互聯(lián)網(wǎng)名址體系安全保障技術(shù)及其應(yīng)用分析

王翠翠，延志偉，耿光剛

（1. 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心，北京 100190；2. 互聯(lián)網(wǎng)域名管理技術(shù)國(guó)家工程實(shí)驗(yàn)室，北京 100190）

互聯(lián)網(wǎng)名址體系安全保障技術(shù)及其應(yīng)用分析

王翠翠1,2，延志偉1,2，耿光剛1,2

（1. 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心，北京 100190；2. 互聯(lián)網(wǎng)域名管理技術(shù)國(guó)家工程實(shí)驗(yàn)室，北京 100190）

為了確保域名系統(tǒng)與域間路由系統(tǒng)的安全運(yùn)行，互聯(lián)網(wǎng)工程任務(wù)組（IETF, internet engineering task force）提出了2項(xiàng)互聯(lián)網(wǎng)名址體系安全保障技術(shù)——DNS安全擴(kuò)展（DNSSEC, domain name system security extention）與資源公鑰基礎(chǔ)設(shè)施（RPKI, resource public key infrastructure）。在域名系統(tǒng)層面，DNSSEC通過(guò)使用公鑰基礎(chǔ)設(shè)施在DNS原有的體系結(jié)構(gòu)上添加數(shù)字簽名，為DNS提供了權(quán)限認(rèn)證和信息完整性驗(yàn)證，成為了域名系統(tǒng)安全的基石；域間路由系統(tǒng)層面，RPKI通過(guò)公鑰證書(shū)對(duì)互聯(lián)網(wǎng)碼號(hào)資源的所有權(quán)和使用權(quán)進(jìn)行認(rèn)證，構(gòu)建了一個(gè)支撐域間路由安全的互聯(lián)網(wǎng)基礎(chǔ)資源管理體系。近年來(lái)，DNSSEC與RPKI在全球范圍內(nèi)的部署不斷推進(jìn)，為了解其在全球互聯(lián)網(wǎng)的應(yīng)用情況，以Alex 前106個(gè)網(wǎng)站為數(shù)據(jù)集，對(duì)2項(xiàng)互聯(lián)網(wǎng)名址體系安全保障技術(shù)及其應(yīng)用狀況進(jìn)行了研究與分析。

域名系統(tǒng)；域間路由系統(tǒng)；DNS安全擴(kuò)展；資源公鑰基礎(chǔ)設(shè)施

1 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展及網(wǎng)絡(luò)安全事件的頻發(fā)，互聯(lián)網(wǎng)安全成為業(yè)界熱切關(guān)注的議題。域名系統(tǒng)和域間路由系統(tǒng)承擔(dān)著保障互聯(lián)網(wǎng)互聯(lián)互通的重要職能，因此其平穩(wěn)運(yùn)行對(duì)互聯(lián)網(wǎng)的安全至關(guān)重要。

作為互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施之一，域名系統(tǒng)（DNS, domain name system）是一種分布式的等級(jí)制查詢(xún)服務(wù)，用以在域名和IP地址間進(jìn)行翻譯轉(zhuǎn)換，是網(wǎng)民訪問(wèn)網(wǎng)絡(luò)應(yīng)用的唯一入口。

但作為互聯(lián)網(wǎng)中的早期協(xié)議，DNS體系結(jié)構(gòu)建立在互信模型之上，缺乏DNS信息的完整性保障和認(rèn)證機(jī)制。因此，攻擊者可發(fā)動(dòng)中間人攻擊注入錯(cuò)誤的響應(yīng)信息，并在檢驗(yàn)其合法的情況下被查詢(xún)者接收，該類(lèi)攻擊被稱(chēng)作 DNS欺騙攻擊（DNS spoofing）。在DNS運(yùn)行機(jī)制中，為了避免對(duì)同一查詢(xún)重復(fù)發(fā)送請(qǐng)求，在接收到DNS權(quán)威服務(wù)器返回的查詢(xún)結(jié)果后，遞歸服務(wù)器會(huì)將結(jié)果進(jìn)行保存，并設(shè)置一定的保存時(shí)長(zhǎng)，這樣就形成了DNS緩存。基于該機(jī)制DNS欺騙攻擊的響應(yīng)信息會(huì)通過(guò)污染DNS緩存構(gòu)成DNS緩存投毒攻擊，導(dǎo)致后續(xù)針對(duì)該記錄的查詢(xún)均返回偽造的響應(yīng)信息。

DNS系統(tǒng)的脆弱性以及其對(duì)互聯(lián)網(wǎng)的至關(guān)重要性，使其極易成為黑客的攻擊目標(biāo)。近年來(lái)，DNS安全攻擊事件頻繁見(jiàn)諸報(bào)端：2010年1月，百度遭遇DNS劫持；2011年9月，微軟、宏碁等眾多知名網(wǎng)站遭遇DNS劫持；2014年1月，全國(guó)DNS故障；2015年11月，DNS根服務(wù)器遭遇攻擊；2015年12月，土耳其國(guó)家頂級(jí)域遭攻擊。隨著DNS攻擊事件頻繁發(fā)生，DNS的安全性日益突出。

