基金项目:国家重点基础研究发展规划项目(“973”计划)(2007CB307100、2007CB307106);中国下一代互联网示范工程(CNGI-2006-2-5)
互联网是20世纪人类文明的辉煌成果,它起源于20世纪60年代末期美国国防部的高级研究计划局网络(ARPANET),采取传输控制协议/网间协议(TCP/IP)实现计算机之间的分组数据通信。美国国家科学基金会于1985年建立国家科学基金网络(NSFNET),用于连接超级计算机中心,扩展了这种分组交换网络的规模和使用范围。互联网采用开放的体制和相对简单的通信协议,任何实体都可以连接到互联网上,以便提供资源或访问资源。1988年互联网连接的计算机数为56 000台;2000年连接的计算机数突破1亿,用户数目超过3.5亿;2003年底用户数目达6.8亿;截止到2007年9月底全球的网民数量达到12.44亿,全球的互联网普及率为18.9%,IP业务量每6~9个月翻一番。难以计数的信息资源通过互联网向全世界提供信息服务。互联网在初始阶段是一个学术和军事的专用网络,经过30多年的发展,已经演变为全球性的信息资源共享平台。互联网的发展是世界由工业化走向信息化的象征。互联网的早期主要服务对象是专业技术人员,浏览器的出现使得互联网的服务对象扩大到一般工程技术人员,IP电话和IP电视的使用将使互联网的服务普及到普通平民百姓,这将是互联网发展史上最有价值的变化。
在互联网的快速发展过程中,地址资源短缺、垃圾邮件、病毒泛滥等问题严重影响了网络的服务质量和信息安全,甚至影响到网络的可用性和可信度。网络可信问题得到全世界的重视,世界信息社会高峰会议(WSIS)第一阶段会议于2003年12月在日内瓦举行,会议发布《日内瓦原则宣言》和《日内瓦行动计划》,随后成立了联合国互联网治理工作组(WGIG)。2005年WSIS第二阶段会议在突尼斯举行,会议发布《突尼斯承诺》和《信息社会突尼斯议程》,随后成立了互联网治理论坛(IGF)。
2006年2月中国信息产业部启动“阳光绿色网络工程”,综合运用法律、经济、技术和行政手段,强化互联网的管理工作。信息产业部颁布了《互联网电子邮件服务管理办法》,设立互联网电子邮件举报受理中心和反垃圾邮件网站,公安部门着手清理淫秽色情信息,关闭淫秽色情网站和赌博网站,有力打击了网络违法犯罪活动。2007年第二季度中国网民的垃圾邮件比例为58%,较2006年度下降了6个百分点,中国成为垃圾邮件下降最明显的国家之一[1-6]。
1 信息社会中的通信公共设施
我们处在工业社会向信息社会过渡的年代里,信息领域处在大变革的过程中,在信息领域中工作的工程技术人员依据自己的专业知识对下一代的通信网络提出各自的设想,比较典型的提法有下一代网络(NGN)、下一代互联网(NGI)、高清数字电视(HDTV)、第三代移动通信(3G),各种提法的细节也不尽相同。我们还没有经历信息社会,不能对信息社会中的通信基础设施作详尽的描述,由于知识背景和看问题的角度不同,描述问题的侧重面不同,犹如自然界对于同一个山川横看成岭侧成峰,远近高低各不同。随着信息技术的进步,在工业社会里建立的各种通信网络都先后采用数字化的表示方式,采用分组传输和分组交换的技术,努力扩展业务范围,各种网络逐步走向融合。能够支持多种业务的、具有优秀服务质量、低廉服务费用、良好可信度的通信体系正在形成。这个通信体系吸纳各种通信新技术,完善相应的规章制度,逐步演变成信息社会中的通信公共设施。
信息社会中的通信公共设施支持综合业务。能够融合目前电话网、电视网、计算机网以及视频监控网络的功能。这种融合的真正驱动力是希望用一个网络的建设成本和运营维护成本支持多种业务,提供廉价的信息服务。电话网支持传真业务也是一种业务融合,这种融合通过电话网的传真业务替代电报网络,使得电报网退出历史舞台。在数字化之前,电视业务、电话业务和计算机网业务很难融合,在电话和电视都采用数字表示,都采用分组传输、分组交换技术时,电话业务、电视业务和计算机网业务就可能融合在一个通信公共设施中。
