基于AAA的移動IPv6運營架構研究*

劉 昕 ，劉菲菲 ，王新穎 ，王德民

（1.吉林大學網絡中心 長春 130012；2.吉林大學計算機科學與技術學院 長春 130012）

1 引言

無線技術的日趨成熟、移動終端的日益普及和人們對實時在線的網絡需求與日俱增等，不斷推動數字廣電、電信和網絡業務發展。在國際上，三網呈融合趨勢[1]，并向IPv6網絡過渡。例如美國的COMCAST、日本的HikariTV都通過IPv6接入實現廣電業務[2]。我國已經建成了全世界最大的IPv6網絡，網絡廠商、電信運營商、信息家電制造商等均已參加研究[3]，其中網絡運營問題是一項重要課題。一些專家學者紛紛提出了基于AAA的管理方案，如參考文獻[4]中提出了層次AAA結構及融合協議的方案，并利用建立短期外地安全關聯和上下文轉移技術提高系統性能；參考文獻[5]中提出了與IPSec共存對用戶進行認證和消息保護的AAA實現方案；在參考文獻[6]中提出了基于域名的網絡節點管理方案等。這些方案主要側重研究IPv6網絡接入的認證和授權問題研究，而對接入后的網絡運行和經營問題鮮有涉足。

本文在研究電信級移動IPv6網絡運營需求基礎上，提出了基于AAA的移動IPv6網絡運營基礎架構，用全局惟一的IPv6地址標識符作為身份標識(UniqueID)，實現對不同地域、不同網絡提供商（ISP）、不同網絡內容提供商（ICP）的交互訪問，真正做到了對移動用戶的全方位支持，并通過動態調節機制，協調用戶和各類運營商之間的協作關系，促進網絡資源的合理利用。

2 運營需求

現有的網絡、電信運營系統多為各運營商獨立運營模式，存在硬件和軟件資源重復配置、用戶終端形式受限等問題，巨大的經濟投入制約了產業的迅速發展，也無法有效地為用戶提供移動在線的可靠保障。在現階段，基于全局惟一身份建立運營商間的松散耦合機制，實現資源共享、快速結算，是簡便易行的方案。電信級網絡運營管理架構設計除滿足健壯性、安全性和經營性外，還應滿足以下需求。

（1）可管理性

網絡中轉發的IP分組，可以根據其IP源地址找到其所有者和位置，保證信息可追溯性[7]。基于海量日志信息進行網絡設備管理和監控，定時進行用戶行為檢測，可實現自動報警、簡單網絡維護功能，為管理人員提供友好的管理界面，保障網絡的可控可管。

（2）普適性

采用統一、簡單的網絡管理協議進行網絡管理，支持并自動識別用戶接入方式；支持證書、802.1x等認證方式；支持多種終端的接入。

（3）可擴展性

預留數據處理接口，滿足設備廠商的私有協議需求和運營商、資源服務商的特色服務擴展需求。盡可能地與社會公共服務體系信息庫建立數據接口，增強社會服務職能。

（4）靈活性

支持多種資源管理模式，并實現與之配套的記賬方式。根據業務，建立模塊式記賬功能，用戶和運營商均可根據自身業務需求定制功能。

（5）支持電子商務

結合電子商務，提供多種形式的自助服務，方便用戶查詢，并及時調整業務；保證用戶隨時在線；根據源IP地址實時結算，保證各運營商系統資源的有效合理利用。

（6）協同性

運營商之間建立協同機制，保證移動中的受信用戶可以最大限度地獲得所在地資源，并遵從“誰提供、誰收費”和“誰使用、誰付費”的原則，激勵運營商提供高QoS的網絡接入服務和更高性能和品質的網絡資源服務。

從以上功能不難看出，電信級網絡運營服務，需要有強大的認證機制，保證用戶接入安全和網絡安全；需要有靈活的授權機制，保證用戶的即時網絡需求；需要有海量的日志存儲，實現形式豐富的記賬功能，一方面促使運營商優化網絡資源，提供高品質服務；另一方面引導用戶合理消費。

3 AAA運營架構

3.1 架構設計

權威部門預留一部分IPv6地址用于表示全局惟一的身份標志（UniqueID），建立與現有運營系統中的記賬主鍵（keyID）的一一映射關系。這樣，單一運營商內部現有私有業務可以基于KeyID穩定進行，業務管理需逐步遷移到基于UniqueID的模式；運營商之間的公用、互訪業務則按照UniqueID。對多運營商同時出現的公用信息，本著初始數據源分配UniqueID的原則進行。如：身份證件標識由公安部門分配；設備標識由制造商分配等。各運營商只在必要時，讀取數據源而不再維護與運營不緊密相關的信息。這樣既保證數據的真實可靠，降低了運營商的維護成本，當運營商作數據分析時，也只需根據UniqueID讀取相關信息，進行分析即可。

IPv6網絡運營AAA基礎架構如圖1所示。有線接入終端接入始終以KeyID身份連入網絡。無線移動終端在注冊域內的，以KeyID身份連入網絡；檢測到多運營商服務的（如手機），根據運營商決策策略連入網絡，以UniqueID身份申請運營商資源，連通后以提供服務的運營商授權的KeyID身份對外訪問；不斷進行運營商切換的（如車輛），以UniqueID身份進行訪問，以當前域運營商授權的KeyID身份獲得網絡服務。接入層設備向運營商的接入路由發送通信報文，報文中攜帶有終端的身份特征。

