一体化标识网络体系及关键技术

基金项目：国家自然科学基金项目(60903150)

    互联网已成为推动社会进步的巨大动力。经济与社会发展要求互联网能够满足当前乃至未来一段时间内多元化、多样性服务的需求。然而现有互联网由于在原始设计模式上是一种网络支撑一种主要服务的模式，距此目标甚远。此外，现有互联网是以“固定、有线”为主的连通方式，不能满足无线和移动环境下用户的需求，移动性支持差；互联网的拓扑结构是具有幂律结构的无标度网络[1]，导致其对恶意攻击和欺骗的抵御能力十分脆弱，难以有效地支持安全性和可控可管性。不难看出，现有互联网已经不能很好地满足当今信息社会的需求，严重阻碍着信息网络的进一步发展，急需突破性、跨越式的构思和设计一种新的网络体系结构，以解决现有互联网存在的严重弊端。

    近年来，世界各国纷纷展开了新网络体系方面的研究工作[2-6]；中国也非常重视对新一代信息网络体系及关键技术的研究，启动了一系列与新一代信息网络相关的科研工作，包括国家重点基础研究发展(“973”)计划、国家自然科学基金、国家高技术研究发展(“863”)计划、发展和改革委员会的中国下一代互联网(CNGI)等项目。比较有代表性的项目如图1所示。

    需要指出的是，GENI等计划对新一代信息网络的研究只是停留在起步和规划阶段，还没有形成清晰的理论研究方案，其他一些计划也只是从未来互联网的某一个或某几个方面展开研究，缺乏对新网络体系及关键理论与技术的全面性和系统性研究。

    北京交通大学下一代互联网互联设备国家工程实验室依托国家“973”项目“一体化可信网络与普适服务体系基础研究”，在新网络体系方面进行了积极探索，提出了一系列的研究成果[7-9]。本文在这些成果的基础上，提出了一体化标识网络体系，以满足未来互联网在普适服务、移动性、安全性、可控可管性等方面的需求。

1 一体化标识网络的总体系结构
    文献[7]初步提出了一体化网络的总体结构。本文在此基础上，针对未来互联网的需求和特点，进一步完善并提出了一体化标识网络的体系结构，如图2所示。

    从图2可以看出，一体化标识网络包括两个大的层面：基础设施层和普适服务层。这两个层面又包括4个标识：接入标识、交换路由标识、连接标识、服务标识。4个标识之间包括3个映射：接入标识解析映射、连接标识解析映射、服务标识解析映射。下面对一体化标识网络的总体系结构做一个简要介绍。

    基础设施层的目的是在一个可信(安全、可靠、可控可管)的一体化标识网络平台上提供多元化的网络和终端接入，保证信息交互的可信性和移动性，并有支持普适服务的能力。基础设施层采用接入标识代表终端的身份信息，采用交换路由标识代表终端的位置信息。接入标识和交换路由标识将普适服务层分为虚拟接入部分和虚拟骨干部分，虚拟接入部分使用接入标识负责通信终端的接入，虚拟骨干部分块使用交换路由标识解决位置管理和交换路由的问题。

    普适服务层负责各种业务的会话、控制和管理，这些业务包括由运营商或第三方增值服务商提供的各种网络业务，主要是语音、数据、流媒体等。不同的业务用同一个普适服务层承载。普适服务层创建了虚拟服务部分与虚拟连接部分，以及服务标识解析映射与连接标识解析映射，以实现对各种业务的统一控制和管理等。虚拟服务部分引入服务标识来描述和表示多种业务的服务；虚拟连接部分为每个业务提供多种连接。服务标识解析映射将服务对象映射到多个服务连接，以支持多种业务；连接标识解析映射将服务连接映射到基础设施层的多个连接，体现了一次服务可对应多个连接、多种路径选择的思想，从而使服务的实现更加可靠。

    一体化标识网络体系结构是一种不同于开放系统互连(OSI)7层网络体系和互联网4层网络体系的新型网络体系结构。一体化标识网络体系将用户、业务和网络资源三者有机统一为一个整体，很好地实现了网络一体化接入并为用户提供普适服务。

