高小玲，　黄雅琳，　杨长进

(1． 装备学院 信息装备系， 北京 101416；　2． 北京跟踪与通信技术研究所， 北京 100094；　3. 北京航天飞行控制中心， 北京 100094)



基于PTDN技术实现国防科研试验通信系统自主可控的思考

高小玲1，黄雅琳2，杨长进3

(1． 装备学院 信息装备系， 北京 101416；2． 北京跟踪与通信技术研究所， 北京 100094；3. 北京航天飞行控制中心， 北京 100094)

摘要针对国防科研试验通信系统未来发展过程中可能面临的信息传送可靠性降低、设备配置灵活性不够、用户接入存在安全隐患，以及承载层协议未能实现自主可控的问题。在分析采用分组电信数据网(PTDN)核心技术解决上述问题可行性的基础上，提出了基于PTDN技术实现通信系统自主可控的部署方案，给出了该方案在网络性能、服务质量、网络安全等方面的改善效果。

关键词分组电信数据网；通信系统；自主可控

Reflection on Realizing PTDN-based Independent & Controllable National Defense Scientific Research Test Communication System

GAO Xiaoling1，HUANG Yalin2，YANG Changjin3

(1. Department of Information Equipment， Equipment Academy， Beijing 101416， China；2. Beijing Institute of Tracking and Telecommunication Technology， Beijing 100094， China；3. Beijing Aerospace Control Centre， Beijing 100094， China)

AbstractTo solve out the issues in future development of communication systems for national defense research and tests like reduced reliability of information transmission, inadequate flexibility of equipment confirmation, safety risk of user access and lack of independent & controllable bearing layer, on the basis of analysis on the feasibility of PTDN technology in solving out above issues, the paper proposes a PTDN-based deployment plan for an independent & controllable communication system and presents the effect of such plan in improving network performance, service quality, network security, etc.

Keywordspacket telecommunication data network(PTDN); communication system; independent & controllable

随着信息技术的发展，信息安全问题已经成为影响战争胜负的关键因素，也时刻威胁着国防科研试验任务的圆满完成。国防科研试验通信系统作为试验任务的支柱系统之一，主要承担测发、测控、通信、气象、勤务等业务系统的数据、话音、图像、视频及其他增值业务的安全可靠传输。基于IP技术的国防科研试验通信系统建设十多年来，在各类试验任务中发挥着不可替代的作用，圆满完成了各类试验任务。但无论是通信系统网络设备的核心元器件，还是业务软件所依赖的操作系统，或者是试验通信系统承载层所采用的IP协议，一定程度都依赖国外产品或技术，存在信息安全隐患[1]，需要建设具有我国自主知识产权的通信系统，实现国防科研试验通信系统的自主可控。通信系统实现自主可控从系统组成方面可分为3类：硬件设备自主可控、软件系统自主可控、协议标准自主可控，本文重点从协议层面提出国防科研试验通信系统实现自主可控的思路。

1国防科研试验通信系统现状及面临问题

1.1现状

基于IP技术体制的国防科研试验通信系统又称试验任务IP网，采用3层2平面的体系结构。3层分别为业务层、业务承载层和传送层，其中，业务层包含各类通信业务信息的获取、处理、应用；业务承载层采用IP技术体制，为业务在传送层传输提供业务承载，由广域网、城域网和局域网构成；传送层为业务提供传输链路。2平面即通信网络管理、通信安全保密，贯穿业务层、业务承载层和传送层。

1.2面临问题

试验任务IP网自开始建设至今已经历了十多年的时间，在十余年的使用过程中，为了确保试验信息的实时性、可靠性、安全性，采用了多种技术手段，如：小包轻载运行、端到端服务质量保证、尽可能提高链路速率、网络隔离、入侵检测等，但随着试验任务频度的增加，不同类型试验任务并行、交叉的情况越来越多，试验任务IP网在传送层、业务承载层、业务层暴露出不能适应任务实际需要的问题屡有发生，主要表现在以下几个方面。

