SCION (İnternet mimarisi) - SCION (Internet architecture)

SCION (Yeni Nesil Ağlarda Ölçeklenebilirlik, Kontrol ve İzolasyon) önerilen bir Geleceğin İnternet aktif olarak kötü niyetli ağ operatörleri ve cihazlarının varlığında bile yüksek kullanılabilirlik ve verimli noktadan noktaya paket teslimatı sunmayı amaçlayan mimari. 2018 itibariyle, araştırmacılar tarafından yürütülen devam eden bir araştırma projesidir. ETH Zürih ve diğerleri arasında Geleceğin İnternet teklifler, araştırılıyor İnternet Mühendisliği Görev Gücü yola duyarlı ağ oluşturma için araştırma grubu.

Hedefler

Dağıtılmış düşmanların varlığında kullanılabilirlik: Uç noktalar arasında saldırgan olmayan bir yol olduğu sürece, bu yol keşfedilmeli ve garantili bant genişliği ile kullanılmalıdır.

Şeffaflık ve Kontrol: Yolları şu şekilde kodlayarak kontrol ve veri düzlemlerinin ayrılması paket taşınan iletim durumu (PCFS) paket başlığında ve aynı zamanda çok yollu iletişim gelişmiş kullanılabilirlik için ^[1] ve ağ saldırılarına karşı savunma.
Verimlilik, Ölçeklenebilirlik ve Genişletilebilirlik: Paket iletme, en azından gecikme ve aktarım hızı açısından günceldir IP yaygın durumlarda ve daha ölçeklenebilir BGP ve yönlendirme tablolarının boyutu. Durumu paket başlıklarında depolayarak ve bunları kriptografik olarak koruyarak, aşağıdaki gibi modern blok şifreleri kullanarak elde edildi. AES bu çok verimli bir şekilde hesaplanabilir (modern bir CPU'da 10ns içinde ^[2]).
Küresel Ama Heterojen Güven Desteği: Varlıkların kimlik doğrulamasını küresel bir ortama ölçeklendirin ^[3] ve güven çevikliğini kullanmak ^[4] böylece her son ana bilgisayar veya kullanıcı, bir sertifikanın doğrulanması için tüm güven kökleri kümesini bilebilir.
Dağıtılabilirlik: Dağıtım, yalnızca birkaç sınır yönlendiricisinin kurulmasını veya yükseltilmesini gerektirmeli, dolayısıyla mevcut altyapıya minimum düzeyde ek karmaşıklık gerektirmelidir. Ek olarak, mevcut İnternet topolojisini ve iş modellerini / ilişkilerini bozmamalıdır (örneğin, eşlemeyi desteklemeye devam etmelidir).

İzolasyon alanları ve otonom sistemler

SCION, bir izolasyon alanı (ISD) mantıksal bir gruplama olan otonom sistemler (AS'ler)ISD çekirdeğini oluşturan AS'lerin daha küçük bir alt kümesi tarafından yönetilir.^[5] ISD, adı verilen bir politika ile yönetilmektedir. güven kök yapılandırması (TRC)ISD çekirdeği tarafından görüşülen ve adlar ile genel anahtarlar veya adresler arasındaki bağları doğrulamak için kullanılan güven köklerini tanımlayan. Bir ISD içindeki AS'ler, AS'ler arasındaki ilişkiyi temsil eden çekirdek bağlantılar, müşteri-sağlayıcı bağlantıları veya eşleme bağlantıları ile bağlanabilir.

Bir AS içinde aşağıdakiler gibi çeşitli hizmetler vardır:

Beacon Sunucuları - dan sorumlu işaretleme bu, adı verilen mesajları oluşturmak, almak ve yaymak için bir süreçtir yol parçası yapım işaretçileri (PCB'ler) yol parçaları oluşturmak ve yönlendirme yollarını keşfetmek için.
Yol Sunucuları - işaretleme sırasında keşfedilen AS'nin yola eşlemeleri için depolama.
İsim Sunucuları - RAINS kullanarak DNS'ye benzer ad çevirisi gerçekleştirin^[5] uçtan uca yolları bulmak ve oluşturmak için kullanılabilen (ISD, AS) demeti almak için.
Sertifika Sunucuları - AS'ler arası iletişimi güvence altına almak için ISD çekirdeğinden, AS sertifikalarından ve anahtar yönetiminden alınan TRC'lerin kopyaları için önbellek.

