专利名称:实现一体化安全服务的网络系统的制作方法
技术领域:
本发明涉及一种实现一体化安全服务的网络系统。
背景技术:
随着信息化社会的不断发展演进,人们的通信需求已从单一的话音或数据通信向 交互式多媒体信息通信发展,网络系统从分别服务的独立系统向话音、视频和数据统一服 务的一体化网络发展。近年来,IP技术得到了迅猛发展,以IP技术为核心构建一体化网络 已得到业界的共识。然而,通用IP网络的安全性和QoS等问题制约了一体化网络的快速发展。
IP网络存在如下安全问题
IP协议设计的初衷是遵循开放和平等的原则,在网络安全方面并没有做过多的考虑, 使得现行的IP协议体系结构中存在许多安全隐患。这些安全问题主要来自对IP技术的设 计、管理、规划和应用。就IP技术本身而言,存在下列问题影响网络安全
1)网络对承载的管理信息、控制信令和业务数据同等对待,没有清晰的用户和网络接 口界面,导致相互影响。网络的正常运行极容易受到用户行为的影响和干扰,甚至被用户控 制。 2)用户IP地址和网络IP地址没有区分。任何用户终端都可以将IP分组直接发 送到网络中的任意设备。使用户终端对网络设备进行攻击成为可能。 3)用户自由接入网络,且缺乏有效的源地址检验。用户终端可以伪造源地址对网 络发起流量冲击或欺骗攻击,而无法追查。 4)用户业务缺少控制,无法监管,导致非法应用失控、泛滥。 5)IP分组明文传输,信息极易被窃听、篡改、仿冒,IP头有完整的源、目的地址信 息极易被非法利用、分析。 在传统IP网络中,一般采用叠加各类安全保密设备提高网络和业务的安全性。比 如网络隔离、防火墙、认证服务、入侵检测、漏洞扫描等安全设备,以及链路层、网络层和应 用层等保密设备。这种通过叠加方式构建的安全防护体系在一定程度上提高了网络和业务 的安全保密性能,但也存在一些问题
网络性能受限叠加的安全保密设备在网络中产生额外传输和管理开销,占用了部分 带宽资源,增加了业务数据的转发时延,对通信性能影响较大;并且相对于网络交换设备, 安全保密设备的分组转发率一般较低,缺乏相应的队列调度机制,使网络交换转发性能无 法充分发挥,易产生通信瓶颈,业务的QoS难以得到保证。
设备间难以协调工作各安全保密设备在网络中独立工作,分别在不同层面提供相应的安全保密功能。由于缺乏一体化的安全体系结构,各设备间形成了安全缝隙。例如 物理层与链路层的安全措施(如信道加密设备)无法解决网络层地址欺骗问题,网络层的安 全措施(如防火墙)无法识别和过滤应用层的恶意数据,而应用层的安全措施则对针对底层 基础设施的攻击无能为力。同时网络交换设备和安全保密设备间也缺乏必要联系,相互影 响,不能协调工作。而通过外部线缆的互连接口也存在安全缝隙,给网络安全带来隐患。
安全防护不全各设备的安全防护措施或策略随功能定位不同,其完备性和复杂 性各不相同,一方面造成部分安全功能重叠,降低了通信效能,另一方面各设备的安全策略 不易保持协调一致,互斥或遗漏的策略易造成网络通信异常或产生安全漏洞。在传统IP协 议体制下,安全防护措施难以有效融入到网络的各个层面,无法对业务通信的全过程进行 安全监控。另外,设备间通信采用通用的网络协议,固有的安全问题依然存在,自身的安全 防护能力较弱。 设备种类繁多、部署和管理方式各异、网络开通和使用维护困难品种繁多、功能 各异的安全保密设备不仅降低了网络运行的可靠性,而且消耗了大量的经费开支。安全保 密设备需根据不同的应用环境进行相应的部署规划,而且各类设备的配置、状态管理,以及 密钥管理和分发自成体系,策略配置和使用维护操作十分复杂,要求网络规划和管理维护 人员具备较高的专业技能。面对应用业务的不断扩展和层出不穷的安全威胁,需要不断修 订策略或设备升级,网络的持续发展和功能扩展受到限制。 NGN/MS架构可提供多业务应用及灵活便捷的应用扩展,已成为固定和移动网络 融合演进的基础。NGN/MS架构采用业务、控制、承载完全分离的水平架构,具有集中的用户 属性和接入无关等特性,支持用户移动性,提供灵活的IP多媒体业务和标准开放的业务接 口。但是,目前该架构体系中仍存在一些待解决的问题
