专利名称:可信互联网中的网络质量主动监测方法和系统的制作方法
技术领域:
本发明涉及计算机网络技术,特别是涉及一种在可信互联网中进行的服务质量主 动监测的方法和系统。
背景技术:
在当今社会中,互联网已经成为现代社会最重要的信息基础设施之一,社会对互 联网的依赖程度越来越大,对互联网的安全可靠、互联网应用和信息的可信任性的要求越 来越强。于是,基于真实地址寻址的可信任互联网应运而生。可信任的下一代互联网将重 点解决下一代互联网的更安全更可信问题,具有如下主要特征(1)确保网络地址及其位置的真实可信真实性网络基于真实IPv6地址访问。追查性根据真实IPv6源地址可追查网络地址的真实位置。监控性根据网络用户实体的真实位置可监测和控制网络用户实体的行为。(2)增强网络应用实体的真实可信身份可信性真实IPv6源地址可增强网络用户实体身份的可信度。应用安全性可支持安全可信的网络应用。真实IPv6源地址寻址结构在可信任的下一代互联网的体系结构中,属于可信任 网络基础设施层面,也是可信任网络其他层次的基础。从可信任的角度出发,真实IP地址 访问的问题实际上是地址的从属关系问题,也就是说实体发出的报文应该只携带它拥有 的地址,报文只应该被拥有其源地址的实体发出。统一的用户标识和安全服务在可信任下一代互联网的体系结构中,属于真实地址 访问之上的安全服务层。该安全服务层作为基础设施为应用层提供的一种公共的安全服务 层,利用并封装底层基础设施提供的可信任功能,为可信任下一代互联网的典型应用提供 统一的标识和认证服务。基于真实地址的实体身份标识、身份认证、可信域名服务、密钥管 理服务是实现可信任安全服务的基本安全服务。目前基于CNGI-CERNET2已经部署了包含12个真实地址实验自治系统的可信任下 一代互联网试验床。在可信互联网的基础设施之上,可建立基于真实地址寻址的可信任互联网的安全 信任模型,并提供可信任互联网的网络服务,目前的可信互联网网络服务包括了身份认证 系统、访问控制系统、网络管理系统和网络质量被动测量系统。其中,身份认证系统用于实现真实用户的识别认证,包括对网络实体的身份进行 全局标识、认证和授权管理,保证实体的真实性和可信任性。其中全局标识的实现主要借鉴 DNS系统、移动IP等现有技术的设计思想,强调系统的可扩展性和分布式,突出更新速度和 查找速度等方面的性能。在身份认证方面,则在真实IPv6地址的基础上,通过相应的密钥 管理技术来实现,从而支持多管理域、多种应用的统一用户身份认证和授权管理。该系统支 持跨域的身份认证,不同域用户漫游,同时支持多种不同的应用,为多种安全应用提供统一的应用开发接口。访问控制系统基于实体标识和身份认证技术,实现基于信任机制的动态访问控制 和资源管理技术,用于为上层安全应用提供支持,具体支持可信电子邮件服务,可信BBS和 网络测量服务。该系统针对应用系统的操作请求,根据从本地策略库获得的资源使用和访 问控制策略要求,验证可用凭证的可信性,并根据本地政策和可用凭证进行信任计算和资 源调度,以确定访问是否可以进行以及相应的资源约束,并将控制结果交给相应网络服务 来执行。网络管理系统,用于保证网络服务的提供,使网络及其应用有序工作。可信互联网 中的网管系统有别于普通网管系统,它将为网络应用和用户需求要使用更为细致的动态管 理,例如动态的带宽调度,或一个网段中不同用户的不同网络服务质量要求(带宽、传输稳 定性、时延等等),将现有的网络性能管理提升到网络服务质量管理的高度,增加更为细致 的网络流量行为分析和网络资源调度功能,以达到更合理、更灵活的资源使用效果。网络质量被动测量系统采用被动测量方式,通过在网络节点(如网关)中部署探 针,捕获分析网络流量,统计分析网络性能,检测异常流量。主动测量与被动测量是互相补 充的关系。由此可见,现有的可信互联网仅能通过被动测量系统在网关处捕获已产生的流量 并据此进行网络质量的分析,而无法获得最能体现用户感受的端到端的网络和网络业务的 质量,也无法获得该网关下用户未产生流量的目标质量。
