互联架构(共10篇)
互联架构 篇1
0 引言
伴随着互联网从PC端向移动端的迅速延伸,使移动端成为互联网最重要的入口,而这些移动端的设备每天产生以十亿计的海量信息,这些海量信息已经渗透当今每一个行业和业务智能领域,成为重要的生产因素。传统的处理数据方法是把静止数据库中的数据带进程序进行分析。而移动互联平台时刻产生数据没有办法停止,最佳处理方法是把程序带进活动的数据进行分析,因此基于移动互联平台下如何采集、存储、整理分析和挖掘海量信息,成为亟待解决的问题。本文采用Lambda架构作为系统的通用大数据处理框架,整个系统划分为Batch Layer、Speed Layer和Serving Layer 3层,在这3层中集成Hadoop、Kafka、Storm、Spark、Hbase等各类大数据组件,解决移动互联平台读写分离和复杂性隔离等问题,为构建移动互联平台解决方案提供宝贵经验。
1 Lambda简介
数据是与时间有关的,数据一定是在某个时间点上产生的,因此数据的本身是不可变的。移动互联平台分布式系统中的数据产生于不同的系统中,时间决定了数据发生的全局先后顺序,移动互联平台必须实时存储和处理数据。
Lambda架构是由Nathan Marz提出的一个实时大数据处理框架,其核心思想是既能兼顾低延迟的计算需求,同时也具有处理全量数据的能力,最后通过将2个部分的视图聚合起来提供外部服务。
Lambda架构(如图1所示)是集成Hadoop、Kafka、Storm、Spark、Hbase等各类大数据组件,设计出一个能满足实时大数据系统关键特性的架构,包括高容错、低延时和可扩展等。Lambda架构整合离线计算和实时计算,融合不可变性、读写分离和复杂性隔离等一系列架构原则。
2 移动互联大数据平台架构的设计
移动互联大数据平台(如图2所示)是基于Lambda架构,由数据采集层、数据接入层、数据计算层、数据服务层和数据存储层构成。
数据采集层面临高并发、数据量大和扩展性等亟待解决的问题。本文在数据采集层引用Finagle Server开源异步服务器框架,该服务器框架契合移动互联网访问特点:高并发,小数据量,单台服务器的处理能力得到了极大地提升,同时支持横向扩展收集日志服务。对于移动终端如手机、平板和盒子等设备,数据采集层提供通过APP集成SDK,移动互联平台通过SDK将移动终端设备的日志返回到移动互联平台,移动互联平台在nginx负载均衡下,通过唯一标识、数据标准化和数据格式对数据进行清洗,最后把数据送入基于Finagle框架的日志接收器,最后传入数据接入层。
数据接入层使用2个Kafka集群来承担数据接入功能,最上面Kafka集群被实时计算消费,下面kafka用于离线数据消费,2个集群之间通过Kafka的Mirror功能进行同步。
数据计算层为了实现IO负载分离,通过业务解耦,把计算分为实时计算、离线计算、准实时计算3个部分。时效性是实时计算首先要面对的问题,从实时方面考虑,就不能放一些太复杂的计算,计算结果会存储到MongoDB。离线计算数据倾斜是贯穿离线计算始终的问题,通过改造Hadoop的公平调度算法来保证大任务能得到充分的计算资源在可接受的范围内计算完毕,同时使用Hive建立数据仓库,使用pig进行数据挖掘,离线分析的结果存储在H Base。准实时计算主要处理如下载服务、消息推送中的圈人服务等。最后通过统一的REST Service来对外提供数据服务。
3 移动平台数据存储和增值
本文利用云存储技术构建移动互联系统平台的存储系统,该存储系统不仅是一个并行的硬件,而且是由网络设备、存储设备、服务器、软件、接入网络、用户访问接口及客户端程序等多个部分构成的。为了方便维护,把该存储系统分为存储层、基础管理层、应用接口层及访问层。存储层是云存储系统的基础,由存储设备(满足FC协议、iSCSI协议、NAS协议等)构成。基础管理层是云存储系统的核心,其担负着存储设备间协同工作、数据加密、分发及容灾备份等工作。应用接口层是系统中根据用户需求来开发的部分,根据不同的业务类型,可以开发出不同的应用服务接口。访问层指授权用户通过应用接口登录和享受云服务,其主要优势在于硬件冗余、节能环保、系统升级不会影响存储服务、海量并行扩容、强大的负载均衡功能、统一管理、统一向外提供服务及管理效率高。云存储系统从系统架构、文件结构、高速缓存等方面入手,针对监控应用进行了优化设计。数据传输可采用流方式,底层采用突破传统文件系统限制的流媒体数据结构,大幅提高了系统的性能。
移动互联大数据平台存储系统的数据如何实现增值?数据是从统计到挖掘到大数据的阶段,只有通过这种数据的相互分享,才能够得到数据的红利和反馈。
第一,它们从顾客需要的数据(能够创造商业价值)开始,而不是聚焦在它们已有的数据及这些已有数据能告诉他们什么。主要工作是在幕后找出什么是顾客需要的(通过数据、工具、信息),然后得到答案。
第二,不是把你的见解分享给一小撮商业领袖,而是直接把它融入、应用到商业应用或者工作流程中,让尽量多的人来利用这些大数据的结论。
第三,拥有绝对的数据使用权。在这个基于云的大数据世界,第三方数据的获取、管理、使用都必须是合法的。
本文认为主要通过数据统计及APP的推送,为移动开发者提供支持。“友盟”的“一站式”解决方案整合了应用统计分析、游戏统计分析、社会化组件、微社区、消息推送、友盟指数等产品和服务,并基于数据将产品之间横向打通,以求充分发挥和运用数据的价值:其一,内部数据打通,“友盟”不光是做统计分析,还有即时通信、社会化分享、工具推荐等业务。把这些业务的数据尽可能地进行横向打通,这样一来,就可以利用用户自身的自定义事件,进行一些有针对性的推送。其二,用户画像。“友盟”还与其他的数据方合作,给用户进行画像,这样就可以进行更加精准的推送。用户画像可以根据现有的数据更精准地确定自己用户的属性和兴趣、行为等。其三,设备评级。对于APP开发者来说,了解渠道的推广效果,如哪些渠道的推广价值用户大,哪些渠道推广的用户价值小,哪些渠道有作弊行为,推广的全是一些虚假的用户。其四,APP健康度评估。通过APP健康度估价能使开发者了解自己这一款APP当前是处于生命周期的哪个阶段,是属于快速增长阶段、平稳发展阶段,还是属于衰减阶段。这样就能更好地了解自己的产品目前的健康状况,同时也能了解自身产品,如用户群体中有多少是垃圾设备,有多少是有价值的设备。
4 总结
本文介绍了Lambda架构的基本概念。Lambda架构通过对数据和查询的本质认识,融合了不可变性、读写分离和复杂性隔离等一系列架构原则,将大数据处理系统划分为Batch Layer、Speed Layer和Serving Layer 3层,从而设计出一个能满足实时大数据系统关键特性(如高容错、低延时和可扩展等)的架构。Lambda架构作为一个通用的大数据处理框架,可以很方便地集成Hadoop、Kafka、Storm、Spark、Hbase等各类大数据组件。
参考文献
[1]孙广中,肖锋,熊曦.MapReduce模型的调度及容错机制研究[J].微电子学与计算机,2007,24(9).
[2]刘鹏.实战Hadoop——开启通向云计算的捷径[M].北京:电子工业出版社,2013.
[3](美)CHUCK LAM.Hadoop in Action[M].北京:人民邮电出版社,2011.
