《中国联通研究院:2023电信网路由安全白皮书(52页).pdf》由会员分享,可在线阅读,更多相关《中国联通研究院:2023电信网路由安全白皮书(52页).pdf(52页珍藏版)》请在三个皮匠报告上搜索。
1、1电信网路由安全白皮书电信网路由安全白皮书(2023)(2023)中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月中国联通路由安全白皮书(2023)2权声明权声明本报告版权属于中国联合网络通信有限公司研究院,并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的,应注明“来源:中国联通研究院”。违反上述声明者,本院将追究其相关法律责任。中国联通路由安全白皮书(2023)3目 录目 录目 录.3图目录.5一、域间路由系统安全风险态势.91.1 域间路由系统安全的关键性.91.2 域间路由系统安全的脆弱性.121.2.1 自治系统与 BGP
2、.121.2.2 BGP 安全脆弱性.121.3 域间路由系统安全风险分析.131.3.1 BGP 威胁模型.131.3.2 全球路由安全现状.16二、域间路由安全技术体系.242.1 路由安全防护技术概况.252.1.1 路由注册表.262.1.2 资源公钥基础设施.272.1.3 BGPsec.282.1.4 ASPA.292.1.5 SCION.302.2 路由安全监测技术概况.31三、域间路由安全技术应用与挑战.33中国联通路由安全白皮书(2023)43.1 路由安全防护技术应用与挑战.333.1.1 路由注册表.333.1.2 资源公钥基础设施.333.1.3 BGPsec.403.
3、1.4 ASPA.413.1.5 SCION.413.2 路由安全监测技术应用及挑战.423.2.1 BGP 路由数据采集.423.2.2 BGP 路由数据分析.433.2.3 BGP 路由监测工具及机构.44五、域间路由安全技术发展建议.465.1 加速完善政策措施 构建我国路由安全保障体系.465.2 持续强化技术创新 提升路由安全防护与态势感知能力.465.3 加强全球协作共享 强化国际互联网社群技术影响力.475.4 开展前瞻布局研究 引领路由安全关键技术发展趋势.48附录 1 英文缩略语.49附录 2 参考文献.50中国联通路由安全白皮书(2023)5图目录图目录图 12022 俄乌
4、冲突中的路由异常事件.10图 2异常路由宣告攻击分类.13图 32008 年巴基斯坦电信导致 YouTube 全球中断事件过程17图 420202022 路由安全事件统计(来源:MANRS Observatory).22图 520172021 路由安全事件统计(来源:BGPstream).23图 62021 年第 1 季度路由泄露与路由劫持事件统计(来源:Qrator Labs).23图 72021 年第 4 季度路由泄露与路由劫持事件统计(来源:Qrator Labs).24图 8路由安全技术类别.26图 9RPKI 技术体系.27图 10BGPsec 实现机制.28图 11ASPA 原理图
5、.30图 12SCION 架构图.31图 13BGP 安全监测技术体系构成.32图 14支持 RPKI 的路由器设备厂商.34图 15签发 ROA 的国外互联网公司.35图 16RPKI ROA 验证结果统计分析(来源:NIST RPKI Monitor).36中国联通路由安全白皮书(2023)6图 17RPKI ROA 验证结果历史数据统计分析(来源:NIST RPKIMonitor).37图 18RPKI ROA 验证结果统计分析(来源:MANRS Observatory).37图 19纳入 RPKI 认证范畴的 IP 地址空间(来源:MANRSObservatory).38图 20全球
6、ROA 数据统计(来源:APNIC).38图 21Route Views 路由信息采集器分布.43图 22RIPE RIS 路由信息采集器分布.43图 23部分商用路由安全监测工具.44图 24MANRS Observatory 全局视图.45中国联通路由安全白皮书(2023)7前 言作为互联网的关键基础设施,以BGP(Border Gateway Protocol,边界网关协议)为基础的域间路由系统是连通全球网络空间的技术基石,因此域间路由系统对于整个互联网的可靠稳定运行具有重要意义。然而,因 BGP 协议最初的设计缺陷,导致近年来运营商路由安全问题频发,对网络空间安全造成极大的威胁。与此同
7、时,域间路由安全可信问题更加凸显,单一路由重定向朝着大范围、多领域、政治化延伸,路由安全事件或成为境外媒体对我国进行舆论渲染的导火索,路由攻击也已成为新形势下网络空间战的重要手段。2022 年初以来,俄乌间路由异常时间显著增加。以边界网关协议为核心的互联网域间路由系统成为了此次战争的焦点。由此,路由安全引发各国高度关注,美国联邦通信委员会 FCC 发起调查 BGP 路由安全的通知书,强调将重点推进路由安全技术研究和部署;CERNET、CSTNET、华为等已加入全球路由安全相互协议规范项目 MANRS,旨在解决互联网路由劫持、路由泄漏和地址仿冒等问题,提升网络空间的安全性和韧性。本白皮书系统阐述
8、了域间路由系统的关键性及脆弱性,结合 BGP的威胁模型,分析了全球域间路由安全现状,进而分别从路由安全防护和路由安全监测的角度入手,系统性的介绍了域间路由安全技术体系,针对性的分析了域间路由安全技术当前的应用现状和面临的挑战。最终从政策措施、技术创新、协作共享、前瞻布局四个角度提出了域间路由安全技术发展建议,以期为提升路由安全防护与态势感知能力中国联通路由安全白皮书(2023)8提供参考,同时进一步赋能路由安全相关重大基础设施和安全保障体系建设。编写单位:编写单位:中国联合网络通信有限公司研究院、中国科学院计算机网络信息中心、互联网域名系统北京市工程研究中心有限公司(ZDNS)、华为技术有限公
9、司、新华三技术有限公司、中讯邮电咨询设计院有限公司专家顾问组:专家顾问组:叶晓煜、徐雷、傅瑜、张曼君、陶冶、李强、李长连编写组成员编写组成员:王翠翠、郭新海、贾宝军、贾雅清、李彦彪、马迪、邵晴、陈双龙、万晓兰中国联通路由安全白皮书(2023)9一、域间路由系统安全风险态势一、域间路由系统安全风险态势1.1 域间路由系统安全的关键性1.1 域间路由系统安全的关键性网络安全是我国总体国家安全观的重要组成部分,也是数字时代网络安全是我国总体国家安全观的重要组成部分,也是数字时代国家安全的战略基础。国家安全的战略基础。二十大报告首次以专章阐述国家安全,明确了国家安全要以政治安全为根本,经济安全为基础,
10、未来将强化经济、重大基础设施、金融、网络等安全保障体系建设。同时提出了“统筹发展和安全,强化重大基础设施、网络等安全保障体系建设的部署要求。网络安全日益成为全球应对不确定环境因素的重要保障,稳定和网络安全日益成为全球应对不确定环境因素的重要保障,稳定和安全作用愈加凸显。安全作用愈加凸显。作为国家的“第五空间”,网络空间已经成为维护国家主权、安全和发展利益的战略高地。随着大国间围绕网络安全的战略博弈日益激烈,网络空间安全治理面临着失序失衡的全球环境,各类网络冲突愈加频繁。各国持续发布国家战略、政策、法案和条令,进一步提升网络安全在国家安全、军事安全中的重要地位,积极应对网络威胁带来的重大挑战。作
11、为互联网的关键基础设施,域间路由系统安全是网络空间安全作为互联网的关键基础设施,域间路由系统安全是网络空间安全的重要基石。的重要基石。以 BGP(Border Gateway Protocol,边界网关协议)为基础协议的全球互联网经过 50 多年的蓬勃发展,逐步从计算机互联网、消费互联网向产业互联网演进,成为全社会数字化基础设施,因而对安全可信的路由服务诉求越来越强烈。作为互联网数据传输的核心,互联网不仅在数据转发性能方面,而且在拓扑结构、健壮性、中国联通路由安全白皮书(2023)10安全性等方面也都高度依赖域间路由系统。域间路由系统对于整个互联网的可靠稳定运行具有重要意义。去年俄乌冲突得到了
