2016年咨询继续教育数据与多媒体专业讲解

第五篇数据与多媒体专业第一课IP网络发展及相关技术P2数据与多媒体专业培训课件安排第1课，IP网络发展及相关技术(1)IP网络发展概述(2)电信级IP承戟网技术(3)下T互联网发展及架构演进(4)IP设备和组网技术发展趋势(5)DP和SDN/NFV相关技术第2课、数据业务技术数据业笄技术第a课，云计算及网络安全加算网络安全第4课、移动互联网移动互联网第5课、物联网物联网第6课、视讯业务与PTV视讯业务与IPTVP3第一节IP网络发展概述P3一、互联网业务发展现状互联网(Internet)，又称因特网，是计算机网络与计算机网络之间以一组统一的协议相连，形成逻辑上单一、巨大、覆盖全球的互联网络。随着互联网的迅速发展，IP网络和IP技术迅速崛起。IP网络作为核心的数据承载网也已成为电信运营商的基础网络之一。(一)业务规模据统计，2012年全球网民数己超20亿人，更有人预测2016年将达30亿，约占全球人口的一半。庞大的用户规模，加上层出不穷的大带宽业务，互联网的流量和带宽容量也在不断增长。(二)业务类型主要包括互联网视频、P2P下载、社交网络、移动互联网。(三)业务模式随着业务生态的发展，目前互联网的业务模式演变成为明显的上下两层：“OTT+网络运营商”。OTT(overthetop)，指在运营商网络之上提供业务，例如网络视频、应用商店等，也特指提供此类业务的供应商，如Google、苹果、腾讯等。OTT的出现是互联网开放性的必然，也是互联网业务的最大特色。P4二、互联网面临的难题互联网发展到今天，对当今社会的发展和影响有目共睹，IP技术作为统一的业务承载传送平台也基本得到认同，但互联网发展到今天一直面临几大难题，影响和引导着IP技术的演进。

（一）端到端服务质量的保证难以实现端到端服务质量保证是IP技术的缺陷之一。由于服务质量问题的存在，导致在IP网络上开展电信级实时业务时不得不采取很多复杂的技术措施。（二）网络安全互联网的精髓之一就是“开放网络”，一方面带来了互联网的繁荣，另一方面，也是各种网络安全问题的根源所在。（三）地址资源匮乏目前互联网大多数应用使用IPv4协议，由IPv4向IPv6过渡迫在眉睫。（四）互联网业务和应用不可控因为互联网应用与网络的无关性，IP网络运营商对互联网环境下的各种应用和业务缺乏控制能力。P5、IP网承载业务的变化互联网原先仅承载简单的数据业务，目前IP网承载了包括话音、数据和多媒体等业务。数据业务包括基本数据业务和增值数据业务，例如互联网接入业务、互联网数据中心（IDC）业务、虚拟专用网络（VPN）业务等；话音业务包括VoIP业务以及基于VoIP的增值业务等；多媒体业务包括各种视频业务、流媒体业务、基于会话发起协议（SIP）的软交换业务、IP多媒体子系统（IMS）业务等等。（一）不同业务对性能要求不同不同业务在服务质量、可靠性、安全性等性能要求方面都有着不同特点。.服务质量要求一般地，各种业务按照内容特性分类对服务质量要求情况如下：（1）会话类业务：对时延和时延抖动要求较为严格；（2）流媒体类业务：单向数据流，对时延抖动有较高的要求，对时延要求不高；（3）交互类业务：双向数据流，对数据的误码率有较高要求，对时延的要求不高；（4）背景类业务：要求内容传送正确，对时延要求不高。.可靠性要求业务的可靠性要求可以分为电信级、高级和一般级：（1）电信级：要求可靠性接近99.999%，一般对时延和时延抖动要求高；（2）高级：可靠性要求较高，一般对时延和时延抖动要求不高；（3）一般级：可靠性要求一般。.安全性要求根据所承载业务的安全保密性要求：（1）高安全性：具有较高的保密性要求的业务；（2）一般安全性：具有一定的保密性要求，但安全要求不高的业务。第二节电信级IP承载网技术本节主要介绍电信级IP承载网的主要技术，包括电信IP网络组网技术、IPQoS、IP网络的高可用性和IP网络的流量管理。

P6电信IP网络组网技术（一）IP网络结构与组织电信IP网络结构一般根据业务、运营、管理等因素确定。网络结构可分为两级：骨干网、城域网，也可分为三级：省际骨干网、省内骨干网和城域网。在省内城市和地区可根据业务需求组建IP城域网。如下图示意:国内°F亘贰地城网图5.1-1IP网络结构示意IP城域骨干网部分可分为核心层、汇聚层和接入层。IP城域网结构示意如下图。]P骨干网城域网核心层业务控制城域网汇兼层交换机城域网接入层D'LAMFLJNBRAS图5.1-2IP城域网结构示意FLJNBRASP7IP网络的路由技术IP网络的路由技术是IP网络的核心关键技术之一。所谓路由是把信息从源穿过网络传递到目的的行

为，在路上至少遇到一个中间节点。路由包含两个基本动作：选择最佳路径和通过网络传输信息。互联网的路由协议划分为内部网关协议（IGP）与边界网关协议（BGP）。内部网关协议，常用的有OSPF（OpenShortestPathFirst，开放最短路径优先）和IS-IS（IntermediateSystemtoIntermediateSystem中间系统到中间系统）协议。lOSPFOSPF属分布式的链路状态协议，OSPF还是一种分层次的路由协议，它将网络划分为不同的区域，每个区域都有自己特定的标识号，其中主干（Backbone）区域负责在子区域之间分发链路状态信息。OSPF的实现由两个互相关联的主要部分组成：“呼叫”协议和“可靠泛洪”机制。lIS-ISIS-IS是电信运营商IP骨干网普遍采用的内部网关协议之一。IS-IS是一个分级的链接状态路由协议，基于DECnetPhaseV路由算法，与OSPF非常相似，它也使用Hello协议寻找毗邻节点，使用一个传播协议发送链接信息。IS-IS可以在不同的子网上操作，包括广播型的LAN、WAN和点到点链路。lBGP边界网关协议（BGP）是在两个自治系统（可以使用不同的内部网关协议）之间使用的路由选择协议。BGP是不同自治系统的路由器之间交换路由信息的协议，它是一种路径向量路由选择协议。BGP的基本功能是交换网络的可达信息并建立AS路径列表，从而构建出一幅AS和AS间的网络连接图。P8MPLS技术/ipVpn/IPQOS多协议标记交换（MPLS）是一种介于第二层和第三层的包转发技术，引入了标签机制，把路由选择和IP包转发分开，由标签来规定一个IP分组通过网络的路径。MPLS标记交换的具体操作过程分为两个方面：控制面和数据面的操作。MPLS结合了二层交换和三层路由传输技术。利用MPLS转发模式，除了和传统网络层转发相比可以提高转发速度外，更可以实现流量工程（TE）、实现MPLSVPN和协助提高QoS等功能。（四）IPVPN技术IP虚拟专用网（IPVPN）是指通过共享的IP网络建立私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。目前，比较常用的隧道协议包括GRE、IPSec、MPLSVPN、SSLVPN等。二、IPQoS实现IPQoS的方法有多种，包括：过量资源配置、资源预留和业务区分等。P9IP网络的高可用性网络高可用性就是在故障发生的情况下，网络仍能维持服务连续性的能力。目前IP领域一些保障网络可靠性、提高网络可用性的技术如下。（一）BFD双向转发检测（二）IGP快速收敛（三）接口备份（四）平稳重启机制（五）不间断路由（六）MPLS自愈恢复

