專利名稱:基于一體化網(wǎng)絡安全服務架構的信息分類隔離方法
技術領域:
本發(fā)明涉及一種安全的網(wǎng)絡路由交換技術,尤其是涉及一種基于一體化網(wǎng)絡安全 服務架構的信息分類隔離方法。
背景技術:
隨著信息化社會的不斷發(fā)展演進,人們的通信需求已從單一的話音或數(shù)據(jù)通信向 交互式多媒體信息通信發(fā)展,網(wǎng)絡系統(tǒng)從分別服務的獨立系統(tǒng)向話音、視頻和數(shù)據(jù)統(tǒng)一服 務的一體化網(wǎng)絡發(fā)展。近年來,IP技術得到了迅猛發(fā)展,以IP技術為核心構建一體化網(wǎng)絡 已得到業(yè)界的共識。然而,通用IP網(wǎng)絡存在的安全性問題已制約了一體化網(wǎng)絡的快速發(fā)展。
IP協(xié)議設計的初衷是遵循開放和平等的原則,在網(wǎng)絡安全方面并沒有做過多的考 慮,使得現(xiàn)行的IP協(xié)議體系結構中存在許多安全隱患。這些安全問題主要來自對IP技術 的設計、管理、規(guī)劃和應用。就IP技術本身而言,IP網(wǎng)絡對承載的管理信息、控制信令和業(yè) 務數(shù)據(jù)同等對待,沒有清晰的用戶和網(wǎng)絡接口界面,導致相互影響。對網(wǎng)絡安全和業(yè)務Q0S 的影響表現(xiàn)在
1)網(wǎng)絡的正常運行極易受到用戶行為的影響和干擾,異常的業(yè)務流量會造成系統(tǒng)信息 擁塞或丟失,從而使系統(tǒng)癱瘓。2)任何用戶終端都可以將IP分組直接發(fā)送到網(wǎng)絡中的任意設備,對網(wǎng)絡系統(tǒng)自 身的安全造成極大威脅。3)網(wǎng)絡中的系統(tǒng)信息和業(yè)務數(shù)據(jù)種類繁多,各類數(shù)據(jù)對于網(wǎng)絡安全和QoS有不同 的需求。在一種模式下同時滿足不同需求會造成報文分類規(guī)則繁雜,區(qū)分服務實現(xiàn)困難,隊 列調度效率低下,最終將無法滿足所有數(shù)據(jù)的安全和QoS需求。需要將數(shù)據(jù)分類并針對其 特性進行處理。4)數(shù)據(jù)業(yè)務的突發(fā)性使網(wǎng)絡流量、時延和抖動產生不確定性,網(wǎng)絡難以為實時業(yè) 務提供有效、穩(wěn)定的QoS保證。
發(fā)明內容
為了克服現(xiàn)有技術的上述缺點,本發(fā)明提供了一種基于一體化網(wǎng)絡安全服務架構 的信息分類隔離方法,將網(wǎng)絡中的業(yè)務、控制和管理信息分類隔離,各類數(shù)據(jù)在網(wǎng)絡中進行 獨立的路由交換和傳輸,具有獨立的帶寬資源和相應的QoS保證措施,各類數(shù)據(jù)各行其道, 互不干擾。由于信令系統(tǒng)和網(wǎng)管系統(tǒng)在網(wǎng)絡中相對獨立的運行,不受業(yè)務流量和異常報文 的影響,即使在網(wǎng)絡業(yè)務嚴重擁塞時也能對系統(tǒng)實施有效控制。同時,也避免系統(tǒng)消息搶占 業(yè)務帶寬,影響業(yè)務的服務質量。本發(fā)明的技術方案是一種基于一體化網(wǎng)絡安全服務架構的信息分類隔離方法, 包括如下步驟第一步,對業(yè)務數(shù)據(jù)和系統(tǒng)信息進行獨立的路由交換
節(jié)點交換設備為各類信息數(shù)據(jù)的路由交換提供各自的路由表,并通過多個核心交換矩 陣提供相對獨立的分組交換;
第二步,在中繼端口和用戶端口為業(yè)務數(shù)據(jù)和系統(tǒng)信息建立專用的傳輸通道,并為每 個傳輸通道預先分配帶寬
在路由交換節(jié)點間通過節(jié)點安全互連協(xié)議為實時業(yè)務、數(shù)據(jù)業(yè)務、會話連接信令和網(wǎng) 絡管理分別建立傳輸通道;節(jié)點間經(jīng)相互認證后分別開啟相應通道,并為每個傳輸通道預 先分配帶寬;節(jié)點間的分組數(shù)據(jù)通過節(jié)點安全互連協(xié)議封裝,并在對應的傳輸通道中加密 傳輸;
