CNNIC首项路由安全国际标准在IETF正式发布
近日,由中国互联网络信息中心(CNNIC)延志伟研究员主导的国际标准“Avoiding Route Origin Authorizations (ROAs) Containing Multiple IP Prefixes”(编号RFC9455/BCP 238)在互联网工程任务组(IETF)正式发布。该标准作为RPKI(互联网码号资源公钥基础设施)协议系列标准的重要组成部分,对RPKI路由源授权(ROA)中包含多IP前缀的相关风险进行了阐述,并明确建议在ROA签发过程中采用单IP前缀策略。
RPKI通过签发和验证特定格式的数字证书,帮助BGP(边界网关协议)路由器核验BGP消息合法性,避免路由劫持等网络安全风险。然而,当前RPKI协议体系并未对其核心数据ROA包含IP前缀数量进行明确规范,导致全球部署过程中出现大量IP前缀合并签发ROA现象,将会对RPKI和路由系统安全稳定带来隐患。此次发布的RFC9455深入分析了该问题,并明确建议在ROA签发过程中采用单IP前缀策略,以有效规避多IP前缀“fate-sharing”风险。本标准同时作为BCP238发布是IETF最佳实践类RFC,对优化RPKI运行规范、维护互联网路由系统安全稳定具有重要意义。
CNNIC自2001年起积极参与IETF,并重点围绕互联网基础资源领域,主导和参与制定了域名、IPv6及路由安全等相关方向的15篇RFC。中心将持续关注并积极参与互联网基础资源领域核心国际标准制定,不断提升我国在国际互联网社群的影响力和话语权。
关于互联网工程任务组(IETF):
互联网工程任务组(IETF)成立于1985年,是全球互联网界权威的大型技术研究和标准制定国际组织,涵盖了互联网运行和管理、路由、网络安全等7大领域,当前活跃工作组130个,IETF的制定的技术标准以RFC(Request For Comments)的形式发布。据统计,超过90%的互联网技术标准由IETF制定,IETF已成为互联网技术发展和标准化推进的重要平台。