【正文】 ort在認(rèn)證通過(guò)前是disable的。uncontrolled port做為authentication PAE(port access entity)，與后臺(tái)認(rèn)證服務(wù)器進(jìn)行EAPOL認(rèn)證協(xié)議的通信。（4）SSG+SESMSSG＋SESM方式是SESM服務(wù)器在將配置參數(shù)發(fā)給客戶(hù)端之前必須將客戶(hù)端提供的用戶(hù)名和密碼送往認(rèn)證服務(wù)器進(jìn)行認(rèn)證，認(rèn)證通過(guò)后，SESM服務(wù)器為用戶(hù)分配合法的目的IP地址，允許用戶(hù)接入城域網(wǎng)進(jìn)行訪問(wèn)。上述這幾種接入方式比較見(jiàn)表：各種接入方式比較匯總表具體比較分析如下：1） PPPoE方式：因?yàn)橹С执笕萘亢途哂辛己玫姆€(wěn)定性，可以提供LAN接入非VLAN環(huán)境下用戶(hù)的隔離，而在現(xiàn)網(wǎng)使用較多。但是其存在以下主要不足：* 必須部署在二層可通的地方而影響其部署的靈活性；* 需要投資建設(shè)昂貴的PPPoE終結(jié)設(shè)備。2） ：在WLAN接入方式下被廣泛采用，是目前WLAN接入的主流認(rèn)證鑒權(quán)技術(shù)。存在以下主要不足，而不適合在寬帶固定接入中使用。* 必須部署在二層可通的地方而影響其靈活的部署；* 不支持帶寬控制和服務(wù)選擇。3） DHCP ＋ Web方式由于DHCP ＋ Web Login接入方式簡(jiǎn)單，對(duì)客戶(hù)上網(wǎng)習(xí)慣影響最小，設(shè)備價(jià)格較便宜，部署靈活、支持帶寬控制、服務(wù)選擇和NAT等，隨著業(yè)務(wù)的發(fā)展采用的越來(lái)越多。但是其受用戶(hù)端WEB瀏覽器軟件的影響，這種方式的容量和穩(wěn)定性均較差，不適宜公網(wǎng)的大容量情況下使用。4） DHCP ＋ 統(tǒng)一客戶(hù)端方式DHCP ＋ 統(tǒng)一客戶(hù)端方式，因?yàn)橥ㄟ^(guò)駐留用戶(hù)端的統(tǒng)一客戶(hù)端程序與相應(yīng)的服務(wù)器進(jìn)行信息交互，其繼承了DHCP ＋WEB方式的優(yōu)點(diǎn)，同時(shí)具備了大容量和良好的穩(wěn)定性。也正因?yàn)橛脩?hù)端駐留了運(yùn)營(yíng)商可控制的程序，在用戶(hù)接入安全、防止非授權(quán)接入、帶寬控制、業(yè)務(wù)選擇等諸多方面均可能提供更優(yōu)異的特性。5) SSG ＋ SESM方式由于SSG ＋ SESM接入方式簡(jiǎn)單，部署靈活、支持帶寬控制、服務(wù)選擇和NAT等。特別是同服務(wù)選擇的密切結(jié)合，其具備用戶(hù)業(yè)務(wù)進(jìn)入不同VPN業(yè)務(wù)子網(wǎng)或連接不同業(yè)務(wù)服務(wù)器的能力。該方式可以為不同用戶(hù)不同終端制定不同的腳本文件，極大地滿足了寬帶多媒體應(yīng)用的個(gè)性化需求。但是其受用戶(hù)端WEB瀏覽器軟件的影響，這種方式的容量和穩(wěn)定性存在不足。本規(guī)劃明確建議接入認(rèn)證鑒權(quán)方式選擇DHCP＋統(tǒng)一客戶(hù)端方式。其詳細(xì)理由和論述見(jiàn)“技術(shù)發(fā)展路標(biāo)”章節(jié)。 應(yīng)用認(rèn)證用戶(hù)在接入過(guò)程中，如果要訪問(wèn)某些收費(fèi)的應(yīng)用時(shí)，也要首先通過(guò)認(rèn)證，然后根據(jù)認(rèn)證的結(jié)果，應(yīng)用服務(wù)器按照用戶(hù)的權(quán)限為用戶(hù)返回相應(yīng)的信息，同時(shí)采集和記錄必要的計(jì)費(fèi)信息，如用戶(hù)標(biāo)識(shí)、所訪問(wèn)的信息內(nèi)容、訪問(wèn)時(shí)間、流量等用于計(jì)費(fèi)。