討論了網(wǎng)絡(luò)服務(wù)質(zhì)量技術(shù)的發(fā)展，分析了服務(wù)質(zhì)量對(duì)IPSec安全設(shè)備的需求，設(shè)計(jì)了一種在IPSec安全設(shè)備中實(shí)施服務(wù)質(zhì)量的體系結(jié)構(gòu)，提出了對(duì)數(shù)據(jù)流采用兩級(jí)分類和兩級(jí)調(diào)度的機(jī)制，從而保障關(guān)鍵業(yè)務(wù)不在IPSec安全設(shè)備處被阻塞。該實(shí)施服務(wù)質(zhì)量的體系結(jié)構(gòu)將服務(wù)質(zhì)量模塊與IPSec模塊有機(jī)地結(jié)合在一起，提供集成化的檢測、控制和管理功能。
關(guān) 鍵 詞 服務(wù)質(zhì)量; 體系結(jié)構(gòu); 分類; 調(diào)度

隨著Internet的發(fā)展和應(yīng)用，要求虛擬專用網(wǎng)(Virtual Private Network，VPN)技術(shù)不僅能提供信息傳輸?shù)陌踩裕€應(yīng)提供服務(wù)質(zhì)量(Quality of Service，QoS)保障[1，2]，即實(shí)現(xiàn)QoS-capble的VPN。由于IP安全協(xié)議(Internet protocol Security, IPSec)安全設(shè)備是位于路由器和內(nèi)部局域網(wǎng)之間的網(wǎng)絡(luò)節(jié)點(diǎn)，是VPN隧道的入口點(diǎn)和出口點(diǎn)，因此也要求其提供QoS保障，這也是下一代VPN需要首先考慮的問題。
目前QoS研究的成果如綜合服務(wù)模型、區(qū)分服務(wù)模型和多協(xié)議標(biāo)簽交換等是專為網(wǎng)絡(luò)交換/路由設(shè)備而提出的，目的是提供有QoS保障的數(shù)據(jù)傳輸[3～6]。而IPSec安全設(shè)備是一種用于加/解密的專用設(shè)備，與交換機(jī)/路由器在功能上有著重大區(qū)別，屬于非包交換網(wǎng)絡(luò)設(shè)備，同樣需要提供QoS機(jī)制，這也是QoS的一個(gè)重要研究方向。
本文提出了在IPSec安全設(shè)備上實(shí)施QoS的體系結(jié)構(gòu)，針對(duì)IPSec安全設(shè)備的結(jié)構(gòu)和功能特點(diǎn)，設(shè)計(jì)了具有分類器1和分類器2的兩極分類技術(shù)，以及具有加密調(diào)度器和轉(zhuǎn)發(fā)調(diào)度器的兩極調(diào)度的關(guān)鍵技術(shù)。該體系結(jié)構(gòu)可以為IPSec安全設(shè)備提供完整的QoS控制，針對(duì)有不同QoS需求的業(yè)務(wù)流進(jìn)行有區(qū)別的處理，保障關(guān)鍵業(yè)務(wù)不受阻塞地通過IPSec安全設(shè)備。
1 一種典型的VPN應(yīng)用系統(tǒng)
圖1所示的應(yīng)用于視頻會(huì)議的VPN系統(tǒng)以IPSec和密碼技術(shù)為核心，針對(duì)中國網(wǎng)絡(luò)的實(shí)際情況，采用由國家主管部門批準(zhǔn)的密碼方案提出的適合中國國情的VPN網(wǎng)絡(luò)安全方案。利用該VPN系統(tǒng)中的關(guān)鍵設(shè)備，即IPSec安全設(shè)備在網(wǎng)絡(luò)拓?fù)渲形挥诼酚善骱蛢?nèi)部局域網(wǎng)之間的必經(jīng)地位，對(duì)所有進(jìn)出網(wǎng)絡(luò)的信息進(jìn)行基于策略的訪問控制和完成對(duì)通信數(shù)據(jù)的加密/解密，能有效防止非法用戶的攻擊，確保網(wǎng)絡(luò)的安全。