互联架构 篇2
1.实验目标:
掌握静态路由的配置方法和技巧;
掌握通过静态路由方式实现网络的连通性;
熟悉广域网线缆的链接方式;
2.实验技术原理:
路由器属于网络层设备,能够根据IP包头的信息,选择一条最佳路径,将数据包 转发出去。实现不同网段的主机之间的互相访问。路由器是根据路由表进行选路和 转发的。而路由表里就是由一条条路由信息组成。
生成路由表主要有两种方法:手工配置和动态配置,即静态路由协议配置和动态路 由协议配置。
静态路由是指有网络管理员手工配置的路由信息。
静态路由除了具有简单、高效、可靠的优点外,它的另一个好处是网络安全保密性 高。
缺省路由可以看做是静态路由的一种特殊情况。当数据在查找路由表时,没有找到 和目标相匹配的路由表项时,为数据指定路由。
3.实验步骤:
新建packet tracer拓扑图
(1)在路由器R1、R2上配置接口的IP地址和R1串口上的时钟频率;
(2)查看路由器生成的直连路由;
(3)在路由器R1、R2上配置静态路由;
(4)验证R1、R2上的静态路由配置;
(5)将PC1、PC2主机默认网关分别设置为路由器接口fa 1/0的IP地址;
给互联网换个架构? 篇3
互联网的出现已经有超过40年的历史了。40多年来,这个原本只是用于科学研究的试验网络走出了实验室,成为了普通大众生活中不可或缺的一部分。然而,今天的互联网环境已经与40多年前大不相同,互联网逐渐显露出诸多不适,比如IP地址不足、安全性不够等,进而影响到了互联网进一步发展。为此,科学家们想出很多办法,特别是在架构层次上,如研究人员提出的内容中心网络、作者中心网络等。值得一提的是,所有研究都围绕两个最为核心的问题—安全和性能。
内容中心网络:用名称识别内容
世界著名的计算机技术研究机构PARC(Palo Alto Research Center,帕克研究中心)正在进行一项关于未来的互联网架构的研究,即内容中心网络(Content-Centric Networking,CCN),该研究的目的是解决由于互联网的文件内容过于庞大(特别是多媒体内容)而导致传输越来越慢这个问题。其核心思想是改变以往根据内容的保存地址来识别和传输内容的方式,也就是放弃使用IP地址来识别存储内容的传统方式,而是使用文件名和URL来识别内容本身。
这一架构针对的是现存的网络架构存在的缺陷:即如果要从互联网上获得某个内容,就一定要和数据的保存地(服务器)进行直接连接,即使这个内容已经被某个用户下载到离我们很近的某个设备上亦然。这种方式不仅会浪费时间,更糟糕的是,如果服务器恰好此时宕机,就暂时无法获得这个信息了。过去由于互联网上传播的内容量不太大,这个问题还不十分明显,而如今,由于高清视频以及3D内容的出现,文件越来越大,几十个GB的文件在互联网上并不少见,这些文件的下载给网络带来了很大负担。
内容中心网络的思路是让用户能读取离他最近地点的内容,从而改善网络性能。Van Jacobson是该项目的技术负责人,这位3年前的Cisco首席科学家来到PARC后一直主导着这项技术的研究工作。他说:“在互联网上已经有了很多EB级大小的文件,而IP网络不是为这样的内容而设计的。未来的P2P网、内容分发网络、虚拟服务器和存储都必须根据这一现实进行调整。”
在CCN架构中,电影、文件或电子邮件等内容将拥有一个结构化的名称以方便用户搜索和检索。内容都有自己的名称,而没有位置,所以用户能够找到最近的一份拷贝。在实际操作中,用户无需告诉网络他想联到哪个服务器,而只需告诉网络自己想要的内容。网络会广播给本网络内所有机器,查看是否有用户需要的内容,然后做出响应。这与BitTorrent有些类似,不过规模要大得多。
“比如说,你想看纽约时报,你看到的可能来自任何一个保存有这个内容的电脑。”Jacobson说,这种解决方案更为安全,因为终端用户可以决定他们希望收到的内容,而不会再收到一堆他们不想要的垃圾信息。“在这种模式下,信任来自数据自身,而不再是来自存储数据的电脑。
Jacobson认为CCN更适合今天需要复杂中间件的应用,而且更容易应对突发性的下载(如同时下载某个多媒体文件)。另外,CCN不仅能给公用的互联网带来改进,而且也能给局域网带来性能上的改进。比如,在CCN中你不再需要分别建立三个连接来完成你的PC、笔记本电脑和手机上的日程安排同步,每个设备都可以给其他设备发送一个请求,查询日程安全是否有更新。
Jacobson计划先把CCN网架构在现有的网络架构之上,最终他希望彻底取代现有的网络,从根本上改变计算机在包级别上的通信方式。
作者中心网络:减少内容“污染”
格雷诺布尔(Grenoble)的法国计算机科学及自动化研究所(INRIA)的研究人员也正在研究一种互联网架构—作者中心网络(Owner-Centric Networking,OCN),这种互联网架构的目标是防止数据被随意修改,同时加强互联网的隐私保护。
研究人员之所以提出这种想法是因为今天互联网上的内容(文档、邮件、图片、视频等)实际上是没有保护的,常常被不同的人拷贝到互联网的很多不同地方,既浪费宝贵的存储空间,而且一旦内容被发布到网上,作者就马上失去了对内容的控制。
造成这一问题的根源在于互联网永远不会失去“记忆”。一旦 信息公开,从理论上说,它就会永远保存下去。同时,现有的互联网架构对内容的复制没有任何限制,也没有给内容作者合适的办法让他们删除或者修改自己发布在互联网上的内容,特别是一旦别人转帖之后,作者根本就不知道这些内容传播到哪里了。这就带了很多与隐私有关的问题,比如,有人可能未经作者的同意收集他们的信息—企业主利用社交网站(如Facebook)监视自己的雇员。
法国计算机科学及自动化研究所的研究人员认为,未来的互联网应该给内容的作者以充分的自主权,作者应该可以检索他们之前张贴到互联网上的内容、收回这些内容或者修改它们,换而言之,互联网应该能够正确地“遗忘”。
而到目前为止,关于互联网的架构设计中几乎没有涉及这个问题。有些可能还会加剧这个问题,比如,内容中心网络(CCN)在某种程度上就会加剧内容的“污染”问题,因为CCN把关注点落到内容本身而不是保存内容的地址,内容不仅可能保存在作者原来发布的服务器上,而且可以保存在其他很多地方。结果,更加剧了内容传播的速度,让作者更没有办法控制这些内容或者甚至根本就不知道这些内容传播到哪里。法国计算机科学及自动化研究所的研究人员认为,如果能与作者中心网络相结合,内容中心网络可能会是一个更有吸引力的办法。作者中心网络由两个步骤构成:
第一步是内容的分发和控制。与CCN一样,内容阅读者可以看到他们感兴趣的内容,但与CCN不同,这些内容保存或者缓存在作者可以控制的地方,这样作者可以很容易地检索到。这些存储地点当然会考虑阅读者的需求,但内容一定都在作者的控制之中。也就是说,无论这些内容保存在哪里,一旦需要作者可以对之进行添加和修改甚至收回。就像放风筝一样,无论它飞多远,放风筝的人手中都会攥有一根线,任何时候都可以收回“风筝”。
第二步是内容的访问。用户如果需要访问某一内容,它不能下载(除非是作者),而只能通过一个授权链接访问。与今天的用户可以很随意地把内容保存在本地机上不同,作者中心网络中,用户所能保存的只是一个链接而已,就像一个只有链接的邮件一样,收件人要阅读的实际内容保存在其他的地方,同样,一个聊天记录也只是保存有指向保存聊天实际记录的链接。
XIA:可演化发展的互联网架构 篇4
XIA在保留了目前互联网一些关键功能, 如互联网成功的“窄腰”设计, 但它在以下三个方面有着独特的优势:
第一, 互联网体系结构和协议只对主机到主机的通信进行优化, 而XI-A支持多种方式的通信。
第二, 目前互联网“窄腰”是固定的, 但支持XIA的主体类型可随着时间的推移而扩展。
第三, XIA保证了特定主机在通讯中的内在安全性。在不需要访问外部数据库、信息或配置的前提下, 确保能跟正确的对象通讯。
XIA的三大支柱
1、主体
