SCION (Интернет архитектурасы) - SCION (Internet architecture)

SCION (Масштабтылық, басқару және келесі буын желілерінде оқшаулау) ұсынылған Болашақ Интернет белсенді зиянды желі операторлары мен құрылғылары болған жағдайда да, пакеттік қол жетімділік пен нүктеден нүктеге тиімді жеткізуді ұсынатын сәулет. 2018 жылғы жағдай бойынша бұл зерттеушілер жетекшілік ететін үздіксіз ғылыми жоба ETH Цюрих және басқаларымен қатар Болашақ Интернет ұсыныстар, зерттелуде Интернет-инженерлік жұмыс тобы жолды білетін желіні зерттеу тобы.

Мақсаттар

Таратылған қарсыластардың қатысуымен қол жетімділік: Соңғы нүктелер арасындағы шабуылдаушыдан босатылған жол болғанша, оны өткізу қабілеттілігімен табу керек.

Ашықтық және бақылау: Жолдарды кодтау арқылы басқару және мәліметтер жазықтықтарын бөлу пакеттік тасымалдау жағдайы (PCFS) пакеттің тақырыбында, сонымен қатар көп жолды байланыс қол жетімділігі үшін ^[1] және желілік шабуылдардан қорғаныс.
Тиімділік, масштабтылық және кеңейту: Дестені қайта бағыттау, кем дегенде, кешігу кезінде және ток ретінде өткізу қабілетінде тиімді IP жалпы жағдайларда және қатысты кеңейтілген BGP және маршруттау кестелерінің мөлшері. Сияқты заманауи блоктық шифрларды қолдана отырып, жағдайды пакеттік тақырыптарда сақтау және оларды криптографиялық қорғау арқылы қол жеткізіледі. AES оны өте тиімді есептеуге болады (қазіргі заманғы процессорда 10н ішінде) ^[2]).
Әлемдік, бірақ біртекті емес сенімге қолдау: Субъекттердің аутентификациясын жаһандық ортаға масштабтау ^[3] және сенімділік шапшандығын пайдалану ^[4] сондықтан әрбір соңғы хост немесе пайдаланушы сертификатты растауға арналған сенім түбірлерінің толық жиынтығын біле алады.
Орналастыру мүмкіндігі: Орналастыру үшін бірнеше шекара маршрутизаторларын орнату немесе жаңарту қажет, осылайша қолданыстағы инфрақұрылымға минималды қосымша күрделілік қажет. Сонымен қатар, ол қазіргі интернет топологиясын және іскери модельдерді / қатынастарды бұзбауы керек (мысалы, пирингті қолдауы керек).

Оқшаулау домендері және автономды жүйелер

SCION ан тұжырымдамасын енгізеді оқшаулау домені (ISD) бұл логикалық топтастыру автономды жүйелер (ASes), ISD ядросын құрайтын кішігірім ASes жиынтығымен басқарылады.^[5] ISD саясаты деп аталады, деп аталады сенім түбірінің конфигурациясы (TRC), ISD ядросы келіссөздер жүргізеді және аттар мен ашық кілттер немесе мекен-жайлар арасындағы байланыстарды тексеру үшін пайдаланылатын сенім тамырларын анықтайды. ISD ішіндегі ASes негізгі байланыстармен, тапсырыс берушілермен немесе сілтемелермен байланыстырылуы мүмкін, олар ASes арасындағы қатынастардың өкілі.

АЖ шеңберінде бірнеше қызметтер бар:

Маяк серверлері - үшін жауапты маяк деп аталатын хабарламаларды құру, қабылдау және тарату процесі сегменттік құрылыс маяктары (ПХД) жол сегменттерін құру және маршруттау жолдарын зерттеу.
Жол серверлері - сәулелендіру кезінде табылған жолды AS кескініне сақтау.
Атау серверлері - RAINS пайдалану арқылы DNS-ге ұқсас атаулар аудармасын орындау^[5] соңынан аяғына дейін жолдарды табуға және құруға болатын (ISD, AS) кортежді алу.
Сертификат серверлері - ISD ядросынан алынған ТРК көшірмелері үшін кэш, AS сертификаттары және AS-аралық байланысты қамтамасыз ету үшін кілттер.

