王海洋 楊 言 王 維

1(中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟 北京 100190) 2(北京國(guó)融工發(fā)投資管理有限公司 北京 100033)

(2567479016@qq.com)

1 背 景

互聯(lián)網(wǎng)(Internet)由數(shù)量眾多的名為自治系統(tǒng)(autonomous system, AS)的子網(wǎng)相互連接形成.截至2020年7月，全球已經(jīng)有超過17萬個(gè)自治系統(tǒng)被申請(qǐng)使用，其中與其他網(wǎng)絡(luò)交互頻繁、能被大量互聯(lián)網(wǎng)使用者觀測(cè)到的自治系統(tǒng)也超過6萬個(gè).自治系統(tǒng)的管理者可以根據(jù)自身組織的需求調(diào)整內(nèi)部的網(wǎng)絡(luò)配置或路由協(xié)議，實(shí)現(xiàn)自治化網(wǎng)絡(luò)管理.邊界網(wǎng)關(guān)協(xié)議(border gateway protocol, BGP)是目前自治系統(tǒng)間路由通信唯一被認(rèn)可的協(xié)議.BGP協(xié)議要求各個(gè)自治系統(tǒng)宣告自身擁有的IP前綴以生成整個(gè)互聯(lián)網(wǎng)的轉(zhuǎn)發(fā)路徑：每個(gè)自治系統(tǒng)收到來自其他AS的BGP路由更新時(shí)，會(huì)將自身的自治系統(tǒng)號(hào)(ASN)添加到名為AS路徑的路由屬性中，再進(jìn)一步將該BGP更新傳遞給其他相鄰網(wǎng)絡(luò).最終，各個(gè)AS會(huì)根據(jù)自身的路由選擇策略維護(hù)前往不同前綴的最優(yōu)路由，實(shí)現(xiàn)跨域通信.

然而BGP協(xié)議設(shè)計(jì)之時(shí)，主要關(guān)注于將阿帕網(wǎng)外部網(wǎng)關(guān)協(xié)議的集中路由機(jī)制轉(zhuǎn)變到一個(gè)分布式的網(wǎng)絡(luò)結(jié)構(gòu)中，假想的應(yīng)用環(huán)境為僅具有較少自治系統(tǒng)且均值得信賴的小型網(wǎng)絡(luò)，故并未將安全性納入考慮范圍，因此BGP協(xié)議缺乏對(duì)BGP路由更新報(bào)文的安全驗(yàn)證，使得任意自治系統(tǒng)都可以篡改其宣告或轉(zhuǎn)發(fā)的路由控制信息，從而影響域間路由過程.

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，如今的互聯(lián)網(wǎng)存在著許多不安全的因素，部分自治系統(tǒng)可以通過篡改BGP更新中的路由信息，達(dá)到對(duì)域間路由過程的定向攻擊，其中最具代表性的是路由劫持(route hijacking).

路由劫持是指劫持者由于誤配置或蓄意攻擊，修改了正確的BGP路由信息，并通過BGP更新傳播到其他自治系統(tǒng)，導(dǎo)致部分自治系統(tǒng)被偽造路由影響，訪問此前綴的路由被吸引到劫持者的現(xiàn)象.路由劫持亦可被稱作BGP劫持，它可以吸引被感染自治系統(tǒng)的路由經(jīng)過劫持者，是互聯(lián)網(wǎng)中常見的前綴劫持現(xiàn)象.當(dāng)劫持者具有惡意目的時(shí)，它可以對(duì)吸引到的流量進(jìn)行數(shù)據(jù)平面非法操作，影響被感染AS與正確源AS的通信質(zhì)量及安全.如果劫持者將吸引到的流量進(jìn)行丟棄就會(huì)產(chǎn)生路由黑洞，從而引發(fā)目標(biāo)網(wǎng)絡(luò)無法訪問的網(wǎng)絡(luò)中斷事件；如果劫持者將吸引到的流量傳回給正確目的地，它可以隱蔽地作為中間人(man-in-the-middle)對(duì)關(guān)鍵信息進(jìn)行竊聽或篡改.2008年2月，巴基斯坦電信發(fā)生了一起路由劫持事件[1]，造成互聯(lián)網(wǎng)中大量AS數(shù)小時(shí)無法訪問YouTube，對(duì)世界各地的用戶造成了明顯的影響.而2011年的Link Telecom劫持[2]、2014年的Indosat劫持[3]和2017年的Rostelcom劫持等路由劫持事件均對(duì)部分地區(qū)的互聯(lián)網(wǎng)接入產(chǎn)生了較大的干擾.

