專利名稱:基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的綜合安全防護(hù)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全防護(hù)方法�,尤其是涉及一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的綜合安全防護(hù)方法��。
背景技術(shù):
隨著IP技術(shù)的迅猛發(fā)展����,以IP技術(shù)為核心構(gòu)建一體化網(wǎng)絡(luò)已得到業(yè)界的共識(shí)。然 而�����,通用IP網(wǎng)絡(luò)的安全性問(wèn)題制約了一體化網(wǎng)絡(luò)的快速發(fā)展����。在傳統(tǒng)IP網(wǎng)絡(luò)中,一般采用疊加各類安全保密設(shè)備提高網(wǎng)絡(luò)和業(yè)務(wù)的安全性���。比 如網(wǎng)絡(luò)隔離、防火墻�����、認(rèn)證服務(wù)����、入侵檢測(cè)、漏洞掃描等安全設(shè)備,以及鏈路層�、網(wǎng)絡(luò)層和應(yīng) 用層等保密設(shè)備。這種通過(guò)疊加方式構(gòu)建的安全防護(hù)體系在一定程度上提高了網(wǎng)絡(luò)和業(yè)務(wù) 的安全保密性能�����,但也存在一些問(wèn)題
1)網(wǎng)絡(luò)性能受限疊加的安全保密設(shè)備在網(wǎng)絡(luò)中產(chǎn)生額外傳輸和管理開(kāi)銷��,占用了部 分帶寬資源���,增加了業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)時(shí)延����,對(duì)通信性能影響較大���;并且相對(duì)于網(wǎng)絡(luò)交換設(shè) 備���,安全保密設(shè)備的分組轉(zhuǎn)發(fā)率一般較低,缺乏相應(yīng)的隊(duì)列調(diào)度機(jī)制��,使網(wǎng)絡(luò)交換轉(zhuǎn)發(fā)性能 無(wú)法充分發(fā)揮�����,易產(chǎn)生通信瓶頸,業(yè)務(wù)的服務(wù)質(zhì)量(QoS)難以得到保證����。2)設(shè)備間難以協(xié)調(diào)工作各安全保密設(shè)備在網(wǎng)絡(luò)中獨(dú)立工作,分別在不同層面提 供相應(yīng)的安全保密功能���。由于缺乏一體化的安全體系結(jié)構(gòu)����,各設(shè)備間形成了安全縫隙�����。例 如物理層與鏈路層的安全措施(如信道加密設(shè)備)無(wú)法解決網(wǎng)絡(luò)層地址欺騙問(wèn)題�,網(wǎng)絡(luò)層的 安全措施(如防火墻)難以識(shí)別和過(guò)濾應(yīng)用層的惡意數(shù)據(jù),而應(yīng)用層的安全措施則對(duì)針對(duì)底 層基礎(chǔ)設(shè)施的攻擊無(wú)能為力�����。同時(shí)網(wǎng)絡(luò)交換設(shè)備和安全保密設(shè)備間也缺乏必要聯(lián)系����,相互 影響����,不能協(xié)調(diào)工作�����。而通過(guò)外部線纜的互連接口也存在安全縫隙���,給網(wǎng)絡(luò)安全帶來(lái)隱患。3)安全防護(hù)不全各設(shè)備的安全防護(hù)措施或策略隨功能定位不同�,其完備性和復(fù) 雜性各不相同,一方面造成部分安全功能重疊���,降低了通信效能��,另一方面各設(shè)備的安全策 略不易保持協(xié)調(diào)一致���,互斥或遺漏的策略易造成網(wǎng)絡(luò)通信異常或產(chǎn)生安全漏洞����。在傳統(tǒng)IP 協(xié)議體制下,安全防護(hù)措施難以有效融入到網(wǎng)絡(luò)的各個(gè)層面�����,無(wú)法對(duì)業(yè)務(wù)通信的全過(guò)程進(jìn) 行安全監(jiān)控。另外���,設(shè)備間通信采用通用的網(wǎng)絡(luò)協(xié)議�,固有的安全問(wèn)題依然存在�����,自身的安 全防護(hù)能力較弱�。4)設(shè)備種類繁多、部署和管理方式各異��、網(wǎng)絡(luò)開(kāi)通和使用維護(hù)困難品種繁多���、功 能各異的安全保密設(shè)備不僅降低了網(wǎng)絡(luò)運(yùn)行的可靠性��,而且消耗了大量的經(jīng)費(fèi)開(kāi)支��。安全 保密設(shè)備需根據(jù)不同的應(yīng)用環(huán)境進(jìn)行相應(yīng)的部署規(guī)劃����,而且各類設(shè)備的配置��、狀態(tài)管理�,以 及密鑰管理和分發(fā)自成體系,策略配置和使用維護(hù)操作十分復(fù)雜��,要求網(wǎng)絡(luò)規(guī)劃和管理維 護(hù)人員具備較高的專業(yè)技能��。面對(duì)應(yīng)用業(yè)務(wù)的不斷擴(kuò)展和層出不窮的安全威脅����,需要不斷 修訂策略或設(shè)備升級(jí),網(wǎng)絡(luò)的持續(xù)發(fā)展和功能擴(kuò)展受到限制����。
發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)的上述缺點(diǎn),本發(fā)明提供了一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的綜合安全防護(hù)方法���,將網(wǎng)絡(luò)通信與安全保密有機(jī)融合�,構(gòu)建多層次����、全方位的綜合安全保密體系,徹底解決了通用IP網(wǎng)絡(luò)中存在的信令��、管理�、業(yè)務(wù)平面不分,網(wǎng)絡(luò)地址與用戶地址不分��,網(wǎng)絡(luò)資源使用范圍和時(shí)間不受控等問(wèn)題,有效地避免了疊加式安全保密機(jī)制的效率低���、防護(hù)不全�,不能提供面向流的快速安全傳輸?shù)热毕?,可有效抵御假冒、篡改����、插入、重放�����、拒絕服務(wù)等網(wǎng)絡(luò)攻擊手段�����,保護(hù)業(yè)務(wù)和網(wǎng)絡(luò)的安全����。本發(fā)明的技術(shù)方案是一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的綜合安全防護(hù)方法,包括
