高小玲，　黃雅琳，　楊長進(jìn)

(1． 裝備學(xué)院 信息裝備系， 北京 101416；　2． 北京跟蹤與通信技術(shù)研究所， 北京 100094；　3. 北京航天飛行控制中心， 北京 100094)

?

基于PTDN技術(shù)實(shí)現(xiàn)國防科研試驗(yàn)通信系統(tǒng)自主可控的思考

高小玲1，黃雅琳2，楊長進(jìn)3

(1． 裝備學(xué)院 信息裝備系， 北京 101416；2． 北京跟蹤與通信技術(shù)研究所， 北京 100094；3. 北京航天飛行控制中心， 北京 100094)

摘要針對國防科研試驗(yàn)通信系統(tǒng)未來發(fā)展過程中可能面臨的信息傳送可靠性降低、設(shè)備配置靈活性不夠、用戶接入存在安全隱患，以及承載層協(xié)議未能實(shí)現(xiàn)自主可控的問題。在分析采用分組電信數(shù)據(jù)網(wǎng)(PTDN)核心技術(shù)解決上述問題可行性的基礎(chǔ)上，提出了基于PTDN技術(shù)實(shí)現(xiàn)通信系統(tǒng)自主可控的部署方案，給出了該方案在網(wǎng)絡(luò)性能、服務(wù)質(zhì)量、網(wǎng)絡(luò)安全等方面的改善效果。

關(guān)鍵詞分組電信數(shù)據(jù)網(wǎng)；通信系統(tǒng)；自主可控

Reflection on Realizing PTDN-based Independent & Controllable National Defense Scientific Research Test Communication System

GAO Xiaoling1，HUANG Yalin2，YANG Changjin3

(1. Department of Information Equipment， Equipment Academy， Beijing 101416， China；2. Beijing Institute of Tracking and Telecommunication Technology， Beijing 100094， China；3. Beijing Aerospace Control Centre， Beijing 100094， China)

AbstractTo solve out the issues in future development of communication systems for national defense research and tests like reduced reliability of information transmission, inadequate flexibility of equipment confirmation, safety risk of user access and lack of independent & controllable bearing layer, on the basis of analysis on the feasibility of PTDN technology in solving out above issues, the paper proposes a PTDN-based deployment plan for an independent & controllable communication system and presents the effect of such plan in improving network performance, service quality, network security, etc.

Keywordspacket telecommunication data network(PTDN); communication system; independent & controllable

隨著信息技術(shù)的發(fā)展，信息安全問題已經(jīng)成為影響戰(zhàn)爭勝負(fù)的關(guān)鍵因素，也時(shí)刻威脅著國防科研試驗(yàn)任務(wù)的圓滿完成。國防科研試驗(yàn)通信系統(tǒng)作為試驗(yàn)任務(wù)的支柱系統(tǒng)之一，主要承擔(dān)測發(fā)、測控、通信、氣象、勤務(wù)等業(yè)務(wù)系統(tǒng)的數(shù)據(jù)、話音、圖像、視頻及其他增值業(yè)務(wù)的安全可靠傳輸?；贗P技術(shù)的國防科研試驗(yàn)通信系統(tǒng)建設(shè)十多年來，在各類試驗(yàn)任務(wù)中發(fā)揮著不可替代的作用，圓滿完成了各類試驗(yàn)任務(wù)。但無論是通信系統(tǒng)網(wǎng)絡(luò)設(shè)備的核心元器件，還是業(yè)務(wù)軟件所依賴的操作系統(tǒng)，或者是試驗(yàn)通信系統(tǒng)承載層所采用的IP協(xié)議，一定程度都依賴國外產(chǎn)品或技術(shù)，存在信息安全隱患[1]，需要建設(shè)具有我國自主知識(shí)產(chǎn)權(quán)的通信系統(tǒng)，實(shí)現(xiàn)國防科研試驗(yàn)通信系統(tǒng)的自主可控。通信系統(tǒng)實(shí)現(xiàn)自主可控從系統(tǒng)組成方面可分為3類：硬件設(shè)備自主可控、軟件系統(tǒng)自主可控、協(xié)議標(biāo)準(zhǔn)自主可控，本文重點(diǎn)從協(xié)議層面提出國防科研試驗(yàn)通信系統(tǒng)實(shí)現(xiàn)自主可控的思路。

