[发明专利]一种一体化网络安全管理方法和装置

说明书

技术领域

本发明涉及计算机网络通信技术领域，特别涉及一种一体化网络安全管理方法和装置。

背景技术

随着互联网技术及其应用服务的飞速发展，人们对通信的需求日益增长，现有网络存在的问题也日益突出，当前的计算机网络已经不能满足人们的需求。由于现有的网络在设计之初就存在一些本质的问题，例如，IP地址承担身份和位置双重角色，网络中服务资源存在冗余等。虽然人们一直在对现有网络进行优化和改进，但基本都是以一种打补丁的方式来完成，最后将导致网络架构越来越复杂。为了能够从根本上解决现有网络中的问题，新的网络体系架构的提出正逐步成为国内外信息网络研究的重要内容。

国家973项目“一体化可信网络与普适服务体系基础研究”提出了一种新的网络体系架构，以下简称一体化网络。一体化网络架构由两层组成：服务层和网通层。服务层可分为虚拟服务模块和虚拟连接模块；网通层可分为虚拟接入模块和虚拟骨干模块。服务层定义了服务标识和连接标识，并引入从服务到连接的服务标识解析映射，完成了各种服务的统一描述和管理，从而实现服务的普适化。网通层定义了接入标识和路由标识，并引入从连接到路由的接入标识解析映射，支持现有各种子网和终端的接入，为多元化的网络接入提供了平台，为数据、语音、视频服务提供了一体化网络的网络通信平台，从而有效地支持普适服务。其中，服务标识是一种统一的服务描述形式，每一个服务有唯一的服务标识；连接标识用于为服务建立连接与传输数据；路由标识用在网通层进行选路和路由；接入标识是用于客户端接入的身份标识。一体化网络通过解析映射来完成四个标签的转化过程。

基于此，现有技术提出了一种用户身份认证和消息认证的方案，从而实现一体网络中移动与固定节点的安全接入。该方案主要是设计接入交换路由器、认证中心以及终端这三个功能实体之间的通信协议，通过认证消息的查询和处理等过程，来实现一体化网络基于标识的终端接入方法，提高网络的安全性。

现有的一体化网络体系包括了对用户的注册和认证过程以及服务的注册过程，但并没有一种方法来安全管理控制用户对资源的访问。随着网络服务的不断发展，对网络资源访问的安全管理需求日益增加。例如，如何管控不同用户访问不同资源，如何提供用户的个性化服务等问题日益突出。在一体化网络中，接入标识和服务标识分别代表用户身份和服务身份，如何利用用户身份和服务身份进行网络安全管理成为了一个重要的研究内容，也对当前的网络安全管理具有重要的意义。

现有技术提出了一种基于一体化网络安全服务架构的综合安全防护方法，采用网络承载信息的分类隔离安全防护技术，将业务、控制和管理等信息相互隔离；采用用户的安全接入防护技术，对终端设备进行接入认证；采用节点的安全互连防护技术，对互连节点的合法性进行认证；采用业务的准入控制技术，对用户身份和业务权限进行认证。该发明的积极效果是：将网络通信与安全保密有机融合，构建多层次、全方位的综合安全保密体系，解决了通用IP网络中存在的信令、管理、业务平面不分，网络地址与用户地址不分，网络资源使用范围和时间不受控等问题，有效地避免了叠加式安全保密机制的效率低、防护不全，不能提供面向流的快速安全传输等缺陷。

该技术采用业务的准入控制技术，对用户身份和业务权限进行认证。随着网络安全要求的提高，对信息内容安全管理力度逐步加大。现有的技术只侧重于用户的安全接入和认证，以及业务的认证，并没有提出一种针对用户和服务交互的安全管理方法。

另一现有技术公开了一种基于一体化网络安全服务架构的信息分类隔离方法，将网络中的业务、控制和管理信息分类隔离，各类数据在网络中进行独立的路由交换和传输，具有独立的带宽资源和相应的QoS保证措施，各类数据各行其道，互不干扰。该发明的积极效果是：由于信令系统和网管系统在网络中相对独立的运行，不受业务流量和异常报文的影响，即使在网络业务严重拥塞时也能对系统实施有效控制。同时，也避免了系统消息抢占业务带宽，影响业务的服务质量。

该技术方法具体提出了一种将信息分类隔离的方法，各类数据在网络中进行独立的路由交换和传输，减少各类数据之间的干扰。其侧重点在网络传输层的安全，并没有提出一种针对用户和服务的分类隔离方法。随着网络的发展，网络业务的安全性至关重要，该技术只是在传输层对各类数据进行分离，无法对用户和服务进行分类隔离，从而无法对用户和服务进行分类的操作管理。