1)承载层的QoS问题对IPQoS技术本身而言,InterServ和DiffServ服务模型在不 同层面为QoS提供了技术支撑。随着MPLS技术的发展和应用,为彻底解决IPQoS问题提供 了有效途径。然而,目前IP网络仍以数据业务为主,由于规模庞大,体制各异,标准不一,各 项QoS技术在IP网络中难以有效实施,发挥不出其设计性能,因此话音、视频等实时业务始 终得不到令人满意的QoS性能。另外,NGN控制层对承载层缺乏必要的、统一的控制,使不 同承载网为业务提供的QoS不一致。 2)安全性问题NGN主要以IP网络作为承载网,存在IP网络固有的安全性问题, 特别是控制层的安全对通信业务的影响较大。在目前NGN架构中涉及的安全措施是远远不 够的,需要从体制上解决控制层安全性问题。 3)端到端的连接问题多种业务的融合使不同终端接入到网络中。由于终端标识 在网络中的标识存在差异,比如电话终端使用电话号码、计算机终端使用IP地址,甚至部 分终端使用用户编号作为标识,不同终端间如何建立会话,实现互联互通成为首先需要解 决的问题。而用户网与公网边缘的NAT以及用户移动使端到端的连接变得更为复杂。因此 需要统一的会话连接控制机制实现端到端的连接,并通过统一的转换机制实现终端标识与 网络地址的映射,从而完成路由寻址。 4)网络互联互通问题由于NGN技术本身在不断发展,协议本身也需要根据业务 需求不断完善和补充。目前相同或类似功能的协议还未能统一,协议间的兼容性使网络的 互联互通还存在缺陷。
5)网络和业务的管理问题随着业务和用户量的增多,网络管理变得越来越复 杂,除性能、配置、故障和计费管理外,还应具备统一的网络安全和QoS等管理机制。而对用 户的业务带宽、业务QoS、业务功能、业务安全等级等管理也需要加强。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种实现一体化安全服务的网络系 统,通过网络安全和网络服务一体化设计,构建安全和QoS有保证的、可承载多业务的网络 平台。 本发明的技术方案是一种实现一体化安全服务的网络系统,包括信息分类隔离 体系、综合业务服务体系、服务质量保证体系、综合安全防护体系和综合网络管理体系;
所述信息分类隔离体系为网络中的各类信息提供独立的路由交换;在用户接入、路 由交换、中继传输、QoS保证、安全保密的各个环节对业务数据、信令消息和网管信息进行分 类处理,实现业务、控制和管理信息在网络中的分类隔离;分类隔离的信息数据在网络中具 有独立的带宽资源,以及独立的路由交换和QoS保证措施;在终端与交换节点间以及交换 节点间具有相对独立的传输通道;
所述综合业务服务体系采用安全会话连接协议,实现业务准入控制功能、实现业务传 输通路建立控制功能、名址关系映射功能、密钥分发承载功能、QoS接纳控制功能和安全防 护功能;
所述服务质量保证体系提供端到端有连接的服务;对业务、控制和管理层面的数据 进行区分服务;对网络中的数据流进行流量监管;通过QoS路由动态地发现满足服务质量 需求的最优路径,实现流量工程;通过QoS接纳控制对业务的会话连接进行接纳控制;
所述综合安全防护体系包括信息分类隔离、网络边界防护、应用业务准入控制和数据 加密保护措施的采用,所述信息分类隔离是指对网络的用户端口 、网络中继端口 、管理端口 的属性进行区分,使用户终端从用户端口接入,其信令消息和管理信息只能转发给接入节 点的连接控制器和网管代理,业务数据只能在业务层面进行交换转发;网络交换设备对业 务、控制和管理数据进行独立的路由交换,中继线路为业务、控制和管理数据分别建立独立 的传输通道,各通道间互不干扰;所述网络边界防护是指通过用户安全接入协议,对用户终 端的接入进行合法性鉴别,用户业务数据的传输链路在控制层的连接控制下实时建立,业 务结束后拆除;所述应用业务准入控制是指在会话连接过程中,控制层的连接控制对信令 进行真实性验证,在会话连接控制下为业务数据建立端到端的传输通路;
