专利名称:基于一体化网络安全服务架构的综合安全防护方法
技术领域:
本发明涉及一种网络安全防护方法,尤其是涉及一种基于一体化网络安全服务架构的综合安全防护方法。
背景技术:
随着IP技术的迅猛发展,以IP技术为核心构建一体化网络已得到业界的共识。然 而,通用IP网络的安全性问题制约了一体化网络的快速发展。在传统IP网络中,一般采用叠加各类安全保密设备提高网络和业务的安全性。比 如网络隔离、防火墙、认证服务、入侵检测、漏洞扫描等安全设备,以及链路层、网络层和应 用层等保密设备。这种通过叠加方式构建的安全防护体系在一定程度上提高了网络和业务 的安全保密性能,但也存在一些问题
1)网络性能受限叠加的安全保密设备在网络中产生额外传输和管理开销,占用了部 分带宽资源,增加了业务数据的转发时延,对通信性能影响较大;并且相对于网络交换设 备,安全保密设备的分组转发率一般较低,缺乏相应的队列调度机制,使网络交换转发性能 无法充分发挥,易产生通信瓶颈,业务的服务质量(QoS)难以得到保证。2)设备间难以协调工作各安全保密设备在网络中独立工作,分别在不同层面提 供相应的安全保密功能。由于缺乏一体化的安全体系结构,各设备间形成了安全缝隙。例 如物理层与链路层的安全措施(如信道加密设备)无法解决网络层地址欺骗问题,网络层的 安全措施(如防火墙)难以识别和过滤应用层的恶意数据,而应用层的安全措施则对针对底 层基础设施的攻击无能为力。同时网络交换设备和安全保密设备间也缺乏必要联系,相互 影响,不能协调工作。而通过外部线缆的互连接口也存在安全缝隙,给网络安全带来隐患。3)安全防护不全各设备的安全防护措施或策略随功能定位不同,其完备性和复 杂性各不相同,一方面造成部分安全功能重叠,降低了通信效能,另一方面各设备的安全策 略不易保持协调一致,互斥或遗漏的策略易造成网络通信异常或产生安全漏洞。在传统IP 协议体制下,安全防护措施难以有效融入到网络的各个层面,无法对业务通信的全过程进 行安全监控。另外,设备间通信采用通用的网络协议,固有的安全问题依然存在,自身的安 全防护能力较弱。4)设备种类繁多、部署和管理方式各异、网络开通和使用维护困难品种繁多、功 能各异的安全保密设备不仅降低了网络运行的可靠性,而且消耗了大量的经费开支。安全 保密设备需根据不同的应用环境进行相应的部署规划,而且各类设备的配置、状态管理,以 及密钥管理和分发自成体系,策略配置和使用维护操作十分复杂,要求网络规划和管理维 护人员具备较高的专业技能。面对应用业务的不断扩展和层出不穷的安全威胁,需要不断 修订策略或设备升级,网络的持续发展和功能扩展受到限制。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于一体化网络安全服务架构的综合安全防护方法,将网络通信与安全保密有机融合,构建多层次、全方位的综合安全保密体系,彻底解决了通用IP网络中存在的信令、管理、业务平面不分,网络地址与用户地址不分,网络资源使用范围和时间不受控等问题,有效地避免了叠加式安全保密机制的效率低、防护不全,不能提供面向流的快速安全传输等缺陷,可有效抵御假冒、篡改、插入、重放、拒绝服务等网络攻击手段,保护业务和网络的安全。本发明的技术方案是一种基于一体化网络安全服务架构的综合安全防护方法,包括
1)信息分类隔离安全措施的采用
对业务数据和系统信息进行独立的路由交换节点交换设备为各类信息数据的路由交换提供各自的路由表,并通过多个核心交换矩阵提供相对独立的分组交换;
在中继端口和用户端口为业务数据和系统信息建立专用的传输通道,并为每个传输通道预先分配带宽在路由交换节点间通过节点安全互连协议为实时业务、数据业务、会话连接信令和网络管理分别建立传输通道;节点间经相互认证后分别开启相应通道,并为每个传输通道预先分配带宽;节点间的分组数据通过节点安全互连协议封装,并在对应的传输通道中加密传输;
