傳統(tǒng)網(wǎng)絡(luò)中，各個(gè)AS（Autonomous System，自治系統(tǒng)）相互連接并使用EGP（ Exterior Gateway Protocol，外部網(wǎng)關(guān)協(xié)議）互相通信，其中BGP是EGP的代表協(xié)議。BGP支持70000 多個(gè)不同網(wǎng)絡(luò)之間的協(xié)調(diào)，但在全球多次發(fā)生的網(wǎng)絡(luò)故障事實(shí)表明，BGP是互聯(lián)網(wǎng)中最脆弱的部分之一。2020 年，一場(chǎng)影響美國(guó)服務(wù)提供商 Cloudflare 的重大事件持續(xù)了 7 個(gè)小時(shí)，導(dǎo)致全球流量下降 3.5%。此事件由一個(gè)微不足道的BGP配置錯(cuò)誤引起——區(qū)域路由器中的輕微故障觸發(fā)了眾所周知的蝴蝶效應(yīng)，從而導(dǎo)致大部分地區(qū)的互聯(lián)網(wǎng)連接中斷。這種中斷會(huì)給企業(yè)帶來(lái)巨大的成本，并對(duì)依賴互聯(lián)網(wǎng)提供關(guān)鍵服務(wù)的機(jī)構(gòu)造成嚴(yán)重影響。

那么，一個(gè)重要的問(wèn)題是：我們?yōu)楹我蕾囘@種不可靠的基礎(chǔ)設(shè)施？答案出奇地簡(jiǎn)單：在發(fā)明之初，BGP并非旨在處理我們今天擁有的全球規(guī)模和數(shù)量的網(wǎng)絡(luò)互連。BGP的創(chuàng)建是為了支持 80 年代后期規(guī)模小得多的互聯(lián)網(wǎng)互連。在過(guò)去的 30 年里，它的大部分功能性運(yùn)作給人一種虛假的穩(wěn)定感。為了保證可靠通信，我們需要比 BGP 所能提供的更強(qiáng)大的屬性。

其中，由瑞士蘇黎世聯(lián)邦理工大學(xué)及其附屬公司 Anapaya Systems 開(kāi)發(fā)的SCION（Scalability, Control, and Isolation On Next-Generation Networks）架構(gòu)，自詡為“最現(xiàn)代、最安全的架構(gòu)”，正引起業(yè)界關(guān)注。SCION 代表的是下一代網(wǎng)絡(luò)的可擴(kuò)展性、可控性和隔離性，其目標(biāo)是通過(guò)安全的域間路由和路徑感知網(wǎng)絡(luò)實(shí)現(xiàn)一個(gè)安全、穩(wěn)定和透明的互聯(lián)網(wǎng)。

本文將系統(tǒng)介紹什么是SCION 、與傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)的對(duì)比、SCION應(yīng)用現(xiàn)狀等。

傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)概述

互聯(lián)網(wǎng)是一個(gè)全球范圍內(nèi)的互連計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。通過(guò)互聯(lián)網(wǎng)，我們可以即時(shí)分享全球的數(shù)據(jù)和信息。我們依賴于手機(jī)、筆記本電腦、物聯(lián)網(wǎng)設(shè)備、家庭自動(dòng)化設(shè)備等不斷地訪問(wèn)互聯(lián)網(wǎng)，以便與他人進(jìn)行交流、購(gòu)物、使用社交媒體以及工作等等。

從架構(gòu)的角度來(lái)看，互聯(lián)網(wǎng)只是多個(gè)網(wǎng)絡(luò)的互連，它是將世界各地的計(jì)算機(jī)網(wǎng)絡(luò)連接成一個(gè)實(shí)體。互聯(lián)網(wǎng)不是一臺(tái)大型計(jì)算機(jī)，而是眾多計(jì)算機(jī)和設(shè)備相互連接。

為了能夠連接所有大陸，在世界各地建立了一個(gè)非常復(fù)雜的物理海底網(wǎng)絡(luò)，

互聯(lián)網(wǎng)的歷史

在互聯(lián)網(wǎng)時(shí)代之前，計(jì)算機(jī)只是一臺(tái)大型主機(jī)，無(wú)法與任何其他計(jì)算機(jī)“對(duì)話”。當(dāng)時(shí)沒(méi)有任何技術(shù)或術(shù)語(yǔ)可以將兩臺(tái)計(jì)算機(jī)通過(guò)“網(wǎng)絡(luò)”連接起來(lái)。