12、全世界的广泛关注,双方的网络空间战争愈演愈烈。以边界网关协议为核心的互联网域间路由系统,成为了此次以边界网关协议为核心的互联网域间路由系统,成为了此次俄乌战争的焦点,俄乌战争的焦点,一些西方网络运营商对俄罗斯进行了制裁,造成俄国际互联网路由频繁中断。如图 1 所示,2022 年初以来俄乌间路由异常时间显著增加。据全球路由情报平台 GRIP 统计,2022 年 BGP 路由安全事件呈现小幅增长,尤其是 2022 年 3 月,也同俄乌战争开始的时间恰好吻合。图12022俄乌冲突中的路由异常事件2022 年 2 月 28 日,美国联邦通信委员会 FCC 发起调查 BGP 路由安全的通知书。通知书提到
13、,俄乌冲突期间,BGP 路由攻击行为所带来的严重后果让 FCC 认识到,之前国家对 BGP 路由的安全重视不够,此次冲突促使他们不得不向技术机构发起调查通知。针对俄乌冲突中的异常路由事件,通知书强调:一是重视保障互联网基础设施安全,以减轻路由安全隐患带来的潜在危害;二是重视路由安全措施,评估中国联通路由安全白皮书(2023)11路由安全事件影响范围并制定测量指标;三是重视 RPKI 部署,推广RPKI 认证机制以防止路由劫持;四是重视路由安全方案 BGPsec 推广,并逐步将 BGPsec 部署到运营商网络中。综上所述,新形势下域间路由安全可信问题更加凸显,路由攻击已成为新形势下网络空间战的重
14、要手段,研究并推进域间路由安全防护体系的部署应用已迫在眉睫。中国联通路由安全白皮书(2023)121.2 域间路由系统安全的脆弱性1.2 域间路由系统安全的脆弱性1.2.1 自治系统与 BGP1.2.1 自治系统与 BGP互联网被划分为许多较小的自治系统(Autonomous System,AS),每个自治系统是可自主决定在自治系统内使用何种内部网关协议的独立、可管理的网络单位。自治系统边界路由器通过域间路由协议BGP 交换路由信息,其中 BGP 使用 TCP 协议作为路由交换的底层传输协议,通过增量更新实现路由信息交换。1.2.2 BGP 安全脆弱性1.2.2 BGP 安全脆弱性按照最初设计
15、,BGP 协议默认接受对等体通告的任何路由,因此导致即使一个 AS 向外通告未获授权的前缀,也将会被对端接受并继续传播,从而引发路由劫持。根据 IETF RFC 4272,BGP 协议存在以下安全脆弱性:1)BGP 不具备保障对等体间通信报文完整性、时效性和对等实体真实性的机制。2)BGP 对 AS 是否具备发起网络层可达性信息(Network LayerReachability Information,NLRI)的权限缺乏验证机制,AS 只有获得前缀持有者的授权,才能发起该前缀可达的路由通告。因此,接收报文的 BGP 路由器应验证报文中源 AS 是否具有发起 NLRI(即 IP前缀)的权限。
16、否则,AS 可发起任意前缀可达的路由通告,引发前缀劫持攻击。3)BGP 不具备保障 AS 通告路径属性真实性的机制,路由报文中中国联通路由安全白皮书(2023)13路径属性 AS_PATH 的长度是 BGP 最优路径选择策略的第 2 优先策略。如果路由报文的 AS_PATH 被篡改,会导致次优路径被选为最优路径,造成用户数据流被重定向,发生路径伪造攻击。1.3 域间路由系统安全风险分析1.3 域间路由系统安全风险分析由于 BGP 协议自身的安全脆弱性,导致外部攻击和人工配置错误等安全问题频发,对运营商和企业带来了极大的威胁。1.3.1 BGP 威胁模型1.3.1 BGP 威胁模型BGP 协议易
17、遭受异常路由宣告攻击,异常路由宣告攻击指自治系统因偶然(如管理员的配置错误)或恶意的原因而发起或传播包含虚假路由信息(如 NLRI、AS_PATH)或违反路由出站策略的路由宣告。如图 2 所示,BGP 异常路由宣告攻击可分为前缀劫持、路径伪造和路由泄露这 3 类(如图 2 所示)。图2异常路由宣告攻击分类中国联通路由安全白皮书(2023)14(1)前缀劫持若某自治系统发起非本自治系统所拥有前缀的可达路由通告,则称发生前缀劫持。前缀劫持由 BGP 协议第 2 个安全脆弱性导致。根据劫持前缀的类型,前缀劫持可进一步分为 regular 前缀劫持、morespecific 前缀劫持和 bogus前缀
18、劫持这 3 类.若攻击AS 发起受害AS拥有前缀的可达路由通告,则称发生 regular 前缀劫持;若攻击 AS发起受害 AS 拥有前缀的 more specific 前缀的可达路由通告,则称发生 more specific 前缀劫持;若攻击 AS 非法发起未分配前缀的可达路由通告,则称发生 bogus 前缀劫持。不同类型前缀劫持造成的影响是不同的。因遵循最长前缀匹配原则,一般而言,more specific 前缀劫持比 regular 前缀劫持吸引的数据流更多。2008 年巴基斯坦电信劫持YouTube 事件就是典型的 more specific 前缀劫持。垃圾邮件发送者经常通过劫持 bog
19、us 前缀来发送邮件,如 AS 28716(Italy ISP)在2009年11月13日到2010年1月15日近两个月时间内持续劫持IPv6bogus 前缀 d000:/8 却未被发现。(2)路径伪造若某自治系统向邻居自治系统传播 AS_PATH 路径属性非真的路由通告,即攻击 AS 在对路由通告的 AS_PATH 属性进行删除、插入等篡改操作后,再将其传播给邻居 AS,则称发生路径伪造。该路径由BGP 协议第 3 个安全脆弱性导致,其中最常见的路径伪造攻击是中国联通路由安全白皮书(2023)15AS_PATH 缩短攻击(AS_PATH shortening).(3)路由泄露由于 BGP 路由
20、器转发路由不仅要根据路由表,还要参考路由策略。路由策略是指 AS 制定的接收路由、选择最佳路由以及对外通告路由的策略。路由策略的制定通常取决于 AS 之间的关系,AS 关系反映了2 个 BGP 路由器发言人关于商业关系的协议。AS 之间的商业关系大致可以分为 4 种,分别是 C2P(customer to provider)、P2C(providerto customer)、P2P(peer to peer)和 S2S(sibling to sibling)。Provider AS 为 Customer AS 提供到其他 AS 的传输服务,Peer AS之间则提供各自流量传输到对方网络的服务。
21、所以,出于经济利益的考虑,AS 优先选择来自 Customer AS 的路由,其次是 Peer AS 及Provider AS。换句话说,大部分网络采用的路由策略规则是无谷准则(Valley Free Rules),无谷准则是 BGP 路由宣告的合法准则,基于 BGP AS 商业关系的传递策略,无谷准则的原则有:1)来自 Customer AS 宣告的路由允许传递给 Customer、Peer和 Provider。2)来自 Peer AS 宣告的路由允许传递给 Customer,不允许通告给其他的 Peer 和 Provider。3)来自 Provider AS 宣告的路由允许传递给 Cust
22、omer,不允许通告给其他的 Peer 和 Provider。即来自 Provider 和 Peer的路由通告只能传播给其 Customer,中国联通路由安全白皮书(2023)16否则就会造成路由泄露。路由泄露攻击事件约占 BGP 安全攻击的 22%左右,时有发生的路由泄露事件为全球互联网带来了巨大的安全隐患,例如,2015 年发生的 Google 服务器中断安全事件,造成谷歌在欧洲和亚洲部分地区网络近 24 小时的无法访问。1.3.2 全球路由安全现状1.3.2 全球路由安全现状(1)路由安全事件分类欧盟网络安全局(European Union Agency for Cybersecurit
