MIN-VPN體系架構(gòu)與關(guān)鍵技術(shù)分析綜述目錄TOC\o"1-2"\h\u25355MIN-VPN體系架構(gòu)與關(guān)鍵技術(shù)分析綜述 1326091.1MIN體系架構(gòu)介紹 2200351.1.1多標(biāo)識(shí)網(wǎng)絡(luò)管理系統(tǒng) 2175691.1.2多標(biāo)識(shí)網(wǎng)絡(luò)管理路由器 231781.1.4路由器包簽名過(guò)濾機(jī)制 6308681.1.5證書管理 6237971.1.6身份驗(yàn)證與流程 668881.2面向聯(lián)盟鏈的共識(shí)算法 9119631.1.1共識(shí)算法原理 975351.1.2共識(shí)身份模型 9228391.3網(wǎng)絡(luò)標(biāo)識(shí)互通 11150781.3.1IP-CCN-IP通信隧道的實(shí)現(xiàn) 1142801.3.2CCN-IP-CCN隧道的實(shí)現(xiàn) 11125001.3.3IP-CCN通信實(shí)現(xiàn) 12300071.3.4CCN-IP通信實(shí)現(xiàn) 12依靠目前主流的TCP/IP網(wǎng)絡(luò)體系來(lái)構(gòu)建專用網(wǎng)絡(luò)在安全方面存在天生不足，而獨(dú)立于IP網(wǎng)絡(luò)體系，支持像內(nèi)容、空間信息、身份信息及IP地址等多種標(biāo)識(shí)的新型多標(biāo)識(shí)網(wǎng)絡(luò)體系MIN(Multi-IdentifierNetwork)，融合區(qū)塊鏈、個(gè)人生物特征、可信計(jì)算、密碼學(xué)、擬態(tài)防御等多種信息技術(shù)，可以實(shí)現(xiàn)搭建安全可信、可管可控的高安可專用網(wǎng)絡(luò)[2]。本章將重點(diǎn)介紹基于多標(biāo)識(shí)網(wǎng)絡(luò)體系的MIN-VPN高安可專網(wǎng)架構(gòu)和其基本原理。1.1MIN體系架構(gòu)介紹多標(biāo)識(shí)網(wǎng)絡(luò)系統(tǒng)支持像內(nèi)容、空間信息、身份信息及IP地址等多種標(biāo)識(shí)。多標(biāo)識(shí)網(wǎng)絡(luò)架構(gòu)可以分為管理面和數(shù)據(jù)面，分別命名為多標(biāo)識(shí)網(wǎng)絡(luò)管理系統(tǒng)（Multi-IdentifierSystem，MIS）和多標(biāo)識(shí)管理路由器（Multi-IdentifierRouter，MIR）。管理面主要由多標(biāo)識(shí)管理系統(tǒng)管理，多標(biāo)識(shí)管理系統(tǒng)將網(wǎng)絡(luò)完整地劃分為從上而下的層次化網(wǎng)絡(luò)。多標(biāo)識(shí)管理系統(tǒng)參與身份認(rèn)證和分配不同的標(biāo)識(shí)，數(shù)據(jù)通過(guò)監(jiān)管節(jié)點(diǎn)的Pov算法來(lái)識(shí)別和檢查，并達(dá)成共識(shí)，并在區(qū)塊鏈上記錄身份信息和屬性，使得區(qū)塊鏈上的內(nèi)容一致，記錄是不可改變的也是可以回溯追查的。在多標(biāo)識(shí)網(wǎng)絡(luò)中，一個(gè)完整的節(jié)點(diǎn)功能是包括管理鏈上用戶和分配標(biāo)識(shí)過(guò)程，同時(shí)帶有標(biāo)識(shí)解析、轉(zhuǎn)發(fā)和路由的服務(wù)。