應(yīng)用認(rèn)證本身由應(yīng)用服務(wù)器發(fā)起，作用是保護(hù)應(yīng)用系統(tǒng)不被非法侵入。但在應(yīng)用較多的情況下，要求用戶(hù)每使用一種應(yīng)用，就要用戶(hù)輸入一次user name和password，會(huì)使用戶(hù)不厭其煩，不利于增值業(yè)務(wù)的開(kāi)展。因此，必須在用戶(hù)認(rèn)證系統(tǒng)中考慮單點(diǎn)登錄，支持“一次認(rèn)證，無(wú)限使用”（Single Sign On）功能。IP地址規(guī)劃策略目前我國(guó)內(nèi)地IP地址總數(shù)為：29,002,240個(gè)，香港特區(qū)IP地址總數(shù)為：3,420,672個(gè)，澳門(mén)特區(qū)IP地址總數(shù)為：36,864個(gè)。負(fù)責(zé)亞太地區(qū)IP地址的分配與管理的機(jī)構(gòu)是亞太互聯(lián)網(wǎng)絡(luò)信息中心（簡(jiǎn)稱(chēng)APNIC），它在亞太地區(qū)許多國(guó)家擁有成員單位。其中APNIC分配給我國(guó)大陸的成員的IP地址情況如表所示：中國(guó)大陸地區(qū)IP地址分配表注1：表中CNNIC的地址是CNNIC申請(qǐng)到的IP地址數(shù)，但并非歸CNNIC所有，而是將之再分配給CNNIC 的IP地址分配聯(lián)盟成員；注2：此處中國(guó)網(wǎng)絡(luò)通信集團(tuán)公司的IP地址數(shù)不包括中國(guó)網(wǎng)絡(luò)通信(控股)有限公司和吉通網(wǎng)絡(luò)通信股份有限公司的IP地址數(shù)；注3：此處中國(guó)移動(dòng)通信集團(tuán)公司的IP地址數(shù)未包括由CNNIC分配給中國(guó)移動(dòng)通信集團(tuán)公司的IP地址32768個(gè)，故中國(guó)移動(dòng)通信集團(tuán)公司擁有的IP地址總數(shù)為922624個(gè)；注4：此處吉通網(wǎng)絡(luò)通信股份有限公司的IP地址數(shù)未包括由CNNIC分配給吉通網(wǎng)絡(luò)通信股份有限公司的IP地址98304個(gè)，故吉通網(wǎng)絡(luò)通信股份有限公司擁有的IP地址總數(shù)為368640個(gè)；注5：表中的“其它”是指注冊(cè)日期比較早，無(wú)法判斷其歸屬單位的IP地址數(shù)。 全球IP地址分析 IP地址現(xiàn)狀全球IP地址資源現(xiàn)狀如表所示。各機(jī)構(gòu)分配比例見(jiàn)圖所示。負(fù)責(zé)全球IP地址分配的三大組織ARIN、RIPE NCC、APNIC負(fù)責(zé)管理的IP地址只占大約13％，而在IANA手中未分配的IP地址占38％。三大組織手中的IP地址也沒(méi)有全部分配下去，下表是全球可分配的IPv4地址數(shù)統(tǒng)計(jì)表，由于沒(méi)有找到ARIN的IPv4地址的使用率數(shù)據(jù)，表中ARIN的利用率數(shù)據(jù)是一個(gè)保守的估計(jì)，實(shí)際情況應(yīng)該是小于這個(gè)數(shù)字。 IP地址消耗趨勢(shì)分析下圖是前幾年每年IPv4地址分配量的統(tǒng)計(jì)和未來(lái)3年趨勢(shì)的預(yù)測(cè)。圖中的數(shù)據(jù)表明，1999年和2000年IPv4地址的申請(qǐng)量有較大的增長(zhǎng)，而2001年這個(gè)增長(zhǎng)速度開(kāi)始減緩。