CN1140978C - 基于密码的接纳控制的实现方法 - Google Patents

Abstract

本发明是在保持网络现有服务的基础上，进一步向用户提供保证业务质量的服务的一个完整解决方案。通过精巧设计的边缘路由器与终端间动态加密签证的发放和验证程序，以及通过对全网绝对无效签证的规定，实现了完全由网络控制的，可以保证被接纳用户服务质量的用户接纳控制。保持了路由器均可独立配置，路由器只须维护很少业务和带宽等级，以及任何边缘路由器可以自主决定签证加密体制和加密算法的网络风格。

Description

基于密码的接纳控制的实现方法

技术领域

本发明涉及在保持网络现有服务的基础上，进一步在网络上向用户提供保证业务质量的服务的控制方法与协议，它是一个完整的、可在全网敷设的解决方案。

背景技术

目前因特网采用的是一个普遍公平和尽力而为(best effort)的网络服务机制，不对网络用户提供任何有关服务质量的保证。虽然这样的服务提供方式保证了网络业务的普及性，但也同时阻碍了一些对网络服务质量要求较高的新技术和新业务的开展，因此有必要为网络用户提供某种程度的服务质量保证。综合服务(IntServ)和有区别服务(DifServ)是目前公认的提供网络服务质量的两个基本框架，前者是基于连接的而后者是基于服务等级的。综合服务能够满足用户精细的服务质量要求，但网络必须记录每个连接，还必须有一个功能强大的接纳控制(AC：Admission Control)相配合，所涉及的复杂网络控制功能使得它非常难以实现。有区别服务对网络控制功能的要求较低，因此较容易保持网络的可扩展性，它的主要问题是由于缺乏必要的接纳控制功能，当使用高等级服务的用户过多时，使用服务等级较高的用户所得到的实际服务质量将会明显下降，甚至有可能低于那些使用服务等级较低的用户。

为了克服这两个基本实现框架的固有问题，目前提出了一系列基于测量的接纳控制方法，并希望通过将基于测量的接纳控制方法与网络的区别服务质量管理相结合，得到扩展性好，能保证用户软服务质量的一套可实用业务提供方法。目前提出的基于测量的接纳控制方法分为两类：基于网络测量和基于用户端到端测量的接纳控制方法。基于网络测量的接纳控制方法要求网络为每一对网络边缘结点维护一条设定带宽的固定通路，网络边缘通过测量已被接纳用户的实际占用带宽，做出是否接纳新用户的判决。由于下面两个实施难点，使得这个方法很难实际使用：

1、网络边缘的路由器必须记忆所有当前被接纳的流标识，识别输入分组是否为合法

   分组的查表工作量大，用户释放必须通知网缘；

2、要求网络维护所有可能网缘对间指定带宽的通路，这要求网络在管理层面上做全

   局配置，而且路由器要对每个链路进行细碎的带宽方面和业务方面的分割和维护。基于用户端到端测量的接纳控制方法有它独到的优点，网络的管理和控制工作量可以减至最小，但也有它致命的两个缺点：

1、接入网络的控制权掌握在用户手中；

2、存在较大的体系结构方面的缺陷，如网络无法使用优先级控制，低优先等级业务有可能偷取高优先等级业务带宽等。

本发明的目的是给出一个可实用的、在现有网络提供服务的基础上，提供保证业务质量的服务的完整解决方案-基于密码的接纳控制方案，以及实现基于密码的接纳控制的具体方法和电路。

所谓提供业务质量保证是指：

1、网络提供保证业务质量的和不保证业务质量两类服务，保证业务质量的服务主要

   指保证用户流得到的最小带宽不小于某个网络设定的门限，不保证业务质量的服

   务类似于目前因特网的服务方式；

2、入网用户可以申请也可以不申请保证业务质量的服务，只有申请了、且被接纳的

   用户才会得到保证业务质量的服务，没有被接纳的在网用户一直可以得到网络提

   供的不申请保证业务质量的服务；所谓实用是指本发明可以作到：

1、任何网络结点都不存储流状态；

2、网络上的任何路由器可以进行独立的带宽配置和带宽维护，而且每条链路只需维

   护和管理两个服务等级和带宽等级；

3、通过加密机制，发放和维护对保证业务质量服务接纳的权力可以牢靠地掌握在网

   络手里，用户无法对接纳进行伪造；而且申请手续简单，释放无须通知网络；

4、保证服务质量的业务和不保证服务质量的业务可以共享带宽资源；

5、网络上的边缘路由器可以独立的选择加密体制，路由器可以独立地选择各种控制

   机制的算法，并能独立地进行配置，并不强求全网统一。

发明内容

本发明的解决方案是基于密码的接纳控制方法。它是在保持网络现有服务的基础上进一步在网络上向用户提供保证业务质量的服务的一套完整解决方案，其特征在于：通过网络边缘路由器向所有申请但尚未被接纳的分组发放有效签证，网上路由器用剥夺所有不能接纳的分组的签证的方法来向用户发放被接纳权；用户的接收终端通过反向信道将接收到的签证返回发送终端，发送终端在每个分组中携带从接收终端返回的最新签证，边缘路由器检查每个到达分组所携带签证是否合法，并通过更新携带合法签证分组的签证及惩罚伪造签证者的方法，维护用户的被接纳权及网络资源的合法使用；网络上的各个路由器在独立配置和独立维护的前提下，独立地做出接纳新流的决断，并本地协调上游路由器的接纳发放机制；通过全网设置统一的绝对无效签证值，保证各网络边缘路由器选择签证加密体制和算法的高度独立性，任何网络结点可以在不知道分组签证加密方法的情况下有效地剥夺一个分组的签证；用户通过送终端和接收终端控制机制适配网络的接纳控制。

在用户被接纳权的维护中，网络边缘路由器检查每一个声称已被接纳分组携带的签证是否为合法时间间隔内网络发放的合法签证，若合法，则向该分组发放新的动态加密的签证，否则对该分组进行必要的惩罚(如丢弃该分组或关闭该分组所属的流等)；网络边缘路由器定时地改变加密密钥，并且在动态加密的签证中至少要包含对该分组所属的网络预期管理的流标识(如目的IP地址、目的端口号、源IP地址、源端口号、其它的可能标记，如MPLS等，或它们的各种组合)的加密；加密算法、密钥设定和合法时间间隔的选择，保证签证至少在一个往返时间间隔内不会失效，保证脱离网络一个给定时间间隔后的用户不再拥有任何有效签证，保证网络正常的分组丢弃不会影响用户被接纳权的可靠维护，以及保证取得一个特定流的被接纳权的用户不能使用从该流得到的合法签证去合法地接入其它未被网络接纳的流。

