李軍 胡效赫

摘要：隨著網(wǎng)絡(luò)規(guī)模持續(xù)增加、應(yīng)用日益復(fù)雜以及動(dòng)態(tài)性不斷增強(qiáng)，網(wǎng)絡(luò)自動(dòng)化的需求愈發(fā)迫切。網(wǎng)絡(luò)轉(zhuǎn)發(fā)呈現(xiàn)零觸碰的趨勢(shì)，以實(shí)現(xiàn)策略編排的自動(dòng)化為目標(biāo)。網(wǎng)絡(luò)安全呈現(xiàn)零信任的趨勢(shì)，以實(shí)現(xiàn)身份訪問(wèn)的自動(dòng)化為目標(biāo)。從基本理念、核心組成以及工業(yè)實(shí)踐的角度對(duì)零觸碰和零信任進(jìn)行分析，闡述網(wǎng)絡(luò)自動(dòng)化的必要性與發(fā)展情形。

關(guān)鍵詞：網(wǎng)絡(luò)自動(dòng)化；網(wǎng)絡(luò)轉(zhuǎn)發(fā)；零觸碰；網(wǎng)絡(luò)安全；零信任

Abstract： With the increasing scale of networks， complexity of applications， and dynamics of scenarios， there has been an urgent demand of network automation. Network forwarding is becoming zero touch， automating the policy orchestration. Network security is becoming zero trust， automating the identity and access management. Zero touch and zero trust networks are analyzed in three aspects， i.e.， basic concept， core components， and industrial practice， and the necessity and development of network automation are described.

Keywords： network automation； network forwarding； zero touch； network security； zero trust

在學(xué)術(shù)研究中，研究者有時(shí)會(huì)把網(wǎng)絡(luò)的轉(zhuǎn)發(fā)與安全“正交化”，即把網(wǎng)絡(luò)轉(zhuǎn)發(fā)與網(wǎng)絡(luò)安全“解耦”開(kāi)來(lái)，以便簡(jiǎn)化問(wèn)題、“分而治之”。按照這個(gè)原則設(shè)計(jì)出來(lái)的系統(tǒng)架構(gòu)和解決方案，符合實(shí)際管理體系中的人員分工，自然也就比較容易落地應(yīng)用。然而，網(wǎng)絡(luò)的轉(zhuǎn)發(fā)與安全事實(shí)上是高度相關(guān)、密不可分的。不發(fā)生網(wǎng)絡(luò)轉(zhuǎn)發(fā)的行為，就不存在網(wǎng)絡(luò)安全的問(wèn)題。而沒(méi)有網(wǎng)絡(luò)安全的保障，網(wǎng)絡(luò)轉(zhuǎn)發(fā)就容易受到攻擊。網(wǎng)絡(luò)轉(zhuǎn)發(fā)協(xié)議、拓?fù)浜土髁康淖兓?，必定?huì)引發(fā)網(wǎng)絡(luò)安全的機(jī)制設(shè)計(jì)、技術(shù)構(gòu)成和實(shí)現(xiàn)方式的改變。而網(wǎng)絡(luò)安全的完備性和有效性，又是與網(wǎng)絡(luò)轉(zhuǎn)發(fā)的私密性、完整性和可靠性交織在一起的。

通常所說(shuō)的網(wǎng)絡(luò)，主要是指交換和路由機(jī)制對(duì)網(wǎng)包的操作。伴隨著網(wǎng)絡(luò)規(guī)模和流速的指數(shù)增長(zhǎng)，協(xié)議和應(yīng)用的日趨紛繁，以及人類(lèi)生活對(duì)網(wǎng)絡(luò)依賴(lài)性的不斷加劇，通過(guò)人工配置來(lái)管理網(wǎng)絡(luò)的方法經(jīng)常捉襟見(jiàn)肘、狀況百出。網(wǎng)絡(luò)管理人員難以應(yīng)對(duì)“復(fù)雜大系統(tǒng)”。網(wǎng)絡(luò)自動(dòng)化成為日益迫切的需求。在這樣的背景下，零觸碰網(wǎng)絡(luò)應(yīng)運(yùn)而生。

