- 信息安全是一个永恒的热门话题,边界网关协议(BGP)长期以来一直面临漏洞暴露的问题。了解一个新的加密框架——资源公钥基础设施(RPKI)是很有价值的。
- 网络运营商使用基于信任的机制(如对等协议和手动路由过滤)来降低 BGP 劫持的风险,虽然这些机制在一定程度上有效,但本身也存在局限性。
- 通过利用加密技术的力量,RPKI 为 BGP 漏洞带来的持续挑战提供了一个标准化、可扩展的解决方案。
我们的观点:
RPKI 代表了互联网路由安全领域的一次巨大飞跃,它利用加密技术为 BGP 漏洞带来的持续挑战提供了一个标准化、可扩展的解决方案。
——BTW 记者 王飞
为什么我们需要 RPKI?
当谈到网络信息安全时,你可能听说过边界网关协议(BGP)。然而,作为互联网路由的骨干,BGP 长期以来一直面临漏洞暴露,这使其容易受到操纵和劫持。资源公钥基础设施(RPKI)是一个加密框架,旨在增强 BGP 并保护互联网路由免受恶意行为者的侵害。
另请阅读:什么是路由信息协议(RIP)?
底层的 BGP 是连接互联网骨干的协议,帮助路由器决定数据包在互联网上传输的最有效路径。它在网络(自治系统)之间交换路由信息,类似于 GPS 与卫星和其他 GPS 设备通信以提供准确的导航方向。路由器通过 BGP 消息向相邻路由器通告其可用路由。这些消息包含有关可到达的 IP 前缀及其路径的信息。然后,相邻路由器利用这些信息更新其路由表,并确定目的 IP 地址转发流的最佳路径。
另请阅读: 安全、匿名与稳定性:为什么代理服务器正成为越来越受欢迎的互联网工具
但有一个我们不能忽视的情况:如果某个恶意实体渗透进互联网服务提供商的网络,并欺诈性地宣告错误的 IP 前缀路由,那么合法的流量会突然转向不希望到达的目的地,造成混乱,并破坏在线服务的机密性、完整性和可用性。这种阴险的现象有时被称为 BGP 劫持,凸显了迫切需要强有力的安全措施来保护互联网路由。
举个例子:2008 年 2 月,为了执行政府命令,巴基斯坦电信错误地宣告了一条 BGP 路由,将 YouTube 流量重定向到自己的服务器。不幸的是,接收到该路由的上游提供商未经验证就接受了它,并传递了信息,从而将错误的路由传播到了整个互联网,直到几乎所有使用互联网的人都相信 Facebook 已将其服务器迁移到了巴基斯坦网络中。这个错误不仅瘫痪了 YouTube,还让巴基斯坦的互联网服务提供商(ISP)陷入了困境,它很快收到了数百万个 YouTube 用户的请求。
由于 BGP 不保证路由通告的真实性,黑客的蓄意攻击和网络参数的错误配置都可能导致路由劫持。作为 ICANN 继 DNSSEC 之后部署的下一代互联网安全关键基础设施,RPKI 从 IP 地址资源管理的角度构建了一个 IP 地址资源授权认证系统,用于验证特定 IP 地址前缀的路由通告是否合法,并为区域间路由安全方案(如 S-BGP 和 BGPsec)的实现提供了可信的信息源。
马迪,中国互联网络信息中心
现有解决方案:IRR、BGPsec、RPKI
网络运营商采用基于信任的机制,如对等协议和手动路由过滤,以降低 BGP 劫持的风险。虽然这些机制在一定程度上有效,但它们本身具有局限性,并且依赖于人工监督和合作来维护路由的完整性。其中一个灵活的解决方案是利用互联网路由注册中心(IRR)中提供的信息进行过滤。IRR 是一个由区域互联网注册机构(RIR)和第三方供应商提供的路由信息公共数据库。然而,这种解决方案有一些局限性,因为参与其中的第三方无法系统地维护数据。
边界网关协议安全(BGPsec)是另一种先进的解决方案,它是 BGP 的安全扩展,定义在 RFC 8205 中。在 BGPsec 中,AS_PATH 属性被新的 BGPsec_Path 属性所取代,该属性提供了一种通过加密方式验证从对等方接收到的路由的方法。
这些先进的解决方案依赖于资源公钥基础设施(RPKI)对路由信息进行加密认证。
小测验
以下哪项不是应对 BGP 危机的现有解决方案?
