林 嘯

（工業(yè)和信息化部電信研究院 北京 100037）

1 引言

在互聯(lián)網(wǎng)已經(jīng)成為整個(gè)社會(huì)的關(guān)鍵基礎(chǔ)設(shè)施的今天，其重要性勿庸置疑，這也致使社會(huì)對(duì)互聯(lián)網(wǎng)的要求提升到了一個(gè)新的層面。如果說在早期以娛樂為主的互聯(lián)網(wǎng)世界里，其網(wǎng)絡(luò)服務(wù)質(zhì)量、網(wǎng)絡(luò)安全等缺陷可以容忍的話，那么在今天互聯(lián)網(wǎng)已經(jīng)滲透到生產(chǎn)、生活、政治、經(jīng)濟(jì)等各個(gè)領(lǐng)域的時(shí)候，我們要求其提供的服務(wù)必須是高質(zhì)量、高可靠、高度安全的。互聯(lián)網(wǎng)領(lǐng)域?qū)@些訴求的探索未曾中斷過。可惜，無論是早期的MPLS、IPv6，還是后來進(jìn)行的Int-Serv、DS-Serv，都無法從根本上解決問題。所以學(xué)術(shù)界開始了新一輪的討論，美國政府和學(xué)術(shù)界推動(dòng)的幾個(gè)下一代互聯(lián)網(wǎng)項(xiàng)目GENI、FIND和Internet 2開始嘗試從改進(jìn)和新建兩個(gè)角度推動(dòng)對(duì)未來互聯(lián)網(wǎng)的探索。目前看來，改進(jìn)是解決燃眉之急的手段，新建架構(gòu)才是從根本上解決問題的辦法。基于此，本文介紹了目前研究領(lǐng)域提出的新概念——以內(nèi)容為中心的下一代互聯(lián)網(wǎng)體系架構(gòu)，希望能夠引起關(guān)注并開展研究工作，突破目前阻礙互聯(lián)網(wǎng)發(fā)展的關(guān)鍵瓶頸。

2 內(nèi)容中心網(wǎng)絡(luò)體系的提出

自20世紀(jì)60年代互聯(lián)網(wǎng)出現(xiàn)以來，以IP數(shù)據(jù)包交換為核心的互聯(lián)網(wǎng)運(yùn)行機(jī)制沿用至今，50多年來未曾變化，這說明了IP包的簡單的幀結(jié)構(gòu)使網(wǎng)絡(luò)互聯(lián)成本降低，實(shí)現(xiàn)簡便，具有非常強(qiáng)的適應(yīng)力。但從技術(shù)發(fā)展的角度來看，互聯(lián)網(wǎng)最初是為了追求網(wǎng)絡(luò)的互聯(lián)，以實(shí)現(xiàn)硬件資源的共享（那時(shí)硬件資源稀缺且成本較高），通過共享可以節(jié)省成本和提高效率。由于這個(gè)時(shí)期的通信主要發(fā)生在具體的兩臺(tái)實(shí)體設(shè)備間，需要確定具體的設(shè)備位置，因此IP數(shù)據(jù)包是以IP地址進(jìn)行打包的，以IP地址標(biāo)識(shí)具體的設(shè)備，IP包中源地址和目的地址的設(shè)計(jì)就是為了滿足這種發(fā)生在兩臺(tái)具體設(shè)備間的通信需求。然而，隨著技術(shù)的進(jìn)步和互聯(lián)網(wǎng)應(yīng)用的普及，計(jì)算機(jī)硬件和附屬器材的價(jià)格大大下降，硬件共享的必要性已經(jīng)不大，信息共享成為了目標(biāo)。目前，網(wǎng)絡(luò)應(yīng)用的主體已經(jīng)轉(zhuǎn)向文字信息和視頻等內(nèi)容，內(nèi)容服務(wù)已經(jīng)成為網(wǎng)絡(luò)服務(wù)的主體。在此前提下，我們并不關(guān)心信息承載在哪臺(tái)計(jì)算機(jī)上，也不關(guān)心某個(gè)視頻是哪個(gè)主機(jī)提供的，我們關(guān)心的是內(nèi)容傳送過來的速度、質(zhì)量以及是否安全。但是，在目前的互聯(lián)網(wǎng)架構(gòu)下，我們?nèi)匀皇歉鶕?jù)主機(jī)地址進(jìn)行信息內(nèi)容的檢索和傳送，這樣做并不能適應(yīng)上層應(yīng)用的變化。

在這種情況下出現(xiàn)了CDN、P2P等技術(shù)，其實(shí)已經(jīng)包含了向以內(nèi)容為中心的網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變的原始樸素思維。但是，任何在目前的體系架構(gòu)下進(jìn)行的內(nèi)容傳送機(jī)制改進(jìn)都無法徹底克服底層機(jī)制的缺陷，造成了資源的浪費(fèi)、安全性下降，并且需要進(jìn)行復(fù)雜的內(nèi)容和“位置”的映射。