网络是否接纳新用户是由网络上的各个路由器基于本地测量而实施独立地接纳判决实现的，网络上的每个路由器，通过对本路由器被接纳业务汇聚流的总占用带宽，以及对汇聚流中单个流占用带宽的测量，对目前已被接纳的用户数进行估计，根据这一估计做出是否接纳新用户的判决，并通过接纳权的发放与接纳判决机制之间的互锁，防止测量机制的惯性和其他网络行为可能造成的误接纳判决和过量接纳。

在对新用户的接纳权的发放中，采用选择地保留未被剥夺签证的分组的签证，并剥夺所有其他一切未被选择的、提出申请但尚未被接纳的分组签证的方式发放被接纳权，协调上下游路由器的接纳权发放的一致性，保证新接纳的用户在不可破解的条件下得到签证。

路由器低速率流剔除机制可以增强基于测量的接纳控制的精度，利用网络多流控制器对低速率流进行识别，并采用概率剥夺签证的方式使得被接纳流中速率过小的流失去合法签证，为克服路由器的累计剥夺效应，采用了以TTL字段的值来估计分组所经历的路由器个数的方法，并用估计的分组经历路由器个数修正剥夺该分组签证的概率，同时用户终端可通过对签证剥夺率的检测，发现流速率过低，通过发送不承载实际信息的填充分组的办法维持被接纳权。

本发明并不限制计算签证所采用的动态加密算法，现存的加密算法一般都可以在本发明中使用；为了证明满足要求的密码确实存在，本发明给出了可用的简单加密方案，其特征在于：设定一个密钥更新时间间隔T，加密密钥为随机确定的置换S和随机数R，密钥在一个更新时间间隔内不变，而不同的更新时间间隔采用不同的密钥，设时刻t使用的密钥为(S_k，R_k)，kT＜t＜(k+1)T；发送端边缘路由器用V₁(FID)＝S_k(FIDR_k)，kT＜t＜(k+1)T计算发放给流标识为FID的分组P的签证V(P)；在时刻t，kT＜t＜(k+1)T，发送端边缘路由器总保持两对加密密钥(S_k-1，R_k-1)和(S_k，R_k)，对于收到的有流标识FID(P)和签证V(P)的分组P，首先计算V₁＝S_k-1(FID(P)R_k-1)和V₂＝S_k(FID(P)R_k)，若V₁＝V(P)或V₂＝V(P)，则承认分组P有合法的被接纳权，否则认为分组P不具有合法的被接纳权；通过对流标识加前缀或控制随机数的位数的方法，能保证任何情况下任何加密后的签证不会为绝对无效签证值(如数值0，并用数值0代表绝对无效签证值)。

基于密码的接纳控制方法中，用户发送终端控制机制通过与高层应用的接口，由高层设置申请意向，并向高层返回当前的接纳状态；自动识别网络发放的被接纳权；通过对签证返回值的检验和更新机制，保证发送分组总携带最新返回的非绝对无效签证，维护流的被接纳权；通过检测接收终端返回的有效签证率指示比特，控制填充分组的发送，在高层应用没有足够数据发送时维持流的被接纳权。

基于密码的接纳控制方法中，用户接收终端通过寄存器暂存接收到的最新非绝对无效签证，来保证送回发送端的是从网上最新得到的非绝对无效签证，以尽可能保证发送终端得到足够的返回签证来维持被接纳权。在寄存器更新的同时可进行有效签证率检测，并将检测结果通知发送终端，发送终端可通过检测接收终端返回的有效签证率指示比特，控制填充分组的发送，在高层应用没有足够数据发送时维持流的被接纳权。

在基于密码的接纳控制方案中，任何能够维护指定带宽的业务共享的方案，如各种公平队列、各种调度算法、CBQ、以及分级指导随机提早丢弃队列管理机制(CGRED[2])均可用于路由器的带宽管理，特别的，基于密码的接纳控制方案并不要求所涉及的路由器均采用统一的带宽管理机制。

本发明给出了各种控制机制的算法流程和实现电路，控制机制可以由软件、硬件或软、硬件结合的办法实现，无论软件实现的代码数或硬件实现中ASIC的所需门数均不大，因此适合于高速处理。

本发明具有下列积极效果：通过本发明给出的基于密码的接纳控制，可以在保持网络现有服务的前提下，在全网范围内提供保证业务质量的网络服务，有力支持多媒体业务在网络上的开展。基于密码的接纳控制方案，克服了原有的基于网络测量的接纳控制方法和基于用户端到端测量的接纳控制方法在实现中的主要缺陷，方案完好保持了现有网络的风格，可扩展性好。

附图说明

图1给出了基于密码的接纳控制方案的方框图：

   子图(A)给出的是控制功能在网络上的分布；

   子图(B)给出的是各控制机制在路由器上的配置关系。

图2给出了发送终端控制机制的实现模块。

图3给出了接收终端控制机制的实现模块。

图4给出了分组入关处理机制的实现模块。

图5给出了简单加密算法对应的验证单元的实现模块。

图6给出了简单加密算法对应的新签证发放单元的实现模块。

图7给出了路由器中基于测量的接纳判决机制的实现模块。

图8给出了总占用带宽和单流占用带宽估计单元的构成。

图9给出了瞬时带宽统计器的实现模块。

图10给出了单流瞬时带宽统计器的实现模块。

图11给出了带宽估计器的实现模块。

图12给出了接纳新流判决单元的实现模块。

图13给出了路由器中接纳发放和协调机制的构成。

图14给出了路由器中低速率流剔除机制的构成。

具体实施方式

下面对照附图对本发明进行详细说明。

在基于密码的接纳控制的方案中，网络由边缘路由器和核心路由器组成。边缘路由器是直接和用户终端相连的那些路由器，核心路由器只和其它路由器相连。对于一个用户间的单向连接，与连接的发送用户终端相连的路由器称为发送端边缘路由器，与连接的接收用户终端相连的路由器称为接收端边缘路由器。网络用户可以在一个网络地址对之间建立多条连接，本发明称一条单向端到端的连接为一个流，属于特定连接的所有分组上均携带有表明分组所在连接的某些识别码，称分组中的这些识别分组所在特定连接的识别码为分组的流标识。流是基于密码的接纳控制要管理的基本对象。

