劉 昕 ，劉菲菲 ，王新穎 ，王德民

（1.吉林大學(xué)網(wǎng)絡(luò)中心 長(zhǎng)春 130012；2.吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 長(zhǎng)春 130012）

1 引言

無(wú)線技術(shù)的日趨成熟、移動(dòng)終端的日益普及和人們對(duì)實(shí)時(shí)在線的網(wǎng)絡(luò)需求與日俱增等，不斷推動(dòng)數(shù)字廣電、電信和網(wǎng)絡(luò)業(yè)務(wù)發(fā)展。在國(guó)際上，三網(wǎng)呈融合趨勢(shì)[1]，并向IPv6網(wǎng)絡(luò)過(guò)渡。例如美國(guó)的COMCAST、日本的HikariTV都通過(guò)IPv6接入實(shí)現(xiàn)廣電業(yè)務(wù)[2]。我國(guó)已經(jīng)建成了全世界最大的IPv6網(wǎng)絡(luò)，網(wǎng)絡(luò)廠商、電信運(yùn)營(yíng)商、信息家電制造商等均已參加研究[3]，其中網(wǎng)絡(luò)運(yùn)營(yíng)問(wèn)題是一項(xiàng)重要課題。一些專家學(xué)者紛紛提出了基于AAA的管理方案，如參考文獻(xiàn)[4]中提出了層次AAA結(jié)構(gòu)及融合協(xié)議的方案，并利用建立短期外地安全關(guān)聯(lián)和上下文轉(zhuǎn)移技術(shù)提高系統(tǒng)性能；參考文獻(xiàn)[5]中提出了與IPSec共存對(duì)用戶進(jìn)行認(rèn)證和消息保護(hù)的AAA實(shí)現(xiàn)方案；在參考文獻(xiàn)[6]中提出了基于域名的網(wǎng)絡(luò)節(jié)點(diǎn)管理方案等。這些方案主要側(cè)重研究IPv6網(wǎng)絡(luò)接入的認(rèn)證和授權(quán)問(wèn)題研究，而對(duì)接入后的網(wǎng)絡(luò)運(yùn)行和經(jīng)營(yíng)問(wèn)題鮮有涉足。

本文在研究電信級(jí)移動(dòng)IPv6網(wǎng)絡(luò)運(yùn)營(yíng)需求基礎(chǔ)上，提出了基于AAA的移動(dòng)IPv6網(wǎng)絡(luò)運(yùn)營(yíng)基礎(chǔ)架構(gòu)，用全局惟一的IPv6地址標(biāo)識(shí)符作為身份標(biāo)識(shí)(UniqueID)，實(shí)現(xiàn)對(duì)不同地域、不同網(wǎng)絡(luò)提供商（ISP）、不同網(wǎng)絡(luò)內(nèi)容提供商（ICP）的交互訪問(wèn)，真正做到了對(duì)移動(dòng)用戶的全方位支持，并通過(guò)動(dòng)態(tài)調(diào)節(jié)機(jī)制，協(xié)調(diào)用戶和各類運(yùn)營(yíng)商之間的協(xié)作關(guān)系，促進(jìn)網(wǎng)絡(luò)資源的合理利用。

2 運(yùn)營(yíng)需求

現(xiàn)有的網(wǎng)絡(luò)、電信運(yùn)營(yíng)系統(tǒng)多為各運(yùn)營(yíng)商獨(dú)立運(yùn)營(yíng)模式，存在硬件和軟件資源重復(fù)配置、用戶終端形式受限等問(wèn)題，巨大的經(jīng)濟(jì)投入制約了產(chǎn)業(yè)的迅速發(fā)展，也無(wú)法有效地為用戶提供移動(dòng)在線的可靠保障。在現(xiàn)階段，基于全局惟一身份建立運(yùn)營(yíng)商間的松散耦合機(jī)制，實(shí)現(xiàn)資源共享、快速結(jié)算，是簡(jiǎn)便易行的方案。電信級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)管理架構(gòu)設(shè)計(jì)除滿足健壯性、安全性和經(jīng)營(yíng)性外，還應(yīng)滿足以下需求。

