『1 引言』
1998年至2008年是公认的互联网飞速发展的十年,无论是传输速率、网络规模、关键技术还是应用领域都经历了大幅的增长。如今又一个十年过去,互联网迎来了诞生50周年的重要时期。回顾最近一个十年,互联网同样发生了很大的变化:移动互联网数据速率的大幅提高和智能手机应用的快速普及、主干网传输速率达到100Gbps、IPv4地址分配完毕、IPv6网络快速发展、新型传输协议QUIC的诞生、云计算的广泛部署等,但也有很多未发生显著改变的方面,例如网络体系结构和分组格式、域内域间路由协议、基于SNMP的网络管理、DDoS攻击防范技术的部署等。这些快速发展的方面与相对稳定的方面结合起来,给互联网带来了新的挑战和机遇。在此背景下,本文旨在对互联网2008-2018十年的发展进行回顾和分析,尝试总结技术发展的趋势和影响发展趋势的要素,结合中国互联网的建设和发展历程,指出未来互联网技术可能的发展方向和应当重点关注的领域,为我国互联网关键技术争取国际领先地位提出建议。
值得注意的是,互联网是一个物理上覆盖全球、逻辑上覆盖人类生产生活方方面面的复杂巨系统,它所涉及的技术领域非常广泛,其中任何一部分都有着丰富的技术积累和研究成果。限于篇幅,本文不可能对所有相关领域的研究进行详细介绍和分析,而是将重点放在实际互联网中广泛部署的技术的发展和演进,力争突出其中最显著的特征,因为任何技术研发的终极目标都是应用。
本文接下来的安排如下。本节先简要介绍互联网的历史和2008年之前的主要技术发展。第2节回顾互联网2008年至2018年发展的历程,按照互联网体系结构自下而上的顺序,依次从物理和数据链路层、网络层与网络管理、端到端传输、应用层回顾互联网发生的重大变革、增量式演进和基本保持不变的方面。第3节介绍中国互联网2008-2018年的发展情况。第4节分析总结互联网近两个十年所呈现出的发展现象背后潜在的规律和给互联网所带来的挑战,提出未来可能的发展方向和应当重点关注的领域。第5节为结束语。
1.1互联网历史简介
1969年,在美国国防部组建的高级研究计划局(Advanced Research Projects Agency,ARPA)的推动下,世界上首个基于分组交换的试验网络ARPANET开始建设。同年10月,斯坦福大学和加州大学洛杉矶分校的计算机通过ARPANET首次连接了起来,成为了世界上最早的互联网主机。随后,越来越多的节点和网络都连接进入互联网,到1987年,接入互联网的主机约3万台。1990年诞生了第一个提供拨号上网服务的服务提供商,而1995年被认为是互联网商业化的第一年。从1969年至1990年代中期的这段时间内,诞生了很多决定互联网命运的关键技术。
1971年,电子邮件被发明出来。1974年,TCP/IP协议诞生。1978年,BBS诞生。1983年,ARPANET开始使用TCP/IP协议交换数据。1984年,DNS系统诞生。1986年,开放系统互联(Open System Interconnect,OSI)体系结构被提出来,虽然这一体系结构没有取得最后的成功,但是它为互联网提供了重要的参考模型。1990年,以HTML、HTTP和URL为基础的万维网完成,1991年,互联网上出现了第一个网页。互联网发展历程中每一次突破都有一定偶然性,产生的新技术都存在不完美之处,而最终留下来的都是那些功能实用、实现简单、成本低廉的技术。
1.2互联网2008年前概况
在1990年代,人们便已经认识到互联网不再是一个研究和实验网络,也不再是验证OSI体系结构可行性的中间产物。当时已经不再有人怀疑互联网将取得巨大的发展和成功。除了互联网,已经没有其他东西能够满足人们对于数据通信的需求。
在物理与数据链路层,互联网主流的用户接入方式从拨号上网变为了多种更高速率的接入方式。拨号上网调制解调器的数据速率从9600bps逐步发展到56kbps,已经将3KHz语音线路这块海绵里的最后一滴水挤了出来,不再适应用户对数据通信速率的需求。其他一些组网方式如帧中继、X.25等也逐渐减少。以太网和数字用户线路迅速得到了广泛的部署,光通信系统之上的IP网络开始发展。在2008年的时候,10Gbps光纤链路已经得到了普遍的支持。
在网络层,很多新兴的技术在2008年前被提出来,掀起了研究的热潮,然而最终真正获得广泛部署的却寥寥无几。1998年提出的服务质量(Quality of Service,QoS)推动了区分服务、队列管理、分组分类等一系列算法和机制的研究。然而,实际的网络运营商通常还是选择扩大网络容量这一简单的方法来满足用户的需求,使得QoS并没有得到广泛使用。IP组播技术和IPSec技术也经历了类似的遭遇。除此之外,2008年前的互联网网络层的确发生了一些变化:为了应对IPv4地址空间不足问题,IPv6被提出来并开始初步建设,同时NAT技术的应用也越来越广泛;BGP成为互联网标准的域间路由协议,OSPF和IS-IS为互联网标准的域内路由协议;MPLS和VPN技术出现并得到应用。然而总的来说,2008年之前互联网网络层最大的特征在于IP协议一直占据了主导和核心地位而没有变化。
在传输层,TCP与UDP协议成为了互联网广泛采用的协议,各占据了网络流量的95%和5%。尽管研究人员开发了数据报拥塞控制协议(Datagram Congestion Control Protocol,DCCP)与流控制传输协议(Stream Control Transmission Protocol,SCTP)来作为TCP协议的改进版本,然而都没有得到广泛使用。与此同时,研究人员对TCP拥塞控制机制作出的改进提高了TCP在不断发展的网络中的传输性能,如具有更高带宽或无线通信的网络。
在应用层,一大批新兴的互联网应用在2008年之前的十年里涌现出来,包括搜索引擎、网络视频、网络电视、图片分享等等。Google、Youtube、Flickr、Joost、Wikipedia对于当时的人们来说就已经是耳熟能详的名字。P2P流量曾一度占据了互联网总流量的40%至80%。Web 2.0技术也发展起来。到了2008年,网络电话技术已经逐渐成熟起来。
『2 互联网2008-2018年发展回顾』
总体上,2008-2018年互联网的发展与2008年之前有所不同。如果说2008年之前互联网迎来了爆发式的增长,那么2008-2018年互联网则进入了一个相对稳定发展的阶段,已经增长到巨大规模的互联网在进一步发展时,其巨大的惯性起到了显著的作用。接下来的几个小节将大体按照互联网体系结构自下而上的顺序进行回顾和分析。
2.1 物理与数据链路层
2.1.1 光传输与光交换
光学系统在过去十年中持续地发展变化。十多年前,光学系统的产品使用简单的开关键将信号编码到光信道中。对于这一代光学系统而言,速度的增加依赖于硅控制系统和激光驱动芯片的改进。1990年代后期引入的波分复用(Wavelength Division Multiplexing,WDM)允许运营商大大增加其光缆基础设施的承载能力。而在过去的十年中,光学系统中的极化和相位调制已经发展为有效提升每波特信号位数的方式,相关研究领域得到了充分的发展。2008年,运营商干线主要还是采用10Gbps WDM以及少量的40Gbps WDM传输系统。2009年Verizon部署了全球第一条商用100Gbps WDM链路。2013年100Gbps技术在全球市场迎来爆发性增长,同时更高速率的400Gbps WDM系统从2014年起在欧洲、北美、亚太等多家运营商也开始了现网试点和小范围部署,光层组网规模进一步扩大。截至2018年,400Gbps相关的ITU-T G.709系列、IEEE 802.3系列接口国际标准已基本完成,基于城域应用的400Gbps标准化工作仍在ITU-T、IEEE和OIF等标准组织或论坛中开展。这种系统将使用多种更快的基本波特率和更高水平的相位幅度调制的组合。更高速率和更大容量的传输技术仍持续研究和试验,1Tbps的光通信服务也可能会在近期出现。此外,无缘光网络(Passive Optical Network)技术已成为高速接入主流技术,高精度时间同步技术也随着网络数据速率的提高得到迅速发展。
传统通信网络和光纤网络并存时存在光电交换的过程,光电交换速度取决于电路交换的工作速度,本来带宽较大的光纤网络在进行光电交换时就变得狭窄了,这降低了整个网络的带宽。过去的十年中,数据传输带宽容量的急剧增长,网络节点处的数据交换压力不断增大,电交换技术网络节点的成本和能耗随交换容量的增加呈增长趋势。网络节点的带宽和能耗将会成为网络带宽容量的瓶颈。采用全光交换的技术是突破带宽能耗瓶颈的有效途径。然而现有全光电路交换还不能够适用于IP网络。全光电路交换目前只能够提供波长级的粒度,远大于现有IP网络中的业务粒度。这种不匹配会造导致网络容量无法增加,使得光网络巨大的带宽资源难以得到充分利用。全光分组交换和全光突发交换可以提供更细的业务粒度,这些技术所依赖的全光缓存及全光逻辑器件目前尚不成熟,这些技术的应用前景目前来看并不乐观。适合IP网络业务粒度、仅依赖成熟器件的光交换技术亟待突破。目前国际上这个领域的研究还处于初始的阶段。