基于密码的接纳控制考虑在网络上为流提供两种不同的服务：保证业务质量的服务和不保证业务质量的服务，本发明中保证业务质量的服务是指保证一个流的最小连接速率，而不保证业务质量的服务是指为连接提供类似于目前因特网那样的尽力而为服务。一个流只有向网络提出明确的申请后，网络才考虑为它提供保证业务质量的服务，在一个流提出明确的申请后，网络将视该流流经的通路上的资源，尽量为该流提供这种服务。若资源允许为该流提供这种服务，则通过发放动态加密签证的方式正式接纳该流(或在不混淆的情况下也称为接纳该用户)，若资源不允许为该流提供这种服务，则只要用户不主动撤离，网络将一直为该流提供不保证业务质量的服务，当被接纳的流撤离网络或放弃被接纳权后，任何当前网上提出对保证业务质量服务申请的用户均有机会得到被接纳权。基于密码的接纳控制的分组头数据结构

基于密码的接纳控制需要在分组头的数据结构中增加如下内容：

接纳状态比特：用来携带分组所在的流是否已被接纳的指示，规定1表示流已被接

          纳，0表示未被接纳；

申请比特：用来携带分组所在的流是否打算申请保证业务质量的服务，规定1表

          示打算申请，0表示不打算申请；

护照字段：用来携带加密的签证，分为如下两个字段：

      签证字段：用来在正向信道携带网络发放的签证，签证是网络发放的动态

                加密后的一个密文，本发明规定值为0的签证代表绝对无效签

                证，任何有效签证的值不会为0；

      签证回传字段：用来在反向信道回传网络发放的签证，作为选项，可以在

                签证回传字段设置一个有效签证率指示比特。用来回传接收端

                收到有效签证的速率是否小于某个预先设定的门限；

基于密码的接纳控制包括如下控制部分：

    终端控制部分：

          发送终端控制机制

          接收终端控制机制

      网络控制部分：

          发送端边缘路由器的分组入关处理机制

          路由器的带宽维护机制；

          路由器的接纳判决机制；

          路由器的接纳发放和协调机制；

          路由器的低速率流剔除机制；上述控制功能在网络上的分布可参考附图1中的子图(A)。发送和接收终端控制部分分别在发送和接收终端实施；网络上的所有路由器均实施路由器的带宽维护、接纳判决、接纳发放和协调、以及低速率流剔除机制。除了实施上述四个机制外，发送端边缘路由器还对从发送终端输入的分组实施入关处理。各控制机制在路由器上的配置关系示于附图1子图(B)。发送端边缘路由器与核心路由器的主要区别是在前端增加了一个分组入关处理机制。经过发送端边缘路由器入关处理的分组，或输入到核心路由器的分组，首先通过流分离单元，分出被接纳的、申请但尚未被接纳的和没有提出申请的三类流，分别进行不同的处理。被接纳的流首先被送到路由器接纳判决模块，通过对它们的测量，接纳判决模块做出是否接纳新流的判决，然后被送到路由器的低速率流剔除模块，对速率过低的被接纳流进行控制。根据是否接纳新流的判决，路由器对申请但尚未被接纳的流实施路由器接纳发放和协调机制。没有提出申请的流不做任何处理就被直接送往路由器带宽维护模块，而其它两类流在进行完上述处理后也被送到路由器带宽维护模块，实施带宽的维护。需要强调的是，上面描述仅仅是功能性的，在实现中为了便于模块间的信息传递，以及共享处理资源，可能在具体实现中各功能模块间并没有上述的清晰边界。

上述的路由器处理功能是针对正向信道的，基于密码的接纳控制需要一个回传签证的反向信道，可以通过专门的ACK分组向发送终端返回签证，也可以通过数据分组携带的方法向发送终端返回签证。如果用数据分组携带的方法返回签证，则反向数据信道必然也要受到另一个方向上的接纳控制的管制，而且在象因特网这样的网络上，在正反两个方向上协调一对流的接纳是几乎不可能的，因此接收终端必须具有使用ACK分组向发送终端返回签证的能力，当反向数据分组无法为发送终端提供足够的返回签证时，用ACK分组给以保证。而在网络上给携带返回签证的ACK分组高优先级处理。下面按功能分别叙述各控制机制：发送终端控制机制：发送终端控制机制的实现模块示于附图2，由高层应用接口、数据缓存、申请寄存器、接纳状态寄存器、签证寄存器、返回分组签证抽取和有效性判决模块、分组组装和填充分组生成器、分组申请比特值插入单元、分组接纳状态比特值插入单元、分组签证插入单元、有效签证率指示比特提取单元、输出速率检测和调度单元、及其他一些杂散逻辑单元组成。数据缓存、申请寄存器的输入和接纳状态寄存器的输出是基于密码的接纳控制的发送终端控制机制与高层应用的接口，高层应用通过设置申请寄存器的值选择是否打算申请保障业务质量的网络服务，通过读取接纳状态寄存器的输出得知申请是否被网络接纳，并将要发送的数据放入数据缓存。分组组装和填充分组生成器将高层应用的数据组装成分组，当没有高层数据但需要发送分组来维持一个网络速率时，分组组装和填充分组生成器将生成这样的填充分组。接纳状态寄存器和签证寄存器分别用来放置当前流的被接纳状态和从接收端返回的最新有效签证的值。分组申请比特值插入单元、分组接纳状态比特值插入单元和分组签证插入单元给准备发送的分组分别插入正确的申请比特、接纳状态比特和签证的值。具体的说，分组申请比特值插入单元将待发送分组Q的申请比特的值Ap(Q)写为申请寄存器的当前值Ap(Ap(Q)＝Ap)，分组接纳状态比特值插入单元将待发送分组Q的接纳状态比特的值As(Q)写为接纳状态寄存器当前值As与分组申请比特值Ap(Q)的逻辑与(As(Q)＝As∧Ap(Q))，而分组签证插入单元根据待发送分组接纳状态比特As(Q)的值给待发送分组Q插入相应的签证值V(Q)，若As(Q)＝0则置V(Q)＝0，若As(Q)＝1则置V(Q)为签证寄存器的当前值V(即令V(Q)＝V)，返回分组签证抽取和有效性判决模块从返回的分组P中抽取返回签证V(P)，将这个值输出到签证寄存器的数据入口，并判断该返回签证是否为绝对无效签证(即V(P)是否为0)。若不是绝对无效签证(即V(P)≠0)，则将签证寄存器触发端口的BAs信号置1(BAs＝1)，否则返回签证为绝对无效签证(即V(P)＝0)，则置BAs信号为0(BAs＝0)，当返回签证不是绝对无效签证时，BAs信号将触发签证寄存器写入新得到的返回签证V(P)，而且若这时申请寄存器的值为1，则通过杂散逻辑单元将接纳状态寄存器的值也置为1，具体地说杂散逻辑单元的输入信号除BAs信号外，还包括申请寄存器的数据输出Ap和接纳状态寄存器的数据输出As，杂散逻辑单元的输出信号是接纳状态寄存器的数据输入Asb，实现的运算逻辑为Asb＝Ap(As+ BAs)。有效签证率指示比特提取单元提取返回分组中所包含的有效签证率指示比特的值Vr(P)，并将这个值输出到输出速率检测和调度单元，一旦收到Vr(P)的值为0，输出速率检测和调度单元将测得的当前输出速率R锁定，并开始要求组装和填充分组生成器产生足够的填充分组来保证输出速率不小于锁定的速率值，直到接收到有效签证率指示比特的值为1的返回分组。发送终端控制机制实现的算法流程如下：

