当他们想象2020年的互联网时,美国各地的计算机科学家正在从头开始,重新思考一切:从IP地址到DNS到路由表,再到一般的互联网安全。他们设想,如果没有当今ISP和企业网络的一些最基本的特性,互联网将如何工作。
借用约翰·列侬的话:想象没有延迟,没有垃圾邮件或网络钓鱼,一个信任的社区。想象一下所有人都能上网。
这就是当今领先的互联网工程师所梦想的乌托邦式网络架构。
当他们想象2020年的互联网时,全国各地的计算机科学家正在从头开始,重新思考一切:从IP地址到DNS到路由表对网络安全的影响。他们设想,如果没有当今ISP和企业网络的一些最基本的特性,互联网将如何工作。
他们的目标是大胆的:创建一个没有那么多安全漏洞、有更好的信任和内置身份管理的互联网。研究人员正试图建立一个更可靠、性能更高、能够更好地管理eb内容的互联网。他们希望建立一个互联网,将连接延伸到世界上最偏远的地区,也许是其他星球。
这种高风险、长期的互联网研究将在2010年进入高潮,因为美国联邦政府将增加资金,允许少数项目走出实验室,进入原型阶段。事实上,美国正在建设世界雷竞技比分上最大的虚拟网络实验室,横跨14个大学校园和两个全国性的骨干网,这样它就可以吸引成千上万的最终用户参与实验。
美国国家科学基金会网络技术与系统(NeTS)项目主任达琳·费希尔说:“我们一直在努力把研究推到20年后。”“我的工作是让人们进行有潜力的创造性思考,风险高但回报高。他们需要考虑如何实施自己的想法,如果实施了,将如何(影响)想法和经济的市场。”
风险很高。一些专家担心,除非开发出新的网络架构,否则互联网将在不断增加的网络攻击、对多媒体内容日益增长的需求和对新的移动应用程序的要求的重压下崩溃。
这项研究正值互联网的关键时刻,如今互联网与全球经济如此紧密地交织在一起,它的失败是不可想象的。随着越来越多的关键基础设施——如银行系统、电网和政府与公民的通信——转向互联网,人们一致认为网络需要彻底检修。
所有这些研究的核心是希望使互联网更加安全。
帕洛阿尔托研究中心(PARC)研究员范·雅各布森(Van Jacobson)正在推广一种名为“以内容为中心的网络”(内容为中心的网络)的新方法。“我们今天使用的模式是错误的。不能让它工作。我们需要一个更以信息为导向的安全观点,信息的背景和信息的信任必须更加重要。”
国家科学基金会加强了研究
未来的互联网研究将在2010年达到一个重要的里程碑,从理论到原型。
NSF计划从任何地方选择两到四个大型研究项目,每个项目获得高达900万美元的资助,以建立未来互联网架构的原型。投标将于2010年第一季度截止,预计投标将于6月完成。
“我们希望看到全面的网络架构,”Fisher说。“这些建议可以是相当简单的,在现有互联网基础上进行微小但深刻的改变,也可以是非常彻底的改变。”
美国国家科学基金会正在向研究人员提出挑战,要求他们提出创造一个比现在更安全、更可用的互联网的想法。他们要求研究人员在考虑新兴市场的同时,开发更有效的方式来传播信息和管理用户身份无线和光学技术。研究人员还必须考虑改变互联网架构的社会影响。
NSF希望竞标者考虑“经济可行性,并展示出对社会价值的深刻理解,这些社会价值是由人们提出的未来建筑所保留或实现的,所以他们不只是作为技术人员思考,”Fisher说。“他们需要考虑其设计的预期和意外后果。”
这些提案的关键是研究人员如何应对互联网安全问题。
费舍尔说:“我们真正关心的是可信度,因为我们所有的关键基础设施都在互联网上。”“电话系统正从电路转向IP。我们的银行系统依赖于知识产权。互联网是脆弱的。”
NSF表示,今天它不会在互联网发明时制作的同样的错误,安全用螺栓固定在互联网架构之后 - 事实上,而不是从头开始设计。
“我们不会为他们的团队提供安全专门知识的任何建议,因为我们认为安全是如此重要,”Fisher说。“通常,网络架构师设计和安全人士在事实之后说如何确保设计。我们试图让这两个社区都伸展他们做事的方式,成为更好的团队球员。”
最新的NSF资金是NSF未来互联网设计的后续行动(找到),要求研究人员进行研究,就像他们从头开始设计互联网一样。NSF于2006年启动找到程序资助了大约50个研究项目,每个项目在三到四年的时间里获得50万到100万美元的资助。现在,国家科学基金会正在把这50个研究项目缩小到几个领先的竞争者。
世界上最大的互联网试验台
被选定为原型的互联网研究项目将在BBN技术公司建造的一个新的虚拟网络实验室中运行。这个实验室被命名为Geni.为网络创新的全球环境.