作為域間路由系統(tǒng)層面的關(guān)鍵基礎(chǔ)設(shè)施，邊界網(wǎng)關(guān)協(xié)議（BGP, border gateway protocol）通過(guò)交換互聯(lián)網(wǎng)中自治域系統(tǒng)（AS, autonomous systems）之間的路由宣告，實(shí)現(xiàn)自治域系統(tǒng)間的互聯(lián)互通。然而B(niǎo)GP在安全方面的設(shè)計(jì)存在嚴(yán)重不足：BGP默認(rèn)接受AS通告的任何路由，因此即使一個(gè)AS向外通告不屬于自己的IP前綴，該通告也會(huì)被對(duì)端接受并繼續(xù)傳播。正是因?yàn)锽GP在設(shè)計(jì)方面的這一安全缺陷，使網(wǎng)絡(luò)中惡意用戶的蓄意攻擊以及網(wǎng)絡(luò)管理員錯(cuò)誤的參數(shù)配置都可能導(dǎo)致一種嚴(yán)重的互聯(lián)網(wǎng)安全威脅——路由劫持。

近些年，發(fā)生的典型路由劫持包括：2004年12月的土耳其電信集團(tuán)劫持互聯(lián)網(wǎng)事件[1]；2008年2月的巴基斯坦劫持YouTube事件[2]；2014年2月的加拿大流量劫持事件[3]；2015年1月的美國(guó)ISP劫持日本地址前綴事件[4]；2015年11月的印度運(yùn)營(yíng)商 Bharti Airtel劫持大量地址前綴事件[5]等。路由劫持對(duì)互聯(lián)網(wǎng)的正常運(yùn)行影響非常大，可能會(huì)導(dǎo)致路由黑洞、流量竊聽(tīng)以及大規(guī)模的拒絕服務(wù)攻擊[6]等。

因此，互聯(lián)網(wǎng)工程任務(wù)組（IETF, Internet Engineering Task Force）提出了2項(xiàng)互聯(lián)網(wǎng)名址體系安全保障技術(shù)——DNS安全擴(kuò)展（DNSSEC, domain name system security extention）與資源公鑰基礎(chǔ)設(shè)施（RPKI, resource public key infrastructure），用以保障域名系統(tǒng)及域間路由系統(tǒng)的安全運(yùn)行。

2 互聯(lián)網(wǎng)名址體系安全保障技術(shù)

2.1 DNSSEC

2.1.1 技術(shù)原理

為了保障DNS數(shù)據(jù)在傳輸過(guò)程中不被更改，IETF于1997年提出了DNSSEC技術(shù)體系。利用公鑰基礎(chǔ)設(shè)施（PKI, public key infrastructure），DNSSEC在DNS原有的體系結(jié)構(gòu)上添加數(shù)字簽名，為DNS消息提供了權(quán)限認(rèn)證和信息完整性驗(yàn)證。

DNSSEC機(jī)制為DNS提供3方面的安全保障[7]：1) 為 DNS體系提供數(shù)據(jù)來(lái)源驗(yàn)證，保障了DNS數(shù)據(jù)來(lái)源的準(zhǔn)確性；2) 驗(yàn)證數(shù)據(jù)完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被篡改；3) 為否定應(yīng)答報(bào)文提供驗(yàn)證。

DNSSEC工作機(jī)制主要包括以下幾步。

1) 基于公鑰加密系統(tǒng)DNS服務(wù)器（一般是區(qū)內(nèi)的主服務(wù)器）產(chǎn)生了一對(duì)密鑰：公鑰和私鑰。

2) DNS服務(wù)器使用私鑰對(duì)資源記錄（RR, resource record）進(jìn)行加密運(yùn)算得到一個(gè)新的資源記錄——RRSIG，并將RRSIG與RR作為應(yīng)答報(bào)文發(fā)送給查詢(xún)客戶端。同時(shí)，RRSIG中還包含公鑰或數(shù)字簽名算法的代碼。

3) 針對(duì)接收到的應(yīng)答報(bào)文，客戶端利用公鑰和加密算法對(duì)其進(jìn)行加密運(yùn)算，并將計(jì)算結(jié)果同應(yīng)答報(bào)文中的RRSIG相比較，如果二者相同，則表明應(yīng)答報(bào)文中的資源記錄為真，否則表明收到的資源記錄被篡改。

在實(shí)際運(yùn)行過(guò)程中，每個(gè)DNSSEC區(qū)均有2個(gè)密鑰對(duì)。第1個(gè)密鑰對(duì)為區(qū)簽名密鑰（ZSK, zone signing key），用于對(duì)DNS資源記錄進(jìn)行簽名；第2個(gè)密鑰對(duì)為密鑰簽名密鑰（KSK, key signing key），用于對(duì)包含密鑰（如ZSK）的資源記錄進(jìn)行簽名。

在DNSSEC體系中，遞歸服務(wù)器首先用KSK公鑰對(duì)DNSKEY進(jìn)行驗(yàn)證，然后用ZSK公鑰對(duì)數(shù)據(jù)的完整性進(jìn)行驗(yàn)證。如果遞歸服務(wù)器信任它所使用的KSK公鑰，則稱(chēng)該KSK公鑰為該遞歸服務(wù)器的信任錨。

