Rethinking the Design of the Interne论文个人理解

Rethinking the Design of the Internet: The End-to-End Arguments vs. the Brave New World

重新思考互联网的设计：端到端争论与勇敢的新世界

一、作者

马乔里·S·布鲁门塔尔（国家科学院）和 大卫·D·克拉克（麻省理工学院）

二、主旨

这篇文章着眼于互联网和不断变化的互联网需求，变得更加商业化，更加面向消费者，并用于更广泛的目的讨论一组指导互联网设计的原则，称为端到端参数。我们的结论是，现在出现的一系列新需求有可能会损害互联网最初的设计原则。如果发生这种情况，互联网可能会失去一些关键功能，特别是支持新的和意想不到的应用程序的能力。我们将这一可能的结果与一些趋势联系起来：互联网中新的利益相关者，特别是互联网服务提供商的崛起；新的政府利益；不断增长的用户群不断变化的动机；以及对可信任的整体运营的需求与无法信任单个用户行为之间的紧张关系。

三、导言

1、The end-to-end arguments are a set of design principles that characterize

(among other things) how the Internet has been designed.

• The end-to-end arguments 表明特定的应用程序级功能通常不能，而且最好不应该，被构建成较低层次体系的核心网络

“The function in question can completely and correctly be implemented only with the knowledge and help of the application standing at the endpoints of the communications system. Therefore, providing that questioned function as a feature of the communications systems itself is not possible.”

好处：

• 降低了核心网的复杂性，降低了成本，便于后续对网络的升级。
• 网络中的通用性增加了无需更改网络核心就可以添加新应用程序的机会。
• 应用程序不必依赖于网络中特定于应用程序的服务的成功实现和操作，这可能会提高它们的可靠性。

作为端到端的争论的结果，互联网已经进化成具有某些特征。由转发数据包的路由器在互联网中实现的功能仍然相当简单和通用。实现特定应用程序的大部分功能，如电子邮件、万维网、多人游戏等等，已经在连接到网络“边缘”的计算机上的软件中实现了。面向边缘的应用程序和Internet内部的相对简单性共同促进了新应用程序的创建。它们是互联网创新环境的一部分。

1.1 Moving Away from End-to-End

新需求

1. 在一个不值得信任的世界里运作：网络攻击，垃圾邮件，端点节点异常而消失的Web页面。
2. 要求更高的应用程序：Internet的简单服务模型(称为“最佳努力交付”)不能保证任何特定应用程序在任何时刻将实现的吞吐量。正在出现的一种方法是安装中间存储站点，将流媒体内容放置在靠近接收者的地方，以增加成功交付的机会。因此，与简单的端到端结构不同，这些新应用程序的设计依赖于通过这些中间服务器的两阶段交付
3. ISP服务差异化。
4. 第三方参与的增加。
5. 不那么复杂的使用：因特网最初是由技术人员设计和使用的。随着用户基础的扩大，使网络更容易使用的动机也在增长

虽然这些趋势中没有一个能够单独强大到将互联网从端到端网络转变为具有集中功能的网络，但它们都可能推动同一方向的转变，这可能预示着网络形态的重大总体变化。

四、EXAMPLES OF REQUIREMENTS IN TODAY’S COMMUNICATION

本节列出了一些需求，以说明问题的广度，并建议所需解决方案的范围

1、Users Communicate But Don’t Trust

当两个(或多个)终端节点希望彼此通信，但彼此不完全信任时，就会出现一种重要的交互类型。

• 双方都希望协商一份有约束力的合同:他们可能需要对称的签字证明、防止合同被否定的保护等等
• 一方需要外部确认沟通中的另一方是谁。
• 在另一个极端，两方希望相互交流，但至少有一方希望保持其匿名性。

2、Users Communicate But Desire Anonymity

匿名需求：浏览网站时保留个人隐私，某些匿名公开言论，在线投票等。

3、End-Parties Distrust Their Software and Hardware

保留个人信息并有可能泄露个人信息。IP或者Mac地址可能被用来追踪。

4、The Ends vs. the Middle: Third-Party Rights

另一类广泛的问题可以描述为第三方主张自己有权介入相互完全信任的终端节点之间的通信。比如：政府介入，流量类型监控，知识产权保护，流量分析来监督组织资源等。对于每一个目标，都有两种观点:有第三方用来将自己注入交流的机制，有终端方用来避免这种干预的行动，在内部网络中，代表着各方力量的动态变化平衡。

