討論了網(wǎng)絡(luò)服務(wù)質(zhì)量技術(shù)的發(fā)展，分析了服務(wù)質(zhì)量對IPSec安全設(shè)備的需求，設(shè)計了一種在IPSec安全設(shè)備中實施服務(wù)質(zhì)量的體系結(jié)構(gòu)，提出了對數(shù)據(jù)流采用兩級分類和兩級調(diào)度的機制，從而保障關(guān)鍵業(yè)務(wù)不在IPSec安全設(shè)備處被阻塞。該實施服務(wù)質(zhì)量的體系結(jié)構(gòu)將服務(wù)質(zhì)量模塊與IPSec模塊有機地結(jié)合在一起，提供集成化的檢測、控制和管理功能。
關(guān) 鍵 詞 服務(wù)質(zhì)量; 體系結(jié)構(gòu); 分類; 調(diào)度

隨著Internet的發(fā)展和應(yīng)用，要求虛擬專用網(wǎng)(Virtual Private Network，VPN)技術(shù)不僅能提供信息傳輸?shù)陌踩?，還應(yīng)提供服務(wù)質(zhì)量(Quality of Service，QoS)保障[1，2]，即實現(xiàn)QoS-capble的VPN。由于IP安全協(xié)議(Internet protocol Security, IPSec)安全設(shè)備是位于路由器和內(nèi)部局域網(wǎng)之間的網(wǎng)絡(luò)節(jié)點，是VPN隧道的入口點和出口點，因此也要求其提供QoS保障，這也是下一代VPN需要首先考慮的問題。
目前QoS研究的成果如綜合服務(wù)模型、區(qū)分服務(wù)模型和多協(xié)議標(biāo)簽交換等是專為網(wǎng)絡(luò)交換/路由設(shè)備而提出的，目的是提供有QoS保障的數(shù)據(jù)傳輸[3～6]。而IPSec安全設(shè)備是一種用于加/解密的專用設(shè)備，與交換機/路由器在功能上有著重大區(qū)別，屬于非包交換網(wǎng)絡(luò)設(shè)備，同樣需要提供QoS機制，這也是QoS的一個重要研究方向。
本文提出了在IPSec安全設(shè)備上實施QoS的體系結(jié)構(gòu)，針對IPSec安全設(shè)備的結(jié)構(gòu)和功能特點，設(shè)計了具有分類器1和分類器2的兩極分類技術(shù)，以及具有加密調(diào)度器和轉(zhuǎn)發(fā)調(diào)度器的兩極調(diào)度的關(guān)鍵技術(shù)。該體系結(jié)構(gòu)可以為IPSec安全設(shè)備提供完整的QoS控制，針對有不同QoS需求的業(yè)務(wù)流進(jìn)行有區(qū)別的處理，保障關(guān)鍵業(yè)務(wù)不受阻塞地通過IPSec安全設(shè)備。
1 一種典型的VPN應(yīng)用系統(tǒng)
圖1所示的應(yīng)用于視頻會議的VPN系統(tǒng)以IPSec和密碼技術(shù)為核心，針對中國網(wǎng)絡(luò)的實際情況，采用由國家主管部門批準(zhǔn)的密碼方案提出的適合中國國情的VPN網(wǎng)絡(luò)安全方案。利用該VPN系統(tǒng)中的關(guān)鍵設(shè)備，即IPSec安全設(shè)備在網(wǎng)絡(luò)拓?fù)渲形挥诼酚善骱蛢?nèi)部局域網(wǎng)之間的必經(jīng)地位，對所有進(jìn)出網(wǎng)絡(luò)的信息進(jìn)行基于策略的訪問控制和完成對通信數(shù)據(jù)的加密/解密，能有效防止非法用戶的攻擊，確保網(wǎng)絡(luò)的安全。

