杂志介绍　历期刊物　杂志动态　订阅杂志　杂志投稿　广告服务　广告客户

IPv6和带宽管理: Internet2的关键技术

北京大学教育学院教育技术系/文

　　Internet2已经发展了七八年，中国类似的项目也有两三年，但国内鲜见教育应用，更缺乏创新模式。作为其Internet2的两个关键技术，IPv6和与QoS有关的带宽管理技术推动了远程教育的进一步发展；同时，Internet2组织下的教育中间件架构委员会MACE也为此作出了贡献。

　　IPv6协议与现在互联网采用的IPv4相比，具有更大的地址空间、更加安全、主机可移动、支持多媒体等四大特点。协议的设计使路由器处理报文更加简便，协议的扩展性也更好。目前，IPv6的实验网6Bnoe已经遍布全球，IP协议从IPv4过渡到IPv6已经是历史必然。

　　IPv6进一步推动远程教育的发展

　　由于网络基础条件原因，网络教育大多采用网上网下相结合的方式，难以做到真正的互动、实时。远程教育更多只是一种远程广播，学生只能被动地接受灌输，几乎不能同教师和其他学习者进行沟通，这使得远程教育不尽如人意，其瓶颈就是网络速度难以满足，做不到适时传输大规模数据。但在新一代互联网上，这些都将成为最普通的应用。比如在实时交互远程多媒体教学和学术研讨系统中，在高速网络提供的网络服务基础上，基于视频会议技术完全可以实现实时远程授课；用于远程教育的交互式VOD点播试验系统，在高速网络环境下实现授课内容的异步按需点播，流式媒体的传输质量可以达到MPEG2编码的质量标准。学生和老师可以真正地做到随时随地用手边能有的各种设备获取网上的各种信息。

　　总之，IPv6不仅会给我们带来高速网上高质量的教育多媒体播放；还可以支持开展更多更新颖的教学活动，更好更方便更快捷地向更多的人提供优质的教育服务。

　　IPv6的实现技术

　　全新的地址管理方案

　　IPv4中，地址是用户拥有的。一旦用户从某机构处申请到一段地址空间，他就永远使用该地址空间，而不管他是从哪个Internet服务提供者（ISP）处获得服务。这样，ISP必须在路由表中为每个用户的网络号维护一条表项。随着用户数的增加，会出现大量无法会聚的特殊路由，即使无类别域间路由（CIDR）也不能处理这样的路由表爆炸现象。

　　IPv6改变了地址的分配方式，从用户拥有变成了ISP拥有。全局网络号由Internet地址分配机构（IANA）分配给ISP，用户的全局网络地址是ISP地址空间的子集。每当用户改变ISP时，全局网络地址必须更新为新ISP提供的地址。这样ISP能有效地控制路由信息，避免路由爆炸现象的出现。

　　ISP地址拥有模式意味着用户必须时常改动他们的主机地址，这对大型网络的管理很不利。另一方面，运行IPv6的主机能同时为每个端口配置多个IP地址。这些地址包括全局地址、站点局部地址、链路局部地址等，它们分别用于不同的传播范围。由用户管理多个地址是相当烦琐的，所以IPv6提供了地址自动配置机制，使主机能自动生成地址，避免了手工配置的低效率，实现了主机的即插即用功能。路由器在地址自动配置中发挥巨大的作用，它定时在子网里多播路由器广告报文，报文中包括主机能使用的地址前缀的所有信息，如前缀值、生命期等；主机收到该报文后，按照一定规则在本地生成主机标识符，把它和地址前缀连接，从而形成主机地址。为了保证主机地址的唯一性，IPv6定义了重复地址检测过程，每当生成地址时，必须反复执行生成和检测过程，直到得到唯一的地址。

　　地址管理方案还包括地址解析协议（ARP）和可达性检测。IPv4中ARP是独立的协议，负责IP地址到链路层地址的转换，对不同的链路层协议要定义不同的ARP协议。可达性检测的目的是确认相应IP地址代表的主机或路由器是否还能收发报文，IPv4没有统一的解决方案。IPv6定义了邻机发现协议（NDP），把ARP纳入NDP并运行于Internet控制报文协议（ICMP）上，使ARP更具有一般性，包括更多的内容，而且不用为每种链路层协议定义一种ARP。NDP中还定义了可达性检测过程，保证IP报文不会发送给“黑洞”。

