基于AAA的移动IPv6运营架构研究*

刘 昕 ，刘菲菲 ，王新颖 ，王德民

（1.吉林大学网络中心 长春 130012；2.吉林大学计算机科学与技术学院 长春 130012）

1 引言

无线技术的日趋成熟、移动终端的日益普及和人们对实时在线的网络需求与日俱增等，不断推动数字广电、电信和网络业务发展。在国际上，三网呈融合趋势[1]，并向IPv6网络过渡。例如美国的COMCAST、日本的HikariTV都通过IPv6接入实现广电业务[2]。我国已经建成了全世界最大的IPv6网络，网络厂商、电信运营商、信息家电制造商等均已参加研究[3]，其中网络运营问题是一项重要课题。一些专家学者纷纷提出了基于AAA的管理方案，如参考文献[4]中提出了层次AAA结构及融合协议的方案，并利用建立短期外地安全关联和上下文转移技术提高系统性能；参考文献[5]中提出了与IPSec共存对用户进行认证和消息保护的AAA实现方案；在参考文献[6]中提出了基于域名的网络节点管理方案等。这些方案主要侧重研究IPv6网络接入的认证和授权问题研究，而对接入后的网络运行和经营问题鲜有涉足。

本文在研究电信级移动IPv6网络运营需求基础上，提出了基于AAA的移动IPv6网络运营基础架构，用全局惟一的IPv6地址标识符作为身份标识(UniqueID)，实现对不同地域、不同网络提供商（ISP）、不同网络内容提供商（ICP）的交互访问，真正做到了对移动用户的全方位支持，并通过动态调节机制，协调用户和各类运营商之间的协作关系，促进网络资源的合理利用。

2 运营需求

现有的网络、电信运营系统多为各运营商独立运营模式，存在硬件和软件资源重复配置、用户终端形式受限等问题，巨大的经济投入制约了产业的迅速发展，也无法有效地为用户提供移动在线的可靠保障。在现阶段，基于全局惟一身份建立运营商间的松散耦合机制，实现资源共享、快速结算，是简便易行的方案。电信级网络运营管理架构设计除满足健壮性、安全性和经营性外，还应满足以下需求。

（1）可管理性

网络中转发的IP分组，可以根据其IP源地址找到其所有者和位置，保证信息可追溯性[7]。基于海量日志信息进行网络设备管理和监控，定时进行用户行为检测，可实现自动报警、简单网络维护功能，为管理人员提供友好的管理界面，保障网络的可控可管。

（2）普适性

采用统一、简单的网络管理协议进行网络管理，支持并自动识别用户接入方式；支持证书、802.1x等认证方式；支持多种终端的接入。

（3）可扩展性

预留数据处理接口，满足设备厂商的私有协议需求和运营商、资源服务商的特色服务扩展需求。尽可能地与社会公共服务体系信息库建立数据接口，增强社会服务职能。

（4）灵活性

支持多种资源管理模式，并实现与之配套的记账方式。根据业务，建立模块式记账功能，用户和运营商均可根据自身业务需求定制功能。

（5）支持电子商务

结合电子商务，提供多种形式的自助服务，方便用户查询，并及时调整业务；保证用户随时在线；根据源IP地址实时结算，保证各运营商系统资源的有效合理利用。

（6）协同性

运营商之间建立协同机制，保证移动中的受信用户可以最大限度地获得所在地资源，并遵从“谁提供、谁收费”和“谁使用、谁付费”的原则，激励运营商提供高QoS的网络接入服务和更高性能和品质的网络资源服务。

从以上功能不难看出，电信级网络运营服务，需要有强大的认证机制，保证用户接入安全和网络安全；需要有灵活的授权机制，保证用户的即时网络需求；需要有海量的日志存储，实现形式丰富的记账功能，一方面促使运营商优化网络资源，提供高品质服务；另一方面引导用户合理消费。

3 AAA运营架构

3.1 架构设计

权威部门预留一部分IPv6地址用于表示全局惟一的身份标志（UniqueID），建立与现有运营系统中的记账主键（keyID）的一一映射关系。这样，单一运营商内部现有私有业务可以基于KeyID稳定进行，业务管理需逐步迁移到基于UniqueID的模式；运营商之间的公用、互访业务则按照UniqueID。对多运营商同时出现的公用信息，本着初始数据源分配UniqueID的原则进行。如：身份证件标识由公安部门分配；设备标识由制造商分配等。各运营商只在必要时，读取数据源而不再维护与运营不紧密相关的信息。这样既保证数据的真实可靠，降低了运营商的维护成本，当运营商作数据分析时，也只需根据UniqueID读取相关信息，进行分析即可。

IPv6网络运营AAA基础架构如图1所示。有线接入终端接入始终以KeyID身份连入网络。无线移动终端在注册域内的，以KeyID身份连入网络；检测到多运营商服务的（如手机），根据运营商决策策略连入网络，以UniqueID身份申请运营商资源，连通后以提供服务的运营商授权的KeyID身份对外访问；不断进行运营商切换的（如车辆），以UniqueID身份进行访问，以当前域运营商授权的KeyID身份获得网络服务。接入层设备向运营商的接入路由发送通信报文，报文中携带有终端的身份特征。