此外，網(wǎng)絡(luò)中還存在監(jiān)查節(jié)點(diǎn)、普通用戶以及組織用戶。在每個(gè)網(wǎng)絡(luò)中設(shè)置監(jiān)查點(diǎn)用作上下層區(qū)塊鏈的數(shù)據(jù)查詢接口。每個(gè)節(jié)點(diǎn)都具有內(nèi)容、空間信息、身份信息及IP地址等多種標(biāo)識(shí)。1.1.1多標(biāo)識(shí)網(wǎng)絡(luò)管理系統(tǒng)多標(biāo)識(shí)網(wǎng)絡(luò)管理系統(tǒng)的整個(gè)網(wǎng)絡(luò)是從上到下的分層網(wǎng)絡(luò)域。多標(biāo)識(shí)網(wǎng)絡(luò)管理系統(tǒng)部署在區(qū)塊鏈節(jié)點(diǎn)上，負(fù)責(zé)分配用戶身份標(biāo)識(shí)和檢查用戶使用行為，并在區(qū)塊鏈上記載相關(guān)使用信息。1.1.2多標(biāo)識(shí)網(wǎng)絡(luò)管理路由器多標(biāo)識(shí)管理路由器作為多標(biāo)識(shí)網(wǎng)絡(luò)數(shù)據(jù)層面的物理設(shè)備在MIN網(wǎng)絡(luò)體系中承擔(dān)重要作用。MIR的功能包括網(wǎng)絡(luò)尋址以及各種標(biāo)識(shí)數(shù)據(jù)包的解析和轉(zhuǎn)換的功能。為了適配不同的網(wǎng)絡(luò)環(huán)境，多標(biāo)識(shí)管理路由器支持多種標(biāo)識(shí)和多種傳輸途徑融合在一起。其中，多種標(biāo)識(shí)符包括內(nèi)容標(biāo)識(shí)符、空間信息標(biāo)識(shí)符、身份信息標(biāo)識(shí)符及IP地址標(biāo)識(shí)符等。多種傳輸途徑包括推送式傳輸（其中主要為IP網(wǎng)絡(luò)體系）和拉取式數(shù)據(jù)傳輸結(jié)構(gòu)（主要為內(nèi)容為中心的網(wǎng)絡(luò)體系）。MIN可以免疫傳統(tǒng)基于TCP/IP體系的缺陷不足的攻擊方式和方法。1.1.4路由器包簽名過(guò)濾機(jī)制MIN網(wǎng)絡(luò)的所有數(shù)據(jù)包都帶有合法用戶的數(shù)字簽名信息，路由器只會(huì)轉(zhuǎn)發(fā)帶有合法用戶簽名的網(wǎng)絡(luò)包。為了實(shí)現(xiàn)這一目標(biāo)，我們需要在路由器上安裝合法用戶的身份證書。對(duì)于流入路由器的興趣包，其簽名在其名稱的最后一個(gè)字段中，而其簽名者的信息則在興趣包名稱的倒數(shù)第二個(gè)字段中，如圖所示。我們需要通過(guò)在路由器中提取倒數(shù)第二個(gè)字段，得到簽名者信息，再通過(guò)簽名者信息加載正確的證書，對(duì)最后一個(gè)字段中保存的數(shù)字簽名進(jìn)行驗(yàn)證。對(duì)于數(shù)據(jù)包，數(shù)據(jù)包的簽名保存在專有的Signature域，數(shù)據(jù)的簽名者信息獲取和簽名驗(yàn)證都可以通過(guò)ndn-cxx庫(kù)提供的接口輕易地實(shí)現(xiàn)。1.1.5證書管理證書管理機(jī)制是實(shí)現(xiàn)MIN網(wǎng)絡(luò)中路由器的簽名過(guò)濾的前提。在進(jìn)行數(shù)據(jù)包簽名驗(yàn)證之前，我們的路由器上必須有所有合法用戶的證書，而證書管理模塊就負(fù)責(zé)證書的生成和證書的下發(fā)。用戶注冊(cè)時(shí)，會(huì)觸發(fā)證書管理機(jī)制。