專利名稱:網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,特別涉及網(wǎng)際協(xié)議網(wǎng)絡(luò)安全技術(shù)。
背景技術(shù):
隨著網(wǎng)間互聯(lián)協(xié)議(Internet Protocol���,簡稱“IP”)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展���,其實(shí)際應(yīng)用日益廣泛,IP網(wǎng)絡(luò)逐漸開始承載具有電信級服務(wù)質(zhì)量和安全性要求的業(yè)務(wù)��。因此����,IP網(wǎng)絡(luò)的安全性越來越得到人們的關(guān)注。
眾所周知�,IP網(wǎng)絡(luò)是一個(gè)沒有安全性保障的網(wǎng)絡(luò),這種不安全性是由于IP網(wǎng)絡(luò)的面向無連接的體系架構(gòu)所決定的�。用面向連接方式進(jìn)行端到端通信之前��,必須先通過信令建立端到端的連接,分配好網(wǎng)絡(luò)物理或邏輯資源�,然后才能進(jìn)行通信�����;而采用面向無連接的工作方式在端到端展開業(yè)務(wù)應(yīng)用之前無須先通過信令來建立連接�����,直接可以進(jìn)行通信����。對于電信級業(yè)務(wù)而言�����,端到端通信安全性的關(guān)鍵是建立端到端之間的信任關(guān)系���。在面向連接的工作方式中是在連接建立時(shí)確定信任關(guān)系的���,而面向無連接的工作方式則需要在通信過程中確定信任關(guān)系�����。
多協(xié)議標(biāo)簽交換(MultiProtocol Label Switching�,簡稱“MPLS”)最初是為提高路由器的轉(zhuǎn)發(fā)速度而提出的一個(gè)協(xié)議��,MPLS協(xié)議的關(guān)鍵是引入了標(biāo)簽的概念�����。它是一種短的易于處理的、不包含拓?fù)湫畔ⅰ⒅痪哂芯植恳饬x的信息內(nèi)容����。標(biāo)簽短是為了易于處理����,通??梢杂盟饕苯右谩V痪哂芯植恳饬x是為了便于分配。由于MPLS在流量工程和虛擬專用網(wǎng)兩項(xiàng)目前IP網(wǎng)絡(luò)中非常關(guān)鍵的技術(shù)中表現(xiàn)��,它已日益成為擴(kuò)大IP網(wǎng)絡(luò)規(guī)模的重要標(biāo)準(zhǔn)�����。
在目前的IP網(wǎng)絡(luò)上���,由于安全性要求低的一般業(yè)務(wù)(主要指Internet業(yè)務(wù),如Web瀏覽、普通查詢等)與安全性要求高的業(yè)務(wù)(主要指電信級業(yè)務(wù)��,如語音和視頻點(diǎn)播等業(yè)務(wù))混雜在一起,沒有進(jìn)行很好的隔離��,因此電信級業(yè)務(wù)的安全性沒有很好的保障。這種不安全性主要體現(xiàn)在無法防止不受信任的用戶接入電信級業(yè)務(wù)承載網(wǎng)�����,不能抵抗不受信任的用戶發(fā)起的惡意攻擊�����。要建立一個(gè)有安全性保障的IP網(wǎng)絡(luò),對普通的Internet業(yè)務(wù)和電信級業(yè)務(wù)進(jìn)行隔離是一項(xiàng)關(guān)鍵技術(shù)�����。
在現(xiàn)有的技術(shù)中���,主要通過以下幾種途徑進(jìn)行業(yè)務(wù)隔離一種是物理層隔離。在這種方式下�,普通Internet業(yè)務(wù)和電信級業(yè)務(wù)分別承載在不同的物理媒體或邏輯通道上���。這種方式雖然能很好地對不同等級業(yè)務(wù)進(jìn)行隔離��,但缺點(diǎn)在于其局限性大,使用不靈活�����。
