互联网之所以能运作,是因为各网络之间 交换数据传输路径信息。每个网络会告知其他网络它能到达的地址范围,从而让数据包从一个地点传输到另一个地点。多年来,这种交换完全依赖 信任:一个网络声明自己控制某块地址,其他网络便相信它。起初这足够了,因为互联网规模较小,错误也很少。
随着互联网的发展,盲目信任变成了弱点。一次打字错误就可能影响大量用户,一条虚假声明就能重定向全球流量。攻击者开始利用这一点:劫持路由以 监听数据、阻断访问或造成破坏。缺乏验证机制使整个系统变得脆弱。
为解决这一问题,资源公钥基础设施(RPKI) 应运而生。它将 IP 地址与数字证明关联,使网络在接受声明前能够 验证其有效性。部署 RPKI 能 提高路由安全性,并表明运营商重视网络稳定性
没有 RPKI 的路由为何脆弱
互联网的路由依赖 边界网关协议(BGP)。每个网络都会宣布它可以到达的地址,这些公告会迅速传播,其他网络据此构建自己的路由表。问题在于 BGP 本身没有验证机制:它不要求提供证明,也不会阻止虚假声明。任何网络都可以宣布任何前缀,系统其他部分都会接受。
这种开放模式经常引发问题。有时错误很小,比如工程师输入了错误的数字,但错误路由仍会传播。另一些情况则是攻击:劫持者可以宣布属于他人的前缀,导致流量流向错误的地方。历史上,这类错误和攻击都曾导致 重大网络中断,用户无法访问服务,公司也因此损失业务。在缺乏验证的情况下,路由仍然基于 盲目信任 运行。
创建路由起点授权(ROA)
RPKI 中最直观的部分是 路由起点授权(ROA)。ROA 将一个前缀与可以宣布它的自治系统(AS)关联起来。创建 ROA 简单但非常重要:运营商登录注册机构门户,输入前缀,选择授权的系统,并对记录进行签名。签名使用注册机构提供的 数字证书。
一旦发布,ROA 就可供互联网使用。其他运营商可以下载、验证并用于路由检查。没有 ROA 的前缀仍可被宣布,但无法验证;而 ROA 错误的前缀可能会被标记为无效并被阻止。必须小心保持记录准确,每个 ROA 都应与实际路由计划匹配,否则流量可能被误拒。
设置 RPKI 验证器
创建 ROA 只是系统的一部分,另一部分是 验证。为此,每个网络都需要 验证器。验证器会从注册机构下载所有已发布的 ROA,检查签名,存储记录,并将其提供给路由器使用。
运行验证器不需要高端设备,可以在小型服务器或虚拟机上完成。市面上有开源软件,大多数运营商都能用基本工具安装。关键在于 保持验证器在线并及时更新。如果验证器离线,就无法获取最新记录,依赖它的路由器可能会接受无效路由。为了让 RPKI 正常运作,验证器必须 稳定可靠。
为验证配置路由器
路由器必须配置为 使用验证器。这意味着每当收到路由公告时,路由器会向验证器查询其有效性。如果路由无效,可以选择丢弃。有些运营商会先标记无效路由,但保留以便审查;有些则会立即丢弃。
具体配置步骤因厂商而异。Cisco、Juniper、Nokia 等都有各自的验证命令,但原则相同:路由器必须与验证器通信、理解返回结果,并执行相应策略。一旦完成配置,网络就受 RPKI 保护。
RPKI 部署的测试与监控
设置完成后,系统必须进行 测试。运营商可以宣布自己的前缀,检查其是否被标记为有效;也可以尝试宣布一个错误的前缀或系统编号,查看是否被阻止。这些测试可以验证 验证器和路由器是否按预期工作。
监控 同样重要。RPKI 并非静态,每天都会有新记录产生。如果验证器停止更新,路由器可能无法获取最新信息。
错误处理与常见问题
即使使用 RPKI,错误仍可能发生。一个常见问题是创建 ROA 时使用了错误的号码,这会导致本应有效的路由被标记为无效。如果出现这种情况,用户可能无法访问网络。解决方法是 快速更正记录并发布更新,更新传播后,路由将恢复有效。
另一个问题是 验证器离线。如果服务器宕机,路由器无法检查新路由。一些网络将其视为“未知”,仍然接受这些路由;另一些则将其视为无效并丢弃。每个运营商需自行决定策略。更安全的做法是暂时接受“未知”路由,同时修复验证器,这样既能防止中断,又能继续防护真实的无效路由声明。
早期采用者的运营经验
许多大型网络已经部署了 RPKI。他们的经验表明,只要规划得当,系统 运行稳定。运营商报告称,RPKI 每天都会阻止无效路由,其中大多数是小错误,但也有明显的劫持行为。在这两种情况下,RPKI 都能 防止损害扩散。
小型网络也报告了收益:他们表示,在验证机制生效时,更容易 信任对等网络。客户感到更安全,合作伙伴也更愿意与部署 RPKI 的运营商合作。早期采用者证明,RPKI 并不仅适用于大型企业,任何规模的网络都可以部署并从中受益。
RPKI 与互联网交换中心(IXP)
