网络理论与技术外文翻译.doc

姓名：张梦 学号：11054106第二段翻译内容： 2 架构 NDN 是一个完全全新的架构，但它的操作可基于当前实践操作。其设计反映了我们对当前因特网架构的优势和限制的理解。 2.1 架构原则 以下架构原则指导我们对 NDN架构的设计。 （1）、漏斗架构是使原始的因特网设计更优雅和更加有力量的一种架构。 它将中心点放在一个普遍的网络层（IP）实现全球联接能力所必要的最小功能上。这种所谓的“细腰”一直是因特网爆发式增长的一个关键，通过在没有不必要约束下，支持低层和高层技术的创新。NDN 保持相同的漏斗型架构。 （2）、安全必须被建在架构之中。安全在当前的因特网架构中是一种事后的想法，不能满足当今日益环境与环境抗战的需求。通过对所有命名数据签名NDN 在细腰处提供了基本的安全建造块。 （3）、 端到端原则75在面临网络失效情况下支持鲁棒应用的开发。NDN 保持和扩展了这个原则。 （4）、网络传输流量必须是自我约束的。流平衡的数据交付对于稳定网络操作是至关重要的。因为 IP实施开环数据交付，所以传输层协议必须被弥补以便提供单播流量均衡。 NDN将流均衡设计在细腰之中。 （5）、路由和转发平面隔离已经被证明对于因特网发展是必要的。它允许转发平面正常工作，同时路由系统持续随时间发生变化。NDN 坚持相同原则来允许以最佳可用的转发技术来执行NDN，而同时我们执行新的路由系统研究。 （6）、在可能的情况下架构应该有利于用户选择和竞争。虽然在原始因特网设计中不是一个相关因素，但全球发展告诉我们“架构不是中性的” 。NDN 下意识的做出努力让用户端更强大更具有竞争力。 2.2 NDN架构 NDN 中的通信是由接收端（即数据消费者）驱动的。为了接收数据，一个消费者发出一条相关兴趣的报文，该报文携带一个识别期望数据名字（见图 1） 。例如，一个消费者可请求/parc/videos/WidgetA.mpg。一台路由器记住发送请求的接口，然后通过在其转发信息表（FIB）中查找该名字而转发兴趣报文且FIB是由一种基于名字的路由协议传播的。一旦兴趣到达拥有被请求数据的一个节点，则发回一条数据（Data）报文，它携带数据的名字和内容，同时还有生产者密钥的一个签名（图 1） 。这条数据报文经兴趣报文所产生的反向路径到达消费者。注意兴趣或数据报文都没有携带任何主机或接口地址（例如 IP地址） 而数据报文依据在每个路由跳处由兴趣所建立的状态信息得以返回（图 2）1 NDN 路由器在一段时间内保持兴趣和数据。当从下游接收到相同数据的多条兴趣报文时， 仅有第一条兴趣报文朝向数据源发送到上游。之后路由器将兴趣存储在未决兴趣表 （PIT）之中，其中每个表项包含兴趣的名字以及由之接收到匹配兴趣的接口集合。当数据报文到达时，路由器查找匹配 PIT 表项，并将数据转发到 PIT 表项中列出的所有接口。之后路由器清除相应的 PIT 表项，并在内容存储（Content Store）中缓存数据，内容存储基本上是受限于缓存替换策略的路由器缓冲内存。 数据采取与请求数据的兴趣报文相同的路径， 但方向相反。一个数据沿每跳满足一个兴趣，取得逐跳的流平衡。 一条 NDN 数据报文是有意地独立于它来自于哪里，或它会被转发到哪里，因此路由器可对之进行缓存，以便满足潜在的未来请求。这使 NDN在没有额外基础设施的条件下，可自动地支持各种功能，包括内容分发（许多用户在不同时间请求相同数据） 、组播（许多用户在相同时间请求相同数据） 、移动性（用户从不同位置请求数据）和延迟容忍的联网（用户具有间歇性的连接） 。