Шекара маршрутизаторлары - SCION пакетін келесі SCION шекара маршрутизаторына немесе тағайындалған AS ішіндегі тағайындалған хостқа бағыттау үшін қолданылады.

Басқару жазықтығы

Басқару жазықтығы желілік жолдарды анықтауға және сол жолдарды соңғы хосттарға қол жетімді етуге жауапты. Доменаралық маяктау ISD-ді негізгі ASE-ге басқа негізгі AS-ға жолдарды үйренуге мүмкіндік беру арқылы қосады, ал доменішілік маяктау негізгі емес ASE-ге негізгі ASE-ге жол сегменттерін үйренуге мүмкіндік береді. SCION басқару жазықтығы AS деңгейінде жұмыс істейді, ал AS ішіндегі байланыс қолданыстағы доменішілік байланыс технологиялары мен протоколдарымен басқарылады (мысалы.). OSPF, SDN, MPLS ).

Қашықтағы межелі жерге жету үшін хост жергілікті жол серверінде жоғары сегменттерді (AS көзінен өзегіне дейін), төмен сегменттерін (AS өзегінен AS мақсатына дейін) және негізгі сегменттерін (негізгі ASes арасында) алу үшін жол іздейді. бұл жағдайда жоғары және төмен сегменттер әр түрлі ядролармен аяқталады. Жолдарды қалауыңыз бойынша біріктіруге болады, мүмкін, егер мүмкін болса, сілтеме сілтемелерін қолданыңыз.

Мәліметтер жазықтығы

SCION пакеті минималды түрде жолды қамтиды және мәліметтер жазықтығы берілген жолдар арқылы пакеттің қайта бағытталуын қамтамасыз етеді. Экспедитор локатордың (AS деңгейіндегі жол) және идентификатордың (тағайындалған адрес) сплитін пайдаланады, мысалы, Локаторды / идентификаторды бөлу хаттамасы (LISP) ^[6]. Нәтижесінде, SCION шекара маршрутизаторлары дестелер тақырыбындағы AS деңгейіндегі жолға негізделген дестелерді тағайындалған мекен-жайды тексермей, сонымен қатар доменаралық маршруттау кестесімен байланыссыз жібереді. Тағайындалған мекен-жай тағайындалатын АС түсіндіре алатын кез-келген форматқа ие бола алады, себебі тағайындалған АС-тағы шекара маршрутизаторы тиісті мекен-жай хостына жіберу үшін тағайындалған мекен-жайды тексеруі керек. Мақсат көзге жауап бере алады, десте тақырыбынан ұшты-ұшты жолды төңкеріп немесе өз жолын іздеуді және жол-сегментін құруды орындай алады.

Қауіпсіздік

Ұқсас BGPsec, әрбір AS дербес компьютерлерге қол қояды. Бұл қолтаңба барлық субъектілердің ПХД тексеруіне мүмкіндік береді. Жолдың дұрыстығын қамтамасыз ету үшін әр пакеттегі экспедиторлық ақпарат криптографиялық қорғалған. Әрбір АС құпия симметриялық кілтті пайдаланады, ол маяк серверлері мен шекара маршрутизаторлары арасында ортақ пайдаланылады және тиімді есептеу үшін қолданылады хабарламаның аутентификация коды (MAC) экспедиция туралы ақпарат. AS-ға ақпараттар кіру және шығу интерфейстерін, аяқталу уақытын және осы өрістерде есептелген MAC-ны (әдепкі бойынша) барлығы 8 байтты өріс ішінде кодталған деп аталады; хоп өрісі (HF).

Орналастыру және коммерциялық операциялар

SCION бүкіл әлем бойынша бірқатар түйіндерде жұмыс істейді. «2017 жылы Швейцариядағы бірнеше интернет-провайдерлер мен қаржы институттары өздерінің сауда операциялары үшін SCION-ны қолданғысы келді. Сонымен Адриан Перриг Дэвид Басин және Питер Мюллер, ETH Цюрихтің компьютерлік ғылымдар кафедрасының әріптестері, бірге Анапая жүйелерін құрды ».^[7]

SCION қолданатын алғашқы интернет-провайдерлер Swisscom және ҚОСУ. Бірнеше корпорация SCION корпоративті желісіне осы провайдерлер арқылы SCION желілік қосылыстарын алды. Тұтынушылардың алғашқы орналастыруларының қатарына жатады СНБ, ZKB және АЛТЫ Швейцарияның қаржы секторынан.