注冊(cè)的用戶先在OA后臺(tái)提交注冊(cè)請(qǐng)求，OA后臺(tái)提取出用戶注冊(cè)請(qǐng)求中的用戶公鑰部分，并將用戶公鑰和用戶信息提交給MIN網(wǎng)絡(luò)管理層（區(qū)塊鏈），再由區(qū)塊鏈為用戶生成一個(gè)合法的證書。區(qū)塊鏈生成用戶證書后，會(huì)給MIN網(wǎng)絡(luò)中的路由器下發(fā)該合法用戶的證書。MIN網(wǎng)絡(luò)管理員可以按需設(shè)置需要安裝證書的路由器，這些路由器可以是整個(gè)MIN網(wǎng)絡(luò)中所有路由器，也可以只是用戶從外網(wǎng)接入內(nèi)網(wǎng)的路由器。區(qū)塊鏈作為網(wǎng)絡(luò)的管理面，為整個(gè)網(wǎng)絡(luò)提供數(shù)字簽名的驗(yàn)證證書和網(wǎng)絡(luò)層數(shù)據(jù)包的日志記錄功能。為哪個(gè)路由器下發(fā)證書都應(yīng)該可以在區(qū)塊鏈操作界面進(jìn)行配置。1.1.6身份驗(yàn)證與流程身份生成模塊主要基于投票共識(shí)的區(qū)塊鏈架構(gòu)，實(shí)現(xiàn)用戶數(shù)字證書的簽發(fā)。多標(biāo)識(shí)網(wǎng)絡(luò)要求用戶使用真實(shí)信息注冊(cè)才能使用網(wǎng)絡(luò)層通信服務(wù)，用戶注冊(cè)網(wǎng)絡(luò)身份標(biāo)識(shí)的過(guò)程就是一個(gè)上傳身份信息和生成公鑰證書的過(guò)程。用戶使用真實(shí)身份注冊(cè)，真實(shí)身份的具體表現(xiàn)形式可以包括身份證號(hào)、手機(jī)號(hào)、指紋信息、虹膜信息、人臉信息等。一個(gè)完整的用戶注冊(cè)過(guò)程應(yīng)該包含以下步驟：1）用戶在注冊(cè)網(wǎng)絡(luò)身份之前需要自己使用MIS指定的密碼算法生成合適強(qiáng)度的公私鑰；2）將公鑰、真實(shí)身份信息、申請(qǐng)的標(biāo)識(shí)和用戶激活碼等信息打包成注冊(cè)請(qǐng)求，并使用區(qū)塊鏈的公鑰對(duì)請(qǐng)求進(jìn)行非對(duì)稱加密形成注冊(cè)請(qǐng)求密文；3）客戶端可以使用多種方式將加密后的請(qǐng)求發(fā)送給任意一個(gè)區(qū)塊鏈節(jié)點(diǎn)，可以使用TCP協(xié)議，也可以使用新型的服務(wù)標(biāo)識(shí)（MIN的通信協(xié)議）提交注冊(cè)請(qǐng)求；4）區(qū)塊鏈的記賬節(jié)點(diǎn)接收到用戶的注冊(cè)請(qǐng)求后，將對(duì)請(qǐng)求格式進(jìn)行檢查，在本地?cái)?shù)據(jù)庫(kù)查找是否已經(jīng)存在該用戶信息，并對(duì)部分內(nèi)容進(jìn)行基本的驗(yàn)證，若初步驗(yàn)證失敗，則向客戶端返回錯(cuò)誤信息。5）在初步驗(yàn)證通過(guò)后，該記賬節(jié)點(diǎn)將用戶注冊(cè)請(qǐng)求中的公鑰字段提取出來(lái)，使用自己的私鑰對(duì)該公鑰進(jìn)行簽名，使該用戶公鑰成為合法的數(shù)字證書，再將證書寫入用戶請(qǐng)求的公鑰字段，最后將請(qǐng)求封裝為普通交易放入交易池。6）在每一輪共識(shí)開(kāi)始時(shí)，所有記賬節(jié)點(diǎn)將從區(qū)塊鏈池當(dāng)中取出數(shù)據(jù)并生成區(qū)塊，然后將該區(qū)塊發(fā)送給所有投票節(jié)點(diǎn)。