发明内容
有鉴于此,本发明的主要目的在于提供一种可信互联网中的网络质量主动监测方 法和系统,能够有效实现对端到端的网络及网络业务质量的监测。为了达到上述目的,本发明提出的技术方案为一种可信互联网中的网络质量主动监测方法,该方法包括以下步骤xl、用户向网管服务器请求登录,网管服务器通过身份认证系统和访问控制系统 确定是否允许所述用户登录,如果是,则允许所述用户登录,否则,拒绝所述用户登录,退出 所述方法;x2、所述用户通过网管服务器获得预设的测量节点和测量目标信息,根据所述测 量节点和测量目标信息配置测量任务并提交给网管服务器,所述测量任务中包含测量节 点、测量目标、测量类型和测量方式信息,所述测量节点为测量基准器或测量客户端;x3、网管服务器通过访问控制系统确定所述测量任务的配置是否合法,如果是,则 将所述测量任务存入数据库,同时发送给中心服务器,否则,退出所述方法;x4、所述中心服务器通过心跳联系将所述测量任务发送给所述测量任务指定的测 量节点;x5、所述测量节点根据所述测量任务指定的测量目标、测量类型和测量方式,发起 主动测量过程,并将获得的测量结果传送给中心服务器;x6、所述中心服务器将所述测量结果存入数据库;x7、所述网管服务器从数据库中读取所述测量结果,并对该测量结果进行统计分 析,将统计分析后的结果通知给所述用户。
6
一种可信互联网中的网络质量主动监测系统,所述可信互联网包含一个以上的管 理域,所述网络质量主动监测系统包括网管服务器、数据库、中心服务器和测量节点,所述 测量节点为测量基准器或测量客户端,每个管理域包含一个测量基准器和一个以上的测量 客户端;N个管理域共用一个中心服务器,一个数据库和网管服务器,N为自然数;其中,所述网管服务器,用于通过身份认证系统和访问控制系统确定是否允许所 述用户登录,从数据库中获取预设的测量节点、测量目标并提供给用户,通过访问控制系统 确定用户对测量任务的配置是否合法,并在判断出合法时将所述测量任务存入数据库,同 时发送给中心服务器;从数据库中读取所述测量结果,并对该测量结果进行统计分析,将统 计分析后的结果通知给所述用户;所述数据库,用于存储预设的测量节点、测量目标信息;存储测量任务和测量结 果;所述中心服务器,用于从网管服务器接收测量任务,通过心跳联系将所述测量任 务发送给所述测量任务指定的测量节点;接收测量节点传送的测量结果,将所述测量结果 存入数据库;所述测量节点,用于根据所述测量任务指定的测量目标、测量类型和测量方式,发 起主动测量过程,并将获得的测量结果传送给中心服务器;当所述测量节点为测量基准器时,进一步用于为其所属管理域的测量客户端提供 标准时间校对功能。综上所述,本发明提出的可信互联网中的网络质量主动监测方法和系统,通过利 用分布于网络边缘的测量节点对网络实施主动测量,获得承载于该网络之上的服务质量信 息,从而能够有效实现对端到端的网络及网络业务质量的任意定制的监测,同时,本发明还 结合可信互联网身份认证及访问控制技术,对用户权限进行控制,从而可以防止对测量基 础设施的滥用。
