云际网络互联

目前，热点的互联网应用与服务几乎都离不开云计算，并且逐步向几个重要的云服务平台集中。应用的创新发展和市场需求的变化，使现有云计算服务面临新的挑战，单一云平台难以满足应用全时全域的优质服务需求和灵活多样的个性化定制需求^[1]。同时，随着边缘计算和5G等技术的发展，云计算模式也面临从集中式向分布式发展的趋势。

云际计算(JointCloud Computing)是以云服务提供者之间开放协作为基础，实现多个实体云的协同合作，取长补短，在控制成本的同时提供更加灵活与可靠的云计算服务。云际计算支持不同实体云之间计算、存储和数据等的协商，通过多层次云资源与服务的深度融合协作，以便通过“软件定义”的方式定制云服务、创造云价值，实现“服务无边界、云间有协作、资源易共享、价值可转换”的新一代云际计算模式。云际网络互联的协同服务是云际计算的基础，需要从网络层、服务层和业务层分别建立可使异构多元化实体云进行网络互通、服务协同和可信结算的模型与机制，建立支撑技术体系。

虽然云际网络互联通过联接多个实体云，能够改善目前传统云计算模型面临的众多问题，但在实现层面，云际协作面临有别于传统云计算的新挑战：(1)云际网络环境会随时动态变化，难以构建可靠、有质量保障的云服务网络环境；(2)不同实体云的资源与服务具有差异化和非标准化的特点，难以被有效地发现和协作调用，也难以进行服务质量和服务数量的计量与结算；(3)云际系统各类要素相互关联，关系复杂多变，单一要素的跨云聚合与协同通常会对其他要素产生影响，难以解决多要素同时达到多目标优化目的的难题。

云际网络互联

目前，热点的互联网应用与服务几乎都离不开云计算，并且逐步向几个重要的云服务平台集中。应用的创新发展和市场需求的变化，使现有云计算服务面临新的挑战，单一云平台难以满足应用全时全域的优质服务需求和灵活多样的个性化定制需求^[1]。同时，随着边缘计算和5G等技术的发展，云计算模式也面临从集中式向分布式发展的趋势。

云际计算(JointCloud Computing)是以云服务提供者之间开放协作为基础，实现多个实体云的协同合作，取长补短，在控制成本的同时提供更加灵活与可靠的云计算服务。云际计算支持不同实体云之间计算、存储和数据等的协商，通过多层次云资源与服务的深度融合协作，以便通过“软件定义”的方式定制云服务、创造云价值，实现“服务无边界、云间有协作、资源易共享、价值可转换”的新一代云际计算模式。云际网络互联的协同服务是云际计算的基础，需要从网络层、服务层和业务层分别建立可使异构多元化实体云进行网络互通、服务协同和可信结算的模型与机制，建立支撑技术体系。

虽然云际网络互联通过联接多个实体云，能够改善目前传统云计算模型面临的众多问题，但在实现层面，云际协作面临有别于传统云计算的新挑战：(1)云际网络环境会随时动态变化，难以构建可靠、有质量保障的云服务网络环境；(2)不同实体云的资源与服务具有差异化和非标准化的特点，难以被有效地发现和协作调用，也难以进行服务质量和服务数量的计量与结算；(3)云际系统各类要素相互关联，关系复杂多变，单一要素的跨云聚合与协同通常会对其他要素产生影响，难以解决多要素同时达到多目标优化目的的难题。

为了应对上述挑战，云际网络互联与协同服务机制的研究可以分成以下3个部分（见图1）：

图1　云际网络互联抽象模型

云际资源与服务的按需聚合　研究云际网络互联的软件定义抽象模型，研究支持软件定义的底层云际网络分层架构，设计云际组网的分层协商、自动构建和动态服务质量保证方法，建立异构对等实体云间网络层互联组网机制，实现根据用户需求高效、自主地按需协调相应的资源与服务。

云际服务的感知与标准化　建立跨实体云的统一云服务识别与调用机制，构建大数据驱动的云际网络信息平面，支持实体云服务能力评价和云际网络动态测量，支持云际服务协同优化。云际服务的感知为云际资源与服务的按需聚合提供数据参数支持；另一方面，云际服务的标准化为云际互联中的审计与追溯提供结算依据。