对于一个给定的流做{

    从返回信道收到一个分组P后做{

        提取分组P所携带有效签证率指示比特的值Vr(P)；

        如果(Vr(P)的值为1)则{

            锁定当前输出速率，并开始按锁定速率控制填充分组的产生；

        }否则{

            撤消对输出速率的锁定，停止产生填充分组；

        }

        提取分组P所携带返回签证的值V(P)；

        如果(V(P)为绝对无效签证)则另BAs＝0，否则令BAs＝1

        如果(BAs＝1)则{

          用新收到的签证值V(P)更新签证寄存器的内容；

          若申请寄存器的值为1则将接纳状态寄存器的值置为1；

      }

  }

如果(数据缓存有数据要发送或需要产生填充分组)做{

    组装分组Q或生成填充分组Q；

    将分组Q申请比特的值Ap(Q)置为申请寄存器的值Ap；

    将分组Q接纳状态比特的值As(Q)置为接纳状态寄存器的值As；

    将分组Q签证字段的值V(Q)置为申请寄存器的值V；

    发送分组Q；

    检测输出速率；

   }

}接收终端控制机制：接收终端控制机制的实现模块示于附图3，由接收分组签证抽取和签证有效性检验单元、签证寄存器、有效签证率测量单元、有效签证率指示比特插入单元、分组签证插入单元、ACK分组产生单元和回传定时器组成。接收分组签证抽取和签证有效性检验单元抽取每个接收到分组P所携带的签证V(P)，并检查V(P)是否为绝对无效签证，检查结果作为签证寄存器的触发信号K(V(P))，若V(P)不是绝对无效签证则用这个签证的值将通过触发信号K(V(P))更新签证寄存器的内容，以保证总是将最新收到的非绝对无效签证返回给发送终端。有效签证率测量单元测量收到非绝对无效签证的比例，并判断该比例是否小于某个给定门限。为了保障发送终端对接纳权的维护，接收终端设置了回传定时器，若直到回传定时器超时，一直没有数据分组返回发送终端，则接收终端通过ACK分组产生单元产生一个回传的ACK分组，返回发送终端，对于返回发送终端的分组，接收终端通过有效签证率指示比特插入单元和分组签证插入单元，分别将测量到的非绝对无效签证比例的状态Vr和最新收到的签证值V分别写入回发分组Q的有效签证率指示比特Vr(Q)和签证回传字段V(Q)。接收终端控制机制实现的算法流程如下：

对于一个给定的流做{

    从网络收到一个分组P后做{

        接收到的总分组数++；

        提取分组P所携带返回签证的值V(P)；

        如果(V(P)为非绝对无效签证)做{

            有效签证分组数++；

            签证寄存器内容＝V(P)；

        }

   }

如果(有数据分组P发回发送终端)做{

    分组P签证回传字段内容＝签证寄存器内容；

    分组P有效签证率指示比特的值Vr(P)＝1；

    如果(有效签证分组数/接收到的总分组数＜th)则Vr(P)＝0；

    重置回传定时器；

}

如果(回传定时器超时)做{

    产生一个ACK分组P；

    分组P签证回传字段内容＝签证寄存器内容；

    分组P有效签证率指示比特的值Vr(P)＝1；

    如果(有效签证分组数/接收到的总分组数＜th)则Vr(P)＝0；

    重置回传定时器；

    }

}分组入关处理机制：只有与流的发送终端直接相连的边缘路由器需要对该流实施分组的入关处理，因此只有发送端边缘路由器需要配置分组入关处理机制。分组入关处理机制的实现模块示于附图4，由流分离单元、汇聚单元、验证单元、新签证发放单元和惩罚单元组成。直接来自发送终端的分组首先要通过流分离单元，流分离单元查看每个分组的接纳状态比特和申请比特，按这两个比特值的不同，将分组分别送往三个不同出口：将接纳状态比特为1的分组送往红色出口，将申请比特为1且接纳状态比特为0的分组送往黄色出口，将申请比特为0且接纳状态比特也为0的分组送往绿色出口。从绿色出口通过的分组直接被送到汇聚单元，结束入关处理手续；从黄色出口通过的分组被送到新签证发放单元，在拿到一个有效签证后送往汇聚单元，结束入关处理手续；从红色出口通过的分组首先要通过验证单元，对其所持签证的有效性进行检验，签证的有效性得到肯定的分组送往新签证发放单元，在拿到一个有效签证后送往汇聚单元，结束入关处理手续，而持无效签证的分组被送往惩罚单元进行惩罚，视设置的惩罚策略，或者被丢弃，或者变成非申请分组等。汇聚单元的任务只是将输入端口输入的分组按到达先后送到输出端口。分组入关处理机制实现的算法流程如下：

