1.4 国内外研究现状
弹性通信网络集软件定义、虚拟化、云计算、物联网、5G、人工智能、内生安全等先进信息通信网络技术于一体,从静态僵硬的面向“人”的传统网络架构,走向“人机物”互联的动态可重构新型网络架构,能够快速响应不断变化的业务环境和新的应用需求。
1.4.1 国外研究现状
国外与弹性通信网络相关的信息通信体系架构研究存在民用和军用两个研究方向。在民用领域,开展SDN/NFV、5G、人工智能等未来网络技术研究已成为当今学术界和产业界关注的热点之一,全球多个国家和地区推出了一系列未来网络研究项目,旨在推动信息网络革命性发展;在军用领域,美军提出GIG/DoDIN体系架构、联合信息环境(JIE)计划,旨在构建安全、弹性的网络架构,指导美军统一的电子信息系统建设。
1.4.1.1 SDN/NFV技术
从国外网络系统架构研究的现状来看,新型网络架构一般围绕SDN/NFV技术展开,以构建灵活、便捷、开放的未来网络架构为目标,开展了一系列未来网络研究项目。
SDN起源于2006年斯坦福大学的Clean Slate研究课题,2009年,Mckeown教授正式提出了SDN概念,2011年3月,由Verizon、德电、Google、Facebook、Yahoo、微软6家电信/互联网巨头发起,诸多厂商参加的ONF(Open Networking Foundation)组织,推动了软件定义网络的发展。
SDN的概念核心是控制转发分离,转发设备标准化、傻瓜化,控制面集中化,所有控制功能可以通过集中的控制面进行编程实现而无须升级转发面。控制面包含一个或多个控制器,可掌握全局网络信息,方便管理配置网络和部署新协议等。基础架构由一系列SDN交换机组成。交换机仅提供简单的数据转发功能,可以快速处理匹配的数据包,适应流量日益增长的需求。控制面和转发面之间采用开放的统一接口(如OpenFlow等)进行交互。控制器通过标准接口向交换机下发数据转发规则,交换机仅需按照这些规则执行相应的动作即可。
在学术界,美国GENI、Internet2、欧洲OFELIA和日本的JGN2plus先后展开对SDN的研究和部署。
在产业界,以Nicira(已于2012年7月被VMware 收购)和Big Switch为代表的SDN创业公司不断涌现。为了在新技术上抢占先机、扩大产品市场份额,Juniper、NEC、HP、IBM、Cisco等厂商先后发布了支持OpenFlow的SDN硬件产品;NEC、BigSwitch、IBM、Cisco或自主或联合开发SDN控制器;VMware、Juniper、Cisco等厂商发布了基于SDN的虚拟网络解决方案。目前上述产品有些已在SDN研究领域进行了部署。
在标准化方面,众多标准化组织已经加入SDN相关标准的制定当中。专门负责制定SDN接口标准的著名组织是开放网络基金会(Open Networking Foundation,ONF),该组织制定的OpenFlow协议业已成为SDN接口的主流标准,许多运营商和生产厂商根据该标准进行研发。互联网工程任务组(Internet Engineering Task Force,IETF)的ForCES工作组、互联网研究专门工作组(Internet Research Task Force,IRTF)的SDNRG研究组、国际电信联盟(ITU Telecommunication Standardization Sector,ITU-T)及ETSI(欧洲电信标准化协会)的多个工作组也针对SDN的新方法和新应用等展开了研究。
与SDN相伴而生的NFV技术则主要是利用IT虚拟化技术把现有的软硬件紧耦的网络演化成具有通用性的软平台。NFV更多关注使用IT技术来改造CT网络。NFV与SDN结合后可以提升网络的性能,简化对已存在网络的兼容性要求并提升网络的可操作性和可运维性。NFV可协助SDN实现更加软化、更可控、更易编程的网络架构目标。
SDN的核心是将传统网络设备紧耦合的网络架构解耦成应用、控制、转发三层分离的架构,并通过标准化实现网络的集中管控和网络应用的可编程性。NFV基于IT虚拟化技术,通过“最小化硬件”来减少专用硬件依赖性,通过功能抽象来提高网络功能部署升级的灵活性,其实质是将网络功能从专用硬件设备中剥离出来,实现软件和硬件解耦后的各自独立,基于通用的计算、存储、网络设备并根据需要实现网络功能及其动态灵活的部署。基于SDN/NFV的网络架构如图1-4所示。
SDN实现了集中统一的网络控制和灵活高效的数据转发,NFV实现了网元功能与物理实体解体、网络功能的软件化。两者的结合有利于从全局视角感知和按需定制网络资源、重组和编排网络功能,实现局部和全局的会话控制、移动性管理和服务质量保证,构建面向业务的网络能力开放接口,满足业务差异化需求并提升业务部署效率。
图1-4 基于SDN/NFV的网络架构
简而言之,SDN的核心是软件定义网络连接,NFV的核心是软件定义网络功能,二者共同支撑起新一代网络架构,使其具备转控分离化、网络虚拟化、功能模块化、部署分布化的技术特点。
SDN与NFV技术都在快速发展,结合了SDN和NFV双方优势的弹性通信网络是各运营商等用户的未来选择。通过控制层与转发层分离,结合对网络资源和接口的封装,使网络摆脱硬件的约束;软硬件解耦,网络操作系统标准化,促进产业链的分工细化,利于充分竞争;标准化的开放接口,利于降低设备商的进入门槛,构建充满活力的产业链,便于IT与CT融合;网络进一步软化,利于向云架构演进;集中控制提高管理的效率与质量,网络的端到端运维更加自动化和智能化;可编程的网络为创新提供了无限潜力,利于运营商更为快捷地提供更丰富的业务,增强其竞争力。
随着SDN/NFV在网络中的应用,运营商等用户将会实现更灵活的网络架构、更开放的网络环境和更好的用户体验。在这一网络架构下,网元之间的隔离被打破,网络不再是“烟囱”型的网络,而成为横向打通的、向业务开放的、软件化的网络,无论从管理、服务、新的商业模式支持上都可以为用户带来更佳的体验,并大幅度降低网络的建设和维护成本。
融合SDN/NFV的网络总体架构包含SDN Forwarder、SDN控制器、不同的VNFs(虚拟网络功能)、VNF编排器、云管理系统等模块。该架构吸收了SDN的基础架构思想,实现网络各个层面的控制面与转发面的分离,而分布于网络各个层面的各类设备都能受其所归属的控制器的统一控制。各个层面控制器之间也存在着控制面的整体协调,以保证开放的理念在全网的各个层面得以贯彻实现。
从国际发展情况来看,国外的SDN技术快速发展,较早进入了商用部署阶段。在学术界,美国Internet2基于OpenFlow和100Gbps以太网络技术建成了第一个开放式SDN网络。在互联网公司方面,Google通过采用SDN技术,将IDC之间网络的使用率提升至90%以上。Facebook开始尝试在IDC内部署SDN网络。在设备制造商方面,HP发布了Virtual Application Networks SDN控制器和多款支持OpenFlow的交换机产品,IBM也发布了自有OpenFlow控制器PNC。Cisco、Juniper、Alcatel-Lucent等公司也投资或收购了多家SDN领域的创业公司,作为未来网络研究与解决方案之用。在芯片领域,Intel、Broadcom、Marvell等已相继推出支持OpenFlow的交换机芯片。在网络运营商方面,日本NTT率先以OpenFlow网络技术实现全球多个IDC的虚拟化整合,用户可于云端平台自由迁移,以提供对应服务应用和需求配置。
1.4.1.2 可重构网络技术
可重构网络技术是下一代互联网技术的研究热点,一般通过基于硬件或软件的重新配置来实现网络结构和功能的重构更新。通过将网络服务从基础设施中分离出来,可重构网络技术可以使网络服务的创新变得更加灵活,这种逻辑上的分离使二者可以独立地演进,在支持现有服务的同时灵活地部署新的网络服务。
ForCES(Forwarding and Control Elements Separation)是由IETF提出的开放路由体系结构。ForCES针对一般网络设备提出了控制单元(Control Element,CE)和转发单元(Forwarding Element,FE)分离的基本思想。控制单元和转发单元之间的信息交换通过ForCES协议完成。ForCES协议对转发和控制面的信息交互进行了标准化。转发单元由包含各类标准化的逻辑功能块组成,并可由控制单元按需要构造数据包处理拓扑结构,它是一个执行具体ForCES协议的逻辑实体。控制单元是一个实施ForCES协议的逻辑实体,它会指示一个或多个转发单元怎样处理数据包,其操作功能包括控制信令、协议的执行。ForCES的目标是打破网络设备的封闭性,分离转发和控制单元,定义开放的通信接口。使用ForCES网络设备的控制单元和转发单元可以独立发展,只要它们支持ForCES协议。