從歷史上看，互聯(lián)網(wǎng)的起源始于1960 年代，當(dāng)時(shí)美國(guó)高級(jí)研究計(jì)劃局網(wǎng)絡(luò)(ARPANET) 開(kāi)始開(kāi)發(fā)其公共分組交換網(wǎng)絡(luò)。

1969年10月29日，加州大學(xué)洛杉磯分校(UCLA)的一名學(xué)生查理·克萊恩(Charley Kline)試圖登錄斯坦福研究所(SRI)的主機(jī)，這是兩臺(tái)計(jì)算機(jī)之間第一次成功發(fā)送信息。 發(fā)送到遠(yuǎn)程終端的第一個(gè)命令是“LOGIN”——它一共進(jìn)行了兩次嘗試，第一次嘗試在 Charley 鍵入“LOG”后崩潰了，但他們?cè)O(shè)法解決了問(wèn)題，并在第二次嘗試時(shí)成功登錄到 SRI 的遠(yuǎn)程終端。隨著時(shí)間的推移，ARPANET也開(kāi)始不斷發(fā)展壯大。

然而，由于連接到 ARPANET 的網(wǎng)絡(luò)不同，使用的網(wǎng)絡(luò)協(xié)議也各不相同，一些網(wǎng)絡(luò)無(wú)法相互通信。為了克服這一挑戰(zhàn)，1970 年代開(kāi)發(fā)出了TCP/IP協(xié)議棧，并在 1974 年產(chǎn)生了第一個(gè)初始 TCP RFC 草案- RFC675。該 RFC 中首次使用術(shù)語(yǔ)“Internet”作為互聯(lián)網(wǎng)絡(luò)的簡(jiǎn)寫(xiě)。

TCP/IP 堆棧花了將近10 年的時(shí)間成為了 ARPANET 標(biāo)準(zhǔn)，所有節(jié)點(diǎn)都在 1983 年遷移到 TCP/IP 堆棧。其他較舊的協(xié)議，如 1960 年代開(kāi)發(fā)的網(wǎng)絡(luò)控制程序 (NCP)已被棄用。Telnet和 FTP（文件傳輸協(xié)議）是第一個(gè)使用 Internet 網(wǎng)絡(luò)的應(yīng)用程序（自1969年以來(lái)可用）。

ARPANET 于1989 年關(guān)閉（最終于 1990 年退役），取而代之的是美國(guó)國(guó)家科學(xué)基金會(huì)網(wǎng)絡(luò)(NSF)。1986 年，NSF 建立了一個(gè)1.5 兆比特/秒的網(wǎng)絡(luò)，這就是眾所周知的NSFNET。許多商業(yè)和其他ISP（互聯(lián)網(wǎng)服務(wù)提供商）在此期間被引入并連接到該網(wǎng)絡(luò)。

1991 年之前，互聯(lián)網(wǎng)主要被科學(xué)家和政府機(jī)構(gòu)用來(lái)交換信息和數(shù)據(jù)。1991年，萬(wàn)維網(wǎng) (WWW)問(wèn)世。盡管Internet網(wǎng)絡(luò)的最初發(fā)展始于美國(guó)，但是CERN項(xiàng)目通過(guò)引入最初的WWW和HTTP標(biāo)準(zhǔn)使得Internet更容易為普通用戶使用，從而帶動(dòng)了Internet的大規(guī)模發(fā)展。

目前，根據(jù)IXPO組織的數(shù)據(jù)顯示：

截止到2022年1月，全球共有49.5億人使用互聯(lián)網(wǎng)（占世界人口的 62.5%）

索引網(wǎng)絡(luò)共22.5億頁(yè)

據(jù)Statista的數(shù)據(jù)，到2025年，我們每天將發(fā)送超過(guò)3760億封電子郵件

IDC 預(yù)計(jì)，到 2025 年，全球數(shù)據(jù)空間將增長(zhǎng)到175 zettabytes（1 ZB 等于 1 萬(wàn)億 GB）

IOT Analytics 報(bào)告稱，到 2025 年，物聯(lián)網(wǎng)設(shè)備將達(dá)到271億臺(tái)

| 歷年互聯(lián)網(wǎng)里程碑

綜上所述，互聯(lián)網(wǎng)的發(fā)展經(jīng)歷了多次迭代升級(jí)。然而，在其發(fā)展過(guò)程中卻沒(méi)有預(yù)料到現(xiàn)代互聯(lián)網(wǎng)使用存在的一些問(wèn)題。