例如，考虑一名消费者，他在一个移动车辆中正在观看一部流化视频。消费者可请求一些数据，但之后移动到一个新的局域网。虽然数据将到达老位置并被丢弃，但它沿路被缓存。当消费者重传兴趣时，将可能从一个附近的缓存拉取数据，这使中断时间最小。在接近消费者处缓存的数据，改善了报文交付性能，并降低了对一个特定数据源（可能导致故障或攻击）的依赖性。 下面我们详细描述 NDN 架构的每个主要单元，识别出设计选择的优势，并给出挑战。 2.2.1 名字 NDN 名字对网络而言是不透明的，即路由器不知道一个名字的含义（虽然它们知道一个名字各组成部分之间的边界） 。这允许每项应用选择满足其需要的命名方案，并允许命名方案独立于网络而演化。 NDN 设计假定层次化的结构名字，例如由 PARC 产生的一个视频可具有名字/parc/videos/WidgetA.mpg，其中“/”指明名字组成部分之间的一个边界（它不是名字的组成部分） 。这种层次化结构对于表示数据各部分之间的关系是有用的。例如，该视频版本 1的分段 3 可被命名为/parc/videos/WidgetA.mpg/1/3。这种层次结构也允许路由是可扩展的。虽然在扁平名字上路由13，从理论上是可能的，恰是 IP 地址的层次结构支持汇聚，这在扩展如今的路由系统方面是至关重要的。对于允许程序在 NDN 名字之上运行所必要的常见结构，可以通过在数据生产者和消费者之间达成的惯例做到这点，例如名字惯例指明版本和分段。名字惯例是特定于应用的，对网络是不透明的。 名字不必是全球唯一的，虽然全球地检索数据要求一定程度的全球唯一性。意图为局部通信的名字会严重地依据局部上下文，并为了找到相应的数据仅要求局部路由（或局部广播） 。 为了检索动态产生的数据，消费者必须能够确定性地位数据的期望片段构造名字，而不需要以前看到该名字或数据。或者（1）一种确定性的算法，允许生产者和消费者依据对两者可用的数据，可得到相同的名字，和/或（2）消费者可依据部分名字就可检索数据。例如，消费者可请求/parc/videos/WidgetA.mpg，并得到名字为/parc/videos/WidgetA.mpg/1/1 的一条数据报文。之后消费者可指定以后的片段，并请求它们，使用的是第一条数据报文以及消费,NDN支持所有现有的应用，包括“推送”内容的那些应用。例如，为了发送一封电子邮件，客户端首先向服务器发送一条兴趣报文，来请求对于接收该电子邮件的服务器兴趣。如果服务器是感兴趣的，则它将向客户端发送一条兴趣报文，之后客户端将向服务器发送数据报文。 者应用和生产者应用之间达成的命名惯例等所揭示的信息组合。 图1 NDN架构中的报文 图2 在一个NDN节点处的转发进程 在 NDN 架构中命名系统是最重要的部分，且仍然在活跃的研究之中；特别地，如何定义和分配顶层名字仍然是一个开放挑战。 但是， 并不是所有的命名问题都需要得到立刻回答；名字对网络的不透明性和对应用的依赖意味着 NDN 架构的设计和开发都能够，而实际上也必须与我们在应用开发的上下文中对名字结构、名字发现和名字空间导航等的研究，并行进行。 2.2.2 以数据为中心的安全 在 NDN 中，安全是构建于数据本身内的，而不是从哪里得到或如何得到的一项功能51。每片数据都以其名字一起得到签名，与数据安全地绑定在一起。数据签名是必须的应用不能“决定不需要”安全。与数据发布者信息耦合在一起的签名，支持判定数据的可证明能力，允许消费者对数据的信任，与如何得到数据（以及从哪里得到数据）解耦。它也支持细粒度的信任， 允许消费者推断一名公开密钥属主是否是一个特定上下文中一片特订书机的可接受发布者。 