（信号与信息处理专业论文）向量网的接入控制技术研究.pdf

中文摘要 摘要：随着因特网的迅猛发展，全世界每天有成千上万的主机接入因特网， 造成了网络规模的急剧膨胀。计算机网络的迅速普及逐渐引起了人们对网络安全 问题的普遍关注，其中一个主要的问题就是如何有效地控制如此多的用户对网络 资源的使用，以及如何在此基础上进行维护和管理。 接入控制技术就是针对以上所述问题所提出的。即在用户访问网络之前，对 用户身份进行认证，屏蔽非法用户，并在此基础上进行计费管理。在目前的i p 网 中已经使用了一些认证和计费技术，而本论文是为向量网的新环境提出一种接入 控制方案。 向量网提出“向量连接 和“向量交换”的概念，以向量地址为研究基础，从 网络的社会属性来分析网络。它具有如下特点及优势：它具有分形结构，交换地 址和标识地址分离；其交换地址是一种用新编址方法的地址称之为向量地址；标 识地址和交换地址分离使得网络具有高效率的交换特性和更好的安全特性，易于 实现移动。向量网与现有互联网、电信网的网络体系结构及目前已经提出或试验 的新型的网络体系结构，从设计理念、结构模型、交换模式、编址与命名、寻址 与路由、服务质量保证方式、网络安全性等方面在特征有很大不同，在构建新网 络体系和网络安全体系结构方面作出了积极的探索和努力。因此说，研究向量网 本身具有良好的经济前景，而接入控制技术是实现向量网设计的重要组成部分， 因此对它的研究十分必要。 论文提出一种在o s i 第三层网络层实现接入控制的方案，包括如何对用户身 份进行认证的设计和计费方案，该设计参考现有网络中所使用的接入控制技术， 广泛借鉴p n n i 、o s p f 相关协议标准，根据向量网的分形结构和子网面向对象等特 征进行设计。该设计在力图体现向量网技术优势的同时，保证向量网的接入控制 操作有效、安全性好，计费分辨率高。 最后作者对提出的设计方案用o p n e t 网络仿真软件进行了仿真，结果表明， 该方案能够实现简单高效的接入控制。 关键词：向量网；接入控制；认证；计费；仿真 分类号： a bs t r a c t a b s t r a c t ：w i t hi n t e m e td e v e l o p i n gs t r i k i n g l y , t h o u s a n d s o fc o m p u t e r sa r e c o n n e c t e di n t oi n t e r n e t ，w h i c hl e a dt ot h ee x p a n d i n go fi n t e r a c t s s c a l e t h er a p i d p r e v a l e n c eo fc o m p u t e rn e t w o r ki sd r a w i n gp e o p l e sa t t e n t i o nw i d e l ya n dg r a d u a l l y o n eo ft h em a i np r o b l e m sp e o p l ec o n c c l ni sh o wt oc o n t r o lt h eu s a g eo fn e t w o r k r e s o u r c e ，a n dt h e nh o wt om a n a g et h en e t w o r ka n de n s u r et h es a f e t yo f t h en e t w o r k a c c o r d i n gt ot h ep r o b l e mm e n t i o n e da b o v e ，a c c e s s i n gc o n t r o lt e c h n i q u ei sp u tf o r w a r d ， w h i c hi su s e df o ra u t h e n t i c a t i n gt h ei d e n t i t yo fu s e r st os h i e l dt h el a w l e s su s e r sa n dt h e n a c c o u n t i n ga n dm a n a g i n gt h en e t w o r k n o w a d a y ss o m et e c h n i q u e so fa u t h e n t i c a t i o n a n da c c o u n t i n ga r ei nu s e a n di nt h i sp a p e r , w ep r e s e n tan e wa c c e s s i n gc o n t r o ls c h e m e i nt h en e wb a c k g r o u n do fv e c t o rn e t w o r k v e c t o rn e t w o r kr a i s e st h ec o n c e p t i o n so f v e c t o r - c o n n e c t a n d “v e c t o r - s w i t c h ，b a s e d o nv e c t o r - a d d r e s s ，b ya n a l y z i n gt h e s o c i a la t t r i b u t eo ft h en e t w o r k i th a s c h a r a c t e r i s t i c sa n da d v a n t a g e sa sf o l l o w s ：f r a c t a lc h a r a c t e r , s w i t c h i n g - a d d r e s sa n d i d e n t i f y i n g - a d d r e s ss e p a r a t ew i t he a c ho t h e r w h i c hm a k e st h en e t w o r ki sm o r ee f f e c t i v e ， m o r es e c u r i t ya n de a s i e rt om o b i l e ；t h es w i t c h i n ga d d r e s si sb a s e do nan e wc o d i n g m e t h o da n di sc a l l e dv e c t o r - a d d r e s s v e c t o rn e t w o r ki sd i f f e r e n tf r o mt e l e c o ma n d i n t e r a c to ro t h e rn e t w o r k si nd e s i g nm e t h o d ，s t r u c t u r em o d e ，t r a n s f e rm o d e ，c o d i n ga n d d e n o m i n a t i n g ，a d d r e s s i n ga n dr o u t i n g ，q o sa n dn e t w o r ks e c u r i t y v e c t o rn e t w o r kd o s o m ea f f i r m a t i v er e s e a r c ho ne x p l o r i n gn e wn e t w o r ka r c h i t e c t u r e t h e r e f o r e ，w ec a n c o n c l u d et h a tr e s e a r c h i n gv e c t o rn e t w o r ki sp r o s p e c t s i n c ea c c e s s i n gc o n t r o lt e c h n i q u e i sn e c e s s a r yf o rt l l er e a l i z a t i o no fv e c t o rn e t w o r k ，i ti ss i g n i f i c a n tf o ru st od os o m e w o r ko ni t t h i sp a p e rp r o p o s e sas c h e m ef o ra c c e s s i n gc o n t r o lw h i c hi sr e a l i z e di nt h e3 坩l a y e ro f o s im o d e l t h i ss c h e m ei n c l u d e sh o wt oa u t h e n t i c a t et h ei d e n t i t yo fu s e r sa n dh o w t o a c c o u n ta c c o r d i n gt ot h eu s a g eo fn e t w o r kr e s o u r c e s a n da c c o r d i n gt ot h ef r a c t a l c h a r a c t e ra n ds u b n e to b j e c t o r i e n t e dc h a r a c t e r , i ti sd e s i g n e db yc o n s u l t i n gn 州l ，o s p f , a n ds o m e a c c e s s i n gc o n t r o lt e c h n i q u e sb e i n g i nu s en o w a d a y s c o n s i d e r i n g m a t e r i a l i z et h ea d v a n t a g e so fv e c t o rn e t w o r k ，t h ed e s i g nm a k e ss u r et h a tt h ea c c e s s i n g c o n t r o lt e c h n i q u ei se f f e c t i v e ，p r e t t ys a f e ，h i g h q u a l i t yi na c c o u