本文摘自《2025下一代DNS发展报告》

作者：

徐恪，清华大学英诺讲席教授、清华大学计算机系副主任、中国电子学会会士、IEEE Fellow。

域间路由协议概述

边界网关协议（Border Gateway Protocol, BGP）作为互联网域间路由的核心协议，承载着全球网络互联的重要使命。互联网的本质是由数万个自治系统（Autonomous System, AS）通过商业协议互联而成的超大规模网络。每个AS独立管理内部路由策略，而BGP则负责在AS之间协商最优路径。

作为互联网的“外交协议”，BGP是一种承载着互联网政治、经济与技术的复杂机制，尽管BGP在三十多年演进中证明了其关键价值，但其原始设计缺陷与新时代需求的冲突也日益尖锐。

BGP协议的演化史是一部互联网规模扩张与网络需求升级的缩影，BGP演进历程如图1所示。从1989年BGP-1的雏形初现，到如今支持多协议的BGP4+扩展体系，其每一次更新都直指当时网络发展的核心痛点，但同时也为后续挑战埋下了伏笔。

BGP协议在支撑互联网扩张的同时，其设计理念与现实需求的矛盾逐渐暴露。随着网络规模、业务复杂性和安全威胁的同步升级，BGP的原始架构已难以适应现代需求，形成了安全、管理和可扩展三重挑战交织的困局。

BGP协议面临挑战的深度剖析

一、安全威胁：互联网的“无锁之门”

在全球互联的数字时代，互联网域间路由系统正面临着严峻的安全挑战，其核心安全威胁可归纳为以下两个方面：

1.由域间路由协议最初的设计缺陷导致的路由劫持、路由泄露和源地址伪造的路由安全问题。

在IETF RFC4272中，明确指出了BGP-4协议（IETF RFC4271）存在的缺陷主要体现在以下三个方面：

（1）缺乏内部验证机制，无法有效保障对等通信中消息的完整性及通信双方身份的真实性；

（2）尚未规定任何机制来验证一个自治系统宣布网络层可达性消息的权限；

（3）尚未规定任何机制来验证自治系统所宣告路径属性的真实性。

上述协议缺陷导致了BGP易受到多种安全威胁的挑战。国际互联网协会（Internet Society，ISOC）将路由系统面临的安全威胁总结为：路由劫持、路由泄露和源地址伪造三大问题。

2.由信任模型缺失导致的路由安全和路由策略协作优化的困境。

互联网域间信任模型的缺失，不仅影响了网络的安全性，也制约了路由策略的高效执行。当前的困境可归结为以下三个方面：

（1）分布式信任与集中化认证的冲突。传统的BGP协议采用邻居自治系统间的直接信任模型，假设所有自治系统都诚实地执行路由策略。然而，这种假设在现代复杂的网络环境中已不再适用。

（2）静态信任与动态网络之间存在时空错位。现有的信任模型在设计时未能充分考虑网络的时空变化，导致信任关系的静态性无法应对网络环境的动态变化。

（3）路由策略的透明性与商业隐私之间存在着复杂的博弈关系。自治系统间的路由策略往往处于“黑箱”状态，缺乏透明度。虽然这种隐私保护机制有助于维护商业利益，但也带来了挑战。

二、管理困境：人工依赖的“协同困境”

作为自治系统间的“导航系统”，BGP的核心功能涵盖路径选择、策略实施、路由更新验证及网络稳定性维护，并涉及商业关系与路由策略考量，以确保全球网络的高效稳定运行。BGP的管理面临多重挑战，主要包含以下两方面：

1.误配置引发的蝴蝶效应

协议的复杂性常常导致人为的错误配置，可能引发严重的安全风险，甚至造成全球范围的网络异常。由于BGP协议本身无法验证路由宣告的真实性，网络管理员在配置路由策略时，一旦出现疏漏，就可能造成大规模的路由劫持或路由泄露事故。

2.域间路由异常检测与恢复的困境

由于全球网络风险分散、自治系统间策略不同步，监测系统难以及时发现域间路由异常。一旦发生非法路由注入，往往需要多轮BGP UPDATE报文交互及策略重计算，恢复过程缓慢。

三、可扩展性瓶颈：新兴场景的“适配困境”