所述综合网络管理体系采用分级管理、逐级汇总、集中控制的管理方式,实现分区分 权管理。 与现有技术相比,本发明的积极效果是本发明通过网络安全和网络服务一体化 设计,构建安全可信及多元化服务的网络平台。 —体化网络安全是将安全防护措施融入到网络通信的各个层面,相互配合,相互 支撑,确保安全性能和通信效能。 一体化网络安全主要体现在信息的分类隔离将业务、控 制和管理等信息相互隔离,各类信息在网络中具有独立的路由交换、传输带宽、QoS保障和安全防护措施,可有效保证网络系统自身的安全;用户的安全接入对终端设备进行接入认 证,实现名址转换,对业务数据进行完整性和抗重放等安全防护,可有效提高网络边界的安 全防护能力;节点的安全互连对互连节点的合法性进行认证,对节点间的数据进行完整性 和抗重放等安全防护,可有效阻止非法节点接入网络;业务的准入控制对用户身份和权限 进行认证,并在网络入口对业务的会话连接、类型、流量等进行控制,可有效阻止非法数据 进入网络。 —体化网络服务支持话音、视频和数据等综合业务,保证各类业务的QoS。在统一 的业务会话控制下,网络提供三种承载服务有连接、有QoS保证的服务,适用于实时业务; 有连接的服务,适用于即时通信及P2P等业务;尽力而为的服务,适用于一般数据业务;通 过信息分类隔离,网络可为各类业务提供相对独立的网络环境,业务间相互隔离,并针对各 类数据的特点提供相应的QoS保障;业务会话控制分配名址映射关系,与网络路由交换相 配合实现名址分离, 一方面提高了网络和业务的安全性能,另一方面可支持移动和组播等 应用。
具体实施例方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥 的特征和/或步骤以外,均可以以任何方式组合。 本说明书(包括任何附加权利要求、摘要和附图
)中公开的任一特征,除非特别叙 述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只 是一系列等效或类似特征中的一个例子而已。 —种一体化网络的安全服务系统,应满足用户对应用业务和安全保密的需求,保 证通信业务的服务质量,确保网络系统的安全保密性能。包括分类隔离网络、综合业务服 务、服务质量保证、综合安全防护和综合网络管理五个基本技术体系。分类隔离网络技术体 系为业务、控制和管理等信息提供相对独立的路由交换和传输服务;综合业务服务技术体 系实现业务的会话连接控制,提供多种应用服务,同时具备应用业务的扩展能力;服务质量 保证体系通过综合运用多种措施为话音、视频等实时业务提供良好的通信质量保障,提高 系统整体的服务性能;综合安全防护技术体系融入到业务、网络和管理的各个层面,各项安 全防护措施相互关联、协调一致,确保业务和网络的安全;综合网络管理技术体系负责对网 络、设备和业务实施全面、统一、有效的管理。
1)分类隔离网络技术体系
结合IP和MPLS的技术优势,实现大容量、高带宽的分组路由交换,以支撑话音、视频 和数据等综合业务;同时,为保证网络安全和服务质量,系统在用户接入、路由交换、中继传 输、QoS保证、安全保密等各个环节对业务数据、信令消息和网管信息进行分类处理,实现 业务、控制和管理信息在网络中的分类隔离;分类隔离的信息数据在网络中具有独立的带 宽资源,以及独立的路由交换和QoS保证措施;在终端与交换节点间以及交换节点间具有 独立的传输通道,各类数据各行其道,互不干扰;为不同的业务系统构建相对独立的网络环 境,在统一的网络基础平台上,业务层面可进一步划分为多个业务子层,构成多个不同规模和拓扑结构的独立子网。子网间的应用业务可以是独立的,互不影响,也可以在受控条件下 互通。比如,实时业务子网承载话音、视频等实时业务;数据业务子网A承载点到点计算机 通信业务;数据业务子网B承载Web浏览业务等。系统为各子网建立独立的传输通道,分配 独立的地址和带宽资源,进行独立的路由交换和QoS保证。
