技術(shù)領(lǐng)域

本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)技術(shù)，特別是涉及一種在可信互聯(lián)網(wǎng)中進(jìn)行的服務(wù)質(zhì)量主動監(jiān)測的方法和系統(tǒng)。

背景技術(shù)

在當(dāng)今社會中，互聯(lián)網(wǎng)已經(jīng)成為現(xiàn)代社會最重要的信息基礎(chǔ)設(shè)施之一，社會對互聯(lián)網(wǎng)的依賴程度越來越大，對互聯(lián)網(wǎng)的安全可靠、互聯(lián)網(wǎng)應(yīng)用和信息的可信任性的要求越來越強(qiáng)。于是，基于真實(shí)地址尋址的可信任互聯(lián)網(wǎng)應(yīng)運(yùn)而生。可信任的下一代互聯(lián)網(wǎng)將重點(diǎn)解決下一代互聯(lián)網(wǎng)的更安全更可信問題，具有如下主要特征：

(1)確保網(wǎng)絡(luò)地址及其位置的真實(shí)可信

真實(shí)性：網(wǎng)絡(luò)基于真實(shí)IPv6地址訪問。

追查性：根據(jù)真實(shí)IPv6源地址可追查網(wǎng)絡(luò)地址的真實(shí)位置。

監(jiān)控性：根據(jù)網(wǎng)絡(luò)用戶實(shí)體的真實(shí)位置可監(jiān)測和控制網(wǎng)絡(luò)用戶實(shí)體的行為。

(2)增強(qiáng)網(wǎng)絡(luò)應(yīng)用實(shí)體的真實(shí)可信

身份可信性：真實(shí)IPv6源地址可增強(qiáng)網(wǎng)絡(luò)用戶實(shí)體身份的可信度。

應(yīng)用安全性：可支持安全可信的網(wǎng)絡(luò)應(yīng)用。

真實(shí)IPv6源地址尋址結(jié)構(gòu)在可信任的下一代互聯(lián)網(wǎng)的體系結(jié)構(gòu)中，屬于可信任網(wǎng)絡(luò)基礎(chǔ)設(shè)施層面，也是可信任網(wǎng)絡(luò)其他層次的基礎(chǔ)。從可信任的角度出發(fā)，真實(shí)IP地址訪問的問題實(shí)際上是地址的從屬關(guān)系問題，也就是說：實(shí)體發(fā)出的報文應(yīng)該只攜帶它擁有的地址，報文只應(yīng)該被擁有其源地址的實(shí)體發(fā)出。

統(tǒng)一的用戶標(biāo)識和安全服務(wù)在可信任下一代互聯(lián)網(wǎng)的體系結(jié)構(gòu)中，屬于真實(shí)地址訪問之上的安全服務(wù)層。該安全服務(wù)層作為基礎(chǔ)設(shè)施為應(yīng)用層提供的一種公共的安全服務(wù)層，利用并封裝底層基礎(chǔ)設(shè)施提供的可信任功能，為可信任下一代互聯(lián)網(wǎng)的典型應(yīng)用提供統(tǒng)一的標(biāo)識和認(rèn)證服務(wù)。基于真實(shí)地址的實(shí)體身份標(biāo)識、身份認(rèn)證、可信域名服務(wù)、密鑰管理服務(wù)是實(shí)現(xiàn)可信任安全服務(wù)的基本安全服務(wù)。

目前基于CNGI-CERNET2已經(jīng)部署了包含12個真實(shí)地址實(shí)驗(yàn)自治系統(tǒng)的可信任下一代互聯(lián)網(wǎng)試驗(yàn)床。

在可信互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施之上，可建立基于真實(shí)地址尋址的可信任互聯(lián)網(wǎng)的安全信任模型，并提供可信任互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)，目前的可信互聯(lián)網(wǎng)網(wǎng)絡(luò)服務(wù)包括了身份認(rèn)證系統(tǒng)、訪問控制系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)和網(wǎng)絡(luò)質(zhì)量被動測量系統(tǒng)。

