经产观察
IT资讯
IT产业动态
业界
网站运营
站长资讯
互联网
国际互联网新闻
国内互联网新闻
通信行业
通信设备
通信运营商
消费电子
数码
家电
国际互联网新闻

中国技术方案助力全球网络根基安全国际标准制定始末——访互联网域名系统市工程研究中

作者:佚名 来源: 日期:2018-10-8 6:25:41 人气:

  虽然我国在互联网、云计算、大数据这些高科技应用领域的影响力和话语权越来越重,但由于历史的原因以及在技术上的积累不足,我国在互联网基础设施建设和相关国际标准的制订上方面还长期处于&a...

  虽然我国在互联网、云计算、大数据这些高科技应用领域的影响力和话语权越来越重,但由于历史的原因以及在技术上的积累不足,我国在互联网基础设施建设和相关国际标准的制订上方面还长期处于“跟随”状态。

  事实上,强调自主创新,研发核心技术,就必须改变在网络和信息化领域国际标准参与和制定方面缺少话语权和技术贡献的被动局面。

  而由互联网域名系统市工程研究中心(ZDNS,简称域名工程中心)首席研究员马迪博士领衔起草的互联网国际标准IETF RFC 8416就是一个很好的例子。

  在电信网络诈骗中,之所以可以利用“伪基站”冒用银行名义给被骗用户发送短信,究其根源在于,“伪基站”相当于对特定区域内的短信发送实现了“通信劫持”,并可以任何人的名义给该区域内的手机用户发送短信。

  事实上,在互联网类似的“网络劫持”也非常多,有一种“网络劫持”与“伪基站”原理非常相仿,比如在美国把它的IP地址对外“”为阿里巴巴的IP地址时,就会将其由影响范围内的访问阿里巴巴的访问量“劫持”到自己的服务器上。

  2017年8月25日,Google就由于错误的配置劫持了日本运营商NTT的流量,导致日本国内用户无法正常的访问网银、、票务等网站,一度引起社会的恐慌,虽然Google已经公开认错,但却无法完全消除所造成的影响。

  无独有偶,2018年4月24日,国际电商和云服务巨头亚马逊的权威域名服务器也了BGP由劫持。

  事实上,此类网络劫持事件频发是源自于一个27年前就制订的互联网标准—边界网关标准(BGP)。有人说搞定这个标准就能够搞定整个互联网,它可以说是互联网的致命软肋。

  这个标准又被戏称为“三张纸巾标准”,由两名工程师在被番茄酱弄脏的餐巾纸背面拟定的标准,在27年后的今天仍然引导着全球网络的长距离通信流量,哪怕有已知的缺陷。

  有鉴于此,关于怎么优化“三张纸巾标准”就成了摆在桌面上的问题。2006年,互联网国际标准制定组织IETF成立了域间由安全工作组,旨在完成RPKI(互联网码号资源公钥基础设施)以及BGPsec(基于RPKI的BGP安全升级标准)的标准化工作,用以抵御BGP劫持。

  2015年,RPKI本地化控制技术的国际标准LTAM(RPKI本地信任锚点管理机制)因为过于复杂,其制定工作在IETF难以推动。同年3月,在IETF达拉斯(美国)会议期间,马迪与RPKI发明人Stephen Kent博士在交流后决定,在制定RPKI本地化控制技术之前,合作研究RPKI供给侧的安全模型,并基于该模型着手推动一种LTAM的替代方案SLURM(简化的RPKI本地化控制机制)。

  2017年9月,IETF发布的互联网国际标准BGPsec(RFC 8205)发布,其本地化控制相关章节,推荐使用尚在标准化进程中的SLURM。

  2017年,由马迪博士参与起草的RPKI供给侧数据安全模型获得IETF认可,发布为IETF RFC 8211。

  2018年8月7日,由马迪博士作为第一作者的RPKI本地化控制机制(RFC 8416)被IETF作为技术标准正式发布。

  马迪博士在采访中表示,IETF RFC 8416简单来说就是一种可以网络运行者自主可控地使用RPKI的来实施由认证赴方法,避免全球RPKI的错误数据干预到本地网络的运行。根据网络规模和范围的不同,IETF RFC 8416可以面向企业网络边界、运营商网络边界乃至主权国家网络管理边界,构建自主可控的由认证方法。

  事实上,2018年4月,亚马逊在BGP由劫持之后,两个月后,就马不停蹄的部署了RPKI。

  针对IP地址归属认证或身份认证问题,很早就引起了互联网国际标准制定组织IETF(互联网任务工程组)的关注,包括TCP/IP协议等在内的诸多互联网基础通讯协议都是由IETF制定的国际标准,才实现了全球互联网的互联互通。

  2012年,IETF陆续发布了14个关于RPKI(资源公共密钥基础架构)基础标准的RFC (RFC6480~RFC6493),所谓RPKI是一个专用的PKI框架,它使用X.509证书扩展来传输IP由来源信息。

  不过,直到由马迪博士作为第一作者的IETF RFC 8416作为国际标准于2018年8月7日正式发布后, RPKI自身的安全保障问题在部署应用层面才有了可操作的方法。IETF RFC 8416发布后,IETF 负责制定RPKI和BGP安全协议的工作组(域间由安全工作组)画上了了句号,于2018年9月6日正式关闭。RPKI今后运行相关的技术标准,由另一个新成立不久的IETF工作组负责制定。

  早在RFC 8416正式发布前,其所包含的技术和方案SLURM已经开始得到广泛的响应和使用,比如,BGP安全核心标准 BGPsec(RFC 8205)推荐使用当时尚在讨论中的SLURM。欧洲互联网信息中心研发的RPKI验证软件支持SLURM功能,而哥伦比亚运营商 Renata 甚至已经宣布使用SLURM实现自主可控由。

  值得一梦见刮大风提的是,该技术标准的落地和实施,不仅对于解决国外本地的”网络劫持“意义重大,而且对于国内互联网巨头”出海“避免”网络劫持“也有重要的价值。

  域名工程中心主任毛伟认为,当前RPKI正在全球开展部署,这是一次触及互联网“互联互通根基”的安全升级,将对网络安全保障工作和互联网治理工作产生重大影响。中国专家起草的标准被接纳为核心标准,将有助于推动我国互联网社群对全球互联网治理工作的深度参与。

  对于此标准的发布,互联网全球名人堂入选者、中国互联网的 胡启恒院士给予高度评价,她说,“这让我看到了中国年轻一代技术人员的活力和实力。我要为他们加油、为他们点赞。“