亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

互聯(lián)網(wǎng)路由系統(tǒng)安全是保障網(wǎng)絡空間安全的重要基礎。邊界網(wǎng)關協(xié)議BGP作為互聯(lián)網(wǎng)域間路由系統(tǒng)的核心協(xié)議，承擔著全球網(wǎng)絡互聯(lián)互通與資源共享、協(xié)作治理的重要使命。然而，由于邊界網(wǎng)關協(xié)議BGP最初的設計缺陷，導致域間路由系統(tǒng)在安全防護、路由管理和可擴展性等方面正面臨嚴峻挑戰(zhàn)。近年來，學術界與產(chǎn)業(yè)界圍繞BGP安全增強、路由管理優(yōu)化以及可擴展性提升等方向展開了廣泛而深入的研究，涌現(xiàn)出一系列具有代表性的創(chuàng)新技術與方案。這些成果各具優(yōu)勢，在一定程度上推動了域間路由系統(tǒng)的演進。然而，面對日益復雜的網(wǎng)絡環(huán)境和不斷增長的安全需求，現(xiàn)有技術仍難以全面滿足實際應用要求，尚存在諸多亟待解決的問題與挑戰(zhàn)。

針對這些問題和挑戰(zhàn)，清華大學、中關村實驗室、中國電信、中國聯(lián)通、中國移動、新華三、互聯(lián)網(wǎng)域名系統(tǒng)國家地方聯(lián)合工程研究中心等單位密切合作，系統(tǒng)分析了當前域間路由系統(tǒng)所面臨的關鍵安全威脅、管理困境以及可擴展性瓶頸，總結(jié)了近年來域間路由優(yōu)化方案的研究進展及工業(yè)界的實踐經(jīng)驗，并對域間路由系統(tǒng)的未來發(fā)展方向進行了展望。為了讓研究結(jié)果能服務于互聯(lián)網(wǎng)業(yè)務實踐，我們撰寫了白皮書，我們希望白皮書能為推動域間路由系統(tǒng)在安全演進與協(xié)作治理方面提供切實有益的借鑒，為構建更安全、更富韌性的全球路由體系做出貢獻。

01

域間路由協(xié)議概述

邊界網(wǎng)關協(xié)議（BGP）作為互聯(lián)網(wǎng)域間路由系統(tǒng)的核心協(xié)議，承載著全球網(wǎng)絡互聯(lián)互通與共享共治的重要使命。作為互聯(lián)網(wǎng)的“外交協(xié)議”，BGP是一種承載著互聯(lián)網(wǎng)政治、經(jīng)濟與技術的復雜機制，盡管BGP在三十多年演進中證明了其關鍵價值，但其原始設計缺陷與新時代需求的沖突也日益尖銳。

BGP協(xié)議的演化史是一部互聯(lián)網(wǎng)規(guī)模擴張與網(wǎng)絡需求升級的縮影，BGP演進歷程如圖1所示。從1989年BGP-1的雛形初現(xiàn)，到如今支持多協(xié)議的BGP4+擴展體系，其每一次更新都直指當時網(wǎng)絡發(fā)展的核心痛點，但同時也為后續(xù)挑戰(zhàn)埋下了伏筆。

BGP協(xié)議在支撐互聯(lián)網(wǎng)擴張的同時，其設計理念與現(xiàn)實需求的矛盾逐漸暴露。隨著安全威脅、業(yè)務復雜性和網(wǎng)絡規(guī)模的同步升級，BGP的原始架構已難以適應現(xiàn)代需求，形成了安全、管理和可擴展三重挑戰(zhàn)交織的困局。

圖1 BGP演進歷程

02

域間路由系統(tǒng)的關鍵挑戰(zhàn)剖析

2.1 安全威脅：互聯(lián)網(wǎng)的“無鎖之門”

在全球互聯(lián)的數(shù)字時代，互聯(lián)網(wǎng)域間路由系統(tǒng)正面臨著嚴峻的安全挑戰(zhàn)，其核心安全威脅可歸納為以下兩個方面：由域間路由協(xié)議最初的設計缺陷導致的路由劫持、路由泄露和源地址偽造的路由安全問題，以及由信任模型缺失導致的路由安全和路由策略協(xié)作優(yōu)化的困境。

2.2 管理困境：人工依賴的“協(xié)同困境”

BGP的核心功能涵蓋路徑選擇、策略實施、路由更新驗證及網(wǎng)絡穩(wěn)定性維護，并涉及商業(yè)關系與路由策略考量，以確保全球網(wǎng)絡的高效穩(wěn)定運行。BGP的管理面臨多重挑戰(zhàn)，主要包含人為的錯誤配置可能引發(fā)的蝴蝶效應，以及異常檢測與恢復的困境。

2.3 可擴展性瓶頸：新興需求的“承載困局”

