專利名稱:網間互聯(lián)協(xié)議網絡安全保障方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信領域����,特別涉及網際協(xié)議網絡安全技術。
背景技術:
隨著網間互聯(lián)協(xié)議(Internet Protocol����,簡稱“IP”)網絡技術的不斷發(fā)展��,其實際應用日益廣泛�����,IP網絡逐漸開始承載具有電信級服務質量和安全性要求的業(yè)務��。因此�,IP網絡的安全性越來越得到人們的關注���。
眾所周知�,IP網絡是一個沒有安全性保障的網絡��,這種不安全性是由于IP網絡的面向無連接的體系架構所決定的�。用面向連接方式進行端到端通信之前�,必須先通過信令建立端到端的連接,分配好網絡物理或邏輯資源����,然后才能進行通信;而采用面向無連接的工作方式在端到端展開業(yè)務應用之前無須先通過信令來建立連接��,直接可以進行通信。對于電信級業(yè)務而言���,端到端通信安全性的關鍵是建立端到端之間的信任關系����。在面向連接的工作方式中是在連接建立時確定信任關系的�����,而面向無連接的工作方式則需要在通信過程中確定信任關系����。
多協(xié)議標簽交換(MultiProtocol Label Switching,簡稱“MPLS”)最初是為提高路由器的轉發(fā)速度而提出的一個協(xié)議�,MPLS協(xié)議的關鍵是引入了標簽的概念。它是一種短的易于處理的����、不包含拓撲信息、只具有局部意義的信息內容�����。標簽短是為了易于處理,通?�?梢杂盟饕苯右?���。只具有局部意義是為了便于分配。由于MPLS在流量工程和虛擬專用網兩項目前IP網絡中非常關鍵的技術中表現(xiàn)�����,它已日益成為擴大IP網絡規(guī)模的重要標準����。
在目前的IP網絡上,由于安全性要求低的一般業(yè)務(主要指Internet業(yè)務�,如Web瀏覽、普通查詢等)與安全性要求高的業(yè)務(主要指電信級業(yè)務�����,如語音和視頻點播等業(yè)務)混雜在一起��,沒有進行很好的隔離��,因此電信級業(yè)務的安全性沒有很好的保障�。這種不安全性主要體現(xiàn)在無法防止不受信任的用戶接入電信級業(yè)務承載網,不能抵抗不受信任的用戶發(fā)起的惡意攻擊�����。要建立一個有安全性保障的IP網絡�,對普通的Internet業(yè)務和電信級業(yè)務進行隔離是一項關鍵技術。
在現(xiàn)有的技術中�,主要通過以下幾種途徑進行業(yè)務隔離一種是物理層隔離。在這種方式下��,普通Internet業(yè)務和電信級業(yè)務分別承載在不同的物理媒體或邏輯通道上���。這種方式雖然能很好地對不同等級業(yè)務進行隔離����,但缺點在于其局限性大��,使用不靈活�����。
第二種是鏈路層隔離���。如通過虛擬局域網(Virtual Local Area Network���,簡稱“VLAN”)����、永久虛擬電路(Permanent Virtual Circuit��,簡稱“PVC”)及第二層隧道協(xié)議(Layer 2 Tunneling Protocol�����,簡稱“L2TP”)等技術進行業(yè)務隔離�����。這些技術可以在鏈路層上實現(xiàn)隔離�����,相對于物理層隔離要靈活一些���。其中VLAN技術是目前最常用的隔離技術���。VLAN技術能使普通Internet業(yè)務和電信級業(yè)務分屬不同的VLAN,可在鏈路層實現(xiàn)邏輯隔離���。但是這種技術一般局限在靠近用戶的二層接入網絡上��。
第三種是網絡層隔離����。這種方式采用策略路由器或應用網關技術實現(xiàn)對不同等級業(yè)務的隔離�����。這些技術根據三層以上的信息對不同業(yè)務進行識別�,使用訪問控制列表對不同的信息流進行邏輯上的隔離和分流,從而達到業(yè)務隔離的目的��。這種方式比較靈活����,但其仍然采用面向無連接的方式。