n t i n g i nt h ee n d ，t h ea u t h o re m u l a t e st h ed e s i g nu s i n go p n e t , ak i n do fs i m u l a t i o ns o f t w a r e a n dt h er e s u l ti n d i c a t e st h a tt h i ss c h e m em a k e si tp o s s i b l et h a tr e a l i z i n gs i m p l eb u t e f f e c t i v ea c c e s s i n gc o n t r o l i nv e c t o rn e t w o r k k e y w o r d s ：v e c t o rn e t w o r k ；a c c e s s i n g c o n t r o l ；a u t h e n t i c a t i o n ；a c c o u n t i n g ； s i m u l a t i o n c l a s s n 0 ： 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学何论文的规定。特授权北京交 通大学可以将学位论文的全部或部分内容编入有关数据库进行检索，并采用影印、缩印或扫 描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印 件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 签字日期： d 扩年 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位做储虢溯乡弋签字嗍伽静f 月r 日 5 3 致谢 本论文是在导师梁满贵教授的悉心指导下完成的，梁老师对学术严谨、求实 的作风，对工作一丝不苟、认真负责的态度，以及渊博的学识和忘我的工作热情， 深深的打动和教育着我，不但使我在科研能力方面有了很大的提高，而且使我的 生活态度变得更加积极乐观。在此衷心感谢三年来梁老师对我在学习上和生活上 的关心和指导。 我的导师梁满贵老师不禁悉心指导我完成了实验室的科研工作，而且在生活 上也都给予了我很大的关心和帮助，在此我向他表示衷心的感谢。 感谢周卫东博士他们在理论上和实践上都给予我很大帮助；感谢师兄师姐们， 他们在学习和生活上都给了我极大的支持；感谢李凌、甄茂松、贾倩及诸位师弟 师妹对我的支持和帮助，与他们的合作、讨论与交流使我渡过了一段非常愉快的 时光。 论文获得了国家8 6 3 计划课题以及北京交通大学科技基金项目的资助。 另外，感谢张超同学在我整理论文过程中给我提供的经验与帮助，感谢我的 家人在我做科研的过程中，他们一直给我莫大的支持和鼓励，他们默默为我付出 的关爱，是我一生都无法报答的。 感谢我的朋友们，无论我处在成功或者低潮之中，他们对我不离不弃，始终 对我充满信任和鼓励，伴我度过了一段难忘的时光。 最后，向所有给予我帮助、支持和关心的人表示衷心的感谢! 序 本论文的研究工作是在国家8 6 3 项目以及北京交通人学科技基金重点项目的资助下完成 的，论文对向量网中如何进行接入控制，即对于如何进行认证以及在此基础上设计计费方法 进行了深入研究。研究的内容具有理论和实用意义。 接入控制是现代网络所需要具有的重要功能之一，是一个需要不断完善的课题。本文根 据向量网的优势和特点，在向量网的一层网络架构下，仿真实现了一个网域中的呼叫的认证 过程，以及在向量网的三层网络架构下，仿真实现了多个网域间的呼叫的认证过程，并提出 了一种新的计费方法。其认证与计费方法为向量网的进一步实现打下了基础，并为现有网络 中所使用的认证与计费方法引出了新的研究思路。 1 1 论文研究的背景及意义 1 引言 我们知道，i n t e r n e t 自问世以来取得了巨大成功，互联网中电子商务、视频点 播、电子教育等月来越多的服务正在各个方面影响我们的生活、影响这这个世界。 互联网还在不断扩张、成长，正在从原来的窄带网络、单一信息形式、单一业务 向宽带网络、数据语音图像等“三合一”多媒体信息形式和综合业务方向发展。 一方面是网络用户数量以每6 个月翻一番的速度增长，使得网络越来越拥挤；另 一方面是是日新月异的多媒体等业务使得单个用户对带宽的需求不断增加，这些 宽网络需要强大的网管功能进行流量管理、计费管理和安全管理。因此，用户认 证技术和计费技术一直是互联网接入研究中的一个热门话题 2 9 。 1 2 国内外的研究现状 1 2 1 主流的认证技术 下面首先介绍国内外现有网络中的主流的几种认证的技术。 一、 主要认证技术之一：p p p o e m o d e m 接入技术面临一些相互矛盾的目标，既要通过同一个用户前置接入设备 连接远程的多个用户主机，又要提供类似拨号一样的接入控制，计费等功能，而 且要尽可能地减少用户的配置操作。而p p p o e ( p p po v e re t h e r n e t ) 的目标就是解 决上述问题。