IP网络流量流向分析目前IP网网络流量分析技术，主要以基于网络设备提供的Netflow机制实现的。（一）NetFlow工作原理NetFlow的工作原理如下图所示：标准的交换模式处理数据流的第一个IP包数据，生成NetFlow缓存。NetFlow收集器从路由器或者交换机等Netflow源设备采集原始的数据流信息，NetFlow收集器对原始信息进行预处理，然后发送给Netflow分析器进行汇总的统计分析，生产报表结果等。NetFlow把数据流统计信息输出到远端分析器，以便进一步处理。统计作彻（二）网络流量流向分析技术应用目前NetFlow流量流向监测主要应用于电信IP网络的骨干网、城域网、IDC及网络关口节点监测之中。通常部署在网络的各个接入点，对所有接入网络中的流量进行分析。P10第三节下一代互联网发展及架构演进一、下一代互联网发展概况互联网在不断演进和发展的过程中，也面临着重大的挑战，这些挑战包括：IPv4地址空间即将耗尽，网络安全可信度需要提高，移动漫游能力有限，可扩展性压力日增和难以达到用户可调控的网络质量保障二、下一代互联网的体系架构以IPv6协议为基础和核心，下一代互联网的整体架构主要侧重以下三部分。（一）网络承载体系网络承载体系主要包括IP网络架构，涉及IPv6过渡机制和技术、移动子网机制和技术、自适用组网机制和技术、终端适配技术和虚拟组网技术等。（二）业务平台体系业务平台体系主要包括业务平台架构，涉及移动互联网应用平台、视频应用平台、物联网应用平台和云计算应用平台等。（三）运营支撑和安全体系运营支撑和安全体系主要包括AAA、DNS、MBOSS、网管、监控系统、设备安全系统、信息安全系统和

网络安全系统等。三、向下一代互联网演进的主要原则网络架构演进策略与国情、成本、业务模式和现网结构等各种因素相关，应遵循如下原则。（一）下一代互联网演进首先应解决地址问题（二）下一代互联网演进应减少对现有应用的影响（三）下一代互联网演进应结合实际网络选择不同模式从网络演进的总体模式来讲，主要分两种模式：新建模式和双栈模式。四、过渡技术（一）技术分类目前，国际公认的过渡技术主要分为双栈技术、隧道技术和翻译技术三大类。（二）应用场景从IPv4-IPv6通信的场景来看.过渡技术部署需要解决同类协议应用通信场景（IPv4-IPv4和IPv6-IPv6）和异类协议应用通信场景（IPv4-IPv6）两大类。（三）发展方向这类技术的主要特点是：有效缓解IPv4地址不足又积极推动IPv6发展；规避两次NAT带来的地址规划复杂性和降低应用穿越难度；满足主要的IPv4-IPv4、IPv6-IPv6以及IPv4-IPv6通信场景。P11第四节IP设备和组网技术发展趋势一、IP设备技术发展趋势路由器的板卡和交换系统能力受制于芯片技术的发展，背板技术、配电散热技术和节能减排技术决定了机箱系统的能力和可扩展性，操作系统技术决定了系统稳定性和设备硬件性能可实现的程度。（一）芯片技术（二）背板技术大容量设备背板架构决定了一个单机系统最大的扩展能力。（三）板卡技术（四）节能减排技术最为有效的降低核心机房能耗方法是对网络进行改造。而在设备层面，也有不少关键技术：先进散热技术、智能风扇技术、简化电压种类、内置温控芯片、动态调频调压功能和操作系统技术。二、高速链路技术未来的接口趋势将是以太化/OTN。IP和光的融合将进一步降低组网成本，提升转发效率。（一）IP与光的融合随着业务IP化和网络扁平化的发展趋势，业内越来越关注IP承载和光网络的分工融合，并且路由器100GE高速接口的不断应用更向光网络提出一些新需求和严峻挑战。

（二）超高速链路高速以太接口是业界发展趋势，目前路由器100GE/40GE速率接口逐步规模商用。三、网络规划与演进策略网络规划是指引实际工程建设的规范，技术上要有适度的前瞻性，实际部署时需统筹考虑投资效益、运维管理、政策方针等各方而因素。（一）网络规划应考虑的因素l投资效益l运维管理运维管理也是网络规划中不可忽视的关键因素。运维人员的技术水平是否合格，运维管理制度是否合理，运维流程是否顺畅等，均直接影响到运营商的业务提供效率以及故障反应速度，从而进一步影响到用户体验。（二）主流运营商案例l在文章中对国内主流运营商中国电信、中国联通、中国移动的案例进行了阐述l在文章中对国外主流运营商AT&T、德电、Verizon的案例进行了阐述P12第五节DPI技术DPI（DeepPacketInspection,深度包检测）是一种基于应用层的流量检测和控制技术。通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行分析重组，从而识别应用程序的类型。流量识别和控制系统的检测原理主要有深度流检测（DFI）和深度包检测（DPI）两种方式。。一、DPI的技术分类可将DPI的识别技术分为特征字识别技术、应用层网关识别技术和行为模式识别技术。二、DPI系统的主要功能DPI系统实现的主要功能有全业务分析与控制、用户行为分析、广告推送。三、DPI现网应用电信运营商应用DPI技术主要从网络部署的安全性、业务处理的实时性、能够处理的链路规模、能够同时支持检出特征字的规模、控制能力等方面来考虑。为了降低部署成本，基本遵循1/4城域网出口带宽轮询的原则，DPI系统部署在网络出口监控网络流量，对于网络运营商了解网络流量的构成、网络流量流向，以及对应用层流量的控制有很重要的作用。DPI提供电信运营商所需的的统计分析数据，支持前后端的网络运维管理、市场策略定制等。P13四、DPI的系统架构

图5.1-11并接方式系统结构图图5.1-12串接方式系统结构图图5.1-13串并一体化方式系统结构图DPI系统工作包括数据采集、数据分析、数据统计和控制。通过分光设备将数据流复制到后台，由分析设备和后台服务器对数据流进行分析，将分析结果传送到控制设备，按照一定的规则对数据流进行控制。DPI系统包括分光器、分析设备/控制设备、后台服务器等功能实体。DPI系统可分为串接、并接、串并一体化三种部署方式。（1）数据采集。数据分析/控制模块通过分光设备串接或并接在需要监控的链路上，这个模块往往除了数据采集，还会做一些基本特征的判断和检出，并将检出的结果发送给后台服务器。该模块根据实现方式的不同，还可能具有对数据包进行重组后继续发送的能力。（2）数据分析。检测出符合特征字的数据段后，在系统总线上复制该数据段，数据分析模块获取该数据后，按照在DPI系统上叠加的业务系统的要求对数据进行存储和处理。这个模块相当于DPI的业务系统，能够叠加多种基于DPI特征的业务。（3）数据统计和控制。后台服务器负责将监控的信息进行分类统计呈现，并将运营商对业务的检测、控制请求发送到控制模块。第六节SDN/NFV相关技术P14SDN技术发展主要有三个方向：（1）转控分离方案。将网络设备进行集中管控、转发控制分离，简化转发设备。以ONF的OpenFlow协议为代表，可以很好的支持开放编程、业务创新、业务自动化，其代表厂家是BIGSWITCH。（2）Overlay方案。用于解决数据中心的虚拟化、自动化，支持多租户的需求。Overlay方案认为网络只要提供基本IP连通性，不需要感知任何租户和虚拟化概念，而是在服务器上直接发起虚拟化叠加在现有网络上，这种方案通常也称为IT的多租户虚拟化方案，主要的支持厂家包括VMware和微软。由于无法和网络联动，Overlay方案存在很多问题无法解决，包括组播、QoS、以及服务器性能下降问题。（3）传统网管增强方案。以思科的OnePK方案为代表，这种方案能够解决业务自动化问题，方案主要是开放设备的北向接口，提供开放编程能力，但是设备仍然保留原先的智能，仅仅解决了业务自动部署问题，但是对于快速业务创新，简化网络等方面都明显不足，对比转控分离方案仍然存在差距。

