|
基于"规则"的网络转发架构 徐猛,廖青** 作者简介:徐猛(1988-),男,山东省滕州市人,硕士研究生,主要研究方向为:下一代网络 通信联系人:廖青(1963-),男,副教授,主要研究方向为:下一代网络技术、宽带通信业务、宽带接入 技术、多媒体通信. E-mail: liaoqing@bupt.edu.cn (北京邮电大学网络体系构建与融合北京市重点实验室,北京 100876) 5 摘要:本文针对现在互联网中,网络通信过程中接收者(receiver)对整个通信过程控制力 较弱的情况,提出了“规则”的概念及“基于规则的网络转发架构”(Forwarding based on Rules, 简称FBR)。未来的网络要求通信的主体都可以对整个通信过程施加自己的控制力。本文提 出的“基于规则的网络转发架构”(FBR)是现有互联网向未来网演进过程中的一种网络架构, 它构建在现有互联网架构体系之上,是一种演进式的改革。通过使用“规则”,在“基于规 10 则的网络转发架构”(FBR)中,终端用户即接收者(receiver),不仅可以指明它想要接收什 么样的“包”还可以指明它希望这些“包”在网络中经过什么样的处理,从而极大的增强了 接收者(receiver)对整个通信过程的控制力,使接收者(receiver)摆脱了通信过程中被动 的地位。 关键词:下一代网络;规则;控制力;灵活性;安全性; 15 中图分类号:TP393.3 Network Forwarding Architecture based on Rules Xu Meng, Liao Qing (Beijing Key Laboratory of Network System Construction and Integration,Beijing University of 20 Posts and Telecommunications,Beijing 100876) Abstract: This paper proposes the concept of “rules” and “rule-based network forwarding architecture” to enhance the control power of receiver over communication process. Future networks requires that all the communication bodies can impose their control over the entire communication process. The “rule-based network forwarding architecture” is an evolutionary architecture of existing Internet, it is 25 built on top of Internet network architecture. Through the use of “rules”, end-users of “rule-based network forwarding architecture” can specify not only what packages they want to receive but also how these packages are processed by the networks, which greatly enhances the control power of the receiver over the entire communication process and makes receivers get rid of the passive position in the communication process. 30 Key words: NGN; rules;control;flexibility;safety; 0 引言 网络中的通信过程涉及三个主体——发送者(source),接收者(receiver)及网络 (networks)。在现有的互联网中,发送者(source)对整个通信过程控制力最强,比如发 35 送者可以控制“包”的速率及设置“包”的属性,指定“包”的目的地。发送者一般为普通 的主机(host);网络(networks)为电信运营商所有,对整个通信过程的控制力较发送者 (source)稍弱,比如控制“包”的路由机制,限制“包”的速率,封锁某种“流量”(traffic); 相比之下,接收者(receiver)对整个通信过程控制力最弱,几乎没有控制能力,在整个通 信过程中都很被动。例如接收者(receiver)依靠自己的力量对DoS 攻击等攻击是无能为力 40 的。 未来的网络是一种全方位参与的网络,需要通信的主体对整个通信过程都可以施加自己 的控制力。[1,2] 本文提出一种新的概念——“规则”(rules)及一种“基于规则的网络转发架构” (Forwarding based on Rules,简称FBR)。在FBR 中,“包”的转发不仅要根据IP 地址还要使 用接收者45 (receiver)的“规则”。通过使用“规则”,网络的终端用户即接收者(receiver), 不仅可以指明它想要接收什么样的“包”还可以指明它希望这些“包”在网络中经过什么样 的处理,从而极大的增强了接收者(receiver)对整个通信过程的控制力,使接收者(receiver) 摆脱了通信过程中被动的地位。 