2 )综合业务服务技术体系
参考NGN架构模型,遵循业务、控制与承载相互分离的设计思想,提供话音、视频和数 据等业务的综合服务能力,支持移动接入和组播业务
控制层主要完成会话连接控制,实现基本的电话呼叫和会话连接功能;业务层主要提 供业务、认证、策略、数据库等服务;传送层的接入子层主要实现多媒体终端、计算机局域 网、宽带拨号、宽带无线等宽带用户的接入,以及电话网、移动网的接入;传送层的承载子层 为信令和业务提供独立的承载服务;综合业务服务技术体系使业务独立于网络,为未来快 速、灵活、有效地提供新业务创造有利环境。
连接控制是综合业务服务体系的核心功能,主要完成以下功能
会话连接控制功能完成基本的和增强的会话连接流程。
号码或地址解析功能完成对用户呼叫的电话号码或其它地址信息的解析,根据 号码进行路由分析,查找被叫节点或重定向。
互通功能通过信令网关完成对现有网络的信令或协议的转换和流程控制。
媒体网关控制负责完成对媒体网关的链路状态、时隙资源和复分接功能等控制, 对终端接入媒体网关的用户信令和业务的收发控制。
协议(信令)适配功能负责对现有网络协议进行适配和传送。 业务管理完成对业务状态的记录,包括用户号码或地址、通信时间、失败原因等, 向网管系统提供业务管理的相关数据。 —体化网络安全服务架构对各类业务进行统一的会话连接控制。在分组网络中, 呼叫控制一般采用SIP协议实现。SIP协议简单灵活,扩展性强,具备终端检测能力、在线检 测、支持移动性、组播等能力,被指定为第三代网络的控制协议,应用已十分广泛。为实现网 络安全和网络服务一体化,系统借鉴SIP协议的基本设计思想和流程,并结合控制层功能 扩展的要求,对SIP协议进行优化和补充,融入安全性设计,形成专用的安全会话连接协议 (简称SCLP协议),具体内容包括
(1)业务准入控制功能会话控制对通信双方进行合法性认证,控制网络入口为该业 务开启或关闭传输通道和路由交换服务。 (2)业务传输通路建立控制功能会话控制向网络申请建立承载业务数据的传输 通路。根据业务的QoS需求,主要包括三种基本类型的路径有连接和QoS保证的路径,适 用于实时业务;有连接、无QoS保证的路径,适用于即时通信及P2P等业务;无连接、尽力而 为的路径,适用于一般数据业务。另外,根据业务对QoS需求还可为业务申请建立最小时 延、最大带宽或最小开销等QoS特性的传输通路。 (3)名址关系映射功能会话连接过程中,确定终端标识、用户标识和业务标识与 网络地址的映射关系,并提供给用户端口进行名址转换,实现名址分离。在每次会话连接时 可为用户端口自动分配网络地址用于路由寻址,在业务结束后失效。
(4)密钥分发承载功能会话控制信令中可携带相关密钥分发协议数据,在会话建立过程中完成密钥分发,以降低保密业务的会话建立时间,提高密钥分发效率和安全性。
(5) QoS接纳控制功能根据当前的网络资源情况和业务的QoS需求实现业务的接 纳。执行相关QoS策略,比如高优先级用户的资源抢占等。
(6)安全防护功能完成呼叫连接协议报文的合法性鉴别,确保控制层的安全。
3 )服务质量保证技术体系
在一体化网络安全服务架构下,通过信息分类隔离,网络将不同业务承载在相互独立 的交换传输通道上。根据业务QoS需求,各通道上可综合运用多种QoS技术提供有效的服 务质量保障;并通过统一部署的QoS策略,使各项服务质量保障措施相互配合、有效运行。