DNSSEC區(qū)將其KSK公鑰交給父區(qū)，由父區(qū)用自己的私鑰對(duì)其進(jìn)行簽名，并以此類(lèi)推，這樣的過(guò)程稱(chēng)為安全授權(quán)。利用安全授權(quán)的過(guò)程到達(dá)信任錨時(shí)，形成了一條信任鏈。由于根區(qū)位于DNS層級(jí)結(jié)構(gòu)中的最頂端，且具有唯一性，因此根區(qū)的KSK公鑰成為所有區(qū)的信任錨。如果沿著信任鏈可到達(dá)根區(qū)，那么通過(guò)使用根區(qū)的KSK公鑰進(jìn)行簽名驗(yàn)證，則可以保障數(shù)據(jù)來(lái)源的可靠性和數(shù)據(jù)本身的完整性。

2.1.2 部署現(xiàn)狀

近年來(lái)，DNSSEC在全球的部署逐步推進(jìn)。

2010年7月，ICANN發(fā)布根區(qū)信任錨，所有的根服務(wù)器完成了 DNSSEC部署并正式宣布對(duì)外提供DNSSEC服務(wù)；2011年3月，全球最大的頂級(jí)域.com完成DNSSEC的部署；2011年5月18日，Nominet在.uk域內(nèi)部署DNSSEC；2012年1月，Comcast宣布其所有的DNS解析器均支持DNSSEC驗(yàn)證，且其服務(wù)范圍內(nèi)的所有區(qū)數(shù)據(jù)均已部署DNSSEC；截至2012年4月6日，全球范圍內(nèi)完成DNSSEC部署的TLD已達(dá)91個(gè)，占全部頂級(jí)域總數(shù)的30.9%。

自20世紀(jì)末DNSSEC概念被提出以來(lái)，其發(fā)展歷程已達(dá)20年之久。作為保障互聯(lián)網(wǎng)名址體系安全保障技術(shù)之一，DNSSEC在全球主流網(wǎng)站中的部署程度是決定全球互聯(lián)網(wǎng)能否更加有序運(yùn)作的關(guān)鍵因素，但當(dāng)前DNSSEC在全球的部署應(yīng)用程度如何仍未可知。

2.2 RPKI

2.2.1 技術(shù)原理

為保障域間路由系統(tǒng)的安全，一些針對(duì)BGP缺陷的解決方案相繼被提出，其中以BBN公司提出的 S-BGP（Secure BGP）和思科公司提出的soBGP（secure origin BGP）在業(yè)界最具影響力。為了驗(yàn)證路由通告中 IP地址前綴和傳播路徑上AS號(hào)之間的綁定關(guān)系，防止路由劫持的發(fā)生，S-BGP的方案中引入了一種附加簽名的 BGP擴(kuò)展消息格式。將數(shù)字證書(shū)和簽名機(jī)制引入了BGP范疇，從而需要一套公鑰基礎(chǔ)設(shè)施的支持， RPKI應(yīng)運(yùn)而生。

RPKI通過(guò)構(gòu)建一個(gè)公鑰證書(shū)體系完成對(duì)互聯(lián)網(wǎng)碼號(hào)資源（INR, Internet number resource）（包括IP前綴和AS號(hào)）所有權(quán)（分配關(guān)系）和使用權(quán)（路由源授權(quán)）的認(rèn)證，所產(chǎn)生“認(rèn)證信息”可進(jìn)一步用于BGP路由器的路由決策，幫助其驗(yàn)證BGP報(bào)文中路由源AS的真實(shí)性，從而防止路由劫持的發(fā)生[8]。RPKI技術(shù)體系的基本功能之一是對(duì)INR的分配提供密碼學(xué)上可驗(yàn)證的擔(dān)保。當(dāng)前互聯(lián)網(wǎng)號(hào)碼資源的分配為分層式架構(gòu)：最頂層是互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)（IANA, Internet assigned numbers authority），IANA將INR分配給5個(gè)區(qū)域性互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（RIR, regional Internet registry），包括亞太互聯(lián)網(wǎng)絡(luò)信息中心、非洲互聯(lián)網(wǎng)絡(luò)信息中心、美國(guó)網(wǎng)絡(luò)地址注冊(cè)中心、拉丁美洲和加勒比地區(qū)互聯(lián)網(wǎng)地址注冊(cè)管理機(jī)構(gòu)以及歐洲網(wǎng)絡(luò)協(xié)調(diào)中心，RIR將資源分配給其下級(jí)節(jié)點(diǎn)，如本地互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（LIR, local Internet registry）、國(guó)家級(jí)互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（NIR, national Internet registry）和互聯(lián)網(wǎng)服務(wù)提供商（ISP, Internet service provider），下級(jí)節(jié)點(diǎn)再依照地址分配邏輯繼續(xù)逐級(jí)向下分配資源。