為了減輕路由劫持對(duì)域間路由的影響，近年來研究者們提出了許多不同類型的劫持防御機(jī)制，大體上可以分為2類：域間安全路由機(jī)制和路由劫持檢測(cè)系統(tǒng).域間安全路由機(jī)制是通過在路由過程中對(duì)BGP協(xié)議進(jìn)行安全性增強(qiáng)，使BGP路由信息得到保護(hù)或校驗(yàn)，讓劫持者難以任意更改其宣告或轉(zhuǎn)發(fā)的BGP更新，并對(duì)異常的路由控制報(bào)文進(jìn)行過濾或限制，達(dá)到阻止路由劫持產(chǎn)生或大范圍傳播的效果，代表方案有RPKI[4],BGPsec[5]等.而路由劫持檢測(cè)系統(tǒng)則是一種后處理機(jī)制，是對(duì)互聯(lián)網(wǎng)中已經(jīng)形成的路由劫持事件進(jìn)行快速觀測(cè)、辨別及確認(rèn)，以便及時(shí)地通知相關(guān)AS進(jìn)行前綴管理或中止服務(wù)，減小路由劫持造成的損失.這類系統(tǒng)的代表工作有Argus[6],Artemis[7]等.其中，域間安全路由機(jī)制得到了更多的關(guān)注和研究.

然而，域間安全路由機(jī)制在實(shí)際部署時(shí)面臨挑戰(zhàn)：一方面，它們本質(zhì)上是對(duì)BGP的安全擴(kuò)展，需要在一定程度上更改BGP協(xié)議實(shí)現(xiàn)或者改變路由過程，對(duì)自治系統(tǒng)的邊界服務(wù)器有更高的存儲(chǔ)或計(jì)算需求，因此部署這些機(jī)制需要自治系統(tǒng)更新相關(guān)網(wǎng)絡(luò)設(shè)備或提高路由維護(hù)成本，在經(jīng)濟(jì)層面存在阻礙；另一方面，這類安全路由機(jī)制如RPKI,Path-end[8]需要自治系統(tǒng)半公開自身的網(wǎng)絡(luò)信息(持有前綴、鄰居AS等)，然而這些信息可能涉及該組織的商業(yè)競(jìng)爭(zhēng)關(guān)系、政治安全考慮等，因此很多自治系統(tǒng)本能地排斥選擇這一類域間安全路由機(jī)制.綜上，域間安全路由機(jī)制雖然得到了學(xué)術(shù)界和互聯(lián)網(wǎng)相關(guān)組織的倡導(dǎo)，但仍將在較長(zhǎng)時(shí)期處于部分部署的狀態(tài).而在部分部署時(shí)期，對(duì)劫持的安全機(jī)制并不能達(dá)到其預(yù)期的效果：想要保護(hù)IP前綴對(duì)應(yīng)的BGP更新不被篡改，常依賴于源AS、整條路徑的AS或者被牽涉的路徑片段對(duì)該機(jī)制的部署.但不同安全機(jī)制在部分部署時(shí)期的效果并不一致，了解在這一過渡時(shí)期各類安全機(jī)制對(duì)路由劫持的防御能力，可以更好地評(píng)估分析它的當(dāng)下效用、預(yù)測(cè)其被接受的難易程度并幫助AS管理者根據(jù)自身需求進(jìn)行選擇，進(jìn)而縮短部分部署狀態(tài)的持續(xù)時(shí)間.

本文首先描述了互聯(lián)網(wǎng)中較常見的幾類路由劫持，并分析其修改路由信息的具體手段，對(duì)幾種具有代表性的域間安全路由機(jī)制的原理進(jìn)行了介紹，比較它們之間的差異及針對(duì)的劫持類型，總結(jié)其各自的優(yōu)缺點(diǎn)，最后通過路由仿真，對(duì)不同類型的機(jī)制在不同部署率的場(chǎng)景下能夠?qū)β酚山俪诌_(dá)到的防御能力進(jìn)行了實(shí)驗(yàn)，從安全增強(qiáng)的角度歸納了過渡時(shí)期和理想時(shí)期選擇安全機(jī)制的較優(yōu)策略.