7）接收到區(qū)塊的投票節(jié)點(diǎn)需要對(duì)區(qū)塊頭和每一個(gè)交易內(nèi)容進(jìn)行驗(yàn)證，對(duì)每個(gè)交易的驗(yàn)證根據(jù)投票節(jié)點(diǎn)設(shè)定的規(guī)則進(jìn)行，如根據(jù)自定義的過(guò)濾列表對(duì)關(guān)鍵字進(jìn)行驗(yàn)證等，形成投票結(jié)果。當(dāng)投票節(jié)點(diǎn)接收完所有的區(qū)塊，或者等待至超時(shí)，會(huì)將所有區(qū)塊的投票信息進(jìn)行打包，發(fā)送給輪值記賬節(jié)點(diǎn)。在安全專網(wǎng)場(chǎng)景下，投票的規(guī)則由專網(wǎng)管理員制定。在用戶注冊(cè)階段，每個(gè)區(qū)塊鏈投票節(jié)點(diǎn)將使用用戶的某些信息（如手機(jī)號(hào)）來(lái)判斷注冊(cè)請(qǐng)求是否來(lái)自內(nèi)部員工，從而決定是否做出相應(yīng)的投票。因此，安全專網(wǎng)的注冊(cè)過(guò)程會(huì)引用一個(gè)白名單機(jī)制，即每個(gè)投票節(jié)點(diǎn)的白名單會(huì)指示是否允許某個(gè)用戶注冊(cè)入網(wǎng)身份。8）輪值記賬節(jié)點(diǎn)需要對(duì)每一個(gè)投票節(jié)點(diǎn)的投票信息進(jìn)行統(tǒng)計(jì)，對(duì)于其中的某個(gè)區(qū)塊而言，若接收到過(guò)半投票節(jié)點(diǎn)數(shù)量的拒絕票，值班管家將內(nèi)存當(dāng)中的區(qū)塊刪除；若接收到過(guò)半投票節(jié)點(diǎn)數(shù)量以上的同意票，則對(duì)該區(qū)塊進(jìn)行認(rèn)可。對(duì)所有的區(qū)塊的投票情況統(tǒng)計(jì)完成后，輪值記賬節(jié)點(diǎn)將生成區(qū)塊組頭，將統(tǒng)計(jì)后的得票情況和區(qū)塊哈希等必要信息寫入，并設(shè)置時(shí)間戳。最后將區(qū)塊組頭發(fā)布到區(qū)塊鏈網(wǎng)絡(luò)當(dāng)中。9）區(qū)塊鏈網(wǎng)絡(luò)的所有節(jié)點(diǎn)若接收到輪值記賬節(jié)點(diǎn)發(fā)送過(guò)來(lái)的區(qū)塊組頭，將首先進(jìn)行驗(yàn)證，若驗(yàn)證通過(guò)則進(jìn)行區(qū)塊組的提交和參數(shù)的更新。如從區(qū)塊的交易中提取出用戶注冊(cè)信息，將其存儲(chǔ)在用戶信息表當(dāng)中。10)用戶注冊(cè)完信息后，所有的服務(wù)器都會(huì)保有該用戶的證書，此后用戶的請(qǐng)求都會(huì)進(jìn)行簽名，而服務(wù)器通過(guò)該證書對(duì)用戶的簽名進(jìn)行校驗(yàn)，以判斷用戶的身份。當(dāng)用戶申請(qǐng)注銷身份標(biāo)識(shí)時(shí)，需要向所屬標(biāo)識(shí)空間的記賬節(jié)點(diǎn)發(fā)送注銷標(biāo)識(shí)申請(qǐng)，申請(qǐng)包括要注銷的前綴和當(dāng)前的時(shí)間戳等字段，并且將該申請(qǐng)用自己的私鑰進(jìn)行簽名。該記賬節(jié)點(diǎn)接收到客戶端發(fā)送的用戶請(qǐng)求后，將對(duì)請(qǐng)求格式進(jìn)行檢查，判定合法后打包成身份標(biāo)識(shí)注銷交易，放入交易池中等待共識(shí)。當(dāng)共識(shí)完成后，所有的區(qū)塊鏈節(jié)點(diǎn)會(huì)根據(jù)身份標(biāo)識(shí)注銷交易，對(duì)用戶信息表進(jìn)行更新，從而在用戶信息表中刪除該身份標(biāo)識(shí)。