信息社会中的通信公共设施具有优秀服务质量。在业务融合过程中,融合后的服务质量与专业网络的服务质量相当,否则这种业务融合就难以被用户接受。互联网中融合话音业务走过10年以上的历程,仅当IP电话的质量与公共交换电话网(PSTN)电话质量相当时,IP电话才广泛流行。互联网中的网络电视(IPTV)刚刚开始,也许要走过一段较长的历程才能被广泛接受。
信息社会中的通信公共设施具有低廉的服务费用。工业化社会发展了光纤技术、硅片技术,使得通信设备的价格逐年降低,多种业务融合使用一个网络的建设成本和运营成本支持多个网络业务成为可能,高度智能化的管理大幅降低了维护费用。信息服务领域中存在大幅度降价空间,在美国开放了IP电话业务后,使得话音通信费用下降了98%,在信息社会中使用通信公共设施不会感受通信费用高昂的压力。
信息社会中通信公共设施具有良好的可信度。在工业社会中公共交通设施受到法律的保护,人人有使用交通工具的权利,人人有遵守交通法规的义务,并且有技术手段支持交通法规的执行。我们处在信息社会的门口,信息社会中的通信公共设施的法规还在形成的过程中,支持通信公共设施法规的技术手段正在发展和完善过程中,这正是互联网治理论坛(IGF)关心的问题。
2 提高网络可信度办法
2.1 实名制
在信息社会中人人有使用通信公共设施的权利,人人有遵守相应法规的义务,每一个用户对自己的行为负责。为了使得这项基本原则能够执行,要求公共设施的使用者使用真实的标识,如同工业社会中行驶的汽车必须带有自己的牌照,盗用他人的标识或使用虚假标识将受到处罚。在技术层面要有能力识别标识的真伪,目前,宽带用户还大量采用动态IP地址或网络地址转换(NAT)的方式进入互联网,这要求接入设备具备较强的审计能力,提供一定期限的地址分配记录和会话记录,提高安全事故的追溯能力。
目前互联网上已经有注册登记、口令认证的措施,在一些重要资源的存放处多数部署了防火墙和入侵检测系统,这些安全措施原则上都是属于被动防御系统,没有捕捉黑客的能力,还难以阻挡网络中黑客的攻击。为了增强网络的安全性,需要在网络拓扑结构、流量实时监控和网络行为可审计方面有所改进,在源头增强识别黑客伪装、捕获病毒的能力。
2.2 层次结构
未来网络是分层次的,一个国家与其他国家相连接的路由器构成互联网的国际平面。在一个国家内部,可能有一个或几个干线网络运营商运营一个或几个覆盖全国的干线网络,这些干线网络形成互联网的国家平面。干线网络连接着多个城域网和专业骨干网,这些城域网和专业骨干网连接许许多多用户驻地网。用户驻地网的典型代表是校园网络、企事业单位网络以及正在兴起的居民社区网络。图1给出国家范围的网络逻辑结构,互联网是网中有网的结构,一些治理办法可以分别在子网中执行,很多违规的行为可以在子网的范围内锁定。
2.3 测量、监控与审计
在用户驻地网中对特定的端口或特定标识的媒体流进行测量、监控和审计,在技术上没有困难,一切黑客的攻击总是从某一个源点发起,病毒的散布也总是从某一个源点发起,如果在驻地网中部署测量、监控与审计功能,黑客的攻击行为以及散布病毒的行为是可以捕捉的。如同现实社会中治安问题从社区和街道抓起,对违法行为的侦破比较容易。在干线网络上通过镜象技术可以把特定端口的媒体流分离出来,进行测量、监控和审计,只是会受到计算机处理能力的制约,需要付出更多的代价。
2.4 流量规划和准入控制
在用户驻地网中,每一个用户的业务类别和带宽需求是事先约定的,用户依据这个约定获得符合质量要求的服务类别和带宽,驻地网运营者依据这个约定获得服务费用,依据全部的约定部署网络的带宽和其他服务资源。在终端用户与网络接口处增设流量检测和控制,使得用户与网络之间的流量在事先约定的范围内,用户访问服务资源要依据约定通过认证。城域网和专业网把用户驻地网看成它的用户,同样可以实施流量规划和准入控制。目前一些社区宽带接入没有做流量规划和准入控制,缺乏流量分类控制的能力。运营商告知用户的带宽是在其他用户不使用网络时该用户可能得到的带宽,当其他用户使用网络时,所有用户共享出口带宽,从用户的观点来看,网络的性能似乎是不可预知的。