端到端有连接的服务是保障实时业务QoS的基本条件。系统为通信双方建立端到 端有连接的、有质量保证的传输通道。业务数据流在该路径上进行数据交换和传输,从而保 证业务数据流以相对稳定的传输特性按序到达。 分类区分服务是对业务、控制和管理层面的数据分别进行相应的区分服务。每个 层面可根据消息类别、数据类型和优先级等数据特性进行各自的区分服务。通过相应的队 列调度算法,使各类数据流按先期约定占用系统资源。 为保证网络实际承载的数据流量符合事先约定的资源分配,避免异常流量强占网
络资源,系统对网络中的数据流进行流量监视和限制。流量监管通过配置策略对过载流量
进行丢弃,保证话音、视频等高优先级的业务数据流得到正常转发处理。 QoS路由是实现业务服务质量保证,提高网络整体服务性能的重要条件。QoS路由
根据网络资源的使用情况,动态地发现满足服务质量需求的最优路径。QoS路由为流量工程
提供路由基础,实现业务流量在网络中合理分布,从而降低网络拥塞概率,增强网络吞吐性
能,提高网络资源的利用率。 资源统计分配是通过QoS测量与统计实现对系统资源合理有效的控制与利用。 QoS测量与统计的对象包括流量、误码率、丢包率和异常报文等。根据测量与统计结果生成 各类QoS参数,实现对系统资源的控制。 QoS接纳控制是根据网络当前资源情况和业务的QoS需求,对业务的会话连接进 行接纳控制,避免超过承载能力的业务流量进入网络。系统主要着力于综合运用各种技术, 通过统一设计和统一管理,将QoS技术转变为一种端到端的业务传输平台,以满足对业务 服务质量的要求。 4)综合安全防护技术体系
一体化网络安全服务架构立足于从系统体制上解决网络安全问题。安全保密的各项措 施有效融入到网络中各个设备和各个层面中,相互之间紧密配合,以增强安全防护性能,提 高网络资源利用率,保证业务服务质量,实现统一的控制和管理。综合安全防护体系主要包 含信息分类隔离、网络边界防护、应用业务准入控制和数据加密保护等方面
(1)信息分类隔离
网络的用户端口、网络中继端口、管理端口的属性严格区分。用户终端从用户端口接 入,其信令消息和管理信息只能转发给接入节点的连接控制器和网管代理,而业务数据只 能在业务层面进行交换转发。用户终端不能访问网络中的其它层面的设备或地址。网络交 换设备对业务、控制和管理等数据进行独立的路由交换,互不影响。中继线路上为业务、控 制和管理数据分别建立独立的传输通道,每个通道具有独立的带宽资源,通道间相互隔离。[OO47] (2)网络边界防护
网络边界是系统安全防护体系设计的重点,将通过用户安全接入协议(简称USAP协 议)实现。USAP协议负责对用户终端的接入进行合法性鉴别,杜绝非法终端接入。鉴别过 程周期性维护。 USAP协议对用户线路上的业务、信令和管理数据传输链路进行隔离,并与网络中 继线路上的传输通道对应。用户业务数据的传输链路在控制层的连接控制下实时建立,业 务结束后拆除。用户线路上经USAP协议封装承载的数据具备完整性和抗重放的安全防护 能力,可防止从用户线路上插入攻击报文。 通过USAP协议可实现终端标识与网络地址分离。用户终端在网络中的地址(即交 换设备用户端口的路由地址)只呈现在网络内部,在每次通信时由网络自动分配。USAP建 立并维护此次业务与终端标识、网络地址的绑定关系,交换设备负责根据该绑定关系完成 终端标识与网络地址的转换。由于网络对用户透明,网络边界的安全得到了有效保证。
网络节点间的安全将通过节点安全互连协议(简称NSIP协议)实现。节点间互连 必须经过合法性鉴别,杜绝非法节点接入。同时,中继干线上经NSIP协议封装承载的数据 具备完整性和抗重放的安全防护能力。
(3)应用业务准入控制
应用业务受会话连接的控制,对未完成呼叫连接的业务数据,网络拒绝承载。在会话连 接过程中,控制层的连接控制对信令进行真实性验证,防止非法终端或节点的信令攻击。为 保证业务安全,系统在会话连接控制下为业务数据建立端到端的传输通路,在网络中的路 径可由源节点根据链路的QoS特性选择,也可通过网管配置指定路由或策略路由。用户的 业务数据在该传输通路上进行传输和交换转发,拒绝传输通路外的数据进入。
