专利名称:用于处理网络服务质量信息的系统及方法
技术领域:
本发明涉及通信领域,更具体地涉及一种用于处理网络月良务质 量4言息的系统及方法。
背景技术:
网络月艮务质量(Quality of Service ,简称QoS )和网络安全,这 两者以前被当作独立的实体在各自不同的领域内研究。随着研究的 日益深入,逐渐发现QoS和安全是相互影响,;波此联系的。 一方面 QoS需要安全的支撑,才能抵抗各种攻击,防止由于网络的脆弱性 而使QoS达不到要求;另一方面,由于安全机制的加入,使得QoS 受到了较大的影响,比如因加密而引起的额外网络延迟和认证f 1起 的额外开销。尤其在Ad Hoc网络环境中更加明显,为了确4呆开》文 无线网络中的通信安全而引入的认证等安全机制引起的开销往往会 给QoS产生明显的影响。下一代网络平台的建立需要解决的关键问题是保证安全有效的 QoS。在下一代网络中,业务和7^载分离,各种业务可以接入同一 个网络,为不同用户提供服务。不同业务的安全要求和QoS要求可 能不同。若QoS参数的设置没有考虑到不同安全机制对QoS的影 响,将可能导致在低安全要求情况下,QoS得到满足。而当安全要 求提高时,相同QoS参数其QoS效果就可能明显下降。因此,较 多的安全机制会使QoS各项参数性能下降;而过少的安全机制又会使QoS得不到保障。当一个网络环境只有对QoS的要求而没有安 全的保护时,这样的QoS是不稳定的。举例来说,带宽是QoS的一个重要指标。当网络环境没有安全 保护时,可能有大量的垃圾信息涌入,占据大量带宽,甚至导致网 络崩溃,网络和业务的QoS也得不到保障。因此,为了得到有4呆障 的QoS,必须有安全的保护。从另一方面讲,引入安全保护,如接 入认证等,又必定会占用资源,同样的带宽由于安全的引入,必定 会使带宽减少,延迟增加,表现为QoS性能下降。因此,无论是协议设计还是实际应用,QoS和安全必须有4几结 合起来考虑,才能够较好地满足用户的QoS和安全的双重需求,但 是,目前还没有这样的实现方法来保证。发明内容鉴于以上所述的一个或多个问题,本发明4是供了一种用于处理 网络服务质量信息的系统及方法,以较好地满足用户的网络服务质 量要求和网全备安全要求。根据本发明实施例的用于处理网络服务质量信息的系统包4舌 信息接收单元,用于从外部接收网络服务质量信息和网络安全信息; 信息处理单元,用于根据网络安全信息,对网络服务质量信息进行 修正处理,以在满足网络安全要求的条件下保证网络服务质量;以 及信息输出单元,用于将修正处理后的网络服务质量信息输出到外 部。其中,信息接收单元包括第一接收单元,用于从外部接收网 络服务质量信息;第二接收单元,用于从外部接收网络安全信息。 其中,第一4妄收单元可以包括一个或多个逻辑或物理4妄口。第二4妄收单元可以包括一个或多个逻辑或物理接口。并且,第一和第二^妄 ^!文单元在时间上没有先后顺序,在空间上是并列。其中,网络服务质量信息包括以下信息中的一种或多种月艮务 质量参数、服务质量请求、"l务质量策略、涉及服务质量的信令。 网络安全信息包括以下信息中的一种或多种安全参数、安全请求、 安全策略、涉及安全的信令。冲艮据本发明实施例的用于处理网络服务质量信息的方法包4舌 从外部接收网络服务质量信息和网络安全信息;才艮据网络安全信息, 对网络月l务质量信息进行修正处理,以在满足网络安全要求的条件 下^f呆i正网络月良务质量。其中,网络服务质量信息包括以下信息中的一种或多种服务 质量参数、服务质量请求、服务质量策略、涉及服务质量的信令。 网络安全信息包括以下信息中的一种或多种安全参数、安全请求、 安全策略、涉及安全的信令。通过本发明,可以量化网络安全对网络服务质量的影响,从而 可以避免网络服务质量性能因网络安全机制的增加而大幅下降的情 况的发生。
