CNNIC启动国内RPKI试运营服务 保障网络路由安全

来源:金华市开创网络科技有限公司发表时间:2017-08-20


2004年12月的土耳其电信集团劫持互联网事件、2008年2月的巴基斯坦劫持YouTube事件、2014年2月的加拿大ISP 劫持比特币流量事件、2015年1月的美国ISP劫持日本地址前缀事件、2015年11月的印度运营商Bharti Airtel路由劫持事件……近年来发生的这些典型的路由劫持事件可能导致路由黑洞、流量窃听以及大规模拒绝服务攻击等一系列严重后果,极大影响了互联网的正常运行。

保障网络路由安全任重而道远。6月13日,在云南昆明召开的2017中国IP地址分配联盟高峰会议上,中国互联网络信息中心(CNNIC)面向IP地址分配联盟会员启动码号资源公钥基础设施(Resource Public Key Infrastructure,简称RPKI)试运营服务,希望从根本上解决路由劫持问题,保障网络路由安全。

APNIC高级科学家George Michaelson表示,目前,互联网各个自治系统(AS)之间的路由选择协议采用的是边界网关协议(BGP)。而BGP协议存在严重的安全缺陷:BGP路由器默认接受网络中发起的任何路由通告。这一安全缺陷就容易导致路由劫持,对互联网安全造成严重威胁。RPKI服务可以实现对IP地址、AS号码使用授权认证,有助于从根本上解决路由劫持等网络安全问题。该服务遵循互联网国际技术标准组织IETF制定的RPKI技术协议,是继域名系统安全扩展(DNSSEC)之后,互联网名称和数字地址分配机构(ICANN)在全球范围内重点推广和部署的互联网基础资源安全服务。

目前,IETF已经完成了对RPKI核心技术的标准化工作,RPKI在全球范围的部署工作也在陆续展开。APNIC注册服务部经理潘广亮介绍,2012年10月25日,APNIC对其RPKI系统进行调整,发布了五个新的“信任锚点”证书,成为全球第一个开始RPKI架构迁移的RIR。此后,包括APNIC在内的全球五大RIR均对其会员开放了互联网资源认证业务。2013年9月,南美洲厄瓜多尔成功部署了RPKI源路由认证系统。2014年底,JPNIC面向日本国内的运营商开放实验性的公共RP服务。BBN、思科、瞻博网络等众多国际互联网企业也开始探索和研究RPKI技术带来的新机遇。

据CNNIC国际部负责人孔宁博士介绍,CNNIC作为中国的国家互联网IP地址注册机构(NIR),积极与APNIC完成RPKI上下游部署对接,成为全球RPKI服务体系的一部分,为国内互联网服务商和企业提供RPKI服务。2014年初,CNNIC牵头成立了互联网域名管理技术国家工程实验室,并组建RPKI研究团队,积极推动RPKI系列标准制定,相继发布了《RPKI测试环境搭建技术白皮书》以及《BGPsec测试环境搭建技术白皮书》。2015年11月,CNNIC与APNIC合作推出我国首例RPKI Pilot平台,为RPKI关键技术研究和应用部署打下坚实基础。

据了解,国内互联网服务商和企业获得RPKI服务,可以通过加入IP地址分配联盟,成为CNNIC子节点,由CNNIC分配码号资源并签发资源证书,为其互联网码号资源保驾护航。RPKI试运营服务的启动,标志着我国在互联网基础资源安全技术应用方面再次走在世界前列,为网络服务安全稳定运行提供了坚实保障。