aizen_tt (aizen_tt) wrote,
aizen_tt
aizen_tt

Category:

SCION - план новой архитектуры интернета

Перестройка мировой системы интернета в сторону усиления контроля и подавления несогласных элементов пока что остается идеей, но над ней работают. Этому уже есть название - SCION.

Вот отрывок из большой статьи на RIPE Labs
"На RIPE 81 группа увлеченных исследователей и практиков из промышленности и академических кругов обсудила с сообществом RIPE, какую роль RIR и LIR могут играть в архитектуре Интернета следующего поколения SCION. Более 80 участников BoF обсудили этот вопрос, желая больше узнать об основных принципах SCION. В преддверии второго BoF SCION на RIPE 82 мы оглядываемся на результаты первого BoF, сообщаем о том, что произошло с тех пор, и представляем, как могло бы выглядеть потенциальное участие RIPE.

«Это нечто иное, чем обычный набор IP-протоколов, о котором мы поговорим сегодня»

Так я приветствовал участников первого SCION BoF на RIPE 81, который я организовал вместе с Виктором Рейджсом (SIDN Labs) и Адрианом Перригом (ETH Zurich). SCION, что означает «Масштабируемость, контроль и изоляция в сетях следующего поколения», представляет собой реализованную и эксплуатируемую архитектуру Интернета с чистого листа. SCION был разработан для фундаментального решения многих проблем безопасности современного Интернета за счет управления маршрутами, изоляции отказов и явной информации о доверии для сквозной связи.

Основная причина, по которой мы предложили этот BoF, заключалась в том, чтобы обсудить с сообществом RIPE, как RIR (и, возможно, LIR) могут быть вовлечены в новую архитектуру Интернета SCION, которая созрела за последние годы и теперь готова к широкому распространению.

«Итак, эта сессия в значительной степени посвящена и вам, мы хотели бы услышать ваши идеи о том, как мы можем развернуть это в больших масштабах».

«Какой у вас опыт работы со SCION?» наш секретарь BoF, Каспар Шутийсер (SIDN Labs), затем попросил в первоначальном опросе аудитории начать сессию. 38% ответили: «У меня нет опыта», 32% сказали: «Я слышал об этом», а 27% либо играли с этим, имели практический опыт, либо даже считали себя экспертами. В общем, хорошая смесь подкованных SCION людей и новичков для плодотворной дискуссии.

Обзор SCION
Если кто-то и является экспертом SCION, то это должен быть Адриан Перриг, профессор ETH Zurich в области сетевой безопасности. Он участвовал в разработке SCION в течение последнего десятилетия. Чтобы дать представление о теме, которую собиралась обсуждать аудитория, он представил общий обзор SCION в начале BoF.

«Итак, по сути, SCION - это архитектура, обеспечивающая альтернативу BGP», - начал свою презентацию Адриан. «Есть некоторые принципы, которые сильно отличаются от нынешнего Интернета». Например, архитектура SCION следует подходу пересылки пакетов без сохранения состояния, то есть в маршрутизаторах нет состояния для каждого потока и, следовательно, нет возможности для несогласованного состояния.

Кроме того, система маршрутизации по сути является мгновенной конвергенцией, поэтому она всегда находится в согласованном состоянии. В отличие от сегодняшнего Интернета, где все решения о маршрутизации принимаются сетевыми узлами, SCION представляет собой сетевой подход с учетом пути, который дает контроль конечным хостам, т. Е. Конечные хосты узнают о доступных сегментах сетевого пути, объединяют их в сквозные. конечные пути в соответствии с их собственными предпочтениями и встраивают соответствующую информацию о пересылке в заголовки пакетов.

Кроме того, функция распознавания путей SCION напрямую обеспечивает многопутевую связь, которая может использоваться для обеспечения высокой доступности и быстрого переключения при сбоях в сети. Как сказал Адриан: «Вместо одного или двух путей, в некоторых случаях можно выбрать десятки или даже от 30 до 50 путей».

Вся система была спроектирована с точки зрения безопасности, и все аспекты архитектуры были спроектированы надежно. Адриан пояснил: «Несколько лет назад мы начали с формального анализа безопасности, чтобы формально доказать свойства архитектуры, включая реализацию, обеспечивая проверку свойств высокого уровня вплоть до кода».