為了從根本上適應(yīng)這種需求的變化，美國學(xué)術(shù)界率先提出了面向內(nèi)容的網(wǎng)絡(luò)體系架構(gòu)。目前國外學(xué)術(shù)界關(guān)于內(nèi)容中心體系的研究項(xiàng)目很多，主要包括美國伯克利大學(xué)RAD實(shí)驗(yàn)室提出的“面向數(shù)據(jù)的網(wǎng)絡(luò)體系架構(gòu)”（DONA）[1]、美國卡內(nèi)基梅隆大學(xué)的“面向數(shù)據(jù)傳輸”（DOT）[2]、芬蘭赫爾辛基科技大學(xué)和赫爾辛基信息技術(shù)研究院的 “發(fā)布/訂閱式互聯(lián)網(wǎng)路由范例”（PSIRP）[3]、美國Palo Alto研究中心提出的“內(nèi)容中心網(wǎng)絡(luò)”（CCN）[4,5]、歐盟 FP7 的 4WARD[6]和美國斯坦福大學(xué)的TRIAD[7]等項(xiàng)目，這些項(xiàng)目大多數(shù)采用了網(wǎng)絡(luò)命名內(nèi)容（NNC）的方式。本文選取其中的代表CCN為例，介紹NNC體系架構(gòu)的基本思想，并對(duì)其他幾種架構(gòu)進(jìn)行簡單的描述和介紹。

3 內(nèi)容中心網(wǎng)絡(luò)的體系架構(gòu)

以內(nèi)容為中心的基本涵義就是整個(gè)網(wǎng)絡(luò)的需求是內(nèi)容，而不是主機(jī)，因此CCN不再關(guān)心內(nèi)容存儲(chǔ)在哪里，而僅關(guān)心內(nèi)容本身。它從根本上改變了IP包的封裝結(jié)構(gòu)和尋址方式，IP報(bào)文的包頭不再以IP地址作為標(biāo)識(shí)，而是以內(nèi)容名稱作為標(biāo)識(shí)。也就是說，IP請(qǐng)求數(shù)據(jù)包里定義了一個(gè)報(bào)文所包含的內(nèi)容標(biāo)題，該包將發(fā)送給能夠提供該請(qǐng)求內(nèi)容的鄰近的節(jié)點(diǎn)設(shè)備，該節(jié)點(diǎn)將所請(qǐng)求的內(nèi)容信息封裝在對(duì)應(yīng)的IP包里進(jìn)行響應(yīng)，送還給請(qǐng)求節(jié)點(diǎn)，完成信息共享過程。從這個(gè)過程來看，它并不關(guān)心是哪臺(tái)設(shè)備進(jìn)行了響應(yīng)，位置在哪里，而是關(guān)心以最小的代價(jià)從鄰近的節(jié)點(diǎn)最迅速地獲得該內(nèi)容，因此，區(qū)別于傳統(tǒng)的TCP/IP網(wǎng)絡(luò)模型，針對(duì)CCN提出了一種新的協(xié)議棧。

從圖1可以看出，TCP/IP網(wǎng)絡(luò)與CCN協(xié)議棧有很多的共同點(diǎn)。例如，它們都采用7層結(jié)構(gòu)，并且底層完全相同，下層協(xié)議都是為了適配底層物理鏈路和通信而設(shè)計(jì)，上層協(xié)議為對(duì)應(yīng)相關(guān)的應(yīng)用而設(shè)計(jì)。兩者最大的區(qū)別就是在全網(wǎng)統(tǒng)一標(biāo)識(shí)的中間層，前者的核心是IP協(xié)議，后者的核心是內(nèi)容塊協(xié)議。IP協(xié)議的成功之處就是對(duì)于第二層協(xié)議的寬松要求，CCN繼承了這一優(yōu)點(diǎn)，并且CCN可以實(shí)施在任何的底層協(xié)議之上，甚至可以架構(gòu)在IP層之上。

相比IP網(wǎng)絡(luò)，CCN有兩個(gè)突出的特點(diǎn)，這與其策略層和安全層有關(guān)。一是CCN可以最充分地同時(shí)利用多種連接方式，如以太網(wǎng)、3G、藍(lán)牙、Wi-Fi、WiMAX 等，并且可以在不斷變化的環(huán)境中動(dòng)態(tài)地尋求最優(yōu)化的實(shí)現(xiàn)方式；二是CCN本身就保證了它所傳送的信息內(nèi)容的安全。在IP網(wǎng)絡(luò)中，安全措施往往是通過對(duì)承載網(wǎng)絡(luò)或終端的加強(qiáng)來實(shí)施的，而CCN對(duì)網(wǎng)絡(luò)設(shè)備并不關(guān)心，它所傳送的內(nèi)容已經(jīng)是安全的了。