图1为本发明实施例中的网络质量主动监测系统的结构示意图;图2为本发明实施例中一网络质量主动监测方法流程示意图;图3为本发明实施例中另一网络质量主动监测方法流程示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对 本发明作进一步地详细描述。下一代可信任互联网基于真实地址访问为主动测量系统实施面向用户的测量提 供了可能。而基于真实地址的身份认证和访问控制技术能够防止滥用测量基础措施。基于此,本发明的核心思想是利用分布于网络边缘的测量节点对网络实施主动 测量,从而获得承载于该网络之上的服务质量信息,具体包括两方面内容,一是监测身份认 证系统的时延、成功率和访问控制系统权限控制的正确性,二是监测互联网基础性能(时 延、丢包率、带宽、抖动)和主流互联网业务服务质量(WEB、FTP、EMAIL等)。测量获得的服 务质量信息将被汇聚起来,存储于数据库中。系统采用B/S模式,以图表等形式向用户全方位展示和分析其所关注网络服务质量信息,并允许相关用户配置主动监测任务。同时系统 还可结合可信互联网身份认证及访问控制技术,对用户权限进行控制,以防止对测量基础 设施的滥用。图1为本发明提出的可信互联网中的网络质量主动监测系统的结构示意图,如图 1所示,网络质量主动监测系统包括网管服务器、数据库、中心服务器和测量节点。测量节 点位于网络边缘,通过实施主动测量,获得服务质量信息。测量节点属于测量基础设施,又 分为测量基准器和测量客户端两种;中心服务器进行测量节点管理,包括下达监测任务,收 集测量结果,获取监测点运行状态信息等;数据库存储测量节点,测量任务,测量结果等信 息,并对数据进行索引,定时压缩处理;网管服务器,提供测量任务配置页面,供用户配置监 测任务,并对测量结果进行统计分析,可以以图表等形式进行直观展示。系统部署时,将整 个可信互联网划分成若干管理域,每个管理域中部署一个测量基准器和若干客户端;N个 管理域共用一个中心服务器,一个数据库和网管服务器,N为自然数。当然也可以根据网络 规模增加上述服务器的数目。下面将对系统中的各个组成部分进行具体介绍。网管服务器101,用于通过身份认证系统和访问控制系统确定是否允许用户登录 和进行操作,通过访问控制系统确定用户对测量任务的配置是否合法,并在判断出合法时 将所述测量任务存入数据库,同时发送给中心服务器;从数据库中读取所述测量结果,并对 该测量结果进行统计分析,将统计分析后的结果通知给所述用户。这里,较佳地可以通过图表的形式将测量结果的统计分析结果通知给用户。在实际应用中,中心服务器将通过启动时读取数据库获取其管辖的管理域中所有 测量节点信息及对应测量节点的测量任务列表,并在运行过程中通过与网管服务器交互获 得相应测量节点任务列表的添加删除信息。在监测节点启动或者与中心服务器心跳联系 时,中心服务器向测量节点传送测量任务列表及其修改信息。同时中心服务器接受网管服 务器的指令对测量节点进行管理,如要求测量节点关闭,自动更新等。数据库102,用于存储预设的测量节点和测量目标信息以及测量任务和测量结果。具体地,测量节点信息包括测量节点ID、测量节点标识符、是否是测量基准器,mac 地址、监测软件版本号、现有IP地址、启动时间、运行状态等信息。测量目标信息包括测量目标ID、测量目标名称、URL等信息。需要说明的是,测量节点和测量目标信息可以由系统管理员或用户预先通过网管 服务器进行设置并存储于数据库中,当用户请求查询时,由网管服务器再从数据库中提取 并提供给用户,用户在进行测量任务的配置时,从中选择用于执行测量任务的测量节点和 测量目标。测量任务信息包括测量节点ID、测量目标ID、测量类型、测量方式等,具体测量类 型及测量方式将在后文关于方法的描述中详细说明。测量结果信息包括监测时间、测量节点IP、测量目标IP、结果状态码,具体测量指 标的测量结果等信息。在实际应用中,数据库还可以对所存储的数据进行索引,并定期进行 压缩处理。中心服务器103,用于从网管服务器接收测量任务,通过心跳联系将所述测量任务 发送给所述测量任务指定的测量节点;接收测量节点传送的测量结果,将所述测量结果存 入数据库。