5、One Party Forces Interaction on Another

当一方根本不想进行交互，而另一方希望强迫它参与时，端节点之间的不对称期望的例子就达到了极点。这个网络相当于尖叫某人有许多种形式,从应用程序级洪水与不必要的材料(如垃圾邮件)被视为安全攻击:渗透与恶意的电脑(秘密,特洛伊木马,下面讨论,或公开),或anti-interaction拒绝服务攻击的问题,这可以防止或目标特定的交互。

即使用户正在与一个被认为是无害的站点进行通信，也总是存在恶意行为的风险。经典的端到端观点认为，每个端节点都有责任保护自己免受他人的攻击(因此反病毒软件的流行)，但在当今复杂的网络中，这可能不能被视为足够的控制。

一个经典的计算机安全攻击是所谓的特洛伊木马,说服用户的安装和使用一些软件,虽然表面上执行一个有用的任务,实际上是一个充满敌意的出口代理,秘密私人信息或执行一些其他影响接受者的秘密和不受欢迎的任务系统和/或数据。越来越多的人担心，“信任”浏览器可能对通过与恶意设计的服务器软件交互而存储在终端系统上的特洛伊木马视而不见

6、多路通信

上面的例子都是在两方沟通的框架下进行的。但是在互联网上发生的很多事情，就像在现实世界中一样，都是多党派的。任何公开或半公开的网络发行都具有多向性。一些交互，如当前的Web，使用许多单独的两方通信作为底层技术手段来实现从服务器到多个用户的交互。其他的，如电话会议或接收基于互联网的广播材料(音频或视频)，也可能涉及到网络级别的多路通信，传统上称为多播。

使多路应用程序设计更加复杂的部分原因是多个端点的功能可能不相同。通常，在两方交互中，如果一方似乎失败或恶意，第一道防线是终止交互并停止与该方通信。在多路通信中，应用程序的设计必须能够区分可接受的和恶意的通信，并且能够选择性地忽略后者。在终端节点内这样做是可能的，但在其他情况下(例如，当网络被不需要的流量阻塞时)，可能需要在网络内阻塞一些流量。多人游戏提供了一个复杂的多路应用程序的示例。当有创意的玩家修改他们的终端节点游戏软件来作弊时，这些玩家必须被检测出来并被踢出游戏。设计师面临的选择是在所有的终端添加“欺骗检测”软件，还是将流量路由到游戏服务器，以便集中检查。

Summary—What Do These Examples Really Imply?

这一组例子旨在说明各种各样的目标，社会的元素可能希望强加在其基于网络的通信。我们并不是说所有这些目标都是可取的，而是说世界正变得更加复杂。这是否意味着我们必须放弃端到端的论证?不，它不是。我们所需要的是一组相互操作的原则——一些建立在端到端模型上，一些建立在以网络为中心的功能的新模型上。在发展这一套原则时，重要的是要记住，从一开始，端到端论证就围绕着可以在端点正确实现的需求;如果在网络内部实现是完成需求的唯一方法，那么端到端参数从一开始就不合适。端到端的论证不会因为相信终端用户授权而“有效”，也不会因为呼吁更复杂的高层次功能目标组合而“无效”。

五、技术响应

1、Different Forms of End-to-End Arguments

端到端争论适用于(至少)网络中的两个级别。其中一个级别适用于网络的核心——因特网的一部分是在路由器本身实现的，路由器提供基本的数据转发服务。另一个级别适用于应用程序的设计

网络设计者对两种元素进行了强烈的区分——“在”网络中的元素和“依附于”或“在”网络上的元素。从核心网络的角度来看，连接到网络的所有设备和服务都代表端点。它们在哪里并不重要——在终端用户的站点上，在Internet服务提供商的设施上，等等。但是在设计每个应用程序时，可以使用一个端到端参数来决定应用程序级服务本身应该附加在何处。有些应用程序具有非常简单的端到端结构，其中两端的计算机直接相互发送数据。其他应用程序可能具有更复杂的结构，使用服务器在最终用户之间进行数据流动。例如，因特网上的电子邮件通常不会在发送方到接收方的一个步骤中流动。相反，发件人将邮件保存在邮件服务器中，收件人稍后取回邮件

2、Modify the End-Node

3、Adding Functions to the Core

现在，这些提议可能是敌对的，但也可能是有益的——添加阻止事情发生的机制，阻止某些应用程序，等等。防火墙，流量过滤器，网络地址转换(NAT).