SDN控制现网流量的主要思路一个比较直接的想法就是抛弃掉现网的路由机制，采用全新一套机制来控制路径，Openflow就是这个思路。另一个可选的方案是保留现网的基础控制协议，而采用叠加网络（Overlay）的思路，控制器通过控制叠加网络达到对业务路径进行控制的目的。下图简要描述了SDN控制叠加网络的思路，这个叠加网络可以采用MPLS、BGP/VPN、GRE、VXLAN、NVGRE、TRILL等目前主流且比较成熟的技术，有效利用现有成熟协议和转发适配，而基础网络保持IP/IGP能力，可以让存量网络平滑演进到SDN。SDN系统采用统一的全局路径算法，但提供不同的南向接口来控制不同协议的叠加网络，这样可以适应于多种现有网络；叠加网络还可以让SDN聚焦于控制那些感知业务的节点，简化流量疏导和优化的复杂度。言加网络：基础网络:用有全局现匡］和信息，可做全局和近砺导和优化茨一的路迳算子，不同的南向接口MPLS,BGP/nPMGRE言加网络：基础网络:用有全局现匡］和信息，可做全局和近砺导和优化茨一的路迳算子，不同的南向接口XLAN/NVGRETRILL舌[P/IGP图5.1-19SDN控制叠加网络的思路[P/IGPP15基于SDN的流量疏导与优化系统框架一个完整的SDN流量调优系统应该包含如下四个核心部件：流量分析器：负责收集现网的流量数据，包括对用户及对业务的识别，也包括对现网数据的汇聚、挖掘、分析等，并提供可视化报表给上层业务管理系统。策略管理器：负责管理用户和业务策略，将合适的策略下放给控制器。协同器：负责提供API及界面给上层业务管理系统，负责根据策略信息判定触发流量疏导和流量优化的动作，下放调优指令给控制器。控制器：根据收集到的流量、策略和拓扑信息进行全局算路，并通过合适的南向接口将路径控制指令下到设备上去执行。

图5.1-20基于SDN的流量疏导与优化系统框架要完成一个端到端的流量调优，SDN系统要采集三类信息：流量信息、策略信息和拓扑信息。整个SDN流量调优的过程是一个闭环的过程：首先是设备上报流量和拓扑信息给SDN系统，然后是流量分析器做流量分析，挖掘出可供调节的流，接着是协同器根据流量信息和策略管理器提供的策略信息进行判定，将调优指令下给控制器，控制器根据流量、策略、拓扑等信息进行路径计算，为业务生成新的路径，再将这些新的路径通过南向协议下到设备上去执行，设备完成路径调整后上报新的流量和拓扑信息给SDN系统，从而完成闭环过程。下图是SDN流量调优系统与SDN标准模型的对比，可以看出SDN流量调优系统吸取了SDN的两大核心理念（开放可编程、集中控制），并融合了运营商网络现有的成熟机制，更适合于运营商网络，让运营商在享受了SDN带来的好处的同时，又不必对存量网络进行革命性的改变，是SDN在运营商网络较为理想的演进方案。SDN流量调优系统SDN标堆模型止言世明曲何祥+萦略警壁幅集中控川，金时算皓槌titSDN流量调优系统SDN标堆模型止言世明曲何祥+萦略警壁幅集中控川，金时算皓槌tit提触开放接口给匕后再用.筑行网第蚂揖簟中的定式jf使圈成粘加你格化的两向接”r和白gp等，,逐述对事加同党的控徜索瑟响业先盖汪.军熊要全时升舐图5.1-21SDN流量调优系统与SDN标准模型对比P16NFV技术发展趋势

NFV（网络功能虚拟化）和SDN有交集，但是又有很大差异的技术，NFV的目标是利用当前的一些IT虚拟化技术，将多种物理设备虚拟化到大量符合行业标准的物理设备中，然后在这些标准的硬件上运行各种执行这些网络功能的软件来虚拟出多种网络设备，可以简单理解为统一软件管理不同的硬件。下图是NFV示意图，左边代表了当前运营商网络中的设备部署情况，右边表示只有三种类型的设备，分别是一堆同类型的服务器、一堆同类型的存储设备、一堆同类型的交换机，结果就是左边设备通过软件虚拟化到右边的三种类型设备。Classical'kcwork如曲址史图,»IB希FmU Tw瞿*hWwBflhtdei-1Classical'kcwork如曲址史图,»IB希FmU Tw瞿*hWwBflhtdei-1■山田间雄审理博囱Ek』.Netv^flikVi：Lua>^tion客户（运营商）痛点■多种集物专用设苗.数量多.生命周期后■新业务开发困流，周朋长，运营成本高・新业务需变新的硬得.邰者避,投翁成本高MFV的目标&进展kuHe:VrfiHwif(jr附etworkHjrKt心nsVlrtuniu玳丽AflwuchHFV的目临:通过业转网关虚拟化和统一硬件平台,实现业务快使部署、娓高管理、城护效率，新业务快速创新.姗究进展：+砥1淬1。月怡和g户运营尚在SDNfQOpenFlow世界大篌上发布NFV白皮书•2012年11月.在ETS喊立I&G项目d首次会议在1月份召开图5.1-15NFV网络功能虚拟化根据NFV标准组织的介绍，NFV和SDN是互补关系，NFV相对适合运营商环境，即适合运行计算密集的网络服务。P2第二章数据业务技术

第1课、IP网络发展及相关技术IP网络发展及相关技术第2课、数据业务技术(1)数据业务发展概述(2)数据业务平台架构及发展{3)典型数据业等技术第a课，云计算及网络安全云计算网绪安全第4课、移动互联网移动互联网第5课，物联网物联网第6课、视刑隋与IPN视讯业努与IPTVP3第一节数据业务发展概述数据业务是指利用数据通信网络的分组数据通信能力开发出来的，有别于传统电路交换语音业务的新业务。业务规模随着电信业的改革与发展，固定数据业务和移动数据业务得到了长足发展。目前，从数据业务发展趋势上来看，我国运营商网络上的流量大部分已经是数据业务，数据业务所占比重持续增加，成为电信业务新的增长点。语音业务的增速不断下降，语音业务低值化趋势已经不可逆转，单纯依靠语音业务的竞争无法适应未来的市场环境，数据业务成为未来竞争的重点，数据超过语音是电信业发展的一大趋势。用户规模根据中国互联网络信息中心(CNNIC)发布的《第35次中国互联网络发展状况统计报告》显示，截至2014年12月，中国网民规模达6.49亿，全年共计新增网民3117万人。互联网普及率为47.9%，较2013年底提升了2.1个百分点。中国手机网民规模达5.57亿，较2013年底增加5672万人，网民中使用手机上网人群占比由2013年的81.0%提升至85.8%，增速十分迅猛。业务模式早期互联网业务是在PC等固定终端为核心，随着移动网络的发展，特别是3G时代的到来，使得移动互联网业务全面超越固定互联网业务。移动互联网已经凭借着出色的业务吸引力，成为人们生活中不可或缺的一部分。典型移动互联网业务有移动搜索、移动音乐、移动社交网、移动购物、移动视频、移动游戏、基于位置的服务和移动广告等。随着中国4G网络和业务的发展，移动互联网业务将再次呈现出爆发式增长趋势。第二节数据业务平台架构及发展P4一、数据业务平台架构业务网标准体系架构众多，有Parlay工作组提出的PARLAY/PARLAYX体系，OMA组织推出的OSE(OMA