虚拟可扩展路由器体系结构(Virtual Extensible Router Architecture,VERA)是一个虚拟可扩展路由器原型系统,由美国普林斯顿大学的Scott Karlin和Larry Peterson提出。笔者从平台角度考虑,认为由于服务的不断扩展和构造路由器的硬件组件的日益多样性,服务与底层硬件的映射正变得越来越困难,所以针对这种情况设计了VERA。它隐藏转发功能的硬件多样性来设计路由器结构,侧重于路由器可扩展结构和功能模块分布的设计。VERA的路由平台架构在通用的异构PC上,其转发端运行在通用的处理器上。VERA的作用相当于一个路由器中间件,连接路由器上运行的服务和路由器转发平台。VERA定义了一个路由器抽象层用于控制服务的扩展、一个硬件抽象层用于转发功能的扩展及一个分布层用于规模扩展。
由斯坦福大学开发的NetFPGA,为网络研究人员提供了一个低成本可重用的硬件平台,它的出现使研究人员可以在硬件上搭建吉比特每秒量级的高性能网络系统模型。NetFPGA平台能够很好地支持模块化设计,复杂的硬件设计可以通过各个模块的组合来完成;而且NetFPGA是一个基于Linux的开放性平台,所有对它感兴趣的人都可以利用平台上现有的资源,在前人开发的基础上搭建自己的系统,而自己开发的系统也可以被其他人所用,而不再需要重复地搭建外围模块、开发驱动和GUI等,只要添加自己的模块和修改现有的系统即可。NetFPGA平台的模块化和开放性,大大简化了网络研究的任务量。NetFPGA平台由NetFPGA开发板、双口千兆比特以太网卡、运行于Centos操作系统的PC(或服务器)及其他软件程序组成。目前对NetFPGA的重构方式只能静态地通过对FPGA芯片的重新编程来实现。
以上这些研究,有些是从平台架构的角度出发研究可重构的路由器架构,有的则着眼于硬件或软件研究网络可重构技术。网络应用类型的多样性和对网络服务提供能力需求的差异性仍在不断推动可重构技术与网络路由交换技术的研究。SDN作为一种可重构网络架构解决方案,因其简单的硬件要求、数据面与控制面相分离的理念而为越来越多的研究人员所肯定。
1.4.1.3 物联网技术
美国陆军开展了大量的传感网建设项目,如灵巧传感器网络、无人值守地面传感器群和战场环境侦察与监视系统等。其中,“灵巧传感器网络”(Smart Sensor Web,SSW)是美国陆军提出的针对网络中心战的需求所开发的新型传感器网络。其核心思想是在战场上布设大量的传感器,向战场指挥员提供从大型传感器矩阵中得来的动态更新数据库,以及实时或近实时的战场信息,包括高分辨率数字地图、三维地形特征、多重频谱图形等信息。系统采用预先制定的统一标准解读获取到的信息,再与诸如公路、建筑、天气、单元位置等信息,以及其他传感器输入的信息相互关联,从而为交战网络提供诸如开火、装甲车发动及爆炸等触发传感器的实时信息。SSW系统实现了传感器基于网络平台的集成。例如,一个被触发的传感器主体可能会要求在其范围内激活其他传感器,达到对前后相关信息的澄清和确认。无人值守地面传感器群是美国陆军近期确立的“更广阔视野”项目的三个子项目之一,其主要目标是具有在任何作战区域或方位灵活部署传感器的能力。陆军战场环境侦察和监视系统是一个智能化传感器网络,可以更为详尽、准确地探测到精确信息,如一些特殊地形地域的特种信息(如登陆作战中敌方岸滩的翔实地理特征信息,丛林地带的地面坚硬度、干湿度)等,为更准确地制定战斗行动方案提供情报依据。该系统由散布型微传感器网络系统、机载和车载型侦察与探测设备等构成,为各作战平台与单位提供“各取所需”的情报服务,使情报侦察与获取能力产生质的飞跃。
美国海军最近也确立了“传感器组网系统”、网状传感器系统CEC(Cooperative Engagement Capability)、先进布放式系统、濒海机载超光谱传感器、“海洋网”等研究项目。传感器组网系统利用现有的通信机制对从战术级到战略级的传感器信息进行处理,而管理工作只需通过一台专用的商用便携机即可,不需要其他专用设备。该系统以现有的带宽进行通信,并可协调来自地面和空中监视传感器及太空监视设备的信息。网状传感器系统CEC是一个无线网络,适用于舰船或飞机战斗群进行感知数据处理,使每艘战船不只是依赖自己的雷达,还依靠其他战船或装载CEC的战机来获取感知数据,利用这些数据合成具有很高精度的图片,极大地提高了测量和打击精度。先进布放式系统是一种被动水下声学传感器网络,它可以提供实时信息,在濒海区域监视敌方潜艇和水面舰艇。濒海机载超光谱传感器系统利用非声超光谱传感器提供近实时的目标探测、分类和识别,用于反潜战、搜索和营救及区域绘图。“海洋网”是一种自由部署的水下网络系统,采用“远程声呐调制解调器”,在固定或移动的水下节点之间通过声传播实现通信,提供水下指挥、控制、通信和导航等。
在传感网建设方面,美军开展了智能微尘(Smart Dust)、沙地直线(A Line in the Sand)、狼群(Wolf Pack)等众多项目。智能微尘是由微处理器、无线电收发装置组成的超微型传感器,彼此之间能够相互定位,组成无线网络,收集数据并向基站发送。未来的智能微尘甚至可以悬浮在空中几个小时,形成严密的监视网络。狼群中的“狼”在“头狼”带领下组成一个分布式“狼群”系统,进行信息交换。一只“狼”出了故障或遭毁坏,其他“狼”可以接替工作。“狼群”可以完成目标探测、识别、定位和干扰等。
在勤务支援和保障领域,美军以RFID等识别技术为核心实施了大量应用项目,大大提高了其战场可视化勤务保障能力。例如,美军后勤军事转型中为了具备“感知与反应后勤”能力,实施了“连接后勤人员”的网络建设计划,该计划的主要内容包括三部分。第一,通过战斗勤务保障自动化信息系统接口和VSAT卫星通信实现关键后勤节点的连接。其中,战斗勤务保障自动化信息系统接口实现前方后勤保障点的局域网连接,提供有关库存品和需求的关键后勤数据。VSAT终端提供一个后勤数据网络,使后勤人员既可以通过网络获取战术数据,也可以上传后勤数据。第二,通过安装移动跟踪系统和广泛使用RFID标签实现后勤行动的可视性。移动跟踪系统是一种卫星双向文本通信和定位导航移动系统,提供运行可视及车队间通信。RFID标签广泛应用于提供集装箱和货盘载运物资信息。第三,部署作战指挥持续保障系统,将大量分散的后勤信息系统、运行可视系统及其他离散数据源提供的信息统一汇总到一个决策支持系统中,为机动部队指挥官提供关键后勤物资的动态信息。
此外,在勤务支援领域,RFID技术还被广泛应用于伤员搜救、战场救治、病情监控、防疫检测、伤员后送等卫勤保障领域,如单兵监视系统、医疗数字辅助系统、野战医疗机构信息系统等项目。同时,在技术维修、维修管理、状态跟踪等装备技术保障领域研制了装备资料管理系统、陆军标准修改系统、装备标准检测系统等,大大提高了后方勤务支援保障能力。
泛在传感网(USN)利用现有和新的网络技术,实现人与人、人与物、物与物之间按需进行的信息获取、传递、存储、认知、决策、使用等服务,具备超强的环境感知、内容感知及智能性,为个人和社会提供泛在的、无所不含的信息服务和应用。
泛在传感网的体系架构自下而上可以划分为感知/延伸层、网络层、应用层三层,如图1-5所示。
图1-5 泛在传感网的体系架构
其中网络层包括接入网子层和核心网子层。接入网子层包括卫星至地面无线接入、有线宽带接入、无线宽带接入、2G/3G/4G/5G移动接入等各种接入技术。核心网子层包括现有的电信网、互联网、广电网、未来的下一代网络(如NGN/NGI),以及各个行业自建的行业专用网络等。
1.4.1.4 5G技术
第五代移动通信系统(5G)以其超高的接入速度、近乎“零”时延的使用体验,千亿设备的大连接能力及超高连接数密度、超高流量密度和超高移动性,具备业务和用户感知的智能优化等特点,成为实现“信息随心至,万物触手及”美好愿景的下一代科技革命的制高点。
国际电信联盟(ITU)于2012年启动5G标准研究工作,目前,已完成了5G愿景、技术趋势、频谱需求、技术性能需求和评估方法等研究工作,第三代移动通信合作伙伴计划组织(3GPP)作为国际上蜂窝移动通信标准化主要机构,从2016年开始5G标准研究。
世界主要发达国家和地区高度重视5G技术研发与商用部署,2012年11月,欧盟在第7框架计划(FP7)中启动了面向5G研发的METIS项目,2020年,各个成员国至少选择一个城市提供5G服务。美国核心企业、高校积极投入5G移动通信研究,广泛参与国际标准化行业组织。AT&T、Verizon 2018年年末针对家庭推出5G固定无线服务,2019年4月韩国正式宣布5G商用。