23、y,ENISA)将因 BGP 威胁模型引发的安全事件归为四种类型,包括:a.更改互联网流量内容(破坏完整性)b.窃听互联网流量内容(违反保密性)c.进行互联网流量和元数据分析(违反保密性)d.以及造成连接中断(违反可用性)除此之外,还包括其他的事件类型,例如通过接收源站点的重定向流量来冒充源站点(破坏完整性)。另一个潜在风险是可能通过盗用IP地址或未分配的IP地址来模糊身份,引发应用层的匿名攻击(破坏完整性)。此外,一个 BGP 路由安全事件可能在多个安全维度形成破坏性,例如,BGP 路径伪造可能会破坏机密性(因为流量可能被拦截和读取)、完整性(因为拦截的流量可能被修改)以及可用性(因为攻击者
24、可能无法可靠地将拦截流量转发到其预期目的地址)。中国联通路由安全白皮书(2023)171)影响互联网可用性的 BGP 路由安全事件BGP路由安全事件的常见影响包括造成服务中断或影响互联网服务的可用性及服务质量,例如服务不可用、超长时延或服务降级,其中一个最有代表性的案例是 2008 年巴基斯坦电信导致 YouTube 全球中断的事件。图32008年巴基斯坦电信导致YouTube全球中断事件过程图 3 显示了 2008 年巴基斯坦电信导致 YouTube 全球中断事件过程。根据巴基斯坦电信部封杀 YouTube 网站指示,巴基斯坦电信公司发布了通往 YouTube 地址(前缀)的“伪路由”宣告,
25、意图通过建立YouTube 的本地流量“黑洞”,阻止巴基斯坦境内访问 YouTube,并将 YouTube 的访问请求转发到另一个网站。但巴基斯坦方面随后将该路由宣告转发至国际数据运营商香港电讯盈科(PCCW)。同时该路由也被 PCCW 推送给全球的其他运营商。因此,在全球范围内产生了两条通往 Youtube 的路由,即伪路由和合法路由。由于巴基斯坦电信的伪路由比合法路由“更具体”,引发前缀劫持,即 YouTube 的大部分中国联通路由安全白皮书(2023)18全球流量都选择了伪路由,最终导致全球的大量用户在持续的两个多小时内无法访问 YouTube 网站。此外,表 1 也列举了近几年影响网络
26、可用性的典型 BGP 路由安全事件。表 1.影响网络可用性的 BGP 安全事件2)影响互联网机密性的 BGP 路由安全事件由于恶意攻击者可能会对重定向流量进行监控或分析,因此 BGP路由安全事件也会在一定情形下影响互联网机密性。虽然采用传输层安全协议(TLS)等加密措施可以提升网络机密性,但元数据(metadata)仍然提供了很多可以用于监控分析的信息,例如被访问的服务器、访问设备、访问时间等。同时攻击者可以通过伪装 IP 地址从证书颁发机构(CA)获得数字证书,从而实现 TLS 流量模拟和解密。2020 年,俄罗斯电信运营商 Rostelecom 大量广播不属于其的 IP地址空间的路由宣告,
27、引发前缀劫持。数分钟内,波及 200 余家的互联网服务提供商,众多的美国知名公司在列,包括 Google(谷歌)、Amazon(亚马逊)、Facebook(脸书)、Akamai(知名 CDN 厂商)、Cloudflare(知名 CDN 厂商)、GoDaddy(全球最大的域名注册商)中国联通路由安全白皮书(2023)19等,导致上述公司的网络流量被重定向到俄罗斯。尽管事件持续时间非常短暂,但仍致使上述服务在该时间段内的网络流量被监听。与此同时,因事件波及了众多知名互联网内容服务提供商,在国际互联网社群造成很大的影响。3)影响互联网完整性的 BGP 路由安全事件路由安全事件可能会影响和破坏互联网基
28、础设施的完整性,在这类安全事件中流量可能被重定向到伪造的服务器。由于域名系统的运行在一定程度上依赖路由系统,因此也容易受到路由安全事件的影响。以下是近年来典型的影响域名系统的路由安全事件:2019 年 5 月,巴西 AS 发生了针对 Quad101 的 more specific前缀劫持。Quad101是拥有全球海量用户的公共DNS递归服务,该前缀的路由宣告由 Claro Brasil 传播到全球互联网,导致原本发送至 Quad101 请求数据被重定向到巴西 AS。2018 年 4 月,攻击者针对亚马逊 Route 53 DNS 权威服务发动了more specific前缀劫持,致使原本发送至
29、亚马逊 Route 53DNS 的查询被重定向到恶意 DNS 服务器。服务器只对域名“”查询进行了应答,并将查询请求引导至恶意网站,窃取会员登录信息并从会员钱包中转移了加密货币。由于用户通过 Https 浏览恶意网站时收到了虚假网站的警告提醒标志,间接降低了此次路由劫持事件影响。2014 年,土耳其电信公司针对谷歌和 OpenDNS 的公共 DNS 递中国联通路由安全白皮书(2023)20归服务器发起more specific前缀劫持,以阻止用户访问特定网站。原本发送至这些公共 DNS 的查询被重定向到土耳其电信DNS 递归服务,返回给用户错误的 IP 地址以阻止对特定域名访问。同时,攻击者也
30、可以通过 bogus 前缀劫持,劫持未使用的 IP 地址空间。2015 年,一个未经授权的 AS 在长达数月的时间里持续宣告瑞士州政府持有且未使用的 IP 地址前缀,并通过其 IP 地址发送垃圾邮件。这些垃圾邮件绕过了垃圾邮件过滤机制,在一定程度上对瑞士州政府的声誉造成了极大损害。中国联通路由安全白皮书(2023)21(2)路由安全事件趋势统计1)重大路由安全事件表 2 梳理了近年来的重大路由安全事件,可见因缺乏有效的 BGP安全手段,路由安全事件屡见不鲜,尤其是运营商重大路由安全事件频频发生。域间路由安全可信问题愈加凸显,路由安全事件也呈现出“大范围、多领域、政治化”的主要特点。表 2 近年
31、来重大路由安全事件2)路由安全事件识别与量化如何正确识别 BGP 路由安全事件同时合理量化其影响存在一定难度(注:这里的影响指的是 BGP 路由安全事件造成的被用户感知或未感知到的结果)。造成这种问题的原因有多种:首先,由于不同的组织或个人所处的互联网拓扑位置不同,因而缺少针对全球路由表的全局性、一致性的完整视图;其次,攻击者可通过本地化攻击的方式避免被检测到,这样在全球路由系统中也就捕捉不到该攻击。第三,在没有辅助信息的情况下,很难确定攻击者的动机。中国联通路由安全白皮书(2023)223)不同数据源的路由安全事件统计图420202022路由安全事件统计(来源:MANRS Observato
32、ry)根据图4 显示了 2020 年 8 月至 2022 年 5 月期间在全球范围内记录的 BGP 路由安全事件,其数据来源包括:路由安全监测工具BGPStream 及全球路由情报分析平台 GRIP。由图 4 可见,BGP 路由安全事件呈现小幅增长趋势,尤其是 2022 年 3 月,这个时间也同俄乌战争开始的时间恰好吻合。然而数据采集源及事件(路由泄露、路由劫持)的识别方式等的然而数据采集源及事件(路由泄露、路由劫持)的识别方式等的不同,会造成不同平台之间统计结果的差异化不同,会造成不同平台之间统计结果的差异化:以 2022 年 5 月为例,BGPStream 上记录了 136 例疑似的 BG
33、P 路由劫持事件和 54 例 BGP 路由泄露事件,而 GRIP 同期报告了 788 例路由劫持事件。来自 BGPstream 的数据(图 5)显示了 BGP 路由泄露和路由劫持事件总数呈现逐年下降趋势。中国联通路由安全白皮书(2023)23图520172021路由安全事件统计(来源:BGPstream)同时,Qrator Labs 提供一种为 Radar 的 BGP 监控工具。如图 6所示,Radar 提供的结果与上述结果截然不同。图62021年第1季度路由泄露与路由劫持事件统计(来源:Qrator Labs)图 6 显示从 2021 年 1 月至 3 月,Qrator 实验室报告了 782
