技術(shù)領(lǐng)域

本發(fā)明涉及一種安全的網(wǎng)絡(luò)路由交換技術(shù)，尤其是涉及一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的信息分類隔離方法。

背景技術(shù)

隨著信息化社會的不斷發(fā)展演進(jìn)，人們的通信需求已從單一的話音或數(shù)據(jù)通信向交互式多媒體信息通信發(fā)展，網(wǎng)絡(luò)系統(tǒng)從分別服務(wù)的獨(dú)立系統(tǒng)向話音、視頻和數(shù)據(jù)統(tǒng)一服務(wù)的一體化網(wǎng)絡(luò)發(fā)展。近年來，IP技術(shù)得到了迅猛發(fā)展，以IP技術(shù)為核心構(gòu)建一體化網(wǎng)絡(luò)已得到業(yè)界的共識。然而，通用IP網(wǎng)絡(luò)存在的安全性問題已制約了一體化網(wǎng)絡(luò)的快速發(fā)展。

IP協(xié)議設(shè)計(jì)的初衷是遵循開放和平等的原則，在網(wǎng)絡(luò)安全方面并沒有做過多的考慮，使得現(xiàn)行的IP協(xié)議體系結(jié)構(gòu)中存在許多安全隱患。這些安全問題主要來自對IP技術(shù)的設(shè)計(jì)、管理、規(guī)劃和應(yīng)用。就IP技術(shù)本身而言，IP網(wǎng)絡(luò)對承載的管理信息、控制信令和業(yè)務(wù)數(shù)據(jù)同等對待，沒有清晰的用戶和網(wǎng)絡(luò)接口界面，導(dǎo)致相互影響。對網(wǎng)絡(luò)安全和業(yè)務(wù)QoS的影響表現(xiàn)在：

1)?網(wǎng)絡(luò)的正常運(yùn)行極易受到用戶行為的影響和干擾，異常的業(yè)務(wù)流量會造成系統(tǒng)信息擁塞或丟失，從而使系統(tǒng)癱瘓。

2)?任何用戶終端都可以將IP分組直接發(fā)送到網(wǎng)絡(luò)中的任意設(shè)備，對網(wǎng)絡(luò)系統(tǒng)自身的安全造成極大威脅。

3)?網(wǎng)絡(luò)中的系統(tǒng)信息和業(yè)務(wù)數(shù)據(jù)種類繁多，各類數(shù)據(jù)對于網(wǎng)絡(luò)安全和QoS有不同的需求。在一種模式下同時滿足不同需求會造成報文分類規(guī)則繁雜，區(qū)分服務(wù)實(shí)現(xiàn)困難，隊(duì)列調(diào)度效率低下，最終將無法滿足所有數(shù)據(jù)的安全和QoS需求。需要將數(shù)據(jù)分類并針對其特性進(jìn)行處理。

4)?數(shù)據(jù)業(yè)務(wù)的突發(fā)性使網(wǎng)絡(luò)流量、時延和抖動產(chǎn)生不確定性，網(wǎng)絡(luò)難以為實(shí)時業(yè)務(wù)提供有效、穩(wěn)定的QoS保證。

發(fā)明內(nèi)容

為了克服現(xiàn)有技術(shù)的上述缺點(diǎn)，本發(fā)明提供了一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的信息分類隔離方法，將網(wǎng)絡(luò)中的業(yè)務(wù)、控制和管理信息分類隔離，各類數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行獨(dú)立的路由交換和傳輸，具有獨(dú)立的帶寬資源和相應(yīng)的QoS保證措施，各類數(shù)據(jù)各行其道，互不干擾。由于信令系統(tǒng)和網(wǎng)管系統(tǒng)在網(wǎng)絡(luò)中相對獨(dú)立的運(yùn)行，不受業(yè)務(wù)流量和異常報文的影響，即使在網(wǎng)絡(luò)業(yè)務(wù)嚴(yán)重?fù)砣麜r也能對系統(tǒng)實(shí)施有效控制。同時，也避免系統(tǒng)消息搶占業(yè)務(wù)帶寬，影響業(yè)務(wù)的服務(wù)質(zhì)量。