与基于IP的互联网相比, XIA可通过使用主要类型来加强应用程序和网络之间的“协议”。应用程序可以使用不同的主要类型来直接表达他们想使用的特定网络功能的目的。各主要类型定义了自己的协议, 指示路由器用主要类型的方式处理数据包。XIA支持开放式的主要类型, 从经常用的 (“主机”) 到那些当前研究流行的 (“内容”或“服务”) 。新的应用程序或协议可能会任意定义一个新的主要类型, 并使用这个新的主要类型让他们的数据包能随时找到目的地和来源。
2、备用选项
XIA的一个关键目标是使其能够无缝地引入新的功能, 同时避免“自展问题”。经验表明, 在要求应用程序使用新的数据格式的方式下配置新功能, 这需要主机栈对它进行适当处理, 并要求所有的网络路由器依据这个新的信息来转发数据包。要在相同的时间内完成这些操作是不可行的。在XIA, 网络架构有一个内置机制, 使新的功能分段地配置, 而关键的挑战是如何才能使一个传统的路由器处理新的而且是未能识别的主体类型。XIA引进一个概念———备用选项。当路由器不能对初始通讯目的进行操作时, 备用选项就可以允许通讯的各方制定一个可选的行为来继续进行。
3、内部安全标识符
众所周知, 网络地址 (IP) 难以确保安全性的其中一个主要原因是, 安全性并非优先设计考虑的因素。XIA的一个关键目标是尽可能地在不影响表达的情况下, 构建核心架构的安全性。为了满足这些要求, 我们要求在XIA的源和目标标识符是内在安全的, 也就是说, 要在一个主要的特定类型中的相关联通性实体内进行加密。这允许通信实体能够更准确地确定其传输的安全性和完整性。例如, 基于主机的通信的关键要求是在各自主机进行身份验证, 然而在内容检索中则是要确保所获得数据的完整性和有效性。XIA中的主机标识符是主机公钥的哈希值, 在AIP (Accountable Internet Protocol, 可解释的互联网协议) 中, 内容标识符则是内容的哈希值。这有助于确保端点和路由器之间的协议的达成。
多个主要类型的表达
要定义XIA与网络之间独特的“协议”, 每个类型的主体必须定义下面几点:
1、与该主要类型通讯时的语义;
2、独特的XIA标识符 (XID) 类型和生成XID和把这些XID映射到任何通信的内部安全属性里面的方法。
3、任何主要类型特定的跳转处理和必须协调一致的数据包的路由选择。
第一个定义帮助定义与特定主体的类型相关的通讯目的。一般而言, 当一个新的沟通方式或模式在现有类型下不能高效表达时, 考虑增加一个新的主要类型是有意义的。例如, 无论是主机还是内容主体, 都不可能是非常合适地表达在地域内与所有节点进行通讯的愿望, 因此, 需要定义一个“地域性群播”的主要类型来满足这个通讯需要。
第二个定义是用来在网络运行时生成内在安全地址。我们把内在安全性定义为不依靠外部信息也能验证特定类型的安全属性。因此, XID是来自与某些加密方法下的相关主体, 例如, 使用主体公共密钥的哈希值或内容的哈希值。这样就可以验证一个主要类型所支持的每个操作。
第三个定义提出了用于处理特定类型的网络内优化的正确性的要求。许多网络内优化可以在每个路由器进行本地化处理。在这种情况下, 只要它满足主要类型相关联的语义, 每个路由器都可以自主处理数据包。这种类型处理的例子有网络内的内容高速缓存和对“任播”的支持等。
支持演化发展
XIA必须为新功能的增量部署进行铺路。否则, 网络很难演变, 可表达性也被限制在已有的主要类型中。
XIA支持新的主要类型增量部署的方法是通过一个备用的概念来实现的。当应用所表达的意图不被系统所理解时, 该应用程序要求指定可替代的、备用的方式来实现这个目的。例如, 当使用内容标识符检索内容时 (如图1 (a) ) , 主机标识符可以被当作备用选项。接收这个数据包的路由器将首先尝试根据主要目的 (内容标识符) 来操作, 但是如果他们不支持主要内容类型, 或者不知道内容标识符的路径, 这时就会根据主机标识符进行返回。当本地域名支持这个内容主要类型, 它可能会为内容的传递提供网络内优化。在图1 (b) 中, 通过理解在路由器层面的内容请求, 它可以服务直接来自本地网络内的高速缓存请求。
获取备用选项:虽然获取XIA备用选项可以被看作是终端主机或应用程序的附加工作, 但是在实践中, 它可以通过应用程序, 与名称解析或其它机制一起来完成。例如, 一个名称服务器可以提供备用主机来服务。这些备用主机由最初注册服务名称的服务提供商提供。同样地, Web服务器既提供内容标识符, 也可以提供一个备用的主机或使内容可以被重新检索的服务。这个过程不会比现在的基于主机的通信需要更多的记录。因此, 在大多数情况下, 我们认为获取和维护备用信息的成本是很低的, 但进一步推动这一进程需要进一步研究。
备用信息的编码:进行编码前, 列出几个把多个标识符编码到XIA数据包报头的选项。其中一个数据包报头中表示备用的方法, 是把备用信息进行编码列成多个目的地址字段, 作为一个可选的目的地 (图2 (a) ) 。另外一个方法是, 把表示原有目的和后备标识符的有向非环图进行编码, 作为可选的路径 (图2 (b) ) 。
案例分析
1、支持移动性和应急处理
现今的互联网所提供的服务, 要求网络的两个终端都必须要同时连接到互联网来进行有效的通信。这对应用程序来说是具有局限性的, 因为网络中断在移动场景中是很常见的。与互联网不同的是, 像DTN (delay-tolerant network, 延迟容忍网络) 这种网络架构它能处理中断, 但它不能在两端点连接的情况下进行优化。由于存在着复杂的跳转行为, 如存储交接, 即使在良好的连通性下DTN也只能进行次优的处理。
在XIA中, 我们可以通过将主机的主要类型和服务的主要类型相结合来解决这一问题, 假设有一项DTN“服务”:当移动主机从网络上断开后暂时存储数据, 等重新连接后再次传输数据。订阅了这项服务手机用户可以在网络连接的情况下使用, 但可能由于通信路径的原因, 如不走直线路径而取得次优的性能。此外, 该服务也可能会根据为用户存储的流量收取费用。因此, 移动主机更希望在网络断开时使用这项服务。
XIA支持这样的解决方案:通过对主要目的和备用选项的选择, 可以在正常情况下使用基于主机的通信, 在通信间断时使用基于服务的通信。发往移动主机的数据包会将移动主机的标识符作为主要目的, 将DTN服务的标识符作为备用选项。如果主机无法连接网络, 那么它会使用备用数据包并把这个数据包发送到DTN服务。一旦移动主机再次连接, 它可以采用PUSH/PULL机制来重新接收来自DTN服务的数据包。
该处理方式对于两个移动终端的通信 (例如, 两个移动用户之间的直接会话) 其效果是极其明显的。当今的互联网限制了只有当两个终端都在同一时间连接到网络时才能通信。但是, XIA就能在直接会话和当一终端断开时类似电子邮件通信这两种模式之间进行无缝切换。
2、无缝组播
组播为减少一对多或多对一的通信带宽提供了一种有效的机制。然而, 目前由于本地组播已经在本地网络和跨区域进行了部署, 广域组播则由于可扩展性、配置费用、网络管理等原因没有被广泛采用。取而代之的是基于叠加层的解决方案, 如终端系统组播, 它规避了上述原因在广域网环境中被广泛配置。但在这些基于主机的通信中实现多播功能最终会产生巨大的系统开销, 如会员管理, 叠加网络的建设和维护, 组播在核心网到终端系统的发送等产生的开销。
XIA使组播应用程序能够轻松地平衡不同的安装应用和部分组播配置, 包括本地组播。第一个关键点是, 在XIA中组播目的 (为了简单化, 其专注于单点对多点的传播) 可以用一个带有组播会话的新的主要类型来表达。这个新的主要类型表达能够在本地不支持组播的情况下切换到基于服务的组播, 使组播的有限配置发挥充分的作用。这可以通过指定组播地址作为主要目的, 组播服务识别符作为备用选项来实现。当本地组播在一个网域中出现, 那些在网域内的参与者将受到本地组播的服务。
另一个关键点是, 当一个带有组播目的的数据包到达不支持此主要类型的网络时, 这个数据包就被退回到组播服务的处理器, 确保数据包被传递到所有收件人或邻近网域。XIA能够轻松构建一个基于服务的混合的组播系统和本地组播支持的网络平台。这也是通过指定组播地址作为主要目的, 指定一个组播服务标识符作为备用选项来实现。组播服务通过到达每个子网络的路径往下分发数据包, 其中一些会直接分配到组播网络的根节点。
