互聯網名址體系安全保障技術及其應用分析

王翠翠，延志偉，耿光剛

（1. 中國互聯網絡信息中心，北京 100190；2. 互聯網域名管理技術國家工程實驗室，北京 100190）

互聯網名址體系安全保障技術及其應用分析

王翠翠1,2，延志偉1,2，耿光剛1,2

（1. 中國互聯網絡信息中心，北京 100190；2. 互聯網域名管理技術國家工程實驗室，北京 100190）

為了確保域名系統與域間路由系統的安全運行，互聯網工程任務組（IETF, internet engineering task force）提出了2項互聯網名址體系安全保障技術——DNS安全擴展（DNSSEC, domain name system security extention）與資源公鑰基礎設施（RPKI, resource public key infrastructure）。在域名系統層面，DNSSEC通過使用公鑰基礎設施在DNS原有的體系結構上添加數字簽名，為DNS提供了權限認證和信息完整性驗證，成為了域名系統安全的基石；域間路由系統層面，RPKI通過公鑰證書對互聯網碼號資源的所有權和使用權進行認證，構建了一個支撐域間路由安全的互聯網基礎資源管理體系。近年來，DNSSEC與RPKI在全球范圍內的部署不斷推進，為了解其在全球互聯網的應用情況，以Alex 前106個網站為數據集，對2項互聯網名址體系安全保障技術及其應用狀況進行了研究與分析。

域名系統；域間路由系統；DNS安全擴展；資源公鑰基礎設施

1 引言

隨著互聯網的飛速發展及網絡安全事件的頻發，互聯網安全成為業界熱切關注的議題。域名系統和域間路由系統承擔著保障互聯網互聯互通的重要職能，因此其平穩運行對互聯網的安全至關重要。

作為互聯網重要的基礎設施之一，域名系統（DNS, domain name system）是一種分布式的等級制查詢服務，用以在域名和IP地址間進行翻譯轉換，是網民訪問網絡應用的唯一入口。

但作為互聯網中的早期協議，DNS體系結構建立在互信模型之上，缺乏DNS信息的完整性保障和認證機制。因此，攻擊者可發動中間人攻擊注入錯誤的響應信息，并在檢驗其合法的情況下被查詢者接收，該類攻擊被稱作 DNS欺騙攻擊（DNS spoofing）。在DNS運行機制中，為了避免對同一查詢重復發送請求，在接收到DNS權威服務器返回的查詢結果后，遞歸服務器會將結果進行保存，并設置一定的保存時長，這樣就形成了DNS緩存。基于該機制DNS欺騙攻擊的響應信息會通過污染DNS緩存構成DNS緩存投毒攻擊，導致后續針對該記錄的查詢均返回偽造的響應信息。

DNS系統的脆弱性以及其對互聯網的至關重要性，使其極易成為黑客的攻擊目標。近年來，DNS安全攻擊事件頻繁見諸報端：2010年1月，百度遭遇DNS劫持；2011年9月，微軟、宏碁等眾多知名網站遭遇DNS劫持；2014年1月，全國DNS故障；2015年11月，DNS根服務器遭遇攻擊；2015年12月，土耳其國家頂級域遭攻擊。隨著DNS攻擊事件頻繁發生，DNS的安全性日益突出。

作為域間路由系統層面的關鍵基礎設施，邊界網關協議（BGP, border gateway protocol）通過交換互聯網中自治域系統（AS, autonomous systems）之間的路由宣告，實現自治域系統間的互聯互通。然而BGP在安全方面的設計存在嚴重不足：BGP默認接受AS通告的任何路由，因此即使一個AS向外通告不屬于自己的IP前綴，該通告也會被對端接受并繼續傳播。正是因為BGP在設計方面的這一安全缺陷，使網絡中惡意用戶的蓄意攻擊以及網絡管理員錯誤的參數配置都可能導致一種嚴重的互聯網安全威脅——路由劫持。