1)信息分類隔離安全措施的采用
對(duì)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息進(jìn)行獨(dú)立的路由交換節(jié)點(diǎn)交換設(shè)備為各類信息數(shù)據(jù)的路由交換提供各自的路由表��,并通過(guò)多個(gè)核心交換矩陣提供相對(duì)獨(dú)立的分組交換;
在中繼端口和用戶端口為業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息建立專用的傳輸通道��,并為每個(gè)傳輸通道預(yù)先分配帶寬在路由交換節(jié)點(diǎn)間通過(guò)節(jié)點(diǎn)安全互連協(xié)議為實(shí)時(shí)業(yè)務(wù)����、數(shù)據(jù)業(yè)務(wù)��、會(huì)話連接信令和網(wǎng)絡(luò)管理分別建立傳輸通道��;節(jié)點(diǎn)間經(jīng)相互認(rèn)證后分別開(kāi)啟相應(yīng)通道����,并為每個(gè)傳輸通道預(yù)先分配帶寬;節(jié)點(diǎn)間的分組數(shù)據(jù)通過(guò)節(jié)點(diǎn)安全互連協(xié)議封裝���,并在對(duì)應(yīng)的傳輸通道中加密傳輸����;
在用戶終端和路由交換節(jié)點(diǎn)間通過(guò)用戶安全接入?yún)f(xié)議為實(shí)時(shí)業(yè)務(wù)�、數(shù)據(jù)業(yè)務(wù)、會(huì)話連接信令和設(shè)備管理分別建立傳輸通道����;用戶終端和業(yè)務(wù)經(jīng)接入認(rèn)證后先后開(kāi)啟相應(yīng)通道,并為每個(gè)傳輸通道預(yù)先分配帶寬;用戶的各類分組數(shù)據(jù)通過(guò)用戶安全接入?yún)f(xié)議封裝�����,并在對(duì)應(yīng)的傳輸通道中加密傳輸�;
根據(jù)各個(gè)傳輸通道所傳輸數(shù)據(jù)的特性對(duì)數(shù)據(jù)實(shí)施相應(yīng)的分類規(guī)則,并進(jìn)行Qos標(biāo)識(shí)和區(qū)分服務(wù)對(duì)實(shí)時(shí)業(yè)務(wù)通道和數(shù)據(jù)業(yè)務(wù)通道按用戶優(yōu)先級(jí)和業(yè)務(wù)類型進(jìn)行分類����,并用流標(biāo)記或標(biāo)簽等價(jià)類進(jìn)行QoS標(biāo)識(shí),對(duì)信令通道按協(xié)議類型進(jìn)行QoS分類和標(biāo)識(shí)����,對(duì)數(shù)據(jù)業(yè)務(wù)通道按源目的IP地址、TCP/UDP端口號(hào)和ToS字段進(jìn)行QoS分類和標(biāo)識(shí)�����;
根據(jù)各個(gè)傳輸通道所傳輸數(shù)據(jù)的特性�����,實(shí)施相應(yīng)的隊(duì)列管理與調(diào)度信令通道采用定制隊(duì)列方式調(diào)度���;實(shí)時(shí)業(yè)務(wù)通道和管理通道采用優(yōu)先隊(duì)列方式調(diào)度��;數(shù)據(jù)業(yè)務(wù)通道根據(jù)業(yè)務(wù)的QoS需求����,選擇使用先入先出隊(duì)列、優(yōu)先隊(duì)列和加權(quán)公平隊(duì)列調(diào)度方式�;
2)用戶安全接入措施的采用
采用用戶安全接入?yún)f(xié)議實(shí)現(xiàn)終端與交換機(jī)間的信令、協(xié)議和業(yè)務(wù)報(bào)文的安全傳輸用戶終端接入首先需經(jīng)過(guò)終端設(shè)備與交換機(jī)間的相互鑒別�����,鑒別通過(guò)后����,用戶安全接入?yún)f(xié)議接受上層協(xié)議的申請(qǐng)���,建立并開(kāi)啟信令傳輸鏈路和管理傳輸鏈路���,為信令消息和網(wǎng)管信息提供傳輸服務(wù);
在通信連接過(guò)程中�����,終端的會(huì)話連接控制協(xié)議向用戶安全接入?yún)f(xié)議提出申請(qǐng)�,為業(yè)務(wù)數(shù)據(jù)建立傳輸鏈路���,用戶安全接入?yún)f(xié)議通過(guò)通道建立控制流程,在終端和交換機(jī)間建立相應(yīng)的傳輸鏈路����;在會(huì)話建立后,用戶安全接入?yún)f(xié)議建立鏈路號(hào)與標(biāo)簽���、源/目的IP地址的綁定關(guān)系���,開(kāi)啟傳輸通道,本次通信的業(yè)務(wù)數(shù)據(jù)在該通道中進(jìn)行傳輸���;同時(shí)��,用戶安全接入?yún)f(xié)議完成終端標(biāo)識(shí)與網(wǎng)絡(luò)地址的轉(zhuǎn)換�,實(shí)現(xiàn)名址分離�;用戶終端在網(wǎng)絡(luò)中的地址呈現(xiàn)在網(wǎng)絡(luò)內(nèi)部,在每次通信時(shí)由網(wǎng)絡(luò)自動(dòng)分配�;用戶安全接入?yún)f(xié)議建立并維護(hù)此次業(yè)務(wù)與終端標(biāo)識(shí)、網(wǎng)絡(luò)地址的綁定關(guān)系��,交換設(shè)備負(fù)責(zé)根據(jù)該綁定關(guān)系完成用戶地址與網(wǎng)絡(luò)地址的轉(zhuǎn)換���;
3)節(jié)點(diǎn)安全互連措施的采用