此处所说明的附图用来提供对本发明的进一步理解,构成本申 -清的一部分,本发明的示意性实施例及其i兌明用于解释本发明,并 不构成对本发明的不当限定。在附图中图1是根据本发明实施例的用于处理网络服务质量信息的系统 对网络QoS信息进4亍处理的过程的原理图;图2是才艮据本发明实施例的用于处理网络月l务质量信息的系统 在下一代网络中实施的示意图;图3(a)是根据本发明实施例的业务控制功能模块(SCF)向策 略决定才莫块(PD-FE)发送安全资源请求的流程图;图3(b)是根据本发明实施例的网络联网控制功能模块(NACF) 向策略决定模块发送安全资源请求的流程图;图3(c)是根据本发明实施例的策略执行模块(PE-FE)向策略 决定模块发送安全资源请求的流程图;图4是根据本发明实施例的用于处理网络服务质量信息的系统 在下一^网全各中的一种应用场景示意图;以及图5是根据本发明实施例的用于处理网络服务质量信息的系统 在下一4戈网络中的另 一种应用场景示意图。
具体实施方式
根据本发明实施例的用于处理网络服务质量信息的系统包括 QoS修正模块(即,信息处理模块)、QoS修正模块的输入输出接 口 (即,信息接收模块和信息输出模块)。其中,QoS修正模块的输入输出接口至少有3类,分别是QoS 信息输入类接口、 QoS信息输出类接口、以及安全信息输入类接口。 每一类接口都可以根据实际应用情况,包含1个或多个物理或逻辑 接口。 QoS信息可以是QoS参数、QoS请求、QoS策略、涉及QoS 的信令等中的一种或多种的组合。安全信息可以是安全参数、安全请求、安全策略、涉及安全的信令等中的一种或多种的组合。其中,QoS修正模块的功能如下根据安全信息输入类接口的 安全信息,修正来自QoS信息输入类接口的信息,并通过QoS信 息输出类接口输出修正后的信息。该系统的工作方法如下安全信息通过安全信息输入类接口传输到QoS修正模块;QoS 信息通过QoS信息输入类4妄口传输到QoS〗务正才莫块;安全信息和 QoS信息传输到QoS l奮正才莫块的过程之间没有特定的先后顺序; QoS修正模块根据安全信息,通过算法、策略或者人工配置等途径, 对输入的QoS信息进行修正;以及QoS修正才莫块将修正后的QoS 信息通过QoS信息输出类接口对外输出。下面参考附图,详细说明本发明的具体实施方式
。在单独考虑QoS机制的情况下,QoS请求通过一定的转换机制, 形成QoS参数,作用在网络相关的冲丸行才莫块上,实现QoS功能。 在考虑安全机制的情况下,为了保障QoS性能不因安全机制的执行 而发生变化,在QoS请求和QoS执行模块之间,需要增加一个QoS 修正模块。QoS修正模块根据所接收到的安全请求信息,对QoS请 求进行必要的修正。图1示出了根据本发明实施例的用于处理网络服务质量信息的 系统对网络QoS信息进行处理的过程的原理图。如图l所示,安全 才几制主要部署在终端和安全网关上面。4艮据终端和安全网关所触发 的安全机制,形成安全请求信息,发送给QoS修正模块。通过QoS 修正模块的修正,使得QoS性能不因安全机制的变化而改变。图2是根据本发明实施例的用于处理网络服务质量信息的系统 在下一4戈网络中实施的示意图,即下一代网全备结合QoS》务正的示意 图。其中,各功能模块的功能描述如下网络联网控制功能模块(NACF)用于提供用户接入网络的管 理和基于用户特4i条目进行配置的多种功能。资源和允许控制功能模块(RACF)用于支持多种多样的接入 和牙亥心网纟各(例如,固定的和移动的4妄入网纟各)。服务控制模块(SCF )用于经由Rs参考点为一个给定服务的媒 体流请求QoS资源和允许控制。传送资源控制模块(TRC-FE )用于收集和保持网络信息和资源 的状态信息,处理下层传送技术的多样性,向策略决定模块(PD-FE) 提供基于资源的允许控制判断的结果。策略决定模块(PD-FE)用于就网络资源和允许控制做出最终 的决定。这里,QoS修正模块部署在PD-FE上,负责最终策略的决 定,依据的是网络的策略规则、SCF等提供的服务信息、接入网络 中NACF提供的传送预订信息、以及TRC-FE提供的基于资源的允 许判断的结果。另外,PD-FE在逐个信流的基础上控制策略执行模 块(PE-FE)中的关口。而且PD-FE将在相关的传送网络中经由 Rt参考点请求TRC-FE的实例,以便在媒体流的路径上4企测和确定 所i^求的QoS资源。