第二種是鏈路層隔離。如通過虛擬局域網(wǎng)(Virtual Local Area Network��,簡稱“VLAN”)�����、永久虛擬電路(Permanent Virtual Circuit����,簡稱“PVC”)及第二層隧道協(xié)議(Layer 2 Tunneling Protocol���,簡稱“L2TP”)等技術(shù)進(jìn)行業(yè)務(wù)隔離����。這些技術(shù)可以在鏈路層上實(shí)現(xiàn)隔離,相對于物理層隔離要靈活一些。其中VLAN技術(shù)是目前最常用的隔離技術(shù)�����。VLAN技術(shù)能使普通Internet業(yè)務(wù)和電信級業(yè)務(wù)分屬不同的VLAN����,可在鏈路層實(shí)現(xiàn)邏輯隔離。但是這種技術(shù)一般局限在靠近用戶的二層接入網(wǎng)絡(luò)上�。
第三種是網(wǎng)絡(luò)層隔離�。這種方式采用策略路由器或應(yīng)用網(wǎng)關(guān)技術(shù)實(shí)現(xiàn)對不同等級業(yè)務(wù)的隔離����。這些技術(shù)根據(jù)三層以上的信息對不同業(yè)務(wù)進(jìn)行識(shí)別,使用訪問控制列表對不同的信息流進(jìn)行邏輯上的隔離和分流�����,從而達(dá)到業(yè)務(wù)隔離的目的�。這種方式比較靈活,但其仍然采用面向無連接的方式��。
在實(shí)際應(yīng)用中��,上述方案存在以下問題以上三種方案都無法有效防止非法用戶接入電信級業(yè)務(wù)的的邏輯承載網(wǎng)�����,因而無法保證其安全性����。
造成這種情況的主要原因在于���,沒有采用業(yè)務(wù)的邏輯隔離技術(shù)以及面向連接技術(shù)����,故沒有專用的邏輯通道傳送需要安全性保證的電信級業(yè)務(wù)�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法及系統(tǒng)���,使得能夠更加有效地解決IP網(wǎng)絡(luò)易受攻擊的問題���,從而使電信級業(yè)務(wù)可以承載于安全的IP網(wǎng)絡(luò)之上��。
為實(shí)現(xiàn)上述目的��,本發(fā)明提供了一種網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法,用于防止非法用戶訪問承載電信業(yè)務(wù)的邏輯承載網(wǎng)���,所述方法包含以下步驟A業(yè)務(wù)服務(wù)器向資源管理器發(fā)送第一請求�����,請求在所述邏輯承載網(wǎng)中建立主叫和被叫用戶之間的業(yè)務(wù)流路徑�����;B所述資源管理器響應(yīng)所述第一請求�,在所述邏輯承載網(wǎng)中選擇所述主叫用戶所在的第一骨干網(wǎng)邊緣路由器和所述被叫用戶所在的第二骨干網(wǎng)邊緣路由器之間的一條業(yè)務(wù)流路徑�����;C所述資源管理器根據(jù)所述業(yè)務(wù)流路徑,向所述第一和第二骨干網(wǎng)邊緣路由器發(fā)送配置請求信息�;D所述第一和第二骨干網(wǎng)邊緣路由器分別根據(jù)所述配置請求信息��,建立流分類表項(xiàng)�,并僅對符合所述流分類表項(xiàng)的業(yè)務(wù)流在所述邏輯承載網(wǎng)中進(jìn)行轉(zhuǎn)發(fā)����。
其中����,所述步驟A中的第一請求包含業(yè)務(wù)呼叫所需帶寬���、所述主叫和被叫用戶的位置信息��。
所述步驟C中的所述配置請求信息中包含業(yè)務(wù)流參數(shù)���、安全等級參數(shù)�����、服務(wù)質(zhì)量參數(shù)以及路由信息。
所述業(yè)務(wù)流路徑是標(biāo)簽交換路徑��。
所述步驟B中���,所述資源管理器根據(jù)業(yè)務(wù)流信息���、所述邏輯承載網(wǎng)當(dāng)前的資源狀況��,以及所述呼叫請求中的呼叫所需帶寬����、主叫和被叫用戶的位置信息,判斷所述邏輯承載網(wǎng)是否有足夠資源提供所述業(yè)務(wù)流路徑���,如果是,則執(zhí)行步驟C����,否則,拒絕呼叫�����。