对于收到的分组P做{

    如果(分组P的接纳状态比特为1)做{

        检查分组P携带的签证V(P)是否合法；

        如果(分组P的签证V(P)合法)则给分组P发放新签证V’(P)；

            否则将分组P送惩罚单元接受惩罚(如丢弃分组P)；

    }

    如果(分组P的接纳状态比特为0且申请比特为1)则给分组P发放新签证V’(P)；

    将分组P送汇聚单元输出；

}

验证单元的任务是检查每个进入分组所持签证的有效性，而新签证发放单元是对进入的分组发放新签证，因此它们的具体工作模式与签证加密所采用的密码紧密相关，本发明并不限制系统所采用的签证加密算法，因此对这两个单元的内部工作模式不做任何具体规定。但为了证明确实存在可实用的签证加密算法，本发明给出如下简单加密算法：简单加密方案，设定一个密钥更新时间间隔T(T选在1-2s的数量级已可以应付绝大多数的

网络条件)，加密密钥为随机确定的置换S和随机数R，密钥在每个更新时间间隔内不变，

而不同的更新时间间隔采用不同的密钥，设时刻t使用的密钥为(S_k，R_k)，kT＜t＜(k+1)T；加密算法：发送端边缘路由器用V₁(FID)＝S_k(FIDR_k)，kT＜t＜(k+1)T计算发放给流标识为

FID的分组P的签证V(P)；解密或验证算法：在时刻t，kT＜t＜(k+1)T，发送端边缘路由器总保持两对加密密钥

(S_k-1，R_k-1)和(S_k，R_k)，对于收到的有流标识FID(P)和签证V(P)的分组P，首先计算

V₁＝S_k-1(FID(P)R_k-1)和V₂＝S_k(FID(P)R_k)，若V₁＝V(P)或V₂＝V(P)，则承认分组

P有合法的被接纳权，否则认为分组P不具有合法的被接纳权；可以通过对流标识加前缀或控制随机数的位数的方法保证任何情况下0不会成为合法签证；附图5是简单加密算法对应的验证单元的实现模块，验证单元由密钥生成系统、签证验证系统和出口选择系统3个系统组成。密钥生成系统由定时器、密钥生成器和密钥移位寄存器组成。定时器每T秒产生一个定时脉冲触发密钥生成器产生一对新密钥，以及触发密钥移位寄存器移位，将新产生的密钥移入密钥移位寄存器作为当前密钥，并将最老的密钥移出。密钥移位寄存器存储了两对密钥：当前密钥和前一个时刻的密钥，当前密钥作为验证单元的输出供新签证发放单元使用。这里没有具体规定密钥生成器的算法，实际上可以有许多办法生成密钥，产生随机数是办法之一，也可用随机数作为密钥去推动一个象DES那样的加密算法，来产生一串比特流，再通过截取和解释比特流的办法得到密钥。签证验证系统由分组的签证和流标识抽取模块、有效性判决逻辑单元、以及两个结构相同的签证验证逻辑单元组成。签证和流标识抽取模块从到达分组P中抽取的签证V(P)和流标识FID(P)被分别送到这两个签证验证逻辑单元的V端口和I端口，当前密钥和前一时刻密钥也被分别送到这两个签证验证逻辑单元的S端口和R端口，签证验证逻辑单元的输出O是O＝S(IR)V的计算结果，即只有当输入的密钥、流标识和签证吻合时，签证验证逻辑单元的输出O才为0，否则不为0；两个签证验证逻辑单元的输出被送到有效性判决逻辑单元的a和b输入端口，其判决逻辑为：c＝g(a)g(b)，其中函数g(x)定义为g(x)＝0，ifx＝0；g(x)＝1，ifx≠0，这样只要有一个输入为0，则签证验证逻辑单元的输出c为0，否则输出为1。有效性判决逻辑单元的判决作为签证验证系统的输出连接到出口选择系统的控制输入端口。出口选择系统实际上是一个分组导向开关，当控制信号为0，也就是有效性判决逻辑单元判定分组签证有效时，分组被送到连接新签证发放单元的出口，否则分组被送到连接惩罚单元的出口。附图6是简单加密算法对应的新签证发放单元的实现模块，由流标识抽取、签证计算和签证插入3个单元组成，流标识抽取单元抽取输入分组的流标识供签证计算单元使用，签证计算单元根据输入端口I输入的流标识，以及S和R端口输入的当前密钥，计算出对应的签证V＝S(IR)，签证插入单元将计算出的签证V插入分组P的签证字段V(P)＝V。路由器的接纳判决机制；路由器接纳判决机制是基于测量的，它的构成见附图7，由分组过滤、定时器、总占用带宽估计、单流占用带宽估计和接纳新流判决四单元组成。分组过滤单元从所有的输入分组中将接纳状态比特为1的分组过滤出来，输入到总占用带宽和单流占用带宽估计单元，对接纳流的总占用带宽和单个流的占用带宽进行估计。估计出的结果被送到接纳新流判决单元，对是否接纳新流做出决断。定时器产生用于带宽估计的定时脉冲。总占用带宽和单流占用带宽估计单元的构成见附图8，总占用带宽估计单元由瞬时带宽统计器和带宽估计器组成。在单流占用带宽的估计中采用了相同的带宽估计器，单流瞬时带宽的统计采用了单流瞬时带宽统计器。瞬时带宽统计器、单流瞬时带宽统计器和带宽估计器的构成分别示于附图9、10和11。参照图9，瞬时带宽统计器由分组长度提取单元、瞬时带宽寄存器、加法器和输出锁存器组成，定时脉冲在将瞬时带宽寄存器的当前值锁入输出锁存器后，将瞬时带宽寄存器清零。每到达一个分组P，分组长度提取单元提取分组的长度l(P)，将瞬时带宽寄存器的当前值 w与分组长度相加得到的值w＝ w+l(P)锁回瞬时带宽寄存器。参照附图10，单流瞬时带宽统计器由网络多流控制器和瞬时带宽统计器构成，输入分组首先被送到网络多流控制器的输入端口，只有从网络多流控制器的同标识输出端口输出的分组被送到单流瞬时带宽统计器内的瞬时带宽统计器，进行占用带宽统计。可以根据申请保证业务质量服务流的预期特征，选择网络多流控制器的记忆盒刷新方式。带宽估计器的构成见附图11，每个定时脉冲信号引发一次带宽估计的更新。带宽估计器实现如下的带宽估计算法： $\hat{W}=\mathrm{\α}\hat{W}+(1-\mathrm{\α})\frac{w}{\mathrm{\τ}},$ 其中w是输入的瞬时带宽统计值，

