互联网已成为现代社会的信息通信关键基础设施,但其核心的互联网协议(IP)和域间路由协议(BGP)体系在设计时未充分考虑复杂、恶意的对抗环境,导致全球互联网长期面临路由劫持、中间人窃听、收敛缓慢、故障易扩散且难定位等风险。当前RPKI等“补丁式”增强方案存在信任锚点集中、性能开销过大、部署成本高等局限性,难以从根本上解决上述问题。
为应对这些挑战,探索“原生安全、路径可控、故障可隔离”的新型网络,苏黎世联邦理工学院(Eidgenossische Technische Hochschule Zürich,ETH Zurich)提出SCION(可扩展、可控与隔离的下一代网络)架构,通过创新网络架构与密码学机制提供了一整套解决方案。目前,一系列关于SCION控制平面和数据平面的规范草案正在IETF(The Internet Engineering Task Force)审核中,标志着该技术正获得越来越多的关注和认可,并有望被更广泛的互联网社区采纳。然而,现有相关研究多集中在学术(如发表于SIGCOMM’25的SCIERA、IREC和HummingBird等工作)或金融专网场景,缺乏面向大型运营商的实网功能验证与部署经验,尤其在国内尚属空白。
为填补这一空白,中国电信天翼安全科技有限公司、研究院牵头,联合ETH Zurich、香港科技大学(广州)、清华大学,依托中国电信云网融合技术中试平台的广域网和云平台,构建了多ISD-AS双层架构、16+节点的试验环境(如图),成功完成国内首个大规模SCION网络实网试验,为构建下一代安全可信网络提供了演进参考。
基于中国电信云网融合技术中试平台搭建的SCION测试床
围绕当前互联网面临的网络架构、安全治理、性能优化等关键问题,研究团队精心设计试验方案,重点验证了SCION架构的源端自主选路、非等价多路径并行转发、ISD故障隔离、隐藏路径、应用端抗伪造等核心场景功能。实网试验结果表明,SCION网络在路径控制、故障隔离和抗攻击等方面具有明显优越性:一是,路径可控与可验证能力支持运营商为跨境、跨域业务灵活授权并指定多转发可验证路径,从根源上规避链路拥塞问题与BGP劫持风险;二是,创新的ISD-AS架构将故障冲击面从“骨干-省域”级压缩至“ISD内AS”级,收敛过程对其他ISD网络域无感知,大幅提升网络可用性;三是,“隐藏路径”功能为重要客户提供平时不可见、需要时立即可达的应急通道,兼顾带宽成本与安全隔离;最后,客户端通过SCION架构内置的路径选择与验证机制,可在中间节点遭篡改或DoS攻击时立即阻断异常流量,避免传统IP网络的“静默劫持”风险。
当前,SCION网络学术研究持续活跃,商业推广也初见成效(如瑞士Anapaya公司推动的高性能SCION方案已部署于金融、医疗健康、能源电力、电子支付等关键基础设施网络中)。未来,中国电信天翼安全将携手合作伙伴,持续推进SCION技术的标准化完善、工程熟化及更大规模的垂直领域商用落地,深入探索其在大型运营商复杂网络环境中的应用路径,为全球互联网安全可信演进贡献中国力量。
供稿:基础能力部、科技创新部
排版:武云龙
编辑:陈师慧
校对:李雪
执行主编:田金英
主编:冯晓冬
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...