所述步驟A還包含以下子步驟A1所述主叫用戶向所述業(yè)務(wù)服務(wù)器發(fā)送業(yè)務(wù)呼叫請求�����;A2所述業(yè)務(wù)服務(wù)器響應(yīng)所述業(yè)務(wù)呼叫請求���,協(xié)商所述業(yè)務(wù)呼叫所需的邏輯承載網(wǎng)資源���;A3所述業(yè)務(wù)服務(wù)器對所述業(yè)務(wù)請求進(jìn)行分析,確定服務(wù)質(zhì)量、安全等級參數(shù);A4所述業(yè)務(wù)服務(wù)器根據(jù)分析結(jié)果����,向資源管理器發(fā)送所述第一請求���,請求在所述邏輯承載網(wǎng)中建立所述主叫和被叫用戶之間的業(yè)務(wù)流路徑。
所述業(yè)務(wù)服務(wù)器是軟交換設(shè)備����。
還包含以下步驟E 當(dāng)業(yè)務(wù)結(jié)束時(shí)��,所述業(yè)務(wù)服務(wù)器向所述資源管理器發(fā)送業(yè)務(wù)結(jié)束通知��,所述資源管理器刷新所述邏輯承載網(wǎng)的資源狀態(tài),并發(fā)送命令通知所述骨干網(wǎng)邊緣路由器撤消所述業(yè)務(wù)流信息��。
本發(fā)明還提供了一種網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障系統(tǒng),用于防止非法用戶訪問承載電信業(yè)務(wù)的邏輯承載網(wǎng)�,所述系統(tǒng)包含業(yè)務(wù)服務(wù)器���、資源管理器���、邏輯承載網(wǎng)�、骨干網(wǎng)邊緣路由器���,其中�,所述業(yè)務(wù)服務(wù)器用于處理收到的業(yè)務(wù)呼叫�,并根據(jù)處理結(jié)果向所述資源管理器發(fā)送第一請求�����,請求在所述邏輯承載網(wǎng)中建立主叫和被叫用戶之間的業(yè)務(wù)流路徑����;所述資源管理器用于統(tǒng)一管理邏輯承載網(wǎng)中的資源,并響應(yīng)所述第一請求�����,在所述邏輯承載網(wǎng)中選擇所述主叫用戶所在的第一骨干網(wǎng)邊緣路由器和所述被叫用戶所在的第二骨干網(wǎng)邊緣路由器之間的一條業(yè)務(wù)流路徑;并且根據(jù)所述業(yè)務(wù)流路徑�����,向所述第一和第二骨干網(wǎng)邊緣路由器發(fā)送配置請求信息���;
所述邏輯承載網(wǎng)由基礎(chǔ)網(wǎng)絡(luò)中的路由器以及連接它們的標(biāo)簽交換路徑組成���,用于承載電信業(yè)務(wù)的業(yè)務(wù)流����;所述骨干網(wǎng)邊緣路由器用于根據(jù)所述配置請求信息�,建立流分類表項(xiàng)��,并僅對符合所述流分類表項(xiàng)的業(yè)務(wù)流在所述邏輯承載網(wǎng)中進(jìn)行轉(zhuǎn)發(fā)。
其中�����,所述邏輯承載網(wǎng)是網(wǎng)間互聯(lián)協(xié)議v4網(wǎng)絡(luò)或網(wǎng)間互聯(lián)協(xié)議v6網(wǎng)絡(luò)�����。
通過比較可以發(fā)現(xiàn)�����,本發(fā)明的技術(shù)方案與現(xiàn)有技術(shù)的區(qū)別在于����,通過采用邏輯隔離和面向連接技術(shù)����,為需要安全性保證的電信級業(yè)務(wù)的主被叫之間建立專用的邏輯業(yè)務(wù)流通道����。當(dāng)業(yè)務(wù)流到達(dá)PE時(shí)�,根據(jù)流分類表中的表項(xiàng)分發(fā)到相應(yīng)的邏輯承載網(wǎng)上傳送�,而對于流分類表中不存在對應(yīng)表項(xiàng)的業(yè)務(wù)流�,則作為普通Internet業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā)��。
