于成曉　劉剛　張宏科

摘要：介紹了智慧標識網(wǎng)絡（SINET）的基本原理，重點分析了SINET的資源動態(tài)適配機制在安全性方面的解決方案，提出了動態(tài)適配安全防御總體架構(gòu)和具體機制。理論研究和實驗表明，智慧標識網(wǎng)絡動態(tài)防御機制可靈活調(diào)度網(wǎng)絡資源、智慧服務遷移，從而較好地應對一些網(wǎng)絡安全攻擊問題。

關(guān)鍵詞：SINET;未來網(wǎng)絡;動態(tài)安全防御;資源適配

Abstract： In this paper， the system model and design principles of smart identifier networks （SINET） are introduced， and the application of security in dynamic resource adaptation is analyzed. Then the dynamic adaptive defense architecture and mechanism are proposed. Theoretical research and practical deployment both prove that SINET dynamic defense mechanism can flexibly schedule network resources and intelligent service migration， so as to better cope with some network security attacks.

Key words： SINET; future networks; dynamic security defense; resource adaptation

現(xiàn)有互聯(lián)網(wǎng)起源于20世紀60年代，采用“沙漏模型”的設(shè)計思想，具有“三重綁定”的特征，即服務的“資源和位置的綁定”、網(wǎng)絡的“控制和數(shù)據(jù)綁定”以及“身份與位置綁定”。隨著用戶規(guī)模的增長和多媒體應用的增多，傳統(tǒng)互聯(lián)網(wǎng)已經(jīng)逐漸暴露出來以上各種弊端。這種網(wǎng)絡體系和機制是相對靜態(tài)和僵化的，無法從根本上滿足信息網(wǎng)絡的高速、高效、海量、泛在等通信需求。

未來網(wǎng)絡體系架構(gòu)已成為世界各國信息網(wǎng)絡領(lǐng)域的研究熱點。美國自然科學基金委的全球網(wǎng)絡創(chuàng)新環(huán)境（GENI）[1]、未來互聯(lián)網(wǎng)設(shè)計項目（FIND）[2]計劃，以及歐盟的未來互聯(lián)網(wǎng)研究和試驗（FIRE）[3]計劃等。此外，美國自然科學基金委的未來互聯(lián)網(wǎng)體系架構(gòu)（FIA）項目資助的命名數(shù)據(jù)網(wǎng)絡（NDN）[4]、泛在移動（MobilityFirst）[5]、星云（NEBULA）[6]、富有表現(xiàn)力的互聯(lián)網(wǎng)架構(gòu)（XIA）[7]等重大項目，美國開放網(wǎng)絡基金會發(fā)起的軟件定義網(wǎng)絡（SDN）研究和歐洲電信標準化協(xié)會發(fā)起的網(wǎng)絡功能虛擬化（NFV）研究，都從不同方面研究未來網(wǎng)絡架構(gòu)。中國也非常重視對未來網(wǎng)絡體系架構(gòu)的研究，國家“973”計劃先后啟動了“一體化可信網(wǎng)絡與普適服務體系基礎(chǔ)研究”“可信可管可控的IP網(wǎng)基礎(chǔ)研究”“面向服務的未來網(wǎng)絡體系結(jié)構(gòu)與機制研究”等項目。然而，未來網(wǎng)絡架構(gòu)需要支持對網(wǎng)絡狀態(tài)的實時感知并智慧地進行網(wǎng)絡資源的動態(tài)適配，隨著網(wǎng)絡流量和網(wǎng)絡狀態(tài)自主地從全局角度考慮網(wǎng)絡資源，動態(tài)提高網(wǎng)絡資源利用率。

智慧標識網(wǎng)絡（SINET）[8-12]作為一種新型網(wǎng)絡架構(gòu)，在解決現(xiàn)有網(wǎng)絡存在的諸多弊端上，創(chuàng)造性地引入了“三層”“兩域”的概念，縱向適配，橫向解耦，并引入行為描述信息來實現(xiàn)內(nèi)嵌于網(wǎng)絡架構(gòu)中的智慧性，使網(wǎng)絡資源能夠從根本上支持資源動態(tài)適配，實現(xiàn)網(wǎng)絡資源高度優(yōu)化利用。智慧標識網(wǎng)絡的核心思想是實現(xiàn)網(wǎng)絡資源資源優(yōu)化適配，文中我們從網(wǎng)絡動態(tài)適配角度對“智慧標識網(wǎng)絡中網(wǎng)絡動態(tài)防御”這一問題展開研究。

