SCION (internetová architektura) - SCION (Internet architecture)

SCION (škálovatelnost, ovládání a izolace v sítích nové generace) je navrhováno Budoucí internet architektura, která si klade za cíl nabídnout vysokou dostupnost a efektivní doručování paketů z bodu do bodu, a to i za přítomnosti aktivně škodlivých síťových operátorů a zařízení. Od roku 2018 se jedná o probíhající výzkumný projekt vedený výzkumnými pracovníky v ETH Curych a mimo jiné Budoucí internet návrhů je zkoumán v EU Pracovní skupina pro internetové inženýrství výzkumná skupina pro vytváření sítí založených na cestách.

Cíle

Dostupnost za přítomnosti distribuovaných protivníků: Pokud mezi koncovými body existuje cesta bez útočníků, měla by být objevena a využívána se zaručenou šířkou pásma.

Transparentnost a kontrola: Oddělení řídicích a datových rovin kódováním cest jako stav předávání paketů (PCFS) v záhlaví paketu, stejně jako povolení vícecestná komunikace pro lepší dostupnost ^[1] a obrana proti síťovým útokům.
Efektivita, škálovatelnost a rozšiřitelnost: Předávání paketů je přinejmenším efektivní v latenci a propustnosti jako aktuální IP v běžných případech a škálovatelnější s ohledem na BGP a velikost směrovacích tabulek. Dosaženo uložením stavu v záhlavích paketů a jejich kryptografickou ochranou pomocí moderních blokových šifer, jako je AES které lze vypočítat velmi efektivně (do 10 ns na moderním CPU ^[2]).
Podpora globální, ale heterogenní důvěry: Škálování autentizace entit na globální prostředí ^[3] a využití agility důvěry ^[4] takže každý koncový hostitel nebo uživatel může znát kompletní sadu kořenů důvěryhodnosti pro ověření certifikátu.
Nasazení: Nasazení by mělo vyžadovat pouze instalaci nebo upgrade několika hraničních směrovačů, což vyžaduje minimální přidanou složitost stávající infrastruktury. Kromě toho by to nemělo narušovat aktuální topologii internetu a obchodní modely / vztahy (např. Stále by mělo podporovat partnerský vztah).

Izolační domény a autonomní systémy

SCION zavádí koncept izolační doména (ISD) což je logické seskupení autonomní systémy (ASes)spravovaný menší podskupinou AS, které tvoří jádro ISD.^[5] ISD se řídí zásadou zvanou konfigurace důvěryhodného root (TRC), který vyjedná jádro ISD a definuje kořeny vztahu důvěryhodnosti, které se používají k ověření vazeb mezi jmény a veřejnými klíči nebo adresami. ASE v rámci ISD mohou být spojeny základními odkazy, odkazy na poskytovatele zákazníků nebo peeringovými odkazy, které reprezentují vztah mezi AS.

V rámci AS existuje několik služeb, jako například:

Signální servery - zodpovědný za maják což je proces generování, přijímání a šíření volaných zpráv majáky pro stavbu segmentů cest (PCB) konstruovat segmenty cesty a prozkoumat cesty směrování.
Path Servery - úložiště pro mapování AS na cestu, které byly objeveny během majáku.
Pojmenujte servery - provádět překlad jmen podobně jako DNS pomocí RAINS^[5] k načtení n-tice (ISD, AS), kterou lze použít k vyhledání a konstrukci cest typu end-to-end.
Servery certifikátů - mezipaměť pro kopie TRC získaných z jádra ISD, certifikáty AS a správu klíčů pro zabezpečení komunikace mezi AS.

Hraniční směrovače - slouží k přesměrování paketů SCION na další hraniční router SCION nebo na cílového hostitele v cílovém AS.

Ovládací rovina

Řídicí rovina je zodpovědná za zjišťování síťových cest a jejich zpřístupnění koncovým hostitelům. Inter-doménové Beaconing spojuje ISD tím, že umožňuje základním ASE naučit se cesty k jiným základním ASE, zatímco intra-doménové Beaconing umožňuje ne-jádrovým ASE naučit se segmenty cesty k základním ASes. Řídicí rovina SCION pracuje na úrovni AS, zatímco komunikace v AS je řízena stávajícími intra-doménovými komunikačními technologiemi a protokoly (např. OSPF, SDN, MPLS ).

K dosažení vzdáleného cíle provede hostitel vyhledávání cest na svém místním serveru cesty, aby získal up-segmenty (od zdrojového AS do jádra), dolní segmenty (od základního AS do cílového AS) a základní segmenty (mezi základními AS) v případě, že tyto segmenty nahoru a dolů končí různými jádry AS. Cesty lze libovolně kombinovat, případně pomocí peeringových odkazů, pokud jsou k dispozici.

Datová rovina

Paket SCION minimálně obsahuje cestu a datová rovina zajišťuje předávání paketů pomocí poskytnutých cest. Přeposílání využívá rozdělení lokátoru (cesta na úrovni AS) a identifikátoru (cílová adresa), jako v Locator / Identifier Separation Protocol (LISP) ^[6]. Výsledkem je, že hraniční směrovače SCION předávají pakety na základě cesty na úrovni AS v záhlaví paketu bez kontroly cílové adresy a také bez konzultace směrovací tabulky mezi doménami. Cílová adresa může mít libovolný formát, který může cílový AS interpretovat, protože pouze hraniční směrovač v cílovém AS potřebuje zkontrolovat cílovou adresu a předat ji příslušnému místnímu hostiteli. Cíl může reagovat na zdroj převrácením cesty typu end-to-end ze záhlaví paketu, nebo může provést vlastní vyhledávání cesty a konstrukci segmentu cesty.

