以內容為中心的新一代互聯網體系架構研究

林 嘯

（工業和信息化部電信研究院 北京 100037）

1 引言

在互聯網已經成為整個社會的關鍵基礎設施的今天，其重要性勿庸置疑，這也致使社會對互聯網的要求提升到了一個新的層面。如果說在早期以娛樂為主的互聯網世界里，其網絡服務質量、網絡安全等缺陷可以容忍的話，那么在今天互聯網已經滲透到生產、生活、政治、經濟等各個領域的時候，我們要求其提供的服務必須是高質量、高可靠、高度安全的。互聯網領域對這些訴求的探索未曾中斷過。可惜，無論是早期的MPLS、IPv6，還是后來進行的Int-Serv、DS-Serv，都無法從根本上解決問題。所以學術界開始了新一輪的討論，美國政府和學術界推動的幾個下一代互聯網項目GENI、FIND和Internet 2開始嘗試從改進和新建兩個角度推動對未來互聯網的探索。目前看來，改進是解決燃眉之急的手段，新建架構才是從根本上解決問題的辦法。基于此，本文介紹了目前研究領域提出的新概念——以內容為中心的下一代互聯網體系架構，希望能夠引起關注并開展研究工作，突破目前阻礙互聯網發展的關鍵瓶頸。

2 內容中心網絡體系的提出

自20世紀60年代互聯網出現以來，以IP數據包交換為核心的互聯網運行機制沿用至今，50多年來未曾變化，這說明了IP包的簡單的幀結構使網絡互聯成本降低，實現簡便，具有非常強的適應力。但從技術發展的角度來看，互聯網最初是為了追求網絡的互聯，以實現硬件資源的共享（那時硬件資源稀缺且成本較高），通過共享可以節省成本和提高效率。由于這個時期的通信主要發生在具體的兩臺實體設備間，需要確定具體的設備位置，因此IP數據包是以IP地址進行打包的，以IP地址標識具體的設備，IP包中源地址和目的地址的設計就是為了滿足這種發生在兩臺具體設備間的通信需求。然而，隨著技術的進步和互聯網應用的普及，計算機硬件和附屬器材的價格大大下降，硬件共享的必要性已經不大，信息共享成為了目標。目前，網絡應用的主體已經轉向文字信息和視頻等內容，內容服務已經成為網絡服務的主體。在此前提下，我們并不關心信息承載在哪臺計算機上，也不關心某個視頻是哪個主機提供的，我們關心的是內容傳送過來的速度、質量以及是否安全。但是，在目前的互聯網架構下，我們仍然是根據主機地址進行信息內容的檢索和傳送，這樣做并不能適應上層應用的變化。

在這種情況下出現了CDN、P2P等技術，其實已經包含了向以內容為中心的網絡架構轉變的原始樸素思維。但是，任何在目前的體系架構下進行的內容傳送機制改進都無法徹底克服底層機制的缺陷，造成了資源的浪費、安全性下降，并且需要進行復雜的內容和“位置”的映射。

為了從根本上適應這種需求的變化，美國學術界率先提出了面向內容的網絡體系架構。目前國外學術界關于內容中心體系的研究項目很多，主要包括美國伯克利大學RAD實驗室提出的“面向數據的網絡體系架構”（DONA）[1]、美國卡內基梅隆大學的“面向數據傳輸”（DOT）[2]、芬蘭赫爾辛基科技大學和赫爾辛基信息技術研究院的 “發布/訂閱式互聯網路由范例”（PSIRP）[3]、美國Palo Alto研究中心提出的“內容中心網絡”（CCN）[4,5]、歐盟 FP7 的 4WARD[6]和美國斯坦福大學的TRIAD[7]等項目，這些項目大多數采用了網絡命名內容（NNC）的方式。本文選取其中的代表CCN為例，介紹NNC體系架構的基本思想，并對其他幾種架構進行簡單的描述和介紹。

