傳統(tǒng)網(wǎng)絡(luò)中，各個AS（Autonomous System，自治系統(tǒng)）相互連接并使用EGP（ Exterior Gateway Protocol，外部網(wǎng)關(guān)協(xié)議）互相通信，其中BGP是EGP的代表協(xié)議。BGP支持70000 多個不同網(wǎng)絡(luò)之間的協(xié)調(diào)，但在全球多次發(fā)生的網(wǎng)絡(luò)故障事實表明，BGP是互聯(lián)網(wǎng)中最脆弱的部分之一。2020 年，一場影響美國服務(wù)提供商 Cloudflare 的重大事件持續(xù)了 7 個小時，導(dǎo)致全球流量下降 3.5%。此事件由一個微不足道的BGP配置錯誤引起——區(qū)域路由器中的輕微故障觸發(fā)了眾所周知的蝴蝶效應(yīng)，從而導(dǎo)致大部分地區(qū)的互聯(lián)網(wǎng)連接中斷。這種中斷會給企業(yè)帶來巨大的成本，并對依賴互聯(lián)網(wǎng)提供關(guān)鍵服務(wù)的機(jī)構(gòu)造成嚴(yán)重影響。

那么，一個重要的問題是：我們?yōu)楹我蕾囘@種不可靠的基礎(chǔ)設(shè)施？答案出奇地簡單：在發(fā)明之初，BGP并非旨在處理我們今天擁有的全球規(guī)模和數(shù)量的網(wǎng)絡(luò)互連。BGP的創(chuàng)建是為了支持 80 年代后期規(guī)模小得多的互聯(lián)網(wǎng)互連。在過去的 30 年里，它的大部分功能性運作給人一種虛假的穩(wěn)定感。為了保證可靠通信，我們需要比 BGP 所能提供的更強(qiáng)大的屬性。

其中，由瑞士蘇黎世聯(lián)邦理工大學(xué)及其附屬公司 Anapaya Systems 開發(fā)的SCION（Scalability, Control, and Isolation On Next-Generation Networks）架構(gòu)，自詡為“最現(xiàn)代、最安全的架構(gòu)”，正引起業(yè)界關(guān)注。SCION 代表的是下一代網(wǎng)絡(luò)的可擴(kuò)展性、可控性和隔離性，其目標(biāo)是通過安全的域間路由和路徑感知網(wǎng)絡(luò)實現(xiàn)一個安全、穩(wěn)定和透明的互聯(lián)網(wǎng)。

本文將系統(tǒng)介紹什么是SCION 、與傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)的對比、SCION應(yīng)用現(xiàn)狀等。

傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)概述

互聯(lián)網(wǎng)是一個全球范圍內(nèi)的互連計算機(jī)網(wǎng)絡(luò)系統(tǒng)。通過互聯(lián)網(wǎng)，我們可以即時分享全球的數(shù)據(jù)和信息。我們依賴于手機(jī)、筆記本電腦、物聯(lián)網(wǎng)設(shè)備、家庭自動化設(shè)備等不斷地訪問互聯(lián)網(wǎng)，以便與他人進(jìn)行交流、購物、使用社交媒體以及工作等等。

從架構(gòu)的角度來看，互聯(lián)網(wǎng)只是多個網(wǎng)絡(luò)的互連，它是將世界各地的計算機(jī)網(wǎng)絡(luò)連接成一個實體。互聯(lián)網(wǎng)不是一臺大型計算機(jī)，而是眾多計算機(jī)和設(shè)備相互連接。

為了能夠連接所有大陸，在世界各地建立了一個非常復(fù)雜的物理海底網(wǎng)絡(luò)，

互聯(lián)網(wǎng)的歷史

在互聯(lián)網(wǎng)時代之前，計算機(jī)只是一臺大型主機(jī)，無法與任何其他計算機(jī)“對話”。當(dāng)時沒有任何技術(shù)或術(shù)語可以將兩臺計算機(jī)通過“網(wǎng)絡(luò)”連接起來。

