（计算机系统结构专业论文）业务选择网关中访问控制机制的研究.pdf

摘要 摘要 随着i n t e m e t 的快速发展，人们越来越关注如何更好地为用户提供个性化和增 值服务，由此业务选择网关应运而生。当前市场上的业务选择网关都是面向网络运 营商的粗粒度的设备，而面向内容提供商的业务选择网关却不多见。本文讨论的 是以u r l 进行访问控制的面向内容提供商的业务选择网关。 本文首先讨论t c p i p 协议族和h t t p 、f t p 协议，并提出了h t t p 和f t p 协议 的u r l 解析方法。其次提出一种基于双数组有限状态机的u r l 访问控制算法，并 在改进t c p 粘合技术的基础上提出一种基于n e t f i l t e r 框架的连接管理模型，然后 在对负载均衡技术进行深入研究的基础上提出了一种基于服务类型和内容等分的 u r l 分配算法，由它们共同实现业务选择网关的内容访问控制。改进访问控制模 块的结构和工作流程，提出其实现策略并对实现中的关键细节进行阐述。最后对 提出的两种算法进行仿真实验，实验结果表明算法能够快速、有效的对用户的访 问进行控制。本文设计的业务选择网关中访问控制机制在实现方式和综合效用上 具有一定的创新性和实用价值。 关键词：业务选择网关访问控制双数组t c p 粘合负载均衡 a b s t r a c t a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e t ，p e o p l ea r em o r ea n dm o r ef o c u s i n go n h o wt o p r o v i d ei n d i v i d u a l i z e da n dv a l u e - a d d e ds e r v i c e s s e r v i c es e l e c t i o ng a t e w a y ( ss g ) e m e r g e si ns u c hc i r c u m s t a n c e s u n f o r t u n a t e l ym o s ts e r v i c es e l e c t i o ng a t e w a y s o nt h em a r k e tn o w a d a y sa r ei s po r i e n t e dc o a r s e g r a i n e dd e v i c e s ，w h e r e a sn os e r v i c e s e l e c t i o ng a t e w a yi ss u i t a b l ef o rc o n t e n tp r o v i d e r s w h a ti sg o i n gt ot a l ka b o u ti nt h i s p a p e ri st h ed e v i c ef o rc o n t e n tp r o v i d e r sw h i c hi sa c c e s sc o n t r o l l e db yu r l f i r s t ，t h et c p i pp r o t o c o ls u i t e ，h t t pa n df t pa r eo v e r v i e w e di nt h i sp a p e r , a n da m e t h o dt op a r s eu r lf r o mh t t pa n df t ps e g m e n t si sa l s oi n t r o d u c e d t h e n ，t w o a l g o r i t h m s ，u r la c c e s sc o n t r o la l g o r i t h mb a s e do nd o u b l e a r r a yf i n i t es t a t em a c h i n e a n du r ld i s p a t c ha l g o r i t h mb a s e do ns t e e p ( s e r v i c et y p ea n dc o n t e n te v e n l y p a r t i t i o n i n g ) ，a r ep r o p o s e d f u r t h e r m o r e ，t c ps p l i c i n gm e t h o di si m p r o v e di nt h i sp a p e r s oa st os a t i s f yt h er e q u i r e m e n t so ft h es s gc o n n e c t i o nm a n a g e m e n tm e c h a n i s m ，a n da n e wc o n n e c t i o nm a n a g e m e n tm o d e lb a s e do nn e t f i l t e rf r a m