1 SINET研究背景

1.1 SINET體系模型與工作原理

SINET針對導致互聯(lián)網(wǎng)諸多弊端的本質(zhì)原因設(shè)計了三層、兩域為特征的網(wǎng)絡體系架構(gòu)，如圖1所示。三層包括智慧服務層、資源適配層和網(wǎng)絡組建層，具體功能為：智慧服務層主要負責服務的標識和描述，以及服務的智慧查找與動態(tài)匹配等;資源適配層通過感知服務需求與網(wǎng)絡狀態(tài)，動態(tài)地適配網(wǎng)絡資源并構(gòu)建網(wǎng)絡族群，網(wǎng)絡族群由一組網(wǎng)絡節(jié)點或者相似功能的節(jié)點組成，負責決策優(yōu)化、任務分配等，以充分滿足服務需求進而提升用戶體驗，并提高網(wǎng)絡資源利用率;網(wǎng)絡組件層主要負責數(shù)據(jù)的存儲與傳輸?shù)葘嶋H操作，以及網(wǎng)絡組件的行為感知與聚類等。兩域指實體域和行為域。具體來說，實體域指各種各樣的網(wǎng)絡對象，是相對靜態(tài)的，既包括硬件網(wǎng)絡資源，又包括軟件協(xié)議參數(shù)，本質(zhì)上是指實際運行的網(wǎng)絡。行為域指對實體域網(wǎng)絡對象的處理邏輯和策略，是相對動態(tài)的，便于智能、適配、協(xié)同和決策等。

SINET的資源動態(tài)適配工作原理如圖1所示，在智慧服務層和資源適配層之間，使用行為匹配機制：在行為域中根據(jù)服務需求行為描述和族群功能行為描述形成1次映射，為智慧服務尋求最佳的族群功能模塊搭配組合，然后根據(jù)實體域內(nèi)族群間的協(xié)作機制，控制指定的族群功能模塊進行協(xié)同工作，從而實現(xiàn)服務標識到族群標識的映射過程。在資源適配層和網(wǎng)絡組件層之間，使用行為聚類機制：在行為域中根據(jù)族群行為描述和組件行為描述形成另1次映射，為族群功能模塊判定最合理的網(wǎng)絡組件構(gòu)成，然后再根據(jù)實體域的族群內(nèi)聯(lián)動機制，在族群功能模塊內(nèi)的網(wǎng)絡組件之間建立相互聯(lián)動關(guān)系，以完成族群功能模塊的整體功能，實現(xiàn)由族群標識到組件標識的映射過程。通過這2次映射，網(wǎng)絡資源可以依據(jù)服務需求動態(tài)適配，從而實現(xiàn)智慧服務。

總之，智慧標識網(wǎng)絡的三層、兩域體系通過動態(tài)感知網(wǎng)絡狀態(tài)并智能匹配服務需求，進而選擇合理的網(wǎng)絡族群及其內(nèi)部組件來提供智慧化的服務。同時，通過引入行為匹配、行為聚類、網(wǎng)絡復雜行為博弈決策等機制來實現(xiàn)資源的動態(tài)適配和協(xié)同調(diào)度，大幅度提高網(wǎng)絡資源利用率，降低網(wǎng)絡能耗等，顯著提升用戶體驗。

1.2 資源動態(tài)適配機制原理

資源適配層通過管理以及編排網(wǎng)絡功能族群來滿足動態(tài)的服務需求，其原理模型如圖2所示。

資源適配層位于SINET3層結(jié)構(gòu)中的中間層，負責感知來自上層服務需求和來自下層的網(wǎng)絡狀態(tài)，進而控制不同的網(wǎng)絡組建形成最優(yōu)化的網(wǎng)絡族群，為上層提供特定的優(yōu)質(zhì)服務。資源適配層可以根據(jù)不同的服務編排不同的網(wǎng)絡族群來支持不同類型的服務。基于上述設(shè)計，資源適配層可以更好地解決傳統(tǒng)網(wǎng)絡中存在的性能難題。

