SCION (Интернет-архитектура) - SCION (Internet architecture)
Международный стандарт | AES |
---|
SCION (масштабируемость, управление и изоляция в сетях следующего поколения) предлагается Интернет будущего Архитектура, которая нацелена на обеспечение высокой доступности и эффективной двухточечной доставки пакетов даже в присутствии активных злоумышленников сетевых операторов и устройств. По состоянию на 2018 г. это постоянный исследовательский проект, возглавляемый исследователями из ETH Цюрих и среди прочего Интернет будущего предложения, изучается в Инженерная группа Интернета исследовательская группа по созданию сетей с указанием путей.
Цели
- Доступность при наличии распределенных противников: Пока существует свободный от злоумышленника путь между конечными точками, его следует обнаруживать и использовать с гарантированной пропускной способностью.
- Прозрачность и контроль: Разделение плоскостей управления и данных путем кодирования путей как состояние пересылки пакетов (PCFS) в заголовке пакета, а также включение многопутевая связь для повышения доступности [1] и защита от сетевых атак.
- Эффективность, масштабируемость и расширяемость: Пересылка пакетов, по крайней мере, эффективна с точки зрения задержки и пропускной способности, как в настоящее время. IP в общих случаях и более масштабируемый относительно BGP и размер таблиц маршрутизации. Достигается за счет сохранения состояния в заголовках пакетов и их криптографической защиты с использованием современных блочных шифров, таких как AES которые можно вычислить очень эффективно (в пределах 10 нс на современном ЦП [2]).
- Поддержка глобального, но неоднородного доверия: Масштабирование аутентификации сущностей в глобальной среде [3] и используя гибкость доверия [4] поэтому каждый конечный хост или пользователь может знать полный набор доверенных корней для проверки сертификата.
- Возможность развертывания: Для развертывания необходимо установить или обновить только несколько пограничных маршрутизаторов, что требует минимальной дополнительной сложности существующей инфраструктуры. Кроме того, он не должен нарушать текущую топологию Интернета и бизнес-модели / отношения (например, должен по-прежнему поддерживать пиринг).
Домены изоляции и автономные системы
SCION представляет концепцию изоляционный домен (ISD) что является логическим объединением автономные системы (ASes), администрируется меньшим подмножеством автономных систем, составляющих ядро ISD.[5] ISD регулируется политикой, называемой конфигурация доверенного корня (TRC), который согласовывается ядром ISD и определяет корни доверия, которые используются для проверки привязки между именами и открытыми ключами или адресами. AS внутри ISD могут быть соединены базовыми ссылками, ссылками клиент-поставщик или пиринговыми ссылками, отражающими отношения между AS.
Внутри AS есть несколько сервисов, таких как:
- Серверы-маяки - ответственный за маяк который представляет собой процесс генерации, получения и распространения сообщений, называемый строительные радиомаяки (PCB) для построения сегментов пути и изучения путей маршрутизации.
- Серверы пути - хранилище для отображений AS на путь, которые были обнаружены во время передачи маяков.
- Серверы имён - выполнить преобразование имен аналогично DNS с использованием RAINS[5] для получения кортежа (ISD, AS), который можно использовать для поиска и построения сквозных путей.
- Серверы сертификатов - кэш для копий TRC, извлеченных из ядра ISD, сертификатов AS и управления ключами для защиты связи между AS.
- Граничные маршрутизаторы - используется для пересылки пакетов SCION на следующий граничный маршрутизатор SCION или на хост назначения в AS назначения.
Плоскость управления
Плоскость управления отвечает за обнаружение сетевых путей и предоставление этих путей конечным хостам. Междоменный маяк соединяет ISD, позволяя базовым AS изучать пути к другим базовым AS, в то время как внутридоменный маяк позволяет неосновным AS изучать сегменты пути к основным AS. Плоскость управления SCION работает на уровне AS, в то время как обмен данными внутри AS регулируется существующими внутридоменными технологиями и протоколами связи (например, OSPF, SDN, MPLS ).
Чтобы достичь удаленного пункта назначения, хост выполняет поиск пути на своем локальном сервере пути для получения сегментов вверх (от исходной AS к ядру), нисходящих сегментов (от базовой AS к целевой AS) и основных сегментов (между основными AS). в случае, если эти восходящие и нисходящие сегменты заканчиваются на разных основных AS. Пути можно комбинировать по желанию, возможно, используя пиринговые ссылки, если они доступны.