e w o r ki nl i n u xk e r n e li s p r e s e n t e d a c c e s sc o n t r o li ns s gc a l lb ec o m p l e t e db yt h et w oa l g o r i t h m sa n dt h e c o n n e c t i o nm a n a g e m e n tm o d e l f i n a l l y , t h ei m p r o v e ds t r u c t u r e ，w o r k f l o wa n dt h e i m p l e m e n t a t i o ns t r a t e g ya n dd e t a i l so fa c c e s sc o n t r o lm o d u l ea r ed e s c r i b e d s i m u l a t i o nr e s u l t ss h o wt h a tt h et w op r o p o s e da l g o r i t h m sc a ne f f i c i e n t l yc o n t r o l u s e ra c c e s s ，a n dt h ea c c e s sc o n t r o lm e c h a n i s mi nt h i s p a p e ri si n n o v a t i v ea n do f p r a c t i c a lv a l u ei nt e r m so fi m p l e m e n t a t i o nm e t h o d sa n di n t e g r a t i v eu t i l i t y k e y w o r d s ：s e r v i c es e l e c t i o ng a t e w a ya c c e s sc o n t r o ld o u b l e - a r r a yt c p - s p l i c i n g l o a d - b a l a n c l i n g 声明 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其它人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：蛰盎枣 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文( 保密的论文在 解密后遵守此规定) 。 日期：塾殳星：! ：鲨 日期：边塞，z ：五 第一章绪论 第一章绪论 1 1 引言 目前计算机网络正处于高速发展的时期，不但体现在网络传输速度的不断提 高以及用户数量的急剧增长上，同时也体现在网络应用的不断拓展和更新上，并 可以提供包括语音、数据和多媒体等各种业务的综合开放的网络构架。由于网络 呈现服务多样性，人们的需求就日趋多样化和个性化，运营商的关注焦点就是以 创新为主要特征的个性化服务和增值服务。业务选择网关【l 】【2 】( s e l e c ts e r v i c e g a t e w a y ，s s g ) 在这种个性化服务需求的背景下应运而生。 业务选择网关是网络服务提供商的控制网关，通过门户w e b 页面的方式为客 户提供个性化服务的菜单，使用户方便地定制使用各种业务，并对客户进行认证， 对收费资源的访问提供按连接时长或者按流量等不同的计费策略，因此也为服务 提供商的管理和计费带来了方便，同时也能使服务提供商更好的发展增值业务， 获得更高的经济利益。 随着网络服务细分和个性化趋势的发展，运营商之间的竞争焦点己不再仅仅 是带宽容量和接入速率，而应是以创新为主要特征的服务特性和业务特征。能否 正确理解用户的行为并根据用户的实际需求主动地提供相应的服务，已成为判断 运营商是否具有核心竞争力的决定因素。也就是说，运营商必须把重点放在应用、 收益和用户行为的认知上。只有细分用户，不断地为用户推出有区别的、分等级 的、所需要的个性化应用和服务，才能发展到新用户并维系老用户，继而带来源 源不断的收益。个性化服务，是指针对不同用户提供不同的服务策略和服务内容 的服务模式。实际上，个性化服务不是一个现在才有的新概念：i n t e r n e t 个性化服 务，是个性化服务在i n t e m e t 中的拓展，也是个性化服务新的应用和发展领域。从 i s p 的角度看，个性化服务主要包括个性化网络服务和个性化信息服务。个性化网 络服务是指为用户提供分等级的、所需要的网络接入，网络安全控制，与当时应 用相匹配的网络性能以及自主网络管理等服务。个性化信息服务是指为用户创立 和管理自己的信息或兴趣群组，用户可以按照自己的目的和需求，在某一特定的 网上功能和服务方式中，自己设定网上信息的来源方式、表现形式、特定网上功 能及其它的网上服务方式等，以达到最为方便快捷地获取自己所需的网上信息服 务内容。 正是这些日趋多样的服务和为用户提供个性化服务的需求，促使业务选择网 关项目的开展。