国土安全部的美国能源部有花了300万美元在过去的几年里,研究旨在支持安全互联网的路由系统。
现在,这项研究是在互联网上部署,国土安全部希望政府机构及其运载工具为新资源公共密钥基础设施(RPKI)系统,它帮助创建的最早的采用者之一。
美国国土安全部认为RPKI系统是互联网安全的核心的路由协议,这就是所谓的边界网关协议(BGP)急需的第一步。它除了支持RPKI中,美国国土安全部也花了围绕研究和软件开发$ 1百万旨在直接添加安全性BGP。
RPKI有助于提高通过增加一个加密层,互联网注册和网络运营商之间的通信路由的安全性。随着RPKI,网络运营商可以验证他们有权力路由流量被称为自治系统号码的IP地址或路由选择前缀的块。
RPKI旨在防止互联网路由攻击和意外事故,如最近中国电信互联网流量劫持事件已收到美国国会的关注。
RPKI类似于DHS支持的另一种新的互联网安全机制,即DNS安全扩展(DNSSEC)。DNSSEC是一种互联网标准,通过允许网站使用数字签名和公开密钥加密来验证自己的域名和相应的IP地址,从而防止欺骗攻击。联邦机构被要求采用DNSSEC在2009年。
足球竞猜app软件网络世界采访了道格·莫恩,国土安全部科学技术局内的网络安全部总监。下面是与莫恩约RPKI的谈话,以及是否联邦机构摘录和他们的运营商将被要求接受它:
国土安全部在路由安全方面的研究进展如何?
大部分项目都是围绕RPKI和BGP安全中心。
RPKI在前进互联网工程任务组。我们试图帮助确保事情的标准方面的进展,因此我们不只是创建一个专有的解决方案。我们正在资助软件开发方面的事情,以确保当我们为RPKI达成一致的协议规范时,我们也有可以向社区开放源代码的工作软件。2011年,我们将继续资助RPKI的软件开发以及标准活动。
我们努力的第二部分是BGP的安全性,这是一个新的协议规范的发展。这是正在进行中。我们希望它是本财年发布,并且它会经过一个迭代或两个IETF内,这将带我们一到两年。我们已经开始做的实现。它改变BGP的工作方式,就像我们做了与DNSSEC。在不久的将来,我们将发布的设计,然后进行了开源可用的BGP安全协议版本。
如果RPKI需要为网络运营商?如果有,是谁?
每个[区域互联网注册]都有不同的工作模式。APNIC[亚太注册中心]有一个自上而下的模型,他们可以告诉所有的成员,他们将这样做。成熟的[欧洲注册表]也有类似的模式。但后面瞎跑[北美注册表]有一个自下而上的模型。ARIN是不会强求什么,除非其所有成员的同意。许多主要的ISP的说,他们希望路由安全。我们要告诉他们,我们相信RPKI将提供。所以,接下来的步骤是继续推动RPKI的技术完成,获得工作的实施,并在同一时间工作下来更多的市场和政治的路径。
如果联邦CIO要求联邦机构采取类似的DNSSEC要求RPKI?
我们正在用[the]处理方程的那部分国家标准和技术研究所]。我们的意图与DNSSEC的模型非常相似。我们正试图在RPKI方面解决同样的问题。我不认为它会在2011年的更新联邦信息安全管理法因为我们走得还不够远。在BGP的安全方面,我们还没有做到这一点。我们的目的是……有政府安全要求,说运行自己的基础设施的机构必须支持RPKI。如果他们通过[契约]做托管服务MTIPS,那些谁提供这些服务的供应商将不得不支持RPKI。这就是我们所使用的型号。它的工作相当不错的DNSSEC,我们认为这将在RPKI和路由安全工作。我们的目标是让政府是一个早期采用者。
你对RPKI如何迅速将采取的猜测?
已经有一些飞行员被APNIC, mature和ARIN做过了。一年后,我们就不能说一切都结束了。但我希望,至少我们已经完成了试点工作,可以使用这些登记系统进行操作。路由安全还需要几年时间。我们必须做市场营销,并向关键的isp和关键的互联网基础设施提供商提供商业案例,让他们加入进来。我们的目标是在几年内实现RPKI。希望到那时,BGP安全协议将完成,然后我们可以开始工作。到2016年,我们为支持路由安全研究的预算是每年300万美元。
几年前,DHS在促进DNSSEC方面扮演了类似的角色,就像今天它在路由安全方面所扮演的角色一样。您对采用DNSSEC有什么看法?
我是乐观的。在60个分区的签名。在我的脑海里,关键的事情是结果.ORG的运作经验。他们看到了DNSSEC对他们的经营业绩影响很小。每个人都在声称的影响将是一个30%到50%的性能损失,但.ORG会告诉你,情况并非如此。我们已经能够动摇任何性能问题是,反对者有,让他们知道它的工作原理。现在,我们正在net和com签署。我们开始和像贝宝和谷歌这样的大公司的CISOs讨论现在。com已经签了,你们有什么计划?我们今年取得了很大进展。我们签署了根有些人说这永远不会发生。
国土安全部在互联网安全方面有哪些新举措?
我们一直在做的唯一的另一件事是在僵尸网络检测技术。我们一直在那大资助者。
在路由方面,我们已经资助了一些发展工具比如前缀完整性检查器。我们资助了俄勒冈大学从批处理系统到实时系统的路线视图。2008年巴基斯坦电信对YouTube的攻击发生时,路由浏览量有80分钟没有看到它。对于中国电信的攻击,他们在30秒内就看到了。
如果你要对一屋子的首席信息官讲话,你会给他们什么关于互联网安全的建议?
我会鼓励他们尽快加入DNSSEC的行列,尤其是那些网络公司。这成为他们为自己的基础设施和使用他们基础设施的人提供另一层安全性的一种方式。我至少会让他们知道RPKI,并告诉他们应该把它列在他们的路线图上。虽然现在还没有,但它正在逐渐普及。我要告诉他们的另一件事是接触研发社区,利用一些可能会出现的更创新的安全技术,从僵尸网络到内部威胁身份检测技术。我们正在努力做更多的工作来连接研究界和操作界,以便cio和CISOs能够尽早地了解新的安全技术。