互聯網路由可信驗證與感知分析技術

李原 沈辰

（中國信息通信研究院 北京市 100037）

互聯網是由全球不同區域、不同大小的自治域網絡互聯構成。路由是實現網絡之間互聯，將數據包從一端傳送至另一端的互聯網核心基礎協議。目前，邊界網關協議（Border Gateway Protocol）是互聯網實際使用的標準域間路由協議。然而，隨著網絡之間高度互聯互通，在交換路由信息時BGP 協議缺乏可信路由認證機制的影響也越發明顯，路由劫持事件層出不窮，影響日益廣泛。此背景下，國際上完善互聯網路由機制的呼聲日益迫切，國際標準組織與研究機構提出了眾多解決方案。其中，路由注冊機制（Internet Routing Registry，IRR）發展較早，已得到普遍接受和認可。同時，近年來由IANA 與五大洲互聯網資源管理機構重點推動的互聯網碼號資源公鑰基礎設施（Resource Public Key Infrastructure，RPKI）發展較快。

本文首先分析了路由劫持基本原理，結合典型事件總結了路由劫持的主要影響和原因，接著討論了解決這一問題的技術途徑，梳理了當前互聯網路由可信技術方案。最后，形成了增強我國路由安全保障，加強路由可信驗證的建議和策略。

1 全球路由劫持典型事件及其成因

1.1 路由劫持事件頻發影響網絡正常運行

路由劫持是指某個自治域網絡對外通告了一個未獲授權的地址前綴（即該前綴屬于其他AS 所有或該地址尚未分配），基于路由優選機制形成原有流量脫離正常疏導路徑的重定向現象。路由劫持往往致使網絡和業務性能下降，主要分為惡意劫持和無意劫持兩種情況。近年來，域間路由系統錯誤引起的路由劫持事件頻發，具代表性的如表1 所示。

其中，最具典型性的事件如下：

典型事件1：巴基斯坦電信進行路由劫持，導致全球YouTube訪問大面積受阻

2008年2月，巴基斯坦政府以有褻瀆宗教內容為由命令巴基斯坦電信封鎖YouTube。巴基斯坦電信試圖通過設置路由黑洞限制本地用戶訪問，但錯誤將此路由信息同步至對外BGP 路由，上游轉接服務商向國際互聯網廣播了此路由信息，導致全球范圍內大量用戶無法訪問YouTube。

典型事件2：Google 劫持NTT 路由導致日本800 萬用戶斷網1小時

2017年8月，Google 工程師的錯誤配置劫持了全球16 萬條路由（其中，超過2.5 萬條屬于日本運營商NTT）。該錯誤路由具有較高優先級致使其他網絡來往NTT 的流量錯誤疏導至Google 位于芝加哥的數據中心。其中，包括KDDI、IIJ 與NTT 的本地交換流量也“漂洋過海”，直接造成日本大范圍持續斷網近1 小時，引起民眾較大恐慌，受到日本政府高度重視。

表1：具有較大影響的全球路由劫持事件

典型事件3：亞馬遜DNS 服務器遭到劫持，用于竊取數字貨幣

2018年4月，網絡攻擊者入侵亞馬遜云服務的上游電信運營商eNET 發出虛假路由廣播（包含亞馬遜權威DNS 服務器地址前綴）。Hurricane Electric 接受路由通知后，將數字貨幣網站MyEtherWallet.com 域名的部分流量重定向到釣魚網站。攻擊者這通過路由劫持共竊取了大約15 萬美元的數字貨幣。

根據上述3 起劫持事件可以看到，由于域間路由系統存在類似現實世界的“蝴蝶效應”，任何具有一定規模的網絡有意或無意發布錯誤的BGP 路由，都具備影響全世界互聯網運行的能力。與此同時，隨著當前互聯日益廣泛，路由劫持的影響逐漸嚴重和廣泛。總結來看主要體現在以下方面：

（1）造成流量重定向：錯誤路由被接受和全網傳播造成流量長距離繞轉，致使業務性能下降。

（2）導致網絡大規模中斷：錯誤路由被大范圍傳播，特別是具有較大影響力的自治域網絡出錯，將形成連鎖效應導致大范圍的網絡中斷。

（3）應用于網絡攻擊：與DNS 攻擊、DDoS、中間人攻擊等結合進行網絡攻擊。

（4）政治化延伸：無意的流量劫持在特定場合下被刻意渲染和利用。

1.2 路由劫持產生的主要原因

BGP 協議路由通告缺乏可信性，在路由安全上存在非常明顯的設計缺陷和安全漏洞，主要表現在：默認接受對方通告的任何路由，即使對方通告不屬于自己的前綴或超出范圍的通告，也將會被接受并繼續傳播。在此背景下，自治域網絡不具備對路由信息進行可信驗證的能力，錯誤路由傳播無疑會導致許多安全問題的發生，是造成路由劫持的根本性原因[1,2]。