從歷史上看，互聯(lián)網(wǎng)的起源始于1960 年代，當(dāng)時美國高級研究計劃局網(wǎng)絡(luò)(ARPANET) 開始開發(fā)其公共分組交換網(wǎng)絡(luò)。

1969年10月29日，加州大學(xué)洛杉磯分校(UCLA)的一名學(xué)生查理·克萊恩(Charley Kline)試圖登錄斯坦福研究所(SRI)的主機(jī)，這是兩臺計算機(jī)之間第一次成功發(fā)送信息。 發(fā)送到遠(yuǎn)程終端的第一個命令是“LOGIN”——它一共進(jìn)行了兩次嘗試，第一次嘗試在 Charley 鍵入“LOG”后崩潰了，但他們設(shè)法解決了問題，并在第二次嘗試時成功登錄到 SRI 的遠(yuǎn)程終端。隨著時間的推移，ARPANET也開始不斷發(fā)展壯大。

然而，由于連接到 ARPANET 的網(wǎng)絡(luò)不同，使用的網(wǎng)絡(luò)協(xié)議也各不相同，一些網(wǎng)絡(luò)無法相互通信。為了克服這一挑戰(zhàn)，1970 年代開發(fā)出了TCP/IP協(xié)議棧，并在 1974 年產(chǎn)生了第一個初始 TCP RFC 草案- RFC675。該 RFC 中首次使用術(shù)語“Internet”作為互聯(lián)網(wǎng)絡(luò)的簡寫。

TCP/IP 堆棧花了將近10 年的時間成為了 ARPANET 標(biāo)準(zhǔn)，所有節(jié)點都在 1983 年遷移到 TCP/IP 堆棧。其他較舊的協(xié)議，如 1960 年代開發(fā)的網(wǎng)絡(luò)控制程序 (NCP)已被棄用。Telnet和 FTP（文件傳輸協(xié)議）是第一個使用 Internet 網(wǎng)絡(luò)的應(yīng)用程序（自1969年以來可用）。

ARPANET 于1989 年關(guān)閉（最終于 1990 年退役），取而代之的是美國國家科學(xué)基金會網(wǎng)絡(luò)(NSF)。1986 年，NSF 建立了一個1.5 兆比特/秒的網(wǎng)絡(luò)，這就是眾所周知的NSFNET。許多商業(yè)和其他ISP（互聯(lián)網(wǎng)服務(wù)提供商）在此期間被引入并連接到該網(wǎng)絡(luò)。

1991 年之前，互聯(lián)網(wǎng)主要被科學(xué)家和政府機(jī)構(gòu)用來交換信息和數(shù)據(jù)。1991年，萬維網(wǎng) (WWW)問世。盡管Internet網(wǎng)絡(luò)的最初發(fā)展始于美國，但是CERN項目通過引入最初的WWW和HTTP標(biāo)準(zhǔn)使得Internet更容易為普通用戶使用，從而帶動了Internet的大規(guī)模發(fā)展。

目前，根據(jù)IXPO組織的數(shù)據(jù)顯示：

截止到2022年1月，全球共有49.5億人使用互聯(lián)網(wǎng)（占世界人口的 62.5%）

索引網(wǎng)絡(luò)共22.5億頁

據(jù)Statista的數(shù)據(jù)，到2025年，我們每天將發(fā)送超過3760億封電子郵件

IDC 預(yù)計，到 2025 年，全球數(shù)據(jù)空間將增長到175 zettabytes（1 ZB 等于 1 萬億 GB）

IOT Analytics 報告稱，到 2025 年，物聯(lián)網(wǎng)設(shè)備將達(dá)到271億臺

| 歷年互聯(lián)網(wǎng)里程碑

綜上所述，互聯(lián)網(wǎng)的發(fā)展經(jīng)歷了多次迭代升級。然而，在其發(fā)展過程中卻沒有預(yù)料到現(xiàn)代互聯(lián)網(wǎng)使用存在的一些問題。

現(xiàn)代互聯(lián)網(wǎng)架構(gòu)