在用戶終端和路由交換節(jié)點間通過用戶安全接入?yún)f(xié)議為實時業(yè)務、數(shù)據(jù)業(yè)務、會話連 接信令和設備管理分別建立傳輸通道;用戶終端和業(yè)務經(jīng)接入認證后先后開啟相應通道, 并為每個傳輸通道預先分配帶寬;用戶的各類分組數(shù)據(jù)通過用戶安全接入?yún)f(xié)議封裝,并在 對應的傳輸通道中加密傳輸;
第三步,根據(jù)各個傳輸通道所傳輸數(shù)據(jù)的特性對數(shù)據(jù)實施相應的分類規(guī)則, 并進行QoS 標識和區(qū)分服務
對實時業(yè)務通道和數(shù)據(jù)業(yè)務通道按用戶優(yōu)先級和業(yè)務類型進行分類,并用流標記或標 簽等價類進行QoS標識,對信令通道按協(xié)議類型進行QoS分類和標識,對數(shù)據(jù)業(yè)務通道按源 目的IP地址、TCP/UDP端口號和ToS字段進行QoS分類和標識;
根據(jù)各個傳輸通道所傳輸數(shù)據(jù)的特性,實施相應的隊列管理與調度信令通道采用定 制隊列方式調度;實時業(yè)務通道和管理通道采用優(yōu)先隊列方式調度;數(shù)據(jù)業(yè)務通道根據(jù)業(yè) 務的QoS需求,選擇使用先入先出隊列、優(yōu)先隊列和加權公平隊列調度方式。所述各類信息數(shù)據(jù)包括實時業(yè)務、數(shù)據(jù)業(yè)務、會話連接信令和網(wǎng)絡管理信息數(shù)據(jù)。所述進行獨立的路由交換是指對于有QoS需求的實時業(yè)務和數(shù)據(jù)業(yè)務可根據(jù)鏈 路的QoS特性計算QoS路由,建立端到端的傳輸路徑并預留資源;對于盡力而為的數(shù)據(jù)業(yè) 務,可根據(jù)最短路徑計算路由;對于信令和網(wǎng)管數(shù)據(jù),可根據(jù)路徑距離和安全等級參數(shù)計算 路由,并預留所需最大帶寬。與現(xiàn)有技術相比,本發(fā)明的積極效果是為保證網(wǎng)絡安全,適應各類網(wǎng)絡服務,系 統(tǒng)在用戶接入、路由交換、中繼傳輸、QoS保證、安全保密等各個環(huán)節(jié)對控制和管理等系統(tǒng)信 息及各類業(yè)務數(shù)據(jù)進行分類處理,各類數(shù)據(jù)在網(wǎng)絡中進行獨立的路由交換和傳輸,具有獨 立的帶寬資源和相應的QoS保證措施,各類數(shù)據(jù)各行其道,互不干擾。業(yè)務、控制和管理層 面分類隔離的主要作用如下
提高安全性能網(wǎng)絡管理和業(yè)務控制的安全是系統(tǒng)安全防護體系的基礎??刂乒芾韺?面與用戶業(yè)務層面的隔離可有效防范來自網(wǎng)絡邊界的安全威脅,使網(wǎng)管系統(tǒng)和信令系統(tǒng)在 網(wǎng)絡中獨立運行,不受業(yè)務系統(tǒng)的影響。確保服務質量信息分類隔離對網(wǎng)絡資源進行合理劃分和有效控制,可對網(wǎng)絡承 載的各數(shù)據(jù)實施更有針對性的QoS保證措施,并降低實現(xiàn)的復雜性。在業(yè)務層面按業(yè)務種 類分配帶寬資源并根據(jù)數(shù)據(jù)特性進行區(qū)分服務,為實時業(yè)務建立端到端的連接服務并預留 資源,保證其帶寬、時延等傳輸特性,從而保證QoS;在控制和管理層面分配獨立于業(yè)務的 帶寬資源,并按優(yōu)先級進行區(qū)分服務。由于管理和控制層面不受業(yè)務流量的影響,因此可保證對網(wǎng)絡和業(yè)務的有效控制。適應多業(yè)務服務網(wǎng)絡分類隔離機制可為不同的業(yè)務系統(tǒng)構建相對獨立的網(wǎng)絡環(huán) 境。在統(tǒng)一的網(wǎng)絡基礎平臺上,業(yè)務層面可進一步劃分為多個業(yè)務子層,構成多個不同規(guī)模 和拓撲結構的獨立子網(wǎng)。各子網(wǎng)具有獨立的傳輸通道和帶寬資源,進行獨立的路由交換和 QoS保證。實時業(yè)務與數(shù)據(jù)業(yè)務的分離,以及不同業(yè)務系統(tǒng)間分離,使業(yè)務的QoS和安全得 到有效保證。
