当SDWAN邂逅区块链

作者简介：紫金山实验室 潘凤薇

软件定义广域网（SD-WAN）是软件定义网络（SDN）在广域专网业务场景的一种典型应用，这种应用用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。SD-WAN继承SDN控制与转发分离、集中控制等理念，在广域网中部署软件控制系统，提供业务快速部署、业务智能管理等功能，为多云、多网、多端之间的互联互通提供新的解决方案。

典型SD-WAN应用场景可分为三类：一是企业分支互联；二是企业上云；三是多云互联。企业分支互联的典型应用案例即企业在各个分支机构部署边缘设备，然后引流到运营商的WAN网络来实现分支结构之间的高性能、安全可靠的互联互通；类似地，企业上云场景中企业通过边缘设备将流量引流到运营商WAN网络，对于入云流量进行加速；多云互联的典型应用案例即SD-WAN 服务提供商通过建立一张多云专网，支持接入各种公有云、私有云、混合云等，结合网络控制器的自动化配置与调度能力，企业用户可利用互联网构建隧道灵活地接入广域专网，相比于传统的物理专线接入方式，可大幅提高广域专网业务的开通效率、同时降低广域专网业务的开通成本。

不论是企业分支互联场景，或是企业上云场景，亦或是多云互联场景，都意味着云网基础设施在向互联互通的方向演进，云和网之间不再是相对封闭的内部自治，而是转向相对开放的协作关系。但目前SD-WAN的发展却存在不可忽视的问题：SD-WAN的网络控制器通常由运营商单点提供，运营商出于自身商业利益考虑会将企业用户的流量唯一地调度到自身的广域专网上，因此企业用户在使用SD-WAN时面临着单一运营商锁定的问题，这在一定程度上制约了SD-WAN的发展。为此，我们创新性的提出一种新型业务模式：SD-WAN的网络控制器不再由运营商唯一提供，而是由中立第三方或多方共同提供，控制器可以基于全局视角从众多运营商中为用户调度高效率低成本的网络服务，解决单一运营商锁定的问题，使得众多运营商可以公平的参与进来。

新的业务模式引入了多方参与的机制，避免了运营商单一锁定的问题，但是仍面临着以下问题：（1）从SD-WAN架构中可以看到，为了实现敏捷管理、降低成本等目的，借助于SD-WAN技术的商业解决方案将传统的分布式控制网络架构转变成了集中式控制的网络架构，这就加剧了数据篡改、单点故障、隐私泄露的问题。（2）多方参与的业务场景下，交易模式将支持用户网络在众多运营商之间动态切换，但多方参与的业务场景不可控因素增多，各参与方的可信性与交易的可信性难以保证，比如：用户在一个结算周期中使用了不同的运营商网络服务，对于网络流量的具体使用情况需要一个明晰的账单，而账单若仅依赖运营商生成将不能使用户信服，所以需要一个可信的账单生成机制来支撑。此外各运营商之间相对平等不允许一方控制交易规则与交易过程，即传统的中心化的平台不再适用多方参与、对等自治的应用场景。

区块链可以在不同节点之间建立信任，具有对等自治、数据共同维护防篡改的特性，可以在SD-WAN解决方案中引入区块链技术，借助于智能合约，建立可信的调度机制与互信的交易模式。

可信的调度机制：上面说到传统SDWAN控制器面临单点故障、指令可信性难以保证的风险，对此，可借助于区块链技术，将调度策略转化成智能合约，部署在区块链系统中，当SDWAN控制器从区块链平台监听到用户发布的需求后，会将用户需求与运营商网络参数进行整理作为入参触发调度策略合约，从区块链直接生成决策结果，避免单点控制器调度不可信的问题。

互信的交易模式：互信的交易模式可以从以下几点进行阐述：

（1）点对点交易：基于区块链的交易机制可通过将交易规则写成智能合约通过权限控制机制触发合约的执行，从而控制整个交易流程，在多方运营商共同参与的场景中，调度决策结果生成后，用户与运营商直接通过区块链进行签约建立交易关系，当运营商提供的网络质量不再满足用户需求时，新的调度结果生成，用户会通过区块链系统与新的运营商直接签约建立交易关系。

（2）资金托管：基于区块链技术，可以将资金托管协议转化为智能合约，不设超级权限，SDWAN控制层促使交易双方达成交易关系时，自动触发资金托管合约，将买方资金进行冻结，根据交易的结果设定不同的资金划转策略，交易双方凭借各自的权限触发智能合约的执行。（3）奖惩机制：借助于区块链技术，在SDWAN商业场景中引入针对于运营商、用户等的信誉评价模型，将信誉值增减规则转化成自动执行的智能合约，将业务参与方纳管到基于智能合约的信誉评价体系中来，例如：当运营商为用户提供符合条件的网络服务时，运营商的信誉值会增加，当运营商提供网络服务的质量不满足签约中的条件时，运营商的信誉值会减少，而运营商的信誉值会在调度策略中占一定的权重，奖惩机制有助于商业良性发展。

此外区块链节点共同维护存储到区块链的数据，具有防止篡改的优势，数据一旦经过共识上链后，即使共识节点退出也不会造成数据的丢失或失效。可以此设计SD-WAN商业场景事后追溯机制：在SD-WAN业务场景中，SD-WAN控制层的决策依据与决策指令会以交易形式广播、存储到区块链系统中，运营商提供的网络流量可通过区块链进行分布式采集，作为结算依据，并且资费结算过程也会通过区块链系统进行记录。当交易双方出现分歧时，可以把从区块链获取的数据作为证据进行追责。

虽然区块链技术有希望在SDWAN的商业场景中提供可信的解决方案，但是由于技术的制约、观念的约束，现阶段仍然没有示范意义的SDWAN落地场景。

技术制约主要体现在系统稳定性、业务模式支持能力、应用安全性等方面，多数区块链无法同时满足“高效性”、“去中心化”和“安全”等要求，即不可能三角问题。现阶段区块链在交易吞吐量、区块容量、交易容量等方面都受到不同程度的限制，这就导致了网络拥堵，高频次业务需求如银行转账、证券交易等难以满足。隐私保护、智能合约漏洞、共识机制、私钥保护、算力攻击、密码学算法安全等问题，令区块链在底层安全、应用安全方面还面临一定的挑战。

观念的约束也是限制区块链大规模应用的重要原因，由于区块链技术是新兴具有颠覆性的高科技技术。非专业人员很难在短时间内理解区块链去中心化、对等自治、数据防篡改的特性。这就为区块链技术的普及与商业场景的应用模式探索带来了壁垒。

区块链的技术仍在更新迭代中，应用模式仍在探索中，复杂的商业场景中能够体现区块链的“不可替代”优势的应用场景仍需不断摸索，而复杂场景的落地必须要有更安全可靠的技术作为支撑。相信随着区块链技术的发展，其在SDWAN商业场景中会发挥不可替代的作用。