专利名称:基于一体化网络安全服务架构的信息分类隔离方法
技术领域:
本发明涉及一种安全的网络路由交换技术,尤其是涉及一种基于一体化网络安全 服务架构的信息分类隔离方法。
背景技术:
随着信息化社会的不断发展演进,人们的通信需求已从单一的话音或数据通信向 交互式多媒体信息通信发展,网络系统从分别服务的独立系统向话音、视频和数据统一服 务的一体化网络发展。近年来,IP技术得到了迅猛发展,以IP技术为核心构建一体化网络 已得到业界的共识。然而,通用IP网络存在的安全性问题已制约了一体化网络的快速发展。
IP协议设计的初衷是遵循开放和平等的原则,在网络安全方面并没有做过多的考 虑,使得现行的IP协议体系结构中存在许多安全隐患。这些安全问题主要来自对IP技术 的设计、管理、规划和应用。就IP技术本身而言,IP网络对承载的管理信息、控制信令和业 务数据同等对待,没有清晰的用户和网络接口界面,导致相互影响。对网络安全和业务Q0S 的影响表现在
1)网络的正常运行极易受到用户行为的影响和干扰,异常的业务流量会造成系统信息 拥塞或丢失,从而使系统瘫痪。2)任何用户终端都可以将IP分组直接发送到网络中的任意设备,对网络系统自 身的安全造成极大威胁。3)网络中的系统信息和业务数据种类繁多,各类数据对于网络安全和QoS有不同 的需求。在一种模式下同时满足不同需求会造成报文分类规则繁杂,区分服务实现困难,队 列调度效率低下,最终将无法满足所有数据的安全和QoS需求。需要将数据分类并针对其 特性进行处理。4)数据业务的突发性使网络流量、时延和抖动产生不确定性,网络难以为实时业 务提供有效、稳定的QoS保证。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于一体化网络安全服务架构 的信息分类隔离方法,将网络中的业务、控制和管理信息分类隔离,各类数据在网络中进行 独立的路由交换和传输,具有独立的带宽资源和相应的QoS保证措施,各类数据各行其道, 互不干扰。由于信令系统和网管系统在网络中相对独立的运行,不受业务流量和异常报文 的影响,即使在网络业务严重拥塞时也能对系统实施有效控制。同时,也避免系统消息抢占 业务带宽,影响业务的服务质量。本发明的技术方案是一种基于一体化网络安全服务架构的信息分类隔离方法, 包括如下步骤第一步,对业务数据和系统信息进行独立的路由交换
节点交换设备为各类信息数据的路由交换提供各自的路由表,并通过多个核心交换矩 阵提供相对独立的分组交换;
第二步,在中继端口和用户端口为业务数据和系统信息建立专用的传输通道,并为每 个传输通道预先分配带宽
在路由交换节点间通过节点安全互连协议为实时业务、数据业务、会话连接信令和网 络管理分别建立传输通道;节点间经相互认证后分别开启相应通道,并为每个传输通道预 先分配带宽;节点间的分组数据通过节点安全互连协议封装,并在对应的传输通道中加密 传输;
在用户终端和路由交换节点间通过用户安全接入协议为实时业务、数据业务、会话连 接信令和设备管理分别建立传输通道;用户终端和业务经接入认证后先后开启相应通道, 并为每个传输通道预先分配带宽;用户的各类分组数据通过用户安全接入协议封装,并在 对应的传输通道中加密传输;
第三步,根据各个传输通道所传输数据的特性对数据实施相应的分类规则, 并进行QoS 标识和区分服务
对实时业务通道和数据业务通道按用户优先级和业务类型进行分类,并用流标记或标 签等价类进行QoS标识,对信令通道按协议类型进行QoS分类和标识,对数据业务通道按源 目的IP地址、TCP/UDP端口号和ToS字段进行QoS分类和标识;
根据各个传输通道所传输数据的特性,实施相应的队列管理与调度信令通道采用定 制队列方式调度;实时业务通道和管理通道采用优先队列方式调度;数据业务通道根据业 务的QoS需求,选择使用先入先出队列、优先队列和加权公平队列调度方式。所述各类信息数据包括实时业务、数据业务、会话连接信令和网络管理信息数据。所述进行独立的路由交换是指对于有QoS需求的实时业务和数据业务可根据链 路的QoS特性计算QoS路由,建立端到端的传输路径并预留资源;对于尽力而为的数据业 务,可根据最短路径计算路由;对于信令和网管数据,可根据路径距离和安全等级参数计算 路由,并预留所需最大带宽。与现有技术相比,本发明的积极效果是为保证网络安全,适应各类网络服务,系 统在用户接入、路由交换、中继传输、QoS保证、安全保密等各个环节对控制和管理等系统信 息及各类业务数据进行分类处理,各类数据在网络中进行独立的路由交换和传输,具有独 立的带宽资源和相应的QoS保证措施,各类数据各行其道,互不干扰。业务、控制和管理层 面分类隔离的主要作用如下