4 CCN數(shù)據(jù)包和內(nèi)容名

CCN最主要的驅(qū)動(dòng)力就是對(duì)內(nèi)容的需求，因此在CCN上主要的數(shù)據(jù)包有內(nèi)容請(qǐng)求包（interest packet）和內(nèi)容數(shù)據(jù)包（data packet）兩種，這兩種數(shù)據(jù)包的結(jié)構(gòu)如圖2所示。

需要相關(guān)內(nèi)容的用戶通過節(jié)點(diǎn)向所有的方向發(fā)出請(qǐng)求，任何收到這個(gè)請(qǐng)求的節(jié)點(diǎn)，如果有能夠滿足請(qǐng)求的內(nèi)容，都通過內(nèi)容數(shù)據(jù)包向請(qǐng)求節(jié)點(diǎn)發(fā)送響應(yīng)數(shù)據(jù)。這種對(duì)應(yīng)關(guān)系是建立在對(duì)內(nèi)容標(biāo)識(shí)的基礎(chǔ)上的，即每個(gè)內(nèi)容都有一個(gè)具體的標(biāo)識(shí)。正是因?yàn)檫@種關(guān)系，所以有同樣內(nèi)容需求的請(qǐng)求可以分享相同的內(nèi)容和網(wǎng)絡(luò)傳輸，這樣就節(jié)省了網(wǎng)絡(luò)資源，提高了效率。

內(nèi)容的標(biāo)識(shí)名其實(shí)就是CCN的地址，這種標(biāo)識(shí)名是結(jié)構(gòu)化的，通常由幾個(gè)部分組成，通過這種結(jié)構(gòu)化的地址，我們可以利用類似于IP地址前綴機(jī)制來迅速定位所需要的信息。例如 “/catr.cn/videos/WidgetA.mpg/_v/_s3”，其中“catr.cn”是全網(wǎng)可識(shí)別名稱，“video”是內(nèi)容類型，“WidgetA.mpg”是內(nèi)容名稱，“_v”是版本時(shí)間等信息，“_s3”是分段等信息?？偟膩砜?，內(nèi)容名可以分為內(nèi)容名稱和分片名稱兩部分。

5 節(jié)點(diǎn)模型和轉(zhuǎn)發(fā)機(jī)制

CCN節(jié)點(diǎn)的基本工作和IP節(jié)點(diǎn)非常相似，都承擔(dān)著數(shù)據(jù)包的存儲(chǔ)、轉(zhuǎn)發(fā)和路由任務(wù)。典型的CCN節(jié)點(diǎn)主要包含內(nèi)容存儲(chǔ)器（CS）、待定請(qǐng)求表（PIT）和前向轉(zhuǎn)發(fā)表（FIB）3個(gè)部分。

CS類似于IP路由器的緩存，但它采用了與IP路由器不同的緩存替換策略。IP路由器在完成該次會(huì)話后就將所存儲(chǔ)的信息清空，這種策略叫做MRU替換。而在CCN中，該信息除了為該次會(huì)話服務(wù)，還可以為其他用戶會(huì)話服務(wù)，因此該內(nèi)容在該次會(huì)話完成后仍然存在于節(jié)點(diǎn)中，以便下一次使用（如影片、視頻等內(nèi)容）。這是CCN非常關(guān)鍵的理念，它可以幫助減少內(nèi)容下載時(shí)延和網(wǎng)絡(luò)帶寬占用。為了最大限度地提高這部分存儲(chǔ)信息的共享效率，CCN采用LRU或LFU替換策略來最大限度地存儲(chǔ)重要的信息。

PIT是用于記錄經(jīng)過的請(qǐng)求信息的，依此實(shí)現(xiàn)所請(qǐng)求的內(nèi)容順利地傳回請(qǐng)求節(jié)點(diǎn)。在CCN中，只有請(qǐng)求數(shù)據(jù)包被路由，而內(nèi)容數(shù)據(jù)包是按照PIT的指示一步步地發(fā)回請(qǐng)求節(jié)點(diǎn)的。當(dāng)所請(qǐng)求的內(nèi)容傳回節(jié)點(diǎn)后，該條目將從PIT中刪除，此外還可以利用時(shí)鐘來刪除那些一直沒有找到匹配內(nèi)容的過期條目。

FIB和IP路由器的處理機(jī)制類似，即將請(qǐng)求數(shù)據(jù)包發(fā)往目的端，但是與IP路由器不同的是，F(xiàn)IB可以同時(shí)向多個(gè)方向轉(zhuǎn)發(fā)請(qǐng)求。

當(dāng)節(jié)點(diǎn)從一個(gè)接口收到一個(gè)數(shù)據(jù)包時(shí)，將根據(jù)它所包含的內(nèi)容名進(jìn)行最大匹配查詢，而后根據(jù)查詢結(jié)果進(jìn)行下一步的操作。如圖3所示，查詢的優(yōu)先級(jí)順序依次為CS、PIT、FIB，具體操作如下。