同時(shí)，隨著網(wǎng)絡(luò)虛擬化和動(dòng)態(tài)化的不斷增強(qiáng)，不但以工作環(huán)境為網(wǎng)絡(luò)物理邊界的安全防護(hù)早已無(wú)法滿足移動(dòng)辦公和居家辦公的普及要求，大量企業(yè)信息系統(tǒng)“云化”對(duì)邏輯邊界的安全需求，以及企業(yè)核心資產(chǎn)面臨的巨大數(shù)據(jù)安全挑戰(zhàn)，也使得原有的“一次認(rèn)證、一路暢通”的信任模式不再可靠。因此，我們需要建立零信任網(wǎng)絡(luò)。或者說(shuō)，對(duì)用戶或終端的信任只能建立在持續(xù)的認(rèn)證、鑒權(quán)、“健康體檢”和行為監(jiān)測(cè)控制的基礎(chǔ)之上。

無(wú)論是零觸碰還是零信任，本質(zhì)上都是對(duì)網(wǎng)絡(luò)自動(dòng)化迫切需求的反映。

1 網(wǎng)絡(luò)轉(zhuǎn)發(fā)與零觸碰

網(wǎng)絡(luò)轉(zhuǎn)發(fā)主要依靠路由器和交換機(jī)來(lái)完成，而這些物理資源并不是隨時(shí)隨地更換或增減的（至少變化頻率不會(huì)很高）。此外，它們?cè)谶\(yùn)行軟件時(shí)所遵從的協(xié)議，相對(duì)而言也是“靜態(tài)”的，不會(huì)頻繁切換或升級(jí)、卸載。網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備或虛擬設(shè)備相互連接構(gòu)成的網(wǎng)絡(luò)拓?fù)浼捌涑休d的具體功能，主要是由策略（涵蓋配置和規(guī)則等說(shuō)法）編排決定的。

嚴(yán)格來(lái)說(shuō)，這些策略也是程序的一部分，但不是在硬編碼和預(yù)編譯（機(jī)器語(yǔ)言，即二進(jìn)制代碼）之后才被綁定到物理設(shè)備或邏輯設(shè)備中的，而是在運(yùn)行期間甚至運(yùn)行時(shí)，依據(jù)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)和資源情形“動(dòng)態(tài)”注入的。通常這些策略也會(huì)需要預(yù)編譯，以緊湊的數(shù)據(jù)結(jié)構(gòu)來(lái)滿足性能要求。

傳統(tǒng)上，策略編排是由網(wǎng)絡(luò)管理員來(lái)完成的。他們運(yùn)用特定的網(wǎng)絡(luò)連線和設(shè)備配置來(lái)完成網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)。Google研究報(bào)告顯示，超過(guò)7成的網(wǎng)絡(luò)故障發(fā)生在網(wǎng)絡(luò)管理操作過(guò)程中[1]。在網(wǎng)絡(luò)的規(guī)模、復(fù)雜性和動(dòng)態(tài)性遠(yuǎn)超過(guò)人工能力范疇的情況下，策略編排需要新的范式來(lái)保障網(wǎng)絡(luò)設(shè)計(jì)的效率和穩(wěn)定性。

零觸碰的宗旨是最小化網(wǎng)絡(luò)管理生命周期中的人工介入，并最大化程序與工具在網(wǎng)絡(luò)管理中的占比。其中的關(guān)鍵在于實(shí)現(xiàn)自動(dòng)化的策略編排：管理員只需要關(guān)注網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)“是什么”，無(wú)須考慮連線與配置“怎么做”。零觸碰網(wǎng)絡(luò)的實(shí)現(xiàn)可以參照計(jì)算機(jī)程序編譯和芯片設(shè)計(jì)的電子設(shè)計(jì)自動(dòng)化（EDA）工具。網(wǎng)絡(luò)自動(dòng)化和程序設(shè)計(jì)都是把高級(jí)語(yǔ)義映射為機(jī)器代碼的過(guò)程，而芯片設(shè)計(jì)面對(duì)的布局布線約束與網(wǎng)元資源及其連接的約束也有相似之處。

零觸碰網(wǎng)絡(luò)的提出不僅源自云計(jì)算和網(wǎng)絡(luò)代際升級(jí)帶來(lái)的管理挑戰(zhàn)，還得益于軟件定義網(wǎng)絡(luò)（SDN）為網(wǎng)絡(luò)開(kāi)放創(chuàng)新打下的基礎(chǔ)。在SDN的理念下，零觸碰進(jìn)一步融入閉環(huán)控制、軟件驗(yàn)證、編程語(yǔ)言等多領(lǐng)域機(jī)制。這也充分說(shuō)明計(jì)算機(jī)網(wǎng)絡(luò)是信息科學(xué)中典型的交叉融合應(yīng)用場(chǎng)景。