2 SINET動態(tài)安全防御管控

2.1 動態(tài)防御管控總體架構(gòu)

SINET中資源適配層作為整體架構(gòu)的中間層，是連接上層與下層實現(xiàn)網(wǎng)絡的智慧化、自動化的重要組成部分。作為資源適配層的實體部分，族群是構(gòu)建不同網(wǎng)絡服務提供需求，并且根據(jù)不同族群的功能高效地管理網(wǎng)絡組件。根據(jù)SINET總體架構(gòu)以及SINET中資源適配層中的特點并結(jié)合網(wǎng)絡功能服務鏈，我們提出了SINET動態(tài)防御管控架構(gòu)，如圖3所示。SINET動態(tài)防御管控架構(gòu)是在OpenStack的平臺下進行實現(xiàn)的。在短時間內(nèi)的適配過程中，OpenStack平臺下基于SINET中資源適配層族群的特點，與服務功能鏈（SFC）技術(shù)相結(jié)合，根據(jù)從上層感知到的服務需求，編排好對應的絡族群，通過2次映射將服務需求與底層網(wǎng)絡組件緊密地聯(lián)系在一起，來實現(xiàn)不同的網(wǎng)絡任務。在長時間內(nèi)的適配過程中，通過日志數(shù)據(jù)收集，大數(shù)據(jù)分析平臺以及人工智能技術(shù)等功能的引入，讓網(wǎng)絡更加智能化，提高網(wǎng)絡流量的可預測性?；赟INET的動態(tài)安全防御架構(gòu)的優(yōu)勢在于：

（1）實現(xiàn)動態(tài)資源適配。能夠?qū)崟r監(jiān)測控制和分析網(wǎng)絡中存在的網(wǎng)絡資源和流量變化，對不用網(wǎng)絡服務適配不同的網(wǎng)絡族群來與網(wǎng)絡組件對接，動態(tài)高效地管理網(wǎng)絡，同時保證網(wǎng)絡服務質(zhì)量（QoS），優(yōu)化網(wǎng)絡能耗。

（2）動態(tài)網(wǎng)絡防御。采用策略驅(qū)動的動態(tài)防御措施，利用SFC技術(shù)生成彈性安全功能服務鏈，快速察覺異常流量侵入，有效地抵御外來攻擊，確保網(wǎng)絡安全高效運行。

（3）加快網(wǎng)絡自適應和動態(tài)感知。通過日志數(shù)據(jù)收集，以及大數(shù)據(jù)分析平臺及人工智能技術(shù)等一系列功能的引入，讓網(wǎng)絡更加智能化，提高網(wǎng)絡流量的可預測性。

2.2 SINET動態(tài)安全防御云平臺

根據(jù)SINET的動態(tài)安全防御架構(gòu)的特點和優(yōu)勢，基于OpenStack技術(shù)，將物理機的資源整合到一起形成虛擬資源池進行統(tǒng)一管理。圖4為SINET動態(tài)安全防御管控云平臺。OpenStack技術(shù)統(tǒng)一管理虛擬組件（包括虛擬計算組件、虛擬網(wǎng)絡組件以及虛擬存儲組件等），利用SINET提出的三層、兩域架構(gòu)，針對不同的動態(tài)安全防御措施，動態(tài)適配出不同的網(wǎng)絡功能族群，然后通過SFC技術(shù)對每個功能族群里面的虛擬網(wǎng)絡功能（VNF）進行編排從而達到對應的服務需求。SINET動態(tài)安全防御管控云平臺基于OpenStack技術(shù)，可以支持多租戶，可擴展性強，資源彈性伸縮;融合了容器與內(nèi)核虛擬技術(shù)，根據(jù)不同的仿真場景靈活適配不同的技術(shù)，并且融合了Linux流量控制工具，實現(xiàn)了仿真網(wǎng)絡特性的細粒度模擬。

動態(tài)安全防御云平臺支持大規(guī)模拓撲動態(tài)變化的網(wǎng)絡仿真。拓撲更新速度可達到毫秒級，規(guī)?？蛇_ 100倍物理機個數(shù);網(wǎng)絡仿真鏈路信道實時模擬。每條仿真鏈路的誤碼率（10-4～10-9）、時延（小于200 s、精度1 ms）可單獨設(shè)置，支持延時抖動、延時與抖動相關(guān)性的設(shè)置;支持秒級的仿真場景快速復現(xiàn)，支持資源動態(tài)適配技術(shù)。