圖1：路由注冊方案的注冊和查詢機制

圖2：RPKI 方案的層級授信機制

同時，在互聯網業務持續豐富、差異化發展的背景下，根據CAIDA[3]數據顯示，目前全球活躍自治域網絡數量達到6.68 萬個，互聯關系數量達到33.3 萬，相較5年前增長84%，是20年前的40倍。網絡主體以及互聯關系數量保持高速增長加劇了路由安全可信問題。原有人工核驗的方式無法滿足復雜互聯情況下的認證需要，對路由安全運行提出較大挑戰。

此外，自治域網絡運維復雜導致大量人為錯配情況出現。由于BGP 屬于策略路由協議，存在AS-Path、Local-Preference、MED、Community 等眾多控制路徑和通告范圍的屬性參數，網絡運維需具備一定基礎和經驗。事實上，全球近7 萬的自治域網絡在運維管理水平上參差不齊，無意人為錯配導致的路由劫持事件時有發生，較為普遍。

2 路由可信技術方案與監測分析

鑒于域間路由安全可信問題日益凸顯，國際標準組織與研究機構積極推動全球BGP 路由安全技術方案的發展。早期，業界研究方向主要聚焦于對BGP 協議的更新和完善，希望通過MD5[4]、GTSM[5]以及路由抖動抑制實現對BGP 進行改良。然而，實際上對原生機制改進通常面臨了性能開銷與實際部署難題，局限性較大，對于全面保障路由通告幫助作用有限。

路由劫持的產生原因歸根到底是雙方發布的路由信息缺乏可信機制。因此，引入可信第三方的增強機制已成為當前路由可信技術的主要研究和應用方向，具體又分為路由注冊IRR、互聯網碼號資源公鑰基礎設施RPKI、區塊鏈等去中心化路由驗證等。此外，劫持檢測與監測也是路由可信領域的另一研究方向。

從目前應用來看，IRR 是應用最為廣泛的解決方案。部分國際主流運營商已開始嚴格執行路由注冊規定，對未注冊的路由將不再進行通告。可以看到，全球網絡對于路由安全日益重視，路由可信將成為一次觸及互聯網“互聯互通根基”的升級過程，開展路由可信技術研究具有重要現實和戰略意義。

2.1 路由注冊IRR

IRR 是指各企業將自己的路由信息、路由策略注冊公共數據庫以便相互查詢的行為。通常上，路由注冊庫以RPSL（routing policy spеcification languagе）[6]語言描述存儲聲明路由和路由策略。企業在完成注冊后以此數據庫作為信任源頭解決路由可信問題。如圖1 所示，在注冊階段，企業將所屬的自治域網絡號碼（ASN）和相應的IP 地址前綴信息注冊到數據庫，并可進一步完善該自治域的互聯關系和相應的路由策略。在驗證階段，企業在接受新的路由通告前會查詢該路由注冊庫，判斷通告信息的準確性。

路由注冊庫一般由中立第三方運營維護，已被全球廣大企業所接受和普遍采用。目前，全球有超過20 個的規模化路由注冊庫，其中RADb 規模最大、最具影響力。RADb 由美國非盈利機構Merit Network 建設維護，并接受美國密歇根大學資助。該路由注冊庫匯聚了超過1000 家的企業，涵蓋了Level3、NTT、TATA、DT等國際主要ISP 以及谷歌、微軟、亞馬遜等主要ICP 企業。中國電信、中國移動也注冊并使用RADb。

但該機制也存在一些問題。一方面，IRR 數據庫較為分散，不同注冊庫之間存在數據割裂、不共享問題；另一方面，注冊庫由企業自主上傳，存在內容不可靠、更新不及時情況；此外，IRR 數據庫內容不完整，未覆蓋全部自治域網絡。

2.2 互聯網碼號資源公鑰基礎設施PRKI

RPKI 是一項旨在使互聯網路由更安全、可信的公開密鑰基礎建設框架，由權威標準組織IETF 提出。與路由注冊庫相似，RPKI的目的也是建立自治域網絡與其擁有的IP 地址之間的準確對應數據庫。不同的是，由于互聯網資源管理機構為對資源分配具有天然的權威性，RPKI 方案授信機制的核心特點是沿用了現有全球互聯網資源管理層次化架構，如圖2 所示。

一方面，IANA 借助分配和管理互聯網資源的天然優勢成為了路由源認證的“源頭”；另一方面，五大洲互聯網資源管理機構實際負責建設維護了供全球網絡查詢驗證的RPKI 對應數據庫。總體來看，RPKI 形成了自上而下的層級信任關系鏈。與廣為熟知的DNS 體系，互聯網資源管理機構是RPKI 機制的“根錨點”，路由可信驗證方案的部署事實上改變了原有路由系統的運行模式，其體現在扁平化的路由系統受到中心化的第三方干預。路由安全威脅從“協議缺陷引起的互信風險”向“中心化信任的運行風險[7]”轉變。中心化的第三方自身數據錯誤將影響路由決策，對全球互聯網治理格局帶來一定影響。

