光    通    信

            个稳定的周期映射关系。该周期映射关系约束了两跳设备之间                          申请和管理，并提供不依赖于第三方的资源所有权证明。进一
            的数据分组转发行为，数据分组需要且只能在规定的周期内发                          步地，资源所有者可以发布与其所拥有资源相关的映射信息，
            送，从而保证了单跳数据传输的时延确定性。从源节点到目标                          如AS/IP地址映射、IP地址/域名映射等，基于资源间的映射信
            节点经过逐跳的周期约束转发，保证了端到端的时延确定性。                          息，可以进一步实现BGP宣告和DNS查询的基本能力。由于资源
            基于确定性的时延上界，选择一个满足业务需求的确定性服务                          所有权不依赖于单一信任实体，基于此上的所有信息均可信可
            管道。                                                  验证。
                设备之间的周期映射关系可以通过控制面配置的方式，也                            4、高通量传输技术
            可以通过自适应分布式学习的方式得到。构造出的周期映射关                              NewIP传输层将实现多样化的传输特性，不仅支持新媒体
            系可以分布存储在转发设备上，也可以集中存储在少量控制设                          业务的发展，更能提升传统网络业务的性能。基于NewIP提供的
            备上。后续用户数据报文只需要携带与周期相关的信息，通过                          网络信息感知能力，NewIP传输层技术进一步拓展自己的服务能
            查表转发或者其他方式即可实现确定性转发。                                 力；为了避免“大而粗”的传输管理，NewIP传输层技术开放服
                3、内生安全可信技术                                       务等级接口给上层应用，并基于对象粒度进行调度，利用现有
                （1）保护隐私的可审计动态ID/Loc分离技术                          网络资源最大化地提升应用性能。
                采用具有迷惑攻击者的动态ID和Loc可用于防止隐私泄露和
                                                                  图3 New IP高通量传输原理
            关联追踪，自治域外部的网络节点仅能揭露数据分组来源于哪
            个域，而无法获知发送者具体所在的子网和位置信息以及发送
            者的长久标识符。网络设备仅能从IP分组地址头部获得最小必
            要信息进行寻址和转发数据分组。当攻击发生时，受害主机可
            以追溯非法流量到其所属的源域，仅源域的审计代理在执行抗
            否认检查后方能打开发送者的真实身份，根据其安全策略，发
            送控制命令进行流量过滤。通过对永久ID和真实Loc进行动态加
            密，数据分组中携带的身份标识符和位置标识符不仅具有匿名
            性，并且可以防止关联分析和非法追踪。
                （2）基于最小化信任的真实性验证与访问控制技术
                消除安全域划分机制中对域内流量的信任弊端，域间和域
            内流量都将被验证。一方面，未来网络将根据不同场景，通过                              NewIP高通量传输原理如图3所示，NewIP传输向上感知应用
            部署不同的匿名验证方法，在ID验证者处实现匿名验证功能，                         的处理对象，按照其语义实现数据的分块管理。对象块是传输
            兼顾隐私保护和真实可追溯能力。另外，跨域传输流量的真实                          服务等级需求的基本单元，一个连接资源就能实现多种不同的
            合法性可以通过流出和流入权多步验证得到保障。对于跨域传                          传输策略。NewIP提供多样化的网络感知能力，从而丰富传输层
            输的网络流量，当数据分组从源端发出后，源域的ID验证者和                         的功能特性；NewIP传输层编排功能特性组合，满足不同对象块
            边界路由器均都会对其流出流量进行验证。对于来自域内部的                          的服务等级需求，提升用户体验。NewIP传输层的关键技术包括
            网络流量，接收者侧的ID验证者同样能验证其来源真实性，可                         以下4个。
            信的路由设备也能快速对流量合法性进行验证，从而使得当域                              y差异化传输：通过上层应用对传输内容特征的描述，定义
            内部发生故障和攻击时，网络管理面能够快速定位错误进行恢                          传输策略，表达对数据优先级、服务质量、损失容忍的能力、
            复。                                                   实时性要求等特性，选择匹配传输策略。
                （3）跨域联合审计和多级攻击阻断                                     y超低应用时延：基于对象的数据块传输调度，可以感知数
                面对顽固的DDoS攻击问题，目的域不仅需具备一定的攻击                      据边界和损失容忍能力，实现尾部传输优化，减少传输完成时
            防御能力，也需要跨域协同防御协议，应对目的端被海量压倒                          间。
            性攻击流阻塞的情况。面对IP地址因移动异变难验证等特性，                             y低时延业务保障：NewIP传输层与网络层配合，识别出
            IP数据分组中将内嵌一种目的端可鉴别的标识符，以使目的端                         “尽力而为”的低时延业务流量集合；转发设备配置特殊的管
            能过滤非法流量、优先转发合法流量。另外，通过启动跨域的                          理策略，保障低时延业务不受影响。
            DDoS攻击防御协议，使得攻击路径上的多个网络域之间可以相                            y并发超大吞吐：利用NewIP提供的多路径感知能力，新传
            互协作，在靠近攻击源侧快速甄别非法流量，将攻击流掐断在                          输层调度对象块在不同路径上实现带宽累加的数据传输；也支
            源侧，同时实现非法流量的追踪溯源。                                    持对象块间的需求定义，实现数据同步性。
                （4）网络基础设施安全                                          5、用户可定义技术
                采用以分布式账本技术为代表的去中心化技术构建基础                             当前终端的能力越来越强大，同时网络的能力也在随之增
            设施的可信根。分布式账本等去中心化技术不存在单一可信锚                          长。这种技术的长足发展促使新的网络应用爆发式增长。然而
            点，所有节点平等，并且有全部信息副本，因此更加可信和安                          作为终端与网络的唯一接口的IP协议，多年几乎没有发生太大
            全。在此基础之上可以构建统一的资源管理平台，实现网络核                          变化。这导致了用户侧及应用侧的需求无法完整、及时地传递
            心资源（如IP地址、域名、AS及其他未来可能的资源类型）的                        给网络侧，同时终端也缺乏感知必要的网络状态的能力，于是

            48                                         网络电信 二零二零年八月