业务选择网关作为内容服务商的控制网关，不仅给用户提供个性 化的业务定制，使用户方便快捷的使用网络服务，同时为服务提供商创造新的利 业务选择网关中访问控制机制的研究 润增长机会。 本文的选题来自于业务选择网关的研究项目，对访问控制机制中的关键技术 进行深入的研究，将这些技术应用于业务选择网关系统中，实现了系统设计的目 标。本文设计的业务选择网关中访问控制机制在实现方式和综合效用上具有一定 的创新性和实用价值。 1 2 目前研究现状 随着n g n ( n e wg e n e r a t i o nn e t w o r k ) 1 3 】【4 宽带网络技术的成熟，使数据网将能 统一承载语音、数据、视频等多种业务。专注于增值业务的开展就成为电信运营 商们谋求生存及发展的重要途径，以向客户提供更高质量、多元化和个性化的服 务，将客户吸引住和留住。现实人们日益要求电信服务商们提供的服务包括：在 线游戏、口电话、视频会议、视频点播、w e b 浏览、电子商务和远程教育等等。 这些宽带服务将更加体现“以人为本的理念和趋向于个性化，且更加突出了人 性化。在提供个性化网络服务和发展增值业务 3 1 方面，西方国家起步较早，已出现 一些提供个性化网络服务的产品，具有代表性的是c i s c o 公司采用业务选择网关 ( s s g ) 技术提供个性化的服务 4 】以及北电的s h a s t a 用户服务系统( s u b s c r i b e rs e r v i c e s y s t e m ，s s s ) 。 思科服务选择网关( s s g ) t 5 】【6 】是思科移动业务平台( c m x ) 的重要组成部分，思 科移动业务平台( c m x ) 使移动运营商通过对用户提供“按需服务”创造新的利润 增长机会。思科服务选择网关是思科l o s 软件的一个模块化特性集，它对d 域中每 一个用户使用不同服务提供加i u s 认证和记帐。s s g 作为一个动态的服务创造和 管理平台对传入的网络进行汇聚，并将策略动态地分配给网络上的用户，这些策 略可以来自a a a 、l d a p 或者o r a c l e 数据库中用户简表的条目。用户可以基于简表 对不同服务进行访问，对于每种服务的访问可以基于流量或连接时长进行计费。 这极大地方便了用户对网络服务的使用，他们可以同时登录并使用不同服务，包 括免认证服务( o p e ng a r d e n s ) 和认证服务( w a l l e dg a r d e n s ) ，女n i n t e r n e t 、e x t r a n e t 或集 团用户服务等。c i s c os s g 与c i s c o 用户边界服务管理器c i s c os u b s c r i b e re d g e s e r v i c e sm a n a g e r ( s e s m ) 共同使用。 北电网络s h a s t a t7 】用户服务系统由用户服务网关s s g 5 0 0 0 、i p 服务操作系统 ( i s o s ) 和用户业务创建系统( s c s ) 组成。s h a s t a 用户服务系统使p 服务供货商能够 在逻辑上把数万名用户汇聚在一起，并且集中为这些用户提供高度客户化的d 服 务，s h a s t a 解决方案能帮助服务供货商将其业务模式从单一依靠日益商品化的 i n t e m e t 接入，转向大众市场提供基于网络的增值业务的可创收业务模式。这一点 将随着类似于d s l 的新型高速技术的面世而变得日益重要，这些新技术可扩展到 第一章绪论 缺乏联网技术的中小企业。采用s h a s t a 解决方案，服务供货商能够建立牢固的客 户关系，而这种关系既有助于满足个别用户的需要，又能通过增值业务增加收入。 采用业务选择网关目的是为客户提供个性化服务。在提供个性化网络服务和 发展增值业判l 】方面，西方国家起步较早，目前市场上已经出现一些提供个性化网 络服务的产品。这些产品中具有代表性的是c i s c o 公司的业务选择网关( s s g ) ， 由于国内在这一方面的研究比较晚，所以现在还没有成熟的产品。c i s o a 和北电等 国际大设备商提供这方面的网络产品主要是为i s p 服务的，为用户的网络接入提 供个性化的研究，此类网络产品主要工作于网络汇聚层。但是现在还没有为内容 提供商设计的基于内容定制的个性化网络产品。 该项目的研发是由上两届的师兄开始的。经过两年多的研究，取得了一定的 研究成果，初步确立了业务选择网关的应用环境、工作流程，并在报文分类【8 】、会 话管理【9 1 、路“10 1 、队列管型1 1 1 、带宽管理【12 1 、协议分析引擎1 3 1 和认证及计费 策略【l5 】等方面做出了一定的贡献。对我们进一步的研究也具有很好的指导作用。 访问控制机制【1 4 】是一种服务器端的机制，到目前为止更多的访问控制机制研 究是为服务器服务的。业务选择网关作为一个提供个性化服务的网关产品，要提 供基于u r l 细粒度访问控制的机制，而在这方面已有的研究比较少，目前还没有 类似的成熟的产品，所以也没有相应的实现，但访问控制中的涉及的关键技术， 在国内外的研究中却是不乏先例的。