云际网络互联中事件审计与追溯　在实现网络互通、服务可协同的基础上，设计基于区块链的云际去中心化服务计量、价值交换与协作信任机制，实现智能合约的自动、可信的结算。

云际资源与服务的按需聚合

云际组网需要灵活的网络软件定义能力和底层架构，能够感知上层云际应用的组网需求、网络配置需求、安全需求和服务质量需求，并按需自动协商组网。此外，不同实体云之间的架构异构多样、运营相互独立和云间网络动态性强等特性，也为云际网络互联的服务质量保证提出了更高的挑战。与现有混合云和私有云接入的隧道方法不同的是，云际网络互联没有中心化的控制点或管理平台，如何互联协同各个对等云服务提供商的异构云架构与多样化的实现方式，需要多实体、多层面的协同。

我们构建了如图2所示的多个云际互联网络平面，包括网络数据平面、网络控制平面、网络服务平面和网络信息平面，并以此为基础，设计实现了云际网络互联的技术架构。在网络数据平面，设计各实体云网络控制器的对等协商机制，完成云际组网过程中的信任认证、网络配置、格式封装、安全策略以及服务质量管理等的协商和协同，实现云际实体、云际服务之间的互联互通；在网络控制平面，研究云际组网策略的配置与下发，设计各实体云间的分层组网协议，为对等实体云间的协同组网提供有效机制与手段；网络服务平面和网络信息平面则通过云际服务的感知、标准化、审计和追溯，构建完整的云际服务管理能力。

图2　软件定义的云际网络互联

实现云际资源与服务的按需聚合，需要突破动态网络资源自适应和云际安全策略自动化部署这两方面的关键技术。

动态网络资源自适应

云际网络互联的物理实现依托于互联网，然而互联网具有链路资源动态波动显著的特点。随着手机移动流量快速增长并成为互联网上的流量主体，互联网链路的动态性和复杂性将愈发突出。这也为提供可靠、稳定的云际网络互联提出了更大的挑战。技术上可以从上层描述提取云际组网需求，使用软件定义网络技术自动实现云际组网和动态优化^[2]。利用网络控制平面获取云际网络信息，控制网络数据平面的数据动态路由算法，运用流量工程与任务调度等方法，提高网络链路的利用率与服务质量。基于全局网络资源信息平面，综合用户需求及当前资源利用情况，提供合理的资源共享以及全局优化的组网策略^[3]。通过流量调度机制，保证云际组网优化过程中的服务一致性和动态网络服务质量保证。

云际安全策略自动化部署

云际网络互联涉及多实体云物理资源的互联互通，不同的云服务提供商拥有不同的竞争与合作关系，以及相应的连接策略。同时，云服务提供商内部也具有分层的网络架构，不同的逻辑区域承担不同的系统职能，拥有不同的安全等级，与外界的互联策略各不相同。此外，不同的数据传输也需要施加不同的安全措施。安全是云际网络互联的核心挑战之一。技术框架中重要的组成部分是云际网络安全规则的生成、部署和自动化校验。根据上层的云际网络互联描述检测是否满足云服务提供商间的业务、访问控制等策略^[4]。根据高层次的安全策略，自动编译生成数据平面的规则，在组网时自动下发至云际网络互联的逻辑边界，并支持随云际网络互联拓扑变化的自动更新。同时，支持对网络规则的自动化校验，对违反安全策略的配置进行实时报警和修复^[5]。此外，面向安全策略部署安全需求感知设备，利用各云服务提供者的基础设施提供弹性的云际安全能力。

云际服务的感知与标准化

高效、低成本的云际互联协作依赖于云际服务的准确发现、快速索引和可靠评价。如何建立可信、标准的云际全局信息视图，形成云际网络互联信息平面^[6]，构建标准化服务感知与评估体系，是保证工业化、低成本云际互联协作的关键环节，主要包括云际服务标准化描述，云际服务发现与集成，云际服务测量、审计和比较等3个方面的研究内容。

