亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

實現(xiàn)一體化安全服務(wù)的網(wǎng)絡(luò)系統(tǒng)的制作方法

文檔序號:7743755閱讀:273來源:國知局
專利名稱:實現(xiàn)一體化安全服務(wù)的網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種實現(xiàn)一體化安全服務(wù)的網(wǎng)絡(luò)系統(tǒng)。
背景技術(shù)
隨著信息化社會的不斷發(fā)展演進(jìn),人們的通信需求已從單一的話音或數(shù)據(jù)通信向 交互式多媒體信息通信發(fā)展,網(wǎng)絡(luò)系統(tǒng)從分別服務(wù)的獨立系統(tǒng)向話音、視頻和數(shù)據(jù)統(tǒng)一服 務(wù)的一體化網(wǎng)絡(luò)發(fā)展。近年來,IP技術(shù)得到了迅猛發(fā)展,以IP技術(shù)為核心構(gòu)建一體化網(wǎng)絡(luò) 已得到業(yè)界的共識。然而,通用IP網(wǎng)絡(luò)的安全性和QoS等問題制約了一體化網(wǎng)絡(luò)的快速發(fā)展。
IP網(wǎng)絡(luò)存在如下安全問題
IP協(xié)議設(shè)計的初衷是遵循開放和平等的原則,在網(wǎng)絡(luò)安全方面并沒有做過多的考慮, 使得現(xiàn)行的IP協(xié)議體系結(jié)構(gòu)中存在許多安全隱患。這些安全問題主要來自對IP技術(shù)的設(shè) 計、管理、規(guī)劃和應(yīng)用。就IP技術(shù)本身而言,存在下列問題影響網(wǎng)絡(luò)安全
1)網(wǎng)絡(luò)對承載的管理信息、控制信令和業(yè)務(wù)數(shù)據(jù)同等對待,沒有清晰的用戶和網(wǎng)絡(luò)接 口界面,導(dǎo)致相互影響。網(wǎng)絡(luò)的正常運行極容易受到用戶行為的影響和干擾,甚至被用戶控 制。 2)用戶IP地址和網(wǎng)絡(luò)IP地址沒有區(qū)分。任何用戶終端都可以將IP分組直接發(fā) 送到網(wǎng)絡(luò)中的任意設(shè)備。使用戶終端對網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊成為可能。 3)用戶自由接入網(wǎng)絡(luò),且缺乏有效的源地址檢驗。用戶終端可以偽造源地址對網(wǎng) 絡(luò)發(fā)起流量沖擊或欺騙攻擊,而無法追查。 4)用戶業(yè)務(wù)缺少控制,無法監(jiān)管,導(dǎo)致非法應(yīng)用失控、泛濫。 5)IP分組明文傳輸,信息極易被竊聽、篡改、仿冒,IP頭有完整的源、目的地址信 息極易被非法利用、分析。 在傳統(tǒng)IP網(wǎng)絡(luò)中,一般采用疊加各類安全保密設(shè)備提高網(wǎng)絡(luò)和業(yè)務(wù)的安全性。比 如網(wǎng)絡(luò)隔離、防火墻、認(rèn)證服務(wù)、入侵檢測、漏洞掃描等安全設(shè)備,以及鏈路層、網(wǎng)絡(luò)層和應(yīng) 用層等保密設(shè)備。這種通過疊加方式構(gòu)建的安全防護(hù)體系在一定程度上提高了網(wǎng)絡(luò)和業(yè)務(wù) 的安全保密性能,但也存在一些問題
網(wǎng)絡(luò)性能受限疊加的安全保密設(shè)備在網(wǎng)絡(luò)中產(chǎn)生額外傳輸和管理開銷,占用了部分 帶寬資源,增加了業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)時延,對通信性能影響較大;并且相對于網(wǎng)絡(luò)交換設(shè)備, 安全保密設(shè)備的分組轉(zhuǎn)發(fā)率一般較低,缺乏相應(yīng)的隊列調(diào)度機制,使網(wǎng)絡(luò)交換轉(zhuǎn)發(fā)性能無 法充分發(fā)揮,易產(chǎn)生通信瓶頸,業(yè)務(wù)的QoS難以得到保證。
設(shè)備間難以協(xié)調(diào)工作各安全保密設(shè)備在網(wǎng)絡(luò)中獨立工作,分別在不同層面提供相應(yīng)的安全保密功能。由于缺乏一體化的安全體系結(jié)構(gòu),各設(shè)備間形成了安全縫隙。例如 物理層與鏈路層的安全措施(如信道加密設(shè)備)無法解決網(wǎng)絡(luò)層地址欺騙問題,網(wǎng)絡(luò)層的安 全措施(如防火墻)無法識別和過濾應(yīng)用層的惡意數(shù)據(jù),而應(yīng)用層的安全措施則對針對底層 基礎(chǔ)設(shè)施的攻擊無能為力。同時網(wǎng)絡(luò)交換設(shè)備和安全保密設(shè)備間也缺乏必要聯(lián)系,相互影 響,不能協(xié)調(diào)工作。而通過外部線纜的互連接口也存在安全縫隙,給網(wǎng)絡(luò)安全帶來隱患。