    下面就具体介绍基础设施层和普适服务层的体系结构与理论。

2 基础设施层理论及关键技术
    从图2可以看出，基础设施层主要包括虚拟接入部分、虚拟骨干部分以及接入标识和交换路由标识之间的接入标识解析映射。

    虚拟接入部分通过引入接入标识的概念和机制，实现各种终端、网络等的统一接入，使用户能够在任何时间、任何地点实现最佳的接入与通信，获得最广范围的普适服务，同时保证了异构网络之间的互联互通和密切合作。虚拟骨干部分通过引入交换路由标识，通过核心网络实现业务和资源的协调配置，并用于核心网络上的广义交换路由。接入标识解析映射指将接入标识映射到交换路由标识的过程。接入标识解析映射支持一对一、一对多、多对一、多对多4种映射方式。接入标识解析映射的定义见文献[7]。

    基础设施层的构思和设计方案如图3所示。

    在图3中，用户位于虚拟接入部分。接入标识代表接入终端或子网的用户身份信息，只在虚拟接入部分使用；而虚拟骨干部分的交换路由标识则标识接入终端或子网的位置信息，只在虚拟骨干部分使用。接入交换路由器通过接入标识解析映射实现从接入标识到交换路由标识的映射。这样就实现了用户身份信息与位置信息的分离。

    基础设施层的主要优势如下：
    (1)接入标识与交换路由标识的一对一映射解决了IP地址的双重属性问题，能够对移动性等提供较好的支持。各种接入网络在移动到其他位置之后，仅其交换路由标识需要发生变化，代表用户身份的接入标识不需要发生变化，只需要改变交换路由标识和接入标识的映射关系。这样，用户的连接不需要中断就可以保证用户继续接受各种服务。

    (2)保证用户的安全性和隐私性。在一体化标识网络中，接入标识代表用户的身份，而交换路由标识仅仅用于核心网络进行交换路由。接入标识和交换路由标识分离后，代表用户身份的接入标识不会在核心网络上传播，使得其他用户不可能通过用户的身份来截获他们的信息进行欺骗和攻击，有效地保证了用户信息的安全性；也不可能通过截获核心网络的信息分析用户的身份，保证了用户的隐私性。

    (3)保证了网络的可控可管性。终端或子网在申请接入标识时，网络管理者根据用户的签约信息，对各种接入网络进行接入控制和鉴权。鉴权的结果决定是否接受用户连接请求，同时决定为用户提供的服务质量水平。

    (4)接入标识与交换路由标识之间支持一对多映射、多对一映射以及多对多映射，可以有效支持各种新的互联网应用。当一对多映射在相同的接入位置时，不同的交换路由标识可以具有不同的优先级或流量工程参数，可以满足同一个终端上各种应用类型所具有的不同需求。一对多映射还可以在不同的接入位置完成，从而有效地支持多家乡技术。同一个节点的不同接入标识可以在相同的接入位置映射为同一个交换路由标识，这种多对一映射体现了同一个节点的身份可以具有多样性。另一种多对一指多个接入标识在不同的位置映射为相同的组播交换路由标识，从而为多个节点建立组播路径。这说明接入标识与交换路由标识的映射可以有效支持组播。同一个节点的多个接入标识在不同的接入点接入网络时，网络为多个接入标识分配多个对应的交换路由标识，映射时可以随机选取，这种多对多的映射方式可以保护业务流的安全性。

3 普适服务层理论及关键技术
    如图2所示，普适服务层包括虚拟服务、虚拟连接部分以及服务标识解析映射和连接标识解析映射。

    虚拟服务部分是实现普适服务的基础，用于解决各种服务的统一描述和表示，提供服务的可控可管等。在虚拟服务部分我们引入了服务标识的概念。服务标识用于对多样化的服务进行统一的分类标识和描述，从而体现普适服务的思想。服务标识解析映射将虚拟服务部分和虚拟连接部分的工作联系起来，完成服务标识到连接标识的映射，从而为多种服务建立连接。该解析映射的定义见文献[7]。虚拟连接部分引入了连接标识，作为服务连接和用户身份的标识，可以很好地支持移动性、安全性，并提供一定的服务质量保证。连接标识解析映射完成连接标识到基础设施层接入标识的映射，该解析映射的定义见文献[7]。整个普适服务层的模型如图4所示。