2 IPSec安全設(shè)備QoS方案
2.1 IPSec安全設(shè)備QoS體系結(jié)構(gòu)
QoS-IPSec安全設(shè)備要同時(shí)具備加密/解密和QoS的功能。由于其位于交換機(jī)和路由器之間，因此QoS-IPSec安全設(shè)備中的QoS功能是使QoS-IPSec安全設(shè)備不成為網(wǎng)絡(luò)瓶頸，目的是讓各種業(yè)務(wù)流盡快通過，不在IPSec安全設(shè)備處造成擁塞。QoS-IPSec安全設(shè)備對(duì)重要業(yè)務(wù)流提供QoS型服務(wù)，對(duì)一般業(yè)務(wù)流提供盡力而為(best-effort)型服務(wù)，而將更精細(xì)的QoS處理交由緊隨QoS-IPSec安全設(shè)備后的路由器處理，以避免因?qū)嵤㏎oS而使QoS-IPSec安全設(shè)備的系統(tǒng)過于復(fù)雜。
在有QoS功能的情況下，IPSec安全設(shè)備對(duì)數(shù)據(jù)包的處理流程為：需要加/解密的數(shù)據(jù)包經(jīng)分類后先送到IPSec模塊進(jìn)行處理，然后返回并進(jìn)入排隊(duì)隊(duì)列，等待隊(duì)列調(diào)度模塊的調(diào)度；對(duì)不需加密的數(shù)據(jù)，則直接進(jìn)入排隊(duì)隊(duì)列，如圖2所示。IPSec安全設(shè)備QoS體系結(jié)構(gòu)為層次型，分為QoS管理模塊、QoS模塊與IPSec模塊、物理網(wǎng)絡(luò)層三層，如圖3所示。

IPSec安全設(shè)備QoS體系結(jié)構(gòu)各層的功能如下：
1) QoS管理模塊負(fù)責(zé)監(jiān)測、記錄和審查IPSec安全設(shè)備中緩存等各種資源的使用情況以及當(dāng)前業(yè)務(wù)流的狀態(tài)等情況；管理IPSec安全設(shè)備上的資源；與VPN系統(tǒng)的管理中心交換信息，以確定對(duì)新的業(yè)務(wù)是否接納；調(diào)整業(yè)務(wù)流的分類、排隊(duì)和調(diào)度策略。
2) IPSec模塊是IPSec安全設(shè)備已有的加密模塊。QoS模塊負(fù)責(zé)QoS功能，包括分類、排隊(duì)、調(diào)度等。

QoS-IPSec安全設(shè)備對(duì)數(shù)據(jù)包采用兩極分類，數(shù)據(jù)包的調(diào)度機(jī)制采用加密調(diào)度器和轉(zhuǎn)發(fā)調(diào)度器兩個(gè)調(diào)度器來實(shí)現(xiàn)。
3) 物理網(wǎng)絡(luò)層負(fù)責(zé)IP包的實(shí)際轉(zhuǎn)發(fā)。
2.2 IPSec安全設(shè)備QoS操作
IPSec安全設(shè)備中主要的QoS操作包括分類、排隊(duì)、調(diào)度，這些功能應(yīng)與原有的加密模塊緊密結(jié)合，操作流程如圖4所示，圖中各部件功能如下。
1) 分類器。 QoS-IPSec安全設(shè)備采用兩極分類：第一級(jí)將數(shù)據(jù)包分為加密-QoS、加密-非QoS、非加密-盡力而為三類；第二級(jí)仍按通常的類別進(jìn)行分類，如實(shí)時(shí)、非實(shí)時(shí)、丟失敏感、抖動(dòng)敏感等類型，即按照業(yè)務(wù)流的特性來提供服務(wù)類型。
為此，系統(tǒng)設(shè)有分類器1和分類器2兩個(gè)分類器。分類器1完成第一級(jí)分類，確定IP數(shù)據(jù)包是否需要加密、業(yè)務(wù)類型和優(yōu)先級(jí)等QoS需求；分類器2完成第二級(jí)分類，分類器2只對(duì)加密-QoS類進(jìn)行進(jìn)一步的分類，仍采用通常的分類類別。
對(duì)其他類型的數(shù)據(jù)，都按盡力而為方式處理。但將盡力而為分類為兩個(gè)優(yōu)先級(jí)，即加密-非QoS和非加密-盡力而為，加密-非QoS的優(yōu)先級(jí)高于非加密-盡力而為。
2) IPSec模塊。采用IP層加密模式、支持隧道加密和凈荷加密兩種工作模式。
3) 調(diào)度器。系統(tǒng)設(shè)置了加密調(diào)度器和轉(zhuǎn)發(fā)調(diào)度器兩個(gè)調(diào)度器。加密調(diào)度器調(diào)度加密-QoS類的多個(gè)加密等待隊(duì)列給IPSec模塊，經(jīng)IPSec模塊處理后仍按原先的分類送入輸出隊(duì)列中。加密調(diào)度器通過依靠系統(tǒng)分配給加密-QoS類的有保障的網(wǎng)絡(luò)帶寬進(jìn)行調(diào)度，從而保障各加密-QoS類數(shù)據(jù)流的QoS要求。轉(zhuǎn)發(fā)調(diào)度器調(diào)度經(jīng)過加密處理后的和不需加密處理的所有的隊(duì)列，采用加權(quán)公平排隊(duì)(Weighted Fair Queuing, WFQ)算法以保證調(diào)度的公平性，使盡力而為隊(duì)列也能得到公平的調(diào)度。

