中國技術方案助力全球網路根基安全國際標準制定始末
雖然我國在網際網路、雲端計算、大資料這些高科技應用領域的影響力和話語權越來越重,但由於歷史的原因以及在技術上的積累不足,我國在網際網路基礎設施建設和相關國際標準的制訂上方面還長期處於“跟隨”狀態。
事實上,強調自主創新,研發核心技術,就必須改變在網路和資訊化領域國際標準參與和制定方面缺少話語權和技術貢獻的被動局面。
而由網際網路域名系統北京市工程研究中心(ZDNS,簡稱域名工程中心)首席研究員馬迪博士領銜起草的網際網路國際標準IETF RFC 8416就是一個很好的例子。
網路攻擊防不勝防,底層漏洞亟待打補丁
現在談起“偽基站”,相信很多人不陌生。
在電信網路詐騙中,不法分子之所以可以利用“偽基站”冒用銀行名義給被騙使用者傳送簡訊,究其根源在於,“偽基站”相當於對特定區域內的簡訊傳送實現了“通訊劫持”,並可以任何人的名義給該區域內的手機使用者傳送簡訊。
事實上,在網際網路類似的“網路劫持”也非常多,有一種“網路劫持”與“偽基站”原理非常相仿,比如不法分子在美國把它的IP地址對外“廣播”為阿里巴巴的IP地址時,就會將其路由影響範圍內的訪問阿里巴巴的訪問量“劫持”到自己的伺服器上。
當然,不法分子還可以利用該“漏洞”實現對特定網站、伺服器的網路攻擊。
IETF RFC 8416便是在這樣的背景下醞釀產生的。
網際網路發展史,安全問題仍然是致命的軟肋
即便技術強大如谷歌(Google),也難以防止網路劫持事件的發生。
2017年8月25日,Google就由於錯誤的配置劫持了日本運營商NTT的流量,導致日本國內使用者無法正常的訪問網銀、政府、票務等網站,一度引起社會的恐慌,雖然Google已經公開認錯,但卻無法完全消除所造成的影響。
無獨有偶,2018年4月24日,國際電商和雲服務巨頭亞馬遜的權威域名伺服器也遭遇了BGP路由劫持攻擊。
事實上,此類網路劫持事件頻發是源自於一個27年前就制訂的網際網路標準—邊界閘道器標準(BGP)。有人說搞定這個標準就能夠搞定整個網際網路,它可以說是網際網路的致命軟肋。
這個標準又被戲稱為“三張紙巾標準”,由兩名工程師在被番茄醬弄髒的餐巾紙背面擬定的標準,在27年後的今天仍然引導著全球網路的長距離通訊流量,哪怕有已知的缺陷。
有鑑於此,關於怎麼優化“三張紙巾標準”就成了擺在桌面上的問題。2006年,網際網路國際標準制定組織IETF成立了域間路由安全工作組,旨在完成RPKI(網際網路碼號資源公鑰基礎設施)以及BGPsec(基於RPKI的BGP安全升級標準)的標準化工作,用以抵禦BGP劫持。
標準制定遇阻,中國專家建議讓問題迎難而解
一次偶然的技術交流,讓域名工程中心馬迪博士有機會走進制約BGP安全性標準化的困局之中。
2015年,RPKI本地化控制技術的國際標準LTAM(RPKI本地信任錨點管理機制)因為過於複雜,其制定工作在IETF難以推動。同年3月,在IETF達拉斯(美國)會議期間,馬迪與RPKI發明人Stephen Kent博士在交流後決定,在制定RPKI本地化控制技術之前,合作研究RPKI供給側的安全威脅模型,並基於該模型著手推動一種LTAM的替代方案SLURM(簡化的RPKI本地化控制機制)。
2016年7月, IETF柏林(德國)會議期間,IETF決議由馬迪博士領銜,聯合來自美國網路安全專家 David Mandelberg以及荷蘭的RPKI專家Tim Bruijnzeels成立起草組,推動SLURM的標準化工作。
2017年9月,IETF釋出的網際網路國際標準BGPsec(RFC 8205)釋出,其本地化控制相關章節,推薦使用尚在標準化程序中的SLURM。
2017年,由馬迪博士參與起草的RPKI供給側資料安全威脅模型獲得IETF認可,釋出為IETF RFC 8211。
2018年8月7日,由馬迪博士作為第一作者的RPKI本地化控制機制(RFC 8416)被IETF作為技術標準正式釋出。
什麼是IETF RFC 8416?
馬迪博士在採訪中表示,IETF RFC 8416簡單來說就是一種可以網路執行者自主可控地使用RPKI的來實施路由認證赴方法,避免全球RPKI的錯誤資料干預到本地網路的執行。根據網路規模和範圍的不同,IETF RFC 8416可以面向企業網路邊界、運營商網路邊界乃至主權國家網路管理邊界,構建自主可控的路由認證方法。
事實上,2018年4月,亞馬遜在遭遇BGP路由劫持攻擊之後,兩個月後,就馬不停蹄的部署了RPKI。
中國方案成國際標準順利釋出“加速器”
針對IP地址歸屬認證或身份認證問題,很早就引起了網際網路國際標準制定組織IETF(網際網路任務工程組)的關注,包括TCP/IP協議等在內的諸多網際網路基礎通訊協議都是由IETF制定的國際標準,才實現了全球網際網路的互聯互通。
2012年,IETF陸續釋出了14個關於RPKI(資源公共金鑰基礎架構)基礎標準的RFC (RFC6480~RFC6493),所謂RPKI是一個專用的PKI框架,它使用X.509證書擴充套件來傳輸IP路由來源資訊。
不過,直到由馬迪博士作為第一作者的IETF RFC 8416作為國際標準於2018年8月7日正式釋出後, RPKI自身的安全保障問題在部署應用層面才有了可操作的方法。IETF RFC 8416釋出後,IETF 負責制定RPKI和BGP安全協議的工作組(域間路由安全工作組)畫上了圓滿了句號,於2018年9月6日正式關閉。RPKI今後執行維護相關的技術標準,由另一個新成立不久的IETF工作組負責制定。
RFC 8416的深遠影響:未成標準已被實際應用
早在RFC 8416正式釋出前,其所包含的技術理念和方案SLURM已經開始得到廣泛的響應和使用,比如,BGP安全核心標準 BGPsec(RFC 8205)推薦使用當時尚在討論中的SLURM。歐洲網際網路資訊中心研發的RPKI驗證軟體支援SLURM功能,而哥倫比亞運營商 Renata 甚至已經宣佈使用SLURM實現自主可控路由。
值得一提的是,該技術標準的落地和實施,不僅對於解決國外本地的”網路劫持“意義重大,而且對於國內網際網路巨頭”出海“避免遭遇”網路劫持“也有重要的價值。
域名工程中心主任毛偉認為,當前RPKI正在全球開展部署,這是一次觸及網際網路“互聯互通根基”的安全升級,將對網路安全保障工作和網際網路治理工作產生重大影響。中國專家起草的標準被接納為核心標準,將有助於推動我國網際網路社群對全球網際網路治理工作的深度參與。
對於此標準的釋出,網際網路全球名人堂入選者、中國網際網路的先驅 胡啟恆院士給予高度評價,她說,“這讓我看到了中國年輕一代技術人員的活力和實力。我真心要為他們加油、為他們點贊。”