在實際應用中����,上述方案存在以下問題以上三種方案都無法有效防止非法用戶接入電信級業(yè)務的的邏輯承載網,因而無法保證其安全性�����。
造成這種情況的主要原因在于,沒有采用業(yè)務的邏輯隔離技術以及面向連接技術��,故沒有專用的邏輯通道傳送需要安全性保證的電信級業(yè)務����。
發(fā)明內容
有鑒于此,本發(fā)明的主要目的在于提供一種網間互聯(lián)協(xié)議網絡安全保障方法及系統(tǒng)��,使得能夠更加有效地解決IP網絡易受攻擊的問題��,從而使電信級業(yè)務可以承載于安全的IP網絡之上��。
為實現(xiàn)上述目的�,本發(fā)明提供了一種網間互聯(lián)協(xié)議網絡安全保障方法,用于防止非法用戶訪問承載電信業(yè)務的邏輯承載網����,所述方法包含以下步驟A業(yè)務服務器向資源管理器發(fā)送第一請求,請求在所述邏輯承載網中建立主叫和被叫用戶之間的業(yè)務流路徑�;B所述資源管理器響應所述第一請求,在所述邏輯承載網中選擇所述主叫用戶所在的第一骨干網邊緣路由器和所述被叫用戶所在的第二骨干網邊緣路由器之間的一條業(yè)務流路徑�����;C所述資源管理器根據所述業(yè)務流路徑��,向所述第一和第二骨干網邊緣路由器發(fā)送配置請求信息;D所述第一和第二骨干網邊緣路由器分別根據所述配置請求信息�,建立流分類表項,并僅對符合所述流分類表項的業(yè)務流在所述邏輯承載網中進行轉發(fā)���。
其中��,所述步驟A中的第一請求包含業(yè)務呼叫所需帶寬、所述主叫和被叫用戶的位置信息�。
所述步驟C中的所述配置請求信息中包含業(yè)務流參數(shù)、安全等級參數(shù)�、服務質量參數(shù)以及路由信息。
所述業(yè)務流路徑是標簽交換路徑�����。
所述步驟B中�,所述資源管理器根據業(yè)務流信息、所述邏輯承載網當前的資源狀況���,以及所述呼叫請求中的呼叫所需帶寬��、主叫和被叫用戶的位置信息���,判斷所述邏輯承載網是否有足夠資源提供所述業(yè)務流路徑���,如果是,則執(zhí)行步驟C�����,否則�,拒絕呼叫。
所述步驟A還包含以下子步驟A1所述主叫用戶向所述業(yè)務服務器發(fā)送業(yè)務呼叫請求����;A2所述業(yè)務服務器響應所述業(yè)務呼叫請求,協(xié)商所述業(yè)務呼叫所需的邏輯承載網資源��;A3所述業(yè)務服務器對所述業(yè)務請求進行分析��,確定服務質量����、安全等級參數(shù);A4所述業(yè)務服務器根據分析結果�����,向資源管理器發(fā)送所述第一請求,請求在所述邏輯承載網中建立所述主叫和被叫用戶之間的業(yè)務流路徑��。
所述業(yè)務服務器是軟交換設備�����。
還包含以下步驟E 當業(yè)務結束時����,所述業(yè)務服務器向所述資源管理器發(fā)送業(yè)務結束通知,所述資源管理器刷新所述邏輯承載網的資源狀態(tài)�,并發(fā)送命令通知所述骨干網邊緣路由器撤消所述業(yè)務流信息�。
本發(fā)明還提供了一種網間互聯(lián)協(xié)議網絡安全保障系統(tǒng),用于防止非法用戶訪問承載電信業(yè)務的邏輯承載網�,所述系統(tǒng)包含業(yè)務服務器、資源管理器����、邏輯承載網、骨干網邊緣路由器����,其中,所述業(yè)務服務器用于處理收到的業(yè)務呼叫�,并根據處理結果向所述資源管理器發(fā)送第一請求,請求在所述邏輯承載網中建立主叫和被叫用戶之間的業(yè)務流路徑���;所述資源管理器用于統(tǒng)一管理邏輯承載網中的資源���,并響應所述第一請求��,在所述邏輯承載網中選擇所述主叫用戶所在的第一骨干網邊緣路由器和所述被叫用戶所在的第二骨干網邊緣路由器之間的一條業(yè)務流路徑�����;并且根據所述業(yè)務流路徑����,向所述第一和第二骨干網邊緣路由器發(fā)送配置請求信息���;