2 相關(guān)工作

路由劫持是互聯(lián)網(wǎng)自治系統(tǒng)級(jí)最常見的路由攻擊現(xiàn)象之一，自其被觀測(cè)到以來，對(duì)其可能造成的異常和具體作用范圍已有不少研究分析和測(cè)量[9-11].為了減弱這些互聯(lián)網(wǎng)的路由異常，研究者提出了域間安全路由機(jī)制和路由劫持檢測(cè)系統(tǒng)對(duì)劫持進(jìn)行防范.路由劫持檢測(cè)系統(tǒng)是在劫持發(fā)生后進(jìn)行的后處理措施，能夠及時(shí)發(fā)現(xiàn)劫持的產(chǎn)生，并盡早通知相關(guān)AS檢查路由狀況，其代表工作包括Argus[6]，Artemis[7]，iSPY[12]和HEAP[13]等.但路由劫持檢測(cè)系統(tǒng)只能夠減弱路由劫持造成的負(fù)面影響，卻不能阻止或限制偽造報(bào)文的產(chǎn)生和傳播.因此，一系列域間安全路由機(jī)制被研究者陸續(xù)提出，包括RPKI[4]，S-BGP[14]，BGPsec[5]，ASPA[15]，Path-end[8]，F(xiàn)SBGP[16]，ROVER[17]，soBGP[18]和QBGP[19]等.除了提出具體的安全路由機(jī)制，對(duì)它們進(jìn)行的深度分析也是域間安全研究的熱點(diǎn)，涉及它們可能引入的附加安全威脅[20]、部署的經(jīng)濟(jì)驅(qū)動(dòng)力[21]、路由穩(wěn)定性影響[22]等.而與防御能力相關(guān)，Goldberg等人[23]在2010年對(duì)當(dāng)時(shí)較典型的安全機(jī)制RPKI，soBGP和S-BGP，從復(fù)雜度分析的角度比較了它們的防御性能.Lychev等人[22]在2013年的研究中提出，安全選路模型的變化可以對(duì)部分安全機(jī)制的防御效果產(chǎn)生明顯的影響.

3 常見的路由劫持類型

路由劫持可以根據(jù)不同的標(biāo)準(zhǔn)進(jìn)行分類，其中較系統(tǒng)且最常用的分類方法是通過劫持手段進(jìn)行區(qū)分.根據(jù)劫持者修改路由信息的具體方式不同，路由劫持可以被分類為錯(cuò)誤源劫持(false origin hijacking)、錯(cuò)誤鏈路劫持(false link hijacking)和錯(cuò)誤策略劫持(false policy hijacking).錯(cuò)誤源劫持是指劫持者直接宣告了1條不屬于它的IP前綴，使該前綴的BGP更新報(bào)文中源AS發(fā)生了錯(cuò)誤.錯(cuò)誤鏈路劫持是指雖然源AS一致，但劫持者在AS路徑中引入了1條實(shí)際不存在或尚未被觀測(cè)到的域間鏈路.而錯(cuò)誤策略劫持則指雖然源AS和路徑中的鏈路均未出現(xiàn)異常，但這條AS路徑違背了某些AS的出入轉(zhuǎn)發(fā)策略.不論何種劫持手段，我們均可以使用AS路徑和IP前綴的二元組表示路由劫持：對(duì)劫持者A來說，若其想要對(duì)屬于受害者V的1條IP前綴f進(jìn)行路由劫持，它會(huì)向鄰居AS宣告前綴f的1條BGP更新報(bào)文，此時(shí)報(bào)文對(duì)應(yīng)的路徑屬性為P，該劫持手段記為(P,f).當(dāng)P與A路由表中通往前綴f的真實(shí)路徑不一致時(shí)，A對(duì)V發(fā)起了針對(duì)前綴f的路由劫持.