現(xiàn)代互聯(lián)網(wǎng)架構(gòu)

一般來(lái)說(shuō)，現(xiàn)有的互聯(lián)網(wǎng)架構(gòu)由三層ISP組成，ISP(internet service provider)是指互聯(lián)網(wǎng)服務(wù)提供商，類似中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通就是國(guó)內(nèi)有名的ISP。



| 當(dāng)前的互聯(lián)網(wǎng)架構(gòu)（來(lái)源：維基百科）

三層ISP結(jié)構(gòu)分為主干ISP（Tier 1 ）、地區(qū)ISP（Tier 2）、本地ISP（Tier 3）。本地ISP給用戶提供最直接的服務(wù)，本地ISP可以連接到地區(qū)ISP，也可以連接到主干ISP。只要每一個(gè)本地ISP都安裝了路由器連接到某個(gè)地區(qū)ISP，而每一個(gè)地區(qū)ISP也有路由器連接到主干ISP，那么在這些相互連接的ISP的共同作用下，就可以完成互聯(lián)網(wǎng)中的所有的分組轉(zhuǎn)發(fā)任務(wù)。

互聯(lián)網(wǎng)交換點(diǎn)(IXP)：為了更快地轉(zhuǎn)發(fā)分組，IXP允許兩個(gè)網(wǎng)絡(luò)直接連接并交換分組，而不需要通過(guò)第三個(gè)網(wǎng)絡(luò)來(lái)轉(zhuǎn)發(fā)分組。

因此，獲得互聯(lián)網(wǎng)接入的關(guān)鍵是連接到互聯(lián)網(wǎng)服務(wù)提供商，而問(wèn)題是 ISP 如何相互信任并交換路由信息？BGP（邊界網(wǎng)關(guān)協(xié)議）就是起到這個(gè)作用，BGP允許ISP之間交換IPv4和IPv6前綴。

然而，ISP的BGP 路由交換策略很難建立清晰和開(kāi)放的關(guān)系，這可能會(huì)導(dǎo)致許多誤解，甚至是基于 BGP 的前綴劫持，這種情況每天都會(huì)發(fā)生多次，F(xiàn)acebook、微軟等大型互聯(lián)網(wǎng)公司都難以避免遇到這個(gè)問(wèn)題。

這就是傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)存在的主要問(wèn)題（傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)并不是為了防止此類問(wèn)題而構(gòu)建的），現(xiàn)在出現(xiàn)了一種更現(xiàn)代的方法，稱為 SCION 。

SCION互聯(lián)網(wǎng)架構(gòu)

SCION（下一代網(wǎng)絡(luò)的可擴(kuò)展性、可控性和隔離性）是一種完全不同的全球互聯(lián)網(wǎng)架構(gòu)方法，它主要側(cè)重于安全性、可控性、健壯性、高可用性和隔離性。SCION 項(xiàng)目于 2010 年在瑞士蘇黎世的 ETH 大學(xué)啟動(dòng)，它被 IETF 認(rèn)為是基于新型路徑感知網(wǎng)絡(luò)的“未來(lái)互聯(lián)網(wǎng)提案”。

SCION 是一種路徑感知協(xié)議，旨在取代互聯(lián)網(wǎng)中廣泛使用的 BGP 協(xié)議。路徑感知架構(gòu)允許終端主機(jī)（或網(wǎng)關(guān)）了解可用的網(wǎng)絡(luò)路徑段并將它們組合成端到端的路徑，并在包頭中攜帶。

SCION網(wǎng)絡(luò)架構(gòu)的組成部分

SCION網(wǎng)絡(luò)架構(gòu)定義了如下概念：

隔離域 (ISD，Isolation domains ):一個(gè)獨(dú)立的公共管轄區(qū)和故障域。

ISD 核心：管理 SCION 網(wǎng)絡(luò)核心的 AS（自治系統(tǒng)，autonomous systems），提供全球連接，負(fù)責(zé) ISD 域內(nèi)的策略。

核心 AS：ISD核心的一部分。

路由：可以分為 ISD 間域和 ISD 內(nèi)域。

信任根配置 (TRC)：每個(gè) ISD 都有自己的信任根，它解決了寡頭壟斷模型（Web PKI）和壟斷模型（DNSSEC，RPKI）的問(wèn)題，并確保幾乎不會(huì)受到針對(duì)內(nèi)部 ISD 路由策略的外部攻擊。