云际服务标准化描述

从应用视角来看，云服务是个黑匣子，网络状态和服务内部的状态是隐藏的，云内资源难以控制和协同；从云服务角度来看，高层应用也是黑匣子，应用的内容、上下文甚至性能指标均不能透明感知。

表1　云内服务标准化描述

表2　云际服务标准化描述

造成上述问题的很大一部分原因是云服务缺乏统一的描述规范。当前的技术架构中，往往是特定的应用对应特定的云服务，接口标准不一致，导致来自不同实体的云服务和应用很难跨云整合在一起。与网络服务描述语言(Web Service Description Language, WSDL)^[7]类似，可以设计云服务描述语言(Cloud Service Description Language, CSDL)，以此统一描述云服务。该语言须分别包含云内与云际两个层面，主要内容如表1和2所示。

图3　云际服务的标准化描述模型

基于上述标准化定义，云际服务间可通过云服务描述语言的标准化描述模型（见图3）进行自动融合和结算。实体云的网络控制器自动读取云际服务标准化模型中的相关参数，配置相应的软件定义网络设备，完成云际网络和云际服务的互联与互通，并根据标准化描述中的计价模式形成智能合约，自动完成云实体间的结算。

云际服务发现与集成机制

云际服务发现与集成机制依托于集中式目录架构。云服务提供者通过使用统一标准化的描述注册服务抽象接口。聚合服务层通过云服务索引机制搜索所需的云服务，结合服务评估模型与测量评估数据返回目标服务，在返回搜索结果的同时，完成面向服务的优化调度。此部分的主要研究工作包括构建云服务的注册、搜索和调度方法，对云服务应用环境优化调度算法建模，以及云服务调度和查找信令的安全措施设计。

基于云服务描述语言的描述，参考Web服务中的通用描述、发现与集成服务(UDDI)^[8]的概念，可设计云描述、发现与集成服务(Cloud Description, Discovery and Integration, CDDI)系统，如图4所示。CDDI提供云际计算中的“目录”服务，主要包含以下功能：

图4　CDDI模型

云服务注册：通过云服务描述语言描述的云服务可以在CDDI上进行注册，用于搜索；

第三方测量：CDDI上的云际服务通过信息平面的服务性能感知进行客观的性能测量；

统一的评估：各种云服务的指标归一化，相互可比较；

全方位的发现：CDDI支持对云服务的搜索与发现。

云际服务测量、审计与比较方法

云际服务测量、审计与比较需要实体云间多层联动共同完成。在网络数据平面进行性能参数监测，评估系统服务能力和服务质量；在网络控制平面进行服务结算审计，结合服务计量数据对结算结果进行校验，保证系统的公平性；在网络服务平面建立使用体验反馈，与其他测量数据相互融合；在网络信息平面整合上述测量数据，通过统一的数据评估方法，建立可比较和可计算的服务评估模型。此部分的主要研究内容包括构建针对无关底层的异构实体云结构的测量方法，研究抽象云服务接口的性能测量方法和服务质量模型，研究多源测量数据的归一化模型和建立可计算的评价指标。

云际服务间的协同调度和基于服务性能的结算方式都基于对云际服务环境和服务本身有明确的参数测量和感知。在云际网络互联中建立大数据驱动的信息平面，客观建立整个云际网络互联系统的信息视图，提供云服务描述语言中关于服务性能和质量的参数，为软件定义的云际服务调度优化提供数据支持，为云际网络间服务的自动结算提供条件。

云际网络互联中事件审计与追溯

云际网络互联中的事件审计与追溯涉及不同实体云核心数据的存储、访问、一致性和可信性维护。当前正在兴起的区块链技术是潜在的可解决该问题的良好工具。区块链是基于拜占庭问题求解的去中心化、共识可信的数据管理技术，其基础功能可以看作是一个多方参与的带有时间戳的记账本^[9]。区块链要求数据分布式存储、匿名及共同维护，其数据不可被篡改，从而无需可信第三方服务，因此管理成本低。区块链目前在金融、保险、物联网、公证、社交通信以及电子商务等领域已经初步验证，展示出巨大的应用前景。