2.5 处理垃圾邮件、垃圾电话
使用信息社会中的通信公共设施,费用极其低廉,这件事本身是一件好事。一些人把商业广告广泛发送,这些信息对于绝大多数接收者都是垃圾,大量垃圾邮件塞满邮箱,更有甚者,推销电话干扰人们正常工作,令人不胜其烦。解决这个问题需要疏堵结合,首先需要把各类信息超市办好,使得商业广告有很好的去处,需要这类信息的人很容易找到;其次采用IP地址反向解析等技术手段,抑制伪造源地址的垃圾邮件,过滤垃圾电话,并通过立法禁止垃圾邮件、垃圾电话干扰他人,树立良好的道德风尚,善待通信公共设施。
2.6 P2P以及未来新业务
工业社会建设的电话网和电视网的网络拥有者和业务提供者是同一个实体,终端只是业务的使用者,这种系统本质上是封闭系统,在这种系统上开发新业务往往十分缓慢。互联网是连网之网,业务开发的主导权在终端使用者手中,千千万万的使用者有无穷的创造力,互联网上的新业务层出不穷,浏览器和各种网站使得用户更容易找到他们希望获得的信息,博客(Blog)、维客(WIKI)使得用户更容易发表他们的观点,获得更多的话语权,P2P是在网络应用层上的一种调度方法,利用网络中潜在的空闲资源改进流媒体的服务质量,使得用户容易获得流媒体信息。当今P2P占据网络中一半以上的流量,在一定程度上冲击了传统网络工作形态。网络管理者应当在适当的位置部署P2P转发节点,避免出现媒体流在网络中舍近求远的现象,采用疏导的方法促使新业务的健康发展。一些网络的管理者对新技术新业务缺少足够的认识,特别是新业务影响已有业务的经济利益时,往往持反对的立场,设法封堵P2P流量,封杀SKAPY电话。互联网是连网之网,新技术、新业务总可以找到生存发展的子网,未来一定会出现更多的新技术新业务,任何阻碍社会进步的行为都是徒劳无益的,最多只能在有限范围内保护落后。
2.7 地址空间的扩充
互联网中IPv4的地址很快耗尽,非常多的文章讨论地址资源问题。IPv6协议将IP地址扩展到128位,中国对IPv6网络进行了大规模的试验。将IPv4网络更换成IPv6网络需要更换大量的网络设备、部署128位的域名解释,需要付出较大的社会成本。
在用户驻地网中使用私网地址是节省地址资源的有效办法之一,同一驻地网中用户使用私网地址进行通信,驻地网中用户访问公网资源使用网络地址转换技术,两个私网地址之间的通信使用地址接力技术。所谓地址接力是在驻地网与公网接口处设立地址接力网关(NAR),逻辑上可将IPv4地址空间扩大到64位,其中高32位是网关的公网地址,低32位是驻地网中的地址,通过域名解释获得通信对象的64位地址标识。实际操作中私网和公网都使用各自的32位地址作为目的地址和源地址,将暂时不用的地址信息放在IP头的扩展字段中,地址接力网关负责这些信息的倒换。图2中两个“地址接力”网关在公网中的地址分别是A和B,它们在各自私网中的地址分别是a和b。两个通信实体在各自私网中的地址分别为c和d,它们的64位地址标识分别为Ac和Bd。
2.8 安全与可信度
垃圾、病毒和黑客是互联网中最麻烦的问题。很多网络工作者做了大量的工作,研制了过滤垃圾的软件、防病毒软件,部署防火墙、入侵检测系统,但是网络中的漏洞堵不胜堵,不安全的隐患防不胜防。以致一些人认为互联网是不可信的网络,要想解决安全问题需要重新另一个完全独立的网络。