即通过把最经济的局域网技术以太网和点对点协议的可扩展性 及管理控制功能结合在一起，这样，网络服务提供商和电信运营商就可以利用可 靠而且熟悉的技术来加速部署告诉互联网业务。它使得服务提供商在通过数字用 户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更 加简便易行。同时该技术亦简化了最终用户在选择这些服务时的配置操作 4 。 p p p o e 协议，简单地说，就是将以太网和p p p 协议结合后的协议，目前广泛使 用在a d s l 接入方式中。通过该技术和宽带调制解调器( 比如a d s lm o d e m ) 我 们就可以实现高速的宽带网的个人身份认证访问，为每个用户创建虚拟拨号连接， 这样就可以高速连接到i n t e r n e t 。p p p o e 在标准的p p p 报文的前面加上以太网的报 头，使得p p p o e 提供通过简单桥接接入设备连接远端接入设备，并可以利用以太 网的共享性连接多个用户主机，在这个模型下，每个用户主机使用自身的p p p 堆 栈，用户使用熟悉的界面。认证，计费等都可以针对每个用户来进行 1 1 ，1 3 ，认 证时，使用的是r a d i u s 协议 7 ，8 。 p p p o e 包含发现和p p p 会话两个阶段，发现阶段目的是获得终结端的以太网 m a c 地址，并建立一个唯一的p p p o es e s s i o n i d 。发现阶结束后，就进入标准 的p p p 会话阶段，以下是具体建立会话的步骤。 1 用户首先发出p a d i ( t h ep p p o ea c t i v ed i s c o v e r yi n i t i a t i o n ) 广播侦，在整个以太网 上寻找p p p o es e v e r , 在p a d i 侦中，会话i d 设为0 x 0 0 0 0 2 p p p o es e v e r 收到p a d i 侦后，向用户发出p a d o ( t h e p p p o ea c t i v ed i s c o v e r yo f f e r ) 侦，会话i d 设为0 x 0 0 0 0 。 3 用户收到p a d o 侦后( 收到多个，则从中选一个) ，如果愿意与p p p o es e v e r 建立连接，则发出p a d r ( p p p o ea c t i v ed i s c o v e r yr e q u e s t ) 侦，表示请求与p p p o e s e v e r 建立连接，会话i d 设为0 x 0 0 0 0 。 4 p p p o es e v e r 收到p a d r 后，为p p p o e 会话生成一个会话i d 准备开始一个p p p 连接，并向用户发出p a d s ( p p p o ea c t i v ed i s c o v e r ys e s s i o n c o n f i r m a t i o n ) 侦，确认连 接建立。 5 当用户收到p a d s 后，开始p p p o e 会话阶段。发送的数据先用p p p 封装，然 后放在p p p o e 侦的数据段中。侦结构中的会话i d 为步骤4 中生成的会话i d 。 在p p p 连接建立之前，首先根据p p ps e v e r 的要求，选择一种认证方式，通过 p p p 的用户认证协议进行身份认证，成功则分配合法的i p 地址，通过p p p o e 接入 服务器与外界网络连通。 二、 主要认证计费技术之二：i e e e8 0 2 1 x 认证技术 该技术是由i e e e 定义的，是一种基于端1 2 1 的访问控制协议( p o r tb a s e dn e t w o r k a c c e s sc o n t r o lp r o t o c 0 1 ) ，用于对无线网络的接入认证，在认证时采用r a d i u s 协 议。用户仅仅在接入的时候通过特定的端口进行认证，一旦认证通过，后续的业 务就与认证系统分开，不再进行用户合法性的检查 5 。 8 0 2 1 x 认证采用基于以太网端口的用户访问控制技术。只有网络系统允许并授 权的用户可以访问网络系统的各种业务( 如以太网连接，网络层路由，i n t e r a c t 接 入等业务) 既可以克服p p p o e 方式的诸多问题，又避免了引入集中式宽带接入服 务器所带来的巨大投资。8 0 2 1 x 协议是基于：c l i e n t s e r v e r 的访问控制和认证协议 它可以限制未经授权的用户设备通过接入端口访问l a n m a n 在获得交换机或 l a n 提供的各种业务之前，8 0 2 1 x 对连接到交换机端口上的用户设备进行认证。 2 在认证通过之前，8 0 2 1 x 只允许e a p o l ( 基于局域网的扩展认证协议) 数据通过 设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口 1 2 。 三、主要认证计费技术之三：d h c p + w e b 认证技术 该技术使用d h c p 得到i p 地址进行认证，不需要特殊的客户端软件，降低了网 络维护工作梁；可以得到用户特定信息，如帐号、密码、i p 地址、m a c 地址等， 可以实现面向业务和面向应用的计费机制，可以提供p o r t a l 等业务认证 6 。 