所述邏輯承載網由基礎網絡中的路由器以及連接它們的標簽交換路徑組成�,用于承載電信業(yè)務的業(yè)務流����;所述骨干網邊緣路由器用于根據所述配置請求信息,建立流分類表項�����,并僅對符合所述流分類表項的業(yè)務流在所述邏輯承載網中進行轉發(fā)。
其中����,所述邏輯承載網是網間互聯(lián)協(xié)議v4網絡或網間互聯(lián)協(xié)議v6網絡。
通過比較可以發(fā)現(xiàn)��,本發(fā)明的技術方案與現(xiàn)有技術的區(qū)別在于��,通過采用邏輯隔離和面向連接技術��,為需要安全性保證的電信級業(yè)務的主被叫之間建立專用的邏輯業(yè)務流通道���。當業(yè)務流到達PE時�,根據流分類表中的表項分發(fā)到相應的邏輯承載網上傳送�,而對于流分類表中不存在對應表項的業(yè)務流,則作為普通Internet業(yè)務進行轉發(fā)����。
這種技術方案上的區(qū)別�,帶來了較為明顯的有益效果,即方便地實現(xiàn)了對業(yè)務流的邏輯隔離和分類傳送�,為不同的業(yè)務流提供了專用的可靠LSP通路,從而從根本上保障了電信業(yè)務的安全性����,有效地防止惡意攻擊�����。
圖1是根據本發(fā)明的一個實施例的IP網絡安全性保障系統(tǒng)的邏輯結構圖����;圖2是根據本發(fā)明的一個實施例的IP網絡安全性保障方法流程圖�。
具體實施例方式
為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚���,下面將結合附圖對本發(fā)明作進一步地詳細描述��。
圖1示出了根據本發(fā)明的一個實施例的IP網絡安全性保障系統(tǒng)的邏輯結構圖�����。
如圖1所示�����,在本發(fā)明的一個實施例中����,IP網絡安全性保障系統(tǒng)邏輯上由下至上劃分為邏輯承載層10、承載控制層20和業(yè)務控制層30��。
邏輯承載層10由邏輯承載網40和50構成�����,在本實施例中�����,它們可以是網間互聯(lián)協(xié)議v4網絡或網間互聯(lián)協(xié)議v6網絡���。邏輯承載網40和50是利用MPLS標簽交換路徑(Label Switch Path�,簡稱“LSP”)技術在運營商的物理IP網絡上預先規(guī)劃和配置好的����,用于承載特定業(yè)務類型或特定安全等級的IP業(yè)務包(如語音業(yè)務、視頻業(yè)務等)���。邏輯承載網40和50分別對應于不同安全等級的業(yè)務類別,安全等級的劃分可以參照服務質量(Quality ofService����,簡稱“QoS”)DiffServ標準規(guī)定的業(yè)務類別EF���、AF1、AF2等����,服務質量越高,安全等級越高���,當然為了方便也可以采用同一的安全等級�����。各個業(yè)務之間邏輯上相互隔離��,而且它們與普通Internet業(yè)務也是邏輯隔離的�����,不在邏輯承載網中的普通Internet業(yè)務得不到安全保障��。需要說明的是����,各個邏輯承載網雖然邏輯上完全獨立���,但是可以共用一個或多個物理設備���。邏輯承載網40包含骨干網邊緣路由器(Provider Edge Router���,簡稱“PE”)11和14、中繼路由器12和核心路由器13以及連接它們的LSP15���。假定PE11為入口路由器�,PE14為出口路由器����,MPLS為每個來到PE11的IP包加上一個固定長度的標簽,中繼路由器12和核心路由器13根據包頭的標簽值進行標簽交換��,作出本地轉發(fā)決定���,在PE14再恢復成原來的包��。從入口到出口的一系列標簽交換和轉發(fā)決定操作就形成了LSP15�。在本發(fā)明中�,PE11和PE14除了完成一般的MPLS標簽添加和刪除功能之外,還要根據資源管理器(Resource Manager�����,簡稱“RM”)21下發(fā)的配置信息請求建立流分類表��,并僅對符合表項的業(yè)務流在相應的邏輯承載網中進行轉發(fā)�。
