下载本文的PDF版本 PDF

更好、更快、更安全

谁在掌控互联网的未来?

BRIAN CARPENTER,IBM和互联网工程任务组

自从我于2005年3月开始担任IETF(互联网工程任务组)主席以来,我经常被问到“接下来会发生什么?”,但我通常都拒绝回答。没有人掌控互联网,这是一件好事,但这使得预测变得困难(也解释了为什么这篇文章以免责声明开头:它仅代表我个人的观点,不代表我在IBM或IETF的同事的观点)。

缺乏中央控制是一件好事的原因是,它使得互联网在其整个生命周期中成为创新的实验室——对于一个主要的运营系统来说,充当自身的发展实验室是罕见的。正如古老的比喻所说,我们经常在飞行中更换互联网的某些引擎。

这之所以成为可能,是因为互联网的一些基本目标

当然,这是一种理想化的观点。近年来,防火墙和网络地址转换器使普遍连接变得棘手。一些电信运营商希望将服务嵌入到网络中。一些传输技术尝试过度,因此并不便宜。然而,直到现在,互联网仍然是一个高度竞争的环境,自然选择仍然占主导地位,即使有人试图通过误导性的监管来保护在位者。

在这种自然选择的环境中,预测技术趋势非常困难。范围很广——IETF考虑了IP如何在新兴硬件介质上运行的规范,IP本身以及包括无处不在的TCP在内的传输协议、路由协议、基本应用协议、网络管理和安全性的维护和改进。许多其他标准机构与IETF并行运作。

为了证明预测的难度,让我们仅考虑那些接近现实以至于在IETF内部发布的想法;大约每年有1400份新的草案,其中约有300份最终作为IETF请求评论(RFC)发布。乐观地粗略估计,最多有100个规范在10年后仍在使用(即,初始提案的7%)。当然,许多其他想法在其他论坛(如 SIGCOMM)中提出。因此,任何同意撰写新兴协议的人,至少有93%的概率是在写胡说八道。

10年前我会预测什么?事实上,我可以回答这个问题。在1996年5月的一次演讲中,我谨慎地引用了开尔文勋爵的话,他在1895年说过“重于空气的飞行器是不可能的”,而我轻率地预测,CSCW(计算机支持的协同工作),如分组视频会议和共享白板,将是继Web之后下一个杀手级应用,就带宽和实时性要求而言。我还在等待。

稍早些时候,在1994年(在我加入IBM之前)对IBM用户会议讲话时,我做了以下具体预测

嗯,事务处理在2006年比以往任何时候都更重要,而IPX几乎消失了。其余的,我自夸地说,是相当准确的。

所有这些都应该清楚地表明,预测互联网的未来是一场傻瓜的游戏。本文重点关注当今可观察到的挑战和趋势。

停!谁在那里?

最初的互联网目标,即任何人可以在任何时候向任何人发送数据包,是20世纪90年代中期观察到的非凡增长的根源。引用蒂姆·伯纳斯-李的话,“互联网有一种自由:只要我们接受发送数据包的规则,我们就可以发送包含任何东西的数据包到任何地方。”然而,与所有自由一样,都是有代价的。伪造数据包或电子邮件消息的来源是微不足道的,因此互联网上的绝大多数流量都是未经身份验证的,互联网上的身份概念是流动的。

匿名很容易。当互联网用户社区很小时,它对不法分子施加了足够的社会压力,以至于这不是一个主要问题领域。然而,在过去的10年中,垃圾邮件、欺诈和拒绝服务攻击已成为重要的社会和经济问题。到目前为止,服务提供商和企业用户主要以防御姿态做出回应:防火墙试图隔离自己,过滤以消除不需要的或恶意流量,以及虚拟专用网络以安全地穿越互联网。

这些机制不太可能消失,但似乎需要的是一种更加积极的安全方法:识别并验证与您通信的人或系统,相应地授权某些操作,并在需要时,核算使用情况。专业术语是AAA(身份验证、授权、计费)。

