新一代互联网体系结构(2)

[编者按] 互联网目前面临着各种问题和挑战，其体系结构再次成为了网络领域研究的热点之一。本讲座将分为3期介绍互联网体系结构的研究现状及未来的展望。第1期介绍了目前互联网体系结构面临的挑战以及国内外的研究现状。第2期介绍现有互联网体系结构向新一代互联网体系结构演进中的关键技术与解决方案，内容涉及新型路由寻址体系结构、端到端原则、网络安全性与可信性等方面的研究。第3期将介绍以全新的革命性方式来解决当前互联网体系结构缺陷的新一代互联网体系结构，包括国内外的研究现状和主要的解决方案，并对新一代互联网体系结构的研究进行展望和总结。

基金项目：国家高技术研究发展计划(“863”计划)资助项目(2007AA01Z206)；北京重点学科建设项目(key disciplines)

3 新型路由寻址体系结构
    近年来，互联网的路由可扩展性问题引起了越来越多的关注。在互联网的无缺省路由域(DFZ)中，路由表的规模正以“超线性”的速度增长，如图3所示。由于IPv6拥有比IPv4大得多的IP地址空间，随着IPv6的逐步部署，这种增长速度将会持续下去甚至发生爆炸式的增长。这无疑严重影响了互联网路由系统的可扩展性。

    2006年10月，互联网架构委员会(IAB)在荷兰的阿姆斯特丹举行了路由和寻址专题会议。与会专家对目前互联网路由系统的可扩展性问题达成一致共识，即运营商独立地址、网络多归属、流量工程以及为应对前缀劫持而采取的策略是导致当前DFZ中路由表规模高速增长的主要原因，其技术上的根本原因是由于IP地址同时承担标识主机身份和寻址双重功能而导致的IP地址语义过载。为解决这个问题，多数专家认为需要从根本上对现有路由体系结构进行重新设计规划。

    为解决路由系统的可扩展性问题，目前已经提出了多种方案。这些方案大致可以被归纳为两类：一类方案是通过减少边界网关协议(BGP)消息更新的频率、压缩路由表或转发表来解决扩展性问题，如虚拟聚合方案(VA)；另一类方案是基于身份标识和位置标识(ID/Locator)分离的思想，将IP地址的主机身份标识与路由标识功能分开，如主机标识协议(HIP)、位置/身份分离协议(LISP)等。第一类方案只解决了路由表、转发表快速增长的问题。第二类方案不仅能够减小DFZ中路由表的规模，还支持站点的网络多归属和流量工程，实现路由系统的可扩展。

    目前学术界和工业界的很多研究团体已经提出了众多基于位置和身份分离的方案。大多数方案的设计都遵循两层命名空间模型，即位置标识命名空间和主机标识命名空间，也有部分方案设计了多层命名空间模型，如分层的因特网命名体系结构(LNAI)。两层命名空间方案又可以按照位置标识和身份标识分离点的位置不同分为两类：第一类方案在主机处将ID/Locator彻底分离，这需要对主机作一定的修改；第二类方案在边界路由器处进行ID/Locator的分离，通过在网关处进行封装映射来实现，主机无需作任何改变。

3.1 基于虚拟聚合技术的路由体系结构
    VA是互联网工程任务组(IETF)全局路由运作工作组(GROW)提出的一种解决当前路由系统可扩展性的方案。VA的核心思想是阻止路由信息库(RIB)中非必要表项加载到转发信息库(FIB)中，以压缩FIB的规模。实际上，核心路由器完整覆盖(CRIO)是最早提出通过压缩FIB来解决路由可扩展性的方案，VA对其进行了扩展和完善。VA把IP地址空间分成多个虚拟前缀(VP)，每个VP是对多个子前缀(目前传统网络的网络前缀)的虚拟聚合。这种虚拟聚合是指用隧道实现对每个虚拟前缀内的所有子前缀的汇聚，需要指出的是这些子前缀在拓扑上是不可聚合的。VA提出了汇聚点路由器(APR)的概念，将同一个自治系统(AS)中的路由器分为APR、非汇聚点路由器(Non-APR)和传统路由器，其中APR与Non-APR都是安装了VA的路由器。

    图4说明了VA中转发数据包的基本流程。首先，路由器D被配置为VP(1.0.0.0/8)的APR，建立了到路由器B的一条隧道。路由器C作为入口路由器，收到由路由器A发送的数据包(目的地是与路由器B相连的网络中的某台主机)。路由器C先将数据包转发给路由器D，D通过隧道将数据包发送给隧道终点B，最后由B将数据包发送给目的主机。

    VP并不是按拓扑进行汇聚的，而是通过虚拟聚合技术对多个不连续的运营商独立地址的聚合。VA在减小路由器中FIB规模的同时却可能导致路径长度的增加，如图4。这个问题可以通过将APR部署在最短路径上来解决。

3.2 基于ID/Locator彻底分离的路由体系结构
    这类方案的基本思想是在主机处实现位置标识符和身份标识符的彻底分离。早期M.O’Dell提出的GSE就属于此类方案，它将主机的IPv6地址分为Locator和ID两部分，实现了位置与身份的分离，但并不保证ID的全球唯一性和安全性。此后提出的LNAI以及HIP也属于此类方案。

