近日，荷蘭政府宣布將在2024年底之前全面采用RPKI（資源公鑰基礎(chǔ)設(shè)施）標(biāo)準(zhǔn)來提升互聯(lián)網(wǎng)路由安全性。

全球互聯(lián)網(wǎng)是由眾多獨(dú)立管理的“自治系統(tǒng)”（AS）組成的網(wǎng)絡(luò)，而BGP（邊界網(wǎng)關(guān)協(xié)議）是將整個(gè)互聯(lián)網(wǎng)組合起來的“膠水”。BGP協(xié)議是互聯(lián)網(wǎng)系統(tǒng)進(jìn)行路由信息傳遞的重要協(xié)議，但其安全性卻一直令人擔(dān)憂，外部攻擊或人工配置錯(cuò)誤等安全問題頻發(fā)，給網(wǎng)絡(luò)運(yùn)營商和企業(yè)帶來極大威脅。

BGP缺少內(nèi)置的安全機(jī)制來保護(hù)交換的路由信息的完整性，或?yàn)椴グl(fā)的IP地址空間提供身份驗(yàn)證和授權(quán)，AS運(yùn)營商必須隱式信任通過BGP交換的路由信息。因此，互聯(lián)網(wǎng)容易受到虛假路由信息注入的影響，而這些信息無法通過網(wǎng)絡(luò)客戶端或服務(wù)器級(jí)別的安全措施來緩解。

(資料圖片僅供參考)

有權(quán)訪問BGP路由器的攻擊者可以將欺詐性路由注入路由系統(tǒng)，這些路由可用于執(zhí)行一系列攻擊，包括：

通過流量黑洞或重定向的拒絕服務(wù)攻擊（DoS）

竊聽通信的冒充攻擊

中間機(jī)器利用漏洞修改交換的數(shù)據(jù)，并破壞基于信譽(yù)的過濾系統(tǒng)

為了抵御日趨頻繁和嚴(yán)重的互聯(lián)網(wǎng)路由劫持事故，RPKI（資源公鑰基礎(chǔ)設(shè)施）應(yīng)運(yùn)而生。它通過簽發(fā)和認(rèn)證一種特定格式的x.509數(shù)字證書和數(shù)字簽名，幫助路由器檢驗(yàn)BGP消息的真實(shí)性，從而增強(qiáng)BGP協(xié)議的安全，避免互聯(lián)網(wǎng)路由劫持。

荷蘭政府率先整體過渡到RPKI

荷蘭政府在上周的一項(xiàng)決定中通過決議，支持荷蘭標(biāo)準(zhǔn)化論壇的建議：在2024年之前要求荷蘭政府管理的所有現(xiàn)有和新增通信設(shè)備（ICT）都必須遵循RPKI標(biāo)準(zhǔn)。

RPKI證書集中存儲(chǔ)并保持公開，允許來自世界任何地方的網(wǎng)絡(luò)提供商驗(yàn)證互聯(lián)網(wǎng)流量路由。

實(shí)施RPKI的網(wǎng)絡(luò)可以確信互聯(lián)網(wǎng)流量?jī)H通過授權(quán)路徑路由，從而消除了中間人或其他數(shù)據(jù)轉(zhuǎn)移和攔截攻擊的風(fēng)險(xiǎn)。

如果沒有RPKI，互聯(lián)網(wǎng)路由取決于網(wǎng)絡(luò)運(yùn)營商之間的“隱式信任”，運(yùn)營商會(huì)廣播各自所管理的IP前綴。但在這種模式下，如果運(yùn)營商錯(cuò)誤地廣播了其所管理的IP前綴，則會(huì)收到原本不會(huì)通過其路徑節(jié)點(diǎn)的流量。

除了性能影響（例如網(wǎng)絡(luò)延遲、中斷）之外，這種基于隱式信任的模型還為惡意BGP劫持打開了大門，允許流量攔截和監(jiān)控，以及欺騙合法IP地址以進(jìn)行垃圾郵件。下圖是2008-2021年的一些重大BGP路由安全事件：

圖片來源：安全內(nèi)參

2022年俄烏戰(zhàn)爭(zhēng)期間，BGP路由安全問題集中爆發(fā)，不僅烏克蘭國家銀行和重要軍事網(wǎng)站遭遇AS級(jí)別的DDoS攻擊，烏克蘭運(yùn)營商的BGP狀況頻出，俄羅斯的國際互聯(lián)網(wǎng)路由也因?yàn)槲鞣骄W(wǎng)絡(luò)運(yùn)營商的制裁出現(xiàn)頻頻中斷的情況。

俄烏戰(zhàn)爭(zhēng)不僅暴露了互聯(lián)網(wǎng)基礎(chǔ)設(shè)施（例如海底電纜）和基礎(chǔ)協(xié)議的脆弱性，同時(shí)也讓RPKI的普及再次成為業(yè)界關(guān)注的重點(diǎn)。

RPKI全球普及進(jìn)度不容樂觀

RPKI在荷蘭的采用率已經(jīng)很高，77.9%的政府網(wǎng)站和75.1%的電子郵件域已經(jīng)支持該標(biāo)準(zhǔn)（下圖）。

但是，由于二級(jí)ISP部署的滯后，RPKI的全球采用速度比其開發(fā)和支持者所期望的要慢。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）官網(wǎng)有一個(gè)實(shí)時(shí)的RPKI監(jiān)測(cè)工具（https://rpki-monitor.antd.nist.gov/），可提供有關(guān)從各種數(shù)據(jù)庫中提取的RPKI生態(tài)系統(tǒng)的實(shí)時(shí)信息，包括BGP路由信息。

根據(jù)2023年4月的NIST數(shù)據(jù)（下圖），大約41%的可驗(yàn)證IPv4流量前綴符合RPKI，58%的IPv4流量容易受到路由事件的影響，其余1%的流量的路由源密鑰不匹配，因此無效。

RPKI有助于建設(shè)更安全的互聯(lián)網(wǎng)，但迄今只有41%的采用率表明，要改善全球流量安全還有很長(zhǎng)的路要走。