业务识别与控制技术及标准化进展

admin

摘要　在传统Internet网络逐步向多业务承载网演进的过程中，监管者、运营商以及最终用户都对网络的业务控制能力提出了更高的要求。本文在结合这些来自不同主体需求的基础上分析了IP业务识别与控制系统的应用场景，讨论了已有业务识别与控制的技术原理和缺陷，并探讨了技术的发展趋势。最后，介绍了国内外的标准化及产业推动状况。
1、技术背景
　　宽带城域网历经了骨干网建设、接入圈地运动、再次圈地以及内容提供商逐步兴起之后，宽带业务价值链已经初见端倪。强劲的市场驱动和技术驱动有力地推动了我国宽带互联网的发展，运营商更加理性成熟、产业链和利润分成模式基本为业界所接受。与传统电信网络相比，宽带网络业务的统计复用特性大大降低了成本，但同时也为业务的识别、监控和管理带来了巨大的挑战。如何在宽带城域网中引入有效的业务识别与控制方法，成为电信业务和互联网业务进一步有序发展的前提条件。从不同应用角色看，政府、运营商、企业以及家庭用户对网络的业务控制能力提出了各自的要求：
　　（1）从监管者角度来说，要求网络具备不良信息的识别和控制的能力，尤其是对反动、色情、赌博、暴力等不良信息的过滤。
　　（2）从运营商角度来说，要求网络能够精细化运营，提供差异化的服务能力，尤其是有效遏制不良流量对网络的影响，保障电信级业务的服务质量。
　　（3）从企业用户角度来说，要求网络具备识别特定业务信息，并按照企业利益对信息进行处理的能力，整合复杂的IT防范设备，使得企业专注与核心业务。
　　（4）从家庭用户来说，结合健康上网的需求，要求网络具备个性化业务控制功能，尤其是对不良网站的屏蔽和网络游戏沉湎的防止。
　　业务识别与控制的研究目的就是借鉴已有研究成果，融合现有产品和技术方案，提出通用的业务识别与监控解决方案。
2、业务识别与控制技术
　　国内外在业务识别与控制技术已经进行了大量的研究，并且在网络的各个层面产生了许多相对独立的用户控制、网络控制、业务控制技术，典型的方案包括：政府和运营商在网络边缘和网关处对网络流量进行分析，设置过滤规则，对信息进行相应处理；企业在驻地网边缘架设过滤设备（如防火墙）按照企业利益对信息处理；普通用户通过在电脑终端安装特定软件对有害内容进行处理。
　　2.1　政府和运营商监视，运营商控制
　　该方案由政府和运营商通过对网络的监视，甄别出需要过滤的信息，在网络设备中实施对信息的识别与控制。这种对网络的监视由政府管制部门和运营商网管人员进行信息采集，以及后台分析；分析完成形成规则之后，由运营商网管在网络汇聚及以上层次的路由设备中进行简单的五元组（包括源IP地址、目的IP地址、源端口、目的端口以及协议号）配置；数据包到达路由设备之后，根据相应的规则进行匹配，匹配命中则实施相应的控制动作。
　　路由器实施的包过滤对高层数据内容不作任何基于内容的筛选。目前，这种简单的五元组ACL技术已经相当成熟，在各个层次的路由设备（包括城域汇聚、城域核心、骨干接入、骨干汇聚、骨干核心）中均能较好地支持，尤其是在高端设备中能够以硬件方式进行高效处理，得到了大规模的部署。这种方案不足之处主要体现在配置比较麻烦，纯粹由手工操作完成；各个设备的配置规则完全独立，无法实现联合控制；对具体业务的识别能力很差，使用简单的规避手段即可透过检查。
　　2.2　企业监视，企业控制
　　该方案由企业通过对网络的监视，通过架设企业防火墙、入侵检测、反垃圾邮件网关等设备实现业务的识别与控制。典型应用是假设企业级防火墙，它能够协助保护企业内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问：外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。尽管防火墙的发展经过了上述几代，但是按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系，即包过滤防火墙和代理防火墙（应用层网关防火墙）（见图1）。