OMAServiceEnvironment)框架，以及MorianaGroup提出的SDP(servicedeliveryplatform,业务交付平台)等。各种架构的核心思想都是强调电信能力开放，将通信网络的能力抽象为一组开放的、标准的、与具体技术无关的应用程序接口，提供给包括业务提供商、第三方业务开发商和独立软件提供商在内的业务和应用开发者使用，从而以运营商为核心构建一个开放共赢的价值链体系。由于国内运营商的业务网体系更多的参考了SDP架构，因此，下文中我们重点介绍一下SDP。1.SDP架构一个理想的SDP应当包含如下功能：一是一个能使增值业务快速部署、提供、执行、管理和计费的完整的生态系统。—使语音、数据业务以及内容的传递与具体网络和终端无关。—聚合了不同的网络能力、业务以及内容，允许应用开发者以统一、标准的方式进行访问。一可以有选择的提供给外部SP、企业对业务能力进行开放、安全的访问。Web图5.2-1MorianaGroup提出的SDP架构上图是MorianaGroup提出的SDP架构。该架构将SDP分为四个部分：网络抽象层(NAL,NetworkAbstractlayer)、业务执行平台(SEP,ServiceExecutionPlatform)、内容交付平台(CDP,ContentDeliveryPlatform)和业务暴露层(SEL,ServiceExposureLayer)o2.国内运营商数据业务平台架构(1)中国电信ISMP架构中国电信移动业务网络建设以移动业务管理平台(ISMP,IntegratedServiceManagementPlatform)为核心，实现“一级组网、两级管理”。(2)中国移动DSMP架构数据业务管理平台(DSMP,DataServiceManagementPlatform)是中国移动数据业务管理核心平台，主要功能是管理订购关系和代计费，支撑短信、WAP、彩信等主要数据业务。中国移动对于增值业务网提出了SDA的目标网方案。SDA(ServiceDeliveryArchitecture)是三层三域的架构，包括业务能力层、接入层、应用层和展现域、业务控制域、运营域，如下图所示:

应用层展现域业彝门户解行业帮门户及野门户接人层出放控制域[?到四信彩信工yMUSSDIM应用层展现域业彝门户解行业帮门户及野门户接人层出放控制域[?到四信彩信工yMUSSDIM位置好一举参曾碗嬖江捏翳订购果道舞耨同步运普展L .“客户这营业务运营超营管理运营支撑，图5.2-2SDA架构(3)中国联通VASP架构中国联通移动业务网络建设分全国、各省两级组网架构，综合增值业务平台(ValueaddedServicePlatform,VASP)实现统一业务接入、统一认证鉴权、统一业务管理、统一内容管理、统一业务门户。P5二、数据业务平台发展1.数据业务平台早期纵向架构在数据业务发展的早期，业务系统是按不同的接入方式分别建设的，纵向“烟囱式”发展业务系统，比较典型的有SMS系统、MMS系统、WAP系统、JAVA系统等。早期架构如下图所示:网关CP/S网关CP/S移动承载网络用户 用户图5.2-3早期数据业务平台架构图对用户而言，使用申请、定购、配置等业务麻烦，用户感知不良好。对运营商而言，各种数据业务系统分别独立开发、维护、运营的状况，一方面造成业务的计费和管理相对分散，无法综合考虑同一用户的多种业务订购行为，也就无法制定相应的市场策略与价格策略；另一方面业务的发布与网络结构有关，不

同的网络可能需要发布不同版本，不同的网络之间，业务交互困难，业务融合难度大，业务实现复杂，开发周期长，投资收益低，不利于第三方开发。对CP/SP而言，提供不同的增值业务，需要与不同的业务系统接入，需要与不同的部门打交道。2.数据业务平台横向发展架构为了解决CP/SP与业务订购者相互之间认证困难和收费渠道不畅等问题，提高各个分业务系统业务运营的效率和用户管理的可操作性，综合业务管理平台应运而生，数据业务平台朝“横向”架构发展。综合业务管理平台的在功能上满足统一门户、统一接入、统一鉴权、统一计费、统一管理的功能。综合业务管理平台系统架构如下图所示。JP/SP|cp/sp||cp/sp|短信费接入网关务引擎务引擎其它亶务引擎网络接入网关sinoJP/SP|cp/sp||cp/sp|短信费接入网关务引擎务引擎其它亶务引擎网络接入网关sino移动承载网络函 画图5.2-4目前数据业务平台架构图综合业务管理平台的主要作用是提供多用户终端类型接入支持手段、无缝的认证、支付、计费结算体系，为用户提供方便、安全快捷的增值服务；为CP/SP提供灵活、稳定和安全的业务开展平台；同时也为电信运营商制订和实施灵活多样的业务运营策略和不断推出新的数据业务提供技术保障。P6三、数据业务平台演进针对以上挑战，各种标准化组织均提出了未来的业务网络架构。例如ITU-T和TISPAN提出了基于IMS的下一代网络概念NGN，并且都分为业务层和传送层。在业务层方面，3GPP与OMA分工合作，3GPP主要定义IMS的业务能力，而OMA则定义业务引擎。OMA开发的不同业务引擎都可以与IMS接口，并通过IMS利用IMS的能力及其底层网络的基础资源。综合3GPP

图5.2-53GPPIMS业务和应用架构从上图可以看到，在以IMS为核心的下一代网络中，将有两种业务提供方式，一种是IMS本身能所提供的消息、会议等业务和应用，另一种是通过OMAOSE所提供的各种业务引擎而产生的各种应用。总结来说，从目前各标准组织对业务层的研究来看，尽管出发点和具体要求不尽相同，但目标是一致的，体现在开放、分离、融合、安全等方面，即：一业务提供接口开放，支持第三方业务生成、提供和更新业务；一业务提供商和网络运营商分离，快速提供差异化的增值业务；一支持业务融合，提供易于使用的融合业务；—加强安全和保护，这是开放体系架构的基本要求。通过业务提供商的可信赖性，确保网络基础设施的安全性。第三节典型数据业务技术考虑到固网基础数据业务已很成熟，本节内容侧重移动业务技术。P7一、WAP技术WAP（WirelessApplicationProtocol）为无线应用协议，定义了移动通信终端连接互联网的标准方式，使移动设备可以方便地访问互联网。WAP网关实际上就是一个代理设备。在移动客户端，WAP网关作为服务器，为用户提供各种各样的服务;在互联网端，WAP网关作为客户机，向信息资源服务器发出服务请求，通过互联网获取用户需要的信息。（一）WAP规范WAP规范的要素主要包括：WAP编程模型、无线标记语言（WML）、用于无线终端的微浏览器规范、轻量级协议栈和无线电话应用（WTA）框架。（二）WAP业务WAP业务是专门为无线移动终端用户提供的互联网应用服务。基于WAP承载的业务主要有多媒体消息业务、下载业务、在线游戏业务、个人信息管理业务、终端管理服务、流媒体业务、移动即时消息业务、位置服务业务等。（三）WAP网关WAP业务由以下几方面设备的合作来实现：WAP终端、移动通信网络、分组域设备/电路域数据接入设备（GGSN/PDSN/NAS）、WAP网关、业务平台、业务与网络支撑系统等。WAP网关是WAP类业务的核心设备之一，位于GGSN/PDSN/NAS和业务平台之间，它还与短消息中心、业务运营/管理支撑系统、网管系统、业务门户系统等互联。WAP网关在网络中的位置如下图所示:GGSN;PDSNWAPGGSN;PDSNWAP同关图5.2-6WAP网关在网络中的位置WAP网关的基础功能包括协议网关功能、Push功能、内容编解码器、用户代理特征值管理、高速缓存代理、错序包重组等。二、消息类业务技术（一）短信业务短信是短消息业务（SMS，ShortMessageService）的简称，实现通过手机发送或接收有限长度的文本信息。（二）多媒体消息业务多媒体消息业务（MMS）是短消息业务和增强型消息业务的进一步发展。多媒体消息不仅仅局限于文本信息，还可以传递更为丰富的信息，比如图像、音频、视频和数据。多媒体消息业务可以采用WAP1.x、WAP2.0、HTTP或其它方式承载，可选择GSM、GPRS、CDMA1X或者3G网络作为承载网络。多媒体消息系统的系统结构如下图示意。

MM承端MM1GSMIP网MM6WAP网关GPRSIP网GGSNMM3其它MM5C3G外部服务镭非MMS终端用户数据库MMSEelay/Server非终端处理系统接入服务器短信中心.计费系统MM潴值

