（模式识别与智能系统专业论文）向量网层次接入控制技术的研究与实现.pdf

中文摘要 摘要：向量网位于o s i 网络七层模型的第三层，是一种新型数据通信网。向量网 对通信路径上电子设备的输出端口号进行编码，形成网络通信的交换地址，通过 呼叫和寻由建立网络通信连接。向量网具有简单可靠、适应性强、安全性高等技 术优势。 接入控制是实现向量网的完整功能并体现向量网诸多优势首先要解决的问 题。因此，在向量网的新的体系架构下设计合理高效的接入控制方案意义深远， 是保证网络可靠运营和网络安全的前提。 论文主要为向量网设计了一种分布式、层次化的接入控制体系，包括对用户 身份进行接入认证的设计方案和计费方案。该设计参考现有网络中所使用的接入 控制技术，广泛借鉴p n n i 、p k i 等相关技术和协议标准，根据向量网的树形层次 架构和子网面向对象等特征进行设计。这种认证机制充分体现了向量网技术的特 点和优势，而且可以保证向量网的接入控制操作的有效性、安全性。所设计的计 费方案，操作简单且计费分辨率高，其中带宽保持包的设计对现有网络的计费方 式也有借鉴意义。 最后，作者用j a v a 语言搭建网络仿真平台对所提出的认证方案进行了功能仿 真。结果表明，该方案能够实现简单高效的接入控制，而且进一步证明了向量网 层次架构的灵活扩展性。 关键词：向量网；接入控制；认证；层次化；计费 分类号： a b s t r a c t a b sf r a c t ：v e c t o rn e t w o r ki san e w t y p eo fd a t ac o m m u n i c a t i o nn e t w o r kw h i c hl sa t n e t w o r k i n gl a y e ro fo s im o d e l s w i t c h i n ga d d r e s so fv e c t o rn e t w o r ki sas t r i n go f o u t p u t t i n gp o r tn o o fa l lt h ee l e c t r o n i ce q u i p m e n t sw i t h i n ac o n n e c t i o n , a n da c o n n e c t i o ni se s t a b l i s h e db yt w os t e p s ：c a l l i n ga n dr o u t i n g v e c t o rn e t w o r ki ss u p e r i o r t oo t h e rc o m m u n i c a t i o nn e t w o r k si nr e l i a b i l i t y , a d a p t a b i l i t y , s e c u r i t ya n ds oo n a c c e s s i n gc o n t r o lt e c h n i q u en e e d st ob es o l v e df i r s ti no r d e rt oa c h i e v et h ef u l l f u n c t i o n a l i t yo fv e c t o rn e t w o r ka n dr e f l e c ti t sm a n ya d v a n t a g e s a sar e s u l t , t od e s i g n r e a s o n a b l ea n de f f i c i e n ta c c e s s i n gc o n t r o ls c h e m ef o rt h en e wv e c t o rn e t w o r k a r c h i t e c t u r ei sf a r - r e a c h i n g , a n dc a np r o v i d el o n g - t e r me c o n o m i cb e n e f i t sf o rt h e n e t w o r ko p e r a t o r s t h i sp a p e rp r o p o s e sas c h e m ef o ra c c e s sc o n t r o ls y s t e mw h i c hi sc h a r a c t e r i s t i ca s d i s t r i b u t i v e , l a y e r i n g t h i ss c h e m ei n c l u d e sh o w t oa u t h e n t i c a t et h ei d e n t i t yo f u s e r sa n d h o wt oa c c o u n ta c c o r d i n gt ot h eu s a g eo fn e t w o r kr e s o u r c e s a n da c c o r d i n gt ot h e t r e e - l i k eh i e r a r c h i c a lc h a r a c