BGP边界网关协议并非为安全而设计，而是为了在构成互联网的数千个自治系统之间快速大规模地路由数据包。

四十年来，BGP完美地完成了这项任务。但在这四十年中，它也以从一开始就可以预见的方式被恶意利用、配置错误和滥用。路由劫持将流量重定向到恶意网络，路由泄漏导致服务下线，国家级网络攻击团队将BGP武器化以大规模拦截通信。这些都不是理论上的威胁，而是有记录的反复发生的事件，它们今天仍然可能发生，原因很简单：BGP没有原生方式验证声称拥有某个地址块的网络是否真的拥有该地址块。

为了解决最严重的漏洞，一系列补丁和扩展如资源公钥基础设施（RPKI）、BGPsec和基于RPKI的路由原始授权（ROA）被叠加在原始协议之上。它们在边际上有所帮助，但并未解决根本问题。

然而，有一个系统声称能够做到这一点。SCION，即下一代网络的可扩展性、控制和隔离，是ETH苏黎世大学开发的互联网路由架构。与应用于BGP的补丁不同，SCION不试图在40年历史的基础上改装安全性，而是完全替换了基础架构。这个重新设计是ETH苏黎世大学计算机科学教授、SCION主要架构师阿德里安·佩里格的毕生工作。

自1991年以来，佩里格一直在关注互联网安全问题。他在开始攻读学士学位前就与思科路由器打交道。在随后的大部分年间，他一直试图让互联网更安全。最终，他得出结论认为这种方法是错误的。"你无法强行添加安全性，"佩里格说。"除非你真正改变设计，否则无法获得真正安全的全球网络。这就像说你想去月球，所以在飞机上安装火箭助推器。不，你必须以不同的方式设计载具。"

佩里格在2009年获得终身职位后启动了SCION项目，尽管大多数同事告诉他这是职业自杀。他的核心挫败感很简单：同样的漏洞自1980年代以来就有记录，但没有人试图在架构层面修复它们。"世界上最好的安全公司仍在被这些漏洞利用，"他说。"甚至没有人试图适当地解决它们。"

阿尔斯特大学网络安全教授凯文·柯伦从事计算机网络教学27年，他提供了一个独立评估，得出了相同的结论。他说，互联网在构建时没有考虑安全性，随后的一切都是变通办法。"40年来我们所拥有的是一系列创可贴，"柯伦说。"没有任何东西接近于解决在对抗性网络中真正安全路径的需求。"

佩里格对当前互联网安全状态的比喻是一艘满是洞的船：人们拿着桶四处奔跑，倒水和堵洞，但船体仍然受损。他认为，今天的安全工作方式相同：应用补丁，关闭漏洞，新漏洞在其他地方出现。在他的框架中，SCION是一艘根本重新设计的船只。水可能从外面溅入，但不会从结构缝隙中倾泻。

要理解SCION实际做了什么不同的事情，有助于理解BGP的错误之处。在今天的互联网中，数据包从源到目的地的旅程没有加密的监管链。如果路径上的某个网络失败，重新路由过程——包括检测故障、找到新路径、建立新会话和协调进行中的事务——可能需要几分钟。

SCION通过三个相互关联的机制解决了这个问题。首先是多路径路由。今天的互联网在两点之间提供单一路径，而SCION同时建立数十甚至数百条并行路径。如果一条失败，系统会在毫秒内重新路由。佩里格对阈值很精确："人类对听觉刺激的反应时间大约是150毫秒，对视觉刺激是250毫秒。当中断时间在毫秒级别时，人脑无法注意到。这就是SCION切换的速度。"

第二个机制是隔离域——SCION术语中的ISD。SCION不依赖少数全球信任锚点或超过一千个必须同时信任的证书颁发机构的庞大生态系统，而是让国家、地区或组织定义自己的本地信任根。一个隔离域中的错误或妥协无法传播到另一个。佩里格提供了一个具体的历史例子：澳大利亚的一个实体犯了配置错误，导致法国、挪威和欧洲大陆的ATM同时失败。这种级联故障在SCION网络中在结构上是不可能的。

第三个机制是加密路径验证。SCION路径上的每个路由器都提供加密签名。数据包不能被静默地重新路由到不属于约定路径的网络。发送者和接收者指定他们想要使用的路径，这些选择在协议级别得到执行。

柯伦在SCION的商业成功中没有利益关系，他独立验证了这些技术声明。他说，隔离域和加密签名是使协议有意义的核心："真正尝试给发送者和接收者控制其数据路径的权力，而不是将其留给行为无法验证的中间路由器。"

弗里茨·施泰因曼在瑞士金融部门担任网络工程师30年。自2009年以来，他一直为SIX集团工作，该集团是瑞士证券交易所、瑞士证券清算的运营商，更重要的是，约120家瑞士金融机构使用的银行间支付基础设施的运营商。2015年，他的管理层要求他为Finance IPNet制定替代策略，这是连接这些机构的20年历史的MPLS网络。"瑞士的银行间清算每日约为2200亿瑞士法郎，"施泰因曼说。"所以失败不是选项，但我不得不放弃，因为没有替代方案。"