一般來說，現(xiàn)有的互聯(lián)網(wǎng)架構(gòu)由三層ISP組成，ISP(internet service provider)是指互聯(lián)網(wǎng)服務(wù)提供商，類似中國電信、中國移動、中國聯(lián)通就是國內(nèi)有名的ISP。



| 當(dāng)前的互聯(lián)網(wǎng)架構(gòu)（來源：維基百科）

三層ISP結(jié)構(gòu)分為主干ISP（Tier 1 ）、地區(qū)ISP（Tier 2）、本地ISP（Tier 3）。本地ISP給用戶提供最直接的服務(wù)，本地ISP可以連接到地區(qū)ISP，也可以連接到主干ISP。只要每一個本地ISP都安裝了路由器連接到某個地區(qū)ISP，而每一個地區(qū)ISP也有路由器連接到主干ISP，那么在這些相互連接的ISP的共同作用下，就可以完成互聯(lián)網(wǎng)中的所有的分組轉(zhuǎn)發(fā)任務(wù)。

互聯(lián)網(wǎng)交換點(IXP)：為了更快地轉(zhuǎn)發(fā)分組，IXP允許兩個網(wǎng)絡(luò)直接連接并交換分組，而不需要通過第三個網(wǎng)絡(luò)來轉(zhuǎn)發(fā)分組。

因此，獲得互聯(lián)網(wǎng)接入的關(guān)鍵是連接到互聯(lián)網(wǎng)服務(wù)提供商，而問題是 ISP 如何相互信任并交換路由信息？BGP（邊界網(wǎng)關(guān)協(xié)議）就是起到這個作用，BGP允許ISP之間交換IPv4和IPv6前綴。

然而，ISP的BGP 路由交換策略很難建立清晰和開放的關(guān)系，這可能會導(dǎo)致許多誤解，甚至是基于 BGP 的前綴劫持，這種情況每天都會發(fā)生多次，F(xiàn)acebook、微軟等大型互聯(lián)網(wǎng)公司都難以避免遇到這個問題。

這就是傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)存在的主要問題（傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)并不是為了防止此類問題而構(gòu)建的），現(xiàn)在出現(xiàn)了一種更現(xiàn)代的方法，稱為 SCION 。

SCION互聯(lián)網(wǎng)架構(gòu)

SCION（下一代網(wǎng)絡(luò)的可擴(kuò)展性、可控性和隔離性）是一種完全不同的全球互聯(lián)網(wǎng)架構(gòu)方法，它主要側(cè)重于安全性、可控性、健壯性、高可用性和隔離性。SCION 項目于 2010 年在瑞士蘇黎世的 ETH 大學(xué)啟動，它被 IETF 認(rèn)為是基于新型路徑感知網(wǎng)絡(luò)的“未來互聯(lián)網(wǎng)提案”。

SCION 是一種路徑感知協(xié)議，旨在取代互聯(lián)網(wǎng)中廣泛使用的 BGP 協(xié)議。路徑感知架構(gòu)允許終端主機(jī)（或網(wǎng)關(guān)）了解可用的網(wǎng)絡(luò)路徑段并將它們組合成端到端的路徑，并在包頭中攜帶。

SCION網(wǎng)絡(luò)架構(gòu)的組成部分

SCION網(wǎng)絡(luò)架構(gòu)定義了如下概念：

隔離域 (ISD，Isolation domains ):一個獨立的公共管轄區(qū)和故障域。

ISD 核心：管理 SCION 網(wǎng)絡(luò)核心的 AS（自治系統(tǒng)，autonomous systems），提供全球連接，負(fù)責(zé) ISD 域內(nèi)的策略。

核心 AS：ISD核心的一部分。

路由：可以分為 ISD 間域和 ISD 內(nèi)域。

信任根配置 (TRC)：每個 ISD 都有自己的信任根，它解決了寡頭壟斷模型（Web PKI）和壟斷模型（DNSSEC，RPKI）的問題，并確保幾乎不會受到針對內(nèi)部 ISD 路由策略的外部攻擊。

