共生網絡
——異構網絡安全高效互聯的體系結構與機理

羅洪斌，張珊，王志遠

（1.北京航空航天大學計算機學院，北京 100191；2.北京航空航天大學軟件開發環境國家重點實驗室，北京 100191；3.數學、信息與行為學教育部重點實驗室，北京 100191；4.未來區塊鏈與隱私計算北京高精尖創新中心，北京 100191）

0 引言

隨著通信網絡技術的飛速發展，已形成多種網絡體制并存的自然趨勢。一方面，不同特征的網絡形態持續涌現，迫切需要不同的網絡體制。具體而言，當前互聯網向陸海空天延展、向實體經濟滲透，相繼形成了車聯網、海洋信息網絡、無人機集群網絡、衛星互聯網、工業互聯網等各種網絡形態。這些網絡形態的特征不僅各不相同，而且顯著區別于傳統以“固定、有線”為主的陸地互聯網。例如，海洋信息網絡具備水聲信道、海面水霧干擾導致的誤碼率高等特征；無人機集群網絡具備節點分割與重組、拓撲（強）時變等特征；衛星互聯網具備拓撲規律性變化、節點間間歇性連通、鏈路時延大尺度變化等特征。由于這些特征的存在，將傳統陸地互聯網中廣泛應用的IP 應用于這些新興網絡形態時，面臨性能惡化甚至不可用的問題。事實上，美國DARPA（Defense Advanced Research Projects Agency）早在2013 年就指出，若將IP 應用于移動自組織網絡，當節點數量超過50 個時，網絡性能急劇下降，導致網絡不可用。為此，DARPA 急于尋求基于非IP 的移動自組織網絡組網方式。

另一方面，隨著互聯網規模和應用范圍持續擴大，其TCP/IP 網絡體制逐步暴露出安全性差、演進難等諸多原始設計缺陷。為了從體系上克服這些缺陷，學術界對新型網絡體制的探索從未停止。事實上，斯坦福大學Cheriton[1]早在1989 年就提出了Sirpent；1990 年，麻省理工學院 Clark 和Tennenhouse[2]提出了 ALF（application layer framing）。后來，主動網絡[3]、Triad[4]、DONA（data-oriented network architecture）[5]、NDN（named data networking ）[6-7]、MobilityFirst[8]、XIA（expresive Internet architecture）[9]、FI（Ifuture Internet for innovation）[10]、SCION（scalability,control,and isolation）[11]、Trotsky[12]、標識網絡[13]等各種網絡體制相繼涌現；NDN 和SCION 等已有小規模應用。這些網絡體制的提出為多體制網絡并存奠定了技術基礎。

同時，從互聯網長期演進的角度看，采用不同網絡體制的異構網絡必然長期共存。首先，當前已然形成IPv4、IPv6、NDN、SCION、標識網絡等共存的局面。其次，網絡體制的演進，必然意味著從一個已有網絡體制演進到一個新網絡體制，而網絡體制的演進是一個長期過程；事實上，IPv4 向IPv6 演進已歷時20 余年，但據Google統計，全球IPv6 流量僅占所有流量的35.53%（截至2021 年12 月6 日）。最后，隨著各種網絡形態日趨異構化，沒有一個網絡體制能適應所有網絡形態；相反，只有根據每種網絡形態的特點為其設計合適的網絡體制，才能充分發揮該網絡形態的優勢[14]。

隨著數據成為生產要素，不同體制的異構網絡只有通過安全高效互聯、打通數據流動通道，才能釋放數據價值。然而，目前仍缺乏異構體制網絡之間安全高效互聯的體系和機理。雖然可以通過協議轉換的方式實現異構體制網絡之間的互聯互通，但是協議轉換不僅效率低下，而且難以保障安全[15]。類似地，盡管FII、Trotsky、ALF 等能夠支持異構體制網絡的互聯互通，但是難以保障安全。

為此，本文介紹共生網絡——異構網絡安全高效互聯的體系結構與機理。首先，分析異構體制網絡安全高效互聯面臨的挑戰與科學問題。然后，分析和研究異構體制網絡互聯而成網絡空間的普適表征機理、體系結構模型、基本工作機理、跨域安全保障機理等。在此基礎上，介紹共生網絡的部分系統實驗結果和共生網絡已經形成的部分能力，如防范跨域攻擊和數據泄露等。最后，介紹共生網絡中還需進一步解決的問題。

1 挑戰與科學問題

本節分析異構體制網絡安全高效互聯面臨的主要挑戰和亟須解決的本質科學問題。

1.1 主要挑戰

建立異構體制網絡安全高效互聯的體系與機理，面臨以下主要挑戰。

1) 體制異構性挑戰。由于不同網絡體制在名字空間、路由機制、尋址方式、分組格式等方面存在巨大差異，一種網絡體制的分組無法直接在采用另一種體制的網絡里轉發。目前的通用做法是在邊界網關處進行協議轉換，但存在至少三大缺點。第一，協議轉換效率低、跨域安全性難以保障。第二，負責協議轉換的網關同時連接2 個（甚至多個）異構體制的網絡，使協議轉換出現錯誤甚至惡意轉換時難以追責。第三，當一種網絡體制的原始分組通過協議轉換成另一種網絡體制的新分組時，新分組通常不能完整準確地反映原始分組的語義，導致語義損失，尤其是當分組跨越多個異構體制的網絡時，多次協議轉換會導致嚴重的語義損失，甚至影響正常通信。

2) 安全保障挑戰。隨著互聯網向實體經濟滲透，網絡和數據安全日益重要。采用不同體制的異構網絡需要在互聯的同時，既能防范來自其他網絡的攻擊，又能有效防止網絡內部的數據被泄露。例如，對于一個工廠的網絡，其既希望與其他網絡互聯從而提高生產效率，又不希望遭受來自外網的網絡攻擊，同時也需要保障數據安全，防止數據被非法泄露到外網，影響企業安全與發展。

3) 信息高效分發挑戰。眾多異構體制網絡互聯的根本目的在于高效實時共享/分發數據，促進數據流通，釋放數據價值，但如何充分利用各種數據傳輸通道、減少重復傳輸、提高數據傳輸效率面臨挑戰。

4) 可擴展性挑戰。一方面，眾多異構網絡互聯之后，每個網絡原有的規模可擴展性應不受影響；同時，互聯體系要能夠支持數十萬、數百萬甚至數千萬異構的固定和移動網絡安全高效互聯。