3 內容中心網絡的體系架構

以內容為中心的基本涵義就是整個網絡的需求是內容，而不是主機，因此CCN不再關心內容存儲在哪里，而僅關心內容本身。它從根本上改變了IP包的封裝結構和尋址方式，IP報文的包頭不再以IP地址作為標識，而是以內容名稱作為標識。也就是說，IP請求數據包里定義了一個報文所包含的內容標題，該包將發送給能夠提供該請求內容的鄰近的節點設備，該節點將所請求的內容信息封裝在對應的IP包里進行響應，送還給請求節點，完成信息共享過程。從這個過程來看，它并不關心是哪臺設備進行了響應，位置在哪里，而是關心以最小的代價從鄰近的節點最迅速地獲得該內容，因此，區別于傳統的TCP/IP網絡模型，針對CCN提出了一種新的協議棧。

從圖1可以看出，TCP/IP網絡與CCN協議棧有很多的共同點。例如，它們都采用7層結構，并且底層完全相同，下層協議都是為了適配底層物理鏈路和通信而設計，上層協議為對應相關的應用而設計。兩者最大的區別就是在全網統一標識的中間層，前者的核心是IP協議，后者的核心是內容塊協議。IP協議的成功之處就是對于第二層協議的寬松要求，CCN繼承了這一優點，并且CCN可以實施在任何的底層協議之上，甚至可以架構在IP層之上。

相比IP網絡，CCN有兩個突出的特點，這與其策略層和安全層有關。一是CCN可以最充分地同時利用多種連接方式，如以太網、3G、藍牙、Wi-Fi、WiMAX 等，并且可以在不斷變化的環境中動態地尋求最優化的實現方式；二是CCN本身就保證了它所傳送的信息內容的安全。在IP網絡中，安全措施往往是通過對承載網絡或終端的加強來實施的，而CCN對網絡設備并不關心，它所傳送的內容已經是安全的了。

4 CCN數據包和內容名

CCN最主要的驅動力就是對內容的需求，因此在CCN上主要的數據包有內容請求包（interest packet）和內容數據包（data packet）兩種，這兩種數據包的結構如圖2所示。

需要相關內容的用戶通過節點向所有的方向發出請求，任何收到這個請求的節點，如果有能夠滿足請求的內容，都通過內容數據包向請求節點發送響應數據。這種對應關系是建立在對內容標識的基礎上的，即每個內容都有一個具體的標識。正是因為這種關系，所以有同樣內容需求的請求可以分享相同的內容和網絡傳輸，這樣就節省了網絡資源，提高了效率。

內容的標識名其實就是CCN的地址，這種標識名是結構化的，通常由幾個部分組成，通過這種結構化的地址，我們可以利用類似于IP地址前綴機制來迅速定位所需要的信息。例如 “/catr.cn/videos/WidgetA.mpg/_v/_s3”，其中“catr.cn”是全網可識別名稱，“video”是內容類型，“WidgetA.mpg”是內容名稱，“_v”是版本時間等信息，“_s3”是分段等信息。總的來看，內容名可以分為內容名稱和分片名稱兩部分。

5 節點模型和轉發機制

CCN節點的基本工作和IP節點非常相似，都承擔著數據包的存儲、轉發和路由任務。典型的CCN節點主要包含內容存儲器（CS）、待定請求表（PIT）和前向轉發表（FIB）3個部分。

CS類似于IP路由器的緩存，但它采用了與IP路由器不同的緩存替換策略。IP路由器在完成該次會話后就將所存儲的信息清空，這種策略叫做MRU替換。而在CCN中，該信息除了為該次會話服務，還可以為其他用戶會話服務，因此該內容在該次會話完成后仍然存在于節點中，以便下一次使用（如影片、視頻等內容）。這是CCN非常關鍵的理念，它可以幫助減少內容下載時延和網絡帶寬占用。為了最大限度地提高這部分存儲信息的共享效率，CCN采用LRU或LFU替換策略來最大限度地存儲重要的信息。