34、2532例路由泄露事件和 7311799 例路由劫持事件。其中一些事件被归类全球性(分类标准主要依据影响规模,例如在全球路由表中传播的受影响的 IP 前缀和 AS 数量)。在报告的近 800 万起路由泄露事件和 700中国联通路由安全白皮书(2023)24多万起路由劫持事件中,有9例路由泄露和2例路由劫持被归类为“全球性”。图72021年第4季度路由泄露与路由劫持事件统计(来源:Qrator Labs)2021 年第四季度,Qrator Labs 共记录了 7589347 起路由泄漏事件,其中 4 例被归类为“全球性”,还有 4397906 例路由劫持事件,其中 3 例被标记为“全球性”。由此
35、可见,虽然来自 BGPstream 的数据(图 5)显示了 BGP 泄露和劫持事件总数呈现逐年下降趋势,但趋势的评估通常需要一个较长的时间周期,短时间的评估(2017 年至 2021 年)无法对 BGP 路由安全事件的趋势形成任何结论。同时,正如前文所述,不同的数据来源可能显示截然不同的路由安全事件统计结果,因而更加难以形成对路由安全事件演变趋势的结论。二、域间路由安全技术体系二、域间路由安全技术体系为解决路由劫持等安全威胁对域间路由的影响,近年来研究者们中国联通路由安全白皮书(2023)25提出了许多不同类型的防御机制,大体分为两类:路由安全防护技术和路由安全监测技术。2.1 路由安全防护技
36、术概况2.1 路由安全防护技术概况本章节讨论了主流的路由安全防护技术,包括相对成熟的路由安全技术,例如路由策略规范语言(Routing Policy SpecificationLanguage,RPSL),同时包括已开展不同程度落地应用的技术,例如资源公钥基础设施(Resource Public Key Infrastructure,RPKI)和 BGPsec 等技术。总的来说,目前每一种路由安全防护技术都解决了部分路由安全问题,即使叠加运用,仍不能完全解决当前路由安全面临的挑战。路由安全涵盖了两大方面:路由源验证和路径验证/合法性。路由源验证是验证AS是否被授权发起某IP地址前缀的路由宣告(
37、即 IP 地址空间没有被未经授权的一方劫持)。路径验证是指确保未经授权网络没有从其授权路径分流流量的过程。路径合法性与路径验证相关,但验证范围更为有限,主要是用于对 AS 之间可达性、转发关系等路径属性进行“合法”校验。当前,一部分技术是用于解决路由源验证或路径验证/合法性问题,而另一部分则希望能同时解决这两个方面的问题。中国联通路由安全白皮书(2023)26图8路由安全技术类别2.1.1 路由注册表2.1.1 路由注册表RPSL(Routing Policy Specification Language,路由策略规范语言)是一种描述路由策略的语言。用户可使用 RPSL 基于与邻居AS 关系和
38、传递策略定义网络的输入、输出策略。在现有的技术实现方案中,RPSL 数据可被用来进行路由源认证和路径认证。RPSL 格式的信息发布在名为 IRR(Internet Routing Registries,互联网路由注册表)的存储库中。IRR 从 1995 年最初建立的单一注册中心路由仲裁数据库(Routing Arbiter Database,RADb)逐渐发展至今,截至目前五大 RIR(Regional Internet Registry,区域互联网注册机构)中均部署了 IRR,同时全球数十家大型网络运营商部署了独立的 IRR。当然,在 IRR 对象的授权、认证和验证方面,五大 RIR 的 I
39、RR 比其他第三方 IRR 更具优势。例如,RIPE NCC 的 IRR只允许地址持有者创建关于其 IP 地址空间的 IRR 对象,从而有助于维护 IRR 对象的合法性。而其他第三方 IRR 没有采用这样的方式,因而必须依靠其他方式进行真实性认证。此外,为确保 IRR 数据的时效中国联通路由安全白皮书(2023)27性和准确性,IRR 对象持有人须在必要时对 IRR 中的信息进行更新。2.1.2 资源公钥基础设施2.1.2 资源公钥基础设施资源公钥基础设施(Resource Public Key Infrastructure,RPKI)是另一种旨在提高 BGP 安全性的方法,它于 2007 年
40、首次提出,并于2012 年作为 IETF RFC 发布。RPKI 建立了一种体系结构,可以为实体定义其合法持有 IP 地址和/或 ASN,并对授权一个或多个 AS 为其所持有的 IP 前缀发起源路由提供了密码学担保。RPKI 架构当前主要应用于路由源认证,其中最为关键的两个部分包括:创建 ROA(Route Origin Authorisations,路由源授权)和通过 ROV(Route Origin Validation,路由源认证)对 BGP 路由消息的真实性进行验证,从而实现对无效路由进行过滤。RPKI 体系结构具备多种技术优势,其中最重要的一点是,RPKI 提供了一种为路由源验证的密
41、码学方法。图9RPKI技术体系如图 9 所示,RPKI 体系包括三部分:证书签发体系、证书存储系统以及证书同步验证机制。其中,RPKI 的证书签发体系与互联网中国联通路由安全白皮书(2023)28号码资源由上至下的分配架构相对应。RPKI 涉及的所有证书都存放至 RPKI 资料库中供依赖方(Relying Party,RP,即帮助 AS 同步并验证证书的实体)同步。RP 同步并验证 RPKI 证书和签名对象,而后将验证结果(IP 地址前缀和 ASN 的绑定关系)下放至 AS 边界路由器指导路由过滤。2.1.3 BGPsec2.1.3 BGPsec图10BGPsec实现机制BGPsec(Bord
42、er Gateway Protocol Security)是一种利用签名机制保障 BGP 更新中 AS 路径属性完整性的安全机制,利用 RPKI 体系中的 CA 证书及其密钥信息,对 AS 路径信息进行签名。其中,路径签名信息循环嵌套,通过 BGPsec Update 数据包进行传递,即:每个路由器利用自己的证书给从上一跳路由接收到的路径信息进行签名认证,并作为路由消息的一部分继续转发,严格确保 BPGsec_PATH属性中的信息不被篡改。为了防止授权路由器进行重放攻击,BGPsec中国联通路由安全白皮书(2023)29需要定期的密钥更新。2.1.4 ASPA2.1.4 ASPA2018 年
43、IETF SIDROPS 工作组提出了一种 ASPA(AutonomousSystem Provider Authorization,自治系统提供商授权)的路径验证方案草案。ASPA 是一种利用自治系统间的商业关系和 BGP 无谷策略(valley-free policy)的授权格式标识符,即 ASPA 中的客户 ASN的持有者将其他 AS 授权为它的上游供应商,并将授权表示为 ASPA 标识符,进而利用其进行 BGP 更新消息的过滤。它也是基于 RPKI 的源验证机制进行了路径上的扩展。ASPA标识符中包含了AS对由自身ASN以及合法转发的供应商 ASN 组成的二元组的数字签名,它表示了客户
44、对供应商的选择。与其他安全路由机制不同,ASPA 仅会对来自Customer 或 Peer 的 BGP 更新消息进行验证,但会过滤来自供应商的路由。ASPA 不仅会验证源 AS 的供应商是否合法,同时还会检验经过其他AS的供应商关系,因此是一种针对AS完整路径的验证。在BGPsec尚未大规模部署时,ASPA 是一种能保证较高路径安全性的过渡机制。中国联通路由安全白皮书(2023)30图11ASPA原理图ASPA 巧妙地利用 RPKI 体系实现了路径验证,结合 ROA 路由源验证,能够很大程度上限制各类路由泄露的发生。ASPA 的验证过程不涉及密码学的计算,即对路由器的硬件性能无过高要求,同时在
