[发明专利]实现一体化安全服务的网络系统

说明书

技术领域

本发明涉及一种实现一体化安全服务的网络系统。

背景技术

随着信息化社会的不断发展演进，人们的通信需求已从单一的话音或数据通信向交互式多媒体信息通信发展，网络系统从分别服务的独立系统向话音、视频和数据统一服务的一体化网络发展。近年来，IP技术得到了迅猛发展，以IP技术为核心构建一体化网络已得到业界的共识。然而，通用IP网络的安全性和QoS等问题制约了一体化网络的快速发展。

IP网络存在如下安全问题：

IP协议设计的初衷是遵循开放和平等的原则，在网络安全方面并没有做过多的考虑，使得现行的IP协议体系结构中存在许多安全隐患。这些安全问题主要来自对IP技术的设计、管理、规划和应用。就IP技术本身而言，存在下列问题影响网络安全：

1) 网络对承载的管理信息、控制信令和业务数据同等对待，没有清晰的用户和网络接口界面，导致相互影响。网络的正常运行极容易受到用户行为的影响和干扰，甚至被用户控制。

2) 用户IP地址和网络IP地址没有区分。任何用户终端都可以将IP分组直接发送到网络中的任意设备。使用户终端对网络设备进行攻击成为可能。

3) 用户自由接入网络，且缺乏有效的源地址检验。用户终端可以伪造源地址对网络发起流量冲击或欺骗攻击，而无法追查。

4) 用户业务缺少控制，无法监管，导致非法应用失控、泛滥。

5) IP分组明文传输，信息极易被窃听、篡改、仿冒，IP头有完整的源、目的地址信息极易被非法利用、分析。

在传统IP网络中，一般采用叠加各类安全保密设备提高网络和业务的安全性。比如网络隔离、防火墙、认证服务、入侵检测、漏洞扫描等安全设备，以及链路层、网络层和应用层等保密设备。这种通过叠加方式构建的安全防护体系在一定程度上提高了网络和业务的安全保密性能，但也存在一些问题：

网络性能受限：叠加的安全保密设备在网络中产生额外传输和管理开销，占用了部分带宽资源，增加了业务数据的转发时延，对通信性能影响较大；并且相对于网络交换设备，安全保密设备的分组转发率一般较低，缺乏相应的队列调度机制，使网络交换转发性能无法充分发挥，易产生通信瓶颈，业务的QoS难以得到保证。

设备间难以协调工作：各安全保密设备在网络中独立工作，分别在不同层面提供相应的安全保密功能。由于缺乏一体化的安全体系结构，各设备间形成了安全缝隙。例如物理层与链路层的安全措施（如信道加密设备）无法解决网络层地址欺骗问题，网络层的安全措施（如防火墙）无法识别和过滤应用层的恶意数据，而应用层的安全措施则对针对底层基础设施的攻击无能为力。同时网络交换设备和安全保密设备间也缺乏必要联系，相互影响，不能协调工作。而通过外部线缆的互连接口也存在安全缝隙，给网络安全带来隐患。

安全防护不全：各设备的安全防护措施或策略随功能定位不同，其完备性和复杂性各不相同，一方面造成部分安全功能重叠，降低了通信效能，另一方面各设备的安全策略不易保持协调一致，互斥或遗漏的策略易造成网络通信异常或产生安全漏洞。在传统IP协议体制下，安全防护措施难以有效融入到网络的各个层面，无法对业务通信的全过程进行安全监控。另外，设备间通信采用通用的网络协议，固有的安全问题依然存在，自身的安全防护能力较弱。

设备种类繁多、部署和管理方式各异、网络开通和使用维护困难：品种繁多、功能各异的安全保密设备不仅降低了网络运行的可靠性，而且消耗了大量的经费开支。安全保密设备需根据不同的应用环境进行相应的部署规划，而且各类设备的配置、状态管理，以及密钥管理和分发自成体系，策略配置和使用维护操作十分复杂，要求网络规划和管理维护人员具备较高的专业技能。面对应用业务的不断扩展和层出不穷的安全威胁，需要不断修订策略或设备升级，网络的持续发展和功能扩展受到限制。

NGN/IMS架构可提供多业务应用及灵活便捷的应用扩展，已成为固定和移动网络融合演进的基础。NGN/IMS架构采用业务、控制、承载完全分离的水平架构，具有集中的用户属性和接入无关等特性，支持用户移动性，提供灵活的IP多媒体业务和标准开放的业务接口。但是，目前该架构体系中仍存在一些待解决的问题：