1國防科研試驗(yàn)通信系統(tǒng)現(xiàn)狀及面臨問題

1.1現(xiàn)狀

基于IP技術(shù)體制的國防科研試驗(yàn)通信系統(tǒng)又稱試驗(yàn)任務(wù)IP網(wǎng)，采用3層2平面的體系結(jié)構(gòu)。3層分別為業(yè)務(wù)層、業(yè)務(wù)承載層和傳送層，其中，業(yè)務(wù)層包含各類通信業(yè)務(wù)信息的獲取、處理、應(yīng)用；業(yè)務(wù)承載層采用IP技術(shù)體制，為業(yè)務(wù)在傳送層傳輸提供業(yè)務(wù)承載，由廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)構(gòu)成；傳送層為業(yè)務(wù)提供傳輸鏈路。2平面即通信網(wǎng)絡(luò)管理、通信安全保密，貫穿業(yè)務(wù)層、業(yè)務(wù)承載層和傳送層。

1.2面臨問題

試驗(yàn)任務(wù)IP網(wǎng)自開始建設(shè)至今已經(jīng)歷了十多年的時(shí)間，在十余年的使用過程中，為了確保試驗(yàn)信息的實(shí)時(shí)性、可靠性、安全性，采用了多種技術(shù)手段，如：小包輕載運(yùn)行、端到端服務(wù)質(zhì)量保證、盡可能提高鏈路速率、網(wǎng)絡(luò)隔離、入侵檢測等，但隨著試驗(yàn)任務(wù)頻度的增加，不同類型試驗(yàn)任務(wù)并行、交叉的情況越來越多，試驗(yàn)任務(wù)IP網(wǎng)在傳送層、業(yè)務(wù)承載層、業(yè)務(wù)層暴露出不能適應(yīng)任務(wù)實(shí)際需要的問題屢有發(fā)生，主要表現(xiàn)在以下幾個(gè)方面。

1) 傳送層帶寬資源受限，信息傳送可靠性降低。試驗(yàn)任務(wù)IP網(wǎng)傳送層依托的全軍光纜網(wǎng)主要用于傳輸任務(wù)中的全態(tài)信息，根據(jù)不同任務(wù)統(tǒng)計(jì)，任務(wù)期間由于氣候、人為等因素的影響，光纜網(wǎng)中斷情況時(shí)有發(fā)生，從而對廣域網(wǎng)的可靠傳輸帶來一定影響。作為傳送層的衛(wèi)通網(wǎng)，由于任務(wù)期間租用衛(wèi)通轉(zhuǎn)發(fā)器資源相對受限，主要用于傳輸任務(wù)關(guān)鍵信息，但在衛(wèi)通電路中傳輸?shù)男畔⑺俾蔬€比較低，某些高速關(guān)鍵信息數(shù)據(jù)無法經(jīng)由衛(wèi)通鏈路傳輸，僅在光纜網(wǎng)進(jìn)行單路由傳輸，可靠性受到制約。

2) 承載層設(shè)備配置工作量大，靈活性不夠。試驗(yàn)任務(wù)IP網(wǎng)承載層由廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)構(gòu)成，廣域網(wǎng)目前采用靜態(tài)路由協(xié)議。靜態(tài)路由協(xié)議需要預(yù)先根據(jù)需求，人工配置路由表和路由優(yōu)先級，路由表在網(wǎng)絡(luò)啟動(dòng)時(shí)加載至網(wǎng)絡(luò)設(shè)備中。隨著任務(wù)類型、頻度的增加，為提高信息傳輸?shù)目煽啃?，試?yàn)任務(wù)IP網(wǎng)、城域網(wǎng)和局域網(wǎng)的備份路由不斷增加，導(dǎo)致廣域網(wǎng)的拓?fù)浣Y(jié)構(gòu)愈發(fā)復(fù)雜；采用靜態(tài)路由協(xié)議大大增加了人工配置的工作量，無法實(shí)現(xiàn)自適應(yīng)的動(dòng)態(tài)配置，也無法實(shí)現(xiàn)動(dòng)態(tài)選擇路由，增加了網(wǎng)絡(luò)開銷，降低了靈活性。

3) 接入認(rèn)證機(jī)制不健全，存在安全隱患。試驗(yàn)任務(wù)IP網(wǎng)用戶接入認(rèn)證機(jī)制不健全，對通過有線接口接入網(wǎng)絡(luò)的用戶默認(rèn)為是可信用戶，身份認(rèn)證的機(jī)制強(qiáng)度比較弱，同時(shí)對接入網(wǎng)絡(luò)的用戶基本不進(jìn)行訪問控制限制，由此可能會(huì)產(chǎn)生從用戶入侵發(fā)起的探測類、攻擊類及隱藏類安全隱患。