這種技術(shù)方案上的區(qū)別���,帶來了較為明顯的有益效果,即方便地實(shí)現(xiàn)了對業(yè)務(wù)流的邏輯隔離和分類傳送,為不同的業(yè)務(wù)流提供了專用的可靠LSP通路��,從而從根本上保障了電信業(yè)務(wù)的安全性���,有效地防止惡意攻擊��。
圖1是根據(jù)本發(fā)明的一個(gè)實(shí)施例的IP網(wǎng)絡(luò)安全性保障系統(tǒng)的邏輯結(jié)構(gòu)圖����;圖2是根據(jù)本發(fā)明的一個(gè)實(shí)施例的IP網(wǎng)絡(luò)安全性保障方法流程圖���。
具體實(shí)施例方式
為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對本發(fā)明作進(jìn)一步地詳細(xì)描述�。
圖1示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的IP網(wǎng)絡(luò)安全性保障系統(tǒng)的邏輯結(jié)構(gòu)圖����。
如圖1所示�,在本發(fā)明的一個(gè)實(shí)施例中�����,IP網(wǎng)絡(luò)安全性保障系統(tǒng)邏輯上由下至上劃分為邏輯承載層10、承載控制層20和業(yè)務(wù)控制層30�����。
邏輯承載層10由邏輯承載網(wǎng)40和50構(gòu)成�,在本實(shí)施例中,它們可以是網(wǎng)間互聯(lián)協(xié)議v4網(wǎng)絡(luò)或網(wǎng)間互聯(lián)協(xié)議v6網(wǎng)絡(luò)�����。邏輯承載網(wǎng)40和50是利用MPLS標(biāo)簽交換路徑(Label Switch Path���,簡稱“LSP”)技術(shù)在運(yùn)營商的物理IP網(wǎng)絡(luò)上預(yù)先規(guī)劃和配置好的�,用于承載特定業(yè)務(wù)類型或特定安全等級的IP業(yè)務(wù)包(如語音業(yè)務(wù)�����、視頻業(yè)務(wù)等)����。邏輯承載網(wǎng)40和50分別對應(yīng)于不同安全等級的業(yè)務(wù)類別����,安全等級的劃分可以參照服務(wù)質(zhì)量(Quality ofService,簡稱“QoS”)DiffServ標(biāo)準(zhǔn)規(guī)定的業(yè)務(wù)類別EF���、AF1����、AF2等,服務(wù)質(zhì)量越高��,安全等級越高����,當(dāng)然為了方便也可以采用同一的安全等級。各個(gè)業(yè)務(wù)之間邏輯上相互隔離��,而且它們與普通Internet業(yè)務(wù)也是邏輯隔離的��,不在邏輯承載網(wǎng)中的普通Internet業(yè)務(wù)得不到安全保障。需要說明的是���,各個(gè)邏輯承載網(wǎng)雖然邏輯上完全獨(dú)立�����,但是可以共用一個(gè)或多個(gè)物理設(shè)備���。邏輯承載網(wǎng)40包含骨干網(wǎng)邊緣路由器(Provider Edge Router,簡稱“PE”)11和14��、中繼路由器12和核心路由器13以及連接它們的LSP15���。假定PE11為入口路由器�,PE14為出口路由器�����,MPLS為每個(gè)來到PE11的IP包加上一個(gè)固定長度的標(biāo)簽�����,中繼路由器12和核心路由器13根據(jù)包頭的標(biāo)簽值進(jìn)行標(biāo)簽交換,作出本地轉(zhuǎn)發(fā)決定���,在PE14再恢復(fù)成原來的包��。從入口到出口的一系列標(biāo)簽交換和轉(zhuǎn)發(fā)決定操作就形成了LSP15����。在本發(fā)明中�����,PE11和PE14除了完成一般的MPLS標(biāo)簽添加和刪除功能之外�����,還要根據(jù)資源管理器(Resource Manager�����,簡稱“RM”)21下發(fā)的配置信息請求建立流分類表��,并僅對符合表項(xiàng)的業(yè)務(wù)流在相應(yīng)的邏輯承載網(wǎng)中進(jìn)行轉(zhuǎn)發(fā)�。