    服务标识到连接标识的解析映射包括4种：一对一映射、一对多映射、多对一映射、多对多映射。

    (1)一对一映射是目前互联网和电信网采用的主要服务连接模式。互联网中，一次服务由一个传输控制协议(TCP)或数据报协议(UDP)连接完成；电信网中，一次电话服务由一条电路连接实现。

    (2)一对多映射将一次应用的数据分组，各组数据基于不同的连接传输，从而加快服务过程中数据的传输速度。

    (3)多对一映射指在一次连接过程中传输多个不同类别的数据流，数据流来源于同一服务。分为多个数据流传输的好处是可以在连接流内根据数据类型的不同需要提供不同的连接方式，提高传输效率。

    (4)多对多映射实现多个应用到多个连接的传输设计。将多个服务分解为不同类型的流，再通过建立多个连接传输。多对多映射可加快服务数据传输速度，同时对不同数据类型的流进行区别处理，体现普适服务的思想。

    连接标识解析映射将虚拟连接部分和基础设施层的工作联系起来，完成一个连接标识到多个接入标识的映射，实现服务连接在网络上的多个路径选择，提高了网络传送的可靠性。连接标识解析映射同样支持一对一、一对多、多对一、多对多4种映射方式。

    (1)一对一映射为目前互联网的主要工作方式。

    (2)利用一对多映射，可以在原始接入标识发生故障时切换到备用接入标识，保证连接不中断，提高了可靠性。

    (3)多对一的映射可以解决头端阻塞问题，提高传输的可靠性。

    (4)多对多映射可以得到多个接入标识并建立多条链接。数据可在多条链接上同时传输。多对多映射下多路径同时传输能够明显减少数据的传输时间，攻击者不能通过监听其中一条路径截获所有的数据包。

    通过以上一体化标识网络普适服务层的分析，可归纳出其基本工作原理和机理如下：首先，通过虚拟服务部分定义的服务标识对各种网络支持的不同服务进行统一的命名标识，以完成统一的服务调度，为在一体化标识网络上支持多种服务提供可能。当用户需要获得某次特定服务时，可通过服务标识查询机制，根据服务标识在网络中定位服务。然后，定位的服务与虚拟连接部分建立一个或多个连接，并通过服务标识解析映射与连接标识建立多对一的映射关系。之后，一个连接再通过连接标识解析映射到一个或多个基础设施层选路，多个选路可保证连接可靠，并提供负载平衡支持，最终完成一体化标识网络下的一次普适服务。

    经过以上全新的设计，普适服务层可以克服传统互连网、电信网对普适服务支持的两个缺陷：缺乏统一的服务标识，缺乏服务标识到服务连接的合理映射。同时，服务标识为各种服务进行统一的命名和管理，实现服务的可控可管，而连接标识可作为主机的唯一身份标识在通信过程中保持不变，以提供移动环境下连接的稳定性。

4 一体化标识网络的原型系统
    基于上述理论与关键技术，北京交通大学下一代互联网互联设备国家工程实验室成功研制出一体化标识网络的原型系统，并在2009年12月通过科技成果鉴定。图5是典型的一体化标识网络原型系统拓扑结构图。

    一体化网络原型系统中5个主要设备的介绍如下：

    (1)广义交换路由器。用于骨干部分内的交换和路由。

    (2)接入交换路由器。提供用户接入功能，完成接入标识与交换路由标识的解析映射。

    (3)标识认证服务器。用于用户身份的认证。

    (4)标识映射服务器。用于提供接入标识和交换路由标识、连接标识到接入标识的映射。

    (5)服务标识处理器。用于生成服务标识，并且完成服务标识和连接标识之间的解析映射。
该原型系统已经在中国国家工程实验室内部进行了测试和实际使用，并且在北京信息科技大学、兆维电子、无锡北邮研究院等多家单位进行了部署和应用，获得了一致好评。