近些年，發生的典型路由劫持包括：2004年12月的土耳其電信集團劫持互聯網事件[1]；2008年2月的巴基斯坦劫持YouTube事件[2]；2014年2月的加拿大流量劫持事件[3]；2015年1月的美國ISP劫持日本地址前綴事件[4]；2015年11月的印度運營商 Bharti Airtel劫持大量地址前綴事件[5]等。路由劫持對互聯網的正常運行影響非常大，可能會導致路由黑洞、流量竊聽以及大規模的拒絕服務攻擊[6]等。

因此，互聯網工程任務組（IETF, Internet Engineering Task Force）提出了2項互聯網名址體系安全保障技術——DNS安全擴展（DNSSEC, domain name system security extention）與資源公鑰基礎設施（RPKI, resource public key infrastructure），用以保障域名系統及域間路由系統的安全運行。

2 互聯網名址體系安全保障技術

2.1 DNSSEC

2.1.1 技術原理

為了保障DNS數據在傳輸過程中不被更改，IETF于1997年提出了DNSSEC技術體系。利用公鑰基礎設施（PKI, public key infrastructure），DNSSEC在DNS原有的體系結構上添加數字簽名，為DNS消息提供了權限認證和信息完整性驗證。

DNSSEC機制為DNS提供3方面的安全保障[7]：1) 為 DNS體系提供數據來源驗證，保障了DNS數據來源的準確性；2) 驗證數據完整性，確保數據在傳輸過程中不被篡改；3) 為否定應答報文提供驗證。

DNSSEC工作機制主要包括以下幾步。

1) 基于公鑰加密系統DNS服務器（一般是區內的主服務器）產生了一對密鑰：公鑰和私鑰。

2) DNS服務器使用私鑰對資源記錄（RR, resource record）進行加密運算得到一個新的資源記錄——RRSIG，并將RRSIG與RR作為應答報文發送給查詢客戶端。同時，RRSIG中還包含公鑰或數字簽名算法的代碼。

3) 針對接收到的應答報文，客戶端利用公鑰和加密算法對其進行加密運算，并將計算結果同應答報文中的RRSIG相比較，如果二者相同，則表明應答報文中的資源記錄為真，否則表明收到的資源記錄被篡改。

在實際運行過程中，每個DNSSEC區均有2個密鑰對。第1個密鑰對為區簽名密鑰（ZSK, zone signing key），用于對DNS資源記錄進行簽名；第2個密鑰對為密鑰簽名密鑰（KSK, key signing key），用于對包含密鑰（如ZSK）的資源記錄進行簽名。

在DNSSEC體系中，遞歸服務器首先用KSK公鑰對DNSKEY進行驗證，然后用ZSK公鑰對數據的完整性進行驗證。如果遞歸服務器信任它所使用的KSK公鑰，則稱該KSK公鑰為該遞歸服務器的信任錨。

DNSSEC區將其KSK公鑰交給父區，由父區用自己的私鑰對其進行簽名，并以此類推，這樣的過程稱為安全授權。利用安全授權的過程到達信任錨時，形成了一條信任鏈。由于根區位于DNS層級結構中的最頂端，且具有唯一性，因此根區的KSK公鑰成為所有區的信任錨。如果沿著信任鏈可到達根區，那么通過使用根區的KSK公鑰進行簽名驗證，則可以保障數據來源的可靠性和數據本身的完整性。

2.1.2 部署現狀

近年來，DNSSEC在全球的部署逐步推進。

2010年7月，ICANN發布根區信任錨，所有的根服務器完成了 DNSSEC部署并正式宣布對外提供DNSSEC服務；2011年3月，全球最大的頂級域.com完成DNSSEC的部署；2011年5月18日，Nominet在.uk域內部署DNSSEC；2012年1月，Comcast宣布其所有的DNS解析器均支持DNSSEC驗證，且其服務范圍內的所有區數據均已部署DNSSEC；截至2012年4月6日，全球范圍內完成DNSSEC部署的TLD已達91個，占全部頂級域總數的30.9%。