在云际网络互联中，多云计算实体间的协作和资源借调必然会带来合约与利益交换，并且会存在多种交易与结算方式，实体云间资源聚合、交易以及关键事件等数据内容需要具有可信管理、可公开审查与追溯的能力，而构建具有良好信用的第三方来支持该云际互联协作方式具有较高的非技术风险，不可预测性较大。基于区块链技术构建去中心化、安全可信、可追溯和可审查的合作信任体系，可为该问题的解决提供良好的技术方案。

区块链技术可在不完全互相信任的多个实体间构建分布式的可信互联网络，并且能够做到事件和行为的追溯与审查。美国军方已经开始尝试利用一种名为无钥签名(Keyless Signature Infrastructure, KSI)^[10]的区块链技术来强化通信系统的安全性能，能够实现对海量对象的安全签名。

云际网络互联的应用场景

基于云际网络互联技术的大数据交易应用平台将在湖南省正在筹备的大数据交易中心应用。湖南省大数据中心由湖南网数科技、清华大学荷塘基金、世纪互联集团和湖南湘江新区岳麓科技产业园联合成立，目标是构建大数据生产模式生态圈。通过深度整合云际网络互联的技术与平台，针对大数据交易的场景需求，研发结合区块链智能合约与海量数据特性的数据加密、防篡改和版权保护的相关技术，建立去中心化的大数据交换与协作模式，实现以大数据为核心的模式创新。

各个来自不同地区、公司的云计算和数据提供商可以在大数据中心搭建的云际网络互联平台上进行安全、可信和互利的计算协作。云计算提供商通过提供和购买计算、存储等资源，更高效地利用计算资源，数据提供商能够在保证用户隐私和数据安全的前提下，整合多方数据，通过协同过滤等数据挖掘方式，提高数据的价值，扩大所挖掘知识的广度和深度，进而促进相关生态圈内应用的发展和革新。平台内所有的参与者通过统一的标准接入，通过云际网络将底层网络上的软件定义进行互联和服务模型优化，参与者不需要在接入环节进行额外的适配。在过程记录、审计和结算方面，区块链技术和信息平面所支持的不可篡改、全自动的计量系统提供全面的支撑，为整个云际网络互联生态圈经济层面的发展提供强有力的保证。■

参考文献

[1] Liu H, Wang Y, Yang Y R, et al. Optimizing cost and performance for content multihoming[C]//Proceedings of the ACM SIGCOMM 2012 conference on Applications, Technologies, Architectures, and Protocols for Computer Communication. ACM, 2012: 371-382.

[2] He J, Chiang M, Rexford J. Towards robust multi-layer traffic engineering: Optimization of congestion control and routing[J]. IEEE Journal on Selected Areas in Communications, 2007, 25(5): 868-880.

[3] Hong C Y, Kandula S, Mahajan R, et al. (2013, August). Achieving high utilization with software-driven WAN[J]. ACM SIGCOMM Computer Communication Review, 2013, 43(4): 15-26.

[4] Yuan Z, Xu J, Xue Y, et al. Bits Learning: User-Adjustable Privacy Versus Accuracy in Internet Traffic Classification[J]. IEEE Communications Letters, 2016, 20(4): 704-707.

[5] Wang X, Shi W, Xiang Y, et al. Efficient Network Security Policy Enforcement with Policy Space Analysis[J]. IEEE/ACM Transactions on Networking, 2016, 24(5), 2926-2938.

[6] 尹浩,乔波. 大数据驱动的网络信息平面[J]. 计算机学报, 2016, 39(1): 126-139.

[7] Christensen E, Curbera F, Meredith G, et al. Web services description language (WSDL) 1.1[OL]. (2001-03-05). https://www.faa.gov/nextgen/programs/swim/documentation/media/compliancy/WSDL11.pdf.

[8] Curbera F, Duftler M, Khalaf R, et al. Unraveling the Web services web: an introduction to SOAP, WSDL, and UDDI[J]. IEEE Internet Computing, 2002, 6(2), 86-93.

[9] Nakamoto S. Bitcoin: A peer-to-peer electronic cash system[OL]. https://bitcoin.org/bitcoin.pdf.

[10] KSI Blockchain Technology[OL]. https://guardtime.com/technology/ksi-technology.