·CS如果包含請(qǐng)求數(shù)據(jù)包請(qǐng)求的內(nèi)容，就會(huì)直接將相應(yīng)的內(nèi)容發(fā)送到請(qǐng)求端口，并丟棄請(qǐng)求數(shù)據(jù)包，否則將在PIT中繼續(xù)查詢。

·PIT如果包含與內(nèi)容名相關(guān)的條目，就將請(qǐng)求端口添加到請(qǐng)求端口列表中，并丟棄請(qǐng)求數(shù)據(jù)包，否則將在FIB中繼續(xù)查詢。

·FIB如果包含與內(nèi)容名相關(guān)的條目，就按照FIB的指示將該請(qǐng)求數(shù)據(jù)包轉(zhuǎn)發(fā)到下一個(gè)CCN節(jié)點(diǎn)。將該請(qǐng)求端口從FIB的端口列表中刪除，如果剩下的端口不為空，則向所有剩下的端口轉(zhuǎn)發(fā)請(qǐng)求，并在FIB中形成新的條目和端口列表。

·如果以上3種情況都不符合，說明不存在相關(guān)的匹配路由，則丟棄該請(qǐng)求數(shù)據(jù)包。

6 網(wǎng)絡(luò)傳輸層設(shè)計(jì)

在設(shè)計(jì)CCN的傳輸層時(shí)考慮了復(fù)雜、惡劣的網(wǎng)絡(luò)環(huán)境，甚至考慮了動(dòng)態(tài)性非常強(qiáng)的移動(dòng)網(wǎng)絡(luò)連接和普適計(jì)算。在某些場景下，請(qǐng)求或內(nèi)容數(shù)據(jù)包可能會(huì)在傳送過程中丟失，為了實(shí)現(xiàn)安全、可靠的數(shù)據(jù)傳送，請(qǐng)求數(shù)據(jù)包必須具備重傳機(jī)制，在一定時(shí)間內(nèi)未響應(yīng)的請(qǐng)求可以進(jìn)行重傳。CCN采用了不同于TCP的重傳機(jī)制，它由最終用戶（產(chǎn)生最初請(qǐng)求數(shù)據(jù)包的應(yīng)用）負(fù)責(zé)發(fā)起重傳請(qǐng)求，而接收端的策略層（見圖1）負(fù)責(zé)按照一定的策略確定從列表中選擇某個(gè)特定端口進(jìn)行重傳。

CCN和底層網(wǎng)絡(luò)都有可能進(jìn)行數(shù)據(jù)包的復(fù)制，但基于節(jié)點(diǎn)轉(zhuǎn)發(fā)機(jī)制，多余的數(shù)據(jù)包將會(huì)被丟棄。在CCN中雖然內(nèi)容數(shù)據(jù)包不會(huì)循環(huán)，但是請(qǐng)求數(shù)據(jù)包確實(shí)存在循環(huán)的可能性，為了檢測(cè)和避免這種情況，設(shè)計(jì)時(shí)在請(qǐng)求數(shù)據(jù)包中包含了一個(gè)隨機(jī)的時(shí)間值（nonce value），這樣從不同路徑傳送過來的相同請(qǐng)求將被丟棄。

此外，在流控和排序方面，CCN繼承了TCP的方法，基本過程相同。

7 路由機(jī)制

目前對(duì)于CCN路由的研究仍然很多，但有一點(diǎn)是確定的，即任何在現(xiàn)有IP網(wǎng)絡(luò)中運(yùn)行的路由協(xié)議，同樣可以在CCN中有效地運(yùn)行。這是由于CCN節(jié)點(diǎn)的轉(zhuǎn)發(fā)機(jī)制是基于IP路由器設(shè)計(jì)的，并且它的限制條件更少。同時(shí)，CCN的語義和基本處理機(jī)制也與IP路由基本相同 （層次化地址名稱和最長匹配查詢）。

由于 CCN提供了很強(qiáng)的信息安全模型（見§8），因此將CCN作為路由協(xié)議的傳輸層可以進(jìn)一步提高路由信息的安全性。

7.1 內(nèi)部路由協(xié)議

內(nèi)部路由協(xié)議有兩個(gè)基本作用，一是用于節(jié)點(diǎn)描述其本地連接性（相鄰關(guān)系），二是用于節(jié)點(diǎn)描述其直接通達(dá)路由（地址前綴）。但一般而言，這兩種功能都是在不同的域中實(shí)現(xiàn)的。例如，在IS-IS中，相鄰關(guān)系是根據(jù)以太網(wǎng)的二層MAC地址進(jìn)行描述的，而路由通達(dá)性是通過三層IP地址前綴描述的。

雖然CCN地址前綴和IP地址前綴不同，但是無論是OSPF，還是 IS-IS，都提供了 TLV選項(xiàng)，利用該選項(xiàng)，CCN可以很容易地實(shí)現(xiàn)CCN地址前綴的發(fā)布。同時(shí)，在內(nèi)部路由協(xié)議中規(guī)定了對(duì)于無法認(rèn)知的信息可以忽略。所以CCN節(jié)點(diǎn)完全可以和現(xiàn)存的運(yùn)行IS-IS或OSPF的IP網(wǎng)絡(luò)直接連接，而不影響其運(yùn)行。

