业务标识管控机制研究

  • 优秀论文奖
    •  文章作者:中国新闻技术工作者联合会 2021/12/30-04:43 阅读: loading...

    万倩 朱里越 牛妍华

    (国家广电总局广播科学研究院)

    摘要:在三网融合下,针对特定网络环境与网络业务而设计的管控系统将难以适应越来越多样化的新业务。为了完善业务QoS机制,满足多样化的业务需求,本文提出全网业务唯一标识,实现精细化的业务管控机制。该机制可以实现业务可管理、行为可追踪、运行可控制,保证业务运营的规范和健康发展,符合广播电视网络安全播出基本要求。

    关键词:业务唯一标识 管控机制 三网融合

    1. 前言

    随着三网融合的演进,广电不断引入新的业务形态。随着双向化业务不断增加,多种业务共用链路,网络架构和传输体制发生了重大的转变,不同业务的QoS需求与流量模式也产生了变化,这就需要更加完善的技术处理机制。面向三网融合的管控系统的业务管控目标是杜绝与防范非法内容的传播、确保业务合法性传播、保障业务的服务质量。

    QoS(Quality of Service)是服务质量的总效果,对于传输的业务,服务质量包括传输的带宽、传送的时延、数据的丢包率等,DiffServ模型是IP网络QoS的一个可行的解决方案,该方案是基于对网络业务的分类来简化处理的类别,从而解决了可扩展性问题。但是,QoS对业务的识别仅仅是针对某一类业务,无法识别不同运营商,对于业务的控制精细程度不够高,容易影响到其他业务的正常服务。因此,需要进行全网业务唯一标识,针对同一链路传输的不同业务进行精细化识别和不同程度的管控,根据业务特点设计服务质量保证机制,可以在发生安全事故时,及时溯源并采取措施,保障全网业务的QoS和安全,对下一代广播电视网的可管可控可信提供必要的技术支持。

    2. 管控网络

    广电管控系统的功能包括对网络资源的管和对业务内容的控。管即负责全网资源的协调策略,对业务和网络进行双向优化适配。控即对全网传输内容和业务进行监测,即时替换或过滤非法内容的传输,截断经由网络进行的恶意攻击,满足广电系统对于安全性的要求。

    管控系统的管控网是一个独立于业务网和承载网的监管网络,从前端业务平台、骨干网、接入网到用户终端进行多层次全方位控制。管控网由前端的管控中心和部署于网络各层面的节点管控单元组成,管控网络部署及业务标识机制如图1所示。

     

     

    图1 管控网络部署及业务标识机制

    针对管控系统的业务标识机制,管控中心负责业务标识管理、安全策略制定、业务状态分析等功能;节点管控单元部署于业务平台和关键网络节点中,具有业务标识初始化封装、业务状态探测和事故处理等功能。业务唯一标识在管控网络部署中的运行机制如图1中虚线流程所示。

    由业务平台的节点管控单元根据管控中心的业务标识管理机制统一定义和生成业务初始化标识,将业务相对应的唯一标识信息封装到业务流之上,即在IPv4数据包的选项字段/IPv6数据包的扩展报头中封装业务唯一标识信息,保证业务流在整个传输过程中都标记有业务唯一标识;在传输网络中的关键节点部署节点管控单元,网络节点管控单元对业务唯一标识进行解析和处理,通过对标识的识别,根据业务类型对负载内容进行分类深度管控,根据不同的管控级别分析不同类型业务的安全性和网络流量的异常并根据管控中心的安全策略进行相应处理,保障业务的高质量传输。

    3. 业务标识管控机制

    3.1 业务标识机制概述

    为了保障业务源和业务的合法性与安全性,需要对开放式业务平台运营的业务制定唯一标识实现业务的精确识别,为安全管控系统提供精确的数据支持。业务标识的制定需要分析三网融合进程中现有业务和新兴业务的特征,包括业务的来源、业务类型、业务属性、业务传输流特征等一系列元素,在基本元素的基础上制定安全高效的编码规则,形成全网唯一的业务标识。