图1 IPv6网络运营AAA基础架构

在架构中，运营商私有的认证、授权和记账服务称为运营商私有服务，完成运营商独有的AAA管理。这部分服务通常为门户网站、人工前台服务、特色网络资源服务等，与用户身份联系紧密，往往以KeyID身份为主。运营商之间的互访和协同，由终端移动引起的运营商切换带来的第三方认证、动态授权和实时记账信息同步结算，称为运营商公共服务。社会公共服务是指从政府部门、设备生产商、软件开发商、社会公共服务等部门提供的咨询，多用于与记账信息辅助决策，动态调整认证、授权信息。因为该层涉及部门广泛，故应以UniqueID身份为核心。认证、授权和记账在模型中是实时相互作用的。

3.2 工作流程

基于AAA的IPv6网络运营的简要流程如图2所示。用户须首先登录运营门户网站进行身份预注册和业务预定制。管理员根据身份信息模块审核通过后，用户方具有获得网络资源的资格。门户网站与电子商务系统密切结合，可提供基于KeyID的充值，以保证自己随时在线；也可以随时通过前台服务或网络方式修改自己定制的业务。

用户登录时，认证中心根据NAS从客户端获得的KeyID进行第三方密码验证或证书验证，结合登录位置验证、注册运营商信息、历史状态、不友好身份标志、客户端信息和当前费用余额等记账信息，进行登录检测认证，以保证系统的安全性。对本地域内无法识别的KeyID，根据对应的UniqueID进行认证。满足认证条件的用户在访问网络时，用户终端设备始终和认证中心保持认证心跳，运营系统根据记账中心的用户行为检测模块返回信息和授权变化来随时变更认证返回值。如强制中毒客户端下线杀毒、根据授权的信息进行网络参数配置等。

图2 A AA运营流程

授权中心依据KeyID预定的网络业务，根据IP分配与管理策略和动态授权策略决策向NAS返回授权信息。动态授权实现基于MAC/IP/Port管理策略、带宽时段/网段/出口拥塞动态调整策略的网络接入权限调整；结合运营商可提供服务、用户接入方式识别、NAS识别、用户身份映射策略、运营商协商策略等进行信息资源访问权限调整。其中，身份映射策略实现将外地移动来的用户UniqueID映射成本地KeyID，和本地KeyID对外获取不同资源的身份映射。授权通过后，立即通知记账服务。

记账中心保存KeyID的访问记录，如IPv6源地址、接入时间、访问协议、资源提供商等基础信息外，还保存参与系统运行的设备状态信息；定期对当前时段的用户信息进行后处理，存入到用户历史数据库。记账服务结合运营商的服务类别、与之匹配的计费策略和电子商务进行系统实时结算；结合设备状态评价、咨询系统版本信息库等信息，给出参与系统运行的设备状态评估信息；根据当前网络的运行状态和用户需求信息，向运营商提供资源的动态配置建议，包括调整计费策略、带宽策略、出口策略等；将基于KeyID的当前与历史数据信息进行对比分析，结合用户行为检测模块，判断用户的行为是否存在干扰网络现象。对费用结算余额达到阈值、有干扰行为的用户，应变更用户状态信息，关闭部分授权、直至返回部分或完全的认证失败信息，终止用户对网络的干扰和破坏，以保证系统安全。根据设备工作状态评价结果，对达到阈值的设备和干扰网络运行的行为及时向管理人员发送报警信息，启动自动或人工干预策略，以保证系统的稳定运行。

4 结束语

目前，解决IPv4地址告罄、三网融合，满足人们实时在线需求等问题的主要方法是尽快合理部署下一代互联网，并建立完善的运营体制。这是运营商、设备制造商向下一代互联网技术平稳地、经济地过渡的最佳手段。采用以IPv6地址为全局统一标识的AAA运营架构，能够保证用户合法有效接入，满足用户移动访问需求；指导运营商合理配置资源，并实现现有运营系统的松散耦合。

1 曾华燊，窦军.论下一代网络与下一代Internet及其体系结构.计算机应用，2007，27（11）：2615～2618，2622

2 戴鑫.日本运营商迫切发展IPv6网络发展促信息服务升级.通信信息报，2010年4月14日

3 吴建平.CERNET2：面临下一代互联网挑战.智能建筑，2006（6）：12～13

4 肖文曙，张玉军，李忠诚.移动IPv6网络的层次AAA方案研究.通信学报，2006，27（2）：50～55

5 杨跃峰，张思东，周华春等.移动IPv6下认证、授权和计费的实现方案.电视技术，2005（11）：67～69

6 韩晓非，赵钦，王振华等.IPv6环境下基于域名的网络节点管理方案.中国通信学会第六届学术年会论文集（中），2009

7 吴建平，任罡，李星.构建基于真实 IPv6源地址验证体系结构的下一代互联网.中国科学 E辑：信息科学，2008，38（10）：1583～1593