ISD 內(nèi)信標(biāo)系統(tǒng)：在 ISD 內(nèi)通告可能的路徑，遍歷 ISD 內(nèi)的所有 AS，通過 ISD 核心提供多路徑。

ISD 間通信：如果主機(jī)“S”想要在 SCION 網(wǎng)絡(luò)中與主機(jī)“E”通信，則有三個 ISD（藍(lán)色、橙色和綠色）——下圖說明了該過程：



| ISD間通信圖（來源：SCION-architecture）

下面是一個簡單的 SCION 拓?fù)涓攀觯?br />


| SCION 拓?fù)鋱D（來源：SCION-architecture article）

SCION網(wǎng)絡(luò)路由過程

SCION架構(gòu)中，互聯(lián)網(wǎng)仍然由自治系統(tǒng)組成。但是，通過將自治系統(tǒng)分組到“隔離域 (ISD) ”中，增加了一個層次結(jié)構(gòu)層。通常，ISD 中的 AS 共享某些屬性。例如，他們可能共享一個管轄區(qū)或地理位置。每個 ISD 都有自己的公鑰基礎(chǔ)設(shè)施(PKI)，例如，用于保護(hù) SCION 內(nèi)的路由。ISD 的 PKI 只能為它自己的隔離域中的系統(tǒng)分發(fā)證書。因此，如果安全受到威脅，其影響將僅限于受損的隔離域。隔離域的管理由 ISD 核心負(fù)責(zé)，由于核心 AS 負(fù)責(zé) ISD 的管理，因此它們通常由 ISD 中所有其他 AS 信任的各方運行。ISD核心在域間路由中也起著重要作用。下圖描述了 SCIONLab 網(wǎng)絡(luò)（截至 2020 年 9 月）中的不同 ISD 和一些 AS，這是一個支持 SCION 實驗的全球研究網(wǎng)絡(luò)。



| 圖 ：截至 2020 年 9 月的 SCIONLab 拓?fù)洌@示了駐留在各種隔離域中的自治系統(tǒng)（來源SCIONLab）

目前 Internet 上的路由依賴 BGP，由于 Internet 是在非層次結(jié)構(gòu)的基礎(chǔ)上組織的，作為一個“扁平”網(wǎng)絡(luò)，路由器使用巨大的路由表以根據(jù)目標(biāo)地址確定將數(shù)據(jù)包轉(zhuǎn)發(fā)到哪里。而SCION 中有所不同：轉(zhuǎn)發(fā)基于數(shù)據(jù)包攜帶轉(zhuǎn)發(fā)狀態(tài)。即每個數(shù)據(jù)包都包含它需要傳輸?shù)穆窂剑ㄔ?AS 級別），因此不再需要路由器上的巨大表。這釋放了路由器的內(nèi)存，更重要的是，它使發(fā)件人能夠確定他們的網(wǎng)絡(luò)流量應(yīng)該如何通過互聯(lián)網(wǎng)傳輸。為此，發(fā)送方需要知道哪些路徑可以到達(dá)預(yù)期的目標(biāo) AS。在確定路徑時，區(qū)分兩種情況：ISD 內(nèi)的流量（ISD 內(nèi)）和 ISD 之間的流量（ISD 間）。

在每個 ISD 中，AS 根據(jù)它們在以 ISD 核心為根的有向無環(huán)圖中的連接進(jìn)行分層組織，可以直接有效確定可能的路徑。該過程也稱為信標(biāo)，由核心 AS 啟動，核心 AS 向下游的相鄰非核心 AS 發(fā)送路徑段構(gòu)建信標(biāo) (PCB)。當(dāng)非核心 AS 收到 PCB 時，它會添加自己的身份和一些附加信息，稍后在數(shù)據(jù)包標(biāo)頭中構(gòu)建路徑時將需要這些信息。然后它將 PCB 轉(zhuǎn)發(fā)給遵循相同程序的所有下游鄰居。因此，PCB 包含有關(guān)它從 ISD 核心到當(dāng)前 AS 的路徑信息。最終 PCB 將到達(dá)葉 AS，并且根據(jù) PCB 中的信息，所有 AS 都將知道至少一條可以到達(dá) ISD 核心的路徑。除了轉(zhuǎn)發(fā) PCB 之外，每個 AS 還存儲它剛剛在本地學(xué)習(xí)到的路徑，并通知 ISD 核心它希望到達(dá)的路徑。最后，核心知道如何到達(dá)每個 AS，每個 AS 都知道如何到達(dá)核心。