圖4所示的例子說明了CCN與IP網(wǎng)絡(luò)共存的工作情況，其中單圈節(jié)點(diǎn)是IP路由器，雙圈節(jié)點(diǎn)是IP＋CCN混合路由器。與A相連的媒體倉庫通過CCN廣播向A通告了它能夠提供的內(nèi)容名前綴 “parc.com/media/art”，A路由器的路由進(jìn)程收到該信息后，將其添加到FIB中，同時(shí)將該前綴封裝到IGP通告（LSA）中向其他節(jié)點(diǎn)泛洪。在本例中，節(jié)點(diǎn)E先后收到了來自節(jié)點(diǎn)A和節(jié)點(diǎn)B的CCN路由通告，并把它們都添加到了自己的FIB中，因此當(dāng)節(jié)點(diǎn)E收到一個(gè)內(nèi)容名為“parc.com/media/art/Avatar.mp4”的請(qǐng)求時(shí)，將會(huì)同時(shí)向節(jié)點(diǎn)A和B轉(zhuǎn)發(fā)請(qǐng)求。作為中間節(jié)點(diǎn)的IP路由器，僅按照IP路由信息轉(zhuǎn)發(fā)該數(shù)據(jù)包，并不對(duì)CCN請(qǐng)求進(jìn)行處理，而是進(jìn)行忽略。

CCN路由可以動(dòng)態(tài)產(chǎn)生帶寬和時(shí)延接近優(yōu)化的路由拓?fù)洌ɡ缯?qǐng)求數(shù)據(jù)包不重復(fù)、最短路徑優(yōu)先等）。但是在本例中，由于網(wǎng)絡(luò)中包含純IP節(jié)點(diǎn)，這部分節(jié)點(diǎn)不能實(shí)現(xiàn)CCN功能，以致無法達(dá)到優(yōu)化目的。例如，如果F節(jié)點(diǎn)連接的客戶也有與E節(jié)點(diǎn)相同的內(nèi)容請(qǐng)求，那么在AC和BC鏈路上就會(huì)存在重復(fù)的CCN請(qǐng)求，其原因就是C節(jié)點(diǎn)不能執(zhí)行CCN轉(zhuǎn)發(fā)操作。一旦C節(jié)點(diǎn)升級(jí)為CCN節(jié)點(diǎn)，該問題就得到了解決。

7.2 外部路由協(xié)議

當(dāng)用戶超過一定的規(guī)模時(shí)，CCN在網(wǎng)絡(luò)互聯(lián)方面的優(yōu)勢(shì)就體現(xiàn)出來了。因?yàn)橛脩舳贾粡木徒?jié)點(diǎn)的內(nèi)容存儲(chǔ)器中提取所需的信息（除了第一個(gè)用戶），所以內(nèi)容流的時(shí)延大大減少了，同時(shí)節(jié)省了網(wǎng)間的電路需求和建設(shè)成本。

CCN的用戶直接與自己的ISP連接，所以關(guān)鍵在于能夠發(fā)現(xiàn)內(nèi)容路由器，只有這樣，才能使用CCN服務(wù)。這可以通過改進(jìn)的DNS服務(wù)來實(shí)現(xiàn)。不同網(wǎng)絡(luò)間可以通過DNS查詢來實(shí)現(xiàn)信息的共享。但是，如果兩個(gè)CCN不能直接連接，而是通過其他ISP（不含內(nèi)容路由器）實(shí)現(xiàn)互聯(lián)，則這兩個(gè)CCN就不能實(shí)現(xiàn)互訪。此時(shí)，需要域間路由提供幫助。CCN之間需要將域的內(nèi)容前綴信息集成到BGP中以相互通告內(nèi)容信息。目前BGP像IGP一樣，也可以在域間實(shí)現(xiàn)TLV機(jī)制，用于支撐向用戶和其他網(wǎng)絡(luò)通告內(nèi)容地址信息。

8 安全機(jī)制

CCN的安全機(jī)制是基于內(nèi)容的安全，其基本理念就是對(duì)內(nèi)容本身進(jìn)行保護(hù)，而不是像傳統(tǒng)IP網(wǎng)絡(luò)那樣保護(hù)網(wǎng)絡(luò)和鏈路連接的安全。在CCN中，所有的內(nèi)容都是經(jīng)過數(shù)字簽名認(rèn)證的，個(gè)人內(nèi)容需要經(jīng)過加密保護(hù)，任何人要想得到內(nèi)容，必須先確定能夠得到授權(quán)使用該內(nèi)容。

8.1 內(nèi)容鑒權(quán)

