2.1用户行为的可控可管性
为了实现真正的可信和安全,网络必须具有对用户行为高度的控制和管理能力。
现有的网络安全研究主要关注的是“防御”(Defense)。正如许多学者普遍意识到的那样[7],实际上要达到真正的安全,防御与“威慑”(Deterrence)应该同等重要。为了达到真正的威慑目的,最好的办法似乎是让网络中的业务流自己具有自我认证的能力,即给每个流,甚至每个分组都附上一个标签,该标签能够唯一地指定发出该分组的计算机,并且这个标签是不可篡改的(或者篡改是可以被发现的),相应地也就是不可抵赖的。另一方面,在网络中对这种标签进行来源确认时,又不能过多地侵犯用户的隐私。一种称为“群签名”(Group Signature)的公钥签名机制[8]可以达到这个目的。以这种工具为基础,就可以设想出新的对用户进行有效管理和控制的方法。Snoeren等人提出[7],可以在网络边缘设置关联认证服务(利用群签名技术),对每个进入网络的分组的归属都进行认证,一旦发现无法认证的分组(不能归属于任何已知的群),就不准该分组进入网络。反之,如果发现了对网络有害的分组,也可以通过其群签名,确定分组的发送者。如果能克服计算量大的缺陷,这种思路无疑会对改善现有Internet难管、难控的现状具有重大的意义。
与上述系统类似,文献[9]提出的企业网安全结构(SANE)结构也希望在网络边缘,特别是企业网内设置一个集中式的控制中心,称为域控制器(Domain Controller)。所有与管辖范围内主机有关的通信都必须得到域控制器的允许。这种集中式的方式对于用户行为的控制和管理能力当然是令人满意的,而且可以方便地在企业网内部署相应的安全策略。但是如何将这一思想拓展到公用网领域,既保证监控的力度,又保证可伸缩性,是一个挑战。
除了网络安全之外,对未来网络中支持移动设备的需求也要求网络能够对用户/端设备的位置信息进行有效的监管。这可以看作是对另一种用户行为的可控可管要求。人们很早就认识到如果能够将地理位置信息结合进无线网络的路由设计中,将是非常有效的[10]。近来有研究者提出在未来的网络体系结构中,应该在协议层次中充分考虑地理位置信息的作用[11]。这样做的好处是明显的,但是在互联网范围内如何能提供对数量惊人(而且还在继续快速增长)的移动设备提供高效的定位服务,无疑是一个挑战。文献[11]中提出的多分辨率定位服务方案,借鉴了固定电话号码的设置思想,充分利用了分级网络的特点,具有一定的可行性。
2.2网络状态的可控可管性
除了对网络的配置之外,网络管理最主要的功能应该是对网络运行期间的各种状态的及时感知;而这种感知的目的是对包括故障、攻击和服务质量下降等各种异常现象的及时感知、定位、推理和诊断,最终做出适当的反应。但是,现有的互联网中,由于控制和管理功能依赖于数据平面,完全的、缺乏协调的分布式控制,以及大多数控制和管理功能都是后期定制(而不是在网络设计之初就统一考虑)等原因,呈现出难以有效收集网络状态、难以有效发现和定位网络异常,从而难以及时做出反应的特点。因此,越来越多的研究者从不同的侧面提出了对未来网络的管理控制系统的研究构想。例如,文献[12]强调了集中式控制的好处;知识平面[13]的概念强调了推理和诊断能力的必要性;文献[14]和文献[15]试图回答哪些功能模块是必不可少的问题;CONMan[16]在文献[12]的基础上进一步强调了控制管理功能与数据转发功能的分离;Maestro[17]借鉴主动网和可编程网络[18]的成果,试图给出针对网管功能的、统一的操作平台。
文献[12]提议将现今路由器中的主要功能重新划分为4个平面:数据(Data)、分发(Dissemination)、发现(Discovery)和决策(Decision),即4D。网络中的状态信息由发现平面来收集;然后由分发平面负责将这些信息发布到决策平面;决策平面根据这些信息计算合适的路由和网络配置,并把这些决策结果发到数据平面。其基本目标是,通过集中式管理和重新组织关键功能,有望达到简化网络管理的复杂度并使状态发现自动化的目的。