（1）可管理性

網(wǎng)絡(luò)中轉(zhuǎn)發(fā)的IP分組，可以根據(jù)其IP源地址找到其所有者和位置，保證信息可追溯性[7]。基于海量日志信息進(jìn)行網(wǎng)絡(luò)設(shè)備管理和監(jiān)控，定時(shí)進(jìn)行用戶行為檢測(cè)，可實(shí)現(xiàn)自動(dòng)報(bào)警、簡(jiǎn)單網(wǎng)絡(luò)維護(hù)功能，為管理人員提供友好的管理界面，保障網(wǎng)絡(luò)的可控可管。

（2）普適性

采用統(tǒng)一、簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議進(jìn)行網(wǎng)絡(luò)管理，支持并自動(dòng)識(shí)別用戶接入方式；支持證書、802.1x等認(rèn)證方式；支持多種終端的接入。

（3）可擴(kuò)展性

預(yù)留數(shù)據(jù)處理接口，滿足設(shè)備廠商的私有協(xié)議需求和運(yùn)營(yíng)商、資源服務(wù)商的特色服務(wù)擴(kuò)展需求。盡可能地與社會(huì)公共服務(wù)體系信息庫(kù)建立數(shù)據(jù)接口，增強(qiáng)社會(huì)服務(wù)職能。

（4）靈活性

支持多種資源管理模式，并實(shí)現(xiàn)與之配套的記賬方式。根據(jù)業(yè)務(wù)，建立模塊式記賬功能，用戶和運(yùn)營(yíng)商均可根據(jù)自身業(yè)務(wù)需求定制功能。

（5）支持電子商務(wù)

結(jié)合電子商務(wù)，提供多種形式的自助服務(wù)，方便用戶查詢，并及時(shí)調(diào)整業(yè)務(wù)；保證用戶隨時(shí)在線；根據(jù)源IP地址實(shí)時(shí)結(jié)算，保證各運(yùn)營(yíng)商系統(tǒng)資源的有效合理利用。

（6）協(xié)同性

運(yùn)營(yíng)商之間建立協(xié)同機(jī)制，保證移動(dòng)中的受信用戶可以最大限度地獲得所在地資源，并遵從“誰(shuí)提供、誰(shuí)收費(fèi)”和“誰(shuí)使用、誰(shuí)付費(fèi)”的原則，激勵(lì)運(yùn)營(yíng)商提供高QoS的網(wǎng)絡(luò)接入服務(wù)和更高性能和品質(zhì)的網(wǎng)絡(luò)資源服務(wù)。

從以上功能不難看出，電信級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)服務(wù)，需要有強(qiáng)大的認(rèn)證機(jī)制，保證用戶接入安全和網(wǎng)絡(luò)安全；需要有靈活的授權(quán)機(jī)制，保證用戶的即時(shí)網(wǎng)絡(luò)需求；需要有海量的日志存儲(chǔ)，實(shí)現(xiàn)形式豐富的記賬功能，一方面促使運(yùn)營(yíng)商優(yōu)化網(wǎng)絡(luò)資源，提供高品質(zhì)服務(wù)；另一方面引導(dǎo)用戶合理消費(fèi)。

3 AAA運(yùn)營(yíng)架構(gòu)

3.1 架構(gòu)設(shè)計(jì)