在互聯(lián)網(wǎng)中最常見的路由劫持即前綴劫持[9,24]，它是指某個(gè)ASA宣告了一條屬于其他ASV的IP前綴f，對(duì)吸納到自身的流量進(jìn)行丟棄或直接偽造V的身份與感染AS進(jìn)行通信.如通過劫持手段劃分它屬于錯(cuò)誤源劫持，即源AS與前綴的匹配關(guān)系發(fā)生錯(cuò)誤，可以記為(〈A〉,f).錯(cuò)誤鏈路劫持由于保證了源信息的正確性，因此劫持者宣告的AS路徑至少包含自身的ASN和受害者V的ASN.根據(jù)劫持者在偽造路徑中離受害者的AS跳數(shù)不同，可以再分為N跳錯(cuò)誤鏈路劫持[8].最簡(jiǎn)單的錯(cuò)誤鏈路劫持即1跳錯(cuò)誤鏈路劫持，其二元組表示為(〈A,V〉,f).考慮到發(fā)生此類路由劫持后，受害者可以很容易地從偽造路由信息中追溯到劫持者，因此多跳錯(cuò)誤鏈路劫持也被應(yīng)用于一些情形中，例如(〈A,X,V〉,f)則是2跳錯(cuò)誤鏈路劫持的表示，其中:A～X之間本不存在物理鏈路.具體地，如果X是受害者V的一個(gè)合法鄰居N，我們稱(〈A,X,V〉,f)是理智的2跳錯(cuò)誤鏈路劫持；否則我們稱(〈A,X,V〉,f)是盲目的2跳錯(cuò)誤鏈路劫持.錯(cuò)誤源劫持、1跳錯(cuò)誤鏈路劫持、盲目的2跳錯(cuò)誤鏈路劫持和理智的2跳錯(cuò)誤鏈路劫持是互聯(lián)網(wǎng)中較常見且具有一定吸引路由能力的路由劫持子類.

當(dāng)然，除此之外還存在著一些其他類型的路由劫持，例如3跳及以上的錯(cuò)誤鏈路劫持、錯(cuò)誤策略劫持等.但多跳數(shù)的錯(cuò)誤鏈路劫持由于宣告的AS路徑較長(zhǎng)，不具有較強(qiáng)的路由吸引能力，因而在互聯(lián)網(wǎng)中較少被劫持者使用.而錯(cuò)誤策略劫持由于需要對(duì)其他AS的入口或出口策略進(jìn)行分析預(yù)測(cè)，因此常常要求劫持者具有較高的拓?fù)鋵蛹?jí)和路由收集能力，同時(shí)也需要宣告1條經(jīng)拼湊得到的較長(zhǎng)AS路徑，因此也較少被研究者觀測(cè)到.為了了解宣告的AS路徑長(zhǎng)度與路由劫持能力間的關(guān)系，我們通過改良后的路由樹算法(routing tree algorithm)[25]模擬了正常的BGP選路及路由劫持發(fā)生后各個(gè)AS的路由收斂情況，以判斷發(fā)生不同類型的路由劫持時(shí)劫持事件平均能影響到的AS比率.在模擬過程中，我們使用了CAIDA組織發(fā)布于2019年11月1日的互聯(lián)網(wǎng)拓?fù)浣Y(jié)構(gòu)，同時(shí)遵循Gao-Rexford域間路由模型.通過更改二元組表示中宣告路徑P的實(shí)際長(zhǎng)度，對(duì)P值為1,2,3,4的情形分別隨機(jī)選擇了1 000組劫持者與受害者，計(jì)算該情形下路由劫持平均感染的AS比例，實(shí)驗(yàn)結(jié)果如表1所示.可以看出，當(dāng)發(fā)起3跳及以上的錯(cuò)誤鏈路劫持時(shí)(P=4)，劫持平均影響到的AS范圍不足15，因此惡意劫持者常采用更高效的劫持手段.

表1 路由劫持宣告路徑長(zhǎng)度與平均劫持率的關(guān)系

圖1 RPKI的證書結(jié)構(gòu)示例

4 有代表性的安全機(jī)制及其原理

域間安全路由機(jī)制利用安全證書、非對(duì)稱加密等安全手段增強(qiáng)了BGP協(xié)議層面的安全性，使AS宣告或轉(zhuǎn)發(fā)的BGP更新報(bào)文不能任意修改，以阻止路由劫持的產(chǎn)生和擴(kuò)散.自路由劫持在20多年前被觀測(cè)到并展開相關(guān)研究之后，安全路由機(jī)制的提出和改良就不斷進(jìn)行，迄今為止已經(jīng)出現(xiàn)了幾種具有代表性的安全機(jī)制.它們或者使用較簡(jiǎn)單的方法對(duì)典型的路由劫持進(jìn)行抵御，或者能夠保障一個(gè)非常安全的域間路由環(huán)境，或者能夠在部分部署時(shí)取得明顯的效用，因而頻繁地被眾多與劫持抵御相關(guān)的研究提及.這些安全機(jī)制主要包括RPKI[4]，BGPsec[5]，Path-end[8]，ASPA[15]和FSBGP[16].