总结
XIA架构的设计始于一个前提, 即如今互联网受限于IP地址下默认协议的专一性和固定性, 特别是基于主机的寻址、开放式信任假设和缺乏安全保障等缺陷。XIA架构是建立在内部安全原则的概念上, 该概念允许应用程序正式表达通讯目的, 并确保其目的正确实现。由于随着时间的发展引进新的主要类型的能力不断提高, 人们更清晰地认识架构发展的关键需求, 并通过在增量配置中使用备用选项满足这些需求。安全内容的检索、中断容忍通信和组播, 是体现XIA架构价值的代表性例子。
参考文献
互联架构 篇5
关键词:校本研修;多元路径;多样形式;在线教研
“乡村中小学教师是乡村教育的砥柱,其能力素质决定着乡村教育的水平”[1],而校本研修显然是提升乡村教师能力素质的重要机制之一。问题是,相对于研修资源丰富、研修条件便利的城区学校而言,地处偏远的乡村中学在开展校本研修时,一直来受诸多“无奈”的客观因素制约。乡村中学的师资力量相对比较薄弱,教研组的校本研修,往往处于一种“关起门来‘萝卜炒萝卜,端出来还是一盘萝卜’”的低层次重复现象。即使有机会外出参加课堂观摩或研讨活动,也往往由于一方面要“折腾”课务安排,另一方面也由于往返行程远而每次都得多耽误时间。所以结果往往是,疲于奔路,耗时耗力却收效甚微。
相对于其他学科而言,英语学科开展校本研修有一定的学科特点。比如,在文化上,英语教师应该“具有深厚的文化知识沉淀”,除了英语学科知识、相关的学科知识外,还特别需要多元文化知识,既要了解国外文化,又要提高自身本国文化的修养,并把两种文化做对比分析。又如,在专业能力上,英语教师必须具备较高的听、说、读、写能力,用流利的英语组织课堂教学的能力,培养学生用英语交流和跨文化交际的能力。因而,在一定意义上说,中学英语教师专业发展理应贯穿整个职业生涯,研修的时空更需要走向广阔性。因此,笔者认为,从英语学科的特点出发,可以尝试“无时间边界,无地域边界”的校本研修,即借助互联网的优势,突破乡村中学由于“路途远、资金缺、师资弱”等客观因素制约开展校本研修的局限,重构一种“灵活、便捷、自主”的乡村中学英语校本研修新机制。
一、乡村中学英语校本研修新机制
在立足校情、师情等本土特点的基础上,设计与推进“互联网+”背景下乡村中学英语校本研修新机制,重构一种“互联网+”大数据环境下的“跨越时空,优质研修资源共享,互动便捷”的全新模式。
(一)多元路径
随着信息技术的普及,乡村中学英语学科教研组可充分利用网络的优势与便捷,开辟多种路径的“在线式”研修平台,而且可不断实现技术更新:QQ群、校讯通、博客群、微信群,如此,确保网络在线研修技术及沟通路径也与时俱进。如图1为某乡村中学英语教研组构建的由不同相关微信群、微信朋友圈组成的微信圈。
上述这个微信圈,是以本校英语教研组长微信群为轴心,由不同相关微信群、微信朋友圈组成,微信圈里的各个群或朋友圈既相对独立,也相互交叉,其特点在于,可借助教研组长微信群这个核心轴,形成一个即便不走出校门,也可随时、随地便能实现教研动态或信息的及时交流与分享。
这样的“在线教研”突破了地域限制,定时间、定人员、不定地点,以实时交互(语音和文字)的方式形成了专家和基层教师之间以及校际之间交流的多向性,打破传统教研单向交流的方式。
此外,学校网站还可增设英语教师博客、个人网站,英语教师之间也可组建QQ群,方便本校英语教师能够便捷地交流读书感悟、教学经验及教学疑惑,等等。教师们在博客中可以记录教学经历、工作思考以及生活感悟等。不仅如此,还可利用这个平台与众多志同道合的人进行互动交流,共同成长。
(二)多样形式
设计多样化形式的在线校本研修,其目的是解决研修活动形式单一的问题,提高教师的综合能力。为此,我们可以在充分考虑学科特点、区域教研动态、校本资源等因素的基础上,开展以下多样形式的在线教研(见图2)。
“‘微视频’是近年来随着教育信息技术发展而形成的课堂教学改革的一个热点”[2],乡村中学英语校本研修开展的“微视频研讨”,主要基于教材或教学中的难点、重点,教研组全体成员一起参与微课的“脚本”设计及微视频制作。或发动教研组团队力量,探寻、筛选已有的他人成功微课资源,然后上传到QQ群里,以达到资源共享的目的。
磨课、研课:组内同行若参与或承担各级各类公开课、示范课、赛课等任务时,英语教研组团队参与全程的教学设计、修改及现场的磨课活动。
观点分享:立足当前英语教学的发展态势,立足乡村中学的实际,组内同行开展一些观点交流和分享,“观点越辨越明朗”,借“观点分享”以求进一步明晰乡村中学英语的课改方向。
名师工作室:委派优秀的英语骨干教师参加不同层次的名师、特级教师工作室活动,以此培育乡村中学英语的领头雁。
电子备课:乡村中学英语教研组可以开展灵活多样的备课改革,努力让一线英语教师从繁重、机械的传统备课模式中解放出来,以此获得更有意义的学习和研究。电子备课基本操作思路是:一年以内教龄的教师必须是纸质备课,一年及以上教龄的英语教师日常备课采用电子备课,次年可以按生情的变化,在电子课件上做修正。同时,对年轻教师每学期必须按执教区(县)级公开课的标准,要求设计3节左右的经典教学方案。
由上足见,多样化形式的校本研修,在根本上突破了传统的乡村中学英语研修由于形式单调所造成的沉闷气息,替而代之的是,乡村中学英语校本研修活动越来越焕发出活力和创新力。
二、乡村中学英语校本“在线式”校本研修实例
下面,以某乡村中学英语教研组某次在线式校本研修活动为例,介绍如何开展在线校本研修。
(一)主题:“优化衔接,提升学力”
该中学是一所完全中学,既有初中,也有高中,如何优化初中、高中的学科教学衔接,一直是该中学校本研修探讨的重点。为此,英语教研组开展了一次主题为“优化衔接,提升学力”的在线式校本研修活动。
(二)途径:QQ群、微信群、博客
(三)形式:微视频研讨
(四)活动准备
1. 制作由初三、高一英语教师执教的完整示范课各一节。2. 截取这两堂课中聚焦于衔接的“教材内容”“教学方法”“学力提升”等微视频若干。3. 约请县、市、省三级英语教研员在线参与互动。
(五)时间:从启动到结束约两周左右
(六)研修过程
第一阶段:校本交流——相约QQ群。以该校英语教师为主,约定一个时间,在QQ群里展开评课活动。先由执教教师阐述教学设计的框架与构想。随后,群内教师各抒己见,围绕“优化衔接,提升学力”畅谈这两堂课的闪光点与不足之处。最后由教研组长梳理各教师的跟帖,整理重点问题,供下一步深入讨论。
第二阶段:专家互动——相约微信群。以该校英语组为核心在微信上发布讨论的话题,同时邀请县英语教研大组成员,县、市、省三级英语教研员作为“特邀在线嘉宾”参与微信群的主题评课。该校英语教师利用课余时间,随时与教研员进行跟帖交流观点或看法,与专家或名师进行在线深入研讨。
第三阶段:观点共享——相约博客群。英语教研组长汇总教师的跟帖和专家的意见,整理若干条改进建议并发布在博客群,实现观点共享。
实践证明,在“互联网+”环境下,重建乡村中学英语的校本研修新机制,无论从深度还是广度,都足以使教师们的教学理念、专业技术获得显著的提升。
乡村中学英语校本研修在探索及实践“在线式”教研后,不仅盘活了整体的教研格局,一改之前乏味、沉闷的景象;而且也激活了乡村中学英语教师自主、高效参与校本研修的内在需求与活力,使得整个英语教研组团队开创了前所未有的全新气象,也焕发出了教研的蓬勃朝气。主要突出了三大具体成效:一是突破时空限制,变局部交流为广泛研讨;二是共享教研智慧,变独学无友为合作研讨;三是促进自我反思,变被动接受为自觉研讨。
乡村中学英语校本研修“因时,因地,因人”的设计与开展在线式教研,开创了一个“开放、灵活、便捷”的充满活力的全新教研格局。但这并不否认从此可以摒弃传统的“现场教研”,恰恰相反的是,“在线教研”与“现场教研”两者之间应该努力寻求“优势互补”,旨在为乡村中学英语教师的专业成长以及提升职业幸福感共同创建一个最为优质的研修环境。
参考文献:
[1] 孙兴华,马云鹏.乡村教师能力素质提升的检视与思考[J].教育研究,2015(5):105.