安全防護(hù)不全各設(shè)備的安全防護(hù)措施或策略隨功能定位不同,其完備性和復(fù)雜 性各不相同,一方面造成部分安全功能重疊,降低了通信效能,另一方面各設(shè)備的安全策略 不易保持協(xié)調(diào)一致,互斥或遺漏的策略易造成網(wǎng)絡(luò)通信異?;虍a(chǎn)生安全漏洞。在傳統(tǒng)IP協(xié) 議體制下,安全防護(hù)措施難以有效融入到網(wǎng)絡(luò)的各個層面,無法對業(yè)務(wù)通信的全過程進(jìn)行 安全監(jiān)控。另外,設(shè)備間通信采用通用的網(wǎng)絡(luò)協(xié)議,固有的安全問題依然存在,自身的安全 防護(hù)能力較弱。 設(shè)備種類繁多、部署和管理方式各異、網(wǎng)絡(luò)開通和使用維護(hù)困難品種繁多、功能 各異的安全保密設(shè)備不僅降低了網(wǎng)絡(luò)運行的可靠性,而且消耗了大量的經(jīng)費開支。安全保 密設(shè)備需根據(jù)不同的應(yīng)用環(huán)境進(jìn)行相應(yīng)的部署規(guī)劃,而且各類設(shè)備的配置、狀態(tài)管理,以及 密鑰管理和分發(fā)自成體系,策略配置和使用維護(hù)操作十分復(fù)雜,要求網(wǎng)絡(luò)規(guī)劃和管理維護(hù) 人員具備較高的專業(yè)技能。面對應(yīng)用業(yè)務(wù)的不斷擴展和層出不窮的安全威脅,需要不斷修 訂策略或設(shè)備升級,網(wǎng)絡(luò)的持續(xù)發(fā)展和功能擴展受到限制。 NGN/MS架構(gòu)可提供多業(yè)務(wù)應(yīng)用及靈活便捷的應(yīng)用擴展,已成為固定和移動網(wǎng)絡(luò) 融合演進(jìn)的基礎(chǔ)。NGN/MS架構(gòu)采用業(yè)務(wù)、控制、承載完全分離的水平架構(gòu),具有集中的用戶 屬性和接入無關(guān)等特性,支持用戶移動性,提供靈活的IP多媒體業(yè)務(wù)和標(biāo)準(zhǔn)開放的業(yè)務(wù)接 口。但是,目前該架構(gòu)體系中仍存在一些待解決的問題
1)承載層的QoS問題對IPQoS技術(shù)本身而言,InterServ和DiffServ服務(wù)模型在不 同層面為QoS提供了技術(shù)支撐。隨著MPLS技術(shù)的發(fā)展和應(yīng)用,為徹底解決IPQoS問題提供 了有效途徑。然而,目前IP網(wǎng)絡(luò)仍以數(shù)據(jù)業(yè)務(wù)為主,由于規(guī)模龐大,體制各異,標(biāo)準(zhǔn)不一,各 項QoS技術(shù)在IP網(wǎng)絡(luò)中難以有效實施,發(fā)揮不出其設(shè)計性能,因此話音、視頻等實時業(yè)務(wù)始 終得不到令人滿意的QoS性能。另外,NGN控制層對承載層缺乏必要的、統(tǒng)一的控制,使不 同承載網(wǎng)為業(yè)務(wù)提供的QoS不一致。 2)安全性問題NGN主要以IP網(wǎng)絡(luò)作為承載網(wǎng),存在IP網(wǎng)絡(luò)固有的安全性問題, 特別是控制層的安全對通信業(yè)務(wù)的影響較大。在目前NGN架構(gòu)中涉及的安全措施是遠(yuǎn)遠(yuǎn)不 夠的,需要從體制上解決控制層安全性問題。 3)端到端的連接問題多種業(yè)務(wù)的融合使不同終端接入到網(wǎng)絡(luò)中。由于終端標(biāo)識 在網(wǎng)絡(luò)中的標(biāo)識存在差異,比如電話終端使用電話號碼、計算機終端使用IP地址,甚至部 分終端使用用戶編號作為標(biāo)識,不同終端間如何建立會話,實現(xiàn)互聯(lián)互通成為首先需要解 決的問題。而用戶網(wǎng)與公網(wǎng)邊緣的NAT以及用戶移動使端到端的連接變得更為復(fù)雜。因此 需要統(tǒng)一的會話連接控制機制實現(xiàn)端到端的連接,并通過統(tǒng)一的轉(zhuǎn)換機制實現(xiàn)終端標(biāo)識與 網(wǎng)絡(luò)地址的映射,從而完成路由尋址。 4)網(wǎng)絡(luò)互聯(lián)互通問題由于NGN技術(shù)本身在不斷發(fā)展,協(xié)議本身也需要根據(jù)業(yè)務(wù) 需求不斷完善和補充。目前相同或類似功能的協(xié)議還未能統(tǒng)一,協(xié)議間的兼容性使網(wǎng)絡(luò)的 互聯(lián)互通還存在缺陷。
5)網(wǎng)絡(luò)和業(yè)務(wù)的管理問題隨著業(yè)務(wù)和用戶量的增多,網(wǎng)絡(luò)管理變得越來越復(fù) 雜,除性能、配置、故障和計費管理外,還應(yīng)具備統(tǒng)一的網(wǎng)絡(luò)安全和QoS等管理機制。而對用 戶的業(yè)務(wù)帶寬、業(yè)務(wù)QoS、業(yè)務(wù)功能、業(yè)務(wù)安全等級等管理也需要加強。