自20世紀末DNSSEC概念被提出以來，其發展歷程已達20年之久。作為保障互聯網名址體系安全保障技術之一，DNSSEC在全球主流網站中的部署程度是決定全球互聯網能否更加有序運作的關鍵因素，但當前DNSSEC在全球的部署應用程度如何仍未可知。

2.2 RPKI

2.2.1 技術原理

為保障域間路由系統的安全，一些針對BGP缺陷的解決方案相繼被提出，其中以BBN公司提出的 S-BGP（Secure BGP）和思科公司提出的soBGP（secure origin BGP）在業界最具影響力。為了驗證路由通告中 IP地址前綴和傳播路徑上AS號之間的綁定關系，防止路由劫持的發生，S-BGP的方案中引入了一種附加簽名的 BGP擴展消息格式。將數字證書和簽名機制引入了BGP范疇，從而需要一套公鑰基礎設施的支持， RPKI應運而生。

RPKI通過構建一個公鑰證書體系完成對互聯網碼號資源（INR, Internet number resource）（包括IP前綴和AS號）所有權（分配關系）和使用權（路由源授權）的認證，所產生“認證信息”可進一步用于BGP路由器的路由決策，幫助其驗證BGP報文中路由源AS的真實性，從而防止路由劫持的發生[8]。RPKI技術體系的基本功能之一是對INR的分配提供密碼學上可驗證的擔保。當前互聯網號碼資源的分配為分層式架構：最頂層是互聯網號碼分配機構（IANA, Internet assigned numbers authority），IANA將INR分配給5個區域性互聯網注冊機構（RIR, regional Internet registry），包括亞太互聯網絡信息中心、非洲互聯網絡信息中心、美國網絡地址注冊中心、拉丁美洲和加勒比地區互聯網地址注冊管理機構以及歐洲網絡協調中心，RIR將資源分配給其下級節點，如本地互聯網注冊機構（LIR, local Internet registry）、國家級互聯網注冊機構（NIR, national Internet registry）和互聯網服務提供商（ISP, Internet service provider），下級節點再依照地址分配邏輯繼續逐級向下分配資源。

為了保障INR的所有權和使用權，RPKI體系中的任一節點在進行資源分配的同時，將簽發相應的證書。RPKI體系主要包括2種證書：認證權威（CA, certificate authority）證書[9]和端實體（EE, end entity）證書[10]。CA證書用于保障INR所有權，EE證書則用于對路由源授權（ROA, route origin authorization）進行認證。RPKI路由起源認證中最重要的對象就是ROA，它為資源持有者授權某個AS，它為其所擁有的特定的IP前綴發起路由起源通告提供了擔保。

如圖1所示，RPKI的體系架構包括3個功能模塊：CA、資料庫（repository）和依賴方（RP, relying party）。這3個模塊完成RPKI數字簽名對象的簽發、存儲、驗證，從而最終實現RPKI的路由起源認證功能。

1) 運行CA的實體機構包括IANA、RIR、NIR、ISP等。CA通過簽發CA證書來證明INR的所有權，通過簽發ROA授權某個AS針對特定的IP地址前綴發起路由起源通告。

2) 資料庫用于存儲CA發布的各種包含INR分配信息和授權信息的CA證書、ROA等數字簽名對象，并提供給全球的依賴方進行同步和驗證。

3) 依賴方從資料庫中同步 RPKI的數字簽名對象，對這些數字簽名對象進行驗證后將其處理成IP前綴與AS號的合法授權關系，最后將該授權關系提供給BGP路由器，用于指導其路由決策。

最后，利用RPKI數據，開啟RPKI的BGP路由器可對其接收的BGP更新消息進行驗證。這樣，BGP路由被分類為3種狀態：valid、invalid和unknown，進而可配置BGP路由器，通過拒絕一個不合法的路由宣告最終防止路由劫持的發生。