是带宽估计值，τ是定时脉冲的间隔时间，α是估计的更新系数，系数越大，估计出的占用带宽越平滑，但会使系统的惯性增大，减小系统对负荷变化的反应速度，因此建议在0.5到0.99之间选择，首选0.9。具体的说，附图11给出了带宽估计器的一种可能的具体实现方法，由占用带宽估计寄存器、1/τ、α和1-α三个乘法器和一个加法器组成。输入的瞬时带宽统计值w顺序通过1/τ和1-α两乘法器后得到 $\mathrm{wl}=(1-\mathrm{\α})\frac{w}{\mathrm{\τ}},$ 输入到加法器的一个输入端口，而存放在带宽估计寄存器的当前带宽估计值

在经过α乘法器后得到 $\mathrm{WL}=\mathrm{\α}\hat{W},$ 输入到加法器的另一个输入端口，加法器将两输入相加后得到 $W=\mathrm{\α}\hat{W}+(1-\mathrm{\α})\frac{w}{\mathrm{\τ}},$ 这个相加后得到的值被送到带宽估计寄存器，作为新的带宽估计值，锁入占用带宽估计寄存器。

接纳新流判决单元的输入参数包括：指定带宽W_a，指定流数N_a，总占用带宽估计W_T和单流占用带宽估计W_S。输出为接纳判决J，J＝1表示可以接纳，J＝0表示不可以接纳。参见附图12，接纳新流判决单元主要由接纳流数估计器和比较器构成，单稳定时器和逻辑与门完成一些辅助功能。接纳流数估计器的主要任务是对目前系统中接纳的流的数目做出估计，估计分为主估计和修正估计两个流程，当定时信号到达时，接纳新流判决单元收到来自总占用带宽估计和单流占用带宽估计两单元的新估计值W_T和W_S后，接纳流数估计器进入主估计流程，在主估计流程中，按 ${\hat{N}}_a=\mathrm{\α}{\hat{N}}_a+(1-\mathrm{\α})\frac{W_T}{{\mathrm{\βW}}_S}$ 对寄存器中原有系统中接纳流数目的估计做出更新，这里β是一个对单流带宽估计的修正系数，根据申请保证业务质量服务流的预期特征和所使用的网络多流控制器的记忆盒刷新方式，可在1到1.5之间选择，α是做出估计所采用的更新系数，建议在0.5到0.99之间选择，首选0.9。参照附图12，接纳流数估计器主要由除法器、寄存器、组合逻辑单元、β、α、1-α三个乘法器和2个加法器组成。寄存器的主要功能是记忆接纳流数目估计，寄存器的触发控制输入端口控制数据输入端口值的写入。组合逻辑单元的任务是在主估计流程和修正估计两不同流程为寄存器选择不同的触发控制信号和数据输入信号。定时信号的到达引发主估计流程，这时通过组合逻辑单元使输入到寄存器数据输入端口的值是估计值 $\mathrm{Np}=\mathrm{\α}{\hat{N}}_a+(1-\mathrm{\α})\frac{W_T}{{\mathrm{\βW}}_S},$ 并将这个值锁回寄存器。当接纳新流判决单元收到来自路由器接纳发放和协调机制实现模块的接纳实施信号后，进入修正估计流程，在修正估计流程中，组合逻辑单元将原有的对系统中接纳流数目估计值加1后的值 $\mathrm{Nm}=\mathrm{\α}{\hat{N}}_a+1,$ 输入到寄存器的输入端口，并锁回寄存器。比较器根据指定流数N_a设定有两个门限，快速接纳门限N_f和接纳门限N，满足关系N_a＞N＞N_f。当估计的流数 时令预判决的值K＝1，进一步，如果这时估计的流数 则说明系统接纳的流数明显小于指定流数N_a，则将单稳定时器设定为快速模式T_f，否则将单稳定时器设定为普通模式T_r。比较器的预判决值K与单稳定时器的输出逻辑与后，作为接纳新流判决单元的最终判决输出J，输出到路由器接纳发放和协调机制。只有当路由器接纳发放和协调机制收到接纳新流判决单元输出J＝1时，才会实施接纳流的动作，而只有当预判决的值K＝1和单稳定时器的输出也为1时接纳新流判决单元的输出J才会为1。设置单稳定时器的目的就是拖延向路由器接纳发放和协调机制发出接纳指示的时间，拖延时间的原因，是因为在做出接纳新流到新流得到保证业务质量服务，再到测量出新流得到保证业务质量的服务后引起的系统变化需要一段稳定时间，在这段时间内接纳新流判决单元很可能继续做出接纳新流的判断，而这个判断未必能够反应系统的真实情况，如果不在这段时间内关闭接纳新流的判断，则很可能会接纳过多的流进入系统，因此采用了单稳定时器来关闭接纳新流的判断。单稳定时器在被触发后，它的输出值立即变为0，并持续到T秒钟以后，才将输出值变回1。根据单稳定时器输出值保持在0的时间，单稳定时器有两个工作模式：普通模式T＝T_r和快速模式T＝T_f，这里T_r＞T_f。当路由器接纳发放和协调机制实施了一个接纳的发放后，通过接纳实施信号触发单稳定时器，关闭对接纳新流的判断，给系统和接纳新流判决单元一段稳定时间，当单稳定时器的输出值变回1后，才又打开对接纳新流的判断。分设单稳定时的普通和快速工作模式，是为了在系统只接纳了很少流时加快新流的接纳速度，而当系统接纳的流的数目趋于饱和时，减慢接纳的速度，以使得做出的接纳判决更准确，路由器接纳判决机制实现的算法流程如下：

对于收到的分组P做{

    如果(分组P的接纳状态比特为1)做(

    总占用带宽寄存器内容＝总占用带宽寄存器内容+分组P长度；

    将分组P送网络多流控制器；

    如果(分组P出现在网络多流控制器的同标识输出端口)

