一體化標識網絡體系及關鍵技術

互聯網已成為推動社會進步的巨大動力。經濟與社會發展要求互聯網能夠滿足當前乃至未來一段時間內多元化、多樣性服務的需求。然而現有互聯網由于在原始設計模式上是一種網絡支撐一種主要服務的模式，距此目標甚遠。此外，現有互聯網是以“固定、有線”為主的連通方式，不能滿足無線和移動環境下用戶的需求，移動性支持差；互聯網的拓撲結構是具有冪律結構的無標度網絡”，導致其對惡意攻擊和欺騙的抵御能力十分脆弱，難以有效地支持安全性和可控可管性。不難看出，現有互聯網已經不能很好地滿足當今信息社會的需求，嚴重阻礙著信息網絡的進一步發展，急需突破性、跨越式的構思和設計一種新的網絡體系結構，以解決現有互聯網存在的嚴重弊端。

近年來，世界各國紛紛展開了新網絡體系方面的研究工作；中國也非常重視對新一代信息網絡體系及關鍵技術的研究，啟動了一系列與新一代信息網絡相關的科研工作，包括國家重點基礎研究發展(“973”)計劃、國家自然科學基金、國家高技術研究發展(“863”)計劃、發展和改革委員會的中國下一代互聯網(cNGI)等項目。比較有代表性的項目如圖1所不。

需要指出的是，GENI等計劃對新一代信息網絡的研究只是停留在起步和規劃階段，還沒有形成清晰的理論研究方案，其他一些計劃也只是從未來互聯網的某一個或某幾個方面展開研究，缺乏對新網絡體系及關鍵理論與技術的全面性和系統性研究。

北京交通大學下一代互聯網互聯設備國家工程實驗室依托國家“973”項目“一體化可信網絡與普適服務體系基礎研究”，在新網絡體系方面進行了積極探索，提出了一系列的研究成果。本文在這些成果的基礎上，提出了一體化標識網絡體系，以滿足未來互聯網在普適服務、移動性、安全性、可控可管性等方面的需求。

1 一體化標識網絡的總體系結構

文獻初步提出了一體化網絡的總體結構。本文在此基礎上，針對未來互聯網的需求和特點，進一步完善并提出了一體化標識網絡的體系結構，如圖2所示。

從圖2可以看出，一體化標識網絡包括兩個大的層面：基礎設施層和普適服務層。這兩個層面又包括4個標識：接入標識、交換路由標識、連接標識、服務標識。4個標識之間包括3個映射：接入標識解析映射、連接標識解析映射、服務標識解析映射。下面對一體化標識網絡的總體系結構做一個簡要介紹。

基礎設施層的目的是在一個可信(安全、可靠、可控可管)的一體化標識網絡平臺上提供多元化的網絡和終端接入，保證信息交互的可信性和移動性，并有支持普適服務的能力。基礎設施層采用接人標識代表終端的身份信息，采用交換路由標識代表終端的位置信息。接人標識和交換路由標識將普適服務層分為虛擬接入部分和虛擬骨干部分，虛擬接人部分使用接入標識負責通信終端的接入，虛擬骨干部分塊使用交換路由標識解決位置管理和交換路由的問題。

普適服務層負責各種業務的會話、控制和管理，這些業務包括由運營商或第三方增值服務商提供的各種網絡業務，主要是語音、數據、流媒體等。不同的業務用同一個普適服務層承載。普適服務層創建了虛擬服務部分與虛擬連接部分，以及服務標識解析映射與連接標識解析映射，以實現對各種業務的統一控制和管理等。虛擬服務部分引入服務標識來描述和表示多種業務的服務；虛擬連接部分為每個業務提供多種連接。服務標識解析映射將服務對象映射到多個服務連接，以支持多種業務；連接標識解析映射將服務連接映射到基礎設施層的多個連接，體現了一次服務可對應多個連接、多種路徑選擇的思想，從而使服務的實現更加可靠。

一體化標識網絡體系結構是一種不同于開放系統互連(0sI)7層網絡體系和互聯網4層網絡體系的新型網絡體系結構。一體化標識網絡體系將用戶、業務和網絡資源三者有機統一為一個整體，很好地實現了網絡一體化接入并為用戶提供普適服務。