預(yù)測(cè)計(jì)算方法如下：計(jì)算方法一：如果按現(xiàn)有IP網(wǎng)絡(luò)的定位及業(yè)務(wù)需求對(duì)IP地址的需求來(lái)看，粗略的估算，未來(lái)10年的平均年申請(qǐng)量應(yīng)該在150,000,000（）以下，則剩余的IPv4地址可滿足未來(lái)11－12年的申請(qǐng)需求：也就是說(shuō)，剩下的IPv4地址要到2012才會(huì)耗盡，與IANA預(yù)測(cè)的結(jié)果吻合。計(jì)算方法二：如果按IP網(wǎng)絡(luò)滿足NGN和3G全業(yè)務(wù)承載來(lái)看，粗略的估算，2004－2005年處于IPv6的初步應(yīng)用階段，IP地址平均年申請(qǐng)量應(yīng)該在150,000,000左右，2006－2008處于IPv6的大規(guī)模部署及遷移階段，如果IP地址平均年申請(qǐng)量應(yīng)該增加3倍以上，即每年達(dá)到平均年申請(qǐng)量450,000,000左右，2008年將消耗完等量的現(xiàn)有IPv4剩余地址空間：1,744,794,291＝150,000,0002＋450,000,0003。針對(duì)這個(gè)問(wèn)題，IANA采取了很多措施來(lái)延緩，包括：* 采取嚴(yán)格的審查措施，減少I(mǎi)P地址的浪費(fèi)；* 鼓勵(lì)企業(yè)采用私有地址加NAT的方式；* 從一些公司和組織的手中收回A類(lèi)地址。通過(guò)這些措施，將有效降低IPv4地址消耗的速度，IPv4耗盡的時(shí)間將有所推遲。 我國(guó)電信運(yùn)營(yíng)商的IP地址資源策略根據(jù)RIR(Regional Internet Registry，區(qū)域性互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu))公布的IP地址分配策略和從CNNIC（中國(guó)互聯(lián)網(wǎng)信息中心）了解的情況，RIR對(duì)于合理的IP地址申請(qǐng)是不拒絕的，只要申請(qǐng)者能夠提供相關(guān)的材料，如網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備數(shù)量等。當(dāng)IP地址空間的使用量超過(guò)80％時(shí)，還可以繼續(xù)申請(qǐng)。IP地址緊張是相對(duì)的，主要是現(xiàn)在審批比較嚴(yán)格，需要非常充分的材料。我國(guó)目前現(xiàn)有的IPv4地址遠(yuǎn)不能滿足數(shù)據(jù)業(yè)務(wù)發(fā)展的需要。隨著數(shù)據(jù)網(wǎng)絡(luò)的大發(fā)展，網(wǎng)民人數(shù)將大幅增加，對(duì)IP地址有極其迫切的需求。在這種情況下，我國(guó)電信運(yùn)營(yíng)商應(yīng)采取的IP地址策略如下：1) 基本上使用公有地址資源。但是需積極申請(qǐng)公有地址資源，電信運(yùn)營(yíng)商應(yīng)根據(jù)自己的業(yè)務(wù)需要，應(yīng)及時(shí)迅速向APNIC等組織申請(qǐng)網(wǎng)絡(luò)發(fā)展所需要的IP地址資源。2) 采用嚴(yán)格的措施，提高對(duì)公有地址資源的有效使用。3) 接入網(wǎng)部分，適當(dāng)使用代理服務(wù)器，減少公有地址需要，同時(shí)可提供一定的安全增值服務(wù)。 IP地址規(guī)劃的建議策略依據(jù)IP地址分配策略和IP地址資源現(xiàn)狀， IP地址詳細(xì)規(guī)劃建議采用公有IP地址＋保留地址混合的方式。除家庭用戶(hù)外，全部需要IP地址的地方均分配公有地址，家庭用戶(hù)通過(guò)DHCP或其它地址分配方法分配全省網(wǎng)唯一的私有保留地址。