在用户终端和路由交换节点间通过用户安全接入协议为实时业务、数据业务、会话连接信令和设备管理分别建立传输通道;用户终端和业务经接入认证后先后开启相应通道,并为每个传输通道预先分配带宽;用户的各类分组数据通过用户安全接入协议封装,并在对应的传输通道中加密传输;
根据各个传输通道所传输数据的特性对数据实施相应的分类规则,并进行Qos标识和区分服务对实时业务通道和数据业务通道按用户优先级和业务类型进行分类,并用流标记或标签等价类进行QoS标识,对信令通道按协议类型进行QoS分类和标识,对数据业务通道按源目的IP地址、TCP/UDP端口号和ToS字段进行QoS分类和标识;
根据各个传输通道所传输数据的特性,实施相应的队列管理与调度信令通道采用定制队列方式调度;实时业务通道和管理通道采用优先队列方式调度;数据业务通道根据业务的QoS需求,选择使用先入先出队列、优先队列和加权公平队列调度方式;
2)用户安全接入措施的采用
采用用户安全接入协议实现终端与交换机间的信令、协议和业务报文的安全传输用户终端接入首先需经过终端设备与交换机间的相互鉴别,鉴别通过后,用户安全接入协议接受上层协议的申请,建立并开启信令传输链路和管理传输链路,为信令消息和网管信息提供传输服务;
在通信连接过程中,终端的会话连接控制协议向用户安全接入协议提出申请,为业务数据建立传输链路,用户安全接入协议通过通道建立控制流程,在终端和交换机间建立相应的传输链路;在会话建立后,用户安全接入协议建立链路号与标签、源/目的IP地址的绑定关系,开启传输通道,本次通信的业务数据在该通道中进行传输;同时,用户安全接入协议完成终端标识与网络地址的转换,实现名址分离;用户终端在网络中的地址呈现在网络内部,在每次通信时由网络自动分配;用户安全接入协议建立并维护此次业务与终端标识、网络地址的绑定关系,交换设备负责根据该绑定关系完成用户地址与网络地址的转换;
3)节点安全互连措施的采用
采用节点安全互连协议实现网络节点间的信令、协议和业务报文的安全传输节点安全互连协议为相邻节点间的高层协议报文和标签转发报文提供数据安全交互平台,节点互 连首先需经过节点间的相互鉴别,鉴别通过后,节点安全互连协议生成安全鉴别码,用于分 组数据的安全传输,节点间的高层协议进行信息交互时首先要向节点安全互连协议申请安 全令牌,并通过安全令牌封装协议报文,节点安全互连协议对安全令牌进行鉴别,并只为合 法的协议报文提供传输服务;
节点安全互连协议在中继传输线路上将信令、管理、业务和扩展业务划分为四个独立 的专用通道,每个通道具有可配置的带宽和不同的转发优先级;信令通道承载信令消息、 密钥分发消息、路由协议报文、标签分发协议报文、链路状态维护消息以及节点互连鉴别消 息,其中链路状态消息包括误码率、丢包率和链路通断状态;管理通道承载网管信息;业务 通道承载通信业务、计算机数据业务;各通道的开启受节点互连鉴别的控制,只有在节点间 的合法性鉴别通过后,各类数据才能在相应的通道上传输;节点安全互连协议为上层协议 提供保护,只有通过合法性鉴别的协议报文才能被视为有效报文;
4)业务准入控制安全措施的采用
应用业务受会话连接的控制,对未完成会话连接的业务数据,网络拒绝承载;在会话连 接过程中,对信令的真实性进行验证;系统在会话连接控制下为业务数据建立端到端的传 输通路,在网络中的路径由源节点根据链路的QoS特性选择,也可通过网管配置指定路由 或策略路由;
5)数据加密保护安全措施的采用对用户业务数据实施端到端的全程加密,在网络传 输过程中密码不落地。 与现有技术相比,本发明的积极效果是遵循网络通信与安全保密一体化设计的 原则,将安全保密的各项措施有效融入到网络中各个设备和各个层面中,相互之间紧密配 合,以增强安全防护性能,提高网络资源利用率,保证业务服务质量,实现统一的控制和管 理,避免安全防护功能成为网络瓶颈,减少额外开销,有利于提高业务服务质量。相对于叠 加方式具有安全保密性能强,控制管理简单、统一,网络资源利用率和可靠性高等突出优 点。具体表现在