RPKI[4]是一種利用安全證書對(duì)域間路由進(jìn)行的源驗(yàn)證機(jī)制，它能較好地針對(duì)錯(cuò)誤源劫持進(jìn)行防御.它使用了資源證書(RC) 和路由源授權(quán)證書(ROA)分別進(jìn)行AS源信息的管理和公示：只有具有RC的自治系統(tǒng)能管理其對(duì)應(yīng)IP前綴的源信息，每條源信息由ROA進(jìn)行記錄，同時(shí)這些AS還可以將部分子前綴分配給其他AS進(jìn)行更精細(xì)的管理.圖1給出了一個(gè)RPKI部分證書結(jié)構(gòu)的例子.而當(dāng)一個(gè)部署RPKI的AS收到路由更新時(shí)，其可以向上層具有RC的直屬管理節(jié)點(diǎn)發(fā)起源驗(yàn)證，該管理節(jié)點(diǎn)逐步追溯，確定該前綴對(duì)應(yīng)的最精確的ROA，根據(jù)其記錄的源信息反饋給該AS以下3種路由驗(yàn)證狀態(tài)之一：合法(valid)、未知(unknown)和不合法(invalid).對(duì)不合法的路由更新該自治系統(tǒng)應(yīng)予以丟棄，而對(duì)未知的路由更新則應(yīng)根據(jù)自身策略謹(jǐn)慎選擇.

圖2 BGPsec核心原理

BGPsec[5]是一種利用簽名驗(yàn)證機(jī)制保障BGP更新中AS路徑屬性完整性的安全機(jī)制，它基本上繼承了較早期的S-BGP主要技術(shù)原理，通過對(duì)AS路徑進(jìn)行嵌套簽名保障其不會(huì)被惡意修改.如圖2所示，1條BGP更新報(bào)文從A0形成，依次傳向An+1.當(dāng)ASAi收到該報(bào)文后，會(huì)先利用先前路徑上各個(gè)AS的公鑰進(jìn)行簽名驗(yàn)證，通過后再使用自己的私鑰對(duì)上一個(gè)數(shù)字簽名Si-1、自身的ASN以及下一跳ASN組成的三元組進(jìn)行簽名，并將簽名結(jié)果增加到簽名串的末端.由于簽名結(jié)果是彼此嵌套的，因此任何一個(gè)數(shù)字簽名的缺失或修改都會(huì)影響到BGPsec對(duì)報(bào)文的驗(yàn)證.另外，首個(gè)數(shù)字簽名S0包括了IP前綴信息f，故BGPsec可以阻止劫持者進(jìn)行源、鏈路以及策略的偽造，具有很高的安全性.

RPKI和BGPsec作為域間路由源驗(yàn)證問題和路徑驗(yàn)證問題的解決方案被IETF組織標(biāo)準(zhǔn)化并積極地推動(dòng)部署.不過由于經(jīng)濟(jì)成本、政治隱私等限制，它們的部署都受到了一定的限制，尤其是BGPsec更難被大多數(shù)AS在短期內(nèi)接納.為了維護(hù)域間路由在BGPsec未得到廣泛部署時(shí)期的安全性，一些路徑驗(yàn)證的過渡機(jī)制也被研究者提出，它們通過放松對(duì)BGP路徑完整驗(yàn)證的目標(biāo)，為互聯(lián)網(wǎng)提供了一個(gè)相對(duì)安全的路由環(huán)境，能夠在短期內(nèi)取得較明顯的安全回饋.

Path-end[8]擴(kuò)展了RPKI的源驗(yàn)證機(jī)制，提出了源端驗(yàn)證的概念，即對(duì)前綴的源AS和1跳鄰居AS進(jìn)行校驗(yàn).與RPKI使用ROA不同，Path-end使用名為公共倉庫的分布式數(shù)據(jù)庫存儲(chǔ)驗(yàn)證所需的信息，盡量在不改變當(dāng)前BGP路由設(shè)施的基礎(chǔ)上提供源端驗(yàn)證，實(shí)現(xiàn)輕易部署.當(dāng)前互聯(lián)網(wǎng)的源端信息可以存儲(chǔ)在大多數(shù)路由器的硬盤中，避免了設(shè)備的更替.Path-end驗(yàn)證機(jī)制是針對(duì)錯(cuò)誤源劫持和1跳錯(cuò)誤鏈路劫持涉及的安全機(jī)制，而當(dāng)前頻繁出現(xiàn)的具有較大吸引能力的劫持恰恰是這2種類型，因此具有較高的反饋收益.