可见光通信是光传输领域一项新兴技术。2008年,日本可见光通信实验系统达到100Mbps速率。2010年,德国弗劳恩霍夫研究所的团队将通信速率提高至513Mbps。2015年,英国斯克莱德大学又把离线速率提高到1.5Gbps;2014年,复旦大学研发出3.75Gbps离线数据传输的速率;2015年,中国解放军信息工程大学通过多路并行系统将通信速率提高至50Gbps。可见光通信作为新技术研究热点,十年间取得了很多重要突破,但应用上存在明显短板,例如端节点缺少上行传输手段、接入节点回传能力不足、接收机灵敏度不高等,因此需求不甚强烈,缺乏相关产业链支撑,截止到目前并没有真正完成从技术到商用的转化
2.1.2 移动无线网络
移动无线网络技术在过去的十年里发生了巨大的进步,从3G时代彻底迈入了4G时代,也让人们从互联网时代进入了移动互联网时代。移动无线网络技术的革新深刻的改变了人们的生活。近两年,随着5G标准的逐步完善,一些国家也开始了5G网络的初步部署。
从移动通信技术的角度讲,无线电系统的总体带宽容量在过去的十年中实现了飞速增长。与光学系统中的变化类似,信号处理技术通过改进相位调制来提升无线电承载的数据速率。大规模多输入多输出(Multiple-Input and Multiple-Output,MIMO)技术的使用以及更高的载波频率的使用,使得移动数据服务能够在当今的4G网络中支持高达100Mbps的数据速率。在不久的将来,随着5G技术的部署,移动系统可以获得最高达1Gbps的速度。
MIMO技术是支撑移动无线网络在过去十年中发展的重要技术。它是指在移动无线网络中的发射端和接收端上分别使用多个发射天线和接收天线,使信号通过发射端与接收端的多个天线传送和接收,从而改善通信质量。MIMO通过多个天线实现多发多收,在不增加频谱资源和每个天线发射功率的情况下成倍的提高信道容量。除了MIMO技术以外,正交频分复用(Orthogonal Frequency Division Multiplexing,OFDM)技术也属于4G时代的核心技术。OFDM是一种多载波传输技术,其多载波之间相互正交,可以高效地利用频谱资源。OFDM将总带宽分割为若干个窄带子载波,可以有效地抵抗频率的选择性衰落。MIMO和OFDM等新技术提供了更高效的无线连接性能,提升网络带宽容量,解决了过去十年中4G数据流量激增而带来的新需求。
从近两年发布的5G标准[1]中可以看到,相对于4G技术,5G将以一种全新的网络架构,提供峰值1Gbps以上的带宽、毫秒级时延和超高密度连接,实现网络性能新的跃升。5G的愿景包括三方面。1)增强移动带宽。5G将为用户提供超高清视频、下一代社交网络、增强现实等更加身临其境的业务体验,促进人们交流方式再度升级。2)海量机器类通信。5G将支持海量的机器通信,以智慧城市、智能家居等为代表的典型物联网的应用场景与移动通信深度融合,预计有海量的设备将通过5G网络开展服务。3)超高可靠低时延通信。5G还将提供超高可靠性、超低时延的网络通信,促进如工业互联网、车联网、移动医疗等相关行业的应用,拓展大市场,带来新机遇,有力支撑数字经济蓬勃发展。
在全球范围内,5G部署的频段有两种。一种是6GHz以下的频段,被称作sub-6GHz。另一种是毫米波,即波长在1至10毫米的电磁波,对应频率为30至300GHz。目前,毫米波的主要应用场景还仅仅是卫星通信、雷达和一些军事应用。5G需要大量的带宽,即大量的频谱资源,而30GHz以上有丰富的频谱资源。过去没有开发毫米波的主要原因有两点,其一是商业需求不大,其二是技术不成熟。在5G商用的初步阶段,中国、欧洲、日本、韩国、澳大利亚等多个国家都计划使用6GHz以下频段做试验频段。
2.1.3 移动互联网终端
提到移动无线网络,就不得不提移动互联网终端,虽然它并不单纯属于物理与数据链路层,但出于它与移动无线通信密不可分的关系,还是在这一部分进行简要介绍。随着移动无线网络的带宽越来越高,在过去的十年中以智能手机为代表的移动互联网终端发生了飞速变革。
2007年1月,苹果正式发布采用触屏控制的iPhone,开创了一个全新的手机交互模式。2008年第一台安卓手机诞生,最早的安卓系统Android 1.0安装在HTC公司生产的T-Mobile G1手机上。值得注意的是,虽然相比于iPhone出现的更晚,但是T-Mobile G1保守的没有使用触控屏。
2010年,苹果iPhone 4发布,它的设计理念远远领先业界:视频通话功能、玻璃机身、500万像素摄像头、视网膜级别显示屏、主动降噪麦克风。在过去的十年中,随着各个厂家之间的竞争越来越激烈,智能手机支持的功能也越来越多,远远超越了通话本身。大浪淘沙,从操作系统上看,微软的Windows Mobile和诺基亚的塞班系统已经退出了移动互联网舞台。安卓与苹果的iOS是手机操作系统领域竞争的胜利者。在智能手机市场,中国厂商(华为,OPPO,小米等)在近几年里的份额越来越多,成为了三星苹果之后强劲的竞争对手。如今,在5G时代的大门前,各家手机厂商又蓄势待发,进行下一轮的竞争。
2.1.4 其他方面
除了上述几个方面,互联网物理与数据链路层的其他一些方面却基本保持了十年前的样子。虽然光纤的速度正在不断增加,黄色同轴电缆也已经消失,但是以太网分组帧的格式却意外的保留了下来。更加令人惊奇的是,以太网定义的64字节和1500字节的最小和最大数据包大小仍然被现在的设备广泛使用。在过去十年中,这一基本不变分组大小必然促使网络设备处理分组能力上限的增加。在这段时间里,分组的处理速度增加了大约100倍,这与设备的传输速度从2.5Gbps增加到400Gbps的倍数一致。然而在过去十年中,处理器的时钟频率和内存的周期时间却并没有改变。因此,为了使路由交换设备获得更高的分组处理速率,人们越来越依赖于并行处理。现在网络设备使用多核处理器和高度并行存储系统来实现单线程处理模型中不可能实现的性能。
2.2 网络层与网络管理
2.2.1 IPv4与IPv6
为每台联网设备分配一个全球唯一的IPv4地址,将这一基本逻辑称为互联网的支柱也毫不过分。这根支柱拥有232个(约43亿)IPv4地址的巨大空间,过去绝大多数人都未曾想过这根支柱会有折断的一天,然而在互联网诞生不到50年的时间里,这件事的确发生了。2011年2月3日,互联网地址分配机构(The Internet Assigned Numbers Authority,IANA)宣布IPv4地址空间段的最后2个“/8”前缀已经分配出去。尽管当时各地区的分配机构还保留着一些IPv4地址库存,但从全球意义上讲,这正式宣告了IPv4地址空间的耗尽。目前,全球五大地区分配机构的IPv4地址库存也已基本用完。2011年4月,亚太互联网信息中心(Asia-Pacific Network Information Center,APNIC)所拥有的IPv4地址资源除少量保留地址外全部耗尽。2014年4月,负责美洲及非洲撒哈拉地区IPv4地址分配的美国互联网号码注册机构(American Registry for Internet Numbers,ARIN)开始分配其最后的“/8”前缀。
然而在过去的十年中,可以认为互联网最显著的特征就是仍然运行着IPv4。尽管IPv4受到了来自于多方的质疑与压力,也经历了地址空间不足的严重问题,但它还是顽强地坚持了下来。根据统计,截止至2019年3月底,全球互联网的用户人数大约为44亿[3]。2018年底,全球联网的设备数量约为220亿台[4]。令人感到震惊的是,支撑这一庞大数量的仅仅是30亿个全球IPv4地址(不包括私有地址)。实现这一奇迹的关键技术主要有两个:IPv6和网络地址翻译器(Network Address Translators,NAT)。
早在1990年代,人们就意识到IPv4地址不足的问题,并提出了IPv6的构想。IPv6地址128比特的长度提供了IPv4地址数量296倍大小的空间,使得人们再也不用担心地址耗尽问题。然而从IPv4互联网过渡到IPv6互联网是一件极具挑战的任务。IPv6不具备向后兼容性[5],所有的端设备(主机、手机)和网络设备(路由器、交换机)都需要支持IPv6,所有的相关协议、基础设施都要进行全面的更新,必然带来巨大的开销。为了节约开销,多数人选择了使用NAT。NAT对IPv4地址进行了时分复用,即一台设备只有在需要联网的时候才占用一个地址。互联网中广泛使用的一种NAT变体是网络地址端口翻译(NetworkAddress Port Translation,NAPT),NAPT使网络内部的多个设备通过同一个公共IP地址访问互联网。NAT广泛部署于互联网边缘,其作用甚至对互联网体系结构产生了影响。例如,考虑到不同NAT内部的用户之间建立连接较为困难,更多的互联网应用选择了客户端-服务器(client/server)模式以取代对等(peer-to-peer)模式。