t e ra n ds u b n e to b j e c t - o r i e n t e dc h a r a c t e r , i ti sd e s i g n e db y c o n s u l t i n gp n n i ，p k i ，a n do t h e rr e l a t e dt e c h n o l o g i e sa n dp r o t o c o ls t a n d a r d sb e i n gi n u s en o w a d a y s t h i sa u t h e n t i c a t i o nm e c h a n i s mf u l l yr e f l e c t st h ev e c t o rn e t w o r k s c h a r a c t e ra n da d v a n t a g e s a l s ot h ed e s i g nm a k e ss u f et l l a tt h ea c c e s s i n gc o n t r o l t e c h n i q u ei s e f f e c t i v ea n dp r e t t ys a f e t h ea c c o u n t i n gd e s i g ni se a s yt oo p e r a t ea n d h i g l l - q u a l i t yi na c c o u n t i n g t h ed e s i g no fb a n d w i d t h - h o l dp a c k e to f f e r sr e f e r e n c ef o rt h e e x i s t i n gn e t w o r k s i nt h ee n d ，也ea u t h o re m u l a t e st h ed e s i g n e da c c e s sc o n t r o ls y s t e mu s i n gj a v a a n d t h er e s u l ti n d i c a t e st h a tt h i ss c h e m em a k e si tp o s s i b l et or e a l i z es i m p l ea n de f f e c t i v e a c c e s s i n gc o n t r o li nv e c t o rn e t w o r k a n dt h er e s u l ta l s op r i v i d e sf u r t h e re v i d e n c ef o r t h el e v e lo ff l e x i b l es c a l a b i l i t yo f v e c t o rn e t w o r k sa r c h i t e c t u r e k e y w o r d s ：v e c t o rn e t w o r k ；a c c e s s i n gc o n t r o l ；a u t h e n t i c a t i o n ；l a y e r i n g ；a c c o u n t i n g c l a s s n o ： 独创性声明 本人卢明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果，除 了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或撰写过的研究成果，也 不包含为获得北京交通大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名：像酒怫签字日期： 沙7 年石月，f 日 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。 同意学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：啄舔庙 签字日期：如7 ，年占, 9 s 日 名：冀移氅 签字日期：渺乡年多月咖 致谢 本论文的工作是在我的导师梁满贵教授的悉心指导下完成的，梁满贵教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢两年来 梁满贵老师对我的关心和指导。 梁满贵教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给 予了我很大的关心和帮助，在此向梁满贵老师表示衷心的谢意。 梁满贵教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷 心的感谢。 在实验室工作及撰写论文期间，张金鑫、杜永娜、孙振斌等同学对我论文中 的相关研究工作给予了热情帮助，在此向他们表达我的感激之情。 感谢我的家人和朋友，他们的理解和支持使我能够在学校专心完成我的学业。 最后，向所有在我攻读硕士学位期间给予帮助和支持的老师、同学、亲人和 朋友们表示衷心的感谢! 