BGP的可擴展性直接關乎全球網(wǎng)絡基礎設施的穩(wěn)定性與效率，其可擴展性挑戰(zhàn)主要體現(xiàn)為路由規(guī)模膨脹導致的性能瓶頸，以及協(xié)議語義僵化對新興業(yè)務需求的適應性不足。

03

域間路由優(yōu)化方案分析

3.1 域間路由安全增強方案分析

近年來，各國政府、學術界和工業(yè)界都在積極探索和推動更安全的互聯(lián)網(wǎng)域間路由擴展方案，主要包括面向路由源驗證的安全擴展方案和面向路由路徑驗證的安全擴展方案。此外，還提出了區(qū)域化路由安全方案Trust Zones，以及在全球范圍內(nèi)也發(fā)起了路由安全倡議項目MANRS。

面向路由源驗證的安全擴展方案

資源公鑰基礎設施（RPKI）通過公鑰證書體系實現(xiàn)IP前綴與自治系統(tǒng)編號的加密驗證，幫助路由器檢驗BGP報文的真實性，實現(xiàn)路由起源驗證（ROV）。

下一代互聯(lián)網(wǎng)真實源地址驗證體系結(jié)構（SAVA）由中關村實驗室、清華大學吳建平院士團隊提出，并先后在IETF成立了SAVI和SAVNET工作組，致力于解決互聯(lián)網(wǎng)接入端、域內(nèi)和域間的驗證問題，推動互聯(lián)網(wǎng)真實源地址驗證體系結(jié)構技術創(chuàng)新和標準的制定。

圖2 下一代互聯(lián)網(wǎng)真實源地址驗證體系結(jié)構SAVA

面向路由路徑驗證的安全擴展方案

BGPsec擴展方案通過基于RPKI的數(shù)字簽名機制，在自治系統(tǒng)間逐跳構建了從路由源到目的地的安全驗證鏈，以抵御路徑劫持等攻擊行為。但該方案要求整個AS路徑的完全部署，且計算開銷大，因此部署進度緩慢。

自治系統(tǒng)供應商授權（ASPA）是基于自治系統(tǒng)間商業(yè)關系的BGP路徑驗證方案，通過客戶AS簽名的供應商列表驗證路徑合法性，提升了驗證能力，但可能泄露商業(yè)關系造成新的安全風險。

基于轉(zhuǎn)發(fā)承諾的安全域間路由協(xié)議（FC-BGP）是由清華大學徐恪教授團隊提出的新式BGP路徑驗證方案。該方案兼具高度靈活性和可部署性，能夠?qū)GP路徑宣告進行逐跳驗證，同時實現(xiàn)隱私保護，并支持跨平面驗證。FC-BGP有效解決了現(xiàn)有RPKI方案因部分部署導致的信任鏈斷裂問題，避免了其在安全性上的不足，并克服了BGPsec無法驗證流量是否嚴格按照宣告路徑轉(zhuǎn)發(fā)的缺陷，具有更強靈活性和可部署性。

圖3 FC-BGP與BGPsec路徑驗證對比

區(qū)域化路由安全方案——Trust Zones

David Clark和KC Claffy提出了以區(qū)域為單位建立“信任域”（Trust Zones）的策略，以應對全球協(xié)同部署困難、激勵不對稱等問題。信任域由一組有共同安全承諾的自治系統(tǒng)組成，這些成員通過合作形成局部可信環(huán)境，從而提升整體的安全性。

國際路由安全倡議項目——MANRS

MANRS是由國際互聯(lián)網(wǎng)協(xié)會ISOC提出的一項加強國際間互聯(lián)互通路由安全的全球倡議項目。2014年11月，CERNET作為發(fā)起成員加入MANRS。此外，CSTNET、國家新型互聯(lián)網(wǎng)交換中心（杭州）、中國聯(lián)通、中國電信、華為等已先后加入該計劃，共同為提升全球網(wǎng)絡的安全性和運行效率而努力。

總體來看，現(xiàn)有方案在一定程度上提升了BGP協(xié)議的安全性。然而，從部署進展與實際應用效果來看仍面臨諸多挑戰(zhàn)。在信任模型、部署成本、協(xié)議兼容性及策略靈活性等方面依然存在明顯短板。

3.2 域間路由管理優(yōu)化方案分析

當前，各方正積極推動域間路由管理體系向更高程度的智能化與自動化轉(zhuǎn)型，以應對誤配置、異常檢測和恢復難等挑戰(zhàn)。

學術界域間路由異常檢測方法

學術界在基于人工智能技術的路由異常檢測方面，通過智能算法和大數(shù)據(jù)分析，能夠更加高效、精準地識別并應對網(wǎng)絡中的異常行為。例如基于語義驅(qū)動的方法提出“路由角色”概念，構建BGP語義感知嵌入模型（BEAM），通過網(wǎng)絡表示學習，將自治系統(tǒng)嵌入高維向量空間，保留關鍵路由屬性，動態(tài)表示其角色并量化路徑變化，精準判斷路由異常，系統(tǒng)的工作流程如圖4所示。