45、实际部署中,ASPA 能够实现增量部署。2.1.5 SCION2.1.5 SCION为构建安全可信的域间路由基础设施,苏黎世联邦理工大学于2010 年启动研发了的一种网络架构 SCION(Scalability,Control,and Isolation On Next-Generation Networks),它被 IETF 认为是基于新型路径感知网络的“未来互联网提案”。SCION 代表的是下一代网络的可扩展性、可控性和隔离性,其目标是通过安全的域间路由和路径感知网络实现一个安全、稳定和透明的互联网。它是一种不依赖 BGP 协议实现网络流量路由的新方式。SCION 通过将 AS 分组到称为
46、“隔离域(ISD)”的单独域来隔离路由故障,从而可以更好地控制中国联通路由安全白皮书(2023)31数据包采用的路由,实现端到端的可信通信,解决了路由系统在安全性、可靠性和性能方面的现存问题。图12SCION架构图2.2 路由安全监测技术概况2.2 路由安全监测技术概况BGP 监控和异常检测技术是掌握互联网 BGP 路由安全事件全过程的重要抓手,同时也是对网络运行态势进行评估、为协议安全防护提供重要参考以及保证网络安全稳定运行的重要环节。BGP 监测技术体系由三部分构成,如图 13 所示,其包含了 BGP 路由数据经过采集(左),被用于数据分析和异常检测(中),从而最终形成对安全事件全过程的呈
47、现和对事件起因的诊断(右)。中国联通路由安全白皮书(2023)32图13BGP安全监测技术体系构成BGP路由数据采集通常是对大量的参与该项工作的网络运营商提供的路由数据进行汇总,这一技术分为两种形式,包括采集点采集到的路由表状态在特定时刻的周期性“快照”,或者是 BGP 路由更新的数据流或记录。数据采集点所处的地理位置及网络拓扑的多样性至关重要,只有这样才能保证对互联网状态及路由系统的交互情况有更全面的了解。BGP 异常检测和事件监测系统通过分析 BGP 数据集和数据流,在不影响路由器流量转发的情形下,从每秒海量的路由更新数据中识别出疑似 BGP 安全事件。系统通过提供信息或信息可视化的方式为
48、进一步的数据分析和自动响应提供依据,同时也为攻击的检测和防御提供了有力支撑。通过 BGP 安全监测和态势感知系统,可以提高 BGP 路由系统的透明性和可审计性,从而可以全面了解路由安全事件的影响范围和程度、发生时间、发生频率、持续时间以及攻击发生的全过程。中国联通路由安全白皮书(2023)33三、域间路由安全技术应用与挑战三、域间路由安全技术应用与挑战3.1 路由安全防护技术应用与挑战3.1 路由安全防护技术应用与挑战3.1.1 路由注册表3.1.1 路由注册表RPSL 定义明确且全面,同时叠加丰富的生态系统工具,吸引了全球运营商广泛参与,因此 IRR 在全球范围内有着较高的部署率。据。据MA
49、NRS 统计,截止到 2022 年 1 月,88%的路由宣告已在 IRR 中进行登MANRS 统计,截止到 2022 年 1 月,88%的路由宣告已在 IRR 中进行登记记。然而,RPSL 因与之配合推进的 IRR 系统存在缺陷而应用受阻。同时当前测量 IRR 有效性的指标较少,其指标主要聚焦于数据注册量,指标主要聚焦于数据注册量,缺少对数据有效性及运营商对数据的采用率的测量和统计。缺少对数据有效性及运营商对数据的采用率的测量和统计。RPSL 为网络运营商提供了一种描述路由安全策略信息的通用语言,同时当前已有大量成熟的商用或开源工具适配于 RPSL 格式数据。但当前有两个缺陷:首先,IRR 中
50、发布的信息时效性和准确性低,从首先,IRR 中发布的信息时效性和准确性低,从而间接降低了基于 IRR 和 RPSL 数据的路由过滤器的准确性而间接降低了基于 IRR 和 RPSL 数据的路由过滤器的准确性。其次,RPSL 和 IRR 系统诞生于加密安全技术方案之前,同所有早期的互联网协议一样,两者均为基于信任的实现方式。因此,可基于访问控制的安全模型对 RPSL/IRR 系统进行改造,但考虑到 IRR 的海量用户以及多对多访问控制模型的要求,由 IRR 运营方独立实施 IRR 的访问控制改造的难度非常大。3.1.2 资源公钥基础设施3.1.2 资源公钥基础设施(1)标准化工作在标准化工作方面,
51、IETF 于 2006 年成立了 SIDR 工作组,并于中国联通路由安全白皮书(2023)342010 年以 S-BGP 机制为技术原型启动了 RPKI 技术标准的制定工作。2012 年,IETF SIDR 工作组发布了 14 个与 RPKI 体系相关的 RFC 标准文档,对 RPKI 体系的核心协议进行了规范,涵盖 RPKI 体系结构、操作模型、证书秘钥算法等一系列支撑 RPKI 实际运行的关键技术。历经 11 年,RPKI 技术框架及相关核心协议的标准化工作于 2017 年宣告完成。同年,IETF 成立了域间路由安全操作(Secure Inter-DomainRouting operati
52、ons,SIDROPS)工作组,负责解决 RPKI 部署和运行过程中的问题,提出解决方案支持 RPKI 的全球化增量部署,RPKI 标准化化工作极大推进了其部署应用的进程,进一步促使其成为域间路由安全领域的研究热点。(2)工业界部署及应用Cisco、华为、Juniper、H3C 等厂商均发布了支持 RPKI 路由起源认证功能的路由器硬件设备。图14支持RPKI的路由器设备厂商在最近几年中,一些大型公司已经开始通过 ROV 过滤 RPKI 认定的无效路由,如 AT&T、Comcast 和 Hurricane Electric,以及一些互联网交换中心,如 DE-CIX、Seattle IX 和 Y
53、YCIX,随着大型互联中国联通路由安全白皮书(2023)35网服务提供商和网络运营商启用 ROV 过滤无效路由,发布 ROA 的优势逐步增加。同时,如图 15 所示,国外的各大互联网公司越来越关注域间路由安全问题,积极签发 RPKI 数据对象以提高整体互联网的安全性。图15签发ROA的国外互联网公司Google宣称已于2020年11月底完成了99%以上路由宣告的RPKI注册;Facebook(AS32934)已于 2013 年为其所持有的部分 IP 地址空间签署 ROA;Microsoft(AS8075)于 2016 年、2020 年分别为北美、欧美地区的 IP 地址空间签发了 ROA。Ama
54、zon(AS1650)为其域名解析服务 Route53 所在的 IP 地址空间签发 ROA;Cloudflare 的递归解析服务(1.1.1.1)所在的 IP 地址空间也纳入 RPKI 认证保护范畴。在中国,RPKI 的部署应用并未大规模推广,在中国,RPKI 的部署应用并未大规模推广,以国内头部互联网公司为例:根据 APNIC 的数据统计显示,阿里巴巴为其持有的 AS37963签发了ROA数据对象,腾讯为其持有的 AS45090签发了ROA数据对象,百度、京东等并未将其持有的 IP 地址空间纳入 RPKI 认证范畴。(3)RPKI ROV 数据统计由美国国家标准与技术研究所(US Natio
55、nal Institute ofStandards and Technology,NIST)运行的 RPKI Monitor 在全球范围内跟踪 ROV 验证结果。如图 16 所示,截止至 2023 年 5 月,在 IPv4截止至 2023 年 5 月,在 IPv4中国联通路由安全白皮书(2023)36地址空间方面,55.82%的 IPv4 地址在 ROV 中显示是 unknown 状态,地址空间方面,55.82%的 IPv4 地址在 ROV 中显示是 unknown 状态,43.16%是 valid 状态,1.02%是 invalid 状态。43.16%是 valid 状态,1.02%是 in
