"面對屢見不鮮的網際網路路由劫持事件,部署應用 RPKI是保障路由安全的基礎。"網際網路域名系統國家工程研究中心(ZDNS)主任毛偉表示:"當前全球範圍內開展的 RPKI部署應用,是一次觸及網際網路‘互聯互通根基’的安全升級行動,是網際網路由‘可用’向‘可信’演進的新階段。在這個推進過程中,中國不應該缺位。"

2020年 4月 1日 19點 27分(UTC時間)至 19點 33分,美國思科公司旗下的網際網路路由監測網站 bgpstream.com連續監測到,俄羅斯電信運營商 Rostelecom大量向網際網路廣播不屬於自己的 IP地址空間。數分鐘內,波及超過 200家的網際網路服務提供商,眾多的美國知名公司在列,包括 Google(谷歌)、Amazon(亞馬遜)、Facebook(臉書)、Akamai(知名 CDN廠商)、Cloudflare(知名 CDN廠商)、GoDaddy(全球最大的域名註冊商)等。

儘管網際網路路由劫持事件屢見不鮮,但由於這次事件影響範圍大且波及了眾多知名網際網路內容服務提供商,在國際網際網路社群造成很大的影響。國際 IT圈知名網站 ZDnet在 4月 5日對此進行了報道分析。

值得注意的是,俄羅斯電信運營商 Rostelecom已經不是第一次捲入路由劫持事件。2017年 4月 26日,Rostelecom就被監測到劫持過一些列金融機構的路由,包括 visa、匯豐銀行、MasterCard等。

路由劫持危害巨大

作為支撐網際網路"互聯互通"內涵的關鍵協議之一 BGP,同很多網際網路基礎通信協議(DNS、IP等)一樣,在設計之初並沒有考慮消息真實性的問題。也即,網際網路上的路由器在使用 BGP彼此交換路由資訊的過程中,每個路由器都很難辨別消息內容的真偽。不僅如此,這種 BGP消息是廣播式的。路由器接收到消息會繼續轉發出去。這次俄羅斯電信運營商 Rostelecom向外通告的錯 BGP消息,很快被其上游供應商在網際網路上重新傳播,在短時間使得這種"錯誤"波及大範圍的網路。

作為網際網路安全缺陷的"頑疾",路由劫持會導致非常嚴重的後果,例如大面積斷網。2017年 8月 25日,由於配置錯誤,Google的網路發生路由洩露,劫持了日本運營商 NTT的路由,導致日本大範圍斷網約 1小時。

路由劫持還可以被用來對網路關鍵基礎設施進行攻擊。2018年 4月 24日,亞馬遜雲遭遇路由劫持。攻擊者通過偽造路由,將數字貨幣用戶的 DNS請求劫持到一個偽造的 DNS權威伺服器,並返回虛假的數字貨幣網站的 IP地址,從而盜取用戶的登陸資訊(用戶名和密碼)。該劫持波及了澳洲、美國等地區。

部署應用 RPKI是保障路由安全的基礎

為盡可能減少路由劫持的風險,自 2000年以來,學術界和工業界提出了很多解決方案。目前為國際網際網路社群及工業界所認可的對策,是一種基於 RPKI(網際網路碼號資源公鑰基礎設施)的 BGP安全擴展方案。RPKI的基本思想是在網際網路碼號資源分配的供給側,基於應用密碼學的簽名機制,來發佈可驗證 IP地址資源分配資訊和授權使用資訊。目前,全球五大地址註冊機構(例如亞太網際網路資訊中心 APNIC、歐洲網際網路資訊中心 RIPE NCC等)均已經提供基於 RPKI的 IP地址授權認證服務;眾多的骨幹網運營商(例如美國 AT&T、日本 NTT)、國家級網際網路交換中心(例如德國 DECIX、法國 France-IX以及加拿大 YYCIX)、大型雲服務公司(例如美國 Cloudflare)也開始啟動試點,使用 RPKI過濾非法路由通告。

我國應儘快儲備 RPKI技術並參與相關的治理工作

RPKI是一個網際網路碼號資源分配關係延伸出的全球信任體系,將對網際網路基礎資源管理和"互聯互通"控制機制産生重大影響。RPKI的部署還催生出"IP根"伺服器的概念,也即 RPKI這個認證體系的信任起點,成為網際網路治理的關鍵要素。網際網路域名系統國家工程研究中心(ZDNS)主任毛偉表示,在這個推進過程中,中國不應該缺位。為推廣 RPKI,我國相關單位可依託其職能定位,發揮積極作用。例如,網路運營商可升級其 IP地址管理系統以支援 RPKI,啟動基於 RPKI的路由認證試點;網際網路服務提供商可使用 RPKI技術,來保護其關鍵服務地址空間。

RPKI雖然被全球網際網路社群認可,成為增強網際網路路由系統的安全基礎設施,但其自身的安全運作機制也需要提前做好技術儲備。網際網路域名系統國家工程研究中心首席研究員、亞太網際網路資訊中心(APNIC)路由安全 SIG聯合創始人及 co-chair馬迪認為:RPKI的出現將"剛性的 BGP協議風險"逐步遷移到"彈性的 RPKI運作風險"。涵蓋"RPKI供給側數據監測"及"RPKI需求側本地化控制"在內的 RPKI安全保障機制,是 RPKI範疇新的頂層設計話題,是我國網際網路社群積極參與並貢獻思路的好機遇。

ZDNS的 RPKI研究工作

網際網路域名系統國家工程研究中心(ZDNS)作為國內領先的網際網路基礎服務提供商,非常重視 RPKI作為網際網路基礎設施安全保障體系的價值。從 2015年開始,ZDNS對 RPKI的相關技術開展研究,RPKI的發明人 Stephen Kent博士(網際網路名人堂入選者)擔任研究顧問。ZDNS的技術專家牽頭起草了 IETF RFC8211(RPKI供給側數據安全威脅模型)和 IETF RFC8416(基於 RPKI的網際網路碼號資源本地化管理)。

網際網路域名系統國家工程研究中心(ZDNS)也是通信行業系列標準"RPKI安全運作技術要求"牽頭起草單位,參與單位包括 CNCERT、中國電信、中國聯通、中科院信工所、中興通訊等。此外,ZDNS還是目前 RPKI驗證系統國際開源項目 RPSTIR的牽頭維護單位。