采用節(jié)點(diǎn)安全互連協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)間的信令��、協(xié)議和業(yè)務(wù)報(bào)文的安全傳輸節(jié)點(diǎn)安全互連協(xié)議為相鄰節(jié)點(diǎn)間的高層協(xié)議報(bào)文和標(biāo)簽轉(zhuǎn)發(fā)報(bào)文提供數(shù)據(jù)安全交互平臺(tái)���,節(jié)點(diǎn)互 連首先需經(jīng)過(guò)節(jié)點(diǎn)間的相互鑒別���,鑒別通過(guò)后,節(jié)點(diǎn)安全互連協(xié)議生成安全鑒別碼�����,用于分 組數(shù)據(jù)的安全傳輸���,節(jié)點(diǎn)間的高層協(xié)議進(jìn)行信息交互時(shí)首先要向節(jié)點(diǎn)安全互連協(xié)議申請(qǐng)安 全令牌,并通過(guò)安全令牌封裝協(xié)議報(bào)文����,節(jié)點(diǎn)安全互連協(xié)議對(duì)安全令牌進(jìn)行鑒別,并只為合 法的協(xié)議報(bào)文提供傳輸服務(wù)����;
節(jié)點(diǎn)安全互連協(xié)議在中繼傳輸線路上將信令、管理���、業(yè)務(wù)和擴(kuò)展業(yè)務(wù)劃分為四個(gè)獨(dú)立 的專用通道�,每個(gè)通道具有可配置的帶寬和不同的轉(zhuǎn)發(fā)優(yōu)先級(jí);信令通道承載信令消息����、 密鑰分發(fā)消息、路由協(xié)議報(bào)文�、標(biāo)簽分發(fā)協(xié)議報(bào)文、鏈路狀態(tài)維護(hù)消息以及節(jié)點(diǎn)互連鑒別消 息�����,其中鏈路狀態(tài)消息包括誤碼率��、丟包率和鏈路通斷狀態(tài)��;管理通道承載網(wǎng)管信息���;業(yè)務(wù) 通道承載通信業(yè)務(wù)����、計(jì)算機(jī)數(shù)據(jù)業(yè)務(wù)�����;各通道的開(kāi)啟受節(jié)點(diǎn)互連鑒別的控制,只有在節(jié)點(diǎn)間 的合法性鑒別通過(guò)后��,各類數(shù)據(jù)才能在相應(yīng)的通道上傳輸�;節(jié)點(diǎn)安全互連協(xié)議為上層協(xié)議 提供保護(hù),只有通過(guò)合法性鑒別的協(xié)議報(bào)文才能被視為有效報(bào)文�����;
4)業(yè)務(wù)準(zhǔn)入控制安全措施的采用
應(yīng)用業(yè)務(wù)受會(huì)話連接的控制����,對(duì)未完成會(huì)話連接的業(yè)務(wù)數(shù)據(jù),網(wǎng)絡(luò)拒絕承載�����;在會(huì)話連 接過(guò)程中����,對(duì)信令的真實(shí)性進(jìn)行驗(yàn)證����;系統(tǒng)在會(huì)話連接控制下為業(yè)務(wù)數(shù)據(jù)建立端到端的傳 輸通路,在網(wǎng)絡(luò)中的路徑由源節(jié)點(diǎn)根據(jù)鏈路的QoS特性選擇���,也可通過(guò)網(wǎng)管配置指定路由 或策略路由����;
5)數(shù)據(jù)加密保護(hù)安全措施的采用對(duì)用戶業(yè)務(wù)數(shù)據(jù)實(shí)施端到端的全程加密,在網(wǎng)絡(luò)傳 輸過(guò)程中密碼不落地���。 與現(xiàn)有技術(shù)相比����,本發(fā)明的積極效果是遵循網(wǎng)絡(luò)通信與安全保密一體化設(shè)計(jì)的 原則����,將安全保密的各項(xiàng)措施有效融入到網(wǎng)絡(luò)中各個(gè)設(shè)備和各個(gè)層面中,相互之間緊密配 合�����,以增強(qiáng)安全防護(hù)性能�����,提高網(wǎng)絡(luò)資源利用率���,保證業(yè)務(wù)服務(wù)質(zhì)量�,實(shí)現(xiàn)統(tǒng)一的控制和管 理,避免安全防護(hù)功能成為網(wǎng)絡(luò)瓶頸�,減少額外開(kāi)銷,有利于提高業(yè)務(wù)服務(wù)質(zhì)量��。相對(duì)于疊 加方式具有安全保密性能強(qiáng)�,控制管理簡(jiǎn)單、統(tǒng)一����,網(wǎng)絡(luò)資源利用率和可靠性高等突出優(yōu) 點(diǎn)。具體表現(xiàn)在
采用網(wǎng)絡(luò)承載信息的分類隔離安全防護(hù)技術(shù)����,將業(yè)務(wù)、控制和管理等信息相互隔離���,各 類信息在網(wǎng)絡(luò)中具有獨(dú)立的路由交換�、傳輸帶寬�、QoS保障和安全防護(hù)措施,可有效保證網(wǎng) 絡(luò)系統(tǒng)自身的安全��;采用用戶的安全接入防護(hù)技術(shù)����,對(duì)終端設(shè)備進(jìn)行接入認(rèn)證,實(shí)現(xiàn)名址轉(zhuǎn) 換����,對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行完整性和抗重放等安全防護(hù),可有效提高網(wǎng)絡(luò)邊界的安全防護(hù)能力���;采 用節(jié)點(diǎn)的安全互連防護(hù)技術(shù)����,對(duì)互連節(jié)點(diǎn)的合法性進(jìn)行認(rèn)證����,對(duì)節(jié)點(diǎn)間的數(shù)據(jù)進(jìn)行完整性 和抗重放等安全防護(hù),可有效阻止非法節(jié)點(diǎn)接入網(wǎng)絡(luò)��;業(yè)務(wù)的準(zhǔn)入控制對(duì)用戶身份和權(quán)限 進(jìn)行認(rèn)證�,并在網(wǎng)絡(luò)入口對(duì)業(yè)務(wù)的會(huì)話連接、類型�、流量等進(jìn)行控制,可有效阻止非法數(shù)據(jù) 進(jìn)入網(wǎng)絡(luò)�。
具體實(shí)施例方式本說(shuō)明書(shū)中公開(kāi)的所有特征,或公開(kāi)的所有方法或過(guò)程中的步驟�,除了互相排斥的特征和/或步驟以外,均可以以任何方式組合。本說(shuō)明書(shū)(包括任何附加權(quán)利要求�����、摘要和附圖