其中，身份認(rèn)證系統(tǒng)用于實(shí)現(xiàn)真實(shí)用戶的識別認(rèn)證，包括對網(wǎng)絡(luò)實(shí)體的身份進(jìn)行全局標(biāo)識、認(rèn)證和授權(quán)管理，保證實(shí)體的真實(shí)性和可信任性。其中全局標(biāo)識的實(shí)現(xiàn)主要借鑒DNS系統(tǒng)、移動IP等現(xiàn)有技術(shù)的設(shè)計思想，強(qiáng)調(diào)系統(tǒng)的可擴(kuò)展性和分布式，突出更新速度和查找速度等方面的性能。在身份認(rèn)證方面，則在真實(shí)IPv6地址的基礎(chǔ)上，通過相應(yīng)的密鑰管理技術(shù)來實(shí)現(xiàn)，從而支持多管理域、多種應(yīng)用的統(tǒng)一用戶身份認(rèn)證和授權(quán)管理。該系統(tǒng)支持跨域的身份認(rèn)證，不同域用戶漫游，同時支持多種不同的應(yīng)用，為多種安全應(yīng)用提供統(tǒng)一的應(yīng)用開發(fā)接口。

訪問控制系統(tǒng)基于實(shí)體標(biāo)識和身份認(rèn)證技術(shù)，實(shí)現(xiàn)基于信任機(jī)制的動態(tài)訪問控制和資源管理技術(shù)，用于為上層安全應(yīng)用提供支持，具體支持可信電子郵件服務(wù)，可信BBS和網(wǎng)絡(luò)測量服務(wù)。該系統(tǒng)針對應(yīng)用系統(tǒng)的操作請求，根據(jù)從本地策略庫獲得的資源使用和訪問控制策略要求，驗(yàn)證可用憑證的可信性，并根據(jù)本地政策和可用憑證進(jìn)行信任計算和資源調(diào)度，以確定訪問是否可以進(jìn)行以及相應(yīng)的資源約束，并將控制結(jié)果交給相應(yīng)網(wǎng)絡(luò)服務(wù)來執(zhí)行。

網(wǎng)絡(luò)管理系統(tǒng)，用于保證網(wǎng)絡(luò)服務(wù)的提供，使網(wǎng)絡(luò)及其應(yīng)用有序工作。可信互聯(lián)網(wǎng)中的網(wǎng)管系統(tǒng)有別于普通網(wǎng)管系統(tǒng)，它將為網(wǎng)絡(luò)應(yīng)用和用戶需求要使用更為細(xì)致的動態(tài)管理，例如動態(tài)的帶寬調(diào)度，或一個網(wǎng)段中不同用戶的不同網(wǎng)絡(luò)服務(wù)質(zhì)量要求(帶寬、傳輸穩(wěn)定性、時延等等)，將現(xiàn)有的網(wǎng)絡(luò)性能管理提升到網(wǎng)絡(luò)服務(wù)質(zhì)量管理的高度，增加更為細(xì)致的網(wǎng)絡(luò)流量行為分析和網(wǎng)絡(luò)資源調(diào)度功能，以達(dá)到更合理、更靈活的資源使用效果。

網(wǎng)絡(luò)質(zhì)量被動測量系統(tǒng)采用被動測量方式，通過在網(wǎng)絡(luò)節(jié)點(diǎn)(如網(wǎng)關(guān))中部署探針，捕獲分析網(wǎng)絡(luò)流量，統(tǒng)計分析網(wǎng)絡(luò)性能，檢測異常流量。主動測量與被動測量是互相補(bǔ)充的關(guān)系。

由此可見，現(xiàn)有的可信互聯(lián)網(wǎng)僅能通過被動測量系統(tǒng)在網(wǎng)關(guān)處捕獲已產(chǎn)生的流量并據(jù)此進(jìn)行網(wǎng)絡(luò)質(zhì)量的分析，而無法獲得最能體現(xiàn)用戶感受的端到端的網(wǎng)絡(luò)和網(wǎng)絡(luò)業(yè)務(wù)的質(zhì)量，也無法獲得該網(wǎng)關(guān)下用戶未產(chǎn)生流量的目標(biāo)質(zhì)量。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的主要目的在于提供一種可信互聯(lián)網(wǎng)中的網(wǎng)絡(luò)質(zhì)量主動監(jiān)測方法和系統(tǒng)，能夠有效實(shí)現(xiàn)對端到端的網(wǎng)絡(luò)及網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量的監(jiān)測。

為了達(dá)到上述目的，本發(fā)明提出的技術(shù)方案為：

一種可信互聯(lián)網(wǎng)中的網(wǎng)絡(luò)質(zhì)量主動監(jiān)測方法，該方法包括以下步驟：