2024年9月3日，美国白宫国家网络主任办公室（ONCD）发布了一份增强互联网路由安全的路线图，旨在解决与边界网关协议（BGP）相关的关键安全漏洞。除了发布报告，ONCD还与网络安全与基础设施安全局（CISA）协调，建立了一个公私利益相关者工作组，以开发资源和材料，共同推进报告的建议落实。

BGP的原始设计属性不能充分解决当今互联网生态系统的威胁和弹性要求。因此，BGP安全漏洞可能会让流量在无意或故意的情况下被转移，导致个人信息暴露；让盗窃、勒索以及国家级间谍活动得以进行；破坏安全关键事务；干扰关键基础设施的正常运作。无论是由于意外还是恶意行为，互联网基础设施遭受大规模破坏的风险都构成了国家安全问题。尽管尚无单一解决方案能够全面解决互联网路由中存在的所有漏洞，但本次发布的路线图推荐采用资源公钥基础设施（RPKI）作为一种成熟且可立即实施的方法，以缓解BGP的安全缺陷。

RPKI主要由两个部分组成：路由起源授权（ROA）和路由验证（ROV）。ROA是一个经过数字签名的证书，授权特定网络宣布对某个互联网地址空间（即IP地址范围）的控制权。ROV是指BGP路由器利用ROA数据来过滤并识别无效的BGP公告的过程。值得注意的是，ROV仅在组织创建了相应的ROA之后，才能有效地保护该组织的互联网地址资源。

1. 网络运营商的行动

每个网络运营商都应该制定、维护并定期更新网络安全风险管理计划。所有持有IP地址资源的网络运营商和实体均应创建并在由相应区域互联网注册中心（RIR）托管或授权的公共RPKI存储库中发布ROA。运营商应依据基于风险的网络安全管理策略，优先为评估确定为具有高价值或面临较高风险的地址前缀创建并发布ROA。使用合同外部服务的网络运营商应在未来的服务合同中明确要求其提供商验证启用BGP的路由。网络运营商应监控其ROA数据、路由安全威胁、中断和干扰，并评估其互联网路由服务的质量。

2. 联邦政府与通信和IT部门合作的行动

CISA正与ONCD协调，并与通信和IT部门协调委员会合作，建立一个联合工作组，推进ROA和ROV的实施和互联网路由安全。

工作组的主要任务包括：为网络运营商制定标准和框架，以评估潜在风险，并优先处理涉及IP地址资源和关键路由源（例如政府使用、关键基础设施运营等）的事项。在此过程中，确保路由安全措施的应用包含ROA和ROV；为客户制定手册，概述建立ROA的步骤；保持对社区内更新的了解，并定期向联邦政府提供有关优先领域的最新情况。

3. 联邦政府的具体政策行动

管理和预算办公室（OMB）应该为联邦部门和机构建立指导，以便及时实施ROA，与机构风险评估保持一致。OMB通过联邦采购法规委员会，并与总务管理局协调，要求联邦政府的合同服务提供商采用并部署当前商业可行的互联网路由安全技术，并在连接到互联网的合同服务上执行ROV过滤。联邦机构的关键基础设施建设项目的承担方应将路由安全措施纳入其项目。OMB应该建立新机制来衡量联邦机构对ROA的采用情况，监控进展，并进行适当的分析。NIST应推动美国政府在研究、标准化及促进BGP安全性和弹性机制的商业化方面的工作，并开发监测和测量工具。CISA应继续推动公司合作，提高美国企业对ROA和ROV的认知。国务院应多与国际伙伴接触，提高国际伙伴对采用互联网路由安全措施好处的认识。研究资助机构应继续资助互联网路由重点的测量、监控和警报技术的开发，以促进美国和全球互联网路由安全部署工作。

信息来源：

https://www.whitehouse.gov/oncd/briefing-room/2024/09/03/fact-sheet-biden-harris-administration-releases-roadmap-to-enhance-internet-routing-security/

https://mp.weixin.qq.com/s/Dbw-wXxHZqpcxD9Km4nlSQ