电信网路由安全白皮书 2023.pdf

《电信网路由安全白皮书 2023.pdf》由会员分享，可在线阅读，更多相关《电信网路由安全白皮书 2023.pdf（50页珍藏版）》请在咨信网上搜索。

1、1电信网路由安全白皮书电信网路由安全白皮书（2023）（2023）中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月中国联通路由安全白皮书（2023）3目 录目 录目 录.3图目录.5一、域间路由系统安全风险态势.91.1 域间路由系统安全的关键性.91.2 域间路由系统安全的脆弱性.121.2.1 自治系统与 BGP.121.2.2 BGP 安全脆弱性.121.3 域间路由系统安全风险分析.131.3.1 BGP 威胁模型.131.3.2 全球路由安全现状.16二、域间路由安全技术体系.242.1 路由安全防护技术概况.252.1.1 路由注册

2、表.262.1.2 资源公钥基础设施.272.1.3 BGPsec.282.1.4 ASPA.292.1.5 SCION.302.2 路由安全监测技术概况.31三、域间路由安全技术应用与挑战.33中国联通路由安全白皮书（2023）43.1 路由安全防护技术应用与挑战.333.1.1 路由注册表.333.1.2 资源公钥基础设施.333.1.3 BGPsec.403.1.4 ASPA.413.1.5 SCION.413.2 路由安全监测技术应用及挑战.423.2.1 BGP 路由数据采集.423.2.2 BGP 路由数据分析.433.2.3 BGP 路由监测工具及机构.44五、域间路由安全技术发

3、展建议.465.1 加速完善政策措施 构建我国路由安全保障体系.465.2 持续强化技术创新 提升路由安全防护与态势感知能力.465.3 加强全球协作共享 强化国际互联网社群技术影响力.475.4 开展前瞻布局研究 引领路由安全关键技术发展趋势.48附录 1 英文缩略语.49附录 2 参考文献.50中国联通路由安全白皮书（2023）5图目录图目录图 12022 俄乌冲突中的路由异常事件.10图 2异常路由宣告攻击分类.13图 32008 年巴基斯坦电信导致 YouTube 全球中断事件过程17图 420202022 路由安全事件统计（来源：MANRS Observatory）.22图 5201

4、72021 路由安全事件统计（来源：BGPstream）.23图 62021 年第 1 季度路由泄露与路由劫持事件统计（来源：Qrator Labs）.23图 72021 年第 4 季度路由泄露与路由劫持事件统计（来源：Qrator Labs）.24图 8路由安全技术类别.26图 9RPKI 技术体系.27图 10BGPsec 实现机制.28图 11ASPA 原理图.30图 12SCION 架构图.31图 13BGP 安全监测技术体系构成.32图 14支持 RPKI 的路由器设备厂商.34图 15签发 ROA 的国外互联网公司.35图 16RPKI ROA 验证结果统计分析（来源：NIST R

5、PKI Monitor）.36中国联通路由安全白皮书（2023）6图 17RPKI ROA 验证结果历史数据统计分析（来源：NIST RPKIMonitor）.37图 18RPKI ROA 验证结果统计分析（来源：MANRS Observatory）.37图 19纳入 RPKI 认证范畴的 IP 地址空间（来源：MANRSObservatory）.38图 20全球 ROA 数据统计（来源：APNIC）.38图 21Route Views 路由信息采集器分布.43图 22RIPE RIS 路由信息采集器分布.43图 23部分商用路由安全监测工具.44图 24MANRS Observatory 全

6、局视图.45中国联通路由安全白皮书（2023）7前 言作为互联网的关键基础设施，以BGP（Border Gateway Protocol，边界网关协议）为基础的域间路由系统是连通全球网络空间的技术基石，因此域间路由系统对于整个互联网的可靠稳定运行具有重要意义。然而，因 BGP 协议最初的设计缺陷，导致近年来运营商路由安全问题频发，对网络空间安全造成极大的威胁。与此同时，域间路由安全可信问题更加凸显，单一路由重定向朝着大范围、多领域、政治化延伸，路由安全事件或成为境外媒体对我国进行舆论渲染的导火索，路由攻击也已成为新形势下网络空间战的重要手段。2022 年初以来，俄乌间路由异常时间显著增加。以边

