最近,美國(guó)兩家政府機(jī)構(gòu)聯(lián)合起來計(jì)劃推出一套新的域間路由標(biāo)準(zhǔn),以確保主要互聯(lián)網(wǎng)實(shí)體(如互聯(lián)網(wǎng)服務(wù)提供商,托管服務(wù)提供商,云服務(wù)提供商以及教育、研究和國(guó)家網(wǎng)絡(luò))之間的信息路由過程安全。
這一套新的域間路由標(biāo)準(zhǔn)被稱為“SIDR”。實(shí)際上它是一個(gè)許多標(biāo)準(zhǔn)的集合,由資源公鑰基礎(chǔ)設(shè)施(RPKI)、BGP 源代碼驗(yàn)證(BGP-OV)與 BGP 路徑驗(yàn)證(BGP-PV)三部分組成。
SIDR標(biāo)準(zhǔn)將保護(hù)互聯(lián)網(wǎng)路由SIDR是首個(gè)旨在提高BGP(Border Gateway Protocol,邊界網(wǎng)關(guān)協(xié)議)安全性能的系統(tǒng)性標(biāo)準(zhǔn)。
邊界網(wǎng)關(guān)協(xié)議(BGP)于 1989 年被研究人員提出,是早期外部網(wǎng)關(guān)協(xié)議的短期解決方案,但它不能處理互聯(lián)網(wǎng)的快速增長(zhǎng),并且現(xiàn)在面臨崩潰的危險(xiǎn)。
研究人員表示,BGP 控制路由時(shí)需要互聯(lián)網(wǎng)整個(gè)路徑的所有數(shù)據(jù)信息。然而,現(xiàn)今的網(wǎng)絡(luò)系統(tǒng)已不足信任,整個(gè)流量交通都可能被黑客劫持。因此,BGP最大的問題就是缺乏安全性。
BGP劫持是互聯(lián)網(wǎng)最大的安全漏洞根據(jù)調(diào)查顯示,黑客通過 BGP 漏洞可對(duì)互聯(lián)網(wǎng)路由造成重大系統(tǒng)威脅,可導(dǎo)致多種不良后果。如拒絕接入互聯(lián)網(wǎng)服務(wù),允許黑客繞過互聯(lián)網(wǎng)流量監(jiān)控、加快端點(diǎn)路徑攻擊,將互聯(lián)網(wǎng)流量誤導(dǎo)至惡意端點(diǎn),破壞 IP 地址信譽(yù)與過濾系統(tǒng),造成互聯(lián)網(wǎng)路由不穩(wěn)定現(xiàn)象等等。
2017年8月,谷歌就因操作不當(dāng)劫持了BGP路由導(dǎo)致日本大范圍互聯(lián)網(wǎng)訪問中斷持續(xù)長(zhǎng)達(dá)1小時(shí)之久。
2014年3月,委內(nèi)瑞拉網(wǎng)絡(luò)發(fā)出的錯(cuò)誤邊界網(wǎng)關(guān)路由(BGP)通知導(dǎo)致用戶向谷歌DNS美國(guó)服務(wù)器發(fā)送的部分請(qǐng)求被挾持到了委內(nèi)瑞拉境內(nèi)。
NIST和DHS聯(lián)合著手保護(hù)BGP美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的國(guó)家網(wǎng)絡(luò)安全中心(NCCoE)和美國(guó)國(guó)土安全部(DHS)科學(xué)技術(shù)局已經(jīng)開始努力解決數(shù)年前發(fā)生的BGP劫持問題。并致力于通過開發(fā)一套新 的BGP 標(biāo)準(zhǔn)來消除漏洞,以解決BGP漏洞帶來的安全問題。
NIST和DHS提出的大多數(shù)解決方案已經(jīng)經(jīng)歷了IETF標(biāo)準(zhǔn)化流程的第一階段,即“互聯(lián)網(wǎng)草案”。并進(jìn)入了RFC(請(qǐng)求評(píng)論)的階段,這也是成為官方互聯(lián)網(wǎng)標(biāo)準(zhǔn)之前的最后一步。