1.2面向聯(lián)盟鏈的共識(shí)算法1.1.1共識(shí)算法原理聯(lián)盟鏈介于公有鏈與私有鏈之間，是多個(gè)組織或機(jī)構(gòu)參與的區(qū)塊鏈。聯(lián)盟鏈偏向于運(yùn)行在同業(yè)或同目的的不同機(jī)構(gòu)或組織之間，目的是降低機(jī)構(gòu)與機(jī)構(gòu)之間溝通和聯(lián)絡(luò)的成本，同時(shí)提升業(yè)務(wù)合作的效率。聯(lián)盟鏈與公有鏈對(duì)比，具有很多不同的特征。與公有鏈不同，聯(lián)盟連不是有大眾所共有的，只有一部分人可以獲得且聯(lián)盟成員之間需要達(dá)成共識(shí)，與公有鏈相比，聯(lián)盟鏈因?yàn)椴痪邆渥銐虻墓?jié)點(diǎn)，所以只能實(shí)現(xiàn)強(qiáng)關(guān)聯(lián)性的協(xié)同價(jià)值以及聯(lián)盟內(nèi)部的去中心化。去中心化這一概念曾經(jīng)在互聯(lián)網(wǎng)領(lǐng)域以及區(qū)塊鏈領(lǐng)域都有比較重要的地位，是近年來(lái)世界各國(guó)都有在關(guān)注的一個(gè)領(lǐng)域。在聯(lián)盟鏈的概念中，公有鏈和私有鏈都非常重要，尤其是公有鏈。一旦組成公有鏈就不會(huì)被改變，這主要是因?yàn)楣叉湹墓?jié)點(diǎn)一般都很大。與公共鏈不同，并非所有用戶都有權(quán)管理和訪問(wèn)聯(lián)盟鏈中的數(shù)據(jù)，僅限于聯(lián)盟中的組織及其成員可以訪問(wèn)。聯(lián)盟鏈和私有鏈?zhǔn)且粯樱举|(zhì)上仍然是私有鏈。因此由于節(jié)點(diǎn)數(shù)量較少，所以比較容易形成共識(shí)，事務(wù)處理速度也顯然要快得多。1.1.2共識(shí)身份模型作為區(qū)塊鏈場(chǎng)景之一，聯(lián)盟鏈采用的是基于端到端的網(wǎng)絡(luò)體系。沒(méi)有單節(jié)點(diǎn)服務(wù)器和集中式服務(wù)。然而，聯(lián)盟網(wǎng)絡(luò)中的成員可以被當(dāng)做是整個(gè)網(wǎng)絡(luò)的弱點(diǎn)，并支持系統(tǒng)的運(yùn)行。重要的一部分。P2P網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都是對(duì)等節(jié)點(diǎn)，并且以任何方式連接，但是每個(gè)節(jié)點(diǎn)的分工不同，具體取決于提供的各種功能。每個(gè)節(jié)點(diǎn)都有特定的ID和帳號(hào)，除了擁有公鑰和私鑰的數(shù)字證書外，通過(guò)每個(gè)身份節(jié)點(diǎn)的共同協(xié)作，實(shí)現(xiàn)順序?qū)懭雲(yún)^(qū)塊鏈和端點(diǎn)數(shù)據(jù)在網(wǎng)絡(luò)中保持同步。在PoV共識(shí)算法原理中，網(wǎng)絡(luò)節(jié)點(diǎn)可以分成四個(gè)角色：委員，管家，候選管家和常規(guī)用戶，從而允許一定程度的并發(fā)角色。這些角色在整個(gè)區(qū)塊鏈系統(tǒng)中的算法識(shí)別過(guò)程中都是發(fā)揮重要作用的。這些角色包括但不限于委員節(jié)點(diǎn)、管家借點(diǎn)，候選管家借點(diǎn)和常規(guī)用戶等等。1.委員節(jié)點(diǎn)委員節(jié)點(diǎn)是聯(lián)盟鏈內(nèi)的重要成員。