7、界网关协议为核心的互联网域间路由系统成为了此次战争的焦点。由此，路由安全引发各国高度关注，美国联邦通信委员会 FCC 发起调查 BGP 路由安全的通知书，强调将重点推进路由安全技术研究和部署；CERNET、CSTNET、华为等已加入全球路由安全相互协议规范项目 MANRS，旨在解决互联网路由劫持、路由泄漏和地址仿冒等问题，提升网络空间的安全性和韧性。本白皮书系统阐述了域间路由系统的关键性及脆弱性，结合 BGP的威胁模型，分析了全球域间路由安全现状，进而分别从路由安全防护和路由安全监测的角度入手，系统性的介绍了域间路由安全技术体系，针对性的分析了域间路由安全技术当前的应用现状和面临的挑战。最终从

8、政策措施、技术创新、协作共享、前瞻布局四个角度提出了域间路由安全技术发展建议，以期为提升路由安全防护与态势感知能力中国联通路由安全白皮书（2023）8提供参考，同时进一步赋能路由安全相关重大基础设施和安全保障体系建设。编写单位：编写单位：中国联合网络通信有限公司研究院、中国科学院计算机网络信息中心、互联网域名系统北京市工程研究中心有限公司（ZDNS）、华为技术有限公司、新华三技术有限公司、中讯邮电咨询设计院有限公司专家顾问组：专家顾问组：叶晓煜、徐雷、傅瑜、张曼君、陶冶、李强、李长连编写组成员编写组成员：王翠翠、郭新海、贾宝军、贾雅清、李彦彪、马迪、邵晴、陈双龙、万晓兰中国联通路由安全白皮书（

9、2023）9一、域间路由系统安全风险态势一、域间路由系统安全风险态势1.1 域间路由系统安全的关键性1.1 域间路由系统安全的关键性网络安全是我国总体国家安全观的重要组成部分，也是数字时代网络安全是我国总体国家安全观的重要组成部分，也是数字时代国家安全的战略基础。国家安全的战略基础。二十大报告首次以专章阐述国家安全，明确了国家安全要以政治安全为根本，经济安全为基础，未来将强化经济、重大基础设施、金融、网络等安全保障体系建设。同时提出了“统筹发展和安全,强化重大基础设施、网络等安全保障体系建设的部署要求。网络安全日益成为全球应对不确定环境因素的重要保障，稳定和网络安全日益成为全球应对不确定环境因

10、素的重要保障，稳定和安全作用愈加凸显。安全作用愈加凸显。作为国家的“第五空间”，网络空间已经成为维护国家主权、安全和发展利益的战略高地。随着大国间围绕网络安全的战略博弈日益激烈，网络空间安全治理面临着失序失衡的全球环境，各类网络冲突愈加频繁。各国持续发布国家战略、政策、法案和条令，进一步提升网络安全在国家安全、军事安全中的重要地位，积极应对网络威胁带来的重大挑战。作为互联网的关键基础设施，域间路由系统安全是网络空间安全作为互联网的关键基础设施，域间路由系统安全是网络空间安全的重要基石。的重要基石。以 BGP（Border Gateway Protocol，边界网关协议）为基础协议的全球互联网经

11、过 50 多年的蓬勃发展，逐步从计算机互联网、消费互联网向产业互联网演进，成为全社会数字化基础设施，因而对安全可信的路由服务诉求越来越强烈。作为互联网数据传输的核心，互联网不仅在数据转发性能方面，而且在拓扑结构、健壮性、中国联通路由安全白皮书（2023）10安全性等方面也都高度依赖域间路由系统。域间路由系统对于整个互联网的可靠稳定运行具有重要意义。去年俄乌冲突得到了全世界的广泛关注，双方的网络空间战争愈演愈烈。以边界网关协议为核心的互联网域间路由系统，成为了此次以边界网关协议为核心的互联网域间路由系统，成为了此次俄乌战争的焦点，俄乌战争的焦点，一些西方网络运营商对俄罗斯进行了制裁，造成俄国际互

12、联网路由频繁中断。如图 1 所示，2022 年初以来俄乌间路由异常时间显著增加。据全球路由情报平台 GRIP 统计，2022 年 BGP 路由安全事件呈现小幅增长，尤其是 2022 年 3 月，也同俄乌战争开始的时间恰好吻合。图12022俄乌冲突中的路由异常事件2022 年 2 月 28 日，美国联邦通信委员会 FCC 发起调查 BGP 路由安全的通知书。通知书提到，俄乌冲突期间，BGP 路由攻击行为所带来的严重后果让 FCC 认识到，之前国家对 BGP 路由的安全重视不够，此次冲突促使他们不得不向技术机构发起调查通知。针对俄乌冲突中的异常路由事件，通知书强调：一是重视保障互联网基础设施安全，

