2025年6月26日,以「網路根基 中國貢獻」為主題的第四屆下一代dns發展論壇在京舉行。本屆論壇,由中國互聯網協會、中國通信標準化協會指導,互聯網域名系統國家地方聯合工程研究中心(zdns)與互聯網域名管理技術國家工程實驗室聯合主辦。主論壇上,馮登國教授圍繞《rpki:認識與思考》作主題報告。
rpki:確保路由通告真實可驗證,防止路由劫持
馮登國首先介紹了rpki的目的和工作原理。rpki主要使用x.509證書完成對互聯網號碼(或碼號)資源(internet number resource,inr)的所有權和使用權的認證,主要用於自治域號碼和ip地址的驗證。網路運營商通過rpki對bgp中的路由通告進行加密和簽名,保證路由通告可被驗證且是真實的,防止路由劫持等問題。
馮登國認為,rpki主要由兩部分組成,即路由起源授權(roa)與路由起源驗證(rov)。其中,roa是一個經過數字簽名的證書,授權特定網路宣布對某個互聯網地址空間(即ip地址範圍)的控制權;rov則是指bgp(border gateway protocol,邊界網關協議)路由器利用roa數據來過濾並識別無效的bgp通告的過程。rpki通過使用x.509證書的擴展項來傳輸ip路由起源信息,並依託iana、rir和nir/lir的組織架構,來分配ip地址和as號碼。
全球高度重視rpki研究工作,推進標準規範制定
談及rpki的現狀,馮登國介紹,數據顯示,超過50%流量已經傳輸到具有roa的路由上。我們國家也非常重視rpki研究應用及標準化工作。特別是2018年8月,我國主導起草的rfc 8416發布,規範了rpki本地化控制技術。後續,2020年11月,中國科技網部署啟動了基於rpki的路由信息控制認證系統;2024年10月,ietf立項《用於映射源授權(moa)的配置文件》標準提案;發布了yd/t 4572-2023《互聯網碼號資源公鑰基礎設施(rpki)—依賴方技術要求》等一系列相關標準規範。
馮登國介紹,去年9月3日,美國白宮國家網路主任辦公室(oncd)發布了一份增強互聯網路由安全的路線圖,旨在解決與邊界網關協議(bgp)相關的關鍵安全漏洞。這個路線圖建議,採用rpki系統作為提高互聯網路由安全性的解決方案,並重點介紹了18項行動,包括所有網路運營商應更新風險管理計劃、發布路由起源授權(roa)等;網路服務提供商應部署路由起源驗證(rov)、披露路由安全實踐等內容。
馮登國提到,根據白宮的路線圖,歐洲約70%的bgp路由已經發布了roa並且rov有效;美國比例僅為39%。
信任集中、技術進步及視角局限,構成rpki的三大挑戰
談及rpki面臨的問題和挑戰時,馮登國認為,第一個問題和挑戰是信任集中,使得rpki與dns系統/ssl證書存在同樣的風險,包括「斷根」、「停服」、「斷供」,俄烏衝突中俄羅斯的ssl證書停止服務即為前車之鑒。第二個問題和挑戰是量子計算和人工智慧。隨著量子計算技術的進步,現用公鑰密碼演算法面臨的威脅越來越大,另外,gpu、分散式算力、雲算力持續增長,人工智慧持續發展,使得算力可迅速調集用於破解目標證書。第三個問題和挑戰是全局視角與本地策略的協調。在本地化的場景中,可能存在聲明對某些資源的持有情況的需求,如在本地化場景中聲明對rfc1918規定的某些保留地址的使用權;互聯網自治域as思想對等,但rpki資源授權是中心化的;以及隨著互聯網的發展,自治域重要程度分化「良莠不齊」,然而rpki和路由機制沒有進行標識區分。
構建自主可控的rpki體系與安全的路由機制
馮登國建議,一是在as白名單和分類分級管理方面,針對rpki信任集中化問題,分散信任錨點,實現自治域as分類分級管理;針對rpki全局視角問題,進一步加強本地策略,建立可信任的bgp鄰居關係,減少因誤信惡意路由信息而導致的攻擊風險。
二是積極部署後量子密碼演算法等技術,針對量子計算和人工智慧的威脅,可採取多方面準備,包括積極部署後量子密碼演算法,部署對稱密鑰管理體系,以應對公鑰密碼演算法被破解的情況。針對可能的rpki根證書私鑰泄露,造成的單點失效情況,可採取門限密碼保護措施,將私鑰拆分成(n,t)的門限,由多個部件共同完成數字簽名;同時增強rpki和路由安全的彈性,增加密碼體系的容錯能力,包括多種密碼體制互為備份等措施。
馮登國強調,路由機制是通信關鍵信息基礎設施的重要組成部分,構建自主可控的rpki及路由機制意義重大。可考慮採用路由設備集成硬體安全模塊(hsm),實現對密鑰及密碼運算的保護,hsm為設備身份提供信任根錨點;在關鍵自治域,rpki證書及資源授權採用自主可控的密碼演算法;保持路由設備的軟硬體供應鏈可信;以硬體信任根為基礎,構建設備可信環境;構建路由設備網路空間地圖,實現網路狀況的實時應對「挂圖作戰」。同時,積極應對量子計算、人工智慧的挑戰,包括部署後量子密碼演算法、部署對稱密鑰管理體系等來應對這些挑戰,並對自治域as規劃分類分級管理,增強本地策略,以增強rpki彈性和路由安全的彈性,通過這些措施,來打造自主可控的rpki體系,構建安全的路由機制。(記者 李飛)
來源:光明網