56、valid 状态。图16RPKI ROA验证结果统计分析(来源:NIST RPKI Monitor)也就是说,如果路由器启用 ROV 过滤的情形下,将有高于三分之如果路由器启用 ROV 过滤的情形下,将有高于三分之一的 IP 地址对免受路由源劫持或误操作的影响一的 IP 地址对免受路由源劫持或误操作的影响。ROA 对 IP 地址空间的充分覆盖是运营商从启用 ROV 过滤中获益的先决条件。图 17 显示,自 2014 年以来,valid 状态 ROA 的百分比逐步增加,2019 年增长加快,这也与 ROA 创建数量的增加相吻合。除了 NIST,MANRS、NLnet实验室以及 APNIC 也在研
57、究和统计跟踪 ROA 创建动态。中国联通路由安全白皮书(2023)37图17RPKI ROA验证结果历史数据统计分析(来源:NIST RPKI Monitor)MANRS Observatory 提供的全球范围内的统计结果同 NIST 非常接近,如图 18 所示,截至 2023 年 5 月,58.2%的“unknown”状态,40.9%的“合法”状态以及 0.9%的“无效”状态。如图 19 所示,全球接近一半的“在用”IP 地址空间已纳入 RPKI 认证范畴内,其中,IPv4 地址和 IPv6 地址的占比分别为 44.63%和 45.98%。图18RPKI ROA验证结果统计分析(来源:MAN
58、RS Observatory)中国联通路由安全白皮书(2023)38图19纳入RPKI认证范畴的IP地址空间(来源:MANRS Observatory)根据 APNIC 统计数据,截止至 2023 年 7 月,中国大陆仅有 2.37%的 IPv4 地址空间纳入 RPKI 认证范畴,远低于世界其他国家和地区。图20全球ROA数据统计(来源:APNIC)中国联通路由安全白皮书(2023)39(4)RPKI 部署有效性评估RPKI 在全球范围内的部署应用开始加快,RPKI 支持增量部署,并支持 AS 通过签发 ROA 保护其 IP 地址前缀,通过启动 ROV 过滤无效路由,保障了邻居接收路由的“合法
59、性”。同时,该体系结构中也带来一定程度的网络效应(例如,ROA 签发和 ROV 过滤的应用越多,对网络带来的正面作用越大)。此外,RPKI 包含了 ROA 签发准确性的保障机制,该体系结构仅允许实体对其持有的前缀进行路由源授权(ROA)数字签名。此外每个 ROA 都设置了生存时间,以此来保持 ROA的更新。RPKI 的部署包含两个关键部分,一是前缀持有者创建 ROA,二是网络运营商采用ROV过滤路由。ROV过滤路由的有效性取决于创建ROA的前缀持有者数量以及 ROA 本身的准确性。随着越来越多的参与者启用 ROV 过滤“不合法”路由,RPKI 中在实际应用中遏制了伪造路由宣告的传播,避免了路由
60、源劫持的发生。随着更多的运营商开始部署RPKI,提升了全球的路由安全性,也激励了更多的前缀持有者签发ROA,形成路由安全的良性循环。基于 ROA 创建和 ROV 过滤的应用情况,网络运营商等最关心的问题是 RPKI 部署在减少 BGP 安全事件方面的贡献度。要评估 RPKI 部署减少路由安全事件的有效性,其中一种可能方法是评估路由源认证过程中“合法路由”在宣告路由总量中的占比。理论上,“合法路由”指的是通过路由源认证免受路由源劫持或误操作影响的 IP 地址前缀中国联通路由安全白皮书(2023)40的比例,但这种评估方法很大程度上取决于路由器是否开启过滤“invalid路由。目前的研究和统计大多
61、由于没有考虑 ROV 的应用率,因此结果并不能作为衡量 RPKI 有效性的标准,同时也没有对其在多大程度上降低 BGP 事件发生率进行统计。后续的研究和测量工作可以更多的考量和评估 RPKI 部署(包括 ROA 创建和 ROV 过滤)对路由事件的影响,以进一步推动 RPKI 部署和路由安全技术的提升。(5)RPKI 部署现存挑战RPKI 体系在域间路由系统安全以及其他领域的学术研究和应用实践仍然处于起步阶段,面临包括部署开销、可扩展性在内的风险和挑战,包括层级式信任模型引入的资源认证安全风险、数据分发的效率、人工配置引入的管理风险等。基于现有的研究工作和部署经验,RPKI 体系仍有许多问题需要
62、进一步深入研究和分析。尽管 RPKI 技术本身及其部署应用还有许多亟待解决的问题,基于 RPKI 为域间路由系统提供安全认证服务仍是大势所趋。如何在充分发挥 RPKI 技术优点的基础上,最大限度地减少由其引入的隐患风险,是研究人员下一步工作需要着手解决的问题。3.1.3 BGPsec3.1.3 BGPsecBGPsec是一种严格的路径保护方案,其高频率的密码学计算 给路由器的硬件带来极大的算力考验,同时也降低了 BGP 的实际收敛速率,该方案难以在实际环境中进行大规模部署。中国联通路由安全白皮书(2023)41同时在身份未知的网络环境中,BGPsec无法对 AS_PATH“合法性”做出验证,因
63、此无法阻止路由泄露的发生。在性能方面,BGPsec 逐跳签名造成较大的计算开销与内存消耗。对于上述性能问题,学术界存在一些优化思路。例如通过使用签名聚合签名的方法减少签名的传递负载与计算消耗,或者使用新型密码学进行公钥的传递,以减少证书存储的内存消耗等。3.1.43.1.4ASPAASPA对于路径篡改问题,ASPA 并没有提供完整的解决方案.ASPA 相当于将静态的拓扑关系进行发布,但是在实际 BGP 环境中,实时通告的最终路径,均受到复杂的路由策略与决策的影响。ASPA 完全基于 AS 粒度对通告路径进行检测,存在以下缺陷:ASPA 对路径的限制基于 AS 粒度,然而 IP 前缀在广播的过程
64、中存在多条潜在路径,路由器只对最优路径进行广播。故在 IP 广播的过程中,AS 粒度级别的路径限制并不能对 AS_PATH 属性进行百分百的保护。由于ASPA提供了全局AS拓扑视图,在缺乏密码学保护的情况下,任何一个路由器可以根据数据集伪造出能通过验证的路径,绕过ASPA验证完成欺骗。其次,随着路径长度的增加,能够产生多条“合法”路径的可能性越大,因此被篡改的几率也会随之增加。3.1.53.1.5SCIONSCIONSCION 适用于多方可靠交换敏感信息的场景,例如应用在医疗、能源、金融或政府部门。例如,瑞士国家银行和为瑞士金融中心运营中国联通路由安全白皮书(2023)42基础设施的六国集团于
65、 2021 年 7 月宣布推出安全瑞士金融网络(Secure Swiss Finance Network,SSFN)。SSFN 是一种基于 SCION 架构的新型通信网络,旨在支持瑞士金融业和瑞士银行间清算(SIC)系统。此外该架构已在多家瑞士运营商应用实施,同时提供可商用的SCION 产品。IoTCube 是 SCION 的合作伙伴并已在韩国提供服务,首个 SCION 节点安装在 LGU+网络中。来自美国、欧洲和亚洲的一些研究和教育机构也在 SCIONLab 全球研究试验床开展研究。SCION 前景广阔,但其架构正处于部署和实施的初期阶段,目前正在寻求正式的标准化。SCION 部署复杂度低,
66、可以部署在 AS 间用于网络流量交换的边缘设备之上,同时可复用现有的域内网络基础设施。虽然 SCION 实现与 IP/BGP 协议的交互,但只有建立完整的端到端 SCION 连接时,才能实现 SCION 架构的全部优势,因此需要全球大量的 AS 采用该技术。3.2 路由安全监测技术应用及挑战3.2 路由安全监测技术应用及挑战近 20 多年来,BGP 路由信息采集及安全分析监测一直是互联网产业界生态圈的研究热点之一。3.2.1 BGP 路由数据采集3.2.1 BGP 路由数据采集20 世纪末,美国和欧洲分别发起了以 Route Views 和 RIPE RIS项目为主的 BGP 路由信息采集公共