应用系统MM8-LMM7Relay/MM承端MM1GSMIP网MM6WAP网关GPRSIP网GGSNMM3其它MM5C3G外部服务镭非MMS终端用户数据库MMSEelay/Server非终端处理系统接入服务器短信中心.计费系统MM潴值

应用系统MM8-LMM7Relay/ MM2MM4外部服务镭1例如E-Mail）图5.2-8多媒体消息系统的系统结构多媒体消息系统包括以下网元：MMS终端、多媒体消息中心、MMS用户数据库、外部应用服务器、增值应用系统以及非MMS终端处理系统。此外还需要WAP网关、GSM/GPRS网络资源等设备的支持，还要和现网中的计费系统、网管系统互联。（三）即时消息业务常规的即时通讯软件分为两类，一类个人应用的个人即时通讯，如微信、QQ、Skype等；另一类是企业即时通讯，以企业内部办公为主，建立员工交流平台；如MicrosoftLYNC、腾讯RTX、华为UC等。P8三、CDN技术CDN，即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。CDN提高服务质量的基本措施就是将内容推到网络的边缘，为用户提供就近性的边缘服务，从而保证服务的质量和整个网络上的访问秩序。（一）CDN架构CDN系统体系结构如下图所示:

图5.2-9CDN体系架构图如上图所示，CDN是一个部署在互联网上的策略性整体应用承载系统，包括内容管理、流量管理（实现网络请求的重定向）、负载均衡和分布式存储（由Cache群构成）四大部分。（二）CDN关键技术l.Cache缓存2.内容路由/负载均衡技术CDN负载均衡系统实现CDN的内容路由功能。它的作用是将用户的请求导向整个CDN网络中的最佳节点。.全局负载均衡（GSLB）.本地负载均衡（SLB）.内容分发技术.内容管理技术（三）CDN服务类型从CDN承载的内容类型来看，主要有静态网页内容、动态网页内容、流媒体、下载型文件，因而我们将CDN服务分为网页加速、流媒体加速、文件传输加速。P9四、下载类业务技术（一）FTP和HTTP下载FTP和HTTP是计算机之间交换数据的方式，也是两种最经典的文件下载方式。FTP专门用来下载，而HTTP的主要工作是用来浏览网页，不过也能用来下载。这两种下载方式是用户按照一定的规则（协议）和提供文件的服务器取得联系并将文件搬到自己的计算机中来。（二）P2P技术P2P是Peer-to-Peer的缩写，通常译为对等互联或对等连接。P2P的网络模型经历了三个阶段:集中目录式结构阶段、分布式网络结构阶段、混合式网络结构阶段。4.P2P应用网络上许多服务可以归入P2P的行列，如：（1）即时通信软件ICQ、QQ、Skype等，它们允许用户互相不通过服务器直接沟通和交换信息、交换文件，也可以借助位

于中心的服务器来完成沟通。（2）下载软件Bitcomet、eMule、迅雷等，每个下载用户下载完成文件的某一部分后都会成为种子服务器而为其他下载用户提供这部分的资源。（3）视频播放软件PPTV、QQ直播、迅雷看看等，利用P2P技术解决C/S视频直播模式无法解决的服务器端资源和带宽压力大。（三）应用商店应用商店是聚合各类开发者及其优秀应用，满足多类型终端客户的综合商场。目前，根据终端所用的操作系统可以分为以下三个大类：.AppStoreAppStore是一个由苹果公司为其手机、平板电脑、PC等产品创建的服务，允许用户从iTunesStore浏览和下载一些专门为了苹果设备开发的应用程序。.Android应用商店.WindowsStore由微软为其运行WindowsPhone、Windows8、Windows10等操作系统的终端建立的应用商店。五、位置类业务技术位置类业务是指通过移动通信网络为移动终端用户提供的与位置相关的服务的一种增值业务。具体的位置类业务一般包括大众应用和行业应用。在目前移动位置服务业务中的定位功能，主要分为三大类：（一）基于卫星定位包括GPS、北斗。目前使用最广泛的是卫星定位系统是美国的“NavigationSatelliteTimingAndRanging/GlobalPositionSystem”，其意为卫星测时测距导航/全球定位系统，简称GPS系统。该系统是以卫星为基础的无线电导航定位系统。.北斗中国北斗卫星导航系统（BeiDouNavigationSatelliteSystem，BDS）是中国自行研制的全球卫星导航系统。由空间段、地面段和用户段三部分组成，空间段包括5颗静止轨道卫星和30颗非静止轨道卫星。（二）基于移动通信网络定位包括CELL-ID（小区）、UL-TOA（上行链路到达时间定位）、E-OTD（增强型观测时间差分定位）、AOA+TA（单基站定位）。（三）室内定位室内定位是指在室内环境中实现位置定位，主要采用无线通讯、基站定位、惯导定位等多种技术集成形成一套室内位置定位体系，从而实现人员、物体等在室内空间中的位置监控。在室内除了使用移动通信网络定位以外，常见的室内无线定位技术还有：Wi-Fi、蓝牙、超宽带技术、RFID、ZigBee等。P10六、电子商务技术电子商务类业务以通信网和互联网技术为依托，通过各种终端进行的在线交易和商务作业活动。

（一）移动支付技术.SIMpass方案SIMpass是一种双界面SIM卡技术，采用13.56MHz工作频率，在原有的SIM卡上直接集成非接触式智能卡，并将天线布置在手机背板上，实现移动支付和其他非接触智能卡的功能。.RF-SIM方案RF-SIM卡是双界面智能卡（RFID卡和SIM卡）技术向手机领域渗透的产品，是一种新的手机SIM卡，选用了2.4GHZ的射频频率，可以将天线集成在SIM卡内。.NFC方案NFC由非接触式射频识别（RFID）及互联互通技术整合演变而来，在单一芯片上结合感应式读卡器、感应式卡片和点对点的功能，能在短距离内与兼容设备进行识别和数据交换。工作频率为13.56MHz。运营商更倾向于基于SIM卡的SIMpass和RF-SIM方案，银行和手机厂商更支持NFC。（二）条形码技术条码技术是实现POS系统、EDI、电子商务、供应链管理的技术基础，是物流管理现代化的重要技术手段。条码技术包括条码的编码技术、条码标识符号的设计、快速识别技术和计算机管理技术。（三）移动支付业务移动支付业务为移动电子商务发展核心，提供基于银行卡账户、自有移动支付账户的移动支付能力。手机支付业务平台一般包括业务主流程模块、支付平台门户、电子钱包服务模块、系统接口模块、银联接口模块等功能模块。系统接口包括与业务管理系统、Portal、服务提供商（serviceprovider，简称SP）、内容提供商（简称CP）、银联系统等的业务管理接口、单点登录接口、WebService接口等。系统图5.2-10移动支付平台系统结构图手机支付业务中，安全非常重要，必须建立从业务层面到系统层面、网络层面、管理层面的安全框架，保证整个系统端到端的安全性。七、面向行业客户的ICT类业务（一）ICT业务含义信息通信技术（InformationandCommunicationsTechnology，简称ICT）作为一种面向客户提供的服务来理解，将IT（信息业）与通信技术这两方面的知识和资源有机地结合起来，如远程教育、远程医疗、农业信息化、电子政务、电子商务、信息安全等领域。（二）ICT业务发展分析