在IPv6方面,当前部署了IPv6的网络相比十年前已经有了很大的增长。目前互联网用户的大约五分之一都可以通过IPv6上网,占了全球总人口数的约十分之一。这一增长主要都发生在过去的十年里[6]。然而与十年前一样,人们在是否应当立即部署IPv6这一问题上的争议仍然没有定论,互联网何时才能全面部署IPv6也还没有得出答案。为了回答为什么剩下的五分之四的互联网用户没有部署IPv6,文献[7]基于统计数据和经济学原理进行分析,发现了一个有趣的现象:IPv6在某种意义上是“富人的游戏”。一般的服务提供商(Internet ServiceProvider,ISP)在面临多种选择时,更愿意把有限的预算用于比部署IPv6更加紧迫的需求,主要是提升用户体验,例如带宽扩容、购置更多内容和服务等,因此IPv6的部署就被无限期延后了,直到IPv4地址的紧缺成为不得不解决的问题。
2.2.2 域间路由与域内路由
在过去十年中,互联网几乎没有发生变化的一个部分就是路由系统。十年前,人们预测边界网关协议(Border Gateway Protocol,BGP)很快就会发生严重的可扩展性问题,但是事实上,BGP仍然一直坚持着为互联网的域间路由服务。在这十年里,IPv4核心路由表增长为原来的三倍,由2008年的约25万条增长到2019年的约75万条[8]。IPv6的路由表数量增长更为惊人,从十年前的1100条增长到如今的5万多条。然而,BGP作为全球互联网唯一的边界网关协议仍然有效、高效地工作至今。谁都没有想到当初为数百网络的几千条路由设计的协议能够有效支持数十万网络的近百万条前缀。即使如此,由于BGP采用的路由技术与十年前并没有差别,BGP仍然面临着一系列问题,时常发生的管理员误配置和恶意前缀劫持导致的问题仍然危害着互联网。研究人员一直在致力于解决BGP面临的可扩展性、稳定性、收敛性和安全性问题,例如BGPsec[9]通过资源公钥基础设施(Resource Public Key Infrastructure,RPKI)来确保BGP路径的真实性,过滤虚假路由,防止路由劫持。BGPsec从2011年起经历了多年的探讨,终于在2017年成为了标准,在今后互联网的发展中或将得到广泛部署
另一方面,互联网域内路由协议也没有进行大的改动。规模较大的网络通常根据它们的设备环境选用OSPF[10]或ISIS[11]协议,而较小的网络可能会选择距离向量协议,如RIPv2甚至EIGRP。随着IPv6的发展,OSPF协议也进一步扩展为OSPFv3[12],然而基本的技术原理并没有发生变化,各个路由器仍然采用链路状态信息数据库来保持一致的全网拓扑视图,并通过Dijkstra最短路径算法计算路由。过去十年中,IETF中路由领域的工作组也提出了一些新的域内路由协议。例如为了解决IP地址同时具有位置和身份标识这二重语义的问题,提出了位置/身份分离协议(Locator/IDseparation protocol,LISP)[13];为了解决距离向量协议中的路由环路问题,提出了Babel路由协议[14],可用于有线网络或无线mesh网络。尽管这些新的协议在路由管理方面具备一些有趣的特性,然而它们所具备的能量和能够带来的好处还不足以改变传统网络设计与运行惯性,因此它们都没有得到大规模的使用。从过去十年的互联网路由,可以看到互联网巨大规模所具有的惯性给技术发展和变革所带来的阻力。
2.2.3 网络管理与配置
在网络管理方面,大约25年前提出的简单网络管理协议(Simple Network Management Protocol,SNMP)仍然是目前广泛使用的工具。SNMP存在很多问题,包括安全性较弱,处理效率较低,ASN.1标准复杂而难以使用等。另一方面,SNMP更加适用于网络监控,但并不适用于网络配置,网络管理员需要人为手动进行大量繁杂的网络配置任务,不仅效率低下而且容易出错。为了解决这一问题,自动化的网络配置管理方法和工具是过去十年里研究人员努力的方向之一。
早在2003年,IETF就成立了NETCONF工作组,目标是提出全新的网络配置协议NETCONF[15]。NETCONF采用可扩展标记语言(eXtensible Markup Langrage,XML)来传递配置数据和协议消息,并采用基于连接的可靠传输和SSH等安全协议来提高安全性。2010年,IETF提出了YANG(Yet Another NextGeneration)语言[16]用于对NETCONF协议中涉及的各类数据建立模型,随后的一系列标准为路由、传输、安全、服务相关的管理数据建立了YANG模型。近年来提出的RESTCONF协议[17]对YANG模型数据库提供了基于HTTP协议的可编程访问接口。网络管理数据仓库(Network Management Datastore Architecture,NMDA)[18]提供了连接网络管理数据模型与网络管理协议的框架。另一方面,一批的自动化配置工具涌现出来,可以对大规模网络设备或服务器进行更高效的管理,包括Ansible[19]、Chef[20]、NAPALM[21]、SALTSTACK[22]等。这些自动化、批量处理的工具逐渐取代原始的基于命令行和脚本的配置方式。但总的来说,过去十年里互联网网络管理方面发生的变革仍在继续,距离实现自动化、智能化的网络监控和配置还需要时间。
2.3 端到端传输
2.3.1 TCP
TCP协议是互联网端到端协议的核心。许多其他传输协议要求较低级别的网络协议栈为传输协议提供可靠的流接口。这些传输协议需要由网络层及以下的部分来创建这种可靠性,并且执行数据完整性检查,数据流控制,在网络内部恢复丢失的数据等等。TCP免除了所有这些对网络层的要求,并简单地假设网络仅仅可以提供不可靠数据报传送服务,并让TCP传输层协议负责数据完整性和流量控制。
在TCP领域,过去十年似乎没有太大变化。TCP的内部机制(拥塞控制)有一些细微的改进,主要是速率增加和降低过程中细节上的改进,但没有改变这个协议的基本行为。TCP仍然倾向于使用分组丢失作为拥塞的信号并且基于“加法增加,乘法减少”(Additive Increase Multiplicative Decrease,AIMD)[23]的规则在较低速率和能够触发丢失的较高速率之间振荡其流速。
在过去十年中一个与TCP协议密切相关的协议,多路径TCP(Multipath TCP, MPTCP)在IETF(Internet Engineering Task Force)被提出[24-25]并且逐渐的正在被标准化[26]。如图2所示,它主要有两个应用场景,一个是数据中心网络,还有一个是多种无线接入网络。在这两个场景中端到端之间存在多条路径,即端到端之间存在多个带宽来源,但是TCP协议只能够让端系统的一个连接使用一条路径。
多路径TCP则可以满足这个需求,MPTCP重新定义了连接的概念,一个连接不再是一个四元组组成,而是由一组四元组组成。每一个四元组定义了一条子流,一个连接的数据可以使用所有的子流进行传输。对于网络层,每一个子流就像是一个传统的TCP连接一样。在数据中心网络中,MPTCP可以和ECMP(Equal-Cost Multi-Path)同时使用,ECMP会把每个子流当成传统的TCP连接进行负载均衡,这样一个连接的数据就能够在多个路径上传输,从而实现一个连接可以同时使用多条路径。在多种无线接入的场景中,一个连接不再唯一的绑定一个IP地址。一个具有多个网卡的移动设备,可以使用所有的网卡获取IP地址与远端服务器建立若干个子流的连接。
多路径TCP的拥塞控制算法得到了重新的设计并且它有以下三个目标[27]:
提高吞吐率:多路径的流的吞吐量应当至少达到,在最好的路径上一条单流(TCP流)能达到的吞吐量。
公平性:多路径的流在任意一条共享链路上占用的带宽不会超过传统 TCP模式占用的带宽。这样就保证了多路径TCP不会过度影响到其他的流。
平衡拥塞:多路径的流应当尽可能的把数据从拥塞的路径上移开。
遵循这些原则,目前已经有若干个多路径TCP拥塞控制算法被设计出来(LIA[28],OLIA[29],BALIA[30], wVegas[31]。)并被实现到了Linux网络协议栈中。
2.3.2 BBR