區(qū)別于一般的內(nèi)容鑒權(quán)，CCN的內(nèi)容鑒權(quán)是將內(nèi)容名和內(nèi)容捆綁在一起進(jìn)行鑒權(quán)的。這樣，內(nèi)容的發(fā)布者可以將內(nèi)容發(fā)布地址集成到內(nèi)容的鑒權(quán)域里，并通過添加補(bǔ)充信息，引導(dǎo)用戶從安全的地址獲取需要的內(nèi)容。

CCN是可以全網(wǎng)認(rèn)證的，每個(gè)節(jié)點(diǎn)（不僅是終端用戶）都可以對(duì)相關(guān)數(shù)據(jù)包進(jìn)行鑒權(quán)。鑒權(quán)方式是使用公共密鑰簽名對(duì)簽名數(shù)據(jù)包進(jìn)行認(rèn)證。簽名算法是發(fā)布者根據(jù)時(shí)延、開銷、數(shù)據(jù)量等具體需求從一系列的算法中選取的。

每個(gè)CCN內(nèi)容數(shù)據(jù)包包含了解密所需的相關(guān)信息，如加密摘要、指紋等，可以使用戶從本地緩存中得到該密碼。同時(shí)，內(nèi)容數(shù)據(jù)包還包含了密鑰地址指示信息，指導(dǎo)用戶從遠(yuǎn)端得到該密鑰。

這樣，不僅內(nèi)容得到了保護(hù)，內(nèi)容的來源也得到了保護(hù)，網(wǎng)絡(luò)實(shí)體可以過濾掉非法來源的內(nèi)容，從而降低對(duì)網(wǎng)絡(luò)和用戶的攻擊，實(shí)現(xiàn)了網(wǎng)絡(luò)和內(nèi)容的安全，也保護(hù)了內(nèi)容的合法使用和發(fā)布。

8.2 信任管理

雖然CCN的數(shù)據(jù)包是點(diǎn)到點(diǎn)傳輸?shù)?，但它能夠提供從發(fā)布者到用戶的端到端安全。用戶需要決定所收到的內(nèi)容是否安全，或者是否可以信任。CCN并不是簡單地將發(fā)布者統(tǒng)一地劃分為好或者壞，而是由用戶根據(jù)具體的應(yīng)用來判斷。如果是一些商業(yè)或法律文件，則需要嚴(yán)格慎重；如果僅僅是一些個(gè)人博客，可能要求就不高了。

CCN的密鑰是放在一個(gè)網(wǎng)絡(luò)位置的，這個(gè)位置通過CCN數(shù)據(jù)包進(jìn)行發(fā)布，需要這個(gè)密鑰的用戶需要到安全的位置去請(qǐng)求，而層次化的CCN內(nèi)容名使得這種認(rèn)證可以是逐層簽名，實(shí)現(xiàn)多重保證。

8.3 內(nèi)容保護(hù)和接入控制

CCN最主要的接入控制手段就是加密。CCN并不要求必須是安全的服務(wù)器才能接入網(wǎng)絡(luò)，或者強(qiáng)制執(zhí)行安全策略。但無論誰截獲了經(jīng)過的信息都是沒用的，只有授權(quán)的用戶才能解密。

8.4 網(wǎng)絡(luò)安全和強(qiáng)化策略

CCN的設(shè)計(jì)原理可以預(yù)防很多種類的網(wǎng)絡(luò)攻擊。通過對(duì)內(nèi)容的鑒權(quán)，也包括了對(duì)路由和策略信息的鑒權(quán)，可以有效防止內(nèi)容的竄改和欺騙。

由于CCN沒有主機(jī)的概念，很難采取以主機(jī)為目的的攻擊，因此對(duì)CCN的攻擊僅限于拒絕服務(wù)攻擊和內(nèi)容隱藏等手段。但是CCN采取了一系列的機(jī)制，可以防止非法內(nèi)容的傳播，所以可以很好地杜絕或者降低這些攻擊的影響。

9 CCN評(píng)估

目前已經(jīng)開展了若干的CCN實(shí)驗(yàn)，主要是通過UDP封裝在現(xiàn)有網(wǎng)絡(luò)上進(jìn)行的。這些實(shí)驗(yàn)分別對(duì)CCN的數(shù)據(jù)傳輸效率、內(nèi)容傳播效率和語音應(yīng)用等進(jìn)行了評(píng)估和對(duì)比分析，證明了CCN具備很好的網(wǎng)絡(luò)特性。

9.1 數(shù)據(jù)傳輸效率評(píng)估

TCP是傳統(tǒng)IP網(wǎng)絡(luò)數(shù)據(jù)傳輸層協(xié)議，具有很好的數(shù)據(jù)吞吐量。實(shí)驗(yàn)表明，在大塊內(nèi)容傳輸上，CCN的性能略遜于TCP。這是由于CCN數(shù)據(jù)包的包頭開銷要大一些。圖5顯示，在該實(shí)驗(yàn)中，CCN達(dá)到流量峰值的時(shí)間要高于TCP（約為5倍），帶寬利用率不到70%，低于TCP的90%。但考慮到實(shí)驗(yàn)是采用UDP封裝的，IP包開銷是疊加在CCN包上的，去除這部分影響，CCN的實(shí)際峰值能夠達(dá)到80%左右，略低于TCP。