)中公開(kāi)的任一特征��,除非特別敘 述�,均可被其他等效或具有類似目的的替代特征加以替換。即��,除非特別敘述����,每個(gè)特征只 是一系列等效或類似特征中的一個(gè)例子而已。一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的綜合安全防護(hù)方法���,在網(wǎng)絡(luò)的各個(gè)設(shè)備和各 個(gè)層面中����,有效融入信息的分類隔離�����、用戶的安全接入����、節(jié)點(diǎn)的安全互連、應(yīng)用業(yè)務(wù)準(zhǔn)入控 制和數(shù)據(jù)加密保護(hù)等各項(xiàng)安全保密措施����。在縱向上,系統(tǒng)在網(wǎng)絡(luò)-網(wǎng)絡(luò)接口(NNI)�、終端-網(wǎng)絡(luò)接口(UNI)、用戶-終端接口 (UTI)進(jìn)行了安全設(shè)計(jì)�����。其中NNI接口的安全主要通過(guò)節(jié)點(diǎn)安全互連協(xié)議(NSIP)實(shí)現(xiàn)�;UNI 接口的安全主要通過(guò)用戶安全接入?yún)f(xié)議(USAP)實(shí)現(xiàn);TOT接口的安全采用密鑰卡(終端用 戶)�����、身份卡和口令(網(wǎng)管人員)等技術(shù)��。在橫向上��,系統(tǒng)在應(yīng)用業(yè)務(wù)���、呼叫控制�����、路由交換���、接入傳輸和網(wǎng)絡(luò)管理等各個(gè)層 面進(jìn)行安全性設(shè)計(jì)��,將網(wǎng)絡(luò)通信與安全保密有機(jī)融合����,保障了網(wǎng)管系統(tǒng)��、網(wǎng)絡(luò)交換和應(yīng)用業(yè) 務(wù)的安全保密��,如
對(duì)于網(wǎng)絡(luò)系統(tǒng)����,首先對(duì)交換節(jié)點(diǎn)互連進(jìn)行互連鑒別,阻止非法節(jié)點(diǎn)接入�。對(duì)數(shù)據(jù)傳輸進(jìn) 行完整性和抗重放保護(hù),確保數(shù)據(jù)安全傳輸��,防止攻擊者從中繼干線切入對(duì)網(wǎng)絡(luò)進(jìn)行攻擊����。 網(wǎng)絡(luò)中業(yè)務(wù)�、控制和管理等數(shù)據(jù)分類隔離�����,避免相互影響��,保證信令系統(tǒng)和網(wǎng)管系統(tǒng)安全�����。 中繼干線上對(duì)網(wǎng)絡(luò)承載的各類數(shù)據(jù)信息進(jìn)行加密保護(hù)���。干線加密不僅對(duì)業(yè)務(wù)和網(wǎng)管信息進(jìn) 行了二次加密保護(hù),增強(qiáng)了業(yè)務(wù)的保密強(qiáng)度���,而且對(duì)節(jié)點(diǎn)間信令和網(wǎng)絡(luò)協(xié)議消息進(jìn)行了加 密保護(hù)�,增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力����。針對(duì)業(yè)務(wù)、信令和網(wǎng)管等通道����,干線加密可采用 不同的加密密鑰進(jìn)行分類加密��。對(duì)于業(yè)務(wù)終端����,首先對(duì)用戶終端接入進(jìn)行接入鑒別�,阻止非法終端接入。其次���,對(duì) 數(shù)據(jù)傳輸進(jìn)行完整性和抗重放保護(hù)���,確保在用戶線路上數(shù)據(jù)的安全傳輸,防止篡改和重放 等攻擊�����。另外����,對(duì)呼叫信令進(jìn)行保護(hù),防止對(duì)用戶信令分析與攻擊�。業(yè)務(wù)數(shù)據(jù)端到端全程加 密,在網(wǎng)絡(luò)中密碼不落地�,確保通信業(yè)務(wù)的機(jī)密性。對(duì)于網(wǎng)絡(luò)管理系統(tǒng)����,重要的網(wǎng)管信息進(jìn)行加密傳輸�。網(wǎng)管系統(tǒng)采用分級(jí)管理模式��, 對(duì)每個(gè)管理用戶進(jìn)行嚴(yán)格授權(quán)管理����,對(duì)自身的安全進(jìn)行審計(jì)。另外�,網(wǎng)管中心負(fù)責(zé)收集網(wǎng)絡(luò) 及設(shè)備的各種工作狀態(tài)�、故障報(bào)告和操作日志等信息,并對(duì)相關(guān)網(wǎng)絡(luò)事件進(jìn)行安全審計(jì)����。下面將詳細(xì)介紹各項(xiàng)安全保密措施的采用 1)信息的分類隔離
對(duì)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息進(jìn)行獨(dú)立的路由交換節(jié)點(diǎn)交換設(shè)備為各類信息數(shù)據(jù)的路由交 換提供各自的路由表,并通過(guò)多個(gè)核心交換矩陣提供相對(duì)獨(dú)立的分組交換���;
在中繼端口和用戶端口為業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息建立專用的傳輸通道���,并為每個(gè)傳輸通 道預(yù)先分配帶寬在路由交換節(jié)點(diǎn)間通過(guò)節(jié)點(diǎn)安全互連協(xié)議為實(shí)時(shí)業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)����、會(huì)話連 接信令和網(wǎng)絡(luò)管理分別建立傳輸通道�;節(jié)點(diǎn)間經(jīng)相互認(rèn)證后分別開(kāi)啟相應(yīng)通道��,并為每個(gè) 傳輸通道預(yù)先分配帶寬�;節(jié)點(diǎn)間的分組數(shù)據(jù)通過(guò)節(jié)點(diǎn)安全互連協(xié)議封裝,并在對(duì)應(yīng)的傳輸 通道中加密傳輸���;在用戶終端和路由交換節(jié)點(diǎn)間通過(guò)用戶安全接入?yún)f(xié)議為實(shí)時(shí)業(yè)務(wù)�、數(shù)據(jù)業(yè)務(wù)�、會(huì)話連接信令和設(shè)備管理分別建立傳輸通道;用戶終端和業(yè)務(wù)經(jīng)接入認(rèn)證后先后開(kāi)啟相應(yīng)通道��, 并為每個(gè)傳輸通道預(yù)先分配帶寬�����;用戶的各類分組數(shù)據(jù)通過(guò)用戶安全接入?yún)f(xié)議封裝�����,并在 對(duì)應(yīng)的傳輸通道中加密傳輸�����;