2.2.2 部署狀況

近年來，RPKI在全球的部署逐步推進：2012年2月，IETF SIDR工作組發布了14個RPKI核心技術相關的 RFC（RFC6480-RFC6493）；2012年初，全球五大RIR已全部對其會員開放互聯網資源認證業務[11]；2013年2月，JPNIC面向日本國內的運營商開放了公共RP服務[12]，并積極推動RPKI在日本的部署；2013年9月，南美洲厄瓜多爾國內的運營商在LACNIC的技術支持下，成功部署RPKI路由源認證系統[13]。

同時，互聯網工業界也在積極研究RPKI關鍵技術可能帶來的新機遇：BBN公司開發了 BBN Relying Party軟件并進行相應的實驗；Cisco、Juniper等廠商的路由設備也開始支持基于RPKI的路由起源驗證，并推出了相應的產品；Alcatel Lucent也正積極研發支持RPKI的相關產品。

可見，RPKI技術體系對互聯網應用的有序運行至關重要，但當前RPKI在全球互聯網中的應用狀況如何，仍處于未知狀態。

因此，為了分析DNSSEC技術與RPKI技術在全球的應用狀況，本文提出了針對2種技術應用狀況的統計分析方法。

圖1 RPKI體系架構

3 統計方法

在本文提出的統計方法中，考慮到網站是互聯網應用最重要的構成部分，因此將DNSSEC與RPKI在全球主流網站中的應用率是其在全球互聯網應用中應用程度的有效度量。所以，本文以Alexa（專門發布網站世界排名的權威網站）列表中前106的網站為數據集，分析DNSSEC與RPKI在全球主流網站的應用率，用以分析 3項互聯網名址體系安全保障技術在全球的應用狀況。

3.1 DNSSEC應用狀況統計方法

為了分析Alexa前106個網站中DNSSEC的應用狀況，本文采用Google DNS公共遞歸服務器（8.8.8.8）對數據集中各網站對應的域名進行探測，并查看各個域名是否存在RRSIG記錄。如存在，則提取各域名對應的 RRSIG記錄，并對RRSIG記錄所使用的簽名算法、TTL等信息進行進一步分析。其中利用Google遞歸服務器進行域名探測的地點為北京，時間為2016年3月。

3.2 RPK應用狀況統計方法

如圖2所示，本文采用的RPKI應用狀況統計方法中包括挑選網站樣本、獲取網站域名所對應的IP地址、獲取IP地址對應前綴及源AS、驗證網站是否應用RPKI 4個步驟。

1) 挑選網站樣本

本文采用了Alexa列表中前106個網站作為分析樣本，這樣也可以更清晰直觀地了解 RPKI在Alexa排名不同的網站中的應用狀況。

2) 分析網站域名所對應的IP地址

為了分析Alexa前106個網站的域名所對應的IP地址，本文采用 Google DNS公共遞歸服務器對各網站的域名進行探測，并提取各域名對應的A記錄與AAAA記錄。其中利用Google遞歸服務器進行探測的地點為北京，時間為2016年3月。

3) 分析IP地址所對應的IP地址前綴以及宣告該前綴的AS號

本文采用了歐洲網絡協調中心（RIPE NCC, Reseaux IP Europeens Network Coordination Center）所提供的接口用以獲取 IP地址所對應的 IP地址前綴以及宣告該前綴的AS號（即源AS）：https://stat.ripe.net/data/network-info/data.＜format＞?＜parameters＞。

該接口可根據給定的 IP地址返回其對應的IP地址前綴及源AS，其用法如下：如https://stat. ripe.net/data/network-info/data.json?resource=140.7 8.90.50。

所需參數如表1所示。

表1 所需參數

返回值格式如表2所示。

表2 返回值格式

返回值示例如下。

圖2 RPKI覆蓋狀況統計方法

4) 驗證網站是否部署RPKI

本文采用Dragon labs（https：//rpki.net）提供的RPKI.net軟件包，搭建完成RP節點，并將5大RIR設為信任錨點，獲取各個信任錨點下的ROA簽名對象并進行驗證。