策略4丸行才莫块(PE-FE)是一个包到包的网关,处在不同凄史据 包网络的边界和/或CPE与接入网络之间的边界上。PE-FE在逐个用 户和逐个IP信流的基础上执行由PD-FE指示的网络策略规则。下面是各^^莫块之间连接的参考点描述Rs是连接PD-FE与SCF的参考点。SCF通过Rs向PD-FE揭_ 交QoS的等级,以及对应QoS等级的参数指标(比如,延迟、带宽、和吞吐量)和所需要的网络资源请求信息。请求信息中包含了相应QoS要求的安全参数。Ru是连接NACF与PD-FE的参考点。Ru参考点^f吏得PD-FE 能够和NACF互动来检查用户终端(CPE )的传送预订信息和逻辑/ 物理端口地址到所分配IP。 NACF通过Ru向PD-FE发送包含网关 安全参数的请求。Rt是连接PD-FE与TRC-FE的参考点。PD-FE通过Rt向 TRC-FE传输修正后的QoS各项参数。两者的互动,4全测媒体流信 息和确定所-清求的QoS资源。Rc是连接TRC-FE和核心网(CN)的参考点,也是连4妄TRC-FE 和4妻入网(AN)的参考点。通过Rc, TRC-FE能得到4妻入网和核心 网的网络拓朴结构和资源状态信息。它在网络边界或网络内部与传 送功能实体相关。Rc依据需要可以与具有传送功能的任何实体进行 连接,包括PE-FE 、 TRE-FE等,以获得相关的QoS信息。Rw是连4妄PE-FE与PD-FE的参考点。Rw的功能是将PD-FE 的决定通过推送或拉动方式传到PE-FE上面。T-U1是连接用户终端到PE-FE的参考点,CPE通过T-U1向 PE-FE发送的请求包括用户终端的安全参数。图2是才艮据本发明实施例的用于处理网络月良务质量信息的系统 在下一代网络中实施的示意图。在图2的接入网模块中,各模块之 间的交互5危禾呈力口下CPE与AN中的PE-FE相连,通过T-U1将安全参数传递绍^ PE-FE ,然后PE-FE通过Rw 一寻该安全参凄^f专纟合PD-FE; NACF通 过Ru将安全参数传给PD-FE; SCF通过Rs将安全参数和QoS参数等传给PD-FE;以及PD-FE根据所传入的安全参数对QoS参凄史 进行QoS修正,将结果通过Rt传给TRC-FE,然后再通过Rc传给 PE-FE, 4丸4于协商结果。图3(a)至图3(c)是传送安全参数相关的参考点之间的流程图, 具体描述如下图3(a)描述了 SCF向PD-FE发送安全资源请求的过 程,在该过程中SCF向PD-FE发送的请求中包括安全参数等;图 3(b)描述了 NACF向PD-FE发送安全资源请求的过程,在该过考呈中 NACF向PD-FE发送的请求中包括安全参数等;图3(c)描述了 PE-FE 向PD-FE发送安全资源请求的过程,在该过程中PE-FE向PD-FE 发送的请求中包括安全参数等。图4是根据本发明实施例的用于处理网络服务质量信息的系统 在下一^f戈网^^中的一种应用场景示意图。在图4所示的场景中,进 行QoS修正的过程包括以下步骤S402, CPE接入NACF,即用户终端接入网络。S404, NACF向PD-FE发送通告,里面包含安全参凄t以及其4也 信息。S406, CPE向SCF发送业务请求,包含有用户所要求的安全参 凄t和其他信息。S408, SCF触发事4牛。比如SCF才妾收到,或者产生一个月艮务的 信令消息。SCF将为一个给定服务的媒体流确定或导出QoS要求的 参数(诸如带宽、服务等级等)。S410, SCF向PD-FE发送资源发起请求信息,信息包括用户所 需求的安全参H以及一个带有纟某体流描述和它的QoS参数的RIR (预留),用于QoS资源的4吏4又和预留。S412, PD-FE综合考虑收到的QoS请求和安全要求,考虑安全 对QoS的影响,通过QoS l'务正才莫块,改变QoS的各项参凄史。S414,其他协商过程。S416,经过QoS <务正后的策略决定(Policy Decision )满足QoS 及安全请求的策略。在4妾收到预留(RIR)之后,PD-FE应该为4某 体流所要求的QoS资源进行授权。PD-FE将检查该媒体流要求 的QoS资源、PD-FE所持有的网络策略规则,以及NACF中持有的 传送预订信息是否一致。