    业务平台在业务下发时需要用最小字段完成业务唯一标识,业务唯一标识信息包括业务来源、业务运营区域、业务类型、业务优先级、业务编号、终端类型等基础元素。管控系统实时分析上述业务标识信息,节点管控单元根据业务类型对负载内容进行分类深度管控,如果业务出现问题,根据业务运营商追溯,根据业务运营区域及时采取措施,根据业务编号替换、过滤或截断业务数据包;同时,根据终端类型采取不同级别的管控措施。业务唯一标识进一步提升了业务优先级的精细度,管控系统不仅可以根据优先级为某一类别的业务进行资源调度,还可以结合业务唯一标识进行精细化的处理,大大提高管控的效率和准确度,避免影响到其他业务的正常服务。

    3.2 业务标识封装

    目前,IPv4地址资源已经耗尽,IPv6具有大量的地址资源和更好的QoS保障,将成为下一代网络协议的标准。同时,由于目前IPv4网络的大范围商业化运营,在演进过程中很长时期内会存在IPv4和IPv6共存的现状,所以业务标识初始化封装方式同时考虑了IPv4和IPv6下的标识技术,在完善的规范的基础上,由业务平台在业务下发前将业务相对应的标识信息封装到对应协议的业务流之上,使业务流在整个传输过程中都标记有业务标识。。

    业务标识的初始化封装方式在深入分析IPv4和IPv6报头格式的基础上,确定业务标识在报头的合理标识位置。即根据IPv4和IPv6的包头格式选取IPv4报头的选项字段和IPv6基本报头的下一报头字段以及扩展报头封装业务唯一标识,通过制定高效、安全的标识格式以及编码规范,最大程度保障业务的传输效率,同时保证业务的安全运行和高效传输。

    3.2.1 IPv4业务标识的封装方法

    IPv4报头的选项(Option)字段是可选的,主要是用于网络测试和调试,其长度变化依赖于所选的项,最大40字节,选项字段由一个或多个八位组组成。IPv4的业务标识选项格式如图2所示,每个选项包含一个八位组选项代码,八位组选项代码由1位拷贝标志、2位选项类和5位选项号组成。选项类为1和3的字段由于没有标准定义,所以网络设备不作任何处理,适合用作自定义业务标识。所以在选项代码字段的保留值1或3中选取一个值,作为自定义业务标识类型;通过长度字段指明该业务唯一标识选项的空间大小;通过指针字段指明下一个可使用空间的位置;在选项字段中封装业务唯一标识信息;如果业务唯一标识信息有固定格式,定义一定长度的标识格式;如果业务唯一标识信息长度可变,采用TLV(类型-长度-值)三元组进行编码。

    业务唯一标识格式被封装到IPv4选项字段后,由相应的处理设备进行解析,对网络传输不会造成影响。但由于占用IP报头字段,所以会影响数据处理效率,降低传输率。因此对于标识格式的定义需要做到最小的字段标识最多的信息。

    3.2.2 IPv6业务标识的封装方法

    IPv6基本报头的下一报头字段将133-254定义为未分配的值,可以在此范围内选择一个值作为自定义标识扩展报头类型,同时在扩展报头中封装自定义业务标识信息。IPv6的业务标识扩展报头格式如图3所示,在下一报头字段的未分配的133-254范围中选取一个值,作为自定义业务标识扩展报头类型;在扩展报头中封装业务唯一标识信息;在扩展报头中,通过下一报头字段定义紧接着的下一报头的类型,通过长度字段指明该业务唯一标识扩展报头的长度;如果业务唯一标识信息有固定格式,定义一定长度的标识格式;如果业务唯一标识信息长度可变,采用TLV(类型-长度-值)三元组进行编码。

    采用IPv6扩展报头进行业务唯一标识,当网络设备接收到数据包时,会读取下一报头字段进行分析,因为不属于标准定义的字段,网络设备将不做处理,因此对网络传输性能影响较小。同时,扩展报头能提供相对大的存储空间,并且在编码格式上拥有更好的灵活性,是一种理想的标识机制。