5G支持增强移动带宽(eMBB)、海量机器类通信(mMTC)、超高可靠低时延通信(uRLLC)三大场景,可以提供差异化的无线接入服务,满足用户不同层次、不同场景下的无线通信需求,如图1-6所示。
图1-6 5G三大应用场景
eMBB场景主要面向3D超高清视频等大流量移动宽带业务,要求单个5G基站至少能够支持20Gbps的下行速率及10Gbps的上行速率,主要服务4K/8K超高清视频、虚拟现实/现实增强(VR/AR)等大流量应用。uRLLC场景主要面向无人驾驶、工业自动化控制等要求低时延、高可靠连接的业务。uRLLC要求时延低于1ms,以应用于无人驾驶、智能工厂等。mMTC场景主要面向大规模物联网连接业务,实现从消费到生产全环节、从人到物全场景互联,推动物联网与各行各业的深度融合。
ITU-R定义了5G的八项关键能力指标,即流量密度、连接数密度、时延、移动性、峰值速率、能量效率、频谱效率和用户体验速率。
回顾移动通信的发展历史,每一代移动通信系统都可以通过标志性能力指标和核心技术来定义。5G关键能力比前几代移动通信更加丰富,用户体验速率、连接数密度、端到端时延、峰值速率和移动性等都成为5G的关键能力指标。相比4G,5G的各项关键能力指标均有大幅提升:峰值速率提升20倍、用户体验速率提升10倍、连接数密度提升10倍、流量密度提升100倍、能量效率提升100倍、时延缩短到之前的十分之一、频谱效率提升3倍、移动性提高近1倍。
与以往不同的是,5G不再依靠单一技术满足所有场景需求。面对多样化场景的极端差异化性能需求,5G的三大场景有不同的侧重。eMBB在峰值速率、流量密度、连接数密度、频谱效率和用户体验速率上具有优势,mMTC在连接数密度上比较突出,uRLLC则在移动性和时延性能上表现优异。
根据ITU对5G的定义,以eMBB、mMTC、uRLLC三大典型应用场景为代表的各类场景具有不同的挑战性指标需求,难以以某种单一技术为基础形成针对所有场景的解决方案。5G以体系创新的方式进行了多种技术融合化设计,从无线空口与网络架构两个方面提出诸多创新思路,以获得更大的网络操作/控制自由度、更高的无线资源使用效率及更精准的业务质量控制,最终满足典型应用场景的挑战性指标需求。5G核心技术如图1-7所示。
图1-7 5G核心技术
在eMBB场景方面,结合大规模天线、非正交多址、超密集组网及更高阶的调制编码等技术,实现频谱效率的大幅度提升,同时加入部分带宽技术以满足不同频谱带宽条件及终端能力的应用需求。在mMTC场景方面,结合新型多载波、灵活帧结构、免调度传输、节能机制、网络切片等技术,满足海量设备连接、超低终端功耗与成本的应用需求。在uRLLC场景方面,结合灵活子帧配置、自适应重传、免调度的新型多址、无线网络灵活部署架构、移动边缘计算、基于软件定义网络/网络功能虚拟化(SDN/NFV)的新型网络架构等技术,降低了空口传输时延、网络转发时延和重传概率,以满足极高的时延和可靠性要求。
同时,为实现5G灵活化移动通信网络的目标,对无线接入网也进行了软件融合化设计,其空口使用新型波形、动态定义帧结构等动态软件化技术实现三大场景应用波形的有机融合,而灵活的集中单元/分布单元(CU/DU)分离协议栈架构则实现接入网软件化,达到按需灵活部署的目的,配合以SDN/NFV等虚拟化动态可配网络、面向服务的灵活编排的网络切片及移动边缘计算等技术,5G由无线层到网络层提供了一张面向各类服务的软件化、虚拟化、服务化的移动通信网络。
综上所述,正是基于SDN/NFV的新型网络架构、基于服务架构(SBA)的核心网架构、按需定制的端到端网络切片、能力开放的多接入边缘计算、大规模天线系统(Massive-MIMO)、融合化空口、灵活部署的接入网架构等技术实现了5G体系创新,是真正的5G赋能技术。
1.4.1.5 人工智能技术
人工智能(Artificial Intelligence,AI),作为未来十年最具冲击力的科技发展趋势之一,将为各行各业带来巨大变革。随着计算力的进步,算法的精进和创新,以及移动互联网发展下的海量数据积累,在历经六十载沉浮之后,人工智能技术在近十年焕发出新的活力。
美国国防部正在开展多种人工智能应用研究。目前,人工智能研发由各军兵种的研发机构、国防高级研究计划局(DARPA)和联合人工智能中心(JAIC)共同主导。2019年2月12日,在特朗普签署行政命令启动“美国人工智能计划”1天以后,美国国防部网站公布了《2018年国防部人工智能战略摘要——利用人工智能促进安全与繁荣》,其中分析了美国国防部在人工智能(AI)领域面临的战略形势,阐明了国防部加快采用人工智能能力的途径和方法。
美国国防部拟通过慑阻战争并在威慑失败后赢得战争来保护国家。为履行这一使命,国防部始终站在技术进步的最前沿,以确保维持相对对手的持久军事优势,由此衍生出三次抵消战略。其中,人工智能作为“第三次抵消”战略的核心技术,具有重要意义。
在通信领域,随着ICT产业链架构融合的逐步深入、网络云化重构转型的加快及更多新制式和技术的演进,电信运营商在网络运营方面将面临越来越大的压力和挑战,尤其是在如何有效降低运营成本、提升网络运维效率及便捷性、提升业务和资源编排精准性等方面,以人工方式为主的模式已不足以支撑未来网络对高效运营的需求。
近年来,电信运营商在提升网络智能化建设方面持续投入,积极探索和实践包括大数据等在内的高效、智能的分析手段和技术。人工智能在越来越多的复杂场景下可以做出比人类更优的决策,无疑让网络智能化建设开拓了新的视野,给网络的发展带来了前所未有的新机遇,也为电信网络重构转型过程中遇到的众多困难和挑战,提供了高效的加速路径。国外主流运营商在人工智能应用的探索上,纷纷实践各自独特的思路和想法,积极投入跨界创新,通过人工智能、大数据、无人机及IoT等技术的碰撞寻找切入点。在国际运营商方面,AT&T采用创新的UNI(UAS Network Inspection)应用,将无人机同智能运维结合,通过计算机视觉和图像识别技术,利用无人机实现塔台天馈系统的智能巡检和运维派单。德电将智能客服Amelia与T-System相结合,为行业客户提供更便捷的咨询服务等。Vodafone为其网络智能化,提出了智能排障、参数优化、业务预测、射频指纹等重要研究方向。
智能化网络是未来网络发展趋势,网络运营和运维模式将发生根本性变革,网络将由当前以人驱动为主的人治模式,逐步向网络自我驱动为主的自治模式转变。未来,智能化网络将通过网络数据、业务数据、用户数据等多维数据感知,基于大数据、大算力和大算法三大基础能力,实现高度自治。同时,人工智能技术在通信领域的应用是一个长期的系统性工程,需要结合网络现状、云化转型进度、5G及IoT 等新技术引入进程,以及网络演进策略等,分阶段逐步推进。
近年来,深度学习已经在语音识别、图像识别等领域取得突破。深度学习全称深度神经网络,本质上是多层次的人工神经网络算法,即从结构上模拟人脑的运行机制,从最基本的单元上模拟了人类大脑的运行机制。深度学习已经开始在计算机视觉、语音识别、自然语言理解等领域取得突破。
基于深度学习的人工智能技术,核心在于通过计算找寻数据中的规律,运用该规律对具体任务进行预测和决断。源数据需要进行采集、标注等处理后才能够使用,标注的数据形成相应数据集。业务类型主要包括数据采集、数据处理、数据存储及数据交易等环节。
深度学习网络模型的表示规范分为两大阵营。第一阵营是ONNX(Open Neural Network Exchange,开放神经网络交换),是一个用于表示深度学习模型的标准,可使模型在不同软件框架之间进行转移。ONNX由微软和Facebook联合发布,该系统支持的软件框架目前主要包括Caffe2,PyTorch,Cognitive Toolkit和MXNet,而谷歌的TensorFlow并没有被包含在内。第二阵营是NNEF(Neural Network Exchange Format,神经网络交换格式),是由Khronos Group主导的跨厂商神经网络文件格式,计划支持包括Torch,Caffe,TensorFlow等几乎所有人工智能软件框架的模型格式转换,目前已经有30多家计算芯片企业参与其中。
谷歌(Google)是新一轮人工智能革命的领军者,在其人工智能优先(AI-first)战略推动下,正开展全产业链的智能化改造进程。在通信领域,谷歌尝试将机器学习即服务(Machine Learning as a Service)引入网络运维和优化领域,从而减少人工参与,实现自动运维。
思科(Cisco)提出了运用一种基于加强学习算法的逻辑集中控制器,感知数据中心网络,从而最优地利用数据中心和大量的网络资源实现工作负荷部署,为预测网络数据中心流量提供了新思路。
1.4.1.6 内容分发技术