具體實施例方式本說明書中公開的所有特征,或公開的所有方法或過程中的步驟,除了互相排斥 的特征和/或步驟以外,均可以以任何方式組合。本說明書(包括任何附加權利要求、摘要和附圖
)中公開的任一特征,除非特別敘 述,均可被其他等效或具有類似目的的替代特征加以替換。即,除非特別敘述,每個特征只 是一系列等效或類似特征中的一個例子而已。一種基于一體化網(wǎng)絡安全服務架構的信息分類隔離方法,在用戶接入、路由交換、 中繼傳輸、QoS保證、安全保密等各個環(huán)節(jié)對業(yè)務數(shù)據(jù)、信令消息和網(wǎng)管信息進行分類處理, 實現(xiàn)業(yè)務、控制和管理信息在網(wǎng)絡中的分類隔離,使分類隔離的信息數(shù)據(jù)在網(wǎng)絡中具有獨 立的帶寬資源,以及獨立的路由交換和QoS保證措施。在終端與交換節(jié)點間以及交換節(jié)點 間具有獨立的傳輸通道,各類數(shù)據(jù)各行其道,互不干擾。具體實現(xiàn)方式如下
第一步,對業(yè)務數(shù)據(jù)和系統(tǒng)信息進行獨立的路由交換
節(jié)點交換設備為實時業(yè)務、數(shù)據(jù)業(yè)務、會話連接信令和網(wǎng)絡管理等信息數(shù)據(jù)的路由交 換提供各自的路由表,并通過多個核心交換矩陣提供相對獨立的分組交換;
獨立的路由交換使業(yè)務、信令和管理數(shù)據(jù)的地址空間相對獨立,可分別配置執(zhí)行相應 的路由策略,并可按不同參數(shù)計算路由。對于實時業(yè)務,可根據(jù)路徑距離、剩余帶寬、時延、 時延抖動、丟包率、誤碼率、安全等級等參數(shù)計算QoS路由,通過標簽分發(fā)協(xié)議建立端到端 的標簽交換路徑,并預留資源,滿足話音、視頻等實時業(yè)務端到端的QoS需求。對于有QoS需 求的數(shù)據(jù)業(yè)務,可根據(jù)路徑距離、剩余帶寬、安全等級等參數(shù)計算QoS路由,通過標簽分發(fā) 協(xié)議預先建立交換路徑,并預留帶寬;對于盡力而為的數(shù)據(jù)業(yè)務,根據(jù)路徑距離計算路由; 對于信令和網(wǎng)管信息,可根據(jù)路徑距離、安全等級等參數(shù)計算路由,并根據(jù)網(wǎng)絡規(guī)模和業(yè)務 量預留所需最大帶寬。第二步,在中繼端口和用戶端口為業(yè)務數(shù)據(jù)和系統(tǒng)信息建立專用的傳輸通道,并 為每個傳輸通道預先分配帶寬
在路由交換節(jié)點間通過節(jié)點安全互連協(xié)議(NSIP)為實時業(yè)務、數(shù)據(jù)業(yè)務、會話連接信 令和網(wǎng)絡管理分別建立傳輸通道;節(jié)點間經(jīng)相互認證后分別開啟相應通道,并為每個傳輸 通道預先分配帶寬;節(jié)點間的分組數(shù)據(jù)通過節(jié)點安全互連協(xié)議封裝,并在對應的傳輸通道 中加密傳輸;NSIP協(xié)議為相鄰節(jié)點間的高層協(xié)議報文和業(yè)務數(shù)據(jù)報文提供數(shù)據(jù)安全交互, 主要功能包括節(jié)點互連認證、傳輸通道隔離、數(shù)據(jù)完整性和抗重放保護、干線加密與糾錯 等,并為高層協(xié)議提供字段保護碼,為協(xié)議的安全交互提供支撐。NSIP協(xié)議只為指定的協(xié)議 預先建立傳輸通道。路由協(xié)議、標簽分發(fā)協(xié)議、連接控制協(xié)議、網(wǎng)絡管理協(xié)議等上層協(xié)議在 啟用時應先向NSIP協(xié)議注冊,未經(jīng)注冊的協(xié)議拒絕傳輸服務。