互联架构 篇6
随着2009年1月中国3G牌照的发放,中国的移动互联网发展进入了一个全新的阶段,制约人们选择手机上网的最大两个问题“上网速度太慢”和“上网资费太贵”可以得到缓解。在3G环境下,原本奢侈的手机视频应用自然而然容易被用户所接受。据统计,截至2009年6月底,只有8%的手机网民使用“手机电视”,但有39.2%未来可能使用3G的手机网民愿意使用“手机电视”[1],说明目前存在大量的手机视频的潜在客户将随着3G的普及成为真实客户。手机视频应用具有良好的市场前景。
但是,互联网上的视频大多是面向固定宽带接入的PC机用户。这些视频的码率大都在200kbps以上,甚至在一些专为宽带用户在线观看的视频的码率超过了1Mbps。虽然3G极大增加了手机用户接入互联网的带宽,但3G手机的带宽一方面仍然相对有限,另一方面受环境影响变化大,不稳定,直接观看这些互联网上的视频会导致较差的用户体验。此外,由于手机屏幕分辨率相对PC机屏幕较低,过高分辨率的视频直接传输给手机用户无疑会造成带宽浪费,增加用户的使用成本。因此,研究针对移动互联网的视频传输优化解决方案,既能为网络运营商减轻网络压力,又能减少用户网络费用,还可以提高用户观看视频的流畅度,对3G移动互联网的视频应用推广具有重大意义。
互联网上的视频传输控制的研究,主要集中在服务器端与客户端上,服务器通过客户端传递的反馈信息来判断网络的拥塞程度,从而调整发送速度[2],或者改变码率[3],甚至同时从链路层、传输层和应用层多个层面同时采取优化手段[4],以适应当前的网络状况。总的说来,这些方法需要视频服务器和客户端播放器的同时配合才能达到效果,对运营商的现网环境和普通用户而言,具有较大的操作难度。本文提出了一套服务于运营商的、基于现网结构的移动互联网视频传输优化架构。该架构通过一个四层的负载均衡器接入现网的核心交换机中,将对互联网主流视频网站的视频请求以及相应的响应进行重定向,进入该传输优化架构,实现透明代理。该架构中的视频压缩服务模块可以提供视频流的实时压缩功能,将视频码率降低以减小接入网的负载,也使得用户在移动网络带宽不足的情况下尽可能流畅地观看视频;视频缓存服务模块可以将压缩好后的视频进行保留,用于将来响应针对同一视频的用户请求,既减小了运营商的骨干网负载,也降低了视频压缩服务模块的压力。在模拟环境下的实验结果表明,该视频传输优化架构可以显著减少接入网上和骨干网上的视频流量,而平均用户响应延时的增加在相对可以承受的范围内。
1 系统架构
移动终端接入互联网的方式通常是移动终端首先与附近的基站建立无线通信链路,基站与基站控制设备BSC(Base Station Controller)连接,再通过分组控制功能PCF(Packet Control Function)连接到分组数据服务节点PDSN(Packet Data Serving Node),然后接入核心交换机,穿过防火墙后由接入路由器接入互联网,如图1所示。
现在,我们将一个四层的负载均衡器加在核心交换机上,通过配置该负载均衡器,将对特定端口的用户请求重定向到视频加速服务器中。当前互联网上的视频基本上是通过HTTP协议进行传输,如优酷、土豆等这些知名视频服务网站。所使用的端口除了常规的80端口外,还会有9205等特殊端口。由于80端口的传输还会包含常规的网页浏览,因此视频缓存模块需要对URL进行判断,符合指定规则的URL请求可以进入视频传输优化的处理流程,否则进入常规的网络处理流程。
由于视频压缩的计算复杂度较高,通常需要部署多台视频加速服务器以实现较高的系统并发能力,负载均衡器可以将用户请求轮流重定向到其中的一台加速服务器上。此外,多台加速服务器也可以增强系统整体的鲁棒性,减小单点故障对系统的影响。
2 视频缓存
视频缓存模块可以暂时保留经过压缩后的用户访问较多的视频文件,用户可以直接访问保留在缓存中的视频而不必耗费计算资源和网络资源将视频网站上的视频文件再获取并压缩一遍,有效地减少运营商骨干网上的视频流量和视频压缩模块的压力。
本文在一个主流的开源代理软件Squid[5]基础上搭建视频缓存模块,通过对Squid进行配置并编写特定子模块来实现视频缓存功能。模块架构图如图2所示。
其中,客户端通讯负责接收用户的视频请求,并将从缓存管理器中得到的视频传输给用户;服务器端通讯根据视频请求去获取视频,这里的“服务器”一般情况下是视频压缩模块,但当视频压缩模块出现故障或负载过高无法连接时,为保证不使用户请求中断,需要直连视频网站的服务器;视频网站通常会把同一个视频文件分发到多台服务器上以实现负载均衡和网络优化,因此对同一个视频的请求往往会产生不同的URL,而缓存管理器需要根据URL来判断是否访问同一内容,为避免同一内容的视频因为URL不同而被压缩、缓存多次,我们编写了“URL重写”子模块,针对几大视频网站的视频请求URL的特征,找到其中可以唯一标识视频文件的部分,将同一视频文件的不同URL重写为同一个;缓存管理器根据URL来判断视频是否在缓存中,如果在则返回缓存中的视频,否则通过“服务器端通信”子模块去获取,并更新缓存。
2.1 URL重写
URL重写的流程如图3所示:当用户请求的URL信息传进来时,利用正则表达式分析URL的模式,可以判断出这条URL是否是可以识别的视频请求URL,如果不是则不做修改,否则根据URL的特定模式(优酷网、土豆网的视频请求有各自特定的模式)抽取出表示视频ID的那部分,利用ID在“可用URL库”(是视频ID和URL之间的一一映射集合)中进行查找,如果找到对应的URL,则将找到的URL替换原始的URL,使得缓存可以命中,否则不修改原始URL。
“可用URL库”在系统启动时创建,并在运行过程中不断进行更新维护,如图4所示。缓存管理器中的缓存库存有URL和它对应的内容,在系统启动时可以通过分析URL的模式,选择已知类型的视频请求URL,抽取其中的视频ID,建立起它和URL的一一映射关系,形成初始的“可用URL库”。在系统运行过程中,缓存库的内容可能会被更新,因此需要实时监控缓存库的变化:如果有视频被移出,则相应地删除“可用URL库”中对应的URL;如果有视频加入缓存库,则相应地添加URL。
2.2 缓存管理
本文使用了开源代理软件Squid来搭建视频缓存模块。Squid本身提供了比较丰富的配置方法来实现缓存管理。
首先,最基本的是设置缓存的写入机制、写入地址以及存储上限等,配置如下:
cache_dir aufs /var/cache 200000 16 256
表示采用异步线程写入机制(以减小磁盘阻塞带来的延时),并在/var/cache路径下建立缓存的存储结构,上限是200 000MB,约200GB,缓存的存储结构是两级目录式,第一级的目录数为16个,第二级为256个。
其次是缓存置换策略的配置。Squid的默认置换策略是“最近最少被使用”(LRU),这种策略在一些通用的缓存代理上是适用的,但是视频缓存不仅要考虑命中率的问题,更主要是要考虑“字节命中率”。比如说在缓存中有一段大小为20MB的视频,它的命中率只有1%;另有一段大小为5MB的视频,它的命中率有2%,比前者整整高出一倍。按照通用的以命中率为优化原则的缓存置换策略,会将20MB的视频优先移出缓存。然而该文件一旦被命中,则可以为主干网节约20MB的流量,远多于另外一段视频。将视频大小乘上命中率,可以得到主干网络流量减少的期望值,以此为优化目标(即提高缓存的字节命中率),更符合系统的需求,因此本文中采用的是以字节命中率为优化目标的缓存置换策略:heap LFUDA(Least Frequently Used with Dynamic Aging)。配置方法如下:
cache_replacement_policy heap LFUDA
缓存除了可以存储在磁盘上,还可以存储在内存中以获得更高的响应速度。相应的配置有:
cache_mem 1800 MB
maximum_object_size_in_memory 10 MB
分别表示最多用1800MB的内存来缓存,可以缓存在内存中的文件大小最大为10MB。根据互联网热门视频以短视频为主的特点,10MB足以存储一般的经过本系统压缩的互联网短视频(大约不超过10分钟)。
最后,由于很多互联网用户在观看视频时会在视频文件传输完成前提前结束观看。如果传输已经进行了很大一部分,那么中断传输并中止这段视频进入缓存是很可惜的,很有可能会造成这段视频的重复传输和压缩,浪费网络资源和计算资源。我们可以通过如下配置,减少这种情况带来的损失:
quick_abort_pct 85
表示如果传输已经进行了85%后用户中止了请求,Squid仍然会把这个请求继续并完成传输,以便该资源完整地保存下来并进入缓存库。
3 视频压缩
当前互联网视频服务网站提供的视频码率基本在250kbps以上,清晰度较高一些的视频可以达到500kbps~600kbps以上。虽然3G条件下接入带宽可以达到384kbps以上,但是由于网络条件受环境影响变化很大,如在某些地方基站信号覆盖较差或强度较弱,或者高速运动时,因此要保证移动终端流畅地观看这些高码率视频,必须对视频进行压缩,减小码率以适应接入端的带宽情况。另外,移动终端的屏幕尺寸和分辨率通常比PC终端要小,过高的视频分辨率对小屏幕、低分辨率的移动终端而言,是一种资源的浪费,在视频压缩的过程中,可以适当降低视频分辨率,也有利于视频码率的降低,为用户节约网络流量,并减轻运营商的接入端网络负载。
视频压缩模块的结构如图5所示。当视频请求从视频缓存模块发过来后,经过任务调度(因为视频压缩任务比较消耗计算资源),把请求发给视频服务器,然后可以得到原始的未压缩的视频,原始视频进入视频压缩子模块开始实时压缩,压缩好的视频再回传给视频缓存模块。图中的“客户端通信”子模块是与图2中的“服务器端通信”子模块进行通信,对于视频压缩模块而言,缓存模块是它的客户端;反之亦然。当然,如前文所述,如果视频压缩模块负载过高或者出现故障,视频缓存模块中的“服务器端通信”子模块会与视频服务器直接通信,获取未压缩的视频以保证持续提供网络服务。
视频缓存与视频压缩模块之间采用ICAP(Internet Content Adaption Protocol)协议[6]进行通信。该协议是一个类HTTP的轻量级协议,可以将透明网关对用户访问的Internet内容进行病毒扫描、内容过滤和适配等应用过程进行标准化。在本文中,仅将它用于视频适配过程的规范化。
ICAP的基本架构是Client/Server模式的,客户端位于视频缓存模块,服务器端位于视频压缩模块。我们采用Squid搭建的视频缓存模块,支持ICAP的客户端功能。在ICAP服务器端,我们采用C-ICAP这个开源软件来搭建视频压缩模块的框架。
视频压缩子模块是在这个框架下,基于开源的FFMpeg实现的。从服务器端得到原始视频流后,视频压缩子模块启动FFMpeg转码进程,设置好输入、输出以及转码参数。由于涉及进程间通讯,我们通过命名管道,将原始视频通过一个输入管道传给FFMpeg转码进程,并从一个输出管道将FFMpeg输出的压缩后视频流取出,交给客户端通讯子模块返回给视频缓存模块。
当前互联网视频的主流封装格式为FLV和MP4,视频编码格式基本上是H.264,压缩子模块在启动FFMpeg转码进程前,需要对原始视频的封装格式进行解析,保证压缩后的视频也是采用同种的封装格式,从而保证客户端播放器可以正常播放。
4 实验结果
为了测量本文提出的视频传输优化架构的性能,我们搭建了一个模拟环境进行实验,得到相关的实验结果。
如图6所示,测试终端是一台普通PC机,与视频加速服务器处在一个局域网内,在测试终端上将浏览器代理设置为视频加速服务器的地址,以模拟负载均衡器的作用。测试终端上还装有测试监控程序,该程序一方面模拟用户行为在视频网站上点击打开含有视频的网页,另一方面在后台监控浏览器发出的视频请求时间和接收到的响应时间,计算出时间差Δt。
在视频加速服务器上,也有相应的网络流量监测工具,监测该服务器的网络流入与流出的数据量,分别记为Ti与To。在该模拟环境下,可以认为Ti就是主干网上的数据量,To是接入网上的数据量。
接下来,我们关闭视频加速(缓存+压缩)功能,测得平均的Δt、Ti和To作为基准数据;然后仅关闭视频压缩、但打开缓存功能,测得平均Δt、Ti和To进行比较;再完全打开视频加速功能,测得平均Δt、Ti和To。得到结果如表1所示。
由表1可以看出,视频缓存功能对用户延时基本可以忽略不计,且一旦缓存命中,就可以避免主干网上的重复访问,有效降低主干网网络流量,在我们的模拟实验中测试结果约为40%。视频压缩模块需要对视频内容进行一定的缓存,并且有一定的处理时间,这会明显增大延时,在实验中,延时增加了约2秒左右,对于用户体验有一定的影响,但是我们可以看到接入网的流量极大降低,减少了约55%,这意味着用户的接入带宽要求也相应降低了55%,流量费用同时也大幅降低。因此,相比对用户延时的适当增加,总体说来启动视频加速对用户而言还是利大于弊的。
5 结 语
本文提出了一套服务于运营商的、基于现网结构的移动互联网视频传输优化架构。该架构通过一个四层的负载均衡器接入现网的核心交换机中,将对互联网主流视频网站的视频请求以及相应的响应进行重定向,进入该传输优化架构,实现透明代理。该架构中的视频压缩服务模块可以提供视频流的实时压缩功能,将视频码率降低以减小接入网的负载,也使得用户在移动网络带宽不足的情况下尽可能流畅地观看视频;视频缓存服务模块可以将压缩好后的视频进行保留,用于将来响应针对同一视频的用户请求,既减小了运营商的骨干网负载,也降低了视频压缩服务模块的压力。在模拟环境下的实验结果表明,该视频传输优化架构可以显著减少接入网上和骨干网上的视频流量,而平均用户响应延时的增加在相对可以承受的范围内。
摘要:随着3G移动互联网的快速发展,在手机等移动终端上看视频成为一种日常应用。但互联网上的大部分视频对于移动用户而言,其码率相对较大,而且移动用户的可用带宽受环境影响变化大,不稳定,影响了用户观看视频的体验。提出一种针对移动互联网的视频传输优化解决方案的系统架构,该架构从缓存和压缩两个方面入手,通过缓存缓解运营商的骨干网流量压力,通过视频压缩降低视频码率以满足用户的实际接入带宽。该架构既为运营商节约了带宽、降低了运营成本,同时也保证用户观看视频的连续性,提高用户体验。
关键词:移动互联网,视频传输优化,缓存,视频压缩
参考文献
[1]中国互联网络信息中心.第24次中国互联网络发展状况统计报告[R/OL].http://www.cnnic.cn/uploadfiles/pdf/2009/7/16/125126.pdf.
[2]李红,沈未名.基于模糊逻辑的Internet视频流拥塞控制[J].计算机应用研究,2009(5).
[3]谢建国.基于预取的流视频带宽适应性传输算法[J].计算机研究与发展,2009(2).
[4]张芃,白光伟,靳勇,等.无线实时流媒体传输性能的跨层优化设计[J].计算机应用,2008(8).
[5]Duane Wessels.Squid:The Definitive Guide[M].California:O'ReillyMedia,2004.