圖5和圖6為SINET動態(tài)安全防御功能實例，其中分類器檢測異常流量，篩選不同類型的流量，將經(jīng)過不同SFC的數(shù)據(jù)包進行不同封裝。圖5是未發(fā)起惡意流連攻擊時網(wǎng)絡族群構(gòu)成的網(wǎng)絡組件拓撲，在流量監(jiān)測控制組件中，正常流量為2 Mbit/s，異常流量幾乎為零。當控制攻擊的行為開啟后，網(wǎng)絡中存在大數(shù)據(jù)量的異常流量，如圖6所示。流量監(jiān)測控制組件會感知異常流量的激增，從而智能化地適配新的網(wǎng)絡族群，將生成的異常流量導入到新生成的網(wǎng)絡族群鏈中，從而進行進一步的流量檢測。當網(wǎng)絡中的異常流量消失，又會自動更新為正常情況下的網(wǎng)絡族群，實現(xiàn)高效地動態(tài)適配網(wǎng)絡資源。

3 結(jié)束語

本文中，我們在簡要介紹SINET體系結(jié)構(gòu)的基礎(chǔ)上，引入OpenStack和SFC技術(shù)，提出了基于SINET的動態(tài)安全防御總體架構(gòu)。進一步地，我們還介紹了SINET動態(tài)安全防御管控云平臺基本功能。通過實驗，我們展示了智慧標識網(wǎng)絡動態(tài)安全防御的效果，實現(xiàn)了動態(tài)地適配網(wǎng)絡資源，從而緩解網(wǎng)絡攻擊行為造成的網(wǎng)絡影響。SINET作為一種新型網(wǎng)絡架構(gòu)和技術(shù)，有望應用于未來的5G核心網(wǎng)，使網(wǎng)絡更高效、更靈活、更智能、更安全。

參考文獻

[1] NSF. GENI： Global Environment for Network Innovations [EB/OL].（2018-04-28）[2019-12-28]. http：//www.geni.net

[2] NSF. FIND： Future Internet Network Design. [EB/OL]. [2019-12-28]. http：//www.nets-find.net/

[3] European Commission. FIRE [EB/OL]. [2019-12-28].http：///cordis.europa.eu/fp7/ict/fire/

[4] NSF. Named Data Networking [EB/OL]. [2019-12-28].http：///www.named-data.net/

[5] NSF. MobilityFirst [EB/OL]. [2019-12-28].http：//mobilityfirst.winlab.rutgers.edu/

[6] NSF. Nebula [EB/OL]. [2019-12-28]. http：//nebula-fia.org/

[7] NSF. XIA-eXpressive Internet Architecture [EB/OL]. [2019-12-28].http：//www.cs.cmu.edu/～xia/

[8] 張宏科， 羅洪斌. 智慧協(xié)同網(wǎng)絡體系基礎(chǔ)研究[J]. 電子學報， 2013， 41（7）： 1249-1254. DOI：10.3969/j.issn.0372-2112.2013.07.001

[9] ZHANG H K， DONG P， YU S， et al. A Scalable and Smart Hierarchical Wireless Communication Architecture Based on Network/User Separation [J]. IEEE Wireless Communications， 2017， 24（1）： 18-24. DOI：10.1109/mwc.2017.1600135wc

[10] ZHANG H K， LUO H B， CHAO H C. Dealing with Mobility-Caused Outdated Mappings in Networks with Identifier/Locator Separation [J]. IEEE Transactions on Emerging Topics in Computing， 2016， 4（2）： 199-213. DOI：10.1109/tetc.2015.2449664

[11] ZHANG H K， QUAN W， SONG J Y， et al. Link State Prediction-Based Reliable Transmission for High-Speed Railway Networks [J]. IEEE Transactions on Vehicular Technology， 2016， 65（12）： 9617-9629. DOI：10.1109/tvt.2016.2598473

[12] 權(quán)偉， 張宏科. 未來互聯(lián)網(wǎng)體系的研究現(xiàn)狀、熱點與探索實踐[J]. 中國科學：信息科學， 2017， 47（6）： 804-810