為了保障INR的所有權(quán)和使用權(quán)，RPKI體系中的任一節(jié)點(diǎn)在進(jìn)行資源分配的同時(shí)，將簽發(fā)相應(yīng)的證書(shū)。RPKI體系主要包括2種證書(shū)：認(rèn)證權(quán)威（CA, certificate authority）證書(shū)[9]和端實(shí)體（EE, end entity）證書(shū)[10]。CA證書(shū)用于保障INR所有權(quán)，EE證書(shū)則用于對(duì)路由源授權(quán)（ROA, route origin authorization）進(jìn)行認(rèn)證。RPKI路由起源認(rèn)證中最重要的對(duì)象就是ROA，它為資源持有者授權(quán)某個(gè)AS，它為其所擁有的特定的IP前綴發(fā)起路由起源通告提供了擔(dān)保。

如圖1所示，RPKI的體系架構(gòu)包括3個(gè)功能模塊：CA、資料庫(kù)（repository）和依賴(lài)方（RP, relying party）。這3個(gè)模塊完成RPKI數(shù)字簽名對(duì)象的簽發(fā)、存儲(chǔ)、驗(yàn)證，從而最終實(shí)現(xiàn)RPKI的路由起源認(rèn)證功能。

1) 運(yùn)行CA的實(shí)體機(jī)構(gòu)包括IANA、RIR、NIR、ISP等。CA通過(guò)簽發(fā)CA證書(shū)來(lái)證明INR的所有權(quán)，通過(guò)簽發(fā)ROA授權(quán)某個(gè)AS針對(duì)特定的IP地址前綴發(fā)起路由起源通告。

2) 資料庫(kù)用于存儲(chǔ)CA發(fā)布的各種包含INR分配信息和授權(quán)信息的CA證書(shū)、ROA等數(shù)字簽名對(duì)象，并提供給全球的依賴(lài)方進(jìn)行同步和驗(yàn)證。

3) 依賴(lài)方從資料庫(kù)中同步 RPKI的數(shù)字簽名對(duì)象，對(duì)這些數(shù)字簽名對(duì)象進(jìn)行驗(yàn)證后將其處理成IP前綴與AS號(hào)的合法授權(quán)關(guān)系，最后將該授權(quán)關(guān)系提供給BGP路由器，用于指導(dǎo)其路由決策。

最后，利用RPKI數(shù)據(jù)，開(kāi)啟RPKI的BGP路由器可對(duì)其接收的BGP更新消息進(jìn)行驗(yàn)證。這樣，BGP路由被分類(lèi)為3種狀態(tài)：valid、invalid和unknown，進(jìn)而可配置BGP路由器，通過(guò)拒絕一個(gè)不合法的路由宣告最終防止路由劫持的發(fā)生。

2.2.2 部署狀況

近年來(lái)，RPKI在全球的部署逐步推進(jìn)：2012年2月，IETF SIDR工作組發(fā)布了14個(gè)RPKI核心技術(shù)相關(guān)的 RFC（RFC6480-RFC6493）；2012年初，全球五大RIR已全部對(duì)其會(huì)員開(kāi)放互聯(lián)網(wǎng)資源認(rèn)證業(yè)務(wù)[11]；2013年2月，JPNIC面向日本國(guó)內(nèi)的運(yùn)營(yíng)商開(kāi)放了公共RP服務(wù)[12]，并積極推動(dòng)RPKI在日本的部署；2013年9月，南美洲厄瓜多爾國(guó)內(nèi)的運(yùn)營(yíng)商在LACNIC的技術(shù)支持下，成功部署RPKI路由源認(rèn)證系統(tǒng)[13]。

同時(shí)，互聯(lián)網(wǎng)工業(yè)界也在積極研究RPKI關(guān)鍵技術(shù)可能帶來(lái)的新機(jī)遇：BBN公司開(kāi)發(fā)了 BBN Relying Party軟件并進(jìn)行相應(yīng)的實(shí)驗(yàn)；Cisco、Juniper等廠商的路由設(shè)備也開(kāi)始支持基于RPKI的路由起源驗(yàn)證，并推出了相應(yīng)的產(chǎn)品；Alcatel Lucent也正積極研發(fā)支持RPKI的相關(guān)產(chǎn)品。

可見(jiàn)，RPKI技術(shù)體系對(duì)互聯(lián)網(wǎng)應(yīng)用的有序運(yùn)行至關(guān)重要，但當(dāng)前RPKI在全球互聯(lián)網(wǎng)中的應(yīng)用狀況如何，仍處于未知狀態(tài)。

因此，為了分析DNSSEC技術(shù)與RPKI技術(shù)在全球的應(yīng)用狀況，本文提出了針對(duì)2種技術(shù)應(yīng)用狀況的統(tǒng)計(jì)分析方法。

圖1 RPKI體系架構(gòu)

3 統(tǒng)計(jì)方法

在本文提出的統(tǒng)計(jì)方法中，考慮到網(wǎng)站是互聯(lián)網(wǎng)應(yīng)用最重要的構(gòu)成部分，因此將DNSSEC與RPKI在全球主流網(wǎng)站中的應(yīng)用率是其在全球互聯(lián)網(wǎng)應(yīng)用中應(yīng)用程度的有效度量。所以，本文以Alexa（專(zhuān)門(mén)發(fā)布網(wǎng)站世界排名的權(quán)威網(wǎng)站）列表中前106的網(wǎng)站為數(shù)據(jù)集，分析DNSSEC與RPKI在全球主流網(wǎng)站的應(yīng)用率，用以分析 3項(xiàng)互聯(lián)網(wǎng)名址體系安全保障技術(shù)在全球的應(yīng)用狀況。