圖1 IPv6網絡運營AAA基礎架構

在架構中，運營商私有的認證、授權和記賬服務稱為運營商私有服務，完成運營商獨有的AAA管理。這部分服務通常為門戶網站、人工前臺服務、特色網絡資源服務等，與用戶身份聯系緊密，往往以KeyID身份為主。運營商之間的互訪和協同，由終端移動引起的運營商切換帶來的第三方認證、動態授權和實時記賬信息同步結算，稱為運營商公共服務。社會公共服務是指從政府部門、設備生產商、軟件開發商、社會公共服務等部門提供的咨詢，多用于與記賬信息輔助決策，動態調整認證、授權信息。因為該層涉及部門廣泛，故應以UniqueID身份為核心。認證、授權和記賬在模型中是實時相互作用的。

3.2 工作流程

基于AAA的IPv6網絡運營的簡要流程如圖2所示。用戶須首先登錄運營門戶網站進行身份預注冊和業務預定制。管理員根據身份信息模塊審核通過后，用戶方具有獲得網絡資源的資格。門戶網站與電子商務系統密切結合，可提供基于KeyID的充值，以保證自己隨時在線；也可以隨時通過前臺服務或網絡方式修改自己定制的業務。

用戶登錄時，認證中心根據NAS從客戶端獲得的KeyID進行第三方密碼驗證或證書驗證，結合登錄位置驗證、注冊運營商信息、歷史狀態、不友好身份標志、客戶端信息和當前費用余額等記賬信息，進行登錄檢測認證，以保證系統的安全性。對本地域內無法識別的KeyID，根據對應的UniqueID進行認證。滿足認證條件的用戶在訪問網絡時，用戶終端設備始終和認證中心保持認證心跳，運營系統根據記賬中心的用戶行為檢測模塊返回信息和授權變化來隨時變更認證返回值。如強制中毒客戶端下線殺毒、根據授權的信息進行網絡參數配置等。

圖2 A AA運營流程

授權中心依據KeyID預定的網絡業務，根據IP分配與管理策略和動態授權策略決策向NAS返回授權信息。動態授權實現基于MAC/IP/Port管理策略、帶寬時段/網段/出口擁塞動態調整策略的網絡接入權限調整；結合運營商可提供服務、用戶接入方式識別、NAS識別、用戶身份映射策略、運營商協商策略等進行信息資源訪問權限調整。其中，身份映射策略實現將外地移動來的用戶UniqueID映射成本地KeyID，和本地KeyID對外獲取不同資源的身份映射。授權通過后，立即通知記賬服務。

記賬中心保存KeyID的訪問記錄，如IPv6源地址、接入時間、訪問協議、資源提供商等基礎信息外，還保存參與系統運行的設備狀態信息；定期對當前時段的用戶信息進行后處理，存入到用戶歷史數據庫。記賬服務結合運營商的服務類別、與之匹配的計費策略和電子商務進行系統實時結算；結合設備狀態評價、咨詢系統版本信息庫等信息，給出參與系統運行的設備狀態評估信息；根據當前網絡的運行狀態和用戶需求信息，向運營商提供資源的動態配置建議，包括調整計費策略、帶寬策略、出口策略等；將基于KeyID的當前與歷史數據信息進行對比分析，結合用戶行為檢測模塊，判斷用戶的行為是否存在干擾網絡現象。對費用結算余額達到閾值、有干擾行為的用戶，應變更用戶狀態信息，關閉部分授權、直至返回部分或完全的認證失敗信息，終止用戶對網絡的干擾和破壞，以保證系統安全。根據設備工作狀態評價結果，對達到閾值的設備和干擾網絡運行的行為及時向管理人員發送報警信息，啟動自動或人工干預策略，以保證系統的穩定運行。

4 結束語

目前，解決IPv4地址告罄、三網融合，滿足人們實時在線需求等問題的主要方法是盡快合理部署下一代互聯網，并建立完善的運營體制。這是運營商、設備制造商向下一代互聯網技術平穩地、經濟地過渡的最佳手段。采用以IPv6地址為全局統一標識的AAA運營架構，能夠保證用戶合法有效接入，滿足用戶移動訪問需求；指導運營商合理配置資源，并實現現有運營系統的松散耦合。

1 曾華燊，竇軍.論下一代網絡與下一代Internet及其體系結構.計算機應用，2007，27（11）：2615～2618，2622

2 戴鑫.日本運營商迫切發展IPv6網絡發展促信息服務升級.通信信息報，2010年4月14日

3 吳建平.CERNET2：面臨下一代互聯網挑戰.智能建筑，2006（6）：12～13

4 肖文曙，張玉軍，李忠誠.移動IPv6網絡的層次AAA方案研究.通信學報，2006，27（2）：50～55

5 楊躍峰，張思東，周華春等.移動IPv6下認證、授權和計費的實現方案.電視技術，2005（11）：67～69

6 韓曉非，趙欽，王振華等.IPv6環境下基于域名的網絡節點管理方案.中國通信學會第六屆學術年會論文集（中），2009

7 吳建平，任罡，李星.構建基于真實 IPv6源地址驗證體系結構的下一代互聯網.中國科學 E輯：信息科學，2008，38（10）：1583～1593