近年来,谷歌公司提出了新的拥塞控制算法:Bottleneck Bandwidth and Round-trip time control algorithm(BBR)[32]。BBR与现有的TCP拥塞控制算法很不相同。BBR试图保持恰好位于发送方和接收方之间的端到端路径的带宽延迟积的速度。通过这种方式,它试图避免网络中数据缓冲的累积(当发送速率超过路径容量时),并且还试图避免在网络中留下空闲时间(发送速率小于路径容量)。BBR能够显著提高传输层使用端到端之间带宽的效率。
TCP的标准拥塞控制算法Reno[33]以及Linux使用的拥塞控制算法Cubic[34]有一个共同的特点。它们都会试图不停的提高发送速率,直到路径上出现丢包。丢包的出现是因为路径上的分组队列的长度超过了设备能够提供的存储空间,而队列的出现是由于对应设备出网口处的带宽资源小于进入流量的总速度。Reno和Cubic不停地增大拥塞控制窗口,直到瓶颈链路排队然后丢包。与此不同的是,BBR尝试的估计端到端的带宽延迟积,尽可能的不去排队。
BBR将周期性地在一个RTT间隔的时间内,发送一定量的数据,数据量是带宽延迟乘积的1.25倍(增益因子)。这个速率不是非常具有侵略性,但是在RTT间隔内足以完全占用链路并使之进入排队的状态。如果可用的瓶颈带宽没有改变,那么增加的发送速率将导致在瓶颈处形成队列。这将导致ACK显示RTT被增大,但瓶颈带宽估计不变。如果是这种情况,则发送方随后将在一个RTT内以降低的发送速率发送数据,从而使得瓶颈队列耗尽。如果由于此探测而可用的瓶颈带宽估计已增加,则发送方将根据此新的瓶颈带宽估计进行操作。
BBR连续的带宽探测操作将继续以相同的增益因子增加发送速率,直到由于这些探测而估计的瓶颈带宽不再变化。这种通过定期的探测路径以揭示路径特征的变化是从基于丢弃的拥塞控制算法借用的技术。拥塞控制算法通过每8个RTT间隔将数据发送速率提高25%,在路径上增加流量压力。如果这导致相应的排队负载,如增加的RTT,则算法将降低速率使得队列能够耗尽。然后在估计的路径带宽和延迟处以稳定状态发送数据。
2.3.3 QUIC
QUIC是近年来出现的具有广泛影响力的新传输协议,是在UDP之上开发的控制协议。它采用多路复用提高效率,采用加密避免网络中间节点对端到端流量的干预。QUIC的体系结构如图4所示。QUIC[36]跨越传输层与应用层,它的功能兼具TCP、TLS和HTTP/2等协议的功能:类似于TCP,QUIC内置拥塞控制、丢包恢复的模块;类似于TLS,QUIC进行数据包传输加密,支持端到端传输,避免中间节点的干扰;类似于HTTP/2,QUIC支持多路流复用的数据传输。在此基础上,QUIC的更上层只需要完成HTTP协议解析即可。
QUIC的多路复用机制是指通过单个传输连接发送多个数据流。在访问HTTP服务器时,由于HTTP一次只能请求一个资源,客户端通常需要建立多个并发的TCP连接,这种方式导致了复杂的连接管理以及低效的端到端资源的使用(每个连接都要从慢启动开始增加拥塞窗口)。HTTP/2则通过在一个TCP连接上进行多路复用来解决该问题。然而即使不同流(stream)的数据内容是相互独立的,如图5(a)所示,某条stream上的数据丢失仍然可能导致队头阻塞,因为TCP连接要求所有数据按照发送顺序传送到应用程序。在QUIC的设计中,如图5(b)所示,QUIC也支持在单个连接上复用并发的HTTP stream,一个QUIC连接可以携带相同或不同stream的多个帧,属于同一stream的所有帧按顺序传送。与HTTP/2不同的是其中一条stream中的丢包不影响其他stream的数据传输。
为了提供安全传输,QUIC集成了TLS的安全功能,并强制加密所有传输数据。在连接建立的过程中,QUIC采用了Diffie-Hellman密钥交换算法,在服务器与客户端分别生成随机数用以生成密钥,再利用密钥加密后续所发送的数据。在防止用户隐私泄露的同时,也可以避免中间设备对流量造成干扰。服务器、客户端均使用数据包编号作为标识,该编号位于未加密的包头,故而在乱序接收数据包的情况下也可以进行解密。
除了以上两个特征外,QUIC还有以下特点:
1)0-RTT时间的安全连接建立;
2)实现于应用层,可快速迭代和部署;
每一个连接由唯一的标识符标识。
2.4 应用层与网络安全
2.4.1 云计算与CDN
2006年云计算的概念被提出,从2008年到2018年这十年里得到了快速的发展和部署。与此同时,互联网的内容提供和服务模式也发生了巨大变化,随着越来越多的数字服务迁移至内容分发网络(Content Delivery Network,CDN)中,互联网应用的主流已经从过去的面向PC的下载服务,演变为各种各样的在线服务、APP服务等。
随着云计算的兴起,个人用户的计算机不再是具有处理和计算资源的独立系统,而是越来越像一个窗口,通过它可以看到存储在公共服务器上的数据。在云计算的模型中,本地设备实际上是存在于互联网中更大的后备存储的本地缓存。当一个用户可能拥有多个设备的时候,云计算模型极其有意义,因为无论用户使用哪个设备访问数据,在云计算的支持下,他访问的公共后备存储的内容都是一致的。这些云服务还能够更容易地支持具有数据共享功能或者协同工作功能的应用。在支持这些应用时,云模型不是去创建原始文档的一组副本,然后把所有用户编辑过的文档整合成一个,而是通过简单地更改文档的访问权限来共享文档。该文档只有一个副本,所有用户都可以访问它,并且用户可以根据自身的权限看到该文档的相关的编辑和注释。
与云服务紧密相关的是互联网的内容提供和服务模式。在过去的十年里,CDN深刻影响了互联网的应用。在这之前的一段时期里,互联网中的数据传送和内容之间虽然互相依赖,但是属于不同的业务领域。传送的任务是让用户能够访问内容,这意味着传送对于内容十分重要。类似的,内容对于传送也很重要,基于客户端/服务器模型的互联网失去了内容也是没有意义的。二者之中的内容产业更加有利可图,并且更少地受到监管和约束。许多内容提供商向公众提供免费服务,如免费电子邮件,免费内容托管,免费存储等,然后通过另一项交易为这些服务提供资金,主要是将消费者资料销售给出价最高的广告客户。在这个过程中并没有出现比较明显的监管。最后,内容产业使用自己的能力和资本消除了对数据传送产业的依赖,促成这个转变的就是CDN技术。在CDN的模型中,互联网不再需要将用户引导到不同的内容资源上,这些内容已经由CDN迁移到了用户附近。一旦所有类型的数据服务都迁移进入了CDN,并且CDN将这些服务部署到了临近具有商业价值的用户的地方。互联网中传统的传送业务又还能扮演什么角色呢?这些传统的传送业务提供者的前景并不乐观。
2.4.2 安全攻击与防御
过去的十年里,互联网中大量的应用陷入了不断修补漏洞的循环。在大量的软件、协议漏洞不断的被修补的同时,新的漏洞也不断出现,绝对的安全是不存在的。对于网络服务的管理人员,及时的安装最新的软件补丁成为了提高安全系数的重要手段。互联网中的应用提供者现在需要在安全方面进行巨大的资金投入尽可能的减少被攻击的概率,降低攻击带来的损失。在这种情况下,对于互联网中使用着老旧软件和协议的计算机而言,可以说网络是极为危险的,这些计算机十分容易被攻击者利用,成为网络攻击的僵尸主机。
在目前的互联网中,分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是著名的原理简单而效果显著的攻击方式。在过去的几十年里人们一直尝试对其进行防御,但是DDoS攻击依然有效,并且它的攻击方式几乎未发生变化。DDoS防御成为了长期以来困扰人们的难题。早在二十年前,RFC 2827[37]就已经向网络运营商提供了降低伪造源地址的数据包的方法,但是直到今天,基于UDP的大规模伪造源地址的攻击仍然存在。如今,大量的DDoS的攻击者存在犯罪的动机,甚至一些国家也注意到了这种攻击并且可能使用这种攻击。受此影响,现在人们心中的一个理想的国家似乎应当具备对网络战争进行投资的能力,并且具备挖掘互联网中漏洞的能力。安全的形势变得更加严峻了,对于任何需要维护可用服务的企业,它们任何形式的内部配置都不足以抵御现在的攻击。目前,只有少数几个平台能够提供弹性服务,即便如此,人们仍然不清楚它们是否能够承受最极端的DDoS攻击。互联网的安全问题正在随着很多控制系统(能源控制系统,交通控制系统等)接入互联网而变得越来越让人担忧。
让现状更加恶化的是物联网(Internet of Things,IoT)的出现。IoT安全问题随着其使用规模的扩大而凸显,但本质上没有发生变化:产品成本与安全性之间的矛盾。很多人认为IoT代表着无限的未来,但是事实上目前接入互联网的IoT设备几乎都非常不理想,甚至会引入新的安全问题。这些设备不足够可靠的操作和安全模型是有可能影响到其他设备的,它们需要管理和检查。但是在现实使用的过程中,人们往往会疏忽这一点。物联网的设备也是建立在很多人开发的软件层之上的,并且这些设备往往十分廉价。低廉的价格使得IoT设备很难保证安全。比如,如果对一个家用网络摄像头分析其安全模型,人们很可能会发现它完全不安全,使得监控内容有可能暴露在互联网上。程序员很难不犯错误,软件几乎不可能完美无缺,它们将继续存在漏洞。消费者需要关注这些IoT设备的安全性。但是目前的IoT市场,安全仍然在向廉价妥协。如何解决这个问题仍然困扰着人们。
