吴强，江华，孙默

（1.中兴通讯股份有限公司中心研究院 南京 210012；2.中兴通讯股份有限公司 深圳 518057）

加速IPv6发展 构建互联网统一标识体系

吴强1，江华2，孙默1

（1.中兴通讯股份有限公司中心研究院 南京 210012；2.中兴通讯股份有限公司 深圳 518057）

现有通信系统中的用户标识多样性引发业务寻址功能冗余、业务发展模式受限以及网络安全管理攻防手段不对称的被动局面。本文分析了建立互联网统一标识体系的必要性，研究了现有技术方案的不足，提出基于网络的方案。通过基于IPv6构建的互联网统一标识管理体系，建立业务间横向关联以及信息获取与接入服务之间的关联，改变互联网业务烟囱式的发展模式，促进业务的融合和开放，提升互联网安全性，对IPv6的应用发展是有益的促进。

标识管理体系；IPv6；业务；网络安全

1 构建互联网统一标识体系的必要性

图1 2010年7月CNNIC统计报告数据

CNNIC的一项统计报告如图1所示，依赖用户标识的互联网业务集中于高价值、高增长业务，用户标识在互联网业务中的价值越来越高。依赖用户标识的业务，主要是商务交易和沟通交流类业务，其增长率远高于其他类业务。随着互联网用户标识的日益重要，建立互联网统一标识管理体系的业务需求也日趋清晰。用户标识用于标识网络个体，在现有通信系统中，用户标识呈现多种形式。用户标识多样性使我们从底层协议的限制中解脱出来，同时引发业务寻址功能冗余，业务发展模式受限以及网络安全管理攻防手段不对称的被动局面。

1.1 业务寻址问题

网络的核心概念是“寻址”。在网络中，一个设备的地址惟一标识其所在位置，地址标识的是到网络的一条连接。网络地址通常是由数字组成的，具有标准的、定义好的格式。名字用于标识网络个体，与位置无关，独立于物理网络拓扑结构，使我们从底层协议的限制中解脱出来。名字和寻址构成通信网络的最基本特征。

传统语音网基于电话号码标识通信主体，应用业务基于电话号码开展。基础网络完成电话号码与用户位置之间的动态维护，在开展业务时完成业务寻址功能（由用户的电话号码寻找到用户所在的位置）。

与传统语音网不同，现有互联网没有统一的用户标识处理方式。各应用业务之间的用户标识没有统一约定，未来新的应用业务采用哪种用户标识也不可预知。互联网并没有强制每个用户都有一个用户标识，移动性支持、传输层连接直接使用IP地址，IP地址具有名、址双重属性：作为身份属性，在TCP/IP协议栈中，IP地址用来标识通信对端；作为位置属性，IP地址代表用户所处网段，是路由的基础。同时，IPv4阶段的NAT转换、动态分配IP地址的处理方法，使得IP地址无法成为互联网用户标识。在这一背景下，互联网由ICP完成业务寻址，应用业务服务器保存并维护应用业务标识（如QQ号码、E-mail地址等）与IP地址之间的动态绑定关系。

各业务层独立维护名、址映射关系，业务间寻址流程互不兼容。用户在同一时刻、同一地点使用不同业务时，要求重复业务寻址过程以及用户认证管理。ICP必须开发维护用户认证、业务寻址等的专业流程，提供相应设备，难以专注于业务应用和服务，ICP业务实现门槛较高。

1.2 业务发展模式

通信产业格局发生着重大变化，不同行业的融合竞争，使得业务界限开始模糊。价值链的关键环节正在向综合信息服务转移。融合多种技术和业务模式，实现综合信息服务，应对全方位竞争成为广泛选择，业务逐步走向融合和开放。

（1）自身业务融合

业务融合已成为未来业务发展趋势，多种业务能力的提供，每个业务能力为多个业务平台服务，融合终端的产生等一系列业务融合的需求，都需要统一的标识管理体系。

（2）业务能力开放

随着互联网业务和技术的发展，业务能力开放已成为运营商支撑业务发展的重要手段，面向互联网业务提供商、互联网内容提供商等大量的合作伙伴，采用统一标识管理体系，共享用户资源以及市场渠道，能够实现业务的迅速开展。