4) 國際標(biāo)準(zhǔn)協(xié)議與產(chǎn)品帶來的安全隱患。試驗(yàn)任務(wù)IP網(wǎng)采用IP技術(shù)，IP技術(shù)采用自動(dòng)尋址，不面向連接、排隊(duì)轉(zhuǎn)發(fā)等技術(shù)，按照盡力而為的原則發(fā)送用戶信息，不保證用戶信息的可靠到達(dá)[2]11，因此IP技術(shù)帶來網(wǎng)絡(luò)使用便利性的同時(shí)也產(chǎn)生了實(shí)時(shí)性、可靠性和安全性問題。另外由于其作為開放的協(xié)議、通用的標(biāo)準(zhǔn)，美國掌控著全部核心技術(shù)，擁有IP網(wǎng)全部話語權(quán)，主導(dǎo)互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force，IETF)等相關(guān)組織，技術(shù)和產(chǎn)品都可能帶來“后門”“漏洞”“隱蔽指令”等安全隱患。

2基于PTDN實(shí)現(xiàn)通信系統(tǒng)自主可控的可行性分析

2.1國防科研試驗(yàn)通信系統(tǒng)實(shí)現(xiàn)自主可控技術(shù)路線

要解決上述問題，根據(jù)目前網(wǎng)絡(luò)實(shí)際情況及在未來發(fā)展過程中可能產(chǎn)生的問題，可以采用2種技術(shù)方案：補(bǔ)丁型技術(shù)路線與創(chuàng)新型技術(shù)路線[2]12。

2.1.1補(bǔ)丁型技術(shù)路線

補(bǔ)丁型技術(shù)路線是對產(chǎn)生的問題逐項(xiàng)修補(bǔ)，比如針對承載層設(shè)備配置工作量大、配置復(fù)雜的問題，可以采用動(dòng)態(tài)路由協(xié)議來改善和解決；服務(wù)質(zhì)量問題則采用多協(xié)議標(biāo)記交換(Multiprotocol Label Switching，MPLS)技術(shù)等手段緩解；傳送層的問題隨著信息基礎(chǔ)設(shè)施建設(shè)與運(yùn)用，將會(huì)自然得到改善；業(yè)務(wù)層和終端的問題通過采用防護(hù)手段、提高注冊登記和認(rèn)證強(qiáng)度等技術(shù)也會(huì)得到一定程度解決。但是這種技術(shù)路線，無法解決協(xié)議受控的問題；同時(shí)由于新的問題不斷出現(xiàn)，網(wǎng)絡(luò)會(huì)越來越不堪重負(fù)，效率會(huì)大大降低。

2.1.2創(chuàng)新型技術(shù)路線

通信界有句名言：“一流企業(yè)做標(biāo)準(zhǔn)”，創(chuàng)新型技術(shù)路線就是在現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)基礎(chǔ)上，結(jié)合科研試驗(yàn)通信系統(tǒng)的發(fā)展需求，采用新的技術(shù)標(biāo)準(zhǔn)和體制來解決目前試驗(yàn)任務(wù)IP網(wǎng)已經(jīng)存在，以及未來發(fā)展中可能出現(xiàn)的問題。由此可見，這里的創(chuàng)新型技術(shù)路線并不是對現(xiàn)有網(wǎng)絡(luò)的全盤否定，而是理念上的創(chuàng)新。對于通信系統(tǒng)實(shí)現(xiàn)自主可控，重點(diǎn)需要完成以下3個(gè)方面的工作：研究具有自主知識(shí)產(chǎn)權(quán)的通信網(wǎng)協(xié)議、標(biāo)準(zhǔn)；研制開發(fā)基于國產(chǎn)操作系統(tǒng)和數(shù)據(jù)庫的通信業(yè)務(wù)軟件；研制通信設(shè)備的自主可控樣機(jī)。而這種技術(shù)路線的基本思想是研究基于我國自主知識(shí)產(chǎn)權(quán)的技術(shù)標(biāo)準(zhǔn)和協(xié)議，在解決現(xiàn)有和未來可能出現(xiàn)的問題的同時(shí)還能夠?qū)崿F(xiàn)自主可控。本文主要介紹這種技術(shù)路線，它需要處理好當(dāng)前網(wǎng)絡(luò)體系與后續(xù)體系結(jié)構(gòu)的兼容及過渡發(fā)展問題。