發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)的上述缺點,本發(fā)明提供了一種實現(xiàn)一體化安全服務(wù)的網(wǎng)絡(luò)系 統(tǒng),通過網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)一體化設(shè)計,構(gòu)建安全和QoS有保證的、可承載多業(yè)務(wù)的網(wǎng)絡(luò) 平臺。 本發(fā)明的技術(shù)方案是一種實現(xiàn)一體化安全服務(wù)的網(wǎng)絡(luò)系統(tǒng),包括信息分類隔離 體系、綜合業(yè)務(wù)服務(wù)體系、服務(wù)質(zhì)量保證體系、綜合安全防護(hù)體系和綜合網(wǎng)絡(luò)管理體系;
所述信息分類隔離體系為網(wǎng)絡(luò)中的各類信息提供獨立的路由交換;在用戶接入、路 由交換、中繼傳輸、QoS保證、安全保密的各個環(huán)節(jié)對業(yè)務(wù)數(shù)據(jù)、信令消息和網(wǎng)管信息進(jìn)行分 類處理,實現(xiàn)業(yè)務(wù)、控制和管理信息在網(wǎng)絡(luò)中的分類隔離;分類隔離的信息數(shù)據(jù)在網(wǎng)絡(luò)中具 有獨立的帶寬資源,以及獨立的路由交換和QoS保證措施;在終端與交換節(jié)點間以及交換 節(jié)點間具有相對獨立的傳輸通道;
所述綜合業(yè)務(wù)服務(wù)體系采用安全會話連接協(xié)議,實現(xiàn)業(yè)務(wù)準(zhǔn)入控制功能、實現(xiàn)業(yè)務(wù)傳 輸通路建立控制功能、名址關(guān)系映射功能、密鑰分發(fā)承載功能、QoS接納控制功能和安全防 護(hù)功能;
所述服務(wù)質(zhì)量保證體系提供端到端有連接的服務(wù);對業(yè)務(wù)、控制和管理層面的數(shù)據(jù) 進(jìn)行區(qū)分服務(wù);對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行流量監(jiān)管;通過QoS路由動態(tài)地發(fā)現(xiàn)滿足服務(wù)質(zhì)量 需求的最優(yōu)路徑,實現(xiàn)流量工程;通過QoS接納控制對業(yè)務(wù)的會話連接進(jìn)行接納控制;
所述綜合安全防護(hù)體系包括信息分類隔離、網(wǎng)絡(luò)邊界防護(hù)、應(yīng)用業(yè)務(wù)準(zhǔn)入控制和數(shù)據(jù) 加密保護(hù)措施的采用,所述信息分類隔離是指對網(wǎng)絡(luò)的用戶端口 、網(wǎng)絡(luò)中繼端口 、管理端口 的屬性進(jìn)行區(qū)分,使用戶終端從用戶端口接入,其信令消息和管理信息只能轉(zhuǎn)發(fā)給接入節(jié) 點的連接控制器和網(wǎng)管代理,業(yè)務(wù)數(shù)據(jù)只能在業(yè)務(wù)層面進(jìn)行交換轉(zhuǎn)發(fā);網(wǎng)絡(luò)交換設(shè)備對業(yè) 務(wù)、控制和管理數(shù)據(jù)進(jìn)行獨立的路由交換,中繼線路為業(yè)務(wù)、控制和管理數(shù)據(jù)分別建立獨立 的傳輸通道,各通道間互不干擾;所述網(wǎng)絡(luò)邊界防護(hù)是指通過用戶安全接入?yún)f(xié)議,對用戶終 端的接入進(jìn)行合法性鑒別,用戶業(yè)務(wù)數(shù)據(jù)的傳輸鏈路在控制層的連接控制下實時建立,業(yè) 務(wù)結(jié)束后拆除;所述應(yīng)用業(yè)務(wù)準(zhǔn)入控制是指在會話連接過程中,控制層的連接控制對信令 進(jìn)行真實性驗證,在會話連接控制下為業(yè)務(wù)數(shù)據(jù)建立端到端的傳輸通路;
所述綜合網(wǎng)絡(luò)管理體系采用分級管理、逐級匯總、集中控制的管理方式,實現(xiàn)分區(qū)分 權(quán)管理。 與現(xiàn)有技術(shù)相比,本發(fā)明的積極效果是本發(fā)明通過網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)一體化 設(shè)計,構(gòu)建安全可信及多元化服務(wù)的網(wǎng)絡(luò)平臺。 —體化網(wǎng)絡(luò)安全是將安全防護(hù)措施融入到網(wǎng)絡(luò)通信的各個層面,相互配合,相互 支撐,確保安全性能和通信效能。 一體化網(wǎng)絡(luò)安全主要體現(xiàn)在信息的分類隔離將業(yè)務(wù)、控 制和管理等信息相互隔離,各類信息在網(wǎng)絡(luò)中具有獨立的路由交換、傳輸帶寬、QoS保障和安全防護(hù)措施,可有效保證網(wǎng)絡(luò)系統(tǒng)自身的安全;用戶的安全接入對終端設(shè)備進(jìn)行接入認(rèn) 證,實現(xiàn)名址轉(zhuǎn)換,對業(yè)務(wù)數(shù)據(jù)進(jìn)行完整性和抗重放等安全防護(hù),可有效提高網(wǎng)絡(luò)邊界的安 全防護(hù)能力;節(jié)點的安全互連對互連節(jié)點的合法性進(jìn)行認(rèn)證,對節(jié)點間的數(shù)據(jù)進(jìn)行完整性 和抗重放等安全防護(hù),可有效阻止非法節(jié)點接入網(wǎng)絡(luò);業(yè)務(wù)的準(zhǔn)入控制對用戶身份和權(quán)限 進(jìn)行認(rèn)證,并在網(wǎng)絡(luò)入口對業(yè)務(wù)的會話連接、類型、流量等進(jìn)行控制,可有效阻止非法數(shù)據(jù) 進(jìn)入網(wǎng)絡(luò)。 —體化網(wǎng)絡(luò)服務(wù)支持話音、視頻和數(shù)據(jù)等綜合業(yè)務(wù),保證各類業(yè)務(wù)的QoS。在統(tǒng)一 的業(yè)務(wù)會話控制下,網(wǎng)絡(luò)提供三種承載服務(wù)有連接、有QoS保證的服務(wù),適用于實時業(yè)務(wù); 有連接的服務(wù),適用于即時通信及P2P等業(yè)務(wù);盡力而為的服務(wù),適用于一般數(shù)據(jù)業(yè)務(wù);通 過信息分類隔離,網(wǎng)絡(luò)可為各類業(yè)務(wù)提供相對獨立的網(wǎng)絡(luò)環(huán)境,業(yè)務(wù)間相互隔離,并針對各 類數(shù)據(jù)的特點提供相應(yīng)的QoS保障;業(yè)務(wù)會話控制分配名址映射關(guān)系,與網(wǎng)絡(luò)路由交換相 配合實現(xiàn)名址分離, 一方面提高了網(wǎng)絡(luò)和業(yè)務(wù)的安全性能,另一方面可支持移動和組播等 應(yīng)用。
具體實施例方式
本說明書中公開的所有特征,或公開的所有方法或過程中的步驟,除了互相排斥 的特征和/或步驟以外,均可以以任何方式組合。 本說明書(包括任何附加權(quán)利要求、摘要和附圖
)中公開的任一特征,除非特別敘 述,均可被其他等效或具有類似目的的替代特征加以替換。即,除非特別敘述,每個特征只 是一系列等效或類似特征中的一個例子而已。 —種一體化網(wǎng)絡(luò)的安全服務(wù)系統(tǒng),應(yīng)滿足用戶對應(yīng)用業(yè)務(wù)和安全保密的需求,保 證通信業(yè)務(wù)的服務(wù)質(zhì)量,確保網(wǎng)絡(luò)系統(tǒng)的安全保密性能。包括分類隔離網(wǎng)絡(luò)、綜合業(yè)務(wù)服 務(wù)、服務(wù)質(zhì)量保證、綜合安全防護(hù)和綜合網(wǎng)絡(luò)管理五個基本技術(shù)體系。分類隔離網(wǎng)絡(luò)技術(shù)體 系為業(yè)務(wù)、控制和管理等信息提供相對獨立的路由交換和傳輸服務(wù);綜合業(yè)務(wù)服務(wù)技術(shù)體 系實現(xiàn)業(yè)務(wù)的會話連接控制,提供多種應(yīng)用服務(wù),同時具備應(yīng)用業(yè)務(wù)的擴展能力;服務(wù)質(zhì)量 保證體系通過綜合運用多種措施為話音、視頻等實時業(yè)務(wù)提供良好的通信質(zhì)量保障,提高 系統(tǒng)整體的服務(wù)性能;綜合安全防護(hù)技術(shù)體系融入到業(yè)務(wù)、網(wǎng)絡(luò)和管理的各個層面,各項安 全防護(hù)措施相互關(guān)聯(lián)、協(xié)調(diào)一致,確保業(yè)務(wù)和網(wǎng)絡(luò)的安全;綜合網(wǎng)絡(luò)管理技術(shù)體系負(fù)責(zé)對網(wǎng) 絡(luò)、設(shè)備和業(yè)務(wù)實施全面、統(tǒng)一、有效的管理。
1)分類隔離網(wǎng)絡(luò)技術(shù)體系
結(jié)合IP和MPLS的技術(shù)優(yōu)勢,實現(xiàn)大容量、高帶寬的分組路由交換,以支撐話音、視頻 和數(shù)據(jù)等綜合業(yè)務(wù);同時,為保證網(wǎng)絡(luò)安全和服務(wù)質(zhì)量,系統(tǒng)在用戶接入、路由交換、中繼傳 輸、QoS保證、安全保密等各個環(huán)節(jié)對業(yè)務(wù)數(shù)據(jù)、信令消息和網(wǎng)管信息進(jìn)行分類處理,實現(xiàn) 業(yè)務(wù)、控制和管理信息在網(wǎng)絡(luò)中的分類隔離;分類隔離的信息數(shù)據(jù)在網(wǎng)絡(luò)中具有獨立的帶 寬資源,以及獨立的路由交換和QoS保證措施;在終端與交換節(jié)點間以及交換節(jié)點間具有 獨立的傳輸通道,各類數(shù)據(jù)各行其道,互不干擾;為不同的業(yè)務(wù)系統(tǒng)構(gòu)建相對獨立的網(wǎng)絡(luò)環(huán) 境,在統(tǒng)一的網(wǎng)絡(luò)基礎(chǔ)平臺上,業(yè)務(wù)層面可進(jìn)一步劃分為多個業(yè)務(wù)子層,構(gòu)成多個不同規(guī)模和拓?fù)浣Y(jié)構(gòu)的獨立子網(wǎng)。子網(wǎng)間的應(yīng)用業(yè)務(wù)可以是獨立的,互不影響,也可以在受控條件下 互通。比如,實時業(yè)務(wù)子網(wǎng)承載話音、視頻等實時業(yè)務(wù);數(shù)據(jù)業(yè)務(wù)子網(wǎng)A承載點到點計算機 通信業(yè)務(wù);數(shù)據(jù)業(yè)務(wù)子網(wǎng)B承載Web瀏覽業(yè)務(wù)等。系統(tǒng)為各子網(wǎng)建立獨立的傳輸通道,分配 獨立的地址和帶寬資源,進(jìn)行獨立的路由交換和QoS保證。