序言 本论文的研究工作是在国家8 6 3 项目向量地址分形特征通信网技术，以 及北京交通大学科技基金重点项目的资助下完成的，论文对向量网中如何进行接 入控制，即对于如何进行认证以及在此基础上设计计费方法进行了深入研究。研 究的内容具有理论和现实意义，为现有网络中所使用的认证与计费方法引出了新 的研究思路。 1 引言 1 1 论文研究的背景及意义 互联网是一个开放的网络环境，允许各种类型的用户和设备接入网络，如果 不对其进行有效的控制和管理，将使得互联网暴露于各种安全风险中，而接入控 制可以很好的解决这一问题。网络接入控制能够对接入网络的用户的身份进行验 证，能够对用户的行为进行限制，能够对产生不良后果的行为进行追踪审计。接 入控制已经成为网络中必不可少的功能之一【6 】。 可信计算组织( t r u s t e dc o m p u t i n gg r o u p ，t c g ) 中，专门设立了可信网 络连接( t r u s t e dn e t w o r kc o n n e c t ，t n c ) 工作组负责网络接入控制架构规范的 制定，该架构允许网络搜集网络访问者的相关信息，依据事先设定的安全策略对 搜集到的信息进行评估和验证，在此基础上做出是否允许请求者访问网络的决定， 从源头上确保网络连接的可信性。网络接入控制是指基于网络策略对用户接入网 络进行控制的能力。用户身份识别和验证是一种重要的判断是否允许接入的网络 策略。除此之外，用户使用终端的安全完整性验证也是一种判断是否允许接入的 网络策略。 向量网是一种新型的通信网络，以向量地址作为交换地址进行通信。从原理 上讲，这第三种数据通信网与i p 网和a t m 网相比，具有可以保证q o s 、交换设 备简单、安全性好，并且可以无限扩展等优点。因此，为向量网设计合理高效的 接入认证方案不仅是体现该网络诸多优势首先要解决的问题，也为保证将来的网 络运营提供长远的经济效益。 1 2 国内外的研究现状 认证( a u t h e n t i c a t i o n ) 、授权( a u t h o r i z a t i o n ) 和计费( a c c o u n t i n g ) 简 称a a a 6 ，就是对用户使用网络服务和访问资源时的身份进行辨别，权限进 行判别，并根据使用情况进行计费的过程。a a a 一直是运营商和服务提供商 非常关注的问题，与其业务收入密切相关。 在当今的运营网络中，几乎所有网络运营商都采用了接入认证技术，并为此 部署了大量的基础设施，定义了完整的信令系统。a a a 技术对保障网络安全和 网络可靠运营起着重要作用，目前i e t f ( t h ei n t e r n e te n g i n e e r i n gt a s kf o r c e 互联网工程任务组) 侧重于制定基础框架及应用协议，也有研究者针对移动 管理中支持a 从进行了研究。 a a a 技术中的认证技术采用了e a p ( e x t e n s i o na u t h e n t i c a t i o np r o t o c 0 1 ) 认证体系，实现终端与后台认证服务器的双向认证。对于认证方法的研究， 当前基本集中在如何将有线固定环境中的方法与移动协议进行结合方面，而 忽略了移动互联网所具有的无线接入特征。一般采用密码学机制实现用户身 份鉴别、信息传输的机密性、信息传输的完整性、行为的不可否认性等多种 功能，公开密钥基础设施( p k i 1 。7 j ) 是目前最常用的安全保障机制。由于移动 计算环境的无线接入特点( 终端计算能力、存储容量、信道带宽有限) ，在无 线移动i p v 6 网络环境中部署p k i 成为一种奢望，使得基于公钥基础设施的方 法无法满足移动i p v 6 网络的需求。 对于计算机网络来讲，当互联网兴起后，大量的互联网用户采用拨号上 网方式，因此出现了主要针对拨号用户的r a d i u s 1 2 】( r e m o t e a u t h e n t i c a t i o n d i a li nu s e rs e r v i c e ) 协议。r a d i u s 协议是互联网最早几种a a a 技术之一， 也是主流a a a 协议，它在a a a 服务器和接入设备之间运行。r a d i u s 原先 的目的是为拨号用户进行认证和计费，后来经过多次改进，形成了一项通用 的认证计费协议。 随着无线局域网( w l a n ) 的出现和发展，对网络接入和安全认证提出 了新的挑战。w l a n 最初使用w e p ( w i r e de q u i v a l e n tp r i v a c y ) 协议作为用 户接入认证和保密协议。但因为w e p 协议存在严重漏洞，i e e e ( i n s t i t u t eo f e l e c t r i c a la n de l e c t r o n i c se n g i n e e r s ，美国电气和电子工程师协会) 又设计了 w p a ( w i f ip r o t e c t e da c c e s s ) 协议和8 0 2 1 l i 标准。