該方案僅家庭用戶(hù)訪問(wèn)出省流量的情況需要地址翻譯（地址轉(zhuǎn)換比取定20：1），其它任何情況均不需要進(jìn)行地址翻譯。該方式優(yōu)點(diǎn)如下：* 將地址需求量最大部分的家庭用戶(hù)采用全省唯一的保留地址，較大地節(jié)省了公有IP地址需求量；* 地址轉(zhuǎn)換的簡(jiǎn)潔性。具體分配策略如下：* 公有地址分配對(duì)象：路由器（包括用戶(hù)端）、交換機(jī)、控制應(yīng)用層服務(wù)器以及大企業(yè)客戶(hù)的WEB服務(wù)器、郵件服務(wù)器、網(wǎng)絡(luò)設(shè)備互聯(lián)端口等；* 保留地址分配對(duì)象：僅家庭用戶(hù)設(shè)備和終端；* 公有地址的范圍：從省網(wǎng)的預(yù)留地址中分配；* 保留地址的范圍：雖然在理論上可以任意使用建議使用10網(wǎng)段。1網(wǎng)絡(luò)QoS基礎(chǔ)架構(gòu)寬帶網(wǎng)絡(luò)按照電信網(wǎng)商業(yè)模型進(jìn)行建設(shè)提供全業(yè)務(wù)解決方案，其關(guān)鍵特性要求為提供全業(yè)務(wù)的基本的QoS保證。業(yè)務(wù)的質(zhì)量要求本質(zhì)上為如下基本參數(shù)：誤碼、時(shí)延、抖動(dòng)和漂移。在目前的網(wǎng)絡(luò)技術(shù)條件下，這些參數(shù)指標(biāo)的達(dá)到主要取決于業(yè)務(wù)端到端帶寬的保證；換句話來(lái)講，只要保證了業(yè)務(wù)需要的端到端帶寬，業(yè)務(wù)的質(zhì)量自然得到全面的保證。依據(jù)業(yè)務(wù)模型（帶寬、帶寬匯聚比、業(yè)務(wù)分布和流向），通過(guò)全網(wǎng)接入層、媒體層、支撐平臺(tái)層和控制應(yīng)用層按需進(jìn)行嚴(yán)格的帶寬規(guī)劃和監(jiān)控，來(lái)實(shí)現(xiàn)每種業(yè)務(wù)端到端的帶寬保證。接入層采用專(zhuān)線/準(zhǔn)專(zhuān)線接入，保證每個(gè)用戶(hù)的相互完全隔離、帶寬監(jiān)測(cè)和控制。依據(jù)業(yè)務(wù)模型，每等效寬帶終端需要帶寬256kb/s,接入層帶寬極限比模型取定1:10。接入層業(yè)務(wù)流向?yàn)榧儏R聚流向，接入層中的節(jié)點(diǎn)按照其匯聚的接入用戶(hù)數(shù)，按照業(yè)務(wù)模型進(jìn)行相應(yīng)的節(jié)點(diǎn)帶寬規(guī)劃。接入層正因?yàn)闃I(yè)務(wù)流向的純星型匯聚流向，用戶(hù)的帶寬監(jiān)測(cè)和控制可以在接入層星型結(jié)構(gòu)任一層節(jié)點(diǎn)設(shè)備處進(jìn)行監(jiān)測(cè)和控制一次即可。接入層用戶(hù)的帶寬監(jiān)測(cè)和控制點(diǎn)有三處可以選擇：1)匯聚節(jié)點(diǎn)PE設(shè)備處；2)PE設(shè)備遠(yuǎn)端模塊設(shè)備或BRAS設(shè)備處；3)用戶(hù)終端處。如匯聚層建設(shè)策略分析，需要PE設(shè)備支持龐大的用戶(hù)接入帶寬的監(jiān)測(cè)和控制功能。這是目前大部分PE設(shè)備所不支持的。采用遠(yuǎn)端模塊設(shè)備或BRAS設(shè)備進(jìn)行用戶(hù)的接入帶寬以及心跳連接的監(jiān)測(cè)和控制，是目前的主流方式。但是這種方式存在需要較大的增加接入層設(shè)備投資、改進(jìn)或增加業(yè)務(wù)特性較慢和遠(yuǎn)端模塊設(shè)備或BRAS設(shè)備處成為網(wǎng)絡(luò)瓶頸等不足。采用統(tǒng)一客戶(hù)端方式，在用戶(hù)終端處進(jìn)行用戶(hù)接入帶寬以及心跳連接的監(jiān)測(cè)和控制。