8
测量节点,用于根据所述测量任务指定的测量目标、测量类型和测量方式,发起主 动测量过程,并将获得的测量结果传送给中心服务器。测量节点根据中心服务器下达的测量任务实施主动测量。测量过程主要通过对常 用测量工具ping,tracerout的封装实现、以及模拟互联网业务的协议流程。测量结束后, 立即向中心服务器传送测量结果。同时测量节点维持与中心服务器的心跳联系,以接受添 加删除测量任务,客户端升级等命令并汇报测量节点运行状态。测量节点具体可以为测量基准器1041和测量客户端1042,当所述测量节点为测 量基准器1041时,进一步用于为其所属管理域的测量客户端提供标准时间校对功能。当测量节点为测量基准器时,由其完成的测量任务中的测量目标可以是其他管理 域中的测量基准器、或互联网上的路由器或服务器主机,以实现管理域之间的网络服务质
量的测量。当测量节点为测量客户端时,由其完成的测量任务中的测量目标可以是本管理域 的测量基准器,如此可以获得管理域内的网络服务质量;也可以是互联网上的路由器或服 务器主机。进一步地,主动监测系统还可以为可信互联网其他子系统提供主动测量服务。为了实现这一目的,具体地,所述中心服务器进一步用于将当前可用的测量节点、 测量类型和测量目标信息提供给可信互联网子系统,所述可信互联网子系统为网络管理系 统或网络质量被动测量系统;从所述可信互联网子系统接收测量任务并存入数据库,同时 通过心跳联系将所述测量任务发送给所述测量任务指定的测量节点;从测量节点接收测量 结果,将所述测量结果通知给所述可信互联网子系统。在具体应用中,所述中心服务器和所 述可信互联网子系统之间可以采用TCP协议进行交互,其中用于交互的消息采用XML格式 封装。图2为基于上述系统实现的一种可信互联网中的网络质量主动监测方法流程示 意图,该方法包括以下步骤步骤201、用户向网管服务器请求登录,网管服务器通过身份认证系统和访问控制 系统确定是否允许所述用户登录,如果是,则允许所述用户登录,执行步骤202,否则,拒绝 所述用户登录,退出所述方法。本步骤中,网络质量主动监测系统可结合可信互联网身份认证和访问控制技术, 对用户权限进行控制,以防止对测量基础设施的滥用。具体地,所述网管服务器通过身份认 证系统和访问控制系统确定是否允许所述用户登录,可以采用下述步骤实现网管服务器利用所述用户的IP地址,通过调用身份认证系统的API获得所述用户 的用户标识信息;网管服务器将所述用户标识信息发送给访问控制系统;访问控制系统根据所述用户标识信息按照预设的访问控制策略判断是否允许所 述用户访问,并将所述判断结果通知给网管服务器。这里,需要说明的是主动监测系统将用户进行分级,用户级别作为用户的一项属 性。每个级别的用户默认只能拥有特定类型的权限。具体分为以下几个级别管理员(admin)本系统管理员高级用户(advanced)
9
普通用户(normal)在实际应用中,访问控制系统将预先设置有各用户级别的访问控制策略,具体的 该策略包括权限设计1)测量节点管理(MP)操作查看、节点认证、强制关闭、节点删除对象测量节点2)测量目标管理(MT)操作查看、添力口、修改、删除对象测量目标(注添加目标权限没有对象约束)3)测量任务管理(MI)操作查看、添力口、修改、删除对象测量类型+测量节点+测量目标4)查看测量结果(CR)对象测量类型+测量节点+测量目标安全策略设计1)各级用户默认权限管理员默认拥有所有类型的所有权限高级用户默认允许拥有MT、MI、CR类型权限和MP的查看权限普通用户默认只允许拥有CR类型权限2) MT禾口 MI权限策略用户执行“添加测量目标A”操作后自动拥有对象A的修改、删除权限用户执行“添加对象B的测量任务”操作后自动拥有对象B的修改、删除权限3) CR权限策略用户执行“添加对象B的测量任务”操作后自动拥有对象B的CR权限本步骤中,所述测量类型包括对可信互联网身份认证功能进行主动监测、对可信 互联网访问控制功能进行主动监测、对网络基础性能进行主动监测和对业务服务质量进行 测量。