网络可信度的概念是指网络中的行为和行为的结果是在可以预知与可控的程度内,是所有用户对各种业务服务质量和安全性能的综合评价。我们认为,在经济能力允许的条件下,为特定的用户群、特定的业务,建立一个封闭的网络是无可非议的。信息社会中的通信公共设施是要为社会普通民众提供一个开放的、支持多种业务的、廉价的、有较好服务质量的、能满足普通用户要求的可信网络。通过政策和法律规范使用互联网的行为,通过监测和审计为法规的执行提供技术手段,依据实际业务的需要配备网络资源,对新业务采用疏导和帮助的原则,将网络的管理职能转变成公共服务职能,这种美好的蓝图将会逐步实现。互联网是连网之网,所期望的特征可以在有限范围率先实现,以观成效。
3 用户驻地网
用户驻地网是互联网的组成部分,位于互联网拓扑层次结构的底层,典型的驻地网是校园网、企业网和社区网。典型的用户驻地网系统如图3所示,其结构配置包括卫星数字电视接收服务器、视频组播服务器、视频点播服务器、现场直播服务器、视频会议服务器、计费服务器、网络管理服务器、宽带接入交换设备、家庭网关设备、无线网关、电话网关、移动电话、移动终端、计算机、模拟电视机、数字电视机以及IP电话机,每一个用户驻地网都可以依据驻地实际需要增加或减少相应的设备,或者改变某些设备的性能指标。
用户驻地网络融合了传统电视网、电话网和互联网以及社区监控、门禁保安的业务,在一个物理网络上为驻地居民提供多种业务的综合服务,包括娱乐性的服务,教育学习类服务,日常生活服务、生产活动服务、政府基层管理服务、社区物业管理服务,以及博客、维客、网站摘要等新业务。一台组播服务器播放100路以上的电视节目,用户数不受限制。一台点播服务器同时支持500个在线用户。视频业务与话音业务和计算机上网业务可以同时进行。用户驻地网采用面向服务的体系结构,并可以依据本地居民的需求增加特有的业务,随着信息化和社区自治水平的提高,社区的特色服务会越来越多,普通民众不仅是信息的消费者,同时也是信息的生产者。
用户驻地网依据辖域内约定的用户业务类别和业务量规划网络结构和线路带宽,在用户设备与网络的接口处进行监测和控制,用户不能超越约定向网络发送数据。
用户驻地网采用流分类技术,让话音流优先,视频流次之,计算机网络的常规数据流排在最后。用户驻地网采用实时时钟校准,使得系统时钟和世界标准时间(UTC)之间的误差足够小,对媒体流进行整形,消除网络中产生的抖动,使媒体流在出口处恢复成进入网络时的形态,保证流媒体的服务质量。
用户驻地网采用交换网的结构,使用虚拟专用网(VPN)技术实现用户信息彼此隔离,通过单向VPN实现必要的数据共享。在以太网交换域内采用802.1x的认证系统以及端口和媒体访问控制(MAC)地址的绑定方案,防止在驻地网内产生伪造地址的非法事件。使用授权认证技术避免非法的访问,记录内部设备的呼出会话信息,为安全事故的溯源提供依据。
用户驻地网有较完整的监测、控制和审计功能。网络物理拓扑发现软件,动态检测网络运行期间的设备增加、减少、设备移动以及链路改变,确定网络中的各种设备以及这些设备物理端口之间的链路连接关系,快速准确地进行故障发现与定位。
用户驻地网的基本设备(包括所有的服务器、所有的交换机、所有的网关设备)都可以和家用电器一样,通过切断电源再加电,使系统恢复到正常的初始的工作状态,在某种程度上可以抵御病毒和误操作对驻地网系统的破坏。
用户驻地网在网络体系结构中的地位与目前校园网、企业内部网在互联网中的地位相当,实际上它们之间有很大差别。用户驻地网提供社区宽带综合业务,无线接入形成驻地空间全覆盖;用户驻地网有流量规划和准入控制,流分类和流整形,为各种业务提供良好的服务质量;用户驻地网使用单向虚拟通道实现用户信息隔离,通过身份认证、实时监测以及可审计技术构成基本可信的网络环境;用户驻地网具有高度的健壮性,并采用智能化的网络管理和细粒度的网络计费,使得网络的运行维护成本低廉。
用户驻地网的所有权属于驻地居民,在不违背国家法律的前提下,驻地居民有权实施他们希望的服务,用户驻地网与公共网络以及服务提供商之间的关系比较简单,用户驻地网向公共网络购买网络带宽,在合同中约定网络传输的服务质量。用户驻地网向信息内容提供商购买信息服务内容,信息内容提供商可能来自驻地网内部,也可能来自公网或其他驻地网。