67、基础设施建设。通过专用采集器与现网 BGP 路由器采集点建立对等关系单向获取 BGP 路由信息,并开放提供给业界进行进一步的数据分析使用。截至目前,Route Views中国联通路由安全白皮书(2023)43和 RIPE RIS 在全球共计建设了超过 50 多个路由采集器,从全球数百个 AS 提取 BGP 路由信息。在路由数据采集方面,除了 RouteViews和 RIPE RIS,PCH(Packet Clearing House,数据包清算所)提供了每日路由快照数据服务,俄勒冈大学也开展了路由视图项目。图21Route Views路由信息采集器分布图22RIPE RIS路由信息采集器分布3
68、.2.2 BGP 路由数据分析3.2.2 BGP 路由数据分析美国国家网络研究实验室 NLANR 使用 RouteViews 数据进行AS-PATH 可视化以及 IPv4 地址空间使用率的研究。Geoff Huston 通过使用 RouteViews 数据动态分析 BGP 路由表。CAIDA 的研究覆盖数据采集、分析、可视化、分层共享等各相关环节以及商业、教育、研究和政府组织等产业生态。中国联通路由安全白皮书(2023)443.2.3 BGP 路由监测工具及机构3.2.3 BGP 路由监测工具及机构为监测和跟踪路由安全事件,准确评估事件影响程度,针对路由异常进行实时告警,国内外已针对路由安全事
69、件展开了多项研究计划。由 NTT 开发的 BGPaleter 是一款在业界广受欢迎的开源工具,BGPaleter 可用来监控 BGP 宣告,并在其网络出现异常时进行告警,其用户涵盖了 Cloudflare、Fastly、LACNIC(Latin America andCaribbean Network Information Centre,拉丁美洲和加勒比网络信息中心)、西雅图互联网交易所等。此外,业界比较知名的 BGP 路由监测工具还包括由欧洲研究委员会、国家科学基金会和国土安全部等联合开发的 ARTEMIS,专注于路由劫持事件研究的全球路由情报平台(GRIP)、实时 BGP 实时监测服务
70、Radar by Qrator 等。图23部分商用路由安全监测工具自 2017 年以来,微软开始运行 RADAR(Route Anomaly Detectionand Remediation,路由异常检测和修复)系统,可以以几乎实时的方式实现 BGP 劫持和路由泄漏的识别和防护。此外,Cisco CrossworkCloud 也开发了路由安全监测平台 BGPStream。BGPStream 通过算法对每日数亿条 BGP 路由数据进行分析,以识别全球互联网发生的路由安事件。中国联通路由安全白皮书(2023)45为解决互联网路由劫持、路由泄漏和地址仿冒等问题,提升全球互联网空间的安全性,国际互联网
71、协会 ISOC 提出了一项加强国际互联互通路由安全的全球倡议项目 MANRS(Mutually Agreed Norms forRouting Security,路由安全相互协议规范),以期通过运营商、交换中心、CDN、云服务商、设备商和政策决策者等各方合作,提升全球互联网空间的安全性。MANRS 项目包括运营商计划、交换中心计划、CDN&Cloud 供应商计划和设备商计划,目前共有 700 名成员单位。2019 年 8 月,MANRS 正式启动 MANRS Observatory 路由安全监测工具,通过汇聚多方数据源进行分析,可深入了解当前网络符合路由安全标准的程度,提升了全球网络运行状况的
72、透明性。图24MANRS Observatory全局视图中国联通路由安全白皮书(2023)46五、域间路由安全技术发展建议五、域间路由安全技术发展建议5.1 加速完善政策措施 构建我国路由安全保障体系5.1 加速完善政策措施 构建我国路由安全保障体系为了护航网络强国、数字中国建设,我国应不断强化国家战略的引领作用,加强在路由安全领域战略部署和综合施策。一是加速出台顶层配套政策并推动落地,关键信息基础设施安全保护条例等文件的相继发布,进一步完善了我国在关键信息基础设施安全保护领域的立法体系,同时,应着力推动相关落地实施的配套制度措施、标准规范全面铺开,切实保障我国路由安全。二是打造信息互通共享平
73、台,构建国家权威 IP 信息库,对各方数据进行分级汇总共享,破除信息壁垒。通过采集与共享的路由安全事件信息,明确事件规模与范围,从而指导路由系统相关决策。三是提升行业对路由安全技术最佳实践的认识,推动路由安全技术的部署进程。如采用路由安全措施部署激励政策,鼓励优先采购支持路由安全的设备,以分阶段方式先行部署路由安全措施等。5.2 持续强化技术创新 提升路由安全防护与态势感知能力5.2 持续强化技术创新 提升路由安全防护与态势感知能力一是推进路由安全异常检测、溯源、治理等核心技术攻关,大幅提高风险研判能力;积极开展全球互联网资源公钥基础设施信任源点试点建设,推进 BGPsec 等路由安全防御方案
74、的研究与试点。二是加强我国网络空间安全监测预警与防护保障能力建设,构建全球互联网基础资源监测预警与分析溯源系统。通过更深更广的采集点覆盖,形中国联通路由安全白皮书(2023)47成更加丰富的路由数据采集生态。持续开展全球路由连接分析,不断提高全球 AS 的路由通达关系实时分析的能力,及时评估路由安全隐患,溯源与取证路由安全事件,从而帮助基础电信运营商尽快发现和界定故障,避免因进一步消息扩散而导致的放大效应,提升针对自身重要业务前缀在全球范围的安全威胁感知能力,最终实现实现全球态势“看得清”、异常行为“辨得明”、重大风险“控得住”。三是有针对性地开展域间路由系统的拓扑结构、发起和传播路由行为特征
75、及其动态性、注册和路由数据的真实性及覆盖度等方面的测量研究,构建包括前缀起源、AS 拓扑及邻居商业关系、路由备选知识库在内的全球互联网三大核心知识库,对全球路由重要性程度进行标记和排序,绘制数字世界基础设施的“交通地图”,在实现(准)实时路由安全事故检测能力的同时,形成对互联网稳定运行的重要支撑。5.3 加强全球协作共享 强化国际互联网社群技术影响力5.3 加强全球协作共享 强化国际互联网社群技术影响力一是加入全球路由安全组织 MANRS 运营商计划,通过运营商、交换中心、CDN、云服务商、设备商和政策决策者等各方合作,解决各国各运营商之间的互联网路由劫持、路由泄漏和地址仿冒等问题,提升全球互
76、联网空间的安全性。二是加强与全球网络运营商的协作与共享,提升我国在国际互联网合作中的影响力,积极参与国际互联网安全治理,深化国际互联网社群合作,共同促进全球互联网的持续开放和安全稳定运行。中国联通路由安全白皮书(2023)485.4 开展前瞻布局研究 引领路由安全关键技术发展趋势5.4 开展前瞻布局研究 引领路由安全关键技术发展趋势一是针对 RPKI 和 BGPsec 技术缺陷,进行低开销、去中心化、部署激励等方向的研究。以 RPKI 体系为主导的域间路由安全关键技术的学术研究和应用实践仍然处于起步阶段,面临包括安全性、部署开销、可扩展性等在内的风险和挑战,需在现有的研究工作和部署经验基础之上
77、,持续优化技术方案。二是提升 BGP 路由安全异常检测技术的准确性,如何在目前研究基础上进一步降低检测的误报和漏报率是需要深入研究的一个难点问题。三是积极推进 ASPA、SCION 等路由安全前沿技术的研究和试点部署工作。中国联通路由安全白皮书(2023)49附录 1 英文缩略语附录 1 英文缩略语BGPBorder Gateway Protocol边界网关协议BGPsecBorder Gateway Protocol Security边界网关协议安全ASPAAutonomousSystemProviderAuthorization自治系统提供商授权SCIONScalability,Contr