在许多情况下需要AAA,并且对于同一用户会话可能需要在多个级别上进行AAA。例如,用户可能首先需要向本地网络提供商进行身份验证。一个很好的例子是酒店客人使用酒店的无线网络。首次尝试访问互联网可能需要用户输入前台提供的代码。在机场,旅客可能必须提供信用卡号才能访问互联网,或者使用与提供连接的网络服务提供商之一的现有帐户。家庭ADSL客户通常也需要向服务提供商进行身份验证。IETF协议,如EAP(可扩展身份验证协议)和RADIUS(远程身份验证拨入用户服务)用于调解这些AAA交互。然而,这种形式的AAA仅将用户验证为IP数据包的发送者和接收者,并且在提供免费服务的地方(例如,在咖啡店)根本不使用。

通常(例如,对于信用卡交易),远程服务器需要真实的身份,该身份必须通过某些秘密令牌进行身份验证(在简单的解决方案中,是通过安全通道传输的PIN码)。但是,只要受信任的金融中介机构验证了身份,收取费用的商家可能不需要知道真实的身份。因此,身份验证并非必然是隐私的敌人。

密码学身份验证是一种强大的工具。正如它可以用于验证金融交易一样,理论上它可以用于验证互联网上的任何消息。那么,为什么我们仍然有欺骗性电子邮件,甚至欺骗性的个人数据包呢?

对于个人数据包,有一种称为IPsec(IP安全)的解决方案,它在一系列IETF规范中定义,并被广泛(但并非普遍)实施。它遵循称为端到端原则的基本互联网架构:不要在网络内部实现可以在通信的两个终端系统中更好地实现的功能。为了让两个系统验证(或加密)它们发送给彼此的数据包,它们只需要使用IPsec并就秘密加密密钥达成一致。那么,为什么这没有得到普遍使用呢?至少有三个原因

因此,今天的IPsec部署主要限于虚拟专用网络部署,在这些部署中,开销被认为是可接受的,两端是同一家公司的一部分,因此密钥管理是可行的,并且防火墙穿越被认为是开销的一部分。随着企业网络内部对恶意软件的担忧加剧,以及IPv6的部署减少了网络地址转换造成的困难,IPsec的更广泛使用可能会发生。

对于电子邮件消息,用于身份验证或加密整个消息的机制已经存在多年(称为S/MIME和PGP)。大多数人不使用它们。同样,对预先存在的信任关系的需求似乎是问题所在。尽管垃圾邮件令人讨厌,但人们希望能够接收来自任何人的邮件,而无需事先安排。互联网服务运营商希望接收来自未知方的非请求流量;这就是他们获得新客户的方式。封闭网络可能对某些目的有好处,但它不是互联网。

值得理解的是,虽然普通最终用户最多可能发送恶意流量(例如拒绝服务攻击、病毒和欺诈邮件),但ISP理论上可以监视或重新路由流量,或使一台服务器模拟另一台服务器。硬件或软件制造商理论上可以在产品中插入“后门”,这将击败几乎任何安全或隐私机制。因此,我们需要值得信赖的服务提供商和制造商,并且我们必须对下载的软件非常谨慎。

总结一下该领域的挑战

IETF对最后三个问题特别感兴趣。密钥交换方面的工作产生了IKEv2标准(互联网密钥交换,版本2),并且使用公钥密码学与IPsec和IKEv2的配置文件的工作仍在继续。目前,针对数据包欺骗的唯一实际防御措施是鼓励ISP进行入口过滤;简而言之,这意味着ISP应该丢弃来自客户线路的数据包,除非它们来自分配给该客户的IP地址。然而,只有当世界上每个ISP都参与游戏时,才能消除欺骗。最后,垃圾邮件预防问题仍然极其困难;肯定没有解决此问题的灵丹妙药。目前,IETF的贡献是开发DKIM(域名密钥识别邮件)规范。如果成功,这项工作将允许邮件发送域使用数字签名来承担责任,以表明参与了电子邮件消息的传输,并发布关于如何应用这些签名的“策略”信息。总而言之,这些措施将帮助接收域检测(或排除)与签名域相关的某些形式的欺骗。

我们在互联网安全方面远未完成。我们可以预期新的威胁会不断涌现,旧的威胁也会随着防御措施的发现而发生变异。

我的数据包去哪儿了?