5) 普適性挑戰。互聯體系既要能夠互聯已有的異構體制網絡，又要能夠互聯未來采用新體制的網絡；同時，互聯體系要允許現在采用某種體制的網絡未來升級成另一種新體制。此外，互聯體系既要能夠支持固定網絡間的互聯，又要能夠支持固定網絡和移動網絡間的互聯，還要能夠支持移動網絡間的互聯。

1.2 本質科學問題

為了克服上述主要挑戰，必須解決以下2 個相互關聯的本質科學問題。

科學問題1異構網絡互聯而成的網絡空間的普適表征問題。對事物進行科學表征是正確認識事物的重要手段（甚至是基礎與前提）。對異構體制網絡互聯而成的網絡空間而言，不同網絡體制在名字空間及其基礎上的路由機制、尋址方式等方面存在巨大差異。例如，IPv4 網絡采用32 bit 的IPv4 地址，IPv6 網絡采用128 bit 的IPv6 地址，NDN 采用內容名字。當眾多異構體制網絡互聯時，應該用哪些名字空間對互聯而成的網絡空間進行普適化表征？顯然，由于網絡體制的差異性，不可能用單一名字空間表征互聯而成的網絡空間，而必須采用多維名字空間。其難點在于，究竟應該采用哪些維度的名字空間。如果名字空間的維度太多，不同維度名字空間之間的映射可能會變得十分復雜而使效率低下；反之，又難以滿足安全高效互聯的需求。對每一個維度的名字空間該如何命名與表征，才能既實現高效互聯，又能保障網絡的安全和規模可擴展性？

科學問題2多維名字空間的協同與耦合問題。雖然每個網絡可以用其路由、尋址和轉發等方式，完成數據在該網絡內部的傳遞，但當2 個網絡采用的體制不同時，如何充分利用各種網絡的分組投遞功能，同時克服不同網絡內部的潛在安全缺陷，實現數據的跨域傳遞并保障跨域互聯安全？這又包含如何發現跨域資源、如何確定數據的跨域投遞路徑、如何實現分組高效跨域轉發、如何認證節點合法性、如何防范跨域攻擊和數據泄露、如何快速精準溯源等諸多問題。顯然，解決上述諸多問題需要多維名字空間之間進行分工、協作甚至耦合，才能克服前述主要挑戰，實現異構體制網絡的安全高效互聯。其難點在于，解決上述每個問題各自需要哪些名字空間（即如何分工和協作），這些名字空間能否復用，如何復用（即協同與耦合）？

2 共生網絡

本節介紹共生網絡——一種實現異構體制網絡安全高效互聯的體系結構與機理。針對科學問題1，提出共生網絡對異構體制網絡互聯而成網絡空間的普適表征機理。針對科學問題2，基于前述普適表征機理，給出共生網絡的體系結構模型，建立共生網絡的基本工作機理和共生網絡的跨域安全保障機理。

2.1 普適表征機理

如前所述，必須采用多維名字空間對異構網絡互聯而成的網絡空間進行普適化表征。然而，隨著互聯網發展成為網絡空間，互聯網涉及經濟、社會等眾多維度，為普適化表征帶來巨大挑戰。因此，必須抓住互聯網最本質的特征。雖然社會上廣泛認為互聯網最本質的特征是提供“連接”，但近年來學術界逐步認識到，互聯網最本質的特征是傳遞信息，而提供連接僅僅是手段。相應地，產業界提出了眾多以信息為中心的網絡體系架構[6-8]。

本文團隊通過長期深入研究發現，傳遞信息是互聯網（或者網絡空間）的功能本質，涉及以下5 個相互獨立的自然屬性：①傳什么（即內容屬性），② 傳給誰（即身份屬性），③傳到哪（即位置屬性），④怎么傳（即手段屬性），⑤何時傳（即時間屬性）。由于網絡空間的信息傳遞絕大多數情況下是即時的，且已有對時間的普適表征方法（即年、月、日、時、分、秒），后文不再單獨考慮時間屬性，而是在共生網絡的工作機理、安全保障機理中利用時間屬性。

根據上述自然屬性，共生網絡利用以下4 個名字空間對異構網絡互聯而成的網絡空間進行普適化表征：內容名字，即SID（service identifier），用于表征傳什么；節點標識（NID,node identifier），用于表征傳給誰；各類地址（address），用于表征傳到哪；路徑標識（PID,path identifier），用于表征怎么傳。

2.1.1 內容名字

內容名字由兩部分構成。當一個節點要跨網提供一個內容時，該內容的名字SID 為NID+N，其中，NID 為該節點的節點標識；N為該節點為該內容生成的唯一標識，對靜態內容而言，N為內容的哈希，對動態內容或者服務而言，N由節點NID 指定。采用這種層次化的內容名字，便于網絡間通告內容名字時進行內容名字的聚合（類似IP 前綴聚合），從而保障網絡的規模可擴展性。

2.1.2 節點標識

盡管每個網絡可以用各自的方式描述節點身份，共生網絡采用層次化、具備自證明特征的節點標識，既便于聚合保障網絡的規模可擴展性，又便于進行安全認證。具體而言，對每一個需要進行跨域通信的節點，其節點標識由兩部分構成：網絡部分和自證明部分。網絡部分代表節點在哪個網絡，由IANA（Internet assigned numbers authority）分配，網絡部分的長度為32 bit，便于與現有互聯網兼容。自證明部分由一個公鑰/私鑰對生成，是公鑰的128 bit 哈希值，私鑰則由該節點保管而不向外通告，一個節點的自證明部分由該節點自身生成，并通過所在網絡保證唯一性，出現沖突時則重新生成。

2.1.3 各類地址

每種網絡體制可以有自己的地址，如IPv4、IPv6、地理坐標等，便于根據網絡特點在網內進行分組轉發，從而充分發揮該網絡的優勢。這樣，共生網絡可以兼容現有的IPv4、IPv6 等網絡體制，從而實現各種不同網絡的共生融合。