2.4.3 隐私保护
2013年棱镜门等事件使人们首次意识到了信息泄露问题的严重性,使互联网隐私问题受到前所未有的关注。根据斯诺登的描述,美国政府在进行互联网监控时,使用了大量的流量监听源来监听用户的行为,进而构建用户画像。从某种角度上讲,这种行为和一些互联网公司在完成广告商所资助的任务时所做的事情是很相似的。美国政府的监听行为与一般互联网公司对用户行为分析之间的主要区别在于,互联网公司这么做的目的往往是为了让用户对广告商来讲更有价值,但是政府机构的目的则往往多样化。无论是互联网中构建用户画像的商业行为还是恶意隐私采集行为都十分令人担忧。
信息泄露事件导致的必然结果是加密技术在互联网中的广泛部署。除了前文提到的新型传输协议QUIC直接可以对应用层数据进行加密外,DNS也得到了人们的广泛关注。DNS服务广泛部署于互联网中并且能够提供大量的描述用户行为的信息。为了能够防止不必要的数据泄漏,一些过于繁琐的DNS交互得到了清理,力争让DNS请求最少。例如,IETF制定了DNS私有交换协议(Dprive)、在HTTPS上的DNS查询协议和在安全传输层协议TLS上的DNS查询协议等技术标准。这些技术能够让DNS服务器之间的路径更加安全,防止中间人对信息进行窃取,但是无法防止控制服务器的公司对信息的滥用。此外,这些工作的结果是否会在DNS环境中广泛采用仍然需要一些时间来确定。在过去十年中,Let’s Encrypt倡议推广了X.509免费证书,使得提供互联网HTTP服务的公司无论规模大小都能够负担得起加密会话,越来越多的网站会去使用更加安全并且廉价的HTTPS来提供Web服务。
『3 中国互联网2008-2018年的发展』
互联网是一个开放的全球性网络,中国互联网的发展与整个互联网的发展密切相关,体现在过去十年各层的技术发展大体上都遵循整个互联网的发展特点。因此,本小节将重点回顾在总体趋势之下中国互联网特有的发展情况,将仍然按照互联网体系结构自下而上的顺序展开。
3.1 物理与数据链路层
3.1.1 光传输与光交换
近十年以来,国内光通信技术及应用整体上实现了从跟随、并跑到部分领跑的发展历程,在高速传输和接入、智能管控、高精度同步、可见光通信等多个领域已与国际同步或基本同步发展,并在分组传送等领域实现部分领跑,华为、中兴和烽火等国内主流光通信设备商全球市场影响力逐步提升,华为已占据全球光通信市场份额第一名,但在光通信用高端光模块器件(25Gbps及以上)、电域关键芯片等基础产业能力方面与国外差距依然比较明显。
2008年,国内开始将40Gbps DWDM作为骨干网提升速率技术实现商用部署,由于技术方案多样化、部署成本高等原因,2012年开始全面转向100Gbps WDM技术。2016年开始,200Gbps和400Gbps WDM传输技术逐步成熟,三大运营商依次启动现网试点应用。2016年,中国电信启动长江中下游干线可重构光分插复用(Reconfigurable Optical Add-Drop Multiplex,ROADM项目),2018年中国联通紧随其后启动京津冀ROADM实验网项目,基于多维ROADM的光层组网应用引起业界高度关注。
在分组传送技术方面,我国在过去十年已从技术跟踪、集成创新逐步发展到自主原创、产业引领的阶段。目前我国提出的切片分组网(Slicing Packet Network,SPN)技术方案已吸引了许多国内外公司深度参与和广泛关注,已成为业界关注的新一代分组传送焦点技术。而在接入网方面,我国宽带接入网络发展迅速,接入终端设备类型由早期只支持L2转发的桥接型发展为以智能网关为主,全面支持L3转发和智能远程控制。目前已进入“千兆网络”发展时代,FTTH成为运营商宽带接入网发展的主要方向,用户接入速率在全球居于前列。
随着SDN技术的兴起,为解决集中式控制器带来的网络性能和可靠性的瓶颈,解决复杂光层物理参数的管控难题,国内启动软件定义光网络、软件定义光传送网络、软件定义分组传送网络等系列标准和应用研究,目前体系架构和控制器要求等标准已基本完成。国内三大运营商相继开展传送网SDN控制器、南北向接口的实验室及现网测试验证。
分组传送协同同步技术发展,更高精度同步技术受到关注。2008年以PTN为代表的分组传送技术在中国移动等网络中得到部署和应用,相关网络同时支持同步以太网技术和1588v2技术,可实现高稳定频率同步和高精度时间同步的传输。近几年随着5G对同步提出更高要求,新型SPN等对同步也相应提出更高要求。在同步源头技术方面,随着2012年我国北斗导航系统正式组网投入商用,北斗授时接收机在通信中应用规模不断扩大,进一步提升了网络安全可靠性。近年来,双频卫星接收、卫星共视等新型卫星源头技术受到业界重视,并在实验室和现网进行了验证测试,能够满足±30ns量级时间精度要求。
可见光通信与国际同步发展,商用模式有待进一步探索。我国在可见光通信技术的研究方面一直处于国际第一梯队水平并逐步刷新传输速率。然而可见光通信目前尚未实现产业化商业部署,主要原因主要包括:1)可见光通信的优势在于下行通信,上行通信的方式仍需借助集成的无线通信技术,对产品集成能力要求很高;2)目前商用的照明LED带宽不足,虽然学术界也提出了micro-LED等高带宽LED的技术,但由于成本等原因尚未推广;3)可见光通信应用在高速短距离无线组网场景时,面临WiFi等成熟技术的竞争,更加难以取得商业上的成功。因此,未来可见光通信产业化应用模式有待进一步探索。
3.1.2 移动无线网络
我国移动无线网络领域在过去的十年里与国际发展保持同步,经历了3G、4G到5G的快速演进历程。根据中国互联网信息中心2019年2月发布的《第43次中国互联网络发展状况统计报告》[38]显示,2017年我国移动互联网接入流量达246.0亿GB,2018年增长到711.1亿GB,增长189.1%。截至2018年底,我国互联网用户规模达8.29亿,其中手机用户数量达8.17亿,使用手机上网的用户比例为98.6%,总体数量庞大。互联网普及率为59.6%,仍然有较大的发展空间,其中农村地区互联网普及率为38.4%,发展相对滞后。
当前,我国5G网络发展已进入全面落实阶段。2016年发布了《“十三五”国家信息化规划》,国家5G顶层设计基本完成。2017年11月,国家发改委印发《关于组织实施2018年新一代信息基础设施建设工程的通知》,对5G规模组网建设及应用示范工程设置了明确的指标。2018年5月,工信部、国务院国资委发布《关于深入推进网络提速降费加快培育经济发展新动能2018专项行动的实施意见》,提出加快宽带网络演进升级,推进5G技术产业发展。
技术研发方面,依托科技部“新一代宽带无线移动通信网”国家科技重大专项,我国于2016年1月全面启动5G技术研发试验,第一、二阶段均已完成,第三阶段“5G系统方案验证”正在进行测试,非独立组网测试已完成,独立组网测试已部分启动,重点城市5G规模组网建设试点工作正陆续开展。标准制定方面,截至2018年3月,我国提交的5G国际标准文稿占全球的32%,主导标准化项目占比达40%,多项技术方案进入国际核心标准规范,推进速度、质量均位居世界前列。5G产业化取得初步成果。2018年12月,我国三大基础电信运营商获得5G系统中低频段试验频率使用许可。面向5G的芯片设计研发正在部署,华为、联发科、紫光展锐等芯片厂商均制定了发展路线图。国内主要运营商联合终端厂商陆续启动研发计划,部分国产品牌已成功研发出支持5G非独立组网的预商用产品样机。相关厂商已于2019年进行首批5G芯片的流片,同时运营商也已经开展5G试验基站建设。
3.2 网络层
提到中国互联网就不得不提到IPv6。在二十年前(1998年),清华大学在国内率先开始了下一代互联网的研究,2001年,在北京地区建成了我国第一个采用IPv4/IPv6双栈技术的下一代互联网试验网NSFCNET。2004年,自主研制成功IPv6核心路由器,并开通我国第一个采用纯IPv6技术的大型互联网主干网CNGI-CERNET2。2007年,清华大学在国际上首次提出的“IPv4 over IPv6隧道过渡技术”(4over6)被国际互联网标准化组织IETF批准为RFC4925,是第一个以中国人为第一作者的非中文编码信息类互联网IETF国际标准。在2008年至2018年这十年间,我国IPv6的部署和研究仍在稳步前进。