    LNAI设计了一个扁平的4层名字空间结构，包括用户级描述符(ULD)、服务描述符(SID)、主机描述符(EID)和IP地址。同时LNAI还提出了一个三级地址解析方案，包括将ULD解析为SID、将SID解析为EID、将EID解析为IP地址。通过增加SID和EID这两个额外的名字空间和解析层次，LNAI不仅能够允许服务和数据成为一级因特网对象(能够直接和持久地命名)，还支持主机的无缝移动和网络多归属，并可以将中间盒如网络地址转换(NAT)和防火墙等整合到互联网体系架构中。

    HIP提出在网络层和传输层中间插入一个新的协议层——主机标识层。主机标识层将原来紧密耦合的传输层和网络层分开，彻底分离IP地址的双重功能，使IP地址只作为网络层使用的位置标识符，专用于数据包的路由转发，而把主机标识的功能交给主机标识符(Host ID)，传输层使用主机标识符而不是IP地址作为主机的标识。在双方进行通信时，IP地址的变化对传输层透明，从而保证在发生移动或者地址变化时，通信可以持续进行，而不会被中断。

    图5简要显示了HIP协议进行一次完整对话的基本流程。通信发起者在初始化连接时，首先发送域名系统(DNS)查询请求，DNS服务器返回目的地对应的主机标识符；接着由主机标识层查询映射服务器得到对应的IP地址；源端与目的端的主机标识层之间建立HIP关联；最后，源端和目的端开始进行数据交换。

    整个体系结构从根本上适应了移动和网络多归属的需求。同时，主机层的引入削弱了网络层和传输层的依赖关系，增加了网络的灵活性，有利于从IPv4到IPv6迁移。但是HIP也存在一些问题：需要主机作一定的修改，部署起来比较困难，不支持组播。由于HIP未修改现有网络设备，故并不能对互联网服务提供商(ISP)实现有效的流量工程提供直接支持。

3.3 基于封装/映射的路由体系结构
    此类方案的基本思想是：将整个路由域分为全局路由域和本地路由域，ID/Locator的分离在边界网关处实现，如图6。全局路由域是由边界网关组成的，在同一个本地路由域内的实体之间的通信使用身份标识符进行路由，在全局路由域内使用位置标识符进行路由。需要发往本地域外的数据包携带的是目的主机的身份标识，它们首先被转发到本地路由域的边界网关处(源网关)。源网关通过某种映射服务获得目的网关的位置标识并将这个标识作为目的地址。接着，根据目的网关的位置标识，这个数据包就可以通过全局路由域到达目的网关。目的网关去掉数据包中的位置标识，根据目的主机的身份标识转发数据包，最终数据包将到达目的主机。这类方案不仅仅能够解决目前Internet面临的路由可扩展问题、支持站点多归属，而且由于ID/Locator在路由器处进行分离，有利于ISP进行流量工程控制。

    LISP针对当前路由系统的可扩展性问题，基本思想是通过核心网络和边缘网络的分离实现核心网络的可扩展性。它将当前具有双重语义的IP地址命名空间分离成端节点身份标识(EID)和路由地址(RLOC)，其中EID用于在边缘网络(本地路由域)中进行路由，而RLOC对应为位置标识符，用于核心网(全局路由域)的路由，并通过引入入口隧道路由器(ITR)和出口隧道路由器(ETR)对数据包的封装，实现身份与位置的分离。LISP采用IP-OVER-UDP隧道技术，其中内层包头存放EID，外层包头存放RLOC。隧道端点路由器负责缓存EID到RLOC的映射。

    由于LISP以尽量少地改变Internet的基础设施为设计目标，所以在LISP中端系统无需任何改变，只需对现行的路由器进行微小的改变，并且能够增量部署。当然，LISP也存在一些问题。例如，LISP的实现依赖隧道技术，边界路由器需要维护流量状态，由此而产生的可靠性和扩展性问题有待解决。

3.4 3种方案的比较与分析
    以上共介绍了3类不同的新型路由体系结构。VA通过引入虚拟聚合技术压缩了路由器的FIB，对现有的路由系统改动较小，部署比较容易，但是它并没有解决路由器RIB的扩展性问题。LNAI需要对现有的主机软件作很大的改变，包括协议和应用程序，而且解析这些名字空间需要新的解析系统。因此，LNAI的部署代价较大。在引入了多个层次的名字空间后，安全问题如拒绝服务攻击也成为LNAI的较大隐患。以HIP为代表的在主机处实现ID/Locator分离的方案实现了IP地址双重语义的彻底解耦，完全解决了移动性、网络多归属问题，增强了安全性，实现了路由系统的可扩展，但是这类方案需要对主机进行修改，部署难度较大，且不能支持有效的流量工程。以LISP为代表的采取映射封装的方案在边缘路由器上实现了核心网络和边缘网络的分离，边缘网络的动态变化不会对核心网络造成严重影响，从而实现了路由系统的可扩展。这类方案只需对路由器进行改动，部署代价较小，支持网络多归属和流量工程，能够增量部署。这类方案的最大问题是，需要在入口隧道路由器(ITR)处采用查询映射，查询延迟会导致路由器丢弃或者缓存大量分组，容易遭受攻击。改进方案是ITR可以在没有映射信息时，将分组发送给映射系统，让分组经过映射系统进行路由，导致映射系统在提供映射功能的同时，还要需要承载用户流量的转发，对映射系统的设计和性能提出了要求。