Плоскость данных
Пакет SCION минимально содержит путь, а плоскость данных обеспечивает пересылку пакетов с использованием предоставленных путей. Пересылка использует разделение локатора (путь на уровне AS) и идентификатора (адрес назначения), как в Протокол разделения локатора / идентификатора (LISP) [6]. В результате граничные маршрутизаторы SCION пересылают пакеты на основе пути уровня AS в заголовке пакета без проверки адреса назначения, а также без обращения к таблице междоменной маршрутизации. Адрес назначения может иметь любой формат, который может интерпретировать AS назначения, потому что только пограничный маршрутизатор в AS назначения должен проверить адрес назначения, чтобы переслать его на соответствующий локальный хост. Пункт назначения может ответить источнику, инвертируя сквозной путь из заголовка пакета, или он может выполнить свой собственный поиск пути и построение сегмента пути.
Безопасность
Похожий на BGPsec, каждая AS подписывает печатные платы, которые отправляет. Эта подпись позволяет проверять печатную плату всеми объектами. Чтобы гарантировать правильность пути, информация о пересылке в каждом пакете также криптографически защищена. Каждая AS использует секретный симметричный ключ, который является общим для маяковых серверов и пограничных маршрутизаторов и используется для эффективного вычисления код аутентификации сообщения (MAC) над информацией о пересылке. Информация для каждой AS включает в себя входной и выходной интерфейсы, время истечения и MAC, вычисленный по этим полям, которые (по умолчанию) все закодированы в 8-байтовом поле, называемом поле хмеля (HF).
Развертывание и коммерческие операции
SCION работает на нескольких узлах по всему миру. «В 2017 году несколько поставщиков интернет-услуг и финансовых учреждений в Швейцарии хотели использовать SCION для своих коммерческих операций. Адриан Перриг вместе с Дэвидом Басином и Петером Мюллером, профессорами факультета компьютерных наук ETH Zurich, основали дочернюю компанию Anapaya Systems.[7]
Первыми интернет-провайдерами, использующими SCION, являются: Swisscom и ВЫКЛЮЧАТЕЛЬ. Несколько корпораций получили сетевые подключения SCION через этих провайдеров к корпоративной сети SCION. Среди первых развертываний клиентов: SNB, ZKB и ШЕСТЬ из финансового сектора Швейцарии.
Рекомендации
- ^ Дэвид Г. Андерсен, Хари Балакришнан, М. Франс Каашук и Роберт Моррис. Устойчивые оверлейные сети. В Материалы симпозиума ACM по принципам операционных систем (SOSP), October 2001. Страницы 9, 24 и 192.
- ^ Кахраман Акдемир, Мартин Диксон, Ваджди Фегали, Патрик Фэй, Винод Гопал, Джим Гилфорд, Эрдинч Озтюрк, Гил Волрич и Ронен Зохар. Превосходная производительность AES с новыми инструкциями Intel AES. белая бумага, Июнь, 2010. Стр. 11.
- ^ Мартин Абади, Эндрю Биррелл, Илья Миронов, Тед Воббер и Инлиан Се. Глобальная аутентификация в ненадежном мире. В Материалы семинара по горячим темам в операционных системах (HotOS), Май 2013. Стр. 10.
- ^ Мокси Марлинспайк. SSL и будущее аутентичности. https://moxie.org/blog/ssl-and-the-future-of-authenticity/, Апрель 2011 г. Стр. 10.
- ^ а б Перриг, Адриан; Салачовски, Павел; Рейщук, Рафаэль М .; Чуат, Лоран (2017). SCION: безопасная интернет-архитектура (PDF). Springer International Publishing AG. ISBN 978-3-319-67080-5.
- ^ Дино Фариначчи, Винс Фуллер, Дэвид Мейер и Даррел Льюис. Протокол разделения локатора и идентификатора (LISP). RFC 6830, январь 2013 г. Стр. 25.
- ^ «Безопасный Интернет - это не научная фантастика». inf.ethz.ch. Получено 2019-10-14.
дальнейшее чтение
- Perrig, A .; Szalachowski, P .; Рейщук, Р. М .; Чуат, Л. (2017). SCION: безопасная интернет-архитектура. Springer International Publishing AG. ISBN 978-3-319-67080-5.