零觸碰網(wǎng)絡(luò)依托于一整套網(wǎng)絡(luò)自動(dòng)化系統(tǒng)和一系列策略編排核心技術(shù)。這主要體現(xiàn)在：（1）在系統(tǒng)設(shè)計(jì)方面，零觸碰網(wǎng)絡(luò)遵循抽象化原則，通過(guò)管理閉環(huán)來(lái)保障網(wǎng)絡(luò)穩(wěn)定性；（2）在管理員接口設(shè)計(jì)方面，零觸碰網(wǎng)絡(luò)遵循聲明式編程范式，以提高系統(tǒng)易用性；（3）在模塊實(shí)現(xiàn)方面，零觸碰網(wǎng)絡(luò)通過(guò)算法優(yōu)化來(lái)應(yīng)對(duì)規(guī)模增長(zhǎng)帶來(lái)的效率問(wèn)題。

從網(wǎng)絡(luò)自動(dòng)化架構(gòu)來(lái)看（如圖1所示），零觸碰分別體現(xiàn)在3個(gè)層面上。

最上層是意圖驅(qū)動(dòng)網(wǎng)絡(luò)（IBN）重點(diǎn)關(guān)注的，也是零觸碰的關(guān)鍵。該層將管理平面用戶或應(yīng)用的意圖，映射為邏輯集中的控制平面可以理解的策略。這使網(wǎng)絡(luò)管理員從龐雜細(xì)碎的手工配置中抽出身來(lái)，以便他們把主要精力聚焦在網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)的確定和達(dá)成上。這里涉及的主要是策略語(yǔ)言，它包括策略描述的定義和編譯（也稱(chēng)綜合）。網(wǎng)絡(luò)策略通常被分為轉(zhuǎn)發(fā)策略和其他網(wǎng)絡(luò)服務(wù)策略，而服務(wù)策略主要包括安全策略。

中間層是SDN關(guān)注的核心，以控制器的能力來(lái)支撐零觸碰。基于網(wǎng)絡(luò)拓?fù)渑c協(xié)議，同時(shí)根據(jù)網(wǎng)絡(luò)策略和狀態(tài)，該層可求解策略部署方案，并驗(yàn)證策略的一致性。其中，策略和狀態(tài)組成閉環(huán)控制的整體。零觸碰根據(jù)特定的網(wǎng)絡(luò)狀態(tài)部署相應(yīng)的策略以實(shí)現(xiàn)管理員意圖。細(xì)化來(lái)看，策略部署的正確性也需要一個(gè)下發(fā)和校驗(yàn)的閉環(huán)來(lái)保障，狀態(tài)獲取的針對(duì)性也同樣需要一個(gè)配置和監(jiān)測(cè)的閉環(huán)來(lái)支撐。

最下層是分布的數(shù)據(jù)平面。該層完成網(wǎng)絡(luò)流量的策略匹配與狀態(tài)監(jiān)測(cè)，并執(zhí)行相應(yīng)的網(wǎng)絡(luò)功能。

圖2展示了策略編排在網(wǎng)絡(luò)自動(dòng)化系統(tǒng)架構(gòu)中對(duì)應(yīng)的核心技術(shù)構(gòu)成。策略語(yǔ)言中定義和編譯環(huán)節(jié)的關(guān)鍵在于意圖基元的設(shè)計(jì)。這種設(shè)計(jì)背后反映的是對(duì)網(wǎng)絡(luò)流量、協(xié)議和拓?fù)涞拿枋?，以及?duì)生成、修復(fù)等不同管理操作的構(gòu)建。在策略實(shí)施中，策略部署的關(guān)鍵在于求解給定網(wǎng)絡(luò)約束下策略分配和部署網(wǎng)元（或節(jié)點(diǎn)）選取的優(yōu)化問(wèn)題，策略校驗(yàn)的關(guān)鍵在于對(duì)拓?fù)浜途W(wǎng)元的建模以及適應(yīng)性算法的設(shè)計(jì)。策略匹配的關(guān)鍵在于軟件算法優(yōu)化和硬件平臺(tái)加速。整體來(lái)看，當(dāng)前的策略編排技術(shù)能夠針對(duì)具體的網(wǎng)元和拓?fù)湫枨蟪橄蟪鎏囟Ｐ?，并能?yīng)用特定算法。但從系統(tǒng)性的角度看，實(shí)現(xiàn)零觸碰的統(tǒng)一化和插件化還有很多工作要做。