我們希望世界各地的公司和機(jī)構(gòu)組成聯(lián)盟委員會(huì)，一起來(lái)維持整個(gè)聯(lián)盟鏈。在聯(lián)盟中，需要新加入的成員節(jié)點(diǎn)對(duì)應(yīng)于聯(lián)盟鏈網(wǎng)絡(luò)的成員節(jié)點(diǎn)，這些成員節(jié)點(diǎn)通過(guò)聯(lián)盟協(xié)議接受或由離線聯(lián)盟協(xié)商確定，并通過(guò)使用商業(yè)的服務(wù)器來(lái)提供網(wǎng)絡(luò)服務(wù)。在是用商業(yè)服務(wù)器提供網(wǎng)絡(luò)服務(wù)的過(guò)程中要注意，整個(gè)系統(tǒng)的完整性和實(shí)用性，服務(wù)的過(guò)程和細(xì)節(jié)要被記錄下來(lái)，以便后期進(jìn)行查找和檢索。1.管家節(jié)點(diǎn)管家節(jié)點(diǎn)是聯(lián)盟鏈的專業(yè)簿記員，并且聯(lián)盟授權(quán)他們專門創(chuàng)建塊，并且數(shù)量有限。管家節(jié)點(diǎn)的角色可以視為傳統(tǒng)共識(shí)算法的代表節(jié)點(diǎn)，但是與傳統(tǒng)算法不同，管家節(jié)點(diǎn)的權(quán)限由聯(lián)盟的關(guān)鍵委員會(huì)節(jié)點(diǎn)監(jiān)控和投票。管家節(jié)點(diǎn)標(biāo)示著著投票權(quán)和執(zhí)行權(quán)的分離。委員節(jié)點(diǎn)沒(méi)有權(quán)利創(chuàng)建區(qū)塊，而只有管家節(jié)點(diǎn)才具備行使這項(xiàng)工作任務(wù)的權(quán)利。聯(lián)盟鏈中獲得的數(shù)據(jù)進(jìn)行封裝成塊，管家節(jié)點(diǎn)需要對(duì)封裝數(shù)據(jù)塊進(jìn)行認(rèn)證。成為管家節(jié)點(diǎn)需要兩個(gè)步驟。S1：申請(qǐng)成為管家的候選節(jié)點(diǎn)。S2：在每個(gè)回合結(jié)束時(shí)參加競(jìng)選。“管家候選人”節(jié)點(diǎn)接受所有委員會(huì)成員的投票。如果競(jìng)賽成功，它將被選為管家節(jié)點(diǎn)。管家節(jié)點(diǎn)在其任期內(nèi)以隨機(jī)順序生成塊，并在其任期到期后接受重選。委員會(huì)節(jié)點(diǎn)可以同時(shí)具有兩個(gè)ID，即委員會(huì)和管家。這兩個(gè)ID在使用的過(guò)程中需要進(jìn)行切換，可以同時(shí)進(jìn)行節(jié)點(diǎn)經(jīng)營(yíng)，也可以分別使用。3.管家候選人每輪選舉中成功的管家節(jié)點(diǎn)的系統(tǒng)編號(hào){0,1,2,,,n-1}。為了確保共識(shí)過(guò)程的穩(wěn)定性，將管家節(jié)點(diǎn)的總數(shù)限制為固定數(shù)目。要成為管家節(jié)點(diǎn)，必須首先成為管家候選人節(jié)點(diǎn)，參加每一輪選舉，并接受委員會(huì)成員的投票。未能通過(guò)選舉的候選人保留管家候選人節(jié)點(diǎn)的ID，并在等待下一個(gè)選舉回合時(shí)保持在線狀態(tài)。4.普通用戶節(jié)點(diǎn)上面所有三種類型的節(jié)點(diǎn)都必須使用加密技術(shù)來(lái)驗(yàn)證其身份并簽署其發(fā)送的操作消息的哈希值。公共用戶節(jié)點(diǎn)具有以下特征。（1）無(wú)需接受ID身份驗(yàn)證。