| 圖 ：具有單個 ISD 的 SCION 拓?fù)涫纠SD 中的節(jié)點代表 AS

現(xiàn)在考慮這樣一種情況，AS D（在上圖中）想要與 AS E（兩者都是非核心AS）進(jìn)行通信，因此它詢問核心如何從核心到達(dá) AS E（我們指的是這部分路徑作為下段）。它已經(jīng)知道自己如何到達(dá)核心（我們將這部分路徑稱為上行段），因此它可以將這兩個段組合起來構(gòu)建一條從自身到 AS E 的路徑。它在 SCION 數(shù)據(jù)包標(biāo)頭中包含該路徑，因此路徑上的每個 AS 都知道將數(shù)據(jù)包轉(zhuǎn)發(fā)到哪里。如果兩個段相交，即如果路徑的上段和下段經(jīng)過同一個非核心 AS，則可以采取捷徑。在這種情況下，首先將數(shù)據(jù)包轉(zhuǎn)發(fā)到核心是沒有意義的，只是為了讓它再次采用相同的路由返回。直接對等互連也是可能的。

我們現(xiàn)在知道如何到達(dá)同一個 ISD 中的另一個 AS，只要兩個路徑段在同一個核心 AS 開始/結(jié)束。然而，我們?nèi)匀粵]有到達(dá)另一個 ISD 中的 AS 所需的完整路徑，或者使用上行和下行段不在同一核心 AS 結(jié)束/開始的路徑。這個問題由 ISD 間路由解決，所有核心 AS 都參與其中。ISD 間路由使用與 BGP 類似的方法：它將 PCB 發(fā)送給它的鄰居，鄰居添加各自的信息并將新的 PCB 轉(zhuǎn)發(fā)給它們的鄰居。這聽起來類似于 ISD 內(nèi)部路由方法，但 ISD 間路由沒有方向性。這意味著該過程不如內(nèi)部 ISD 方法有效，并且也無法擴(kuò)展。



| 圖 ：具有三個不同 ISD 的 SCION 拓?fù)涫纠SD 中的節(jié)點代表 AS

使用上述過程的結(jié)果，AS 能夠通過使用以下遞歸方法來構(gòu)建自己的 ISD 和其他 ISD 中的其他 AS 進(jìn)行通信。這次 AS G 想要與位于另一個 ISD 中的 AS Q 進(jìn)行通信。通過內(nèi)部 ISD 信標(biāo)，G 知道如何到達(dá)其 ISD 的核心（上行段）。G詢問核心如何到達(dá)Q。

通過 ISD 間路由，G 的 ISD 核心知道如何到達(dá) Q 的 ISD 核心。這部分路徑稱為核心段。G 的 ISD 核心詢問 Q 的 ISD 核心如何從其 ISD 核心（下段）到達(dá) Q。G 的 ISD 核心然后將核心段和下段返回給 G。G 現(xiàn)在可以通過組合上段、核心段和下段來構(gòu)建到 Q 的完整路徑。

注意，由于每個段可能有多個選項，因此可以使用多個路徑，不同的數(shù)據(jù)包可以使用不同的路徑。當(dāng)然，路徑可能不再起作用，例如，由于鏈路故障。在這種情況下，G 將需要通過另一條路徑再次發(fā)送丟失的數(shù)據(jù)包和后續(xù)數(shù)據(jù)包。路徑問題可以通過網(wǎng)絡(luò)向發(fā)送方發(fā)出信號（類似于今天 ICMP 發(fā)生的情況），也可以從沒有接收到數(shù)據(jù)包的事實中推斷出來。