但是，多數(shù)用戶在評(píng)價(jià)網(wǎng)絡(luò)傳輸速度時(shí)，往往是看網(wǎng)頁下載的速度，所以CCN實(shí)驗(yàn)進(jìn)一步對(duì)比了網(wǎng)頁下載時(shí)的速度和效率，發(fā)現(xiàn)直接以CCN作為網(wǎng)絡(luò)層協(xié)議，其網(wǎng)頁下載速度要稍高于傳統(tǒng)HTTP服務(wù)，而作為安全內(nèi)容的傳輸協(xié)議，其效率是HTTPS的兩倍，體現(xiàn)了性能優(yōu)勢(shì)。

9.2 內(nèi)容傳輸效率評(píng)估

在上述實(shí)驗(yàn)中，并沒有考慮網(wǎng)絡(luò)內(nèi)容重復(fù)問題。實(shí)際上，網(wǎng)絡(luò)傳輸內(nèi)容有很多是重復(fù)的，而這正是CCN的優(yōu)勢(shì)所在。從圖6所示的實(shí)驗(yàn)結(jié)果可以看出，隨著有相同需求的用戶的增加，TCP用戶的下載時(shí)間線性增長，而CCN中每個(gè)用戶下載內(nèi)容的時(shí)間基本保持不變。

9.3 語音應(yīng)用評(píng)估

CCN的優(yōu)勢(shì)體現(xiàn)在內(nèi)容的傳輸上，但對(duì)于點(diǎn)到點(diǎn)的應(yīng)用同樣支持。實(shí)驗(yàn)證明，在一些點(diǎn)到點(diǎn)應(yīng)用中，CCN策略層的存在，使其能夠有效應(yīng)對(duì)網(wǎng)絡(luò)中斷等事故的影響，保持通信的持續(xù)性。

圖7所示為CCN語音應(yīng)用實(shí)驗(yàn)結(jié)果，可以看出，在部分鏈路中斷時(shí)，CCN語音業(yè)務(wù)仍然可以繼續(xù)，并且切換過程對(duì)語音業(yè)務(wù)的影響不大，因?yàn)樵谇袚Q過程中產(chǎn)生的數(shù)據(jù)包仍然在部分網(wǎng)絡(luò)節(jié)點(diǎn)中存儲(chǔ)，并沒有丟失。

10 其他相關(guān)項(xiàng)目介紹

以內(nèi)容為中心的框架體系是目前比較熱門的話題，除了 CCN項(xiàng)目，比較有代表性的項(xiàng)目還有 DONA、DOT、PSIRP等。

（1）DONA 項(xiàng)目

DONA是由美國伯克利大學(xué)RAD實(shí)驗(yàn)室于2007年在SIGCOMM會(huì)議上正式提出的。DONA并不想徹底改變IP網(wǎng)絡(luò)的運(yùn)行機(jī)制，而是提出了一種基于新命名體系的域名解析方案來替代現(xiàn)有的DNS。

DONA網(wǎng)絡(luò)中的內(nèi)容是由網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理的。發(fā)布者需要向網(wǎng)絡(luò)注冊(cè)，然后發(fā)布。DONA網(wǎng)絡(luò)中的信任處理器（RH）可以提供有效的信息處理，它維持一個(gè)比較大的轉(zhuǎn)發(fā)表，標(biāo)記了每個(gè)內(nèi)容的下一跳信息。當(dāng)內(nèi)容被定位后，用戶可以按照普通IP路由方法找到并獲取該內(nèi)容。

可以看出，DONA并不是要取代IP，而是在IP網(wǎng)絡(luò)上實(shí)現(xiàn)以內(nèi)容為中心。但這種集成做法會(huì)帶來一定的問題，例如內(nèi)容移動(dòng)時(shí)的通信中斷和內(nèi)容仿冒攻擊等。

（2）DOT 項(xiàng)目

DOT概念是美國卡內(nèi)基梅隆大學(xué)最早于2006年提出的。DOT是針對(duì)HTTP、SMTP等客戶端應(yīng)用設(shè)計(jì)的數(shù)據(jù)傳輸協(xié)議，特別適用于大量數(shù)據(jù)傳輸。因?yàn)镈OT重點(diǎn)在數(shù)據(jù)傳輸方式，所以它既適用于新應(yīng)用，也適用于傳統(tǒng)業(yè)務(wù)。