GENI项目已经开发出实验性的网络基础设施,正在美国各大学安装。这种基础设施将允许研究人员对新的互联网架构进行大规模的实验,与当今互联网上运行的日常流量并行,但又与之分离。
GENI项目主任奇普·埃利奥特说:“GENI的关键目标之一是让研究人员深入到网络中进行编程。”“当我们使用今天的互联网时,你和我可以购买任何我们想要的应用程序并运行它....GENI将这个想法更进一步。它允许你在任何你想要的网络深处安装任何软件。你可以给交换机和路由器编程。”
BBN在2007年被选为GENI项目的领导者,并从NSF获得了4500万美元用于建造该项目。BBN在10月份获得了1150万美元的拨款,用于在14个美国大学校园和两个研究骨干网络上安装geni支持的平台:Internet 2和国家Lambda Rail。这些装置将于2010年10月完成。
“GENI不会在校园里的小实验室里。我们想要利用整个校园网络,并允许它在互联网流量之外进行实验研究,”埃利奥特说。“以前没有人这样做过。大概需要一年的时间。”
GENI项目包括使三种类型的网络基础设施能够进行大规模实验。一种使用斯坦福大学开发的OpenFlow协议,允许对来自HP、Arista、Juniper等厂商的以太网交换机进行深度编程思科.另一种支持geni的基础设施是Internet 2骨干网,它拥有高度可编程的Juniper路由器。第三种类型的geni基础设施是WiMAX移动和无线服务测试网络。
一旦这些直接的基础设施升起并运行,研究人员就会开始对它们进行大规模的实验。为Geni平台选择了前四个实验,他们将测试新的方法云计算、第一反应网络、社交网络服务和星际通信。
“所有这些实验都超出了下一代互联网,”Elliott说。“所有这些努力都在10到15年内定位互联网。”
GENI对这些项目的好处是,研究人员可以在一个非常大规模的网络上测试它们,而不是在一个典型的测试平台上。这就是为什么BBN和它的合作伙伴在整个校园网络,包括宿舍,都启用了geni。
“格雷尼特说:”Geni的鲜明是什么,强调有很多参与实验的真实人物,“Elliott说。“其他国家倾向于使用交通发电机......我们看着数百或数百万人从事这些实验。”
GENI的另一个关键方面是,它将用于测试新的安全范式。埃利奥特说,从现在到2010年10月,GENI项目将资助10项与安全有关的工作。
艾略特说:“如果我对我们正在做的实验进行排序,安全性是最重要的。”“我们需要强有力的人员认证、取证和审计追踪,以及自动化工具来注意(性能)是否在下降。”
埃利奥特表示,GENI将成为20年来大规模网络研究的最佳平台。
“你可以认为阿帕网在70年代和80年代早期是这样的。人们同时做研究和使用这个网络,”埃利奥特说。“但在某种程度上,做实验变得不可能了。在过去20年左右的时间里,我们没有这样的基础设施。”
斯坦福协议驱动GENI平台
GENI正在测试的一个想法是软件定义的网络,这是一个与当今硬件驱动的互联网架构相反的概念。
今天的路由器和交换机附带供应商编写的软件,客户无法修改代码。斯坦福大学的研究人员白纸项目正在提出 - Geni程序正在尝试 - 一个开放系统,允许用户对网络设备进行深入编程。
“购买大量网络设备的人希望降低成本,对自己的网络拥有更多控制权。他们希望能够直接为网络设备编程,”Clean Slate实验室的负责人Guido Appenzeller说。
Stanford对此问题的答案是一种替代架构,可从交换机和路由器中删除智能,并将这些智能放在外部控制器中。用户可以使用斯坦福的OpenFlow编程中央控制器,该流是使用NSF资金开发的。