2.3 IPSec安全設(shè)備QoS管理
IPSec安全設(shè)備QoS管理系統(tǒng)是在操作系統(tǒng)中增加的子系統(tǒng)，它是每一個(gè)支持QoS的網(wǎng)絡(luò)節(jié)點(diǎn)都應(yīng)具備的子系統(tǒng)。管理結(jié)構(gòu)屬于跨多層的結(jié)構(gòu)，有位于應(yīng)用層的用戶界面，也有位于其他層的管理操作模塊。管理結(jié)構(gòu)如圖5所示，圖中各部件的功能如下。 資源庫接納控制模塊業(yè)務(wù)庫策略庫監(jiān)測模塊控制模塊QoS操作管理代理
圖5 IPSec安全設(shè)備QoS管理結(jié)構(gòu)
1) 管理代理。IPSec安全設(shè)備管理代理負(fù)責(zé)與VPN系統(tǒng)的管理中心進(jìn)行信息交互；提供管理界面以對(duì)各項(xiàng)參數(shù)進(jìn)行配置；與接納控制模塊、監(jiān)測模塊、控制模塊進(jìn)行交互；針對(duì)突發(fā)流和平穩(wěn)流采取不同的管理措施；對(duì)突發(fā)流可以通過發(fā)送反饋消息使發(fā)送方調(diào)整滑動(dòng)窗口的大小來控制網(wǎng)絡(luò)流量。
2) 接納控制模塊。接納控制模塊根據(jù)新業(yè)務(wù)的QoS需求和IPSec安全設(shè)備當(dāng)前資源的使用狀況，審查新的業(yè)務(wù)請(qǐng)求是否符合策略庫中預(yù)先確定的策略，并與管理中心交換信息

后，確定對(duì)新的業(yè)務(wù)是否接納。3) 監(jiān)測模塊。實(shí)時(shí)監(jiān)測、記錄、審查和統(tǒng)計(jì)IPSec安全設(shè)備中緩存等各種資源的動(dòng)態(tài)信息；對(duì)不同的業(yè)務(wù)流，測試其網(wǎng)絡(luò)流量、峰值速率、延遲等流的特性，將這些信息存入業(yè)務(wù)庫和資源庫并反饋給隊(duì)列調(diào)度器等部件。
4) 控制模塊?？刂颇K負(fù)責(zé)調(diào)整IPSec安全設(shè)備中的分類、排隊(duì)和調(diào)度等策略；進(jìn)行隊(duì)列的初始化和重置(清空)。
5) 策略庫。存儲(chǔ)各種分類、排隊(duì)、丟棄和調(diào)度策略的信息，供分類器、隊(duì)列管理和隊(duì)列調(diào)度器使用，使它們可以進(jìn)行自動(dòng)的動(dòng)態(tài)調(diào)整，具有較好的適應(yīng)性和可擴(kuò)展性，以適應(yīng)QoS技術(shù)的發(fā)展。策略庫中還包括安全策略數(shù)據(jù)，用以決定對(duì)各種類型數(shù)據(jù)流提供的安全服務(wù)類型，如丟棄、忽略、是否需要加/解密等。
6) 資源庫。在管理中心和IPSec安全設(shè)備上設(shè)立有各自的資源庫，存儲(chǔ)IPSec安全設(shè)備中的各種資源(如緩存等)的容量、使用情況等靜態(tài)和動(dòng)態(tài)信息。在管理中心上存儲(chǔ)VPN成員的網(wǎng)址等信息，并鏡像IPSec安全設(shè)備上的動(dòng)態(tài)信息；IPSec安全設(shè)備只存儲(chǔ)自身的有關(guān)信息，只在有信息更新時(shí)，才向管理中心上的鏡像信息庫發(fā)送更新信息。
7) 業(yè)務(wù)庫。記錄當(dāng)前經(jīng)過IPSec安全設(shè)備的網(wǎng)絡(luò)連接和數(shù)據(jù)流的有關(guān)信息，以及每個(gè)排隊(duì)隊(duì)列的容量和排隊(duì)長度，并記錄一段時(shí)期內(nèi)各種業(yè)務(wù)類型的數(shù)據(jù)流量所占比例的統(tǒng)計(jì)信息。