"面对屡见不鲜的互联网路由劫持事件,部署应用 RPKI是保障路由安全的基础。"互联网域名系统国家工程研究中心(ZDNS)主任毛伟表示:"当前全球范围内开展的 RPKI部署应用,是一次触及互联网‘互联互通根基’的安全升级行动,是互联网由‘可用’向‘可信’演进的新阶段。在这个推进过程中,中国不应该缺位。"

2020年 4月 1日 19点 27分(UTC时间)至 19点 33分,美国思科公司旗下的互联网路由监测网站 bgpstream.com连续监测到,俄罗斯电信运营商 Rostelecom大量向互联网广播不属于自己的 IP地址空间。数分钟内,波及超过 200家的互联网服务提供商,众多的美国知名公司在列,包括 Google(谷歌)、Amazon(亚马逊)、Facebook(脸书)、Akamai(知名 CDN厂商)、Cloudflare(知名 CDN厂商)、GoDaddy(全球最大的域名注册商)等。

尽管互联网路由劫持事件屡见不鲜,但由于这次事件影响范围大且波及了众多知名互联网内容服务提供商,在国际互联网社群造成很大的影响。国际 IT圈知名网站 ZDnet在 4月 5日对此进行了报道分析。

值得注意的是,俄罗斯电信运营商 Rostelecom已经不是第一次卷入路由劫持事件。2017年 4月 26日,Rostelecom就被监测到劫持过一些列金融机构的路由,包括 visa、汇丰银行、MasterCard等。

路由劫持危害巨大

作为支撑互联网"互联互通"内涵的关键协议之一 BGP,同很多互联网基础通信协议(DNS、IP等)一样,在设计之初并没有考虑消息真实性的问题。也即,互联网上的路由器在使用 BGP彼此交换路由信息的过程中,每个路由器都很难辨别消息内容的真伪。不仅如此,这种 BGP消息是广播式的。路由器接收到消息会继续转发出去。这次俄罗斯电信运营商 Rostelecom向外通告的错 BGP消息,很快被其上游供应商在互联网上重新传播,在短时间使得这种"错误"波及大范围的网络。

作为互联网安全缺陷的"顽疾",路由劫持会导致非常严重的后果,例如大面积断网。2017年 8月 25日,由于配置错误,Google的网络发生路由泄露,劫持了日本运营商 NTT的路由,导致日本大范围断网约 1小时。

路由劫持还可以被用来对网络关键基础设施进行攻击。2018年 4月 24日,亚马逊云遭遇路由劫持。攻击者通过伪造路由,将数字货币用户的 DNS请求劫持到一个伪造的 DNS权威服务器,并返回虚假的数字货币网站的 IP地址,从而盗取用户的登陆信息(用户名和密码)。该劫持波及了澳洲、美国等地区。

部署应用 RPKI是保障路由安全的基础

为尽可能减少路由劫持的风险,自 2000年以来,学术界和工业界提出了很多解决方案。目前为国际互联网社群及工业界所认可的对策,是一种基于 RPKI(互联网码号资源公钥基础设施)的 BGP安全扩展方案。RPKI的基本思想是在互联网码号资源分配的供给侧,基于应用密码学的签名机制,来发布可验证 IP地址资源分配信息和授权使用信息。目前,全球五大地址注册机构(例如亚太互联网信息中心 APNIC、欧洲互联网信息中心 RIPE NCC等)均已经提供基于 RPKI的 IP地址授权认证服务;众多的骨干网运营商(例如美国 AT&T、日本 NTT)、国家级互联网交换中心(例如德国 DECIX、法国 France-IX以及加拿大 YYCIX)、大型云服务公司(例如美国 Cloudflare)也开始启动试点,使用 RPKI过滤非法路由通告。

我国应尽快储备 RPKI技术并参与相关的治理工作

RPKI是一个互联网码号资源分配关系延伸出的全球信任体系,将对互联网基础资源管理和"互联互通"控制机制产生重大影响。RPKI的部署还催生出"IP根"服务器的概念,也即 RPKI这个认证体系的信任起点,成为互联网治理的关键要素。互联网域名系统国家工程研究中心(ZDNS)主任毛伟表示,在这个推进过程中,中国不应该缺位。为推广 RPKI,我国相关单位可依托其职能定位,发挥积极作用。例如,网络运营商可升级其 IP地址管理系统以支持 RPKI,启动基于 RPKI的路由认证试点;互联网服务提供商可使用 RPKI技术,来保护其关键服务地址空间。

RPKI虽然被全球互联网社群认可,成为增强互联网路由系统的安全基础设施,但其自身的安全运行机制也需要提前做好技术储备。互联网域名系统国家工程研究中心首席研究员、亚太互联网信息中心(APNIC)路由安全 SIG联合创始人及 co-chair马迪认为:RPKI的出现将"刚性的 BGP协议风险"逐步迁移到"弹性的 RPKI运行风险"。涵盖"RPKI供给侧数据监测"及"RPKI需求侧本地化控制"在内的 RPKI安全保障机制,是 RPKI范畴新的顶层设计话题,是我国互联网社群积极参与并贡献思路的好机遇。

ZDNS的 RPKI研究工作

互联网域名系统国家工程研究中心(ZDNS)作为国内领先的互联网基础服务提供商,非常重视 RPKI作为互联网基础设施安全保障体系的价值。从 2015年开始,ZDNS对 RPKI的相关技术开展研究,RPKI的发明人 Stephen Kent博士(互联网名人堂入选者)担任研究顾问。ZDNS的技术专家牵头起草了 IETF RFC8211(RPKI供给侧数据安全威胁模型)和 IETF RFC8416(基于 RPKI的互联网码号资源本地化管理)。

互联网域名系统国家工程研究中心(ZDNS)也是通信行业系列标准"RPKI安全运行技术要求"牵头起草单位,参与单位包括 CNCERT、中国电信、中国联通、中科院信工所、中兴通讯等。此外,ZDNS还是目前 RPKI验证系统国际开源项目 RPSTIR的牵头维护单位。