　　报文的安全传送

　　Internet应用的普及使安全问题日益紧迫，在报文传输过程中修改、窃取报文，对报文中数据的有效性构成了威胁。IPv4对报文安全问题是以IP选项的方式使用。IPv6继承了IPv4的技术，定义了验证报文头和安全报文头，不但有效解决了安全问题，而且使安全方案成为IPv6的有机组成部分。

　　移动性主机

　　现有Internet的连接范围和对象有了极大的扩展，特别是移动性主机所占比例的逐步增加，给IP协议提出了新的要求。IPv4对移动IP提供支持，一般是通过本地代理和远地代理的相互作用实现的。移动主机到达新的子网后，寻找远地代理，并通过远地代理向本地代理进行位置更新。本地代理解析移动主机的地址，把其他主机发给移动主机的报文通过本地代理和远地代理间的隧道传送给移动主机，这种解决方案在处理迂回路由和小区移动时存在困难。迂回路由的产生是因为对端主机不知道移动主机的现有IP地址；小区中移动的主机会产生频繁的注册更新。

　　IPv6对移动性提供了内在的支持。首先，路由器在多播路由器广告报文时，指示了它是否能担任本地代理。同一个子网内允许多个本地代理存在，移动主机可以向任意一个本地代理注册。本地代理中保存有移动主机固有地址和它的转交地址的对照表，收到发送给移动主机的报文后，根据对照表把报文转发给移动主机。其次，每当移动主机收到其它主机发来的报文后，在响应报文中以现有地址作为源地址，并要附带上移动主机的固有地址。其它主机的后续报文以移动主机的现有地址为目的地址，但是要附带源路由选择头，报头内容为移动主机的固有地址。使用这种机制的目的是保证移动主机在移动过程中也不会丢失报文。最后，IPv6中定义了重定向过程。当移动主机在小区间切换时，移动主机重新登记成功后，基站应该向原来的基站发重定向包文，使切换过程中路由有偏差的报文重新找到移动主机。

　　对流的支持

　　在多媒体应用日益广泛的今天，Internet提供对多媒体的支持将有重大意义。多媒体的一般特点是带宽要求高、持续时间长。为此引入流的概念简化Internet对多媒体的处理。流是特定源和目的地间的报文序列，源要求中间路由器对这些报文进行特殊处理。一般来说，路由器收到流中报文后，根据流标识符查找路由器中保存的流上下文，对流中的报文进行同样的处理，加快了报文处理速度。

　　IPv6在设计之初就考虑了对流的支持。IP头的格式里，有专门的20bit流标签域。主机发送报文时，如果需要把报文放到流中传输，只需在流标签里填入相应的流编号。否则在流标签里填零就作为一般的报文处理。路由器收到流的第一个报文时，以流编号为索引建立处理上下文，流中的后续报文都按上下文处理。 　　IPv6同时定义了流的优先级，分别支持不同的业务需求。但是从目前的研究发现，优先级的使用会导致拥塞。要保持网络的可用性，一方面流应该根据网络状态进行自适应调节，方法是采用自适应信源编码；另一方面，路由器要对流实施监控，采用公平队列之类的技术，维护网络资源使用的公平性。对多媒体的支持是一个复杂的技术，它需要主机和路由器的相互作用。

带宽管理

　　带宽管理是为了使各种主流应用都能够得到充分的带宽。在窄带情况下，需要带宽管理；在宽带环境下，因为增添了许多新服务，如高速数据、视频点播、IP语音等，宽带又会变得拥挤，因此更需要带宽管理。

　　带宽管理让高等院校受益匪浅

　　高校可以利用带宽管理工具和技术来减轻对学校关键网络部分的负载压力，建立校园网与因特网的良好链接。学生不仅希望校园网能够满足他们的教育需求，也需要能够满足他们的娱乐需求，出于这种考虑，学校应选择优先模式而非阻塞模式，因为从管理的角度或从公共关系的角度，采用限制娱乐流量的方式比完全阻塞要好，一些带宽管理产品允许在网络不忙的时候增加娱乐流量。