13、以减轻路由安全隐患带来的潜在危害；二是重视路由安全措施，评估中国联通路由安全白皮书（2023）11路由安全事件影响范围并制定测量指标；三是重视 RPKI 部署，推广RPKI 认证机制以防止路由劫持；四是重视路由安全方案 BGPsec 推广，并逐步将 BGPsec 部署到运营商网络中。综上所述，新形势下域间路由安全可信问题更加凸显，路由攻击已成为新形势下网络空间战的重要手段，研究并推进域间路由安全防护体系的部署应用已迫在眉睫。中国联通路由安全白皮书（2023）121.2 域间路由系统安全的脆弱性1.2 域间路由系统安全的脆弱性1.2.1 自治系统与 BGP1.2.1 自治系统与 BGP互联网被划

14、分为许多较小的自治系统（Autonomous System,AS），每个自治系统是可自主决定在自治系统内使用何种内部网关协议的独立、可管理的网络单位。自治系统边界路由器通过域间路由协议BGP 交换路由信息，其中 BGP 使用 TCP 协议作为路由交换的底层传输协议，通过增量更新实现路由信息交换。1.2.2 BGP 安全脆弱性1.2.2 BGP 安全脆弱性按照最初设计，BGP 协议默认接受对等体通告的任何路由，因此导致即使一个 AS 向外通告未获授权的前缀，也将会被对端接受并继续传播，从而引发路由劫持。根据 IETF RFC 4272，BGP 协议存在以下安全脆弱性：1）BGP 不具备保障对等体

15、间通信报文完整性、时效性和对等实体真实性的机制。2）BGP 对 AS 是否具备发起网络层可达性信息（Network LayerReachability Information，NLRI）的权限缺乏验证机制，AS 只有获得前缀持有者的授权，才能发起该前缀可达的路由通告。因此，接收报文的 BGP 路由器应验证报文中源 AS 是否具有发起 NLRI（即 IP前缀）的权限。否则，AS 可发起任意前缀可达的路由通告，引发前缀劫持攻击。3）BGP 不具备保障 AS 通告路径属性真实性的机制，路由报文中中国联通路由安全白皮书（2023）13路径属性 AS_PATH 的长度是 BGP 最优路径选择策略的第 2

16、 优先策略。如果路由报文的 AS_PATH 被篡改，会导致次优路径被选为最优路径，造成用户数据流被重定向，发生路径伪造攻击。1.3 域间路由系统安全风险分析1.3 域间路由系统安全风险分析由于 BGP 协议自身的安全脆弱性，导致外部攻击和人工配置错误等安全问题频发，对运营商和企业带来了极大的威胁。1.3.1 BGP 威胁模型1.3.1 BGP 威胁模型BGP 协议易遭受异常路由宣告攻击，异常路由宣告攻击指自治系统因偶然（如管理员的配置错误）或恶意的原因而发起或传播包含虚假路由信息（如 NLRI、AS_PATH）或违反路由出站策略的路由宣告。如图 2 所示，BGP 异常路由宣告攻击可分为前缀劫持

17、、路径伪造和路由泄露这 3 类（如图 2 所示）。图2异常路由宣告攻击分类中国联通路由安全白皮书（2023）14（1)前缀劫持若某自治系统发起非本自治系统所拥有前缀的可达路由通告，则称发生前缀劫持。前缀劫持由 BGP 协议第 2 个安全脆弱性导致。根据劫持前缀的类型，前缀劫持可进一步分为 regular 前缀劫持、morespecific 前缀劫持和 bogus前缀劫持这 3 类.若攻击AS 发起受害AS拥有前缀的可达路由通告，则称发生 regular 前缀劫持；若攻击 AS发起受害 AS 拥有前缀的 more specific 前缀的可达路由通告，则称发生 more specific 前缀劫

18、持；若攻击 AS 非法发起未分配前缀的可达路由通告，则称发生 bogus 前缀劫持。不同类型前缀劫持造成的影响是不同的。因遵循最长前缀匹配原则，一般而言，more specific 前缀劫持比 regular 前缀劫持吸引的数据流更多。2008 年巴基斯坦电信劫持YouTube 事件就是典型的 more specific 前缀劫持。垃圾邮件发送者经常通过劫持 bogus 前缀来发送邮件，如 AS 28716(Italy ISP)在2009年11月13日到2010年1月15日近两个月时间内持续劫持IPv6bogus 前缀 d000:/8 却未被发现。（2)路径伪造若某自治系统向邻居自治系统传播