(4)数据加密保护
业务数据和系统信息加密保护是确保业务和网络安全的重要手段。对用户业务数据实 施端到端的全程加密,在网络传输过程中密码不落地,确保通信业务的机密性。对中继干线 上的所有数据加密保护,不仅对业务数据进行了二次加密保护,增强了业务的保密强度,而 且对节点间信令和网络协议消息进行了加密保护,增强了网络系统的安全防护能力。
5)综合网络管理技术体系
网络管理系统实现对网络、设备、业务和用户的统一管理,采用分级管理、逐级汇总、集 中控制的管理方式,实现分区分权管理。网络管理系统包括网络资源管理、应用业务管理、 用户属性管理等子系统,提供配置管理、故障管理、性能管理、拓扑管理、业务管理、安全管 理和QoS管理等管理功能。 本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披露的 新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
9
权利要求
一种实现一体化安全服务的网络系统,其特征在于包括信息分类隔离体系、综合业务服务体系、服务质量保证体系、综合安全防护体系和综合网络管理体系;所述信息分类隔离体系为网络中的各类信息提供独立的路由交换;在用户接入、路由交换、中继传输、QoS保证、安全保密的各个环节对业务数据、信令消息和网管信息进行分类处理,实现业务、控制和管理信息在网络中的分类隔离;分类隔离的信息数据在网络中具有独立的带宽资源,以及独立的路由交换和QoS保证措施;在终端与交换节点间以及交换节点间具有相对独立的传输通道;所述综合业务服务体系采用安全会话连接协议,实现业务准入控制功能、实现业务传输通路建立控制功能、名址关系映射功能、密钥分发承载功能、QoS接纳控制功能和安全防护功能;所述服务质量保证体系提供端到端有连接的服务;对业务、控制和管理层面的数据进行区分服务;对网络中的数据流进行流量监管;通过QoS路由动态地发现满足服务质量需求的最优路径,实现流量工程;通过QoS接纳控制对业务的会话连接进行接纳控制;所述综合安全防护体系包括信息分类隔离、网络边界防护、应用业务准入控制和数据加密保护措施的采用,所述信息分类隔离是指对网络的用户端口、网络中继端口、管理端口的属性进行区分,使用户终端从用户端口接入,其信令消息和管理信息只能转发给接入节点的连接控制器和网管代理,业务数据只能在业务层面进行交换转发;网络交换设备对业务、控制和管理数据进行独立的路由交换,中继线路为业务、控制和管理数据分别建立独立的传输通道,各通道间互不干扰;所述网络边界防护是指通过用户安全接入协议,对用户终端的接入进行合法性鉴别,用户业务数据的传输链路在控制层的连接控制下实时建立,业务结束后拆除;所述应用业务准入控制是指在会话连接过程中,控制层的连接控制对信令进行真实性验证,在会话连接控制下为业务数据建立端到端的传输通路;所述综合网络管理体系采用分级管理、逐级汇总、集中控制的管理方式,实现分区分权管理。
全文摘要
本发明公开了一种实现一体化安全服务的网络系统,包括数据传送的分类隔离、应用业务的安全保密和QoS保证、网络系统的综合安全防护和网络管理。本发明的积极效果是本发明将网络系统的数据传送、安全防护和应用服务一体化设计,构建安全高效、有QoS保证、可承载多种业务的网络平台一体化网络安全是将安全防护措施融入到网络通信的各个层面,相互配合,相互支撑,确保安全性能和通信效能;一体化网络服务支持话音、视频和数据等综合业务,保证各类业务的安全和QoS。
文档编号H04L29/12GK101771619SQ201010125028
公开日2010年7月7日 申请日期2010年3月16日 优先权日2010年3月16日
发明者周俊, 王强, 王文胜 申请人:中国电子科技集团公司第三十研究所