文章总结： 本文介绍了BGP替代者SCION协议，它由苏黎世联邦理工学院研发，旨在解决传统BGP协议因设计之初未考虑安全而导致的路由劫持、泄露等核心问题。SCION通过多路径路由实现毫秒级故障恢复、隔离域设计杜绝级联故障风险以及加密路径验证防止流量篡改这三项核心机制，从根源上提升了网络安全性。瑞士已在其国家级金融核心网中大规模商用SCION，成为首个全面退役传统BGP金融骨干网的国家。尽管技术可靠，但SCION的全球普及仍面临标准化、网络效应、厂商生态和行业路径依赖等多重壁垒。 综合评分： 85 文章分类： 网络安全,技术标准,解决方案,物联网安全,云安全

关键基础设施的路由安全：一文读懂BGP替代者SCION

原创

黑鸟 黑鸟

黑鸟

2026年3月24日 23:34 北京

在小说阅读器读本章

去阅读

2026 年 3 月，瑞士官方完成了一项改写互联网底层规则的部署。

其国家级金融核心网已全面落地 SCION 协议，正式替代运行超 40 年的 BGP 边界网关协议，成为全球首个大规模退役传统 BGP 金融骨干网的国家。

这一动作在全球网络安全与运营商领域引发震动，却在更广泛的视野里近乎无声，瑞士已经建成了 BGP 的安全替代方案，而世界其他地方至今还未真正关注到这场变革。

支撑互联网运转 40 年的 BGP，到底出了什么问题？SCION 究竟是一项什么技术，能拿下瑞士央行与证券交易所的核心系统？瑞士已经跑通的方案，为何迟迟没能在全球普及？

过去四十多年，BGP 边界网关协议一直是全球互联网的核心骨架。

我们每天上网，数据从一台设备传到另一台设备，跨地区、跨国家的传输，全靠 BGP 指引路径。

互联网并不是一张完整的大网，而是由成千上万个独立的网络区块组成，每个区块被称为自治系统，比如电信运营商、大型企业、高校的独立网络都属于自治系统。BGP 的核心作用，就是在这些自治系统之间传递路由信息，告诉数据包该走哪条路才能到达目的地。

BGP 的设计初衷只有一个，就是让数据包在数千个自治系统之间快速、规模化地路由，让互联网能顺畅运转。至于安全，从一开始就没有被纳入核心设计考量。这个先天缺陷，成了互联网四十年来始终无法根治的顽疾。

四十年来，BGP 被不断恶意滥用、错误配置，所有风险从协议诞生之初就可预见，却从未被从根源上解决。

常见的风险包括三类。

第一类是路由劫持，攻击者可以伪造路由信息，把目标流量重定向到自己控制的恶意网络，实现大规模通信监听、数据篡改。

第二类是路由泄露，一次简单的配置错误，就可能引发连锁反应，让跨国互联网服务大规模断网。

第三类是国家级武器化应用，APT 组织将 BGP 作为渗透工具，实现国家级的流量拦截与情报窃取。

而这一切风险的根源，是 BGP 没有原生的验证机制，它无法确认一个宣称拥有某个 IP 地址段的网络，是否真的是该地址段的合法所有者。

四十年来，行业为了弥补 BGP 的缺陷，推出了一层又一层补充方案，包括 RPKI 资源公钥基础设施、BGPsec 安全扩展、ROA 路由源授权等。

这些方案只能在边缘场景缓解部分风险，却始终无法解决协议底层设计的根本问题。

阿尔斯特大学从事计算机网络教学 27 年的网络安全教授 Kevin Curran 对此评价，四十年来行业用的就是一系列临时补救方案，从未有任何技术真正解决了在复杂对抗网络中，实现安全路径传输的核心需求。

对于瑞士金融业来说，BGP 的这些缺陷是绝对不能承受的风险。

瑞士证券交易所运营商 SIX 集团，拥有 30 年经验的网络工程师 Fritz Steinmann 曾算过一笔账，瑞士银行间清算的日均规模达到 2200 亿瑞士法郎，系统绝对不能出现故障，而当时支撑这套清算系统的，是已经运行 20 年的 Finance IPNet 传统 MPLS 网络，已经到了不得不更换的地步。

MPLS 即多协议标签交换，是金融、政务等关键领域常用的专用网络技术，能保障传输的稳定性，但它的扩展性、灵活性存在明显局限，也无法从根本上解决路由安全与故障快速恢复的问题。当时摆在 Steinmann 面前的传统方案都无法满足需求，公共互联网不符合银行清算的安全要求，SD-WAN 软件定义广域网要么面临单一运营商的政治风险，要么会陷入厂商技术锁定的困局。