本课题研究的访问控制机制是基于u r l 的细 粒度的访问控制，并且是业务选择网关实现的核心技术，主要是针对t c p 连接的控 制和u r l 资源访问的控制。与传统的访问控制【1 6 】【l 玎策略是有所区别的，这是业务 选择网关特定的需求和功能所决定的。 1 3 论文研究的意义和所做的工作 在业务选择网关系统中，访问控制机制是影响服务品质的关键因素之一。业 务选择网关的设计，着眼于对细粒度应用层服务的控制，设计一种高效的访问控 制策略对业务选择网关是至关重要的，也是影响服务质量的关键因素之一。业务 选择网关是以u r l 为基本定制单位提供个性化业务的服务，在用户定制和访问业 务的过程中，都需要访问控制模块的控制，是所有数据包控制中心。现有的访问 控制策略并不适合于业务选择网关，所以要在现有访问控制策略的基础上，设计 出一种适应业务选择网关的访问控制策略，也是业务选择网关正常运作的重要保 证。 访问控制模块是所有数据包的控制中心，访问控制模块主要的主要功能是： 对用户的业务访问的控制和个性化业务定制的控制。具体的说包括协议的分析， 从用户的请求数据包中解析出u r l ；t c p 连接控制和u r l 资源访问控制；根据系 业务选择网关中访问控制机制的研究 统负载均衡的要求对u r l 进行分配。 本文研究工作在业务选择网关项目的支持下，对现有的访问控制机制进行研 究，设计出符合系统设计要求的访问控制机制，并对其中的核心技术进行了深入 的研究。 本论文主要做的工作如下：( 1 ) 对业务选择网关的总体需求和功能进行分析， 在前人的基础上改进了访问控制模块相关部分的工作流程；( 2 ) 研究应用层常用协 议h t t p 和f t p ，设计一种从h t t p 和f t p 数据包中快速提取u r l 的方法；( 3 ) 研究t c p 粘合技术，设计一种基于n e t f i l t e r 框架的连接管理模型；( 4 ) 解析出u r l 后，需要验证该用户是否具有该u r l 访问权限，所以提出了一种基于双数组有限 状态机u r l 访问控制算法；( 5 ) 用户访问的数据包通过双层控制之后，网关要决定 将其请求转发到哪台服务器上，这就涉及到系统的负载均衡的问题，本文提出一 种基于服务类型和内容等分的u r l 分配算法，很好的解决系统的负载均衡问题。 1 。4 论文结构 论文结构如下： 第一章绪论。提出论文研究的对象以及国内外相关研究发展现状，介绍本文 所做工作及其意义。 第二章业务选择网关。对业务选择网关出现的时代背景、业务选择网关的功 能特性、应用环境、工作原理以及工作流程等方面做了介绍。 第三章网络协议和协议分析。本章分三个方面分析网络协议：( 1 ) t c p i p 协议 族，简要介绍了t c p i p 协议，为后面t c p 粘合技术的讨论作铺垫；( 2 ) 介绍统一 资源定位符( u r l ) 基本概念和其格式等内容；( 3 ) 应用层协议，具有代表性的讨 论了h t t p 协议和f t p 协议，并分析了这两种协议的u r l 解析方法。 第四章访问控制机制的研究。分别针对访问控制中的三个关键技术进行深入 研究。业务选择网关是基于u r l 细粒度的内容控制网关，根据网关访问控制的特 点，设计了一种t c p 连接管理的模型。在研究现有的字符串匹配算法的基础之上， 提出基于双数组有限状态机的u r l 访问控制算法。在通过访问控制的两层控制之 后，就要根据系统的负载均衡性来确定数据包转发到哪台服务器，所以就要进行 u r l 分配，本文设计了一种基于服务类型和内容等分的u r l 分配算法，可以很好 的解决系统的负载均衡问题。 第五章访问控制机制的实现和算法的仿真。对业务选择网关的访问控制机制 进行了分析与设计。然后重点对基于双数组有限状态机的u r l 访问控制算法和基 于服务类型和内容等分的u r l 分配算法进行仿真，并分析测试结果。 第六章总结与展望，总结本文所做的工作和将来还需要改进和研究的方向。 第二章业务选择网关 第二章业务选择网关 2 1 业务选择网关概述 业务选择网关( s e r v i c es e l e c t i o ng a t e w a y ，s s g ) 是一个基于u r l 细粒度的内容 选择网关，可以满足不同用户对内容的个性化需要。业务选择网关通过提供个性 化的服务菜单，为客户提供了丰富多彩的内容服务，因而拉近了客户与内容提供 商之间的距离。业务选择网关通过给客户提供个人服务门户的页面进行认证，因 而也为内容提供商的管理和计费带来了方便，并使内容提供商通过增值服务，获 得更高的经济利益。 2 1 1 功能特性 c i s c o 公司的业务选择网关工作在网络的汇聚层，作为一个动态的服务创造和 管理平台对传入的网络进行汇聚，并将来自a a a 、l d a p 或者o r a c l e 数据库中客 户简表中的策略动态分配给网络上的客户( 这些客户都是指p 域中的客户) ，客户 可以基于简表对不同服务进行访问，对于每种服务的访问都可以基于流量或者连 接时长进行计费。