BGP 的安全性挑战与国家网络安全办公室的解决方案

关键要点

国家网络安全办公室ONCD发布了改善边界网关协议BGP安全性的路线图，目标是提高互联网的核心路由安全性。BGP 安全性问题由来已久，配置错误和恶意攻击容易导致互联网部分功能的中断。ONCD 鼓励联邦机构和网络运营商尽快实施资源公钥基础设施RPKI等加密方案，以增强 BGP 的安全性。

图片来源 kropic1 / Shutterstock

国家网络安全办公室ONCD最近发布了改善边界网关协议BGP日益严重的安全弱点的路线图。BGP 是互联网的核心路由协议，但以配置错误著称，这些错误可能导致部分互联网的暂时中断，且常常成为恶意流量重定向等攻击的目标。

“BGP 的原始设计属性无法充分应对当今互联网生态系统的威胁和韧性要求，”路线图的信息说明中指出。

“无论是意外还是恶意行为，互联网基础设施广泛中断的潜力都是国家安全的隐忧，”信息说明补充道。

这种情况已经存在数十年。改善互联网路由安全性的路线图的重点是，ONCD 希望联邦机构和网络运营商能够迅速实施公共密钥加密方案资源公钥基础设施RPKI。

该路线图是在美国联邦通信委员会FCC于5月提出的建议基础上制定的，要求九大美国互联网服务提供商ISP提交报告，详细说明他们为更好地保护 BGP 而做出的进展。

可见，技术进步正在加快。但为什么花了这么长时间才解决 BGP 的问题，最新的倡议能够改变局面吗？

1989年同年英国计算机科学家蒂姆伯纳斯李因发明HTML、超链接和网络而载入史册两位IBM工程师在午餐时间的餐巾纸上设计了BGP因此后来被称为“两张餐巾纸协议”。

不幸的是，当时没有人认为安全是个大问题，这也就是为什么工程师们此后一直尝试在网络和BGP上加装安全机制。

时至今日，BGP 安全性问题已从失察变成了一个几乎无人知晓的重大隐患。

BGP 是支撑互联网运作的协议，它使得数据包能够在大量互联网络之间找到路径并到达正确的目的地。

这一过程相当复杂，既需要多路径路由即为应对拥塞等问题提供多种到达目的地的不同方法，又需使用让路由器在特定时刻选择最佳路径的算法。

BGP的运作通常是“隐形”的，正常工作时不会被人注意；一旦出现问题，情况就可能迅速恶化。造成故障的原因往往是错误而非阴谋。

例如，微软在2023年1月因BGP配置错误导致自身服务出现问题。

再如，2019年6月，宾夕法尼亚州的一家小型ISP无意中“宣传”出了一些看似是通往亚马逊和Cloudflare的BGP路由，结果引发