直到 2017 年，他在苏黎世联邦理工学院的合作项目中，接触到了 SCION 协议。

SCION 的全称是下一代网络的可扩展性、控制与隔离架构，由苏黎世联邦理工学院教授 Adrian Perrig 带领团队研发，也是他针对互联网安全底层问题给出的解决方案。

Perrig教授 从 1991 年接触思科路由器时，就开始关注互联网的安全隐患。此后数十年，他看着行业不断给 BGP 打补丁，却始终无法根治原生漏洞，最终得出一个核心结论：安全无法在事后附加到现有架构上，除非改变底层设计，否则永远无法建成真正安全的全球网络。

2009 年，获得终身教职的 Perrig教授 正式启动 SCION 项目，即便当时很多同行认为这个项目不切实际。他的核心诉求很明确，同样的路由安全漏洞从 20 世纪 80 年代被记录至今，从未有人在架构层面去解决它，即便是全球顶级的安全公司，依然在被这些漏洞反复渗透。

和行业内给 BGP 打补丁的方案完全不同，SCION 彻底替换了互联网路由的底层架构，通过三项环环相扣的核心机制，从根源上解决了 BGP 的原生安全缺陷。

1. 多路径路由，实现故障毫秒级无感恢复

#

BGP 的核心运行逻辑，是为通信的两个端点选择一条最优传输路径。一旦这条路径出现故障，网络需要经历完整的路由收敛过程，也就是故障检测、新路径发现、会话重建、交易对账，在金融交易这类对稳定性要求极高的场景中，这个过程通常需要 3 到 4 分钟，会直接造成业务中断。

SCION 则完全改变了这个逻辑，它会在任意两个通信端点之间，预先建立数十条甚至数百条并行的传输路径。如果其中一条路径中断、被劫持，系统会在 150 毫秒内完成流量切换。Perrig教授 对这个阈值有明确的定义，人类对听觉刺激的反应时间约 150 毫秒，对视觉刺激的反应时间约 250 毫秒，当故障中断控制在毫秒级，用户和上层应用完全无法感知。

瑞士金融网络的实测数据，更是突破了这个理论阈值，故障切换耗时可以控制在 1 毫秒以内。Steinmann 曾回忆测试中的场景，他让团队做好准备，要关停其中一家网络运营商的线路，结果同事提前完成了关停操作，而现场所有人员都没有任何感知，上层应用完全不知道底层网络拓扑发生了彻底的改变。

2. 隔离域设计，彻底终结级联故障与单点信任风险

#

BGP 采用的是全球单一信任体系，整个互联网的信任锚点高度集中，一个自治系统的配置错误或安全沦陷，可能引发全球范围的连锁反应。最典型的案例，就是澳大利亚一家机构的单次配置错误，直接导致法国、挪威及欧洲大陆的 ATM 机集体瘫痪。

而这种跨区域的级联故障，在 SCION 的架构中，从结构上就被完全杜绝。

SCION 通过隔离域实现了信任根的彻底拆分，行业内通常用 ISD 作为隔离域的缩写。它可以按照国家、区域、行业、机构，单独划分独立的隔离域，每个隔离域都拥有专属的信任根，一个域内出现的配置错误、安全事件，绝对不会扩散到其他域。

这项设计不仅从技术上实现了风险隔离，更从底层支撑了国家与行业的数字主权。各国可以自主定义自己的信任根，无需再依赖全球单一的信任体系，也摆脱了对海外第三方证书机构的强制依赖。

3. 加密路径验证，100% 杜绝路由劫持与流量篡改

#

BGP 没有原生的路径加密与端到端验证能力，一个数据包从发送方到接收方，到底走了哪条路，有没有被中间运营商劫持、重定向、篡改内容，发送方和接收方都无从知晓。

SCION 则建立了完整的加密监管链，它要求传输路径上的每一台路由器，都对转发的数据包进行数字签名。数据包无法被静默重定向到非约定的路径，发送方和接收方可以明确指定数据的传输路径，而这个选择会在协议层面被强制执行，任何中间节点都无法更改。

Kevin Curran 作为无利益相关的第三方学者，独立验证了 SCION 的技术可靠性。他表示，隔离域与逐跳加密签名，正是这个协议的核心价值，它真正实现了让发送方和接收方完全掌控数据的传输路径，而不是把控制权交给行为无法验证的中间路由器。