在过渡技术方面,继提出4over6技术之后,进一步针对不同场景下IPv4和IPv6不能兼容带来的世界性技术难题,在隧道过渡技术和翻译过渡技术两方面取得重大技术突破,形成并主导了系列化的国际标准。一方面,在通用4over6过渡体系结构、路由映射、异构组播和动态接入等方面取得重要突破,推动国际互联网标准化组织IETF成立专门工作组Softwire,主导形成国际互联网标准IETF RFC十余项。华为、华三、锐捷、绿网、比威、Juniper等厂商相继研发了4over6过渡网关或IPv6路由器4over6过渡功能部件。已在CNGI-CERNET2/6IX、100个IPv6校园网以及运营商CNGI试验网部署应用,在搜狐、新浪、中石油、国家电网等推广应用,并被德国电信选为IPv6过渡最佳方案。
另一方面,在国际上首次提出“IVI翻译过渡技术”,在无状态地址翻译、传输层端口地址映射、IPv6兼容过渡机制等方面取得重要突破,主导形成国际互联网标准IETF RFC共9项。研发的技术已由Cisco、Juniper、华为、中兴等世界著名设备厂商、在多款产品系列中实现。盛科实现了基于IVI技术的全球第一款IPv6翻译过渡芯片。苹果iOS9.5以上系统使用本技术支持纯IPv6接入,谷歌安卓4.3以上系统集成本技术,并为美国运营商提供3G/4G移动网络纯IPv6服务。已在CERNET主干网和百所校园网,河南省基础教育城域网、甘肃广电网等进行了部署试验。在中国电信,美国Verizon、Charter,加拿大Rogers,印度Reliance,意大利电信等全球大型运营商开展了规模试验和试用。
本世纪初,我国互联网主干网大量采用进口核心路由器。在建设大型纯IPv6互联网主干网CERNET2的过程中,确定并实施了“以国产IPv6核心路由器为主组建大型IPv6主干网”重大技术决策,在研制中解决了大规模互操作测试等技术难题,实现了国产IPv6核心路由器中大规模跨域路由BGP、互通互操作、统一网管,设计和研制成功大规模使用国产IPv6核心路由器的全国主干网,国产IPv6核心路由器的台数达到80%。
在规模商用方面,2004年CERNET2的开通培养了我国第一批IPv6用户。截止2012年IPv4地址耗尽、全球进入IPv6快速发展期之前,CERNET2拥有数百万IPv6用户,在全球一直处于领先地位。在此基础上,制定了连接全国2000所高校的中国教育和科研计算机网CERNET的下一代互联网过渡策略,即高校校园网分别接入纯IPv4的CERNET主干网和纯IPv6的CERNET2主干网,使接入CERNET的2000万用户同时也是CERNET2的用户,在向IPv6下一代互联网过渡方面起到示范引领作用。截至2018年12月,我国IPv6地址保有量达到41079个/32前缀,比上一年增长了75.3%。这一发展速度与2017年11月中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版(IPv6)规模部署行动计划》密切相关,可以说标志着我国IPv6应用进入了高速发展期。2018年5月,工业和信息化部就落实该计划向有关单位进行了明确部署。目前,三大运营商在全国30个省(区、市)的移动宽带接入网络均已完成IPv6改造,骨干网设备已全部支持IPv6。这一发展趋势与国际环境下IPv6自由发展的速度相比更加迅速,显示了CNGI-CERNET2作为示范网络所起到的积极作用以及国家政策对下一代互联网新技术发展的促进。
在下一代互联网体系结构研究方面,国家973计划连续支持互联网体系结构基础研究,采用演进技术路线进行互联网体系结构创新的技术路线成为主流。基于互联网真实源地址验证,清华大学提出了“地址驱动网络ADN”新型网络体系结构[39]。在保证源地址真实性的基础上,定义源/目的二维地址信息的语法和语义,基于二维路由进行数据包转发,可提供当前互联网体系结构所不具备的新的路由和控制管理能力。提出了二维路由转发表结构FIST,并在硬件上实现了二维路由转发表[40]。清华大学、国防科技大学、华为公司等单位联合承担相关国家科技项目,在国家重大科技基础设施“未来网络试验设施”中进行大规模试验验证。
3.3 应用层与网络安全
3.3.1 新兴互联网应用和云计算
在过去的十年里,中国互联网涌现了很多新兴应用,极大地丰富和便利了人们的生活。根据CNNIC的统计数据,截至2018年12月,我国网络支付、网络购物、网上外卖的用户规模分别为6.00亿、6.10亿和4.06亿,网络新闻用户规模为6.75亿,网络视频、网络音乐、网络游戏的用户规模分别为6.12亿、5.76亿和4.84亿,短视频用户规模达6.48亿。与十年前不同的是,一些互联网应用不再是简单模仿国外的产品,而是有了自主创新,很多应用在国际上也走在前列。支付宝和微信支付已分别在40多个国家和地区合规接入,实现了跨境支付;我国企业已在亚洲9个国家和地区运营本土化数字钱包产品。
在云计算方面,我国大型云服务商已经跻身全球市场前列,企业营收高速增长。阿里云的市场份额达到全球第三,市场占有率仅次于亚马逊和微软。阿里巴巴2018年云计算业务营收达到213.61亿元,同比增长91.3%;腾讯2018年前三季度云计算业务营收超过60亿元,同比增长超过100%。我国云计算应用正从互联网行业向政务、金融、工业等传统行业加速渗透。其中政务行业中的云计算应用较为成熟,目前全国超过90%的省级行政区和70%的市级行政区已建成或正在建设政务云平台。金融行业正积极探索云计算应用场景,工业云开始应用于产业链的各个环节。我国云计算服务商重视参与开源生态,积极进行自主研发。阿里巴巴、腾讯、华为陆续参与Linux基金会、CNCF基金会等开源基金会,并在2018年发布了“飞天2.0”、“Redi”等自主研发的云计算产品。另一方面,云计算中的安全问题还较为严重,安全事故频发,已经引起了服务商的高度重视,着力加强安全风险管控能力。
3.3.2 中文域名与电子邮件地址
域名是DNS中的核心元素,过去十年里,中文域名逐步发展,基于中文域名的中文电子邮件地址也经历了从无到有的过程。
十多年前,随着互联网在非英语国家的迅速发展,IETF提出了一系列标准来支持国际化多语种域名,即含有中文、日文、韩文和俄罗斯文等语言文字的域名。中文域名是多语种域名的一种。2010年6月25日在布鲁塞尔召开的第38届互联网名称与数字分配机构ICANN会议上,ICANN董事会通过表决,同意“.中国”作为中文顶级域名,正式纳入全球互联网根域名体系。全球网民在世界任何地区在浏览器地址栏中直接输入以“.中国”为结尾的域名即可访问相应网站,“.中国”域名作为中华文化的象征正式登上历史舞台。2018年“.中国”下注册的域名保有量达到172万。
随着多语种域名的发展,多语种电子邮件地址技术也开始出现。CNNIC主导推动制定的关于多语种电子邮件的IETF RFC6531在2012年正式发布,同年6月19日,CNNIC基于该技术标准RFC6531举办了全球首封多语种电子邮件的发送活动,中央电视台新闻联播进行了报道。从2013年开始,多语种电子邮件地址技术逐步获得微软、谷歌、主流邮件开源软件PostFix等采纳。俄罗斯、印度等国的主流邮件公司采纳该标准。亚太经济合作组织给予专项资金支持,协助多语种电子邮件技术标准的推广应用。目前微软的邮件系列产品逐步开始采纳RFC6531等国际技术标准以支持多语种邮件的应用。2018年,微软在中国举办了使用Hotmail邮箱发送含有中文电子邮件地址的EMAIL活动,正式宣告Hotmail邮箱支持RFC6531。
中文域名和传统的英文域名有较大差别,中文域名中的中文字符有多种形式(包括简体、繁体、变体等等),并且中文域名的字符集比传统的英文域名的字符集大很多。CNNIC在IETF中作出了不懈努力,使得中文域名在简繁体等效注册方面取得了技术成功,但是中文域名简繁体在DNS等效解析方面一直没有好的技术解决方案。2009年左右,IETF组织了专题会议,讨论了BANME、ZONECLONE和CDNAME等技术解决方案,但无一获得技术专家认可。2016年CNNIC主导申请设立的关于域名等效解析的兴趣小组(BOF)正式获批,尝试再次讨论解决中文域名在DNS上的等效解析问题,但是此BOF会议最终未能形成共识,无法组建工作组。
2008年1月,我国域名总数是1193万个,CN域名数量是900万个;2018年12月,我国域名总数达到3792万个,其中“.CN”域名总数为2124万个。ICANN逐步放开了新通用顶级域的申请,目前已经新批准了1000多个顶级域,这些新出现顶级域的很多投资人都把目光都投向了中国。新出现的国际化多语种域名顶级域中,中文顶级域占了约一半。
3.3.3 真实地址与真实身份