经过多年的发展,通信网络发生了巨大的变化,人们对数据内容本身的需求越来越强烈,因此,内容的获取和分发成了新的应用需求。传统的网络体系结构仍然是端到端的通信模式,对于以发布和获取信息为主的网络,资源位置紧耦合的通信模式已经慢慢不能适应用户需求的变化。内容分发网络(Content Delivery Networks,CDN)能够将资源与位置解耦,成为目前网络研究的热点之一。
CDN是一个资源共享的基础设施,围绕整个互联网络配置,用于将第三方Web内容高效地分发给网络客户。CDN技术通过在网络中多地放置节点服务器,在传统互联网基础上构成了一层智能化的虚拟网络。
CDN的实现机制并没有考虑内容属性,路由请求的过程使用了传统的DNS或者IP任播技术,没有提供在内容上细粒度的控制。ICN(信息中心网络)改变了当前互联网端到端的通信机制,把内容与终端位置分离,通过发布/订阅范式(Publish/Subscribe Paradigm)来提供存储和多方通信等服务。ICN的提出,将用户的关注点由终端改为内容,即用户不再关心从何地去获取自己想要的数据,而只需关心想要的内容是什么。它抛弃了TCP/IP体系结构,从零开始重新设计未来互联网,它将内容和终端的位置分离,用户可以直接用想要请求的数据名字来获取数据,因而在实时性、可扩展性、可靠性、动态性及移动性等方面具有较大的优势。
当前在ICN的研究方面涌现出了不少工程研究项目,主要可以划分为欧、美两大分支。在美国,主要有DONA(Data Oriented Network Architecture)和CCN/NDN(Content Centric Networking/Named Data Networking)等;在欧洲,主要有PURSUIT项目(前身为PSIRP项目)、SAIL项目(前身为4WARD项目)和ANR-CONNECT(Content-Oriented Networking:a New Experience for Content Transfer)等,其中PURSUIT和SAIL由欧盟第七框架(FP7)的资助,ANR-CONNECT由法国国家研究局资助。此外,日本、韩国、德国也纷纷启动了相应的未来网络体系研究计划。
NDN(Named Data Networking)最初由Van Jacobson在2009年提出,并被命名为内容中心网络(Content-Centric Networking,CCN),2010年Lixia Zhang等进一步完善后,改名为NDN。NDN将关注的重点从现有网络的“在哪里”转移到“是什么”,即用户和应用关注的内容,探索以内容/服务为中心的网络体系架构,并使用内容作为沙漏模型的“细腰”。
面向内容的网络体系结构最先由美国学术界提出,该体系建立在明确保护内容安全本身上,内容可以被自动加密,凭借内容名称和相关描述进行内容检索。目前,对CCN的研究主要集中在高校等研究机构,主要包括由美国PARC研究中心提出的“内容中心网络”(CCN),由美国伯克利大学提出的“面向数据的网络体系结构”(DONA),由美国卡内基梅隆大学提出来的“面向数据传输”(DOT),由芬兰赫尔辛基科技大学和赫尔辛基信息技术研究院提出来的“发布/订阅式互联网路由范例”(PSIRP),以及欧盟FP7提出的4WARD、美国斯坦利大学的TRAID等项目,这些项目对CCN的网络架构、流量控制、命名、路由和转发、部署等方面进行了研究。
CCN的路由从传统的端到端转化为端到内容的路由,对此,研究人员提出了诸多的CCN路由解决方案,主要包括基于蚁群的内容位置信息搜索策略,使转发信息库只保留一个端口,以单路径方法完成路由;利用虚拟通道实现Interest包与Data包的快速交互,有效解决了因为大量复制Interest包而造成的网络拥塞;通过随机转发策略,路由节点在FIB表对应的条目中随机选择转发端口进行Internet包转发,有效地减少了数据包冗余流量。
内容分发机制的研究以CCN/NDN最受研究者关注,将内容与终端位置分离,因而具有更优的可扩展性和移动性,当前国际研究的重点集中在内容路由、内容缓存技术等方面。
1.4.1.7 网络认知技术
认知网络(CN)的基础是认知无线电(CR)。认知无线电这个术语首先是由Joseph Mitola在 1999年提出的,在2000年瑞典皇家科学院举行的博士论文答辩中详细探讨了他所提出的这一理论。美国联邦通信委员会(FCC)于2002年发布频谱政策特别工作组报告,报告设定了认知无线电工作组,并于2003年5月在华盛顿成立。学术界如伯克利(Berkley),弗吉尼亚理工(Virginia Tech)等也纷纷开始了对认知无线电的研究。在CR功能的演进过程中存在多种不同的认识。一种认识的代表是以Mitola为首的瑞典皇家科学院,他们强调软件定义无线电(Software Defined Radio,SDR)是CR实现的理想平台。CR使SDR从预置程序的盲目执行者转变成为无线电领域的智能代理。它可通过无线电知识描述语言(Radio Knowledge Representation Language,RKRL),采用基于模式的推理方式与网络进行智能交流,因此其认知功能的实现主要在应用层或更高层。但这种认识缺乏相应的具有认知功能的物理层和链路层体系结构的有效支撑;还有一种认识是以Rieser为首的弗吉尼亚技术中心提出的,他们认为Mitola提出的基于人工智能的认知系统受限于硬件平台的计算能力,且不能够适应快速变化的网络。Rieser指出CR不一定需要SDR的支撑,采用基于遗传算法的生物启发认知模型对传统无线电系统的物理层和媒体接入控制(Media Access Control,MAC)子层的演进过程建模,更适用于可快速部署的灾难通信系统。但他们仅考虑了单个CR引擎节点的操作,没有涉及引擎节点在CR网络中的行为。FCC提出的CR功能是以上两种认识的一个相对简化的版本。它建议任意一无线电只要能够具有自适应频谱感知功能就可称为是CR。针对频谱利用率低的现状,FCC提出采用CR技术实现开放频谱系统,即合法的授权用户(也称主用户)具有高的优先权接入频谱,而具有CR功能的非授权用户(也称次用户或CR用户)可在对授权用户不造成干扰的情况下机会接入频谱。目前CR的应用大多是基于FCC的观点,因此也称CR为频谱捷变无线电、机会频谱接入无线电等。
2005年,美国弗吉尼亚工学院学者首次提出认知网络(CN)的概念,它引起众多学科与不同专业背景学者们的日益重视,成为一门广泛交叉的前沿学科。认为认知网络是指通信网络能够感知现存的网络环境,通过对所处环境的理解,实时调整通信网络的配置,智能地适应专业环境的变化。同时,它还具备从变化中学习的能力,且能把它们用到未来的决策中。在做所有决策的时候,网络都要把端对端目标(end-to-end goals)考虑进去。2006年启动的欧共体研究项目 E2RⅡ增设了专题研究认知网络的工作组。认知网络的行为应符合“OODA”回路,即Observe,Orient,Decide and Act,能够对网络环境进行感知、自适应调整、智能决策和重配置网络。
1.4.1.8 内生式主动防御技术
为破解网络空间安全防御困局,以美国为首的发达国家积极转变防御理念,以主动防范未知漏洞或威胁为目标,以大幅度增加网络攻击风险和代价为手段,着力增强网络防御的灵活适应性与动态自主性,大力寻求“改变游戏规则”的新技术,以理论和技术的革命性创新确保美国在网络攻防能力的压倒性优势,并制定了一系列的战略规划、计划和纲领性文件,开展顶层设计。2011年,美国科学技术委员会发布了《可信网络空间:联邦网络空间安全研发战略规划》,将“移动目标防御”(Moving Target Defense,MTD)确定为“改变游戏规则”的革命性防御技术之一,并制定了由联邦政府、产业界和学术机构如DARPA等共同参与网络安全研发框架,保障研发规划的落实。
1.基本思想
移动目标防御并不试图建立一种完美系统来对抗攻击,相反,其主要思想是:旨在设计能够可靠地工作在非安全环境中的弹性系统,同时大幅增加攻击者的成本,其技术愿景是在多个不同的系统维度上,开发、分析和部署防御者可控的、随时间动态地移动和变化的机制和策略,以限制自身脆弱性的暴露,降低被攻击机会。
2.主要技术思路
移动目标防御通过改变系统一个或多个属性,从而使系统攻击表面对攻击者而言是不可预测的。移动目标防御可以在网络多个层次执行动态变化,具体如图1-8所示,包括IP地址可变、通道数可变、路由和IP安全协议信道可变、网络和主机身份的随机性、执行代码的随机性、地址空间的随机性、指令集合的随机性、数据的随机性等。
图1-8 移动目标防御的动态化
移动目标防御的动态化技术包括动态网络、动态平台、动态运行环境、动态软件和动态数据5个层次,如图1-9所示。
图1-9 移动目标防御的动态化分层
(1)动态网络
不断地改变网络属性,包括地址、名称、端口、回转协议、使用覆盖路由网络、网络拓扑结构等。
