伴随着新一代信息技术的不断发展与广泛应用,数字化、网络化、智能化已成为经济社会转型升级的重要方向。人工智能(AI)、区块链、云计算、物联网等新一代信息技术的发展与应用都要依赖于数据,数据成为生产要素,是数字经济的基础。有观点将数字化时代的数据比喻为工业化时代的石油。与石油不同的是,数据是无形且无限的,每一分钟都在产生大量的数据。如何利用好数据,使之产生价值,成为数字经济时代制胜的关键。
数据驱动发展并不意味着数据会自动转化为生产力。数据价值的发挥离不开相应的数据基础设施,包括数据采集、传输、存储、计算等各环节的相应设施。需要建设新网络、新设施、新平台、新终端等新型基础设施:依托智能终端的泛在部署,构建数据采集的神经元系统;依托5G等新网络的全面覆盖,构建数据的高效传输网络;依托互联网数据中心和超算中心等算力设施,提升数据计算能力;依托人工智能平台、工业互联网平台、物联网平台等平台的开发应用,构建数据智能分析中枢。
从数据驱动的本质来看,数据中心承载的是算力,将数据转化为智能;而网络,则是将算力输送到用户,将数据转化为价值的关键基础设施。本文提出以数据(而不是数据中心)为中心来规划、建设网络。以数据为中心,网络的本质是安全地进行数据算力输送,本文提出以数据为中心的网络模型,并分析了以数据为中心的网络关键技术和实现思路。
以数据为中心的网络:架构和愿景
以数据为中心的新网络架构整体思路如图1所示。
图1 以数据为中心的新网络架构
以数据为中心的网络架构,先从接入网谈起。传统组网分场景进行接入,如果以数据为中心观点来看,按数据使用者来归纳,按数据使用的不同要求,实现极简的统一接入,同时能保障数据使用者对网络的不同要求,并由云网融合演进到算网一体(见图2)。
图2 由云网融合演进到算网一体
- 消费数据:对应数以百亿级的数字终端,特点是广覆盖,多种接入方式,包括固定接入、半移动接入和移动接入,网络包括固网、Wi-Fi、5G等;客户注重体验,期望不同接入方式能获得相同的体验,网络规划要重点考虑。
- 共享数据:对应的是千万的企事业单位,核心数据是生产数据,核心诉求是极高的安全性和可靠性;通过网络的硬切片保障安全隔离和时延、抖动的确定性保障。
- 加工数据:对应的是亿万数据工作者,包括数字化经济的研发人员,核心诉求是敏捷入云,而且是面对多云场景,能做到开机即入云,并接入到多云场景;满足入云高安全性要求,基于零信任原则,对用户账号、接入终端,以及访问的应用做到安全授权控制。
从网络演进的愿景来看,以数据为中心,本质是要确定性保障,并且安全地输送数据算力。
横向上,遵循服务化网络赋能的端到端原则。即,端到端的互联网协议架构仍然保留,业务的处理仍然以两端为主。网络在提升核心能力的基础上(比如确定性传输能力、内生安全能力、算力调度能力),以多层次、多粒度的方式开放这些能力,由业务层进行调用。
纵向上,采用智能控制面支撑的瘦腰模型。即,保持互联网协议栈的“瘦腰架构”,IP层尽量稳定,尽量利用现有IP字段结构扩展新功能。网络的功能扩展(主要指运营商数据网)主要在相对集中的控制面进行,有效利用人工智能、大数据等IT新技术。
以数据为中心,确定、安全地传送算力需要具备大规模确定性、泛在服务化和零信任内生安全三个关键特征。
关键特征之大规模确定性
大规模确定性是指在设备数量巨大的IP网络上支持高达百万级的数据流(如海量的工业级控制、传感器),并且具备确定性业务保障能力,时延和抖动能严格有界地保证业务需求。基于1.5层灵活硬管道技术,当前网络已经可以提供“Scene级别”的确定性,即保障特定场景和局域网的确定性,如工业园区、金融专网和城内继电保护等。中兴通讯通过FlexE+TSN首次实现了业务的刚性隔离,解决管道内流量抢占和时延补偿难题。
但当前基于1.5层灵活硬管道的技术受到连接数量的限制,而未来千行百业数字化和MEC的广泛部署将形成海量的连接,要保障“Sensor级别”的确定性,对于工业互联网而言,还需要跨广域网保障端到端的确定性。中兴通讯提出的大规模确定性IP网络基于Native IP,天然地具备更好的适应性,无需复杂的时钟同步;在此基础上,引入周期调度机制,调度周期以及浮动周期之间的映射关系可以通过芯片自学习获得,避免了复杂的人工配置;芯片内置的周期调度算法经过了实验室验证:在确定性IP网络模式下,以5µs的周期为例,抖动始终小于10µs且与网络规模无关;而在普通IP模式下,最差抖动随突发显著恶化,是确定性IP网络模式下的300倍。
