近日，荷蘭政府宣布將在2024年底之前全面采用RPKI（資源公鑰基礎設施）標準來提升互聯網路由安全性。

全球互聯網是由眾多獨立管理的“自治系統(tǒng)”（AS）組成的網絡，而BGP（邊界網關協議）是將整個互聯網組合起來的“膠水”。BGP協議是互聯網系統(tǒng)進行路由信息傳遞的重要協議，但其安全性卻一直令人擔憂，外部攻擊或人工配置錯誤等安全問題頻發(fā)，給網絡運營商和企業(yè)帶來極大威脅。

BGP缺少內置的安全機制來保護交換的路由信息的完整性，或為播發(fā)的IP地址空間提供身份驗證和授權，AS運營商必須隱式信任通過BGP交換的路由信息。因此，互聯網容易受到虛假路由信息注入的影響，而這些信息無法通過網絡客戶端或服務器級別的安全措施來緩解。

(資料圖片僅供參考)

有權訪問BGP路由器的攻擊者可以將欺詐性路由注入路由系統(tǒng)，這些路由可用于執(zhí)行一系列攻擊，包括：

通過流量黑洞或重定向的拒絕服務攻擊（DoS）

竊聽通信的冒充攻擊

中間機器利用漏洞修改交換的數據，并破壞基于信譽的過濾系統(tǒng)

為了抵御日趨頻繁和嚴重的互聯網路由劫持事故，RPKI（資源公鑰基礎設施）應運而生。它通過簽發(fā)和認證一種特定格式的x.509數字證書和數字簽名，幫助路由器檢驗BGP消息的真實性，從而增強BGP協議的安全，避免互聯網路由劫持。

荷蘭政府率先整體過渡到RPKI

荷蘭政府在上周的一項決定中通過決議，支持荷蘭標準化論壇的建議：在2024年之前要求荷蘭政府管理的所有現有和新增通信設備（ICT）都必須遵循RPKI標準。

RPKI證書集中存儲并保持公開，允許來自世界任何地方的網絡提供商驗證互聯網流量路由。

實施RPKI的網絡可以確信互聯網流量僅通過授權路徑路由，從而消除了中間人或其他數據轉移和攔截攻擊的風險。

如果沒有RPKI，互聯網路由取決于網絡運營商之間的“隱式信任”，運營商會廣播各自所管理的IP前綴。但在這種模式下，如果運營商錯誤地廣播了其所管理的IP前綴，則會收到原本不會通過其路徑節(jié)點的流量。

除了性能影響（例如網絡延遲、中斷）之外，這種基于隱式信任的模型還為惡意BGP劫持打開了大門，允許流量攔截和監(jiān)控，以及欺騙合法IP地址以進行垃圾郵件。下圖是2008-2021年的一些重大BGP路由安全事件：

圖片來源：安全內參

2022年俄烏戰(zhàn)爭期間，BGP路由安全問題集中爆發(fā)，不僅烏克蘭國家銀行和重要軍事網站遭遇AS級別的DDoS攻擊，烏克蘭運營商的BGP狀況頻出，俄羅斯的國際互聯網路由也因為西方網絡運營商的制裁出現頻頻中斷的情況。

俄烏戰(zhàn)爭不僅暴露了互聯網基礎設施（例如海底電纜）和基礎協議的脆弱性，同時也讓RPKI的普及再次成為業(yè)界關注的重點。

RPKI全球普及進度不容樂觀

RPKI在荷蘭的采用率已經很高，77.9%的政府網站和75.1%的電子郵件域已經支持該標準（下圖）。

但是，由于二級ISP部署的滯后，RPKI的全球采用速度比其開發(fā)和支持者所期望的要慢。

美國國家標準與技術研究院（NIST）官網有一個實時的RPKI監(jiān)測工具（https://rpki-monitor.antd.nist.gov/），可提供有關從各種數據庫中提取的RPKI生態(tài)系統(tǒng)的實時信息，包括BGP路由信息。

根據2023年4月的NIST數據（下圖），大約41%的可驗證IPv4流量前綴符合RPKI，58%的IPv4流量容易受到路由事件的影響，其余1%的流量的路由源密鑰不匹配，因此無效。

RPKI有助于建設更安全的互聯網，但迄今只有41%的采用率表明，要改善全球流量安全還有很長的路要走。