根據(jù)各個(gè)傳輸通道所傳輸數(shù)據(jù)的特性對(duì)數(shù)據(jù)實(shí)施相應(yīng)的分類規(guī)則,并進(jìn)行QoS標(biāo)識(shí)和 區(qū)分服務(wù)對(duì)實(shí)時(shí)業(yè)務(wù)通道和數(shù)據(jù)業(yè)務(wù)通道按用戶優(yōu)先級(jí)和業(yè)務(wù)類型進(jìn)行分類����,并用流標(biāo) 記或標(biāo)簽等價(jià)類進(jìn)行QoS標(biāo)識(shí),對(duì)信令通道按協(xié)議類型進(jìn)行QoS分類和標(biāo)識(shí)��,對(duì)數(shù)據(jù)業(yè)務(wù)通 道按源目的IP地址��、TCP/UDP端口號(hào)和ToS字段進(jìn)行QoS分類和標(biāo)識(shí)��;
根據(jù)各個(gè)傳輸通道所傳輸數(shù)據(jù)的特性���,實(shí)施相應(yīng)的隊(duì)列管理與調(diào)度信令通道采用定 制隊(duì)列方式調(diào)度����;實(shí)時(shí)業(yè)務(wù)通道和管理通道采用優(yōu)先隊(duì)列方式調(diào)度��;數(shù)據(jù)業(yè)務(wù)通道根據(jù)業(yè) 務(wù)的QoS需求�,選擇使用先入先出隊(duì)列��、優(yōu)先隊(duì)列和加權(quán)公平隊(duì)列調(diào)度方式����; 2)用戶安全接入
網(wǎng)絡(luò)邊界是系統(tǒng)安全防護(hù)體系設(shè)計(jì)的重點(diǎn),將通過(guò)用戶安全接入?yún)f(xié)議(簡(jiǎn)稱USAP協(xié) 議)實(shí)現(xiàn)。USAP協(xié)議為終端與交換機(jī)間的信令��、協(xié)議和業(yè)務(wù)報(bào)文提供安全的傳輸��,主要功能 包括終端的接入鑒別�����、傳輸鏈路建立�����、通道隔離�����、數(shù)據(jù)完整性和抗重放保護(hù)等��,并為高層協(xié) 議提供字段保護(hù)碼��,為協(xié)議的安全交互提供支撐�。USAP協(xié)議與高層通信協(xié)議緊密結(jié)合,可有 效防止非法終端接入����,避免網(wǎng)絡(luò)系統(tǒng)受到非法終端的攻擊,確保用戶業(yè)務(wù)的通信安全。USAP 協(xié)議的原理和作用如下
用戶終端接入首先需經(jīng)過(guò)終端設(shè)備與多業(yè)務(wù)安全交換機(jī)間的相互鑒別����。終端接入鑒別 通過(guò)后,USAP協(xié)議接受上層協(xié)議的申請(qǐng)�,建立并開(kāi)啟信令傳輸鏈路和管理傳輸鏈路,為信令 消息和網(wǎng)管信息提供安全的傳輸服務(wù)����。在通信連接過(guò)程中,終端的會(huì)話連接控制協(xié)議向USAP協(xié)議提出申請(qǐng)����,為業(yè)務(wù)數(shù)據(jù) 建立傳輸鏈路。USAP通過(guò)通道建立控制流程在終端和交換機(jī)間建立相應(yīng)的傳輸鏈路�。在會(huì) 話建立后,USAP鏈路號(hào)與標(biāo)簽����、源/目的IP地址的綁定關(guān)系建立����,傳輸通道開(kāi)啟,將本次通 信的業(yè)務(wù)數(shù)據(jù)在該通道中進(jìn)行安全的傳輸��,實(shí)現(xiàn)業(yè)務(wù)的準(zhǔn)入控制。同時(shí)�����,USAP協(xié)議完成終 端標(biāo)識(shí)與網(wǎng)絡(luò)地址的轉(zhuǎn)換�,實(shí)現(xiàn)名址分離。用戶終端在網(wǎng)絡(luò)中的地址(即交換設(shè)備用戶端口 的路由地址)只呈現(xiàn)在網(wǎng)絡(luò)內(nèi)部�����,在每次通信時(shí)由網(wǎng)絡(luò)自動(dòng)分配��。USAP建立并維護(hù)此次業(yè) 務(wù)與終端標(biāo)識(shí)��、網(wǎng)絡(luò)地址的綁定關(guān)系���,交換設(shè)備負(fù)責(zé)根據(jù)該綁定關(guān)系完成用戶地址與網(wǎng)絡(luò) 地址的轉(zhuǎn)換���。由于網(wǎng)絡(luò)對(duì)用戶透明,網(wǎng)絡(luò)邊界的安全得到了有效保證��。USAP協(xié)議周期性的進(jìn)行接入鑒別過(guò)程�����,實(shí)時(shí)維護(hù)傳輸通道的互連狀態(tài),并動(dòng)態(tài)更 新USAP頭中的安全標(biāo)記字段�����,安全標(biāo)記不正確的數(shù)據(jù)將被丟棄��。經(jīng)USAP封裝的分組數(shù)據(jù) 具備完整性����、抗重放等安全特性,能夠有效防止篡改和重放攻擊�����。同時(shí)在USAP鏈路中傳輸 的分組不呈現(xiàn)IP信息�����,隱藏了數(shù)據(jù)流向����,可防止數(shù)據(jù)流向分析。USAP協(xié)議在用戶線路上實(shí)現(xiàn)業(yè)務(wù)�、信令和網(wǎng)管數(shù)據(jù)的相互隔離��。交換機(jī)在USAP傳 輸通道上接收的業(yè)務(wù)數(shù)據(jù)只能進(jìn)入網(wǎng)絡(luò)的業(yè)務(wù)通道進(jìn)行交換轉(zhuǎn)發(fā),同樣網(wǎng)絡(luò)業(yè)務(wù)通道上來(lái) 的數(shù)據(jù)只能在相應(yīng)USAP鏈路中傳輸�����。另外USAP協(xié)議可為上層協(xié)議提供保護(hù)�,只有通過(guò)合法性鑒別的協(xié)議報(bào)文才能被 視為有效報(bào)文,否則將被丟棄��。