中兴通讯将在5nm的新一代芯片中实现周期转发和精准调度。在路由器的每跳IP转发上控制转发时机来消除IP转发的微突发和长尾效应,通过这种大规模确定性技术可以实现端到端的时延、抖动有界保证,并且具备大规模部署的能力。此外,中兴通讯在大规模确定性关键技术时间门限算法上进行技术攻关,在实验室验证下,最差的情况下,端到端抖动控制在20µs以内,并且与网络规模无关,无论网络规模多大,都能保证端到端的抖动。在新一代转发芯片的设计上,中兴通讯已经成功将时间门限算法内置到芯片中,不久的将来,采用该芯片的数据设备都能非常好地支持大规模确定性,是对应算力网络、工业互联网的一项非常有竞争力的技术。
关键特征之内生安全
网络协议本身和网络基础设施的安全性存在差距。BGP、DNS等协议的安全性严重依赖于资源公钥基础设施(RPKI)等中心化基础设施,存在单点故障、不可信节点等安全性问题,虽然应用层加密可以提供端到端的机密性和完整性保护,但是IP本身缺乏可信的自验证机制,作为安全锚的密钥交换过程存在欺骗威胁的可能性。互联网设计初期的原则是对应用数据完全透明,这是互联网成功的关键要素,但是透明设计也带来了更多的安全攻击。未来的互联网需要让相互信任的用户透明连接,相互不信任的用户之间高度受限,这就需要网络具备内生安全的能力。在数字化转型的大背景下,原本清晰的网络边界概念因为云计算的普及和其他新技术的广泛部署而日渐模糊,边缘计算产生大量的端侧数据,容易被篡改和窃取。正是因为传统边界的消失,传统的叠加式安全防护逻辑也转变为更加贴近受保护的业务实体本身。
中兴通讯面向未来网络的安全需求,致力于构建原生的安全可信机制,利用区块链、密码学等技术对未来网络架构进行重新设计,提供从基础设施到应用层的端到端服务,自底而上构建一整套安全可信的网络架构;从基因上赋予网络牢固的安全可信属性和能力,为未来网络协议体系和网络服务提供更为坚实的安全可信基础,从根本上解决互联网面临的安全可信问题,由叠加安全走向全面的零信任安全(见图3)。
图3 由叠加安全走向零信任安全
中兴通讯网络内生安全技术整体思路为:横向,通信源端和目标端安全处理,驻留于端侧(包括终端或边缘节点)上的智能插件完成网络可信通信发起和终结,中间其余节点透明转发;纵向,智能控制面基于大数据、AI等技术,提供实时威胁检测与智能研判、大规模网络安全态势指标评估与预测技术,实现网络行为的监测与风险防范;数据面将网络可信通信内置到统一网络层协议。
基于零信任的原则,默认网络中所有设备、应用均不可信,身份和位置信息分离,需要通过身份管理控制器和应用管理控制器进行认证,方可获得安全访问权限;同时,身份管理平台、应用管理平台和位置管理平台通过分布式信息交互同步授信列表信息,并负责密钥分发。此外,我们还基于区块链技术设计可信任的路由控制协议,实现支持可信网络标识、可信任路由协议和可信认证与转发机制的高性能路由器。
关键特征之泛在服务化
未来网络云网融合是必然趋势,网随云动是必然要求。虽然目前在网络侧已经实现了自动化配置,简化了网络运维,但仍然没有解决根本的问题:传统的网络和应用对等模型中,网络讲网络的“语言”,应用讲应用的“语言”,语言互异的网络和应用之间需要通过繁杂的协议和跨域跨层的编排来实现交互,导致网络缺乏足够的敏捷性来满足极大丰富的行业应用需求。
中兴通讯提出服务化网络模型,在基础网络和应用之间新增服务层,构建松耦合、高扩展、易维护的泛在服务化网络。泛在服务化网络将网络能力,如VPN、TE、业务链、安全等,封装成服务,通过分布式数据库主动推送给应用,“轻量级”的网络服务直接与应用进行对话。对应用来说,只需要专注自身的需求,而不关心具体的实现,不再需要支持复杂的协议与网络交互。泛在服务化网络去掉了网络和应用之间复杂的协议交互以及跨域跨层编排,通过SRv6封装所有的网络服务;网络服务的发现、发布、更新均由分布式数据库完成,彻底实现网络和应用解耦,提供最开放的云网一体化能力以及最广泛的接入能力(见图4)。
图4 网络泛在服务化实现业网分离解耦
本文提出了以数据为核心的建网思路,并分析了以数据为核心的网络模型。以该网络模型为依据,系统分析数据如何以安全、确定性传输,同时通过网络服务化的手段,做到网络和应用之间的“轻量级”交互,实现网络作为一种服务进行发放,极大提升云网一体化能力。
.png)
.png)
.png)