3.1 DNSSEC應(yīng)用狀況統(tǒng)計(jì)方法

為了分析Alexa前106個(gè)網(wǎng)站中DNSSEC的應(yīng)用狀況，本文采用Google DNS公共遞歸服務(wù)器（8.8.8.8）對(duì)數(shù)據(jù)集中各網(wǎng)站對(duì)應(yīng)的域名進(jìn)行探測(cè)，并查看各個(gè)域名是否存在RRSIG記錄。如存在，則提取各域名對(duì)應(yīng)的 RRSIG記錄，并對(duì)RRSIG記錄所使用的簽名算法、TTL等信息進(jìn)行進(jìn)一步分析。其中利用Google遞歸服務(wù)器進(jìn)行域名探測(cè)的地點(diǎn)為北京，時(shí)間為2016年3月。

3.2 RPK應(yīng)用狀況統(tǒng)計(jì)方法

如圖2所示，本文采用的RPKI應(yīng)用狀況統(tǒng)計(jì)方法中包括挑選網(wǎng)站樣本、獲取網(wǎng)站域名所對(duì)應(yīng)的IP地址、獲取IP地址對(duì)應(yīng)前綴及源AS、驗(yàn)證網(wǎng)站是否應(yīng)用RPKI 4個(gè)步驟。

1) 挑選網(wǎng)站樣本

本文采用了Alexa列表中前106個(gè)網(wǎng)站作為分析樣本，這樣也可以更清晰直觀地了解 RPKI在Alexa排名不同的網(wǎng)站中的應(yīng)用狀況。

2) 分析網(wǎng)站域名所對(duì)應(yīng)的IP地址

為了分析Alexa前106個(gè)網(wǎng)站的域名所對(duì)應(yīng)的IP地址，本文采用 Google DNS公共遞歸服務(wù)器對(duì)各網(wǎng)站的域名進(jìn)行探測(cè)，并提取各域名對(duì)應(yīng)的A記錄與AAAA記錄。其中利用Google遞歸服務(wù)器進(jìn)行探測(cè)的地點(diǎn)為北京，時(shí)間為2016年3月。

3) 分析IP地址所對(duì)應(yīng)的IP地址前綴以及宣告該前綴的AS號(hào)

本文采用了歐洲網(wǎng)絡(luò)協(xié)調(diào)中心（RIPE NCC, Reseaux IP Europeens Network Coordination Center）所提供的接口用以獲取 IP地址所對(duì)應(yīng)的 IP地址前綴以及宣告該前綴的AS號(hào)（即源AS）：https://stat.ripe.net/data/network-info/data.＜format＞?＜parameters＞。

該接口可根據(jù)給定的 IP地址返回其對(duì)應(yīng)的IP地址前綴及源AS，其用法如下：如https://stat. ripe.net/data/network-info/data.json?resource=140.7 8.90.50。

所需參數(shù)如表1所示。

表1 所需參數(shù)

返回值格式如表2所示。

表2 返回值格式

返回值示例如下。

圖2 RPKI覆蓋狀況統(tǒng)計(jì)方法

4) 驗(yàn)證網(wǎng)站是否部署RPKI

本文采用Dragon labs（https：//rpki.net）提供的RPKI.net軟件包，搭建完成RP節(jié)點(diǎn)，并將5大RIR設(shè)為信任錨點(diǎn)，獲取各個(gè)信任錨點(diǎn)下的ROA簽名對(duì)象并進(jìn)行驗(yàn)證。

在RPKI體系中，BGP路由合法性狀態(tài)共為3種：valid、invalid以及unknown。在該步驟中，以經(jīng)驗(yàn)證后正確ROA數(shù)據(jù)為參照，對(duì)步驟3）獲取的IP地址前綴以及源AS（也即路由）的合法性進(jìn)行判斷。其中RFC6483[14]中定義了有關(guān)BGP路由合法性驗(yàn)證的方法。在已知路由的IP地址前綴及源AS的情況下，其判定標(biāo)準(zhǔn)如表3所示。在本文所提出的統(tǒng)計(jì)方法中，只有對(duì)應(yīng)的網(wǎng)站BGP路由合法性狀態(tài)為valid，才判定該網(wǎng)站已應(yīng)用RPKI。

表3 BGP路由合法性驗(yàn)證標(biāo)準(zhǔn)

4 統(tǒng)計(jì)結(jié)果

4.1 DNSSEC在Alexa前106個(gè)網(wǎng)站中的應(yīng)用狀況

4.1.1 應(yīng)用率

經(jīng)統(tǒng)計(jì)分析得出，Alexa前106個(gè)網(wǎng)站中，應(yīng)用DNSSEC的網(wǎng)站數(shù)量為15 869個(gè)，應(yīng)用率約為 1.59%；而在 Alexa前 106個(gè)網(wǎng)站中，支持DNSSEC網(wǎng)站數(shù)量為1 566個(gè)，支持率約為1.57%（如表4所示）?？梢?jiàn)，雖然DNSSEC的部署工作已歷時(shí)6年，但其在互聯(lián)網(wǎng)中的應(yīng)用率仍處于較低狀態(tài)。