2.1.4 路徑標識

共生網絡的核心目的是利用各種異構體制網絡，完成網絡之間的信息傳遞。由于這些網絡有的采用分組交換，有的采用電路交換，因而共生網絡采用分組交換的方式跨域傳遞信息。與IPv6試圖替代IPv4 不同，共生網絡旨在利用已有的各種網絡進行分組轉發。分組在跨越某種體制的網絡時，可以在相應入口路由器處封裝上該網絡體制的報頭，然后用該報頭將分組轉發到相應的出口路由器，最后由出口路由器將相應報頭解封，并轉發給下一個網絡（類似IP 分組跨越數據鏈路層異構的網絡）。因此，共生網絡重點關注異構網絡之間的分組轉發。

異構網絡之間的互聯方式繁多，2 個網絡既有可能利用光纖直連，也有可能利用IP 隧道連接，或者通過交換中心，如 IXP（Internet exchange point）連接，還有可能通過無線連接。同時，2 個網絡之間的連接通道也可能不是一條，而是多條；即使只有一條通道，該通道中2 個網絡的端點也可能隨著時間變化（如通過無線連接時，節點移動會導致通道的端點變化）。因此，共生網絡不關注某種具體的連接方式，而是對這些連接方式進行統一抽象。

本質上，隨著互聯網發展成為網絡空間，網絡間的互聯關系逐漸演變成人類社會關系在網絡空間的投射，即網絡間根據社會（商業）關系建立域間路徑，而連接方式是實現這種社會關系的具體手段。相應地，給定2 個網絡間的連接關系，其連接方式可以多種多樣。因此，共生網絡對網絡間的域間路徑（代表社會關系）進行命名。具體而言，共生網絡為每條域間路徑分配一個域間路徑標識前綴PX。假定域間路徑標識的長度為Lbit，路徑標識前綴PX 的長度為lbit，則PX 代表2L-l個連續的域間路徑標識，其中第一個域間路徑標識能夠被2L-l整除。例如，設L=32，l=24，則路徑標識前綴192.168.10.0/24 代表了192.168.10.0,192.168.10.1,…,192.168.10.255 共256 個連續的域間路徑標識。

由于域間路徑的數量眾多，共生網絡按照“正交復用”的原則為域間路徑分配域間路徑標識前綴。給定2 個網絡A 和B，以及A 和B 間的一條域間路徑P0，此外分別有M和N條域間路徑。記A、B 與所有相鄰網絡的域間路徑集合分別為

記PXj(Y)為域間路徑Pj(Y)的域間路徑標識前綴，其中Y代表A 或B，j=1,2,…,max(M,N)，路徑標識前綴的分配如圖1 所示。正交分配是指任意給定j≠ 0，PXj(Y)與PX0沒有交集，即沒有相同的域間路徑標識。然而，在滿足正交分配的原則下，PX0可以被網絡中的多條域間路徑復用，從而避免集中分配域間路徑標識，既降低分配域間路徑標識的復雜性，又防止壟斷。例如，PX0可以同時分配給圖1中虛線示意的兩條域間路徑。

圖1 路徑標識前綴的分配

2.2 共生網絡的體系結構模型

TCP/IP 網絡體系結構模型和共生網絡體系結構模型如圖2 所示。如前所述，共生網絡旨在通過各種體制異構網絡的跨域安全互聯，實現信息的跨域傳遞。因此，共生網絡的物理層、數據鏈路層與已有網絡體制類似。在網絡層，共生網絡在充分利用IPv4、IPv6 等各種網絡體制的同時，引入域間PID 進行跨域分組轉發。在網絡層之上，共生網絡抓住網絡傳遞信息的功能本質，引入內容路由層，通過內容名字SID 進行跨域互聯，從而屏蔽各種網絡體制的差異。需要指出的是，根據部分網絡的特點，內容路由層可以直接運行在數據鏈路層之上，而不是必須運行在網絡層之上。最上層是應用層，與內容名字（而非IP 地址）綁定。

圖2 TCP/IP 網絡體系結構模型和共生網絡體系結構模型

與TCP/IP 網絡體系結構模型相比，共生網絡體系結構模型沒有顯式的傳輸層。然而，這并不代表共生網絡不需要傳輸協議；相反，本文認為應該有各種傳輸協議組成的協議庫，供各種應用根據需要調用，從而鼓勵各種傳輸協議的創新與應用。當然，某些應用也可以不調用協議庫中的傳輸協議，而是將擁塞控制等功能內嵌到應用中，類似Chrome內嵌QUIC（quick UDP Internet connection）。

2.3 共生網絡的基本工作機理

共生網絡的基本工作機理包含三方面：域內域間解耦的路由組織模式、內容名字驅動的跨域互聯模式、“以拉促推、推拉結合”的跨域通信模式，分別介紹如下。

2.3.1 域內域間解耦的路由組織模式

由于不同體制網絡采用的名字空間、分組格式、分組轉發方式等存在差異，共生網絡嚴格區分域內和域間路由。域內路由根據每個網絡采用的網絡體制確定；相應地，每個網絡內部的分組轉發方式也由其采用的網絡體制確定。

相反，共生網絡用域間路徑標識進行跨域分組轉發。為此，每個網絡的邊界路由器需要維護一個域間路由表，其中的一個路由表項對應一個域間路徑標識前綴。該表項記錄該域間路徑標識對應的域間路徑連接的網絡、去往該網絡的下一跳節點、去往下一跳節點的通信方式等。例如，圖1 中邊界路由器R2的域間路由表如表1 所示；其中設網絡B 采用IPv4，且網絡A 的邊界路由器R1和網絡B 的邊界路由器R2之間使用多協議標簽交換（MPLS,multi-protocol label switching）。表1 中的第一行對應域間路徑標識前綴PX0的表項，記錄了該前綴對應的域間路徑（即R1～R2）連接的是網絡A，去往A 的下一跳節點是R1，且通過封裝MPLS 報頭可將分組從邊界路由器R2發給R1。類似地，表1 中的第二行對應域間路徑標識前綴PX1(B)的表項，記錄了該前綴對應的域間路徑（即R0～R9）連接的是網絡D，去往D 的下一跳節點是邊界路由器R9，且通過封裝IPv4 報頭可將分組從邊界路由器R2發給R9。

表1 路由器R2 的域間路由表

當邊界路由器收到（攜帶域間路徑標識）的分組時，通過查找域間路由表，可知應該將該分組發往哪個下一跳節點。例如，當圖1 中的邊界路由器R2收到一個攜帶域間路徑標識PID（屬于PX0）的分組時，R2通過查找其域間路由表可知，應該將該分組發送給網絡A 的邊界路由器R1；類似地，當R2收到一個攜帶域間路徑標識PID（屬于PX1(B)）的分組時，R2通過查找其域間路由表，可知應該將該分組發送給網絡B 的邊界路由器R9。這里需要說明以下幾點。