很多电信运营商将ICT业务作为企业转型战略的重要业务发展方向之一。.电信运营商发展ICT业务的驱动力驱动运营商进入ICT业务领域的因素主要有：一业务收入增长压力。一竞争压力。一客户需求。.电信运营商ICT业务分类对于电信运营商而言，ICT业务可包括以下两大类：ICT应用如即时通信一般既包括即时通信、VoIP语音/视频通信等通信应用，还往往集成了电子邮箱、在线游戏、协同办公等IT和互联网应用。ICT服务帮助客户建立、管理和优化信息获取及业务流程的业务，一般是以服务形式实施，包括系统集成、运营管理外包、IT咨询等。（三）电信运营商ICT业务提供模式电信运营商主要通过如下几种模式来提供ICT应用和ICT服务。.联合上下游提供商，搭建应用平台，提供ASP应用.基于IP技术和融合网络，提供融合应用.延伸网络，拓展网络应用，开发行业解决方案.为政企客户网络、数据、业务系统提供ICT服务.基于自身网络、业务系统提供ICT服务（四）电信运营商ICT业务应用电信企业自身距离IT行业有不小的距离。.集成服务业务。例如网络通信集成、网络应用集成、行业应用集成等。.外包服务业务。例如网络通信外包、网络应用外包、行业应用外包等。.专业服务。例如灾备服务、管理型业务、应用平台业务、知识服务等。P11八、IDC互联网数据中心（IDC）是以电信级机房和网络资源为依托，以高水平专业化技术支撑队伍为基础，为各类用户提供各种资源出租以及相关增值服务，并定期向用户收取相应服务费用的一种电信服务。IDC拥有完善的设备（包括高速互联网接入带宽、高性能网络、安全可靠的机房环境等）、专业化的管理、完善的应用级服务的服务平台。IDC的业务包括基本业务和增值业务。IDC的基本业务包括：VIP机房出租、主机托管、服务器出租、虚拟主机、带宽出租和IP地址出租等。IDC的增值业务，作为在基本业务之外用户选购的附加服务，主要包括安全防护类、数据存储类、流量管理类、维护管理类、内容管理类、系统集成类等。从整体上看，IDC的系统包含机房设施子系统、网络子系统、资源子系统、业务子系统、管理子系统五大逻辑功能部分，如下图示意:

‘ 业务了•系统 'C基本业噌值业务）\ _1 Jf管理子系名布‘ 资源子系统 、工卜算、存棉、网络辘宽等资源也） J网格看拜资源管理「 网络子系统 二（;网络互供、祓心网络、汇聚网络等）\ /皿势管理运皆管理（ 机房电葡予系统 、《机房，伏山、稍防、空调、安防、布线等?安全管理图5.2-11IDC系统组成图机房设施子系统指为IDC运营所提供的一系列基本配套设施，主要为供电系统、消防系统、空调系统、安防系统、布线系统、照明系统等。网络子系统为资源子系统和业务子系统提供网络环境，由路由器、交换机等数据通信设备和安全设备等组成。资源子系统是IDC用来开展业务运营的基础，包括计算资源、存储资源、IP资源、带宽资源、机房空间资源等资源。业务子系统提供IDC的基本业务和增值业务，是IDC的核心要素，也是IDC价值的具体表现形式。IDC的机房设施子系统是核心的基础设施，如下图示意。当前需要在机房设施建设中贯彻节能减排的理念，从机房、供电、散热、设备选型等多个方面采取技术措施降低能耗，建设绿色、高效的IDC。当前，云计算成为热点。利用云计算技术和理念建设的新型数据中心被称为云计算IDC。一个云计算IDC的内涵主要有两个方面：一方面在已有IDC业务的基础上，进入云计算领域提供服务，另一方面，利用云计算技术提升IDC的技术层次P2第三课云计算及网络安全第三章云计算

第1课、IP网络发展及相关技术IP网络发展及相关技术第2课、数据业务技术数据业务技术第3课、云讨算及网络安全云计算概况云计翼技术网络安全概况阚络安全技术第4课.移动互联网移动互联网第5课，物联网物联网第6课、视讯业务与IPN视讯业努与IPTVP3第一节云计算概述一、云计算概念云计算(CloudComputing)是一种通过网络统一组织和灵活调用各种ICT信息资源，实现大规模计算的信息处理方式。云计算利用分布式计算和虚拟资源管理等技术，通过网络将分散的ICT资源(包括计算与存储、应用运行平台、软件等)集中起来形成共享的资源池，并以动态按需和可度量的方式向用户提供服务。二、云计算分类云计算的分类有很多种，主要的分类方式有根据云服务对象进行分类和根据所提供服务类型进行分类两种。1)根据云服务对象分类根据云服务对象的不同，云计算服务可以分为公有云、私有云、社区云、混合云四大类：2)根据所提供服务类型分类根据所提供服务类型，云计算服务可以分为基础设施即服务(IaaS，InfrastructureasaService)、平台即服务(PaaS，PlatformasaService)、软件即服务(SaaS，SoftwareasaService)三类：IaaS大多面向企业用户，提供包括服务器、存储、网络和管理工具在内的虚拟数据中心，可以帮助企业削减数据中心的建设成本和运维成本。PaaS面向应用程序开发人员，提供简化的分布式软件开发、测试和部署环境，它屏蔽了分布式软件开发底层复杂的操作，使得开发人员可以快速开发出基于云平台的高性能、高可扩展的Web服务。SaaS面向个人用户和企业用户，提供各种各样的在线软件服务。P4第二节云计算技术云计算核心技术主要包括虚拟化技术、分布式处理技术和在线软件技术。一、虚拟化技术虚拟化是将底层物理设备与上层操作系统、软件分离的一种去耦合技术，它通过软件或固件管理程序(Hypervisor)构建虚拟层并对其进行管理，把物理资源映射成逻辑的虚拟资源，对逻辑资源的使用与物理资源相差很少或者没有区别。虚拟化的目标是实现IT资源利用效率和灵活性的最大化。常见的虚拟化技术主要包括服务器虚拟化、存储虚拟化和网络虚拟化。(一)服务器虚拟化服务器虚拟化也称系统虚拟化，它把一台物理计算机虚拟化成一台或多台虚拟计算机，各虚拟机间通过被称为虚拟机监控器(VirtualMachineMonitor，VMM)的虚拟化层共享CPU、网络、内存、硬盘等物理资源，每台虚拟机都有独立的运行环境。一般来说，虚拟环境由三个部分组成：硬件、VMM和虚拟机。VMM取代了操作系统的位置，管理着真实的硬件。图5.3—2服务器虚拟化对服务器的虚拟化主要包括处理器(CPU)虚拟化、内存虚拟化和I/O虚拟化三部分，部分虚拟化产品还提供中断虚拟化和时钟虚拟化。(二)存储虚拟化存储系统大致可分为直接依附存储系统(DirectedAccessedStorage，DAS)、附网存储系统(Net-attachedStorage，NAS)和存储区域网络(StorageAreaNetwork，SAN)三类。Disk#-virtualizedi0iB8■PWlDUkt虚拟机主机1变世机接入

除准：IEEE接入交换机T7接大层虚拟云数据中心1汇展后£.Disk#-virtualizedi0iB8■PWlDUkt虚拟机主机1变世机接入

除准：IEEE接入交换机T7接大层虚拟云数据中心1汇展后£.汇聚层以太网多路径网多站点］时5世L九以太网©

存储网，融合云数据中心?■Fnrk存储网络.以去网与存楮网珞

甦合看和IEEE:匚聚层以火向珞会落役技卡:IETF.IEEE敬席中心互联二IETF图5.3-3存储虚拟化（三）云网络技术云可以看作是一个庞大的网络系统。一个云内可以包含数千，甚至上万台服务器，虚拟化技术的普遍采用使实际网络节点的数量更加巨大，因此用于连接云内各个节点的网络就成为实现高效的计算和存储能力的关键环节之一。图5.3-4云网络技术二、P5分布式处理技术分布式处理是云计算的一个关键环节，它可以部署在虚拟化之上，解决云计算数据中心大规模服务器群的协同工作问题，由分布式文件系统、分布式计算、分布式数据库和分布式同步机制四部分组成。（一）分布式文件系统文件系统是共享数据的主要方式，是操作系统在计算机硬盘上存储和检索数据的逻辑方法，这些硬盘可以是本地驱动器，也可以是网络上使用的卷或存储区域网络（SAN,StorageAreaNetwork）上的导出共享。通过对操作系统所管理的存储空间进行抽象，文件系统向用户提供统一的、对象化的访问接口，屏蔽了对物理设备的直接操作和资源管理。（二）分布式数据库

