于成曉　劉剛　張宏科

摘要：介紹了智慧標識網絡（SINET）的基本原理，重點分析了SINET的資源動態(tài)適配機制在安全性方面的解決方案，提出了動態(tài)適配安全防御總體架構和具體機制。理論研究和實驗表明，智慧標識網絡動態(tài)防御機制可靈活調度網絡資源、智慧服務遷移，從而較好地應對一些網絡安全攻擊問題。

關鍵詞：SINET;未來網絡;動態(tài)安全防御;資源適配

Abstract： In this paper， the system model and design principles of smart identifier networks （SINET） are introduced， and the application of security in dynamic resource adaptation is analyzed. Then the dynamic adaptive defense architecture and mechanism are proposed. Theoretical research and practical deployment both prove that SINET dynamic defense mechanism can flexibly schedule network resources and intelligent service migration， so as to better cope with some network security attacks.

Key words： SINET; future networks; dynamic security defense; resource adaptation

現(xiàn)有互聯(lián)網起源于20世紀60年代，采用“沙漏模型”的設計思想，具有“三重綁定”的特征，即服務的“資源和位置的綁定”、網絡的“控制和數據綁定”以及“身份與位置綁定”。隨著用戶規(guī)模的增長和多媒體應用的增多，傳統(tǒng)互聯(lián)網已經逐漸暴露出來以上各種弊端。這種網絡體系和機制是相對靜態(tài)和僵化的，無法從根本上滿足信息網絡的高速、高效、海量、泛在等通信需求。

未來網絡體系架構已成為世界各國信息網絡領域的研究熱點。美國自然科學基金委的全球網絡創(chuàng)新環(huán)境（GENI）[1]、未來互聯(lián)網設計項目（FIND）[2]計劃，以及歐盟的未來互聯(lián)網研究和試驗（FIRE）[3]計劃等。此外，美國自然科學基金委的未來互聯(lián)網體系架構（FIA）項目資助的命名數據網絡（NDN）[4]、泛在移動（MobilityFirst）[5]、星云（NEBULA）[6]、富有表現(xiàn)力的互聯(lián)網架構（XIA）[7]等重大項目，美國開放網絡基金會發(fā)起的軟件定義網絡（SDN）研究和歐洲電信標準化協(xié)會發(fā)起的網絡功能虛擬化（NFV）研究，都從不同方面研究未來網絡架構。中國也非常重視對未來網絡體系架構的研究，國家“973”計劃先后啟動了“一體化可信網絡與普適服務體系基礎研究”“可信可管可控的IP網基礎研究”“面向服務的未來網絡體系結構與機制研究”等項目。然而，未來網絡架構需要支持對網絡狀態(tài)的實時感知并智慧地進行網絡資源的動態(tài)適配，隨著網絡流量和網絡狀態(tài)自主地從全局角度考慮網絡資源，動態(tài)提高網絡資源利用率。

智慧標識網絡（SINET）[8-12]作為一種新型網絡架構，在解決現(xiàn)有網絡存在的諸多弊端上，創(chuàng)造性地引入了“三層”“兩域”的概念，縱向適配，橫向解耦，并引入行為描述信息來實現(xiàn)內嵌于網絡架構中的智慧性，使網絡資源能夠從根本上支持資源動態(tài)適配，實現(xiàn)網絡資源高度優(yōu)化利用。智慧標識網絡的核心思想是實現(xiàn)網絡資源資源優(yōu)化適配，文中我們從網絡動態(tài)適配角度對“智慧標識網絡中網絡動態(tài)防御”這一問題展開研究。

1 SINET研究背景

1.1 SINET體系模型與工作原理

SINET針對導致互聯(lián)網諸多弊端的本質原因設計了三層、兩域為特征的網絡體系架構，如圖1所示。三層包括智慧服務層、資源適配層和網絡組建層，具體功能為：智慧服務層主要負責服務的標識和描述，以及服務的智慧查找與動態(tài)匹配等;資源適配層通過感知服務需求與網絡狀態(tài)，動態(tài)地適配網絡資源并構建網絡族群，網絡族群由一組網絡節(jié)點或者相似功能的節(jié)點組成，負責決策優(yōu)化、任務分配等，以充分滿足服務需求進而提升用戶體驗，并提高網絡資源利用率;網絡組件層主要負責數據的存儲與傳輸等實際操作，以及網絡組件的行為感知與聚類等。兩域指實體域和行為域。具體來說，實體域指各種各樣的網絡對象，是相對靜態(tài)的，既包括硬件網絡資源，又包括軟件協(xié)議參數，本質上是指實際運行的網絡。行為域指對實體域網絡對象的處理邏輯和策略，是相對動態(tài)的，便于智能、適配、協(xié)同和決策等。