阿彭策勒说:“客户对网络灵活性的需求很大,Juniper和思科都在为此而苦苦挣扎。”Juniper已经在这个方向上迈出了一些步伐,他们在交换机和路由器上安装了SDK,但由于实时控制的问题,实现起来比较困难。在外部控制器中更容易做到这一点。”
如果软件定义的网络变得广泛,企业在购买网络设备方面将有更多的选择。他们不再从同一家厂商购买硬件和软件,而是可以混合搭配不同厂商的硬件和软件。
Stanford在Cisco,Juniper,HP和NEC的交换机上展示了OpenFlow协议。使用OpenFlow,外部控制器管理这些交换机并制作所有高级决策。
阿彭策勒说,从互联网安全的角度来看,OpenFlow架构有几个优势,因为外部控制器可以查看哪些计算机正在相互通信,并就访问控制做出决定。
阿彭策勒表示:“OpenFlow是关于改变你在网络中创新的方式。“我们有几家大型互联网公司在考虑这个问题。我们非常乐观地认为,我们将看到一些部署。”
斯坦福预计在2010年初发布OpenFlow的1.1版本。OpenFlow已经部署在斯坦福大学的计算机科学大楼,将在2010年通过GENI计划在七所大学和两个研究骨干网络安装。
处理路由表增长
在将在GENI基础设施上运行的互联网架构中,罗切斯特理工学院的一个研究项目试图解决路由表增长的问题。
RIT项目被称为浮动云层互联网架构,是少数NSF资助的未来互联网研究项目之一,拥有软件和运行以及公司赞助商。
RIT的浮动云概念旨在解决路由可伸缩性问题。争论的焦点是300,000个路由表条目随着越来越多的企业使用多家运营商来支持他们的网络基础设施,这一数字还在继续增长。随着路由表的增长,互联网的核心路由器需要更多的计算能力和内存。
有了浮动云的方法,isp将不必不断购买更大的路由器来处理不断增长的路由表。相反,isp将使用一种新技术在他们自己的网络云内转发数据包。
RIT提出了一种灵活的、对等的结构,该结构将覆盖在Internet上。该体系结构使用跨网络云转发,云与具有数字值的层相关联。当包在云中发送时,只有它们的层值用于转发,这消除了在云中进行全局路由的需要。
没有包含整个路由表的路由器。路由表将驻留在云中。RIT网络安全和系统管理系教授Nirmala Shenoy博士解释道。
浮动云方法运行于多协议标签交换(MPLS)。Shenoy说它完全绕过了特定云中的当前路由协议,这就是为什么她指的是“第2.5层”。
RIT一直在12个Linux系统的测试台上运行其浮动云软件。Shenoy对在互联网2上运行的geni平台上测试软件感到很兴奋。
“十二个系统不是互联网,”Shenoy说。“我们一直在与GENI项目人员讨论一个更现实的设置。”
RIT还与Level 3通信公司合作,后者是一家ISP,计划在其骨干网中测试浮动云架构。
Shenoy在浮云方法中看到了企业网络管理者的许多好处。
“这种架构提供了定义网络云的灵活性,可以定义为任何网络粒度,”Shenoy说。“在云中发生的事情是网络管理员的责任。这种云结构带来了更多的经济效益,或者如果你想要更好的控制和管理,你可以让它更细粒度。”
Shenoy说浮动云方法有一些安全优势。
Shenoy说:“事实上,我将控制云的大小,这将给我更多的控制和管理,并将对安全产生积极的影响。”“此外,我没有这些巨大的全局路由表,我的数据包不应该被分流到各处。相反,我将有更多结构化的转发,这应该会影响安全性。”
有时是在移动无线网络上
