路由安全并不是一个新问题。几十年来人们都知道,为实现域间路由而设计的广泛使用的协议,即边界网关协议(BGP),存在关键性的漏洞:它缺乏一种内置机制来验证路由信息,这些信息在网络间共享,用来为数据流量选择全球范围的路径。
图1 使用RPKI加强互联网路由安全有两个要素。第一个要素是网络运营商要发布路由起源认证(ROA)。ROA是一种经过加密签名的对象,说明了对于一段或者一组IP地址前缀,哪个自治系统(AS/网络)拥有使用它们作为源地址的授权。
由于BGP劫持由来已久,研究人员和技术专家设计了各种方法阻止它的发生。最常用的解决方案之一,是一个名为“资源公钥基础设施(RPKI)”的框架,于2012年由互联网工程任务组标准化。
在RPKI框架下,网络能够发布加密记录,其他网络可以用它们来验证通过BGP传播的信息,有效确保网络流量不被劫持。不过,要充分受益于RPKI的保护,网络需要为它们使用的整个IP地址空间发布RPKI记录。
我们希望通过研究了解为何RPKI的部署如此缓慢,哪怕它能解决的安全风险已经众所周知,以及哪些组织在RPKI的部署方面处于滞后状态。我们希望这些发现能为政策制定者提供参考,以推进RPKI的部署,从而增强BGP的安全保障。在近期美国政府再次发力推动解决路由安全问题的背景下,这项工作的意义就更为突出了。
此外, 相比那些与在线服务关系密切的组织,与互联网服务无关的组织(如教育和政府网络),对RPKI的认知和部署动力要更少。
最后,即使是在大型网络内,针对不同IP地址发布RPKI记录所需的工作量也不尽相同。地址空间的授权和再分配所涉及的法务和运维挑战,可能会使一部分地址空间更难部署RPKI。
我们计划以这些结果作为更广泛研究的起点,探寻那些RPKI部署较为落后的组织所面临的障碍,并提出可能的解决方案,帮助人们在未来应对这些挑战。
本文刊登于《中国教育网络》10月刊
来源:INTERNET SOCIETY
翻译:王文鑫
责编:陈茜
投稿或合作,请联系:eduinfo@cernet.com
往期推荐
● 全球路由安全策略概述(一)——BGP安全吗?
● 美国发布《加强互联网路由安全路线图》
关注我们 了解更多↓
更多精彩视频推荐
积极留言还会有惊喜好礼哦~