Der aspectra-Blog seit 2012

SCION: der nächste Schritt für sichere Netzwerke

Sicher, flexibel, zukunftsfähig: Mit SCION und dem Swiss Secure Health Network sorgt aspectra für eine robuste und datenschutzkonforme Vernetzung im Schweizer Gesundheitswesen.

Das traditionelle Internet-Protokoll (das Border Gateway Protocol, oder BGP) ist seit Jahrzehnten im Einsatz, aber es hat seine Schwächen. SCION steht für "Scalability, Control, and Isolation On Next-Generation Networks" und ist eine neuartige Internet-Architektur, die autonome Systeme und kryptographische Technologien verwendet, um ein sicheres und flexibles Netzwerk zu schaffen. Sie wurde an der ETH Zürich entwickelt, um die altbekannten Schwächen des Internets und der darüber stattfindenden Kommunikation - etwa die Anfälligkeit für Überlastungen und Manipulationen - zu beheben und sie insgesamt sicherer und zuverlässiger zu machen.

Wie funktioniert die SCION-Architektur?

Das SCION-Netzwerk besteht aus vielen autonomen Systemen (ASs), die miteinander verbunden sind.  Die AS sind, wie der Name schon sagt, voneinander unabhängig und können von verschiedenen Organisationen betrieben werden. Die Verbindung zwischen ihnen  wird über Vertrauensanker gesichert. Jedes AS ist verantwortlich für die Übertragung von Daten zwischen seinen eigenen Endpunkten und den Endpunkten anderer autonomen Systeme. SCION organisiert die bestehenden AS in Gruppen unabhängiger Routing-Ebenen, so genannter Isolationsdomänen (ISDs), die miteinander verbunden werden, um globale Konnektivität zu gewährleisten. Wenn zwei Einheiten im selben ISD kommunizieren, wird der Verkehr zwischen ihnen niemals den ISD verlassen. ISDs bieten eine natürliche Isolation von Routingfehlern und Fehlkonfigurationen, geben Endpunkten eine starke Kontrolle über den ein- und ausgehenden Verkehr, bieten sinnvolles und durchsetzbares Vertrauen und ermöglichen skalierbare Routing-Updates. Folglich bietet die SCION-Architektur eine hohe Ausfallsicherheit.

Warum ist SCION besonders gut geeignet für die heutige Netzwerkwelt?

Die SCION-Architektur ist auf die Anforderungen der modernen Netzwerkwelt ausgerichtet. Sie bietet integrierte Sicherheitsmechanismen, um die Netzwerkkommunikation vor Bedrohungen wie DDoS-Angriffen, Man-in-the-Middle-Angriffen und anderen Angriffen zu schützen. Darüber hinaus ermöglicht sie Netzwerkadministratoren eine flexiblere Netzwerkkonfiguration und die Anpassung der Verbindungen zwischen autonomen Systemen an die Bedürfnisse der Organisation.

Eine weitere wichtige Eigenschaft von SCION ist die Fähigkeit, den Datenverkehr über mehrere Pfade zu leiten. Dies bedeutet, dass der Netzwerkverkehr nicht auf einer einzigen Route beschränkt ist, sondern auf mehrere Wege verteilt werden kann, um die Netzwerkleistung zu verbessern und Ausfälle zu vermeiden.

Zukunft des Internets?

SCION ist also eine durchaus vielversprechende Alternative zum herkömmlichen Internet-Protokoll BGP. Die Verwendung von autonomen Systemen und kryptographischen Technologien erhöht die Sicherheit und Zuverlässigkeit des Netzwerks, während die Flexibilität der Netzwerkkonfiguration und die Fähigkeit zur Mehrpfad-Routing die Leistung verbessern. Mit der wachsenden Nachfrage nach sichereren und zuverlässigeren Netzwerken könnte SCION das Internet der Zukunft werden.

SCION bei aspectra

Die bei aspectra betriebenen HIN Services befinden sich im HIN Vertrauensraum. In diesem sicheren Netzwerk arbeiten alle relevanten Akteure des Schweizer Gesundheits- und Sozialwesens einfach und datenschutzkonform zusammen. Der HIN Vertrauensraum basiert auf dem SCION-basierten Swiss Secure Health Network (SSHN), einem eigenen ISD mit der Isolation Domain Nummer 72. Die Konnektivität der HIN Services zum HIN Vertrauensraum wird durch zwei SCION Edge-Router im aspectra Rechenzentrum sichergestellt, die über zwei unterschiedliche Internet Service Provider (ISP) angebunden sind. Die beiden Router sind dediziert für HIN im Einsatz, werden durch aspectra betrieben und durch Anapaya Systems verwaltet. Kliniken, Arztpraxen und weitere Swiss Secure Health Network Partner sind direkt via ISP oder dedizierter SCION-Router am SSHN angeschlossen.


  • Der HIN Vertrauensraum
  • FAQ |SCION Internet Architecture (scion-architecture.net)
  • Adding Path Awareness to the Internet Architecture  · Trammell, B., Smith, J., & Perrig, A. (2018). Adding Path Awareness to the Internet Architecture.  IEEE Internet Computing, 22 , 96-102.

Suche