　　当网上开始提供音视频服务时，当人-人计算环境在高校开始普及时，带宽管理就会变得更加重要。与其花更多的钱去买带宽，不如加强现有带宽的有效使用。一些加强校园网带宽管理的学校已经感到受益匪浅。

　　现有可选方案

　　带宽管理可以采用多种技术，具体如下: ●数据压缩技术: 使得要传输的数据量减小●本地缓存: 将常用数据保存在本地●优先权: 根据应用的重要程度分配带宽●内容分布: 将内容移动到多个离用户更紧的点●阻扰未授权的访问●因特网账户包，跟踪带宽使用，计费并返回客户●教育用户作一个好的网上居民，使他们了解自己行为的后果

　　一般来说，各种带宽管理产品往往是上述两种或两种以上技术的揉合。如一些数据流量的产品不仅能监控网络流量、预测阻塞，还可以通过“速率整形”和“负载均衡”动态改变网络负荷，通过“疏导”选择定制信道。

　　带宽管理面临的挑战

　　用户在采用带宽管理后，一定要注意不断升级带宽管理产品。针对带宽管理技术，应用软件的开发者会产生相应的对策，因此带宽管理要始终走在应用前面。

　　另外，带宽管理目前还做不到对每个设备的监管，但有些已经可以为不同组的用户设置不同的管理约束。

MACE: 教育中间件架构标准委员会

　　MACE是Internet2组织为了在科研和教育领域建立互操作中间件架构而成立的松散性学术组织，通过定期的会议来保持各个大学之间的联系。每次会议都留下备忘录可供下载。目前主要致力于目录服务、安全服务（PKI）、资源共享、签名验证的互操作研究，通过开发具有良好操作性、设计领先的项目和跨校实验，以及推荐技术标准，来满足大学科研、教学和行政的需要。

　　MACE采取研究小组形式来研究特定的领域。工作组成员大都来自于高等教育机构和研究机构。主要包括MACE-DIR（研究目录和目录服务）、MACE-PKI（研究PKI—公钥基础设施）、MACE-Shibboleth（研究跨机构网络共享）、MACE-WebIso（研究基于Web的签名机制）等研究小组。

　　MACE－DIR研究小组: 目录服务

　　该小组主要研究目录和目录服务，相关工作具体如下:

　　●NSF Middleware Initiative (NMI) R2－2002年10月发布NMI-R2是美国国家科学基金资助的一个中间件项目。它包括11个支持各种不同操作环境、在线服务、目录规划等独立的软件包。比如Grid Packaging Tools，它是一组打包工具，包数据的描述基于XML；NMI Client/Server这套软件包所有软件构件的集合，便于配置；Globus Toolkit，作为网格计算的事实标准，包括用户认证、日程安排、文件转换和资源描述等多个开放源代码模块等等。

　　●LDAP Analyzer: LDAP协议分析器LDAP协议分析器是由NMI开发小组赞助的一个项目。它是由密歇根理工大学的Todd Piket开发。这一工作最初用来支持DODHE（跨机构的目录查询技术），它通过检查异常的模式和报表，检查与eduPerson对象类有依从关系的属性以及检查对于查询关键的属性来发现错误。

　　●LDAP RecipeLDAP Recipe的信息主要来自Michael R Gettes的文章——《A Recipe for Configuring and Operating LDAP Directories》。它主要介绍了如何设置目录信息树、如何进行规划设计、对DoDHE项目的展望、如何进行密码管理、如何进行绑定、如何进行存取控制等等。

　　●EduPerson: EduPerson工作组该工作组是EDUCAUSE组织和Internet2组织联合成立的一个工作组。主要职能是定义高等教育领域能够广泛使用关于人员属性的对象类（Object Class）。他们发现没有为制定通用机构目录可利用的通用模式。每个机构都必须从头开始并且每个机构之间的目录信息都是不同的。

　　●DoDHE: 跨机构目录查询技术DoDHE是MACE的一个项目，正在研究如何使用技术来支持跨机构目录查询服务。SUN公司是该项目的主要商业伙伴，并为该项目提供了开发所必须的硬件和软件。