但是，实际上说，这种细粒度的和数据为中心的安全方法，要求某种创新。从历史角度而言，基于公开密钥密码学的安全被认为是低效的、不可用的且难以部署的。除了高效的数字签名外，NDN需要灵活的和可用的机制来管理用户信任。3.4 节描述 NDN 如何为取得这些安全目标而提供一种有前途的基层。因为密钥可作为 NDN数据进行通信传输，所以密钥分发得以简化。名字到数据的安全绑定，为大范围的信任模型提供了基础，例如如果一片数据是一个公开密钥，则一个绑定实际上是一个公开密钥证书。最后，NDN 处理安全的端到端方法，有助于发布者和消费者之间的信任。这为发布者、消费者和应用提供了在选择或定制他们的信任模型中极大的灵活性。 NDN 的以数据为中心的安全，可扩展到内容访问控制和基础设施安全。应用可通过加密来控制对数据的访问，并将密钥作为加密的 NDN 数据而进行分发（数据加密） ，这将数据安全的周边限制到单一应用的上下文。在网络路由和控制消息（就像任何其他 NDN数据一样）上要求签名，提供了非常需要的路由协议安全。3.4 节描述了有关高效签名、可用的信任管理、网络安全、内容保护和隐私等的规划中的研究项目。 2.2.3 路由和转发 NDN 依据名字对报文进行路由和转发，这就消除了地址施加于 IP架构的四个问题：地址空间耗尽、NAT 穿越、移动性和可扩展的地址管理。因为名字空间是不受约束的，所以没有地址耗尽问题。没有 NAT 穿越问题，原因是一台主机不需要为了提供内容而输出它的地址。在 IP 中要求改变地址的移动性，因为数据名字保持相同，所以就不再中断通信了。最后，在局域网络中不再需要地址指派和管理，这本质上增强了传感器网络的能力。 可以与如今 IP 路由相同的方式完成路由。与通告 IP 前缀相反，一台 NDN 路由器通告名字前缀，该前缀覆盖该路由器乐意服务的数据。通过一种路由协议由网络传播这条通告，每台路由器依据接收到的路由通告构造它的 FIB。传统的路由协议，例如 OSPF 和 BGP，可被修改适配来依据名字前缀进行路由。但是，一个没有限制的名字空间提出了这样的问题，即如何使路由表尺寸对于数据名字的数量是可扩展的。在 3.1 节，我们描述可扩展路由的几种方法，有传统的也有新出现的方法。 路由器将名字看作不透明部件的一个序列， 并简单地实施以部件为单位的来自一条报文的 ContentName（内容名字）最长前缀匹配，这是与 FIB 进行匹配的。例如，/parc/videos/WidgetA.mpg 在 FIB 中可匹配/parc/videos 和/parc，而/parc/videos 是最长前缀匹配。一个重要问题是查找可变长度、层次化名字是否可以线速完成。在 3.2 节，我们介绍我们计划探索的用于快速名字查找的各种硬件和软件技术。 NDN 固有地支持多路径路由。IP 路由采用单一最佳路径来防止环路。在 NDN 中，兴趣不能永久地环回，原因是名字加上随机数的做法可有地识别要丢弃的重复副本。数据是不会环回的，原因是数据走的是兴趣的反向路径。因此，一台 NDN 路由器可使用多个接口发出一条兴趣，而不用担忧环回。返回的第一条数据将满足兴趣，并被局部缓存；后到达的拷贝将被丢弃。例如，一台路由器可通过所有的可能接口转发首批兴趣，基于返回的数据测量性能，并为后继兴趣选择最佳的实施接口（可能是多个） 。3.2 节描述的精化这种能力的进一步思路，这种能力我们称之为转发策略。 在 NDN 中路由安全得到极大提高。首先，对所有数据（包括路由消息）签名，这防止了数据被欺骗或篡改。