承載控制層20由RM21和22構成,負責管理邏輯承載層10的網絡資源(包括帶寬��、處理器和Buffer等)以及對每條業(yè)務流的業(yè)務申請進行資源允許控制���、資源分配和選路���,滿足業(yè)務流的安全要求和QoS要求等。當RM21收到業(yè)務服務器31發(fā)送的請求后���,在邏輯承載網40選擇主叫用戶所在的PE11和被叫用戶所在的PE14之間的業(yè)務流路徑LSP15�,并且根據LSP15向PE11和PE15發(fā)送配置請求信息�����。
業(yè)務控制層30由業(yè)務服務器31和32構成���。業(yè)務服務器31和32用于處理發(fā)自主叫用戶的業(yè)務呼叫請求�����,并根據處理結果請求RM21或者RM22在邏輯承載網40和邏輯承載網50中建立主叫和被叫用戶之間的業(yè)務流路徑LSP����。常用的業(yè)務服務器有處理IP電話(Voice over IP,簡稱“VoIP”)/可視電話等實時通訊呼叫信令的軟交換機�,用戶視頻點播(Video on Demand,簡稱“VoD”)服務器等設備���。
需要說明的是���,圖1中的物理實體以及連接關系可以根據網絡配置和業(yè)務需求作相應的增刪和修改。
接下來結合圖2����,進一步描述根據本發(fā)明的一個實施例的IP網絡安全性保障方法。
如圖2所示����,首先在步驟101,業(yè)務服務器31接收到發(fā)自主叫用戶的業(yè)務呼叫請求后��,向RM21發(fā)送請求,請求在邏輯承載網40中建立主叫和被叫用戶之間的LSP15業(yè)務流通路�。需要說明的是,在軟交換架構中���,業(yè)務服務器屬于應用層實體,只負責業(yè)務相關邏輯的處理��,不負責承載控制以及傳輸��。業(yè)務服務器31向RM21發(fā)送的請求消息中包含呼叫所需帶寬����、主被叫用戶的地址、Qos等級和安全等級��,這些信息用于供RM21判定邏輯承載網40是否有足夠的資源分配給呼叫����。值得一提的是,這些信息來自于以下幾個步驟業(yè)務服務器31收到業(yè)務呼叫請求后�,首先獲取該請求中的主被叫用戶地址信息;然后業(yè)務服務器31根據主被叫信息和呼叫雙方通信�����,協(xié)商獲得此次呼叫需要的帶寬等相關信息;接著業(yè)務服務器31對業(yè)務請求進行分析�,獲取QoS等級和安全等級信息。
接著進入步驟102��,RM21收到請求后��,根據請求中攜帶的呼叫帶寬以及主被用戶的地址參數(shù)判定邏輯承載網40中是否有足夠的資源建立LSP15業(yè)務流通路�����。如果資源不足�����,則進入步驟113��,通知主叫用戶此次業(yè)務呼叫請求被拒絕���;如果資源充足�����,則選擇一條符合要求的路徑作為本次呼叫的承載路徑���,同時更新邏輯承載網絡的資源狀況并向業(yè)務服務器31返回確認信息,然后進入步驟103。
在步驟103�,RM21向主叫所屬的PE11和被叫所屬的PE14發(fā)出配置請求,請求PE11和PE14根據消息中所攜帶的參數(shù)配置流分類表�,該請求中包含業(yè)務流參數(shù)、安全等級參數(shù)���、QoS參數(shù)以及路由信息等��,其中業(yè)務流參數(shù)是對某條LSP通路承載的業(yè)務流的描述,而路由信息則是步驟102中RM21根據承載網40的資源狀況確定的�。