承載控制層20由RM21和22構(gòu)成,負(fù)責(zé)管理邏輯承載層10的網(wǎng)絡(luò)資源(包括帶寬���、處理器和Buffer等)以及對每條業(yè)務(wù)流的業(yè)務(wù)申請進(jìn)行資源允許控制、資源分配和選路�����,滿足業(yè)務(wù)流的安全要求和QoS要求等�。當(dāng)RM21收到業(yè)務(wù)服務(wù)器31發(fā)送的請求后����,在邏輯承載網(wǎng)40選擇主叫用戶所在的PE11和被叫用戶所在的PE14之間的業(yè)務(wù)流路徑LSP15,并且根據(jù)LSP15向PE11和PE15發(fā)送配置請求信息����。
業(yè)務(wù)控制層30由業(yè)務(wù)服務(wù)器31和32構(gòu)成。業(yè)務(wù)服務(wù)器31和32用于處理發(fā)自主叫用戶的業(yè)務(wù)呼叫請求���,并根據(jù)處理結(jié)果請求RM21或者RM22在邏輯承載網(wǎng)40和邏輯承載網(wǎng)50中建立主叫和被叫用戶之間的業(yè)務(wù)流路徑LSP����。常用的業(yè)務(wù)服務(wù)器有處理IP電話(Voice over IP,簡稱“VoIP”)/可視電話等實(shí)時(shí)通訊呼叫信令的軟交換機(jī)��,用戶視頻點(diǎn)播(Video on Demand���,簡稱“VoD”)服務(wù)器等設(shè)備��。
需要說明的是����,圖1中的物理實(shí)體以及連接關(guān)系可以根據(jù)網(wǎng)絡(luò)配置和業(yè)務(wù)需求作相應(yīng)的增刪和修改�����。
接下來結(jié)合圖2���,進(jìn)一步描述根據(jù)本發(fā)明的一個(gè)實(shí)施例的IP網(wǎng)絡(luò)安全性保障方法���。
如圖2所示,首先在步驟101����,業(yè)務(wù)服務(wù)器31接收到發(fā)自主叫用戶的業(yè)務(wù)呼叫請求后,向RM21發(fā)送請求���,請求在邏輯承載網(wǎng)40中建立主叫和被叫用戶之間的LSP15業(yè)務(wù)流通路�����。需要說明的是�����,在軟交換架構(gòu)中��,業(yè)務(wù)服務(wù)器屬于應(yīng)用層實(shí)體��,只負(fù)責(zé)業(yè)務(wù)相關(guān)邏輯的處理����,不負(fù)責(zé)承載控制以及傳輸�����。業(yè)務(wù)服務(wù)器31向RM21發(fā)送的請求消息中包含呼叫所需帶寬�����、主被叫用戶的地址、Qos等級和安全等級����,這些信息用于供RM21判定邏輯承載網(wǎng)40是否有足夠的資源分配給呼叫。值得一提的是�����,這些信息來自于以下幾個(gè)步驟業(yè)務(wù)服務(wù)器31收到業(yè)務(wù)呼叫請求后��,首先獲取該請求中的主被叫用戶地址信息��;然后業(yè)務(wù)服務(wù)器31根據(jù)主被叫信息和呼叫雙方通信���,協(xié)商獲得此次呼叫需要的帶寬等相關(guān)信息����;接著業(yè)務(wù)服務(wù)器31對業(yè)務(wù)請求進(jìn)行分析����,獲取QoS等級和安全等級信息。
接著進(jìn)入步驟102,RM21收到請求后��,根據(jù)請求中攜帶的呼叫帶寬以及主被用戶的地址參數(shù)判定邏輯承載網(wǎng)40中是否有足夠的資源建立LSP15業(yè)務(wù)流通路�����。如果資源不足�,則進(jìn)入步驟113��,通知主叫用戶此次業(yè)務(wù)呼叫請求被拒絕�����;如果資源充足����,則選擇一條符合要求的路徑作為本次呼叫的承載路徑,同時(shí)更新邏輯承載網(wǎng)絡(luò)的資源狀況并向業(yè)務(wù)服務(wù)器31返回確認(rèn)信息���,然后進(jìn)入步驟103��。