在用戶終端和接入交換機間通過用戶安全接入?yún)f(xié)議(USAP)為實時業(yè)務、數(shù)據(jù)業(yè) 務、會話連接信令和設備管理分別建立傳輸通道;用戶終端和業(yè)務接入經(jīng)安全認證后先后 開啟相應通道,并為每個傳輸通道預先分配帶寬;用戶的各類分組數(shù)據(jù)通過用戶安全接入 協(xié)議封裝,并在對應的傳輸通道中加密傳輸;USAP協(xié)議為終端與接入交換機間的信令、協(xié) 議和業(yè)務報文提供安全的傳輸,主要功能包括終端的接入認證、傳輸鏈路建立、通道隔離、 數(shù)據(jù)完整性和抗重放保護等,并為高層協(xié)議提供字段保護碼,為協(xié)議的安全交互提供支撐。通過通道劃分,業(yè)務、信令和管理數(shù)據(jù)在各自的通道內進行傳輸,帶寬預先分配, 資源獨享。每個通道劃分一定的帶寬,各類數(shù)據(jù)在傳輸鏈路上的流量可以得到精確控制。 通道內的各類數(shù)據(jù)不會因其它通道的數(shù)據(jù)流量變化或包長大小等引起丟包或傳輸?shù)却?。?如大流量的業(yè)務數(shù)據(jù)不會造成信令和網(wǎng)管信息的擁塞而丟包,系統(tǒng)信息的帶寬仍然能夠得 到保證,從而增強了網(wǎng)絡在突發(fā)或異常情況下的可用性和可控性。同樣信令、路由、網(wǎng)管等 信息的大流量超長包也不會引起實時業(yè)務數(shù)據(jù)傳輸?shù)却?,從而保證時延抖動滿足實時業(yè)務 QoS要求。另外,各通道可根據(jù)各類數(shù)據(jù)的流量、重要程度和分組特性實施不同的安全保密 措施,增強了網(wǎng)絡的安全性。第三步,根據(jù)各個傳輸通道所傳輸數(shù)據(jù)的特性對數(shù)據(jù)實施相應的分類規(guī)則,并進 行QoS標識和區(qū)分服務
實時業(yè)務通道承載話音、視頻等業(yè)務,可按用戶優(yōu)先級和業(yè)務類型分別進行分類,通過 流標記中的相關字段、標簽等價類或標簽的擴展字段進行QoS標識。實時業(yè)務通道采用優(yōu) 先隊列(PQ)方式調度。由于話音和視頻等實時業(yè)務進行了資源預留,并在網(wǎng)絡入口按約定 速率進行了流量監(jiān)管,因此在通常情況下?lián)砣怕瘦^小。 信令通道承載節(jié)點間的鏈路維護消息、路由消息、標簽分發(fā)信令、會話連接信令等 協(xié)議報文,可按協(xié)議類型分類,通過IP頭中的ToS字段進行QoS標識。其中,會話連接信令 協(xié)議報文還應按用戶優(yōu)先等級進一步進行分類標識。信令通道采用定制隊列(CQ)方式調 度,首先保證節(jié)點間的NSIP和USAP鏈路維護消息的發(fā)送,其余協(xié)議報文按帶寬比例進行調度。管理通道承載網(wǎng)管信息,按配置、故障、審計、統(tǒng)計等網(wǎng)管信息,可按信息類型分 類,通過IP頭中的ToS字段進行QoS標識。管理通道采用優(yōu)先隊列(PQ)方式調度,保證配 置和故障信息能夠及時得到發(fā)送。數(shù)據(jù)業(yè)務通道承載計算機數(shù)據(jù)通信業(yè)務,可按源目的IP地址、TCP/UDP端口號和 ToS字段進行QoS分類和標識。數(shù)據(jù)業(yè)務通道支持先入先出隊列(FIFO)、優(yōu)先隊列(PQ)和 加權公平隊列(WFQ)等調度方式,可根據(jù)業(yè)務的QoS需求選擇使用。通過通道劃分,可對網(wǎng)絡承載的業(yè)務、信令和管理數(shù)據(jù)實施更有針對性的QoS保 證措施,并降低實現(xiàn)的復雜性。各通道調度機在統(tǒng)一的管理下實現(xiàn)流量控制,各類數(shù)據(jù)的帶 寬資源得到有效保證。本發(fā)明并不局限于前述的具體實施方式
。本發(fā)明擴展到任何在本說明書中披露的 新特征或任何新的組合,以及披露的任一新的方法或過程的步驟或任何新的組合。
權利要求