2.2基于PTDN技術(shù)實(shí)現(xiàn)通信系統(tǒng)自主可控的可行性

PTDN是由我國首次提出的具有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)技術(shù)協(xié)議，是國家重點(diǎn)推動(dòng)的一項(xiàng)通信網(wǎng)絡(luò)多業(yè)務(wù)承載平臺(tái)技術(shù)，該協(xié)議體系采用層次化網(wǎng)絡(luò)、按地域分配的有序地址結(jié)構(gòu)和基于節(jié)點(diǎn)勢能的確定性路由技術(shù)，具備自動(dòng)多路由生成電信級的保護(hù)和倒換能力[3]。目前，PTDN技術(shù)已得到華為、中興、邁普等公司的主流設(shè)備支持。研究將PTDN應(yīng)用于國防科研試驗(yàn)通信系統(tǒng)的方案，既能保證自主可控，又有利于采用最新研究成果和設(shè)備，還便于結(jié)合科研試驗(yàn)任務(wù)實(shí)際進(jìn)行適應(yīng)性改造。PTDN網(wǎng)絡(luò)參考模型如圖1所示[4]。

圖1　PTDN網(wǎng)絡(luò)參考模型

圖1中:NM(Network Management)為網(wǎng)關(guān)設(shè)備;ADT(ADdress Translator)為地址翻譯器; CR(Core Router)為核心路由器; ED(Edge Device)為邊緣設(shè)備; AR(Access Router)為接入路由器; MR(Merge Router)為匯聚路由器。

NM主要功能為采集網(wǎng)絡(luò)設(shè)備性能參數(shù)；ADT完成PTDN網(wǎng)絡(luò)地址與其他網(wǎng)絡(luò)地址間的轉(zhuǎn)換；ED完成不同網(wǎng)絡(luò)之間的協(xié)議轉(zhuǎn)換；M是PTDN網(wǎng)絡(luò)設(shè)備與網(wǎng)管實(shí)體間的參考點(diǎn)；T1為地址翻譯器與邊緣設(shè)備間的參考點(diǎn)；T2為地址翻譯器間的參考點(diǎn)；E為邊緣設(shè)備與異構(gòu)網(wǎng)絡(luò)間的參考點(diǎn)。

2.2.1地址及路由擴(kuò)展問題的解決

從圖1可以看出，PTDN網(wǎng)絡(luò)與試驗(yàn)任務(wù)IP網(wǎng)承載層的體系結(jié)構(gòu)基本相同，都分為核心層、匯聚層和接入層，雖然拓?fù)浣Y(jié)構(gòu)基本相同，但是PTDN在此結(jié)構(gòu)下采用的地址技術(shù)卻完全不同。IP地址體系采用Ipv4或Ipv6，PTDN則是借鑒電信網(wǎng)的思想，采用以地域劃分的層次化網(wǎng)絡(luò)地址體系，形成有序的、可變長的地址結(jié)構(gòu)[5]?；镜刂烽L度是64 bit，可根據(jù)需要擴(kuò)展到96 bit和128 bit。

PTDN地址構(gòu)成：國家(運(yùn)營網(wǎng)號(hào))/地區(qū)(核心層)/城市(匯聚層)/端局(接入層)；

PTDN地址特點(diǎn)：地址按地域分層次有序分配前綴；

PTDN編址規(guī)則：節(jié)點(diǎn)地址，前綴+00..00+節(jié)點(diǎn)編號(hào)；終端地址，前綴+終端編號(hào)。

如圖2所示為PTDN編址示例，從PTDN地址可以判斷出地址間的層次關(guān)系和所屬關(guān)系，在試驗(yàn)任務(wù)IP網(wǎng)中采用這種編址方式，既符合試驗(yàn)任務(wù)通信系統(tǒng)的組織指揮關(guān)系需要，也可以解決可能面臨的地址擴(kuò)展問題，同時(shí)又能夠提高路由選擇的效率，節(jié)省路由選擇的時(shí)間，提高可靠性。

說明：a,b,…o,p為網(wǎng)絡(luò)節(jié)點(diǎn)。圖2　PTDN地址示例

2.2.2網(wǎng)絡(luò)鏈路可靠性問題的解決

a) 網(wǎng)絡(luò)節(jié)點(diǎn)　　　　　　b) 規(guī)劃的雙路徑路由之一　　　　 c) 規(guī)劃的雙路徑路由之二圖3　雙路徑路由示意圖

