|
2004年12月 土耳其电信集团劫持互联网事件 2008年2月 巴基斯坦劫持YouTube事件 2014年2月 加拿大ISP 劫持比特币流量事件 2015年1月 美国ISP劫持日本地址前缀事件 2015年11月 …… 近年来发生的这些典型的路由劫持事件可能导致路由黑洞、流量窃听以及大规模拒绝服务攻击等一系列严重后果,极大影响了互联网的正常运行。 保障网络路由安全任重而道远。6月13日,在云南昆明召开的2017中国IP地址分配联盟高峰会议上,中国互联网络信息中心(CNNIC)面向IP地址分配联盟会员启动码号资源公钥基础设施(Resource Public Key Infrastructure,简称RPKI)试运营服务,希望从根本上解决路由劫持问题,保障网络路由安全。
APNIC高级科学家George Michaelson表示,目前,互联网各个自治系统(AS)之间的路由选择协议采用的是边界网关协议(BGP)。而BGP协议存在严重的安全缺陷:BGP路由器默认接受网络中发起的任何路由通告。这一安全缺陷就容易导致路由劫持,对互联网安全造成严重威胁。RPKI服务可以实现对IP地址、AS号码使用授权认证,有助于从根本上解决路由劫持等网络安全问题。该服务遵循互联网国际技术标准组织IETF制定的RPKI技术协议,是继域名系统安全扩展(DNSSEC)之后,互联网名称和数字地址分配机构(ICANN)在全球范围内重点推广和部署的互联网基础资源安全服务。 目前,IETF已经完成了对RPKI核心技术的标准化工作,RPKI在全球范围的部署工作也在陆续展开。APNIC注册服务部经理潘广亮介绍: 2012 10.25 APNIC对其RPKI系统进行调整,发布了五个新的“信任锚点”证书,成为全球第一个开始RPKI架构迁移的RIR。此后,包括APNIC在内的全球五大RIR均对其会员开放了互联网资源认证业务。 2013 9 月 南美洲厄瓜多尔成功部署了RPKI源路由认证系统。 2014 年 底 JPNIC面向日本国内的运营商开放实验性的公共RP服务。BBN、思科、瞻博网络等众多国际互联网企业也开始探索和研究RPKI技术带来的新机遇。 据CNNIC国际部负责人孔宁博士介绍,CNNIC作为中国的国家互联网IP地址注册机构(NIR),积极与APNIC完成RPKI上下游部署对接,成为全球RPKI服务体系的一部分,为国内互联网服务商和企业提供RPKI服务。 2014年初,CNNIC牵头成立了互联网域名管理技术国家工程实验室,并组建RPKI研究团队,atv,积极推动RPKI系列标准制定,相继发布了《RPKI测试环境搭建技术白皮书》以及《BGPsec测试环境搭建技术白皮书》。
2015年11月,atv直播,CNNIC与APNIC合作推出我国首例RPKI Pilot平台,为RPKI关键技术研究和应用部署打下坚实基础。
据了解,国内互联网服务商和企业获得RPKI服务,可以通过加入IP地址分配联盟,成为CNNIC子节点,由CNNIC分配码号资源并签发资源证书,为其互联网码号资源保驾护航。RPKI试运营服务的启动,标志着我国在互联网基础资源安全技术应用方面再次走在世界前列,为网络服务安全稳定运行提供了坚实保障。
|
