2024年10月9日,中国电信、清华大学、互联网域名系统国家工程研究中心(ZDNS)和亚太网络信息中心(APNIC)的专家联合起草的《用于映射源授权(MOA)的配置文件》(A Profile for Mapping Origin Authorizations (MOAs))标准提案在互联网工程任务组(IETF)的“互联网域间路由安全运行机制”(SIDROPS)工作组通过立项。该文稿所提出的MOA 是“互联网码号资源公钥基础设施”(RPKI:Resource Public Key Infrastructure)中首个由中国专家主导提出的核心数据对象。
互联网的路由安全是当今网络空间安全最核心的问题。RPKI是目前国际上唯一部署运行的互联网基础资源认证体系,它基于公钥基础设施PKI的技术,通过若干类核心数据对象来管理互联网路由、地址和设备等基础资源的安全,是全球互联网资源安全的基石。
IPv6单栈是全世界互联网从IPv4到IPv6过渡的重大方向。为了保证IPv6单栈互联网能够继续与IPv4互联网互联互通,从2008年开始清华大学研究团队主导提出了无状态IPv4/IPv6翻译过渡技术(IVI),已形成IETF标准的RFC6052和RFC7915等系列标准。随着IPv6的进一步部署,网络向IPv6单栈的演进成为必然趋势。解决剩余IPv4业务的访问并确保用户体验是IPv6单栈网络要解决的重点问题。2023年,中国电信研究院团队主导提出的多域IPv6单栈网络架构标准提案在IETF通过立项,其地址处理部分继承了IVI技术思路,即采用添加IPv6地址前缀的方式实现IPv4地址到IPv6地址空间的无状态映射,以减轻网络边缘转换设备的处理负担。这种从IPv4到IPv6地址空间的映射关系在网络边缘以地址映射规则的形式存在,它是在IPv6单栈网络准确传送IPv4业务数据的关键,因此其安全性极其重要。目前,IPv6单栈网络通过BGP协议扩展跨域交换地址映射规则。
本标准文稿提出RPKI下的MOA技术用于验证IPv6单栈网络BGP传送的地址映射规则信息的真实性,以确保IPv4业务数据在IPv6单栈网络中能准确地传送。与互联网号码资源分配架构相对应,RPKI证书签发体系通过由上至下逐级颁发资源证书来进行资源授权,证书的内容包含IP地址前缀/AS号与接收机构的绑定关系,表明该资源持有者得到了使用此部分号码资源的合法授权。基于上述信息,地址持有者(如ISP)使用自己的证书签发MOA对象,通过这种签名授权某个IPv6地址前缀对特定IPv4地址块发起映射源通告。在接收侧,当从RPKI的依赖方系统接收到MOA对象时,网络边缘的PE设备可以验证并丢弃来自未经授权的地址映射公告,以防止IPv4前缀被劫持。
目前RPKI下管理ROA、ASPA、Router-Certificate、RTA等数据对象,在互联网资源的安全管理中具有举足轻重的作用。这次提议的MOA对象是首个由中国专家牵头提出的RPKI核心数据对象,是中国专家对国际互联网基础资源安全保护技术的重要贡献。