PTDN網(wǎng)絡(luò)路由技術(shù)采用最短路徑、雙路徑路由和多路由模型，最短路徑要求是從源節(jié)點(diǎn)到目的節(jié)點(diǎn)的路由為最短，這種最短并非簡單由跳數(shù)決定，而是綜合計(jì)算跳數(shù)、鏈路帶寬、鏈路費(fèi)用、鏈路代價(jià)等因素權(quán)重后得到的結(jié)果。雙路徑路由是從源節(jié)點(diǎn)到域內(nèi)目的節(jié)點(diǎn)提供2條完全獨(dú)立的路由，它除了源節(jié)點(diǎn)和目的節(jié)點(diǎn)外，之間沒有重合的節(jié)點(diǎn)和鏈路，如圖3所示為雙路徑路由示意圖。多路由模型是在最短路徑、雙路徑均失效的情況下采用的迂回路由策略。在試驗(yàn)任務(wù)IP網(wǎng)承載層采用PTDN路由技術(shù)，可以根據(jù)不同類型試驗(yàn)任務(wù)的業(yè)務(wù)需要，結(jié)合任務(wù)中實(shí)際鏈路的具體情況，設(shè)置最短路徑各要素的權(quán)重，自適應(yīng)選擇適用于不同任務(wù)的最短路由模型。在最短路由失效的情況下依次選用雙路徑、多路徑模型。采用上述路由技術(shù)，對于試驗(yàn)任務(wù)IP網(wǎng)這種業(yè)務(wù)數(shù)據(jù)流量可預(yù)測、網(wǎng)絡(luò)拓?fù)浣y(tǒng)一規(guī)劃的網(wǎng)絡(luò)具有明顯的優(yōu)勢：能夠根據(jù)預(yù)期的數(shù)據(jù)量采用預(yù)定的路由策略動(dòng)態(tài)規(guī)劃路徑，除能夠提高鏈路可靠性外，還能提高路由選擇的靈活性，減少網(wǎng)絡(luò)設(shè)備的人工配置量。

2.2.3網(wǎng)絡(luò)配置靈活性問題的解決

PTDN 虛擬化技術(shù)主要體現(xiàn)在對網(wǎng)絡(luò)的靈活配置[6]。PTDN支持對網(wǎng)絡(luò)設(shè)備進(jìn)行多種形式的配置，如按照用戶屬性配置網(wǎng)絡(luò)資源，按照業(yè)務(wù)類型配置網(wǎng)絡(luò)等，從而構(gòu)建多個(gè)邏輯獨(dú)立的虛擬網(wǎng)，實(shí)現(xiàn)全網(wǎng)虛擬化。PTDN的虛擬化網(wǎng)絡(luò)技術(shù)，既能夠?qū)⒉煌瑯I(yè)務(wù)承載在不同虛擬網(wǎng)上，也可將相同業(yè)務(wù)由不同虛擬網(wǎng)承載。由于配置的虛擬網(wǎng)具備完備網(wǎng)絡(luò)功能，因此可對整個(gè)網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)監(jiān)測，實(shí)現(xiàn)網(wǎng)絡(luò)的全程、全網(wǎng)端到端實(shí)時(shí)資源感知，為實(shí)現(xiàn)試驗(yàn)任務(wù)IP網(wǎng)可感、可知奠定基礎(chǔ)。

在試驗(yàn)任務(wù)IP網(wǎng)承載層采用PTDN虛擬化技術(shù)，能夠?qū)崿F(xiàn)業(yè)務(wù)精細(xì)化區(qū)隔和智能管理。根據(jù)不同類型任務(wù)的需求支持不同業(yè)務(wù)需求，既可以按照業(yè)務(wù)類型如數(shù)據(jù)、話音、圖像、視頻劃分虛擬網(wǎng)絡(luò)，也可以按照專業(yè)類型劃分，如通信、測控、測發(fā)、氣象、勤務(wù)，還可以進(jìn)行不同粒度的將專業(yè)和業(yè)務(wù)結(jié)合的劃分方式，實(shí)現(xiàn)不同用戶的資源保障和資源獨(dú)立，將網(wǎng)絡(luò)資源集約使用，告別輕載對資源的浪費(fèi)，大大提高智能化管理水平。