并且具备客户访问模式的切换、域名系统复位向、d n s 容错等 特性。 由于研究环境和时间等因素的限制，本文讨论的业务选择网关是一个基于 u r l 粒度的内容选择网关。与c i s c o 公司的产品相比，其功能更简单( 不具备d n s 容错等特性) ，应用环境也有所不同( 用于内容提供商，而不是电信运营商处) 。 此外，由于它是基于u r l 细粒度进行控制，从控制粒度上看，它比c i s c o 公司的 产品控制得更细一些。业务选择网关通过提供个人服务门户w e b 页面的方式对客 户进行认证，既为客户提供了更灵活更合理的收费方式，也为内容提供商的管理 和计费带来了方便，并使内容提供商通过增值服务，获得更高的经济收益。 业务选择网关为客户提供个性化的服务定制，不仅方便客户对网络业务的使 用，而且为服务提供商创造新的利润增长机会，其主要功能特性如下p 】： 1 个性化的业务定制 为客户提供方便快捷的业务定制和取消接口。客户可以通过认证登录进入个 性化服务接口，方便地进行各种业务的访问。 2 业务资料存储 可以存储免费业务、收费业务和阻止访问业务等的相关业务资料。对于免费 业务，业务选择网关不做任何控制，允许所有客户( 包括登录客户和匿名客户) 随时访问；而对于收费业务和阻止访问业务则需要进行控制。 业务选择网关中访问控制机制的研究 3 基于u r l 的内容控制 以u r l 作为内容控制的基本单元进行细粒度的内容控制。业务选择网关对客 户发来的请求数据包进行分析，获取数据包请求资源的u r l ，然后与客户已经定 制收费资源的u r l 进行匹配，判断是否准许客户进行该业务的访问。 4 虚拟会话管理 以虚拟会话的方式来管理客户访问的目的是为了提高效率，避免每次客户访 问相同服务时都要进行控制。 5 优先级控制 对客户的请求进行优先级控制，使优先级高的请求首先通过，从而保证高优 先级请求服务的服务质量。业务选择网关至少应当实现以下两种优先级控制方式： ( 1 ) 基于客户身份。业务选择网关处理客户请求时，可以根据发起请求的客户 身份区分不同优先级，对优先级级别较高的客户请求优先处理； ( 2 ) 基于目标p 地址和端口号的组合。业务选择网关处理客户请求时，可以 根据请求的目标p 地址和端口号( 请求服务的不同) 区分不同的优先级，对级别 较高的服务优先处理。 6 路由选择 根据规则区分不同的客户请求，并将客户请求转发到正确的地址。转发规则可 以根据多种参数确定，包括业务种类、服务提供商的类型以及其它参数。 7 地址转换 提供业务内容的服务器可能使用私网地址，客户的业务访问请求全部进入业 务选择网关，网关对访问请求进行判断转发到相应的内容服务器上，因此业务选 择网关应当具备网络地址转换的功能。 8 手工配置 业务选择网关作为一个网络设备，必须提供相应的手工配置的功能。其具体 表现为：可以根据业务的需要，利用软件提供的接口对业务选择网关进行各种相 关的配置。 9 话单提供 向业务支撑平台的计费系统提供原始话单，话单应当包含足够的信息，以满 足基于内容计费的要求。话单信息中必须包含时长和流量的信息，同时话单中需 要有目标位址、端口号、协议信息以及其它相关信息，从而才能够满足“区分目 标地址和业务计费的要求。 2 1 2 工作原理 本文讨论的s s g 是一个基于u r l 细粒度的内容选择网关。从控制粒度上看， 第二章业务选择网关 它比c i s e o 公司的s s g 控制得更细一些。不过从工作原理上看，它与c i s c o 公司的 s s g 是非常相似的，都是采用提供个人服务门户w e b 页面的方式为用户提供业务 选择的接口，因此也称为基于w 曲页面的业务选择( w e b b a s e ds e r v i c es e l e c t i o n ) 。 与第二层业务选择模型不同，基于页面的业务选择可以与接入方式无关，只要可 以通过唯一的p 地址来确定主机或用户就可以。 基于页面的业务选择使用一个h t t p 服务器或w e b 服务器，被称为业务选择 控制板( s e r v i c es e l e c t i o nd a s h b o a r d ，s s d ) ，是一个w e b 服务器，可以在各种操 作系统上运行，并与业务选择网关进行通信。采用基于页面业务选择方式的主要 优点【9 】： ( 1 ) 关于业务的信息( 例如相应的收费信息) 可以随时被通告； ( 2 ) w e b 浏览器随处可见，使用非常方便； ( 3 ) 用户可以同时选择多项业务； ( 4 ) 用户可以获得个性化的服务。 业务选择网关控制部分 客户 1 一、 、 、 、 、 6 、 业务选择w e b l n 务器 a a a 服务器 一一一一一h m 图2 i 业务选择网关各组成部分交互关系图 如图2 1 所示，业务选择网关、业务选择w e b 服务器、外部r a d i u s 服务器 ( 图中a a a 服务器) 之间的交互过程如下：首先，客户主机使用浏览器软件访问 预先定义好的业务选择w e b 服务器的u r l 或者口地址。