一种新型的未来互联网体系架构

一、现有互联网体系架构存在的问题

安全性方面：在TCP/IP网络中由于端到端透明性和网络的扁平化，用户可以访问、攻击网络中的任意网元，网络安全性较差。TCP/IP防议在安全方面存在缺陷，需要对体系结构进行调整才有可能根本解决。

移动性方面：用户需要提供无时不在、无处不在、无所不有的综合服务。在原有的TCP/IP协议中，IP地址被赋予既表示位置又表示身份的双重功能，这种功能耦合导致无法支持主机和IP地址的动态绑定，无法很好地解决主机的移动问题。

网络性能和服务质量方面：传统电信网络是基于信令和面向连接的，通过网络资源的独占来保障服务质量，但是降低了网络的使用效率。互联网提供的“尽力而为”的无连接的服务，支持网络资源的复用，但不提供严格的服务质量保证。

可管可控性方面：互联网对于数据是进行无记忆传送，在网络中尽量不保存状态信息，虽然保证了简单和高效但使得网元中缺少用于管理的必要信息，管理员无法高效地对网络进行管理和控制。

可信性方面：目前的互联网用户成分复杂；路由设备对传输数据包的来源不做验证；大量的网络用户使用私有地址通过地址转换（NAT）方式接人互联网；缺乏能够广泛使用的端到端的身份认证机制，这导致了地址假冒、垃圾信息泛滥，大量的入侵和攻击行为无法跟踪。

二、未来网络特性需求

为了支持未来的通信业务，对未来网络体系架构存在下述基本需求。

安全性方面：未来网络需要建立安全性框架。在各种网络组件中架构安全性平台，保证设备的完整性和高可靠性，进行故障恢复。此外，还需在防泌层面中保护数据传输通道以及信息内容。未来的网络必须提供攻击发生前的安全预防，攻击发生时的报警响应以及攻击发生之后的审计追踪，达到三位一体的综合的安全。

移动性方面：未来的网络需要支持通信终端的无缝快速移动，支持丰富多样的终端接入技术，支持大规模的分布式泛在服务，使网络就在用户身边。

网络性能及服务质量保障方面：未来网络需要支持多样化的服务，支持用户业务类型划分、优先级处理和服务质量保障机制，网络资源的分配和使用管理机制，提供满足服务水平协泌（SLA）的用户服务，从而有利于运营商构建更合理的商业模式，出利于用户享用网络的方便性。

可管可控性方面：未来的网络管理需要简单高效、适应规模庞大结构复杂的网络系统，可捉供对整个网络的自动化管理和控制；支持大规模分布式的网络及用户监控，支持错误预警和快速发现及定位；可随时进行服务质量监测。

可信性方面：未来的网络需要提供用户身份认证机制；具备防止地址欺骗等不可信行为的能力；需要建立跨域的全局的认证体系、可信度量及模型。

其他方面：未来网络体系结构还需要考虑支持网络过渡、多业务支持、底层异构兼容等方面的特性。

三、一种可行的未来网络体系结构模型

从上述的未来网络特性需求和设计原则出发，本文提出了一种新型的分层路由和有序编址的包交换网络体系结构（如图1所示），可望实现网络的高效率、高质量、可管理、可控制、安全可信、支持移动和泛在性。

图1　一种分层的包交换网络架构

这里的网络采用分层有序化地址结构对应层次化的网络结构；同一层次内设立寻址域，不同寻址域可以采用不同的传送方式；相邻层次间可采用静态路由方式；在网络汇聚层设置用户控制层；网络中设立安全域，不同安全域之间有安全审查和处理；通过不同的编址方式或编址域来实现控制、管理、数据平面严格隔离；网络资源显式配置，资源可知、可控、可管；采用多数据平面结构，数据平面之间资源相互独立。

1.分层结构

这种严格分层的网络模型借鉴了传统电信网所采用的“树状模型”，而不同之处在于：新型网络结构赋予每一个寻址域最大限度的灵活性，不同寻址域可以采用不同的交换方式及网络结构。严格的网络分层不同于互联网所采用的“云图模型”，避免了网络扁平化所带来的管理控制及路由振荡严重等问题。

2.层次化编址

层次化编址对应的网络地址结构为（tier-1 code； tier-2 code； …，tier-n-code）。网络地址中不同的比特位组对应不同的网络层次。网络地址分配要按照地址的层次结构分级、有序地进行，总体上按照地域 （location - based）和运营商（provider - based）相结合的方式来进行。层次化编址和有序化分配区别于现行的IP地址编址和分配机制，地址分配符合网络层次拓扑结构，便于路由的聚合和网络的规划。

