荷兰政府于今年4月宣布,在2024年年底前,荷兰政府旗下的所有IT系统都必须导入资源公钥基础设施(Resource Public Key Infrastructure,RPKI)标准,以避免边界网关协议(Border Gateway Protocol,BGP)遭到挟持。
RPKI为一用来保护网络流量路由的开放标准,通过数字凭证来确认流量的路由是否来自原始网络供应商,集中存放的凭证可让全球网络企业访问与验证,避免路由外泄或是网络流量遭到挟持。导入RPKI有两个步骤,一是由自治系统(AS)签署路由来源授权(Route Origin Authorization,ROA)记录来证明其IP空间的合法来源,二是各AS可借由ROA来避免选择无效路由。
不管是荷兰外交部的IP地址在2014年遭到保加利亚电信运营商暂时挟持,或者是欧洲的行动流量在2019年不慎被跳转至中国电信的网络架构等意外事件,都可受到RPKI的保护。
其实荷兰政府早在2019年便规定新采购案必须以RPKI为准,最新的政策则是要求所有既有的IT系统与服务都必须在明年底前升级至RPKI。目前荷兰政府旗下所有网站已有77.9%采用RPKI,电子邮件服务器也有75.1%采用RPKI。
过去几年,安全企业不断呼吁各界应利用RPKI来强化全球路由的安全性,根据Cloudflare去年底的估计,全球RPKI系统上已存放了近40万个IPv4 ROA与超过8.6万个IPv6 ROA,采用率约为40%。