这发生在用户被分配了 某个i p 地址以后，此时用户只可以访问默认网络( 包括w e b 服务器、a a a 服务 器和免费资源) 。在客户访问到w e b 服务器的第一个页面时，他被要求输入用户名 和密码进行登录。输入这些信息以后，w e b 服务器会把通过h t t p 收到的用户名 和密码翻译成r a d i u s 认证数据包，并将这个包发送给业务选择网关控制部分。 业务选择网关中访问控制机制的研究 控制部分收到这个请求以后，会将它转发给a a a 服务器。a a a 服务器对用户进 行认证，并向业务选择网关控制部分发送一个应答包。包中可能含有两种信息： 认证成功或者认证失败。如果用户被成功认证，a a a 服务器向控制部分发送一个 认证成功的授权资料包，控制部分根据授权数据包生成用户会话和资源权限包， 并同时把授权数据包转发给业务选择w e b 服务器，w e b 服务器生成用户的个性化 选择页面；如果认证失败，丸认服务器则向控制部分发送认证失败数据包，控制 部分转发给业务选择w e b 服务器，回馈给用户登录失败信息。 2 1 3 应用环境 业务选择网关的一个典型应用场景如图2 2 所示 9 1 。 多嗣盼 图2 2 业务选择网关典型应用场景 如图2 2 所示，业务选择网关是一个第5 层或者说第7 层内容控制的一个解决 方案。如图左部所示，客户可以通过多种方式和管道连接i n t e m e t ，例如p c 机或 者p d a ，甚至手机等智能终端都可以。业务选择网关与w e b 服务器以及r a d i u s 服务器相连，w e b 服务器负责为客户提供认证、登录以及业务选择的门户页面， r a d i u s 服务器负责客户合法性的验证，以及客户可以访问的资源列表的保管。 内容提供商的业务分为收费和免费两种，分别由不同的服务器所承载。业务选择 网关只对收费业务进行控制，而对于免费业务的数据包，直接允许通过网关。当 然，对于免费业务的数据包处理的优先级要低于收费业务的数据包。业务选择网 关有两种工作模式：普通工作模式和透明的n a t ( n e t w o r k a d d r e s st r a n s l a t o r ，网 第二章业务选择网关 络地址转换) 工作模式。如果内容服务器采用的口地址是私有地址，则网关工作 在透明的n a t 工作模式。 2 2 1 系统结构和模块设计 2 2 系统设计 业务选择网关系统基于l i n u x 操作系统进行开发，其核心控制部分在n e t f i l t e r 框架和t c 模块基础上进行开发。为提高系统处理效率，业务选择和认证功能在其 它计算机上分别采用w e b 技术和r a d i u s 技术实现，s s g 控制部分为这两部分提 供相应功能接口。s s g 体系结构如图2 3 所示。 图2 3 业务选择网关体系结构 根据系统的功能，整个系统划分为8 个功能模块，如图2 4 所示。 业务选择网关的功能模块 报 文 分 类 模 块 访 问 控 制 模 块 会 话 管 理 模 块 路 由 模 块 计 费 模 块 n a t 模 块 图2 4 业务选择网关功能模块 系 统 配 置 模 块 1 0 业务选择网关中访问控制机制的研究 1 i p 分类模块【8 】 即报文分类模块，作用是根据业务选择网关接收到的数据包包头信息对数据 包进行分类，然后交给后续模块进行处理。它位于业务选择网关数据处理流程第 一个环节，分为入口分类模块和出口分类模块两部分。其中，对于客户对资源进 行访问数据包进行分类模块称为入口分类模块，作用是将客户访问资源数据包分 类到不同队列，为后续访问控制和会话管理模块做准备。对于服务器响应客户请 求数据包进行分类模块称为出口分类模块，作用是将服务器返回给客户的数据包 分类到不同队列，为后续流量控制模块做准备。 2 访问控制模块 访问控制模块主要对受控资源的访问进行控制，并对已建立的连接和通过访 问控制的数据包交给会话管理模块进行管理。访问控制模块主要包括四大功能： 协议分析、t c p 连接管理、资源权限控制以及u r l 分配。受控数据包到达访问控 制模块后首先进行协议分析，解析出其口地址和其要访问的u r l ，然后根据用户 的口地址判断是否是登录用户，如果是登录用户再对其进行资源访问权限的验证， 如果具有访问权限则允许其建立t c p 连接；建立连接后根据u r l 分配的结果将其 资源请求的数据包转发给后台服务器。 3 会话管理模块【9 】 主要功能是根据用户要访问的业务特点和优先级进行带宽分配。由于服务器 响应用户请求数据量较大，会话管理模块对该方向业务流根据业务特点进行带宽 分配。会话管理模块对内容控制以及流量控制是在报文分类基础上实现。队列管 理机制和按优先级响应是这个模块中的核心内容。 4 计费模块【1 5 j 作用是对收费业务进行多种形式计费：基于时长和基于流量，另外可以根据 不同业务特点设置不同的费率。 5 n a t 模块 根据系统设置规则对数据包目的p 和源口进行转换，主要使用在内容服务器 d 地址是私有地址的情况下。可以通过系统配置选择是否使用该模块的功能。 6 路由模块【1 0 】 根据路由表对经过s s g 控制部分数据包进行转发。 