權(quán)威部門預(yù)留一部分IPv6地址用于表示全局惟一的身份標(biāo)志（UniqueID），建立與現(xiàn)有運(yùn)營(yíng)系統(tǒng)中的記賬主鍵（keyID）的一一映射關(guān)系。這樣，單一運(yùn)營(yíng)商內(nèi)部現(xiàn)有私有業(yè)務(wù)可以基于KeyID穩(wěn)定進(jìn)行，業(yè)務(wù)管理需逐步遷移到基于UniqueID的模式；運(yùn)營(yíng)商之間的公用、互訪業(yè)務(wù)則按照UniqueID。對(duì)多運(yùn)營(yíng)商同時(shí)出現(xiàn)的公用信息，本著初始數(shù)據(jù)源分配UniqueID的原則進(jìn)行。如：身份證件標(biāo)識(shí)由公安部門分配；設(shè)備標(biāo)識(shí)由制造商分配等。各運(yùn)營(yíng)商只在必要時(shí)，讀取數(shù)據(jù)源而不再維護(hù)與運(yùn)營(yíng)不緊密相關(guān)的信息。這樣既保證數(shù)據(jù)的真實(shí)可靠，降低了運(yùn)營(yíng)商的維護(hù)成本，當(dāng)運(yùn)營(yíng)商作數(shù)據(jù)分析時(shí)，也只需根據(jù)UniqueID讀取相關(guān)信息，進(jìn)行分析即可。

IPv6網(wǎng)絡(luò)運(yùn)營(yíng)AAA基礎(chǔ)架構(gòu)如圖1所示。有線接入終端接入始終以KeyID身份連入網(wǎng)絡(luò)。無(wú)線移動(dòng)終端在注冊(cè)域內(nèi)的，以KeyID身份連入網(wǎng)絡(luò)；檢測(cè)到多運(yùn)營(yíng)商服務(wù)的（如手機(jī)），根據(jù)運(yùn)營(yíng)商決策策略連入網(wǎng)絡(luò)，以UniqueID身份申請(qǐng)運(yùn)營(yíng)商資源，連通后以提供服務(wù)的運(yùn)營(yíng)商授權(quán)的KeyID身份對(duì)外訪問(wèn)；不斷進(jìn)行運(yùn)營(yíng)商切換的（如車輛），以UniqueID身份進(jìn)行訪問(wèn)，以當(dāng)前域運(yùn)營(yíng)商授權(quán)的KeyID身份獲得網(wǎng)絡(luò)服務(wù)。接入層設(shè)備向運(yùn)營(yíng)商的接入路由發(fā)送通信報(bào)文，報(bào)文中攜帶有終端的身份特征。

圖1 IPv6網(wǎng)絡(luò)運(yùn)營(yíng)AAA基礎(chǔ)架構(gòu)

在架構(gòu)中，運(yùn)營(yíng)商私有的認(rèn)證、授權(quán)和記賬服務(wù)稱為運(yùn)營(yíng)商私有服務(wù)，完成運(yùn)營(yíng)商獨(dú)有的AAA管理。這部分服務(wù)通常為門戶網(wǎng)站、人工前臺(tái)服務(wù)、特色網(wǎng)絡(luò)資源服務(wù)等，與用戶身份聯(lián)系緊密，往往以KeyID身份為主。運(yùn)營(yíng)商之間的互訪和協(xié)同，由終端移動(dòng)引起的運(yùn)營(yíng)商切換帶來(lái)的第三方認(rèn)證、動(dòng)態(tài)授權(quán)和實(shí)時(shí)記賬信息同步結(jié)算，稱為運(yùn)營(yíng)商公共服務(wù)。社會(huì)公共服務(wù)是指從政府部門、設(shè)備生產(chǎn)商、軟件開發(fā)商、社會(huì)公共服務(wù)等部門提供的咨詢，多用于與記賬信息輔助決策，動(dòng)態(tài)調(diào)整認(rèn)證、授權(quán)信息。因?yàn)樵搶由婕安块T廣泛，故應(yīng)以UniqueID身份為核心。認(rèn)證、授權(quán)和記賬在模型中是實(shí)時(shí)相互作用的。