下面就具體介紹基礎設施層和普適服務層的體系結構與理論。

2 基礎設施層理論及關鍵技術

從圖2可以看出，基礎設施層主要包括虛擬接入部分、虛擬骨干部分以及接入標識和交換路由標識之間的接人標識解析映射。

虛擬接入部分通過引入接入標識的概念和機制，實現各種終端、網絡等的統一接入，使用戶能夠在任何時間、任何地點實現最佳的接人與通信，獲得最廣范圍的普適服務，同時保證了異構網絡之間的互聯互通和密切合作。虛擬骨干部分通過引入交換路由標識，通過核心網絡實現業務和資源的協調配置，并用于核心網絡上的廣義交換路由。接入標識解析映射指將接人標識映射到交換路由標識的過程。接入標識解析映射支持一對一、一對多、多對一、多對多4種映射方式。接入標識解析映射的定義見文獻。

基礎設施層的構思和設計方案如圖3所示。

在圖3中，用戶位于虛擬接人部分。接入標識代表接入終端或子網的用戶身份信息，只在虛擬接人部分使用；而虛擬骨干部分的交換路由標識則標識接入終端或子網的位置信息，只在虛擬骨干部分使用。接入交換路由器通過接人標識解析映射實現從接入標識到交換路由標識的映射。這樣就實現了用戶身份信息與位置信息的分離。

基礎設施層的主要優勢如下：

(1)接入標識與交換路由標識的一對一映射解決了IP地址的雙重屬性問題，能夠對移動性等提供較好的支持。各種接入網絡在移動到其他位置之后，僅其交換路由標識需要發生變化，代表用戶身份的接入標識不需要發生變化，只需要改變交換路由標識和接人標識的映射關系。這樣，用戶的連接不需要中斷就可以保證用戶繼續接受各種服務。

(2)保證用戶的安全性和隱私性。在一體化標識網絡中，接入標識代表用戶的身份，而交換路由標識僅僅用于核心網絡進行交換路由。接入標識和交換路由標識分離后，代表用戶身份的接入標識不會在核心網絡上傳播，使得其他用戶不可能通過用戶的身份來截獲他們的信息進行欺騙和攻擊，有效地保證了用戶信息的安全性；也不可能通過截獲核心網絡的信息分析用戶的身份，保證了用戶的隱私性。

(3)保證了網絡的可控可管性。終端或子網在申請接人標識時，網絡管理者根據用戶的簽約信息，對各種接入網絡進行接入控制和鑒權。鑒權的結果決定是否接受用戶連接請求，同時決定為用戶提供的服務質量水平。

(4)接入標識與交換路由標識之間支持一對多映射、多對一映射以及多對多映射，可以有效支持各種新的互聯網應用。當一對多映射在相同的接人位置時，不同的交換路由標識可以具有不同的優先級或流量工程參數，可以滿足同一個終端上各種應用類型所具有的不同需求。一對多映射還可以在不同的接入位置完成，從而有效地支持多家鄉技術。同一個節點的不同接入標識可以在相同的接人位置映射為同一個交換路由標識，這種多對一映射體現了同一個節點的身份可以具有多樣性。另一種多對一指多個接入標識在不同的位置映射為相同的組播交換路由標識，從而為多個節點建立組播路徑。這說明接人標識與交換路由標識的映射可以有效支持組播。同一個節點的多個接入標識在不同的接入點接入網絡時，網絡為多個接入標識分配多個對應的交換路由標識，映射時可以隨機選取，這種多對多的映射方式可以保護業務流的安全性。

3 普適服務層理論及關鍵技術

如圖2所示，普適服務層包括虛擬服務、虛擬連接部分以及服務標識解析映射和連接標識解析映射。

虛擬服務部分是實現普適服務的基礎，用于解決各種服務的統一描述和表示，提供服務的可控可管等。在虛擬服務部分我們引入了服務標識的概念。服務標識用于對多樣化的服務進行統一的分類標識和描述，從而體現普適服務的思想。服務標識解析映射將虛擬服務部分和虛擬連接部分的工作聯系起來，完成服務標識到連接標識的映射，從而為多種服務建立連接。該解析映射的定義見文獻。虛擬連接部分引入了連接標識，作為服務連接和用戶身份的標識，可以很好地支持移動性、安全性，并提供一定的服務質量保證。連接標識解析映射完成連接標識到基礎設施層接入標識的映射，該解析映射的定義見文獻。整個普適服務層的模型如圖4所示。

服務標識到連接標識的解析映射包括4種：一對一映射、一對多映射、多對一映射、多對多映射。

(1)一對一映射是目前互聯網和電信網采用的主要服務連接模式。互聯網中，一次服務由一個傳輸控制協議(TcP]或數據報協議(uDP)連接完成；電信網中，一次電話服務由一條電路連接實現。