（3）互联互通

现阶段，中国运营商的IPTV、无线终端、家庭网关、3G终端、“全球眼”、软交换等专用终端和网络全部采用私网地址，各自封闭，但是按照将来融合互通的业务发展要求，需要采用统一标识管理体系。

（4）新型产业发展迅速

业务应用虽更加丰富，但是业务之间关联少，缺乏业务体系和统一的基础设施，突出表现为业务开放性差：互联网应用业务各自独立，用户名等通用标识符各自不同，呈烟囱式发展模式，开放性差，业务合并及关联困难，从而造成互联网信息孤岛局面。终端用户的业务需求是多样性的，业务具有综合性特点。业务的烟囱式发展模式，使得大量缺乏专业知识的终端用户，必须面对多样的功能特点如何使用、如何设置等不便，用户需要提供一揽子业务的服务。由于不同应用之间不能互通，大量的业务功能块重复开发，如一些小的电子商务平台，不能借用成熟的即时通信应用实现其在线协商功能。

1.3 网络安全需求

安全监管问题是互联网发展面临的重大挑战之一。由于互联网统一标识管理体系的欠缺，管理对象的标识始终在变化、发展，从而造成安全管理主体模糊，采用安全管理手段疲于应付，处于被动局面。在IPv4环境下，由于地址缺乏，因此采用动态分配或者私网+NAT的方式，但造成了安全事件溯源困难。IPv6为采用每个主机分配固定用户身份标识提供了可能，有助于改进网络可信性。IPv6应该在以开放、简单和共享为宗旨的技术优势基础上，建立完备的安全保障体系，从网络体系结构上保证网络信息的真实和可溯源，提高网络管理的准确性和实时性，实现可靠的网络、业务和用户综合管理能力。

综上所述，发展中的互联网需要统一标识管理体系，实现彻底的名、址分离，使互联网基础架构更好地支持业务关联、提升网络安全、隔离网络和应用实现，以用户为中心，实现定制差异化服务。

2 现有研究成果及存在的问题

目前，业界关于统一标识体系的方案有HIP（host identifier protocol）、Shim6、NOS（name oriented socket）等 ，这些方案的基本设计思路较为类似，称之为基于主机的解决方案。

以HIP为例，其基本原理是在主机协议栈的IP层和传输层之间引入一个3.5层，即主机标识层。主机标识层为上层应用提供固定不变的主机标识，屏蔽了IP地址变化；同时维护主机标识与IP地址的绑定关系。报文格式采用IPinIP方式，外层为用于路由寻址的IP地址，内层为用于标识身份的128 bit主机标识。

基于主机的解决方案中，网络需要部署维护主机标识与IP地址绑定关系的服务器。当主机IP地址变化时，将触发服务器更新绑定关系。

兼容性发展是互联网演进史上的成功经验，互联网上丰富多彩的业务和数以亿计的存量终端，是互联网欣欣向荣的宝贵财富，成为创新技术方案的首要考虑。

现有的上述统一标识体系，由于需要修改主机协议栈，对已有终端和业务都需要升级才能支持，代价巨大，难以进行大规模部署，是较为理想的企业级解决方案。

因此，建立互联网统一标识体系，使之成为基础网络能力，必须考虑与现有业务和终端的兼容性。

3 基于网络的互联网统一标识管理体系

基于上述分析，提出一套基于网络的互联网统一标识体系解决方案，如图2所示。

基于网络的解决方案包括的网元从逻辑功能上抽象为主机用户、映射服务器、边缘网关。网络中主机有两种标识类型：主机身份标识和位置路由标识。其中，用户身份标识指示用户身份，用于端到端通信时标识通信对端；位置标识指示终端用户当前所在的位置，用于数据报文转发时的路由。考虑与现有互联网的兼容性，用户标识和映射标识采用IPv4或者IPv6的格式，改语义不改结构。映射服务器通过映射表保存终端主机的身份标识和位置标识的对应关系。

身份标识作为主机用户开户信息，保持静态不变，边缘网关根据主机用户位置分配位置标识。边缘网关与映射服务器配合，通过注册更新流程，实时更新映射服务器中保存的主机身份标识和位置路由标识的映射关系。

