路由安全并不是一个新问题。几十年来人们都知道,为实现域间路由而设计的广泛使用的协议,即边界网关协议(BGP),存在关键性的漏洞:它缺乏一种内置机制来验证路由信息,这些信息在网络间共享,用来为数据流量选择全球范围的路径。

这意味着当网络在决定流量转发目的地时,往往无法验证目的地网络是否真正能够将其传送到预定地址。因此,无论是出于意外还是恶意,流量经常会被路由到错误的网络。人们常把这种问题称为BGP劫持。

由ROA覆盖的地址空间比例(数据来源:APNIC)

图1 使用RPKI加强互联网路由安全有两个要素。第一个要素是网络运营商要发布路由起源认证(ROA)。ROA是一种经过加密签名的对象,说明了对于一段或者一组IP地址前缀,哪个自治系统(AS/网络)拥有使用它们作为源地址的授权。

由于BGP劫持由来已久,研究人员和技术专家设计了各种方法阻止它的发生。最常用的解决方案之一,是一个名为“资源公钥基础设施(RPKI)”的框架,于2012年由互联网工程任务组标准化。

在RPKI框架下,网络能够发布加密记录,其他网络可以用它们来验证通过BGP传播的信息,有效确保网络流量不被劫持。不过,要充分受益于RPKI的保护,网络需要为它们使用的整个IP地址空间发布RPKI记录。

令人沮丧的是,尽管RPKI已经存在了十多年,但推广一直很慢。在2024年的今天,全球通过BGP发布的IP地址中,只有大约一半有RPKI记录。

图2 资源公钥基础设施 (RPKI) 在各地区互联网注册管理机构辖区的覆盖率(AFRINIC=非洲,APNIC=亚太地区,ARIN=北美和加勒比地区,LACNIC=南美和中美洲,RIPENCC=欧洲和中东)

我们希望通过研究了解为何RPKI的部署如此缓慢,哪怕它能解决的安全风险已经众所周知,以及哪些组织在RPKI的部署方面处于滞后状态。我们希望这些发现能为政策制定者提供参考,以推进RPKI的部署,从而增强BGP的安全保障。在近期美国政府再次发力推动解决路由安全问题的背景下,这项工作的意义就更为突出了。

影响RPKI部署的关键因素

在分析中,我们发现了影响各个组织部署RPKI的四个关键特征:地理位置、网络规模、业务类型和地址空间的复杂度。

我们认为,RPKI部署率的地域差异源于各个地区互联网注册管理机构 (RIR) 各自独立的RPKI记录发布流程和要求。最终它们导致每个RIR管理的地理区域的RPKI部署情况各不相同。

而且,网络规模也是一个重要因素,因为RPKI要求额外的管理和操作,而在日常运维中增加这些工作对规模较小的网络更具挑战性。

图3 使用RPKI签名和加密的IPv4地址占比,对比头部10%的大网络和尾部10%的小网络(按源地址空间总量排序)‍

此外, 相比那些与在线服务关系密切的组织,与互联网服务无关的组织(如教育和政府网络),对RPKI的认知和部署动力要更少。

最后,即使是在大型网络内,针对不同IP地址发布RPKI记录所需的工作量也不尽相同。地址空间的授权和再分配所涉及的法务和运维挑战,可能会使一部分地址空间更难部署RPKI。

我们计划以这些结果作为更广泛研究的起点,探寻那些RPKI部署较为落后的组织所面临的障碍,并提出可能的解决方案,帮助人们在未来应对这些挑战。

本文刊登于《中国教育网络》10月刊

来源:INTERNET SOCIETY

翻译:王文鑫

责编:陈茜

声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。