        单流带宽寄存器内容＝单流带宽寄存器内容+分组P长度；

    }

}

如果(定时器超时)做{

    总占用带宽＝α总占用带宽+(1-α)总占用带宽寄存器内容/定时长度τ；

    单流带宽＝α单流带宽+(1-α)单流带宽寄存器内容/定时长度τ；

    总占用带宽寄存器内容＝0；

    单流带宽寄存器内容＝0；

    接纳流数估计＝α接纳流数估计+(1-α)总占用带宽/β单流带宽；

    如果(接纳流数估计＜N)预判决值K＝1；

    单稳定时参数T＝T_r；

    如果(接纳流数估计＜N_f)单稳定时参数T＝T_f，

    以定时长度为τ重置定时器；

}

如果(单稳定时器超时)做{

    接纳判决输出J＝K；

}

如果(收到接纳实施信号)做{

    接纳判决输出J＝0；

    接纳流数估计＝接纳流数估计+1；

    以保持时间为T重置单稳定时器；

}路由器的接纳发放和协调机制：逻辑上说，路由器的接纳发放和协调机制是根据路由器接纳判决机制的接纳判决，实施对流的接纳的发放。从实施上看，为了得到路由器选择和处理密码的独立性，对一个流的接纳实际上表现为不剥夺该流分组所携带的合法签证。路由器的接纳发放和协调机制的构成见附图13，由分组过滤、签证验证、选择开关、绝对无效签证插入和汇聚等单元构成。分组过滤单元只让接纳状态比特为0且申请比特为1的分组通过，因为只有这些分组所在的流才是发放接纳许可所要考虑的对象。显然本地路由器在发放接纳许可时必须考虑上游的路由器是否也有资源接纳这个流，因此本发明采用了如下的路由器间协调原则：只有被上游路由器考虑过发放接纳许可的分组，才会被下游的路由器考虑。在本发明的实现方案中，这个原则是有接纳的发放机制自动维护的，所有不考虑发放接纳许可的分组的签证字段将被强制写入绝对无效签证，因此只有携带有效签证的接纳状态比特为0且申请比特为1的分组，才是上游路由器考虑过发放接纳许可的分组。签证验证单元的功能就是发现这样的分组，只有在输入端口I输入分组携带的签证不为0时，它的输出信号z才会为1，否则它的输出信号一直为0。签证验证单元的输出信号和来自路由器接纳判决机制的接纳判决信号J被分别送到一个逻辑与门的输入端口，该逻辑与门的输出为1时说明当前分组是自从接纳判决做出可以接纳新流的决断以来，本路由器发现的第一个申请了保证业务质量的服务、尚未被接纳，但在本路由器以前的所有路由器均考虑接纳的分组，逻辑与门的输出马上通知选择开关，将这个分组切换到直接与汇聚单元相连的输出端口K，逻辑与门的输出同时作为控制路由器接纳判决机制的接纳实施信号，输出到路由器接纳判决机制模块。路由器接纳判决机制模块一旦收到接纳实施信号，即一旦逻辑与门的输出为1，则立刻将单稳定时器置位，将接纳判决信号J置为0，停止通知路由器接纳发放和协调机制模块可以接纳新流，从而保证了在对这个分组发放了接纳意向后的一段时间内，不会再对其它的分组发放接纳意向。当接纳判决信号为0或到达分组的签证绝对无效时，逻辑与门的输出为0，控制进入选择开关将输入的分组输出到绝对无效签证插入单元的入口。所有输入到绝对无效签证插入单元的分组的签证字段，将被强制写入绝对无效签证。汇聚单元的任务是将所有输出分组汇聚到一起，输出到随后的处理单元。路由器的接纳发放和协调机制实现如下的算法流程：

对于收到的分组P做{

    如果(分组P的接纳状态比特为1且申请比特为0)做{

    如果(分组P的签证为0)则z＝0；否则z＝1；

    接纳实施信号＝z；

    如果(z＝0或接纳判决信号＝0)令分组P的签证字段V(P)＝0；

    送出分组P；

  }}路由器的低速率流剔除机制：路由器低速率流剔除机制的任务是识别已被接纳流中速率过低的流，并通过剥夺有效签证的方法将其剔除。参照附图14，低速率流剔除机制主要由分组过滤、网络多流控制器、流剔除和汇聚等4单元构成。分组过滤单元将已被接纳的流的分组滤出，送到网络多流控制器进行低速率流识别，从网络多流控制器同标识输出端口输出的分组一般不属于低速率流，因此直接送到汇聚单元输出。网络多流控制器会以相对大的比例，将低速率流的分组送到异标识输出端口输出，因此从异标识输出端口输出的分组被送到流剔除单元，去随机剔除它们携带的有效签证。流易除单元由分组跳数估计、随机决断和绝对无效签证插入3个单元组成。分组跳数估计单元从分组TTL字段的内容估计分组到本路由器前经过的路由器个数，由于路由器的剔除作用是累计的，路由器应适当减少对经过多个路由器的分组的剔除。分组跳数估计单元用h(P)＝255-TTL(P)估计分组经历的路由器跳数，分组跳数的估计值h(P)送到随机决断单元，随机决断单元产生一个0、1均匀分布的随机数x与预先设定的门限q(h(p))比较，若x＜q(h(p))则判决对该分组实施签证剥夺(将输端口c的值置1)，否则判决不对该分组实施签证剥夺(将输端口c的值置0)。随机决断单元的决断c被送到绝对无效签证插入单元作为控制信号，若控制信号为1，绝对无效签证插入单元则将输入分组签证字段的内容写为绝对无效签证，反之保留分组原先的签证。绝对无效签证插入单元处理完的分组送到汇聚单元输出。路由器的低速率流剔除机制实现如下算法流程：