互联网从未承诺交付数据包;从技术上讲,它是一个“不可靠”的数据报网络,可能会并且确实会丢失(希望是小部分)所有数据包。根据端到端原则,终端系统需要检测并补偿丢失的数据包。对于可靠的数据传输,这意味着重传,通常由TCP/IP的TCP部分执行。用户会看到这种重传,如果他们注意到的话,只会将其视为性能故障。对于诸如VoIP之类的媒体流,数据包丢失通常会由编解码器补偿——但是突发的数据包丢失将导致语音中断或视频断断续续。因此,当音频和视频编解码器首次变得实用时,QoS(服务质量)问题就凸显出来。它仍然是一个挑战。

QoS的一个方面纯粹是操作性的。网络设计和管理越有能力,服务就会越好,性能更稳定,停机时间更少。虽然不那么引人注目,但这可能是提供良好QoS最有效的方法。

除此之外,还有三种QoS方法,可以概括为

第一种方法是基于以下观察:在ISP网络的核心以及适当布线的商业环境中,原始带宽都很便宜(即使不考虑现在已成为历史的光纤过剩)。事实上,带宽受到显著限制的唯一地方是在接入网络(本地环路和无线网络)中。因此,大多数ISP和企业通过过度配置其核心带宽来解决了他们的大部分QoS问题。这会将QoS问题限制在接入网络和任何其他特定瓶颈。

那么,问题是如何在这些瓶颈处提供QoS管理,这就是带宽预留或服务等级发挥作用的地方。在预留方法中,会话请求网络沿其路径分配带宽。在这种情况下,会话可以是单个VoIP呼叫,也可以是两个网络之间的半永久路径。IETF在“集成服务”的名称下探索这种方法已有10多年的历史,并由RSVP(资源预留协议)支持。即使最近VoIP快速增长,RSVP也没有取得突破——部署似乎过于笨拙。然而,一种相关的方法——在网络核心中构建具有保证带宽的虚拟路径——体现在MPLS(多协议标签交换)的使用中。实际上,RSVP的衍生产品RSVP-TE(用于流量工程)可用于构建具有指定带宽的MPLS路径。许多ISP正在使用MPLS技术。

MPLS无法解决接入网络中的QoS问题,接入网络本质上是由快速发展的各种技术(ADSL、CATV、各种形式的Wi-Fi等)组成的。所有这些网络共有的唯一技术是:IP本身。因此,QoS难题的最后一块在IP层工作。被称为差异化服务,这是一种简单的方式,可以为每个数据包标记适当的服务等级,例如,VoIP流量可以比Web浏览更快地处理抖动。显然,从用户的角度来看,这是可取的,具有讽刺意味的是,所谓的“网络中立性”的更极端的立法提案将表面上取缔它,以及取缔911呼叫的VoIP呼叫的优先级处理。

服务提供商面临的挑战是如何将四种QoS工具(有能力的操作、带宽的过度配置、流量工程和差异化服务)编织成一个面向用户的平滑服务产品。这一挑战与对集成网络管理系统的需求息息相关,不仅IETF,而且DMTF(分布式管理任务组)、TMF(电信管理论坛)、ITU(国际电信联盟)和其他组织也在积极参与。这是一个我们拥有大量标准的领域,实际的挑战是整合它们。

然而,互联网25年前的服务模型仍然存在,该模型允许任何数据包在没有警告的情况下丢失;传输和应用程序协议仍然必须据此设计。

回到未来

如前所述,MPLS允许运营商创建虚拟路径,通常用于管理ISP骨干网或大型企业网络中不同站点之间的流量。乍一看,这重燃了网络工程中一个古老的争议——数据报和虚电路之间的冲突。三十多年前,这是一个主要问题。当时,传统的解决方案依赖于端到端电气电路(硬连线或交换,并在方便时进行多路复用)。