5 结束语
    “一体化标识网络系统”是中国“十一五”期间战略高技术和大型基础科技研究领域取得的一项重大创新成果，在体系结构和机制上体现了全新的理念，尤其是在解决移动性、提高网络安全性和支持普适服务等方面具有非常大的应用价值。借助一体化标识网络系统，人们只需一种网络就可以享受数据通信、语音通信、多媒体通信等业务，即通过一种网络技术真正的实现“三网融合”的目标。新网络还能够提供对“物联网”有效支持，可以使用户通过传感器节点与各种物体通信，而且安全性可以得到保障。

    “一体化标识网络系统”不仅为全世界未来信息网络研究提供了重要的研究思路和可行的实验环境，也为中国国防和经济建设、科学研究等领域使用的局域网、公共网和专用网提供了新的具有自主知识产权的基础平台。该系统实现了未来网络体系从概念到现实的跨越，使中国在占领信息领域的制高点，在知识产权问题上不再受国外制约，对中国的发展具有重大的科学意义、经济意义和社会意义。

6 参考文献
[1] WATTS D J, STROGATZ S H. Collective dynamics of small-world networks [J]. Nature,1998,393:440-442.
[2] The 100x100 Project [EB/OL]. [2010-12-29]. http://100x100network.org/.
[3] 21CN Project [EB/OL]. [2010-12-29]. http://www.btglobalservices.com/business/global/news/2005/edition_1/21CN.html.
[4] WROCLAWSKI J. GENI: Global environment for network innovations [R/OL]. [2010-12-29]. Using the Component and Aggregate Abstractions in the GENI Architecture, GDD-06-42(2006-12-19). http://www.geni.net.
[5] FIND: Future Internet Network Design [EB/OL]. [2010-12-29]. http://find.isi.edu.
[6] FIRE: Future Internet Research and Experimentation [EB/OL]. [2010-12-29]. http://cordis.europa.eu/fp7/ict/fire/.
[7] 张宏科, 苏伟. 新网络体系基础研究——一体化网络与普适服务 [J]. 电子学报, 2007,35(4):593- 598.
[8] 董平, 秦雅娟, 张宏科. 支持普适服务的一体化网络研究 [J]. 电子学报, 2007,35(4):599-606.
[9] 杨冬, 周华春, 张宏科. 基于一体化网络的普适服务研究 [J]. 电子学报, 2007,35(4):607-613.

收稿日期：2011-01-05

[摘要] 现有互联网由于原始设计模式方面的不足，不仅难以满足网络及服务的多元多样性需求，而且在移动性、安全性、可控可管性及服务质量支持方面存在着严重弊端。为解决这些问题，文章提出了一体化标识网络体系，创建了一体化标识网络的“基础设施层”和“普适服务层”理论及关键技术，建立了原型系统对上述网络体系与关键技术进行验证。实验结果表明，这种新的网络体系在有效地解决现有互联网安全、移动、可控可管等严重弊端的同时，可支持普适服务。

[关键词] 一体化网络；标识；基础设施层；普适服务层

[Abstract] Because of historical reasons and the original Internet model, serious shortcomings exist in the current Internet. At present, the Internet cannot adapt well to the demands of diverse networks and services and also lacks support for mobility, security, controllability, and Quality of Service (QoS). This paper proposes a new identifier-based universal network architecture and creates the basic theory and key technologies of the infrastructure layer and pervasive services layer. It also establishes the prototype system and validates the corresponding theories. Results show that our network architecture remedies mobility, security, controllability, and QoS shortcomings in existing information networks. The new network system also provides prefect support for pervasive services.

[Keywords] universal network; identifier; infrastructure layer; pervasive services layer