(2)动态平台
通过不断改变计算平台属性破坏攻击者攻击链对平台特征的依赖,平台属性包括操作系统、处理器架构、虚拟机、存储系统,以及其他低级环境因素。动态平台可以使应用程序在物理机之间迁移,或者以并行方式在多个环境中执行同一应用。
(3)动态运行环境
对应用程序的操作环境进行随机化,包括地址空间随机化、指令集随机化,其目的在于防御利用应用程序漏洞的攻击方式。
(4)动态软件
在保证功能不受影响的条件下,使应用程序内部状态动态变化。动态软件可以借助多样化实现,如等价替换改变程序的指令序列、重新排列内部数据结构布局,以及程序其他的静态属性等。
(5)动态数据
在确保语义不变的情况下,通过改变数据表示的格式、语法、编码,以及其他属性,从而阻止未授权的使用或访问。
1.4.1.9 网络欺骗防御技术
近年来,网络攻击的数量和复杂性都在迅速增加,攻击者能够利用多种攻击载体(如零日漏洞、软件配置中的缺陷和访问控制策略等)渗透到他们的目标系统中。针对上述问题,研究人员提出了许多解决办法来增强网络和信息系统的安全防护能力,典型的解决方案包括入侵防护、系统加固及高级攻击检测和缓解等。尽管这些传统的安全措施在任何安全防护手段中都必不可少,但它们大多是被动响应攻击者的行为,缺乏在网络杀伤链的早期步骤中就与攻击者进行交互的手段,导致防御者始终处于被动地位。
20世纪80年代末,斯托尔首次讨论了如何利用欺骗技术来跟踪入侵者,以确保计算机安全,并在此基础上形成了蜜罐的概念。为了吸引潜在的攻击者,蜜罐把自己伪装成可能被利用的服务主机,通过收集和记录攻击者破坏蜜罐的方法,防御者可以使用学习到的知识来增强系统安全性。近年来,出现了不少利用欺骗技术来迷惑或误导攻击者的技术手段。网络欺骗防御技术可用于保护易受攻击的业务系统,并因其自身的优势而受到了安全防御人员的关注。Springer出版社分别于2016年和2019年出版了Cyber Deception和Autonomous Cyber Deception两部学术著作,汇集了最新的网络欺骗技术相关的研究成果,CCS、NDSS、USENIX Security等国际安全会议上也持续有相关的学术论文发表。
当前网络系统的确定性、静态性和同构性等特征,使攻击者可以通过探测等手段获知目标的信息,对目标系统的脆弱性进行反复的分析和渗透测试,从而找到对应的策略。Gartner对欺骗技术的描述为:欺骗技术使用骗局或假动作来阻挠或推翻攻击者的认知过程,扰乱攻击者的自动化工具,延迟或阻断攻击者的活动,并通过使用虚假的响应、有意的混淆及假动作、误导等伪造信息达到“欺骗”的目的。
网络层的欺骗防御技术考虑的是如何在网络中部署欺骗节点,以及如何有效隐藏己方设备,目前主要用于应对三类典型威胁:网络指纹探测、网络窃听、网络渗透。
网络指纹探测通常发生在攻击的早期阶段,在攻击链的侦察阶段,攻击者通过指纹探测和扫描获得网络拓扑结构和可用资产的信息。通过干扰侦察阶段即可混淆侦察结果,例如将恶意流量重定向到模拟网络上真实终端行为的网络上,创建黏性连接来减缓或阻止自动扫描和迷惑对手。另外一种欺骗防御方式就是通过错误响应扫描查询来误导攻击者,通过随机连接跳转和流量伪造来随机化指纹探测的技术,从而改变目标网络的拓扑结构,达到迷惑攻击者的目的。
为了防止网络渗透,目前主要的欺骗方式是设置虚假资产来增大目标空间,进而分散攻击者对真实目标的注意力。如DTK工具可以通过生成多个虚假服务和网络IP地址来欺骗攻击者,诱使他们攻击虚假目标。或者通过周期性重新映射网络地址和系统设备之间的绑定来改变网络拓扑,从而隐藏真实的系统设备。有学者提出了网络地址随机化的解决方案,使用动态主机配置协议给每个主机重新分配网络地址,以使带有目标列表的蠕虫失效。也有研究人员为网络上的每个主机创建一个独特的虚拟网络视图,在该视图中隐藏存在的资源、模拟不存在的资源,使得每台主机看到的网络视图都是变化的,降低攻击者所收集到的目标网络信息的价值。
1.4.1.10 天地一体化信息网络
美国国家航空航天局(NASA)与美国军方相继提出了“空间通信与导航体系结构”(SCaN),“转型通信体系”;俄罗斯也提出建立军民两用卫星综合信息网——多功能卫星通信和远程地球监视系统(Restelesat),该系统由115颗卫星构成,通过星间链路将侦察与通信融为一体,可同时完成通信和对地观测的任务,以提高系统的快速反应能力和信息利用的时效性。欧洲国家合作推出“多国天基成像系统”“伽利略系统”,预计在2020年前后投入使用;日本2013年1月提出《宇宙基本计划》,指导未来5~10年航天发展,各国竞相争取在天基信息网络领域占据优势。
美军转型通信卫星TSAT系统,由5颗GEO卫星组成,星间通过激光链路组成10Gbps的骨干网络,与其他目标或子网通过电路交换或分组交换的方式接入,属于典型的“主干-接入”网络。
美军为实现其全球战略,构建了以全球联网的9个地面电信港为依托,以37颗高轨军事通信卫星为主体,以铱星低轨移动通信星座等商用通信卫星为补充的天地一体化信息网络,可实现多个网络的互联互通,全球多重覆盖,支撑全球任意两点间的信息传输和多个节点的信息协同,从信息获取到决策行动已做到了实时,即所谓的“发现即摧毁”。美国总统足不出户,就可以实时指挥、全程见证万里之外的本·拉登抓捕行动。
在民用方面,国际海事卫星组织INMARSAT于1979年成立,后更名为国际移动卫星通信公司,现已成为集海、陆、空等商用移动卫星通信业务的领头军,全面提供海、陆、空等移动卫星通信和信息服务。目前该公司已构建了8颗高轨海事卫星和22个地面互联的关口站组成的天地一体化信息网络,与移动通信网、地面互联网互联融合,可为海、陆、空各行业用户提供全球化、全天候、全天时、全方位的通信服务,已实际形成了对全球的民航空中交通管制、船舶海上交通管制的通信保障。
“国际移动卫星”的最大特点是采用了“封闭式”一体化设计理念。所谓“封闭式”是指运营商包揽了从卫星到地面网络的所有基础设施投资,星地系统完全依照其需求进行一体化设计,并由运营商负责运行管理与监测控制。这种模式下,整个系统对服务提供商来说是封闭的。
“全球快讯”网络采用星型拓扑结构,3颗卫星通过单设的馈线波束统一接入地面网络,卫星没有星上交换能力,所有的用户业务流量都必须通过国际移动卫星公司专门配建的卫星接入站传输,卫星接入站的Hub和网络管理系统均按照其需求进行设计和集中配置,国际移动卫星公司对网络具有最高控制权。
从网络架构来看,“全球快讯”是一个端到端基于IP的网络,分为骨干网和接入网两部分。骨干网部分利用现有网络基础设施,通过多协议标签交换(MPLS)环网连接全球的卫星接入站(SAS)。环网路径选择在与国际移动卫星公司保持合作关系的国家。而服务提供商、固定用户、企业专网及内容提供商等,都通过环网上专设的接入点(MMP)接入骨干网。同时,为了实现高速数据传输性能,骨干网还采用TCP加速、本地高速缓存等优化技术,与QoS引擎紧密配合提升网络整体的运行效率。接入网部分,则主要由各类用户终端通过国际移动卫星-5卫星实现网络接入。需要指出的是,通过对现有用户终端和卫星接入站功能模块的升级改造,第四代L频段网络可作为备用网络,在“全球快讯”出现故障无法正常工作时,实现自动切换。
Jay Hicks等从体系结构层面描述了通过转发卫星传输IP业务TIPSOTS。TIPSOTS体系结构概念打破了传统的卫星通信与网络独立的概念。
1.4.1.11 未来网络技术
目前,未来网络的研究正在全球范围开展,包括美国、欧洲、亚洲的多个国家和地区均在未来网络领域展开了持续性研究。未来网络技术不仅在学术领域有着广阔的研究空间,而且在产业化方面也具有巨大的市场前景,同时也涉及国家核心利益与信息安全,因此各国政府都高度关注该领域的发展,并启动了一系列相关的重大项目和研究计划。
1.全球网络创新环境
全球网络创新环境(GENI)是美国国家科学基金会(NSF)于2005年8月22日制订的计划,该计划以探索全新的互联网架构从而建立全球性创新网络环境与研发新的网络体系架构,大大提高网络安全和可信能力、分布式系统体系结构能力。GENI体系结构期望体现以下基本特征:
①良好的安全性和可管控性、鲁棒性;
②允许任何不同大小的计算设备(不仅是PC,还包括传感器和内嵌处理器等设备)与该新网络连接;
③能实现对其他重要基础设施必要的控制与管理;
④引入一些技术使网络变得更有弹性、更容易管理、便于业务提供商更好地传送信息流和提供先进合理的新业务,使之操作简便及适用性强。
GENI三层体系结构如图1-10所示,自上而下分别是用户服务层、GENI管理核心(GMC)和物理层。
图1-10 GENI网络体系架构