1) 2.1 節所述域間路徑標識的正交分配原則，保證了每個域間路徑標識在某個給定邊界路由器最多只能匹配一個路由表項，使邊界路由器可以利用精確匹配（而不是最長前綴匹配）進行路由表的查找，從而提高查表效率。

2) 由于每個網絡的鄰域數量較少，邊界路由器所維護域間路由表的規模較小，從而保障了共生網絡跨域互聯的規模可擴展性。事實上，截至2021年12 月14 日，互聯網中一個自治系統（AS,autonomous system）的鄰域數量最多為9 259 個。即使2 個鄰域之間有4 條域間路徑，共生網絡中域間路由表的規模也不到4 萬條。與此對比，現有互聯網核心網路由表中的路由條目已超過93 萬條，是共生網絡域間路由表規模的23 倍。由于存儲小規模路由表所需的三態內容尋址存儲器（TCAM,ternary content addressable memory）更小，且TCAM能耗極高，因此共生網絡邊界路由器的能耗將低于IP 路由器。

3) 由于2 個網絡之間的域間路徑數量由它們之間的社會關系確定，這使2 個網絡之間的連接關系相對穩定，因而共生網絡中的邊界路由器不會頻繁更新域間路由表，具有更好的路由穩定性。相反，IPv4 核心網路由器的路由表頻繁更新，例如2021 年12 月2日BGP（border gateway protocol）的峰值更新速率高達7 899 前綴/秒，均值也高達18.19 前綴/秒。

4) 為每條域間路徑分配一個域間路徑標識前綴（而不是一個固定的域間路徑標識），使共生網絡可以利用內容名字、節點標識等信息，耦合生成域間路徑標識，從而實現安全的跨域互聯。

從上面的描述可以看出，通過將域內域間路由解耦，并用域間路徑標識轉發跨域分組，共生網絡能夠支持各種異構網絡的融合共生。同時，一個網絡所用網絡體制的更新換代，不會影響其他網絡，也不需要其他網絡的協同。因此，共生網絡不僅具備很好的普適性，而且可以鼓勵網絡體制的創新與應用。

2.3.2 內容名字驅動的跨域互聯模式

如前所述，盡管不同網絡體制采用的名字空間、分組格式等不同，但它們的功能本質相同，即傳遞信息。因此，共生網絡為網絡中的信息（或內容）命名，并在網絡間通告內容名字的可達性，屏蔽網絡異構性的同時實現跨域互聯。

由于網絡體制不同，且不希望改變每個網絡體制的既有工作方式，使共生網絡不能像IP或者NDN那樣，在每個路由器通告內容名字的可達性（雖然新網絡可以嘗試這樣做）。因此，共生網絡在每個網絡部署一個邏輯上集中但可分布式實現的資源管理器（RM,resource manager），以層疊的方式在該網絡運行。每個資源管理器維護一個內容路由表，記錄內容名字的可達性。內容路由表中的每個路由條目對應一個內容名字（前綴），記錄去往相應內容提供者的下一跳節點，去往內容提供者的下一跳網絡、該資源管理器所在網絡與下一跳網絡之間的域間路徑標識前綴等信息如表2 所示。

表2 資源管理器RMb 維護的內容路由表

當一個內容提供者要將某個內容向其他網絡提供時，該內容提供者首先向其本地資源管理器通告相應內容名字。內容名字（前綴）通告如圖3 所示，當內容提供者S2有名為SID1和SID2的內容要向外提供時，其先將SID1和SID2通告給本地資源管理器RMc。本地資源管理器收到該內容名字通告后，首先檢查其內容路由表中是否記錄有相應內容名字的表項。如果有，則檢查內容提供者與表項中記錄的內容提供者是否相同；如果相同，則更新相應條目的TTL（time to live）值。如果內容路由表中沒有記錄相應的內容名字，或者記錄的下一跳節點與通告消息中的內容提供者不同，則為該內容名字增加一個表項，表項中的下一跳節點為發送該內容名字通告的節點，下一跳網絡和PID 前綴為空。之后，本地資源管理器根據策略將該內容名字通告消息發送給鄰域；如圖3 所示，RMc將通告消息發送給RMb。

圖3 內容名字（前綴）通告

需要注意的是，資源管理器在將內容名字通告消息發送給鄰域之前，需將資源管理器所在網絡和鄰域之間的域間路徑標識前綴添加到內容名字通告消息中。這樣，資源管理器所在網絡的邊界路由器可以根據該域間路徑標識前綴將該通告消息發送給鄰域；同時，鄰域的資源管理器收到該內容名字通告消息后，也可以知道該內容名字通告消息來自哪個網絡。

當資源管理器收到從鄰域發來的內容名字通告消息時，檢查其內容路由表中是否記錄有相同內容名字的表項。如果有，則檢查表項中的下一跳網絡是否與內容名字通告消息中攜帶域間路徑標識前綴對應的鄰域相同；如果相同，則更新相應條目的TTL 值。如果內容路由表中沒有記錄相應的內容名字，或者記錄的下一跳網絡與內容名字通告消息中對應的網絡不同，則為該內容名字增加一個表項，表項中的域間路徑標識前綴通告消息中攜帶域間路徑標識前綴，下一跳網絡為該域間路徑標識前綴對應的鄰域。例如圖3 中，當資源管理器RMb接收到從鄰域C 發來的內容名字通告消息時，則將內容名字SID1和SID2加入其內容路由表，如表2中第一行和第二行所示。此后，資源管理器根據策略，將該通告消息發送給鄰域。

需要指出的是，由于內容名字的層次化設計，資源管理器可以對鄰域通告的內容名字進行聚合。例如表2 中，當SID1和SID2中的NID 部分相同時，RMb可以將這2 個表項聚合成一個只包含NID 的表項。通過聚合，可以減少內容路由表的條目數量和內容名字通告數量，保障網絡的規模可擴展性。