零觸碰網(wǎng)絡(luò)的理念來(lái)源于Google在2016年發(fā)表的學(xué)術(shù)論文[1]。歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)（ETSI）后續(xù)成立了面向5G的零觸碰網(wǎng)絡(luò)與服務(wù)管理工作組。與零觸碰相類(lèi)似的理念包括2016年Juniper公司提出的自動(dòng)駕駛網(wǎng)絡(luò)（SelfDN）和2017年Gartner公司提出的IBN。這些理念的共性都是要實(shí)現(xiàn)自動(dòng)化的策略編排，減少網(wǎng)絡(luò)基礎(chǔ)設(shè)施的交付時(shí)間，并降低網(wǎng)絡(luò)故障的發(fā)生頻次。

在零觸碰方面上，走在業(yè)界前沿的是Google、Microsoft、阿里云等大型云計(jì)算廠商。零觸碰網(wǎng)絡(luò)的業(yè)界實(shí)踐可參考Google的設(shè)計(jì)方案（如圖3所示）。該方案在系統(tǒng)架構(gòu)上與圖1所描述的網(wǎng)絡(luò)自動(dòng)化架構(gòu)相似。阿里云在2019年發(fā)表了針對(duì)骨干網(wǎng)接入控制的策略編排，定義并實(shí)現(xiàn)了特定領(lǐng)域的意圖。擁有面向云數(shù)據(jù)中心和混合云場(chǎng)景的網(wǎng)絡(luò)自動(dòng)化方案的代表性廠商有Apstra、Intentionet等。在零觸碰產(chǎn)品的市場(chǎng)認(rèn)可和推廣方面，向下需要擴(kuò)充對(duì)底層網(wǎng)元功能和協(xié)議類(lèi)型的適配廣度，向上需要豐富典型業(yè)務(wù)場(chǎng)景的操作意圖參考設(shè)計(jì)，以滿足網(wǎng)絡(luò)連通到網(wǎng)絡(luò)安全等多樣需求，實(shí)現(xiàn)系統(tǒng)的“能觀”與“能控”。

2 網(wǎng)絡(luò)安全與零信任

信任是人際交往和交易中影響效率的重要因素，因此網(wǎng)絡(luò)訪問(wèn)或網(wǎng)絡(luò)交互也必然依賴(lài)于信任的建立。關(guān)于零信任，業(yè)界流傳著這樣一句話：“永遠(yuǎn)不要信任，始終進(jìn)行驗(yàn)證，實(shí)施最小權(quán)限。 ”其實(shí)，不是“永遠(yuǎn)不要信任”，而是“不要永遠(yuǎn)信任”。也就是說(shuō)，應(yīng)將傳統(tǒng)的一次性認(rèn)證改為經(jīng)常性查驗(yàn)，而且不是嚴(yán)格意義上的不間斷地“始終進(jìn)行驗(yàn)證”。通常，人們還是采用定期采樣或事件觸發(fā)的驗(yàn)證，并給予一定期限和條件的授權(quán)。

零信任的實(shí)現(xiàn)，不僅需要引入新技術(shù)或新設(shè)備，還需要借助微隔離（MSG）以及細(xì)粒度的邊界策略。在虛擬網(wǎng)絡(luò)特別是云場(chǎng)景中，相對(duì)于傳統(tǒng)模式來(lái)說(shuō)，規(guī)模和復(fù)雜性增加很多，因而工程實(shí)現(xiàn)的難度也將增加。在解決新問(wèn)題、引進(jìn)新能力的同時(shí)，零信任的實(shí)施也牽涉更多的人力和物力資源。適度的信任和自動(dòng)化，是在特定安全等級(jí)下降低成本、提升效率的良好途徑。

當(dāng)然，面對(duì)自帶設(shè)備（BYOD）和5G帶來(lái)的接入多樣化，應(yīng)用與系統(tǒng)的日趨云化，以及社會(huì)組織、網(wǎng)絡(luò)安全的態(tài)勢(shì)改變，信任和風(fēng)險(xiǎn)總是相互關(guān)聯(lián)的。