在RPKI體系中，BGP路由合法性狀態共為3種：valid、invalid以及unknown。在該步驟中，以經驗證后正確ROA數據為參照，對步驟3）獲取的IP地址前綴以及源AS（也即路由）的合法性進行判斷。其中RFC6483[14]中定義了有關BGP路由合法性驗證的方法。在已知路由的IP地址前綴及源AS的情況下，其判定標準如表3所示。在本文所提出的統計方法中，只有對應的網站BGP路由合法性狀態為valid，才判定該網站已應用RPKI。

表3 BGP路由合法性驗證標準

4 統計結果

4.1 DNSSEC在Alexa前106個網站中的應用狀況

4.1.1 應用率

經統計分析得出，Alexa前106個網站中，應用DNSSEC的網站數量為15 869個，應用率約為 1.59%；而在 Alexa前 106個網站中，支持DNSSEC網站數量為1 566個，支持率約為1.57%（如表4所示）。可見，雖然DNSSEC的部署工作已歷時6年，但其在互聯網中的應用率仍處于較低狀態。

表4 Alexa前106個萬網站DNSSEC部署率

4.1.2 應用地區分布

應用DNSSEC的網站分布于80多個國家和地區，尤以美國應用程度最高，如表4所示，應用數量最多的前4位國家包括美國、荷蘭、法國、捷克。

表5 應用DNSSEC的網站數量最多的國家

4.1.3 TLD分布

通過對支持 DNSSEC的網站域名進行分析可見，DNSSEC應用數量較多的前5位頂級域為：.com、.nl、.cz、.br以及.se，其中各頂級域中應用DNSSEC的網站數量分布如圖3所示。

4.1.4 使用算法

對應用DNSSEC的網站進行進一步分析，其在應用DNSSEC時所使用的算法代號分布如圖4所示。

圖3 應用DNSSEC的頂級域分布

圖4 應用DNSSEC的網站所使用的簽名算法代號分布

進一步地，根據IANA有關DNSSEC算法代號的規定，圖中所示的各算法代號其所代表簽名算法如表6所示。

表6 DNSSEC簽名算法代號及名稱

由圖4及表6可見，DNSSEC部署時使用最為普遍的算法為 RSASHA256、RSASHA1-NSEC3-SHA1、RSASHA1。

4.1.5 TTL分布

對應用DNSSEC網站數量最多的前10位頂級域進行分析，由圖5可見，平均TTL設置最高的為.br，TTL為68 569.3 s，設置最低的為.no，TTL為7 254.7 s。

4.2 RPKI在Alexa前106個網站中的應用狀況

4.2.1 應用率

經統計和分析，Alexa前 106個網站中，應用RPKI的網站數量為63 785個，應用率約為 6.4%。考慮到 RPKI體系從提出到其逐步的部署僅只有不到5年的時間，可見RPKI在全球的應用程度相較于 DNSSEC已處于較高的水平。

表7 Alexa前106個網站DNSSEC&RPKI應用率對比

4.2.2 應用地區分布

應用RPKI的網站遍布于世界90多個國家和地區。其中應用RPKI的網站在歐洲地區最為集中，由此可見歐洲地區的RPKI部署發展最為迅速；其次，拉丁美洲地區的部分國家已開展了RPKI的部署工作；對亞洲地區，日本、馬來西亞、印度、新加坡、菲律賓等數個國家已經開展了RPKI的部署；同時數據分析顯示，美國有112例網站已經應用RPKI，相較于DNSSEC在美國的應用程度可知，美國的RPKI部署工作尚處于初始階段。

應用RPKI網站數量最多的前10位國家如表8所示，其中德國居于首位。

圖5 前10位頂級域TTL分布

表8 應用RPKI的網站數量最多前10位國家

4.2.3 RPKI體系下網站的BGP路由合法性狀態分布

通過對Alexa前106個網站進行分組，每1 000個網站為一組，共獲得 1 000組數據。接下來，對RPKI validunknowninvalid狀態的網站數量進行統計。如圖6所示，Alexa前106個網站中RPKI valid的比例浮動范圍為[0.015, 0.08]，且前105個網站的RPKI應用率明顯低于后105個的網站。

