[发明专利]基于一体化网络安全服务架构的信息分类隔离方法

说明书

技术领域

本发明涉及一种安全的网络路由交换技术，尤其是涉及一种基于一体化网络安全服务架构的信息分类隔离方法。

背景技术

随着信息化社会的不断发展演进，人们的通信需求已从单一的话音或数据通信向交互式多媒体信息通信发展，网络系统从分别服务的独立系统向话音、视频和数据统一服务的一体化网络发展。近年来，IP技术得到了迅猛发展，以IP技术为核心构建一体化网络已得到业界的共识。然而，通用IP网络存在的安全性问题已制约了一体化网络的快速发展。

IP协议设计的初衷是遵循开放和平等的原则，在网络安全方面并没有做过多的考虑，使得现行的IP协议体系结构中存在许多安全隐患。这些安全问题主要来自对IP技术的设计、管理、规划和应用。就IP技术本身而言，IP网络对承载的管理信息、控制信令和业务数据同等对待，没有清晰的用户和网络接口界面，导致相互影响。对网络安全和业务QoS的影响表现在：

1) 网络的正常运行极易受到用户行为的影响和干扰，异常的业务流量会造成系统信息拥塞或丢失，从而使系统瘫痪。

2) 任何用户终端都可以将IP分组直接发送到网络中的任意设备，对网络系统自身的安全造成极大威胁。

3) 网络中的系统信息和业务数据种类繁多，各类数据对于网络安全和QoS有不同的需求。在一种模式下同时满足不同需求会造成报文分类规则繁杂，区分服务实现困难，队列调度效率低下，最终将无法满足所有数据的安全和QoS需求。需要将数据分类并针对其特性进行处理。

4) 数据业务的突发性使网络流量、时延和抖动产生不确定性，网络难以为实时业务提供有效、稳定的QoS保证。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种基于一体化网络安全服务架构的信息分类隔离方法，将网络中的业务、控制和管理信息分类隔离，各类数据在网络中进行独立的路由交换和传输，具有独立的带宽资源和相应的QoS保证措施，各类数据各行其道，互不干扰。由于信令系统和网管系统在网络中相对独立的运行，不受业务流量和异常报文的影响，即使在网络业务严重拥塞时也能对系统实施有效控制。同时，也避免系统消息抢占业务带宽，影响业务的服务质量。

本发明的技术方案是：一种基于一体化网络安全服务架构的信息分类隔离方法，包括如下步骤：

第一步，对业务数据和系统信息进行独立的路由交换：

节点交换设备为各类信息数据的路由交换提供各自的路由表，并通过多个核心交换矩阵提供相对独立的分组交换；

第二步，在中继端口和用户端口为业务数据和系统信息建立专用的传输通道，并为每个传输通道预先分配带宽：

在路由交换节点间通过节点安全互连协议为实时业务、数据业务、会话连接信令和网络管理分别建立传输通道；节点间经相互认证后分别开启相应通道，并为每个传输通道预先分配带宽；节点间的分组数据通过节点安全互连协议封装，并在对应的传输通道中加密传输；

在用户终端和路由交换节点间通过用户安全接入协议为实时业务、数据业务、会话连接信令和设备管理分别建立传输通道；用户终端和业务经接入认证后先后开启相应通道，并为每个传输通道预先分配带宽；用户的各类分组数据通过用户安全接入协议封装，并在对应的传输通道中加密传输；

第三步，根据各个传输通道所传输数据的特性对数据实施相应的分类规则，并进行QoS标识和区分服务：

对实时业务通道和数据业务通道按用户优先级和业务类型进行分类，并用流标记或标签等价类进行QoS标识，对信令通道按协议类型进行QoS分类和标识，对数据业务通道按源目的IP地址、TCP/UDP端口号和ToS字段进行QoS分类和标识；

根据各个传输通道所传输数据的特性，实施相应的队列管理与调度：信令通道采用定制队列方式调度；实时业务通道和管理通道采用优先队列方式调度；数据业务通道根据业务的QoS需求，选择使用先入先出队列、优先队列和加权公平队列调度方式。

所述各类信息数据包括实时业务、数据业务、会话连接信令和网络管理信息数据。

所述进行独立的路由交换是指：对于有QoS需求的实时业务和数据业务可根据链路的QoS特性计算QoS路由，建立端到端的传输路径并预留资源；对于尽力而为的数据业务，可根据最短路径计算路由；对于信令和网管数据，可根据路径距离和安全等级参数计算路由，并预留所需最大带宽。