19、AS_PATH 路径属性非真的路由通告，即攻击 AS 在对路由通告的 AS_PATH 属性进行删除、插入等篡改操作后，再将其传播给邻居 AS，则称发生路径伪造。该路径由BGP 协议第 3 个安全脆弱性导致,其中最常见的路径伪造攻击是中国联通路由安全白皮书（2023）15AS_PATH 缩短攻击（AS_PATH shortening).（3)路由泄露由于 BGP 路由器转发路由不仅要根据路由表，还要参考路由策略。路由策略是指 AS 制定的接收路由、选择最佳路由以及对外通告路由的策略。路由策略的制定通常取决于 AS 之间的关系，AS 关系反映了2 个 BGP 路由器发言人关于商业关系的协议。AS

20、之间的商业关系大致可以分为 4 种，分别是 C2P（customer to provider）、P2C（providerto customer）、P2P（peer to peer）和 S2S（sibling to sibling）。Provider AS 为 Customer AS 提供到其他 AS 的传输服务，Peer AS之间则提供各自流量传输到对方网络的服务。所以，出于经济利益的考虑，AS 优先选择来自 Customer AS 的路由，其次是 Peer AS 及Provider AS。换句话说，大部分网络采用的路由策略规则是无谷准则（Valley Free Rules），无谷准则是 BG

21、P 路由宣告的合法准则，基于 BGP AS 商业关系的传递策略，无谷准则的原则有：1)来自 Customer AS 宣告的路由允许传递给 Customer、Peer和 Provider。2)来自 Peer AS 宣告的路由允许传递给 Customer，不允许通告给其他的 Peer 和 Provider。3)来自 Provider AS 宣告的路由允许传递给 Customer，不允许通告给其他的 Peer 和 Provider。即来自 Provider 和 Peer的路由通告只能传播给其 Customer，中国联通路由安全白皮书（2023）16否则就会造成路由泄露。路由泄露攻击事件约占 BGP

22、安全攻击的 22%左右，时有发生的路由泄露事件为全球互联网带来了巨大的安全隐患，例如，2015 年发生的 Google 服务器中断安全事件，造成谷歌在欧洲和亚洲部分地区网络近 24 小时的无法访问。1.3.2 全球路由安全现状1.3.2 全球路由安全现状(1）路由安全事件分类欧盟网络安全局（European Union Agency for Cybersecurity，ENISA）将因 BGP 威胁模型引发的安全事件归为四种类型，包括：a.更改互联网流量内容（破坏完整性）b.窃听互联网流量内容（违反保密性）c.进行互联网流量和元数据分析（违反保密性）d.以及造成连接中断（违反可用性）除此之外，

23、还包括其他的事件类型，例如通过接收源站点的重定向流量来冒充源站点（破坏完整性）。另一个潜在风险是可能通过盗用IP地址或未分配的IP地址来模糊身份，引发应用层的匿名攻击（破坏完整性）。此外，一个 BGP 路由安全事件可能在多个安全维度形成破坏性，例如，BGP 路径伪造可能会破坏机密性（因为流量可能被拦截和读取）、完整性（因为拦截的流量可能被修改）以及可用性（因为攻击者可能无法可靠地将拦截流量转发到其预期目的地址）。中国联通路由安全白皮书（2023）171）影响互联网可用性的 BGP 路由安全事件BGP路由安全事件的常见影响包括造成服务中断或影响互联网服务的可用性及服务质量，例如服务不可用、超长时

24、延或服务降级，其中一个最有代表性的案例是 2008 年巴基斯坦电信导致 YouTube 全球中断的事件。图32008年巴基斯坦电信导致YouTube全球中断事件过程图 3 显示了 2008 年巴基斯坦电信导致 YouTube 全球中断事件过程。根据巴基斯坦电信部封杀 YouTube 网站指示，巴基斯坦电信公司发布了通往 YouTube 地址（前缀）的“伪路由”宣告，意图通过建立YouTube 的本地流量“黑洞”，阻止巴基斯坦境内访问 YouTube，并将 YouTube 的访问请求转发到另一个网站。但巴基斯坦方面随后将该路由宣告转发至国际数据运营商香港电讯盈科（PCCW）。同时该路由也被 PC

25、CW 推送给全球的其他运营商。因此，在全球范围内产生了两条通往 Youtube 的路由，即伪路由和合法路由。由于巴基斯坦电信的伪路由比合法路由“更具体”，引发前缀劫持，即 YouTube 的大部分中国联通路由安全白皮书（2023）18全球流量都选择了伪路由，最终导致全球的大量用户在持续的两个多小时内无法访问 YouTube 网站。此外，表 1 也列举了近几年影响网络可用性的典型 BGP 路由安全事件。表 1.影响网络可用性的 BGP 安全事件2）影响互联网机密性的 BGP 路由安全事件由于恶意攻击者可能会对重定向流量进行监控或分析，因此 BGP路由安全事件也会在一定情形下影响互联网机密性。虽然

