1、1电信网路由安全白皮书电信网路由安全白皮书(2023)(2023)中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月中国联通路由安全白皮书(2023)2权声明权声明本报告版权属于中国联合网络通信有限公司研究院,并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的,应注明“来源:中国联通研究院”。违反上述声明者,本院将追究其相关法律责任。中国联通路由安全白皮书(2023)3目 录目 录目 录.3图目录.5一、域间路由系统安全风险态势.91.1 域间路由系统安全的关键性.91.2 域间路由系统安全的脆弱性.121.2.1 自治系统与 BGP
2、.121.2.2 BGP 安全脆弱性.121.3 域间路由系统安全风险分析.131.3.1 BGP 威胁模型.131.3.2 全球路由安全现状.16二、域间路由安全技术体系.242.1 路由安全防护技术概况.252.1.1 路由注册表.262.1.2 资源公钥基础设施.272.1.3 BGPsec.282.1.4 ASPA.292.1.5 SCION.302.2 路由安全监测技术概况.31三、域间路由安全技术应用与挑战.33中国联通路由安全白皮书(2023)43.1 路由安全防护技术应用与挑战.333.1.1 路由注册表.333.1.2 资源公钥基础设施.333.1.3 BGPsec.403.
3、1.4 ASPA.413.1.5 SCION.413.2 路由安全监测技术应用及挑战.423.2.1 BGP 路由数据采集.423.2.2 BGP 路由数据分析.433.2.3 BGP 路由监测工具及机构.44五、域间路由安全技术发展建议.465.1 加速完善政策措施 构建我国路由安全保障体系.465.2 持续强化技术创新 提升路由安全防护与态势感知能力.465.3 加强全球协作共享 强化国际互联网社群技术影响力.475.4 开展前瞻布局研究 引领路由安全关键技术发展趋势.48附录 1 英文缩略语.49附录 2 参考文献.50中国联通路由安全白皮书(2023)5图目录图目录图 12022 俄乌
4、冲突中的路由异常事件.10图 2异常路由宣告攻击分类.13图 32008 年巴基斯坦电信导致 YouTube 全球中断事件过程17图 420202022 路由安全事件统计(来源:MANRS Observatory).22图 520172021 路由安全事件统计(来源:BGPstream).23图 62021 年第 1 季度路由泄露与路由劫持事件统计(来源:Qrator Labs).23图 72021 年第 4 季度路由泄露与路由劫持事件统计(来源:Qrator Labs).24图 8路由安全技术类别.26图 9RPKI 技术体系.27图 10BGPsec 实现机制.28图 11ASPA 原理图
5、.30图 12SCION 架构图.31图 13BGP 安全监测技术体系构成.32图 14支持 RPKI 的路由器设备厂商.34图 15签发 ROA 的国外互联网公司.35图 16RPKI ROA 验证结果统计分析(来源:NIST RPKI Monitor).36中国联通路由安全白皮书(2023)6图 17RPKI ROA 验证结果历史数据统计分析(来源:NIST RPKIMonitor).37图 18RPKI ROA 验证结果统计分析(来源:MANRS Observatory).37图 19纳入 RPKI 认证范畴的 IP 地址空间(来源:MANRSObservatory).38图 20全球
6、ROA 数据统计(来源:APNIC).38图 21Route Views 路由信息采集器分布.43图 22RIPE RIS 路由信息采集器分布.43图 23部分商用路由安全监测工具.44图 24MANRS Observatory 全局视图.45中国联通路由安全白皮书(2023)7前 言作为互联网的关键基础设施,以BGP(Border Gateway Protocol,边界网关协议)为基础的域间路由系统是连通全球网络空间的技术基石,因此域间路由系统对于整个互联网的可靠稳定运行具有重要意义。然而,因 BGP 协议最初的设计缺陷,导致近年来运营商路由安全问题频发,对网络空间安全造成极大的威胁。与此同