华盛顿豪华大学的研究人员,D.C.将在Geni平台上进行新型的移动无线网络。本集团的研究专注于无线连接的网络 - 所以称为机会主义网络,具有间歇网络连接。
“在这种机会主义的网络中……有时你会超出信号范围,无法与互联网或其他移动设备通话,”霍华德大学系统与计算机科学系副教授姜力(音)解释说。“一个例子是在偏远地区的高速公路上开车。”
如果网络不可用,机会主义网络将使用点对点通信来传输通信。例如,您可能想要在没有网络访问的远程位置的汽车上发送电子邮件。使用机会无线网络,您的PDA可能会将消息发送到经过的车辆内的设备,该车辆可能会将消息发送到附近的手机发射塔。
李认为这种机会主义的网络架构对数据传输很有用,可以作为蜂窝网络的补充。
李说:“这种架构最根本的区别是,网络是间歇性连接的,而互联网则认为你可以一直连接。”
李彦宏说,机会主义网络涉及对互联网架构的“一切”进行重新思考。
“百分之八十到百分之八十百分之可能需要重新设计,因为当前的互联网假定连接在那里,”李说。“如果连接已经消失了一分钟,所有协议都将被打破。”
李彦博说,如果网络基础设施被灾难摧毁或一段时间无法使用,机会主义的移动网络对于紧急响应是有用的。
李翊云的研究团队还获得了美国国家科学基金会(NSF)的拨款,用于研究机会主义网络的网络管理方面,这种网络在消息发送和接收之间可能存在长时间的延迟。
李说这些类型的延迟容忍网络管理该计划在印度等发展中国家很有用,这些国家没有传统的无线基础设施,如手机发射塔。
“我们正试图将现有的网络扩展到更广阔的地理区域,”李说。“现在,如果你想接入互联网,就必须有基础设施,至少要有一个手机信号塔。如果你看看地图,看看手机信号塔覆盖的地方,你会发现还有很多红色区域没有覆盖。”
Facebook风格的互联网
另一项计划在GENI平台上进行的研究是戴维斯社会联系,一种基于社交网络是由加州大学戴维斯分校开发的
Davis Social Links使用Facebook的形式——基于朋友的连锁反应——在互联网上传播联系。加州大学戴维斯分校计算机科学系教授S. Felix Wu表示,这就是它如何在信任和真实身份的基础上建立联系的。
“如果有人给你发了一封电子邮件,你所掌握的关于这封邮件是否有价值的唯一信息就是查看发件人的电子邮件,因为发件人的电子邮件可能是伪造的,然后再查看内容,”吴说。“如果你能给邮件接收者提供与发送者之间的社会关系,这实际上会帮助接收者建立某些政策,决定邮件的优先级应该是高还是低。”
Davis Social Links在互联网架构中创建了一个额外的层:在网络控制层之上,它创建了一个社会控制层,它解释了发送者和接收者之间的社会关系。
“我们的社交网络代表了我们对他人的信任和利益,”吴解释道。“这些信息应该与我们相互发送的信息包结合在一起。”
Davis Social Links目前在Facebook上运行,但研究人员正在将其移植到GENI平台上。
虽然基于流行的Facebook应用程序,Davis Social Links代表了对今天互联网的彻底改变。当前的互联网是建立在用户是全球可寻址的理念之上的。Davis Social Links用社交而不是网络连接取代了这个想法。
“这是革命性的变化,”吴说。“当今互联网的一个基本原则是提供全球连接。如果你有一个IP地址,默认情况下你可以连接到任何其他IP地址。在我们的建筑中,我们放弃了这个概念。我们认为这不仅没有必要而且有害。我们看到了(分布式拒绝服务)攻击和一些垃圾邮件活动,这是全球连接的结果。”
戴维斯社交链接也重新思考DNS。虽然它仍然使用DNS进行名称解析,但戴维斯社交链接不要求分辨率的结果是IP地址或任何唯一的可路由标识。相反,结果是朝向潜在目标的社会路径。