接著進入步驟104。在步驟104����,PE11和PE14根據發(fā)自RM21的配置請求建立流分類表,然后根據表項對進入的PE11和PE14的業(yè)務流進行分類���,符合此表項的業(yè)務流���,轉發(fā)到相應的邏輯承載網40,不在表項中的業(yè)務流則作為普通Internet業(yè)務流處理�����。需要說明的是,流分類表是個局部于每個接口板的局部表�,它根據IP五元組(協(xié)議,本機地址��,本地端口號���,遠端地址����,遠端端口號)進行業(yè)務流分類�����。流分類表是動態(tài)嚴格受RM21控制的�,也即嚴格受業(yè)務服務器31的控制。如果用戶不向網絡業(yè)務平臺申請業(yè)務�,在PE11和PE14就不會有對應流分類表項,而且當新建或者刪除某個LSP業(yè)務流通道時�����,流分類表也要實時更新���。這就防止了未受信任的用戶接入電信級業(yè)務邏輯承載網�����。
當業(yè)務結束時��,進入步驟105����。業(yè)務服務器31向RM21發(fā)送業(yè)務結束通知,RM21即時刷新邏輯承載網40的資源狀態(tài)�,并發(fā)送命令通知PE11和PE14通過更新流分類表來撤消業(yè)務流信息。
通過上述步驟不難發(fā)現(xiàn)�����,在用IP網絡傳送需要安全性保證的電信級業(yè)務之前�,通過一系列的消息交互為其建立了一條面向連接的傳送通路�����;在傳送過程中���,各類電信級業(yè)務在各自的邏輯承載網上傳送�,從而實現(xiàn)了業(yè)務的IP層邏輯隔離����。
雖然通過參照本發(fā)明的某些優(yōu)選實施例����,已經對本發(fā)明進行了圖示和描述��,但本領域的普通技術人員應該明白���,可以在形式上和細節(jié)上對其作各種各樣的改變�����,而不偏離所附權利要求書所限定的本發(fā)明的精神和范圍����。
權利要求
1.一種網間互聯(lián)協(xié)議網絡安全保障方法�����,用于防止非法用戶訪問承載電信業(yè)務的邏輯承載網��,其特征在于�,所述方法包含以下步驟A業(yè)務服務器向資源管理器發(fā)送第一請求,請求在所述邏輯承載網中建立主叫和被叫用戶之間的業(yè)務流路徑��;B所述資源管理器響應所述第一請求,在所述邏輯承載網中選擇所述主叫用戶所在的第一骨干網邊緣路由器和所述被叫用戶所在的第二骨干網邊緣路由器之間的一條業(yè)務流路徑��;C所述資源管理器根據所述業(yè)務流路徑�,向所述第一和第二骨干網邊緣路由器發(fā)送配置請求信息;D所述第一和第二骨干網邊緣路由器分別根據所述配置請求信息����,建立流分類表項,并僅對符合所述流分類表項的業(yè)務流在所述邏輯承載網中進行轉發(fā)��。
2.根據權利要求1所述的網間互聯(lián)協(xié)議網絡安全保障方法��,其特征在于�,所述步驟A中的第一請求包含業(yè)務呼叫所需帶寬、所述主叫和被叫用戶的位置信息����。
3.根據權利要求2所述的網間互聯(lián)協(xié)議網絡安全保障方法��,其特征在于���,所述步驟C中的所述配置請求信息中包含業(yè)務流參數(shù)����、安全等級參數(shù)、服務質量參數(shù)以及路由信息����。
4.根據權利要求2所述的網間互聯(lián)協(xié)議網絡安全保障方法,其特征在于�,所述業(yè)務流路徑是標簽交換路徑。
5.根據權利要求4所述的網間互聯(lián)協(xié)議網絡安全保障方法��,其特征在于��,所述步驟B中����,所述資源管理器根據業(yè)務流信息、所述邏輯承載網當前的資源狀況�,以及所述呼叫請求中的呼叫所需帶寬、主叫和被叫用戶的位置信息����,判斷所述邏輯承載網是否有足夠資源提供所述業(yè)務流路徑,如果是�����,則執(zhí)行步驟C�����,否則,拒絕呼叫���。