采用网络承载信息的分类隔离安全防护技术,将业务、控制和管理等信息相互隔离,各 类信息在网络中具有独立的路由交换、传输带宽、QoS保障和安全防护措施,可有效保证网 络系统自身的安全;采用用户的安全接入防护技术,对终端设备进行接入认证,实现名址转 换,对业务数据进行完整性和抗重放等安全防护,可有效提高网络边界的安全防护能力;采 用节点的安全互连防护技术,对互连节点的合法性进行认证,对节点间的数据进行完整性 和抗重放等安全防护,可有效阻止非法节点接入网络;业务的准入控制对用户身份和权限 进行认证,并在网络入口对业务的会话连接、类型、流量等进行控制,可有效阻止非法数据 进入网络。
具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图
)中公开的任一特征,除非特别叙 述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只 是一系列等效或类似特征中的一个例子而已。一种基于一体化网络安全服务架构的综合安全防护方法,在网络的各个设备和各 个层面中,有效融入信息的分类隔离、用户的安全接入、节点的安全互连、应用业务准入控 制和数据加密保护等各项安全保密措施。在纵向上,系统在网络-网络接口(NNI)、终端-网络接口(UNI)、用户-终端接口 (UTI)进行了安全设计。其中NNI接口的安全主要通过节点安全互连协议(NSIP)实现;UNI 接口的安全主要通过用户安全接入协议(USAP)实现;TOT接口的安全采用密钥卡(终端用 户)、身份卡和口令(网管人员)等技术。在横向上,系统在应用业务、呼叫控制、路由交换、接入传输和网络管理等各个层 面进行安全性设计,将网络通信与安全保密有机融合,保障了网管系统、网络交换和应用业 务的安全保密,如
对于网络系统,首先对交换节点互连进行互连鉴别,阻止非法节点接入。对数据传输进 行完整性和抗重放保护,确保数据安全传输,防止攻击者从中继干线切入对网络进行攻击。 网络中业务、控制和管理等数据分类隔离,避免相互影响,保证信令系统和网管系统安全。 中继干线上对网络承载的各类数据信息进行加密保护。干线加密不仅对业务和网管信息进 行了二次加密保护,增强了业务的保密强度,而且对节点间信令和网络协议消息进行了加 密保护,增强了网络系统的安全防护能力。针对业务、信令和网管等通道,干线加密可采用 不同的加密密钥进行分类加密。对于业务终端,首先对用户终端接入进行接入鉴别,阻止非法终端接入。其次,对 数据传输进行完整性和抗重放保护,确保在用户线路上数据的安全传输,防止篡改和重放 等攻击。另外,对呼叫信令进行保护,防止对用户信令分析与攻击。业务数据端到端全程加 密,在网络中密码不落地,确保通信业务的机密性。对于网络管理系统,重要的网管信息进行加密传输。网管系统采用分级管理模式, 对每个管理用户进行严格授权管理,对自身的安全进行审计。另外,网管中心负责收集网络 及设备的各种工作状态、故障报告和操作日志等信息,并对相关网络事件进行安全审计。下面将详细介绍各项安全保密措施的采用 1)信息的分类隔离
对业务数据和系统信息进行独立的路由交换节点交换设备为各类信息数据的路由交 换提供各自的路由表,并通过多个核心交换矩阵提供相对独立的分组交换;
在中继端口和用户端口为业务数据和系统信息建立专用的传输通道,并为每个传输通 道预先分配带宽在路由交换节点间通过节点安全互连协议为实时业务、数据业务、会话连 接信令和网络管理分别建立传输通道;节点间经相互认证后分别开启相应通道,并为每个 传输通道预先分配带宽;节点间的分组数据通过节点安全互连协议封装,并在对应的传输 通道中加密传输;在用户终端和路由交换节点间通过用户安全接入协议为实时业务、数据业务、会话连接信令和设备管理分别建立传输通道;用户终端和业务经接入认证后先后开启相应通道, 并为每个传输通道预先分配带宽;用户的各类分组数据通过用户安全接入协议封装,并在 对应的传输通道中加密传输;