上述测量类型分别 应的主动测量过程具体如下当所述测量任务指定的测量类型为对可信互联网身份认证功能进行主动监测时, 所述主动测量过程为测量节点模拟用户上线过程,按照所述测量任务指定的测量方式分 别以合法身份标识和非法身份标识向身份认证系统发起认证请求并计算相应的认证时延 和认证成功率。这里,测量目标即身份认证系统的服务器。当所述测量任务指定的测量类型为对可信互联网访问控制功能进行主动监测时, 所述主动测量过程为测量节点模拟用户通过可信互联网访问控制系统使用可信互联网业 务时获取访问权限的过程,计算分别在使用不同身份访问不同可信互联网业务的情况下获 取权限的时延和权限控制的正确率。这里,测量目标即访问控制系统服务器,不同身份包括 合法身份和非法身份。这里的可信互联网业务具体可以为大规模组播服务、网络服务质量监测服务和 可信BBS服务。
当所述测量任务指定的测量类型为对网络基础性能进行主动监测时,所述主动测 量过程为测量节点根据所述测量任务指定的测量方式和测量目标,进行网络层服务质量 指标的测量。所述网络层服务质量指标包括单向时延、双向时延、时延抖动,丢包率、可用带宽 和带宽容量。单向时延定义为一个IP包从起点发出到到达终点所经历的时间。双向时延 定义为一个IP包从起点发出到收到终点发回的相关响应报文的时间。抖动定义为时延变 化,本发明所测量的为双向时延变化。丢包率是指测试中所丢失数据包数量占所发送数据 包的比率。可用带宽指的是在不影响既有连接传输速率的情况下链路或路径可为新的连接 提供的最大数据传输速率。带宽容量指的是一条IP路径在IP层的最大端到端数据传输能 力(也称为路径带宽)。当所述测量任务指定的测量类型为对业务服务质量进行测量时,所述主动测量过 程为测量节点按照测量任务指定的测量方式模拟业务客户端协议过程,计算业务进行过 程中各子过程的时延(如DNS时延、连接时延、下载时延)、下载速度、业务成功率和失败原 因。这里,所述业务可以为一些主流业务例如流媒体业务、电子邮件SMTP和P0P3业 务、WEB业务和FTP业务等。监测的指标主要包括以下几类1)分阶段时延,互联网业务流程一般包括多个阶 段,例如DNS解析、连接服务器、请求/响应、数据传送等等,每个阶段的时延定义为该阶段 通信从起始到完成的时间间隔。2)传送速度,定义为一次业务过程中业务数据平均每秒上 传或下载的字节数。3)成功率,一次成功的业务定义为从启动该业务到业务整个流程完整 地进行到最后,如果这个流程在某一个中间环节失败,或者因为等待超时而中断,则认为本 次业务失败。成功率定义为多次访问同一业务过程中成功的次数占访问总次数的比率。4) 失败原因,包括DNS解析失败、连接服务器失败、请求/响应失败、数据传送失败等等。区分 业务失败原因对于故障定位和发现网络瓶颈有指导性意义。步骤202、所述用户通过网管服务器获得预设的测量节点和测量目标信息,根据所 述测量节点和测量目标信息配置测量任务并提交给网管服务器,所述测量任务中包含测量 节点、测量目标、测量类型和测量方式信息,所述测量节点为测量基准器或测量客户端。这里,网管服务器通过访问数据库将预设的测量节点和测量目标信息通知给用 户。