从Internet走向标识网^TM

      Internet的前身是美国军方的ARPAnet，通过TCP/IP协议实现网络互联。ARPAnet及TCP/IP的最主要设计思想是构建一个没有核心的网络，即使这个网络的一部分被摧毁，剩余的部分网络可以自动选择迂回路由，仍然可以保证通信畅通。同时， TCP/IP协议还支持把不同物理种类的网络连在一起，实现异种网络的互联。20世纪80年代，ARPAnet变身为Internet，Internet继承了ARPAnet的特点。Internet业务蓬勃发展到今天，已经覆盖全球，应用领域也突破了传统的计算机有线网络而进入了移动电信网络，成就了“移动Internet”。

    规模的急剧扩大和应用领域的扩展固然是Internet发展的可喜成果，但是也给Internet带来了严峻的挑战。挑战主要体现在以下三点：

    随着3G、4G移动通信的发展，提供给单个无线用户的网络速率可以达几兆甚至几十兆bps，移动业务正在成为影响Internet发展的最大驱动力，移动网络存在由移动接入网向移动Internet演进的内在需求，适应移动Internet需求的标识网技术体系将推动这一发展趋势不断深化。Internet上丰富多彩的业务和数以亿计的存量终端，是Internet欣欣向荣的宝贵财富，同时也成为创新技术方案的首要考虑，兼容性发展成为Internet演进历史上的成功经验。标识网技术体系可以适应多种不同场景的应用需求，全面考虑了Internet不同演进阶段的约束条件，与现有的主流技术可互通、共存、平滑演进，具备可行性。伴随IPv6、LTE等新技术的部署，在提升移动Internet能力的同时，Internet的用户群体、应用场合将发生巨大改变，这也是标识网等创新方案蓬勃发展的历史机遇。
 

• 移动性。在进行Internet和TCP/IP协议栈的架构设计时并没有考虑到将其应用到移动网络上，所以现在IP终端的移动性给上层业务带来很大的问题。移动性问题的主要根源在于IP地址具有双重功能：既表示IP终端的位置信息，又表示IP终端的用户身份信息。而电话网中的电话号码仅仅表示用户的身份信息。  
• 安全性。在Internet发展之初接入网络的都是“友好用户”，对网络设备的攻击等安全问题几乎不存在，所以Internet的体系架构设计中，没有太重视网络安全问题，其对网络保护方面的设计理念与PSTN有很大区别。PSTN是针对公众用户的，所以网络的自身防护措施很完善，普通用户几乎不可能攻击网络设备。
• 网络核心路由器的路由表容量激增。当年Internet（ARPAnet）的设计者们并没有预料到Internet发展到今天的规模，自然也想不到有朝一日庞大的路由表会成为路由处理CPU的沉重负担。

    只有成功破解上述三个挑战，Internet才能获得更大的成功。标识网就是战胜这三个挑战的很好的技术体系之一。

移动性

    电话网使用电话号码作为用户线（subscriber line）标识，通常人们认为它也是用户（subscriber）的标识。各种电信业务以及计费系统依据电话号码来区分用户。这个电话号码只是用户的逻辑标识，用户线连在用户板上的物理端口号才是用户线的物理位置。操作维护人员把这个物理端口号和电话号码关联，并把这个关联关系储存到数据库中。在开展业务时由基础网络完成业务寻址功能，由用户的电话号码寻找到用户所在的物理位置，也可由物理位置查出用户的电话号码。所以，从原理上讲，电话用户搬家或更换电信运营商都可以保持电话号码不变。

    而在Internet和TCP/IP协议的架构中，IP地址具有名、址双重属性：作为身份属性，在TCP/IP协议栈中，IP地址用来标识通信对端；作为位置属性，IP地址代表用户所处网段，是路由的基础。当用户位置改变而从另一个网段接入网络时，必须把IP地址变更为新网段的地址，这样基于（源IP地址，目的IP地址，源端口号，目的端口号）的TCP、UDP通道就必须重新建立。在更换地址期间，所有由这两种协议承载的业务都会中断。另外，很多业务以IP地址标识用户身份，这样的业务会被中止，需要从头开始。