2 )綜合業(yè)務(wù)服務(wù)技術(shù)體系
參考NGN架構(gòu)模型,遵循業(yè)務(wù)、控制與承載相互分離的設(shè)計思想,提供話音、視頻和數(shù) 據(jù)等業(yè)務(wù)的綜合服務(wù)能力,支持移動接入和組播業(yè)務(wù)
控制層主要完成會話連接控制,實現(xiàn)基本的電話呼叫和會話連接功能;業(yè)務(wù)層主要提 供業(yè)務(wù)、認(rèn)證、策略、數(shù)據(jù)庫等服務(wù);傳送層的接入子層主要實現(xiàn)多媒體終端、計算機局域 網(wǎng)、寬帶撥號、寬帶無線等寬帶用戶的接入,以及電話網(wǎng)、移動網(wǎng)的接入;傳送層的承載子層 為信令和業(yè)務(wù)提供獨立的承載服務(wù);綜合業(yè)務(wù)服務(wù)技術(shù)體系使業(yè)務(wù)獨立于網(wǎng)絡(luò),為未來快 速、靈活、有效地提供新業(yè)務(wù)創(chuàng)造有利環(huán)境。
連接控制是綜合業(yè)務(wù)服務(wù)體系的核心功能,主要完成以下功能
會話連接控制功能完成基本的和增強的會話連接流程。
號碼或地址解析功能完成對用戶呼叫的電話號碼或其它地址信息的解析,根據(jù) 號碼進(jìn)行路由分析,查找被叫節(jié)點或重定向。
互通功能通過信令網(wǎng)關(guān)完成對現(xiàn)有網(wǎng)絡(luò)的信令或協(xié)議的轉(zhuǎn)換和流程控制。
媒體網(wǎng)關(guān)控制負(fù)責(zé)完成對媒體網(wǎng)關(guān)的鏈路狀態(tài)、時隙資源和復(fù)分接功能等控制, 對終端接入媒體網(wǎng)關(guān)的用戶信令和業(yè)務(wù)的收發(fā)控制。
協(xié)議(信令)適配功能負(fù)責(zé)對現(xiàn)有網(wǎng)絡(luò)協(xié)議進(jìn)行適配和傳送。 業(yè)務(wù)管理完成對業(yè)務(wù)狀態(tài)的記錄,包括用戶號碼或地址、通信時間、失敗原因等, 向網(wǎng)管系統(tǒng)提供業(yè)務(wù)管理的相關(guān)數(shù)據(jù)。 —體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)對各類業(yè)務(wù)進(jìn)行統(tǒng)一的會話連接控制。在分組網(wǎng)絡(luò)中, 呼叫控制一般采用SIP協(xié)議實現(xiàn)。SIP協(xié)議簡單靈活,擴展性強,具備終端檢測能力、在線檢 測、支持移動性、組播等能力,被指定為第三代網(wǎng)絡(luò)的控制協(xié)議,應(yīng)用已十分廣泛。為實現(xiàn)網(wǎng) 絡(luò)安全和網(wǎng)絡(luò)服務(wù)一體化,系統(tǒng)借鑒SIP協(xié)議的基本設(shè)計思想和流程,并結(jié)合控制層功能 擴展的要求,對SIP協(xié)議進(jìn)行優(yōu)化和補充,融入安全性設(shè)計,形成專用的安全會話連接協(xié)議 (簡稱SCLP協(xié)議),具體內(nèi)容包括
(1)業(yè)務(wù)準(zhǔn)入控制功能會話控制對通信雙方進(jìn)行合法性認(rèn)證,控制網(wǎng)絡(luò)入口為該業(yè) 務(wù)開啟或關(guān)閉傳輸通道和路由交換服務(wù)。 (2)業(yè)務(wù)傳輸通路建立控制功能會話控制向網(wǎng)絡(luò)申請建立承載業(yè)務(wù)數(shù)據(jù)的傳輸 通路。根據(jù)業(yè)務(wù)的QoS需求,主要包括三種基本類型的路徑有連接和QoS保證的路徑,適 用于實時業(yè)務(wù);有連接、無QoS保證的路徑,適用于即時通信及P2P等業(yè)務(wù);無連接、盡力而 為的路徑,適用于一般數(shù)據(jù)業(yè)務(wù)。另外,根據(jù)業(yè)務(wù)對QoS需求還可為業(yè)務(wù)申請建立最小時 延、最大帶寬或最小開銷等QoS特性的傳輸通路。 (3)名址關(guān)系映射功能會話連接過程中,確定終端標(biāo)識、用戶標(biāo)識和業(yè)務(wù)標(biāo)識與 網(wǎng)絡(luò)地址的映射關(guān)系,并提供給用戶端口進(jìn)行名址轉(zhuǎn)換,實現(xiàn)名址分離。在每次會話連接時 可為用戶端口自動分配網(wǎng)絡(luò)地址用于路由尋址,在業(yè)務(wù)結(jié)束后失效。
(4)密鑰分發(fā)承載功能會話控制信令中可攜帶相關(guān)密鑰分發(fā)協(xié)議數(shù)據(jù),在會話建立過程中完成密鑰分發(fā),以降低保密業(yè)務(wù)的會話建立時間,提高密鑰分發(fā)效率和安全性。