ISD 內(nèi)信標(biāo)系統(tǒng)：在 ISD 內(nèi)通告可能的路徑，遍歷 ISD 內(nèi)的所有 AS，通過(guò) ISD 核心提供多路徑。

ISD 間通信：如果主機(jī)“S”想要在 SCION 網(wǎng)絡(luò)中與主機(jī)“E”通信，則有三個(gè) ISD（藍(lán)色、橙色和綠色）——下圖說(shuō)明了該過(guò)程：



| ISD間通信圖（來(lái)源：SCION-architecture）

下面是一個(gè)簡(jiǎn)單的 SCION 拓?fù)涓攀觯?br />


| SCION 拓?fù)鋱D（來(lái)源：SCION-architecture article）

SCION網(wǎng)絡(luò)路由過(guò)程

SCION架構(gòu)中，互聯(lián)網(wǎng)仍然由自治系統(tǒng)組成。但是，通過(guò)將自治系統(tǒng)分組到“隔離域 (ISD) ”中，增加了一個(gè)層次結(jié)構(gòu)層。通常，ISD 中的 AS 共享某些屬性。例如，他們可能共享一個(gè)管轄區(qū)或地理位置。每個(gè) ISD 都有自己的公鑰基礎(chǔ)設(shè)施(PKI)，例如，用于保護(hù) SCION 內(nèi)的路由。ISD 的 PKI 只能為它自己的隔離域中的系統(tǒng)分發(fā)證書(shū)。因此，如果安全受到威脅，其影響將僅限于受損的隔離域。隔離域的管理由 ISD 核心負(fù)責(zé)，由于核心 AS 負(fù)責(zé) ISD 的管理，因此它們通常由 ISD 中所有其他 AS 信任的各方運(yùn)行。ISD核心在域間路由中也起著重要作用。下圖描述了 SCIONLab 網(wǎng)絡(luò)（截至 2020 年 9 月）中的不同 ISD 和一些 AS，這是一個(gè)支持 SCION 實(shí)驗(yàn)的全球研究網(wǎng)絡(luò)。



| 圖 ：截至 2020 年 9 月的 SCIONLab 拓?fù)洌@示了駐留在各種隔離域中的自治系統(tǒng)（來(lái)源SCIONLab）

目前 Internet 上的路由依賴 BGP，由于 Internet 是在非層次結(jié)構(gòu)的基礎(chǔ)上組織的，作為一個(gè)“扁平”網(wǎng)絡(luò)，路由器使用巨大的路由表以根據(jù)目標(biāo)地址確定將數(shù)據(jù)包轉(zhuǎn)發(fā)到哪里。而SCION 中有所不同：轉(zhuǎn)發(fā)基于數(shù)據(jù)包攜帶轉(zhuǎn)發(fā)狀態(tài)。即每個(gè)數(shù)據(jù)包都包含它需要傳輸?shù)穆窂剑ㄔ?AS 級(jí)別），因此不再需要路由器上的巨大表。這釋放了路由器的內(nèi)存，更重要的是，它使發(fā)件人能夠確定他們的網(wǎng)絡(luò)流量應(yīng)該如何通過(guò)互聯(lián)網(wǎng)傳輸。為此，發(fā)送方需要知道哪些路徑可以到達(dá)預(yù)期的目標(biāo) AS。在確定路徑時(shí)，區(qū)分兩種情況：ISD 內(nèi)的流量（ISD 內(nèi)）和 ISD 之間的流量（ISD 間）。

在每個(gè) ISD 中，AS 根據(jù)它們?cè)谝?ISD 核心為根的有向無(wú)環(huán)圖中的連接進(jìn)行分層組織，可以直接有效確定可能的路徑。該過(guò)程也稱為信標(biāo)，由核心 AS 啟動(dòng)，核心 AS 向下游的相鄰非核心 AS 發(fā)送路徑段構(gòu)建信標(biāo) (PCB)。當(dāng)非核心 AS 收到 PCB 時(shí)，它會(huì)添加自己的身份和一些附加信息，稍后在數(shù)據(jù)包標(biāo)頭中構(gòu)建路徑時(shí)將需要這些信息。然后它將 PCB 轉(zhuǎn)發(fā)給遵循相同程序的所有下游鄰居。因此，PCB 包含有關(guān)它從 ISD 核心到當(dāng)前 AS 的路徑信息。最終 PCB 將到達(dá)葉 AS，并且根據(jù) PCB 中的信息，所有 AS 都將知道至少一條可以到達(dá) ISD 核心的路徑。除了轉(zhuǎn)發(fā) PCB 之外，每個(gè) AS 還存儲(chǔ)它剛剛在本地學(xué)習(xí)到的路徑，并通知 ISD 核心它希望到達(dá)的路徑。最后，核心知道如何到達(dá)每個(gè) AS，每個(gè) AS 都知道如何到達(dá)核心。



