人民网
人民网>>经济·科技

加强路由系统安全基础设施 夯实互联网安全保障

2020年04月09日16:46 | 来源:中国网
小字号

  作为支撑互联网“互联互通”内涵的关键协议之一边界网关协议(BGP),同很多互联网基础通信协议(DNS、IP等)一样,在设计之初并没有考虑消息真实性问题。互联网上的路由器在使用BGP彼此交换路由信息的过程中,每个路由器很难辨别消息内容的真伪。大面积断网等路由劫持成为保障互联网安全绕不开的话题。

  为尽可能减少路由劫持的风险,自2000年以来,科技界提出了很多解决方案。目前为国际互联网社群及工业界所认可的对策,是一种基于RPKI(互联网码号资源公钥基础设施)的BGP安全扩展方案。RPKI的基本思想是在互联网码号资源分配的供给侧,基于应用密码学的签名机制,来发布可验证IP地址资源分配信息和授权使用信息。目前,全球五大地址注册机构(例如亚太互联网信息中心APNIC、欧洲互联网信息中心RIPE NCC等)均已经提供基于RPKI的IP地址授权认证服务;众多的骨干网运营商、国家级互联网交换中心、大型云服务公司也开始启动试点,使用RPKI过滤非法路由通告。

  “面对互联网路由劫持事件,部署应用RPKI是保障路由安全的基础。”互联网域名系统国家工程研究中心(ZDNS)主任毛伟表示, RPKI部署应用,是一次触及互联网“互联互通根基”的安全升级行动,是互联网由“可用”向“可信”演进的新阶段。在这个推进过程中,我国也应积极布局。

  在毛伟看来,RPKI是一个互联网码号资源分配关系延伸出的全球信任体系,将对互联网基础资源管理和“互联互通”控制机制产生重大影响。RPKI的部署还催生出“IP根”服务器的概念,也即RPKI这个认证体系的信任起点,成为互联网治理的关键要素。毛伟称,为推广RPKI,我国相关单位可依托其职能定位,发挥积极作用。例如,网络运营商可升级其IP地址管理系统以支持RPKI,启动基于RPKI的路由认证试点;互联网服务提供商可使用RPKI技术,来保护其关键服务地址空间。

  RPKI虽然被全球互联网社群认可,成为增强互联网路由系统的安全基础设施,但其自身的安全运行机制也需要提前做好技术储备。互联网域名系统国家工程研究中心首席研究员、亚太互联网信息中心(APNIC)路由安全SIG联合创始人马迪认为,RPKI的出现将“刚性的BGP协议风险”逐步迁移到“弹性的RPKI运行风险”。涵盖“RPKI供给侧数据监测”及“RPKI需求侧本地化控制”在内的RPKI安全保障机制,是RPKI范畴新的顶层设计话题,是互联网社群积极参与并贡献思路的好机遇。

  另据了解,互联网域名系统国家工程研究中心(ZDNS)是通信行业系列标准“RPKI安全运行技术要求”牵头起草单位,参与单位包括CNCERT、中国电信、中国联通、中科院信工所、中兴通讯等。此外,ZDNS还是目前RPKI验证系统国际开源项目RPSTIR的牵头维护单位。

(责编:乔雪峰、夏晓伦)

分享让更多人看到

返回顶部