    当前也有一些技术对Internet不能支持移动性的缺陷进行修补，例如移动IP技术，但是只有很小的改进，还会带来三角路由等新问题，难以大规模应用。

    标识网在支持移动性方面实现了突破。其基本的技术路线是身份位置标识分离，赋予用户或主机两个标识，一个是身份标识，它不随主机的位置移动而变化，另一个是位置标识，它随主机的移动而改变，但是不标识主机或用户的身份，仅仅用以在网络中寻路。TCP和UDP通道、网络上的业务都使用主机的身份标识，不会因为主机的位置移动而受影响。当主机携带其身份标识接入网络时，接入设备为其分配正确的位置标识并将此位置标识与主机的身份标识关联起来。标识网基本网络架构如图1所示。

  图1  标识网TM网络架构

    基本的解决方案包括的网元从逻辑功能上抽象为：主机用户、映射服务器、边缘网关。网络中主机有两种标识类型：主机身份标识和位置路由标识。其中用户身份标识指示用户身份，用于端到端通信时标识通信对端；位置标识指示终端用户当前所在的位置，用于数据报文转发时的路由。考虑与现有互联网的兼容性，用户标识和映射标识采用IPv4或者IPv6的格式，改语义不改结构。映射服务器通过映射表保存了终端主机的身份标识和位置标识的对应关系。

    身份标识作为主机用户开户信息保持静态不变。边缘网关根据主机用户位置分配位置标识。边缘网关与映射服务器配合，通过注册更新流程，将实时更新映射服务器中保存的主机身份标识和位置路由标识的映射关系。

    主机用户1向主机用户2发起通信时，边缘网关1根据通信对端身份标识，到映射服务器查询主机用户2的位置标识，并将查询结果保存在边缘网关1的映射路由表中，采用映射路由表实时性的维护主机用户2的身份标识/位置标识映射信息，并根据映射路由表实现数据报文封装处理、路由和转发。边缘网关3收到映射封装执行节点1发出的数据报文后，进行位置标识解封装处理，将解封装后的数据报文送达通信对端。

    通信一端主机位置变化时，边缘网关向映射服务器注册新的位置标识并通知通信对端，此后通信两端将以新的位置标识进行通信。

安全性

    安全监管问题也是Internet发展面临的重大挑战之一。网络的安全性体现在两个方面：网络设备本身的安全性，即防恶意攻击的能力以及网络信息的可溯源。

    网络设备的安全性方面，当今的Internet没有在技术上将业务层和承载层隔离开，所以普通用户可以自由地进入承载层，无法杜绝恶意用户对承载层的攻击，比如盗取密码登录网络设备或者饱和攻击路由协议端口等。而电话网则把电话用户与承载层隔离开，电话用户不能进入中继线路、信令网这样的承载实体。标识网采用了与电话网类似的思路，把用户与承载层隔离开，普通用户不能与网络中的核心设备进行直接的端到端IP通信，甚至不能通过路由跟踪的方式得知核心设备的地址。这就从根本上杜绝了普通用户攻击网络设备的可能性。

    网络信息的可溯源方面，由于Internet统一标识管理体系的欠缺，管理对象的标识始终在变化、发展，造成安全管理主体模糊，安全管理手段疲于应付，处于被动局面。在IPv4环境下，由于地址缺乏，采用动态分配或者私网加NAT的方式，造成安全事件溯源困难。IPv6为采用每个主机分配固定用户身份标识提供了可能，这有助于改进网络可信性。IPv6应该在以开放、简单和共享为宗旨的技术优势基础上，建立完备的安全保障体系，从网络体系结构上保证网络信息的真实和可溯源，提高网络管理的准确性和实时性，实现可靠的网络、业务和用户综合管理能力。

    综上所述，发展中的互联网需要统一标识管理体系，实现彻底的名址分离，使得互联网基础架构更好地支持业务关联，提升网络安全，隔离网络和应用。

网络核心路由器的路由表规模

    随着网络用户和自治系统（AS）数量的增长，IPv4路由数目已达30万条。部署IPv6虽然能够使地址规模增加，但导致路由表扩大的原因并无本质改变，路由表将持续膨胀。根据网络中实时统计的数据显示，由于路由表规模扩大，网络中发生路由更新时，BGP（边界网关协议）收敛时间长达15分钟。在收敛前会出现大量丢包振荡。路由表过大，路由器的处理负担加重，成本增加，骨干网路由收敛速度降低、收敛频率增加，网络更多地处于不稳定状态之中。

    在标识网体系中，因为主机的身份标识并不用于在核心网中寻路，除边缘网关外，其他设备看不到主机的身份标识，所以身份标识所在的子网路由不会出现在路由表中。用于寻路的只是位置信息，位置信息只与数量有限的边界网关有关联，所以标识网中的路由表条目数会比现有Internet下降至少三个数量级。