為了應對上述風險，部分研究人員也提出了本地化RPKI 驗證機制[8]，試圖通過構建多層次的管理邊界，形成靈活彈性的自主可控機制，從而降低第三方信任數據錯誤帶來的運行風險。

在歐美企業和研究機構的積極推動下，RPKI 近一年落地實施的速度明顯加快，有望形成與IRR 并行發展的局面。作為RPKI 標準的主要制定者，一方面，歐美研究機構率先推出基于RPKI 的公共路由可信認證服務；另一方面，Level3、DT、TATA 等國際電信運營企業已著手啟用RPKI 驗證路由信息。據2020年1月美國國家標準與技術研究院數據顯示，當前全球網絡RPKI 注冊的IPv4 地址前綴占比達19%，6 個月來增長5%，約為過去5年間的總和。同時，歐美地區RPKI 注冊量全球占比達86.8%，處于明顯領先。

2.3 基于區塊鏈等去中心化路由可信機制

本質上，路由注冊與RPKI 方案均實現了從“無條件的對等信任”向“經第三方證明的信任關系”的可信演進。其中，中心化的信任源是兩者進行可信驗證的基礎。隨著全球互聯網治理去中心化的呼聲日益增加，恰逢區塊鏈、DHT 等技術逐漸成熟，基于區塊鏈等去中心化路由認證成為路由可信技術研究的新方向。例如，華為提出的去中心化互聯網基礎設施（Decentralized Internet Infrastructure，DII）[9]解決方案，其利用分布式賬本技術、共識算法構建基礎的去中心化能力，實現自治域網絡自身成為可信驗證“源頭”，建立了不依賴第三方的對等信任關系。由于區塊鏈具有不可篡改、安全可靠的特性，去中心化路由可信機制通常具有避免單點失效以及信任鏈惡意失效優勢。

2.4 路由劫持檢測與監測

劫持檢測與監測在路由改進與事故原因分析起到重要作用，監測結果的及時發布對有助于劫持故障的警示和恢復。目前，全球具有眾多路由監測與安全事件發現平臺，其中最著名的就是國際主流路由監測平臺BGPmon[10]。

路由劫持監測技術主要包括MOAS 監測和主動探測兩種技術路線。其中，MOAS 檢測原理是從控制平面提供的信息來檢測前綴劫持的威脅，即一個地址前綴匹配多個自治域網絡號碼的行為。其代表性技術包括MOAS List[11]、PHAS[12]等。主動探測通過設立觀測點發出探測數據包，分析響應數據包，提取相關特征信息以鑒別劫持事件的發生與否。

總體來看，前綴劫持檢測技術存在時效性差且容易產生誤報等特點，尚不能徹底解決BGP 的安全問題，但其特有的不需要修改現有協議規范、部署難度小、系統開銷小等優勢已成為業內特別是研究機構關注的熱點。

3 我國加強路由可信驗證建議

首先，當前路由可信技術快速完善應用，并與區塊鏈等新技術不斷融合發展。我國有必要加強國際研究，緊密跟蹤路由注冊、RPKI 的部署情況，積極謹慎推進，適時開展試驗性部署，探索建立我國統一的路由注冊庫，跟蹤研究RPKI 本地化方案，取長補短。在提升我國路由可信安全手段，抵御日益增加的路由劫持威脅的同時，仔細分析實際部署性能開銷、成本效益以及相關風險等問題。

其次，我國企業路由驗證措施尚不完備，主要依靠人工為主，效率較低。應在繼續發揮人工核驗的不可替代作用的基礎上，結合檢測監測與動態處置等方式，建立涵蓋全球網絡互聯、路由監測、劫持檢測的全球性路由監測分析與快速動態處置能力，及時發現我國乃至全球網絡路由劫持等故障，積極發聲。

三是開展路由安全創新性研究，積極提升國際影響力。探索研究基于區塊鏈的路由可信認證技術，形成自主創新研究成果，積極推動形成國際技術標準，在互聯網網絡技術快速發展的時期，提升我國在互聯網網絡研究領域的影響力和話語權。

4 結束語

總體來看，路由注冊、RPKI 等可信驗證方案已演進為自動化模式并直接作用于路由系統，得到業界的廣泛關注與認可，國際主流運營商、互聯網企業、互聯網資源分配機構紛紛加速部署。路由可信驗證將可能成為未來全球網絡互聯的基礎，其規模化、強制性的應用實施，已對全球互聯網治理，以及我國這一全球互聯網重要組成部分的國際互聯互通帶來了影響。盡早籌劃，積極應對，加強現有主流技術的跟蹤與試驗部署，引領基于區塊鏈等路由可信驗證機制的發展，趨利避害，將是我國互聯網產業與科研機構未來在互聯網運行管理中面臨的重要任務之一。