表4 Alexa前106個(gè)萬(wàn)網(wǎng)站DNSSEC部署率

4.1.2 應(yīng)用地區(qū)分布

應(yīng)用DNSSEC的網(wǎng)站分布于80多個(gè)國(guó)家和地區(qū)，尤以美國(guó)應(yīng)用程度最高，如表4所示，應(yīng)用數(shù)量最多的前4位國(guó)家包括美國(guó)、荷蘭、法國(guó)、捷克。

表5 應(yīng)用DNSSEC的網(wǎng)站數(shù)量最多的國(guó)家

4.1.3 TLD分布

通過(guò)對(duì)支持 DNSSEC的網(wǎng)站域名進(jìn)行分析可見(jiàn)，DNSSEC應(yīng)用數(shù)量較多的前5位頂級(jí)域?yàn)椋?com、.nl、.cz、.br以及.se，其中各頂級(jí)域中應(yīng)用DNSSEC的網(wǎng)站數(shù)量分布如圖3所示。

4.1.4 使用算法

對(duì)應(yīng)用DNSSEC的網(wǎng)站進(jìn)行進(jìn)一步分析，其在應(yīng)用DNSSEC時(shí)所使用的算法代號(hào)分布如圖4所示。

圖3 應(yīng)用DNSSEC的頂級(jí)域分布

圖4 應(yīng)用DNSSEC的網(wǎng)站所使用的簽名算法代號(hào)分布

進(jìn)一步地，根據(jù)IANA有關(guān)DNSSEC算法代號(hào)的規(guī)定，圖中所示的各算法代號(hào)其所代表簽名算法如表6所示。

表6 DNSSEC簽名算法代號(hào)及名稱(chēng)

由圖4及表6可見(jiàn)，DNSSEC部署時(shí)使用最為普遍的算法為 RSASHA256、RSASHA1-NSEC3-SHA1、RSASHA1。

4.1.5 TTL分布

對(duì)應(yīng)用DNSSEC網(wǎng)站數(shù)量最多的前10位頂級(jí)域進(jìn)行分析，由圖5可見(jiàn)，平均TTL設(shè)置最高的為.br，TTL為68 569.3 s，設(shè)置最低的為.no，TTL為7 254.7 s。

4.2 RPKI在Alexa前106個(gè)網(wǎng)站中的應(yīng)用狀況

4.2.1 應(yīng)用率

經(jīng)統(tǒng)計(jì)和分析，Alexa前 106個(gè)網(wǎng)站中，應(yīng)用RPKI的網(wǎng)站數(shù)量為63 785個(gè)，應(yīng)用率約為 6.4%?？紤]到 RPKI體系從提出到其逐步的部署僅只有不到5年的時(shí)間，可見(jiàn)RPKI在全球的應(yīng)用程度相較于 DNSSEC已處于較高的水平。

表7 Alexa前106個(gè)網(wǎng)站DNSSEC&RPKI應(yīng)用率對(duì)比

4.2.2 應(yīng)用地區(qū)分布

應(yīng)用RPKI的網(wǎng)站遍布于世界90多個(gè)國(guó)家和地區(qū)。其中應(yīng)用RPKI的網(wǎng)站在歐洲地區(qū)最為集中，由此可見(jiàn)歐洲地區(qū)的RPKI部署發(fā)展最為迅速；其次，拉丁美洲地區(qū)的部分國(guó)家已開(kāi)展了RPKI的部署工作；對(duì)亞洲地區(qū)，日本、馬來(lái)西亞、印度、新加坡、菲律賓等數(shù)個(gè)國(guó)家已經(jīng)開(kāi)展了RPKI的部署；同時(shí)數(shù)據(jù)分析顯示，美國(guó)有112例網(wǎng)站已經(jīng)應(yīng)用RPKI，相較于DNSSEC在美國(guó)的應(yīng)用程度可知，美國(guó)的RPKI部署工作尚處于初始階段。

應(yīng)用RPKI網(wǎng)站數(shù)量最多的前10位國(guó)家如表8所示，其中德國(guó)居于首位。

圖5 前10位頂級(jí)域TTL分布

表8 應(yīng)用RPKI的網(wǎng)站數(shù)量最多前10位國(guó)家

4.2.3 RPKI體系下網(wǎng)站的BGP路由合法性狀態(tài)分布

通過(guò)對(duì)Alexa前106個(gè)網(wǎng)站進(jìn)行分組，每1 000個(gè)網(wǎng)站為一組，共獲得 1 000組數(shù)據(jù)。接下來(lái)，對(duì)RPKI validunknowninvalid狀態(tài)的網(wǎng)站數(shù)量進(jìn)行統(tǒng)計(jì)。如圖6所示，Alexa前106個(gè)網(wǎng)站中RPKI valid的比例浮動(dòng)范圍為[0.015, 0.08]，且前105個(gè)網(wǎng)站的RPKI應(yīng)用率明顯低于后105個(gè)的網(wǎng)站。