互联架构 篇7
1 双核心架构的提出
全台网作为一个承载全台技术和业务平台的系统, 在理论知识和系统集成方面已日趋完善, 其基本的非编系统、媒资系统、播出系统等已日趋完善, 相关的规范也在较多的项目实践中逐渐统一[1,2,3]。但结合实际情况, 如何通过一个开放的、可扩展的框架来解决系统间的互联和必要交互关系所带来的业务流程, 怎样设计一个合适的全台网架构, 仍是全台网前期规划中一个亟待解决的问题。
一个完整的全台网, 应涵盖电视台的制、编、播、存、管等业务, 其典型架构如图1所示, 它包含了负责节目生产的新闻、制作等编辑系统, 负责互联交换的主干平台, 负责节目资料保存的媒体资产管理系统, 以及节目播出系统。这种架构实现了所有节目从生产制作到播出的全文件化流程, 但是由于节目生产制作系统有大量的外来资源, 其数据安全不能得到有效保证, 必须以走弯路的方式实现路由的通畅。一条节目从生产到播出, 其传输流程至少包括6个流程, 通过增加安全堡垒服务器和媒资在线作为缓冲, 来保证播出系统的安全。
这就带来以下两方面的问题:一是节目从生产制作系统提交到播出系统的时效性难以得到有效保证;二是大量的节目提交、文件备播等需求, 尤其是在高清逐步成为主流的情况下, 对系统的带宽造成极大的压力。
在这种情况下, 期望采用“分而治之”的数据分流规划手段来处理全台节目数据, 对全台节目业务进行重新整合。
2 双核心互联体系设计
对安徽广播电视台的播出节目内容进行了梳理和分析。根据梳理, 播出节目内容主要有自办直播节目、自办直播节目的重播、自办录播节目、电视剧、外购专题、广告等。通过分析可以看出:自办录播节目只占总播出量的不到20%, 而电视剧、外购专题、广告和重播节目占绝对比例。
同时, 笔者发现, 占播出量比例很大的电视剧、广告和外购专题等节目, 基本上为磁带上载经审片后直接提交播出系统, 或者经过简单剪辑后提交播出系统, 不需要深度加工, 无网络入侵和病毒安全问题。
因此, 将全台网系统架构设计成生产制作域和播出域两个核心, 如图2所示, 以适配安徽广播电视台电视系统的实际工作情况。
由图2所示, 虚线框内为全台制播网系统, 其架构被设计成为生产制作域和播出域两个核心。
生产制作域的核心业务是节目制作。域内有新闻、制作、中心媒资、收录、互联平台等, 业务流程完整, 自成一体。
播出域的核心业务是节目播出。域内有播控系统、影视剧缩编、广告串编、导视及宣传片制作、播出媒资, 播控系统内含备播互联平台, 整个域业务流程完整, 网络不依赖于其他系统, 同样自成一体。
无论生产制作域和播出域之间的网络是否连通, 都不影响全台的业务流程。生产制作域和播出域之间架设可靠的网络安全设备, 并且网络的连接采用了开关式设计, 如图3所示。播出部可根据网络安全情况方便地打开和关闭网络连接, 与之配套的流程、系统、软件也可以满足网络连接和网络断开两种情况, 网络连通时, 可以实现文件化送播, 断开时可以采用磁带送播, 避免发生因网络中断影响播出流程的情况, 业务流程灵活。
3 基于双核心架构的业务规划
基于双核心架构, 对全台的节目备播进行了梳理, 分为以下几个类型:
1) 外购节目 (包括电视剧、广告等)
这类节目由于不需要复杂编辑, 可以直接在播出域内上载并传送。如图2所示, 在播出域内设计了影视剧缩编、导视宣传片制作以及广告备播系统, 可满足这类节目的简单剪辑需求。同时, 播出域系统中还设计有播出媒资系统, 可满足这类节目的存储需求。由于设计在播出域中, 无网络入侵和病毒安全问题, 不需要特别的安全措施, 可采取宽路由方式提交至播出系统, 大大减轻了备播压力。
2) 自办节目
(1) 直播类节目
直播以信号方式送播。如果需要重播, 播出系统和节目部门各自回采, 如果重播时无需修改内容, 播出部可以直接播出其自行收录版本, 如果需要修改, 节目部门从制作域向播出域重新提交新版本 (文件送播或磁带送播) 。
(2) 录播类节目
文件化送播。播出域与生产制作域连通的流程如图4所示。
播出域与生产制作域断开的流程如图5所示。
如果安全能够保证, 使用文件送播;否则使用磁带送播。
4 小结
在全台网架构设计上, 关于制作节目的网络化设计一直是重点和难点。对于这个问题, 笔者有如下分析:制作域节目网络化提交到播出系统, 在技术上是完全可以实现的, 在安全上也是可靠的, 但是从可用性角度分析, 存在以下问题:
1) 流程过于复杂;
2) 需要增设关于流程的技术岗位, 负责全流程监控, 并在流程中断时恢复, 并随时协调节目提交人重新提交;
3) 网络化流程提交所需时长在理论上就已经超过了磁带上下载, 实践上应该超过更多;
4) 数据安全、网络安全都远远没有磁带可靠, 而且即使网络提交, 也必须磁带备播, 那么制作域的工作包括磁带下载、节目打包、部分流程的监控和反馈等;
5) 基于安徽台现状, 制作域需要提交的节目占播出总量尚不足10%, 但为了这不到10%节目的安全, 系统的整体复杂度增加太多。
由此, 在新中心全台网设计中, 提出了双核心架构, 以安全、可靠、稳定为前提, 既满足目前实际业务需求, 也具有一定前瞻性。在系统建设中, 广泛采用前沿技术, 力争使系统成为一套安全、先进、高效的全高清化制播网。2013年10月22日系统上线以来, 运行稳定, 状况良好。系统的使用让安徽广播电视台的内容制播水平发展到一个全新的高度, 已助力安徽卫视高清频道顺利开播, 节目覆盖我国及周边40多个国家和地区, 收视人口超过30亿。系统的高标准建设, 将促进安徽台核心竞争力大幅提升, 实现各项业务的跨越式发展。
参考文献
[1]何宁, 席鲁江.全台网设计及主干平台实施[J].广播与电视技术, 2010 (2) :57-58.
[2]樊俊, 孙亚清.电视台全台网建设实践与探讨[J].电视技术, 2011, 35 (10) :39-42.
互联架构 篇8
1. 跨渠道服务需求
1.1 互联网渠道
微信公众号、支付宝服务窗、医院APP是最常见的互联网服务渠道和互联网入口, 它们有各自的特点, 适合开展不同类别的业务。医院在平台建设时通常会根据自身需求同时使用三个通道或者选择使用其中的一、二个渠道开展互联网服务。
1.1.1 微信公众号
微信公众号是企事业单位、组织、个人在微信公众服务平台上申请的应用账号, 账号所有者可以在微信平台上实现和特定群体的文字、图片、语音、视频全方位沟通和互动, 并通过二次开发构建微信微官网, 承载相关的微应用, 整合微支付、微推送等, 形成线上线下微信互动营销的开放应用平台。
微信公众号是“医院+互联网”平台面的主要互联网渠道, 其中微信订阅号/服务号可作为面向患者服务的承载渠道, 微信企业号可作为面向医护服务的承载渠道。技术上通过HTML5页面链接方式加载相关应用, 并通过微信SDK实现微支付、微消息等整合。
1.1.2 支付宝服务窗
支付宝服务窗是支付宝为企业、组织和个人提供的直达用户的服务平台, 入驻商户可以通过此平台对用户进行信息推送、交易场景打通和会员服务管理。支付宝服务窗拥有庞大的消费者群体, 在每个支付宝账户的背后, 有着信用卡、银行卡、余额宝、余额、消费者的线上消费习惯等, 提供优质的商品和线上服务。
支付宝服务窗也是“医院+互联网”平台的主要互联网渠道, 主要用以提供面向患者端的互联网服务, 技术上通过HTML5页面链接方式加载相关应用, 并通过支付宝SDK实现支付和消息等整合。
1.1.3 掌上医院APP
与微信公众号、支付宝服务窗等借助第三方互联网平台构建的服务渠道不同, 掌上医院APP完全由医院自主把控, 具备独立账户体系的独立互联网入口和通道。从技术实现角度, 掌上医院APP不再受限于微信或者支付宝SDK的接口限制, 可自主选择native或者HTML5的用户界面实现方式。
医院APP可设计成公众版、医护版等, 分别面向患者和医护群体提供差异化服务。
1.2 优缺点比较
微信公众号、支付宝服务窗、医院APP三种互联网服务渠道具备各自的特点, 适宜开展不同的业务, 三者优缺点比较如表1所示。
1.3 渠道融合
“医院+互联网”平台无论是使用微信公众号、支付宝服务窗还是医院APP作为服务渠道, 最终的目的都是为患者、医护等服务对象提供智慧便捷服务。平台在面向同一服务群体时, 设计合理的平台可实现跨服务渠道的信息共享和业务联动。
1.3.1 信息共享
平台的信息共享主要体现在为同一对象服务时, 不同的服务渠道提供的服务内容和信息应该是一致的和相同的。比如某患者在支付宝服务窗上查看到的已预约记录应该和微信公众号上的内容一致。
1.3.2 业务联动
业务联动主要体现在服务对象可跨渠道办理同一服务事项, 比如某患者通过微信公众号实现预约挂号后, 可以通过支付宝服务窗实现该次挂号的费用结算, 反之亦然。
2. 总体架构
“医院+互联网”平台在纵向层级由已建信息系统、基础服务、支撑服务、应用服务、服务渠道五个部分构成, 平台架构示意图如图1所示。
2.1 已建信息系统
已建信息系统由医院已建设运行, 并为平台提供IT服务的信息系统构成, 主要包括HIS、LIS、RIS、PACS、电子病历等。
2.2 基础服务
基础服务层通过数据库访问方式 (ODBC/JDBC) 访问已建信息系统的相关数据库, 并将相关业务逻辑封装成服务, 对外通过WEB SERVICE方式提供服务接口。
2.3 支撑服务
微信公众号、支付宝服务窗均通过各自的SDK提供了用户信息获取、用户认证、支付、消息机制、三方客服等相关的服务调用接口。这些SDK通常体现出微信公众号、支付宝服务窗的平台特性。医院APP中也包含类似的服务组件, 但并未封装为SDK仅提供医院APP的内部调用。
支撑服务层通过将微信SDK、支付宝SDK特性的抽象, 并综合考虑医院APP的需求, 封装成具备平台无关性的支撑服务, 供具体的业务应用调用。
2.4 应用服务
应用服务是具体应用功能模块的实现, 应用服务为微信公众号、支付宝服务窗、医院APP提供具体的服务内容和服务界面。应用服务的UI通常采用HTML5实现, 通过链接访问方式与微信公众号、支付宝服务窗、医院APP集成。
2.5 服务渠道
服务渠道由微信公众号、支付宝服务窗、医院APP等互联网服务渠道和互联网入口构成。平台通过不同的服务渠道为不同的客户群体提供服务。
3. 设计模式
“医院+互联网”平台架构的差异性主要体现在基础服务、支撑服务、应用服务三个架构层级的不同IT形态。各种系统架构形态可以归纳为独立系统架构模式、统一基础服务模式、统一支撑服务模式、统一应用服务模式等四种设计模式。不同的架构模式在平台的信息共享和业务联动上体现出差异化的特性。
3.1 独立系统架构模式
在独立系统架构模式的架构中, 基础服务层、支撑服务层和应用服务层是微信公众号、支付宝服务窗、医院APP三个系统的组成部分, 三个系统之间相互独立。微信公众号、支付宝服务窗、医院APP三个IT系统通过直接数据库访问方式来对接HIS等已建信息系统, 系统架构示意图如图2所示。
在微信公众号、支付宝服务窗、医院APP由多个厂家各自建设, 同时缺少统一规划的情况下, 平台架构易形成独立系统架构模式。在该架构模式下, 微信公众号、支付宝服务窗、医院APP完全独立, 优点是系统之间的耦合性比较小, 主要的缺点包括: (1) 微信公众号、支付宝服务窗、医院APP分别与已建业务系统对接, 相同功能重复对接和建设; (2) 在于系统之间信息难互联互通, 不能实现跨系统的业务联动; (3) 在微信公众号、支付宝服务窗、医院APP的同一功能升级需要独立安排, 系统更新和维护工作量大.