3.2 工作流程

基于AAA的IPv6網(wǎng)絡(luò)運(yùn)營(yíng)的簡(jiǎn)要流程如圖2所示。用戶須首先登錄運(yùn)營(yíng)門戶網(wǎng)站進(jìn)行身份預(yù)注冊(cè)和業(yè)務(wù)預(yù)定制。管理員根據(jù)身份信息模塊審核通過(guò)后，用戶方具有獲得網(wǎng)絡(luò)資源的資格。門戶網(wǎng)站與電子商務(wù)系統(tǒng)密切結(jié)合，可提供基于KeyID的充值，以保證自己隨時(shí)在線；也可以隨時(shí)通過(guò)前臺(tái)服務(wù)或網(wǎng)絡(luò)方式修改自己定制的業(yè)務(wù)。

用戶登錄時(shí)，認(rèn)證中心根據(jù)NAS從客戶端獲得的KeyID進(jìn)行第三方密碼驗(yàn)證或證書驗(yàn)證，結(jié)合登錄位置驗(yàn)證、注冊(cè)運(yùn)營(yíng)商信息、歷史狀態(tài)、不友好身份標(biāo)志、客戶端信息和當(dāng)前費(fèi)用余額等記賬信息，進(jìn)行登錄檢測(cè)認(rèn)證，以保證系統(tǒng)的安全性。對(duì)本地域內(nèi)無(wú)法識(shí)別的KeyID，根據(jù)對(duì)應(yīng)的UniqueID進(jìn)行認(rèn)證。滿足認(rèn)證條件的用戶在訪問(wèn)網(wǎng)絡(luò)時(shí)，用戶終端設(shè)備始終和認(rèn)證中心保持認(rèn)證心跳，運(yùn)營(yíng)系統(tǒng)根據(jù)記賬中心的用戶行為檢測(cè)模塊返回信息和授權(quán)變化來(lái)隨時(shí)變更認(rèn)證返回值。如強(qiáng)制中毒客戶端下線殺毒、根據(jù)授權(quán)的信息進(jìn)行網(wǎng)絡(luò)參數(shù)配置等。

圖2 A AA運(yùn)營(yíng)流程

授權(quán)中心依據(jù)KeyID預(yù)定的網(wǎng)絡(luò)業(yè)務(wù)，根據(jù)IP分配與管理策略和動(dòng)態(tài)授權(quán)策略決策向NAS返回授權(quán)信息。動(dòng)態(tài)授權(quán)實(shí)現(xiàn)基于MAC/IP/Port管理策略、帶寬時(shí)段/網(wǎng)段/出口擁塞動(dòng)態(tài)調(diào)整策略的網(wǎng)絡(luò)接入權(quán)限調(diào)整；結(jié)合運(yùn)營(yíng)商可提供服務(wù)、用戶接入方式識(shí)別、NAS識(shí)別、用戶身份映射策略、運(yùn)營(yíng)商協(xié)商策略等進(jìn)行信息資源訪問(wèn)權(quán)限調(diào)整。其中，身份映射策略實(shí)現(xiàn)將外地移動(dòng)來(lái)的用戶UniqueID映射成本地KeyID，和本地KeyID對(duì)外獲取不同資源的身份映射。授權(quán)通過(guò)后，立即通知記賬服務(wù)。