(2)一對多映射將一次應用的數據分組，各組數據基于不同的連接傳輸，從而加快服務過程中數據的傳輸速度。

(3)多對一映射指在一次連接過程中傳輸多個不同類別的數據流，數據流來源于同一服務。分為多個數據流傳輸的好處是可以在連接流內根據數據類型的不同需要提供不同的連接方式，提高傳輸效率。

(4)多對多映射實現多個應用到多個連接的傳輸設計。將多個服務分解為不同類型的流，再通過建立多個連接傳輸。多對多映射可加快服務數據傳輸速度，同時對不同數據類型的流進行區別處理，體現普適服務的思想。

連接標識解析映射將虛擬連接部分和基礎設施層的工作聯系起來，完成一個連接標識到多個接入標識的映射，實現服務連接在網絡上的多個路徑選擇，提高了網絡傳送的可靠性。連接標識解析映射同樣支持一對一、一對多、多對一、多對多4種映射方式。

(1)一對一映射為目前互聯網的主要工作方式。

(2)利用一對多映射，可以在原始接入標識發生故障時切換到備用接人標識，保證連接不中斷，提高了可靠性。

(3)多對一的映射可以解決頭端阻塞問題，提高傳輸的可靠性。

(4)多對多映射可以得到多個接人標識并建立多條鏈接。數據可在多條鏈接上同時傳輸。多對多映射下多路徑同時傳輸能夠明顯減少數據的傳輸時間，攻擊者不能通過監聽其中一條路徑截獲所有的數據包。

通過以上一體化標識網絡普適服務層的分析，可歸納出其基本工作原理和機理如下：首先，通過虛擬服務部分定義的服務標識對各種網絡支持的不同服務進行統一的命名標識，以完成統一的服務調度，為在一體化標識網絡上支持多種服務提供可能。當用戶需要獲得某次特定服務時，可通過服務標識查詢機制，根據服務標識在網絡中定位服務。然后，定位的服務與虛擬連接部分建立一個或多個連接，并通過服務標識解析映射與連接標識建立多對一的映射關系。之后，一個連接再通過連接標識解析映射到一個或多個基礎設施層選路，多個選路可保證連接可靠，并提供負載平衡支持，最終完成一體化標識網絡下的一次普適服務。

經過以上全新的設計，普遁服務層可以克服傳統互連網、電信網對普適服務支持的兩個缺陷：缺乏統一的服務標識，缺乏服務標識到服務連接的合理映射。同時，服務標識為各種服務進行統一的命名和管理，實現服務的可控可管，而連接標識可作為主機的唯一身份標識在通信過程中保持不變，以提供移動環境下連接的穩定性。

4 一體化標識網絡的原型系統

基于上述理論與關鍵技術，北京交通大學下一代互聯網互聯設備國家工程實驗室成功研制出一體化標識網絡的原型系統，并在2009年12月通過科技成果鑒定。圖5是典型的一體化標識網絡原型系統拓撲結構圖。

一體化網絡原型系統中5個主要設備的介紹如下：

(1)廣義交換路由器。用于骨干部分內的交換和路由。

(2)接入交換路由器。提供用戶接人功能，完成接入標識與交換路由標識的解析映射。

(3)標識認證服務器。用于用戶身份的認證。

(4)標識映射服務器。用于提供接人標識和交換路由標識、連接標識到接人標識的映射。

(5)服務標識處理器。用于生成服務標識，并且完成服務標識和連接標識之間的解析映射。

該原型系統已經在中國國家工程實驗室內部進行了測試和實際使用，并且在北京信息科技大學、兆維電子、無錫北郵研究院等多家單位進行了部署和應用，獲得了，致好評。

5 結束語

“一體化標識網絡系統”是中國“十一五”期間戰略高技術和大型基礎科技研究領域取得的一項重大創新成果，在體系結構和機制上體現了全新的理念，尤其是在解決移動性、提高網絡安全性和支持普適服務等方面具有非常大的應用價值。借助一體化標識網絡系統，人們只需一種網絡就可以享受數據通信、語音通信、多媒體通信等業務，即通過一種網絡技術真正的實現“三網融合”的目標。新網絡還能夠提供對“物聯網”有效支持，可以使用戶通過傳感器節點與各種物體通信，而且安全性可以得到保障。

“一體化標識網絡系統”不僅為全世界未來信息網絡研究提供了重要的研究思路和可行的實驗環境，也為中國國防和經濟建設、科學研究等領域使用的局域網、公共網和專用網提供了新的具有自主知識產權的基礎平臺。該系統實現了未來網絡體系從概念到現實的跨越，使中國在占領信息領域的制高點，在知識產權問題上不再受國外制約，對中國的發展具有重大的科學意義、經濟意義和社會意義。