满足预设的流量阈值区间的情况下，判定所述cpe下挂终端设备的访问行为处于异常状态；

24、所述端口异常规则包括：在所述cpe下挂终端设备的开放端口与预设的允许开放的设备端口不匹配的情况下，判定所述cpe下挂终端设备的访问行为处于异常状态；

25、所述协议异常规则包括：在所述cpe下挂终端设备的网络协议与预设的允许访问的网络协议不匹配的情况下，判定所述cpe下挂终端设备的访问行为处于异常状态；

26、所述地址异常规则包括：在检测到所述cpe下挂终端设备触发的地址修改操作的情况下，判定所述cpe下挂终端设备的访问行为处于异常状态；其中，所述地址修改操作包括：物理地址修改操作和/或网络协议地址修改操作；

27、所述行为异常规则包括：在检测到所述cpe下挂终端设备访问的网络地址为非法地址的情况下，判定所述cpe下挂终端设备的访问行为处于异常状态；其中，所述非法地址包括：所述cpe下挂终端设备对应的所述网络访问权限之外的网络地址。

28、进一步地，所述在所述cpe下挂终端设备的访问行为处于异常状态的情况下，对所述cpe下挂终端设备进行异常处理，包括：

29、基于所述cpe下挂终端设备的访问行为建立访问黑名单，其中，所述访问黑名单包括所述cpe下挂终端设备的物理地址。

30、为了实现上述目的，本发明第二方面提供一种安全接入系统，系统包括：

31、接收模块，适用于接收cpe发送的封装报文信息，其中，所述封装报文信息基于cpe下挂终端设备向所述cpe发送的原始报文信息生成；

32、获取模块，适用于对所述封装报文信息进行解封装，获取所述cpe下挂终端设备的原始报文信息中包含的设备物理地址；

33、匹配模块，适用于将预设的安全策略与所述设备物理地址进行匹配；其中，所述预设的安全策略中包含源物理地址以及与所述源物理地址相对应的网络访问权限；

34、控制模块，适用于根据匹配结果，对所述cpe下挂终端设备进行网络接入控制。

35、为了实现上述目的，本发明第三方面提供一种电子设备，包括：

36、一个或多个处理器；

37、存储装置，其上存储有一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现cpe下挂终端设备的安全接入方法中任意一项所述的方法；

38、一个或多个i/o接口，连接在所述处理器与存储器之间，配置为实现所述处理器与存储器的信息交互。

39、为了实现上述目的，本发明第四方面提供一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现cpe下挂终端设备的安全接入方法中任意一项所述的方法。

40、本发明具有如下优点：

41、本发明提供的cpe下挂终端设备的安全接入方法，首先，接收cpe发送的封装报文信息，然后，在接收到cpe发送的封装报文后，对该封装报文进行解封装，从而可以获取cpe下挂终端设备的原始报文信息中包含的设备物理地址，最后将预设的安全策略与设备物理地址进行匹配，根据匹配结果，对cpe下挂终端设备进行网络接入控制。在本发明提供的安全接入方法中，对cpe下挂终端设备的网络接入控制由安全接入系统执行，一方面，安全接入系统通过对封装报文信息进行解封装，能够获取发起接入请求的下挂终端设备的物理地址，从而能够对该设备进行接入识别，另一方面，安全接入系统中预设有安全策略，即使在cpe安全配置失效的情况下，安全接入系统也能基于预设的安全策略对cpe下挂的终端设备进行接入控制，阻止了非法设备接入到5g专网网络，实现了对企业内网安全的有效保护。