SCION 从来不是实验室里的理论方案，瑞士已经用日均 2200 亿瑞郎的金融清算，完成了全球首个大规模商用验证，甚至直接关停了运行 20 年的传统骨干网。

2015 年，Steinmann 接到任务，为运行 20 年的 Finance IPNet 制定替换方案，当时的他几乎无计可施，因为没有任何现有方案能满足瑞士金融业的严苛要求。2017 年，他接触到 SCION，起初带着资深工程师的怀疑，他见过太多学术网络项目，一碰到真实的工业场景就无法落地。但 SCION 的设计，让他第一次看到了既符合学术逻辑，又能适配金融场景真实需求的可能。

彼时，瑞士国家银行已经在内部场景中使用 SCION，这为项目推进提供了关键的信任背书。2019 年，SIX 集团与瑞士国家银行联手，正式启动安全瑞士金融网络 SSFN 的设计工作。项目历经两年的安全评估、治理体系设计与极限压力测试，最终在 2021 年 11 月正式上线。

这个项目的核心难点，从来不是技术实现，而是信任治理体系的搭建。

首先，网络需要接纳上百家合作银行，同时要能快速处置违规参与者。项目组最终采用了有效期仅 3 天的短期数字证书，一旦出现安全问题或违规行为，可实现即时证书吊销，切断违规方的网络接入。

其次，项目需要搭建专属的信任体系。数字证书的签发，需要由 CA 证书机构完成，CA 机构是网络信任体系的核心，负责验证网络参与者的真实身份。但当时没有任何一家商业 CA 机构，愿意为这个主权金融网络签发证书并承担对应的法律责任，没有机构能为验证银行身份的失误兜底。最终 SIX 集团自建了专属 CA 机构，这套体系至今已在生产环境中稳定运行 5 年。

更重要的是，这套网络的成员准入、违规处置规则，不是写在管理制度里的条款，而是直接嵌入到 SCION 的信任根配置中，由协议本身强制执行。Steinmann 也证实，这套自动化的处置机制，已经在生产环境中实际执行过。

上线后的运行表现，超出了所有人的预期。截至 2026 年，安全瑞士金融网络日均完成 2200 亿瑞郎的银行间清算，从未发生过一次因路由故障导致的业务宕机。2024 年 9 月，运行 20 年的 Finance IPNet 正式启动退役流程，如今已进入全面关停阶段，这是全球首个被完全替代下线的传统 BGP 金融骨干网。

SCION 的商用能力，已经被瑞士的金融核心系统完全验证，可从首次生产部署至今近 9 年，它依然没有在全球实现规模化普及。这背后的壁垒，从来不是技术缺陷，而是一套环环相扣的行业生态困局。

第一重壁垒，是标准化的鸿沟。BGP 是 IETF 互联网工程任务组的正式国际标准，而 SCION 至今还未进入 IETF 的正式标准化流程。目前，IETF 独立流的信息性 RFC 文档还在推进中，距离正式的工作组标准化，还有很长的路要走。对于大型企业与运营商而言，部署一个未完成标准化的协议，意味着要承担未来实现方案分歧、标准变更带来的巨额改造成本，甚至可能面临协议最终无法形成行业规模的风险。

第二重壁垒，是网络效应的死循环。任何网络技术的普及，都逃不开先有参与者还是先有价值的困境。Steinmann 对此有精准的总结，传统网络的痛点，包括延迟飙升、路由劫持、数分钟的故障窗口，是行业已知且可承受的。整个行业已经适应了这套体系，甚至变得麻木，只要 BGP 还能勉强维持运转，企业就没有动力成为第一个吃螃蟹的人。而没有足够多的参与者，SCION 的网络价值就无法体现，进一步降低了企业入局的意愿。

第三重壁垒，是厂商生态的垄断闭环。目前，全球仅有一家企业，也就是苏黎世联邦理工学院孵化的 Anapaya，提供生产级的 SCION 商用解决方案。头部网络设备厂商的态度十分明确，思科曾直接向 Steinmann 表示，除非 SCION 成长为 200 亿美元规模的市场，否则他们不会投入相关研发。这就形成了典型的死循环，没有头部厂商的入局，SCION 很难实现规模化普及，而没有规模化普及，它就永远无法达到厂商要求的市场规模。