(5) QoS接納控制功能根據(jù)當(dāng)前的網(wǎng)絡(luò)資源情況和業(yè)務(wù)的QoS需求實現(xiàn)業(yè)務(wù)的接 納。執(zhí)行相關(guān)QoS策略,比如高優(yōu)先級用戶的資源搶占等。
(6)安全防護(hù)功能完成呼叫連接協(xié)議報文的合法性鑒別,確保控制層的安全。
3 )服務(wù)質(zhì)量保證技術(shù)體系
在一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)下,通過信息分類隔離,網(wǎng)絡(luò)將不同業(yè)務(wù)承載在相互獨立 的交換傳輸通道上。根據(jù)業(yè)務(wù)QoS需求,各通道上可綜合運用多種QoS技術(shù)提供有效的服 務(wù)質(zhì)量保障;并通過統(tǒng)一部署的QoS策略,使各項服務(wù)質(zhì)量保障措施相互配合、有效運行。
端到端有連接的服務(wù)是保障實時業(yè)務(wù)QoS的基本條件。系統(tǒng)為通信雙方建立端到 端有連接的、有質(zhì)量保證的傳輸通道。業(yè)務(wù)數(shù)據(jù)流在該路徑上進(jìn)行數(shù)據(jù)交換和傳輸,從而保 證業(yè)務(wù)數(shù)據(jù)流以相對穩(wěn)定的傳輸特性按序到達(dá)。 分類區(qū)分服務(wù)是對業(yè)務(wù)、控制和管理層面的數(shù)據(jù)分別進(jìn)行相應(yīng)的區(qū)分服務(wù)。每個 層面可根據(jù)消息類別、數(shù)據(jù)類型和優(yōu)先級等數(shù)據(jù)特性進(jìn)行各自的區(qū)分服務(wù)。通過相應(yīng)的隊 列調(diào)度算法,使各類數(shù)據(jù)流按先期約定占用系統(tǒng)資源。 為保證網(wǎng)絡(luò)實際承載的數(shù)據(jù)流量符合事先約定的資源分配,避免異常流量強占網(wǎng)
絡(luò)資源,系統(tǒng)對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行流量監(jiān)視和限制。流量監(jiān)管通過配置策略對過載流量
進(jìn)行丟棄,保證話音、視頻等高優(yōu)先級的業(yè)務(wù)數(shù)據(jù)流得到正常轉(zhuǎn)發(fā)處理。 QoS路由是實現(xiàn)業(yè)務(wù)服務(wù)質(zhì)量保證,提高網(wǎng)絡(luò)整體服務(wù)性能的重要條件。QoS路由
根據(jù)網(wǎng)絡(luò)資源的使用情況,動態(tài)地發(fā)現(xiàn)滿足服務(wù)質(zhì)量需求的最優(yōu)路徑。QoS路由為流量工程
提供路由基礎(chǔ),實現(xiàn)業(yè)務(wù)流量在網(wǎng)絡(luò)中合理分布,從而降低網(wǎng)絡(luò)擁塞概率,增強網(wǎng)絡(luò)吞吐性
能,提高網(wǎng)絡(luò)資源的利用率。 資源統(tǒng)計分配是通過QoS測量與統(tǒng)計實現(xiàn)對系統(tǒng)資源合理有效的控制與利用。 QoS測量與統(tǒng)計的對象包括流量、誤碼率、丟包率和異常報文等。根據(jù)測量與統(tǒng)計結(jié)果生成 各類QoS參數(shù),實現(xiàn)對系統(tǒng)資源的控制。 QoS接納控制是根據(jù)網(wǎng)絡(luò)當(dāng)前資源情況和業(yè)務(wù)的QoS需求,對業(yè)務(wù)的會話連接進(jìn) 行接納控制,避免超過承載能力的業(yè)務(wù)流量進(jìn)入網(wǎng)絡(luò)。系統(tǒng)主要著力于綜合運用各種技術(shù), 通過統(tǒng)一設(shè)計和統(tǒng)一管理,將QoS技術(shù)轉(zhuǎn)變?yōu)橐环N端到端的業(yè)務(wù)傳輸平臺,以滿足對業(yè)務(wù) 服務(wù)質(zhì)量的要求。 4)綜合安全防護(hù)技術(shù)體系
一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)立足于從系統(tǒng)體制上解決網(wǎng)絡(luò)安全問題。安全保密的各項措 施有效融入到網(wǎng)絡(luò)中各個設(shè)備和各個層面中,相互之間緊密配合,以增強安全防護(hù)性能,提 高網(wǎng)絡(luò)資源利用率,保證業(yè)務(wù)服務(wù)質(zhì)量,實現(xiàn)統(tǒng)一的控制和管理。綜合安全防護(hù)體系主要包 含信息分類隔離、網(wǎng)絡(luò)邊界防護(hù)、應(yīng)用業(yè)務(wù)準(zhǔn)入控制和數(shù)據(jù)加密保護(hù)等方面
(1)信息分類隔離