互联网交换中心(Internet Exchange Points,简称 IXP)是众多网络汇聚的核心场所。它们使流量可以在运营商之间直接传输,而无需经过长路径。因此,它们每天处理大量路由。如果某个参与者发布错误的路由,这个错误可能会通过交换快速传播。
在 IXP 部署 RPKI 可以降低这种风险。在交换层进行验证意味着只有正确的路由才会在成员之间传递。如果出现劫持,路由会在到达数百个对等方之前被过滤掉。这为所有参与者提供了更高的信心。一些交换中心现在将 RPKI 纳入加入规则,成员也将其视为可信的标志。
全球安全背景下的 RPKI
路由是互联网的隐性层之一,很少受到公众关注。当社交网络或银行出现宕机时,用户看到的是表面问题,而看不到原因。在很多情况下,根本原因是路由错误。没有验证,这些错误就会自由传播。
RPKI 提供了一个全球性的安全层。各个地区可以设定自己的规则,但证书建立在同一个共享系统上。这使跨境验证成为可能。一个在某国颁发的前缀,可以被另一国的网络验证。全球覆盖范围是 RPKI 最强大的特性之一,因为互联网本身没有国界。
RPKI 部署的未来展望
RPKI 的采用仍在不断增长。如今,许多大型提供商已经在运行 RPKI,而小型运营商也在逐步跟进。未来,它可能会成为标准预期。就像加密技术已成为网络流量的常态一样,路由验证也可能成为常态。
前景还取决于教育和工具的完善。如果验证器更易安装,注册机构提供更清晰的指南,更多网络将会部署 RPKI。政府也可能通过政策介入,将其作为关键基础设施的要求。总体趋势是朝着更广泛的使用方向发展,而非减少。
社区支持与培训
RPKI 起初看起来可能很复杂,但许多社区团体提供帮助。运营商会分享指南、举办研讨会,并发布案例研究。这些资源降低了缺乏专职安全人员的小型公司的门槛。通过参考他人的经验,他们可以更低风险地部署 RPKI。
培训也是长期成功的关键。了解 ROA 工作原理和验证器运行方式的团队,出错的可能性更小。当更多员工理解系统时,整个组织的安全性也会提高。社区支持和培训能够推动 RPKI 的持续采用。
RPKI 及其在建立信任中的作用
互联网的运行建立在独立网络之间的协议基础上。每个网络都必须信任对方会公平行事。过去,这种信任仅依赖口头承诺或合同条款。而有了 RPKI,这种信任变得技术化,证明取代了盲目信任。
这种技术信任对业务非常重要。客户希望知道他们的数据是安全的;合作伙伴希望确保路由不会消失;投资者希望看到网络遵循最佳实践。部署 RPKI 明确传达了运营商重视安全的信号。随着时间推移,这种信任会成为声誉的一部分,而声誉的价值甚至可以与网络本身相当。
RPKI 与云服务提供商
云平台依赖稳定不中断的路由运行。它们托管着数百万个网站和应用,任何停机都可能造成重大损失。许多提供商已经开始部署 RPKI 来保护其地址空间,这不仅让客户更有信心,也能防止因劫持导致的服务中断。
云服务公司通常面临复杂的路由环境,因为它们在多个地区同时运营。RPKI 可以更容易地控制哪些路径是有效的。当路由通过验证进行过滤后,流量会沿着预期路径传输。这就是为什么云运营商如今将 RPKI 视为业务信任基础的一部分。
区域采用情况与政策趋势
并非所有地区的推进速度都相同。在一些地区,RPKI 的采用速度很快,因为注册管理机构有强有力的政策支持。而在其他地区,由于运营商谨慎或资源有限,采用速度较慢。
有些地方已经开始建议将 RPKI 作为运营商的必备要求;也有一些地方通过激励措施或培训支持来推动 adoption。这些趋势表明,RPKI 将成为全球范围内的基本预期,尽管各地区的采用速度可能不同。
部署 RPKI 的成本与收益
对于小型运营商来说,这些任务可能显得繁重,但好处是显而易见的。RPKI 可以降低劫持风险,保持路由稳定,并向合作伙伴表明网络是安全可靠的。现在,许多公司将 RPKI 视为良好运营的基本组成部分。与一次重大劫持或网络中断造成的损失相比,成本微乎其微。因此,每年都有越来越多的网络开始采用 RPKI。
常见问题解答
RPKI 的主要目的是什么?
它为网络提供了一种方式,证明自己有权宣告特定前缀。这可以防止虚假宣告,保持路由安全。
RPKI 能解决所有路由问题吗?
不能。它能阻止源头级别的劫持和错误,但其他问题如路由泄漏仍然存在。要实现全面保护,还需要其他工具。
所有路由器都支持 RPKI 验证吗?
不是所有的。老旧设备可能需要升级。大多数现代路由器已经支持 RPKI,同时开源工具也可以提供帮助。
如果验证器宕机会发生什么?
路由器可能将路由视为未知。可以通过策略允许未知路由,直到验证器恢复。这能在问题修复期间保持流量正常。
部署 RPKI 是强制性的吗?
在大多数地区不是强制的,但强烈推荐。一些行业组织和监管机构已开始将其作为要求。