記賬中心保存KeyID的訪問(wèn)記錄，如IPv6源地址、接入時(shí)間、訪問(wèn)協(xié)議、資源提供商等基礎(chǔ)信息外，還保存參與系統(tǒng)運(yùn)行的設(shè)備狀態(tài)信息；定期對(duì)當(dāng)前時(shí)段的用戶信息進(jìn)行后處理，存入到用戶歷史數(shù)據(jù)庫(kù)。記賬服務(wù)結(jié)合運(yùn)營(yíng)商的服務(wù)類別、與之匹配的計(jì)費(fèi)策略和電子商務(wù)進(jìn)行系統(tǒng)實(shí)時(shí)結(jié)算；結(jié)合設(shè)備狀態(tài)評(píng)價(jià)、咨詢系統(tǒng)版本信息庫(kù)等信息，給出參與系統(tǒng)運(yùn)行的設(shè)備狀態(tài)評(píng)估信息；根據(jù)當(dāng)前網(wǎng)絡(luò)的運(yùn)行狀態(tài)和用戶需求信息，向運(yùn)營(yíng)商提供資源的動(dòng)態(tài)配置建議，包括調(diào)整計(jì)費(fèi)策略、帶寬策略、出口策略等；將基于KeyID的當(dāng)前與歷史數(shù)據(jù)信息進(jìn)行對(duì)比分析，結(jié)合用戶行為檢測(cè)模塊，判斷用戶的行為是否存在干擾網(wǎng)絡(luò)現(xiàn)象。對(duì)費(fèi)用結(jié)算余額達(dá)到閾值、有干擾行為的用戶，應(yīng)變更用戶狀態(tài)信息，關(guān)閉部分授權(quán)、直至返回部分或完全的認(rèn)證失敗信息，終止用戶對(duì)網(wǎng)絡(luò)的干擾和破壞，以保證系統(tǒng)安全。根據(jù)設(shè)備工作狀態(tài)評(píng)價(jià)結(jié)果，對(duì)達(dá)到閾值的設(shè)備和干擾網(wǎng)絡(luò)運(yùn)行的行為及時(shí)向管理人員發(fā)送報(bào)警信息，啟動(dòng)自動(dòng)或人工干預(yù)策略，以保證系統(tǒng)的穩(wěn)定運(yùn)行。

4 結(jié)束語(yǔ)

目前，解決IPv4地址告罄、三網(wǎng)融合，滿足人們實(shí)時(shí)在線需求等問(wèn)題的主要方法是盡快合理部署下一代互聯(lián)網(wǎng)，并建立完善的運(yùn)營(yíng)體制。這是運(yùn)營(yíng)商、設(shè)備制造商向下一代互聯(lián)網(wǎng)技術(shù)平穩(wěn)地、經(jīng)濟(jì)地過(guò)渡的最佳手段。采用以IPv6地址為全局統(tǒng)一標(biāo)識(shí)的AAA運(yùn)營(yíng)架構(gòu)，能夠保證用戶合法有效接入，滿足用戶移動(dòng)訪問(wèn)需求；指導(dǎo)運(yùn)營(yíng)商合理配置資源，并實(shí)現(xiàn)現(xiàn)有運(yùn)營(yíng)系統(tǒng)的松散耦合。

1 曾華燊，竇軍.論下一代網(wǎng)絡(luò)與下一代Internet及其體系結(jié)構(gòu).計(jì)算機(jī)應(yīng)用，2007，27（11）：2615～2618，2622

2 戴鑫.日本運(yùn)營(yíng)商迫切發(fā)展IPv6網(wǎng)絡(luò)發(fā)展促信息服務(wù)升級(jí).通信信息報(bào)，2010年4月14日

3 吳建平.CERNET2：面臨下一代互聯(lián)網(wǎng)挑戰(zhàn).智能建筑，2006（6）：12～13

4 肖文曙，張玉軍，李忠誠(chéng).移動(dòng)IPv6網(wǎng)絡(luò)的層次AAA方案研究.通信學(xué)報(bào)，2006，27（2）：50～55

5 楊躍峰，張思東，周華春等.移動(dòng)IPv6下認(rèn)證、授權(quán)和計(jì)費(fèi)的實(shí)現(xiàn)方案.電視技術(shù)，2005（11）：67～69

6 韓曉非，趙欽，王振華等.IPv6環(huán)境下基于域名的網(wǎng)絡(luò)節(jié)點(diǎn)管理方案.中國(guó)通信學(xué)會(huì)第六屆學(xué)術(shù)年會(huì)論文集（中），2009

7 吳建平，任罡，李星.構(gòu)建基于真實(shí) IPv6源地址驗(yàn)證體系結(jié)構(gòu)的下一代互聯(lián)網(wǎng).中國(guó)科學(xué) E輯：信息科學(xué)，2008，38（10）：1583～1593