2.3.3 “以拉促推、推拉結合”的跨域通信模式

IP 采用“推”的通信模式，網絡中一個節點可以向任意節點主動推送任意數量的分組，可能會導致網絡攻擊泛濫[16]。NDN 顛覆了IP 推的通信模式，采取“拉”的通信模式[7]；但是NDN 中的每個請求只能返回一個數據分組，導致請求分組數量太多。因此，共生網絡采用“以拉促推、推拉結合”的跨域通信模式。共生網絡的通信模式如圖4 所示，當一個用戶U 需要獲取某個內容時，向其本地資源管理器（圖4 中RMa）發送一個請求消息；該請求消息包含所需內容的內容名字（如SID1）、請求者U 的節點標識等信息。當本地資源管理器RMa收到該請求消息時，查詢其內容路由表，得知應該將該請求消息發送給鄰域B，且去往鄰域B 的下一跳為邊界路由器R1，R1與鄰域B 間的域間路徑標識前綴為PX0。此時，資源管理器RMa用式(3)為該請求消息計算一個域間路徑標識PID1（屬于路徑標識前綴PX0），然后將該域間路徑標識添加在請求消息的尾部，并將該請求發送給邊界路由器R1。邊界路由器R1收到該請求后，通過PID1得知應該將該請求消息轉發給鄰域B 的邊界路由器R2。

圖4 共生網絡的通信模式

當邊界路由器R2收到該請求消息后，將該請求消息轉發給其本地資源管理器RMb。資源管理器RMb收到請求消息后，查找其內容路由表，得知應該將該請求消息發送給鄰域C，且去往鄰域C 的下一跳為邊界路由器R7，R7與鄰域C 間的域間路徑標識前綴為PX2(B)。類似地，資源管理器RMb為該請求消息計算一個域間路徑標識PID2（屬于路徑標識前綴PX2(B)），然后將PID2添加在請求消息的尾部，并將該請求發送給邊界路由器R7。邊界路由器R7收到該請求后，通過PID2得知應該將該請求轉發給鄰域C 的邊界路由器R8。

當邊界路由器R8收到該請求消息后，將該請求消息轉發給其本地資源管理器RMc。資源管理器RMc收到請求消息后，查找其內容路由表，得知應該將該請求消息發送給內容提供者S2。內容提供者S2收到RMc發來的請求消息時，通過請求消息中的SID1，得知用戶U 需要的內容；通過請求消息中攜帶的域間路徑標識PID2和PID1，得知去往用戶U的域間路徑。此時，內容提供者S2將SID1對應內容以分組的形式推送給用戶U，其中每個分組都應攜帶域間路徑標識PID2和PID1，用戶U 的節點標識以及SID1。

事實上，內容提供者S2根據域間路徑標識PID2，可知應該將分組發送給邊界路由器R8；而R8根據域間路徑標識PID2，可知應該將分組發送給邊界路由器R7。邊界路由器R7收到分組后，首先用式(3)校驗PID2的合法性，若PID2非法，邊界路由器R7直接丟棄該分組，否則邊界路由器R7根據域間路徑標識PID1，可知應該將分組發送給邊界路由器R2；而R2根據域間路徑標識PID1，可知應該將分組發送給邊界路由器R1。若PID1合法，邊界路由器R1則將分組發送給用戶U。

需要指出三點。首先，請求消息在從用戶U 轉發到內容提供者的過程中，會收集沿途各個網絡的最大傳輸單元（MTU,maximum transmission unit），從而便于內容提供者封裝合適大小的分組。其次，內容提供者在向用戶U 推送分組的過程中，涉及擁塞控制等。最后，內容提供者可以對用戶分組進行加密傳輸。

2.4 共生網絡的跨域安全保障機理

隨著互聯網與實體經濟深度融合，眾多網絡在互聯互通的同時，迫切需要保障跨域互聯安全，包含2 個主要方面：攻擊數據進不來，隱私數據出不去。攻擊數據進不來，意味著凡是未經某個網絡允許進入該網絡的數據，都不能進入該網絡；隱私數據出不去，意味著凡是未經某個網絡允許發送到網外的數據，都不能被轉發到該網絡之外。為了實現上述目標，共生網絡基于前述基本工作機理，通過將多維名字空間的耦合與協同，建立了跨域安全保障機理。

2.4.1 基于路徑標識耦合生成的跨域攻擊防范機理

如前所述，每個網絡的資源管理器在通過某條域間路徑（對應域間路徑標識前綴PX）向鄰域轉發跨域請求消息時，會為該請求消息生成一個域間路徑標識PID[17]。假設一個請求消息攜帶的內容名字為SID，請求者的節點標識為NID，該請求消息攜帶的域間路徑標識為 PID0（若未攜帶，則PID0=0）。該資源管理器所在網絡周期性生成一個私密的隨機數（SN,secret number），并按照式(3)生成域間路徑標識PID。

其中，||為連接運算符，將lbit 的PX 與L-lbit 的HMAC 連接成Lbit 的域間路徑標識PID；HMAC按照式(4)耦合生成。

在實際實現時，f(·)為單向散列函數，既便于資源管理器高效計算，又難以被其他節點偽造（因為不知道SN）[18]。當該資源管理器的邊界路由器收到一個分組時，根據上述域間路徑標識的生成機理，校驗分組中攜帶域間路徑標識的合法性。只有當域間路徑標識合法時，才繼續轉發該分組；否則，丟棄該分組。同時，邊界路由器還可以維護一個計數器，記錄從鄰域發來的攜帶非法域間路徑標識的分組數量。如果沒有攻擊行為發生，則域間路徑標識不會出錯。這是因為雖然信道有誤碼率，但考慮到數據鏈路層糾錯，則域間路徑標識不會出錯。相反，即使有攻擊行為，也可以被快速檢測，且攻擊數據分組在邊界路由器處被丟棄而不能進入網絡。

同樣，這里需要指出兩點。首先，由于域間路徑標識的空間有限，攻擊者可以低速率猜測某個網絡用于計算域間路徑標識的SN；因此，每個網絡應該周期性改變SN。但是，當SN 改變后，上一周期生成的域間路徑標識不能用當前周期的SN 進行校驗。為此，邊界路由器需要用2 個周期的SN 分別校驗域間路徑標識；只要其中一個可以得到合法的域間路徑標識，即可放行分組。其次，式(4)中計算HMAC 時，使用了上一跳域間路徑標識PID0，從而將請求消息和分組經過的所有域間路徑“鏈接”起來，使攻擊者更難偽造合法的域間路徑標識。