图5是根据本发明实施例的用于处理网络服务质量信息的系统 在下一代网络中的另一种应用场景示意图。在图5所示的场景中, 进行QoS修正的过程包括以下步骤S502, CPE4妄入NACF,即用户纟冬端4妄入网纟各。S504, NACF向PD-FE发送通告,里面包含有网关的安全参凄t 与及其他信息。S506, CPE直接向PE-FE发送传输层协商结果,里面包括用户 所要求的安全参H。S508, PE-FE主动地向PD-FE发送一个资源通告。通告里包含 安全参数等。S510, PD-FE综合考虑收到的QoS请求和安全要求,通过QoS 修正才莫块计算安全对QoS的影响,然后修正QoS的各项参数。S512,其他协商过程。S514,经过QoS修正后PD-FE决定满足QoS及安全请求的策 略。在接收到RIR (预留)之后,PD-FE应该为i某体流要求的QoS 资源进行授权。PD-FE将检查该J 某体流所要求的QoS资源、PD-FE 所持有的网络策略MJ!'J,以及NACF中持有的传送预订4言息是否一 致。通过本发明,可以量化安全对QoS的影响,从而可以避免网绍, QoS性能因安全机制的增加而大幅下降的情况发生。另外,本发明 在原有QoS解决方案基础上进行修正,部署容易。以上所述仅为本发明的实施例而已,并不用于限制本发明,对 于本领域的冲支术人员来i兌,本发明可以有各种更改和变化。凡在本 发明的精神和原则之内,所作的任何修改、等同替换、改进等,均 应包含在本发明的权利要求范围之内。
权利要求
1.一种用于处理网络服务质量信息的系统,其特征在于,包括信息接收单元,用于从外部接收网络服务质量信息和网络安全信息;信息处理单元,用于根据所述网络安全信息,对所述网络服务质量信息进行修正处理,以在满足网络安全要求的条件下保证网络服务质量。
2. 根据权利要求1所述的系统,其特征在于,还包括信息输出单元,用于将修正处理后的网络服务质量信息输 出到外部。
3. 根据权利要求1或2所述的系统,其特征在于,所述信息4妄收 单元包括第一接收单元,用于从外部接收所述网络服务质量信息; 第二接收单元,用于从外部接收所述网络安全信息。
4. 根据权利要求3所述的系统,其特征在于,所述第一接收单元 包括一个或多个逻辑或物理4妄口。
5. 根据权利要求3所述的系统,其特征在于,所述第二接收单元 包括一个或多个逻辑或物理4妄口 。
6. 根据权利要求5所述的系统,其特征在于,所述网络服务质量 信息包括以下信息中的一种或多种月良务质量参凄t、月良务质量 请求、服务质量策略、涉及服务质量的信令。
7. 根据权利要求5所述的系统,其特征在于,所述网络安全信息 包括以下信息中的一种或多种安全参数、安全请求、安全策 略、涉及安全的4言令。
8. —种用于处理网络服务质量信息的方法,其特征在于,包4舌从外部接收网络服务质量信息和网络安全信息;根据所述网络安全信息,对所述网络服务质量信息进行修 正处理,以在满足网络安全要求的条件下保证网络服务质量。
9. 根据权利要求8所述的方法,其特征在于,所述网络服务质量 信息包括以下信息中的一种或多种服务质量参数、服务质量 请求、服务质量策略、涉及服务质量的信令。
10. 根据权利要求8所述的方法,其特征在于,所述网络安全信息 包括以下信息中的一种或多种安全参凄t、安全请求、安全策 略、涉及安全的信令。
全文摘要
本发明公开了一种用于处理网络服务质量信息的系统,包括信息接收单元,用于从外部接收网络服务质量信息和网络安全信息;信息处理单元,用于根据网络安全信息,对网络服务质量信息进行修正处理,以生成能够在满足网络安全要求的条件下保证网络服务质量的修正处理后的网络服务质量信息;以及信息输出单元,用于将修正处理后的网络服务质量信息输出到外部。通过本发明,可以量化网络安全对网络服务质量的影响,从而可以避免网络服务质量性能因网络安全机制的增加而大幅下降的情况的发生。
文档编号H04L29/08GK101237456SQ20081008311
公开日2008年8月6日 申请日期2008年3月3日 优先权日2008年3月3日
发明者滕志猛, 陈剑勇, 韦银星 申请人:中兴通讯股份有限公司