1) 传送层带宽资源受限，信息传送可靠性降低。试验任务IP网传送层依托的全军光缆网主要用于传输任务中的全态信息，根据不同任务统计，任务期间由于气候、人为等因素的影响，光缆网中断情况时有发生，从而对广域网的可靠传输带来一定影响。作为传送层的卫通网，由于任务期间租用卫通转发器资源相对受限，主要用于传输任务关键信息，但在卫通电路中传输的信息速率还比较低，某些高速关键信息数据无法经由卫通链路传输，仅在光缆网进行单路由传输，可靠性受到制约。

2) 承载层设备配置工作量大，灵活性不够。试验任务IP网承载层由广域网、城域网和局域网构成，广域网目前采用静态路由协议。静态路由协议需要预先根据需求，人工配置路由表和路由优先级，路由表在网络启动时加载至网络设备中。随着任务类型、频度的增加，为提高信息传输的可靠性，试验任务IP网、城域网和局域网的备份路由不断增加，导致广域网的拓扑结构愈发复杂；采用静态路由协议大大增加了人工配置的工作量，无法实现自适应的动态配置，也无法实现动态选择路由，增加了网络开销，降低了灵活性。

3) 接入认证机制不健全，存在安全隐患。试验任务IP网用户接入认证机制不健全，对通过有线接口接入网络的用户默认为是可信用户，身份认证的机制强度比较弱，同时对接入网络的用户基本不进行访问控制限制，由此可能会产生从用户入侵发起的探测类、攻击类及隐藏类安全隐患。

4) 国际标准协议与产品带来的安全隐患。试验任务IP网采用IP技术，IP技术采用自动寻址，不面向连接、排队转发等技术，按照尽力而为的原则发送用户信息，不保证用户信息的可靠到达[2]11，因此IP技术带来网络使用便利性的同时也产生了实时性、可靠性和安全性问题。另外由于其作为开放的协议、通用的标准，美国掌控着全部核心技术，拥有IP网全部话语权，主导互联网工程任务组(Internet Engineering Task Force，IETF)等相关组织，技术和产品都可能带来“后门”“漏洞”“隐蔽指令”等安全隐患。

2基于PTDN实现通信系统自主可控的可行性分析

2.1国防科研试验通信系统实现自主可控技术路线

要解决上述问题，根据目前网络实际情况及在未来发展过程中可能产生的问题，可以采用2种技术方案：补丁型技术路线与创新型技术路线[2]12。

2.1.1补丁型技术路线

补丁型技术路线是对产生的问题逐项修补，比如针对承载层设备配置工作量大、配置复杂的问题，可以采用动态路由协议来改善和解决；服务质量问题则采用多协议标记交换(Multiprotocol Label Switching，MPLS)技术等手段缓解；传送层的问题随着信息基础设施建设与运用，将会自然得到改善；业务层和终端的问题通过采用防护手段、提高注册登记和认证强度等技术也会得到一定程度解决。但是这种技术路线，无法解决协议受控的问题；同时由于新的问题不断出现，网络会越来越不堪重负，效率会大大降低。

2.1.2创新型技术路线

通信界有句名言：“一流企业做标准”，创新型技术路线就是在现有网络体系结构基础上，结合科研试验通信系统的发展需求，采用新的技术标准和体制来解决目前试验任务IP网已经存在，以及未来发展中可能出现的问题。由此可见，这里的创新型技术路线并不是对现有网络的全盘否定，而是理念上的创新。对于通信系统实现自主可控，重点需要完成以下3个方面的工作：研究具有自主知识产权的通信网协议、标准；研制开发基于国产操作系统和数据库的通信业务软件；研制通信设备的自主可控样机。而这种技术路线的基本思想是研究基于我国自主知识产权的技术标准和协议，在解决现有和未来可能出现的问题的同时还能够实现自主可控。本文主要介绍这种技术路线，它需要处理好当前网络体系与后续体系结构的兼容及过渡发展问题。