7 系统配置模块 该模块提供系统参数设置功能，系统设置人员可以根据具体应用需要给各模 块的一些参数设置相应值。s s g 各模块根据参数的值执行相应功能，队列管理的 参数配置也将在这个模块实现。 第二章业务选择网关 8 用户管理模块 主要功能有：用户的注册、用户身份认证、资源管理与控制以及为合法用户 提供受限资源定制功能。用户身份认证用来审核用户身份合法性，同时拒绝非法 用户对资源的访问，保障系统安全性；资源管理功能是系统的管理定期的添加、 删除或者更新系统资源，以及更新资源的收费标准等；资源定制功能为用户提供 受限的服务定制功能，满足用户对个性化服务的需求。 2 2 2 业务选择网关的工作流程 业务选择网关系统主要由三个部分组成：s s g 控制部分、业务选择w e b 服务 器和a a a 服务器，所有数据流都经过s s g 控制部分并受其控制。根据流的功能 把经过业务选择网关分为三种：用户登录和业务选择的h t t p 流，认证和计费的 r a d i u s 流和业务流，这三种流在业务选择网关系统中的关系如图2 5 所示【9 1 。 业务选择罔关系统 s s g 控制部分 隔?。念，l i 猷一 二剿 。 r i 、： 。t 。 望罂- 目务器 一一一h t t p一r a d i u s 一业务流 图2 5 业务选择网关系统的工作流程 业务选择网关系统给用户提供w e b 形式的登录和选择访问业务。 ( 1 ) 用户登录流程：当用户登录时，通过s s g 控制部分向业务选择的w e b 服务 器发送登录信息，w e b 服务器把用户的登录信息翻译成一个r a d i u s 认证数据包， 并把该数据包送向运行的s s g 控制部分。s s g 控制部分会继续把凡如s 认证数 据包送向a a a 服务器。a a a 服务器对用户进行认证，如果用户被成功认证，a a a 服务器向s s g 控制部分发送一个认证成功的授权资料包，s s g 控制部分根据授权 数据包生成用户会话和资源权限包，并同时把授权数据包转发给业务选择w e b 服 务器，w e b 服务器生成用户的个性化选择页面；如果认证失败，a a a 服务器则向 1 2 业务选择网关中访问控制机制的研究 s s g 控制部分发送认证失败数据包，s s g 转发给业务选择w e b 服务器，回馈给用 户登录失败信息。登录认证的工作流程为：1 2 3 4 一 5 6 。 ( 2 ) 业务定制和取消流程：用户登录后可以通过业务选择w e b 服务器进行业务 的定制和取消，w e b 服务器把用户的操作信息通过s s g 控制部分发送给a a a 服 务器，a a a 服务器在数据库中修改用户的权限信息，并给s s g 控制部分发送更新 后的授权数据包，s s g 控制部分更新用户的权限表并把授权数据包转发给w e b 服 务器，w e b 服务器更新业务列表。业务定制和取消的工作流程为：1 2 3 4 - 5 6 。 ( 3 ) 业务访问流程：用户通过个性化的业务选择页面选择访问的业务，用户向 s s g 的控制部分发送请求资源信息，s s g 根据请求用户的权限决定对数据流的处 理，如果具有权限则向内容服务器转发数据包，如果不具有权限则丢弃数据包， 并回馈信息。内容服务器根据请求向s s g 控制部分发送回应信息，此时，s s g 向 用户转发响应信息。业务访问的工作流程为：1 7 8 9 4 。 ( 4 ) 计费流程：s s g 控制部分在运行过程中，向a a a 服务器发送计费数据包。 认证服务器存储计费信息，并向s s g 控制部分回馈信息。计费过程的工作流程为： 3 4 5 。 ( 5 ) 计费查询流程：用户通过业务选择w e b 服务器查询计费信息，w e b 服务器 通过s s g 控制部分向丸蚣服务器发送计费查询数据包，丸蚣服务器响应查询数 据包。计费查询的工作流程为：1 2 3 4 5 6 。 2 3 本章小结 本章对业务选择网关出现的时代背景、功能特性、工作原理和应用环境，以 及业务选择网关的系统结构和模块设计和业务选择网关的工作流程等方面进行了 介绍。 第三章网络协议与协议分析 第三章网络协议与协议分析 要从用户请求的数据包中分析出用户的请求的u r l ，必须先要了解应用层协 议，由于应用层协议各式各样，我们不能一一分析，只能代表性的分析几个应用 层的网络协议，找出逆向解析出u r l 的方法。在具体系统实现时，虽然只实现了 分析过的几种应用协议的逆向解析，但我们可以提供一个开放的编程接口，当有 新的协议需要扩充进来时，开发商只需根据接口，提供该应用对应的解析模块代 码即可。基于以上思想，我们这里仅代表性的讨论h t t p 和f t p 协议的u i 也解析 方法。 另外，我们希望能够提出一种方法，使用户在认证之前只与业务选择网关进 行连接，认证通过之后才与实际服务器建立连接。也就是说，希望业务选择网关 能够将客户与服务器的连接推迟到认证通过之后。为达到这一目的，我们必须对 t c p i p 协议有所改动，因此，这里我们有必要了解一下t c p i p 协议。 