    3.3 业务标识管控流程

    业务唯一标识在业务流从头端到终端的传输过程中始终存在,节点管控单元可以通过实时监测或定时抽查的方式进行处理。通过对业务标识的一致性检测,可以确定业务是否合法以及是否被恶意篡改;同时,在检测到业务有异常时,根据策略库相应的策略规则执行数据流替换、过滤、截断的操作或通知管控中心采取措施。

     

     

    为了保障业务标识的正常处理,节点管控单元需依托于具有深度包检测功能的设备,同时,节点管控单元需要和管控中心之间建立联动机制,基于业务唯一标识的业务管控流程(图4)如下:

    1. 业务平台节点管控单元根据管控中心的业务标识管理机制统一定义和生成业务唯一标识(业务来源、业务运营区域、业务类型、业务优先级、业务编号和终端类型),实现业务标识初始化,然后将业务唯一标识封装入数据包;
    2. 各级传输网络节点管控单元获取输入的业务数据流中数据包IP报头中业务唯一标识,识别并根据策略库定义的规则分析和处理标识,具体逻辑处理流程详见业务标识处理机制章节;
    3. 无异常情况的业务数据流将正常输出,通过网络继续传输;
    4. 节点管控单元定期将收集的标识信息提交至管控中心;管控中心将收集的信息进行分析,更新中心策略库,同时将更新结果同步到各级节点管控单元的策略库。

    3.4 业务标识处理机制

    图5 业务标识处理机制

    1. 各级传输网络节点管控单元获取输入的业务数据流中数据包IP报头中业务唯一标识并进行识别;
    2. 判断数据流的业务标识是否存在于预设标识列表,若不存在,确定该数据流对应的业务发生异常;
    3. 判断数据流的各个数据包携带的业务标识是否相同,若不同,确定该数据流对应的业务发生异常;
    4. 根据标识中的业务类型对负载内容进行分类深度检查,因为不同的业务种类安全级别要求也不同;
    5. 若符合替换原则,有选择地替换TCP或UDP数据包;
    6. 若符合过滤原则,有选择地过滤TCP或UDP数据包;
    7. 若符合截断原则,为防止内嵌在数据包有效载荷内的恶意行为,业务管控单元就会截断该数据包,确定该数据流对应的业务发生异常;
    8. 根据业务类型相应的应用层协议匹配规则,比如,当节点管控单元收到一个诸如HTTP业务类型的数据包,便根据相应的应用层协议对该数据包进行检查,检测该数据包的操作行为是否符合RFC标准/私有协议,以此判断该数据包是否是恶意的、未经授权的。如果不符合RFC标准/私有协议,则该数据包是经过恶意伪装的,即非HTTP数据包被封装进了目的端口号为TCP 80的HTTP数据包,确定该数据流对应的业务发生异常;
    9. 若出现异常情况,将异常情况告警信息提交安全管控中心,由安全管控中心向管理员进行告警,根据业务运营商和业务编号溯源,根据业务运营区域及时采取管控措施,根据终端类型采取不同级别的管控措施,并由管控中心策略库分析业务的异常状况,更新同步策略库相应处理机制;
    10. 无异常情况的业务数据流将正常输出,通过网络继续传输。

    4. 总结

    基于三网融合下的多样化业务特征,NGB业务网的管控系统将以原有广播业务的管理和控制为基础,建立多层次独立运行的业务与内容监管保障机制,多样化的业务需要在制定完善的业务QoS机制的基础上。本文提出设置全网业务唯一标识,在一定程度上保障业务的传输质量安全,满足精细化的业务管控要求,该机制实现业务可管理、行为可追踪、运行可控制,保证业务运营的规范和健康发展,符合广播电视网络安全播出基本要求。

     

     

    参考文献

    1 RFC1349: Type of Service in the Internet Protocol Suite,[S].1992 2 RFC2990: Next Steps for the IP QoS Architecture,[S].2000 3 万倩,牛妍华,欧阳峰,崔竞飞.IPv4和IPv6双栈下的标识技术研究[J].有线电视技术,2011;18(10):9-12.
    编辑:中国新闻技术工作者联合会

    评论 点击评论