2.2基于PTDN技术实现通信系统自主可控的可行性

PTDN是由我国首次提出的具有自主知识产权的网络技术协议，是国家重点推动的一项通信网络多业务承载平台技术，该协议体系采用层次化网络、按地域分配的有序地址结构和基于节点势能的确定性路由技术，具备自动多路由生成电信级的保护和倒换能力[3]。目前，PTDN技术已得到华为、中兴、迈普等公司的主流设备支持。研究将PTDN应用于国防科研试验通信系统的方案，既能保证自主可控，又有利于采用最新研究成果和设备，还便于结合科研试验任务实际进行适应性改造。PTDN网络参考模型如图1所示[4]。

图1　PTDN网络参考模型

图1中:NM(Network Management)为网关设备;ADT(ADdress Translator)为地址翻译器; CR(Core Router)为核心路由器; ED(Edge Device)为边缘设备; AR(Access Router)为接入路由器; MR(Merge Router)为汇聚路由器。

NM主要功能为采集网络设备性能参数；ADT完成PTDN网络地址与其他网络地址间的转换；ED完成不同网络之间的协议转换；M是PTDN网络设备与网管实体间的参考点；T1为地址翻译器与边缘设备间的参考点；T2为地址翻译器间的参考点；E为边缘设备与异构网络间的参考点。

2.2.1地址及路由扩展问题的解决

从图1可以看出，PTDN网络与试验任务IP网承载层的体系结构基本相同，都分为核心层、汇聚层和接入层，虽然拓扑结构基本相同，但是PTDN在此结构下采用的地址技术却完全不同。IP地址体系采用Ipv4或Ipv6，PTDN则是借鉴电信网的思想，采用以地域划分的层次化网络地址体系，形成有序的、可变长的地址结构[5]。基本地址长度是64 bit，可根据需要扩展到96 bit和128 bit。

PTDN地址构成：国家(运营网号)/地区(核心层)/城市(汇聚层)/端局(接入层)；

PTDN地址特点：地址按地域分层次有序分配前缀；

PTDN编址规则：节点地址，前缀+00..00+节点编号；终端地址，前缀+终端编号。

如图2所示为PTDN编址示例，从PTDN地址可以判断出地址间的层次关系和所属关系，在试验任务IP网中采用这种编址方式，既符合试验任务通信系统的组织指挥关系需要，也可以解决可能面临的地址扩展问题，同时又能够提高路由选择的效率，节省路由选择的时间，提高可靠性。

说明：a,b,…o,p为网络节点。图2　PTDN地址示例

2.2.2网络链路可靠性问题的解决

a) 网络节点　　　　　　b) 规划的双路径路由之一　　　　 c) 规划的双路径路由之二图3　双路径路由示意图

PTDN网络路由技术采用最短路径、双路径路由和多路由模型，最短路径要求是从源节点到目的节点的路由为最短，这种最短并非简单由跳数决定，而是综合计算跳数、链路带宽、链路费用、链路代价等因素权重后得到的结果。双路径路由是从源节点到域内目的节点提供2条完全独立的路由，它除了源节点和目的节点外，之间没有重合的节点和链路，如图3所示为双路径路由示意图。多路由模型是在最短路径、双路径均失效的情况下采用的迂回路由策略。在试验任务IP网承载层采用PTDN路由技术，可以根据不同类型试验任务的业务需要，结合任务中实际链路的具体情况，设置最短路径各要素的权重，自适应选择适用于不同任务的最短路由模型。在最短路由失效的情况下依次选用双路径、多路径模型。采用上述路由技术，对于试验任务IP网这种业务数据流量可预测、网络拓扑统一规划的网络具有明显的优势：能够根据预期的数据量采用预定的路由策略动态规划路径，除能够提高链路可靠性外，还能提高路由选择的灵活性，减少网络设备的人工配置量。

2.2.3网络配置灵活性问题的解决

PTDN 虚拟化技术主要体现在对网络的灵活配置[6]。PTDN支持对网络设备进行多种形式的配置，如按照用户属性配置网络资源，按照业务类型配置网络等，从而构建多个逻辑独立的虚拟网，实现全网虚拟化。PTDN的虚拟化网络技术，既能够将不同业务承载在不同虚拟网上，也可将相同业务由不同虚拟网承载。由于配置的虚拟网具备完备网络功能，因此可对整个网络资源进行实时监测，实现网络的全程、全网端到端实时资源感知，为实现试验任务IP网可感、可知奠定基础。