2.4.2 基于多維名字逐分組過濾的數據泄露防范機理

為了實現隱私數據出不去，內容提供者所在網絡的資源管理器和邊界路由器基于多維名字空間，對出網數據分組進行逐分組過濾。為此，邊界路由器維護一個請求列表；該列表中的每一個條目對應一個內容名字，記錄了以下信息。

1) 發送該請求的用戶（圖4 中U），保證數據僅能發送給對應的用戶。

2) 該請求經過的域間路徑標識序列（圖4 中的PID1和PID2），保證數據僅能根據指定路徑發送給對應的用戶。

3) 內容提供者的節點標識（圖4 中的S2），防止網絡內的其他節點通過偵聽獲取U、域間路徑標識序列、SID 等信息后，利用這些信息將隱私數據發送到網外。

共生網絡中基于多維名字逐分組過濾的數據泄露防范機理如圖5 所示。當邊界路由器收到請求消息后，將該請求消息轉發給其本地資源管理器，如圖5 中(1)所示。資源管理器查詢其內容路由表，如果未能找到請求消息中攜帶內容名字對應的條目，則將該請求消息作為異常信息甚至請求分組攻擊告警；如果找到對應的條目，則向邊界路由器發送通告，將內容提供者的節點標識發送給邊界路由器，如圖5 中(2)所示。同時，資源管理器向內容提供者轉發該請求消息，如圖5 中(3)所示。邊界路由器收到該通告后，在請求列表中為請求的內容名字增加一個條目。當內容提供者收到請求消息后，將相應內容以分組形式經邊界路由器發送給內容請求者，如圖5 中(4)所示。邊界路由器收到分組后，查詢其請求列表，并將分組中攜帶信息與表中記錄的信息進行比對。只有比對成功，才向外網轉發該分組。當內容提供者發送完畢相應數據后，向邊界路由器發送一個通告消息，讓其從請求列表中將相應內容名字對應的條目刪除，從而減少請求表的規模，如圖5 中(5)所示。

圖5 數據泄露防范機理

需要指出的是，上述數據泄露防范機理僅從網絡的角度進行考慮，若上層應用被敵手控制并利用共生網絡的合法通信流程，將數據編碼在合法數據中傳給網外，則是共生網絡解決不了的。因此，保障應用本身的安全，在共生網絡中依然十分重要。不過，只要將邊界路由器的請求表作為日志進行記錄，即可追蹤數據在何時、從哪個節點、沿什么路徑、被泄露到了哪里，從而便于威懾和發現數據泄露者。

3 系統驗證與能力生成

本文開展了大規模仿真，研發了協議軟件，研制了原型設備，構建了原型系統，對共生網絡的上述工作機制和機理的可行性與正確性進行了驗證。下面介紹原型系統的部分實驗結果和目前已經生成的部分能力。

3.1 原型系統的實驗結果

本文從大規模仿真和小規模原型系統實驗2個方面，對共生網絡的基本工作機制和跨域安全保障機理等進行了驗證。首先，基于OMNet++仿真軟件，構建了包含3 萬個網絡（含IPv4 網絡、IPv6 網絡、NDN、基于路徑標識和內容名字進行轉發的網絡[19-20]）、20 萬個節點的大規模仿真環境，驗證了共生網絡基本工作機制和跨域安全保障機理的可行性與正確性[21]。其次，研發了協議軟件，研制了原型設備，構建了如圖6 所示的原型系統，開發了文件傳輸、視頻傳輸、Web 瀏覽等典型應用，驗證了共生網絡的實用性，并成功驗證了共生網絡的跨域攻擊防范和數據泄露防范能力[22]。限于篇幅，本文僅給出邊界路由器和資源管理器等共生網絡核心設備的性能測試結果。

圖6 原型系統

3.1.1 邊界路由器的性能測試結果

邊界路由器性能測試采用兩臺Dell PowerEdge R740 服務器，服務器CPU 型號為Intel(R) Xeon(R) Gold 5218，操作系統為Ubuntu 16.04，DPDK 版本為17.11.10，網卡型號為Intel(R) Ethernet Converged Network Adapter XL710-Q2，具有2 個40 Gbit/s 端口。在一臺服務器上運行邊界路由器程序，另一臺服務器上運行發包軟件，兩臺服務器的2 個網口分別通過兩根光纖直連，由發包軟件向邊界路由器發送數據分組并統計邊界路由器的轉發速率。

當數據分組總長度為1 108 B、邊界路由器維護的域間路由表表項數量為100 時，邊界路由器轉發數據分組的性能測試結果如圖7 所示。

圖7 邊界路由器轉發數據分組的性能測試結果

從圖7 可以看出，邊界路由器目前每秒可以處理19.4～ 23.4 Gbit/s 的入網流量，對應219 萬～264 萬分組。需要指出的是，隨著表項數量的增加，路由器能夠處理的入域數據分組流量僅略有降低。這主要是因為路由表查找采用精確匹配，且式(3)用的哈希算法跟路由表大小無關[23]。邊界路由器目前每秒可以處理14.5～27.3 Gbit/s 的出網流量，對應164 萬～308 萬分組。同時，隨著出網數據對應內容名字的增加，路由器處理的出網數據流量逐步下降。這主要是因為，為了防止數據泄露并對數據的流向進行精細粒度管控，數據源所在網絡的邊界路由器在轉發出網分組時，不僅需要查找分組中攜帶的SID 是否在出域數據管控表中，而且要將該分組中攜帶的域間路徑標識序列與表中記錄的序列進行比對。IP 流量可以充分利用40 Gbit/s 的帶寬，這主要是因為IP僅做盡力而為的分組轉發，而不做哈希校驗等安全操作。

3.1.2 資源管理器的性能測試結果

資源管理器的性能測試環境與上述邊界路由器相同。表3 給出了資源管理器在不同情形下轉發請求包的性能測試結果[24-25]。結果顯示，當資源管理器不為請求包耦合計算域間路徑標識時（第一行和第三行），目前每秒能夠轉發超過300 萬個請求；而耦合計算域間路徑標識時（第二行和第四行），資源管理器目前每秒只能轉發100 萬個左右的請求。需要說明的是，上述結果是單核處理場景；若采用多核處理，可以提升轉發性能。同時，當用戶需求太大時，可以采用分布式處理。