第二，多路径路由缓解了前缀劫持，原因是路由器可检测到由前缀劫持所导致的异常，并尝试其他路径来检索数据。第三，NDN 消息仅谈论数据以及简单地不会寻址到主机的事实，使之向一个特定的目标发送恶意的报文成为困难的事情。为了做到实用高效，针对 NDN 的攻击一定会将焦点放在拒绝服务上，这点将在 3.4.3 节解决。 2.2.4 缓存 在接收到一条兴趣报文时， 一台 NDN 路由器首先检查内容存储。 如果存在这样的数据，其名字落在该兴趣的名字范围内，则数据将作为一条响应被发回。内容存储，在其基本形式方面，恰是如今路由器中的缓冲内存。IP路由器和 NDN 路由器都缓冲数据报文。区别是，IP路由器在转发数据报文后不能重用数据，而 NDN路由器能够重用数据，原因是这些数据由永久名字加以识别的。对于静态文件，NDN 取得几乎最优的数据交付。在组播（例如远程会议）或一条报文丢失后的报文重传（2.2.6 节）情况下，即使动态内容也可从缓存中获益。缓存管理和替换会受到 ISP策略的制约，并将是我们研究课题中的一个课题，如 3.2 节所述。 缓存命名的数据将涉及到隐私担忧。如今的 IP 网络提供弱的隐私保护。通过检查首部或净荷，人们可以发现一条 IP 报文中是什么内容；通过检查目的地地址，可发现是谁请求的该数据。NDN 显式地命名数据，使一个网络监测器更容易地看到什么数据正在被请求，这点是有争议的。人们也能够了解到什么数据被请求过，方法是通过比较聪明的探测方案来推导在缓存中有什么（可做到这点） 。但是，NDN 完全地去除了谁正在请求数据的信息。除非直接通过一条点到点链路连接到正在请求的主机， 否则一台路由器将仅知道某个人请求了某些数据，但不会知道是谁发出的请求。因此，NDN 架构自然地在与当前因特网不同的一个基础层次提供了隐私保护（3.4.4节） 。3.4.3 节也讨论了针对内容存储和 PIT进行攻击的防御机制。 2.2.5 正在进行中的兴趣表（PIT） PIT 包含兴趣的到达接口，该兴趣已被转发，但仍然在等待匹配的数据。为了将数据交付到它们的消费者，是要求这种信息的。为了最大化 PIT的利用率，PIT 表项需要非常快速地超时，大概在报文往返时间的量级。但是，如果 PIT 表项提前超时，则数据将被丢弃，重传他/她的兴趣是消费者的责任。 在每台路由器处 PIT 状态具有几项关键功能。因为它包括兴趣到达的接口集合，所以它对组播功能提供自然的支持。第二，路由器通过控制它的 PIT尺寸，可控制到达数据报文的速率。与数据缓存一起，一个 NDN 网络可消除对传输协议的依赖，以便避免拥塞崩溃。最后，PIT 状态可被用来缓解 DDoS 攻击：PIT 表项数是路由器负载的一个显式指示，这个数字的一个上界，设置了一次 DDoS攻击影响的上界；PIT 表项超时提供了相对廉价的攻击检测76；在每个 PIT 表项中到达接口信息给出实现一种推回（pushback）方案的信息49。 在过去 20 年间为将上述功能安装到因特网中，做了许多尝试（例如能力84） 。每种这样的尝试都试图将状态的特定片段安装到路由器中，但在大规模方面没有哪个是成功的。将PIT 设计到基础设施内的做法，可取得所有这些能力，使这些能力都结束于一种系统性的方法，并提供比点解决方案集合要远较卓越的方案。但是，它确实潜在地诱发一种状态负担。我们将在硬件和软件实现方面研究 PIT 的可行性（3.2 节）。 2.2.6 传输 NDN 架构没有一个独立的传输层。它将如今传输协议的功能上移到应用、应用的支持库以及转发平面的策略组件之中。在应用进程间的复用和解复用是直接使用在 NDN 层的名字完成的，数据完整性和可靠性是直接由应用进程处理的，在应用进程中可实施合适的可靠性检查、数据签名和信任决策。 