Bezpečnostní

Podobný BGPsec, každý AS podepisuje desky plošných spojů, které předává. Tento podpis umožňuje ověření PCB všemi entitami. Aby byla zajištěna správnost cesty, jsou informace o přeposílání v každém paketu také kryptograficky chráněny. Každý AS používá tajný symetrický klíč, který je sdílen mezi signálními servery a hraničními směrovači a slouží k efektivnímu výpočtu ověřovací kód zprávy (MAC) přes informace o přeposílání. Informace za AS zahrnují příchozí a odchozí rozhraní, dobu vypršení platnosti a MAC vypočítaný přes tato pole, což je (ve výchozím nastavení) vše zakódováno v 8bajtovém poli označovaném jako chmelové pole (HF).

Nasazení a obchodní operace

SCION běží na řadě uzlů po celém světě. „V roce 2017 chtělo několik poskytovatelů internetových služeb a finančních institucí ve Švýcarsku používat SCION pro své komerční operace. A tak Adrian Perrig založili spin-off Anapaya Systems společně s Davidem Basinem a Peterem Müllerem, profesory na katedře výpočetní techniky na ETH Curych. “^[7]

První ISP, kteří používají SCION, jsou Swisscom a PŘEPÍNAČ. Několik společností získalo připojení k síti SCION prostřednictvím těchto ISP do podnikové sítě SCION. Mezi první nasazení zákazníků patří SNB, ZKB a ŠEST ze švýcarského finančního sektoru.

Reference

^ David G. Andersen, Hari Balakrishnan, M. Frans Kaashoek a Robert Morris. Pružné překryvné sítě. v Sborník konference ACM Symposium on Operating Systems Principles (SOSP), Říjen 2001. Strany 9, 24 a 192.
^ Kahraman Akdemir, Martin Dixon, Wajdi Feghali, Patrick Fay, Vinodh Gopal, Jim Guilford, Erdinc Ozturk, Gil Wolrich a Ronen Zohar. Průlomový výkon AES s novými pokyny Intel AES. bílý papír, Červen 2010. Stránka 11.
^ Martin Abadi, Andrew Birrell, Ilya Mironov, Ted Wobber a Yinglian Xie. Globální autentizace v nedůvěryhodném světě. v Sborník workshopů o aktuálních tématech v operačních systémech (HotOS), Květen 2013. Stránka 10.
^ Moxie Marlinspike. SSL a budoucnost autenticity. https://moxie.org/blog/ssl-and-the-future-of-authenticity/, Duben 2011. Stránka 10.
^ ^A ^b Perrig, Adrian; Szalachowski, Pawel; Reischuk, Raphael M .; Chuat, Laurent (2017). SCION: Zabezpečená internetová architektura (PDF). Springer International Publishing AG. ISBN 978-3-319-67080-5.
^ Dino Farinacci, Vince Fuller, David Meyer a Darrel Lewis. Lokalizační / ID separační protokol (LISP). RFC 6830, leden 2013. Strana 25.
^ „Zabezpečený internet není sci-fi“. inf.ethz.ch. Citováno 2019-10-14.

Další čtení

Perrig, A .; Szalachowski, P .; Reischuk, R. M .; Chuat, L. (2017). SCION: Zabezpečená internetová architektura. Springer International Publishing AG. ISBN 978-3-319-67080-5.

externí odkazy

[1] David G. Andersen, Hari Balakrishnan, M. Frans Kaashoek a Robert Morris. Pružné překryvné sítě. v Sborník konference ACM Symposium on Operating Systems Principles (SOSP), Říjen 2001. Strany 9, 24 a 192.

[2] Kahraman Akdemir, Martin Dixon, Wajdi Feghali, Patrick Fay, Vinodh Gopal, Jim Guilford, Erdinc Ozturk, Gil Wolrich a Ronen Zohar. Průlomový výkon AES s novými pokyny Intel AES. bílý papír, Červen 2010. Stránka 11.

[3] Martin Abadi, Andrew Birrell, Ilya Mironov, Ted Wobber a Yinglian Xie. Globální autentizace v nedůvěryhodném světě. v Sborník workshopů o aktuálních tématech v operačních systémech (HotOS), Květen 2013. Stránka 10.

[4] Moxie Marlinspike. SSL a budoucnost autenticity. https://moxie.org/blog/ssl-and-the-future-of-authenticity/, Duben 2011. Stránka 10.

[:0-5] A ^b Perrig, Adrian; Szalachowski, Pawel; Reischuk, Raphael M .; Chuat, Laurent (2017). SCION: Zabezpečená internetová architektura (PDF). Springer International Publishing AG. ISBN 978-3-319-67080-5.

[6] Dino Farinacci, Vince Fuller, David Meyer a Darrel Lewis. Lokalizační / ID separační protokol (LISP). RFC 6830, leden 2013. Strana 25.

[7] „Zabezpečený internet není sci-fi“. inf.ethz.ch. Citováno 2019-10-14.

[1]

[2]

[3]

[4]

[5]

[6]

[7]