26、采用传输层安全协议（TLS）等加密措施可以提升网络机密性，但元数据（metadata）仍然提供了很多可以用于监控分析的信息，例如被访问的服务器、访问设备、访问时间等。同时攻击者可以通过伪装 IP 地址从证书颁发机构（CA）获得数字证书，从而实现 TLS 流量模拟和解密。2020 年，俄罗斯电信运营商 Rostelecom 大量广播不属于其的 IP地址空间的路由宣告，引发前缀劫持。数分钟内，波及 200 余家的互联网服务提供商，众多的美国知名公司在列，包括 Google（谷歌）、Amazon（亚马逊）、Facebook（脸书）、Akamai（知名 CDN 厂商）、Cloudflare（知名 CD

27、N 厂商）、GoDaddy（全球最大的域名注册商）中国联通路由安全白皮书（2023）19等，导致上述公司的网络流量被重定向到俄罗斯。尽管事件持续时间非常短暂，但仍致使上述服务在该时间段内的网络流量被监听。与此同时，因事件波及了众多知名互联网内容服务提供商，在国际互联网社群造成很大的影响。3）影响互联网完整性的 BGP 路由安全事件路由安全事件可能会影响和破坏互联网基础设施的完整性，在这类安全事件中流量可能被重定向到伪造的服务器。由于域名系统的运行在一定程度上依赖路由系统，因此也容易受到路由安全事件的影响。以下是近年来典型的影响域名系统的路由安全事件：2019 年 5 月，巴西 AS 发生了针对

28、 Quad101 的 more specific前缀劫持。Quad101是拥有全球海量用户的公共DNS递归服务，该前缀的路由宣告由 Claro Brasil 传播到全球互联网，导致原本发送至 Quad101 请求数据被重定向到巴西 AS。2018 年 4 月，攻击者针对亚马逊 Route 53 DNS 权威服务发动了more specific前缀劫持，致使原本发送至亚马逊 Route 53DNS 的查询被重定向到恶意 DNS 服务器。服务器只对域名“”查询进行了应答，并将查询请求引导至恶意网站，窃取会员登录信息并从会员钱包中转移了加密货币。由于用户通过 Https 浏览恶意网站时收到了虚假网站

29、的警告提醒标志，间接降低了此次路由劫持事件影响。2014 年，土耳其电信公司针对谷歌和 OpenDNS 的公共 DNS 递中国联通路由安全白皮书（2023）20归服务器发起more specific前缀劫持，以阻止用户访问特定网站。原本发送至这些公共 DNS 的查询被重定向到土耳其电信DNS 递归服务，返回给用户错误的 IP 地址以阻止对特定域名访问。同时，攻击者也可以通过 bogus 前缀劫持，劫持未使用的 IP 地址空间。2015 年，一个未经授权的 AS 在长达数月的时间里持续宣告瑞士州政府持有且未使用的 IP 地址前缀，并通过其 IP 地址发送垃圾邮件。这些垃圾邮件绕过了垃圾邮件过滤机

30、制，在一定程度上对瑞士州政府的声誉造成了极大损害。中国联通路由安全白皮书（2023）21(2)路由安全事件趋势统计1）重大路由安全事件表 2 梳理了近年来的重大路由安全事件，可见因缺乏有效的 BGP安全手段，路由安全事件屡见不鲜，尤其是运营商重大路由安全事件频频发生。域间路由安全可信问题愈加凸显，路由安全事件也呈现出“大范围、多领域、政治化”的主要特点。表 2 近年来重大路由安全事件2）路由安全事件识别与量化如何正确识别 BGP 路由安全事件同时合理量化其影响存在一定难度（注：这里的影响指的是 BGP 路由安全事件造成的被用户感知或未感知到的结果）。造成这种问题的原因有多种：首先，由于不同的组

31、织或个人所处的互联网拓扑位置不同，因而缺少针对全球路由表的全局性、一致性的完整视图；其次，攻击者可通过本地化攻击的方式避免被检测到，这样在全球路由系统中也就捕捉不到该攻击。第三，在没有辅助信息的情况下，很难确定攻击者的动机。中国联通路由安全白皮书（2023）223）不同数据源的路由安全事件统计图420202022路由安全事件统计（来源：MANRS Observatory）根据图4 显示了 2020 年 8 月至 2022 年 5 月期间在全球范围内记录的 BGP 路由安全事件，其数据来源包括：路由安全监测工具BGPStream 及全球路由情报分析平台 GRIP。由图 4 可见，BGP 路由安全