表3 資源管理器在不同情形下轉發請求包的性能測試結果

3.2 已經生成的能力

目前，共生網絡已經形成了跨域攻擊防范、數據泄露防范、精準實時溯源、精準實時態勢感知、精細粒度管控等一系列能力，簡要介紹如下。

3.2.1 跨域攻擊防范能力

如前所述，共生網絡的域間路徑標識耦合生成機理，用節點標識、內容名字等信息耦合生成域間路徑標識，使攻擊者難以偽造域間路徑標識。結合共生網絡以“拉促推、推拉結合”的跨域通信模式，使一個節點只有收到請求者發送的請求并從中獲得合法域間路徑標識（序列），該節點才能將數據分組發送到請求者；否則，數據分組會因為攜帶的域間路徑標識非法而被邊界路由器丟棄，而不能到達請求者。正因如此，共生網絡能夠從根本上防范IP 網絡中廣泛存在的反射攻擊。

然而，共生網絡中的內容提供者要將內容名字通告給外網，且要接收外網發來的請求消息。因此，共生網絡中的內容提供者有可能遭受請求分組攻擊，即攻擊者通過發送大量請求消息來實施攻擊。幸運的是，共生網絡很容易檢測與防范請求分組攻擊[26]。若攻擊者發送大量合法請求（即請求的內容名字確實存在），則將會有數據分組返回給攻擊者。由于一個請求消息對應的內容通常需要多個數據分組進行發送，且數據分組的大小通常遠大于請求消息的大小，攻擊者發送大量合法請求時，易形成針對攻擊者自身的反射攻擊。因此，攻擊者通常不會通過發送合法請求實施攻擊。若攻擊者通過發送非法請求進行攻擊，則由于請求的內容名字不存在，這樣的請求很容易被檢測。此時，請求消息中攜帶的域間路徑標識（序列），可以被用于對攻擊者的精準溯源，從而阻止攻擊[26]。

3.2.2 數據泄露防范能力

共生網絡基于多維名字逐分組過濾的數據泄露防范機理，能夠有效阻止數據在未經授權的情況下被泄露到外網。一個數據要被合法發送到外網，數據提供者必須要將該數據的內容名字通告給外網。為了防止內容名字通告過程中出現數據泄露，共生網絡采取了兩點措施。首先，通告消息必須經其本地資源管理器轉發；其次，共生網絡設計了不同的分組類型，嚴格區分通告消息、請求消息和數據分組，而通告消息和請求消息的格式固定且不能承載數據[27]。

3.2.3 精準實時溯源能力

共生網絡中，請求消息和數據分組均攜帶域間路徑標識（序列）。一個內容提供者只需維護域間網絡拓撲（網絡、域間路徑及域間路徑標識），通過將域間路徑標識與網絡拓撲進行匹配，即可準確知道請求分組的來源網絡。相應地，內容提供者也可以準確知道數據分組的去向網絡。類似地，內容請求者只需通過將數據分組中攜帶的域間路徑標識序列與域間網絡拓撲進行匹配，即可知道數據分組的來源網絡。邊界路由器也可以利用同樣的方法，準確知曉數據分組的來源網絡和去向網絡。因此，共生網絡能夠提供針對單個數據分組的精準溯源能力[26]。

在溯源實時性方面，將單個域間路徑標識與網絡拓撲進行匹配的最優時間復雜度為O(1)；假設數據分組/請求消息中攜帶的域間路徑標識數量為M，則對單個數據分組/請求消息進行溯源的最優時間復雜度為O(M)[26]。本文在自治域規模為60 000 的網絡中，評估了針對單個數據分組的溯源開銷如圖8 所提方法（基于哈希查找的匹配）針對單個數據分組的溯源時間及存儲空間占用情況，并將其與3 種經典的方法進行了對比，包括最長前綴匹配、精確匹配、基于二分查找的匹配，結果如圖8 所示。從圖8(a)中可以看出，在數據分組/請求分組中攜帶5 個域間路徑標識的情況下，針對單個數據分組的溯源時間低至10 μs。從圖8(b)中可以看出，結合拓撲分解與匹配優化，所提方法實現實時溯源所需的存儲空間不到14 MB。

圖8 共生網絡中針對單個數據分組的溯源開銷

3.2.4 精準實時態勢感知能力

共生網絡體系下，內容提供者、內容請求者、邊界路由器等能夠精準實時感知網絡的跨域流量等態勢[26]。如上所述，內容提供者可以對收到的每個請求分組進行精準溯源；相應地，內容提供者可以清楚知曉該請求分組的來源網絡和從來源網絡到請求者經過的所有網絡。因此，給定域間網絡拓撲，內容提供者可以精準實時統計源自每個網絡的請求分組數量、每個網絡轉發給該內容提供者的請求分組數量。類似地，內容請求者可以精準實時統計源自每個網絡的數據分組、每個網絡轉發給該請求者的數據分組數量。邊界路由器也可以精準實時統計源自每個網絡的數據分組數量、去往每個網絡的數據分組數量等，進而形成跨域流量態勢。

3.2.5 精細粒度管控能力

共生網絡能夠賦予用戶對每個內容的精細粒度管控能力[22]。一方面，前述基于多維名字逐分組過濾的數據泄露防范機理，能夠對每個內容的出網（甚至去向）進行管控。另一方面，給定域間網絡拓撲，內容提供者可以為每個內容名字指定通告路徑，使內容名字（而不是內容）只能沿著指定路徑通告給指定網絡的指定節點。當內容提供者收到請求消息時，根據請求消息中攜帶的域間路徑標識序列，很容易判斷針對該內容名字的通告是否超出通告范圍，以及哪個網絡進行了超范圍通告。若內容提供者發現某個內容名字被超范圍通告，則可告警且不將相應的數據發送給請求者。此外，從域間流量工程的角度而言，共生網絡可以賦予網絡對域間流量的精細管控能力[28-29]。