选择并不令人满意。公共互联网对瑞士银行的交易结算是不可接受的。SD-WAN要求单一运营商——鉴于已经涉及的多个运营商，这在政治上是不可能的——或者没有人想要的专有供应商锁定。施泰因曼在2017年通过SIX和ETH苏黎世大学的合作伙伴关系首次接触SCION。他以一个见过学术网络项目在与运营现实接触时失败的人的怀疑态度接近它。"学术界和工业界通常不太匹配，"他说。"他们做很棒的事情，但可用性是挑战。然而，阿德里安告诉我们的真的是大开眼界。这是第一次有人拥有的东西不仅从学术角度有意义，而且我立即看到了现实世界的应用。"

瑞士国家银行（SNB）已经在一些内部用例中使用SCION。鉴于SCION被要求承载在商业银行和央行之间结算的支付，这是一个重要信号。2019年，SIX和SNB联手设计了后来成为瑞士安全金融网络（SSFN）的网络。在网络准备就绪之前，需要两年的安全评估、治理设计和测试。

构建SSFN既是治理项目也是技术项目。网络需要接纳银行，排除不法分子，并处理有效期为三天的短期证书的发放，以便在参与者被驱逐时快速撤销。它还需要运营自己的证书颁发机构（CA）。没有商业CA愿意承担风险。施泰因曼解释说，挑战不在技术，而在流程。你如何验证UBS确实是UBS？如果你弄错了，如何量化责任？没有现有的CA有答案，所以SIX建立了自己的CA，并在生产中运行了五年。

SCION的信任根配置——用于编码哪些实体被允许参与以及在什么条件下参与的机制——将网络投票成员的治理决策嵌入到加密基础本身。关于谁可以加入以及何时可以被驱逐的规则不是数据库中的策略，而是由协议强制执行的。施泰因曼满意地指出，执行已经得到行使。

当性能指标在测试中出现时，超出了预期。当运营商失败时，旧的Finance IPNet需要一系列步骤——检测、故障转移、路径发现、重新连接、身份验证、会话重新建立、事务协调——总共可能需要三到四分钟。在SSFN测试期间，施泰因曼进行了运营商关闭演习。他要求团队在关闭其中一个网络提供商之前待命。在他能够发出信号之前，他的同事回报说：哦，我已经做了。我以为你已经给了许可。"我们什么都没注意到，"施泰因曼说。"故障转移在一毫秒以下。应用程序不知道底层网络拓扑已经完全改变。"SSFN于2021年11月上线。2024年9月，Finance IPNet开始落日。这个运行了20年的旧基础设施正在被淘汰。

所以SCION有效。证据不是供应商白皮书或实验室概念验证。它是每日在基础设施上结算的2200亿瑞士法郎，该基础设施替代了瑞士银行信任了二十年的网络，前任正在被淘汰。那么，为什么在首次生产部署近九年后，它没有在瑞士以外大规模传播？

障碍有几个，它们相互加剧。首先是标准化。BGP是IETF标准，SCION不是。IETF独立流RFC正在进行中——一个正式发布的信息文档，位于IETF标准化轨道之外。通过IETF工作组过程的完全标准化尚未开始。对大型组织来说，这种区别很重要。在协议标准化之前部署意味着接受实现可能分化、最终标准需要昂贵更改或协议永远不会达到使标准化有意义的临界质量的风险。

其次是任何网络技术固有的鸡和蛋问题。没有人想成为第一个。运行传统网络的痛苦——延迟峰值、路由劫持、三分钟故障转移窗口——正如施泰因曼所说，是已知且可承受的。组织已经适应了它。"我们已经有点麻木了，"他说。"我们对它的工作方式是满意的，并没有真正兴奋地看到新基础的优势。"

第三个障碍是供应商集中。单一公司Anapaya——ETH苏黎世大学的分拆公司，将SCION打包成供运营商和企业部署的网络产品——目前提供唯一的商业实现。施泰因曼坦率地谈到这造成的catch-22。思科直接告诉他，如果SCION不是200亿美元的业务，他们就不感兴趣。但没有思科这样的公司，它就不能成为200亿美元的业务。

第四个障碍是最根本的，也是施泰因曼反复提到的。基础设施更新在心理上不同于其他类型的技术采用。没有人注意到它何时工作，每个人都注意到它何时失败。用大多数指标衡量仍在运行的东西的更换努力几乎不可能向专注于房屋而非其基础的董事会证明合理性。"你上次更新房屋基础是什么时候？"施泰因曼问。"你不会。你会先拆掉房子。但我们在这里做的是在不拆掉房子的情况下更新基础。"