PIT是用于記錄經過的請求信息的，依此實現所請求的內容順利地傳回請求節點。在CCN中，只有請求數據包被路由，而內容數據包是按照PIT的指示一步步地發回請求節點的。當所請求的內容傳回節點后，該條目將從PIT中刪除，此外還可以利用時鐘來刪除那些一直沒有找到匹配內容的過期條目。

FIB和IP路由器的處理機制類似，即將請求數據包發往目的端，但是與IP路由器不同的是，FIB可以同時向多個方向轉發請求。

當節點從一個接口收到一個數據包時，將根據它所包含的內容名進行最大匹配查詢，而后根據查詢結果進行下一步的操作。如圖3所示，查詢的優先級順序依次為CS、PIT、FIB，具體操作如下。

·CS如果包含請求數據包請求的內容，就會直接將相應的內容發送到請求端口，并丟棄請求數據包，否則將在PIT中繼續查詢。

·PIT如果包含與內容名相關的條目，就將請求端口添加到請求端口列表中，并丟棄請求數據包，否則將在FIB中繼續查詢。

·FIB如果包含與內容名相關的條目，就按照FIB的指示將該請求數據包轉發到下一個CCN節點。將該請求端口從FIB的端口列表中刪除，如果剩下的端口不為空，則向所有剩下的端口轉發請求，并在FIB中形成新的條目和端口列表。

·如果以上3種情況都不符合，說明不存在相關的匹配路由，則丟棄該請求數據包。

6 網絡傳輸層設計

在設計CCN的傳輸層時考慮了復雜、惡劣的網絡環境，甚至考慮了動態性非常強的移動網絡連接和普適計算。在某些場景下，請求或內容數據包可能會在傳送過程中丟失，為了實現安全、可靠的數據傳送，請求數據包必須具備重傳機制，在一定時間內未響應的請求可以進行重傳。CCN采用了不同于TCP的重傳機制，它由最終用戶（產生最初請求數據包的應用）負責發起重傳請求，而接收端的策略層（見圖1）負責按照一定的策略確定從列表中選擇某個特定端口進行重傳。

CCN和底層網絡都有可能進行數據包的復制，但基于節點轉發機制，多余的數據包將會被丟棄。在CCN中雖然內容數據包不會循環，但是請求數據包確實存在循環的可能性，為了檢測和避免這種情況，設計時在請求數據包中包含了一個隨機的時間值（nonce value），這樣從不同路徑傳送過來的相同請求將被丟棄。

此外，在流控和排序方面，CCN繼承了TCP的方法，基本過程相同。

7 路由機制

目前對于CCN路由的研究仍然很多，但有一點是確定的，即任何在現有IP網絡中運行的路由協議，同樣可以在CCN中有效地運行。這是由于CCN節點的轉發機制是基于IP路由器設計的，并且它的限制條件更少。同時，CCN的語義和基本處理機制也與IP路由基本相同 （層次化地址名稱和最長匹配查詢）。

由于 CCN提供了很強的信息安全模型（見§8），因此將CCN作為路由協議的傳輸層可以進一步提高路由信息的安全性。

7.1 內部路由協議

內部路由協議有兩個基本作用，一是用于節點描述其本地連接性（相鄰關系），二是用于節點描述其直接通達路由（地址前綴）。但一般而言，這兩種功能都是在不同的域中實現的。例如，在IS-IS中，相鄰關系是根據以太網的二層MAC地址進行描述的，而路由通達性是通過三層IP地址前綴描述的。

雖然CCN地址前綴和IP地址前綴不同，但是無論是OSPF，還是 IS-IS，都提供了 TLV選項，利用該選項，CCN可以很容易地實現CCN地址前綴的發布。同時，在內部路由協議中規定了對于無法認知的信息可以忽略。所以CCN節點完全可以和現存的運行IS-IS或OSPF的IP網絡直接連接，而不影響其運行。

圖4所示的例子說明了CCN與IP網絡共存的工作情況，其中單圈節點是IP路由器，雙圈節點是IP＋CCN混合路由器。與A相連的媒體倉庫通過CCN廣播向A通告了它能夠提供的內容名前綴 “parc.com/media/art”，A路由器的路由進程收到該信息后，將其添加到FIB中，同時將該前綴封裝到IGP通告（LSA）中向其他節點泛洪。在本例中，節點E先后收到了來自節點A和節點B的CCN路由通告，并把它們都添加到了自己的FIB中，因此當節點E收到一個內容名為“parc.com/media/art/Avatar.mp4”的請求時，將會同時向節點A和B轉發請求。作為中間節點的IP路由器，僅按照IP路由信息轉發該數據包，并不對CCN請求進行處理，而是進行忽略。

CCN路由可以動態產生帶寬和時延接近優化的路由拓撲（例如請求數據包不重復、最短路徑優先等）。但是在本例中，由于網絡中包含純IP節點，這部分節點不能實現CCN功能，以致無法達到優化目的。例如，如果F節點連接的客戶也有與E節點相同的內容請求，那么在AC和BC鏈路上就會存在重復的CCN請求，其原因就是C節點不能執行CCN轉發操作。一旦C節點升級為CCN節點，該問題就得到了解決。

7.2 外部路由協議

當用戶超過一定的規模時，CCN在網絡互聯方面的優勢就體現出來了。因為用戶都只從就近節點的內容存儲器中提取所需的信息（除了第一個用戶），所以內容流的時延大大減少了，同時節省了網間的電路需求和建設成本。

CCN的用戶直接與自己的ISP連接，所以關鍵在于能夠發現內容路由器，只有這樣，才能使用CCN服務。這可以通過改進的DNS服務來實現。不同網絡間可以通過DNS查詢來實現信息的共享。但是，如果兩個CCN不能直接連接，而是通過其他ISP（不含內容路由器）實現互聯，則這兩個CCN就不能實現互訪。此時，需要域間路由提供幫助。CCN之間需要將域的內容前綴信息集成到BGP中以相互通告內容信息。目前BGP像IGP一樣，也可以在域間實現TLV機制，用于支撐向用戶和其他網絡通告內容地址信息。

8 安全機制

CCN的安全機制是基于內容的安全，其基本理念就是對內容本身進行保護，而不是像傳統IP網絡那樣保護網絡和鏈路連接的安全。在CCN中，所有的內容都是經過數字簽名認證的，個人內容需要經過加密保護，任何人要想得到內容，必須先確定能夠得到授權使用該內容。

8.1 內容鑒權

區別于一般的內容鑒權，CCN的內容鑒權是將內容名和內容捆綁在一起進行鑒權的。這樣，內容的發布者可以將內容發布地址集成到內容的鑒權域里，并通過添加補充信息，引導用戶從安全的地址獲取需要的內容。

CCN是可以全網認證的，每個節點（不僅是終端用戶）都可以對相關數據包進行鑒權。鑒權方式是使用公共密鑰簽名對簽名數據包進行認證。簽名算法是發布者根據時延、開銷、數據量等具體需求從一系列的算法中選取的。

每個CCN內容數據包包含了解密所需的相關信息，如加密摘要、指紋等，可以使用戶從本地緩存中得到該密碼。同時，內容數據包還包含了密鑰地址指示信息，指導用戶從遠端得到該密鑰。

這樣，不僅內容得到了保護，內容的來源也得到了保護，網絡實體可以過濾掉非法來源的內容，從而降低對網絡和用戶的攻擊，實現了網絡和內容的安全，也保護了內容的合法使用和發布。

8.2 信任管理

雖然CCN的數據包是點到點傳輸的，但它能夠提供從發布者到用戶的端到端安全。用戶需要決定所收到的內容是否安全，或者是否可以信任。CCN并不是簡單地將發布者統一地劃分為好或者壞，而是由用戶根據具體的應用來判斷。如果是一些商業或法律文件，則需要嚴格慎重；如果僅僅是一些個人博客，可能要求就不高了。