3)節(jié)點(diǎn)安全互連網(wǎng)絡(luò)節(jié)點(diǎn)間的安全通過(guò)節(jié)點(diǎn)安全互連協(xié)議(簡(jiǎn)稱NSIP協(xié)議)實(shí)現(xiàn)�����。NSIP協(xié)議為相鄰 節(jié)點(diǎn)間的高層協(xié)議報(bào)文和標(biāo)簽轉(zhuǎn)發(fā)報(bào)文提供數(shù)據(jù)安全交互平臺(tái)�����,主要功能包括節(jié)點(diǎn)互連鑒 另O��、傳輸通道隔離�、數(shù)據(jù)完整性和抗重放保護(hù)、干線加密與糾錯(cuò)等��,并為高層協(xié)議提供字段 保護(hù)碼����,為協(xié)議的安全交互提供支撐��。NSIP協(xié)議與上層通信協(xié)議緊密結(jié)合���,可有效防止非法 節(jié)點(diǎn)接入,避免網(wǎng)絡(luò)的協(xié)議系統(tǒng)�����、信令系統(tǒng)�、網(wǎng)管系統(tǒng)和業(yè)務(wù)系統(tǒng)受到來(lái)自非法接入節(jié)點(diǎn)的 攻擊,確保節(jié)點(diǎn)間各類信息的安全交換�����。NSIP協(xié)議的原理和作用如下
節(jié)點(diǎn)互連首先需經(jīng)過(guò)節(jié)點(diǎn)間的相互鑒別����。節(jié)點(diǎn)互連鑒別通過(guò)后,NSIP協(xié)議生成安全鑒別碼�,用于分組數(shù)據(jù)的安全傳輸。節(jié)點(diǎn)間的高層協(xié)議進(jìn)行信息交互時(shí)首先要向NSIP申請(qǐng)安 全令牌����,并通過(guò)安全令牌封裝協(xié)議報(bào)文。NSIP協(xié)議對(duì)安全令牌進(jìn)行鑒別����,并為合法的協(xié)議 報(bào)文提供傳輸服務(wù),非法的協(xié)議報(bào)文將被丟棄��。NSIP實(shí)時(shí)維護(hù)安全令牌與安全鑒別碼的對(duì) 應(yīng)關(guān)系��,完成包頭轉(zhuǎn)換��,通過(guò)安全鑒別碼封裝的本地協(xié)議報(bào)文和轉(zhuǎn)發(fā)報(bào)文進(jìn)行加密傳輸�。經(jīng) NSIP協(xié)議封裝的分組數(shù)據(jù)具備完整性、抗重放和機(jī)密性等安全特性����,能夠有效防止重放、篡 改和假冒攻擊����。NSIP協(xié)議周期性的進(jìn)行互連鑒別過(guò)程,維護(hù)通道的互連狀態(tài)�,并動(dòng)態(tài)更換安 全鑒別碼,未通過(guò)安全鑒別的數(shù)據(jù)報(bào)文將被丟棄���。NSIP實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)信息和業(yè)務(wù)數(shù)據(jù)在中繼傳輸鏈路上的相互隔離��。在中繼傳輸線 路上將信令�、網(wǎng)管、業(yè)務(wù)和擴(kuò)展業(yè)務(wù)劃分為四個(gè)獨(dú)立的專用通道���,每個(gè)通道具有可配置的帶 寬和不同的轉(zhuǎn)發(fā)優(yōu)先級(jí)����。信令通道承載信令消息���、密鑰分發(fā)消息�����、路由協(xié)議報(bào)文����、標(biāo)簽分發(fā) 協(xié)議報(bào)文�、鏈路狀態(tài)維護(hù)消息以及節(jié)點(diǎn)互連鑒別消息等,其中鏈路狀態(tài)消息包括誤碼率��、丟 包率和鏈路通斷等狀態(tài)�����;管理通道承載網(wǎng)管信息;實(shí)時(shí)業(yè)務(wù)通道上承載話音��、視頻等通信 業(yè)務(wù)���;數(shù)據(jù)業(yè)務(wù)通道承載計(jì)算機(jī)數(shù)據(jù)業(yè)務(wù)�。各通道的開(kāi)啟受節(jié)點(diǎn)互連鑒別的控制�。只有在 節(jié)點(diǎn)間的合法性鑒別后����,各類數(shù)據(jù)才能在干線上傳輸。NSIP在中繼線路上對(duì)各類網(wǎng)絡(luò)信息和用戶業(yè)務(wù)數(shù)據(jù)進(jìn)行密碼保護(hù)�����。中繼干線具有 線速加解密能力�����,除節(jié)點(diǎn)互連鑒別消息外���,每個(gè)通道可采用不同的工作密鑰對(duì)各類信息進(jìn) 行加密�����。干線加密受節(jié)點(diǎn)互連認(rèn)證的控制�����,只有在節(jié)點(diǎn)間的合法性鑒別通過(guò)后才能工作�����。另外����,NSIP協(xié)議可為上層協(xié)議提供保護(hù),只有通過(guò)合法性鑒別的協(xié)議報(bào)文才能被 視為有效報(bào)文����,否則將被丟棄。4)業(yè)務(wù)準(zhǔn)入控制
應(yīng)用業(yè)務(wù)受會(huì)話連接的控制��,對(duì)未完成會(huì)話連接的業(yè)務(wù)數(shù)據(jù)���,網(wǎng)絡(luò)拒絕承載���。在會(huì)話連 接過(guò)程中,對(duì)信令的真實(shí)性進(jìn)行驗(yàn)證�,防止非法終端或節(jié)點(diǎn)的信令攻擊�。為保證業(yè)務(wù)安全�����, 系統(tǒng)在會(huì)話連接控制下為業(yè)務(wù)數(shù)據(jù)建立端到端的傳輸通路����,在網(wǎng)絡(luò)中的路徑由源節(jié)點(diǎn)根據(jù) 鏈路的QoS特性選擇,也可通過(guò)網(wǎng)管配置指定路由或策略路由���。用戶的業(yè)務(wù)數(shù)據(jù)在該傳輸 通路上進(jìn)行傳輸和交換轉(zhuǎn)發(fā)���,拒絕傳輸通路外的數(shù)據(jù)進(jìn)入�。由于業(yè)務(wù)通信受終端接入鑒別、 會(huì)話控制�、USAP鏈路建立控制、USAP安全傳輸?shù)闹饘涌刂坪头雷o(hù)����,可有效阻止異常數(shù)據(jù)進(jìn) 入網(wǎng)絡(luò)系統(tǒng),確保用戶業(yè)務(wù)數(shù)據(jù)安全接入和傳輸���。5)數(shù)據(jù)加密保護(hù)