網(wǎng)絡(luò)的用戶端口、網(wǎng)絡(luò)中繼端口、管理端口的屬性嚴(yán)格區(qū)分。用戶終端從用戶端口接 入,其信令消息和管理信息只能轉(zhuǎn)發(fā)給接入節(jié)點的連接控制器和網(wǎng)管代理,而業(yè)務(wù)數(shù)據(jù)只 能在業(yè)務(wù)層面進(jìn)行交換轉(zhuǎn)發(fā)。用戶終端不能訪問網(wǎng)絡(luò)中的其它層面的設(shè)備或地址。網(wǎng)絡(luò)交 換設(shè)備對業(yè)務(wù)、控制和管理等數(shù)據(jù)進(jìn)行獨立的路由交換,互不影響。中繼線路上為業(yè)務(wù)、控 制和管理數(shù)據(jù)分別建立獨立的傳輸通道,每個通道具有獨立的帶寬資源,通道間相互隔離。[OO47] (2)網(wǎng)絡(luò)邊界防護(hù)
網(wǎng)絡(luò)邊界是系統(tǒng)安全防護(hù)體系設(shè)計的重點,將通過用戶安全接入?yún)f(xié)議(簡稱USAP協(xié) 議)實現(xiàn)。USAP協(xié)議負(fù)責(zé)對用戶終端的接入進(jìn)行合法性鑒別,杜絕非法終端接入。鑒別過 程周期性維護(hù)。 USAP協(xié)議對用戶線路上的業(yè)務(wù)、信令和管理數(shù)據(jù)傳輸鏈路進(jìn)行隔離,并與網(wǎng)絡(luò)中 繼線路上的傳輸通道對應(yīng)。用戶業(yè)務(wù)數(shù)據(jù)的傳輸鏈路在控制層的連接控制下實時建立,業(yè) 務(wù)結(jié)束后拆除。用戶線路上經(jīng)USAP協(xié)議封裝承載的數(shù)據(jù)具備完整性和抗重放的安全防護(hù) 能力,可防止從用戶線路上插入攻擊報文。 通過USAP協(xié)議可實現(xiàn)終端標(biāo)識與網(wǎng)絡(luò)地址分離。用戶終端在網(wǎng)絡(luò)中的地址(即交 換設(shè)備用戶端口的路由地址)只呈現(xiàn)在網(wǎng)絡(luò)內(nèi)部,在每次通信時由網(wǎng)絡(luò)自動分配。USAP建 立并維護(hù)此次業(yè)務(wù)與終端標(biāo)識、網(wǎng)絡(luò)地址的綁定關(guān)系,交換設(shè)備負(fù)責(zé)根據(jù)該綁定關(guān)系完成 終端標(biāo)識與網(wǎng)絡(luò)地址的轉(zhuǎn)換。由于網(wǎng)絡(luò)對用戶透明,網(wǎng)絡(luò)邊界的安全得到了有效保證。
網(wǎng)絡(luò)節(jié)點間的安全將通過節(jié)點安全互連協(xié)議(簡稱NSIP協(xié)議)實現(xiàn)。節(jié)點間互連 必須經(jīng)過合法性鑒別,杜絕非法節(jié)點接入。同時,中繼干線上經(jīng)NSIP協(xié)議封裝承載的數(shù)據(jù) 具備完整性和抗重放的安全防護(hù)能力。
(3)應(yīng)用業(yè)務(wù)準(zhǔn)入控制
應(yīng)用業(yè)務(wù)受會話連接的控制,對未完成呼叫連接的業(yè)務(wù)數(shù)據(jù),網(wǎng)絡(luò)拒絕承載。在會話連 接過程中,控制層的連接控制對信令進(jìn)行真實性驗證,防止非法終端或節(jié)點的信令攻擊。為 保證業(yè)務(wù)安全,系統(tǒng)在會話連接控制下為業(yè)務(wù)數(shù)據(jù)建立端到端的傳輸通路,在網(wǎng)絡(luò)中的路 徑可由源節(jié)點根據(jù)鏈路的QoS特性選擇,也可通過網(wǎng)管配置指定路由或策略路由。用戶的 業(yè)務(wù)數(shù)據(jù)在該傳輸通路上進(jìn)行傳輸和交換轉(zhuǎn)發(fā),拒絕傳輸通路外的數(shù)據(jù)進(jìn)入。
(4)數(shù)據(jù)加密保護(hù)
業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息加密保護(hù)是確保業(yè)務(wù)和網(wǎng)絡(luò)安全的重要手段。對用戶業(yè)務(wù)數(shù)據(jù)實 施端到端的全程加密,在網(wǎng)絡(luò)傳輸過程中密碼不落地,確保通信業(yè)務(wù)的機密性。對中繼干線 上的所有數(shù)據(jù)加密保護(hù),不僅對業(yè)務(wù)數(shù)據(jù)進(jìn)行了二次加密保護(hù),增強了業(yè)務(wù)的保密強度,而 且對節(jié)點間信令和網(wǎng)絡(luò)協(xié)議消息進(jìn)行了加密保護(hù),增強了網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力。
5)綜合網(wǎng)絡(luò)管理技術(shù)體系
網(wǎng)絡(luò)管理系統(tǒng)實現(xiàn)對網(wǎng)絡(luò)、設(shè)備、業(yè)務(wù)和用戶的統(tǒng)一管理,采用分級管理、逐級匯總、集 中控制的管理方式,實現(xiàn)分區(qū)分權(quán)管理。網(wǎng)絡(luò)管理系統(tǒng)包括網(wǎng)絡(luò)資源管理、應(yīng)用業(yè)務(wù)管理、 用戶屬性管理等子系統(tǒng),提供配置管理、故障管理、性能管理、拓?fù)涔芾?、業(yè)務(wù)管理、安全管 理和QoS管理等管理功能。 本發(fā)明并不局限于前述的具體實施方式