在当今复杂的国际政治形势下,网络安全的重要性越发凸显出来。过去十年里中国互联网面临的安全威胁包括多个方面,大体上与整个互联网所面临的安全问题相同,包括DDoS攻击、域名安全、路由劫持,以及由于系统漏洞和后门等导致的恶意篡改、信息泄露和网络诈骗等。我国政府和研究人员高度重视网络安全问题的防范和研究,2018年教育部将网络空间安全设立为新的一级学科,培养更多的相关人才。清华大学研究团队在真实地址与真实身份技术方面展开研究,旨在为构建安全可信的下一代互联网提供重要技术基础。
针对互联网体系结构安全设计缺陷带来的安全可信重大技术问题,清华大学研究团队在国际上首次提出“基于真实IPv6源地址的网络寻址体系结构”,推动国际互联网标准化组织IETF成立专门工作组SAVI,主导形成国际互联网标准IETF RFC共4项,获2012年教育部技术发明一等奖。成果已被华为、中兴、华三、锐捷、神码、比威、赛尔、盛科等相关企业研制出50余种型号的网络产品和系统,并在我国下一代互联网标志性工程中得到了大规模部署应用,包括CNGI-CERENT2主干网和百所高校IPv6校园网、中国电信、中国移动CNGI网络、中科院网络、国税总局等重要部门、中石油等重要行业,提高了我国下一代互联网的安全可信性。2012年以来,开展基于真实地址验证的真实用户身份识别与溯源技术研究。
『4 发展趋势总结与未来方向展望』
4.1 发展趋势总结
回顾互联网过去的五个十年,可以在更大的尺度上对于互联网技术的发展加深理解。第一个十年(1970s)诞生了基于分组交换的实验网络;第二个十年(1980s)TCP/IP协议成为主流标准;第三个十年(1990s)以BGP4和DNS为代表的全球网络基础设施逐步成熟;第四个十年(2000s)HTTP协议成为最主流的应用协议;第五个十年(2010s)HTTPS和隐私保护成为互联网的主流应用。今后的十年(2020s)IPv6或将成为新的里程碑。总体上,互联网是向着更大带宽、更低时延、更高效、更便捷的方向发展的。
具体到上一个十年,可以明显地看到:物理与数据链路层带来更高的数据速率,网络层与网络管理提供对更大规模网络和用户的支持和更灵活高效的管理,传输层提供更大的端到端吞吐和更低的时延,应用层让用户享有更加便利的数字化生产生活和更安全的网络环境。然而,各个层次的发展速率不是均一的,作为互联网沙漏型体系结构中“细腰”的TCP/IP层发展相对更加缓慢,而底层和上层则出现了更多的创新。位于同一层的技术发展也有快慢之分,例如过去十年来移动无线网络的发展相比有线网络和光通信显得更快一些,新兴网络应用和网络安全相比发生的变化也更多一些。这些现象或许还称不上发展趋势或规律,它们并不一定会在未来的十年内重现,例如,在未来很长一段时间内,人们都不需要担心IPv6地址空间耗尽的问题。从更长远的角度看,虽然互联网的发展速度超过了人类历史上任何一个领域的发展速度,但十年的时间对于已有五十年历史的互联网来说或许来说还是过于短暂了。
在过去十年互联网的发展中,一些被人们认为具有严重问题、将会发生重大变革的技术仍然基本保持原样或占据主导地位,而过去人们没有预料到的新技术和新应用也不断涌现出来,刷新着人们的认知。互联网增大到目前的规模,其巨大的惯性对技术演进会造成一定阻碍。研究人员在探索未来互联网的新技术时,对可部署性的考虑变得越来越重要。如今,大量的研究人员正从不同角度出发探索未来互联网的发展方向,尽管作为研究成果的多数技术可能不会得到广泛的部署,但是在特定的条件下,其中的某些技术就可能成为广泛部署的标准。这种多元化的科研环境也可以看作是互联网技术进步的一个体现。
哪些因素决定了互联网技术的发展方向?借用国际互联网协会(ISOC)的观点:互联网是没有设计蓝图的,只有不变的设计原理(Design Principles)和演进的技术模块(Building Blocks)。互联网标准文档RFC 1918[41]指出互联网的设计原理如下。
(1)网络协议必须适应异种机之间的互联。
(2)选择某一个方法(靠标准)。
(3)具有很好的扩展性。
(4)性能、成本和所能实现的功能的平衡点。
(5)保持简单性。
(6)模块化。
(7)不要等待找到完美的解决方案。
(8)尽量避免选项和参数。
(9)在发送时应严格,在接收时应宽容。
(10)小心处理自己没有请求而收到的分组。
(11)避免循环依赖性。
(12)对象应该能够自我描述。必须使用由IANA授权所使用的编码。
(13)任何协议都应使用统一术语、注释、比特和字节顺序。
(14)只有当实现了几个能够运行的程序实现后,Internet的协议才能成为标准。
综上所述,可以对互联网发展中潜在的规律做如下的总结。
(1)互联网技术的演进不遵循固定轨迹,充满难以预测的爆发、转折、交错。但是成功的技术符合上述互联网设计原则。
(2)互联网增大到目前的规模,其巨大的惯性对技术演进会造成相当的阻碍。因此成功的技术一定是简单的、模块化的、多方因素平衡的,而不是理论上完美的。
(3)互联网的每一个十年都会出让人眼目一亮的创新技术。
4.2 未来发展方向展望
根据对互联网过去两个二十年技术发展的总结与分析可以看到,对未来互联网技术发展进行预测是一件非常困难的事,正如十年前的人们很难想象今天的互联网是一副什么景象。然而即便如此,我们还是可以对当前互联网面临的技术挑战进行总结,并动用我们有限的想象力,对未来发展方向和应该重点关注的领域进行展望。
按照互联网分层模型,目前明确列出发展路线的主流技术如图6所示。
4.2.1 物理与数据链路层
光通信和无线通信技术的进步在未来一段时间内将进一步提高网络数据速率。光通信技术继续围绕时分、波分(频分)、空分等复用方式并结合新型的调制编码、频谱整形、多粒度交换、光电集成等技术进一步提升光通信网络的传输速率和容量,数据速率向Tbps量级迈进,超大容量全光交叉组网进一步部署应用。宽带接入速率继续提升,25Gbps和50Gbps TDM PON、基于波长可调的25Gbps WDM PON等高速PON接入将是未来研究和发展的重点方向。百ns量级超高精度实现组网应用,基于北斗三代系统的卫星授时将在通信网中广泛应用,新型源头术、高精度同步承载、网络监测等技术不断发展,端到端100ns量级高精度时间同步组网技术将逐步成熟并部署应用。可见光通信技术由于其保密及抗电磁干扰能力强等优势,将在工业控制和军事等领域逐步拓展应用。与通信带宽的增长相比,当前的计算能力已经成为处理的瓶颈,摩尔定律已经失效,如何处理未来大带宽下的海量分组是一个现实的挑战。研究人员目前正努力的方向包括全光网络和并行处理,包括利用多核CPU甚至GPU等元件提高处理能力。未来量子信息技术能否改变目前的现状也值得人们期待。
从通用链路层标准来看,IEEE的以太网标准是总体的发展趋势,从铜线到光纤到无线几乎是一统天下,光纤通信先进的调制技术,色散补偿技术,自适应技术;无线的OFDM技术,编码技术,智能天线技术使传输速率越来越高,延时越来越低,服务质量越来越好。预计这个趋势在未来的十年也不会改变。无连接IP协议和以太网协议具有最好的匹配。另一方面,移动通讯的技术和标准产生了1G、2G、3G、4G、5G甚至6G。值得指出的是移动通信也越来越IP化,即网络层的协议是IP协议。上述二者的区别是,互联网是全球互联互通的开放式IP网络,而移动通信是“围墙花园(Walled Garden)”式的IP网络。未来十年的主流究竟是互联网还是“围墙花园”是开放和封闭理念的博弈和竞争。究竟哪一个理念成为主流,我们将拭目以待,但不管怎样,互联网和“围墙花园”的技术模块都应该能够继续保持兼容并能够在网络层互联互通。
4.2.2 网络层与传输层
传统的TCP/IP协议正承受着来自多方面的越来越大的压力。当前在计算能力方面摩尔定律已经失效,在通信能力方面香浓极限已经被逼近的情况下,简单地对网络进行扩容或将不再是满足越来越高的业务需求的现实手段,网络层和传输层将承担更多的责任来高效利用现有的网络资源。十多年前就存在的BGP路由前缀劫持问题、网络自动化配置管理问题、传输协议在多种场景下的拥塞问题或将随着相关技术的不断完善而得到缓解或解决。分组传送体系持续演进。围绕超大带宽、超低时延、灵活连接、L3 VPN到边缘、软硬切片、差异化QoS服务等应用需求,IP/MPLS、以太网和物理层等进一步融合创新,结合SDN/NFV技术向新一代分组传送技术体系持续演进。灵活管控和智能运维将成为亮点,基于网络切片及虚拟化等技术,面向上层网络应用的网络切片及业务调度能力将更为灵活。结合人工智能技术,网络优化能力进一步提升,智能运维特性将显著增强。同时,云计算和边缘计算的兴起也将给网络层和传输层如何发展提出新的问题。在未来工业物联网、车联网、广电网、空间网络、海洋网络等多种异构网络相互融合的场景下,是采用统一的网络层实现异构融合互联还是采用其他的技术路线,还需要研究人员深入探索。