32、事件呈现小幅增长趋势，尤其是 2022 年 3 月，这个时间也同俄乌战争开始的时间恰好吻合。然而数据采集源及事件（路由泄露、路由劫持）的识别方式等的然而数据采集源及事件（路由泄露、路由劫持）的识别方式等的不同，会造成不同平台之间统计结果的差异化不同，会造成不同平台之间统计结果的差异化：以 2022 年 5 月为例，BGPStream 上记录了 136 例疑似的 BGP 路由劫持事件和 54 例 BGP 路由泄露事件，而 GRIP 同期报告了 788 例路由劫持事件。来自 BGPstream 的数据（图 5）显示了 BGP 路由泄露和路由劫持事件总数呈现逐年下降趋势。中国联通路由安全白皮书（20

33、23）23图520172021路由安全事件统计（来源：BGPstream）同时，Qrator Labs 提供一种为 Radar 的 BGP 监控工具。如图 6所示，Radar 提供的结果与上述结果截然不同。图62021年第1季度路由泄露与路由劫持事件统计（来源：Qrator Labs）图 6 显示从 2021 年 1 月至 3 月，Qrator 实验室报告了 7822532例路由泄露事件和 7311799 例路由劫持事件。其中一些事件被归类全球性（分类标准主要依据影响规模，例如在全球路由表中传播的受影响的 IP 前缀和 AS 数量）。在报告的近 800 万起路由泄露事件和 700中国联通路由安

34、全白皮书（2023）24多万起路由劫持事件中，有9例路由泄露和2例路由劫持被归类为“全球性”。图72021年第4季度路由泄露与路由劫持事件统计（来源：Qrator Labs）2021 年第四季度，Qrator Labs 共记录了 7589347 起路由泄漏事件，其中 4 例被归类为“全球性”，还有 4397906 例路由劫持事件，其中 3 例被标记为“全球性”。由此可见，虽然来自 BGPstream 的数据（图 5）显示了 BGP 泄露和劫持事件总数呈现逐年下降趋势，但趋势的评估通常需要一个较长的时间周期，短时间的评估（2017 年至 2021 年）无法对 BGP 路由安全事件的趋势形成任何结

35、论。同时，正如前文所述，不同的数据来源可能显示截然不同的路由安全事件统计结果，因而更加难以形成对路由安全事件演变趋势的结论。二、域间路由安全技术体系二、域间路由安全技术体系为解决路由劫持等安全威胁对域间路由的影响，近年来研究者们中国联通路由安全白皮书（2023）25提出了许多不同类型的防御机制，大体分为两类：路由安全防护技术和路由安全监测技术。2.1 路由安全防护技术概况2.1 路由安全防护技术概况本章节讨论了主流的路由安全防护技术，包括相对成熟的路由安全技术，例如路由策略规范语言（Routing Policy SpecificationLanguage，RPSL)，同时包括已开展不同程度落地

36、应用的技术，例如资源公钥基础设施（Resource Public Key Infrastructure，RPKI）和 BGPsec 等技术。总的来说，目前每一种路由安全防护技术都解决了部分路由安全问题，即使叠加运用，仍不能完全解决当前路由安全面临的挑战。路由安全涵盖了两大方面：路由源验证和路径验证/合法性。路由源验证是验证AS是否被授权发起某IP地址前缀的路由宣告（即 IP 地址空间没有被未经授权的一方劫持）。路径验证是指确保未经授权网络没有从其授权路径分流流量的过程。路径合法性与路径验证相关，但验证范围更为有限，主要是用于对 AS 之间可达性、转发关系等路径属性进行“合法”校验。当前，一部分

37、技术是用于解决路由源验证或路径验证/合法性问题，而另一部分则希望能同时解决这两个方面的问题。中国联通路由安全白皮书（2023）26图8路由安全技术类别2.1.1 路由注册表2.1.1 路由注册表RPSL（Routing Policy Specification Language，路由策略规范语言）是一种描述路由策略的语言。用户可使用 RPSL 基于与邻居AS 关系和传递策略定义网络的输入、输出策略。在现有的技术实现方案中，RPSL 数据可被用来进行路由源认证和路径认证。RPSL 格式的信息发布在名为 IRR（Internet Routing Registries，互联网路由注册表）的存储库中。

