虽然我国在互联网、云计算、大数据这些高科技应用领域的影响力和话语权越来越重,但由于历史的原因以及在技术上的积累不足,我国在互联网基础设施建设和相关国际标准的制订上方面还长期处于“跟随”状态。
事实上,强调自主创新,研发核心技术,就必须改变在网络和信息化领域国际标准参与和制定方面缺少话语权和技术贡献的被动局面。
而由互联网域名系统北京市工程研究中心(ZDNS,简称域名工程中心)首席研究员马迪博士领衔起草的互联网国际标准IETFRFC8416就是一个很好的例子。
网络攻击防不胜防,底层漏洞亟待打补丁
现在谈起“伪基站”,相信很多人不陌生。
在电信网络诈骗中,不法分子之所以可以利用“伪基站”冒用银行名义给被骗用户发送短信,究其根源在于,“伪基站”相当于对特定区域内的短信发送实现了“通信劫持”,并可以任何人的名义给该区域内的手机用户发送短信。
事实上,在互联网类似的“网络劫持”也非常多,有一种“网络劫持”与“伪基站”原理非常相仿,比如不法分子在美国把它的IP地址对外“广播”为阿里巴巴的IP地址时,就会将其路由影响范围内的访问阿里巴巴的访问量“劫持”到自己的服务器上。
当然,不法分子还可以利用该“漏洞”实现对特定网站、服务器的网络攻击。
IETFRFC8416便是在这样的背景下酝酿产生的。
互联网发展史,安全问题仍然是致命的软肋
即便技术强大如谷歌(Google),也难以防止网络劫持事件的发生。
2017年8月25日,Google就由于错误的配置劫持了日本运营商NTT的流量,导致日本国内用户无法正常的访问网银、政府、票务等网站,一度引起社会的恐慌,虽然Google已经公开认错,但却无法完全消除所造成的影响。
无独有偶,2018年4月24日,国际电商和云服务巨头亚马逊的权威域名服务器也遭遇了BGP路由劫持攻击。
事实上,此类网络劫持事件频发是源自于一个27年前就制订的互联网标准—边界网关标准(BGP)。有人说搞定这个标准就能够搞定整个互联网,它可以说是互联网的致命软肋。
这个标准又被戏称为“三张纸巾标准”,由两名工程师在被番茄酱弄脏的餐巾纸背面拟定的标准,在27年后的今天仍然引导着全球网络的长距离通信流量,哪怕有已知的缺陷。
有鉴于此,关于怎么优化“三张纸巾标准”就成了摆在桌面上的问题。2006年,互联网国际标准制定组织IETF成立了域间路由安全工作组,旨在完成RPKI(互联网码号资源公钥基础设施)以及BGPsec(基于RPKI的BGP安全升级标准)的标准化工作,用以抵御BGP劫持。
标准制定遇阻,中国专家建议让问题迎难而解
一次偶然的技术交流,让域名工程中心马迪博士有机会走进制约BGP安全性标准化的困局之中。
2015年,RPKI本地化控制技术的国际标准LTAM(RPKI本地信任锚点管理机制)因为过于复杂,其制定工作在IETF难以推动。同年3月,在IETF达拉斯(美国)会议期间,马迪与RPKI发明人StephenKent博士在交流后决定,在制定RPKI本地化控制技术之前,合作研究RPKI供给侧的安全威胁模型,并基于该模型着手推动一种LTAM的替代方案SLURM(简化的RPKI本地化控制机制)。
2016年7月,IETF柏林(德国)会议期间,IETF决议由马迪博士领衔,联合来自美国网络安全专家DavidMandelberg以及荷兰的RPKI专家TimBruijnzeels成立起草组,推动SLURM的标准化工作。
2017年9月,IETF发布的互联网国际标准BGPsec(RFC8205)发布,其本地化控制相关章节,推荐使用尚在标准化进程中的SLURM。
2017年,由马迪博士参与起草的RPKI供给侧数据安全威胁模型获得IETF认可,发布为IETFRFC8211。
2018年8月7日,由马迪博士作为第一作者的RPKI本地化控制机制(RFC8416)被IETF作为技术标准正式发布。
什么是IETFRFC8416?
马迪博士在采访中表示,IETFRFC8416简单来说就是一种可以网络运行者自主可控地使用RPKI的来实施路由认证赴方法,避免全球RPKI的错误数据干预到本地网络的运行。根据网络规模和范围的不同,IETFRFC8416可以面向企业网络边界、运营商网络边界乃至主权国家网络管理边界,构建自主可控的路由认证方法。
事实上,2018年4月,亚马逊在遭遇BGP路由劫持攻击之后,两个月后,就马不停蹄的部署了RPKI。
中国方案成国际标准顺利发布“加速器”
针对IP地址归属认证或身份认证问题,很早就引起了互联网国际标准制定组织IETF(互联网任务工程组)的关注,包括TCP/IP协议等在内的诸多互联网基础通讯协议都是由IETF制定的国际标准,才实现了全球互联网的互联互通。
2012年,IETF陆续发布了14个关于RPKI(资源公共密钥基础架构)基础标准的RFC(RFC6480~RFC6493),所谓RPKI是一个专用的PKI框架,它使用X.509证书扩展来传输IP路由来源信息。
不过,直到由马迪博士作为第一作者的IETFRFC8416作为国际标准于2018年8月7日正式发布后,RPKI自身的安全保障问题在部署应用层面才有了可操作的方法。IETFRFC8416发布后,IETF负责制定RPKI和BGP安全协议的工作组(域间路由安全工作组)画上了圆满了句号,于2018年9月6日正式关闭。RPKI今后运行维护相关的技术标准,由另一个新成立不久的IETF工作组负责制定。
RFC8416的深远影响:未成标准已被实际应用
早在RFC8416正式发布前,其所包含的技术理念和方案SLURM已经开始得到广泛的响应和使用,比如,BGP安全核心标准BGPsec(RFC8205)推荐使用当时尚在讨论中的SLURM。欧洲互联网信息中心研发的RPKI验证软件支持SLURM功能,而哥伦比亚运营商Renata甚至已经宣布使用SLURM实现自主可控路由。
值得一提的是,该技术标准的落地和实施,不仅对于解决国外本地的”网络劫持“意义重大,而且对于国内互联网巨头”出海“避免遭遇”网络劫持“也有重要的价值。
域名工程中心主任毛伟认为,当前RPKI正在全球开展部署,这是一次触及互联网“互联互通根基”的安全升级,将对网络安全保障工作和互联网治理工作产生重大影响。中国专家起草的标准被接纳为核心标准,将有助于推动我国互联网社群对全球互联网治理工作的深度参与。
对于此标准的发布,互联网全球名人堂入选者、中国互联网的先驱胡启恒院士给予高度评价,她说,“这让我看到了中国年轻一代技术人员的活力和实力。我真心要为他们加油、为他们点赞。“