4、Design Issues: Adding Mechanisms to the Core

设计问题:在核心中添加机制

任何“在”网络中的控制点都有两个问题。首先，数据流必须经过设备路由，其次，设备必须有一定的能力看到流中是什么类型的信息，以便它能够做出适当的处理决策。

• Imposing a Control Element.强加一个控制元素。比如监测点。
• Revealing or Hiding the Content. 显示或隐藏内容。权衡。

5、Labels on Information

显示关于消息内容的一些信息而不显示内容本身的一种方法是对消息进行标记。端口号。

6、Design of Applications—the End-to-End Argument at a Higher Level

在今天的应用程序设计中有两种趋势。一个是不同方面的愿望，无论是终端用户还是网络运营商，都希望在应用程序的数据路径中插入某种中介，而应用程序最初并没有按照这种结构设计。这种渴望可能来自不同的目标，如隐私和性能增强。另一个趋势是，应用程序的需求变得越来越复杂，这有时会偏离简单的端到端设计，而转向使用附加组件作为应用程序的一部分。

• Anonymizing message forwarders: 匿名消息代理，为了实现匿名性和保护通信不被第三方观察，用户可以使用第三方业务，并通过第三方业务路由流量，从而消除消息中可能存在的身份识别。使Web浏览匿名化的服务现在很流行，38和有特定目标的阻止流量分析的服务是可用的。匿名邮件中继包括简单的重新发送者和更复杂的系统，如nym服务器。40为了使用这些设备，终端节点通过一个(或通常多个)设备构建路由来实现所需的功能。用户构建路由至关重要，因为保持匿名依赖于数据在只有用户知道的框中的路径;例如，ISP或任何其他第三方都不能直接确定路径。在这些方案中，小心地使用加密来隐藏路由和身份，以免被不必要的观察。
• Helpful content filtering: 有用内容过滤。
• Content caches: 内容缓存。

7、More Complex Application Design—Using Trusted Third Parties

当前应用程序设计中的许多问题在某种程度上源于作为应用程序一方的用户之间缺乏信任。一种基本方法是使用位于网络某处的相互信任的第三方来创建一个上下文，在该上下文中可以成功地执行两方事务。换句话说，一个简单的两方事务，以一种直接的方式符合端到端争论，变成了三个或更多方之间的交互序列。每个交互名义上都是端到端的(第三方不需要“在”网络中)，但是它的健壮性依赖于由整个序列组成的更大的上下文。签名，交易等。

• Public-Key Certificates.

六、THE LARGER CONTEXT

重要的是要考虑这些技术机制存在的更大背景。这一背景包括经济的法律和社会结构，不断增长的诚信动机，以及技术、法律、社会规范和市场结合在一起以实现政党之间的力量平衡的事实。

七、WHERE WE ARE TODAY

正如引言中提到的，许多力量正在推动改变互联网。所有这些都带来了互联网设计中越来越复杂、越来越复杂的结构，以及用户失去控制的后果。无论人们选择将这些趋势视为互联网成熟的自然组成部分，还是西方的藩篱，它们都正在发生。让时光倒流，重新回到早期互联网的环境是不可能的:真正的变化凸显了关于互联网设计原则和假设持久性的真正问题。

• Rise of New Players
• The Erosion of Trust
• Rights and Responsibilities， 法律国家地区差异

八、总结

端到端论据最重要的好处是它们保留了互联网的灵活性、普遍性和开放性。它们允许引入新的应用程序，从而促进创新，并带来随之而来的社会和经济效益。在网络中加入更多功能的努力，将危及这种普遍性和灵活性，以及创新的历史模式。一个新的原则(已经很明显了)是，实现端到端应用程序的不可见或不友好功能的元素通常必须“在”网络中，因为不能期望应用程序自愿包含中间元素。

互联网内部的多种力量似乎促进了可能与端到端争论不一致的变化。虽然人们对政府越来越多的参与表示担忧，但互联网服务供应商可能对互联网的传统结构提出更大的挑战。网络服务提供商实现了网络的核心，而网络服务提供商实现的任何增强或限制都有可能作为网络核心的新机制出现。作为客户的网关，它们也是其他对其客户做什么的感兴趣的人的固有焦点