38、IRR 从 1995 年最初建立的单一注册中心路由仲裁数据库（Routing Arbiter Database，RADb）逐渐发展至今，截至目前五大 RIR（Regional Internet Registry，区域互联网注册机构）中均部署了 IRR，同时全球数十家大型网络运营商部署了独立的 IRR。当然，在 IRR 对象的授权、认证和验证方面，五大 RIR 的 IRR 比其他第三方 IRR 更具优势。例如，RIPE NCC 的 IRR只允许地址持有者创建关于其 IP 地址空间的 IRR 对象，从而有助于维护 IRR 对象的合法性。而其他第三方 IRR 没有采用这样的方式，因而必须依靠其他方式

39、进行真实性认证。此外，为确保 IRR 数据的时效中国联通路由安全白皮书（2023）27性和准确性，IRR 对象持有人须在必要时对 IRR 中的信息进行更新。2.1.2 资源公钥基础设施2.1.2 资源公钥基础设施资源公钥基础设施（Resource Public Key Infrastructure，RPKI）是另一种旨在提高 BGP 安全性的方法，它于 2007 年首次提出，并于2012 年作为 IETF RFC 发布。RPKI 建立了一种体系结构，可以为实体定义其合法持有 IP 地址和/或 ASN，并对授权一个或多个 AS 为其所持有的 IP 前缀发起源路由提供了密码学担保。RPKI 架构当

40、前主要应用于路由源认证，其中最为关键的两个部分包括：创建 ROA（Route Origin Authorisations，路由源授权)和通过 ROV(Route Origin Validation，路由源认证）对 BGP 路由消息的真实性进行验证，从而实现对无效路由进行过滤。RPKI 体系结构具备多种技术优势，其中最重要的一点是，RPKI 提供了一种为路由源验证的密码学方法。图9RPKI技术体系如图 9 所示，RPKI 体系包括三部分：证书签发体系、证书存储系统以及证书同步验证机制。其中，RPKI 的证书签发体系与互联网中国联通路由安全白皮书（2023）28号码资源由上至下的分配架构相对应。R

41、PKI 涉及的所有证书都存放至 RPKI 资料库中供依赖方（Relying Party，RP，即帮助 AS 同步并验证证书的实体）同步。RP 同步并验证 RPKI 证书和签名对象，而后将验证结果（IP 地址前缀和 ASN 的绑定关系）下放至 AS 边界路由器指导路由过滤。2.1.3 BGPsec2.1.3 BGPsec图10BGPsec实现机制BGPsec(Border Gateway Protocol Security)是一种利用签名机制保障 BGP 更新中 AS 路径属性完整性的安全机制,利用 RPKI 体系中的 CA 证书及其密钥信息,对 AS 路径信息进行签名。其中,路径签名信息循环嵌

42、套,通过 BGPsec Update 数据包进行传递，即：每个路由器利用自己的证书给从上一跳路由接收到的路径信息进行签名认证，并作为路由消息的一部分继续转发，严格确保 BPGsec_PATH属性中的信息不被篡改。为了防止授权路由器进行重放攻击，BGPsec中国联通路由安全白皮书（2023）29需要定期的密钥更新。2.1.4 ASPA2.1.4 ASPA2018 年 IETF SIDROPS 工作组提出了一种 ASPA(AutonomousSystem Provider Authorization，自治系统提供商授权)的路径验证方案草案。ASPA 是一种利用自治系统间的商业关系和 BGP 无谷策

43、略（valley-free policy）的授权格式标识符，即 ASPA 中的客户 ASN的持有者将其他 AS 授权为它的上游供应商，并将授权表示为 ASPA 标识符，进而利用其进行 BGP 更新消息的过滤。它也是基于 RPKI 的源验证机制进行了路径上的扩展。ASPA标识符中包含了AS对由自身ASN以及合法转发的供应商 ASN 组成的二元组的数字签名，它表示了客户对供应商的选择。与其他安全路由机制不同，ASPA 仅会对来自Customer 或 Peer 的 BGP 更新消息进行验证，但会过滤来自供应商的路由。ASPA 不仅会验证源 AS 的供应商是否合法，同时还会检验经过其他AS的供应商关系

44、，因此是一种针对AS完整路径的验证。在BGPsec尚未大规模部署时，ASPA 是一种能保证较高路径安全性的过渡机制。中国联通路由安全白皮书（2023）30图11ASPA原理图ASPA 巧妙地利用 RPKI 体系实现了路径验证，结合 ROA 路由源验证，能够很大程度上限制各类路由泄露的发生。ASPA 的验证过程不涉及密码学的计算，即对路由器的硬件性能无过高要求，同时在实际部署中，ASPA 能够实现增量部署。2.1.5 SCION2.1.5 SCION为构建安全可信的域间路由基础设施，苏黎世联邦理工大学于2010 年启动研发了的一种网络架构 SCION（Scalability,Control,an