提高安全性能网络管理和业务控制的安全是系统安全防护体系的基础。控制管理层 面与用户业务层面的隔离可有效防范来自网络边界的安全威胁,使网管系统和信令系统在 网络中独立运行,不受业务系统的影响。确保服务质量信息分类隔离对网络资源进行合理划分和有效控制,可对网络承 载的各数据实施更有针对性的QoS保证措施,并降低实现的复杂性。在业务层面按业务种 类分配带宽资源并根据数据特性进行区分服务,为实时业务建立端到端的连接服务并预留 资源,保证其带宽、时延等传输特性,从而保证QoS;在控制和管理层面分配独立于业务的 带宽资源,并按优先级进行区分服务。由于管理和控制层面不受业务流量的影响,因此可保证对网络和业务的有效控制。适应多业务服务网络分类隔离机制可为不同的业务系统构建相对独立的网络环 境。在统一的网络基础平台上,业务层面可进一步划分为多个业务子层,构成多个不同规模 和拓扑结构的独立子网。各子网具有独立的传输通道和带宽资源,进行独立的路由交换和 QoS保证。实时业务与数据业务的分离,以及不同业务系统间分离,使业务的QoS和安全得 到有效保证。
具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥 的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图
)中公开的任一特征,除非特别叙 述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只 是一系列等效或类似特征中的一个例子而已。一种基于一体化网络安全服务架构的信息分类隔离方法,在用户接入、路由交换、 中继传输、QoS保证、安全保密等各个环节对业务数据、信令消息和网管信息进行分类处理, 实现业务、控制和管理信息在网络中的分类隔离,使分类隔离的信息数据在网络中具有独 立的带宽资源,以及独立的路由交换和QoS保证措施。在终端与交换节点间以及交换节点 间具有独立的传输通道,各类数据各行其道,互不干扰。具体实现方式如下
第一步,对业务数据和系统信息进行独立的路由交换
节点交换设备为实时业务、数据业务、会话连接信令和网络管理等信息数据的路由交 换提供各自的路由表,并通过多个核心交换矩阵提供相对独立的分组交换;
独立的路由交换使业务、信令和管理数据的地址空间相对独立,可分别配置执行相应 的路由策略,并可按不同参数计算路由。对于实时业务,可根据路径距离、剩余带宽、时延、 时延抖动、丢包率、误码率、安全等级等参数计算QoS路由,通过标签分发协议建立端到端 的标签交换路径,并预留资源,满足话音、视频等实时业务端到端的QoS需求。对于有QoS需 求的数据业务,可根据路径距离、剩余带宽、安全等级等参数计算QoS路由,通过标签分发 协议预先建立交换路径,并预留带宽;对于尽力而为的数据业务,根据路径距离计算路由; 对于信令和网管信息,可根据路径距离、安全等级等参数计算路由,并根据网络规模和业务 量预留所需最大带宽。第二步,在中继端口和用户端口为业务数据和系统信息建立专用的传输通道,并 为每个传输通道预先分配带宽
在路由交换节点间通过节点安全互连协议(NSIP)为实时业务、数据业务、会话连接信 令和网络管理分别建立传输通道;节点间经相互认证后分别开启相应通道,并为每个传输 通道预先分配带宽;节点间的分组数据通过节点安全互连协议封装,并在对应的传输通道 中加密传输;NSIP协议为相邻节点间的高层协议报文和业务数据报文提供数据安全交互, 主要功能包括节点互连认证、传输通道隔离、数据完整性和抗重放保护、干线加密与纠错 等,并为高层协议提供字段保护码,为协议的安全交互提供支撑。NSIP协议只为指定的协议 预先建立传输通道。路由协议、标签分发协议、连接控制协议、网络管理协议等上层协议在 启用时应先向NSIP协议注册,未经注册的协议拒绝传输服务。
在用户终端和接入交换机间通过用户安全接入协议(USAP)为实时业务、数据业 务、会话连接信令和设备管理分别建立传输通道;用户终端和业务接入经安全认证后先后 开启相应通道,并为每个传输通道预先分配带宽;用户的各类分组数据通过用户安全接入 协议封装,并在对应的传输通道中加密传输;USAP协议为终端与接入交换机间的信令、协 议和业务报文提供安全的传输,主要功能包括终端的接入认证、传输链路建立、通道隔离、 数据完整性和抗重放保护等,并为高层协议提供字段保护码,为协议的安全交互提供支撑。通过通道划分,业务、信令和管理数据在各自的通道内进行传输,带宽预先分配, 资源独享。每个通道划分一定的带宽,各类数据在传输链路上的流量可以得到精确控制。 通道内的各类数据不会因其它通道的数据流量变化或包长大小等引起丢包或传输等待。比 如大流量的业务数据不会造成信令和网管信息的拥塞而丢包,系统信息的带宽仍然能够得 到保证,从而增强了网络在突发或异常情况下的可用性和可控性。同样信令、路由、网管等 信息的大流量超长包也不会引起实时业务数据传输等待,从而保证时延抖动满足实时业务 QoS要求。另外,各通道可根据各类数据的流量、重要程度和分组特性实施不同的安全保密 措施,增强了网络的安全性。第三步,根据各个传输通道所传输数据的特性对数据实施相应的分类规则,并进 行QoS标识和区分服务