圖6 Alexa前106個(gè)網(wǎng)站路由合法狀態(tài)分布

經(jīng)統(tǒng)計(jì)，RPKI invalid狀態(tài)的網(wǎng)站數(shù)量約為174個(gè)，也就是說(shuō)，如果這些網(wǎng)站的ROA對(duì)象被運(yùn)用到路由決策中，極有可能造成這174個(gè)網(wǎng)站無(wú)法被用戶訪問(wèn)。由此可見(jiàn)，如何保障簽發(fā)ROA的準(zhǔn)確性也是決定RPKI體系能否全面部署及有序運(yùn)行的關(guān)鍵因素。

5 結(jié)束語(yǔ)

作為保證互聯(lián)網(wǎng)互聯(lián)互通基本特點(diǎn)的重要基礎(chǔ)設(shè)施，域名系統(tǒng)與域間路由系統(tǒng)的平穩(wěn)運(yùn)行是保障互聯(lián)網(wǎng)安全的根本。為了確保域名系統(tǒng)及域間路由系統(tǒng)的安全運(yùn)行，IETF提出了2項(xiàng)互聯(lián)網(wǎng)名址體系保障技術(shù)——DNSSEC與RPKI。在域名系統(tǒng)層面，DNSSEC通過(guò)使用公鑰基礎(chǔ)設(shè)施在DNS原有的體系結(jié)構(gòu)上添加數(shù)字簽名，為 DNS提供了權(quán)限認(rèn)證和信息完整性驗(yàn)證，成為了域名系統(tǒng)安全的基石；域間路由系統(tǒng)層面，RPKI通過(guò)公鑰證書(shū)對(duì)互聯(lián)網(wǎng)碼號(hào)資源的所有權(quán)和使用權(quán)進(jìn)行認(rèn)證，構(gòu)建了一個(gè)支撐域間路由安全的互聯(lián)網(wǎng)基礎(chǔ)資源管理體系。

近年來(lái)，DNSSEC與RPKI在全球范圍內(nèi)的部署不斷推進(jìn)。為了解其在全球互聯(lián)網(wǎng)的應(yīng)用情況，本文提出了針對(duì)DNSSEC與RPKI技術(shù)的應(yīng)用狀況分析方法，通過(guò)以Alexa前106個(gè)網(wǎng)站為數(shù)據(jù)集，分析DNSSEC與RPKI在全球主流網(wǎng)站中的應(yīng)用率，以此對(duì)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施DNSSEC與RPKI在全球互聯(lián)網(wǎng)中的應(yīng)用狀況進(jìn)行度量。通過(guò)分析得出，DNSSEC的應(yīng)用率約為1.6%，尤其以美國(guó)的部署發(fā)達(dá)程度最高；同時(shí)，RPKI技術(shù)體系自2012年提出以來(lái)，其應(yīng)用率已達(dá)到6.4%，并以歐洲地區(qū)的RPKI部署發(fā)達(dá)程度最高。

然而在DNSSEC與RPKI的部署實(shí)施過(guò)程中，仍然存在若干因素制約其應(yīng)用和部署。

DNSSEC方面，首先，DNSSEC添加數(shù)字簽名使DNS系統(tǒng)的查詢(xún)和響應(yīng)時(shí)延增大，降低了網(wǎng)絡(luò)性能；其次，DNSSEC所需密鑰的產(chǎn)生和校驗(yàn)需要CPU計(jì)算能力做保障，因此需要升級(jí)相關(guān)的網(wǎng)絡(luò)設(shè)備、DNS軟件，這無(wú)疑增加了DNS運(yùn)營(yíng)和使用的成本；最后，由于DNS面臨的安全威脅并不僅是DNS欺騙攻擊，對(duì)于拒絕服務(wù)攻擊、釣魚(yú)攻擊等網(wǎng)絡(luò)安全威脅，DNSSEC并不能提供有效的解決方案。

RPKI方面，首先，缺乏CA資源分配誤操作（如CA證書(shū)的錯(cuò)誤簽發(fā)、ROA數(shù)字簽名對(duì)象的誤簽發(fā)）的有效防御機(jī)制，而上述誤操作極易導(dǎo)致互聯(lián)網(wǎng)的大面積宕機(jī)；其次，各大RIR及NIR所使用的RPKI軟件各不相同，缺乏對(duì)各方軟件的兼容性測(cè)試；最后，在互聯(lián)網(wǎng)碼號(hào)資源分配過(guò)程中，存在一些特殊資源分配場(chǎng)景，如中國(guó) ISP的碼號(hào)資源分配自CNNIC和APNIC，而RPKI體系尚未證明對(duì)于該場(chǎng)景的兼容性。

作為大規(guī)模改造互聯(lián)網(wǎng)基礎(chǔ)資源管理的協(xié)議框架，RPKI與DNSSEC對(duì)現(xiàn)有的互聯(lián)網(wǎng)名址技術(shù)體系具有較大的影響，其大規(guī)模部署可能存在的安全、可擴(kuò)展和效率等多方面的問(wèn)題事關(guān)我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全穩(wěn)定，亟需對(duì)其關(guān)鍵技術(shù)進(jìn)行深入研究和提前布局。

[1] ERMAN, BENLI, HANDE, et al. Optimality condition of place of injury rule in cross-border internet torts and implications for turkey[J]. US-China Law Review, 2014, 411(10):1315-1321.