Sınır Yönlendiricileri - SCION paketinin sonraki SCION sınır yönlendiricisine veya AS hedefindeki hedef ana bilgisayara iletilmesi için kullanılır.

Kontrol Paneli

Kontrol düzlemi, ağ yollarını keşfetmekten ve bu yolları son ana bilgisayarlara sunmaktan sorumludur. Alanlar arası işaretleme, çekirdek AS'lerin diğer çekirdek AS'lere giden yolları öğrenmesini sağlayarak ISD'leri bağlarken, alan içi işaretleme, çekirdek olmayan AS'lerin çekirdek AS'lere giden yol segmentlerini öğrenmesine olanak tanır. SCION kontrol düzlemi AS düzeyinde çalışırken, bir AS içindeki iletişim, mevcut alan içi iletişim teknolojileri ve protokolleri (ör. OSPF, SDN, MPLS ).

Uzak bir hedefe ulaşmak için, bir ana bilgisayar, yukarı segmentler (kaynak AS'den çekirdeğe), aşağı segmentler (çekirdek AS'den hedef AS'ye) ve çekirdek segmentler (çekirdek AS'ler arasında) elde etmek için yerel yol sunucusunda bir yol araması gerçekleştirir. bu yukarı ve aşağı segmentlerin farklı çekirdek AS'lerde bitmesi durumunda. Yollar, muhtemelen mevcut olduğunda eşleme bağlantıları kullanılarak istenildiği gibi birleştirilebilir.

Veri düzlemi

Bir SCION paketi minimum düzeyde bir yol içerir ve veri düzlemi, sağlanan yolları kullanarak paket iletimini sağlar. Yönlendirme, bir konum belirleyici (AS düzeyi yol) ve tanımlayıcı (hedef adres) bölümünden yararlanır. Konumlandırıcı / Tanımlayıcı Ayırma Protokolü (LISP) ^[6]. Sonuç olarak, SCION sınır yönlendiricileri, hedef adresini incelemeden ve ayrıca bir etki alanları arası yönlendirme tablosuna başvurmadan paket başlığındaki AS seviyesi yoluna dayalı olarak paketleri iletir. Hedef adres, hedef AS'nin yorumlayabileceği herhangi bir formata sahip olabilir, çünkü yalnızca hedef AS'deki sınır yönlendiricisinin hedef adresini uygun yerel ana bilgisayara iletmek için incelemeye ihtiyacı vardır. Hedef, uçtan uca yolu paket başlığından ters çevirerek kaynağa yanıt verebilir veya kendi yol aramasını ve yol bölümü yapısını gerçekleştirebilir.

Güvenlik

Benzer BGPsec her AS, PCB'leri iletmek üzere imzalar. Bu imza, tüm kuruluşlar tarafından PCB doğrulamasını sağlar. Yol doğruluğunu sağlamak için, her paketteki yönlendirme bilgisi de kriptografik olarak korunur. Her AS, işaret sunucuları ve sınır yönlendiricileri arasında paylaşılan gizli bir simetrik anahtar kullanır ve bu anahtarı verimli bir şekilde hesaplamak için kullanılır. mesaj doğrulama kodu (MAC) yönlendirme bilgisi üzerinden. AS başına bilgi, giriş ve çıkış arayüzlerini, sona erme süresini ve bu alanlar üzerinden hesaplanan MAC'yi içerir; bu (varsayılan olarak) tümü, bir 8 baytlık alan içinde kodlanmıştır. atlama alanı (HF).

Dağıtım ve ticari işlemler

SCION, dünya çapında bir dizi düğümde çalışıyor. "2017'de, İsviçre'deki birçok internet servis sağlayıcısı ve finans kurumu, ticari operasyonları için SCION'u kullanmak istedi. Adrian Perrig ETH Zürih'te Bilgisayar Bilimleri Bölümü'nde profesör olan David Basin ve Peter Müller ile birlikte yan ürün Anapaya Systems'ı kurdu. "^[7]

SCION kullanan ilk ISP'ler Swisscom ve DEĞİŞTİRMEK. Birkaç şirket, bu ISP'ler aracılığıyla kurumsal SCION ağına SCION ağ bağlantıları elde etti. İlk müşteri dağıtımları arasında SNB, ZKB ve ALTI İsviçre finans sektöründen.