ASPA[15]是一種利用自治系統(tǒng)間的商業(yè)關(guān)系和BGP無谷策略(valley-free policy)的授權(quán)格式標(biāo)識(shí)符，用于對(duì)AS路徑的上行部分(即客戶-供應(yīng)商鏈路)進(jìn)行安全驗(yàn)證.與Path-end相似，它也是基于RPKI的源驗(yàn)證機(jī)制并進(jìn)行了路徑上的擴(kuò)展.ASPA標(biāo)識(shí)符中包含了AS對(duì)由自身ASN以及合法轉(zhuǎn)發(fā)的供應(yīng)商ASN組成的二元組的數(shù)字簽名，它表示了客戶對(duì)供應(yīng)商的選擇.與其他安全路由機(jī)制不同，ASPA僅會(huì)對(duì)來自客戶或同伴的BGP更新進(jìn)行驗(yàn)證，而忽視來自供應(yīng)商的路由.并且，它不僅會(huì)驗(yàn)證源AS的供應(yīng)商是否合法，同時(shí)還會(huì)檢驗(yàn)經(jīng)過其他AS的供應(yīng)商關(guān)系，因此是一種針對(duì)AS完整路徑的驗(yàn)證.在BGPsec尚未大規(guī)模部署時(shí)ASPA是一種能保證較高路徑安全性的過渡機(jī)制.

FSBGP[16]利用對(duì)AS路徑三元組進(jìn)行簽名驗(yàn)證來保證AS路徑的完整性.與BGPsec不同，F(xiàn)SBGP沒有采用嵌套簽名的機(jī)制，而是對(duì)上1跳AS、當(dāng)前AS和下一跳AS進(jìn)行簽名，原理如圖3所示.這樣，對(duì)具有重復(fù)路徑的不同IP前綴的BGP更新而言，重復(fù)部分的數(shù)字簽名是等同的，可以利用緩存減少驗(yàn)證計(jì)算的總次數(shù)，提高驗(yàn)證效率.不過，劫持者可以通過搜集并拼湊經(jīng)過自身的BGP報(bào)文中的簽名信息，構(gòu)造1條完整的路徑用于路由劫持，但這會(huì)提高劫持者發(fā)起劫持的成本及必要的路徑長(zhǎng)度，減少劫持的頻率和影響范圍.

表2將上述有代表性的5類域間安全路由機(jī)制的核心原理及主要優(yōu)缺點(diǎn)進(jìn)行了整理和比較.

圖3 FSBGP核心原理

表2 典型域間安全路由機(jī)制的比較

5 安全機(jī)制的防御能力分析

已介紹的5種域間安全路由機(jī)制通過對(duì)AS路徑中某些信息的真實(shí)性驗(yàn)證過濾或限制偽造路由在互聯(lián)網(wǎng)中的傳播.但根據(jù)驗(yàn)證的AS路徑中的具體信息不同，這5種安全機(jī)制部署后能夠抵御的路由劫持類型也不相同.我們首先關(guān)注在理想場(chǎng)景下，即域間安全路由機(jī)制在互聯(lián)網(wǎng)中被完全部署時(shí)各種安全機(jī)制能夠防御的劫持種類.

對(duì)任意的一個(gè)路由劫持(〈Nk,Nk-1, …N1,N0〉,f)而言，RPKI作為源驗(yàn)證機(jī)制會(huì)檢查前綴f和源ASN0的綁定關(guān)系，因此在完全部署后可以消除域間錯(cuò)誤源劫持；BGPsec由于會(huì)對(duì)整條路徑每一步都作驗(yàn)證，保證該ASN是自治系統(tǒng)親自加入的，因此在完全部署后可以避免路徑毒化[26]和偽造，故能防御所有錯(cuò)誤源劫持、錯(cuò)誤鏈路劫持和錯(cuò)誤策略劫持；Path-end進(jìn)行了源端驗(yàn)證，不僅檢查了f和N0的綁定關(guān)系，還驗(yàn)證了源端鏈路N0-N1的轉(zhuǎn)發(fā)合理性，因此最終可以完全防御錯(cuò)誤源劫持和1跳錯(cuò)誤鏈路劫持；ASPA以RPKI為基礎(chǔ)，可以杜絕錯(cuò)誤源劫持的發(fā)生，同時(shí)在完全部署后每個(gè)AS都會(huì)檢測(cè)來自同伴和客戶的路由，保證每一跳暗示的商業(yè)關(guān)系客觀存在，可以發(fā)現(xiàn)并過濾掉部分錯(cuò)誤鏈路劫持和錯(cuò)誤策略劫持，但它不能防御來自供應(yīng)商的偽造路由，同時(shí)由于僅檢查了商業(yè)關(guān)系，因此可能忽視拼湊商業(yè)關(guān)系形成的特殊偽造路徑；而FSBGP完全部署后能夠通過三元組的簽名驗(yàn)證保證源的真實(shí)性，但是劫持者可以收集一段時(shí)間的路由信息，利用三元組拼湊出1條實(shí)際存在但違背入口或出口策略的路徑，因此完全部署后能防御錯(cuò)誤源劫持、錯(cuò)誤鏈路劫持和部分錯(cuò)誤策略劫持.我們將該分析結(jié)果匯總到表3中：

