TC3通过“BGPsec技术要求 算法、密钥格式和签名格式”等3项行标报批稿,推动互联网路由安全技术发展

2022-01-14 来源:中国通信标准化协会

互联网被划分为众多较小的自治系统(Autonomous System, AS),目前,自治系统之间的路由选择普遍采用边界网关协议(Border Gateway Protocol, BGP),但BGP在安全方面存在严重不足。构建在RPKI之上的BGPsec,作为重要的BGP安全保障技术,能有效解决BGP存在的路由源授权认证、路径认证缺失和路由泄露攻击的问题,并降低大量认证数据同步对于路由协议运行效率的负面影响。因此,为提升路由系统安全,完善BGPsec操作要求,规范算法、密钥格式和签名格式,规范BGPsec过程与自治系统(AS)安全迁移过程,将成为推动BGPsec技术发展的重要工作组成。

一方面,随着BGPsec技术在网络中逐渐部署应用,如何保障使用者按规则操作、部署、修缮BGPsec技术,成为业界重点探讨的方向。另一方面,BGPsec作为一项新协议技术,在其广泛部署过程中暴露了许多运维和安全风险,需制定相关的管理策略、协议规范与关键技术要求,并对BGPsec协议进行拓展完善,加速BGPsec协议在我国的大规模落地与部署,从而为路由安全提供更为全面的协议保障。

2022年01月06日,TC3WG2网络信令协议与设备工作组召开第52次会议,审查通过了由暨南大学、中国互联网络信息中心、中国信息通信研究院、中国电信等共同起草的行业标准《BGPsec技术要求 算法、密钥格式和签名格式》、《BGPsec技术要求 BGPsec操作要求》、《BGPsec技术要求 自治系统(AS)迁移的BGPsec协议支持要求》送审稿。此3项标准的制定为推动BGPsec技术发展与落地部署奠定了重要基础,规范了BGPsec技术算法、密钥格式和签名格式要求,制定了BGPsec操作要求与自治系统(AS)迁移的技术要求,将促进BGPsec技术的发展与路由系统安全的成熟,指导产业界进行相关产品研发和部署实施。(作者:孔凯传、王妮娜)