“Davis social Links下的社交控制层界面就像是社交版的谷歌.你键入了一些关键字......社会谷歌将为您提供与匹配关键字和社交路径的某些社交内容的指针列表,“Wu解释说。
Wu认为,在应用层连接要比在网络层更好、更安全。Davis Social Links使用的是一种社会网络系统,它要求双方建立信任关系,并愿意相互交流,而不是今天的面向发送者的体系结构——在这种体系结构中,一个人可以与任何已知IP地址或电子邮件地址的人进行通信。
“作为人类,我们拥有非常强大的社交网络。随着六程度的分离的想法,您将能够找到与另一方面通信的方式非常现实,”吴说。
以内容为中心的网络
另一个改变互联网基础设施的激进提议是帕洛阿尔托研究中心正在开发的以内容为中心的网络。这项研究旨在解决互联网上存在的大量内容——越来越多的多媒体内容——的问题。
而不是使用IP地址来识别存储内容的计算机,以内容为中心的网络使用文件名和URL来标识内容本身。潜在的想法是,了解内容用户想要访问的用户比了解用于存储它的机器的位置更重要。
雅各布森解释道:“互联网上有大量的内容,但IP并不是为内容而设计的。“我们试图绕过这样一个事实,即机器之间的对话不再重要。移动内容真的很重要。点对点网络、内容分发网络、虚拟服务器和存储都在试图回避这一事实。”
Jacobson建议,内容(如电影、文档或电子邮件消息)将接收一个结构化的名称,用户可以对其进行搜索和检索。数据有名称,但没有位置,因此最终用户可以找到最近的副本。
在这个模型中,信任来自数据本身,而不是存储数据的机器。雅各布森说,这种方法更安全,因为最终用户决定他们想要接收什么内容,而不是向他们推送大量不想要的内容和电子邮件消息。
“在我们的方法下,很多中继攻击和中间人攻击都是不可能的。你可以摆脱垃圾邮件,”雅各布森说。“这是因为我们保护的是内容本身,而不是它的包装。”
雅各布森说,以内容为中心的网络更适合今天的应用程序,这些应用程序需要复杂的中间件层才能在Internet的面向主机的网络模型上运行。他还说,当涉及到让数百万人观看多媒体内容时,这种方法的规模更大,因为它使用广播、多点通信,而不是现在互联网上的点对点通信。
雅各逊说,以上,以内容为中心的网络希望提高互联网的安全姿势。
“TCP被设计成不知道它携带的是什么。它不知道管道里有什么,”雅各布森解释道。“我们提出了一个安全模型,我们将保护管道,或者我们将比特封装在SSL中,但我们仍然不知道比特。攻击发生在钻头上,而不是管道上。一般来说,我们知道外围安保不起作用。我们需要转向模型,让安全性和信任来自数据,而不是包装器或管道。”
PARC已经启动并运行了以内容为中心的网络的初步实现,并在9月份向Internet工程社区发布了早期代码。雅各布森说,他希望以内容为中心的网络将成为美国国家科学基金会选择的在GENI平台上进行大规模实验的少数提议之一。
雅各布森表示,向以内容为中心的网络演进将是相当轻松的,因为它将像中间件一样,在下面的面向连接的IP和上面的内容之间进行映射。这种方法使用多点通信,可以在任何设备上运行:以太网、IP、光学或无线电。
2020年的互联网会包括以内容为中心的网络吗?雅各布森说他不确定。但他确实认为,到那时,互联网需要一个完全不同的架构,如果没有其他原因,只是为了提高安全性。
雅各布森说:“安全应该来自信息交互的网络。”“就像我们利用网络获取信息一样,我们也应该利用它来建立信任。你可以通过这种方式做出非常有用、非常强大的安全,但我们仍在努力修补当前的网络。”