路由安防实践为何推广如此缓慢？-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 技　　术 > 网络安全

路由安防实践为何推广如此缓慢？

2024-12-16 中国教育网络

　　路由安全并不是一个新问题。几十年来人们都知道，为实现域间路由而设计的广泛使用的协议，即边界网关协议（BGP），存在关键性的漏洞：它缺乏一种内置机制来验证路由信息，这些信息在网络间共享，用来为数据流量选择全球范围的路径。

　　这意味着当网络在决定流量转发目的地时，往往无法验证目的地网络是否真正能够将其传送到预定地址。因此，无论是出于意外还是恶意，流量经常会被路由到错误的网络。人们常把这种问题称为BGP劫持。

由ROA覆盖的地址空间比例（数据来源：APNIC）

　　图1 使用RPKI加强互联网路由安全有两个要素。第一个要素是网络运营商要发布路由起源认证（ROA）。ROA是一种经过加密签名的对象，说明了对于一段或者一组IP地址前缀，哪个自治系统（AS/网络）拥有使用它们作为源地址的授权。

　　由于BGP劫持由来已久，研究人员和技术专家设计了各种方法阻止它的发生。最常用的解决方案之一，是一个名为“资源公钥基础设施（RPKI）”的框架，于2012年由互联网工程任务组标准化。

　　在RPKI框架下，网络能够发布加密记录，其他网络可以用它们来验证通过BGP传播的信息，有效确保网络流量不被劫持。不过，要充分受益于RPKI的保护，网络需要为它们使用的整个IP地址空间发布RPKI记录。

　　令人沮丧的是，尽管RPKI已经存在了十多年，但推广一直很慢。在2024年的今天，全球通过BGP发布的IP地址中，只有大约一半有RPKI记录。

图2 资源公钥基础设施 (RPKI) 在各地区互联网注册管理机构辖区的覆盖率（AFRINIC=非洲，APNIC=亚太地区，ARIN=北美和加勒比地区，LACNIC=南美和中美洲，RIPENCC=欧洲和中东）

　　我们希望通过研究了解为何RPKI的部署如此缓慢，哪怕它能解决的安全风险已经众所周知，以及哪些组织在RPKI的部署方面处于滞后状态。我们希望这些发现能为政策制定者提供参考，以推进RPKI的部署，从而增强BGP的安全保障。在近期美国政府再次发力推动解决路由安全问题的背景下，这项工作的意义就更为突出了。

　　影响RPKI部署的关键因素

　　在分析中，我们发现了影响各个组织部署RPKI的四个关键特征：地理位置、网络规模、业务类型和地址空间的复杂度。

　　我们认为，RPKI部署率的地域差异源于各个地区互联网注册管理机构 (RIR) 各自独立的RPKI记录发布流程和要求。最终它们导致每个RIR管理的地理区域的RPKI部署情况各不相同。

　　而且，网络规模也是一个重要因素，因为RPKI要求额外的管理和操作，而在日常运维中增加这些工作对规模较小的网络更具挑战性。

图3 使用RPKI签名和加密的IPv4地址占比，对比头部10%的大网络和尾部10%的小网络（按源地址空间总量排序）

　　此外，相比那些与在线服务关系密切的组织，与互联网服务无关的组织（如教育和政府网络），对RPKI的认知和部署动力要更少。

　　最后，即使是在大型网络内，针对不同IP地址发布RPKI记录所需的工作量也不尽相同。地址空间的授权和再分配所涉及的法务和运维挑战，可能会使一部分地址空间更难部署RPKI。

　　我们计划以这些结果作为更广泛研究的起点，探寻那些RPKI部署较为落后的组织所面临的障碍，并提出可能的解决方案，帮助人们在未来应对这些挑战。

　　本文刊登于《中国教育网络》10月刊

　　来源：INTERNET SOCIETY

　　翻译：王文鑫

　　责编：陈茜

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。