主机用户1向主机用户2发起通信时，边缘网关1根据通信对端身份标识，到映射服务器查询主机用户2的位置标识，并将查询结果保存在边缘网关1的映射路由表中，采用映射路由表实时地维护主机用户2的身份标识/位置标识映射信息，并根据映射路由表实现数据报文封装处理、路由和转发。边缘网关3收到映射封装执行节点1发出的数据报文后，进行位置标识解封装处理，将解封装后的数据报文送达通信对端。

通信一端主机位置变化时，边缘网关向映射服务器注册新的位置标识并通知通信对端，此后通信两端将以新的位置标识进行通信。

基于网络的解决方案中，由网络节点维护用户标识与位置的对应关系，有效避免了用户移动过程中丢包、业务中断以及切换过程中多对端主机负荷爆发性增长的问题，特别是不影响终端和上层应用，是较为理想的电信级解决方案。

4 统一标识体系的优势

4.1 构建运营商、ICP、用户共赢生态系统

类似电话号码，映射服务器中保存的用户身份标识成为互联网的统一主机标识，由基础网络运营商经营管理。用户拥有惟一标识，业务层面可直接引用。通过统一标识，基础网络运营商将网络通道能力向业务层直接开放，如网络定位能力、业务层面VIP用户优先的通道资源保障等。基础网络运营商基于网络通道，以用户为中心实现定制差异化服务，提供一站式服务，实现以下功能。

（1）身份可识别性

用户拥有惟一全球标识，但可以有多个分级的标识+密码，兼顾安全与隐私。

基于全球标识登录后，可识别真实身份，使用运营商增值业务，后台可计费优惠和体验优化，可推送定制广告、定制信息服务，并免去繁琐的页面跨SP跳转的重新登录过程。

图2 基于网络方案的逻辑架构

（2）业务可关联性

收集分析：根用户标识单点登录后，用户体验可以由数据库分析和收集（页面访问、搜索），但不公开。用户体验积累到一定情况时，自动为用户归类和推送感兴趣的信息，如该区域同类产品比较等。

业务关联：根用户标识关联用户其他个人数据（如动态号码簿、车牌、保险、公司地址等）、客户关系管理、积分换礼品，可以实现移动终端个人信息免输入、论坛和博客个人发布内容全部检索等功能。

（3）场景可识别性

在游牧场所下，用户具备特定的需求，如通过广告减免用户基本带宽以外的增值业务费。门户具有ICP/ISP栏位摆放的控制权，可内置，可以推荐手机在线业务。

（4）互联网统一标识体系

对于ICP，可以借助运营商的用户资源营销渠道快速发展，降低客户获取门槛和成本、增加收益；避免用户认证管理的麻烦，减少欺诈造成的损失，专注于业务和应用的提供；可以实现对用户的差异化服务，创新商业模式，并进行前向收费。

对于用户，永久使用固定的用户标识，不用担心账号被盗；使用便捷，一次登录，可以享受多种互联网应用；信息安全，避免反复注册造成的个人信息泄露。

4.2 提升网络安全性

IP地址的名址二义性以及标识主机的IP地址不固定的特点，造成难以识别互联网活动参与主体，使得互联网安全始终处于攻击容易、防控困难的被动局面。在安全领域，通过构建互联网统一标识体系解决“网络可信”的问题，使得网络对用户标识的管理方式有章可循，从而提高网络的溯源能力以及定向实时管理能力，为电子交易、企业办公等业务开展创造良好的网络环境，扭转网络安全监管攻防成本不对称的局面。基于网络方案由基础网络统一管理用户标识，有效避免终端对用户标识的篡改、伪造问题，精确阻断等网络安全管理手段可以集中由网络实施。

4.3 加速IPv6发展

（1）有利于IPv4/IPv6兼容过渡

由于IP地址的名址二义性特点，主机IP地址的分配受到网络拓扑的限制，产生地址碎片而导致IP地址的利用率降低。通过统一标识体系将IP地址的身份属性与位置属性分离，主机IP地址的分配与网路拓扑解耦合，从而能够提高IP地址的利用率。