78、ol,and Isolation OnNext-Generation Networks下一代网络的可扩展性、可控性和隔离性IRRInternet Routing Registries互联网路由注册表RPSLRouting Policy Specification Language路由策略规范语言ASAutonomous System自治系统RPKIResource Public Key Infrastructure资源公钥基础设施MANRSMutuallyAgreedNormsforRoutingSecurity路由安全相互协议规范RIRRegional Internet Registry区域
79、互联网注册机构ROARoute Origin Authorisations路由源授权ROVRoute Origin Validation路由源认证ASNAutonomous System Number自治系统号RPRelying Party依赖方SSFNSecure Swiss Finance Network安全瑞士金融网络NISTUS National Institute of Standards andTechnology美国国家标准与技术研究所APNICAsia-PacificNetworkInformationCenter亚太互联网络信息中心LACNICLatin America an
80、d Caribbean NetworkInformation Centre拉丁美洲和加勒比网络信息中心ENISAEuropeanUnionAgencyforCybersecurity欧盟网络安全局NLRINetwork Layer Reachability Information网络层可达信息中国联通路由安全白皮书(2023)50附录 2 参考文献附录 2 参考文献1.OECD(2022),Routingsecurity:BGPincidents,mitigationtechniquesandpolicyactions,OECDDigitalEconomyPapers,No.330,OECDP
81、ublishing,Paris,https:/doi.org/10.1787/40be69c8-en.2.王娜,杜学绘,王文娟,刘敖迪.边界网关协议安全研究综述J.计算机学报,2017,40(07):1626-1648.3.王翠翠,延志伟,耿光刚.互联网名址体系安全保障技术及其应用分析J.网络与信息安全学报,2017,3(03):34-42.4.Wang,Cuicui&Yan,Zhiwei&Hu,Anlei.(2015).An efficient data management architecturefor the large-scale deployment of Resource Pub
82、lic Key Infrastructure.10.1201/b18592-211.5.中国互联网络信息中心.RPKI测试环境搭建技术白皮书.R/OL.(2015-01-29)2015-01-29https:/ BGP 路由可视及安全检测技术架构与实践J.电信科学,2021,37(12):110-120.7.邹 慧,马 迪,邵 晴,毛 伟.互 联 网 码 号 资 源 公 钥 基 础 设 施(RPKI)研 究 综 述 J.计 算 机 学报,2022,45(05):1100-1132.8.David Barrera,Laurent Chuat,Adrian Perrig,Raphael M.Rei
83、schuk,and Pawel Szalachowski.2017.TheSCIONinternetarchitecture.Commun.ACM60,6(June2017),56 65.https:/doi.org/10.1145/30855919.Gilad Y,Cohen A,Herzberg A,Schapira M,Shulman H.Are we there yet?On RPKIs deploymentand security.In:Proc.of the Network and Distributed System Security Symp.2017.doi:10.14722
84、/ndss.2017.2312310.RIPE.RoutingInformationService(RIS).https:/ et al.,SCIONLAB:A Next-Generation Internet Testbed,2020 IEEE 28thInternational Conference on Network Protocols(ICNP),Madrid,Spain,2020,pp.1-12,doi:10.1109/ICNP49622.2020.9259355.13.Lepinski M,Kent S,Kong D.A profile for route origin auth
85、orizations(ROAs).RFC 6482,IETF,2012.14.Lepinski M,Sriram K.BGPSEC protocol specification.RFC 8205,2017.15.Murphy S.BGP security vulnerabilities analysis.RFC 4272,2006.中国联通路由安全白皮书(2023)5116.Lepinski M,Kent S.An infrastructure to support secure internet routing.RFC 6480,201217.AzimovA,BogomazovE,BushR
86、,etal.Verificationof AS_PATHUsingtheResourceCertificatePublicKey InfrastructureandAutonomousSystemProviderAuthorization.Internet Engineering Task Force,2018:18.18.CAIDA.ASrelationships.https:/www.caida.org/catalog/datasets/as-relationships/.2021-05-01.中国联通路由安全白皮书(2023)52战略决策的参谋者技术发展的引领者产业发展的助推者态度、速度
87、、气度有情怀、有格局、有担当中国联通研究院是根植于联通集团(中国联通直属二级机构),服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者,是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院致力于提高核心竞争力和增强核心功能,紧密围绕联网通信、算网数智两大类主业,按照 4+2+X 研发布局,开展面向 C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发,承担高质量决策报告研究和专精特新核心技术攻关,致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部,多方位参与网络强国、数字中国建设,大力发展战略性新兴产业,加快形成新质生产力。联通研究院现有员工 700 余人,85%以上为硕士、博士研究生,以“三度三有”上海品茶为根基,发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联合网络通信有限公司研究院地址:北京市亦庄经济技术开发区北环东路 1 号电话:邮编:100176