分组交换或数据报的概念于1962年由保罗·巴兰提出,并从1969年左右ARPANET启动时开始变得可行。对于电信行业来说,将这两个概念结合起来似乎很自然(即,沿着预定义的路径发送数据包,这被称为虚电路)。主要成果是ITU开发的称为X.25的标准。

对于新兴的计算机网络社区来说,这似乎增加了毫无意义的复杂性和开销。实际上,这场争议已通过市场解决,TCP/IP占据主导地位,而X.25从1990年左右开始衰落。那么,为什么虚电路方法以MPLS的形式重新出现呢?

首先,您应该理解,MPLS是由TCP/IP标准的保管人IETF开发的,并且可以准确地说,MPLS的主要目标是IP数据包的传输。数据仍然以IP数据包的形式进入、穿越和离开互联网。然而,在某些域内,通常由单个ISP形成,数据包将通过预先存在的MPLS路径路由。这有两个好处

请注意,并非所有专家都信服这些好处。现代IP路由器并不慢,并且如前所述,QoS在实践中可能在网络核心中不是问题。然而,大多数ISP坚持认为需要这种流量工程。

即使使用MPLS虚拟路径,互联网上的基本传输单元仍然是单个IP数据包。

永恒的问题

1992年,IETF的指导小组发布了一份请求评论2,重点关注当时互联网面临的两个严重问题(正如它开始从研究社区走向普通经济一样):首先,IP地址空间耗尽;其次,路由表爆炸。第一个问题已通过黑客手段(网络地址转换)得到控制,并且正在通过IPv6的日益普及来解决,IPv6具有大大增加的地址空间。第二个问题仍然困扰着我们。互联网骨干路由表中的条目数量在1992年低于20,000个,而今天超过250,000个(见图1)。

这是一个棘手的问题。尽管对路由器速度持乐观态度,但如此庞大的路由表需要在全球范围内动态更新。此外,它目前不仅包含分配给世界上任何地方的任何ISP的每个地址块的条目,而且还包含每个需要“多宿主”(同时连接到多个ISP以进行备份或负载共享)的用户站点的条目。随着越来越多的企业依赖网络,多宿主站点的数量预计将大幅增长,据估计,到2050年将达到1000万。如此庞大的路由表被认为不可行。即使摩尔定律以合理的成本解决了存储和处理方面的挑战,如此庞大的表的变化率也可能大大超过路由更新在全球范围内的分发速度。

尽管我们已经了解这个问题超过10年了,但我们仍在等待能够解决它的突破性想法。

多个宇宙?

电信行业在20世纪90年代被互联网的成功彻底震惊,然后被其经济后果彻底动摇。直到现在,该行业才以ITU于2004年启动的NGN(下一代网络)倡议的形式做出连贯的回应。NGN在很大程度上建立在IETF标准之上,包括IP、MPLS和SIP(会话发起协议),SIP是标准化VoIP和IMS(IP多媒体子系统)的基础。IMS是为第三代手机开发的,但现在是ITU所谓的“固定移动融合”的基础。NGN的基本原则是:3

在撰写本文时,围绕这些原则对NGN的标准化已取得很大进展。尽管对于电信行业来说,将服务分层在顶部而不是嵌入到传输网络中是新的,但这与互联网仍然存在很大的对比:互联网服务按定义放置在边缘,并且通常不作为ISP提供。互联网有避免垄断部署的历史;它通过自发燃烧而增长,这使得最终用户可以通过自然选择来选择成功的应用程序。在过去,将服务功能嵌入到网络中从未奏效(目录除外)。为什么现在会奏效?