2.2.4服務(wù)質(zhì)量問題的解決

PTDN技術(shù)借鑒電信網(wǎng)的思想，對網(wǎng)絡(luò)實(shí)現(xiàn)分層管理。按照網(wǎng)絡(luò)數(shù)據(jù)的作用和功能，分為管理平面、控制平面、數(shù)據(jù)平面[7]。管理平面用于傳輸與管理相關(guān)實(shí)體操作的信息流，主要功能是用戶需求與網(wǎng)絡(luò)服務(wù)協(xié)商，網(wǎng)絡(luò)監(jiān)測和記錄；控制平面用于傳輸與控制相關(guān)實(shí)體操作的信息流，控制平面實(shí)現(xiàn)用戶接入和訪問控制、資源調(diào)配控制、路由QoS保證；數(shù)據(jù)平面用于傳輸數(shù)據(jù)，主要功能包括緩存管理、隊(duì)列管理、流量分類、流量整形、擁塞避免等。在PTDN網(wǎng)絡(luò)中可采用多數(shù)據(jù)平面，不同數(shù)據(jù)平面及管理平面、控制平面均相互隔離，資源獨(dú)立。

PTDN服務(wù)質(zhì)量保證技術(shù)的核心是通過合理調(diào)配網(wǎng)絡(luò)資源達(dá)到有效利用資源，提高資源利用率的效果。試驗(yàn)任務(wù)IP網(wǎng)承載層采用PTDN技術(shù)，將控制、管理、數(shù)據(jù)功能進(jìn)行分離，調(diào)配各平面所需的鏈路帶寬、端口、CPU、內(nèi)存等資源，既能有效提高路由QoS，提供可預(yù)期的端到端網(wǎng)絡(luò)性能和業(yè)務(wù)質(zhì)量，又能夠?yàn)榫W(wǎng)絡(luò)精細(xì)化管理提供網(wǎng)絡(luò)性能及資源參數(shù)，為實(shí)現(xiàn)網(wǎng)絡(luò)可管、可控奠定基礎(chǔ)。

2.2.5網(wǎng)絡(luò)安全問題的解決

PTDN網(wǎng)絡(luò)安全技術(shù)主要體現(xiàn)在4個(gè)隔離：邊緣與核心隔離；信任區(qū)與非信任區(qū)隔離；用戶與網(wǎng)絡(luò)隔離；控制與轉(zhuǎn)發(fā)隔離[8]。根據(jù)信任程度PTDN網(wǎng)絡(luò)分為安全區(qū)、過渡區(qū)和非安全區(qū)，如圖4所示。

圖中P1、P2分別表示2個(gè)PTDN網(wǎng)絡(luò)；安全區(qū)內(nèi)的網(wǎng)絡(luò)元素主要包括PTDN網(wǎng)絡(luò)邊界設(shè)備以內(nèi)設(shè)備，這些設(shè)備對PTDN網(wǎng)絡(luò)之外是不可見的，不直接與PTDN網(wǎng)絡(luò)之外的用戶設(shè)備或網(wǎng)絡(luò)進(jìn)行通信。

圖4　PTDN安全模型

在試驗(yàn)任務(wù)IP網(wǎng)承載層采用PTDN技術(shù)，安全區(qū)用戶及網(wǎng)絡(luò)設(shè)備只與安全區(qū)和過渡區(qū)的網(wǎng)絡(luò)元素通信，不與非安全區(qū)的用戶及設(shè)備通信；過渡區(qū)內(nèi)的網(wǎng)絡(luò)元素不僅直接與PTDN網(wǎng)絡(luò)之外的其他網(wǎng)絡(luò)進(jìn)行通信，也與安全區(qū)內(nèi)的網(wǎng)絡(luò)元素進(jìn)行通信。過渡區(qū)的安全功能是在安全區(qū)和非安全區(qū)之間構(gòu)建安全屏障，防止安全區(qū)內(nèi)的網(wǎng)絡(luò)元素受到攻擊，拒絕存在安全威脅的用戶和數(shù)據(jù)流量接入安全區(qū)。非安全區(qū)涵蓋PTDN網(wǎng)絡(luò)以外的網(wǎng)絡(luò)區(qū)域，主要包括PTDN網(wǎng)絡(luò)之外的各類非PTDN用戶網(wǎng)絡(luò)注冊認(rèn)證實(shí)體。對于接入PTDN網(wǎng)絡(luò)的用戶必須在非安全區(qū)進(jìn)行注冊、認(rèn)證、鑒權(quán)，只有通過認(rèn)證和鑒權(quán)的用戶才能與安全區(qū)進(jìn)行通信，因此，PTDN的安全策略能夠排除用戶接入、訪問控制中的安全隱患，并有效解決由于IP網(wǎng)對用戶透明而引發(fā)的各類攻擊問題，為實(shí)現(xiàn)試驗(yàn)任務(wù)IP網(wǎng)用戶接入可信網(wǎng)絡(luò)提供技術(shù)支撐。