图1　防火墙包过滤示意图

　　包过滤防火墙根据预先定义的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议（TCP，UDP，ICMP等）、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙所遵循的基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其它数据包。因此，从实现原理上决定它的缺陷与路由器包过滤完全相似。
　　代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过代理技术参与到每个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术，当代理服务器得到一个客户的连接请求时，首先将核实客户请求，并经过特定的安全化的代理应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理，答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。代理防火墙的中间代理特性带来了较好的安全性，但也导致了网络应用复杂化和处理性能的骤降。
　　2.3　用户监视，用户控制
　　该方案由用户在终端上安装内容过滤软件，监视用户的上网行为，对相应网址（域名、URL或IP地址）进行过滤，拦截对不良网址的访问请求。互联网内容过滤软件（见图2）一般有两个层次的过滤结构：第一层为网址过滤：第二层为文本内容过滤，对传输的明文（未编码或加密）的数据进行过滤。这两个层次过滤的综合应用能够提高过滤软件的过滤性能和过滤效果。过滤软件除了具备网址过滤和文本过滤等主要功能以外。一般还具备应用程序管理、时间管理、权限管理以及软件升级和帮助等功能。互联网过滤软件架构中，过滤软件将与不良网址库、不良信息关键词库、分词词库和分词类库等数据库交互，以获得过滤的判断依据。
　　这种方案最大的缺点在于将对用户上网的控制权依托在“不可信”的用户终端和终端软件上，存在很多缺点：用户端需要安装和运行特殊的过滤软件，不符合一般用户只安装浏览器就可以上网的使用习惯。过滤软件的工作方式很类似“流氓软件”和“木马病毒”，如果用户操作不当，很容易被常见的杀毒软件认为是“病毒”而清除掉或终止。若用户终端、操作系统或接入等发生变化或出现故障，很难重新安装和设置。大规模推广使用后，基于终端的内容过滤软件自身很容易成为被攻击或破解的对象。很难针对不同的终端和用户做个性化控制。每个上网终端的过滤规则应该是有所区别的，甚至同一终端的不同用户的内容过滤需求也可能是不一样的。比如在一个家庭中，对家长和孩子的过滤规则应该是有所区别的。