随着互联网规模的不断扩张，互联网路由体系结构已难以满足不断增长的网络规模需求。BGP作为互联网域间路由的核心协议，其可扩展性直接关乎全球网络基础设施的稳定性与效率。BGP的可扩展性挑战主要体现两个核心维度：

1.路由规模膨胀导致的性能瓶颈。带来了高昂的硬件成本以及急剧增加的收敛时间。

2.协议语义僵化对新兴业务需求的适应性不足。这种僵化不仅源于协议设计理念与需求发展的根本性矛盾，更来自于互联网生态系统形成的固化效应。

域间路由优化方案分析

一、域间路由安全增强方案分析

为提升互联网域间路由安全，业界提出了一系列面向路由源验证的安全扩展方案、面向路由路径验证的安全扩展方案以及区域化路由安全方案，并在全球范围内发起了路由安全倡议项目MANRS。

1.面向路由源验证的安全扩展方案

资源公钥基础设施（Resource Public Key Infrastructure，RPKI）通过公钥证书体系实现IP前缀与自治系统编号的加密验证，帮助路由器检验BGP报文的真实性，实现路由起源验证（ROV）。

下一代互联网真实源地址验证体系结构（Source Address Validation Architecture，SAVA）由中关村实验室、清华大学吴建平院士团队提出，并先后在IETF成立了SAVI和SAVNET工作组，致力于解决互联网接入端、域内和域间的验证问题，推动互联网真实源地址验证体系结构技术创新和标准的制定。

2.面向路由路径验证的安全扩展方案

BGPsec（Border Gateway Protocol Security）扩展方案通过基于RPKI的数字签名机制，在自治系统间逐跳构建了从路由源到目的地的安全验证链，以抵御路径劫持等攻击行为。但该方案要求整个AS路径的完全部署，且计算开销大，因此部署进度缓慢。

自治系统供应商授权（Autonomous System Provider Authorization，ASPA）是基于自治系统间商业关系的BGP路径验证方案，通过客户AS签名的供应商列表验证路径合法性，提升了验证能力，但可能泄露商业关系造成新的安全风险。

基于可验证转发承诺的安全域间路由协议（Secure Inter-domain Routing via Verifiable Forwarding Commitments: FC-BGP）是由中关村实验室、清华大学徐恪教授团队提出的新式BGP路径验证方案。该方案兼具高度灵活性和可部署性，能够对BGP路径宣告进行逐跳验证，同时实现隐私保护，并支持跨平面验证。

FC-BGP有效解决了现有RPKI方案因部分部署导致的信任链断裂问题，避免了其在安全性上的不足，并克服了BGPsec无法验证流量是否严格按照宣告路径转发的缺陷，具有更强灵活性和可部署性。如图2所示，展示了AS未完全部署情况下FC-BGP和BGPsec的路径验证区别。FC-BGP支持部分部署，穿越未部署AS时路径属性可传递；BGPsec要求全部部署，在部分部署情况下，穿越未部署AS时协议降级为普通BGP协议。未部署FC-BGP的恶意AS K伪造路径为A->K->E，由于AS K无法伪造{NULL , ASA , ASK* , SKIA , SIGNAK}，AS E可检测出该伪造；未部署BGPsec的恶意AS K伪造路径为A->K->E，由于协议降级，AS E无法检测出该伪造。

图2 FC-BGP与BGPsec路径验证对比

3.区域化路由安全方案——Trust Zones

David Clark和KC Claffy提出了以区域为单位建立“信任域”（Trust Zones）的策略，以应对全球协同部署困难、激励不对称等问题。信任域由一组有共同安全承诺的自治系统组成，这些成员通过合作形成局部可信环境，从而提升整体的安全性。

4.国际路由安全倡议项目——MANRS

MANRS（Mutually Agreed Norms for Routing Security，路由安全相互协议规范）是由国际互联网协会ISOC发起的国际路由安全倡议项目。2014年11月，CERNET作为发起成员加入MANRS。此外，CSTNET、中国联通、中国电信、华为等已先后加入该计划，共同为提升全球网络的安全性和运行效率而努力。

总体来看，现有方案在一定程度上提升了BGP协议的安全性。然而，从部署进展与实际应用效果来看仍面临诸多挑战。在信任模型、部署成本、协议兼容性及策略灵活性等方面依然存在明显短板。未来，域间路由安全的提升亟需整合现有方案优势，推动形成一个内生安全、易高效部署且具备可持续演进能力的下一代路由系统。