Әдебиеттер тізімі

^ Дэвид Г. Андерсен, Хари Балакришнан, М. Франс Каасоук және Роберт Моррис. Серпімді қабаттастыру желілері. Жылы Операциялық жүйелер принциптері бойынша ACM симпозиумының материалдары (SOSP), Қазан 2001. 9, 24 және 192 беттер.
^ Кахраман Акдемир, Мартин Диксон, Ваджи Фегали, Патрик Фай, Винодх Гопал, Джим Гилфорд, Эрдинч Озтүрк, Гил Волрих және Ронен Зохар. Intel AES-тің жаңа нұсқаулықтарымен серпінді AES өнімділігі. Ақ қағаз, Маусым, 2010. 11 бет.
^ Мартин Абади, Эндрю Биррелл, Илья Миронов, Тед Воббер және Инглиан Се. Сенімсіз әлемдегі ғаламдық аутентификация. Жылы Операциялық жүйелердегі (HotOS) ыстық тақырыптар бойынша семинар материалдары, Мамыр 2013. 10 бет.
^ Moxie Marlinspike. SSL және шынайылық болашағы. https://moxie.org/blog/ssl-and-the-future-of-authenticity/, Сәуір 2011. 10 бет.
^ ^а ^б Перриг, Адриан; Сзалаховский, Павел; Рейшук, Рафаэль М .; Чуат, Лоран (2017). СКИОН: Интернеттің қауіпсіз архитектурасы (PDF). Springer International Publishing AG. ISBN 978-3-319-67080-5.
^ Дино Фариначчи, Винс Фуллер, Дэвид Мейер және Даррел Льюис. Локатор / идентификаторды бөлу хаттамасы (LISP). RFC 6830, қаңтар 2013 жыл. 25 бет.
^ «Қауіпсіз интернет ғылыми фантастика емес». inf.ethz.ch. Алынған 2019-10-14.

Әрі қарай оқу

Перриг, А .; Сзалаховский, П .; Рейшук, Р.М .; Чуат, Л. (2017). СКИОН: Интернеттің қауіпсіз архитектурасы. Springer International Publishing AG. ISBN 978-3-319-67080-5.

Сыртқы сілтемелер

[1] Дэвид Г. Андерсен, Хари Балакришнан, М. Франс Каасоук және Роберт Моррис. Серпімді қабаттастыру желілері. Жылы Операциялық жүйелер принциптері бойынша ACM симпозиумының материалдары (SOSP), Қазан 2001. 9, 24 және 192 беттер.

[2] Кахраман Акдемир, Мартин Диксон, Ваджи Фегали, Патрик Фай, Винодх Гопал, Джим Гилфорд, Эрдинч Озтүрк, Гил Волрих және Ронен Зохар. Intel AES-тің жаңа нұсқаулықтарымен серпінді AES өнімділігі. Ақ қағаз, Маусым, 2010. 11 бет.

[3] Мартин Абади, Эндрю Биррелл, Илья Миронов, Тед Воббер және Инглиан Се. Сенімсіз әлемдегі ғаламдық аутентификация. Жылы Операциялық жүйелердегі (HotOS) ыстық тақырыптар бойынша семинар материалдары, Мамыр 2013. 10 бет.

[4] Moxie Marlinspike. SSL және шынайылық болашағы. https://moxie.org/blog/ssl-and-the-future-of-authenticity/, Сәуір 2011. 10 бет.

[:0-5] а ^б Перриг, Адриан; Сзалаховский, Павел; Рейшук, Рафаэль М .; Чуат, Лоран (2017). СКИОН: Интернеттің қауіпсіз архитектурасы (PDF). Springer International Publishing AG. ISBN 978-3-319-67080-5.

[6] Дино Фариначчи, Винс Фуллер, Дэвид Мейер және Даррел Льюис. Локатор / идентификаторды бөлу хаттамасы (LISP). RFC 6830, қаңтар 2013 жыл. 25 бет.

[7] «Қауіпсіз интернет ғылыми фантастика емес». inf.ethz.ch. Алынған 2019-10-14.

[1]

[2]

[3]

[4]

[5]

[6]

[7]