。本發(fā)明擴展到任何在本說明書中披露的 新特征或任何新的組合,以及披露的任一新的方法或過程的步驟或任何新的組合。
9
權(quán)利要求
一種實現(xiàn)一體化安全服務(wù)的網(wǎng)絡(luò)系統(tǒng),其特征在于包括信息分類隔離體系、綜合業(yè)務(wù)服務(wù)體系、服務(wù)質(zhì)量保證體系、綜合安全防護(hù)體系和綜合網(wǎng)絡(luò)管理體系;所述信息分類隔離體系為網(wǎng)絡(luò)中的各類信息提供獨立的路由交換;在用戶接入、路由交換、中繼傳輸、QoS保證、安全保密的各個環(huán)節(jié)對業(yè)務(wù)數(shù)據(jù)、信令消息和網(wǎng)管信息進(jìn)行分類處理,實現(xiàn)業(yè)務(wù)、控制和管理信息在網(wǎng)絡(luò)中的分類隔離;分類隔離的信息數(shù)據(jù)在網(wǎng)絡(luò)中具有獨立的帶寬資源,以及獨立的路由交換和QoS保證措施;在終端與交換節(jié)點間以及交換節(jié)點間具有相對獨立的傳輸通道;所述綜合業(yè)務(wù)服務(wù)體系采用安全會話連接協(xié)議,實現(xiàn)業(yè)務(wù)準(zhǔn)入控制功能、實現(xiàn)業(yè)務(wù)傳輸通路建立控制功能、名址關(guān)系映射功能、密鑰分發(fā)承載功能、QoS接納控制功能和安全防護(hù)功能;所述服務(wù)質(zhì)量保證體系提供端到端有連接的服務(wù);對業(yè)務(wù)、控制和管理層面的數(shù)據(jù)進(jìn)行區(qū)分服務(wù);對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行流量監(jiān)管;通過QoS路由動態(tài)地發(fā)現(xiàn)滿足服務(wù)質(zhì)量需求的最優(yōu)路徑,實現(xiàn)流量工程;通過QoS接納控制對業(yè)務(wù)的會話連接進(jìn)行接納控制;所述綜合安全防護(hù)體系包括信息分類隔離、網(wǎng)絡(luò)邊界防護(hù)、應(yīng)用業(yè)務(wù)準(zhǔn)入控制和數(shù)據(jù)加密保護(hù)措施的采用,所述信息分類隔離是指對網(wǎng)絡(luò)的用戶端口、網(wǎng)絡(luò)中繼端口、管理端口的屬性進(jìn)行區(qū)分,使用戶終端從用戶端口接入,其信令消息和管理信息只能轉(zhuǎn)發(fā)給接入節(jié)點的連接控制器和網(wǎng)管代理,業(yè)務(wù)數(shù)據(jù)只能在業(yè)務(wù)層面進(jìn)行交換轉(zhuǎn)發(fā);網(wǎng)絡(luò)交換設(shè)備對業(yè)務(wù)、控制和管理數(shù)據(jù)進(jìn)行獨立的路由交換,中繼線路為業(yè)務(wù)、控制和管理數(shù)據(jù)分別建立獨立的傳輸通道,各通道間互不干擾;所述網(wǎng)絡(luò)邊界防護(hù)是指通過用戶安全接入?yún)f(xié)議,對用戶終端的接入進(jìn)行合法性鑒別,用戶業(yè)務(wù)數(shù)據(jù)的傳輸鏈路在控制層的連接控制下實時建立,業(yè)務(wù)結(jié)束后拆除;所述應(yīng)用業(yè)務(wù)準(zhǔn)入控制是指在會話連接過程中,控制層的連接控制對信令進(jìn)行真實性驗證,在會話連接控制下為業(yè)務(wù)數(shù)據(jù)建立端到端的傳輸通路;所述綜合網(wǎng)絡(luò)管理體系采用分級管理、逐級匯總、集中控制的管理方式,實現(xiàn)分區(qū)分權(quán)管理。
全文摘要
本發(fā)明公開了一種實現(xiàn)一體化安全服務(wù)的網(wǎng)絡(luò)系統(tǒng),包括數(shù)據(jù)傳送的分類隔離、應(yīng)用業(yè)務(wù)的安全保密和QoS保證、網(wǎng)絡(luò)系統(tǒng)的綜合安全防護(hù)和網(wǎng)絡(luò)管理。本發(fā)明的積極效果是本發(fā)明將網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)傳送、安全防護(hù)和應(yīng)用服務(wù)一體化設(shè)計,構(gòu)建安全高效、有QoS保證、可承載多種業(yè)務(wù)的網(wǎng)絡(luò)平臺一體化網(wǎng)絡(luò)安全是將安全防護(hù)措施融入到網(wǎng)絡(luò)通信的各個層面,相互配合,相互支撐,確保安全性能和通信效能;一體化網(wǎng)絡(luò)服務(wù)支持話音、視頻和數(shù)據(jù)等綜合業(yè)務(wù),保證各類業(yè)務(wù)的安全和QoS。
文檔編號H04L29/12GK101771619SQ201010125028
公開日2010年7月7日 申請日期2010年3月16日 優(yōu)先權(quán)日2010年3月16日
發(fā)明者周俊, 王強, 王文勝 申請人:中國電子科技集團(tuán)公司第三十研究所
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1