| 圖 ：具有單個(gè) ISD 的 SCION 拓?fù)涫纠SD 中的節(jié)點(diǎn)代表 AS

現(xiàn)在考慮這樣一種情況，AS D（在上圖中）想要與 AS E（兩者都是非核心AS）進(jìn)行通信，因此它詢問(wèn)核心如何從核心到達(dá) AS E（我們指的是這部分路徑作為下段）。它已經(jīng)知道自己如何到達(dá)核心（我們將這部分路徑稱為上行段），因此它可以將這兩個(gè)段組合起來(lái)構(gòu)建一條從自身到 AS E 的路徑。它在 SCION 數(shù)據(jù)包標(biāo)頭中包含該路徑，因此路徑上的每個(gè) AS 都知道將數(shù)據(jù)包轉(zhuǎn)發(fā)到哪里。如果兩個(gè)段相交，即如果路徑的上段和下段經(jīng)過(guò)同一個(gè)非核心 AS，則可以采取捷徑。在這種情況下，首先將數(shù)據(jù)包轉(zhuǎn)發(fā)到核心是沒(méi)有意義的，只是為了讓它再次采用相同的路由返回。直接對(duì)等互連也是可能的。

我們現(xiàn)在知道如何到達(dá)同一個(gè) ISD 中的另一個(gè) AS，只要兩個(gè)路徑段在同一個(gè)核心 AS 開(kāi)始/結(jié)束。然而，我們?nèi)匀粵](méi)有到達(dá)另一個(gè) ISD 中的 AS 所需的完整路徑，或者使用上行和下行段不在同一核心 AS 結(jié)束/開(kāi)始的路徑。這個(gè)問(wèn)題由 ISD 間路由解決，所有核心 AS 都參與其中。ISD 間路由使用與 BGP 類似的方法：它將 PCB 發(fā)送給它的鄰居，鄰居添加各自的信息并將新的 PCB 轉(zhuǎn)發(fā)給它們的鄰居。這聽(tīng)起來(lái)類似于 ISD 內(nèi)部路由方法，但 ISD 間路由沒(méi)有方向性。這意味著該過(guò)程不如內(nèi)部 ISD 方法有效，并且也無(wú)法擴(kuò)展。



| 圖 ：具有三個(gè)不同 ISD 的 SCION 拓?fù)涫纠SD 中的節(jié)點(diǎn)代表 AS

使用上述過(guò)程的結(jié)果，AS 能夠通過(guò)使用以下遞歸方法來(lái)構(gòu)建自己的 ISD 和其他 ISD 中的其他 AS 進(jìn)行通信。這次 AS G 想要與位于另一個(gè) ISD 中的 AS Q 進(jìn)行通信。通過(guò)內(nèi)部 ISD 信標(biāo)，G 知道如何到達(dá)其 ISD 的核心（上行段）。G詢問(wèn)核心如何到達(dá)Q。

通過(guò) ISD 間路由，G 的 ISD 核心知道如何到達(dá) Q 的 ISD 核心。這部分路徑稱為核心段。G 的 ISD 核心詢問(wèn) Q 的 ISD 核心如何從其 ISD 核心（下段）到達(dá) Q。G 的 ISD 核心然后將核心段和下段返回給 G。G 現(xiàn)在可以通過(guò)組合上段、核心段和下段來(lái)構(gòu)建到 Q 的完整路徑。

注意，由于每個(gè)段可能有多個(gè)選項(xiàng)，因此可以使用多個(gè)路徑，不同的數(shù)據(jù)包可以使用不同的路徑。當(dāng)然，路徑可能不再起作用，例如，由于鏈路故障。在這種情況下，G 將需要通過(guò)另一條路徑再次發(fā)送丟失的數(shù)據(jù)包和后續(xù)數(shù)據(jù)包。路徑問(wèn)題可以通過(guò)網(wǎng)絡(luò)向發(fā)送方發(fā)出信號(hào)（類似于今天 ICMP 發(fā)生的情況），也可以從沒(méi)有接收到數(shù)據(jù)包的事實(shí)中推斷出來(lái)。