实时业务通道承载话音、视频等业务,可按用户优先级和业务类型分别进行分类,通过 流标记中的相关字段、标签等价类或标签的扩展字段进行QoS标识。实时业务通道采用优 先队列(PQ)方式调度。由于话音和视频等实时业务进行了资源预留,并在网络入口按约定 速率进行了流量监管,因此在通常情况下拥塞概率较小。 信令通道承载节点间的链路维护消息、路由消息、标签分发信令、会话连接信令等 协议报文,可按协议类型分类,通过IP头中的ToS字段进行QoS标识。其中,会话连接信令 协议报文还应按用户优先等级进一步进行分类标识。信令通道采用定制队列(CQ)方式调 度,首先保证节点间的NSIP和USAP链路维护消息的发送,其余协议报文按带宽比例进行调度。管理通道承载网管信息,按配置、故障、审计、统计等网管信息,可按信息类型分 类,通过IP头中的ToS字段进行QoS标识。管理通道采用优先队列(PQ)方式调度,保证配 置和故障信息能够及时得到发送。数据业务通道承载计算机数据通信业务,可按源目的IP地址、TCP/UDP端口号和 ToS字段进行QoS分类和标识。数据业务通道支持先入先出队列(FIFO)、优先队列(PQ)和 加权公平队列(WFQ)等调度方式,可根据业务的QoS需求选择使用。通过通道划分,可对网络承载的业务、信令和管理数据实施更有针对性的QoS保 证措施,并降低实现的复杂性。各通道调度机在统一的管理下实现流量控制,各类数据的带 宽资源得到有效保证。本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披露的 新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
权利要求
一种基于一体化网络安全服务架构的信息分类隔离方法,其特征在于包括如下步骤第一步,对业务数据和系统信息进行独立的路由交换节点交换设备为各类信息数据的路由交换提供各自的路由表,并通过多个核心交换矩阵提供相对独立的分组交换;第二步,在中继端口和用户端口为业务数据和系统信息建立专用的传输通道,并为每个传输通道预先分配带宽在路由交换节点间通过节点安全互连协议为实时业务、数据业务、会话连接信令和网络管理分别建立传输通道;节点间经相互认证后分别开启相应通道,并为每个传输通道预先分配带宽;节点间的分组数据通过节点安全互连协议封装,并在对应的传输通道中加密传输;在用户终端和路由交换节点间通过用户安全接入协议为实时业务、数据业务、会话连接信令和设备管理分别建立传输通道;用户终端和业务经接入认证后先后开启相应通道,并为每个传输通道预先分配带宽;用户的各类分组数据通过用户安全接入协议封装,并在对应的传输通道中加密传输;第三步,根据各个传输通道所传输数据的特性对数据实施相应的分类规则,并进行QoS标识和区分服务对实时业务通道和数据业务通道按用户优先级和业务类型进行分类,并用流标记或标签等价类进行QoS标识,对信令通道按协议类型进行QoS分类和标识,对数据业务通道按源目的IP地址、TCP/UDP端口号和ToS字段进行QoS分类和标识;根据各个传输通道所传输数据的特性,实施相应的队列管理与调度信令通道采用定制队列方式调度;实时业务通道和管理通道采用优先队列方式调度;数据业务通道根据业务的QoS需求,选择使用先入先出队列、优先队列和加权公平队列调度方式。
2.根据权利要求1所述的基于一体化网络安全服务架构的信息分类隔离方法,其特征 在于所述各类信息数据包括实时业务、数据业务、会话连接信令和网络管理信息数据。
3.根据权利要求1所述的基于一体化网络安全服务架构的信息分类隔离方法,其特征 在于所述进行独立的路由交换是指对于有QoS需求的实时业务和数据业务可根据链路 的QoS特性计算QoS路由,建立端到端的传输路径并预留资源;对于尽力而为的数据业务, 可根据最短路径计算路由;对于信令和网管数据,可根据路径距离和安全等级参数计算路 由,并预留所需最大带宽。
全文摘要
本发明公开了一种基于一体化网络安全服务架构的信息分类隔离方法,将网络中的业务、控制和管理信息分类隔离,各类数据在网络中进行独立的路由交换和传输,具有独立的带宽资源和相应的QoS保证措施,各类数据各行其道,互不干扰。本发明的积极效果是由于信令系统和网管系统在网络中相对独立的运行,不受业务流量和异常报文的影响,即使在网络业务严重拥塞时也能对系统实施有效控制。同时,也避免系统消息抢占业务带宽,影响业务的服务质量。
文档编号H04L29/06GK101815032SQ20101012502
公开日2010年8月25日 申请日期2010年3月16日 优先权日2010年3月16日
发明者周俊, 王强 申请人:中国电子科技集团公司第三十研究所