業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息加密保護(hù)是確保業(yè)務(wù)和網(wǎng)絡(luò)安全的重要手段�����。對(duì)用戶業(yè)務(wù)數(shù)據(jù)實(shí) 施端到端的全程加密���,在網(wǎng)絡(luò)傳輸過(guò)程中密碼不落地��,確保通信業(yè)務(wù)的機(jī)密性���。對(duì)中繼干線 上的所有數(shù)據(jù)加密保護(hù),不僅對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行了二次加密保護(hù)���,增強(qiáng)了業(yè)務(wù)的保密強(qiáng)度����,而 且對(duì)節(jié)點(diǎn)間信令和網(wǎng)絡(luò)協(xié)議消息進(jìn)行了加密保護(hù)��,增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力��。
本發(fā)明并不局限于前述的具體實(shí)施方式
�����。本發(fā)明擴(kuò)展到任何在本說(shuō)明書(shū)中披露的新特征或任何新的組合����,以及披露的任一新的方法或過(guò)程的步驟或任何新的組合��。
權(quán)利要求
一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的綜合安全防護(hù)方法����,其特征在于1)信息分類隔離安全措施的采用對(duì)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息進(jìn)行獨(dú)立的路由交換節(jié)點(diǎn)交換設(shè)備為各類信息數(shù)據(jù)的路由交換提供各自的路由表�,并通過(guò)多個(gè)核心交換矩陣提供相對(duì)獨(dú)立的分組交換;在中繼端口和用戶端口為業(yè)務(wù)數(shù)據(jù)和系統(tǒng)信息建立專用的傳輸通道��,并為每個(gè)傳輸通道預(yù)先分配帶寬在路由交換節(jié)點(diǎn)間通過(guò)節(jié)點(diǎn)安全互連協(xié)議為實(shí)時(shí)業(yè)務(wù)���、數(shù)據(jù)業(yè)務(wù)���、會(huì)話連接信令和網(wǎng)絡(luò)管理分別建立傳輸通道����;節(jié)點(diǎn)間經(jīng)相互認(rèn)證后分別開(kāi)啟相應(yīng)通道,并為每個(gè)傳輸通道預(yù)先分配帶寬�;節(jié)點(diǎn)間的分組數(shù)據(jù)通過(guò)節(jié)點(diǎn)安全互連協(xié)議封裝,并在對(duì)應(yīng)的傳輸通道中加密傳輸�;在用戶終端和路由交換節(jié)點(diǎn)間通過(guò)用戶安全接入?yún)f(xié)議為實(shí)時(shí)業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)�����、會(huì)話連接信令和設(shè)備管理分別建立傳輸通道;用戶終端和業(yè)務(wù)經(jīng)接入認(rèn)證后先后開(kāi)啟相應(yīng)通道�,并為每個(gè)傳輸通道預(yù)先分配帶寬;用戶的各類分組數(shù)據(jù)通過(guò)用戶安全接入?yún)f(xié)議封裝���,并在對(duì)應(yīng)的傳輸通道中加密傳輸����;根據(jù)各個(gè)傳輸通道所傳輸數(shù)據(jù)的特性對(duì)數(shù)據(jù)實(shí)施相應(yīng)的分類規(guī)則���,并進(jìn)行QoS標(biāo)識(shí)和區(qū)分服務(wù)對(duì)實(shí)時(shí)業(yè)務(wù)通道和數(shù)據(jù)業(yè)務(wù)通道按用戶優(yōu)先級(jí)和業(yè)務(wù)類型進(jìn)行分類���,并用流標(biāo)記或標(biāo)簽等價(jià)類進(jìn)行QoS標(biāo)識(shí),對(duì)信令通道按協(xié)議類型進(jìn)行QoS分類和標(biāo)識(shí)����,對(duì)數(shù)據(jù)業(yè)務(wù)通道按源目的IP地址、TCP/UDP端口號(hào)和ToS字段進(jìn)行QoS分類和標(biāo)識(shí)�����;根據(jù)各個(gè)傳輸通道所傳輸數(shù)據(jù)的特性���,實(shí)施相應(yīng)的隊(duì)列管理與調(diào)度信令通道采用定制隊(duì)列方式調(diào)度���;實(shí)時(shí)業(yè)務(wù)通道和管理通道采用優(yōu)先隊(duì)列方式調(diào)度����;數(shù)據(jù)業(yè)務(wù)通道根據(jù)業(yè)務(wù)的QoS需求��,選擇使用先入先出隊(duì)列��、優(yōu)先隊(duì)列和加權(quán)公平隊(duì)列調(diào)度方式���;2)用戶安全接入措施的采用采用用戶安全接入?yún)f(xié)議實(shí)現(xiàn)終端與交換機(jī)間的信令���、協(xié)議和業(yè)務(wù)報(bào)文的安全傳輸用戶終端接入首先需經(jīng)過(guò)終端設(shè)備與交換機(jī)間的相互鑒別,鑒別通過(guò)后�����,用戶安全接入?yún)f(xié)議接受上層協(xié)議的申請(qǐng)��,建立并開(kāi)啟信令傳輸鏈路和管理傳輸鏈路�,為信令消息和網(wǎng)管信息提供傳輸服務(wù)���;在通信連接過(guò)程中���,終端的會(huì)話連接控制協(xié)議向用戶安全接入?yún)f(xié)議提出申請(qǐng)����,為業(yè)務(wù)數(shù)據(jù)建立傳輸鏈路�����,用戶安全接入?yún)f(xié)議通過(guò)通道建立控制流程�����,在終端和交換機(jī)間建立相應(yīng)的傳輸鏈路����;在會(huì)話建立后,用戶安全接入?yún)f(xié)議建立鏈路號(hào)與標(biāo)簽�、源/目的IP地址的綁