| 主权项 |
一种基于一体化网络安全服务架构的综合安全防护方法,其特征在于:1)信息分类隔离安全措施的采用:对业务数据和系统信息进行独立的路由交换:节点交换设备为各类信息数据的路由交换提供各自的路由表,并通过多个核心交换矩阵提供相对独立的分组交换;在中继端口和用户端口为业务数据和系统信息建立专用的传输通道,并为每个传输通道预先分配带宽:在路由交换节点间通过节点安全互连协议为实时业务、数据业务、会话连接信令和网络管理分别建立传输通道;节点间经相互认证后分别开启相应通道,并为每个传输通道预先分配带宽;节点间的分组数据通过节点安全互连协议封装,并在对应的传输通道中加密传输;在用户终端和路由交换节点间通过用户安全接入协议为实时业务、数据业务、会话连接信令和设备管理分别建立传输通道;用户终端和业务经接入认证后先后开启相应通道,并为每个传输通道预先分配带宽;用户的各类分组数据通过用户安全接入协议封装,并在对应的传输通道中加密传输;根据各个传输通道所传输数据的特性对数据实施相应的分类规则,并进行QoS标识和区分服务:对实时业务通道和数据业务通道按用户优先级和业务类型进行分类,并用流标记或标签等价类进行QoS标识,对信令通道按协议类型进行QoS分类和标识,对数据业务通道按源目的IP地址、TCP/UDP端口号和ToS字段进行QoS分类和标识;根据各个传输通道所传输数据的特性,实施相应的队列管理与调度:信令通道采用定制队列方式调度;实时业务通道和管理通道采用优先队列方式调度;数据业务通道根据业务的QoS需求,选择使用先入先出队列、优先队列和加权公平队列调度方式;2)用户安全接入措施的采用:采用用户安全接入协议实现终端与交换机间的信令、协议和业务报文的安全传输:用户终端接入首先需经过终端设备与交换机间的相互鉴别,鉴别通过后,用户安全接入协议接受上层协议的申请,建立并开启信令传输链路和管理传输链路,为信令消息和网管信息提供传输服务;在通信连接过程中,终端的会话连接控制协议向用户安全接入协议提出申请,为业务数据建立传输链路,用户安全接入协议通过通道建立控制流程,在终端和交换机间建立相应的传输链路;在会话建立后,用户安全接入协议建立链路号与标签、源/目的IP地址的绑定关系,开启传输通道,本次通信的业务数据在该通道中进行传输;同时,用户安全接入协议完成终端标识与网络地址的转换,实现名址分离;用户终端在网络中的地址呈现在网络内部,在每次通信时由网络自动分配;用户安全接入协议建立并维护此次业务与终端标识、网络地址的绑定关系,交换设备负责根据该绑定关系完成用户地址与网络地址的转换;3)节点安全互连措施的采用:采用节点安全互连协议实现网络节点间的信令、协议和业务报文的安全传输:节点安全互连协议为相邻节点间的高层协议报文和标签转发报文提供数据安全交互平台,节点互连首先需经过节点间的相互鉴别,鉴别通过后,节点安全互连协议生成安全鉴别码,用于分组数据的安全传输,节点间的高层协议进行信息交互时首先要向节点安全互连协议申请安全令牌,并通过安全令牌封装协议报文,节点安全互连协议对安全令牌进行鉴别,并只为合法的协议报文提供传输服务;节点安全互连协议在中继传输线路上将信令、管理、业务和扩展业务划分为四个独立的专用通道,每个通道具有可配置的带宽和不同的转发优先级;信令通道承载信令消息、密钥分发消息、路由协议报文、标签分发协议报文、链路状态维护消息以及节点互连鉴别消息,其中链路状态维护消息包括误码率、丢包率和链路通断状态;管理通道承载网管信息;业务通道承载通信业务、计算机数据业务;各通道的开启受节点互连鉴别的控制,只有在节点间的合法性鉴别通过后,各类数据才能在相应的通道上传输;节点安全互连协议为上层协议提供保护,只有通过合法性鉴别的协议报文才能被视为有效报文;4)业务准入控制安全措施的采用:应用业务受会话连接的控制,对未完成会话连接的业务数据,网络拒绝承载;在会话连接过程中,对信令的真实性进行验证;系统在会话连接控制下为业务数据建立端到端的传输通路,在网络中的路径由源节点根据链路的QoS特性选择,或者通过网管配置指定路由或策略路由;5)数据加密保护安全措施的采用:对用户业务数据实施端到端的全程加密,在网络传输过程中密码不落地。 |