由于路徑在 AS 級別定義并包含在數(shù)據(jù)包中，因此我們需要知道我們要與之通信的終端主機(jī)位于哪個 AS 和 ISD 中。因此，我們需要將這兩條附加信息包含在終端主機(jī)的地址中。因此，一個地址現(xiàn)在由三部分組成：ISD、AS 和終端主機(jī)的本地地址。終端主機(jī)的地址在上述任何過程中都沒有用到，只用于自治系統(tǒng)內(nèi)部的本地傳遞。 SCION 在設(shè)計時考慮了安全性，因此在上述所有過程中，涉及的數(shù)據(jù)都經(jīng)過身份驗證，從而排除了路由劫持。

IP網(wǎng)絡(luò)上的SCION路由

在路由過程方面，SCION 使用了所謂的“Beaconing（信標(biāo)）”而不是 BGP。Beaconing 進(jìn)程負(fù)責(zé)發(fā)布新路徑和路徑探索進(jìn)程。

BGP 協(xié)議有一個可選的多路徑功能，可以使用，但默認(rèn)情況下不啟用，它需要額外的配置，供應(yīng)商也可以自行更改，這在互聯(lián)網(wǎng)中沒有廣泛使用。

與傳統(tǒng) BGP 的對比見下表：



| BGP/BGPSec/SCION控制平面能力對比

盡管在整個 AS 中原生使用 SCION 可能是充分利用 SCION 的最佳方式，但這可能很難實現(xiàn)。在整個網(wǎng)絡(luò)中采用 SCION 需要每個連接的設(shè)備來處理 SCION 協(xié)議。在所有類型的設(shè)備和所有應(yīng)用程序中實現(xiàn) SCION 可能被證明是困難的。
幸運的是，有一種部署 SCION 的方法使我們能夠利用它的許多優(yōu)勢，同時也無需修改網(wǎng)絡(luò)中的應(yīng)用程序或終端主機(jī)。在這種情況下（如圖所示），域間 SCION 通信由網(wǎng)絡(luò)而不是終端主機(jī)處理。所有終端主機(jī)繼續(xù)按照他們目前的方式使用 IP。這是通過在網(wǎng)絡(luò)中部署 SCION-IP 網(wǎng)關(guān) (SIG) 來實現(xiàn)的。SIG 通過 SCION 網(wǎng)絡(luò)隧道傳入 IP 數(shù)據(jù)包，處理例如路徑選擇。

然后目標(biāo)網(wǎng)絡(luò)中的 SIG 將 IP 數(shù)據(jù)包傳送到目標(biāo)終端主機(jī)。因此，我們可以將當(dāng)今的 IP 網(wǎng)絡(luò)與 SCION 集成，并立即從 SCION 的特性中受益。SCION 協(xié)議可以通過現(xiàn)有的 TCP/IP 網(wǎng)絡(luò)“建立隧道”，但需要額外的 80 個字節(jié)來傳輸額外的 SCION 信息。