Ключевой концепцией SCION являются его домены изоляции (ISD), которые организуют несколько автономных систем (AS) в независимые плоскости маршрутизации и существенно повышают как масштабируемость, так и свойства безопасности сети. С одной стороны, ISD позволяют разделить протокол маршрутизации на процесс intra-ISD и inter-ISD, что снижает общую сложность, подобно разделению Интернета на AS или разделению AS на области существующими протоколы внутридоменной маршрутизации (например, OSPF или IS-IS). С другой стороны, изолируя процесс маршрутизации внутри ISD от всех внешних воздействий, ISD ограничивают эффект неправильной конфигурации и атак маршрутизации. Более того, все сообщения маршрутизации аутентифицируются на основе безопасной, но гибкой инфраструктуры открытого ключа (PKI), в которой каждый ISD может независимо определять свои собственные корни доверия.

В результате архитектура SCION обеспечивает высокие характеристики устойчивости и безопасности как неотъемлемое следствие ее дизайна.





Тут представлен обзор SCION на одном слайде. В плоскости управления система маршрутизации устанавливает сегменты пути. В примере показаны два оранжевых сегмента пути через ISD, которые устанавливаются между основными AS, и несколько путей внутри ISD, представленных синими и зелеными сегментами пути. Плоскость управления обнаруживает эти сегменты пути и перераспределяет их, используя инфраструктуру сервера путей на основе опроса.

В плоскости данных конечные хосты выбирают сегменты пути и объединяют их в сквозные пути. В показанном примере есть два набора комбинаций путей от хоста в AS F к хосту в AS S. Затем объединенные пути встраиваются в заголовок пакета для сквозной передачи пакета. Более того, все операции защищены в плоскости управления цифровыми подписями, подобными BGPsec, в то время как в плоскости данных при пересылке пакетов используется высокоскоростное шифрование для проверки правильности информации о пересылке, чтобы злоумышленник не мог изменить или используйте пути, запрещенные политикой.

Архитектура SCION обеспечивает не только высокий уровень безопасности связи, но и более высокую производительность, чем традиционные подходы к Интернету, благодаря наличию нескольких доступных путей, обеспечивающих задержку или оптимизацию полосы пропускания. Более того, система симметричного деривации ключей SCION обеспечивает высокоскоростную аутентификацию пакетов на маршрутизаторах и межсетевых экранах со скоростью менее 100 нс на стандартном оборудовании.

Конечно, важный вопрос - как все это можно развернуть. Адриан утверждает, что для интернет-провайдеров это относительно просто развернуть: «По сути, нет никаких изменений во внутренней инфраструктуре провайдера или домена, поэтому пакеты SCION инкапсулируются в любую локальную структуру пересылки, которая используется внутри, обычно IP или MPLS». Поскольку эти внутренние заголовки снова удаляются, SCION не является наложенной архитектурой на BGP или IP - это действительно независимая архитектура, «обновление» до AS, которое повторно использует внутреннюю структуру связи для обеспечения простого развертывания. Предполагается, что конечные домены будут использовать тот же подход, но для обеспечения плавного перехода существует IP-шлюз SCION (SIG), который инкапсулирует стандартные IP-пакеты в пакеты SCION. Адриан объяснил: «SIG может использовать многопутевость и другие свойства, которые SCION предлагает полностью прозрачно для хостов. Конечно, можно получить дополнительные преимущества, если конечные узлы будут обновлены, но в настоящее время в большинстве развертываний используется SIG ».

Помимо SCIONLab - глобальной исследовательской инфраструктуры, позволяющей пользователям настраивать свои собственные AS для экспериментов - уже существует глобальная доступность подключения SCION с семью интернет-провайдерами, предлагающими собственные подключения SCION к локальным доменам, в основном в Швейцарии, но теперь также и в Южной Корее. Кроме того, со SwissIX точка обмена трафиком уже предлагает пиринг SCION. Адриан предоставил более подробную информацию о развертываемых объектах: «Несколько швейцарских банков уже используют SCION в производстве, первый банк за более чем три года, и благодаря Anapaya Connect встроенное соединение без BGP теперь доступно для сотен центров обработки данных в более чем 10 странах»."


Продолжение тут.
https://labs.ripe.net/author/hausheer/scion-a-novel-internet-architecture/
Tags: Цифровые технологии
Subscribe

Recent Posts from This Journal

Buy for 10 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    default userpic
    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment