當前位置 主頁 > 行業資訊 >

                    域名工程中心馬迪:中國技術方案助力全球網絡根基安全國際標準制

                    欄目:行業資訊 時間:2018-09-19 13:12

                      雖然我國在互聯網、云計算、大數據這些高科技應用領域的影響力和話語權越來越重,但由于歷史的原因以及在技術上的積累不足,我國在互聯網基礎設施建設和相關國際標準的制訂上方面還長期處于“跟隨”狀態。
                     
                      事實上,強調自主創新,研發核心技術,就必須改變在網絡和信息化領域國際標準參與和制定方面缺少話語權和技術貢獻的被動局面。
                     
                      而由互聯網域名系統北京市工程研究中心(ZDNS,簡稱域名工程中心)首席研究員馬迪博士領銜起草的互聯網國際標準IETFRFC8416就是一個很好的例子。
                     
                      網絡攻擊防不勝防,底層漏洞亟待打補丁
                     
                      現在談起“偽基站”,相信很多人不陌生。
                     
                      在電信網絡詐騙中,不法分子之所以可以利用“偽基站”冒用銀行名義給被騙用戶發送短信,究其根源在于,“偽基站”相當于對特定區域內的短信發送實現了“通信劫持”,并可以任何人的名義給該區域內的手機用戶發送短信。
                     
                      事實上,在互聯網類似的“網絡劫持”也非常多,有一種“網絡劫持”與“偽基站”原理非常相仿,比如不法分子在美國把它的IP地址對外“廣播”為阿里巴巴的IP地址時,就會將其路由影響范圍內的訪問阿里巴巴的訪問量“劫持”到自己的服務器上。
                     
                      當然,不法分子還可以利用該“漏洞”實現對特定網站、服務器的網絡攻擊。
                     
                      IETFRFC8416便是在這樣的背景下醞釀產生的。
                     
                      互聯網發展史,安全問題仍然是致命的軟肋
                     
                      即便技術強大如谷歌(Google),也難以防止網絡劫持事件的發生。
                     
                      2017年8月25日,Google就由于錯誤的配置劫持了日本運營商NTT的流量,導致日本國內用戶無法正常的訪問網銀、政府、票務等網站,一度引起社會的恐慌,雖然Google已經公開認錯,但卻無法完全消除所造成的影響。
                     
                      無獨有偶,2018年4月24日,國際電商和云服務巨頭亞馬遜的權威域名服務器也遭遇了BGP路由劫持攻擊。
                     
                      事實上,此類網絡劫持事件頻發是源自于一個27年前就制訂的互聯網標準—邊界網關標準(BGP)。有人說搞定這個標準就能夠搞定整個互聯網,它可以說是互聯網的致命軟肋。
                     
                      這個標準又被戲稱為“三張紙巾標準”,由兩名工程師在被番茄醬弄臟的餐巾紙背面擬定的標準,在27年后的今天仍然引導著全球網絡的長距離通信流量,哪怕有已知的缺陷。
                     
                      有鑒于此,關于怎么優化“三張紙巾標準”就成了擺在桌面上的問題。2006年,互聯網國際標準制定組織IETF成立了域間路由安全工作組,旨在完成RPKI(互聯網碼號資源公鑰基礎設施)以及BGPsec(基于RPKI的BGP安全升級標準)的標準化工作,用以抵御BGP劫持。
                     
                      標準制定遇阻,中國專家建議讓問題迎難而解
                     
                      一次偶然的技術交流,讓域名工程中心馬迪博士有機會走進制約BGP安全性標準化的困局之中。
                     
                      2015年,RPKI本地化控制技術的國際標準LTAM(RPKI本地信任錨點管理機制)因為過于復雜,其制定工作在IETF難以推動。同年3月,在IETF達拉斯(美國)會議期間,馬迪與RPKI發明人StephenKent博士在交流后決定,在制定RPKI本地化控制技術之前,合作研究RPKI供給側的安全威脅模型,并基于該模型著手推動一種LTAM的替代方案SLURM(簡化的RPKI本地化控制機制)。
                     
                      2016年7月,IETF柏林(德國)會議期間,IETF決議由馬迪博士領銜,聯合來自美國網絡安全專家DavidMandelberg以及荷蘭的RPKI專家TimBruijnzeels成立起草組,推動SLURM的標準化工作。
                     
                      2017年9月,IETF發布的互聯網國際標準BGPsec(RFC8205)發布,其本地化控制相關章節,推薦使用尚在標準化進程中的SLURM。
                     
                      2017年,由馬迪博士參與起草的RPKI供給側數據安全威脅模型獲得IETF認可,發布為IETFRFC8211。
                     
                      2018年8月7日,由馬迪博士作為第一作者的RPKI本地化控制機制(RFC8416)被IETF作為技術標準正式發布。
                     
                      什么是IETFRFC8416?
                     
                      馬迪博士在采訪中表示,IETFRFC8416簡單來說就是一種可以網絡運行者自主可控地使用RPKI的來實施路由認證赴方法,避免全球RPKI的錯誤數據干預到本地網絡的運行。根據網絡規模和范圍的不同,IETFRFC8416可以面向企業網絡邊界、運營商網絡邊界乃至主權國家網絡管理邊界,構建自主可控的路由認證方法。
                     
                      事實上,2018年4月,亞馬遜在遭遇BGP路由劫持攻擊之后,兩個月后,就馬不停蹄的部署了RPKI。
                     
                      中國方案成國際標準順利發布“加速器”
                     
                      針對IP地址歸屬認證或身份認證問題,很早就引起了互聯網國際標準制定組織IETF(互聯網任務工程組)的關注,包括TCP/IP協議等在內的諸多互聯網基礎通訊協議都是由IETF制定的國際標準,才實現了全球互聯網的互聯互通。
                     
                      2012年,IETF陸續發布了14個關于RPKI(資源公共密鑰基礎架構)基礎標準的RFC(RFC6480~RFC6493),所謂RPKI是一個專用的PKI框架,它使用X.509證書擴展來傳輸IP路由來源信息。
                     
                      不過,直到由馬迪博士作為第一作者的IETFRFC8416作為國際標準于2018年8月7日正式發布后,RPKI自身的安全保障問題在部署應用層面才有了可操作的方法。IETFRFC8416發布后,IETF負責制定RPKI和BGP安全協議的工作組(域間路由安全工作組)畫上了圓滿了句號,于2018年9月6日正式關閉。RPKI今后運行維護相關的技術標準,由另一個新成立不久的IETF工作組負責制定。
                     
                      RFC8416的深遠影響:未成標準已被實際應用
                     
                      早在RFC8416正式發布前,其所包含的技術理念和方案SLURM已經開始得到廣泛的響應和使用,比如,BGP安全核心標準BGPsec(RFC8205)推薦使用當時尚在討論中的SLURM。歐洲互聯網信息中心研發的RPKI驗證軟件支持SLURM功能,而哥倫比亞運營商Renata甚至已經宣布使用SLURM實現自主可控路由。
                     
                      值得一提的是,該技術標準的落地和實施,不僅對于解決國外本地的”網絡劫持“意義重大,而且對于國內互聯網巨頭”出海“避免遭遇”網絡劫持“也有重要的價值。
                     
                      域名工程中心主任毛偉認為,當前RPKI正在全球開展部署,這是一次觸及互聯網“互聯互通根基”的安全升級,將對網絡安全保障工作和互聯網治理工作產生重大影響。中國專家起草的標準被接納為核心標準,將有助于推動我國互聯網社群對全球互聯網治理工作的深度參與。
                     
                      對于此標準的發布,互聯網全球名人堂入選者、中國互聯網的先驅胡啟恒院士給予高度評價,她說,“這讓我看到了中國年輕一代技術人員的活力和實力。我真心要為他們加油、為他們點贊。“
                     
                      [責編:趙艷艷]
                    原文地址:http://it.gmw.cn/2018-09/19/content_31254472.htm
                  縮小 縮小 縮小 縮小
                  快乐时时彩论坛