在试验任务IP网承载层采用PTDN虚拟化技术，能够实现业务精细化区隔和智能管理。根据不同类型任务的需求支持不同业务需求，既可以按照业务类型如数据、话音、图像、视频划分虚拟网络，也可以按照专业类型划分，如通信、测控、测发、气象、勤务，还可以进行不同粒度的将专业和业务结合的划分方式，实现不同用户的资源保障和资源独立，将网络资源集约使用，告别轻载对资源的浪费，大大提高智能化管理水平。

2.2.4服务质量问题的解决

PTDN技术借鉴电信网的思想，对网络实现分层管理。按照网络数据的作用和功能，分为管理平面、控制平面、数据平面[7]。管理平面用于传输与管理相关实体操作的信息流，主要功能是用户需求与网络服务协商，网络监测和记录；控制平面用于传输与控制相关实体操作的信息流，控制平面实现用户接入和访问控制、资源调配控制、路由QoS保证；数据平面用于传输数据，主要功能包括缓存管理、队列管理、流量分类、流量整形、拥塞避免等。在PTDN网络中可采用多数据平面，不同数据平面及管理平面、控制平面均相互隔离，资源独立。

PTDN服务质量保证技术的核心是通过合理调配网络资源达到有效利用资源，提高资源利用率的效果。试验任务IP网承载层采用PTDN技术，将控制、管理、数据功能进行分离，调配各平面所需的链路带宽、端口、CPU、内存等资源，既能有效提高路由QoS，提供可预期的端到端网络性能和业务质量，又能够为网络精细化管理提供网络性能及资源参数，为实现网络可管、可控奠定基础。

2.2.5网络安全问题的解决

PTDN网络安全技术主要体现在4个隔离：边缘与核心隔离；信任区与非信任区隔离；用户与网络隔离；控制与转发隔离[8]。根据信任程度PTDN网络分为安全区、过渡区和非安全区，如图4所示。

图中P1、P2分别表示2个PTDN网络；安全区内的网络元素主要包括PTDN网络边界设备以内设备，这些设备对PTDN网络之外是不可见的，不直接与PTDN网络之外的用户设备或网络进行通信。

图4　PTDN安全模型

在试验任务IP网承载层采用PTDN技术，安全区用户及网络设备只与安全区和过渡区的网络元素通信，不与非安全区的用户及设备通信；过渡区内的网络元素不仅直接与PTDN网络之外的其他网络进行通信，也与安全区内的网络元素进行通信。过渡区的安全功能是在安全区和非安全区之间构建安全屏障，防止安全区内的网络元素受到攻击，拒绝存在安全威胁的用户和数据流量接入安全区。非安全区涵盖PTDN网络以外的网络区域，主要包括PTDN网络之外的各类非PTDN用户网络注册认证实体。对于接入PTDN网络的用户必须在非安全区进行注册、认证、鉴权，只有通过认证和鉴权的用户才能与安全区进行通信，因此，PTDN的安全策略能够排除用户接入、访问控制中的安全隐患，并有效解决由于IP网对用户透明而引发的各类攻击问题，为实现试验任务IP网用户接入可信网络提供技术支撑。

3基于PTDN实现国防科研试验通信系统自主可控的部署方案

3.1部署方案

由图1所示的PTDN网络参考模型可知，PTDN网络的体系结构与目前试验任务IP网采用的三层体系结构相似，所以实现基于PTDN的科研试验通信系统可在不改变网络体系结构的前提下，按照目前的广域网、城域网、局域网分层次、渐进部署。如部署广域网，则仅对广域网设备完成PTDN设备改造，与基于IP的城域网通过PTDN边缘设备连接即可，局域网不受影响；若改造城域网，则城域网与广域网及局域网的连接均通过PTDN边缘设备连接。需要说明的是，对用户来讲，无论采用哪种部署策略用户使用习惯不变，用户无感知。如图5所示为采用PTDN技术改造城域网方案，该方案中在IP广域网与城域网间增加PTDN边缘设备，完成IP网与PTDN网的协议转换；原城域网中的IP路由器、汇聚交换机及接入交换机由PTDN路由器、交换机取代；城域网与接入网间增加PTDN边缘设备，其他现有的基于IP技术的广域网和接入网设备及结构无须改变。

图5　采用PTDN技术改造城域网方案

图6　网络性能实验测试图

3.2网络性能改善效果

图6所示为采用PTDN技术与采用IP技术网络性能测试图。在试验任务IP网承载层采用PTDN技术，边缘设备能够支持百兆通信能力，路由设备具有千兆通信能力，网络管理设备最多可支持4 096个虚拟网络，网络性能得到大幅提升和改善，主要表现在：

1) 具有对虚拟网络不同粒度的划分方法，支持对传输带宽和网络资源的精细化管理和控制，能够提高网络资源利用率，增强网络智能管理能力，为实现网络资源的可感、可知、可控、可管提供支持；

2) 采用资源预留、链路聚合等方法，网络具有良好的服务质量保证；

3) 具有很好的业务、路由、地址的可扩展性；

4) 实现网络对用户的不透明，控制、管理、数据平面的隔离和资源独立，为保证网络可信和通信安全可靠提供可能。

5) 技术标准和网络设备具有自主知识产权。

4结 束 语

基于PTDN技术建设通信系统能够从协议层面解决国防科研试验通信系统的自主可控问题，但在建设过程中还需要重点考虑如下问题：

1) 正确评估应对实现自主可控过程中的风险 。从上文分析可以看出，采用PTDN技术可以较好改善试验任务IP网当前及未来发展中可能面临的大部分问题，但缺乏改善程度的量化测试。同时需要清醒地认识到，PTDN主要从承载层的技术标准入手对试验任务IP网进行改造，未涉及传送层和业务层。在实现通信系统自主可控过程中，既涉及技术标准，又要考虑硬件更换，还须思考软件实现国产操作系统下的迁移，每一个环节都可能有潜在风险，因此必须正确评估和应对实现自主可控过程中的风险，制定不同风险的应对和规避策略。

2) 逐步建立、健全规范的配套标准和制度。实现国防科研试验通信系统自主可控涉及硬件、软件和核心技术，在实施过程中需要与其他专业领域的自主可控协调进行，同时必须逐步建立健全相应的标准和制度，以便为后续建设提供参考依据和文档积累。

3) 跟踪研究先进技术，及时论证应用推广。实现自主可控是一个动态发展的过程，既不可能一蹴而就，也不可能一步到位，而是持续发展渐进的过程。因此在实现自主可控的过程中，需要及时跟踪研究先进技术，将具有知识产权的先进技术通过论证、试验后进行应用、推广，不断提高国防科研试验通信系统自主可控技术的先进性。

参考文献(References)

[1]蒋林涛.未来互联网若干问题研究[J].电信网技术，2012，4(4)：34-35.

[2]蒋林涛.未来互联网的承载网络[J].中兴通讯技术，2010，16(2)：11-12.

[3]朱伟.下一代承载网的QoS研究[D].北京：中国电信研究院，2007：79-80.

[4]张杰才.PTDN体系结构研究与网管的实现[D].北京：北京交通大学，2011：14.

[5]ITU-T.General technical architecture for public packet telecommunication data network:Rec.Y.2613[S].Geneva:ITU-T，2010：13.

[6]ITU-T.Generic requirements and framework of addressing, routing and forwarding in future:Rec.Y.2612[S].Geneva:ITU-T，2009：7.

[7]ITU-T.High-level architecture of future packet-based networks:Rec.Y.2611[S].Geneva:ITU-T，2007：7-9.

[8]ITU-T.Fundamental characteristics and requirements of future packet based networks:Rec.Y.2601[S].Geneva:ITU-T，2007：6.

(编辑：李江涛)

中图分类号TN925

文章编号2095-3828(2016)01-0091-07

文献标志码A DOI10.3783/j.issn.2095-3828.2016.01.019

作者简介高小玲(1974-)，女，副教授，主要研究方向为军事通信技术。

收稿日期2015-06-29