A. BGPsec
B. RPKI
C. AS
D. IRR
答案在本文底部。
什么是 RPKI
你可以将 RPKI 想象成互联网流量的护照和签证控制系统,类似互联网的目的地或国家。正如我们需要有效的护照和签证才能合法进入特定国家一样,互联网路由器需要由 RPKI 颁发的有效加密证书和路由起源授权(ROA)来通告和验证 IP 前缀。加密证书就像护照一样,用于验证 IP 地址持有者的身份,而 ROA 则像签证一样,授权 IP 前缀的合法起源。如果没有正确的“护照”(加密证书)和“签证”(ROA),互联网路由器就无法安全地向特定目的地通告路由(IP 前缀),从而防止未授权流量,并确保数据包安全高效地到达预定目的地。启用 RPKI 后,网络运营商和路由器就像警惕的边境控制人员,在存储和传播路由通告之前验证其合法性,从而防止未授权流量进出互联网上特定的“国家”(IP 前缀)。
RPKI 如何为 APNIC 区域互联网注册机构工作

如上图所示,RPKI 的证书颁发体系与互联网号码资源分配架构相对应。该证书颁发体系通过自上而下地颁发资源证书来授权资源。证书的内容包括 IP 地址前缀/AS 号码与接收机构之间的绑定关系,表明资源持有者已被合法授权使用该部分号码资源。
RPKI 运行在一个分层模型上,其中区域互联网注册机构(RIR)作为负责管理互联网号码资源的顶层权威。这些资源包括 IP 地址块和自治系统号码(ASN),它们是互联网路由的基本组成部分。RIR 向资源持有者颁发加密证书,将其 IP 地址分配与加密密钥绑定在一起。然后,这些证书被用来生成路由起源授权(ROA),其中指定了 IP 地址前缀的合法起源。
为什么 RPKI 很重要?
RPKI 的采用为互联网生态系统带来了许多好处。RPKI 提供了一种验证路由通告真实性的机制,可以防止 BGP 劫持和路由泄漏,并提高互联网路由的安全性和稳定性。此外,RPKI 使网络运营商能够控制其路由策略,确保流量沿预定路径流动,并最大限度地降低配置错误或恶意活动的风险。
RPKI 的好处
A. 比手动检查 Whois 数据库或 IRR 数据库安全得多。
B. 确保前缀的起源或起源 AS 的安全是防止许多针对 BGP 完整性攻击的第一步。
C. 来自资源保管人的指令/信息可以进行加密验证(例如,签署授权书)。
问:互联网边界路由器如何与服务器同步以进行 RPKI 路由器的验证?
是否有任何公共服务器可供查询?
“关于存储库的情况:有一个软件充当 LACNIC 和路由器之间的中介,这就是 RPKI 验证器,它是与墨西哥合作开发的一个端口项目,它将经过加密验证的信息提供给边界路由器。边界路由器与验证器之间的关系——必须是极度信任的,因为边界路由器与验证器之间的安全性和亲密性要很好。不建议为你的路由器使用公共验证器,尽管有公共验证器可供查看验证器的样子等。这些公共验证器不是让你将其与边界路由器连接的。” Gianina Pensky,注册服务主管,在LACNIC 网络研讨会——RPKI 网络安全上回答道。
因此,RPKI 代表了互联网路由安全发展的一个重要领域。通过利用加密技术的力量,RPKI 为 BGP 漏洞带来的持续挑战提供了一个标准化、可扩展的解决方案。随着我们继续应对复杂的数字环境,采用 RPKI 是朝着构建更安全、更具弹性和可信赖的互联网基础设施迈出的关键一步。
正确答案是 C。