CCN的密鑰是放在一個網絡位置的，這個位置通過CCN數據包進行發布，需要這個密鑰的用戶需要到安全的位置去請求，而層次化的CCN內容名使得這種認證可以是逐層簽名，實現多重保證。

8.3 內容保護和接入控制

CCN最主要的接入控制手段就是加密。CCN并不要求必須是安全的服務器才能接入網絡，或者強制執行安全策略。但無論誰截獲了經過的信息都是沒用的，只有授權的用戶才能解密。

8.4 網絡安全和強化策略

CCN的設計原理可以預防很多種類的網絡攻擊。通過對內容的鑒權，也包括了對路由和策略信息的鑒權，可以有效防止內容的竄改和欺騙。

由于CCN沒有主機的概念，很難采取以主機為目的的攻擊，因此對CCN的攻擊僅限于拒絕服務攻擊和內容隱藏等手段。但是CCN采取了一系列的機制，可以防止非法內容的傳播，所以可以很好地杜絕或者降低這些攻擊的影響。

9 CCN評估

目前已經開展了若干的CCN實驗，主要是通過UDP封裝在現有網絡上進行的。這些實驗分別對CCN的數據傳輸效率、內容傳播效率和語音應用等進行了評估和對比分析，證明了CCN具備很好的網絡特性。

9.1 數據傳輸效率評估

TCP是傳統IP網絡數據傳輸層協議，具有很好的數據吞吐量。實驗表明，在大塊內容傳輸上，CCN的性能略遜于TCP。這是由于CCN數據包的包頭開銷要大一些。圖5顯示，在該實驗中，CCN達到流量峰值的時間要高于TCP（約為5倍），帶寬利用率不到70%，低于TCP的90%。但考慮到實驗是采用UDP封裝的，IP包開銷是疊加在CCN包上的，去除這部分影響，CCN的實際峰值能夠達到80%左右，略低于TCP。

但是，多數用戶在評價網絡傳輸速度時，往往是看網頁下載的速度，所以CCN實驗進一步對比了網頁下載時的速度和效率，發現直接以CCN作為網絡層協議，其網頁下載速度要稍高于傳統HTTP服務，而作為安全內容的傳輸協議，其效率是HTTPS的兩倍，體現了性能優勢。

9.2 內容傳輸效率評估

在上述實驗中，并沒有考慮網絡內容重復問題。實際上，網絡傳輸內容有很多是重復的，而這正是CCN的優勢所在。從圖6所示的實驗結果可以看出，隨著有相同需求的用戶的增加，TCP用戶的下載時間線性增長，而CCN中每個用戶下載內容的時間基本保持不變。

9.3 語音應用評估

CCN的優勢體現在內容的傳輸上，但對于點到點的應用同樣支持。實驗證明，在一些點到點應用中，CCN策略層的存在，使其能夠有效應對網絡中斷等事故的影響，保持通信的持續性。

圖7所示為CCN語音應用實驗結果，可以看出，在部分鏈路中斷時，CCN語音業務仍然可以繼續，并且切換過程對語音業務的影響不大，因為在切換過程中產生的數據包仍然在部分網絡節點中存儲，并沒有丟失。

10 其他相關項目介紹

以內容為中心的框架體系是目前比較熱門的話題，除了 CCN項目，比較有代表性的項目還有 DONA、DOT、PSIRP等。

（1）DONA 項目

DONA是由美國伯克利大學RAD實驗室于2007年在SIGCOMM會議上正式提出的。DONA并不想徹底改變IP網絡的運行機制，而是提出了一種基于新命名體系的域名解析方案來替代現有的DNS。

DONA網絡中的內容是由網絡進行統一管理的。發布者需要向網絡注冊，然后發布。DONA網絡中的信任處理器（RH）可以提供有效的信息處理，它維持一個比較大的轉發表，標記了每個內容的下一跳信息。當內容被定位后，用戶可以按照普通IP路由方法找到并獲取該內容。