SINET的資源動態(tài)適配工作原理如圖1所示，在智慧服務層和資源適配層之間，使用行為匹配機制：在行為域中根據服務需求行為描述和族群功能行為描述形成1次映射，為智慧服務尋求最佳的族群功能模塊搭配組合，然后根據實體域內族群間的協(xié)作機制，控制指定的族群功能模塊進行協(xié)同工作，從而實現(xiàn)服務標識到族群標識的映射過程。在資源適配層和網絡組件層之間，使用行為聚類機制：在行為域中根據族群行為描述和組件行為描述形成另1次映射，為族群功能模塊判定最合理的網絡組件構成，然后再根據實體域的族群內聯(lián)動機制，在族群功能模塊內的網絡組件之間建立相互聯(lián)動關系，以完成族群功能模塊的整體功能，實現(xiàn)由族群標識到組件標識的映射過程。通過這2次映射，網絡資源可以依據服務需求動態(tài)適配，從而實現(xiàn)智慧服務。

總之，智慧標識網絡的三層、兩域體系通過動態(tài)感知網絡狀態(tài)并智能匹配服務需求，進而選擇合理的網絡族群及其內部組件來提供智慧化的服務。同時，通過引入行為匹配、行為聚類、網絡復雜行為博弈決策等機制來實現(xiàn)資源的動態(tài)適配和協(xié)同調度，大幅度提高網絡資源利用率，降低網絡能耗等，顯著提升用戶體驗。

1.2 資源動態(tài)適配機制原理

資源適配層通過管理以及編排網絡功能族群來滿足動態(tài)的服務需求，其原理模型如圖2所示。

資源適配層位于SINET3層結構中的中間層，負責感知來自上層服務需求和來自下層的網絡狀態(tài)，進而控制不同的網絡組建形成最優(yōu)化的網絡族群，為上層提供特定的優(yōu)質服務。資源適配層可以根據不同的服務編排不同的網絡族群來支持不同類型的服務?；谏鲜鲈O計，資源適配層可以更好地解決傳統(tǒng)網絡中存在的性能難題。

2 SINET動態(tài)安全防御管控

2.1 動態(tài)防御管控總體架構

SINET中資源適配層作為整體架構的中間層，是連接上層與下層實現(xiàn)網絡的智慧化、自動化的重要組成部分。作為資源適配層的實體部分，族群是構建不同網絡服務提供需求，并且根據不同族群的功能高效地管理網絡組件。根據SINET總體架構以及SINET中資源適配層中的特點并結合網絡功能服務鏈，我們提出了SINET動態(tài)防御管控架構，如圖3所示。SINET動態(tài)防御管控架構是在OpenStack的平臺下進行實現(xiàn)的。在短時間內的適配過程中，OpenStack平臺下基于SINET中資源適配層族群的特點，與服務功能鏈（SFC）技術相結合，根據從上層感知到的服務需求，編排好對應的絡族群，通過2次映射將服務需求與底層網絡組件緊密地聯(lián)系在一起，來實現(xiàn)不同的網絡任務。在長時間內的適配過程中，通過日志數據收集，大數據分析平臺以及人工智能技術等功能的引入，讓網絡更加智能化，提高網絡流量的可預測性?；赟INET的動態(tài)安全防御架構的優(yōu)勢在于：

（1）實現(xiàn)動態(tài)資源適配。能夠實時監(jiān)測控制和分析網絡中存在的網絡資源和流量變化，對不用網絡服務適配不同的網絡族群來與網絡組件對接，動態(tài)高效地管理網絡，同時保證網絡服務質量（QoS），優(yōu)化網絡能耗。

（2）動態(tài)網絡防御。采用策略驅動的動態(tài)防御措施，利用SFC技術生成彈性安全功能服務鏈，快速察覺異常流量侵入，有效地抵御外來攻擊，確保網絡安全高效運行。

（3）加快網絡自適應和動態(tài)感知。通過日志數據收集，以及大數據分析平臺及人工智能技術等一系列功能的引入，讓網絡更加智能化，提高網絡流量的可預測性。

2.2 SINET動態(tài)安全防御云平臺

根據SINET的動態(tài)安全防御架構的特點和優(yōu)勢，基于OpenStack技術，將物理機的資源整合到一起形成虛擬資源池進行統(tǒng)一管理。圖4為SINET動態(tài)安全防御管控云平臺。OpenStack技術統(tǒng)一管理虛擬組件（包括虛擬計算組件、虛擬網絡組件以及虛擬存儲組件等），利用SINET提出的三層、兩域架構，針對不同的動態(tài)安全防御措施，動態(tài)適配出不同的網絡功能族群，然后通過SFC技術對每個功能族群里面的虛擬網絡功能（VNF）進行編排從而達到對應的服務需求。SINET動態(tài)安全防御管控云平臺基于OpenStack技術，可以支持多租戶，可擴展性強，資源彈性伸縮;融合了容器與內核虛擬技術，根據不同的仿真場景靈活適配不同的技術，并且融合了Linux流量控制工具，實現(xiàn)了仿真網絡特性的細粒度模擬。