根据各个传输通道所传输数据的特性对数据实施相应的分类规则,并进行QoS标识和 区分服务对实时业务通道和数据业务通道按用户优先级和业务类型进行分类,并用流标 记或标签等价类进行QoS标识,对信令通道按协议类型进行QoS分类和标识,对数据业务通 道按源目的IP地址、TCP/UDP端口号和ToS字段进行QoS分类和标识;
根据各个传输通道所传输数据的特性,实施相应的队列管理与调度信令通道采用定 制队列方式调度;实时业务通道和管理通道采用优先队列方式调度;数据业务通道根据业 务的QoS需求,选择使用先入先出队列、优先队列和加权公平队列调度方式; 2)用户安全接入
网络边界是系统安全防护体系设计的重点,将通过用户安全接入协议(简称USAP协 议)实现。USAP协议为终端与交换机间的信令、协议和业务报文提供安全的传输,主要功能 包括终端的接入鉴别、传输链路建立、通道隔离、数据完整性和抗重放保护等,并为高层协 议提供字段保护码,为协议的安全交互提供支撑。USAP协议与高层通信协议紧密结合,可有 效防止非法终端接入,避免网络系统受到非法终端的攻击,确保用户业务的通信安全。USAP 协议的原理和作用如下
用户终端接入首先需经过终端设备与多业务安全交换机间的相互鉴别。终端接入鉴别 通过后,USAP协议接受上层协议的申请,建立并开启信令传输链路和管理传输链路,为信令 消息和网管信息提供安全的传输服务。在通信连接过程中,终端的会话连接控制协议向USAP协议提出申请,为业务数据 建立传输链路。USAP通过通道建立控制流程在终端和交换机间建立相应的传输链路。在会 话建立后,USAP链路号与标签、源/目的IP地址的绑定关系建立,传输通道开启,将本次通 信的业务数据在该通道中进行安全的传输,实现业务的准入控制。同时,USAP协议完成终 端标识与网络地址的转换,实现名址分离。用户终端在网络中的地址(即交换设备用户端口 的路由地址)只呈现在网络内部,在每次通信时由网络自动分配。USAP建立并维护此次业 务与终端标识、网络地址的绑定关系,交换设备负责根据该绑定关系完成用户地址与网络 地址的转换。由于网络对用户透明,网络边界的安全得到了有效保证。USAP协议周期性的进行接入鉴别过程,实时维护传输通道的互连状态,并动态更 新USAP头中的安全标记字段,安全标记不正确的数据将被丢弃。经USAP封装的分组数据 具备完整性、抗重放等安全特性,能够有效防止篡改和重放攻击。同时在USAP链路中传输 的分组不呈现IP信息,隐藏了数据流向,可防止数据流向分析。USAP协议在用户线路上实现业务、信令和网管数据的相互隔离。交换机在USAP传 输通道上接收的业务数据只能进入网络的业务通道进行交换转发,同样网络业务通道上来 的数据只能在相应USAP链路中传输。另外USAP协议可为上层协议提供保护,只有通过合法性鉴别的协议报文才能被 视为有效报文,否则将被丢弃。3)节点安全互连网络节点间的安全通过节点安全互连协议(简称NSIP协议)实现。NSIP协议为相邻 节点间的高层协议报文和标签转发报文提供数据安全交互平台,主要功能包括节点互连鉴 另O、传输通道隔离、数据完整性和抗重放保护、干线加密与纠错等,并为高层协议提供字段 保护码,为协议的安全交互提供支撑。NSIP协议与上层通信协议紧密结合,可有效防止非法 节点接入,避免网络的协议系统、信令系统、网管系统和业务系统受到来自非法接入节点的 攻击,确保节点间各类信息的安全交换。NSIP协议的原理和作用如下
