第五章 互联网安全状况
一、 互联网基础资源安全状况
(一) 域名安全整体态势
DNS作为互联网关键基础资源,其安全问题受到广泛关注。DNS长期面临如分布式拒绝服务攻击(Distributed Denial of Service,DDoS )、缓存中毒、中间人攻击等形式的安全威胁,安全形势不容乐观。虽然在2018年内域名系统并未出现如DNS根域名服务器于2016年遭受大规模DDoS攻击等影响较大的规模性安全事件,但最新研究数据表明,2018年有77%的组织至少经历过一次基于DNS的网络攻击,23%的DNS网络攻击会对目标组织的声誉产生明显影响,安全形势依然严峻。
为应对DNS的安全威胁,IETF提出DNS安全扩展协议(DNSSEC),以有效应对域名劫持等网络攻击。DNSSEC自2010年起在全球开始部署,截至2018年底,CNNIC国家域名安全监测平台数据显示,根域名服务对DNSSEC协议的支持率为100%,顶级域名服务对DNSSEC协议的支持率为91.3%,但是二级及以下权威域名服务和递归域名服务对DNSSEC协议的支持率普遍较低,分别为0.03%及0.51%。密钥签名密钥(KSK )是DNSSEC的必要构成部分,实施KSK轮转是保障DNSSEC持续安全运行的关键环节。2018年2月,ICANN发布了根KSK轮转计划,10月15日,宣布首轮根区KSK轮转工作圆满完成,并启动了轮转流程的后续工作,宣告了首次根区密钥轮转工作落下帷幕。
除DNSSEC以外,业界使用多种手段推进域名系统安全加固。2018年召开的两次DNS运行分析与研究中心(Domain Name System Operations Analysis and Research Center,简称DNS OARC)会议中提出了多项加固DNS安全的提议,如对DNS over HTTPS(简称为DoH)和DNS over TLS(简称为DoT)等协议的应用,DNS服务器隐私保护、国际化域名(Internationalized Domain Names,简称IDNs)滥用监测以及加强DNSSEC验证效率等多方面改善域名安全的提案。可以预期,如何解决域名安全问题将成为业界长期关注的热点。DNSSEC、DoT、DoH等技术的推广及改进,以及新的域名安全技术的提出及应用将持续改善域名安全状况。
(二) IP地址与路由安全
自治系统(Autonomous System,简称AS)是组成全球互联网的基本单位,而边界网关协议(Border Gateway Protocol,简称BGP)是用于处理AS间路由寻址的协议。由于BGP在产生初期并未过多考虑安全问题,已有研究表明,BGP协议在安全上存在着明显的安全风险,导致BGP长期面临包括路由泄露、路由劫持、无法验证路由真实性等安全威胁。BGP安全事件在历史上不乏案例,2018年的典型事件包括以下两起:2018年4月,亚马逊权威域名服务器遭到BGP路由劫持攻击,用户流量被重定向到位于俄罗斯的加密货币网站,据称窃取了价值近2000万英镑的数字货币。2018年11月,谷歌旗下云服务等业务流量由于西非网络运营商配置问题而被错误导向,导致国外部分用户访问异常,蝴蝶效应波及北美。
为了应对AS间路由寻址安全威胁,互联网基础资源公钥证书体系(Resource Public Key Infrastructure,简称RPKI)应运而生。RPKI依托资源证书实现了对互联网基础码号资源使用授权的认证,可帮助域间路由系统验证某个AS针对特定IP地址前缀的路由通告的合法性。RPKI标准化工作在IETF的域间路由安全(Secure Inter-Domain Routing,简称SIDR)工作组中开展。RFC 6480定义了RPKI技术框架,后续一系列RFC记录了RPKI相关技术规范。在部署应用方面,RPKI在五大地区级互联网注册管理机构(Regional Internet Registry,简称RIR)组织中广泛开展部署工作,五大RIR都正式对外发布了RPKI系列服务。在亚太地区,CNNIC以及日本互联网络信息中心(JPNIC)等国家级互联网注册管理机构(National Internet Registry,简称NIR)在亚太地区互联网络信息中心(Asia Pacific Network Information Centre,简称APNIC)的协助下,已率先开展RPKI相关工作。随着互联网整体安全态势的日益严峻,以及互联网安全事件危害的逐步升级,业界对RPKI的需求将迅速提升。未来,以CNNIC为代表的国内机构将持续推进RPKI的研究和部署工作,各领域的相关机构将陆续加入RPKI工作体系,共同改善国内的网络安全状况。