w e b 认证是一种基于i p 的认证技术，整个认证流程的每一个步骤都需要i p 的 参与。i p 地址提供了对用户r e l a y 的唯一标识，同一条线路的不同用户可以应用 不同的管理策略，如控制用户上线下线、用户的网络带宽和用户的上网时长等。 认证过程可以跨越3 层网络。认证设备的要求和p p p o e 认证基本相同，包括接人 服务器( 通常是b a s ) 、认证计费系统等。通常情况下需要额外的动态主机配置协 议( d h c p ，d y n a m i ch o s tc o n f i g u r a t i o np r o t o c 0 1 ) 服务器配合。由于认证过程需 要i p 的参与，所以无法做到认证通过后再分配i p 地址，目前一般采用两次地址分 配的方式解决这个问题 1 4 。 1 2 2 主要的计费方法 通信服务计费是设计网络时必须考虑的一个问题。要实现计费功能，就要考虑 访问用户地址、用户类型、访问目标地址、使用时间、资源类型、资源量等参数， 是一个复杂的问题。 我们先来看一下计费方法的发展史。 最初，通信网中统一的速率是运营商作为计费的方式。这种方法意味着运营商 根据给用户所分配的带宽，而不是用户实际所使用的带宽来计费。很明显，这种 方法非常容易实现和管理，也已经在数据通信网的运营中做出了很大的贡献。然 而，这种方法的不合理性非常明显。一方面，对于运营商来说，他们不是根据实 际所使用的带宽来计费，这可能导致宝贵网络资源的大量的浪费；另一方面，对 于使用者来说，有时候他们所占用的带宽不能满足他们的使用 2 4 。 接下来的几十年的计费技术有了明显的突破。随着网络技术的发展，越来越多 的人成为了互联网家族的成员。随之而来的，许多的因特网服务提供商i s p 相继 出现。一般说来，如果考虑到对于网络管理的方便性，包括对计费管理的方便性， 点对点协议p p p 或者串行传输网络协议s l i p 被用来连接拨号用户和因特网服务提 供商。这样，用户的计算机就被连接到网络接入服务器n a s 。最终，认证，授权 3 和计费的功能就可以在网络附加存储设备n a s 上实现了 2 5 。 为了满足越来越多的对i p 地址的需求，i s p 一般动态分配i p 资源。这种分配i p 资源的方式中，基于使用的计费方式根据使用时间长度的计费方式出现了。 这种方式可能会使得用户以一种更高效的方式来使用有限的网络资源。这种方式 显然比统一速率的计费方法更先进。但是如果你认为这种更高级的方法也有其不 足，那你就对了。仔细想一想，在使用网络的高峰时间，你所享受到的服务质量 与普通时间所享受到的完全不一样。然而这种方法在拨号网络中应用非常广泛。 接下来的技术的更新更加令人刮目相看。众所周知，在网络中，信息流以比特 流的方式进行传输，因此比特流能够精确描述用户接收或者传送的数据的数量。 因此，计算比特量是到目前为止能够想到的最精确的计费方式。由于这种方法的 优点，它也被称作“完全计费 2 6 。 纵观计费方法的发展史，总结来看，常用的主流计费方法有下面几种： a 物理线路连接计时计费。 该方法是最早提出的计费方法。 b 按照流量计费。 该方法又可以细分为以下四种。 a ) 总流量计费： b ) 区分q o s 总流量计费； c ) 目标分类计费； d ) 区分q o s 、区分目标计费； 1 3 现有技术存在的优势及问题 随着人们对信息服务需求的日益增长，信息社会呼唤可信赖、安全可靠的网络 与通信服务，而现有网络面对这些需求暴露出了诸多问题和深层次的矛盾，已经 不能满足未来信息社会持续发展的需要。 1 3 1 现有技术的优势 p p p o e ：用户无需在用户主机上设置固定i p 地址、默认网关和域名服务器等： 4 是传统p s t n 窄带拨号接入技术在以太网接入技术的延伸；和原有窄带网络用户 接入认证体系一致；最终用户相对比较容易接收。 i e e e8 0 2 1 x ：8 0 2 1 x 协议为二层协议，不需要到达三层，而且接入层交换机无 需支持8 0 2 1 q 的v l a n ，对设备的整体性能要求不高，可以有效降低建网成本； 通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好。业务报 文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离， 对后续的数据包处理没有特殊要求； 与传统认证方式最本质的区别就是“认证与交换相分离。一旦认证通过，所有 的业务流量就和认证系统分开，有效的解决了网络认证瓶颈问题： 在最初的认证过程中，有别于p p p o e 方式的认证广播数据流，8 0 2 1 x 采用组播 的方式进行分发认证信息流，采取一种“认证后不管 的方式，在认证完成，参 数设置完成后，交换机对网络流量不做过多的干预，极大的提高了数据交换效率， 易于实现一种合理成本下的“可运营，可管理”： “认证与交换相分离使得业务的开展不受认证系统任何影响，使得诸如组播 等新型视频业务开展非常方便； 容易实现：可在普通l 3 、l 2 、i pd s l a m 上实现，网络综合造价成本低。 