Scion EPIC:具有路径意识的全新互联网体系结构

2020-11-29 09:02:08

互联网是一个了不起的系统。它最初是在1960年代和1970年代作为研究网络开发的,如今仍可运行,连接了数十亿用户和数百亿设备。

值得注意的是,Internet核心协议-Internet协议(IP)和边界网关协议(BGP)在过去几十年中变化不大-能够处理当今Internet所达到的规模。尽管如此,缺乏这些协议的内置安全机制的影响越来越明显-IP和BGP并不是为当今互联网的威胁而构建的。

在2000年左右,除了BGP的安全补丁(Geoff Huston在最近的APNIC博客文章中讨论了其中的一些补丁)之外,研究团体还开始考虑使用全新的全新Internet架构。在这篇博文中,我将重点介绍一类特殊的所谓的路径感知Internet体系结构,该体系结构允许最终主机从一组可用路径中为其通信选择路径,并将其显式嵌入到数据包的标头中。结合路径探索系统中强大的身份验证机制,这不仅可以增强终端主机的能力,而且可以从根本上解决当今基于BGP的Internet中普遍存在的路由劫持问题。

在过去的11年中,瑞士苏黎世联邦理工学院的网络安全小组一直在开发可感知路径的SCION Internet架构,该架构现已达到一定的成熟度,自2017年以来便促进了实际部署和生产使用。(注:对此处的域间设置感兴趣;还有自治系统(ASes)中的路径感知网络示例,例如分段路由。)

实际上,如今,横跨欧洲和亚洲多个ISP的无BGP生产网络可为银行和瑞士政府提供生产流量。 SCION和这些最新的发展提供了进一步分析此类路径感知Internet体系结构的转发过程中的权衡,挑战和机会的动机。结果最近在USENIX安全研讨会上发布。

允许最终主机选择转发路径并将其嵌入到数据包头中的设计选择显然具有许多优点:

终端主机可以使用最能满足特定应用程序要求的路径(例如,在带宽,等待时间或遍历网络方面)。

网络中的路由器可以通过简单地查看数据包报头而不执行(昂贵的)最长前缀匹配来做出转发决定。

但是,它也带来了潜在的挑战,通常会提出反对最终主机路径控制的观点:如何保护网络运营商免受恶意最终主机的攻击?

例如,路径感知的Internet体系结构需要确保最终主机不能制作包含环路或违反AS路由策略的路径,如图1所示。

SCION通过消息身份验证代码(MAC)来实现此目的,AS会通过消息身份验证代码计算MAC以授权特定路径并在转发过程中进行检查。基于高效的对称密码学,这些检查可以在短短的十纳秒内完成。这将限制最终主机仅使用所有路径上AS都已授权的路径。

在我们最近的出版物“ EPIC:在路径感知互联网的数据平面中检查了每个数据包”中,我们探讨并解决了这些MAC长度在通信开销和安全性方面所面临的权衡问题。

我们的核心见解之一是,违反路径策略的单个数据包不会对AS构成威胁。仅当攻击者重新使用非法获得的MAC(例如,通过暴力破解)来发送许多其他数据包时,问题才会出现。特别是,我们发现,如果最终主机为单个数据包计算唯一的MAC,则可以在不损害安全性保证的情况下大大缩短这些字段。

通过MAC验证路径的这种方法可以实现额外的安全性而几乎没有额外的开销。利用DRKey(一种用于在AS之间派生和分发共享对称密钥的系统)的功能,EPIC还描述了一种协议,该协议允许路径上的路由器和目的地对任何数据包的源进行身份验证。

值得注意的是,即使在没有专用硬件的软件路由器中,也可以在短短的一百纳秒内进行源认证,并且可以通过专用硬件和并行化进一步减少这种开销。最重要的是,得益于DRKey系统,路由器不需要保留带有密钥的表,而是可以通过高效的伪随机函数在数十纳秒内即时获取它们。这为有意义的基于源地址的攻击流量筛选提供了机会(例如,在拒绝服务攻击期间),并排除了普遍的反射攻击。

最后,我们描述了路由器上微不足道的附加处理如何使最终主机进行通信以验证数据包采用的实际路径。当诸如低地球轨道(LEO)卫星网络之类的专用网络可以集成到Internet中,并且最终主机可能希望确认其路径决定是否由路径上的路由器遵循时,这在将来尤其重要。

与最先进的系统相比,EPIC具有显着更低的计算和通信开销来实现这些特性,使其在实际部署中非常实用-每个AS级跳仅需要5个字节,并且可以扩展到最小处理100 Gbps-通过并行化在软件路由器上确定大小的数据包。

如果您想了解更多信息,请阅读我们的论文,查看SCION体系结构的在线资源(包括开源参考实现),或在基于SCION的全球网络测试平台SCIONLab上进行尝试。

Markus Legner是由瑞士苏黎世联邦理工学院的Adrian Perrig教授领导的网络安全小组的博士后研究员和讲师。