這種方式將不需要增加接入層設(shè)備投資和改進(jìn)或增加業(yè)務(wù)特性快速的優(yōu)點(diǎn)。媒體層采用MPLS VPN業(yè)務(wù)子網(wǎng)來(lái)保證各種業(yè)務(wù)的帶寬保證。依據(jù)每種業(yè)務(wù)的業(yè)務(wù)模型、業(yè)務(wù)流向和布局，進(jìn)行相應(yīng)的MPLS VPN業(yè)務(wù)子網(wǎng)搭建。 在網(wǎng)絡(luò)建設(shè)初期，媒體層采用MPLS L3 VPN+diffserv 模型。媒體層為MPLS VPN業(yè)務(wù)子網(wǎng)提供分類(lèi)服務(wù)和基于分類(lèi)的資源預(yù)留。這種方式僅支持分類(lèi)服務(wù)，僅可支持68個(gè)業(yè)務(wù)子網(wǎng)。在相同業(yè)務(wù)質(zhì)量級(jí)別下的不同業(yè)務(wù)擁有不同的業(yè)務(wù)模型、流向、分布和突發(fā)特性等關(guān)鍵的業(yè)務(wù)特性時(shí)，這種方式是沒(méi)有辦法進(jìn)一步進(jìn)行這兩個(gè)業(yè)務(wù)需要的媒體層資源的隔離和合理分配。但是，因?yàn)闃I(yè)務(wù)子網(wǎng)的建設(shè)和增加是逐步的，這種方式在網(wǎng)絡(luò)初期，是可以滿足需求的。最終目標(biāo)是提供MPLS VPN+MPLS TE模型。媒體層為MPLS VPN業(yè)務(wù)子網(wǎng)提供基于LSP的資源預(yù)留、資源管理和控制。MPLS技術(shù)在保證QoS方面的重要戰(zhàn)略意義，見(jiàn)《研究報(bào)告的詮釋》中的第九節(jié)。控制應(yīng)用層不同的應(yīng)用服務(wù)器通過(guò)控制應(yīng)用層內(nèi)的PE設(shè)備歸屬于不同的VPN業(yè)務(wù)子網(wǎng)。依靠支撐平臺(tái)層的內(nèi)部網(wǎng)絡(luò)平臺(tái)保證從該P(yáng)E設(shè)備到具體應(yīng)用服務(wù)器的帶寬保證、監(jiān)測(cè)和控制。具體的業(yè)務(wù)應(yīng)用服務(wù)器進(jìn)行其內(nèi)部相應(yīng)的接入用戶(hù)數(shù)量和資源的監(jiān)測(cè)和控制。1網(wǎng)絡(luò)安全的基本措施網(wǎng)絡(luò)安全問(wèn)題是基于IP技術(shù)構(gòu)建網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一，為系統(tǒng)解決好這些問(wèn)題，電信級(jí)的寬帶網(wǎng)絡(luò)應(yīng)該有全面深入的網(wǎng)絡(luò)安全規(guī)劃。從建設(shè)角度，目前宜采用的基本措施如下：1) 網(wǎng)絡(luò)應(yīng)端到端進(jìn)行全面隔離、帶寬規(guī)劃、監(jiān)測(cè)和控制接入層應(yīng)基于用戶(hù)進(jìn)行嚴(yán)格隔離，媒體層應(yīng)基于業(yè)務(wù)子網(wǎng)以MPLS VPN進(jìn)行嚴(yán)格隔離，控制應(yīng)用層應(yīng)基于服務(wù)器進(jìn)行嚴(yán)格隔離； 在全面隔離的基礎(chǔ)上，應(yīng)采用各種技術(shù)端到端按需進(jìn)行帶寬的規(guī)劃、監(jiān)測(cè)和控制。這是網(wǎng)絡(luò)整體安全的一個(gè)重要基礎(chǔ)。目前的互聯(lián)網(wǎng)正因?yàn)闆](méi)有進(jìn)行端到端全面隔離、帶寬規(guī)劃、監(jiān)測(cè)和控制，而具有極大的網(wǎng)絡(luò)安全隱患。