3 1t c p i p 协议 t c p i p 是美国政府资助的高级研究计划署( a r p a ) 在二十世纪七十年代的一个 研究成果，用来使全球的研究网络联在一起形成一个虚拟网络，也就是国际互联 网。原始的i n t e m e t 通过将已有的网络如a r p a n e t 转换到t c p i p 上来而形成，而 这个i n t e r n e t 最终成为如今的国际互联网的骨干网。t c p i p ( 传输控制协议网间协 议) 是一种网络通信协议，并不是一个而是许多协议，它规范了网络上的所有通信 设备，尤其是一个主机与另一个主机之间的数据往来格式以及传送方式，t c p i p 是i n t e r n e t 的基础协议。 3 1 1t c p i p 的体系结构 t c p i p 参考模型由四层组成，每层负责不同的通信功能。 应用层 传输层 网络层 链路层 l - l t t p 、t e l n e t 和f t p 等 t c p 和u d p 口、i c m p 和i g m p 设备驱动程序及接口卡 图3 1t c p f l p 的体系结构 1 、链路层，有时也称作数据链路层或网络接i z l 层，通常包括操作系统中的设 备驱动程序和计算机中对应的网络适配卡。 2 、网络层，有时也称作互联网层，处理分组在网络中的活动，例如分组的选 1 4 业务选择网关中访问控制机制的研究 路。在t c p i p 协议族中，网络层协议包括口协议( 网际协议) ，i c m p 协议( i n t e m e t 互 联网控制报文协议) ，以及i g m p 协议( i n t e m e t 组管理协议) 。 3 、传输层主要为两台主机上的应用程序提供端到端的通信。在t c p i p 协议族 中，有两个互不相同的传输协议：t c p ( 传输控制协议) 和u d p ( 用户数据报协议) 。 t c p 为两台主机提供高可靠性的数据通信。它所做的工作包括把应用程序交给它的 数据分成合适的小块交给下面的网络层，确认接收到的分组，设置发送最后确认 分组的超时时钟等。由于传输层提供了高可靠性的端到端的通信，因此应用层可 以忽略所有这些细节。而另一方面，u d p 贝, i j 为应用层提供一种非常简单的服务。 它只是把称作数据报的分组从一台主机发送到另一台主机，但并不保证该数据报 能到达另一端。任何必需的可靠性必须由应用层来提供。 4 、应用层负责处理特定的应用程序细节。 3 1 2t c p i p 中的相关协议 1 t c p 协议 t c p ( 传输控制协议) 提供了一种可靠的面向连接的字节流传输层服务，为应用 层提供服务。 所谓面向连接是指两个应用程序在使用t c p 交换数据之前，必须首先建立 t c p 连接，这就好像打电话一样，拨完电话号码，等着接通电话对方说话，然后 表明身份。在t c p 协议中如何建立一个连接和如何断开一个连接是很重要的。需 要说明的是由于t c p 的该特性，使得它并不应用于广播和多播的情况。t c p 提 供可靠服务，即包含如下几点【1 8 】： ( 1 ) 应用数据被分割成t c p 认为最适合发送的数据块。这和u d p 完全不同， 应用程序产生的数据报长度将保持不变。由t c p 传递p 的信息单位称为s e g m e n t 。 ( 2 ) 当t c p 发出一个段后，它启动一个定时器，等待目的端确认收到这个报 文段。如果不能及时收到一个确认，将重发这个报文段。 ( 3 ) 当t c p 收到发自t c p 连接另一端的数据，它将发送一个确认。这个确认 不是立即发送，通常将推迟几分之一秒。 ( 4 ) t c p 将保持它首部和数据的检验和。这是一个端到端的检验和，目的是检 测数据在传输过程中的任何变化。如果接收端的检验和有差错，t c p 将丢弃这个 报文段和不确认收到此报文段( 希望发送端超时并重发) 。 ( 5 ) 既然t c p 报文段作为p 数据报来传输，而m 数据报的到达可能会失序， 因此t c p 报文段的到达也可能会失序。如果必要，t c p 将对收到的数据进行重新 排序，将收到的数据以正确的顺序交给应用层。 ( 6 ) 既然i p 数据报会发生重复，t c p 的接收端必须丢弃重复的数据。t c p 还 第三章网络协议与协议分析 能提供流量控制。t c p 连接的每一方都有固定大小的缓冲空间。t c p 的接收端只 允许另一端发送接收端缓冲区所能接纳的数据。这将防止较快主机致使较慢主机 的缓冲区溢出。 ( 7 ) 字节流服务。两个应用程序通过t c p 连接交换8b i t 字节构成的字节流。t c p 不在字节流中插入记录标识符。我们将这称为字节流服务。如果一方的应用程序 先传1 0 字节，又传2 0 字节，再传5 0 字节，连接的另一方将无法了解发方每次发 送了多少字节。收方可以分4 次接收这8 0 个字节，每次接收2 0 字节。一端将字 节流放到t c p 连接上，同样的字节流将出现在t c p 连接的另一端。 图3 2 显示t c p 首部的数据格式。在t c p 报文首部中，同样有首部长度的字段， 作用同i p 数据报，另外需要说明以下几个标志位的作用，它们在t c p 连接中起着非