d h c p + w e b ：不需要特殊的客户端软件，降低网络维护工作量： 可以提供p o r t a l 等业务认证： 对于组播等视频业务支持比较好。 1 3 2 现有技术存在的问题 p p p o e ：p p p 协议和e t h e r n e t 技术本质上存在差异，p p p 协议需要被再次封装到 以太帧中，所以封装效率很低； p p p o e 在发现阶段会产生大量的广播流量，对网络性能产生很大的影响； 组播业务开展困难，而视频业务大部分是基于组播的； 需要运营商提供客户终端软件，维护工作量过大； p p p o e 认证一般需要外置b a s ( 宽带接入服务器，是一种设置在网络汇聚层的 用户接入服务设备，可以智能化地实现用户的汇聚、认证、计费等服务) ，认证完 成后，业务数据流也必须经过b a s 设备，容易造成单点瓶颈和故障，而且该设备 通常非常昂贵。 i e e e8 0 2 1 x ：8 0 2 1 x 的计费只能是基于时间的计费，且由于它是基于端口的网 络访问控制协议，对同一端口下的不同机器不能区分计费； 5 该技术虽然有效地解决了网络瓶颈问题，但安全性不高，因为如果其他用户在 数据传输阶段，接入该端口，则不需认证即可接入网络； 标准的8 0 2 1 x 协议只向认证服务器传递用户认证信息( 如用户密码) ，认证通过 后交换机将用户端口打开，用户即可上网。这种方式存在很多问题，如恶意用户 可以很容易地盗用其它用户的i p 地址资源。 d h c p + w e b ：w e b 承载在第七层协议上，对于设备的要求较高，建网成本高； 用户连接性差，不容易检测用户离线，基于时间的计费较难实现； 易用性不够好，用户在访问网络前，不管是t e l n e t 、f t p 还是其它业务，必 须使用浏览器进行w e b 认证； i p 地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费， 而且不便于多i s p 的支持； 认证前后业务流和数据流无法区分； 分配i p 地址的d h c p 对用户而言是完全裸露的，容易造成被恶意攻击，一旦被 攻击瘫痪，整个网络就没法认证。为了解决易受攻击问题，就必须加装一个防火 墙，这样一来又大大增加了建网成本 9 ，1 0 。 1 4 本文的研究重点和所做的工作 本论文根据向量网的特征，在其架构下，对认证方法及计费方法做出了基本设 计，并利用o p n e t 网络仿真软件对使用该认证方法的运行机制进行了仿真。 本论文主要做了以下方面的工作： 首先，在研究向量网理论和其它相关协议，比如p p p o e ，i e e e8 0 2 1 x ， d h c p + w e b ，p n n i 的基础上，提出了一套基本的身份认证方法，该方法理论上 能够符合向量网的分形结构、子网面向对象等特征，并体现其优势。 其次，利用o p n e t 搭建了一个基本的仿真平台，并且对设计的身份认证方案进 行了仿真，为以后对向量网进行进一步的研究以及功能仿真奠定了基础。 再次，改进了现有网络中的计费方法，提出了一种简单高效的计费方法。 在进行本论文的设计工作的同时，对其它相关技术例如网络技术和o p n e t 仿真 技术进行研究，为系统扩展和提高奠定了技术基础。 总之，本论文的创新之处在于，在向量网这个新的网络架构的背景下，首先设 计出了接入控制功能中的身份认证方案，并进行了网络仿真，其次，设计了一种 理论上简单而高效的计费方案。 6 1 5 本文的组织结构 本论文的组织结构如下： 第一章：介绍了当今主流网络的接入控制技术做了一个介绍，并简要分析了这 些技术的优势与劣势及应用情况。 第二章：对向量网基本概况进行了介绍，包括向量网的交换地址即向量地址的 编码方法、交换方法以及它的主要特性等。 第三章：对向量网架构下的网络进行了接入控制体系方案的研究与设计，重点 设计了在该体系结构下建立的一个网域及多个网域问通信时的认证的方法，以及 提出了一种新的计费方案。 第四章：利用o p n e t 对所提出来的认证方法进行了功能上的仿真，设计了各种 数据包格式，并且对该结构的运行机制进行了模拟。 第五章：对整个论文进行总结。 7 2 向量网概述 通信网络分为计算机网络和电信网，而i s o 这个国际因特网服务组织，按照功 能划分，将计算机网络描绘成一个o s i 七层模型。作为的第三层网络层，显而易 见，向量网向量数据通信网简称为向量网，是研究网络的较低层的数据通信网。 向量网的研究内容包括体系结构、接入控制、q o s 、多播、移动等等一系列的子课 题 2 3 】。 2 1 向量网的地址编码方法 为了达到通信的目的，需要建立一套编码方法，为每个电子设备指定一个编码 标识，这种标识称为电子设备的标识地址。而交换地址被转发设备用于交换操作。 向量网络地址( 简称向量地址) 是一种交换地址，以向量地址为交换地址建立的 数据传送通信网称其为向量传送网。 某个网络的节点与相互连接状况如下图l 所示，在向量传送网中，转发设备的 输入输出端口从1 开始用数字编号，称为端口号，向量地址以端口号为编码基础， 描述了从信源设备到信宿设备传送数据的通信路径。