由于路徑在 AS 級(jí)別定義并包含在數(shù)據(jù)包中，因此我們需要知道我們要與之通信的終端主機(jī)位于哪個(gè) AS 和 ISD 中。因此，我們需要將這兩條附加信息包含在終端主機(jī)的地址中。因此，一個(gè)地址現(xiàn)在由三部分組成：ISD、AS 和終端主機(jī)的本地地址。終端主機(jī)的地址在上述任何過(guò)程中都沒(méi)有用到，只用于自治系統(tǒng)內(nèi)部的本地傳遞。 SCION 在設(shè)計(jì)時(shí)考慮了安全性，因此在上述所有過(guò)程中，涉及的數(shù)據(jù)都經(jīng)過(guò)身份驗(yàn)證，從而排除了路由劫持。

IP網(wǎng)絡(luò)上的SCION路由

在路由過(guò)程方面，SCION 使用了所謂的“Beaconing（信標(biāo)）”而不是 BGP。Beaconing 進(jìn)程負(fù)責(zé)發(fā)布新路徑和路徑探索進(jìn)程。

BGP 協(xié)議有一個(gè)可選的多路徑功能，可以使用，但默認(rèn)情況下不啟用，它需要額外的配置，供應(yīng)商也可以自行更改，這在互聯(lián)網(wǎng)中沒(méi)有廣泛使用。

與傳統(tǒng) BGP 的對(duì)比見(jiàn)下表：



| BGP/BGPSec/SCION控制平面能力對(duì)比

盡管在整個(gè) AS 中原生使用 SCION 可能是充分利用 SCION 的最佳方式，但這可能很難實(shí)現(xiàn)。在整個(gè)網(wǎng)絡(luò)中采用 SCION 需要每個(gè)連接的設(shè)備來(lái)處理 SCION 協(xié)議。在所有類型的設(shè)備和所有應(yīng)用程序中實(shí)現(xiàn) SCION 可能被證明是困難的。
幸運(yùn)的是，有一種部署 SCION 的方法使我們能夠利用它的許多優(yōu)勢(shì)，同時(shí)也無(wú)需修改網(wǎng)絡(luò)中的應(yīng)用程序或終端主機(jī)。在這種情況下（如圖所示），域間 SCION 通信由網(wǎng)絡(luò)而不是終端主機(jī)處理。所有終端主機(jī)繼續(xù)按照他們目前的方式使用 IP。這是通過(guò)在網(wǎng)絡(luò)中部署 SCION-IP 網(wǎng)關(guān) (SIG) 來(lái)實(shí)現(xiàn)的。SIG 通過(guò) SCION 網(wǎng)絡(luò)隧道傳入 IP 數(shù)據(jù)包，處理例如路徑選擇。

然后目標(biāo)網(wǎng)絡(luò)中的 SIG 將 IP 數(shù)據(jù)包傳送到目標(biāo)終端主機(jī)。因此，我們可以將當(dāng)今的 IP 網(wǎng)絡(luò)與 SCION 集成，并立即從 SCION 的特性中受益。SCION 協(xié)議可以通過(guò)現(xiàn)有的 TCP/IP 網(wǎng)絡(luò)“建立隧道”，但需要額外的 80 個(gè)字節(jié)來(lái)傳輸額外的 SCION 信息。

下面是一個(gè)示例拓?fù)洌故玖?SCION 如何通過(guò) IP 網(wǎng)絡(luò)建立隧道：



| SCION over IP 網(wǎng)絡(luò)示例（來(lái)源：SIDN Labs）

關(guān)于協(xié)議本身，它引入了幾個(gè)新的標(biāo)頭： 通用標(biāo)頭：在所有 SCION 流量中共享：



地址標(biāo)頭：標(biāo)識(shí)流量的來(lái)源和目的地，標(biāo)識(shí) ISD、AS 和主機(jī)地址：



路徑類型標(biāo)頭：關(guān)于路徑元數(shù)據(jù)、跳數(shù)（最多 64 ）和附加信息（可選）的信息：



PathMeta header：攜帶特定路徑頭的元數(shù)據(jù)信息：

擴(kuò)展標(biāo)頭：未來(lái)對(duì) SCION 協(xié)議的擴(kuò)展都使用以下格式實(shí)現(xiàn)：



SCION 的優(yōu)勢(shì)