w p a 和8 0 2 1 1 i 中的认 证协议都是8 0 2 i x ，这是一种基于端口的标准，用于对无线网络的接入认证， 在认证时，用户和接入点( a p ) 之间采用e a p 1 4 】协议，a p 和a a a 服务器之 间采用r a d i u s 协议。 随着近几年各种互联网业务以及各类网络接入方式的出现，使r a d i u s 协议 暴露出种种不足。由于协议本身存在缺陷，比如基于u d p 的传输、简单的丢 包机制、没有关于集中式计费服务。而且它是一种客户服务器模式的协议， 新的互联网应用( 如v o l p 、m o b i l ei p 等业务) 需要参与通信的各方处于对等 地位，a a a 服务器需要向客户端发送未经请求的消息。这些都使得r a d i u s 不适应当前网络的发展，需要改进，这就出现了d i a m e t e r 协议【1 3 】。 d i a m e t e r 协议被i e t f 的a 从工作组作为下一代的a 从协议标准。 d i a m e t e r 为直径，意味着d i a m e t e r 协议是r a d i u s 协议的升级版本。d i a m e t e r 协议族包括基础协议和各种应用协议。d i a m e t e r 基础协议是为像网络访问和 m o b i l ei p 这样的应用提供一个a a a 的框架。它可以应用于本地的和漫游的 环境下的a a a 。基础协议提供了作为一个a a a 协议的最低要求，包括节点 2 间能力的协商、d i a m e t e r 消息的接收及转发、计费信息的实时传输等，是所 有的d i a m e t e r 网络节点必须实现的功能。应用协议则充分利用基础协议提供 的消息传送机制，规范相关节点的功能以及其特有的消息内容，来实现应用 业务的a 从。基础协议可以作为一个计费协议单独使用，但一般情况下需要 与某个应用一起使用。d i a m e t e r 已经为3 g p p 所采纳，作为其网络中的a a a 协议。 d i a m e t e r 和r a d i u s 等协议主要定义了在网络接入设备( n a s ，m o b i l e a g e n t ，s g s n 等) 和a a as e r v e r 之间，以及l o c a la a as e r v e r 和h o m e a a a s e r v e r 之间交换a a a 消息的过程。而对于用户终端与接入设备之间的安全、 认证等在i e t f 其他工作组中进行了研究，具体的研究内容包括：e a p 工作组， 研究扩展认证协议( e a p ) ；p a n a 工作组研究网络接入认证；n a s r e q 工作 组研究接入服务器；p p p e x t 工作组研究点到点协议等。在此不一一赘述。 从上面的介绍，可以看到随着网络的日益发展和普及，包括移动通信网 络和计算机网络在内的各种网络都需要保证用户的安全接入，并提供认证、 授权和计费等功能。 1 3 本文的研究重点和所做的工作 本论文根据向量网的特征，在其标识架构体系下，对接入认证方案进行了详 细设计和评估。同时，对计费方法做出了基本设计。最后利用j a v a 语言搭建网络 仿真平台，对认证方案进行了仿真实现。 本论文主要做了以下方面的工作： 首先，在研究向量网理论和现有网络接入控制技术的基础上，比如向量网 的标识体系和架构体系、p p p o e 、i e e e8 0 2 1 x 、d h c p + w e b 、p n n i 的相关 理论知识，设计了两种分布式、层次化的身份认证方案，不仅在功能上实现 接入认证，更能体现向量网的分形特征和层次架构的诸多优势。同时对与接 入控制功能密切相关的呼叫和寻由功能作了简要介绍。 其次，借鉴现有网络中的计费方法，提出了一种简单高效的计费方法， 该计费方法的关键是带宽保持思想的提出以及带宽保持包的设计。 最后，利用j a v a 编程搭建了一个四层网络的仿真平台，对所设计的身份 认证方案进行了功能仿真，不仅验证了所设计的接入认证方案的可行性和有效 性，更进一步的可以说明向量网的层次架构的灵活扩充性，为以后对向量网进行 进一步的研究以及功能仿真奠定了基础。 总之，本论文工作的重点在于，在向量网这个新的网络体系架构下，设 3 计了合理有效的接入认证方案和计费方案，并进行了认证部分的功能仿真。 1 4 本文的组织结构 本论文的组织结构如下： 第一章：介绍了接入控制技术的研究背景、意义及发展现状，指出了本论 文的研究重点和所做的工作，概括了论文的整体安排。 第二章：介绍了向量网的理论知识，包括向量网的向量地址的编码方法、 交换方法、体系架构以及向量网的主要特性等。 第三章：介绍了网络接入控制的基础知识和当今主流的接入控制技术， 简要分析了这些技术的特点及应用情况，并进一步介绍了接入认证方法中涉 及到的加密技术、p k i 技术等。 第四章：对向量网的接入控制方案进行了详细设计，重点设计了两种基 于标识架构体系的分布式、层次化的认证方案，并对这两种方案做了简要分 析。同时，介绍了与向量网的接入控制密切相关的呼叫、寻由过程。 第五章：借鉴现有网络中的计费方法，提出了一种适合向量网的简单高 效的计费方法，重点设计了带宽保持包。 第六章：利用j a v a 编程，搭建网络仿真平台，对所提出的认证方案进行 了功能仿真，对该结构的运行机制进行了模拟。 