2)應(yīng)建設(shè)完善的認(rèn)證鑒權(quán)系統(tǒng)認(rèn)證鑒權(quán)作為網(wǎng)絡(luò)實(shí)現(xiàn)可運(yùn)營(yíng)可管理的核心技術(shù)措施之一，其方式/方案的完善性具有戰(zhàn)略性的重要意義。從業(yè)務(wù)需求角度分析，完善的認(rèn)證鑒權(quán)方式應(yīng)具備如下特征： 認(rèn)證鑒權(quán)和地址分配（包括NAT轉(zhuǎn)換）的緊密結(jié)合；認(rèn)證鑒權(quán)和業(yè)務(wù)選擇的緊密結(jié)合；認(rèn)證鑒權(quán)和資源控制的緊密結(jié)合； 滿足用戶(hù)業(yè)務(wù)多樣化和個(gè)性化的需要；較完善的用戶(hù)接入控制和用戶(hù)安全；部署靈活，大容量和穩(wěn)定。目前的認(rèn)證鑒權(quán)遠(yuǎn)遠(yuǎn)不能滿足這些要求，電信網(wǎng)絡(luò)建設(shè)迫切需要完善的認(rèn)證鑒權(quán)方案。在這方面，應(yīng)盡快完善認(rèn)證鑒權(quán)的研究和實(shí)現(xiàn)。3) 應(yīng)建立全網(wǎng)的多層次安全防護(hù)體系應(yīng)從接入、網(wǎng)絡(luò)、操作系統(tǒng)、用戶(hù)管理、應(yīng)用層和數(shù)據(jù)層多層次縱深來(lái)保護(hù)資源不受外部和內(nèi)部的威脅，減少威脅和薄弱點(diǎn)，從而提供全網(wǎng)安全性。4)應(yīng)采用統(tǒng)一客戶(hù)端方式基于統(tǒng)一的客戶(hù)端程序進(jìn)行用戶(hù)接入的認(rèn)證鑒權(quán)、帶寬監(jiān)測(cè)和控制、業(yè)務(wù)選擇、非法用戶(hù)限制、流量統(tǒng)計(jì)和必要的歷史記錄收集。其中的業(yè)務(wù)選擇控制、非法用戶(hù)控制、流量統(tǒng)計(jì)和必要的歷史記錄收集將對(duì)網(wǎng)絡(luò)安全具有至關(guān)重要的意義。5) 應(yīng)建設(shè)業(yè)務(wù)應(yīng)用監(jiān)控系統(tǒng)網(wǎng)絡(luò)提供的多媒體綜合業(yè)務(wù)，有著各種各樣的質(zhì)量要求及其行為特征，全面監(jiān)測(cè)這些不同業(yè)務(wù)應(yīng)用在網(wǎng)絡(luò)上的真實(shí)表現(xiàn)及其特征是一切維護(hù)管理改進(jìn)的“根本依據(jù)所在”。缺乏這些業(yè)務(wù)應(yīng)用的第一手資料，再?gòu)?qiáng)有力的技術(shù)控制手段都將無(wú)用武之地。業(yè)務(wù)應(yīng)用和SLA的監(jiān)控平臺(tái)將系統(tǒng)監(jiān)測(cè)全網(wǎng)的業(yè)務(wù)類(lèi)型、流量、流向以及其它業(yè)務(wù)特征，設(shè)置必要的告警門(mén)限，對(duì)異常事件進(jìn)行快速告警、跟蹤和鎖定。在此基礎(chǔ)上展開(kāi)相應(yīng)的控制工作。六、技術(shù)發(fā)展路標(biāo)和關(guān)鍵技術(shù)問(wèn)題分析統(tǒng)一客戶(hù)端 統(tǒng)一客戶(hù)端的本質(zhì)和重要意義統(tǒng)一客戶(hù)端的本質(zhì)是將網(wǎng)絡(luò)的接入控制功能、資源控制功能和安全防護(hù)等功能從傳統(tǒng)的網(wǎng)絡(luò)設(shè)備處解脫出來(lái)，分布式放置于用戶(hù)端。其相對(duì)原有的在網(wǎng)絡(luò)設(shè)備處控制，重要意義在于：1) 將極大地降低網(wǎng)絡(luò)設(shè)備對(duì)接入控制功能、帶寬控制功能、安全防護(hù)功能的要求，有效節(jié)約網(wǎng)絡(luò)投資，提高網(wǎng)絡(luò)性?xún)r(jià)比；2) 純軟件的解決方案，新的業(yè)務(wù)