一種基于一體化網(wǎng)絡安全服務架構的信息分類隔離方法,其特征在于包括如下步驟第一步,對業(yè)務數(shù)據(jù)和系統(tǒng)信息進行獨立的路由交換節(jié)點交換設備為各類信息數(shù)據(jù)的路由交換提供各自的路由表,并通過多個核心交換矩陣提供相對獨立的分組交換;第二步,在中繼端口和用戶端口為業(yè)務數(shù)據(jù)和系統(tǒng)信息建立專用的傳輸通道,并為每個傳輸通道預先分配帶寬在路由交換節(jié)點間通過節(jié)點安全互連協(xié)議為實時業(yè)務、數(shù)據(jù)業(yè)務、會話連接信令和網(wǎng)絡管理分別建立傳輸通道;節(jié)點間經(jīng)相互認證后分別開啟相應通道,并為每個傳輸通道預先分配帶寬;節(jié)點間的分組數(shù)據(jù)通過節(jié)點安全互連協(xié)議封裝,并在對應的傳輸通道中加密傳輸;在用戶終端和路由交換節(jié)點間通過用戶安全接入?yún)f(xié)議為實時業(yè)務、數(shù)據(jù)業(yè)務、會話連接信令和設備管理分別建立傳輸通道;用戶終端和業(yè)務經(jīng)接入認證后先后開啟相應通道,并為每個傳輸通道預先分配帶寬;用戶的各類分組數(shù)據(jù)通過用戶安全接入?yún)f(xié)議封裝,并在對應的傳輸通道中加密傳輸;第三步,根據(jù)各個傳輸通道所傳輸數(shù)據(jù)的特性對數(shù)據(jù)實施相應的分類規(guī)則,并進行QoS標識和區(qū)分服務對實時業(yè)務通道和數(shù)據(jù)業(yè)務通道按用戶優(yōu)先級和業(yè)務類型進行分類,并用流標記或標簽等價類進行QoS標識,對信令通道按協(xié)議類型進行QoS分類和標識,對數(shù)據(jù)業(yè)務通道按源目的IP地址、TCP/UDP端口號和ToS字段進行QoS分類和標識;根據(jù)各個傳輸通道所傳輸數(shù)據(jù)的特性,實施相應的隊列管理與調度信令通道采用定制隊列方式調度;實時業(yè)務通道和管理通道采用優(yōu)先隊列方式調度;數(shù)據(jù)業(yè)務通道根據(jù)業(yè)務的QoS需求,選擇使用先入先出隊列、優(yōu)先隊列和加權公平隊列調度方式。
2.根據(jù)權利要求1所述的基于一體化網(wǎng)絡安全服務架構的信息分類隔離方法,其特征 在于所述各類信息數(shù)據(jù)包括實時業(yè)務、數(shù)據(jù)業(yè)務、會話連接信令和網(wǎng)絡管理信息數(shù)據(jù)。
3.根據(jù)權利要求1所述的基于一體化網(wǎng)絡安全服務架構的信息分類隔離方法,其特征 在于所述進行獨立的路由交換是指對于有QoS需求的實時業(yè)務和數(shù)據(jù)業(yè)務可根據(jù)鏈路 的QoS特性計算QoS路由,建立端到端的傳輸路徑并預留資源;對于盡力而為的數(shù)據(jù)業(yè)務, 可根據(jù)最短路徑計算路由;對于信令和網(wǎng)管數(shù)據(jù),可根據(jù)路徑距離和安全等級參數(shù)計算路 由,并預留所需最大帶寬。
全文摘要
本發(fā)明公開了一種基于一體化網(wǎng)絡安全服務架構的信息分類隔離方法,將網(wǎng)絡中的業(yè)務、控制和管理信息分類隔離,各類數(shù)據(jù)在網(wǎng)絡中進行獨立的路由交換和傳輸,具有獨立的帶寬資源和相應的QoS保證措施,各類數(shù)據(jù)各行其道,互不干擾。本發(fā)明的積極效果是由于信令系統(tǒng)和網(wǎng)管系統(tǒng)在網(wǎng)絡中相對獨立的運行,不受業(yè)務流量和異常報文的影響,即使在網(wǎng)絡業(yè)務嚴重擁塞時也能對系統(tǒng)實施有效控制。同時,也避免系統(tǒng)消息搶占業(yè)務帶寬,影響業(yè)務的服務質量。
文檔編號H04L29/06GK101815032SQ20101012502
公開日2010年8月25日 申請日期2010年3月16日 優(yōu)先權日2010年3月16日
發(fā)明者周俊, 王強 申請人:中國電子科技集團公司第三十研究所