圖6 Alexa前106個網站路由合法狀態分布

經統計，RPKI invalid狀態的網站數量約為174個，也就是說，如果這些網站的ROA對象被運用到路由決策中，極有可能造成這174個網站無法被用戶訪問。由此可見，如何保障簽發ROA的準確性也是決定RPKI體系能否全面部署及有序運行的關鍵因素。

5 結束語

作為保證互聯網互聯互通基本特點的重要基礎設施，域名系統與域間路由系統的平穩運行是保障互聯網安全的根本。為了確保域名系統及域間路由系統的安全運行，IETF提出了2項互聯網名址體系保障技術——DNSSEC與RPKI。在域名系統層面，DNSSEC通過使用公鑰基礎設施在DNS原有的體系結構上添加數字簽名，為 DNS提供了權限認證和信息完整性驗證，成為了域名系統安全的基石；域間路由系統層面，RPKI通過公鑰證書對互聯網碼號資源的所有權和使用權進行認證，構建了一個支撐域間路由安全的互聯網基礎資源管理體系。

近年來，DNSSEC與RPKI在全球范圍內的部署不斷推進。為了解其在全球互聯網的應用情況，本文提出了針對DNSSEC與RPKI技術的應用狀況分析方法，通過以Alexa前106個網站為數據集，分析DNSSEC與RPKI在全球主流網站中的應用率，以此對互聯網基礎設施DNSSEC與RPKI在全球互聯網中的應用狀況進行度量。通過分析得出，DNSSEC的應用率約為1.6%，尤其以美國的部署發達程度最高；同時，RPKI技術體系自2012年提出以來，其應用率已達到6.4%，并以歐洲地區的RPKI部署發達程度最高。

然而在DNSSEC與RPKI的部署實施過程中，仍然存在若干因素制約其應用和部署。

DNSSEC方面，首先，DNSSEC添加數字簽名使DNS系統的查詢和響應時延增大，降低了網絡性能；其次，DNSSEC所需密鑰的產生和校驗需要CPU計算能力做保障，因此需要升級相關的網絡設備、DNS軟件，這無疑增加了DNS運營和使用的成本；最后，由于DNS面臨的安全威脅并不僅是DNS欺騙攻擊，對于拒絕服務攻擊、釣魚攻擊等網絡安全威脅，DNSSEC并不能提供有效的解決方案。

RPKI方面，首先，缺乏CA資源分配誤操作（如CA證書的錯誤簽發、ROA數字簽名對象的誤簽發）的有效防御機制，而上述誤操作極易導致互聯網的大面積宕機；其次，各大RIR及NIR所使用的RPKI軟件各不相同，缺乏對各方軟件的兼容性測試；最后，在互聯網碼號資源分配過程中，存在一些特殊資源分配場景，如中國 ISP的碼號資源分配自CNNIC和APNIC，而RPKI體系尚未證明對于該場景的兼容性。

作為大規模改造互聯網基礎資源管理的協議框架，RPKI與DNSSEC對現有的互聯網名址技術體系具有較大的影響，其大規模部署可能存在的安全、可擴展和效率等多方面的問題事關我國網絡基礎設施的安全穩定，亟需對其關鍵技術進行深入研究和提前布局。

[1] ERMAN, BENLI, HANDE, et al. Optimality condition of place of injury rule in cross-border internet torts and implications for turkey[J]. US-China Law Review, 2014, 411(10):1315-1321.

[2] 朱韻成. YouTube全球受阻兩小時的背后[J]. 中國教育網絡, 2008(4):26-27. ZHU Y C. The whole truth of YouTube was has been blocked two hours[J]. China Education Network,2008(4):26-27.

[3] SOSNOVICH A, GRUMBERG O, NAKIBLY G. Analyzing Internet routing security using model checking[M]//Logic for Programming, Artificial Intelligence, Reasoning. 2015.

[4] 劉宇靖. 互聯網域間路由系統生存性研究[D]. 長沙: 國防科學技術大學, 2013. LIU Y J. Study of the Internet inter-domain routing system survivability[D]. Changsha: National University of Defense Technology,2013.