FBR 通过增强接收者(receiver)对通信过程的控制力大大增强了网络的灵活性,同时 50 为了使“规则”的引入不会危害网络的安全性,FBR 引入了“规则认证机构”(RCI)对所 有的“规则”进行认证,不符合安全规范的“规则”将不会被认证,也会被网络丢弃。 1 设计原理和概述 这部分共分为个小节:(1)“规则”的定义 (2)“规则”的作用 (3)“规则”的 规范 (4)“规则”的分配策略 (5)“规则”的创建及认证。 55 “基于规则转发的网络架构”(FBR)旨在提供终端用户对其发送的“包”及到达它的 “包”的控制能力。但是,“基于规则转发的网络架构”(FBR)不关注路由发现及路由计 算,这些将是网络拥有者的职责。我们假设“基于规则转发的网络架构”(FBR)构建在IP 层之上。 1.1 规则的定义 60 “规则”是一种简单的if-action-else-action 的结构,它描述网络在什么情况下应该或不 应该转发“包”。进一步具体的讲,FBR 必须保证下面的这些性质: 1、“规则”必须是强制的:网络中的每一个“包”必须包含一个“规则”,不包含“规 则”的“包”将被丢弃; 2、“规则”必须是有效的:“规则”中的所有接收者必须明确的同意接收相应的“包”。 65 网络中的任何设备,如路由器、中间网络设备及终端用户设备,都可以验证“规则”的有效 性; 3、“规则”必须是安全的:“规则”不可以恶意消耗网络资源,例如:“规则”不可 以危害路由器的安全或者引起转发循环; 4、“规则”必须允许“灵活”地进行转发:“规则”可以选择任意的转发路径并且在 70 路由器允许的情况下可以调用路由器提供的函数接口。转发路径的选择及函数选择要根据网 络和“包”的状态进行; 前两条性质的目的是:除非“包”中的“规则”被接受者明确的接受,否则网络将不会 转发该“包”,这就保证了网络的安全性。第三条性质保证“规则”不会被用来攻击网络本 身。第四条性质同样增强的网络的灵活性,它使用的方法是:允许用户给网络“细粒度”指 75 令以影响“包”的转发。 在下面的部分,将展示“基于规则转发的网络架构”——FBR,它将满足上述的4 条性 质。 1.2 “规则”的作用 为了灵活性与安全性的平衡,在“基于规则转发的网络架构”(FBR)中网络终端用户 80 可以修改“包头”信息,但是不可以修改路由器“转发状态”,允许数据“包”修改路由器 “转发状态”暴露了重大的安全隐患。并且在这种情况下,应用程序可以执行复杂的分布式 协议,例如路由协议,其安全性很难得到保证。 在“基于规则转发的网络架构”(FBR)中,网络终端用户通过“规则”(rules)控制 “包”的转发。每一个“包”的“包头”中包含一个“规则”及一系列“属性-值”对。路 由器一旦收到一个“包”,它将“85 执行”这个“包”中的“规则”。“规则”将“包”头中 的“属性值”及路由器暴露的、以“路由器属性”表示的“路由器转发状态”为输入。“规 则”可以更新“包头”中的属性值,通过IP 地址转发这个“包”或者直接丢弃“包”。但 是,“规则”不能修改“路由器属性”。 “规则”使用计算机语言中“if-action-else-action”这种树形结构编码,它有比较紧凑的 90 结构。这种结构让“基于规则转发的网络架构”(FBR)可以实现很多转发功能,例如多路 径路由、任播、多播、松散源路由。 1.3 “规则”的规范 “基于规则转发的网络架构”(FBR)通过“if-action-else-action”结构表示“规则”, 如下所示: 95 If(CONDITION) ACTION1 Else ACTION2 其中CONDITION 是建立在“包”属性和路由器属性上的条件表达式,结构只有两种, 100 true 和false。 ACTION 包括:(1)更新“包”属性的值(2)丢弃“包”(3)转发“包”到某个网 络节点或者到属于协议栈中更高层的设备以执行“规则”请求的功能。 “包”属性集由IP 报文头部的五元组(IP 地址,端口,协议类型等)及一些网络终端 用户通过“用户定义的语义”指定的定制属性。“基于规则转发的网络架构”(FBR)不允 105 许“规则”增加新的“包”属性。另一方面,路由器属性包括路由器的IP 地址,阻塞水平, 以及一些标志位(例如显示路由器是否执行入侵检测的标志位)等。 每一个“规则”都有一个唯一的标识符(ID)。一种可以参考的方案是:每一个规则的 ID 是该“规则”拥有者的公钥的hash 值。 下面的“规则”通过一个中转路由器R 将S 发送的“包”发给D。在“包”中有一个 110 名为“state”属性值用以指示是否该“包”已经通过了中转路由器R。D 的“规则”如下: If(state==0) { sendto R State==1 115 } Else sendto D 以上规则中sendto 是一系列动作的缩写:主要是改变包的目的IP。 一旦某个“规则”被执行或丢弃了,“规则”的执行就停止了。 120 下图展示了S 与D 的通信过程: R_D state=0 R_D state=1 包格式 传输层 规则(Rule) 包属性 IP层(网络层) 图1 S 与D 的通信过程 尽管“基于规则转发的网络架构”(FBR)不允许“规则”直接修改“包”的“有效载 125 荷”(payload)及“路由器状态”,但是在路由器允许的情况下,“规则”可以调用路由 器上相应的函数来达到修改“包”的“有效载荷”(payload)的目的。最新的路由器设计 技术已经可以提供这种功能。尽管“规则”可以调用路由器的相应函数来修改包的“有效载 学术论文网Tag:代写硕士论文 代写论文 代写MBA论文 代写博士论文 |