與傳統(tǒng)互聯(lián)網(wǎng)相比，SCION最重要的優(yōu)勢(shì)是：

高可用性通信：默認(rèn)情況下使用并啟用多路徑通信，不受當(dāng)前 BGP 級(jí)攻擊影響，例如前綴劫持。

客戶端路徑控制：SCION可以保證每個(gè)數(shù)據(jù)包走的路徑，特別是哪些 ISP 或地理位置沒(méi)有被遍歷。

秘密路徑：只能由選定的通信伙伴使用。即使攻擊者知道網(wǎng)絡(luò)拓?fù)洌用苈窂奖Ｗo(hù)也可以隱藏路徑，從而使路徑不可能被 DDoS攻擊。

VPN鏈路保護(hù)：VPN 鏈路可以由 SCION 網(wǎng)絡(luò)提供，為端到端 VPN 隧道提供上面列出的所有屬性。 更快的路徑故障轉(zhuǎn)移。

與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的互操作性：SCION 可以在現(xiàn)有 IP 網(wǎng)絡(luò)之上使用。在這種情況下，可以使用 SCION-IP 網(wǎng)關(guān) (SIG) 將 SCION 標(biāo)頭封裝在 TCP/IP 堆棧之上，這種情況下的SCION效率較低，因?yàn)樗皇嵌说蕉说模梢岳矛F(xiàn)有的 IP 網(wǎng)絡(luò)來(lái)傳輸和隧道支持 SCION 的流量，并且仍然可以獲得 SCION 的許多優(yōu)勢(shì)，尤其是在安全性方面。為了擴(kuò)展 SCION 感知網(wǎng)絡(luò)，可以在 AS 內(nèi)部署 SCION 邊界路由器 (BR) 以支持本地支持 SCION 的通信。

傳輸不可知：SCION 可以本地運(yùn)行（僅使用 SCION 標(biāo)頭）或使用任何常用的底層傳輸，無(wú)論它是 IP 網(wǎng)絡(luò)、MPLS 網(wǎng)絡(luò)等。

無(wú) BGP：不再需要 BGP 協(xié)議。SCION 旨在取代 Internet 中的 BGP。

數(shù)據(jù)平面處理減少：減少對(duì)數(shù)據(jù)包的處理。 就其本質(zhì)而言，SCiON 以可控性、可靠性和安全性的形式提供了對(duì)業(yè)務(wù)通信至關(guān)重要的三大獨(dú)特屬性。

SCION提高安全性和高可用性

雖然普通 SCION 具有安全性和可用性優(yōu)勢(shì)，但 SCION 有兩種額外的“風(fēng)味”，它們?yōu)橛蜷g路由帶來(lái)了額外的屬性。他們被稱為 EPIC 和 COLIBRI。

EPIC

EPIC代表檢查每個(gè)數(shù)據(jù)包.它通過(guò)數(shù)據(jù)平面中的每個(gè)數(shù)據(jù)包粒度引入了額外的安全性和透明度。在普通 SCION 中，相同的路徑信息用于多個(gè)數(shù)據(jù)包并且獨(dú)立于數(shù)據(jù)包內(nèi)容，而在 EPIC 中，路徑信息與數(shù)據(jù)包內(nèi)容相關(guān)聯(lián)。EPIC 有多種變體，可提供不同級(jí)別的安全性。它可用于向所有中間躍點(diǎn)提供數(shù)據(jù)包源的身份驗(yàn)證和到目的地的有效負(fù)載的身份驗(yàn)證。通過(guò)構(gòu)建這些功能，它甚至可以用于為源和目的地提供數(shù)據(jù)包所采用路徑的驗(yàn)證。為了實(shí)現(xiàn)這一點(diǎn)，每一跳都會(huì)向數(shù)據(jù)包添加加密證據(jù)，記錄處理過(guò)程。

但是，該功能在數(shù)據(jù)包處理期間需要額外的加密操作，并且需要在終端主機(jī)和路徑上的每一跳之間共享的附加密鑰。這可以通過(guò)一個(gè)名為 DRKey 的系統(tǒng)有效地完成。DRKey 的一個(gè)重要特性是可以即時(shí)計(jì)算密鑰，這使得 EPIC 的加密比涉及內(nèi)存查找時(shí)更快。在標(biāo)準(zhǔn) x86 硬件上，數(shù)據(jù)包的處理時(shí)間不到 100 納秒。這允許非常快速的數(shù)據(jù)包身份驗(yàn)證，因此可以非常快速地傳輸數(shù)據(jù)，因?yàn)榭梢栽试S經(jīng)過(guò)身份驗(yàn)證的數(shù)據(jù)包通過(guò)傳統(tǒng)防火墻。該原理已在 LightningFilter 中得到證明，它在基于 x86 的服務(wù)器上的實(shí)驗(yàn)設(shè)置中實(shí)現(xiàn)了 120 Gbps 的速度。