用户在配置测量任务时,也可以进行新的测量目标的配置。步骤203-204、网管服务器通过访问控制系统确定所述测量任务的配置是否合法, 如果是,则将所述测量任务存入数据库,同时发送给中心服务器,否则,退出所述方法。本步骤中,在网管服务器将测量任务存入数据库之前需要通过访问控制系统来 确定所述用户是否有权配置所述测量任务,以实现对用户访问的控制,防止对测量设施的 滥用。具体地,所述网管服务器通过访问控制系统确定所述测量任务的配置是否合法可以 为网管服务器将所述用户标识信息和所述测量任务发送给访问控制系统;访问控制系统根据所述用户标识信息和所述测量任务,按照预设的访问控制策略 判断是否允许所述用户访问和操作,并将所述判断结果通知给网管服务器。上述方法中,所述用户标识信息是网管服务器在步骤201中判断是否允许所述用户登录时从身份认证系统获得的,并对该信息进行了保存,以便在用户登录后对系统请求 其他操作时,网管服务器利用该信息通过访问控制系统来判断是否允许用户进行该操作。 在实际应用中,如果网管服务器中未保存该信息,可以通过重新访问身份发认证系统来获得。这里,在退出所述方法之前,网管服务器可以进一步通知用户所述测量任务的配 置非法,以获得较好的用户体验。步骤205、所述中心服务器通过心跳联系将所述测量任务发送给所述测量任务指 定的测量节点。步骤206、所述测量节点根据所述测量任务指定的测量目标、测量类型和测量方 式,发起主动测量过程,并将获得的测量结果传送给中心服务器。步骤207、所述中心服务器将所述测量结果存入数据库。步骤208、所述网管服务器从数据库中读取所述测量结果,并对该测量结果进行统 计分析,将统计分析后的结果通知给所述用户。这里,网管服务器可以通过邮件的方式将统计分析后的结果通知给用户,另外,在 实际应用中,用户也可以在网管服务器提供的交互界面上面查看监测结果,网管服务器通 过身份认证系统和访问控制系统确定是否允许所述用户查看操作,如果允许则显示结果, 否则,拒绝所述用户查看操作并提示用户。进一步地,本步骤中,当网管服务器收到测量结果后,还可以判断所述测量结果是 否达到预设的告警门限,如果是,则向网络管理系统发送告警消息。进一步地,主动监测系统还可以为可信互联网其他子系统提供测量服务,具体方 法如图3所示,包括步骤301、可信互联网子系统从中心服务器处获得当前可用的测量节点、测量类型 和测量目标信息,根据所述当前可用的测量节点、测量类型和测量目标信息,配置测量任务 并提交给中心服务器;所述可信互联网子系统为网络管理系统或网络质量被动网络测量系 统。这里,测量任务所包含的信息与前述步骤202相同,在此不再赘述。步骤302、中心服务器将所述测量任务存入数据库,同时通过心跳联系将所述测量 任务发送给所述测量任务指定的测量节点。步骤303、所述测量节点根据所述测量任务指定的测量目标、测量类型和测量方 式,发起主动测量过程,并将获得的测量结果传送给中心服务器。这里,不同测量类型对应的主动测量过程与前述相同,在此不再赘述。步骤304、所述中心服务器将所述测量结果存入数据库,同时将所述测量结果通知 给所述可信互联网子系统。进一步地,本步骤后,所述中心服务器可以将所述测量结果通知给网管服务器,当 网管服务器判定所述测量结果满足预设的告警门限时,向网络管理系统发送告警消息。这里,需要说明的是,在实际应用中上述步骤301-304与步骤201-207之间没有时 序上的限定。上述过程中,所述中心服务器和所述可信互联网子系统之间采用TCP协议进行交 互,其中用于交互的消息采用XML格式封装。
12
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的 保护范围之内。