第七章：对整个论文进行总结，并对在本论文研究成果的基础之上进一 步开展研究工作提出建议。 4 2 向量网概述 向量网对应着o s i 第三网络层，是信息网络的较低层的数据通信网，不包括 信息网络的较高层的应用服务网络内容。向量网的研究内容包括通信网的体系结 构及其整套实现技术，依托“一种向量网络地址编码方法 1 3 1 和“向量数据通信 网上建立向量连接的方法 【4 】两项发明专利，给出一种以向量地址为基础的、分 形体系结构的新型通信网。 2 1 向量网的地址体系 2 1 1 向量网的地址编码方法 通信网与网络地址总是联系在一起，常用网络地址有i p 地址、a t m 终端 地址、a t m 交换地址( 即v p i v c i 地址) ，甚至电话号码、域名等等都是网 络地址。各种网络地址的用途和属性不同，有的标识通信网的对象，有的用 于交换路由操作；有的供人使用，便于记忆，有的供机器使用，便于存储和 处理。从使用功能看，有两类网络地址最重要，一种是标识地址，一种是交 换地址。 数据通信网中，为了达到通信的目的，需要建立一套编码方法，为每个 电子设备指定一个编码标识，否则无法进行通信，这种标识称为电子设备的 标识地址。一个电子设备赋予一个明确的固定不变的标识地址，标识地址就 代表这个电子设备，是控制面使用的地址。 交换地址被转发设备用于交换操作。从一个端口输入的数据包，其中一定 包含一个字段，转发设备依据该字段做出判断，数据包被转发到哪一个端口进行 输出，这个字段就是交换地址。好的交换地址必须方便传送面高速、简单地交换 转发数据，是传送面使用的地址。 按照以上定义，对于a t m 网，a t m 终端地址是标识地址，a t m 的路径 信道地址( v p i c i ) 就是交换地址。对于i p 网，i p 地址是标识地址，也是 交换地址。 比地址更广泛的概念是标识，随着人们对新一代网络研究的深入，认识到除 了网络地址之外，还有其它的重要网络标识。 下面详细介绍向量地址的编码方法【3 j 。 5 如图2 1 所示，在向量传送网中，转发设备的输入输出端口从1 开始用数字编 号，称为端口号，向量地址以端口号为编码基础，描述了从信源设备到信宿设备 传送数据的通信路径。通信路径信息是端口号组成的序列，路径上的每个转发设 备都对应序列中的一个端口号，是通信路径通过该电子设备的输出端口号。 a _ d 向量终端设备 e i 向量交换机，不存储网络拓扑信息 j 单纯的向量路由器，存储网络拓扑信息 图2 1 向量地址编码示意图 f i g u r e2 - 1a ne x a m p l eo f v e c t o r a d d r e s s 以上端口号序列就像一步一步的方向标，引导数据包传送到达信宿设备，所 以被称为向量地址，其中的端口号被称为分量地址。 例如，从端站设备a 到端站设备c 的向量地址是v a e = 1 1 4 3 ，向量地址 定义的通信路径上的电子设备依次为a 、g 、i 和j ，不包括信宿设备c ，对 应输出端口依次为a 的1 、g 的l 、i 的4 和j 的3 ，所以是v a c = 11 4 3 。 同样，v b c = 1 4 3 是从端站设备b 到端站设备c 的向量地址。 向量地址是多值的，比如v b e = 1 1 3 3 2 4 3 也是从端站设备b 到端站设备c 的向量地址。 实际使用的向量地址用二进制编码，以v a c = 1 1 4 3 为例，二进制编码方 法解释如下：首先，数据传输路径上的各个电子设备的端口个数不相同，a 、 g 、i 、j 四个电子设备的端口数量分别为l 、3 、4 、3 。根据二进制数能表示 的数值范围，电子设备a 有1 个端口，所以用1 位二进制数就可以表示；电 子设备g 有3 个端口，所以用2 位二进制数就可以表示；电子设备i 有4 个端口，所以必须用3 位二进制数才可以表示；电子设备j 有3 个端口，所 以用2 位二进制数就可以表示，注意端口号从1 编起。 这样电子设备a 、g 、i 、j 分别用l 、2 、3 、2 位二进制数就可以表示所 6 有输出端口编号，得到向量地址的二进制编码如下： 十进制编码：f 1 14 3 二进制编码： f 1 ，0 l ，1 0 0 ，1 1 二进制位数： 1232 这样，向量地址的表示形式塌后变成二进制形式1 0 1 1 0 0 1 1 l ，l ，4 ，3 ) = 1 ，0 1 ，1 0 0 ，l l = 1 0 1 1 0 0 1 1 比较i p 地址、a t m 的路径信道地址和向量地址三种交换地址，主要区别 是i p 地址依靠电子设备的编号进行地址编码，a t m 的路径信道地址依靠通信 线路中的虚链路编号进行地址编码向量地址依靠电子设备的端口号进行地 址编码，简单地说，i p 地址是电子设各编码，a t m 地址是链路编码，向量地 址是端口号编码。 端口是转发设备最能直接访问的对象，是向量地址优于i p 地址和a t m 地址的根本原因。用向量网组建全球网时，向量地址的地址长度在平均意义 e 与i p v 4 相当。