2 IPSec安全設(shè)備QoS方案
2.1 IPSec安全設(shè)備QoS體系結(jié)構(gòu)
QoS-IPSec安全設(shè)備要同時具備加密/解密和QoS的功能。由于其位于交換機和路由器之間，因此QoS-IPSec安全設(shè)備中的QoS功能是使QoS-IPSec安全設(shè)備不成為網(wǎng)絡(luò)瓶頸，目的是讓各種業(yè)務(wù)流盡快通過，不在IPSec安全設(shè)備處造成擁塞。QoS-IPSec安全設(shè)備對重要業(yè)務(wù)流提供QoS型服務(wù)，對一般業(yè)務(wù)流提供盡力而為(best-effort)型服務(wù)，而將更精細(xì)的QoS處理交由緊隨QoS-IPSec安全設(shè)備后的路由器處理，以避免因?qū)嵤㏎oS而使QoS-IPSec安全設(shè)備的系統(tǒng)過于復(fù)雜。
在有QoS功能的情況下，IPSec安全設(shè)備對數(shù)據(jù)包的處理流程為：需要加/解密的數(shù)據(jù)包經(jīng)分類后先送到IPSec模塊進(jìn)行處理，然后返回并進(jìn)入排隊隊列，等待隊列調(diào)度模塊的調(diào)度；對不需加密的數(shù)據(jù)，則直接進(jìn)入排隊隊列，如圖2所示。IPSec安全設(shè)備QoS體系結(jié)構(gòu)為層次型，分為QoS管理模塊、QoS模塊與IPSec模塊、物理網(wǎng)絡(luò)層三層，如圖3所示。

IPSec安全設(shè)備QoS體系結(jié)構(gòu)各層的功能如下：
1) QoS管理模塊負(fù)責(zé)監(jiān)測、記錄和審查IPSec安全設(shè)備中緩存等各種資源的使用情況以及當(dāng)前業(yè)務(wù)流的狀態(tài)等情況；管理IPSec安全設(shè)備上的資源；與VPN系統(tǒng)的管理中心交換信息，以確定對新的業(yè)務(wù)是否接納；調(diào)整業(yè)務(wù)流的分類、排隊和調(diào)度策略。
2) IPSec模塊是IPSec安全設(shè)備已有的加密模塊。QoS模塊負(fù)責(zé)QoS功能，包括分類、排隊、調(diào)度等。

QoS-IPSec安全設(shè)備對數(shù)據(jù)包采用兩極分類，數(shù)據(jù)包的調(diào)度機制采用加密調(diào)度器和轉(zhuǎn)發(fā)調(diào)度器兩個調(diào)度器來實現(xiàn)。
3) 物理網(wǎng)絡(luò)層負(fù)責(zé)IP包的實際轉(zhuǎn)發(fā)。
2.2 IPSec安全設(shè)備QoS操作
IPSec安全設(shè)備中主要的QoS操作包括分類、排隊、調(diào)度，這些功能應(yīng)與原有的加密模塊緊密結(jié)合，操作流程如圖4所示，圖中各部件功能如下。
1) 分類器。 QoS-IPSec安全設(shè)備采用兩極分類：第一級將數(shù)據(jù)包分為加密-QoS、加密-非QoS、非加密-盡力而為三類；第二級仍按通常的類別進(jìn)行分類，如實時、非實時、丟失敏感、抖動敏感等類型，即按照業(yè)務(wù)流的特性來提供服務(wù)類型。
為此，系統(tǒng)設(shè)有分類器1和分類器2兩個分類器。分類器1完成第一級分類，確定IP數(shù)據(jù)包是否需要加密、業(yè)務(wù)類型和優(yōu)先級等QoS需求；分類器2完成第二級分類，分類器2只對加密-QoS類進(jìn)行進(jìn)一步的分類，仍采用通常的分類類別。
對其他類型的數(shù)據(jù)，都按盡力而為方式處理。但將盡力而為分類為兩個優(yōu)先級，即加密-非QoS和非加密-盡力而為，加密-非QoS的優(yōu)先級高于非加密-盡力而為。
2) IPSec模塊。采用IP層加密模式、支持隧道加密和凈荷加密兩種工作模式。
3) 調(diào)度器。系統(tǒng)設(shè)置了加密調(diào)度器和轉(zhuǎn)發(fā)調(diào)度器兩個調(diào)度器。加密調(diào)度器調(diào)度加密-QoS類的多個加密等待隊列給IPSec模塊，經(jīng)IPSec模塊處理后仍按原先的分類送入輸出隊列中。加密調(diào)度器通過依靠系統(tǒng)分配給加密-QoS類的有保障的網(wǎng)絡(luò)帶寬進(jìn)行調(diào)度，從而保障各加密-QoS類數(shù)據(jù)流的QoS要求。轉(zhuǎn)發(fā)調(diào)度器調(diào)度經(jīng)過加密處理后的和不需加密處理的所有的隊列，采用加權(quán)公平排隊(Weighted Fair Queuing, WFQ)算法以保證調(diào)度的公平性，使盡力而為隊列也能得到公平的調(diào)度。