[2] 朱韻成. YouTube全球受阻兩小時(shí)的背后[J]. 中國(guó)教育網(wǎng)絡(luò), 2008(4):26-27. ZHU Y C. The whole truth of YouTube was has been blocked two hours[J]. China Education Network,2008(4):26-27.

[3] SOSNOVICH A, GRUMBERG O, NAKIBLY G. Analyzing Internet routing security using model checking[M]//Logic for Programming, Artificial Intelligence, Reasoning. 2015.

[4] 劉宇靖. 互聯(lián)網(wǎng)域間路由系統(tǒng)生存性研究[D]. 長(zhǎng)沙: 國(guó)防科學(xué)技術(shù)大學(xué), 2013. LIU Y J. Study of the Internet inter-domain routing system survivability[D]. Changsha: National University of Defense Technology,2013.

[5] SCHLAMP J, HOLZ R, JACQUEMART Q, et al. HEAP: reliable assessment of BGP hijacking attacks[J]. IEEE Journal on Selected Areas in Communications, 2016, 34(6):1849-1861.

[6] BALLANIH , FRANCIS P, ZHANGX. A study of prefix hijacking and interception in the Internet[C]//Conference on Applications, Technologies, Architectures and Protocols for Computer Communications. 2007:65-276.

[7] 崔淑田, 劉越. DNSSEC技術(shù)發(fā)展及影響分析[J]. 電信科學(xué), 2012, 28(9):100-105. CUI S T, LIU Y. The development and influence analysis of DNSSEC[J].Telecommunications Science,2012, 28(9):100-105.

[8] 劉曉偉, 延志偉, 耿光剛, 等. RPKI中CA資源分配風(fēng)險(xiǎn)及防護(hù)技術(shù)[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用, 2016, 25(8):16-22. LIU X W,YAN Z W,GENG G G, et al. CA resource allocation risk and protective technique in RPKI[J]. Computer Systems and Application, 2016, 25(8):16-22.

[9] LEPINSKIM, KENTS. An infrastructure to support secure Internet routing[S]. IETF RFC , 2012.

[10] LEPINSKIM, KENTS, KONGD. A profile for route origin authorizations (ROA)[S]. IETF RFC, 2012.

[11] WAEHLISCH M. Resource public key infrastructure (RPKI) router implementation[R]. 2014.

[12] RPKI local trust anchor use cases[DB/OL]. https://tools.ietf.org/html/ draft-ymbk-lta-use-cases-00.

[13] IAMARTINO D, PELSSER C, BUSH R. Measuring BGP route origin registration and validation[M]//Passive and Active Measurement. Berlin: Springer International Publishing, 2015:28-40.

[14] HUSTONG, MICHAELSONG. Validation of route origination using the resource certificate public key infrastructure (PKI) and route origin authorizations (ROAs)[S]. IETF RFC, 2012.

Internet naming and addressing system security technology and application analysis

WANG Cui-cui1,2, YAN Zhi-wei1,2, GENG Guang-gang1,2
(1. China Internet Network Information Center, Beijing 100190, China; 2. National Engineering Laboratory for Internet Domain Name Management, Beijing 100190, China)

In order to ensure the security of domain name system and inter-domain routing system, Internet Engineering Task Force (IETF) proposed two kinds of security technology, namely domain name system security extention (DNSSEC) and resource public key infrastructure (RPKI). For the domain name system, DNSSEC added the digital signature to the original architecture of DNS using the public key infrastructure and it provided the authentication and integrity verification of DNS information, which became the anchor of domain name system security. For the inter-domain routing system, RPKI utilized the public key certificate to authenticate the ownership and usage rights of the Internet number resources and builds an Internet resource management system to enhance inter-domain routing security. Recently, the globally development of DNSSEC and RPKI were continuously expanding. In order to research the application of the two kinds of technology, Alexa top 1 million websites were taken as the data set to study and analyze the application status of DNSSEC and RPKI.

domain name system, inter-domain routing system, domain name system security extension, resource public key infrastructure

TP393

A

10.11959/j.issn.2096-109x.2017.00147

王翠翠（1986-），女，山東濰坊人，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心助理研究員，主要研究方向?yàn)榛ヂ?lián)網(wǎng)基礎(chǔ)資源安全、BGP安全機(jī)制、區(qū)塊鏈技術(shù)。

延志偉（1985-），男，山西興縣人，博士，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心副研究員，主要研究方向?yàn)镮Pv6移動(dòng)性管理、BGP安全機(jī)制、信息中心網(wǎng)絡(luò)架構(gòu)。

耿光剛（1980-），男，山東泰安人，博士，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心研究員，主要研究方向?yàn)闄C(jī)器學(xué)習(xí)、大數(shù)據(jù)分析和互聯(lián)網(wǎng)基礎(chǔ)資源安全。

2017-01-05；

2017-02-16。通信作者：王翠翠，wangcuicui@cnnic.cn

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61375039, No.61303242）

Foundation Item: The National Natural Science Foundation of China (No.61375039, No.61303242)