设( 1 ) 考虑转发设各的端口数不一定是2 的幂，平均利用 率为3 4 ；( 2 ) 设备的平均端口数是1 2 ，分量地址占用4 比特；( 3 ) 3 2 比特 的向量地址可以有8 级节点级连，可以形成( 1 2 5 ) - 43 亿( 用户) ，与世界 现有用户在数量级上相当，说明平均眭度与i p v 4 一样的向量地址可以覆盖 i p v 4 能覆盖的用户数量，二者的寻址规模在数量级上相当。 2 12 向量网的五标识体系 向量网采用种全新的五标识体系，分别是身份标识、位置地址、交换标 签、标识口令、位置u 令。 图2 - 2 五标识年二架构的戈系 f i g u r e2 - 2 t h er e l a t i o n s h i p o f f i v e i d e n t i f y a n d i w oa r c h i t e c t u r e 1 、身份标以 身份标识缩写为i d ，一个节点拥有一个身份标识。身份杯u 主要根据网络对 象之间的社会隶属关系赋予。对身份标识的唯一要求是多个层次的组合的全名称 标识在本组织架构中的唯一性。 身份标识类似于i n t e r n e t 的域名地址。从身份标识编码角度看，网络的组织结 构是一片森林，其中的每个树根、每个树枝分叉都定义一个简短的名字，这样， 一个树枝、树叶可以用一串名字唯一编码定位。身份标识的特征是明码文本，便 于人们阅读、记忆和使用，有分形特征，是网络组织机构和网络终端的标识。 身份标识与标识架构关系紧密。身份标识的聚合关系与拓扑聚合关系的一致 性越强，标识架构就可以越简单。当身份标识赋予和拓扑一定时，调整标识架构 可以权衡架构的虚联接和路由表的复杂性，以整个标识架构最简单为目标。两个 极端情况是完全按身份标识的聚合关系形成标识架构，和完全按拓扑聚合关系形 成标识架构。前者比后者更为合理。 身份标识用于接入认证和呼叫过程中：在接入认证过程中，通过身份标识来验 证通信方的身份，验证通过后为其分配位置地址和位置口令，获得呼叫许可；在 呼叫过程中，身份标识作为呼叫目标，通过呼叫过程映射给出被叫方的位置地址。 2 、位置地址 位置地址缩写为l o c a t o r ，简称地址，一个端口一个位置地址，一条链路有两 个位置地址。网络拓扑关系决定了网络的位置架构，一个网络对象与位置架构的 连接关系决定了该网络对象的位置地址。 位置地址决定于一个网络对象与位置架构的连接关系。在网络搭建成后，所 有接入网络的节点都拥有一个位置地址。节点拥有了位置地址即是获得了接入许 可，可以进行呼叫、寻由的操作。如果节点移动，致使与原来的网络失去了连接， 或者发现有新的位置通告，这时节点就需要发起请求接入认证来获得新的位置地 址。 位置地址在路由收集和寻由过程中使用，作为寻由的目标，通过寻由过程映 射得到交换地址。 3 、交换标签 交换标签缩写为l a b e l ，简称标签，用于交换过程，必须方便传送面高速简单 地交换转发数据，也称交换地址。向量网的交换标签就是向量地址。 4 、标识口令 标识口令缩写为i d p w ，标识口令是变长的，但是非层次的。是进入网络领界 的密码口令，也是识别一次通话的一种标识，用它可以实现接入控制和计费账户 标识。在建立网域时赋予k e y ，k e y 可以重新配置。由网域的身份标识i d 和设 置的密码k e y 通过某种加密算法得到，k e y + i d = i d p w ( 某种加密算法，如r s a ) 。 5 、位置口令 8 上上l 壁上l 拯垒一 位置口令缩写为l o c p w ，位置口令是层次的，与位箕地址的层次一致，在接 入时赋予位茕地址的分量和k e y 。位置口令的分量由位置标识的分量和位置密码 k e y 通过某种加密算法( 如r s a ) 得到，经常会改变。整个位置口令由本网域、 1 级网域、上上级网域等的位置口令的分量序列组成。 位置几令是在通过接入认证之后获得的。只有获得了位置口令才允许进行寻 由操作。 以上五标识都具有分形特性，不是定长。对身份标识的要求是在本组织架构 。 ；唯一性即可，考虑简化匹配算法，要求与同级节点和所有上级节点不重名。身 份标识到向量地址的对应关系如图2 - 3 。 _ i - e 圈 l ； 图2 - 3 身份标识到向量地址的埘应关系 f i g u r e 2 - 3 t h er e l a t i o n s h i p o f i da n d v e c t o r - a d d r e s s 213 向量网的标识体系的创新点 向量网的标识体系借鉴了i n t e r n e t 的域名系统和a t m 的地址体系，但是在以 下方面有创新： l 、在向量网的第三层就定义了身份标识，在树形架构中分布地解析身份标识。 而l pl 嘲第三层不知道域名( 即名称地址) 的存在，域名在高层使用，并且用专门 的域名服务器( d n s ，d o m a i nn a m es e r v e r ) 相对集中地解析域名，特别是顶级 d n s ，如果它们全部失败，i n t e m e t 就会瘫痪。 2 、身份标0 l t = i j 主导，在构建网络时部署系统和配置系统过程中，只要知道 身份标识。而路由地址由网络自动分配，使用者无需知道。而现有网络要接入一 台节点设备，首先管理员必须为用户分配路由地址( 比如i p 地址和a t m 终端地 址) ，而不是给用户提供一个名称。