3.分级路由

层次化编址和网络的分层可以实现分级路由，在同一寻址域中的寻址和路由需要根据本寻址域的下一级寻址域所剥应的网络地址前缀部分进行寻址和路由匹配（如图2所示）。分级路由可以支持同时基于源地址和基于目的地址的路由方式；分级路由的路由协议只在一个寻址域的内部进行，可以很快收敛，并且便于硬件实现；寻址域内的路由表项相对较少，便于维护和管理；在转发数据包时不是最长匹配，路由效率相列较高；可以减少由个别子网的加入和删除所造成的大范围路由振荡；采用基于分级路由还可以实现对数据包的溯源。

图2　分级路由模型

4.安全域

在新型网络体系中要划分安全域。不同寻址域之间可以通过某种安全认证方式来建立相互之间的信任关系，这些建立了信任关系的寻址域具有相同的安全属性，构成了一个安全域，寻址域之间信任关系不能传递，如图3所示。

图3　安全域的划分

安全域的存在便于对数据包实现基于源地址的安全审查和过滤。可以根据源地址前缀检查此数据包的来源是否可信，根据安全策略对数据包进行不同方式的处理。引入安全域的概念，便于网络的管理和维护，便于对非法流量和可疑流量的识别和处理，减少了恶意流量和垃圾流量在网络中传播的范围和速度。

5.用户控制

在新型网络体系结构中增加了用户控制层。用户控制层作为用户网络和运营商网络的边界，对用户的网络属性、用户的业务属性进行控制，同时还要负责对业务流量的整型和汇聚。通过用户控制层实现网络和业务的必要结合，从而使网络运营商能够对网络上的业务进行必要的控制和管理。避免运营商成为比特传输管道，从而可以从业务收益中收取必要的利润，有利于形成合理的、新型的商业模式。

6.资源管理

由于用户控制层的存在，用户数、业务种类、用户每种业务所需的资源均可知；核心网络采用严格分层结构，业务流向和转发路径相对嘲定，为业务资源预留提供了基础。因此在未来网络体系架构中，在接入网部分提供针对每个用户的具体业务的服务质量保证；核心网络按几个业务大类来提供相互隔离、资源单独规划的数据平面，不同数据平面对应不同的网络性能。资源的显式配置和预留是按照某类业务的属性和需求在其对应的数据平面内单独进行。这种基于业务控制、显式配置的资源管理方式具有简单、高效的特点，是互联网和电信网网络资源管理方式的综合。

7.标识与映射

为了支持综合业务，便于实现多种业务的灵活组合和通信双方业务能力（以及业务属性）的协商，建议用户标识、业务标识、网络标识相分离，并设置这些标识之间的映射机制。在未来网络体系结构中，主要包括三种标识：用户标识、业务标识、网络标识。

8.业务流程

本地用户输入远端用户的用户标识进行通信时，通过以下步骤实现：

· 本地用户选择业务类型，或者根据用户终端类型通告用户的业务请求；

· 本地的用户控制层为用户派生业务标识；

· 本地的用户控制层通过分布式的用户数据库查找远端用户标识所对应的用户定制了哪些业务、现在用户的哪些业务可用；

· 本地的用户控制层和远端的用户控制层进行业务能力协商，确定通信的业务参数；

· 本地的用户与远端的用户分别在各自的用户控制层的监控下完成业务逻辑；

· 业务逻辑完成以后，用户通知用户控制层回收资源，清扫现场。

四、结语

本文对未来网络体系结构的研究，从需求出发，采用自顶向下的设计方法，提出了一种基于分层路由和有序化编址的新型网络体系架构。通过对网络层次以及寻址域的划分，简化了路由和寻址过程，便于路由聚合及网络规划；通过安全域的划分以及用户标识、业务标识、网络标识的划分，限制了非可信用户对网络的访问，实现了用户与运营商设备的隔离，大大提高了网络的安全性能；实现了身份标识与位置标识的分离，支持对身份标识的寻址，对移动性的支持能力较好 cefplk入用户控制层次，使得网络中业务流量可预测可控制，可支持网络资源的显式配置，为用户提供可定制的高质量服务d用户控制层中结合深度业务感知技术可以进步提高网络的可控可管性，保障网络的安全性能。当然，这种新型的网络体系架构的研究目前还集留在框架结构的水平，需要对一些关键技术，如寻址、业务控制与管理、移动可信接入、网络可信互通、网络过渡等技术进行更加深入的研究。