第四重壁垒，也是最核心的壁垒，是行业对成熟基础设施的路径依赖。基础设施的更新迭代，和其他技术完全不同。一套稳定运行的底层基础设施，正常运转的时候，不会有人关注它的价值，可一旦更新过程中出现问题，所有相关方都会承担责任。要向企业决策层证明，更换一套还能正常运行的底层基础设施的必要性，是一件难度极高的事。

除此之外，SCION 的落地模式也注定了它的复制难度。瑞士的成功，是先搭建完整的治理体系，拉通央行、交易所、上百家银行等核心参与方，明确定义信任根与运行规则，再落地技术实现。这套高度协同的推进模式，在瑞士能够顺畅运行，在全球其他地区，却很难复制。

如今，SCION 越来越多地被放在欧洲数字主权的语境中讨论。它的隔离域架构，让各国可以自主定义信任根，摆脱对海外证书机构与核心网络的依赖，理论上，敌对国家对传统互联网路由的远程关停能力，在设计完善的 SCION 部署中完全不存在。

但对于数字主权这个话题，SCION 的核心研发者与一线实践者，都保持着清醒的认知。

Perrig教授 更愿意用可选性来定义 SCION 的核心价值，它给了用户选择传输路径、选择信任根、选择对接网络的自由，而不是强行赋予技术过多的政治意义。

Steinmann 则直接点明了技术可控性的两面性。SCION 确实是一个实现主权化网络的替代方案，在所属司法辖区之外，没有中心化的关停开关。但同样的路径可控能力，也可能被用于网络管控与流量限制。它能帮助使用者摆脱外部不可控的依赖，也可能被用于限制网络的自由互联，这是技术本身无法规避的两面性。

Kevin Curran 则补充了架构层面的客观约束，任何有实际价值的网络，都必须实现全球互联。一个完全闭环、无法对接全球互联网的主权 SCION 网络，没有任何实际意义。SCION 提供了路径与信任的自主控制权，但不会自动实现完全的数字主权，它也从未做出过这样的承诺。

#

关于 SCION 的未来发展，行业内不同角色给出了截然不同的判断。

Perrig 教授保持着乐观的预期。他认为，3 到 5 年内，SCION 会被嵌入到主流操作系统的核心网络库中，开发者无需额外进行适配开发，它就会无处不在地运行在网络数据平面。目前，比荷卢地区的网络运营商已经开始提供 SCION 连通性服务，甚至有客户专门更换运营商，只因为原服务商不支持 SCION。他表示，两年前他还不敢做出这样笃定的判断，现在已经能看到行业生态的正向循环正在形成。

Steinmann 则保持着一线工程师的谨慎。他承认，Perrig 的乐观是这个项目能走到今天的必要条件，但他并不认同这个普及时间线。行业接受新事物、尝试未知方案的意愿普遍偏低，SCION 的全球普及速度，大概率会非常缓慢。

Kevin Curran 给出了最贴近行业现实的预判。SCION 的技术是可靠的，它的架构解决了互联网路由领域真实存在的核心痛点，至于它最终会不会成为全球主流协议，还是催生出一个高度相似的继任方案，其实并没有那么重要。真正能加速它普及的，不是渐进式的案例积累，而是现有基础设施一次足够严重的大规模故障。

他表示，如果未来出现国家级的网络攻击，通过路由重定向瘫痪了一个国家的关键基础设施，而 SCION 恰好能完美解决这类问题，那它会瞬间被全球行业接受。未来一两年内，国家级的网络攻击事件，会是推动 SCION 普及的核心驱动力。

瑞士的实践已经证明，运行了 40 年的互联网路由底层架构，是可以被安全替换的。行业无需一直给存在原生缺陷的协议打补丁，重新设计一套安全的底层架构，是完全可行的。

SCION 的价值，从来不止于一个替代 BGP 的路由协议。它真正的意义，是打破了行业四十年来的惯性思维，互联网的底层架构不是不可更改的，网络安全不应该是事后的漏洞修补，而应该从设计之初，就刻在系统的地基里。

如今，全世界都看到了瑞士完成了底层网络架构的安全升级，却依然在等待现有体系出现问题。

行业的共识很清晰，没人会主动更换一套还能运转的基础设施，除非被迫。但瑞士也证明了，升级底层基础设施，不需要推翻现有的业务体系，完全可以实现平稳过渡。

至于要不要主动布局下一代路由架构，还是等现有体系出现故障再做应对，这个问题，需要全球互联网行业给出自己的答案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟 黑鸟 黑鸟《关键基础设施的路由安全：一文读懂BGP替代者SCION》