用户基础不断变化的性质正在推动互联网向新的方向发展，为ISP和政府的努力做出贡献。争论的焦点是消费者拥有和操作的端点软件的数量(如果不理解的话)，因此因特网在很大程度上继续支持端到端哲学的能力。虽然最初的互联网用户技术娴熟，并受益于端到端方法的灵活性和授权，但今天的消费者对待互联网和系统就像对待其他消费电子产品和服务一样。低价和易用性正变得比以往任何时候都重要，这表明捆绑和管理产品的吸引力越来越大，而不是只做技术。消费者的工作越少，可能意味着他们对自己在互联网上能做什么以及谁能观察到他们做什么的控制越少;然而关于网络隐私的初期争论表明，由于各种原因，许多消费者将放弃的东西是有限度的

在改变互联网的所有变化中，失去信任可能是最根本的。早期互联网的简单模式——一群相互信任的用户依附在一个透明的网络上——已经一去不复返了。明天的座右铭很可能是“全球交流与地方信任”。“信任的问题出现在多个层面:互联网接驳(例如浏览器)和应用软件(其中一些可能会触发互联网接驳);在访问内容或影响远程站点事务的活动中;在与陌生人的各种交流中;在接入网的背景下——由isp、雇主等运营——这些网络的运营商在允许他人使用他们的网络的同时，专注于自己的目标。对信任的日益关注给匿名的传统互联网支持带来了压力。端到端的争论，就其本质而言，表明终端可以随心所欲地交流，而不受网络的限制，至少在许多西方国家是这样，匿名文化在很多情况下都很受重视。然而，对互联网的使用和依赖的增长，引发了对问责制的要求(其本身的含义不同)，产生了限制端点可能发生的事情或跟踪行为的压力，潜在地从网络内部。在某些情况下，支持信任的一个步骤是对内容进行系统标记。正如正在进行的实验所表明的，标签可能有助于保护隐私，避免令人反感的材料，并在保留端到端通信的同时提供匿名性，但标签仍然带来了重大的技术和法律挑战。

更复杂的应用程序需求导致应用程序的设计依赖于可信的第三方来在最终用户之间充当中介，将迄今为止直接的端到端通信分解为一系列的端到端组件通信。虽然这种方法将帮助不完全信任彼此的用户进行可信的交互，但它也增加了自己的信任问题:如何知道第三方本身实际上是可信的，或者端点正在与它们认为自己是可信的第三方进行对话?这些选项并不多，我们就会意识到解决Internet信任问题所涉及的不仅仅是技术。调查的激增和政府的方案行动，加上各种法律行动，都对互联网及其用户造成了冲击。

如果互联网的开放性和透明性受到侵蚀，某些类型的创新很可能会被扼杀。尽管有所放缓，但目前没有证据表明创新总体上受到了抑制。对新的网络公司的投资水平，以及为消费者提供的从电子商务到在线音乐等一系列新产品，都证明了互联网的健康发展。但创新的本质可能已经改变。它不再是车库里的单个创意人才，而是拥有数千万美元支持的创业公司，正在进行创新。未来的趋势可能不是简单的缓慢创新，而是更微妙的创新，由更多资金支持的更大的参与者。

我们描绘了技术对未来互联网的约束的两幅图。一是技术解决方案是固定的和刚性的。它们实现一些给定的函数，并且统一地执行，独立于局部需求和要求。他们创造了一个非黑即白的选择结果。要么存在匿名服务，要么不存在。另一方面，我们在实践中注意到，那些实施管制的人与那些逃避管制的人之间的斗争仍在继续。垃圾邮件发送者和控制他们的人之间，需要知道买家是谁的商家和使用不可追踪电子邮件地址的买家之间，以及希望限制访问某些内容的商家和试图访问这些内容的商家之间，都存在着一场争斗。这种模式表明，玩家之间的力量平衡不是赢家通吃的结果，而是一种不断发展的平衡。它表明，结果不是由特定的技术选择决定的，而是由这个非常复杂的系统的许多特征和属性的相互作用决定的。这表明，现在预测最终的形式还为时过早。我们现在所能做的就是朝着特定的结果前进。我们认为，从端到端的争论中衍生出来的网络的开放性和普遍性，是一种鼓励创新的有价值的特性，这种灵活性应该得到保留。