Referanslar

^ David G. Andersen, Hari Balakrishnan, M. Frans Kaashoek ve Robert Morris. Esnek yer paylaşımlı ağlar. İçinde İşletim Sistemleri İlkeleri (SOSP) ACM Sempozyumu Bildirileri, Ekim 2001. Sayfa 9, 24 ve 192.
^ Kahraman Akdemir, Martin Dixon, Wajdi Feghali, Patrick Fay, Vinodh Gopal, Jim Guilford, Erdinç Öztürk, Gil Wolrich ve Ronen Zohar. Intel AES Yeni Yönergeleri ile çığır açan AES performansı. Beyaz kağıt, Haziran, 2010. Sayfa 11.
^ Martin Abadi, Andrew Birrell, Ilya Mironov, Ted Wobber ve Yinglian Xie. Güvenilmez bir dünyada küresel kimlik doğrulama. İçinde İşletim Sistemlerinde Güncel Konular (HotOS) Çalıştayı Bildirileri, Mayıs 2013. Sayfa 10.
^ Moxie Marlinspike. SSL ve özgünlüğün geleceği. https://moxie.org/blog/ssl-and-the-future-of-authenticity/, Nisan 2011. Sayfa 10.
^ ^a ^b Perrig, Adrian; Szalachowski, Pawel; Reischuk, Raphael M .; Chuat, Laurent (2017). SCION: Güvenli Bir İnternet Mimarisi (PDF). Springer International Publishing AG. ISBN 978-3-319-67080-5.
^ Dino Farinacci, Vince Fuller, David Meyer ve Darrel Lewis. Yer belirleyici / kimlik ayırma protokolü (LISP). RFC 6830, Ocak 2013. Sayfa 25.
^ "Güvenli internet bilim kurgu değildir". inf.ethz.ch. Alındı 2019-10-14.

daha fazla okuma

Perrig, A .; Szalachowski, P .; Reischuk, R. M .; Chuat, L. (2017). SCION: Güvenli Bir İnternet Mimarisi. Springer International Publishing AG. ISBN 978-3-319-67080-5.

Dış bağlantılar

[1] David G. Andersen, Hari Balakrishnan, M. Frans Kaashoek ve Robert Morris. Esnek yer paylaşımlı ağlar. İçinde İşletim Sistemleri İlkeleri (SOSP) ACM Sempozyumu Bildirileri, Ekim 2001. Sayfa 9, 24 ve 192.

[2] Kahraman Akdemir, Martin Dixon, Wajdi Feghali, Patrick Fay, Vinodh Gopal, Jim Guilford, Erdinç Öztürk, Gil Wolrich ve Ronen Zohar. Intel AES Yeni Yönergeleri ile çığır açan AES performansı. Beyaz kağıt, Haziran, 2010. Sayfa 11.

[3] Martin Abadi, Andrew Birrell, Ilya Mironov, Ted Wobber ve Yinglian Xie. Güvenilmez bir dünyada küresel kimlik doğrulama. İçinde İşletim Sistemlerinde Güncel Konular (HotOS) Çalıştayı Bildirileri, Mayıs 2013. Sayfa 10.

[4] Moxie Marlinspike. SSL ve özgünlüğün geleceği. https://moxie.org/blog/ssl-and-the-future-of-authenticity/, Nisan 2011. Sayfa 10.

[:0-5] Perrig, Adrian; Szalachowski, Pawel; Reischuk, Raphael M .; Chuat, Laurent (2017). SCION: Güvenli Bir İnternet Mimarisi (PDF). Springer International Publishing AG. ISBN 978-3-319-67080-5.

[6] Dino Farinacci, Vince Fuller, David Meyer ve Darrel Lewis. Yer belirleyici / kimlik ayırma protokolü (LISP). RFC 6830, Ocak 2013. Sayfa 25.

[7] "Güvenli internet bilim kurgu değildir". inf.ethz.ch. Alındı 2019-10-14.

[1]

[2]

[3]

[4]

[5]

[6]

[7]