3.2 统一基础服务模式
通过封装已建信息系统的相关业务逻辑形成统一的基础服务层, 并以Web Service标准接口的方式与微信公众号、支付宝服务窗、医院APP实现对接, 统一基础服务的架构模式示意图如图3所示。
基础服务层实现了对医院已建系统的统一接口封装, 为医院的互联网应用的接入提供统一的和标准的接口。通过统一的基础服务, 微信公众号、支付宝服务窗、医院APP等应用可在一定程度上实现跨互联网渠道的信息共享和业务联动, 同时基础服务层的升级无需更改渠道应用, 有效的提升了系统的可维护性。
3.3 统一支撑服务模式
在统一的基础服务基础上将账户管理、用户认证、支付结算、消息推送等与第三方互联网平台相关的功能进行归纳和抽象, 并抽出第三方互联网平台实现无光的业务逻辑, 封装成支撑服务层, 面向微信公众号、支付宝服务窗、医院APP提供服务, 系统架构示意图如图4所示。
在统一支撑服务模式的架构支撑下, 技术平台以WEB服务方式为微信公众号、支付宝服务窗、医院APP等应用提供统一的账号管理、消息机制、支付逻辑等支撑服务, 可较好的实现跨互联网渠道的信息共享和业务联动, 同时基础服务层、支撑服务层的升级无需更改渠道应用, 有效的提升了系统的可维护性。
3.4 统一应用服务模式
在统一的支撑服务基础上, 将系统具体的应用功能用HTML5界面封装, 并同时链接到微信平台、支付宝服务窗、医院APP上, 形成统一的应用服务层, 同一应用服务模式的架构图如图5所示。
在统一支撑应用模式的架构支撑下, 可以为微信公众号、支付宝服务窗、医院APP等应用提供统一的应用服务功能和界面, 可最大程度实现微信公众号、支付宝服务窗、医院APP之间的信息共享和业务联动, 同时大幅降低系统升级和维护的工作量。
4. 建设实践
自2014年起, 本院采用统一基础服务模式的技术架构, 逐步完成了面向患者端的微信公众号系统、支付宝服务窗系统以及面向医护端的APP等系统建设, 形成统一的基础服务层以WEB服务对接面向各种互联网系统的架构格局, 取得了较好的应用效果。但另外一方面, 随着互联网服务的逐步深入, 尤其是微信公众号和支付宝服务窗在面向同一患者服务时暴露出账户不统一, 信息不一致等问题, 在界面上存在同一功能上界面风格不统一, 用户体验差的情况, 而在运行维护和系统升级存在升级维护工作量大的弊病。
基于上述情况, 2016年起本院以统一应用服务模式对微信公众号和支付宝服务窗系统进行重构和升级, 有效的解决存在的问题, 取得较好的应用效果。
参考文献
[1]陈伟.医院信息系统的安全管理[J].医学信息, 2007, 3 (4) :63-64.
[2]黄正东, 王光华, 肖飞, 等.医院信息网络系统安全管理的设计与应用[J].医疗设备信息, 2007, 22 (2) :28-30.
[3]马中立.医院信息化对医院现代化建设的作用[J].中华医院管理杂志, 2006, 22 (5) :350-351.
[4]程雄, 黄毅.城市公立医院运用互联网思维进行改革的实践[J].华西医学, 2016, 31 (10) :1766-1769.
互联架构 篇9
云计算技术是一种以互联网为载体的数据管理系统,它通过云端架设的服务器与数据池,使用户通过付费方式,将自己的设备连入云数据库,进行所需的信息搜索、下载和计算。由于它的运算能力几乎可以媲美现代大型计算机,达到10万亿次/秒,因此被广泛的用于原子能聚变模拟与信息产业中,但是由于我国在信息安全方面缺乏有效监管,和云计算系统本身的技术性问题, 造成其在运行中信息管理存在安全问题,为移动互联网产业的持续发展带了一定的负面影响。因此及时分析当前云计算技术中的漏洞,建立完善的安全架构,是当前云计算的发展重点所在。
1云计算安全概述
通常来说,安全的云计算管理包括两个方面,第一是互联网信息安全,是指在移动互联网环境下,通过一系列的监管、安全措施使网络漏洞得到解决;第二是云计算技术安全,主要是通过云计算安全架构建设,提高运行效率与信息管理水平。安全的云信息管理不仅可以使互联网的信息安全得到保证,还能保护用户的信息私密性与完整性。并且它通过把网络的巨量信息进行整合,将本地软件、云端数据与云计算能力有机连通,使用户不用借助专用的终端设备就可以进行云数据库访问,因此凭借其巨大的发展前景吸引了许多企业对云计算产品进行研发。
2当前云计算安全架构建设问题
2.1虚拟云计算网络的漏洞
虽然云计算的云端虚拟化数据库可以简化设备间与信息平台的信息交互,降低存储成本,实现信息的云共享,但是由于其数据库是建立在主系统设备与端口的统一管理上,如果主机出现故障或是遭到侵入,会造成云端数据库的信息泄露或丢失。而且云计算是依靠虚拟网络进行的,网络是否稳定与安全会直接影响到其运行的效率。有些黑客会利用服务器与云端之间的信息分享的漏洞,攻击主机,使得数据传输发生故障,对用户信息的私密与保护产生困扰。
2.2用户的数据管理安全
由于云计算云端服务器的大型化、集成化特点,因此用户的数据传输、下载与存储采取统一管理,如果云计算系统的数据库遭到泄露,将会产生连锁效应,使用户的私密信息受损,造成网络信息安全问题,另外,数据安全问题还表现在信息传输过程中的安全监管、标准核查环节,以及服务器的供应商与管理人员的信息访问控制效率能否与用户对于信息管理安全的高要求贴合。
2.3云端系统的限制性
由于云计算管理系统本身的数据处理与软件管理限制,致使其在运行中必须借助服务器供应商的云端系统进行协助运营,才能为用户提供信息处理故障分析、云平台信息共享、SLA处理流程、数据审查与监管等服务。不仅如此,云端系统的限制性还表现在一旦服务器出现故障,需要同供应商进行信息沟通,维修花费时间长,使用户的信息损失不能及时、快速恢复。
2.4法律法规对于网络信息规范的不到位
法律制度的漏洞表现两个方面。首先,因为信息传输的高速流动性和云计算服务器的分散性,使得用户的信息管理会在不同地区乃至国家间传输,比如谷歌的云平台管理的服务对象是来自全世界范围内的用户,因此在信息进行跨地区传输时,由于不同国家间的法律条例与网构架设的差异,因此会造成物理隔阂,使用户的信息不能很好被企业云产品所接受与存储。其次是由于不同国家或地区对于信息传输标准的不同,往往正规的用户信息在异地会被判定会非法信息遭到扣押,引起一些法律纠纷,使得用户的信息合法性遭受到一定的考验。
3移动互联网下的云计算安全架构建设探究
3.1云计算安全架构建设要求
基于移动互联网平台下云计算安全架构是针对于当前云计算运营中的问题进行的解决性措施,因此需要符合安全、高效、 多元化的建设需求,并且要注意以下几方面内容:首先要保护用户在进行云端数据访问与信息存储时的信息安全与私密性,并且对信息的更新与软件的运行状况对用户进行反馈。其次是确保在虚拟化网络下的云计算系统的安全、高效运行,建立坚固的网络防火墙,避免黑客的入侵。此外,还要注意云服务平台模式的多元化,针对用户需求与安全标准的差异进行灵活调整;并且要加大云端服务器与本地主机之间的安全交互机制,增强主机的安全性与稳定性。最后是根据不同地区法律规定的差异,建立适用性较强的信息标准与传输平台,确保信息在各个区域间的高速流通。
3.2云计算安全架构设计
为了迎合当前用户需求复杂性与安全标准的多样性,贴合现代企业运行机制与移动互联网的准入方式,新式云计算安全机构的设计要具有管理统一,层次多样的特点,而且在架构的适用性方面,注意信息处理软件工具、服务器设备与Paas软件之间的协作性,将信息标准核查,安全故障分析,用户信息私密管理, 服务器故障反馈,加密与验证机制等云平台上的服务项目融入到架构数据资源池中,形成智能化的运行系统。为了使多元化的云计算平台之间的信息分享更为简洁与安全,完善虚拟化网络中的镜像系统、病毒信息分离、信息库转移与信息监控平台安全。而对于用户需求标准的差异,通过解决相关企业完善的移动互联网安全架构以及通信系统搭建经验,建立相应的多层次云安全服务平台,以及完备的云安全管理设备,满足用户的信息安全管理需求。
云计算安全构架不仅包括云系统的技术性建设,还应具备相应的信息安全审核体系。它不仅要对用户信息标准检查、故障预警、信息安全加密、用户管理授权、安全日志等方面进行统一管理,建立安全监管系统,还要加强其在安全框架建设中的通用性, 满足多元化的信息安全标准与多层次的云计算服务平台间的信息共享,实现跨级别、跨平台、跨地区的信息管理系统。同时, 企业应考虑当下用户在通过移动终端连入移动互联网时,所采用的接入方式与网络基站的差异,比如有的用户使用最新的移动、 电信4G网络,对于信息访问速率与安全的要求相比2G,3G网络的体现用户来说要较高一些。另外,企业要建立一定的数据库加密与用户个人信息验证机制,在用户进行浏览器的网页搜索、 网络金融服务以及用户之间的信息传输时,需要进行安全密钥设置与预留验证信息确认,并且对用户提供免费的数据进行安全管理,信息合法性审查,信息预警反馈等服务。同时要注意云计算安全架构数据库与管理系统的不断维护与更新,建立先进的安全评价系统,保证其运行的高效性和稳定性。
3.3虚拟机技术要点
面对当前云计算数据库的开放性与用户信息管理的私密性之间的矛盾,云计算安全架构建设需要重视信息检验、密钥设置以及多租户的隐私等关键技术,保证虚拟化环境下的云平台的运行安全。并采用信息监控虚拟机、病毒信息分离虚拟机等设备对网络资源整合、基础设施控制、数据池的调度进行综合管理,避免出现因虚拟机之间的协同运行故障、越界访问、信息隔离失效等问题引起的云安全信任危机。
4总结
云计算技术在以其智能化、虚拟性、高效的信息处理等特点在近年来得到了快速发展,但同时也暴露出了其自身存在技术性问题及法律监管的漏洞,因此本文从云计算安全架构的必要性和安全性出发,建立了一个集多元化、多层次、接口统一的云计算安全架构,解决实际运行中出现的种种问题,促进云计算技术的快速与稳定发展。
参考文献
[1]刘建伟,邱修峰,刘建华.移动互联网环境下的云计算安全技术体系架构[J].中兴通讯技术,2012.