分布式数据库（DistributedDatabaseSystem,DDBS）是一组结构化的数据集，逻辑上属于同一系统，而物理上分散在用计算机网络连接的多个场地上，并统一由一个分布式数据库管理系统管理。与集中式或分散数据库相比，分布式数据库具有可靠性高、模块扩展容易、响应延迟小、负载均衡、容错能力强等优点。（三）分布式计算分布式计算是让几个物理上独立的组件作为一个单独的系统协同工作，这些组件可能指多个CPU，或者网络中的多台计算机。大型分布式系统通常会面临如何把应用程序分割成若干个可并行处理的功能模块，并解决各功能模块间协同工作的问题。这类系统可能采用以C/S结构为基础的三层或多层分布式对象体系结构，把表示逻辑、业务逻辑和数据逻辑分布在不同的机器上，也可能采用Web体系结构。三、在线软件在线软件技术是对SaaS服务构建技术的统称。SaaS的实现方式主要有两种，一种是通过PaaS平台来开发SaaS。PaaS平台提供了一些开发应用程序的环境和工具，可以在线直接使用它们来开发SaaS应用。例如，推出的平台，它提供了对SaaS构架的完整支持，包括对象，表单和工作流的快速配置，基于它，开发人员可以很快的创建并发布SaaS服务。另一种是采用多用户构架和元数据开发模式，使用Web2.0、Structs、hibernate等技术来实现SaaS中各层的功能。（一）多租户技术多租户架构是一种软件开发架构，采用这种方式开发的应用软件，一个实例可以同时处理多个用户的请求。目前，在SaaS设计中Multi-tenancy在数据存储上主要有三种解决方案：（1）独立数据库每个客户的数据单独存放在一个独立数据库，从而实现数据隔离。例如银行、医院等。（2）共享数据库单独模式客户使用同一数据库，但各自拥有一套不同的数据表组合存在于其单独的模式之内。（3）共享数据库共享模式用一个数据库和一套数据表来存放所有客户的数据。在这种模式下一个数据表内可以包含多个客户的记录，由一个客户ID字段来确认哪条记录是属于哪个客户的。（二）WEB2.0技术对于Web2.0，业界没有一个明确的定义，它包含了两个方面的含义：首先，它并不是一个具体的事物,而是一个阶段，是由Web1.0单纯通过网络浏览器浏览HTML网页模式向内容更丰富、联系更紧密、工具性更强的互联网模式发展的一个阶段；其次，它是促成这个阶段的过程中各种技术和相关互联网应用的一个总称。因此，Web2.0也被认为是以Flickr、Craigslist、linkedin、Tribes、Del.icio.us、43等网站为代表，以blog、tag、SNS、RSS、wiki等应用为核心，依据六度分割、XML、A2JAX等新理论和技术实现的互联网新一代模式。作为新一代的互联网技术的Web2.0，可以用它来实现SaaS界面层的功能。第七章网络安全P6第一节网络安全概述

随着互联网的蓬勃发展，越来越多的网络安全问题开始引起人们的关注。常见的网络安全威胁主要包括：入侵：未经授权的访问，及对资源与所定义的安全策略不一致的使用；拒绝服务：当一个授权的实体不能获得应有的对网络资源的访问或紧急操作被延迟时，就发生了拒绝服务；网络病毒：随着人们对计算机系统和网络依赖程度的增加，计算机病毒已经构成对计算机系统和网络的严重威胁；恶意代码：通过替换系统的合法程序，或者在合法程序里插入恶意的代码，以实现非授权进程，从而达到某种特定的目的；假冒：当一个实体假扮成另一个实体进行网络活动时就发生假冒；窃听：在广播式网络系统中，每个节点都可以读取网上传播的数据，如搭线窃听，安装通信监视器和读取网上的信息等。破坏：有意或无意地修改或破坏信息系统，或者在非授权和不能监视的方式下对数据进行修改。除上述常见的威胁外，随着新技术、应用的产生，新的威胁也越来越引起人们的关注，主要有基于WEB的应用、虚拟化技术所带来的安全问题以及更为复杂的APT（AdvancedPersistentThreat）高级持续性威胁攻击等。（一）基于Web的高级应用带来的新的安全威胁对于Web应用，最主要的攻击行为有：利用不安全的证书和身份管理进行认证劫持，修改发送给Web服务器的数据，利用超出缓冲区大小的请求来淹没服务器，通过Web应用向后端服务器传送恶意命令，破译用户证书（Cookie监听），通过Web应用向数据库传送恶意命令，篡改从服务器传送到浏览器的Cookie，跨网站脚本攻击，恶意配置无效参数，强制用户访问未经授权的URL（UniformResourceLocator，统一资源定位符）等。（二）虚拟化技术中的网络安全问题（1）虚拟化软件的漏洞。（2）流量控制问题。（三）APT高级持续性威胁攻击APT攻击是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。其攻击的原理主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。APT攻击相比于传统的攻击方式，其隐蔽性更强，持续时间更长，危害性更大。第二节网络安全主要技术P7一、网络安全体系网络安全体系包括多个层次，不同层次反映了不同的安全问题，根据网络的应用现状和网络的结构，通常采用信息安全防范体系框架结构图来描述网络安全的总体框架，如下图所示。

灵图5.7-1信息网络安全防范体系框架结构图图中三维特性分别是安全服务、系统单元和OSI参考模型。框架结构图中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则认为该信息网络是符合相应的安全等级的。P8二、信息安全等级保护要求依据我国《信息安全等级保护信息安全等级保护管理办法》的规定，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素将信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国标《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)，针对每一安全保护等级皆给出了技术层面和管理层面的具体要求，可作为相关信息网络系统安全防护建设方面的重要依据。P9三、主要安全技术(一)防火墙防火墙是一个或一组系统，其主要目的是要在网络内部、外部或任意两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出网络的服务和访问的审计和控制，在网络之间执行访问控制策略。通常根据其发展历程，按照实现方式不同分为包过滤型、应用级网关型、代理服务型和状态检测型。(二)入侵检测系统(IDS，IntrusionDetectionSystem)入侵检测系统是一种专用工具，通过它可以对企图入侵、正在进行的入侵或已经发生的入侵进行识别，对信息系统非授权访问或未经许可的操作进行阻断、行为记录或报警等处理。入侵检测系统通常与防火墙

形成联动机制，帮助安全系统对付网络攻击，以扩展安全系统管理的能力，达到提高网络安全体系结构完整性的目的。入侵检测系统常用的技术手段有模式匹配、统计分析、协议分析和完整性分析等。入侵检测系统按照实现方式可分为基于网络的入侵检测系统和基于主机的入侵检测系统。（三）安全漏洞扫描系统安全漏洞扫描系统是自动地对计算机系统或者网络设备的安全漏洞进行检测的系统，并且能为检测到的漏洞提供修补措施，从而预防被攻击的危险。漏洞扫描的目标一般是服务器、网络设备等，如Web服务器、数据库服务器、局域网交换机、路由器等。（四）虚拟专网（VPN，VirtualPrivateNetwork）VPN指一些网络节点通过公共网络（如公共的互联网）建立的一个安全的网络连接，形成逻辑上的专用网络，以达到在共享或者公共网络上安全地传输私有数据的目的。（五）网络病毒防护系统从目前病毒的演化趋势来看，网络防病毒产品的发展趋势主要体现在以下几个方面：.反黑与反病毒相结合。.从网络入口拦截病毒。.全面解决方案。未来的网络防病毒体系将会从单一设备或单一系统，发展成为一个整体的解决方案，并与网络安全系统有机地融合在一起。.云安全。.区域化到国际化。这就促使网络防病毒产品要从技术上由区域化向国际化转化。（六）流量清洗系统流量清洗系统是专用安全防范系统，它针对网络中的异常流量进行过滤，如DDoS/DoS、蠕虫、僵尸网络等攻击，以保证正常业务流量的带宽，为用户提供稳定可靠的网络服务。流量清洗系统一般由攻击检测、清洗中心和集中管理三部分组成：（七）路由与交换安全在IP网中，路由发生在网络层，而交换发生在数据链路层。路由器和交换机都是重要的网络设备，此类设备的安全配置和优化是网络安全体系中必须考虑的因素。由于路由器所处位置的特殊性，成为黑客频繁攻击的主要目标，而交换机也经常会受到DoS攻击或蠕虫病毒的攻击。（八）身份认证身份认证技术主要解决如何确认访问者的真实身份，如何验证访问者的物理身份和数字身份的一致性，如何实现通信过程中信息的安全传输等问题。目前常见的身份认证安全技术有：.公钥基础设施（PKI，PublicKeyInfrastructure）技术。.动态口令技术。.矩阵卡技术。.一次性密码卡技术。（九）数据加密数据加密利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。在技术上分别从软件和硬件两方面采取措施。按照作用的不同，数据加密技术可分为数据传输加密技术、数据存储加密技术、数据完整性的鉴别技术和密钥管理技术。（十）内控堡垒主机内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控