45、d Isolation On Next-Generation Networks),它被 IETF 认为是基于新型路径感知网络的“未来互联网提案”。SCION 代表的是下一代网络的可扩展性、可控性和隔离性，其目标是通过安全的域间路由和路径感知网络实现一个安全、稳定和透明的互联网。它是一种不依赖 BGP 协议实现网络流量路由的新方式。SCION 通过将 AS 分组到称为“隔离域(ISD)”的单独域来隔离路由故障，从而可以更好地控制中国联通路由安全白皮书（2023）31数据包采用的路由，实现端到端的可信通信，解决了路由系统在安全性、可靠性和性能方面的现存问题。图12SCION架构图2.2 路由安全监

46、测技术概况2.2 路由安全监测技术概况BGP 监控和异常检测技术是掌握互联网 BGP 路由安全事件全过程的重要抓手，同时也是对网络运行态势进行评估、为协议安全防护提供重要参考以及保证网络安全稳定运行的重要环节。BGP 监测技术体系由三部分构成，如图 13 所示，其包含了 BGP 路由数据经过采集（左），被用于数据分析和异常检测（中），从而最终形成对安全事件全过程的呈现和对事件起因的诊断(右）。中国联通路由安全白皮书（2023）32图13BGP安全监测技术体系构成BGP路由数据采集通常是对大量的参与该项工作的网络运营商提供的路由数据进行汇总，这一技术分为两种形式，包括采集点采集到的路由表状态在特

47、定时刻的周期性“快照”，或者是 BGP 路由更新的数据流或记录。数据采集点所处的地理位置及网络拓扑的多样性至关重要，只有这样才能保证对互联网状态及路由系统的交互情况有更全面的了解。BGP 异常检测和事件监测系统通过分析 BGP 数据集和数据流，在不影响路由器流量转发的情形下，从每秒海量的路由更新数据中识别出疑似 BGP 安全事件。系统通过提供信息或信息可视化的方式为进一步的数据分析和自动响应提供依据，同时也为攻击的检测和防御提供了有力支撑。通过 BGP 安全监测和态势感知系统，可以提高 BGP 路由系统的透明性和可审计性，从而可以全面了解路由安全事件的影响范围和程度、发生时间、发生频率、持续时

48、间以及攻击发生的全过程。中国联通路由安全白皮书（2023）33三、域间路由安全技术应用与挑战三、域间路由安全技术应用与挑战3.1 路由安全防护技术应用与挑战3.1 路由安全防护技术应用与挑战3.1.1 路由注册表3.1.1 路由注册表RPSL 定义明确且全面，同时叠加丰富的生态系统工具，吸引了全球运营商广泛参与，因此 IRR 在全球范围内有着较高的部署率。据。据MANRS 统计，截止到 2022 年 1 月，88%的路由宣告已在 IRR 中进行登MANRS 统计，截止到 2022 年 1 月，88%的路由宣告已在 IRR 中进行登记记。然而，RPSL 因与之配合推进的 IRR 系统存在缺陷而应

49、用受阻。同时当前测量 IRR 有效性的指标较少，其指标主要聚焦于数据注册量，指标主要聚焦于数据注册量，缺少对数据有效性及运营商对数据的采用率的测量和统计。缺少对数据有效性及运营商对数据的采用率的测量和统计。RPSL 为网络运营商提供了一种描述路由安全策略信息的通用语言，同时当前已有大量成熟的商用或开源工具适配于 RPSL 格式数据。但当前有两个缺陷：首先，IRR 中发布的信息时效性和准确性低，从首先，IRR 中发布的信息时效性和准确性低，从而间接降低了基于 IRR 和 RPSL 数据的路由过滤器的准确性而间接降低了基于 IRR 和 RPSL 数据的路由过滤器的准确性。其次，RPSL 和 IRR

50、 系统诞生于加密安全技术方案之前，同所有早期的互联网协议一样，两者均为基于信任的实现方式。因此，可基于访问控制的安全模型对 RPSL/IRR 系统进行改造，但考虑到 IRR 的海量用户以及多对多访问控制模型的要求，由 IRR 运营方独立实施 IRR 的访问控制改造的难度非常大。3.1.2 资源公钥基础设施3.1.2 资源公钥基础设施（1）标准化工作在标准化工作方面，IETF 于 2006 年成立了 SIDR 工作组，并于中国联通路由安全白皮书（2023）342010 年以 S-BGP 机制为技术原型启动了 RPKI 技术标准的制定工作。2012 年，IETF SIDR 工作组发布了 14 个与