正常的用戶節(jié)點(diǎn)行為可以選擇是匿名的。某些登陸應(yīng)用程序過(guò)程可能會(huì)要求提供真實(shí)姓名，具體取決于聯(lián)盟鏈系統(tǒng)的配置，或者可能希望使用加密功能來(lái)隱藏交易過(guò)程。同時(shí)，可以通過(guò)委員節(jié)點(diǎn)跟蹤每個(gè)交易的來(lái)源。（2）可以隨時(shí)加入或退出網(wǎng)絡(luò)。（3）不能參與塊生成過(guò)程，而只能參與塊分配和共享過(guò)程。（4）通過(guò)轉(zhuǎn)發(fā)聯(lián)盟鏈消息，可以在享受聯(lián)盟鏈提供的服務(wù)的同時(shí)檢查完整的共識(shí)過(guò)程。該圖顯示了PPoV的角色轉(zhuǎn)換圖。1.3網(wǎng)絡(luò)標(biāo)識(shí)互通目前，網(wǎng)絡(luò)傳輸方法主要包括基于IP網(wǎng)絡(luò)架構(gòu)的推送傳輸方法和基于內(nèi)容為中心的網(wǎng)絡(luò)架構(gòu)拉取式數(shù)據(jù)傳輸結(jié)構(gòu)。由于目前的IP網(wǎng)絡(luò)規(guī)模具大，無(wú)法馬上將網(wǎng)絡(luò)體系結(jié)構(gòu)更新為新的內(nèi)容中心網(wǎng)絡(luò)體系結(jié)構(gòu)。另外，網(wǎng)絡(luò)層的很多上層網(wǎng)絡(luò)協(xié)議與內(nèi)容中心的網(wǎng)絡(luò)體系結(jié)構(gòu)存在不兼容的現(xiàn)象。當(dāng)網(wǎng)絡(luò)直接更新為以內(nèi)容為中心的網(wǎng)絡(luò)體系結(jié)構(gòu)時(shí)，需要重新開(kāi)發(fā)網(wǎng)絡(luò)層的大多數(shù)上層協(xié)議來(lái)適應(yīng)這種新的網(wǎng)絡(luò)架構(gòu)，特別是傳輸層網(wǎng)絡(luò)協(xié)議例如TCP，UDP等。通過(guò)使用新的命名定義網(wǎng)絡(luò)體系結(jié)構(gòu)替換現(xiàn)有IP網(wǎng)絡(luò)體系結(jié)構(gòu)以提供對(duì)網(wǎng)絡(luò)層數(shù)據(jù)的控制和監(jiān)視，多身份網(wǎng)絡(luò)系統(tǒng)正在努力逐步釋放IP。在部署過(guò)程中，將尋求與現(xiàn)有IP網(wǎng)絡(luò)的兼容性，以實(shí)現(xiàn)支持多種網(wǎng)絡(luò)標(biāo)識(shí)傳輸并逐步淘汰IP的目標(biāo)。CCN網(wǎng)絡(luò)體系結(jié)構(gòu)是多身份路由器的關(guān)鍵組件。為了實(shí)現(xiàn)MIR與IP網(wǎng)絡(luò)之間的兼容性，有必要考慮如何實(shí)現(xiàn)CCN網(wǎng)絡(luò)與IP網(wǎng)絡(luò)之間的兼容性。IP兼容性應(yīng)考慮全面的相互轉(zhuǎn)換通信方案，包括CCN-IP，IP-CCN，CCN-IP-CCN，IP-CCN-IP。1.3.1IP-CCN-IP通信隧道的實(shí)現(xiàn)該命名定義網(wǎng)絡(luò)隧道模仿了IP網(wǎng)絡(luò)中通過(guò)將CCN數(shù)據(jù)包封裝并通過(guò)VPN隧道傳輸CCN網(wǎng)絡(luò)數(shù)據(jù)包的方法。這在命名定義網(wǎng)絡(luò)中也能夠傳輸IP數(shù)據(jù)包，從而為命名定義網(wǎng)絡(luò)的分次部署。在多個(gè)代理設(shè)備上設(shè)置CCN隧道