可以看出，DONA并不是要取代IP，而是在IP網絡上實現以內容為中心。但這種集成做法會帶來一定的問題，例如內容移動時的通信中斷和內容仿冒攻擊等。

（2）DOT 項目

DOT概念是美國卡內基梅隆大學最早于2006年提出的。DOT是針對HTTP、SMTP等客戶端應用設計的數據傳輸協議，特別適用于大量數據傳輸。因為DOT重點在數據傳輸方式，所以它既適用于新應用，也適用于傳統業務。

近似強化傳送（SET）是DOT的核心。SET是一種多信源下載系統，它可以從不同的信源取得文件“分片”，結果就像從一個信源獲取文件，因此效果比現在通用的P2P軟件更好。SET的一個主要優勢就是可以采用確定量的查詢來檢測出這些不同或相同的信源，并將確定數量的對象映像插入全網查詢表。

（3）PSIRP 項目

PSIRP由芬蘭赫爾辛基科技大學和赫爾辛基信息技術研究院聯合提出，并于2008年1月開始實施，預計將于2010年6月完成初步成果。目前該項目總投資為410萬歐元。

與CCN、DONA等一樣，PSIRP也以內容為中心，按照發布/訂閱（P/S）的方式來重新設計互聯網架構。它是一種對互聯網的徹底改造，甚至連IP也有可能取消。

PSIRP將主要精力放在安全、路由、無線接入、網絡經濟性等部分的架構設計上。新的P/S互聯架構將重建發送者和接收者間的網絡經濟激勵平衡，并且非常適用于未來以內容為中心的用戶應用模式。

PSIRP項目的主要目標如下：

·設計一種基于P/S的以內容為中心的互聯網架構；

·改變目前以位置為中心的方式，將內容作為未來網絡的關注重點；

·提出創造性的組播和緩存特性，以優化網絡性能和有效性；

·提出網絡安全功能模型架構；

·提出并實現可操作的新網絡架構；

·加大宣傳，不斷通過會議、會談、論文、合作等方式提高PSIRP的影響力，影響專家和業界的認識；

·不斷發布研究成果。

PSRIP有著比較完整的系統工作方案和明確的研究目標，但目前還看不到完整的設計方案。

除了以上這些項目，目前還有FP7在2009年提出的旨在促進歐盟互聯網產業發展的4WARD項目[6]和斯坦福大學提出的TRIAD項目[7]等。這些項目都是旨在設計一種以內容為中心的新型互聯網架構。

11 結束語

隨著互聯網內容應用比重的不斷增加，以內容為中心已經成為大勢所趨，全新的以內容為中心的互聯網體系架構勢在必行。

美國、歐洲國家等互聯網強國都紛紛興起了以內容為中心的相關研究，并已經或準備提出新的網絡架構模型，借此繼續占領互聯網產業的制高點。中國作為互聯網全球第一大國，是互聯網的最大市場，在以內容為中心的互聯網體系上，也必然作為互聯網內容的最大獲取市場。新的網絡模型將促成新的商業模型，如果我國不參與相關研究，不能形成我們的主張和觀點，那么在今后以內容為中心的互聯網體系里，我國將面臨比今天還要嚴峻的形勢！

1 Koponen T,Chawla M,Gon C B,et al.A data-oriented(and beyond)network architecture.In:SIGCOMM'07,Kyoto,Japan,2007

2 Tolia N,Kaminsky M,Andersen D,et al.An architecture for Internet data transfer.In:NSDI'06,San Jose,California,USA,2006

3 Project PSIRP.http://www.psirp.org,Jan 2010

4 Project CCNxTM.http://www.ccnx.org,Sep 2009

5 Jacobson V,Smetters K D,Thorton D J,et al.Networking named content.In:CoNext'09,Dec 2009

6 Project FP7 4WARD.http://www.4ward-project.eu,Jan 2010

7 Project TRIAD.http://www-dsg.stanford.edu/triad,Sep 2009