3基于PTDN實(shí)現(xiàn)國防科研試驗(yàn)通信系統(tǒng)自主可控的部署方案

3.1部署方案

由圖1所示的PTDN網(wǎng)絡(luò)參考模型可知，PTDN網(wǎng)絡(luò)的體系結(jié)構(gòu)與目前試驗(yàn)任務(wù)IP網(wǎng)采用的三層體系結(jié)構(gòu)相似，所以實(shí)現(xiàn)基于PTDN的科研試驗(yàn)通信系統(tǒng)可在不改變網(wǎng)絡(luò)體系結(jié)構(gòu)的前提下，按照目前的廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)分層次、漸進(jìn)部署。如部署廣域網(wǎng)，則僅對廣域網(wǎng)設(shè)備完成PTDN設(shè)備改造，與基于IP的城域網(wǎng)通過PTDN邊緣設(shè)備連接即可，局域網(wǎng)不受影響；若改造城域網(wǎng)，則城域網(wǎng)與廣域網(wǎng)及局域網(wǎng)的連接均通過PTDN邊緣設(shè)備連接。需要說明的是，對用戶來講，無論采用哪種部署策略用戶使用習(xí)慣不變，用戶無感知。如圖5所示為采用PTDN技術(shù)改造城域網(wǎng)方案，該方案中在IP廣域網(wǎng)與城域網(wǎng)間增加PTDN邊緣設(shè)備，完成IP網(wǎng)與PTDN網(wǎng)的協(xié)議轉(zhuǎn)換；原城域網(wǎng)中的IP路由器、匯聚交換機(jī)及接入交換機(jī)由PTDN路由器、交換機(jī)取代；城域網(wǎng)與接入網(wǎng)間增加PTDN邊緣設(shè)備，其他現(xiàn)有的基于IP技術(shù)的廣域網(wǎng)和接入網(wǎng)設(shè)備及結(jié)構(gòu)無須改變。

圖5　采用PTDN技術(shù)改造城域網(wǎng)方案

圖6　網(wǎng)絡(luò)性能實(shí)驗(yàn)測試圖

3.2網(wǎng)絡(luò)性能改善效果

圖6所示為采用PTDN技術(shù)與采用IP技術(shù)網(wǎng)絡(luò)性能測試圖。在試驗(yàn)任務(wù)IP網(wǎng)承載層采用PTDN技術(shù)，邊緣設(shè)備能夠支持百兆通信能力，路由設(shè)備具有千兆通信能力，網(wǎng)絡(luò)管理設(shè)備最多可支持4 096個(gè)虛擬網(wǎng)絡(luò)，網(wǎng)絡(luò)性能得到大幅提升和改善，主要表現(xiàn)在：

1) 具有對虛擬網(wǎng)絡(luò)不同粒度的劃分方法，支持對傳輸帶寬和網(wǎng)絡(luò)資源的精細(xì)化管理和控制，能夠提高網(wǎng)絡(luò)資源利用率，增強(qiáng)網(wǎng)絡(luò)智能管理能力，為實(shí)現(xiàn)網(wǎng)絡(luò)資源的可感、可知、可控、可管提供支持；

2) 采用資源預(yù)留、鏈路聚合等方法，網(wǎng)絡(luò)具有良好的服務(wù)質(zhì)量保證；

3) 具有很好的業(yè)務(wù)、路由、地址的可擴(kuò)展性；

4) 實(shí)現(xiàn)網(wǎng)絡(luò)對用戶的不透明，控制、管理、數(shù)據(jù)平面的隔離和資源獨(dú)立，為保證網(wǎng)絡(luò)可信和通信安全可靠提供可能。

5) 技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)設(shè)備具有自主知識(shí)產(chǎn)權(quán)。