下面是一個示例拓?fù)洌故玖?SCION 如何通過 IP 網(wǎng)絡(luò)建立隧道：



| SCION over IP 網(wǎng)絡(luò)示例（來源：SIDN Labs）

關(guān)于協(xié)議本身，它引入了幾個新的標(biāo)頭： 通用標(biāo)頭：在所有 SCION 流量中共享：



地址標(biāo)頭：標(biāo)識流量的來源和目的地，標(biāo)識 ISD、AS 和主機(jī)地址：



路徑類型標(biāo)頭：關(guān)于路徑元數(shù)據(jù)、跳數(shù)（最多 64 ）和附加信息（可選）的信息：



PathMeta header：攜帶特定路徑頭的元數(shù)據(jù)信息：

擴(kuò)展標(biāo)頭：未來對 SCION 協(xié)議的擴(kuò)展都使用以下格式實現(xiàn)：



SCION 的優(yōu)勢

與傳統(tǒng)互聯(lián)網(wǎng)相比，SCION最重要的優(yōu)勢是：

高可用性通信：默認(rèn)情況下使用并啟用多路徑通信，不受當(dāng)前 BGP 級攻擊影響，例如前綴劫持。

客戶端路徑控制：SCION可以保證每個數(shù)據(jù)包走的路徑，特別是哪些 ISP 或地理位置沒有被遍歷。

秘密路徑：只能由選定的通信伙伴使用。即使攻擊者知道網(wǎng)絡(luò)拓?fù)洌用苈窂奖Ｗo(hù)也可以隱藏路徑，從而使路徑不可能被 DDoS攻擊。

VPN鏈路保護(hù)：VPN 鏈路可以由 SCION 網(wǎng)絡(luò)提供，為端到端 VPN 隧道提供上面列出的所有屬性。 更快的路徑故障轉(zhuǎn)移。

與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的互操作性：SCION 可以在現(xiàn)有 IP 網(wǎng)絡(luò)之上使用。在這種情況下，可以使用 SCION-IP 網(wǎng)關(guān) (SIG) 將 SCION 標(biāo)頭封裝在 TCP/IP 堆棧之上，這種情況下的SCION效率較低，因為它不是端到端的，但您可以利用現(xiàn)有的 IP 網(wǎng)絡(luò)來傳輸和隧道支持 SCION 的流量，并且仍然可以獲得 SCION 的許多優(yōu)勢，尤其是在安全性方面。為了擴(kuò)展 SCION 感知網(wǎng)絡(luò)，可以在 AS 內(nèi)部署 SCION 邊界路由器 (BR) 以支持本地支持 SCION 的通信。

傳輸不可知：SCION 可以本地運行（僅使用 SCION 標(biāo)頭）或使用任何常用的底層傳輸，無論它是 IP 網(wǎng)絡(luò)、MPLS 網(wǎng)絡(luò)等。

無 BGP：不再需要 BGP 協(xié)議。SCION 旨在取代 Internet 中的 BGP。

數(shù)據(jù)平面處理減少：減少對數(shù)據(jù)包的處理。 就其本質(zhì)而言，SCiON 以可控性、可靠性和安全性的形式提供了對業(yè)務(wù)通信至關(guān)重要的三大獨特屬性。

SCION提高安全性和高可用性

雖然普通 SCION 具有安全性和可用性優(yōu)勢，但 SCION 有兩種額外的“風(fēng)味”，它們?yōu)橛蜷g路由帶來了額外的屬性。他們被稱為 EPIC 和 COLIBRI。

EPIC

EPIC代表檢查每個數(shù)據(jù)包.它通過數(shù)據(jù)平面中的每個數(shù)據(jù)包粒度引入了額外的安全性和透明度。在普通 SCION 中，相同的路徑信息用于多個數(shù)據(jù)包并且獨立于數(shù)據(jù)包內(nèi)容，而在 EPIC 中，路徑信息與數(shù)據(jù)包內(nèi)容相關(guān)聯(lián)。EPIC 有多種變體，可提供不同級別的安全性。它可用于向所有中間躍點提供數(shù)據(jù)包源的身份驗證和到目的地的有效負(fù)載的身份驗證。通過構(gòu)建這些功能，它甚至可以用于為源和目的地提供數(shù)據(jù)包所采用路徑的驗證。為了實現(xiàn)這一點，每一跳都會向數(shù)據(jù)包添加加密證據(jù)，記錄處理過程。

但是，該功能在數(shù)據(jù)包處理期間需要額外的加密操作，并且需要在終端主機(jī)和路徑上的每一跳之間共享的附加密鑰。這可以通過一個名為 DRKey 的系統(tǒng)有效地完成。DRKey 的一個重要特性是可以即時計算密鑰，這使得 EPIC 的加密比涉及內(nèi)存查找時更快。在標(biāo)準(zhǔn) x86 硬件上，數(shù)據(jù)包的處理時間不到 100 納秒。這允許非常快速的數(shù)據(jù)包身份驗證，因此可以非常快速地傳輸數(shù)據(jù)，因為可以允許經(jīng)過身份驗證的數(shù)據(jù)包通過傳統(tǒng)防火墻。該原理已在 LightningFilter 中得到證明，它在基于 x86 的服務(wù)器上的實驗設(shè)置中實現(xiàn)了 120 Gbps 的速度。