COLIBRI

鑒于 EPIC 引入了額外的身份驗(yàn)證和驗(yàn)證，COLIBRI提供了域間帶寬預(yù)留，這使得為兩個(gè)終端主機(jī)之間的路徑確保最小帶寬成為可能。結(jié)合 LightningFilter 以高速過(guò)濾經(jīng)過(guò)身份驗(yàn)證的數(shù)據(jù)包，即使在拒絕服務(wù)攻擊下，也可以實(shí)現(xiàn)高水平的關(guān)鍵服務(wù)可用性。

SCION網(wǎng)絡(luò)的類型

目前部署的SCION網(wǎng)絡(luò)有兩種類型：

1）SCIONLab ：SCIONLab 是一個(gè)全球研究網(wǎng)絡(luò)，用于測(cè)試 SCION 下一代互聯(lián)網(wǎng)架構(gòu)。

任何人都可以參與其中并創(chuàng)建最多五個(gè)支持 SCION 的 AS。

SCIONLab 的基礎(chǔ)設(shè)施包括全球連接的 AS 和 ISD（隔離域）網(wǎng)絡(luò)。

易于設(shè)置，所有必需的組件都可以作為一組 VM 進(jìn)行部署，作為軟件包安裝，或者可以從源代碼構(gòu)建。

SCION 也有一些局限性：

PKI 控制平面是集中式的，這意味著存在單點(diǎn)故障，但它確實(shí)使密鑰分發(fā)更容易、更快，這在某些使用場(chǎng)景下更為重要。

Overlay 鏈接（通過(guò)公共互聯(lián)網(wǎng)）用于基礎(chǔ)設(shè)施內(nèi)部和用戶 AS 的基礎(chǔ)設(shè)施之間，降低了完整 SCION 部署的安全性、可用性和性能方面的能力，但也降低了復(fù)雜性。

下圖展示了當(dāng)前全球 SCIONLab 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)：



| 現(xiàn)有 SCIONLab 全球研究網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（來(lái)源：SCIONLab）

2）生產(chǎn)級(jí)全球SCION 網(wǎng)絡(luò)- Anapaya（ETH 大學(xué)的衍生公司）生產(chǎn)級(jí)全球 SCION 網(wǎng)絡(luò)，目前主要由瑞士銀行和金融機(jī)構(gòu)使用，但越來(lái)越多的 ISP 和企業(yè)實(shí)體正在加入。

總結(jié)

與任何協(xié)議一樣，SCION 也有其缺點(diǎn)，其主要的潛在問(wèn)題在于：

獲取路徑存在額外延遲。這可以通過(guò)緩存和路徑重用來(lái)避免，類似于 DNS 過(guò)程。

帶寬開(kāi)銷。協(xié)議標(biāo)頭中需要新信息，因此在數(shù)據(jù)包中使用了更多空間，不過(guò)這些空間都沒(méi)有被浪費(fèi)，所有信息都被使用，它提供了路徑控制、更簡(jiǎn)單的數(shù)據(jù)平面等。

可能需要新證書(shū)（例如 TRC 證書(shū)），好處是安全性更高。

工程師必須學(xué)習(xí)新的協(xié)議和方法。

但是，正如本文所述，新協(xié)議為互聯(lián)網(wǎng)流量提供了一種全新的方法，其優(yōu)點(diǎn)超過(guò)了這些缺點(diǎn)，尤其是在路由控制、安全性、可擴(kuò)展性和高可用性方面。它可以完全控制到終端系統(tǒng)的路由過(guò)程——您可以為您的流量決定最佳路徑，其中“最佳路徑”可能意味著：最快、最便宜、避開(kāi)某些地區(qū)或管轄區(qū)等等。

由于 SCION 集成了完整的PKI 基礎(chǔ)設(shè)施，并且每個(gè)數(shù)據(jù)包都經(jīng)過(guò)簽名和驗(yàn)證，因此它提供了額外的安全性。SCION 是無(wú) BGP 的，使用一種稱為beaconing的新路由方法。 此外，使用 Research SCION 網(wǎng)絡(luò)可以很容易地測(cè)試 SCION 基礎(chǔ)設(shè)施，任何人都可以參與其中。

審核編輯：劉清