4結(jié) 束 語

基于PTDN技術(shù)建設(shè)通信系統(tǒng)能夠從協(xié)議層面解決國防科研試驗(yàn)通信系統(tǒng)的自主可控問題，但在建設(shè)過程中還需要重點(diǎn)考慮如下問題：

1) 正確評估應(yīng)對實(shí)現(xiàn)自主可控過程中的風(fēng)險(xiǎn) 。從上文分析可以看出，采用PTDN技術(shù)可以較好改善試驗(yàn)任務(wù)IP網(wǎng)當(dāng)前及未來發(fā)展中可能面臨的大部分問題，但缺乏改善程度的量化測試。同時(shí)需要清醒地認(rèn)識(shí)到，PTDN主要從承載層的技術(shù)標(biāo)準(zhǔn)入手對試驗(yàn)任務(wù)IP網(wǎng)進(jìn)行改造，未涉及傳送層和業(yè)務(wù)層。在實(shí)現(xiàn)通信系統(tǒng)自主可控過程中，既涉及技術(shù)標(biāo)準(zhǔn)，又要考慮硬件更換，還須思考軟件實(shí)現(xiàn)國產(chǎn)操作系統(tǒng)下的遷移，每一個(gè)環(huán)節(jié)都可能有潛在風(fēng)險(xiǎn)，因此必須正確評估和應(yīng)對實(shí)現(xiàn)自主可控過程中的風(fēng)險(xiǎn)，制定不同風(fēng)險(xiǎn)的應(yīng)對和規(guī)避策略。

2) 逐步建立、健全規(guī)范的配套標(biāo)準(zhǔn)和制度。實(shí)現(xiàn)國防科研試驗(yàn)通信系統(tǒng)自主可控涉及硬件、軟件和核心技術(shù)，在實(shí)施過程中需要與其他專業(yè)領(lǐng)域的自主可控協(xié)調(diào)進(jìn)行，同時(shí)必須逐步建立健全相應(yīng)的標(biāo)準(zhǔn)和制度，以便為后續(xù)建設(shè)提供參考依據(jù)和文檔積累。

3) 跟蹤研究先進(jìn)技術(shù)，及時(shí)論證應(yīng)用推廣。實(shí)現(xiàn)自主可控是一個(gè)動(dòng)態(tài)發(fā)展的過程，既不可能一蹴而就，也不可能一步到位，而是持續(xù)發(fā)展?jié)u進(jìn)的過程。因此在實(shí)現(xiàn)自主可控的過程中，需要及時(shí)跟蹤研究先進(jìn)技術(shù)，將具有知識(shí)產(chǎn)權(quán)的先進(jìn)技術(shù)通過論證、試驗(yàn)后進(jìn)行應(yīng)用、推廣，不斷提高國防科研試驗(yàn)通信系統(tǒng)自主可控技術(shù)的先進(jìn)性。

參考文獻(xiàn)(References)

[1]蔣林濤.未來互聯(lián)網(wǎng)若干問題研究[J].電信網(wǎng)技術(shù)，2012，4(4)：34-35.

[2]蔣林濤.未來互聯(lián)網(wǎng)的承載網(wǎng)絡(luò)[J].中興通訊技術(shù)，2010，16(2)：11-12.

[3]朱偉.下一代承載網(wǎng)的QoS研究[D].北京：中國電信研究院，2007：79-80.

[4]張杰才.PTDN體系結(jié)構(gòu)研究與網(wǎng)管的實(shí)現(xiàn)[D].北京：北京交通大學(xué)，2011：14.

[5]ITU-T.General technical architecture for public packet telecommunication data network:Rec.Y.2613[S].Geneva:ITU-T，2010：13.

[6]ITU-T.Generic requirements and framework of addressing, routing and forwarding in future:Rec.Y.2612[S].Geneva:ITU-T，2009：7.

[7]ITU-T.High-level architecture of future packet-based networks:Rec.Y.2611[S].Geneva:ITU-T，2007：7-9.

[8]ITU-T.Fundamental characteristics and requirements of future packet based networks:Rec.Y.2601[S].Geneva:ITU-T，2007：6.

(編輯：李江濤)

中圖分類號(hào)TN925

文章編號(hào)2095-3828(2016)01-0091-07

文獻(xiàn)標(biāo)志碼A DOI10.3783/j.issn.2095-3828.2016.01.019

作者簡介高小玲(1974-)，女，副教授，主要研究方向?yàn)檐娛峦ㄐ偶夹g(shù)。

收稿日期2015-06-29