名称地址可以被扩展，以指定端站设备内部的 详细目标，称为名称细地址，网络系统不解析名称细地址。 3 、变换标箍采川向量地址。向姑地址可以被扩展，扩展邮分称为向鼹细地址。 通常，名称细地址和向量细地址相对应，在端站设备内部有意义，网络不予以解 释。向量细地址可以代替i p 网中的“端口”角色，也就是向量网不必要有端口的 概念。另一方面，由于向量地址和向量细地址的分形特性，二者属性完全相同， 事实上，在逻辑上向量网只有一种整齐的交换标签，即向量地址，向量地址不需 要“端口 辅助寻址定位。另外，网络拓扑和通信连接的起讫点决定向量地址长 度，长度不固定，不存在地址枯竭。 4 、向量网的路由地址与同样职能的i p 地址和a t m 终端地址不同，相对于网 络拓扑是动态变化的，路由地址的长度可配置，这些改变对于用户是透明的。 5 、增加了标识口令，实现接入控制和流量计量。 2 2 向量网的交换方法 当向量网的转发设备从某输入端口收到一个数据包后，检查第一个分量地址， 根据检查结果把该数据包发送到第一个分量地址所指定的输出端口，传送出去的 数据包不包含第一个分量地址，即第一个分量地址使用以后就从数据包删去，传 送出去的数据包之向量地址少了一个分量地址。这就是向量传送网的转发设备的 数据交换过程，在此称其为向量交换过程，完成向量交换的转发设备被称为向量 交换机。 图2 4 是向量交换机执行转发操作的示意图，描述了交换方法的具体步骤。该 转发程序运行在向量传送网的每个向量交换机中，当向量交换机的每个输入端口 收到一个数据包时，该转发程序就执行一次，实现一次交换操作，它只有3 步基 本操作：1 、从数据包的向量地址v a 中分离出当前转发操作的输出端口号，即向 量地址v a 的第一个分量地址，记为t 0 ；2 、修改数据包把t 0 从数据包中删除；3 、 把修改后的数据包发到输出端口t o 。 i l 【t ov a 】咖l 1 ih e m lh e 。d 【v a l d 。t al 夕_ ，一由黟口 l l _ j h e a d 【qd a t a n 图2 4 向量交换示意图 f i g u r e2 - 4i l l u s t r a t i o no f v e e t o rs w i t c h l o 2 3 向量网的体系结构 2 3 1 向量网的传送面 传送面是通信网转发用户信息的逻辑层面，可以称其为传送网( 或承载网) ， 向量网对传送网的研究方法和技术路线将以向量地址为主要技术，可充分利用现 有的软件( 各种网络开发和测试软件) 和硬件( 比如嵌入式高速可编程器件) 在 较小的成本代价条件下，达到宽带、可靠的传送效果，并从传送面支持网络的安 全、可控和可管【4 】。 向量网传送面的主要概念有：电子设备，端站设备，转发设备，交换地址， 向量交换等。传送网的拓扑结构就是通信网的物理拓扑结构，从图论概念上讲， 传送网是一个一般的图结构，是没有层次的平面拓扑结构。 传送网由电子设备和物理链路组成，电子设备分为两类：端站设备和转发设 备，有的电子设备兼有两种角色。 传送网中所的传送信息包括：用户信息、控制信息和管理信息。传送网主要 传送用户信息，但有时也需要传送控制信息和管理信息。 对于用户信息，端站设备是用户信息的“信源和“信宿 。转发设备的作用 是对用户信息进行转发和交换。用户信息是沿路径传递的数据流，呼叫控制过程 激发启动数据流开始，并一直持续下去，直到数据传送完毕或出现故障而停止。 控制信息是呼叫寻由产生的信息，呼叫寻由过程中端站设备扮演“主叫 和 “被叫 角色，转发设备的作用是转发和寻由。控制信息的特征是探索性和交互 性，由用户激发呼叫寻由动作开始。 网络中的管理实体将从端站设备和转发设备收集设备的状态信息，并管理控 制它们，在网络中传送的状态信息和管理控制信息就是所谓的管理信息。网络管 理的特征是分区域层次的有主结构，由各个管理员激发管理动作开始，也有一部 分动作定时产生。 交换地址就是传送面的网络地址，交换地址必须方便传送面高速简单地转发 交换数据，向量网的交换地址为向量地址。 向量传送网在数据传送方面，比p 网和a t m 网有如下优势： l 、依据向量地址建立的网络更安全。 2 、网络相对简单。向量传送网没有空间和时间上开销很大的查表操作，所以 其转发设备，即向量交换机非常简单。而对于口网和a t m 网，每转发一个数据 包都要查询地址表，因此消耗巨大的计算资源，使转发设备极其复杂。 3 、适应性强，效率高。网络扩展容易，不存在地址相重的问题。网络地址不 固定，长度不受限制，能适应任何大小的网络，而不会发生网络地址枯竭的现象。 另一方面，对于小网络，地址很短，地址带来的数据传输负担很小，所以通信线 路资源的使用效率高。 2 3 2 向量网的控制面 向量网体系架构是一种控制面技术设计，解决网络控制面的问题。向量网体 系架构为基础，可以实现接入认证、呼叫映射、寻由接纳、移动、计费、q o s 、安 全等等。 向量网体系架构包括两个基本架构：标识架构和位置架构。另外还有一个辅 助域架构一网域架构。 1 、标识架构 标识架构是标识对等组构成的一个树形架构，由标识对等组及其关系构成。 标识架构的标识是节点i d 。 标识架构用于i d 至l j l o c a t o r 的映射。