2.3 IPSec安全設(shè)備QoS管理
IPSec安全設(shè)備QoS管理系統(tǒng)是在操作系統(tǒng)中增加的子系統(tǒng)，它是每一個支持QoS的網(wǎng)絡(luò)節(jié)點都應(yīng)具備的子系統(tǒng)。管理結(jié)構(gòu)屬于跨多層的結(jié)構(gòu)，有位于應(yīng)用層的用戶界面，也有位于其他層的管理操作模塊。管理結(jié)構(gòu)如圖5所示，圖中各部件的功能如下。 資源庫接納控制模塊業(yè)務(wù)庫策略庫監(jiān)測模塊控制模塊QoS操作管理代理
圖5 IPSec安全設(shè)備QoS管理結(jié)構(gòu)
1) 管理代理。IPSec安全設(shè)備管理代理負(fù)責(zé)與VPN系統(tǒng)的管理中心進(jìn)行信息交互；提供管理界面以對各項參數(shù)進(jìn)行配置；與接納控制模塊、監(jiān)測模塊、控制模塊進(jìn)行交互；針對突發(fā)流和平穩(wěn)流采取不同的管理措施；對突發(fā)流可以通過發(fā)送反饋消息使發(fā)送方調(diào)整滑動窗口的大小來控制網(wǎng)絡(luò)流量。
2) 接納控制模塊。接納控制模塊根據(jù)新業(yè)務(wù)的QoS需求和IPSec安全設(shè)備當(dāng)前資源的使用狀況，審查新的業(yè)務(wù)請求是否符合策略庫中預(yù)先確定的策略，并與管理中心交換信息

后，確定對新的業(yè)務(wù)是否接納。3) 監(jiān)測模塊。實時監(jiān)測、記錄、審查和統(tǒng)計IPSec安全設(shè)備中緩存等各種資源的動態(tài)信息；對不同的業(yè)務(wù)流，測試其網(wǎng)絡(luò)流量、峰值速率、延遲等流的特性，將這些信息存入業(yè)務(wù)庫和資源庫并反饋給隊列調(diào)度器等部件。
4) 控制模塊?？刂颇K負(fù)責(zé)調(diào)整IPSec安全設(shè)備中的分類、排隊和調(diào)度等策略；進(jìn)行隊列的初始化和重置(清空)。
5) 策略庫。存儲各種分類、排隊、丟棄和調(diào)度策略的信息，供分類器、隊列管理和隊列調(diào)度器使用，使它們可以進(jìn)行自動的動態(tài)調(diào)整，具有較好的適應(yīng)性和可擴展性，以適應(yīng)QoS技術(shù)的發(fā)展。策略庫中還包括安全策略數(shù)據(jù)，用以決定對各種類型數(shù)據(jù)流提供的安全服務(wù)類型，如丟棄、忽略、是否需要加/解密等。
6) 資源庫。在管理中心和IPSec安全設(shè)備上設(shè)立有各自的資源庫，存儲IPSec安全設(shè)備中的各種資源(如緩存等)的容量、使用情況等靜態(tài)和動態(tài)信息。在管理中心上存儲VPN成員的網(wǎng)址等信息，并鏡像IPSec安全設(shè)備上的動態(tài)信息；IPSec安全設(shè)備只存儲自身的有關(guān)信息，只在有信息更新時，才向管理中心上的鏡像信息庫發(fā)送更新信息。
7) 業(yè)務(wù)庫。記錄當(dāng)前經(jīng)過IPSec安全設(shè)備的網(wǎng)絡(luò)連接和數(shù)據(jù)流的有關(guān)信息，以及每個排隊隊列的容量和排隊長度，并記錄一段時期內(nèi)各種業(yè)務(wù)類型的數(shù)據(jù)流量所占比例的統(tǒng)計信息。