对于收到的分组P做{

    如果(分组P的接纳状态比特为1)做{

        将分组P送网络多流控制器；

        如果(分组P出现在同标识输出端口)则送分组到汇聚单元输出；

        如果(分组P出现在异标识输出端口)做{

            分组经历跳数h(P)＝255-TTL(P)；

            产生随机数x；

            如果(x＜q(h(P)将分组P的签证字段置为绝对无效签证：V(P)＝0；

            送分组到汇聚单元输出；

        }

  }}另一方面，前面说明的用户终端的协议中，在接收终端包括有一个签证剥夺率的检测机制，同时在发送终端有一个用填充分组维持发送速率的机制，因此用户终端的协议可以自动发现流速率过低，并通过发送填充分组的办法维持被接纳权。路由器的带宽维护机制：路由器带宽管理机制的目的是维护出口链路的带宽分配，假定出口链路的总带宽为W(比特/秒)，通过配置给保证业务质量的服务指定W_a的带宽，剩下的W_b＝W-W_a带宽留给不保证业务质量的服务使用。在基于密码的接纳控制方案中，接纳状态比特为1的分组对应于保证业务质量的服务，而接纳状态比特为0的分组对应于不保证业务质量的服务。本发明不限制路由器所使用的带宽管理机制，任何能够维护指定带宽划分的资源共享方案，如各种公平队列、各种调度算法、CBQ、以及分级指导随机提早丢弃队列管理机制(CGRED[2])均可用于路由器的带宽管理，特别的，基于密码的接纳控制方案并不要求所涉及的路由器采用统一的带宽管理机制。

参考文献；[1]“网络多流控制器”中国发明专利，申请号00128245.X[2]“提供有区别服务的分级指导随机提早丢弃队列管理机制的实现方法和电路”中国发明

专利，申请号01110678.6

Claims (8)

1、一种基于密码的接纳控制方法，是在保持网络现有服务的基础上，进一步在网络上向用户提供保证业务质量的服务的一套完整解决方案，其主要特征是，通过网络边缘路由器向所有申请但尚未被接纳的分组发放有效签证，网上路由器用剥夺所有不能接纳的分组的签证的方法来向用户发放被接纳权；用户的接收终端通过反向信道将接收到的签证返回发送终端，发送终端在每个分组中携带从接收终端返回的最新签证，边缘路由器检查每个到达分组所携带签证是否合法，并通过更新携带合法签证分组的签证及惩罚伪造签证者的方法，维护用户的被接纳权及网络资源的合法使用；网络上的各个路由器在独立配置和独立维护的前提下，独立地做出接纳新流的决断，并本地协调上游路由器的接纳发放机制；设置全网统一的绝对无效签证值，任何网络结点可以在不知道分组签证加密方法的情况下有效地剥夺一个分组的签证；用户通过送终端和接收终端控制机制适配网络的接纳控制。

2、按照权利要求1所述的基于密码的接纳控制方法，其特征在于，其中所述用户被接纳权的维护，是通过下述方法实施的：网络边缘路由器检查每一个声称已被接纳分组携带的签证是否为合法时间间隔内网络发放的合法签证，若合法，则向该分组发放新的动态加密的签证，否则对该分组进行必要的惩罚；网络边缘路由器定时地改变加密密钥，并且在动态加密的签证中至少要包含对该分组所属的网络预期管理的流标识的加密。

3、按照权利要求1所述的基于密码的接纳控制方法，其特征在于，其中所述路由器的接纳判决是基于本地测量独立地实施的：网络上的每个路由器，通过对本路由器被接纳业务汇聚流的总占用带宽，以及对汇聚流中单个流占用带宽的测量，对目前已被接纳的用户数进行估计，根据这一估计做出是否接纳新用户的判决，并通过接纳权的发放与接纳判决机制之间的互锁，防止测量机制的惯性和其他网络行为可能造成的误接纳判决和过量接纳。

4、按照权利要求1所述的基于密码的接纳控制方法，其特征在于，其中所述被接纳权的发放，以及上下游路由器间接纳权发放的协调是通过下述方法实施的：路由器采用选择地保留未被剥夺签证的分组的签证，并剥夺所有其他一切未被选择的、提出申请但尚未被接纳的分组签证的方式发放被接纳权，以及协调上下游路由器的接纳权发放的一致性。

5、按照权利要求1和3的基于密码的接纳控制方法，可采用路由器低速率流剔除机制来加强其判决的精确性，其特征在于：利用网络多流控制器对低速率流进行识别，并采用概率剥夺签证的方式使得被接纳流中速率过小的流失去合法签证，为克服路由器的累计剥夺效应，采用了以TTL字段的值来估计分组所经历的路由器个数的方法，并用估计的分组经历路由器个数修正剥夺该分组签证的概率，用户终端通过对签证剥夺率的检测，发现流速率过低，通过发送不承载实际信息的填充分组的办法维持被接纳权。

6、按照权利要求1所述的基于密码的接纳控制方法，其特征在于，其中所述的加密算法可采用如下的简单加密方案：设定一个密钥更新时间间隔T，加密密钥为随机确定的置换S和随机数R，密钥在一个更新时间间隔内不变，而不同的更新时间间隔采用不同的密钥，设时刻t使用的密钥为(S_k，R_k)，kT＜t＜(k+1)T；发送端边缘路由器用V_t(FID)＝S_k(FIDR_k)，kT＜t＜(k+1)T计算发放给流标识为FID的分组P的签证V(P)；在时刻t，kT＜t＜(k+1)T，发送端边缘路由器总保持两对加密密钥(S_k-1，R_k-1)和(S_k，R_k)，对于收到的有流标识FID(P)和签证V(P)的分组P，首先计算V₁＝S_k-1(FID(P)R_k-1)和V₂＝S_k(FID(P)R_k)，若V₁＝V(P)或V₂＝V(P)，则承认分组P有合法的被接纳权，否则认为分组P不具有合法的被接纳权；通过对流标识加前缀或控制随机数的位数的方法，使得任何情况下任何加密后的签证不会为绝对无效签证值。

7、按照权利要求1所述的基于密码的接纳控制方法，其特征在于：其中所述的用户发送终端控制机制通过与高层应用的接口，由高层设置申请意向，并向高层返回当前的接纳状态；自动识别网络发放的被接纳权；通过对签证返回值的检验和更新机制，保证发送分组总携带最新返回的非绝对无效签证，维护流的被接纳权；通过检测接收终端返回的有效签证率指示比特，控制填充分组的发送，在高层应用没有足够数据发送时维持流的被接纳权。

8、按照权利要求1所述的基于密码的接纳控制方法，其特征在于：其中所述的用户接收终端控制机制通过寄存器暂存接收到的最新非绝对无效签证，来保证送回发送端的是从网上最新得到的非绝对无效签证；在寄存器更新的同时可进行有效签证率检测，并将检测结果通知发送终端。

Images