表3 典型域間安全路由機(jī)制完全部署后適用的劫持類型

以上分析結(jié)果顯示，基于數(shù)字簽名技術(shù)的BGPsec完全部署后具有最強(qiáng)的劫持防御能力.但正如前文所說，域間安全路由機(jī)制在部署上面臨一些挑戰(zhàn)，其中尤以BGPsec為甚.BGPsec和FSBGP需要對(duì)大量的BGP更新報(bào)文進(jìn)行加密和驗(yàn)證，要求更高的存儲(chǔ)和運(yùn)算能力，改變了傳播域間路由的選路流程，因此需要對(duì)邊界路由器等網(wǎng)絡(luò)設(shè)備進(jìn)行更新，提高了路由的成本和維護(hù)開銷，這對(duì)許多以盈利為目的的AS是不友好的.而RPKI,Path-end和ASPA都要求自治系統(tǒng)公開自身的部分網(wǎng)絡(luò)信息，如IP前綴、BGP鄰居關(guān)系、網(wǎng)絡(luò)接入商等，這些信息可能涉及商業(yè)機(jī)密、政治合作關(guān)系、網(wǎng)絡(luò)配置等敏感內(nèi)容，因此難以保證內(nèi)容的真實(shí)性，在接納相應(yīng)機(jī)制時(shí)也會(huì)受到排斥.因此，域間路由將在較長(zhǎng)時(shí)期處于一個(gè)安全機(jī)制部分部署的過渡階段.對(duì)這些機(jī)制防御能力的研究，我們更關(guān)注部分部署時(shí)的效果.

我們使用部署率來描述安全機(jī)制的部分部署程度，其含義為使用該安全機(jī)制的AS數(shù)目占互聯(lián)網(wǎng)拓?fù)渲蠥S總數(shù)的比例.實(shí)驗(yàn)仍然采用CAIDA在2019年11月1日發(fā)布的網(wǎng)絡(luò)拓?fù)潢P(guān)系，遵循Gao-Rexford路由模型，模擬不同安全機(jī)制在不同部署率下對(duì)常見類型的路由劫持產(chǎn)生的防御作用.在每個(gè)實(shí)驗(yàn)場(chǎng)景下(即確定的安全機(jī)制、確定的部署率和確定的路由劫持類型)，我們均模擬了20次隨機(jī)發(fā)生在2個(gè)AS間的路由劫持過程，計(jì)算此時(shí)劫持能夠感染的AS數(shù)目，并用未部署安全機(jī)制時(shí)的感染AS數(shù)目作為基準(zhǔn)進(jìn)行歸一化，得到歸一化劫持率.接著我們對(duì)這20組劫持率求得平均值，用來表達(dá)該部署率下安全機(jī)制對(duì)此類路由劫持的防御效果，平均劫持率越低安全機(jī)制部署后取得的收益越明顯.圖4展示了該實(shí)驗(yàn)的具體結(jié)果：