通信路径信息是端口号组成 的序列，路径上的每个转发设备都对应序列中的一个端口号，是通信路径通过该 电子设备的输出端口号 3 0 。 图l 某个网络中的节点连接状况 以上端口号序列就象一步一步的方向标，引导数据包传送到达信宿设备，所以 被称为向量地址，其中的端口号被称为分量地址。 比如，从端站设备a 到端站设备c 的向量地址是v a c = 1 1 4 3 ，向量地址定义的 通信路径上的电子设备依次为a 、g 、i 和j ，不包括信宿设备c ，对应输出端口依 次为a 的l 、g 的1 、i 的4 和j 的3 ，所以是v a c = 1 1 4 3 。同样，v b e = 1 4 3 是从 端站设备b 到端站设备c 的向量地址，向量地址具有多值性，如从端站设备b 到 端站设备c 的向量地址还有1 1 3 3 2 4 3 等等 3 1 。 实际使用的向量地址用二进制编码，以v b d = 1 3 3 3 1 为例，二进制编码方法解释 如下：首先，数据传输路径上的各个电子设备的端口个数不相同，b 、i 、g 、e 、f 五个电子设备的端口数量分别为1 、4 、3 、3 、3 。根据二进制数能表示的数值范围， 电子设备b 有1 个端口，所以用1 位二进制数就可以表示；i 有4 个端口，用3 位 二进制数就可以表示；电子设备g 、e 、f 分别有3 个端口，所以必须用2 位二进 制数才可以表示，注意端口好从1 编起。这样就可以表示输出端口的编号，得到 向量地址的二进制编码如下： 十进制编码： 1 ，4 ，3 ，3 ，3 ) 二进制编码： l ，1 0 0 ，1 l ，1 1 ，1 1 ) 二进制位数：132 2 2 这样，向量地址的表示形式最后变成二进制形式1 1 0 0 1 1 1 1 1 1 1 ，l ，4 ，3 ) = 1 ，l o o ，1 1 ，1 l ，1 1 ) = 1 1 0 0 1 1 1 1 1 l 可以想见，向量地址有无限多值性( 不可穷举) ，不可解读性，可加密性，地址 相对性，有效性，地址不定长性，和包含路由信息等优良特性，因此向量传送网 在数据传送方面，和i p 网和a t m 网等其他主流网络相比，有以下几大优势： i 安全性更高。 i i 网络更加简单。对于i p 网和a t m 网，每转发一个数据包都要查询 地址表，因此消耗巨大的计算资源，使转发设备极其复杂。而向量 传送网没有空间和时问上开销很大的查表操作，因此其转发设备即 向量交换机将非常简单。 i i i 适应性强。网络想扩展就扩展，不存在地址相重的问题。网络地址 不固定，长度不受限制，能适应任何大小的网络，而不会发生网络 地址枯竭。 i v 效率高。对于小网络，地址很短，地址带来的数据传输负担很小， 所以通信线路资源的使用效率高 2 8 。 比较l p 地址、a t m 的路径信道地址和向量地址三种交换地址，主要区别是p 地址依靠电子设备的编号进行地址编码，a t m 的路径信道地址依靠通信线路中的 9 虚链路编号进行地址编码，向量地址依靠电子设备的端口号进行地址编码，简单 地说，口地址是电子设备编码，a t m 地址是链路编码，向量地址是端口号编码。 而端口是转发设备最能直接访问的对象，是向量地址优于p 地址和a t m 地址的 根本原因 2 。 2 2 向量网交换方法 i p 网是一种分组交换网，向量网络也是一种分组交换网，分组交换网中所传输 的数据以数据包的形式出现，下面首先给出一种向量网络的数据包格式，然后给 出其转发设备的交换方法，阐明向量网络地址在转发设备中如何提供路由信息， 实现数据包的路由功能，从而阐明向量网络地址的一些重要特性。 数据包的格式框架： h e a d ：数据包头的固定部分的信息集合，包括的信息有数据包格式的版本号、 传输优先级等信息。 v a ：从信源到信宿的向量地址。 d a t a ：数据包所承载的数据信息。 下面为h e a d 的具体格式： 2 4 8 0 bl bl bl bl bl b3 b 其中d 和v e r 组合形成3 种可选的包头格式，0 、1 和3 字节扩展，扩展比特可 用于包头的检错和纠错等方面，有网域边境决定其用途。 bd et 意义 00 00 ，不丢弃，传数包 o1o b e c n ，丢弃，传数包 1l0 b e c n ，丢弃，传数包 0o1 带宽保持，不丢弃，控制包 l o1带宽保持，不丢弃，控制包 011 保留，用于不重要的信令 lll 保留，用丁不重要的信令 10o 保留，重要数据包可带的信息 表1 包头中每个字符取值范围及其意义 填充位，h e a d 和向量地址之间的位，若干0 和一个1 。填充位1 8 b 。 1 0 通常1 1 1 4 比特译码，得到端口号( 1 6 ) 或( 1 6 2 ) ，可以扩充。0 和一1 不能用。 i v e r ：3 比特，v o 0 0 1 ，0 1 1 表示向量网协议。 i i d ：头长度控制位。 i i i t ：0 和1 ，分别代表控制包和传数包 i v 可丢失指示比特( d e ) ：d e 置“1 ”说明当网络发生拥塞时，可考虑丢 弃，以便于网络进行带宽管理。这个比特仅与帧中继业务有关。 v b ：带宽占用申请比特( d e - - 0 ) 。