在步驟103�,RM21向主叫所屬的PE11和被叫所屬的PE14發(fā)出配置請求�,請求PE11和PE14根據(jù)消息中所攜帶的參數(shù)配置流分類表,該請求中包含業(yè)務(wù)流參數(shù)���、安全等級參數(shù)�����、QoS參數(shù)以及路由信息等����,其中業(yè)務(wù)流參數(shù)是對某條LSP通路承載的業(yè)務(wù)流的描述,而路由信息則是步驟102中RM21根據(jù)承載網(wǎng)40的資源狀況確定的���。
接著進(jìn)入步驟104�。在步驟104��,PE11和PE14根據(jù)發(fā)自RM21的配置請求建立流分類表�,然后根據(jù)表項(xiàng)對進(jìn)入的PE11和PE14的業(yè)務(wù)流進(jìn)行分類,符合此表項(xiàng)的業(yè)務(wù)流��,轉(zhuǎn)發(fā)到相應(yīng)的邏輯承載網(wǎng)40��,不在表項(xiàng)中的業(yè)務(wù)流則作為普通Internet業(yè)務(wù)流處理��。需要說明的是���,流分類表是個(gè)局部于每個(gè)接口板的局部表��,它根據(jù)IP五元組(協(xié)議����,本機(jī)地址,本地端口號�����,遠(yuǎn)端地址�,遠(yuǎn)端端口號)進(jìn)行業(yè)務(wù)流分類�����。流分類表是動(dòng)態(tài)嚴(yán)格受RM21控制的���,也即嚴(yán)格受業(yè)務(wù)服務(wù)器31的控制����。如果用戶不向網(wǎng)絡(luò)業(yè)務(wù)平臺(tái)申請業(yè)務(wù)�����,在PE11和PE14就不會(huì)有對應(yīng)流分類表項(xiàng),而且當(dāng)新建或者刪除某個(gè)LSP業(yè)務(wù)流通道時(shí)�����,流分類表也要實(shí)時(shí)更新����。這就防止了未受信任的用戶接入電信級業(yè)務(wù)邏輯承載網(wǎng)。
當(dāng)業(yè)務(wù)結(jié)束時(shí)�,進(jìn)入步驟105。業(yè)務(wù)服務(wù)器31向RM21發(fā)送業(yè)務(wù)結(jié)束通知�,RM21即時(shí)刷新邏輯承載網(wǎng)40的資源狀態(tài),并發(fā)送命令通知PE11和PE14通過更新流分類表來撤消業(yè)務(wù)流信息����。
通過上述步驟不難發(fā)現(xiàn),在用IP網(wǎng)絡(luò)傳送需要安全性保證的電信級業(yè)務(wù)之前��,通過一系列的消息交互為其建立了一條面向連接的傳送通路���;在傳送過程中��,各類電信級業(yè)務(wù)在各自的邏輯承載網(wǎng)上傳送�,從而實(shí)現(xiàn)了業(yè)務(wù)的IP層邏輯隔離�。
雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施例��,已經(jīng)對本發(fā)明進(jìn)行了圖示和描述�,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白�,可以在形式上和細(xì)節(jié)上對其作各種各樣的改變,而不偏離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍���。
權(quán)利要求