一个 NDN 网络是针对运行在不可靠的报文交付服务之上而设计的，这些服务包括移动和泛在计算的高度动态连通性。为了提供可靠的、灵活的交付，在某个合理时间段内没有得到满足的兴趣报文，如果最终消费者仍然想要数据的话，必须由最终消费者（发出原始兴趣的应用）重发。对于许多或所有 NDN 应用而言，这样的功能是一样的，在 NDN 中这些功能将由通用库来提供。一个消费者的转发策略在一个较低层次工作：它负责在一个特定接口（因为它知道在该接口上上行节点（可能是多个）的超时）上的重发以及选择哪个可用通信接口或多少通信接口用于发送兴趣， 应该允许多少未满足的兴趣， 不同兴趣的相对优先级等。 在逐跳基础上，NDN 路由器可通过管理 PIT 尺寸（进行中兴趣的数量）来管理流量负载；当一台路由器由来自任何特定邻居的到达数据流量过载时，它能够简单地放慢或停止向那个邻居发送兴趣报文。这也意味着 NDN 降低了对实施拥塞控制的端主机的依赖。 一旦拥塞发生，数据重发会得到缓存的辅助。例如，如果沿一个生产者和一个消费者之间路径存在两条拥塞链路，且一个数据报文通过第一条拥塞链路，但在第二条拥塞链路处被丢弃，之后在消费者处超时之后，重发兴趣报文，缓存将允许数据报文仅在第二条拥塞链路之上重发。在当前的因特网中，数据的重传将发生在返回生产者的整条路上，且报文必须再次尝试通过第一条拥塞链路。在 NDN 中，数据在朝向最终目的地方面得到稳定推进，因为被缓存的拷贝被用来满足原始兴趣和重发的兴趣。因此 NDN避免了拥塞崩溃，这在带宽由重复的重发所大部消耗且和有效的吞吐率降低到最小的如今因特网中会发生这种情况。 2.3 NDN如何符合架构原则并有益社会 NDN 将架构调整适合应用需求，方法是采用命名的数据作为漏斗架构的细腰。如今的应用不得不依赖于复杂的中间件，将基于 IP之主机的抽象映射到它们所关注的内容。NDN极大地简化了应用开发（3.3 节） ，接下来新的应用将进一步驱动未来因特网的增长和成功。 NDN 被签名的数据，为未来因特网的可信性提供了核心构造块。应用可构造细粒度、定制化的认证、授权和信任模型。 NDN 遵循端到端原则。NDN 数据的这种签名，提供了完整性保护和数据源发唯一性确认，所以当一个消费者接收到数据，并验证签名时，他确信地知道他接收到了由正确生产者发布的原始数据的一份拷贝。因此 NDN 提供了安全端到端数据传输的一种非常强的概念，即使生产者和消费者没有直接通信时也如此。 NDN 提供了一种强的逐跳网络流平衡，方法是在每条链路处将每个数据与每个兴趣进行匹配。因此在不依赖传输协议的条件下，NDN 网络能够针对单播流量和组播流量自调整流量流。NDN 也分离了路由方案和转发机制。 通过增强用户的能力，NDN 方便了选择和竞争。如 Laskowski 和 Chuang58提出的网络经济模型所示，监测交付性能是取得 ISP可计费能力的一项关键需求。但是，在如今的全球路由系统中，IP 仅使用到每个目的地的单一路径，而且由于“热土豆”路由方法，那条路径经常是不对称的。要同时测量并比较通过不同服务提供商的性能，是困难的。相比较而言，采用 NDN 内置的多路径转发能力和反馈环路（即发出一条兴趣报文，在相同路径上接收返回的一条数据报文） ，用户们可探索多条路径，监测交付性能，并作出他们的选择。例如，多穴用户和小型 ISP，可选择具有最佳性能的提供商。这将通过竞争鼓励对网络基础设施的创新和投资。 NDN 将使内容分发民主化，这是 NDN 极大地便利选择和竞争的另一种方法。