在统一标识体系下，主机的身份标识可以是IPv4以及IPv6的格式，其作用域在映射平面。映射平面为新引入网元，主要功能为管理主机身份标识和维护映射关系，不涉及数据报文转发要求的复杂同步网络拓扑等功能，能够较为简单地实现IPv4/IPv6格式的兼容性处理。位置标识作用域在IP承载网，可以继承既有IP承载网的网络拓扑及配置。

基于网络方案的位置标识只与网络拓扑中的网络设备节点个数有关，与主机数量无关，需要的位置标识数量呈几何量级减少。由于需要的位置标识数量减少，IP承载网的网络拓扑及配置不需要IPv4/IPv6双栈形式。基于主机方案的位置标识与在线用户数量相关，无法节约IP地址数量。

（2）基于用户身份标识形成IPv6的特色业务

开展IPv6应用的关键，是需要网络运营服务者、网络应用与资源提供者和终端用户三者共同实现IPv6过渡。在过渡的过程中，很难保证三者同步，形成了相互等待的局面。迫切需要发挥IPv6特点的新业务，打破僵局，推动IPv6的发展。

互联网统一标识体系为IPv6提供了新的驱动力，在以开放、简单和共享为宗旨的技术优势基础上，建立完备的安全保障体系，从网络体系结构上保证网络信息的真实和可溯源，提供安全可信的网络服务以及业务能力横向聚合、业务流程纵向关联的网络基础能力，实现可靠的网络、业务和用户综合管理能力。

5 结束语

发展中的互联网需要统一标识管理体系，实现彻底的名、址分离，使互联网基础架构更好地支持业务应用实现，实现以用户为中心的定制差异化服务。基于网络的方案全面考虑了互联网不同演进阶段的约束条件，与现有的主流技术可互通、共存、平滑演进，具备可行性。利用IPv6特有的充足地址资源，IPv6与互联网统一标识体系相互促进，在提升互联网安全可信能力的同时，提供了从总体上构建更加开放的业务体系的发展机会。

1张宏科，苏伟.新网络体系基础研究——一体化网络与普适服务.电子学报，2007,35(4)

2 曹锐,吴建平,徐明伟.互联网命名问题研究.软件学报，2009，20（2）

3 吴强，江华，符涛.移动互联网Naming网络技术发展.电信科学，2011，27（4）

4 Zhiwei Yan,Huachun Zhou,Hongke Zhang.A novel mobility management mechanism based on an efficient locator/ID separation scheme.In:Future Information Networks,2009(ICFIN 2009)

5 Ved P Kafle,Hldekl Otsukl,Masugl Inoue.An ID/locator split architecture for future networks. IEEE Communications Magazine,2010,48(2)

6 Hideki Toshinaga,Koki Mitani.Wide area ubiquitous network service system.NTT Technical Review,2009(10)

Constructing Internet Unified Identifier System,Promoting IPv6 Development

Wu Qiang1,Jiang Hua2,Sun Mo1
（1.System Architecture Dept.,Zhongxing Telecommunication Equipment Corporation Central R&D,Nanjing 210012,China；2.Zhongxing Telecommunication Equipment Corporation,Shenzhen 518057,China）

User identifier diversity causes service addressing functional redundancy,business development mode limited,and means asymmetrical between offence and defense in the field of network security in existing communications system.This paper analyzes the necessity to build Internet unified user identifier system,studies the insufficient of existing technical solutions,presents the solutions based on network.According the Internet unified identifier manage system based on IPv6 building,setting up applications transverse association,establishing the relationship between information gaining and access service,changing Internet application chimney business model of development,driving the service to the fusion and the opening,improving Internet security,it is beneficial to promote IPv6 application development.

unified identifier manage system，IPv6，service，network security

2011-05-25）

吴强，中兴通讯股份有限公司中心研究院规划总工，专家级高职，主要研究方向为移动核心网、数据通信，先后主持移动核心网、集群系统的研发工作，曾获国家科技进步二等奖、广东省科技进步奖3项，深圳市领军人物，有数十项发明专利、论文多篇；江华，中兴通讯股份有限公司方案营销部部长，先后主持和参与了大量公司主力产品的研发工作；孙默，中兴通讯股份有限公司中心研究院项目经理，负责移动分组域和数据通信方面的多个研究项目，有数十项发明专利和国际标准提案。