本發(fā)明的技術(shù)方案是：一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的信息分類隔離方法，包括如下步驟：

第一步，對業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息進(jìn)行獨(dú)立的路由交換：

節(jié)點(diǎn)交換設(shè)備為各類信息數(shù)據(jù)的路由交換提供各自的路由表，并通過多個核心交換矩陣提供相對獨(dú)立的分組交換；

第二步，在中繼端口和用戶端口為業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息建立專用的傳輸通道，并為每個傳輸通道預(yù)先分配帶寬：

在路由交換節(jié)點(diǎn)間通過節(jié)點(diǎn)安全互連協(xié)議為實(shí)時業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)、會話連接信令和網(wǎng)絡(luò)管理分別建立傳輸通道；節(jié)點(diǎn)間經(jīng)相互認(rèn)證后分別開啟相應(yīng)通道，并為每個傳輸通道預(yù)先分配帶寬；節(jié)點(diǎn)間的分組數(shù)據(jù)通過節(jié)點(diǎn)安全互連協(xié)議封裝，并在對應(yīng)的傳輸通道中加密傳輸；

在用戶終端和路由交換節(jié)點(diǎn)間通過用戶安全接入?yún)f(xié)議為實(shí)時業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)、會話連接信令和設(shè)備管理分別建立傳輸通道；用戶終端和業(yè)務(wù)經(jīng)接入認(rèn)證后先后開啟相應(yīng)通道，并為每個傳輸通道預(yù)先分配帶寬；用戶的各類分組數(shù)據(jù)通過用戶安全接入?yún)f(xié)議封裝，并在對應(yīng)的傳輸通道中加密傳輸；

第三步，根據(jù)各個傳輸通道所傳輸數(shù)據(jù)的特性對數(shù)據(jù)實(shí)施相應(yīng)的分類規(guī)則，并進(jìn)行QoS標(biāo)識和區(qū)分服務(wù)：

對實(shí)時業(yè)務(wù)通道和數(shù)據(jù)業(yè)務(wù)通道按用戶優(yōu)先級和業(yè)務(wù)類型進(jìn)行分類，并用流標(biāo)記或標(biāo)簽等價類進(jìn)行QoS標(biāo)識，對信令通道按協(xié)議類型進(jìn)行QoS分類和標(biāo)識，對數(shù)據(jù)業(yè)務(wù)通道按源目的IP地址、TCP/UDP端口號和ToS字段進(jìn)行QoS分類和標(biāo)識；

根據(jù)各個傳輸通道所傳輸數(shù)據(jù)的特性，實(shí)施相應(yīng)的隊(duì)列管理與調(diào)度：信令通道采用定制隊(duì)列方式調(diào)度；實(shí)時業(yè)務(wù)通道和管理通道采用優(yōu)先隊(duì)列方式調(diào)度；數(shù)據(jù)業(yè)務(wù)通道根據(jù)業(yè)務(wù)的QoS需求，選擇使用先入先出隊(duì)列、優(yōu)先隊(duì)列和加權(quán)公平隊(duì)列調(diào)度方式。

所述各類信息數(shù)據(jù)包括實(shí)時業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)、會話連接信令和網(wǎng)絡(luò)管理信息數(shù)據(jù)。

所述進(jìn)行獨(dú)立的路由交換是指：對于有QoS需求的實(shí)時業(yè)務(wù)和數(shù)據(jù)業(yè)務(wù)可根據(jù)鏈路的QoS特性計(jì)算QoS路由，建立端到端的傳輸路徑并預(yù)留資源；對于盡力而為的數(shù)據(jù)業(yè)務(wù)，可根據(jù)最短路徑計(jì)算路由；對于信令和網(wǎng)管數(shù)據(jù)，可根據(jù)路徑距離和安全等級參數(shù)計(jì)算路由，并預(yù)留所需最大帶寬。