权利要求
一种可信互联网中的网络质量主动监测方法,其特征在于,该方法包括以下步骤x1、用户向网管服务器请求登录,网管服务器通过身份认证系统和访问控制系统确定是否允许所述用户登录,如果是,则允许所述用户登录,否则,拒绝所述用户登录,退出所述方法;x2、所述用户通过网管服务器获得预设的测量节点和测量目标信息,根据所述测量节点和测量目标信息配置测量任务并提交给网管服务器,所述测量任务中包含测量节点、测量目标、测量类型和测量方式信息,所述测量节点为测量基准器或测量客户端;x3、网管服务器通过访问控制系统确定所述测量任务的配置是否合法,如果是,则将所述测量任务存入数据库,同时发送给中心服务器,否则,退出所述方法;x4、所述中心服务器通过心跳联系将所述测量任务发送给所述测量任务指定的测量节点;x5、所述测量节点根据所述测量任务指定的测量目标、测量类型和测量方式,发起主动测量过程,并将获得的测量结果传送给中心服务器;x6、所述中心服务器将所述测量结果存入数据库;x7、所述网管服务器从数据库中读取所述测量结果,并对该测量结果进行统计分析,将统计分析后的结果通知给所述用户。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括以下步骤yl、可信互联网子系统从中心服务器处获得当前可用的测量节点、测量类型和测量目 标信息,根据所述当前可用的测量节点、测量类型和测量目标信息,配置测量任务并提交给 中心服务器;所述可信互联网子系统为网络管理系统或网络质量被动测量系统;y2、中心服务器将所述测量任务存入数据库,同时通过心跳联系将所述测量任务发送 给所述测量任务指定的测量节点;y3、所述测量节点根据所述测量任务指定的测量目标、测量类型和测量方式,发起主动 测量过程,并将获得的测量结果传送给中心服务器;y4、所述中心服务器将所述测量结果存入数据库,同时将所述测量结果通知给所述可 信互联网子系统。
3.根据权利要求1或2所述的方法,其特征在于,所述测量类型包括对可信互联网身 份认证功能进行主动监测、对可信互联网访问控制功能进行主动监测、对网络基础性能进 行主动监测和对业务服务质量进行测量;当所述测量任务指定的测量类型为对可信互联网身份认证功能进行主动监测时,所述 主动测量过程为测量节点模拟用户上线过程,按照所述测量任务指定的测量方式分别以 合法身份标识和非法身份标识向身份认证系统发起认证请求并计算相应的认证时延和认 证成功率;当所述测量任务指定的测量类型为对可信互联网访问控制功能进行主动监测时,所述 主动测量过程为测量节点模拟用户通过可信互联网访问控制系统使用可信互联网业务时 获取访问权限的过程,计算分别在使用不同身份访问不同可信互联网业务的情况下获取权 限的时延和权限控制的正确率;当所述测量任务指定的测量类型为对网络基础性能进行主动监测时,所述主动测量过 程为测量节点根据所述测量任务指定的测量方式和测量目标,进行网络层服务质量指标的测量,所述网络层服务质量指标包括单向时延、双向时延、时延抖动,丢包率、可用带宽 和带宽容量;当所述测量任务指定的测量类型为对业务服务质量进行测量时,所述主动测量过程 为测量节点按照测量任务指定的测量方式模拟业务客户端协议过程,计算业务进行过程 中各子过程的时延、下载速度、业务成功率和失败原因,所述业务包括流媒体业务、电子邮 件SMTP和P0P3业务、WEB业务和FTP业务。
