路由安全并不是一個新問題。幾十年來人們都知道,為實現域間路由而設計的廣泛使用的協議,即邊界網關協議(BGP),存在關鍵性的漏洞:它缺乏一種內置機制來驗證路由信息,這些信息在網絡間共享,用來為數據流量選擇全球范圍的路徑。
這意味著當網絡在決定流量轉發目的地時,往往無法驗證目的地網絡是否真正能夠將其傳送到預定地址。因此,無論是出于意外還是惡意,流量經常會被路由到錯誤的網絡。人們常把這種問題稱為BGP劫持。
使用RPKI加強互聯網路由安全有兩個要素。第一個要素是網絡運營商要發布路由起源認證(ROA)。ROA是一種經過加密簽名的對象,說明了對于一段或者一組IP地址前綴,哪個自治系統(AS/網絡)擁有使用它們作為源地址的授權。
由于BGP劫持由來已久,研究人員和技術專家設計了各種方法阻止它的發生。最常用的解決方案之一,是一個名為“資源公鑰基礎設施(RPKI)”的框架,于2012年由互聯網工程任務組標準化。
在RPKI框架下,網絡能夠發布加密記錄,其他網絡可以用它們來驗證通過BGP傳播的信息,有效確保網絡流量不被劫持。不過,要充分受益于RPKI的保護,網絡需要為它們使用的整個IP地址空間發布RPKI記錄。
令人沮喪的是,盡管RPKI已經存在了十多年,但推廣一直很慢。在2024年的今天,全球通過BGP發布的IP地址中,只有大約一半有RPKI記錄。
我們希望通過研究了解為何RPKI的部署如此緩慢,哪怕它能解決的安全風險已經眾所周知,以及哪些組織在RPKI的部署方面處于滯后狀態。我們希望這些發現能為政策制定者提供參考,以推進RPKI的部署,從而增強BGP的安全保障。在近期美國政府再次發力推動解決路由安全問題的背景下,這項工作的意義就更為突出了。
影響RPKI部署的關鍵因素
在分析中,我們發現了影響各個組織部署RPKI的四個關鍵特征:地理位置、網絡規模、業務類型和地址空間的復雜度。
我們認為,RPKI部署率的地域差異源于各個地區互聯網注冊管理機構 (RIR) 各自獨立的RPKI記錄發布流程和要求。最終它們導致每個RIR管理的地理區域的RPKI部署情況各不相同。
而且,網絡規模也是一個重要因素,因為RPKI要求額外的管理和操作,而在日常運維中增加這些工作對規模較小的網絡更具挑戰性。
此外, 相比那些與在線服務關系密切的組織,與互聯網服務無關的組織(如教育和政府網絡),對RPKI的認知和部署動力要更少。
最后,即使是在大型網絡內,針對不同IP地址發布RPKI記錄所需的工作量也不盡相同。地址空間的授權和再分配所涉及的法務和運維挑戰,可能會使一部分地址空間更難部署RPKI。
我們計劃以這些結果作為更廣泛研究的起點,探尋那些RPKI部署較為落后的組織所面臨的障礙,并提出可能的解決方案,幫助人們在未來應對這些挑戰。
本文刊登于《中國教育網絡》10月刊
來源:INTERNET SOCIETY
翻譯:王文鑫
責編:陳茜