4 结束语
互联网从科研网络发展到全球的信息通信的基础设施,融合了数据、话音和视频等多种信息流,提供各种各样的综合业务。当互联网融合话音业务时,受到质疑最多的问题是质量问题,认为互联网是尽力服务的,是没有质量保证的,随着技术的进步、IP电话的广泛使用和IP电视的迅速发展,关于质量问题的质疑已经渐渐淡出。信息的安全、网络的可信度问题是互联网面临的主要挑战,社区宽带综合业务网络系统可在驻地网的范围里提供多种业务的融合,具有较好的服务质量和网络可信度,较低的运营维护成本。互联网是连网之网,如果能在每一个驻地网都能有比较好的品质,互联网的治理就有了良好的基础,犹如把每一个社区和街道的治安搞好,整个城市的治安就容易搞好。
5 参考文献
[1] 贺卫东.GTN全球发展趋势和我们的建议及对策 [J]. 信息安全与通信保密, 2001(11): 22-25.
[2] 林闯, 彭雪海. 可信网络研究 [J]. 计算机学报, 2005,28(5): 75l-758.
[3] 陈如明. NGN与GENI、FIND和“高可信网络”关系及相关发展战略思考 [J]. 数字通信世界, 2006(11): 11-15; 2006(12): 15-19; 2007(1): 11-13.
[4] 嵇兆钧. 创建高可信网络 [J]. 通信技术政策研究, 2006(3): 1-6.
[5] 吴志美, 张焕强, 王军. 社区网络与宽带接入 [J]. 软件学报, 2003,14(增刊): 23-28.
[6] 吴志美, 杜森, 等. 用户驻地网与社区宽带综合业务 [M]. 北京: 人民邮电出版社, 2007.
收稿日期:2007-11-16
[摘要] 互联网融合多种业务过程中面临服务质量、信息安全和网络可信度等问题带来的挑战。实行实名制,层次结构,测量、监控与审计,流量规划和准入控制,地址空间扩充,网络可信度综合评价是有效的治理措施。从驻地网开始治理,使得每一个驻地网都有良好的品质,可为互联网提供良好的服务创造条件。
[关键词] 可信网络;互联网;业务融合;用户驻地网
[Abstract] The integration of multi-services in to the Internet will bring challenges to the maintenance of quality of service, information security, and trustworthiness. The real-name system, hierarchical structure, meter, monitoring and audit, traffic planning and access control, expansion of address space, and comprehensive evaluation of network credibility are effective measures that will be helpful in improving the performance of the Internet. From the managing of the customer premises network, every customer premises network should get high quality to make nice services in Internet possible.
[Keywords] trustworthy network; Internet; service integration; customer premises network