GMC通过设计可靠、可预测、安全的体系结构,利用抽象、接口、命名空间同GENI体系结构绑定起来。考虑到物理层和用户服务层具有动态变化性,为快速、高效地同其连接,GMC定义了一套瘦小机制,使其既能支持和适应物理层和用户服务层的发展,同时也能独立发展,以适应GENI整体发展需求。物理层通过提供物理链路,使用物理设备(如路由器、处理器、链路、无线设备等)实现网络内部节点之间的互联互通。用户服务则通过提供服务访问接口,实现用户对GENI的访问,同时用户服务层具有可扩展性,能让服务在其生命周期内不断发展。
目前,GENI参考了OpenFlow技术,其设计中引入了切片化、虚拟化和可编程思想,按照需要支持的业务类型虚拟地将网络节点设备划分资源和处理能力。GMC层抽象分为组件、切片和聚合三个模块。在逻辑上,这三个模块也可以被看成三个抽象的层,自下而上分别是基础层、汇聚层和切片层。基础层由组件(物理资源、逻辑资源和同步资源)和这些组件的管理软件组成,基础层的组件一部分对研究者来说是不可见的。而汇聚是基础层组件的高层表征,一个汇聚是对研究者可见并可以统一管理的组件集合。切片是一个可编程元素组成的分布式网络,这些元素可以来自一个聚合,也可以来自不同的汇聚。
2.FIRE
FIRE(Future Internet Research and Experimentation)作为FP7项目的一部分于2007年年初启动,目标是通过逐步将现有的和未来的互联网技术试验平台进行联合,建设一个动态的、可持续的、大规模的实验基础设施平台。FIRE包含2个关键的联邦性项目OneLab和Fed4Fire。OneLab在2007年与PlanetLab合作在欧洲搭建了试验床PlanetLab Europe,并作为FIRE主要的通用试验床,OneLab目前已与NitLab的无线网络试验床NITOS、IoTlab的物联网试验床联邦互联,使用统一的工具向实验者开放。Fed4FIRE是2012年成立的联邦性项目,目标是将FIRE下的不同领域的各类试验床进行联邦,本身不进行试验床的开发,而是与其他试验床研发机构共同协商制定联邦标准架构和相关的实现方案,最终向用户提供单一的入口和实验工具,支持建立大规模和异构的实验网络。目前已联邦的试验床包括OneLab下的3个试验床、云计算试验床BonFire、OpenFlow试验床OFELIA和物联网试验床SMART SANTANDER等10多种试验床。
FIRE的主要研究内容包括:网络体系结构和协议的新设计;未来互联网日益增长的规模、复杂性、移动性、安全性和通透性的解决方案;在物理和虚拟网络上的大规模测试环境中验证上述属性。
FIRE和GENI有着很多相似之处。它们都关注如何搭建试验环境为理论研究提供证据支持。FIRE也希望通过螺旋式的部署方案,突破地理限制,建立全球性的大规模试验环境;FIRE同样采用虚拟化思想,该技术将独立存在的资源和设施联系起来;FIRE同样也具有联盟和跨学科等特点。
3.MobilityFirst
MobilityFirst是由罗格斯大学牵头的未来网络研究项目,其目标是建立支持无缝、平滑移动性的网络支持,解决传统互联网对移动性支持差的问题。该项目同时提供移动P2P(Peer-to-Peer)和容延迟网络(Delay-tolerant Network),充分利用网络资源以实现移动端之间的通信。该项目将全局唯一名字(Globally unique name,GUID)与网络地址(Network Address)进行分离,并建立了从GUID到网络地址的映射。该项目下一步将引入普适计算,力图提供可感知上下文的计算模式。
4.NEBULA
美国宾夕法尼亚州大学牵头开展了NEBULA项目的研究。该项目的目标是建立一个以云计算为中心的网络架构,如图1-11所示。该架构包括提供可靠与可信任核心网络交换数据中心,用来提供海量的数据服务。支持在多数据中心进行服务的选择,尽量选用靠近用户方的数据中心。NEBULA提供了多路径传输、基于策略的可控路由等机制,提供高效的融入存储、计算的网络路由方法。
图1-11 NEBULA网络架构
5.AKARI体系结构
AKARI是日本关于未来网络的一个研究性项目,旨在建立一个全新的网络架构,AKARI不仅是对未来互联网整体架构的设计,并且试图指明未来互联网技术的发展方向,希望通过工业界和学术界的合作,使新技术的发展能够快速应用到工业化的产品中去。
在AKARI看来,未来网络的发展存在两个思路,即NxGN(Next Generation Network)和NwGN(New Generation Network)。前者是对现有网络体系的改良,无法满足未来的需要;后者是全新设计网络体系架构,代表未来的方向。作为日本NwGN的代表性项目,AKARI的核心思路是:摒弃现有网络体系架构的限制,从整体出发,研究一种全新的网络架构,来解决现今网络的所有问题,满足未来网络需求,然后再考虑与现有网络的过渡问题。AKARI强调,这个新的网络体系架构是为人类的下一代创造一个理想的网络,而不是仅仅设计一个基于下一代技术的网络。为此,AKARI确定了设计遵循的3个原则:
(1)KISS(Keep It Simple Stupid)原则。新的网络架构要足够简单。具体研究中要贯彻3个基本理念:透明综合,在选择和整合现有技术时要以简单为首要条件,剔除其过于复杂的功能;通用分层的思想,新型网络架构要采用层次结构,各层功能要简单,并保持独立性;端到端原则。
(2)真实连接原则。新型网络体系架构中,实体的物理地址和逻辑地址各自独立进行寻址,要支持通信双方的双向认证和溯源,确保连接的真实性和有效性。
(3)可持续性和进化能力。新型网络体系架构应该成为社会基础设施的一部分,必须考虑今后50~100年甚至更长时间的发展需要,因而体系架构本身应该是可持续发展的,具有进化能力的。
AKARI研究了大量的技术方案,其中的15个方向是其新网络体系架构的重点研究内容:光包交换和光路技术、光接入、无线接入、包分多址、传输层控制、主机/位置标识网内分离架构、分层、安全、QoS路由、新型网络模型、健壮控制机制、网络层次简化、IP协议简化、重叠网、网络虚拟技术。
6.NGN-SIDE
ITU提出了NGN开放服务环境(Open Service Environment,OSE),在NGN网络上提供服务管理、服务协作、服务注册、服务发现、服务开发支持、服务合成等功能,为NGN服务及其他第三方服务提供一个开放、灵活的服务生成环境。ITU进一步在2011年发布的Y.2240中和2013年发布的Y.2025中提出了NGN-SIDE架构。NGN-SIDE功能架构分为3个层面,分别为NGN-SIDE用户层、NGN-SIDE功能层和NGN-SIDE资源层。其中,NGN-SIDE功能层是其核心部分,提供NGN-SIDE的各种功能,由NGN-SIDE集成层和NGN-SIDE适配层构成。
1.4.1.12 国外军用电子信息系统
GIG是美军未来军事电子信息系统发展的总体目标,GIG的目标是提供信息传输、处理、安全保密、分发、端对端的连通和管理业务,以及各军种、联合部队间和联盟部队间的互操作能力,从而实现信息优势、全域(谱)优势,达到增强网络中心战作战效能、推动网络中心战发展的目的。美国国防部出版的《全球信息栅格(GIG)体系结构视图》,描述了一个能够快速有效地接受作战、系统和技术变化的目标GIG,定义了为响应变化的任务需求而实现新技术的过程,为美国国防部发展面向服务的国防部企业视图提供指导,即强调以网络为中心、面向服务,推进GIG重大转型。美军认为,21世纪安全挑战的主要特征是多变性和不确定性,应对这种不确定性的根本方法是提高系统体系结构的灵活性。
GIG体系结构小组于2003年8月正式发布《GIG体系结构2.0》,它采用面向服务的体系结构(SOA)技术,从顶层进行了统一规划,是一个能够向前沿用户提供即插即用、按需服务的信息优势实体。在GIG不断发展过程中,美国国防高级研究计划局(DARPA)以美国国防部“全球信息栅格(GIG)体系结构视图”为指导,开展了“新型网络体系架构”(NEWARCH)等研究项目,提出美军下一代网络体系结构的设计原则,如面向变化的设计、可控制的透明性能等,并已取得无全局地址空间互操作方法(FARA)、用户控制的路由体系结构(NIRA)、显式的拥塞控制机制XCP,以及基于角色的体系结构(RBA)等研究成果。美军未来的发展重点是根据国防部统一制定的GIG体系结构顶层文件,推进各军兵种的升级改造,以实现陆、海、空三军多个系统的互相融合,并加快推进美军下一代网络技术的试验及系统化和标准化研究工作。为了实现战场信息资源的一体化管理、交互和共享,美军GIG项目提出了栅格化的网络服务概念,并于2004年启动了网络中心企业服务(NCES)计划,旨在为GIG上层应用提供核心服务平台。美军基于GIG思想提出了网络运作(NetOps)概念,寻求建立一种以网络为中心的网络作战能力,将GIG作为一项统一的、灵活的系统来动态地运作和防卫,对多个同时执行的任务做出积极的响应。