1.一種網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法�,用于防止非法用戶訪問承載電信業(yè)務(wù)的邏輯承載網(wǎng)����,其特征在于,所述方法包含以下步驟A業(yè)務(wù)服務(wù)器向資源管理器發(fā)送第一請求���,請求在所述邏輯承載網(wǎng)中建立主叫和被叫用戶之間的業(yè)務(wù)流路徑;B所述資源管理器響應(yīng)所述第一請求��,在所述邏輯承載網(wǎng)中選擇所述主叫用戶所在的第一骨干網(wǎng)邊緣路由器和所述被叫用戶所在的第二骨干網(wǎng)邊緣路由器之間的一條業(yè)務(wù)流路徑���;C所述資源管理器根據(jù)所述業(yè)務(wù)流路徑��,向所述第一和第二骨干網(wǎng)邊緣路由器發(fā)送配置請求信息���;D所述第一和第二骨干網(wǎng)邊緣路由器分別根據(jù)所述配置請求信息����,建立流分類表項(xiàng)���,并僅對符合所述流分類表項(xiàng)的業(yè)務(wù)流在所述邏輯承載網(wǎng)中進(jìn)行轉(zhuǎn)發(fā)���。
2.根據(jù)權(quán)利要求1所述的網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法,其特征在于����,所述步驟A中的第一請求包含業(yè)務(wù)呼叫所需帶寬、所述主叫和被叫用戶的位置信息�����。
3.根據(jù)權(quán)利要求2所述的網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法���,其特征在于�,所述步驟C中的所述配置請求信息中包含業(yè)務(wù)流參數(shù)���、安全等級參數(shù)�、服務(wù)質(zhì)量參數(shù)以及路由信息����。
4.根據(jù)權(quán)利要求2所述的網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法����,其特征在于����,所述業(yè)務(wù)流路徑是標(biāo)簽交換路徑。
5.根據(jù)權(quán)利要求4所述的網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法���,其特征在于�����,所述步驟B中�,所述資源管理器根據(jù)業(yè)務(wù)流信息��、所述邏輯承載網(wǎng)當(dāng)前的資源狀況�����,以及所述呼叫請求中的呼叫所需帶寬����、主叫和被叫用戶的位置信息,判斷所述邏輯承載網(wǎng)是否有足夠資源提供所述業(yè)務(wù)流路徑����,如果是,則執(zhí)行步驟C���,否則���,拒絕呼叫。
6.根據(jù)權(quán)利要求1或2所述的網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法�����,其特征在于����,所述步驟A還包含以下子步驟A1所述主叫用戶向所述業(yè)務(wù)服務(wù)器發(fā)送業(yè)務(wù)呼叫請求;A2所述業(yè)務(wù)服務(wù)器響應(yīng)所述業(yè)務(wù)呼叫請求�����,協(xié)商所述業(yè)務(wù)呼叫所需的邏輯承載網(wǎng)資源����;A3所述業(yè)務(wù)服務(wù)器對所述業(yè)務(wù)請求進(jìn)行分析�����,確定服務(wù)質(zhì)量����、安全等級參數(shù)�;A4所述業(yè)務(wù)服務(wù)器根據(jù)分析結(jié)果,向資源管理器發(fā)送所述第一請求�,請求在所述邏輯承載網(wǎng)中建立所述主叫和被叫用戶之間的業(yè)務(wù)流路徑。
7.根據(jù)權(quán)利要求1或2所述的網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法�,其特征在于,所述業(yè)務(wù)服務(wù)器是軟交換設(shè)備��。