    通过以上分析可以看出这些方案各有优缺点，其设计的目的都是解决路由系统的可扩展性这个首要问题。当然除了路由的可扩展性，未来互联网路由体系结构还要支持具有扩展性的流量工程、网络多归属以及移动性，尽量简化自治系统的重编址，考虑路由质量和安全。同时，方案的可部署性也是设计时必须要考虑的重要因素。

4 端到端原则与网络安全性问题

4.1 端到端原则与“Off by Default”原则
    J.H.Saltzer,D.P.Read和D.D.Clark在80年代初提出了著名的“端到端”原则，解决了各种功能在系统中实现的位置问题——“网络核心应该尽可能提供通用的服务，而与具体应用相关的功能则放在端系统上实现”。端到端原则赋予了互联网创新和敢于冒险的精神，保持了互联网的可扩展性、通用性和开放性，是互联网获得巨大成功的根源。

    但是互联网发展至今，无论是在规模还是在应用环境方面都发生了巨大变化：网络核心增加了认证、授权等机制，同时还部署了中间服务器；政府与中介组织提出了参与网络内容与服务的监督管理的迫切需求等。所有这些变化都对“端到端原则”提出了重大挑战。“端到端原则是否仍然适用”成为学术界一个比较有争议的问题。2001年David Clark对这个问题进行了重新思考并阐述了自己的观点：“端到端原则为互联网带来的开放性、创新性是有重要意义的，但是所导致的灵活性有待继续研究”。

    由于“端到端原则”提倡的灵活性、创新性、开放性和冒险精神对传统互联网的成功起到了巨大地推动作用，并且可以预见它对未来的网络发展仍将具有重要的指导意义，所以未来互联网体系结构的设计不可能完全摒弃这个重要的指导原则。但同时端到端原则也需要不断的自我完善来应对目前已经出现以及将来即将出现的各种挑战。

4.2 网络安全性
    为解决互联网面临的严重的安全问题，目前已经提出了两类解决方案。第一类方案通过在协议栈中增加一个专门的“安全信任层”来解决安全问题，第二类方案则通过为每一层都分别设计安全机制保障互联网的安全性。但这两类方案都无法从根本上解决互联网的安全问题。IPSec可归为第一类方案，是IETF为了解决目前互联网的安全问题，在IPv6中提出的保护IP协议通信安全的标准。IPSec的优点是保证了网络层数据传输的安全性。但是IPSec并没有完全解决整个网络系统的安全性问题。它只是保证了网络层的安全，系统仍然可能会遭到其他层发起的攻击，而且它也并没有解决目前比较常见的拒绝服务攻击问题。第二种方案虽然克服了前者的缺陷，但它不仅增加了协议栈的实现难度，还需要考虑各层安全机制的垂直交互以及各安全机制与同层其他协议的水平交互问题，使协议栈更加复杂化，反而加重了网络的不安全性。

    目前有一批研究学者已经投入到可信网络的研究中，试图通过可信网络体系结构的设计和实现从根本上解决网络的安全性问题，恢复人们对网络的信任。可信网络是受到了可信计算的启发而提出的全新的概念。可信计算是近年来的一个研究热点，它包括检查用户身份的可信性、用户状态的安全性等措施,它的目的是增强计算机终端的可信性。当然，可信网络并不是和可信计算完全等同的概念。可信计算强调计算机终端的安全性，而可信网络更注重整个网络体系的整体安全。目前安全体系结构的设计已经成为解决互联网安全性问题的关键。由于可信网络的研究起步较晚，目前的大部分工作只是对局部目标的研究，学术界尚未形成关于可信网络的概念、基本属性以及关键技术的清晰描述。中国的研究人员在对可控可信可扩展的新一代互联网体系结构进行了大量的研究的基础上，提出了自己的观点：“一个可信的网络应该是网络和用户的行为及其结果总是可预期与可管理的，能够做到行为状态可监测、行为结果可评估、异常行为可管理。不同于安全性、可生存性和可管理性在传统意义上分散、孤立的概念内涵,可信网络将在网络可信的目标下融合这3个基本属性，围绕网络组件间信任的维护和行为管理形成一个有机整体”。目前网络可信技术的研究内容可概括为服务提供者的可信、网络信息传输的可信和终端用户的可信。此外，可信网络还存在4个待解决的科学问题——网络与用户行为的可信模型、可信网络的体系结构、服务的可生存性和网络的可管理性。

    综上所述，无论是互联网体系结构设计采用演进方案还是革命性方案，都应该将建立系统的安全体系结构作为研究的重点。在结构的各层面进行系统的安全设计才是当前互联网解决安全和信任问题的治本之方。(待续)

收稿日期：2009-05-22