CNNIC啟動國內RPKI試運營服務 保障網絡路由安全
來源:金華市開創網絡科技有限公司發表時間:2017-08-20
2004年12月的土耳其電信集團劫持互聯網事件、2008年2月的巴基斯坦劫持YouTube事件、2014年2月的加拿大ISP 劫持比特幣流量事件、2015年1月的美國ISP劫持日本地址前綴事件、2015年11月的印度運營商Bharti Airtel路由劫持事件……近年來發生的這些典型的路由劫持事件可能導致路由黑洞、流量竊聽以及大規模拒絕服務攻擊等一系列嚴重后果,極大影響了互聯網的正常運行。
保障網絡路由安全任重而道遠。6月13日,在云南昆明召開的2017中國IP地址分配聯盟高峰會議上,中國互聯網絡信息中心(CNNIC)面向IP地址分配聯盟會員啟動碼號資源公鑰基礎設施(Resource Public Key Infrastructure,簡稱RPKI)試運營服務,希望從根本上解決路由劫持問題,保障網絡路由安全。
APNIC高級科學家George Michaelson表示,目前,互聯網各個自治系統(AS)之間的路由選擇協議采用的是邊界網關協議(BGP)。而BGP協議存在嚴重的安全缺陷:BGP路由器默認接受網絡中發起的任何路由通告。這一安全缺陷就容易導致路由劫持,對互聯網安全造成嚴重威脅。RPKI服務可以實現對IP地址、AS號碼使用授權認證,有助于從根本上解決路由劫持等網絡安全問題。該服務遵循互聯網國際技術標準組織IETF制定的RPKI技術協議,是繼域名系統安全擴展(DNSSEC)之后,互聯網名稱和數字地址分配機構(ICANN)在全球范圍內重點推廣和部署的互聯網基礎資源安全服務。
目前,IETF已經完成了對RPKI核心技術的標準化工作,RPKI在全球范圍的部署工作也在陸續展開。APNIC注冊服務部經理潘廣亮介紹,2012年10月25日,APNIC對其RPKI系統進行調整,發布了五個新的“信任錨點”證書,成為全球第一個開始RPKI架構遷移的RIR。此后,包括APNIC在內的全球五大RIR均對其會員開放了互聯網資源認證業務。2013年9月,南美洲厄瓜多爾成功部署了RPKI源路由認證系統。2014年底,JPNIC面向日本國內的運營商開放實驗性的公共RP服務。BBN、思科、瞻博網絡等眾多國際互聯網企業也開始探索和研究RPKI技術帶來的新機遇。
據CNNIC國際部負責人孔寧博士介紹,CNNIC作為中國的國家互聯網IP地址注冊機構(NIR),積極與APNIC完成RPKI上下游部署對接,成為全球RPKI服務體系的一部分,為國內互聯網服務商和企業提供RPKI服務。2014年初,CNNIC牽頭成立了互聯網域名管理技術國家工程實驗室,并組建RPKI研究團隊,積極推動RPKI系列標準制定,相繼發布了《RPKI測試環境搭建技術白皮書》以及《BGPsec測試環境搭建技術白皮書》。2015年11月,CNNIC與APNIC合作推出我國首例RPKI Pilot平臺,為RPKI關鍵技術研究和應用部署打下堅實基礎。
據了解,國內互聯網服務商和企業獲得RPKI服務,可以通過加入IP地址分配聯盟,成為CNNIC子節點,由CNNIC分配碼號資源并簽發資源證書,為其互聯網碼號資源保駕護航。RPKI試運營服務的啟動,標志著我國在互聯網基礎資源安全技術應用方面再次走在世界前列,為網絡服務安全穩定運行提供了堅實保障。