二、域间路由异常检测方案分析

当前，域间路由管理体系正向更高程度的智能化与自动化转型，以应对误配置、异常检测和恢复难等挑战。

1.学术界域间路由异常检测方法

学术界在基于人工智能技术的路由异常检测方面，通过智能算法和大数据分析，能够更加高效、精准地识别并应对网络中的异常行为。例如基于语义驱动的方法提出“路由角色”概念，构建BGP语义感知嵌入模型（BGP Semantics AwareNetwork Embedding：BEAM）。该模型通过网络表示学习，将自治系统嵌入高维向量空间，保留关键路由属性，动态表示其角色并量化路径变化，精准判断路由异常。

2.产业界域间路由异常检测系统

产业界在路由异常检测方面进行了大量的实践，包括美国的RouteViews、CAIDA，欧洲的RIPE RIS等路由数据采集平台，以及ThousandEyes、Noction IRP等路由异常监测与管理平台。此外，中国电信针对路由安全面临的多维度挑战，构建了路由安全防护和异常快速响应的体系化解决方案。中国联通实现了全球路由连接安全监测与分析，支持跨域路由安全的实时评估。

尽管业界在路由异常检测方面取得了一定进展，但现有方案仍受限于对历史数据的依赖和协议层面的制约，异常检测与恢复存在时延问题，未来仍需在实时性与智能性方面持续突破。

三、扩展性提升方案分析

面对BGP协议在路由规模膨胀与协议僵化方面的可扩展性挑战，业界提出了三类优化方案：

1.路由规模优化

路由聚合通过压缩路由表项与更新频率降低路由设备存储与计算负载。虚拟聚合技术通过定义逻辑上的虚拟前缀覆盖多个实际路由项，由聚合代理统一管理，核心路由器仅需维护少量虚拟前缀。虽可局部部署，但无法根治地址碎片化问题。CISCO提出的LISP（Locator/ID Separation Protocol）方案，通过解耦主机标识与位置标识，构建双层路由空间，从而压缩路由表规模。然而，上述架构级改进需突破现有协议栈和硬件生态，面临部署激励和兼容性挑战。

2.协议适配扩展

RFC 7938提出结合EBGP与Clos拓扑结构的数据中心路由方案。Facebook在此基础上实现了工业级实践。为解决新型协议难以部署的问题，D-BGP提出“协议透传”和“多协议容器”等机制，实现多协议并存，提升扩展性，但仍存在协议兼容，增量部署的局限性。

3.未来架构探索

SCION将互联网划分为多个隔离域（ISD），实现安全、高可用的多路径通信，被IETF认为是基于新型路径感知网络的“未来互联网提案”。美国国家科学基金会（NSF）资助的NDN、MobilityFirst、NEBULA与XIA等方案也为未来互联网架构提供了思路。

上述方案从不同层面优化BGP的扩展性，但难以单独应对其结构性困境。未来，随着SDN和AI技术的渗透，BGP可能逐步演化为一个更加智能化和自适应的高扩展性协议。

展望未来

在未来网络架构的演进过程中，域间路由系统将持续承担基础性、全局性的战略支点作用。面对全球数字化进程加速、超大规模异构网络深度融合以及智慧城市、工业互联网、智能交通等新兴业务场景的爆发式增长，传统域间路由协议在安全性、动态管理性及可扩展性等方面正面临着严峻挑战。展望未来，我们认为推动下一代域间路由技术进步应聚焦于以下三个核心方向：

（1）标准引领。通过国际协作构建充分开放的协议标准演进体系；

（2）技术革新。打造具备内生安全、智能协同和适应未来的下一代域间路由系统；

（3）生态协同。以政策激励与渐进式部署策略，推动技术实际应用落地。

2022年中国提出的《携手构建网络空间命运共同体》倡议，为域间路由协议的演进提供了重要参考。吴建平院士在2025年世界互联网大会亚太峰会主论坛上指出，加强网络空间安全技术的科技创新，数字时代的安全发展根基就会越来越稳，要以开放的姿态积极参与数字时代的交流和合作。通过构建更加公平合理、开放包容、安全稳定、富有生机活力的网络空间，人类才能共同拥抱更加美好的未来。