可丢弃数据包时b 是b e c n ，不可 丢弃数据包，才有b 。在边境才检查b ，b = i 表示是带宽占用包， u s e r 是带宽值。 访 后向显式拥塞通9 h ( b e c n ) ：该比特由一发生拥塞的网络来设置，用于 通知用户启动拥塞避免程序，它说明与载有b e c n 指示的帧反方向 的信息量情况。 v i i 前向显式拥塞通知i ( f e c n ) ：该比特由一发生拥塞的网络来设置，用于 通知用户启动拥塞避免程序，它说明与载有f e c n 指示的帧同方向 的信息量情况。 v i i i f c s u s e r ：检错和纠错，或用户定义。 图2 是向量交换机所执行的转发程序的示意图，描述了交换方法的具体步骤。 该转发程序运行在向量传送网的每个向量交换机中，向量交换机的每个输入端口 当收到一个数据包时，该转发程序就执行一次，实现一次交换操作，它只有3 步 基本操作： a ) 从数据包的向量地址v a 中分离出当前转发操作的输出端口号，即向量 地址v a 的第一个分量，记为t o ； b 1 ) 修改数据包把t 0 从数据包中删除； c ) 把修改后的数据包发到输出端口t 0 2 0 ，2 1 。 图2 转发设备所执行的转发程序的框图 2 3向量网的分形特征 分形的概念是美籍数学家曼德布罗特( b b m a n d e l b o r t ) 首先提出的。1 9 6 7 年他在 美国权威的科学杂志上发表了题为英国的海岸线有多长? 的著名论文。海 岸线作为曲线，其特征是极不规则、极不光滑的，呈现极其蜿蜒复杂的变化。我们不 能从形状和结构上区分这部分海岸与那部分海岸有什么本质的不同，这种几乎同样 程度的不规则性和复杂性，说明海岸线在形貌上是自相似的，也就是局部形态和整 体形态的相似。在没有建筑物或其他东西作为参照物时，在空中拍摄的1 0 0 公里长 的海岸线与放大了的1 0 公里长海岸线的两张照片，看上去会十分相似。 事实上，具有自相似性的形态广泛存在于自然界中，如：连绵的山川、飘浮的云朵、 岩石的断裂口、布朗粒子运动的轨迹、树冠、花菜、大脑皮层曼德布罗特把 这些部分与整体以某种方式相似的形体称为分形( f r a c t a l ) 。1 9 7 5 年，他创立了分形几 何学( f r a c t a lg e o m e t r y ) 。在此基础上，形成了研究分形性质及其应用的科学，称为分形 理论( f r a c t a lt h e o r y ) 2 7 。 自相似原则和迭代生成原则是分形理论的重要原则，所谓分形体系结构的分形 特征表现在： ( 1 ) 自相似原则。应用到网络就是网络可以很小，也可以无限大，而且大网络 1 2 和小网络在体系结构方面相同，即除了节点多少外，网络所用协议数量、协议版 本都相同。 ( 2 ) 迭代生成原则。两个独立发展的网络可以简单合并，形成个更大的单一 网络，反之，一个网络也可以分割成两个可以单独工作的较小网络。 向量网就具有分形特征，则其传送面和控制面都要符合分形特征。 2 4对象的封装性 面向对象是现代信息技术的重要概念，用面向对象的方法，化复杂的功能模块 为较小模块，并且递推这样的分解过程，直到模块足够小，便于实现为止，是设 计一个大的硬件或软件系统重要方法。每个模块内部的实现细节对外不可见，可 见的只有外部需要的部分，即每个对象都有封装性。 电信网和i p 网都是有限层的平面结构，所以不强调面向对象。对于向量网，依 据控制面的树形层次结构，可以把每个子树对应的子网当作一个对象来设计。对 外定义明确的逻辑结构，由外部的其它网络使用，对内根据需要设计具体的实现 结构。从外部看到的一个逻辑上的子网，可以是一台计算机用软件实现( 软件网 络) ，可以是多个节点组成的复杂网络，可以是一经过封装的异构的其它网络，比 如一个私有的a t m 网或i p 内网，只要有合适的网关，来抽象子网的逻辑结构， 建立向量网与异构子网的通信即可。用这种办法可以融合其它网络到向量网，向 量网有这样的融合能力1 2 5向量网络地址及其特性 在向量网中，我们提出三地址定位方案，就是在网络的不同层次，使用三种地 址：名称地址、接入地址和交换地址。 名称地址类似于i n t e r n e t 的域名地址。网络的组织结构是一片森林，其中的每个 树根，每个树支分叉都定义一个可读性很好的名字，一个树叶( 即一台终端设备) 可以用一串名字唯一编码定位。名称地址的特征是明码文本，人便于阅读、记忆 和使用，有分形特征。 接入地址采用p n n i 定义a t m 终端地址、逻辑组地址、节点地址的定义，方便 通信设备路由、交换和呼叫控制使用。根据向量网的需要将对a t m 终端地址进行 适当修改。 交换地址必须方便传送面高速简单地交换转发数据，将采用向量地址。 根据向量网络地址编码方法，编码得到的地址称为向量网络地址。 a ) 无限多值性。从一个信源设备到一个信宿设备的向量地址不只一个，是无 限个。比如，在图1 中，从a 到c 的向量地址有( 为便于阅读，端口号前 加字母，比如1 4 是向量交换机i 的4 端口) a 1 ，g 1 ，1 4 ，j 3 ， a 1 ，g 1 ，1 3 ，h 4 ，j 3 ， a l ，g 3 ，e 2 ，h 4 ，j 3 ， a 1 ，g 3