可信网络中安全、可控可管及可生存技术研究

算合适的路由和网络配置，并把这些决策结果发到数据平面。其基本目标是，通过集中式管理和重新组织关键功能，有望达到简化网络管理的复杂度并使状态发现自动化的目的。

　　CONMan同样采用集中控制的思路。其设计目标是简化对数据平面的配置操作。CONMan中，数据平面的协议被抽象化为一些功能组件，例如管道、交换、过滤等。这些抽象的组件都向网管平面开放其接口。这样，网管平面可以方便地将一个高层次的需求转化为对这些功能模块的一系列级联配置。CONMan的设计灵感部分来自于4D的决策平面的概念。通过借鉴7号信令系统中物理分离的管理通道的思路，拓展了4D中的管理通道的概念，使得CONMan中数据和管理通道虽然共用物理链路，但在逻辑上是分离的。CONMan的设计者们认为，这种分离是保证网络管理和控制真正有效监控网络行为的必要手段。

　　Maestro的设计思路是对网络管理和控制功能的模块化和通用化。该方案设计了一种通用的操作平台，各种类型的网络控制/管理功能模块都以该平台上的独立的应用程序的方式来实现，模块之间的交换和隔离由平台来完成。Maestro的目标是将网络中现有的各种功能(例如分组转发和路由维护)抽象为功能单一的模块，这些模块更容易维护，不易出错，并且也便于针对不同的应用进行定制和组装。

　　从上述这些最新的研究思路来看，网络的控制和管理系统的未来发展呈现出3个主要的趋势。一是控制管理平面与数据平面的分离化，如CONMan所倡导的那样；二是控制管理功能的集中化；三是便于组装的功能模块化。

　　2.3 网络资源的可控可管性

　　如果缺乏对资源的有效管理，无法以整体的、协调的方式来利用网络资源，就会导致技术和体系结构的发展出现障碍。近年来，各种网络虚拟化(Virtualization)的提案就是为了克服当前互联网难以支持新技术的缺陷而提出的。

　　网络的虚拟化的目标是：通过全新的网络构建方式，使得未来的Internet具有容纳各种新技术、新服务，尤其是新的组网联网技术的能力，使得这些不同的端到端网络都能在一个公共的平台上共存。比较典型的方案包括文献[19]和文献[20]。其中文献[19]所提出的模型是在二、三层之间插入一个新的层次，称为底盘层(substrate)。该层提供对底层各种资源的管理和抽象，并向上层的各种不同类型的三层网络提供服务。文献[20]中提出的CABO模型的思路是类似的，同样希望通过构建一个虚拟的基础设施，向各种ISP提供组网必需的资源管理和隔离功能，从而允许各个不同的ISP组建各自的网络，这些网络的协议、服务、转发、信令、路由都可以不相同。

　　网络虚拟化的思考方向可以这样归纳：与其为所有的服务和应用(包括现在还未知的，将来出现的)设计一种通用的组网/转发方式(像ATM那样)，不如干脆承认这样是不可能的，转而设计更为基本的管理各种组网方式都不可或缺的资源的平台，使得任何协议、转发技术都可在这个平台上共存。

　　从网络的可控可管角度看，网络的虚拟化的概念在解决了一部分困难的同时，也引入了新的困难。如果substrate层对资源的抽象和管理做得足够好，那么的确可以达到隔离上层网络的目的，便于各个网络独自发展。但另一方面，这种可管方面的好处必须依赖于substrate层完备的资源管理能力，而这恰恰是最大的挑战。

　　正是从这个意义上说，虚拟化不一定是达到有效管理和控制网络资源，以应对未来的技术发展的唯一途径。事实上，FIND计划资助的另一个项目，eFIT[21]，以及中国"973"计划资助的课题[22]都采用了不同的途径。这两个项目的基本思想中都包含了这样一种思路，即将服务的提供与保证递交的连通性两个任务分离开来，将网络边缘对用户的控制和管理与网络核心对资源的管理和使用分离开来，通过定义合适的映射服务来实现二者的无缝连接。正如文献[21]中所说的那样，这种分离和控制同样可以有效地保证未来的新技术进展，只是与虚拟化的思路不同罢了；同时，这种思路对于加强网络的可控可管性也是具有积极意义的。

3 可生存性

　　可生存性(Survivability)是指网络在遭受攻击、失效或者意外后能够及时地完成任务的能力[23]。网络可生存性的实现是靠具体的保护和恢复措施来保证的。保护和恢复均是在网络故障条件下，使受损的业务得以重新运行的具体措施。

目前，网络的安全性日益被纳入到可生存性的范畴。2004年国际实时系统研讨会上召开了基础设施生存性工作组会议，讨论了今天的网络系统面临的生存性挑战，需要综合考虑网络负荷、攻击和故障情况。文献[24]提出了包含了安全的可生存性(SoS)的概念，认为传统安全技术是保护系统部件的技术，