Photo by Taylor Vick on Unsplash

美国白宫国家网络总监办公室（Office of the National Cyber Director，ONCD）周二（9/3）发布了一份强化网络路由安全（Enhancing Internet Routing Security）的蓝图，目的是解决与边界闸道协定（Border Gateway Protocol，BGP）有关的安全漏洞。

全球网络大约是由7.4万个自治系统（Autonomous System，AS）组成，每个AS通常由一个组织管理，并具备唯一的的AS号码（ASN）；BGP则允许不同的AS相互通信或交换路由消息，AS亦使用BGP来声明它们可以到达的IP位址，BGP协助AS决定如何帮封包路由至其它AS，AS使用BGP来选择到达目标的最佳路径。简单地说，AS与BGP构筑了网络骨干。

然而，1989年设计的BGP并未考量现代网络所面临的安全威胁，使得相关的意外频传，像是路由劫持、路由泄露或缺乏认证等，例如2008年时，巴基斯坦政府命令ISP业者封锁YouTube，巴基斯坦电信则企图利用BGP路由来阻止YouTube，结果此一路由消息被传播到全球的BGP路由表中，造成全球大多数的YouTube流量都被错误地导至巴基斯坦而无法存取YouTube。2021年Meta旗下各服务的中断，也被指向BGP。

ONCD认为，现阶段要解决BGP漏洞的最佳作法是资源公钥基础设施（Resource Public Key Infrastructure，RPKI）、注册服务协议（Registration Service Agreements，RSA），路由来源验证（Route Origin Validation ，ROV），以及路由来源授权（Route Origin Authorizations，ROA）。

其中，RSA为整个系统的法律基础，它确定谁有权使用特定的网络资源并授权它们参与RPKI；RPKI则是个用来实现安全的技术框架；ROA即为RPKI的成果，决定哪个AS可以声明哪些IP前缀；ROV则使用RPKI与ROA数据来验证BGP路由公告的有效性。

ONCD已制定了联邦RSA范本附录，鼓励联邦机构使用它来推动RPKI的采用，美国国家海洋及大气管理局也制定了联邦RPKI手册，以支持RSA的运行，以及与联邦网络上创建ROA的过程。期望今年底前，RSA将可覆盖联邦网络所公布的6成以上的IP空间，以替创建ROA舖路。

白宫国家网络总监Harry Coker, Jr表示，网络安全太重要了，联邦政府必须以身作则加速对BGP安全措施的采用，与公、私部门合作朝向共同的目标，包括制定蓝图以减轻长期存在的漏洞，造就更安全的网络，以确保美国国家安全与经济繁荣。