加入舞池

从这个肤浅和片面的个人调查中应该清楚的是,我们仍然在乐于开发互联网技术,并且派对远未结束。互联网技术社区通过开放和思想开放取得了成功。任何想加入的工程师都可以这样做。IETF没有会员资格要求;任何人都可以加入任何工作组的邮件列表,任何支付会议费的人都可以参加IETF会议。决策是通过大致共识而非投票做出的。IETF的领导委员会是从积极参与者中通过社区提名程序选出的。除了会议费外,IETF还由互联网协会支持。

任何想加入的工程师都可以通过以下几种方式加入:支持互联网协会(http://www.isoc.org),加入感兴趣的IETF活动(http://www.ietf.org),或为研究活动做出贡献(http://www.irtf.org,当然还有 SIGCOMM,网址为http://www.acm.org/sigs/sigcomm/)。

参考文献

  1. Berners-Lee, T. 1999. Weaving the Web. San Francisco: HarperCollins.
  2. Gross, P., Almquist, P. 1992. IESG deliberations on routing and addressing, RFC 1380 (November). DDN Network Information Center; http://www.rfc-archive.org/getrfc.php?rfc=1380.
  3. 基于Keith Knightson的演讲。2005. Basic NGN architecture principles and issues; http://www.itu.int/ITUT/worksem/ngn/200505/program.html.

致谢

感谢Bernard Aboba和Stu Feldman对本文草案提出的宝贵意见。

BRIAN E. CARPENTER是一位IBM杰出工程师,致力于互联网标准和技术。他常驻瑞士,于2005年3月成为IETF(互联网工程任务组)主席。在加入IBM之前,他于1985年至1996年领导了CERN(欧洲核子研究中心,欧洲粒子物理实验室)的网络小组。他于1994年3月至2002年3月在互联网架构委员会任职,并担任了五年主席。他还曾担任互联网协会的受托人,并担任其董事会主席,直到2002年6月。他拥有物理学学士学位和计算机科学博士学位,是特许工程师(英国)和IBM技术学院院士。

acmqueue

最初发表于Queue杂志第4卷第10期
数字图书馆中评论本文




更多相关文章

David Collier-Brown - 你根本不了解带宽
当您的员工或客户说他们的互联网性能很差时,带宽可能不是问题所在。一旦他们拥有50到100 Mbps范围内的带宽,问题就在于延迟,即ISP的路由器处理他们的流量需要多长时间。如果您是ISP,并且所有客户都讨厌您,请振作起来。现在,由于一群专门的人员将其追捕、消灭,然后在家庭路由器中验证了他们的解决方案,因此这是一个可以解决的问题。


Geoffrey H. Cooper - 使用FDO和不受信任的安装程序模型的设备载入
设备的自动载入是处理正在安装的越来越多的“边缘”和IoT设备的重要技术。设备的载入与大多数设备管理功能不同,因为设备的信任从工厂和供应链转移到目标应用程序。为了通过自动载入来加速该过程,必须在设备中形式化供应链中的信任关系,以允许自动化过渡。


Brian Eaton, Jeff Stewart, Jon Tedesco, N. Cihan Tas - 通过关键路径跟踪进行分布式延迟分析
低延迟是许多Google应用程序(如搜索)的重要功能,延迟分析工具在保持大规模低延迟方面发挥着关键作用。对于包括功能和数据不断发展的服务的复杂分布式系统,将总体延迟保持在最低水平是一项具有挑战性的任务。在大型真实世界的分布式系统中,现有的工具(如RPC遥测、CPU分析和分布式跟踪)对于理解整个系统的子组件很有价值,但在实践中不足以执行端到端延迟分析。


David Crawshaw - VPN的一切都焕然一新
VPN(虚拟专用网络)已有24年的历史。这个概念是为与我们今天所知的互联网截然不同的互联网而创建的。随着互联网的增长和变化,VPN用户和应用程序也在增长和变化。VPN在2000年代的互联网中经历了尴尬的青春期,与其他广泛流行的抽象概念互动不良。在过去的十年中,互联网再次发生了变化,而这个新的互联网为VPN提供了新的用途。一种全新的协议WireGuard的开发提供了一种技术,可以在其上构建这些新的VPN。



© 保留所有权利。

© . All rights reserved.