节点互连首先需经过节点间的相互鉴别。节点互连鉴别通过后,NSIP协议生成安全鉴别码,用于分组数据的安全传输。节点间的高层协议进行信息交互时首先要向NSIP申请安 全令牌,并通过安全令牌封装协议报文。NSIP协议对安全令牌进行鉴别,并为合法的协议 报文提供传输服务,非法的协议报文将被丢弃。NSIP实时维护安全令牌与安全鉴别码的对 应关系,完成包头转换,通过安全鉴别码封装的本地协议报文和转发报文进行加密传输。经 NSIP协议封装的分组数据具备完整性、抗重放和机密性等安全特性,能够有效防止重放、篡 改和假冒攻击。NSIP协议周期性的进行互连鉴别过程,维护通道的互连状态,并动态更换安 全鉴别码,未通过安全鉴别的数据报文将被丢弃。NSIP实现网络系统信息和业务数据在中继传输链路上的相互隔离。在中继传输线 路上将信令、网管、业务和扩展业务划分为四个独立的专用通道,每个通道具有可配置的带 宽和不同的转发优先级。信令通道承载信令消息、密钥分发消息、路由协议报文、标签分发 协议报文、链路状态维护消息以及节点互连鉴别消息等,其中链路状态消息包括误码率、丢 包率和链路通断等状态;管理通道承载网管信息;实时业务通道上承载话音、视频等通信 业务;数据业务通道承载计算机数据业务。各通道的开启受节点互连鉴别的控制。只有在 节点间的合法性鉴别后,各类数据才能在干线上传输。NSIP在中继线路上对各类网络信息和用户业务数据进行密码保护。中继干线具有 线速加解密能力,除节点互连鉴别消息外,每个通道可采用不同的工作密钥对各类信息进 行加密。干线加密受节点互连认证的控制,只有在节点间的合法性鉴别通过后才能工作。另外,NSIP协议可为上层协议提供保护,只有通过合法性鉴别的协议报文才能被 视为有效报文,否则将被丢弃。4)业务准入控制
应用业务受会话连接的控制,对未完成会话连接的业务数据,网络拒绝承载。在会话连 接过程中,对信令的真实性进行验证,防止非法终端或节点的信令攻击。为保证业务安全, 系统在会话连接控制下为业务数据建立端到端的传输通路,在网络中的路径由源节点根据 链路的QoS特性选择,也可通过网管配置指定路由或策略路由。用户的业务数据在该传输 通路上进行传输和交换转发,拒绝传输通路外的数据进入。由于业务通信受终端接入鉴别、 会话控制、USAP链路建立控制、USAP安全传输的逐层控制和防护,可有效阻止异常数据进 入网络系统,确保用户业务数据安全接入和传输。5)数据加密保护
业务数据和系统信息加密保护是确保业务和网络安全的重要手段。对用户业务数据实 施端到端的全程加密,在网络传输过程中密码不落地,确保通信业务的机密性。对中继干线 上的所有数据加密保护,不仅对业务数据进行了二次加密保护,增强了业务的保密强度,而 且对节点间信令和网络协议消息进行了加密保护,增强了网络系统的安全防护能力。
本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
权利要求
一种基于一体化网络安全服务架构的综合安全防护方法,其特征在于1)信息分类隔离安全措施的采用对业务数据和系统信息进行独立的路由交换节点交换设备为各类信息数据的路由交换提供各自的路由表,并通过多个核心交换矩阵提供相对独立的分组交换;在中继端口和用户端口为业务数据和系统信息建立专用的传输通道,并为每个传输通道预先分配带宽在路由交换节点间通过节点安全互连协议为实时业务、数据业务、会话连接信令和网络管理分别建立传输通道;节点间经相互认证后分别开启相应通道,并为每个传输通道预先分配带宽;节点间的分组数据通过节点安全互连协议封装,并在对应的传输通道中加密传输;在用户终端和路由交换节点间通过用户安全接入协议为实时业务、数据业务、会话连接信令和设备管理分别建立传输通道;用户终端和业务经接入认证后先后开启相应通道,并为每个传输通道预先分配带宽;用户的各类分组数据通过用户安全接入协议封装,并在对应的传输通道中加密传输;根据各个传输通道所传输数据的特性对数据实施相应的分类规则,并进行QoS标识和区分服务对实时业务通道和数据业务通道按用户优先级和业务类型进行分类,并用流标记或标签等价类进行QoS标识,对信令通道按协议类型