[5] SCHLAMP J, HOLZ R, JACQUEMART Q, et al. HEAP: reliable assessment of BGP hijacking attacks[J]. IEEE Journal on Selected Areas in Communications, 2016, 34(6):1849-1861.

[6] BALLANIH , FRANCIS P, ZHANGX. A study of prefix hijacking and interception in the Internet[C]//Conference on Applications, Technologies, Architectures and Protocols for Computer Communications. 2007:65-276.

[7] 崔淑田, 劉越. DNSSEC技術發展及影響分析[J]. 電信科學, 2012, 28(9):100-105. CUI S T, LIU Y. The development and influence analysis of DNSSEC[J].Telecommunications Science,2012, 28(9):100-105.

[8] 劉曉偉, 延志偉, 耿光剛, 等. RPKI中CA資源分配風險及防護技術[J]. 計算機系統應用, 2016, 25(8):16-22. LIU X W,YAN Z W,GENG G G, et al. CA resource allocation risk and protective technique in RPKI[J]. Computer Systems and Application, 2016, 25(8):16-22.

[9] LEPINSKIM, KENTS. An infrastructure to support secure Internet routing[S]. IETF RFC , 2012.

[10] LEPINSKIM, KENTS, KONGD. A profile for route origin authorizations (ROA)[S]. IETF RFC, 2012.

[11] WAEHLISCH M. Resource public key infrastructure (RPKI) router implementation[R]. 2014.

[12] RPKI local trust anchor use cases[DB/OL]. https://tools.ietf.org/html/ draft-ymbk-lta-use-cases-00.

[13] IAMARTINO D, PELSSER C, BUSH R. Measuring BGP route origin registration and validation[M]//Passive and Active Measurement. Berlin: Springer International Publishing, 2015:28-40.

[14] HUSTONG, MICHAELSONG. Validation of route origination using the resource certificate public key infrastructure (PKI) and route origin authorizations (ROAs)[S]. IETF RFC, 2012.

Internet naming and addressing system security technology and application analysis

WANG Cui-cui1,2, YAN Zhi-wei1,2, GENG Guang-gang1,2
(1. China Internet Network Information Center, Beijing 100190, China; 2. National Engineering Laboratory for Internet Domain Name Management, Beijing 100190, China)

In order to ensure the security of domain name system and inter-domain routing system, Internet Engineering Task Force (IETF) proposed two kinds of security technology, namely domain name system security extention (DNSSEC) and resource public key infrastructure (RPKI). For the domain name system, DNSSEC added the digital signature to the original architecture of DNS using the public key infrastructure and it provided the authentication and integrity verification of DNS information, which became the anchor of domain name system security. For the inter-domain routing system, RPKI utilized the public key certificate to authenticate the ownership and usage rights of the Internet number resources and builds an Internet resource management system to enhance inter-domain routing security. Recently, the globally development of DNSSEC and RPKI were continuously expanding. In order to research the application of the two kinds of technology, Alexa top 1 million websites were taken as the data set to study and analyze the application status of DNSSEC and RPKI.

domain name system, inter-domain routing system, domain name system security extension, resource public key infrastructure

TP393

A

10.11959/j.issn.2096-109x.2017.00147

王翠翠（1986-），女，山東濰坊人，中國互聯網絡信息中心助理研究員，主要研究方向為互聯網基礎資源安全、BGP安全機制、區塊鏈技術。

延志偉（1985-），男，山西興縣人，博士，中國互聯網絡信息中心副研究員，主要研究方向為IPv6移動性管理、BGP安全機制、信息中心網絡架構。

耿光剛（1980-），男，山東泰安人，博士，中國互聯網絡信息中心研究員，主要研究方向為機器學習、大數據分析和互聯網基礎資源安全。

2017-01-05；

2017-02-16。通信作者：王翠翠，wangcuicui@cnnic.cn

國家自然科學基金資助項目（No.61375039, No.61303242）

Foundation Item: The National Natural Science Foundation of China (No.61375039, No.61303242)