[发明专利]基于一体化网络安全服务架构的信息分类隔离方法

摘要

本发明公开了一种基于一体化网络安全服务架构的信息分类隔离方法，将网络中的业务、控制和管理信息分类隔离，各类数据在网络中进行独立的路由交换和传输，具有独立的带宽资源和相应的QoS保证措施，各类数据各行其道，互不干扰。本发明的积极效果是：由于信令系统和网管系统在网络中相对独立的运行，不受业务流量和异常报文的影响，即使在网络业务严重拥塞时也能对系统实施有效控制。同时，也避免系统消息抢占业务带宽，影响业务的服务质量。

主权项

一种基于一体化网络安全服务架构的信息分类隔离方法，其特征在于：包括如下步骤：第一步，对业务数据和系统信息进行独立的路由交换：节点交换设备为各类信息数据的路由交换提供各自的路由表，并通过多个核心交换矩阵提供相对独立的分组交换；第二步，在中继端口和用户端口为业务数据和系统信息建立专用的传输通道，并为每个传输通道预先分配带宽：在路由交换节点间通过节点安全互连协议为实时业务、数据业务、会话连接信令和网络管理分别建立传输通道；节点间经相互认证后分别开启相应通道，并为每个传输通道预先分配带宽；节点间的分组数据通过节点安全互连协议封装，并在对应的传输通道中加密传输；在用户终端和路由交换节点间通过用户安全接入协议为实时业务、数据业务、会话连接信令和设备管理分别建立传输通道；用户终端和业务经接入认证后先后开启相应通道，并为每个传输通道预先分配带宽；用户的各类分组数据通过用户安全接入协议封装，并在对应的传输通道中加密传输；第三步，根据各个传输通道所传输数据的特性对数据实施相应的分类规则，并进行QoS标识和区分服务：对实时业务通道和数据业务通道按用户优先级和业务类型进行分类，并用流标记或标签等价类进行QoS标识，对信令通道按协议类型进行QoS分类和标识，对数据业务通道按源目的IP地址、TCP/UDP端口号和ToS字段进行QoS分类和标识；根据各个传输通道所传输数据的特性，实施相应的队列管理与调度：信令通道采用定制队列方式调度；实时业务通道和管理通道采用优先队列方式调度；数据业务通道根据业务的QoS需求，选择使用先入先出队列、优先队列和加权公平队列调度方式。