定關(guān)系,開(kāi)啟傳輸通道����,本次通信的業(yè)務(wù)數(shù)據(jù)在該通道中進(jìn)行傳輸;同時(shí),用戶安全接入?yún)f(xié)議完成終端標(biāo)識(shí)與網(wǎng)絡(luò)地址的轉(zhuǎn)換�����,實(shí)現(xiàn)名址分離�����;用戶終端在網(wǎng)絡(luò)中的地址呈現(xiàn)在網(wǎng)絡(luò)內(nèi)部����,在每次通信時(shí)由網(wǎng)絡(luò)自動(dòng)分配;用戶安全接入?yún)f(xié)議建立并維護(hù)此次業(yè)務(wù)與終端標(biāo)識(shí)�����、網(wǎng)絡(luò)地址的綁定關(guān)系���,交換設(shè)備負(fù)責(zé)根據(jù)該綁定關(guān)系完成用戶地址與網(wǎng)絡(luò)地址的轉(zhuǎn)換�;3)節(jié)點(diǎn)安全互連措施的采用采用節(jié)點(diǎn)安全互連協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)間的信令��、協(xié)議和業(yè)務(wù)報(bào)文的安全傳輸節(jié)點(diǎn)安全互連協(xié)議為相鄰節(jié)點(diǎn)間的高層協(xié)議報(bào)文和標(biāo)簽轉(zhuǎn)發(fā)報(bào)文提供數(shù)據(jù)安全交互平臺(tái)����,節(jié)點(diǎn)互連首先需經(jīng)過(guò)節(jié)點(diǎn)間的相互鑒別,鑒別通過(guò)后��,節(jié)點(diǎn)安全互連協(xié)議生成安全鑒別碼��,用于分組數(shù)據(jù)的安全傳輸���,節(jié)點(diǎn)間的高層協(xié)議進(jìn)行信息交互時(shí)首先要向節(jié)點(diǎn)安全互連協(xié)議申請(qǐng)安全令牌����,并通過(guò)安全令牌封裝協(xié)議報(bào)文��,節(jié)點(diǎn)安全互連協(xié)議對(duì)安全令牌進(jìn)行鑒別����,并只為合法的協(xié)議報(bào)文提供傳輸服務(wù);節(jié)點(diǎn)安全互連協(xié)議在中繼傳輸線路上將信令���、管理����、業(yè)務(wù)和擴(kuò)展業(yè)務(wù)劃分為四個(gè)獨(dú)立的專用通道�,每個(gè)通道具有可配置的帶寬和不同的轉(zhuǎn)發(fā)優(yōu)先級(jí);信令通道承載信令消息��、密鑰分發(fā)消息、路由協(xié)議報(bào)文���、標(biāo)簽分發(fā)協(xié)議報(bào)文�����、鏈路狀態(tài)維護(hù)消息以及節(jié)點(diǎn)互連鑒別消息����,其中鏈路狀態(tài)消息包括誤碼率�、丟包率和鏈路通斷狀態(tài);管理通道承載網(wǎng)管信息��;業(yè)務(wù)通道承載通信業(yè)務(wù)���、計(jì)算機(jī)數(shù)據(jù)業(yè)務(wù)���;各通道的開(kāi)啟受節(jié)點(diǎn)互連鑒別的控制,只有在節(jié)點(diǎn)間的合法性鑒別通過(guò)后�����,各類數(shù)據(jù)才能在相應(yīng)的通道上傳輸��;節(jié)點(diǎn)安全互連協(xié)議為上層協(xié)議提供保護(hù),只有通過(guò)合法性鑒別的協(xié)議報(bào)文才能被視為有效報(bào)文�;4)業(yè)務(wù)準(zhǔn)入控制安全措施的采用應(yīng)用業(yè)務(wù)受會(huì)話連接的控制,對(duì)未完成會(huì)話連接的業(yè)務(wù)數(shù)據(jù)�����,網(wǎng)絡(luò)拒絕承載��;在會(huì)話連接過(guò)程中�,對(duì)信令的真實(shí)性進(jìn)行驗(yàn)證���;系統(tǒng)在會(huì)話連接控制下為業(yè)務(wù)數(shù)據(jù)建立端到端的傳輸通路��,在網(wǎng)絡(luò)中的路徑由源節(jié)點(diǎn)根據(jù)鏈路的QoS特性選擇����,也可通過(guò)網(wǎng)管配置指定路由或策略路由���;5)數(shù)據(jù)加密保護(hù)安全措施的采用對(duì)用戶業(yè)務(wù)數(shù)據(jù)實(shí)施端到端的全程加密�,在網(wǎng)絡(luò)傳輸過(guò)程中密碼不落地�����。
全文摘要
本發(fā)明公開(kāi)了一種基于一體化網(wǎng)絡(luò)安全服務(wù)架構(gòu)的綜合安全防護(hù)方法,采用網(wǎng)絡(luò)承載信息的分類隔離安全防護(hù)技術(shù)����,將業(yè)務(wù)、控制和管理等信息相互隔離��;采用用戶的安全接入防護(hù)技術(shù)����,對(duì)終端設(shè)備進(jìn)行接入認(rèn)證;采用節(jié)點(diǎn)的安全互連防護(hù)技術(shù)����,對(duì)互連節(jié)點(diǎn)的合法性進(jìn)行認(rèn)證;采用業(yè)務(wù)的準(zhǔn)入控制技術(shù)����,對(duì)用戶身份和業(yè)務(wù)權(quán)限進(jìn)行認(rèn)證。本發(fā)明的積極效果是將網(wǎng)絡(luò)通信與安全保密有機(jī)融合����,構(gòu)建多層次、全方位的綜合安全保密體系�����,解決了通用IP網(wǎng)絡(luò)中存在的信令、管理�、業(yè)務(wù)平面不分,網(wǎng)絡(luò)地址與用戶地址不分����,網(wǎng)絡(luò)資源使用范圍和時(shí)間不受控等問(wèn)題,有效地避免了疊加式安全保密機(jī)制的效率低��、防護(hù)不全�,不能提供面向流的快速安全傳輸?shù)热毕荨?br>
文檔編號(hào)H04L29/06GK101800753SQ20101012502
公開(kāi)日2010年8月11日 申請(qǐng)日期2010年3月16日 優(yōu)先權(quán)日2010年3月16日
發(fā)明者周俊, 王強(qiáng) 申請(qǐng)人:中國(guó)電子科技集團(tuán)公司第三十研究所