8.根據(jù)權(quán)利要求1或2所述的網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法��,其特征在于�,還包含以下步驟E 當(dāng)業(yè)務(wù)結(jié)束時(shí),所述業(yè)務(wù)服務(wù)器向所述資源管理器發(fā)送業(yè)務(wù)結(jié)束通知��,所述資源管理器刷新所述邏輯承載網(wǎng)的資源狀態(tài)���,并發(fā)送命令通知所述骨干網(wǎng)邊緣路由器撤消所述業(yè)務(wù)流信息。
9.一種網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障系統(tǒng)����,用于防止非法用戶訪問承載電信業(yè)務(wù)的邏輯承載網(wǎng)����,其特征在于��,所述系統(tǒng)包含業(yè)務(wù)服務(wù)器�����、資源管理器����、邏輯承載網(wǎng)、骨干網(wǎng)邊緣路由器�,其中,所述業(yè)務(wù)服務(wù)器用于處理收到的業(yè)務(wù)呼叫�����,并根據(jù)處理結(jié)果向所述資源管理器發(fā)送第一請求����,請求在所述邏輯承載網(wǎng)中建立主叫和被叫用戶之間的業(yè)務(wù)流路徑;所述資源管理器用于統(tǒng)一管理邏輯承載網(wǎng)中的資源,并響應(yīng)所述第一請求����,在所述邏輯承載網(wǎng)中選擇所述主叫用戶所在的第一骨干網(wǎng)邊緣路由器和所述被叫用戶所在的第二骨干網(wǎng)邊緣路由器之間的一條業(yè)務(wù)流路徑;并且根據(jù)所述業(yè)務(wù)流路徑�����,向所述第一和第二骨干網(wǎng)邊緣路由器發(fā)送配置請求信息���;所述邏輯承載網(wǎng)由基礎(chǔ)網(wǎng)絡(luò)中的路由器以及連接它們的標(biāo)簽交換路徑組成��,用于承載電信業(yè)務(wù)的業(yè)務(wù)流���;所述骨干網(wǎng)邊緣路由器用于根據(jù)所述配置請求信息,建立流分類表項(xiàng)��,并僅對符合所述流分類表項(xiàng)的業(yè)務(wù)流在所述邏輯承載網(wǎng)中進(jìn)行轉(zhuǎn)發(fā)�����。
10.根據(jù)權(quán)利要求9所述的網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障系統(tǒng)����,其特征在于,所述邏輯承載網(wǎng)是網(wǎng)間互聯(lián)協(xié)議v4網(wǎng)絡(luò)或網(wǎng)間互聯(lián)協(xié)議v6網(wǎng)絡(luò)。
全文摘要
本發(fā)明涉及通信領(lǐng)域��,公開了一種網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法及其系統(tǒng)����,能夠更加有效地解決IP網(wǎng)絡(luò)易受攻擊的問題����,從而使電信級業(yè)務(wù)可以承載于安全的IP網(wǎng)絡(luò)之上。這種網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障方法及網(wǎng)間互聯(lián)協(xié)議網(wǎng)絡(luò)安全保障系統(tǒng)通過采用邏輯隔離和面向連接技術(shù)�,為需要安全性保證的電信級業(yè)務(wù)的主被叫之間建立專用的邏輯業(yè)務(wù)流通道。當(dāng)業(yè)務(wù)流到達(dá)PE時(shí)���,根據(jù)流分類表中的表項(xiàng)分發(fā)到相應(yīng)的邏輯承載網(wǎng)上傳送��,而對于流分類表中不存在對應(yīng)表項(xiàng)的業(yè)務(wù)流����,則作為普通Internet業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā)����。
文檔編號H04L12/54GK1710904SQ20041004917
公開日2005年12月21日 申請日期2004年6月18日 優(yōu)先權(quán)日2004年6月18日
發(fā)明者李賀軍 申請人:華為技術(shù)有限公司