2011年1月,美军发布了《GIG体系结构3.0》,主要以信息安全为角度考虑GIG体系结构,具有如下几个特点:由作战网络区域(OND)定义的赛博联合作战结构(Cyber JOA);飞地结构使得深度防御、信息灵活共享成为可能;采用多飞地客户端完成信息情报有效接入;采用指挥控制(C2)赛博空间作战相关的人事、训练、武器和战术。
按照美国国防部的指导意见,美国国防信息系统局(DISA)和赛博司令部(CYBERCOM)已开始正式使用国防部信息网络(DoDIN)一词取代GIG,用于表示国防部的信息基础设施。DoDIN综合了一系列信息能力及相关的为作战人员、政策制定者和支援人员(不管他们是互联在一起还是独立的)按需收集、处理、存储、分发和管理信息的流程。DoDIN包括国防部拥有和租用的通信计算系统及业务、软件(包括应用)、数据、安全业务、其他相关的业务及国家安全系统。其信息能力在国防部内和非国防部任务合作伙伴之间实现对信息与业务的访问、交换和使用,最高目标是实现信息优势、决策优势和全频谱主导权。
联合信息环境是美军在新形势下提出的顶层战略构想。美军《国防信息系统局(DISA)战略规划(2013—2018)》确定美军将开发统一的、协作的、安全的联合信息环境,将通信、计算机和企业服务集成到一个适用于各部门所有任务的单一联合平台,优化国防部IT资产的使用,使DISA合作伙伴在任何地点,利用任意授权IT设备更有效地接入企业信息资源执行其任务。
联合信息环境是美国国防部着力推进的一项为期多年的信息技术现代化计划,目的是构建一个简单、联合、安全、可靠并且灵活地提供命令、控制、通信和计算的企业信息环境。美军认为,信息已成为一种战略资产,同时面对大量各种各样复杂的信息共享挑战。因此,希望在整个作战频谱内,为联合部队及非国防部的任务合作方提供一个安全、可靠、灵活的国防部范围内的信息环境。国防部正在实施重新调整、构建、统一和标准化工作,解决其IT网络、系统和业务如何构建、运行和防御的问题,主要内容包括:优化的网络;安全、可防御、冗余的弹性环境;开放式体系结构;共享的IT基础设施与企业服务;身份访问管理。
JIE是国防部IT现代化的框架,为国防部网络的统一和标准化提供设计和体系结构,其组成包括在整个国防部范围内实施的顶层体系结构、通用的运行与防御方式、以及通用的工程方案设计。JIE将为国防部增强数据访问和信息共享能力,提高任务效率,增强安全性并优化资源与IT效率等。
2015年,美国在《网络与信息技术研究发展计划》中提出了改变“游戏规则”的主动防御战略,通过“可裁剪的可信空间”“移动目标防御”“本质安全设计”和“保障任务”技术的研究,以期达到彻底改变网络空间安全威胁根源的目的。其中,在“保障任务”技术研究中,主要就是通过构建安全、弹性的网络架构,降低攻击者攻击的成功率,增加攻击者的开销和不确定性,实现对未知攻击的有效遏制。
美军发布的《塑造美国陆军2025—2040网络》,公布了美国陆军实现企业网络现代化的长期战略指南。该文件指出:实现动态传输能力解决方案需要陆军开发一种可编程网络架构,提高网络连接能力;到2040年,美陆军将已经实现软件定义数据中心(SDDC)体系;陆军还可实现网络功能虚拟化(NFV)作为网络服务设计、部署和管理架构;美陆军将重点研发和创建一种可以支持有连接、半连接或无连接行动的更鲁棒的机-机通信、发现和缓存体系。
1.4.2 国内研究现状
1.4.2.1 SDN/NFV技术
在国内,清华大学、上海交通大学、北京邮电大学、西安交通大学等高校较早地参与并跟进OpenFlow使能的SDN相关技术研究。清华大学侧重于网络源地址有效性验证、IPv6支持、网络安全、无线嵌入式OpenFlow/MPLS技术及未来网络体系结构创新环境(FINE)等方面的研究;上海交通大学针对网络虚拟化、网络可扩展性等方面开展了面向数据中心的SDN研究;北京邮电大学侧重于光网络基于OpenFlow的统一控制面研究。为深入开展软件定义光网络(SDON)等方面的研究工作,国家“863”计划/“十二五”国家宽带网重点专项适时启动了“新型超大容量全光交换网络架构及关键技术研究”项目(简称AONI项目),重点围绕灵活光组网等4项关键技术内容开展深入研究,目前已在SDON的体系结构、弹性切片、光即服务、多域控制、资源虚拟和实验平台与功能验证等方面取得了重要进展。
国内的设备厂商、运营商在前沿网络研究方面以SDN解决方案为主,旨在打破传统网络间的隔离,构建开放、弹性的新型网络体系架构。一些公司提出了基于SDN/NFV技术构建未来网络的架构,能够搭建满足多样化功能和需求的开放网络。在这一网络架构下,网元之间的耦合被打破,网络不再是“烟囱”型的网络,而成为横向打通的、向业务开放的、软件化的网络,它无论从管理、服务,还是商业模式支持上都可以为用户带来更佳的体验,并大幅度降低网络的建设和维护成本。
1.4.2.2 可重构网络技术
在“十二五”期间,国内通过预先研究对虚拟化路由交换体系架构进行了积极的探索,突破了虚拟路由交换、控制与转发分离、可重组数据转发等关键技术,研制成功了相关的原理样机。“十三五”期间国内开展了通信网络适变体系基础问题相关研究,重点解决网络多域认知、敏捷重构和集约服务等科学问题和理论研。面向复杂环境、多样化用户需求和快速发展的信息技术,提出网络体系结构的适变机理,构建具备“多域认知、集约服务、敏捷重构”能力的体系结构模型,增强通信网的适变能力。
1.4.2.3 物联网技术
我国是物联网发展起步较早的国家之一。目前,中国与德国、美国、英国、韩国等一起成为物联网国际标准制定的主要国家,我国传感网标准体系框架已初步形成。“加快物联网的研发应用”也于2010年3月第一次写入中国政府工作报告,被列入中国国家级重大科技专项,成为国家五大新兴战略性规划之一。目前,物联网在我国的发展形态主要以RFID、M2M、传感器网络三种为主。在RFID方面,已经成功应用于物流、城市交通、工业生产、食品追溯、移动支付等方面,特别是随着3G及后续网络开始运营,各运营商推出了移动支付方式;在M2M方面,电信运营商积极开展M2M应用,发展M2M业务,在智能楼宇和路灯监控等方面得到广泛应用;在传感器网络方面,我国取得了国际标准制定的话语权,具备了发展传感网的产业基础,在电力、交通、安防等相关领域的应用也初见成效。
1.4.2.4 5G技术
我国对5G的研究起步较早,2013年2月成立了IMT-2020(5G)推进组,2015年9月启动5G技术研发试验,至2018年年底,基本完成关键技术验证、技术方案验证和系统验证工作。
2017年6月,工信部就6GHz以下频段(Sub-6G)频谱应用于5G征求产业界意见,2018年12月三大运营商获得Sub-6G中低频段试验频率使用许可。三大运营商已经公布5G商用计划,在全国多个城市启动5G网络建设和规模组网试验。
1.4.2.5 人工智能技术
人工智能技术的优势如何在通信领域得以真正切实的体现,需要以合适的落地场景为抓手。
华为提出了意图感知网络(Intent-based Network),其诺亚方舟实验室对外公布了他们的最新研究成果—全球网络通信业界首个基于机器学习的网络大脑(Network Mind),其技术核心是基于在线深度强化学习,利用深度学习的强大抽象表达能力及强化学习的自我适配、自我进化能力,让网络具有基于数据自我学习、自我更新的特性,进而实现网络控制管理的自动化和智能化。
阿里巴巴结合核心业务增长诉求和基础架构的长期发展战略,构建了阿里骨干网流量调度系统NetO,该系统融合了包括Segment Routing在内的很多业界前沿技术,提出创新性的流量调度系统和策略,并结合阿里自主研发的控制技术和大数据分析系统,支持高度灵活的网络资源调度,和可视化、自动化的网络运维环境,通过虚拟网络的资源池化来支持业务灵动。在骨干网流量调度、ISP出口调度和全局路径优化方面的能力已达业界领先水平。
此外,国内联通、电信、移动三大运营商都在全面开展人工智能电信网改造技术研究。计划从SDN/NFV网络人工智能应用体系结构、网络服务智能化部署、智能网络控制和流量调优、基于热点事件的网络智能化监控与资源调度、网络业务的健康度分析预警、面向IDC网络的人工智能引擎等方面着手,启动网络人工智能应用框架及面向具体应用场景网络人工智能解决方案研究和概念验证。
1.4.2.6 内容分发技术
国内对于内容分发技术的研究主要集中在学术领域。一些大学对CCN的路由机制、名字路由的高速查找和存储等核心问题进行了深入探索,针对名字路由表规模大、复杂度高、更新频率高的特点,提出了一种基于布隆过滤器的快速名字查找方法,同时设计了一种多步进对齐转移数组(Multiple Aligned Transition Array,MATA)的查找结构和算法,利用GPU的大规模并行处理能力加速名字查找,为商用内容中心网络路由器的研制提供了理论基础和技术方案。
