近日，荷蘭政府宣布將在2024年底之前全面采用RPKI（資源公鑰基礎(chǔ)設(shè)施）標(biāo)準(zhǔn)來提升互聯(lián)網(wǎng)路由安全性。

全球互聯(lián)網(wǎng)是由眾多獨立管理的“自治系統(tǒng)”（AS）組成的網(wǎng)絡(luò)，而BGP（邊界網(wǎng)關(guān)協(xié)議）是將整個互聯(lián)網(wǎng)組合起來的“膠水”。BGP協(xié)議是互聯(lián)網(wǎng)系統(tǒng)進行路由信息傳遞的重要協(xié)議，但其安全性卻一直令人擔(dān)憂，外部攻擊或人工配置錯誤等安全問題頻發(fā)，給網(wǎng)絡(luò)運營商和企業(yè)帶來極大威脅。

BGP缺少內(nèi)置的安全機制來保護交換的路由信息的完整性，或為播發(fā)的IP地址空間提供身份驗證和授權(quán)，AS運營商必須隱式信任通過BGP交換的路由信息。因此，互聯(lián)網(wǎng)容易受到虛假路由信息注入的影響，而這些信息無法通過網(wǎng)絡(luò)客戶端或服務(wù)器級別的安全措施來緩解。

(資料圖片僅供參考)

有權(quán)訪問BGP路由器的攻擊者可以將欺詐性路由注入路由系統(tǒng)，這些路由可用于執(zhí)行一系列攻擊，包括：

通過流量黑洞或重定向的拒絕服務(wù)攻擊（DoS）

竊聽通信的冒充攻擊

中間機器利用漏洞修改交換的數(shù)據(jù)，并破壞基于信譽的過濾系統(tǒng)

為了抵御日趨頻繁和嚴(yán)重的互聯(lián)網(wǎng)路由劫持事故，RPKI（資源公鑰基礎(chǔ)設(shè)施）應(yīng)運而生。它通過簽發(fā)和認證一種特定格式的x.509數(shù)字證書和數(shù)字簽名，幫助路由器檢驗BGP消息的真實性，從而增強BGP協(xié)議的安全，避免互聯(lián)網(wǎng)路由劫持。

荷蘭政府率先整體過渡到RPKI

荷蘭政府在上周的一項決定中通過決議，支持荷蘭標(biāo)準(zhǔn)化論壇的建議：在2024年之前要求荷蘭政府管理的所有現(xiàn)有和新增通信設(shè)備（ICT）都必須遵循RPKI標(biāo)準(zhǔn)。

RPKI證書集中存儲并保持公開，允許來自世界任何地方的網(wǎng)絡(luò)提供商驗證互聯(lián)網(wǎng)流量路由。

實施RPKI的網(wǎng)絡(luò)可以確信互聯(lián)網(wǎng)流量僅通過授權(quán)路徑路由，從而消除了中間人或其他數(shù)據(jù)轉(zhuǎn)移和攔截攻擊的風(fēng)險。

如果沒有RPKI，互聯(lián)網(wǎng)路由取決于網(wǎng)絡(luò)運營商之間的“隱式信任”，運營商會廣播各自所管理的IP前綴。但在這種模式下，如果運營商錯誤地廣播了其所管理的IP前綴，則會收到原本不會通過其路徑節(jié)點的流量。

除了性能影響（例如網(wǎng)絡(luò)延遲、中斷）之外，這種基于隱式信任的模型還為惡意BGP劫持打開了大門，允許流量攔截和監(jiān)控，以及欺騙合法IP地址以進行垃圾郵件。下圖是2008-2021年的一些重大BGP路由安全事件：

圖片來源：安全內(nèi)參

2022年俄烏戰(zhàn)爭期間，BGP路由安全問題集中爆發(fā)，不僅烏克蘭國家銀行和重要軍事網(wǎng)站遭遇AS級別的DDoS攻擊，烏克蘭運營商的BGP狀況頻出，俄羅斯的國際互聯(lián)網(wǎng)路由也因為西方網(wǎng)絡(luò)運營商的制裁出現(xiàn)頻頻中斷的情況。

俄烏戰(zhàn)爭不僅暴露了互聯(lián)網(wǎng)基礎(chǔ)設(shè)施（例如海底電纜）和基礎(chǔ)協(xié)議的脆弱性，同時也讓RPKI的普及再次成為業(yè)界關(guān)注的重點。

RPKI全球普及進度不容樂觀

RPKI在荷蘭的采用率已經(jīng)很高，77.9%的政府網(wǎng)站和75.1%的電子郵件域已經(jīng)支持該標(biāo)準(zhǔn)（下圖）。

但是，由于二級ISP部署的滯后，RPKI的全球采用速度比其開發(fā)和支持者所期望的要慢。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）官網(wǎng)有一個實時的RPKI監(jiān)測工具（https://rpki-monitor.antd.nist.gov/），可提供有關(guān)從各種數(shù)據(jù)庫中提取的RPKI生態(tài)系統(tǒng)的實時信息，包括BGP路由信息。

根據(jù)2023年4月的NIST數(shù)據(jù)（下圖），大約41%的可驗證IPv4流量前綴符合RPKI，58%的IPv4流量容易受到路由事件的影響，其余1%的流量的路由源密鑰不匹配，因此無效。

RPKI有助于建設(shè)更安全的互聯(lián)網(wǎng)，但迄今只有41%的采用率表明，要改善全球流量安全還有很長的路要走。