近似強(qiáng)化傳送（SET）是DOT的核心。SET是一種多信源下載系統(tǒng)，它可以從不同的信源取得文件“分片”，結(jié)果就像從一個(gè)信源獲取文件，因此效果比現(xiàn)在通用的P2P軟件更好。SET的一個(gè)主要優(yōu)勢(shì)就是可以采用確定量的查詢來檢測(cè)出這些不同或相同的信源，并將確定數(shù)量的對(duì)象映像插入全網(wǎng)查詢表。

（3）PSIRP 項(xiàng)目

PSIRP由芬蘭赫爾辛基科技大學(xué)和赫爾辛基信息技術(shù)研究院聯(lián)合提出，并于2008年1月開始實(shí)施，預(yù)計(jì)將于2010年6月完成初步成果。目前該項(xiàng)目總投資為410萬歐元。

與CCN、DONA等一樣，PSIRP也以內(nèi)容為中心，按照發(fā)布/訂閱（P/S）的方式來重新設(shè)計(jì)互聯(lián)網(wǎng)架構(gòu)。它是一種對(duì)互聯(lián)網(wǎng)的徹底改造，甚至連IP也有可能取消。

PSIRP將主要精力放在安全、路由、無線接入、網(wǎng)絡(luò)經(jīng)濟(jì)性等部分的架構(gòu)設(shè)計(jì)上。新的P/S互聯(lián)架構(gòu)將重建發(fā)送者和接收者間的網(wǎng)絡(luò)經(jīng)濟(jì)激勵(lì)平衡，并且非常適用于未來以內(nèi)容為中心的用戶應(yīng)用模式。

PSIRP項(xiàng)目的主要目標(biāo)如下：

·設(shè)計(jì)一種基于P/S的以內(nèi)容為中心的互聯(lián)網(wǎng)架構(gòu)；

·改變目前以位置為中心的方式，將內(nèi)容作為未來網(wǎng)絡(luò)的關(guān)注重點(diǎn)；

·提出創(chuàng)造性的組播和緩存特性，以優(yōu)化網(wǎng)絡(luò)性能和有效性；

·提出網(wǎng)絡(luò)安全功能模型架構(gòu)；

·提出并實(shí)現(xiàn)可操作的新網(wǎng)絡(luò)架構(gòu)；

·加大宣傳，不斷通過會(huì)議、會(huì)談、論文、合作等方式提高PSIRP的影響力，影響專家和業(yè)界的認(rèn)識(shí)；

·不斷發(fā)布研究成果。

PSRIP有著比較完整的系統(tǒng)工作方案和明確的研究目標(biāo)，但目前還看不到完整的設(shè)計(jì)方案。

除了以上這些項(xiàng)目，目前還有FP7在2009年提出的旨在促進(jìn)歐盟互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的4WARD項(xiàng)目[6]和斯坦福大學(xué)提出的TRIAD項(xiàng)目[7]等。這些項(xiàng)目都是旨在設(shè)計(jì)一種以內(nèi)容為中心的新型互聯(lián)網(wǎng)架構(gòu)。

11 結(jié)束語

隨著互聯(lián)網(wǎng)內(nèi)容應(yīng)用比重的不斷增加，以內(nèi)容為中心已經(jīng)成為大勢(shì)所趨，全新的以內(nèi)容為中心的互聯(lián)網(wǎng)體系架構(gòu)勢(shì)在必行。

美國、歐洲國家等互聯(lián)網(wǎng)強(qiáng)國都紛紛興起了以內(nèi)容為中心的相關(guān)研究，并已經(jīng)或準(zhǔn)備提出新的網(wǎng)絡(luò)架構(gòu)模型，借此繼續(xù)占領(lǐng)互聯(lián)網(wǎng)產(chǎn)業(yè)的制高點(diǎn)。中國作為互聯(lián)網(wǎng)全球第一大國，是互聯(lián)網(wǎng)的最大市場，在以內(nèi)容為中心的互聯(lián)網(wǎng)體系上，也必然作為互聯(lián)網(wǎng)內(nèi)容的最大獲取市場。新的網(wǎng)絡(luò)模型將促成新的商業(yè)模型，如果我國不參與相關(guān)研究，不能形成我們的主張和觀點(diǎn)，那么在今后以內(nèi)容為中心的互聯(lián)網(wǎng)體系里，我國將面臨比今天還要嚴(yán)峻的形勢(shì)！

1 Koponen T,Chawla M,Gon C B,et al.A data-oriented(and beyond)network architecture.In:SIGCOMM'07,Kyoto,Japan,2007

2 Tolia N,Kaminsky M,Andersen D,et al.An architecture for Internet data transfer.In:NSDI'06,San Jose,California,USA,2006

3 Project PSIRP.http://www.psirp.org,Jan 2010

4 Project CCNxTM.http://www.ccnx.org,Sep 2009

5 Jacobson V,Smetters K D,Thorton D J,et al.Networking named content.In:CoNext'09,Dec 2009

6 Project FP7 4WARD.http://www.4ward-project.eu,Jan 2010

7 Project TRIAD.http://www-dsg.stanford.edu/triad,Sep 2009