1.4.2.7 网络认知技术
认知网络是认知无线电技术在系统和网络高度的扩展,认知网络广义上不只限于无线网络,而是适用有线和无线均可的网络范围。
认知网络的主要特征是具有认知过程,能感知当前网络条件,然后依据这些条件做出规划、决策和采取动作的网络。认知网络具有对网络环境的自适应能力,具有对于以前决策的评判和未来决策判定的学习能力。认知无线电网络可以看作是认知网络的一种具体实现形态。
我国从“十二五”开始,开展了认知环境多域认知、认知智能决策、认知网络重构技术、基于网络管理技术的网络认知技术等一系列相关研究研究,对信息网络认知的理论、方法,以及与网络管理技术相互融合的可行性进行了研究。
认知网络与认知无线电的明显区别之一是认知环境发生了变化,从无线环境拓展到网络环境与用户环境,形成多域环境。其每一域都包含种类繁多的认知信息,且域内域间的认知信息之间还存在错综复杂的关系。多域认知是指对多域环境的认知,要解决如何实现认知信息的海量摄入、认知信息的传递融合、认知信息的挖掘利用。多域认知是认知网络首先需要解决的关键问题。涉及的主要技术问题包括:多域认知模型与认知方法,多域认知信息的获取、传送、融合和挖掘技术,网络环境参数快速感知、网络全局感知信息快速融合处理和网络全局环境态势(含网络安全态势)生成技术。
认知智能决策就是利用辅助决策软件系统支持来解决非结构化和半结构化问题的认知决策,主要包括决策支持系统、专家系统、机器学习、效能评价等。认知网络是一个具有智能的主体,可以将人工智能理论、机器学习、推理机制引入认知网络决策系统,使认知网络能够实现环境自适应。涉及的主要技术问题包括信息网络资源虚拟控制机理,基于网络认知信息对可重构网元/网络操作行为的快速决策机制,敏捷可重构网元与网络的智能化管理与配置技术。
认知网络的实现最终要落实到实体的重配置。重配置的对象包括终端重配置、网络重配置、服务重配置。重配置的作用范围:单个节点、端到端重配置(即覆盖端到端路径上的所有网络节点,其复杂度和重要性要高于单一的终端重配置)。涉及的主要技术问题包括:信息网络路由方式和连接方式等要素的可重配置技术,基于可调整参数或软件可编程平台的路由交换实现技术。
传统的网络管理系统的三方面主要功能:综合监视、分析规划和决策、实施网络控制流程与认知网络“OODA”的回路具有较好的融合度,把网络管理的概念和技术加入网络认知与重构研究中,可以探索一种基于网络管理技术的信息网络认知与重构的方法。基于网络管理技术的信息网络认知与重构的模型系统主要由三部分构成,网络环境感知系统、智能决策系统和网络控制(重配置)系统,构成基本的认知网络“OODA”的回路。
1.4.2.8 内生式主动防御技术
我国网络防御技术的研究工作虽起步较晚,但随着网络空间安全形势的日益严峻,国家对网络安全工作愈发重视,在国家创新驱动发展战略推动下和国家、部市科技计划的大力支持下,近年来我国网络动态防御技术取得了诸多重要进展:信息工程大学在拟态计算的基础上,独创了“网络空间拟态防御”。
(1)基本思想
拟态防御以多维动态重构、策略调度与裁决机制、闭环反馈控制等机制为核心,在网络、平台、运行环境、软件和数据等层面创建动态异构冗余空间,使目标对象“网络防御环境和行为难以预测”,造成非配合条件下多元目标协同攻击困境,大幅度提高攻击的难度与代价,降低未知漏洞和后门的可利用性,显著降低网络空间安全风险。
(2)主要技术思路
拟态防御创造了“动态异构冗余—多模裁决—异常清洗”的网络防御新模式,如图1-12所示。
对于拟态界内被保护的功能过程,动态异构冗余构造建立和动态调度功能等价的异构执行体集合,从时间、空间两个维度上动态改变系统功能与实现结构之间的对应关系,使攻击者对目标对象的结构、运行环境等陷入迷茫,探测感知或预测防御行为的难度呈非线性增加;多模裁决对异构冗余执行体的输出矢量进行表决,产生正确的输出响应,并裁决出“与众不同”的可疑执行体,从而将攻击事件转换为对防御者而言概率可控的可靠性问题,迫使攻击方必须面对非配合条件下对动态目标实施协同一致攻击的挑战;此外,防御方实时对攻击效果进行度量和评估,形成闭环反馈,有策略地执行清洗和多维动态重构,使得攻击者视在的防御场景更趋动态复杂,攻击经验无法复制或继承,呈现出对目标体结构和运行环境的“测不准”效应,攻击行动无法产生可规划、可预期的效果。这些机制对传统攻击理论和方法将产生颠覆性的影响,大幅增加攻击难度和成本,从根本上改变“易攻难守”的攻防格局。
图1-12 拟态防御的动态异构冗余构造
信息工程大学团队联合国内优势团队,积极拓展拟态防御的应用领域,开展拟态路由器、拟态Web服务器、拟态DNS、拟态软件定义控制器、拟态操作系统、拟态工控系统、拟态交换芯片、拟态文件系统与存储系统、拟态交换机和拟态云平台等。
1.4.2.9 网络欺骗防御技术
对于网络欺骗防御,国内也一直关注该领域的研究,并且取得了一定的进展。在学术研究方面,贾召鹏等人对网络欺骗的发展现状进行了综述,并针对Web应用的欺骗防御、无线设备的欺骗防御等技术进行了探讨。许书彬等人研究了利用SDN技术进行网络特征动态隐藏的方法。马多贺等人提出了一种基于协议无感知转发技术的移动目标防御方法,通过私有协议分组随机化策略和动态路径欺骗分组随机丢弃策略,大大提高攻击者实施网络窃听的难度,保障网络通信过程的隐私性,并从欺骗覆盖度和带宽消耗两个计算维度进行分析,通过实验验证和理论分析证明了该方法的有效性。
徐明迪等人针对现有SDN主动防御框架中缺乏考虑网络瓶颈的问题,提出了基于SDN的分布式欺骗防御系统,使用多层划分算法将物理网络设备划分为不同区域,为每个区域设计不同的欺骗拓扑和针对攻击方侦查行为的欺骗策略,最后各区域按照相应的策略完成对攻击方侦查行为的欺骗。其实验结果依据主机发现率为评估方法,验证了该系统能够有效防御攻击方的侦查行为,而且为构造分布式系统的而设计的区域划分不会对网络性能产生过多影响。
1.4.2.10 天地一体化信息网络
在天地一体化网络方面,我国天基信息网、互联网、移动通信网发展很不平衡,呈现“天弱地强”的特征。天基方面,卫星系统独自建设,条块分割十分明显,卫星数量严重不足,卫星类型比较单一,更为突出的是,卫星没有实现空间组网。我国在轨卫星的数量并不多,同时覆盖范围仅限于国土及周边地区,信息服务能力较差,通信容量也十分有限。近年来,空间信息网络日益成为国家、航天领域专家学者共同关注的热点。
1.4.2.11 未来网络技术
我国非常重视未来网络关键理论和技术的研究,在“十一五”计划期间启动了一系列相关科研项目工作,包括国家973、国家自然科学基金、国家863、发改委CNGI等项目。这些项目有力支撑了下一代网络基础理论、关键技术突破、推广应用等方面研究,在新一代互联网体系、高可用网络体系结构、可信可控网络、一体化可信网络、可测可控可管的IP网领域进行了不少前瞻性的探索与实践。
在国家“十二五”科技和发展规划中,“前沿技术研究”将智能感知与交互、普适服务、人机物交互等作为未来网络研究的核心关键技术。2007年启动的国家973项目“一体化可信网络与普适服务体系基础研究”提出了一体化标识网络体系架构,有效地解决了互联网架构方面存在的一些关键问题,并对网络和服务智慧化进行了十分有益的研究。2008年国家973计划资助了“新一代互联网体系结构和协议基础研究”项目,研究新一代互联网体系结构与协议。2012年度国家973计划支持了“面向服务的未来互联网体系结构与机制研究”和“可重构信息通信基础网络体系研究”两个项目。2013年国家973计划又支持了“智慧标识网络理论基础研究”等4项未来网络体系结构和创新环境研究项目,期望能进一步加强我国在未来网络领域的研究,尽快与国际水平接轨。
2019年正式对外公布的国家网络创新基础设施(China Environment for Network Innovations,CENI)是一个计划覆盖全国40个主要城市的新型网络环境项目,由可编程虚拟化路由器作为核心设备,通过量子网络和光网络互联,连接高速移动网络,构建数据分发云计算系统。设施由支持软件定义的数据交换、测量感知、资源管控三个平面组成,设施可分为编程物理网络、虚拟网络、试验验证系统三个层次。通过可编程虚拟化机制,支持128个用户自定义的异构网络体系结构的并行试验;通过联邦机制,实现网络资源的广泛互联与相互调用。CENI试验设施由网络运营中心、物理基础平台、运营与基础平台、应用试验平台等部分组成。
国家863计划针对未来网络体系结构进行了研究,采用创新理念和技术路线,研究内容中心网络等各种新型网络体系结构和新协议,并搭建了未来网络体系结构的创新试验环境。