佩里格对采用时间表的看法是乐观的。他相信在三到五年内，SCION将嵌入到数千个应用程序使用的基本网络库中——意味着开发者不需要考虑它，它就在那里。比荷卢经济联盟的ISP已经在提供SCION连接。一些客户专门因为当前ISP不提供SCION而更换提供商。佩里格描述了一个开始转动的自我强化飞轮。"两年前我不会如此自信地说这个，"他说。"现在我可以看到它。我对五年有信心，但希望是三年。"

施泰因曼更为谨慎。他认为佩里格的乐观是必要的——没有它，项目永远不会达到这一点——但不同意时间表。"他无尽地乐观，这是必要的，"施泰因曼说。"但我有疑虑，因为采用的缓慢和人们实验的意愿。采用新的未知事物的意愿就是不存在。"

柯伦从外部接近SCION，提供了可能最有用的框架。技术是稳健的，其架构解决了真正的弱点，SCION本身是否成为主导协议或催生一个密切相关的继任者，不如旅行方向重要。他建议，加速采用的不是增量证据，而是现有基础设施的足够戏剧性失败。"如果我们看到国家做攻击，重新路由流量并摧毁国家基础设施——在网络低层级的战争行为，SCION本来可以提供解决方案的事情——那么它将很快被采用，"柯伦说。"我们必须看看国家赞助的攻击在明年左右如何工作。那将是主要推动者。"

SCION越来越多地在欧洲数字主权的背景下被讨论。它的架构与该项目有明显的相关性。隔离域允许国家或地区定义自己的信任根，独立于基于美国的证书颁发机构。敌对国家行为者可能在传统互联网路由上拉动的理论上的终止开关在设计良好的SCION部署中不存在。

佩里格对主权框架deliberately谨慎。他更喜欢选择性这个术语——选择使用哪些路径、依赖哪些信任根、连接到哪些网络的自由——并抵制主权语言带来的政治重量。他谨慎是对的。主权框架过度承诺了仅靠网络架构可以交付的东西。

施泰因曼直接使用主权语言，但不经提示就引入了大多数主权倡导者遗漏的警告。"是的，这是一个主权替代方案，除了你自己管辖区的能力之外没有中央终止开关，"他说。"但同样的可控性可能被极权政府方法滥用。然后它就完全可控了。它将有助于减少对可能变恶的盟友的依赖。但它也可能被滥用作为对抗自由互联网的武器。这是缺点，我不会判断什么更好。"

柯伦增加了一个约束，这是架构性的而不是政治性的：任何想要有价值的网络都必须在全球互连。无法将流量路由到互联网其余部分的主权SCION部署不是有用的网络。该技术能够对路径和信任进行有意义的控制，但它不会自动或完全提供主权——它也不假装这样做。

SCION提供的——以及瑞士在生产中证明的——是一个网络，其中运营商确切地知道他们信任谁、他们的流量去哪里以及参与的条件是什么。这是公共互联网不提供的控制形式，无论你附加什么主权框架。

SCION能做什么和它目前用于什么之间的差距，其核心不是技术问题。该技术已经在大多数基础设施运营商永远不会面临的条件下得到验证。运行它所需的治理框架已经设计、测试并大规模运营。它替代的旧网络已经关闭。不是暂停，是关闭。

没有发生的是从瑞士到世界其他地方的飞跃。SCION的部署模型——首先建立治理，让关键方承诺，定义信任根，执行规则——正是在瑞士有效但在几乎所有其他地方都困难的过程类型。

标准化、欧洲数字主权议程或足够严重的BGP事件是否会改变这种计算，目前仍是一个开放问题。施泰因曼的最后一点很简单：没有人考虑基础，直到它们破裂。他说得对，没有人在不被迫的情况下更新房屋基础。他也说得对，可以在不拆掉房子的情况下完成。这是否是现在行动的理由，还是等到结构开始移动，是世界其他地方尚未做出的决定。

Q&A

Q1：SCION协议是什么？它与BGP有什么区别？

A：SCION是瑞士ETH苏黎世大学开发的下一代网络路由架构，代表"可扩展性、控制和隔离"。与BGP不同，SCION不是在现有协议上打补丁，而是完全重新设计了网络基础，通过多路径路由、隔离域和加密路径验证三种机制提供更高的安全性和可靠性。

Q2：SCION在瑞士金融系统中表现如何？

A：SCION在瑞士表现出色。瑞士安全金融网络(SSFN)每日处理2200亿瑞士法郎的银行间清算，已经完全替代了运行20年的旧网络。在测试中，网络故障切换时间从原来的3-4分钟缩短到1毫秒以下，应用程序甚至感知不到网络拓扑的改变。

Q3：为什么SCION没有在全球范围内推广？

A：主要有四个障碍：首先是缺乏IETF标准化；其次是网络技术固有的先行者困境，没人愿意第一个尝试；第三是供应商集中，目前只有一家公司提供商业实现；最重要的是基础设施更新的心理障碍，组织很难为看似正常运行的系统投入更换成本。