6.根據權利要求1或2所述的網間互聯(lián)協(xié)議網絡安全保障方法�,其特征在于����,所述步驟A還包含以下子步驟A1所述主叫用戶向所述業(yè)務服務器發(fā)送業(yè)務呼叫請求;A2所述業(yè)務服務器響應所述業(yè)務呼叫請求�����,協(xié)商所述業(yè)務呼叫所需的邏輯承載網資源��;A3所述業(yè)務服務器對所述業(yè)務請求進行分析���,確定服務質量��、安全等級參數(shù);A4所述業(yè)務服務器根據分析結果�,向資源管理器發(fā)送所述第一請求,請求在所述邏輯承載網中建立所述主叫和被叫用戶之間的業(yè)務流路徑��。
7.根據權利要求1或2所述的網間互聯(lián)協(xié)議網絡安全保障方法,其特征在于���,所述業(yè)務服務器是軟交換設備�����。
8.根據權利要求1或2所述的網間互聯(lián)協(xié)議網絡安全保障方法�����,其特征在于�����,還包含以下步驟E 當業(yè)務結束時���,所述業(yè)務服務器向所述資源管理器發(fā)送業(yè)務結束通知,所述資源管理器刷新所述邏輯承載網的資源狀態(tài)��,并發(fā)送命令通知所述骨干網邊緣路由器撤消所述業(yè)務流信息�����。
9.一種網間互聯(lián)協(xié)議網絡安全保障系統(tǒng),用于防止非法用戶訪問承載電信業(yè)務的邏輯承載網���,其特征在于�,所述系統(tǒng)包含業(yè)務服務器�、資源管理器、邏輯承載網�����、骨干網邊緣路由器��,其中�����,所述業(yè)務服務器用于處理收到的業(yè)務呼叫��,并根據處理結果向所述資源管理器發(fā)送第一請求���,請求在所述邏輯承載網中建立主叫和被叫用戶之間的業(yè)務流路徑�����;所述資源管理器用于統(tǒng)一管理邏輯承載網中的資源���,并響應所述第一請求,在所述邏輯承載網中選擇所述主叫用戶所在的第一骨干網邊緣路由器和所述被叫用戶所在的第二骨干網邊緣路由器之間的一條業(yè)務流路徑�����;并且根據所述業(yè)務流路徑��,向所述第一和第二骨干網邊緣路由器發(fā)送配置請求信息���;所述邏輯承載網由基礎網絡中的路由器以及連接它們的標簽交換路徑組成����,用于承載電信業(yè)務的業(yè)務流��;所述骨干網邊緣路由器用于根據所述配置請求信息���,建立流分類表項���,并僅對符合所述流分類表項的業(yè)務流在所述邏輯承載網中進行轉發(fā)。
10.根據權利要求9所述的網間互聯(lián)協(xié)議網絡安全保障系統(tǒng)���,其特征在于�����,所述邏輯承載網是網間互聯(lián)協(xié)議v4網絡或網間互聯(lián)協(xié)議v6網絡�。
全文摘要
本發(fā)明涉及通信領域,公開了一種網間互聯(lián)協(xié)議網絡安全保障方法及其系統(tǒng)�����,能夠更加有效地解決IP網絡易受攻擊的問題�,從而使電信級業(yè)務可以承載于安全的IP網絡之上。這種網間互聯(lián)協(xié)議網絡安全保障方法及網間互聯(lián)協(xié)議網絡安全保障系統(tǒng)通過采用邏輯隔離和面向連接技術����,為需要安全性保證的電信級業(yè)務的主被叫之間建立專用的邏輯業(yè)務流通道。當業(yè)務流到達PE時����,根據流分類表中的表項分發(fā)到相應的邏輯承載網上傳送,而對于流分類表中不存在對應表項的業(yè)務流���,則作為普通Internet業(yè)務進行轉發(fā)���。
文檔編號H04L12/54GK1710904SQ20041004917
公開日2005年12月21日 申請日期2004年6月18日 優(yōu)先權日2004年6月18日
發(fā)明者李賀軍 申請人:華為技術有限公司