图2　互联网内容过滤软件示意图

3、技术发展趋势
　　3.1　出现的问题
　　这种不同层面的，相对独立的解决方案可以部分满足来自政府、运营商以及用户的网络控制需求，但也带来了新的问题，主要集中在以下几点：
　　（1）在不同网络层面架设不同的设备及产品，增加了网络的复杂性，导致网络可靠性的降低；
　　（2）在各个网络层面都需要设置监视、配置、控制以及管理职能，提高了网络运营维护的成本；
　　（3）各个层面的网络控制功能在布署上缺乏统一的协调，对网络异常的响应时间较长，导致控制效率的降低；
　　（4）不同网络层面的控制存在功能重叠的现象；
　　（5）各个层面的网络控制功能相互独立，难以实现各个层面控制的联动，无法抵御混合类型的网络威胁。
　3.2　研究成果
　　目前，业界已经注意到了现有IP网络控制业务能力不足的事实，并加强了IP业务识别与控制技术的研究，在业务识别和控制技术、组网应用角度取得了一些研究成果，主要的研究成果集中于深度业务感知设备和组网技术上。
　　（1）深度业务感知设备
　　深度业务感知（DPI，Deep Packet Inspection）是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，以达到应用层网络协议识别为目的的技术。基于该技术发展的DPI设备主要实现了以下功能：
　　●应用协议识别：能够了解和分析应用协议层（第七层）的数据流。例如，在HTTP格式中，DPI设备能够识别正被访问的HTTP主机，并执行HTTP重定向。IP流量应用级分类，实现对特定用户或用户群信息存储服务的实时分析与控制。
　　●用户识别：能够识别哪些用户产生哪些数据流。用户识别使DPI平台能够生成数据流报告，为产生数据流的每个特定用户实施数据流的访问策略。
　　●基于状态的实时数据流控制：采用特定协议状态级流量分析，支持实时数据流控制功能，包括精细粒度带宽控制、限额管理、限时管理、策略路由以及重建四层数据流会话等控制。实时数据流控制可以包括：应用各种服务质量机制（如BE测量、带宽整形和服务烈性标记）、计算和控制会话的数目和大小、应用层控制（如执行HTTP或RTSP重定向）、各种准入控制类型。
　　●可编程性：DPI设备提供编程接口，并支持升级功能。以适应不断变化的新控制功能添加和新业务识别的需求。
　　（2）统一管理的网络访问控制
　　从政府、运营商、企业以及用户等不同层面的网络业务控制需求出发，结合DPI技术的研究和应用，有望设计一整套基于运营商的、统一管理的网络访问控制的技术框架。目前针对这一思路的技术框架尚处于起步阶段，不同方案的技术差异较大，短时间内难以统一。即便如此，在一些关键问题上也达成了一致的观点：
　　●“以政府为主体的控制”、“以运营商为主体的控制”与“以用户为主体的控制”相统一。考虑到政府、运营商、个人用户的不同控制需求进行统一规划、统一管理，通过在控制策略库中分别设置不同控制主体的策略库，如政府策略库、运营商策略库、企业策略库以及用户策略库等，实现统一的体系结构中同时满足了多种不同控制需求。
　　●“业务识别功能”与“业务控制功能”相分离。考虑到业务识别功能与业务控制功能的相对独立性，尤其是业务识别部分需要随着新业务的出现不断进行升级，可能对系统的其它模块工作带来影响，可以将二者分离设置。当然，二者之间需要认真定义相应接口。
　　●“基于业务的识别”与“基于用户的识别”相结合。已有业务识别和用户识别技术都是孤立的进行工作，单独实施其中任何一种无法实现用户主动控制业务的需求。新架构中需要结合二者，满足不同层次用户的控制业务的需求。
　　●“在线识别”与“离线识别”相结合。在新型网络控制体系中，支持模式的在线识别，同时考虑到在线识别对于网络性能的影响，对于一些计算量比较大，难以识别的流量，通过离线识别服务器来识别。离线识别出来的模式和在线识别的模式采用统一的模式描述语言和模式配置接口进行配置和管理。
　　●标准的开放的网络策略配置接口。在新型网络控制体系中，涉及流量统计信息、模式、控制策略、控制命令等多种信息，且涉及到多个功能实体，如业务识别点、业务控制点、业务特征信息库、业务策略库、离线识别服务器等，需要定义统一的开放的接口。此外，系统还需要为不同的配置主体提供标准的、灵活的控制接口，配置主体可以是国家相关安全主管部门、运营商或普通用户。
4、标准化工作
　　目前，关于IP业务识别与控制技术的标准化工作开展还不是很充分，主要的推动仍然是传统的数据通信设备制造商。可喜的是部分标准组织已经注意到了这个问题，并且开展了卓有成效的工作，主要的标准组织有DSLF，ITU和CCSA。
　　4.1　DSLF
　　DSLF在结合宽带城域网和接入网技术标准研究的基础上。提出了DSLF TR-058：多业务架构需求（Multi-Service Architecture and Framework Requirements），在该业务架构中为支持未来高级电信业务定义了三层的网络业务控制功能架构（见图3）。

图3　多业务架构示意图

　　4.2　ITU
　　在ITU-T SG13多媒体系统与终端工作组中，中国代表团提出了下一代分组网络系列标准（下一代分组网络，FPBN）。该技术方案包含了一整套承载网的框架、编址、路由、服务质量以及安全机制，其中也对网络业务的识别与控制提出了一整套技术框架。
　　4.3　CCSA
　　在CCSA的IP多媒体工作委员会中，结合IP承载网技术和组网技术的研究基础，也加强了IP业务识别与控制技术的研究工作。目前，针对业务识别和控制已经进行了多项标准的立项，在研标准包括《深度业务感知设备技术要求》和《深度业务感知设备测试方法》。近期还将准备在标准组内部开展IP业务识别与控制架构的专题研讨活动，将针对其具体应用场景，如P2P业务、NGN承载、3G承载、IPTV承载，提出合理的业务识别及控制架构。