圖4 語義驅(qū)動的互聯(lián)網(wǎng)路由異常檢測系統(tǒng)流程

產(chǎn)業(yè)界域間路由異常檢測系統(tǒng)

產(chǎn)業(yè)界在路由異常檢測方面進行了大量的實踐，包括美國的RouteViews、CAIDA，歐洲的RIPE RIS等路由數(shù)據(jù)采集平臺，以及ThousandEyes、Noction IRP等路由異常監(jiān)測與管理平臺。此外，中國電信、中國連通、中國移動三大運營商針對路由安全面臨的多維度挑戰(zhàn)，構建了路由安全防護和異常快速響應的體系化解決方案。

現(xiàn)有的異常檢測方案也存在著局限性，盡管這些方案或平臺能夠提供實時數(shù)據(jù)，并幫助檢測和分析路由異常，但大多依賴于歷史路由數(shù)據(jù)，且受限于協(xié)議層面的約束，發(fā)生異常事件后需要一定時間才能恢復。因此，仍需進一步提升路由異常檢測的智能化和自動化處理能力，以有效應對復雜多變的大規(guī)模網(wǎng)絡環(huán)境。

3.3 域間路由擴展性提升方案分析

面對BGP協(xié)議在路由規(guī)模膨脹與協(xié)議僵化兩方面的可擴展性挑戰(zhàn)，業(yè)界提出了三類優(yōu)化方案。

路由規(guī)模優(yōu)化方案

路由聚合通過壓縮路由表項與降低更新頻率減少路由設備存儲與計算負載。CISCO提出的LISP（Locator/ID Separation Protocol）方案，通過解耦主機標識與位置標識，構建雙層路由空間，從而壓縮路由表規(guī)模。然而，上述架構級改進需突破現(xiàn)有協(xié)議棧和硬件生態(tài)，面臨部署激勵和兼容性挑戰(zhàn)。

圖5 LISP協(xié)議

協(xié)議適配擴展方案

為解決BGP的協(xié)議固化問題，由波士頓大學、威斯康星大學麥迪遜分校和卡內(nèi)基梅隆大學聯(lián)合設計的D-BGP，通過“協(xié)議透傳”和“多協(xié)議容器”機制，實現(xiàn)多協(xié)議并存，提升擴展性，但仍存在協(xié)議兼容，增量部署的局限性。

未來架構探索方案

SCION將互聯(lián)網(wǎng)劃分為多個隔離域（ISD），實現(xiàn)安全、高可用的多路徑通信，被IETF認為是基于新型路徑感知網(wǎng)絡的“未來互聯(lián)網(wǎng)提案”。美國國家科學基金會（NSF）資助的NDN、MobilityFirst、NEBULA與XIA等方案也為未來互聯(lián)網(wǎng)架構提供了思路。

圖6 SCION架構

上述方案從不同層面優(yōu)化BGP的擴展性，但難以單獨應對其結(jié)構性困境。未來，隨著SDN和AI技術的滲透，BGP可能逐步演化為一個更加智能化和自適應的高擴展性協(xié)議。

04

未來展望

在未來網(wǎng)絡架構的演進過程中，域間路由系統(tǒng)將持續(xù)承擔基礎性、全局性的戰(zhàn)略支點作用。展望未來，我們認為推動下一代域間路由技術進步應聚焦于以下三個核心方向：

（1）標準引領。通過國際協(xié)作構建充分開放的協(xié)議標準演進體系；

（2）技術革新。打造具備內(nèi)生安全、智能協(xié)同和適應未來的下一代域間路由系統(tǒng)；

（3）生態(tài)協(xié)同。以政策激勵與漸進式部署策略，推動技術實際應用落地。

2022年中國提出的《攜手構建網(wǎng)絡空間命運共同體》倡議，為下一代域間路由協(xié)議的演進提供了重要參考。吳建平院士在2025年世界互聯(lián)網(wǎng)大會亞太峰會主論壇上指出，加強網(wǎng)絡空間安全技術的科技創(chuàng)新，數(shù)字時代的安全發(fā)展根基就會越來越穩(wěn)，要以開放的姿態(tài)積極參與數(shù)字時代的交流和合作。通過構建更加公平合理、開放包容、安全穩(wěn)定、富有生機活力的網(wǎng)絡空間，人類才能共同擁抱更加美好的未來。

白皮書獲取鏈接?互聯(lián)網(wǎng)域間路由系統(tǒng)的關鍵挑戰(zhàn)與技術創(chuàng)新.pdf

聲明：本文來自賽博新經(jīng)濟，稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權，請聯(lián)系rhliu@skdlabs.com，我們將及時按原作者或權利人的意愿予以更正。