尤其值得注意的是,从IPv4到IPv6过渡是大势所趋。在过去的十年中,IPv4/IPv6翻译过渡技术和封装技术形成了IETF的标准,不仅使IPv4和IPv6能够互联互通,还使纯IPv6网络的部署成为可行。基于IPv6的分段路由(Segment Routing IPv6,简称SRv6),预计会在未来的十年大规模的部署,并派生出新的技术。由软件定义网络(SDN)实现SRv6的调度,实现细粒度的按需路由和政策性路由,实现自动化网络配置管理等。IPv6协议的IETF标准是没有NAT66的,因此可以做到源地址更加可信。源地址认证体系结构(SAVA、SAVI)在未来的十年也将实现大规模的部署。大道至简,纯IPv6网络将极大地简化网络的体系结构,如图7所示。其基本的技术模块包括:含SRv6的IPv6路由、IPv4/IPv6翻译、封装、特定源组播、网络系统、编排器、源地址认证,以及RA、DHCP、SAVI等。
此外,在传输层方面,TLS系列协议在过去十年成为主流。其主要目的是解决端到端的安全问题、可信问题和服务质量问题。当IPv4仍然规模使用时,这个趋势应该不会有重大改变。但如果未来的十年IPv6的普及率大幅提高,例如达到50%,预计会发生有趣的现象。此外,由于QUIC协议使用UDP协议,UDP的重要性或将得到加强。由于在IPv6环境下没有NAT,其他非TCP和UDP的传输层协议是否可能脱颖而出也是难以预料的。
4.2.3 应用层
在应用层,5G和后5G时代的网络提供的高带宽、低时延、巨连接的服务必将催生更多新兴应用。目前,全息实时通信、个性定制多媒体、虚拟现实等应用系统已经在开发中。在这些新兴应用的背后,支撑它们的一些基础技术变得尤为重要。例如,APP和搜索引擎的流行使人们不需要直接使用域名,但实际上只是使部分域名隐形化,让用户不易直接感觉到它的作用,事实上反而更加凸显了域名的作用。
未来的十年中,工业互联网或将成为互联网技术与先进计算、分析、感知等技术相融合而产生的新兴应用场景。工业互联网的本质是在全面互联的基础上,通过数据的流动、分析和智能化控制,实现制造业的数字化转型和水平提升。为了将工业生产中涉及的各要素以及产业链、价值链的各个环节互联互通起来,工业互联网将比现有的互联网应用更加重视数据的流通和分析。这一新的应用场景是否会继互联网传统的下载模式、在线交互模式和APP模式之后创造出新的应用模式?值得网络研究人员关注和期待。
互联网的本质是开放性的。传统IPv4互联网的设计理念是端对端的透明性,即互联网上任意的一个IP地址都可以被寻址到,并且每个地址都可以提供所有的传输层协议服务。随着NAT的引入,特别是利用TCP或UDP协议不同的端口号共享IPv4地址,区别了服务器和客户机。政府的网络管理政策,例如提供WEB服务必须获得相应的执照,使这种区分得到了管制上的合法性。IPv6具有巨大的地址空间,没有使用NAT的必要性(IETF NAT66工作组早在2009年便已终结,且没有留下标准文档),从技术上使得区分服务器和客户端不再是必要的。因此,究竟用现有的IPv4的管制方式来运行互联网,还是使IPv6互联网重新开放,是未来十年需要解决的问题。互联网上云计算,个性化应用和物联网的应用,显然不可能继续使用现有的管制方法。究竟是封闭更有竞争力还是开放更有竞争力,仍然是一个重大的问题。未来十年谁能发明里程碑式的互联网技术,将对这个问题得出一些答案。
4.2.4 网络安全
对于互联网面临的网络空间安全和隐私保护问题,目前还没有特别明确的技术路线能使问题得到根本性的改善或解决,新的安全技术突破将是一个极具挑战性的任务。
在路由安全方面,由于BGP的对等互联和多接入(Multihoming)使路由劫持的危害更加突出,资源公钥基础设施(rPKI)的重要性将越来越显著。在DNS安全方面,由于完全部署DNSSEC可以确保最终用户连接到与特定域名相对应的实际网站或其他服务,预计DNSSEC权威DNS部署和递归服务器DNSSEC认证竟得到普及。在HTTP安全方面,HTTPS协议可以确认网站真实性(网站身份认证)和保证信息传输的机密性,预计可以看到HTTPS部署的极大普及、DV证书的自动化签发和ev证书的普及。此外,rPKI、DNSSEC和HTTPS证书都需要某种形式的“根”信任锚链(Trust Anchor),从而带来了控制权的问题。从互联网全球治理的角度看,分布式和去中心化是发展趋势。但是全球唯一的互联网必须保持寻址和命名的唯一性。因此,区块链技术可能对于互联网基础设施的分布式和去中心化带来革命性的改变。
4.2.5 体系结构
未来十年互联网技术面临的大的风险,是互联网的分裂。当前国际政治形势复杂多变,贸易战等可能致使各国独立发展技术,造成技术封闭,对互联网造成严重的影响。具体而言,第一个层次是技术本身的分裂,即各国创造自己的协议标准。第二个层次是丧失寻址空间(IP地址)和命名空间(DNS)全球的唯一性。第三个层次是物理线路的完全隔离。互联网的分裂违背“构建以合作共赢为核心的新型国际关系,打造人类命运共同体”的我国基本国策,也是全世界的网络研究者和工程师不愿意看到的情况。
从IPv4到IPv6过渡,特别是纯IPv6网络的形成和应用,将会是最大的技术主流。后IP时代真可能在近期发生吗?也应该是今后十年值得关注的问题。演进路线和革命路线之争一直是网络协议发展的焦点之一。我们认为互联网作为超级巨系统,要想完全改变是不可能的。但是如果要演进,就必须做出改变。唯一能够使局部改变可行的技术方法是“解耦”。计算机科学的名言是“任何问题可以用映射的方法来解决”。从IPv4到IPv6的过渡实践证明协议和地址翻译技术能够使IPv4和IPv6互通,因而达到了解耦的目的,有希望在不分裂互联网的情况下(分裂互联网意味着独立存在但不互联互通的IPv4和IPv6网络),最终过渡到纯IPv6。因此,对于后IP时代的网络,也一定需要具有某种翻译过渡机制
具体而言,随着多模态网络构造技术和相关使能技术的创新发展,互联网或将向着多模态一体化融合的方向持续演进。在最理想的情况下,包含天基、空基、地基、海基的多模态网元,将融合电路交换、分组交换等多模态交换方法,跨越基于IP、内容名字、用户身份和位置等多模态寻址方法实现网络互联互通,使集中式和分布式等多模态控制方式得到协同优化。届时将建成海陆空天一体化、广覆盖、大容量和大连接的未来互联网,网络空间的定义和覆盖范围也将进一步扩展。然而,从互联网的发展历程及其目前所具有的巨大惯性来看,这一宏伟目标的实现或许还需要比十年更长的时间。
从实现上来看,开放源码越来越成为制定标准的前提条件。从黑客马拉松的火爆可以窥见未来互联网标准制定者的主流一定是程序员。因此重温互联网的名言是必要的:“我们拒绝国王,拒绝总统,拒绝选举。我们相信的是基本共识可以运行的程序。”
『5 结束语』
互联网诞生50年以来,给人们的生产和生活带来了翻天覆地的变化。要说本文是献给互联网50周年的一份生日礼物或许过于夸大其辞,但其中的确饱含了作者对创造互联网和促进互联网发展的所有先驱者的崇敬和感谢,以及对互联网未来发展的期待和担忧。我们之所以需要关注互联网最近二十年乃至最近十年的发展,一方面是因为中国的互联网主要就是在这十到二十年的时间里发展壮大起来的,另一方面更是因为只有掌握了历史和现在的纽带才能更好的创造未来,使中国在未来互联网的发展中贡献更大的力量。中国目前处于从网络大国向网络强国发展的重要阶段,研究掌握,特别是创造网络核心技术是中国计算机学会互联网专业委员会会员和全国网络科技工作者的责任和使命,也是学习网络理论和工程技术的广大学生的未来辉煌的事业。
IPv6的大规模普及和物联网、云计算、移动互联网的发展,特别是网络安全和网络管理新的要求会带来网络层、传输层和应用层技术的革命。其关键是不能用IPv4的思维来考虑IPv6,而是要打破框框,勇于创新,创造IPv6全新的网络模式和应用模式。把握网络技术的发展趋势,获得里程碑式的技术创新成果,需要对于互联网设计基本原理和网络体系结构的深刻理会,必须有第一线网络设计、网络运行、网络设备制造、应用软件开发的亲身经历和体验。
这一过程一定是开放的、国际化的。自创一套与国际不兼容的网络技术不符合“构建以合作共赢为核心的新型国际关系,打造人类命运共同体”的我国基本国策。这需要中国的网络研究人员和工程师积极参与互联网标准化组织IETF的标准化工作,成为更多的RFC作者,同时积极参与技术交流并贡献相关的开放源码。我们希望网络研究界,工业界,运营商界和各级政府大力支持,使IETF会议能够重新在中国举办。虽然本文总结了过去十年网络技术的发展成果,对于未来的十年进行了一些预测,但最靠谱还是那句互联网的名言:“我们不预测未来,我们创造未来!”