零信任的前提是實(shí)施最小特權(quán)，而零信任的基礎(chǔ)是實(shí)踐動(dòng)態(tài)認(rèn)證。不同應(yīng)用場(chǎng)景下的零信任系統(tǒng)，會(huì)因地制宜地選擇和融合多種網(wǎng)絡(luò)安全和數(shù)據(jù)安全技術(shù)。但身份認(rèn)證和邊界控制是所有零信任實(shí)踐的核心。

最小特權(quán)也稱(chēng)最小授權(quán)，是信息安全的基本模型之一。最小特權(quán)的概念最早源于容錯(cuò)理論。它涉及特權(quán)分離和完全仲裁等一系列原則。在網(wǎng)絡(luò)安全實(shí)戰(zhàn)中，它可以減少應(yīng)用的公共可見(jiàn)性，從而顯著減小攻擊面。一般情況下，傳統(tǒng)網(wǎng)絡(luò)物理邊界的失效，并不意味著“無(wú)邊界”。網(wǎng)絡(luò)不同安全區(qū)域之間的邏輯邊界是實(shí)施安全分級(jí)（等級(jí)保護(hù)）治理的前提條件。普通用戶對(duì)網(wǎng)絡(luò)邊界無(wú)感并不意味著完全沒(méi)有邊界。零信任恰恰是在軟件定義邊界（SDP）和云訪問(wèn)安全代理（CASB）等技術(shù)體系的基礎(chǔ)上整合出來(lái)的解決方案。當(dāng)然，邊界的極致就是終端。零信任也可以在終端側(cè)部署，以解決傳統(tǒng)邊界防護(hù)在端到端遠(yuǎn)程訪問(wèn)場(chǎng)景下的諸多問(wèn)題。

動(dòng)態(tài)認(rèn)證則是身份權(quán)限管理（IAM）中身份驗(yàn)證和鑒權(quán)的延伸。從最簡(jiǎn)單的“五元組”接入控制表（ACL），到基于角色的接入控制（RBAC），再到基于屬性的接入控制（ABAC），都是網(wǎng)絡(luò)安全中身份認(rèn)證不斷精細(xì)化的體現(xiàn)。然而，除了簡(jiǎn)單的定期復(fù)檢（超時(shí)）外，它們大多不會(huì)“與時(shí)俱進(jìn)”，反映即時(shí)的變化。而對(duì)用戶、設(shè)備、網(wǎng)絡(luò)“身份”的識(shí)別和認(rèn)證，以及對(duì)網(wǎng)絡(luò)安全相關(guān)狀態(tài)、流量、行為甚至“全息”數(shù)據(jù)的掌控，則是安全身份判定逐步動(dòng)態(tài)化的體現(xiàn)。實(shí)際上，這和大數(shù)據(jù)技術(shù)中常用的“用戶畫(huà)像”概念十分類(lèi)似，它們都通過(guò)精準(zhǔn)定位來(lái)服務(wù)對(duì)象，以達(dá)到提供精準(zhǔn)服務(wù)的目的。零信任正是通過(guò)精細(xì)化、動(dòng)態(tài)化的風(fēng)險(xiǎn)評(píng)估，才實(shí)現(xiàn)了相應(yīng)的接入或準(zhǔn)入控制，在空間和時(shí)間上為網(wǎng)絡(luò)提供最大程度的防御。

目前，業(yè)界參考的零信任理念大多基于美國(guó)國(guó)家標(biāo)準(zhǔn)研究院（NIST）于2020年發(fā)布的《零信任架構(gòu)（ZTA）》（2019年以建議為名發(fā)布第一版草案）。其中，零信任的核心技術(shù)被歸納為“SIM”。這里，“S”是SDP，“I”是IAM，“M”是MSG。市場(chǎng)上已經(jīng)推出的零信任產(chǎn)品則是在廠家原有技術(shù)基礎(chǔ)上擴(kuò)充而來(lái)的。這些產(chǎn)品或是基于云安全聯(lián)盟（CSA）的SDP規(guī)范（如圖4所示），或是參考Google的BeyondCorp（如圖5所示）。

