新闻中心

杏彩体育IP根:为合法IP地址颁发“身份证”

2024-07-09 04:25:23
浏览次数:
返回列表

  杏彩体育App官方下载杏彩体育App官方下载IP地址认证机制的缺席,导致重大安全漏洞的长期存在。与攻击域名根不同的是,IP地址涉及全球所有网民。解决这一问题,应该加快IP地址认证机制建设,为合法的IP地址颁发一张“身份证”。

  某互联网金融网站近日收到诸多加密货币被盗的投诉,该网站调查后发现,用户登录的并非其真正的网站,而是攻击者引导的虚假网站。

  虚假网站看上去与目标网站页面近乎一样,并据此骗取用户的信任,进而拿到用户的真实登录信息。这一现象背后的攻击手段就是路由劫持。

  路由劫持,是指网络攻击者冒用其他机构的地址,并对外广播,将该机构网站的网络流量劫持到自己的服务器上,危害用户网络安全。

  “IP地址认证机制的缺席,导致重大安全漏洞的长期存在。与攻击域名根不同的是,IP地址涉及全球所有网民。解决这一问题,应该加快IP地址认证机制建设,为合法的IP地址颁发一张身份证。”近日,在第十六届中国网络安全年会上,域名国家工程研究中心(ZDNS)主任毛伟发出呼吁。

  每一台联网计算机或服务器都被指派了一个独一无二的IP地址。一般家庭用户的宽带由中国联通、中国移动、中国电信等运营商提供,为了方便管理,普遍采用动态分配一段内网地址的方法。向用户提供IP地址,这样所有用户都可以随时分配到一个内网地址,共享出口带宽。

  而其中用户大量访问、需要用户记住杏彩体育、辨识度高的设备,则通过域名地址系统与其IP地址对应。也就是说当你的网友告诉你输入“124.17.1.105”就可以访问一个又酷又炫、科学知识超丰富的网址时,你往往记不住,但让你搜索“,又或者“中国科学院”时,恐怕更容易。

  中国科学院计算机网络信息中心研究员钱华林就曾表示,记住一个网站或邮箱的域名,远比记住一串以数字为特征的IP地址要容易得多。

  然而,风险如影随形。如果网络攻击者把用户经常访问的网站攻击了,那无数用户登录该网站输入的用户名、密码等信息都会被攻击者截获。

  全球范围内已经发生了多起路由器劫持事故。2014年2月,比特币矿池所在亚马逊云平台遭到路由劫持,矿工的矿机被陆续重定向到攻击者自己的矿池;在毫无察觉的情况下,攻击持续了3个月,矿工所得奖励约8.3万美元被攻击者占有。2017年8月,谷歌在日本发生路由泄露,导致日本大范围断网约1小时。2018年4月,亚马逊域名权威服务器遭到路由劫持,攻击者将数字货币用户的域名请求劫持到一个伪造的域名权威服务器,并返回虚假IP地址,从而盗取用户的用户名和密码。这一劫持事件波及澳洲、美国等地区。

  毛伟介绍,作为互联网通信基础的路由协议边界网关协议(BGP),一直以来存在着一个重大安全漏洞对IP地址缺乏认证机制。网络攻击者可以利用这一漏洞,对外冒充广播他人的IP地址,从而截获误入歧途的流量,造成路由器劫持事故。

  在这种背景下,互联网码号资源公钥基础设施(RPKI)作为公认的互联网地址安全认证体系解决方案,成为下一阶段网络空间安全和互联网治理的核心技术。简单来说,RPKI证书就像为IP地址颁发“身份证”,通过对IP地址进行第三方认证,来增强IP地址的安全性、可靠性。

  2010年1月,互联网体系结构委员会(IAB)发表声明称,RPKI是提升互联网路由安全水平的前提。

  近年来,RPKI相关的一系列国际技术标准已陆续由IETF发布,国际上相关的工作机制也开始运作。2017年,全球五大IP地址注册管理机构(RIRs)以及中国互联网络信息中心(CNNIC),开始在分配IP地址时,同时签发RPKI认证证书。

  “IP在使用时将通过RPKI验证机构进行证书验证。每一个负责IP地址验证的机构,就相当于一个根的管理机构,这就是IP根。”毛伟说。

  数据显示,被RPKI签名认证的IP地址呈现爆发式增长,全球IPv4地址空间的RPKI覆盖率目前已达到17%,包括美国AT&T、日本NTT、德国DECIX等在内的运营商,以及亚马逊、微软、Facebook等网络内容服务商,越来越依赖RPKI验证彼此间的通信。在我国,华为、中兴等设备制造商也开始在路由器上支持基于RPKI数据的路由起源验证。

  毛伟认为,IP根的重要性不亚于域名根的机制。随着IP根在全球范围内的普及应用,未来,IP根将有可能重塑国际互联网治理格局。

  对路由的认证,实际上是从使用层面对互联网的控制。早在2011年,美国联邦调查局(FBI)发现荷兰境内一涉嫌“DNS攻击”的IP地址,于是,FBI向注册在荷兰的欧洲互联网信息中心提出要求,希望强制撤销该IP地址。

  现实所证实的有效性,加速了RPKI的发展。2017年,RIRs发表联合声明,宣布部署“RPKI联合信任锚点”,而非采用互联网名称与数字地址分配机构(ICANN)单一入口方式进行IP地址认证。2018年,IAB发表声明,支持RIRs采用彼此同步IP地址认证信息。

  毛伟表示,随着美国、欧洲、亚太、拉丁美洲和加勒比地区、非洲五大地区IP根的分别演进,国际利益格局也将随之重新调整。“全球互联网的治理,很可能脱离集权式的树状结构,向分权式的森林体系演进,从而实现共享共治。”

  为了在我国应用RPKI,毛伟建议,相关机构可以依托其职能定位,发挥推动作用。例如,对于网络运营商,建议升级IP地址管理系统以支持RPKI,启动基于RPKI的路由认证试点;对于互联网服务提供商,建议使用RPKI技术来保护关键服务地址空间;对于网络设备制造商,建议路由器全面支持RPKI数据查询协议。

  这种强认证机制,虽然解决了路由安全认证问题,但也带来新的潜在风险:如果认证机构有意或无意出错怎么办?

  2017年,ZDNS与RPKI发明人联合起草了IETF RFC 8211,在技术上系统梳理了RPKI部署应用后治理架构改变带来的风险和挑战。2018年,ZDNS再次牵头起草了国际标准IETF RFC 8416,提出了本地验证机制的解决方案,从而可以避免全球RPKI的错误数据干预到本地网络的运行。

  此外,为了提升RPKI系统运维人员的工作效率和安全管理水平,ZDNS打造了RPKI数据监控分析平台,还牵头维护亚太地区唯一的RPKI验证软件国际开源项目RPSTIR,协助国内某运营商部署了中国首个RPKI数据验证及分发系统,推动该项核心技术在中国乃至亚太地区的推广。

  毛伟表示,包括运营商、互联网公司以及网络设备制造商在内的相关单位,应积极开展RPKI试验验证,储备RPKI安全保障技术杏彩体育,推动在互联网基础资源领域实现“互联互通、共享共治”,共同构建健康和谐的网络空间命运共同体。