CONMan同样采用集中控制的思路。其设计目标是简化对数据平面的配置操作。CONMan中,数据平面的协议被抽象化为一些功能组件,例如管道、交换、过滤等。这些抽象的组件都向网管平面开放其接口。这样,网管平面可以方便地将一个高层次的需求转化为对这些功能模块的一系列级联配置。CONMan的设计灵感部分来自于4D的决策平面的概念。通过借鉴7号信令系统中物理分离的管理通道的思路,拓展了4D中的管理通道的概念,使得CONMan中数据和管理通道虽然共用物理链路,但在逻辑上是分离的。CONMan的设计者们认为,这种分离是保证网络管理和控制真正有效监控网络行为的必要手段。
Maestro的设计思路是对网络管理和控制功能的模块化和通用化。该方案设计了一种通用的操作平台,各种类型的网络控制/管理功能模块都以该平台上的独立的应用程序的方式来实现,模块之间的交换和隔离由平台来完成。Maestro的目标是将网络中现有的各种功能(例如分组转发和路由维护)抽象为功能单一的模块,这些模块更容易维护,不易出错,并且也便于针对不同的应用进行定制和组装。
从上述这些最新的研究思路来看,网络的控制和管理系统的未来发展呈现出3个主要的趋势。一是控制管理平面与数据平面的分离化,如CONMan所倡导的那样;二是控制管理功能的集中化;三是便于组装的功能模块化。
2.3网络资源的可控可管性
如果缺乏对资源的有效管理,无法以整体的、协调的方式来利用网络资源,就会导致技术和体系结构的发展出现障碍。近年来,各种网络虚拟化(Virtualization)的提案就是为了克服当前互联网难以支持新技术的缺陷而提出的。
网络的虚拟化的目标是:通过全新的网络构建方式,使得未来的Internet具有容纳各种新技术、新服务,尤其是新的组网联网技术的能力,使得这些不同的端到端网络都能在一个公共的平台上共存。比较典型的方案包括文献[19]和文献[20]。其中文献[19]所提出的模型是在二、三层之间插入一个新的层次,称为底盘层(substrate)。该层提供对底层各种资源的管理和抽象,并向上层的各种不同类型的三层网络提供服务。文献[20]中提出的CABO模型的思路是类似的,同样希望通过构建一个虚拟的基础设施,向各种ISP提供组网必需的资源管理和隔离功能,从而允许各个不同的ISP组建各自的网络,这些网络的协议、服务、转发、信令、路由都可以不相同。
网络虚拟化的思考方向可以这样归纳:与其为所有的服务和应用(包括现在还未知的,将来出现的)设计一种通用的组网/转发方式(像ATM那样),不如干脆承认这样是不可能的,转而设计更为基本的管理各种组网方式都不可或缺的资源的平台,使得任何协议、转发技术都可在这个平台上共存。
从网络的可控可管角度看,网络的虚拟化的概念在解决了一部分困难的同时,也引入了新的困难。如果substrate层对资源的抽象和管理做得足够好,那么的确可以达到隔离上层网络的目的,便于各个网络独自发展。但另一方面,这种可管方面的好处必须依赖于substrate层完备的资源管理能力,而这恰恰是最大的挑战。
正是从这个意义上说,虚拟化不一定是达到有效管理和控制网络资源,以应对未来的技术发展的唯一途径。事实上,FIND计划资助的另一个项目,eFIT[21],以及中国“973”计划资助的课题[22]都采用了不同的途径。这两个项目的基本思想中都包含了这样一种思路,即将服务的提供与保证递交的连通性两个任务分离开来,将网络边缘对用户的控制和管理与网络核心对资源的管理和使用分离开来,通过定义合适的映射服务来实现二者的无缝连接。正如文献[21]中所说的那样,这种分离和控制同样可以有效地保证未来的新技术进展,只是与虚拟化的思路不同罢了;同时,这种思路对于加强网络的可控可管性也是具有积极意义的。