其實(shí)，還有一個(gè)技術(shù)框架可以被整合、升級(jí)，并作為零信任技術(shù)的基礎(chǔ)，那就是TNC（可信網(wǎng)絡(luò)連接）。TNC經(jīng)歷過(guò)Cisco和Microsoft兩大陣營(yíng)的多年競(jìng)合，有IETF系列協(xié)議層面的標(biāo)準(zhǔn)RFC支撐，在身份和安全狀態(tài)、情報(bào)等數(shù)據(jù)交換格式上具備扎實(shí)的基礎(chǔ)，利于推進(jìn)開(kāi)放兼容，避免形成廠商鎖定。

3 結(jié)束語(yǔ)

近年來(lái)，網(wǎng)絡(luò)領(lǐng)域最主要的變革都源于網(wǎng)絡(luò)虛擬化和SDN。無(wú)論是意圖驅(qū)動(dòng)網(wǎng)絡(luò)，還是自動(dòng)駕駛網(wǎng)絡(luò)，它們都指向網(wǎng)絡(luò)自動(dòng)化，即零觸碰。而這一切在網(wǎng)絡(luò)安全方面的反映，就是零信任。

無(wú)論是零觸碰還是零信任，它們的關(guān)鍵都是實(shí)現(xiàn)閉環(huán)。從業(yè)務(wù)的視角看，它們實(shí)質(zhì)上是基于反饋控制的網(wǎng)絡(luò)編排和信任管控自動(dòng)化。有趣的是，SDN和零信任都是Google率先驗(yàn)證和推出的。SDN將控制平面與數(shù)據(jù)平面分離，并將分布、自治的網(wǎng)絡(luò)升級(jí)為集中與分布式結(jié)合的控制系統(tǒng)。作為經(jīng)典實(shí)踐，Google的B4顯著提升了網(wǎng)絡(luò)帶寬的有效利用率。較為完整的零信任概念由市場(chǎng)分析和咨詢(xún)公司Forrester于2010年提出。之后，Google經(jīng)過(guò)7年時(shí)間，成功地將零信任全面上線部署。

總之，以零觸碰和零信任為目標(biāo)的網(wǎng)絡(luò)自動(dòng)化，已經(jīng)成為大勢(shì)所趨。它正在不斷推進(jìn)技術(shù)創(chuàng)新、產(chǎn)品研發(fā)和服務(wù)落地。

參考文獻(xiàn)

[1] KOLEY B. The zero touch network [EB/OL].[2021-03-18]. http：//www.cnsm-conf.org/2016/ presentations/CNSM2016-Keynote1-Koley.pdf

[2] 綠盟科技. 零信任安全解決方案 [EB/OL].[2021-03-18]. https：//www.nsfocus.com.cn/ html/2020/210_0608/129.html

[3] BeyondCorp. Run zero trust security like Google[EB/OL]. [2021-03-18]. https：//beyondcorp.com

作者簡(jiǎn)介

李軍，清華大學(xué)自動(dòng)化系研究員、博士生導(dǎo)師，中國(guó)電子學(xué)會(huì)計(jì)算機(jī)工程與應(yīng)用分會(huì)副主任委員；主要從事網(wǎng)絡(luò)與網(wǎng)絡(luò)安全等領(lǐng)域的教學(xué)和研究工作；主持了多個(gè)“863”、國(guó)家重點(diǎn)研發(fā)計(jì)劃和自然科學(xué)基金等項(xiàng)目；作為第一完成人榮獲2014年中國(guó)電子學(xué)會(huì)科學(xué)技術(shù)獎(jiǎng)二等獎(jiǎng)；著譯中外教材3部，發(fā)表學(xué)術(shù)論文100余篇，獲得美國(guó)專(zhuān)利2項(xiàng)、中國(guó)發(fā)明專(zhuān)利20余項(xiàng)，且多數(shù)成果已商用。

胡效赫，清華大學(xué)計(jì)算機(jī)系博士后；主要從事軟件定義網(wǎng)絡(luò)、高性能網(wǎng)絡(luò)處理、安全隱私等方向的研究工作；先后參與國(guó)家重點(diǎn)研發(fā)計(jì)劃和自然科學(xué)基金等項(xiàng)目；發(fā)表論文10余篇，獲美國(guó)專(zhuān)利1項(xiàng)、中國(guó)發(fā)明專(zhuān)利2項(xiàng)。