堡垒主机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。（十一）统一威胁管理（UTM，UnifiedThreatManagement）UTM，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬件设备里，构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒等多种功能，这些功能可以根据不同的用户需求、不同的网络规模进行配置。（十二）安全运营中心（SOC，SecurityOperationsCenter）SOC是以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立的一套实时的资产风险模型，以协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。P2第四章移动互联网第1课、IP网络发展及相关技术IP网络发展及相关技术第2课、数据业务技术数据业等技术第3课、云计算及网络安全网络安全第4课、移动互联网（1）移动互踏网发展概述（2）移动互联网体系架构（3）智能终端.智能管道.智能运营第5课、物联网物联网第6课、视讯业务与IPTV视讯业务与IPTVP3第一节移动互联网发展概述一、移动互联网的发展从信息入口的演进来看，移动互联网有五个发展阶段：门户、搜索、智能终端+数字超市、社交圈/用户创造内容（SNS/UGC）、SNS+o从发展路径来看分为四个阶段：创新成为垂直领域No.1、构筑平台、平台化+微创新、行业洞察引领发展。二、移动互联网的发展面临的问题和挑战当前移动数据流量的爆发性增长和OTT业务的快速发展正在改变信息通信业原有的业务模式、商业模式与未来走向，产业格局的变化、业界参与者之间的矛盾冲突、市场规模的此消彼长被业界高度关注。（一）移动数据流量的爆炸增长改变信息通信业发展格局

电信业互联网化进程加速，后向流量经营、能力开放运营等成为电信运营商转型与创新方向。（二）知识产权将是我国企业发展面临的长期问题互联网领域知识产权的“军备竞赛”依然活跃，多家企业通过专利收购防御预期风险。移动互联网诞生以来，围绕智能终端诉讼量飙升五倍之多，并且高速增长有愈演愈烈之势，围绕智能终端的市场竞争已日趋白热化，知识产权则成为竞争的有力武器。（三）应对日益严峻的安全挑战移动互联网安全是一个复杂的系统性问题，涉及终端设备、移动网络和业务应用等各个方面，当前移动互联网安全出现一些新动向，手机病毒、预装应用、BYOD1、伪基站和移动支付均显现出严重的安全问题。P4第二节移动互联网的体系架构一、移动互联网的业务体系移动互联网，就是指互联网的技术、平台、商业模式和应用与移动通信技术结合并实践的活动的总称，包括移动终端、移动网络和应用服务三个要素。下面从业务体系和技术体系来介绍移动互联网的架构。移动互联网的业务体系主要包括三大类：一是固定互联网的业务向移动终端的复制，从而实现移动互联网与固定互联网相似的业务体验，这是移动互联网业务的基础；二是移动通信业务的互联网化；三是结合移动通信与互联网功能而进行的有别于固定互联网的业务创新，这是移动互联网业务发展方向，移动互联网的业务创新关键是如何将移动通信的网络能力与互联网的网络与应用能力进行聚合，从而创新出适合移动互联网的互联网业务。TOC\o"1-5"\h\z一一——一一 移动互联网业务体系 一^互联网业务体系 〉需需蟋馨y 移动通信业务体系/ *移动通信处身互联网化 \< •朋］融网蛔1E劳I尸. 仁^=浏览业务1移动浏览移动搜索矩信搜索业务移动在线游戏移动电子商务彩信网络游戏移动电子邮件|移魂口时消息移动电话电子商务移动Wcb2.0移动地图业务彩铃电子邮件移动音乐视频 移动VqIP移动支付IM移动广告移动MaEhup移动定位Web2.业务移动号aa£■■■移动分组数据1图5.4-1移动互联网业务体系图P5二、移动互联网的技术体系移动互联网作为当前空旷的融合发展领域，与广泛的技术和产业相关联，纵览当前互联网业务和技术的发展，主要涵盖以下六个技术领域：（1）移动互联网关键应用服务平台技术（2）面向移动互联网的网络平台技术（3）移动智能终端软件平台技术（4）移动智能终端硬件平台技术（5）移动智能终端原材料元器件技术（6）移动互联网安全控制技术

移动互联网六个主要技术领域移动互联网应用服务平台技术面向移动互联网的网络平台技术移动智能终端软件平台技术移动互联网六个主要技术领域移动互联网应用服务平台技术面向移动互联网的网络平台技术移动智能终端硬件平台技术移动智能终端原材料元器件技术移动互联网安全控制技术图5.4-2移动互联网技术体系图移动互联网安全控制技术P6第三节智能终端移动智能终端拥有接入互联网能力，通常搭载各种操作系统，可根据用户需求定制化各种功能。生活中常见的智能终端包括移动智能终端、车载智能终端、智能电视、可穿戴设备等。一、智能终端的分类（一）智能手机（二）车载智能终端车载智能终端，具备GPS定位、车辆导航、采集和诊断故障信息等功能。（三）智能电视智能电视，是具有全开放式平台，搭载了操作系统，用户在欣赏普通电视内容的同时，可自行安装和卸载各类应用软件，持续对功能进行扩充和升级的新电视产品。（四）可穿戴设备越来越多的科技公司开始大力开发智能眼镜、智能手表、智能手环、智能戒指等可穿戴设备产品。（五）平板电脑平板电脑（TabletPersonalComputer），是一种小型、方便携带的个人电脑，以触摸屏作为基本的输入设备。

二、智能终端发展趋势（一）移动互联网时代对终端的技术的要求.在计算能力方面，芯片及处理架构的需要改进。.通过增强开发和弹性的软件架构实现强大的功能扩展性.通过人体工程学、仿生学等实现自然流畅的人机交互。.在温度\声\光感知、图象识别，视频识别等方面实现环境智能感知。（二）智能终端应用发展趋势.手机PC化：手机是继服务器、PC之后的第三计算体，目前手机的计算存储能力已经赶上2002年的主流PC.手机媒体化：扩大移动终端媒体社会影响力,促进手机成为个性化媒体信息平台.手机娱乐化：扩大移动终端媒体社会影响力,促进手机成为个性化媒体信息平台（三）相关硬件技术智能终端的硬件技术包括重力感应、人体感应、环境感应和生物感应。手机重力感应技术利用压电效应实现，简单来说是测量内部一片重物（重物和压电片做成一体）重力正交两个方向的分力大小，来判定水平方向。通过对力敏感的传感器，感受手机在变换姿势时，重心的变化，使手机光标变化位置从而实现选择的功能。手机重力感应指的是手机内置重力摇杆芯片，支持摇晃切换所需的界面和功能，甩歌甩屏，翻转静音，甩动切换视频等，是一种非常具有使用乐趣的功能。P7第四节智能管道一、智能管道的发展智能管道发展目标是建立灵活计费、智能管控、统一数据、丰富优化手段的网络架构，有效支撑流量经营。（一）计费能力.具备根据业务、用户的灵活计费能力，完善实时计费和流量详单等基础服务。