探可信可控網絡中觀測層的構建

　　本文在conman 的基礎上進行了擴展提出了對網絡協議進行描述的控制信息描述模型在觀測層的被控對象抽象模塊中, 利用cid 對被控對象進行描述。被控對象類分成協議類和連接類2 個基類。協議類描述網絡上的協議塊分成數據協議類（如ip 協議類等）和控制協議類（如ipsec 的ike 協議塊、ppp 的lcp 協議塊和ncp 等）。由于可信可控網絡模型將網絡控制從數據層分離出來, 在以可信可控網絡模型為基礎構建的下一代互聯網中, 將不存在控制協議塊, 因此, 控制信息描述模型只對網絡數據協議塊進行描述; 連接類分成物理鏈路類和通道類, 利用物理鏈路類對物理鏈路進行描述通道類描述直接通信的2 個協議塊之間的連接, 分成上行通道和下行通道, 分別表示對上層的連接和下層的連接。

　　協議類的主要屬性包括全網id、所在設備ip、通信管道、物理鏈路、性能屬性, 函數包括創建函數、刪除函數、連接函數、屬性設置函數和過濾函數等, 如表1 所示。表1 給出的屬性和功能是所有協議塊共有的, 通過這些屬性和功能, 決策層可以實現對網絡的認知和抽象控制。物理鏈路類的主要屬性和功能函數以及通道類的屬性和功能。

　　被控對象注冊模塊與名字空間觀測層利用控制信息描述模型將運行在客戶端、路由器以及其他網絡設備的各種協議都進行抽象描述, 存貯到名字空間數據庫中。在nox[15]中, 也利用了名字空間的形式對于用戶、主機和路由器進行統一存儲, 以實現在一個企業網內的對設備的統一管理。本文提出的名字空間與nox的名字空間的區別在于本文提出的名字空間是基于cid的, 因此名字空間的存儲粒度也是協議塊粒度的, 而nox 的名字空間是設備粒度的。基于協議粒度進行存儲的好處在于為決策提供可以直接進行網絡控制的被控對象, 降低網絡控制復雜度。

　　被控對象注冊模塊對網絡協議對象進行了統一注冊, 每個被控對象（網絡協議塊）都由統一全局id 進行標識, 這樣有利于網絡管理員對網絡進行抽象控制, 降低了網絡控制的復雜度, 提高了網絡管理的效率。

　　網絡狀態預處理模塊與狀態庫網絡狀態預處理模塊將網絡資源層的原始信息進行預處理, 包括臟數據過濾、冗余信息合并以及信息關聯等, 將處理后的結果交給狀態庫進行存儲。

　　網絡狀態庫用來存儲網絡被控對象的狀態, 用來向決策層提供網絡的狀態信息, 為網絡決策提供依據。在可信可控網絡的觀測層中, 由于建立了控制信息的描述模型, 并將網絡的被控對象建立在網絡協議粒度上, 因此網絡的狀態庫也用以存儲當前網絡上網絡協議塊的狀態信息。如表1 所示, 在狀態庫中, 每個協議塊保存其性能信息如丟包率、協議塊處理數據的平均時延以及數據包的轉發速率等。

　　另外, 在狀態庫中, 還對被控對象的連接信息進行記錄, 如表2和表3所示, 用管道來表示個路由器內各個協議塊之間的連接, 用鏈路來表示2 個路由器之間的連接, 并記錄每個鏈路的性能信息。這樣根據狀態庫, 控制節點就可以得到網絡中協議塊粒度的連接圖。

　　域間共享信息處理模塊與域間信息交互接口由于 1 個控制節點的計算能力有限并且受到帶寬限制, 可信可控網絡模型為了支持多個的大規模網絡環境, 在每個as都配置1 個控制節點對該域進行控制, 各個控制節點為了對網絡進行協同控制, 需要各個域之間進行信息共享。在觀測層中, 我們構建域間共享信息處理模塊支持多個控制域之間的信息共享。如圖2 所示, 1 個控制域內的觀測層包含1 個域間共享信息處理模塊和1 個域間信息交互接口, 域間信息共享接口負責接收其他域的信息同時也負責為本域發布信息; 域間共享信息處理模塊也有2 個功能：一個是將從域間信息共享接口接收到的信息進行處理并提交到狀態庫中保存; 另一方面也將本域內的狀態信息經過處理后交給域間信息共享接口發送給其他域。