图1 CAS工作流程

　　MACE-PKI研究小组: 公钥管理

　　该研究小组与联邦PKI技术研究小组、HEPKI小组合作，研究如何在高等教育领域部署PKI协议的技术和政策问题。

　　联邦PKI技术研究小组是联邦PKI筹划委员会的子委员会。该委员是一为使政府组织推广和使用PKI认证体系扫除障碍的开放委员会。

　　HEPKI活动组代表着CREN、EDUCAUSE/Net@EDU和Internet2三个组织在高等教育领域对PKI的进一步开发。它包括政策和技术两大部门。其中，政策部门负责讨论政策建议草案；共享RFP以及供应商的资源；参与州政府活动和立法；与联邦机构沟通；公开法规记录；编写大学教育教材。技术部门负责开发开放源代码的认证软件；与目录技术研究小组沟通；满足客户定制需求；验证期的研究；交叉认证的技术因素研究；跨组织实验。

　　MACE-Shibboleth研究小组: 跨机构资源共享

　　Shibboleth是MACE的项目之一，它正在开发支持跨机构网络资源共享的框架结构、政策框架、应用技术和开放源代码项目。另外，Shibboleth将要制定政策框架，使其允许高等教育领域跨组织操作。

　　Shibboleth项目的关键思想是:

　　●联合管理: 大学间通过建立信任关系来保证他们之间共享资源的安全性。但是发送方大学必须负责审核他们的用户是否合法。

　　●基于成员声明的存取管理: 通过用户的声明来控制其存取权限。声明可能包括用户的身份，但是很多情况并不需要它（比如访问能让大学社区的所有人访问的资源，和访问仅为上某门课程的学生的资源，它并不需要确认用户的身份）。

　　●积极的隐私管理: 由于源站点的用户信息会发送到目的站点。默认的是知道用户是某个社区的成员。用户能够管理他的用户声明并且不用担心目的站点的隐私策略。

　　●基于标准的: Shibboleth采用开放式安全声明标记语言作为消息和声明的标准格式。并且协议绑定也是在SAML基础上的。

　　●具有多元的、稳定的信任政策框架: Shibboleth使用Club来表示同意一组公共政策的特定社团（一个站点可能包括多个Club），这样就能够在双边同意的基础上建立信任框架，但同时能够提供在不同情况下使用不同的安全策略的灵活性。

　　●基于标准的但具有扩展性的声明集合: Shibboleth定义了标准的声明集合；一个集合是基于eduPerson对象类定义。

　　MACE-WebISO研究小组: 基于签名应用

　　WebISO研究小组正在研究基于WEB的签名包，该系统设计用来让用户使用标准的浏览器，通过认证来访问基于各种WEB服务器的WEB服务。相关的关键项目包括Shibboleth、Open Knowledge Initiative和uPortal。

　　以下是Internet2联盟大学开发的符合WebISO的一些软件包:

　　●Pubcookie: 华盛顿大学计算机和通信系开发的为跨组织WEB认证开发的开放源代码软件。它包括独立的登录服务器和专门为通用WEB服务器像Apache和微软的IIS平台开发的模块。通过这些模块能够将现有的认证服务像Kerberos、LDAP、NIS打包进一个解决方案中，使用户能够实现一次登录认证。

　　●Central Authentication Service (CAS) : 耶鲁大学信息技术服务部开发的开放源代码软件。可以提供多种语言访问如jsp、java、asp、perl和pl/sql。下面是它的工作流程:

　　●Brown Web-Authentication : 布朗大学开发。它的工作原理如图2。

图2 布朗大学web认证流程

　　从用户角度，客户端连接Web Server，然后Web Server判断是否有有效Ticket，如没有，Web Server将页面指向Ticket Server，用户输入用户和密码，如果合法则Ticket Server返回客户端一合法Ticket。这时客户端就可以与Web Server进行合法连接了。

　　本文系教育部《现代远程教育的技术发展与应用研究》课题成果，该课题属资料综述分析研究，在此对报告所引资料的作者和机构均表示感谢！