4.根据权利要求1或2所述的方法,其特征在于,所述网管服务器通过身份认证系统和 访问控制系统确定是否允许所述用户登录为网管服务器利用所述用户的IP地址,通过调用身份认证系统的API获得所述用户的用 户标识信息;网管服务器将所述用户标识信息发送给访问控制系统;访问控制系统根据所述用户标识信息按照预设的访问控制策略判断是否允许所述用 户访问,并将所述判断结果通知给网管服务器;所述网管服务器通过访问控制系统确定所述测量任务的配置是否合法为网管服务器将所述用户标识信息和所述测量任务发送给访问控制系统;访问控制系统根据所述用户标识信息和所述测量任务,按照预设的访问控制策略判断 是否允许所述用户访问和操作,并将所述判断结果通知给网管服务器。
5.根据权利要求1或2所述的方法,其特征在于,所述网管服务器通过图表的方式将所 述统计分析后的结果通知给所述用户。
6.根据权利要求1所述的方法,其特征在于,所述步骤x7进一步包括当网管服务器 判定所述测量结果满足预设的告警门限时,向网络管理系统发送告警消息。
7.根据权利要求2所述的方法,其特征在于,所述中心服务器和所述可信互联网子系 统之间采用TCP协议进行交互,其中用于交互的消息采用XML格式封装。
8.根据权利要求2所述的方法,其特征在于,所述步骤y4之后进一步包括所述中心 服务器将所述测量结果通知给网管服务器,当网管服务器判定所述测量结果满足预设的告 警门限时,向网络管理系统发送告警消息。
9.一种可信互联网中的网络质量主动监测系统,其特征在于,所述可信互联网包含一 个以上的管理域,所述网络质量主动监测系统包括网管服务器、数据库、中心服务器和测 量节点,所述测量节点为测量基准器或测量客户端,每个管理域包含一个测量基准器和一 个以上的测量客户端;N个管理域共用一个中心服务器,一个数据库和网管服务器,N为自 然数;其中,所述网管服务器,用于通过身份认证系统和访问控制系统确定是否允许所述用 户登录,从数据库中获取预设的测量节点、测量目标并提供给用户,通过访问控制系统确定 用户对测量任务的配置是否合法,并在判断出合法时将所述测量任务存入数据库,同时发 送给中心服务器;从数据库中读取所述测量结果,并对该测量结果进行统计分析,将统计分 析后的结果通知给所述用户;所述数据库,用于存储预设的测量节点、测量目标信息;存储测量任务和测量结果;所述中心服务器,用于从网管服务器接收测量任务,通过心跳联系将所述测量任务发 送给所述测量任务指定的测量节点;接收测量节点传送的测量结果,将所述测量结果存入数据库;所述测量节点,用于根据所述测量任务指定的测量目标、测量类型和测量方式,发起主 动测量过程,并将获得的测量结果传送给中心服务器;当所述测量节点为测量基准器时,进一步用于为其所属管理域的测量客户端提供标准 时间校对功能。
10.根据权利要求9所述的系统,其特征在于,所述中心服务器进一步用于将当前可用 的测量节点、测量类型和测量目标信息提供给可信互联网子系统,所述可信互联网子系统 为网络管理系统或网络质量被动测量系统;从所述可信互联网子系统接收测量任务并存入 数据库,同时通过心跳联系将所述测量任务发送给所述测量任务指定的测量节点;从所述 测量节点接收测量结果,将所述测量结果通知给所述可信互联网子系统。
全文摘要
本发明提出了一种可信互联网中的网络质量主动监测方法和系统,通过利用分布于网络边缘的测量节点对网络实施主动测量,获得承载于该网络之上的服务质量信息,从而能够有效实现对端到端的网络及网络业务质量的任意定制的监测,同时,本发明还结合可信互联网身份认证及访问控制技术,对用户权限进行控制,从而可以防止对测量基础设施的滥用。
文档编号H04L12/24GK101895442SQ20101023729
公开日2010年11月24日 申请日期2010年7月22日 优先权日2010年7月22日
发明者何大中, 刘枫, 刘芳, 吴晓非, 雷振明 申请人:北京邮电大学