进行QoS分类和标识,对数据业务通道按源目的IP地址、TCP/UDP端口号和ToS字段进行QoS分类和标识;根据各个传输通道所传输数据的特性,实施相应的队列管理与调度信令通道采用定制队列方式调度;实时业务通道和管理通道采用优先队列方式调度;数据业务通道根据业务的QoS需求,选择使用先入先出队列、优先队列和加权公平队列调度方式;2)用户安全接入措施的采用采用用户安全接入协议实现终端与交换机间的信令、协议和业务报文的安全传输用户终端接入首先需经过终端设备与交换机间的相互鉴别,鉴别通过后,用户安全接入协议接受上层协议的申请,建立并开启信令传输链路和管理传输链路,为信令消息和网管信息提供传输服务;在通信连接过程中,终端的会话连接控制协议向用户安全接入协议提出申请,为业务数据建立传输链路,用户安全接入协议通过通道建立控制流程,在终端和交换机间建立相应的传输链路;在会话建立后,用户安全接入协议建立链路号与标签、源/目的IP地址的绑定关系,开启传输通道,本次通信的业务数据在该通道中进行传输;同时,用户安全接入协议完成终端标识与网络地址的转换,实现名址分离;用户终端在网络中的地址呈现在网络内部,在每次通信时由网络自动分配;用户安全接入协议建立并维护此次业务与终端标识、网络地址的绑定关系,交换设备负责根据该绑定关系完成用户地址与网络地址的转换;3)节点安全互连措施的采用采用节点安全互连协议实现网络节点间的信令、协议和业务报文的安全传输节点安全互连协议为相邻节点间的高层协议报文和标签转发报文提供数据安全交互平台,节点互连首先需经过节点间的相互鉴别,鉴别通过后,节点安全互连协议生成安全鉴别码,用于分组数据的安全传输,节点间的高层协议进行信息交互时首先要向节点安全互连协议申请安全令牌,并通过安全令牌封装协议报文,节点安全互连协议对安全令牌进行鉴别,并只为合法的协议报文提供传输服务;节点安全互连协议在中继传输线路上将信令、管理、业务和扩展业务划分为四个独立的专用通道,每个通道具有可配置的带宽和不同的转发优先级;信令通道承载信令消息、密钥分发消息、路由协议报文、标签分发协议报文、链路状态维护消息以及节点互连鉴别消息,其中链路状态消息包括误码率、丢包率和链路通断状态;管理通道承载网管信息;业务通道承载通信业务、计算机数据业务;各通道的开启受节点互连鉴别的控制,只有在节点间的合法性鉴别通过后,各类数据才能在相应的通道上传输;节点安全互连协议为上层协议提供保护,只有通过合法性鉴别的协议报文才能被视为有效报文;4)业务准入控制安全措施的采用应用业务受会话连接的控制,对未完成会话连接的业务数据,网络拒绝承载;在会话连接过程中,对信令的真实性进行验证;系统在会话连接控制下为业务数据建立端到端的传输通路,在网络中的路径由源节点根据链路的QoS特性选择,也可通过网管配置指定路由或策略路由;5)数据加密保护安全措施的采用对用户业务数据实施端到端的全程加密,在网络传输过程中密码不落地。
全文摘要
本发明公开了一种基于一体化网络安全服务架构的综合安全防护方法,采用网络承载信息的分类隔离安全防护技术,将业务、控制和管理等信息相互隔离;采用用户的安全接入防护技术,对终端设备进行接入认证;采用节点的安全互连防护技术,对互连节点的合法性进行认证;采用业务的准入控制技术,对用户身份和业务权限进行认证。本发明的积极效果是将网络通信与安全保密有机融合,构建多层次、全方位的综合安全保密体系,解决了通用IP网络中存在的信令、管理、业务平面不分,网络地址与用户地址不分,网络资源使用范围和时间不受控等问题,有效地避免了叠加式安全保密机制的效率低、防护不全,不能提供面向流的快速安全传输等缺陷。
文档编号H04L29/06GK101800753SQ20101012502
公开日2010年8月11日 申请日期2010年3月16日 优先权日2010年3月16日
发明者周俊, 王强 申请人:中国电子科技集团公司第三十研究所