在接入认证过程中，用标识架构进行逐层 认证，得到认证请求端的层次的位置地址；在呼叫过程中，用标识架构进行呼叫 映射，一个连接一次呼叫映射，得到层次的对端位置地址。 一个网络可以只有一个合成的标识架构，也可以有几个独立的标识架构，但 是在网域节点互相包含。 标识对等组有一些标识解析模块，标识解析模块通过竞选，选出一个主管， 叫对等组组长，是对等组的行为代表。 标识架构的每个层次可以维护一个信誉制度，形成聚合的信誉得分。图2 5 为 标识架构示意图。 2 、位置架构 位置架构是位置对等组构成的一个树形架构，由位置对等组及其关系构成， 其功能是定义分层l o c a t o r ，聚合节点和链路，为寻由提供基础信息。用位置架构 进行寻由接纳，每个通信路径都必须经过寻由接纳得到。位置架构用于l o c a t o r 到 路径的映射。节点l o c a t o r 是层次号码标识。 位置对等组理解子网的拓扑和通信能力参数。位置对等组有一些路由器，路 由器就是有路由模块的节点，节点是本对等组不关心其内部细节的子网。路由器 通过竞选，选出一个主管，主管是对等组的行为代表。与外界连接的子网端口， 即边界端口有一个边界模块。图2 6 是位置架构的示意图。 1 2 图2 5 标识架构示意图 f i g u r e2 - 5i l l u s t r a t i o no fm a r c h i t e c t u r e 翼h y s i c a l l i n k t p o s i t i o n t e r m i n a l n o d e 图2 - 6 位置架构示意图 f i g u r e2 - 6 i l l u s t r a t i o no fl o c a t o ra r c h i t e c t u r e 3 、网域架构 网域架构是由网域对等组构成的层级架构。网域的组织结构的顶层是一片森 1 3 林，由若干棵树组成，每棵树对应一个网域，树的每个子树也对应一个较小的网 域，树的每一片树叶对应一个基本网域，所述基本网域是不再包含其它网域的网 域。一个节点也可以是一个网域。 网域与网域对等组对齐，网域一定是网域对等组，但网域对等组不一定是网 域。网域包括一些网域辅助域：计费域、流量整形域、q o s 控制域，它们通常与 对等组或网域对齐。 基本网域的划分虽然有一定随意性，但是必须满足以下条件： ( 1 ) 它既是标识对等组，也是位置对等组。 ( 2 ) 基本网域的大小不能超过最大可独立移动的子网。 ( 3 ) 必须属于同一个运营者，有明确唯一的关联社会法人。 ( 4 ) 基本网域互斥的，不相交。 属于一个运营者的所有基本网域为树叶可以构成一棵树，这样的树称为网域， 网域与标识架构的子树重合。多个这样的树可以进一步联盟，形成更大的树，直 至标识架构的根，这就是网域架构。另一方面，一个基本网域内部可以进一步分 解为更小的网域，进行内部核算，但是内部网域对外部网域没有意义，不可见。 不归任何基本网域的节点自成一个基本网域，它们组成一个无层次的特殊的网域 ( n o n 削e 网域) 。这些节点只能进行尽力而为的有限通信。 基本网域由一个对等组、边境控制器构成，而网域还包括网域服务器。 4 、标识架构和位置架构的关系 图2 7 所示为标识架构和位置架构的关系图。 2 - 3 3 向量网的管理面 向量网络的管理面以网域为单位，在整体上是无主的协作统一系统，在区域 上是有主的管理系统。一个区域由一个网域和一个管理工作站组成，管理工作站 可以有几个副本，几个副本中只有一个承担管理职责，称为责任管理站，谁是责 任管理站竞选产生。管理工作站可以理解所管理网域的标识架构，和各个基本网 域的对外连接关系，可以监视控制任何有访问权限的下层对等组或物理节点。 通常，需要被管理的每个对等组有一个代理服务器( p r o x y ) 。 1 4 图2 7 标t l 架构和位置架构的关系幽 f i g u r e2 - 7 t h er e l a t i o n s h i p o f i da m h l k c t u ma n d l o c a t o ra r c h i t e c t u r e 2 4 向量网的分形特征 分形的概念是美籍数学家曼德却罗特( b bm a n d e l b o r t ) 首先提出的。1 9 6 7 年 他在美国权威的科学杂志上发表了题为英国的海岸线有多长? 的著名论文。 海岸线作为曲线，其特征是极不规则、极不光滑的，呈现极其蜿蜒复杂的变化。 我们不能从形状和结构上区分这部分海岸与那部分海岸有什么本质的不同，这种 几乎同样程度的不规则性和复杂性，说明海岸线在形貌上是自相似的，也就是局 部形态和整体形态的相似。在没有建筑物或其他东西作为参照物时，在空中拍摄 的1 0 0 公里长的海岸线与放大了的1 0 公里陡海岸线的两张照片，看上去会十分相 似。 ，j 实上，具有自相似性的彤态广泛存在于自然界中，如：连绵的山川、飘浮 的云朵、岩石的断裂口、布朗粒子运动的轨迹、树冠、花菜、大脑皮层曼德 巾罗特把这些部分与整体以某种方式相似的形体称为分形( f r a c t a l ) 。1 9 7 5 年，他 创市了分形儿何学( f r a c t a lg e