3.2.6 路由解耦釋放網絡潛能的能力

共生網絡通過域內域間路由解耦，使每個網絡可以根據自身特點采用合適的網絡體制，在充分利用該網絡優勢的同時，賦予了每個網絡獨立演進的能力。事實上，項目組結合節點標識和內容名字設計的移動自組網路由機制[30]，性能較采用AODV（ad hoc on-demand distance vector）路由協議的IP 網絡和采用LFBL（lister first broadcast later）的NON 有大幅度提升。設網絡中有8 個請求者、2 個內容提供者，運動模型為隨機游走，節點運動速度為20 m/s，運動場地為方形，面積隨節點數量增多而增大，但保持節點平均密度為1×10-2架/平方千米，IP、NDN 和所提方法的分組投遞成功率如圖9 所示。從圖9 中可以看出，當給定節點規模時，所提方法的分組投遞成功率顯著高于IP 和NDN。當給定分組投遞成功率時，所提方法能夠支撐更大的網絡，如當分組投遞成功率為50%時，IP 僅能支撐50 余個節點的移動自組網，NDN 能夠支撐約120 個節點的移動自組網，而所提方法能夠支撐超過256 個節點的自組網。上述結果說明，根據不同的網絡特點設計有針對性的組網機制，比所有網絡都采用相同的機制（如IP）更好。因此，共生網絡通過路由解耦，能夠充分釋放網絡潛力。

圖9 移動自組織網絡中不同機制的分組投遞成功率

3.2.7 網絡空間權益保障能力

如前所述，共生網絡中每個網絡維護一個邏輯上集中但可分布式實現的資源管理器，管理內容名字的可達性；同時，請求消息也發送給資源管理器，由資源管理器進行解析。相應地，一個網絡內部節點間的內容交換，不用依靠外部就可以獨立運行，不受外部影響和控制。類似地，共生網絡中，網絡間根據策略等考慮，平等進行域間互聯，并相互通告內容名字的可達性，避免了類似DNS（domain name system）集中式設計帶來的“斷網停服”問題。因此從長遠看，共生網絡具備保障網絡空間權益的能力。

3.2.8 高效性能力

由于其獨特設計，共生網絡還具備內容高效分發能力，并增強網絡的可管能力。首先，共生網絡為內容命名并基于內容名字進行內容查找，便于網絡緩存內容并進行利用[31]。例如，車聯網環境下，通告對內容進行緩存，不僅可以大幅降低節點獲取內容的平均時延，且能夠降低網絡的傳輸負載。其次，共生網絡中，每個跨域分組都攜帶了域間路徑標識，因此，入口邊界路由器根據域間路徑標識進行分組轉發時，可以得知分組的出口邊界路由器。這樣，入口邊界路由器就可以很方便地統計從該入口邊界路由器到網絡中其他邊界路由器的流量，從而形成實時準確的流量矩陣[32]，進而為域內路由選擇、路徑規劃甚至流量異常檢測等提供便利。

4 待進一步解決的問題

雖然共生網絡的基本工作機制和安全保障機理等已經得到了成功驗證，但仍有部分問題有待進一步解決。

4.1 廣域開放環境下域間路徑標識前綴的分配問題

前文介紹了共生網絡中域間路徑標識前綴的“正交復用”分配的原則。當域間網絡拓撲是靜態的且已知的情況下，域間路徑標識前綴可以集中分配。但是，在廣域開放互聯環境下，各個網絡為了保護隱私，通常不會對外公布與其他網絡之間的互聯關系；同時，域間互聯關系也會動態變化。因此，2 個網絡之間需要根據“正交復用”分配原則，在不考慮其他網絡的情況下為它們之間的每條域間路徑分配域間路徑標識前綴。因此，從全網的角度看，這種分配是分布式實現的。相應地，如何實現域間路徑標識前綴的分布式分配，使全網使用的域間路徑標識前綴盡可能少，從而在域間路徑標識長度固定的情況下盡量提升網絡安全性，是需要進一步研究的問題。

4.2 機動網絡和固定網絡的融合問題

共生網絡抓住網絡間互聯的本質，為網絡之間的域間互聯關系（體現為域間路徑）命名，使其能夠高效支持移動網絡之間、移動網絡和固定網絡之間的互聯互通。固定網絡之間互聯時，邊界路由器通常固定不變，因而不用經常更新邊界路由器的路由表。但機動網絡和固定網絡互聯時，或者機動網絡和機動網絡互聯時，節點移動會導致邊界路由器經常發生變化。基于共生網絡的基本工作機制，若2 個網絡之間的連接關系不變，則它們之間的域間路徑標識前綴不變。當邊界路由器發生改變時，只需更新該域間路徑標識前綴對應域間路徑的端點，并將相應更新通告給網絡中的其他節點，便于其他節點更新域間路由表，從而將分組發送給新的邊界路由器。但是，移動環境下如何發現新的邊界路由器、如何實現新舊邊界路由器之間的切換、如何將新的邊界路由器通告給其他邊界路由器等，是需要研究解決的問題。

4.3 路徑標識快速匹配算法

如前所述，將數據分組（或請求消息）中攜帶的域間路徑標識（序列）與已知域間網絡拓撲進行匹配，可以對數據分組（或請求消息）進行精準溯源。目前的匹配算法對單個域間路徑標識進行匹配時，時間復雜度為O(1)；當序列中有M個域間路徑標識時，整個序列的匹配時間為O(M)。因此，如何設計更高效的匹配算法，提高精準溯源和精準實時態勢感知的實時性，是需要解決的另一個問題。

4.4 路由器設計

雖然本文給出了邊界路由器的部分性能測試結果，但該邊界路由器是基于軟件實現的，分組轉發過程中涉及的步驟只能串行執行，性能受限。因此，研制基于硬件實現的邊界路由器，將分組轉發過程中可以并行處理的步驟通過硬件進行并行處理從而提升分組轉發性能，是下一步的重點工作。

5 結束語

本文針對不同體制異構網絡之間的安全高效互聯問題，提出了共生網絡。在分析異構網絡安全高效互聯面臨挑戰與科學問題的基礎上，基于網絡傳遞信息的自然屬性，提出了共生網絡對異構體制網絡互聯而成網絡空間的普適表征機理，即用內容名字、節點標識、地址和域間路徑標識分別表征傳什么、傳給誰、傳到哪、怎么傳。在此基礎上，重點介紹了共生網絡的體系結構模型、基本工作機理（包含域內域間解耦的路由組織模式、內容名字驅動的跨域互聯模式、“以拉促推、推拉結合”的跨域通信模式）。原型系統的部分實驗結果表明，共生網絡能夠實現數據的安全高效跨域傳遞，并具備跨域攻擊防范能力、數據泄露防范能力、精準實時溯源能力、精準實時態勢感知能力、精細粒度管控能力、路由解耦釋放網絡潛能的能力、網絡空間權益保障能力、高效性能力等。同時，本文指出了共生網絡有待進一步解決的問題。