圖4 域間安全路由機(jī)制部分部署時(shí)對(duì)常見劫持的抵御效果

通過圖4我們可以歸納得出，之前介紹的幾種具有代表性的域間安全路由機(jī)制均已實(shí)現(xiàn)或在RPKI的基礎(chǔ)上進(jìn)行了源AS的驗(yàn)證，因此對(duì)錯(cuò)誤源劫持(〈A〉,f)具有接近線性的防御能力.而對(duì)1跳錯(cuò)誤鏈路劫持(〈A,V〉,f)來說，RPKI完全不能進(jìn)行抵御，而BGPsec,Path-end,ASPA和FSBGP都具有一定的防御能力，但是由于BGPsec需要對(duì)整條AS路徑嵌套簽名，因此在部分部署時(shí)效果低于其他3種安全路由機(jī)制.當(dāng)劫持者進(jìn)行盲目的2跳錯(cuò)誤鏈路劫持(〈A,X,V〉,f)時(shí)，由于X-V可能是真實(shí)存在的鏈路，因此Path-end仍具有比BGPsec更好的防御效果，但不如ASPA和FSBGP的安全性.若劫持者進(jìn)行理智的2跳錯(cuò)誤鏈路劫持(〈A,N,V〉,f)，此時(shí)的N是V的合法鄰居，鏈路N-V真實(shí)存在，因此它能夠完全繞過Path-end的源端檢驗(yàn)，使其與RPKI一樣不產(chǎn)生防御效果.同時(shí)，ASPA對(duì)此類劫持的抵御能力也不如FSBGP，這主要因?yàn)锳SPA僅對(duì)來自客戶和同伴的路由進(jìn)行檢驗(yàn)，而FSBGP的部署AS會(huì)對(duì)所有路由更新進(jìn)行簽名驗(yàn)證.

我們將以上分析和實(shí)驗(yàn)得到的結(jié)果進(jìn)行總結(jié)，可以得到關(guān)于域間安全路由機(jī)制在不同時(shí)期的性質(zhì)與選擇策略如下：

1) 完全部署時(shí)

以上信息在各個(gè)企業(yè)間形成有效數(shù)據(jù)鏈通過EDI為信息交互通道形成信息共享機(jī)制，具體表現(xiàn)在：供應(yīng)商-原料物流公司-生產(chǎn)加工商，EDI在這三者通過采購單、物流運(yùn)輸單、到貨入庫單形成有效數(shù)據(jù)集；生產(chǎn)商-物流公司-營(yíng)銷體系，EDI通過物流運(yùn)輸、銷售單、營(yíng)銷合同作為信息互連互通的手段；社會(huì)公眾-追溯平臺(tái)，EDI作為查詢信息的接口提供追溯信息的查詢接口。

① BGPsec具有最強(qiáng)的防御能力，能夠抵御所有類型的域間路由劫持;

② RPKI是開銷相對(duì)較低的源驗(yàn)證方法，能夠抵御最常見的路由劫持，即前綴劫持.

2) 部分部署時(shí)

① BGPsec在未廣泛部署時(shí)防御能力不明顯，不如其他類型的(部分)路徑驗(yàn)證機(jī)制;

② Path-end可以對(duì)簡(jiǎn)單但影響力較大的1跳錯(cuò)誤鏈路劫持有很好的防御能力，但不適用于更復(fù)雜的劫持類型;

③ ASPA和FSBGP對(duì)錯(cuò)誤鏈路劫持都具有較好的部分部署收益，其中FSBGP的防御效果更好，但是與ASPA相比也需要路由器增加對(duì)簽名驗(yàn)證的計(jì)算和存儲(chǔ)能力;

④ RPKI是多種過渡時(shí)期安全機(jī)制的基礎(chǔ).

6 結(jié)束語

為了降低路由劫持對(duì)互聯(lián)網(wǎng)帶來的危害，研究人員提出了多種域間安全路由機(jī)制，其中，諸如RPKI和BGPsec機(jī)制已成為IETF組織標(biāo)準(zhǔn)化并積極推動(dòng)部署，ASPA機(jī)制也正在標(biāo)準(zhǔn)化的進(jìn)程之中.雖然BGPsec可以為域間路由帶來最高安全等級(jí)的防御，基本杜絕路由劫持的產(chǎn)生，但由于部署成本和網(wǎng)絡(luò)隱私等問題難以短時(shí)間內(nèi)全面部署.要想縮短這一過渡時(shí)期需要對(duì)各類域間安全路由機(jī)制的防御能力有更深入的了解，以指導(dǎo)AS管理者認(rèn)識(shí)各種機(jī)制的特點(diǎn)和能夠提供的安全收益，作出符合自身需求的安全選擇.

基于此，本文介紹了互聯(lián)網(wǎng)中最常見的4類路由劫持，即錯(cuò)誤源劫持、1跳錯(cuò)誤鏈路劫持、盲目的2跳錯(cuò)誤鏈路劫持和理智的2跳錯(cuò)誤鏈路劫持；比較了幾種典型的劫持防御機(jī)制的機(jī)理，包括RPKI,BGPsec,Path-end,ASPA和FSBGP；分析了完全部署時(shí)這些機(jī)制抵御的路由劫持類型，并模擬實(shí)驗(yàn)了在部分部署時(shí)期它們對(duì)常見類型的劫持能產(chǎn)生的防御作用.