互联架构 篇10
防火墙
AOL (American On Line, 美国在线, 是美国最大的网络服务供应商) 更新其软件时, 新版本常常带有一串数字, 如7.0、8.0、9.0, 其最新的版本被称为AOL9.0安全版。不过, 提升互联网的表现已经不再是提供最新最酷的应用软件, 而是增强软件的生存能力, 即抵御计算机病毒入侵的能力。
IBM发布的一份研究报告称, 在2005年上半年, 由携带“拉登”病毒的电子邮件和刑事犯罪引起的安全攻击次数增加了50%, 攻击目标集中在政府、金融服务机构、制造业以及医疗保健行业。2005年7月, 美国互联网和生活项目报告称, 在5900万成年人中, 43%的美国互联网用户表示他们的计算机中存在间谍软件和广告软件, 91%的用户会采取一些预防性的措施, 诸如避免访问该类的网站或者停止下载软件。越来越多人关注防火墙的问题。防火墙作为内部网络和外部网络之间的网络安全系统, 通过控制数据流的进出, 最大限度地保护计算机系统免受黑客的入侵。如果防火墙的安全性低, 计算机将不能有效地防范黑客的攻击。
垃圾邮件
在网络安全技术方面处于领先地位Symantec公司表示, 从2004年7月1日到12月31日, 在其检测的公司中, 垃圾邮件数量急剧增加了77%。Symantec公司的原始数据显示, 平均每周的垃圾邮件总数由8亿上升到12亿, 而且在全部邮件中, 60%都是垃圾邮件。
但是, 在所有这些网络威胁当中, 危害性最大的是僵尸网络 (通过各种手段在大量计算机中植入特定的恶意程序, 使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络) 。这种大规模的攻击已经构成了数据欺诈犯罪, 而宽带网络的广泛应用更是加大了这种情况发生的可能性。黑客以这些毁灭性的攻击威胁那些不满足他们金钱需求的公司。一项由卡内基�梅隆大学研究人员开展的研究显示, 其所调查的100家公司中有17个公司面临着这种攻击的威胁。
补丁问题
最初的互联网协议是在19世纪60年代制订的, 这个协议促进了几百个学术机构与政府、用户之间的沟通交流。协议有效地把数据装进简单的数据包中, 并且通过一系列的网络路由器发送至目的地。路由器和个人计算机都成为节点, 拥有唯一的数字地址, 这就是被人所知的互联网协议或IP地址, 工作原理也基本如此。计算机系统假设网络中的所有用户都是可信赖的, 并且所有通过互联网连接的电脑基本上都是固定不变的。互联网的设计, 与信息数据包所携带的内容并没有关系。除了发送数据到其目的地, 互联网没有做其他更多的事情, 也没有适应移动的节点, 比如PDA可以在任何地方连接到互联网上。
近些年来, 一系列的补丁程序相继诞生, 诸如防火墙、杀毒软件、垃圾邮件过滤程序等。每当一个移动的节点改变其网络位置时, 补丁就会分配其一个新的IP地址。
安全补丁跟不上网络发展的部分原因是, 大部分用户使用的补丁都不相同, 并且不是每个用户都会按时更新补丁, 有些用户甚至从不安装任何补丁。此外, 常见的会随着IP地址不断变化的移动补丁也有缺点。当计算机每次用一个新的身份连接到互联网时, 平时经常访问的网站将不会识别你是一个老用户。不断变化的IP地址也意味着当你使用互联网时, 一些服务可能会被中断, 比如在PDA上听流媒体广播。这也意味着如果有人通过移动设备犯罪, 将难以追查。
我们亟需关注不同领域专家的观点。补丁使互联网系统变得更加复杂、更加难以管理和理解, 而且很难在其基础上作出改进。普林斯顿大学的计算机科学家拉里帕特森说, 30年来, 互联网得到不断的改善, 所发现的问题也逐步得到修复。漏洞一经发现, 技术人员就尝试去修补它。这样虽然也可以维持互联网的安全, 但是我们需要思考的是, 有没有方法可以长期有效地解决这个问题。如果只是不断地重复发现问题、修补问题, 而没有从根源上解决问题, 那么互联网将会变得越来越复杂且脆弱。而这种情况会导致新服务难以得到应用, 因为已经增加的解决方案所带来的复杂性, 使得系统更加难以管理。有些人甚至担心我们因此会进入死胡同。如果不能充分修补这些问题, 那么我们将面临异常重大的威胁。
NSF对互联网的贡献
NSF (美国国家科学基金会) 正在制定一个5到7年的计划, 并且预计投入2到3亿美元的研究经费用于开发一个更加简洁的架构, 这个架构具有更高安全性, 适应新技术的发展, 并且易于管理。
新架构预设目标
(1) 给予媒介一个基本安全架构———一种认证用户真实性和防止垃圾邮件以及病毒等入侵计算机的能力。好的安全性是这次重构最重要的目的。
(2) 实用性。新架构将会增加一些协议, 使网络服务提供者能更好地发送信息流, 提供更优质的服务。
(3) 允许未来任何大小的设备连接到互联网———不仅是个人电脑, 还有传感器和嵌入式处理器。
(4) 网络更易管理。比如, 新技术应该允许检测网络的每一个部分, 以及及时向网络管理员汇报突发问题, 不管是技术故障、网络堵塞还是可复制传播的蠕虫病毒。
新架构预设目标并非都遥不可及
NSF过去的几年在这个调研已经投入超过3千万美元。实验室已经开发了许多有前景的技术, 比如可以认证在线用户、识别病毒、保护他人隐私, 增加无线设备和传感器等。在别人都不清楚哪一项技术会在新的架构中出现的时候, 他们已经开始理解一个“新”的互联网应该是什么样子的和它是如何区别于“旧”的互联网。
许多适用于这个新架构而且极具前景的技术都来自于PlanetLab, 普林斯顿大学的皮得森近几年也是在该实验室研究这些技术。
(1) 软件技术。在这个不断发展的项目中, 所有的研究人员都在研究一个可以拼接到现在的互联网路由器上的软件。举个例子, 一个“敏锐”的软件可以从网路流量中发现蠕虫。该软件识别被蠕虫感染的主机寻找新主机时发出的疑似数据包, 并可以警告系统管理员病毒文件的出现。软件还可以测量流入和流出网卡的数据, 诊断是否出现网络堵塞, 并提出一个更有效的路径绕过它。
(2) 鉴定技术。鉴定技术可以帮助鉴定网络传播的真实性。这套技术可以说是对互联网安全的一个福音。也就是说, 该技术能够明确识别一封银行邮件是否存在欺骗性;此外, 银行也可以明确识别账号登陆者是否开户者本人, 避免由盗号者非法操作造成损失。
如今, 用户经常被请求输入各种信息证明其网络身份的真实性, 如密码、社保号码、工作证号码、信用卡号、飞机常客号、人工识别号等等。但是当成千上万的用户都在不断地输入这些登陆号码时, 很容易被间谍软件或黑客从无线网络中发现, 然后盗取用户信息, 实施诈骗犯罪, 更甚者会进行破坏活动。
(3) 口令。一个由实验室和大学团体组成的机构提出了因特网2代的改良解决方案, 并为用户开发先进的网络技术。这个软件叫口令, 负责在发送者和接收者之间进行联系, 它可以通过数字证书的集中式交换以及其它一些方式, 安全地传输合适的账号、密码和其他可以供接收者识别的信息。除了让分散的信息更加安全, 它还可以保护用户的隐私。因为它只公开特定交易时与用户相关的某个“属性”, 而不是用户的所有信息。
不断发展的口令和这些类似的技术可以等同于补丁的作用。但是他们中间一些基本的要素也可以发展成互联网架构的一部分。
创建新架构道路并非一帆风顺
值得注意的是, 不管互联网有多少缺点、不安全性和修补的代价, 它依然是人们日常工作中的工具之一。任何一个提升性能的尝试都会面临很多问题:所有网络服务提供商都要同意更换他们的路由器和软件, 一些人必须为数以亿计的账单买单。但是NSF不建议放弃原有的网络或者强制安装新的东西。相反, NSF希望创建一个更好的架构, 并证明它有更优秀的表现, 而且为了满足用户需求, 可以允许一些新技术来替代原来的方法。
为此, NSF努力设想一个庞大的基础设施建设, 花费约为300万美元。这个想法是创建一个可以承受来自现实网络流量的考验新架构, 建设让人们能够有选择性地应用的基础设施。
不过, 也有人提出质疑, 一个更智能的网络可能比原来的互联网更加复杂, 因此容易出现故障。传统观点认为, 网络本身应该是非智能的, 但在其两端的智能设备应该变得更加智能。互联网的安全问题, 以及知识产权的窃取, 可能会制约媒体的发展, 导致互联网的退步。
“不管最后的结果是做出一个新的架构, 还是在原来的基础上做出有效的改变, 并没异样。只要有一个稳定的互联网, 这些尝试就会成功, ”克拉克 (麻省理工学院资深网络政治家及前首席协议架构师) 说, “如果它能围绕共同的目标, 使研究团体发挥作用, 就会帮助我们往正确的方向前进。”
创建新架构的进展
NSF将利用现有的研究成果, 努力打造一个简洁而稳固的互联网架构。下面是一些能提高互联网安全性的成果。
•美国普林斯顿大学
创建互联网“覆盖网络”的硬件和软件, 据2006年的统计数据, 有630台机器在25个国家执行搜索蠕虫和优化流量任务。
•犹他大学
开发软件和硬件测试试验台, 为研究人员提供了一个简单、实用的途径来模拟互联网上各种各样的研究项目。
•加州信息科学研究所
开发一个试验台, 研究人员可以安全地模拟网络攻击, 对它们进行分析, 制定防范策略, 尤其是对关键基础设施的完善。
•美国罗格斯大学无线信息网络实验室