白宮發布強化網路路由安全性的藍圖，解決邊界閘道協定漏洞

美國白宮國家網路總監辦公室（Office of the National Cyber Director，ONCD）周二（9/3）發布了一份強化網路路由安全（Enhancing Internet Routing Security）的藍圖，目的是解決與邊界閘道協定（Border Gateway Protocol，BGP）有關的安全漏洞。

全球網路大約是由7.4萬個自治系統（Autonomous System，AS）組成，每個AS通常由一個組織管理，並具備唯一的的AS號碼（ASN）；BGP則允許不同的AS相互通訊或交換路由訊息，AS亦使用BGP來宣告它們可以到達的IP位址，BGP協助AS決定如何幫封包路由至其它AS，AS使用BGP來選擇到達目標的最佳路徑。簡單地說，AS與BGP構築了網路骨幹。

然而，1989年設計的BGP並未考量現代網路所面臨的安全威脅，使得相關的意外頻傳，像是路由劫持、路由洩露或缺乏認證等，例如2008年時，巴基斯坦政府命令ISP業者封鎖YouTube，巴基斯坦電信則企圖利用BGP路由來阻止YouTube，結果此一路由訊息被傳播到全球的BGP路由表中，造成全球大多數的YouTube流量都被錯誤地導至巴基斯坦而無法存取YouTube。2021年Meta旗下各服務的中斷，也被指向BGP。

ONCD認為，現階段要解決BGP漏洞的最佳作法是資源公鑰基礎設施（Resource Public Key Infrastructure，RPKI）、註冊服務協議（Registration Service Agreements，RSA），路由來源驗證（Route Origin Validation ，ROV），以及路由來源授權（Route Origin Authorizations，ROA）。

其中，RSA為整個系統的法律基礎，它確定誰有權使用特定的網路資源並授權它們參與RPKI；RPKI則是個用來實現安全的技術框架；ROA即為RPKI的成果，決定哪個AS可以宣告哪些IP前綴；ROV則使用RPKI與ROA資料來驗證BGP路由公告的有效性。

ONCD已制定了聯邦RSA範本附錄，鼓勵聯邦機構使用它來推動RPKI的採用，美國國家海洋及大氣管理局也制定了聯邦RPKI手冊，以支援RSA的執行，以及與聯邦網路上建立ROA的過程。期望今年底前，RSA將可覆蓋聯邦網路所公布的6成以上的IP空間，以替建立ROA舖路。

白宮國家網路總監Harry Coker, Jr表示，網路安全太重要了，聯邦政府必須以身作則加速對BGP安全措施的採用，與公、私部門合作朝向共同的目標，包括制定藍圖以減輕長期存在的漏洞，造就更安全的網路，以確保美國國家安全與經濟繁榮。