動態(tài)安全防御云平臺支持大規(guī)模拓撲動態(tài)變化的網絡仿真。拓撲更新速度可達到毫秒級，規(guī)?？蛇_ 100倍物理機個數;網絡仿真鏈路信道實時模擬。每條仿真鏈路的誤碼率（10-4～10-9）、時延（小于200 s、精度1 ms）可單獨設置，支持延時抖動、延時與抖動相關性的設置;支持秒級的仿真場景快速復現(xiàn)，支持資源動態(tài)適配技術。

圖5和圖6為SINET動態(tài)安全防御功能實例，其中分類器檢測異常流量，篩選不同類型的流量，將經過不同SFC的數據包進行不同封裝。圖5是未發(fā)起惡意流連攻擊時網絡族群構成的網絡組件拓撲，在流量監(jiān)測控制組件中，正常流量為2 Mbit/s，異常流量幾乎為零。當控制攻擊的行為開啟后，網絡中存在大數據量的異常流量，如圖6所示。流量監(jiān)測控制組件會感知異常流量的激增，從而智能化地適配新的網絡族群，將生成的異常流量導入到新生成的網絡族群鏈中，從而進行進一步的流量檢測。當網絡中的異常流量消失，又會自動更新為正常情況下的網絡族群，實現(xiàn)高效地動態(tài)適配網絡資源。

3 結束語

本文中，我們在簡要介紹SINET體系結構的基礎上，引入OpenStack和SFC技術，提出了基于SINET的動態(tài)安全防御總體架構。進一步地，我們還介紹了SINET動態(tài)安全防御管控云平臺基本功能。通過實驗，我們展示了智慧標識網絡動態(tài)安全防御的效果，實現(xiàn)了動態(tài)地適配網絡資源，從而緩解網絡攻擊行為造成的網絡影響。SINET作為一種新型網絡架構和技術，有望應用于未來的5G核心網，使網絡更高效、更靈活、更智能、更安全。

參考文獻

[1] NSF. GENI： Global Environment for Network Innovations [EB/OL].（2018-04-28）[2019-12-28]. http：//www.geni.net

[2] NSF. FIND： Future Internet Network Design. [EB/OL]. [2019-12-28]. http：//www.nets-find.net/

[3] European Commission. FIRE [EB/OL]. [2019-12-28].http：///cordis.europa.eu/fp7/ict/fire/

[4] NSF. Named Data Networking [EB/OL]. [2019-12-28].http：///www.named-data.net/

[5] NSF. MobilityFirst [EB/OL]. [2019-12-28].http：//mobilityfirst.winlab.rutgers.edu/

[6] NSF. Nebula [EB/OL]. [2019-12-28]. http：//nebula-fia.org/

[7] NSF. XIA-eXpressive Internet Architecture [EB/OL]. [2019-12-28].http：//www.cs.cmu.edu/～xia/

[8] 張宏科， 羅洪斌. 智慧協(xié)同網絡體系基礎研究[J]. 電子學報， 2013， 41（7）： 1249-1254. DOI：10.3969/j.issn.0372-2112.2013.07.001

[9] ZHANG H K， DONG P， YU S， et al. A Scalable and Smart Hierarchical Wireless Communication Architecture Based on Network/User Separation [J]. IEEE Wireless Communications， 2017， 24（1）： 18-24. DOI：10.1109/mwc.2017.1600135wc

[10] ZHANG H K， LUO H B， CHAO H C. Dealing with Mobility-Caused Outdated Mappings in Networks with Identifier/Locator Separation [J]. IEEE Transactions on Emerging Topics in Computing， 2016， 4（2）： 199-213. DOI：10.1109/tetc.2015.2449664

[11] ZHANG H K， QUAN W， SONG J Y， et al. Link State Prediction-Based Reliable Transmission for High-Speed Railway Networks [J]. IEEE Transactions on Vehicular Technology， 2016， 65（12）： 9617-9629. DOI：10.1109/tvt.2016.2598473

[12] 權偉， 張宏科. 未來互聯(lián)網體系的研究現(xiàn)狀、熱點與探索實踐[J]. 中國科學：信息科學， 2017， 47（6）： 804-810