COLIBRI

鑒于 EPIC 引入了額外的身份驗證和驗證，COLIBRI提供了域間帶寬預(yù)留，這使得為兩個終端主機(jī)之間的路徑確保最小帶寬成為可能。結(jié)合 LightningFilter 以高速過濾經(jīng)過身份驗證的數(shù)據(jù)包，即使在拒絕服務(wù)攻擊下，也可以實現(xiàn)高水平的關(guān)鍵服務(wù)可用性。

SCION網(wǎng)絡(luò)的類型

目前部署的SCION網(wǎng)絡(luò)有兩種類型：

1）SCIONLab ：SCIONLab 是一個全球研究網(wǎng)絡(luò)，用于測試 SCION 下一代互聯(lián)網(wǎng)架構(gòu)。

任何人都可以參與其中并創(chuàng)建最多五個支持 SCION 的 AS。

SCIONLab 的基礎(chǔ)設(shè)施包括全球連接的 AS 和 ISD（隔離域）網(wǎng)絡(luò)。

易于設(shè)置，所有必需的組件都可以作為一組 VM 進(jìn)行部署，作為軟件包安裝，或者可以從源代碼構(gòu)建。

SCION 也有一些局限性：

PKI 控制平面是集中式的，這意味著存在單點故障，但它確實使密鑰分發(fā)更容易、更快，這在某些使用場景下更為重要。

Overlay 鏈接（通過公共互聯(lián)網(wǎng)）用于基礎(chǔ)設(shè)施內(nèi)部和用戶 AS 的基礎(chǔ)設(shè)施之間，降低了完整 SCION 部署的安全性、可用性和性能方面的能力，但也降低了復(fù)雜性。

下圖展示了當(dāng)前全球 SCIONLab 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)：



| 現(xiàn)有 SCIONLab 全球研究網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（來源：SCIONLab）

2）生產(chǎn)級全球SCION 網(wǎng)絡(luò)- Anapaya（ETH 大學(xué)的衍生公司）生產(chǎn)級全球 SCION 網(wǎng)絡(luò)，目前主要由瑞士銀行和金融機(jī)構(gòu)使用，但越來越多的 ISP 和企業(yè)實體正在加入。

總結(jié)

與任何協(xié)議一樣，SCION 也有其缺點，其主要的潛在問題在于：

獲取路徑存在額外延遲。這可以通過緩存和路徑重用來避免，類似于 DNS 過程。

帶寬開銷。協(xié)議標(biāo)頭中需要新信息，因此在數(shù)據(jù)包中使用了更多空間，不過這些空間都沒有被浪費，所有信息都被使用，它提供了路徑控制、更簡單的數(shù)據(jù)平面等。

可能需要新證書（例如 TRC 證書），好處是安全性更高。

工程師必須學(xué)習(xí)新的協(xié)議和方法。

但是，正如本文所述，新協(xié)議為互聯(lián)網(wǎng)流量提供了一種全新的方法，其優(yōu)點超過了這些缺點，尤其是在路由控制、安全性、可擴(kuò)展性和高可用性方面。它可以完全控制到終端系統(tǒng)的路由過程——您可以為您的流量決定最佳路徑，其中“最佳路徑”可能意味著：最快、最便宜、避開某些地區(qū)或管轄區(qū)等等。

由于 SCION 集成了完整的PKI 基礎(chǔ)設(shè)施，并且每個數(shù)據(jù)包都經(jīng)過簽名和驗證，因此它提供了額外的安全性。SCION 是無 BGP 的，使用一種稱為beaconing的新路由方法。 此外，使用 Research SCION 網(wǎng)絡(luò)可以很容易地測試 SCION 基礎(chǔ)設(shè)施，任何人都可以參與其中。

審核編輯：劉清